强化 Windows Server 2003 堡垒主机(3)

内置 Administrator； Support_388945a0；Guest；所有非操作系统服务帐户

内置 Administrator；Support_388945a0；Guest ；所有非操作系统服务帐户

内置 Administrator； Support_388945a0；Guest；所有非操作系统服务帐户

要点：所有的非操作系统服务帐户包括整个企业范围内用于特定应用程序的服务帐户。这并不包括操作系统所使用的内置式 帐户：LOCAL SYSTEM、LOCAL SERVICE 或 NETWORK SERVICE。

删除不必要的网络协议和绑定

      为了避免用户枚举的威胁，应该在通过 Internet 可直接访问的服务器（特别是堡垒主机服务器）上禁用所有不必要的协议。用户枚举是一种信息搜集暴露类型，攻击者试图使用它获得系统特有的信息，然后计划下一步的攻击。

      服务器消息块 (SMB) 协议将返回有关一台计算机的大量信息，甚至对使用“null”会话的未经授权的用户也是如此。可以检索的信息包括共享、用户信息（包括组和用户权限）、注册表项等等。

      禁用 SMB 和 TCP/IP 上的 NetBIOS，可以大大降低服务器的攻击面，从而保护堡垒主机。虽然该配置下的服务器更加难于管理，并且无法访问网络上的共享文件夹，但这些措施可以有效保护服务器免予轻易受到损害。 因此，本指南建议在可以通过 Internet 进行访问的堡垒主机服务器上，禁用网络连接的 SMB 或者 TCP/IP 上的 NetBIOS。

•

要禁用 SMB，请执行下列操作：

1.

在“控制面板”中，双击“网络连接”。

2.

右键单击 Internet 类型连接，然后单击“属性”。

3.

在“属性”对话框中，选择 “Microsoft 网络客户端”，然后单击“卸载”。

4.

按照卸载步骤指示进行。

5.

选择“Microsoft 网络的文件和打印机共享”，然后单击“卸载”。

6.

按照卸载步骤指示进行。

•

要禁用 TCP/IP 上的 NetBIOS，请执行下列操作：

1.

在“控制面板”中，双击“系统”，再单击“硬件”选项卡，然后单击“设备管理器”按钮。

2.

在“查看”菜单中，单击“显示隐藏的设备”。

3.

展开“非即插即用驱动程序”。

4.

右键单击“NetBios over Tcpip”，然后单击“停用”。

      此过程会禁用 TCP/445 和 UDP 445 端口上的 SMB 直接主机侦听程序。

注意：此过程将禁用 nbt.sys 驱动程序。“高级 TCP/IP 设置”对话框的“WINS”选项卡 包含“禁用 TCP/IP over NetBIOS”选项。选择此选项将仅禁用“NetBIOS 会话服务”（在 TCP 端口 139 上侦听）。这样做并不会完全禁用 SMB。若要执行此操作，请使用以上步骤。

保护众所周知的帐户

      Windows Server 2003 具备大量的内置用户帐户，这些帐户不能删除，但可以重命名。Windows 2003 中的两个最为人熟知的内置帐户为“Guest”和“Administrator ”。

      默认情况下，服务器上的 Guest 帐户是禁用的，而且不应被修改。内置的 Administrator 帐户应该被重命名，并且改变描述，以阻止攻击者从远程服务器使用该帐户进行攻击。

      在首次尝试攻击服务器时，许多恶意代码的变种使用内置的 administrator 帐户。在近几年来，进行上述重命名配置的意义已经大大降低了，因为出现了很多新的攻击工具，这些工具企图通过指定内置 Administrator 帐户的安全标识 (SID) 来确定该帐户的真实姓名，从而侵入服务器。SID 是用来唯一标识网络上的每个用户、用户组、计算机帐户和登录会话的值。此内置帐户的 SID 不可能更改。将本地管理员帐户重命名为唯一的名称，可便于操作组监视对此帐户的攻击。

•

要保护堡垒主机服务器上众所周知的帐户，请执行下列操作：

1.

重命名 Administrator 和 Guest 帐户，然后将其在每台服务器上的密码设成一个长且复杂的值。

2.

在每个服务器上使用不同的名称和密码。如果在所有的服务器上都使用相同的帐户名和密码，那么获得一台服务器访问权限的攻击者 就能使用相同的帐户名和密码来访问其他所有服务器。

3.

将帐户说明更改为不同于默认说明的内容，从而避免使用简单的帐户标识。

4.

将这些更改记录到一个安全的位置。

Error Reporting

表 19：设置

默认值 旧客户端 企业客户端 高安全性

报告错误

已禁用

已禁用

已禁用

      Error Reporting 服务将帮助 Microsoft 跟踪和查找错误。您可以将此服务配置为给操作系统错误、Windows 组件错误或程序错误生成报告。启用后，Error Reporting 服务将把这些错误通过 Internet 报告给 Microsoft，或者报告给内部企业文件共享。

      此设置仅在 Windows XP Professional 和 Windows Server 2003 上可用。在组策略对象编辑器中配置此设置的路径是：

计算机 配置\管理模板\系统\错误报告。

      错误报告很可能包含敏感或机密的公司数据。Microsoft 关于错误报告的隐私政策保证 Microsoft 不会不适当地使用这些数据，但是这些数据使用明文形式的超文本传输协议 (HTTP) 传送，这就有可能被 Internet 上的第三方截获或者查看。出于这些原因，本指南建议在所定义的三种安全环境下，在 DCBP 中将“Error Reporting”设置配置为“已禁用”。

使用 IPSec 过滤器阻塞端口

      Internet 协议安全 (IPSec) 过滤器可以提供提高服务器所需安全级别的有效方法。本指南建议在所定义的高安全性环境中使用此选项，以便进一步减少服务器的攻击面。

      有关使用 IPSec 过滤器的详细信息，请参阅模块其他成员服务器强化过程。

      下表列出了应在本指南定义的高安全性环境中的 SMTP 堡垒主机上创建的所有 IPSec 过滤器。

表 20：SMTP 堡垒主机 IPSec 网络流量图

服务 协议 源端口 目标端口 源地址 目标地址 操作 镜像

SMTP Server

TCP

所 有

25

所有

ME

允许

是

DNS Client

TCP

所有

53

ME

DNS Client

允许

是

DNS 客户端

UDP

所有

53

ME

DNS 服务器

允许

是

All Inbound Traffic

所有

所有

所有

所有

ME

阻止

是

      实施上表中列出的所有规则时，都应进行镜像。这样可以保证任何进入服务器的网络流量也可以返回到源服务器。

      上表表示 服务器要想完成特定角色的功能而应当打开的基本端口。如果服务器具有静态 IP 地址，则这些端口是足够了。

警告：这些 IPSec 过滤器施加的限制非常严格，会显著降低这些服务器的可管理性。您需要打开其他的端口才能启用监视、修补管理和软件更新功能。

      IPSec 策略的实施不应该对服务器的性能产生显著影响。但是，在实施这些过滤器前还是应该进行测试，以验证服务器是否仍然可以维持必要的功能和性能。要支持其他应用程序，可能还需要添加其他规则。

      本指南包含一个 .cmd 文件，该文件简化了依照指南要求为域控制器创建 IPSec 过滤器的过程。PacketFilters- SMTPBastionHost.cmd 文件使用 NETSH 命令创建适当的过滤器。

      此脚本不会创建持久过滤器。因此，IPSec 策略代理启动之前，服务器处于无保护状态。有关构建持久过滤器或创建高级 IPSec 过滤器脚本的详细信息，请参阅模块其他成员服务器强化过程。最后，此脚本被配置为不分配它所创建的 IPSec 策略。IP 安全策略管理单元可用来检查所创建的 IPSec 过滤器，并且分配 IPSec 策略以便让其生效。

返回页首

小结

      堡垒主机服务器很容易暴露于外界的攻击之下。您必须尽可能的保证它们的安全，在将其可用性发挥至最大的同时，将堡 垒主机服务器面临的安全威胁降至最低。最安全的堡垒主机服务器只允许高度信任的帐户访问，并仅仅启用能够正常行使其功能所需的最少的服务。

      本模块说明了规定的服务器强化设置以及为保护堡垒主机服务器所使用的过程。许多设置可通过本地组策略应用。本模块提供了配置和应用手动设置的步骤。

      此外，还提供了有关创建和应用能够控制堡垒主机服务器间网络通信类型的 IPSec 过滤器的详细信息。根据企业环境中堡垒主机服务器所扮演的角色，这些过滤器可以被修改，以阻止特定类型的网络流量。

更多信息

      以下是在发布 Windows Server 2003 时提供的最新信息源，其内容紧紧围绕运行 Windows Server 2003 的计算机环境中的堡垒主机服务器。

有关构建专用网络的详细信息，请参阅由 Elizabeth D. Zwicky、Simon Cooper 和 Brent D. Chapman 共同撰写的“Firewalls and Virtual Private Networks”，其网址为： http://www.wiley.com/legacy/compbooks/press/0471348201_0 9.pdf（英文）。

有关防火墙和安全保护的详细信息，请参阅由 Chuck Semeria 撰写的“Internet Firewalls and Security-A Technology Overview”，其网址为： http://www.itmweb.com/essay534.htm（英文）。

有关“深度 防卫”模型的信息，请参阅“U.S. Military with Rod Powers”，其网址为： http://usmilitary.about.com/careers/u smilitary/library/glossary/d/bldef01834.htm（英文）。

有关入侵防护方面的信息，请参阅由 Jay Beale 撰写的“Intruder Detection Checklist”，其网址为： http://www.cert.org/tech_tips/intruder_detection_check list.html（英文）。

有关强化堡垒主机的信息，请参阅“Hardening Bastion Hosts”上的“SANS Info Sec Reading Room”，其网址为： http://www.sans.org/rr/papers/index.php? id=420（英文）。

有关堡垒主机的详细信息，请参阅“How Bastion Hosts Work”，其网址为： http://thor.info.uaic.ro/~busaco/teach/docs/intranets/c h16.htm（英文）。

有关在 Windows Server 2003 中关闭 Internet 连接防火墙的信息，请参阅知识库文章 “How TTurn On the Internet Connection Firewall Feature in Windows Server 2003”，其网址为： http://support.microsoft.com/default.aspx?scid=317530（英文） 。

有关“安全配置和分析工具”排除故障方面的信息，请参阅知识库文章“Problems After You Import Multiple Templates Into the Security Configuration and Analysis Tool”，其网址为： http://support.microsoft.com/default.aspx?scid=279125（英文） 。