對于運行Microsoft Active Directory?目錄服務的Microsoft? Windows Server? 2003計算機,域控制器服務器是在任何環境下都應當確保其安全性的重要角色。對于依賴域控制器完成身份驗證、組策略、以及一個中央LDAP(輕量級目錄訪問協議)目錄的客戶機、服務器以及應用軟件而言,IT環境中域控制器的任何損失或信息泄密都可能是災難性的。
由于其重要性,域控制器應當總是被安置在物理上安全的地點,僅允許有資格的管理人員訪問。當域控制器必須安置在不太安全的地方時,例如分支辦公室,應當調整相關的安全性設置以限制來自物理訪問威脅的潛在損害。
域控制器基線策略
與本指南后面將要介紹的其他服務器角色策略不同,域控制器服務器的組策略是一種基線策略,與第三章“創建成員服務器基線”所定義的成員服務器基線策略(MSBP)屬于同一類。域控制器基線策略(DCBP)與域控制器組織單位(OU)密切相連,并且優先于缺省的域控制器策略。包括在DCBP中的設置將增強任何環境下域控制器的總體安全性。
大多數DCBP是MSBP的直接拷貝。由于DCBP建立在MSBP基礎之上,讀者應當仔細復習第三章“創建成員服務器基線”,以便充分理解同樣包括在DCBP中的許多設置。本章僅僅討論那些沒有包括在MSBP中的DCBP設置。
域控制器模板專門設計用來滿足本指南所定義三種環境的安全需要。下表顯示了包括在本指南中的域控制器.inf 文件以及這些環境相互之間的關系。例如,文件Enterprise Client – Domain Controller.inf是企業客戶機環境下的安全性模板。
注意:將一個配置不正確的組策略對象鏈接到Domain Controllers OU(域控制器組織單位)可能會嚴重阻礙域的正常操作。在導入這些安全性模板時應當十分小心,在將GPO到鏈接到Domain Controllers OU之前,應該確認導入的所有設置都是正確的。
審核策略設置
域控制器的審核策略設置與在MSBP中所指定的一樣。要了解更多信息,請參看第3章“創建成員服務器基線”。DCBP中的基線策略確保了所有相關的安全性審核信息都記錄在域控制器中。
用戶權限分配
DCBP為域控制器指定了許多用戶權限的分配方法。除了缺省設置之外,在本指南定義的三種環境下,您可以修改其它 7 種用戶權限以強化域控制器的安全性。
該部分詳細介紹了DCBP 規定的用戶權限設置,這些設置不同于MSBP中的相應設置。關于該部分規定設置的總結信息,請參看包括在本指南中的“Windows Server 2003安全指南設置” Excel 工作簿。
從網絡訪問您的計算機
“從網絡訪問該計算機”用戶權限確定哪些用戶和組能夠通過網絡連接到該計算機。許多網絡協議都要求該用戶權限,包括基于服務器信息塊(SMB)的協議、網絡基本輸入/輸出系統(NetBIOS)、通用互聯網文件系統(CIFS)、超級文本傳輸協議(HTTP)以及COM+等。
在Windows Server 2003中,盡管您可以為“Everyone”(所有人)安全組授予權限,并不再接受匿名用戶的訪問,但是“Guest”組和賬戶仍然可以通過“Everyone”安全組訪問。因此,本指南推薦在高安全性環境下,從“從網絡訪問該計算機”中刪除“Everyone”安全組,以便進一步防范利用Guest 帳戶對域發起的攻擊。
向域中添加工作站
“向域中添加工作站”權限允許用戶向指定的域中添加一臺計算機。如果希望該權限生效,它必須作為域的缺省域控制器策略的一部分分配給用戶。被授予了該權限的用戶可以向域中添加10個工作站。被授予了為OU或 Active Directory 的計算機容器“創建計算機對象”權限的用戶,也可以向域中加入計算機。被授予了該權限的用戶可以無限制地向域中添加計算機,無論他們是否被分配了“向域中添加工作站”用戶權限。
缺省情況下,“Authenticated Users”(經過身份驗證的用戶)用戶組具有向 Active Directory 域中添加10個計算機賬戶的能力。這些新計算機賬戶在計算機容器中創建。
在一個 Active Directory 域中,每個計算機賬戶都是一個完整的安全性主體,擁有認證和訪問域資源的能力。有些組織希望限制一個 Active Directory 環境中的計算機數量,以便可以持續地跟蹤、構建和管理它們。
允許用戶向域中添加工作站則會妨礙這項工作。而且,這樣做還會為用戶執行更加難以跟蹤的行為提供了方便,因為他們可能創建了其他未經授權的域計算機。
因此,在本指南定義的三種環境下,“向域中添加工作站”用戶權限僅僅授予Administrators 組。
允許從本地登錄
“允許本地登錄”用戶權限允許用戶在計算機上開啟一個交互式的會話。如果用戶不具備該權限,但擁有“允許通過終端服務登錄”權限,他仍然能夠在計算機上開啟一個遠程的交互式會話。
通過對可以登錄到域控制器控制臺的賬戶加以限制,有助于防止對域控制器文件系統和系統服務進行未授權的訪問。能夠登錄到域控制器控制臺的用戶可能惡意地利用該系統,并且可能破壞整個域和森林的安全性。
缺省情況下, Account Operators、Backup Operators、Print Operators和Server Operators 組被授予了從本地登錄域控制器的權限。但是這些組中的用戶不必登錄到一臺域控制器上完成其管理任務。這些組中的用戶通常可以從其它工作站完成其職責。只有“Administrators”組中的用戶才必須在域控制器上登錄以完成其維護任務。
將該權限僅授予給“Administrators”組,可以將對域控制器的物理和交互式訪問限制在受高度信任的用戶,從而增強了安全性。因此,在本指南定義的三種環境下,將“允許從本地登錄”用戶權限僅授予給“Administrators”組。
允許通過終端服務登錄
“通過終端服務登錄”權限允許用戶使用遠程桌面連接登錄到計算機上。
對通過終端服務登錄到域控制器控制臺的賬戶加以限制,有助于防止對域控制器文件系統和系統服務的未經授權訪問。能夠通過終端服務登錄到域控制器控制臺的用戶可以對該系統進行利用,并且可能破壞整個域或森林的安全性。
通過將該權限僅授予給 Administrators 組,可以將對域控制器的交互訪問權限制在高度信任的用戶中,從而增強了系統的安全性。因此,在本指南所定義的三種環境下,“允許通過終端服務訪問”僅授予給 Administrators 組。盡管在缺省情況下,通過終端服務登錄到一臺域控制器要求用戶具有管理員訪問權限,但配置該用戶權限有助于防止那些可能破壞該限制的無意或有意行為。
作為一種高級的安全性措施,DCBP 禁止使用缺省的 Administrator 賬戶通過終端服務登錄到域控制器。該設置還可阻止惡意用戶企圖使用缺省的 Administrator 賬戶遠程強行登錄到一臺域控制器。要了解該設置的詳細信息,請參看第3章“創建成員服務器基線”。
改變系統時間
“改變系統時間”權限允許用戶調整計算機內部時鐘的時間。該權限對于改變時區或系統時間的其他顯示特征不是必需的。
系統時間保持同步對于 Active Directory 的運行至關重要。正確的 Active Directory 復制和KerberosV5身份驗證協議使用的身份驗證票據生成過程要依賴于整個環境中的時間同步。
如果在環境中,一臺域控制器配置的系統時間與另一臺域控制器配置的系統時間不同步,則可能妨礙域服務的操作。僅允許管理員改變系統時間可以將域控制器被配置為錯誤系統時間的可能性降至最小。
缺省情況下, Server Operators 組被授予了改變域控制器系統時間的權限。由于這個組的成員可能會不正確地更改域控制器系統時間,該用戶權限在DCBP中進行了配置,以便在本指南定義的三種環境下,只有 Administrators 組有權改變系統時間。
要了解關于Microsoft Windows? 時間服務(Microsoft Windows? Time Service)的更多信息,請參考知識庫文章Q224799,“Windows Time Service 的基本操作”:http://support.microsoft.com/default.aspx?scid=224799,以及Q216734,“如何在Windows 2000中配置一臺權威的時間服務器”:http://support.microsoft.com/default.aspx?scid=216734.
為委派啟用受信任的計算機和用戶帳戶
“為委派啟用受信任的計算機和用戶賬戶”權限允許用戶在 Active Directory 中的一個用戶和計算機對象上改變 “允許委派”(Trusted for Delegation)設置。身份驗證委派是由多層客戶/服務器應用程序所使用的一種功能。它允許前端服務在驗證一項后端服務時使用客戶機的信任憑據。要使這項操作成立,客戶機和服務器都必須運行在允許接收委派的賬戶下。
對該權限的誤用可能會導致未經授權的用戶假裝網絡中的其他用戶。攻擊者可以利用該權限假扮其他用戶訪問網絡資源,這使得在安全事件出現之后,確定事件原因的工作變得更加困難。
本指南推薦將“為委派啟用受信任的計算機和用戶賬戶”權限分配給域控制器中的Administrators 組。
注意:盡管缺省的域控制器策略將該權限分配給管理員組,但DCBP之所以在高安全性環境下加強了該項權限設置是因為它最初是建立在MSBP基礎上的,而MSBP給該權限分配了一個NULL值。
安裝和卸載設備驅動程序
“安裝和卸載設備驅動程序”權限決定了哪些用戶有權安裝和卸載設備驅動程序。該權限對于安裝和卸載即插即用設備是必需的。
不恰當地在域控制器上安裝和卸載設備驅動程序可能會對其運行帶來不利影響。將有權安裝和卸載設備驅動程序的帳戶限制在最可信任的用戶中,可以降低因為設備驅動程序被誤用而破壞域控制器的可能性。
缺省情況下,“Print Operators”組被授予了該權限。正如早先提到的,我們不推薦在域控制器中創建打印機共享。這樣,打印操作員就無需獲得安裝和卸載設備驅動程序的權限。因此,在本指南定義的三種環境下,該權限僅被授予給“Administrators”組。
恢復文件及目錄
“恢復文件和目錄”用戶權限允許用戶在恢復備份的文件或文件夾時,避開文件和目錄的許可權限,并且作為對象的所有者設置任何有效的安全主體。
如果允許某個用戶賬戶將文件和目錄恢復到域控制器的文件系統中,賬戶所有者將獲得輕松修改服務可執行程序的能力。利用該權限提供的訪問權限,惡意用戶既可能致使一臺域控制器癱瘓,也可能破壞整個域或整個森林的安全性。
缺省情況下,Server Operators 和Backup Operators 組被授予了該權限。將該用戶權限從這些組中清除,并且僅授予給 Administrators 組,可以減少由于不正確地改變文件系統而導致域控制器被破壞的可能性。因此,在本指南所定義的三種環境下,該權限僅授予給 Administrators 組。
關閉系統
“關閉系統”權限允許用戶關閉本地計算機。具有關閉域控制器能力的惡意用戶能夠輕易地發動拒絕服務(DoS)攻擊,這將嚴重地影響整個域或森林的安全性。
而且,當域控制器系統賬戶重新啟動服務時,該用戶權限可被利用來發起權限提升攻擊。如果對域控制器的特權提升攻擊成功,那將破壞域或者整個森林的安全性。
缺省情況下, Administrators、Server Operators、Print Operators 和 Backup Operators 組被授予了關閉域控制器的權限。為確保環境的安全,除了Administrators組之外,其他組完成管理工作都無需該權限。因此,在本指南定義的三種環境下,只有Administrators 組被授予了本權限。
安全選項
域控制器的大多數安全選項設置與在MSBP中指定的相同。要了解更多信息,請參看第3章“創建成員服務器基線”。下面的部分介紹MSBP和DCBP之間的不同。
網絡安全:在下一次修改密碼時不存儲LAN Manager散列值
“網絡安全:在下一次修改密碼時不存儲LAN Manager 散列值” 安全選項設置決定了當管理員改變密碼時,是否存儲新密碼的LAN Manager (LM))散列值。與更為牢固的Windows NT? 口令散列相比,LM相對較弱而且易受攻擊。因此,在本指南所定義的三種環境下,MSBP啟用了本設置。
在企業客戶機和高安全性環境下,DCBP啟用域控制器上的此設置,而在舊有客戶機環境下則禁用此設置。如果在舊有客戶機環境下該設置被啟用,當改變密碼之后,Windows 98客戶機將無法登錄。
注意:當該設置被激活時,舊有操作系統以及某些第三方應用軟件將無法使用。而且,啟用此設置將要求所有的賬戶都必須改變其密碼。
事件日志設置
域控制器的事件日志設置與在MSBP中指定的設置相同。要了解更多信息,請參看第3章,“創建成員服務器基線。”DCBP中的基線組策略設置確保了所有的相關安全審核信息都被記錄在域控制器上,其中包括目錄服務訪問信息。
系統服務
在所有的Windows Server 2003域控制器上,下面的系統服務必須被啟用。DCBP中的基線策略設置可確保所有的系統服務跨越不同的域控制器實現統一配置。
本部分詳細介紹了DCBP規定的系統服務設置,這些設置與MSBP中所規定的不同。關于這部分規定設置的總結信息,請參考包括在本指南中的“Windows Server 2003安全性指南設置”Excel工作簿。
注意:如果您從Windows Server 2003 支持工具(Windows Server 2003 Support Tools)中運行DCDiag.exe,它將檢查所有在您所在環境中的域控制器上運行的服務。由于某些服務在域控制器基線策略中被禁用,DCDiag.exe將會報告錯誤——這些服務包括IISADMIN, SMTPSVC,以及 TrkSvr。這些信息并不表明您的配置存在問題。
分布式文件系統
“分布式文件系統(DFS)”服務將完全不同的文件共享分配和集成到一個單一的邏輯名字空間。該服務管理跨越局域網或廣域網(LAN)進行分布的邏輯卷,而且是 Active Directory 邏輯卷(SYSVOL)共享所必需的。SYSVOL復制依賴于DFS的正確運行。
使用組策略,將服務的開始模式設置配置為僅僅允許服務器管理員進行訪問,,從而防止服務被未經授權或惡意的用戶所配置或操作。該組策略還可防止管理員無意禁用該服務。因此,在本指南所定義的三種環境下,該服務在DCBP中配置為自動開始。
| 共2頁: 1 [2] 下一頁 | ||
|
