Podemos usar SCW para crear y comprobar, con bastante rapidez, directivas de seguridad para varios servidores desde un único equipo. Esta capacidad nos permite gestionar directivas en toda la empresa desde un mismo sitio. Las directivas nos proporcionan consistencia y medidas soportadas de fortificación que son apropiadas para las funciones que desempeñan cada servidor dentro de la empresa. Si usamos SCW para la creación y comprobación de las directivas deberíamos desplegar SCW a todos los servidores elegidos. Aunque creemos la directiva en una estación, SCW intentará comunicarse con los servidores elegidos para inspeccionar su configuración y afinar la directiva resultante.
SCW está integrado con los subsistemas IPsec y Windows Firewall y modificara sus ajustes adecuadamente. A menos que se evite, SCW configurará Windows Firewall para permitir tráfico de red de entrada a los puertos que requiere el sistema, así como a las aplicaciones que se encuentren a la escucha (listenning). Si se necesitan más filtrados de puertos, SCW puede crearlos. Por consiguiente, las directivas hechas con SCW necesitan la personalización de scripts para ajustar o modificar filtros IPsec para bloquear tráfico indeseado. Esta capacidad simplifica la administración de la fortificación de la red. La configuración de filtros de red para servicios que usan RPC o puertos dinámicos pueden simplificarse.
SCW proporciona además la capacidad de personalizar significativamente las directivas que creamos. Esta flexibilidad nos ayuda en la creación de una configuración que permite una funcionalidad necesaria pero que también reduce los riesgos de seguridad. Como suma a los comportamientos y ajustes básicos, podemos sobreescribir las siguientes áreas:
- Servicios
- Puertos de red
- Excepciones de aplicación de Windows Firewall
- Ajustes del registro
- Ajustes de IIS
- Inclusión de plantillas de seguridad pre-existentes.(archivos .inf)
SCW nos advierte sobre algunos de los más importantes ajustes del registro. Para reducir la complejidad de la herramienta, sus diseñadores eligieron incluir tan sólo aquéllos ajustes que tienen gran impacto en seguridad. Sin embargo, la guía discute muchos más ajustes del registro. Para superar las limitaciones de esta herramienta podemos combinar plantillas de seguridad con los resultados obtenidos desde SCW para crear una configuración más completa.
Cuando usemos SCW para crear una directiva nueva ésta se basa en la configuración actual del servidor como configuración inicial. Por eso, debemos elegir un servidor del mismo tipo como aquéllos a los que deseamos implantar la directiva que vamos a crear. El GUI de SCW nos crea un archivo XML y lo guarda de manera predefinida en %systemdir%securitymsscwPolicies. Después de crear nuestras directivas, podemos usan tanto el GUI como la línea de comandos para aplicarlas a los servidores de comprobación.
Cuando vayamos a probar las directivas puede que existan otras en uso, podemos quitarlas mediante SCW o la línea de comandos con lo que se guardará en un archivo XML la configuración previa.