WindowsServer上实施服务器安全

在Windows2000和WindowsServer2003上实施服务器安全胡明瑜微软全球技术中心议事日程保护服务器简介核心服务器安全ActiveDirectory安全加固成员服务器加固域控制器针对特定角色加固服务器加固独立服务器服务器安全原则保密性确保保护信息访问完整性确保信息未被修改可用性确保信息可供访问保密性完整性可用性安全原则深层防御使用分层的方法：增加攻击者被检测到的风险降低攻击者的成功几率策略、过程和通告操作系统强化、修补程序管理、身份验证、HIDS防火墙、VPN隔离防护、锁定、追踪设备网络分段、IPSec、NIDS应用程序强化、防病毒ACL、加密用户教育物理安全周边内部网络主机应用程序数据议事日程保护服务器简介核心服务器安全ActiveDirectory安全加固成员服务器加固域控制器针对特定角色加固服务器加固独立服务器核心服务器安全做法应用最新的ServicePack和所有可用的安全修补程序使用组策略来加固服务器-禁用不需要的服务-实施安全密码策略-禁用LANManager和NTLMv1身份验证限制对服务器的物理和网络访问管理软件更新实施修补程序管理解决方案以免出现漏洞参与修补程序管理培训课程或查看以下站点上的说明性指南：（英文版）客户类型方案客户选择消费者所有方案WindowsUpdate小型企业无Windows服务器WindowsUpdate拥有一到三台Windows服务器和一个IT管理员SUS中型或大型企业需要对Windows2000或较新版本的Windows进行更新的修补程序管理解决方案（带有基本控制级别）SUS需要用于修补和更新（及分发）所有软件的单一灵活修补程序管理解决方案（带有扩展控制级别）SMS修补程序严重级别和时限严重级别定义安装修补程序的建议时限致命恶意利用可能会使Internet蠕虫（例如红色代码或尼姆达）无需用户执行操作即可进行传播24小时之内严重恶意利用可能会导致用户数据的保密性、完整性或可用性或者处理资源的完整性或可用性受损害一个月之内一般恶意利用会产生严重后果，但以下因素可显著减轻威胁程度：默认的配置、审核、需要用户执行操作或恶意利用的难度等等待包含修补程序的下一个ServicePack或累积修补程序的推出，或者在四个月之内部署修补程序，具体视预计它们何时可用而定低恶意利用很难进行或影响很小等待包含修补程序的下一个ServicePack或累积修补程序的推出，或者在一年之内部署修补程序，具体视预计它们何时可用而定产品、工具和自动化一致且可重复技能、角色和职责过程人员技术成功的修补程序管理加固服务器的建议重命名内置的Administrator和Guest帐户对内置和非操作系统服务帐户限制访问不要将服务配置为使用域帐户登录使用NTFS来保护文件和文件夹的安全您可能希望禁用的服务服务剪贴簿错误报告服务HTTPSSLIMAPICD刻录COM服务索引服务Internet连接防火墙(WindowsFirewall)/Internet连接共享(ICS)MessengerMicrosoftPOP3服务NetMeeting®远程桌面共享远程访问自动连接管理器远程访问连接管理器万维网发布服务您不应禁用的服务服务加密服务DHCP客户端DNS客户端事件日志IPSec服务NetlogonNTLM安全支持提供程序即插即用受保护存储远程过程调用(RPC)远程注册表服务安全帐户管理器服务器系统事件通知TCP/IPNetBIOSHelperWindowsInstallerWindowsManagementInstrumentationWindows时间工作站确定服务依存关系在禁用服务之前应确定服务依存关系使用“计算机管理”中的“服务”管理单元来查看服务依存关系配置执行多个角色的服务器上的服务安全模板包含控制服务行为的设置使用组策略将修改的、特定于角色的安全模板应用到执行多个角色的服务器通过使用IPSec筛选保护服务器通常，阻止往返服务器的所有通信，但服务器为了执行其角色所需的通信除外部署之前测试IP安全策略使用IP安全策略管理管理单元、组策略或脚本来配置IPSec筛选根据服务器的服务器角色将特定的IPSec筛选器用于服务器用于域控制器的IPSec筛选器服务协议源端口目标端口源地址目标地址操作镜像CIFS/SMB服务器TCP任何445任何我允许是UDP任何445任何我允许是RPC服务器TCP任何135任何我允许是UDP任何135任何我允许是NetBIOS服务器TCP任何137任何我允许是UDP任何137任何我允许是UDP任何138任何我允许是TCP任何139任何我允许是监控客户端任何任何任何我MOM服务器允许是终端服务服务器TCP任何3389任何我允许是全局目录服务器TCP任何3268任何我允许是TCP任何3269任何我允许是用于域控制器的IPSec筛选器（续）服务协议源端口目标端口源地址目标地址操作镜像DNS服务器TCP任何53任何我允许是UDP任何53任何我允许是Kerberos服务器TCP任何88任何我允许是UDP任何88任何我允许是LDAP服务器TCP任何389任何我允许是UDP任何389任何我允许是TCP任何636任何我允许是UDP任何636任何我允许是NTP服务器TCP任何123我我允许是UDP123我预定义的RPC范围TCP任何57901-57950任何我允许是DCComms任何任何任何我域控制器1允许是DCComms任何任何任何我域控制器2允许是ICMPICMP任何任何我任何允许是所有入站通信任何任何任何任何我阻止是用于保护域控制器的注册表项在域控制器上使用IPSec筛选时：使用小范围的动态RPC端口来支持客户端登录过程包括50,000以上的端口通过在所有域控制器上配置注册表设置来限制动态RPC端口的范围如何创建IP安全策略1.打开GPMC2.编辑您想在其中指派IP安全策略的GPO3.创建一个或多个IPSec筛选器列表4.创建一个或多个筛选器操作5.创建IP安全策略6.在IP安全策略中，为您创建的每个筛选器列表创建一个IP安全规则7.指派IP安全策略安全审核管理员应建立审核策略建立审核策略时：分析威胁模型考虑系统和用户的能力测试和改进策略考虑集中式日志监控Microsoft审核收集服务(MACS)WMI被监控的客户端被监控的服务器SQL收集程序易受篡改的事件在审核者控制下的事件实时入侵检测应用程序法庭分析管理系统用于成员服务器的建议审核策略设置审核策略用于企业客户端环境的建议设置审核帐户登录事件成功审核帐户管理成功审核目录服务访问只在威胁模型需要时启用审核登录事件成功审核对象访问只在威胁模型需要时启用审核策略更改成功审核特权使用无审核审核过程跟踪只在威胁模型需要时启用审核系统事件成功IIS锁定工具IIS锁定工具关闭不必要的功能以减小IIS4.0、IIS5.0和IIS5.1的攻击面为了提供深层防御，锁定工具集成了URLScan，后者包含针对每个受支持的服务器角色的自定义模板IIS锁定结果（X表示启用）URLScanURLScan帮助阻止可能有害的请求到达服务器URLScan限制了IIS将处理的HTTP请求类型：对长URL的请求使用另一种字符集的请求包含不允许方法的请求符合任何模式的请求加固操作系统的安全，并应用所有相关的安全修补程序删除不必要的组件运行IIS锁定工具配置URLScan将内容放在单独的NTFS分区上通过使用最少权限来保护文件要求对敏感的Web通信进行加密如有可能，请不要同时启用同一Web站点的“执行”和“写”权限使用“中级”或“高级应用程序保护”运行应用程序使用IPSec筛选以只允许与Web服务器进行必需的通信（HTTP和HTTPS）保护IIS5.x的十大首要措施12345678910IIS6.0中的安全增强功能从包装盒中取出IIS6.0时，它已处于“锁定”状态（带有默认设置的最强的超时和内容限制）。功能说明锁定的服务器默认情况下未安装IIS6.0。全新安装只提供静态文件支持。Web服务扩展列表默认安装不会编译、执行带动态内容的文件及为其提供服务。默认的低权限帐户通过使用NETWORKSERVICE帐户进行登录，IIS进程在运行时需要的权限大幅降低。授权利用授权管理器进行URL身份验证。被约束及被指派的身份验证。URL检查配置超时和URL长度限制。在尝试运行文件前检查文件是否存在。无可执行的虚拟目录。进程隔离改进的应用程序沙盒。第三方代码只在工作进程中运行，从而实现资源重复利用。IIS安全小结新的IIS6.0体系结构带来了更高的安全性和可靠性将最新的工具、指南和安全更新用于您的Web服务器随时获取最新信息并使系统保持最新议事日程保护服务器简介核心服务器安全ActiveDirectory安全加固成员服务器加固域控制器针对特定角色加固服务器加固独立服务器ActiveDirectory组件目录林目录林在ActiveDirectory中充当安全边界域组织单元组策略组策略是用于实现和管理网络安全的一种重要工具规划ActiveDirectory安全分析环境Intranet数据中心分支机构Extranet数据中心执行威胁分析确定对ActiveDirectory的威胁确定威胁的类型确定威胁的来源确定针对威胁的安全措施建立意外事故计划建立安全ActiveDirectory边界指定安全和管理边界基于授权要求设计ActiveDirectory结构基于最佳做法指南实施安全边界增强域策略设置确保密码和帐户策略符合组织的安全要求增强“默认域策略GPO”中的设置，或在域级别创建一个新的GPO检查重要ActiveDirectory对象的审核设置建立基于角色的OU层次结构基于服务器角色的OU层次结构能够：简化安全管理问题将安全策略设置应用于每个OU中的服务器和其他对象域策略域域工程成员服务器基准策略成员服务器域控制器域控制器策略打印服务器策略文件服务器策略IIS服务器策略打印服务器文件服务器Web服务器操作管理员操作管理员Web服务管理员如何创建用于管理和保护服务器的OU层次结构1.创建一个名为“成员服务器”的OU2.在“成员服务器”OU内为每个服务器角色创建OU3.根据角色将每个服务器对象移入相应的OU4.将对每个基于角色的OU的控制授权给相应的安全组管理最佳做法建立安全目录服务和数据管理做法授予所需的最小权限区分服务和数据管理角色议事日程保护服务器简介核心服务器安全ActiveDirectory安全加固成员服务器加固域控制器针对特定角色加固服务器加固独立服务器基础结构服务器文件和打印服务器IIS服务器认证服务服务器堡垒主机服务器加固概述将基准安全设置应用于所有成员服务器将附加设置应用于特定服务器角色使用GPResult来确保已正确应用了设置保护ActiveDirectory安全应用成员服务器基准策略RADIUS(IAS)服务器加固程序应用增量式基于角色的安全设置成员服务器基准安全模板修改成员服务器基准安全模板并将其应用于所有成员服务器成员服务器基准安全模板中的设置：审核策略用户权利指派安全选项事件日志系统服务如何使用MBSA1.打开MBSA，然后选择扫描计算机2.在选择要扫描的计算机页上，输入要扫描的计算机的IP地址或名称3.选择所有需要的扫描选项4.单击开始扫描5.检查扫描的结果使用安全模板的最佳做法在使用安全模板之前对模板进行检查和修改使用安全配置和分析工具在应用模板设置之前对设置进行检查在部署模板之前对它们进行彻底测试将安全模板存储在一个安全的位置议事日程保护服务器简介核心服务器安全ActiveDirectory安全加固成员服务器加固域控制器针对