概述
强化运行 Microsoft® Windows Server™ 2003 SP1 的文件服务器计算机可能是一个难题,因为这些服务器提供的最重要的服务是需要服务器消息块 (SMB) 和通用 Internet 文件系统 (CIFS) 协议的服务。这些协议可提供丰富信息给未经身份验证的用户,在高度安全的 Windows 环境中通常禁用它们。然而,如果禁用这些协议,则用户和管理员很难访问文件服务器。
本章中大部分策略设置是通过组策略配置和应用的。可以将补充成员服务器基准策略 (MSBP) 的组策略对象 (GPO) 链接到包含文件服务器的适当组织单位 (OU) 来为此服务器角色提供所需的安全设置。本章只讨论不同于 MSBP 的那些策略设置。
这些策略设置被尽可能地收集在将对文件服务器 OU 应用的增量组策略对象中。本章中的某些策略设置无法通过组策略应用。提供了有关如何手动配置这些策略设置的详细信息。
下表为本指南中定义的三种环境显示了文件服务器安全模板的名称。这些模板提供增量文件服务器模板的设置,该模板反过来用于创建链接到合适环境中文件服务器 OU 的新 GPO。第 2 章“Windows Server 2003 强化机制”提供了分步骤说明,帮助您创建 OU 和组策略,然后将合适的安全模板导入到每个 GPO。
表 7.1 文件服务器安全模板
| 旧客户端 | 企业客户端 | 专用安全 – 限制功能 |
|
LC-File Server.inf |
EC-File Server.inf |
SSLF-File Server.inf |
有关 MSBP 中的策略设置的信息,请参阅第 4 章“成员服务器基准策略”。有关所有默认策略设置的信息,请参阅附加指南威胁和对策:Windows Server 2003 和 Windows XP 的安全设置,网址为 http://www.microsoft.com/china/technet/security/guidance/secmod48.mspx。
审核策略设置
在本指南定义的三个环境中,文件服务器的审核策略设置是通过 MSBP 进行配置的。有关 MSBP 的详细信息,请参阅第 4 章“成员服务器基准策略”。MSBP 设置在所有文件服务器上激活安全审核信息日志记录。
用户权限分配
在本指南定义的三个环境中,文件服务器的用户权限分配设置是通过 MSBP 进行配置的。有关 MSBP 的详细信息,请参阅第 4 章“成员服务器基准策略”。MSBP 设置在所有文件服务器上统一配置所有适当的用户权限分配。
安全选项
在本指南定义的三个环境中,文件服务器的安全选项设置是通过 MSBP 进行配置的。有关 MSBP 的详细信息,请参阅第 4 章“成员服务器基准策略”。MSBP 设置在所有文件服务器上统一配置所有相关的安全选项设置。
事件日志设置
在本指南定义的三个环境中,文件服务器的事件日志设置是通过 MSBP 进行配置的。有关 MSBP 的详细信息,请参阅第 4 章“成员服务器基准策略”。
其他安全设置
尽管 MSBP 应用的安全设置显著增强文件服务器的安全性,本节仍要讨论一些其他注意事项。然而,本节中的设置不能通过组策略实施,因此必须在所有文件服务器上手动执行。
保护众所周知的帐户
Windows Server 2003 SP1 具有大量不能删除但可重命名的内置用户帐户。Windows Server 2003 中的两个最为人熟知的内置帐户为 Guest 和 Administrator。
默认情况下,Guest 帐户在成员服务器和域控制器上被禁用。此配置不可更改。许多恶意代码的变种在初次尝试破坏服务器时使用内置 Administrator 帐户。因此,应重命名内置 Administrator 帐户和更改其描述,以帮助防止尝试使用此知名帐户的攻击者对远程服务器进行破坏。
近几年来,进行上述重命名配置的意义已经大大降低了,因为出现了很多新的攻击工具,这些工具通过指定内置 Administrator 帐户的安全标识符 (SID) 来确定该帐户的真实姓名,从而侵入服务器。SID 是用来唯一标识网络上的每个用户、用户组、计算机帐户和登录会话的值。此内置帐户的 SID 是不可能更改的。不过,如果您使用独特的名称来重命名 Administrator 帐户,您的操作组就可以轻松监视针对该 Administrator 帐户所进行的攻击尝试。
保护文件服务器上众所周知的帐户
| • |
在每个域和服务器上,重命名 Administrator 和 Guest 帐户,然后将其密码更改为长而复杂的值。 |
| • |
在每个服务器上使用不同的名称和密码。如果所有域和服务器使用同一个帐户名和密码,则取得其中一台成员服务器访问权的攻击者将取得所有其他成员服务器的访问权。 |
| • |
将帐户描述更改为不同于默认描述的内容,从而避免使用简单的帐户标识。 |
| • |
将所做的任何更改记录在安全位置。 注意:可通过组策略重命名内置的 Administrator 帐户。未在本指南附带的任何安全模板中实施此设置,因为每个组织都应为此帐户选择一个独特的名称。但是在本指南定义的所有三种环境中,您可以配置“帐户:重命名管理员帐户”设置来重命名管理员帐户。此策略设置是 GPO 的“安全选项”设置的一部分。 |
保护服务帐户
除非不可避免,否则不要将服务配置为在域帐户的安全上下文下运行。如果服务器受到物理破坏,可以通过转储 LSA 机密轻松获取域帐户密码。有关如何保护服务帐户的详细信息,请参阅服务和服务帐户安全规划指南,网址为 www.microsoft.com/technet/security/topics/serversecurity/serviceaccount/default.mspx。
使用 SCW 创建策略
要部署必要的安全设置,您必须使用安全配置向导 (SCW) 和本指南的可下载版本附带的安全模板创建服务器策略。
创建您自己的策略时,确保跳过“注册表设置”和“审核策略”部分。这些设置是安全模板针对所选环境提供的。此方法是确保模板提供的策略元素优先于 SCW 配置的元素所必需的。
您应该使用新的操作系统安装开始您的配置工作,这将有助于确保没有来自以前配置的旧设置或软件。如有可能,您应在类似于部署中所使用的硬件上安装操作系统,以帮助确保尽可能高的兼容性。新安装称为引用计算机。
创建文件服务器策略
|
1. |
在新引用计算机上创建 Windows Server 2003 SP1 的新安装。 |
|
2. |
通过“控制面板”、“添加或删除程序”、“添加/删除 Windows 组件”来安装安全配置向导组件。 |
|
3. |
将计算机加入到域,这将应用来自父 OU 的所有安全设置。 |
|
4. |
仅安装和配置共享此角色的每个服务器所必需的应用程序。例如,特定于角色的服务、软件和管理代理、磁带备份代理以及防病毒或反间谍软件实用程序。 |
|
5. |
启动 SCW GUI,选择“创建新的策略”,然后将其指向引用计算机。 |
|
6. |
确保检测到的服务器角色(例如文件服务器角色)适合于您的环境。 |
|
7. |
确保检测到的客户端功能适合于您的环境。 |
|
8. |
确保检测到的管理选项适合于您的环境。 |
|
9. |
确保您的基准所需要的任何附加服务(例如备份代理或防病毒软件)已被检测到。 |
|
10. |
确定如何处理您的环境中的未指定服务。为了获得附加的安全,您可能需要将此策略设置配置为“禁用”。应该对此配置进行测试,然后再将其部署到生产网络中,因为若生产服务器所运行的附加服务未复制到引用服务器上,部署此配置就会造成问题。 |
|
11. |
确保在“网络安全”部分中取消选中“跳过这一部分”,然后单击“下一步”。前面标识的相应端口和应用程序被配置为 Windows 防火墙的例外。 |
|
12. |
在“注册表设置”部分中,单击“跳过这一部分”复选框,然后单击“下一步”。这些策略设置从提供的 INF 文件中导入。 |
|
13. |
在“审核策略”部分中,单击“跳过这一部分”复选框,然后单击“下一步”。这些策略设置从提供的 INF 文件中导入。 |
|
14. |
包括相应的安全模板(例如 EC-File Server.inf)。 |
|
15. |
以适当的名称保存策略(例如 File Server.xml)。 |
使用 SCW 测试策略
在您创建和保存策略后,Microsoft 强烈建议您将其部署到测试环境中。理想情况下,测试服务器和生产服务器应具有相同的硬件和软件配置。此方法将允许您找到和修复潜在的问题,例如特定硬件设备需要意料之外的服务。
两个选项都可用于测试该策略。您可以使用本机 SCW 部署工具,或通过 GPO 来部署策略。
开始创作您的策略时,您应当考虑使用本机 SCW 部署工具。使用 SCW GUI 可一次将策略强制到一个服务器,也可以使用 Scwcmd 将策略强制到一组服务器。本机部署方法允许在 SCW 中轻松回滚部署的策略。在进行测试的过程中对策略做出多次更改时,此功能就非常有用。
测试该策略的目的是确保在将此策略应用到目标服务器时不会对其重要的功能造成负面影响。应用配置更改之后,应开始验证计算机的核心功能。例如,如果将服务器配置为证书颁发机构 (CA),请确保客户端可以请求和获取证书、下载证书吊销列表等。
如果对您的策略配置非常有信心,就可以使用以下过程中显示的 Scwcmd 将策略转换为 GPO。
有关如何测试 SCW 策略的详细信息,请参阅 Deployment Guide for the Security Configuration Wizard(网址为 www.microsoft.com/technet/prodtechnol/windowsserver2003/
library/SCWDeploying/5254f8cd-143e-4559-a299-9c723b366946.mspx )和 Security Configuration Wizard Documentation(网址为 http://go.microsoft.com/fwlink/?linkid=43450)。
转换和部署策略
在彻底测试策略之后,请完成以下步骤以便将策略转换为 GPO 并进行部署:
|
1. |
在命令提示符处,键入以下命令: scwcmd transform /p:<PathToPolicy.xml> /g:<GPODisplayName> 然后按 Enter。例如: scwcmd transform /p:"C:\Windows\Security\msscw\Policies\File Server.xml" /g:"File Server Policy" 注意:因为显示限制,此处在命令提示符处输入的信息将显示为多行。应该在一行中输入全部信息。 |
|
2. |
使用组策略管理控制台将新建的 GPO 链接到适当的 OU。 |
注意,如果 SCW 安全策略文件包含 Windows 防火墙设置,那么为使该过程成功完成,就必须在本地计算机上激活 Windows 防火墙。要验证 Windows 防火墙是否已激活,请打开“控制面板”,然后双击“Windows 防火墙”。
应该立即执行最终的测试以确保 GPO 应用了期望的设置。要完成此过程,请确认是否进行了适当的设置,而且功能未受影响。
总结
本章解释了可用于在本指南定义的三种环境中配置运行 Windows Server 2003 SP1 的文件服务器的策略设置。大多数策略设置是通过旨在补充 MSBP 的组策略对象 (GPO) 应用的。GPO 可链接到包含文件服务器的适当组织单位 (OU) 来提供附加的安全。
某些策略设置无法通过组策略应用。对于这些策略设置,提供了手动配置详细信息。
更多信息
下列链接提供了与强化运行 Windows Server 2003 SP1 的文件服务器相关的主题的附加信息。
| • |
有关文件服务器的详细信息,请参阅 Windows Server 2003 文件服务技术概述,网址为 www.microsoft.com/windowsserver2003/techinfo/overview/file.mspx。 |
| • |
有关 DFS 的详细信息,请参阅白皮书分布式文件系统,网址为 www.microsoft.com/windows2000/techinfo/howitworks/fileandprint/dfsnew.asp。 |
| • |
有关 FRS 的详细信息,请参阅文件复制服务主题,网址为 www.microsoft.com/windowsserversystem/storage/storservices.mspx#EGBAAA。 |