強化 Windows Server 2003 列印伺服器

Overview

發佈日期: 2003 年 12 月 31 日 | 更新日期: 2006 年 4 月 26

本頁內容

本單元內容
目標
適用於
如何使用本單元
概觀
稽核原則設定
使用者權限指派
安全性選項
事件日誌設定
系統服務
其他安全性設定
總結

本單元內容

本單元將說明 Microsoft® Windows Server™ 2003 作業系統列印伺服器專用的安全性範本設定。本單元假設成員伺服器基準線已經套用於伺服器上。除了安全性範本所定義的安全性組態設定之外,您必須套用的其他安全性組態設定也在本文考量。這些額外設定是建立完整強化型列印伺服器時的必要項目。

目標

透過此單元即可:

  • 強化 Windows Server 2003 列印伺服器。

  • 調查列印伺服器的適當安全性設定。


適用於

本單元適用於下列產品及技術:

  • Windows Server 2003


如何使用本單元

請使用本單元來瞭解 Windows 2003 列印伺服器應該套用的安全性設定。單元中會結合使用角色特定安全性範本與基準線安全性範本。這些安全性範本是出自《Windows Server 2003 安全性指南》,您可以在下列位置取得:http://go.microsoft.com/fwlink/?LinkId=14846

若要充分瞭解此單元:


概觀

本單元所面臨的挑戰是更進一步強化列印伺服器,因為它們所提供的最基本服務需要應用與 Microsoft® Windows® 網路基本輸入/輸出系統 (NetBIOS) 相關的通訊協定。伺服器訊息區 (SMB) 和 Common Internet File System (CIFS) 的通訊協定可以為未授權使用者提供豐富資訊,因此,在高度安全性 Windows 環境下,經常建議停用列印伺服器使用這些通訊協定。不過,停用這些通訊協定時會造成環境中系統管理員與使用者在存取上的困難。

本單元的下面段落內容,將說明成員伺服器基準原則 (MSBP) 未套用安全性設定時會為列印伺服器創造哪些優點。如需關於 MSBP 的更多資訊,請參閱<建立 Windows Server 2003 成員伺服器的基準線>單元。

稽核原則設定

本指引中所定義三種環境列印伺服器的「稽核原則」設定,將會透過 MSBP 來進行設定。如需關於 MSBP 的更多資訊,請參閱<建立 Windows Server 2003 成員伺服器的基準線>單元。MSBP 設定可確保所有的列印伺服器都會登入所有的相關安全性稽核資訊。

使用者權限指派

本指引中所定義三種環境列印伺服器的「使用者權限指派」,將會透過 MSBP 來進行設定。如需關於 MSBP 的更多資訊,請參閱此單元,<建立 Windows Server 2003 成員伺服器的基準線>。MSBP 設定可確保所有列印伺服器的所有適當使用者權限指派,都會統一設定。

安全性選項

本指引中所定義三種環境列印伺服器的「安全性選項」設定,將會透過 MSBP 來進行設定。如需關於 MSBP 的更多資訊,請參閱<建立 Windows Server 2003 成員伺服器的基準線>單元。下面段落內容將說明 MSBP 與「增量 IIS 群組原則」之間的差異處。

Microsoft 網路伺服器:數位簽章伺服器的通訊 (自動)

表 1:設定

成員伺服器預設值

傳統用戶端

企業用戶端

高安全性

停用

停用

停用

停用


[Microsoft 網路伺服器:數位簽章伺服器的通訊 (自動)] 設定會指出 SMB 伺服器元件是否需要封包簽署。SMB 通訊協定提供了 Microsoft 檔案、列印共用,以及其他許多網路作業 (例如遠端 Windows 系統管理) 的基礎。為了防止會在傳輸過程修改 SMB 封包的攔截式攻擊 (man-in-the-middle),SMB 通訊協定就必須支援 SMB 封包數位簽署。這個設定會指出在允許和 SMB 用戶端更進一步溝通時,是否必須先協商 SMB 封包簽署。

雖然這個設定預設為停用,MSBP 仍會為本指引所定義「高安全性」環境的伺服器啟用這項設定。如果列印伺服器沒有停用這項設定,就會允許使用者列印,但是不能檢視列印佇列。嘗試檢視列印佇列的使用者將會收到拒絕存取的訊息。基於這些理由,[Microsoft 網路伺服器:數位簽章伺服器的通訊 (自動)] 設定在本指引所定義的全部三種環境列印伺服器中均設定為 [停用]。

事件日誌設定

本指引中所定義三種環境列印伺服器的事件日誌設定,將會透過 MSBP 來進行設定。如需關於 MSBP 的更多資訊,請參閱單元<建立 Windows Server 2003 成員伺服器的基準線>

系統服務

任何服務或應用程式都是潛在的攻擊點,所以任何不必要的服務或可執行檔都必須停用或移除。使用 MSBP 時,這些選擇性服務與其他任何非必要的服務都會停用。下面段落將詳細說明列印伺服器必須啟用的服務。

