Windows Server 2003 安全性指南

第 1 章:Windows Server 2003 安全性指南簡介

更新日期: 2006 年 7 月 17 日

本頁內容

概觀
執行摘要
誰應該閱讀本指南
本指南的範圍
章節概要
技能與整備
軟體需求
樣式慣例
總結

概觀

歡迎使用《Windows Server 2003 安全性指南》。 本指南提供您最好的資訊,讓您評估及對抗組織中與 Microsoft® Windows Server™ 2003 SP1 有關的安全性風險。 本指南的章節中,提供強化 Windows Server 2003 SP1 之安全性設定及功能的方法,以應付您在環境中所發現的威脅。 本指南係由在 Windows Server 2003 SP1 環境中工作的系統工程師、顧問及網路系統管理員所製作的。

本指南經過 Microsoft 工程團隊、顧問、支援工程師、客戶及合作夥伴的審閱及批准。 Microsoft 與在各種環境中建置 Windows Server 2003、Windows® XP 及 Windows 2000 的顧問及系統工程師一同合作,以建立保護這些伺服器及用戶端的最新最佳實務。 本指南對於該最佳實務資訊有詳細的描述。

同系列的指南威脅與因應對策:
Windows Server 2003 及 Windows XP 中的安全性設定
(可在 http://go.microsoft.com/fwlink/?LinkId=15159 取得) 對於在 Windows XP 2003 SP1 及 Windows XP SP2 中所有主要安全性設定提供了詳盡的概要說明。 本指南的第 2 章至第 12 章涵蓋安全性的逐步指示、程序和建議,提供工作清單,協助您將組織中使用 Windows Server 2003 SP1 的電腦的安全性提升到更高的等級。 如果您想瞭解本文背後隱含之概念更深入的探討,請參考 Microsoft WindoServer 2003 Resource KitMicrosoft Windows XP Resource KitMicrosoft Windows 2000 Security Resource Kit 及Microsoft TechNet 等資源。

執行摘要

無論您使用的是何種環境,我們都強烈建議您認真看待安全性的問題。 許多組織會低估其資訊科技 (IT) 環境的價值,是因為他們常常未將重要的間接成本納入。 如果環境中伺服器所受到的攻擊夠嚴重,可能使整個組織遭受重大的損害。 例如,如果您組織的網站受到攻擊,可能會造成大量的營收損失或影響消費者的信心,從而影響組織的獲利能力。 當您在評估安全性成本時,您必須在喪失 IT 功能的成本上,加上與任何攻擊有關的間接成本。

而與安全性有關的弱點、風險和曝光度分析,能夠告訴您網路環境中所有電腦在安全性和可用性之間所必須作的取捨。 本指南記錄了 Windows Server 2003 SP1 中可使用的安全性因應對策;這些對策所克服的弱點,以及建置各因應對策時,可能會造成的負面結果 (如果有)。

本指南之後並提供如何在三種不同的企業環境中強化執行 Windows Server 2003 SP1 的電腦的建議。 傳統用戶端 (LC) 環境必須支援 Windows 98 等較早期的作業系統。 在企業用戶端 (EC) 環境中,Windows 2000 是最早使用的 Windows 作業系統。 在第三個環境中,由於對安全性的顧慮極為強烈,因此,為了達到更高層級的安全性,用戶端功能性及可管理性的重大喪失被視為可接受的取捨方法。 該第三環境稱為「專業安全性限制功能 (SSLF)」環境。 本指南已盡最大努力有條理地組織所有資訊,並使其更容易存取,因此您就可以很快地發現並決定究竟何種設定值最適合您組織中的電腦。 雖然本指南的主要目標群是針對企業客戶,但大部份內容仍適用於任何規模的組織。

為了充分利用此資料,建議閱讀整本指南。 如需進一步的資訊,您也可以參考同系列的指南:威脅與因應對策:
Windows Server 2003 及 Windows XP 中的安全性設定
,網址是:http://go.microsoft.com/fwlink/?LinkId=15159。

製作本指南的團隊小組希望您會覺得當中的資料有所幫助、富教育性外,還很有趣。

誰應該閱讀本指南

本指南主要適用於對應用程式或基礎結構的開發,及 Windows Server 2003 的部署工作進行規劃的顧問、安全性專家、系統架構設計師和 IT 專業人員。 這些角色包括下列常見工作說明:

  • 在組織中負責推動架構工作的系統架構設計師及規劃師。

  • 著眼於在組織中各平台間提供安全性的 IT 安全性專家。

  • 必須依賴用戶支援以達成重大企業目標與需求的企業分析師及企業決策者 (BDM)。

  • 擔任 Microsoft Services 與合作伙伴的顧問,需要將詳細的相關資源與實用的資訊提供給企業客戶與合作伙伴。


本指南的範圍

本指南的重心放在如何為您組織中執行 Windows Server 2003 SP1 的電腦建立並維護安全的環境。 本指南說明如何以不同階段,逐步建立本指南前面所定義之三種環境的安全性,並且根據客戶端相依性分別制訂伺服器設定的內容。 這三種環境說明如下:

  • 傳統用戶端 (LC) 環境由一個具有成員伺服器的 Active Directory® 目錄服務網域;執行 Windows Server 2003 的網域控制站,以及一些執行 Microsoft Windows 98 與 Windows NT® 4.0 的用戶端電腦所組成。 執行 Windows 98 的電腦上必須安裝 Active Directory Client Extension (DSCLient)。 您可在 Microsoft 知識庫文件如何安裝 Active Directory 用戶端擴充程式中取得進一步的資訊。文件網址為:http://support.microsoft.com/kb/288358。

  • 企業用戶端 (EC) 環境由一個 Active Directory 網域及其成員伺服器、執行 Windows Server 2003 SP1 的網域控制站,以及執行 Windows 2000 與 Windows XP 的用戶端電腦所組成。

  • 專業安全性限制功能 (SSLF) 亦由一個 Active Directory 網域及其成員伺服器、執行 Windows Server 2003 SP1 的網域控制站,以及執行 Windows 2000 與 Windows XP 的用戶端電腦組成。 然而,由於「專業安全性限制功能」的設定非常嚴格,許多應用程式會無法運作。 基於這個理由,伺服器的效能可能會受到影響,而管理伺服器的工作也會變得更具挑戰性。

    此外,不被 SSLF 原則保護的用戶端電腦和受到 SSLF 原則保護的用戶端電腦及伺服器間,可能會有通訊上的問題。 請參閱《Windows XP 安全性指南》以取得關於以 SSLF 相容設定保護用戶端電腦的資訊。

有關在這三種環境中強化電腦之方法指南,可在不同伺服器角色的群組中找到。 所述因應對策和所提供的工具均假設每個伺服器具有單一角色。 如果您在環境中必須結合一些伺服器的角色,您可針對隨本指南下載的安全性範本進行個人化設定,以為服務及安全性選項建立適當的組合。 本指南所描述的角色包括:

  • 網域控制站

  • 基礎結構伺服器

  • 檔案伺服器

  • 列印伺服器

  • 網際網路資訊服務 (IIS) 伺服器

  • 網際網路驗證服務 (IAS) 伺服器

  • 憑證服務伺服器

  • 堡壘主機

本指南中的建議設定皆在實驗室環境中模擬前述「傳統用戶端」、「企業用戶端」,及「專業安全性限制功能」的環境中做過徹底的測試。 在實驗環境中均已證明這些設定可以正常運作;但重要的是:您的組織必須在能夠精確代表您自己的生產環境的實驗室中,實際測試這些設定。 您可能必須將本指南上面所記載的安全性範例以及操作程序作一些修改,企業的應用程式才能照原先預期的方式繼續運作。 同系列的指南《威脅與因應對策:Windows Server 2003 及 Windows XP 中的安全性設定》中,提供了您在評估各因應措施,及依據組織獨特的環境及業務需求評估因應措施之適當性時所需的資訊。

章節概要

《Windows Server 2003 安全性指南》由 13 章組成。 每一章的內容在撰寫時,皆以在您環境中建置及保護 Windows Server 2003 SP1 所需的對端點解決方案程序為基礎。 前幾個章節說明如何建立可讓您在組織中強化伺服器的基礎,剩下的章節則說明各伺服器角色專用的程序。

第 1 章:《Windows Server 2003 安全性指南》簡介

本章介紹《Windows Server 2003 安全性指南》及每一章的簡短概觀。 本章說明傳統用戶端、企業用戶端,以及專業安全性限制功能之環境和在其中執行的電腦。

第 2 章:Windows Server 2003 強化機制

本章概要地說明了在本指南中,用於強化 Windows Server 2003 SP1 的主要機制:安全性設定精靈 (SCW) 及 Active Directory 群組原則。 本章說明 SCW 如何提供互動架構,讓扮演不同角色的 Windows 伺服器用來建立、管理及測試安全性原則。 本章還評估 SCW 在第 1 章中所述三種不同環境下的運作能力。

本章下一部分對 Active Directory 的設計、組織單元 (OU) 的設計、群組原則物件 (GPO)、管理群組的設計,以及網域原則進行高層次的說明。 上述主題均已在第 1 章所述的三種不同環境中加以說明,以便提供安全最終狀態環境的概念。

本章總結本指南如何將 SCW 最佳功能與傳統 GPO 方法作結合,以達到強化 Windows Server 2003 SP1 的效能。

第 3 章:網域原則

本章說明在第 1 章所述的三種環境下,適用於網域層級原則的安全性範本設定和其他因應對策。 本章不特別偏重任何特定伺服器角色,主要說明適用於頂層網域原則的特定原則和設定。

第 4 章:成員伺服器基準線原則

本章說明在第 1 章所述的三種環境下,適用於不同伺服器角色的安全性範本設定和其他因應對策。 本章著眼於如何為之後在指南中所討論的伺服器角色建立「成員伺服器基準線原則 (MSBP)」。

本章所提供的建議在設計上,係為使組織得以安全地在現有的及新部署的 Windows Server 2003 SP1 上部署設定。 我們對 Windows Server 2003 SP1 中的預設的安全性設定進行了研究與測試,然後提供本章的建議,以提供較作業系統預設值更高的安全性。 有時候,為了支援傳統用戶端環境,我們會建議使用較 Windows Server 2003 SP1 預設安裝的設定更為寬鬆的設定。

第 5 章:網域控制站基準線原則

在任何含有執行 Windows Server 2003 SP1 之電腦的 Active Directory 環境中,網域控制站伺服器角色是確保安全性的重要角色之一。 網域控制站若有任何損失或損害,都可能嚴重危及需仰賴網域控制站進行驗證、群組原則及中央輕量型目錄存取協定 (LDAP) 目錄的用戶端電腦、伺服器及應用程式。

本章概述必須將網域控制站永遠存放在安全的環境裡,只有合格的管理人員才能進行存取的必要性。 我們說明了網域控制站在分公司辦公室等未受保護的地點中所面臨的危險。且本章中有很大一部份說明我們在提出「網域控制站群組原則」時,為安全性所做的考量。

Active Directory 網域控制器需要一個穩定且設定妥當的 DNS 服務。 根據預設,Wiindows Server 2003 SP1 會將 DNS 區域整合到 Active Directory 中,使網域控制站得以執行 DNS 服務,並回應 Active Directory 網域內用戶端所提出的 DNS 要求。 本章假設網域控制站也提供 DNS 服務及適當的指引。

第 6 章:基礎結構伺服器角色

本章中的基礎結構伺服器角色已定義為 DHCP 伺服器或 WINS 伺服器。 本章詳細說明您環境中的 Windows Server 2003 SP1 基礎結構伺服器將如何受益於不是由成員伺服器基準線原則 (MSBP) 所套用的安全性設定。 本章不包含網域控制站角色中所包含的 DNS 服務設定資訊。

第 7 章:檔案伺服器角色

本章著眼於「檔案」伺服器角色,以及強化該伺服器時所面臨的困難。 檔案伺服器中基本服務必須使用 Windows NetBIOS 相關通訊協定,以及 SMB 和 CIFS 通訊協定。 伺服器訊息區 (SMB) 和 Common Internet File System (CIFS) 通訊協定通常用來為經過驗證的使用者提供存取權限,但在保護不夠周延時,上述通訊協定也可能會向未經驗證的使用者或攻擊者洩漏大量資訊。 由於存在此威脅,高安全性環境中常會停用這些通訊協定。 本章說明執行 Windows Server 2003 SP1 的檔案伺服器將如何受益於不是由 MSBP 所套用的安全性設定。

第 8 章:列印伺服器角色

本章著重說明列印伺服器。 列印伺服器和檔案伺服器一樣,其基本服務也必須使用 Windows NetBIOS 相關通訊協定,以及 SMB 和 CIFS 通訊協定。 如前文所述,高安全性環境中常會停用這些通訊協定。 本章說明如何採用不是由 MSBP 套用安全性設定的方法來加強 Windows Server 2003 SP1 列印伺服器的安全性設定。

第 9 章:網頁伺服器角色

本章說明網站及應用程式的全面安全性如何要求整個 IIS 伺服器 (包括在 IIS 伺服器中執行的每個網站及應用程式) 從其環境中的用戶端電腦獲得保護。 網站及應用程式也必須透過在同一個 IIS 伺服器中執行的其他網站及應用程式,才能獲得保護。 本章詳細說明確保在您環境中執行 Windows Server 2003 SP1 的 IIS 伺服器有確實採用前述措施的方法。

於 Microsoft Windows Server System™ 系列中,IIS 並非預設安裝的項目, IIS 第一次安裝時,係採用一種高度安全的「鎖定」模式。 例如,預設設定僅允許 IIS 提供靜態內容。 像 ASP (Active Server Pages)、ASP.NET、伺服器端引入、WebDAV 發行及 Microsoft FrontPage® Server Extensions 等功能,必須經由管理員開啟網際網路資訊服務管理員 (IIS 管理員) 的 Web 服務擴充節點,才能啟動。

本章各小節詳細說明可在您的環境中強化 IIS 伺服器的各種設定。 為確保伺服器的安全,本章的內容著重於監控、偵測,及回應安全性議題的需要。 本章著重於 HTTP 等 IIS Web 通訊協定及應用程式,但並不包括如 SMTP、FTP 及 NNTP 等,IIS 可提供之其他通訊協定的指南。

第 10 章:IAS 伺服器角色

網際網路驗證伺服器 (IAS) 提供一種標準驗證通訊協定,稱為「遠端驗證撥入使用者服務」(RADIUS),此通訊協定專為確認由遠端存取網路的用戶端身分而設計。 本章說明執行 Windows Server 2003 SP1 的 IAS 伺服器將如何受益於不是由 MSBP 套用的安全性設定。

第 11 章:憑證服務伺服器角色

「憑證服務」提供在您伺服器環境中建立公開金鑰基礎結構 (PKI) 所需的加密及憑證管理服務。 本章說明執行 Windows Server 2003 SP1 的憑證服務伺服器將如何受益於不是由 MSBP 套用的安全性設定。

第 12 章:堡壘主機角色

堡壘主機伺服器可以透過網際網路供用戶端電腦存取。 本章說明這些公開暴露的電腦將如何受到來自大量匿名使用者 (只要他們願意) 的攻擊。 許多組織並未將其網域基礎結構延伸至網際網路。 基於此原因,本章內容著重說明如何強化獨立電腦的安全。 其中詳細說明執行 Windows Server 2003 SP1 的堡壘主機在何種情況下,可因為本指南中供非屬 Active Directory 網域之電腦使用的安全性建議而獲益。

第 13 章:結論

本指南結論旨在重申之前章節所述的內容要點。

附錄 A:安全性工具和格式

本指南主要說明如何使用 SCW 建立隨後將轉換成安全性範本和群組原則物件的原則,但還有其他各種工具和檔案格式可用來補充或取代此方法。 本附錄提供有關這類工具和格式的簡短清單。

附錄 B:應考量的金鑰設定

雖然本指南討論多種安全性因應措施和安全性設定,但您應該瞭解的是其中有幾點是特別重要的。 本附錄討論會對執行 Windows Server 2003 SP1 的電腦安全性產生重大影響的設定。

附錄 C:安全性範本設定摘要

本附錄介紹 Microsoft Excel® 活頁簿《Windows Server 2003 安全性指南設定》。該活頁簿和其他工具及範本放在本指南的下載版本中:http://go.microsoft.com/fwlink/?LinkId=14846。 本試算表以精簡易用的形式,顯示本指南所定義三種環境下的所有建議設定,為您提供全面的主要參考。

附錄 D:測試 Windows Server 2003 安全性指南

本指南提供大量關於如何強化執行 Windows Server 2003 SP1 之伺服器的資訊,但我們提醒讀者在生產環境中建置任何設定前,務必先測試並驗證所有設定。

本附錄提供建立合適測試實驗室環境的相關指引,以確保在生產環境中成功實作建議設定。 此外,還會協助使用者執行必要驗證,並將執行所需的資源量降至最低。

工具及範本

在本指南的下載版本中,有一套安全性範本、指令碼,及其他工具。它們可協助您的組織評估、測試,及建置此處所建議的因應措施。 安全性範本是一種文字檔案,可匯入到以網域為主的群組原則中,或透過 Microsoft 管理主控台 (MMC) 安全性設定和分析嵌入式管理單元在本機套用。 上述程序已在第 2 章<Windows Server 2003 強化機制>中詳細說明。本指南所述指令碼包含用來建立與連結群組原則物件的指令碼,以及用來測試建議因應對策的測試指令碼。 其中並包括將安全性範本設定予以歸納的 Excel 活頁簿 (請參閱先前的「附錄 C」章節)。

連同本指南一併提供的檔案統稱為工具及範本。 這些檔案放在本指南之自解壓縮 WinZip 保存檔裡的 .msi 檔案中。您可在 Microsoft 下載中心取得:http://go.microsoft.com/fwlink/?LinkId=14846。 當您執行該 .msi 檔案時,在您指定的位置上會建立以下資料夾結構:

  • \Windows Server 2003 Security Guide Tools and Templates\Security Templates。 本資料夾內含本指南討論到的所有安全性範本。

  • \Windows Server 2003 Security Guide Tools and Templates\Test Tools。 本資料夾包含與<附錄 D:測試 Windows Serve 2003 安全性指南>有關的各種檔案及工具。


技能與整備

在企業環境中開發、部署,及保護 Windows Server 2003 和 Windows XP 之安裝的 IT 專業人員應具備以下知識和技術:

  • MCSE 2000 或 2003 認證及兩年以上的安全性相關經驗。

  • 對組織網域及 Active Directory 環境的深入了解。

  • 精通管理工具;包括 Microsoft Management Console (MMC)、Secedit、Gpupdate 和 Gpresult。

  • 具備群組原則的管理經驗。

  • 具備在企業環境中部署應用程式及工作站電腦的經驗。


軟體需求

使用本指南所記載之工具與範本的軟體需求:

  • Windows Server 2003 Standard Edition with SP1、Windows Server 2003 Enterprise Edition with SP1 或 Windows Server 2003 Datacenter Edition with SP1。

  • 一個以 Windows Server 2003 為基礎的 Active Directory 網域。

  • Microsoft Excel 2000 或以上的版本。


樣式慣例

本指南採用下列樣式慣例和術語。

表 1.1 樣式慣例

元素

含意

粗體字型

指出輸入之字元如畫面所示,包括指令、開關,及檔名。 使用者界面元素亦以粗體顯示。

斜體字型

書名及其他重要出版品以斜體字表示。

<Italic>

以斜體顯示預留位置及角括弧 <檔名> 表示變數。

等寬字型

代表程式碼及指令碼範例。

附註

提醒讀者有補充資訊。

重要

提醒讀者有重要的補充資訊。


總結

本章概要地說明了和保護執行 Windows Server 2003 SP1 的電腦有關的主要因素。這些因素在本指南後續章節中,皆有深入的考量與探討。 您現在已經瞭解本指南的組織方式了,您可以從頭到尾閱讀一次,或選讀您有興趣的章節。

但您必須記住一點,有效而成功的安全性作業所需要的,是將本指南討論到的所有部分進行全面性的改善,而非只是其中一部分。 基於這個理由,Microsoft 建議您閱讀整份指南,充分運用其資訊,以便在您的組織中保護執行 Windows Server 2003 SP1 的電腦。

其他資訊

下列連結提供更多和安全性及 Windows Server 2003 SP1 有關的主題。

  • 如需更多關於 Microsoft 的安全性的資訊,請參閱高可信度電腦運算 (英文),其網址為:www.microsoft.com/mscorp/twc/default.mspx。

  • 如需與和 MOF 協助企業運作有關的進一步詳細資料,請參閱 Microsoft 作業架構 (英文),其網址為:www.microsoft.com/technet/itsolutions/cits/mo/mof/default.mspx。

  • 如需關於 Microsoft 安全性通知的資訊,請參閱 Microsoft Security Bulletin Search (英文) 網頁,其網址為:www.microsoft.com/technet/security/current.aspx。


下載

取得 Windows Serve 2003 安全性指南

更新通知

註冊以瞭解更新和新版本

意見

請將您的意見或建議傳送給我們


顯示: