因爲文件服務器提供的大多數重要服務都需要Microsoft? Windows? 網絡基本輸入/輸出系統(NetBIOS)相關協議的支持,所以在強化文件服務器的安全方面存在一些挑戰。服務器消息塊(SMB)協議和通用Internet文件系統(CIFS) 協議能給未經授權用戶提供大量的信息。因此,我們經常建議在高安全性的Windows環境中禁止文件服務器使用這些協議。但是,禁用這些協議可能給你的環境中的管理員和用戶訪問文件服務器造成一定的困難。
本章下面的部分將詳細描述文件服務器能夠從中受益的一些安全性設置,這些設置都不能通過成員服務器基線策略(MSBP)得到應用。要了解更多關於MSBP的信息,可參閱第三章"創建成員服務器基線".
審覈策略設置
在本指南定義的三種環境下,文件服務器的審覈策略設置都是通過MSBP進行配置的。要了解更多關於MSBP的信息,可參閱第三章"創建成員服務器基線".MSBP設置確保所有相關的安全審覈信息被會被所有文件服務器記錄在日誌中。
用戶權限分配
在本指南定義的三種環境下,文件服務器的用戶權限分配都是通過MSBP進行配置。要了解更多關於MSBP的信息,可參閱第三章"創建成員服務器基線".MSBP設置確保所有正確的用戶權限分配都能夠跨越不同文件服務器實現統一配置。
安全選項
在本指南定義的三種環境下,文件服務器的安全選項設置都是通過MSBP進行配置。要了解更多關於MSBP的信息,可參閱第三章"創建成員服務器基線".MSBP設置確保所有相關的安全選項設置能夠跨越不同文件服務器實現統一配置。
事件日誌設置
在本指南定義的三種環境下,文件服務器的事件日誌設置都是通過MSBP進行配置。要了解更多關於MSBP的信息,可參閱第三章"創建成員服務器基線".
系統服務
任何服務和應用軟件都是***的潛在目標,所以應該禁用或刪除不需要的服務和可執行文件。在MSBP中,可選服務和不必要的服務都應該被禁用。
在運行Microsoft Windows Server? 2003的文件服務器上,有一些不重要並且不必要的服務常常被啓用。這些服務的使用及其安全性一直是人們爭論的主題。爲此,本指南所建議的文件服務器配置可能不適用於您的環境。您可以根據需要調整我們建議的文件服務器組策略以滿足您所在組織的需求。
分佈式文件系統
"分佈式文件系統(DFS)"服務將完全不同的文件共享分配和集成到一個單一的邏輯名字空間。該服務管理跨越局域網或廣域網(LAN)進行分佈的邏輯卷,而且是 Active Directory 邏輯卷(SYSVOL)共享所必需的。
名稱空間是網絡存儲資源的一種邏輯表示方法,用戶可以通過它訪問這些存儲資源。禁用DFS服務可以防止用戶通過邏輯名字空間訪問網絡數據,訪問網絡數據的用戶必須知道環境中所有服務器和共享資源的名稱。
文件服務器新增的組策略禁用了DFS服務,以便將環境中文件服務器可能遭到的外部***降到最小。爲此,在本指南定義的所有安全環境中,您應該將 "分佈式文件系統 "設置配置爲"禁用".
注:通過在文件服務器上使用DFS來簡化分佈式資源訪問方式的企業和組織必須修改文件服務器的Incremental Group Policy(增量式組策略),或創建一個新的GPO來啓用這種服務。
文件複製服務
"文件複製服務"(File Replication Service,FRS)可以自動複製文件並在多個服務器上同時進行保存。FRS是 Windows? 2000 and the Windows Server? 2003家族中的一種自動文件複製服務。這種服務複製所有域控制器中的系統卷。另外,您還可以對該服務進行配置,使其複製與容錯DFS關聯的備用目標中的文件。若禁用這種服務,文件複製將不再發生而服務器上的數據也不再進行同步。
文件服務器新增的組策略禁用了FRS服務,以便將你所在環境中的文件服務器可能遭到的外部***降到最小。爲此,在本指南定義的所有安全環境中,您應該將"文件複製服務"設置配置爲"禁用".
