安全配置向导组件的使用

服务器安全的重要性无疑是当前网络应用的重要话题，而对于使用Windows Server系统的服务器来说，其安全性似乎一直受到诸多质疑。不过值得欣慰的是，Windows Server 2003 SP1的发布使服务器在安全性方面大大增强。譬如用户可以借助其新增的“安全配置向导”功能通过创建“安全策略”来最大限度地增强服务器的安全性能。本文以配置安全的Web服务器和FTP服务器为例，谈谈如何使用“安全配置向导”配置安全的Windows平台服务器。

1．安装“安全配置向导”组件
　　默认情况下“安全配置向导”并没有被安装，用户需要通过Windows组件向导手动安装。在“控制面板”窗口中双击“添加或删除程序”图标，打开“添加或删除程序”窗口。然后单击左窗格中的“添加/删除Windows组件”按钮，打开“Windows组件向导”。在“组件”列表中选取“安全配置向导”复选框，并单击“下一步”按钮。在安装过程中需要插入系统安装光盘。
2.创建安全策略
　　安全策略是服务器安全的重要保证，在这里需要创建一个新的安全策略。其创建步骤如下：
　　第1步：依次单击“开始→管理工具→安全配置向导”，启动安全配置向导，在打开的欢迎页中直接单击“下一步”按钮。
　　第2步：在打开的“配置操作”向导页中点选“创建新的安全策略”单选框，并单击“下一步”按钮。
　　第3步：打开“选择服务器”向导页，在“服务器”编辑框中输入提供Web服务的服务器名称（也可以单击“浏览”按钮查找服务器），并单击“下一步”按钮。
　　系统开始处理安全配置数据库，配置完成后单击“下一步”按钮。
3.服务器角色配置
　　安全配置向导自动进入服务器角色配置向导页。所谓服务器角色就是服务器在网络中所承担的工作，也就是提供的服务类型。配置服务器角色的步骤如下：
　　第1步：在“基于角色的服务配置”向导页中单击“下一步”按钮，打开“选择服务器角色”向导页。在服务器角色列表中列出了选定服务器中已经安装的服务类型，用户可以根据需要选取合适的选项。在本例中，我们要配置的是安全的Web服务器和FTP服务器，因此只须保持选中“FTP服务器”和“Web服务器”两项即可。设置完毕单击“下一步”按钮。

　　第2步：打开“选择客户端功能”向导页。尽管本例要配置的是Web服务器和FTP服务器，但服务器本身可能同时又是一台客户机，因此必要的客户端功能还需要保留，否则将造成某些功能无法使用（譬如“新建网络连接”功能）。建议保持此处设置的默认设置，单击“下一步”按钮。
　　第3步：在打开的“选择管理和其他选项”向导页中，单击“查看”右侧的下拉三角，在下拉菜单中分别选择“Web服务器选项”和“FTP服务器选项”，将这两种服务器的选项全部选中。然后保持“IPSec服务”的选中状态，其余选项全部取消，并单击“下一步”按钮。
　　第4步：打开“选择其它服务”向导页，用户可以单击服务名称前面的小三角查看这些服务的用途。建议取消所有用途不大的服务，然后单击“下一步”按钮。
　　第5步：在打开的“处理未指定的服务”向导页中，点选“禁用此服务”单选框，并单击“下一步”按钮。
　　第6步：最后打开“确认服务更改”向导页，确认列表中列出的禁用或启动的服务无误后单击“下一步”按钮。
4.网络安全配置
　　安全配置向导转入网络安全设置，从而针对选定服务器角色对Windows防火墙的入站端口进行配置。其配置步骤如下：
　　第1步：在说明向导页中单击“下一步”按钮，打开“打开端口并允许应用程序”向导页。在端口列表中取消除20端口、21端口和80端口以外的其他端口，并单击“下一步”按钮。
　　第2步：打开“确认端口配置”向导页，从列表中可以看到除了20、21和80端口，其他端口都被阻止了。确认设置无误，单击“下一步”按钮。
5.配置IIS
　　因为本例选定的服务器角色是Web服务和FTP服务，因此会出现配置IIS向导页。这里主要用于设置与Web服务和FTP服务相关的IIS选项。其设置步骤如下：
　　第1步：在说明页中直接单击“下一步”按钮，打开“选择动态内容的Web服务扩展”向导页。一般情况下只须选取“Active Server Page”复选框就能满足Web服务的需求，单击“下一步”按钮。
　　第2步：如果Web服务目录中存在虚拟目录，则配置向导会提示选择要保留虚拟目录。用户可以根据实际需要只保留重要的虚拟目录，并单击“下一步”按钮。
　　第3步：在打开的“阻止匿名用户访问内容文件”向导页中，选取“拒绝匿名用户对内容文件的写权限”复选框，并单击“下一步”按钮。
　　第4步：打开“IIS设置摘要”向导页，确认设置无误后单击“下一步”按钮完成IIS设置。
6.保存和应用安全策略
　　至此我们创建的安全策略基本完成，接着需要保存和应用该策略，其具体操作步骤如下：
　　第1步：在说明页单击“下一步”按钮，打开“安全策略文件名”向导页。为该安全策略命名（如“SecurityWeb”），并单击“下一步”按钮。
　　第2步：打开“应用安全策略”向导页，点选“现在应用”单选框，并单击“下一步”按钮。这时安全配置向导开始将该安全策略应用到选定的服务器，最后依次单击“下一步→完成”按钮完成Web服务器和FTP服务器安全策略的创建。
　　通过上述配置过程不难发现，“安全配置向导”几乎包含了涉及服务器安全设置的所有方面。在该向导的指引下，用户可以配置出较为安全的服务器系统，力争实现百密而无一疏。