通过安全配置向导 (SCW) 可以创建、编辑和应用安全策略。如果安全策略无法正常工作,还可以回滚您上一次应用的安全策略。

SCW 包含一个命令行工具 Scwcmd,可以用于执行各种任务。有关详细信息,请访问 https://go.microsoft.com/fwlink/?LinkId=92612

创建新的安全策略

可以创建安全策略,以配置服务、具有高级安全性的 Windows 防火墙、审核策略设置以及特定的注册表设置。安全策略是一个可以使用 SCW 编辑和应用的 .xml 文件。可以使用 Scwcmd 命令行工具将策略加入组策略对象 (GPO)。启动了 SCW 之后,不必完成同一个会话中的所有部分。若要跳过部分,在每个未完成的部分的开头选中“跳过这一部分”复选框,再保存策略,以后使用 SCW 编辑策略。如果在部分配置了某个部分之后选中“跳过这一部分”复选框,则不会保存或应用您的更改。在编辑安全策略并配置跳过部分的设置之前,这些设置将保持未定义。

编辑现有安全策略

可以编辑已使用 SCW 创建的安全策略。只有先单击“编辑现有安全策略”,才能浏览到要编辑的安全策略的位置。您编辑的策略可以存储在本地,也可以存储在网络上。可以使用 SCW 编辑文件扩展名为 .xml 的策略。扩展名为 .inf 的安全模板不能使用 SCW 进行编辑。

不支持手动编辑安全策略。必须使用 SCW 编辑已使用 SCW 创建的安全策略。

应用现有安全策略

使用 SCW 创建了安全策略之后,可以将其应用于测试服务器或生产环境。可以使用 Scwcmd 命令行工具将同一个策略应用于多台服务器。可以使用 scwcmd transform 命令创建 GPO。使用 SCW 只能应用 .xml 格式的安全策略。

如果所选服务器是 Active Directory 域的成员,则基于域的 GPO 安全策略通常会覆盖直接通过 SCW 设置的注册表设置。为了避免出现这种情况,可以使用 scwcmd transform 创建一个 GPO,并通过 Active Directory 域服务 (AD DS) 应用该 GPO。

有关使用 SCW 配置的注册表值的详细信息,请参阅注册表设置

重要

强烈建议您先测试新创建的或已修改的安全策略,然后再将其应用于生产环境。通过测试,可以最大程度地降低新策略在生产环境中导致意外行为(例如兼容性问题)的可能性。

回滚上一次应用的安全策略

如果您使用 SCW 应用了某个安全策略,导致服务器功能受到影响或导致其他意外的结果,则可以回滚该安全策略,使其不再应用于服务器。但是,如果在应用策略之后,在本地安全策略中编辑了该策略,更改将无法回滚,并将保留在当前配置中。

对于服务和注册表值,回滚过程将还原在配置过程中更改的设置。对于具有高级安全性的 Windows 防火墙,回滚过程将删除任何当前生效的 SCW 策略,并应用在配置时生效的前一个策略。