使用安全性設定精靈 (SCW),您可以建立、編輯以及套用安全性原則。當套用的安全性原則運作不如預期時,也可以用來復原上一個安全性原則。
SCW 包含命令列工具 Scwcmd,您可以用來執行各種工作。如需相關資訊,請參閱
建立新的安全性原則
您可以建立安全性原則,用來設定服務、具有進階安全性的 Windows 防火牆、稽核原則設定以及特定的登錄設定。安全性原則是 .xml 檔案,可以用 SCW 進行編輯及套用。可以使用 Scwcmd 命令列工具將原則套用至群組原則物件 (GPO)。啟動 SCW 之後,不需要在同一個工作階段完成所有區段。若要略過區段,請在每個未完成的區段一開頭選取 [略過此區段] 核取方塊、儲存原則,稍後再使用 SCW 編輯原則。如果您設定了部分區段之後才選取 [略過此區段] 核取方塊,則所做的變更不會儲存或套用。略過區段中的設定會維持未定義,直到您編輯安全性原則並進行這些設定。
編輯現有的安全性原則
您可以編輯已使用 SCW 建立的安全性原則。您必須先按一下 [編輯現存的安全性原則],才能瀏覽至您想要編輯之安全性原則的位置。編輯的原則可以儲存在本機或網路上。您可以使用 SCW 編輯具有 .xml 副檔名的原則。具有 .inf 副檔名的安全性範本,不能用 SCW 編輯。
不支援手動編輯安全性原則。您必須使用 SCW 才能編輯已使用 SCW 建立的安全性原則。
套用現有的安全性原則
以 SCW 建立安全性原則之後,可以將原則套用至測試伺服器或實際執行環境。您可以使用 Scwcmd 命令列工具,將相同原則套用至多部伺服器。可以使用 scwcmd transform 命令來建立 GPO。只有 .xml 格式的安全性原則可以用 SCW 套用。
如果選取的伺服器是 Active Directory 網域的成員,則網域型 GPO 安全性原則一般都會覆寫透過 SCW 直接設定的登錄設定。若要防止這種情形,您可以使用 scwcmd transform 建立 GPO,然後透過 Active Directory 網域服務 (AD DS) 套用 GPO。
如需使用 SCW 設定之登錄值的相關資訊,請參閱登錄設定。
重要 | |
強烈建議您在將新建立或修改過的安全性原則套用至實際執行的環境之前,先進行測試。測試可以減少新原則造成未預期行為的可能性,例如在實際執行環境中的相容性問題。 |
復原上次套用的安全性原則
如果您以 SCW 套用的安全性原則造成伺服器功能減損或其他不想要的結果,您可以復原安全性原則,讓該原則不再套用至伺服器。但是,如果在套用原則之後,曾在「本機安全性原則」中編輯過原則,則這些變更無法復原,且會維持目前的設定。
至於服務和登錄值,復原處理程序會還原在設定處理期間變更的設定。至於 [具有進階安全性的 Windows 防火牆],復原處理程序會移除任何目前的 SCW 原則,並套用設定時所採行的上一個原則。