Kreator konfiguracji zabezpieczeń umożliwia tworzenie, edytowanie i stosowanie zasad zabezpieczeń. Można również wycofywać ostatnio zastosowane zasady zabezpieczeń, jeśli nie działają zgodnie z oczekiwaniami.

Kreator konfiguracji zabezpieczeń zawiera narzędzie wiersza polecenia o nazwie Scwcmd, które może być używane do wykonywania różnych zadań. Aby uzyskać więcej informacji, zobacz https://go.microsoft.com/fwlink/?LinkId=92612 (strona może zostać wyświetlona w języku angielskim).

Tworzenie nowej zasady zabezpieczeń

Można utworzyć zasadę zabezpieczeń dla potrzeb skonfigurowania usług, Zapory systemu Windows z zabezpieczeniami zaawansowanymi, ustawień zasad inspekcji oraz określonych ustawień rejestru. Zasada zabezpieczeń to plik xml, który można edytować i stosować za pomocą Kreatora konfiguracji zabezpieczeń. Zasady można uwzględnić w obiekcie zasad grupy za pomocą narzędzia wiersza polecenia Scwcmd. Po uruchomieniu Kreatora konfiguracji zabezpieczeń nie trzeba wypełniać wszystkich sekcji podczas jednej sesji. Aby pominąć sekcję, wystarczy zaznaczyć pole wyboru Pomiń tę sekcję na początku każdej niewypełnionej sekcji i zapisać zasadę. Później można tę zasadę edytować przy użyciu Kreatora konfiguracji zabezpieczeń. Jeśli pole wyboru Pomiń tę sekcję zostanie zaznaczone po skonfigurowaniu części sekcji, ustawienia nie zostaną zapisane ani zastosowane. Ustawienia w pominiętych sekcjach pozostają niezdefiniowane do momentu edycji zasad zabezpieczeń i skonfigurowania tych ustawień.

Edytowanie zasad zabezpieczeń

Utworzone zasady zabezpieczeń można edytować za pomocą Kreatora konfiguracji zabezpieczeń. Najpierw należy wybrać opcję Edytuj istniejącą zasadę zabezpieczeń, a następnie przejść do lokalizacji, w której znajdują się zasady zabezpieczeń przeznaczone do edycji. Edytowane zasady mogą być przechowywane lokalnie lub w sieci. Kreator konfiguracji zabezpieczeń umożliwia edytowanie zasad z rozszerzeniem nazwy pliku xml. Szablonów zabezpieczeń z rozszerzeniem inf nie można edytować za pomocą Kreatora konfiguracji zabezpieczeń.

Ręczne edytowanie zasad zabezpieczeń nie jest obsługiwane. Zasady zabezpieczeń utworzone za pomocą Kreatora konfiguracji zabezpieczeń można edytować tylko za pomocą tego kreatora.

Stosowanie zasad zabezpieczeń

Zasady zabezpieczeń utworzone za pomocą Kreatora konfiguracji zabezpieczeń można zastosować na serwerze testowym lub w środowisku produkcyjnym. Za pomocą narzędzia wiersza polecenia Scwcmd można zastosować jedną zasadę na wielu serwerach. Do tworzenia obiektów zasad grupy można używać polecenia scwcmd transform. Kreator konfiguracji zabezpieczeń umożliwia stosowanie wyłącznie zasad zabezpieczeń w formacie xml.

Jeśli wybrany serwer jest członkiem domeny usługi Active Directory, zasady zabezpieczeń obiektu zasad grupy oparte na domenie zwykle zastępują ustawienia rejestru skonfigurowane za pomocą Kreatora konfiguracji zabezpieczeń. Aby temu zapobiec, można utworzyć obiekt zasad grupy za pomocą polecenia scwcmd transform i zastosować go za pośrednictwem usług domenowych w usłudze Active Directory (AD DS).

Aby uzyskać więcej informacji na temat wartości rejestru konfigurowanych za pomocą Kreatora konfiguracji zabezpieczeń, zobacz temat Ustawienia rejestru.

Ważne

Nowo utworzoną lub zmodyfikowaną zasadę zabezpieczeń warto przetestować przed zastosowaniem w środowisku produkcyjnym. Dzięki testowaniu można uniknąć nieoczekiwanego zachowania systemu spowodowanego przez nowe zasady (np. problemów związanych ze zgodnością) w środowisku produkcyjnym.

Wycofywanie ostatnio zastosowanej zasady zabezpieczeń

Jeśli za pomocą Kreatora konfiguracji zabezpieczeń zastosowano zasadę zabezpieczeń, która zmniejsza funkcjonalność serwera lub powoduje inne niepożądane działania, zasadę tę można wycofać, aby nie była już stosowana na serwerze. Jeśli jednak zasada po zastosowaniu zostanie poddana edycji przy użyciu zasad zabezpieczeń lokalnych, zmiany nie zostaną wycofane i pozostaną częścią bieżącej konfiguracji.

Proces wycofywania powoduje przywrócenie ustawień usług i wartości rejestru, które zostały zmienione w ramach procesu konfiguracji. W przypadku Zapory systemu Windows z zabezpieczeniami zaawansowanymi proces wycofywania powoduje usunięcie obecnych zasad Kreatora konfiguracji zabezpieczeń i ponowne przypisanie zasad obowiązujących w czasie konfigurowania.