安全配置向?qū)?/strong>是什么？有什么功能？如何安裝和使用呢？下文給出了利用安全配置向?qū)岣?strong>文件服務(wù)器安全性的方法，具體內(nèi)容如下所述。

安全配置向?qū)Чδ?SecurityConfigurationWizard,SCW)，WindowsServer2003ServicePack1和WindowsServer2003R2的一部分，是自動配置文件服務(wù)器安全策略的一種簡便方法。安全配置向?qū)Чδ苡行еС謱徍四Ｊ?。首先它先檢測機(jī)器，報告機(jī)器的角色。接下來，你可以使用動態(tài)配置模式，只需要告訴向?qū)阋獮榉?wù)器配置什么角色。安全配置向?qū)Ь蜁詣訉Ψ?wù)器進(jìn)行設(shè)定，按照需要對服務(wù)器和端口進(jìn)行開關(guān)控制。

只有管理員才能安裝安全配置向?qū)ЖD―要么是本地管理員，要么是域管理員。

安裝安全配置向?qū)?，按照以下步驟進(jìn)行：

1.打開“控制面板”。

2.雙擊“添加/刪除程序”。

3.選擇“添加/刪除Windows組件”。

4.選擇“安全配置向?qū)?rdquo;框，點擊“下一步”。

5.按照提示，點擊“完成”。

應(yīng)用安全配置向?qū)е械脑O(shè)置：

1.打開安全配置向?qū)А?/p>

2.選擇服務(wù)器屏出現(xiàn)，讓你選擇需要分析的服務(wù)器。選中要分析的機(jī)器后點擊“下一步”。

3.系統(tǒng)會一點點進(jìn)行，之后，當(dāng)程序完成后，會提醒你點擊“下一步”。

4.選擇服務(wù)器角色屏出現(xiàn)，如果文件服務(wù)器角色沒有被選中，點擊文件服務(wù)器角色，點擊“下一步”開始運(yùn)行。

通過安全配置向?qū)Ｏ碌牟糠掷^續(xù)運(yùn)行，不過后邊的一些個人設(shè)置將根據(jù)服務(wù)器環(huán)境不同有所變化。

手動進(jìn)行安全設(shè)置

如果你沒有運(yùn)行WindowsServer2003ServicePack1，那么你將沒有選擇使用安全配置向?qū)У臋C(jī)會。在這種情況下，按照以下設(shè)置選項你可以采用正確的方法，加強(qiáng)文件服務(wù)器的安全性。

使用NTFS(為“NewTechnologyFileSystem”縮寫,意思“新技術(shù)文件系統(tǒng)”)。在Windows中唯一經(jīng)過認(rèn)證的安全模式就是基于NTFS的卷標(biāo)。

打開文件服務(wù)器上唯一需要得端口。為運(yùn)行Windows2000和其它Windows操作系統(tǒng)的用戶進(jìn)行基本文件共享，你將希望打開端口445;為運(yùn)行Windows95,98,Me或NT4.0的用戶，你將希望打開端口137-139。如果你只有一個文件服務(wù)器，那么你不需要打開任何其它服務(wù)器端口――啟用這些端口很容易遭到攻擊。

啟用服務(wù)器信息塊(ServerMessageBlock，SMB)安全簽名，如果有必要就要求安全簽名。啟用這一選項，對所有文件和打印任務(wù)進(jìn)行數(shù)字簽名是防止中間人攻擊(Man-in-the-middle-attacks，簡稱:MITM攻擊)的有用方法。你可以啟用簽名，WindowsServer2003會在通信中使用，但是如果WindowsServer2003在與老用戶(Windows2000之前的操作系統(tǒng))進(jìn)行通信那么默認(rèn)情況下是無簽名通信。如果你的用戶運(yùn)行Windows2000或以上的操作系統(tǒng)，你可以要求簽名，使Windows安全通信。這一選項可以通過一組注冊密碼，在以下地址進(jìn)行操作：HKEY_LOCAL_MACHINESystemCurrentControlSetServicesLanManServerParameters.

考慮IPsec。IPsec可以管理網(wǎng)絡(luò)上計算機(jī)間的通信活動。如果你的文件服務(wù)器上有高靈敏度數(shù)據(jù)，那么就應(yīng)該考慮使用IPsec，盡管它的管理費(fèi)用驚人而且有較高的配置要求。

啟用目標(biāo)利用審查和優(yōu)先使用。使你清楚的了解誰在利用服務(wù)器上的什么資源，和當(dāng)他們在服務(wù)器上使用了什么安全許可。這會產(chǎn)生追蹤報告，在特定情景中非常有用。在開始菜單，管理工具部分通過微軟管理控制臺的一部分――本地安全策略控制臺啟用審查策略。

創(chuàng)建一個安全模版

還是講以下如果你沒有ServicePack1，那么手動創(chuàng)建一個安全模板也是不錯的選擇，這樣你就可以對公司內(nèi)多個文件服務(wù)器進(jìn)行統(tǒng)一的安全配置。你可以創(chuàng)建一些安全模版，通過將它們添加到微軟管理控制臺窗口保存這些安全模版。

安全配置向?qū)в幸粋€選項，就是將所有安全設(shè)置輸出或通過一個向?qū)ё鰹?inf文件。這樣你可以通過安全配置向?qū)Щ蚱渌椒▽緝?nèi)任何機(jī)器進(jìn)行配置。這是對所有服務(wù)器，不僅是文件服務(wù)器實施統(tǒng)一安全策略的簡便、自動的方法。

總結(jié)：

希望本文介紹的利用安全配置向?qū)岣呶募?wù)器安全性的方法能夠?qū)ψx者有所幫助，更多有關(guān)操作系統(tǒng)的知識還有待于讀者去探索和學(xué)習(xí)。

【編輯推薦】

1. 文件服務(wù)器是否應(yīng)放在DC？
2. 如何通過別名來訪問域內(nèi)文件服務(wù)器？
3. 在服務(wù)器群集節(jié)點如何安裝文件服務(wù)器？
4. 性能損耗?文件服務(wù)器容量工具告訴你為什么
5. 將文件服務(wù)器從2003遷移至Windows Server 2008 R2