概述
本章解释了可用于在本指南定义的三种环境中强化运行 Microsoft® Windows Server™ 2003 SP1 的基础结构服务器的策略设置。在本指南中,基础结构服务器是指提供 DHCP 服务或 Microsoft WINS 功能的服务器。
本章中大部分设置是通过组策略配置和应用的。可以将补充成员服务器基准策略 (MSBP) 的组策略对象 (GPO) 链接到包含基础结构服务器的适当组织单位 (OU) 来为服务器提供附加的安全。本章只讨论不同于 MSBP 的那些策略设置。
这些策略设置被尽可能地收集在将对基础结构服务器 OU 应用的增量组策略对象中。本章中的某些设置无法通过组策略应用。提供了有关如何手动配置这些设置的详细信息。
下表为本指南中定义的三种环境显示了基础结构服务器安全模板的名称。这些模板提供增量基础结构服务器模板的策略设置,该模板反过来用于创建链接到合适环境中基础结构服务器 OU 的新 GPO。第 2 章“Windows Server 2003 强化机制”提供了分步骤说明,帮助您创建 OU 和组策略,然后将合适的安全模板导入到每个 GPO。
表 6.1 基础结构服务器安全模板和策略
| 旧客户端 | 企业客户端 | 专用安全 – 限制功能 |
|
LC-Infrastructure Server.inf |
EC-Infrastructure Server.inf |
SSLF-Infrastructure Server.inf |
有关 MSBP 中的策略设置的信息,请参阅第 4 章“成员服务器基准策略”。有关所有默认策略设置的信息,请参阅附加指南威胁和对策:Windows Server 2003 和 Windows XP 的安全设置,网址为 http://www.microsoft.com/china/technet/security/guidance/secmod48.mspx。
审核策略设置
在本指南定义的三个环境中,基础结构服务器的审核策略设置是通过 MSBP 进行配置的。有关 MSBP 的详细信息,请参阅第 4 章“成员服务器基准策略”。MSBP 设置打开有关基础结构服务器的相关安全审核信息的日志记录。
用户权限分配设置
在本指南定义的三个环境中,基础结构服务器的用户权限分配是通过 MSBP 进行配置的。有关 MSBP 的详细信息,请参阅第 4 章“成员服务器基准策略”。MSBP 设置在所有基础结构服务器上统一配置用户权限分配。
安全选项
在本指南定义的三个环境中,基础结构服务器的安全选项设置是通过 MSBP 进行配置的。有关 MSBP 的详细信息,请参阅第 4 章“成员服务器基准策略”。MSBP 设置在所有基础结构服务器上统一配置相关安全选项设置。
事件日志设置
在本指南定义的三个环境中,基础结构服务器的事件日志设置是通过 MSBP 进行配置的。有关 MSBP 的详细信息,请参阅第 4 章“成员服务器基准策略”。
其他安全设置
MSBP 应用的安全设置显著增强基础结构服务器的安全性。本节讨论要考虑的一些附加设置。不能通过组策略配置本节中的设置;需要在所有基础结构服务器上手动配置它们。
配置 DHCP 日志记录
默认情况下,DHCP 服务只在事件日志中记录启动和关机事件。请完成下列步骤在 DHCP 服务器上启用更详细的日志:
|
1. |
在 DHCP 管理工具中,右键单击 DHCP 服务器。 |
|
2. |
选择“属性”。 |
|
3. |
在“属性”对话框的“常规”选项卡上,单击“启用 DHCP 审核记录”。 |
完成这些步骤时,DHCP 服务器在以下位置创建日志文件:
%systemroot%\system32\dhcp\
通常很难在日志文件中找到 DHCP 客户端信息,因为大多数日志中只存储了计算机名称信息,而没有存储 IP 地址。DHCP 审核日志提供了附加工具来帮助查找内部攻击或非故意活动的来源。
但是,这些日志中的信息未必十分可靠,因为主机名称和媒体访问控制 (MAC) 地址都可以进行伪造或欺骗。(假冒使传输内容看似来自其他用户,而非执行传输的用户。)然而,此信息提供的优点超过在 DHCP 服务器上启用日志记录时产生的所有成本。当需要确定特定 IP 地址如何在网络上使用时,拥有比 IP 地址和计算机名更多的信息可能非常有帮助。
默认情况下,Server Operators 和 Authenticated Users 组对 DHCP 日志文件具有读取权限。为了最好地保持 DHCP 服务器所记录信息的完整性,建议只将这些日志的访问权授予服务器管理员。应从 %systemroot%\system32\dhcp\ 文件夹的访问控制列表 (ACL) 中删除 Server Operators 组和 Authenticated Users 组。
理论上,DHCP 审核日志可以填满存储它们的磁盘。但是,“DHCP 审核记录”设置的默认配置确保日志记录在服务器上的可用磁盘空间少于 20 MB 时停止。在大多数环境中,此默认配置可以满足服务器对可用磁盘空间的要求,但是也可以修改此设置以确保有足够的可用磁盘空间用于服务器上的其他应用程序。有关如何修改此配置的信息,请参阅 Windows Server 2003 技术中心的 DhcpLogMinSpaceOnDisk 页面,网址为 www.microsoft.com/technet/prodtechnol/windowsserver2003/library/
DepKit/f7802dce-3ff9-406a-b3e6-c0c6b3ed4941.mspx。
防止 DHCP 拒绝服务攻击
因为 DHCP 服务器是为客户端提供网络访问的重要资源,所以它们可能是拒绝服务攻击的主要目标。如果 DHCP 服务器受到攻击,无法维护 DHCP 请求,则 DHCP 客户端最终将无法获得租约。因此,这些客户端将失去他们现有的 IP 租约和访问网络资源的能力。
编写一个攻击工具脚本来请求 DHCP 服务器上所有可用的地址并不困难。这样的脚本将耗尽可用 IP 地址池,DHCP 客户端随后发出的合法 IP 请求将无法得到满足。恶意用户还可能配置他们管理的计算机的网络适配器上的所有 DHCP IP 地址,从而导致 DHCP 服务器在其作用域内的所有 IP 地址中检测到 IP 地址冲突并拒绝继续分配 DHCP 租约。
而且,在使用所有其他网络服务时,耗尽 DHCP 服务器响应合法通信能力的 DoS 攻击(例如,CPU 处理能力耗尽或填满 DHCP 侦听程序的请求缓存)可以使客户端不能获得请求租约并且不能进行续订。采用正确设计的 DHCP 服务可避免这种问题。
您可以成对配置 DHCP 服务器并遵循最佳做法 80/20 规则(在服务器之间拆分 DHCP 服务器作用域以便一个 DHCP 服务器分配 80% 的地址,另一个 DHCP 服务器 分配 20% 的地址)来帮助缓解这些类型的攻击的影响。这些配置建议有助于确保客户端可以在尽管出现服务器故障的情况下继续接收 IP 地址配置。有关 80/20 规则和 DHCP 协议的详细信息,请参阅 Windows 2000 Server Resource Kit 包中的 DHCP 页面,网址为 www.microsoft.com/resources/documentation/Windows/2000/server/
reskit/en-us/cnet/cncb_dhc_klom.asp。
注意:Windows 2000 Server Resource Kit 中介绍的 80/20 规则也适用于 Windows Server 2003 SP1 中的 DHCP 服务。
保护众所周知的帐户
Windows Server 2003 SP1 具有大量不能删除但可重命名的内置用户帐户。Windows Server 2003 中的两个最为人熟知的内置帐户为 Guest 和 Administrator。
默认情况下,Guest 帐户在成员服务器和域控制器上被禁用。此配置不可更改。许多恶意代码的变种在初次尝试破坏服务器时使用内置 Administrator 帐户。因此,应重命名内置 Administrator 帐户和更改其描述,以帮助防止尝试使用此知名帐户的攻击者对远程服务器进行破坏。
近几年来,进行上述重命名配置的意义已经大大降低了,因为出现了很多新的攻击工具,这些工具通过指定内置 Administrator 帐户的安全标识符 (SID) 来确定该帐户的真实姓名,从而侵入服务器。SID 是用来唯一标识网络上的每个用户、用户组、计算机帐户和登录会话的值。此内置帐户的 SID 是不可能更改的。不过,如果您使用独特的名称来重命名 Administrator 帐户,您的操作组就可以轻松监视针对该 Administrator 帐户所进行的攻击尝试。
保护基础结构服务器上众所周知的帐户
| • |
在每个域和服务器上,重命名 Administrator 和 Guest 帐户,然后将其密码更改为长而复杂的值。 |
| • |
在每个服务器上使用不同的名称和密码。如果所有的域和服务器使用同一个帐户名和密码,则取得其中一台成员服务器访问权的攻击者就可以用相同的帐户名和密码取得其他所有服务器的访问权。 |
| • |
将帐户描述更改为不同于默认描述的内容,从而避免使用简单的帐户标识。 |
| • |
将所做的任何更改记录在安全位置。 注意:内置 Administrator 帐户可通过组策略重命名。未在本指南附带的任何安全模板中实施此策略设置,因为每个组织都应为此帐户选择一个独特的名称。但是在本指南定义的所有三种环境中,您可以配置“帐户:重命名管理员帐户”设置来重命名管理员帐户。此策略设置是 GPO 的“安全选项”设置的一部分。 |
保护服务帐户
除非不可避免,否则不要将服务配置为在域帐户的安全上下文下运行。如果服务器受到物理破坏,可以通过转储 LSA 机密轻松获取域帐户密码。有关如何保护服务帐户的详细信息,请参阅服务和服务帐户安全规划指南,网址为 www.microsoft.com/technet/security/topics/serversecurity/serviceaccount/default.mspx。
使用 SCW 创建策略
要部署必要的安全设置,您必须使用安全配置向导 (SCW) 和本指南的可下载版本附带的安全模板创建服务器策略。
创建您自己的策略时,确保跳过“注册表设置”和“审核策略”部分。这些策略设置是安全模板针对所选环境提供的。此方法是确保模板提供的策略元素优先于 SCW 配置的元素所必需的。
您应该使用新的操作系统安装开始您的配置工作,这将有助于确保没有来自以前配置的旧设置或软件。如有可能,您应在类似于部署中所使用的硬件上安装操作系统,以帮助确保尽可能高的兼容性。新安装称为引用计算机。
在执行服务器策略创建步骤期间,您可能将文件服务器角色从检测到的角色列表中删除。通常,有些服务器不需要该角色,如果在这些服务器上配置该角色,就会带来风险。若服务器需要部署文件服务器角色,则可以在此过程的后面应用另一个策略。
创建基础结构服务器策略
|
1. |
在新引用计算机上创建 Windows Server 2003 SP1 的新安装。 |
|
2. |
通过“控制面板”、“添加或删除程序”、“添加/删除 Windows 组件”来安装安全配置向导组件。 |
|
3. |
将计算机加入到域,这将应用来自父 OU 的所有安全设置。 |
|
4. |
仅安装和配置共享此角色的每个服务器所必需的应用程序。例如,特定于角色的服务、软件和管理代理、磁带备份代理以及防病毒或反间谍软件实用程序。 |
|
5. |
启动 SCW GUI,选择“创建新的策略”,然后将其指向引用计算机。 |
|
6. |
确保检测到的服务器角色(例如,DHCP 服务器和 WINS 服务器角色)适合于您的环境。 |
|
7. |
确保检测到的客户端功能适合于您的环境。 |
|
8. |
确保检测到的管理选项适合于您的环境。 |
|
9. |
确保您的基准所需要的任何附加服务(例如备份代理或防病毒软件)已被检测到。 |
|
10. |
确定如何处理您的环境中的未指定服务。为了获得附加的安全,您可能需要将此策略设置配置为“禁用”。应该对此配置进行测试,然后再将其部署到生产网络中,因为若生产服务器所运行的附加服务未复制到引用服务器上,部署此配置就会造成问题。 |
|
11. |
确保在“网络安全”部分中取消选中“跳过这一部分”,然后单击“下一步”。前面标识的相应端口和应用程序被配置为 Windows 防火墙的例外。 |
|
12. |
在“注册表设置”部分中,单击“跳过这一部分”复选框,然后单击“下一步”。这些策略设置从提供的 INF 文件中导入。 |
|
13. |
在“审核策略”部分中,单击“跳过这一部分”复选框,然后单击“下一步”。这些策略设置从提供的 INF 文件中导入。 |
|
14. |
包括相应的安全模板(例如 EC-Infrastructure Server.inf)。 |
|
15. |
以适当的名称保存策略(例如 Infrastructure Server.xml)。 |
使用 SCW 测试策略
在您创建和保存策略后,Microsoft 强烈建议您将其部署到测试环境中。理想情况下,测试服务器和生产服务器应具有相同的硬件和软件配置。此方法将允许您找到和修复潜在的问题,例如特定硬件设备需要意料之外的服务。
两个选项都可用于测试该策略。您可以使用本机 SCW 部署工具,或通过 GPO 来部署策略。
开始创作您的策略时,您应当考虑使用本机 SCW 部署工具。使用 SCW 可一次将策略强制到一个服务器,也可以使用 Scwcmd 将策略强制到一组服务器。本机部署方法允许在 SCW 中轻松回滚部署的策略。在进行测试的过程中对策略做出多次更改时,此功能就非常有用。
测试该策略的目的是确保在将此策略应用到目标服务器时不会对其重要的功能造成负面影响。应用配置更改之后,应开始验证计算机的核心功能。例如,如果将服务器配置为证书颁发机构 (CA),请确保客户端可以请求和获取证书、下载证书吊销列表等。
如果对您的策略配置非常有信心,就可以使用以下过程中显示的 Scwcmd 将策略转换为 GPO。
有关如何测试 SCW 策略的详细信息,请参阅 Deployment Guide for the Security Configuration Wizard(网址为 www.microsoft.com/technet/prodtechnol/windowsserver2003/
library/SCWDeploying/5254f8cd-143e-4559-a299-9c723b366946.mspx )和 Security Configuration Wizard Documentation(网址为 http://go.microsoft.com/fwlink/?linkid=43450)。
转换和部署策略
在彻底测试策略之后,请完成以下步骤以便将策略转换为 GPO 并进行部署:
|
1. |
在命令提示符处,键入以下命令: scwcmd transform /p:<PathToPolicy.xml> /g:<GPODisplayName> 然后按 Enter。例如: scwcmd transform /p:"C:\Windows\Security\msscw\Policies\Infrastructure.xml" /g:"Infrastructure Policy" 注意:因为显示限制,此处在命令提示符处输入的信息将显示为多行。应该在一行中输入全部信息。 |
|
2. |
使用组策略管理控制台将新建的 GPO 链接到适当的 OU。 |
注意,如果 SCW 安全策略文件包含 Windows 防火墙设置,那么为使该过程成功完成,就必须在本地计算机上激活 Windows 防火墙。要验证 Windows 防火墙是否已激活,请打开“控制面板”,然后双击“Windows 防火墙”。
应该立即执行最终的测试以确保 GPO 应用了期望的策略设置。要结束此过程,请确认是否进行了适当的策略设置,而且功能未受影响。
总结
本章解释了可用于本指南定义的三种环境中运行 Windows Server 2003 SP1 的 DHCP 和 WINS 服务器的策略设置。这些角色的大多数设置都是通过 MSBP 来进行配置的。为 DHCP 和 WINS 服务器创建基础结构策略对象的主要目标是使这些角色的必要服务完全正常工作并确保它们的安全。
尽管 MSBP 提供非常高级的安全性,本章还是讨论了基础结构服务器角色的其他注意事项。这些注意事项包括日志文件的生成。
更多信息
下列链接提供了与强化运行 Windows Server 2003 SP1 的基础结构服务器相关的主题的附加信息。
| • |
有关 Windows Server 2003 中的 DHCP 日志记录已如何更改的信息,请参阅 Microsoft 知识库文章“Changes in Windows Server 2003 DHCP Logging”,网址为 http://support.microsoft.com/?kbid=328891。 |
| • |
有关 DHCP 的详细信息,请参阅动态主机配置协议页面,网址为 www.microsoft.com/resources/documentation/Windows/2000/server/reskit/ |
| • |
有关 WINS 的详细信息,请参阅“Windows 2000 Server Windows Internet 命名服务 (WINS) 概述”,网址为 www.microsoft.com/technet/archive/windows2000serv/evaluate/featfunc/nt5wins.mspx。 |
| • |
有关在 Windows Server 2003 中安装 WINS 的信息,请参阅“安装和管理 WINS 服务器”页面,网址为 www.microsoft.com/technet/prodtechnol/windowsserver2003/library/ |