本模塊適用于下列產(chǎn)品和技術(shù)：

Windows Server 2003

如何使用本模塊

使用本模塊您可以了解應(yīng)用于基于 Windows Server 2003 的文件服務(wù)器的安全設(shè)置。本模塊使用多個角色特定安全模板和一個基準安全模板。安全模板來自“Windows Server 2003 Security Guide”。

為了更好地理解本模塊的內(nèi)容，請：

閱讀模塊 Windows Server 2003 安全性簡介。該模塊描述了“Windows Server 2003 Security Guide”的目的和內(nèi)容。

閱讀模塊創(chuàng)建 Windows Server 2003 服務(wù)器的成員服務(wù)器基準。該模塊演示了使用組織單位和組策略將成員服務(wù)器基準應(yīng)用于多個服務(wù)器的過程。

概述

由于文件服務(wù)器提供的大多數(shù)重要服務(wù)都需要 Microsoft? Windows? 網(wǎng)絡(luò)基本輸入/輸出系統(tǒng) (NetBIOS) 相關(guān)協(xié)議的支持，因此在進一步強化文件服務(wù)器上存在一些挑戰(zhàn)。服務(wù)器消息塊 (SMB) 協(xié)議和通用 Internet 文件系統(tǒng) (CIFS) 協(xié)議可以為沒有經(jīng)過身份驗證的用戶提供豐富的信息。因此，常常建議在高安全性的 Windows 環(huán)境中禁止文件服務(wù)器使用這些協(xié)議。但是，禁用這些協(xié)議可能給您的環(huán)境中的管理員和用戶訪問文件服務(wù)器造成一定的困難。

本模塊后面的部分將詳細描述文件服務(wù)器可從安全設(shè)置中受益的內(nèi)容，這些安全設(shè)置不是通過成員服務(wù)器基準策略 (MSBP) 得到應(yīng)用的。有關(guān) MSBP 的詳細信息，請參閱模塊創(chuàng)建 Windows Server 2003 服務(wù)器的成員服務(wù)器基準。

審核策略設(shè)置

在本指南定義的三種環(huán)境下，文件服務(wù)器的審核策略設(shè)置都是通過 MSBP 進行配置。有關(guān) MSBP 的詳細信息，請參閱模塊創(chuàng)建 Windows Server 2003 服務(wù)器的成員服務(wù)器基準。MSBP 設(shè)置確保了在全部的文件服務(wù)器上記錄所有相關(guān)的安全性審核信息。

用戶權(quán)限分配

在本指南定義的三種環(huán)境下，文件服務(wù)器的用戶權(quán)限分配都是通過 MSBP 進行配置。有關(guān) MSBP 的詳細信息，請參閱模塊創(chuàng)建 Windows Server 2003 服務(wù)器的成員服務(wù)器基準。MSBP 設(shè)置確保所有適當?shù)挠脩魴?quán)限可以跨越所有文件服務(wù)器實現(xiàn)統(tǒng)一配置。

安全選項

在本指南定義的三種環(huán)境下，文件服務(wù)器的安全性選項設(shè)置都是通過 MSBP 進行配置。有關(guān) MSBP 的詳細信息，請參閱模塊創(chuàng)建 Windows Server 2003 服務(wù)器的成員服務(wù)器基準。MSBP 設(shè)置確保所有相關(guān)的安全性選項設(shè)置可以跨越所有文件服務(wù)器實現(xiàn)統(tǒng)一配置。

事件日志設(shè)置

在本指南定義的三種環(huán)境下，文件服務(wù)器的事件日志設(shè)置都是通過 MSBP 進行配置。有關(guān) MSBP 的詳細信息，請參閱模塊創(chuàng)建 Windows Server 2003 服務(wù)器的成員服務(wù)器基準。

系統(tǒng)服務(wù)

任何服務(wù)或應(yīng)用程序都是一個潛在的攻擊點，因此，應(yīng)該禁用或刪除所有不需要的服務(wù)或可執(zhí)行文件。在 MSBP 中，這些可選服務(wù)以及所有不必要的服務(wù)都禁用。

