本模塊內(nèi)容
本模塊解釋專門用于堡壘主機的安全模板配置。堡壘主機是一種安全但可供公共訪問的計算機,它位于外圍網(wǎng)絡的面向公眾的一端。堡壘主機通常用作 Web 服務器、域名系統(tǒng) (DNS) 服務器、文件傳輸協(xié)議 (FTP) 服務器、簡單郵件傳輸協(xié)議 (SMTP) 服務器和網(wǎng)絡新聞傳輸協(xié)議 (NNTP) 服務器。本模塊引用“Windows Server 2003 Security”(英文)中所包含成員服務器基準中的設置。此外,本模塊還將考慮除安全模板定義的那些配置以外還必須應用的額外安全配置設置。要創(chuàng)建完全強化的堡壘主機,需要使用這些附加設置。本模塊還包括有關如何使用安全配置和分析工具應用安全模板的說明。
目標
使用本模塊可以:
• |
強化堡壘主機。 |
• |
調(diào)查堡壘主機的相應安全配置。 |
適用范圍
本模塊適用于下列產(chǎn)品和技術:
• |
Microsoft® Windows Server™ 2003 操作系統(tǒng) |
• |
堡壘主機 |
如何使用本模塊
使用本模塊可以了解應該應用于堡壘主機并強化此類獨立服務器的的安全設置。本模塊結(jié)合使用特定于角色的安全模板和基準安全模板。這些安全模板來自“Windows Server 2003 Security Guide”,其網(wǎng)址為:http://go.microsoft.com/fwlink/?LinkId=14846(英文)。
為了更好地理解本模塊的內(nèi)容,請:
• |
閱讀模塊 Windows Server 2003 安全性簡介。此模塊解釋了“Windows Server 2003 安全指南”(英文)的目的和內(nèi)容。 | ||
• |
閱讀模塊創(chuàng)建 Windows Server 2003 服務器的成員服務器基準。此模塊演示組織單位層次結(jié)構的使用以及將成員服務器基準應用到多個服務器的組策略。 | ||
• |
使用附帶的“如何”文章。使用本模塊引用的以下指導性文章:
|
概述
本模塊關注強化環(huán)境中的堡壘主機。堡壘主機是安全但可公開訪問的計算機。堡壘主機位于外圍網(wǎng)絡(也稱為 DMZ、網(wǎng)絡隔離區(qū)域和屏蔽子網(wǎng))的面向公眾的一端。堡壘主機不受防火墻或過濾路由器的保護,因此它們完全暴露在攻擊中。由于這個暴露的缺陷,在設計和配置堡壘主機時必須付出巨大的努力,最大程度地減少損壞的幾率。
堡壘主機通常用作 Web 服務器、域名系統(tǒng) (DNS) 服務器、文件傳輸協(xié)議 (FTP) 服務器、簡單郵件傳輸協(xié)議 (SMTP) 服務器和網(wǎng)絡新聞傳輸協(xié)議 (NNTP) 服務器。理想情況下,堡壘主機應該只執(zhí)行這些服務中的某一個功能,因為它扮演的角色越多,出現(xiàn)安全漏洞的可能性就越大。而在單個堡壘主機上保護單個服務則相對容易。能夠在多項堡壘主機業(yè)務上投入資金的企業(yè)必將從此類網(wǎng)絡體系結(jié)構中獲益匪淺。
安全堡壘主機的配置與通常的主機相比明顯不同。所有不必要的服務、協(xié)議、程序和網(wǎng)絡接口都將被禁用或刪除,而且,每臺堡壘主機通常被配置成只承擔一個特定角色。使用此方式強化堡壘主機,會限制某些可能的攻擊方法。
本模塊的以下各部分詳細說明可以在不同環(huán)境中最有效保護堡壘主機的各種安全強化設置。
堡壘主機本地策略
組策略與本指南前面詳細說明的其他服務器角色組策略不同,它不能應用于堡壘主機服務器,因為它們將被配置為不屬于 Microsoft® Active Directory® 目錄服務域的獨立主機。由于暴露級別很高,只對本指南中定義的三種環(huán)境中的堡壘主機服務器規(guī)定了一個級別的指導。以下介紹的安全設置基于模塊創(chuàng)建 Windows Server 2003 服務器的成員服務器基準中為高安全性環(huán)境定義的成員服務器基準策略 (MSBP)。它們包含在必須應用于每臺堡壘主機的堡壘主機本地策略 (BHLP) 的安全模板中。
應用堡壘主機本地策略
可以使用本指南所引用的 High Security-Bastion Host.inf 文件配置 BHLP。它能夠啟用使 SMTP 堡壘主機服務器正常工作所需的服務。應用 High Security-Bastion Host.inf 可以增強服務器的安全性,因為它減少了堡壘主機的攻擊面,但是您將無法對堡壘主機進行遠程管理。必須修改 BHLP,才能啟用更多的功能或增強堡壘主機的可管理性。
要應用安全模版中包含的所有安全設置,必須使用“安全配置和分析”管理單元,而不是“本地計算機策略”管理單元。不能使用“本地計算機策略”管理單元導入安全模板,因為使用此管理單元無法應用系統(tǒng)服務的安全設置。
下列步驟詳細介紹了如何使用“安全配置和分析”管理單元導入并應用 BHLP 安全模板。
警告:Microsoft 強烈建議在對堡壘主機服務器應用 High Security-Bastion Host.inf 之前先執(zhí)行完全備份。應用 High Security-Bastion Host.inf 安全模板之后,很難將堡壘主機還原為其原始配置。請確保已配置了安全模板,以啟用環(huán)境所要求的堡壘主機功能。
有關導入、分析和應用安全模板的逐步指南,請參閱如何在 Windows Server 2003 中應用組策略和安全模板。
完成這些步驟后,所有相關安全模板設置將全部應用于環(huán)境中堡壘主機的本地策略。必須重新啟動堡壘主機才能使所有設置生效。
以下各部分描述使用 BHLP 應用的安全設置。本模塊只討論與 MSBP 中的設置不同的那些設置。
審核策略設置
用于堡壘主機的 BHLP 審核策略的設置與在 High Security-Member Server Baseline.inf 文件中所指定的設置是相同的。有關 MSBP 的詳細信息,請參閱模塊創(chuàng)建 Windows Server 2003 服務器的成員服務器基準。BHLP 設置可確保所有相關的安全審核信息都記錄在所有的堡壘主機服務器上。
用戶權限分配
堡壘主機的 BHLP 用戶權限分配基于模塊創(chuàng)建 Windows Server 2003 服務器的成員服務器基準中的 High Security-Member Server Baseline.inf 文件中指定的那些設置。下面介紹 BHLP 與 MSBP 之間的差異。
允許本地登錄
表 1:設置
成員服務器默認值 | 設置 |
允許本地登錄 |
Administrators |
“允許本地登錄”用戶權限使用戶可以啟動計算機上的交互式會話。對那些能登錄到堡壘主機服務器控制臺的帳戶做出限制,將有助于阻止未經(jīng)授權的用戶訪問服務器上的文件系統(tǒng)和系統(tǒng)服務?梢缘卿浄⻊掌骺刂婆_的用戶便可以使該系統(tǒng)暴露于安全損害下。
默認情況下,Account Operators、Backup Operators、Print Operators 和 Power Users 組被授予本地登錄的權限。請僅將此權限授予 Administrators 組,以便只有高度信任的用戶才擁有對堡壘主機服務器的管理訪問權限,從而提供更高級別的安全性。
拒絕從網(wǎng)絡訪問此計算機
表 2:設置
成員服務器默認值 | 設置 |
SUPPORT_388945a0 |
匿名登錄;內(nèi)置 Administrator;Support_388945a0;Guest;所有的非操作系統(tǒng)服務帳戶 |
注意:安全模板中不包含匿名登錄、內(nèi)置 Administrator、Support_388945a0、Guest 和所有的非操作系統(tǒng)服務帳戶。這些帳戶和組具有唯一的安全標識符 (SID)。因此,必須手動將它們添加到 BHLP。
“拒絕從網(wǎng)絡訪問此計算機”用戶權限確定禁止哪些用戶通過網(wǎng)絡訪問計算機。這些設置將拒絕大量的網(wǎng)絡協(xié)議,包括基于服務器消息塊 (SMB) 的協(xié)議、網(wǎng)絡基本輸入/輸出系統(tǒng) (NetBIOS)、通用 Internet 文件系統(tǒng) (CIFS)、超文本傳輸協(xié)議 (HTTP) 和組件對象模型 (COM+)。如果用戶帳戶同時遵循這兩個策略,則這些設置將覆蓋“從網(wǎng)絡訪問此計算機”設置。在您的環(huán)境中為其它組配置此用戶權限可以限制用戶的訪問能力,讓他們只能執(zhí)行委派的管理任務。
在模塊創(chuàng)建 Windows Server 2003 服務器的成員服務器基準中,本指南建議將 Guests 組包括到已分配此權限的用戶和組列表中,從而提供最高的安全性級別。不過,用來匿名訪問 IIS 的 IUSR 帳戶默認為 Guests 組的成員。出于這些原因,在本指南中定義的高安全性環(huán)境中,堡壘主機的“拒絕從網(wǎng)絡訪問此計算機”設置被配置為包括 ANONOYMOUS LOGON、內(nèi)置 Administrator、Support_388945a0、Guest、所有的非操作系統(tǒng)服務帳戶。
安全選項
堡壘主機的 BHLP 安全選項設置與模塊創(chuàng)建 Windows Server 2003 服務器的成員服務器基準中的 High Security-Member Server Baseline.inf 文件中指定的那些設置相同。BHLP 設置確保所有相關的安全選項都通過堡壘主機服務器統(tǒng)一配置。
事件日志設置
堡壘主機的 BHLP 事件日志設置與模塊創(chuàng)建 Windows Server 2003 服務器的成員服務器基準中的 High Security-Member Server Baseline.inf 文件中指定的那些設置相同。BHLP 設置確保所有相關的事件日志設置都通過堡壘主機服務器統(tǒng)一配置。
系統(tǒng)服務
堡壘主機服務器的工作性質(zhì)決定了它將暴露在外界的攻擊之中。出于此原因,必須最大程度地降低每臺堡壘主機的攻擊面。為了正確強化堡壘主機服務器,所有不需要的操作系統(tǒng)服務,以及對堡壘主機正常運行沒有必要的角色都應該禁用。本指南所引用的 High Security-Bastion Host.inf 安全模板件可以對 BHLP 進行特定配置,以啟用 SMTP 堡壘主機服務器正常工作時所需要的服務。BHLP 可以啟用 Internet Information Services Manager 服務、HTTP SSL 服務和 SMTP 服務。但是,要啟用其他任何功能,必須對 BHLP 進行修改。
