Friday, January 25, 2008

Windows Server 2003: Security Configuration Wizard

การใช้งาน Windows Server 2003 Security Configuration Wizard (SCW)
Security Configuration Wizard นั้น จะไม่ได้ถูกติดตั้งโดยดีฟอลท์ ดังนั้นจะต้องทำการติดตั้ง Security Configuration Wizard ตามขั้นตอนดังนี้

1. ใส่แผ่น Windows Server 2003 Setup CD เข้าในไดรฟ์ CD-ROM
2. คลิก Start คลิก Control Panel
3. ในหน้าต่าง Control Panel คลิก Add or Remove Programs
4. ในหน้าต่าง Add or Remove Programs คลิก Add/Remove windows Components
5. ในหน้าไดอะล็อกบ็อกซ์ Windows Components Wizard ให้คลิกเลือก Security Configuration Wizard เสร็จแล้วคลิก Next
6. ในหน้าไดอะล็อกบ็อกซ์ Windows Components Wizard ถัดไปให้คลิก Finish
7. ปิดหน้าต่าง Control Panel

เริ่มต้นใช้งาน Security Configuration Wizard
หลังจากทำการติดตั้ง Security Configuration Wizard เสร็จแล้ว ให้ตามขั้นตอนดังนี้

1. คลิก Start คลิก Administrative Tools คลิก Security Configuration Wizard
2. ในหน้าไดอะล็อกบ็อกซ์ Security Configuration Wizard ให้คลิก Next
3. ในหน้าไดอะล็อกบ็อกซ์ Security Configuration Wizard:Configuration Action ในตัวเลือกด้านล่าง Select the action you want to perform ให้เลือก Create a new security policy


Create a new security policy

4. ในหน้าไดอะล็อกบ็อกซ์ Security Configuration Wizard:Select Server ในช่องว่างด้านล่าง Server (use DNS name, NetBIOS name or IP address) ให้ใส่ชื่อเครื่องเซิร์ฟเวอร์หรือหมายเลขไอพีสร็จแล้วคลิก Next แล้วรอจนการทำงานแล้วเสร็จ


Server

5. ในหน้าไดอะล็อกบ็อกซ์ Security Configuration Wizard:Processing Security Configuration Database ให้คลิก Next (หากต้องการดูรายละเอียดของดาต้าเบสที่ใช้ในการคอนฟิกให้คลิกที่ View Configuration Database)
6. ในหน้าไดอะล็อกบ็อกซ์ Security Configuration Wizard:Role-Based Service Configuration ให้คลิก Next
7. ในหน้าไดอะล็อกบ็อกซ์ Security Configuration Wizard:Select Server Roles ในดร็อปดาวน์ลิสด้านขวามือ View ให้เลือกเป็น Installed roles จากนั้นให้ทำการเลือก Roles ของเซิร์ฟเวอร์จากหัวข้อในช่องด้านล่าง Select the server roles that the selected server performs: เสร็จแล้วคลิก Next


Select Server Roles

8. ในหน้าไดอะล็อกบ็อกซ์ Security Configuration Wizard:Select Client Features ในดร็อปดาวน์ลิสด้านขวามือ View ให้เลือกเป็น Installed features จากนั้นให้ทำการเลือก Features ของเซิร์ฟเวอร์จากหัวข้อในช่องด้านล่าง Select the client features that the selected server performs: เสร็จแล้วคลิก Next


Select Client Features

9. ในหน้าไดอะล็อกบ็อกซ์ Security Configuration Wizard:Select Administration and Other Options ในดร็อปดาวน์ลิสด้านขวามือ View ให้เลือกเป็น Installed options จากนั้นให้ทำการเลือก Options ต่างๆ ที่ใช้ในการจัดการเซิร์ฟเวอร์จากหัวข้อในช่องด้านล่าง Select the options used to administrate the selected server performs: เสร็จแล้วคลิก Next


Select Administration and Other Options

10. ในหน้าไดอะล็อกบ็อกซ์ Security Configuration Wizard:Select Additional Services ให้เลือกเป็น Installed options จากนั้นให้ทำการเลือก Additional Servicesจากหัวข้อในช่องด้านล่าง Select the Additional Services that the selected server requires: เสร็จแล้วคลิก Next