在運行 Microsoft Windows Server 2003 的文件服務(wù)器上，經(jīng)常還有其他一些服務(wù)被啟用，但是，這些服務(wù)不是必需的。這些服務(wù)的使用及其安全性一直是人們爭論的主題。為此，本指南所建議的文件服務(wù)器配置可能不適用于您的環(huán)境。可以根據(jù)需要調(diào)整我們建議的文件服務(wù)器組策略以滿足您組織機構(gòu)的需求。

Distributed File System

表 1：設(shè)置

Distributed File System (DFS) 服務(wù)管理分布在局域網(wǎng) (LAN) 或廣域網(wǎng) (WAN) 的邏輯卷，而且是 Microsoft Active Directory? 目錄服務(wù) SYSVOL 共享所必需的。DFS 是將完全不同的文件共享集成為一個邏輯命名空間的分布式服務(wù)。

命名空間是網(wǎng)絡(luò)存儲資源的一種邏輯表示方法，這些網(wǎng)絡(luò)存儲資源對網(wǎng)絡(luò)中的用戶都可用。禁用 DFS 服務(wù)可以防止用戶通過邏輯命名空間訪問網(wǎng)絡(luò)數(shù)據(jù)，要求用戶必須知道環(huán)境中所有服務(wù)器和共享資源的名稱才可以訪問網(wǎng)絡(luò)數(shù)據(jù)。

文件服務(wù)器增量式組策略禁用了 DFS 服務(wù)，以便將環(huán)境中文件服務(wù)器遭到的攻擊面降到最小。為此，在本指南所定義的所有安全環(huán)境中，應(yīng)該將 Distributed File System 設(shè)置配置為“禁用”。

注意：通過在文件服務(wù)器上使用 DFS 簡化分布式資源訪問方式的組織機構(gòu)必須修改文件服務(wù)器的增量式組策略，或者創(chuàng)建一個新的 GPO 來啟用該服務(wù)。

File Replication Service

表 6.2：設(shè)置

File Replication Service (FRS) 可以自動復制文件并在多個服務(wù)器上同時進行保存。FRS 是 Microsoft? Windows? 2000 操作系統(tǒng)和 Windows Server 2003 家族中的一種自動文件復制服務(wù)。這種服務(wù)復制所有域控制器中的系統(tǒng)卷 (Sysvol)。另外，您還可以對該服務(wù)進行配置，使其復制與容錯 DFS 關(guān)聯(lián)的備用目標中的文件。若禁用這種服務(wù)，文件復制將不再發(fā)生而服務(wù)器上的數(shù)據(jù)也不再進行同步。

文件服務(wù)器增量式組策略禁用了 FRS 服務(wù)，以便將您所在環(huán)境中文件服務(wù)器遭到的攻擊表面積降到最小。為此，在本指南定義的所有安全環(huán)境中，應(yīng)該將 File Replication Service 設(shè)置配置為“禁用”。

注意：通過在文件服務(wù)器上使用 FRS 復制多個服務(wù)器上的數(shù)據(jù)的組織必須修改文件服務(wù)器的增量式組策略，或者創(chuàng)建一個新的 GPO 來啟用該服務(wù)。

其他安全性設(shè)置

MSBP 中應(yīng)用的安全設(shè)置為文件服務(wù)器提供了大量的增強安全性。不過，您也需要考慮其他一些注意事項。這些步驟不能通過組策略來實施，而要在所有文件服務(wù)器上手動執(zhí)行操作。

保護眾所周知帳戶的安全

Microsoft Windows Server 2003 中具有大量的內(nèi)置用戶帳戶，不能將其刪除，但可以重命名。Windows 2003 中最常用的兩個內(nèi)置帳戶是“來賓”帳戶和“管理員”帳戶。

默認情況下，“來賓”賬戶在成員服務(wù)器和域控制器上為禁用狀態(tài)。不應(yīng)該將此設(shè)置更改。您應(yīng)該對內(nèi)置的“管理員”賬戶重命名并改變其描述，以阻止攻擊者利用一個眾所周知的帳戶危及遠程服務(wù)器的安全。

最初，許多惡意代碼的變種使用內(nèi)置的管理員帳號，企圖破壞服務(wù)器。近幾年來，進行上述重命名配置的意義已經(jīng)降低了，因為出現(xiàn)了很多新的攻擊工具，這些工具企圖通過指定內(nèi)置 “管理員”賬戶的安全標識符 (SID) 確定該帳戶的真實姓名，從而侵入服務(wù)器。SID 是識別每個用戶、組、計算機帳戶和網(wǎng)絡(luò)上登錄會話的唯一值。不可能更改內(nèi)置帳戶的 SID。將本地管理員帳戶重命名為唯一的名稱，操作部門就可以輕松監(jiān)控攻擊該帳戶的企圖。

要保護文件服務(wù)器上的常用賬戶，您應(yīng)當：

1. 重新命名“管理員”帳戶和“來賓”賬戶，然后在每個域和服務(wù)器上將其密碼更改為長且復雜的值。

2. 在每個服務(wù)器上使用不同的名稱和密碼。如果所有的域和服務(wù)器使用同一個帳戶名和密碼，則取得其中一臺成員服務(wù)器訪問權(quán)的攻擊者就可以用相同的帳戶名和密碼取得其他域和服務(wù)器的訪問權(quán)。

3. 改變默認的帳戶描述，以防止帳戶被輕易識別。

4. 在安全的位置記錄這些更改。

注意：可通過組策略重命名內(nèi)置的“管理員”帳戶。由于應(yīng)該為您的環(huán)境選擇一個唯一的名稱，因此本指南所提供的所有安全模板中都沒有對此設(shè)置進行配置。在本指南定義的三種環(huán)境中，都可以將“賬戶：重命名管理員帳戶”設(shè)置配置為重命名管理員帳戶。此設(shè)置是組策略安全選項設(shè)置的一部分。

保護服務(wù)賬戶

除非絕對必要，否則不要配置在域帳號安全性背景之下運行的服務(wù)。如果服務(wù)器的物理安全受到破壞，域賬戶密碼可以很容易通過轉(zhuǎn)儲本地安全性機構(gòu) (LSA) 秘文而獲得。

用 IPSec 過濾器阻斷端口

Internet 協(xié)議安全 (IPSec) 過濾器能為提高服務(wù)器的安全級別提供一條有效途徑。本指南推薦在其定義的高安全性環(huán)境中使用該選項，以便進一步減少服務(wù)器的攻擊表面積。

有關(guān) IPSec 過濾器使用的詳細信息，請參閱模塊其他成員服務(wù)器強化過程。

下表列出了可在本指南定義的高安全性環(huán)境中的文件服務(wù)器上創(chuàng)建的所有 IPSec 過濾器。

表 3：文件服務(wù)器 IPSec 網(wǎng)絡(luò)流量圖

在執(zhí)行上表列出的所有規(guī)則時都應(yīng)該進行鏡像處理。這可以確保進入服務(wù)器的所有網(wǎng)絡(luò)流量也可以返回到源服務(wù)器。

上表描述了為服務(wù)器執(zhí)行特別任務(wù)功能所需打開的基本端口。如果服務(wù)器使用靜態(tài) IP 地址，這些端口已經(jīng)足夠使用了。如果需要提供其他功能，可能需要打開其他端口。打開其他端口可使您環(huán)境中的文件服務(wù)器更容易管理，不過，它們可能大大降低這些服務(wù)器的安全性。

由于域成員和域控制器之間具有大量的交互操作，因此在特殊的 RPC 和身份驗證通信中，您需要允許文件服務(wù)器和所有域控制器之間的所有通信。還可以將通信進一步限制，但是大多數(shù)環(huán)境都需要為有效保護服務(wù)器而創(chuàng)建更多的過濾器。這使得 IPSec 策略的執(zhí)行和管理更為困難。與一個文件服務(wù)器相關(guān)的所有域控制器都要創(chuàng)建相似的規(guī)則。為了提高文件服務(wù)器的可靠性和可用性，您需要為環(huán)境中的所有域控制器添加更多規(guī)則。

如上所述，如果在環(huán)境中運行 Microsoft Operation Manager (MOM)，則必須允許通過運行 IPSec 過濾器的服務(wù)器和 MOM 服務(wù)器之間的所有網(wǎng)絡(luò)通信。這一點十分重要，因為 MOM 服務(wù)器和 OnePoint 客戶 — 向 MOM 控制臺提供報告的客戶端應(yīng)用程序 — 之間具有大量的交互行為。其他的管理軟件可能也有相似的要求。如果需要更高級別的安全性，可以將 OnePoint 客戶過濾操作配置為就 IPSec 同 MOM 服務(wù)器進行協(xié)商。

IPSec 策略可以有效地阻止任意一個高端口的通信，因此，將無法進行遠程過程調(diào)用 (RPC) 通信。這使得服務(wù)器的管理更加困難。由于已經(jīng)有效關(guān)閉了如此之多的端口，因此可以啟用終端服務(wù)。這將使管理員能夠進行遠程管理。

上面的網(wǎng)絡(luò)流量圖假定環(huán)境中包括啟用了 DNS 服務(wù)器的 Active Directory。如果使用獨立的 DNS 服務(wù)器，可能還需要設(shè)定其他規(guī)則。

執(zhí)行 IPSec 策略不會對服務(wù)器的性能產(chǎn)生明顯的影響。但是，在執(zhí)行這些過濾器前應(yīng)首先進行測試，以驗證服務(wù)器的必要功能和性能是否得以維持。如果要支持其他應(yīng)用軟件，還可能需要添加其他規(guī)則。

本指南包括一個 .cmd 文件，該文件簡化了為文件服務(wù)器創(chuàng)建 IPSec 過濾器的過程。“PacketFilters-File.cmd”文件使用 NETSH 命令創(chuàng)建適當?shù)倪^濾器。必須修改 .cmd 文件以使它包括環(huán)境中域控制器的 IP 地址。腳本為即將添加的域控制器提供了兩個占位符。如果需要，還可以添加其他的域控制器。域控制器的 IP 地址列表必須是最新的。

如果環(huán)境中有 MOM，那么相應(yīng)的 MOM 服務(wù)器的 IP 地址也必須列入腳本。這個腳本不會創(chuàng)建永久性的過濾器。因此，除非 IPSec 策略代理開始運行，否則服務(wù)器是不受保護的。有關(guān)生成永久性的過濾器或創(chuàng)建更高級 IPSec 過濾腳本的詳細信息，請參閱模塊其他成員服務(wù)器強化過程。最后，將該腳本配置為不對其創(chuàng)建的 IPSec 策略進行分配。IP 安全策略管理單元可用于檢查它創(chuàng)建的 IPSec 過濾器和分配 IPSec 策略以便使其生效。

小結(jié)

本模塊講述了在本指南所定義的三種環(huán)境中保護文件服務(wù)器安全所需采取的服務(wù)器強化設(shè)置。所論述的大多數(shù)設(shè)置都是使用組策略進行配置和應(yīng)用的。您可以將能夠?qū)?MSBP 進行有益補充的組策略對象 (GPO) 鏈接到包含文件服務(wù)器的相應(yīng)組織單位 (OU) 中，以便為這些服務(wù)器提供的服務(wù)賦予更多的安全性。

本指南所論述的一些設(shè)置不能使用組策略進行應(yīng)用。在這些情況下，本指南提供了有關(guān)手動配置這些設(shè)置的詳細信息。此外，本指南還提供了創(chuàng)建和應(yīng)用能夠控制文件服務(wù)器間網(wǎng)絡(luò)通信類型的 IPSec 過濾器的詳細信息。