|
|
本章集中讨论了在企业环境中强化堡垒主机的问题。堡垒主机是一台既安全但是又允许公众访问的计算机。堡垒主机位于周边网络(也就是大家熟知的DMZ、非军事化区域或者受屏蔽子网)面向公众的一侧。堡垒主机不受防火墙或过滤路由器的保护,因此它被完全暴露在攻击中。因此,我们必须花大力气来设计和配置堡垒主机,将其可能遭受攻击的机会减至最少。
堡垒主机通常被用作Web服务器、域名系统(DNS)服务器、文件传输协议(FTP)服务器、简单邮件传输协议(SMTP)服务器及网络新闻传输协议(NNTP)服务器等。理想情况下,堡垒主机应该只执行这些服务中的某一个功能,因为它扮演的角色越多,出现安全漏洞的可能性就越大。而在一台堡垒主机上只对一个服务的安全进行维护则较为容易一些。能够在多项堡垒主机业务上投入资金的企业必将从此类网络体系中获益匪浅。
安全的堡垒主机的配置与一般主机有很大区别。所有不必要的服务、协议、程序和网络接口都应该被禁用或删除,而且,每个堡垒主机通常被配置成只承担一个角色。按照此方式经过加强的堡垒主机可以免遭某些类型攻击的威胁。
本章下面部分将详细叙述可以在不同环境中最有效保护堡垒主机的各种安全加固设置
堡垒主机本地策略
与本指南前面所述的应用组策略的其它服务器不同,组策略不能应用到堡垒主机服务器,这是因为它们被配置为独立主机,不属于Microsoft? Active Directory? 域。由于它们高度暴露给外界,所以在本指南所定义的三个环境中,只为堡垒主机服务器提供了一些基本的指导。下面所描述的安全设置建立在第3章“创建成员服务器基线”为高安全性环境提供的成员服务器基线策略(MSBP)基础之上。这些设置包含在一个安全模板中,此模板必须应用到每个堡垒主机的“堡垒主机本地策略(BHLP)”。
应用堡垒主机本地策略
本指南提供的High Security – Bastion Host.inf文件可以用来配置BHLP。它能够启用一台SMTP堡垒主机正常工作所需的服务。应用High Security – Bastion Host.inf可以增强服务器的安全性,因为它减少了堡垒主机的攻击表面,但是您将无法对堡垒主机进行远程管理。您必须对BHLP进行一些修改才能实现更多的功能或增加堡垒主机的可管理性。
为了应用安全模板中的所有安全设置,必须使用“安全配置和分析”管理单元,而不是“本地计算机策略”管理单元。使用“本地计算机策略”管理单元导入安全模板是不可能的,这是因为用于系统服务的安全设置无法在此管理单元中应用。
下面的步骤描述了使用“安全配置和分析”管理单元来导入并应用BHLP安全模板的过程。
’告:Microsoft强烈推荐在应用High Security – Bastion Host.inf前,对堡垒主机服务器进行一次完全备份。以便在应用High Security – Bastion Host.inf安全模板后如果出现了问题,可将堡垒主机恢复到其初始配置。请确信您已经对安全模板进行了配置,以启用您所在环境需要的堡垒主机功能。
导入安全模板:
1. 运行“安全配置和分析”管理单元。
2. 右健单击“安全配置和分析”的范围项目。
3. 单击“打开数据库”。
4. 输入一个新的数据库名,然后单击“打开”。
5. 选择“High Security – Bastion Host.inf”安全模板,然后单击“打开”。
这样,所有堡垒主机的设置就将被导入,然后您可以审查和应用这些设置。
应用安全设置
1. 右健单击“安全配置和分析”的范围项目。
2. 选择“现在配置计算机”。
3. 在“现在配置计算机”对话框中输入希望查看的日志文件名称,然后单击“确定”。
完成这些步骤后,所有相关安全模板设置将全部应用于环境中堡垒主机的本地策略。您必须重新启动堡垒主机才能使这些设置生效。
下面部分描述了使用BHLP实施的安全设置 。在本章中只论述那些与在MSBP中不同的设置。
审核策略设置
用于堡垒主机的BHLP审核策略的设置与在High Security – Member Server Baseline.inf文件中所指定的设置是相同的,详情请看第三章 “创建成员服务器基线。”BHLP设置确保了所有相关的安全审核信息都被记录到所有的堡垒主机服务器上。
用户权限分配
用于堡垒主机的BHLP用户权限分配基于High Security – Member Server Baseline.inf文件所指定的设置。详情请看第三章“创建成员服务器基线。”下面描述了BHLP和MSBP间的差别。
允许本地登录
“允许本地登录”用户权限允许用户在计算机上启动一个交互会话。对那些能登录到堡垒主机服务器控制台的账号做出限制,将有助于阻止未经授权的用户访问服务器上的文件系统和系统服务。
默认情况下,Account Operators、Backup Operators、Print Operators及Power Users组被授予了本地登录的权限。应该将该权限仅授予Administrators组,以便只有高度信任的用户才拥有对堡垒服务器的管理访问权限,而且能够提供更高水平的安全性。
拒绝从网络访问该计算机
注意:在安全模板中并不包括ANONOYMOUS LOGON、内置Administrator、Support_388945a0、Guest及所有非操作系统服务的账号。这些账号和组都有唯一的安全标识符(SID)。因此,必须用手工方式将它们加入到BHLP中。
“拒绝从网络访问该计算机”用户权限规定了哪些用户不能通过网络访问一台计算机。此设置将会拒绝一些网络协议,包括:基于服务器消息块(SMB)的协议、网络基础输入/输出系统(NetBIOS)、公共Internet文件系统(CIFS)、超文本传输协议(HTTP)及COM+(Component Object Model Plus)。当一个用户账号从属于两个策略时,该设置将忽略“从网络访问此计算机”的设置。在企业环境中为其它组配置此用户权限可以限制用户的访问能力,让他们只能执行委派的管理任务。
在第三章“创建成员服务器基线”中,本指南建议将Guests 组加入到已经分配了该权限的用户和组中,以提供最高级别的安全性。然而,用来匿名访问IIS的IUSR账号默认情况下是Guests组的成员。因此,在本指南定义的高安全性环境中,堡垒主机的“拒绝从网络访问该计算机”的设置被配置为包括ANONOYMOUS LOGON、内置Administrator、Support_388945a0、Guest及所有非操作系统服务的账号。
安全选项
用于堡垒主机的BHLP安全选项设置与在第三章“创建成员服务器基线”的High Security – Member Server Baseline.inf文件中所指定的设置是相同的。这些BHLP设置确保了所有相应的安全选项都可以统一配置到全部堡垒主机服务器上。
事件日志设置
用于堡垒主机的BHLP事件日志设置与在第三章“创建成员服务器基线”中的High Security – Member Server Baseline.inf文件中指定的设置是相同的。这些BHLP设置确保了所有相应的事件日志都可以统一配置到全部堡垒主机服务器上。
系统服务
堡垒主机服务器的工作性质决定了它将暴露在外界的攻击之中。因此,每台堡垒主机的攻击表面积必须要降至最小。为了提高堡垒主机服务器的安全性,所有不需要的操作系统服务,以及对堡垒主机正常运行没有必要的角色都应该禁用。本指南包括的High Security – Bastion Host.inf 安全模板可以对BHLP进行配置,以启用一台SMTP堡垒主机服务器所需要的全部功能。BHLP启动了Internet信息服务管理器服务、HTTP SSL 服务和SMTP服务。但是,如果需要启用其它功能,您必须对BHLP加以修改。
众多被禁用的服务将会产生大量的事件日志警告,您可以忽略这些警告。有些时候,启用这些服务将会减少事件日志警告和错误消息以及增加堡垒主机的可管理性。然而,这样做也会增加每台堡垒主机的攻击表面。
以下小节论述了在堡垒主机服务器上应该被禁用的服务,以在降低堡垒主机攻击表面的同时保持其功能。这些小节只涉及了High Security – Member Server Baseline.inf 文件中未被禁用的服务。
自动更新
“自动更新”服务可以让堡垒主机下载并安装重要的Microsoft Windows? 升级。该服务为堡垒主机自动提供最新的升级、驱动程序和增强组件。您将不再需要手工搜索这些重要的升级和信息;操作系统会将它们直接发送给堡垒主机。当您在线并使用Internet连接从Windows 升级服务中搜索可用的更新时,操作系统会做出识别。根据您所做出的设置,该服务将会在下载和安装前向您发出通知,或者为您自动安装升级文件。
停止或禁用“自动更新”服务将会阻止重要更新自动下载到计算机上。有些时候,您可能不得不直接连到Windows Update Web站点http://www.windowsupdate.microsoft.com上,以搜索、下载和安装任何可用的重要修补程序。
对于堡垒主机的正常操作来说,该服务不是必需的。您可以使用本地策略将服务的启动模式设置为只允许管理员访问服务器,以阻止了未经授权或怀有恶意的用户对服务进行配置和操作。此外,禁用该服务能有效地降低一台堡垒主机服务器的攻击表面。因此,请在BHLP中将“自动更新”设置被配置为“禁用”。
后台智能传输服务
“后台智能传输服务”(BITS)是一个后台的文件传输机制和队列管理程序。BITS在客户端和HTTP服务器间异步传输文件。BITS接受传递文件的请求并使用空闲的网络带宽,因此其它相关的网络活动(例如浏览等)不会受到影响。
停止该服务将会导致诸如“自动更新”这样的特性无法自动下载程序和其它信息,直到服务再次运行为止。这意味着如果该服务没有通过组策略进行配置,那么计算机将不会从“软件更新服务”(SUS)收到自动更新。禁用该服务还导致任何明显依赖它的服务无法传输文件,除非使用了一个可以避免失败的机制通过其它方法直接传输文件,如Internet Explorer。
对于堡垒主机的正常操作来说,该服务不是必需的。您可以使用组策略将服务的开始模式设置配置为仅仅允许服务器管理员进行访问,以阻止未经授权或怀有恶意的用户对服务进行配置和操作。此外,禁用该服务能有效降低一台堡垒主机服务器的攻击表面。因此,在BHLP中该服务被禁用。
添加到百度搜藏
