概述
本章集中讨论了在企业环境中强化堡垒主机的问题。堡垒主机是一台既安全但是又允许公众访问的计算机。堡垒主机位于周边网络(也就是大家熟知的DMZ、非军事化区域或者受屏蔽子网)面向公众的一侧。堡垒主机不受防火墙或过滤路由器的保护,因此它被完全暴露在攻击中。因此,我们必须花大力气来设计和配置堡垒主机,将其可能遭受攻击的机会减至最少。
堡垒主机通常被用作Web服务器、域名系统(DNS)服务器、文件传输协议(FTP)服务器、简单邮件传输协议(SMTP)服务器及网络新闻传输协议(NNTP)服务器等。理想情况下,堡垒主机应该只执行这些服务中的某一个功能,因为它扮演的角色越多,出现安全漏洞的可能性就越大。而在一台堡垒主机上只对一个服务的安全进行维护则较为容易一些。能够在多项堡垒主机业务上投入资金的企业必将从此类网络体系中获益匪浅。
安全的堡垒主机的配置与一般主机有很大区别。所有不必要的服务、协议、程序和网络接口都应该被禁用或删除,而且,每个堡垒主机通常被配置成只承担一个角色。按照此方式经过加强的堡垒主机可以免遭某些类型攻击的威胁。
本章下面部分将详细叙述可以在不同环境中最有效保护堡垒主机的各种安全加固设置
堡垒主机本地策略
与本指南前面所述的应用组策略的其它服务器不同,组策略不能应用到堡垒主机服务器,这是因为它们被配置为独立主机,不属于Microsoft? Active Directory? 域。由于它们高度暴露给外界,所以在本指南所定义的三个环境中,只为堡垒主机服务器提供了一些基本的指导。下面所描述的安全设置建立在第3章“创建成员服务器基线”为高安全性环境提供的成员服务器基线策略(MSBP)基础之上。这些设置包含在一个安全模板中,此模板必须应用到每个堡垒主机的“堡垒主机本地策略(BHLP)”。
应用堡垒主机本地策略
本指南提供的High Security ? Bastion Host.inf文件可以用来配置BHLP。它能够启用一台SMTP堡垒主机正常工作所需的服务。应用High Security ? Bastion Host.inf可以增强服务器的安全性,因为它减少了堡垒主机的攻击表面,但是您将无法对堡垒主机进行远程管理。您必须对BHLP进行一些修改才能实现更多的功能或增加堡垒主机的可管理性。
为了应用安全模板中的所有安全设置,必须使用“安全配置和分析”管理单元,而不是“本地计算机策略”管理单元。使用“本地计算机策略”管理单元导入安全模板是不可能的,这是因为用于系统服务的安全设置无法在此管理单元中应用。
下面的步骤描述了使用“安全配置和分析”管理单元来导入并应用BHLP安全模板的过程。
警告:Microsoft强烈推荐在应用High Security ? Bastion Host.inf前,对堡垒主机服务器进行一次完全备份。以便在应用High Security ? Bastion Host.inf安全模板后如果出现了问题,可将堡垒主机恢复到其初始配置。请确信您已经对安全模板进行了配置,以启用您所在环境需要的堡垒主机功能。
导入安全模板:
1. 运行“安全配置和分析”管理单元。
2. 右健单击“安全配置和分析”的范围项目。
3. 单击“打开数据库”。
4. 输入一个新的数据库名,然后单击“打开”。
5. 选择“High Security ? Bastion Host.inf”安全模板,然后单击“打开”。
这样,所有堡垒主机的设置就将被导入,然后您可以审查和应用这些设置。
应用安全设置
1. 右健单击“安全配置和分析”的范围项目。
2. 选择“现在配置计算机”。
3. 在“现在配置计算机”对话框中输入希望查看的日志文件名称,然后单击“确定”。
完成这些步骤后,所有相关安全模板设置将全部应用于环境中堡垒主机的本地策略。您必须重新启动堡垒主机才能使这些设置生效。
下面部分描述了使用BHLP实施的安全设置 。在本章中只论述那些与在MSBP中不同的设置。
审核策略设置
用于堡垒主机的BHLP审核策略的设置与在High Security ? Member Server Baseline.inf文件中所指定的设置是相同的,详情请看第三章 “创建成员服务器基线。”BHLP设置确保了所有相关的安全审核信息都被记录到所有的堡垒主机服务器上。
用户权限分配
用于堡垒主机的BHLP用户权限分配基于High Security ? Member Server Baseline.inf文件所指定的设置。详情请看第三章“创建成员服务器基线。”下面描述了BHLP和MSBP间的差别。
允许本地登录
表11.1:设置
“允许本地登录”用户权限允许用户在计算机上启动一个交互会话。对那些能登录到堡垒主机服务器控制台的账号做出限制,将有助于阻止未经授权的用户访问服务器上的文件系统和系统服务。
默认情况下,Account Operators、Backup Operators、Print Operators及Power Users组被授予了本地登录的权限。应该将该权限仅授予Administrators组,以便只有高度信任的用户才拥有对堡垒服务器的管理访问权限,而且能够提供更高水平的安全性。
拒绝从网络访问该计算机
表11.2:设置
注意:在安全模板中并不包括ANONOYMOUS LOGON、内置Administrator、Support_388945a0、Guest及所有非操作系统服务的账号。这些账号和组都有唯一的安全标识符(SID)。因此,必须用手工方式将它们加入到BHLP中。
“拒绝从网络访问该计算机”用户权限规定了哪些用户不能通过网络访问一台计算机。此设置将会拒绝一些网络协议,包括:基于服务器消息块(SMB)的协议、网络基础输入/输出系统(NetBIOS)、公共Internet文件系统(CIFS)、超文本传输协议(HTTP)及COM+(Component Object Model Plus)。当一个用户账号从属于两个策略时,该设置将忽略“从网络访问此计算机”的设置。在企业环境中为其它组配置此用户权限可以限制用户的访问能力,让他们只能执行委派的管理任务。
在第三章“创建成员服务器基线”中,本指南建议将Guests 组加入到已经分配了该权限的用户和组中,以提供最高级别的安全性。然而,用来匿名访问IIS的IUSR账号默认情况下是Guests组的成员。因此,在本指南定义的高安全性环境中,堡垒主机的“拒绝从网络访问该计算机”的设置被配置为包括ANONOYMOUS LOGON、内置Administrator、Support_388945a0、Guest及所有非操作系统服务的账号。
安全选项
用于堡垒主机的BHLP安全选项设置与在第三章“创建成员服务器基线”的High Security ? Member Server Baseline.inf文件中所指定的设置是相同的。这些BHLP设置确保了所有相应的安全选项都可以统一配置到全部堡垒主机服务器上。
事件日志设置
用于堡垒主机的BHLP事件日志设置与在第三章“创建成员服务器基线”中的High Security ? Member Server Baseline.inf文件中指定的设置是相同的。这些BHLP设置确保了所有相应的事件日志都可以统一配置到全部堡垒主机服务器上。
系统服务
堡垒主机服务器的工作性质决定了它将暴露在外界的攻击之中。因此,每台堡垒主机的攻击表面积必须要降至最小。为了提高堡垒主机服务器的安全性,所有不需要的操作系统服务,以及对堡垒主机正常运行没有必要的角色都应该禁用。本指南包括的High Security ? Bastion Host.inf 安全模板可以对BHLP进行配置,以启用一台SMTP堡垒主机服务器所需要的全部功能。BHLP启动了Internet信息服务管理器服务、HTTP SSL 服务和SMTP服务。但是,如果需要启用其它功能,您必须对BHLP加以修改。
众多被禁用的服务将会产生大量的事件日志警告,您可以忽略这些警告。有些时候,启用这些服务将会减少事件日志警告和错误消息以及增加堡垒主机的可管理性。然而,这样做也会增加每台堡垒主机的攻击表面。
以下小节论述了在堡垒主机服务器上应该被禁用的服务,以在降低堡垒主机攻击表面的同时保持其功能。这些小节只涉及了High Security ? Member Server Baseline.inf 文件中未被禁用的服务。
自动更新
表11.3:设置
“自动更新”服务可以让堡垒主机下载并安装重要的Microsoft Windows? 升级。该服务为堡垒主机自动提供最新的升级、驱动程序和增强组件。您将不再需要手工搜索这些重要的升级和信息;操作系统会将它们直接发送给堡垒主机。当您在线并使用Internet连接从Windows 升级服务中搜索可用的更新时,操作系统会做出识别。根据您所做出的设置,该服务将会在下载和安装前向您发出通知,或者为您自动安装升级文件。
停止或禁用“自动更新”服务将会阻止重要更新自动下载到计算机上。有些时候,您可能不得不直接连到Windows Update Web站点http://www.windowsupdate.microsoft.com上,以搜索、下载和安装任何可用的重要修补程序。
对于堡垒主机的正常操作来说,该服务不是必需的。您可以使用本地策略将服务的启动模式设置为只允许管理员访问服务器,以阻止了未经授权或怀有恶意的用户对服务进行配置和操作。此外,禁用该服务能有效地降低一台堡垒主机服务器的攻击表面。因此,请在BHLP中将“自动更新”设置被配置为“禁用”。
后台智能传输服务
表11.4:设置
“后台智能传输服务”(BITS)是一个后台的文件传输机制和队列管理程序。BITS在客户端和HTTP服务器间异步传输文件。BITS接受传递文件的请求并使用空闲的网络带宽,因此其它相关的网络活动(例如浏览等)不会受到影响。
停止该服务将会导致诸如“自动更新”这样的特性无法自动下载程序和其它信息,直到服务再次运行为止。这意味着如果该服务没有通过组策略进行配置,那么计算机将不会从“软件更新服务”(SUS)收到自动更新。禁用该服务还导致任何明显依赖它的服务无法传输文件,除非使用了一个可以避免失败的机制通过其它方法直接传输文件,如Internet Explorer。
对于堡垒主机的正常操作来说,该服务不是必需的。您可以使用组策略将服务的开始模式设置配置为仅仅允许服务器管理员进行访问,以阻止未经授权或怀有恶意的用户对服务进行配置和操作。此外,禁用该服务能有效降低一台堡垒主机服务器的攻击表面。因此,在BHLP中该服务被禁用。
计算机浏览器
表11.5:设置
“计算机浏览器”服务在网络上维护一个当前计算机的列表,并将列表提供给需要它的程序。“计算机浏览器” 服务由需要查看网络域和资源的 Windows 计算机所使用。被指定为浏览器的计算机对浏览列表进行维护,该列表包括了网络上使用的所有共享资源。Windows应用程序的较早版本,如“我的网络位置”、“NET VIEW”命令和Microsoft Windows NT? Explorer,都需要浏览功能。例如,在运行Windows 95的计算机上打开“我的网络位置”,就会显示一个域和计算机的列表,这个列表就是该计算机从一台被指定为浏览器的计算机浏览列表中获得的一个副本。
禁用“计算机浏览器”服务将会导致无法更新和维护浏览器列表。禁用该服务还导致任何明显依赖它的服务不能运行。
对于堡垒主机的正常操作来说,该服务不是必需的。您可以使用组策略将服务的开始模式设置为仅仅允许服务器管理员进行访问,以阻止未经授权或怀有恶意的用户对服务进行配置和操作。此外,禁用该服务能有效地降低一台堡垒主机服务器的攻击表面。因此,在BHLP中的“计算机浏览器”设置被配置为“禁用”。
DHCP客户
表11.6:设置
“DHCP客户”服务通过登记和更新计算机的 IP 地址和DNS名称来管理网络配置。当一个客户,例如一个漫游用户,在网络上无目的游荡时,该服务将会阻止用户手工更改IP设置。客户会被自动分配一个新的IP地址,而不考虑它所连接的子网――只要动态主机配置协议(DHCP)服务器对于每个子网来说都是可访问的。没有必要对DNS或Windows
