強化 Windows Server 2003 網域控制站
本文內容
Overview
發佈日期: 2003 年 12 月 31 日 | 更新日期: 2006 年 4 月 26 日
本頁內容
本單元內容 目標 適用於 如何使用本單元 概觀 稽核原則設定 使用者權限指派 安全性選項 事件日誌設定 系統服務 其他安全性設定 總結
本單元內容
本單元旨在說明適用於 Microsoft® Windows Server™ 2003 作業系統為主之網域控制站的安全性基準設定,此設定可以使用「群組原則」來套用。本單元還考量到除了安全性範本所定義的之外,其他仍必須套用的安全性設定。這些額外的設定對於建立完整強化的網域控制站是不可少的。
回到頁首
目標
透過此單元即可:
回到頁首
適用於
本單元適用於下列產品及技術:
回到頁首
如何使用本單元
請使用本單元來了解您在 Windows Server 2003 為主的網域控制站上所應該套用的安全性設定。使用本單元來研究可能的安全性設定,因為它會深入探討<Windows 2003 安全性簡介>網域控制站安全性範本所套用之相關安全性範本設定。本單元包括每項設定的說明,以及對網域與伺服器環境產生的影響。
若要充分瞭解此單元:
回到頁首
概觀
在任何含有執行 Windows Server 2003 並使用 Microsoft Active Directory® 目錄服務之電腦的環境中,網域控制站伺服器角色是其中一個最重要的角色。環境中的網域控制站若有任何遺漏或損害,都可能危及需仰賴網域控制站進行驗證、群組原則及中央輕量型目錄存取通訊協定 (LDAP) 目錄的用戶端、伺服器及應用程式。
由於其重要性非同小可,因此網域控制站應該一律存放在僅供合格管理人員存取的實體安全地點中。如果網域控制站必須存放在非安全的地點,例如分公司,則可以調整許多安全性設定,來限制實際威脅可能造成的破壞。
網域控制站基準原則
與本指南中稍後詳述的其他伺服器角色原則不同,「網域控制站」伺服器角色的「群組原則」即是一種基準原則,與<建立 Windows Server 2003 成員伺服器的基準線 >單元所定義的「成員伺服器基準原則 (MSBP)」屬於同一類別。「網域控制站基準原則 (DCBP)」是連結到網域控制站組織單位 (OU),且優先順序高於「預設網域控制站原則」。DCBP 中包括的設定,可強化任何特定環境中各網域控制站間的整體安全性。
DCBP 中的絕大部分都是直接來自於 MSBP。由於 DCBP 是以 MSBP 為基礎,因此您應該仔細查閱<建立 Windows Server 2003 成員伺服器的基準線 >單元,以完整了解許多也包括在 DCBP 中的設定。本單元中只說明該些不同於 MSBP 的 DCBP 設定。
網域控制站範本是專門針對本指南中所定義的三種環境之安全性需求而設計。下表說明了本指南所包括的網域控制站 .inf 檔案與這些環境之間的關係。例如,Enterprise Client - Domain Controller.inf 檔案就是「企業用戶端」環境的安全性範本。
[表 1]:網域控制站基準安全性範本
Legacy Client – Domain Controller.inf
Enterprise Client – Domain Controller.inf
High Security – Domain Controller.inf
**注意:**將設定錯誤的群組原則物件 (GPO) 連接到網路控制站 OU 可能會嚴重阻礙網域的正常運作。請在匯入這些安全性範本時務必審慎,並在連接 GPO 與網域控制站 OU 之前,確定匯入的所有設定都是正確的。
[](#mainsection)[回到頁首](#mainsection)
### 稽核原則設定
網域控制站的「稽核原則」設定與 MSBP 中所指定的完全相同。詳細資訊,請參閱<[建立 Windows Server 2003 成員伺服器的基準線](https://technet.microsoft.com/zh-tw/library/b9830562-d91c-400e-baa0-3f6d7bbfe1d9(v=TechNet.10))>單元。DCBP 中的基準原則設定可確保網域控制站會記錄所有相關的安全性稽核資訊。
[](#mainsection)[回到頁首](#mainsection)
### 使用者權限指派
DCBP 會針對網域控制站指定各種使用者權限指派。除了預設的設定外,還修改了其他七種使用者權限,以強化本指南中所定義之三種環境內網域控制站的安全性。
本節會詳細說明 DCBP 中所規定不同於 MSBP 的使用者權限設定。如需本節中規定的設定值摘要,請參閱「Windows Server 2003 Security Guide Settings」(英文) Excel 活頁簿,您可從 [https://go.microsoft.com/fwlink/?LinkId=14846](https://go.microsoft.com/fwlink/?linkid=14846) 下載《Windows Server 2003 Security Guide》(英文) 取得。
#### 從網路存取這台電腦
**\[表 2\]:設定值**
Administrators、Authenticated Users、ENTERPRISE DOMAIN CONTROLLERS、Everyone、Windows 2000 前版相容性存取。
尚未定義。
尚未定義
Administrators、Authenticated Users、ENTERPRISE DOMAIN CONTROLLERS
「從網路存取這台電腦」使用者權限會決定允許哪些使用者與群組透過網路連線至該電腦。許多網路通訊協定,包括以伺服器訊息區 (SMB) 為基礎的通訊協定、網路基本輸入/輸出系統 (NetBIOS)、通用網際網路檔案系統 (CIF)、超文字傳輸通訊協定 (HTTP),以及元件物件模型 Plus (COM+) 等,都需要有此使用者權限。
雖然在 Windows Server 2003 中,授予 **Everyone** 安全性群組的權限已不再針對匿名使用者授予存取權,但是 Guest 群組與帳戶仍可透過 **Everyone** 安全性群組獲得存取權。有基於此,本指南建議您在「高安全性」環境中,將「從網路存取這台電腦」使用者權限的 **Everyone** 安全性群組中移除,以進一步保護以網域訪客存取作為目標的攻擊。
#### 新增工作站到網域
**\[表 3\]:設定值**
Authenticated Users
Administrators
Administrators
Administrators
「新增工作站到網域」使用者權限可讓使用者將電腦新增到特定網域。若要讓此權限生效,必須將之指派到屬於網域「預設網域控制站原則」一員的使用者。授有此權限的使用者可以在網域中新增多達 10 部工作站。在 Active Directory 中授有 OU 或電腦容器之「建立電腦物件」權限的使用者,也可將電腦加入網域。授有此權限的使用者無論是否指派有「新增工作站到網域」使用者權限,都可以在網域中新增無限數量的電腦。
**Authenticated Users** 群組中的所有使用者依預設都可以在 Active Directory 網域中新增多達 10 部的電腦。這些新電腦帳戶是建立在「電腦」容器中。
在 Active Directory 網域中,每個電腦帳戶都是個完整的安全性主體,且具備驗證和存取網域資源的能力。有些組織希望限制 Active Directory 環境中的電腦數量,以方便進行一致地追蹤、建置及管理。
允許使用者新增工作站到網域可能會妨礙這項工作。由於使用者能夠建立未授權的網域電腦,這也同時提供途徑讓使用者執行更難以追蹤的活動。
基於這些理由,您應該只將「新增工作站到網域」使用者權限授予本指導方針中所定義的三種環境內之 **Administrators** 群組。
#### 允許本機登入
**\[表 4\]:設定值**
Administrators、Account Operators、Backup Operators、Print Operators 及 Server Operators
Administrators
Administrators
Administrators
「允許本機登入」使用者權限允許使用者在電腦上啟動互動式工作階段。不具有此權限的使用者若具有「允許透過終端機服務登入」權限的話,仍然可以在電腦上啟動遠端互動式工作階段。
藉由限制環境中哪些帳戶可以用來登入網域控制站主控台,有助於防止未經授權存取網域控制站檔案系統與系統服務。能登入網域控制站主控台的使用者可以惡意操作系統,而可能危害整個網域或樹系的安全性。
**Account Operators**、**Backup Operators**、**Print Operators** 及 **Server Operators** 群組,依預設都會授有本機登入網域控制站的權限。這些群組中的使用者,應該不需要登入網域控制站來執行管理工作。這些群組的使用者可以從其他工作站正常地執行他們的職責。只有 **Administrators** 群組中的使用者,應該在網域控制站上執行維護工作。
只將此權限授予 **Administrator** 群組,可使網域控制站的實體與互動式存取僅限於高度信任的使用者,因而能強化安全性。有基於此,「允許本機登入」使用者權限應該只授予本指南中所定義之三種環境內的 **Administrator** 群組。
#### 允許透過終端機服務登入
**\[表 5\]:設定值**
未定義
Administrators
Administrators
Administrators
「允許透過終端機服務登入」使用者權限允許使用者利用「遠端桌面」連線登入電腦。
藉由限制哪些帳戶可以用來經由「終端機服務」登入網域控制站主控台,有助於防止未經授權存取網域控制站檔案系統與系統服務。能經由「終端機服務」登入網域控制站主控台的使用者可以惡意操作系統,而可能危害整個網域或樹系的安全性。
只將此權限授予 **Administrators** 群組,可使網域控制站的互動式存取僅限於高度信任的使用者,因而能強化安全性。有基於此,「允許本機登入」使用者權限應該只授予本指南中所定義之三種環境內的 **Administrators** 群組。雖然經由「終端機服務」登入網域控制站依預設需有系統管理存取權,但設定此使用者權限有助於保護可能危及此限制之不慎或惡意動作。
作為更深層的安全性考量,DCBP 不對預設的 **Administrators** 帳戶授予經由「終端機服務」登入網域控制站之權限。此設定也能防止惡意使用者嘗試使用預設的 **Administrators** 帳戶侵入網域控制站。如需此設定的詳細資訊,請參閱<[建立 Windows Server 2003 成員伺服器的基準線](https://technet.microsoft.com/zh-tw/library/b9830562-d91c-400e-baa0-3f6d7bbfe1d9(v=TechNet.10))>單元。
#### 變更系統時間
**\[表 6\]:設定值**
Administrators、Server Operators
Administrators
Administrators
Administrators
「變更系統時間」使用者權限可讓使用者調整電腦內部時鐘的時間。如要變更時區或系統時間的其他顯示特性,不須具有此權限。
同步化系統時間對於 Active Directory 的運作十分重要。所有環境的時間都必須同步化,才能有正確的 Active Directory 複寫與 Kerberos version 5 驗證通訊協定所使用的驗證票證產生程序。
若將網域控制站的系統時間設定為與環境中其他網域控制站的系統時間不同步,則可能會干擾網域服務的運作。只允許系統管理員修改系統時間,可以將網域控制站系統時間設定不正確的機率降到最低。
此權限依預設會授予 **Server Operators** 群組,以便在網域控制站修改系統時間。由於可能因此群組成員錯誤修改網域控制站系統時間而導致可能的影響,已在 DCBP 中設定此使用者權限,只讓 **Administrators** 群組能夠變更此指南中所定義之三種環境其中任一的系統時間。
如需「Windows 時間服務」的詳細資訊,請參閱知識庫文章 224799《Basic Operation of the Windows Time Service》(英文):
Administrators
