本章集中討論了在企業(yè)環(huán)境中強化堡壘主機的問題。堡壘主機是一臺既安全但是又允許公眾訪問的計算機。堡壘主機位于周邊網(wǎng)絡(luò)（也就是大家熟知的DMZ、非軍事化區(qū)域或者受屏蔽子網(wǎng)）面向公眾的一側(cè)。堡壘主機不受防火墻或過濾路由器的保護，因此它被完全暴露在攻擊中。因此，我們必須花大力氣來設(shè)計和配置堡壘主機，將其可能遭受攻擊的機會減至最少。

　　堡壘主機通常被用作Web服務(wù)器、域名系統(tǒng)（DNS）服務(wù)器、文件傳輸協(xié)議（FTP）服務(wù)器、簡單郵件傳輸協(xié)議（SMTP）服務(wù)器及網(wǎng)絡(luò)新聞傳輸協(xié)議（NNTP）服務(wù)器等。理想情況下，堡壘主機應(yīng)該只執(zhí)行這些服務(wù)中的某一個功能，因為它扮演的角色越多，出現(xiàn)安全漏洞的可能性就越大。而在一臺堡壘主機上只對一個服務(wù)的安全進行維護則較為容易一些。能夠在多項堡壘主機業(yè)務(wù)上投入資金的企業(yè)必將從此類網(wǎng)絡(luò)體系中獲益匪淺。

　　安全的堡壘主機的配置與一般主機有很大區(qū)別。所有不必要的服務(wù)、協(xié)議、程序和網(wǎng)絡(luò)接口都應(yīng)該被禁用或刪除，而且，每個堡壘主機通常被配置成只承擔(dān)一個角色。按照此方式經(jīng)過加強的堡壘主機可以免遭某些類型攻擊的威脅。

　　本章下面部分將詳細敘述可以在不同環(huán)境中最有效保護堡壘主機的各種安全加固設(shè)置

　　堡壘主機本地策略

　　與本指南前面所述的應(yīng)用組策略的其它服務(wù)器不同，組策略不能應(yīng)用到堡壘主機服務(wù)器，這是因為它們被配置為獨立主機，不屬于Microsoft? Active Directory? 域。由于它們高度暴露給外界，所以在本指南所定義的三個環(huán)境中，只為堡壘主機服務(wù)器提供了一些基本的指導(dǎo)。下面所描述的安全設(shè)置建立在第3章“創(chuàng)建成員服務(wù)器基線”為高安全性環(huán)境提供的成員服務(wù)器基線策略（MSBP）基礎(chǔ)之上。這些設(shè)置包含在一個安全模板中，此模板必須應(yīng)用到每個堡壘主機的“堡壘主機本地策略（BHLP）”。

　　應(yīng)用堡壘主機本地策略

　　本指南提供的High Security – Bastion Host.inf文件可以用來配置BHLP。它能夠啟用一臺SMTP堡壘主機正常工作所需的服務(wù)。應(yīng)用High Security – Bastion Host.inf可以增強服務(wù)器的安全性，因為它減少了堡壘主機的攻擊表面，但是您將無法對堡壘主機進行遠程管理。您必須對BHLP進行一些修改才能實現(xiàn)更多的功能或增加堡壘主機的可管理性。

　　為了應(yīng)用安全模板中的所有安全設(shè)置，必須使用“安全配置和分析”管理單元，而不是“本地計算機策略”管理單元。使用“本地計算機策略”管理單元導(dǎo)入安全模板是不可能的，這是因為用于系統(tǒng)服務(wù)的安全設(shè)置無法在此管理單元中應(yīng)用。

　　下面的步驟描述了使用“安全配置和分析”管理單元來導(dǎo)入并應(yīng)用BHLP安全模板的過程。

　　警告：Microsoft強烈推薦在應(yīng)用High Security – Bastion Host.inf前，對堡壘主機服務(wù)器進行一次完全備份。以便在應(yīng)用High Security – Bastion Host.inf安全模板后如果出現(xiàn)了問題，可將堡壘主機恢復(fù)到其初始配置。請確信您已經(jīng)對安全模板進行了配置，以啟用您所在環(huán)境需要的堡壘主機功能。

　　導(dǎo)入安全模板：

　　1. 運行“安全配置和分析”管理單元。

　　2. 右健單擊“安全配置和分析”的范圍項目。

　　3. 單擊“打開數(shù)據(jù)庫”。

　　4. 輸入一個新的數(shù)據(jù)庫名，然后單擊“打開”。

　　5. 選擇“High Security – Bastion Host.inf”安全模板，然后單擊“打開”。

　　這樣，所有堡壘主機的設(shè)置就將被導(dǎo)入，然后您可以審查和應(yīng)用這些設(shè)置。

　　應(yīng)用安全設(shè)置

　　1. 右健單擊“安全配置和分析”的范圍項目。

　　2. 選擇“現(xiàn)在配置計算機”。

　　3. 在“現(xiàn)在配置計算機”對話框中輸入希望查看的日志文件名稱，然后單擊“確定”。

　　完成這些步驟后，所有相關(guān)安全模板設(shè)置將全部應(yīng)用于環(huán)境中堡壘主機的本地策略。您必須重新啟動堡壘主機才能使這些設(shè)置生效。

　　下面部分描述了使用BHLP實施的安全設(shè)置 。在本章中只論述那些與在MSBP中不同的設(shè)置。

　　審核策略設(shè)置

　　用于堡壘主機的BHLP審核策略的設(shè)置與在High Security – Member Server Baseline.inf文件中所指定的設(shè)置是相同的，詳情請看第三章 “創(chuàng)建成員服務(wù)器基線。”BHLP設(shè)置確保了所有相關(guān)的安全審核信息都被記錄到所有的堡壘主機服務(wù)器上。

　　用戶權(quán)限分配

　　用于堡壘主機的BHLP用戶權(quán)限分配基于High Security – Member Server Baseline.inf文件所指定的設(shè)置。詳情請看第三章“創(chuàng)建成員服務(wù)器基線。”下面描述了BHLP和MSBP間的差別。

　　允許本地登錄

　　表11.1：設(shè)置

 

　　“允許本地登錄”用戶權(quán)限允許用戶在計算機上啟動一個交互會話。對那些能登錄到堡壘主機服務(wù)器控制臺的賬號做出限制，將有助于阻止未經(jīng)授權(quán)的用戶訪問服務(wù)器上的文件系統(tǒng)和系統(tǒng)服務(wù)。

　　默認情況下，Account Operators、Backup Operators、Print Operators及Power Users組被授予了本地登錄的權(quán)限。應(yīng)該將該權(quán)限僅授予Administrators組，以便只有高度信任的用戶才擁有對堡壘服務(wù)器的管理訪問權(quán)限，而且能夠提供更高水平的安全性。

　　拒絕從網(wǎng)絡(luò)訪問該計算機

　　表11.2：設(shè)置

 

　　注意：在安全模板中并不包括ANONOYMOUS LOGON、內(nèi)置Administrator、Support_388945a0、Guest及所有非操作系統(tǒng)服務(wù)的賬號。這些賬號和組都有唯一的安全標識符（SID）。因此，必須用手工方式將它們加入到BHLP中。

　　“拒絕從網(wǎng)絡(luò)訪問該計算機”用戶權(quán)限規(guī)定了哪些用戶不能通過網(wǎng)絡(luò)訪問一臺計算機。此設(shè)置將會拒絕一些網(wǎng)絡(luò)協(xié)議，包括：基于服務(wù)器消息塊（SMB）的協(xié)議、網(wǎng)絡(luò)基礎(chǔ)輸入/輸出系統(tǒng)（NetBIOS）、公共Internet文件系統(tǒng)（CIFS）、超文本傳輸協(xié)議（HTTP）及COM+（Component Object Model Plus）。當(dāng)一個用戶賬號從屬于兩個策略時，該設(shè)置將忽略“從網(wǎng)絡(luò)訪問此計算機”的設(shè)置。在企業(yè)環(huán)境中為其它組配置此用戶權(quán)限可以限制用戶的訪問能力，讓他們只能執(zhí)行委派的管理任務(wù)。

　　在第三章“創(chuàng)建成員服務(wù)器基線”中，本指南建議將Guests 組加入到已經(jīng)分配了該權(quán)限的用戶和組中，以提供最高級別的安全性。然而，用來匿名訪問IIS的IUSR賬號默認情況下是Guests組的成員。因此，在本指南定義的高安全性環(huán)境中，堡壘主機的“拒絕從網(wǎng)絡(luò)訪問該計算機”的設(shè)置被配置為包括ANONOYMOUS LOGON、內(nèi)置Administrator、Support_388945a0、Guest及所有非操作系統(tǒng)服務(wù)的賬號。

　　安全選項

　　用于堡壘主機的BHLP安全選項設(shè)置與在第三章“創(chuàng)建成員服務(wù)器基線”的High Security – Member Server Baseline.inf文件中所指定的設(shè)置是相同的。這些BHLP設(shè)置確保了所有相應(yīng)的安全選項都可以統(tǒng)一配置到全部堡壘主機服務(wù)器上。

　　事件日志設(shè)置

　　用于堡壘主機的BHLP事件日志設(shè)置與在第三章“創(chuàng)建成員服務(wù)器基線”中的High Security – Member Server Baseline.inf文件中指定的設(shè)置是相同的。這些BHLP設(shè)置確保了所有相應(yīng)的事件日志都可以統(tǒng)一配置到全部堡壘主機服務(wù)器上。

　　系統(tǒng)服務(wù)

　　堡壘主機服務(wù)器的工作性質(zhì)決定了它將暴露在外界的攻擊之中。因此，每臺堡壘主機的攻擊表面積必須要降至最小。為了提高堡壘主機服務(wù)器的安全性，所有不需要的操作系統(tǒng)服務(wù)，以及對堡壘主機正常運行沒有必要的角色都應(yīng)該禁用。本指南包括的High Security – Bastion Host.inf 安全模板可以對BHLP進行配置，以啟用一臺SMTP堡壘主機服務(wù)器所需要的全部功能。BHLP啟動了Internet信息服務(wù)管理器服務(wù)、HTTP SSL 服務(wù)和SMTP服務(wù)。但是，如果需要啟用其它功能，您必須對BHLP加以修改。

　　眾多被禁用的服務(wù)將會產(chǎn)生大量的事件日志警告，您可以忽略這些警告。有些時候，啟用這些服務(wù)將會減少事件日志警告和錯誤消息以及增加堡壘主機的可管理性。然而，這樣做也會增加每臺堡壘主機的攻擊表面。

　　以下小節(jié)論述了在堡壘主機服務(wù)器上應(yīng)該被禁用的服務(wù)，以在降低堡壘主機攻擊表面的同時保持其功能。這些小節(jié)只涉及了High Security – Member Server Baseline.inf 文件中未被禁用的服務(wù)。

　　自動更新

　　表11.3：設(shè)置

 

　　“自動更新”服務(wù)可以讓堡壘主機下載并安裝重要的Microsoft Windows? 升級。該服務(wù)為堡壘主機自動提供最新的升級、驅(qū)動程序和增強組件。您將不再需要手工搜索這些重要的升級和信息；操作系統(tǒng)會將它們直接發(fā)送給堡壘主機。當(dāng)您在線并使用Internet連接從Windows 升級服務(wù)中搜索可用的更新時，操作系統(tǒng)會做出識別。根據(jù)您所做出的設(shè)置，該服務(wù)將會在下載和安裝前向您發(fā)出通知，或者為您自動安裝升級文件。

　　停止或禁用“自動更新”服務(wù)將會阻止重要更新自動下載到計算機上。有些時候，您可能不得不直接連到Windows Update Web站點http://www.windowsupdate.microsoft.com上，以搜索、下載和安裝任何可用的重要修補程序。

　　對于堡壘主機的正常操作來說，該服務(wù)不是必需的。您可以使用本地策略將服務(wù)的啟動模式設(shè)置為只允許管理員訪問服務(wù)器，以阻止了未經(jīng)授權(quán)或懷有惡意的用戶對服務(wù)進行配置和操作。此外，禁用該服務(wù)能有效地降低一臺堡壘主機服務(wù)器的攻擊表面。因此，請在BHLP中將“自動更新”設(shè)置被配置為“禁用”。

　　后臺智能傳輸服務(wù)

　　表11.4：設(shè)置

 

　　“后臺智能傳輸服務(wù)”（BITS）是一個后臺的文件傳輸機制和隊列管理程序。BITS在客戶端和HTTP服務(wù)器間異步傳輸文件。BITS接受傳遞文件的請求并使用空閑的網(wǎng)絡(luò)帶寬，因此其它相關(guān)的網(wǎng)絡(luò)活動（例如瀏覽等）不會受到影響。

　　停止該服務(wù)將會導(dǎo)致諸如“自動更新”這樣的特性無法自動下載程序和其它信息，直到服務(wù)再次運行為止。這意味著如果該服務(wù)沒有通過組策略進行配置，那么計算機將不會從“軟件更新服務(wù)”（SUS）收到自動更新。禁用該服務(wù)還導(dǎo)致任何明顯依賴它的服務(wù)無法傳輸文件，除非使用了一個可以避免失敗的機制通過其它方法直接傳輸文件，如Internet Explorer。

　　對于堡壘主機的正常操作來說，該服務(wù)不是必需的。您可以使用組策略將服務(wù)的開始模式設(shè)置配置為僅僅允許服務(wù)器管理員進行訪問，以阻止未經(jīng)授權(quán)或懷有惡意的用戶對服務(wù)進行配置和操作。此外，禁用該服務(wù)能有效降低一臺堡壘主機服務(wù)器的攻擊表面。因此，在BHLP中該服務(wù)被禁用。

　　計算機瀏覽器

　　表11.5：設(shè)置

 

　　“計算機瀏覽器”服務(wù)在網(wǎng)絡(luò)上維護一個當(dāng)前計算機的列表，并將列表提供給需要它的程序。“計算機瀏覽器” 服務(wù)由需要查看網(wǎng)絡(luò)域和資源的 Windows 計算機所使用。被指定為瀏覽器的計算機對瀏覽列表進行維護，該列表包括了網(wǎng)絡(luò)上使用的所有共享資源。Windows應(yīng)用程序的較早版本，如“我的網(wǎng)絡(luò)位置”、“NET VIEW”命令和Microsoft Windows NT? Explorer，都需要瀏覽功能。例如，在運行Windows 95的計算機上打開“我的網(wǎng)絡(luò)位置”，就會顯示一個域和計算機的列表，這個列表就是該計算機從一臺被指定為瀏覽器的計算機瀏覽列表中獲得的一個副本。

　　禁用“計算機瀏覽器”服務(wù)將會導(dǎo)致無法更新和維護瀏覽器列表。禁用該服務(wù)還導(dǎo)致任何明顯依賴它的服務(wù)不能運行。

　　對于堡壘主機的正常操作來說，該服務(wù)不是必需的。您可以使用組策略將服務(wù)的開始模式設(shè)置為僅僅允許服務(wù)器管理員進行訪問，以阻止未經(jīng)授權(quán)或懷有惡意的用戶對服務(wù)進行配置和操作。此外，禁用該服務(wù)能有效地降低一臺堡壘主機服務(wù)器的攻擊表面。因此，在BHLP中的“計算機瀏覽器”設(shè)置被配置為“禁用”。

　　DHCP客戶

　　表11.6：設(shè)置

 

　　“DHCP客戶”服務(wù)通過登記和更新計算機的 IP 地址和DNS名稱來管理網(wǎng)絡(luò)配置。當(dāng)一個客戶，例如一個漫游用戶，在網(wǎng)絡(luò)上無目的游蕩時，該服務(wù)將會阻止用戶手工更改IP設(shè)置。客戶會被自動分配一個新的IP地址，而不考慮它所連接的子網(wǎng)——只要動態(tài)主機配置協(xié)議（DHCP）服務(wù)器對于每個子網(wǎng)來說都是可訪問的。沒有必要對DNS或Windows　Internet名稱系統(tǒng)（WINS）的設(shè)置進行手工配置。DHCP服務(wù)器會將這些服務(wù)設(shè)置強加給客戶，只要DHCP服務(wù)器已經(jīng)做好配置并且可以發(fā)出此類信息即可。 若要在客戶端激活該選項，只需選擇“自動獲得DNS服務(wù)器地址”單選按鈕。激活該選項將避免因IP地址重復(fù)帶來的沖突。

