强化 Windows Server 2003 打印服务器

本页内容

	本模块内容
	目标
	适用范围
	如何使用本模块
	概述
	审核策略设置
	用户权限分配
	安全选项
	事件日志设置
	系统服务
	其他安全设置
	小结

本模块内容

此模块专门针对基于 Microsoft® Windows Server™ 2003 操作系统的打印服务器解释了安全模板配置。本模块假设成员服务器基准已经应用于服务器。除安全模板定义的安全配置设置之外，本模块还考虑了其他一些安全配置设置。这些附加设置是创建得到完全强化的打印服务器所必需的。

返回页首

目标

使用本模块可以：

返回页首

适用范围

本模块适用于下列产品和技术：

返回页首

如何使用本模块

使用本模块来理解应用于基于 Windows Server 2003 的打印服务器的安全设置。本模块协同使用了面向特定角色的安全模板以及基准安全模板。这些安全模板出自“Windows Server 2003 Security Guide”，其网址为：http://go.microsoft.com/fwlink/?LinkId=14846（英文）。

为了更好地理解本模块的内容，请：

返回页首

概述

本模块主要讨论了进一步加强打印服务器所面临的挑战，因为此类服务器提供的多数基本服务都有 Microsoft® Windows® 网络基本输入/输出系统 (NetBIOS) 相关协议的要求。服务器消息块 (SMB) 协议和通用 Internet 文件系统 (CIFS) 协议可以为未经验证的用户提供丰富信息，因此常常建议禁用打印服务器在高安全级 Windows 环境中使用这些协议。然而禁用这些协议可能导致管理员和用户在您的环境中难于访问这些服务器。

本模块的下列部分对一些区域进行了详细说明，而打印服务器在这些区域中可以受益于成员服务器基准策略 (MSBP) 没有应用的安全设置。有关 MSBP 的详细信息，请参阅模块创建 Windows Server 2003 服务器的成员服务器基准。

返回页首

审核策略设置

在本指南定义的三种环境中，打印服务器的审核策略设置是通过 MSBP 完成配置的。有关 MSBP 的详细信息，请参阅模块创建 Windows Server 2003 服务器的成员服务器基准。MSBP 设置可确保所有相关安全审核信息记录在全部打印服务器上。

返回页首

用户权限分配

在本指南定义的三种环境中，打印服务器的用户权限分配是通过 MSBP 完成配置的。有关 MSBP 的详细信息，请参阅模块创建 Windows Server 2003 服务器的成员服务器基准。MSBP 设置可确保所有相应用户权限分配在整个打印服务器范围内进行了统一配置。

返回页首

安全选项

在本指南定义的三种环境中，打印服务器的多数安全选项设置是通过 MSBP 完成配置的。有关 MSBP 的详细信息，请参阅模块创建 Windows Server 2003 服务器的成员服务器基准。MSBP 与增量式 IIS 组策略 (Incremental IIS Group Policy) 之间的区别在下面部分进行了说明。

Microsoft 网络服务器:数字签名的通信（总是）

表 1：设置

“Microsoft 网络服务器：数字签名的通信(总是)”设置可确定 SMB 服务器组件是否要求数据包签名。SMB 协议提供了 Microsoft 文件与打印共享以及其他网络操作（例如远程 Windows 管理）的基础。为防止可修改传输过程中的 SMB 数据包的 Man-in-the-Middle 攻击，SMB 协议支持 SMB 数据包数字签名。此设置可确定在允许与 SMB 客户端继续通信之前是否必须协商 SMB 数据包签名。

尽管默认情况下此设置未被禁用，但 MSBP 可以为本指南定义的高安全级环境中的服务器启用此设置。打印服务器上没有禁用此设置将允许用户打印，但不允许查看打印队列。试图查看打印队列的用户将接收到访问拒绝消息。因此，对于本指南定义的所有三种环境中的打印服务器，“Microsoft 网络服务器：数字签名的通信(总是)”设置都配置为“已禁用”。

返回页首

事件日志设置

在本指南定义的三种环境中，打印服务器的事件日志设置是通过 MSBP 完成配置的。有关 MSBP 的详细信息，请参阅模块创建 Windows Server 2003 服务器的成员服务器基准。

返回页首

系统服务

任何服务或应用程序都是潜在攻击点，所以应该禁用或删除任何不需要的服务或可执行文件。在 MSBP 中，这些可选服务以及任何其他不必要的服务都已禁用。下面部分详细说明了在打印服务器上必须启用的服务。

Print Spooler

表 2：设置

Print Spooler 服务可管理所有本地和网络打印队列，以及控制所有打印作业。Print Spooler 服务是 Windows 打印子系统的中心，与打印机驱动程序和输入/输出 (I/O) 组件进行通信。

打印服务器依赖于 Print Spooler 服务的正确操作。此服务必须配置为运行，这样打印服务器才可处理客户端打印作业。使用组策略来保护和设置 Print Spooler 服务的启动模式将仅向服务器管理员授予访问权限，并能防止未经授权或恶意用户配置或操作服务。组策略还将防止管理员无意禁用服务。因此，在本指南定义的三种安全环境中，Print Spooler 设置配置为“自动”。

返回页首

其他安全设置

通过 MSBP 应用的安全设置提供了大量打印服务器增强型安全特性。但还需考虑一些传统考虑因素。这些步骤不能通过组策略完成，而应在所有打印服务器上手工执行。

保护高知名度帐户的安全

Windows Server 2003 拥有一些不能删除但可以重命名的内置用户帐户。Windows 2003 中两个最有名的内置帐户是来宾帐户和管理员帐户。

默认情况下，来宾帐户在成员服务器和域控制器上是被禁用的。此设置不应更改。内置管理员帐户应进行重命名，而说明应进行更改以帮助防止攻击者通过使用高知名度的帐户危及远程服务器的安全。

在其危及服务器的初次尝试中，许多恶意代码变种使用了内置管理员帐户。随着过去几年内攻击工具（此类工具企图通过指定内置管理员帐户的安全标识符 (SID) 确定其真实名称来攻入服务器）的发布，这一配置更改的价值也随之降低。SID 是对网络中每个用户、组、计算机帐户和登录会话的唯一标识值。此内置帐户的 SID 无法更改。将本地管理员帐户重命名为唯一名称可以方便您的操作组监视针对此帐户的攻击企图。

注意：内置管理员帐户可以通过组策略完成重命名。在本指南附带的所有安全模板中，此设置没有进行配置，因为您应该根据自己的环境选择唯一名称。“帐户：重命名管理员帐户”设置可以进行配置，从而在本指南定义的三种环境中重命名管理员帐户。此设置是组策略中安全选项设置的一部分。

保护服务帐户的安全

除非绝对必要，不要将服务配置为运行于域帐户的安全上下文。如果某服务器已遭受物理威胁，通过转储本地安全机构 (LSA) 机密则可轻松获得域帐户密码。

使用 IPSec 筛选器阻塞端口

Internet 协议安全 (IPSec) 筛选器可以提供服务器所要求的安全级别的提高方法。本指南针对本指南中定义的高安全级环境推荐了这一可选指南，以便进一步减少服务器的攻击面。

有关 IPSec 筛选器用法的详细信息，请参阅模块其他成员服务器强化过程。

下表列出了可以在本指南定义的高安全级环境中的打印服务器上创建的所有 IPSec 筛选器。

表 3：打印服务器 IPSec 网络数据流量图

实施上表列出的每个规则时都应对其进行镜像。这样即可确保任何传入服务器的网络流量也将被允许返回其起始服务器。

上表介绍了服务器要执行其面向特定角色的功能所应该打开的基本端口。如果服务器拥有静态 IP 地址，这些端口即已足够。如果需要执行其他功能，则可能需要打开更多的端口。例如，在充当 LPR 打印机宿主的打印服务器上，可能需要打开端口 515。打开其他端口将会降低您的环境中打印服务器的管理难度，但这可能大大降低这些服务器的安全性。

