本模塊適用于下列產(chǎn)品和技術(shù)：

Windows Server 2003

如何使用本模塊

使用本模塊您可以了解應(yīng)用于基于 Windows Server 2003 的文件服務(wù)器的安全設(shè)置。本模塊使用多個(gè)角色特定安全模板和一個(gè)基準(zhǔn)安全模板。安全模板來自“Windows Server 2003 Security Guide”。

為了更好地理解本模塊的內(nèi)容，請(qǐng)：

閱讀模塊 Windows Server 2003 安全性簡介。該模塊描述了“Windows Server 2003 Security Guide”的目的和內(nèi)容。

閱讀模塊創(chuàng)建 Windows Server 2003 服務(wù)器的成員服務(wù)器基準(zhǔn)。該模塊演示了使用組織單位和組策略將成員服務(wù)器基準(zhǔn)應(yīng)用于多個(gè)服務(wù)器的過程。

概述

由于文件服務(wù)器提供的大多數(shù)重要服務(wù)都需要 Microsoft? Windows? 網(wǎng)絡(luò)基本輸入/輸出系統(tǒng) (NetBIOS) 相關(guān)協(xié)議的支持，因此在進(jìn)一步強(qiáng)化文件服務(wù)器上存在一些挑戰(zhàn)。服務(wù)器消息塊 (SMB) 協(xié)議和通用 Internet 文件系統(tǒng) (CIFS) 協(xié)議可以為沒有經(jīng)過身份驗(yàn)證的用戶提供豐富的信息。因此，常常建議在高安全性的 Windows 環(huán)境中禁止文件服務(wù)器使用這些協(xié)議。但是，禁用這些協(xié)議可能給您的環(huán)境中的管理員和用戶訪問文件服務(wù)器造成一定的困難。

本模塊后面的部分將詳細(xì)描述文件服務(wù)器可從安全設(shè)置中受益的內(nèi)容，這些安全設(shè)置不是通過成員服務(wù)器基準(zhǔn)策略 (MSBP) 得到應(yīng)用的。有關(guān) MSBP 的詳細(xì)信息，請(qǐng)參閱模塊創(chuàng)建 Windows Server 2003 服務(wù)器的成員服務(wù)器基準(zhǔn)。

審核策略設(shè)置

在本指南定義的三種環(huán)境下，文件服務(wù)器的審核策略設(shè)置都是通過 MSBP 進(jìn)行配置。有關(guān) MSBP 的詳細(xì)信息，請(qǐng)參閱模塊創(chuàng)建 Windows Server 2003 服務(wù)器的成員服務(wù)器基準(zhǔn)。MSBP 設(shè)置確保了在全部的文件服務(wù)器上記錄所有相關(guān)的安全性審核信息。

用戶權(quán)限分配

在本指南定義的三種環(huán)境下，文件服務(wù)器的用戶權(quán)限分配都是通過 MSBP 進(jìn)行配置。有關(guān) MSBP 的詳細(xì)信息，請(qǐng)參閱模塊創(chuàng)建 Windows Server 2003 服務(wù)器的成員服務(wù)器基準(zhǔn)。MSBP 設(shè)置確保所有適當(dāng)?shù)挠脩魴?quán)限可以跨越所有文件服務(wù)器實(shí)現(xiàn)統(tǒng)一配置。

安全選項(xiàng)

在本指南定義的三種環(huán)境下，文件服務(wù)器的安全性選項(xiàng)設(shè)置都是通過 MSBP 進(jìn)行配置。有關(guān) MSBP 的詳細(xì)信息，請(qǐng)參閱模塊創(chuàng)建 Windows Server 2003 服務(wù)器的成員服務(wù)器基準(zhǔn)。MSBP 設(shè)置確保所有相關(guān)的安全性選項(xiàng)設(shè)置可以跨越所有文件服務(wù)器實(shí)現(xiàn)統(tǒng)一配置。

事件日志設(shè)置

在本指南定義的三種環(huán)境下，文件服務(wù)器的事件日志設(shè)置都是通過 MSBP 進(jìn)行配置。有關(guān) MSBP 的詳細(xì)信息，請(qǐng)參閱模塊創(chuàng)建 Windows Server 2003 服務(wù)器的成員服務(wù)器基準(zhǔn)。

系統(tǒng)服務(wù)

任何服務(wù)或應(yīng)用程序都是一個(gè)潛在的攻擊點(diǎn)，因此，應(yīng)該禁用或刪除所有不需要的服務(wù)或可執(zhí)行文件。在 MSBP 中，這些可選服務(wù)以及所有不必要的服務(wù)都禁用。

在運(yùn)行 Microsoft Windows Server 2003 的文件服務(wù)器上，經(jīng)常還有其他一些服務(wù)被啟用，但是，這些服務(wù)不是必需的。這些服務(wù)的使用及其安全性一直是人們爭論的主題。為此，本指南所建議的文件服務(wù)器配置可能不適用于您的環(huán)境?？梢愿鶕?jù)需要調(diào)整我們建議的文件服務(wù)器組策略以滿足您組織機(jī)構(gòu)的需求。

Distributed File System

表 1：設(shè)置

Distributed File System (DFS) 服務(wù)管理分布在局域網(wǎng) (LAN) 或廣域網(wǎng) (WAN) 的邏輯卷，而且是 Microsoft Active Directory? 目錄服務(wù) SYSVOL 共享所必需的。DFS 是將完全不同的文件共享集成為一個(gè)邏輯命名空間的分布式服務(wù)。

命名空間是網(wǎng)絡(luò)存儲(chǔ)資源的一種邏輯表示方法，這些網(wǎng)絡(luò)存儲(chǔ)資源對(duì)網(wǎng)絡(luò)中的用戶都可用。禁用 DFS 服務(wù)可以防止用戶通過邏輯命名空間訪問網(wǎng)絡(luò)數(shù)據(jù)，要求用戶必須知道環(huán)境中所有服務(wù)器和共享資源的名稱才可以訪問網(wǎng)絡(luò)數(shù)據(jù)。

文件服務(wù)器增量式組策略禁用了 DFS 服務(wù)，以便將環(huán)境中文件服務(wù)器遭到的攻擊面降到最小。為此，在本指南所定義的所有安全環(huán)境中，應(yīng)該將 Distributed File System 設(shè)置配置為“禁用”。

注意：通過在文件服務(wù)器上使用 DFS 簡化分布式資源訪問方式的組織機(jī)構(gòu)必須修改文件服務(wù)器的增量式組策略，或者創(chuàng)建一個(gè)新的 GPO 來啟用該服務(wù)。

File Replication Service

表 6.2：設(shè)置

File Replication Service (FRS) 可以自動(dòng)復(fù)制文件并在多個(gè)服務(wù)器上同時(shí)進(jìn)行保存。FRS 是 Microsoft? Windows? 2000 操作系統(tǒng)和 Windows Server 2003 家族中的一種自動(dòng)文件復(fù)制服務(wù)。這種服務(wù)復(fù)制所有域控制器中的系統(tǒng)卷 (Sysvol)。另外，您還可以對(duì)該服務(wù)進(jìn)行配置，使其復(fù)制與容錯(cuò) DFS 關(guān)聯(lián)的備用目標(biāo)中的文件。若禁用這種服務(wù)，文件復(fù)制將不再發(fā)生而服務(wù)器上的數(shù)據(jù)也不再進(jìn)行同步。

文件服務(wù)器增量式組策略禁用了 FRS 服務(wù)，以便將您所在環(huán)境中文件服務(wù)器遭到的攻擊表面積降到最小。為此，在本指南定義的所有安全環(huán)境中，應(yīng)該將 File Replication Service 設(shè)置配置為“禁用”。

注意：通過在文件服務(wù)器上使用 FRS 復(fù)制多個(gè)服務(wù)器上的數(shù)據(jù)的組織必須修改文件服務(wù)器的增量式組策略，或者創(chuàng)建一個(gè)新的 GPO 來啟用該服務(wù)。

其他安全性設(shè)置

MSBP 中應(yīng)用的安全設(shè)置為文件服務(wù)器提供了大量的增強(qiáng)安全性。不過，您也需要考慮其他一些注意事項(xiàng)。這些步驟不能通過組策略來實(shí)施，而要在所有文件服務(wù)器上手動(dòng)執(zhí)行操作。

保護(hù)眾所周知帳戶的安全

Microsoft Windows Server 2003 中具有大量的內(nèi)置用戶帳戶，不能將其刪除，但可以重命名。Windows 2003 中最常用的兩個(gè)內(nèi)置帳戶是“來賓”帳戶和“管理員”帳戶。

默認(rèn)情況下，“來賓”賬戶在成員服務(wù)器和域控制器上為禁用狀態(tài)。不應(yīng)該將此設(shè)置更改。您應(yīng)該對(duì)內(nèi)置的“管理員”賬戶重命名并改變其描述，以阻止攻擊者利用一個(gè)眾所周知的帳戶危及遠(yuǎn)程服務(wù)器的安全。

最初，許多惡意代碼的變種使用內(nèi)置的管理員帳號(hào)，企圖破壞服務(wù)器。近幾年來，進(jìn)行上述重命名配置的意義已經(jīng)降低了，因?yàn)槌霈F(xiàn)了很多新的攻擊工具，這些工具企圖通過指定內(nèi)置 “管理員”賬戶的安全標(biāo)識(shí)符 (SID) 確定該帳戶的真實(shí)姓名，從而侵入服務(wù)器。SID 是識(shí)別每個(gè)用戶、組、計(jì)算機(jī)帳戶和網(wǎng)絡(luò)上登錄會(huì)話的唯一值。不可能更改內(nèi)置帳戶的 SID。將本地管理員帳戶重命名為唯一的名稱，操作部門就可以輕松監(jiān)控攻擊該帳戶的企圖。

要保護(hù)文件服務(wù)器上的常用賬戶，您應(yīng)當(dāng)：

1. 重新命名“管理員”帳戶和“來賓”賬戶，然后在每個(gè)域和服務(wù)器上將其密碼更改為長且復(fù)雜的值。

2. 在每個(gè)服務(wù)器上使用不同的名稱和密碼。如果所有的域和服務(wù)器使用同一個(gè)帳戶名和密碼，則取得其中一臺(tái)成員服務(wù)器訪問權(quán)的攻擊者就可以用相同的帳戶名和密碼取得其他域和服務(wù)器的訪問權(quán)。

3. 改變默認(rèn)的帳戶描述，以防止帳戶被輕易識(shí)別。

4. 在安全的位置記錄這些更改。

注意：可通過組策略重命名內(nèi)置的“管理員”帳戶。由于應(yīng)該為您的環(huán)境選擇一個(gè)唯一的名稱，因此本指南所提供的所有安全模板中都沒有對(duì)此設(shè)置進(jìn)行配置。在本指南定義的三種環(huán)境中，都可以將“賬戶：重命名管理員帳戶”設(shè)置配置為重命名管理員帳戶。此設(shè)置是組策略安全選項(xiàng)設(shè)置的一部分。

保護(hù)服務(wù)賬戶

除非絕對(duì)必要，否則不要配置在域帳號(hào)安全性背景之下運(yùn)行的服務(wù)。如果服務(wù)器的物理安全受到破壞，域賬戶密碼可以很容易通過轉(zhuǎn)儲(chǔ)本地安全性機(jī)構(gòu) (LSA) 秘文而獲得。

用 IPSec 過濾器阻斷端口

Internet 協(xié)議安全 (IPSec) 過濾器能為提高服務(wù)器的安全級(jí)別提供一條有效途徑。本指南推薦在其定義的高安全性環(huán)境中使用該選項(xiàng)，以便進(jìn)一步減少服務(wù)器的攻擊表面積。

有關(guān) IPSec 過濾器使用的詳細(xì)信息，請(qǐng)參閱模塊其他成員服務(wù)器強(qiáng)化過程。

下表列出了可在本指南定義的高安全性環(huán)境中的文件服務(wù)器上創(chuàng)建的所有 IPSec 過濾器。

表 3：文件服務(wù)器 IPSec 網(wǎng)絡(luò)流量圖

在執(zhí)行上表列出的所有規(guī)則時(shí)都應(yīng)該進(jìn)行鏡像處理。這可以確保進(jìn)入服務(wù)器的所有網(wǎng)絡(luò)流量也可以返回到源服務(wù)器。

上表描述了為服務(wù)器執(zhí)行特別任務(wù)功能所需打開的基本端口。如果服務(wù)器使用靜態(tài) IP 地址，這些端口已經(jīng)足夠使用了。如果需要提供其他功能，可能需要打開其他端口。打開其他端口可使您環(huán)境中的文件服務(wù)器更容易管理，不過，它們可能大大降低這些服務(wù)器的安全性。

由于域成員和域控制器之間具有大量的交互操作，因此在特殊的 RPC 和身份驗(yàn)證通信中，您需要允許文件服務(wù)器和所有域控制器之間的所有通信。還可以將通信進(jìn)一步限制，但是大多數(shù)環(huán)境都需要為有效保護(hù)服務(wù)器而創(chuàng)建更多的過濾器。這使得 IPSec 策略的執(zhí)行和管理更為困難。與一個(gè)文件服務(wù)器相關(guān)的所有域控制器都要?jiǎng)?chuàng)建相似的規(guī)則。為了提高文件服務(wù)器的可靠性和可用性，您需要為環(huán)境中的所有域控制器添加更多規(guī)則。

如上所述，如果在環(huán)境中運(yùn)行 Microsoft Operation Manager (MOM)，則必須允許通過運(yùn)行 IPSec 過濾器的服務(wù)器和 MOM 服務(wù)器之間的所有網(wǎng)絡(luò)通信。這一點(diǎn)十分重要，因?yàn)?MOM 服務(wù)器和 OnePoint 客戶 — 向 MOM 控制臺(tái)提供報(bào)告的客戶端應(yīng)用程序 — 之間具有大量的交互行為。其他的管理軟件可能也有相似的要求。如果需要更高級(jí)別的安全性，可以將 OnePoint 客戶過濾操作配置為就 IPSec 同 MOM 服務(wù)器進(jìn)行協(xié)商。

IPSec 策略可以有效地阻止任意一個(gè)高端口的通信，因此，將無法進(jìn)行遠(yuǎn)程過程調(diào)用 (RPC) 通信。這使得服務(wù)器的管理更加困難。由于已經(jīng)有效關(guān)閉了如此之多的端口，因此可以啟用終端服務(wù)。這將使管理員能夠進(jìn)行遠(yuǎn)程管理。

上面的網(wǎng)絡(luò)流量圖假定環(huán)境中包括啟用了 DNS 服務(wù)器的 Active Directory。如果使用獨(dú)立的 DNS 服務(wù)器，可能還需要設(shè)定其他規(guī)則。

執(zhí)行 IPSec 策略不會(huì)對(duì)服務(wù)器的性能產(chǎn)生明顯的影響。但是，在執(zhí)行這些過濾器前應(yīng)首先進(jìn)行測(cè)試，以驗(yàn)證服務(wù)器的必要功能和性能是否得以維持。如果要支持其他應(yīng)用軟件，還可能需要添加其他規(guī)則。

本指南包括一個(gè) .cmd 文件，該文件簡化了為文件服務(wù)器創(chuàng)建 IPSec 過濾器的過程?！癙acketFilters-File.cmd”文件使用 NETSH 命令創(chuàng)建適當(dāng)?shù)倪^濾器。必須修改 .cmd 文件以使它包括環(huán)境中域控制器的 IP 地址。腳本為即將添加的域控制器提供了兩個(gè)占位符。如果需要，還可以添加其他的域控制器。域控制器的 IP 地址列表必須是最新的。

如果環(huán)境中有 MOM，那么相應(yīng)的 MOM 服務(wù)器的 IP 地址也必須列入腳本。這個(gè)腳本不會(huì)創(chuàng)建永久性的過濾器。因此，除非 IPSec 策略代理開始運(yùn)行，否則服務(wù)器是不受保護(hù)的。有關(guān)生成永久性的過濾器或創(chuàng)建更高級(jí) IPSec 過濾腳本的詳細(xì)信息，請(qǐng)參閱模塊其他成員服務(wù)器強(qiáng)化過程。最后，將該腳本配置為不對(duì)其創(chuàng)建的 IPSec 策略進(jìn)行分配。IP 安全策略管理單元可用于檢查它創(chuàng)建的 IPSec 過濾器和分配 IPSec 策略以便使其生效。

小結(jié)

本模塊講述了在本指南所定義的三種環(huán)境中保護(hù)文件服務(wù)器安全所需采取的服務(wù)器強(qiáng)化設(shè)置。所論述的大多數(shù)設(shè)置都是使用組策略進(jìn)行配置和應(yīng)用的。您可以將能夠?qū)?MSBP 進(jìn)行有益補(bǔ)充的組策略對(duì)象 (GPO) 鏈接到包含文件服務(wù)器的相應(yīng)組織單位 (OU) 中，以便為這些服務(wù)器提供的服務(wù)賦予更多的安全性。

本指南所論述的一些設(shè)置不能使用組策略進(jìn)行應(yīng)用。在這些情況下，本指南提供了有關(guān)手動(dòng)配置這些設(shè)置的詳細(xì)信息。此外，本指南還提供了創(chuàng)建和應(yīng)用能夠控制文件服務(wù)器間網(wǎng)絡(luò)通信類型的 IPSec 過濾器的詳細(xì)信息。