　　停止“DHCP客戶”服務(wù)將導(dǎo)致您的計算機無法接收到動態(tài)的IP地址，動態(tài)DNS更新功能也不會在DNS服務(wù)器上自動更新IP地址。禁用該服務(wù)還導(dǎo)致任何明顯依賴它的服務(wù)失敗。

　　對于堡壘主機的正常操作來說，該服務(wù)不是必需的。您可以使用組策略將服務(wù)的開始模式設(shè)置為僅僅允許服務(wù)器管理員進行訪問，以阻止未經(jīng)授權(quán)或懷有惡意的用戶對服務(wù)進行配置和操作。此外，禁用該服務(wù)能有效地降低一臺堡壘主機服務(wù)器的攻擊表面。因此，因此，BHLP中的“DHCP客戶”設(shè)置被配置為“禁用”。

　　網(wǎng)絡(luò)位置感知（NLA）

　　表11.7：設(shè)置

 

　　“網(wǎng)絡(luò)位置感知（NLA）”服務(wù)控制和存儲網(wǎng)絡(luò)配置信息，如IP地址和域名變化等等，還有一些位置變化的信息，然后在這些信息發(fā)生變化時通知應(yīng)用程序。

　　對于堡壘主機的正常操作來說，該服務(wù)不是必需的。您可以使用組策略將服務(wù)的開始模式設(shè)置為僅僅允許服務(wù)器管理員進行訪問，以阻止未經(jīng)授權(quán)或懷有惡意的用戶對服務(wù)進行配置和操作。此外，禁用該服務(wù)能有效地降低一臺堡壘主機服務(wù)器的攻擊表面。因此，因此，BHLP中的“網(wǎng)絡(luò)位置感知（NLA）”設(shè)置被配置為“禁用”。

　　NTLM安全支持提供者

　　表11.8：設(shè)置

 

　　“NTLM安全支持提供者”服務(wù)為遠程過程調(diào)用（RPC）程序提供了安全保障，這些程序使用傳輸，而不是使用命名管道，該服務(wù)能讓用戶使用NTLM驗證協(xié)議登錄到網(wǎng)絡(luò)上。NTLM協(xié)議對不使用Kerberos V5驗證的客戶進行身份驗證。

　　如果停止或禁用“NTLM安全支持提供者”服務(wù)，您將無法登錄到使用NTLM驗證協(xié)議的客戶端或者訪問網(wǎng)絡(luò)資源。Microsoft 操作管理器（MOM）和Telnet都依賴于該服務(wù)。

　　對于堡壘主機的正常操作來說，該服務(wù)不是必需的。您可以使用組策略將服務(wù)的開始模式設(shè)置為僅僅允許服務(wù)器管理員進行訪問，以阻止未經(jīng)授權(quán)或懷有惡意的用戶對服務(wù)進行配置和操作。此外，禁用該服務(wù)能有效地降低一臺堡壘主機服務(wù)器的攻擊表面。因此，在BHLP中“NTLM安全支持提供者”設(shè)置被配置為“禁用”。

　　性能日志和警報

　　表 11.9：設(shè)置

 

　　“性能日志和警報”服務(wù)基于預(yù)先配置的時間表從本地或遠程計算機上采集性能數(shù)據(jù)，然后將數(shù)據(jù)寫入一個日志或觸發(fā)一個警報。根據(jù)包含在指定日志采集設(shè)置中的信息，該服務(wù)將啟動和停止每個指定的性能數(shù)據(jù)集合。至少有一個采集計劃，該服務(wù)才能運行。

　　停止并禁用“性能日志和警報”服務(wù)將會導(dǎo)致性能信息未被搜集，當(dāng)前運行的數(shù)據(jù)采集也將會終止，并且預(yù)定的未來采集計劃也將不會發(fā)生。

　　對于堡壘主機的正常操作來說，該服務(wù)不是必需的。您可以使用組策略將服務(wù)的開始模式設(shè)置為僅僅允許服務(wù)器管理員進行訪問，以阻止未經(jīng)授權(quán)或懷有惡意的用戶對服務(wù)進行配置和操作。此外，禁用該服務(wù)能有效地降低一臺堡壘主機服務(wù)器的攻擊表面。因此，在BHLP中“性能日志和警報”設(shè)置被配置為“禁用”。

　　遠程管理服務(wù)

　　表 11.10：設(shè)置

 

當(dāng)服務(wù)器重啟動時，“遠程管理服務(wù)”運行下列遠程管理任務(wù)：

　　增加服務(wù)器重啟動次數(shù)的計數(shù)。

　　生成一個自我簽署的證書。

　　如果未在服務(wù)器上設(shè)置數(shù)據(jù)和時間，則產(chǎn)生一個警報。

　　如果沒有配置電子郵件報警功能，則產(chǎn)生一個警報。

　　停止“遠程管理服務(wù)”可能會導(dǎo)致遠程服務(wù)器管理工具的一些特性不能正常工作，例如，用于遠程管理的Web界面程序。禁用該服務(wù)還導(dǎo)致任何明顯依賴它的服務(wù)失敗。

