Windows Server 2003 安全性指南

  • 發行項

概觀

更新日期: 2006 年 7 月 17 日

更新版《Windows Server 2003 安全性指南》內容中提出具體建議,說明如何強化三種不同的企業環境中,執行 Microsoft® Windows Server™ 2003 SP1 的電腦。這三種環境其一必須支援舊版作業系統 (例如 Windows NT® 4.0、Windows® 98),其二當中以 Windows 2000 為 Windows 作業系統的最早版本,其三對於安全性極為重視,以致於即使明顯喪失用戶端的功能性及可管理性,為了達到最高的安全性,仍視為可接受的折衷方式。 這三種環境在本指南全文中分別稱為傳統用戶端 (LC)、企業用戶端 (EC) 及專業安全性限制功能 (SSLF) 環境。

針對在這三種環境中如何強化電腦所提供的指南,是依照一組不同的伺服器角色所提供。 所述因應對策和所提供的工具均假設每個伺服器具有單一角色。 如果您必須在環境中結合一些伺服器的角色,可自訂本指南下載版本隨附的安全性範本,以建立服務及安全性選項的適當組合。 本指南所提及的伺服器角色包括下列幾種:

  • 也提供 DNS 服務的網域控制站

  • 提供 WINS 與 DHCP 服務的基礎結構伺服器

  • 檔案伺服器

  • 列印伺服器

  • 執行 Microsoft 網際網路資訊服務 (IIS) 的網頁伺服器

  • 網際網路驗證服務 (IAS) 伺服器

  • 憑證服務伺服器

  • 堡壘主機

本指南已善盡最大努力,條理分明地整理所有資訊,並使其更容易查閱,讓您很快就能找出所需的資訊,並判定究竟何種設定最適合您組織中的電腦。 雖然本指南是以企業客戶作為閱讀對象,但其中也有許多資訊適合各種規模的組織。

為了從此資料獲取最大的助益,建議您閱讀整份指南。 另請參閱同系列指南威脅與因應對策:Windows Server 2003 和 Windows XP 中的安全性設定,網址 https://go.microsoft.com/fwlink/?LinkId=15159。

本頁內容

誰應該閱讀本指南
指南概觀
相關資源
歡迎您提供意見
顧問與支援服務

誰應該閱讀本指南

本指南主要是針對負責替 Windows Server 2003 規劃應用程式或基礎結構進行開發和部署工作的顧問、安全性專家、系統架構設計師和 IT 專業人員。 本指南並不適用於家庭使用者。

安全性專家和 IT 架構設計師可能需要本指南中討論到的安全性設定的詳細資訊。 如需更多資訊,請參閱同系列指南威脅與因應對策:Windows Server 2003 和 Windows XP 中的安全性設定,網址 https://go.microsoft.com/fwlink/?LinkId=15159。

回到頁首

指南概觀

第 1 章:Windows Server 2003 安全性指南簡介

這一章介紹《Windows Server 2003 安全性指南》的執行摘要及每一章的簡短概觀。 文中也描述傳統用戶端、企業用戶端,以及專業安全性限制功能等環境,和在其中執行的電腦。

第 2 章:Windows Server 2003 強化機制

這一章概要說明在本指南中,用於強化 Windows Server 2003 SP1 的主要機制:安全性設定精靈 (SCW) 及 Active Directory 群組原則。 文中說明 SCW 如何提供互動架構,用來建立、管理及測試扮演不同伺服器角色的 Windows Server 2003 電腦的安全性原則。 本章還評估 SCW 在第 1 章中所述三種不同環境下的運作能力。

本章之中的下一部分對 Active Directory 的設計、組織單元 (OU) 的設計、群組原則物件 (GPO)、管理群組的設計,以及網域原則提出高層次的說明。 上述主題均已在第 1 章所述的三種不同環境中加以說明,以便提供安全最終狀態環境的概念。

本章總結本指南如何將 SCW 最佳功能與傳統 GPO 方法作結合,以達到強化 Windows Server 2003 SP1 的效能。

第 3 章:網域原則

本章說明在第 1 章所述的三種環境下,適用於網域層級原則的安全性範本設定和其他因應對策。 這一章未特別偏重任何特定的伺服器角色,主要說明適用於頂層網域原則的特定原則和設定。

第 4 章:成員伺服器基準線原則

這一章著眼於如何為本指南後段所討論的伺服器角色建立「成員伺服器基準線原則 (MSBP)」。

第 5 章:網域控制站基準線原則

在任何含有執行 Windows Server 2003 SP1 之電腦的 Active Directory 環境中,網域控制站伺服器角色是確保安全性的重要角色之一。 網域控制站若有任何損失或損害,都可能嚴重危及需仰賴網域控制站進行驗證、群組原則及中央輕量型目錄存取協定 (LDAP) 目錄的用戶端電腦、伺服器及應用程式。 在本指南所定義的三種環境中,網域控制站也提供 DNS 服務。

第 6 章:基礎結構伺服器角色

這一章當中,基礎結構伺服器角色可提供 DHCP 或 WINS 服務。 本章詳細說明您環境中的 Windows Server 2003 SP1 基礎結構伺服器將如何受益於不是由成員伺服器基準線原則 (MSBP) 所套用的安全性設定。

第 7 章:檔案伺服器角色

這一章著眼於如何強化作為檔案伺服器使用的電腦,並說明為何強化這類伺服器是一大挑戰。 檔案伺服器所提供的最基本服務要求具備 Windows NetBIOS 相關通訊協定,與伺服器訊息區 (SMB) 和 Common Internet File System (CIFS) 通訊協定。 SMB 與 CIFS 通訊協定通常用來為經過驗證的使用者提供存取權限,但若保護不夠周延時,上述通訊協定也可能會向未經驗證的使用者或攻擊者洩漏大量資訊。 由於存在此威脅,高安全性環境中常會停用這些通訊協定。 本章說明執行 Windows Server 2003 SP1 的檔案伺服器將如何受益於不是由 MSBP 所套用的安全性設定。

第 8 章:列印伺服器角色

本章著重說明列印伺服器。 列印伺服器和檔案伺服器一樣,其基本服務也必須使用 Windows NetBIOS 相關通訊協定,以及 SMB 和 CIFS 通訊協定。 如前文所述,高安全性的環境常會停用 SMB 和 CIFS 通訊協定。 本章說明如何採用不是由 MSBP 套用安全性設定的方法來加強 Windows Server 2003 SP1 列印伺服器的安全性設定。

第 9 章:網頁伺服器角色

本章說明網站及應用程式的全面安全性如何要求整個 IIS 伺服器 (包括在 IIS 伺服器中執行的每個網站及應用程式) 從其環境中的用戶端電腦獲得保護。 此外也必須為網站及應用程式防範在同一部 IIS 伺服器中執行的其他網站及應用程式。 這一章說明如何確保在您環境中執行 Windows Server 2003 SP1 的 IIS 伺服器確實採取前述的措施。

第 10 章:IAS 伺服器角色

網際網路驗證伺服器 (IAS) 提供一種標準驗證通訊協定,稱為「遠端驗證撥入使用者服務」(RADIUS),此通訊協定專為確認由遠端存取網路的用戶端身分而設計。 本章說明執行 Windows Server 2003 SP1 的 IAS 伺服器將如何受益於不是由 MSBP 套用的安全性設定。

第 11 章:憑證服務伺服器角色

「憑證服務」提供在您伺服器環境中建立公開金鑰基礎結構 (PKI) 所需的加密及憑證管理服務。 本章說明執行 Windows Server 2003 SP1 的憑證服務伺服器將如何受益於不是由 MSBP 套用的安全性設定。

第 12 章:堡壘主機角色

堡壘主機伺服器可以透過網際網路供用戶端電腦存取。 這一章說明這些公開暴露的系統如何容易受到大量匿名使用者 (只要他們願意) 的攻擊。 因為許多組織並未將其網域基礎結構延伸至網際網路,所以這一章著眼於如何強化執行 Windows Server 2003 SP1 但不屬於 Active Directory 網域的獨立電腦。

第 13 章:結論

本指南的最末章簡明總結前章節所述的內容。

附錄 A:安全性工具和格式

雖然《Windows Server 2003 安全性指南》主要說明如何使用 SCW 建立隨後將轉換成安全性範本和群組原則物件的原則,但還有其他各種工具和資料格式可用來補充或取代此方法。 本附錄提供有關這類工具和格式的簡短清單。

附錄 B:應考量的金鑰設定

雖然《Windows Server 2003 安全性指南》討論多種安全性因應措施和安全性設定,但請務必瞭解,其中有幾點特別重要。 此附錄討論會對執行 Windows Server 2003 SP1 的電腦安全性產生重大影響的設定。

附錄 C:安全性範本設定摘要

此附錄介紹 Microsoft Excel® 試算表「Windows Server 2003 安全性指南設定」。該試算表連同其他工具及範本內含在本指南的下載版本,網址 https://go.microsoft.com/fwlink/?LinkId=14846。 這張試算表以精簡易用的形式,提出本指南所定義三種環境的所有建議設定,提供給您作為全盤的主要參考。

附錄 D:測試 Windows Server 2003 安全性指南

《Windows Server 2003 安全性指南》提供關於如何強化執行 Windows Server 2003 SP1 之伺服器的大量資訊,但文中也不時提醒讀者在實際執行的環境中建置任何設定前,一律務必先加以測試與驗證。

本附錄提供建立合適測試實驗室環境的相關指引,以確保在生產環境中成功實作建議設定。 此外,還會協助使用者執行必要驗證,並將執行所需的資源量降至最低。

工具及範本

在本指南的下載版本中,有一套安全性範本、指令碼,及其他工具,方便您的組織評估、測試,及建置此處所建議的因應措施。 安全性範本是一種文字檔案,可匯入到以網域為主的群組原則中,或透過 Microsoft 管理主控台 (MMC) 安全性設定和分析嵌入式管理單元在本機套用。 上述程序已在第 2 章<Windows Server 2003 強化機制>中詳細說明。本指南所述指令碼包含用來建立與連結群組原則物件的指令碼,以及用來測試建議因應對策的測試指令碼。

回到頁首

相關資源

如需關於本章所述之安全性設定的進一步資訊,請下載同系列指南威脅與因應對策:Windows Server 2003 和 Windows XP 中的安全性設定,網址 https://go.microsoft.com/fwlink/?LinkId=15160 以及 Windows XP 安全性指南,網址 https://go.microsoft.com/fwlink/?LinkId=14840。 請參閱 Microsoft Solutions for Security and Compliance (MSSC) 團隊提供的其他安全性解決方案 (英文),網址 www.microsoft.com/technet/community/columns/sectip/st0805.mspx。

回到頁首

歡迎您提供意見

Microsoft Solutions for Security and Compliance (MSSC) 團隊十分重視您對本解決方案及其他安全性解決方案的想法。

您有任何意見嗎? 請透過 IT 專業人員安全性解決方案網誌告訴我們。

或者,以電子郵件將您的意見寄至:SecWish@microsoft.com。 我們會定期回應傳送到這個信箱的意見。

我們期待收到您的意見。

回到頁首

顧問與支援服務

有多種可用服務可協助組織保護安全性。 使用下列連結可幫助您找到所需服務:

關於 Microsoft 黃金級認證夥伴、Microsoft 授權技術教育訓練中心、Microsoft 認證夥伴,以及使用 Microsoft 技術的獨立軟體廠商 (ISV) 的產品,請到 Microsoft 資源目錄進行搜尋,網址是:https://go.microsoft.com/fwlink/?LinkId=43094。

若要尋找組織所需的適當顧問與支援服務,請造訪 Microsoft 技術支援服務,網址是:https://support.microsoft.com/default.aspx?scid=fh;EN-US;msservices。

下載

取得 Windows Serve 2003 安全性指南

更新通知

註冊以瞭解更新和新版本

意見

請將您的意見或建議傳送給我們

回到頁首