在 Windows Server 2008 Security Resource Kit 一书中，有一章介绍了如何使用服务器和域隔离来确保网络安全。它还讨论了如何使用网络威胁建模来分析网络，以帮助轻松部署服务器隔离。在此过程中，SCW 是一个非常有用的工具。

　　通过选择规则并单击“Edit”(编辑)，您可对提议的规则配置限制。这会将您带入图 6 所示的对话框。这是四个页面中的一个，这些页面可让您对联网规则设置更多的限制。例如，可以要求 IPsec 验证。如果选择此项，您还可以将端口只关联到特定的端点。例如，您可以对其进行配置，以便只允许从特定主机进行远程管理。正如您所见，这是优于“添加角色”和“添加功能向导”的主要优点。

　　图 6 SCW 允许您构建防火墙和 IPsec 规则

　　这种基于所选角色构建连接安全规则的能力有两个重要作用。首先，它为了解服务器都执行哪些任务提供了绝佳的学习机会。您甚至不需要扩建服务器。您只需运行向导，进行不同的选择，然后看一看它们如何影响后续页面上的选项即可。其次，它允许您将非常抽象的端口概念与有关服务的较强逻辑概念联系起来，并完全基于系统实际执行的任务来配置网络限制。

　　正确操作后，这将允许您为服务器设置非常紧凑的配置。在为服务器构建安全策略时，SCW 的“联网”部分毫无疑问是应该花费大部分时间的环节。

　　SCW 的其余部分允许您配置审核和一些注册表设置。这些参数的默认设置对大多数组织而言已经足够，除非您有特殊要求，否则无需做太多改动。

　　创建了策略后，您可以将其保存下来并应用到所使用的计算机中。或者，您也可以将其应用到其他计算机。您还可以使用 scwcmd.exe /transform 命令将您的策略转换为“组策略对象”(GPO)。

　　但是，如果您在策略中包括了计算机特定的设置，这可能会不成功，或者会得到非常奇怪的结果。例如，如果在联网部分中创建包括本地适配器的端点限制，策略将被视为特定于计算机的，将无法成功转换。这是由于这些适配器必须使用 GUID 来指定。一台计算机上的适配器 GUID 换到其他计算机上将变得毫无意义。

　　因此，SCW 通常更适合于在服务器对服务器的基础上作为一种学习工具。对于大的服务器场，可以使用 SCW 作为了解计算机知识和制定基本策略的方法。然后，您可以采用该策略并使用您用来配置服务器的任何工具，如“组策略”或“企业管理系统”(如 Microsoft Systems Center)重新创建它以便进行批量部署。