目标
使用本模块可以:
1.强化基于 Microsoft? Windows Server? 2003 操作系统的文件服务器。
2.检查文件服务器合适的安全配置。
适用范围
本模块适用于下列产品和技术:
Windows Server 2003
如何使用本模块
使用本模块您可以了解应用于基于 Windows Server 2003 的文件服务器的安全设置。本模块使用多个角色特定安全模板和一个基准安全模板。安全模板来自“Windows Server 2003 Security Guide”。
为了更好地理解本模块的内容,请:阅读模块 Windows Server 2003 安全性简介。该模块描述了“Windows Server 2003 Security Guide”的目的和内容。
阅读模块创建 Windows Server 2003 服务器的成员服务器基准。该模块演示了使用组织单位和组策略将成员服务器基准应用于多个服务器的过程。
概述
由于文件服务器提供的大多数重要服务都需要 Microsoft? Windows? 网络基本输入/输出系统 (NetBIOS) 相关协议的支持,因此在进一步强化文件服务器上存在一些挑战。服务器消息块 (SMB) 协议和通用 Internet 文件系统 (CIFS) 协议可以为没有经过身份验证的用户提供丰富的信息。因此,常常建议在高安全性的 Windows 环境中禁止文件服务器使用这些协议。但是,禁用这些协议可能给您的环境中的管理员和用户访问文件服务器造成一定的困难。
本模块后面的部分将详细描述文件服务器可从安全设置中受益的内容,这些安全设置不是通过成员服务器基准策略 (MSBP) 得到应用的。有关 MSBP 的详细信息,请参阅模块创建 Windows Server 2003 服务器的成员服务器基准。
审核策略设置
在本指南定义的三种环境下,文件服务器的审核策略设置都是通过 MSBP 进行配置。有关 MSBP 的详细信息,请参阅模块创建 Windows Server 2003 服务器的成员服务器基准。MSBP 设置确保了在全部的文件服务器上记录所有相关的安全性审核信息。
用户权限分配
在本指南定义的三种环境下,文件服务器的用户权限分配都是通过 MSBP 进行配置。有关 MSBP 的详细信息,请参阅模块创建 Windows Server 2003 服务器的成员服务器基准。MSBP 设置确保所有适当的用户权限可以跨越所有文件服务器实现统一配置。
安全选项
在本指南定义的三种环境下,文件服务器的安全性选项设置都是通过 MSBP 进行配置。有关 MSBP 的详细信息,请参阅模块创建 Windows Server 2003 服务器的成员服务器基准。MSBP 设置确保所有相关的安全性选项设置可以跨越所有文件服务器实现统一配置。
事件日志设置
在本指南定义的三种环境下,文件服务器的事件日志设置都是通过 MSBP 进行配置。有关 MSBP 的详细信息,请参阅模块创建 Windows Server 2003 服务器的成员服务器基准。
系统服务
任何服务或应用程序都是一个潜在的攻击点,因此,应该禁用或删除所有不需要的服务或可执行文件。在 MSBP 中,这些可选服务以及所有不必要的服务都禁用。
在运行 Microsoft Windows Server 2003 的文件服务器上,经常还有其他一些服务被启用,但是,这些服务不是必需的。这些服务的使用及其安全性一直是人们争论的主题。为此,本指南所建议的文件服务器配置可能不适用于您的环境。可以根据需要调整我们建议的文件服务器组策略以满足您组织机构的需求。
Distributed File System
表 1:设置
Distributed File System (DFS) 服务管理分布在局域网 (LAN) 或广域网 (WAN) 的逻辑卷,而且是 Microsoft Active Directory? 目录服务 SYSVOL 共享所必需的。DFS 是将完全不同的文件共享集成为一个逻辑命名空间的分布式服务。
命名空间是网络存储资源的一种逻辑表示方法,这些网络存储资源对网络中的用户都可用。禁用 DFS 服务可以防止用户通过逻辑命名空间访问网络数据,要求用户必须知道环境中所有服务器和共享资源的名称才可以访问网络数据。
文件服务器增量式组策略禁用了 DFS 服务,以便将环境中文件服务器遭到的攻击面降到最小。为此,在本指南所定义的所有安全环境中,应该将 Distributed File System 设置配置为“禁用”。
注意:通过在文件服务器上使用 DFS 简化分布式资源访问方式的组织机构必须修改文件服务器的增量式组策略,或者创建一个新的 GPO 来启用该服务。
File Replication Service
表 2:设置
File Replication Service (FRS) 可以自动复制文件并在多个服务器上同时进行保存。FRS 是 Microsoft? Windows? 2000 操作系统和 Windows Server 2003 家族中的一种自动文件复制服务。这种服务复制所有域控制器中的系统卷 (Sysvol)。另外,您还可以对该服务进行配置,使其复制与容错 DFS 关联的备用目标中的文件。若禁用这种服务,文件复制将不再发生而服务器上的数据也不再进行同步。
文件服务器增量式组策略禁用了 FRS 服务,以便将您所在环境中文件服务器遭到的攻击表面积降到最小。为此,在本指南定义的所有安全环境中,应该将 File Replication Service 设置配置为“禁用”。
注意:通过在文件服务器上使用 FRS 复制多个服务器上的数据的组织必须修改文件服务器的增量式组策略,或者创建一个新的 GPO 来启用该服务。
其他安全性设置
MSBP 中应用的安全设置为文件服务器提供了大量的增强安全性。不过,您也需要考虑其他一些注意事项。这些步骤不能通过组策略来实施,而要在所有文件服务器上手动执行操作。
保护众所周知帐户的安全
Microsoft Windows Server 2003 中具有大量的内置用户帐户,不能将其删除,但可以重命名。Windows 2003 中最常用的两个内置帐户是“来宾”帐户和“管理员”帐户。
默认情况下,“来宾”账户在成员服务器和域控制器上为禁用状态。不应该将此设置更改。您应该对内置的“管理员”账户重命名并改变其描述,以阻止攻击者利用一个众所周知的帐户危及远程服务器的安全。
最初,许多恶意代码的变种使用内置的管理员帐号,企图破坏服务器。近几年来,进行上述重命名配置的意义已经降低了,因为出现了很多新的攻击工具,这些工具企图通过指定内置 “管理员”账户的安全标识符 (SID) 确定该帐户的真实姓名,从而侵入服务器。SID 是识别每个用户、组、计算机帐户和网络上登录会话的唯一值。不可能更改内置帐户的 SID。将本地管理员帐户重命名为唯一的名称,操作部门就可以轻松监控攻击该帐户的企图。
要保护文件服务器上的常用账户,您应当:
1. 重新命名“管理员”帐户和“来宾”账户,然后在每个域和服务器上将其密码更改为长且复杂的值。
2. 在每个服务器上使用不同的名称和密码。如果所有的域和服务器使用同一个帐户名和密码,则取得其中一台成员服务器访问权的攻击者就可以用相同的帐户名和密码取得其他域和服务器的访问权。
3. 改变默认的帐户描述,以防止帐户被轻易识别。
4. 在安全的位置记录这些更改。
注意:可通过组策略重命名内置的“管理员”帐户。由于应该为您的环境选择一个唯一的名称,因此本指南所提供的所有安全模板中都没有对此设置进行配置。在本指南定义的三种环境中,都可以将“账户:重命名管理员帐户”设置配置为重命名管理员帐户。此设置是组策略安全选项设置的一部分。
保护服务账户
除非绝对必要,否则不要配置在域帐号安全性背景之下运行的服务。如果服务器的物理安全受到破坏,域账户密码可以很容易通过转储本地安全性机构 (LSA) 秘文而获得。
用 IPSec 过滤器阻断端口
Internet 协议安全 (IPSec) 过滤器能为提高服务器的安全级别提供一条有效途径。本指南推荐在其定义的高安全性环境中使用该选项,以便进一步减少服务器的攻击表面积。
有关 IPSec 过滤器使用的详细信息,请参阅模块其他成员服务器强化过程。
下表列出了可在本指南定义的高安全性环境中的文件服务器上创建的所有 IPSec 过滤器。
表 3:文件服务器 IPSec 网络流量图
在执行上表列出的所有规则时都应该进行镜像处理。这可以确保进入服务器的所有网络流量也可以返回到源服务器。
上表描述了为服务器执行特别任务功能所需打开的基本端口。如果服务器使用静态 IP 地址,这些端口已经足够使用了。如果需要提供其他功能,可能需要打开其他端口。打开其他端口可使您环境中的文件服务器更容易管理,不过,它们可能大大降低这些服务器的安全性。
由于域成员和域控制器之间具有大量的交互操作,因此在特殊的 RPC 和身份验证通信中,您需要允许文件服务器和所有域控制器之间的所有通信。还可以将通信进一步限制,但是大多数环境都需要为有效保护服务器而创建更多的过滤器。这使得 IPSec 策略的执行和管理更为困难。与一个文件服务器相关的所有域控制器都要创建相似的规则。为了提高文件服务器的可靠性和可用性,您需要为环境中的所有域控制器添加更多规则。
如上所述,如果在环境中运行 Microsoft Operation Manager (MOM),则必须允许通过运行 IPSec 过滤器的服务器和 MOM