ISA Server 2006 保全指南
Alan Maddison
綜覽:
- 保全伺服器的最佳作法
- 設定安全性設定精靈
- 安全性設定精靈逐步解說
- 指定系統管理角色
目錄
保護伺服器安全
設定安全性設定精靈
執行 SCW
系統管理角色
雖然有很多 IT 專家都倚賴 ISA Server 2006 (Internet Security and Acceleration Server 2006) 來保護他們的技術資產,卻鮮少採取額外的步驟保護 ISA Server 本身的安全。如果您
近來安裝了 ISA Server 2006,可能猶記在安裝完成之後馬上會提示您進行這個動作。可惜,我們許多 IT 專家很少花 (或有) 時間來執行這個重要的步驟,結果變成待辦清單上從未完成的事項。
在當今安全性多變的環境下,保護 ISA Server 的安全是不可少的。所幸,用來保護 ISA Server 安全的工具有大幅的改進。您在安全性強化精靈 (ISA Server 2004 以前的版本提供的) 中不用再面對這麼多挑戰。您反而可以仰賴充分定義的步驟和工具,例如隨 Windows Server® 2003 發行的「安全性設定精靈」(SCW)。
在本文中,我將扼要說明保護伺服器安全性的一般最佳作法。接下來,我將逐步探討 ISA Server 本身的強化策略,使用「安全性設定精靈」來縮小 ISA Server 的受攻擊面,並利用系統管理角色來限制對 ISA Server 的存取。
保護伺服器安全
無論伺服器是位於資料中心,或是您辦公室隔壁的機房,保護伺服器安全牽涉的要素和最佳作法相當多。身為系統管理員,您有責任了解這些最佳作法,並且以對您的環境來說切合實際的方式盡力履行這些需求。隨著近年來越來越強調安全性,我們當中有許多人也對構成這些需求核心的工作變得相當熟悉,所以我在此也不嘮叨,只會做簡短的介紹。
保護您的環境必須採取的第一個步驟,是確保您的伺服器在實體上是安全的。用白話說,就是您必須限制對伺服器的實體存取。在規模較小的環境中,這表示確定鎖好機房的門,而且只讓少數人可以進出機房。在較大型的環境中,這樣的基本需求不變,但執行方法需要更縝密。比方說,許多公司都採用電子監視。這可讓公司審查對伺服器位置的進出,甚至限制只能存取個別的機架或機殼,視工作職責的結構而定。
在處理 ISA Server 或 ISA 設定存放區伺服器遭竊或實體遭到入侵時,有一些特殊的要素需要考量。因為自遭竊的伺服器取得的資訊性質,有可能會侵害環境內所有的 ISA Server 和流量 (包括加密的流量)。
如果您懷疑某伺服器已遭入侵、遭竊,應立即移除受影響的伺服器 (如果仍在站內的話),並遵循保全證據的標準程序。在採取這些必要步驟之後,必須開始進行變更所有機密資訊的程序 — 安裝在伺服器上的所有認證都應撤銷,而所有預先共用的金鑰和共用密碼都該修改。此外,如果您有設定存放區伺服器的複本,也請確定與受侵害的伺服器相關的資料都已移除。
伺服器一旦在實體上受到保護之後,下一步便是確保有一套結構化的方法來修補所有的軟體,包括虛擬層、OS 和應用程式。修補程式、升級和 Hotfix 都應該經過檢閱並定期套用。但別忘了在將這些更新套用到實際執行系統之前先行測試。修補程式如果到最後導致問題而危及應用程式或資料完整性,也無用處。
如果資料完整性受到危害,就得依賴備份。這把話題帶到保護基礎結構安全的另一個關鍵要素。如果您無法在需要的時候迅速且完整地還原資料,停機可能會對您的營運產生顯著的衝擊,因而增加受到入侵的成本。
另外兩個要考慮的要素分別是監視和稽核。監視您的應用程式和系統是任何良好安全性計畫不可或缺的一環。假如您不花時間檢閱記錄檔,尤其是安全性相關的記錄檔,也就無法在傷害造成之前找出入侵的舉動。
同樣地,稽核也是不可少的。對於許多公司來說,特別是大型環境,這通常已經形式化,甚至是法規要求。無論如何,在任何環境中定期檢閱用來保護資產的控制管道和方法學,好讓您的努力發揮效用,這點是很重要的。
最後,由於您是在 Windows Server® 2003 上執行 ISA Server 2006,因此檢閱《Windows Server 2003 安全性指南》並實作必要的建議作法也是勢在必行。您可以在 microsoft.com/technet/security/prodtech/windowsserver2003/w2003hg/sgch00.mspx 找到《Windows Server 2003 安全性指南》(英文)。
Microsoft 目前是建議實作「基準安全性原則」範本,但您不應該實作任何網際網路通訊協定安全性 (IPsec) 篩選器。
設定安全性設定精靈
那麼,您要怎麼使 ISA Server 本身更安全呢?保障 ISA 安全的主要工具是 SCW,這是用來縮小受攻擊面的工具。它會針對伺服器的服務、網路安全性、登錄和稽核原則等建立安全性原則,只對它所需的服務和功能設定系統。要特別注意的是,您應該只設定您打算使用的 ISA Server 服務。舉例來說,Web Proxy 服務預設是啟用的,但如果您不打算使用它,應該停用這項功能。因此,您必須特別注意 SCW 所顯示的設定選項。
Windows Server 2003 中預設並不會安裝 SCW,因此第一個步驟是使用 [新增或移除程式] 控制台中的 [新增/移除 Windows® 元件] 小程式,自行安裝它 (請注意,Windows Server 2008 預設會安裝 SCW)。[Windows 元件] 畫面一載入之後,請向下捲動,並勾選 SCW 的方塊。
安裝一完成,便可在 [系統管理工具] 下找到此應用程式。在開始使用精靈之前,您必須下載 ISA Server 2006 的更新 (可從 go.microsoft.com/fwlink/?LinkId=122532 取得),來更新 SCW。這個更新檔會在 ISA Server 2006 Standard Edition、ISA Server 2006 Enterprise Edition 和 ISA Server Configuration Storage Server 新增角色。
下載更新之後,您必須執行套件,並從中將檔案解壓縮。將這些檔案解壓縮之後,將兩個 .xml 檔案 (isa.xml 和 isaloc.xml) 複製到 SCW kbs 資料夾 — 若為 Windows Server 的預設安裝,這將位於 c:\windows\security\msscw\kbs。
複製檔案時,系統會提示您以相同的名稱覆寫兩個現有的檔案。這兩個檔案是供 ISA Server 2004 之用,因此您應該在覆寫之前把它們備份起來。最後一步是將 isascwhlp.dll 檔案複製到 bin 資料夾,一般可以在 c:\windows\security\msscw\bin 找到。完成將 ISA 角色新增到 SCW 之後,就可以準備開始安裝了。
Microsoft 一般是建議只在完成 ISA Server 的設定之後才執行 SCW。如果您執行的是 Enterprise Edition,這包括設定所有的陣列及所有陣列成員。
執行 SCW
第一步是從 [系統管理工具] 啟動 SCW — 別忘了,您必須具備系統管理權限才能順利完成 SCW 程序。
[圖 1] 顯示精靈的第一個畫面。如果您詳讀這個畫面上的文字,特別是「此精靈會偵測到此伺服器所聆聽的輸入連接埠」的警告,就可以了解在開始這個程序之前先把 ISA Server 和陣列完全設定好的重要性。
[圖 1] 開始「安全性設定精靈」 (按一下以放大影像)
如果您尚未完整設定好您的環境,在完成 ISA 設定之後,很有可能還需要修改 SCW 的設定。如 [圖 2] 所示,下一個畫面會詢問您想要執行的動作。您應該選取 [建立新的安全性原則] 選項。
[圖 2] 建立新的安全性原則 (按一下以放大影像)
您接下來會收到指示選取伺服器作為該原則的基準。由於您是要建立新原則,因此預設選項是使用您正在執行 SCW 的電腦。不過,這個行為會根據您在前一個畫面選擇要執行的動作而改變。無論如何,在您想要用作為基準的伺服器上安裝 SCW,都是建議的最佳作法。如果目標伺服器上未安裝 SCW,將會缺少用來完成原則的資訊。因此,為了省掉麻煩,請從您想要用作為基準的伺服器上安裝和執行 SCW。
按下 [下一步] 時,SCW 即會開始分析您的 ISA Server。這項分析包括判斷伺服器上已安裝的角色、伺服器上可以安裝的角色、已安裝的服務,以及基本網路資訊。處理程序完成後,您就可以選取 [檢視設定資料庫] 來檢視資料庫。設定資料庫內含許多資訊,包括所有支援的伺服器角色、用戶端功能和連接埠等。
接著,SCW 會開始帶您逐步完成「以角色為基礎的服務設定」程序。按下 [下一步] 會帶您到下一個畫面,當中會提示您選取伺服器角色,如 [圖 3] 所示。SCW 執行的初始掃描相當可靠,因此您應該會發現它已經識別出正確的伺服器角色。不過,您務必再次確認,並移除任何不必要的角色。而且如果伺服器具備多重角色,請確定所有適當的角色皆已選取。
[圖 3] 指定伺服器角色 (按一下以放大影像)
如果您執行的是 ISA Server 2006 Enterprise Edition,有個重點要注意,那就是您必須考慮設定存放區伺服器。假如設定存放區伺服器是安裝在同時也是作為 ISA Server 的伺服器上 (順帶一提,這違反了建議的最佳作法,但常被忽略還是照做不誤),您必須確定也選取了設定存放區伺服器角色。您不應該對實際上只有 ISA Server 2006 角色卻裝載兩個伺服器角色的伺服器使用基準線掃描。
接下來,精靈會提示您選擇伺服器的用戶端功能。換句話說,您必須指定伺服器所需的服務。譬如,幾乎所有伺服器都需要 DNS 用戶端,而如果伺服器是網域的成員,那麼它就需要網域成員功能。
完成這個動作之後,精靈會顯示 [系統管理和其他選項] 畫面。這是您指明使用服務或仰賴網路連線的應用程式、系統管理和作業系統選項的地方。在這裡任何未選取的服務都會被停用。但在您進行選擇並按下 [下一步] 之後,精靈會提供選項讓您選擇您要允許的任何其他服務。
您接下來是設定要如何處置未指定的服務。這可讓您定義在套用原則時,如果服務未包含在主資料庫中或安裝在基準伺服器時,該怎麼做。一般的最佳作法是,選擇停用未指定的服務,因為這樣可以限制任何無法預測的攻擊標的。不幸的是,若是您的伺服器彼此明顯不同,那麼這個選項可能會有負面的效果,如果您在未來新增任何應用程式或網路服務,也必須記得這個設定。
如 [圖 4] 所示,精靈的下一區段可讓您檢閱被 SCW 修改的服務。這個確認畫面會提供服務的目前狀態與套用原則之後的修改狀態兩者的比較檢視。
[圖 4] 檢閱和確認服務變更 (按一下以放大影像)
在確認服務要進行變更之後,您接下來繼續前進到 [網路安全性] 區段。在這裡,SCW 通常會讓您修改 Windows 防火牆和 IPsec 設定。但由於您是設定 ISA Server 2006,因此只能跳過這個區段,如 [圖 5] 所示。
[圖 5] 跳過 [網路安全性] 設定 (按一下以放大影像)
精靈接著會繼續前進到設定登錄設定,此處的重點在於網路驗證方法和安全性。這個區段中的第一個畫面包括伺服器訊息區 (SMB) 簽署。SMB 通訊協定是核心的 Microsoft 網路通訊協定,而且這些設定可容許簽署過的通訊,以便降低攔截式攻擊的可能性。
如 [圖 6] 所示,預設值為您的 ISA Server SMB 通訊提供了相當理想的安全性等級。但是您必須將簽署所有通訊所引起的衝擊列入考量。如果您沒有多餘的 CPU 週期,應該清除第二個選項。而且別忘了考量要套用這個原則的所有伺服器 — 如果您的伺服器擁有不同的工作負載,您必須以 CPU 使用率最高的伺服器作為是否要選取這個選項的指標。
[圖 6] 指定是否要要求簽署過的通訊 (按一下以放大影像)
下一組畫面是處理 ISA Server 應該採用的 LMCompatibility 層級。其中第一個畫面會顯示三個選項。除非您擁有舊版 Windows 用戶端 (例如 Windows 95 或 Windows 98),或是您使用本機帳戶來進行存取控制,否則您應該保留 [網域帳戶] 的預設選項。
在第二個處理 LMCompatibility 層級的畫面上,提供關於網域控制站的資訊。如果您沒有任何 Windows NT® 4.0 網域,可讓預設選項 (Windows NT 4.0 Service Pack 6a 或之後版本的 OS) 保留選取狀態。在這個對話方塊上,您還應該選取 [跟所選取伺服器的時鐘同步的時鐘] 選項。選取 [下一步] 將帶出一些用於輸入 LAN Manager (LM) 通訊的額外設定選項,如 [圖 7] 所示。
[圖 7] 指出輸入驗證方法 (按一下以放大影像)
第三個與 LMCompatibility 層級相關的畫面會判斷是否需要 Windows NT LAN Manager (NTLM) 第 2 版,而且是否要儲存 LM 雜湊。若是您的環境支援這個設定的話,您應當確保這些選項都沒有選取,因為清除這兩個選項將可大幅提高安全性。您接著會看到 [登錄設定摘要]。檢閱每個項目,並確認原則設定是正確的。
接下來,精靈會帶您進入最後一個區段 — 稽核。您在這個區段所進行的任何設定有個重點要特別注意,那就是您無法將它們復原。但是既然稽核不會影響系統功能,您更不應該跳過這個區段。
[稽核成功的活動] 的預設選項並不會提供您登入失敗的事件記錄項目。然而,與登入失敗相關的資訊卻可提供關於入侵嘗試的重要資訊。因此,一般的最佳作法是選取 [稽核成功的和不成功的活動]。
您接著可以檢閱稽核設定,再按兩次 [下一步] 以儲存安全性原則。如 [圖 8] 所示,在這個畫面只需要輸入檔名,不過您也可以提供簡短的描述。此描述在由不同系統管理員分擔安全性責任的大型環境中蠻管用的。
[圖 8] 為您的安全性原則提供名稱和描述 (按一下以放大影像)
檔案一經儲存後,精靈就會提供您立即套用或稍後套用原則的選項。如果您選擇稍後套用原則,那麼整個程序就告完成。要是您發現您在原則設定中犯了任何錯誤,可以復原原則,但稽核設定除外。
系統管理角色
縮小 ISA Server 的受攻擊面是降低外部來源入侵可能性的重要步驟。不過,檢閱 ISA Server 內部的系統管理角色的指派,來限制可能來自內部來源的入侵也很重要。[圖 9] 和 [圖 10] 中顯示了系統管理角色和部分常見相關工作的清單。
[圖 9] 與 Standard Edition 相關的角色和工作
| 工作 | 監視稽核員 | 稽核員 | 系統完整權限管理員 |
|---|---|---|---|
| 檢視儀表板警示、連線、工作階段和服務 | 允許 | 允許 | 允許 |
| 認可警示 | 允許 | 允許 | 允許 |
| 檢視記錄資訊 | – | 允許 | 允許 |
| 建立警示定義 | – | – | 允許 |
| 建立報告 | – | 允許 | 允許 |
| 停止和啟動工作階段及服務 | – | 允許 | 允許 |
| 檢視防火牆原則 | – | 允許 | 允許 |
| 設定防火牆原則 | – | – | 允許 |
| 設定快取 | – | – | 允許 |
| 設定虛擬私人網路 (VPN) | – | – | 允許 |
[圖 10] 與 Enterprise Edition 相關的角色和工作
| 活動 | 陣列監視稽核員 | 陣列稽核員 | 陣列系統管理員 |
|---|---|---|---|
| 檢視儀表板警示、連線和工作階段 | 允許 | 允許 | 允許 |
| 認可和重設警示 | 允許 | 允許 | 允許 |
| 檢視記錄資訊 | – | 允許 | 允許 |
| 建立警示定義 | – | - | 允許 |
| 建立報告 | – | 允許 | 允許 |
| 停止和啟動工作階段及服務 | – | 允許 | 允許 |
| 檢視防火牆原則 | – | 允許 | 允許 |
| 設定防火牆原則 | – | – | 允許 |
| 設定快取 | – | – | 允許 |
| 設定虛擬私人網路 (VPN) | – | – | 允許 |
| 執行 NLB 清空/停止 | – | 允許 | 允許 |
| 檢視本機資訊 (在陣列成員的登錄中) | – | 允許 | 允許 |
| 變更本機資訊 (在陣列成員的登錄中) | – | – | – |
如您所見,與 ISA Server 相關的系統管理工作非常分散。因此,這樣應該方便您將正確的角色指定給公司內的使用者。
除此之外,您還必須牢記角色指派的最佳方法是採納最低權限的概念。任何指定的使用者都應該只具備容他完成工作所需的最低權限。
有一點也很重要,那就是別忘了 ISA Server 2006 Standard Edition 上的本機 Administrators 群組成員具備的權限與 ISA Server 系統完整權限管理員一樣。至於 Enterprise Edition,在具有設定存放區伺服器角色的伺服器上的本機 Administrators 群組成員,則擁有 Enterprise 設定的完整控制權。這表示您必須審慎檢閱 Domain Admins 群組的成員資格 (假設您的 ISA Server 是網域成員),以及任何其他也屬於 ISA Server 本幾 Administrators 群組一員的群組。
Alan Maddison 在 Brocade 的 Strategic Business Systems 部門擔任資深顧問一職,專攻 Microsoft 技術。