匯出 (0) 列印
全部展開

強化 Windows Server 2003 基礎結構伺服器

Overview

發佈日期: 2003 年 12 月 31 日 | 更新日期: 2006 年 4 月 26

本頁內容

本單元內容
目標
適用於
如何使用本單元
概觀
稽核原則設定
使用者權限指派
安全性選項
事件記錄設定
系統服務
其他安全性設定
總結

本單元內容

本單元說明安全性範本的設定方式,專門針對 Microsoft® Windows Server™™ 2003 作業系統的基礎結構伺服器。就單元的用途來說,基礎結構伺服器可以提供動態主機配置通訊協定 (DHCP) 服務,或是 Windows 網際網路名稱服務 (WINS) 的功能。本單元假設成員伺服器基準線已經套用至伺服器中。本單元還考量到安全性範本所定義以外,其他仍需要套用的安全性設定。為了建立完全強化的檔案伺服器,這些額外設定是必要的。

目標

透過此單元即可:

  • 強化 Windows Server 2003 基礎結構伺服器。

  • 審查基礎結構伺服器適合的安全性設定為何。


適用於

本單元適用於下列產品及技術:

  • Windows Server 2003


如何使用本單元

利用此單元了解您應該套用至 Windows Server 2003 基礎伺服器的安全性設定。單元中會結合使用角色特定安全性範本與基準線安全性範本。這些安全性範本是出自《Windows Server 2003 Security Guide》(英文),您可以在下列位置取得:http://go.microsoft.com/fwlink/?LinkId=14846

若要充分瞭解此單元:


概觀

此單元說明在本指南定義的三種環境之下,安全基礎伺服器伺服器的加強設定值。針對本指南的用意,基礎伺服器是指提供動態主機控制通訊協定 (DHCP) 服務,或 Windows 網際網路名稱服務 (WINS) 的功能。

大部份提及的設定都是使用群組原則進行設定與套用。群組原則物件 (GPO) 是設計用來讓成員伺服器基準線原則 (MSBP) 能夠連結到包含基礎結構伺服器的適當組織單位 (OU) 中,提供以伺服器為基本的其他安全性。

這裡提及的設定中,有少數無法使用群組原則來進行套用。案例中會提供手動配置這些設定值的詳細資料。建立並套用控制網路流量的網際網路安全性 (IPSec) 篩選器的詳細資料,可以與本單元提供的二種基礎結構伺服器通訊。

為了增進本單元的可用度,只有已經由 MSBP 修改的設定值才會包含在單元中。如需 MSBP 設定的詳細資訊,請參閱<建立 Windows Server 2003 成員伺服器的基準線>單元。如需所有預設設定的詳細資訊,請參閱同系列指南的《Threats and Countermeasures:Security Settings in Windows Server 2003 and Windows XP》(英文)。

稽核原則設定

本指南中包含的三種環境的基礎伺服器稽核原則設定都是透過 MSBP 加以配置的。如果要取得更多有關 MSBP 的資訊,請參閱單元<建立 Windows Server 2003 成員伺服器的基準線>。MSBP 設定會確保所有相關的安全性稽核資訊都已登入所有的基礎伺服器。

使用者權限指派

本指南中包含的三種環境的基礎伺服器使用者權限指派都是透過 MSBP 加以配置的。如果要取得更多有關 MSBP 的資訊,請參閱此單元<建立 Windows Server 2003 成員伺服器的基準線>。MSBP 設定會確保所有合適的使用者權限指派均由基礎伺服器加以配置。

安全性選項

本指南中包含的三種環境的基礎伺服器安全性選項設定都是透過 MSBP 加以配置的。如果您需要 MSBP 的詳細資訊,請參閱單元<建立 Windows Server 2003 成員伺服器的基準線>。MSBP 設定會確保所有相關的安全性選項均由基礎伺服器加以配置。

事件記錄設定

本指南中包含的三種環境的基礎伺服器事件日誌設定都是透過 MSBP 加以配置的。如果要取得更多有關 MSBP 的資訊,請參閱此單元<建立 Windows Server 2003 成員伺服器的基準線>

系統服務

本系統服務設定一節提供命令系統的詳細資料,此系統在您執行環境中的基礎伺服器上可能已啟用或停用。這些服務設定在基礎伺服器增量原則中有詳細說明。為了縮小拒絕服務攻擊 (DoS) 的可能性,GPO 會確定這些服務會配置為自動啟動。如果需要本節中命令設定的摘要,請參考隨附在《Windows Server 2003 Security Guide 》的(英文) <Windows Server 2003 Security Guide Settings>(英文) Excel 活頁簿,您可以在下列網站中取得 http://go.microsoft.com/fwlink/?LinkId=14846.

DHCP 伺服器

表 1:設定

服務名稱

成員伺服器預設值

傳統用戶端

企業用戶端

高安全性

DHCP

尚未安裝

自動

自動

自動


DHCP 服務會將網際網路通訊協定 (IP) 位址以及網路設定的進階配置,例如 DNS 伺服器和 WINS 伺服器自動分配至 DHCP 用戶端並加以啟用。DHCP 使用用戶端/伺服器模型。網路管理員會建立一或多個 DHCP 伺服器,用來維護傳輸控制通訊協定 /網際網路通訊協定 (TCP/IP) 設定資訊,並將相關資訊提供給用戶端。

DHCP 伺服器服務必須在 DHCP 伺服器分派 IP 位址配置給其用戶端的時候執行。使用群組原則來確保安全,並將服務的啟動模式設定為僅授權存取至伺服器管理員,這樣可以預防服務被未授權及惡意的使用者設定或操作。群組原則也可避免系統管理員不慎停用服務的情況。

WINS

表 2:設定

服務名稱

成員伺服器預設值

傳統用戶端

企業用戶端

高安全性

WINS

未安裝

自動

自動

自動


WINS 會啟用網路基本輸入/輸出系統 (NetBIOS) 名稱解析。WINS 伺服器的存在對於尋找使用 NetBIOS 名稱識別的網路資源十分重要。除非全部網域都已經更新為 Microsoft Active Directory® 目錄伺服器、網路上的所有電腦都在執行 Microsoft® Windows® 2000 作業系統或更新版本,而且沒有應用程式依賴 WINS 解析以執行適當的運作,否則就需要 WINS 伺服器。

WINS Server 必須提供 WINS Server 服務,以提供名稱解析給用戶端。使用群組原則來確保安全,並將服務的啟動模式設定為僅授權存取至伺服器管理員,這樣可以預防服務被未授權及惡意的使用者設定或操作。群組原則也可避免系統管理員不慎停用服務的情況。

其他安全性設定

自 MSBP 套用的安全性設定,會大幅加強基礎結構伺服器的安全性。還要另外考量其他事項。這些步驟不能經由群組原則完成,應該在所有基礎伺服器上手動加以執行。

配置 DHCP 記錄

DHCP 伺服器僅記錄在事件檢視器中預設的啟動以及關閉事件。經由以下的步驟,可讓 DHCP 伺服器啟用更詳細地記錄檔:

  1. 以滑鼠右鍵按一下 DHCP 管理工具中的 DHCP 伺服器。

  2. 選取 [內容]。

  3. 在 [內容]對話方塊的 [一般] 標籤上,按一下 [啟用 DHCP 稽核記錄]。

完成了這些步驟之後, DHCP 伺服器會在以下位置建立一個記錄檔:

%systemroot%\system32\dhcp\

DHCP 用戶端通常難以尋找記錄項目,因為唯一儲存在大多數事件記錄的資訊為電腦名稱,並非 IP 位址。DHCP 稽核記錄可提供多項工具來尋找內部攻擊或粗心的來源。

但是,在這些記錄中的資訊也並非全都可靠,因為主機名稱以及媒體存取控制 (MAC) 位址可能是不正確的。這種情況可顯示來自使用者的傳輸,而非來自執行動作的使用者。不過,藉由遠超出成本的方式收集此資訊的利益,會因為啟用 DHCP 伺服器中的記錄而增加開支。因此,擁有不只一個 IP 位址和機器名稱能夠在決定特定 IP 位址如何在網路上使用的方面有很大的幫助。

預設的伺服器操作者以及已驗證的使用者已經閱讀了這些記錄檔的權限。為了保存 DHCP 伺服器所記錄的完整資訊,建議您將存取至這些記錄的權限設定最低為伺服器管理員。伺服器操作者以及已驗證的使用者群組應該從 %systemroot%\system32\dhcp\ 資料夾的存取控制清單 (ACL) 中移除。

DHCP 稽核記錄可能會將儲存資料的磁碟空間填滿。不過,DHCP 稽核記錄設定的預設配置會確保此記錄動作在伺服器的可用空間少於 20 MB 的時候停止。此預設設定對於大多數環境中的伺服器是足夠的,但是您也可以修改此設定,確保伺服器中的其他應用程式有足夠的可用磁碟空間。如需如何修改此設定的資訊,請參考 《Windows 2000 Server Resource Kit》(英文) 中的<DhcpLogMinSpaceOnDisk>(英文) 主題,網址如下: http://www.microsoft.com/windows2000/techinfo/reskit/en-us/default.asp?url=/windows2000/techinfo/reskit/en-us/regentry/46692.asp

本文中描述的登錄設定也應用在 Windows Server 2003 的 DHCP 執行中。

保護 DHCP 拒絕服務攻擊

由於 DHCP 伺服器是提供用戶端存取至網路的重要資源,因此也很容易成為 DoS 攻擊的主要目標。如果 DHCP 伺服器受到攻擊且無法服務 DHCP 要求,那麼 DHCP 用戶端就無法取得租借權。這些用戶端將遺失現有的 IP 租借權,且無法存取網路資源。

要編寫攻擊工具指令來要求所有 DHCP 伺服器中可用的位址,並非難事。這樣會耗盡來自 DHCP 用戶端後續合法的可用 IP 位址。惡意的使用者也可能配置他們管理的電腦網路介面卡上的所有 DHCP IP 位址,如此會使 DHCP 伺服器偵測範圍中所有衝突的 IP 位址,並拒絕分配 DHCP 租借權。

此外,針對所有其他網路服務,DoS 攻擊,例如,CPU 衰竭或是填滿了 DHCP 接聽程式的要求緩衝區,會耗盡 DHCP 伺服器回應正常流量的功能,而且會讓用戶端無法要求租借權及更新。經由適當地設計環境中的 DHCP 服務,就可避免這個問題。

成對配置 DHCP 伺服器,並遵循最佳的 80/20 規則,也就是分割伺服器之間的 DHCP 伺服器範圍,這樣一來百分之八十的位址會分配給一個 DHCP 伺服器,而剩下的百分之二十則分配給其他的 DHCP 伺服器,藉由確定用戶端可以繼續接收伺服器失敗事件中的 IP 位址配置,協助您減輕這些攻擊類型產生的影響。如需有關 80/20 規則以及 DHCP 通訊協定的詳細資訊,請參閱《Windows 2000 Server Resource Kit》(英文) 中的<DHCP>(英文),網址如下: http://www.microsoft.com/windows2000/techinfo/reskit/en-us/default.asp?url=/windows2000/techinfo/reskit/en-us/cnet/cncb_dhc_ogjw.asp

保護眾所皆知帳戶

Windows Server 2003 已內建一些無法刪除、但可以重新命名的使用者帳戶。在 Windows Server 2003 中最為知名的兩個內建帳戶就是 Guest Administrator

在網頁伺服器和網域控制站Guest帳號的預設值是停用的。 您不應該變更這項設定。內建的Administrator 則應該重新命名、並改變說明,以協助防止攻擊者使用眾所皆知的帳戶來滲透遠端伺服器。

許多惡意程式碼的變種在第一次嘗試滲透伺服器時,就是使用此內建系統管理員帳戶。因為現在發行的攻擊工具會指定內建Administrator 帳戶的安全性識別元 (SID) 來判斷其真正名稱、向伺服器發動攻擊行動,所以最近這幾年來,這項設定變更的效果已經降低許多。安全性識別元 (SID) 值是唯一的,可用來識別網路中的每個使用者、群組、電腦帳戶與登入工作階段。這個內建帳戶的 SID 是無法變更的。將本機系統管理員帳戶重新更名成唯一名稱,可以讓作業群組更容易監控此帳戶所遭受的企圖攻擊行為。

  • 若要取得基礎伺服器中的熟知帳戶,其方法如下:

    1. 為每個網域和伺服器的 Administrator Guest 帳戶重新更名,並將其密碼變更成長的複雜值。

    2. 每個伺服器上使用不同的名稱及密碼。如果所有網域及伺服器上都使用相同的帳戶名稱與密碼,攻擊者在取得一個成員伺服器的存取權限後,就可以使用相同帳戶名稱與密碼來存取所有其他伺服器。

    3. 將帳戶說明變更成不同於預設值的說明,以協助防止帳戶易於識破。

    4. 將這些變更記錄在安全位置。

注意:內建 Administrator 帳戶可以透過群組原則來重新命名。本指南中所提供的安全性範本並未設定這項設定,因為您應該選擇您環境的唯一名稱。[帳戶:重新命名系統管理員帳戶] 設定可設定在本指南定義的三個環境中,重新命名系統管理員帳戶。本設定為安全性選項設定 GPO 的一部份。

保護服務帳戶

除非絕對必要,否則不設定在網域帳戶的安全性內容下執行服務。如果伺服器實體已遭滲透,網域帳戶密碼就會很容易透過傾印 LSA (Local Security Authority) 機密而洩漏出去。

使用 IPSec 篩選器封鎖連接埠

「網際網路通訊協定安全性」(IPSec) 篩選器提供有效方法,可強化伺服器所需要的安全性層級。本指南建議,在本指南內定義的高安全性環境可以採用此指示,進一步減少伺服器的攻擊表面區域。

如需使用 IPSec 篩選器的詳細資訊,請參閱<Additional Member Server Hardening Procedures>(英文) 單元。

下面的表格列出了能夠在本指南所定義的高安全性環境中建立的 DHCP 伺服器之所有 IPSec 篩選器。

表 3:DHCP 伺服器 IPSec 網路流量對應

服務

通訊協定

來源連結埠

目的地連接埠

來源位址

目的地位址

動作

鏡像

OnePoint 用戶端

任何

任何

任何

MOM 伺服器

允許

終端機服務

TCP

任何

3389

任何

允許

網域成員

任何

任何

任何

網域控制站

允許

網域成員

任何

任何

任何

網域控制器 2

允許

DHCP 伺服器

UDP

68

67

任何

允許

所有輸入的流量

任何

任何

任何

任何

封鎖


下面的表格列出了能夠在本指南所定義的高安全性環境中建立的 WINS 伺服器之所有 IPSec 篩選器。

表 4:WINS 伺服器 IPSec 網路流量對應

服務

通訊協定

來源連結埠

目的地連接埠

來源位址

目的地位址

動作

鏡像

單點用戶端

任何

任何

任何

MOM 伺服器

允許

終端機服務

TCP

任何

3389

任何

允許

網域成員

任何

任何

任何

網域控制站

允許

網域成員

任何

任何

任何

網域控制器 2

允許

WINS 解析伺服器

TCP

任何

1512

任何

允許

 

UDP

任何

1512

任何

允許

WINS 複寫用戶端

TCP

任何

42

WINS 複寫協力

允許

 

UDP

任何

42

WINS 複寫協力

允許

WINS 複寫伺服器

TCP

任何

42

WINS 複寫協力

允許

 

UDP

任何

42

WINS 複寫協力

允許

所有輸入的流量

任何

任何

任何

任何

封鎖


上面表格中所列出的所有規則在實作時應該進行鏡像處理。這樣可確保任何傳入到伺服器的網路資料傳輸,都將允許傳回到原始伺服器。

上方的表格表示應該為伺服器開啟的基本連接埠,用來執行角色特定功能。伺服器設定為靜態 IP 位址時,這些連接埠數量已經足夠。若要提供其他功能,就需要開啟其他的連接埠。開啟其他的連接埠可以輕易地管理您環境中的基礎伺服器;但是,也會大大降低這些伺服器的安全性。

由於網域及網域控制器之間的大量互動,特別是 RPC 以及驗證流量,會允許在基礎伺服器以及所有網域控制器間的全部通訊。您也可以更進一步地限制資料傳輸,但是大多數環境會要求建立許多個額外的篩選器,以便運用這些篩選器來有效保護伺服器。這將使得 IPSec 原則的實作與管理變得相當困難。應該為會與基礎伺服器作用的每個網域控制器建立相似的規則。要增加基礎伺服器的可靠性以及可用性,通常還會為環境中所有的網域控制器新增規則。

如前所述,如果環境中實作 Microsoft Operations Manager (MOM),實作 IPSec 篩選器與 MOM 伺服器的伺服器之間就必須允許進行所有的網路資料傳輸。這麼做是必要的,因為 MOM 伺服器和單點用戶端,也就是回報給主控台的用戶端應用程式之間存在大量互動。其他管理套件可能也有類似要求。當需要更高層級的安全性時,OnePoint 用戶端的篩選行動可以設定成協商 IPSec 與 MOM 伺服器。

這項 IPSec 原則可以有效地封鎖透過隨機高安全性連接埠的資料傳輸,這樣一來,就可以禁止遠端程序呼叫 (RPC) 資料傳輸。這樣將使得伺服器管理更添困難。因為這麼多連接埠遭到有效關閉,此時就需要啟用「終端機服務」。如此一來,系統管理員就可以執行遠端系統管理。

以上的網路流量對照,假設環境中包含使用 Active Directory 的 DNS 伺服器。如果有使用獨立DNS 伺服器,就必須套用其他規則。

IPSec 原則實作應該不會對伺服器效能造成明顯的影響。但是這些篩選器在實作之前,應該先執行測試,以便確認伺服器的必要功能和效能有維持正常運作。您也可能需要加入其他規則,以便支援其他的應用程式。

本指南中包含 .cmd 檔,可簡化基礎伺服器命令的 IPSec 篩選器建立方式。PacketFilters-DHCP.cmd 和 PacketFilters-WINS.cmd 檔都使用 NETSH 命令來建立合適的篩選器。這些 .cmd 檔必須修改為包括您環境中網域控制器的 IP 位址。這些指令檔包含二個要新增的網域控制器的預留位置。如果需要,您也可以新增其他網域控制器到這些指令檔中。這份網域控制站的IP 位址清單必須保持最新狀態。預留位置僅包含在 WINS 複寫協力中。適當的 WINS 複寫協力也必須在 PacketFilters-WINS.cmd 檔中加以說明,讓 WINS 複寫能夠發揮作用。

如果環境中有 MOM,指令碼中也必須指定適當 MOM 伺服器的 IP 位址。本指令碼不建立永續性篩選器。所以,必須啟動 IPSec 原則代理程式,伺服器才會受到保護。如需建立持續篩選器、或建立更進階 IPSec 篩選器指令碼的詳細資訊,請參閱<Additional Member Server Hardening Procedures>(英文) 單元。最後,本指令碼設定為不指派自己建立的 IPSec 原則。「IP 安全性原則管理」嵌入式管理單元可以用來檢驗已建立的 IPSec 篩選器,並指派 IPSec 原則讓它生效。

總結

此單元說明在本指南定義的三種環境之下,安全 DHCP 和 WINS 伺服器的加強設定值。這些角色的大多數設定都套用 MSBP。DHCP 和 WINS 伺服器增量 .inf 檔的主要目的,在於讓這些角色需要的服務能夠在保護安全方面發揮完全的功能。

當 MSBP 提供最高的安全性層級時,基礎角色的其他考量會列入考慮。主要來說,這些包含的啟用記錄會選用 IPSec 篩選器來終止至這些電腦的未授權網路流量。

其他資訊

下列資訊來源是 Windows Server 2003 公開發行當時,與環境中的基礎伺服器相關的最新主題。

如需 Windows Server 2003 中變更至 DHCP 記錄的最新資訊,請參閱: http://support.microsoft.com/default.aspx?scid=328891.

如需關於 Active Directory 網域中 DHCP 伺服器的更多資訊,請參閱《How To: Install and Configure a DHCP Server in an Active Directory Domain in Windows Server 2003》(英文)。網址如下: http://support.microsoft.com/default.aspx?scid=323360.

如需關於 DHCP 的更多資訊,請參閱: http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/windows2000serv/reskit/tcpip/part2/tcpch04.asp.

如需關於 WINS 的更多資訊,請參閱: http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/windows2000serv/evaluate/featfunc/nt5wins.asp.

如需在 Windows Server 2003 中安裝 Wins的相關資訊,請參閱《How To: Install WINS in Windows Server 2003》(英文)。網址如下: http://support.microsoft.com/default.aspx?scid=323429

本文對您有任何幫助嗎?
(剩餘 1500 個字元)
感謝您提供意見
顯示:
© 2014 Microsoft