《Windows2003安全指南之创建成员服务器基线》由会员分享,可在线阅读,更多相关《Windows2003安全指南之创建成员服务器基线(46页珍藏版)》请在金锄头文库上搜索。
1、Windows2003安全指南之创建成员服务器基线http:/ 本章描述了针对所有运行Microsoft Server 2003的管理基线模板所需的配置需求。此外,本章还将提供在三种企业级运行环境中建立并配置可靠的Server 2003系统所需的管理指导。本章所包含的配置需求为本指南后续章节中所有其它应用特定角色的复杂处理过程提供了基准。 本章提供的建议设置方案为企业级运行环境中的商务应用服务器构建了一种坚实基础。然而,如需在生产环境中实施这些安全配置,您必须首先就其与自身组织机构的商务应用共存情况进行全面。本章提供的建议设置方案适用于绝大多数企业,并且可以在运行Windows Server
2、2003的现有系统或新增系统上加以部署。这些建议设置方案已针对Windows Server 2003中的缺省安全配置方案进行了必要的研究、审核与。如需获取所有缺省设置信息以及本章所讨论之设置的详细解释内容,请查看参考指南威胁与对策:Windows Server 2003与Windows XP中的安全设置,该书可通过网址获得。尽管如此,我们还是建议您在高于缺省设置的安全级别上部署绝大多数建议配置方案。本章所讨论的针对企业级运行环境中所有Windows Server 2003系统的基准安全设置均与以下所定义的三种运行环境相关联。这三种环境分别是: 旧有客户机提供不会束缚混合状态运行环境的足够安全性
3、。这种旧有客户机级别专门面向于使用旧有客户机的运行环境。这种运行环境处于本指南所定义的最低锁定级别。为进一步确保运行环境安全性,组织机构可以选择移植到下一个锁定级别即企业客户机级别,或者,如果无需确保旧有客户机安全性,则应直接从企业客户机级别开始。这种商务运行环境包括运行Microsoft Windows 98、Microsoft Windows NT 4.0 Workstation、Windows 2000 Professional和Windows XP Professional的工作站系统,并且只包含Windows 2000或更高版本的域控制器。这种运行环境中无法使用Windows NT
4、4.0域控制器,但却可以存在Windows NT成员服务器。 企业客户机提供专为新型系统运行环境而设计的牢固安全性。这种商务运行环境包含运行Windows 2000 Professional和Windows XP Professional的客户端。从旧版运行环境移植到企业级运行环境所需完成的工作主要是对旧有客户机进行升级,例如将Windows 98和Windows NT 4.0 Workstation升级为Windows 2000或Windows XP。这种运行环境中的所有域控制器均为Windows 2000 Server或更高版本产品。同时,这种运行环境中的成员服务器也必须使用Windows
5、 2000 Server或更高版本操作系统。 高安全性 提供在企业客户机级别基础上进一步增强的安全性标准。从企业级运行环境移植到高安全性运行环境需要确保客户端及服务器均能符合严格的安全策略。这种运行环境包含运行Windows 2000 Professional和Windows XP Professional操作系统的客户端,以及运行Windows 2000 Server或更高版本操作系统的域控制器。在高安全性运行环境中,对安全性的关注首当其冲,以至于为实现高安全性,可以将损失显著功能性与易管理性作为。这种运行环境中的成员服务器必须使用Windows 2000 Server或更高版本操作系统。
6、以下插图显示了这三种安全性层次以及每种层次所支持的客户端类型。 图 3.1 现有及规划锁定级别 那些希望采取阶段性方式确保运行环境安全性的组织机构可以选择从旧有客户机运行环境开始,并伴随应用程序与客户端计算机陆续升级且通过严格安全设置测试,逐步向更高安全性级别进行移植。以下插图显示了如何将.inf文件安全模板作为企业客户机成员服务器基线策略(MSBP)的基础使用。此外,这张插图还显示了针对组织机构中所有服务器应用成员服务器基线策略的一种可能连接方式。Windows Server 2003本身具备一套能够实现安全可靠状态的缺省设置。在许多实例中,本章内容指定了缺省设置以外的其它设置,并且针对本指
7、南中定义的三种运行环境加强了缺省设置方式。如需获取有关所有缺省设置的信息,请查看参考指南威胁与对策:Windows Server 2003与Windows XP中的安全设置,该书可通过网址获得。图 3.2 用以连接成员服务器组织单元(OU)的安全模板Enterprise Client Member Server Baseline.inf已被导入至MSBP当中。 针对特定服务器角色的强化处理过程将在本指南其余章节中予以定义。本指南所涉及的主要服务器角色包括: 包含域名系统(DNS)服务的域控制器。 包括以下功能特性的基础架构服务器角色: o Windows Internet名称服务(WINS)
8、o 动态主机配置(DHCP) 文件 打印 Internet Information Services(IIS) Microsoft Internet Authentication Server(IAS) 认证服务服务器(CA) 堡垒主机 出现在企业客户机MSBP中的许多设置也将应用于本指南定义的这三种运行环境中所涉及的服务器角色。安全模板是专为满足每一种特定运行环境安全需求而设计的。以下表格显示了基准安全模板与三中运行环境之间的相互关系。如需在旧有客户机、企业客户机或高安全性级别中调出具体细节,与建议基线策略相关联的安全模板将提供用以辨别正确模板的级别标识。举例来说,Enterprise Cl
