概述
本章将为您提供在企业环境中保护Microsoft?“证书服务”服务器系统的安全所需的全面指导。尽管本章涉及了用于完成此任务的全部信息,但本指南并未提供在企业环境中创建安全证书服务结构或部署证书颁发机构的详细信息。您可以在Microsoft Windows Server? 2003产品文档――Windows Server 2003 Resource Kit,以及及Microsoft Web站点上找到涉及此类主题的相关白皮书。此外,您还可以在相关指南“保护无线LAN―― Windows Server 2003 证书服务解决方案”中找到一些补充信息,该指南可以通过http://go.microsoft.com/fwlink/?LinkId=14843获得。
使用默认设置值安装的Windows Server 2003处于一种安全的状态。为了提高本章的可用性,我们在本章中将只讨论那些被成员服务器基线策略(MSBP)进行了修改的设置。关于在MSBP中 进行设置的信息,请看第三章“创建成员服务器基线”。有关所有默认设置的信息,请看相关指南“威胁和对策:Windows Server 2003和Windows XP中的安全设置 ”。
您必须在企业环境中的一些“证书服务”服务器上安装Microsoft Internet信息服务(IIS),这样的目的是为了分发证书颁发机构(CA)和证书吊销列表(CRL)。IIS还用来发布“证书服务”服务器的登记页面,此页面允许非 Microsoft Windows? 的客户端进行证书登记。了解这些程序将有助于您安全地安装IIS,这些内容已经在第 8 章“ 强化IIS服务器”中讨论过了,它们是使用本章所提供信息的先决条件。
此外,如果在CA上安装了IIS,那么在按照规定对本章所介绍的服务器角色安全设置进行配置之前,必须将为第 8 章开发的安全配置模板应用到“证书服务”服务器上。
注意:在经过简化的环境中,发布 的CA服务器可用做Web服务器主机、CA验证主机和CRL下载点。但是,您还是应该考虑在您自己的环境中使用一台单独的Web服务器,以提高CA的安全。
IIS被用来托管证书服务的登记页面,以及为非Windows客户发布CA证书和充当CRL下载点 。Microsoft建议您不要在根证书颁发机构(CA)服务器上安装IIS 。如果可能,还应该避免在环境中的Issuing(发布)和任何Intermediate(中间) CA上运行IIS。在不同的服务器上分别为CA证书和CRL创建Web下载点比只在CA服务器上创建下载点要安全得多。可能有许多使用证书的用户(内部的和外部的)需要检索CRL或CA链信息,没有必要授予他们访问CA的权限。如果只在CA上托管下载点,则此限制措施是很难实行的。
注意:为“证书服务”服务器角色指定的设置只在企业客户机环境下进行了测试。因此,我们在介绍大多数其它服务器角色时所提到的IPSec过滤器和拒绝服务(DoS)信息没有包括在本指南中。
审核策略设置
在本指南所定义的企业客户机环境中,您可以通过MSBP为证书服务服务器配置审核策略设置。关于MSBP的更多信息,请看第三章“创建成员服务器基线。”MSBP设置确保了在全部证书服务服务器上记录所有相关的安全审核信息。
用户权限分配
在本指南所定义的企业客户机环境中,您也可以通过MSBP为“证书服务”服务器配置用户权限分配。关于MSBP的更多信息,请看第三章“创建成员服务器基线。”MSBP设置确保了您可以在整个企业中为“证书服务”服务器统一配置适当的访问权限。
安全选项
可使用组策略的“安全选项”部分来启用或禁用计算机安全设置,如数据的数字签名、Administrator 和Guest 帐户的名称、软盘驱动器和CD ? ROM驱动器访问、驱动器安装方式和登录提示等。
在Windows Server 2003中可以对“安全选项”的设置进行配置,它在“组策略对象编辑器”中的位置如下:
Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options
本节下面的表格包括了本指南所定义的企业环境中“证书服务”服务器角色的“安全选项”设置。
