本页内容
 |
本模块内容 |
|
目标 |
|
适用范围 |
|
如何使用本模块 |
|
概述 |
|
审核策略 设置 |
|
用户权限 分配 |
|
安全选项 |
|
事件日志 设置 |
|
系统服务 |
|
其他安全 设置 |
|
小结 |
本模块内容
本模块解释专门用于堡垒主机的安全模板配置。堡垒主机是一种安全但可供公共访问的计算机,它位于外围网络的面向公众的一端。堡垒主机通常用作 Web 服务器、域名系统 (DNS) 服务器、文件传输协议 (FTP) 服务器、简单邮件传输协议 (SMTP) 服务器和网络新闻传输协议 (NNTP) 服务器。本模块引用“Windows Server 2003 Security”(英文)中所包含成员服务器基准中的设置。此外,本模块还将考虑除安全模板定义的那些配置以外还必须应用的额 外安全配置设置。要创建完全强化的堡垒主机,需要使用这些附加设置。本模块还包括有关如何使用安全配置和分析工具应用安全模板的说明 。
如何使用 本模块
使用本模块可以了解应该应用于堡垒主机并强化此类独立服务器的的安全设置。本模块结合使用特定于角色的安全 模板和基准安全模板。这些安全模板来自“Windows Server 2003 Security Guide”,其网址为:http://go.microsoft.com/fwlink/?LinkId=14846(英文)。
为了更好地理解本模块的内容,请:
| • | |||
| • |
阅读模块创建 Windows Server 2003 服务器的成员服务器基准。此模块演示组织单位层次结构的使用以及将成员服务器基准应用到多个服务器的组策略。 | ||
| • |
使用附带的“如何”文章。使用本模块引用的以下指导性文章:
|
概述
本模块关注强化环境中的堡垒主机。堡垒主机是安全但可公开访问的计算机。堡垒主机位于外围网络(也称为 DMZ、网络隔离区域和屏蔽子网)的面向公众的一端。堡垒主机不受防火墙或过滤路由器的保护,因此它们完全暴露在攻击中。由于这个暴露的缺陷,在设计和配置堡垒主机时必须付出巨大的努力,最大程度地减少损坏的几率。
堡垒主机通常用作 Web 服务器、域名系统 (DNS) 服务器、文件传输协议 (FTP) 服务器、简单邮件传输协议 (SMTP) 服务器和网络新闻传输协议 (NNTP) 服务器。理想情况下,堡垒主机应该只执行这些服务中的某一个功能,因为它扮演的角色越多,出现安全漏洞的可能性就越大。而在单个堡垒主机上保护单个服务则相对容易。能够在多项堡垒主机业务上投入资金的企业必将从此类网络体系结构中获益匪浅。
安全堡垒主机的配置与通常的主机相比明显不同。所有不必要的服务、协议、程序和网络接口都将被禁用或删除,而且,每台堡垒主 机通常被配置成只承担一个特定角色。使用此方式强化堡垒主机,会限制某些可能的攻击方法。
本模块的以下各部分详细说明可以在不同环境中最有效保护堡垒主机的各种安全强化设置。
堡垒主机本地策略
组策略与本指南前面详细说明的其他服务器角色组策略不同,它不能应用于堡垒主机服务器,因为它们将被配置为不属于 Microsoft® Active Directory® 目录服务域的独立主机。由于暴露级别很高,只对本指南中定义的三种环境中的堡垒主机服务器规定了一个级别的指导。以下介绍 的安全设置基于模块创建 Windows Server 2003 服务器的成员服务器基准中为高安全性环境定义的成员服务器基准策略 (MSBP)。它们包含在 必须应用于每台堡垒主机的堡垒主机本地策略 (BHLP) 的安全模板中。
应用堡垒主机本地策略
可以使用本指南所引用的 High Security-Bastion Host.inf 文件配置 BHLP。它能够启用使 SMTP 堡垒主机服务器正常工作所需的 服务。应用 High Security-Bastion Host.inf 可以增强服务器的安全性,因为它减少了堡垒主机的攻击面,但是您将无法对堡垒主机进行远 程管理。必须修改 BHLP,才能启用更多的功能或增强堡垒主机的可管理性。
要应用安全模版中包含的所有安全设置 ,必须使用“安全配置和分析”管理单元,而不是“本地计算机策略”管理单元。不能使用“本地计算机策略”管理单元导入安全模板,因为使用此管理单元无法应用系统服务的安全设置。
下列步骤详细介绍了如何使用“安全配置和分析”管理单元导入并应用 BHLP 安全模板。
警告:Microsoft 强烈建议在对堡垒主机服务器应用 High Security-Bastion Host.inf 之前先执行完全备份。应用 High Security-Bastion Host.inf 安全模板之后,很难将堡垒主机还原为其原始配置。请确保已配置了安全模板,以启用环境所要求的堡垒主机功能。
有关导入、分析和应用安全模板的逐步指南,请参阅如何在 Windows Server 2003 中应用组策略和安全模板。
完成这些步骤后,所有相关安全模板设置将全部应用于环境中堡垒主机的本地策略。必须重新启动堡垒主机才能使所有设置生效。
以下各部分描述使用 BHLP 应用的安全设置。本模块只讨论与 MSBP 中的设置不同的那些设置。
审核策略 设置
用于堡垒主机的 BHLP 审核策略的设置与在 High Security-Member Server Baseline.inf 文件中所指定的设置是相 同的。有关 MSBP 的详细信息,请参阅模块创建 Windows Server 2003 服务器的成员服务器基准。BHLP 设置可确保所有相关的安全审核信息 都记录在所有的堡垒主机服务器上。
用户权限 分配
堡垒主机的 BHLP 用户权限分配基于模块创建 Windows Server 2003 服务器的成员服务器基准中的 High Security -Member Server Baseline.inf 文件中指定的那些设置。下面介绍 BHLP 与 MSBP 之间的差异。
允许本地登录
表 1:设置
| 成员服务器默认值 | 设置 |
|
允许本地登录 |
Administrators |
“允许本地登录”用户权限使用户可以启动计算机上的交互式会话。对那些能登录到堡垒主机服务器控制台的帐户做出限制,将有助于阻止未经授权的用户访问服务器上的文件系统和系统服务。可以登录服务器控制台的用户便可以使该系统暴露于安全损害下。
默认情况下,Account Operators、Backup Operators、Print Operators 和 Power Users 组被授予本地登录的权限。请仅将此权限授予 Administrators 组,以便只有高度信任的用户才拥有对堡垒主机服务器的管理访问权限,从而提供更高级别的安全性。
拒绝从网络访问此计算机
表 2:设置
| 成员服务器默认值 | 设置 |
|
SUPPORT_388945a0 |
匿名登录;内置 Administrator;Support_388945a0;Guest;所有的非 操作系统服务帐户 |
注意:安全模板中 不包含匿名登录、内置 Administrator、Support_388945a0、Guest 和所有的非操作系统服务帐户。这些帐户和组具有唯一的安全标识符 (SID)。因此,必须手动将它们添加到 BHLP。
“拒绝从网络访问此计算机”用户权限确定禁止哪些用户通过网络访问计算机。这些设置将拒绝大量的网络协议,包括基于服务器消息块 (SMB) 的协议、网络基本输入/输出系统 (NetBIOS)、通用 Internet 文 件系统 (CIFS)、超文本传输协议 (HTTP) 和组件对象模型 (COM+)。如果用户帐户同时遵循这两个策略,则这些设置将覆盖“从网络访问此计 算机”设置。在您的环境中为其它组配置此用户权限可以限制用户的访问能力,让他们只能执行委派的管理任务。
在模块创建 Windows Server 2003 服务器的成员服务器基准中,本指南建议将 Guests 组包括到已分配此权限的用户和组列表中,从而提供最 高的安全性级别。不过,用来匿名访问 IIS 的 IUSR 帐户默认为 Guests 组的成员。出于这些原因,在本指南中定义的高安全性环境中,堡垒主机的“拒绝从网络访问此计算机”设置被配置为包括 ANONOYMOUS LOGON、内置 Administrator、Support_388945a0、Guest、所有的非操作系统服务帐户。
安全选项
堡垒主机的 BHLP 安全选项设置与模块创建 Windows Server 2003 服务器的成员服务器基准中的 High Security-Member Server Baseline.inf 文件中指定的那些设置相同。BHLP 设置确保所有相关的安全选项都通过堡垒主机服务器统一配置。
事件日志 设置
堡垒主机的 BHLP 事件日志设置与模块创建 Windows Server 2003 服务器的成员服务器基准中的 High Security- Member Server Baseline.inf 文件中指定的那些设置相同。BHLP 设置确保所有相关的事件日志设置都通过堡垒主机服务器统一配置。
系统服务
堡垒主机服务器的工作性质决定了它将暴露在外界的攻击之中。出于此原因,必须最大程度地降低每台堡垒主机的攻击面 。为了正确强化堡垒主机服务器,所有不需要的操作系统服务,以及对堡垒主机正常运行没有必要的角色都应该禁用。本指南所引用的 High Security-Bastion Host.inf 安全模板件可以对 BHLP 进行特定配置,以启用 SMTP 堡垒主机服务器正常工作时所需要的服务。BHLP 可以启用 Internet Information Services Manager 服务、HTTP SSL 服务和 SMTP 服务。但是,要启用其他任何功能,必须对 BHLP 进行修改。
众多被禁用的服务将会产生大量的事件日志警告,您可以忽略这些警告。在某些情况下,启用这些服务将会减少事件日志警告和错误消息以及增加堡垒主机的可管理性。但是,这也会增加每台堡垒主机的攻击面。
以下各部分讨论 在堡垒主机服务器上应该被禁用的服务,以在降低堡垒主机攻击面的同时保持其功能。这些部分只涉及 High Security-Member Server Baseline.inf 文件中未被禁用的服务。
自动更新
表 3:设置
| 服务名 | 设置 |
|
wuauserv |
已 禁用 |
Automatic Updates 服务使得堡垒主机可以下载并安装重要的 Microsoft Windows® 操作系统更新。此服务将自动为堡垒主机提供最新的更新程序、驱动程序和增强功能。您不必再手 动搜索关键的更新和信息;操作系统会将它们直接传送到堡垒主机。操作系统将识别您何时在线,并使用您的 Internet 连接从 Windows Update 服务中搜索可用的更新。根据您的配置设置,该服务会在您下载、安装更新程序之前通知您,或者自动为您安装更新程序。
停止或禁用 Automatic Updates 服务可防止将关键的更新自动下载到计算机。在这种情况下,您必须直接转至位于 windowsupdate.microsoft.com/en/default.asp">http://v4.windowsupdate.microsoft.com/en/default.asp 的 Windows Update 网站,搜索、下载和安装所有可用的关键修补程序。
此服务不是正确操作堡垒主机所必需的。您可以使用本地策略将服务的启动模式设置为只允许管理员访问服务器,以阻止未经授权或怀有恶意的用户对服务进行配置和操作。此外,禁用此服务将有效减少堡垒主机服务器的攻击面。出于这些原因,应在 BHLP 中将 Automatic Updates 设置配置为“已禁用”。
Background Intelligent Transfer Service
表 4:设置
| 服务名 | 设置 |
|
BITS |
已禁用 |
Background Intelligent Transfer Service (BITS) 是后台文件传输机制和队列管理器。BITS 可在客户端和 HTTP 服务器之间异步传输文件。BITS 接收请求后,会使用空闲的网络带宽传输文件,这样,其他的网络相关活动(例如浏览)将不受影响。
如果停止此服务,将导致服务再次运行之前,某些功能(如 Automatic Update)无法自动下载程序和其他信息。这表明,如果通过“组策略”配置此服务,计算机将不会从软件更新服务 (SUS) 中接收到自动更新。禁用此服务将导致显式依赖于它的所有服务无法传输文件,除非使用可靠机制直接通过 Internet Explorer 等其他方法传输文件。
此服务不是正确操作堡垒主机所必需的。使用本地策略保护并设置此服务的启动模式后,将仅对服务器管 理员授予访问权限,这样可防止未经授权或恶意用户配置或操作该服务。此外,禁用此服务将有效减少堡垒主机服务器的攻击面。出于这些原因,在 BHLP 中此服务被禁用。
Computer Browser
表 5:设置
| 服务名 | 设置 |
|
Browser |
已禁用 |
Computer Browser 服务维护网络上的最新计算机列表,并将该列表提供给需要它的程序。Computer Browser 服务由需要查看网络域 和资源的 Windows 计算机所使用。被指定为浏览器的计算机对浏览列表进行维护,该列表包括了网络上使用的所有共享资源。早期版本的 Windows 应用程序(例如“网上邻居”)、NET VIEW 命令和 Microsoft Windows NT® 操作系统的资源管理器都需要浏览功能。例如,在运行 Windows 95 的计算机上打开“网上邻居”将显示域和计算机的列表,计算机将通过从指定为浏览器的计算机中获得一份浏览列表来完成此操作 。
禁用 Computer Browser 服务将使得浏览器列表无法更新或维护。禁用此服务还将导致任何显式依赖于此服务的 服务都失败。
此服务不是正确操作堡垒主机所必需的。使用本地策略保护并设置服务的启动模式后,将仅对服务器管理员授予访问权限,这样可防止未经授权或恶意用户配置或操作该服务。此外,禁用此服务将有效减少堡垒主机服务器的攻击面。出于这些原因,应在 BHLP 中将 Computer Browser 设置配置为“已禁用”。
DHCP Client
表 6:设置
| 服务名 | 设置 |
|
Dhcp |
已禁用 |
DHCP Client 服务可用于通过为计算机注册和更新 Internet 协议 (IP) 地址和 DNS 名称,从而管理网络配置。此服务避免了当客户(例如漫游用户)在网络中无目的地游荡时必须手动更改 IP 设置。客户会被自动分配一个新的IP地址,而不考虑它所连接的子网 - 只要动态主机配置协议 (DHCP) 服务器对于每个子网来说都是可访问的。不需要对 DNS 或 Windows Internet 名称服务 (WINS) 手动配置设置。DHCP 服务器会将这些服务设置强加给客户,只要 DHCP 服务器已经做好配置并且可以发出此类信息即可。要在该客户端上启用此选项,只需选中“ 自动获得 DNS 服务器地址”选项按钮即可。启用此选项将不会导致因 IP 地址重复而产生的冲突。
停止 DHCP Client 服务将导致您的计算机无法接收到动态的 IP 地址,动态 DNS 更新功能也不会在 DNS 服务器上自动更新 IP 地址。禁用此服务还将导致任何显式依赖于此服务的服务都失败。
此服务不是正确操作堡垒主机所必需的。使用本地策略保护并设置此服务的启动模式后,将仅对服务器管理员授予访问权限,这样可防止未经授权或恶意用户配置或操作该服务。此外,禁用此服务将有效减少堡垒主机服务器的攻击面。出于这些原因,应在 BHLP 中将 DHCP Client 设置配置为“已禁用”。
Network Location Awareness (NLA)
表:设置
| 服务名 | 设置 |
|
NLA |
已禁用 |
Network Location Awareness (NLA) 服务收 集并存储网络配置信息(例如 IP 地址和域名更改以及位置更改信息),然后在这些信息发生更改时通知应用程序。
此服务不是正确操作堡垒主机所必需的。使用本地策略保护并设置服务的启动模式后,将仅对服务器管理员授予访问权限,这样可防止未经授权或恶意用户配置或操作该服务。此外,禁用此服务将有效减少堡垒主机服务器的攻击面。出于这些原因,应在 BHLP 中将 Network Location Awareness (NLA) 设置配置为“已禁用”。
NTLM Security Support Provider
表 8:设置
| 服务名 | 设置 |
|
NtLmSsp |
已禁用 |
NTLM Security Support Provider 服务为使用传输器,而不是已命名管道的远程过程 调用 (RPC) 程序提供安全保护,并使用户可以使用 NTLM 验证协议登录至网络。NTLM 协议将对不使用 Kerberos v5 验证的客户端进行身份验证。
停止或禁用 NTLM Security Support Provider 服务将禁止使用 NTLM 验证协议登录客户端,或访问网络资源。Microsoft Operations Manager (MOM) 和 Telnet 都依赖于此服务。
此服务不是正确操作堡垒主机所必需的。使用本地策略保护并设置服务的启动模式后,将仅对服务器管理员授予访问权限,这样可防止未经授权或恶意用户配置或操作该服务。此外,禁用此服务将有效减少堡垒主机服务器的攻击面。出于这些原因,应在 BHLP 中将 NTLM Security Support Provider 设置配置为“已禁用”。