未定義
尚未定義
Administrators
「使電腦與使用者帳戶受信任可以委派」使用者權限可讓使用者在 Active Directory 中的使用者或電腦物件上變更「受信任可以委派」設定。驗證委派是多層式用戶端/伺服器應用程式所使用的功能。這可以讓前端服務採用用戶端的認證來驗證後端服務。為了達到此功能,用戶端與伺服器都必須使用受信任可以委派的的帳戶來執行。
濫用此權限,可能會導致未經授權的使用者模擬網路上的其他使用者。攻擊者可以利用此權限來存取網路資源而被認為是其他使用者,使得安全性事件出現後更難以解讀實際發生的狀況。
本指南建議您將「使電腦與使用者帳戶受信任可以委派」權限指派給網域控制站的 **Administrators** 群組。
**注意:**雖然「預設網域控制站原則」會將此權限指派給 Administrators 群組,但是 DCBP 在「高安全性」環境中之所以強制使用此權限完全是根據 MSBP 而來。MSBP 將此權限指派為 NULL 值。
#### 載入與卸載裝置驅動程式
**\[表 8\]:設定值**
Administrators、Print Operators
Administrators
Administrators
Administrators
「載入與卸載裝置驅動程式」使用者權限會決定哪些使用者可以載入與卸載裝置驅動程式。載入與卸載「隨插即用」裝置時,須具有此使用者權限。
在網域控制站上惡意載入或卸載裝置驅動程式,可能會對其運作造成負面影響。將能夠載入與卸載裝置驅動程式的帳戶侷限於最受信任的使用者,可以將裝置驅動程式被用來危害環境內的網域控制站之機率降到最低。
此權限預設會授予 **Print Operators** 群組。如前所述,不建議您在網域控制站上建立共用印表機。這樣 **Print Operators** 來就不需要要求載入與卸載裝置驅動程式的權限。因此,此使用者權限僅授予本指南中所定義之三種環境內的 **Administrators** 群組。
#### 還原檔案及目錄
**\[表 9\]:設定值**
Administrators、Backup Operators、Server Operators
Administrators
Administrators
Administrators
「還原檔案與目錄」使用者權限可讓使用者在備份檔案與目錄時規避檔案與目錄權限,並以物件擁有者的身分設定任何有效的安全性原則。
讓使用者帳戶能夠還原網域控制站檔案系統的檔案與目錄,等於是使帳戶擁有者有權輕易修改服務執行檔。惡意的使用者可以利用此權限所提供的存取權,不僅讓網域控制站無法使用,還會危及網域或整個樹系的安全性。
此權限預設會授予 **Server Operators** 與 **Backup Operators**。從這些群組移除此使用者權限,而只授予**Administrators** 群組,可以降低因不當修改檔案系統而損及網域控制站的可能性。因此,此使用者權限僅授予本指南中所定義之三種環境內的 **Administrators** 群組。
#### 關閉系統
**\[表 10\]:設定值**
Administrators、Server Operators、Print Operators、Backup Operators
Administrators
Administrators
Administrators
「關閉系統」使用者權限可讓使用者關閉本機電腦。
有能力關閉網域控制站的惡意使用者,可以輕易地發動拒絕服務 (DoS) 攻擊,而嚴重影響到整個網域或樹系。再者,此使用者可以在網域控制站重新啟動服務時,利用此權限對網域控制站的系統帳戶發動提高權限的攻擊。在網域控制站上提高權限攻擊一旦成功,就會損害網域或整個樹系的安全性。
此權限預設會授予 **Administrators**、**Server Operators**、**Print Operators** 及 **Backup Operators** 群組,以便關閉網域控制站。在安全的環境中,除了 **Administrators** 之外,這些群組的任何一個都不應該具有此權限來執行系統管理工作。因此,此使用者權限僅授予本指南中所定義之三種環境內的 **Administrators** 群組。
[](#mainsection)[回到頁首](#mainsection)
### 安全性選項
網域控制站的大多數「安全性選項」都與 MSBP 中所指定的完全相同。如需詳細資訊,請參閱<[建立 Windows Server 2003 成員伺服器的基準線](https://technet.microsoft.com/zh-tw/library/b9830562-d91c-400e-baa0-3f6d7bbfe1d9(v=TechNet.10))>單元。下一節將說明 MSBP 與 DCBP 之間的差異。
#### 網路安全性:下次密碼變更時不儲存 LAN Manager 雜湊數值
**\[表 11\]:設定值**
「網路安全性:下次密碼變更時不儲存 LAN Manager 雜湊數值」安全性選項設定會決定當密碼變更時,是否要儲存 LAN Manager (LM) 新密碼的雜湊值。LM 雜湊相當不牢靠,與加密方面較強的 Windows NT® 雜湊相較之下,更容易受到攻擊。有基於此,MSBP 在本指南中所定義的三種安全性環境內啟用了此設定。
DCBP 則在「企業用戶端」與「高安全性」環境中的網域控制站啟用此設定,但在「傳統用戶端」環境中的網域控制站停用此設定。如果在「傳統用戶端」環境中的網域控制站啟用此設定,則 Windows 98 用戶端在變更密碼後便無法登入。
**注意:**舊版作業系統與某些協力廠商應用程式,可能會在啟用此設定時失敗。再者,啟用此設定時,所有帳戶都必須變更密碼。
[](#mainsection)[回到頁首](#mainsection)
### 事件日誌設定
網域控制站的「事件日誌」設定值與 MSBP 中所指定的完全相同。如需詳細資訊,請參閱<[建立 Windows Server 2003 成員伺服器的基準線](https://technet.microsoft.com/zh-tw/library/b9830562-d91c-400e-baa0-3f6d7bbfe1d9(v=TechNet.10))>單元。DCBP 中的「群組原則」設定可確保網域控制站會記錄所有相關的安全性稽核資訊,包括「目錄服務存取」。
[](#mainsection)[回到頁首](#mainsection)
### 系統服務
您必須在所有 Windows Server 2003 網域控制站上啟用下列系統服務。DCBP 中的基準原則設定可以確保在所有網域控制站上,所有必要的系統服務都設定一致。
本節會詳細說明 DCBP 中所規定不同於 MSBP 的系統服務設定。如需本節中的規定設定值之摘要,請參閱「Windows Server 2003 Security Guide Settings」(英文) Excel 活頁簿,您可從 [https://go.microsoft.com/fwlink/?LinkId=14846](https://go.microsoft.com/fwlink/?linkid=14846) 下載《Windows Server 2003 Security Guide》(英文) 取得。
**注意:**如果您從「Windows Server 2003 支援工具」執行 DCDiag.exe 公用程式,該程式會檢查能夠在環境中的網域控制站上執行的所有服務。DCDiag.exe 會報告因「網域控制站基準原則」中停用部份服務而發生的錯誤,包括 IISADMIN、SMTPSVC 及 TrkSvr。此資訊並不表示您的設定有問題。
#### 分散式檔案系統
**\[表 12\]:設定值**
「分散式檔案系統 (DFS)」服務會將分散的檔案共用發佈與整合成為單一邏輯名稱區。此服務會管理分散在所有本機或廣域網路 (WAN) 的邏輯磁碟區,這在共用 Active Directory 系統磁碟區 (SYSVOL) 時需要。SYSVOL 複寫需仰賴 DFS 的正常運作。
使用群組原則來保障和設定服務的啟動模式,只將存取權授予伺服器管理員,進而預防服務遭未授權及惡意使用者的設定或操作。群組原則也會防止系統管理員不慎停用此服務。因此,DCBP 在本指南中所定義的三種環境內,都將此服務設定為自動啟動。
#### DNS 伺服器
**\[表 13\]:設定值**
「DNS 伺服器」服務會解析網域名稱系統 (DNS) 查詢與 DNS 名稱的更新要求。「DNS 伺服器」是在 Active Directory 中使用 DNS 名稱與網域控制站尋找所識別之裝置的關鍵服務。
Active Directory 的可靠性與可用性,端賴「DNS 伺服器」的正常運作。如果沒有 DNS,網域控制站便互相找不到而無法複寫目錄資訊,用戶端也無法連絡網域控制站以進行驗證。
使用群組原則來保障和設定服務的啟動模式,只會將存取權授予伺服器管理員,進而預防服務遭未授權及惡意使用者的設定或操作。群組原則也會防止系統管理員不慎停用此服務。因此,DCBP 在本指南中所定義的三種環境內,都將此服務設定為自動啟動。
#### 檔案複寫
**\[表 14\]:設定值**
「檔案複寫」服務允在多部伺服器上自動複製並同時維護各個檔案。「檔案複寫服務 (FRS)」是 Windows 2000 與 Windows Server™ 系列產品中的自動檔案複寫服務。.此服務會複寫所有網域控制站上的 SYSVOL,並可設定為在其他與容錯 DFS 相關之目標上複寫檔案。SYSVOL 複寫也需仰賴「檔案複寫」服務的正常運作。
使用群組原則來保障和設定服務的啟動模式,只會將存取權授予伺服器管理員,進而預防服務遭未授權及惡意使用者的設定或操作。群組原則也會防止系統管理員不慎停用此服務。因此,DCBP 在本指南中所定義的三種環境內,都將此服務設定為自動啟動。
#### 站台間訊息處理
**\[表 15\]:設定值**
「站台間訊息處理 (ISM)」服務可讓訊息在執行 Windows Server 站台的電腦之間互相交換。此服務是用在站台間進行郵件式複寫。Active Directory 也支援使用「簡易郵件傳送通訊協定 (SMTP)」的站台間經由「網際網路通訊協定 (IP)」傳輸進行複寫。SMTP 支援是由 SMTP 服務提供,而 SMTP 服務是 Microsoft Internet Information Services (IIS) 的元件。
站台間使用的通訊傳輸設定必須是可延伸的;因此,每個傳輸都定義在個別的增益集動態連結程式庫 (DLL) 中。增益集 DLL 會載入 ISM 服務中,而在所有能進行站台間通訊的網域控制站上執行。ISM 服務會將傳送與接收訊息要求導向至適當的傳輸增益集 DLL,然後將訊息路由傳送到目的電腦上的 ISM 服務。Active Directory 複寫需仰賴「站台間訊息處理」服務正常執行。
使用群組原則來保障和設定服務的啟動模式,只會將存取權授予伺服器管理員,進而預防服務遭未授權及惡意使用者的設定或操作。群組原則也會防止系統管理員不慎停用此服務。因此,DCBP 在本指南中所定義的三種環境內,都將此服務設定為自動啟動。
#### Kerberos 金鑰發佈中心
**\[表 16\]:設定值**
「Kerberos 金鑰發佈中心 (KDC)」服務允許使用者利用 Kerberos v5 驗證通訊協定登入網路。
使用者必須有 KDC 服務,才能登入網路。停用此服務會妨礙使用者登入網路。
使用群組原則來保障和設定服務的啟動模式,只會將存取權授予伺服器管理員,進而預防服務遭未授權及惡意使用者的設定或操作。群組原則也會防止系統管理員不慎停用此服務。因此,DCBP 在本指南中所定義的三種環境內,都將此服務設定為自動啟動。
#### 遠端程序呼叫 (RPC) 定位程式
**\[表 17\]:設定值**
「遠端程序呼叫 (RPC) 定位程式」服務可讓使用 RpcNs\* 應用程式介面 (API) 系列產品的使用者 RPC 用戶端,找到 RPC 伺服器並管理 RPC 名稱服務資料庫。
停止或停用此服務,可能會妨礙使用 RpcNs\* API 的使用者尋找伺服器或無法啟動。另外,需仰賴相同電腦之 RpcNs\* API 的 RPC 用戶端,可能會找不到支援特定介面的 RPC 伺服器。在您的網域控制站上停止或停用此服務,可能會導致使用 RpcNs\* API 的 RPC 用戶端與網域控制站嘗試尋找用戶端時,發生服務中斷。
