2012 R2安全策略經(jīng)驗談

引言： Windows Server 2012 R2中的向?qū)Чぞ逽CW（Security Configuration Wizard）不僅可以指導(dǎo)我們設(shè)置各種安全策略；而且它還可以在實施安全策略過程中發(fā)揮多種作用。

Windows Server 2012 R2中的向?qū)Чぞ逽CW不僅可以指導(dǎo)我們設(shè)置各種安全策略；而且它還可以在實施安全策略過程中發(fā)揮多種作用。首先它可以實施安全策略，具體操作如下：

從Server Manager程序組啟動SCW后，進(jìn)入Configuration Action界面后，選 擇“Apply an existing security policy”（即從現(xiàn)有的安全策略內(nèi)選取），然后瀏覽定位安全策略文件 (.xml)，該文件通常所在位置是： c:windowssecuritymsscwpolicies，下一步，選擇應(yīng)用安全策略的服務(wù)器，此時可以輸入server名稱，也可以通過瀏覽方式從活動目錄AD中選取，然后點擊應(yīng)用即可生效。

如果實施安全策略后效果不佳，我們可以利用SCW中提供的“回滾”（Rollback）功能將其撤銷，具體操作方式是：進(jìn)入SCW的“Configuration Action”頁面，選取“Rollback the last applied security policy”進(jìn)入下一步，選取目標(biāo)服務(wù)器，點擊“View Rollback File”查看策略文件（不妨將其命名為 test.xml），確認(rèn)后即可完成。

從另一方面講，假如該安全策略行之有效，我們可以將其轉(zhuǎn)換為組策略對象 GPO（Group Policy Object）。具體操作：登錄該策略文件.xml所在服務(wù)器的Windows Server 2012 R2系統(tǒng)，進(jìn)入命令行窗口，輸入以下命令：

這樣，新的GPO就出現(xiàn)在AD中，但它尚未連接組織單元OU（Organizational Unit），為此通過Server Manager中工具菜單提供的Group Policy Management即可完成。

有時，我們需要在脫離活動目錄的情況下將策略文件投用到多個服務(wù)器，例如常見的情形是，有些servers此時并不是AD域成員，因而無法用組策略管轄，此時我們依然可以用SCW的命令行版本完成。具體操作：登錄該策略文件.xml所在服務(wù)器的Windows Server 2012 R2系統(tǒng)，在執(zhí)行相關(guān)命令之前，需要編寫一個傳遞該策略文件的服務(wù)器列表的文件（不妨將其命名為machines.xml），內(nèi)容形如 ：

上述命令行參數(shù)“/t:”用于設(shè)置工作線程，“/u:”代表指定遠(yuǎn)程服務(wù)器進(jìn)行審計的用戶賬戶。這樣，我們就完成了對諸多服務(wù)器的安全策略發(fā)布，但為了完善起見，我們有必要了解相關(guān)策略是否成功生效，為此需執(zhí)行以下命令驗證：

上述命令行中的server1代表遠(yuǎn)程的目標(biāo)服務(wù)器名，securitypolicy.xml包含了具體的安全策略，然后就會收到檢驗報告，知道結(jié)果了。