Windows Server 2003安全最佳實踐經驗

psac · 2006-05-05, 04:48 PM

Windows Server 2003安全最佳實踐經驗

如果你曾經組態過Windows NT Server或是Windows 2000 Server，你也許發現這些微軟的產品預設並不是最安全的。雖然微軟提供了很多安全機制，但是依然需要你來實現它們。然而當微軟發怖Windows Server 2003的時候，改變了以往的哲學體系。新的理念是，伺服器預設就應該是安全的。這的確是一個不錯的理念，不過微軟貫徹得還不夠徹底。雖然預設的Windows 2003安裝絕對比確省的Windows NT或 Windows 2000安裝安全許多，但是它還是存在著一些不足。下面讓我們來討論如何讓Windows Server 2003更加安全。

　　理解你的角色

　　理解伺服器角色絕對是安全工作中不可或缺的一步。Windows Server可以被組態為多種角色，Windows Server 2003 可以作為域控制器、成員伺服器、基礎設施伺服器、文件伺服器、列印伺服器、IIS伺服器、IAS伺服器、終端伺服器等等。一個伺服器甚至可以被組態為上述角色的組合。

　　現在的問題是每種伺服器角色都有相應的安全需求。例如，如果你姆衿鶻魑狪IS伺服器，那麼你將需要開啟IIS服務。然而，如果伺服器將作為獨立的文件或者列印伺服器，啟用IIS服務則會帶來巨大的安全隱患。

　　我之所以在這裡談到這個的原因是我不能給你一套在每種情況下都適用的步驟。伺服器的安全應該隨著伺服器角色和伺服器環境的改變而改變。

　　因為有很多強化伺服器的方法，所以我將以組態一個簡單但安全的文件伺服器為例來論述組態伺服器安全的可行性步驟。我將努力指出當伺服器角色改變時你將要做的。請諒解這並不是一個涵蓋每種角色伺服器的完全指南。

　　物理安全

　　為了實現真正意義上的安全，你的伺服器必須被放置在一個安全的位置。通常地，這意味著將將伺服器放置在上了鎖的門後。物理安全是相當重要的，因為現有的許多管理和災難恢復工具同樣也可以被黑客利用。任何擁有這樣工具的人都能在物理接入到伺服器的時候攻擊伺服器。唯一能夠避免這種攻擊的方法是將伺服器放置在安全的地點。對於任何角色的Windows Server 2003，這都是必要的。

　　新增基線

　　除了建立良好的物理安全以外，我能給你的最佳建議是，在組態一系列Windows Server 2003的時候，應該確定你的安全需求原則，並立即佈署和執行這些原則。

　　實現這一目的最好的方法是新增一個安全基線(security baseline)。安全基線是我的文件和公認安全性設定的清單。在大多數情況下，你的基線會隨著伺服器角色的不同而產生區別。因此你最好新增幾個不同的基線，以便將它們套用到不同檔案類型的伺服器上。例如，你可以為文件伺服器制定一個基線，為域控制器制定另一個基線，並為IAS伺服器制定一個和前兩者都不同的基線。

　　Windows 2003包含一個叫"安全組態與分析"的工具。這個工具讓你可以將伺服器的當前安全原則與範本文件中的基線安全原則相比較。你可以自行新增這些範本或是使用內建的安全範本。

　　安全範本是一系列關於文本的INF文件，被儲存在%SYSTEMROOT%\SECURITY|TEMPLATES 資料夾下。檢查或更改這些個體範本最簡單的方法是使用管理控制台(MMC)。

　　要開啟這個控制台，在RUN提示下輸入MMC指令，在控制台載入後，選項增加/移除管理單元內容指令，Windows就會顯示增加/移除管理單元列表。點擊"增加"按鈕，你將會看到所有可用管理單元的列表。選項安全範本管理單元，接著依次點擊增加，關閉和驗證按鈕。

　　在安全範本管理單元載入後，你就可以察看每一個安全範本了。在遍歷控制台樹的時候，你會發現每個範本都模仿群組原則的結構。範本名反映出每個範本的用途。例如，HISECDC範本就是一個高安全性的域控制器範本。

　　如果你正在安全組態一個文件伺服器，我建議你從SECUREWS範本開始。在審查所有的範本設定時，你會發現儘管範本能被用來讓伺服器更加安全，但是不一定能滿足你的需求。某些安全性設定可能過於嚴格或過於鬆散。我建議你修改現有的設定，或是新增一個全新的原則。通過在控制台中右擊C:\WINDOWS\Security\Templates資料夾並在目標表單中選項新增範本指令，你就可以輕輕鬆鬆地新增一個新的範本。

　　在新增了符合需求的範本後，回到增加/移除管理單元內容面板，並增加一個安全組態與分析的管理單元。在這個管理單元載入後，右擊"安全組態與分析"容器，接著在結果表單中選項"開啟資料庫"指令，點擊"開啟"按鈕，你可以使用你提供的名稱來新增必要的資料庫。

　　接下來，右擊"安全組態與分析"容器並在快捷表單中選項"匯入範本"指令。你將會看到所有可用範本的列表。選項包含你安全原則設定的範本並點擊開啟。在範本被匯入後，再次右擊"安全組態與分析"容器並在快捷表單中選項"現在就分析電腦"指令。Windows將會提示你寫入錯誤日誌的位置，按鍵輸入文件路徑並點擊"確定"。

　　在這樣的情況下，Windows將比較伺服器現有安全性設定和範本文件裡的設定。你可以通過"安全組態與分析控制台"看到比較結果。每一條群組原則設定顯示現有的設定和範本設定。

　　在你可以檢查差異列表的時候，就是執行關於範本安全原則的時候了。右擊"安全組態與分析"容器並從快捷表單中選項"現在就組態電腦"指令。這一工具將會立即修改你電腦的安全原則，從而匹配範本原則。

　　群組原則實際上是層次化的。群組原則可以被套用到本機電腦等級、站點等級、域等級和OU等級。當你實現關於範本的安全之時，你正在在修改電腦層次的群組原則。其他的群組原則不會受到直接影響，儘管最終原則可能會反映變化，由於電腦原則設定被更進階別的原則所繼承。

修改內建的用戶帳號

　　多年以來，微軟一直在強調最好重新命名Administrator帳號並禁用Guest帳號，從而實現更高的安全。在Windows Server 2003中，Guest 帳號是預設禁用的，但是重新命名Administrator帳號仍然是必要的，因為黑客往往會從Administrator帳號入手開始進攻。

　　有很多工具通過檢查帳號的SID來尋找帳號的真實名稱。不幸的是，你不能改變用戶的SID，也就是說基本上沒有防止這種工具來檢測Administrator帳號真實名稱的辦法。即便如此，我還是鼓勵每個人重新命名Administrator 帳號並修改帳號的描述訊息，有兩個原因:

　　首先，誑橢械男率摯贍懿恢勒飫喙叩拇嬖諢蛘噗換腰褂盟恰F浯危孛鸄dministrator帳號為一個獨特的名稱讓你能更方便的監控黑客對此帳號的進攻。

　　另一個技巧適用於成員伺服器。成員伺服器有他們自己的內建本機管理員帳號，完全獨立於域中的管理員帳號。你可以組態每個成員伺服器使用不同的用戶名和密碼。如果某人猜測出你的本機用戶名和密碼，你肯定不希望他用相同的帳號侵犯其他的伺服器。當然，如果你擁有良好的物理安全，誰也不能使用本機帳號取得你伺服器的權限。

　　服務帳號

　　Windows Server 2003在某種程度上最小化服務帳號的需求。即便如此，一些第三方的應用程式仍然堅持傳統的服務帳號。如果可能的話，盡量使用本機帳號而不是域帳號作為服務帳號，因為如果某人物理上獲得了伺服器的訪問權限，他可能會轉儲伺服器的LSA機密，並洩露密碼。如果你使用域密碼，森林中的任何電腦都可以通過此密碼獲得域訪問權限。而如果使用本機賬戶，密碼只能在本機電腦上使用，不會給域帶來任何威脅。

　　系統服務

　　一個基本原則告訴我們，在系統上執行的程式碼越多，包含漏洞的可能性就越大。你需要關注的一個重要安全原則是減少執行在你伺服器上的程式碼。這麼做能在減少安全隱患的同時增強伺服器的效能。

　　在Windows 2000中，預設執行的服務有很多，但是有很大一部分服務在大多數環境中並派不上用場。事實上，Windows 2000的預設安裝甚至包含了完全操作的IIS伺服器。而在Windows Server 2003中，微軟關閉了大多數不是絕對必要的服務。即使如此，還是有一些有爭議的服務預設執行。

　　其中一個服務是分佈式文件系統(DFS)服務。DFS服務起初被設計簡化用戶的工作。DFS允許管理員新增一個邏輯的區域，包含多個伺服器或分區的資源。對於用戶，所有這些分佈式的資源存在於一個單一的資料夾中。

　　我個人很喜歡DFS，尤其因為它的容錯和可伸縮特性。然而，如果你不準備使用DFS，你需要讓用戶瞭解文件的確切路徑。在某些環境下，這可能意味著更強的安全性。在我看來，DFS的利大於弊。

　　另一個這樣的服務是文件複製服務(FRS)。FRS被用來在伺服器之間複製資料。它在域控制器上是強制的服務，因為它能夠保持SYSVOL資料夾的同步。對於成員伺服器來說，這個服務不是必須的，除非執行DFS。

　　如果你的文件伺服器既不是域控制器，也不使用DFS，我建議你禁用FRS服務。這麼做會減少黑客在多個伺服器間複製惡意文件的可能性。

　　另一個需要注意的服務是Print Spooler服務(PSS)。該服務管理所有的本機和網路列印請求，並在這些請求下控制所有的列印工作。所有的列印操作都離不開這個服務，它也是預設被啟用的。

　　不是每個伺服器都需要列印功能。除非伺服器的角色是列印伺服器，你應該禁用這個服務。畢竟，專用文件伺服器要列印服務有什麼用呢?通常地，沒有人會在伺服器控制台工作，因此應該沒有必要開啟本機或網路列印。

　　我相信通常在災難恢復操作程序中，列印錯誤消息或是事件日誌都是十分必要的。然而，我依然建議在非列印伺服器上簡單的關閉這一服務。

　　信不信由你，PSS是最危險的Windows元件之一。有不計其數的木馬更換其可執行文件。這類攻擊的動機是因為它是統級的服務，因此擁有很高的特權。因此任何侵入它的木馬能夠獲得這些進階別的特權。為了防止此類攻擊，還是關掉這個服務吧

2006-05-05, 04:48 PM	#1
psac 榮譽會員榮譽勳章勳章總數19 UID - 3662 在線等級: 註冊日期: 2002-12-07 住址: 木柵市立動物園文章: 17381 精華: 2 現金: 5253 金幣資產: 33853 金幣	Windows Server 2003安全最佳實踐經驗 Windows Server 2003安全最佳實踐經驗如果你曾經組態過Windows NT Server或是Windows 2000 Server，你也許發現這些微軟的產品預設並不是最安全的。雖然微軟提供了很多安全機制，但是依然需要你來實現它們。然而當微軟發怖Windows Server 2003的時候，改變了以往的哲學體系。新的理念是，伺服器預設就應該是安全的。這的確是一個不錯的理念，不過微軟貫徹得還不夠徹底。雖然預設的Windows 2003安裝絕對比確省的Windows NT或 Windows 2000安裝安全許多，但是它還是存在著一些不足。下面讓我們來討論如何讓Windows Server 2003更加安全。　　理解你的角色　　理解伺服器角色絕對是安全工作中不可或缺的一步。Windows Server可以被組態為多種角色，Windows Server 2003 可以作為域控制器、成員伺服器、基礎設施伺服器、文件伺服器、列印伺服器、IIS伺服器、IAS伺服器、終端伺服器等等。一個伺服器甚至可以被組態為上述角色的組合。　　現在的問題是每種伺服器角色都有相應的安全需求。例如，如果你姆衿鶻魑狪IS伺服器，那麼你將需要開啟IIS服務。然而，如果伺服器將作為獨立的文件或者列印伺服器，啟用IIS服務則會帶來巨大的安全隱患。　　我之所以在這裡談到這個的原因是我不能給你一套在每種情況下都適用的步驟。伺服器的安全應該隨著伺服器角色和伺服器環境的改變而改變。　　因為有很多強化伺服器的方法，所以我將以組態一個簡單但安全的文件伺服器為例來論述組態伺服器安全的可行性步驟。我將努力指出當伺服器角色改變時你將要做的。請諒解這並不是一個涵蓋每種角色伺服器的完全指南。　　物理安全　　為了實現真正意義上的安全，你的伺服器必須被放置在一個安全的位置。通常地，這意味著將將伺服器放置在上了鎖的門後。物理安全是相當重要的，因為現有的許多管理和災難恢復工具同樣也可以被黑客利用。任何擁有這樣工具的人都能在物理接入到伺服器的時候攻擊伺服器。唯一能夠避免這種攻擊的方法是將伺服器放置在安全的地點。對於任何角色的Windows Server 2003，這都是必要的。　　新增基線　　除了建立良好的物理安全以外，我能給你的最佳建議是，在組態一系列Windows Server 2003的時候，應該確定你的安全需求原則，並立即佈署和執行這些原則。　　實現這一目的最好的方法是新增一個安全基線(security baseline)。安全基線是我的文件和公認安全性設定的清單。在大多數情況下，你的基線會隨著伺服器角色的不同而產生區別。因此你最好新增幾個不同的基線，以便將它們套用到不同檔案類型的伺服器上。例如，你可以為文件伺服器制定一個基線，為域控制器制定另一個基線，並為IAS伺服器制定一個和前兩者都不同的基線。　　Windows 2003包含一個叫"安全組態與分析"的工具。這個工具讓你可以將伺服器的當前安全原則與範本文件中的基線安全原則相比較。你可以自行新增這些範本或是使用內建的安全範本。　　安全範本是一系列關於文本的INF文件，被儲存在%SYSTEMROOT%\SECURITY\|TEMPLATES 資料夾下。檢查或更改這些個體範本最簡單的方法是使用管理控制台(MMC)。　　要開啟這個控制台，在RUN提示下輸入MMC指令，在控制台載入後，選項增加/移除管理單元內容指令，Windows就會顯示增加/移除管理單元列表。點擊"增加"按鈕，你將會看到所有可用管理單元的列表。選項安全範本管理單元，接著依次點擊增加，關閉和驗證按鈕。　　在安全範本管理單元載入後，你就可以察看每一個安全範本了。在遍歷控制台樹的時候，你會發現每個範本都模仿群組原則的結構。範本名反映出每個範本的用途。例如，HISECDC範本就是一個高安全性的域控制器範本。　　如果你正在安全組態一個文件伺服器，我建議你從SECUREWS範本開始。在審查所有的範本設定時，你會發現儘管範本能被用來讓伺服器更加安全，但是不一定能滿足你的需求。某些安全性設定可能過於嚴格或過於鬆散。我建議你修改現有的設定，或是新增一個全新的原則。通過在控制台中右擊C:\WINDOWS\Security\Templates資料夾並在目標表單中選項新增範本指令，你就可以輕輕鬆鬆地新增一個新的範本。　　在新增了符合需求的範本後，回到增加/移除管理單元內容面板，並增加一個安全組態與分析的管理單元。在這個管理單元載入後，右擊"安全組態與分析"容器，接著在結果表單中選項"開啟資料庫"指令，點擊"開啟"按鈕，你可以使用你提供的名稱來新增必要的資料庫。　　接下來，右擊"安全組態與分析"容器並在快捷表單中選項"匯入範本"指令。你將會看到所有可用範本的列表。選項包含你安全原則設定的範本並點擊開啟。在範本被匯入後，再次右擊"安全組態與分析"容器並在快捷表單中選項"現在就分析電腦"指令。Windows將會提示你寫入錯誤日誌的位置，按鍵輸入文件路徑並點擊"確定"。　　在這樣的情況下，Windows將比較伺服器現有安全性設定和範本文件裡的設定。你可以通過"安全組態與分析控制台"看到比較結果。每一條群組原則設定顯示現有的設定和範本設定。　　在你可以檢查差異列表的時候，就是執行關於範本安全原則的時候了。右擊"安全組態與分析"容器並從快捷表單中選項"現在就組態電腦"指令。這一工具將會立即修改你電腦的安全原則，從而匹配範本原則。　　群組原則實際上是層次化的。群組原則可以被套用到本機電腦等級、站點等級、域等級和OU等級。當你實現關於範本的安全之時，你正在在修改電腦層次的群組原則。其他的群組原則不會受到直接影響，儘管最終原則可能會反映變化，由於電腦原則設定被更進階別的原則所繼承。修改內建的用戶帳號　　多年以來，微軟一直在強調最好重新命名Administrator帳號並禁用Guest帳號，從而實現更高的安全。在Windows Server 2003中，Guest 帳號是預設禁用的，但是重新命名Administrator帳號仍然是必要的，因為黑客往往會從Administrator帳號入手開始進攻。　　有很多工具通過檢查帳號的SID來尋找帳號的真實名稱。不幸的是，你不能改變用戶的SID，也就是說基本上沒有防止這種工具來檢測Administrator帳號真實名稱的辦法。即便如此，我還是鼓勵每個人重新命名Administrator 帳號並修改帳號的描述訊息，有兩個原因: 　　首先，誑橢械男率摯贍懿恢勒飫喙叩拇嬖諢蛘噗換腰褂盟恰F浯危孛鸄dministrator帳號為一個獨特的名稱讓你能更方便的監控黑客對此帳號的進攻。　　另一個技巧適用於成員伺服器。成員伺服器有他們自己的內建本機管理員帳號，完全獨立於域中的管理員帳號。你可以組態每個成員伺服器使用不同的用戶名和密碼。如果某人猜測出你的本機用戶名和密碼，你肯定不希望他用相同的帳號侵犯其他的伺服器。當然，如果你擁有良好的物理安全，誰也不能使用本機帳號取得你伺服器的權限。　　服務帳號　　Windows Server 2003在某種程度上最小化服務帳號的需求。即便如此，一些第三方的應用程式仍然堅持傳統的服務帳號。如果可能的話，盡量使用本機帳號而不是域帳號作為服務帳號，因為如果某人物理上獲得了伺服器的訪問權限，他可能會轉儲伺服器的LSA機密，並洩露密碼。如果你使用域密碼，森林中的任何電腦都可以通過此密碼獲得域訪問權限。而如果使用本機賬戶，密碼只能在本機電腦上使用，不會給域帶來任何威脅。　　系統服務　　一個基本原則告訴我們，在系統上執行的程式碼越多，包含漏洞的可能性就越大。你需要關注的一個重要安全原則是減少執行在你伺服器上的程式碼。這麼做能在減少安全隱患的同時增強伺服器的效能。　　在Windows 2000中，預設執行的服務有很多，但是有很大一部分服務在大多數環境中並派不上用場。事實上，Windows 2000的預設安裝甚至包含了完全操作的IIS伺服器。而在Windows Server 2003中，微軟關閉了大多數不是絕對必要的服務。即使如此，還是有一些有爭議的服務預設執行。　　其中一個服務是分佈式文件系統(DFS)服務。DFS服務起初被設計簡化用戶的工作。DFS允許管理員新增一個邏輯的區域，包含多個伺服器或分區的資源。對於用戶，所有這些分佈式的資源存在於一個單一的資料夾中。　　我個人很喜歡DFS，尤其因為它的容錯和可伸縮特性。然而，如果你不準備使用DFS，你需要讓用戶瞭解文件的確切路徑。在某些環境下，這可能意味著更強的安全性。在我看來，DFS的利大於弊。　　另一個這樣的服務是文件複製服務(FRS)。FRS被用來在伺服器之間複製資料。它在域控制器上是強制的服務，因為它能夠保持SYSVOL資料夾的同步。對於成員伺服器來說，這個服務不是必須的，除非執行DFS。　　如果你的文件伺服器既不是域控制器，也不使用DFS，我建議你禁用FRS服務。這麼做會減少黑客在多個伺服器間複製惡意文件的可能性。　　另一個需要注意的服務是Print Spooler服務(PSS)。該服務管理所有的本機和網路列印請求，並在這些請求下控制所有的列印工作。所有的列印操作都離不開這個服務，它也是預設被啟用的。　　不是每個伺服器都需要列印功能。除非伺服器的角色是列印伺服器，你應該禁用這個服務。畢竟，專用文件伺服器要列印服務有什麼用呢?通常地，沒有人會在伺服器控制台工作，因此應該沒有必要開啟本機或網路列印。　　我相信通常在災難恢復操作程序中，列印錯誤消息或是事件日誌都是十分必要的。然而，我依然建議在非列印伺服器上簡單的關閉這一服務。　　信不信由你，PSS是最危險的Windows元件之一。有不計其數的木馬更換其可執行文件。這類攻擊的動機是因為它是統級的服務，因此擁有很高的特權。因此任何侵入它的木馬能夠獲得這些進階別的特權。為了防止此類攻擊，還是關掉這個服務吧
	__________________
	送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次

Google 提供的廣告