使用群組原則來保障和設定服務的啟動模式,只會將存取權授予伺服器管理員,進而預防服務遭未授權及惡意使用者的設定或操作。群組原則也會防止系統管理員不慎停用此服務。因此,DCBP 在本指南中所定義的三種環境內,都將此服務設定為自動啟動。
[](#mainsection)[回到頁首](#mainsection)
### 其他安全性設定
本節會說明必須針對 DCBP 進行的手動修改,以及無法經由「群組原則」執行的其他設定與措施。
#### 手動將唯一的安全性群組新增至使用者權利指派
經由 DCBP 套用的大多數「使用者權限指派」,都已依《Windows Server 2003 Security Guide》(英文) 中內附的安全性範本而適當加以指定,您可在以下位置找到這些範本:[https://go.microsoft.com/fwlink/?LinkId=14846](https://go.microsoft.com/fwlink/?linkid=14846%20)。但是,有少數安全性群組並未包括在範本中,因為它們的安全性識別碼 (SID) 是針對個別的 Windows 2003 網域。下列指定必須手動設定的使用者權限指派。
**警告:**下表包含內建系統管理員帳戶的值。請勿將此帳戶與內建 Administrators 安全性群組混淆。如果您將 Administrators 安全性群組加入以下任何拒絕存取使用者權限中,則必須從本機登入才能更正該錯誤。
此外,內建系統管理員帳戶可能會根據<[建立 Windows Server 2003 伺服器的成員伺服器基準](https://technet.microsoft.com/zh-tw/library/b9830562-d91c-400e-baa0-3f6d7bbfe1d9(v=TechNet.10))>單元中所說明的部份建議而重新命名。請在新增系統管理員帳戶時,確認已指定已重新命名的帳戶。
**\[表 18\]:手動新增的使用者權限指派**
此電腦拒絕來自網路的存取
內建 Administrator;Support_388945a0;Guest;所有非作業系統服務的帳戶
內建 Administrator;Support_388945a0;Guest;所有非作業系統服務的帳戶
內建 Administrator;Support_388945a0;Guest;所有非作業系統服務的帳戶
拒絕以批次工作登入
Support_388945a0 與 Guest
Support_388945a0 與 Guest
Support_388945a0 與 Guest
拒絕透過終端機服務登入
內建 Administrator、所有非作業系統服務帳戶
內建 Administrator、所有非作業系統服務帳戶
內建 Administrator、所有非作業系統服務帳戶
**重要:**所有非作業系統的服務帳戶,包含用在企業中特定應用程式的服務帳戶。並不包括作業系統使用的內建帳戶 (LOCAL SYSTEM、LOCAL SERVICE 或 NETWORK SERVICE 帳戶)。
#### 目錄服務
執行 Windows Server 2003 的網域控制站會儲存目錄資料並管理使用者與網域的互動,包括使用者登入程序、驗證及目錄搜尋等。
##### 要重新尋找資料嗎?Active Directory 資料庫與記錄檔
防護 Active Directory 資料庫與記錄檔,是維護目錄整合性與可靠性的關鍵。
將 ntds.dit、edb.log 及 temp.edb 檔案從預設位置移到其他位置,有助於在網域控制站遭入侵時不致被攻擊者發現。再者,將檔案從系統磁碟區移到個別的實體磁碟,也可以提昇網域控制站的效能。
基於這些原因,本指南建議您在本文所定義之三種環境中的網域控制站內,將 Active Directory 資料庫與記錄檔從系統磁碟區的預設位置,移到非系統等量或等量/鏡像磁碟區。
##### 調整 Active Directory 記錄檔的大小
確保環境中的網域控制站記錄並維護適當數量的資訊,是有效監視與維護 Active Directory 整合性、可靠性即可用性的關鍵。
增加記錄檔的最大容量,可以幫助系統管理員維護適當數量的資訊,維持在面對駭客攻擊事件中進行重要稽核時所需的適量資訊。
有基於此,本指南建議您在本文所定義之三種環境中的網域控制站內,將「目錄服務」與「檔案複寫服務」記錄檔的最大容量從預設值 512 KB 增加到 16 MB。
##### 使用 Syskey
在網域控制站上,密碼資訊是儲存在目錄服務中。因此密碼破解軟體通常會將「安全性帳戶管理員 (SAM)」資料庫或目錄服務設定為目標,以便存取使用者帳戶的密碼。
「系統金鑰 (Syskey)」公用程式提供了防禦離線密碼破解軟體的另一道防線。Syskey 使用了增強的加密技術,可保護目錄服務中所儲存的帳戶密碼資訊。
**\[表 19\]:Syskey 模式**
模式一 :系統產生密碼,在本機儲存啟動金鑰安全
使用電腦產生的隨機金鑰作為系統金鑰,並在本機電腦儲存加密版本的金鑰。此選項在登錄中提供增強加密的密碼資訊,並讓使用者可以重新啟動電腦而不需要系統管理員輸入密碼或插入磁片。
模式二 :系統管理員產生密碼,密碼啟動更安全
使用電腦產生的隨機金鑰作為系統金鑰,並在本機電腦儲存加密版本的金鑰。此金鑰同時由系統管理員選擇的密碼加以保護。系統在初始啟動序列中,便會提示使用者提供系統金鑰密碼。系統金鑰密碼不會儲存在電腦上。
模式三 :系統產生密碼,在磁片儲存啟動金鑰最安全
使用電腦產生的隨機金鑰,並將金鑰儲存在磁片上。啟動系統時須有包含系統金鑰的磁片,您必須在啟動序列時依系統提示插入磁片。系統金鑰不會儲存在電腦上。
所有 Windows Server 2003 伺服器上的 Syskey 都已啟用為模式一 (模糊化金鑰)。由於所有網域控制站都暴露在實體安全性執行緒中,因此強烈建議使用 Syskey 模式二 (主控台密碼) 或模式三 (磁片儲存 Syskey 密碼)。
站在安全性的立場,這顯然是首要工作,因為網域控制站很容易遭到攻擊者以實體存取權重新啟動。模式一的 Syskey 可讓攻擊者讀取與更改目錄的內容。
但是,若需要確保網域控制站在透過重新啟動後能夠操作,模式二與模式三的 Syskey 便難以支援。為了充分利用這些 Syskey 模式所提供的增強保護,您必須在環境中執行適當的操作程序,以符合網域控制站的特定可用性需求。
