第四章 - 依據角色保障伺服器的安全
本頁索引
.gif){kind=icon}
網域原則
成員伺服器基礎原則
保障每個伺服器角色的安全
建議環境的變更
摘要
前一章我們討論了如何使用「群組原則」在您的伺服器上定義安全性設定。本章將更深入探討可為企業內所有成員伺服器和網域控制站定義的基礎原則,以及如何為特定的伺服器角色進一步修改原則。
這個方式可讓系統管理員使用集中管理的基礎原則鎖定伺服器,再一致地將這些原則套用到企業內的所有伺服器上。基礎原則只開放最低限度的功能,但允許伺服器與網域中其他電腦通訊,及向網域控制站取得驗證。更安全狀態的額外累加原則可於此處套用,讓每部伺服器只執行其角色所定義的特定工作。您的風險管理策略會決定在您的環境中執行這些變更是否適當。
本作業指南將原則實作分為下列幾個部份:
- **全網域原則。**處理一般的安全性需求,例如,所有伺服器及工作站上均須強制執行的帳戶原則。
- **網域控制站原則。**套用到網域控制站 OU 的原則,特別是影響稽核原則、安全性選項及服務設定的組態設定。
- **成員伺服器基礎原則。**所有成員伺服器通用的設定,包括稽核原則、服務設定,限制對登錄、檔案系統及其他特定安全性設定 (如在系統關機時清除虛擬記憶體頁面檔) 等的存取權的原則。
- **伺服器角色原則。**伺服器角色有四種:應用程式伺服器、檔案及列印伺服器、基礎結構伺服器,以及 IIS 伺服器。此原則中有每種角色特定的安全需求及設定。
本章將討論這些原則,以及必須為特定伺服器角色定義的其他設定。有關如何以「群組原則」套用安全性設定的詳細資訊,請參閱第 3 章〈使用 Windows 2000 群組原則管理安全性〉。
網域原則
本作業指南並不在網域層級強制執行特定設定,因為許多這一類設定 (如密碼長度) 會隨您公司的整體安全性原則而改變。但適當定義這些設定仍然非常重要。
密碼原則
網域中所有伺服器預設會強制施行標準密碼原則。下表所列是標準密碼原則的各種設定,以及建議運用在您環境中的最低限度設定。 表 4.1 密碼原則預設值及建議設定
| 原則 | 預設設定 | 建議的最低限度設定 |
|---|---|---|
| 強制執行密碼歷程記錄 | 記憶 1 個密碼 | 記憶 24 個密碼 |
| 最長密碼期限 | 42 天 | 42 天 |
| 最短密碼期限 | 0 天 | 2 天 |
| 最短密碼長度 | 0 個字元 | 8 個字元 |
| 密碼必須符合複雜性需求 | 停用 | 啟用 |
| 為網域的所有使用者使用可復原的加密來存放密碼 | 停用 | 停用 |
複雜性需求
當「群組原則」的 [密碼必須符合複雜性需求] 設定為啟用時,會要求密碼長度至少為 6 個字元 (雖然我們建議設定為 8 個字元)。它也要求密碼至少必須包含下列三個類別的字元:
- 英文大寫字母 A、B、C、… Z
- 英文小寫字母 a、b、c、… z
- 阿拉伯數字 0、1、2、… 9
- 非英數字字元,例如標點符號
注意事項:密碼原則不能只在執行 Windows 2000 的伺服器上強制執行,它也必須在使用密碼驗證的任何其他裝置上執行。網路裝置 (如路由器和交換機等) 若使用簡單密碼,會很容易遭受攻擊。攻擊者會試圖控制這些網路裝置,以便繞過防火牆。 帳戶鎖定原則
有效的帳戶鎖定原則有助於防止攻擊者猜出您的帳戶密碼。下表列出預設帳戶鎖定原則的各種設定,以及建議運用在您環境中的最低限度設定。 表 4.2:帳戶原則預設值及建議設定
| 原則 | 預設設定 | 建議的最低限度設定 |
|---|---|---|
| 帳戶鎖定時間 | 尚未定義 | 30 分鐘 |
| 帳戶鎖定閾值 | 0 | 5 次不正確的登入嘗試 |
| 重設鎖定計數器的時間間隔 | 尚未定義 | 30 分鐘 |
若依此處所列的最低限度設定建議值,當一個帳戶在 30 分鐘內發生 5 次不正確的登入嘗試時,它就會被鎖定 30 分鐘 (之後會重設成 0 次不正確的登入嘗試,此時可以再重新登入)。在這 30 分鐘的鎖定期限內,只有系統管理員可以重設此鎖定。若要提升公司的安全性層級,您可以考慮延長帳戶鎖定期限及降低帳戶鎖定閾值。
注意事項:密碼及帳戶原則必須在網域層級設定。如果這些原則是在 OU 層級或 Active Directory 的任何其他位置設定,它們會影響的是本機帳戶而非網域帳戶。網域帳戶原則只能有一個,詳情請參閱「Microsoft Knowledge Base」(Microsoft 知識庫) 文件 Q255550〈Configuring Account Policies in Active Directory〉(在 Active Directory 中設定帳戶原則)。
成員伺服器基礎原則
完成網域層級的設定之後,接下來便可定義成員伺服器的通用設定了。這可利用成員伺服器 OU 上的某個 GPO (稱為基礎原則) 來達成。通用 GPO 可將替每部伺服器作安全性設定的程序自動化。至於一些無法使用群則原則進行的安全性設定,則仍需要靠您手動套用。
成員伺服器的基礎群組原則
本指南所用基礎原則中的設定取自伺服器及工作站安裝中的 hisecws.inf 原則。hisecws.inf 所處理的範圍包括:
- **稽核原則。**決定如何在伺服器上執行稽核。
- **安全性選項。**決定使用登錄值的特定安全性設定。
- **登錄存取控制清單。**決定誰可以存取登錄。
- **檔案存取控制清單。**決定誰可以存取檔案系統。
- **服務設定。**決定哪些服務必須啟動、哪些服務停止及停用等等。
本指南稍微修改了 hisecws.inf 使它更安全。成員伺服器基礎原則 baseline.inf 有助於在生產環境中建立一個對外來攻擊更有防禦力的伺服器。 在 Hisecws.inf 執行了以下的修改:
- 與安全性相關的登錄值
- 服務設定
- 更嚴密的檔案存取控制清單
- 更強化的稽核設定
成員伺服器基礎稽核原則