眾多被禁用的服務將會產(chǎn)生大量的事件日志警告,您可以忽略這些警告。在某些情況下,啟用這些服務將會減少事件日志警告和錯誤消息以及增加堡壘主機的可管理性。但是,這也會增加每臺堡壘主機的攻擊面。
以下各部分討論在堡壘主機服務器上應該被禁用的服務,以在降低堡壘主機攻擊面的同時保持其功能。這些部分只涉及 High Security-Member Server Baseline.inf 文件中未被禁用的服務。
自動更新
表 3:設置
服務名 | 設置 |
wuauserv |
已禁用 |
Automatic Updates 服務使得堡壘主機可以下載并安裝重要的 Microsoft Windows® 操作系統(tǒng)更新。此服務將自動為堡壘主機提供最新的更新程序、驅(qū)動程序和增強功能。您不必再手動搜索關鍵的更新和信息;操作系統(tǒng)會將它們直接傳送到堡壘主機。操作系統(tǒng)將識別您何時在線,并使用您的 Internet 連接從 Windows Update 服務中搜索可用的更新。根據(jù)您的配置設置,該服務會在您下載、安裝更新程序之前通知您,或者自動為您安裝更新程序。
停止或禁用 Automatic Updates 服務可防止將關鍵的更新自動下載到計算機。在這種情況下,您必須直接轉(zhuǎn)至位于 http://v4.windowsupdate.microsoft.com/en/default.asp 的 Windows Update 網(wǎng)站,搜索、下載和安裝所有可用的關鍵修補程序。
此服務不是正確操作堡壘主機所必需的。您可以使用本地策略將服務的啟動模式設置為只允許管理員訪問服務器,以阻止未經(jīng)授權或懷有惡意的用戶對服務進行配置和操作。此外,禁用此服務將有效減少堡壘主機服務器的攻擊面。出于這些原因,應在 BHLP 中將 Automatic Updates 設置配置為“已禁用”。
Background Intelligent Transfer Service
表 4:設置
服務名 | 設置 |
BITS |
已禁用 |
Background Intelligent Transfer Service (BITS) 是后臺文件傳輸機制和隊列管理器。BITS 可在客戶端和 HTTP 服務器之間異步傳輸文件。BITS 接收請求后,會使用空閑的網(wǎng)絡帶寬傳輸文件,這樣,其他的網(wǎng)絡相關活動(例如瀏覽)將不受影響。
如果停止此服務,將導致服務再次運行之前,某些功能(如 Automatic Update)無法自動下載程序和其他信息。這表明,如果通過“組策略”配置此服務,計算機將不會從軟件更新服務 (SUS) 中接收到自動更新。禁用此服務將導致顯式依賴于它的所有服務無法傳輸文件,除非使用可靠機制直接通過 Internet Explorer 等其他方法傳輸文件。
此服務不是正確操作堡壘主機所必需的。使用本地策略保護并設置此服務的啟動模式后,將僅對服務器管理員授予訪問權限,這樣可防止未經(jīng)授權或惡意用戶配置或操作該服務。此外,禁用此服務將有效減少堡壘主機服務器的攻擊面。出于這些原因,在 BHLP 中此服務被禁用。
Computer Browser
表 5:設置
服務名 | 設置 |
Browser |
已禁用 |
Computer Browser 服務維護網(wǎng)絡上的最新計算機列表,并將該列表提供給需要它的程序。Computer Browser 服務由需要查看網(wǎng)絡域和資源的 Windows 計算機所使用。被指定為瀏覽器的計算機對瀏覽列表進行維護,該列表包括了網(wǎng)絡上使用的所有共享資源。早期版本的 Windows 應用程序(例如“網(wǎng)上鄰居”)、NET VIEW 命令和 Microsoft Windows NT® 操作系統(tǒng)的資源管理器都需要瀏覽功能。例如,在運行 Windows 95 的計算機上打開“網(wǎng)上鄰居”將顯示域和計算機的列表,計算機將通過從指定為瀏覽器的計算機中獲得一份瀏覽列表來完成此操作。
禁用 Computer Browser 服務將使得瀏覽器列表無法更新或維護。禁用此服務還將導致任何顯式依賴于此服務的服務都失敗。
此服務不是正確操作堡壘主機所必需的。使用本地策略保護并設置服務的啟動模式后,將僅對服務器管理員授予訪問權限,這樣可防止未經(jīng)授權或惡意用戶配置或操作該服務。此外,禁用此服務將有效減少堡壘主機服務器的攻擊面。出于這些原因,應在 BHLP 中將 Computer Browser 設置配置為“已禁用”。
DHCP Client
表 6:設置
服務名 | 設置 |
Dhcp |
已禁用 |
DHCP Client 服務可用于通過為計算機注冊和更新 Internet 協(xié)議 (IP) 地址和 DNS 名稱,從而管理網(wǎng)絡配置。此服務避免了當客戶(例如漫游用戶)在網(wǎng)絡中無目的地游蕩時必須手動更改 IP 設置。客戶會被自動分配一個新的IP地址,而不考慮它所連接的子網(wǎng) - 只要動態(tài)主機配置協(xié)議 (DHCP) 服務器對于每個子網(wǎng)來說都是可訪問的。不需要對 DNS 或 Windows Internet 名稱服務 (WINS) 手動配置設置。DHCP 服務器會將這些服務設置強加給客戶,只要 DHCP 服務器已經(jīng)做好配置并且可以發(fā)出此類信息即可。 要在該客戶端上啟用此選項,只需選中“自動獲得 DNS 服務器地址”選項按鈕即可。啟用此選項將不會導致因 IP 地址重復而產(chǎn)生的沖突。
停止 DHCP Client 服務將導致您的計算機無法接收到動態(tài)的 IP 地址,動態(tài) DNS 更新功能也不會在 DNS 服務器上自動更新 IP 地址。禁用此服務還將導致任何顯式依賴于此服務的服務都失敗。
此服務不是正確操作堡壘主機所必需的。使用本地策略保護并設置此服務的啟動模式后,將僅對服務器管理員授予訪問權限,這樣可防止未經(jīng)授權或惡意用戶配置或操作該服務。此外,禁用此服務將有效減少堡壘主機服務器的攻擊面。出于這些原因,應在 BHLP 中將 DHCP Client 設置配置為“已禁用”。
Network Location Awareness (NLA)
表:設置
服務名 | 設置 |
NLA |
已禁用 |
Network Location Awareness (NLA) 服務收集并存儲網(wǎng)絡配置信息(例如 IP 地址和域名更改以及位置更改信息),然后在這些信息發(fā)生更改時通知應用程序。
此服務不是正確操作堡壘主機所必需的。使用本地策略保護并設置服務的啟動模式后,將僅對服務器管理員授予訪問權限,這樣可防止未經(jīng)授權或惡意用戶配置或操作該服務。此外,禁用此服務將有效減少堡壘主機服務器的攻擊面。出于這些原因,應在 BHLP 中將 Network Location Awareness (NLA) 設置配置為“已禁用”。
NTLM Security Support Provider
表 8:設置
服務名 | 設置 |
NtLmSsp |
已禁用 |
NTLM Security Support Provider 服務為使用傳輸器,而不是已命名管道的遠程過程調(diào)用 (RPC) 程序提供安全保護,并使用戶可以使用 NTLM 驗證協(xié)議登錄至網(wǎng)絡。NTLM 協(xié)議將對不使用 Kerberos v5 驗證的客戶端進行身份驗證。
停止或禁用 NTLM Security Support Provider 服務將禁止使用 NTLM 驗證協(xié)議登錄客戶端,或訪問網(wǎng)絡資源。Microsoft Operations Manager (MOM) 和 Telnet 都依賴于此服務。
此服務不是正確操作堡壘主機所必需的。使用本地策略保護并設置服務的啟動模式后,將僅對服務器管理員授予訪問權限,這樣可防止未經(jīng)授權或惡意用戶配置或操作該服務。此外,禁用此服務將有效減少堡壘主機服務器的攻擊面。出于這些原因,應在 BHLP 中將 NTLM Security Support Provider 設置配置為“已禁用”。
Performance Logs and Alerts
表 9:設置
服務名 | 設置 |
SysmonLog |
已禁用 |
Performance Logs and Alerts 服務基于預先配置的時間表從本地或遠程計算機上采集性能數(shù)據(jù),然后將數(shù)據(jù)寫入日志或觸發(fā)警報。Performance Logs and Alerts 服務將基于指定的日志收集設置中包含的信息來啟動和停止每個指定的性能數(shù)據(jù)集合。至少有一個采集計劃,此服務才能運行。
停止或禁用 Performance Logs and Alerts 服務將會導致性能信息未被搜集,當前運行的數(shù)據(jù)采集也會終止,并且預定的未來采集計劃也將不會發(fā)生。
此服務不是正確操作堡壘主機所必需的。使用本地策略保護并設置服務的啟動模式后,將僅對服務器管理員授予訪問權限,這樣可防止未經(jīng)授權或惡意用戶配置或操作該服務。此外,禁用此服務將有效減少堡壘主機服務器的攻擊面。出于這些原因,應在 BHLP 中將 Performance Logs and Alerts 設置配置為“已禁用”。
Remote Administration Service
表 10:設置
服務名 | 設置 |
SrvcSurg |
已禁用 |
當服務器重啟時,Remote Administration Service 將運行以下遠程管理任務:
• |
增加服務器重啟計數(shù)。 |
• |
生成自簽名證書。 |
• |
如果未在服務器上設置日期和事件,則引發(fā)警報。 |
• |
如果未配置電子郵件報警功能,則引發(fā)警報。 |
停止 Remote Administration Service 可能會導致遠程服務器管理工具的某些功能無法正常工作,例如,用于執(zhí)行遠程管理的 Web 界面。禁用此服務將導致任何顯式依賴于此服務的服務都失敗。
此服務不是正確操作堡壘主機所必需的。使用本地策略保護并設置服務的啟動模式后,將僅對服務器管理員授予訪問權限,這樣可防止未經(jīng)授權或惡意用戶配置或操作該服務。此外,禁用此服務將有效減少堡壘主機服務器的攻擊面。出于這些原因,應在 BHLP 中將 Remote Administration Service 設置配置為“已禁用”。
Remote Registry Service
表 11:設置
服務名 | 設置 |
RemoteRegistry |
已禁用 |
