Win 2003對列印伺服器的保護
強化列印伺服器
概述
因為列印伺服器提供的大多數重要服務都需要Microsoft Windows 網路基本輸入/輸出系統(NetBIOS)相關協議的支持,所以本章將重點討論在進一步強化列印伺服器安全性方面存在的一些挑戰。伺服器消息塊(SMB)協議和通用Internet文件系統(CIFS) 協議能給未經授權用戶提供大量的信息。因此,我們經常建議在高安全性的Windows環境中禁止列印伺服器使用這些協議。但是,禁用這些協議可能給您的環境中的管理員和用戶訪問列印伺服器造成一定的困難。
本章下面的部分將詳細描述列印伺服器能夠從中受益的一些安全性設置,這些設置都不能通過成員伺服器基線策略(MSBP)得到應用。要了解更多關於MSBP的信息,可參閱第三章"創建成員伺服器基線"。
審核策略設置
在本指南定義的三種環境下,列印伺服器的審核策略都通過MSBP進行配置。要了解更多關於MSBP的信息,可參閱第三章"創建成員伺服器基線"。MSBP設置確保了所有相關的安全審核信息能夠被所有的列印伺服器記錄在日誌中。
用戶許可權分配
在本指南定義的三種環境下,列印伺服器的用戶許可權分配都通過MSBP進行配置。要了解更多關於MSBP的信息,可參閱第三章"創建成員伺服器基線"。MSBP設置確保了所有正確的用戶許可權分配都能夠跨越不同的列印伺服器實現統一配置。
安全選項
在本指南定義的三種環境下,列印伺服器的安全選項設置都是通過MSBP進行配置。要了解更多關於MSBP的信息,可參閱第三章"創建成員伺服器基線"。MSBP設置確保了所有相關的安全選項設置能夠跨越不同的列印伺服器實現統一配置。
Microsoft網路伺服器:數字簽署通信(始終)
表7.1:設置
成員伺服器預設值 | 舊有客戶機 | 企業客戶機 | 高安全性 |
禁用 | 禁用 | 禁用 | 禁用 |
"Microsoft網路伺服器:數字簽署通信(始終)"設置決定了數據包簽署對於SMB伺服器組件來說是否是必需的。SMB協議為Microsoft的文件和列印共享以及像遠程Windows管理這樣的其它許多網路操作提供了基礎。為了阻止SMB數據包在傳輸過程中受到人為攻擊,SMB協議支持SMB數據包的數字簽署。該設置決定了伺服器和SMB 客戶端之間的通信在被允許之前是否可以忽略SMB數據包的數字簽署。
儘管該設置被預設為禁用狀態,但是您可以通過MSBP在本指南定義的高安全性環境中啟用伺服器的這個設置。您可以啟用列印伺服器上的這個設置以便用戶執行列印操作,但是它不允許用戶查看列印隊列。試圖查看列印隊列的用戶將得到拒絕訪問的消息。出於上述原因,在本指南定義的三種環境中,"Microsoft 網路伺服器:數字簽名通信(始終)"設置被配置為"禁用 "列印伺服器。
事件日誌設置
在本指南定義的三種環境下,列印伺服器的事件日誌設置都通過MSBP進行配置。要了解更多關於MSBP的信息,可參閱第三章"創建成員伺服器基線"。
系統服務
任何服務和應用軟體都是攻擊者的潛在目標,所以應該禁用或刪除不需要的服務和可執行文件。在MSBP中,可選服務和不必要服務都應該被禁用。以下內容詳細描述了應該在列印伺服器上啟用的服務。
後台列印
表7.2:設置
服務名稱 | 成員伺服器預設取值 | 舊有客戶機 | 企業客戶機 | 高安全性 |
後台列印處理 | 手動 | 禁用 | 禁用 | 禁用 |
"後台列印處理"服務管理著所有本地和網路列印隊列並控制所有的列印工作。後台列印處理服務是 Windows 列印子系統的中心,它與列印驅動程序和輸入/輸出(I/O)組件進行通信。
列印伺服器依賴於"後台列印處理"服務的正確運行。為了讓列印伺服器處理客戶機的列印工作,該服務必須設置為運行。您可以使用組策略將" 後台列印處理" 服務的啟動模式設置為"只允許伺服器管理員訪問",以防止服務被未經授權或懷有惡意的用戶設置或操作。組策略也可以防止管理者無意中禁用該服務。其原因是:在本指南定義的三種安全環境中,"後台列印處理"設置都被配置為"自動"。
其它安全性設置
MSBP中應用的安全設置大大提高了列印伺服器的安全性。不過,您還需要考慮其它一些注意事項。有些步驟不能通過組策略來完成,而要在所有列印伺服器上手動執行操作。
保護眾所周知帳戶的安全
Microsoft Windows Server? 2003具有大量的內置用戶帳戶,這些帳戶不能被刪除,但是可以重命名。Windows 2003中最常見的兩個內置帳戶是Guest 和Administrator 。
Guest 帳戶在成員伺服器和域控制器上預設為禁用狀態。此設置不應該被更改。內置的Administrator 帳戶應該被重命名並改變描述。以防止攻擊者利用該帳戶危及遠程伺服器的安全。
許多惡意代碼的變種企圖使用內置的管理員賬戶來破壞一台伺服器。在近幾年來,進行上述重命名配置的意義已經大大降低了,因為出現了很多新的攻擊工具,這些工具企圖通過指定內置 Administrator 賬戶的安全標識(SID)來確定該帳戶的真實姓名,從而侵佔伺服器。SID是識別每個用戶、組、計算機帳戶和網路登錄的唯一值。要改變內置帳戶的SID 是不可能的。您可以用一個特別的名字重新命名本地的administrator帳戶,以便您能夠監控對該帳戶的攻擊行為。
保護列印伺服器上的眾所周知帳戶
1. 重新命名Administrator和Guest帳戶,然後改變每個域和伺服器的密碼為長且複雜的值。
2. 為每個伺服器使用不同的名稱和密碼。如果所有的域和伺服器使用同一個帳戶名和密碼,取得一個伺服器訪問權的攻擊者就可以用相同的帳戶名和密碼取得其它域和伺服器的訪問權。
3. 改變預設的帳戶描述,以防止這些帳戶被輕易識別出來。
4. 在安全的地方記錄上述改變。
注意:內置的Administrator帳戶可以通過組策略重新命名。這個設置不能通過本指南提供的任何安全模板進行配置,因為您應該為您的環境選擇一個特別的名字。在本指南定義的三種環境下,"賬戶:重命名管理員賬戶"可以被配置為重命名管理員賬戶。該設置是組策略安全選項設置的一部分。
保護服務帳戶的安全
除非絕對必要,決不要將服務設定為在域帳戶的安全上下文中運行。如果伺服器的物理安全受到破壞,域賬戶密碼可以很容易通過轉儲本地安全性授權(LSA)秘文而獲得。
用IPSec過濾器阻斷埠
Internet協議安全(IPSec)過濾器能為提高伺服器的安全級別提供一條有效的途徑。本指南推薦在其定義的高安全性環境中使用該選項,以便進一步減少伺服器的攻擊表面積。
要了解更多關於IPSec過濾器的使用信息,請參閱"威脅和對抗:Windows Server 2003和Windows XP安全設置 "的第11章 "其它成員伺服器的強化程序"。
下表列出了可以在本指南定義的高安全性環境中的列印伺服器上創建的所有IPSec過濾器
表7.3:列印伺服器IPSec網路流量圖
服務 | 協議 | 源埠 | 目標埠 | 源地址 | 目標地址 | 操作 | 鏡像 |
CIFS伺服器 | TCP | 所有 | 445 | 所有 | ME | 允許 | 是 |
UDP | 所有 | 445 | 所有 | ME | 允許 | 是 | |
NetBIOS 伺服器 | TCP | 所有 | 137 | 所有 | ME | 允許 | 是 |
UDP | 所有 | 137 | 所有 | ME | 允許 | 是 | |
UDP | 所有 | 138 | 所有 | ME | 允許 | 是 | |
TCP | 所有 | 139 | 所有 | ME | 允許 | 是 | |
OnePoint客戶機 | 所有 | 所有 | 所有 | ME | MOM伺服器 | 允許 | 是 |
終端服務 | TCP | 所有 | 3389 | 所有 | ME | 允許 | 是 |
域成員 | 所有 | 所有 | 所有 | ME | 域控制器 | 允許 | 是 |
域成員 | 所有 | 所有 | 所有 | ME | 域控制器r 2 | 允許 | 是 |
域成員 | 所有 | 所有 | 所有 | ME | 域控制器2 | 允許 | 是 |
所有入站流量 | 所有 | 所有 | 所有 | 所有 | ME | 禁止 | 是 |
在實現上表中列出的所有規則時都應該進行鏡像處理。以確保進入伺服器的所有網路流量也可以返回到源伺服器。
上表描述了伺服器執行特別任務功能所需打開的基本埠。如果伺服器使用靜態IP地址,那麼這些埠就已經足夠了。要是希望提供其它功能,您需要開放其它埠。開放其它埠可使您環境中的列印伺服器更容易管理,不過,它們可能大大降低這些伺服器的安全性。
因為域成員和域控制器之間存在大量交互操作,在特殊的RPC和身份驗證通信中,您需要允許文件伺服器和所有域控制器之間的所有通信。通信還可以被進一步限制,但是大多數環境都需要為有效保護伺服器而創建更多的過濾器。這使得IPSec策略的執行和管理更為困難。與一個列印伺服器相關的所有域控制器都要創建相似的規則。為了提高列印伺服器的可靠性和可用性,您需要為環境中的所有域控制器添加更多規則。
如上所述,如果需要在環境中允許Microsoft Operation manager(MOM),運行IPSec過濾器的伺服器和MOM伺服器之間的所有網路通信都必須被允許通過。這一點十分重要,因為MOM伺服器和OnePoint客戶--向MOM控制台提供報告的客戶端應用程序--之間具有大量的交互行為。其它的管理軟體可能也具有類似的要求。如果您需要更高級別的安全性,OnePoint客戶過濾操作可以被配置為就IPSec和MOM伺服器進行協商。
IPSec策略可以阻止任意一個高埠的通信,因此,您將無法進行遠程過程調用(RPC)通信。這使得伺服器的管理更加困難。因為這麼多的埠已經被有效關閉,您可以啟用終端訪問,以方便管理員進行遠程管理。
上面的網路流量圖假定環境中包括啟用了Active Directory的DNS伺服器。如果使用靜態DNS伺服器,您還需要設定其它規則.執行IPSec策略不會對伺服器的性能產生太大影響。不過,您應該在執行這些過濾之前首先進行測試,以便確保伺服器的必要功能和性能得以保持。如果希望支持其它應用軟體,您還需要添加其它的規則。
本指南包括一個.cmd文件,它簡化了依照指南要求為域控制器創建IPSec過濾器的過程。PacketFilters-File.cmd文件使用NETSH命令創建適當的過濾器。您必須修改.cmd文件以使它包括您所在環境中的域控制器的IP地址。腳本為即將添加的域控制器提供了兩個佔位符。如果需要,您還可以添加其它的域控制器。域控制器的IP地址列表必須是最新的。
如果環境中有MOM,那麼相應的MOM伺服器的IP地址也必須列入腳本。這個腳本不會創建永久性的過濾器。因此,除非IPSec策略代理開始運行,否則伺服器是不受保護的。要了解更多關於建立永久性過濾器或創建更高級IPSec過濾器腳本的信息,請參閱"威脅和對策:Windows Server 2003和 Windows XP安全設置 "的第11章 "其它成員伺服器的強化程序"。最後,該腳本被配置為不對其創建的IPSec策略進行分配。IP安全策略管理單元可用來檢查它創建的IPSec過濾器和分配IPSec策略以便使其生效。
總結
本章闡述了在本指南所定義的三種環境中保護列印伺服器的安全所需採取的伺服器強化設置。所論述的大多數設置都通過使用組策略來進行配置和載入的。您可以將能夠為MSBP提供有益補充的組策略對象(GPO)鏈接到包含列印伺服器的相應組織單位(OU),以便為這些伺服器提供的服務賦予更多的安全性。
文中提及的某些設置不能使用組策略來進行應用。在這些情況下,我們提供了手動配置這些設置所需的詳細資料。此外,我們還詳細介紹了創建和應用能夠控制列印伺服器間網路通信類型的IPSec過濾器的具體過程。
[admin via 研發互助社區 ] Win 2003對列印伺服器的保護已經有3267次圍觀
http://cocdig.com/docs/show-post-58.html