應用程式、安全性及系統事件記錄檔的設定均在原則中制定,然後套用到網域的所有成員伺服器上。這些記錄檔的大小設定為 10 MB,且均設定為不覆寫事件。因此,系統管理員必須定期檢視,決定要封存或清除這些記錄檔。 注意事項:如果某個管理系統會定期監視記錄檔中是否有特定事件,並從中擷取詳細資訊轉送到管理資料庫,您即可擷取必要的資料,藉以設定要覆寫的記錄檔。 下表顯示「成員伺服器基礎稽核原則」中所定義的設定。 表 4.3:成員伺服器基礎稽核原則設定
| 原則 | 電腦設定 |
|---|---|
| 稽核帳戶登入事件 | 成功,失敗 |
| 稽核帳戶管理 | 成功,失敗 |
| 稽核目錄服務存取 | 失敗 |
| 稽核登入事件 | 成功,失敗 |
| 稽核物件存取 | 成功,失敗 |
| 稽核原則變更 | 成功,失敗 |
| 稽核權限使用 | 失敗 |
| 稽核程序追蹤 | 無稽核 |
| 稽核系統事件 | 成功,失敗 |
| 限制來賓存取應用程式記錄檔 | 啟用 |
| 限制來賓存取安全性記錄檔 | 啟用 |
| 限制來賓存取系統記錄檔 | 啟用 |
| 應用程式記錄檔保持方法 | 不要覆寫事件 (以手動方式清除記錄) |
| 安全性記錄檔保持方法 | 不要覆寫事件 (以手動方式清除記錄) |
| 系統記錄檔保持方法 | 不要覆寫事件 (以手動方式清除記錄) |
| 安全性稽核記錄檔已滿時關閉系統 | 尚未定義 |
注意事項:保持方法原則設定若為 [手動],表示不要覆寫事件 (以手動方式清除記錄)。 成員伺服器基礎安全性選項原則
基礎群組原則中設定了以下的安全性選項。 表 4.4:成員伺服器基礎安全性選項原則設定
| 選項 | 設定值 |
|---|---|
| 匿名使用者連線的其他限制 | 沒有明確宣告的匿名權限則不能存取 |
| 允許伺服器操作者排程工作 (僅限網域控制站) | 停用 |
| 允許不登入就將系統關機 | 停用 |
| 允許退出卸除式 NTFS 媒體 | 系統管理員 |
| 工作階段中斷連線前,要求的閒置時間 | 15 分鐘 |
| 稽核通用系統物件的存取 | 停用 |
| 稽核備份和復原權限的使用 | 停用 |
| 超過登入時數就自動將使用者登出 | 尚未定義 (參閱注意事項) |
| 當登入時間過期 (本機),自動登出使用者 | 啟用 |
| 當系統關機時清除虛擬記憶體分頁檔 | 啟用 |
| 數位簽名用戶端的通訊 (自動) | 啟用 |
| 數位簽名用戶端的通訊 (可能的話) | 啟用 |
| 數位簽名伺服器的通訊 (自動) | 啟用 |
| 數位簽名伺服器的通訊 (可能的話) | 啟用 |
| 登入時停用 CTRL+ALT+DEL 鍵 | 停用 |
| 不要在登入視窗中顯示上次登入的使用者名稱 | 啟用 |
| LAN Manager 驗證層級 | 只傳送 NTLMv2 回應,拒絕 LM & NTLM |
| 給登入使用者的訊息本文 | |
| 給登入使用者的訊息標題 | |
| 先前網域控制站無法使用時的登入快取次數 0 個 | 登入 |
| 防止系統維護電腦帳戶密碼 | 停用 |
| 防止使用者安裝印表機驅動程式 | 啟用 |
| 在密碼過期前提示使用者變更密碼 | 14 天 |
| 復原主控台: 允許自動系統管理登入 | 停用 |
| 復原主控台:允許軟碟複製以及存取所有磁碟和所有資料夾 | 停用 |
| 重新命名系統管理員帳戶 | 未定義 |
| 重新命名來賓帳戶 | 未定義 |
| CD-ROM 存取只限於登入本機的使用者 | 啟用 |
| 軟碟機存取只限於登入本機的使用者 | 啟用 |
| 安全通道:安全通道資料加以數位加密或簽名 (自動) | 啟用 |
| 安全通道:安全通道資料加以數位加密 (可能的話) | 啟用 |
| 安全通道:安全通道資料加以數位簽名 (可能的話) | 啟用 |
| 安全通道:要求增強式 (Windows 2000 或更新) 工作階段機碼 | 啟用 |
| 安全性系統磁碟分割 (只針對 RISC 平台) | 尚未定義 |
| 傳送未加密的密碼以便連線到其他廠商的 SMB 伺服器 | 停用 |
| 當無法記錄安全性稽核時,立即關機系統 | 啟用 (參閱第二個注意事項) |
| 智慧卡移除操作 | 鎖定工作站 |
| 加強通用系統物件的預設權限 (例如:符號連結) | 啟用 |
| 未簽署的驅動程式安裝操作 | 不允許安裝 |
| 未簽署的非驅動程式安裝操作 | 警告但允許安裝 |
注意事項:預設網域原則會將 [超過登入時數就自動將使用者登出] 設定為停用。若要設定此選項,您必須編輯預設網域原則,這項作業並未在本指南所含的基礎原則中定義。 注意事項:若大幅增加稽核物件的數目,將有安全性記錄檔爆滿而導致強迫關機的風險。屆時系統將無法使用,直到系統管理員清除此記錄檔為止。若要避免發生這種情況,您可以停用表中所列的關機選項,更好的方法是增加記錄檔大小。 此處所設的某些選項需要進一步的討論,因為它們直接影響了網域中伺服器彼此通訊的方式,對伺服器效能也會造成衝擊。
匿名連線的額外限制
Windows 2000 預設允許匿名使用者執行特定活動,如列舉網域帳戶名稱及網路共用。如此駭客將有機會在不以使用者帳戶進行驗證的情況下,從遠端伺服器看到這些帳戶及共用名稱。要提升匿名存取的安全性,可以設定 [沒有明確宣告的匿名權限則不能存取]。它的作用是從匿名使用者權杖 (Token) 中移除 Everyone 群組。之後便不允許匿名存取伺服器,存取任何資源時一定要有明確的存取權。 注意事項:如需此選項對您環境可能造成的影響,請參閱「Microsoft Knowledge Base」(Microsoft 知識庫) 文件 Q246261〈How to Use the RestrictAnonymous Registry Value in Windows 2000〉(如何在 Windows 2000 中使用 RestrictAnonymous 登錄值)。 LAN Manager 驗證層級
Microsoft Windows 9x 及 Windows NTR 作業系統無法使用 Kerberos 進行驗證,它們預設使用 NTLM 通訊協定在 Windows 2000 網域中進行網路驗證。您可以使用 NTLMv2,替 Windows 9x 及 Windows NT 強制執行更安全的驗證通訊協定。在登入程序中,NTLMv2 導入了一個安全通道來保護驗證程序。 注意事項:若將 NTLMv2 用在前版的用戶端和伺服器上,以 Windows 2000 為基礎的用戶端及伺服器仍會使用 Kerberos 來與 Windows 2000 網域控制站進行驗證。如需啟用 NTLMv2 的詳細資訊,請參閱「Microsoft Knowledge Base」(Microsoft 知識庫) 文件 Q239869〈How to Enable NTLM 2 Authentication for Windows 95/98/2000/NT〉(如何為 Windows 95/98/2000/NT 啟用 NTLM 2 驗證)。Windows NT 4.0 需要安裝 Service Pack 4 才能支援 NTLMv2,Windows 9x 平台則必須安裝目錄服務用戶端才能支援 NTLMv2。 在系統關機時清除虛擬記憶體分頁檔
儲存在真實記憶體內的重要資訊可能會定期傾印至分頁檔。這有助於 Windows 2000 處理多工作業功能。若啟用這個選項,Windows 2000 會在系統關機時清除分頁檔,視分頁檔的大小移除其中存放的資訊,這可能需要花幾分鐘的時間,系統才會完全關機。
數位簽名用戶端/伺服器通訊
在高度安全性網路中實作數位簽名,有助於預防用戶端及伺服器被人模擬 (一般稱為工作階段劫持或是 Man In The Middle Attack)。伺服器訊息區 (Server Message Block,SMB) 簽名同時驗證使用者與主控資料的伺服器。若有一方無法通過驗證,就不會執行資料傳輸。實作 SMB 簽名後,會出現最高達 15% 的額外效能負擔,用來簽名和驗證伺服器間的封包。如需額外效能負擔所造成影響的詳細資訊,請參閱「Microsoft Knowledge Base」(Microsoft 知識庫) 文件 Q161372〈How to Enable SMB Signing in Windows NT〉(如何在 Windows NT 中啟用 SMB 簽名)。
額外安全性選項
本指南在基礎安全性範本檔中加入了額外的登錄值,這些登錄值在「系統管理範本」(Administrative Template,ADM) 檔中並未定義。這表示當您載入「MMC 安全性範本」(MMC Security Template) 嵌入式管理單元並檢視 baseline.inf 範本時,表 4.5 – 4.11 中的登錄值不會出現。這些設定可以利用文字編輯器加入 .inf 檔案,並在原則下載後套用到伺服器上。 注意事項:如需 .inf 與 .adm 檔之間關聯的詳細 資訊,請參閱「Microsoft Knowledge Base」(Microsoft 知識庫) 文件 Q228460〈Location of ADM (Administrative Template) Files in Windows〉(Windows 中 ADM (系統管理範本) 檔的位置)。 這些設定內嵌於 Baseline.inf 安全性範本內,以自動化這些變更。當移除原則時,這些設定不會隨之移除,您必須手動進行變更。
網路攻擊的安全考量
某些「拒絕服務」攻擊會對以 Windows 2000 為基礎的的伺服器之 TCP/IP 堆疊造成威脅。這些登錄設定有助於提升 Windows 2000 TCP/IP 堆疊對標準「拒絕服務」網路攻擊的抵抗力。有關這些設定的詳細資訊,請參閱「Microsoft Knowledge Base」(Microsoft 知識庫) 文件 Q315669〈HOW TO:Harden the TCP/IP Stack in Windows 2000 Against Denial of Service〉(如何強化 Windows 2000 的 TCP/IP 堆疊以抵抗「拒絕服務」攻擊)。
已加入以下登錄機碼至範例檔中,成為 HKLM\System\CurrentControlSet\Services\Tcpip|Parameters\ 的子機碼:
表 4.5:由成員伺服器基礎原則加至登錄中的 TCP/IP 參數
| 機碼 | 格式 | 值 (十進位) |
|---|---|---|
| EnableICMPRedirect | DWORD | 0 |
| EnableSecurityFilters | DWORD | 1 |
| SynAttackProtect | DWORD | 2 |
| EnableDeadGWDetect | DWORD | 0 |
| EnablePMTUDiscovery | DWORD | 0 |
| KeepAliveTime | DWORD | 300,000 |
| DisableIPSourceRouting | DWORD | 2 |
| TcpMaxConnectResponseRetransmissions | DWORD | 2 |
| TcpMaxDataRetransmissions | DWORD | 3 |
| NoNameReleaseOnDemand | DWORD | 1 |
| PerformRouterDiscovery | DWORD | 0 |
| TCPMaxPortsExhausted | DWORD | 5 |
FTP 伺服器及 Web 伺服器等 Windows Sockets 應用程式之連線嘗試是由 Afd.sys 處理。Afd.sys 經過修改,目前已可利用半開放狀態支援大量連線,不會拒絕合法用戶端的存取。這是因為現在已允許系統管理員設定動態積存 (Backlog)。新版的 Afd.sys 支援了四種新的登錄參數,可用來控制動態積存的行為。如需這些設定的詳細資訊,請參閱「Microsoft Knowledge Base」(Microsoft 知識庫) 文件 Q142641〈Internet Server Unavailable Because of Malicious SYN Attacks〉(惡意的 SYN 攻擊導致 Internet 伺服器無法使用)。
已加入以下登錄機碼至範例檔中,成為 HKLM\System\CurrentControlSet\Services\AFD\Parameters\ 的子機碼:
表 4.6:由成員伺服器基礎原則加至登錄中的 Afd.sys 設定
| 機碼 | 格式 | 值 (十進位) |
|---|---|---|
| DynamicBacklogGrowthDelta | DWORD | 10 |
| EnableDynamicBacklog | DWORD | 1 |
| MinimumDynamicBacklog | DWORD | 20 |
| MaximumDynamicBacklog | DWORD | 20000 |
停用自動產生 8.3 檔名的功能
Windows 2000 支援 8.3 檔名格式,以便與 16 位元應用程式能夠回溯相容。這表示攻擊者只需要 8 個字元便能參照原先可能有 20 個字元長的檔案。如果您沒有使用 16 位元的應用程式,即可關閉這個功能。在 NTFS 磁碟分割中停用簡短名稱產生功能,亦可提升目錄列舉的效能。
已加入以下登錄機碼至範例檔中,成為 HKLM\System\CurrentControlSet\Control\FileSystem\ 的子機碼:
表 4.7:由成員伺服器基礎原則加至登錄中的移除 8.3 檔名建立相關設定
| 機碼 | 格式 | 值 (十進位) |
|---|---|---|
| NtfsDisable8dot3NameCreation | DWORD | 1 |
注意事項:如果將此設定套用到現有的伺服器上,而此伺服器已經有自動產生的 8.3 檔名的檔案,並不會移除這些檔案。若要移除現有的 8.3 檔名,必須將這些檔案複製出伺服器,從原始位置刪除這些檔案,再將它們複製回原來位置。停用 Lmhash 建立
以 Windows 2000 為基礎的伺服器可以驗證執行先前各版 Windows 的電腦。但前版 Windows 不會使用 Kerberos 進行驗證,因此 Windows 2000 支援 Lan Manager (LM)、Windows NT (NTLM) 及 NTLM 第 2 版 (NTLMv2)。相較於 NTLM 雜湊,LMhash 比較脆弱,因此對於快速蠻力攻擊的抵抗力也比較弱。如果沒有用戶端需要 LM 驗證,那麼請停用 LM 雜湊存放。Windows 2000 Service Pack 2 提供一個登錄設定,可以停用 LM 雜湊存放。 已加入以下登錄機碼至範例檔中,成為 HKLM\SYSTEM\CurrentControlSet\Control\Lsa\ 的子機碼:
表 4.8:由成員伺服器基礎原則加至登錄中的停用 Lmhash 建立相關設定
| 機碼 | 格式 | 值 (十進位) |
|---|---|---|
| NoLMHash | DWORD | 1 |
注意事項:若要以這個登錄設定停用 LM 雜湊存放,您必須執行 Windows 2000 Service Pack 2 或更新版本。 如需相關資訊,請參閱「Microsoft Knowledge Base」(Microsoft 知識庫) 文件 Q147706〈How to Disable LM Authentication on Windows NT〉(如何在 Windows NT 上停用 LM 驗證)。
設定 NTLMSSP 安全性
NTLM 安全性支援提供者 (NTLM Security Support Provider,NTLMSSP) 允許您依應用程式指定伺服器端網路連線所需的最低限度安全性。
在訊息機密已使用,但 128 位元加密尚未交涉時,成員伺服器基礎原則可以保證連線失敗。 已加入以下登錄機碼至範例檔中,成為 HKLM\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\ 的子機碼:
表 4.9:由成員伺服器基礎原則加至登錄中,以設定 NTLMSSP 安全性的相關設定
| 機碼 | 格式 | 值 (十六進位) |
|---|---|---|
| NtlmMinServerSec | DWORD | 0x20000000 |
停用自動執行
當媒體插入磁碟機後,自動執行便會開始讀取。因此,程式的安裝檔案和音訊媒體上的音樂便會立即啟動。為了防止插入媒體時惡意程式立即啟動,群組原則停用了所有磁碟機的自動執行功能。 已加入以下登錄機碼至範例檔中,成為 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\ 的子機碼: 表 4.10:由成員伺服器基礎原則加至登錄中以停用所有磁碟機上自動執行功能的相關設定
| 機碼 | 格式 | 值 (十六進位) |
|---|---|---|
| NoDriveTypeAutoRun | DWORD | 0xFF |
成員伺服器基礎登錄存取控制清單原則
「成員伺服器基礎原則」不會變更 hisecws.inf 中所定義的登錄 ACL。在執行任何變更之前,請務必在您環境中先進行完整的測試。
hisecws.inf 中所定義的 ACL 主要會變更 Power Users 群組,預設會建立這個群組,以便與以 Windows NT 4.0 為基礎的回溯相容。範本中確保了 Power Users 和 Windows 2000 的 Users 群組具有相同的權限。 注意事項:網域控制站上並未定義 Power Users 群組。 成員伺服器基礎檔案存取控制清單原則
若要進一步保障檔案系統的安全,您必須確定網域中所有成員伺服器通用的目錄及檔案均套用了更具限制性的權限。「成員伺服器基礎安全性範本」含有 hisecws.inf 範例所附的所有檔案存取控制清單,並新增了與許多資料夾和檔案相關的設定。 注意事項:如需 Windows 2000 預設登錄及檔案權限的詳細資訊,請參閱 TechNet 上的〈Default Access Control Settings in Windows 2000〉(Windows 2000 的預設存取控制設定) 白皮書。本章最後的〈其他資訊〉一節有至此白皮書的連結。 下表顯示了除了 hisecws.inf 所定義的設定之外,「成員伺服器基礎原則」還額外保全的資料夾。.
表 4.11:成員伺服器基礎原則中定義來保障機碼目錄安全的設定
| 保全的資料夾 | 套用的權限 |
|---|---|
| %systemdrive%\ | Administrators:完全控制 System:完全控制 Authenticated Users:讀取和執行,列出資料夾內容,以及讀取 |
| %SystemRoot%\Repair %SystemRoot%\Security %SystemRoot%\Temp %SystemRoot%\system32\Config %SystemRoot%\system32\Logfiles |
Administrators:完全控制 Creator/Owner:完全控制 System:完全控制 |
| %systemdrive%\Inetpub | Administrators:完全控制 System:完全控制 Everyone:讀取和執行,列出資料夾內容,以及讀取 |
注意事項:%SystemRoot% 定義了 Windows 系統檔案所在的路徑及資料夾,%SystemDrive% 定義了含有 %systemroot% 的磁碟機。 伺服器上也安裝了大量且需要進一步鎖定的檔案。「成員伺服器基礎原則」會改變預設 Windows 啟動檔案以及可從命令提示下執行的許多執行檔上的 ACL。受影響的檔案列於〈附錄 A〉。
成員伺服器基礎服務原則
Windows 2000 Server 首次安裝時,便會建立預設服務,且這些服務會被設定成在系統啟動時執行。這些服務當中有許多並不需要在很多環境中執行,且任何服務都可能成為駭客的攻擊點,因此建議您停用不必要的服務。 「成員伺服器基礎原則」只會啟用 Windows 2000 成員伺服器參與 Windows 2000 網域及提供基本管理服務所需的服務。
表 4.12:成員伺服器基礎原則所啟用的服務
| 服務 | 啟動類型 | 被納入成員伺服器基礎內的理由 |
|---|---|---|
| COM+ Event Services | 手動 | 允許管理元件服務 |
| DHCP Client | 自動 | 更新動態 DNS 中的記錄所需 |
| Distributed Link Tracking Client | 自動 | 用來維護 NTFS 磁碟區上的連結 |
| DNS Client | 自動 | 允許解析 DNS 名稱 |
| Event Log | 自動 | 讓事件記錄檔訊息可在事件記錄檔中檢視 |
| Logical Disk Manager | 自動 | 確保動態磁碟資訊保持最新所需 |
| Logical Disk Manager Administrative Service | 手動 | 執行磁碟管理所需 |
| Netlogon | 自動 | 網域參與所需 |
| Network Connections | 手動 | 網路通訊所需 |
| Performance Logs and Alerts | 手動 | 收集電腦效能資料,寫至記錄檔或觸發警示 |
| Plug and Play | 自動 | Windows 2000 辨識及使用系統硬體所需 |
| Protected Storage | 自動 | 保護敏感資料 (如私密金鑰) 所需 |
| Remote Procedure Call | 自動 | Windows 2000 內部處理所需 |
| Remote Registry Service | 自動 | hfnetchk 公用程式所需 (參閱注意事項) |
| Security Accounts Manager | 自動 | 儲存本機安全性帳戶的帳戶資訊 |
| Server | 自動 | hfnetchk 公用程式所需 (參閱注意事項) |
| System Event Notification | 自動 | 在事件記錄檔中記錄資料項所需 |
| TCP/IP NetBIOS Helper Service | 自動 | 群組原則中軟體發佈所需 (可能用來發佈修補程式) |
| Windows Management Instrumentation Driver | 手動 | 使用 Performance Logs and Alerts 實作效能警示所需 |
| Windows Time | 自動 | Kerberos 驗證功能是否一致時所需 |
| Workstation | 自動 | 參與網域所需 |
注意事項:Hfnetchk 可用來檢查您公司每一部伺服器所安裝的修補程式為何。在第 5 章〈修補程式管理〉中,我們將討論這個工具如何使用。 這些設定是假設在單純且標準的 Windows 2000 環境中使用 (但 hfnetchk 工具除外)。若您的環境含有 Windows NT 4.0 (或成員伺服器中還有其他工具),為了相容起見,可能還需要其他的服務。若啟用了其他服務,這些服務可能又需要其他的服務。特定伺服器角色所需的服務可以加到該伺服器角色的原則內。
〈附錄 B〉顯示了 Windows 2000 預設安裝中的所有服務,〈附錄 C〉則顯示了可新增至預設安裝的其他服務。
成員伺服器基礎所含的主要服務
「成員伺服器基礎原則」的目標是儘可能的嚴格。但由於這個緣故,您環境中許多必要的服務也會被停用。其中常見者如下。
SNMP 服務
在大部份情況下,管理應用程式要求每部伺服器上均安裝一個代理程式。這些代理程式通常使用 SNMP 將警示轉送回集中管理伺服器。如果需要管理代理程式,請檢查它們是否要求啟動 SNMP 服務。
WMI 服務
Windows Management Instrumentation (WMI) 服務在成員伺服器基礎原則中是停用的。若要使用電腦管理邏輯磁碟,必須啟用 WMI 服務。許多其他應用程式及工具也使用 WMI。
Messenger 服務與 Alert 服務
雖然這兩個服務沒有明確的依存關係,但兩者結合可以傳送系統管理警示。Messenger 服務會傳送由 Alert 服務所觸發的警示。若使用 Performance Logs and Alerts 觸發警示,就必須啟用這些服務。
網域控制站基礎原則
在網域中所建立的所有網域控制站,均自動被指派到「網域控制站 OU」。網域控制站絕對不能移出「網域控制站 OU」之外,因為這個 OU 上套用了許多特定的安全性 ACL。 「網域控制站 OU」是一個頂層 OU,因此會繼承「成員伺服器基礎原則」中所定義的設定。由於這個緣故,我們建立了一個獨立的「網域控制站基礎原則」。 「網域控制站基礎原則」中實作的組態設定影響了原則中的以下區段:
- 稽核原則
- 安全性選項
- 服務設定
注意事項:檔案 ACL (但〈附錄 A〉所列的 System32 檔除外) 及登錄 ACL 並未包含在這個「群組原則」中,因為當執行 Windows 2000 的伺服器升級成為網域控制站之後,就會定義及實作這些 ACL。將以 Windows 2000 為基礎的伺服器升級成網域控制站時,會套用名為 Defltdc.inf 的安全性範本。這個範本將 ACL 套用到檔案系統及登錄機碼,作為支援網域控制站所建立的其他服務所使用。 網域控制站基礎稽核及安全性選項原則
為網域控制站所設定的稽核原則及安全性選項,均與基礎原則相同 (有關這些設定的詳細資訊,請參閱〈成員伺服器基礎原則〉一節。)
網域控制站基礎服務原則
設定於啟動時啟用的服務,即為成員伺服器基礎設定中所定義的服務,外加支援網域控制站功能所需的額外服務。 表 4.13:除了由成員伺服器基礎原則所設定的服務之外,網域控制站基礎服務原則所啟用的服務
| 服務 | 啟動類型 | 被納入網域控制站基礎的理由 |
|---|---|---|
| Distributed File System | 自動 | Active Directory Sysvol 共用所需 |
| DNS Server | 自動 | Active Directory 整合 DNS 所需 |
| File Replication | 自動 | 網域控制站之間檔案複寫所需 |
| Kerberos Key Distribution Center Kerberos | 自動 | 可讓使用者使用 Kerberos v5 登入網路 |
| NT LM Security Support Provider NT LM | 自動 | 可讓使用者使用 NTLM 驗證登入 |
| RPC Locator | 自動 | 可讓網域控制站提供 RPC 名稱服務 |
網域控制站基礎原則未包含的主要服務
「網域控制站基礎原則」的目標是儘可能的嚴格。但由於這個緣故,您環境中必要的許多服務也會被停用。其中常見者如下。
Simple Mail Transport Protocol (SMTP)
站台間複寫可以使用 RPC 或 SMTP 來進行。若您使用 SMTP 進行複寫,就必須啟用 SMTP 服務。
Intersite Messaging
這個服務可用來進行站台間以郵件為基礎的複寫。每個要用來複寫的傳輸都在獨立的增益集動態連結程式庫 (DLL) 中定義。這些增益集 DLL 會被載入 Intersite Messaging 內。Intersite Messaging 會替傳送要求導向,並接收要求到適當的傳輸增益集 DLL,後者再將訊息傳給目的電腦上的 Intersite Messaging。若使用 SMTP 在環境中進行複寫,則必須啟用此服務。
IIS Admin 服務
若啟動了 SMTP 服務,那麼 IIS Admin 服務也必須同時啟動,因為 SMTP 服務依存於 IIS Admin 服務。
Distributed Link Tracking Server 服務
這個服務可追蹤整個網域內 NTFS 磁碟區上的檔案,並由執行 Distributed Link Tracking Client 服務所聯絡。這些電腦會定期持續嘗試聯絡 Distributed Link Tracking Server 服務,即使此服務已停用。 注意事項:若執行 Windows 2000支援工具中的 dcdiag 公用程式,它會檢查一般會在即將啟動的網域控制站上執行的所有服務。若有些服務在網域控制站基礎原則中被停用,dcdiag 便會報告錯誤。這是預期中的錯誤,並不表示您的設定有問題。 其他基礎安全性工作
單純使用「群組原則」並無法執行增進您成員伺服器及網域控制站安全性所需的所有工作。要提升所有伺服器的整體安全性層級,還需要執行許多額外的步驟。
保障內建帳戶的安全
Windows 2000 具有許多內建使用者帳戶,它不能被刪除,只能重新命名。Windows 2000 兩個最常見的內建帳戶是 Guest (來賓) 和 Administrator (系統管理員)。在成員伺服器和網域控制站上,Guest 帳戶預設是停用的。請勿變更此設定。內建的 Administrator 帳戶必須重新命名並修改說明文字,以防駭客使用一般熟知的名稱侵入遠端伺服器。許多惡意的指令檔使用內建系統管理員帳戶作為侵入伺服器的第一步。 注意事項:內建系統管理員帳戶可以使用「群組原則」重新命名。我們未在基礎原則中實作這個設定,因為您必須使用一個不是眾所皆知的名稱。 保障本機系統管理員帳戶的安全
每一部成員伺服器都有一個本機帳戶資料庫和一個可完全控制伺服器的本機系統管理員帳戶。因此這個帳戶非常重要。您必須替此帳戶重新命名,並確定它使用夠複雜的密碼。同時也應確定本機系統管理員密碼未被複寫到成員伺服器上。若密碼被複寫到成員伺服器,可存取某部成員伺服器的駭客即可利用相同的密碼存取其他所有的伺服器。 本機系統管理員帳戶不能設成 Domain Admins 群組的一部份,因為這樣會使其能力超出管理成員伺服器所需。同樣地,您也必須確定只有本機帳戶可以用來管理您的成員伺服器。
保障服務帳戶的安全
Windows 2000 服務一般都在 Local System (本機系統) 帳戶下執行,但它們也可以在某個網域使用者或本機帳戶下執行。請儘可能使用本機帳戶,不要使用網域使用者帳戶。服務會在其服務帳戶的安全性環境下執行,因此若駭客侵入某部成員伺服器的某個服務時,其服務帳戶便會被用來攻擊網域控制站。在決定要使用哪一個帳戶作為服務帳戶時,必須確定指派的權限僅限於此服務順利運作所需。下表說明了每一類服務帳戶所繼承的權限。
表 4.14:Windows 2000 帳戶在不同環境中的權限
| 在以 Windows 2000 為基礎的電腦上執行服務時的驗證 | 僅限樹系內部,所有以 Windows 2000 為基礎的伺服器 | 多重樹系應用程式,具有網域間的 NTLM 信任 |
|---|---|---|
| 本機使用者服務帳戶 | 無網路資源,在本機上只能以此帳戶被指派的權限存取 | 無網路資源,在本機上只能以此帳戶被指派的權限存取 |
| 網域使用者服務帳戶 | 以網域使用者身份進行網路存取,以使用者的權限進行本機存取 | 以網域使用者身份進行網路存取,以使用者的權限進行本機存取 |
| 本機系統 | 以機器帳戶驗證使用者的身份進行網路存取,以 LocalSystem | 進行本機存取 無跨越樹系的網路資源,以 LocalSystem 進行本機存取 |
所有 Windows 2000 預設服務都在 LocalSystem 下執行,請勿變更此設定。任何加至系統內的額外服務若要求使用網域帳戶,請在部署之前先經過詳細評估。
確認基礎設定
伺服器首次套用安全性之後,最好確認各項特定安全性設定是否已正確設定。Microsoft Security Baseline Analyzer Tool (Microsoft 安全性基礎分析工具) 會對您的伺服器執行一連串測試,若發現任何可能的安全性問題,便會提出警告。
確認連接埠設定
確認最終的連接埠設定,及了解您執行 Windows 2000 的伺服器所聆聽的是哪一個 TCP 及 UDP 連接埠,這兩點相當重要。套用基礎原則之後,即可執行 netstat 命令來顯示每一個網路介面卡上,伺服器所聆聽的是哪一個連接埠。下表顯示了套用「成員伺服器基礎原則」的成員伺服器,其預期的輸出 netstat:
表 4.15:套用成員伺服器基礎原則之後,成員伺服器所聆聽的連接埠
| 通訊協定 | 本機位址 | 外部位址 | 狀態 |
|---|---|---|---|
| TCP | 0.0.0.0:135 | 0.0.0.0:0 | 聆聽中 |
| TCP | 0.0.0.0:445 | 0.0.0.0:0 | 聆聽中 |
| TCP | <IP 位址>:139 | 0.0.0.0:0 | 聆聽中 |
| UDP | <IP 位址>:137 | *.* | N/A |
| UDP | <IP 位址>:138 | *.* | N/A |
| UDP | 0.0.0.0:445 | *.* | N/A |
| UDP | 0.0.0.0:1027 | *.* | N/A |
| UDP | 0.0.0.0:1045 | *.* | N/A |
保障每個伺服器角色的安全
套用基礎原則之後,您伺服器的安全性就提升不少。此時您可能還需要啟用額外的設定,在基礎原則中加入其他功能。本指南中定義了四個不同的成員伺服器角色:
- Windows 2000 應用程式伺服器。所有伺服器角色中最安全、鎖定最緊密者。安全應用程式伺服器的目標,是提供一個鎖定緊密的伺服器供您安裝如 Exchange 或 SQL 等應用程式。這個伺服器角色的設計,是要讓它與網域控制站通訊以進行驗證。這個角色是其他角色的基礎。
- Windows 2000 檔案及列印伺服器。其設計可大幅提升檔案及列印伺服器的安全性。
- Windows 2000 基礎結構伺服器。其設計可大幅增進 DNS、DHCP 及 WINS 等伺服器的安全性。
- Windows 2000 IIS 伺服器。其設計可大幅增進 IIS 伺服器的安全性。這個角色使用了修定版的應用程式伺服器原則以及 IIS Lockdown 及 URLScan 工具。
注意事項:應用程式伺服器角色是故意設計成這麼嚴格的。在安裝及執行某些應用程式時,您也可以視需要變更此處的設定。 注意事項:您可以利用修改本指南所附範本的方式,來建立其他角色的範本。範本修改完成後請進行完整的測試,確定它可提供您所需要的安全性層級。 Windows 2000 應用程式伺服器角色
應用程式伺服器角色的設定,需視您所部署的特定應用程式而定。由於這個緣故,這些設定在成員伺服器基礎中是不能改變的。因此應用程式伺服器角色的限制很多,要安裝及執行某些應用程式,您必須修改此處定義的預設值之安全性設定。最簡單的方法,是在「應用程式伺服器 OU」下新建一個 OU。然後再建立一個修改基礎設定的「群組原則」,將此原則匯入新的 OU 內。
公司環境中所有使用者通常都會存取及使用到檔案及列印服務,因此要保障其安全是一項極大的挑戰。檔案及列印伺服器原則:
- 啟用列印所用的多工緩衝處理程式服務。
- 停用安全性原則設定:數位簽名用戶端的通訊 (自動)若未停用此設定,用戶端雖然能夠列印,但無法檢視列印佇列。若試圖檢視列印佇列,便會收到下列訊息:「無法連線。拒絕存取。」
注意事項:多工緩衝處理程式服務用於任何啟始列印工作的電腦,以及列印伺服器上。成員伺服器及網域控制站基礎的預設設定代表您無法從這些電腦發出列印工作。 Windows 2000 基礎結構伺服器角色
基礎結構伺服器角色支援 DNS、DHCP 及 WINS 等網路服務。為了讓這三個服務同時在一部成員伺服器上執行,除了「成員伺服器基礎原則」之外,基礎結構原則還啟用了以下服務。
表 4.16:基礎結構伺服器角色原則所新增的服務
| 服務 | 啟動類型 | 被納入基礎結構伺服器角色原則的理由 |
|---|---|---|
| DHCPServer | 自動 | 提供 DHCP 服務給用戶端 |
| DNS | 自動 | 提供 DNS 服務給用戶端 |
| NTLMSSP | 自動 | 提供安全性給使用具名管道以外傳輸的 RPC 程式 |
| WINS | 自動 | 提供 WINS 服務用戶端 |
Windows 2000 IIS 伺服器角色
IIS 伺服器角色為以 Windows 2000 為基礎的伺服器提供 Web 伺服器功能。IIS 伺服器角色群組在成員伺服器基礎原則中新增了以下服務。
表 4.16:IIS 伺服器角色原則新增的服務
| 服務 | 啟動類型 | 被納入 IIS 伺服器角色原則的理由 |
|---|---|---|
| IISAdmin | 自動 | 管理 Web 伺服器 |
| W3SVC | 自動 | 提供 Web 伺服器功能 |
此外,IIS 伺服器角色群組原則也會將 SynAttackProtect 登錄值設定為 1。
IISLockdown 工具
IIS 伺服器提供了許多功能。但為了讓您的 IIS 伺服器儘量安全,請將其功能限制在必要的範圍之內。最簡單的方法是使用 IISLockdown 工具。IISLockdown 是一個可高度設定的公用程式,可讓您指定 Web 伺服器的本質。然後它便可據以移除特定 Web 伺服器所不需要的功能。當然,在將變更實作到生產環境之前,您應該先進行詳細的測試。 注意事項:IISLockdown 屬於 Security Toolkit 的一部份,它亦可從 Microsoft Security 網站取得。如需詳細資訊,請參閱本章最後的〈其他資訊〉一節。 IISLockdown 可以執行許多步驟,協助您保護 Web 伺服器。其中包括:
- 鎖定檔案
- 停用服務及元件
- 安裝 URL 掃描
- 移除不必要的「Internet 伺服器應用程式發展介面」(Internet Server Application Programming Interface,ISAPI) DLL 指令檔對應
- 移除不必要的目錄
- 變更 ACL
您可以使用 IIS Lockdown 來保護許多類型的 IIS 伺服器角色。您應該替每一部伺服器選擇符合 Web 伺服器需求中最嚴格的角色。
使用 IIS Lockdown 保護靜態 Web 伺服器
- 啟動 IISLockd.exe。
- 按一下 [Next]。
- 選取 [I Agree],然後按一下 [Next]。
- 選取 [Static Web server],然後按一下 [Next]。
- 確定已選取 [Install URLScan filter on the server],然後按 [Next]。
- 按一下 [Next]。
- 如果顯示 [Digital Signature Not Found] 對話方塊,請按一下 [Yes]。
- 按一下 [Next]。
- 按一下 [Finish]。
若您將 IIS 伺服器設為靜態 Web 伺服器,則會有下列變更:
- 停用 Index Server Web 介面 (.idq、.htw、.ida) 指令碼對應
- 停用網際網路資料連接器 (.idc) 指令碼對應
- 停用伺服器端包含檔 (.shtml, .shtm, .stm) 指令碼對應
- 停用 HTR 指令碼 (.htr) 指令碼對應
- 停用 Active Server Page (.asp) 指令碼對應
- 停用 Internet 列印 (.printer) 指令碼對應
- 移除印表機虛擬目錄
- 停用 Web Distributed Authoring and Versioning (WebDAV)
- 檔案使用權限被設定為不允許匿名 IIS 使用者寫入內容目錄
- 檔案使用權限被設定為不允許匿名 IIS 使用者執行系統公用程式
- 安裝 URLScan 篩選器到伺服器上
- 移除 Scripts 虛擬目錄
- 移除 MSADC 虛擬目錄
- 移除 IIS Samples 虛擬目錄
- 移除 IISAdmin 虛擬目錄
- 移除 IISHelp 虛擬目錄
注意事項:在第 6 章〈稽核及侵入偵測〉中對 URLScan 有詳細的說明。 其他 IIS 伺服器角色安全性設定
IIS Lockdown 工具可大幅提升您 IIS 伺服器的安全。但您仍可進一步採取步驟來保護執行 Wndows 2000 IIS 服務的伺服器。
設定 IP 位址/DNS 位址限制
此項設定可以確保只有具有特定 IP 位址或 DNS 名稱的系統,才能存取 Web 伺服器。設定 IP 位址及 DNS 位址限制並不常用,但卻是限制特定使用者存取網站的一個方式。然而,如果在限制中使用的是 DNS 名稱而非 IP 位址,IIS 便須執行耗時的 DNS 搜尋。
使用本機匿名帳戶
預設用來存取 IIS 的匿名帳戶是一個網域帳戶,名為 IUSR_computername。為了提升安全性,建議您停用預設帳戶,改用本機帳戶並使用增強式密碼規則。萬一此帳戶被入侵,攻擊者也只能進入本機系統。以此方式設定的 IIS 伺服器需經完整的測試,因為有些 Web 應用程式必須是網域帳戶才能執行 (而非本機帳戶)。 注意事項:您可以刪除 IUSR_computername 帳戶,但停用此帳戶會讓它成為一個誘餌帳戶。 為多重主目錄 Web 伺服器實作 IPSec 篩選器
Windows 2000 所附的 IPSec 原則引擎是一個很有用的工具,可以提升 Web 架構的整體安全性,特別是您 Web 伺服器的安全性。IPSec 原則通常用來在兩個主機站台或兩個遠端站台之間建立一個安全的通訊路徑。然而,它也可以用在通訊協定/連接埠篩選能力上。
您可以使用篩選器清單以及篩選器動作,控制來自/前往 Web 伺服器的流量。例如,您可以建立兩個篩選清單,一個用來篩選從所有目的地到連接埠 80 的傳輸,一個用在從所有目的地到所有連接埠的傳輸。接下來即可定義篩選動作,讓符合第一個篩選清單的傳輸通過,符合第二個篩選清單的傳輸則被擋下來。 IPSec 原則使用「群組原則」來進行實作。IPSec 原則未包括在本指南中,因為它們必須視環境的不同採用不同的實作方式。
建議環境的變更
本章所列的建議,其目標在於為以 Windows 2000 為基礎的伺服器建立一個極安全的環境。但有些變更不見得適用於貴公司。此處我們將討論兩個案例,第一個需要更多的系統管理能力,第二個案例則是不使用 Hfnetchk 公用程式。
系統管理變更
成員伺服器與網域控制站的預設基礎原則可能會取消您環境中的某些遠端 (或某些本機) 的系統管理功能。使用 Microsoft Management Console (MMC) 電腦管理嵌入式管理單元所進行的遠端管理,將無法使用預設基礎原則,因為某些 MMC 相關服務會被停用。
基礎原則啟用了 Server 服務及 Remote Registry 服務。如此電腦管理嵌入式管理單元即可從遠端連線到其他電腦,並管理以下項目:
- 共用資料夾
- 本機使用者和群組
- 在「存放管理」下,除了「邏輯磁碟機」和「卸除式存放」以外的所有項目
- 服務裝置管理員
- 事件檢視器
- 效能記錄檔及警示
基礎原則中並未啟用 WMI。這樣可以防止以下項目受到管理:
- WMI
- 在「存放管理」下的「邏輯磁碟機」
如果需要從本機或遠端管理這些項目,請啟用 WMI 服務。
Removable Storage 無法在只啟動「成員伺服器基礎原則」服務的情況下從遠端存取。若遠端伺服器未啟動 Removable Storage 服務,它會在事件記錄檔中產生一個 DCOM 錯誤訊息,指出無法使用此服務。 注意事項:當您允許上述服務受管理時,請只在需要這些服務的累加伺服器角色原則中啟用它們。 注意事項:有些管理工具可能會要求您在要執行此工具的用戶端進行安全性變更。例如,有些工具可能會使用 NTLM 驗證,基礎原則會將伺服器設定成只接受 NTLM v2。有關設定方式的詳細資訊,請參閱本章的〈LAN Manager 驗證層級〉一節。 未實作 HFNETCHK 時的安全性修改
Hfnetchk 這個工具可讓您驗證公司內每一部伺服器所安裝的修補程式為何。建議您使用這一類的工具來提升環境的安全性層級。
但若未實作 Hfnetchk,則可停用「成員伺服器基礎原則」中的 Remote Registry 服務及 Server 服務。在「網域控制站基礎」原則中,您可以停用 Remote Registry 服務。
若在「成員伺服器基礎原則」中停用了這些服務,您仍然必須在某些伺服器角色中啟用這些服務:
表 4.17:在成員伺服器基礎原則中停用了 Remote Registry 服務與 Server 服務之後,應加至伺服器角色 GPO 的服務
| 伺服器角色 | 要啟用的服務 | 原因 |
|---|---|---|
| 檔案及列印伺服器 | Server | 提供檔案共用能力 |
| 基礎結構伺服器 | Server | 讓 WINS 可以正確運作 |
| 基礎結構伺服器 |
Remote Registry | 讓 WINS 管理員可以檢視 WINS 伺服器的狀態 |