Remote Registry Service 使遠程用戶可以修改域控制器上的注冊表設置(如果遠程用戶具有所需的權限)。默認情況下,只有 Administrators 和 Backup Operators 組中的用戶才可以遠程訪問注冊表。Microsoft Baseline Security Analyzer (MBSA) 實用程序需要使用此服務。MBSA 是一種用來驗證要在組織機構內(nèi)的每個服務器上安裝哪些修補程序的工具。
如果停止 Remote Registry Service,則您只能修改本地計算機上的注冊表。禁用此服務會導致顯式依賴于它的所有服務都失敗,但是不會影響本地計算機上的注冊表操作。其他的計算機或設備也不會連接至您的本地計算機注冊表。
此服務不是正確操作堡壘主機所必需的。使用本地策略保護并設置服務的啟動模式后,將僅對服務器管理員授予訪問權限,這樣可防止未經(jīng)授權或惡意用戶配置或操作該服務。此外,禁用此服務將有效減少堡壘主機服務器的攻擊面。出于這些原因,應在 BHLP 中將 Remote Registry Service 設置配置為“已禁用”。
Server
表 12:設置
服務名 | 設置 |
lanmanserver |
已禁用 |
Server 服務通過網(wǎng)絡提供 RPC 支持、文件、打印和命名管道共享。此服務允許本地資源共享(例如磁盤和打印機),因此網(wǎng)絡上的其他用戶便可以訪問這些共享資源。此外,它還允許運行在其它計算機上的應用程序和您的計算機展開命名管道通信(使用 RPC)。命名管道通信為一個進程的輸出保留了一塊內(nèi)存,并以此作為另一個進程的輸入。接收輸入的進程不需要在本地計算機上運行。
停止 Server 服務將禁止您與網(wǎng)路上的其他用戶共享文件和打印機,并且還將無法滿足 RPC 請求。禁用此服務還將導致任何顯式依賴于此服務的服務都失敗。
此服務不是正確操作堡壘主機所必需的。使用本地策略保護并設置服務的啟動模式后,將僅對服務器管理員授予訪問權限,這樣可防止未經(jīng)授權或惡意用戶配置或操作該服務。此外,禁用此服務將有效減少堡壘主機服務器的攻擊面。出于這些原因,應在 BHLP 中將 Server 設置配置為“已禁用”。
TCP/IP NetBIOS Helper Service
表 13:設置
服務名 | 設置 |
LmHosts |
已禁用 |
TCP/IP NetBIOS Helper Service 通過 TCP/IP (NetBT) 服務支持網(wǎng)絡基本輸入/輸出系統(tǒng) (NetBIOS) ,并支持網(wǎng)絡上的客戶端的 NetBIOS 名稱解析;從而使用戶可以共享文件、打印和網(wǎng)絡登錄。TCP/IP(傳輸控制協(xié)議/Internet 協(xié)議)NetBIOS Helper Service 通過執(zhí)行 DNS 名稱解析,支持 NetBT 服務。
停止 TCP/IP NetBIOS Helper Service 會禁止 NetBT、Redirector (RDR)、Server (SRV)、Netlogon 和 Messenger 服務客戶端共享文件、打印機,并可防止用戶登錄計算機。例如,基于域的組策略將不再起作用。禁用此服務將導致任何顯式依賴于此服務的服務都失敗。
此服務不是正確操作堡壘主機所必需的。使用本地策略保護并設置服務的啟動模式后,將僅對服務器管理員授予訪問權限,這樣可防止未經(jīng)授權或惡意用戶配置或操作該服務。此外,禁用此服務將有效減少堡壘主機服務器的攻擊面。出于這些原因,應在 BHLP 中將 TCP/IP NetBIOS Helper Service 設置配置為“已禁用”。
Terminal Services
表 14:設置
服務名 | 設置 |
TermService |
已禁用 |
Terminal Services 提供一個多會話環(huán)境,客戶端設備可以在此環(huán)境中訪問虛擬 Windows 桌面會話和服務器上運行的基于 Windows 的程序。Terminal Services 使用戶可以遠程管理服務器。
停止或禁用 Terminal Services 會防止遠程管理計算機,使得計算機管理和更新非常困難。
此服務不是正確操作堡壘主機所必需的。使用本地策略保護并設置服務的啟動模式后,將僅對服務器管理員授予訪問權限,這樣可防止未經(jīng)授權或惡意用戶配置或操作該服務。此外,禁用此服務將有效減少堡壘主機服務器的攻擊面。出于這些原因,應在 BHLP 中將 Terminal Services 設置配置為“已禁用”。
Windows Installer
表 15:設置
服務名 | 設置 |
MSIServer |
已禁用 |
Windows Installer 服務通過應用一系列在安裝過程期間集中定義的安裝規(guī)則,來管理應用程序的安裝和刪除。這些安裝規(guī)則定義應用程序的安裝和已安裝應用程序的配置。此外,此服務還用于修改、修復或刪除現(xiàn)有的應用程序。組成此服務的技術包括適用于 Windows 操作系統(tǒng)的 Windows Installer 服務以及 (.msi) 數(shù)據(jù)包格式文件(用于保存應用程序設置和安裝的信息)。
Windows Installer 不僅是一個安裝程序,而且還是一個可擴展的軟件管理系統(tǒng)。該服務可以管理軟件組件的安裝、添加和刪除、監(jiān)視文件回彈以及使用回滾功能從災難事件中恢復基本文件。此外,Windows Installer 服務支持從多個源安裝和運行軟件,并且可以由要安裝自定義應用程序的開發(fā)人員自定義。
將 Windows Installer 服務設置為手動會導致使用此安裝程序的應用程序啟動此服務。
停止此服務將使依賴于此服務的應用程序的安裝、刪除、修復和修改操作失敗。此外,在運行時將用到此服務的大量應用程序可能會無法執(zhí)行。禁用此服務將導致任何顯式依賴于此服務的服務都失敗。
此服務不是正確操作堡壘主機所必需的。使用本地策略保護并設置服務的啟動模式后,將僅對服務器管理員授予訪問權限,這樣可防止未經(jīng)授權或惡意用戶配置或操作該服務。此外,禁用此服務將有效減少堡壘主機服務器的攻擊面。出于這些原因,應在 BHLP 中將 Windows Installer 設置配置為“已禁用”。
Windows Management Instrumentation Driver Extensions
表 16:設置
服務名 | 設置 |
Wmi |
已禁用 |
Windows Management Instrumentation Driver Extensions 服務可用來監(jiān)視為發(fā)布 Wmi 而配置的所有驅(qū)動程序和事件跟蹤提供程序,或者監(jiān)視事件跟蹤信息。
此服務不是正確操作堡壘主機所必需的。使用本地策略保護并設置服務的啟動模式后,將僅對服務器管理員授予訪問權限,這樣可防止未經(jīng)授權或惡意用戶配置或操作該服務。此外,禁用此服務將有效減少堡壘主機服務器的攻擊面。出于這些原因,應在 BHLP 中將 Windows Management Instrumentation Driver Extensions 設置配置為“已禁用”。
WMI Performance Adapter
表 17:設置
服務名 | 設置 |
WMIApSrv |
已禁用 |
WMI Performance Adapter 服務提供來自 WMI HiPerf 提供程序的性能庫信息,F(xiàn)在,需要提供性能計數(shù)器的應用程序和服務可以采用兩種方法實現(xiàn)此目的:通過編寫 WMI 高性能提供程序,或者通過編寫性能庫。
WMI Performance Adapter 服務通過“反向適配器性能庫”(Reverse Adapter Performance Library),將“WMI高性能提供程序”提供的性能計數(shù)器轉(zhuǎn)換成“性能數(shù)據(jù)助手”(Performance Data Helper,PDH) 可以引用的計數(shù)器。這樣一來,PDH 客戶端(例如 Sysmon)就可以引用計算機上任何 WMI 高性能提供程序所提供的性能計數(shù)器。
如果停止 WMI Performance Adapter 服務,則 WMI 性能計數(shù)器將不可用。禁用此服務將導致任何顯式依賴于此服務的服務都失敗。
此服務不是正確操作堡壘主機所必需的。使用本地策略保護并設置服務的啟動模式后,將僅對服務器管理員授予訪問權限,這樣可防止未經(jīng)授權或惡意用戶配置或操作該服務。此外,禁用此服務將有效減少堡壘主機服務器的攻擊面。出于這些原因,應在 BHLP 中將 WMI Performance Adapter 設置配置為“已禁用”。
其他安全設置
通過 BHLP 應用的安全設置為堡壘主機服務器提供了大量的增強性安全保護。不過,還是應該考慮其他一些注意事項和過程。這些步驟不能通過本地策略完成,而應該在所有的堡壘主機服務器上手動執(zhí)行。
在用戶權限分配中手動添加唯一的安全組
大多數(shù)通過 MSBP 應用的用戶權限分配都已經(jīng)在本指南附帶的安全模板中進行了適當?shù)闹付。但是,有幾個帳戶和安全組不能包含于模板中,因為它們的安全標識符 (SID) 特定于各個 Windows 2003 域。以下指定了必須手動配置的用戶權限分配。
警告:下表包含內(nèi)置 Administrator 帳戶的值。不要將此帳戶與內(nèi)置 Administrators 安全組相混淆。如果將 Administrators 安全組添加到以下任何拒絕訪問用戶權限中,則需要在本地登錄來更正錯誤。
此外,內(nèi)置的 Administrators 帳戶可能已根據(jù)模塊創(chuàng)建 Windows Server 2003 服務器的成員服務器基準中闡述的某些建議進行了重命名。添加 Administrators 帳戶時,請確保指定的是重命名后的帳戶。
表 18:手動添加的用戶權限分配
成員服務器默認值 | 舊客戶端 | 企業(yè)客戶端 | 高安全性 |
拒絕從網(wǎng)絡訪問此計算機 |
內(nèi)置 Administrator;Support_388945a0;Guest;所有非操作系統(tǒng)服務帳戶 |
內(nèi)置 Administrator;Support_388945a0;Guest;所有非操作系統(tǒng)服務帳戶 |
內(nèi)置 Administrator;Support_388945a0;Guest;所有非操作系統(tǒng)服務帳戶 |
要點:所有的非操作系統(tǒng)服務帳戶包括整個企業(yè)范圍內(nèi)用于特定應用程序的服務帳戶。這并不包括操作系統(tǒng)所使用的內(nèi)置式帳戶:LOCAL SYSTEM、LOCAL SERVICE 或 NETWORK SERVICE。
刪除不必要的網(wǎng)絡協(xié)議和綁定
為了避免用戶枚舉的威脅,應該在通過 Internet 可直接訪問的服務器(特別是堡壘主機服務器)上禁用所有不必要的協(xié)議。用戶枚舉是一種信息搜集暴露類型,攻擊者試圖使用它獲得系統(tǒng)特有的信息,然后計劃下一步的攻擊。
服務器消息塊 (SMB) 協(xié)議將返回有關一臺計算機的大量信息,甚至對使用“null”會話的未經(jīng)授權的用戶也是如此?梢詸z索的信息包括共享、用戶信息(包括組和用戶權限)、注冊表項等等。
禁用 SMB 和 TCP/IP 上的 NetBIOS,可以大大降低服務器的攻擊面,從而保護堡壘主機。雖然該配置下的服務器更加難于管理,并且無法訪問網(wǎng)絡上的共享文件夾,但這些措施可以有效保護服務器免予輕易受到損害。因此,本指南建議在可以通過 Internet 進行訪問的堡壘主機服務器上,禁用網(wǎng)絡連接的 SMB 或者 TCP/IP 上的 NetBIOS。
• |
要禁用 SMB,請執(zhí)行下列操作:
|
• |
要禁用 TCP/IP 上的 NetBIOS,請執(zhí)行下列操作:
|
此過程會禁用 TCP/445 和 UDP 445 端口上的 SMB 直接主機偵聽程序。
注意:此過程將禁用 nbt.sys 驅(qū)動程序。“高級 TCP/IP 設置”對話框的“WINS”選項卡包含“禁用 TCP/IP over NetBIOS”選項。選擇此選項將僅禁用“NetBIOS 會話服務”(在 TCP 端口 139 上偵聽)。這樣做并不會完全禁用 SMB。若要執(zhí)行此操作,請使用以上步驟。
保護眾所周知的帳戶
Windows Server 2003 具備大量的內(nèi)置用戶帳戶,這些帳戶不能刪除,但可以重命名。Windows 2003 中的兩個最為人熟知的內(nèi)置帳戶為“Guest”和“Administrator”。
默認情況下,服務器上的 Guest 帳戶是禁用的,而且不應被修改。內(nèi)置的 Administrator 帳戶應該被重命名,并且改變描述,以阻止攻擊者從遠程服務器使用該帳戶進行攻擊。
在首次嘗試攻擊服務器時,許多惡意代碼的變種使用內(nèi)置的 administrator 帳戶。在近幾年來,進行上述重命名配置的意義已經(jīng)大大降低了,因為出現(xiàn)了很多新的攻擊工具,這些工具企圖通過指定內(nèi)置 Administrator 帳戶的安全標識 (SID) 來確定該帳戶的真實姓名,從而侵入服務器。SID 是用來唯一標識網(wǎng)絡上的每個用戶、用戶組、計算機帳戶和登錄會話的值。此內(nèi)置帳戶的 SID 不可能更改。將本地管理員帳戶重命名為唯一的名稱,可便于操作組監(jiān)視對此帳戶的攻擊。
• |
要保護堡壘主機服務器上眾所周知的帳戶,請執(zhí)行下列操作:
|
Error Reporting
表 19:設置
默認值 | 舊客戶端 | 企業(yè)客戶端 | 高安全性 |
報告錯誤 |
已禁用 |
已禁用 |
已禁用 |
Error Reporting 服務將幫助 Microsoft 跟蹤和查找錯誤。您可以將此服務配置為給操作系統(tǒng)錯誤、Windows 組件錯誤或程序錯誤生成報告。啟用后,Error Reporting 服務將把這些錯誤通過 Internet 報告給 Microsoft,或者報告給內(nèi)部企業(yè)文件共享。
此設置僅在 Windows XP Professional 和 Windows Server 2003 上可用。在組策略對象編輯器中配置此設置的路徑是:
計算機配置\管理模板\系統(tǒng)\錯誤報告。
錯誤報告很可能包含敏感或機密的公司數(shù)據(jù)。Microsoft 關于錯誤報告的隱私政策保證 Microsoft 不會不適當?shù)厥褂眠@些數(shù)據(jù),但是這些數(shù)據(jù)使用明文形式的超文本傳輸協(xié)議 (HTTP) 傳送,這就有可能被 Internet 上的第三方截獲或者查看。出于這些原因,本指南建議在所定義的三種安全環(huán)境下,在 DCBP 中將“Error Reporting”設置配置為“已禁用”。
使用 IPSec 過濾器阻塞端口
Internet 協(xié)議安全 (IPSec) 過濾器可以提供提高服務器所需安全級別的有效方法。本指南建議在所定義的高安全性環(huán)境中使用此選項,以便進一步減少服務器的攻擊面。
有關使用 IPSec 過濾器的詳細信息,請參閱模塊其他成員服務器強化過程。
下表列出了應在本指南定義的高安全性環(huán)境中的 SMTP 堡壘主機上創(chuàng)建的所有 IPSec 過濾器。
表 20:SMTP 堡壘主機 IPSec 網(wǎng)絡流量圖
服務 | 協(xié)議 | 源端口 | 目標端口 | 源地址 | 目標地址 | 操作 | 鏡像 |
SMTP Server |
TCP |
所有 |
25 |
所有 |
ME |
允許 |
是 |
DNS 客戶端 |
TCP |
所有 |
53 |
ME |
DNS 服務器 |
允許 |
是 |
DNS 客戶端 |
UDP |
所有 |
53 |
ME |
DNS 服務器 |
允許 |
是 |
All Inbound Traffic |
所有 |
所有 |
所有 |
所有 |
ME |
阻止 |
是 |
實施上表中列出的所有規(guī)則時,都應進行鏡像。這樣可以保證任何進入服務器的網(wǎng)絡流量也可以返回到源服務器。
上表表示服務器要想完成特定角色的功能而應當打開的基本端口。如果服務器具有靜態(tài) IP 地址,則這些端口是足夠了。
警告:這些 IPSec 過濾器施加的限制非常嚴格,會顯著降低這些服務器的可管理性。您需要打開其他的端口才能啟用監(jiān)視、修補管理和軟件更新功能。
IPSec 策略的實施不應該對服務器的性能產(chǎn)生顯著影響。但是,在實施這些過濾器前還是應該進行測試,以驗證服務器是否仍然可以維持必要的功能和性能。要支持其他應用程序,可能還需要添加其他規(guī)則。
本指南包含一個 .cmd 文件,該文件簡化了依照指南要求為域控制器創(chuàng)建 IPSec 過濾器的過程。PacketFilters-SMTPBastionHost.cmd 文件使用 NETSH 命令創(chuàng)建適當?shù)倪^濾器。
此腳本不會創(chuàng)建持久過濾器。因此,IPSec 策略代理啟動之前,服務器處于無保護狀態(tài)。有關構建持久過濾器或創(chuàng)建高級 IPSec 過濾器腳本的詳細信息,請參閱模塊其他成員服務器強化過程。最后,此腳本被配置為不分配它所創(chuàng)建的 IPSec 策略。IP 安全策略管理單元可用來檢查所創(chuàng)建的 IPSec 過濾器,并且分配 IPSec 策略以便讓其生效。
小結(jié)
堡壘主機服務器很容易暴露于外界的攻擊之下。您必須盡可能的保證它們的安全,在將其可用性發(fā)揮至最大的同時,將堡壘主機服務器面臨的安全威脅降至最低。最安全的堡壘主機服務器只允許高度信任的帳戶訪問,并僅僅啟用能夠正常行使其功能所需的最少的服務。
本模塊說明了規(guī)定的服務器強化設置以及為保護堡壘主機服務器所使用的過程。許多設置可通過本地組策略應用。本模塊提供了配置和應用手動設置的步驟。
此外,還提供了有關創(chuàng)建和應用能夠控制堡壘主機服務器間網(wǎng)絡通信類型的 IPSec 過濾器的詳細信息。根據(jù)企業(yè)環(huán)境中堡壘主機服務器所扮演的角色,這些過濾器可以被修改,以阻止特定類型的網(wǎng)絡流量。
更多信息
以下是在發(fā)布 Windows Server 2003 時提供的最新信息源,其內(nèi)容緊緊圍繞運行 Windows Server 2003 的計算機環(huán)境中的堡壘主機服務器。
有關構建專用網(wǎng)絡的詳細信息,請參閱由 Elizabeth D. Zwicky、Simon Cooper 和 Brent D. Chapman 共同撰寫的“Firewalls and Virtual Private Networks”,其網(wǎng)址為: http://www.wiley.com/legacy/compbooks/press/0471348201_09.pdf(英文)。
有關防火墻和安全保護的詳細信息,請參閱由 Chuck Semeria 撰寫的“Internet Firewalls and Security-A Technology Overview”,其網(wǎng)址為: http://www.itmweb.com/essay534.htm(英文)。
有關“深度防衛(wèi)”模型的信息,請參閱“U.S. Military with Rod Powers”,其網(wǎng)址為: http://usmilitary.about.com/careers/usmilitary/library/glossary/d/bldef01834.htm(英文)。
有關入侵防護方面的信息,請參閱由 Jay Beale 撰寫的“Intruder Detection Checklist”,其網(wǎng)址為: http://www.cert.org/tech_tips/intruder_detection_checklist.html(英文)。
有關強化堡壘主機的信息,請參閱“Hardening Bastion Hosts”上的“SANS Info Sec Reading Room”,其網(wǎng)址為: http://www.sans.org/rr/papers/index.php?id=420(英文)。
有關堡壘主機的詳細信息,請參閱“How Bastion Hosts Work”,其網(wǎng)址為: http://thor.info.uaic.ro/~busaco/teach/docs/intranets/ch16.htm(英文)。
有關在 Windows Server 2003 中關閉 Internet 連接防火墻的信息,請參閱知識庫文章“How To:Turn On the Internet Connection Firewall Feature in Windows Server 2003”,其網(wǎng)址為: http://support.microsoft.com/default.aspx?scid=317530(英文)。
有關“安全配置和分析工具”排除故障方面的信息,請參閱知識庫文章“Problems After You Import Multiple Templates Into the Security Configuration and Analysis Tool”,其網(wǎng)址為: http://support.microsoft.com/default.aspx?scid=279125(英文)。