WindowsServer上實施服務(wù)器安全

1、在 Windows 2000 和 Windows Server 2003 上實施服務(wù)器安全,胡明瑜 微軟全球技術(shù)中心,議事日程,保護服務(wù)器簡介 核心服務(wù)器安全 Active Directory 安全 加固成員服務(wù)器 加固域控制器 針對特定角色加固服務(wù)器 加固獨立服務(wù)器,服務(wù)器安全原則,保密性確保保護信息訪問 完整性確保信息未被修改 可用性確保信息可供訪問,深層防御,使用分層的方法： 增加攻擊者被檢測到的風(fēng)險 降低攻擊者的成功幾率,策略、過程和通告,操作系統(tǒng)強化、修補程序管理、 身份驗證、HIDS,防火墻、VPN 隔離,防護、鎖定、追蹤設(shè)備,網(wǎng)絡(luò)分段、IPSec、NIDS,應(yīng)用程序強化、防病毒,

2、ACL、加密,用戶教育,物理安全,周邊,內(nèi)部網(wǎng)絡(luò),主機,應(yīng)用程序,數(shù)據(jù),議事日程,保護服務(wù)器簡介 核心服務(wù)器安全 Active Directory 安全 加固成員服務(wù)器 加固域控制器 針對特定角色加固服務(wù)器 加固獨立服務(wù)器,核心服務(wù)器安全做法,應(yīng)用最新的 Service Pack 和所有可用的安全修補程序,使用組策略來加固服務(wù)器 - 禁用不需要的服務(wù) - 實施安全密碼策略 - 禁用 LAN Manager 和 NTLMv1 身份驗證,限制對服務(wù)器的物理和網(wǎng)絡(luò)訪問,管理軟件更新,實施修補程序管理解決方案以免出現(xiàn)漏洞 參與修補程序管理培訓(xùn)課程或查看以下站點上的 說明性指南： ,修補程序嚴重級別和時

3、限,過程,人員,技術(shù),成功的修補程序管理,加固服務(wù)器的建議,重命名內(nèi)置的 Administrator 和 Guest 帳戶 對內(nèi)置和非操作系統(tǒng)服務(wù)帳戶限制訪問 不要將服務(wù)配置為使用域帳戶登錄 使用 NTFS 來保護文件和文件夾的安全,您可能希望禁用的服務(wù),您不應(yīng)禁用的服務(wù),確定服務(wù)依存關(guān)系,在禁用服務(wù)之前應(yīng)確定服務(wù)依存關(guān)系 使用“計算機管理”中的“服務(wù)”管理單元來查看服務(wù)依存關(guān)系,配置執(zhí)行多個角色的服務(wù)器上的服務(wù),安全模板包含控制服務(wù)行為的設(shè)置 使用組策略將修改的、特定于角色的安全模板應(yīng)用到執(zhí)行多個角色的服務(wù)器,通過使用 IPSec 篩選保護服務(wù)器,通常，阻止往返服務(wù)器的所有通信，但服務(wù)器 為

4、了執(zhí)行其角色所需的通信除外 部署之前測試 IP 安全策略 使用 IP 安全策略管理管理單元、組策略或腳本來配置 IPSec 篩選 根據(jù)服務(wù)器的服務(wù)器角色將特定的 IPSec 篩選器用于服務(wù)器,用于域控制器的 IPSec 篩選器,用于域控制器的 IPSec 篩選器（續(xù)）,用于保護域控制器的注冊表項,在域控制器上使用 IPSec 篩選時： 使用小范圍的動態(tài) RPC 端口來支持客戶端登錄 過程 包括 50,000 以上的端口 通過在所有域控制器上配置注冊表設(shè)置來限制 動態(tài) RPC 端口的范圍,如何創(chuàng)建 IP 安全策略,打開 GPMC 編輯您想在其中指派 IP 安全策略的 GPO 創(chuàng)建一個或多個 IP

5、Sec 篩選器列表 創(chuàng)建一個或多個篩選器操作 創(chuàng)建 IP 安全策略 在 IP 安全策略中，為您創(chuàng)建的每個篩選器列表創(chuàng)建一個 IP 安全規(guī)則 指派 IP 安全策略,安全審核,管理員應(yīng)建立審核策略 建立審核策略時： 分析威脅模型 考慮系統(tǒng)和用戶的能力 測試和改進策略 考慮集中式日志監(jiān)控,Microsoft 審核收集服務(wù) (MACS),WMI,被監(jiān)控的客戶端,被監(jiān)控的服務(wù)器,SQL,收集程序,易受篡改的事件,在審核者控制下的事件,事件日志,事件日志,實時入侵檢測應(yīng)用程序,法庭分析,管理系統(tǒng),用于成員服務(wù)器的建議審核策略設(shè)置,IIS 鎖定工具,IIS 鎖定工具 關(guān)閉不必要的功能以減小 IIS 4.0、

6、IIS 5.0 和 IIS 5.1 的攻擊面 為了提供深層防御，鎖定工具集成了 URLScan，后者包含針對每個受支持的服務(wù)器角色的自定義模板,IIS 鎖定結(jié)果（X 表示啟用）,URLScan,URLScan 幫助阻止可能有害的請求到達 服務(wù)器 URLScan 限制了 IIS 將處理的 HTTP 請求 類型： 對長 URL 的請求 使用另一種字符集的請求 包含不允許方法的請求 符合任何模式的請求,加固操作系統(tǒng)的安全，并應(yīng)用所有相關(guān)的安全修補程序,刪除不必要的組件,運行 IIS 鎖定工具,配置 URLScan,將內(nèi)容放在單獨的 NTFS 分區(qū)上,通過使用最少權(quán)限來保護文件,要求對敏感的 Web

7、通信進行加密,如有可能，請不要同時啟用同一 Web 站點的 “執(zhí)行”和“寫”權(quán)限,使用“中級”或“高級應(yīng)用程序保護”運行應(yīng)用程序,使用 IPSec 篩選以只允許與 Web 服務(wù)器進行 必需的通信（HTTP 和 HTTPS）,保護 IIS 5.x 的十大首要措施,1,2,3,4,5,6,7,8,9,10,IIS 6.0 中的安全增強功能,從包裝盒中取出 IIS 6.0 時，它已處于“鎖定”狀態(tài)（帶有默認設(shè)置的最強的超時和內(nèi)容限制）。,IIS 安全小結(jié),新的 IIS 6.0 體系結(jié)構(gòu)帶來了更高的安全性和可靠性 將最新的工具、指南和安全更新用于您的 Web 服務(wù)器 隨時獲取最新信息并使系統(tǒng)保持最新,

8、議事日程,保護服務(wù)器簡介 核心服務(wù)器安全 Active Directory 安全 加固成員服務(wù)器 加固域控制器 針對特定角色加固服務(wù)器 加固獨立服務(wù)器,Active Directory 組件,目錄林 目錄林在 Active Directory 中 充當(dāng)安全邊界 域 組織單元 組策略 組策略是用于實現(xiàn)和 管理網(wǎng)絡(luò)安全的一種 重要工具,規(guī)劃 Active Directory 安全,分析環(huán)境 Intranet 數(shù)據(jù)中心 分支機構(gòu) Extranet 數(shù)據(jù)中心 執(zhí)行威脅分析 確定對 Active Directory 的威脅 確定威脅的類型 確定威脅的來源 確定針對威脅的安全措施 建立意外事故計劃,建立安

9、全 Active Directory 邊界,指定安全和管理邊界,基于授權(quán)要求設(shè)計 Active Directory 結(jié)構(gòu),基于最佳做法指南 實施安全邊界,增強域策略設(shè)置,確保密碼和帳戶策略符合組織的安全要求,增強“默認域策略 GPO”中的設(shè)置，或在 域級別創(chuàng)建一個新的 GPO,檢查重要 Active Directory 對象的審核設(shè)置,建立基于角色的 OU 層次結(jié)構(gòu),基于服務(wù)器角色的 OU 層次結(jié)構(gòu)能夠： 簡化安全管理問題 將安全策略設(shè)置 應(yīng)用于每個 OU 中的服務(wù)器和其他對象,如何創(chuàng)建用于管理和保護服務(wù)器的 OU 層次結(jié)構(gòu),創(chuàng)建一個名為“成員服務(wù)器”的 OU 在“成員服務(wù)器”O(jiān)U 內(nèi)為每個服

10、務(wù)器角色創(chuàng)建 OU 根據(jù)角色將每個服務(wù)器對象移入相應(yīng)的 OU 將對每個基于角色的 OU 的控制授權(quán)給相應(yīng)的安全組,管理最佳做法,建立安全目錄服務(wù)和數(shù)據(jù)管理做法,授予所需的最小權(quán)限,區(qū)分服務(wù)和數(shù)據(jù)管理角色,議事日程,保護服務(wù)器簡介 核心服務(wù)器安全 Active Directory 安全 加固成員服務(wù)器 加固域控制器 針對特定角色加固服務(wù)器 加固獨立服務(wù)器,服務(wù)器加固概述,將基準安全設(shè)置應(yīng)用于所有成員服務(wù)器 將附加設(shè)置應(yīng)用于特定服務(wù)器角色 使用 GPResult 來確保已正確應(yīng)用了設(shè)置,保護 Active Directory 安全,應(yīng)用成員服務(wù)器 基準策略,RADIUS (IAS) 服務(wù)器,加固程

11、序,應(yīng)用增量式基于 角色的安全設(shè)置,成員服務(wù)器基準安全模板,修改成員服務(wù)器基準安全模板并將其應(yīng)用于 所有成員服務(wù)器 成員服務(wù)器基準安全模板中的設(shè)置： 審核策略 用戶權(quán)利指派 安全選項 事件日志 系統(tǒng)服務(wù),如何使用 MBSA,打開 MBSA，然后選擇掃描計算機 在選擇要掃描的計算機頁上，輸入要掃描的計算機的 IP 地址或名稱 選擇所有需要的掃描選項 單擊開始掃描 檢查掃描的結(jié)果,使用安全模板的最佳做法,在使用安全模板之前對模板進行檢查和修改,使用安全配置和分析工具在 應(yīng)用模板設(shè)置之前對設(shè)置進行 檢查,在部署模板之前對它們進行 徹底測試,將安全模板存儲在一個安全的位置,議事日程,保護服務(wù)器簡介 核

12、心服務(wù)器安全 Active Directory 安全 加固成員服務(wù)器 加固域控制器 針對特定角色加固服務(wù)器 加固獨立服務(wù)器,針對域控制器配置安全,保護域控制器構(gòu)建環(huán)境的安全,建立提供安全的域控制器構(gòu)建做法,保持物理安全,如何應(yīng)用域控制器安全模板,打開“組策略管理控制臺”，然后瀏覽到“域控制器”O(jiān)U 創(chuàng)建一個新的 GPO，并將其鏈接到“域控制器”O(jiān)U 瀏覽到計算機設(shè)置Windows 設(shè)置安全設(shè)置 右鍵單擊安全設(shè)置，然后單擊導(dǎo)入策略 選擇域控制器安全策略，然后單擊確定 新的策略設(shè)置將在下一次刷新或下一次重新啟動時在 每臺域控制器上生效 （可選）在每臺域控制器上運行 GPUpdate 以便立即 刷新

13、組策略,加固域控制器的最佳做法,使用適當(dāng)?shù)陌踩椒▉砜刂茖τ蚩刂破鞯奈锢碓L問,實施適當(dāng)?shù)膶徍撕褪录罩驹O(shè)置,使用組策略將域控制器安全模板應(yīng)用到所有域控制器,禁用不需要的服務(wù),議事日程,保護服務(wù)器簡介 核心服務(wù)器安全 Active Directory 安全 加固成員服務(wù)器 加固域控制器 針對特定角色加固服務(wù)器 加固獨立服務(wù)器,針對特定服務(wù)器角色使用安全模板,可依據(jù)“成員服務(wù)器”O(jiān)U 下的 OU 對執(zhí)行 特定角色的服務(wù)器進行編組 首先，將成員服務(wù)器基準模板應(yīng)用于 “成員服務(wù)器”O(jiān)U 然后，將基于角色的相應(yīng)安全模板應(yīng)用于 “成員服務(wù)器”O(jiān)U 下的每個 OU 針對執(zhí)行多個角色的服務(wù)器自定義安全模板,加

14、固基礎(chǔ)結(jié)構(gòu)服務(wù)器,應(yīng)用基礎(chǔ)結(jié)構(gòu)服務(wù)器安全模板中的安全設(shè)置 在每臺基礎(chǔ)結(jié)構(gòu)服務(wù)器上手動配置附加設(shè)置 配置 DHCP 日志記錄 保護免受 DHCP DoS 攻擊 為 Active Directory 區(qū)域使用集成了 Active Directory 的 DNS 保護服務(wù)帳戶的安全 通過使用 IPSec 篩選器，只允許使用服務(wù)器 應(yīng)用程序需要的那些端口,加固文件服務(wù)器,應(yīng)用文件服務(wù)器安全模板中的安全設(shè)置 在每臺文件服務(wù)器上手動配置附加設(shè)置 禁用 DFS 和 FRS（如果非必需） 通過使用 NTFS 和共享權(quán)限，保護共享文件和文件夾 對關(guān)鍵文件啟用審核 保護服務(wù)帳戶的安全 通過使用 IPSec 篩選器

15、，只允許使用特定端口,加固打印服務(wù)器,應(yīng)用打印服務(wù)器安全模板中的安全設(shè)置 在每臺打印服務(wù)器上手動配置附加設(shè)置 確保啟用了 Print Spooler 服務(wù) 保護廣為人知的帳戶的安全 保護服務(wù)帳戶的安全 通過使用 IPSec 篩選器，只允許使用特定端口,加固 IIS 服務(wù)器,應(yīng)用 IIS 服務(wù)器安全模板中的安全設(shè)置 手動配置每臺 IIS 服務(wù)器 在所有安裝的 IIS 5.0 上安裝“IIS 鎖定”并配置 URLScan 僅啟用必需的 IIS 組件 為包含 Web 內(nèi)容的所有文件夾配置 NTFS 權(quán)限 安裝 IIS 并將 Web 內(nèi)容存儲在專用磁盤卷上 如有可能，請不要在同一 Web 站點上同時啟

16、用“執(zhí)行”和 “寫”權(quán)限 在 IIS 5.0 服務(wù)器上，使用“中等或高級別應(yīng)用程序保護”運行應(yīng)用程序 使用 IPSec 篩選器，以僅允許使用端口 80 和 443,針對特定角色加固服務(wù)器的最佳做法,保護廣為人知的用戶帳戶的安全,僅啟用角色需要的服務(wù),啟用服務(wù)日志記錄以捕獲相關(guān)信息,使用 IPSec 篩選，以便基于服務(wù)器角色阻止 特定端口,根據(jù)需要為具有多個角色的服務(wù)器修改模板,議事日程,保護服務(wù)器簡介 核心服務(wù)器安全 Active Directory 安全 加固成員服務(wù)器 加固域控制器 針對特定角色加固服務(wù)器 加固獨立服務(wù)器,加固獨立服務(wù)器,必須手動（而不是使用組策略）將安全設(shè)置 應(yīng)用于每臺獨

17、立服務(wù)器 可能需要為每臺獨立服務(wù)器創(chuàng)建一個自定義 安全模板 使用“安全配置和分析”工具或 Secedit 來應(yīng)用 安全模板設(shè)置 安全配置和分析 允許比較和應(yīng)用多種安全模板 Secedit “安全配置和分析”工具的命令行版本，它允許以腳本方式 應(yīng)用安全模板,如何使用 Secedit 來加固獨立服務(wù)器,使用適用于獨立服務(wù)器的所需安全設(shè)置配置一個自定義安全模板 在獨立服務(wù)器上打開命令提示符 通過鍵入以下命令，依據(jù)自定義安全模板創(chuàng)建 一個設(shè)置數(shù)據(jù)庫： secedit /import /db c:security.sdb /cfg 安全模板名稱 通過鍵入以下命令，將數(shù)據(jù)庫中的設(shè)置應(yīng)用于 獨立服務(wù)器： secedit /configure /db c:security.sdb,加固獨立服務(wù)器的最佳做法,使用“安全配置和分析”工具將模板應(yīng)用于 獨立服務(wù)器,根據(jù)服務(wù)器角色要求配置服務(wù)設(shè)置,啟用