強化 Windows Server 2003 檔案伺服器

Overview

發佈日期: 2003 年 12 月 31 日 | 更新日期: 2006 年 4 月 26 日

本頁內容

本單元內容
目標
適用於
如何使用本單元
概觀
稽核原則設定
使用者權限指派
安全性選項
事件日誌設定
系統服務
其他安全性設定
總結

本單元內容

本單元說明檔案伺服器特定使用的安全性範本設定。本單元假設成員伺服器基準線已經套用於伺服器上。除了安全性範本所定義的安全性組態設定之外,本文也考量您必須套用的其他安全性組態設定。為了建立完全強化的檔案伺服器,這些額外設定是必要的。

目標

透過此單元即可:

  • 加強 Microsoft® Windows Server™ 2003 作業系統檔案伺服器。

  • 調查檔案伺服器的適當安全性設定。


適用於

本單元適用於下列產品及技術:

  • Windows Server 2003


如何使用本單元

請利用本單元瞭解您應該套用於 Windows Server 2003 檔案伺服器的安全性設定。單元中會結合使用角色特定安全性範本與基準線安全性範本。這些安全性範本是出自《Windows Server 2003 安全性指南》,您可以在下列位置取得:http://go.microsoft.com/fwlink/?LinkId=14846

若要充分瞭解此單元:


概觀

進一步強化檔案伺服器時會遇到困難,因為它們提供的大部份必要服務都必須具備 Microsoft® Windows® 「網路基本輸入輸出系統」(NetBIOS) 相關通訊協定。「伺服器訊息區」(SMB) 的通訊協定及「共用網際網路檔案系統」(CIFS) 大量資訊給未驗證的使用者。所以在高度安全性的 Windows 環境中,通常建議停止讓檔案伺服器使用這些通訊協定。不過,停用這些通訊協定可能會造成環境中的系統管理員與使用者難以存取檔案伺服器。

本單元的下列章節詳細列出範圍,讓檔案伺服器善用「成員伺服器基準線原則」(MSBP) 不套用的安全性設定。如需關於 MSBP 的更多資訊,請參閱單元<建立 Windows Server 2003 成員伺服器的基準線>

稽核原則設定

本指南定義檔案伺服器在三個環境中的稽核原則設定,皆須透過 MSBP 進行組態。如需關於 MSBP 的更多資訊,請參閱單元<建立 Windows Server 2003 成員伺服器的基準線>。MSBP 設定可確保所有相關的安全性稽核資訊都能登入到所有檔案伺服器上。

使用者權限指派

本指南定義檔案伺服器在三個環境中的使用者權限指派,皆須透過 MSBP 進行組態。如需關於 MSBP 的更多資訊,請參閱單元<建立 Windows Server 2003 成員伺服器的基準線>。MSBP 設定可確保所有適當的使用者權限指派在各檔案伺服器上組態一致。

安全性選項

本指南定義檔案伺服器在三個環境中的安全性選項設定,皆須透過 MSBP 進行組態。如需關於 MSBP 的更多資訊,請參閱單元<建立 Windows Server 2003 成員伺服器的基準線>。MSBP 設定可確保所有相關的安全性選項設定一致在各檔案伺服器上進行組態。

事件日誌設定

本指南定義檔案伺服器在三個環境中的事件日誌檔設定,皆須透過 MSBP 進行組態。如需關於 MSBP 的更多資訊,請參閱單元<建立 Windows Server 2003 成員伺服器基準線>

系統服務

任何服務或應用程式都是潛在的攻擊點,所以任何不必要的服務或可執行檔都必須停用或移除。在 MSBP 中,選用服務以及任何非必要服務都會停用。

執行 Windows Server 2003 的檔案伺服器上通常會啟用一些不必要的附加服務。這些服務的使用與安全性常常成為爭論主題。因此,本指南對檔案伺服器的建議有可能不適用於您的環境。請配合貴組織的需求來調整檔案伺服器群組原則建議。

分散式檔案系統

表 1:設定

服務名稱

成員伺服器預設值

傳統用戶端

企業用戶端

高安全性

DFS

自動

停用

停用

停用


分散式檔案系統 (DFS) 服務可管理分散於區域網路 (LAN) 或廣域網路 (WAN) 的邏輯磁碟區,對於 Microsoft Active Directory® 目錄服務 SYSVOL 共用是必要的。DFS 是分散式服務,可將分散檔案共用整合成單一邏輯名稱區。

此名稱區是網路存放資源的邏輯代表,這些資源可供使用者在網路上取得。停用 DFS 服務可防止使用者透過邏輯名稱區存取網路資料,並要求他們必須知道環境中所有伺服器與共用的名稱才可進行存取。

「檔案伺服器增量群組原則」停用 DFS 服務,將環境中的檔案伺服器攻擊表面區域減到最低。因此在本指南中,[分散式檔案系統] 設定在所有安全性環境中皆設定為 [停用]。

注意:為了簡化存取分散資源而在檔案伺服器上使用 DFS 的組織,必須修改「檔案伺服器增量群組原則」或建立新的 GPO,才能啟用此服務。

檔案複寫服務

表 6.2:設定

服務名稱

成員伺服器預設值

傳統用戶端

企業用戶端

高安全性

NTFRS

手動

停用

停用

停用


「檔案複寫服務」 (FRS) 可自動複製檔案,並且同時在多重伺服器進行維護。FRS 是 Microsoft® Windows® 2000 作業系統及 Windows Server 2003 系列的自動檔案複寫服務。該服務在所有網域控制站上複寫系統磁碟區 (Sysvol)。此外,本服務可以設定在錯誤相關的替代目標之間複寫檔案容錯 DFS。如果停用此服務,就不會發生檔案複寫,且伺服器資料也不會同步化。

「檔案伺服器增量群組原則」停用 FRS 服務,以便將您環境中檔案伺服器遭到的攻擊表面區域減到最低。因此在本指南定義的所有安全性環境中,[檔案複寫服務] 設定皆設為 [停用]。

注意:為了在多重伺服器之間複寫資料而在檔案伺服器上使用 FRS 的組織,必須修改「檔案伺服器增量群組原則」,或建立新的 GPO,才能啟用此服務。

其他安全性設定

MSBP 所應用的安全性設定,可大幅度增強檔案伺服器的安全性。不過,仍然有少數其他考量需要仔細衡量。這些步驟如果不透過「群組原則」就無法完成,而且必須在所有檔案伺服器上手動執行。

保護眾所皆知帳戶

Windows Server 2003 有大量的內建使用者帳戶,無法加以刪除但可以重新命名。Windows 2003 最為人熟知的內建帳戶是 GuestAdministrator

依預設值,Guest 帳戶在成員伺服器與網域控制站上是停用的。您不應該變更這項設定。內建的 Administrator 帳戶應該要重新命名,且應該更改描述,以防止攻擊者使用已知帳戶侵入遠端伺服器。

許多不同的惡意程式碼使用內建的系統管理員帳戶,意圖侵入伺服器。過去幾年來,因為出現了很多的攻擊性工具,這種設定變更的價值已經逐漸降低。這些攻擊性工具試圖指定以內建 Administrator 帳戶的安全性識別元 (SID),確定該帳戶的真正名稱來入侵伺服器。以決定真正名稱。安全性識別元 (SID) 是用來識別網路中的每個使用者、群組、電腦帳戶與登入工作階段唯一的值。變更此內建帳戶的 SID 是不可能的。將本機系統管理員帳戶重新更名成唯一名稱,可以讓作業群組更容易監控此帳戶所遭受的企圖攻擊行為。

  • 保護檔案伺服器眾所皆知帳戶的方法:

    1. 重新命名每個網域與伺服器上的 Administrator 以及 Guest 帳戶,然後將密碼變更為長而複雜的值。

    2. 每個伺服器上使用不同的名稱及密碼。如果所有網域及伺服器上都使用相同的帳戶名稱與密碼,攻擊者在取得一個成員伺服器的存取權限後,就可以使用相同帳戶名稱與密碼來存取所有其他伺服器。

    3. 將帳戶說明變更成與預設值不同的說明,可協助防止帳戶易被識破。

    4. 將這些變更記錄在安全位置。

注意: 內建 Administrator 帳戶可以透過「群組原則」來重新命名。本指南中所提供的安全性範本並未設定這項設定,因為您應該選擇您環境的唯一名稱。[帳戶:重新命名系統管理員帳戶] 設定可設定在本指南定義的三個環境中,重新命名系統管理員帳戶。此設定屬於群組原則中的安全性設定選項。

保護服務帳戶

除非絕對必要,否則不設定在網域帳戶的安全性內容下執行服務。如果伺服器實體已遭滲透,網域帳戶密碼就會很容易透過傾印 LSA (Local Security Authority) 機密而洩漏出去。

使用 IPSec 篩選器封鎖連接埠

「網際網路通訊協定安全性」(IPSec) 篩選器提供有效方法,可強化伺服器所需要的安全性層級。本指南建議,在本指南內定義的高安全性環境可以採用此指示,進一步減少伺服器的攻擊表面區域。

如需關於使用 IPSec 篩選器的更多資訊,請參閱<其他的成員伺服器強化程序>單元。

下表列出在本指南定義的高安全性環境中,可以在檔案伺服器上建立的所有 IPSec 篩選器。

表 3:檔案伺服器 IPSec 網路流量對照

服務

通訊協定

來源連結埠

目的地連接埠

來源位址

目的地位址

動作

鏡像

CIFS 伺服器

TCP

任何

445

任何

允許

  

UDP

任何

445

任何

允許

NetBIOS 伺服器

TCP

任何

137

任何

允許

  

UDP

任何

137

任何

允許

  

UDP

任何

138

任何

允許

  

TCP

任何

139

任何

允許

OnePoint 用戶端

任何

任何

任何

MOM 伺服器

允許

終端機服務

TCP

任何

3389

任何

允許

網域成員

任何

任何

任何

網域控制站

允許

網域成員

任何

任何

任何

網域控制站 2

允許

所有輸入的流量

任何

任何

任何

任何

封鎖


上面表格中所列出的所有規則在實作時應該進行鏡像處理。這樣可確保任何傳入到伺服器的網路資料傳輸,都將准許傳回到原始伺服器。

上表列出必須針對伺服器開啟的基本連接埠,以讓伺服器執行角色特定功能。伺服器設定為靜態 IP 位址時,這些連接埠數量已經足夠。若要提供其他功能,就需要開啟其他的連接埠。開啟其他連接埠可以讓環境中的伺服器更易於管理,不過這些連接埠可能會大量減低這些伺服器的安全性。

因為網域成員與網域控制站的大量互動,特別是 RPC 與驗證流量,在檔案伺服器與所有網域控制站之間的所有通訊都是允許的。您也可以更進一步地限制資料傳輸,但是大多數環境會要求建立許多個額外的篩選器,以便運用這些篩選器來有效保護伺服器。這將使得 IPSec 原則的實作與管理變得相當困難。針對檔案伺服器互動的每個網域控制站,應該建立類似規則。如果要加強檔案伺服器的可靠性與可用性,此動作通常包括針對環境中所有網域控制站新增規則。

如前所述,如果環境中實作 Microsoft Operations Manager (MOM),就必須允許實作 IPSec 篩選器的伺服器與 MOM 伺服器之間進行所有的網路資料傳輸。因為 MOM 伺服器與 OnePoint 用戶端,MOM 主控台報告的用戶端應用程式之間有大量互動,所以這是必要的。其他管理套件可能也有類似要求。當需要更高層級的安全性時,OnePoint 用戶端的篩選行動可以設定成協商 IPSec 與 MOM 伺服器。

這項 IPSec 原則可以有效地封鎖透過隨機高安全性連接埠的資料傳輸,這樣一來,就可以禁止遠端程序呼叫 (RPC) 資料傳輸。這樣將使得伺服器管理更添困難。因為這麼多連接埠遭到有效關閉,此時就需要啟用「終端機服務」。如此一來,系統管理員就可以執行遠端系統管理。

以上的網路流量對照,假設環境中包含使用 Active Directory 的 DNS 伺服器。如果使用獨立 DNS 伺服器,可能需要其他規則。

IPSec 原則實作應該不會對伺服器效能造成明顯的影響。但是這些篩選器在實作之前,應該先執行測試,以便確認伺服器的必要功能和效能可維持正常運作。您也可能需要加入其他規則,以便支援其他的應用程式。

本指南包括一個 .cmd 檔案,可以簡化檔案伺服器指定IPSec 篩選器的建立程序。PacketFilters-File.cmd 檔案使用 NETSH 命令來建立適當篩選器。此 .cmd 檔案必須經過修改,寫入環境中網域控制站的 IP 地址。指令碼中包含了將加入兩個網域控制站的置放點。如有必要也可增加其他網域控制站。這份網域控制站的 IP 位址清單必須保持最新狀態。

如果環境中有 MOM,指令碼中也必須指定適當 MOM 伺服器的 IP 位址。本指令碼不建立永續性篩選器。所以,必須啟動 IPSec 原則代理程式,伺服器才會受到保護。如需關於建置永續性篩選器或建立進階 IPSec 篩選器指令碼的更多資訊,請參閱單元<Additional Member Server Hardening Procedures (英文)>。最後,本指令碼設定為不指派自己建立的 IPSec 原則。「IP 安全性原則管理」嵌入式管理單元可以用來檢驗已建立的 IPSec 篩選器,並指派 IPSec 原則讓它生效。

總結

本單元說明在本指南所定義的三個環境中保護檔案伺服器的伺服器強化設定。大部份提及的設定都是使用群組原則進行設定與套用。「群組原則物件」(GPO) 設計用來補充 MSBP,可以連結到具有「檔案」伺服器的適當組織單位 (OU),依據這些伺服器供應的服務來提供額外安全性。

這裡提及的設定中,有少數無法使用群組原則來進行套用。在這些情況中,則提供了可以使用手動設定的詳細組態。我們也提供建立及套用 IPSec 篩選器的詳細資訊,控制溝通檔案伺服器的網路流量類型。

其他資訊

下列資訊來源是 Windows Server 2003 公開發行時,與執行 Windows Server 2003 的電腦環境之檔案伺服器相關的最新主題。

如需關於檔案伺服器的更多資訊,請參閱《Technical Overview of Windows Server 2003 File Services》(英文),網址是: http://www.microsoft.com/windowsserver2003/techinfo/overview/file.mspx

如需關於 DFS 的更多資訊,請參閱《Distributed File System》(英文) 白皮書,網址是: http://www.microsoft.com/windows2000/techinfo/howitworks/fileandprint/dfsnew.asp

如需關於 FRS 的更多資訊,請參閱《File Replication Service》(英文),網址是: http://www.microsoft.com/windows2000/techinfo/reskit/en-us/default.asp?url=/windows2000/techinfo/reskit/en-us/distrib/dsdh_frs_BNYR.asp

如需關於 IPSec 篩選的更多資訊,請參閱《How To: Use IPSec IP Filter Lists in Windows 2000 》(英文),網址是: http://support.microsoft.com/default.aspx?scid=313190


顯示: