返回页首
如何使用本模块使用本模块可以了解应用于基于 Windows Server 2003 的域控制器的安全设置。本模块详述了 Windows 2003 安全性简介域控制器安全模板使用的的安全模板设置,使用本模块可以研究可能的安全配置。本模块将解释各个设置及其对域和服务器环境的影响。
为了更好地理解本模块的内容,请:
•
阅读模块 Windows 2003 安全性简介。它解释了“Windows 2003 安全性简介”的目的和内容。
•
阅读模块配置 Windows Server 2003 环境中的域基础结构。它提供了设计和实现安全域基础结构的方法。
返回页首
概述在运行 Windows Server 2003 且使用 Microsoft Active Directory® 目录服务的任何计算机环境中,域控制器服务器是确保其安全的一种最重要的角色。如果此环境中的域控制器丢失或安全受到威胁,可能说明依赖域控制器进行身份验证、组策略和中央轻型目录访问协议 (LDAP) 目录的客户端、服务器和应用程序已毁坏。
由于其重要性,域控制器应总是存储在物理安全位置中,仅限定的管理员工可以访问。当域控制器必须存储在不安全的位置(如分支办公室)时,可调整一些安全设置以限制潜在的物理破坏。
域控制器基准策略与本指南后面详述的其他服务器角色策略不同,域控制器服务器角色的组策略是一个基准策略,它与创建 Windows Server 2003 服务器的成员服务器基准模块定义的成员服务器基准策略 (MSBP) 的类别相同。域控制器基准策略 (DCBP) 链接到域控制器组织单位 (OU) 并优先于默认的域控制器策略。DCBP 中包含的设置将增强任何给定环境中域控制器的总体安全性。
大部分 DCBP 是 MSBP 的直接副本。既然 DCBP 基于 MSBP,则应仔细查看模块创建 Windows Server 2003 服务器的成员服务器基准,以便完全理解 DCBP 中包括的许多其他设置。本模块只对那些不同于 MSBP 中设置的 DCBP 设置提供了文档资料。
域控制器模板进行了独特设计,以满足本指导所定义的三种环境的安全需要。下表显示了本指南附带的域控制器 .inf 文件与这些环境之间的关系。例如,Enterprise Client - Domain Controller.inf 文件是用于企业客户端环境的安全模板。 表 1:域控制器基准安全模板
旧客户端
企业客户端
高安全级
Legacy Client - Domain Controller.inf
Enterprise Client - Domain Controller.inf
High Security - Domain Controller.inf
注意:将一个错误配置的组策略对象 (GPO) 链接到域控制器 OU,可能会严重影响域的正确操作。最后的练习将考虑何时导入这些安全模板,并且在 GPO 链接到域控制器 OU 之前验证所有已导入的设置是否正确。 返回页首
审核策略设置域控制器的审核策略设置与 MSBP 中所指定的相同。有关详细信息,请参阅模块创建 Windows Server 2003 服务器的成员服务器基准。DCBP 中的基准策略设置确保所有相关的安全审核信息记录在域控制器中。 返回页首
用户权限分配DCBP 为域控制器指定许多用户权限分配。除默认设置外,修改了其他七种用户权限以增强本指南定义的三种环境中域控制器的的安全性。
本节提供与 MSBP 中的设置不同的 DCBP 指定用户权限设置的相关详细信息。有关本节中指定设置的小结,请参阅“Windows Server 2003 Security Guide”附带的Windows Server 2003 Security Guide Settings Excel 工作簿,其网址为:http://go.microsoft.com/fwlink/?LinkId=14846(英文)。
从网络访问此计算机表 2:设置
通过“通过终端服务允许登录”用户权限,用户可以使用远程桌面连接登录到计算机。
如果通过终端服务对可使用哪些帐户登录到域控制器控制台进行限制,将有助于阻止未经授权的用户访问域控制器文件系统和系统服务。通过终端服务可以登录到域控制器控制台的用户可能利用此系统,并且可能威胁整个域或林的安全。
