第 6 章 - 強化 Windows 2000 伺服器基礎

Windows 2000 Server 基礎原則
成員伺服器的其他強化程序
摘要

先前章節曾經提到將強化伺服器的程序套用到 Contoso, Ltd. 公司 (本手冊一律以此公司做為解說範例) 的所有伺服器上，藉以說明保護公司中 Microsoft® Windows® 2000 伺服器安全所需的原則和程序。

本章將說明套用到 Contoso 公司之成員伺服器上的基本設定。至於特定伺服器角色所需進行的變更，第 7 章＜強化特定伺服器角色＞中將會有詳細的說明，這包括檔案和列印、Web 以及基礎結構角色。「成員伺服器基礎原則」(MSBP，Member Server Baseline Policy) 中的許多設定也適用於網域控制站伺服器角色。第 7 章＜強化特定伺服器角色＞中會詳細說明 MSBP 和網域控制站原則之間的差異。

基本上，我們會儘可能使用群組原則套用至對 Windows 2000 Server 預設設定的變更。至於本案例中的成員伺服器，所述之群組原則設定是儲存在安全性範本 baseline.inf 檔中，這個範本會匯入「成員伺服器基礎原則」群組原則中，並連結到成員伺服器組織單位 (OU)。

MSBP 是屬於風險管理策略的領域，它是著重在所有成員伺服器的一般設定，包括稽核原則、服務設定、限制存取登錄的原則、檔案系統以及其他特定安全性設定。

下圖顯示 Contoso 公司中 Microsoft® Active Directory® 目錄服務的物件位置。

圖 6.1 安全性範本 baseline.inf 會匯入 MSBP 中，然後連結到成員伺服器 OU

本章的＜Windows 2000 Server 基礎原則＞一節將說明 baseline.inf 安全性範本中的設定。這個安全性範本也被用來做為 dcbaseline.inf 安全性範本的起點。

第 7 章＜強化特定伺服器角色＞中將說明 baseline.inf 和 dcbaseline.inf 之間的差異。這個範本 (dcbaseline.inf) 會匯入「網域控制站原則」群組原則物件 (GPO) 中，並連結到網域控制站 OU。第 5 章＜保護網域基礎結構＞中提供了建立 OU 和群組原則，以及將適當的安全性範本匯入每一個 GPO 的逐步解說。

注意 某些強化程序無法經由群組原則自動化，本章的＜其他成員伺服器強化程序＞一節中會有相關說明。

在網域層級進行設定可以定義所有成員伺服器的一般設定。這可經由建立連結到成員伺服器 OU 的 GPO (也就是所謂的基礎原則) 而達成。在每一部伺服器上進行特定安全性設定時，GPO 可將此程序自動化。

每當有使用者執行您所指定的特定動作時，稽核記錄檔就會記錄該項目。例如，修改檔案或原則都會產生稽核項目。稽核項目會指出所執行的動作、關聯的使用者帳戶，以及動作發生的日期和時間。不論試圖執行的動作是成功或失敗，您都可以進行稽核。

電腦上作業系統和應用程式的狀態是動態的。例如，您可能需要暫時變更安全性等級，以便發生系統管理或網路問題時可以立即獲得解決，但卻可能常常忘了復原此變更。這表示電腦可能已經不再符合公司的安全性需求。

定期分析是企業風險管理方案的一部分，可以讓系統管理員追蹤並確保每一部電腦都具備足夠的安全性等級。分析重點在於：有關系統任何安全性方面，您所高度關切的資訊。這可讓系統管理員調整安全性等級，最重要的是，經過一段時間後可以偵測系統中是否發生任何安全性漏洞。

對於任何企業系統而言，安全性稽核可說是相當重要，因為發生安全性漏洞時，稽核記錄可能是唯一的指示。如果是以其他方式得知發生安全性漏洞，則適當的稽核設定會產生稽核記錄檔，其中會包含有關此漏洞的重要資訊。

與成功事件的記錄相較之下，失敗事件記錄通常含有更多的資訊，因為失敗事件通常代表發生了錯誤。例如，如果使用者成功地登入系統，這算是正常現象。然而，如果使用者多次試圖登入系統但卻失敗，這可能代表某個人使用別人的使用者 ID 試圖侵入系統。

事件記錄檔會記錄系統上發生的事件。安全性記錄檔會記錄稽核事件。群組原則的事件日誌容器是用於定義有關應用程式、安全性和系統事件記錄檔的屬性，例如，最大的記錄檔容量、每個記錄檔的存取權限以及保留設定和方法。應用程式、安全性及系統事件記錄檔的設定均在 MSBP 中制定，然後套用到 Northamerica 網域的所有成員伺服器上。

下表顯示「成員伺服器基礎稽核原則」中所定義的設定。

表 6.1 Contoso 公司的 MSBP 稽核和事件記錄原則設定

在 MSBP 的稽核和安全性選項中有一組特別重要的稽核和事件記錄設定，如下所示。

如果沒有設定稽核，您很難或無法判斷在安全性事件中到底發生了什麼事。然而，如果設定了稽核，以致於合法的活動產生太多事件，那麼安全性事件記錄檔將會塞滿沒用的資料。

公司中的所有電腦都應該使用符合情理的稽核原則，讓合法使用者的動作具有合理的解釋，對於未經授權的活動可加以偵測和追蹤。稽核設定具有下列選項：

• 成功
• 失敗
• 無稽核

如果公司電腦的稽核設定門檻太低，在進行網路分析時，就無法提供呈堂證據。反過來說，如果啟用太多稽核，那麼安全性記錄檔將會塞滿無意義的項目。

針對 Contoso 網路，我們選擇並實作了適當的稽核設定，這樣安全性事件記錄檔就會記錄重要的安全性事件，並略過大多數不重要的事件。在 Contoso 公司的環境中，我們選擇了表 6.1 所示的稽核設定。

我們特別將 [稽核程序追蹤] 選項設定成 [無稽核]，因為如果啟用此原則，可能會建立大量的事件。這個設定在發生事件時可提供許多益處，從詳細的記錄檔中可以反應出啟動處理序的使用者以及啟動的時間。

注意 在 Microsoft® Windows® 2000 中，啟用物件 (檔案、資料夾、印表機或登錄機碼) 的稽核功能是兩個步驟的程序。啟用稽核物件存取原則之後，您必須選擇想要監視其存取狀況的物件，然後依所需修改其安全描述元。

例如，如果想要稽核使用者是否有開啟某特定檔案的任何意圖，您可以使用 Windows 檔案總管或指令行工具 (例如 Xcacls.exe)，針對該特定事件，直接在想要監視的檔案上設定 [成功] 或 [失敗] 屬性。

如果您大幅地增加了公司中要稽核的物件數目，表示您正冒著塞爆安全性記錄檔，因而造成系統關閉的風險。如果發生這種情況，系統將無法使用，直到系統管理員清空安全性記錄檔為止。若要避免發生這種情況，您應該停用表 6.2 中所列的關機選項，並增加安全性記錄檔的大小。在 Contoso 公司的案例中，這兩個動作都已採用。

公司中的所有電腦都應該啟用合理的記錄檔大小原則，讓合法使用者的動作具有合理的解釋、未經授權的活動可加以偵測和追蹤，而系統問題也可以進行偵測及診斷。Contoso 公司伺服器上事件記錄檔中的資料需要保留數個星期。此外，伺服器的系統磁碟區上具有相當充足的可用空間。經過數週的測試之後，最忙碌的伺服器在一天當中就記錄了約 12,000 個安全性事件。將這個數字乘以 21 天，並估計每個事件平均會在記錄檔中佔用 500 個位元組或者更少，那麼大約 120 MB 大小的記錄檔容量應該是足夠的。另外再增加事件記錄檔容量大小的百分之 50，作為容錯的保留空間，這樣容量大小就擴增為 180 MB。

因為沒有一個簡單的方程式可以計算特定伺服器的最佳記錄檔大小，您可以稍微利用嘗試錯誤找出合理的大小。為代表公司的某個實際執行伺服器設定記錄檔的大小。接著，等兩個工作天，再去查看記錄檔填滿的速度。然後再依需要增加或減少記錄檔大小，確保可以容納數週的事件記錄。再多等兩個工作天，然後再次查看記錄檔，並視情況調整大小。在接下來的四個星期中，再檢查伺服器兩次，以確認記錄檔可以容納足夠的事件。

當事件記錄檔的容量已滿時，就無法繼續寫入項目，除非已經設定每個記錄檔的保持方法，以便系統能用最新的項目覆寫最舊的項目。在 Contoso 公司的案例中，是將保持方法設定成視需要覆寫較舊的事件，讓事件記錄檔無法容納最新項目的風險得以降低。

這項行動的後果是：較舊的事件會從記錄檔中移除。攻擊者可以利用這點，方法是：產生大量無關的事件，以覆寫他們在攻擊時所敗露的任何事跡。

最好的方法是，將所有特別監視的事件傳送到使用 Microsoft® Operations Manager (MOM) 的伺服器，或者傳送到使用某些其他自動化監視工具的伺服器上。最後這一點相當重要，因為順利危害伺服器的攻擊者可能會清空安全性事件記錄檔。如果將所有事件都傳送到監視伺服器上，那麼就可以收集有關攻擊者活動的呈堂資訊。

在連結到 Contoso 公司伺服器上層 OU 的群組原則中，[安全性記錄檔最大值] 是設為 184,320 KB。[應用程式記錄檔最大值] 是設為 10240 KB，而 [系統記錄檔最大值] 也是設為 10240 KB。這些容量值都是用於平衡系統磁碟區上磁碟空間的使用，並且可以讓您查看較舊的事件。

Contoso 公司是使用 MOM 監視本手冊中所述之伺服器角色，以查看與安全性有關的事件。

如果您大幅地增加了公司中要稽核的物件數目，表示您正冒著塞爆安全性記錄檔，進而造成系統關閉的冒險。如果發生這種情況，系統將無法使用，直到系統管理員清空安全性記錄檔為止。若要避免發生這種情況，您應該停用表 6.2 中所列的關機選項，並增加安全性記錄檔的大小。在 Contoso 公司的案例中，這兩個動作都已採用。

將事件記錄的保持方法設為 [手動] 或 [依日期覆寫事件]，可能會造成無法記錄最近的重要事件，或者形成「拒絕服務」(DoS，Denial of Service) 的情形。

在連結到公司所有伺服器上層 OU 的群組原則中，將 [系統記錄保持方法] 設為 [視需要覆寫事件]。有些因應對策是建議將這個設定值設為 [手動]，但是，對於大部分公司而言，這個設定加重了系統管理的負擔。

最好的方法是，將所有重要事件都傳送到使用 MOM 的監視伺服器，或者傳送到使用某些其他自動化監視工具的伺服器上。保持方法的設定有下列幾項：

• 依日期覆寫事件
• 視需要覆寫事件
• 不要覆寫事件 (以手動方式清除記錄)
• 尚未定義

當事件記錄檔的容量已滿時，就無法繼續寫入項目，除非已經設定每個記錄檔的保持方法，以便系統能用最新的項目覆寫最舊的項目。

在 Contoso 公司的案例中，是將保持方法設定成視需要覆寫較舊的事件，讓事件記錄檔無法容納最新項目的風險得以降低。這項行動的後果是：較舊的事件會從記錄檔中移除。最好的方法是，將所有重要事件都傳送到使用 MOM 的監視伺服器，或者傳送到使用某些其他自動化監視工具的伺服器上。基於上述原因，所以將 Contoso 公司環境中 [事件記錄保持方法] 的群組原則設為 [視需要覆寫事件]。第 9 章＜稽核與入侵偵測系統＞將說明一些必須注意的重要事件，以及評估和回應記錄檔資訊的方法。

安全性事件記錄檔包含相當重要的資訊，必須針對資訊快速回應，因為這些記錄會指出伺服器發生了任何失敗或潛在的安全性問題，而這些事件可能會對依靠這些伺服器的所有系統造成一連串的影響。您應該定期封存安全性和系統記錄檔，以避免遺失此重要的事件記錄資訊，做為平日維持系統運作的工作之一。

在某些公司中，將事件記錄資訊保持一或兩天就足夠了，因為大部分的服務失敗事件會在這段期間內被發現。然而，在大部分稽核環境中，有些伺服器會產生大量的活動。因此，可能需要長期保持事件記錄，有時候甚至需要永久保持記錄。

企業事件管理系統 (例如 MOM) 是非常有用的工具，可以集中管理事件記錄，並將記錄封存在一個中央資料庫中。Microsoft 所推出的MOM 可以針對 Microsoft Windows 2000 伺服器和應用程式，提供集中式的事件及效能管理。

在連結到公司所有伺服器上層 OU 的群組原則中，將 [安全性稽核記錄檔已滿時關閉系統] 設為 [已啟用]。這個群組原則的設定值可以是：

• 已啟用
• 已停用
• 尚未定義

啟用這個選項代表伺服器在事件記錄檔已滿時，會立即關閉。如果公司是將所有事件記錄檔儲存到 MOM 或是其他的企業管理系統上，並且事件記錄檔是設定為視需要覆寫事件，那麼啟用這個設定倒是一個不錯的方法。然而，對於許多公司而言，啟用這個設定所帶來的系統管理負擔實在太重。

在 Windows 2000 Server 中，根據預設，[安全性稽核記錄檔已滿時關閉系統] 的設定值是設為 [尚未定義]。在 Contoso 公司的案例中，這個設定值是 [已停用]。若要保持每個安全性記錄檔項目以追蹤所有曾經發生或成功的攻擊，這個設定雖然算是安全性的最佳做法，但當攻擊者取得某系統的系統管理權限時，這個設定還是無法防止攻擊者從本機安全性事件記錄檔中刪除某些或所有的安全性記錄項目。

請仔細思考這項因素，您就會瞭解將電腦設定成在安全性稽核記錄檔填滿時關閉，只能確保系統不會覆寫現有的項目。這個設定無法有效防止攻擊者竄改或刪除記錄項目。如先前所述，若要補強這項弱點，您必須使用企業事件管理系統，在攻擊者能夠竄改或刪除記錄項目之前，先將電腦上的這些項目複製下來。

除錯權限有可能被利用於擷取系統記憶體中機密的系統資訊。有些攻擊工具會利用程式除錯使用者權限，以擷取雜湊密碼及其他私密的安全性資訊。根據預設，程式除錯使用者權限只能指派給系統管理員，這一點降低了攻擊者能夠利用這項弱點的風險。

廢止所有使用者和群組的 [程式除錯] 使用者權限。

廢止這項權限會造成沒有人可以進行程式除錯。然而，在正常情況下，實際執行的系統上通常不需要進行除錯。如果發生了問題，而需要暫時在實際執行伺服器上進行應用程式的除錯工作，請將該伺服器移至其他 OU，然後將 [程式除錯] 使用者權限指派給適當的帳戶。

在 Contoso 公司的案例中，我們預料系統管理員幾乎不需要對應用程式進行除錯，因此，群組原則通常會移除 [程式除錯] 使用者權限中的所有群組。

群組原則的 [安全性選項] 是用於啟用或停用電腦的安全性設定值，例如資料的數位簽名、系統管理員和來賓帳戶名稱、軟碟機及 CD-ROM 光碟機的存取、驅動程式的安裝行為以及登入提示。基礎群組原則中設定了下列安全性選項。

表 6.2 MSBP 安全性選項設定值

注意 如果是網域帳戶，就只能有一個帳戶原則。帳戶原則必須定義於「預設網域原則」中，構成網域的網域控制站會施行預設網域原則。即使包含網域控制站的 OU 套用了不同的帳戶原則，網域控制站還是會從預設網域原則 GPO 中提取帳戶原則。

根據預設，加入網域的工作站和伺服器 (成員電腦) 也會接收相同的帳戶原則，以套用到它們的本機帳戶。不過，可以透過為含有成員電腦的 OU 定義帳戶原則，使成員電腦的本機帳戶原則與網域帳戶原則不相同。

預設網域原則會將 [超過登入時數就自動將使用者登出] 設定為停用。

由於表 6.2 中的安全性選項值得進一步說明，這一節的其餘部分將著重於 Contoso 公司案例所實作的每個設定背後的邏輯，以及每個項目還有哪些其他的可用選項。

根據預設，Windows 2000 允許匿名使用者執行特定活動，例如列舉網域帳戶名稱及網路共用。這讓潛在的攻擊者得以檢視遠端伺服器上的資訊，而不需提供使用者帳戶以驗證他們的身份。

雖然攻擊者無法利用這項弱點危害伺服器，但這項弱點卻提供了其他資訊給攻擊者，讓他們得以進行攻擊。如果要針對匿名存取採取更安全的防護措施，您可以藉由群組原則或登錄變更這個選項。

您可以修改位於 HKLM\SYSTEM\CurrentControlSet\Control\LSA 登錄機碼中的 RestrictAnonymous 登錄值項目 (改成下列任一值)，以變更匿名使用者功能：

• 0 — 無：依賴預設權限
• 1 — 不允許安全性帳戶管理員 (SAM) 帳戶和共用的列舉
• 2 — 沒有明確宣告的匿名權限則不能存取

在 Windows 2000 中，本機安全性授權 (LSA) 的預設值是 [0 - 依賴預設權限]。

此外，您也可以經由群組原則設定 [匿名使用者連線的其他限制] 選項，以提供相同的功能。這個值可以設為：

• 無：依賴預設權限

  這個設定提供如同 RestrictAnonymous=0 的功能。

• 不允許 SAM 帳戶和共用的列舉

  這個設定提供如同 RestrictAnonymous=1 的功能。

• 沒有匿名權限則不能存取

  這個設定提供如同 RestrictAnonymous=2 的功能。

將 RestrictAnonymous 設為 1，無法實際封鎖匿名連線。不過，這個值確實可以避免透過 Null 工作階段 (主要活動為列舉使用者帳戶和共用) 而發生洩漏許多資訊的情形。如果沒有將這個值設為 2，某些這類資訊仍然可能會洩漏出去。

不過，將這個值設為 2，可能會造成一些不好的結果，但需視目標環境而定。當 RestrictAnonymous 是設為 2 時，下列應用程式和服務會發生中斷現象：

• 在 Microsoft 和其他來源的各種白皮書及工具 (包括 MBSA 工具) 中，都建議 Windows 2000 使用 RestrictAnonymous = 2 的設定，但只有 Microsoft® Windows® XP 和 Microsoft® Windows® Server 2003 才支援這個設定。Microsoft 產品支援服務 (PSS) 對於 Windows 2000 的支援只能在盡力而為的前提下提供服務。再者，在後來支援的平台中，Windows 2000 的 RestrictAnonymous 設定的影響力會遍及多個群組原則設定。如果想要在您的環境中使用 RestrictAnonymous = 2，請自行承擔風險，並在您的平台測試環境中進行全面測試，確保不會發生應用程式不相容的情況。
• 舊版的成員工作站或伺服器無法設定連到伺服器的安全通道。
• 信任網域中的舊版網域控制站無法設定 NetLogon 安全通道，以連線到將 RestrictAnonymous 登錄值設為 2 的網域控制站。
• Microsoft® Windows NT® 的使用者在密碼過期後無法變更他們的密碼。此外，Macintosh 電腦的使用者也無法變更密碼。
• 如果是將 RestrictAnonymous 登錄值設為 2 的電腦，則瀏覽器服務無法從這類電腦上所執行的備份瀏覽器、主瀏覽器或網域主瀏覽器中取得網域清單或伺服器清單。因此，任何依賴瀏覽器服務的程式將無法正常運作。
• 如果您使用連線到 Microsoft® Exchange 2000 Server 的 Microsoft® Outlook® 用戶端電腦，將無法查看全域通訊錄或解析全域通訊錄所參照的名稱。此時全域通訊錄看起來像是空的。這個問題在 Windows 2000 Service Pack 3 中已獲得修正。
• 在將 RestrictAnonymous 登錄值設為 2 的網域控制站上，您可能無法藉由在 Active Directory 中選取網路印表機以新增此網路印表機。不過，您還是可以在樹狀檢視中選取網路印表機，以新增該網路印表機。

基於上述已知問題，我們並不建議在混合式用戶端環境中將 RestrictAnonymous 設為 2。如需詳細資訊，以瞭解此選項對於環境可能造成的影響，請參閱 Microsoft 知識庫 (Microsoft Knowledge Base) 文件 Q246261＜How to Use the RestrictAnonymous Registry Value in Windows 2000＞。

在 Contoso 公司的案例中，因為是屬於混合式用戶端環境，所以群組原則通常將 [匿名使用者連線的其他限制] 設為 [不允許 SAM 帳戶和共用的列舉]。

使用者可以在本端或經由終端機服務存取主控台，關閉系統。攻擊者或被誤導的使用者可以經由終端機服務連線到伺服器，然後關閉伺服器或重新啟動伺服器，而不需出示他們的身份。

攻擊者也可以直接透過本機主控台執行這項動作，他可以重新啟動伺服器，造成暫時性的 DoS 狀況，或是關閉伺服器，讓人無法使用伺服器的所有應用程式和服務。

在連結到伺服器上層 OU 的群組原則中，將 [允許不登入就將系統關機] 的值設為 [?w°±￥I]。這個群組原則的設定值可以是：

• 已啟用
• 已停用
• 尚未定義

系統管理員必須登入伺服器才能關閉或重新啟動伺服器。

在 Contoso 公司的案例中，不需要讓使用者在不先行登入的情況下，從主控台關閉伺服器。因此，群組原則通常將 [允許不登入就將系統關機] 設為 [已停用]。

使用者可以將 NTFS 格式的卸除式磁碟移至另一部電腦上，而在該電腦上，他們可能就具有系統管理權限。如果卸除式磁碟被移到使用者具有系統管理權限的電腦上，則使用者就可以取得任何檔案的擁有權，或者讓他們取得完整的控制權，進而能夠檢視或修改任何檔案。在無法偵測的情況下，機密資訊可能會被洩漏，或者資料可能被竄改。由於大部分的卸除式存放裝置都可以經由按下按鈕退出媒體，所以這個設定值就變得沒什麼作用了。

在連結到伺服器上層 OU 的群組原則中，將 [允許退出卸除式 NTFS 媒體] 的值設為 [Administrators]。這個群組原則的設定值可以是：

• 使用者自訂的安全性帳戶
• 尚未定義

只有系統管理員才能退出 NTFS 格式的卸除式媒體。

系統管理員是唯一必須移除 NTFS 格式卸除式媒體的人。因此，在 Contoso 公司的案例中，群組原則通常是將 [允許退出卸除式 NTFS 媒體] 設為 [Administrators] 群組。

每一個伺服器訊息區塊 (SMB) 工作階段都會耗用伺服器資源。如果建立了許多 Null 工作階段，伺服器的速度就會變慢，或者可能會失敗。攻擊者可以重複建立 SMB 工作階段，直到伺服器停止回應為止。SMB 服務將會變得很慢或是沒有回應。

在連結到伺服器上層 OU 的群組原則中，將 [工作階段中斷連線前，要求的閒置時間] 的值設為 [15 分鐘]。這個群組原則的設定值可以是：

• 使用者自訂的時間 (以分鐘計算)
• 尚未定義

所造成的影響不大，因為如果用戶端繼續活動，SMB 工作階段就會自動重新建立。

為了保護 Contoso 公司的伺服器，避免受到 SMB 的 DoS 攻擊，群組原則會將 [工作階段中斷連線前，要求的閒置時間] 設為 [15 分鐘]。

如果啟用了這個原則，會造成系統物件 (例如 Mutex、事件、信號和 DOS 裝置) 在建立時附有預設的系統存取控制清單 (SACL)。如果還啟用了 [稽核物件存取] 稽核原則，那麼對這些系統物件的存取動作都會被稽核。

在連結到伺服器上層 OU 的群組原則中，將 [稽核通用系統物件的存取] 設為 [已停用]。這個群組原則的設定值可以是：

• 已啟用
• 已停用
• 尚未定義

啟用這項原則可能會產生大量的安全性事件，尤其是在忙碌的網域控制站和應用程式伺服器上。這可能會造成伺服器的回應變慢，並且造成安全性事件記錄檔中記錄了太多不重要的事件。

為了避免 Contoso 公司伺服器上的安全性事件記錄檔塞滿了不重要的事件，群組原則通常將 [稽核通用系統物件的存取] 設為 [已停用]。

當 [稽核特殊權限使用] 原則啟用時，這個設定會決定是否要稽核備份和復原的使用者權限。在啟用 [稽核特殊權限使用] 原則的同時，也會啟用這個選項，則每個被備份或復原的檔案都會產生稽核事件。啟用這個設定可以協助您追蹤系統管理員是否在未經授權的情況下，不小心或惡意地復原資料。

在連結到伺服器上層 OU 的群組原則中，將 [稽核備份和復原權限的使用] 的值設為 [?w°±￥I]。這個群組原則的設定值可以是：

• 已啟用
• 已停用
• 尚未定義

啟用這項原則可能會產生大量的安全性事件，這可能會造成伺服器的回應變慢，並且造成安全性事件記錄檔中記錄了太多不重要的事件。

為了避免 Contoso 公司伺服器上的安全性事件記錄檔塞滿了不重要的事件，群組原則通常將 [稽核備份和復原權限的使用] 設為 [已停用]。

如果使用者不是在其使用者帳戶的有效登入時間內連線到本機電腦，那麼這個設定可以決定是否要中斷該使用者的連線。這個設定會影響 Windows 2000 Server 的 SMB 元件。啟用這個原則時，如果用戶端的登入時間過期，這個設定會強迫中斷使用 SMB 伺服器的用戶端工作階段。如果停用這個原則，當用戶端的登入時間過期時，已建立的用戶端工作階段仍然可以繼續進行。

在連結到伺服器上層 OU 的群組原則中，將 [當登入時間過期 (本機)，自動登出使用者] 的值設為 [?w±O￥I]。這個群組原則的設定值可以是：

• 已啟用
• 已停用
• 尚未定義

這個設定並不適用於系統管理員帳戶。

當使用者的登入時間過期時，成員伺服器上的 SMB 工作階段將會終止，直到下一個排定的存取時間來臨之前，該使用者將無法登入系統。

為了保護 Contoso 公司案例中的伺服器，防止資訊技術 (IT) 小組的成員忘了登出其主控台工作階段，該公司會讓群組原則將 [當登入時間過期 (本機)，自動登出使用者] 3]?° [?w±O￥I]!C

儲存在真實記憶體內的重要資訊可能會定期傾印至分頁檔。這有助於 Windows 2000 處理多工作業功能。如果攻擊者可以存取已經關閉的伺服器實體，就能夠檢視分頁檔的內容。攻擊者可以將系統磁碟區移至其他電腦，然後分析分頁檔的內容。這個過程非常耗時，但可以取得從隨機存取記憶體 (RAM) 快取到分頁檔的資料。

注意 如果攻擊者可以存取伺服器實體，那麼只需將伺服器的電源拔掉，就能避開這個對策。

在連結到伺服器上層 OU 的群組原則中，將 [當系統關機時清除虛擬記憶體分頁檔] 的值設為 [?w±O￥I]。如果啟用這個設定，當系統關閉時，Windows 2000 就會清空分頁檔，移除儲存在此檔中的所有資訊。視分頁檔的大小而定，這個程序可能要花費數分鐘，系統才能完全關閉。這個群組原則的設定值可以是：

• 已啟用
• 已停用
• 尚未定義

關閉及重新啟動伺服器會比較費時，如果伺服器的分頁檔很大，就要花費很長一段時間。如果是具有 2 GB RAM 和 2 GB 分頁檔的伺服器，這個設定可能會讓關機時間多延長了 20 分鐘、30 分鐘或更長的時間。對於某些公司而言，這樣的關機時間會違反其內部的服務層次合約 (Service Level Agreement)。因此，在您的環境中實作這個對策時，請小心斟酌。

雖然 Contoso 公司的伺服器實體已經受到安全的保護，Contoso 公司仍然決定實作這個設定，因為這樣更加安全，而且也不會影響連線到伺服器的舊版應用程式和作業系統。所以該公司會讓群組原則將 [當系統關機時清除虛擬記憶體分頁檔] 3]?° [?w±O￥I]!C

有關數位簽名 SMB 通訊的設定有四個，分別是：[數位簽名用戶端的通訊 (自動)]、[數位簽名伺服器的通訊 (自動)]、[數位簽名用戶端的通訊 (可能的話)] 和 [數位簽名伺服器的通訊 (可能的話)]。

在高安全性的網路中實作數位簽名，可以避免發生模擬用戶端和伺服器的情況。這種模擬稱為連線劫持 (Session Hijacking)，是一種趁機打劫的方式，劫持工具可以讓攻擊者在工作階段進行時中斷、結束或竊取工作階段。未經簽名的 SMB 封包可能會遭到攻擊者的攔截和修改。如果攻擊者可以存取用戶端或伺服器所存取的相同網路，就能夠攔截 SMB 資料。如此攻擊者可以修改資料然後再轉送出去，以致於伺服器可能會執行不利的動作。此外，攻擊者還可以在伺服器或用戶端驗證合法之後冒充其身份，以便非法存取資料。

SMB 簽名可驗證使用者及裝載資料的伺服器。若有一方無法通過驗證，就不會進行資料傳輸。實作 SMB 簽名後，會出現最高達 15% 的額外效能負擔，用於簽名和驗證伺服器之間的每一個封包。如需詳細資訊，以瞭解額外效能負擔所造成的影響，請參閱 Microsoft 知識庫 (Microsoft Knowledge Base) 文件 Q161372＜How to Enable SMB Signing in Windows NT＞。

注意 還有另外一個對策可以保護網路上傳輸的所有資料，就是實作具有網際網路通訊協定安全性 (IPsec) 功能的數位簽章。市面上有適用於 IPSec 加密和簽名的硬體加速器，可以減輕對伺服器 CPU 所造成的效能衝擊。但是沒有適用於 SMB 簽名的加速器。

在連結到伺服器上層 OU 的群組原則中，將 [數位簽名用戶端的通訊 (自動)]、[數位簽名用戶端的通訊 (可能的話)]、[數位簽名伺服器的通訊 (自動)]、[數位簽名伺服器的通訊 (可能的話)]皆設為 [已停用]。有些因應對策是建議將這些設定全部設為 [?w±O￥I]!A|y?O±O￥I3o‥C3]cw￥i¯a·|3y|‥￥I?aoY1q﹐￡ao效能降低，並且讓￥I?aoY1q﹐￡μLak?PAAacao SMB 應用程式及作業系統進行通訊。這個群組原則的設定值可以是：

• 已啟用
• 已停用
• 尚未定義

Windows 2000 Server、Windows 2000 Professional 和 Windows XP Professional (商用版) 的檔案及列印共用通訊協定 SMB 可以支援相互驗證，避免連線劫持的攻擊又可支援訊息驗證，因而作用中的訊息免於遭受攻擊。SMB 簽名可以藉由在每個 SMB 中放置數位簽章，提供這項驗證，用戶端和伺服器隨後會驗證這些 SMB。

不過，強迫所有 SMB 資料都經過數位簽名會影響效能，在忙碌的伺服器上，這個影響可能會很大。此外，如果將電腦設定成略過所有未簽名的 SMB 通訊，則舊版應用程式和作業系統可能無法連線。全部停用所有 SMB 簽名功能則會讓電腦容易受到連線劫持攻擊。

在 Contoso 公司的案例中，因為考慮到效能因素，所以所有的 SMB 資料都停用「數位簽名」功能。該公司會讓群組原則將 [數位簽名用戶端的通訊 (自動)]、[數位簽名用戶端的通訊 (可能的話)]、[數位簽名伺服器的通訊 (自動)]、[數位簽名伺服器的通訊 (可能的話)] 全部設為 [已停用]。

Microsoft 開發這項功能是要協助某些身體傷殘的使用者，讓他們能夠輕鬆地登入執行 Windows 的電腦。因為不需按 CTRL+ALT+DEL 組合鍵，使用者很可能會受到試圖截取密碼的攻擊。如果使用者在登入前必須按 CTRL+ALT+DEL，在輸入密碼時即可確保使用者是以受信任的途徑進行通訊。

攻擊者可以安裝看起來像標準 Windows 登入對話方塊的「特洛埃木馬」程式 (Trojan Horse，是一種惡意的程式碼)，以截取使用者的密碼。然後攻擊者就可以登入受害的帳戶，使用該使用者所具有的任何等級的權限。

在連結到伺服器上層 OU 的群組原則中，將 [登入時停用 CTRL+ALT+DEL 鍵] 設為 [已停用]。這個群組原則的設定值可以是：

• 已啟用
• 已停用
• 尚未定義

使用者必須同時按下三個按鍵，登入對話方塊才會出現 (除非使用者是以智慧卡登入)。

在 Contoso 公司的案例中，不需要讓使用者在不用按下三個按鍵的情況下登入伺服器，因此，使用群組原則將 [登入時停用 CTRL+ALT+DEL 鍵] 的設定值設為 [已停用]。

如果攻擊者可以存取主控台，例如存取主控台實體，或經由終端機服務連線到伺服器，那麼就能夠檢視上次登入伺服器的使用者名稱。然後攻擊者就可以使用自動猜測工具取得產生自字典的密碼 (或是以暴力式密碼猜測法 Brute Force)，經由猜測密碼的方式試圖登入伺服器。

在連結到伺服器上層 OU 的群組原則中，將 [不要在登入視窗中顯示上次登入的使用者名稱] 的值設為 [?w±O￥I]。這個群組原則的設定值可以是：

• 已啟用
• 已停用
• 尚未定義

使用者在登入伺服器時必須輸入他們的使用者名稱。

在 Contoso 公司的案例中，考慮到攻擊者可能看得到上次登入伺服器之使用者的使用者名稱，因此，群組原則會將 [不要在登入視窗中顯示上次登入的使用者名稱] 3]?° [?w±O￥I]!C

LAN Manager (LM) 是 Microsoft 先前的主從架構軟體系列產品，可以讓使用者在單一網路上將個人電腦系統連結在一起。其網路功能包括通透性的檔案及列印共用、使用者安全性功能以及網路管理工具。

LM 驗證包括 LM、NTLM 和 NTLM 第 2 版 (NTLMv2) 等不同版本，是針對下列作業，驗證所有 Windows 用戶端的通訊協定：

• 加入網域。
• Active Directory 樹系之間的驗證作業。
• 舊版網域的驗證作業。
• 舊版伺服器 (非 Windows 2000 或 Windows XP 伺服器) 的驗證作業。
• 非網域伺服器的驗證作業。

根據預設，所有 Windows 用戶端 (包括 Windows 2000 和 Windows XP) 都是設定成傳送 LM 和 NTLM 驗證回應 (除了 Win9x 用戶端之外，這種用戶端只傳送 LM)。伺服器上的預設值可以讓伺服器驗證所有用戶端，使用戶端能夠使用伺服器的資源。然而，這表示 LM 回應 (最弱的驗證回應形式) 會透過網路傳送，而且可能讓攻擊者有機會探查 (Sniff) 資料，並使攻擊者更容易重新產生使用者密碼。

Windows 9x 和 Windows NT 作業系統無法使用 Kerberos 第 5 版通訊協定進行驗證。因此，根據預設，在 Windows 2000 網域的網路驗證中，這些系統會使用 LM 和 NTLM 通訊協定進行驗證。您可以使用 NTLMv2，強制 Windows 9x 及 Windows NT 執行更安全的驗證通訊協定。在登入程序中，NTLMv2 會使用安全通道保護驗證程序。即使您在舊版的用戶端和伺服器中使用了 NTLMv2，但屬於網域成員的 Windows 2000 用戶端和伺服器還是會使用 Kerberos 通訊協定，與 Windows 2000 網域控制站進行驗證。

如需啟用 NTLMv2 的詳細資訊，請參閱 Microsoft 知識庫 (Microsoft Knowledge Base) 文件 Q239869＜How to Enable NTLM 2 Authentication for Windows 95/98/2000/NT＞。Microsoft® Windows NT® 4.0 需要安裝 Service Pack 4 (SP4) 才能支援 NTLMv2，而 Windows 9x 平台則需要安裝目錄服務用戶端才能支援 NTLMv2。

在連結到伺服器上層 OU 的群組原則中，將 [LAN Manager 驗證層級] 設為 [只傳送 NTLMv2 回應]。如果所有用戶端都支援 NTLMv2，則 Microsoft 及某些獨立機構都強烈建議使用這個驗證等級。

這個群組原則的設定值可以是：

• 傳送 LM 及 NTLM 回應
• 傳送 LM 和 NTLM - 如有交涉，使用 NTLMv2 工作階段安全性
• 只傳送 NTLM 回應
• 只傳送 NTLMv2 回應
• 只傳送 NTLMv2 回應\拒絕 LM
• 只傳送 NTLMv2 回應\拒絕 LM 和 NTLM
• 尚未定義

這些設定與 Microsoft 其他文件中所述之等級相對應，說明如下：

• 等級 0 - 傳送 LM 和 NTLM 回應；一律不使用 NTLMv2 工作階段安全性：用戶端可以使用 LM 和 NTLM 驗證，但一律不能使用 NTLMv2 工作階段安全性；網域控制站接受 LM、NTLM 和 NTLMv2 驗證。
• 等級 1 - 如有交涉，使用 NTLMv2 工作階段安全性：用戶端可以使用 LM 和 NTLM 驗證，如果伺服器支援 NTLMv2，則可以使用 NTLMv2 工作階段安全性；網域控制站接受 LM、NTLM 和 NTLMv2 驗證。
• 等級 2 - 只傳送 NTLM 回應：用戶端只可以使用 NTLM 驗證，如果伺服器支援 NTLMv2，則可以使用 NTLMv2 工作階段安全性；網域控制站接受 LM、NTLM 和 NTLMv2 驗證。
• 等級 3 - 只傳送 NTLMv2 回應：用戶端可以使用 NTLMv2 驗證，如果伺服器支援 NTLMv2，則可以使用 NTLMv2 工作階段安全性；網域控制站接受 LM、NTLM 和 NTLMv2 驗證。
• 等級 4 - 網域控制站拒絕 LM 回應：用戶端可以使用 NTLM 驗證，如果伺服器支援 NTLMv2，則可以使用 NTLMv2 工作階段安全性；網域控制站拒絕 LM 驗證 (亦即，接受 NTLM 和 NTLMv2)。
• 等級 5 - 網域控制站拒絕 LM 和 NTLM 回應 (只接受 NTLMv2)：用戶端可以使用 NTLMv2 驗證，如果伺服器支援 NTLMv2，則可以使用 NTLMv2 工作階段安全性；網域控制站拒絕 NTLM 和 LM 驗證 (只接受 NTLMv2)。

如果用戶端不支援 NTLMv2 驗證，就無法在網域中進行驗證，也無法使用 LM 和 NTLM 存取網域資源。

在 Contoso 公司的案例中，是使用群組原則將 [LAN Manager 驗證層級] 設為 [只傳送 NTLMv2 回應]。選用這個設定是要讓並非設定為使用 NTLMv2 安全性的舊版 Windows 用戶端仍然可以使用網域資源。這表示較不安全的驗證資料也會在網路上傳送。如果攻擊者能夠探查 (Sniff) 網路上的資料，或許就能夠收集 NTLM 驗證資料，藉以查出網域成員的使用者名稱和密碼。網路探查的行為就是查看網路上的資料。

因為使用上述設定，所以 Windows 98 用戶端仍然會繼續使用 LM 或 NTLM 驗證，而網域控制站也會繼續驗證 Windows 98 用戶端。如果電腦上有安裝 DSClient，可以將電腦設定為只使用 NTLMv2。因為在所有的 Windows 98 電腦上安裝 DSClient 是非常浩大的工程，所以 Contoso 公司只能接受這項弱點存在的事實，直到這些工作站全部更新為止。

如果沒有使用這項訊息警告設定，對於非法侵入網路的入侵者而言等於是縱容他侵入公司網路。過去數十年的法律判例在在顯示：企業針對透過網路連線到其伺服器的使用者顯示警告訊息，與沒有顯示警告訊息的企業相比較，有顯示警告訊息的企業在檢舉入侵者時會有較高的成功率。

將 [給登入使用者的訊息本文] 的值設為下列訊息：

This system is restricted to authorized users.Individuals attempting unauthorized access will be prosecuted.If unauthorized, terminate access now!Clicking on OK indicates your acceptance of the information in the background. (本系統只接受已授權的使用者，未經授權試圖存取的使用者將被起訴，如果未經授權，請立即終止您的存取行動！按一下 [確定] 代表您接受此背景資訊。)

將 [給登入使用者的訊息標題] 設為：

IT IS AN OFFENSE TO CONTINUE WITHOUT PROPER AUTHORIZATION. (未經合法授權而執意存取是違法的行為。)

在連結到伺服器上層 OU 的群組原則中，套用這兩個設定。這兩個群組原則的設定值可以是：

• 使用者自訂的文字
• 尚未定義

使用者在登入伺服器的主控台之前，會先看到一個對話方塊。

注意 您所顯示的任何警告應該先經過公司的法律專員和人力資源專員的核可。

為了檢舉攻擊者，可以讓群組原則將 [給登入使用者的訊息本文] 和 [給登入使用者的訊息標題] 設為上面所示之訊息文字。

在這個設定中所指定的數字是表示其登入資訊會被本機快取的使用者數目。如果此數字是設為 10，那麼就會快取 10 個使用者的登入資訊。當第十一個使用者登入電腦時，所快取之最舊的登入工作階段就會被覆寫。

伺服器會快取那些存取該伺服器主控台之使用者的登入憑證。如果攻擊者能夠存取伺服器的檔案系統，就可以找到這項快取資訊，並以暴力式密碼猜測法 (Brute Force) 猜測使用者的密碼。

Windows 2000 會保護這項機密資訊，以避免發生這類攻擊。這些快取的憑證會保存在系統的登錄中，然後進行加密並散佈到多處實體位置。

在連結到伺服器上層 OU 的群組原則中，將 [先前網域控制站無法使用時的登入快取次數] 的值設為 [10]。有些因應對策是建議將這個值設為 [0]。

我們還是建議指定這個設定值，這樣萬一無法與網域控制站通訊時，使用者仍然可以登入電腦。這個群組原則的設定值可以是：

• 使用者自訂的數字
• 尚未定義

伺服器會在本機快取登入資訊。

為了確保即使在無法使用網域控制站時，經過授權的使用者仍然可以登入 Contoso 公司的伺服器，該公司使群組原則將 [先前網域控制站無法使用時的登入快取次數] 設為 [10]。

屬於網域成員的 Windows 2000 電腦有一個預設設定，就是每隔七天必須自動變更它們的帳戶密碼。如果停用這項功能，執行 Windows 2000 的電腦就會維持相同的電腦帳戶及密碼。這樣的密碼配對會增加遭受攻擊的風險，攻擊者很容易猜出系統的網域帳戶密碼。

確認 [防止系統維護電腦帳戶密碼] 選項是設為 [已停用]。這個群組原則的設定值可以是：

• 已啟用
• 已停用
• 尚未定義

無。

在 Contoso 公司的案例中，我們想要將攻擊者可能猜出電腦網域帳戶密碼的風險減到最低。因此，該公司使群組原則將 [防止系統維護電腦帳戶密碼] 的值設為 [?w°±￥I]!C

讓使用者可以存取自己工作站上的印表機，似乎並無大礙，但是對於伺服器而言，就不太恰當了。在伺服器上安裝印表機驅動程式可能會不小心造成系統變得較不穩定。在伺服器上，應該只有系統管理員才能具備這個權限。

惡意的使用者可能會藉由安裝不適當的印表機驅動程式，故意試圖損壞公司的系統。任何可以存取系統並對系統造成安全性威脅的使用者都是惡意使用者。例如，試圖提高權限以存取未經授權之資料的人。

在連結到伺服器上層 OU 的群組原則中，將 [防止使用者安裝印表機驅動程式] 的值設為 [?w±O￥I]。這個群組原則的設定值可以是：

• 已啟用
• 已停用
• 尚未定義

在伺服器上，只有具備系統管理 (Administrative)、進階使用者 (Power User) 或伺服器操作員 (Server Operator) 權限的使用者才能安裝印表機。

在 Contoso 公司的案例中，只有系統管理員才需要安裝印表機驅動程式。因此，該公司使群組原則將 [防止使用者安裝印表機驅動程式] 的值設為 [?w±O￥I]!C

在 Contoso 公司的案例中，使用者的密碼會定期變更。如果密碼快要過期時沒有通知使用者，使用者可能會在密碼已經過期後才知道發生了什麼事。這可能會讓本機存取網路的使用者感到混淆，或者如果使用者是經由撥號連線或虛擬私人網路 (VPN) 連線存取公司網路，可能會無法登入網路。

在連結到伺服器上層 OU 的群組原則中，將 [在密碼過期前提示使用者變更密碼] 的值設為 [14 天]。這個群組原則的設定值可以是：

• 使用者自訂的天數
• 尚未定義

未來當使用者的密碼到期日只剩 14 天 (或更少) 時，每次登入網域就會看到一個對話方塊。

在 Contoso 公司的案例中，安全小組想要確保使用者會在密碼過期前變更密碼。因此，該公司使群組原則將 [在密碼過期前提示使用者變更密碼] 設為 [14 天]。

在疑難排解和修復無法重新啟動的系統時，復原主控台非常好用。然而，啟用這個設定，允許自動登入主控台是一件危險的事。任何人都可以直接連接到伺服器，切斷電源以關閉電腦，然後再重新開機，並在重新啟動功能表中選取 [復原主控台]，就可以僭取伺服器的完整控制權。

在連結到伺服器上層 OU 的群組原則中，將 [復原主控台：允許自動系統管理登入] 設為 [已停用]。這個群組原則的設定值可以是：

• 已啟用
• 已停用
• 尚未定義

使用復原主控台時，使用者必須輸入使用者名稱和密碼，才能存取復原主控台帳戶。

在 Contoso 公司的案例中，每當必須使用復原主控台時，都會有經過授權的 IT 小組成員在場，以進行電腦的疑難排解和修復作業。因此，該公司使群組原則將 [復原主控台：允許自動系統管理登入] 設為 [已停用]。

經過授權的系統管理員可能會忘記移除包含機密資料或應用程式的 CD-ROM 或磁碟片，讓惡意的使用者有機會竊取資料。或者，也可能在使用復原主控台之後，不小心地將開機片留在電腦中。如果電腦因為任何原因而重新啟動，而且「基本輸入/輸出系統」(BIOS) 是設定為先從 CD-ROM 或軟碟機啟動再從硬碟啟動，則伺服器可能會從卸除式磁碟啟動。這會造成伺服器無法提供網路服務。

在連結到伺服器上層 OU 的群組原則中，將 [復原主控台：允許軟碟複製以及存取所有磁碟和所有資料夾] ao-E3]?° [?w±O￥I]。有些因應對策是建議停用這個設定。不過，當系統管理員經由復原主控台處理失敗的伺服器時，啟用這個設定可以讓系統管理員更具靈活性。這個群組原則的設定值可以是：

• 已啟用
• 已停用
• 尚未定義

如果使用者是經由復原主控台啟動伺服器並使用內建的系統管理員帳戶登入，就無法將檔案及資料夾複製到磁碟片。

在 Contoso 公司的案例中，決定要保有此選項，讓使用者在使用復原主控台修復無法使用的伺服器時，還能從 CD-ROM 或磁碟片複製檔案。因此，該公司利用群組原則將 [復原主控台：允許軟碟複製以及存取所有磁碟和所有資料夾] 3]?° [?w±O￥I]。

這項原則會決定 CD-ROM 是否可以同時讓本機和遠端使用者存取。如果啟用這項原則，系統只允許互動登入的使用者存取卸除式 CD-ROM 媒體。但是如果啟用了這項原則，卻沒有使用者是互動式登入，則可以透過網路存取 CD-ROM。

在連結到伺服器上層 OU 的群組原則中，啟用 [CD-ROM 存取只限於登入本機的使用者] 和 [軟碟機存取只限於登入本機的使用者]。這兩個群組原則的設定值可以是：

• 已啟用
• 已停用
• 尚未定義

如果使用者透過網路連線到伺服器，將無法使用伺服器上安裝的任何 CD-ROM 或軟碟機。如果伺服器的用途是做為網路使用者的 CD 點唱機，該系統就不適合使用這個設定。

在 Contoso 公司的案例中，伺服器並非做為 CD-ROM 點唱機。唯一需要存取 CD-ROM 和軟碟機的使用者是本機登入的系統管理員。該公司利用群組原則將 [CD-ROM 存取只限於登入本機的使用者] 設為 [?w±O￥I]!A‥A±N [軟碟機存取只限於登入本機的使用者] 設為 [?w±O￥I]!C

當某個 Windows 2000 系統加入網域時，就會建立一個電腦帳戶。加入網域之後，該系統每次重新啟動時，都會使用該帳戶密碼在其網域的網域控制站之間建立安全通道。在安全通道上傳送的要求都會經過驗證，機密資訊 (例如密碼) 也會經過加密處理。但此通道並未經過完整的檢查，而且並非所有資訊都經過加密處理。與這項對策有關的設定有數個：[安全通道：安全通道資料加以數位加密或簽名 (自動)]!B[安全通道：安全通道資料加以數位加密 (可能的話)] 以及 [安全通道：安全通道資料加以數位簽名 (可能的話)]!C當系統的設定是一律加密或簽名安全通道資料時，如果網域控制站無法簽名或加密所有的安全通道資料，系統就無法與網域控制站建立安全通道，因為所有的安全通道資料都要經過簽名及加密。如果電腦的設定是可能的話才加密或簽名安全通道資料，則可以建立安全通道，但是必須交涉加密和簽名的等級。

在連結到伺服器上層 OU 的群組原則中，將 [安全通道：安全通道資料加以數位加密或簽名 (自動)] ao-E3]?° [?w°±￥I]!F±N [安全通道：安全通道資料加以數位加密 (可能的話)] ao-E3]?° [?w±O￥I]!F￥H?I±N [安全通道：安全通道資料加以數位簽名 (自動)] ao-E3]?° [?w±O￥I]。這個群組原則的設定值可以是：

• 已啟用
• 已停用
• 尚未定義

如果系統有支援「安全通道」的數位加密和簽名功能，倒是不錯的方法。當網域憑證傳送到網域控制站時，安全通道是用於保護網域憑證的 Netlogon 通訊通道。不過，只有 Windows NT 4.0 SP6a (含) 以後版本才支援安全通道的數位加密和簽名功能，Windows 98SE 用戶端不支援此功能。因此，如果網域控制站必須支援 Windows 98 用戶端的網域成員，網域控制站上就不能啟用這個設定。可能的影響包括無法建立或刪除舊版信任關係、無法從舊版用戶端登入，以及無法驗證來自舊版受信任網域的其他網域使用者。

當網域中的所有 Windows 9x 用戶端都已經汰換，而且所有 Windows NT 4.0 伺服器及網域控制站 (來自受信任/信任網域) 都已經升級至 SP6a，您就可以啟用這個設定。

在舊版用戶端和公司伺服器之間傳輸的安全通道資料，可能無法透過加密或是使用數位簽章加以保護。

有些技術指導會建議將這些設定全部設為 [?w±O￥I]!A|y?°?F?T?O|^·1?URecE (Backward Compatibility)!AContoso 公司的伺服器是設定為，在與支援此功能的電腦通訊時，加以數位簽名和加密安全通道資料。在 Contoso 公司的案例中，利用群組原則將 [安全通道：安全通道資料加以數位加密或簽名 (自動)] 設為 [已停用]；將 [安全通道：安全通道資料加以數位加密 (可能的話)] 3]?° [?w±O￥I]!F￥H?I±N [安全通道：安全通道資料加以數位簽名 (自動)] 3]?° [?w±O￥I]!C

舊版 Windows 作業系統中的工作階段機碼不如 Windows 2000 Server 中的工作階段機碼安全。工作階段機碼是用於建立網域控制站和成員電腦之間的安全通道通訊，與 Microsoft 先前的作業系統相比較，Windows 2000 中工作階段機碼的效用就強大多了。

只要可行，您應該儘可能善用這些較強大的工作階段機碼，以保護安全通道的通訊，避免遭受竊聽 (Eavesdropping) 和連線劫持等網路攻擊。竊聽是一種駭客行為 (Hacking)，它會在網路資料傳輸時加以讀取或修改。資料可能會被修改，以隱藏或變更寄件者，或是將資料重新導向。

在連結到伺服器上層 OU 的群組原則中，將 [安全通道：要求增強式 (Windows 2000 或更新) 工作階段機碼] 3]?° [?w±O￥I]!C這個群組原則的設定值可以是：

• 已啟用
• 已停用
• 尚未定義

啟用這個設定可以確保所有外傳的安全通道資料都需要增強式 (Windows 2000 或更新) 加密金鑰。如果停用這項原則，就要與遠端伺服器交涉所用的金鑰強度。只有當所有受信任網域中的網域控制站都支援增強式金鑰時，才可以啟用這個選項。根據預設，這個值是停用的。

如果執行 Windows 2000 的電腦上啟用了這個設定，則您無法將該電腦加入 Windows NT 4.0 網域。

在 Contoso 公司的案例中，已經沒有 NT 4.0 網域，所以利用群組原則將 [安全通道：要求增強式 (Windows 2000 或更新) 工作階段機碼] 3]?° [?w±O￥I]!C

如果啟用這個設定，伺服器會透過網路將密碼以純文字方式傳送到其他提供 SMB 服務的系統。這些其他系統可能沒有使用 Windows 2000 所提供的任何 SMB 安全性機制，所以只好使用未加密的純文字訊息。純文字訊息也就是 Cleartext 或 Plaintext 訊息。

在連結到伺服器上層 OU 的群組原則中，將 [傳送未加密的密碼以便連線到其他廠商的 SMB 伺服器] 設為 [已停用]。這個群組原則的設定值可以是：

• 已啟用
• 已停用
• 尚未定義

有些很舊的應用程式和作業系統可能無法經由 SMB 通訊協定與公司中的伺服器通訊。

在 Contoso 公司的案例中，並沒有其他廠商的 SMB 伺服器，因此，該公司利用群組原則將 [傳送未加密的密碼以便連線到其他廠商的 SMB 伺服器] 設為 [已停用]。

停用這個設定可防止 DoS 攻擊，這種攻擊手段是企圖以稽核項目塞爆安全性記錄檔的容量。如果將電腦設定為在安全性記錄檔已滿時關機，便會造成 DoS 狀況。

有些因應對策是建議將這個設定設為 [手動]，不過，這對系統管理的負擔就太重，大部分的公司可能無法承受。最好的方法是，將所有重要事件都傳送到使用 MOM 的監視伺服器，或者傳送到使用某些其他自動化監視工具的伺服器上。

在連結到伺服器上層 OU 的群組原則中，將 [當無法記錄安全性稽核時，立即關機系統] 設為 [已停用]。這個群組原則的設定值可以是：

• 已啟用
• 已停用
• 尚未定義

如果安全性記錄檔的容量已滿，電腦會繼續運作，但不再記錄其他事件。您可以將 [安全性記錄保持方法] 設為 [視需要而定]，以降低沒有記錄安全性事件的風險。

在 Contoso 公司的案例中，該公司認為啟用這個設定的系統管理負擔太重，因此，使群組原則將 [當無法記錄安全性稽核時，立即關機系統] 設為 [已停用]。

如果使用智慧卡進行驗證，那麼當智慧卡移除時，電腦應該自動鎖定。如果沒有使用這個設定，當使用者離開工作站時，可能會忘記手動鎖定工作站。這讓惡意使用者有機會存取其他使用者的電腦，以取得機密資訊，或是對電腦或網路進行未經授權的變更。

在連結到伺服器上層 OU 的群組原則中，將 [智慧卡移除操作] 設為 [鎖定工作站]。這個群組原則的設定值可以是：

• 沒有動作
• 鎖定工作站
• 強制登出
• 尚未定義

當使用者回到工作站時，必須重新插入智慧卡並重新輸入個人識別碼 (PIN)。

在 Contoso 公司的案例中，我們想要確保當系統管理員移除智慧卡時，別人無法存取伺服器主控台，因此，該公司使用群組原則將 [智慧卡移除操作] 設為 [鎖定工作站]。

這個設定會決定物件的預設判別存取控制清單 (DACL) 的強度。Windows 2000 會維護一份共用系統資源 (例如 DOS 裝置名稱、Mutex 和信號) 的全域清單。

使用這種方式，處理序就可以找出並共用物件。每一種類型的物件在建立時都會附有預設的 DACL，DACL 會指定誰可以使用什麼權限存取物件。如果啟用這項原則，就會加強預設 DACL，讓非系統管理員的使用者可以讀取共用物件，但無法修改不是他們建立的共用物件。

在連結到伺服器上層 OU 的群組原則中，將 [加強通用系統物件的預設權限 (例如:符號連結)] 設為 [?w±O￥I]。這個群組原則的設定值可以是：

• 已啟用
• 已停用
• 尚未定義

無。

為了進一步保護 Contoso 公司伺服器的安全，該公司使用群組原則將 [加強通用系統物件的預設權限 (例如：符號連結)] 3]?° [?w±O￥I]!C

這個選項可以防止安裝未簽署的驅動程式，或是警告系統管理員即將安裝未簽署的驅動程式軟體。這可以避免安裝未經認證的驅動程式在 Windows 2000 上執行。

在連結到伺服器上層 OU 的群組原則中，將 [未簽署的驅動程式安裝操作] 的值設為 [警告但允許安裝]。這與 Windows 2000 中的預設值不同，其預設值是 [尚未定義]。這個群組原則的設定值可以是：

• 警告但允許安裝
• 不允許安裝
• 尚未定義

在 Contoso 公司的案例中，是使用比較寬鬆的設定，讓系統管理員具有更多的彈性，以便使用未簽署的驅動程式。如果使用者具有充足的權限可以安裝裝置驅動程式，就能夠安裝未簽署的裝置驅動程式。不過，這可能會造成系統伺服器發生穩定性的問題。將這個設定設為 [警告但允許安裝] 會造成另一個潛在的問題，就是當自動安裝指令碼試圖安裝未簽署的驅動程式時，自動安裝將會失敗。

在 Contoso 公司的案例中，該公司決定：當系統管理員認為安裝未簽署的驅動程式是最佳做法時，他們可以擁有採取這項行動的彈性。因此，讓群組原則將 [未簽署的驅動程式安裝操作] 設為 [警告但允許安裝]。

這個選項可以防止安裝未簽署的應用程式，或是警告系統管理員即將安裝未簽署的非驅動程式軟體應用程式。這可以避免安裝未經認證的非驅動程式軟體在 Windows 2000 上執行。

在連結到伺服器上層 OU 的群組原則中，將 [未簽署的非驅動程式安裝操作] 的值設為 [無訊息式成功]。有些其他因應對策會建議將這個設定設為 [警告但允許安裝]。我們之所以選用上述設定，是為了讓 Exchange 2000 Server 和其他應用程式可以用自動安裝的方式進行安裝，避免其他未簽署的應用程式產生安裝警告訊息。這個群組原則的設定值可以是：

• 無訊息式成功
• 警告但允許安裝
• 不允許安裝
• 尚未定義

大部分的軟體應用程式和服務尚未實作程式碼簽署功能。由於很少或幾乎沒有已簽署的應用程式軟體，所以這項原則設定實際上不只沒有達到辨別應用程式的益處，反而可能造成阻礙的反效果，讓那些在自己的認證環境中通過測試的軟體無法順利安裝，即使是 [警告但允許安裝] 的設定值也可能會中斷自動安裝程序，此時這種反效果尤其明顯。

如果使用者具有充足的權限可以安裝應用程式，就能夠安裝未經數位簽署的應用程式。這可能會造成伺服器發生穩定性的問題。

在 Contoso 公司的案例中，該公司是選用預設值，以便未簽署的應用程式軟體 (例如 Exchange 2000 Server) 可以利用自動安裝方式進行安裝，也讓其他未簽署的應用程式可以順利安裝，而不會產生許多錯誤訊息。因此讓群組原則將 [未簽署的非驅動程式安裝操作] 設為 [無訊息式成功]。

Windows 2000 Server 首次安裝時，便會建立預設服務，這些服務會被設定成在系統啟動時執行。在 Contoso 公司的案例中，有許多這些服務並不需要在 Contoso 公司網路中執行。

任何服務或應用程式都是可能遭受攻擊的弱點。因此，您應該在系統環境中停用或移除任何不需要的服務或執行檔。Windows 2000 也提供額外選用的服務，例如憑證服務，Windows 2000 Server 在執行預設安裝時並不會安裝這種服務。

您可以使用 [新增/移除程式] 或 Windows 2000「設定伺服器精靈」，或者是建立自訂的 Windows 2000 自動安裝，將這些選用的服務加入現有系統。在 MSBP 中，這些選用的服務以及所有非必要的服務都會被停用。

MSBP 只會啟用 Windows 2000 成員伺服器參與 Windows 2000 網域並提供基本管理服務所需的服務。每一個伺服器角色所需的特定服務則是經由角色專用群組原則加以啟用，如第 7 章＜強化特定伺服器角色＞中所述。

如果 Contoso 公司網路上需要其他伺服器類型，就需要啟用其他服務。例如，如果要使用憑證伺服器散發 Secure Socket Layer (SSL)、保護電子郵件和使用者其他類型的憑證，那麼就需要安裝憑證服務。此外，還要建立可以將憑證服務設為 [自動] 的群組原則，以套用到該新的伺服器角色。如需 Windows 2000 Server 所提供之所有服務的用途說明，請參閱附錄 A＜Windows 2000 的服務用途＞。

注意 如果有啟用其他服務，這些服務可能各自有其相依性，而需要安裝其他額外的服務。您可以在公司執行的特定伺服器角色原則中，加入該伺服器角色所需的所有服務。

下表列出在 MSBP 中設定為自動啟動的服務。

表 6.3 啟用的 MSBP 服務

注意 如果是網域中的伺服器，則預設設定是自動，如果是屬於工作群組的伺服器，則預設設定是手動。

下表列出在 MSBP 中設定為停用的服務。

表 6.4 停用的 MSBP 服務

下表列出在 MSBP 中設定為停用的非預設安裝之服務。

表 6.5 停用的 MSBP 非預設服務

注意 NetWare 是 Novell 的網路管理產品，可以讓您在所有類型的網路、儲存平台和用戶端桌面上存取核心網路資源，例如檔案、印表機、目錄、電子郵件以及資料庫。

下表列出在 MSBP 中設定為手動啟動的服務。

表 6.6 設定為手動啟動的 MSBP 服務

下表說明在 Contoso 公司的案例中，特定伺服器角色有哪些服務是設定為自動啟動。如果是扮演其他伺服器角色，則這些服務是停用的 (經由在 MSBP 中將啟動模式設為 [停用])。第 7 章＜強化特定伺服器角色＞中將會說明這些服務，以及為何特定伺服器角色需要這些服務。

表 6.7 針對特定伺服器角色所啟用的 MSBP 服務

上面幾個表格所列的 Windows 2000 Server 服務中，有一些服務必須特別注意，其說明如下。

Computer Browser (電腦瀏覽器) 服務會維護一份網路電腦清單，並供應這份清單給提出要求的程式。需要檢視網路網域及資源的 Windows 電腦必須使用 Computer Browser 服務。

將 [Computer Browser] 服務的啟動模式設為 [自動]，以啟用此服務。這個群組原則的設定值可以是：

• 自動
• 手動
• 停用
• 尚未定義

連線到與 Contoso 公司伺服器相同實體網路區段的電腦，可以從遠端存取 Computer Browser 服務，以查看網域和資源的瀏覽清單。

Contoso 公司案例中的網路會使用 Computer Browser 服務，列舉樹系中的服務。因此，該公司使用群組原則將 [Computer Browser] 服務的啟動模式設為 [自動]。

NTLM Security Support Provider (NTLM 安全性支援提供者) 服務會為使用非具名管道傳輸的 RPC 程式提供安全性，並可以讓使用者使用 NTLM 驗證通訊協定登入。

將 [NTLM Security Support Provider] 服務的啟動模式設為 [|U°E]!A￥H±O￥I|1aA°E!C這個群組原則的設定值可以是：

• 自動
• 手動
• 停用
• 尚未定義

Windows 2000 Server 隨附這項服務純粹是為那些需要此服務才能執行的應用程式，提供回溯相容性。這項功能現在隨附於核心作業系統中。

Contoso 公司案例的伺服器會執行一種需要這項服務的協力廠商代理程式，因此，該公司使用群組原則將 [NTLM Security Support Provider] aA°Eao±O°E?O|!3]?° [|U°E]!C

在大部份情況下，每部伺服器上都需要安裝管理應用程式的代理程式。這些代理程式通常會使用「簡單網路管理通訊協定」(SNMP，Simple Network Management Protocol) 將警示轉送回中央管理伺服器。

將 [SNMP Service] 的啟動模式設為 [|U°E]!A￥H±O￥I|1aA°E!C這個群組原則的設定值可以是：

• 自動
• 手動
• 停用
• 尚未定義

因為用於 Microsoft 產品的預設群體字串是 Public 這個字，所以啟用 SNMP Service 會為本身帶來風險。SNMP 所提供的功能不只是讀取伺服器的值，也可以修改資訊。群體字串與密碼類似，應該以與密碼同樣等級的安全性處理群體字串。您可以手動變更群體字串以降低風險，如本章稍後的說明。

啟用 SNMP Service 還有另一個風險，就是所有資料都是以純文字的方式傳送。在 Contoso 公司的案例中，如果攻擊者可以探查 (Sniff) 網路上的資料，就能夠查看 SNMP 封包。

Contoso 公司案例的伺服器上所安裝的 MOM 代理程式，必須依靠這項服務才能運作。因此，該公司使用群組原則將 [SNMP Service] 的啟動模式設為 [|U°E]!C

從遠端管理伺服器省時又省錢。技術支援人員可以連線到伺服器，然後執行系統管理工作，不需為了管理伺服器而實際走到伺服器主控台那兒。在大型、分散式的網路中，這一點尤其重要。

將 [Terminal Services] 的啟動模式設為 [|U°E]!A￥H±O￥I|1aA°E!C這個群組原則的設定值可以是：

• 自動
• 手動
• 停用
• 尚未定義

如果攻擊者能夠連線到「傳輸控制通訊協定」(TCP) 連接埠 3389，就可以建立「遠端桌面通訊協定」(RDP) 連線。但攻擊者還必須知道某個帳戶 (具有登入伺服器的充足權限) 的使用者名稱和密碼。在 Contoso 公司的案例中，因為 Contoso 公司的伺服器實作了其他安全性設定，如果攻擊者想經由 RDP 連線和 Terminal Services (終端機服務) 進行暴力式密碼猜測法 (Brute Force) 攻擊，將會相當困難且費時。

基於上述原因，Contoso 公司案例中的伺服器安裝且啟用了 Terminal Services。該公司使用群組原則將 [Terminal Services] 的啟動模式設為 [|U°E]!C

如果要管理使用電腦管理的邏輯磁碟，就必須使用 Windows Management Instrumentation (WMI) 服務。此服務也可以協助效能警示。許多其他應用程式及工具也使用 WMI。

將 [Windows Management Instrumentation] aA°Eao±O°E?O|!3]?° [|U°E]!A￥H±O￥I|1aA°E!C這個群組原則的設定值可以是：

• 自動
• 手動
• 停用
• 尚未定義

啟用 WIM 介面之後，如果攻擊者可以存取系統，就能夠利用這些介面，收集安裝在伺服器上之硬體與軟體的詳細資訊。

在 Contoso 公司的案例中，必須經由 WMI 管理伺服器。因此，該公司使用群組原則將 [Windows Management Instrumentation] aA°Eao±O°E?O|!3]?° [|U°E]!C

雖然這兩個服務沒有明確的依存關係，但兩者結合可以傳送系統管理警示。Messenger 服務會傳送由 Alert 服務所觸發的警示。如果您是使用「效能記錄及警示」觸發警示，則必須在公司伺服器上啟用此服務。

將 [Messenger] aA°EcM [Alert] aA°Eao±O°E?O|!3]?° [°±￥I]!A￥H°±￥I3o‥a-OaA°E!C這個群組原則的設定值可以是：

• 自動
• 手動
• 停用
• 尚未定義

無法傳送系統管理自動警示，電腦或目前登入電腦的使用者也無法傳送或接收 Messenger 的通知。例如，NET SEND 和 NET NAME 命令將無法運作。

在 Contoso 公司的案例中，該公司並不需要使用這兩個服務，因此，群組原則將 [Messenger] cM [Alert] 3o‥a-OaA°Eao±O°E?O|!3]?° [°±￥I]!C

在 Windows 2000 Server 中，套用到登錄的預設使用權限又稱為存取控制清單 (ACL)，比 Windows NT 4.0 中的存取控制清單安全多了。然而，存取控制清單還可以進一步繃緊，而不會明顯增加發生應用程式相容性問題的風險。MSBP 不會變更在 hisecws.inf 中定義的登錄 ACL。這些 ACL 降低了未經授權的使用者、一般使用者和進階使用者所擁有的登錄存取權等級。如果攻擊者所擁有的權限小於系統管理權限，這些變更會讓攻擊者更難對登錄進行任何惡意的變更。附錄 B＜登錄存取控制的變更＞中將會列出套用至登錄 ACL 之變更的完整清單。

重要 在變更現有的 ACL 之前，您應該先謹慎地在環境中進行測試。

hisecws.inf 中所定義的 ACL 主要會變更 Power Users 群組，根據預設，系統會建立這個群組，以便提供可與 Windows NT 4.0 環境相容的回溯相容性。範本中確保了 Power Users 和 Windows 2000 的 Users 群組具有相同的權限。

注意 網域控制站中並未定義 Power Users 群組。

在 Contoso 公司的案例中，並沒有實作 hisecws.inf 安全性範本中的檔案系統權限，因為這類 ACL 都很嚴格，只有本機系統管理員才能存取系統。這限制所有系統管理員都必須是本機系統管理員，即使系統管理員所管理的應用程式並不需要這樣的授權等級，也是如此。如果公司只想要讓具有系統管理權限的使用者登入伺服器的主控台，我們已經提供了附錄和選用的安全性範本，做為參考。請參閱附錄 C＜選用的檔案系統權限＞及 Optional File System ACLs.inf 安全性範本。

針對 Contoso 公司案例中的伺服器，我們在基礎安全性範本檔中加入了其他登錄值，這些是「系統管理範本」(.adm) 檔中所沒有定義的。.adm 檔是定義 Windows 2000 Server 桌面、殼層和安全性的系統原則與限制。

這表示當您載入 Microsoft 管理主控台 (MMC) 安全性範本嵌入式管理單元並檢視 baseline.inf 範本時，下表中的登錄值並不會出現。這些設定是利用 Windows 所附的文字編輯器「記事本」加入至 .inf 檔中，並且會在原則下載後套用到伺服器上。

這些設定內嵌於 baseline.inf 安全性範本內，以自動化這些變更。如果移除原則，這些設定並不會自動隨著原則一起移除，您必須手動使用登錄編輯工具 (例如 Regedt32.exe) 進行變更。

針對「傳輸控制通訊協定/網際網路通訊協定」(TCP/IP) 堆疊所發動的 DoS 攻擊一般可分為兩類：會大量耗用系統資源的攻擊 (例如，開啟大量 TCP 連線)，或者是傳送特殊設計的封包，造成網路堆疊或整個作業系統失敗的攻擊。這些登錄設定可以協助防範針對 TCP/IP 堆疊所發動的攻擊。

在連結到伺服器上層 OU 的群組原則中，如下表 6.8 和 6.9 所述設定登錄值。DoS 攻擊的種類包括：傳送大量通訊要求故意讓 Web 伺服器忙不過來，以及傳送大量通訊協定封包故意阻塞遠端網路，使得路由器和伺服器為了路由或處理每一個封包而負載過重。

DoS 攻擊並不容易防範。為了防範這類攻擊，我們強化了 TCP/IP 通訊協定堆疊。這個登錄值是加入基礎安全性範本檔中，而不是在系統管理範本 (.adm) 檔中定義。這表示當您載入 MMC 安全性範本嵌入式管理單元並檢視 baseline.inf 範本時，不會看到此登錄。您可以使用文字編輯器將這些設定加入 .inf 檔中。當原則下載後，這些設定就會套用到伺服器上。

這個對策可能造成的影響會在下表 6.10 中詳細說明。

在 Contoso 公司的案例中，將群組原則用於設定這些登錄值，以提升 Windows 2000 TCP/IP 堆疊的抵抗力，讓它足以對付標準類型的 DoS 網路攻擊。

在 HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\ 登錄機碼下的範本檔中，加入了下列登錄值：

表 6.8 加入登錄中的 MSBP TCP/IP 參數

FTP (檔案傳輸通訊協定) 伺服器及 Web 伺服器等 Windows Sockets 應用程式之連線嘗試是由 Afd.sys 處理。Afd.sys 經過修改，目前已經可以利用半開放狀態支援大量連線，而不會拒絕合法用戶端的存取。

這是因為現在已允許系統管理員設定動態積存 (Backlog)。新版的 Afd.sys 支援了四種新的登錄參數，可以用於控制動態積存的行為。

在 HKLM\System\CurrentControlSet\Services\AFD\Parameters\ 登錄機碼下的範本檔中，加入了下列登錄值：

表 6.9 加入登錄中的 MSBP Afd.sys 設定

可能的影響

表 6.10 對策的影響及潛在的弱點

### 設定 NetBIOS 名稱釋放安全性 NetBIOS (網路基本輸入/輸出系統) over TCP/IP 是一種網路通訊協定，除了其他功用外，還提供了簡易的解析方法，可以將登錄在 Windows 系統上的 NetBIOS 名稱解析為這些系統所設定的 IP 位址。 #### 弱點 NetBIOS over TCP/IP (NetBT) 通訊協定的設計是不使用驗證，因此很容易遭受欺騙。惡意的使用者可以利用此通訊協定不使用驗證的特質，將名稱衝突的資料包傳送到目標電腦，造成名稱釋放的情形而停止回應查詢。 這種攻擊的結果可能會造成目標系統上發生連線斷斷續續的問題，或甚至造成無法使用 \[網路上的芳鄰\]、網域登入、**net send** 命令，或是無法進行進一步的 NetBIOS 名稱解析。 如需詳細資訊，請參閱 Microsoft 知識庫 (Microsoft Knowledge Base) 文件 Q269239＜MS00-047：NetBIOS Vulnerability May Cause Duplicate Name on the Network Conflicts＞。 #### 對策 測試並部署 Microsoft 知識庫 (Microsoft Knowledge Base) 文件 Q269239 中所建議的登錄變更。套用登錄值 **NoNameReleaseOnDemand**，並將它設為 **1**，這樣可以確保伺服器不再遵從非 WINS 伺服器 (指設定在該伺服器網路設定中的 WINS 伺服器) 電腦所提出的名稱釋放要求。 此外，還可以停用您環境中的 Windows 網際網路名稱服務 (WINS)，進一步確保所有應用程式都依賴 DNS 以取得名稱解析服務。雖然這是建議採取的長期策略，但對於大部分將它做為短期方案的公司而言，通常並不實用。仍在執行 WINS 的公司通常有應用程式依存性的問題，這些問題無法迅速地解決，除非是進行升級或使用新軟體，而這些都需要謹慎地規劃並且投注大量的時間。 如果您無法部署這個對策，但想要確保 NetBIOS 名稱解析的運作無誤，那麼請採取額外的步驟，在特定電腦的 LMHOSTS 檔中「預先載入」NetBIOS 名稱。Microsoft 知識庫 (Microsoft Knowledge Base) 文件 Q269239 會詳細說明預先載入 LMHOSTS 檔的程序。 > **注意** 在大部分環境中，更新 LMHOSTS 檔需要花費相當大的維護心力。Microsoft 建議多用 WINS，少用 LMHOSTS。 #### 可能的影響 攻擊者可以透過網路傳送要求，要求電腦釋放其 NetBIOS 名稱。對於任何可能影響應用程式的變更，Microsoft 建議在實際執行環境中進行變更之前，先在非實際執行環境中測試這項變更。 #### Contoso 公司的案例 在 Contoso 公司的案例中，仍然需要支援 NetBIOS 命名服務。這項 Hotfix 會部署到所有伺服器上，並經由「增量基礎結構」伺服器原則更新登錄。 在 **HKLM\\System\\CurrentControlSet\\Services\\Netbt\\Parameters\\** 登錄機碼下的範本檔中，加入了下列登錄值： **表 6.11 加入登錄中的 MSBP 設定，以設定 NetBIOS 名稱釋放保護措施** | 登錄機碼 | 格式 | 值 (十進位) | |-----------------------|-------|-------------| | NoNameReleaseOnDemand | DWORD | 1 | ### 停用自動產生 8.3 檔名的功能 #### 弱點 Windows 2000 支援 8.3 檔名格式，以便提供可與 16 位元應用程式相容的回溯相容性。8.3 檔案名稱慣例是一種命名格式，其檔案名稱最多可有八個字元。 這表示攻擊者只需猜測八個字元就可以指稱檔名約 20 個字元的檔案。例如，名稱為 Thisisalongfilename.doc 的檔案可以使用其 8.3 格式的檔名 Thisis~1.doc 指稱此檔案。如果您沒有使用 16 位元的應用程式，就可以關閉這項功能。在 NTFS 磁碟分割中停用簡短名稱產生功能，亦可提升目錄列舉的效能。 具有長檔名的資料檔和應用程式一般不容易成為攻擊目標，但攻擊者卻可以利用簡短的檔名存取具有長檔名的檔案。如果攻擊者可以存取檔案系統，則能夠存取資料或執行應用程式。 #### 對策 在連結到伺服器上層 OU 的群組原則中，將 **NtfsDisable8dot3NameCreation** 的值設為 **1**。這個登錄值是加入基礎安全性範本檔中，而並非在 .adm 檔中定義。這表示當您載入 MMC 安全性範本嵌入式管理單元並檢視 baseline.inf 範本時，不會看到此登錄。您可以使用文字編輯器將這些設定加入 .inf 檔中。當原則下載後，這些設定就會套用到伺服器上。 #### 可能的影響 公司中的 16 位元應用程式將無法存取其名稱比 8.3 格式還長的檔案。 #### Contoso 公司的案例 在 Contoso 公司的案例中，使群組原則將 **NtfsDisable8dot3NameCreation** 的值設為 **1**。 在 **HKLM\\System\\CurrentControlSet\\Control\\FileSystem\\** 登錄機碼下的範本中，加入下列登錄值： **表 6.12 加入登錄中的 MSBP 設定，以移除 8.3 檔名建立功能** | 登錄值 | 格式 | 值 (十進位) | |------------------------------|-------|-------------| | NtfsDisable8dot3NameCreation | DWORD | 1 | > **注意** 如果將此設定套用到現有的伺服器上，而此伺服器已經有自動產生 8.3 檔名的檔案，此設定並不會移除這些檔名。如果要移除現有的 8.3 檔名，必須將這些檔案複製到該伺服器外，從原始位置刪除這些檔案，再將它們複製回原來位置。 ### 停用自動執行 #### 弱點 當媒體插入磁碟機後，自動執行便會開始讀取媒體。因此，程式的安裝檔案和音訊媒體上的音樂便會立即啟動。為了防止插入媒體時惡意程式立即啟動，群組原則停用了所有磁碟機的自動執行功能。 如果攻擊者可以存取系統實體，則能夠將已啟用自動執行功能的 DVD 或 CD 插入電腦，然後電腦就會自動啟動惡意的程式碼。這惡意的程式可能包含攻擊者想要使用的任何程式碼。 #### 對策 在連結到伺服器上層 OU 的群組原則中，將 **NoDriveTypeAutoRun** 的十六進位值設為 **0xFF**。這個登錄值是加入基礎安全性範本檔中，而並非在 .adm 檔中定義。這表示當您載入 MMC 安全性範本嵌入式管理單元並檢視 baseline.inf 範本時，不會看到此登錄。這些設定可以利用文字編輯器加入 .inf 檔中，並在原則下載後套用到伺服器上。 #### 可能的影響 如果將啟用自動執行功能的磁片插入電腦，自動執行功能將不再生效。 #### Contoso 公司的案例 在 Contoso 公司的案例中，使群組原則將下列登錄值加入 **HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\\** 機碼下的範本中： **表 6.13 加入登錄中的 MSBP 設定，以停用所有磁碟機的自動執行功能** | 登錄值 | 格式 | 值 (十六進位) | |--------------------|-------|---------------| | NoDriveTypeAutoRun | DWORD | 0xFF | ### 移除 OS/2 和 POSIX 子系統 #### 弱點 如果伺服器需要與 OS/2 用戶端密切互動，則必須使用 OS/2 子系統。OS/2 是 Microsoft 針對以 Intel 80286 和 80386 處理器為基礎的個人電腦所設計的作業系統系列產品，具有保護模式、虛擬記憶體、多工作業等特性。POSIX (Portable Operating System Interface for UNIX) 是一種 IEEE (美國電子電機工程師學會) 標準，此標準定義了一套作業系統服務。 此子系統會帶來有關處理序在跨越不同登入時仍持續存留的安全性風險。亦即，如果使用者啟動了處理序然後登出，那麼下一個登入系統的使用者就有可能存取該處理序，而上一個使用者所啟動的處理序仍可能保有該使用者的系統權限。 #### 對策 為了停用 OS/2 子系統，所以在連結到伺服器上層 OU 的群組原則中刪除了 **Optional**、**OS/2** 和 **POSIX** 登錄機碼。刪除這些登錄子機碼的命令是加入基礎安全性範本檔中，而不是在 .adm 檔中定義。 這表示當您載入 MMC 安全性範本嵌入式管理單元並檢視 baseline.inf 範本時，不會看到此項登錄變更。您可以使用文字編輯器將這些設定加入 .inf 檔中。當原則下載後，這些設定就會套用到伺服器上。 #### 可能的影響 依賴 OS/2 或 POSIX 子系統的應用程式將無法再運作。例如，Microsoft Services for Unix (SFU) 3.0 會安裝 POSIX 子系統的更新版本，此版本需要設定 Optional 和 POSIX 子機碼，所以必須針對使用 SFU 3.0 的所有伺服器，在安全性範本中刪除那些會移除這些子機碼的命令行。 #### Contoso 公司的案例 在 Contoso 公司的案例中，使群組原則在安全性範本中加入幾行命令，以刪除下列 **HKLM\\SYSTEM\\CurrentControlSet\\Control\\Session Manager\\SubSystems** 登錄機碼中的子機碼： - **Optional** - **OS/2** - **POSIX** ### 立即啟用螢幕保護裝置密碼保護功能 #### 弱點 螢幕保護裝置開始鎖定之前，使用者有五秒的預設寬限期可以進行其他動作。保留預設設定的寬限期可能會讓電腦遭受攻擊，亦即，某人可以直接走到主控台，在開始鎖定之前試圖登入系統。您可以在登錄中變更項目，以調整延遲的時間長度。 #### 對策 如果要立即啟用密碼保護功能，請將 **ScreenSaverGracePeriod** 的值設為 **0**。這個時間值是以秒計算，螢幕保護裝置的寬限期超過這個時間就會到期。 #### 可能的影響 一旦螢幕保護裝置啟動之後，使用者就必須輸入密碼才能復原主控台工作階段。 #### Contoso 公司的案例 在 Contoso 公司的案例中，是在 **HKLM\\SYSTEM\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon\\ScreenSaverGracePeriod\\** 機碼下的範本中，加入下列登錄值： **表 6.14 加入登錄中的 MSBP 設定，以立即啟用螢幕保護裝置密碼保護功能** | 登錄值 | 格式 | 值 (十進位) | |------------------------|------|-------------| | ScreenSaverGracePeriod | 字串 | 0 | ### 保護核心物件屬性 #### 弱點 如果先前的呼叫者模式是核心模式時 (也只有在這種情況下)，這個設定可以確保物件管理員能夠針對目前的處理序變更物件資料表中核心物件的屬性。 #### 對策 在系統登錄中，將 **EnhancedSecurityLevel** 選項的值實作為 **1**。 #### 可能的影響 沒有主要的已知問題，但如果舊版應用程式試圖直接存取核心，則這個設定可能會影響舊版應用程式的效能或穩定性。 #### Contoso 公司的案例 在 Contoso 公司的案例中，使群組原則在 **HKLM\\SYSTEM\\CurrentControlSet\\Control\\ Session Manager** 機碼下的範本中，加入下列登錄值： **表 6.15 加入登錄中的 MSBP 設定，以保護核心物件屬性** | 登錄值 | 格式 | 值 (十進位) | |-----------------------|-------|-------------| | EnhancedSecurityLevel | DWORD | 1 | ### 限制 Null 工作階段存取 #### 弱點 在您的環境中，Null 工作階段是一個弱點，使人透過電腦上的各種共用資源利用這項弱點。 #### 對策 新增 **RestrictNullSessAccess**，將它的值設為 **1**，以修改 Null 工作階段對電腦上共用資源的存取權，這項登錄值可以切換 Null 工作階段共用的開關，在用戶端沒有經過使用者名稱和密碼驗證而登入系統帳戶時，決定伺服器服務是否會限制該用戶端的存取。 #### 可能的影響 將這個值設為 **1** 會限制未經驗證的使用者進行 Null 工作階段存取，除了那些列在 **NullSessionPipes** 和 **NullSessionShares** 項目中的管道與共用之外，不可存取所有的伺服器管道與共用。 #### Contoso 公司的案例 在 Contoso 公司的案例中，使群組原則在 **HKLM\\SYSTEM\\CurrentControlSet\\Services\\lanmanserver\\parameters\\** 機碼下的範本中，加入下列登錄機碼： **表 6.16 加入登錄中的 MSBP 設定，以限制 Null 工作階段存取** | 登錄值 | 格式 | 值 (十進位) | |------------------------|-------|-------------| | RestrictNullSessAccess | DWORD | 1 | ### 限制透過具名管道進行 Null 工作階段存取 #### 弱點 限制透過具名管道進行存取可以防止未經授權的網路存取。 #### 對策 刪除位於 HKLM\\SYSTEM\\CurrentControlSet\\ Services\\lanmanserver\\parameters 中的 **NullSessionPipes** 和 **NullSessionShares** 登錄子機碼。 #### 可能的影響 透過具名管道進行的 Null 工作階段存取功能會被停用，依賴這項功能的應用程式將無法再運作。Null 工作階段對共用資源的存取功能會被停用，如果應用程式必須依賴未驗證的網路共用存取功能，則這些應用程式將無法運作。例如，使用 Microsoft® Commercial Internet System 1.0 時，「網際網路郵件服務」(Internet Mail Service) 會在 Inetinfo 處理序下執行。Inetinfo 是以系統帳戶的內容啟動。當 Internet Mail Service 需要查詢 Microsoft® SQL Server™ 資料庫時，它會使用系統帳戶，而系統帳戶是使用 Null 憑證在執行 SQL Server 的電腦上存取 SQL 管道。 有兩個方法可以解決這個問題：設定「World Wide Web 發行服務」使用可連線到 SQL Server 資料庫的非系統帳戶，進行執行，或是啟用 Null 工作階段管道。如需詳細資訊，請參考位於下面網址的 Microsoft 知識庫 (Microsoft Knowledge Base) 文件 Q207671＜HOW TO：Access Network Files from IIS Applications＞：[https://support.microsoft.com/default.aspx?scid=KB;en-us;207671](https://support.microsoft.com/default.aspx?scid=kb;en-us;207671)。 #### Contoso 公司的案例 在 Contoso 公司的案例中，使群組原則在安全性範本中加入命令，以刪除 **HKLM\\SYSTEM\\CurrentControlSet\\ Services\\lanmanserver\\parameters** 登錄機碼中的下列子機碼： - **NullSessionPipes** - **NullSessionShares** ### 安全性記錄檔容量將滿的警告功能 #### 弱點 Windows 2000 的 SP3 中包含了一個新功能，當安全性記錄檔達到使用者自訂的臨界值時，此功能會在安全性事件記錄檔中產生一個安全性稽核事件。當安全性記錄檔的容量達到 90% 時，它會顯示一個事件識別碼為 523 的事件，該事件具有下列文字：The security event log is 90 percent full. (安全性事件記錄檔的容量已用完 90%)。 #### 對策 如果要啟用這項功能，請在下面機碼中新增一個 DWORD 登錄值，稱為 **WarningLevel**，並將它的值設為 **90**：**HKLM\\SYSTEM\\CurrentControlSet\\Services\\Eventlog\\Security**。 #### 可能的影響 當稽核記錄檔已達容量 90% 的臨界值時，這個設定就會產生一個稽核事件。 #### Contoso 公司的案例 在 Contoso 公司的案例中，使群組原則在 **HKLM\\SYSTEM\\CurrentControlSet\\Services\\Eventlog\\Security\\** 機碼下的範本中，加入下列登錄值： **表 6.17 加入登錄中的 MSBP 設定，以啟用安全性記錄檔容量將滿的警告功能** | 登錄值 | 格式 | 值 (十進位) | |--------------|-------|-------------| | WarningLevel | DWORD | 90 | ### 需要網域控制站驗證以解除主控台的鎖定狀態 #### 弱點 電腦會在記憶體中快取任何在本機通過驗證之使用者的憑證。如果要解除主控台的鎖定狀態，電腦會使用取自記憶體中快取的憑證，驗證任何試圖解除主控台鎖定狀態的使用者。 使用快取的憑證時，在這項驗證程序之後，最近對帳戶所進行的任何變更 (例如，使用者權限指派、帳戶鎖定或帳戶停用) 都不會列入考量或加以套用。這表示使用者權限並未更新，但更重要的是，停用的帳戶仍然能夠解除系統主控台的鎖定狀態。 #### 對策 確保對帳戶的任何變更都能立即實施，每當有人試圖解除主控台的鎖定狀態時，電腦就必須驗證該帳戶，而不是讓系統使用快取的憑證驗證該帳戶。 如果要啟用這項功能，請在下面機碼中新增一個 DWORD 登錄值，稱為 **ForceUnlockLogon** ，並將它的值設為 **1**：**HKLM\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon\\**。 #### 可能的影響 如果網域控制站上的主控台已鎖定，不論是由使用者鎖定或是因螢幕保護裝置逾時而自動鎖定，此主控台都必須解除鎖定，使用者才能存取電腦。 #### Contoso 公司的案例 在 Contoso 公司的案例中，是使用群組原則在 **HKLM\\Software\\Microsoft\\ Windows NT\\CurrentVersion\\Winlogon\\** 機碼下的範本中，加入下列登錄值： **表 6.18 加入登錄中的 MSBP 設定，使解除鎖定主控台的作業必須經過網域控制站的驗證** | 登錄值 | 格式 | 值 (十進位) | |------------------|-------|-------------| | ForceUnlockLogon | DWORD | 1 | [](#mainsection)[回到頁首](#mainsection) ### 成員伺服器的其他強化程序 雖然大部分用於強化 Contoso 公司伺服器的對策都是經由群組原則套用，但有一些其他設定很難或不可能使用群組原則套用。這一單元將說明這些其他對策如何手動實作 (例如保障帳戶的安全)，以及如何使用殼層指令碼安置 (例如 IPSec 篩選)。 手動強化程序 ------------ 下列子單元將說明用於將對策套用到 Contoso 公司伺服器的手動程序。 ### 保障帳戶的安全 #### 弱點 Windows 2000 具有許多內建的使用者帳戶，這些帳戶不能刪除，只能重新命名。Windows 2000 兩個最為人所熟知的內建帳戶是 Guest (來賓) 和 Administrator (系統管理員)。 根據預設，在成員伺服器和網域控制站上，Guest 帳戶是停用的。您不應變更這個設定。內建的 Administrator 帳戶必須重新命名並修改說明文字，以防攻擊者使用一般熟知的名稱侵入遠端伺服器。 有許多變種的惡意程式碼最初都是使用內建的 Administrator 帳戶侵入伺服器。過去幾年來，自從出現了藉由指定 Administrator 內建帳戶的安全識別碼 (SID)，以試圖侵入伺服器的攻擊工具之後，這項設定變更的價值便減弱了。SID 這個值的用途是用於在網路上唯一辨識每個使用者、群組、電腦帳戶以及登入工作階段。您無法變更此內建帳戶的 SID。 > **注意** 內建的系統管理員帳戶可以使用群組原則重新命名。我們未在基礎原則中實作這個設定，因為您必須使用一個不是眾所皆知的名稱。我們是顧慮到有些公司在部署了我們的安全性範本之後，並沒有變更設定，結果這些公司所謂重新命名過的系統管理員帳戶，竟然與 Contoso 公司案例中的帳戶名稱相同。我們鼓勵您在自己的環境中使用一個稱為 \[重新命名系統管理員帳戶\] 的群組原則設定，此設定位於 \[電腦設定\\Windows 設定\\安全性設定\\事件日誌\\\] 中。 #### 對策 在每一部伺服器上手動重新命名系統管理員帳戶，並將密碼改成既長又複雜的值。此外，每部伺服器都用不同的名稱和密碼。 將這些變更記錄在一個安全的地方。如果所有伺服器都使用相同的帳戶名稱和密碼，一旦攻擊者成功存取其中一部成員伺服器，就會使用相同的帳戶名稱和密碼存取所有其他伺服器。 #### 可能的影響 負責管理伺服器的使用者必須記錄哪一部伺服器是使用哪一個帳戶名稱。如果必須使用本機系統管理員帳戶登入某特定伺服器，則使用者必須參考這份受到保護的文件，找出該伺服器系統管理員帳戶的使用者名稱和密碼為何。 #### Contoso 公司的案例 在 Contoso 公司的案例中，是在每一部成員伺服器上使用 \[電腦管理\] 主控台，變更本機系統管理員帳戶和密碼。 ### 保障服務帳戶的安全 Windows 2000 服務一般都在 Local System (本機系統) 帳戶下執行，但它們也可以在某個網域使用者或本機帳戶下執行。請儘可能使用本機帳戶，不要使用網域使用者帳戶。 服務會在其服務帳戶的安全性內容下執行，因此若攻擊者侵入某部成員伺服器的某個服務時，其服務帳戶就可能會被用於攻擊網域控制站。在決定要使用哪一個帳戶作為服務帳戶時，必須確定指派的權限僅限於此服務順利運作所需。下表說明了每一類服務帳戶所繼承的權限。 **表 6.19 不同環境中的 Windows 2000 帳戶權限** | Windows 2000 伺服器上的驗證服務 | 僅限 Windows 2000 伺服器樹系內 | 使用網域之間 NTLM 信任的多樹系 | |---------------------------------|---------------------------------------------------------------------------|----------------------------------------------------------------| | 本機使用者服務帳戶 | 無法存取網路資源，只能在此帳戶被指派的權限下存取本機資源。 | 無法存取網路資源，只能在此帳戶被指派的權限下存取本機資源。 | | 網域使用者服務帳戶 | 以網域使用者身份進行網路存取，並在使用者的權限下進行本機存取。 | 以網域使用者身份進行網路存取，並在使用者的權限下進行本機存取。 | | LocalSystem | 以電腦帳戶驗證使用者的身份進行網路存取，並在 LocalSystem 下進行本機存取。 | 無法存取跨越樹系的網路資源，可在 LocalSystem 下進行本機存取。 | > **重要** Windows 2000 所有的預設服務都是在 **LocalSystem** 下執行，這個設定不應該有所變更。任何新增至系統中的額外服務若必須使用網域帳戶，在部署這類服務之前，請先謹慎評估。 ### 停用 LM 雜湊建立功能 #### 弱點 Windows 2000 伺服器可以驗證執行先前各版 Windows 的電腦。但前版 Windows 並不是使用 Kerberos 通訊協定進行驗證，因此 Windows 2000 支援 LAN Manager (LM)、Windows NT (NTLM) 及 NTLM 第 2 版 (NTLMv2)。相較於 NTLM 雜湊，LM 雜湊比較脆弱，因此對於 Brute Force 攻擊的抵抗力也比較弱。 像 L0phtcrack 這樣的工具已經出現好幾年了，這種工具可以使用字典攻擊和 Brute Force 攻擊依據 LM 雜湊判斷密碼。如果沒有用戶端需要使用 LM 驗證，那麼請停用 LM 雜湊存放。 #### 對策 如果要停用 LM 雜湊建立功能，您必須手動將 **NoLMHash** 機碼新增到下面登錄機碼中：**HKLM\\SYSTEM\\CurrentControlSet\\Control\\Lsa\\** > **注意** 如果想要停用 LM 雜湊建立功能，則必須手動將這個機碼新增至登錄。您無法使用群組原則將機碼新增至登錄，而只能新增值。 新增這個機碼之後，系統便無法為最近儲存的密碼建立 LM 雜湊。但任何儲存在 SAM 資料庫或 NTDS.dit 檔中的現有雜湊都不會被移除。因此，套用這個設定之後，應該強制所有使用者變更他們的密碼。 #### 可能的影響 本機系統管理員帳戶以及執行舊版作業系統或應用程式 (需要使用 LM 雜湊進行驗證) 的用戶端，將無法連線到公司中的伺服器。 #### Contoso 公司的案例 在 Contoso 公司的案例中，我們手動將 **NoLMHash** 機碼新增到下面登錄機碼中，以停用 LM 雜湊建立功能：**HKLM\\SYSTEM\\CurrentControlSet\\Control\\Lsa\\** > **注意** 如果要以這個登錄設定停用 LM 雜湊存放，您必須執行 Windows 2000 SP2 含以後版本。 ### NTFS #### 弱點 NTFS 磁碟分割可以在檔案和資料夾層級支援 ACL。檔案配置表 (FAT)、FAT32 或 FAT32x 檔案系統並不提供這項支援。FAT32 是 FAT 檔案系統的一個更新版本，其預設叢集大小變得更小，並且可以支援多達 2 TB 的硬碟大小。FAT32 隨附於 Windows 95 OSR2、Windows 98、Microsoft® Windows® Me、Windows 2000 和 Windows XP 中。 #### 對策 在每部伺服器上使用 NTFS 格式化所有磁碟分割。使用轉換公用程式以非破壞性的方式將 FAT 磁碟分割轉換成 NTFS，但請記住，轉換公用程式會將已轉換的磁碟機 ACL 設成 \[Everyone\]：\[完全控制\]。 針對 Windows 2000 Server 系統，請在本機套用下列安全性範本，以分別設定工作站、伺服器和網域控制站預設的檔案系統 ACL： - %windir%\\inf\\defltwk.inf - %windir%\\inf\\defltsv.inf - %windir%\\inf\\defltdc.inf > **注意** 網域控制站的預設安全性設定是在伺服器升級為網域控制站時套用的。 #### 可能的影響 沒有負面影響。 #### Contoso 公司的案例 Contoso 公司伺服器上的所有磁碟分割都是格式化為 NTFS 磁碟分割。 ### 資料和應用程式分割 #### 弱點 將應用程式、資料和記錄檔放置在與作業系統相同的儲存磁碟區上會造成兩種弱點。其中一種潛在的威脅是，使用者不小心或故意讓應用程式記錄檔塞滿磁碟，或是將檔案上傳到伺服器，使得儲存磁碟區上塞滿資料。 第二種潛在的威脅是由穿梭目錄所造成，攻擊者可以利用某個網路服務的錯誤，向上巡覽樹狀目錄，而直達系統磁碟區的根部。攻擊者可以接著向下巡覽至包含作業系統檔的資料夾，然後從遠端執行某個公用程式。 穿梭目錄的攻擊方式有數千種，都是利用具有許多弱點的應用程式和作業系統。過去幾年來，IIS 也曾遭受這類攻擊。例如，NIMDA 和 Code Red 病蟲利用緩衝區溢位弱點，穿梭網站的樹狀目錄，然後從遠端執行 cmd.exe 以存取遠端殼層，接著再執行其他命令。 因此，無論如何請將網頁內容、應用程式、使用者資料、應用程式記錄檔，以及位於系統磁碟區上的作業系統所不需要的任何其他檔案，全都放置在分開的儲存磁碟分割中。 #### 對策 將網頁內容、應用程式、資料以及應用程式記錄檔重新放置在與系統磁碟區不同的磁碟分割中。 #### 可能的影響 沒有明顯的負面影響。 #### Contoso 公司的案例 第 7 章＜強化特定伺服器角色＞中會詳細說明在 Contoso 公司的案例中如何解決這些問題。 ### 設定 SNMP 群體名稱 #### 弱點 若是說到安全性，SNMP 通訊協定原本就很脆弱。SNMP 有一個最大的弱點，就是幾乎所有廠商都會設定預設的群體字串名稱。而這些預設的群體名稱是眾所皆知的，例如，Microsoft 是使用 Public 這個字。 還有一個比較難克服的弱點：因為 SNMP 的資料都是以純文字傳送，所以 SNMP 管理裝置連線到 SNMP 用戶端時，透過網路傳送的群體字串並未加密或建立雜湊。這第二個弱點有個解決方法，就是加密在伺服器之間傳送的所有資料。不過，這個對策不在本手冊討論範圍內。 #### 對策 將所有系統上的 SNMP 群體字串都設為無規則的英數字元值。您可以在服務主控台中進行設定，請按兩下 \[SNMP 服務\]，然後從 \[SNMP 服務內容\] 對話方塊中選取 \[安全性\] 索引標籤。在接受的群體名稱清單中選取 \[public\]，然後按一下 \[編輯\] 按鈕，當 \[SNMP 服務群體名稱\] 對話方塊出現時，在此對話方塊中輸入新的群體名稱。按一下 \[確定\] 按鈕，關閉每一個對話方塊。 > **注意** 儲存在登錄中的群體名稱的登錄值是 **4**，屬於 DWORD 值，所以您可以建立一個指令碼將這項變更自動化，或是將安全性範本匯入成員伺服器基礎原則之前，先在 baseline.inf 中加入這行變更。這個值是儲存在：**HKLM\\SYSTEM\\CurrentControlSet\\Services\\SNMP\\Parameters\\ > ValidCommunities。** #### 可能的影響 您也必須在使用 SNMP 通訊協定的所有管理工具上重設群體字串。 #### Contoso 公司的案例 在 Contoso 公司的案例中，是將 SNMP 群體字串重設為 **mouse3pad**。 設定 IPSec 原則 --------------- 網際網路通訊協定安全性 (IPSec) 的初始設計是要加密在兩部電腦之間傳送的資料，如果有任何人能夠在網路上看到這些資料，此功能可以保護資料避免遭受修改和轉譯。IPSec 是對內部、私人網路和外部攻擊的重要防禦線。 雖然大部分的網路安全性策略是著重在防範來自公司網路外的攻擊，但是有許多機密資訊的外流卻是由網路上轉譯資料的內部攻擊所為。大部分資料在網路上到處傳送時是未經保護的，因此員工、技術支援人員或是訪客都可能會連接您的網路，然後複製資料帶回去分析。 IPSec 可以加密網路上的資料，同時在全面防禦模型中，IPSec 也是保護網路層安全的好方法。可以透過使用 IPSec 原則鎖定網路介面而達成。內部攻擊者有可能會對其他電腦採取網路層級的攻擊。位於內部網路和網際網路之間的防火牆對於這樣的內部威脅無法提供保護措施，因此使用 IPSec 封鎖非必要的連接埠，以大幅提升公司資產的安全性。 下列這些詞彙將普遍出現在本文剩下的內容中。 - 篩選器清單 - 包括連接埠、通訊協定和方向。當資料傳輸符合這個清單中指定的某個項目時，篩選器清單就會觸發某個決策。一個清單可以包含多個篩選器。 - 篩選器動作 - 當資料傳輸符合某個篩選器清單時的必要回應。特定動作包括封鎖或允許某些資料傳輸。 - 規則 - 規則是篩選器清單和篩選器動作的關聯性。 - 原則 - 一組規則。任何特定時間只可以有一個作用中的原則。 ### 使用網路傳輸對應表規劃 IPSec 原則 有一個簡單的方法可以記錄這項資訊，就是在名為網路傳輸對應表的表格中做記錄。網路傳輸對應表包含所涉及的伺服器角色、網路資料傳輸方向、資料傳輸目的地、介面的 IP 位址、IP 通訊協定、TCP 連接埠以及使用者資料包通訊協定 (UDP，User Datagram Protocol) 連接埠等基本資訊。下面將顯示網路傳輸對應表的範例。 網路傳輸對應表可以協助您瞭解進出特定伺服器的是哪些網路資料。在建立 IPSec 原則之前，重要的是要清楚瞭解伺服器正常運作所需的資料傳輸。若沒有做到這件事，可能會造成所建立的篩選器太嚴格，而導致應用程式失敗。 在 Contoso 公司的案例中，決定每個伺服器角色所需的網路服務。接下來，找出每個服務所需的連接埠。然後就可以建立 IPSec 篩選器，以執行所找出的連接埠。這樣的程序會產生限制非常嚴格的 IPSec 篩選器。實作篩選器之後，要進行一些疑難排解程序，以確認所有的網路服務都運作正常。此外，還必須啟用幾個連接埠，這在第 7 章＜強化特定伺服器角色＞中將會針對每個伺服器角色提供個別說明。從限制最嚴格的 IPSec 篩選器開始著手，並依需要開啟其他連接埠，如此這些設定就可以達成最高等級的安全性。 **表 6.20 IPSec 網路傳輸對應表** | 服務 | 通訊協定 | 來源連接埠 | 目的連接埠 | 來源位址 | 目的位址 | 動作 | |--------------|----------|------------|------------|----------|----------|------| | HTTP 伺服器 | TCP | 任意 | 80 | 任意 | 主機 IP | 允許 | | HTTPS 伺服器 | TCP | 任意 | 443 | 任意 | 主機 IP | 允許 | | DNS 用戶端 | TCP | 任意 | 53 | 主機 IP | 任意 | 允許 | | 　 | UDP | 任意 | 53 | 主機 IP | 任意 | 允許 | 如果您將服務分成用戶端服務和伺服器服務，這個程序就會變得簡單多了。用戶端服務可以是任何服務，只要是從另一部主機存取使用原則的電腦。例如，在上述範例中，伺服器可能需要 DNS 用戶端服務，以便為其中一個 Web 應用程式執行名稱查詢。 伺服器服務是電腦提供給其他主機的任何服務。同樣的，在上述範例中，Web 伺服器會提供 HTTP 和 HTTPS 服務給其他電腦，所以必須允許傳輸適當的資料。本方案手冊隨附一個自我解壓縮的執行檔 ipsecscripts.exe，此檔包含指令碼範例，可以實作第 7 章＜強化特定伺服器角色＞中所述之設定。 網路傳輸對應表中的資料會依據伺服器角色而有所不同。一旦完成了這個表格，就可以依據這項資訊建立 IPSec 原則。您可以使用群組原則為基礎散發 IPSec 原則，但因為許多 IPSec 原則是依據特定電腦量身訂做的，所以最好是使用本機原則實作這些變更。 > **注意** Windows 2000 Server IPSec 篩選功能之目的並不是要取代功能完整的防火牆。IPSec 篩選功能應該視為是強化伺服器的工具。使用 IPSec 可以讓您針對能夠被靜態篩選的攻擊提供全面性的防衛。此外，IPSec 篩選功能可以協助遏制及控制來自病蟲和病毒的惡意程式碼傳輸。在使用 IPSec 篩選功能這項工具之前，您應該先瞭解一些有關這項工具的重要安全性特性： 1. 有一個安全性弱點會造成攻擊者取得本機系統管理員 (Local Administrator) 或本機系統 (Local System) 存取權限，然後攻擊者就可以停用或變更 IPSec 原則。 2. 如果要確保目標電腦已充分鎖定，**NoDefaultExempt** 登錄設定的值「必須」設定成 **1**。在本安全性指導手冊的所有 IPSec 篩選案例中，都必須使用這個設定。雖然本 IPSec 指示尚未在每個案例中使用 NoDefaultExempt 設定進行完整測試，但使用這個設定預期應該不會造成行為上的任何差異。如果這項設定有任何變更，本手冊會儘快地更新以反應此設定變更。Microsoft 知識庫 (Microsoft Knowledge Base) 文件 Q254728＜IPSec Does Not Secure Kerberos Traffic Between Domain Controllers＞中，會說明設定 NoDefaultExempt 的指示。 3. IPSec 無法針對外傳的連線提供動態的篩選功能。因此，本安全性指導手冊中建立了靜態內傳篩選器，以確保能夠收到外傳通訊的回應。如果攻擊者試圖在您系統中的伺服器上掃描或連線到開啟的連接埠，這可以有效地封鎖大部分的攻擊企圖。然而，攻擊者還是可能使用特殊工具，經由 IPSec 允許內傳的篩選器建立連線。如果需要使用允許外傳至任何目的 IP (網際網路通訊協定) 位址的外傳篩選器 (例如，使用一個外傳篩選器，可以讓 Simple Mail Transfer Protocol (SMTP) 伺服器，將郵件傳送至任何其他連到網際網路的目的 STMP 伺服器)，那麼您就「必須」在主機電腦和網際網路之間放置防火牆或其他動態篩選裝置。如果有可能，您可以針對接收資料所需的 IP 位址，設定允許外傳的篩選器。 > **重要** 電腦啟動期間 IPSec 無法提供完整的安全性篩選功能。傳輸控制通訊協定/網際網路通訊協定 (TCP/IP) 堆疊在回應時會有一小段空窗期，此時自動攻擊就有機會存取 IPSec 原則原本要封鎖的應用程式連接埠。大部分情況下，在 IPSec 篩選功能就緒之前，應用程式不太可能開始處理連線。在 IPSec 原則代理服務啟動時設定服務相依性，並不能有效保證篩選器已準備就緒。 > 如果要使用 IPSec 篩選器達成最高等級的安全性，電腦在重新啟動時應該中斷網路連線。IPSec 篩選器就緒的精確時間會依據許多因素而有不同，這些都是伺服器設定和 IPSec 原則大小所特有的因素。您應該執行本機測試，以判斷讓伺服器重新連線到網路之前的安全時間間隔。如果無法執行測試，您應該使用防火牆或篩選路由器，限制傳入的資料只能流向允許的連接埠。 ### 實作 IPSec 原則 您可以經由 \[本機安全性設定值\] MMC 嵌入式管理單元的 \[IP 安全性原則\] 區段，實作 IPSec 原則。在一部伺服器上實作這個程序並不難，但要在許多伺服器上完成實作卻很不容易。因此，在本單元中，我們將說明使用指令碼方法部署 IPSec 原則。 #### 使用指令碼實作 Windows 2000 Resource Kit 隨附一個命令列公用程式：IPSecPol.exe，可以讓您用於建立、指派和刪除 IPSec 原則。IPSecPol.exe 相當具有彈性；它可以在 Active Directory 及本機和遠端登錄中建立動態與靜態原則。如需完整資訊，請參閱 Windows 2000 Resource Kit 中的文件。本手冊將提供在本機電腦的登錄中建立靜態原則的指引。 IPSecPol.exe 有許多參數，剛開始學習它的語法時，可能很容易混淆。不過，如果您遵循下列顯示的範例，就可以使用三個命令複製出先前在圖形化使用者介面 (GUI) 中所顯示的整個設定。您可能需要在執行每一個命令之後，開啟 MMC 然後重新整理其顯示視窗，以確認命令已經以您所預期的方式執行完成。讓我們開始吧！ 第一個命令，如下所示，可以建立新原則、將規則加入原則中，以及將兩個篩選器清單和一個篩選器動作加入規則中： ``` ipsecpol -w REG -p "Packet Filter" -r "Inbound web protocols" -f *+192.168.0.201:80:TCP -f *+192.168.0.201:443:TCP -n PASS ```

上面顯示的命令是為了方便列印而分成兩行；請將它當成一行輸入。參數說明如下：

• -w REG - 將靜態原則寫入登錄。這與使用 MMC 完全相同。
• -p "Packet Filter" - 建立一個稱為「Packet Filter」的原則。
• -r "Inbound web protocols" - 建立一個稱為「Inbound Web protocols」的規則。
• -f *+192.168.0.201:80:TCP - 加入一個篩選器，其中 * 可以指定任何來源位址以及任何連接埠，131.107.1.1:80 可以指定目的位址 (伺服器本身的位址) 以及特定連接埠，:TCP 則是指定通訊協定，而 + 是表示篩選器被鏡射。
• -f *+192.168.0.201:443:TCP - 和上面說明相同，只不過目的連接埠是 443。
• -n PASS - 不需交涉安全性，可以直接傳送資料。

注意 -w、-f 和 -n 參數的值有大小寫之分，只能使用小寫字母。

您需要幾個篩選器就可以建立幾個篩選器。如果伺服器執行多項服務，您應該針對每一類別的篩選器個別使用獨立的 IPSecPol.exe 命令。例如，除了上述的 Web 服務之外，下面命令允許傳入的連線連接埠 25，並且可以允許傳出的連線在連接埠 25 向外連接任何地方：

ipsecpol -w REG -p "Packet Filter" -r "SMTP Protocol" 
-f *+192.168.0.201:25:TCP -f 192.168.0.201+*:25:TCP -n PASS

最後一個篩選器 (-f 192.168.0.201+*:25:TCP) 看起來有一點不同。它允許傳出的資料從伺服器本身位址的任何連接埠上向外傳至任何伺服器的連接埠 25。這個篩選器可以讓伺服器啟動傳出的 SMTP 連線，以連到網際網路。

下一個命令會建立符合所有傳輸的一般規則，並且封鎖資料的傳輸：

ipsecpol -w REG -p "Packet Filter" -r "All inbound traffic" 
-f *+192.168.0.201 -n BLOCK 

參數說明如下：

• -w REG - 將靜態原則寫入登錄。這與使用 MMC 完全相同。
• -p "Packet Filter" - 加入稱為「Packet Filter」的現有原則。
• -r "All inbound traffic" - 建立一個稱為「All inbound traffic」的規則。
• -f *+192.168.0.201 - 加入一個篩選器，其中 * 是指定任何來源位址以及任何連接埠，192.168.0.201 是指定目的位址以及任何連接埠，沒有指定通訊協定是表示可以使用任何通訊協定，而 + 則是表示篩選器被鏡射。
• -n BLOCK - 封鎖資料的傳輸。

最後一個命令可以指派原則：

ipsecpol -w REG -p "Packet Filter" –x
參數說明如下：

• -w REG - 將靜態原則寫入登錄。這與使用 MMC 完全相同。
• -p "Packet Filter" - 加入稱為「Packet Filter」的現有原則。
• -x - 指派原則。

在伺服器建置指令碼中加入 IPSecPol.exe 支援時，建議您在伺服器完全建置完成之前，不要實際指派原則。指令碼應該只包含 -n PASS 和 -n BLOCK 命令；當所有伺服器都安裝完成之後，就可以使用下面這種形式的命令從遠端指派原則：

ipsecpol \\machinename -w REG -p "policyname" –x
您必須具備在命令中所指定電腦上的系統管理權限。如果暫時不想指派原則，請以 -y 取代 -x。

您也可以使用相同的方式刪除整個原則，包括所有相關的篩選器清單和篩選器動作。刪除原則的命令是：

ipsecpol -w REG -p "policyname" –o

因為每一種伺服器角色各有不同的特性，所以必須針對每一個角色建立專用的原則。第 7 章＜強化特定伺服器角色＞中將會說明這些伺服器專用步驟。

回到頁首

本章說明在 Contoso 公司的案例中最初套用到所有伺服器的伺服器強化程序。這些程序的執行方式大部分都是透過建立安全性範本而完成，並將它匯入連結到成員伺服器上層 OU 的 GPO 中。

不過，有些強化程序無法經由群組原則套用。因此，這些強化程序必須手動設定。此外，還要針對特定伺服器角色採取其他步驟，以便讓這些伺服器能夠儘可能安全地扮演好它們的角色。

角色所特有的步驟包括其他強化程序，以及用於減少基礎安全性原則中安全性設定的程序。第 7 章＜強化特定伺服器角色＞中將會詳細說明這些變更。

如需停用 NetBIOS 的詳細資訊，請參閱附錄 D＜在不信任的網路伺服器上停用 NetBIOS＞。

如需有關 STRIDE (Spoofing identity (欺騙身份)、Tampering with data (竄改資料)、Repudiation (拒絕)、Information disclosure (洩漏資訊)、Denial of service (拒絕服務) 以及 Elevation of privilege (提升權限)) 威脅模式的資訊，請參閱：

https://msdn.microsoft.com/library/default.asp?url=/library/zh-tw/
cpsamples/html/remoting.asp

如需 Microsoft 安全性的詳細資訊，請參閱：

https://www.microsoft.com/taiwan/security/default.asp

如需 Active Directory 中委派管理的設計注意事項，請參閱：

https://www.microsoft.com/technet/prodtechnol/windows2000serv/
technologies/activedirectory/plan/addeladm.mspx

如需安全性威脅的詳細資訊，請參閱：

https://www.microsoft.com/technet/security/bestprac/bpent/sec1/secthret.mspx

如需 .inf 與 .adm 檔之間關係的詳細資訊，請參閱下面網址的 Microsoft 知識庫 (Microsoft Knowledge Base) 文件 Q228460＜Location of ADM (Administrative Template) Files in Windows＞：https://support.microsoft.com/default.aspx?scid=kb;zh-tw;228460&sd=tech。

如需在含有 Exchange 2000 Server 的環境中套用 Q299687 安全性 Hotfix 的詳細資訊，請參閱下面網址的 Microsoft 知識庫 (Microsoft Knowledge Base) 文件 Q309622＜Clients Cannot Browse the Global Address List After You Apply the 299687 Windows 2000 Security Hotfix＞：https://support.microsoft.com/default.aspx?scid=kb;zh-tw;309622&sd=tech。

如需強化 Windows 2000 TCP/IP 堆疊的詳細資訊，請參閱下面網址的 Microsoft 知識庫 (Microsoft Knowledge Base) 文件 Q315669＜HOW TO：Harden the TCP/IP Stack Against Denial of Service Attacks in Windows 2000＞：https://support.microsoft.com/default.aspx?scid=kb;zh-tw;315669&sd=tech。

如需強化 Windows Sockets 應用程式設定的詳細資訊，請參閱下面網址的 Microsoft 知識庫 (Microsoft Knowledge Base) 文件 Q142641＜Internet Server Unavailable Because of Malicious SYN Attacks＞：https://support.microsoft.com/default.aspx?scid=kb;zh-tw;142641&sd=tech。

如需 LM 雜湊驗證的詳細資訊，請參閱下面網址的 Microsoft 知識庫 (Microsoft Knowledge Base) 文件 Q147706＜How to Disable LM Authentication on Windows NT＞：https://support.microsoft.com/default.aspx?scid=kb;zh-tw;147706&sd=tech。

如需停用 LM 雜湊建立功能的詳細資訊，請參閱下面網址的 Microsoft 知識庫 (Microsoft Knowledge Base) 文件 CHT299656＜用來將 LM 雜湊從 Active Directory 及安全性帳戶管理員中移除新的登錄機碼＞：https://support.microsoft.com/default.aspx?scid=kb;zh-tw;299656&sd=tech。

如需詳細資訊，以瞭解因停用 Null 工作階段所產生之驗證問題的解決方法，請參閱下面網址的 Microsoft 知識庫 (Microsoft Knowledge Base) 文件 Q207671＜HOW TO：Access Network Files from IIS Applications＞：https://support.microsoft.com/default.aspx?scid=KB;zh-tw;207671&sd=tech。

回到頁首