在 2005 年，Microsoft 发布了 Windows Server 2003 SP1。该 service pack 在 Windows 中引入了第一款基于角色的安全管理工具：安全配置向导 (SCW)。Microsoft 首先希望将 SCW 设计成为一款能够减少受攻击面的工具。其目的是分析您在用计算机实际做些什么，然后自动配置计算机来支持您需要的角色，同时禁用那些没有用到的角色和服务。

　　Windows Server 2008 保留了 SCW，其中使用新角色进行了更新并集成了新的 Windows 防火墙。但是，它仍像过去一样，是一款高级的管理工具。

　　Windows Server 2008 还包括新的基于角色的“服务器管理器”工具及其系列：“添加角色”和“添加功能向导”。在 Windows Server 2008 中，不是采用老式的“添加/删除 Windows 组件”控制面板来添加单个组件，现在您可以使用角色管理工具来配置服务器。

　　“添加角色”和“添加功能向导”被设计用来使用正确的组件配置服务器，以支持所选择的角色。这同时也会对内置的防火墙进行配置，以确保这些角色正常工作。有鉴于此，您可能想知道是否仍有必要使用 SCW。当然，许多管理员将不再需要 SCW。但是，仍有两个群体将 SCW 视为无法替代的工具。第一个群体是偏执的安全人员。他们很欣赏 SCW 能够将安全性提高到一个新水平。

　　您可以把“添加角色”和“添加功能向导”看作是能够选择默认服务器并加以配置以可靠支持所需角色和功能的工具。另一方面，SCW 也是对您的服务器加以配置以仅支持所需角色和功能的工具。SCW 还具有教学效果，可帮助您了解有关如何配置服务器的更多信息。因此，我强烈建议您在使用服务器的补充角色和功能对服务器进行配置后运行 SCW。

　　第二个群体由那些希望了解各种组件之间关系的用户组成。SCW 包含一组 XML 文件，其中记录了角色和功能、服务以及网络端口之间的关系。如果您想了解各种组件的需要，则 SCW 是一个非常有价值的工具。

　　在本专栏中，我将介绍 SCW 的工作原理以及如何用它来保护您的服务器。此外，我还会对 SCW 和“服务器管理器”工具进行比较。

　　安全配置向导概述

　　为了设置此阶段，我想展示一些有关 Windows Server 2008 攻击面的统计信息。在通过添加角色和功能的个人选择来配置服务器之前，它仍具有相当重要的服务空间。默认情况下，Windows Server 2008 有 105 个服务，其中 42 个设置为自动启动、55 个设置为手动启动、8 个被禁用。而在全新安装的 Windows Server 2003 R2 SP2 中，默认情况下会安装 86 个服务，其中 34 个设置为自动启动、32 个设置为按需启动、20 个被禁用。

　　即使在角色隐喻和支持的默认角色减少的情况下，Windows Server 2008 仍有较大的空间，并需要您在强化服务器时特别加以注意。利用 SCW，您可以逐步为特定服务器创建自定义的安全配置。

　　SCW 采用与现有工具完全不同的方法来对服务器进行强化。它通过角色隐喻来配置系统以支持那些角色和少量其他项(如果有的话)。虽然 SCW 可帮助配置防火墙(类似于“添加角色”和“添加功能向导”)，但是 SCW 同时还会禁用不必要的服务并配置一些附加的安全设置。最后，“添加角色”和“添加功能向导”只能安装和配置 Windows 中内置的角色，但 SCW 却是可扩展的。开发人员或管理员可编写自定义的角色或功能配置文件，然后使用 SCW 来配置任何产品。

　　SCW 设计用于在安装了服务器中应具有的所有角色和功能后使用。如果服务器中还有第三方应用程序，则也应该在运行 SCW 前安装它们。

　　为了演示它的工作原理，我已经配置了一个具有三个角色(应用程序服务器、DNS 服务器和 Web 服务器)和两个功能(Microsoft® .NET Framework 3.0 功能和 Windows Process Activation Service)的服务器。这不是一组特别符合逻辑的角色和功能，但却是用来说明本讨论的一个非常好的示例。