2．设定安全策略

　　现在，你已经准备好开始认真考虑严肃的工作。强化Windows Server 2003的最简单方法是利用服务器配置向导(SCW)，它可以帮你创建一个安全的策略，一个专门基于网络中的服务器功能的安全策略。（见下图1）

图1：服务器配置向导允许你设置功能、客户特征、服务和端口、以及管理选项。选择这些选项可以激活合适的端口和服务。

　　SCW与配置你的服务器向导(Configure Your Server Wizard)不同。SCW不安装服务器组件，但是可以对端口和服务进行检测，并且配置注册表和审计设置。SCW并不是默认安装的，因此你必须通过控制面板中的“添加/删除程序”来添加SCW。选择“添加/删除Windows组件”按钮，并选定“安全配置向导”（SCW）。一旦安装之后，就可以从Administrative Tools访问SCW。

　　SCW所创建的安全策略是XML文件，它可以配置服务、网络安全、特定注册表参数、审计策略，此外，如果合适的话，它还可以配置IIS。通过配置界面，可以创建新的安全策略，而且可以审查现有的策略或者将其应用到网络中的其它服务器中。如果新的策略造成了冲突或者不稳定，它可以将其调整为原来的状态。

　　SCW涵盖了Server 2003安全的方方面面。该向导以安全配置数据库（Security Configuration Database）开始，包含所有功能、客户特征、管理选项、服务和端口的信息。对于应用程序，也有一个详尽的知识库。这意味着当被选定的服务器功能必须要应用程序的时候——诸如自动更新的客户特性或者例如文件备份的管理程序之类的——Windows防火墙将会开放必需的端口。当应用程序关闭时，端口会自动隔断。

　　用于网络和注册表协议的安全设置，以及服务信息块（SMB）的安全签名增强了对主要服务器特性的保护。为了与外部资源连接，带外认证设置决定了认证所要求的水平。

 
 图2：你也可以在服务器配置向导中设置审计策略。对于所有成功以及失败的活动都应当审计并记录。

　　SCW的最后一步包括审计策略（见上图2）。默认状态下，Server 2003仅仅对成功的活动进行审计，但是对于一个强化的系统而言，所有成功与失败的活动都应该审计并记入日志。一旦向导完成，安全策略就可以存储为XML文件，可以立即应用到服务器中，保存起来已备后用，或者应用到其它服务器。是否需要返回安装时没有强化的服务器上呢？SCW也可以在现有的服务器上安装并运行。