由于在域成员与域控制器之间的巨大交互量，尤其是 RPC 和身份验证数据流量，打印服务器与全部域控制器之间的所有通信都获得了允许。数据流量可进行进一步限制，但在多数环境中，如果希望筛选器有效保护服务器则需创建许多附加筛选器。这样即会大大增加 IPSec 策略的实施难度和管理难度。对于将与某个打印服务器进行交互的每个域控制器，都应创建类似规则。为提高打印服务器的可靠性和可用性，常常需要为环境中的所有域控制器添加规则。

如上所述，如果在环境中实施了 Microsoft 操作管理器 (MOM)，则必须允许实施了 IPSec 筛选器的服务器与 MOM 服务器之间的所有网络数据流量。因为 MOM 服务器与 OnePoint 客户端（向 MOM 控制台提供报告的客户端应用程序）之间的大量交互，此点要求是必要的。其他管理包可能拥有类似要求。如果希望获得更高级别的安全性，OnePoint 客户端筛选操作可配置为就 IPSec 与 MOM 服务器进行协商。

此 IPSec 策略将有效阻塞通过任意一个高端口的数据流量，因此不允许远程过程调用 (RPC) 流量。这样即会增加服务器的管理难度。由于已经有效关闭了如此众多的端口，终端服务业已启用。这将允许管理员执行远程管理。

上面的网络数据流量图假设环境中包含启用了 Microsoft Active Directory® 目录服务的 DNS 服务器。如果使用独立式 DNS 服务器，可能还需要建立更多规则。

实施 IPSec 策略对服务器的性能应该不会有明显影响。但在实施这些筛选器之前应该进行测试，以验证服务器保留了必要的功能和性能。可能还需要添加附加规则以支持其它应用程序。

本指南提供了一个 .cmd 文件，该文件简化了根据指南为打印服务器创建 IPSec 筛选器的过程。PacketFilters-Print.cmd 文件使用 NETSH 命令来创建相应筛选器。必须修改此 .cmd 文件，从而在环境中包括域控制器的 IP 地址。脚本中包含了将要添加的两个域控制器的占位符。如果需要，还可添加其他域控制器。域控制器的这一 IP 地址列表必须是最新的。

如果环境中存在 MOM，则还须在脚本中指定相应 MOM 服务器的 IP 地址。该脚本不会创建永久性筛选器。因此，在 IPSec 策略代理启动之前，服务器不会得到保护。有关创建永久性筛选器或创建更为高级的 IPSec 筛选器脚本的详细信息，请参阅模块其他成员服务器强化过程。最后，该脚本将配置为不分配自己创建的 IPSec 策略。IP 安全策略管理单元可用于检查所创建的 IPSec 筛选器，以及分配 IPSec 策略以便使其生效。

返回页首

小结

本模块解释了在此指南定义的三种客户端环境中用以保护打印服务器的服务器加强设置。这里讨论的多数设置是通过使用组策略进行配置和应用的。用以服务于 MSBP 的组策略对象 (GPO) 与包含打印服务器的相应部门 (OU) 连接，以便根据这些服务器提供的服务提供其他安全性。

本模块讨论的部分设置不能通过使用组策略得以应用。对于这些情况，本模块提供了有关手动配置这些设置的详细信息。此外，还提供了有关创建和应用能够控制网络流量（可与打印服务器进行通信）类型的 IPSec 筛选器的详细信息。

其他信息

以下是本产品发布之时的最新可用信息源，这些信息源均围绕在计算机运行 Windows Server 2003 的环境中的打印服务器的密切相关主题。

有关打印服务器的根据，请参阅“Technical Overview of Windows Server 2003 Print Services”，其网址为： http://www.microsoft.com/windowsserver2003/techinfo/overview/print.mspx（英文）。

有关打印服务器的详细信息，请参阅“What's New in File and Print Services”，其网址为： http://www.microsoft.com/windowsserver2003/evaluation/overview/technologies/fileandprint.mspx（英文）。

有关 IPSec 筛选的详细信息，请参阅“How To:Use IPSec IP Filter Lists in Windows 2000”，其网址为： http://support.microsoft.com/default.aspx?scid=313190（英文）。

返回页首