列印多工緩衝處理器

表 2:設定

服務名稱

成員伺服器預設值

傳統用戶端

企業用戶端

高安全性

列印多工緩衝處理器

自動

自動

自動

自動


[列印多工緩衝處理器] 服務會管理所有的本機與網路列印佇列,並控制所有的列印工作。[列印多工緩衝處理器] 服務是 Windows 列印子系統的中心,而且會與印表機驅動程式與輸入/輸出 (I/O) 元件進行通訊。

列印伺服器與 [列印多工緩衝處理器] 服務的正確作業有密切關係。這項服務必須設定成執行狀態,如此一來,列印伺服器才可以為用戶端處理列印工作。當使用「群組原則」來保障並設定 [列印多工緩衝處理器] 的啟動模式時,便可單獨將存取權限授予伺服器系統管理員,並防止服務遭未授權、或惡意使用者設定或操作。「群組原則」也可避免系統管理員不慎停用服務的情況。基於這些原因,[列印多工緩衝處理器] 設定在本指引所定義三種環境裡均設定為 [自動]。

其他安全性設定

透過 MSBP 所套用的安全性設定,可提供列印伺服器相當多的增強安全性。不過,仍然有少數其他考量需要仔細衡量。這些設定步驟無法透過「群組原則」來完成,因此必須在所有的列印伺服器上手動執行。

保護眾所皆知帳戶

Windows Server 2003 已內建一些無法刪除、但可以重新命名的使用者帳戶。在 Windows Server 2003 中最為知名的兩個內建帳戶就是 Guest Administrator

依預設值,Guest 帳戶在成員伺服器與網域控制站上是停用的。您不應該變更這項設定。內建的 Administrator 則應該重新命名、並改變說明,以協助防止攻擊者使用眾所皆知的帳戶來滲透遠端伺服器。

許多惡意程式碼的變種在第一次嘗試滲透伺服器時,就是使用此內建系統管理員帳戶。因為現在發行的攻擊工具會指定內建Administrator 帳戶的安全性識別元 (SID) 來判斷其真正名稱、向伺服器發動攻擊行動,所以最近這幾年來,這項設定變更的效果已經降低許多。安全性識別元 (SID) 值是唯一的,可用來識別網路中的每個使用者、群組、電腦帳戶與登入工作階段。這個內建帳戶的 SID 是無法變更的。將本機系統管理員帳戶重新更名成唯一名稱,可以讓作業群組更容易監控此帳戶所遭受的企圖攻擊行為。

  • 若要保障列印伺服器的眾所皆知帳戶:

    1. 重新命名每個網域與伺服器上的 Administrator 以及 Guest 帳戶,然後將密碼變更為長而複雜的值。

    2. 每個伺服器上使用不同的名稱及密碼。如果所有網域及伺服器上都使用相同的帳戶名稱與密碼,攻擊者在取得一個成員伺服器的存取權限後,就可以使用相同帳戶名稱與密碼來存取所有其他伺服器。

    3. 將帳戶說明變更成不同於預設值的說明,以協助防止帳戶易於識破。

    4. 將這些變更記錄在安全位置。

注意:內建 Administrator 帳戶可以透過「群組原則」來重新命名。本指南中所提供的安全性範本並未設定這項設定,因為您應該選擇您環境的唯一名稱。[帳戶:重新命名系統管理員帳戶] 設定可設定在本指南定義的三個環境中,重新命名系統管理員帳戶。此設定屬於「群組原則」中的「安全性設定」選項。

保護服務帳戶

除非絕對必要,否則不設定在網域帳戶的安全性內容下執行服務。如果伺服器實體已遭滲透,網域帳戶密碼就會很容易透過傾印本機安全性授權單位 (LSA,Local Security Authority) 機密而洩漏出去。

使用 IPSec 篩選器封鎖連接埠

「網際網路通訊協定安全性」(IPSec) 篩選器提供有效方法,可強化伺服器所需要的安全性層級。本指南建議,在本指南內定義的「高安全性」環境可以採用此指示,進一步減少伺服器的攻擊表面區域。

如需關於 IPSec 篩選器的更多資訊,請參閱<其他的成員伺服器強化程序>單元。

下面表格列出可在本指引所定義「高安全性」環境列印伺服器上建立的所有 IPSec 篩選器。

表 3:列印伺服器 IPSec 網路資料傳輸對應

服務

通訊協定

來源連結埠

目的地連接埠

來源位址

目的地位址

動作

鏡像

CIFS 伺服器

TCP

任何

445

任何

允許

 

UDP

任何

445

任何

允許

NetBIOS 伺服器

TCP

任何

137

任何

允許

 

UDP

任何

137

任何

允許

 

UDP

任何

138

任何

允許

 

TCP

任何

139

任何

允許

OnePoint 用戶端

任何

任何

任何

MOM 伺服器

允許

終端機服務

TCP

任何

3389

任何

允許

網域成員

任何

任何

任何

網域控制站

允許

網域成員

任何

任何

任何

網域控制站 2

允許

所有輸入的流量

任何

任何

任何

任何

封鎖


上面表格中所列出的所有規則在實作時應該進行鏡像處理。這樣可確保任何傳入到伺服器的網路資料傳輸,都將允許傳回到原始伺服器。

上面表格顯示了伺服器應該要開啟的基本連結埠,如此才能夠執行其特定角色的功能。伺服器設定為靜態 IP 位址時,這些連接埠數量已經足夠。若要提供其他功能,就需要開啟其他的連接埠。例如,裝載 LPR 印表機的列印伺服器就必須開啟連接埠 515。開啟其他連接埠時可讓環境的列印伺服器更容易進行管理,但是它們也會大幅降低這些伺服器的安全性。

這是因為網域成員和網域控制站之間有大量的互動行為,特別是列印伺服器和所有網域控制站之間所允許的 RPC 與驗證資料傳輸,以及所有的通訊。您也可以更進一步地限制資料傳輸,但是大多數環境會要求建立許多個額外的篩選器,以便運用這些篩選器來有效保護伺服器。這將使得 IPSec 原則的實作與管理變得相當困難。列印伺服器將與其進行互動的每部網域控制站,都應該建立相似的規則。為了增進列印伺服器的可靠性與可用性,這點經常會包括為環境中的所有網域控制站新增規則。

如前所述,如果環境中實作 Microsoft Operations Manager (MOM),實作 IPSec 篩選器與 MOM 伺服器的伺服器之間就必須允許進行所有的網路資料傳輸。因為 MOM 伺服器與 OnePoint 用戶端 (向 MOM 主控台報告的用戶端應用程式) 之間有大量互動,所以這是必要的。其他管理套件可能也有類似要求。當需要更高層級的安全性時,OnePoint 用戶端的篩選行動可以設定成協商 IPSec 與 MOM 伺服器。

這項 IPSec 原則可以有效地封鎖透過隨機高安全性連接埠的資料傳輸,這樣一來,就可以禁止遠端程序呼叫 (RPC) 資料傳輸。這樣將使得伺服器管理更添困難。因為這麼多連接埠遭到有效關閉,此時就需要啟用「終端機服務」。如此一來,系統管理員就可以執行遠端系統管理。

上述網路資料傳輸對應假設環境中包含了已啟用 DNS 伺服器的 Microsoft Active Directory® 目錄服務。如果有使用獨立 DNS 伺服器,就必須套用其他規則。

IPSec 原則實作應該不會對伺服器效能造成明顯的影響。但是這些篩選器在實作之前,應該先執行測試,以便確認伺服器的必要功能和效能有維持正常運作。您也可能需要加入其他規則,以便支援其他的應用程式。

本指引中包含的 .cmd 檔案,可用來簡化為列印伺服器訂定之 IPSec 篩選器的建立程序。此 PacketFilters-Print.cmd 檔案會使用 NETSH 命令來建立適當的篩選器。這個 .cmd 檔案必須先修改成包含環境中網域控制站的 IP 位址。指令碼中包含了將加入兩個網域控制站的置放點。如有必要也可增加其他網域控制站。這份網域控制站的 IP 位址清單必須保持最新狀態。

如果環境中有 MOM,指令碼中也必須指定適當 MOM 伺服器的 IP 位址。本指令碼不建立永續性篩選器。所以,必須啟動「IPSec 原則代理程式」,伺服器才會受到保護。如需關於建立持續篩選器、或建立更進階 IPSec 篩選器指令碼的更多資訊,請參閱<其他的成員伺服器強化程序>單元。最後,本指令碼設定為不指派自己建立的 IPSec 原則。「IP 安全性原則管理」嵌入式管理單元可以用來檢驗已建立的 IPSec 篩選器,並指派 IPSec 原則讓它生效。

總結

本單元已說明伺服器強化設定,也就是可用來保障本指引所定義所有三種用戶端環境之列印伺服器的設定。大部份提及的設定都是使用「群組原則」進行設定與套用。指定與 MSBP 配合的「群組原則物件」(GPO) 會連結到包含列印伺服器的適當組織單位 (OU),以便在這些伺服器所提供服務的基礎上再提供其他的安全性。

這裡提及的設定中,有少數無法使用「群組原則」來進行套用。在這些情況中,則可以使用手動設定來設定這些設定。同時包括了控制可與列印伺服器通訊之網路資料傳輸類型的 IPSec 篩選器建立與套用等相關詳細說明。

其他資訊

下列資訊來源是本產品公開發行當時,與執行 Windows Server 2003 環境中列印伺服器相關的最新主題。

如需列印伺服器的概觀資訊,請參閱《Technical Overview of Windows Server 2003 Security Services》(英文),網址為: http://www.microsoft.com/windowsserver2003/techinfo/overview/print.mspx

如需關於列印伺服器的更多資訊,請參閱《What's New in File and Print Services》(英文),網址為: http://www.microsoft.com/windowsserver2003/evaluation/overview/technologies/fileandprint.mspx

如需關於 IPSec 篩選的更多資訊,請參閱《How To:Use IPSec IP Filter Lists in Windows 2000》(英文),網址為: http://support.microsoft.com/default.aspx?scid=313190

顯示: