加固Windows Server 2003 IIS 服务器(2)

　　警告：下表包含了内置的 Administrator 帐户。注意不要将 Administrator 帐户和内置的 Administrators 安全组相混淆。如果 Administrators 安全组添加了以下任何一个拒绝访问的用户权限，您必须在本地登录以更正该错误。

　　此外，根据模块创建 Windows Server 2003 服务器的成员服务器基准中描述的某些建议，内置的 Administrator 账户可能已经被重命名。当添加 Administrator 账户时，请确信指定的是经过重命名的账户。

表 7：手动添加的用户权限分配

成员服务器默认值 旧客户端 企业客户端 高安全性
拒绝通过网络访问该计算机
内置管理员帐户；Support_388945a0；Guest；所有非操作系统服务帐户
内置管理员帐户；Support_388945a0；Guest；所有非操作系统服务帐户
内置管理员帐户；Support_388945a0；Guest；所有非操作系统服务帐户

　　警告：所有非操作系统服务账户包括整个企业范围内用于特定应用程序的服务账户。这不包括操作系统使用的内置帐户 LOCAL SYSTEM、LOCAL SERVICE 或 NETWORK SERVICE。

　　保护众所周知帐户的安全

　　Windows Server 2003 具备大量的内置用户帐户，这些帐户不能删除，但可以重命名。Windows 2003 中最常见的两个帐户是 Guest 和 Administrator。

　　默认情况下，Guest 帐户在成员服务器和域控制器上被禁用。不应更改此设置。内置的 Administrator 帐户应被重命名，而且其描述也应被更改，以防止攻击者通过该帐户破坏远程服务器。

　　许多恶意代码的变种企图使用内置的管理员账户来破坏一台服务器。在近几年来，进行上述重命名配置的意义已经大大降低了，因为出现了很多新的攻击工具，这些工具企图通过指定内置 Administrator 账户的安全标识 (SID) 来确定该帐户的真实姓名，从而侵占服务器。SID 是唯一能确定网络中每个用户、组、计算机帐户以及登录会话的值。改变内置帐户的 SID 是不可能的。将本地管理员帐户改变为一个特别的名称，可以方便您的操作人员监视对该帐户的攻击企图。

　　要保护 IIS 服务器中众所周知帐户的安全，请执行以下步骤：

　　1. 重命名 Administrator 和 Guest 帐户，并且将每个域和服务器上的密码更改为长而复杂的值。

　　2. 在每个服务器上使用不同的名称和密码。如果在所有的域和服务器上使用相同的帐户名和密码，攻击者只须获得对一台成员服务器的访问权限，就能够访问所有其它具有相同帐户名和密码的服务器。

　　3. 更改默认的帐户描述，以防止帐户被轻易识别。

　　4. 将这些更改记录到一个安全的位置。

　　注意：可以通过组策略重命名内置的管理员帐户。本指南提供的任何安全性模板中都没有配置该设置，因为您必须为您的环境选择一个唯一的名字。“帐户：重命名管理员帐户”设置可用来重命名本指南所定义的三种环境中的管理员帐户。该设置是组策略的安全选项设置的一部分。

　　保护服务帐户的安全

　　除非绝对必须，否则不要让服务运行在域帐户的安全上下文中。如果服务器的物理安全受到破坏，域账户密码可以很容易通过转储本地安全性授权 (LSA) 秘文而获得。

　　用 IPSec 过滤器阻断端口

　　Internet 协议安全性 (IPSec) 过滤器可为增强服务器所需要的安全级别提供有效的方法。本指南推荐在指南中定义的高安全性环境中使用该选项，以便进一步减少服务器的受攻击面。

　　有关使用 IPSec 过滤器的详细信息，请参阅模块其他成员服务器强化过程。

　　下表列出在本指南定义的高级安全性环境下可在 IIS 服务器上创建的所有 IPSec 过滤器。

表 8：IIS 服务器 IPSec 网络通信图

服务 协议 源端口 目标端口 源地址 目标地址 操作 镜像
one point Client
所有
所有
所有
ME
MOM 服务器
允许
是

Terminal Services
TCP
所有
3389
所有
ME
允许
是

Domain Member
所有
所有
所有
ME
域控制器
允许
是

Domain Member
所有
所有
所有
ME
域控制器 2
允许
是

HTTP Server
TCP
所有
80
所有
ME
允许
是

HTTPS Server
TCP
所有
443
所有
ME
允许
是

All Inbound Traffic
所有
所有
所有
所有
ME
禁止
是

在实施上表所列举的规则时，应当对它们都进行镜像处理。这样可以确保任何进入服务器的网络通信也可以返回到源服务器。

　　上表介绍了服务器要想完成特定角色的功能所应该打开的基本端口。如果服务器使用静态的 IP 地址，这些端口已经足够。如果需要提供更多的功能，则可能需要打开更多的端口。打开更多的端口将使得您的环境下的 IIS 服务器更容易管理，但是这可能大大降低服务器的安全性。

　　由于在域成员和域控制器之间有大量的交互，尤其是 RPC 和身份验证通信，在 IIS 服务器和全部域控制器之间，您应该允许所有的通信。通信还可以被进一步限制，但是大多数环境都需要为有效保护服务器而创建更多的过滤器。这将使得执行和管理 IPSec 策略非常困难。您应该为每一个将与 IIS 服务器进行交互的域控制器创建类似的规则。为了提高 IIS 服务器的可靠性和可用性，您需要为环境中的所有域控制器添加更多规则。

　　正如上表所示，如果环境中运行了 Microsoft 操作管理器 (MOM)，那么在执行 IPSec 过滤器的服务器和 MOM 服务器之间，应该允许传输所有的网络通信。这是必须的，因为在 MOM 服务器和 OnePoint 客户端（向 MOM 控制台提供报告的客户端应用程序）之间存在大量的交互过程。其它管理软件可能也具有类似的需求。如果需要更高级别的安全性，则可以配置 OnePoint 客户端的过滤操作，从而协调 IPSec 和 MOM 服务器。

　　该IPSec 策略将有效地阻止通过任意一个高端口的通信，因此它不允许远程过程调用 (RPC) 通信。这可能会使得服务器的管理非常困难。由于已经关闭了许多端口，您可以启用终端服务。这样一来，管理员便可以执行远程管理。

　　上面的网络通信图假设环境中包含启用了 Active Directory 的 DNS 服务器。如果使用独立的 DNS 服务器，则可能需要其他规则。

　　IPSec 策略的执行应该不会对服务器的性能有明显影响。但是，在执行这些过滤器之前必须进行测试，以核实服务器保持了必要的功能和性能。您可能还需要添加一些附加规则以支持其它应用程序。

　　本指南包括一个 .cmd 文件，它简化了依照指南要求为域控制器创建 IPSec 过滤器的过程。PacketFilters-IIS.cmd 文件使用 NETSH 命令创建适当的过滤器。必须修改此 .cmd 文件，以使其包含您所在环境中域控制器的 IP 地址。脚本中包含两个占位符，用于要添加的两个域控制器。如需要，可以添加其他的域控制器。这些域控制器的 IP 地址列表应当是最新的。

　　如果环境中有 MOM，应当在脚本中指定相应的 MOM 服务器 IP 地址。此脚本不会创建永久的过滤器。因此，直到 IPSec 策略代理启动时，服务器才会得到保护。有关构建永久的过滤器或创建高级 IPSec 过滤器脚本的详细信息，请参阅模块其他成员服务器强化过程。最后，此脚本被配置为不分发其创建的 IPSec 策略。IP 安全性策略管理单元可被用来检查所创建的 IPSec 过滤器，并且分发 IPSec 策略以便让其?А?

　　小结

　　本章解释了在本指南指定的三种环境下，为保护 IIS 服务器的安全所应采取的强化设置。我们讨论的大多数设置通过组策略进行配置和应用。可以将能够为 MSBP 提供有益补充的组策略对象 (GPO) 链接到包含 IIS 服务器的相应组织单位 (OU)，以便为这些服务器提供的服务赋予更多的安全性。

　　本章讨论的有些设置不能通过组策略得到应用。对于这种情况，本章介绍了有关手动配置这些设置的详细信息。此外，我们还详细介绍了创建和应用能够控制 IIS 服务器间网络通信类型的 IPSec 过滤器的具体过程。