Chinaunix首页 | 论坛 | 博客
  • 博客访问: 512652
  • 博文数量: 620
  • 博客积分: 40000
  • 博客等级: 大将
  • 技术积分: 4920
  • 用 户 组: 普通用户
  • 注册时间: 2008-10-16 18:35
文章分类

全部博文(620)

文章存档

2011年(1)

2008年(619)

我的朋友

分类:

2008-10-16 18:48:43


  概述
  
  因为文件提供的大多数重要服务都需要Microsoft? ? 网络基本输入/输出系统(NetBIOS)相关的支持,所以在强化文件的方面存在一些挑战。服务器消息块(SMB)和通用Internet文件系统(CIFS) 能给未经授权用户提供大量的信息。因此,我们经常建议在高性的环境中禁止文件服务器使用这些协议。但是,禁用这些协议可能给你的环境中的管理员和用户访问文件服务器造成一定的困难。
  
  本章下面的部分将详细描述文件服务器能够从中受益的一些安全性设置,这些设置都不能通过成员服务器基线策略(MSBP)得到应用。要了解更多关于MSBP的信息,可参阅第三章"创建成员服务器基线".
  
  审核策略设置
  
  在本指南定义的三种环境下,文件服务器的审核策略设置都是通过MSBP进行配置的。要了解更多关于MSBP的信息,可参阅第三章"创建成员服务器基线".MSBP设置确保所有相关的安全审核信息被会被所有文件服务器记录在日志中。
  
  用户权限分配
  
  在本指南定义的三种环境下,文件服务器的用户权限分配都是通过MSBP进行配置。要了解更多关于MSBP的信息,可参阅第三章"创建成员服务器基线".MSBP设置确保所有正确的用户权限分配都能够跨越不同文件服务器实现统一配置。
  
  安全选项
  
  在本指南定义的三种环境下,文件服务器的安全选项设置都是通过MSBP进行配置。要了解更多关于MSBP的信息,可参阅第三章"创建成员服务器基线".MSBP设置确保所有相关的安全选项设置能够跨越不同文件服务器实现统一配置。
  
  事件日志设置
  
  在本指南定义的三种环境下,文件服务器的事件日志设置都是通过MSBP进行配置。要了解更多关于MSBP的信息,可参阅第三章"创建成员服务器基线".
  
  系统服务
  
  任何服务和应用软件都是攻击的潜在目标,所以应该禁用或删除不需要的服务和可执行文件。在MSBP中,可选服务和不必要的服务都应该被禁用。
  
  在运行Microsoft Windows Server? 2003的文件服务器上,有一些不重要并且不必要的服务常常被启用。这些服务的使用及其安全性一直是人们争论的主题。为此,本指南所建议的文件服务器配置可能不适用于您的环境。您可以根据需要调整我们建议的文件服务器组策略以满足您所在组织的需求。
  
  分布式文件系统
  
  
表6.1:设置
   

  
  "分布式文件系统(DFS)"服务将完全不同的文件共享分配和集成到一个单一的逻辑名字空间。该服务管理跨越局域网或广域网(LAN)进行分布的逻辑卷,而且是 Active Directory 逻辑卷(SYSVOL)共享所必需的。
  
  名称空间是网络资源的一种逻辑表示方法,用户可以通过它访问这些资源。禁用DFS服务可以防止用户通过逻辑名字空间访问网络数据,访问网络数据的用户必须知道环境中所有服务器和共享资源的名称。
  
  文件服务器新增的组策略禁用了DFS服务,以便将环境中文件服务器可能遭到的外部攻击降到最小。为此,在本指南定义的所有安全环境中,您应该将 "分布式文件系统 "设置配置为"禁用".
  