设备:只有本地登录的用户可以访问CD ? ROM
表10.1:设置
“设备:只有本地登录的用户访问CD ? ROM”设置决定了本地和远程用户是否能够同时访问一台CD ? ROM。启用该设置将只允许以交互方式登录的用户访问可移动的CD ? ROM驱动器。但是,当此设置被启用并且没有用户以交互方式登录时,用户可以通过网络访问它。
无论何时,只要有人登录到服务器上的本地控制台,那些通过网络连接到“证书服务”服务器的用户便无法使用服务器上的任何CD ? ROM 驱动器。我们不建议在系统上启用此设置,以将服务器用作网络用户的CD点唱机。然而,启用此设置将会阻止攻击者从服务器的CD ? ROM驱动器上运行恶意程序。在一个CA上,管理员可以使用CD ? ROM驱动器从服务器上复制敏感的重要数据,或将数据复制到服务器上――此设置会阻止除本地登录的管理员以外的任何人访问敏感数据。因此,在本指南所定义的企业客户机环境中,此设置被配置为“启用”。
设备:只有本地登录的用户可以访问软盘
表10.2:设置
“设备:只有本地登录的用户可以访问软盘”设置确定本地和远程用户是否能够同时访问可移动的软盘介质。启用该设置只允许交互登录的用户访问可移动的CD ? ROM驱动器。但是,当此设置被启用并且没有用户以交互方式登录时,用户可以通过网络访问软盘。
无论何时,只要有人登录到服务器上的本地控制台,那些通过网络连接到“证书服务”服务器的用户将无法再使用服务器上的任何软磁盘驱动器。然而,启用此设置可以阻止攻击者从服务器的软盘动器上运行恶意程序。在一个CA上,管理员可以使用软盘驱动器从服务器上复制敏感的重要数据,或将数据复制到服务器上――此设置将阻止除本地登录的管理员以外的任何人访问敏感数据。因此,在本指南所定义的企业客户机环境中,此设置被配置为“启用”。
系统加密: 对加密,散列和签署使用符合 FIPS的 算法
表10.3:设置
“系统加密: 对加密,散列和签署使用符合 FIPS的算法”确定了传输层安全/安全套接字层(TLS/SSL)安全提供程序是否只支持TLS_RSA_WITH_3DES_EDE_CBC_SHA密码套件。事实上,这意味着该提供程序只支持将TLS协议作为客户端和服务器端(如果可用的话)。
TLS/SSL安全提供程序使用如下算法:
用于TLS传输加密的3DES(Triple Data Encryption Standard)加密算法。
用于TLS密钥交换和验证的Rivest、Shamir和Adelman(RSA)公共密钥算法。(RSA是一个由RSA Data Security, Inc开发的公共密钥加密技术。)
符合TLS散列要求的SHA ? 1散列算法。
对加密文件系统服务(EFS)来说,TLS/SSL安全提供程序只支持使用3DES加密算法来加密Windows NTFS文件系统所支持的文件数据。默认情况下,EFS使用DESX算法来加密文件数据。
启用该设置可以确保企业环境中的计算机履行此服务器功能,它为实现数字加密、散列和签署而使用了最强大的算法。这样,就减小了未经授权的用户威胁数字加密或签名数据的风险。因此,在本指南所定义的 企业客户机 环境中,此设置被配置为“启用”。
注意:启用此设置的客户端将无法通过数字加密或者数字签署协议与那些不支持这些算法的服务器进行通讯。不支持这些算法的网络客户还将无法使用需要加密网络通讯的服务器。例如,许多基于Apache的Web服务器就无法支持TLS。如果您启用了该设置,则还需对Internet Explorer进行配置,才能使用TLS,从Internet Explorer的“工具”菜单上,打开“Internet选项”对话框,然后,单击“高级”选项卡,在“设置”列表中向下滚动,然后单击“使用TLS 1.0”复选框。您还可以通过组策略或使用Internet Explorer管理员工具包对此进行配置。
事件日志设置
在本指南所定义的企业客户机环境中,也可以通过MSBP为“证书服务”服务器配置“事件日志”设置。关于MSBP的更多信息,请查阅第三章“创建成员服务器基线”。
系统服务
任何服务或应用程序都是一个潜在的攻击点,因此,应该禁用或删除所有不需要的服务或可执行文件。在MSBP中,这些可选的服务,以及所有其它不必要的服务都应该被禁用。
在运行的Windows Server 2003的“证书服务”服务器上,经常还有其它一些服务被启用,但是,这些服务不是必需的。这些服务的用途和安全一直是争论的对象。因此,在本章中,有关此服务器角色的建议可能不适用于您的环境。您可能需要调整“证书服务”服务器的组策略设置以满足您所在环境的实际需求。
可在Windows Server 2003中配置“系统服务”的设置,其在“组策略对象编辑器”中的位置如下。
Computer Configuration\Windows Settings\Security Settings\System Services
下表介绍了本指南所定义的企业客户机环境中 “证书服务”服务器角色的增量式策略服务设置。
证书服务
表10.4:设置
“证书服务”是Windows Server 2003操作系统的核心部分,它允许企业担当其自己的CA。此服务需要证书服务器正常发挥其功能。这些服务可以用来为应用程序发布和管理数字证书,例如“安全/多用途Internet邮件扩展”(S/MIME)、SSL 、EFS、IPSec和智能卡登录等。Windows Server 2003支持多个级别的CA层次,以及交叉验证信任网络,包括离线和在线CA。
禁用该服务将导致证书请求被拒绝,CRL和delta CRL也将无法发布。长时间停止该服务将会导致CRL过期以及现有证书的校验过程产生失败。因此,在本指南所定义的企业客户机环境中,这些服务的设置被配置为“自动”。
计算机浏览器
表10.5:设置
“计算机浏览器” 服务维护网络上计算机的最新列表,并将列表提供给需要它的程序。基于 Windows的计算机使用“计算机浏览器” 服务来查看网络中的域和资源。
被指定为浏览器的计算机对浏览列表进行维护,列表包括网络上所使用的所有共享资源。Windows应用程序的较早版本,如“我的网络位置”、“NET VIEW”命令和Microsoft Windows NT? Explorer,都需要浏览功能。例如,在运行Windows 95的计算机上打开“我的网络位置”,就会显示一个域和计算机的列表,这个列表就是该计算机从一台被指定为浏览器的计算机浏览列表中获得的一个副本。
禁用“计算机浏览器”服务将会导致无法更新和维护浏览器列表。禁用该服务还导致任何直接依赖它的服务失败。在一个浏览环境中,计算机可以扮演几个不同的角色。在某些情况下,例如被指定为浏览器的计算机崩溃或者关机,浏览器――或潜在的浏览器――可能会变成一个不同的操作角色。
禁用“计算机浏览器”服务将会导致无法更新和维护浏览器列表。禁用该服务还导致任何直接依赖它的服务无法启动。但是,CA服务器不需要该服务。因此,在该指南所定义的三个企业客户环境中,此服务被配置为“禁用”。
其它注册表设置
我们可以为未在本指南所定义企业客户机环境的“管理模板”(.adm)文件中定义的“证书服务”服务器安全模板文件创建额外的注册表键值项目。这些.adm文件为Windows Server 2003的桌面、外壳和安全设置定义了系统策略和限制。
您可在安全模板中配置这些额外的注册表设置,以便自动化实现这些修改过程。如果相关环境中的策略被删除了,那么这些设置将不会自动删除,必须使用像Regedt32.exe这样的注册表编辑工具进行手工更改。
您可以在Windows Server 2003中对注册表设置进行配置,它在“组策略对象编辑器”中的位置如下:
MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration
下表包括了对本指南所定义企业客户机环境中“证书服务”服务器角色的任何配置修改进行审核所需使用的注册表键和子键的路径。
表10.6:注册表审核SACL
其它安全性设置
您可以通过组策略分配以下设置。但是,本指南并没有包括这些设置,这是因为每台服务器上按照的数据库系统及其日志文件都存在一定的差别。例如,您的证书服务器可能有C:\、D:\及 E:\ 驱动器。以下部分描述了如何手工实施这些配置的详细情况。
文件系统访问控制列表
如果文件不是由访问控制列表(ACL)所保护的,那么能够通过本地计算机或网络访问这些文件的未经授权用户就能很容易地对它们进行查看、修改或删除。ACL有助于为它们提供保护。对于那些只需要由某个单独用户访问的文件来说,加密为其提供了更多的保护,并且是一个切实可行的选择。
下表列出了在本指南定义的企业客户机环境中运行 Windows Server 2003系统的“证书服务”服务器的文件系统 ACL。在此环境中,证书服务将证书数据库安装在服务器的“D:\”驱动器的“D:\CertSrv”目录中,并将数据库日志储存在默认的%SystemRoot%\system32\CertLog文件夹中。您也可以将日志从系统驱动器移动到一个物理形式上与系统驱动器分割开来并且进行了镜像处理的驱动器上,例如“E:\ ” 的“ E:\CertLog ”文件夹中。将数据库和日志分开储存到不同的驱动器上,并不是出于安全的需要,而是可能出现的磁盘故障增加一些保护措施,以及通过将它们分开放置于不同的物理磁盘设备上来提高系统性能。证书服务的默认安装文件夹是%SystemRoot%\system32\CertLog和%SystemRoot%\system32\CertSrv,并且在默认情况下具有正确的ACL。具体情况如下表所示。
表10.7:文件系统ACL
因为CA的安全性非常重要,所以我们在上表所列的证书服务文件夹上启用了文件审核。审核项目的配置如下:
表10.8:审核证书服务文件和注册表
这些设置旨在审核用户的各种失败访问(只读或修改),以及审核用户所有的成功修改。
保护众所周知的帐户
在Microsoft Windows Server? 2003中有一些内置的帐户,它们不能被删除,而只能重命名。在Windows 2003中最为人所熟知的两个内置帐户是Guest和Administrator。
默认情况下,成员服务器和域控制器上的Guest帐户是禁用的,而且不应被修改。您应该对内置的Administrator帐户重命名,并且改变其描述以阻止攻击者从远程服务器使用一个众所周知的帐户进行攻击。
许多恶意代码的变种使用内置的管理员帐号,企图窃取服务器的秘密。上述重命名的意义已经降低了,因为近年来出现了许多新的攻击工具,该类工具通过指定内置Administrator帐户的安全身份标识符(SID)决定其真名而侵入服务器。 SID是一个能唯一识别每一个用户、组、计算机帐户及网络登陆会话的数据。内置帐户的SID是不可能改变的。将本地管理员帐户重新命名为独特的名称,操作部门就可以轻松监控攻击该帐户的企图。
在服务器上采用下列步骤来保护众所周知的帐户:
1. 重命名Administrator和Guest帐户,然后将其在每台服务器上的密码设成一个长且复杂的值。
2. 在每台服务器上使用不同的名字和密码。如果在所有的服务器上都使用相同的帐户名和密码,那么获得一台服务器访问权的攻击者就能使用相同的帐户名和密码来访问所有其它的服务器。
3. 更改对帐户的描述,使其与默认描述不同,以防止帐户被轻易识别出来。
4. 在一个安全的位置记录这些更改。
注意:可通过组策略来重命名内置的管理员帐户。因为应该为环境选择一个唯一的名字,所以只有在部分该指南所提供的安全模板中能配置此设置。在该指南所定义的三个环境中,可以对“帐户:重命名管理员帐户”设置进行配置,来为管理员帐户重命名。此设置是GPO“安全选项”设置的一部分。
保护服务帐户
除非绝对必要,否则不要将服务配置成在域帐户的安全上下文下运行。如果一台服务器的物理安全受到损害,那么通过转储本地安全验证(Local Security Authority,LSA)秘文即可获得域的帐户和密码。
总结
本章讲述了对Windows Server 2003中的证书服务器进行安全强化所需采取的一些措施,我们建议在本指南所定义的企业客户机环境中使用这些措施来保护“证书服务”服务器的安全。您可使用组策略来配置和应用这些设置。您可以将能够对MSBP起到有益补充作用的组策略对象(GPO)链接到包含“证书服务”服务器的组织单位中,以便为服务器提供的服务赋予更多的安全性。
