远程注册表服务
表 11.11:设置
倘若远程用户拥有所需的权限,“远程注册表服务”可以让远程用户更改域控制器上的注册表设置。默认情况下,只有 Administrators 和 Backup Operators 组中的用户才能远程访问注册表。该服务是Microsoft 基线安全分析器(MBSA)工具所必需的。MBSA是一个允许您验证企业中每台服务器上是否安装了某个补丁的工具。
停止“远程注册表”服务将只允许您更改本地计算机上的注册表。禁用该服务还导致任何明显依赖它的服务失败,但不会影响本地计算机上的注册表操作。其它计算机或设备将不再能够连接到本地计算机的注册表。
对于堡垒主机的正常操作来说,该服务不是必需的。您可以使用组策略将服务的开始模式设置为仅仅允许服务器管理员进行访问,以阻止未经授权或怀有恶意的用户对服务进行配置和操作。此外,禁用该服务能有效地降低一台堡垒主机服务器的攻击表面。因此,在BHLP中“远程注册表服务”设置被配置为“禁用”。
服务器
表 11.12:设置
“服务器”服务通过网络提供RPC支持、文件、打印和命名管道共享。该服务允许本地资源共享,如磁盘和打印机,以便网络上的其他用户访问这些资源。它还允许运行在其它计算机上的应用程序和您的计算机展开命名管道通讯,通信过程使用了RPC。命名管道通讯为一个进程的输出保留了一块内存,并以此作为另一个进程的输入。接收输入的进程不需要在本地计算机上运行。
停止“服务器”服务将会阻止该计算机和网络上其它计算机间的文件和打印机共享,还会放弃RPC请求。禁用该服务还将导致任何明显依赖它的服务失败。
对于堡垒主机的正常操作来说,该服务不是必需的。您可以使用组策略将服务的开始模式设置为仅仅允许服务器管理员进行访问,以阻止未经授权或怀有恶意的用户对服务进行配置和操作。此外,禁用该服务能有效地降低一台堡垒主机服务器的攻击表面。因此,在BHLP中“服务器”设置被配置为“禁用”。
TCP/IP NetBIOS助手服务
表 11.13:设置
“TCP/IP NetBIOS助手服务”为NetBIOS over TCP/IP(TCP/IP上的NetBIOS,NetBT)和网络上客户端的NetBIOS名称解析提供支持,因此,它允许用户共享文件、打印和登录到网络。“TCP/IP NetBIOS 助手”服务通过执行DNS名称解析,为NetBT服务提供支持。
停止“TCP/IP NetBIOS助手服务”可能导致NetBT、重定向器(RDR)、服务器(SRV)、 Netlogon和Messenger服务的客户端无法共享文件和打印机,并且阻止用户登录计算机。例如,基于域的组策略将不再起作用。禁用该服务还导致任何明显依赖它的服务失败。
对于堡垒主机的正常操作来说,该服务不是必需的。您可以使用组策略将服务的开始模式设置为仅仅允许服务器管理员进行访问,以阻止未经授权或怀有恶意的用户对服务进行配置和操作。此外,禁用该服务能有效地降低一台堡垒主机服务器的攻击表面。因此,在BHLP中“TCP/IP NetBIOS助手服务”设置被配置为“禁用”。
终端服务
表 11.14:设置
“终端服务”提供了一个多会话环境,允许客户端设备访问一个虚拟的Windows桌面会话以及在服务器端运行Windows 程序。“终端服务”还允许用户对服务器进行远程管理。
停止或禁用“终端服务”将阻止用户对计算机的远程管理,使得计算机难于管理和更新。
对于堡垒主机的正常操作来说,该服务不是必需的。您可以使用组策略将服务的开始模式设置为仅仅允许服务器管理员进行访问,以阻止未经授权或怀有恶意的用户对服务进行配置和操作。此外,禁用该服务能有效地降低一台堡垒主机服务器的攻击表面。因此,在BHLP中“终端服务”设置被配置为“禁用”。
Windows Installer
表11.15:设置
Windows Installer 服务通过应用一系列在安装过程期间集中定义的安装规则,来管理应用程序的安装和卸载。这些安装规则定义了所安装应用程序的安装和配置。另外,该服务还可以更改、修复或删除一个现存的应用程序。组成该服务的技术包括Windows操作系统的Windows Installer 服务以及.msi 压缩包格式文件(用于保存关于应用程序的设置和安装信息)。
Windows Installer不仅是一个安装程序,它还是一个可扩展的软件管理系统。该服务可以管理软件组件的安装、添加和删除,监视文件回弹,以及使用回滚功能从灾难事件中恢复基本文件。另外,Windows Installer 支持从多种来源安装和运行软件,还可以由那些想要安装自己应用程序的开发者进行定制。
将 Windows Installer 设置为手动会导致使用 Installer的应用程序启动该服务。
停止该服务将导致依赖于它的应用程序安装、卸载、修复和更改失败。同样,利用此服务的应用程序在运行时可能无法正常发挥功能。禁用该服务还将导致任何明显依赖它的服务失败。
对于堡垒主机的正常操作来说,该服务不是必需的。您可以使用组策略将服务的开始模式设置为仅仅允许服务器管理员进行访问,以阻止未经授权或怀有恶意的用户对服务进行配置和操作。此外,禁用该服务能有效地降低一台堡垒主机服务器的攻击表面。因此,在BHLP中Windows Installer设置被配置为“禁用”。
Windows管理规范驱动程序扩展
表11.16:设置
“Windows管理规范驱动程序扩展”服务监视所有驱动程序以及被配置成发布WMI或事件跟踪信息的事件跟踪提供者。
对于堡垒主机的正常操作来说,该服务不是必需的。您可以使用组策略将服务的开始模式设置为仅仅允许服务器管理员进行访问,以阻止未经授权或怀有恶意的用户对服务进行配置和操作。此外,禁用该服务能有效地降低一台堡垒主机服务器的攻击表面。因此,在BHLP中“Windows Management Instrumentation驱动程序扩展”设置被配置为“禁用”。
WMI性能适配器
表11.17:设置
“WMI性能适配器”服务提供了从WMI HiPerf 提供者获得的性能库信息。需要提供性能计数器的应用程序和服务现在可以使用两种方式做到这一点:编写一个WMI 高性能(High Performance)提供者或编写一个性能库。
“WMI性能适配器”服务通过反向适配器性能库(Reverse Adapter Performance Library),将WMI高性能(High Performance)提供者提供的性能计数器转换成性能数据助手(Performance Data Helper,PDH)可以引用的计数器。这样一来,PDH客户(如Sysmon)就可以引用计算机上任何WMI性能适配器提供者所提供的性能计数器。
如果“WMI性能适配器”服务停止了,WMI性能计数器将无法使用。禁用该服务还会导致任何明显依赖它的服务失败。
对于堡垒主机的正常操作来说,该服务不是必需的。您可以使用组策略将服务的开始模式设置为仅仅允许服务器管理员进行访问,以阻止未经授权或怀有恶意的用户对服务进行配置和操作。此外,禁用该服务能有效地降低一台堡垒主机服务器的攻击表面。因此,在BHLP中“WMI性能适配器”设置被配置为“禁用”。
其它安全设置
通过BHLP应用的安全设置为堡垒主机服务器提供更高的安全性。然而,这里还需要考虑一些额外的事项和过程。这些步骤不能通过本地策略来执行,而应该在所有堡垒主机服务器上通过手动方式来完成。
以手动方式向用户权限分配中添加唯一的安全组
大多数通过MSBP应用的用户权限分配都已经在本指南附带的安全性模板中进行了适当的指定。但是,有些账户和安全组不能被包含在模板中,因为它们的安全标识(SID)对于单个的Windows 2003域是特定的。下面介绍了必须手动配置的用户权限。
警告:下表包含了内置Administrator账户。不要将该账户与内置的Administrators安全组混淆。如果Administrators安全组被添加了以下任何一个拒绝访问用户权限,为了更正该错误,您必须从本地登录。
另外,根据第三章“创建成员服务器基线”中的建议,内置的Administrator账号可能已经被重命名。当添加Administrator账户时,请确信添加的是经过了重命名的账户。
表11.18:手工添加用户权限分配
重要:所有非操作系统服务账户包括整个企业范围内用于特定应用程序的服务账户。但不包括LOCAL SYSTEM、LOCAL SERVICE或NETWORK SERVICE等操作系统所使用的内置账号。
删除不必要的网络协议和绑定
可通过Internet直接访问的服务器(特别是堡垒主机服务器),应该禁用所有不必要的协议,以避免用户枚举攻击的威胁。用户枚举是一种信息搜集类型,攻击者试图使用它获得系统特有的信息,然后计划下一步的攻击。
服务器消息块(SMB)协议将返回有关一台计算机的大量信息,甚至对使用“空”会话的未经授权的用户也是如此。相关信息可从共享、用户信息(包括组和用户权限)、注册表键值及更多方式中取得。
禁用SMB和TCP/IP上的NetBIOS,可以大大降低服务器的攻击表面,并保护堡垒主机的安全。虽然该配置下的服务器更加难于管理,并且无法访问网络上的共享文件夹,但这些措施可以有效保护服务器免予遭受那些轻而易举的攻击。因此,本指南建议:在可以通过Internet进行访问的堡垒主机服务器上,禁用网络连接的SMB或者TCP/IP上的NetBIOS。
禁用SMB:
1. 在“控制面板”上,双击“网络连接”。
2. 右键单击一个Internet类型连接,然后单击“属性”。
3. 在“属性”对话框中,选择“Microsoft网络客户端”,然后单击“卸载”。
4. 按照卸载步骤指示进行。
5. 选择“Microsoft网络的文件和打印机共享”,然后单击“卸载”。
6. 按照卸载步骤指示进行。
禁用TCP/IP 上的NetBIOS:
1. 在“控制面板”上,双击“系统”,单击“硬件”标签,然后点击“设备管理器” 按钮。
2. 在“查看”菜单上,单击“显示隐藏的设备”。
3. 展开“非即插即用驱动程序”。
4. 右键单击“TCP/IP 上的NetBIOS”,然后单击“禁用”。
上述操作会禁用TCP/445和UDP 445端口上的SMB直接主机侦听程序。
注意:此过程禁用了nbt.sys驱动程序。在“TCP/IP高级设置”对话框的“WINS” 标签中,包括一个“禁用TCP/IP 上的NetBIOS”选项。选中该选项只是禁用了在TCP 端口139上进行侦听的“NetBIOS会话服务”。这样做并未完全禁用SMB。 若要完全禁用SMB,请使用上面的步骤。
保护众所周知的账号
在Microsoft Windows Server? 2003中有一些内置的账号,它们不能被删除,而只能重命名。在Windows 2003中最为人所熟知的两个内置账号是Guest和Administrator。
默认情况下,在服务器上的Guest账号是禁用的,而且不应被修改。内置的Administrator账号应该被重命名,并且改变描述以阻止攻击者从远程服务器使用该账号进行攻击。
许多恶意代码的变种使用内置的管理员帐号,企图窃取服务器的秘密。在近几年来,进行上述重命名配置的意义已经大大降低了,因为出现了很多新的攻击工具,这些工具企图通过指定内置 Administrator 账户的安全标识(SID)来确定该帐户的真实姓名,从而侵占服务器。 SID是一个能唯一识别每一个用户、组、计算机帐户及网络登录会话的数值。内置帐户的SID是不可能改变的。将本地管理员帐户重新命名为独特的名称,操作部门就可以轻松监控攻击该帐户的企图。
在堡垒主机服务器上保护众所周知的账号:
1. 重命名Administrator和Guest账号,然后将其在每台服务器上的密码设成一个长且复杂的值。
2. 在每台服务器上使用不同的名字和密码。如果在所有的服务器上都使用相同的账号名和密码,那么获得一台服务器访问权的攻击者就能使用相同的账号名和密码来访问所有其它的服务器。
3. 更改对账号的描述,使其与默认描述不同,这样有助于防止帐户被轻易识别。
4. 在一个安全的位置记录这些更改。
错误报告
表11.19:设置
“错误报告”服务可以帮助Microsoft 跟踪和查找错误。您可以将该服务配置为给操作系统错误、Windows组件错误或程序错误生成报告。“错误报告”服务将这些错误通过Internet报告给Microsoft,或者报告给内部企业文件共享。
该设置只有在Microsoft Windows? XP Professional和Windows Server 2003上可用。在组策略对象编辑器中配置该设置的路径是:
Computer Configuration\Administrative Templates\System\Error Reporting
错误报告可能包含敏感的(甚至是保密的)企业数据。Microsoft 关于错误报告的隐私政策保证 Microsoft 不会不适当地使用这些数据,但是这些数据使用明文形式的超级文本传输协议(HTTP)传送,这就有可能被Internet 上的第三方截获或者查看。因此,本指南建议在指南定义的三种安全环境下,在DCBP中将 错误报告 设置配置为禁用。
使用IPSec过滤器阻断端口
IPSec 过滤器可为增强服务器所需要的安全级别提供有效的方法。本指南推荐在其定义的高安全性环境中使用该选项,以便进一步减少服务器的攻击表面。
要了解关于IPSec过滤器使用的更多信息,请参看第11章,“其它服务器的强化程序”,“威胁与对策:Windows Server 2003和Windows XP中的安全性设置 ”。
下表列举了在本指南定义的高安全性环境下,可以在SMTP堡垒主机上创建的IPSec过滤器。
表11.20:SMTP堡垒主机IPSec网络流量图
在执行时上表所列举的规则时,应当对其进行镜像处理。这样可以保证任何进入服务器的网络流量也可以返回到源服务器。
上表表明,服务器要想完成特定角色的功能而应当打开的基本端口。如果服务器拥有一个静态IP地址,这些端口已经足够了。
警告:这些IPSec过滤器施加的限制非常严格,并且大大降低了服务器的可管理性。您需要打开额外的端口来实施监视、补丁管理和软件更新功能。
IPSec策略的实施对服务器的性能将不会有显著的影响。但是,在实施这些过滤器前还是应该进行测试,以验证服务器仍然可以维持必要的功能和性能。您可能还需要增加一些附加的规则来支持其它应用程序。
该指南中包括一个.cmd文件,它简化了依照指南要求为域控制器创建IPSec过滤器的过程。PacketFilters-SMTPBastionHost.cmd文件使用NETSH命令来创建相应的过滤器。
此脚本不会创建永久性的过滤器。因此,服务器不会受到保护,除非IPSec策略代理被启动。关于创建永久性过滤器或创建更高级IPSec过滤器脚本的更多信息,请参看本指南的姐妹篇“威胁与对策:Windows Server 2003和Windows XP中的安全性设置”中的第11章“其它成员服务器的强化程序”。最后,该脚本被配置为不分配其创建的IPSec策略。IP安全性策略管理单元可用来检查所创建的IPSec过滤器,并且分配IPSec策略以便让其生效。
总结
堡垒主机服务器高度暴露在外界攻击之中。您必须尽可能的保证它们的安全,在将其可用性发挥至最大的同时,将堡垒主机服务器面临的安全威胁降至最低。最安全的堡垒主机服务器只允许高度信任的账号访问,并仅仅启用能够正常行使其功能所需的最少的服务。
本章对用来保护堡垒主机服务器安全的强化安全设置和措施进行了解释。大多数的设置可通过本地组策略进行应用。我们也介绍了手动配置和应用安全设置的步骤。
我们还详细介绍了创建和应用能够控制堡垒主机服务器间网络通信类型的IPSec过滤器具体过程。根据企业环境中堡垒主机服务器所扮演的角色,这些过滤器可以被修改,以阻止特定类型的网络流量。
