本章集中討論了在企業(yè)環(huán)境中強化堡壘主機的問題。堡壘主機是一臺既安全但是又允許公眾訪問的計算機。堡壘主機位于周邊網(wǎng)絡(也就是大家熟知的DMZ、非軍事化區(qū)域或者受屏蔽子網(wǎng))面向公眾的一側。堡壘主機不受防火墻或過濾路由器的保護,因此它被完全暴露在攻擊中。因此,我們必須花大力氣來設計和配置堡壘主機,將其可能遭受攻擊的機會減至最少。
堡壘主機通常被用作Web服務器、域名系統(tǒng)(DNS)服務器、文件傳輸協(xié)議(FTP)服務器、簡單郵件傳輸協(xié)議(SMTP)服務器及網(wǎng)絡新聞傳輸協(xié)議(NNTP)服務器等。理想情況下,堡壘主機應該只執(zhí)行這些服務中的某一個功能,因為它扮演的角色越多,出現(xiàn)安全漏洞的可能性就越大。而在一臺堡壘主機上只對一個服務的安全進行維護則較為容易一些。能夠在多項堡壘主機業(yè)務上投入資金的企業(yè)必將從此類網(wǎng)絡體系中獲益匪淺。
安全的堡壘主機的配置與一般主機有很大區(qū)別。所有不必要的服務、協(xié)議、程序和網(wǎng)絡接口都應該被禁用或刪除,而且,每個堡壘主機通常被配置成只承擔一個角色。按照此方式經(jīng)過加強的堡壘主機可以免遭某些類型攻擊的威脅。
本章下面部分將詳細敘述可以在不同環(huán)境中最有效保護堡壘主機的各種安全加固設置
堡壘主機本地策略
與本指南前面所述的應用組策略的其它服務器不同,組策略不能應用到堡壘主機服務器,這是因為它們被配置為獨立主機,不屬于Microsoft? Active Directory? 域。由于它們高度暴露給外界,所以在本指南所定義的三個環(huán)境中,只為堡壘主機服務器提供了一些基本的指導。下面所描述的安全設置建立在第3章“創(chuàng)建成員服務器基線”為高安全性環(huán)境提供的成員服務器基線策略(MSBP)基礎之上。這些設置包含在一個安全模板中,此模板必須應用到每個堡壘主機的“堡壘主機本地策略(BHLP)”。
應用堡壘主機本地策略
本指南提供的High Security – Bastion Host.inf文件可以用來配置BHLP。它能夠啟用一臺SMTP堡壘主機正常工作所需的服務。應用High Security – Bastion Host.inf可以增強服務器的安全性,因為它減少了堡壘主機的攻擊表面,但是您將無法對堡壘主機進行遠程管理。您必須對BHLP進行一些修改才能實現(xiàn)更多的功能或增加堡壘主機的可管理性。
為了應用安全模板中的所有安全設置,必須使用“安全配置和分析”管理單元,而不是“本地計算機策略”管理單元。使用“本地計算機策略”管理單元導入安全模板是不可能的,這是因為用于系統(tǒng)服務的安全設置無法在此管理單元中應用。
下面的步驟描述了使用“安全配置和分析”管理單元來導入并應用BHLP安全模板的過程。
警告:Microsoft強烈推薦在應用High Security – Bastion Host.inf前,對堡壘主機服務器進行一次完全備份。以便在應用High Security – Bastion Host.inf安全模板后如果出現(xiàn)了問題,可將堡壘主機恢復到其初始配置。請確信您已經(jīng)對安全模板進行了配置,以啟用您所在環(huán)境需要的堡壘主機功能。
導入安全模板:
1. 運行“安全配置和分析”管理單元。
2. 右健單擊“安全配置和分析”的范圍項目。
3. 單擊“打開數(shù)據(jù)庫”。
4. 輸入一個新的數(shù)據(jù)庫名,然后單擊“打開”。
5. 選擇“High Security – Bastion Host.inf”安全模板,然后單擊“打開”。
這樣,所有堡壘主機的設置就將被導入,然后您可以審查和應用這些設置。
應用安全設置
1. 右健單擊“安全配置和分析”的范圍項目。
2. 選擇“現(xiàn)在配置計算機”。
3. 在“現(xiàn)在配置計算機”對話框中輸入希望查看的日志文件名稱,然后單擊“確定”。
完成這些步驟后,所有相關安全模板設置將全部應用于環(huán)境中堡壘主機的本地策略。您必須重新啟動堡壘主機才能使這些設置生效。
下面部分描述了使用BHLP實施的安全設置 。在本章中只論述那些與在MSBP中不同的設置。
審核策略設置
用于堡壘主機的BHLP審核策略的設置與在High Security – Member Server Baseline.inf文件中所指定的設置是相同的,詳情請看第三章 “創(chuàng)建成員服務器基線。”BHLP設置確保了所有相關的安全審核信息都被記錄到所有的堡壘主機服務器上。
用戶權限分配
用于堡壘主機的BHLP用戶權限分配基于High Security – Member Server Baseline.inf文件所指定的設置。詳情請看第三章“創(chuàng)建成員服務器基線。”下面描述了BHLP和MSBP間的差別。
允許本地登錄
“允許本地登錄”用戶權限允許用戶在計算機上啟動一個交互會話。對那些能登錄到堡壘主機服務器控制臺的賬號做出限制,將有助于阻止未經(jīng)授權的用戶訪問服務器上的文件系統(tǒng)和系統(tǒng)服務。
默認情況下,Account Operators、Backup Operators、Print Operators及Power Users組被授予了本地登錄的權限。應該將該權限僅授予Administrators組,以便只有高度信任的用戶才擁有對堡壘服務器的管理訪問權限,而且能夠提供更高水平的安全性。
拒絕從網(wǎng)絡訪問該計算機
注意:在安全模板中并不包括ANONOYMOUS LOGON、內(nèi)置Administrator、Support_388945a0、Guest及所有非操作系統(tǒng)服務的賬號。這些賬號和組都有唯一的安全標識符(SID)。因此,必須用手工方式將它們加入到BHLP中。
“拒絕從網(wǎng)絡訪問該計算機”用戶權限規(guī)定了哪些用戶不能通過網(wǎng)絡訪問一臺計算機。此設置將會拒絕一些網(wǎng)絡協(xié)議,包括:基于服務器消息塊(SMB)的協(xié)議、網(wǎng)絡基礎輸入/輸出系統(tǒng)(NetBIOS)、公共Internet文件系統(tǒng)(CIFS)、超文本傳輸協(xié)議(HTTP)及COM+(Component Object Model Plus)。當一個用戶賬號從屬于兩個策略時,該設置將忽略“從網(wǎng)絡訪問此計算機”的設置。在企業(yè)環(huán)境中為其它組配置此用戶權限可以限制用戶的訪問能力,讓他們只能執(zhí)行委派的管理任務。
在第三章“創(chuàng)建成員服務器基線”中,本指南建議將Guests 組加入到已經(jīng)分配了該權限的用戶和組中,以提供最高級別的安全性。然而,用來匿名訪問IIS的IUSR賬號默認情況下是Guests組的成員。因此,在本指南定義的高安全性環(huán)境中,堡壘主機的“拒絕從網(wǎng)絡訪問該計算機”的設置被配置為包括ANONOYMOUS LOGON、內(nèi)置Administrator、Support_388945a0、Guest及所有非操作系統(tǒng)服務的賬號。
安全選項
用于堡壘主機的BHLP安全選項設置與在第三章“創(chuàng)建成員服務器基線”的High Security – Member Server Baseline.inf文件中所指定的設置是相同的。這些BHLP設置確保了所有相應的安全選項都可以統(tǒng)一配置到全部堡壘主機服務器上。
事件日志設置
用于堡壘主機的BHLP事件日志設置與在第三章“創(chuàng)建成員服務器基線”中的High Security – Member Server Baseline.inf文件中指定的設置是相同的。這些BHLP設置確保了所有相應的事件日志都可以統(tǒng)一配置到全部堡壘主機服務器上。
系統(tǒng)服務
堡壘主機服務器的工作性質(zhì)決定了它將暴露在外界的攻擊之中。因此,每臺堡壘主機的攻擊表面積必須要降至最小。為了提高堡壘主機服務器的安全性,所有不需要的操作系統(tǒng)服務,以及對堡壘主機正常運行沒有必要的角色都應該禁用。本指南包括的High Security – Bastion Host.inf 安全模板可以對BHLP進行配置,以啟用一臺SMTP堡壘主機服務器所需要的全部功能。BHLP啟動了Internet信息服務管理器服務、HTTP SSL 服務和SMTP服務。但是,如果需要啟用其它功能,您必須對BHLP加以修改。
眾多被禁用的服務將會產(chǎn)生大量的事件日志警告,您可以忽略這些警告。有些時候,啟用這些服務將會減少事件日志警告和錯誤消息以及增加堡壘主機的可管理性。然而,這樣做也會增加每臺堡壘主機的攻擊表面。
以下小節(jié)論述了在堡壘主機服務器上應該被禁用的服務,以在降低堡壘主機攻擊表面的同時保持其功能。這些小節(jié)只涉及了High Security – Member Server Baseline.inf 文件中未被禁用的服務。
自動更新
“自動更新”服務可以讓堡壘主機下載并安裝重要的Microsoft Windows? 升級。該服務為堡壘主機自動提供最新的升級、驅(qū)動程序和增強組件。您將不再需要手工搜索這些重要的升級和信息;操作系統(tǒng)會將它們直接發(fā)送給堡壘主機。當您在線并使用Internet連接從Windows 升級服務中搜索可用的更新時,操作系統(tǒng)會做出識別。根據(jù)您所做出的設置,該服務將會在下載和安裝前向您發(fā)出通知,或者為您自動安裝升級文件。
停止或禁用“自動更新”服務將會阻止重要更新自動下載到計算機上。有些時候,您可能不得不直接連到Windows Update Web站點http://www.windowsupdate.microsoft.com上,以搜索、下載和安裝任何可用的重要修補程序。
對于堡壘主機的正常操作來說,該服務不是必需的。您可以使用本地策略將服務的啟動模式設置為只允許管理員訪問服務器,以阻止了未經(jīng)授權或懷有惡意的用戶對服務進行配置和操作。此外,禁用該服務能有效地降低一臺堡壘主機服務器的攻擊表面。因此,請在BHLP中將“自動更新”設置被配置為“禁用”。
后臺智能傳輸服務
“后臺智能傳輸服務”(BITS)是一個后臺的文件傳輸機制和隊列管理程序。BITS在客戶端和HTTP服務器間異步傳輸文件。BITS接受傳遞文件的請求并使用空閑的網(wǎng)絡帶寬,因此其它相關的網(wǎng)絡活動(例如瀏覽等)不會受到影響。
停止該服務將會導致諸如“自動更新”這樣的特性無法自動下載程序和其它信息,直到服務再次運行為止。這意味著如果該服務沒有通過組策略進行配置,那么計算機將不會從“軟件更新服務”(SUS)收到自動更新。禁用該服務還導致任何明顯依賴它的服務無法傳輸文件,除非使用了一個可以避免失敗的機制通過其它方法直接傳輸文件,如Internet Explorer。
對于堡壘主機的正常操作來說,該服務不是必需的。您可以使用組策略將服務的開始模式設置配置為僅僅允許服務器管理員進行訪問,以阻止未經(jīng)授權或懷有惡意的用戶對服務進行配置和操作。此外,禁用該服務能有效降低一臺堡壘主機服務器的攻擊表面。因此,在BHLP中該服務被禁用。
計算機瀏覽器
“計算機瀏覽器”服務在網(wǎng)絡上維護一個當前計算機的列表,并將列表提供給需要它的程序。“計算機瀏覽器” 服務由需要查看網(wǎng)絡域和資源的 Windows 計算機所使用。被指定為瀏覽器的計算機對瀏覽列表進行維護,該列表包括了網(wǎng)絡上使用的所有共享資源。Windows應用程序的較早版本,如“我的網(wǎng)絡位置”、“NET VIEW”命令和Microsoft Windows NT? Explorer,都需要瀏覽功能。例如,在運行Windows 95的計算機上打開“我的網(wǎng)絡位置”,就會顯示一個域和計算機的列表,這個列表就是該計算機從一臺被指定為瀏覽器的計算機瀏覽列表中獲得的一個副本。
禁用“計算機瀏覽器”服務將會導致無法更新和維護瀏覽器列表。禁用該服務還導致任何明顯依賴它的服務不能運行。
對于堡壘主機的正常操作來說,該服務不是必需的。您可以使用組策略將服務的開始模式設置為僅僅允許服務器管理員進行訪問,以阻止未經(jīng)授權或懷有惡意的用戶對服務進行配置和操作。此外,禁用該服務能有效地降低一臺堡壘主機服務器的攻擊表面。因此,在BHLP中的“計算機瀏覽器”設置被配置為“禁用”。
DHCP客戶
“DHCP客戶”服務通過登記和更新計算機的 IP 地址和DNS名稱來管理網(wǎng)絡配置。當一個客戶,例如一個漫游用戶,在網(wǎng)絡上無目的游蕩時,該服務將會阻止用戶手工更改IP設置。客戶會被自動分配一個新的IP地址,而不考慮它所連接的子網(wǎng)——只要動態(tài)主機配置協(xié)議(DHCP)服務器對于每個子網(wǎng)來說都是可訪問的。沒有必要對DNS或Windows Internet名稱系統(tǒng)(WINS)的設置進行手工配置。DHCP服務器會將這些服務設置強加給客戶,只要DHCP服務器已經(jīng)做好配置并且可以發(fā)出此類信息即可。 若要在客戶端激活該選項,只需選擇“自動獲得DNS服務器地址”單選按鈕。激活該選項將避免因IP地址重復帶來的沖突。
停止“DHCP客戶”服務將導致您的計算機無法接收到動態(tài)的IP地址,動態(tài)DNS更新功能也不會在DNS服務器上自動更新IP地址。禁用該服務還導致任何明顯依賴它的服務失敗。
對于堡壘主機的正常操作來說,該服務不是必需的。您可以使用組策略將服務的開始模式設置為僅僅允許服務器管理員進行訪問,以阻止未經(jīng)授權或懷有惡意的用戶對服務進行配置和操作。此外,禁用該服務能有效地降低一臺堡壘主機服務器的攻擊表面。因此,因此,BHLP中的“DHCP客戶”設置被配置為“禁用”。
網(wǎng)絡位置感知(NLA)
“網(wǎng)絡位置感知(NLA)”服務控制和存儲網(wǎng)絡配置信息,如IP地址和域名變化等等,還有一些位置變化的信息,然后在這些信息發(fā)生變化時通知應用程序。
對于堡壘主機的正常操作來說,該服務不是必需的。您可以使用組策略將服務的開始模式設置為僅僅允許服務器管理員進行訪問,以阻止未經(jīng)授權或懷有惡意的用戶對服務進行配置和操作。此外,禁用該服務能有效地降低一臺堡壘主機服務器的攻擊表面。因此,因此,BHLP中的“網(wǎng)絡位置感知(NLA)”設置被配置為“禁用”。
NTLM安全支持提供者
“NTLM安全支持提供者”服務為遠程過程調(diào)用(RPC)程序提供了安全保障,這些程序使用傳輸,而不是使用命名管道,該服務能讓用戶使用NTLM驗證協(xié)議登錄到網(wǎng)絡上。NTLM協(xié)議對不使用Kerberos V5驗證的客戶進行身份驗證。
如果停止或禁用“NTLM安全支持提供者”服務,您將無法登錄到使用NTLM驗證協(xié)議的客戶端或者訪問網(wǎng)絡資源。Microsoft 操作管理器(MOM)和Telnet都依賴于該服務。
對于堡壘主機的正常操作來說,該服務不是必需的。您可以使用組策略將服務的開始模式設置為僅僅允許服務器管理員進行訪問,以阻止未經(jīng)授權或懷有惡意的用戶對服務進行配置和操作。此外,禁用該服務能有效地降低一臺堡壘主機服務器的攻擊表面。因此,在BHLP中“NTLM安全支持提供者”設置被配置為“禁用”。
性能日志和警報
“性能日志和警報”服務基于預先配置的時間表從本地或遠程計算機上采集性能數(shù)據(jù),然后將數(shù)據(jù)寫入一個日志或觸發(fā)一個警報。根據(jù)包含在指定日志采集設置中的信息,該服務將啟動和停止每個指定的性能數(shù)據(jù)集合。至少有一個采集計劃,該服務才能運行。
停止并禁用“性能日志和警報”服務將會導致性能信息未被搜集,當前運行的數(shù)據(jù)采集也將會終止,并且預定的未來采集計劃也將不會發(fā)生。
對于堡壘主機的正常操作來說,該服務不是必需的。您可以使用組策略將服務的開始模式設置為僅僅允許服務器管理員進行訪問,以阻止未經(jīng)授權或懷有惡意的用戶對服務進行配置和操作。此外,禁用該服務能有效地降低一臺堡壘主機服務器的攻擊表面。因此,在BHLP中“性能日志和警報”設置被配置為“禁用”。
遠程管理服務
當服務器重啟動時,“遠程管理服務”運行下列遠程管理任務:
增加服務器重啟動次數(shù)的計數(shù)。
生成一個自我簽署的證書。
如果未在服務器上設置數(shù)據(jù)和時間,則產(chǎn)生一個警報。
如果沒有配置電子郵件報警功能,則產(chǎn)生一個警報。
停止“遠程管理服務”可能會導致遠程服務器管理工具的一些特性不能正常工作,例如,用于遠程管理的Web界面程序。禁用該服務還導致任何明顯依賴它的服務失敗。
對于堡壘主機的正常操作來說,該服務不是必需的。您可以使用組策略將服務的開始模式設置為僅僅允許服務器管理員進行訪問,以阻止未經(jīng)授權或懷有惡意的用戶對服務進行配置和操作。此外,禁用該服務能有效地降低一臺堡壘主機服務器的攻擊表面。因此,在BHLP中“遠程管理服務”設置被配置為“禁用”。
| 共2頁: 1 [2] 下一頁 | ||
|
