强化 Windows Server 2003 堡垒主机

本页内容

本模块内容 目标 适用范围 如何使用本模块 概述 审核策略 设置 用户权限 分配 安全选项 事件日志 设置 系统服务 其他安全 设置 小结

本模块内容

      本模块解释专门用于堡垒主机的安全模板配置。堡垒主机是一种安全但可供公共访问的计算机，它位于外围网络的面向公众的一端。堡垒主机通常用作 Web 服务器、域名系统 (DNS) 服务器、文件传输协议 (FTP) 服务器、简单邮件传输协议 (SMTP) 服务器和网络新闻传输协议 (NNTP) 服务器。本模块引用“Windows Server 2003 Security”（英文）中所包含成员服务器基准中的设置。此外，本模块还将考虑除安全模板定义的那些配置以外还必须应用的额 外安全配置设置。要创建完全强化的堡垒主机，需要使用这些附加设置。本模块还包括有关如何使用安全配置和分析工具应用安全模板的说明 。

返回页首

目标

      使用本模块可以：

•

强化堡垒主机。

•

调查堡垒主机的相应安全配置。

返回页首

适用范围

      本模块适用于下列产品和技术：

•

Microsoft® Windows Server™ 2003 操作系统

•

堡垒主机

返回页首

如何使用 本模块

      使用本模块可以了解应该应用于堡垒主机并强化此类独立服务器的的安全设置。本模块结合使用特定于角色的安全 模板和基准安全模板。这些安全模板来自“Windows Server 2003 Security Guide”，其网址为：http://go.microsoft.com/fwlink/?LinkId=14846（英文）。

      为了更好地理解本模块的内容，请：

•

阅读模块 Windows Server 2003 安全性简介。此模块解释了“Windows Server 2003 安全指南”（英文）的目的和内容。

•

阅读模块创建 Windows Server 2003 服务器的成员服务器基准。此模块演示组织单位层次结构的使用以及将成员服务器基准应用到多个服务器的组策略。

•

使用附带的“如何”文章。使用本模块引用的以下指导性文章：

•

如何在 Windows Server 2003 中应用组策略和安全模板。

返回页首

概述

      本模块关注强化环境中的堡垒主机。堡垒主机是安全但可公开访问的计算机。堡垒主机位于外围网络（也称为 DMZ、网络隔离区域和屏蔽子网）的面向公众的一端。堡垒主机不受防火墙或过滤路由器的保护，因此它们完全暴露在攻击中。由于这个暴露的缺陷，在设计和配置堡垒主机时必须付出巨大的努力，最大程度地减少损坏的几率。

      堡垒主机通常用作 Web 服务器、域名系统 (DNS) 服务器、文件传输协议 (FTP) 服务器、简单邮件传输协议 (SMTP) 服务器和网络新闻传输协议 (NNTP) 服务器。理想情况下，堡垒主机应该只执行这些服务中的某一个功能，因为它扮演的角色越多，出现安全漏洞的可能性就越大。而在单个堡垒主机上保护单个服务则相对容易。能够在多项堡垒主机业务上投入资金的企业必将从此类网络体系结构中获益匪浅。

      安全堡垒主机的配置与通常的主机相比明显不同。所有不必要的服务、协议、程序和网络接口都将被禁用或删除，而且，每台堡垒主 机通常被配置成只承担一个特定角色。使用此方式强化堡垒主机，会限制某些可能的攻击方法。

      本模块的以下各部分详细说明可以在不同环境中最有效保护堡垒主机的各种安全强化设置。

堡垒主机本地策略

      组策略与本指南前面详细说明的其他服务器角色组策略不同，它不能应用于堡垒主机服务器，因为它们将被配置为不属于 Microsoft® Active Directory® 目录服务域的独立主机。由于暴露级别很高，只对本指南中定义的三种环境中的堡垒主机服务器规定了一个级别的指导。以下介绍 的安全设置基于模块创建 Windows Server 2003 服务器的成员服务器基准中为高安全性环境定义的成员服务器基准策略 (MSBP)。它们包含在 必须应用于每台堡垒主机的堡垒主机本地策略 (BHLP) 的安全模板中。

应用堡垒主机本地策略

      可以使用本指南所引用的 High Security-Bastion Host.inf 文件配置 BHLP。它能够启用使 SMTP 堡垒主机服务器正常工作所需的 服务。应用 High Security-Bastion Host.inf 可以增强服务器的安全性，因为它减少了堡垒主机的攻击面，但是您将无法对堡垒主机进行远 程管理。必须修改 BHLP，才能启用更多的功能或增强堡垒主机的可管理性。

      要应用安全模版中包含的所有安全设置 ，必须使用“安全配置和分析”管理单元，而不是“本地计算机策略”管理单元。不能使用“本地计算机策略”管理单元导入安全模板，因为使用此管理单元无法应用系统服务的安全设置。

      下列步骤详细介绍了如何使用“安全配置和分析”管理单元导入并应用 BHLP 安全模板。

警告：Microsoft 强烈建议在对堡垒主机服务器应用 High Security-Bastion Host.inf 之前先执行完全备份。应用 High Security-Bastion Host.inf 安全模板之后，很难将堡垒主机还原为其原始配置。请确保已配置了安全模板，以启用环境所要求的堡垒主机功能。

      有关导入、分析和应用安全模板的逐步指南，请参阅如何在 Windows Server 2003 中应用组策略和安全模板。

      完成这些步骤后，所有相关安全模板设置将全部应用于环境中堡垒主机的本地策略。必须重新启动堡垒主机才能使所有设置生效。

      以下各部分描述使用 BHLP 应用的安全设置。本模块只讨论与 MSBP 中的设置不同的那些设置。

返回页首

审核策略 设置

      用于堡垒主机的 BHLP 审核策略的设置与在 High Security-Member Server Baseline.inf 文件中所指定的设置是相 同的。有关 MSBP 的详细信息，请参阅模块创建 Windows Server 2003 服务器的成员服务器基准。BHLP 设置可确保所有相关的安全审核信息 都记录在所有的堡垒主机服务器上。

返回页首

用户权限 分配

      堡垒主机的 BHLP 用户权限分配基于模块创建 Windows Server 2003 服务器的成员服务器基准中的 High Security -Member Server Baseline.inf 文件中指定的那些设置。下面介绍 BHLP 与 MSBP 之间的差异。

允许本地登录

表 1：设置

成员服务器默认值 设置

允许本地登录

Administrators

      “允许本地登录”用户权限使用户可以启动计算机上的交互式会话。对那些能登录到堡垒主机服务器控制台的帐户做出限制，将有助于阻止未经授权的用户访问服务器上的文件系统和系统服务。可以登录服务器控制台的用户便可以使该系统暴露于安全损害下。

      默认情况下，Account Operators、Backup Operators、Print Operators 和 Power Users 组被授予本地登录的权限。请仅将此权限授予 Administrators 组，以便只有高度信任的用户才拥有对堡垒主机服务器的管理访问权限，从而提供更高级别的安全性。

拒绝从网络访问此计算机

表 2：设置

成员服务器默认值 设置

SUPPORT_388945a0

匿名登录；内置 Administrator；Support_388945a0；Guest；所有的非 操作系统服务帐户

注意：安全模板中 不包含匿名登录、内置 Administrator、Support_388945a0、Guest 和所有的非操作系统服务帐户。这些帐户和组具有唯一的安全标识符 (SID)。因此，必须手动将它们添加到 BHLP。

      “拒绝从网络访问此计算机”用户权限确定禁止哪些用户通过网络访问计算机。这些设置将拒绝大量的网络协议，包括基于服务器消息块 (SMB) 的协议、网络基本输入/输出系统 (NetBIOS)、通用 Internet 文 件系统 (CIFS)、超文本传输协议 (HTTP) 和组件对象模型 (COM+)。如果用户帐户同时遵循这两个策略，则这些设置将覆盖“从网络访问此计 算机”设置。在您的环境中为其它组配置此用户权限可以限制用户的访问能力，让他们只能执行委派的管理任务。

      在模块创建 Windows Server 2003 服务器的成员服务器基准中，本指南建议将 Guests 组包括到已分配此权限的用户和组列表中，从而提供最 高的安全性级别。不过，用来匿名访问 IIS 的 IUSR 帐户默认为 Guests 组的成员。出于这些原因，在本指南中定义的高安全性环境中，堡垒主机的“拒绝从网络访问此计算机”设置被配置为包括 ANONOYMOUS LOGON、内置 Administrator、Support_388945a0、Guest、所有的非操作系统服务帐户。

返回页首

安全选项

      堡垒主机的 BHLP 安全选项设置与模块创建 Windows Server 2003 服务器的成员服务器基准中的 High Security-Member Server Baseline.inf 文件中指定的那些设置相同。BHLP 设置确保所有相关的安全选项都通过堡垒主机服务器统一配置。

返回页首

事件日志 设置

      堡垒主机的 BHLP 事件日志设置与模块创建 Windows Server 2003 服务器的成员服务器基准中的 High Security- Member Server Baseline.inf 文件中指定的那些设置相同。BHLP 设置确保所有相关的事件日志设置都通过堡垒主机服务器统一配置。

返回页首

系统服务

      堡垒主机服务器的工作性质决定了它将暴露在外界的攻击之中。出于此原因，必须最大程度地降低每台堡垒主机的攻击面 。为了正确强化堡垒主机服务器，所有不需要的操作系统服务，以及对堡垒主机正常运行没有必要的角色都应该禁用。本指南所引用的 High Security-Bastion Host.inf 安全模板件可以对 BHLP 进行特定配置，以启用 SMTP 堡垒主机服务器正常工作时所需要的服务。BHLP 可以启用 Internet Information Services Manager 服务、HTTP SSL 服务和 SMTP 服务。但是，要启用其他任何功能，必须对 BHLP 进行修改。

      众多被禁用的服务将会产生大量的事件日志警告，您可以忽略这些警告。在某些情况下，启用这些服务将会减少事件日志警告和错误消息以及增加堡垒主机的可管理性。但是，这也会增加每台堡垒主机的攻击面。

      以下各部分讨论 在堡垒主机服务器上应该被禁用的服务，以在降低堡垒主机攻击面的同时保持其功能。这些部分只涉及 High Security-Member Server Baseline.inf 文件中未被禁用的服务。

自动更新

表 3：设置

服务名 设置

wuauserv

已 禁用

      Automatic Updates 服务使得堡垒主机可以下载并安装重要的 Microsoft Windows® 操作系统更新。此服务将自动为堡垒主机提供最新的更新程序、驱动程序和增强功能。您不必再手 动搜索关键的更新和信息；操作系统会将它们直接传送到堡垒主机。操作系统将识别您何时在线，并使用您的 Internet 连接从 Windows Update 服务中搜索可用的更新。根据您的配置设置，该服务会在您下载、安装更新程序之前通知您，或者自动为您安装更新程序。

      停止或禁用 Automatic Updates 服务可防止将关键的更新自动下载到计算机。在这种情况下，您必须直接转至位于 http://v4.windowsupdate.microsoft.com/en/default.asp 的 Windows Update 网站，搜索、下载和安装所有可用的关键修补程序。

      此服务不是正确操作堡垒主机所必需的。您可以使用本地策略将服务的启动模式设置为只允许管理员访问服务器，以阻止未经授权或怀有恶意的用户对服务进行配置和操作。此外，禁用此服务将有效减少堡垒主机服务器的攻击面。出于这些原因，应在 BHLP 中将 Automatic Updates 设置配置为“已禁用”。

Background Intelligent Transfer Service

表 4：设置

服务名 设置

BITS

已禁用

      Background Intelligent Transfer Service (BITS) 是后台文件传输机制和队列管理器。BITS 可在客户端和 HTTP 服务器之间异步传输文件。BITS 接收请求后，会使用空闲的网络带宽传输文件，这样，其他的网络相关活动（例如浏览）将不受影响。