只向“Administrators”组授予此权限将域控制器的交互式访问权仅限制在高度信任用户,因此增强了安全性。出于此原因,在本指南中定义的三种环境中,“域中添加工作站”用户权限只授予给“Administrators”组。默认情况下,虽然通过终端服务登录到域控制器需要管理权限,但是配置此用户权限将有助于防止可能危及此限制的无意或恶意操作。
作为进一步安全措施,DCBP 将拒绝默认的“Administrator”帐户通过终端服务登录域控制器的权限。此设置也将阻止恶意用户试图使用默认的“Administrator”帐户从远程闯入域控制器。有关此设置的详细信息,请参阅模块创建 Windows Server 2003 服务器的成员服务器基准。
更改系统时间表 6:设置
域控制器默认值
旧客户端
企业客户端
高安全级
Administrators、Server Operators
Administrators
Administrators
Administrators
通过“更改系统时间”用户权限,用户可以调整计算机内部时钟的时间。更改系统时间的时区或其他显示特征不需要此权限。
同步系统时间对于 Active Directory 的操作是关键的。Kerberos v5 身份验证协议所使用的正确的 Active Directory 复制和身份验证票证生成过程均依赖于在任何环境中同步的时间。
如果使用某系统时间配置的域控制器与此环境中其他域控制器的系统时间不同步,此域控制器可能妨碍域服务操作。只有管理员可以修改系统时间,这将使使用错误系统时间配置域控制器的可能性减至最低。
默认情况下,向“Server Operators”组授予了修改域控制器系统时间的权限。由于此组成员错误修改域控制器系统时间可能导致的影响,所以在 DCBP 中配置此用户权限,以便只有“Administrators”组能够在本指南定义三种环境的任何一种中更改系统时间。
有关 Windows 时间服务的更多信息,请参阅知识库文章 Q224799“Basic Operation of the Windows Time Service”,其网址为:http://support.microsoft.com/default.aspx?scid=224799(英文),以及 Q216734“How to Configure an Authoritative Time Server in Windows 2000”,其网址为: http://support.microsoft.com/default.aspx?scid=216734(英文)。
使计算机和用户帐户受信任以进行委派表 7:设置
通过“关闭系统”用户权限,用户可以关闭本地计算机。
具有关闭域控制器能力的恶意用户可轻松地启动一个可能严重影响整个域或林的拒绝服务 (DoS) 攻击。此外,可在重新启动服务时利用此用户权限启动对域控制器系统帐户的特权提升攻击。对域控制器的一次成功的特权提升攻击将威胁域或整个林的安全。
默认情况下,向“Administrators”、“Server Operators”、“Print Operators”和“Backup Operators”组授予此权限以关闭域控制器。在安全环境中,除“Administrators”之外,其他组均不需要此权限来执行管理任务。出于此原因,在本指南定义的三种环境中,只向“管理员”组授予此用户权限。 返回页首
安全选项域控制器的大多数安全选项设置与 MSBP 中指定的设置相同。有关详细信息,请参阅模块创建 Windows Server 2003 服务器的成员服务器基准。在下一节中将描述 MSBP 和 DCBP 的区别。
网络安全:不要在下次更改密码时存储 LAN Manager 的哈希值表 11:设置
成员服务器默认值
旧客户端
企业客户端
高安全级
已禁用
已禁用
已启用
已启用
“网络安全:不要在下次更改密码时存储 LAN Manager 的哈希值”安全选项设置确定密码更改时是否存储了新密码的 LAN Manager (LM) 哈希值。与加密性更强的 Windows NT® 哈希相比,LM 哈希相对较弱且易受攻击。出于此原因,此 MSBP 在本指南定义的三种安全环境中启用此设置。
DCBP 在企业客户端和高安全级环境的域控制器上启用此设置,在旧客户端环境的域控制器上禁用此设置。如果在旧客户端环境的域控制器上启用此设置,Windows 98 客户端在更改其密码后将无法登录。 注意:旧操作系统和某些第三方应用程序在启用此设置时可能会失败。此外,启用此设置需要所有帐户更改其密码。 返回页首
事件日志设置域控制器的事件日志设置与 MSBP 中指定的设置相同。有关详细信息,请参阅模块创建 Windows Server 2003 服务器的成员服务器基准。DCBP 中的基准组策略设置确保域控制器上记录了所有相关安全审核信息,包括 Directory Services Access。 返回页首
系统服务在所有 Windows Server 2003 域控制器上,必须启用下列系统服务。DCBP 中的基准策略设置确保所有所需系统服务在域控制器间统一配置。
本节提供了有关与 MSBP 中的设置不同的 DCBP 预定系统服务设置的详细信息。有关本节中预定设置的小结,请参阅“Windows Server 2003 Security Guide”附带的 Windows Server 2003 Security Guide Settings Excel 工作簿,其网址为:http://go.microsoft.com/fwlink/?LinkId=14846(英文)。 注意:如果从 Windows Server 2003 支持工具运行 DCDiag.exe 实用程序,它将检测所有可在目前环境的域控制器上运行的服务。DCDiag.exe 将会因为域控制器基准策略中的某些服务(包括 IISADMIN、SMTPSVC 和 TrkSvr)已禁用而报告错误。此信息并不表示配置出现问题。
分布式文件系统表 12:设置
域控制器默认值
服务名
旧客户端
企业客户端
高安全级
自动
DFS
自动
自动
自动
“分布式文件系统 (DFS)”服务将全异的文件共享分布并集成到单一逻辑命名空间中。此服务管理在局域网和广域网 (WAN) 上分布的逻辑卷,它是 Active Directory 系统卷 (SYSVOL) 共享所必需的服务。SYSVOL 复制依赖于正确的 DFS 操作。
使用组策略保护和设置某服务的启动模式,这将只向服务器管理员授予访问权,因此,可以避免未经授权或恶意用户配置或运行此服务。组策略还可以防止管理员因疏忽而禁用此服务。出于这些原因,在本指南定义的三种环境中,将此服务配置为在 DCBP 中自动启动。
DNS 服务器表 13:设置
域控制器默认值
服务名
旧客户端
企业客户端
高安全级
自动
DNS
自动
自动
自动
“DNS 服务器”服务解析 DNS 名称的域名系统 (DNS) 查询和更新请求。“DNS 服务器”是在 Active Directorys 中使用 DNS 名称和域控制器查找已标识设备的重要服务。
Active Directory 的可靠性和可用性非常依赖于“DNS 服务器”服务的正确操作。没有 DNS,域控制器将无法互相找到对方以复制目录信息,而且客户端无法联系域控制器以进行验证。
使用组策略设置某服务的启动模式并使之安全,这将只授予服务器管理员访问权限,因而使该服务免受未经授权的用户或恶意用户的配置或操作。组策略也将防止管理员因疏忽而禁用该服务。因此,在本指导定义的三种环境中,将该服务配置为在 DCBP 中自动启动。
文件复制表 14:设置
域控制器默认值
服务名
旧客户端
企业客户端
高安全级
自动
NtFrs
自动
自动
自动
通过“文件复制”服务,将在多台服务器上同时自动复制和维护文件。文件复制服务 (FRS) 是 Windows 2000 和 Windows Server™ 系列中的自动文件复制服务。该服务复制所有域控制器上的 SYSVOL,并可进行配置以复制与默认容错 DFS 相关联的其他目标上的文件。SYSVOL 复制也依赖于“文件复制”服务的正确操作。
使用组策略设置某服务的启动模式并使之安全,这将只授予服务器管理员访问权限,因而使该服务免受未经授权的用户或恶意用户的配置或操作。组策略也将防止管理员因疏忽而禁用该服务。因此,在本指导定义的三种环境中,将该服务配置为在 DCBP 中自动启动。
站点间消息传递表 15:设置
域控制器默认值
服务名
旧客户端
企业客户端
高安全级
自动
IsmServ
自动
自动
自动
“站点间消息传递 (ISM)”服务使消息能够在在运行 Windows Server 站点的计算机之间进行交换。该服务用于站点间基于邮件的复制。Active Directory 包括通过 Internet 协议 (IP) 传输在使用简单邮件传输协议 (SMTP) 的站点之间的支持复制。SMTP 支持由作为 Microsoft Internet 信息服务 (IIS) 组件的 SMTP 服务提供。
用于站点间通信的传输设置必须是可扩展的,而且每个传输在一个独立的加载项动态链接库 (DLL) 中定义。在所有可能执行站点间通信的域控制器上运行的 ISM 服务中将加载这些加载项 DLL。 ISM 服务将发送和接收消息请求定向至适当的传输加载项 DLL,然后将这些消息路由至目标计算机的 ISM 服务。Active Directory 复制依赖于正确运行的“站点间消息传递”服务。
使用组策略设置某服务的启动模式并使之安全,这将只授予服务器管理员访问权限,因而使该服务免受未经授权的用户或恶意用户的配置或操作。组策略也将防止管理员因疏忽而禁用该服务。因此,在本指导定义的三种环境中,将该服务配置为在 DCBP 中自动启动。
Kerberos 密钥分布中心表 16:设置
集成 DNS 到 Active DirectoryMicrosoft 推荐在本指南所定义的三种环境中集成 Active Directory 与 DNS 服务,因为在某种程度上将 DNS 集成到 Active Directory 可以简化保护 DNS 基础结构的工作。
保护 DNS 服务器对于 Active Directory 环境来说,确保 DNS 服务器的安全性至关重要。以下部分将提供相关的建议与解释。
攻击者攻击 DNS 服务器的目标之一是截获返回给客户的 DNS 信息。这样,客户端可能无意中错误定向到未经验证的计算机。IP 欺骗和高速缓存破坏均属于此类攻击。
在 IP 欺骗中,未经授权用户 IP 地址被添加到传输数据中,以骗取访问计算机或网络的权限。在缓存中毒攻击中,未经授权的主机将其他主机的错误信息传输到 DNS 服务器缓存中。该攻击导致将客户端重定向到未经授权的计算机。
如果客户无意中开始了与未经授权计算机的通讯,这些计算机则可能试图获得访问权限,以访问存储在该客户端计算机上的信息。
并不是所有攻击均集中于欺骗 DNS 服务器上。一些 DoS 攻击可能会更改合法 DNS 服务器中的 DNS 记录。这样,客户端在发出查询请求后,将收到无效的地址。收到攻击后,服务器将返回无效地址,因此客户端和服务器无法查找所需的资源,例如域控制器、Web 服务器或文件共享目录。
基于此,本指南建议在三种环境中配置所使用的路由器以丢弃哄骗的 IP 数据包,从而确保 DNS 服务器的 IP 地址不被其他计算机欺骗。
配置安全的动态更新Windows Server 2003 DNS 客户端服务支持动态 DNS 更新,通过该服务,客户端系统可以将 DNS 记录直接添加到数据库中。如果将动态 DNS 服务器配置为接收不安全的更新,则其可以接收来自攻击者(使用支持 DDNS 协议的客户端)的恶意或未经授权的更新。
最小的影响是,攻击者可能将错误项添加到 DNS 数据库;最坏的情况是,攻击者可能覆盖或删除 DNS 数据库中的合理项。这样的攻击可能导致下列任何一种情况:
•
将客户端定向到未经授权的域控制器:当客户端提交查找域控制器地址的 DNS 查询时,某泄露的 DNS 服务器可被指示返回未经授权服务器的地址。使用其他相关的非 DNS 攻击时,客户端可能被欺骗将安全信息传递到错误服务器。
•
使用无效地址响应 DNS 查询:这将使客户端与服务器无法相互查找。如果客户端找不到服务器,则无法访问该目录。域控制器找不到其他域控制器时,目录复制将停止并创建一个可能影响整个林用户的 DoS 条件。
•
在创建 DoS 条件过程中,服务器磁盘空间可能会因虚拟记录填满的巨大区域文件或者减慢复制的大量项而耗尽。
如果是由 Active Directory 林中的有效客户端发送注册请求,则使用安全 DDNS 更新将保证只对注册请求进行处理。这将大大限制攻击者泄露 DNS 服务器完整性的机会。
基于此,本指南建议在所定义的三种环境中配置 Active Directory DNS 服务器以仅接收安全动态更新。
将区域传输限制在已授权系统由于区域在 DNS 中扮演着重要角色,它们应该能通过网络的多个 DNS 服务器获得,以便在解析名称查询时提供足够的可用性和容错性。否则,刚好发送到区域中没有响应的某个服务器上的名称查询可能无法解析。对于驻留区域的其他服务器,需要区域传输复制和同步所用区域的所有副本。
此外,没有限制可以请求区域传输的用户的 DNS 服务器易将整个 DNS 区域传输到任何请求它的用户。使用工具如 nslookup.exe 可以轻松地完成此操作。这些工具会暴露整个域的 DNS 数据集,包括哪些主机正用作域控制器、目录集成 Web 服务器或 Microsoft SQL Server 2000 数据库。
基于此,本指南建议在所定义的三种环境中配置 Active Directory 集成 DNS 服务器以允许区域传输,但是限制可以请求传输的系统类型。
调整事件日志和 DNS 服务日志的大小确保为某环境中的域控制器记录和维护足够数量的信息对于有效监视 DNS 服务是至关重要的。
增加 DNS 服务日志文件的最大大小有助于管理员维护足够数量的信息,以便在发生攻击时执行有意义的审核。
基于此,本指南建议在所定义的三种环境中,将域控制器的 DNS 服务日志文件的最大大小至少配置为 16 MB,并确保选择 DNS 服务中的“按需要覆盖事件”选项以最大化保留日志项的数量。
保护已知帐户Windows Server 2003 具有大量无法删除但可重命名的内置用户帐户。Windows 2003 中最为人所知的两个内置帐户是“Guest”和“Administrator”。
默认情况下,在成员服务器和域控制器上禁用“Guest”帐户。不应更改该设置。应该重命名内置“Administrator”帐户并更改描述以防止攻击者使用已知帐户危及远程服务器的安全。
许多恶意代码最初试图使用内置管理员帐户危及服务器的安全。通过指定内置管理员帐户 SID 以确定其真实名称的攻击工具可试图侵入服务器,由于该工具的发布,过去几年中对此配置值的更改已经减少了。SID 值唯一标识网络中的用户、组、计算机帐户和登录会话。不可能更改该内置帐户的 SID。重命名本地管理员帐户唯一名称可使操作组易于监视对该帐户的试图攻击。
完成下列步骤可保护域和服务器上的已知帐户:
“错误报告”服务有助于 Microsoft 跟踪和解决错误。可以配置该服务以生成有关操作系统错误、Windows 组件错误或程序错的报告。启用“报告错误”服务可将这些错误通过 Internet 报告给 Microsoft 或报告给内部企业文件共享。
该设置仅在 Microsoft Windows®、XP Professional 操作系统和 Windows Server 2003 中可用。在组策略对象编辑器中配置该设置的路径是:
计算机配置\管理模板\系统\错误报告
错误报告可能包含敏感或乃至保密的企业数据。关于错误报告的 Microsoft 隐私策略可确保 Microsoft 正确使用此类数据,但是该数据以明文超文本传输协议 (HTTP) 传输,它可能会在 Internet 上被截获并被第三方查看。基于此,本指南建议在所定义的所有三种安全环境中,将 DCBP 中的“错误报告”设置配置为“已禁用”。
使用 IPSec 筛选器的块端口Internet 协议安全 (IPSec) 筛选器可提供一种有效方法以提高服务器所需的安全级别。本指南建议在所定义的“高安全级”环境中使用此可选指南以进一步降低服务器的攻击面。
有关使用 IPSec 筛选器的详细信息,请参阅模块其他成员服务器强化过程。
下表列出了在本指南定义的“高安全级”环境中可在域控制器上创建的所有 IPSec 筛选器。
下表列出了在本指南定义的“高安全级”环境中应在域控制器上创建的所有 IPSec 筛选器。 表 23:域控制器 IPSec 筛选器网络流量图
IP卡
狗仔卡
楼主
显身卡
发表于 2007-10-9 11:59:58
