概述
本章介绍了 Microsoft® Windows Server™ 2003 上用于实施安全设置的机制。Windows Server 2003 SP1 提供了安全配置向导 (SCW),它是一种可用于使服务器更安全的基于角色的新工具。与组策略对象 (GPO) 结合使用时,SCW 能使强化过程获得更大的控制、更高的灵活性和更强的一致性。
本章重点介绍以下主题:
| • |
如何使用 SCW 创建、测试和部署基于角色的强化策略。 |
| • |
Active Directory® 目录服务如何通过使用 GPO 来促进一致的企业强化。 |
| • |
Active Directory 域设计、组织单位 (OU) 设计、组策略设计和管理组设计是如何影响安全部署的。 |
| • |
如何使用 SCW 和组策略来创建可管理的、基于角色的方法,以便强化运行 Windows Server 2003 SP1 的服务器。 |
此信息提供了域基础结构中可用于将旧客户端 (LC) 环境演变为专用安全 – 限制功能 (SSLF) 环境的基础和设想。
使用安全配置向导进行强化
SCW 的目的旨在提供一个灵活的分步骤过程,以减少运行 Windows Server 2003 SP1 的服务器上的攻击面。SCW 实际是一个结合了 XML 规则数据库的工具集。其目的是帮助管理员快速而准确地确定特定服务器必须实现的角色所必需的最少功能。
使用 SCW,管理员可以创作、测试、故障排除和部署用于禁用所有非重要功能的安全策略。它还让用户能够回滚安全策略。SCW 为在单台服务器上以及在共享相关功能的服务器组上进行安全策略管理提供了本机支持。
SCW 是一个功能全面的工具,有助于实现下列任务:
| • |
确定哪些服务必须激活、哪些服务在必要时应运行以及哪些服务可被禁用。 |
| • |
结合 Windows 防火墙管理网络端口筛选。 |
| • |
控制哪些 IIS Web 扩展可用于 Web 服务器。 |
| • |
避免协议暴露于基于服务器消息块 (SMB) 的协议、NetBIOS、通用 Internet 文件系统 (CIFS) 以及轻型目录访问协议 (LDAP)。 |
| • |
创建可以捕获感兴趣事件的有用审核策略。 |
有关如何安装、使用以及对 SCW 进行故障排除的详细说明可在“安全配置向导”文档的可下载版本中找到,网址为 www.microsoft.com/downloads/details.aspx?FamilyID=903fd496-9eb9-4a45-aa00-3f2f20fd6171&displaylang=en。
注意:SCW 只能与 Windows Server 2003 SP1 一起使用。不能使用它为 Windows 2000 Server、Windows XP 或 Windows Small Business Server 2003 创建策略。要强化为数不少的运行上述操作系统的计算机,您需要利用本章后面介绍的基于组策略的强化机制。
创建和测试策略
可从单台计算机使用 SCW 快速创建和测试适用于多台服务器或服务器组的安全策略。此功能允许您从单个位置管理整个企业中的策略。这些策略提供一致的、受支持的、适合于组织中每台服务器所提供的功能的强化措施。如果使用 SCW 创建和测试策略,则应该将 SCW 部署到所有目标服务器。虽然您是在管理站上创建策略,但 SCW 将尝试与目标服务器进行通信以检查其配置并微调生成的策略。
SCW 与 IPsec 和 Windows 防火墙子系统相集成,并对那些设置做出相应的修改。若未被阻止,SCW 将配置 Windows 防火墙以允许到操作系统以及侦听监听应用程序所需的重要端口的入站网络通信。需要时,SCW 可以创建附加的端口筛选器。因此,SCW 所创建的策略解决了用于设置或修改 IPsec 筛选器以阻塞不需要的通信的自定义脚本的需要。此功能简化了网络强化的管理。使用 RPC 或动态端口的服务的网络筛选器配置也可以简化。
SCW 还提供了用于在很大程度上自定义您所创建的策略的功能。此灵活性可帮助您创建一种不但许可必要的功能,同时还有助于降低安全风险的配置。除了基准行为和设置之外,您可以在以下区域中覆盖 SCW:
| • |
服务 |
| • |
网络端口 |
| • |
Windows 防火墙批准的应用程序 |
| • |
注册表设置 |
| • |
IIS 设置 |
| • |
包括预先存在的安全模板(.inf 文件) |
SCW 会向管理员建议某些最重要的注册表设置。为降低工具的复杂性,设计人员选择了仅包含那些对安全具有最大影响的设置。但是,本指南介绍了更多的注册表设置。要克服 SCW 的限制,您可以将安全模板与 SCW 的结果结合使用来创建更全面的配置。
使用 SCW 新建策略时,SCW 将服务器的当前配置用作初始配置。因此,应面向类型与您打算部署策略的服务器相同的服务器,以便您可以准确地描述服务器的角色的配置。使用 SCW 图形用户界面 (GUI) 新建策略时,它将创建一个 XML 文件并将其默认保存到 %systemdir%\security\msscw\Policies 默认文件夹中。创建策略之后,您可以 SCW GUI 或 Scwcmd 命令行工具将策略应用到测试服务器。
测试策略时,您可能需要删除部署的策略。您可以使用 GUI 或命令行工具回滚上一个应用至服务器或服务器组的策略。SCW 将以前的配置设置保存在 XML 文件中。
对于只有有限资源来设计和测试安全配置的组织而言,SCW 就已足够。缺乏此类资源的组织不应尝试强化服务器,因为这样的工作往往会导致意外问题并造成生产力损失。如果您的组织既没有专门技术也没有时间来处理此类问题,则应该集中于其他重要的安全活动(例如,将应用程序和操作系统升级至最新版本)和更新管理。
部署策略
有三种不同的选项可用于部署您的策略:
| • |
使用 SCW GUI 应用策略 |
| • |
使用 Scwcmd 命令行工具应用策略 |
| • |
将 SCW 策略转换为组策略对象并将其链接到域或 OU |
每个选项都有其各自的优点和缺点,这些优点和缺点将在以下小节中介绍。
使用 SCW GUI 应用策略
SCW GUI 的主要优点是简易。GUI 允许管理员轻松选择预先定义的策略并将其应用至单台计算机。
SCW GUI 选项的缺点是它一次只允许将策略应用至一台计算机。对于大型组织而言,此选项不能扩展,而且本指南不使用此方法。
使用 Scwcmd 命令行工具应用策略
将本机 SCW 策略应用至多台不使用 Active Directory 的计算机的一种方法是使用 Scwcmd 工具。您也可以将 Scwcmd 与脚本技术组合使用,来提供一定程度的自动化策略部署,作为用于构建和部署服务器的现有进程的一部分。
Scwcmd 选项的主要缺点是它不是自动的。您必须手动或通过特定的脚本解决方案指定策略和目标服务器,这意味着很有可能将不合适的策略强制到不需要此策略的计算机。如果组中的服务器所具有的配置稍有不同,就需要分别针对那些服务器创建并应用单独的策略。因为这些限制,本指南不使用此方法。
将 SCW 策略转换为组策略对象
SCW 策略部署的第三种选项是使用 Scwcmd 工具将基于 XML 的策略转换为组策略对象 (GPO)。虽然起初看来此转换步骤似乎不必要,但它有如下优点:
| • |
使用熟悉的基于 Active Directory 的机制复制、部署和应用策略。 |
| • |
因为策略是本机 GPO,所以它们可以与 OU、策略继承和增量型策略一起使用来微调以类似方式配置但与其他服务器不完全一样的服务器的强化。使用组策略时,您可以将这些服务器置入子 OU 中并应用增量型策略,而使用 SCW 时,您需要为每个唯一的配置新建策略。 |
| • |
策略会自动应用到所有置入相应 OU 中的服务器。本机 SCW 策略必须结合特定的自定义脚本解决方案来手动应用或使用。 |
使用 Active Directory 组策略来强化服务器
Active Directory 允许应用程序查找、使用和管理分布式计算环境中的目录资源。虽然有关如何设计 Active Directory 基础结构的详细信息就可以构成一本书,但本部分只是简要介绍这些概念,为本指南后续部分作好铺垫。要深入洞察组策略的使用方法以便安全管理您的组织的域、域控制器和特定的服务器角色,就必须掌握此设计信息。如果您的组织已经有 Active Directory 设计,那么阅读本章可以洞察其中的一些安全优点或潜在问题。
本指南未提供有关如何保护 Active Directory 数据库的任何具体指导。要获得这样的指导,请参阅本章结尾“更多信息”部分中所引用的保护 Active Directory 安装的最佳做法指南文档。
创建 Active Directory 基础结构时,必须小心斟酌环境的安全边界。如果您充分规划组织的安全委派和实施计划,您的组织就可以获得一个更安全的 Active Directory 设计。如果环境发生了重大变化,例如合并或重组,则只需对设计结构重新调整。
Active Directory 边界
Active Directory 中有几种不同的边界类型。这些边界定义了林、域、站点拓扑结构以及权限委派,在您安装 Active Directory 时,它们会自动建立。但是,您必须确保在权限边界中加入组织要求和策略。管理权限委派相当灵活,可以适应不同组织的要求。例如,要在安全和管理功能之间维持适当的平衡,您可以在安全边界和管理边界之间划分权限委派边界。
安全边界
安全边界可帮助定义组织内部不同组的自主或隔离。很难在足够的安全(基于组织的业务边界的建立方法)和维持一致的基础功能级别的需要之间进行平衡。为了成功实现此平衡,必须针对委派管理权限的安全隐患和其他涉及环境的网络结构选择,权衡组织所面临的威胁。
林是您的网络环境的真正安全边界。本指南建议您创建单独的林以保持您的环境的安全,防止来自其他域的管理员的潜在破坏。此方法也有助于确保在一个林遭到破坏时,不会自动导致整个企业遭到破坏。
域是 Active Directory 的管理边界,而不是安全边界。如果组织成员都是善意的,域边界将提供对组织的每个域内的服务和数据进行自助管理。很遗憾,对于安全而言,实现隔离并不简单。例如,域不能完全隔离恶意域管理员的攻击。这种隔离只能在林级实现。
在域中,组织单位 (OU) 提供了另一级别的管理边界。OU 提供了一种灵活方法对相关资源进行分组并将管理访问权限委派给合适的人员,但不向他们提供管理整个域的能力。类似域,OU 并非真正的安全边界。虽然您可以给 OU 分配权限,但是同一域中的所有 OU 都将针对域和林资源对资源进行身份验证。而且,良好设计的 OU 层次结构有助于开发、部署和管理有效的安全措施。
您的组织可能需要考虑在当前的 Active Directory 设计中划分服务和数据的管理控制。有效的 Active Directory 设计要求您完全了解您的组织对服务自主和隔离以及数据自主和隔离的要求。
管理边界
因为可能需要对服务和数据进行分段,所以您必须定义不同的必需管理级别。除了那些可能为您的组织执行特有服务的管理员之外,本指导还建议您考虑以下类型的管理员。
服务管理员
Active Directory 服务管理员负责配置和传送目录服务。例如,服务管理员维护域控制器服务器、控制目录级别的配置设置以及确保服务可用性。您应该考虑让组织中的 Active Directory 管理员成为您的服务管理员。
Active Directory 服务配置通常由属性值确定。这些属性值与其各自存储在目录中的对象的设置相对应。因此,Active Directory 中的服务管理员也是数据管理员。您的组织需求可能需要您在您的 Active Directory 服务设计中考虑其他服务管理员组。一些示例包括:
| • |
域管理组,主要负责目录服务。 林管理员选择组来管理每个域。由于每个域的管理员被授予高级访问权限,所以这些管理员应该是高度受信任的个人。域管理员通过 Domain Administrators 组和其他内置组来控制域。 |
| • |
管理 DNS 的管理员组。 DNS 管理员组完成 DNS 设计和管理 DNS 基础结构。DNS 管理员通过 DNS Administrators 组来管理 DNS 基础结构。 |
| • |
管理 OU 的管理员组。 OU 管理员负责指定各 OU 的管理者(组或个人)。每个 OU 管理员管理存储在分配的 Active Directory OU 中的数据。这些组可控制如何委派管理,如何将策略应用于 OU 中的对象。OU 管理员还可以创建新子树并委派他们负责的 OU 的管理。 |
| • |
管理基础结构服务器的管理员组。 负责基础结构服务器管理的组管理 WINS、DHCP 并潜在管理 DNS 基础结构。在某些情况下,处理域管理的组将管理 DNS 基础结构,原因是 Active Directory 已与 DNS 集成并在域控制器上存储和管理。 |
数据管理员
Active Directory 数据管理员管理存储在 Active Directory 或加入至 Active Directory 中的计算机上的数据。这些管理员不能控制目录服务的配置和传送。数据管理员是由组织设立的安全小组的成员。有时,Windows 的默认安全组并不清楚组织的所有情况。此时,组织可开发自己的安全组命名标准和意义,最大程度地满足环境的需要。数据管理员的部分日常工作包括:
| • |
控制目录中的对象子集。通过可继承的属性级别访问控制,数据管理员可被授予对目录中非常具体的部分的控制权,但是无法控制服务本身的控制。 |
| • |
管理目录中的成员计算机以及那些计算机上的数据。 |
注意:在许多情况下,存储在目录中的对象的属性值确定目录的服务配置。
总之,若要允许 Active Directory 服务和目录结构的所有者加入林或域基础结构,组织就必须信任林和所有域中的所有服务管理员。此外,企业安全计划必须开发标准策略和程序以便针对管理员执行适当的背景检查。在安全指南的上下文中,信任服务管理员是指:
| • |
适度信任服务管理员将以组织的最大利益为出发点。如果有合理的理由相信林或域的所有者将对组织进行恶意攻击,组织就不应当选择加入该林或域。 |
||||
| • |
适度信任服务管理员将遵循最佳做法并限制对域控制器的物理访问。 |
||||
| • |
了解并接受组织可能遇到的风险,具体包括:
|
有些组织可能接受来自组织中其他部门的流氓或被胁迫的服务管理员的安全违反的风险。此类组织可能判定参与共享基础结构的协作和节省成本优点超过此风险。但是,另一些组织可能并不接受这种风险,因为潜在的安全违反非常严重。
Active Directory 和组策略
虽然 OU 提供了一种容易的方法对计算机、用户、组和其他安全主体进行分组,它们还提供了一种有效的方法对管理边界进行分段。此外,OU 还为部署组策略对象 (GPO) 提供了至关重要的结构,因为它们可以依照安全需要对资源进行分段,并允许您向不同的 OU 提供不同的安全性。使用 OU 基于服务器角色来管理和分配安全策略是组织整体安全结构的完整组成部分。
委派管理和应用组策略
OU 是域的目录结构之中的容器。虽然这些容器通常用于容纳一种特定类型的对象,但它们可以容纳域中的任意安全主体。若要给组或个别用户授予 OU 访问权限,您可以在该 OU 上设置特定的访问控制列表 (ACL),然后该 OU 中的所有对象就可以继承这些权限;若要撤消其 OU 访问权限,取消该列表即可。
您可以使用 OU 来提供基于角色的管理功能。例如,一个管理员组可以负责用户和组 OU,另一个组可以管理包含服务器的 OU。您也可以创建一个 OU 以包含其他用户通过称为委派控制的进程来管理的资源服务器组。此方法向委派组提供特定 OU 的自主控制权限,但不会将委派组与域中其他的组相隔离。
委派特定 OU 的控制权限的管理员可能是服务管理员。在级别较低的授权中,控制 OU 的用户通常是数据管理员。
管理组
管理员可以创建管理组将用户、安全组或服务器群集进行分段并加入至自主管理的容器中。
例如,考虑域中的基础结构服务器。基础结构服务器包括所有运行基本网络服务的非域控制器,例如提供 WINS 和 DHCP 服务的服务器。通常,操作组或基础结构管理组维护这些服务器。可以使用 OU 轻松为这些服务器提供管理功能。
下图提供了这种 OU 配置的高级视图。
图 2.1 OU 管理委派
当 Infrastructure Admin 组被委派基础结构 OU 的控制权限时,该组的成员就具有此基础结构 OU 及其所有服务器和对象的完全控制权限。此功能允许此组的成员使用组策略对服务器角色进行保护。
此方案只是一种 OU 可用于提供管理分段的方法。如果组织情况更复杂,请参阅本章结尾的“更多信息”部分。
注意:因为 Active Directory 过度依赖于 DNS,所以常见做法是在域控制器上运行 DNS 服务。在默认情况下,域控制器被置入内置域控制器 OU 中。本指南中的示例遵循这种做法,因此基础结构服务器角色不包括 DNS 服务。
组策略应用
使用组策略并委派管理权限,将特定设置、权限和行为应用到 OU 中的所有服务器。使用组策略替代手动步骤时,若在需要时进行了其他任何更改,更新多台服务器就很简单。
组策略按下图中所示的顺序累积和应用。
如图中所示,先在计算机的本地策略级别应用策略。应用本地策略后,依次在站点级和域级应用任何 GPO。如果服务器嵌套于多个 OU 中,则 OU 级别最高的 GPO 将先应用。GPO 应用处理将沿着 OU 层次结构继续向下进行。最后应用的 GPO 处于包含服务器对象的子 OU 级别。处理组策略的优先级顺序从最高的 OU(离用户或计算机帐户最远)延伸至最低的 OU(实际包含用户或计算机帐户的 OU)。
应用组策略时应记住以下基本注意事项:
| • |
您必须为具有多个 GPO 的组策略级别设置 GPO 应用顺序。如果多个策略指定相同选项,则最后应用的策略将最优先。 |
| • |
如果不希望其他 GPO 覆盖某个组策略,则必须使用“禁止覆盖”选项配置该组策略。如果使用组策略管理控制台 (GPMC) 管理您的 GPO,则此选项的名称就是“强制”。 |
时间配置
许多安全服务(特别是身份验证)都依赖准确的计算机时钟来执行其作业。您应该确保计算机时间是准确的,而且组织中的所有服务器都使用相同的时间源。Windows Server 2003 W32Time 服务为基于 Windows Server 2003 和 Microsoft Windows XP 并在 Active Directory 域中运行的计算机提供时间同步。
W32Time 服务将基于 Windows Server 2003 的计算机的时钟与域中域控制器的时钟进行同步。此同步是 Kerberos 协议和其他身份验证协议正常工作不可或缺的。为正确运行,许多 Windows 服务器系列组件必须基于精确且同步的时间。如果客户端上的时钟未同步,Kerberos 身份验证协议就可能拒绝用户访问。
时间同步提供的另一重要优点是企业中所有客户端上的事件相关性。环境中客户端上的同步时钟确保您可以正确分析整个组织中那些客户端上按一致的顺序发生的事件。
W32Time 服务使用网络时间协议 (NTP) 来同步运行 Windows Server 2003 的计算机上的时钟。在 Windows Server 2003 林中,时间默认为按以下方式进行同步:
| • |
林根域中的主域控制器 (PDC) 模拟器操作主机是组织的权威时间源。 |
| • |
林中其他域内的所有 PDC 操作主机选择用于同步其时间的 PDC 模拟器时,它们都遵循该域层次结构。 |
| • |
域中的所有域控制器将其时间与域中的 PDC 模拟器操作主机(作为入站时间伙伴)同步。 |
| • |
所有成员服务器和客户端桌面计算机都使用身份验证域控制器作为入站时间伙伴。 |
为确保时间准确,可以将林根域中的 PDC 模拟器与权威的时间源同步,例如可靠的 NTP 源或网络上高度准确的时钟。注意,NTP 同步使用 UDP 端口 123 通信。与外部服务器同步之前,应该权衡打开此端口的好处与潜在的安全风险。
此外,如果与不受您控制的外部服务器同步,则将面临着使用错误时间来配置您的服务器的风险。攻击者可能会破坏或假冒外部服务器以恶意控制您的计算机上的时钟。如上述说明所示,Kerberos 身份验证协议要求同步的计算机时钟。如果时钟未同步,就可能出现服务拒绝情况。
安全模板管理
安全模板是可用于将安全配置应用至计算机的文本文件。您可以使用 Microsoft 管理控制台 (MMC) 安全模板管理单元或使用诸如记事本之类的文本编辑器来修改安全模板。模板文件的某些部分包含特定的、使用安全描述符定义语言 (SDDL) 编写的 ACL。您可以在 Microsoft MSDN®“Security Descriptor Definition Language”页面上找到有关如何编辑安全模板和 SDDL 的详细信息,网址为 http://msdn.microsoft.com/library/
en-us/secauthz/security/security_descriptor_definition_language.asp。
默认情况下,通过身份验证的用户有权限读取组策略对象中的所有设置。因此,将适用于生产环境的安全模板存储在一个只有实施组策略的管理员才能访问的安全位置中非常重要。目的不是为了防止查看 *.inf 文件,而是为了防止对源安全模板进行未经授权的更改。
所有运行 Windows Server 2003 的计算机将安全模板存储在其本地的 %SystemRoot%\security\templates 文件夹中。不会在多个域控制器之间复制此文件夹,因此您将需要指定一个位置来保存安全模板的主副本,以防止模板出现版本控制问题。在修改核心位置中的模板之后,可以将其重新部署到相应的计算机。此方法将确保您始终修改同一模板副本。
成功的 GPO 应用事件
虽然管理员可以手动检查所有设置以确保它们都正确应用至组织中的服务器,但事件日志中也应当显示一个事件,通知管理员域策略已成功下载到每台服务器。类似以下且具有唯一事件 ID 号的事件将显示在应用日志中:
类型:信息
源 ID:SceCli
事件 ID:1704
描述:组策略对象中的安全策略已成功应用。
在默认情况下,工作站或服务器上的安全设置每 90 分钟刷新一次,域控制器每 5 分钟刷新一次。如果在这些时间间隔期间发生了任何更改,您将看到此类型的时间。此外,设置还可以每 16 小时刷新一次,而不管是否做出任何更改。您也可以手动强制组策略设置使用本章后面介绍的过程来更新。
服务器角色组织单位
前面的示例显示了一种管理组织的基础结构服务器的方法。可扩展此方法以包含组织中的其他服务器和服务。目标是为所有服务器创建无缝的组策略,并确保驻留在 Active Directory 中的服务器符合您的环境的安全标准。
此类型的组策略构成了适用于您的组织中所有服务器的标准设置的一致基准。此外,OU 结构及组策略的应用必须提供详细的设计,以便为组织中特定类型的服务器提供安全设置。例如,Internet 信息服务器 (IIS)、文件、打印、Internet 身份验证服务器 (IAS) 以及证书服务是组织中一些可能要求唯一组策略的服务器角色。
重要:为简便起见,本章中的示例假定使用的是企业客户端环境。如果您使用其他两个环境之一,请替代相应文件名。第 1 章“《Windows Server 2003 安全指南》简介”中介绍了三种环境及其功能的差别。
成员服务器基准策略
建立服务器角色 OU 的第一步是创建基准策略。要创建这样的策略,您可以在标准成员服务器上使用 SCW 来创建 Member Servers Baseline.xml 文件。作为 XML 创建的一部分,使用 SCW 包括其中一个提供的成员服务器基准安全模板(LC-Member Server Baseline.inf、EC-Member Server Baseline.inf 或 SSLF-Member Server Baseline.inf)。
生成 SCW 策略之后,将它转换为 GPO 并与成员服务器 OU 相链接。此新的基准 GPO 将基准组策略的设置应用至成员服务器 OU 中的任意服务器以及子 OU 中的任意服务器。第 4 章“成员服务器基准策略”讨论了成员服务器基准策略。
应该在基准组策略中为组织中的大多数服务器定义期望的设置。虽然有些服务器不应当接收到基准策略,但这样的服务器不是很多。如果创建您自己的基准组策略,那么策略限制性应尽可能高,而且将任何需要从此策略中分开的服务器分段至特定于单独服务器的 OU。
服务器角色类型和组织单位
除了基准 OU 之外,每个识别的服务器角色还要求附加的 SCW 策略、安全模板和 OU。此方法允许针对每个角色所需要的增量型更改创建单独策略。
在上一个示例中,基础结构服务器被置入基础结构 OU 中,该 OU 是成员服务器 OU 的子 OU。下一步是将适当的配置应用到这些服务器。此解决方案提供了三个安全模板,每个安全环境一个模板:LC-Infrastructure Server.inf、EC-Infrastructure Server.inf 和 SSLF-Infrastructure Server.inf。这些安全模板在与 SCW 一起使用时,将帮您创建一个安全策略,它包含 DHCP 和 WINS 所需要的特定调节。然后,结果策略会被转换为新的 GPO 并链接到基础结构 OU。
此 GPO 使用“受限制的组”设置将以下三个组添加到基础结构 OU 中所有服务器的“本地管理员”组:
| • |
域管理员 |
| • |
企业管理员 |
| • |
基础结构管理员 |
如本章前面所述,此方案是创建可用于部署 GPO 的 OU 结构的许多方法之一。有关如何为组策略实施创建 OU 的详细信息,请参阅“设计 Active Directory 结构”和相关主题,网址为 www.microsoft.com/resources/documentation/Windows/2000/server/reskit/
en-us/deploy/dgbd_ads_heqs.asp?frame=true。
下表列出了 Windows Server 2003 服务器角色和本指南中定义的相应模板文件。安全模板文件名前缀为 <Env> 变量,它会根据需要被 LC(旧客户端)、EC(企业客户端)或 SSLF(专用安全– 限制功能)替换。
表 2.1 Windows Server 2003 服务器角色
| 服务器角色 | 描述 | 安全模板文件名 |
|
成员服务器 |
所有属于域的成员并驻留在成员服务器 OU 之中或以下的服务器。 |
<Env>-Member Server Baseline.inf |
|
域控制器 |
所有 Active Directory 域控制器。这些服务器也是 DNS 服务器。 |
<Env>-Domain Controller.inf |
|
基础结构服务器 |
所有锁定的 WINS 和 DHCP 服务器。 |
<Env>-Infrastructure Server.inf |
|
文件服务器 |
所有锁定的文件服务器。 |
<Env>-File Server.inf |
|
打印服务器 |
所有锁定的打印服务器。 |
<Env>-Print Server.inf |
|
Web 服务器 |
所有锁定的 IIS Web 服务器。 |
<Env>-Web Server.inf |
|
IAS 服务器 |
所有锁定的 IAS 服务器。 |
<Env>-IAS Server.inf |
|
证书服务服务器 |
所有锁定的证书颁发机构 (CA) 服务器。 |
<Env>-CA Server.inf
|
|
堡垒主机 |
所有面向 Internet 的服务器。 |
<Env>-Bastion Host.inf
|
所有除适用于堡垒主机服务器之外的模板文件均适用于相应的子 OU。上述每个子 OU 都需要您应用特定的配置以定义组织中每台计算机将实现的角色。
所有这些服务器角色的安全要求各不相同。各个角色的相应安全设置将在后续章节中详细介绍。注意,并非所有角色都具有对应于所有环境的模板。例如,堡垒主机角色始终被视为在 SSLF 环境中。
重要:本指南假定运行 Windows Server 2003 的计算机将执行专门定义的角色。如果组织中的服务器与这些角色不匹配,或者如果您有多用途服务器,请将此处定义的设置用作指南,供您定制安全模板时使用。不过,请记住每台服务器执行的功能越多,服务器就越容易遭到攻击。
下图举例说明了 EC 环境中支持这些定义的服务器角色的最终 OU 设计。
OU、GPO 和组设计
上一部分中介绍的建议 OU 和策略创建了基准或新的环境,以便对组织中运行 Windows Server 2003 的计算机的现有 OU 结构进行重新调整。管理员使用其预先定义的管理边界来创建其各自的管理组。下表举例说明了这些组与他们所管理的 OU 的联系。
表 2.2 OU 和管理组
| OU 名称 | 管理组 |
|
域控制器 |
域工程 |
|
成员服务器 |
域工程 |
|
基础结构 |
基础结构管理员 |
|
文件 |
基础结构管理员 |
|
打印 |
基础结构管理员 |
|
IAS |
域工程 |
|
Web |
Web 服务 |
|
CA |
企业管理员 |
每个管理组是由负责 Active Directory 基础结构和安全的“域工程”成员作为域中的全局组来创建的。他们使用相应的 GPO 将这些管理组中的每个管理组添加到相应的限制组。表中列出的管理组将只能是相应计算机的“本地管理员”组的成员,这些计算机位于专门包含与其工作职能相关的计算机的 OU 中。
最后,“域工程”成员在每个 GPO 上设置权限,以便只有组中的管理员才能对其进行编辑。
注意,创建和配置这些组是 Active Directory 整体设计和实施过程的一部分。它不属于本指南的范畴。
过程概述
本指南结合了基于 SCW 的和基于组策略的方法的强度。此混合方法不仅能使您更容易地创建和测试安全配置,还能提供大型 Windows 网络所必需的灵活性和可扩展性。
用于创建、测试和部署策略的过程如下所示:
|
1. |
创建 Active Directory 环境,包括组和 OU。应该创建适当的管理组并将 OU 权限委派给相应的组。 |
|
2. |
在宿主 PDC 模拟器 FSMO 的域控制器上配置时间同步。 |
|
3. |
配置域策略。 |
|
4. |
使用 SCW 创建基准策略。 |
|
5. |
使用 SCW 测试基准策略。 |
|
6. |
将基准策略转换为 GPO 并将其链接到适当的 GPO。 |
|
7. |
使用 SCW 和附带的安全模板创建角色策略。 |
|
8. |
使用 SCW 测试角色策略。 |
|
9. |
将角色策略转换为 GPO 并将其链接到适当的 GPO。 |
以下部分详细描述了这些步骤。
注意:为简便起见,本部分中的示例假定使用的是企业客户端 (EC) 环境。如果您使用其他两个环境之一,请替代相应文件名。第 1 章“《Windows Server 2003 安全指南》简介”中介绍了三种环境及其功能的差别。
创建 Active Directory 环境
在开始强化过程之前,必须具有适当的 Active Directory 域和 OU 结构。以下过程列出了用于创建本指南中所使用的 OU 和组以及对其进行配置以获取适当的管理访问权限的步骤。
|
1. |
打开 MMC Active Directory 用户计算机管理单元 (Dsa.msc)。 |
|
2. |
在域对象的根中,创建一个称为成员服务器的 OU。 |
|
3. |
导航到该新 OU 并在其中创建一个称为“基础结构”的子 OU。 |
|
4. |
将所有 WINS 和 DHCP 服务器移到基础结构 OU。 |
|
5. |
创建一个称为 Infrastructure Admins 的全局安全组,然后给其添加适当的域帐户。 |
|
6. |
运行控制委派向导以便给 Infrastructure Admins 提供 OU 的完全控制。 |
|
7. |
针对文件服务器、打印服务器、Web 服务器、IAS 服务器和证书服务服务器角色重复步骤 3 至 6。在相应的 OU 和组名称中使用表 2.2 中的信息。 |
配置时间同步
以下过程确保域控制器和成员服务器与外部时间源同步。此同步将有助于确保该 Kerberos 身份验证正常工作,并允许您将 Active Directory 域与您可能使用的任何外部计算机同步。
|
1. |
在具有 PDC 仿真器 FSMO 的域控制器上,打开命令提示符并执行以下命令,其中 <PeerList> 是期望时间源的以逗号分隔的 DNS 名称或 IP 地址列表: w32tm /config /syncfromflags:manual /manualpeerlist:<PeerList> |
|
2. |
要更新配置,请执行以下命令: w32tm /config /update |
|
3. |
选中事件日志。如果计算机无法访问服务器,该过程将失败并将条目写入到事件日志。 |
本过程最常见的用途是将内部网络的权威时间源与非常精确的外部时间源同步。不过,本过程可在任何运行 Windows XP 的计算机或 Windows Server 2003 系列成员的计算机上运行。通常,若所有服务器的时钟都与相同的内部源同步,就没有必要将它们与外部源同步。默认情况下,成员计算机始终将其时钟与域控制器同步。
注意:为获得准确的日志分析,还应该将运行非 Windows 操作系统的网络计算机的时钟同步到 Windows Server 2003 PDC 模拟器或者该服务器的相同时间源。
配置域策略
以下过程导入本指南为域级策略提供的安全模板。此策略作为安全模板提供,因为 SCW 无法处理域级策略。在实施以下过程之前,必须在计算机上找到特定策略 (.inf) 文件。
警告:本指南中的安全模板旨在提高环境的安全性。安装这些安全模板很可能会导致环境中的特定功能丢失,造成任务关键型应用程序失败。
在将这些设置部署到生产环境中之前,对它们进行彻底测试非常重要。在应用任何新的安全设置之前,请先对环境中的每个域控制器和服务器进行备份。确保将系统状态包括在备份中,这样在必要时可以还原注册表设置和 Active Directory 对象。
导入域策略安全模板
|
1. |
在 Active Directory 用户和计算机中,右键单击域,然后选择“属性”。 |
||
|
2. |
在“组策略”选项卡上,单击“新建”以添加新的 GPO。 |
||
|
3. |
输入“EC 域策略”,然后按 Enter。 |
||
|
4. |
右键单击“EC 域策略”,然后选择“禁止替代”。 |
||
|
5. |
选择“EC 域策略”,然后单击“编辑”。 |
||
|
6. |
在“组策略编辑器”窗口中,单击“计算机配置\Windows 设置”。右键单击“安全设置”,然后选择“导入策略”。 |
||
|
7. |
在“策略导入来源”对话框中,导航到“\工具和模板\安全指南\安全模板”,然后双击 EC-Domain.inf。 |
||
|
8. |
关闭已修改的组策略。 |
||
|
9. |
关闭“域属性”窗口。 |
||
|
10. |
如果不想等待计划的组策略应用,则可手动启动进程。为此,请执行下列操作:
|
||
|
11. |
在事件日志中验证组策略是否已成功下载,并验证服务器是否可以与域中的其他域控制器进行通信。 |
警告:创建 EC-Domain Policy 时,确保启用“禁止替代”以便在整个域中实施此策略。此组策略是本指南中唯一必须启用“禁止替代”选项的策略。在本指南中指定的其他任何组策略中,请不要启用此选项。此外,请不要修改 Windows Server 2003 默认域策略,以防需要还原为默认设置。
要确保此新组策略优先于默认策略,请将该新组策略置于 GPO 链接中的最高优先级位置。
重要:您应该将此组策略导入至组织中其他任何域,以确保密码策略的应用一致性。不过,环境中根域密码策略要严格于其他任何域的密码策略并不少见。还应该确保其他任何将使用此同一策略的域都具有相同的业务要求。由于密码策略只能在域级上设置,因此,可能出于业务或法律方面的需求,要求将部分用户分离到单独的域中,目的就是对该组强制使用较严格的密码策略。
清除“允许可继承的权限”选项
在默认情况下,新的 OU 结构将继承父容器中的很多安全设置。对于每个 OU,请清除“允许可继承的权限从父对象传送到此对象以及所有子对象”复选框。
|
1. |
打开 Active Directory 用户和计算机。 |
|
2. |
单击“查看”,然后单击“高级功能”选择“高级”视图。 |
|
3. |
右键单击相应的 OU,然后单击“属性”。 |
|
4. |
单击“安全”选项卡,然后单击“高级”。 |
|
5. |
清除“允许父项的继承权限传播到该对象和所有子对象。包括那些在此明确定义的项目”复选框。 |
删除管理员以前添加的所有不必要的组,然后添加与每个服务器角色 OU 相对应的域组。保留 Domain Administrators 组的“完全控制”设置。
使用 SCW 手动创建基准策略
下一步是使用 SCW 创建成员服务器基准策略。
您应该使用新的操作系统安装开始您的配置工作,这将有助于确保没有来自以前配置的旧设置或软件。如有可能,您使用的硬件应该类似于您要在部署中使用的硬件,这将有助于确保尽可能高的兼容性。新安装称为引用计算机。
在成员服务器基准策略 (MSBP) 的创建步骤期间,注意应从检测到的角色列表中删除文件服务器角色。通常,有些服务器不需要该角色,如果在这些服务器上配置该角色,就会带来风险。若服务器需要部署文件服务器角色,则可以在此过程的后面应用另一个策略。
创建成员服务器基准策略
|
1. |
在新引用计算机上创建 Windows Server 2003 SP1 的新安装。 |
|
2. |
通过“控制面板”、“添加或删除程序”、“添加/删除 Windows 组件”来安装安全配置向导组件。 |
|
3. |
将计算机加入到域。 |
|
4. |
安装您的环境中为每个服务器所必需的应用程序。例如,软件和管理代理、磁带备份代理以及防病毒或反间谍软件实用程序。 |
|
5. |
启动 SCW,选择“创建新的策略”,然后将其指向引用计算机。 |
|
6. |
将文件服务器角色从检测到的角色列表中删除。 |
|
7. |
确保检测到的客户端功能适合于您的环境。 |
|
8. |
确保检测到的管理选项适合于您的环境。 |
|
9. |
确保您的基准所需要的任何附加服务(例如备份代理或防病毒软件)已被检测到。 |
|
10. |
确定如何处理您的环境中的未指定服务。为了获得附加的安全,您可能需要将此设置配置为“禁用”。应该对此配置进行测试,然后再将其部署到生产网络中,因为若生产服务器所运行的附加服务未复制到引用服务器上,部署此配置就会造成问题。 |
|
11. |
检查网络设置并确保相应端口和应用程序已检测到并将被配置为 Windows 防火墙例外。 |
|
12. |
跳过“注册表设置”部分。 |
|
13. |
跳过“审核策略”部分。 |
|
14. |
包括相应的安全模板(例如 EC-Member Server Baseline.inf)。 |
|
15. |
以适当的名称保存策略(例如 Member Server Baseline.xml)。 |
创建域控制器策略
您必须使用配置为域控制器的计算机来创建域控制器策略。您可以使用现有域控制器或创建引用计算机并使用 Dcpromo 工具将计算机设为域控制器。但是,大多数机构都不希望将域控制器添加到他们的生产环境中,因为它可能会违反其安全策略。如果使用现有域控制器,请确保不要使用 SCW 将任何设置应用到该域控制器或修改其配置。
|
1. |
通过“控制面板”、“添加或删除程序”、“添加/删除 Windows 组件”来安装安全配置向导组件。 |
|
2. |
安装您的环境中为每个服务器所必需的应用程序。例如,软件和管理代理、磁带备份代理以及防病毒或反间谍软件实用程序。 |
|
3. |
启动 SCW GUI,选择“创建新的策略”,然后将其指向引用计算机。 |
|
4. |
确保检测到的角色适合于您的环境。 |
|
5. |
确保检测到的客户端功能适合于您的环境。 |
|
6. |
确保检测到的管理选项适合于您的环境。 |
|
7. |
确保您的基准所需要的任何附加服务(例如备份代理或防病毒软件)已被检测到。 |
|
8. |
确定如何处理您的环境中的未指定服务。为了获得附加的安全,您可能需要将此策略设置配置为“禁用”。应该对此配置进行测试,然后再将其部署到生产网络中,因为若生产服务器所运行的附加服务未复制到引用服务器上,部署此配置就会造成问题。 |
|
9. |
检查网络设置并确保相应端口和应用程序已检测到并将被配置为 Windows 防火墙例外。 |
|
10. |
跳过“注册表设置”部分。 |
|
11. |
跳过“审核策略”部分。 |
|
12. |
包括相应的安全模板(例如 EC-Domain Controller.inf)。 |
|
13. |
以适当的名称保存策略(例如 Domain Controller.xml)。 |
使用 SCW 测试基准策略
在您创建和保存基准策略后,Microsoft 强烈建议您将其部署到测试环境中。理想情况下,测试服务器和生产服务器应具有相同的硬件和软件配置。此方法将允许您找到和修复潜在的问题,例如特定硬件设备需要意料之外的服务。
两个都选项都可用于测试这些策略。您可以使用本机 SCW 部署工具,或通过 GPO 来部署策略。
开始创作您的策略时,您应当考虑使用本机 SCW 部署工具。使用 SCW 可一次将策略强制到一个服务器,也可以使用 Scwcmd 将策略强制到一组服务器。本机部署方法提供的一种优势是能够在 SCW 中轻松回滚部署的策略。在进行测试的过程中对策略做出多次更改时,此功能就非常有用。
策略都经过测试,因而可确保在将其应用至目标服务器之后不会给重要功能带来负面影响。应用配置更改之后,应开始验证计算机的核心功能。例如,如果将服务器配置为证书颁发机构 (CA),请确保客户端可以请求和获取证书、下载证书吊销列表等。
如果对您的策略配置非常有信心,就可以使用以下过程中显示的 Scwcmd 将策略转换为 GPO。
有关如何测试 SCW 策略的详细信息,请参阅“Deployment Guide for the Security Configuration Wizard”(网址为 www.microsoft.com/technet/prodtechnol/windowsserver2003/
library/SCWDeploying/5254f8cd-143e-4559-a299-9c723b366946.mspx)和Security Configuration Wizard Documentation 的可下载版本(网址为 http://go.microsoft.com/fwlink/?linkid=43450)。
将基准策略转换 GPO
对基准策略进行彻底测试之后,请完成以下步骤将其转换为 GPO 并链接到适当的 OU:
|
1. |
在命令提示符处,键入以下命令: scwcmd transform /p:<PathToPolicy.xml> /g:<GPODisplayName> 然后按 Enter。例如: scwcmd transform /p:"C:\Windows\Security\msscw\Policies\Infrastructure.xml" /g:"Infrastructure Policy" 注意:因为显示限制,此处在命令提示符处输入的信息将显示为多行。应该在一行中输入全部信息。 |
|
2. |
使用组策略管理控制台将新建的 GPO 链接到适当的 OU。 |
注意,如果 SCW 安全策略文件包含 Windows 防火墙设置,那么为使该过程成功完成,就必须在本地计算机上激活 Windows 防火墙。要验证 Windows 防火墙是否已激活,请打开“控制面板”,然后双击“Windows 防火墙”。
应该立即执行最终的测试以确保 GPO 应用了期望的设置。要完成此过程,请确认是否进行了适当的设置,而且功能未受影响。
使用 SCW 创建角色策略
下一步是使用 SCW 为每个服务器角色创建角色策略。
创建特定于角色的策略的步骤类似于创建 MSBP 时所遵循的步骤。您应该再次使用引用计算机以帮助确保没有来自以前配置的旧设置或软件。
创建角色策略
|
1. |
在新引用计算机上创建 Windows Server 2003 SP1 的新安装。 |
|
2. |
通过“控制面板”、“添加或删除程序”、“添加/删除 Windows 组件”来安装安全配置向导组件。 |
|
3. |
将新服务器加入到域。 |
|
4. |
仅安装您的环境中为每个服务器所必需的应用程序。例如,软件和管理代理、磁带备份代理以及防病毒或反间谍软件实用程序。 |
|
5. |
配置计算机的相应角色。例如,如果目标服务器将运行 DHCP 和 WINS,请安装那些组件。它们的配置不需要与部署的服务器完全一样,但必须安装角色。 |
|
6. |
启动 SCW。 |
|
7. |
选择“创建新的策略”并将其指向引用计算机。 |
|
8. |
确保检测到的角色适合于您的环境。 |
|
9. |
确保检测到的客户端功能适合于您的环境。 |
|
10. |
确保检测到的管理选项适合于您的环境。 |
|
11. |
确保您的基准所需要的任何附加服务(例如备份代理或防病毒软件)已被检测到。 |
|
12. |
确定如何处理您的环境中的未指定服务。要获得更强的安全(以及减少功能),您可能需要将此策略设置配置为“禁用”,这将禁用未通过 SCW 明确许可的所有新服务。应该对此配置进行测试,然后再将其部署到生产网络中,因为若生产服务器所运行的附加服务未复制到引用服务器上,部署此配置就会造成问题。 |
|
13. |
确认所有列出的服务更改。 |
|
14. |
检查网络设置并确保 SCW 已检测到相应的要配置为 Windows 防火墙例外的端口和应用程序。 |
|
15. |
跳过“注册表设置”部分。 |
|
16. |
跳过“审核策略”部分。 |
|
17. |
如果使用 Web 服务器角色配置了服务器,请完成“Internet 信息服务”部分中的步骤以确保 SCW 已配置为支持必要的 IIS 功能。 |
|
18. |
单击“包括安全模板”添加适当的安全模板。 |
|
19. |
使用适当的名称保存该策略。 |
使用 SCW 测试角色策略
对于基准策略,测试策略有两种不同的方法。您可以使用本机 SCW 部署工具,或可以通过 GPO 来部署策略。Microsoft 再次强烈建议先在测试环境中部署角色策略,然后再将其投入生产。此方法将有助于将生产环境中发生停机和故障的几率降到最低。对新配置进行彻底测试之后,您可以按如下过程中所示的步骤将策略转换为 GPO,然后将其应用至适当的 OU。
将角色策略转换为 GPO
对角色策略进行彻底测试之后,请完成以下步骤将其转换为 GPO 并链接到适当的 OU:
|
1. |
在命令提示符处,键入以下命令: scwcmd transform /p:<PathToPolicy.xml> /g:<GPODisplayName> 然后按 Enter。例如: scwcmd transform /p:"C:\Windows\Security\msscw\Policies\Infrastructure.xml" /g:"Infrastructure Policy" 注意:因为显示限制,此处在命令提示符处输入的信息将显示为多行。应该在一行中输入全部信息。 |
|
2. |
使用组策略管理控制台将新建的 GPO 链接到适当的 OU,并确保将其移到默认域控制器策略的上面,以便它获得最高的优先级。 |
注意,如果 SCW 安全策略文件包含 Windows 防火墙设置,那么为使该过程成功完成,就必须在本地计算机上激活 Windows 防火墙。要验证 Windows 防火墙是否已激活,请打开“控制面板”,然后双击“Windows 防火墙”。
总结
安全管理员需要了解与传统的基于组策略的强化方法相比,SCW 所具有的优点和缺点,以便他们可以为环境选择合适的方法。SCW 和组策略可以一起使用,以便获取对相应策略进行快速而一致的原型设计能力,这些策略是 SCW 在提供组策略的可扩展部署和管理功能时提供的。
在审核林、域和 OU 设计以保护环境时,涉及多个设计注意事项。
研究和记录组织的所有特定的自主和隔离要求很重要。行政自主、运营独立以及法律或管理独立都是考虑复杂林设计的有效理由。
了解如何控制服务管理员很重要。恶意的服务管理员会给组织带来巨大的风险。在较低的级别上,恶意的域管理员可以访问林中所有域的数据。
虽然更改组织中的林或域的设计可能有一定的困难,但对某些安全风险进行补救可能是必要的。规划组织的 OU 部署以适应服务管理员和数据管理员的需要也很重要。本章提供了有关如何创建 OU 模型以便支持使用 GPO 对组织中不同服务器进行持续管理的详细信息。
更多信息
下列链接提供了与强化运行 Windows Server 2003 SP1 的服务器相关的主题的附加信息。