Internet名称系统(WINS)的设置进行手工配置。DHCP服务器会将这些服务设置强加给客户,只要DHCP服务器已经做好配置并且可以发出此类信息即可。 若要在客户端激活该选项,只需选择“自动获得DNS服务器地址”单选按钮。激活该选项将避免因IP地址重复带来的冲突。
停止“DHCP客户”服务将导致您的计算机无法接收到动态的IP地址,动态DNS更新功能也不会在DNS服务器上自动更新IP地址。禁用该服务还导致任何明显依赖它的服务失败。
对于堡垒主机的正常操作来说,该服务不是必需的。您可以使用组策略将服务的开始模式设置为仅仅允许服务器管理员进行访问,以阻止未经授权或怀有恶意的用户对服务进行配置和操作。此外,禁用该服务能有效地降低一台堡垒主机服务器的攻击表面。因此,因此,BHLP中的“DHCP客户”设置被配置为“禁用”。
网络位置感知(NLA)
表11.7:设置
“网络位置感知(NLA)”服务控制和存储网络配置信息,如IP地址和域名变化等等,还有一些位置变化的信息,然后在这些信息发生变化时通知应用程序。
对于堡垒主机的正常操作来说,该服务不是必需的。您可以使用组策略将服务的开始模式设置为仅仅允许服务器管理员进行访问,以阻止未经授权或怀有恶意的用户对服务进行配置和操作。此外,禁用该服务能有效地降低一台堡垒主机服务器的攻击表面。因此,因此,BHLP中的“网络位置感知(NLA)”设置被配置为“禁用”。
NTLM安全支持提供者
表11.8:设置
“NTLM安全支持提供者”服务为远程过程调用(RPC)程序提供了安全保障,这些程序使用传输,而不是使用命名管道,该服务能让用户使用NTLM验证协议登录到网络上。NTLM协议对不使用Kerberos V5验证的客户进行身份验证。
如果停止或禁用“NTLM安全支持提供者”服务,您将无法登录到使用NTLM验证协议的客户端或者访问网络资源。Microsoft 操作管理器(MOM)和Telnet都依赖于该服务。
对于堡垒主机的正常操作来说,该服务不是必需的。您可以使用组策略将服务的开始模式设置为仅仅允许服务器管理员进行访问,以阻止未经授权或怀有恶意的用户对服务进行配置和操作。此外,禁用该服务能有效地降低一台堡垒主机服务器的攻击表面。因此,在BHLP中“NTLM安全支持提供者”设置被配置为“禁用”。
性能日志和警报
表 11.9:设置
“性能日志和警报”服务基于预先配置的时间表从本地或远程计算机上采集性能数据,然后将数据写入一个日志或触发一个警报。根据包含在指定日志采集设置中的信息,该服务将启动和停止每个指定的性能数据集合。至少有一个采集计划,该服务才能运行。
停止并禁用“性能日志和警报”服务将会导致性能信息未被搜集,当前运行的数据采集也将会终止,并且预定的未来采集计划也将不会发生。
对于堡垒主机的正常操作来说,该服务不是必需的。您可以使用组策略将服务的开始模式设置为仅仅允许服务器管理员进行访问,以阻止未经授权或怀有恶意的用户对服务进行配置和操作。此外,禁用该服务能有效地降低一台堡垒主机服务器的攻击表面。因此,在BHLP中“性能日志和警报”设置被配置为“禁用”。
远程管理服务
表 11.10:设置
当服务器重启动时,“远程管理服务”运行下列远程管理任务:
增加服务器重启动次数的计数。
生成一个自我签署的证书。
如果未在服务器上设置数据和时间,则产生一个警报。
如果没有配置电子邮件报警功能,则产生一个警报。
停止“远程管理服务”可能会导致远程服务器管理工具的一些特性不能正常工作,例如,用于远程管理的Web界面程序。禁用该服务还导致任何明显依赖它的服务失败。
对于堡垒主机的正常操作来说,该服务不是必需的。您可以使用组策略将服务的开始模式设置为仅仅允许服务器管理员进行访问,以阻止未经授权或怀有恶意的用户对服务进行配置和操作。此外,禁用该服务能有效地降低一台堡垒主机服务器的攻击表面。因此,在BHLP中“远程管理服务”设置被配置为“禁用”。