9、ient Member Server Baseline.inf文件是针对企业客户机运行环境的建议安全模板。表格 3.1: 针对三种运行环境的基准安全模板 旧有客户机企业客户机高安全性Legacy Client Member Server Baseline.infEnterprise Client Member Server Baseline.infHigh Security Member Server Baseline.inf以下Windows Server 2003基线策略部分描述了Member Server Baseline.inf安全模板中适用于所有运行环境的安全设置。这些基准安全模板同
10、时还是第四章“强化域控制器”中所定义域控制器安全模板的出发点。Enterprise Client Domain Controllers Role.inf模板提供了针对域控制器组策略之组策略对象(GPO)的基准,并且与所有三种运行环境中的域控制器组织单元(OU)相连接。旨在帮助用户创建OU和组策略以及向每个OU中导入适当安全模板的逐步操作指导已在第2章“配置域的基础架构”中进行了详细介绍。说明:某些强化处理过程无法通过组策略自动完成;这些处理过程将在本章稍后的附加成员服务器强化处理过程部分中加以描述。Windows Server 2003基线策略 成员服务器OU级别上的设置选项定义了面向域中所有
11、成员服务器的通用设置。这是通过创建与成员服务器OU相连接的GPO称作基线策略实现的。这种GPO将自动完成每台服务器上的特定安全设置配置工作。以下设置内容将在其出现在安全配置编辑器(SCE)管理单元用户界面(UI)中时予以描述。审核策略 管理员应当创建一种审核策略。这种审核策略用于确定需要报告至网络管理员以便使特定事件类别中的用户或系统活动得到及时记录的安全事件。当用户登录到计算机、从计算机上注销,或对审核策略设置进行修改时,管理员可以对诸如特定对象访问者之类的安全活动加以监控。在实现审核策略前,必须首先完成的一项工作便是确定需要在企业运行环境中对哪些事件类别进行审核。管理员针对事件类别所选择的
12、审核设置将用于定义企业审核策略。通过定义针对特定事件类别的审核设置,管理员可以创建出适合于组织机构安全需求的审核策略。如果未对审核方式加以配置,管理员将很难甚至不可能确定在安全事故中发生了哪些事件。相反,如果审核方式过于繁琐,以至于过多授权活动都将生成事件,那么,安全事件日志将被大量无用数据填满。因此,以下建议将帮助您做出对哪些事件进行监控的权衡决策。以下表格包含了针对本指南中所定义的三种运行环境的审核策略设置建议。或许您已经注意到,在这三种运行环境中,针对许多设置的取值都非常近似。以下取值可以在下列位置上的Windows Server 2003域组策略部分中加以配置:Computer Con
13、figurationWindows SettingsSecurity SettingsLocal PoliciesAudit Policy如需获取这部分中所描述设置选项的概要信息,请查看名为Windows Server 2003安全指导设置的Microsoft Excel电子表格。如需获取缺省设置信息以及这部分所讨论之设置的详细解释内容,请查看参考指南威胁与对策:Windows Server 2003与Windows XP中的安全设置,该书可通过网址http:/ 3.2:设置成员服务器缺省取值旧有客户机企业客户机高安全性成功成功 失败成功 失败成功 失败审核帐号登录事件设置用于确定是否对每个用
14、户实例登录或注销另一台需要验证帐号的计算机的活动进行审核。在域控制器上对域用户帐号进行身份验证时将产生一个帐号登录事件。这个事件将被记录到域控制器的安全日志中。在本地计算机上对本地用户进行身份验证时将产生一个登录事件。这个事件将被记录到本地安全日志中。对于帐号注销事件,则没有任何信息需要记录。以下表格列出了这项设置在安全事件日志中所记录的某些重要安全事件。表格 3.3:帐号登录事件事件编号事件描述672身份验证服务(AS)票证得到成功发行与验证。673票证授权服务(TGS)票证得到授权。TGS是一份由Kerberos 5.0版票证授权服务(TGS)发行、且允许用户针对域中特定服务进行身份验证的
15、票证。674安全主体重建AS票证或TGS票证。675预身份验证失败。这种事件将在用户输入错误密码时由密钥分发中心(KDC)生成。676身份验证票证请求失败。这种事件在Windows XP Professional操作系统或Windows Server产品家族成员中将不会产生。677TGS票证无法得到授权。这种事件在Windows XP Professional操作系统或Windows Server产品家族成员中将不会产生。678指定帐号成功映射到一个域帐号。681登录失败。域帐号尝试进行登录。这种事件在Windows XP Professional操作系统或Windows Server产品家族成员中将不会产生。682用户重新连接到一个已经断开连接的终端服务器会话上。683用户在没有注销的情况下与终端服务器会话断开连接。以上列出的事件编号可用于创建用以监控各种套装软件例如Microsoft运行管理器(MOM)的自定义报警。审核帐号管理表格 3.4:设置成员服务
