[url]http://www.microsoft.com/china/technet/security/prodtech/windowsserver2003/w2003hg/sgch00.mspx?pf=true[/url]
更新日期： 2006年07月17日

更新的《Windows Server 2003 安全指南》就如何在三种不同的企业环境中强化运行 Microsoft® Windows Server™ 2003 SP1 的计算机提供了特定建议。在第一种环境中，必须支持 Windows NT® 4.0 和 Windows® 98 之类的旧操作系统；在第二种环境中，所使用的最早 Windows 操作系统版本为 Windows 2000；在第三种环境中，安全问题受到极大关注，为了获得最高的安全性，即使客户端功能和管理功能显著减少也可以接受。在整个指南中，这三种环境分别称为旧客户端 (LC)、企业客户端 (EC) 和专用安全 – 限制功能 (SSLF) 环境。

针对截然不同的服务器角色提供了有关如何强化这三种环境中的计算机的指导。描述的对策和提供的工具假定每台服务器都具有单个角色。如果需要组合您的环境中某些服务器的角色，则可以自定义本指南的可下载版本中包括的安全模板，以创建服务和安全选项的适当组合。本指南中引用的服务器角色包括：

• 也提供 DNS 服务的域控制器

• 提供 WINS 和 DHCP 服务的基础结构服务器

• 文件服务器

• 打印服务器

• 运行 Microsoft Internet 信息服务 (IIS) 的 Web 服务器

• Internet 身份验证服务 (IAS) 服务器

• 证书服务服务器

• 堡垒主机

我们对本指南进行了合理的组织，以便用户能够方便地访问其信息。因此，用户可以快速地定位并决定适用于组织中计算机的设置。虽然本指南面向企业客户，但其中包含的许多信息适合任何规模的组织。

为了从本资料中获取最大益处，需要阅读整个指南。您也可以参考附加指南威胁和对策：Windows Server 2003 和 Windows XP 的安全设置，网址为 [url]http://www.microsoft.com/china/technet/security/guidance/secmod48.mspx[/url]。

本页内容
本指南的目标读者
指南概述
相关资源
向我们提供您的反馈意见
咨询和支持服务

本指南的目标读者
本指南主要面向负责 Windows Server 2003 的应用程序或基础结构开发和部署的规划阶段的顾问、安全专家、系统结构设计人员和 IT 专业人员。本指南不面向家庭用户。

安全专家和 IT 设计人员可能需要有关本指南中所述的安全设置的更为详细的信息。有关详细信息，请参阅附加指南威胁和对策：Windows Server 2003 和 Windows XP 中的安全设置，网址为 [url]http://www.microsoft.com/china/technet/security/guidance/secmod48.mspx[/url]。

返回页首
指南概述
第 1 章：《Windows Server 2003 安全指南》简介
本章对《Windows Server 2003 安全指南》作了总体概括，并包括每章的简要概述。它还描述了旧客户端、企业客户端和专用安全 - 限制功能环境以及在其中运行的计算机。

第 2 章：Windows Server 2003 强化机制
本章概述了用于强化该指南中的 Windows Server 2003 SP1 的主要机制 – 安全配置向导 (SCW) 和 Active Directory 组策略。它解释 SCW 如何提供交互式框架来创建、管理和测试适用于服务器角色各不相同的 基于 Windows Server 2003 的计算机的安全策略。它还在第 1 章介绍的三种环境的上下文中对 SCW 的功能进行了评估。

本章的后一部分提供了有关 Active Directory 设计、组织单位 (OU) 设计、组策略对象 (GPO)、管理组设计和域策略的高级描述。这些主题以第 1 章介绍的三种环境为背景介绍，旨在提供有关理想的安全结束状态环境的设想。

本章结束时详细介绍了本指南如何组合 SCW 和传统基于 GPO 的方法的最佳功能来强化 Windows Server 2003 SP1。

第 3 章：域策略
本章解释了适用于第 1 章描述的三种环境中域级策略的安全模板设置和附加对策。本章没有重点介绍任何特定的服务器角色，只是着重说明对顶级域策略非常有用的特定策略和设置。

第 4 章：成员服务器基准策略
本章重点介绍如何为本指南稍后讨论的服务器角色建立成员服务器基准策略 (MSBP)。

第 5 章：域控制器基准策略
在任何包含运行 Windows Server 2003 SP1 的计算机的 Active Directory 环境中，域控制器服务器角色是要保护的最重要角色之一。域控制器若丢失或遭到破坏，就会严重影响依赖域控制器进行身份验证的客户端计算机、服务器和应用程序，组策略以及中央轻型目录访问协议 (LDAP) 目录。在本指南定义的三种环境中，域控制器还提供 DNS 服务。

第 6 章：基础结构服务器角色
在本章中，基础结构服务器角色是提供 DHCP 或 WINS 服务的服务器角色。提供了相关详情，介绍环境中的 Windows Server 2003 SP1 基础结构服务器如何受益于成员服务器基准策略 (MSBP) 未应用的安全设置。

第 7 章：文件服务器角色
本章重点介绍如何强化充当文件服务器的计算机以及为何强化这类服务器是棘手的难题。文件服务器提供的最基本服务需要与 Windows NetBIOS 相关的协议以及服务器消息块 (SMB) 和通用 Internet 文件系统 (CIFS) 协议。SMB 和 CIFS 协议通常用于向经过身份验证的用户提供访问，但是，如果未得到适当的保护，它们也会向未通过身份验证的用户或***者透露大量信息。由于此威胁，这些协议在高度安全的环境中往往是禁用的。本章介绍了运行 Windows Server 2003 SP1 的文件服务器如何受益于未被 MSBP 应用的安全设置。

第 8 章：打印服务器角色
本章重点介绍打印服务器。类似文件服务器，打印服务器提供的最重要服务需要与 Windows NetBIOS 相关的协议以及 SMB 和 CIFS 协议。如前所述，SMB 和 CIFS 协议在高度安全的环境中往往是禁用的。本章介绍了如何使用未被 MSBP 所应用的方法来强化 Windows Server 2003 SP1 打印服务器安全设置。

第 9 章：Web 服务器角色
本章介绍了网站和应用程序的总体安全性如何依赖于整个 IIS 服务器（包括在 IIS 服务器上运行的各个网站和应用程序）以避免来自环境中客户端计算机的威胁。网站和应用程序还须防范来自同一 IIS 服务器上其他网站和应用程序的威胁。本章介绍了确保在您的环境中运行 Windows Server 2003 SP1 的 IIS 服务器上实施这些措施的做法。

第 10 章：IAS 服务器角色
Internet 身份验证服务器 (IAS) 提供远程身份验证拨入用户服务 (RADIUS)，它是一种基于标准的身份验证协议，旨在验证远程访问网络的客户端的身份。本章介绍了运行 Windows Server 2003 SP1 的 IAS 服务器如何受益于未被 MSBP 应用的安全设置。

第 11 章：证书服务服务器角色
证书服务提供了在服务器环境中建立公钥基础结构 (PKI) 所需的加密和证书管理服务。本章介绍了运行 Windows Server 2003 SP1 的证书服务服务器如何受益于未被 MSBP 应用的安全设置。

第 12 章：堡垒主机角色
堡垒主机服务器可供来自 Internet 的客户端计算机访问。本章说明了公共系统为何容易受到大量在需要时仍保持完全匿名的用户的***。由于许多组织不将其域基础结构扩展到 Internet，本章重点介绍如何强化运行 Windows Server 2003 SP1 但不属于基于 Active Directory 的域的独立计算机。

第 13 章：结论
本指南的最后一章简要总结前几章中提供的材料。

附录 A：安全工具和格式
虽然《Windows Server 2003 安全指南》重点介绍如何使用 SCW 来创建随后可转换为安全模板和组策略对象的策略，但仍可以使用其他各种工具和数据格式来补充或替换此方法。本附录提供了这些工具和格式的短列表。

附录 B：需要考虑的关键设置
《Windows Server 2003 安全指南》论述了许多安全对策和安全设置，但是了解少量安全对策和安全设置尤其重要。本附录论述会对运行 Windows Server 2003 SP1 的计算机的安全产生最大影响的设置。

附录 C：安全模板设置摘要
本附录介绍了本指南的可下载版本中工具和模板附带的 Microsoft Excel® 电子表格“Windows Server 2003 安全指南设置”，网址为 [url]http://go.microsoft.com/fwlink/?LinkId=14846[/url]。此电子表格以紧凑、实用形式提供了本指南中定义的三种环境的所有建议设置的全面高级参考。

附录 D：测试《Windows Server 2003 安全指南》
《Windows Server 2003 安全指南》提供了有关如何强化运行 Windows Server 2003 SP1 的服务器的大量信息，但是我们不断提醒读者：在生产环境中实施任何设置之前一定要对所有设置进行测试和验证。

本附录提供有关如何创建合适的测试实验室环境的指导，该环境可帮助确保在生产环境中成功实施建议设置。它帮助用户执行必需的验证并最小化执行类似工作所需的资源量。

工具和模板
本指南的可下载版本附带了安全模板、脚本和其他工具的集合，使得您的组织可以更轻松地评估、测试和实施建议的对策。安全模板是文本文件，可以导入至基于域的组策略中，或者在本地使用 Microsoft 管理控制台 (MMC) 安全配置和分析管理单元来应用。第 2 章“Windows Server 2003 强化机制”详细介绍了这些过程。本指南附带的脚本包括用于创建和链接组策略对象的脚本以及用于测试建议对策的测试脚本。

返回页首
相关资源
有关本指南中规定的安全设置的其他信息，请下载附加指南威胁和对策：Windows Server 2003 和 Windows XP 中的安全设置（网址为 [url]http://go.microsoft.com/fwlink/?LinkId=15160[/url]）和 Windows XP 安全指南（网址为 [url]http://go.microsoft.com/fwlink/?LinkId=14840[/url]）。Microsoft Solutions for Security and Compliance (MSSC) 小组提供的其他安全解决方案的网址为 [url]www.microsoft.com/technet/community/columns/sectip/st0805.mspx[/url]。

返回页首
向我们提供您的反馈意见
Microsoft Solutions for Security and Compliance (MSSC) 小组欢迎您提供有关此解决方案以及其他解决方案的想法。

有意见吗？请在 IT 专业人员的安全解决方案网络日志上告诉我们。

或者通过电子邮件将反馈发送到以下地址：[email]SecWish@microsoft.com[/email]。我们通常会响应发送到此邮箱的反馈。

我们期待着您的反馈。

返回页首
咨询和支持服务
有许多服务可有助于组织的安全活动。使用以下链接可以帮助您找到所需的服务：

对于 Microsoft 金牌服务认证伙伴、Microsoft 技术认证培训中心、Microsoft 认证伙伴以及独立软件供应商 (ISV) 提供的使用 Microsoft 技术的产品，应在以下网址搜索 Microsoft Resource Directory：[url]http://go.microsoft.com/fwlink/?LinkId=43094[/url]。