Windows Server 2003 安全性指南

第 8 章:列印伺服器角色

更新日期: 2006 年 7 月 17 日

本頁內容

概觀
稽核原則設定
使用者權利指派
安全性選項
事件記錄設定
其他安全性設定
使用 SCW 建立原則
總結

概觀

本章著重說明如何強化執行 Microsoft® Windows Server™ 2003 SP1 的列印伺服器,這一點可說是一大挑戰。 這類伺服器提供的主要服務需要具備伺服器訊息區 (SMB) 與通用網際網路檔案系統 (CIFS) 通訊協定;這兩者都能提供豐富的資訊給未經驗證的使用者。 在高安全性 Windows 環境中的列印伺服器,往往停用這些通訊協定。 然而,在您的環境中若停用這些通訊協定,系統管理員與使用者都難以存取列印伺服器。

本指南所述大多數設定均透過群組原則來進行設定和套用。 補充成員伺服器基準線原則 (MSBP) 的群組原則物件 (GPO),可以連結到含有列印伺服器的適當組織單位 (OU),以針對這個伺服器角色提供必要的安全性設定。 本章只討論與 MSBP 不同的原則設定。

在可能的情況下,這些設定會收集到準備套用到列印伺服器 OU 的增量群組原則範本中。 本指南所述之部分設定無法透過群組原則來進行套用。 本指南還提供如何手動設定這些設定的詳細資訊。

下表所示為在本指南所定義的三種環境中,列印伺服器安全性範本的名稱。 這些範本將提供增量列印伺服器範本的原則設定,讓您建立新的 GPO,連結到適當環境中的列印伺服器 OU。 第 2 章《Windows Server 2003 強化機制》中提供逐步指示,協助您建立 OU 和群組原則,然後將適當的安全性範本匯入到每個 GPO 中。

表 8.1 三種環境的列印伺服器安全性範本

傳統用戶端

企業用戶端

專業安全性限制功能

LC-Print Server.inf

EC-Print Server.inf

SSLF-Print Server.inf


如需 MSBP 的設定的相關資訊,請參閱第 4 章<成員伺服器基準線原則>。如需所有預設設定的相關資訊,請參閱同系列指南威脅與因應對策:Windows Server 2003 和 Windows XP 中的安全性設定 網址為:http://go.microsoft.com/fwlink/?LinkId=15159。

注意:以 SSLF-Print Server.inf 安全性範本保護的列印伺服器,唯有以相容設定所保護的用戶端電腦才能穩定地存取。 請參閱《Windows XP 安全性指南》以取得關於以 SSLF 相容設定保護用戶端電腦的資訊。

稽核原則設定

本指南所定義三種環境下,適用於列印伺服器的稽核原則設定,是透過 MSBP 加以設定。 如需 MSBP 的詳細資訊,請參閱第 4 章<成員伺服器基準線原則>。MSBP 設定可以讓安全性稽核資訊記錄到所有的列印伺服器中。

使用者權利指派

本指南所定義三種環境下,適用於列印伺服器的使用者權利指派設定,是透過 MSBP 加以設定。 如需 MSBP 的其他詳細資訊,請參閱第 4 章<成員伺服器基準線原則>。利用 MSBP 設定,可在所有的列印服器上統一設定使用者權利指派。

安全性選項

本指南所定義的三種環境中,列印伺服器的大多數安全性選項設定,是透過 MSBP 加以設定。 如需 MSBP 的其他詳細資訊,請參閱第 4 章<成員伺服器基準線原則>。MSBP 與列印伺服器群組原則之間的差別,將在下一節加以說明。

Microsoft 網路伺服器:數位簽章伺服器的通訊 (自動)

表 8.2 數位簽章伺服器的通訊 (自動) 的建議設定

設定

傳統用戶端

企業用戶端

專業安全性限制功能

Microsoft 網路伺服器: 數位簽章伺服器的通訊 (自動)

已停用

已停用

已停用


這項原則設定可決定 SMB 伺服器元件是否要求封包簽署。 SMB 通訊協定可作為 Microsoft 檔案、列印共用,以及其他許多網路作業 (例如遠端 Windows 系統管理) 的基礎。 為了防止會在傳輸過程修改 SMB 封包的攔截式攻擊 (man-in-the-middle),SMB 通訊協定必須支援 SMB 封包數位簽署。 這個原則設定可決定能與 SMB 用戶端更進一步通訊前,是否必須先協商 SMB 封包簽署。

雖然 [Microsoft 網路伺服器: 數位簽章伺服器的通訊 (自動)] 設定預設為停用,但 MSBP 針對 SSLF 環境中的伺服器啟用這個設定,以允許使用者列印,但無法檢視列印佇列。 使用者若嘗試檢視列印佇列,會收到拒絕存取的訊息。

