Windows Server 2003 安全性指南

第 2 章:Windows Server 2003 強化機制

更新日期: 2006 年 7 月 17 日

本頁內容

概觀
以「安全性設定精靈」進行強化
利用 Active Directory 群組原則強化伺服器
程序概觀
總結

概觀

本章介紹可在 Microsoft® Windows Server™ 2003 上建置安全性設定的機制。 Windows Server 2003 的 Service Pack 1 (SP1) 提供了安全性設定精靈 (SCW)。這是一個以角色為基礎的新工具,可讓您的伺服器更安全。 將其與群組原則物件 (GPO) 結合時,SCW 可讓您在強化安全性的過程中,得到更好的控制能力、彈性,與一致性。

本章著重說明下列主題:

  • 如何利用 SCW 來建立、測試及部署以角色為基礎的強化原則。

  • Active Directory® 目錄服務如何藉由使用 GPO 協助確保企業強化安全性工作上的一致性。

  • Active Directory 網域設計、組織單元 (OU) 設計、群組原則設計,以及管理群組設計如何影響安全性部署。

  • 如何利用 SCW 及群組原則來建立可管理且以角色為基礎的方法,來強化執行 Windows Server 2003 SP1 的伺服器。

本資訊提供在網域基礎結構下,由「傳統用戶端 (LC)」環境演進至「專業安全性限制功能 (SSLF)」環境的基礎及遠景。

以「安全性設定精靈」進行強化

SCW 的存在目的,係提供一個有彈性且循序漸進的程序,藉以減少執行 Windows Server 2003 SP1 之伺服器的受攻擊面。 SCW 實際上是一套由 XML 規則資料庫結合在一起的工具集合。 其目的係協助系統管理員迅速而精確地判斷該特定伺服器扮演之角色必須具備的最少功能。

利用 SCW,系統管理員可編寫、測試、排解疑難,並部署將所有不必要的功能停用的安全性原則。 SCW 亦具備回復安全性原則的功能。 SCW 可在單一伺服器上支援本地的安全性原則管理,亦可支援共用相關功能的伺服器群組。

SCW 是功能廣泛的工具,可協助您完成以下工作:

  • 決定哪些服務必須啟用,哪些服務必須經要求才執行,哪些服務可以停用。

  • 結合「Windows 防火牆」來管理網路連接埠篩選。

  • 控制網頁伺服器可使用哪些 IIS 網頁延伸模組。

  • 減少以伺服器訊息區塊 (SMB) 為基礎的通訊協定、NetBIOS、通用網際網路檔案系統 (CIFS) 及輕量型目錄存取通訊協定 (LDAP) 等通訊協定的暴露面。

  • 建立有用處的,用於捕捉重要事件的「稽核」原則。

安全性設定精靈下載版本的說明文件中,可取得關於 SCW 之安裝、使用,及疑難排解的詳細指示。其網址為:www.microsoft.com/downloads/details.aspx?FamilyID=903fd496-9eb9-4a45-aa00-3f2f20fd6171&displaylang=en。

注意:SCW 僅能與 Windows Server 2003 SP1 一同使用。 SCW 無法為 Windows 2000 Server、Windows XP,或 Windows Small Business Server 2003 建立原則。 若要強化眾多使用這類作業系統的電腦,您必須善用本章之後說明的以「群組原則」為基礎的強化機制。

建立及測試原則

您可在一台電腦上利用 SCW,為數台伺服器或伺服器群組迅速建立並測試安全性原則。 本功能可讓您從單一位置管理整個企業的原則。 這些原則為組織中各伺服器提供的功能提供適合、一致,且獲得支援的強化機制。 如果您使用 SCW 來建立及測試原則,應將 SCW 部署到所有目標伺服器上。 雖然您是在管理站台上建立原則,SCW 會試圖與目標伺服器通訊,以檢查其設定並對最後建立的原則進行微調。

SCW 與 IPsec 和 Windows 防火牆子系統整合在一起,並會適時修改其設定。 除非被阻止,SCW 會對 Windows 防火牆進行設定,以允許作業系統及監聽的應用程式所要求的輸入網路流量通行重要的連接埠。 如果需要其他的連接埠篩選器,SCW 也會建立。 因此,SCW 所建立的原則不但可以滿足自訂之指定碼設定或修改 IPsec 篩選器的要求,亦可封鎖不必要的網路流量。 這項功能可簡化網路強化工作的管理。 利用 PRC 或動態連接埠為服務專用之網路篩選器進行的組態設定工作也可被簡化。

SCW 也有能力自訂您所建立的原則。 這種彈性可讓您建立一個允許必要功能,並協助減少安全性風險的設定。 除了基準線行為及設定外,您也可以覆寫 SCW 中以下部分:

  • 服務

  • 網路連接埠

  • Windows 防火牆認可的應用程式

  • 登錄設定

  • IIS 設定

  • 納入先前已存在的安全性範本 (.inf 檔案)

SCW 可向系統管理員針對某些最重要的登錄設定提供建議。 為了降低工具的複雜性,設計師選擇僅納入那些會對安全性造成最大影響的設定。 但本指南會討論更多登錄設定。 為了克服 SCW 功能上的限制,您可將 SCW 處理後的結果與安全性範本結合起來,以建立更完整的設定。

當您以 SCW 建立新原則時,SCW 會將伺服器目前的設定當成初始設定。 因此,為了準確地描述伺服器角色的設定,您所指的伺服器的類型,必須與您要部署之原則的伺服器類型相同。 當您使用 SCW 圖形式使用者介面 (GUI) 建立新原則時,SCW 會建立一個 XML 檔。該檔案根據預設會儲存在 %systemdir%\security\msscw\Policies 資料夾中。 原則建立好之後,您可利用 SCW GUI 或 Scwcmd 命令列工具將該原則套用到測試伺服器。

在測試原則時,您可能需要移除部署的原則。 您可利用 GUI 或命令列工具回復最後套用在伺服器或伺服器群組上的原則。 SCW 會將先前的組態設定儲存在 XML 檔案中。

對設計及測試安全性設定之資源有限的組織而言,使用 SCW 可能已足夠。 欠缺這類資源的組織甚至不應試圖強化伺服器,因為這類動作往往會造成不必要的麻煩並降低生產力。 如果您的組織沒有處理這類問題的專業能力與時間,您應將重心放在其他重要的安全性活動上。例如將應用程式及作業系統升級至最新版本及更新管理。

部署原則

部署原則時,有三種不同的選項可供使用:

  • 使用 SCW GUI 來套用原則

  • 使用 Scwcmd 命令列工具來套用原則

  • 將 SCW 原則轉換為群組原則物件並將其連結至網域或 OU

以下小節說明各選項的優缺點。

使用 SCW GUI 來套用原則

使用 SCW GUI 的主要優點是簡單。 GUI 可讓系統管理員輕鬆地選擇預先設定的原則,並將該原則套用至單一電腦上。

使用 SCW GUI 的缺點是,一次只能將原則套用在一台電腦上。 本選項無法適用在大型環境中,因此本指南並未使用該方法。

使用 Scwcmd 命令列工具來套用原則

將本地 SCW 原則套用至數台未使用 Active Directory 之電腦上的方法之一,就是使用 Scwcmd 工具。 您也可以將 Scwcmd 結合指令碼技術以提供一定程度的自動化原則部署功能。也許可成為建立及部署伺服器程序的一部分。

Scwcmd 選項主要的缺點是不是自動的。 您必須以手動方式或經由某些指令碼解決方案來指定原則及目標伺服器。這表示很有可能將錯誤的原則套用在錯誤的電腦上。 如果伺服器群組中的伺服器在設定上有些許不同,您必須為各台電腦建立不同的原則並分別套用。 基於這項限制,本指南並未使用該方法。

將 SCW 原則轉換為群組原則物件

第三種部署 SCW 原則的方法是利用 Scwcmd 工具將以 XML 為基礎的原則轉換為群組原則物件 (GPO)。 雖然該項轉換乍看之下是不必要的步驟,但它具有以下幾個優點:

  • 您可利用您熟悉的以 Active Directory 為基礎的機制來複製、部署及套用原則。

  • 由於它們是本地的 GPO,可將原則與 OU、原則繼承及累加式原則相結合,以便為設定上類似但和其他伺服器並非完全相同的伺服器的強化進行微調。 使用群組原則時,您可將這些伺服器放入子 OU,並套用累加式原則。如果使用的是 SCW,您必須為每一種不同的設定建立新的原則。

  • 原則會自動套用於放入相對應 OU 裡的伺服器上。 本地 SCW 原則則必須手動套用,或結合一些自訂的指令碼解決方案。


利用 Active Directory 群組原則強化伺服器

Active Directory 可供應用程式在分散式計算環境中尋找、使用和管理目錄資源。 雖然與如何設計 Active Directory 基礎結構有關的資訊多到可以寫滿整本書,本節僅簡短探討構成本指南後續章節之背景的概念。 為了深入探討如何利用群組原則安全地管理組織的網域、網域控制站及特定伺服器角色,您有必要瞭解這些設計資訊。 如果您的組織已經有 Active Directory 設計,本單元可深入探討 Active Directory 在安全性上的優點或潛在的問題。

本指南並未就 Active Directory 資料庫的保護提供任何指示。 如需這類指示,請參閱本章最後<其他資訊>小節中所參照的保護 Active Directory 安裝的最佳實務指南 (英文)。

當您在建立 Active Directory 基礎結構時,必須仔細考量該環境的安全性界線。 如果您對組織安全性委派與實作時間表做了妥善的規劃,將可為組織設計出更安全的 Active Directory。 您只需要在環境發生併購或組織重整等重大變動時重新修改設計。

Active Directory 的界限

Active Directory 內部有許多不同類型的界限。 這些界限定義了樹系、網域、網站拓樸,及權限委派,且會在您安裝 Active Directory 時自動地被建立。 但您必須確認該許可界限可以和組織需求及原則結合。 為了適應不同組織的需求,管理權限委派可具備相當的彈性。 例如,要維護安全性與管理功能性之間適當的平衡,您可以將權限委派界限進一步細分為安全性界限和管理界限。

安全性界限

安全性界限可以協助定義組織內各種群組的自治或區隔。 要在適當的安全性 (以組織業務界限建立之方式為依據) 及維持基本功能一致水準的需求間取得平衡是很困難的。 要成功地達到這個平衡,您必須權衡委派管理權限對組織帶來的安全性牽連威脅,以及其它和您環境的網路架構相關的選擇。

樹系是您的網路環境中真正的安全性界限。 本指南建議您建立不同的樹系,以使您的環境不致受到其他網域之系統管理員可能在安全讓有所妥協而帶來的危害。 本方法亦可協助確保某一樹系在安全上所做的妥協不會成為整個企業在安全上的妥協。

網域是 Active Directory 上管理的界限,而非安全性的界限。 如果組織係由具善意的個人所組成,網域界限將可以在組織的每一個網域內提供服務和資料的自治管理。 不幸的是,在安全性上想要進行隔離並不是件容易的事。 例如,網域便無法完全避免遭到居心不良的網域管理員攻擊。 這個層級的隔離只可在樹系層級達到。

在網域中,組織單位 (OU) 可提供另一種層次的管理界限。 OU 提供一種富彈性的方式將相關的資源予以分組,並使適當人員得以管理資源的存取,而不必賦他們管理整個網域的能力。 和網域一樣,OU 並不是真正的安全性界限。 雖然您可以將權限指派給某個 OU,在同一網域中的 OU 都會針對網域及樹系資源來驗證資源。 儘管如此,一個設計良好的 OU 階層可協助有效之安全性措施的發展、部署,與管理。

您的組織可能有必要考慮將目前 Active Directory 設計中的服務管理控制及資料管理控制予以區分。 想要有效地設計 Active Directory,您必須就組織對服務與資料在自治及區隔上的需求有徹底的瞭解。

管理界限

由於區隔服務和資料的潛在需要,您必須定義必要的各種管理層級。 除了為您的組織提供獨特服務的系統管理員外,本指南建議您考慮設置下列類型的系統管理員:

服務管理員

Active Directory 服務管理員負責設定和提供目錄服務。 例如,服務管理員可維護網域控制器伺服器、控制整個目錄中的組態設定,並確保服務的可用性。 您應該考慮讓組織中的 Active Directory 系統管理員成為服務管理員。

Active Directory 服務的組態通常是由屬性值決定的。 這些屬性值對應於儲存在目錄中之個別物件的設定。 因此,Active Directory 中的服務管理員同時也是資料管理員。 依據您組織的需求,您可能需要為您的 Active Directory 服務設計考慮其他服務管理員群組。 有關範例包括:

  • 主要負責目錄服務的網域管理群組。

    樹系系統管理員選擇管理各網域的群組。 由於每一個網域的管理員已授予高層級的存取權,這些管理員應該是受到高度信任的個人。 網域系統管理員透過「網域系統管理員」群組和其他內建的群組來控制網域。

  • 管理 DNS 的系統管理員群組

    DNS 系統管理員群組會完成 DNS 的設計並管理 DNS 基礎結構。 DNS 系統管理員透過「DNS 系統管理員」群組來管理 DNS 基礎結構。

  • 管理 OU 的系統管理員群組

    OU 管理員指定群組或個人當作每一個 OU 的管理員。 每位 OU 系統管理員管理儲存在指定之 Active Directory 內的資料。 這些群組可以管理的委派方式,以及原則套用到其中之 OU 的物件的方式。 OU 管理員還可以建立新子樹以及委派它們負責之 OU 的管理。

  • 管理基礎結構伺服器的系統管理員群組

    這個負責基礎結構伺服器管理的群組會管理 WIN、DHCP,也有可能會管理 DNS 基礎結構。 在某些情況,負責網域管理的群組還將管理 DNS 基礎結構,因為 Active Directory 已經整合 DNS 並在網域控制站上儲存和管理。

資料管理員

Active Directory 資料管理員管理儲存在 Active Directory 中的資料,或儲存在加入 Active Directory 的電腦裡的資料。 這些管理員不控制目錄服務的設定或提供目錄服務。 這些管理員是組織建立之安全性群組的成員。 有時候,Windows 中的預設安全性群組對組織中的所有狀況不是都有意義。 因此,組織可以開發安全性群組命名標準和意義,來符合本身環境需求。 有些資料管理員的每天工作包括:

  • 控制目錄中的一部份物件。 透過繼承屬性層級存取權控制,資料管理員便有權控制目錄的非常特定的段落,但不控制服務本身的設定。

  • 管理目錄中之成員的電腦和那些電腦上的資料。

注意:在許多情況下,儲存在目錄中之物件的屬性值將決定目錄的服務設定。

總而言之,在允許 Active Directory 的擁有者和目錄結構加入樹系或網域基礎結構前,組織必須信任樹系以及所有網域中的所有服務管理員。 此外,企業安全性計畫必須發展標準原則及程序,以針對系統管理員進行適當的背景調查。 在這種安全性指南的脈絡下,信任服務管理員即表示:

  • 合理信任該服務管理員會重視組織的最佳利益。 組織不應該選擇加入樹系或網域,如果樹系或網域的擁有者有正當理由惡意反對組織的話。

  • 合理地相信服務管理員將遵守最佳常規和限制網域控制站的實際存取。

  • 瞭解並接受組織可能遇到的風險,包括下列可能性:

    • 居心不良的系統管理員。 受信任的系統管理員可能會變成居心不良的系統管理員,並濫用他們的網路權限。 在樹系中居心不良的系統管理員可以很輕易地找到其他網域之系統管理員的安全辨識元 (SID)。 居心不良的管理員接著可能使用應用程式設計介面 (API)、磁碟編輯器或偵錯程式,將竊取的 SID 加到自已網域內某帳戶的 SID 記錄清單中。 藉由將竊取的 SID 加到使用者的 SID 記錄,居心不良的管理員不僅將具有其網域的管理權限,亦將另行取得竊取之 SID 網域的管理權限。

    • 面臨壓力的系統管理員。 值得信賴的管理員可能會被迫執行破壞電腦或網路安全性的作業。 使用者或系統管理員可能會對電腦的合法管理員運用社交工程技術、實體威脅或其他傷害,以取得存取電腦所需的資訊。

有些組織從外頭僱來的管理員可能居心叵測,或面臨壓力不得不執行一些手段,結果卻妥協了安全性。 這種組織可能以為只要能夠透過協同合作節省成本,承擔一些風險是沒關係的。 不過,這種風險對有些組織來說可能無法接受,因為破壞安全性的潛在結果太過嚴重,難以承擔。

Active Directory 與電腦群組原則

OU 不僅提供一個簡單的方法將電腦、使用者、群組和其他安全性主體進行分組,也是區隔系統管理界限的有效方法。 此外,OU 尚為群組原則物件 (GPO) 的部署提供極為重要的結構。因為它們可以依據安全性的需求將資源予以區分,並讓您為不同的 OU 提供不同的安全性。 利用 OU 依據伺服器角色來管理並指派安全性原則是組織整體安全性結構中的一部分。

委派管理和套用群組原則

OU 是網域目錄結構中的容器。 這些容器可收納該網域中所有安全性原則。雖然我們通常利用它來儲存某種特定類型的物件。 若要賦予或撤回某群組或個別使用者的 OU 存取權限,您可在 OU 上設定特定的存取控制清單 (ACL)。該權限會被該 OU 內所有物件繼承。

您可使用 OU 來提供以角色為基礎的管理功能。 例如,某個系統管理員群組可負責管理使用者及群組 OU,另一個群組則負責管理內含伺服器的 OU。 您也可以建立一個 OU,來收納其他使用者透果委派控制程序管理的資源伺服器群組。 本方式可使受委派的群組對特定 OU 具有自治控制權,但又不至於使伺服器被隔離到剩餘的網域之外。

委派控制特定 OU 控制的管理員可能就是服務管理員。 在較低層的授權中,通常是由資料管理員負責控制 OU。

管理群組

系統管理員可建立管理群組將使用者叢集、安全性群組,或伺服器予以分隔並納入容器中以便自治管理。

網域內的基礎結構伺服器就是一個應用範圍。 基礎結構伺服器包含所有執行基本網路服務的非網域控制站,包括提供 WINS 及 DHCP 服務的伺服器。 這些伺服器通常是由營運群組或基礎結構管理群組負責維護。 您可利用一個 OU 輕易地將管理能力提供給這些伺服器。

下列圖表提供這種 OU 設定的高層次檢視。

圖 2.1 系統管理的 OU 委派

圖 2.1 系統管理的 OU 委派

當「基礎結構管理」群組獲得基礎結構 OU 的控制權時,該群組的成員將取得基礎結構 OU 及該 OU 中所有伺服器及物件的完整控制權。 該能力使該群組的成員得以利用群組原則來保護伺服器角色。

本方法僅是利用 OU 來提供管理區隔的方法之一。 有關更複雜的組織,請參閱本章結尾段落的<其他資訊>。

注意:由於 Active Directory 非常依賴 DNS,在網域控制站上執行 DNS 服務是常見的慣例。 網域控制站根據預設會放入內建的「網域控制站 OU」中。 在本指南中的範例遵循該項實作,故基礎結構伺服器角色中並未包含 DNS 服務。

群組原則應用

請使用群組原則和委派管理來套用特定設定、權利和行為到 OU 內的所有伺服器。 當您以群組原則取代手動步驟時,要更新多個需進行其他變更的伺服器是非常容易的。

群組原則會累積,並依以下圖表所示順序套用。

圖 2.2 GPO 應用程式層級

圖 2.2 GPO 應用程式層級

如圖所示,原則首先會套用在電腦的本機原則層級上。 之後,在站台層級套用 GPO,然後才是網域層級。 如果伺服器在多個 OU 形成巢狀,存在於最高層級 OU 的 GPO 將最先被採用。 GPO 應用程式程序會繼續朝 OU 層級的下層進行。 最後一個 GPO 將在含有伺服器物件的子 OU 層級被套用。 處理群組原則的優先順序將從 (離使用者或電腦帳戶最遠的) 最高 OU 延伸至 (實際含有使用者或電腦帳戶的) 最低 OU。

當您套用群組原則時,請記住以下基本考量:

  • 您必須對具有多重 GPO 的群組原則設定 GPO 應用順序。 如果多個原則指定相同選項,最後套用的那一個具有高優先順序。

  • 如果您不希望其他 GPO 覆寫該群組原則,您必須以 [不可強制覆蓋] 來設定群組原則。 如果您使用「群組原則管理主控台 (GPMC)」來管理 GPO,將 [強制] 使用本選項。

時間設定

許多安全服務,尤其是驗證,在運作時仰賴準確的電腦時鐘。 您應確保電腦時間是準確的,且組織中所有伺服器皆使用相同的時間來源。 Windows Server 2003 W32Time 服務可對 Active Directory 網域中執行的 Windows Server 2003 和 MicrosoftWindows XP 架構的電腦,提供時間同步處理。

W32Time 服務可以將 Windows Server 2003 架構電腦的時鐘和網域中的網域控制站同步化。 要使 Kerberos 通訊協定及其他驗證協定得以正確運作,本項同步處理是有必要的。 多數 Windows Server 系列元件依賴於準確和同步化的時間,才得以正常運作。 如果用戶端上的時鐘未同步,Kerberos 驗證協定可能會拒絕和使用者間的存取。

時間同步處理提供的另一個重要優點是提供您企業中的所有用戶端的事件相互關係。 環境裡的用戶端時鐘若經過同步化,可使您依據統一的順序,正確地分析組織內用戶端上所發生的事件。

W32Time 服務利用網路時間通訊協定 (NTP) 來同步化執行 Windows Server 2003 的電腦上的時鐘。 在 Windows Server 2003 樹系,時間的預設同步化方式如下:

  • 樹系根網域中的網域主控站 (PDC) 模擬器主作業是組織的權威性時間來源。

  • 當選取 PDC 模擬器來使本身的時間同步化時,樹系中其它網域內的所有 PDC 主作業都遵循網域的階層。

  • 網域中的所有網域控制站會將時間和 PDC 模擬器主作業同步化,以當作輸入時間夥伴。

  • 所有成員伺服器和用戶端桌面電腦都使用驗證網域控制站當作本身的輸入時間夥伴。

為確保時間是準確的,在樹系根網域的 PDC 模擬器可與具權威的時間來源同步化,例如可靠的 NTP 來源或網路上高度精確的時鐘。 請注意,NTP 同步處理會使用 UDP 連接埠 123 的流量。 在您與外部伺服器進行同步化前,您必須衡量開啟本連接埠的好處及其潛在的安全性風險。

此外,如果您與您不具控制權的外部伺服器同步化,您必須冒上以不正確的時間設定伺服器的風險。 該外部伺服器可能會被攻擊,或被攻擊者惡意控制以操作您電腦上的時鐘。 一如先前所述,Kerberos 驗證協定要求使用同步的電腦時鐘。 如果時鐘不同步,可能會被拒絕服務。

安全性範本管理

安全性範本為以文字為架構的檔案,您可利用該範本將安全性設定套用到電腦上。 您可利用 Microsoft 管理主制台(MMC) 安全性範本嵌入式管理單元或記事本之類的文字編輯器修改安全性範本。 範本檔案中有些段落含有以由 Security Descriptor Definition Language (SDDL) 撰寫的特定 ACL。 您可在 MSDN® 的安全性描述元定義語言 (英文) 網頁上取得更多關於編輯安全性範本及 SDDL 的進一步資訊,其網址為:http://msdn.microsoft.com/library/
en-us/secauthz/security/security_descriptor_definition_language.asp。

依預設,通過驗證的使用者有權讀取「群組原則」物件中的所有設定。 因此,將用於實際執行環境的安全性範本儲存在負責實作群組原則的管理員可以存取的安全位置,這非常重要。 它的目的不是防止 *.inf 檔案被偷看,而是防止原始安全性範本遭到未經授權的更改。

所有執行 Windows Server 2003 的電腦皆將安全性範本存於本機內的 %SystemRoot%\security\templates 資料夾中。 該資料夾無法在數個網域控制站間複製,因此您必須指定一個位置來保存安全性範本的主複本,以避免遇到範本的版本控制問題。 當集中放置的範本被修改過後,可將範本重新部署至適當的電腦上。 本方法可確保您修改的範本永遠都是相同版本。

成功的 GPO 應用事件

雖然系統管理員可以手動檢查所有設定以確保設定皆已適當地套用到您組織中的伺服器中,「事件日誌」中亦應該出現一個事件以通知管理員,網域原則已經成功下載至每一個伺服器。 在「應用程式紀錄」中,應出現與下列項目類似的事件,且顯示其專屬的事件 ID 編號:

類型:資訊

來源 ID:SceCli

事件 ID:1704

說明:已成功套用群組原則物件中的安全性原則。

依預設,安全性設定在工作站或伺服器每隔 90 分鐘重新整理一次,在網域控制站每隔 5 分鐘重新整理一次。 如果在這些間隔期間發生任何變更,您將看到本類型事件。 此外,不論是否有任何變更,該設定每十六小時會更重新整理一次。 您亦可利用本章之後所敘述的程序,以手動方式強制更新群組原則設定。

伺服器角色組織單位

先前的範例說明管理組織基礎結構伺服器的一種方式。 該方法可延伸適用至組織中其他的伺服器及服務上。 其目標係為所有伺服器建立完美的群組原則,並確保在 Active Directory 中的伺服器皆能達到該環境的安全性標準。

本類型的群組原則會在組織內的所有伺服器上,產生具一致性的標準設定基準線。 此外,OU 結構和群組原則的應用必須提供詳盡的設計,以提供組織中特定類型伺服器的安全性設定。 例如,Internet Information Server (IIS)、檔案、列印、網際網路驗證伺服器 (IAS) 和憑證服務,便是組織中一些可能需要獨特群組原則的伺服器角色。

重要:為了簡化,本節範例假定使用的是「企業用戶端環境」。 若要使用其他兩種環境其中之一,請代換適當的檔案名稱。 這三種環境的區別及其功能已在第 1 章<Windows Server 2003 安全性指南簡介>中說明。

成員伺服器基礎原則

建立伺服器角色 OU 的第一步是建立基準線原則。 為了建立該原則,您可在標準成員伺服器上,利用 SCW 建立 Member Server Baseline.xml 檔案。 建立 XML 時,請利用 SCW 納入本指南提供的 成員伺服器基準線安全性範本 (LC-Member Server Baseline.inf、EC-Member Server Baseline.inf,或 SSLF-Member Server Baseline.inf)。

建立 SCW 原則後,會將該原則轉換為 GPO 並與成員伺服器 OU 結合。 這個新基準線 GPO 可將基準線群組原則的設定套用在成員伺服器 OU 內及其子 OU 內所有伺服器中。 成員伺服器基準線原則在第 4 章<成員伺服器基準線原則>中有討論。

您應在基準線群組原則中,為組織內大多數的伺服器定義所需的設定。 雖然可能有些伺服器不應接受基準線原則,但這類伺服器數量應該不多。 如果您要建立自己的基準線群組原則,請盡可能嚴格,並將需求與該原則不同的伺服器納入伺服器專屬的其他 OU 中。

伺服器角色類型和組織單位

每個被識別的伺服器角色除了基準線 OU 外,還需要另一個 SCW 原則、安全性範本,以及 OU。 本方法可依據各角色所需的增量變更建立不同的原則。

在先前的範例中,基礎結構伺服器被放入基礎結構 OU 中,這是成員伺服器 OU 的子 OU。 下一步是將適當的設定套用至這些伺服器上。 本解決方案提供了三種安全性範本,每種安全性環境一個:LC-Infrastructure Server.inf、EC-Infrastructure Server.inf,以及 SSLF-Infrastructure Server.inf。 與 SCW 一同使用時,這些安全性範本可協助您建立內含 DHCP 及 WINS 之特定調整要求的安全性原則。 產生的原則之後會轉換為新的 GPO,並連結至基礎結構 OU。

本 GPO 使用 [受限群組] 設定將下列三種群組加入至基礎結構 OU 中所有伺服器的 Local Administrators 群組:

  • Domain Administrators

  • Enterprise Administrators

  • Infrastructure Administrators

如本章先前所述,本方法僅是建立用於部署 GPO 的 OU 結構的方法之一。 如需與建立供群組原則實作之 OU 有關的進一步資訊,請參閱設計 Active Directory 結構 (英文) 及其相關議題,其網址為:www.microsoft.com/resources/documentation/Windows/2000/server/reskit/
en-us/deploy/dgbd_ads_heqs.asp?frame=true。

下表列出 Windows Server 2003 伺服器角色,及在本指南中為其定義的相對應範本檔案。 安全性範本檔名的前面加上了 <Env> 變數。該變數可視需要以 LC (適用於傳統用戶端)、EC (適用於企業用戶端),或 SSLF (適用於專業安全性限制功能) 取代。

表 2.1 Windows Server 2003 伺服器角色

伺服器角色

說明

安全性範本檔名

成員伺服器

屬於網域的成員並位於成員伺服器 OU 之中或以下的所有伺服器。

<Env>-Member Server Baseline.inf

網域控制站

所有 Active Directory 網域控制站。 這些伺服器也是 DNS 伺服器。

<Env>-Domain Controller.inf

基礎結構伺服器

所有已鎖定 WINS 和 DHCP 伺服器。

<Env>-Infrastructure Server.inf

檔案伺服器

所有已鎖定檔案伺服器。

<Env>-File Server.inf

列印伺服器

所有已鎖定列印伺服器。

<Env>-Print Server.inf

網頁伺服器

所有已鎖定 IIS 網頁伺服器

<Env>-Web Server.inf

IAS 伺服器

所有已鎖定 IAS 伺服器

<Env>-IAS Server.inf

憑證服務伺服器

所有已鎖定憑證授權 (CA) 伺服器。

<Env>-CA Server.inf

堡壘主機

所有面對網際網路的伺服器。

<Env>-Bastion Host.inf


除供堡壘主機使用的範本檔外,所有範本檔皆套用於相對應的子 OU。 對每一個子 OU,您必須套用專屬設定以定義各電腦在組織中所扮演的角色。

這些伺服器角色各自的安全性需求互為不同。 每一個角色適當的安全性設定將在以後的章節詳細討論。 請注意,並非所有角色皆有對應至所有環境的範本。 例如,堡壘主機角色只會出現在 SSLF 環境中。

重要:本指南假設執行 Windows Server 2003 的電腦會扮演經特別定義的角色。 如果您的組織中的伺服器不符合這些角色,或者您有多用途伺服器,請使用此處定義的設定當作安全性範本的指南。 不過,有一點要留意的是,每部伺服器所執行的功能越多,就越容易受到攻擊。

下圖顯示在 EC 環境中,支援這些伺服器角色的最終 OU 設計。

圖 2.3 OU 設計範例

圖 2.3 OU 設計範例

OU、GPO 和群組設計

在先前章節所建議的 OU 及原則可為組織中執行 Windows Server 2003 的電腦建立基準線 OU,或建立新環境以重整組織現有的 OU 架構。 系統管理員可利用預先定義的管理界限分別建立管理群組。 下表是顯示群組和其管理之 OU 間相互關係的範例。

表 2.2 OU 和管理群組

OU 名稱

管理群組

網域控制站

Domain Engineering

成員伺服器

Domain Engineering

基礎結構

Infrastructure Admins

檔案

Infrastructure Admins

列印

Infrastructure Admins

IAS

Domain Engineering

網頁

Web Services

CA

Enterprise Administrators


每個管理群組皆由負責 Active Directory 基礎結構及安全性的 Domain Engineering 成員在網域中以通用群組之形式建立。 他們利用相對應的 GPO 將這些管理群組加入適當的受限群組中。 只有位在該 OU 的電腦內 Local Administrators 群組成員的管理群組會列在表中。該 OU 中僅包含與其工作功能有關的電腦。

最後,Local Administrators 成員會設定每個 GPO 的權限,只有網域工程群組中的管理員可以加以編輯。

請注意,這些群組的建立與設定屬於 Active Directory 整體設計及實作程序的一部分。 它並不是本指南的一部分。

程序概觀

本指南結合 SCW 方式及群組原則方式的優點。 這種混和方式可使您更輕易地建立並測試安全性設定,同時提供大型 Windows 網路所需要的彈性與延展性。

用於建立、測試及部署原則的程序如下:

  1. 建立包括群組及 OU 在內的 Active Directory 環境。 您應建立適當的管理群組,並將 OU 權限委派給相應的群組。

  2. 在裝載 FDC 模擬器 FSMO 的網域控制站上設定時間同步化作業。

  3. 設定網域原則。

  4. 以 SCW 建立基準線原則。

  5. 以 SCW 測試基準線原則。

  6. 將基準線原則轉換為 GPO,並將其連結至適當的 GPO。

  7. 以 SCW 建立角色原則並納入安全性範本。

  8. 以 SCW 測試角色原則。

  9. 將角色線原則轉換為 GPO,並將其連結至適當的 GPO。

以下小節會更詳細地說明這些步驟。

注意:為了簡化,本節範例假定使用的是「企業用戶端 (EC)」環境。 若要使用其他兩種環境其中之一,請代換適當的檔案名稱。 這三種環境的區別及其功能已在第 1 章<Windows Server 2003 安全性指南簡介>中說明。

建立 Active Directory 環境

在開始強化程序前,您必須準備好合適的 Active Directory 網域及 OU 結構。 以下程序列出本指南所使用之 OU 及群組的建立步驟,以及設定這些 OU 以獲得適當的管理存取權限的步驟。

  1. 請開啟 MMC Active Directory 使用者及電腦嵌入式管理單元 (Dsa.msc)。

  2. 在網域物件的根,建立名為 Member Servers 的 OU。

  3. 瀏覽至該新 OU,並在裡面建立一個名為 Infrastructure 的子 OU。

  4. 將所有 WINS 及 DHCP 伺服器移動到該 Infrastructure OU 中。

  5. 建立名為 Infrastructure Admins 的通用安全性群組,並加入適當的網域帳號。

  6. 執行委派控制精靈,將 OU 的「完整控制權」提供給 Infrastructure Admins 群組。

  7. 為檔案伺服器、列印伺服器、網頁伺服器、IAS 伺服器、及憑證服務伺服器角色重複步驟 3 至步驟 6。 使用表 2.2 中之資訊選擇適當的 OU 及群組名稱。

設定時間同步化

以下程序可確保網域控制站及成員伺服器皆與外部時間來源同步。 同步化工作可確保 Kerberos 驗證作業能正常運作,並讓 Active Directory 網域與任何外部電腦同步。

  1. 在具有 PDC 模擬器 FSMO 的網域控制站上,開啟命令提示並執行下列命令。其中的 <PeerList> 是一組由逗號分隔的 DNS 名稱或 IP 地址的清單,代表想使用的時間來源。


    w32tm /config /syncfromflags:manual /manualpeerlist:<PeerList>
    
  2. 若要更新設定,請執行下列命令:


    w32tm /config /update
    
  3. 檢查 [事件日誌]。 如果電腦無法連上伺服器,該程序將失敗,且會在 [事件日誌] 中登記一個項目。

這個程序的常見用法是使內部網路的權威性時間來源和外部時間來源精確地同步化。 不過,這個程序可以在執行 Windows XP 的任何電腦或 Windows Server 2003 系列的成員上執行。 如果伺服器與同一個內部來源同步,通常沒有必要將所有伺服器的時鐘與外部來源同步。 根據預設,成員電腦的時鐘永遠會和網域控制站同步。

注意:為進行準確的日誌分析,您必須將執行 Windows 以外之作業系統的網路電腦的時鐘與 Windows Server 2003 PDC 模擬器同步,或以同樣的時間來源將該伺服器的時間同步。

設定網域原則

以下程序可將本指南所提供,供網域層級原則使用的安全性範本匯入。 本原則係以安全性範本的形式提供,因為 SCW 無法提供網域層級的原則。 在您實作以下程序前,電腦上必須有指定的原則 (.inf) 檔。

警告:本指南中的安全性範本其設計是為了提升環境的安全性。 安裝這些範本可能會使您的環境喪失一些功能,而關鍵任務應用程式也可能會失敗。

在將這些設定部署到實際執行環境前,徹底測試這些設定是「很重要」的。 請先將您的環境中每個網域控制站和伺服器備份,再套用新的安全性設定。 請確保備份檔中儲存了系統狀態。如有必要,您可以用備份來回復登錄設定及 Active Directory 物件。

匯入網域原則安全性範本

  1. 在 [Active Directory 使用者和電腦] 的 [網域] 上按一下滑鼠右鍵,然後選擇 [內容]。

  2. 在 [群組原則] 索引標籤上,按一下 [新增] 來新增一個新的 GPO。

  3. 輸入 EC-Domain Policy,然後按 ENTER。

  4. 在 [EC-Domain Policy] 上按一下滑鼠右鍵,然後選擇 [不可強制覆蓋]。

  5. 選取 [EC-Domain Policy],然後按一下[編輯]。

  6. 在 [群組原則物件編輯器] 視窗中,按一下 [電腦設定]\[Windows 設定]。 在 [安全性設定] 按一下滑鼠右鍵,然後選擇 [匯入原則]。

  7. 在 [匯入原則自] 對話方塊中,瀏覽至「\Tools and Templates\Security Guide\Security Templates」,然後按兩下 EC-Domain.inf

  8. 關閉已完成修改的群組原則。

  9. 關閉 [網域內容] 視窗。

  10. 如果您不想等侯排定的群組原則應用程式,您可以手動方式啟動程序。 若要手動啟動:

    • 請開啟命令提示,輸入 gpupdate/Force,然後按下 ENTER。

  11. 請驗證事件記錄檔,確認已成功下載群組原則,並且伺服器可與此網域中的其他網域控制站進行通訊。

警告:建立 EC-Domain Policy 時,請確定啟用 [不可強制覆蓋] 選項,在整個網域中強制使用這個原則。 本群組原則是本指南中,唯一必須啟用 [不可強制覆蓋] 選項的原則。 請不要在本指南中指定之其它群組原則中啟用這個選項。 另外,請不要修改 Windows Server 2003 預設網域原則,以免日後須改回預設值。

要確保這個新群組原則的優先順序先於預設原則,請將它定位在所有 GPO 連結中具有最高的優先順序。

重要:為確保密碼原則運用上的一致性,您必須將本群組原則匯入組織其他網域裡。 不過,根網域密碼原則比其它網域還嚴謹的環境是很常見的。 另外,您必須確定使用相同原則的其它網域也具有同樣的業務需求。 因為密碼原則只能設定在網域層級,有可能會有業務或法律上的需要,只要簡單將一些使用者劃分到分隔的網域,然後對群組強制使用比較嚴格的密碼原則就可以了。

要清除允許繼承權限選項

根據預設,新的 OU 結構會繼承上層容器的安全性設定。 在每個 OU 中,取消選取的 [允許父系可繼承的權限傳播到這個物件及所有子物件] 核取方塊。

  1. 開啟 [Active Directory 使用者和電腦]。

  2. 按一下 [檢視],然後選取 [進階功能] 以選擇 [進階] 檢視。

  3. 適當的 OU 名稱上按一下滑鼠右鍵,再按 [內容]。

  4. 按一下 [安全性] 索引標籤,再按一下 [進階]。

  5. 清除 [允許父系可繼承的權限傳播到這個物件及所有子物件], 包括明確定義於此的項目核取方塊。

移除管理員先前新增的不必要的群組,並新增對應到每個伺服器角色 OU 的網域群組。 保留針對「網域系統管理員」群組所設定的 [完全控制]。

利用 SCW 以手動方式建立基準線原則

下個步驟係使用 SCW 來建立成員伺服器基準線原則。

您應該使用新安裝的作業系統來開始設定工作,以確保不會誤用之前設定的舊設定或軟體。 如有可能,您應該使用您將用於部署的類似硬體,以儘量確保相容性。 新安裝的電腦稱為「參照電腦」。

在建立成員伺服器基準線原則 (MSBP) 時,請記得將「檔案」伺服器角色由刪除的角色名單中移除。 此角色通常是在不需要此角色的伺服器上設定,因此可將其視為一種安全性風險。 若要為需要檔案伺服器角色的伺服器啟用此角色,您可以套用本程序稍後的第二個原則。

建立成員伺服器基準線原則

  1. 在一台新的參照電腦上安裝 Windows Server 2003 SP1。

  2. 在新電腦上,透過 [控制台]、[新增/移除程式]、[新增/移除 Windows 元件] 來安裝「安全性設定精靈」元件。

  3. 將電腦加入到網域中。

  4. 僅安裝您環境中每個伺服器上必備的強制應用程式。 例如,軟體和管理代理程式、磁帶備份代理程式,以及防毒或反間諜軟體公用程式。

  5. 啟動 SCW,然後選取 [建立新原則],然後指向參照電腦。

  6. 從偵測到的角色清單中移除檔案伺服器角色。

  7. 確保偵測到的用戶端功能適用於您的環境。

  8. 確保偵測到的系統管理選項適用於您的環境。

  9. 確定已偵測到基準線所需的任何其他服務,例如:備份代理程式或防毒軟體。

  10. 決定如何在環境中處理未指定的服務。 如要增強安全性,您可能要將此設定設為 [停用]。 將此設定部署到生產網路中之前,應先對其進行測試。如果生產伺服器執行其他未複製到參照電腦上的服務,此設定可能會導致問題發生。

  11. 檢視網路設定,並確定系統已偵測到適當的連接埠和應用程式,並會將其設定為 Windows 防火牆的例外狀況。

  12. 略過<登錄設定>一節。

  13. 略過<稽核原則>一節。

  14. 包含適當的安全性範本 (例如,EC-Member Server Baseline.inf)。

  15. 以適當的名稱儲存原則 (例如,Member Server Baseline.xml)。

建立網域控制站原則

您必須使用設定為網域控制站的電腦來建立網域控制站原則。 您可以使用現有網域控制站,也可以建立參照電腦,然後再使用 Dcpromo 工具將電腦設定為網域控制站。 但大多數組織並不想在其生產環境中新增網域控制站,因為這樣做可能會違反其安全性原則。 如果使用現有的網域控制站,請確定您未使用 SCW 對其套用任何設定或修改其設定。

  1. 在新電腦上,透過 [控制台]、[新增/移除程式]、[新增/移除 Windows 元件] 來安裝「安全性設定精靈」元件。

  2. 僅安裝您環境中每個伺服器上必備的強制應用程式。 例如,軟體和管理代理程式、磁帶備份代理程式,以及防毒或反間諜軟體公用程式。

  3. 啟動 SCW GUI,然後選取 [建立新原則],然後指向參照電腦。

  4. 確定偵測到的角色適用於您的環境。

  5. 確保偵測到的用戶端功能適用於您的環境。

  6. 確保偵測到的系統管理選項適用於您的環境。

  7. 確定已偵測到基準線所需的任何其他服務,例如:備份代理程式或防毒軟體。

  8. 決定如何在環境中處理未指定的服務。 如要增強安全性,您可能要將此原則設定設為 [停用]。 將此設定部署到生產網路中之前,應先對其進行測試。如果生產伺服器執行其他未複製到參照電腦上的服務,此設定可能會導致問題發生。

  9. 檢視網路設定,並確定系統已偵測到適當的連接埠和應用程式,並會將其設定為 Windows 防火牆的例外狀況。

  10. 略過<登錄設定>一節。

  11. 略過<稽核原則>一節。

  12. 包含適當的安全性範本 (例如,EC-Domain Controller.inf)。

  13. 以適當的名字儲存原則 (例如,Domain Controller.xml)。

以 SCW 測試基準線原則。

建立並儲存基準線原則後,Microsoft 強烈建議您將原則部署到測試環境中。 在理想的情況下,您的測試伺服器會擁有與生產伺服器相同的硬體和軟體設定。 此方法可幫您找出並解決潛在的問題,例如,存在特定硬體裝置所需的非預期服務。

您有兩種測試原則的選擇。 您可以使用原生 SCW 部署功能,或透過 GPO 來部署此原則。

開始撰寫原則時,您應考慮使用原生 SCW 部署功能。 您可以使用 SCW 將原則一次推入單一伺服器中,或使用 Scwcmd 將原則推入一群伺服器中。 原生部署方式能提供一個優點,就是在 SCW 內輕易回復已部署的原則。 如果在測試過程中對原則進行多次修訂,則此功能就會變得非常實用。

原則都經過測試,以確保在目標伺服器上使用該原則不會對伺服器的重要功能造成負面影響。 套用設定變更後,您應該開始確認電腦的核心功能。 例如,如果將伺服器設定為憑證授權單位 (CA),請確定用戶端可以要求和獲得憑證、下載憑證撤銷清單等。

確定原則設定後,您即可按照下列程序所示,使用 Scwcmd 將原則轉換成 GPO。

如需如何測試 SCW 原則的詳細資訊,請參閱安全性設定精靈部署指南 (英文), 網址為:www.microsoft.com/technet/prodtechnol/windowsserver2003/
library/SCWDeploying/5254f8cd-143e-4559-a299-9c723b366946.mspx 安全性設定精靈說明文件 (英文),網址為:http://go.microsoft.com/fwlink/?linkid=43450。

將基準線原則轉換成 GPO

在徹底測試過基準線原則後,請完成以下步驟將原則轉換為 GPO,並連結至適當的 OU。

  1. 在命令提示字元中,輸入下列命令:


    scwcmd transform /p:<PathToPolicy.xml> /g:<GPODisplayName>
    

    然後按下 ENTER。 例如:


    scwcmd transform /p:"C:\Windows\Security\msscw\Policies\Infrastructure.xml" 
    /g:"Infrastructure Policy"
    

    注意:由於版面限制,所以此處所提供的命令提示字元的輸入資訊,呈現出多行的情況。 實際上,所有資訊應輸入於同一行。

  2. 使用「群組原則管理主控台」將新建立的 GPO 連結至適當的 OU。

請注意,如果 SCW 安全性原則檔案包含 Windows 防火牆設定,則您必須在本機電腦上啟用 Windows 防火牆,才能成功完成此程序。 若要確認是否已啟用 Windows 防火牆,請開啟 [控制台],然後連按兩下 [Windows 防火牆]。

此時,您應執行最後測試,以確定 GPO 套用了所需的設定。 若要完成此程序,請確認已設定適當的設定,並且功能不受影響。

使用 SCW 建立角色原則

下個步驟是利用 SCW 為各個伺服器角色建立角色原則。

建立角色專屬原則的步驟與建立 MSBP 的步驟很類似。 您必須再次使用參照電腦以確定沒有取自先前組態的傳統設定或軟體。

建立角色原則

  1. 在一台新的參照電腦上安裝 Windows Server 2003 SP1。

  2. 在新電腦上,透過 [控制台]、[新增/移除程式]、[新增/移除 Windows 元件] 來安裝「安全性設定精靈」元件。

  3. 將新伺服器加入網域。

  4. 安裝您環境中每個伺服器上必備的強制應用程式。 例如,軟體和管理代理程式、磁帶備份代理程式,以及防毒或反間諜軟體公用程式。

  5. 為該電腦設定合適的角色。 例如,如果目標伺服器將執行 DHCP 及 WINS,請安裝那些元件。 在設定時不必與已部署的伺服器完全相同,但其角色必須安裝。

  6. 啟動 SCW。

  7. 選取 [建立新原則],然後指向參照電腦。

  8. 確定偵測到的角色適用於您的環境。

  9. 確保偵測到的用戶端功能適用於您的環境。

  10. 確保偵測到的系統管理選項適用於您的環境。

  11. 確定已偵測到基準線所需的任何其他服務,例如:備份代理程式或防毒軟體。

  12. 決定如何在環境中處理未指定的服務。 為了得到更高的安全性 (及較差的功能性),您可將本原則設定設為 [停用]。本設定將停用任何未經由 SCW 明示許可的新服務。 將此設定部署到生產網路中之前,應先對其進行測試。如果生產伺服器執行其他未複製到參照電腦上的服務,此設定可能會導致問題發生。

  13. 確認列出的所有服務變更。

  14. 檢閱網路設定並確定 SCW 已偵測出適當的連接埠及應用程式,以便為 Windows 防火牆設定例外狀況。

  15. 略過<登錄設定>一節。

  16. 略過<稽核原則>一節。

  17. 如果係以網頁伺服器角色設定該伺服器,請完成「網際網路資訊服務」一節中的步驟,以確定 SCW 的設定可支援必要的 IIS 功能。

  18. 請按下 [納入安全性範本] 以加入適當的安全性範本。

  19. 請以適當的名稱儲存原則。

使用 SCW 測試角色原則

和基準線原則一樣,有兩種方式可以測試原則。 您可以使用原生 SCW 部署功能,或透過 GPO 來部署此原則。 同樣的,Microsoft 強烈建議您在實際執行環境中部署角色原則前,先將角色原則部署到測試環境中。 這種方法可協助將實際執行環境停機及失敗的可能性降到最低。 將新設定徹底測試完畢後,您可依下述程序將原則轉換為 GPO,並將其套用至適當的 OU 裡。

將角色原則轉換成 GPO

在徹底測試過角色原則後,請完成以下步驟將原則轉換為 GPO,並連結至適當的 OU。

  1. 在命令提示字元中,輸入下列命令:


    scwcmd transform /p:<PathToPolicy.xml> /g:<GPODisplayName>
    

    然後按下 ENTER。 例如:


    scwcmd transform /p:"C:\Windows\Security\msscw\Policies\Infrastructure.xml" 
    /g:"Infrastructure Policy"
    
    注意:由於版面限制,所以此處所提供的命令提示字元的輸入資訊,呈現出多行的情況。 實際上,所有資訊應輸入於同一行。
  2. 使用「群組原則管理主控台」將新建立的 GPO 連結至合適的 OU,並記得將其移動到預設網域控制站原則之上,使其擁有最高的優先權。
    請注意,如果 SCW 安全性原則檔案包含 Windows 防火牆設定,則您必須在本機電腦上啟用 Windows 防火牆,才能成功完成此程序。 若要確認是否已啟用 Windows 防火牆,請開啟 [控制台],然後連按兩下 [Windows 防火牆]。

總結

安全性系統管理員必須瞭解與傳統群組原則式強化方法相較,SCW 方法的優缺點,以便為其環境選擇正確的方法。 SCW 和群組原則可一同使用,以運用 SCW 迅速建立具一致性之原型原則的功能,及群組原則富延展性的部署與管理能力。

為保護環境而審閱樹系、網域及 OU 的設計時,必須就其設計作些考量。

研究並記錄組織特定之自治及孤立的條件,這是非常重要的。 政策上的自治、作業的孤立,以及獨立的法規,這些都是在樹系設計考量時的關鍵原因。

瞭解如何管理服務管理員是很重要的。 惡意的服務管理員對組織所造成的風險很大。 最起碼,惡意網域管理員可在樹系中任何一個網域中存取資料。

儘管變更組織中的樹系或網域設計並非易事,為了解除某些安全性風險,您有必要予以變更。 為組織中的 OU 部署予以規劃,以滿足服務管理員及資料管理員的需求也是很重要的。 本章提供關於建立 OU 模型的詳細資訊。OU 模型可協助我們運用 GPO,以便我們在組織中管理不同的伺服器角色。

其他資訊

下列連結提供更多有關強化執行 Windows Server 2003 SP1 的伺服器的主題。


下載

取得 Windows Serve 2003 安全性指南

更新通知

註冊以瞭解更新和新版本

意見

請將您的意見或建議傳送給我們


顯示: