其他安全 设置
通过 BHLP 应用的安全设置为堡垒主机服务器提供了大量的增强性安全保护。不过,还是应该考虑其他一些注意事项 和过程。这些步骤不能通过本地策略完成,而应该在所有的堡垒主机服务器上手动执行。
在用户权限分配中手动添 加唯一的安全组
大多数通过 MSBP 应用的用户权限分配都已经在本指南附带的安全模板中进行了适当的指定。但是,有几个帐户和安全组不能包含于模板中,因为它们的安全标识符 (SID) 特定于各个 Windows 2003 域。以下指定了必须手动配置的用户权限分配。
警告:下表包含内置 Administrator 帐户的值。不要将此帐户与内置 Administrators 安全组相混淆。如 果将 Administrators 安全组添加到以下任何拒绝访问用户权限中,则需要在本地登录来更正错误。
此外,内置的 Administrators 帐户可能已根据模块创建 Windows Server 2003 服务器的成员服务器基准中阐述的某些建议进行了重命名。添加 Administrators 帐户时,请确保指定的是重命名后的帐户。
表 18:手动添加的用户权限分配
| 成员服务器默认值 | 旧客户端 | 企业客户端 | 高安全性 |
|
拒绝从网络访问此计算机 |
内置 Administrator; Support_388945a0;Guest;所有非操作系统服务帐户 |
内置 Administrator;Support_388945a0;Guest ;所有非操作系统服务帐户 |
内置 Administrator; Support_388945a0;Guest;所有非操作系统服务帐户 |
要点:所有的非操作系统服务帐户包括整个企业范围内用于特定应用程序的服务帐户。这并不包括操作系统所使用的内置式 帐户:LOCAL SYSTEM、LOCAL SERVICE 或 NETWORK SERVICE。
删除不必要的网络协议和绑定
为了避免用户枚举的威胁,应该在通过 Internet 可直接访问的服务器(特别是堡垒主机服务器)上禁用所有不必要的协议。用户枚举是一种信息搜集暴露类型,攻击者试图使用它获得系统特有的信息,然后计划下一步的攻击。
服务器消息块 (SMB) 协议将返回有关一台计算机的大量信息,甚至对使用“null”会话的未经授权的用户也是如此。可以检索的信息包括共享、用户信息(包括组和用户权限)、注册表项等等。
禁用 SMB 和 TCP/IP 上的 NetBIOS,可以大大降低服务器的攻击面,从而保护堡垒主机。虽然该配置下的服务器更加难于管理,并且无法访问网络上的共享文件夹,但这些措施可以有效保护服务器免予轻易受到损害。 因此,本指南建议在可以通过 Internet 进行访问的堡垒主机服务器上,禁用网络连接的 SMB 或者 TCP/IP 上的 NetBIOS。
| • |
要禁用 SMB,请执行下列操作:
|
| • |
要禁用 TCP/IP 上的 NetBIOS,请执行下列操作:
|
此过程会禁用 TCP/445 和 UDP 445 端口上的 SMB 直接主机侦听程序。
注意:此过程将禁用 nbt.sys 驱动程序。“高级 TCP/IP 设置”对话框的“WINS”选项卡 包含“禁用 TCP/IP over NetBIOS”选项。选择此选项将仅禁用“NetBIOS 会话服务”(在 TCP 端口 139 上侦听)。这样做并不会完全禁用 SMB。若要执行此操作,请使用以上步骤。
保护众所周知的帐户
Windows Server 2003 具备大量的内置用户帐户,这些帐户不能删除,但可以重命名。Windows 2003 中的两个最为人熟知的内置帐户为“Guest”和“Administrator ”。
默认情况下,服务器上的 Guest 帐户是禁用的,而且不应被修改。内置的 Administrator 帐户应该被重命名,并且改变描述,以阻止攻击者从远程服务器使用该帐户进行攻击。
在首次尝试攻击服务器时,许多恶意代码的变种使用内置的 administrator 帐户。在近几年来,进行上述重命名配置的意义已经大大降低了,因为出现了很多新的攻击工具,这些工具企图通过指定内置 Administrator 帐户的安全标识 (SID) 来确定该帐户的真实姓名,从而侵入服务器。SID 是用来唯一标识网络上的每个用户、用户组、计算机帐户和登录会话的值。此内置帐户的 SID 不可能更改。将本地管理员帐户重命名为唯一的名称,可便于操作组监视对此帐户的攻击。
| • |
要保护堡垒主机服务器上众所周知的帐户,请执行下列操作:
|
Error Reporting
表 19:设置
| 默认值 | 旧客户端 | 企业客户端 | 高安全性 |
|
报告错误 |
已禁用 |
已禁用 |
已禁用 |
Error Reporting 服务将帮助 Microsoft 跟踪和查找错误。您可以将此服务配置为给操作系统错误、Windows 组件错误或程序错误生成报告。启用后,Error Reporting 服务将把这些错误通过 Internet 报告给 Microsoft,或者报告给内部企业文件共享。
计算机 配置\管理模板\系统\错误报告。
错误报告很可能包含敏感或机密的公司数据。Microsoft 关于错误报告的隐私政策保证 Microsoft 不会不适当地使用这些数据,但是这些数据使用明文形式的超文本传输协议 (HTTP) 传送,这就有可能被 Internet 上的第三方截获或者查看。出于这些原因,本指南建议在所定义的三种安全环境下,在 DCBP 中将“Error Reporting”设置配置为“已禁用”。
使用 IPSec 过滤器阻塞端口
Internet 协议安全 (IPSec) 过滤器可以提供提高服务器所需安全级别的有效方法。本指南建议在所定义的高安全性环境中使用此选项,以便进一步减少服务器的攻击面。
有关使用 IPSec 过滤器的详细信息,请参阅模块其他成员服务器强化过程。
下表列出了应在本指南定义的高安全性环境中的 SMTP 堡垒主机上创建的所有 IPSec 过滤器。
表 20:SMTP 堡垒主机 IPSec 网络流量图
| 服务 | 协议 | 源端口 | 目标端口 | 源地址 | 目标地址 | 操作 | 镜像 |
|
SMTP Server |
TCP |
所 有 |
25 |
所有 |
ME |
允许 |
是 |
|
DNS Client |
TCP |
所有 |
53 |
ME |
DNS Client |
允许 |
是 |
|
DNS 客户端 |
UDP |
所有 |
53 |
ME |
DNS 服务器 |
允许 |
是 |
|
All Inbound Traffic |
所有 |
所有 |
所有 |
所有 |
ME |
阻止 |
是 |
实施上表中列出的所有规则时,都应进行镜像。这样可以保证任何进入服务器的网络流量也可以返回到源服务器。
