网管员必读-网络安全(第2版)第十章.ppt

第10章 Windows Server 2003基准安全策略,本章要向大家介绍的是Windows Server 2003系统中的这些基准的安全策略配置方法。如Windows Server 2003系统的一般强化机制（主要是通过SCW、活动目录和组策略等几个方面共同作用）、域安全策略、成员服务器和域控制器基准安全策略的配置。 本章重点 SCW的配置方法 利用SCW强化Windows Server系统的配置方法 利用Active Directory强化Windows Server系统的配置方法 利用组策略强化Windows Server系统的配置方法 域基准安全策略配置 成员服务器的基准安全策略配置 域控制器的基准安全策略配置,10.1 适用环境概述,安全策略是一组可配置的规则。公共语言运行库在决定允许代码执行的操作时遵循此规则。安全策略由管理员设置，并由运行库强制。 本章将集中介绍如何为组织中运行Windows Server 2003 SP1的计算机创建和维护安全环境。确保以下3类环境安全的各个阶段，以及根据客户端依赖性如何处理定义的服务器设置。 旧客户端（LC）环境 企业客户端（EC）环境 专用安全限制功能（SSLF）环境,10.2 基于SCW的强化机制,Windows Server 2003 SP1和R2版本提供了安全配置向导（SCW），它是一种可用于使服务器更安全的基于角色的新工具。与组策略对象（GPO）结合使用时，SCW能使强化过程获得更大的控制、更高的灵活性和更强的一致性。 10.2.1 SCW概述 SCW只能安装在运行带SP1或R2的Windows Server 2003家族成员的计算机上。此外，要配置的服务器也必须运行带SP1的Windows Server 2003家族成员。 1SCW的组成 SCW由下列部分组成：基于角色的服务配置、网络安全、注册表设置、审核策略和Internet信息服务（IIS）。 2SCW策略,SCW策略是可以包含服务、Windows防火墙、Internet协议安全（IPSec）、注册表值、审核策略、IIS的设置，以及从现有安全模板导入的其他设置的XML文件。 3安全配置向导命令行工具 安全配置向导（SCW）包括Scwcmd.exe命令行工具。可以使用Scwcmd完成下列任务。 使用由SCW生成的策略配置一台或多台服务器。 使用由SCW生成的策略分析一台或多台服务器。 查看HTML格式的分析结果。 回滚SCW策略。 将由SCW生成的策略转换为受组策略支持的本机文件。 使用SCW注册安全配置数据库扩展。 4回滚安全策略 在应用了安全策略后，可以使用安全配置向导（SCW）将其回滚，也就是通常意义上的还原。理论上，可以进行多次回滚，但是为避免管理开销，应避免不必要的策略回滚。 以上具体内容参见书中介绍。,10.2.2 SCW的主要功能,SCW是一个功能全面的工具，有助于实现下列任务。 确定哪些服务必须激活，哪些服务在必要时应运行，以及哪些服务可被禁用。 结合Windows防火墙管理网络端口筛选。 控制哪些IIS Web扩展可用于Web服务器。 避免协议暴露于基于服务器消息块（SMB）的协议、NetBIOS、通用Internet文件系统（CIFS）以及轻型目录访问协议（LDAP）。 创建可以捕获感兴趣事件的有用审核策略。 10.2.3 使用SCW SCW虽然是向导模式，但它与一般的向导在配置难度上存在较大区别。SCW的配置需要比较专业的水平，特别是在网络安全管理中。一定要从全局角度考虑，否则所取得的效果不会令人如意。 具体配置方法参见书中介绍。,10.2.4 SCW策略部署方法,有3种不同的选项可用于部署策略。 使用SCW向导应用策略。 使用Scwcmd命令行工具应用策略。 将SCW策略转换为组策略对象，然后将其链接到域或OU。 具体内容参见书中介绍。,10.3 基于Active Directory组策略强化机制,10.3.1 Active Directory边界 Active Directory中有几种不同的边界类型。这些边界定义了林、域、站点拓扑结构以及权限委派，当安装Active Directory时，它们会自动建立。但是，必须确保在权限边界中加入组织要求和策略。 1安全边界 安全边界可帮助定义组织内部不同组的自主或隔离。林是用户的网络环境的真正安全边界。域是Active Directory的管理边界，而不是安全边界。 在域中，组织单位（OU）提供了另一级别的管理边界。OU提供了一种灵活方法对相关资源进行分组，并将管理访问权限委派给合适的人员，但不向他们提供管理整个域的能力。但类似域，OU并非真正的安全边界。 2管理边界 除了为用户的组织执行特有服务的管理员之外，还建议考虑以下类型的管理员：服务管理员、数据管理员。 具体内容参见书中介绍。,10.3.2 Active Directory和组策略,1委派管理和应用组策略 OU是域目录结构之中的容器。虽然这些容器通常用于容纳一种特定类型的对象，但它们可以容纳域中的任意安全主体。若要给组或个别用户授予OU访问权限，可以在该OU上设置特定的访问控制列表（ACL），然后该OU中的所有对象就可以继承这些权限；若要撤销其OU访问权限，取消该列表即可。 可以使用OU来提供基于角色的管理功能。委派特定OU的控制权限的管理员可能是服务管理员。在级别较低的授权中，控制OU的用户通常是数据管理员。 2管理组 管理员可以创建管理组将用户、安全组或服务器群集进行分段并加入至自主管理的容器中。,在默认情况下，域控制器被置入内置域控制器OU中，因此基础结构服务器角色不包括DNS服务。 3组策略应用 组策略的应用顺序是：先在计算机的本地策略级别应用策略；然后依次在站点级和域级应用任何GPO；如果服务器嵌套于多个OU中，则OU级别最高的GPO将先应用；GPO应用处理将沿着OU层次结构继续向下进行；最后应用的GPO处于包含服务器对象的子OU级别。处理组策略的优先级顺序从最高的OU延伸至最低的OU。 4时间配置 许多安全服务（特别是身份验证）都依赖准确的计算机时钟来执行其作业。应该确保计算机时间是准确的，而且组织中的所有服务器都使用相同的时间源。Windows Server 2003 W32Time服务为基于Windows Server 2003和Windows XP并在Active Directory域中运行的计算机提供时间同步。 5安全模板管理 安全模板是可用于将安全配置应用至计算机的文本文件。可使用MMC安全模板管理单元，或使用诸如记事本之类的文本编辑器来修改安全模板。模板文件的某些部分包含特定的、使用安全描述符定义语言（SDDL）编写的ACL。,6. 成功的GPO应用事件 在默认情况下，工作站或服务器上的安全设置每90分钟刷新一次，域控制器每5分钟刷新一次。如果在这些时间间隔期间发生了任何更改，将看到此类型的时间。此外，设置还可以每16小时刷新一次，而不管是否作出任何更改。 7成员服务器基准策略 建立服务器角色OU的第一步是创建基准策略。要创建这样的策略，可以在标准成员服务器上使用 SCW 来创建Member Servers Baseline.xml文件。作为XML创建的一部分，使用SCW包括其中一个提供的成员服务器基准安全模板（LC-Member Server Baseline.inf、EC-Member Server Baseline.inf 或 SSLF-Member Server Baseline.inf）。生成SCW策略之后，将它转换为GPO并与成员服务器OU相链接。 8服务器角色类型和组织单位 除了基准OU之外，每个识别的服务器角色还要求附加的SCW策略、安全模板和OU。此方法允许针对每个角色所需要的增量型更改创建单独策略。 以上具体内容参见书中介绍。,10.3.3 OU、GPO和组混合设计示例,用于创建、测试和部署策略的过程如下 （1）创建Active Directory环境，包括组和OU。 （2）在宿主PDC模拟器FSMO（单一操作主机）的域控制器上配置时间同步。 （3）配置域策略。 （4）使用SCW创建基准策略。 （5）使用SCW测试基准策略。 （6）将基准策略转换为GPO，并将其链接到适当的GPO。 （7）使用SCW和附带的安全模板创建角色策略。 （8）使用SCW测试角色策略。 （9）将角色策略转换为GPO并将其链接到适当的GPO。 以上各步的具体配置方法参见书中介绍。,10.4 域策略,本节将重点介绍以下主题： 域级别的安全设置和对策。 如何保护旧客户端（LC）、企业客户端（EC）和专用安全限制功能（SSLF）环境的Windows Server 2003域。 10.4.1 域策略概念 通过组策略，可以同时应用以下类型的安全更改： 修改文件系统的权限。 修改注册表对象的权限。 更改注册表中的设置。 更改用户权限分配。 配置系统服务。 配置审核和事件日志。 设置账户和密码策略。,10.4.2 账户策略,账户策略（包括密码策略、账户锁定策略和Kerberos策略安全设置，如下图所示。密码策略提供了一种方法来设置高安全环境的复杂性和更改计划。账户锁定策略允许跟踪失败的密码登录尝试以便在必要时启动账户锁定。Kerberos策略用于域用户账户，并确定与Kerberos身份验证协议相关的设置。,各项账户策略选项及相应的具体配置方法参见书中介绍。,10.4.3 安全选项,有3种（包括：Microsoft网络服务器 、网络访问 和网络安全）类似于账户策略的安全选项设置，其所包括的策略选项如图10-47所示。应该在整个域的级别而不是在个别OU中应用这些设置。各安全选项策略作用及配置方法参见书中介绍。,10.5 成员服务器基准策略,在企业客户端MSBP（成员服务器基准策略）中显示的以下许多设置，还适用于本章前面定义的3种环境中的这些服务器角色。 10.5.1 Windows Server 2003成员服务器基准审核策略 管理员应该创建审核策略以定义要报告哪些安全事件，并记录指定事件类别中的用户或计算机活动。管理员可以监视与安全相关的活动，例如谁访问了对象、用户是否登录计算机或从计算机注销，或者是否对审核策略设置进行更改。实施审核策略之前，必须确定环境所要审核的事件类别。如果不存在审核策略，要确定安全事件中所发生的活动就很难或不可能。但是，如果审核设置的配置导致许多授权活动都生成事件，则安全日志将被无用的数据填满。 各审核策略选项作用及配置方法参见书中介绍。,10.5.3 成员服务器基准安全选项策略,组策略的“安全选项”部分中的策略设置用于启用或禁用如软盘驱动器访问、光驱访问和登录提示等功能。这些策略设置也用于配置各种其他设置，例如数据的数字签名、管理员和来宾账户名称以及驱动程序安装如何工作。,在成员服务器中的安全选项策略配置方法参见书中介绍。,10.5.4 成员服务器中的其他组策略项策略设置,本节介绍的是“受限制的组”和“保护文件系统”两个策略项在成员服务器中的配置。 具体配置方法参见书中介绍。 10.5.5 手动强化过程示例 本节介绍如何针对定义的各个安全环境手动实施附加对策。具体措施如下： 在用户权限分配中手动添加唯一的安全组 将安全组添加到用户权限分配 保护众所周知的账户 保护服务账户 NTFS权限配置 具体配置方法参见书中介绍。,10.5.6 基于SCW创建成员服务器基准策略,要部署必要的安全设置，需要先创建成员服务器基准策略（MSBP）。为此，必须使用安全配置向导工具（SCW）和可下载版本附带的安全模板。 创建自己的策略时，确保跳过“注册表设置”和“审核策略”部分。这些设置是安全模板针对所选环境提供的。此方法是确保模板提供的策略元素优先于SCW配置的元素所必需的。创建基于SCW成员服务器蕨策略的基本步骤包括： 创建成员服务器基准策略 使用SCW测试策略 转换和部署策略 具体配置方法参见书中介绍。,10.6 域控制器基准策略,在任何包含运行Windows Server 2003 SP1或R2版本系统和Active Directory目录服务的计算机的环境中，解决域控制器服务器角色的安全问题是最重要的方面之一。如果此类环境中的域控制器丢失或遭到破坏，就会严重影响依赖域控制器进行身份验证的客户端计算机、服务器和应用程序，组策略以及中央轻型目录访问协议（LDAP）目录。 10.6.1 域控制器的基准策略设置 与其他服务器角色策略不同，域控制器服务器角色的组策略是一种类似于“成员服务器基准策略”中定义的成员服务器基准策略（MSBP）的基准策略。域控制器基准策略（DCBP）链接到域控制器组织单位（OU），并优先于默认的域控制器策略。DCBP包括的策略设置将加强任何环境中所有域控制器的整体安全性。DCBP的大部分内容是从MSBP中复制的。本内容介绍了与MSBP中的那些设置不同的DCBP设置。 具体配置方法参见书中介绍。,10.6.2 域控制器安全选项策略设置,域控制器的大多数安全选项设置与MSBP中指定的设置相同。本节描述了MSBP与DCBP策略设置之间的差异。其中包括：域控制器设置、网络安全设置和受限制的组设置。具体参见书中介绍。 10.6.3 域控制器的其他安全设置 本节介绍了必须对DCBP进行的手动修改，以及无法通过组策略实施的其他设置和对策。具体包括