[Microsoft 網路伺服器: 數位簽章伺服器的通訊 (自動)] 設定在本指南所定義全部三種環境中的列印伺服器均設定為 [已停用]。

事件記錄設定

本指南所定義三種環境下,適用於列印伺服器的事件記錄設定,是透過 MSBP 加以設定。 如需 MSBP 的更多資訊,請參閱第 4 章<成員伺服器基準線原則>。

其他安全性設定

雖然透過 MSBP 所套用的安全性設定能大幅增強列印伺服器的安全性,不過您必須考慮加上幾個其他設定。 本節所提及的設定無法透過群組原則加以套用,因此必須在所有的列印伺服器上手動執行。

保護已知帳戶

Microsoft Windows Server 2003 SP1 有一些內建的使用者帳戶無法刪除,但可以重新命名。 Windows Server 2003 內兩個最眾所皆知的內建帳戶是 Guest 和 Administrator。

在預設的情況下,Guest 帳戶在成員伺服器和網域控制站上,都是停用狀態。 此設定不得變更。 各種型態的惡意程式碼會先利用內建的 Administrator 帳戶來嘗試入侵伺服器。 因此,您應該重新命名內建 Administrator 帳戶並修改其說明,以防攻擊者利用此已知帳戶對遠端伺服器進行攻擊。

此設定變更的值在過去幾年中已經降低,因為已有攻擊工具能透過指定內建 Administrator 帳戶的安全性識別元 (SID) 來判斷真實名稱,然後嘗試破解伺服器。 SID 是用於明確識別網路上每一個使用者、群組、電腦帳戶以及登入工作階段的一個值。 此內建帳戶的 SID 無法變更。 如果以唯一名稱重新命名了此 Administrator 帳戶,操作群組就能輕易監視對此帳戶的攻擊嘗試。

保護列印伺服器中已知帳戶的安全

  • 將每個網域和伺服器的 Administrator 與 Guest 帳戶重新命名,然後將密碼變更為一個更長、更複雜的值。

  • 每個伺服器都使用不同的名稱及密碼。 如果所有網域及伺服器上都使用相同的帳戶名稱與密碼,攻擊者在取得一個成員伺服器的存取權限之後,就能存取所有其他伺服器。

  • 將帳戶說明變更成不同於預設值的說明,以協助防止帳戶易於識破。

  • 在安全的地方記錄您所作的任何變更。

    注意:您可以透過群組原則重新命名內建的 Administrator 帳戶。 本指南提供的所有安全性範本均未實作此設定,因為每個組織都應該為此帳戶選擇唯一的名稱。 不過,您可以進行 [帳戶: 重新命名系統管理員帳戶] 設定,將本指南所定義三種環境中的系統管理員帳戶重新命名。 此原則設定是 GPO 安全性選項設定的一部分。

保護服務帳戶

除非絕對必要,否則切勿將服務設定成在網域帳戶的安全性內容下執行。 如果伺服器實體遭到破壞,網域帳戶密碼就會很容易透過傾印 LSA 機密而洩漏出去。 如需如何保護服務帳戶的詳細資訊,請參閱服務和服務帳戶安全性規劃指南 (英文),網址為:www.microsoft.com/technet/security/topics/serversecurity/serviceaccount/default.mspx。

使用 SCW 建立原則

若要部署必要的安全性設定,您必須使用安全性設定精靈 (SCW) 和本指南之下載版本中所包含的安全性範本來建立伺服器原則。

建立您自己的原則時,請務必略過 [登錄設定] 和 [稽核原則] 區段。 上述設定均為安全性範本針對您所選的環境所提供的設定。 您必須使用此方法,以確保範本所提供的原則元素優先於 SCW 所設定的原則元素。

您應該使用新安裝的作業系統來開始設定工作,以確保不會誤用之前設定的舊設定或軟體。 如有可能,您應該使用您用於部署的類似硬體,以儘量確保相容性。 新安裝的電腦稱為「參照電腦」。

若要建立列印伺服器原則

  1. 在一台新的參照電腦上安裝 Windows Server 2003 SP1。

  2. 在新電腦上,透過 [控制台]、[新增/移除程式]、[新增/移除 Windows 元件] 來安裝「安全性設定精靈」元件。

  3. 將電腦加到網域中,這樣將會套用來自上層 OU 的所有安全性設定。

  4. 僅安裝和設定要在每個伺服器上共用此角色的強制應用程式。 例如,特定角色的服務、軟體和管理代理程式、磁帶備份代理程式,以及防毒或反間諜軟體公用程式。

  5. 啟動 SCW GUI,然後選取 [建立新原則],然後指向參照電腦。

  6. 確保偵測到的伺服器角色適用於您的環境:例如,列印伺服器角色。

  7. 確保偵測到的用戶端功能適用於您的環境。

  8. 確保偵測到的系統管理選項適用於您的環境。

  9. 確定已偵測到基準線所需的任何其他服務,例如:備份代理程式或防毒軟體。

  10. 決定如何在環境中處理未指定的服務。 如要增強安全性,您可能要將此原則設定設為 [已停用]。 將此設定部署到生產網路中之前,應先對其進行測試。如果生產伺服器執行其他未複製到參照電腦上的服務,此設定可能會導致問題發生。

  11. 確定在 [網路安全性] 區段中未核取 [略過此區段] 核取方塊,然後按一下 [下一步]。 之前識別出的適當連接埠和應用程式已設定為 Windows 防火牆的例外狀況。

  12. 在 [登錄設定] 區段中,按一下 [略過此區段] 核取方塊,然後按一下 [下一步]。 這些原則設定會從提供的 INF 檔案中匯入。

  13. 在 [稽核原則] 一節中,按一下 [略過此區段] 核取方塊,然後按一下 [下一步]。 這些原則設定會從提供的 INF 檔案中匯入。

  14. 納入適當的安全性範本 (例如,EC-Print Server.inf)。

  15. 以適當的名稱儲存原則 (例如,Print Server.xml)。

使用 SCW 測試原則

建立並儲存原則之後,Microsoft 強烈建議您將原則部署到測試環境中。 在理想的情況下,您的測試伺服器會擁有與生產伺服器相同的硬體和軟體設定。 此方法可幫您找出並解決潛在的問題,例如,存在特定硬體裝置所需的非預期服務。

您有兩種測試原則的選擇。 您可以使用原生 SCW 部署功能,或透過 GPO 來部署此原則。

開始撰寫原則時,您應考慮使用原生 SCW 部署功能。 您可以使用 SCW 將原則一次推入單一伺服器中,或使用 Scwcmd 將原則推入一群伺服器中。 原生部署方式能提供一個優點,就是在 SCW 內輕易回復已部署的原則。 如果在測試過程中對原則進行多次修訂,則此功能就會變得非常實用。

經過測試的原則可以確保將此原則套用到目標伺服器之後,不會對其重要功能造成負面影響。 套用設定變更後,您應該開始確認電腦的核心功能。 例如,如果將伺服器設定為憑證授權單位 (CA),請確定用戶端可以要求和獲得憑證、下載憑證撤銷清單等。

確定原則設定後,您即可按照下列程序所示,使用 Scwcmd 將原則轉換成 GPO。

如需如何測試 SCW 原則的詳細資料,請參閱安全性設定精靈部署指南 (英文),網址為:www.microsoft.com/technet/prodtechnol/windowsserver2003/
library/SCWDeploying/5254f8cd-143e-4559-a299-9c723b366946.mspx 安全性設定精靈說明文件 (英文),網址為:http://go.microsoft.com/fwlink/?linkid=43450。

轉換和部署原則

徹底測試原則之後,請完成下列步驟將原則轉換成 GPO 中並進行部署:

  1. 在命令提示字元中,輸入下列命令:

    scwcmd transform /p:<PathToPolicy.xml> /g:<GPODisplayName>
    

    然後按下 ENTER。 例如:

    scwcmd transform /p:"C:\Windows\Security\msscw\Policies\Print 
    Server.xml" /g:"Print Server Policy"
    

    注意:由於版面限制,所以此處所提供的命令提示字元的輸入資訊,呈現出多行的情況。 實際上,所有資訊應輸入於同一行。

  2. 使用「群組原則管理主控台」將新建立的 GPO 連結至適當的 OU。

請注意,如果 SCW 安全性原則檔案包含 Windows 防火牆設定,則您必須在本機電腦上啟用 Windows 防火牆,才能成功完成此程序。 若要確認是否已啟用 Windows 防火牆,請開啟 [控制台],然後連按兩下 [Windows 防火牆]。

此時,您應執行最後測試,以確定 GPO 套用了所需的設定。 若要完成此程序,請確認已設定適當的設定,並且功能不受影響。

總結

本章所解說的原則設定,可運用在本指南所定義的三種環境中,執行 Windows Server 2003 SP1 的列印伺服器。 大多數的原則設定可透過專為補充 MSBP 而設計的群組原則物件 (GPO) 來套用。 GPO 可以連結到含有列印伺服器的適當組織單位 (OU),以提供更多的安全保護。

此處所討論的原則設定,部分無法透過群組原則加以套用。 本指南亦已提供這些原則設定的手動設定詳細資料。

其他資訊

下列連結提供的各個主題,有助於強化執行 Windows Server 2003 SP1 的列印伺服器。

  • 如需列印伺服器的概觀資訊,請參閱 Windows Server 2003 列印服務技術概觀,可供下載的網址為:www.microsoft.com/taiwan/windowsserver2003/techinfo/overview/print.mspx。

  • 如需列印伺服器的詳細資訊,請參閱檔案與列印服務的新功能,網址 www.microsoft.com/taiwan/windowsserver2003/evaluation/overview/technologies/
    fileandprint.mspx。


下載

取得 Windows Serve 2003 安全性指南

更新通知

註冊以瞭解更新和新版本

意見

請將您的意見或建議傳送給我們



顯示: