强化Win2003文件服务器
本模块适用于下列产品和技术:
Windows Server 2003
如何使用本模块
使用本模块您可以了解应用于基于 Windows Server 2003 的文件服务器的安全设置。本模块使用多个角色特定安全模板和一个基准安全模板。安全模板来自“Windows Server 2003 Security Guide”。
为了更好地理解本模块的内容,请:
阅读模块 Windows Server 2003 安全性简介。该模块描述了“Windows Server 2003 Security Guide”的目的和内容。
阅读模块创建 Windows Server 2003 服务器的成员服务器基准。该模块演示了使用组织单位和组策略将成员服务器基准应用于多个服务器的过程。
概述
由于文件服务器提供的大多数重要服务都需要 Microsoft? Windows? 网络基本输入/输出系统 (NetBIOS) 相关协议的支持,因此在进一步强化文件服务器上存在一些挑战。服务器消息块 (SMB) 协议和通用 Internet 文件系统 (CIFS) 协议可以为没有经过身份验证的用户提供丰富的信息。因此,常常建议在高安全性的 Windows 环境中禁止文件服务器使用这些协议。但是,禁用这些协议可能给您的环境中的管理员和用户访问文件服务器造成一定的困难。
本模块后面的部分将详细描述文件服务器可从安全设置中受益的内容,这些安全设置不是通过成员服务器基准策略 (MSBP) 得到应用的。有关 MSBP 的详细信息,请参阅模块创建 Windows Server 2003 服务器的成员服务器基准。
审核策略设置
在本指南定义的三种环境下,文件服务器的审核策略设置都是通过 MSBP 进行配置。有关 MSBP 的详细信息,请参阅模块创建 Windows Server 2003 服务器的成员服务器基准。MSBP 设置确保了在全部的文件服务器上记录所有相关的安全性审核信息。
用户权限分配
在本指南定义的三种环境下,文件服务器的用户权限分配都是通过 MSBP 进行配置。有关 MSBP 的详细信息,请参阅模块创建 Windows Server 2003 服务器的成员服务器基准。MSBP 设置确保所有适当的用户权限可以跨越所有文件服务器实现统一配置。
安全选项
在本指南定义的三种环境下,文件服务器的安全性选项设置都是通过 MSBP 进行配置。有关 MSBP 的详细信息,请参阅模块创建 Windows Server 2003 服务器的成员服务器基准。MSBP 设置确保所有相关的安全性选项设置可以跨越所有文件服务器实现统一配置。
事件日志设置
在本指南定义的三种环境下,文件服务器的事件日志设置都是通过 MSBP 进行配置。有关 MSBP 的详细信息,请参阅模块创建 Windows Server 2003 服务器的成员服务器基准。
系统服务
任何服务或应用程序都是一个潜在的攻击点,因此,应该禁用或删除所有不需要的服务或可执行文件。在 MSBP 中,这些可选服务以及所有不必要的服务都禁用。
在运行 Microsoft Windows Server 2003 的文件服务器上,经常还有其他一些服务被启用,但是,这些服务不是必需的。这些服务的使用及其安全性一直是人们争论的主题。为此,本指南所建议的文件服务器配置可能不适用于您的环境。可以根据需要调整我们建议的文件服务器组策略以满足您组织机构的需求。
Distributed File System
表 1:设置
Distributed File System (DFS) 服务管理分布在局域网 (LAN) 或广域网 (WAN) 的逻辑卷,而且是 Microsoft Active Directory? 目录服务 SYSVOL 共享所必需的。DFS 是将完全不同的文件共享集成为一个逻辑命名空间的分布式服务。
命名空间是网络存储资源的一种逻辑表示方法,这些网络存储资源对网络中的用户都可用。禁用 DFS 服务可以防止用户通过逻辑命名空间访问网络数据,要求用户必须知道环境中所有服务器和共享资源的名称才可以访问网络数据。
文件服务器增量式组策略禁用了 DFS 服务,以便将环境中文件服务器遭到的攻击面降到最小。为此,在本指南所定义的所有安全环境中,应该将 Distributed File System 设置配置为“禁用”。
注意:通过在文件服务器上使用 DFS 简化分布式资源访问方式的组织机构必须修改文件服务器的增量式组策略,或者创建一个新的 GPO 来启用该服务。
File Replication Service
表 6.2:设置
File Replication Service (FRS) 可以自动复制文件并在多个服务器上同时进行保存。FRS 是 Microsoft? Windows? 2000 操作系统和 Windows Server 2003 家族中的一种自动文件复制服务。这种服务复制所有域控制器中的系统卷 (Sysvol)。另外,您还可以对该服务进行配置,使其复制与容错 DFS 关联的备用目标中的文件。若禁用这种服务,文件复制将不再发生而服务器上的数据也不再进行同步。
文件服务器增量式组策略禁用了 FRS 服务,以便将您所在环境中文件服务器遭到的攻击表面积降到最小。为此,在本指南定义的所有安全环境中,应该将 File Replication Service 设置配置为“禁用”。
注意:通过在文件服务器上使用 FRS 复制多个服务器上的数据的组织必须修改文件服务器的增量式组策略,或者创建一个新的 GPO 来启用该服务。
其他安全性设置
MSBP 中应用的安全设置为文件服务器提供了大量的增强安全性。不过,您也需要考虑其他一些注意事项。这些步骤不能通过组策略来实施,而要在所有文件服务器上手动执行操作。
保护众所周知帐户的安全
Microsoft Windows Server 2003 中具有大量的内置用户帐户,不能将其删除,但可以重命名。Windows 2003 中最常用的两个内置帐户是“来宾”帐户和“管理员”帐户。
默认情况下,“来宾”账户在成员服务器和域控制器上为禁用状态。不应该将此设置更改。您应该对内置的“管理员”账户重命名并改变其描述,以阻止攻击者利用一个众所周知的帐户危及远程服务器的安全。
最初,许多恶意代码的变种使用内置的管理员帐号,企图破坏服务器。近几年来,进行上述重命名配置的意义已经降低了,因为出现了很多新的攻击工具,这些工具企图通过指定内置 “管理员”账户的安全标识符 (SID) 确定该帐户的真实姓名,从而侵入服务器。SID 是识别每个用户、组、计算机帐户和网络上登录会话的唯一值。不可能更改内置帐户的 SID。将本地管理员帐户重命名为唯一的名称,操作部门就可以轻松监控攻击该帐户的企图。
要保护文件服务器上的常用账户,您应当:
1. 重新命名“管理员”帐户和“来宾”账户,然后在每个域和服务器上将其密码更改为长且复杂的值。
2. 在每个服务器上使用不同的名称和密码。如果所有的域和服务器使用同一个帐户名和密码,则取得其中一台成员服务器访问权的攻击者就可以用相同的帐户名和密码取得其他域和服务器的访问权。
3. 改变默认的帐户描述,以防止帐户被轻易识别。
4. 在安全的位置记录这些更改。
注意:可通过组策略重命名内置的“管理员”帐户。由于应该为您的环境选择一个唯一的名称,因此本指南所提供的所有安全模板中都没有对此设置进行配置。在本指南定义的三种环境中,都可以将“账户:重命名管理员帐户”设置配置为重命名管理员帐户。此设置是组策略安全选项设置的一部分。
保护服务账户
除非绝对必要,否则不要配置在域帐号安全性背景之下运行的服务。如果服务器的物理安全受到破坏,域账户密码可以很容易通过转储本地安全性机构 (LSA) 秘文而获得。
用 IPSec 过滤器阻断端口
Internet 协议安全 (IPSec) 过滤器能为提高服务器的安全级别提供一条有效途径。本指南推荐在其定义的高安全性环境中使用该选项,以便进一步减少服务器的攻击表面积。
有关 IPSec 过滤器使用的详细信息,请参阅模块其他成员服务器强化过程。
下表列出了可在本指南定义的高安全性环境中的文件服务器上创建的所有 IPSec 过滤器。
表 3:文件服务器 IPSec 网络流量图
在执行上表列出的所有规则时都应该进行镜像处理。这可以确保进入服务器的所有网络流量也可以返回到源服务器。
上表描述了为服务器执行特别任务功能所需打开的基本端口。如果服务器使用静态 IP 地址,这些端口已经足够使用了。如果需要提供其他功能,可能需要打开其他端口。打开其他端口可使您环境中的文件服务器更容易管理,不过,它们可能大大降低这些服务器的安全性。
由于域成员和域控制器之间具有大量的交互操作,因此在特殊的 RPC 和身份验证通信中,您需要允许文件服务器和所有域控制器之间的所有通信。还可以将通信进一步限制,但是大多数环境都需要为有效保护服务器而创建更多的过滤器。这使得 IPSec 策略的执行和管理更为困难。与一个文件服务器相关的所有域控制器都要创建相似的规则。为了提高文件服务器的可靠性和可用性,您需要为环境中的所有域控制器添加更多规则。
如上所述,如果在环境中运行 Microsoft Operation Manager (MOM),则必须允许通过运行 IPSec 过滤器的服务器和 MOM 服务器之间的所有网络通信。这一点十分重要,因为 MOM 服务器和 OnePoint 客户 — 向 MOM 控制台提供报告的客户端应用程序 — 之间具有大量的交互行为。其他的管理软件可能也有相似的要求。如果需要更高级别的安全性,可以将 OnePoint 客户过滤操作配置为就 IPSec 同 MOM 服务器进行协商。
IPSec 策略可以有效地阻止任意一个高端口的通信,因此,将无法进行远程过程调用 (RPC) 通信。这使得服务器的管理更加困难。由于已经有效关闭了如此之多的端口,因此可以启用终端服务。这将使管理员能够进行远程管理。
上面的网络流量图假定环境中包括启用了 DNS 服务器的 Active Directory。如果使用独立的 DNS 服务器,可能还需要设定其他规则。
执行 IPSec 策略不会对服务器的性能产生明显的影响。但是,在执行这些过滤器前应首先进行测试,以验证服务器的必要功能和性能是否得以维持。如果要支持其他应用软件,还可能需要添加其他规则。
本指南包括一个 .cmd 文件,该文件简化了为文件服务器创建 IPSec 过滤器的过程。“PacketFilters-File.cmd”文件使用 NETSH 命令创建适当的过滤器。必须修改 .cmd 文件以使它包括环境中域控制器的 IP 地址。脚本为即将添加的域控制器提供了两个占位符。如果需要,还可以添加其他的域控制器。域控制器的 IP 地址列表必须是最新的。
如果环境中有 MOM,那么相应的 MOM 服务器的 IP 地址也必须列入脚本。这个脚本不会创建永久性的过滤器。因此,除非 IPSec 策略代理开始运行,否则服务器是不受保护的。有关生成永久性的过滤器或创建更高级 IPSec 过滤脚本的详细信息,请参阅模块其他成员服务器强化过程。最后,将该脚本配置为不对其创建的 IPSec 策略进行分配。IP 安全策略管理单元可用于检查它创建的 IPSec 过滤器和分配 IPSec 策略以便使其生效。
小结
本模块讲述了在本指南所定义的三种环境中保护文件服务器安全所需采取的服务器强化设置。所论述的大多数设置都是使用组策略进行配置和应用的。您可以将能够对 MSBP 进行有益补充的组策略对象 (GPO) 链接到包含文件服务器的相应组织单位 (OU) 中,以便为这些服务器提供的服务赋予更多的安全性。
本指南所论述的一些设置不能使用组策略进行应用。在这些情况下,本指南提供了有关手动配置这些设置的详细信息。此外,本指南还提供了创建和应用能够控制文件服务器间网络通信类型的 IPSec 过滤器的详细信息。