強化 Windows Server 2003 基礎結構伺服器
本文內容
Overview
發佈日期: 2003 年 12 月 31 日 | 更新日期: 2006 年 4 月 26
本頁內容
本單元內容 目標 適用於 如何使用本單元 概觀 稽核原則設定 使用者權限指派 安全性選項 事件記錄設定 系統服務 其他安全性設定 總結
本單元內容
本單元說明安全性範本的設定方式,專門針對 Microsoft® Windows Server™™ 2003 作業系統的基礎結構伺服器。就單元的用途來說,基礎結構伺服器可以提供動態主機配置通訊協定 (DHCP) 服務,或是 Windows 網際網路名稱服務 (WINS) 的功能。本單元假設成員伺服器基準線已經套用至伺服器中。本單元還考量到安全性範本所定義以外,其他仍需要套用的安全性設定。為了建立完全強化的檔案伺服器,這些額外設定是必要的。
回到頁首
目標
透過此單元即可:
回到頁首
適用於
本單元適用於下列產品及技術:
回到頁首
如何使用本單元
利用此單元了解您應該套用至 Windows Server 2003 基礎伺服器的安全性設定。單元中會結合使用角色特定安全性範本與基準線安全性範本。這些安全性範本是出自《Windows Server 2003 Security Guide》(英文),您可以在下列位置取得:https://go.microsoft.com/fwlink/?LinkId=14846 。
若要充分瞭解此單元:
回到頁首
概觀
此單元說明在本指南定義的三種環境之下,安全基礎伺服器伺服器的加強設定值。針對本指南的用意,基礎伺服器是指提供動態主機控制通訊協定 (DHCP) 服務,或 Windows 網際網路名稱服務 (WINS) 的功能。
大部份提及的設定都是使用群組原則進行設定與套用。群組原則物件 (GPO) 是設計用來讓成員伺服器基準線原則 (MSBP) 能夠連結到包含基礎結構伺服器的適當組織單位 (OU) 中,提供以伺服器為基本的其他安全性。
這裡提及的設定中,有少數無法使用群組原則來進行套用。案例中會提供手動配置這些設定值的詳細資料。建立並套用控制網路流量的網際網路安全性 (IPSec) 篩選器的詳細資料,可以與本單元提供的二種基礎結構伺服器通訊。
為了增進本單元的可用度,只有已經由 MSBP 修改的設定值才會包含在單元中。如需 MSBP 設定的詳細資訊,請參閱<建立 Windows Server 2003 成員伺服器的基準線> 單元。如需所有預設設定的詳細資訊,請參閱同系列指南的《Threats and Countermeasures:Security Settings in Windows Server 2003 and Windows XP》(英文)。
回到頁首
稽核原則設定
本指南中包含的三種環境的基礎伺服器稽核原則設定都是透過 MSBP 加以配置的。如果要取得更多有關 MSBP 的資訊,請參閱單元<建立 Windows Server 2003 成員伺服器的基準線> 。MSBP 設定會確保所有相關的安全性稽核資訊都已登入所有的基礎伺服器。
回到頁首
使用者權限指派
本指南中包含的三種環境的基礎伺服器使用者權限指派都是透過 MSBP 加以配置的。如果要取得更多有關 MSBP 的資訊,請參閱此單元<建立 Windows Server 2003 成員伺服器的基準線> 。MSBP 設定會確保所有合適的使用者權限指派均由基礎伺服器加以配置。
回到頁首
安全性選項
本指南中包含的三種環境的基礎伺服器安全性選項設定都是透過 MSBP 加以配置的。如果您需要 MSBP 的詳細資訊,請參閱單元<建立 Windows Server 2003 成員伺服器的基準線> 。MSBP 設定會確保所有相關的安全性選項均由基礎伺服器加以配置。
回到頁首
事件記錄設定
本指南中包含的三種環境的基礎伺服器事件日誌設定都是透過 MSBP 加以配置的。如果要取得更多有關 MSBP 的資訊,請參閱此單元<建立 Windows Server 2003 成員伺服器的基準線> 。
回到頁首
系統服務
本系統服務設定一節提供命令系統的詳細資料,此系統在您執行環境中的基礎伺服器上可能已啟用或停用。這些服務設定在基礎伺服器增量原則中有詳細說明。為了縮小拒絕服務攻擊 (DoS) 的可能性,GPO 會確定這些服務會配置為自動啟動。如果需要本節中命令設定的摘要,請參考隨附在《Windows Server 2003 Security Guide 》的(英文) <Windows Server 2003 Security Guide Settings>(英文) Excel 活頁簿,您可以在下列網站中取得 https://go.microsoft.com/fwlink/?LinkId=14846 .
DHCP 伺服器
表 1:設定
DHCP 服務會將網際網路通訊協定 (IP) 位址以及網路設定的進階配置,例如 DNS 伺服器和 WINS 伺服器自動分配至 DHCP 用戶端並加以啟用。DHCP 使用用戶端/伺服器模型。網路管理員會建立一或多個 DHCP 伺服器,用來維護傳輸控制通訊協定 /網際網路通訊協定 (TCP/IP) 設定資訊,並將相關資訊提供給用戶端。
DHCP 伺服器服務必須在 DHCP 伺服器分派 IP 位址配置給其用戶端的時候執行。使用群組原則來確保安全,並將服務的啟動模式設定為僅授權存取至伺服器管理員,這樣可以預防服務被未授權及惡意的使用者設定或操作。群組原則也可避免系統管理員不慎停用服務的情況。
#### WINS
**表 2:設定**
WINS 會啟用網路基本輸入/輸出系統 (NetBIOS) 名稱解析。WINS 伺服器的存在對於尋找使用 NetBIOS 名稱識別的網路資源十分重要。除非全部網域都已經更新為 Microsoft Active Directory® 目錄伺服器、網路上的所有電腦都在執行 Microsoft® Windows® 2000 作業系統或更新版本,而且沒有應用程式依賴 WINS 解析以執行適當的運作,否則就需要 WINS 伺服器。
WINS Server 必須提供 WINS Server 服務,以提供名稱解析給用戶端。使用群組原則來確保安全,並將服務的啟動模式設定為僅授權存取至伺服器管理員,這樣可以預防服務被未授權及惡意的使用者設定或操作。群組原則也可避免系統管理員不慎停用服務的情況。
[](#mainsection)[回到頁首](#mainsection)
### 其他安全性設定
自 MSBP 套用的安全性設定,會大幅加強基礎結構伺服器的安全性。還要另外考量其他事項。這些步驟不能經由群組原則完成,應該在所有基礎伺服器上手動加以執行。
#### 配置 DHCP 記錄
DHCP 伺服器僅記錄在事件檢視器中預設的啟動以及關閉事件。經由以下的步驟,可讓 DHCP 伺服器啟用更詳細地記錄檔:
1. 以滑鼠右鍵按一下 DHCP 管理工具中的 DHCP 伺服器。
2. 選取 \[內容\]。
3. 在 \[內容\]對話方塊的 \[一般\] 標籤上,按一下 \[啟用 DHCP 稽核記錄\]。
完成了這些步驟之後, DHCP 伺服器會在以下位置建立一個記錄檔:
%systemroot%\\system32\\dhcp\\
DHCP 用戶端通常難以尋找記錄項目,因為唯一儲存在大多數事件記錄的資訊為電腦名稱,並非 IP 位址。DHCP 稽核記錄可提供多項工具來尋找內部攻擊或粗心的來源。
但是,在這些記錄中的資訊也並非全都可靠,因為主機名稱以及媒體存取控制 (MAC) 位址可能是不正確的。這種情況可顯示來自使用者的傳輸,而非來自執行動作的使用者。不過,藉由遠超出成本的方式收集此資訊的利益,會因為啟用 DHCP 伺服器中的記錄而增加開支。因此,擁有不只一個 IP 位址和機器名稱能夠在決定特定 IP 位址如何在網路上使用的方面有很大的幫助。
預設的伺服器操作者以及已驗證的使用者已經閱讀了這些記錄檔的權限。為了保存 DHCP 伺服器所記錄的完整資訊,建議您將存取至這些記錄的權限設定最低為伺服器管理員。伺服器操作者以及已驗證的使用者群組應該從 %systemroot%\\system32\\dhcp\\ 資料夾的存取控制清單 (ACL) 中移除。
DHCP 稽核記錄可能會將儲存資料的磁碟空間填滿。不過,DHCP 稽核記錄設定的預設配置會確保此記錄動作在伺服器的可用空間少於 20 MB 的時候停止。此預設設定對於大多數環境中的伺服器是足夠的,但是您也可以修改此設定,確保伺服器中的其他應用程式有足夠的可用磁碟空間。如需如何修改此設定的資訊,請參考 *《Windows 2000 Server Resource Kit》(英文)* 中的<DhcpLogMinSpaceOnDisk>(英文) 主題,網址如下:
OnePoint 用戶端
任何
任何
任何
我
MOM 伺服器
允許
是
終端機服務
TCP
任何
3389
任何
我
允許
是
網域成員
任何
任何
任何
我
網域控制站
允許
是
網域成員
任何
任何
任何
我
網域控制器 2
允許
是
DHCP 伺服器
UDP
68
67
任何
我
允許
是
所有輸入的流量
任何
任何
任何
任何
我
封鎖
是
下面的表格列出了能夠在本指南所定義的高安全性環境中建立的 WINS 伺服器之所有 IPSec 篩選器。
**表 4:WINS 伺服器 IPSec 網路流量對應**
單點用戶端
任何
任何
任何
我
MOM 伺服器
允許
是
終端機服務
TCP
任何
3389
任何
我
允許
是
網域成員
任何
任何
任何
我
網域控制站
允許
是
網域成員
任何
任何
任何
我
網域控制器 2
允許
是
WINS 解析伺服器
TCP
任何
1512
任何
我
允許
是
UDP
任何
1512
任何
我
允許
是
WINS 複寫用戶端
TCP
任何
42
我
WINS 複寫協力
允許
是
UDP
任何
42
我
WINS 複寫協力
允許
是
WINS 複寫伺服器
TCP
任何
42
WINS 複寫協力
我
允許
是
UDP
任何
42
WINS 複寫協力
我
允許
是
所有輸入的流量
任何
任何
任何
任何
我
封鎖
是
上面表格中所列出的所有規則在實作時應該進行鏡像處理。這樣可確保任何傳入到伺服器的網路資料傳輸,都將允許傳回到原始伺服器。
上方的表格表示應該為伺服器開啟的基本連接埠,用來執行角色特定功能。伺服器設定為靜態 IP 位址時,這些連接埠數量已經足夠。若要提供其他功能,就需要開啟其他的連接埠。開啟其他的連接埠可以輕易地管理您環境中的基礎伺服器;但是,也會大大降低這些伺服器的安全性。
由於網域及網域控制器之間的大量互動,特別是 RPC 以及驗證流量,會允許在基礎伺服器以及所有網域控制器間的全部通訊。您也可以更進一步地限制資料傳輸,但是大多數環境會要求建立許多個額外的篩選器,以便運用這些篩選器來有效保護伺服器。這將使得 IPSec 原則的實作與管理變得相當困難。應該為會與基礎伺服器作用的每個網域控制器建立相似的規則。要增加基礎伺服器的可靠性以及可用性,通常還會為環境中所有的網域控制器新增規則。
如前所述,如果環境中實作 Microsoft Operations Manager (MOM),實作 IPSec 篩選器與 MOM 伺服器的伺服器之間就必須允許進行所有的網路資料傳輸。這麼做是必要的,因為 MOM 伺服器和單點用戶端,也就是回報給主控台的用戶端應用程式之間存在大量互動。其他管理套件可能也有類似要求。當需要更高層級的安全性時,OnePoint 用戶端的篩選行動可以設定成協商 IPSec 與 MOM 伺服器。
這項 IPSec 原則可以有效地封鎖透過隨機高安全性連接埠的資料傳輸,這樣一來,就可以禁止遠端程序呼叫 (RPC) 資料傳輸。這樣將使得伺服器管理更添困難。因為這麼多連接埠遭到有效關閉,此時就需要啟用「終端機服務」。如此一來,系統管理員就可以執行遠端系統管理。
以上的網路流量對照,假設環境中包含使用 Active Directory 的 DNS 伺服器。如果有使用獨立DNS 伺服器,就必須套用其他規則。
IPSec 原則實作應該不會對伺服器效能造成明顯的影響。但是這些篩選器在實作之前,應該先執行測試,以便確認伺服器的必要功能和效能有維持正常運作。您也可能需要加入其他規則,以便支援其他的應用程式。
本指南中包含 .cmd 檔,可簡化基礎伺服器命令的 IPSec 篩選器建立方式。PacketFilters-DHCP.cmd 和 PacketFilters-WINS.cmd 檔都使用 NETSH 命令來建立合適的篩選器。這些 .cmd 檔必須修改為包括您環境中網域控制器的 IP 位址。這些指令檔包含二個要新增的網域控制器的預留位置。如果需要,您也可以新增其他網域控制器到這些指令檔中。這份網域控制站的IP 位址清單必須保持最新狀態。預留位置僅包含在 WINS 複寫協力中。適當的 WINS 複寫協力也必須在 PacketFilters-WINS.cmd 檔中加以說明,讓 WINS 複寫能夠發揮作用。
如果環境中有 MOM,指令碼中也必須指定適當 MOM 伺服器的 IP 位址。本指令碼不建立永續性篩選器。所以,必須啟動 IPSec 原則代理程式,伺服器才會受到保護。如需建立持續篩選器、或建立更進階 IPSec 篩選器指令碼的詳細資訊,請參閱[<Additional Member Server Hardening Procedures>](https://www.microsoft.com/taiwan/technet/security/guidance/secmod58.mspx)(英文) 單元。最後,本指令碼設定為不指派自己建立的 IPSec 原則。「IP 安全性原則管理」嵌入式管理單元可以用來檢驗已建立的 IPSec 篩選器,並指派 IPSec 原則讓它生效。
[](#mainsection)[回到頁首](#mainsection)
### 總結
此單元說明在本指南定義的三種環境之下,安全 DHCP 和 WINS 伺服器的加強設定值。這些角色的大多數設定都套用 MSBP。DHCP 和 WINS 伺服器增量 .inf 檔的主要目的,在於讓這些角色需要的服務能夠在保護安全方面發揮完全的功能。
當 MSBP 提供最高的安全性層級時,基礎角色的其他考量會列入考慮。主要來說,這些包含的啟用記錄會選用 IPSec 篩選器來終止至這些電腦的未授權網路流量。
#### 其他資訊
下列資訊來源是 Windows Server 2003 公開發行當時,與環境中的基礎伺服器相關的最新主題。
如需 Windows Server 2003 中變更至 DHCP 記錄的最新資訊,請參閱: