概述
欢迎使用《Windows Server 2003 安全指南》。本指南旨在提供用于对组织中特定于 Microsoft® Windows Server™ 2003 Service Pack 1 (SP1) 的安全风险进行评估和处理的最佳信息。本指南中的各章提供有关如何在需要时增强 Windows Server 2003 SP1 中的安全设置配置和功能的详细指导,以便解决在您的环境中所识别出的威胁。本指南是为在 Windows Server 2003 SP1 环境中工作的系统工程师、顾问以及网络管理员编写的。
本指南已经过 Microsoft 工程小组、顾问、支持工程师以及客户和合作伙伴的审核和批准。Microsoft 与在各种环境中实施了 Windows Server 2003、Windows® XP 和 Windows 2000 的顾问和系统工程师协同工作,帮助建立最新的最佳做法来保护这些服务器和客户端。本指南中详细描述了这些最佳做法信息。
附加指南“威胁和对策:
Windows Server 2003 和 Windows XP 中的安全设置”(可在 http://www.microsoft.com/china/technet/security/guidance/secmod48.mspx 上找到)全面介绍了 Windows Server 2003 SP1 和 Windows XP SP2 中存在的所有主要安全设置。本指南的第 2 章至第 12 章包括分步安全指导、过程和建议,向您提供了任务列表,旨在帮助您提升组织中运行 Windows Server 2003 SP1 的计算机的安全级别。有关本资料中涉及的相关概念的深入讨论,请参阅如下资源:Microsoft Windows Server2003 Resource Kit、Microsoft Windows XP Resource Kit、Microsoft Windows 2000 Security Resource Kit 以及 Microsoft TechNet。
执行摘要
无论环境如何,强烈建议您认真对待安全问题。由于通常没有将实际间接成本考虑在内,许多组织错误地低估了他们的信息技术 (IT) 环境的价值。如果对环境中的服务器的攻击很严重,则会对整个组织造成极大危害。例如,攻击可能使组织的网站停止运行,导致收入或客户信任度严重受损,从而影响组织的盈利能力。评估安全成本时,应该将与任何攻击相关的间接成本以及丧失 IT 功能的成本包括在内。
关于安全的漏洞、风险和暴露分析可告知您如何在所有受联网环境约束的计算机的安全性与可用性之间进行权衡。本指南对 Windows Server 2003 SP1 中的主要安全对策、其解决的漏洞以及每个对策实施的潜在负面影响(如果有)进行了说明。
本指南提供有关在下列三种不同企业环境中如何强化运行 Windows Server 2003 SP1 的计算机的特定建议:旧客户端 (LC) 环境必须支持版本较低的操作系统,如 Windows 98。企业客户端 (EC) 环境使用的最低 Windows 操作系统版本为 Windows 2000。第三种环境对安全性非常关注,因此为了获得最高安全级别,功能上和管理上的明显损失都在可接受之列。第三种环境称为专用安全 – 限制功能 (SSLF) 环境。我们对本指南中的信息进行了合理的组织,以便用户能够方便地对其进行访问。因此,用户可以快速地定位并决定适用于组织中计算机的设置。虽然本指南针对企业客户,但其中许多内容都适用于任何规模的组织。
为了从本资料中获取最多有价值的信息,需要通读本指南。您也可以参考附加指南“威胁和对策:Windows Server 2003 和 Windows XP 中的安全设置”,
网址为 http://www.microsoft.com/china/technet/security/guidance/secmod48.mspx。
编写本指南的小组希望本指南可以为您提供有用的、信息丰富的和引人入胜的资料。
本指南的目标读者
本指南主要面向顾问、安全专家、系统结构设计人员以及为 Windows Server 2003 规划应用或结构开发和部署的 IT 专业人员。上述人员通常负责下列任务:
| • |
结构设计人员和规划人员,他们负责组织中客户端体系结构方面的工作。 |
| • |
IT 安全专家,纯粹集中于如何在组织内部提供跨平台的安全性。 |
| • |
业务分析人员和业务决策人员 (BDM),负责依赖于客户端支持的关键业务目标和要求的分析和决策。 |
| • |
来自 Microsoft 服务部门和合作伙伴的顾问,需要企业客户和合作伙伴的相关有用信息的详细资源。 |
本指南的范围
本指南集中介绍如何为组织中运行 Windows Server 2003 SP1 的计算机创建和维护安全环境。本指导说明了确保指南中定义的三类环境安全的各个阶段以及根据客户端依赖性如何处理定义的服务器设置。三种环境描述如下:
| • |
旧客户端 (LC) 环境由包含运行 Windows Server 2003 的成员服务器和域控制器以及某些运行 Microsoft Windows 98 和 Windows NT® 4.0 的客户端计算机的 Active Directory® 目录服务域组成。运行 Windows 98 的计算机必须安装了 Active Directory 客户端扩展 (DSCLient)。更多信息可在 Microsoft 知识库文章“How to install the Active Directory client extension”中找到,网址为 http://support.microsoft.com/kb/288358。 |
| • |
企业客户端 (EC) 环境由包含运行 Windows Server 2003 SP1 的成员服务器和域控制器以及运行 Windows 2000 和 Windows XP 的客户端计算机的 Active Directory 域组成。 |
| • |
专用安全 – 限制功能 (SSLF) 环境也是由包含运行 Windows Server 2003 SP1 的成员服务器和域控制器以及运行 Windows 2000 和 Windows XP 的客户端的 Active Directory 域组成。不过,专用安全 – 限制功能设置过于严格,许多应用程序可能无法运行。因此,服务器的性能可能会受到影响,而且管理服务器也更为棘手。 此外,未采用 SSLF 策略进行保护的客户端计算机在与采用 SSLF 策略进行保护的客户端计算机和服务器进行通信时会遇到问题。有关如何使用与 SSLF 兼容的设置来保护客户端计算机的信息,请参阅《Windows XP 安全指南》。 |
针对截然不同的服务器角色提供了有关如何强化这三种环境中的计算机的指导。描述的对策和提供的工具假定每台服务器都具有单个角色。如果需要组合您的环境中某些服务器的角色,则可以自定义本指南附带的下载内容中包括的安全模板,以创建服务和安全选项的适当组合。本指南中描述的角色包括:
| • |
域控制器 |
| • |
基础结构服务器 |
| • |
文件服务器 |
| • |
打印服务器 |
| • |
Internet 信息服务 (IIS) 服务器 |
| • |
Internet 身份验证服务 (IAS) 服务器 |
| • |
证书服务服务器 |
| • |
堡垒主机 |
本指南中建议的设置已在模拟前面描述的旧客户端、企业客户端和专用安全 – 限制功能环境的实验室环境中进行了彻底测试。这些设置已经通过了实验室环境测试,但是组织仍然需要在自己的实验室中建立符合自身生产环境的精确模拟环境,以对其进行进一步的测试。您很可能需要对本指南中介绍的安全模板和手动过程做出一些更改,以便您的所有业务应用程序继续按预期工作。有关详细信息,请参阅附加指南“安全和对策:Server 2003 和 Windows XP 中的安全设置”,该指南提供了评估每种特定对策所需要的信息,并确定哪些对策适合于您的组织的独特环境和业务要求。
本章摘要
《Windows Server 2003 安全指南》包括 13 章。各章建立在端对端解决方案过程的基础之上。为实施并确保环境中 Windows Server 2003 SP1 的安全性,该端对端解决方案过程发挥着至关重要的作用。前面的一些章节描述了如何建立基础以允许您强化组织中的服务器,其他章节说明了每个服务器角色所特有的过程。
第 1 章:《Windows Server 2003 安全指南》简介
本章介绍《Windows Server 2003 安全指南》并对各章作了概述。它描述了旧客户端、企业客户端和专用安全 - 限制功能环境以及在其中运行的计算机。
第 2 章:Windows Server 2003 强化机制
本章概述了用于强化该指南中的 Windows Server 2003 SP1 的主要机制 – 安全配置向导 (SCW) 和 Active Directory 组策略。它解释 SCW 如何提供交互式框架来创建、管理和测试适用于角色各不相同的 Windows 服务器的安全策略。它还在第 1 章介绍的三种环境的上下文中对 SCW 的功能进行了评估。
本章的后一部分提供了有关 Active Directory 设计、组织单位 (OU) 设计、组策略对象 (GPO)、管理组设计和域策略的高级描述。这些主题以第 1 章介绍的三种环境为背景介绍,旨在提供有关理想的安全结束状态环境的设想。
本章结束时详细介绍了本指南如何组合 SCW 和传统基于 GPO 的方法的最佳功能来强化 Windows Server 2003 SP1。
第 3 章:域策略
本章解释了适用于第 1 章描述的三种环境中域级策略的安全模板设置和附加对策。本章没有重点介绍任何特定的服务器角色,只是着重说明对顶级域策略非常有用的特定策略和设置。
第 4 章:成员服务器基准策略
本章解释第 1 章介绍的三种环境中不同服务器角色的安全模板设置和附加对策。同时重点介绍如何为本指南中稍后介绍的服务器角色建立成员服务器基准策略 (MSBP)。
本章中的建议旨在能使组织针对 Windows Server 2003 SP1 现有和新的部署来安全部署设置配置。Windows Server 2003 SP1 中的默认安全配置已经过研究和测试,而本章中的建议旨在提供比默认操作系统设置更高的安全性。有时,会建议一种比 Windows Server 2003 SP1 默认安装中现有设置的限制要少的设置,以便为旧客户端环境提供支持。
第 5 章:域控制器基准策略
在任何包含运行 Windows Server 2003 SP1 的计算机的 Active Directory 环境中,域控制器服务器角色是要保护的最重要角色之一。域控制器若丢失或遭到破坏,就会严重影响依赖域控制器进行身份验证的客户端计算机、服务器和应用程序,组策略以及中央轻型目录访问协议 (LDAP) 目录。
本章介绍了始终将域控制器存放在仅合格的管理员工才能访问的物理安全位置的必要性。解决了未受保护位置(如分支办公室)中域控制器所面临的危险,而且本章有相当大的篇幅是解释安全注意事项,这些事项是建议域控制器组策略的基础。
Active Directory 域控制器要求稳定且经正确配置的 DNS 服务。在默认情况下,Windows Server 2003 SP1 将 DNS 区域集成至 Active Directory 中,从而允许域控制器运行 DNS 服务并应答 Active Directory 域中客户端的 DNS 请求。本章提供适当的指导并假定域控制器还将提供 DNS 服务。
第 6 章:基础结构服务器角色
在本章中,基础结构服务器角色定义为 DHCP 服务器或 WINS 服务器。提供了相关详情,介绍环境中的 Windows Server 2003 SP1 基础结构服务器如何受益于成员服务器基准策略 (MSBP) 未应用的安全设置。本章不包含域控制器角色附带的 DNS 服务的配置信息。
第 7 章:文件服务器角色
本章重点介绍文件服务器角色以及有关如何强化这些服务器的较困难的方面。文件服务器的最重要服务要求使用 Windows NetBIOS 相关协议以及 SMB 和 CIFS 协议。服务器消息块 (SMB) 和通用 Internet 文件系统 (CIFS) 协议通常用于向经过身份验证的用户提供访问,但是,如果未得到适当的保护,它们也会向未通过身份验证的用户或攻击者透露大量信息。由于此威胁,这些协议在高度安全的环境中往往是禁用的。本章介绍了运行 Windows Server 2003 SP1 的文件服务器如何受益于未被 MSBP 应用的安全设置。
第 8 章:打印服务器角色
本章重点介绍打印服务器。类似文件服务器,打印服务器的最重要服务要求使用 Windows NetBIOS 相关协议以及 SMB 和 CIFS 协议。如前所述,这些协议在高度安全的环境中往往是禁用的。本章介绍了如何使用未被 MSBP 所应用的方法来强化 Windows Server 2003 SP1 打印服务器安全设置。
第 9 章:Web 服务器角色
本章介绍了网站和应用程序的总体安全性如何依赖于整个 IIS 服务器(包括在 IIS 服务器上运行的各个网站和应用程序)以避免来自环境中客户端计算机的威胁。网站和应用程序还须防范来自同一 IIS 服务器上其他网站和应用程序的威胁。本章详细介绍了确保在您的环境中运行 Windows Server 2003 SP1 的 IIS 服务器上实现这些措施的做法。
默认情况下,IIS 没有安装在 Microsoft Windows Server System™ 家族的成员上。首次安装 IIS 时,它处于高度安全的“锁定”模式。例如,默认设置只允许 IIS 为静态内容提供服务。诸如 Active Server Pages (ASP)、ASP.NET、服务器端包含、WebDAV 发布和 Microsoft FrontPage® Server Extensions 之类的功能必须由管理员在 Internet 信息服务器管理器(IIS 管理器)中通过 Web 服务扩展节点来启用。
本章中的各个部分提供了有关可用于强化环境中 IIS 服务器的各种设置的详细信息。强调了监视、检测并响应安全问题以确保服务器保持安全的需求。本章重点介绍 IIS Web 协议和应用程序(如 HTTP),不包含有关 IIS 可以提供的其他协议(如 SMTP、FTP 和 NNTP)的指导。
第 10 章:IAS 服务器角色
Internet 身份验证服务器 (IAS) 提供远程身份验证拨入用户服务 (RADIUS),它是一种基于标准的身份验证协议,旨在验证远程访问网络的客户端的身份。本章介绍了运行 Windows Server 2003 SP1 的 IAS 服务器如何受益于未被 MSBP 应用的安全设置。
第 11 章:证书服务服务器角色
证书服务提供了在服务器环境中建立公钥基础结构 (PKI) 所需的加密和证书管理服务。本章介绍了运行 Windows Server 2003 SP1 的证书服务服务器如何受益于未被 MSBP 应用的安全设置。
第 12 章:堡垒主机角色
堡垒主机服务器可供来自 Internet 的客户端计算机访问。本章说明了公共计算机为何容易受到大量在需要时仍保持完全匿名的用户的攻击。许多组织都不将其域基础结构扩展到 Internet。因此,本章内容集中介绍如何强化独立计算机。提供了相关详细信息,介绍运行 Windows Server 2003 SP1 的堡垒主机如何受益于本指南针对不是基于 Active Directory 域的成员计算机所提出的安全建议。
第 13 章:结论
本指南的最后一章回顾前几章中提供的材料的要点。
附录 A:安全工具和格式
虽然本指南重点介绍如何使用 SCW 来创建随后可转换为安全模板和组策略对象的策略,但仍可以使用其他各种工具和文件格式来补充或替换此方法。本附录提供了这些工具和格式的短列表。
附录 B:需要考虑的关键设置
本指南论述了许多安全对策和安全设置,但是了解少量安全对策和安全设置尤其重要。本附录论述会对运行 Windows Server 2003 SP1 的计算机的安全产生最大影响的设置。
附录 C:安全模板设置摘要
本附录介绍了本指南的可下载版本中工具和模板附带的 Microsoft Excel® 工作簿“Windows Server 2003 安全指南设置”,网址为 http://go.microsoft.com/fwlink/?LinkId=14846。此电子表格以紧凑、实用形式提供了本指南中定义的三种环境的所有建议设置的全面高级参考。
附录 D:测试《Windows Server 2003 安全指南》
本指南提供了有关如何强化运行 Windows Server 2003 SP1 的服务器的大量信息,但是我们不断提醒读者:在生产环境中实施任何设置之前一定要对所有设置进行测试和验证。
本附录提供有关如何创建合适的测试实验室环境的指导,该环境可帮助确保在生产环境中成功实施建议设置。它帮助用户执行必需的验证并最小化执行类似工作所需的资源量。
工具和模板
本指南的可下载版本附带了安全模板、脚本和其他工具的集合,以帮助您的组织评估、测试和实施建议的对策。安全模板是文本文件,可以导入至基于域的组策略中,或者在本地使用 Microsoft 管理控制台 (MMC) 安全配置和分析管理单元来应用。第 2 章“Windows Server 2003 强化机制”详细介绍了这些过程。本指南附带的脚本包括用于创建和链接组策略对象的脚本以及用于测试建议对策的测试脚本。还包括汇总安全模板设置的 Excel 工作簿(前面的“附录 C”部分中已提及)。
本指南附带的文件统称为工具和模板。这些文件包括在包含本指南的自解压缩 WinZip 压缩文件中的 .msi 文件中。该指南可从 Microsoft 下载中心获取,网址为 http://go.microsoft.com/fwlink/?LinkId=14846。执行 .msi 文件时,系统将在指定位置创建下列文件夹结构:
| • |
\Windows Server 2003 安全工具和模板\安全模板。此文件夹包含本指南中论述的所有安全模板。 |
| • |
\Windows Server 2003 安全指南工具和模板\测试工具。此文件夹包含与“附录 D:测试《Windows Server 2003 安全指南》”有关的各种文件和工具。 |
技能和准备
在企业环境中开发、部署和保护 Windows Server 2003 和 Windows XP 安装的 IT 专业人员需要掌握以下知识和技能:
| • |
拥有 MCSE 2000 或 2003 证书,有 2 年以上安全相关经验。 |
| • |
对组织域和 Active Directory 环境有深入了解。 |
| • |
熟练使用管理工具,包括 Microsoft 管理控制台 (MMC)、Secedit、Gpupdate 和 Gpresult。 |
| • |
有管理组策略的经验。 |
| • |
有在企业环境中部署应用程序和工作站计算机的经验。 |
软件要求
本指南中介绍的工具和模板的软件要求是:
| • |
Windows Server 2003 Standard Edition (SP1)、Windows Server 2003 Enterprise Edition (SP1) 或 Windows Server 2003 Datacenter Edition (SP1)。 |
| • |
基于 Windows Server 2003 的 Active Directory 域。 |
| • |
Microsoft Excel 2000 或更高版本。 |
样式约定
本指南使用下列样式约定和术语。
表 1.1 样式约定
| 元素 | 含义 |
|
粗体 |
表示完全按显示键入的字符,包括命令、交换机和文件名。用户界面元素也以粗体显示。 |
|
斜体 |
书籍和其他大量出版物的标题均显示为斜体。 |
|
<斜体> |
以斜体和尖括号设置的占位符(例如<文件名>)表示变量。 |
|
固定宽度字体 |
定义代码和脚本示例。 |
|
注意 |
提醒读者阅读补充信息。 |
|
重要 |
提醒读者阅读必要的补充信息。 |
总结
本章概述了保护运行 Windows Server 2003 SP1 的计算机所涉及的重要因素,本指南的其他部分详细介绍了这些因素。现在您了解了本指南的组织结构,就可以确定是通读本指南,还是选择阅读您感兴趣的部分。
但是,切记有效、成功的安全操作需要在本指南论述的所有领域进行改进,而不仅仅是某些领域。因此,Microsoft 建议您通读本指南,以充分利用它包含的所有信息来保护组织中运行 Windows Server 2003 SP1 的计算机。
更多信息
下列链接提供了与安全和 Windows Server 2003 SP1 相关的主题的附加信息。
| • |
有关 Microsoft 安全性的详细信息,请参阅可信赖计算页面,网址为 www.microsoft.com/mscorp/twc/default.mspx。 |
| • |
有关 MOF 如何为企业提供帮助的详细信息,请参阅 Microsoft Operations Framework 页面,网址为 www.microsoft.com/technet/itsolutions/cits/mo/mof/default.mspx。 |
| • |
有关 Microsoft 安全通知的信息,请参阅 Microsoft 安全公告搜索页面,网址为 www.microsoft.com/technet/security/current.aspx。 |