　　對于堡壘主機的正常操作來說，該服務(wù)不是必需的。您可以使用組策略將服務(wù)的開始模式設(shè)置為僅僅允許服務(wù)器管理員進行訪問，以阻止未經(jīng)授權(quán)或懷有惡意的用戶對服務(wù)進行配置和操作。此外，禁用該服務(wù)能有效地降低一臺堡壘主機服務(wù)器的攻擊表面。因此，在BHLP中“遠程管理服務(wù)”設(shè)置被配置為“禁用”。

 

　　倘若遠程用戶擁有所需的權(quán)限，“遠程注冊表服務(wù)”可以讓遠程用戶更改域控制器上的注冊表設(shè)置。默認情況下，只有 Administrators 和 Backup Operators 組中的用戶才能遠程訪問注冊表。該服務(wù)是Microsoft 基線安全分析器（MBSA）工具所必需的。MBSA是一個允許您驗證企業(yè)中每臺服務(wù)器上是否安裝了某個補丁的工具。

　　停止“遠程注冊表”服務(wù)將只允許您更改本地計算機上的注冊表。禁用該服務(wù)還導(dǎo)致任何明顯依賴它的服務(wù)失敗，但不會影響本地計算機上的注冊表操作。其它計算機或設(shè)備將不再能夠連接到本地計算機的注冊表。

　　對于堡壘主機的正常操作來說，該服務(wù)不是必需的。您可以使用組策略將服務(wù)的開始模式設(shè)置為僅僅允許服務(wù)器管理員進行訪問，以阻止未經(jīng)授權(quán)或懷有惡意的用戶對服務(wù)進行配置和操作。此外，禁用該服務(wù)能有效地降低一臺堡壘主機服務(wù)器的攻擊表面。因此，在BHLP中“遠程注冊表服務(wù)”設(shè)置被配置為“禁用”。

　　服務(wù)器

　　表 11.12：設(shè)置

 

　　“服務(wù)器”服務(wù)通過網(wǎng)絡(luò)提供RPC支持、文件、打印和命名管道共享。該服務(wù)允許本地資源共享，如磁盤和打印機，以便網(wǎng)絡(luò)上的其他用戶訪問這些資源。它還允許運行在其它計算機上的應(yīng)用程序和您的計算機展開命名管道通訊，通信過程使用了RPC。命名管道通訊為一個進程的輸出保留了一塊內(nèi)存，并以此作為另一個進程的輸入。接收輸入的進程不需要在本地計算機上運行。

　　停止“服務(wù)器”服務(wù)將會阻止該計算機和網(wǎng)絡(luò)上其它計算機間的文件和打印機共享，還會放棄RPC請求。禁用該服務(wù)還將導(dǎo)致任何明顯依賴它的服務(wù)失敗。

　　對于堡壘主機的正常操作來說，該服務(wù)不是必需的。您可以使用組策略將服務(wù)的開始模式設(shè)置為僅僅允許服務(wù)器管理員進行訪問，以阻止未經(jīng)授權(quán)或懷有惡意的用戶對服務(wù)進行配置和操作。此外，禁用該服務(wù)能有效地降低一臺堡壘主機服務(wù)器的攻擊表面。因此，在BHLP中“服務(wù)器”設(shè)置被配置為“禁用”。

　　TCP/IP NetBIOS助手服務(wù)

　　表 11.13：設(shè)置

 

　　“TCP/IP NetBIOS助手服務(wù)”為NetBIOS over TCP/IP（TCP/IP上的NetBIOS，NetBT）和網(wǎng)絡(luò)上客戶端的NetBIOS名稱解析提供支持，因此，它允許用戶共享文件、打印和登錄到網(wǎng)絡(luò)。“TCP/IP NetBIOS 助手”服務(wù)通過執(zhí)行DNS名稱解析，為NetBT服務(wù)提供支持。

　　停止“TCP/IP NetBIOS助手服務(wù)”可能導(dǎo)致NetBT、重定向器（RDR）、服務(wù)器（SRV）、 Netlogon和Messenger服務(wù)的客戶端無法共享文件和打印機，并且阻止用戶登錄計算機。例如，基于域的組策略將不再起作用。禁用該服務(wù)還導(dǎo)致任何明顯依賴它的服務(wù)失敗。

　　對于堡壘主機的正常操作來說，該服務(wù)不是必需的。您可以使用組策略將服務(wù)的開始模式設(shè)置為僅僅允許服務(wù)器管理員進行訪問，以阻止未經(jīng)授權(quán)或懷有惡意的用戶對服務(wù)進行配置和操作。此外，禁用該服務(wù)能有效地降低一臺堡壘主機服務(wù)器的攻擊表面。因此，在BHLP中“TCP/IP NetBIOS助手服務(wù)”設(shè)置被配置為“禁用”。

　　終端服務(wù)

　　表 11.14：設(shè)置

 

　　“終端服務(wù)”提供了一個多會話環(huán)境，允許客戶端設(shè)備訪問一個虛擬的Windows桌面會話以及在服務(wù)器端運行Windows 程序。“終端服務(wù)”還允許用戶對服務(wù)器進行遠程管理。

　　停止或禁用“終端服務(wù)”將阻止用戶對計算機的遠程管理，使得計算機難于管理和更新。

　　對于堡壘主機的正常操作來說，該服務(wù)不是必需的。您可以使用組策略將服務(wù)的開始模式設(shè)置為僅僅允許服務(wù)器管理員進行訪問，以阻止未經(jīng)授權(quán)或懷有惡意的用戶對服務(wù)進行配置和操作。此外，禁用該服務(wù)能有效地降低一臺堡壘主機服務(wù)器的攻擊表面。因此，在BHLP中“終端服務(wù)”設(shè)置被配置為“禁用”。

　　Windows Installer

　　表11.15：設(shè)置

 

　　Windows Installer 服務(wù)通過應(yīng)用一系列在安裝過程期間集中定義的安裝規(guī)則，來管理應(yīng)用程序的安裝和卸載。這些安裝規(guī)則定義了所安裝應(yīng)用程序的安裝和配置。另外，該服務(wù)還可以更改、修復(fù)或刪除一個現(xiàn)存的應(yīng)用程序。組成該服務(wù)的技術(shù)包括Windows操作系統(tǒng)的Windows Installer 服務(wù)以及.msi 壓縮包格式文件（用于保存關(guān)于應(yīng)用程序的設(shè)置和安裝信息）。

　　Windows Installer不僅是一個安裝程序，它還是一個可擴展的軟件管理系統(tǒng)。該服務(wù)可以管理軟件組件的安裝、添加和刪除，監(jiān)視文件回彈，以及使用回滾功能從災(zāi)難事件中恢復(fù)基本文件。另外，Windows Installer 支持從多種來源安裝和運行軟件，還可以由那些想要安裝自己應(yīng)用程序的開發(fā)者進行定制。

　　將 Windows Installer 設(shè)置為手動會導(dǎo)致使用 Installer的應(yīng)用程序啟動該服務(wù)。

　　停止該服務(wù)將導(dǎo)致依賴于它的應(yīng)用程序安裝、卸載、修復(fù)和更改失敗。同樣，利用此服務(wù)的應(yīng)用程序在運行時可能無法正常發(fā)揮功能。禁用該服務(wù)還將導(dǎo)致任何明顯依賴它的服務(wù)失敗。

　　對于堡壘主機的正常操作來說，該服務(wù)不是必需的。您可以使用組策略將服務(wù)的開始模式設(shè)置為僅僅允許服務(wù)器管理員進行訪問，以阻止未經(jīng)授權(quán)或懷有惡意的用戶對服務(wù)進行配置和操作。此外，禁用該服務(wù)能有效地降低一臺堡壘主機服務(wù)器的攻擊表面。因此，在BHLP中Windows Installer設(shè)置被配置為“禁用”。

　　Windows管理規(guī)范驅(qū)動程序擴展

　　表11.16：設(shè)置

 

　　“Windows管理規(guī)范驅(qū)動程序擴展”服務(wù)監(jiān)視所有驅(qū)動程序以及被配置成發(fā)布WMI或事件跟蹤信息的事件跟蹤提供者。

　　對于堡壘主機的正常操作來說，該服務(wù)不是必需的。您可以使用組策略將服務(wù)的開始模式設(shè)置為僅僅允許服務(wù)器管理員進行訪問，以阻止未經(jīng)授權(quán)或懷有惡意的用戶對服務(wù)進行配置和操作。此外，禁用該服務(wù)能有效地降低一臺堡壘主機服務(wù)器的攻擊表面。因此，在BHLP中“Windows Management Instrumentation驅(qū)動程序擴展”設(shè)置被配置為“禁用”。

　　WMI性能適配器

　　表11.17：設(shè)置

 

　　“WMI性能適配器”服務(wù)提供了從WMI HiPerf 提供者獲得的性能庫信息。需要提供性能計數(shù)器的應(yīng)用程序和服務(wù)現(xiàn)在可以使用兩種方式做到這一點：編寫一個WMI 高性能（High Performance）提供者或編寫一個性能庫。

　　“WMI性能適配器”服務(wù)通過反向適配器性能庫（Reverse Adapter Performance Library），將WMI高性能（High Performance）提供者提供的性能計數(shù)器轉(zhuǎn)換成性能數(shù)據(jù)助手（Performance Data Helper，PDH）可以引用的計數(shù)器。這樣一來，PDH客戶（如Sysmon）就可以引用計算機上任何WMI性能適配器提供者所提供的性能計數(shù)器。

　　如果“WMI性能適配器”服務(wù)停止了，WMI性能計數(shù)器將無法使用。禁用該服務(wù)還會導(dǎo)致任何明顯依賴它的服務(wù)失敗。

　　對于堡壘主機的正常操作來說，該服務(wù)不是必需的。您可以使用組策略將服務(wù)的開始模式設(shè)置為僅僅允許服務(wù)器管理員進行訪問，以阻止未經(jīng)授權(quán)或懷有惡意的用戶對服務(wù)進行配置和操作。此外，禁用該服務(wù)能有效地降低一臺堡壘主機服務(wù)器的攻擊表面。因此，在BHLP中“WMI性能適配器”設(shè)置被配置為“禁用”。

　　其它安全設(shè)置

　　通過BHLP應(yīng)用的安全設(shè)置為堡壘主機服務(wù)器提供更高的安全性。然而，這里還需要考慮一些額外的事項和過程。這些步驟不能通過本地策略來執(zhí)行，而應(yīng)該在所有堡壘主機服務(wù)器上通過手動方式來完成。

　　以手動方式向用戶權(quán)限分配中添加唯一的安全組

　　大多數(shù)通過MSBP應(yīng)用的用戶權(quán)限分配都已經(jīng)在本指南附帶的安全性模板中進行了適當(dāng)?shù)闹付ā５�是，有些賬戶和安全組不能被包含在模板中，因為它們的安全標識（SID）對于單個的Windows 2003域是特定的。下面介紹了必須手動配置的用戶權(quán)限。

　　警告：下表包含了內(nèi)置Administrator賬戶。不要將該賬戶與內(nèi)置的Administrators安全組混淆。如果Administrators安全組被添加了以下任何一個拒絕訪問用戶權(quán)限，為了更正該錯誤，您必須從本地登錄。

　　另外，根據(jù)第三章“創(chuàng)建成員服務(wù)器基線”中的建議，內(nèi)置的Administrator賬號可能已經(jīng)被重命名。當(dāng)添加Administrator賬戶時，請確信添加的是經(jīng)過了重命名的賬戶。

　　表11.18：手工添加用戶權(quán)限分配

 

　　重要：所有非操作系統(tǒng)服務(wù)賬戶包括整個企業(yè)范圍內(nèi)用于特定應(yīng)用程序的服務(wù)賬戶。但不包括LOCAL SYSTEM、LOCAL SERVICE或NETWORK SERVICE等操作系統(tǒng)所使用的內(nèi)置賬號。

　　刪除不必要的網(wǎng)絡(luò)協(xié)議和綁定

　　可通過Internet直接訪問的服務(wù)器（特別是堡壘主機服務(wù)器），應(yīng)該禁用所有不必要的協(xié)議，以避免用戶枚舉攻擊的威脅。用戶枚舉是一種信息搜集類型，攻擊者試圖使用它獲得系統(tǒng)特有的信息，然后計劃下一步的攻擊。

　　服務(wù)器消息塊（SMB）協(xié)議將返回有關(guān)一臺計算機的大量信息，甚至對使用“空”會話的未經(jīng)授權(quán)的用戶也是如此。相關(guān)信息可從共享、用戶信息（包括組和用戶權(quán)限）、注冊表鍵值及更多方式中取得。

　　禁用SMB和TCP/IP上的NetBIOS，可以大大降低服務(wù)器的攻擊表面，并保護堡壘主機的安全。雖然該配置下的服務(wù)器更加難于管理，并且無法訪問網(wǎng)絡(luò)上的共享文件夾，但這些措施可以有效保護服務(wù)器免予遭受那些輕而易舉的攻擊。因此，本指南建議：在可以通過Internet進行訪問的堡壘主機服務(wù)器上，禁用網(wǎng)絡(luò)連接的SMB或者TCP/IP上的NetBIOS。

　　禁用SMB:

　　1. 在“控制面板”上，雙擊“網(wǎng)絡(luò)連接”。

　　2. 右鍵單擊一個Internet類型連接，然后單擊“屬性”。

　　3. 在“屬性”對話框中，選擇“Microsoft網(wǎng)絡(luò)客戶端”，然后單擊“卸載”。

　　4. 按照卸載步驟指示進行。

　　5. 選擇“Microsoft網(wǎng)絡(luò)的文件和打印機共享”，然后單擊“卸載”。

　　6. 按照卸載步驟指示進行。

　　禁用TCP/IP 上的NetBIOS：

　　1. 在“控制面板”上，雙擊“系統(tǒng)”，單擊“硬件”標簽，然后點擊“設(shè)備管理器” 按鈕。

　　2. 在“查看”菜單上，單擊“顯示隱藏的設(shè)備”。

　　3. 展開“非即插即用驅(qū)動程序”。

　　4. 右鍵單擊“TCP/IP 上的NetBIOS”，然后單擊“禁用”。

　　上述操作會禁用TCP/445和UDP 445端口上的SMB直接主機偵聽程序。

　　注意：此過程禁用了nbt.sys驅(qū)動程序。在“TCP/IP高級設(shè)置”對話框的“WINS” 標簽中，包括一個“禁用TCP/IP 上的NetBIOS”選項。選中該選項只是禁用了在TCP 端口139上進行偵聽的“NetBIOS會話服務(wù)”。這樣做并未完全禁用SMB。 若要完全禁用SMB，請使用上面的步驟。

　　保護眾所周知的賬號

　　在Microsoft Windows Server? 2003中有一些內(nèi)置的賬號，它們不能被刪除，而只能重命名。在Windows 2003中最為人所熟知的兩個內(nèi)置賬號是Guest和Administrator。

　　默認情況下，在服務(wù)器上的Guest賬號是禁用的，而且不應(yīng)被修改。內(nèi)置的Administrator賬號應(yīng)該被重命名，并且改變描述以阻止攻擊者從遠程服務(wù)器使用該賬號進行攻擊。

　　許多惡意代碼的變種使用內(nèi)置的管理員帳號，企圖竊取服務(wù)器的秘密。在近幾年來，進行上述重命名配置的意義已經(jīng)大大降低了，因為出現(xiàn)了很多新的攻擊工具，這些工具企圖通過指定內(nèi)置 Administrator 賬戶的安全標識（SID）來確定該帳戶的真實姓名，從而侵占服務(wù)器。 SID是一個能唯一識別每一個用戶、組、計算機帳戶及網(wǎng)絡(luò)登錄會話的數(shù)值。內(nèi)置帳戶的SID是不可能改變的。將本地管理員帳戶重新命名為獨特的名稱，操作部門就可以輕松監(jiān)控攻擊該帳戶的企圖。

　　在堡壘主機服務(wù)器上保護眾所周知的賬號：

　　1. 重命名Administrator和Guest賬號，然后將其在每臺服務(wù)器上的密碼設(shè)成一個長且復(fù)雜的值。

　　2. 在每臺服務(wù)器上使用不同的名字和密碼。如果在所有的服務(wù)器上都使用相同的賬號名和密碼，那么獲得一臺服務(wù)器訪問權(quán)的攻擊者就能使用相同的賬號名和密碼來訪問所有其它的服務(wù)器。

　　3. 更改對賬號的描述，使其與默認描述不同，這樣有助于防止帳戶被輕易識別。

　　4. 在一個安全的位置記錄這些更改。

　　錯誤報告

　　表11.19：設(shè)置

 

　　“錯誤報告”服務(wù)可以幫助Microsoft 跟蹤和查找錯誤。您可以將該服務(wù)配置為給操作系統(tǒng)錯誤、Windows組件錯誤或程序錯誤生成報告。“錯誤報告”服務(wù)將這些錯誤通過Internet報告給Microsoft，或者報告給內(nèi)部企業(yè)文件共享。

　　該設(shè)置只有在Microsoft Windows? XP Professional和Windows Server 2003上可用。在組策略對象編輯器中配置該設(shè)置的路徑是：

　　Computer ConfigurationAdministrative TemplatesSystemError Reporting

　　錯誤報告可能包含敏感的（甚至是保密的）企業(yè)數(shù)據(jù)。Microsoft 關(guān)于錯誤報告的隱私政策保證 Microsoft 不會不適當(dāng)?shù)厥褂眠@些數(shù)據(jù)，但是這些數(shù)據(jù)使用明文形式的超級文本傳輸協(xié)議（HTTP）傳送，這就有可能被Internet 上的第三方截獲或者查看。因此，本指南建議在指南定義的三種安全環(huán)境下，在DCBP中將 錯誤報告 設(shè)置配置為禁用。

　　使用IPSec過濾器阻斷端口

　　IPSec 過濾器可為增強服務(wù)器所需要的安全級別提供有效的方法。本指南推薦在其定義的高安全性環(huán)境中使用該選項，以便進一步減少服務(wù)器的攻擊表面。

　　要了解關(guān)于IPSec過濾器使用的更多信息，請參看第11章，“其它服務(wù)器的強化程序”，“威脅與對策：Windows Server 2003和Windows XP中的安全性設(shè)置 ”。

　　下表列舉了在本指南定義的高安全性環(huán)境下，可以在SMTP堡壘主機上創(chuàng)建的IPSec過濾器。

　　表11.20：SMTP堡壘主機IPSec網(wǎng)絡(luò)流量圖

 

　　在執(zhí)行時上表所列舉的規(guī)則時，應(yīng)當(dāng)對其進行鏡像處理。這樣可以保證任何進入服務(wù)器的網(wǎng)絡(luò)流量也可以返回到源服務(wù)器。

　　上表表明，服務(wù)器要想完成特定角色的功能而應(yīng)當(dāng)打開的基本端口。如果服務(wù)器擁有一個靜態(tài)IP地址，這些端口已經(jīng)足夠了。

　　警告：這些IPSec過濾器施加的限制非常嚴格，并且大大降低了服務(wù)器的可管理性。您需要打開額外的端口來實施監(jiān)視、補丁管理和軟件更新功能。

　　IPSec策略的實施對服務(wù)器的性能將不會有顯著的影響。但是，在實施這些過濾器前還是應(yīng)該進行測試，以驗證服務(wù)器仍然可以維持必要的功能和性能。您可能還需要增加一些附加的規(guī)則來支持其它應(yīng)用程序。

　　該指南中包括一個.cmd文件，它簡化了依照指南要求為域控制器創(chuàng)建IPSec過濾器的過程。PacketFilters-SMTPBastionHost.cmd文件使用NETSH命令來創(chuàng)建相應(yīng)的過濾器。

　　此腳本不會創(chuàng)建永久性的過濾器。因此，服務(wù)器不會受到保護，除非IPSec策略代理被啟動。關(guān)于創(chuàng)建永久性過濾器或創(chuàng)建更高級IPSec過濾器腳本的更多信息，請參看本指南的姐妹篇“威脅與對策：Windows Server 2003和Windows XP中的安全性設(shè)置”中的第11章“其它成員服務(wù)器的強化程序”。最后，該腳本被配置為不分配其創(chuàng)建的IPSec策略。IP安全性策略管理單元可用來檢查所創(chuàng)建的IPSec過濾器，并且分配IPSec策略以便讓其生效。

　　總結(jié)

　　堡壘主機服務(wù)器高度暴露在外界攻擊之中。您必須盡可能的保證它們的安全，在將其可用性發(fā)揮至最大的同時，將堡壘主機服務(wù)器面臨的安全威脅降至最低。最安全的堡壘主機服務(wù)器只允許高度信任的賬號訪問，并僅僅啟用能夠正常行使其功能所需的最少的服務(wù)。

　　本章對用來保護堡壘主機服務(wù)器安全的強化安全設(shè)置和措施進行了解釋。大多數(shù)的設(shè)置可通過本地組策略進行應(yīng)用。我們也介紹了手動配置和應(yīng)用安全設(shè)置的步驟。

　　我們還詳細介紹了創(chuàng)建和應(yīng)用能夠控制堡壘主機服務(wù)器間網(wǎng)絡(luò)通信類型的IPSec過濾器具體過程。根據(jù)企業(yè)環(huán)境中堡壘主機服務(wù)器所扮演的角色，這些過濾器可以被修改，以阻止特定類型的網(wǎng)絡(luò)流量。

關(guān)鍵字：Server 、服務(wù)器、主機

【 頂部 】 【 關(guān)閉 】