確保 Windows Server 2003 網域控制站的安全

Overview

發佈日期: 2003 年 5 月 22 日 | 更新日期: 2006 年 4 月 13 日

本頁內容

簡介
開始之前
確保網域控制站的安全
啟用網域控制站上的其他服務
確保 DNS 伺服器服務的安全
維護網域控制站的安全
相關資訊

簡介

因電腦系統受到惡意攻擊造成資料或營收的損失,對組織而言是致命的傷害。若要保護電腦系統及資料,免除使用蠕蟲、病毒及惡意攻擊等惡意程式碼所帶來的無所不在的威脅,您務必採取安全性措施來協助減少公司資產暴露於外的風險。

在您公司網路的網域控制站是 Active Directory® 目錄服務的中樞。它們包含了所有的使用者帳戶資訊,若缺乏這些資訊,使用者將無法登入網路及針對需用來執行工作的資源進行存取。

因為網路控制站包含重要的資訊,以及在任何環境下皆具有關鍵性角色,故成為惡意攻擊的明顯箭靶。基於此原因,您應將網域控制站設在最安全的位置,隨時保持最新的安全性更新,並停用不必要的服務來將受到蠕蟲、病毒及惡意攻擊的風險降到最低。

本指南提供了實際步驟過程指引,協助您快速的執行安全性措施,進而鎖定網域控制站的設定。本文件中的實際步驟過程指引,皆是使用 Microsoft® Windows® XP 中的預設「開始」功能表檢視所展開的內容。

若要改善環境的安全性,您必須使用「群組原則」,亦即網域控制站中 Active Directory 所包含的設定管理技術。本指南將帶領您執行下列工作項目:

  • 使用「群組原則」來確保網域控制站的安全。

  • 設定「群組原則」來提供網域控制站其他的功能。

  • 確保 DNS 伺服器的安全。

  • 維護網域控制站的安全。

注意:設定網域控制站的「群組原則」,這只是增強網域控制站及整個環境安全性的第一步。

檢閱並完成《Securit Guidance Kit (英文)》內<Securing Windows XP Professional Clients in a Windows Server Environment>的工作。完成本指南中的工作可協助改善網域控制站的安全性。

完成這些工作之後,您的網域控制站將具有基礎層級的安全性,以協助防止環境受到大量的安全性威脅所攻擊。完成這些工作,您可確保網域控制站僅執行需提供給環境的服務。此外,設定「自動更新」可協助您在 Microsoft 發行最新的安全性更新時,透過自動下載來安裝該資訊,藉此更新網域控制站。

重要:本文件所包含的實際步驟過程指引,皆是使用安裝作業系統時出現的預設「開始」功能表所展開的內容。若您已經修改過「開始」功能表,整個步驟可能稍有不同。

開始之前

若要完成本指南中的工作,您必須登入網域控制站,成為 Domain Admins 帳戶的成員。請記住,某些步驟將要求您重新啟動網域控制站,最好在非營運時間完成整個流程,以降低對使用者造成的衝擊。

本指南假設您的用戶端環境中電腦執行的是 Microsoft® Windows® 2000 Service Pack 2 (SP2) 或更新的版本,以及 Windows XP Service Pack 1 (SP1)。本指南所詳述的數項工作及建議項目,與舊版的 Windows 並不相容。

若您的電腦尚未安裝上述的 Service Pack,或您不確定是否已安裝套件,請連往位於 Microsoft 網站 http://go.microsoft.com/fwlink/?LinkID=22630Windows Update 頁面,並在此掃描系統以取得更新。若顯示的數種套件為可更新版本,您應在繼續進行本文件中的工作之前,先安裝套件。本文件稍後將提供關於使用 Windows Update 的詳細資訊。

確保網域控制站的安全

您可使用「群組原則」來改善網域控制站的安全性。下列的工作將顯示如何進行「群組原則」設定,以停用網域控制站上不必要或不使用的服務,否則可能因為持續啟用而招致惡意的攻擊。若要設定網域工作站的「群組原則」,請完成下列的工作:

  • 建立新的群組原則物件 (GPO),並將它連結到「網域控制站」組織單位 (OU)。

  • 使用本指南中包含的安全性範本,將基準線安全性設定匯入新的 GPO。

  • 透過檢閱網域控制站上的「應用程式」記錄檔,確認新的設定。

執行網域控制站基準線原則

您必須一氣呵成完成下列的步驟。設定「網域控制站基準線原則」之後,您的網域控制站中的所有安全性將同時增強。

重要:您必須重新啟動所有的網域控制站,好讓「網域控制站基準線原則」生效。請務必在非營運時間完成整個流程,以降低對使用者造成的衝擊。

需求

  • 認證:您必須先登入為 Domain Adminss 群組的成員。

  • 工具:Active Directory 使用者及電腦。
    若要存取此工具,請按一下 [開始],再按一下 [控制台],然後按兩下 [系統管理工具],並按兩下 [Active Directory 使用者及電腦]。

  • 檔案:您必須下載隨附於《Windows 2003 Server 安全性指南》的 Enterprise Client — Controller.inf 檔案。f 該檔案下載之後,請將它複製到執行上述步驟的網域控制站 systemroot\Security\Templates 資料夾。(例如您可在一般設定中將 .inf 檔複製到 C:\Windows\Security\Templates 資料夾)。

  • 若要下載 Enterprise Client —Domain Controller.inf 檔

    1. 在網域控制站上開啟網頁瀏覽器,並連至位於 http://go.microsoft.com/fwlink/?LinkId=4846 的 Microsoft Download Center (英文) 網站的 Windows Server 2003 Security Guide (英文) 頁面。

    2. 在頁底的 [下載軟體中的檔案] 之下,按一下 [Windows_Server_2003_Security_Guide.exe]。

    3. 在 [檔案下載] 對話方塊中按一下 [儲存]。

    4. 出現位置提示時,請展開 [儲存位置] 清單方塊,並選取 [桌面],然後執行下列程序來建立新的資料夾,並儲存該檔:

      1. 針對 [另存新檔] 對話方塊中的空白處按一下滑鼠右鍵,指向 [新增],然後按一下 [資料夾]。

      2. 輸入資料夾名稱 (使用描述性名稱取代新資料夾的反白文字),按兩下新資料夾,在 [儲存位置] 清單中加以選取,然後按一下 [儲存]。

    5. 下載完成之後,在 [下載完成] 方塊中按一下 [關閉]。

    6. 在桌面上的新資料夾中按兩下 Windows_Server_2003_Security_Guide.exe 檔,以開啟 WinZip Self-Extractor。

    7. 在 [WinZip Self-Extractor] 對話方塊中:

      1. 按一下 [Browse],並選取您針對下載而建立的資料夾,按一下以開啟資料夾,再按一下 [確定]。

      2. 在 [WinZip Self-Extractor] 方塊中,按一下 [Unzip]。
        您將會收到檔案已成功解壓縮的確認訊息。

    8. 在這組解壓縮的檔案及資料夾中,按兩下 [Windows Server 2003 Security Guide] 資料夾來加以開啟,開啟 [Tools and Templates] 資料夾,再開啟 [Security Guide] 資料夾,然後開啟 [Security Templates] 資料夾。

    9. 在 [Security Templates] 資料夾中,針對 Enterprise Client - Domain Controller.inf 檔案按一下滑鼠右鍵,並對您執行上述步驟的網域控制站,將此檔複製到其中的 systemroot\Security\Templates 資料夾。

  • 若要在網域控制站 OU 中建立建立新的 GPO

    1. 請按一下 [開始],再按一下 [控制台],按兩下 [系統管理工具],按兩下 [Active Directory 使用者及電腦],然後按兩下要展開樹狀目錄的網域。

    2. 針對 [網域控制台] OU 按一下滑鼠右鍵,然後按一下 [內容]。

      Active Directory 使用者和電腦

      注意:本文件的螢幕擷取畫面所顯示的是測試環境。環境中的網域及伺服器名稱可能與顯示在螢幕擷取畫面中的稍有不同。

    3. 在 [內容] 對話方塊中按一下 [群組原則] 索引標籤,再按一下 [新增] 來建立新的 GPO。

    4. 將原則命名為「網域控制站基準線原則」,再按一下 [關閉]。

      Domain Controllers 內容

  • 若要將基準線安全性設定匯入網域控制站基準線原則

    1. 請針對 [Domain Controllers] OU 按一下滑鼠右鍵,再按一下 [內容]。

    2. 在 [內容] 對話方塊中按一下 [群組原則] 索引標籤,再選取 [網域控制站基準線原則]。

    3. 按一下 [上移] 將新的 GPO 移動到清單最上面,再按一下 [編輯]。

      Domain Controllers 內容2

      重要: 請確定您在編輯的是「網域控制站基準線原則」而非「預設網域控制站原則」。若是誤修改到「預設網域控制站原則」,對您的環境可能會有不利的影響,因而造成排解疑難的困難。

    4. 在 [電腦設定] 下,按兩下 [Windows 設定] 資料夾,針對 [安全性設定] 按一下滑鼠右鍵,再選取 [匯入原則]。

      群組原則物件編輯器

    5. 在 [匯入原則自] 對話方塊中,選取 [Enterprise Client —Domain Controller.inf] 檔,再按一下 [開啟]。

      匯入原則自

    6. 關閉「群組原則物件編輯器」,按一下 [確定] 來關閉內容對話方塊,然後結束 [Active Directory 使用者及電腦]。

    7. 每次只重新啟動一個網域控制站。

      重要: 請勿同時重新啟動所有的網域控制站,因為如果沒有可用的網域控制站,使用者可能無法登入網路,亦無法進行網路資源的存取。

確認新的設定

設定「群組原則」安全性設定之後,請確認已成功套用該設定。

需求

  • 認證:您必須先登入為 Domain Admins 群組的成員。

  • 工具:事件檢視器及服務。

請確認每一台網域控制站中的「應用程式」事件日誌包含事件 ID 1704。

  • 若要檢查應用程式事件日誌

    1. 按一下 [開始],按一下 [控制台],按兩下 [系統管理工具],然後按一下 [事件檢視器]。

    2. 在 [事件檢視器] 中按一下 [應用程式],再搜尋下列最近的事件:

      • 類型:Information

      • 來源:SceCli

      • 事件 ID: 704

    3. 若按兩下該事件,您將看到與下圖相近的 [事件內容] 視窗:

      事件內容

    4. 按一下 [確定],再關閉「事件檢視器」。

然後,請確認您已停用網域控制站上不必要的服務。

  • 若要檢查停用的服務

    1. 按一下 [開始],按一下 [控制台],按兩下 [系統管理工具],然後按兩下 [服務]。

    2. 請確認「警訊器」、「信差」和「工作排程器」等服務未在執行中,而且它們的「啟動類型」被設定為 [已停用]。

      注意:步驟 2 所列出的上述三項服務,預設在 Microsoft® Windows Server — 中是啟用的。「網域控制站基準線原則」停用的不止是這些服務,但檢查上述三者的設定,有助於確認新的「群組原則」設定已發生效力。

    3. 關閉 [服務] 工具。


啟用網域控制站上的其他服務

您在前一章節所執行的「網域控制站基準線原則」,停用了幾個不常提供網域控制站基本功能的服務。變更此設定可協助改善網域控制站的安全性。然而,這項變更通常會導致網域控制站提供給中、小企業的服務無法正常運作。

下列的步驟將顯示如何修改「群組原則」,來重新啟用這些其他的服務。請檢視下列工作,並且只在網路需要這些服務所提供的其他功能時才在您的網域控制站上完成這些工作:

  • 啟用 DHCP 服務

  • 啟用 WINS 服務

  • 啟用列印服務

  • 啟用 IAS 服務

  • 啟用憑證服務

  • 啟用並確保「工作排程器」服務的安全

啟用 DHCP 服務

若任何一個網域控制站設定為「動態主機設定通訊協定 (DHCP)」伺服器,您必須修改網域控制站的「群組原則」設定,以提供 DHCP 服務環境。本章節提供實際步驟過程指引,以進行重新啟用 DHCP 服務「群組原則」的設定。

設定「群組原則」來啟用 DHCP 服務

您必須編輯「網域控制站基準線原則」,以重新啟用網域控制站上的 DHCP Server 服務。藉由下列步驟,您可針對提供 DHCP 服務的所有網域控制站,啟用「DHCP 伺服器」服務。

需求

  • 認證:您必須先登入為 Domain Admins 群組的成員。

  • 考慮對使用者的衝擊:您必須重新啟動網域控制站來完成這些步驟。請在非營運時間完成整個流程,以降低對使用者造成的衝擊。

  • 若要設定群組原則來啟用 DHCP 服務

    1. 請按一下 [開始],再按一下 [控制台],按兩下 [系統管理工具],按兩下 [Active Directory 使用者及電腦],然後按兩下要展開樹狀目錄的網域。

    2. 請針對 [Domain Controllers] OU 按一下滑鼠右鍵,再按一下 [內容]。

    3. 在內容對話方塊中,按一下 [群組原則] 索引標籤,再按一下 [網域控制站基準線原則],然後按一下 [編輯]。

      重要: 請確定您在編輯的是「網域控制站基準線原則」而非「預設網域控制站原則」。若是誤修改到「預設網域控制站原則」,對您的環境可能會有不利的影響,因而造成排解疑難的困難。

    4. 按兩下 [電腦設定] 底下的 [Windows 設定] 資料夾,再按兩下 [安全性設定],然後按一下 [系統服務]。

    5. 在詳細資料窗格 (右窗格) 中,按兩下 [DHCP Server],按一下 [自動],然後按一下 [確定]。

      DHCP 伺服器內容

    6. 關閉「群組原則物件編輯器」,按一下 [確定] 來關閉內容對話方塊,然後結束 [Active Directory 使用者及電腦]。

    7. 每次只重新啟動一個網域控制站。

      重要: 請勿同時重新啟動所有的網域控制站,因為如果沒有可用的網域控制站,使用者可能無法登入網路,亦無法進行網路資源的存取。

確認新的設定

在修改「群組原則」設定來啟用 DHCP 服務之後,請確認服務已在執行。

  • 若要確認 DHCP 服務已在執行

    1. 按一下 [開始],按一下 [控制台],按兩下 [系統管理工具],然後按兩下 [服務]。

    2. 確定 DHCP 服務已在執行,且設定為自動啟動。

重要: 您亦需確定用戶端電腦已透過網域控制站,取得 DHCP Server 網際網路通訊協定 (IP) 位址。

啟用 WINS 服務

若網域控制站設定為 Windows 網際網路名稱服務 (WINS) 伺服器,您必須針對網域控制站修改「群組原則」設定,以提供 WINS 服務環境。本章節提供實際步驟過程指引,以進行重新啟用 WINS 服務「群組原則」的設定。

設定「群組原則」來啟用 WINS 服務

您必須編輯「網域控制站基準線原則」GPO,才能啟用您網域控制站上的 WINS 服務。藉由下列步驟來啟用所有網域控制站上的 WINS 服務。

需求

  • 認證:您必須先登入為 Domain Admins 群組的成員。

  • 考慮對使用者的衝擊:您必須重新啟動網域控制站來完成這些步驟。請在非營運時間完成整個流程,以降低對使用者造成的衝擊。

  • 若要編輯群組原則來啟用 WINS 服務

    1. 請按一下 [開始],再按一下 [控制台],按兩下 [系統管理工具],按兩下 [Active Directory 使用者及電腦],然後按兩下要展開樹狀目錄的網域。

    2. 請針對 [Domain Controllers] OU 按一下滑鼠右鍵,再按一下 [內容]。

    3. 在內容對話方塊中,按一下 [群組原則] 索引標籤,再按一下 [網域控制站基準原則],然後按一下 [編輯]。

      重要: 請確定您在編輯的是「網域控制站基準線原則」而非「預設網域控制站原則」。若是誤修改到「預設網域控制站原則」,對您的環境可能會有不利的影響,因而造成排解疑難的困難。

    4. 展開 [電腦設定] 底下的資料夾 [Windows 設定],按一下 [安全性設定],然後按一下 [系統服務]。

    5. 在詳細資料窗格中,按兩下 [WINS],按一下 [自動],然後按一下 [確定]。

      WINS 內容

    6. 關閉「群組原則物件編輯器」,按一下 [確定] 來關閉內容對話方塊,然後結束 [Active Directory 使用者及電腦]。

    7. 每次只重新啟動一個提供 WINS 服務的網域控制站,請您務必確認。

      重要: 請勿同時重新啟動所有的網域控制站,因為如果沒有可用的網域控制站,使用者可能無法登入網路,亦無法進行網路資源的存取。

確認新的設定

在修改「群組原則」設定來啟用 WINS 服務之後,請確認服務已在執行。

  • 若要確認 WINS 正在執行中

    1. 按一下 [開始],按一下 [控制台],按兩下 [系統管理工具],然後按兩下 [服務]。

    2. 請確認 [Windows 網際網路名稱服務 (WINS)] 服務已經啟動,並設定為自動執行。

啟用檔案及列印服務

您在先前章節執行的「網域控制站基準線原則」,不會影響網域控制站上檔案共用的存取。您不需要修改您的網域控制站,來確保檔案共用服務的安全。

然而,若網域控制站設定為列印伺服器,您必須設定「群組原則」來啟用「列印多工緩衝處理器」服務,使網域控制站能夠提供「列印」服務給環境。

設定「群組原則」來啟用列印服務

您必須編輯「網域控制站基準線原則」GPO,以啟用網域控制站上的「列印多工緩衝處理器」服務。藉由下列步驟來啟用所有網域控制站上的「列印多工緩衝處理器」服務。

需求

  • 認證:您必須先登入為 Domain Admins 群組的成員。

  • 考慮對使用者的衝擊:您必須重新啟動網域控制站來完成這些步驟。請在非營運時間完成整個流程,以降低對使用者造成的衝擊。

  • 若要設定群組原則來啟用網域控制站上的列印服務

    1. 請按一下 [開始],再按一下 [控制台],按兩下 [系統管理工具],按兩下 [Active Directory 使用者及電腦],然後按兩下要展開樹狀目錄的網域。

    2. 請針對 [Domain Controllers] OU 按一下滑鼠右鍵,再按一下 [內容]。

    3. 在內容對話方塊中,按一下 [群組原則] 索引標籤,再按一下 [網域控制站基準原則],然後按一下 [編輯]。

      重要: 請確定您在編輯的是「網域控制站基準線原則」而非「預設網域控制站原則」。若是誤修改到「預設網域控制站原則」,對您的環境可能會有不利的影響,因而造成排解疑難的困難。

    4. 按兩下 [電腦設定] 底下的 [Windows 設定] 資料夾,再按兩下 [安全性設定],然後按一下 [系統服務]。

    5. 在詳細資料窗格中,按兩下 [列印多工緩衝處理器],按一下 [自動],然後按一下 [確定]。

      列印多工緩衝處理器內容

    6. 關閉「群組原則物件編輯器」,按一下 [確定] 來關閉內容對話方塊,然後結束 [Active Directory 使用者及電腦]。

    7. 請確定一次只重新啟動一個提供「列印」服務的網域控制站。

      重要: 請勿同時重新啟動所有的網域控制站,因為如果沒有可用的網域控制站,使用者可能無法登入網路,亦無法進行網路資源的存取。

確認新的設定

在修改「群組原則」設定來啟用「列印多工緩衝處理器」服務之後,請確認服務已在執行。

  • 若要確認列印多工緩衝處理器服務已在執行

    1. 按一下 [開始],再按一下 [控制台],按兩下 [系統管理工具],然後按兩下 [服務]。

    2. 確定「列印多工緩衝處理器」服務已在執行,且設定為自動啟動。

重要:您亦需確定用戶端電腦可透過網域控制站上的印表機共用,進行列印。

啟用 IAS 服務

若任何一個網域控制站設定為「網際網路驗證服務 (IAS)」伺服器時,您必須修改「群組原則」設定,以提供 IAS 服務給環境。本章節提供實際步驟過程指引,以進行重新啟用 IAS 服務「群組原則」的設定。

設定群組原則來啟用 IAS 服務

您必須編輯「網域控制站基準線原則」,以重新啟用網域控制站上的 IAS 服務。藉由下列步驟,您可針對提供 IAS 服務的所有網域控制站,啟用「憑證服務」。

需求

  • 認證:您必須先登入為 Domain Admins 群組的成員。

  • 考慮對使用者的衝擊:您必須重新啟動網域控制站來完成這些步驟。請在非營運時間完成整個流程,以降低對使用者造成的衝擊。

  • 若要設定群組原則來啟用 IAS 服務

    1. 請按一下 [開始],再按一下 [控制台],按兩下 [系統管理工具],按兩下 [Active Directory 使用者及電腦],然後按兩下要展開樹狀目錄的網域。

    2. 請針對 [Domain Controllers] OU 按一下滑鼠右鍵,再按一下 [內容]。

    3. 在內容對話方塊中,按一下 [群組原則] 索引標籤,再按一下 [網域控制站基準線原則],然後按一下 [編輯]。

      重要: 請確定您在編輯的是「網域控制站基準線原則」而非「預設網域控制站原則」。若是誤修改到「預設網域控制站原則」,對您的環境可能會有不利的影響,因而造成排解疑難的困難。

    4. 按兩下 [電腦設定] 底下的 [Windows 設定] 資料夾,再按兩下 [安全性設定],然後按一下 [系統服務]。

    5. 在詳細資料窗格中 (右窗格),按兩下 [IAS],按一下 [自動],然後再按一下 [確定]。

      IAS 內容

    6. 關閉「群組原則物件編輯器」,按一下 [確定] 來關閉內容對話方塊,然後結束 [Active Directory 使用者及電腦]。

    7. 請確定一次只重新啟動一個使用 ISA 的網域控制站。

      重要: 請勿同時重新啟動所有的網域控制站,因為如果沒有可用的網域控制站,使用者可能無法登入網路,亦無法進行網路資源的存取。

確認新的設定

在修改「群組原則」設定來啟用 ISA 服務之後,請確認服務已在執行。

  • 若要確認 ISA 服務已在執行

    1. 按一下 [開始],再按一下 [控制台],按兩下 [系統管理工具],然後按兩下 [服務]。

    2. 確定 ISA 服務已在執行,且設定為自動啟動。

啟用憑證服務

若任何一個網域控制站設定為憑證授權單位 (CA) 伺服器時,您必須修改「群組原則」設定,以提供「憑證服務」環境。這個部分提供實際步驟過程指引,以進行重新啟用「憑證服務」的「群組原則」設定。

設定群組原則來啟用憑證服務

您必須編輯「網域控制站基準線原則」,以重新啟用網域控制站上的「憑證服務」。藉由下列步驟,您可針對提供憑證服務的所有網域控制站,啟用「憑證服務」。

需求

  • 認證:您必須先登入為 Domain Admins 群組的成員。

  • 考慮對使用者的衝擊:您必須重新啟動網域控制站來完成這些步驟。請在非營運時間完成整個流程,以降低對使用者造成的衝擊。

  • 若要設定群組原則來啟用憑證服務

    1. 請按一下 [開始],再按一下 [控制台],按兩下 [系統管理工具],按兩下 [Active Directory 使用者及電腦],然後按兩下要展開樹狀目錄的網域。

    2. 請針對 [Domain Controllers] OU 按一下滑鼠右鍵,再按一下 [內容]。

    3. 在內容對話方塊中,按一下 [群組原則] 索引標籤,再按一下 [網域控制站基準線原則],然後按一下 [編輯]。

      重要: 請確定您在編輯的是「網域控制站基準線原則」而非「預設網域控制站原則」。若是誤修改到「預設網域控制站原則」,對您的環境可能會有不利的影響,因而造成排解疑難的困難。

    4. 按兩下 [電腦設定] 底下的 [Windows 設定] 資料夾,再按兩下 [安全性設定],然後按一下 [系統服務]。

    5. 在詳細資料窗格中按兩下 [CertSvc],再按一下 [自動],然後按一下 [確定]。

      CertSvc 內容

    6. 關閉「群組原則物件編輯器」,按一下 [確定] 來關閉內容對話方塊,然後結束 [Active Directory 使用者及電腦]。

    7. 每次只重新啟動一個網域控制站。

      重要: 請勿同時重新啟動所有的網域控制站,因為如果沒有可用的網域控制站,使用者可能無法登入網路,亦無法進行網路資源的存取。

確認新的設定

在修改「群組原則」設定來啟用「憑證服務」之後,請確認服務已在執行。

  • 若要確認憑證服務已在執行

    1. 按一下 [開始],再按一下 [控制台],按兩下 [系統管理工具],然後按兩下 [服務]。

    2. 確定「憑證服務」已在執行,且設定為自動啟動。

啟用並確保工作排程器服務的安全

若任何一個網域控制站使用排定的工作來自動執行指令碼或程式,您必須修改網域控制站的「群組原則」設定,以執行「工作排程器」服務。

在重新啟用「工作排程器」服務之後,您若要改善網域控制站的安全性,請勿使用使用 Local System 帳戶來執行排定採取 AT 命令的任何工作。若仍維持預設帳戶設定,網域控制站可能會遭受惡意使用者的攻擊。

這個部分提供下列的實際步驟過程指引:

  • 設定「群組原則」來啟用「工作排程器」。

  • 修改「AT 服務帳戶」來確保「工作排程器」服務的安全。

設定「群組原則」來啟用「工作排程器」。

您必須編輯「網域控制站基準原則」GPO,才能啟用您網域控制站上的「工作排程器」服務。藉由下列步驟來啟用所有網域控制站上的「工作排程器」服務。

需求

  • 認證:您必須先登入為 Domain Admins 群組的成員。

  • 考慮對使用者的衝擊:您必須重新啟動網域控制站來完成這些步驟。若將所有的網域控制站重新開機的話,則使用者暫時無法登入網路,亦無法進行網路資源的存取。最好在非營運時間完成整個流程,以降低對使用者造成的衝擊。

  • 若要設定群組原則來啟用網域控制站上的工作排程器

    1. 按一下 [開始],按一下 [設定],按一下 [控制台],按兩下 [系統管理工具],按兩下 [Active Directory 使用者及電腦],然後按兩下您的網域展開網域樹狀目錄。

    2. 請針對 [Domain Controllers] OU 按一下滑鼠右鍵,再按一下 [內容]。

    3. 在內容對話方塊中,按一下 [群組原則] 索引標籤,再按一下 [網域控制站基準線原則],然後按一下 [編輯]。

      重要: 請確定您在編輯的是「網域控制站基準線原則」而非「預設網域控制站原則」。若是誤修改到「預設網域控制站原則」,對您的環境可能會有不利的影響,因而造成排解疑難的困難。

    4. 按兩下 [電腦設定] 底下的 [Windows 設定] 資料夾,再按兩下 [安全性設定],然後按一下 [系統服務]。

    5. 在詳細資料窗格中,按兩下 [工作排程器],按一下 [自動],然後按一下 [確定]。

      工作排程內容

    6. 關閉「群組原則物件編輯器」,按一下 [確定] 來關閉內容對話方塊,然後結束 [Active Directory 使用者及電腦]。

    7. 請確定一次只重新啟動一個使用「工作排程器」的網域控制站。

      重要: 請勿同時重新啟動所有的網域控制站,因為如果沒有可用的網域控制站,使用者可能無法登入網路,亦無法進行網路資源的存取。

確認新的設定

在修改「群組原則」設定來啟用「工作排程器」服務之後,請確認服務已在執行。

  • 若要確認工作排程器服務已在執行

    1. 按一下 [開始],按一下 [設定],按一下 [控制台],按兩下 [系統管理工具],然後按兩下 [服務]。

    2. 確定「工作排程器」服務已在執行,且設定為自動啟動。

修改 AT 服務帳戶來確保「工作排程器」的安全

您亦可使用 AT 命令來針對「工作排程器」中的工作進行排程。根據預設,無論使用者是否已登入電腦,您使用 AT 命令進行排程的工作仍會在 Local System 帳戶下執行。通常系統管理員不會注意到這些在背景執行的工作。

Local System 帳戶是特殊且預先定義的帳戶,您可用來啟動並執行網域控制站上的諸多服務。此帳戶允許完整存取您的網域控制站,且能進行網路資源的存取。因此,許多惡意使用者會針對使用 Local System 帳戶所執行資源安全性相關的服務展開攻擊。

您可限制惡意使用者執行使用 Local System 帳戶的程式,以改進網域控制站的安全性。本指南建議您修改「工作排程器」的設定,如此一來,所有排定使用 AT 命令的工作將不會透過 Local System 帳戶執行。

在完成下列步驟之後,所有排定使用 AT 命令的工作只能透過您指定的帳戶執行。

需求

  • 認證:您必須先登入為 Domain Admins 群組的成員。

  • 重覆這些步驟:您必須針對每一個網域控制站完成這些步驟。

  • 若要修改 AT 服務帳戶設定

    1. 按一下 [開始],按一下 [設定],再按一下 [控制台],然後按兩下 [排定的工作]。

    2. 從 [進階] 功能表中選取 [AT 服務帳戶]。

    3. 按一下 [帳戶] 選項,針對未取得系統管理權限的網域控制站帳戶鍵入名稱及密碼,然後按一下 [確定]。
      AT 服務帳戶設定
      重要:請確認您使用的帳戶不屬於任何一個系統管理群組 (例如 Enterprise Admins、Domain Admins,抑或 Administrators)。在此建議您針對此目的來建立特定的服務帳戶,並定期監督帳戶群組的成員動態。

      若您要執行使用系統管理員認證的工作,則必須使用「工作排程器」中的「新增排定的工作」精靈進行工作排程。


確保 DNS 伺服器服務的安全

若要 Active Directory 正確運作的話,您必須使用「網域名稱系統 (DNS) 伺服器」。在網際網路及其他 TCP/IP 網路中的 DNS 命名方式,乃是透過使用者容易記憶的名稱來尋找電腦及服務。使用者在應用程式中輸入 DNS 名稱時,DNS 服務會將它解析為 IP 位址。

您可使用伺服器提供者的 DNS 服務來支援 Active Directory,或在 Windows Server 2003 中主控自訂的「DNS 伺服器」服務,並透過這部分所述的選項來改善安全性:

  • 限制「DNS 伺服器」服務接聽的 IP 位址。

  • 針對未提供網路用戶端服務的 DNS 伺服器,停用它的遞迴功能。

  • 設定根提示來保護您個人的 DNS 命名空間。

重要: 「DNS 伺服器」服務的預設設定,乃是用來確保安全性。例如區域傳輸只能用於您指定的次要 DNS 伺服器。在變更任何「DNS 伺服器」服務的預設設定之前,請確定您已了解對環境可能造成的衝擊。

限制「DNS 伺服器」服務接聽的 IP 位址

所謂多重主機電腦是指具有數個網路介面卡的電腦,或單一網路介面卡上設定了數個 IP 位址。根據預設,在多重主機電腦執行的「DNS 伺服器」服務設定為使用所有的 IP 位址,接聽 DNS 查詢。

透過限制「DNS 伺服器」服務接聽的 IP 位址,DNS 伺服器受到攻擊的可能性將大幅減少。您應該將 DNS 伺服器設定為只接聽指定 IP 位址的 DNS 查詢,且在電腦設定環境中為偏好的 DNS 伺服器位址。使用下列程序來限制「DNS 伺服器」服務接聽的 IP 位址。

需求

  • 認證:您必須登入 DNS 伺服器,成為 DNSAdmins、Domain Admins,或 Enterprise Admins 群組的成員。

  • 設定:DNS 伺服器必須具有一個以上的 IP 位址。

  • 工具:DNS Microsoft Management Console (MMC) 嵌入式管理單元。

  • 若要限制「DNS 伺服器」服務接聽的 IP 位址

    1. 按一下 [開始],再按一下 [控制台],按兩下 [系統管理工具],然後按兩下 [DNS]。

      dnsmgmt

    2. 在主控台樹狀目錄中 (左側窗格),按一下您要設定的 DNS 伺服器。

    3. 在 [執行] 功能表上按一下 [內容]。

    4. 在 [介面] 索引標籤上,按一下 [只有下列 IP 位址] 選項。

      svr1 內容

    5. 在 [IP 位址] 中鍵入此 DNS 伺服器要啟用的 IP 位址,然後按一下 [新增]。

    6. 您可視需要重覆先前的步驟,來指定此 DNS 伺服器要啟用的其他伺服器 IP 位址。

    7. 針對所列 DNS 用戶端不做為偏好 DNS 伺服器的 IP 位址,請按一下 IP 位址,然後按一下 [移除]。

    8. 再按一下 [確定]。

停用部分 DNS 伺服器的遞迴功能

若要知道特定電腦的 IP 位址,您可將查詢提交至 DNS 伺服器。所謂的遞迴查詢指的是對 DNS 伺服器提出的查詢,請求者要求某個 DNS 伺服器的假定職責為:針對查詢提供完整的解答,並非只是交付給其他的 DNS 伺服器。然後 DNS 伺服器會代替請求者,個別與其他 DNS 伺服器進行互動式查詢,並透過遞迴查詢取得完整的解答。根據預設,「DNS 伺服器」服務會啟用遞迴功能。

雖然遞迴可讓接受查詢的 DNS 用戶端及伺服器,透過 DNS 伺服器執行遞迴查詢,但攻擊者亦可使用它來增加 DNS 伺服器可用資源的負荷,甚至拒絕服務合法的使用者。若 DNS 伺服器提供解決方案服務的對象是網路用戶端,而非其他 DNS 伺服器,則必須持續啟用遞迴。然而,若 DNS 伺服器不提供解決方案服務給網路用戶端,請使用下列程序來停用遞迴。

重要:若您不確定 DNS 伺服器是否提供解決方案服務給網路用戶端,則不應變更預設設定。

需求

  • 認證:您必須登入 DNS 伺服器,成為 DNSAdmins、Domain Admins,或Enterprise Admins 群組的成員。

  • 工具:DNS MMC 嵌入式管理單元。

  • 若要停用遞迴

    1. 按一下 [開始],再按一下 [控制台],按兩下 [系統管理工具],然後按兩下 [DNS]。

      dsmgmt1

    2. 在主控台樹狀目錄中 (左側窗格),按一下您要設定的 DNS 伺服器。

    3. 在 [執行] 功能表上按一下 [內容]。

    4. 按一下 [進階] 索引標籤。

    5. 在 [伺服器選項] 下按一下 [停用遞迴 (同時停用轉寄站)],然後按一下 [確定]。

      svr1 內容

設定根提示來防止資料曝光

內部 DNS 根目錄可用於提供組織私人的 DNS 名稱空間,以避免在公用網際網路上曝光。根提示可協助 DNS 伺服器搜尋 DNS 最上層網域的相關資訊 (例如 .net、.org 或 .com)。

若在 DNS 基礎結構中具有內部 DNS 根目錄,您應針對內部 DNS 伺服器設定根提示,並指向主控根目錄網域的 DNS 伺服器,而非指向主控網際網路根目錄網域的 DNS 伺服器。這將協助您防止他人在解析名稱時,透過內部 DNS 伺服器,將您的私人資訊傳送至網際網路。

需求

  • 認證:您必須先登入為 Domain Admins 或「企業系統管理」群組的成員。

  • 工具:DNS MMC 嵌入式管理單元。

    注意:您只能針對將名稱做為內部 DNS根目錄的 DNS 伺服器,執行此項程序。

  • 若要設定根目錄提示來防止資訊曝光

    1. 按一下 [開始],再按一下 [控制台],指向 [系統管理工具],然後按一下 [DNS]。

      dnsmgmt2

    2. 在主控台樹狀目錄中 (左側窗格),按一下您要設定的 DNS 伺服器。

    3. 在 [執行] 功能表上按一下 [內容]。

    4. 按一 下 [根提示] 索引標籤。

      svr1 內容

    5. 針對在 [名稱伺服器] 下列出的每一個伺服器,按一下伺服器名稱,然後按一下 [移除]。

    6. 針對主控內部 DNS 根目錄的 DNS 伺服器,按一下 [新增],然後指定 DNS 伺服器的名稱及 IP 位址。

確認新的設定

您可使用下列程序,確認是否已將適當的設定套用至 DNS 伺服器。

需求

  • 認證:您必須登入 DNS 伺服器,成為 DNSAdmins、Domain Admins,或Enterprise Admins 群組的成員。

  • 工具:DNS MMC 嵌入式管理單元。

  • 若要確認根提示的設定

    1. 按一下 [開始],再按一下 [控制台],指向 [系統管理工具],然後按一下 [DNS]。

    2. 在主控台樹狀目錄中 (左側窗格),按一下您要確認的 DNS 伺服器。

    3. 在 [執行] 功能表上按一下 [內容]。

    4. 按一下 [根提示] 索引標籤。

    5. 請確定在 [名稱伺服器] 下,只列出主控內部 DNS 根目錄的 DNS 伺服器。


維護網域控制站的安全

由於網域控制站包含需嚴密保護的重要資訊,您必須研究可用於網域控制站的安全性功能,並將它套入適合的環境。然後,您可安裝最新的 Microsoft 安全性更新,維持即時的保護功能。

本節提供設定步驟,協助您維持網域控制站的安全:

  • 安裝最新的 Microsoft 安全性更新。

  • 建立保留檔,以便在磁碟空間受到攻擊時啟用復原功能。

  • 停用自動產生名稱 8.3,以減少系統暴露在病毒及惡意攻擊下的情況。

  • 使用「系統金鑰」公用程式,以防止網域控制站遭受密碼破解軟體的攻擊。

  • 在不需匿名連線的應用程式環境中,停用 Active Directory 匿名存取方式。

安裝最新的安全性更新

若要維護網域控制站,您必須定期下載和安裝最新的 Microsoft 安全性更新。這些更新可協助解決已知的問題,並防堵電腦上存在的安全性弱點。

您可使用下列的步驟,透過自動及手動方式載入安全性更新,以維持網域控制站的最新防護狀態。您必須完成下列工作:

  • 設定「自動更新」功能,在指定的排程內自動下載和安裝安全性更新。

  • 檢閱如何使用 Windows Update,以手動方式下載和安裝安全性更新。

重要:您必須以最新的安全性更新,更新網路中所有電腦的防護狀態。設定「自動更新」並使用網域控制站上的 Windows Update,這只能讓您的網域控制站 — 而非其他的伺服器及用戶端 — 保持更新狀態。請確定您已設定「自動更新」及 Windows Update,並套用至網路中執行 Windows Server 2003、Windows 2000 和 Windows XP 的所有電腦。

設定自動更新

您可設定 Windows Server 2003 網域控制站,在開啟電腦並連線至網際網路時,自動下載和安裝最新的 Microsoft 安全性更新。

需求

  • 認證:您必須先登入為 Domain Admins 群組的成員。

  • 重覆這些步驟:您必須針對每一個網域控制站完成這些步驟。

  • 若要設定網域控制站來自動下載和安裝安全性更新

    1. 按一下 [開始],再按一下 [控制台],按兩下 [系統管理工具],然後按兩下 [系統]。

    2. 按一下 [自動更新] 索引標籤,然後選取標記著 [將我的電腦保持在最新狀態] 核取方塊。若啟用該設定,Windows Update 軟體會在套用其他更新之前,先自動更新。

    3. 按一下 [自動下載更新,並在我指定的排程安裝它們]。

    4. 選取執行更新的日期和時間,然後按一下 [確定] 來關閉 [系統內容] 視窗。

      重要: 安全性更新通常需要重新啟動網域控制站。請選擇對使用者衝擊最小的日期和時間。

      系統內容

使用 Windows Update

Windows Update 是 Windows 的線上延伸,您的電腦將永遠連線到網際網路最新資訊。您可執行 Windows Update,確保「自動更新」已安裝所有最新的安全性更新。若 Microsoft 通知出現新的安全性問題,而您想立即知道電腦是否為最新狀態,Windows Update 便能發揮強大功效。

需求

  • 認證:您必須先登入為 Server Operators 或 Domain Admins 群組的成員。

  • 重覆這些步驟:您必須針對每一個網域控制站完成這些步驟。

重要:安全性更新通常會要求您重新啟動網域控制站。執行 Windows Update 時,請考慮重新啟動網域控制站對使用者會造成何種衝擊。

  • 若要執行 Windows Update,以手動方式下載和安裝安全性更新

    1. 按一下 [開始],再按一下 [所有程式],然後按一下 [Windows Update]。

    2. 在 Internet Explorer 中按一下 [掃描更新檔項目],然後等待直到完成掃描為止。

    3. Windows Update 會自動選取網域控制站中遺漏的重大安全性更新。若目前有可更新的資訊,請按一下 [檢視並安裝更新檔],再按一下 [立即安裝],然後依照畫面上的指示進行安裝。

    4. 重覆上述步驟,直到網域控制站已下載所有的重大更新。

建立保留檔,以便在磁碟空間受到攻擊時啟用復原功能

許多安全性相關的攻擊企圖消耗目標系統的系統資源。通常容易受到攻擊的系統資源之一便是可用磁碟空間。在磁碟空間的攻擊中,攻擊者將大量的物件新增至目錄,佔據磁碟上所有的空間。

您可主動在磁碟上建立含 Active Directory 資料庫的保留檔 (Ntds.dit),以便在遭受磁碟攻擊時儘快還原系統。所謂的保留檔只是佔用或保留磁碟可用空間的大型檔案而已。若攻擊者將大量未經授權的物件新增至目錄,耗盡了剩餘的磁碟空間,您可刪除保留檔,重新取得空間來恢復正常的運作。

重要:若網域控制站遭到磁碟空間的攻擊,您除了刪除保留檔,亦需刪除佔據磁碟空間的未經授權物件。如需關於在遭到磁碟空間攻擊之後,刪除未經授權物件的更多資訊,請參閱位於 Microsoft 網站 http://go.microsoft.com/fwlink/?LinkId=22040 上的《Best Practice Guide for Securing Active Directory Installations and Day-to-Day Operations Part II (英文)》。

下列程序透過在同一磁碟建立做為 Active Directory 資料庫的檔案,來保留磁碟空間。保留檔應大於 250 MB 或邏輯磁碟容量的 1%,您可在此儲存 Active Directory 資料庫。根據預設,保留檔會放置在 systemroot\Ntds 資料夾。您應針對網路中每一個網域控制站來執行這項程序。

需求

  • 認證:您必須登入網域控制站,成為 Domain Admins 或 Enterprise Admins 群組的成員。

  • 重覆這個步驟:您應針對網路中每一個網域控制站來執行這項程序。

  • 工具:Fsutil.exe。

  • 若要建立保留檔,以便在磁碟空間受到攻擊時啟用復原功能

    1. 按一下 [開始],再按一下 [執行],鍵入 cmd,然後按一下 [確定]。

    2. 在命令提示字元中鍵入下列的命令,然後按下 ENTER:
      fsutil file createnew %systemroot%\ntds\reservefile 256000000

該命令會建立名為 Reservefile (250 MB) 的保留檔,其中包含了網域控制站上的 Active Directory 資料庫。若因缺乏可用磁碟空間導致 Active Directory 停止運作,您可刪除該檔來建立可用的磁碟空間。

確認新的設定

使用下列程序來確認您已在網域控制站上建立保留檔。

需求

  • 認證:您必須登入網域控制站,成為 Domain Admins 或 Enterprise Admins 群組的成員。

  • 工具:我的電腦。

  • 重覆這些步驟:若有一個以上的網域控制站存在,您應該確認是否已針對每一個網域控制站建立保留檔。

  • 若要確認網域控制站中是否已建立保留檔

    1. 按一下 [開始],然後按一下 [我的電腦]。

    2. 在 [我的電腦] 中瀏覽至 Ntds 資料夾 (通常位於 C:\Windows\Ntds)。

    3. 按兩下 Ntds 資料夾,檢視 Reservefile 檔並確認大小至少為 250 MB。

停用自動產生名稱 8.3

許多攻擊者使用的病毒和公用程式多半是 16 位元的應用程式,且檔名將與自動產生名稱 8.3 相容。安全網域控制站不會在本機上執行 16 位元的應用程式。因此,您應停用自動產生名稱 8.3,以防止病毒及公用程式入侵網域控制站。

若要停用自動產生名稱 8.3,您可設定 NtfsDisable8dot3NameCreation 登錄項目的值為 1。您應停用所有網域控制站上的自動產生名稱 8.3。

警告:登錄若編輯不當,將嚴重毀損您的系統。在變更登錄之前,您應備份電腦上所有的重要資料。

需求

  • 認證:您必須先登入為 Domain Admins 群組的成員。

  • 重覆這些步驟:您必須針對每一個網域控制站完成這些步驟。

  • 工具:Regedit.exe (登錄編輯程式)

  • 若要停用網域控制站上的自動產生名稱 8.3

    1. 按一下 [開始],再按一下 [執行],鍵入 regedit.exe,然後按一下 [確定]。

    2. 在登錄編輯程式中瀏覽至
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem

    3. 選取 NtfsDisable8dot3NameCreation 登錄項目。

    4. 按一下 [編輯],再按一下 [修改]。

    5. 在 [數值資料] 方塊中鍵入 1 停用此網域控制站的自動產生名稱 8.3。

    6. 關閉登錄編輯程式。
      如需關於如何停用自動產生名稱 8.3 的更多資訊,請參閱位於 Microsoft 網站 http://go.microsoft.com/fwlink/?linkid=22342 上的《Best Practice Guide for Securing Active Directory Installations (英文)》 (適用於 Windows Server 2003)。

使用 Syskey 保護要重新啟動的網域控制站

網域控制站上的密碼儲存於 Active Directory。密碼破解軟體通常會針對「安全性帳戶管理員 (SAM)」資料庫或 Active Directory 來存取使用者帳戶的密碼。「系統索引」公用程式 (Syskey) 可保護系統不受密碼破解軟體攻擊。Syskey 使用增強式加密技術,確保儲存在 SAM 資料庫或 Active Directory 之帳戶密碼資訊的安全。

Syskey 選項

系統索引選項

安全性等級

說明

模式 1 — 系統產生的密碼:在本機儲存啟動機碼

安全

使用電腦產生的任意機碼做為系統機碼,並在本端電腦上儲存加密版的機碼。此選項可針對登錄中的密碼資訊提供增強式加密,並可讓使用者在無需管理員輸入密碼或插入磁碟的情況下,重新啟動電腦。

模式 2 — 管理員產生的密碼:密碼啟動

比較安全

使用電腦產生的任意機碼做為系統機碼,並在本端電腦上儲存加密版的機碼。該機碼亦受到管理員選擇的密碼所保護。在電腦處於初始啟動狀態時,使用者會收到系統機碼密碼的提示。系統機碼密碼不會儲存在電腦上。

模式 3 — 系統產生的密碼:在磁片上儲存啟動機碼

最安全

使用電腦產生的任意機碼,並在磁片上儲存該機碼。電腦必須使用含系統機碼的磁片才能啟動,因此您必須在啟動狀態時,依提示插入磁片。系統機碼不會儲存在電腦上。


所有 Windows Server 2003 伺服器的模式 1 中都會啟用 Syskey (obfuscated 機碼)。網域控制台若可能遭受實質的安全性威脅,我們建議以模式 2 (主控台密碼) 或模式 3 (以磁片儲存 Syskey 密碼) 來使用 Syskey。

如需關於如何使用 Syskey 來保護網域控制站,以防止未經授權開機的更多資訊,請參閱位於 Microsoft 網站 http://go.microsoft.com/fwlink/?LinkId=22122《Windows Server 2003 Security Guide (英文)》中的<Chapter 4—Hardening Domain Controllers (英文)>

停用 Active Directory 匿名存取方式。

根據預設,Active Directory 不會針對目錄中的物件授予明確的權限,而是使用特殊身分:匿名登入,亦即採匿名連線的方式。然而,您若要在執行 Windows Server 2003 的網域控制站啟用相容的 Pre—Windows 2000,則特殊身分「匿名登入」將新增至 Pre—Windows 2000 Compatible Access 群組做為成員。因為已為此 Pre—Windows 2000 Compatible Access 群組指派網域根目錄、使用者、電腦和群組物件的「讀取」權限,任何使用匿名存取的應用程式及服務就可讀取這些物件。

若為應用程式無需建立匿名連線即可存取 Active Directory 資料的環境,建議您停用匿名存取。

若您具有單一的 Active Director 樹系,網域控制站只執行 Windows Server 2003 或 Microsoft® Windows® 2000 Server,且工作站只執行 Microsoft® Windows® 2000 Professional 或 Windows® XP Professional,則可停用匿名存取。

您可透過下列方式停用匿名存取:

  • 在建立新的網域時,請採用預設安裝設定 [使用權限只和 Windows 2000 或 Windows Server 2003 伺服器相容]。

  • 在已啟用 pre—Windows 2000 相容存取的現有 Windows Server 2003 網域,從 pre—Windows Compatible Access 群組中移除 EVERYONE 及 ANONYMOUS LOGON,只留下「已驗證的使用者」。

關於如何從 pre—Windows 2000 Compatible Access 群組中移除 EVERYONE 及 ANONYMOUS LOGON 群組,請參閱位於 Microsoft 網站 http://go.microsoft.com/fwlink/?linkid=22342 上的《Best Practice Guide for Securing Active Directory Installations (英文)》(適用於 Windows Server 2003)。

相關資訊

如需關於確保 Windows Server 2003 安全的更多資訊,請參閱下列連結:

如需關於確保 DNS 安全性的詳細資訊,請參閱下列連結:

如需關於 Windows Server 2003 的詳細資訊,請參閱下列連結:


顯示: