第 8 章：打印服务器角色

第 8 章：打印服务器角色

语言筛选器

Windows Server 2003 安全指南

第 8 章：打印服务器角色

更新日期： 2006年07月17日

本页内容

概述
 审核策略设置
 用户权限分配
 安全选项
 事件日志设置
 其他安全设置
 使用 SCW 创建策略
 总结

概述

本章重点介绍如何强化运行 Microsoft® Windows Server™ 2003 SP1 的打印服务器，这可能是一个棘手的问题。这些服务器提供的重要服务是需要服务器消息块 (SMB) 和通用 Internet 文件系统 (CIFS) 协议的服务，这两种协议都可能向未经身份验证的用户提供丰富的信息。这些协议在高度安全的 Windows 环境中的打印服务器上往往是禁用的。然而，如果在您的环境中禁用这些协议，则管理员和用户很难访问打印服务器。

本章中大部分设置是通过组策略配置和应用的。可以将补充成员服务器基准策略 (MSBP) 的组策略对象 (GPO) 链接到包含打印服务器的适当组织单位 (OU) 来为此服务器角色提供所需的安全设置。本章只讨论不同于 MSBP 的那些策略设置。

这些设置被尽可能地收集在将对打印服务器 OU 应用的增量组策略模板中。本章中的某些设置无法通过组策略应用。提供了有关如何手动配置这些设置的详细信息。

下表为本指南中定义的三种环境显示了打印服务器安全模板的名称。这些模板提供增量打印服务器模板的策略设置，该模板反过来用于创建链接到合适环境中打印服务器 OU 的新 GPO。第 2 章“Windows Server 2003 强化机制”提供了分步骤说明，帮助您创建 OU 和组策略，然后将合适的安全模板导入到每个 GPO。

表 8.1 所有三种环境的打印服务器安全模板

旧客户端	企业客户端	专用安全 – 限制功能
LC-Print Server.inf	EC-Print Server.inf	SSLF-Print Server.inf

有关 MSBP 中的设置的信息，请参阅第 4 章“成员服务器基准策略”。有关所有默认设置的信息，请参阅附加指南 威胁和对策：Windows Server 2003 和 Windows XP 的安全设置 ，网址为 http://www.microsoft.com/china/technet/security/guidance/secmod48.mspx。

注意：使用 SSLF-Print Server.inf 安全模板保护的打印服务器只能由使用兼容设置保护的客户端计算机可靠地访问。有关如何使用与 SSLF 兼容的设置来保护客户端计算机的信息，请参阅《Windows XP 安全指南》。

返回页首

审核策略设置

在本指南定义的三个环境中，打印服务器的审核策略设置是通过 MSBP 进行配置的。有关 MSBP 的详细信息，请参阅第 4 章“成员服务器基准策略”。MSBP 设置在所有打印服务器上激活安全审核信息日志记录。

返回页首

用户权限分配

在本指南定义的三个环境中，打印服务器的用户权限分配设置是通过 MSBP 进行配置的。有关 MSBP 的详细信息，请参阅第 4 章“成员服务器基准策略”。MSBP 设置在所有打印服务器上统一配置用户权限分配。

返回页首

安全选项

在本指南所定义的三个环境中，打印服务器的大多数安全选项设置是通过 MSBP 进行配置的。有关 MSBP 的详细信息，请参阅第 4 章“成员服务器基准策略”。下一节描述 MSBP 与打印服务器组策略之间的差异。

Microsoft 网络服务器：数字签名的通信（总是）

表 8.2 “数字签名的通信（总是）”的推荐设置

设置	旧客户端	企业客户端	专用安全 – 限制功能
Microsoft 网络服务器：数字签名的通信（总是）	已禁用	已禁用	已禁用

此策略设置确定 SMB 服务器组件是否要求数据包签名。SMB 协议提供了 Microsoft 文件与打印共享以及其他网络操作（例如远程 Windows 管理）的基础。为了防止传输过程中修改 SMB 数据包的中间人攻击，SMB 协议支持 SMB 数据包数字签名。此策略设置确定在允许与 SMB 客户端继续通信之前是否必须协商 SMB 数据包签名。

虽然“Microsoft 网络服务器：数字签名的通信（总是）”设置默认情况下被禁用，但是 MSBP 为 SSLF 环境中的服务器启用此设置，这使得用户可以打印但无法查看打印队列。试图查看打印队列的用户将看到一则访问拒绝消息。

对于本指南中定义的所有三个环境中的打印服务器，“Microsoft 网络服务器：数字签名的通信（总是）”设置被配置为“已禁用”。

返回页首

事件日志设置

在本指南定义的三个环境中，打印服务器的事件日志设置是通过 MSBP 进行配置的。有关 MSBP 的详细信息，请参阅第 4 章“成员服务器基准策略”。

返回页首

其他安全设置

虽然通过 MSBP 应用的安全设置显著增强打印服务器的安全，但是还是应考虑一些其他设置。本节中的设置不能通过组策略应用，因此必须在所有打印服务器上手动执行。

保护众所周知的帐户

Microsoft Windows Server 2003 SP1 具有大量不能删除但可重命名的内置用户帐户。Windows Server 2003 中的两个最为人熟知的内置帐户为 Guest 和 Administrator。

默认情况下，Guest 帐户在成员服务器和域控制器上被禁用。此配置不可更改。许多恶意代码的变种在初次尝试破坏服务器时使用内置 Administrator 帐户。因此，应重命名内置 Administrator 帐户和更改其描述，以帮助防止尝试使用此知名帐户的攻击者对远程服务器进行破坏。

近几年来，进行上述重命名配置的意义已经大大降低了，因为出现了很多新的攻击工具，这些工具通过指定内置 Administrator 帐户的安全标识符 (SID) 来确定该帐户的真实姓名，从而侵入服务器。SID 是用来唯一标识网络上的每个用户、用户组、计算机帐户和登录会话的值。此内置帐户的 SID 是不可能更改的。不过，如果您使用独特的名称来重命名 Administrator 帐户，您的操作组就可以轻松监视针对该 Administrator 帐户所进行的攻击尝试。

保护打印服务器上众所周知的帐户

在每个域和服务器上，重命名 Administrator 和 Guest 帐户，然后将其密码更改为长而复杂的值。
在每个服务器上使用不同的名称和密码。如果所有域和服务器使用同一个帐户名和密码，则取得其中一台成员服务器访问权的攻击者将取得所有其他成员服务器的访问权。
将帐户描述更改为不同于默认描述的内容，从而避免使用简单的帐户标识。
将所做的任何更改记录在安全位置。

注意：可通过组策略重命名内置的 Administrator 帐户。未在本指南附带的任何安全模板中实施此设置，因为每个组织都应为此帐户选择一个独特的名称。但是在本指南定义的所有三种环境中，您可以配置“帐户：重命名管理员帐户”设置来重命名管理员帐户。此策略设置是 GPO 的“安全选项”设置的一部分。

保护服务帐户

除非不可避免，否则不要将服务配置为在域帐户的安全上下文下运行。如果服务器受到物理破坏，可以通过转储 LSA 机密轻松获取域帐户密码。有关如何保护服务帐户的详细信息，请参阅服务和服务帐户安全规划指南，网址为 www.microsoft.com/technet/security/topics/serversecurity/serviceaccount/default.mspx。

返回页首

使用 SCW 创建策略

要部署必要的安全设置，您必须使用安全配置向导 (SCW) 和本指南的可下载版本附带的安全模板创建服务器策略。

创建您自己的策略时，确保跳过“注册表设置”和“审核策略”部分。这些设置是安全模板针对所选环境提供的。此方法是确保模板提供的策略元素优先于 SCW 配置的元素所必需的。

您应该使用新的操作系统安装开始您的配置工作，这将有助于确保没有来自以前配置的旧设置或软件。如有可能，您使用的硬件应该类似于您在部署中所使用的硬件，以帮助确保尽可能高的兼容性。新安装称为引用计算机。

创建打印服务器策略

在新引用计算机上创建 Windows Server 2003 SP1 的新安装。
通过“控制面板”、“添加或删除程序”、“添加/删除 Windows 组件”来安装安全配置向导组件。
将计算机加入到域，这将应用来自父 OU 的所有安全设置。
仅安装和配置共享此角色的每个服务器所必需的应用程序。例如，特定于角色的服务、软件和管理代理、磁带备份代理以及防病毒或反间谍软件实用程序。
启动 SCW GUI，选择“创建新的策略”，然后将其指向引用计算机。
确保检测到的服务器角色（例如打印服务器角色）适合于您的环境。
确保检测到的客户端功能适合于您的环境。
确保检测到的管理选项适合于您的环境。
确保您的基准所需要的任何附加服务（例如备份代理或防病毒软件）已被检测到。
确定如何处理您的环境中的未指定服务。为了获得附加的安全，您可能需要将此策略设置配置为“禁用”。应该对此配置进行测试，然后再将其部署到生产网络中，因为若生产服务器所运行的附加服务未复制到引用服务器上，部署此配置就会造成问题。
确保在“网络安全”部分中取消选中“跳过这一部分”，然后单击“下一步”。前面标识的相应端口和应用程序被配置为 Windows 防火墙的例外。
在“注册表设置”部分中，单击“跳过这一部分”复选框，然后单击“下一步”。这些策略设置从提供的 INF 文件中导入。
在“审核策略”部分中，单击“跳过这一部分”复选框，然后单击“下一步”。这些策略设置从提供的 INF 文件中导入。
包括相应的安全模板（例如 EC-Print Server.inf）。
以适当的名称保存策略（例如 Print Server.xml）。

使用 SCW 测试策略

在您创建和保存策略后，Microsoft 强烈建议您将其部署到测试环境中。理想情况下，测试服务器和生产服务器应具有相同的硬件和软件配置。此方法将允许您找到和修复潜在的问题，例如特定硬件设备需要意料之外的服务。

两个选项都可用于测试该策略。您可以使用本机 SCW 部署工具，或通过 GPO 来部署策略。

开始创作您的策略时，您应当考虑使用本机 SCW 部署工具。使用 SCW 可一次将策略强制到一个服务器，也可以使用 Scwcmd 将策略强制到一组服务器。本机部署方法提供的一种优势是能够在 SCW 中轻松回滚部署的策略。在进行测试的过程中对策略做出多次更改时，此功能就非常有用。

测试该策略的目的是确保在将此策略应用到目标服务器时不会对其重要的功能造成负面影响。应用配置更改之后，应开始验证计算机的核心功能。例如，如果将服务器配置为证书颁发机构 (CA)，请确保客户端可以请求和获取证书、下载证书吊销列表等。

如果对您的策略配置非常有信心，就可以使用以下过程中显示的 Scwcmd 将策略转换为 GPO。

有关如何测试 SCW 策略的详细信息，请参阅 Deployment Guide for the Security Configuration Wizard（网址为 www.microsoft.com/technet/prodtechnol/windowsserver2003/
library/SCWDeploying/5254f8cd-143e-4559-a299-9c723b366946.mspx ）和 Security Configuration Wizard Documentation（网址为 http://go.microsoft.com/fwlink/?linkid=43450）。

转换和部署策略

在彻底测试策略之后，请完成以下步骤以便将策略转换为 GPO 并进行部署：

在命令提示符处，键入以下命令：
```
scwcmd transform 
/p:<PathToPolicy.xml> 
/g:<GPODisplayName>
```
然后按 Enter。例如：
```
scwcmd transform 
/p:"C:\Windows\Security\msscw\Policies\Print Server.xml" 
/g:"Print Server Policy"
```
注意：因为显示限制，此处在命令提示符处输入的信息将显示为多行。应该在一行中输入全部信息。
使用组策略管理控制台将新建的 GPO 链接到适当的 OU。

注意，如果 SCW 安全策略文件包含 Windows 防火墙设置，那么为使该过程成功完成，就必须在本地计算机上激活 Windows 防火墙。要验证 Windows 防火墙是否已激活，请打开“控制面板”，然后双击“Windows 防火墙”。

应该立即执行最终的测试以确保 GPO 应用了期望的设置。要完成此过程，请确认是否进行了适当的设置，而且功能未受影响。

返回页首

总结

本章解释了可用于在本指南定义的三种环境中配置运行 Windows Server 2003 SP1 的打印服务器的策略设置。大多数策略设置是通过旨在补充 MSBP 的组策略对象 (GPO) 应用的。GPO 可链接到包含打印服务器的适当组织单位 (OU) 来提供附加的安全。

论述的某些策略设置无法通过组策略应用。对于这些策略设置，提供了手动配置详细信息。