《服务器群集Windows和WindowsServer安全性最佳实践》由会员分享,可在线阅读,更多相关《服务器群集Windows和WindowsServer安全性最佳实践(19页珍藏版)》请在金锄头文库上搜索。
1、服务器群集:Windows 2000 和 Windows Server 2003 安全性最佳实践发布日期: 2004 年 08 月 16 日本页内容一般性假设部署和操作管理一般性假设应该为基础结构设置一些一般性假设和可行的最佳操作,以确保服务器群集运行环境的安全。1. 服务器和存储器应处于真正安全的地方。2. 设置检测不规则流量的实用安全实施,例如防火墙、网络探测器和管理工具。3. 在诸如管理、日志存储、备份和恢复这样的领域,遵循安全方面的最佳实践/常识。4. 在分配管理权限、ACL 资源和其他内务处理角色方面,坚持平台级安全性最佳实践。5. Active Directory、DNS、DHCP
2、、WINS 等网络基础结构服务必须是安全的。任何危及这些基础结构服务安全的做法均会导致危及群集服务自身的安全。6. 群集管理员必须确保在受信任的计算机上运行调用群集 API(ClusAPI)的应用程序。对正在执行这些应用程序(由群集管理员运行)的计算机的任何妥协方案均会危及群集的安全。例如,如果在运行管理工具的工作站上存在具有提升权限的不受信任的用户,群集管理员可能会在本人毫无察觉的情况下对群集运行不可信赖代码或恶意代码。7. 对于由群集服务创建和维护的对象集,切勿将这些对象的默认设置调整为限制较少的设置,以免危及其访问安全。群集服务可利用操作系统中的一系列对象,例如:文件、设备、注册表项等。
3、这些对象都具有默认安全设置,可确保非特权用户无法影响群集配置或群集上运行的应用程序。将这些安全设置改为限制较少的安全设置可能导致危及群集的安全并损坏应用程序数据。返回页首部署和操作管理群集管理员管理员可以指定组或个人,允许他们对群集进行管理。在服务器群集的当前版本中,控制的精度并不高;用户要么具有管理群集的权限,要么不具有这些权限。要授予用户或组管理群集的权限,必须将该用户或组添加到群集安全描述符中。此操作可以由群集管理员执行,或通过 cluster.exe 命令行工具来完成。请注意:除节点上的本地管理员组外,群集安全配置的所有其他成员还必须是域用户帐户或全局组。这是为了确保帐户在群集中的所有
4、节点上都相同、已正确定义并已授权。默认情况下,本地管理员组会被添加到群集服务安全描述符中。将用户或组添加到群集安全描述符中意味着该用户可以对该群集配置进行全面管理,其中包括(但不限于): 使资源脱机和联机 关闭节点上的群集服务 向群集中添加节点或从群集中删除节点 向群集中添加资源或从群集中删除资源由于群集中运行的应用程序和服务的影响范围,在向群集安全描述符中添加用户时必须特别注意。群集服务可运行与群集服务域用户帐户(不要将该帐户与用于管理该群集的帐户相混淆)下的资源相关联的代码。由于群集管理员可以向群集添加新的资源,而且这些资源作为群集服务帐户运行,因此群集管理员可以安装那些将用计算机上的本地
5、管理员权限运行的代码。最佳实践 群集管理员应使用群集服务帐户以外的其他帐户来管理群集。这会将不同的策略(如:密码过期等)分别应用于群集服务帐户和用于管理群集的域帐户。 您应该只将具有本地管理员权限的用户添加到群集服务安全描述符中。请注意: 将域用户或全局组添加到本地管理员组,则该组或帐户将自动成为群集管理员。 不要将本地管理员组从群集服务安全性配置中删除。远程管理和配置群集调用服务器群集 API(ClusAPI)的管理工具或其他应用程序可在远程工作站上运行。一般假设群集管理员必须确保在受信任的计算机上运行这些应用程序。对正在执行这些应用程序(由群集管理员运行)的计算机的任何妥协方案均会危及群集
6、的安全。当创建群集或者更改配置(例如添加新的群集节点)时,“群集配置向导”将在运行该向导的计算机上创建一个日志文件,以便在出现故障时,管理员可以使用日志进行调试和故障诊断。日志文件可包含群集配置数据,例如群集 IP 地址、网络名称等。如果未经授权的用户读取了数据,则此数据就可能被用来扩大攻击面。群集服务帐户群集服务帐户是用来启动群集服务的帐户。该帐户的凭据存储于服务控制管理器(SCM)中,服务控制管理器(SCM)是一个 Windows 组件,负责在群集节点引导时启动群集服务。群集服务帐户在群集中的所有节点上都必须相同,而且必须属于域级帐户,对群集中的每个节点都具有本地管理权限。必须存在域帐户才
7、能创建群集,“群集配置向导”将提示您输入所要使用的现有帐户。如果该帐户尚不是本地管理员组的成员,在创建群集时“群集配置向导”会自动将该帐户添加到本地管理员组中。同样,将节点添加到群集时,群集服务帐户也将被添加到本地管理员组中。如果节点从群集中脱离或最后一个节点被删除,并不会从本地管理员组中删除群集服务帐户。您需要知道这些语义,以免不小心将域帐户本地管理员权限授予一组假设的节点。请注意:从群集中脱离节点时不会将群集服务帐户从本地管理员组中删除。将节点从群集中删除后,应当手动将群集服务帐户从本地管理员组中删除,以免接纳对计算机具有本地管理员权限的过期帐户。服务器群集中的节点可使用经过身份验证的通信
8、机制,以确保在群集内的协议中只有该群集的有效成员可以参与。群集中每个节点都具有相同的群集服务帐户,这一点非常重要,因为这样才能提供身份验证的一致性。这也是 Microsoft Windows Server 2003 中引入的群集服务帐户密码实用程序的要求。必备权限除了作为本地管理员组的成员外,群集服务帐户还需要一组本地授权的附加权限: 充当操作系统的一部分(Windows 2000 和更高版本中需要)。 备份文件和目录。 增加配额。 提高调度优先级。 加载和卸载设备驱动程序。 将页锁定在内存中。 以服务登录。 还原文件和目录。不能从群集服务帐户中删除任何这些权限。如果删除这些必需权限中的任何权
9、限,群集服务可能无法启动或正确操作。在设置群集服务器过程中,这些权限会在本地授予帐户。无论何时需要手动重新创建群集服务帐户,都必须授予这些附加权限。 知识库文章 269229:如何手动重新创建群集服务帐户 描述了重新创建群集服务帐户所需的步骤。密码策略群集服务帐户与任何其他域帐户都类似,同样具有密码,而且密码也可以与密码过期策略相关联。如果已为密码分配了过期策略,则在群集帐户密码过期前必须更改该密码。否则,当密码过期时将造成群集停止工作(因为无法再顺利地对群集内的通信进行身份验证)。更改密码在大多数产品部署中,域帐户都具有密码过期策略,强制相对频繁地更改密码(如:每 30 天更改一次)。更改群
10、集帐户密码需要仔细规划。Windows 2000群集中所有节点上的群集服务帐户都必须匹配,以确保可以成功地对群集内的通信进行身份验证。在各种条件下群集服务本身会在群集节点之间发送消息,如果有任何一项通信失败,群集节点将从群集中删除(即群集服务将被停止)。由于无法确定群集服务何时建立通信,因此没有明确的窗口可用来以可靠的方式更改群集服务帐户,同时确保群集仍然运行。在 Windows 2000 中,只能使用以下步骤可靠地更改群集帐户密码:1. 停止群集中所有节点上的群集服务2. 更改域控制器中的群集服务帐户的密码3. 更新所有群集节点上的服务控制管理器密码4. 重新启动所有群集节点上的群集服务Wi
11、ndows Server 2003Windows Server 2003 中的 cluster.exe 命令能够动态更改群集帐户密码,而无需关闭任何节点上的群集服务。cluster.exe 命令可更改域帐户密码并更新群集中所有节点上的服务控制管理器帐户信息。请注意:此命令仅适用于 Windows Server 2003 节点。如果群集中有任何 Windows 2000 节点,则这些节点的群集服务帐户密码将不被更改。Cluster /cluster:cluster_name1,cluster_name2, /changepassword:new_password,old_password /sk
12、ipdc /force /options这些命令参数具有下列含义:参数 描述cluster:cluster_name1 ,cluster_name2,标识要对其更改帐户密码的群集。如果指定了多个群集,则这些群集必须使用相同的群集服务帐户。如果某些节点不可用,在所有节点或域控制器上的密码都不会被更改。/changepassword :new_password ,old_password将域控制器和所有群集节点上的群集服务帐户密码由 old_password (旧密码)更改为 new_password(新密码)。如果命令行中没有提供密码,将会提示您提供密码。/skipdc 只更改群集节点上的群集服
13、务帐户密码。/force 强制更改可用节点上的密码,即使某些节点不可用。请注意:不可用节点上的密码将不被更新。在使用计算机管理手动更新这参数 描述些节点上的群集服务帐户密码之前,这些节点将无法加入群集。“群集管理器” 工具的联机帮助文档中介绍了该命令的详细信息。最佳实践 群集服务帐户不能是域管理员帐户。 应该授予所有帐户尽可能少的权限和特权,以免给定帐户泄漏时出现潜在的安全问题。 使用委派为群集中所有节点上的特定帐户授予管理权限。 如果单个域中有多个群集,在所有节点上使用同一群集服务帐户可简化管理工作。 对多个群集使用单个帐户既可以简化管理,同时又带来潜在的安全风险,您需要在这二者之间做出权衡
14、。如果帐户泄漏,受影响的范围取决于涉及到多少个群集。 使用 Windows Server 2003,可以同时更改多个群集中的群集服务帐户密码。 如果已经在群集服务帐户上设置了密码过期策略,则不应对其他服务使用此帐户。 例如,如果已经设置了密码过期策略,不要对 SQL Server 2000 或 Exchange 2000 使用群集服务帐户。如果有多个服务使用同一个帐户,在群集服务和其他服务之间协调密码更改将会非常复杂,并导致密码轮换期间整个群集和/或服务不可用。最好对每项服务使用一个专用帐户,以便可以独立维护各个帐户。 使用 Windows Server 2003,可以联机更改群集服务帐户密码
15、,而不必仅当没有服务使用同一服务帐户时关闭群集。 更改 Windows 2000 上的群集服务帐户需要完全关闭群集,然后才能更改帐户密码。关闭并重新启动群集可能意味着群集无法满足可用性要求。例如,对应用程序和服务来说,99.999% 的运行时间要求 每年 的停机时间少于五分钟。如果群集由于密码循环而关闭,则无法达到此可用性级别。使用 Windows 2000 时,在这些高可用性环境中,群集服务帐户的密码过期策略应设为永不过期。 通过 Windows 2000 SP3 和 Windows Server 2003,群集服务可以发布虚拟服务器作为 Active Directory 中的计算机对象。如
16、要确保操作正确,群集服务帐户应有适当的访问权限或特权以便能够创建和操作 Active Directory 计算机容器中的这些对象。请参见“ 在服务器群集中使用 Kerberos 身份验证”一节。 如果打算使用不同的群集服务帐户部署多个群集,则应创建一个实施上述所有策略并具有上述所有特权的全局组或通用组。然后,应该将每个群集服务帐户放入该组中。 通过为所有群集服务帐户提供一个容器并提供一个管理位置来更改帐户策略,从而简化了群集服务帐户的管理。在服务器群集中使用 Kerberos 身份验证Windows 2000 中的 Kerberos 身份验证作为 Windows 平台的一部分予以发布。其是 Windows 平台能够向前发展的主要(和默认)安全机制,并且与以前的身份验证机制(例如:NTLM)相比,具有许多优点: 提供客户端和服务器之间的相互身份验证:服务器确保客户端可以访问服务器上提供的服务或应用程序,而客户端可以确保正与之通信的服务器确实