Select Additional Services

11. ในหน้าไดอะล็อกบ็อกซ์ Security Configuration Wizard:Handing Unspecified Services ให้เลือก Do not change the startup mode of the service เสร็จแล้วคลิก Next
12. ในหน้าไดอะล็อกบ็อกซ์ Security Configuration Wizard:Confirm Services Changes ในดร็อปดาวน์ลิสด้านขวามือ View ให้เลือกเป็น Changed services แล้วให้ทำการตรวจสอบคอนฟิกของเซอร์วิสต่างๆ หากไม่ตรงกลับความต้องการให้ย้อนกลับไปแก้ไข หากไม่ต้องการแก้ไขให้คลิก Next
13. ในหน้าไดอะล็อกบ็อกซ์ Security Configuration Wizard:Nerwork Security ให้คลิก Next
14. ในหน้าไดอะล็อกบ็อกซ์ Security Configuration Wizard:Open Ports and Approve Applications ในดร็อปดาวน์ลิสด้านขวามือ View ให้เลือกเป็น All ports จากนั้นให้ทำการเลือกพอร์ตที่ต้องการเปิดจากหัวข้อในช่องด้านล่าง Select the ports to open: เสร็จแล้วคลิก Next


Open Ports and Approve Applications

15. ในหน้าไดอะล็อกบ็อกซ์ Security Configuration Wizard:Confirm Ports Configuration ให้ทำการตรวจสอบคอนฟิกของพอร์ตต่างๆ หากไม่ตรงกลับความต้องการให้ย้อนกลับไปแก้ไข หากไม่ต้องการแก้ไขให้คลิก Next
16. ในหน้าไดอะล็อกบ็อกซ์ Security Configuration Wizard:Registry Settings ให้คลิก Next
17. ในหน้าไดอะล็อกบ็อกซ์ Security Configuration Wizard:Require SMB Security Signatures โดยทั่วไปให้เลือกเฉพาะหัวข้อ All computers that connect to it satisfy the following minimum operating system requirements (ให้เลือกหัวข้อ It has sureplus processor capacity that can used to sign file and print trafic ในกรณีที่แน่ใจว่า CPU สามารถรองรับได้) เสร็จแล้วคลิก Next


Require SMB Security Signatures

18. ในหน้าไดอะล็อกบ็อกซ์ Security Configuration Wizard:Require LDAP Signing เลือกเป็น Windows 2000 Service Pack 3 or Later ในกรณีที่มีสมาชิกเป็น Windows 2000 Service Pack 3 หรือใหม่กว่า เสร็จแล้วคลิก Next
19. ในหน้าไดอะล็อกบ็อกซ์ Security Configuration Wizard:Outbound Authentication Methods ให้เลือกเป็น Domain Accounts เสร็จแล้วคลิก Next


Outbound Authentication Methods

20. ในหน้าไดอะล็อกบ็อกซ์ Security Configuration Wizard:Outbound Authentication using Domain Accounts ให้เลือกเป็น Windows NT 4.0 Service Pack 6a or later Operating System ในกรณีที่ DC ทั้งหมดเป็น Windows NT 4.0 Service Pack 6a ขึ้นไป และหากต้องการซิงโครไนซ์เวลาก็ให้เลือกอ็อปชัน Clock that are syncronized with the selected server clock เสร็จแล้วคลิก Next


Outbound Authentication using Domain Accounts

21. ในหน้าไดอะล็อกบ็อกซ์ Security Configuration Wizard:Registry Settings Summary ให้ทำการตรวจสอบคอนฟิกรีจีสทรีย์ หากไม่ตรงกลับความต้องการให้ย้อนกลับไปแก้ไข หากไม่ต้องการแก้ไขให้คลิก Next
22. ในหน้าไดอะล็อกบ็อกซ์ Security Configuration Wizard:Audit Policy ให้คลิก Next
23. ในหน้าไดอะล็อกบ็อกซ์ Security Configuration Wizard:System Audit Policy ให้เลือกระดับการออดิทที่ต้องการ เสร็จแล้วคลิก Next


System Audit Policy

24. ในหน้าไดอะล็อกบ็อกซ์ Security Configuration Wizard:Audit Policy Summary ให้ทำการตรวจสอบคอนฟิก Audit Policy หากไม่ตรงกลับความต้องการให้ย้อนกลับไปแก้ไข หากไม่ต้องการแก้ไขให้คลิก Next
25. ในหน้าไดอะล็อกบ็อกซ์ Security Configuration Wizard:Internet Information Services ให้คลิก Next (หากไม่มีการให้บริการ IIS ให้คลิก Skip this section)
26. ในหน้าไดอะล็อกบ็อกซ์ Security Configuration Wizard:Select Web Service Extension for Dynamic Content ให้เลือกประเภทของเนื้อหาที่ให้บริการจากหัวข้อในช่องด้านล่าง Select Web Service Extension that the selected server requires: เสร็จแล้วคลิก Next


Select Web Service Extension that the selected server requires

27. ในหน้าไดอะล็อกบ็อกซ์ Security Configuration Wizard:Select the Virtual Directories to Retain ให้เลือก Virtual Directories ที่ต้องการใช้งานบนเว็บเซิร์ฟเวอร์ โดยเลือกจากหัวข้อในช่องด้านล่าง Select the Virtual Directories to Retain on the selected server: เสร็จแล้วคลิก Next


Select the Virtual Directories to Retain

28. ในหน้าไดอะล็อกบ็อกซ์ Security Configuration Wizard:Prevent Anonymous Users from Accessing Files เสร็จแล้วคลิก Next (หากไม่ต้องการอนุญาตให้ Anonymous Users เขียนข้อมูลลงเว็บเซิร์ฟเวอร์ให้เลือกอ็อปชัน Deny Anonymous Users write access to contents files)
29. ในหน้าไดอะล็อกบ็อกซ์ Security Configuration Wizard:IIS Settings Summary ให้ทำการตรวจสอบคอนฟิกต่างๆ หากไม่ตรงกลับความต้องการให้ย้อนกลับไปแก้ไข หากไม่ต้องการแก้ไขให้คลิก Next
30. ในหน้าไดอะล็อกบ็อกซ์ Security Configuration Wizard:Save Security Policy ให้คลิก Next
31. ในหน้าไดอะล็อกบ็อกซ์ Security Configuration Wizard:Security Policy File Name ให้ใส่ชื่อไฟล์ที่ต้องการพร้อมทั้งพาธของโฟลเดอร์ที่จะเก็บไฟล์ในช่อง Security policy file's name และใส่คำอธิบายต่างๆ ในช่อง Description เสร็จแล้วคลิก Next


Security Policy File Name

32. Security Configuration Wizard จะให้เลือกว่าจะทำการบังคับใช้นโยบายในทันทีหรือจะทำการบังคับใช้นโยบายในภายหลัง ให้คลิก OK


Warning Message

33. ในที่นี้จะเลือกเป็น Apply now แล้วคลิก Next


Apply now

34. ในหน้าไดอะล็อกบ็อกซ์ Security Configuration Wizard:Applying Security Policy ให้รอจนการทำงานแล้วเสร็จ จากนั้นให้คลิก Next
35. ในหน้าไดอะล็อกบ็อกซ์ Security Configuration Wizard:Completing the Security Configuration Wizard ให้คลิก Finish


Finish

36. ให้ทำการ Restart เซิร์ฟเวอร์ เพื่อให้การคอนฟิกมีผล

หลังจากทำการรีสตาร์ทเสร็จแล้วให้ทดสอบการทำงานของเครื่องเซิร์ฟเวอร์ หากมีปัญหาก็ให้ทำการรัน Security Configuration Wizard อีกครั้ง และในบางครั้งอาจมีความจำเป็นต้องทำการคอนฟิก Windows Firewall เพิ่มเติมแบบด้วยตนเอง

Keywords: Security Configuration Wizard SCW

© 2008 TWA Blog. All Rights Reserved.

0 Comment: