Windows 2003 安全性簡介
Overview
發佈日期: 2003 年 12 月 31 日 | 更新日期: 2006 年 4 月 26 日
本頁內容
本單元內容
目標
適用於
如何使用本單元
概觀
執行摘要
誰應該閱讀本指南
獲得安全、保持安全
本指南的範圍
內容概觀
技能與準備
需求
樣式慣例
總結
本單元內容
此單元介紹有關《Windows 2003 安全性簡介》的資料*。*
目標
透過此單元即可:
瞭解《Windows 2003 安全性簡介》所涵蓋的概念。
定義《Windows 2003 安全性簡介》的目標。
說明《Windows 2003 安全性簡介》的內容。
適用於
本單元適用於下列產品及技術:
Microsoft® Windows Server™ 2003 作業系統
Microsoft Active Directory® 目錄服務
伺服器強化
如何使用本單元
本單元說明《Windows 2003 安全性簡介》的範圍與內容,讓您可以瞭解《Windows 2003 安全性簡介》的內容,並列出您有興趣之相關資訊;此外,使用本單元也可以瞭解本指南的範圍及方法論。本單元列出使用此工具的需求清單,以及《Windows 2003 安全性簡介》所使用的範本。
概觀
歡迎使用《Windows 2003 安全性簡介》。本指南為您提供最佳資訊,幫助您評估並應付您環境中 Windows Server 2003 特定的安全性風險。此單元提供詳細指南以加強 Windows Server 2003 安全性的組態設定及功能,處理您的系統環境可能受到的威脅。如果您是與 Windows 2003 環境相關的顧問、設計師或系統工程師,本指南正是專為您設計。
本指南已經過 Microsoft 工程小組、顧問、技術支援工程師的評閱和核准,並透過客戶和合作夥伴的協助,達到下列功能:
經過考驗 — 現場實地經驗
值得信賴 — 提供最佳實用建議
正確可靠 — 已通過技術上的有效確認及測試
的確可行 — 提供成功達成的步驟
切合實際 — 處理實際狀況的安全性考量
和一群在不同環境中執行過 Windows Server 2003、Microsoft Windows® XP、與 Windows® 2000 作業系統的顧問、系統工程師共同工作,有助於建立最新的最佳實務,以維護伺服器及用戶端的安全。本指南提供詳細的相關資訊,
同系列的指南《威脅與因應對策:Security Settings in Windows Server 2003 and Windows XP》針對 Windows Server 2003 與 Windows XP 所有主要的安全性設定提出全面的總覽。本指南涵蓋安全性的逐步指示、程序和建議,提供工作清單,幫助您將組織內執行 Windows Server 2003 電腦的安全性轉換為更高等級的狀態。如果您需要更深入討論有關本文所蘊涵的概念,請參考下列資源提供的資訊,如:Microsoft Windows 2003 Server Resource Kit、Microsoft Windows XP Resource Kit、Microsoft Windows 2000 Security Resource Kit 及 Microsoft TechNet 網站。
執行摘要
無論您的環境為何,都強烈建議您不可輕忽安全性議題。許多組織之所以沒有真正了解資訊技術 (IT) 環境的重要性,主要是因為未考慮到實際的間接成本。一旦您環境中的伺服器遭到嚴重攻擊,整個組織都可能受害。倘若您公司網站遭到攻擊,造成網站癱瘓,導致收益或客戶信心明顯流失,就有可能會造成企業利益的崩垮。因此在評估安全性成本時,應該將與任何攻擊相關的間接成本,以及失去 IT 功能的成本一併納入考慮。
而與安全性有關的弱點、風險和曝光度分析,能夠告訴您網路環境中所有電腦系統在安全性和可用性之間所必須作的取捨。本指南記載了 Windows Server 2003 與 Windows XP 具備的重要安全性因應對策、所處理的漏洞,以及實作每一因應對策潛在的負面後果 (如果有的話)。
本指南針對三種常見的企業環境,提出強化其系統的特定建議:第一種是必須支援較早期的作業系統,如 Windows 98;第二種是只具備 Windows 2000 (含) 之後的作業系統版本;第三種則是考慮安全性的高度重要,故採用較高等級的安全性,以避免功能與管理能力可能發生嚴重損失。這三種環境分別為本指南全篇所提及的:傳統用戶端、企業用戶端、及高度安全性。本指南已盡最大努力有條理地組織所有資訊,並使其更容易存取,因此您就可以很快地發現並決定究竟何種設定值最適合您組織中的電腦。雖然本指南的主要目標群是針對企業客戶,但大部份內容仍適用於任何規模的組織。
為了充分利用此資料,建議閱讀整本指南。您也可以參考同系列的指南《威脅與因應對策:Windows Server 2003 和 Windows XP 中的安全性設定》,可在此處下載:https://go.microsoft.com/fwlink/?LinkId=15159。製作本指南的團隊小組希望您會覺得當中的資料有所幫助、富教育性外,還很有趣。
誰應該閱讀本指南
本指南主要是針對在企業環境中,負責替 Windows Server 2003 規劃應用程式或基礎結構開發和部署工作的顧問、安全性專家、系統架構設計師與 IT 專業人員。這些人員的工作說明書包括下列共通的項目在內:
在組織中負責推動工作站架構工作的系統架構設計師和規劃師。
專門在組織內部提供跨平台安全性的 IT 安全性專家。
根據用戶的重要企業目標與需求作決策的企業分析師與企業決策者 (BDM)。
擔任 Microsoft Services 與合作伙伴的顧問,需要將詳細的相關資源與實用的資訊提供給企業客戶與合作伙伴。
獲得安全、保持安全
Microsoft 在 2001 年 10 月推出了一個名為「策略性技術保護計畫 (STPP,Strategic Technology Protection Program)」的行動。此計畫的目標在於整合首重安全性的 Microsoft 產品、服務和支援。Microsoft 將維護安全環境的程序分成兩個相關的階段:獲得安全,以及保持安全。
獲得安全
第一個階段稱為「獲得安全」,為了協助您的組織獲得適當的安全性等級,本指南提供建議並協助您建立目前與未來電腦系統的安全性。
保持安全
第二個階段稱為「保持安全」。建立一個最初就具備安全能力的環境是一回事;然而,一旦環境開始執行運作,要一直不斷地維護環境的安全性、針對威脅採取預防行動,並在威脅發生時作出有效的回應,完全又是另外一回事。
本指南的範圍
本指南的重點在於:如何為組織中執行 Windows Server 2003 的電腦建立並維護安全的環境。此資料說明如何以不同階段,逐步建立本指南前面所定義之三種環境的安全性,並且根據客戶端相依性分別制訂伺服器設定的內容。這三種所考慮的環境為:傳統用戶端、企業用戶以及高度安全性。
傳統用戶端的設定,目的是要在 Active Directory 網域中,和執行 Windows Server 2003 的成員伺服器、網域主控台,以及執行 Windows 98、Microsoft Windows NT® 4.0 (含) 以上版本的用戶端共同運作。
企業用戶的設定,目的是要在 Active Directory 網域中,和執行 Windows Server 2003 的成員伺服器、網域主控台,以及執行 Windows 2000、Windows XP 之後版本的用戶端共同運作。
高度安全性的設定,一樣也是要在 Active Directory 網域中,和執行 Windows Server 2003 的成員伺服器、網域主控台,以及執行 Windows 2000、Windows XP 之後版本的用戶端共同運作。但是高度安全性的設定要求較為嚴格,很多應用程式可能就無法正常運作。因此,伺服器將可能會遇到某些影響效能的問題,伺服器的管理也將更具挑戰性。
強化指南提供給一群特定伺服器角色所使用。強化指南闡釋的因應對策以及所提供的工具,均假設每個伺服器都有一個單獨的角色,如果您必須在您的環境中合併數個伺服器的角色,那麼您就可以自訂本指南所提及的安全性範本;所以,適當地合併服務及安全性選項,是為了幫具多重角色的伺服器設定組態。本指南所涵蓋的角色包括:
網域控制站
基礎結構伺服器
檔案伺服器
列印伺服器
網際網路資訊服務 (IIS,Internet Information Services) 伺服器
網際網路驗證服務 (IAS,Internet Authentication Services) 伺服器
憑證服務伺服器
堡壘主機
本指南所建議的設定均已經過前述實驗環境的完整測試,亦即:傳統用戶端、企業用戶端,以及高安全性等環境。在實驗環境中均已證明這些設定可以正常運作;但重要的是:您的組織必須在能夠精確代表您自己的生產環境的實驗室中,實際測試這些設定。您可能必須將本指南上面所記載的安全性範例以及操作程序作一些修改,企業的應用程式才能照原先預期的方式繼續運作。同系列指南《威脅與因應對策:Windows Server 2003 和 Windows XP 中的安全性設定》提供了詳細資訊,告訴您如何評估每一項特定的因應對策,以及究竟要如何決定哪一項才是最適合您組織獨特的環境與企業需求。下列網站可提供下載此資料:https://go.microsoft.com/fwlink/?LinkId=15159。
內容概觀
《Windows 2003 安全性簡介》包括 12 個單元,每個單元均建構於兩個端點之間的解決程序,此程序必須在您的環境中執行並建立 Windows Server 2003 的安全性。前面幾個單元說明如何建立基礎以強化組織的伺服器,其他的單元則記載各個伺服器角色的獨特程序。
Windows 2003 安全性簡介
此單元介紹有關《Windows 2003 安全性簡介》的資料,並針對每個單元作簡要的概述。
在 Windows Server 2003 環境中設定網域基礎結構
本單元說明如何建構網域環境,作為建立 Windows Server 2003 安全性的基礎結構本單元首重網域層級的安全性設定與因應對策,包括有關 Microsoft Active Directory服務設計、組織單位 (OU) 設計以及網域原則等較高層級的說明。
接下來再就本單元所提到的:傳統用戶端、企業用戶及高度安全性這三種環境,分別說明如何建立網域環境的安全性。這裡提出進化的觀點,您的組織可以在適合不同環境需求的網域基礎結構中,愈來愈趨向較為安全的環境。
建立 Windows Server 2003 成員伺服器的基準線
本單元針對本指南所定義之三種環境所具有的伺服器角色,說明安全性範本的設定及其他因應對策。本單元的主要重點在於:針對本指南稍後所討論之強化伺服器角色的建議,建立成員伺服器基本原則 (MSBP)。
選用本單元提出的建議,讓您的企業安全地在 Windows Server 2003 系統中部署組態設定,而且這些建議的組態設定可以同時適用於目前及新建立的系統。Windows Server 20003 預設的安全性組態,均已經過研究及測試。選擇本單元所指定的建議,會比作業系統預設的設定值具有更高的安全性。在某些支援舊版用戶的狀況下,建議您使用比Windows Server 2003預設安裝限制更少的組態設定。
強化 Windows Server 2003 網域控制站
在執行 Windows Server 2003的電腦中建立 Active Directory安全性時,網域控制站伺服器是其中最重要的角色之一。網域控制站的任何損失或折衷處理,都已證明會對用戶端、伺服器及應用程式造成極大的破壞力,因為它們完全倚賴網域控制站進行驗證、制訂群組原則及LDAP (Lightweight Directory Access Protocol) 目錄。
本單元概述必須將網域控制站永遠存放在安全的環境裡,只有合格的管理人員才能進行存取的必要性;以及將網域控制站存放在不安全地點 (例如:分公司) 的危險性;本單元有很大部分在闡釋本指南建議的網域控制站群組原則背後所蘊涵的安全性考量。
強化 Windows Server 2003 基礎結構伺服器
此單元中,將基礎結構伺服器的角色定義為 DHCP(Dynamic Host Control Protocol,動態主機設定通訊協定) 伺服器或 WINS (Windows Internet Name Service)伺服器。這裡提供了詳細的資訊,因為您系統環境中的基礎結構伺服器,可以從成員伺服器基本原則 (MSBP,Member Server Baseline Policy) 並未套用的安全性設定中獲益。
強化 Windows Server 2003 檔案伺服器
本單元的重點在於:檔案伺服器的角色,以及為它指定強化伺服器的相關困難點。此伺服器最重要的服務必須使用 Windows 網路基本輸入輸出系統 (NetBIOS,Network Basic Input/Output System) 的相關通訊協定。伺服器訊息區 (SMB,Server Message Block) 及共用網路檔案系統 (CIFS,Common Internet File System) 通訊協定,也提供豐富資訊給未驗證的使用者,以及在高度安全性的Windows環境中尚未被拒絕的使用者。此單元也詳細說明檔案伺服器可以從 MSBP 未應用的安全性設定中所獲得的好處。
強化 Windows Server 2003 列印伺服器
列印伺服器是本單元的重點。而且此伺服器最重要的服務必須使用與 Windows NetBIOS 相關的通訊協定。SMB 及CIFS 通訊協定,也提供有關列印伺服器的豐富資訊給未驗證的使用者,但這些使用者在高度安全性的 Windows 環境中卻通常被建議拒絕。此單元也詳細說明列印伺服器的安全性設定可以透過 MSBP 未應用的方式更為強化。
強化 Windows Server 2003 IIS 伺服器
本單元概述網站及應用程式的全面安全性是如何地仰賴整個 IIS 伺服器 (包括每一個在 IIS 伺服器中執行的網站及應用程式),才能從系統環境的用戶端電腦獲得保護。網站及應用程式也必須透過在同一個 IIS 伺服器中執行的其他網站及應用程式,才能獲得保護。本單元詳細說明了如何在您的環境中,於不同 IIS 伺服器之間達成此項功能的實務。
於 Windows Server System 家族成員中,IIS 並非預設安裝的項目,IIS 第一次安裝時,是採用一種高度安全的「鎖定模式」來進行安裝,例如:IIS 被預設成只能提供靜態內容的服務。像 ASP (Active Server Pages)、ASP.NET、Server – Side Includes、WebDAV publishing 及 Microsoft FrontPage® Server Extensions 等功能,必須經由管理員開啟 IIS Manager(Internet Information Services Manger) 的 Web Service Extensions 結點,才能啟動。
本單元的章節提供有關各種不同的安全性強化設定的詳細資訊,可以用來加強您的環境中IIS 伺服器的安全性。為了要確保伺服器能夠保持安全,必須特別強調安全性監視、偵測及回應的重要性。
強化 Windows Server 2003 IAS 伺服器
IAS (Internet Authentication Server) 提供 RADIUS 服務,這是一種標準的驗證通訊協定,設計的目的在於確認用戶端遠距存取網路時的識別碼。此單元詳細說明 ISA 伺服器可以從 MSBP 未應用的安全性設定中所獲得的好處。
強化 Windows Server 2003 憑證服務伺服器
憑證服務提供您在伺服器環境中建立公開金鑰 基礎結構 (PKI,Public Key Infrastructure) 所需要的加密及憑證管理服務。此單元詳細說明憑證服務伺服器可以從 MSBP 未應用的安全性設定中所獲得的好處。
強化 Windows Server 2003 堡壘主機
堡壘主機可以透過網際網路存取用戶端。本單元說明這些公開曝光的系統,如何輕易地受到大量匿名使用者的各種攻擊。許多組織並未將他們的網域基礎結構延伸至網路公開的部分,因此,本單元的內容重點在於:針對單獨使用的電腦提出強化的建議。此單元詳細說明堡壘主機可以從 MSBP 未應用的安全性設定中所獲得的好處;或者可以在 Active Directory 網域環境中套用這些設定的方法。
工具及範例
本指南中包含了一組安全性範本、指令碼和其他的工具,方便您的組織評估、測試和實作在本指南中建議的因應對策。安全性範本是可匯入網域架構的群組原則,或使用「安全性設定及分析」嵌入式管理單元從本機套用的文字檔。這些程序都詳述在《Windows Server 2003 安全性指南》的第二單元〈設定網域基礎結構〉。本指南所討論的指令碼,使用NETSH命令列工具以及用來測試因應對策的指令碼來執行 IPSec 封包篩選器。本指南還包括一個叫做「Windows Server 2003 安全性指南設定」的 Microsoft Excel 活頁簿,當中記載了包含在每一安全性範本中的設定。這些工具和範本都包含在內含本指南的自解壓縮 WinZip 保存檔中。當您從此保存檔解壓縮檔案時,會在您指定的位置建立下列資料夾結構:
\Windows XP Security Guide - 包含您目前正在閱讀的 PDF 檔,以及與此資料相關的《測試指南》、《遞送指南》和《支援指南》。
\Windows XP Security Guide\Tools and Templates - 包含任何本指南隨附的項目子目錄。
\Windows Server 2003 Security Guide\Tools and Templates\Security Guide\Security Templates - 包含本指南所討論到的所有安全性範本。
\Windows Server 2003 Security Guide\Tools and Templates\Security Guide\Sample Scripts - 包含所有 IPSec 篩選器指令碼範例,以及一個包含所有本指南所討論到的流量圖的Microsoft Excel 活頁簿。
\Windows Server 2003 Security Guide\Tools and Templates\Security Guide\Checklists - 包括每個特定伺服器角色的核對清單
Windows XP Security Guide\Tools and Templates\Test Guide - 包含與測試指南相關的工具。
Windows XP Security Guide\Tools and Templates\Test Guide- 包含與遞送指南相關的工具。
技能與準備
下列的知識和技能是在企業中負責開發、部署和保護 Windows Server 2003 與Windows XP 用戶端安全性的系統管理員或架構設計師所必備的條件。
MCSE 2000 認證以及兩年以上或相當的安全性相關經驗。
對公司網域及 Active Directory 環境的深入了解。
精通管理工具;包括 Microsoft Management Console (MMC)、secedit、gpupdate 和 gpresult。
群組原則相關管理經驗。
在企業環境內部署應用程式和用戶端相關經驗。
需求
使用本指南所記載的工具與範本的軟體需求:
Windows Server 2003 Standard Edition、Windows Server 2003 Enterprise Edition 或 Windows Server 2003 Datacenter Edition。
於Windows Server 2003 執行的 Active Directory 網域。
Microsoft Excel 2000 或以上的版本。
樣式慣例
本指南採用下列樣式慣例和術語。
表 1:樣式慣例
| 元素 | 意義 |
|---|---|
| 粗體字型 | 正如鍵入的字元所示,包括命令和參數。 使用者介面元件的指示型文字項目也以粗體表示。 |
| 斜體字型 | 提供特定值的變數預留位置。例如,Filename.ext 可指第一個討論案例的任何有效檔案名稱。 |
| 重要事項 | 警告讀者完成工作不可或缺的補充資訊。 |
|
程式碼範例 |
| %SystemRoot% | 安裝 Windows Server 2003作業系統的資料夾。 |
| 注意 | 警告讀者的補充資訊。 |
| Screen Para | 出現在螢幕上的訊息及命令列的命令都是使用這種字型。 |