审核策略设置(服务器安全)
2008-04-26 11:21
453 查看
审核策略设置
域控制器的审核策略设置与 MSBP 中所指定的相同。有关详细信息,请参阅模块创建 Windows Server 2003 服务器的成员服务器基准。DCBP 中的基准策略设置确保所有相关的安全审核信息记录在域控制器中。返回页首
用户权限分配
DCBP 为域控制器指定许多用户权限分配。除默认设置外,修改了其他七种用户权限以增强本指南定义的三种环境中域控制器的的安全性。本节提供与 MSBP 中的设置不同的 DCBP 指定用户权限设置的相关详细信息。有关本节中指定设置的小结,请参阅“Windows Server 2003 Security Guide”附带的Windows Server 2003 Security Guide Settings Excel 工作簿,其网址为:http://go.microsoft.com/fwlink/?LinkId=14846(英文)。
从网络访问此计算机
表 2:设置域控制器默认值 | 旧客户端 | 企业客户端 | 高安全级 |
Administrators、Authenticated Users、ENTERPRISE DOMAIN CONTROLLERS、Everyone、Pre-Windows 2000 Compatible Access。 | 没有定义。 | 没有定义 | Administrators、Authenticated Users、ENTERPRISE DOMAIN CONTROLLERS |
虽然授予“Everyone”安全组的权限不再向 Windows Server 2003 中的匿名用户授予访问权,但是仍然可以通过“Everyone”安全组向来宾组和帐户授予访问权。出于此原因,本指南推荐在高安全性环境中从“从网络访问此计算机”用户权限删除“Everyone”安全组,以进一步防止针对域来宾访问权的攻击。
域中添加工作站
表 3:设置域控制器默认值 | 旧客户端 | 企业客户端 | 高安全级 |
Authenticated Users | Administrators | Administrators | Administrators |
默认情况下,“Authenticated Users”组中的所有用户能够向 Active Directory 域中最多添加 10 个计算机帐户。这些新计算机帐户是在计算机容器中创建的。
在 Active Directory 域中,每个计算机帐户是一个完整的安全主体,它能够对域资源进行身份验证和访问。一些组织想限制 Active Directory 环境中的计算机数量,以便他们可以始终跟踪、生成和管理它们。
允许用户向域中添加工作站会妨碍此努力。它还为用户提供了执行更难跟踪的活动的途径,因为他们可以创建其他未授权的域计算机。
出于这些原因,在本指南中定义的三种环境中,“域中添加工作站”用户权限只授予给“Administrators”组。
允许本地登录
表 4:设置域控制器默认值 | 旧客户端 | 企业客户端 | 高安全级 |
Administrators、Account Operators、Backup Operators、Print Operators 和 Server Operators | Administrators | Administrators | Administrators |
如果对某种环境中可以使用哪些帐户登录到域控制器控制台进行限制,将有助于阻止未经授权的用户访问域控制器文件系统和系统服务。可以登录到域控制器控制台的用户可能会恶意利用此系统,并且可能威胁整个域或林的安全。
默认情况下,向“Account Operators”、“Backup Operators”、“Print Operators”和“Server Operators” 组授予了从本地登录到域控制器的权限。这些组中的用户将不必登录到域控制器来执行其管理任务。这些组中的用户可从其他工作站正常执行其任务。只有“Administrators”组中的用户应该对域控制器执行维护任务。
只向“Administrators”组授予此权限将域控制器的物理和交互式访问权限仅限制在高度信任用户,因此增强了安全性。出于此原因,在本指南中定义的三种环境中,“域中添加工作站”用户权限只授予给“Administrators”组。
通过终端服务允许登录
表 5:设置域控制器默认值 | 旧客户端 | 企业客户端 | 高安全级 |
没有定义 | Administrators | Administrators | Administrators |
如果通过终端服务对可使用哪些帐户登录到域控制器控制台进行限制,将有助于阻止未经授权的用户访问域控制器文件系统和系统服务。通过终端服务可以登录到域控制器控制台的用户可能利用此系统,并且可能威胁整个域或林的安全。
只向“Administrators”组授予此权限将域控制器的交互式访问权仅限制在高度信任用户,因此增强了安全性。出于此原因,在本指南中定义的三种环境中,“域中添加工作站”用户权限只授予给“Administrators”组。默认情况下,虽然通过终端服务登录到域控制器需要管理权限,但是配置此用户权限将有助于防止可能危及此限制的无意或恶意操作。
作为进一步安全措施,DCBP 将拒绝默认的“Administrator”帐户通过终端服务登录域控制器的权限。此设置也将阻止恶意用户试图使用默认的“Administrator”帐户从远程闯入域控制器。有关此设置的详细信息,请参阅模块创建 Windows Server 2003 服务器的成员服务器基准。
更改系统时间
表 6:设置域控制器默认值 | 旧客户端 | 企业客户端 | 高安全级 |
Administrators、Server Operators | Administrators | Administrators | Administrators |
同步系统时间对于 Active Directory 的操作是关键的。Kerberos v5 身份验证协议所使用的正确的 Active Directory 复制和身份验证票证生成过程均依赖于在任何环境中同步的时间。
如果使用某系统时间配置的域控制器与此环境中其他域控制器的系统时间不同步,此域控制器可能妨碍域服务操作。只有管理员可以修改系统时间,这将使使用错误系统时间配置域控制器的可能性减至最低。
默认情况下,向“Server Operators”组授予了修改域控制器系统时间的权限。由于此组成员错误修改域控制器系统时间可能导致的影响,所以在 DCBP 中配置此用户权限,以便只有“Administrators”组能够在本指南定义三种环境的任何一种中更改系统时间。
有关 Windows 时间服务的更多信息,请参阅知识库文章 Q224799“Basic Operation of the Windows Time Service”,其网址为:http://support.microsoft.com/default.aspx?scid=224799(英文),以及 Q216734“How to Configure an Authoritative Time Server in Windows 2000”,其网址为: http://support.microsoft.com/default.aspx?scid=216734(英文)。
使计算机和用户帐户受信任以进行委派
表 7:设置域控制器默认值 | 旧客户端 | 企业客户端 | 高安全级 |
Administrators | 没有定义 | 没有定义 | Administrators |
错误使用此权限可能导致未经授权的用户伪装成网络上的其他用户。某攻击者可以伪装成其他用户窃取此权限获得网络资源的访问权,这可能使得某安全事件之后发生的事件更难以解释。
本指南建议将“使计算机和用户帐户受信任以进行委派”权限分配给域控制器上的“Administrators”组。
注意:尽管默认域控制器策略向管理员组分配此权限,但是因为 DCBP 最初基于 MSBP,所以 DCBP 仅强制在高安全级环境中使用此权限。MSBP 向此权限分配一个 NULL 值。
加载和卸载设备驱动程序
表 8:设置域控制器默认值 | 旧客户端 | 企业客户端 | 高安全级 |
Administrators、Print Operators | Administrators | Administrators | Administrators |
恶意加载或卸载域控制器上的设备驱动程序可能将对其操作产生有害影响。如果将能够加载和卸载设备驱动程序的帐户只限制给予最受信任的用户,则可以将使用设备驱动程序威胁环境中域控制器安全的机会减至最低。
默认情况下,向“Print Operators”组授予此权限。正如前面所提到的一样,不推荐在域控制器上创建“打印机共享”。这使“Print Operators”不必具有加载和卸载设备驱动程序的权限。因此,在本指南所定义的三种环境中,只向“Administrators”组授予此用户权限。
还原文件和目录
表 9:设置域控制器默认值 | 旧客户端 | 企业客户端 | 高安全级 |
Administrators、Backup Operators、Server Operators | Administrators | Administrators | Administrators |
使某用户帐户能够将文件和目录还原到域控制器的文件系统,这将使帐户所有者获得更易修改可执行服务的能力。利用此权限提供的访问权的恶意用户不仅致使域控制器无效,而且威胁域或整个林的安全。
默认情况下,向“Server Operators”和“Backup Operators”组授予此权限。如果从这些组中删除此用户权限并且仅向“Administrators”组授予此权限,则可以降低由于错误修改文件系统而危及域控制器安全的可能性。因此,在本指南所定义的三种环境中,只向“Administrators”组授予此用户权限。
关闭系统
表 10:设置域控制器默认值 | 旧客户端 | 企业客户端 | 高安全级 |
Administrators、Server Operators、Print Operators、Backup Operators | Administrators | Administrators | Administrators |
具有关闭域控制器能力的恶意用户可轻松地启动一个可能严重影响整个域或林的拒绝服务 (DoS) 攻击。此外,可在重新启动服务时利用此用户权限启动对域控制器系统帐户的特权提升攻击。对域控制器的一次成功的特权提升攻击将威胁域或整个林的安全。
默认情况下,向“Administrators”、“Server Operators”、“Print Operators”和“Backup Operators”组授予此权限以关闭域控制器。在安全环境中,除“Administrators”之外,其他组均不需要此权限来执行管理任务。出于此原因,在本指南定义的三种环境中,只向“管理员”组授予此用户权限。
返回页首
安全选项
域控制器的大多数安全选项设置与 MSBP 中指定的设置相同。有关详细信息,请参阅模块创建 Windows Server 2003 服务器的成员服务器基准。在下一节中将描述 MSBP 和 DCBP 的区别。网络安全:不要在下次更改密码时存储 LAN Manager 的哈希值
表 11:设置成员服务器默认值 | 旧客户端 | 企业客户端 | 高安全级 |
已禁用 | 已禁用 | 已启用 | 已启用 |
DCBP 在企业客户端和高安全级环境的域控制器上启用此设置,在旧客户端环境的域控制器上禁用此设置。如果在旧客户端环境的域控制器上启用此设置,Windows 98 客户端在更改其密码后将无法登录。
注意:旧操作系统和某些第三方应用程序在启用此设置时可能会失败。此外,启用此设置需要所有帐户更改其密码。
返回页首
事件日志设置
域控制器的事件日志设置与 MSBP 中指定的设置相同。有关详细信息,请参阅模块创建 Windows Server 2003 服务器的成员服务器基准。DCBP 中的基准组策略设置确保域控制器上记录了所有相关安全审核信息,包括 Directory Services Access。返回页首
系统服务
在所有 Windows Server 2003 域控制器上,必须启用下列系统服务。DCBP 中的基准策略设置确保所有所需系统服务在域控制器间统一配置。本节提供了有关与 MSBP 中的设置不同的 DCBP 预定系统服务设置的详细信息。有关本节中预定设置的小结,请参阅“Windows Server 2003 Security Guide”附带的 Windows Server 2003 Security Guide Settings Excel 工作簿,其网址为:http://go.microsoft.com/fwlink/?LinkId=14846(英文)。
注意:如果从 Windows Server 2003 支持工具运行 DCDiag.exe 实用程序,它将检测所有可在目前环境的域控制器上运行的服务。DCDiag.exe 将会因为域控制器基准策略中的某些服务(包括 IISADMIN、SMTPSVC 和 TrkSvr)已禁用而报告错误。此信息并不表示配置出现问题。
分布式文件系统
表 12:设置域控制器默认值 | 服务名 | 旧客户端 | 企业客户端 | 高安全级 |
自动 | DFS | 自动 | 自动 | 自动 |
使用组策略保护和设置某服务的启动模式,这将只向服务器管理员授予访问权,因此,可以避免未经授权或恶意用户配置或运行此服务。组策略还可以防止管理员因疏忽而禁用此服务。出于这些原因,在本指南定义的三种环境中,将此服务配置为在 DCBP 中自动启动。
DNS 服务器
表 13:设置域控制器默认值 | 服务名 | 旧客户端 | 企业客户端 | 高安全级 |
自动 | DNS | 自动 | 自动 | 自动 |
Active Directory 的可靠性和可用性非常依赖于“DNS 服务器”服务的正确操作。没有 DNS,域控制器将无法互相找到对方以复制目录信息,而且客户端无法联系域控制器以进行验证。
使用组策略设置某服务的启动模式并使之安全,这将只授予服务器管理员访问权限,因而使该服务免受未经授权的用户或恶意用户的配置或操作。组策略也将防止管理员因疏忽而禁用该服务。因此,在本指导定义的三种环境中,将该服务配置为在 DCBP 中自动启动。
文件复制
表 14:设置域控制器默认值 | 服务名 | 旧客户端 | 企业客户端 | 高安全级 |
自动 | NtFrs | 自动 | 自动 | 自动 |
使用组策略设置某服务的启动模式并使之安全,这将只授予服务器管理员访问权限,因而使该服务免受未经授权的用户或恶意用户的配置或操作。组策略也将防止管理员因疏忽而禁用该服务。因此,在本指导定义的三种环境中,将该服务配置为在 DCBP 中自动启动。
站点间消息传递
表 15:设置域控制器默认值 | 服务名 | 旧客户端 | 企业客户端 | 高安全级 |
自动 | IsmServ | 自动 | 自动 | 自动 |
用于站点间通信的传输设置必须是可扩展的,而且每个传输在一个独立的加载项动态链接库 (DLL) 中定义。在所有可能执行站点间通信的域控制器上运行的 ISM 服务中将加载这些加载项 DLL。 ISM 服务将发送和接收消息请求定向至适当的传输加载项 DLL,然后将这些消息路由至目标计算机的 ISM 服务。Active Directory 复制依赖于正确运行的“站点间消息传递”服务。
使用组策略设置某服务的启动模式并使之安全,这将只授予服务器管理员访问权限,因而使该服务免受未经授权的用户或恶意用户的配置或操作。组策略也将防止管理员因疏忽而禁用该服务。因此,在本指导定义的三种环境中,将该服务配置为在 DCBP 中自动启动。
Kerberos 密钥分布中心
表 16:设置域控制器默认值 | 服务名 | 旧客户端 | 企业客户端 | 高安全级 |
自动 | Kdc | 自动 | 自动 | 自动 |
用户需要 KDC 服务以登录到网络。禁止该服务将阻止用户登录到网络。
使用组策略设置某服务的启动模式并使之安全,这将只授予服务器管理员访问权限,因而使该服务免受未经授权的用户或恶意用户的配置或操作。组策略也将防止管理员因疏忽而禁用该服务。因此,在本指导定义的三种环境中,将该服务配置为在 DCBP 中自动启动。
远程过程调用 (RPC) 定位器
表 17:设置域控制器默认值 | 服务名 | 旧客户端 | 企业客户端 | 高安全级 |
自动 | RpcLocator | 自动 | 自动 | 自动 |
停止或禁用该服务可能会阻止使用 RpcNs* API 的 RPC 客户端查找服务器或无法启动。而且,依赖于来自同一台计算机的 RpcNs* API 的 RPC 客户端可能无法查找支持某给定接口的 RPC 服务器。停止或禁用域控制器上的该项服务可能导致使用 RpcNs* API 的 RPC 客户端和域控制器在试图查找客户端时服务中断。
使用组策略设置某服务的启动模式并使之安全,这将只授予服务器管理员访问权限,因而使该服务免受未经授权的用户或恶意用户的配置或操作。组策略也将防止管理员因疏忽而禁用该服务。因此,在本指导定义的三种环境中,将该服务配置为在 DCBP 中自动启动。
返回页首
其他安全设置
本节将介绍对 DCBP 必要的手动修改和无法通过组策略实现时的其他设置与对策。向用户权限分配方案手动添加唯一的安全组
通过 DCBP 应用的大部分用户权限分配方案已在 Windows Server 2003 Security Guide 的可用安全模板中正确指定,该指南位于:http://go.microsoft.com/fwlink/?LinkId=14846(英文)。但是,有一些帐户和安全组无法包含在该模板中,因为其安全标识符 (SID) 针对于单个 Windows 2003 域。必须手动配置的用户权限分配方案如下所示。警告:下表包含内置管理员帐户值。不要将该帐户与内置管理员安全组相混淆。如果为管理员安全组设置了以下的权限限制,您需要从本地登录以更正该错误。
此外,根据创建 Windows Server 2003 服务器的成员服务器基准模块中描述的一些建议,内置管理员帐户可能已重新命名。添加管理员帐户时,请确认已指定重新命名的帐户。
表 18:手动分配用户权限分配
域控制器默认值 | 旧客户端 | 企业客户端 | 高安全级 |
禁止从网络访问该计算机 | 内置管理员、Support_388945a0、Guest 和所有非操作系统服务帐户 | 内置管理员、Support_388945a0、Guest 和所有非操作系统服务帐户 | 内置管理员、Support_388945a0、Guest 和所有非操作系统服务帐户 |
禁止作为批作业登录 | Support_388945a0 和 Guest | Support_388945a0 和 Guest | Support_388945a0 和 Guest |
禁止通过终端服务登录 | 内置管理员和所有非操作系统服务帐户 | 内置管理员和所有非操作系统服务帐户 | 内置管理员和所有非操作系统服务帐户 |
目录服务
运行 Windows Server 2003 的域控制器存储目录数据并管理用户与域的交互操作,包括用户登录进程、身份验证和目录搜索。重定位数据Active Directory 数据库和日志文件
维护 Active Directory 数据库和日志文件的安全性对于保证目录完整性和可靠性至关重要。如果域控制器出现安全问题,从默认位置移走 ntds.dit、edb.log 和 temp.edb 文件,以防范恶意攻击。而且,将文件由系统卷移动到独立的物理磁盘也有助于提高域控制器的性能。
有鉴于此,本指南推荐将所定义三种环境中域控制器的 Active Directory 数据库和日志文件从系统卷上的默认位置移动到非系统卷或镜像磁盘中。
调整 Active Directory 日志文件的大小
确保域控制器日志中记录并维护有足够的信息,这对于有效监视并维护 Active Directory 的完整性、可靠性与可用性至关重要。因此,提高日志文件的最大容量将为管理员提供足够的所需信息,以便在发生黑客攻击事件后能够实施有效的审核。
鉴于以上考虑,在本指南定义的三种环境中,推荐将域控制器上的 Directory Service 和文件复制服务日志文件的最大容量从默认的 512 KB 增加到 16 MB。
使用 Syskey
在域控制器上,密码信息被存储在 Directory Service 中。密码破解软件经常将 SAM 数据库或 Directory Service 作为攻击目标,以获取用户的帐户密码。针对离线密码破解软件,系统工具 Syskey 为用户密码构筑了又一道防线。Syskey 使用强加密技术以确保存储于目录服务中帐户密码的安全性。
表 19:Syskey 模式
System Key 选项 | 安全级别 | 描述 |
模式 1:系统生成密码,本地存储启动密码 | 安全 | 使用计算机生成的随机密钥作为系统密钥并且将该密钥的加密版本存储在本地计算机上。该选项在注册表中提供强加密密码信息,并且使用户能够重新启动计算机而不需要管理员输入密码或插入磁盘。 |
模式 2:管理员生成密码,密码启动 | 更安全 | 使用计算机生成的随机密钥作为系统密钥并且将该密钥的加密版本存储在本地计算机上。该密钥也受到管理员所选择密码的保护。计算机启动时提示用户输入系统密钥密码。该系统密钥不存储在计算机中。 |
模式 3:系统生成密码,软盘上存储启动密钥。 | 最安全 | 使用计算机生成的随机密钥并且将该密钥存储在软盘上。启动系统需要包含系统密钥的软盘,并且按照启动过程中的提示插入该软盘。该系统密钥不存储在计算机中。 |
由于域控制器易被具有物理访问机会的攻击者重新启动,所以从安全角度出发,这似乎是正确的做法。通过采用模式 1 的 Syskey,攻击者可以读取和更改目录内容。
但是,模式 2 或模式 3 不支持通过重新启动取得域控制器的控制权。要充分利用这些 Syskey 模式提供的附加保护,必须在目前环境中实施正确的操作规程以符合域控制器指定的可用性要求。
Syskey 密码或软盘管理逻辑学相当复杂,尤其在部门办公中更是如此。例如,为使用户能够访问网络而要求一个部门经理或本地管理员工在下午 3 点钟办公时输入密码或插入软盘过于苛刻,并且很难满足高可用性服务等级协议 (SLA) 的要求。
或者,允许集中式 IT 操作人员远程提供 Syskey 密码将需要其他硬件 — 一些硬件供应商提供了远程访问服务器控制台的解决方案。
最终,丢失 Syskey 密码或软盘将使域控制器处于无法重新启动的状态。如果丢失 Syskey 密码或软盘,则无法恢复域控制器。如果发生这种情况,必须重建域控制器。
但是如果使用正确的操作过程,Syskey 可以提供更高的安全级别,很好的保护域控制器上关键的目录信息。
因此,对于位于弱物理安全性地点的域控制器,推荐使用 Syskey 模式 2 或模式 3。该建议也适用于于本指南所定义三种环境中的域控制器。
• | 要创建或更新系统密钥,请执行下列操作:
|
集成 DNS 到 Active Directory
Microsoft 推荐在本指南所定义的三种环境中集成 Active Directory 与 DNS 服务,因为在某种程度上将 DNS 集成到 Active Directory 可以简化保护 DNS 基础结构的工作。保护 DNS 服务器
对于 Active Directory 环境来说,确保 DNS 服务器的安全性至关重要。以下部分将提供相关的建议与解释。攻击者攻击 DNS 服务器的目标之一是截获返回给客户的 DNS 信息。这样,客户端可能无意中错误定向到未经验证的计算机。IP 欺骗和高速缓存破坏均属于此类攻击。
在 IP 欺骗中,未经授权用户 IP 地址被添加到传输数据中,以骗取访问计算机或网络的权限。在缓存中毒攻击中,未经授权的主机将其他主机的错误信息传输到 DNS 服务器缓存中。该攻击导致将客户端重定向到未经授权的计算机。
如果客户无意中开始了与未经授权计算机的通讯,这些计算机则可能试图获得访问权限,以访问存储在该客户端计算机上的信息。
并不是所有攻击均集中于欺骗 DNS 服务器上。一些 DoS 攻击可能会更改合法 DNS 服务器中的 DNS 记录。这样,客户端在发出查询请求后,将收到无效的地址。收到攻击后,服务器将返回无效地址,因此客户端和服务器无法查找所需的资源,例如域控制器、Web 服务器或文件共享目录。
基于此,本指南建议在三种环境中配置所使用的路由器以丢弃哄骗的 IP 数据包,从而确保 DNS 服务器的 IP 地址不被其他计算机欺骗。
配置安全的动态更新
Windows Server 2003 DNS 客户端服务支持动态 DNS 更新,通过该服务,客户端系统可以将 DNS 记录直接添加到数据库中。如果将动态 DNS 服务器配置为接收不安全的更新,则其可以接收来自攻击者(使用支持 DDNS 协议的客户端)的恶意或未经授权的更新。最小的影响是,攻击者可能将错误项添加到 DNS 数据库;最坏的情况是,攻击者可能覆盖或删除 DNS 数据库中的合理项。这样的攻击可能导致下列任何一种情况:
• | 将客户端定向到未经授权的域控制器:当客户端提交查找域控制器地址的 DNS 查询时,某泄露的 DNS 服务器可被指示返回未经授权服务器的地址。使用其他相关的非 DNS 攻击时,客户端可能被欺骗将安全信息传递到错误服务器。 |
• | 使用无效地址响应 DNS 查询:这将使客户端与服务器无法相互查找。如果客户端找不到服务器,则无法访问该目录。域控制器找不到其他域控制器时,目录复制将停止并创建一个可能影响整个林用户的 DoS 条件。 |
• | 在创建 DoS 条件过程中,服务器磁盘空间可能会因虚拟记录填满的巨大区域文件或者减慢复制的大量项而耗尽。 |
基于此,本指南建议在所定义的三种环境中配置 Active Directory DNS 服务器以仅接收安全动态更新。
将区域传输限制在已授权系统
由于区域在 DNS 中扮演着重要角色,它们应该能通过网络的多个 DNS 服务器获得,以便在解析名称查询时提供足够的可用性和容错性。否则,刚好发送到区域中没有响应的某个服务器上的名称查询可能无法解析。对于驻留区域的其他服务器,需要区域传输复制和同步所用区域的所有副本。此外,没有限制可以请求区域传输的用户的 DNS 服务器易将整个 DNS 区域传输到任何请求它的用户。使用工具如 nslookup.exe 可以轻松地完成此操作。这些工具会暴露整个域的 DNS 数据集,包括哪些主机正用作域控制器、目录集成 Web 服务器或 Microsoft SQL Server 2000 数据库。
基于此,本指南建议在所定义的三种环境中配置 Active Directory 集成 DNS 服务器以允许区域传输,但是限制可以请求传输的系统类型。
调整事件日志和 DNS 服务日志的大小
确保为某环境中的域控制器记录和维护足够数量的信息对于有效监视 DNS 服务是至关重要的。增加 DNS 服务日志文件的最大大小有助于管理员维护足够数量的信息,以便在发生攻击时执行有意义的审核。
基于此,本指南建议在所定义的三种环境中,将域控制器的 DNS 服务日志文件的最大大小至少配置为 16 MB,并确保选择 DNS 服务中的“按需要覆盖事件”选项以最大化保留日志项的数量。
保护已知帐户
Windows Server 2003 具有大量无法删除但可重命名的内置用户帐户。Windows 2003 中最为人所知的两个内置帐户是“Guest”和“Administrator”。默认情况下,在成员服务器和域控制器上禁用“Guest”帐户。不应更改该设置。应该重命名内置“Administrator”帐户并更改描述以防止攻击者使用已知帐户危及远程服务器的安全。
许多恶意代码最初试图使用内置管理员帐户危及服务器的安全。通过指定内置管理员帐户 SID 以确定其真实名称的攻击工具可试图侵入服务器,由于该工具的发布,过去几年中对此配置值的更改已经减少了。SID 值唯一标识网络中的用户、组、计算机帐户和登录会话。不可能更改该内置帐户的 SID。重命名本地管理员帐户唯一名称可使操作组易于监视对该帐户的试图攻击。
完成下列步骤可保护域和服务器上的已知帐户:
1. | 重命名每个域和服务器上的“Administrator”和“Guest”帐户,并将其密码更改为长而复杂的值。 |
2. | 在每个服务器上使用不同的名称和密码。如果在所有域和服务器上使用同一帐户名称与密码,则获得访问某成员服务器权限的攻击者将有权访问使用同一帐户名称与密码的所有其他服务器。 |
3. | 将帐户描述更改为默认值外的其他值有助于防止帐户很容易被标识。 |
4. | 将这些更改记录在安全位置。 |
保护服务帐户
如果不是完全必要的话,请勿将服务配置为在域帐户的安全上下文中运行。如果服务器在物理上受到安全危及,可通过转储本地安全机构 (LSA) 机密轻松获得域帐户密码。终端服务设置
表 20:设置默认值 | 旧客户端 | 企业客户端 | 高安全级 |
设置客户端连接加密级别 | 高 | 高 | 高 |
在组策略对象编辑器中配置该设置的路径是:
计算机配置/管理模板/Windows 组件/终端服务/加密与安全性。
有三种可用的加密级别:
表 21:终端服务加密级别
加密级别 | 描述 |
高级 | 使用强 128 位加密可将此级别加密数据从客户端发送到服务器并从服务器发送到客户端。当终端服务器运行在只包含 128 位客户端(例如远程桌面连接客户端)的环境中时,请使用此级别。不支持此加密级别的客户端将无法连接。 |
客户端兼容 | 此级别加密数据以客户端支持的最大密钥强度在客户端与服务器之间发送。如果终端服务器运行于包含混合型或旧客户端的环境中,请使用此级别。 |
低级 | 使用 56 位加密可将此级别加密数据从客户端发送至服务器。要点:从服务器向客户端发送的数据不加密。 |
错误报告
表 22:设置默认值 | 旧客户端 | 企业客户端 | 高安全级 |
报告错误 | 已禁用 | 已禁用 | 已禁用 |
该设置仅在 Microsoft Windows®、XP Professional 操作系统和 Windows Server 2003 中可用。在组策略对象编辑器中配置该设置的路径是:
计算机配置/管理模板/系统/错误报告
错误报告可能包含敏感或乃至保密的企业数据。关于错误报告的 Microsoft 隐私策略可确保 Microsoft 正确使用此类数据,但是该数据以明文超文本传输协议 (HTTP) 传输,它可能会在 Internet 上被截获并被第三方查看。基于此,本指南建议在所定义的所有三种安全环境中,将 DCBP 中的“错误报告”设置配置为“已禁用”。
使用 IPSec 筛选器的块端口
Internet 协议安全 (IPSec) 筛选器可提供一种有效方法以提高服务器所需的安全级别。本指南建议在所定义的“高安全级”环境中使用此可选指南以进一步降低服务器的攻击面。有关使用 IPSec 筛选器的详细信息,请参阅模块其他成员服务器强化过程。
下表列出了在本指南定义的“高安全级”环境中可在域控制器上创建的所有 IPSec 筛选器。
下表列出了在本指南定义的“高安全级”环境中应在域控制器上创建的所有 IPSec 筛选器。
表 23:域控制器 IPSec 筛选器网络流量图
服务 | 协议 | 源端口 | 目标端口 | 源地址 | 目标地址 | 操作 | 镜像 |
CIFS/SMB Server | TCP | 所有 | 445 | 所有 | ME | 允许 | 是 |
UDP | 所有 | 445 | 所有 | ME | 允许 | 是 | |
RPC Server | TCP | 所有 | 135 | 所有 | ME | 允许 | 是 |
UDP | 所有 | 135 | 所有 | ME | 允许 | 是 | |
NetBIOS Server | TCP | 所有 | 137 | 所有 | ME | 允许 | 是 |
UDP | 所有 | 137 | 所有 | ME | 允许 | 是 | |
UDP | 所有 | 138 | 所有 | ME | 允许 | 是 | |
TCP | 所有 | 139 | 所有 | ME | 允许 | 是 | |
Monitoring Client | 所有 | 所有 | 所有 | ME | MOM 服务器 | 允许 | 是 |
Terminal Services Server | TCP | 所有 | 3389 | 所有 | ME | 允许 | 是 |
Global Catalog Server | TCP | 所有 | 3268 | 所有 | ME | 允许 | 是 |
TCP | 所有 | 3269 | 所有 | ME | 允许 | 是 | |
DNS Server | TCP | 所有 | 53 | 所有 | ME | 允许 | 是 |
UDP | 所有 | 53 | 所有 | ME | 允许 | 是 | |
Kerberos Server | TCP | 所有 | 88 | 所有 | ME | 允许 | 是 |
UDP | 所有 | 88 | 所有 | ME | 允许 | 是 | |
LDAP Server | TCP | 所有 | 389 | 所有 | ME | 允许 | 是 |
UDP | 所有 | 389 | 所有 | ME | 允许 | 是 | |
TCP | 所有 | 636 | 所有 | ME | 允许 | 是 | |
UDP | 所有 | 636 | 所有 | ME | 允许 | 是 | |
NTP Server | TCP | 所有 | 123 | 所有 | ME | 允许 | 是 |
UDP | 所有 | 123 | 所有 | ME | 允许 | 是 | |
PredefinedRPC Range | TCP | 所有 | 57901-57950 | 所有 | ME | 允许 | 是 |
DC Comms | 所有 | 所有 | 所有 | ME | 域控制器 | 允许 | 是 |
DC Comms | 所有 | 所有 | 所有 | ME | 域控制器 2 | 允许 | 是 |
ICMP | ICMP | 所有 | 所有 | ME | 所有 | 允许 | 是 |
All Inbound Traffic | 所有 | 所有 | 所有 | 所有 | ME | 禁止 | 是 |
上表代表了服务器要打开的基本端口,以便执行角色特定功能。如果服务器有静态 IP 地址,这些端口足够。可能需要打开其他端口提供其他功能。打开其他端口将使环境中的域控制器更容易管理,但可能大大降低这些服务器的安全性。
要支持客户端登录进程,应专门指定端口范围来使用 RPC。如果将环境中的 RPC 流量限制于一定的端口数量,选定端口范围应包括超过 50,000 个的端口。这可通过设置下列注册表加以配置:
如果 HKEY_LOCAL_MACHINE/Software/Microsoft/RPC/Internet 不存在,请创建。
HKEY_LOCAL_MACHINE/Software/Microsoft/RPC/Internet/Ports 应作为 REG_MULTI_SZ 创建和配置,值代表了要打开的端口的范围。例如,值 57901-57950 将打开 50 个端口使用 RPC 数据流。
HKEY_LOCAL_MACHINE/Software/Microsoft/RPC/Internet/PortsInternetAvailable 应作为 REG_SZ 创建和配置,值是 Y。
HKEY_LOCAL_MACHINE/Software/Microsoft/RPC/Internet/UseInternetPorts 应作为 REG_SZ 创建和配置,值是 Y。
完成上面注册表的更改后,请重新启动服务器。
注意:这些更改可能影响性能,请一定在实施前测试。要打开的确切端口数取决于环境和服务器的使用与功能。客户端的登录次数一定要监视。如果登录性能降级,则需要打开其他端口。
如上所示,如果在环境中实施 Microsoft Operations Manager (MOM),必须允许所有网络数据流在实施 IPSec 筛选器的服务器与 MOM 服务器之间往复传递。由于 MOM 服务器和负责报告 MOM 控制台的 OnePoint 客户端到客户端应用程序之间有大量数据交互,上面这种选择是必要的。其他管理包可能有类似的需求。如果要满足更高级别的安全性,可在 OnePoint 客户端配置筛选器操作来与 MOM 服务器协商 IPSec。
上面的网络流量图假定环境中包含启用 Active Directory 的 DNS 服务器。如果使用独立 DNS 服务器,可能需要其他规则。
IPSec 策略的实施不应明显影响服务器性能。但在实施这些筛选器之前,必须通过测试环节,目的是确认服务器必要的功能和性能都能得到维护。也可以添加其他规则支持其他应用程序。
注意:域控制器的动态性非常强,在其上实施 IPSec 筛选器应仔细评估,然后在实验室环境中充分测试。由于域控制器间大量的数据交互,需要添加 IPSec 筛选器在控制器间相互复制数据。在有很多域控制器的复杂环境中,这需要创建几十种其他筛选器,以便有效保护域控制器。这样,实施和管理 IPSec 策略则变得十分困难。当然,域控制器量很少的环境也可充分利用实施 IPSec 筛选器的优点。
本指南包括一个 .cmd 文件,它简化了域控制器指定 IPSec 筛选器的创建过程。PacketFilters-DC.cmd 文件使用 NETSH 命令创建适当的筛选器。必须修改 .cmd 文件,将环境中的其他域控制器 IP 地址包括在内。脚本包含了要添加的两个域控制器的占位符。如果需要,可添加其他域控制器。域控制器的 IP 地址列表必须保持最新。
如果 MOM 在环境中,脚本中还要指定相应 MOM 服务器的 IP 地址。脚本不创建永久筛选器。因此,除非启动 IPSec 策略代理,否则服务器不受保护。有关建立永久筛选器或创建高级 IPSec 筛选器脚本的详细信息,请参阅模块其他成员服务器强化过程。最后,配置脚本不分配创建的 IPSec 策略。可使用 IP 安全策略管理单元检查已创建的 IPSec 筛选器,然后按顺序分配 IPSec 策略使其生效。
返回页首
小结
本指南说明了各种服务器强化设置,它们是确保本指南定义的三种环境中的域控制器安全的必要因素。这里讨论的大多数设置都通过组策略配置和应用。设计优于默认域控制器策略的组策略对象 (GPO) 与域控制器组织单元 (OU) 关联。域控制器基准策略 (DCBP) 包括的设置将提高所有给定环境中的域控制器的安全性。使用两种 GPO 保护域控制器可保护默认环境,并简化解决问题的过程。有些服务器强化设置不能通过组策略应用。在这种情况下,本指南提供了手动配置这些设置的详细信息。
由于域控制器都受到一定的保护,本指南的后续模块将集中介绍其他特定服务器角色的保护方法。
其他信息
下面是本指南发布时与保护运行 Windows Server 2003 的计算机环境中的域控制器密切相关的最新信息。有关 Microsoft 系统体系结构的信息以及有关企业数据中心说明性体系结构指南,请访问下列网址: http://www.microsoft.com/technet/itsolutions/edc/default.asp(英文)。
有关启用 Active Directory 权限的匿名访问的信息,请参阅知识库文章 257988“Description of Dcpromo Permissions Choices”,其网址为:
http://support.microsoft.com/default.aspx?scid=257988(英文)。
有关 Windows 2000 DNS 的信息,请参阅“Windows 2000 DNS White Paper”,其网址为: http://www.microsoft.com/windows2000/techinfo/howitworks/communications/nameadrmgmt/w2kdns.asp(英文)。
有关 Windows 2000 DNS 的详细信息,请参阅模块 6 在线版本“TCP/IP Core Networking Guide”,其网址为: http://www.microsoft.com/windows2000/techinfo/reskit/en-us/default.asp(英文)。
有关 Windows 2003 DNS 的信息,请参阅“Changes to DNS in Windows Server 2003”,其网址为: http://www.microsoft.com/windows2000/technologies/communications/dns/dns2003.asp(英文)。
有关 IPSec 筛选器的详细信息,请参阅“How To:Use IPSec IP Filter Lists in Windows 2000”,其网址为: http://support.microsoft.com/default.aspx?scid=313190(英文)。
有关限制 Active Directory 的详细信息,请参阅“Restricting Active Directory Replication Traffic to a Specific Port”,其网址为: http://support.microsoft.com/default.aspx?scid=224196(英文)。
有关限制 FRS 复制流量的详细信息,请参阅“How to Restrict FRS Replication Traffic to a Specific Static Port”,其网址为: http://support.microsoft.com/default.aspx?scid=319553(英文)。
有关 Windows 时间服务的详细信息,请参阅“Basic Operation of the Windows Time Service”,其网址为: http://support.microsoft.com/default.aspx?scid=224799(英文)。
有关配置 Windows 时间服务的详细信息,请参阅“How to Configure an Authoritative Time Server in Windows 2000”,其网址为: http://support.microsoft.com/default.aspx?scid=216734(英文)。
相关文章推荐
- 组策略设置服务器安全-----不显示最后的用户名
- 阿里云服务器上使用iptables设置安全策略
- WEB服务器应用_服务器安全设置之_IP安全策略 (仅仅列出需要屏蔽或阻止的端口或协议)
- win2003服务器安全设置之 IP安全策略
- 阿里云服务器上使用iptables设置安全策略
- 阿里云linux服务器上使用iptables设置安全策略的方法
- 阿里云windows服务器安全设置(防火墙策略)
- win2008 R2 WEB 服务器安全设置指南之组策略与用户设置
- 阿里云windows服务器安全设置(防火墙策略)
- 阿里云linux服务器安全设置(防火墙策略等)
- 全新阿里云centos服务器完整安装配置(一) 挂载云盘 设置安全组策略
- Windows Server 2003 服务器安全设置的部分策略
- win2003 服务器安全设置教程(权限与本地策略)
- [windows安全设置]Win 2000安全审核策略让入侵者无处遁形
- win2008 R2设置IP安全策略后在服务器内打开网站很慢或无法访问外部网站的原因
- Windows server 2003 服务器安全设置策略003
- 查看文件服务器修改写删除文件的记录设置方法------通过设置文件夹审核策略
- 阿里云服务器上使用iptables设置安全策略
- 服务器安全策略 IP安全策略设置方法