关键字: 安全指南
概述
This chapter focuses on how to harden bastion hosts that run Microsoft® Windows Server™ 2003 with Service Pack 1 (SP1) in your environment.堡垒主机是安全但可供公共访问的计算机,它们位于组织外围网络(也称为 DMZ、隔离区和屏蔽式子网)面向公众的一端。堡垒主机不受防火墙或过滤路由器的保护,因此它们完全暴露在攻击中。要尽量减少被破坏的可能性,需要仔细设计和配置堡垒主机。
堡垒主机通常用作 Web 服务器、DNS 服务器、文件传输协议 (FTP) 服务器、简单邮件传输协议 (SMTP) 服务器和网络新闻传输协议 (NNTP) 服务器。理想情况下,堡垒主机只专用于其中一种功能,因为服务器提供的功能越多,忽视安全漏洞的可能性就越大。保护单台堡垒主机上的一种服务比保护多种服务容易。可提供多台堡垒主机的组织可大大受益于这种网络结构。
安全堡垒主机的配置与通常的主机相比明显不同。所有不必要的服务、协议、程序和网络接口都将被禁用或删除,而且,每台堡垒主机被配置为承担一个特定角色。如果使用此方法来强化堡垒主机,就可以限制潜在的攻击方法。
本章以下各节描述有助于保护任何环境中的堡垒主机的各种安全设置。本章中包含的步骤将帮助您创建 SMTP 堡垒主机。要添加任何附加功能,将需要修改本指南附带的配置文件。
堡垒主机本地策略
本指南前面描述的服务器角色使用组策略来配置服务器。由于堡垒主机服务器被配置为不属于 Active Directory® 目录服务域的独立主机,因此无法对其应用组策略。由于它们是暴露的且不受其他设备保护,因此在本指南定义的三种环境中,只为堡垒主机服务器规定了一个级别的指导。对于 SSLF 环境,本章介绍的安全设置基于第 4 章“成员服务器基准策略”中定义的成员服务器基准策略 (MSBP)。这些设置包含在必须应用于每台堡垒主机的堡垒主机本地策略 (BHLP) 的安全模板中。
表 12.1 堡垒主机服务器安全模板
| 旧客户端 | 企业客户端 | 专门安全 – 有限功能 |
|
SSLF-Bastion Host.inf |
SSLF-Bastion Host.inf |
SSLF-Bastion Host.inf |
审核策略设置
堡垒主机的 BHLP 审核策略设置包括在 SSLF-Bastion Host.inf 文件中。这些设置与 SSLF-Member Server Baseline.inf 文件中指定的设置相同。有关 MSBP 的详细信息,请参阅第 4 章“成员服务器基准策略”。BHLP 设置可确保所有相关的安全审核信息都记录在所有的堡垒主机服务器上。
用户权限分配
SSLF-Bastion Host.inf 文件包含堡垒主机的 BHLP 用户权限分配。这些策略设置基于第 4 章“成员服务器基准策略”中的 SSLF-Member Server Baseline.inf 文件中指定的那些设置。下表中的信息汇总了 BHLP 与 MSBP 之间的差异。表后面的文本提供了详细信息。
表 12.2 推荐的用户权限分配设置
| 用户权利指派 | 设置 |
|
拒绝从网络访问这台计算机 |
匿名登录;内置 Administrator;Support_388945a0;Guest;所有非操作系统服务帐户 |
拒绝从网络访问这台计算机
注意:安全模板中不包括匿名登录、内置 Administrator、Support_388945a0、Guest 以及所有非操作系统服务帐户。这些帐户和组具有唯一的安全标识符 (SID)。因此,您需要手动将它们添加到 BHLP 中。
此策略设置确定哪些用户不能通过网络来访问计算机。它拒绝许多网络协议,包括基于服务器消息块 (SMB) 的协议、NetBIOS、通用 Internet 文件系统 (CIFS)、HTTP 和组件对象模型+ (COM+)。当用户帐户受这两种策略的约束时,此策略设置将覆盖“从网络访问此计算机”设置。如果在您的环境中为其他组配置此用户权限,则可以限制用户的能力,让他们只能执行委派的管理任务。
在第 4 章“成员服务器基准策略”中,本指南建议您在分配了此用户权限的用户和组列表中包括 Guests 组,来提供尽可能高的安全级别。但是在默认情况下,用于匿名访问 IIS 的 IUSR 帐户是 Guests 组的成员。
对于本指南定义的 SSLF 环境中的堡垒主机,“拒绝从网络访问这台计算机”设置被配置为包括匿名登录、内置 Administrator、Support_388945a0、Guest 和所有非操作系统服务帐户。
安全选项
堡垒主机的 BHLP 安全选项设置与第 4 章“成员服务器基准策略”中的 SSLF-Member Server Baseline.inf 文件中指定的那些设置相同。这些 BHLP 设置确保在所有堡垒主机服务器上统一配置所有相关的安全选项。
事件日志设置
堡垒主机的 BHLP 事件日志设置与第 4 章“成员服务器基准策略”中的 SSLF-Member Server Baseline.inf 文件中指定的那些设置相同。这些 BHLP 设置确保在所有堡垒主机服务器上统一配置所有相关的事件日志。
其他安全设置
BHLP 应用的安全设置显著增强堡垒主机服务器的安全性。但是,还应考虑一些其他设置。无法通过本地策略应用这些设置,因此必须在所有堡垒主机服务器上手动完成它们。
在用户权限分配中手动添加唯一的安全组
在本指南附带的安全模板中,通过 MSBP 应用的大多数用户权限分配指定了正确的安全组。但是,有几个帐户和安全组不能包含于模板中,因为它们的安全标识符 (SID) 特定于各个 Windows Server 2003 域。必须手动配置下表中的用户权限分配设置。
警告:下表包含内置 Administrator 帐户的值。不要将此帐户与内置 Administrators 安全组相混淆。如果 Administrators 安全组被添加到指定的“拒绝访问”用户权限中,您将需要在本地登录以修正错误。
另外,可能已按照第 4 章“成员服务器基准策略”中的建议重命名了内置 Administrator 帐户。当将 Administrator 帐户添加到用户权限中时,请确保指定重命名后的帐户。
表 12.3 手动添加的用户权限分配
| 设置 | 旧客户端 | 企业客户端 | 专用安全 – 限制功能 |
|
拒绝从网络访问这台计算机 |
Built-in Administrator;Support_388945a0; Guest;所有非操作系统服务帐户 |
Built-in Administrator;Support_388945a0; Guest;所有非操作系统服务帐户 |
Built-in Administrator;Support_388945a0; Guest;所有非操作系统服务帐户 |
重要:“所有非操作系统服务帐户”包括用于企业中特定应用程序的服务帐户,但不包括 LOCAL SYSTEM、LOCAL SERVICE 或 NETWORK SERVICE 帐户(操作系统使用的内置帐户)。
保护众所周知的帐户
Windows Server 2003 SP1 具有大量不能删除但可重命名的内置用户帐户。Windows Server 2003 中的两个最为人熟知的内置帐户为 Guest 和 Administrator。
默认情况下,Guest 帐户在成员服务器和域控制器上被禁用。此配置不可更改。许多恶意代码的变种在初次尝试破坏服务器时使用内置 Administrator 帐户。因此,应重命名内置 Administrator 帐户和更改其描述,以帮助防止尝试使用此知名帐户的攻击者对远程服务器进行破坏。
近几年来,进行上述重命名配置的意义已经大大降低了,因为出现了很多新的攻击工具,这些工具通过指定内置 Administrator 帐户的安全标识符 (SID) 来确定该帐户的真实姓名,从而侵入服务器。SID 是用来唯一标识网络上的每个用户、用户组、计算机帐户和登录会话的值。此内置帐户的 SID 是不可能更改的。不过,如果您使用独特的名称来重命名 Administrator 帐户,您的操作组就可以轻松监视针对该 Administrator 帐户所进行的攻击尝试。
保护堡垒主机服务器上众所周知的帐户
| • |
在每台服务器上,重命名 Administrator 和 Guest 帐户,然后将其密码更改为长而复杂的值。 |
| • |
在每个服务器上使用不同的名称和密码。如果所有服务器使用同一个帐户名和密码,则取得其中一台服务器访问权的攻击者将取得其他成员服务器的访问权。 |
| • |
将帐户描述更改为不同于默认描述的内容,从而避免使用简单的帐户标识。 |
| • |
将所做的任何更改记录在安全位置。 |
错误报告
表 12.4 推荐的错误报告设置
| 设置 | 旧客户端 | 企业客户端 | 专用安全 – 限制功能 |
|
关闭 Windows 错误报告 |
已启用 |
已启用 |
已启用 |
此服务帮助 Microsoft 跟踪和解决错误。您可以将此服务配置为给操作系统错误、Windows 组件错误或程序错误生成报告。仅 Windows XP Professional 和 Windows Server 2003 提供此功能。
Error Reporting 服务可通过 Internet 将此类错误报告给 Microsoft 或内部文件共享。虽然错误报告可能包含敏感或者甚至机密的数据,但是关于错误报告的 Microsoft 隐私策略将确保 Microsoft 不会滥用此类数据。但是,如果以明文 HTTP 传输数据,第三方就可以在 Internet 上截取并查看该数据。
“关闭 Windows 错误报告”设置控制错误报告服务是否传输任何数据。
您可以使用组策略对象编辑器在 Windows Server 2003 的以下位置配置此策略设置:
计算机配置\管理模板\系统\Internet 通信管理\Internet 通信设置
对于本指南定义的所有三种环境,请将 BHLP 中的“关闭 Windows 错误报告”设置配置为“已启用”。
使用 SCW 创建策略
要部署必要的安全设置,您必须使用安全配置向导 (SCW) 和本指南的可下载版本附带的安全模板创建服务器策略。
创建您自己的策略时,确保跳过“注册表设置”和“审核策略”部分。这些设置是安全模板针对所选环境提供的。此方法是确保模板提供的策略元素优先于 SCW 配置的元素所必需的。
您应该使用新的操作系统安装开始您的配置工作,这将有助于确保没有来自以前配置的旧设置或软件。如有可能,您使用的硬件应该类似于您在部署中所使用的硬件,以帮助确保尽可能高的兼容性。新安装称为引用计算机。
在执行服务器策略创建步骤期间,您可能将文件服务器角色从检测到的角色列表中删除。通常,有些服务器不需要该角色,如果在这些服务器上配置该角色,就会带来风险。若服务器需要部署文件服务器角色,则可以在此过程的后面应用另一个策略。
创建堡垒主机策略
|
1. |
在新引用计算机上创建 Windows Server 2003 SP1 的新安装。 |
|
2. |
通过“控制面板”、“添加或删除程序”、“添加/删除 Windows 组件”来安装安全配置向导组件。 |
|
3. |
仅安装和配置每台堡垒主机所必需的应用程序。例如,防病毒或反间谍软件实用程序。 |
|
4. |
启动 SCW GUI,选择“创建新的策略”,然后将其指向引用计算机。 |
|
5. |
确保检测到的服务器角色(例如 Web 服务器)适合于堡垒主机。删除所有其他服务器角色。 |
|
6. |
确保检测到的客户端功能适合于您的环境。删除所有不必要的客户端功能。例如,应删除“Microsoft 网络客户端”和“DHCP 客户端”功能以减少服务器的攻击面。 |
|
7. |
要获得最大保护,请删除 Windows 防火墙以外的所有管理选项。附加选项会增加堡垒主机的可管理性,但也会增加其攻击面。请仔细权衡对堡垒主机正常操作不至关重要的任何选项的优点与它们可能带来的潜在安全风险。 |
|
8. |
确保您的基准所需要的任何附加服务(例如备份代理或防病毒软件)已被检测到。 |
|
9. |
确定如何处理您的环境中的未指定服务。为了获得附加的安全,您可能需要将此策略设置配置为“禁用”。应该对此配置进行测试,然后再将其部署到生产网络中,因为若生产服务器所运行的附加服务未复制到引用服务器上,部署此配置就会造成问题。 |
|
10. |
确保在“网络安全”部分中取消选中“跳过这一部分”,然后单击“下一步”。前面标识的相应端口和应用程序被配置为 Windows 防火墙的例外。取消选中除堡垒主机功能必需的端口之外的所有端口。 |
|
11. |
在“注册表设置”部分中,单击“跳过这一部分”复选框,然后单击“下一步”。这些策略设置从提供的 INF 文件中导入。 |
|
12. |
在“审核策略”部分中,单击“跳过这一部分”复选框,然后单击“下一步”。这些策略设置从提供的 INF 文件中导入。 |
|
13. |
包括相应的安全模板(例如 SSLF-Bastion Host.inf)。 |
|
14. |
以适当的名称保存策略(例如 Bastion Host.xml)。 |
使用 SCW 测试策略
在您创建和保存策略后,Microsoft 强烈建议您将其部署到测试环境中。理想情况下,测试服务器和生产服务器应具有相同的硬件和软件配置。此方法将允许您找到和修复潜在的问题,例如特定硬件设备需要意料之外的服务。
因为堡垒主机角色中的计算机没有连接到域,所以必须使用 SCW 应用设置。没有域的情况下,无法使用域策略。
测试该策略的目的是确保在将此策略应用到目标服务器时不会对其重要的功能造成负面影响。应用配置更改之后,应开始验证计算机的核心功能。例如,如果将服务器配置为证书颁发机构 (CA),请确保客户端可以请求和获取证书、下载证书吊销列表等。
如果对您的策略配置非常有信心,就可以使用以下过程中显示的 Scwcmd 将策略转换为 GPO。
有关如何测试 SCW 策略的详细信息,请参阅 Deployment Guide for the Security Configuration Wizard(网址为 www.microsoft.com/technet/prodtechnol/windowsserver2003/
library/SCWDeploying/5254f8cd-143e-4559-a299-9c723b366946.mspx )和 Security Configuration Wizard Documentation(网址为 http://go.microsoft.com/fwlink/?linkid=43450)。
实施策略
在彻底测试策略之后,请完成以下步骤来实施它:
|
1. |
启动 SCW GUI。 |
|
2. |
选择“应用现有安全策略”。 |
|
3. |
选择前面创建的 XML 文件。例如,Bastion Host.xml。 |
|
4. |
完成 SCW 向导以应用设置。 |
注意,如果 SCW 安全策略文件包含 Windows 防火墙设置,那么为使该过程成功完成,就必须在本地计算机上激活 Windows 防火墙。要验证 Windows 防火墙是否已激活,请打开“控制面板”,然后双击“Windows 防火墙”。
应该立即执行最终测试以确保 SCW 应用了期望的设置。要完成此过程,请确认是否进行了适当的设置,而且功能未受影响。
总结
由于运行 WindowsServer2003 SP1 的堡垒主机服务器不受防火墙之类的其他设备保护,因此它们暴露在外部攻击中。必须尽可能地保护好它们以最大化其可用性并尽可能降低被破坏的可能性。最安全的堡垒主机服务器限制只有高度信任的帐户才能访问它们,且只启用完成它们的功能所必需的那些服务。
本章分别解释了可用于强化堡垒主机服务器并使它们更加安全的设置和过程。许多设置可通过本地组策略应用。还提供了有关如何配置并应用手动设置的指导。
更多信息
下列链接提供了与强化运行 Windows Server 2003 SP1 的堡垒主机服务器相关的主题的附加信息。
| • |
有关构建专用网络的详细信息,请参阅 Elizabeth D. Zwicky、Simon Cooper 和 Brent D. Chapman 编写的“Firewalls and Virtual Private Networks”,网址为 www.wiley.com/legacy/compbooks/press/0471348201_09.pdf。 |
| • |
有关防火墙和安全性的详细信息,请参阅 Chuck Semeria 编写的“Internet Firewalls and Security – A Technology Overview”,网址为 www.itmweb.com/essay534.htm。 |
| • |
有关纵深防御模型的信息,请参阅美国军队的 About defense in depth 页面,网址为 http://usmilitary.about.com/careers/usmilitary/library/glossary/d/bldef01834.htm。 |
| • |
有关防御入侵者的信息,请参阅 Jay Beale 编写的“Intruder Detection Checklist”,网址为 www.cert.org/tech_tips/intruder_detection_checklist.html。 |
| • |
有关如何强化堡垒主机的详细信息,请参阅 SANS Info Sec Reading Room 文章“Hardening Bastion Hosts”,网址为 www.sans.org/rr/whitepapers/basics/420.php。 |
| • |
有关堡垒主机如何工作的其他信息,请参阅“How Bastion Hosts Work”,网址为 http://thor.info.uaic.ro/~busaco/teach/docs/intranets/ch16.htm。 |
| • |
有关如何对安全配置和分析工具进行故障排除的信息,请参阅 Microsoft 知识库文章“多个模板导入到安全配置和分析工具后问题”,网址为 http://support.microsoft.com/?kbid=279125。 |
| • |
有关网站安全性的信息,请参阅“Site Security Handbook”,网址为 www.faqs.org/rfcs/rfc2196.html。 |