注意:通過在文件服務器上使用FRS來複制多個服務器上的數據的企業和組織必須修改文件服務器的Incremental Group Policy(增量式組策略),或者創建一個新的GPO來激活這種服務。
其它安全性設置
MSBP中應用的安全設置爲文件服務器提供了大量的增強安全性。不過,您也需要考慮其它一些注意事項。這些步驟不能通過組策略來實施,而要在所有文件服務器上手動執行操作。
保護衆所周知帳戶的安全
Microsoft Windows Server? 2003具有大量的內置用戶帳戶,這些帳戶不能被刪除,但是可以被重命名。Windows 2003中最常用的兩個內置帳戶是Guest 和 Administrator 帳戶。
Guest 帳戶在成員服務器和域控制器上缺省爲禁用狀態。此設置不應該被更改。內置的Administrator 帳戶應該被重命名並改變描述,以防止***者利用該帳戶危及遠程服務器的安全。 許多惡意代碼的變種使用內置的管理員帳號,企圖竊取服務器的祕密。在近幾年來,進行上述重命名配置的意義已經大大降低了,因爲出現了很多新的***工具,這些工具企圖通過指定內置 Administrator 賬戶的安全標識(SID)來確定該帳戶的真實姓名,從而侵佔服務器。SID是識別每個用戶、組、計算機帳戶和網絡會話的唯一值。要改變內置的帳戶SID 是不可能的。您可以使用一個特別的名字重新命名本地的Administrator帳戶,以便能夠更容易地監控對該帳戶的***行爲。
1. 重新命名Administrator和Guest 帳戶,然後將每個域和服務器的密碼修改爲長且複雜的值。
2. 爲每個服務器使用不同的名字和密碼。如果所有的域和服務器使用同一個帳戶名和密碼,取得其中一臺服務器訪問權的***者就可以用相同的帳戶名和密碼取得其它域和服務器的訪問權。
3. 改變缺省的帳戶描述,以防止帳戶被輕易識別。
4. 在安全的地方記錄這些改變。
注意:內置的Administrator帳戶可以通過組策略重新命名。本指南提供的所有安全模板都沒有對該設置進行配置,因爲你應該根據您所在環境的需要選擇一個特別的名字。在本指南定義的三種環境中,"帳戶:重新命名administrator帳戶"設置都應該被配置爲對Administrator帳戶進行重命名。這個設置是組策略安全選項設置的一部分。
保護服務帳戶的安全性
除非絕對必要,否則不要配置在域帳號安全性背景之下運行的服務。如果服務器的物理安全受到破壞,域賬戶密碼可以很容易通過轉儲本地安全性授權(LSA)祕文而獲得。
用IPSec過濾器阻斷端口
Internet協議安全(IPSec)過濾器能爲提高服務器的安全級別提供一條有效途徑。本指南推薦在其定義的高安全性環境中使用該選項,以便進一步減少服務器的***表面積。
要了解更多關於IPSec過濾器的使用信息,請參看"威脅與對策:Windows Server 2003和Windows XP的安全設置 "的第11章"其它成員服務器的強化程序".
下表列出了可在本指南定義的高安全性環境中的文件服務器上創建的所有IPSec過濾器。
在執行上表列出的所有規則時都應該進行鏡像處理。以確保進入服務器的所有網絡流量也可以返回到源服務器。
上表描述了爲服務器執行特別任務功能所需打開的基本端口。如果服務器使用靜態IP地址,這些端口已經足夠使用了。如果需要提供其它功能,您可能需要打開其它端口。打開其它端口可使你環境中的文件服務器更容易管理,不過,它們可能大大降低這些服務器的安全性。
因爲域成員和域控制器之間具有大量的交互操作,在特殊的RPC和身份驗證通信中,您需要允許文件服務器和所有域控制器之間的所有通信。通信還可以被進一步限制,但是大多數環境都需要爲有效保護服務器而創建更多的過濾器。這使得IPSec策略的執行和管理更爲困難。與一個文件服務器相關的所有域控制器都要創建相似的規則。爲了提高文件服務器的可靠性和可用性,您需要爲環境中的所有域控制器添加更多規則。
如上所述,如果在環境中運行Microsoft Operation Manager(MOM),運行IPSec過濾器的服務器和MOM服務器之間的所有網絡通信都必須被允許通過。這一點十分重要,因爲MOM服務器和OnePoint客戶——向MOM控制檯提供報告的客戶端應用程序——之間具有大量的交互行爲。其它的管理軟件可能也有相似的要求。如果您需要更高級別的安全性,OnePoint客戶過濾操作可以被配置爲就IPSec和MOM服務器進行協商。
IPSec策略可以阻止任意一個高端口的通信,因此,您將無法進行遠程過程調用(RPC)通信。這使得服務器的管理更加困難。因爲已經有效關閉瞭如此之多的端口,您可以啓用終端訪問,以方便管理員進行遠程管理。
上面的網絡流量圖假定環境中包括啓用了DNS服務器的Active Directory.如果使用靜態DNS服務器,您還需要設定其它規則。
執行IPSec策略不會對服務器的性能產生太大影響。不過,在執行這些過濾前要應該首先進行測試,以便確保服務器的必要功能和性能得以保持。如果需要支持其它應用軟件,您需要添加其它規則。
本指南包括一個。cmd文件,它簡化了依照指南要求爲域控制器創建IPSec過濾器的過程。PacketFilters-File.cmd文件使用NETSH命令創建適當的過濾器。您必須修改。cmd文件以使它包括您所在環境域控制器的IP地址。腳本爲即將添加的域控制器提供了兩個佔位符。如果需要,您還可以添加其它的域控制器。域控制器的IP地址列表必須是最新的。
如果環境中有MOM,那麼相應的MOM服務器的IP地址也必須列入腳本。這個腳本不會創建永久性的過濾器。因此,除非IPSec策略代理開始運行,否則服務器是不受保護的。要了解更多關於建立永久性的過濾器或創建更高級IPSec過濾腳本的信息,可參閱"威脅和對策:Windows Server 2003和Windows XP的安全設置 "第11章中的"其它成員服務器的強化程序"部分。最後,該腳本被配置爲不對其創建的IPSec策略進行分配。IP安全策略管理單元可用來檢查它創建的IPSec過濾器和分配IPSec策略以便使其生效。
總結
本章闡述了在本指南所定義的三種環境中保護文件服務器安全所需採取得一些服務器強化設置。所論述的大多數設置都通過組策略來進行配置和應用的。能夠對MSBP進行有益補充的組策略對象(GPO)將被鏈接到包含文件服務器的相應組織單位(OU),以便爲這些服務器提供的服務賦予更多的安全性。
本文所論述的有些設置不能使用組策略來進行應用。在這些情況下,本文提供了手動配置這些設置的詳細信息。此外,我們還詳細介紹了創建和應用能夠控制文件服務器間網絡通信類型的IPSec過濾器的具體過程。