Windows Server 2003 安全性指南

  • 發行項

第 6 章:基礎結構伺服器角色

更新日期: 2006 年 7 月 17 日

本頁內容

概觀
稽核原則設定
使用者權利指派設定
安全性選項
事件記錄設定
其他安全性設定
使用 SCW 建立原則
總結

概觀

本章所解說的原則設定,可以用來加強在本指南所定義的三個環境下執行的 Microsoft® Windows Server™ 2003 SP1 的基礎結構伺服器。 本指南的目的,在指出基礎結構伺服器就是提供 DHCP 服務或 Microsoft WINS 功能的伺服器。

本指南所述大多數設定均透過群組原則來進行設定和套用。 補充成員伺服器基準線原則 (MSBP) 所用的群組原則物件 (GPO),可以連結到含有基礎結構伺服器的適當組織單位 (OU),為伺服器提供額外的安全性。 本章只討論與 MSBP 不同的原則設定。

可能的話,這些原則設定會聚集在準備套用到基礎結構伺服器 OU 的增量群組原則物件中。 本指南所述之部分設定無法透過群組原則來進行套用。 本指南還提供如何手動設定這些設定的詳細資訊。

下表所列的,是在本指南定義的三種環境的基礎結構伺服器安全性範本名稱。 這些範本將提供增量基礎結構伺服器範本的原則設定,讓您建立新的 GPO,連結到適當環境下的基礎結構伺服器 OU。 第 2 章《Windows Server 2003 強化機制》中提供逐步指示,協助您建立 OU 和群組原則,然後將適當的安全性範本匯入到每個 GPO 中。

表 6.1 基礎結構伺服器安全性範本和原則

傳統用戶端 企業用戶端 專業安全性限制功能
LC-Infrastructure Server.inf EC-Infrastructure Server.inf SSLF-Infrastructure Server.inf
如需 MSBP 的原則設定的相關資訊,請參閱第 4 章<成員伺服器基準線原則>。如需所有預設原則設定的相關資訊,請參閱同系列指南[*威脅與因應對策:Windows Server 2003 和 Windows XP 的安全性設定*](https://go.microsoft.com/fwlink/?linkid=15159),網址為:https://go.microsoft.com/fwlink/?LinkId=15159。 [](#mainsection)[回到頁首](#mainsection) ### 稽核原則設定 本指南定義的基礎結構伺服器在三種環境下的稽核原則設定,都是透過 MSBP 加以設定。 如需 MSBP 的其他資訊,請參閱第 4 章<成員伺服器基準線原則>。MSBP 設定會將所有相關的安全性稽核資訊,記錄到基礎結構伺服器中。 [](#mainsection)[回到頁首](#mainsection) ### 使用者權利指派設定 本指南定義的基礎結構伺服器在三種環境下的使用者權利指派,都是透過 MSBP 加以設定。 如需 MSBP 的其他詳細資訊,請參閱第 4 章<成員伺服器基準線原則>。MSBP 設定會統一設定所有基礎結構伺服器的使用者權利指派。 [](#mainsection)[回到頁首](#mainsection) ### 安全性選項 本指南定義的基礎結構伺服器在三種環境下的安全性選項設定,都是透過 MSBP 加以設定。 如需 MSBP 的其他詳細資訊,請參閱第 4 章<成員伺服器基準線原則>。MSBP 設定會統一設定所有基礎結構伺服器的相關安全性選項設定。 [](#mainsection)[回到頁首](#mainsection) ### 事件記錄設定 本指南定義基礎結構伺服器在三種環境下的事件記錄設定,都是透過 MSBP 加以設定。 如需 MSBP 的更多資訊,請參閱第 4 章<成員伺服器基準線原則>。 [](#mainsection)[回到頁首](#mainsection) ### 其他安全性設定 MSBP 所套用的安全性設定,大幅加強了基礎結構伺服器的安全性。 本節將討論其他設定供您參考。 您不能經由群組原則來設定本節所述的其他安全性設定,必須在所有的基礎結構伺服器上進行手動設定。 #### 設定 DHCP 記錄 在預設的情況下,DHCP 服務只會在事件記錄中記錄開機和關機事件。 請執行下列步驟,在 DHCP 伺服器啟用更詳細的記錄: 1. 以滑鼠右鍵按一下 \[DHCP 管理工具\] 中的 \[DHCP 伺服器\]。 2. 選取 \[內容\]。 3. 在 \[內容\] 對話方塊的 \[一般\] 索引標籤上,按一下 \[啟用 DHCP 稽核記錄\]。 完成這些步驟之後,DHCP 伺服器會在下面這個位置建立一個記錄檔: **%systemroot%\\system32\\dhcp\\** 記錄檔中的 DHCP 用戶端資訊通常很難尋找,因為唯一儲存在大多數記錄的資訊是電腦名稱,而非 IP 位址。 DHCP 稽核記錄可作為幫助您尋找內部攻擊或粗心活動來源的另一項工具。 但是,這些記錄中的資訊也並非全都可靠,因為主機名稱以及媒體存取控制 (MAC) 位址可能是偽造或詐騙資訊。 (詐騙會讓傳輸動作看起來像是出自不是執行該動作的使用者)。不過,這項資訊所提供的好處,比在 DHCP 伺服器啟用記錄功能所花的成本更加重要。 如果您需要判定特定 IP 位址在網路上的用法時,光是 IP 位址和電腦名稱是不夠的。 在預設的情況下,**Server Operators** 和 **Authenticated Users** 群組,都具有 DHCP 記錄檔案的讀取權限。 為了保存 DHCP 伺服器所記錄的完整資訊,建議您將這些記錄的存取權限,僅指派給伺服器管理員。 **Server Operators** 和 **Authenticated Users** 群組,應該從 **%systemroot%\\system32\\dhcp\\** 資料夾的「存取控制清單 (ACL)」中移除。 理論上,DHCP 稽核記錄可能會將儲存它們的磁碟擠爆。 不過,\[DHCP 稽核記錄\] 設定的預設設定,會確保只要伺服器的可用磁碟空間少於 20 MB 時就停止記錄。 對於大多數環境的伺服器來說,這個預設設定已經足夠了,不過您也可以修改這個設定,確保伺服器的其他應用程式也有足夠的可用磁碟空間。 如需修改此設定的其他詳細資訊,請參閱 Windows Server 2003 Tech Center 的 [DhcpLogMinSpaceOnDisk](https://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/depkit/f7802dce-3ff9-406a-b3e6-c0c6b3ed4941.mspx) (英文) 網頁,網址為:www.microsoft.com/technet/prodtechnol/windowsserver2003/library/ DepKit/f7802dce-3ff9-406a-b3e6-c0c6b3ed4941.mspx。 #### 對抗 DHCP 拒絕服務攻擊 由於 DHCP 伺服器是提供網路用戶端存取的重要資源,因此也很容易成為 DoS 攻擊的主要目標。 如果 DHCP 伺服器受到攻擊,而無法滿足 DHCP 要求,DHCP 用戶端就無法取得租借權了。 這些用戶端將遺失現有的 IP 租借權,而且無法存取網路資源。 要編寫攻擊工具指令碼來索取 DHCP 伺服器中所有可用的位址,其實並非難事。 這類指令碼會耗盡來自 DHCP 用戶端後續合法的可用 IP 位址。 有些意圖不良的使用者,可能會設定他們所管理的電腦網路介面卡上所有的 DHCP IP 位址,讓 DHCP 伺服器偵測範圍中所有衝突的 IP 位址,並拒絕分配 DHCP 租借權。 此外,針對所有其他網路服務,DoS 攻擊 (例如,CPU 衰竭或是填滿 DHCP 接聽程式的要求緩衝區),會耗盡 DHCP 伺服器回應正常流量的功能,而且讓用戶端無法要求租借權及更新。 只要適當的設計 DHCP 服務,就可以避免這類問題。 您可以成對設定 DHCP 伺服器,並且遵循最佳實務準則 80/20 規則 (分割伺服器之間的 DHCP 伺服器範圍,讓 80% 的位址由一個 DHCP 伺服器分散,而 20% 則由另一個 DHCP 伺服器分散),以減輕這些攻擊的影響。 這些設定建議可以確保用戶端繼續收到 IP 位址設定,即使伺服器失敗也不受影響。 如需 80/20 規則和 DHCP 通訊協定的詳細資訊,請參閱 Windows 2000 Server 資源套件的 [DHCP](https://www.microsoft.com/resources/documentation/windows/2000/server/reskit/en-us/default.asp?url=/resources/documentation/windows/2000/server/reskit/en-us/cnet/cncb_dhc_klom.asp) (英文) 網頁,網址為:www.microsoft.com/resources/documentation/Windows/2000/server/ reskit/en-us/cnet/cncb\_dhc\_klom.asp。 **注意**:Windows 2000 Server 資源套件所說明的 80/20 規則,也適用於 Windows Server 2003 SP1 的 DHCP 服務。 #### 保護已知帳戶 Windows Server 2003 SP1 有一些無法刪除但可以重新命名的內建使用者帳戶。 Windows Server 2003 內兩個最眾所皆知的內建帳戶是 Guest 和 Administrator。 在預設的情況下,成員伺服器與網域控制站的 Guest 帳戶是在停用狀態。 此設定不得變更。 各式意圖不良的程式碼在開始嘗試侵入伺服器時,會利用內建的 Administrator 帳戶。 因此,您應該重新命名內建 Administrator 帳戶並修改其說明,以防攻擊者利用此已知帳戶對遠端伺服器進行攻擊。 此設定變更的值在過去幾年中已經降低,因為已有攻擊工具能透過指定內建 Administrator 帳戶的安全性識別元 (SID) 來判斷真實名稱,然後嘗試破解伺服器。 SID 是能唯一識別網路上每個使用者、群組、電腦帳戶和登入工作階段的數值。 此內建帳戶的 SID 無法變更。 如果以唯一名稱重新命名了此 Administrator 帳戶,操作群組就能輕易監視對此帳戶的攻擊嘗試。 **保護基礎結構伺服器的熟知帳戶** - 將每個網域和伺服器的 Administrator 與 Guest 帳戶重新命名,並將密碼變更為一個更長、更複雜的值。 - 在每個伺服器使用不同的名稱及密碼。 如果所有網域及伺服器都使用相同的帳戶名稱與密碼,攻擊者在取得一個成員伺服器的存取權限後,就可以使用同樣的帳戶名稱與密碼,存取其他所有的伺服器。 - 將帳戶說明改成不同於預設值的說明,不讓帳戶易於識破。 - 在安全的地方記錄您所作的任何變更。 **注意**:內建 Administrator 帳戶可透過群組原則重新命名。 本指南提供的所有安全性範本均未實作此原則設定,因為每個組織都應該為此帳戶選擇唯一的名稱。 但您可以設定 \[帳戶: 重新命名系統管理員帳戶\] 設定,以重新命名本指南所定義的三種環境中的系統管理員帳戶。 此原則設定是 GPO 安全性選項設定的一部分。 #### 保護服務帳戶 除非絕對必要,否則切勿將服務設定成在網域帳戶的安全性內容下執行。 如果伺服器實體遭到破壞,網域帳戶密碼就會很容易透過傾印 LSA 機密而洩漏出去。 如需如何保護服務帳戶的詳細資訊,請參閱[服務和服務帳戶安全性規劃指南](https://www.microsoft.com/technet/security/topics/serversecurity/serviceaccount/default.mspx) (英文),網址為:www.microsoft.com/technet/security/topics/serversecurity/serviceaccount/default.mspx。 [](#mainsection)[回到頁首](#mainsection) ### 使用 SCW 建立原則 若要部署必要的安全性設定,您必須使用安全性設定精靈 (SCW) 和本指南之下載版本中所包含的安全性範本來建立伺服器原則。 建立您自己的原則時,請務必略過 \[登錄設定\] 和 \[稽核原則\] 區段。 上述原則設定均為安全性範本針對您所選的環境所提供的設定。 您必須使用此方法,以確保範本所提供的原則元素優先於 SCW 所設定的原則元素。 您應該使用新安裝的作業系統來開始設定工作,以確保不會誤用之前設定的舊設定或軟體。 如有可能,您應將作業系統安裝到與您部署所用的類似硬體上,以儘量確保相容性。 新安裝的電腦稱為「參照電腦」。 在伺服器原則建立過程中,您可從偵測到的角色清單中移除檔案伺服器角色。 此角色通常是在不需要此角色的伺服器上設定,因此可將其視為一種安全性風險。 若要為需要檔案伺服器角色的伺服器啟用此角色,您可以套用本程序稍後的第二個原則。 **建立基礎結構伺服器原則** 1. 在一台新的參照電腦上安裝 Windows Server 2003 SP1。 2. 在新電腦上,透過 \[控制台\]、\[新增/移除程式\]、\[新增/移除 Windows 元件\] 來安裝「安全性設定精靈」元件。 3. 將電腦加到網域中,這樣將會套用來自上層 OU 的所有安全性設定。 4. 僅安裝和設定要在每個伺服器上共用此角色的強制應用程式。 例如,特定角色的服務、軟體和管理代理程式、磁帶備份代理程式,以及防毒或反間諜軟體公用程式。 5. 啟動 SCW GUI,然後選取 \[建立新原則\],然後指向參照電腦。 6. 確保偵測到的伺服器角色適用於您的環境:例如,DHCP 伺服器和 WINS 伺服器角色。 7. 確保偵測到的用戶端功能適用於您的環境。 8. 確保偵測到的系統管理選項適用於您的環境。 9. 確定已偵測到基準線所需的任何其他服務,例如:備份代理程式或防毒軟體。 10. 決定如何在環境中處理未指定的服務。 如要增強安全性,您可能要將此原則設定設為 \[已停用\]。 將此設定部署到生產網路中之前,應先對其進行測試。如果生產伺服器執行其他未複製到參照電腦上的服務,此設定可能會導致問題發生。 11. 確定在 \[網路安全性\] 區段中未核取 \[略過此區段\] 核取方塊,然後按一下 \[下一步\]。 之前識別出的適當連接埠和應用程式已設定為 Windows 防火牆的例外狀況。 12. 在 \[登錄設定\] 區段中,按一下 \[略過此區段\] 核取方塊,然後按一下 \[下一步\]。 這些原則設定會從提供的 INF 檔案中匯入。 13. 在 \[稽核原則\] 一節中,按一下 \[略過此區段\] 核取方塊,然後按一下 \[下一步\]。 這些原則設定會從提供的 INF 檔案中匯入。 14. 納入適當的安全性範本 (例如,EC-Infrastructure Server.inf)。 15. 以適當的名字來儲存原則 (例如,Infrastructure Server.xml)。 #### 使用 SCW 測試原則 建立並儲存原則之後,Microsoft 強烈建議您將原則部署到測試環境中。 在理想的情況下,您的測試伺服器會擁有與生產伺服器相同的硬體和軟體設定。 此方法可幫您找出並解決潛在的問題,例如,存在特定硬體裝置所需的非預期服務。 您有兩種測試原則的選擇。 您可以使用原生 SCW 部署功能,或透過 GPO 來部署此原則。 開始撰寫原則時,您應考慮使用原生 SCW 部署功能。 您可以使用 SCW 將原則一次推入單一伺服器中,或使用 Scwcmd 將原則推入一群伺服器中。 原生部署方式能讓您在 SCW 內輕易回復已部署的原則。 如果在測試過程中對原則進行多次修訂,則此功能就會變得非常實用。 經過測試的原則可以確保將此原則套用到目標伺服器之後,不會對其重要功能造成負面影響。 套用設定變更後,您應該開始確認電腦的核心功能。 例如,如果將伺服器設定為憑證授權單位 (CA),請確定用戶端可以要求和獲得憑證、下載憑證撤銷清單等。 確定原則設定後,您即可按照下列程序所示,使用 Scwcmd 將原則轉換成 GPO。 如需如何測試 SCW 原則的詳細資料,請參閱[安全性設定精靈部署指南](https://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/scwdeploying/5254f8cd-143e-4559-a299-9c723b366946.mspx) (英文),網址為:www.microsoft.com/technet/prodtechnol/windowsserver2003/ library/SCWDeploying/5254f8cd-143e-4559-a299-9c723b366946.mspx 和[安全性設定精靈說明文件](https://go.microsoft.com/fwlink/?linkid=43450) (英文),網址為:https://go.microsoft.com/fwlink/?linkid=43450。 #### 轉換和部署原則 徹底測試原則之後,請完成下列步驟將原則轉換成 GPO 中並進行部署: 1. 在命令提示字元中,輸入下列命令: ``` scwcmd transform /p: