附錄 G:SMS 的 IPsec 建議設定 (Microsoft Systems Management Server 2003 的方案和處理程序:安全強化指南)

附錄 G:SMS 的 IPsec 建議設定

發佈日期: 2004 年 9 月 1 日

本附錄提供多種在您的環境中部署網際網路通訊協定安全性 (IPSec) 的方式。IPsec 允許您維持比通訊安全性較高層級的控制權,但會增加額外的系統管理設定費用。作為一個管理工具,IPsec 必須對 TCP/IP 網路及 IPsec 本身要有實質的瞭解。為了要有效地設定、管理及疑難排解 IPsec 原則,您應該要對 IP 網路有進一步的瞭解,並具備管理防火牆、篩選路由器與使用網路工具的經驗。如需有關 IPsec 實作的詳細資訊,請參閱 Microsoft 下載網站上的《如何使用 Microsoft Windows IPsec 協助保障內部企業網路伺服器的安全》白皮書 (英文),並查看 Windows [說明及支援中心]。

本頁內容

SMS IPsec 群組

IPsec 安全性需求

設定 SMS 的 IPsec

SMS IPsec 群組

模擬 SMS 站台系統可能會洩漏 SMS 架構。IPsec 可以協助防止未授權的站台系統模擬有效的站台系統,及使用信任的連線取得站台伺服器或站台系統資料庫的控制權。若要減少此威脅,可以在大部分的 SMS 站台系統間設定 IPsec 通訊。並非所有的站台系統都是 SMS IPsec 群組的成員。

所謂的「SMS IPsec 群組」指的是使用 IPsec 安全傳輸通訊的 SMS 站台系統的群組。此群組僅供討論,而且這些伺服器網域帳戶沒有一定定義於網域安全性群組中,或一定存放在相同的 OU。僅定義一個 IPsec 原則,並套用至 SMS IPsec 群組中所有的伺服器。SMS IPsec 群組成員必須包含下列 SMS 站台系統電腦:

  • 主要站台伺服器

  • 次要站台伺服器

    note.gif  注意
    如果您的站台是階層的一部分,您必須將上層站台伺服器與任何子站台伺服器加入到站台的 SMS IPsec 群組中。

  • 管理點

  • 報告點

  • 伺服器定位器點

  • SMS 站台資料庫伺服器

note.gif  注意
在具有 proxy 管理點的次要站台中,將上層站台的 SMS 站台資料庫伺服器加入到站台的 SMS IPsec 群組中。
在 SMS 站台伺服器上執行 Microsoft SQL Server™。如果您在遠端電腦上執行 SQL Server,請將執行 SQL Server 的電腦設為 SMS IPsec 群組的成員之一。如果您有複寫的 SMS 站台資料庫,執行 SQL Server 的電腦應該是 SMS IPsec 群組的一部分。

如需有關 SMS 站台系統角色的詳細資料,請參閱《Microsoft Systems Management Server 2003 概念、規劃和部署指南》(英文) 的第 2 章<瞭解 SMS 站台>。

不要將下列電腦角色加入到 SMS IPsec 群組中

發佈點     不要將發佈點加入到 SMS IPsec 群組中,除非另一個站台系統角色已加入啟用發佈點角色的電腦。發佈點不會起始與站台伺服器的任何連繫,並且站台伺服器與發佈點通訊只是為了維護 SMS 封裝。

網域控制站     如同本指南前面所述,在成員伺服器上安裝站台系統角色,而不是在本指南前面所述的網域控制站上安裝。網域控制站與網域成員間不建議使用 IPsec。

IPsec 安全性需求

本附錄的解決方案提出下列安全性需求:

必須使用 HOSTS 與 LMHOSTS 檔案代替 DNS 與 WINS 查詢來避免名稱解析攻擊。

只有信任的 SMS IPsec 群組成員能彼此互相驗證 IKE。

所有 SMS IPsec 群組成員間 IP 位址的 IP 傳輸都要求使用 IPsec ESP 增強式加密與驗證來確保安全。

SMS IPsec 群組成員與非 SMS IPsec 群組成員間所有的 IP 傳輸都不會要求 IPsec 封裝或篩選。IPsec 不會保護接聽 SMS 站台系統 (包含站台伺服器) 的連接埠或通訊協定抵抗輸入網路攻擊。

important.gif  重要事項
如果您需要 IPsec 防止來自非 SMS IPsec 群組電腦的輸入網路攻擊,請參考 Microsoft 下載網站的《使用 Microsoft Windows IPsec 協助保障內部企業網路伺服器的安全》白皮書 (英文),以及查看 Windows [說明及支援中心]。

選擇驗證方法

對等驗證是確認 IPsec 對等體身份的程序。使用對等驗證,IPsec 可以在開始通訊前決定是否要與另一台電腦通訊。IPsec 執行對等驗證時,只要求交換識別身份的相互信任, 不會確認接收的識別身份是否被授權使用特定的 IP 位址。

您可以使用 IPsec 原則與 IKE 驗證來限制網路存取 SMS IPsec 群組中信任的電腦。在大部分的情況下,IKE 驗證成功後即可順利地從網路存取電腦。IKE 不會知道對等體的識別身份或公開金鑰。因此,如果電腦的憑證私密金鑰或網域密碼被洩漏出去,攻擊者就可以使用該電腦成功通過驗證,並且可以存取另一台 IPsec 保護的電腦,或是在 IPsec 通訊上進行信任的攔截式攻擊。若要確保 IPsec 提供適當的網路存取控制權,則限制只使用能以具備 SMS IPsec 原則的 IKE 驗證的電腦,以限制 SMS IPsec 電腦的存取權。下列是 SMS IPsec 原則的建議驗證方法:

公開金鑰驗證

使用憑證時,由規則指定一個根 CA 名稱。SMS IPsec 群組中的每台電腦必須在電腦儲存區中有一個憑證路徑源自此根 CA 名稱的數位憑證。此 CA 未必一定要是 Microsoft Windows® 2000 或 Microsoft Windows Server™ 2003 CA。請參考詳細的 IPsec 文件以瞭解憑證類型與非 Microsoft 公開金鑰基礎結構 (PKI) 的支援。最安全的環境應該要有離線根 CA,該 CA 只用來發送具 IPsec 的憑證。然而,如果能夠允許電腦 (而非使用者) 取得憑證,即可以使用現有的 PKI。使用憑證部署此方案最經濟的方法是將 CA 服務安裝在群組中其中一台擁有根 CA 的 SMS 伺服器上。最後都需要重新整理憑證。根 CA 可以登錄於當作企業 CA 的網域,然後即可透過「群組原則」自動註冊具有憑證的 SMS IPsec 群組電腦。設定網域中憑證範本上的存取控制清單 (ACL),因此只有 SMS IPsec 群組成員可以註冊此憑證。

預先共用金鑰

使用預先共用金鑰有幾種風險:

  • 驗證金鑰以純文字的格式儲存在系統登錄中,並以十六進位的編碼儲存在 Active Directory® IPsec 原則中。大家熟知的方法會讓有資料儲存區存取權的攻擊者發現安全性不足的預先共用金鑰值。

  • 金鑰必須被傳輸並儲存在純文字檔中,這會造成許多洩漏金鑰實體安全性的機會。

  • 使用者可能不瞭解什麼是增強式金鑰。


雖然使用預先共用金鑰值有許多風險,但卻可以更精細地控制您要隔離的特定主機群組。如果您使用預先共用金鑰,則應該在每個方塊使用本機 IPsec 原則並且封鎖網域原則覆蓋,以防止攻擊者檢閱 Active Directory IPsec 原則中的十六進位值。使用本機原則不會緩和為檢閱儲存為純文字格式的金鑰而對登錄所做的攻擊,但是假設攻擊者有足夠的權限存取站台系統的登錄,那該攻擊者就有更高的權限執行其他的攻擊行為。使用公開金鑰憑證比使用預先共用金鑰安全,但如果您的組織無法支援 PKI 或 PKI 部署中的獨立 CA,您可以選擇使用預先共用金鑰。

SMS IPsec 原則

實作這些需求的高層級 IPsec 原則設計都很簡單。只有一項規則:


From Me to Each SMS IPsec Server IP, all traffic -> require ESP/3DES -> Certification authority (preferred) or preshared key (with understanding of the risks and limitations) 
Default Response Rule = disabled

下列步驟會帶領您檢閱建立此原則的詳細資料。

設定 SMS 的 IPsec

完成下列步驟以設定 SMS 的 IPsec。

1. 列出電腦名稱、靜態 IP 位址與站台系統角色

SMS IPsec 群組所有的成員都要完成此步驟。建議您在建立 IPsec 原則時,記錄 SMS IPsec 群組成員以供參考。

表 G.1   SMS IPsec 成員

站台系統角色

電腦名稱

IP 位址

主要站台伺服器

 

 

次要站台伺服器

 

 

管理點

 

 

報告點

 

 

伺服器定位器點

 

 

 

 

 

 

 

 

 

 

 

2. 確認 SMS IPsec 群組所有未來的成員都能互相通訊

在啟用 IPsec 前,確認要加入 SMS IPsec 群組的電腦能夠互相通訊。確認每一台電腦都能使用 ping 命令互相聯繫。確認群組中每一台電腦可以使用 Net Use 或 Net View 命令建立 NetBIOS 工作階段到另一台電腦。在進行 IPsec 設定前,先解決所有網路連線問題。

3. 建立 HOSTS 與 LMHOSTS 檔案以防止詐騙攻擊

使用這種方法仍有風險,攻擊者可以透過名稱解析攻擊模擬 SMS IPsec 群組成員。本方案的 IP 篩選器清單只能加密 SMS IPsec 群組成員間的傳輸。如果攻擊者可以模擬 SMS IPsec 群組成員,並建立安全性關聯,所有電腦的傳輸會重新路由傳送到攻擊者的電腦。此攻擊很複雜,且補救方法需要龐大的系統管理費用,然而 SMS IPsec 原則設定倚賴安全 IP 位址查詢。

例如,如果 mp1.smssite.com 需要連線到 sqlserver.smssite.com,會執行 DNS 名稱查詢。如果攻擊者攔截到 DNS 查詢,並告訴管理點可以在攻擊者的 IP 位址找到 sqlserver.smssite.com,而非在執行 SQL Server 的電腦 IP 位址中找到,攻擊者即可傳輸未授權原則到管理點,並以此方式傳輸到 SMS 進階用戶端。

此攻擊的補救方法是將每個 SMS IPsec 群組成員的 IP 位址硬式編碼到每個成員的 HOSTS 與 LMHOSTS 檔案中。此方法能藉由防止 SMS IPsec 群組成員查詢網路位址,避免攻擊者有機會模擬群組成員。

若要新增站台系統到 HOSTS 檔案

  1. 在 [記事本] 中,開啟 %systemroot%\system32\drivers\etc\HOSTS 檔案。

  2. 為每個站台系統新增一行文字,列出電腦的完整網域名稱 (FQDN) 和靜態 IP 位址。

  3. 儲存 HOSTS 檔案 (確認檔案名稱沒有加入副檔名),然後關閉檔案。

若要新增站台系統到 LMHOSTS 檔案

  1. 在 [記事本] 中,開啟 %systemroot%\system32\drivers\etc\LMHOSTS.sam 檔案。 

  2. 為每個站台系統新增一行文字,列出電腦的 NetBIOS 名稱和靜態 IP 位址。

  3. 另存 LMHOSTS.sam 檔案為 LMHOSTS (無副檔名),然後關閉檔案。

4. 規劃您 IPsec 原則的位置和整合

設定 IPsec 最簡單的方式就是透過 Group 原則。藉由建立單一的「群組原則物件」(GPO),並設定該物件套用至 SMS IPsec 群組中的電腦,您即可從一個中心位置修改這些電腦的 IPsec 設定。若要建立只套用至 SMS IPsec 群組的單一 GPO,最簡單的方式就是將這些電腦移動到獨立 OU,並將 GPO 套用至該 OU。如果您無法建立獨立 OU,可以建立安全性群組,將 SMS IPsec 電腦新增到該安全性群組中,並設定 GPO 只套用到該安全性群組。如需管理「群組原則」的詳細資料,請查看 [說明及支援中心]。

important.gif  重要事項
如果您必須在此驗證方法使用預先共用金鑰,請勿設定「群組原則」中的 IPsec 原則,因為攻擊者可以從該原則獲得預先共用金鑰。只使用本機 IPsec 原則,並且封鎖網域原則覆蓋。請注意,本機 IPsec 原則仍然會顯示登錄中的預先共用金鑰,有足夠權限的攻擊者可以檢閱該金鑰。

如果您不建立 GPO,將必須為群組中的每台電腦建立個別的 IPsec 原則。若要快速建立,您可以從一台電腦匯出該原則,並匯入群組中的另一台電腦。如需有關匯出與匯入 IPsec 原則的詳細資料,請查看 [說明及支援中心]。

important.gif  重要事項
如同任何一個「群組原則物件」,站台、網域或 OU 的設定可以覆蓋本機安全性原則。如果您的環境已經有 IPsec 原則,使用其他可能套用至 SMS 站台系統的 IPsec 原則來協調您的 SMS IPsec 原則設計。

5. 建立 SMS IPsec 原則

若要協助保護 SMS 站台系統,您必須建立 IPsec 原則,加密所有 SMS IPsec 群組成員間的傳輸。若要建立 IPsec 原則,您必須設定一般設定、安全性設定與規則。

一般設定

本節說明使用指派到所有 SMS IPsec 群組成員的 IPsec 原則所套用的一般設定。雖然此原則只套用一個規則,但也可以套用一般設定。

設定 SMS IPsec 群組原則名稱、描述與原則重新整理間隔。

於指派給所有 SMS IPsec 群組成員的 IPsec 原則中,在其內容的 [一般] 索引標籤上設定下列一般設定:

  • 名稱:SMS IPsec 原則版本或日期-最後修改時間。

  • 描述:保障 SMS IPsec 群組成員間所有的傳輸。允許與非 SMS IPsec 群組成員的電腦進行不安全傳輸。需要憑證來進行驗證。

  • 原則重新整理間隔 (檢查原則變更的間隔時間):480 分鐘 (8 小時)。


原則重新整理間隔決定 IPsec 原則代理程式多久查詢一次 Active Directory 在指派的 IPsec 原則中的變更。針對 IPsec 原則的初始部署,考慮將此值設定為很短的時間,例如五分鐘,以確保您在發生通訊錯誤或無預警的操作影響時可以很快變更原則設定。然而,如果網域中有許多伺服器,短時間的輪詢間隔可能會增加網域控制站的負載。

設定原則金鑰交換設定

於指派給 SMS IPsec 群組成員的 IPsec 原則中,在其內容的 [金鑰交換設定] 對話方塊中設定下列一般設定:

  • 金鑰存留期 (每 n 分鐘驗證並產生新的金鑰):480 分鐘 (8 小時)

  • 快速模式經由主要模式所交涉的數量 (每 n 個工作階段之後驗證並產生新的金鑰):0 (沒有限制可以從鍵入資料的主要金鑰建立工作階段索引鍵的數目)。


8 小時的金鑰存留期確認每 8 小時會重新產生鍵入資料的主要金鑰 (Diffie-Hellman 金鑰)。在該存留期間,Diffie-Hellman 金鑰會保留在記憶體中,因此,如果在短時間內會有許多 (數千個) 用戶端正連線到伺服器,考慮縮短金鑰存留期重新取得記憶體。您可能也要考慮在惡意的環境中縮短金鑰存留期,因為狡猾的攻擊者可能會嘗試攔截通訊。縮短金鑰存留期有一個缺點,如果用戶端必須執行額外的主要模式交涉,此操作可能會變得很費時,並需要大量的記憶體,次數頻繁的 Diffie-Hellman 計算也會增加伺服器的計算負載。

設定原則金鑰交換安全性方法

於指派給 SMS IPsec 群組成員的 IPsec 原則中,在其內容的 [金鑰交換安全方法] 對話方塊中設定下列一般設定: 下列安全性方法僅依序供在使用加密演算法、整合演算法與 Diffie-Hellman 群組時參考。

  • 3DES/SHA1/中 (Diffie-Hellman 群組 2,1024 位元)

  • 3DES/MD5/中 (Diffie-Hellman 群組 2,1024 位元)


金鑰交換安全性方法設定決定在驗證和金鑰交換期間,要使用哪一種安全性服務、金鑰設定與演算法來協助保護識別身份。最佳的安全性實務建議您不要使用 Diffie-Hellman 群組 1,此群組提供 768 位元的鍵入強度, 不會提供安全性增強式層級 (在交互操作性時才會提供)。為了增加安全性,Windows Server 2003 IPsec 加入了提供 2048 位元鍵入強度的 Diffie-Hellman 群組 14。然而,Diffie-Hellman 群組 14 目前並未被 Windows 2000 或 Windows XP 支援作為一般 IPsec 原則使用。如需有關 Diffie-Hellman 群組 14 在 Windows XP 與 Windows 2000 的可行性更新資訊,請參閱 Microsoft 知識庫文件編號 818043《Windows XP 和 Windows 2000 的 L2TP/IPSec NAT-T 更新程式》,網址是:http://support.microsoft.com/kb/818043/zh-tw

note.gif  注意
若要在執行 Windows 2000 的電腦上使用 3DES, 您必須安裝「高度加密工具」或 Service Pack 2 (或更新版)。如果執行 Windows 2000 的電腦被指派的原則是使用 3DES 加密,但沒有安裝「高度加密工具」或 Service Pack 2 (或更新版),安全性方法會預設使用較弱的 DES 演算法。如需更多詳細資料,請參閱位於 http://go.microsoft.com/fwlink/?LinkId=7272 的《Windows 2000 高度加密工具》。

SMS IPsec 原則安全性設定

下列是與指派給 SMS IPsec 群組成員的 IPsec 原則相關的第一個規則設定:

IP 篩選器清單設定

  • 名稱:自己 <-> SMS IPsec 群組成員,所有傳輸

篩選器 1 設定

  • 來源位址我的 IP 位址

  • 目的位址特定的 IP 位址 (此為 SMS IPsec 群組第一個成員的 IP 位址)。

  • 鏡像處理:是(已選取此核取方塊)。

  • 通訊協定任何

  • 描述:自己 <-> GroupMemberName1,所有傳輸 (GroupMemberName1 為 SMS IPsec 群組第一個成員的名稱)。

note.gif  注意
為步驟 1 所識別的每個 SMS IPsec 群組成員建立一個額外的篩選器設定。

篩選器動作設定

  • 名稱:需要 ESP 3DES-SHA1

  • 動作:交涉安全性

  • 接受不安全性通訊,但永遠使用 IPsec 來回應:否 (已清除這個核取方塊,因此不允許輸入傳遞)。

  • 允許與無 IPsec 感知的電腦進行不安全性通訊:否 (已清除這個核取方塊,因此不允許回到不安全性通訊再清除)。

    note.gif  注意
    SMS IPsec 群組成員無法互相通訊,除非他們接收 SMS IPsec 原則。

  • 完整轉寄密碼 (PFS):否 (已清除這個核取方塊)。

  • 安全性方法:自訂

    • 不加密的資料及位址完整性 (AH):否 (已清除這個核取方塊)。

    • 資料完整性及加密 (ESP):是 (已選取這個核取方塊)。

    • 整合演算法:SHA1

    • 加密演算法:3DES

    • 工作階段索引鍵設定 (金鑰存留期):100,000 KB (100 MB) / 3,600 秒 (1 小時)

驗證方法、IPsec 模式和連線類型

  • 驗證方法:[憑證授權單位] (慣用選項) 或 [預先共用金鑰] (需瞭解本文件上述的風險與限制)

  • 通道設定 (IPsec 模式):這個規則並沒有指定 IPsec 通道 (已選取這個選項,所以會使用傳輸模式)。

  • 連線類型所有網路連線

6. 指派 SMS IPsec 原則

在任何時候都只能指派一個原則。如果您是透過 GPO 指派原則,電腦需要在 SMS IPsec 原則生效前更新自己的原則。

important.gif  重要事項
接收 SMS IPsec 原則的電腦無法與其他未接收該原則的 SMS IPsec 群組成員通訊。為了要避免站台系統間的通訊問題,指派 SMS IPsec 原則後馬上強制更新「群組原則」。

7. 確認所有的 SMS IPsec 群組成員都能通訊

啟用 IPsec 後,確認每一台電腦可以使用 ping 命令互相通訊。確認每一台電腦可以使用 Net UseNet View 命令建立 NetBIOS 階段到群組中另一台電腦。

如需有關在 Windows 2000 Server 疑難排解 IPsec 的相關資訊,請參閱 Microsoft 知識庫文件編號 257225。如需有關在 Windows Server 2003 疑難排解 IPsec 的相關資訊,請查看 [說明及支援中心]。

顯示: