本章集中討論了在企業環境中強化堡壘主機的問題。堡壘主機是一臺既安全但是又允許公眾訪問的計算機。堡壘主機位于周邊網絡(也就是大家熟知的DMZ、非軍事化區域或者受屏蔽子網)面向公眾的一側。堡壘主機不受防火墻或過濾路由器的保護,因此它被完全暴露在攻擊中。因此,我們必須花大力氣來設計和配置堡壘主機,將其可能遭受攻擊的機會減至最少。
堡壘主機通常被用作Web服務器、域名系統(DNS)服務器、文件傳輸協議(FTP)服務器、簡單郵件傳輸協議(SMTP)服務器及網絡新聞傳輸協議(NNTP)服務器等。理想情況下,堡壘主機應該只執行這些服務中的某一個功能,因為它扮演的角色越多,出現安全漏洞的可能性就越大。而在一臺堡壘主機上只對一個服務的安全進行維護則較為容易一些。能夠在多項堡壘主機業務上投入資金的企業必將從此類網絡體系中獲益匪淺。
安全的堡壘主機的配置與一般主機有很大區別。所有不必要的服務、協議、程序和網絡接口都應該被禁用或刪除,而且,每個堡壘主機通常被配置成只承擔一個角色。按照此方式經過加強的堡壘主機可以免遭某些類型攻擊的威脅。
本章下面部分將詳細敘述可以在不同環境中最有效保護堡壘主機的各種安全加固設置
堡壘主機本地策略
與本指南前面所述的應用組策略的其它服務器不同,組策略不能應用到堡壘主機服務器,這是因為它們被配置為獨立主機,不屬于Microsoft? Active Directory? 域。由于它們高度暴露給外界,所以在本指南所定義的三個環境中,只為堡壘主機服務器提供了一些基本的指導。下面所描述的安全設置建立在第3章“創建成員服務器基線”為高安全性環境提供的成員服務器基線策略(MSBP)基礎之上。這些設置包含在一個安全模板中,此模板必須應用到每個堡壘主機的“堡壘主機本地策略(BHLP)”。
應用堡壘主機本地策略
本指南提供的High Security – Bastion Host.inf文件可以用來配置BHLP。它能夠啟用一臺SMTP堡壘主機正常工作所需的服務。應用High Security – Bastion Host.inf可以增強服務器的安全性,因為它減少了堡壘主機的攻擊表面,但是您將無法對堡壘主機進行遠程管理。您必須對BHLP進行一些修改才能實現更多的功能或增加堡壘主機的可管理性。
為了應用安全模板中的所有安全設置,必須使用“安全配置和分析”管理單元,而不是“本地計算機策略”管理單元。使用“本地計算機策略”管理單元導入安全模板是不可能的,這是因為用于系統服務的安全設置無法在此管理單元中應用。
下面的步驟描述了使用“安全配置和分析”管理單元來導入并應用BHLP安全模板的過程。
警告:Microsoft強烈推薦在應用High Security – Bastion Host.inf前,對堡壘主機服務器進行一次完全備份。以便在應用High Security – Bastion Host.inf安全模板后如果出現了問題,可將堡壘主機恢復到其初始配置。請確信您已經對安全模板進行了配置,以啟用您所在環境需要的堡壘主機功能。
導入安全模板:
1. 運行“安全配置和分析”管理單元。
2. 右健單擊“安全配置和分析”的范圍項目。
3. 單擊“打開數據庫”。
4. 輸入一個新的數據庫名,然后單擊“打開”。
5. 選擇“High Security – Bastion Host.inf”安全模板,然后單擊“打開”。
這樣,所有堡壘主機的設置就將被導入,然后您可以審查和應用這些設置。
應用安全設置
1. 右健單擊“安全配置和分析”的范圍項目。
2. 選擇“現在配置計算機”。
3. 在“現在配置計算機”對話框中輸入希望查看的日志文件名稱,然后單擊“確定”。
完成這些步驟后,所有相關安全模板設置將全部應用于環境中堡壘主機的本地策略。您必須重新啟動堡壘主機才能使這些設置生效。
下面部分描述了使用BHLP實施的安全設置 。在本章中只論述那些與在MSBP中不同的設置。
審核策略設置
用于堡壘主機的BHLP審核策略的設置與在High Security – Member Server Baseline.inf文件中所指定的設置是相同的,詳情請看第三章 “創建成員服務器基線。”BHLP設置確保了所有相關的安全審核信息都被記錄到所有的堡壘主機服務器上。
用戶權限分配
用于堡壘主機的BHLP用戶權限分配基于High Security – Member Server Baseline.inf文件所指定的設置。詳情請看第三章“創建成員服務器基線。”下面描述了BHLP和MSBP間的差別。
允許本地登錄
“允許本地登錄”用戶權限允許用戶在計算機上啟動一個交互會話。對那些能登錄到堡壘主機服務器控制臺的賬號做出限制,將有助于阻止未經授權的用戶訪問服務器上的文件系統和系統服務。
默認情況下,Account Operators、Backup Operators、Print Operators及Power Users組被授予了本地登錄的權限。應該將該權限僅授予Administrators組,以便只有高度信任的用戶才擁有對堡壘服務器的管理訪問權限,而且能夠提供更高水平的安全性。
拒絕從網絡訪問該計算機
注意:在安全模板中并不包括ANONOYMOUS LOGON、內置Administrator、Support_388945a0、Guest及所有非操作系統服務的賬號。這些賬號和組都有唯一的安全標識符(SID)。因此,必須用手工方式將它們加入到BHLP中。
“拒絕從網絡訪問該計算機”用戶權限規定了哪些用戶不能通過網絡訪問一臺計算機。此設置將會拒絕一些網絡協議,包括:基于服務器消息塊(SMB)的協議、網絡基礎輸入/輸出系統(NetBIOS)、公共Internet文件系統(CIFS)、超文本傳輸協議(HTTP)及COM+(Component Object Model Plus)。當一個用戶賬號從屬于兩個策略時,該設置將忽略“從網絡訪問此計算機”的設置。在企業環境中為其它組配置此用戶權限可以限制用戶的訪問能力,讓他們只能執行委派的管理任務。
在第三章“創建成員服務器基線”中,本指南建議將Guests 組加入到已經分配了該權限的用戶和組中,以提供最高級別的安全性。然而,用來匿名訪問IIS的IUSR賬號默認情況下是Guests組的成員。因此,在本指南定義的高安全性環境中,堡壘主機的“拒絕從網絡訪問該計算機”的設置被配置為包括ANONOYMOUS LOGON、內置Administrator、Support_388945a0、Guest及所有非操作系統服務的賬號。
安全選項
用于堡壘主機的BHLP安全選項設置與在第三章“創建成員服務器基線”的High Security – Member Server Baseline.inf文件中所指定的設置是相同的。這些BHLP設置確保了所有相應的安全選項都可以統一配置到全部堡壘主機服務器上。
事件日志設置
用于堡壘主機的BHLP事件日志設置與在第三章“創建成員服務器基線”中的High Security – Member Server Baseline.inf文件中指定的設置是相同的。這些BHLP設置確保了所有相應的事件日志都可以統一配置到全部堡壘主機服務器上。
系統服務
堡壘主機服務器的工作性質決定了它將暴露在外界的攻擊之中。因此,每臺堡壘主機的攻擊表面積必須要降至最小。為了提高堡壘主機服務器的安全性,所有不需要的操作系統服務,以及對堡壘主機正常運行沒有必要的角色都應該禁用。本指南包括的High Security – Bastion Host.inf 安全模板可以對BHLP進行配置,以啟用一臺SMTP堡壘主機服務器所需要的全部功能。BHLP啟動了Internet信息服務管理器服務、HTTP SSL 服務和SMTP服務。但是,如果需要啟用其它功能,您必須對BHLP加以修改。
眾多被禁用的服務將會產生大量的事件日志警告,您可以忽略這些警告。有些時候,啟用這些服務將會減少事件日志警告和錯誤消息以及增加堡壘主機的可管理性。然而,這樣做也會增加每臺堡壘主機的攻擊表面。
以下小節論述了在堡壘主機服務器上應該被禁用的服務,以在降低堡壘主機攻擊表面的同時保持其功能。這些小節只涉及了High Security – Member Server Baseline.inf 文件中未被禁用的服務。
自動更新
“自動更新”服務可以讓堡壘主機下載并安裝重要的Microsoft Windows? 升級。該服務為堡壘主機自動提供最新的升級、驅動程序和增強組件。您將不再需要手工搜索這些重要的升級和信息;操作系統會將它們直接發送給堡壘主機。當您在線并使用Internet連接從Windows 升級服務中搜索可用的更新時,操作系統會做出識別。根據您所做出的設置,該服務將會在下載和安裝前向您發出通知,或者為您自動安裝升級文件。
停止或禁用“自動更新”服務將會阻止重要更新自動下載到計算機上。有些時候,您可能不得不直接連到Windows Update Web站點http://www.windowsupdate.microsoft.com上,以搜索、下載和安裝任何可用的重要修補程序。
對于堡壘主機的正常操作來說,該服務不是必需的。您可以使用本地策略將服務的啟動模式設置為只允許管理員訪問服務器,以阻止了未經授權或懷有惡意的用戶對服務進行配置和操作。此外,禁用該服務能有效地降低一臺堡壘主機服務器的攻擊表面。因此,請在BHLP中將“自動更新”設置被配置為“禁用”。
后臺智能傳輸服務
“后臺智能傳輸服務”(BITS)是一個后臺的文件傳輸機制和隊列管理程序。BITS在客戶端和HTTP服務器間異步傳輸文件。BITS接受傳遞文件的請求并使用空閑的網絡帶寬,因此其它相關的網絡活動(例如瀏覽等)不會受到影響。
停止該服務將會導致諸如“自動更新”這樣的特性無法自動下載程序和其它信息,直到服務再次運行為止。這意味著如果該服務沒有通過組策略進行配置,那么計算機將不會從“軟件更新服務”(SUS)收到自動更新。禁用該服務還導致任何明顯依賴它的服務無法傳輸文件,除非使用了一個可以避免失敗的機制通過其它方法直接傳輸文件,如Internet Explorer。
對于堡壘主機的正常操作來說,該服務不是必需的。您可以使用組策略將服務的開始模式設置配置為僅僅允許服務器管理員進行訪問,以阻止未經授權或懷有惡意的用戶對服務進行配置和操作。此外,禁用該服務能有效降低一臺堡壘主機服務器的攻擊表面。因此,在BHLP中該服務被禁用。
計算機瀏覽器
“計算機瀏覽器”服務在網絡上維護一個當前計算機的列表,并將列表提供給需要它的程序。“計算機瀏覽器” 服務由需要查看網絡域和資源的 Windows 計算機所使用。被指定為瀏覽器的計算機對瀏覽列表進行維護,該列表包括了網絡上使用的所有共享資源。Windows應用程序的較早版本,如“我的網絡位置”、“NET VIEW”命令和Microsoft Windows NT? Explorer,都需要瀏覽功能。例如,在運行Windows 95的計算機上打開“我的網絡位置”,就會顯示一個域和計算機的列表,這個列表就是該計算機從一臺被指定為瀏覽器的計算機瀏覽列表中獲得的一個副本。
禁用“計算機瀏覽器”服務將會導致無法更新和維護瀏覽器列表。禁用該服務還導致任何明顯依賴它的服務不能運行。
對于堡壘主機的正常操作來說,該服務不是必需的。您可以使用組策略將服務的開始模式設置為僅僅允許服務器管理員進行訪問,以阻止未經授權或懷有惡意的用戶對服務進行配置和操作。此外,禁用該服務能有效地降低一臺堡壘主機服務器的攻擊表面。因此,在BHLP中的“計算機瀏覽器”設置被配置為“禁用”。
DHCP客戶
“DHCP客戶”服務通過登記和更新計算機的 IP 地址和DNS名稱來管理網絡配置。當一個客戶,例如一個漫游用戶,在網絡上無目的游蕩時,該服務將會阻止用戶手工更改IP設置。客戶會被自動分配一個新的IP地址,而不考慮它所連接的子網——只要動態主機配置協議(DHCP)服務器對于每個子網來說都是可訪問的。沒有必要對DNS或Windows Internet名稱系統(WINS)的設置進行手工配置。DHCP服務器會將這些服務設置強加給客戶,只要DHCP服務器已經做好配置并且可以發出此類信息即可。 若要在客戶端激活該選項,只需選擇“自動獲得DNS服務器地址”單選按鈕。激活該選項將避免因IP地址重復帶來的沖突。
停止“DHCP客戶”服務將導致您的計算機無法接收到動態的IP地址,動態DNS更新功能也不會在DNS服務器上自動更新IP地址。禁用該服務還導致任何明顯依賴它的服務失敗。
對于堡壘主機的正常操作來說,該服務不是必需的。您可以使用組策略將服務的開始模式設置為僅僅允許服務器管理員進行訪問,以阻止未經授權或懷有惡意的用戶對服務進行配置和操作。此外,禁用該服務能有效地降低一臺堡壘主機服務器的攻擊表面。因此,因此,BHLP中的“DHCP客戶”設置被配置為“禁用”。
網絡位置感知(NLA)
“網絡位置感知(NLA)”服務控制和存儲網絡配置信息,如IP地址和域名變化等等,還有一些位置變化的信息,然后在這些信息發生變化時通知應用程序。
對于堡壘主機的正常操作來說,該服務不是必需的。您可以使用組策略將服務的開始模式設置為僅僅允許服務器管理員進行訪問,以阻止未經授權或懷有惡意的用戶對服務進行配置和操作。此外,禁用該服務能有效地降低一臺堡壘主機服務器的攻擊表面。因此,因此,BHLP中的“網絡位置感知(NLA)”設置被配置為“禁用”。
NTLM安全支持提供者
“NTLM安全支持提供者”服務為遠程過程調用(RPC)程序提供了安全保障,這些程序使用傳輸,而不是使用命名管道,該服務能讓用戶使用NTLM驗證協議登錄到網絡上。NTLM協議對不使用Kerberos V5驗證的客戶進行身份驗證。
如果停止或禁用“NTLM安全支持提供者”服務,您將無法登錄到使用NTLM驗證協議的客戶端或者訪問網絡資源。Microsoft 操作管理器(MOM)和Telnet都依賴于該服務。
對于堡壘主機的正常操作來說,該服務不是必需的。您可以使用組策略將服務的開始模式設置為僅僅允許服務器管理員進行訪問,以阻止未經授權或懷有惡意的用戶對服務進行配置和操作。此外,禁用該服務能有效地降低一臺堡壘主機服務器的攻擊表面。因此,在BHLP中“NTLM安全支持提供者”設置被配置為“禁用”。
性能日志和警報
“性能日志和警報”服務基于預先配置的時間表從本地或遠程計算機上采集性能數據,然后將數據寫入一個日志或觸發一個警報。根據包含在指定日志采集設置中的信息,該服務將啟動和停止每個指定的性能數據集合。至少有一個采集計劃,該服務才能運行。
停止并禁用“性能日志和警報”服務將會導致性能信息未被搜集,當前運行的數據采集也將會終止,并且預定的未來采集計劃也將不會發生。
對于堡壘主機的正常操作來說,該服務不是必需的。您可以使用組策略將服務的開始模式設置為僅僅允許服務器管理員進行訪問,以阻止未經授權或懷有惡意的用戶對服務進行配置和操作。此外,禁用該服務能有效地降低一臺堡壘主機服務器的攻擊表面。因此,在BHLP中“性能日志和警報”設置被配置為“禁用”。
遠程管理服務
當服務器重啟動時,“遠程管理服務”運行下列遠程管理任務:
增加服務器重啟動次數的計數。
生成一個自我簽署的證書。
如果未在服務器上設置數據和時間,則產生一個警報。
如果沒有配置電子郵件報警功能,則產生一個警報。
停止“遠程管理服務”可能會導致遠程服務器管理工具的一些特性不能正常工作,例如,用于遠程管理的Web界面程序。禁用該服務還導致任何明顯依賴它的服務失敗。
對于堡壘主機的正常操作來說,該服務不是必需的。您可以使用組策略將服務的開始模式設置為僅僅允許服務器管理員進行訪問,以阻止未經授權或懷有惡意的用戶對服務進行配置和操作。此外,禁用該服務能有效地降低一臺堡壘主機服務器的攻擊表面。因此,在BHLP中“遠程管理服務”設置被配置為“禁用”。
| 共2頁: 1 [2] 下一頁 | ||
|
