安全性基礎概念 (Microsoft Systems Management Server 2003 的方案和處理程序:安全強化指南)

安全性基礎概念

發佈日期: 2004 年 9 月 1 日

安全,不是一種絕對的狀態。網路管理員必需儘量強化網路安全來保護重要資產,但是同時也必需確保日常企業活動不因此中斷。或許有時會為營運需求而稍微偏離一些安全性原則,但是在這麼做之前,一定要明確瞭解其中的風險,可能出現的弱點、威脅和攻擊等。

弱點:任何產品缺陷、管理程序或動作、或是實際曝露在外,讓電腦易受惡意使用者攻擊

威脅:任何可能對資產造成危險的活動

攻擊:利用系統弱點危害到資產

風險:蒙受損失的可能性。任何營運行為都有風險;不需要害怕風險,但是一定要管理好風險。

本指南助您評估 SMS 環境中的威脅與弱點,決定解決方案的優先順序,降低風險。使用網路管理軟體前,如 Systems Management Server (SMS),務必要確認 SMS 的設定與配置不會在環境中注入過重的風險。

本頁內容

用風險管理判斷可接受多少風險

加強電腦實體安全

深度加強安全

防護未授權的系統管理員

授予最低限度權限

為所有系統建立、維護安全基準

設定強式密碼或密句

使用安全驗證方式

用風險管理判斷可接受多少風險

風險管理基本上是一種程序,辨識風險然後決定該如何處理。您需要先辨識風險可能來源,評估風險發生機率,依其對企業影響做決定優先順序,再規劃如何降低這個機率。並非所有的風險都有相同的衝擊。SMS 最嚴重的風險,就是功能受到未授權使用者攔截,然後開始發佈軟體給所有 SMS 用戶端。因為 SMS 可以用管理員權限安裝軟體,攻擊者便能取得所有每一個 SMS 用戶端的控制權。SMS 也能夠從任一用戶端電腦讀取任意檔案,因此也可能嚴重破壞安全和隱私,其程度依檔案性質不定。

caution.gif  注意
SMS 的設計不是為收集或提供時效性機密資訊。在這方面尚有弱點可能被利用,請勿用 SMS 收集機密資料。

相比之下,SMS 所收集的資料 (硬體詳細目錄、軟體詳細目錄以及效能資料) 通常不被視為機密。而短時間失去 SMS 功能,如被阻斷服務攻擊,一般來說也不會有嚴重損害,不像如電子郵件、網路通訊、照明和電力等服務。

Microsoft Operations Framework 提供了一個風險管理的參考指南。白皮書《Microsoft Operations Framework 營運風險管理準》(英文) 裡解釋了 MOF 風險管理準則的核心原則與元素,可在 Microsoft 下載網站取得。

加強電腦實體安全

電腦不安全,資訊就不安全;攻擊者如果能實際上機操作 SMS 主機,就可以利用 SMS 攻擊所有用戶端電腦。所有實體攻擊都應該歸為高風險,並加以設防。伺服器和所有站台系統都應置於安全機房,加上門禁管制。執行 SMS 系統管理員終端的電腦最好能鎖進獨立房間,避免未授權存取。若是無法做到這個程度,系統管理員離開前就應該用作業系統功能鎖上工作站,或是加上安全性螢幕保護程式。遵守最低權限的原則,設定系統原則限制 SMS 系統管理員必需先用低權限使用者帳戶登入遠端管理終端,然後才用 [執行身分] 啟動 SMS 系統管理員終端。

加強 SMS 用戶端實機安全則較為困難,因為還必需讓終端使用者使用。這裡可以加上辨公室門禁控管,僅讓得到授權的員工及訪客進入。如果有高風險的用戶端電腦,則可以鎖進辨公室,加上額外保全機制,如機殼鎖和防盜鍊等等。

SMS 用戶端也可能是可攜式電腦。教育筆記型電腦使用者關於良好安全性實務的知識,例如隨時加上電腦鎖,就算電腦會一直放在身旁也一樣。如果有筆電遭竊,組織裡也要預先設立一套程序禁止遭竊電腦再進入公司網路。

深度加強安全

SMS 與許多系統都有相互作用,您需要仔細考量網路各層安全系統,以及每一層次與 SMS 的關係。雖然外圍安全極為重要,但是若完全依賴如防火牆等的外圍保護,一旦防火牆淪陷,整體風險就提高了。設計把低安全性用戶端與高安全性用戶端隔離開了,就多了一層保護了。例如若是使用 SMS 繼承用戶端,就可以把他們獨立於不同的網路。用戶端電腦加上個人防火牆也能增加一層保護,防毒軟體則再加一層,還能用 SMS 來部署維護防毒軟體。使用者的教育也是網路安全策略的關鍵之一。

請注意一些個人防火牆,如 Microsoft Windows® XP SP2 的 Windows Firewall,可以設定阻擋任何外來通訊,包括 SMS 通訊。可是過於嚴格的控管雖然能夠阻擋外來攻擊,卻也會妨礙正當網路管理功能,例如軟體部署等。更多資訊請參閱本書關於用戶端個人防火牆的章節。

防護未授權的系統管理員

擁有權限的 SMS 系統管理員可以用 SMS 來攻擊整個網路,這方面 SMS 無法可施。未授權的系統管理員是極高度安全性風險,可以發動各種攻擊,包括:

  • 用軟體部署功能在整個組織每台電腦裝上惡意軟體。

  • 啟用 SMS 遠端工具,設定從遠端取得 SMS 用戶端控制權,不需用戶端同意。

  • 設定低輪詢間隔和極龐大的詳細目錄,對用戶端和伺服器進行阻斷服務攻擊。

  • 未得授權就使用網路監視器進行封包監聽。

解決這些問題,不是直接關閉 SMS 管理權限那麼簡單。應該要稽核所有管理活動,定期覆查稽核記錄。要求所有 SMS 系統管理員通過背景調查,並簽訂合約定期覆檢。一些極度注重安全性的工作也常訂定強制性休假,因為系統管理員不在的時候比較容易查出有沒有未經授權的管理活動。

授予最低限度權限

所謂的最低權限原則,就是僅提供足以完成工作的權限。以軟體部署功能為例,應該只有得到授權可進行安全的用戶才能取得發佈點的檔案。授予使用者的權限應只有最低限度所需的 SMS 物件安全性類別或是執行個體;設定帳戶所屬群組也要注意,不要讓帳戶因此得以取得非必要的資源。能不使用系統管理員帳戶就不要用。

實行角色區隔,降低管理風險

不用讓所有系統管理員都擁有完整 SMS 權限。各集合都可以設定不同的權限,指定哪些系統管理員可以使用哪些功能,用於指定的集合。舉例來說,假設一位負責管理伺服器,另一位負責管理某網站裡的終端電腦,可分別建立集合,依需要授予權限給類別或執行個體。

若您尚未設計建置 SMS 的階層架構,便可在設計階段利用 SMS 站台區隔開各系統管理角色的控制範圍。例如您可以把伺服器和用戶端電腦歸入不同的網站,授予不同的管理權限;這種作法有一點必須注意,就是別讓其中一個網站的階層高過另一個。父網站可以把軟體、集合以及設定強加於子網站,就算子網站沒有明確授予所需的物件權限也一樣。

考慮把包裝和廣告管理功能區隔開來。如果都是同一位系統管理員負責,他就能夠輕易散佈惡意程式。如果要設定誰有權散佈軟體至發佈點,可以授予 [Read] (讀取) 及 [Distribute] (發佈) 兩個 SMS 物件安全性權限,但是禁止 [Modify] (變更) 權限,不可修改軟體。軟體廣告的權限,則可以各集合有各集合的設定,或是設定每個廣告的權限。

為所有系統建立、維護安全基準

所謂的安全基準,就是一份如何設定、管理電腦的詳細描述,說明所有關於維護電腦安全性的設定。安全基準的內容包括有:

  • 服務及應用程式設定,例如僅有特定使用者可以啟動系統服務或執行應用程式。

  • 作業系統元件設定,例如要求移除網際網路資訊服務 (IIS) 內附的所有範例檔案。

  • 使用權限設定,例如僅限系統管理員可以變更作業系統檔案。

  • 系統管理程序,例如系統管理員密碼每 30 天要換一次。

儘可能選用最安全的作業系統

整個環境的安全性只跟其中最弱的一環相仿。雖然說 SMS 也支援 Microsoft Windows® 98 和 Microsoft Windows NT® 4.0 用戶端,但是這些作業系統的安全性還是不及 Microsoft Windows 2000、Microsoft Windows XP 和 Microsoft Windows Server™ 2003 用戶端。用戶端升級與否,或許並非建置 SMS 範圍內的決策,但是還是應該慎重考量,融入整體安全性策略。如果這些作業系統帶入的弱點風險過高,就必須儘快升級了。一旦環境中沒有 Windows 98 和 Windows NT 4.0 電腦,就可以選用 SMS Advanced Client (進階用戶端),啟動更多安全性功能。

善用 Windows 安全性範本

Windows 2003 配合安全性範本即可造就更安全的環境。Microsoft 有提供了規範性指南說明各種環境要如何使用這些範本,包括舊式、企業型和高安全性環境等。如需有關 Windows Server 2003 安全性範本的更多資訊,請參閱《Windows Server 2003 安全性指》。 

SMS 安全性範本配合 Windows 安全性範本

Member Server Baseline (成員伺服器基準) 範本裡的 Windows 安全性範本關閉了大多數的服務,安全性極高。把 SMS 電腦歸入另一個組織單位 (OU),再套用 SMS 範本,便可比 Windows 安全性範本優先度還高。SMS 安全性範本要最後套用,如此不但大多數的 Windows 設定都有作用,還不會妨礙到 SMS 功能所需的設定和服務等。

更多關於 SMS 安全性範本的資訊,請參閱<附錄 F:SMS 安全性範本>。

選用高安全性檔案系統

SMS 網站系統裡所有分割都應該使用 NTFS。使用 Windows 2000 或更新的客戶端也應該只用 NTFS 分割。FAT 並非高安全性檔案系統。

套用安全性更新

SMS 軟體更新功能可以把軟體更新部署到用戶端電腦。訂閱安全性通知服務便可收到作業系統和 SMS 的更新消息以及最新的安全性通告。

important.gif  重要事項
*SP 使用 Microsoft Virtual PC 的虛擬機器需要 SMS 2003 SP1 才有支援。如果虛擬機器也會連上網路,就一樣必須套用所有安全性重大更新。SMS 可以用軟體更新功能更新虛擬機器,但是虛擬機器關機前需要儲存變更,否則下次開機還是會回到未更新狀態。這時 SMS 並不會偵測到虛擬機器的不同,而會認為該用戶端已完成更新。*SP

稽核安全基準的變更行為

每個組織都需要制訂程序控管有授權的設定變更。啟用稽核功能,定期檢查稽核記錄找出是否有人未經授權就變更作業系統的基準。執行 Microsoft Security Baseline Analyzer 或類似工具,找出已知弱點。

設定強式密碼或密句

再優秀的安全系統也無法彌補弱式密碼造成的傷害。弱式密碼的弱點是可以避免的;如果使用者記不住安全性較高、較複雜的密碼,也可以考慮設置晶片卡或生體認證等機制。使用融合多個單字的密句不但易記,長度較長,也比較難破解。

SMS 服務帳戶及 SMS 系統管理員帳戶至少要用 15 個字元以上的強式密碼,也千萬不要設定空白密碼。關於密碼的一些概念,請參閱 TechNet 白皮書《帳戶密碼及原則》(英文)。

SMS 會自動建立一些帳戶,並為其產生強式密碼。如果您的組織徹底執行「密碼必須符合複雜性需求」原則,那麼 SMS 產生的密碼便會符合預設的複雜性需求,通過內建篩選器 Passfilt.dll。

caution.gif  注意
若您修改過預設密碼篩選器,則 SMS 自動產生的密碼就可能不符其規則,無法建立帳戶。SMS 會嘗試產生五個密碼,全部失敗就會寫出狀態訊息。可能讓 SMS 建立帳戶失敗的篩選器規則有如:規定第三和第六字元間一定要含有某類字元,或是不允許標點符號。

使用安全驗證方式

Windows 2000、Windows XP 以及 Windows Server 2003 預設使用 Kerberos 通訊協定第 5 版。這是個業界標準協定,用於密碼或晶片卡登入。您也可以選擇改用 NTLM 驗證。NTLM 驗證是「挑戰 - 回應」式的協定,用來提供 Windows 2000 之前的舊版 Windows 相容性。

Kerberos 通訊協定許多方面都比 NTLM 優秀。不但可以設定額外或不同的安全方法,還能用晶片卡的公開/私密金鑰對來補強預設的共用秘密金鑰程序。選用 Kerberos 通訊協定,網路連線的兩端就都能確認彼端身分是否無誤。雖然 NTLM 協定裡伺服器可以驗證用戶端身分,但是用戶端卻無法驗證伺服器身分,伺服器間也沒有身分驗證的能力。NTLM 驗證的設計前提是假設該網路環境裡的伺服器身分無誤。Kerberos 5 協定則不做此假設。

關於 Kerberos 以及 NTLM 驗證,請參閱 microsoft.com《Windows Server 2003 技術參考》(英文) 裡的<Windows 安全性集合>一章。

建置 SMS 的同時也要評估現有網域環境可能存在的風險。如果風險過高,則視可用資源應立即或儘快升級至 Microsoft Active Directory® 目錄服務。

顯示: