2012 R2安全策略经验谈
2016-11-26
引言: Windows Server 2012 R2中的向导工具SCW(Security Configuration Wizard)不仅可以指导我们设置各种安全策略;而且它还可以在实施安全策略过程中发挥多种作用。
Windows Server 2012 R2中的向导工具SCW不仅可以指导我们设置各种安全策略;而且它还可以在实施安全策略过程中发挥多种作用。首先它可以实施安全策略,具体操作如下:
从Server Manager程序组启动SCW后,进入Configuration Action界面后,选 择“Apply an existing security policy”(即从现有的安全策略内选取),然后浏览定位安全策略文件 (.xml),该文件通常所在位置是: c:windowssecuritymsscwpolicies,下一步,选择应用安全策略的服务器,此时可以输入server名称,也可以通过浏览方式从活动目录AD中选取,然后点击应用即可生效。
如果实施安全策略后效果不佳,我们可以利用SCW中提供的“回滚”(Rollback)功能将其撤销,具体操作方式是:进入SCW的“Configuration Action”页面,选取“Rollback the last applied security policy”进入下一步,选取目标服务器,点击“View Rollback File”查看策略文件(不妨将其命名为 test.xml),确认后即可完成。
从另一方面讲,假如该安全策略行之有效,我们可以将其转换为组策略对象 GPO(Group Policy Object)。具体操作:登录该策略文件.xml所在服务器的Windows Server 2012 R2系统,进入命令行窗口,输入以下命令:
这样,新的GPO就出现在AD中,但它尚未连接组织单元OU(Organizational Unit),为此通过Server Manager中工具菜单提供的Group Policy Management即可完成。
有时,我们需要在脱离活动目录的情况下将策略文件投用到多个服务器,例如常见的情形是,有些servers此时并不是AD域成员,因而无法用组策略管辖,此时我们依然可以用SCW的命令行版本完成。具体操作:登录该策略文件.xml所在服务器的Windows Server 2012 R2系统,在执行相关命令之前,需要编写一个传递该策略文件的服务器列表的文件(不妨将其命名为machines.xml),内容形如 :
上述命令行参数“/t:”用于设置工作线程,“/u:”代表指定远程服务器进行审计的用户账户。这样,我们就完成了对诸多服务器的安全策略发布,但为了完善起见,我们有必要了解相关策略是否成功生效,为此需执行以下命令验证:
上述命令行中的server1代表远程的目标服务器名,securitypolicy.xml包含了具体的安全策略,然后就会收到检验报告,知道结果了。