本模塊內容
本模塊解釋專門用于堡壘主機的安全模板配置。堡壘主機是一種安全但可供公共訪問的計算機,它位于外圍網絡的面向公眾的一端。堡壘主機通常用作 Web 服務器、域名系統 (DNS) 服務器、文件傳輸協議 (FTP) 服務器、簡單郵件傳輸協議 (SMTP) 服務器和網絡新聞傳輸協議 (NNTP) 服務器。本模塊引用“Windows Server 2003 Security”(英文)中所包含成員服務器基準中的設置。此外,本模塊還將考慮除安全模板定義的那些配置以外還必須應用的額外安全配置設置。要創建完全強化的堡壘主機,需要使用這些附加設置。本模塊還包括有關如何使用安全配置和分析工具應用安全模板的說明。
目標
使用本模塊可以:
| • |
強化堡壘主機。 |
| • |
調查堡壘主機的相應安全配置。 |
適用范圍
本模塊適用于下列產品和技術:
| • |
Microsoft® Windows Server™ 2003 操作系統 |
| • |
堡壘主機 |
如何使用本模塊
使用本模塊可以了解應該應用于堡壘主機并強化此類獨立服務器的的安全設置。本模塊結合使用特定于角色的安全模板和基準安全模板。這些安全模板來自“Windows Server 2003 Security Guide”,其網址為:http://go.microsoft.com/fwlink/?LinkId=14846(英文)。
為了更好地理解本模塊的內容,請:
| • |
閱讀模塊 Windows Server 2003 安全性簡介。此模塊解釋了“Windows Server 2003 安全指南”(英文)的目的和內容。 | ||
| • |
閱讀模塊創建 Windows Server 2003 服務器的成員服務器基準。此模塊演示組織單位層次結構的使用以及將成員服務器基準應用到多個服務器的組策略。 | ||
| • |
使用附帶的“如何”文章。使用本模塊引用的以下指導性文章:
|
概述
本模塊關注強化環境中的堡壘主機。堡壘主機是安全但可公開訪問的計算機。堡壘主機位于外圍網絡(也稱為 DMZ、網絡隔離區域和屏蔽子網)的面向公眾的一端。堡壘主機不受防火墻或過濾路由器的保護,因此它們完全暴露在攻擊中。由于這個暴露的缺陷,在設計和配置堡壘主機時必須付出巨大的努力,最大程度地減少損壞的幾率。
堡壘主機通常用作 Web 服務器、域名系統 (DNS) 服務器、文件傳輸協議 (FTP) 服務器、簡單郵件傳輸協議 (SMTP) 服務器和網絡新聞傳輸協議 (NNTP) 服務器。理想情況下,堡壘主機應該只執行這些服務中的某一個功能,因為它扮演的角色越多,出現安全漏洞的可能性就越大。而在單個堡壘主機上保護單個服務則相對容易。能夠在多項堡壘主機業務上投入資金的企業必將從此類網絡體系結構中獲益匪淺。
安全堡壘主機的配置與通常的主機相比明顯不同。所有不必要的服務、協議、程序和網絡接口都將被禁用或刪除,而且,每臺堡壘主機通常被配置成只承擔一個特定角色。使用此方式強化堡壘主機,會限制某些可能的攻擊方法。
本模塊的以下各部分詳細說明可以在不同環境中最有效保護堡壘主機的各種安全強化設置。
堡壘主機本地策略
組策略與本指南前面詳細說明的其他服務器角色組策略不同,它不能應用于堡壘主機服務器,因為它們將被配置為不屬于 Microsoft® Active Directory® 目錄服務域的獨立主機。由于暴露級別很高,只對本指南中定義的三種環境中的堡壘主機服務器規定了一個級別的指導。以下介紹的安全設置基于模塊創建 Windows Server 2003 服務器的成員服務器基準中為高安全性環境定義的成員服務器基準策略 (MSBP)。它們包含在必須應用于每臺堡壘主機的堡壘主機本地策略 (BHLP) 的安全模板中。
應用堡壘主機本地策略
可以使用本指南所引用的 High Security-Bastion Host.inf 文件配置 BHLP。它能夠啟用使 SMTP 堡壘主機服務器正常工作所需的服務。應用 High Security-Bastion Host.inf 可以增強服務器的安全性,因為它減少了堡壘主機的攻擊面,但是您將無法對堡壘主機進行遠程管理。必須修改 BHLP,才能啟用更多的功能或增強堡壘主機的可管理性。
要應用安全模版中包含的所有安全設置,必須使用“安全配置和分析”管理單元,而不是“本地計算機策略”管理單元。不能使用“本地計算機策略”管理單元導入安全模板,因為使用此管理單元無法應用系統服務的安全設置。
下列步驟詳細介紹了如何使用“安全配置和分析”管理單元導入并應用 BHLP 安全模板。
警告:Microsoft 強烈建議在對堡壘主機服務器應用 High Security-Bastion Host.inf 之前先執行完全備份。應用 High Security-Bastion Host.inf 安全模板之后,很難將堡壘主機還原為其原始配置。請確保已配置了安全模板,以啟用環境所要求的堡壘主機功能。
有關導入、分析和應用安全模板的逐步指南,請參閱如何在 Windows Server 2003 中應用組策略和安全模板。
完成這些步驟后,所有相關安全模板設置將全部應用于環境中堡壘主機的本地策略。必須重新啟動堡壘主機才能使所有設置生效。
以下各部分描述使用 BHLP 應用的安全設置。本模塊只討論與 MSBP 中的設置不同的那些設置。
審核策略設置
用于堡壘主機的 BHLP 審核策略的設置與在 High Security-Member Server Baseline.inf 文件中所指定的設置是相同的。有關 MSBP 的詳細信息,請參閱模塊創建 Windows Server 2003 服務器的成員服務器基準。BHLP 設置可確保所有相關的安全審核信息都記錄在所有的堡壘主機服務器上。
用戶權限分配
堡壘主機的 BHLP 用戶權限分配基于模塊創建 Windows Server 2003 服務器的成員服務器基準中的 High Security-Member Server Baseline.inf 文件中指定的那些設置。下面介紹 BHLP 與 MSBP 之間的差異。
允許本地登錄
表 1:設置
| 成員服務器默認值 | 設置 |
|
允許本地登錄 |
Administrators |
“允許本地登錄”用戶權限使用戶可以啟動計算機上的交互式會話。對那些能登錄到堡壘主機服務器控制臺的帳戶做出限制,將有助于阻止未經授權的用戶訪問服務器上的文件系統和系統服務。可以登錄服務器控制臺的用戶便可以使該系統暴露于安全損害下。
默認情況下,Account Operators、Backup Operators、Print Operators 和 Power Users 組被授予本地登錄的權限。請僅將此權限授予 Administrators 組,以便只有高度信任的用戶才擁有對堡壘主機服務器的管理訪問權限,從而提供更高級別的安全性。
拒絕從網絡訪問此計算機
表 2:設置
| 成員服務器默認值 | 設置 |
|
SUPPORT_388945a0 |
匿名登錄;內置 Administrator;Support_388945a0;Guest;所有的非操作系統服務帳戶 |
注意:安全模板中不包含匿名登錄、內置 Administrator、Support_388945a0、Guest 和所有的非操作系統服務帳戶。這些帳戶和組具有唯一的安全標識符 (SID)。因此,必須手動將它們添加到 BHLP。
“拒絕從網絡訪問此計算機”用戶權限確定禁止哪些用戶通過網絡訪問計算機。這些設置將拒絕大量的網絡協議,包括基于服務器消息塊 (SMB) 的協議、網絡基本輸入/輸出系統 (NetBIOS)、通用 Internet 文件系統 (CIFS)、超文本傳輸協議 (HTTP) 和組件對象模型 (COM+)。如果用戶帳戶同時遵循這兩個策略,則這些設置將覆蓋“從網絡訪問此計算機”設置。在您的環境中為其它組配置此用戶權限可以限制用戶的訪問能力,讓他們只能執行委派的管理任務。
在模塊創建 Windows Server 2003 服務器的成員服務器基準中,本指南建議將 Guests 組包括到已分配此權限的用戶和組列表中,從而提供最高的安全性級別。不過,用來匿名訪問 IIS 的 IUSR 帳戶默認為 Guests 組的成員。出于這些原因,在本指南中定義的高安全性環境中,堡壘主機的“拒絕從網絡訪問此計算機”設置被配置為包括 ANONOYMOUS LOGON、內置 Administrator、Support_388945a0、Guest、所有的非操作系統服務帳戶。
安全選項
堡壘主機的 BHLP 安全選項設置與模塊創建 Windows Server 2003 服務器的成員服務器基準中的 High Security-Member Server Baseline.inf 文件中指定的那些設置相同。BHLP 設置確保所有相關的安全選項都通過堡壘主機服務器統一配置。
事件日志設置
堡壘主機的 BHLP 事件日志設置與模塊創建 Windows Server 2003 服務器的成員服務器基準中的 High Security-Member Server Baseline.inf 文件中指定的那些設置相同。BHLP 設置確保所有相關的事件日志設置都通過堡壘主機服務器統一配置。
系統服務
堡壘主機服務器的工作性質決定了它將暴露在外界的攻擊之中。出于此原因,必須最大程度地降低每臺堡壘主機的攻擊面。為了正確強化堡壘主機服務器,所有不需要的操作系統服務,以及對堡壘主機正常運行沒有必要的角色都應該禁用。本指南所引用的 High Security-Bastion Host.inf 安全模板件可以對 BHLP 進行特定配置,以啟用 SMTP 堡壘主機服務器正常工作時所需要的服務。BHLP 可以啟用 Internet Information Services Manager 服務、HTTP SSL 服務和 SMTP 服務。但是,要啟用其他任何功能,必須對 BHLP 進行修改。
眾多被禁用的服務將會產生大量的事件日志警告,您可以忽略這些警告。在某些情況下,啟用這些服務將會減少事件日志警告和錯誤消息以及增加堡壘主機的可管理性。但是,這也會增加每臺堡壘主機的攻擊面。
以下各部分討論在堡壘主機服務器上應該被禁用的服務,以在降低堡壘主機攻擊面的同時保持其功能。這些部分只涉及 High Security-Member Server Baseline.inf 文件中未被禁用的服務。
自動更新
表 3:設置
| 服務名 | 設置 |
|
wuauserv |
已禁用 |
Automatic Updates 服務使得堡壘主機可以下載并安裝重要的 Microsoft Windows® 操作系統更新。此服務將自動為堡壘主機提供最新的更新程序、驅動程序和增強功能。您不必再手動搜索關鍵的更新和信息;操作系統會將它們直接傳送到堡壘主機。操作系統將識別您何時在線,并使用您的 Internet 連接從 Windows Update 服務中搜索可用的更新。根據您的配置設置,該服務會在您下載、安裝更新程序之前通知您,或者自動為您安裝更新程序。
停止或禁用 Automatic Updates 服務可防止將關鍵的更新自動下載到計算機。在這種情況下,您必須直接轉至位于 http://v4.windowsupdate.microsoft.com/en/default.asp 的 Windows Update 網站,搜索、下載和安裝所有可用的關鍵修補程序。
此服務不是正確操作堡壘主機所必需的。您可以使用本地策略將服務的啟動模式設置為只允許管理員訪問服務器,以阻止未經授權或懷有惡意的用戶對服務進行配置和操作。此外,禁用此服務將有效減少堡壘主機服務器的攻擊面。出于這些原因,應在 BHLP 中將 Automatic Updates 設置配置為“已禁用”。
Background Intelligent Transfer Service
表 4:設置
| 服務名 | 設置 |
|
BITS |
已禁用 |
Background Intelligent Transfer Service (BITS) 是后臺文件傳輸機制和隊列管理器。BITS 可在客戶端和 HTTP 服務器之間異步傳輸文件。BITS 接收請求后,會使用空閑的網絡帶寬傳輸文件,這樣,其他的網絡相關活動(例如瀏覽)將不受影響。
如果停止此服務,將導致服務再次運行之前,某些功能(如 Automatic Update)無法自動下載程序和其他信息。這表明,如果通過“組策略”配置此服務,計算機將不會從軟件更新服務 (SUS) 中接收到自動更新。禁用此服務將導致顯式依賴于它的所有服務無法傳輸文件,除非使用可靠機制直接通過 Internet Explorer 等其他方法傳輸文件。
此服務不是正確操作堡壘主機所必需的。使用本地策略保護并設置此服務的啟動模式后,將僅對服務器管理員授予訪問權限,這樣可防止未經授權或惡意用戶配置或操作該服務。此外,禁用此服務將有效減少堡壘主機服務器的攻擊面。出于這些原因,在 BHLP 中此服務被禁用。
Computer Browser
表 5:設置
| 服務名 | 設置 |
|
Browser |
已禁用 |
Computer Browser 服務維護網絡上的最新計算機列表,并將該列表提供給需要它的程序。Computer Browser 服務由需要查看網絡域和資源的 Windows 計算機所使用。被指定為瀏覽器的計算機對瀏覽列表進行維護,該列表包括了網絡上使用的所有共享資源。早期版本的 Windows 應用程序(例如“網上鄰居”)、NET VIEW 命令和 Microsoft Windows NT® 操作系統的資源管理器都需要瀏覽功能。例如,在運行 Windows 95 的計算機上打開“網上鄰居”將顯示域和計算機的列表,計算機將通過從指定為瀏覽器的計算機中獲得一份瀏覽列表來完成此操作。
禁用 Computer Browser 服務將使得瀏覽器列表無法更新或維護。禁用此服務還將導致任何顯式依賴于此服務的服務都失敗。
此服務不是正確操作堡壘主機所必需的。使用本地策略保護并設置服務的啟動模式后,將僅對服務器管理員授予訪問權限,這樣可防止未經授權或惡意用戶配置或操作該服務。此外,禁用此服務將有效減少堡壘主機服務器的攻擊面。出于這些原因,應在 BHLP 中將 Computer Browser 設置配置為“已禁用”。
DHCP Client
表 6:設置
| 服務名 | 設置 |
|
Dhcp |
已禁用 |
DHCP Client 服務可用于通過為計算機注冊和更新 Internet 協議 (IP) 地址和 DNS 名稱,從而管理網絡配置。此服務避免了當客戶(例如漫游用戶)在網絡中無目的地游蕩時必須手動更改 IP 設置。客戶會被自動分配一個新的IP地址,而不考慮它所連接的子網 - 只要動態主機配置協議 (DHCP) 服務器對于每個子網來說都是可訪問的。不需要對 DNS 或 Windows Internet 名稱服務 (WINS) 手動配置設置。DHCP 服務器會將這些服務設置強加給客戶,只要 DHCP 服務器已經做好配置并且可以發出此類信息即可。 要在該客戶端上啟用此選項,只需選中“自動獲得 DNS 服務器地址”選項按鈕即可。啟用此選項將不會導致因 IP 地址重復而產生的沖突。
停止 DHCP Client 服務將導致您的計算機無法接收到動態的 IP 地址,動態 DNS 更新功能也不會在 DNS 服務器上自動更新 IP 地址。禁用此服務還將導致任何顯式依賴于此服務的服務都失敗。
此服務不是正確操作堡壘主機所必需的。使用本地策略保護并設置此服務的啟動模式后,將僅對服務器管理員授予訪問權限,這樣可防止未經授權或惡意用戶配置或操作該服務。此外,禁用此服務將有效減少堡壘主機服務器的攻擊面。出于這些原因,應在 BHLP 中將 DHCP Client 設置配置為“已禁用”。
Network Location Awareness (NLA)
表:設置
| 服務名 | 設置 |
|
NLA |
已禁用 |
Network Location Awareness (NLA) 服務收集并存儲網絡配置信息(例如 IP 地址和域名更改以及位置更改信息),然后在這些信息發生更改時通知應用程序。
此服務不是正確操作堡壘主機所必需的。使用本地策略保護并設置服務的啟動模式后,將僅對服務器管理員授予訪問權限,這樣可防止未經授權或惡意用戶配置或操作該服務。此外,禁用此服務將有效減少堡壘主機服務器的攻擊面。出于這些原因,應在 BHLP 中將 Network Location Awareness (NLA) 設置配置為“已禁用”。
NTLM Security Support Provider
表 8:設置
| 服務名 | 設置 |
|
NtLmSsp |
已禁用 |
NTLM Security Support Provider 服務為使用傳輸器,而不是已命名管道的遠程過程調用 (RPC) 程序提供安全保護,并使用戶可以使用 NTLM 驗證協議登錄至網絡。NTLM 協議將對不使用 Kerberos v5 驗證的客戶端進行身份驗證。
停止或禁用 NTLM Security Support Provider 服務將禁止使用 NTLM 驗證協議登錄客戶端,或訪問網絡資源。Microsoft Operations Manager (MOM) 和 Telnet 都依賴于此服務。
此服務不是正確操作堡壘主機所必需的。使用本地策略保護并設置服務的啟動模式后,將僅對服務器管理員授予訪問權限,這樣可防止未經授權或惡意用戶配置或操作該服務。此外,禁用此服務將有效減少堡壘主機服務器的攻擊面。出于這些原因,應在 BHLP 中將 NTLM Security Support Provider 設置配置為“已禁用”。
Performance Logs and Alerts
表 9:設置
| 服務名 | 設置 |
|
SysmonLog |
已禁用 |
Performance Logs and Alerts 服務基于預先配置的時間表從本地或遠程計算機上采集性能數據,然后將數據寫入日志或觸發警報。Performance Logs and Alerts 服務將基于指定的日志收集設置中包含的信息來啟動和停止每個指定的性能數據集合。至少有一個采集計劃,此服務才能運行。
停止或禁用 Performance Logs and Alerts 服務將會導致性能信息未被搜集,當前運行的數據采集也會終止,并且預定的未來采集計劃也將不會發生。
此服務不是正確操作堡壘主機所必需的。使用本地策略保護并設置服務的啟動模式后,將僅對服務器管理員授予訪問權限,這樣可防止未經授權或惡意用戶配置或操作該服務。此外,禁用此服務將有效減少堡壘主機服務器的攻擊面。出于這些原因,應在 BHLP 中將 Performance Logs and Alerts 設置配置為“已禁用”。
Remote Administration Service
表 10:設置
| 服務名 | 設置 |
|
SrvcSurg |
已禁用 |
當服務器重啟時,Remote Administration Service 將運行以下遠程管理任務:
| • |
增加服務器重啟計數。 |
| • |
生成自簽名證書。 |
| • |
如果未在服務器上設置日期和事件,則引發警報。 |
| • |
如果未配置電子郵件報警功能,則引發警報。 |
停止 Remote Administration Service 可能會導致遠程服務器管理工具的某些功能無法正常工作,例如,用于執行遠程管理的 Web 界面。禁用此服務將導致任何顯式依賴于此服務的服務都失敗。
此服務不是正確操作堡壘主機所必需的。使用本地策略保護并設置服務的啟動模式后,將僅對服務器管理員授予訪問權限,這樣可防止未經授權或惡意用戶配置或操作該服務。此外,禁用此服務將有效減少堡壘主機服務器的攻擊面。出于這些原因,應在 BHLP 中將 Remote Administration Service 設置配置為“已禁用”。
Remote Registry Service
表 11:設置
| 服務名 | 設置 |
|
RemoteRegistry |
已禁用 |
Remote Registry Service 使遠程用戶可以修改域控制器上的注冊表設置(如果遠程用戶具有所需的權限)。默認情況下,只有 Administrators 和 Backup Operators 組中的用戶才可以遠程訪問注冊表。Microsoft Baseline Security Analyzer (MBSA) 實用程序需要使用此服務。MBSA 是一種用來驗證要在組織機構內的每個服務器上安裝哪些修補程序的工具。
如果停止 Remote Registry Service,則您只能修改本地計算機上的注冊表。禁用此服務會導致顯式依賴于它的所有服務都失敗,但是不會影響本地計算機上的注冊表操作。其他的計算機或設備也不會連接至您的本地計算機注冊表。
此服務不是正確操作堡壘主機所必需的。使用本地策略保護并設置服務的啟動模式后,將僅對服務器管理員授予訪問權限,這樣可防止未經授權或惡意用戶配置或操作該服務。此外,禁用此服務將有效減少堡壘主機服務器的攻擊面。出于這些原因,應在 BHLP 中將 Remote Registry Service 設置配置為“已禁用”。
Server
表 12:設置
| 服務名 | 設置 |
|
lanmanserver |
已禁用 |
Server 服務通過網絡提供 RPC 支持、文件、打印和命名管道共享。此服務允許本地資源共享(例如磁盤和打印機),因此網絡上的其他用戶便可以訪問這些共享資源。此外,它還允許運行在其它計算機上的應用程序和您的計算機展開命名管道通信(使用 RPC)。命名管道通信為一個進程的輸出保留了一塊內存,并以此作為另一個進程的輸入。接收輸入的進程不需要在本地計算機上運行。
停止 Server 服務將禁止您與網路上的其他用戶共享文件和打印機,并且還將無法滿足 RPC 請求。禁用此服務還將導致任何顯式依賴于此服務的服務都失敗。
此服務不是正確操作堡壘主機所必需的。使用本地策略保護并設置服務的啟動模式后,將僅對服務器管理員授予訪問權限,這樣可防止未經授權或惡意用戶配置或操作該服務。此外,禁用此服務將有效減少堡壘主機服務器的攻擊面。出于這些原因,應在 BHLP 中將 Server 設置配置為“已禁用”。
TCP/IP NetBIOS Helper Service
表 13:設置
| 服務名 | 設置 |
|
LmHosts |
已禁用 |
TCP/IP NetBIOS Helper Service 通過 TCP/IP (NetBT) 服務支持網絡基本輸入/輸出系統 (NetBIOS) ,并支持網絡上的客戶端的 NetBIOS 名稱解析;從而使用戶可以共享文件、打印和網絡登錄。TCP/IP(傳輸控制協議/Internet 協議)NetBIOS Helper Service 通過執行 DNS 名稱解析,支持 NetBT 服務。
停止 TCP/IP NetBIOS Helper Service 會禁止 NetBT、Redirector (RDR)、Server (SRV)、Netlogon 和 Messenger 服務客戶端共享文件、打印機,并可防止用戶登錄計算機。例如,基于域的組策略將不再起作用。禁用此服務將導致任何顯式依賴于此服務的服務都失敗。
此服務不是正確操作堡壘主機所必需的。使用本地策略保護并設置服務的啟動模式后,將僅對服務器管理員授予訪問權限,這樣可防止未經授權或惡意用戶配置或操作該服務。此外,禁用此服務將有效減少堡壘主機服務器的攻擊面。出于這些原因,應在 BHLP 中將 TCP/IP NetBIOS Helper Service 設置配置為“已禁用”。
Terminal Services
表 14:設置
| 服務名 | 設置 |
|
TermService |
已禁用 |
Terminal Services 提供一個多會話環境,客戶端設備可以在此環境中訪問虛擬 Windows 桌面會話和服務器上運行的基于 Windows 的程序。Terminal Services 使用戶可以遠程管理服務器。
停止或禁用 Terminal Services 會防止遠程管理計算機,使得計算機管理和更新非常困難。
此服務不是正確操作堡壘主機所必需的。使用本地策略保護并設置服務的啟動模式后,將僅對服務器管理員授予訪問權限,這樣可防止未經授權或惡意用戶配置或操作該服務。此外,禁用此服務將有效減少堡壘主機服務器的攻擊面。出于這些原因,應在 BHLP 中將 Terminal Services 設置配置為“已禁用”。
Windows Installer
表 15:設置
| 服務名 | 設置 |
|
MSIServer |
已禁用 |
Windows Installer 服務通過應用一系列在安裝過程期間集中定義的安裝規則,來管理應用程序的安裝和刪除。這些安裝規則定義應用程序的安裝和已安裝應用程序的配置。此外,此服務還用于修改、修復或刪除現有的應用程序。組成此服務的技術包括適用于 Windows 操作系統的 Windows Installer 服務以及 (.msi) 數據包格式文件(用于保存應用程序設置和安裝的信息)。
Windows Installer 不僅是一個安裝程序,而且還是一個可擴展的軟件管理系統。該服務可以管理軟件組件的安裝、添加和刪除、監視文件回彈以及使用回滾功能從災難事件中恢復基本文件。此外,Windows Installer 服務支持從多個源安裝和運行軟件,并且可以由要安裝自定義應用程序的開發人員自定義。
將 Windows Installer 服務設置為手動會導致使用此安裝程序的應用程序啟動此服務。
停止此服務將使依賴于此服務的應用程序的安裝、刪除、修復和修改操作失敗。此外,在運行時將用到此服務的大量應用程序可能會無法執行。禁用此服務將導致任何顯式依賴于此服務的服務都失敗。
此服務不是正確操作堡壘主機所必需的。使用本地策略保護并設置服務的啟動模式后,將僅對服務器管理員授予訪問權限,這樣可防止未經授權或惡意用戶配置或操作該服務。此外,禁用此服務將有效減少堡壘主機服務器的攻擊面。出于這些原因,應在 BHLP 中將 Windows Installer 設置配置為“已禁用”。
Windows Management Instrumentation Driver Extensions
表 16:設置
| 服務名 | 設置 |
|
Wmi |
已禁用 |
Windows Management Instrumentation Driver Extensions 服務可用來監視為發布 Wmi 而配置的所有驅動程序和事件跟蹤提供程序,或者監視事件跟蹤信息。
此服務不是正確操作堡壘主機所必需的。使用本地策略保護并設置服務的啟動模式后,將僅對服務器管理員授予訪問權限,這樣可防止未經授權或惡意用戶配置或操作該服務。此外,禁用此服務將有效減少堡壘主機服務器的攻擊面。出于這些原因,應在 BHLP 中將 Windows Management Instrumentation Driver Extensions 設置配置為“已禁用”。
WMI Performance Adapter
表 17:設置
| 服務名 | 設置 |
|
WMIApSrv |
已禁用 |
WMI Performance Adapter 服務提供來自 WMI HiPerf 提供程序的性能庫信息。現在,需要提供性能計數器的應用程序和服務可以采用兩種方法實現此目的:通過編寫 WMI 高性能提供程序,或者通過編寫性能庫。
WMI Performance Adapter 服務通過“反向適配器性能庫”(Reverse Adapter Performance Library),將“WMI高性能提供程序”提供的性能計數器轉換成“性能數據助手”(Performance Data Helper,PDH) 可以引用的計數器。這樣一來,PDH 客戶端(例如 Sysmon)就可以引用計算機上任何 WMI 高性能提供程序所提供的性能計數器。
如果停止 WMI Performance Adapter 服務,則 WMI 性能計數器將不可用。禁用此服務將導致任何顯式依賴于此服務的服務都失敗。
此服務不是正確操作堡壘主機所必需的。使用本地策略保護并設置服務的啟動模式后,將僅對服務器管理員授予訪問權限,這樣可防止未經授權或惡意用戶配置或操作該服務。此外,禁用此服務將有效減少堡壘主機服務器的攻擊面。出于這些原因,應在 BHLP 中將 WMI Performance Adapter 設置配置為“已禁用”。
其他安全設置
通過 BHLP 應用的安全設置為堡壘主機服務器提供了大量的增強性安全保護。不過,還是應該考慮其他一些注意事項和過程。這些步驟不能通過本地策略完成,而應該在所有的堡壘主機服務器上手動執行。
在用戶權限分配中手動添加唯一的安全組
大多數通過 MSBP 應用的用戶權限分配都已經在本指南附帶的安全模板中進行了適當的指定。但是,有幾個帳戶和安全組不能包含于模板中,因為它們的安全標識符 (SID) 特定于各個 Windows 2003 域。以下指定了必須手動配置的用戶權限分配。
警告:下表包含內置 Administrator 帳戶的值。不要將此帳戶與內置 Administrators 安全組相混淆。如果將 Administrators 安全組添加到以下任何拒絕訪問用戶權限中,則需要在本地登錄來更正錯誤。
此外,內置的 Administrators 帳戶可能已根據模塊創建 Windows Server 2003 服務器的成員服務器基準中闡述的某些建議進行了重命名。添加 Administrators 帳戶時,請確保指定的是重命名后的帳戶。
表 18:手動添加的用戶權限分配
| 成員服務器默認值 | 舊客戶端 | 企業客戶端 | 高安全性 |
|
拒絕從網絡訪問此計算機 |
內置 Administrator;Support_388945a0;Guest;所有非操作系統服務帳戶 |
內置 Administrator;Support_388945a0;Guest;所有非操作系統服務帳戶 |
內置 Administrator;Support_388945a0;Guest;所有非操作系統服務帳戶 |
要點:所有的非操作系統服務帳戶包括整個企業范圍內用于特定應用程序的服務帳戶。這并不包括操作系統所使用的內置式帳戶:LOCAL SYSTEM、LOCAL SERVICE 或 NETWORK SERVICE。
刪除不必要的網絡協議和綁定
為了避免用戶枚舉的威脅,應該在通過 Internet 可直接訪問的服務器(特別是堡壘主機服務器)上禁用所有不必要的協議。用戶枚舉是一種信息搜集暴露類型,攻擊者試圖使用它獲得系統特有的信息,然后計劃下一步的攻擊。
服務器消息塊 (SMB) 協議將返回有關一臺計算機的大量信息,甚至對使用“null”會話的未經授權的用戶也是如此。可以檢索的信息包括共享、用戶信息(包括組和用戶權限)、注冊表項等等。
禁用 SMB 和 TCP/IP 上的 NetBIOS,可以大大降低服務器的攻擊面,從而保護堡壘主機。雖然該配置下的服務器更加難于管理,并且無法訪問網絡上的共享文件夾,但這些措施可以有效保護服務器免予輕易受到損害。因此,本指南建議在可以通過 Internet 進行訪問的堡壘主機服務器上,禁用網絡連接的 SMB 或者 TCP/IP 上的 NetBIOS。
| • |
要禁用 SMB,請執行下列操作:
|
| • |
要禁用 TCP/IP 上的 NetBIOS,請執行下列操作:
|
此過程會禁用 TCP/445 和 UDP 445 端口上的 SMB 直接主機偵聽程序。
注意:此過程將禁用 nbt.sys 驅動程序。“高級 TCP/IP 設置”對話框的“WINS”選項卡包含“禁用 TCP/IP over NetBIOS”選項。選擇此選項將僅禁用“NetBIOS 會話服務”(在 TCP 端口 139 上偵聽)。這樣做并不會完全禁用 SMB。若要執行此操作,請使用以上步驟。
保護眾所周知的帳戶
Windows Server 2003 具備大量的內置用戶帳戶,這些帳戶不能刪除,但可以重命名。Windows 2003 中的兩個最為人熟知的內置帳戶為“Guest”和“Administrator”。
默認情況下,服務器上的 Guest 帳戶是禁用的,而且不應被修改。內置的 Administrator 帳戶應該被重命名,并且改變描述,以阻止攻擊者從遠程服務器使用該帳戶進行攻擊。
在首次嘗試攻擊服務器時,許多惡意代碼的變種使用內置的 administrator 帳戶。在近幾年來,進行上述重命名配置的意義已經大大降低了,因為出現了很多新的攻擊工具,這些工具企圖通過指定內置 Administrator 帳戶的安全標識 (SID) 來確定該帳戶的真實姓名,從而侵入服務器。SID 是用來唯一標識網絡上的每個用戶、用戶組、計算機帳戶和登錄會話的值。此內置帳戶的 SID 不可能更改。將本地管理員帳戶重命名為唯一的名稱,可便于操作組監視對此帳戶的攻擊。
| • |
要保護堡壘主機服務器上眾所周知的帳戶,請執行下列操作:
|
Error Reporting
表 19:設置
| 默認值 | 舊客戶端 | 企業客戶端 | 高安全性 |
|
報告錯誤 |
已禁用 |
已禁用 |
已禁用 |
Error Reporting 服務將幫助 Microsoft 跟蹤和查找錯誤。您可以將此服務配置為給操作系統錯誤、Windows 組件錯誤或程序錯誤生成報告。啟用后,Error Reporting 服務將把這些錯誤通過 Internet 報告給 Microsoft,或者報告給內部企業文件共享。
此設置僅在 Windows XP Professional 和 Windows Server 2003 上可用。在組策略對象編輯器中配置此設置的路徑是:
計算機配置\管理模板\系統\錯誤報告。
錯誤報告很可能包含敏感或機密的公司數據。Microsoft 關于錯誤報告的隱私政策保證 Microsoft 不會不適當地使用這些數據,但是這些數據使用明文形式的超文本傳輸協議 (HTTP) 傳送,這就有可能被 Internet 上的第三方截獲或者查看。出于這些原因,本指南建議在所定義的三種安全環境下,在 DCBP 中將“Error Reporting”設置配置為“已禁用”。
使用 IPSec 過濾器阻塞端口
Internet 協議安全 (IPSec) 過濾器可以提供提高服務器所需安全級別的有效方法。本指南建議在所定義的高安全性環境中使用此選項,以便進一步減少服務器的攻擊面。
有關使用 IPSec 過濾器的詳細信息,請參閱模塊其他成員服務器強化過程。
下表列出了應在本指南定義的高安全性環境中的 SMTP 堡壘主機上創建的所有 IPSec 過濾器。
表 20:SMTP 堡壘主機 IPSec 網絡流量圖
| 服務 | 協議 | 源端口 | 目標端口 | 源地址 | 目標地址 | 操作 | 鏡像 |
|
SMTP Server |
TCP |
所有 |
25 |
所有 |
ME |
允許 |
是 |
|
DNS 客戶端 |
TCP |
所有 |
53 |
ME |
DNS 服務器 |
允許 |
是 |
|
DNS 客戶端 |
UDP |
所有 |
53 |
ME |
DNS 服務器 |
允許 |
是 |
|
All Inbound Traffic |
所有 |
所有 |
所有 |
所有 |
ME |
阻止 |
是 |
實施上表中列出的所有規則時,都應進行鏡像。這樣可以保證任何進入服務器的網絡流量也可以返回到源服務器。
上表表示服務器要想完成特定角色的功能而應當打開的基本端口。如果服務器具有靜態 IP 地址,則這些端口是足夠了。
警告:這些 IPSec 過濾器施加的限制非常嚴格,會顯著降低這些服務器的可管理性。您需要打開其他的端口才能啟用監視、修補管理和軟件更新功能。
IPSec 策略的實施不應該對服務器的性能產生顯著影響。但是,在實施這些過濾器前還是應該進行測試,以驗證服務器是否仍然可以維持必要的功能和性能。要支持其他應用程序,可能還需要添加其他規則。
本指南包含一個 .cmd 文件,該文件簡化了依照指南要求為域控制器創建 IPSec 過濾器的過程。PacketFilters-SMTPBastionHost.cmd 文件使用 NETSH 命令創建適當的過濾器。
此腳本不會創建持久過濾器。因此,IPSec 策略代理啟動之前,服務器處于無保護狀態。有關構建持久過濾器或創建高級 IPSec 過濾器腳本的詳細信息,請參閱模塊其他成員服務器強化過程。最后,此腳本被配置為不分配它所創建的 IPSec 策略。IP 安全策略管理單元可用來檢查所創建的 IPSec 過濾器,并且分配 IPSec 策略以便讓其生效。
小結
堡壘主機服務器很容易暴露于外界的攻擊之下。您必須盡可能的保證它們的安全,在將其可用性發揮至最大的同時,將堡壘主機服務器面臨的安全威脅降至最低。最安全的堡壘主機服務器只允許高度信任的帳戶訪問,并僅僅啟用能夠正常行使其功能所需的最少的服務。
本模塊說明了規定的服務器強化設置以及為保護堡壘主機服務器所使用的過程。許多設置可通過本地組策略應用。本模塊提供了配置和應用手動設置的步驟。
此外,還提供了有關創建和應用能夠控制堡壘主機服務器間網絡通信類型的 IPSec 過濾器的詳細信息。根據企業環境中堡壘主機服務器所扮演的角色,這些過濾器可以被修改,以阻止特定類型的網絡流量。
更多信息
以下是在發布 Windows Server 2003 時提供的最新信息源,其內容緊緊圍繞運行 Windows Server 2003 的計算機環境中的堡壘主機服務器。
有關構建專用網絡的詳細信息,請參閱由 Elizabeth D. Zwicky、Simon Cooper 和 Brent D. Chapman 共同撰寫的“Firewalls and Virtual Private Networks”,其網址為: http://www.wiley.com/legacy/compbooks/press/0471348201_09.pdf(英文)。
有關防火墻和安全保護的詳細信息,請參閱由 Chuck Semeria 撰寫的“Internet Firewalls and Security-A Technology Overview”,其網址為: http://www.itmweb.com/essay534.htm(英文)。
有關“深度防衛”模型的信息,請參閱“U.S. Military with Rod Powers”,其網址為: http://usmilitary.about.com/careers/usmilitary/library/glossary/d/bldef01834.htm(英文)。
有關入侵防護方面的信息,請參閱由 Jay Beale 撰寫的“Intruder Detection Checklist”,其網址為: http://www.cert.org/tech_tips/intruder_detection_checklist.html(英文)。
有關強化堡壘主機的信息,請參閱“Hardening Bastion Hosts”上的“SANS Info Sec Reading Room”,其網址為: http://www.sans.org/rr/papers/index.php?id=420(英文)。
有關堡壘主機的詳細信息,請參閱“How Bastion Hosts Work”,其網址為: http://thor.info.uaic.ro/~busaco/teach/docs/intranets/ch16.htm(英文)。
有關在 Windows Server 2003 中關閉 Internet 連接防火墻的信息,請參閱知識庫文章“How To:Turn On the Internet Connection Firewall Feature in Windows Server 2003”,其網址為: http://support.microsoft.com/default.aspx?scid=317530(英文)。
有關“安全配置和分析工具”排除故障方面的信息,請參閱知識庫文章“Problems After You Import Multiple Templates Into the Security Configuration and Analysis Tool”,其網址為: http://support.microsoft.com/default.aspx?scid=279125(英文)。