使用安全配置向导配置审核策略

Windows Server 的安全性在过去十年中得到了显着改善，可与基于 Unix 的操作系统相媲美，而传统上人们认为后者比 Windows 更安全。这项工作大部分归功于臭名昭著的 Vista 重置，微软将资源投入到 Windows XP Service Pack 3 中，并推迟了后来的 Windows Vista 的发布。在此期间，微软还采用了安全开发生命周期（SDL），这是一个构建安全软件并满足监管合规标准的流程。

但这并不是说 Windows 不能立即得到进一步的保护，如果您是一位拥有丰富经验的 IT 专业人员，这不一定是问题。但资源有限的小型企业有时需要帮助，这就是安全配置向导 (SCW) 的用武之地。该工具分析本地服务器，包括应用程序、服务和使用的端口等，然后指导用户完成整个过程为服务器生成安全策略，该策略可以在本地应用，也可以导出以在其他服务器上使用。

安全配置向导

在服务器上使用 SCW 之前，您应该始终测试打算在实验室环境中应用的任何安全策略，因为安全配置更改可能会阻止应用程序按预期工作，或阻止用户登录。此外，在更改安全设置之前，请确保您有服务器备份并且已经测试了恢复过程。

使用本地管理员帐户登录 Windows Server 2012 R2，然后打开服务器管理器。您可以通过“开始”屏幕上的图标启动服务器管理器，或者使用桌面任务栏。

• 从服务器管理器的“工具”菜单中选择“安全配置向导”。
• 在欢迎屏幕上单击下一步。
• 在“配置操作”屏幕上，选中“创建新的安全策略”，然后单击“下一步”。
• 在“选择服务器”屏幕上，单击“下一步”。本地服务器名称应该已经显示。

SCW 现在将处理本地安全数据库。如果您想查看当前设置，可以单击“查看配置数据库”。

• 单击下一步继续。单击“基于角色的服务配置”上的“下一步”
• 在“选择服务器角色”屏幕上，检查服务器上安装的服务器角色。请注意，SCW 会检测安装了哪些角色，因此原则上您不需要手动检查任何其他服务器角色。完成后，点击下一步。
• 在选择客户端功能、选择管理和其他选项和选择附加服务上重复此过程
• 在“处理未指定的服务”屏幕上，您可以选择是保持这些服务的启动模式不变，还是禁用它们。如果您不确定，我建议您选中“不要更改服务的启动模式”，然后单击下一步。
• 在“确认服务更改”屏幕上，您可以查看每个服务的当前启动类型，并将其与 SCW 正在创建的策略中设置的内容进行比较。单击下一步继续。
• 单击“网络安全”上的“下一步”
• 在“网络安全规则”屏幕上，查看所选规则，然后单击“下一步”。
• 单击“注册表设置”上的“下一步”
• 通过选中“需要 SMB 安全签名”屏幕上的相应框来回答问题，然后单击“下一步”。这将自动在注册表中设置 NTLM 配置。
• 在需要 LDAP 签名、出站身份验证方法和使用域帐户出站身份验证屏幕上执行相同的操作，然后单击下一步 >。

• 查看“注册表设置摘要”屏幕上的注册表设置，然后单击
• 单击审核策略上的“下一步”
• 在“系统审核策略”屏幕上，从三个审核目标之一中进行选择，然后单击“下一步”。

• 查看审核策略摘要中的审核策略 请注意，您还可以选择设置系统访问控制列表 (SACLS) 以审核文件系统的访问。如果选择此选项，则无法使用 SCW 回滚。单击下一步继续。
• 在“保存安全策略”屏幕上，单击“下一步”继续。
• 在“安全策略文件名”屏幕上，为策略指定名称和可选说明。您还可以查看策略，并包括使用 .inf 安全模板配置的任何其他设置。单击下一步继续。

• 最后，在“应用安全策略”屏幕上，选择“稍后应用”或“立即应用”，然后单击“如果您选择稍后应用” >，您需要重新运行向导以将策略应用到本地设备。
• 单击完成关闭 SCW。

如果您需要编辑刚刚创建的策略、应用它或回滚已应用的策略，请再次启动 SCW 并在“配置操作”屏幕上选择适当的选项。