Windows Server 2003 安全性指南

  • 發行項

第 12 章:堡壘主機角色

更新日期: 2006 年 7 月 17 日

本頁內容

概觀
稽核原則設定
使用者權利指派
安全性選項
事件記錄設定
其他安全性設定
使用 SCW 建立原則
總結

概觀

本章著重說明如何強化在您環境中執行 Microsoft® Windows Server™ 2003 SP1 的堡壘主機。 堡壘主機位在組織中周邊網路 (也稱為 DMZ、非軍事區,或屏蔽式子網路) 的對外面向,是雖然安全,但可供大家存取的電腦。 堡壘主機並未受到防火牆或篩選路由器的保護,因此完全暴露在受攻擊的風險中。 堡壘主機必須經過悉心的設計與設定,以將遭受危害的可能性降到最低。

堡壘主機通常用來當做網頁伺服器、網域名稱伺服器 (DNS)、檔案傳輸通訊協定 (FTP) 伺服器、Simple Mail Transport Protocol (SMTP) 伺服器,和網路新聞傳輸通訊協定 (NNTP) 伺服器。 理想情況是以堡壘主機專門負責上述其中一種功用,因為伺服器的功用越多,對於安全性漏洞有所忽視的可能性也越高。 就單一堡壘主機上的單一服務確保安全,比確保多項服務的安全更為容易。 組織若是財力負擔得起使用多重堡壘主機,可大幅從這種類型的網路結構中受益。

設定堡壘主機的安全性,與一般主機的設定方式大不相同。 該主機會停用或移除所有不必要的服務、通訊協定、程式和網路介面,然後每部堡壘主機都依照滿足特定角色的方式設定。 如果能以這種方式強化堡壘主機,可以限制潛在的攻擊方法。

本章的後續幾節將說明在任何環境中,確保堡壘主機安全的各項安全性設定。 本章提出的步驟可建立 SMTP 堡壘主機。 若要新增其他功能,必須修改本指南所附的設定檔。

堡壘主機本機原則

本指南稍早說明的伺服器角色是以群組原則設定伺服器。 群組原則由於設定為不屬於 Active Directory® 目錄服務網域的獨立主機,因此無法套用到堡壘主機伺服器。 因為暴露在外而且未受其他裝置保護,所以在本指南所定義的三種環境中,只針對堡壘主機伺服器指定一個層級的指引。 本章所說明的安全性設定是依據第 4 章<成員伺服器基準線原則>中所定義 SSLF 環境的成員伺服器基準線原則 (MSBP)。這些設定內含在安全性範本中,而此範本必須套用到各堡壘主機的堡壘主機本機原則 (BHLP)。

表 12.1 堡壘主機伺服器安全性範本

傳統用戶端 企業用戶端 專業安全性限制功能
SSLF-Bastion Host.inf SSLF-Bastion Host.inf SSLF-Bastion Host.inf
[](#mainsection)[回到頁首](#mainsection) ### 稽核原則設定 堡壘主機的 BHLP 稽核原則設定內含在 SSLF-Bastion Host.inf 檔案中。 這些設定與 SSLF-Member Server Baseline.inf* *檔案中所指定的相同。 如需 MSBP 的更多資訊,請參閱第 4 章<成員伺服器基準線原則>。BHLP 設定可確保所有相關的安全性稽核資訊均記錄到所有堡壘主機伺服器中。 [](#mainsection)[回到頁首](#mainsection) ### 使用者權利指派 SSLF-Bastion Host.inf 檔案中含有堡壘主機的 BHLP 使用者權利指派。 這些原則設定是依據第 4 章<成員伺服器基準線原則>中,SSLF-Member Server Baseline.inf 檔內容所指定。以下表格彙整 BHLP 與 MSBP 之間的差異。 此表下方的內文說明詳細資訊。 **表 12.2 建議的使用者權利指派設定**

使用者權利指派 設定
拒絕從網路存取這台電腦 ANONOYMOUS LOGON、內建 Administrator、Support_388945a0、Guest、所有非作業系統服務帳戶
#### 拒絕從網路存取這台電腦 **注意**:安全性範本中不包含 ANONOYMOUS LOGON、內建 Administrator、Support\_388945a0、Guest 和所有非作業系統服務帳戶。 這些帳戶和群組有唯一的安全性識別元 (SID)。 因此,您必須手動加入至 BHLP。 這個原則設定可決定哪些使用者無法透過網路存取電腦。 這個設定會拒絕一些網路通訊協定,包括以伺服器訊息區 (SMB) 為基礎的通訊協定、NetBIOS、Common Internet File System (CIFS)、HTTP 及 Component Object Model Plus (COM+)。 當使用者帳戶同時受限於兩個原則時,此原則設定會取代 \[從網路存取這台電腦\] 設定。 如果您為其他群組設定這項使用者權利,可以限制使用者在您的環境中,執行委派系統管理工作的能力。 本指南的第 4 章<成員伺服器基準線原則>中建議,您可以將 **Guests** 群組併入擁有這個使用者權利的使用者和群組清單,以提供儘可能最高程度的安全性。 不過依預設值,用來匿名存取 IIS 的 IUSR 帳戶是 **Guests** 群組成員。 \[拒絕從網路存取這台電腦\] 設定會包含本指南所定義 SSLF 環境中,堡壘主機的 ANONOYMOUS LOGON、內建 Administrator、Support\_388945a0、Guest,及所有非作業系統服務帳戶。 [](#mainsection)[回到頁首](#mainsection) ### 安全性選項 堡壘主機的 BHLP 安全性選項設定,同於第 4 章<成員伺服器基準線原則>中,SSLF-Member Server Baseline.inf 檔中所指定。這些 BHLP 設定可確保在所有堡壘主機伺服器上,所有相關安全性選項的設定方式都一致。 [](#mainsection)[回到頁首](#mainsection) ### 事件記錄設定 堡壘主機的 BHLP 事件記錄設定,同於第 4 章<成員伺服器基準線原則>中,SSLF-Member Server Baseline.inf 檔中所指定。這些 BHLP 設定可確保在所有堡壘主機伺服器上,所有相關事件記錄的設定方式都一致。 [](#mainsection)[回到頁首](#mainsection) ### 其他安全性設定 BHLP 所套用的安全性設定,可大幅增強堡壘主機伺服器的安全性。 然而,必須考慮加上幾個其他設定。 這些設定無法透過本機原則套用,所以必須以手動方式在所有堡壘主機伺服器上完成。 #### 手動將唯一安全性群組新增至使用者權利指派 透過 MSBP 套用的大多數使用者權利指派,在本指南隨附的安全性範本中均已指定適當的安全性群組。 然而,有些帳戶和安全性群組無法包含在範本中,因為它們的安全性識別元 (SID) 是個別 Windows Server 2003 網域特有的識別碼。 下表中的使用者權利指派設定必須手動完成。 **警告**:下表包含內建 Administrator 帳戶的值。 此帳戶不應該與內建 **Administrators** 安全性群組混淆。 如果將 **Administrators** 安全性群組加入到指定的 \[拒絕存取\] 使用者權利,您必須在本機登入以修正錯誤。 此外,內建的 Administrator 帳戶可能已經依照第 4 章<成員伺服器基準線原則>中所建議而重新命名。當您將 Administrator 帳戶加入到使用者權利中時,請確定指定重新命名後的帳戶。 **表 12.3 手動新增使用者權利指派**

設定 傳統用戶端 企業用戶端 專業安全性限制功能
拒絕從網路存取這台電腦 內建 Administrator、Support_388945a0、 Guest、所有非作業系統服務帳戶 內建 Administrator、Support_388945a0、 Guest、所有非作業系統服務帳戶 內建 Administrator、Support_388945a0、 Guest、所有非作業系統服務帳戶

重要:「所有非作業系統服務帳戶」包括用於全企業特定應用程式的服務帳戶,但不包括 LOCAL SYSTEM、LOCAL SERVICE 或 NETWORK SERVICE 帳戶 (作業系統所使用的內建帳戶)。

保護已知帳戶

Windows Server 2003 SP1 有一些無法刪除但可以重新命名的內建使用者帳戶。 Windows Server 2003 內兩個最眾所皆知的內建帳戶是 Guest 和 Administrator。

在預設的情況下,Guest 帳戶在成員伺服器和網域控制站上,都是停用狀態。 此設定不得變更。 各種型態的惡意程式碼會先利用內建的 Administrator 帳戶來嘗試入侵伺服器。 因此,您應該重新命名內建 Administrator 帳戶並修改其說明,以防攻擊者利用此已知帳戶對遠端伺服器進行攻擊。

此設定變更的值在過去幾年中已經降低,因為已有攻擊工具能透過指定內建 Administrator 帳戶的安全性識別元 (SID) 來判斷真實名稱,然後嘗試破解伺服器。 SID 是用於明確識別網路上每一個使用者、群組、電腦帳戶以及登入工作階段的一個值。 此內建帳戶的 SID 無法變更。 如果以唯一名稱重新命名了此 Administrator 帳戶,操作群組就能輕易監視對此帳戶的攻擊嘗試。

保障堡壘主機伺服器上已知帳戶的安全性

  • 將每部伺服器的 Administrator 與 Guest 帳戶重新命名,然後將密碼變更為既長又複雜的值。

  • 每個伺服器都使用不同的名稱及密碼。 如果在所有伺服器都使用相同的帳戶名稱與密碼,攻擊者只要取得一部伺服器的存取權限之後,就能存取所有其他伺服器。

  • 將帳戶說明變更成不同於預設值的說明,以協助防止帳戶易於識破。

  • 在安全的地方記錄您所作的任何變更。

錯誤報告

表 12.4 建議的錯誤報告設定

設定 傳統用戶端 企業用戶端 專業安全性限制功能
關閉 Windows 錯誤報告 已啟用 已啟用 已啟用
此服務可協助 Microsoft 追蹤和處理錯誤。 您可以設定這個服務,產生作業系統錯誤、Windows 元件錯誤或程式錯誤的報告。 此服務僅在 Windows XP Professional 和 Windows Server 2003 中可用。 **Error Reporting** 服務可透過網際網路向 Microsoft 報告這類錯誤,或向內部檔案共用報告錯誤。 雖然錯誤報告可能會包含敏感 (甚至是機密) 的資料,但 Microsoft 有關錯誤報告的隱私權政策會確保 Microsoft 不會不當使用這些資料。 但由於資料是以純文字 HTTP 形式傳輸,因此可能會在網際網路上遭到攔截和被第三方檢視。 \[關閉 Windows 錯誤報告\] 設定可控制 **Error Reporting** 服務是否要傳輸任何資料。 您可在 Windows Server 2003 的 \[群組原則物件編輯器\] 中的下列位置設定此原則設定: **電腦設定\\系統管理範本\\系統\\網際網路通訊管理\\網際網路通訊設定** 對於本指南所定義的三種環境,請在 BHLP 中將 \[關閉 Windows 錯誤報告\] 設定設為 \[已啟用\]。 [](#mainsection)[回到頁首](#mainsection) ### 使用 SCW 建立原則 若要部署必要的安全性設定,您必須使用安全性設定精靈 (SCW) 和本指南之下載版本中所包含的安全性範本來建立伺服器原則。 建立您自己的原則時,請務必略過 \[登錄設定\] 和 \[稽核原則\] 區段。 上述設定均為安全性範本針對您所選的環境所提供的設定。 您必須使用此方法,以確保範本所提供的原則元素優先於 SCW 所設定的原則元素。 您應該使用新安裝的作業系統來開始設定工作,以確保不會誤用之前設定的舊設定或軟體。 如有可能,您應該使用您用於部署的類似硬體,以儘量確保相容性。 新安裝的電腦稱為「參照電腦」。 在伺服器原則建立過程中,您可從偵測到的角色清單中移除檔案伺服器角色。 此角色通常是在不需要此角色的伺服器上設定,因此可將其視為一種安全性風險。 若要為需要檔案伺服器角色的伺服器啟用此角色,您可以套用本程序稍後的第二個原則。 **建立堡壘主機原則** 1. 在一台新的參照電腦上安裝 Windows Server 2003 SP1。 2. 在新電腦上,透過 \[控制台\]、\[新增/移除程式\]、\[新增/移除 Windows 元件\] 來安裝「安全性設定精靈」元件。 3. 僅安裝和設定每個堡壘主機都要有的強制應用程式。 範例包括防毒或反間諜軟體公用程式。 4. 啟動 SCW GUI,然後選取 \[建立新原則\],然後指向參照電腦。 5. 確保偵測到的伺服器角色適合堡壘主機 (例如,網頁伺服器)。 將其他伺服器角色全部移除。 6. 確保偵測到的用戶端功能適用於您的環境。 將不必要的用戶端功能全部移除。 例如,請將「Microsoft 網路用戶端」與「DHCP 用戶端」功能移除,以減少伺服器受攻擊的風險。 7. 為獲得最佳防護,將 \[Windows 防火牆\] 除外的系統管理選項全部移除。 額外的選項雖可增加堡壘主機的管理性,但也會增加堡壘主機受攻擊的風險。 請將對堡壘主機的正常運作而言,並非必要的選項可帶來的益處,與其可能對安全性造成的潛在風險兩者之間仔細加以權衡。 8. 確定已偵測到基準線所需的任何其他服務,例如:備份代理程式或防毒軟體。 9. 決定如何在環境中處理未指定的服務。 如要增強安全性,您可能要將此原則設定設為 \[已停用\]。 將此設定部署到生產網路中之前,應先對其進行測試。如果生產伺服器執行其他未複製到參照電腦上的服務,此設定可能會導致問題發生。 10. 確定在 \[網路安全性\] 區段中未選取 \[略過此區段\] 核取方塊,然後按 \[下一步\]。 之前識別出的適當連接埠和應用程式已設定為 Windows 防火牆的例外狀況。 除了堡壘主機運作所必要的連接埠之外,其餘的連接埠全部取消核取。 11. 在 \[登錄設定\] 區段中,按一下 \[略過此區段\] 核取方塊,然後按一下 \[下一步\]。 這些原則設定會從提供的 INF 檔案中匯入。 12. 在 \[稽核原則\] 一節中,按一下 \[略過此區段\] 核取方塊,然後按一下 \[下一步\]。 這些原則設定會從提供的 INF 檔案中匯入。 13. 納入適當的安全性範本 (例如,SSLF-Bastion Host.inf)。 14. 以適當的名稱儲存原則 (例如,Bastion Host.xml)。 #### 使用 SCW 測試原則 建立並儲存原則之後,Microsoft 強烈建議您將原則部署到測試環境中。 在理想的情況下,您的測試伺服器會擁有與生產伺服器相同的硬體和軟體設定。 此方法可幫您找出並解決潛在的問題,例如,存在特定硬體裝置所需的非預期服務。 因為處於堡壘主機角色的電腦並未連線至網域,所以您必須以 SCW 套用設定。 沒有網域的情形無法使用群組原則。 經過測試的原則可以確保將此原則套用到目標伺服器之後,不會對其重要功能造成負面影響。 套用設定變更後,您應該開始確認電腦的核心功能。 例如,如果將伺服器設定為憑證授權單位 (CA),請確定用戶端可以要求和獲得憑證、下載憑證撤銷清單等。 確定原則設定後,您即可按照下列程序所示,使用 Scwcmd 將原則轉換成 GPO。 如需如何測試 SCW 原則的詳細資料,請參閱[安全性設定精靈部署指南](https://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/scwdeploying/5254f8cd-143e-4559-a299-9c723b366946.mspx) (英文),網址為:www.microsoft.com/technet/prodtechnol/windowsserver2003/ library/SCWDeploying/5254f8cd-143e-4559-a299-9c723b366946.mspx 和[安全性設定精靈說明文件](https://go.microsoft.com/fwlink/?linkid=43450) (英文),網址為:https://go.microsoft.com/fwlink/?linkid=43450。 #### 執行原則 在您徹底測試原則之後,請完成下列步驟加以執行: 1. 啟動 SCW GUI。 2. 選取 \[套用現有的安全性原則\]。 3. 選取您早先建立的 XML 檔。 例如,Bastion Host.xml。 4. 完成 SCW 精靈以套用設定。 請注意,如果 SCW 安全性原則檔案包含 Windows 防火牆設定,則您必須在本機電腦上啟用 Windows 防火牆,才能成功完成此程序。 若要確認是否已啟用 Windows 防火牆,請開啟 \[控制台\],然後連按兩下 \[Windows 防火牆\]。 此時,請執行最後測試,以確定 SCW 套用了所需的設定。 若要完成此程序,請確認已設定適當的設定,並且功能不受影響。 [](#mainsection)[回到頁首](#mainsection) ### 總結 由於執行 Windows Server 2003 SP1 的堡壘主機伺服器未受其他裝置 (例如防火牆) 保護,因此會暴露在外界的攻擊風險中。 必須儘可能保障它們的安全,以提供最大的可用性,並將受到危害的可能性減到最小。 最安全的堡壘主機伺服器限定唯有高度信任的帳戶才能存取,並且僅啟用為了完整執行功能而必備的服務。 本章解說的設定與程序可用來強化堡壘主機伺服器,並提高其安全性。 其中許多設定可以透過本機群組原則套用。 此外,內文也提供如何配置與套用手動設定的指引。 #### 其他資訊 下列連結提供的各個主題,有助於強化執行 Windows Server 2003 SP1 的堡壘主機伺服器。 - 如需有關建立私人網路的詳細資訊,請參閱[防火牆與虛擬私人網路](https://www.wiley.com/legacy/compbooks/press/0471348201_09.pdf) (英文),作者 Elizabeth D. Zwicky、Simon Cooper 及 Brent D. Chapman 等,網址 www.wiley.com/legacy/compbooks/press/0471348201\_09.pdf。 - 如需有關防火牆與安全性的詳細資訊,請參閱[網際網路防火牆與安全性 - 技術概觀](https://www.itmweb.com/essay534.htm) (英文),作者 Chuck Semeria,網址 www.itmweb.com/essay534.htm。 - 如需有關深度防禦模型的詳細資訊,請參閱美國 陸軍[關於深度防禦](https://usmilitary.about.com/careers/usmilitary/library/glossary/d/bldef01834.htm) (英文)網頁,網址 https://usmilitary.about.com/careers/usmilitary/library/glossary/d/bldef01834.htm。 - 如需有關防禦入侵者的詳細資訊,請參閱[入侵者偵測檢查清單](https://www.cert.org/tech_tips/intruder_detection_checklist.html) (英文),作者 Jay Beale,網址 www.cert.org/tech\_tips/intruder\_detection\_checklist.html。 - 如需有關如何強化堡壘主機的詳細資訊,請參閱 SANS Info Sec Reading Room 的文章[強化堡壘主機](https://www.sans.org/rr/whitepapers/basics/420.php) (英文),網址 www.sans.org/rr/whitepapers/basics/420.php。 - 如需有關堡壘主機的更多資訊,請參閱[堡壘主機如何運作](https://thor.info.uaic.ro/~busaco/teach/docs/intranets/ch16.htm) (英文),網址 https://thor.info.uaic.ro/~busaco/teach/docs/intranets/ch16.htm。 - 如需有關如何疑難排解「安全性設定及分析」工具的詳細資訊,請參閱 Microsoft 知識庫文章[匯入多個範本到安全性設定及分析工具中之後的問題](https://support.microsoft.com/?kbid=279125) (英文),網址 https://support.microsoft.com/?kbid=279125。 - 如需有關站台安全性的詳細資訊,請參閱[站台安全性手冊](https://www.faqs.org/rfcs/rfc2196.html) (英文),網址 www.faqs.org/rfcs/rfc2196.html。 **下載** [取得 Windows Serve 2003 安全性指南](https://go.microsoft.com/fwlink/?linkid=14846) **更新通知** [註冊以瞭解更新和新版本](https://go.microsoft.com/fwlink/?linkid=54982) **意見** [請將您的意見或建議傳送給我們](mailto:secwish@microsoft.com?subject=windows%20server%202003%20安全性指南) [](#mainsection)[回到頁首](#mainsection)