  注:通过在文件服务器上使用DFS来简化分布式资源访问方式的企业和组织必须修改文件服务器的Incremental Group Policy(增量式组策略),或创建一个新的GPO来启用这种服务。
  
  文件复制服务
  
  
表6.2:设置
   

  
  "文件复制服务"(File Replication Service,FRS)可以自动复制文件并在多个服务器上同时进行保存。FRS是 Windows? 2000 and the Windows Server? 2003家族中的一种自动文件复制服务。这种服务复制所有域控制器中的系统卷。另外,您还可以对该服务进行配置,使其复制与容错DFS关联的备用目标中的文件。若禁用这种服务,文件复制将不再发生而服务器上的数据也不再进行同步。
  
  文件服务器新增的组策略禁用了FRS服务,以便将你所在环境中的文件服务器可能遭到的外部攻击降到最小。为此,在本指南定义的所有安全环境中,您应该将"文件复制服务"设置配置为"禁用".
  
  注意:通过在文件服务器上使用FRS来复制多个服务器上的数据的企业和组织必须修改文件服务器的Incremental Group Policy(增量式组策略),或者创建一个新的GPO来激活这种服务。
  
  其它安全性设置
  
  MSBP中应用的安全设置为文件服务器提供了大量的增强安全性。不过,您也需要考虑其它一些注意事项。这些步骤不能通过组策略来实施,而要在所有文件服务器上手动执行操作。
  
  保护众所周知帐户的安全
  
  Microsoft Windows Server? 2003具有大量的内置用户帐户,这些帐户不能被删除,但是可以被重命名。Windows 2003中最常用的两个内置帐户是Guest 和 Administrator 帐户。
  
  Guest 帐户在成员服务器和域控制器上缺省为禁用状态。此设置不应该被更改。内置的Administrator 帐户应该被重命名并改变描述,以防止攻击者利用该帐户危及远程服务器的安全。 许多恶意代码的变种使用内置的管理员帐号,企图窃取服务器的秘密。在近几年来,进行上述重命名配置的意义已经大大降低了,因为出现了很多新的攻击工具,这些工具企图通过指定内置 Administrator 账户的安全标识(SID)来确定该帐户的真实姓名,从而侵占服务器。SID是识别每个用户、组、计算机帐户和网络会话的唯一值。要改变内置的帐户SID 是不可能的。您可以使用一个特别的名字重新命名本地的Administrator帐户,以便能够更容易地监控对该帐户的攻击行为。
  
  1. 重新命名Administrator和Guest 帐户,然后将每个域和服务器的密码修改为长且复杂的值。
  
  2. 为每个服务器使用不同的名字和密码。如果所有的域和服务器使用同一个帐户名和密码,取得其中一台服务器访问权的攻击者就可以用相同的帐户名和密码取得其它域和服务器的访问权。
  
  3. 改变缺省的帐户描述,以防止帐户被轻易识别。
  
  4. 在安全的地方记录这些改变。
  
  注意:内置的Administrator帐户可以通过组策略重新命名。本指南提供的所有安全模板都没有对该设置进行配置,因为你应该根据您所在环境的需要选择一个特别的名字。在本指南定义的三种环境中,"帐户:重新命名administrator帐户"设置都应该被配置为对Administrator帐户进行重命名。这个设置是组策略安全选项设置的一部分。
  
  保护服务帐户的安全性
  
  除非绝对必要,否则不要配置在域帐号安全性背景之下运行的服务。如果服务器的物理安全受到破坏,域账户密码可以很容易通过转储本地安全性授权(LSA)秘文而获得。
  
  用IPSec过滤器阻断端口
  
  Internet协议安全(IPSec)过滤器能为提高服务器的安全级别提供一条有效途径。本指南推荐在其定义的高安全性环境中使用该选项,以便进一步减少服务器的攻击表面积。
  
  要了解更多关于IPSec过滤器的使用信息,请参看"威胁与对策:Windows Server 2003和Windows XP的安全设置 "的第11章"其它成员服务器的强化程序".
  
  下表列出了可在本指南定义的高安全性环境中的文件服务器上创建的所有IPSec过滤器。
  
  
表6.3:文件服务器IPSec网络流量图
   

  
  在执行上表列出的所有规则时都应该进行镜像处理。以确保进入服务器的所有网络流量也可以返回到源服务器。
  
  上表描述了为服务器执行特别任务功能所需打开的基本端口。如果服务器使用静态IP地址,这些端口已经足够使用了。如果需要提供其它功能,您可能需要打开其它端口。打开其它端口可使你环境中的文件服务器更容易管理,不过,它们可能大大降低这些服务器的安全性。
  
  因为域成员和域控制器之间具有大量的交互操作,在特殊的RPC和身份验证通信中,您需要允许文件服务器和所有域控制器之间的所有通信。通信还可以被进一步限制,但是大多数环境都需要为有效保护服务器而创建更多的过滤器。这使得IPSec策略的执行和管理更为困难。与一个文件服务器相关的所有域控制器都要创建相似的规则。为了提高文件服务器的可靠性和可用性,您需要为环境中的所有域控制器添加更多规则。
  
  如上所述,如果在环境中运行Microsoft Operation Manager(MOM),运行IPSec过滤器的服务器和MOM服务器之间的所有网络通信都必须被允许通过。这一点十分重要,因为MOM服务器和OnePoint客户——向MOM控制台提供报告的客户端应用程序——之间具有大量的交互行为。其它的管理软件可能也有相似的要求。如果您需要更高级别的安全性,OnePoint客户过滤操作可以被配置为就IPSec和MOM服务器进行协商。
  
  IPSec策略可以阻止任意一个高端口的通信,因此,您将无法进行远程过程调用(RPC)通信。这使得服务器的管理更加困难。因为已经有效关闭了如此之多的端口,您可以启用终端访问,以方便管理员进行远程管理。
  
  上面的网络流量图假定环境中包括启用了DNS服务器的Active Directory.如果使用静态DNS服务器,您还需要设定其它规则。
  
  执行IPSec策略不会对服务器的性能产生太大影响。不过,在执行这些过滤前要应该首先进行测试,以便确保服务器的必要功能和性能得以保持。如果需要支持其它应用软件,您需要添加其它规则。
  
  本指南包括一个。cmd文件,它简化了依照指南要求为域控制器创建IPSec过滤器的过程。PacketFilters-File.cmd文件使用NETSH命令创建适当的过滤器。您必须修改。cmd文件以使它包括您所在环境域控制器的IP地址。脚本为即将添加的域控制器提供了两个占位符。如果需要,您还可以添加其它的域控制器。域控制器的IP地址列表必须是最新的。
  
  如果环境中有MOM,那么相应的MOM服务器的IP地址也必须列入脚本。这个脚本不会创建永久性的过滤器。因此,除非IPSec策略代理开始运行,否则服务器是不受保护的。要了解更多关于建立永久性的过滤器或创建更高级IPSec过滤脚本的信息,可参阅"威胁和对策:Windows Server 2003和Windows XP的安全设置 "第11章中的"其它成员服务器的强化程序"部分。最后,该脚本被配置为不对其创建的IPSec策略进行分配。IP安全策略管理单元可用来检查它创建的IPSec过滤器和分配IPSec策略以便使其生效。
  
  总结
  
  本章阐述了在本指南所定义的三种环境中保护文件服务器安全所需采取得一些服务器强化设置。所论述的大多数设置都通过组策略来进行配置和应用的。能够对MSBP进行有益补充的组策略对象(GPO)将被链接到包含文件服务器的相应组织单位(OU),以便为这些服务器提供的服务赋予更多的安全性。
  
  本文所论述的有些设置不能使用组策略来进行应用。在这些情况下,本文提供了手动配置这些设置的详细信息。此外,我们还详细介绍了创建和应用能够控制文件服务器间网络通信类型的IPSec过滤器的具体过程。
【责编:admin】

--------------------next---------------------

阅读(404) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~