Syskey 密碼或磁片管理的邏輯可能很複雜,尤其對分公司而言。例如,要求分公司經理或當地管理人員,在半夜三點到辦公室輸入密碼或插入磁片以便讓其他使用者能夠存取系統,所付出的代價相當高昂,使得達到高可用性服務層次協議 (SLA) 倍具挑戰。
其次,讓中央 IT 操作人員從遠端提供 Syskey 密碼,必須要有其他硬體 (有些硬體供應商會提供附加解決方案,可供遠端存取伺服器主控台)。
最後,如果遺失 Syskey 密碼或磁片,該處的網域控制站便無法重新啟動。如果 Syskey 密碼或磁片遺失,您便沒有辦法還原網域控制站。發生此種情形時,則必須重建該網域控制站。
不過,經由適當的操作程序,Syskey 提供的安全性增強層級可以完善保護網域控制站上建立的機密目錄資訊。
基於這些理由,建議在無強化實體儲存安全性的位置中,針對網域控制站採用 Syskey 模式二或模式三。此建議也適用於本指南中所說明之三種環境內的任何網域控制站。
- **若要建立或更新系統金鑰:**
1. 按一下 \[開始\],再按一下 \[執行\],輸入 **syskey** 後按一下 \[確定\]。
2. 按一下 \[啟用加密\],然後按一下 \[更新\]。
3. 按一下想要的選項,然後按一下 \[確定\]。
#### 整合 Active Directory 的 DNS
Microsoft 建議您在本指南中所定義的三種環境內,使用整合 Active Directory 的 DNS,因為將區域整合成為 Active Directory 可以簡化保護 DNS 基礎結構的程序。
##### 保護 DNS 伺服器
防護 DNS 伺服器對於內含 Active Directory 的任何環境都非常重要。以下各節會提供許多執行此項工作的建議與說明。
當 DNS 伺服器遭受攻擊時,攻擊者其中一個可能的目標就是控制用以回應 DNS 用戶端查詢所傳回的 DNS 資訊。這樣一來,用戶端可能就會因疏忽而錯誤導向到未經授權的電腦。IP 詐騙與快取定位就是這類攻擊的例子。
在 IP 詐騙中,會傳輸已授權使用者的 IP 位址,以取得電腦或網路的存取權。快取定位攻擊則是由未經授權的主機,將有關其他主機的錯誤資訊傳輸到 DNS 伺服器的快取中。此攻擊會導致將用戶端錯誤導向到未經授權的電腦。
一旦用戶端因疏忽開始與未經授權的電腦通訊後,這些電腦便會嘗試存取用戶電腦上所儲存的資訊。
並非所有攻擊者都集中在詐騙 DNS 伺服器。有些 DoS 攻擊可以更改合法 DNS 伺服器的 DNS 記錄,而在回應用戶端查詢時提供無效的位址。透過使伺服器回應無效位址,用戶端與伺服器便找不到其所需運作的資源,例如網域控制站、網路伺服器或檔案共用等。
因此,本指南建議您將這三種環境使用的路由器,設定為丟棄詐騙 IP 封包,以確保其他電腦無法詐騙 DNS 伺服器的 IP 位址。
##### 設定安全動態更新
Windows Server 2003 DNS 用戶端服務支援動態 DNS 更新,可讓用戶端系統直接將 DNS 記錄加入資料庫中。如果將伺服器設定為接受不安全的更新,則動態 DNS 伺服器可能收到攻擊者利用支援 DDNS 通訊協定的用戶端,傳出的惡意或未經授權的更新。
結果輕則攻擊者可將偽造項目加入 DNS 資料庫﹔重則攻擊者可覆寫或刪除 DNS 資料庫中的合法項目。這類攻擊可能導致下列狀況:
- 將用戶端導向到未經授權的網域控制站:當用戶端提交用以尋找網域控制站位址的 DNS 查詢時,遭入侵的 DNS 伺服器可能會被導引傳回未經授權伺服器的位址。然後,再使用其他非 DNS 類型的攻擊,蒙騙用戶端將安全資訊傳到偽造伺服器。
- 以無效位址回應 DNS 查詢:這會使用戶端與伺服器互相找不到彼此。如果用戶端找不到伺服器,便無法存取目錄。當網域控制站找不到其他網域控制站,則會停止目錄複寫,因而導致可能影響整個樹系使用者的 DoS 狀況。
- 出現 DoS 狀況時,可能會由於大型區域檔案充滿虛擬記錄或延緩複寫的大量項目,而耗盡伺服器的磁碟空間。
使用 DDNS 更新可以保證只處理來自 Active Directory 樹系中有效用戶端所送出的註冊要求。這可大幅限制攻擊者危害 DNS 伺服器完整性的機會。
因此,本指南建議您在本文中所定義的三種環境內,將 Active Directory DNS 伺服器設定為只接受「安全動態更新」。
##### 限制轉送到授權系統的區域
因為區域在 DNS 中扮演著重要的角色,因此它們應該可從網路上一個以上的 DNS 伺服器使用,以便在解析名稱查詢時提供適當的可用性與容錯。否則,只傳到一部在區域中不得回應的伺服器的名稱查詢,可能無法解析。若要讓其他伺服器主控區域,必須進行區域轉送,以便將每部設定要主控區域的伺服器,其中所使用的區域全部複本加以複寫和同步化。
再者,未設定成限制誰能夠要求區域轉送的 DNS 伺服器,很容易遭受攻擊而將整個 DNS 區域轉送給任何要求者。這可以使用例如 nslookup.exe 等工具輕易達成。這類工具可以公開整個網域的 DNS 資料集,包括像是哪些主機是作為網域控制站、與網路伺服器整合的目錄或 Microsoft SQL Server™ 2000 資料庫等。
因此,本指南建議您在本文中所定義的三種環境內,將整合 Active Directory 的 DNS 伺服器定義為允許區域轉送,但是要限制只有哪些系統可以轉送要求。
##### 調整事件日誌與 DNS 服務記錄檔的大小
確保環境中的網域控制站記錄並維護適當數量的資訊,是有效監視「DNS 服務」的關鍵。
增加「DNS 服務」記錄檔的最大容量,可以幫助系統管理員維護適當數量的資訊,以便對攻擊事件進行重要稽核。
因此,本指南建議您在本文中所定義的三種環境內,將「DNS 服務」記錄檔的最大容量至少設定為 16 MB,並確定勾選 \[必要時覆寫事件\] 選項以使保留的記錄項目數量最大化。
#### 保護熟知的帳戶
Windows Server 2003 有許多可以重新命名但不能刪除的內建使用者帳戶。在 Windows 2003 內建帳戶中最為出名的是 **Guest** 和 **Administrator**。
成員伺服器與網域控制站的 **Guest** 帳戶預設是停用狀態。這項設定不應變更。應該重新命名內建的 **Administrator** 帳戶,並且變更說明以避免攻擊者使用熟知的帳戶,而危害遠端伺服器。
許多惡意程式碼的變種,一開始會嘗試使用內建的系統管理員帳戶來危害伺服器。自攻擊工具的發行開始嘗試使用指定內建「系統管理員」帳戶的 SID 來判斷真實名稱以侵入伺服器,此設定值的變更在過去幾年已漸漸減少。安全性識別元 (SID) 值是唯一的,可用來識別網路中的每個使用者、群組、電腦帳戶與登入工作階段。要變更此內建帳戶的SID 是不可能的。將本機系統管理員帳戶重新更名成唯一名稱,可以讓操作群組更容易監控此帳戶所遭受的企圖攻擊行為。
完成以下步驟,來保護網域與伺服器上熟知的帳戶:
1. 重新命名每個網域和伺服器的 **Administrator** 和 **Guest** 帳戶,並將其密碼變更成長且複雜的值。
2. 每部伺服器上使用不同的名稱及密碼。如果所有網域及伺服器上都使用相同的帳戶名稱與密碼,攻擊者在取得一部成員伺服器的存取權後,就可以使用相同帳戶名稱與密碼來存取所有其他伺服器。
3. 將帳戶說明變更成不同於預設值的說明,以協助防止帳戶易於識破。
4. 將這些變更記錄在安全位置。
**注意:**內建系統管理員帳戶可以經由群組原則重新命名。DCBP 中並未設定此設定,因為您必須針對環境選擇唯一名稱。帳戶:您可以在本指南中所定義的三種環境內,設定重新命名系統管理員帳戶以便將系統管理員帳戶重新命名。這項設定屬於 GPO 安全性選項設定的一部份。
#### 保護服務帳戶
除非絕對必要,否則絕不要將服務設定在網域帳戶的安全性內容下執行。如果伺服器實體已遭滲透,網域帳戶密碼就會很容易透過傾印「本機安全性授權 (LSA)」機密而洩漏出去。
#### 終端機服務設定
**\[表 20\]:設定值**
「設定用戶端連線加密層級」設定會決定環境中「終端機服務」用戶端連線的加密層級。\[高度\] 設定選項會使用 128 位元加密,以防止攻擊者使用封包分析器來竊取「終端機服務」工作階段。有些舊版的「終端機服務」用戶端不支援此高度加密。如果您的網路中包含這類用戶端,請將傳送與接收資料的連線加密層級,設定為該用戶端使支援的最高加密層級。因此,本指南建議您在本文中所定義的三種安全性環境內,將 \[設定用戶端加密層級\] 設定為 \[啟用\],並在 DCBP 中勾選 \[高度\] 加密選項。
在「群組原則物件編輯器」中設定此設定的路徑如下:
電腦設定\\系統管理範本\\Windows 元件\\終端機服務\\加密及安全性。
有三種可用的加密層級:
**\[表 21\]:終端機服務加密層級**
高度
此層級會將從用戶端傳送到伺服器與伺服器傳送到用戶端的資料,使用增強 128 位元加密。當終端機伺服器在只包含 128 位元用戶端 (例如「遠端桌面連線」用戶端) 的環境中執行時,請使用此層級。不支援此加密層級的用戶端將無法連線。
用戶端相容
此層級會將用戶端與伺服器之間傳送的資料,以用戶端支援的最大金鑰效力來加密。當終端機伺服器在包含混合或傳統用戶端的環境中執行時,請使用此層級。
低度
此層級會將從用戶端傳送到伺服器的資料,使用 56 位元加密。重要: 從伺服器傳送到用戶端的資料並不會加密。
#### 錯誤報告
**\[表 22\]:設定值**
「錯誤報告」服務會協助 Microsoft 追蹤並處理錯誤。您可以設定此服務產生作業系統錯誤、Windows 元件錯誤或程式錯誤的報告。啟用「報告錯誤」服務會促使這類錯誤經由網際網路回報給 Microsoft,或回報至內部企業檔案共用。
此設定只適用於 Microsoft Windows® XP Professional 作業系統與 Windows Server 2003。在「群組原則物件編輯器」中設定此設定的路徑如下:
電腦設定\\系統管理範本\\系統\\錯誤報告
錯誤報告可能包含潛在的敏感資料,或甚至機密的企業資料。有關錯誤報告的 Microsoft 隱私權原則可確保 Microsoft 不致不當使用這類資料,但是該資料是以純文字「超文字傳輸通訊協定(HTTP)」進行傳輸,因此第三人可能會在網際網路上中途攔截並檢視這份資料。因此,本指南建議您在本文中所定義的三種安全性環境內,將 DCBP 中的\[報告錯誤\] 設定為 \[停用\]。
#### 使用 IPSec 篩選器封鎖連接埠
「網際網路通訊協定安全性 (IPSec)」篩選器提供有效方法,可強化伺服器所需要的安全性層級。本指南建議在本文內定義的高安全性環境可以採用此指示,進一步減少伺服器的攻擊表面。
如需使用 IPSec 篩選器的詳細資訊,請參閱[<其他成員服務強化程序>](https://www.microsoft.com/taiwan/technet/security/guidance/secmod58.mspx)單元。
下表列出在本指南中所定義的「高安全性」環境之網域控制站中,所能建立的所有 IPSec 篩選器。
下表列出在本指南中所定義的「高安全性」環境之網域控制站中,所應該建立的所有 IPSec 篩選器。
**\[表 23\]:網域控制站 IPSec 篩選器網路流量對應**
CIFS/SMB 伺服器
TCP
任何
445
任何
我
允許
是
UDP
任何
445
任何
我
允許
是
RPC 伺服器
TCP
任何
135
任何
我
允許
是
UDP
任何
135
任何
我
允許
是
NetBIOS 伺服器
TCP
任何
137
任何
我
允許
是
UDP
任何
137
任何
我
允許
是
UDP
任何
138
任何
我
允許
是
TCP
任何
139
任何
我
允許
是
監視用戶端
任何
任何
任何
我
MOM 伺服器
允許
是
終端機服務伺服器
TCP
任何
3389
任何
我
允許
是
通用類別目錄伺服器
TCP
任何
3268
任何
我
允許
是
TCP
任何
3269
任何
我
允許
是
DNS 伺服器
TCP
任何
53
任何
我
允許
是
UDP
任何
53
任何
我
允許
是
Kerberos 伺服器
TCP
任何
88
任何
我
允許
是
UDP
任何
88
任何
我
允許
是
LDAP 伺服器
TCP
任何
389
任何
我
允許
是
UDP
任何
389
任何
我
允許
是
TCP
任何
636
任何
我
允許
是
UDP
任何
636
任何
我
允許
是
NTP 伺服器
TCP
任何
123
任何
我
允許
是
UDP
任何
123
任何
我
允許
是
預先定義的 RPC 範圍
TCP
任何
57901-57950
任何
我
允許
是
DC Comms
任何
任何
任何
我
網域控制站
允許
是
DC Comms
任何
任何
任何
我
網域控制站 2
允許
是
ICMP
ICMP
任何
任何
我
任何
允許
是
所有輸入的流量
任何
任何
任何
任何
我
封鎖
是
上表中所列出的所有規則在實作時應該進行鏡像處理。這樣可確保任何傳入到伺服器的網路資料流量,都將允許傳回到原始伺服器。
上表表示基本連接埠應加以開啟,以便讓伺服器執行角色特定的功能。伺服器若為靜態 IP 位址,則這些連接埠數量就已足夠。若要提供其他功能,就需要開啟其他的連接埠。開啟其他連接埠會使環境中的網域控制站比較容易管理,但是,卻會大幅減少這些伺服器的安全性。
為了支援用戶端登入程序,必須特別指定一個範圍內的連接埠以供 RPC 使用。當您將環境中的 RPC 流量侷限於特定數量的連接埠時,所選的連接埠範圍內應該超過 50,000 個連接埠。這可以透過設定下列登錄設定來完成:
如果 HKEY\_LOCAL\_MACHINE\\Software\\Microsoft\\RPC\\Internet key 不存在,則必須重新建立。
應建立 HKEY\_LOCAL\_MACHINE\\Software\\Microsoft\\RPC\\Internet\\Ports,並以代表要開啟的連接埠範圍的值來設定 REG\_MULTI\_SZ。例如,值 57901-57950 表示將會開啟 50 個連接埠以供 RPC 傳輸量使用。
應建立 HKEY\_LOCAL\_MACHINE\\Software\\Microsoft\\RPC\\Internet\\PortsInternetAvailable,並將 REG\_SZ 設定為 Y 值。
應建立 HKEY\_LOCAL\_MACHINE\\Software\\Microsoft\\RPC\\Internet\\UseInternetPorts,並將 REG\_SZ 設定為 Y 值。
在「登錄」中完成以上變更後,必須重新啟動伺服器。
**注意:**這些變更可能會影響效能,且應該在生產中執行之前先行測試。實際上會開啟的連接埠數量,將視環境以及伺服器使用的功能而定。您必須監視用戶端的登入時間。如果登入效能降低,則必須再開啟其他連接埠。
如前所述,如果環境中實作 Microsoft Operations Manager (MOM),實作 IPSec 篩選器與 MOM 伺服器的伺服器之間就必須允許進行所有的網路資料傳輸。因為 MOM 伺服器與 OnePoint 用戶端 — 向 MOM 主控台報告的用戶端應用程式之間有大量互動,所以這是必要的。其他管理套件可能也有類似要求。當需要更高層級的安全性時,OnePoint 用戶端的篩選動作可以設定成交涉 IPSec 與 MOM 伺服器。
以上的網路流量對照,是假設環境中包含使用 Active Directory 的 DNS 伺服器。如果是使用獨立 DNS 伺服器,則可能須有其他規則。
IPSec 原則實作應該不會對伺服器效能造成明顯的影響。但是這些篩選器在實作之前,應該先執行測試,以便確認伺服器的必要功能和效能有維持正常運作。您也可能需要加入其他規則,以便支援其他的應用程式。
**注意:**網域控制站是非常動態的,因此在其中執行 IPSec 篩選器必須審慎評估,並在實驗環境中徹底測試。因為網域控制站之間會有大量互動,所以必須新增 IPSec 篩選器,以允許彼此複寫資訊的網域控制站之間所有的傳輸。在含有許多網域控制站的複雜環境中,就必須建立大量其他的篩選器,使篩選器能夠有效保護網域控制站。這可能會使執行與管理 IPSec 原則變得非常困難。不過,含有少數網域控制站的環境,便能有效運用藉由執行 IPSec 篩選器所得到的優點。
本指南內含一個 .cmd 檔案,可簡化網域控制站所規定的 IPSec 篩選器之建立程序。PacketFilters-DC.cmd 檔案使用 NETSH 命令來建立適當的篩選器。您必須修改此 .cmd 檔案以納入環境中其他網域控制站的 IP 位址。指令碼中包含了將加入兩個網域控制站的預留位置。如有必要也可增加其他網域控制站。這份網域控制站的IP 位址清單必須保持最新狀態。
如果環境中有 MOM,指令碼中也必須指定適當 MOM 伺服器的 IP 位址。本指令碼不會建立永續性篩選器。所以,必須啟動 IPSec 原則代理程式,伺服器才會受到保護。如需建立持續篩選器、或建立更進階 IPSec 篩選器指令碼的詳細資訊,請參閱<[其他成員伺服器強化程序](https://www.microsoft.com/taiwan/technet/security/guidance/secmod58.mspx)>單元。最後,本指令碼是設定為不指派自己建立的 IPSec 原則。「IP 安全性原則管理」嵌入式管理單元可以用來檢驗已建立的 IPSec 篩選器,並指派 IPSec 原則以便生效。
[](#mainsection)[回到頁首](#mainsection)
### 總結
本單元逐一說明了在本指南中所定義的三種環境內,保護網域控制站所需的伺服器強化設定。大部份所討論的設定,都是使用「群組原則」來設定與套用。「群組原則 (GPO)」物件是為了搭配連結到「網域控制站組織單位 (OU)」的「預設網域控制站」而設計。「網域控制站基準原則 (DCBP)」中內含的設定,可強化任何指定環境中所有網域控制站的整體安全性。使用兩個 GPO 來保護網域控制站,便可以保留預設環境並簡化疑難排解的工作。
有許多伺服器強化設定無法經由「群組原則」來套用。在這些情況中,則可以使用手動設定來設定這些設定。
完成網域控制站保護之後,本指南的以下單元會將焦點放在保護許多其他特定的伺服器角色。
#### 其他資訊
以下資訊來源,是 Windows Server 2003 產品公開發表時,針對內含執行 Windows Server 2003 的電腦之環境中保護網域控制站等密切相關主題,所公佈的最新內容。
如需有關《Microsoft Systems Architecture:Enterprise Data Center》(英文) 制式架構指南的詳細資訊,請參閱: