Windows Server 安全策略的制定.docx
《Windows Server 安全策略的制定.docx》由会员分享,可在线阅读,更多相关《Windows Server 安全策略的制定.docx(85页珍藏版)》请在冰豆网上搜索。
WindowsServer安全策略的制定
WindowsServer2003安全策略的制定
(1)
来源:
ChinaITLab收集整理
2004-8-1115:
16:
00
WindowsServer2003作为Microsoft最新推出的服务器操作系统,不仅继承了Windows2000/XP的易用性和稳定性,而且还提供了更高的硬件支持和更加强大的安全功能,无疑是中小型网络应用服务器的当然之选。
本文就Windows2003在企业网络应用中企业帐户和系统监控方面的安全策略制定作出一些说明,希望能对大家起到抛砖引玉的效果,最终的目标是确保我们的网络服务器的正常运行。
一、企业账户保护安全策略
二、企业系统监控安全策略
=============================================
一、企业账户保护安全策略
用户账户的保护一般主要围绕着密码的保护来进行。
为了避免用户身份由于密码被破解而被夺取或盗用,通常可采取诸如提高密码的破解难度、启用账户锁定策略、限制用户登录、限制外部连接以及防范网络嗅探等措施。
1、提高密码的破解难度
提高密码的破解难度主要是通过采用提高密码复杂性、增大密码长度、提高更换频率等措施来实现,但这常常是用户很难做到的,对于企业网络中的一些安全敏感用户就必须采取一些相关的措施,以强制改变不安全的密码使用习惯。
在Windows系统中可以通过一系列的安全设置,并同时制定相应的安全策略来实现。
在WindowsServer2003系统中,可以通过在安全策略中设定“密码策略”来进行。
WindowServer2003系统的安全策略可以根据网络的情况,针对不同的场合和范围进行有针对性地设定。
例如可以针对本地计算机、域及相应的组织单元来进行设定,这将取决于该策略要影响的范围。
以域安全策略为例,其作用范围是企业网中所指定域的所有成员。
在域管理工具中运行“域安全策略”工具,然后就可以针对密码策略进行相应的设定。
密码策略也可以在指定的计算机上用“本地安全策略”来设定,同时也可在网络中特定的组织单元通过组策略进行设定。
2、启用账户锁定策略
账户锁定是指在某些情况下(例如账户受到采用密码词典或暴力猜解方式的在线自动登录攻击),为保护该账户的安全而将此账户进行锁定。
使其在一定的时间内不能再次使用,从而挫败连续的猜解尝试。
Windows2003系统在默认情况下,为方便用户起见,这种锁定策略并没有进行设定,此时,对黑客的攻击没有任何限制。
只要有耐心,通过自动登录工具和密码猜解字典进行攻击,甚至可以进行暴力模式的攻击,那么破解密码只是一个时间和运气上的问题。
账户锁定策略设定的第一步就是指定账户锁定的阈值,即锁定前该账户无效登录的次数。
一般来说,由于操作失误造成的登录失败的次数是有限的。
在这里设置锁定阈值为3次,这样只允许3次登录尝试。
如果3次登录全部失败,就会锁定该账户。
但是,一旦该账户被锁定后,即使是合法用户也就无法使用了。
只有管理员才可以重新启用该账户,这就造成了许多不便。
为方便用户起见,可以同时设定锁定的时间和复位计数器的时间,这样以来在3次无效登最后就开始锁定账户,以及锁定时间为30分钟。
以上的账户锁定设定,可以有效地避免自动猜解工具的攻击,同时对于手动尝试者的耐心和信心也可造成很大的打击。
锁定用户账户常常会造成一些不便,但系统的安全有时更为重要。
3、限制用户登录
对于企业网的用户还可以通过对其登录行为进行限制,来保障其户户账户的安全。
这样以来,即使是密码出现泄漏,系统也可以在一定程度上将黑客阻挡在外,对于WindowsServer2003网络来说,运行“ActiveDirectory用户和计算机”管理工具。
然后选择相应的用户,并设置其账户属性。
在账户属性对话框中,可以限制其登录的时间和地点。
单击其中的“登录时间”按钮,在这里可以设置允许该用户登录的时间,这样就可防止非工作时间的登录行为。
单击其中的“登录到”按钮,在这里可以设置允许该账户从哪些计算机乾地登录。
另外,还可以通过“账户”选项来限制登录时的行为。
例如使用“用户必须用智能卡登录”,就可避免直接使用密码验证。
除此之外,还可以引入指纹验证等更为严格的手段。
4、限制外部连接
对于企业网络来说,通常需要为一些远程拨号的用户(业务人员或客户等)提供拨号接入服务。
远程拨号访问技术实际上是通过低速的拨号连接来将远程计算机接入到企业内部的局域网中。
由于这个连接无法隐藏,因此常常成为黑客入侵内部网络的最佳入口。
但是,采取一定的措施可以有效地降低风险。
对于基于WindowsServer2003的远程访问服务器来说,默认情况下将允许具有拨入权限的所有用户建立连接。
因此,安全防范的第一步就是合理地、严格地设置用户账户的拨入权限,严格限制拨入权限的分配范围,只要不是必要的就不给予此权限。
对于网络中的一些特殊用户和固定的分支机构的用户来说,可通过回拨技术来提高网络安全性。
这里所谓的回拨,是指在主叫方通过验证后立即挂断线路,然后再回拨到主叫方的电话上。
这样,即使帐户及其密码被破解,也不必有任何担心。
需要注意的是,这里需要开通来电显示业务。
在WindowsServer2003网络中,如果活动目录工作在Native-mode(本机模式)下,这时就可以通过存储在访问服务器上或Internet验证服务器上的远程访问策略来管理。
针对各种应用场景的不同,可以设置多种不同的策略。
具体的管理比较复杂,由于篇幅有限,大家可参考相关资料,这里就不再作详细介绍。
5、限制特权组成员
在WindowsServer2003网络中,还有一种非常有效的防范黑客入侵和管理疏忽的辅助手段,这就是利用“受限制的组”安全策略。
该策略可保证组成员的组成固定。
在域安全策略的管理工具中添加要限制的组,在“组”对话框中键入或查找要添加的组。
一般要对管理员组等特权组的成员加以限制。
下一步就是要配置这个受限制的组的成员。
在这里选择受限制的组的“安全性(S)”选项。
然后,就可以管理这个组的成员组成,可以添加或删除成员,当安全策略生效后,可防止黑客将后门账户添加到该组中。
6、防范网络嗅探
由于局域网采用广播的方式进行通信,因而信息很容易被窃听。
网络嗅探就是通过侦听所在网络中所传输的数据来嗅探有价值的信息。
对于普通的网络嗅探的防御并不困难,可通过以下手段来进行:
1)采用交换网络
一般情况下,交换网络对于普通的网络嗅探手段具有先天的免疫能力。
这是由于在交换网络环境下,每一个交换端口就是一个独立的广播域,同时端口之间通过交换机进行桥接,而非广播。
网络嗅探主要针对的是广播环境下的通信,因而在交换网络中就失去作用了。
随着交换网络技术的普及,网络嗅探所带来的威胁也越来越低,但仍不可忽视。
通过ARP地址欺骗仍然可以实现一定范围的网络嗅探,此外黑客通过入侵一些型号的交换机和路由器仍然可以获得嗅探的能力。
2)加密会话
在通信双方之间建立加密的会话连接也是非常有效的方法,特别是在企业网络中。
这样,即使黑客成功地进行了网络嗅探,但由于捕获的都是密文,因而毫无价值。
网络中进行会话加密的手段有很多,可以通过定制专门的通信加密程序来进行,但是通用性较差。
这时,完善IP通信的安全机制是最根本的解决办法。
由于历史原因,基于IP的网络通信技术没有内建的安全机制。
随着互联网的发展,安全问题逐渐暴露出来。
现在经过各个方面的努力,标准的安全架构也已经基本形成。
那就是IPSec机制,并且它将作为下一代IP网络标准IPv6的重要组成。
IPSec机制在新一代的操作系统中已经得到了很好的支持。
在WindowsServer2003系统中,其服务器产品和客户端产品都提供了对IPSec的支持。
从而增强了安全性、可伸缩性以及可用性,同时使部署和管理更加方便。
在WindowsServer2003系统的安全策略相关的管理工具集(例如本地安全策略、域安全策略、组策略等)中,都集成了相关的管理工具。
为清楚起见,通过Microsoft管理控制台MMC定制的管理工具来了解一下。
具体方法如下:
首先在“开始”菜单中单击“运行”选项,然后键入mmc,并同时单击“确定”按钮。
在“控制台”菜单中选择“添加删除管理单元(M)”命令,然后,单击其中的“添加”按钮。
在可用的独立管理单元中,选择“IP安全策略管理”选项,双击或单击“添加”按钮,在这里选择被该管理单元所管理的计算机,然后单击“完成”按钮。
关闭添加管理单元的相关窗口,就得到了一个新的管理工具,在这里可以为其命名并保存。
此时可以看到已有的安全策略,用户可以根据情况来添加、修改和删除相应的IP安全策略。
其中WindowsServer2003系统自带的有以下几个策略:
安全服务器(要求安全设置);
客户端(只响应);
服务器(请求安全设置);
其中的“客户端(只响应)”策略是根据对方的要求来决定是否采用IPSec;“服务器(请求安全设置)”策略要求支持IP安全机制的客户端使用IPSec,但允许不支持IP安全机制的客户端来建立不安全的连接;而“安全服务器(要求安全设置)”策略则最为严格,它要求双方必须使用IPSec协议。
不过,“安全服务器(要求安全设置)”策略默认允许不加密的受信任的通信,因此仍然能够被窃听。
直接修改此策略或定制专门的策略,就可以实现有效的防范。
选择其中的“所有IP通讯”选项,在这里可以编辑其规则属性。
选择“筛选器操作”选项卡,选择其中的“要求安全设置”选项。
在此筛选器操作的属性设置里可以编辑安全措施,在这里将安全措施设置为“高”选项。
以上采用IPSec加密数据通信的方法适用于企业网应用,通过部署组策略可以强制网络中的所有计算机使用IPSec加密通信。
当然这种严格的限制会带来一些不便,不过对于系统安全来说是值得的。
IPSec还可以应用于VPN技术中,在这里可以对IP隧道中的数据流进行加密。
对于不方便大范围实施IPSec的环境,可以考虑采用VPN。
这里的VPN是指虚拟私有网络。
VPN技术是目前实现端对端安全通信的最佳解决方案,它主要适用于客户端通过开放的网络与服务器的连接。
例如,客户端通过Internet/Intranet连接到企业或部门的专用网络。
WindowsServer2003安全策略的制定
(2)
来源:
ChinaITLab收集整理
2004-8-1115:
13:
00
二、企业系统监控安全策略
尽管不断地在对系统进行修补,但由于软件系统的复杂性,新的安全漏洞总会层出不穷。
因此,除了对安全漏洞进行修补之外,还要对系统的运行状态进行实时监视,以便及时发现利用各种漏洞的入侵行为。
如果已有安全漏洞但还没有全部得到修补时,这种监视就显得尤其重要。
1、启用系统审核机制
系统审核机制可以对系统中的各类事件进行跟踪记录并写入日志文件,以供管理员进行分析、查找系统和应用程序故障以及各类安全事件。
所有的操作系统、应用系统等都带有日志功能,因此可以根据需要实时地将发生在系统中的事件记录下来。
同时还可以通过查看与安全相关的日志文件的内容,来发现黑客的入侵和入侵后的行为。
当然,如果要达到这个目的,就必须具备一些相关的知识。
首先必须要学会如何配置系统,以启用相应的审核机制,并同时使之能够记录各种安全事件。
对WindowsServer2003的服务器和工作站系统来说,为了不影响系统性能,默认的安全策略并不对安全事件进行审核。
从“安全配置和分析”工具用SecEdit安全模板进行的分析结果可知,这些有红色标记的审核策略应该已经启用,这可用来发现来自外部和内部的黑客的入侵行为。
对于关键的应用服务器和文件服务器来说,应同时启用剩下的安全策略。
如果已经启用了“审核对象访问”策略,那么就要求必须使用NTFS文件系统。
NTFS文件系统不仅提供对用户的访问控制,而且还可以对用户的访问操作进行审核。
但这种审核功能,需要针对具体的对象来进行相应的配置。
首先在被审核对象“安全”属性的“高级”属性中添加要审核的用户和组。
在该对话框中选择好要审核的用户后,就可以设置对其进行审核的事件和结果。
在所有的审核策略生效后,就可以通过检查系统的日志来发现黑客的蛛丝马迹。
2、日志监视
在系统中启用安全审核策略后,管理员应经常查看安全日志的记录,否则就失去了及时补救和防御的时机了。
除了安全日志外,管理员还要注意检查各种服务或应用的日志文件。
在Windows2003IIS6.0中,其日志功能默认已经启动,并且日志文件存放的路径默认在System32/LogFiles目录下,打开IIS日志文件,可以看到对Web服务器的HTTP请求,IIS6.0系统自带的日志功能从某种程度上可以成为入侵检测的得力帮手。
3、监视开放的端口和连接
对日志的监视只能发现已经发生的入侵事件,但是它对正在进行的入侵和破坏行为无能为力了。
这时,就需要管理员来掌握一些基本的实时监视技术。
通常在系统被黑客或病毒入侵后,就会在系统中留下木马类后门。
同时它和外界的通信会建立一个Socket会话连接,这样就可能发现它,netstat命令可以进行会话状态的检查,在这里就可以查看已经打开的端口和已经建立的连接。
当然也可以采用一些专用的检测程序对端口和连接进行检测,这一类软件很多。
4、监视共享
通过共享来入侵一个系统是最为舒服的一种方法了。
如果防范不严,最简单的方法就是利用系统隐含的管理共享。
因此,只要黑客能够扫描到的IP和用户密码,就可以使用netuse命令连接到的共享上。
另外,当浏览到含有恶意脚本的网页时,此时计算机的硬盘也可能被共享,因此,监测本机的共享连接是非常重要的。
监测本机的共享连接具体方法如下:
在WindowsServer2003的计算机中,打开“计算机管理”工具,并展开“共享文件夹”选项。
单击其中的“共享”选项,就可以查看其右面窗口,以检查是否有新的可疑共享,如果有可疑共享,就应该立即删除。
另外还可以通过选择“会话”选项,来查看连接到机器所有共享的会话。
WindowsNT/2000的IPC$共享漏洞是目前危害最广的漏洞之一。
黑客即使没有马上破解密码,也仍然可以通过“空连接”来连接到系统上,再进行其他的尝试。
5、监视进程和系统信息
对于木马和远程监控程序,除了监视开放的端口外,还应通过任务管理器的进程查看功能进行进程的查找。
在安装WindowsServer2003的支持工具(从产品光盘安装)后,就可以获得一个进程查看工具ProcessViewer;通常,隐藏的进程寄宿在其他进程下,因此查看进程的内存映象也许能发现异常。
现在的木马越来越难发现,常常它会把自己注册成一个服务,从而避免了在进程列表中现形。
因此,我们还应结合对系统中的其他信息的监视,这样就可对系统信息中的软件环境下的各项进行相应的检查。
Windows2003Server的新安全机制
来源:
ChinaITL收集整理
2003-12-1220:
00:
00
在这篇文章中,我们将一起探究Windows2003Server增强的安全机制。
新的操作系统中提高安全性的新特性随处可见,但这里我们只注重大多数Windows用户和管理员最关心的地方,借此粗略感受一下WindowsServer2003新的安全机制。
一、NTFS和共享权限
在以前的Windows中,默认的权限许可将“完全控制”授予了Everyone组,整个文件系统根本没有安全性可言(就本地访问来说)。
但从WindowsXPPro开始,这种情况改变了。
授予Everyone组的根目录NTFS权限只有读取和执行,且这些权限只对根文件夹有效。
也就是说,对于任何根目录下创建的子文件夹,Everyone组都不能继承这些权限。
对于安全性要求更高的系统文件夹,例如ProgramFiles和Windows文件夹,Everyone组也已经从ACL中排除出去。
(说明:
ACL即“访问控制列表”,或AccessControlList,它是一种安全保护列表,适用于整个对象、对象属性组或某个对象个别属性。
WindowsServer2003有两种访问控制列表类型:
随机和系统)。
Users组除了读取和运行之外,还能够在子文件夹下创建文件夹(可继承)和文件(注意,根驱动器除外)。
授予System帐户的权限和本地Administrators组成员的权限仍未改变,它们仍拥有对根文件夹及其子文件夹的完全控制权限。
CREATOROWNER仍被授予子文件夹及其包含的文件的完全控制权限,也就是允许用户全面管理他们自己创建的子文件夹。
对于新创建的共享资源,Everyone现在只有读取的权限。
另外,Everyone组现在不再包含匿名SID(安全标识符,一种不同长度的数据结构,用来识别用户、组和计算机帐户。
网络上每一个初次创建的帐户都会收到一个唯一的SID。
Windows中的内部进程将引用帐户的SID而不是帐户的用户名或组名),进一步减少了XX访问文件系统的可能性。
要快速查看文件或文件夹的NTFS权限,可以用右键点击文件或文件夹,选择“安全”选项卡,点击“高级”,然后查看“有效权限”页,不用再猜测或进行复杂的分析来了解继承的以及直接授予的NTFS权限。
不过,这个功能还不能涵盖共享权限。
二、文件和文件夹的所有权
现在,你不仅可以拥有文件系统对象(文件或文件夹)的所有者权限,而且还可以通过该文件或文件夹“高级安全设置”对话框的“所有者”选项卡将权限授予任何人。
Windows的磁盘配额是根据所有者属性计算的,授予其他人所有者权限的功能简化了磁盘配额的管理。
例如,管理员应用户的要求创建了新的文件(例如复制一些文件,或安装新的软件),使得管理员成为新文件的所有者,即新文件占用的磁盘空间不计入用户的磁盘配额限制。
以前,要解决这个问题必须经过繁琐的配置修改,或者必须使用第三方工具。
现在WindowsServer2003直接在用户界面中提供了设置所有者的功能,这类有关磁盘配额的问题可以方便地解决了(对于使用NTFS文件系统的任何类型的操作系统都有效,包括WindowsNT4.0、2000和XPPro,只要修改是在WindowsServer2003上进行就可以了)。
值得一提的是,这个功能(有效权限和授予所有者权限)对于从WindowsServer2003管理的活动目录对象也同样有效。
三、Windows服务配置
Windows服务配置方面的变化可分成两类。
㈠启动类型。
几种最容易受到攻击的服务,诸如Clipbook(启用“剪贴簿查看器”储存信息并与远程计算机共享)、NetworkDDE以及NetworkDDEDSDM(前者的功能是为在同一台计算机或不同计算机上运行的程序提供动态数据交换(DDE)的网络传输和安全;后者用于管理动态数据交换网络共享)、Telnet、WebClient(使基于Windows的程序能创建、访问和修改基于Internet的文件)等,默认情况下已经被禁止了。
还有一些服务只有在必要时才启用,例如IntersiteMessaging(启用在运行WindowsServer的站点间交换消息)只有在域控制器提升时才启用,RoutingandRemoteAccessService(为网络上的客户端和服务器启用多重协议——LAN到LAN,LAN到WAN,虚拟专用网络(VPN)和网络地址转换(NAT)路由服务)只有在配置WindowsServer2003作为路由器、按需拨号的服务器、远程访问服务器时才启用。
㈡运行在LocalSystem安全上下文之下的服务变少了,因为LocalSystem具有不受限制的本地特权。
现在,许多情况下,LocalSystem被LocalService或NetworkService帐户取代,这两个帐户都只有稍高于授权用户的特权。
正如其名字所示的,LocalService帐户用于本地系统的服务,它类似于已验证的用户帐户的特殊内置帐户。
LocalService帐户对于资源和对象的访问级别与Users组的成员相同。
如果单个服务或进程受到危害,则通过上述受限制的访问将有助于保护系统。
以LocalService帐户运行的服务作为空会话,而且不使用任何凭据访问网络资源。
相对地,NetworkService则被用于必须要有网络访问的服务,它对于资源和对象的访问级别也与Users组的成员相同,以NetworkService帐户来运行的服务将使用计算机帐户的凭据来访问网络资源。
四、身份验证
身份验证方面的增强涵盖了基于本地系统的身份验证和基于活动目录域的身份验证。
在本地系统验证方面,默认的设置限制不带密码的本地帐户只能用于控制台。
这就是说,不带密码的帐户将不能再用于远程系统的访问,例如驱动器映射、远程桌面/远程协助连接。
活动目录验证的变化在跨越林的信任方面特别突出。
跨越林的信任功能允许在林的根域之间创建基于Kerberos的信任关系(要求两个林都运行在Windows2003功能级别上)。
在WindowsServer2003林中,管理员可创建一个林,将单个林范围外的双向传递性扩展到另外一个WindowsServer2003林中。
在WindowsServer2003林中,这种跨越将两个断开连接的WindowsServer2003林链接起来建立单向或双向可传递信任关系。
双向林信任用于在两个林中的每个域之间建立可传递的信任关系。
林信任具有许多优点:
⑴通过减少共享资源所需的外部信任数,使得跨越两个WindowsServer2003林的资源的管理得以简化。
⑵每个林中每个域之间的完全的双向信任关系。
⑶使用跨越两个林的用户主体名称(UPN)身份验证。
⑷使用KerberosV5和NTLM身份验证协议,提高了林之间传递的授权数据的可信度。
⑸灵活的管理。
每个林的管理任务可以是唯一的。
林信任只能在两个林之间创建,不能隐式扩展到第三个林。
也就是说,如果在林1和林2之间创建了一个林信任,在林2和林3之间也创建了一个林信任,则林1和林3之间没有隐式信任关系。
注意:
在Windows2000林中,如果一个林中的用户需要访问另一个林中的资源,管理员可在两个域之间创建外部信任关系。
外部信任可以是单向或双向的非传递信任,因此限制了信任路径扩展到其他域的能力。
但在WindowsServer2003ActiveDirectory中,默认情况下,新的外部信任和林信任强制SID筛选。
SID筛选用于防止可能试图将提升的用户权限授予其他用户帐户的恶意用户的攻击。
强制SID筛选不会阻止同一林中的域迁移使用SID历史记录,而且也不会影响全局组的访问控制策略。
在默认配置下,身份验证是在林的级别上进行的,来自
升级会员 