服务和服务帐户安全规划指南
第 3 章 - 如何更安全地运行服务
通过使用本指南前几章中讨论的方法和原则,本章介绍了规划更安全地运行服务时必须执行的任务。 要确保服务安全,您应该执行以下任务:
本页内容
审核所有服务器以确定基本服务属性必须确定组织内存在的服务器的确切数目。尽管这项任务听起来很简单,但是大型组织可能会发现确定其拥有的每个服务器以及确定每台计算机上的服务需要的管理级别是极其复杂的。例如,在外围网络中运行的计算机需要非常高的服务管理级别,以减少这些计算机的受攻击面。 您应该审核每个服务器以列出所有运行的服务,并记录每个服务用于身份验证的登录凭据。可以使用以下工具来帮助完成此任务:
通过创建服务器及其服务的主列表,可以帮助确定并消除与服务有关的安全风险。 您可以使用审核来创建使用以下帐户的所有服务的清单:
确定实际需要运行的服务首次安装 Windows Server 2003 时,操作系统将创建几个默认服务,并将它们配置为在计算机启动时运行。威胁和对策指南中包含一个 Microsoft Excel 工作簿“Windows 默认安全和服务配置”,它介绍了所有系统服务的默认启动类型设置。 这些默认服务可以提供应用程序或客户机兼容性,或者便于进行系统管理。但是,您的组织环境中可能并不需要所有这些服务,您应该仔细评估所需的服务。 定义所需的服务和应该禁用的服务是一个很复杂的过程。有些服务显然应该关闭,而其他服务是否关闭却很难判断。您应该使用以下基本策略:
计算机上需要运行的服务在很大程度上取决于该计算机的角色。例如,只应在 Web 服务器或需要 Internet 信息服务 (IIS) 的计算机(如应用程序服务器)上安装 IIS。如果服务器未托管远程访问服务或 Telnet 会话,则应该禁用或删除这些服务。在某些情况下,软件(如系统管理工具)将其自己的服务添加到您的计算机上运行的服务中。了解这些服务、它们用来登录的帐户以及它们所需的访问级别至关重要。 Microsoft 已发布了很多有关如何基于计算机角色将其锁定的指南。这些指南介绍了特定角色(如域控制器、Web 服务器、Windows XP 客户机等)所需的服务,可以在以下位置找到这些指南:
在测试或生产前的准备环境中,如果要确定是否需要某个服务,可以先将其关闭,然后监视计算机一段时间,看其能否正常工作。不过,您应该知道,“服务”控制台不允许停止某些核心服务,甚至不允许修改其启动类型,如 Remote Procedure Call (RPC) 服务和 Plug and Play 服务。还有一些“服务”控制台不允许停止但允许更改启动类型的服务,如 Event Log 服务和 Security Accounts Manager 服务。 如果您不确定特定服务的功能,请使用以下一种或多种方法来获取详细信息:
在分析需要运行的服务时,带有 Service Pack 1 (SP1) 的 Windows Server 2003 中提供的安全配置向导可能非常有用。 使用安全配置向导来减少受攻击面可以使用安全配置向导 (SCW) 基于功能要求快速且方便地配置运行 Microsoft Windows 的服务器(如 Web 服务器、域控制器或其他计算机),同时制订安全策略以最大程度地减少攻击漏洞。要安装 SCW,请打开“控制面板”,双击“添加或删除程序”,单击“添加/删除 Windows 组件”,在“Windows 组件”页面的“组件”下,选中“安全配置向导”复选框,然后单击“下一步”,向导完成时,请单击“完成”。该过程将安全配置向导快捷方式添加到“管理工具”文件夹中。 安全配置向导可以帮助您发现组织服务器当前运行的服务及其对其他服务的依赖性。在部署新的服务器并试图确定所需的服务时,该向导可能是一个非常有用的任务指导。可以使用组策略来部署 SCW 生成的策略,您可以通过组策略将特定服务器角色同时部署到组织单位 (OU) 或组织单位层次结构中的几个类似的计算机上。 “服务器角色”一词用于定义计算机在组织中执行的主要功能。服务器角色示例包括:文件服务器、域控制器和 Web 服务器角色。由于每个角色所需的服务、入站端口和设置各不相同,因此创建的 SCW 策略应该与您希望每个计算机所担当的角色相匹配。 可以使用 SCW 来帮助减少运行带有 SP1 的 Windows Server 2003 的计算机的受攻击面。该向导指导您完成基于特定服务器所担当的角色来创建安全策略的过程。创建策略后,可以将其应用于一个或多个配置类似的服务器。 SCW 包括以下部分:
就本指南而言,只有向导中的“基于角色的服务配置”部分与本文密切相关。可以使用向导的该部分,基于选定服务器的角色和其他功能来配置服务。 应该将选定服务器上安装的角色作为所创建的安全策略的基础。可以将选定服务器作为要应用策略的服务器,也可以通过选定服务器来创建策略,然后将策略应用于具有类似角色的一组服务器。 安全配置向导的工作方式SCW 通过向用户询问一系列旨在确定服务器功能要求的问题,来减少运行 Windows 的服务器的受攻击面。然后,它禁用服务器所担当的角色不需要的功能。除了作为基本的安全最佳做法外,受攻击面减少还会增加 Windows 环境的多样性,并且减少了出现漏洞时必须立即更新的计算机数。 SCW 回答了有关 Windows Server 2003 的最常见问题:您可以关闭哪些服务? 迄今为止,这个问题仍然很难回答,因为安装的技术有数千种可能的组合,每一种组合都带有一个依存关系层次结构,这些依存关系可能存在于任何基于 Windows 的计算机上。在添加其他服务器(如 Microsoft Exchange Server 或 SQL Server™)时,依存关系也会再次发生变化。SCW 解决了这个问题,并为管理员提供了一种方法,将服务器配置为只运行为服务器分配的角色所需的那些服务。通过访问一个包含有关 Windows Server 2003 及其上面运行的 Microsoft 产品所需数据的可扩展标记语言 (XML) 数据库,SCW 实现了该功能。 安全配置向导的优点使用 SCW 来选择功能角色时,可以自动完成以下操作:
安全配置向导的局限性尽管 SCW 没有锁定 LM 身份验证级别和服务器消息块 (SMB) 签名等安全设置,但是本节前面列出的 Windows Server 2003 和 Windows XP 安全指南还是讨论并提供了这些设置的建议。 确定并消除服务的所有域管理员帐户通过使用来自服务器审核的信息,可以确定并消除用于服务的所有可能的域管理员帐户。通过尽可能多地消除使用域管理员帐户的服务实例,就会朝着保证服务安全方向迈出重要的第一步。只要有可能,就应该使用“本地服务”、“网络服务”或“本地系统”帐户重新部署服务(如本章下一节中所述)。 组织应该尝试消除包括以下帐户的服务部署:
使用最小权限层次结构来部署服务应该使用具有运行服务所需的最小权限的帐户。对于使用具有较高权限的帐户部署的服务,您应该使用具有较少权限的帐户重新进行部署。 最小权限层次结构应按以下顺序使用帐户:
下图中的流程图显示了确定用来安全地运行服务的帐户类型时要考虑的事项。 为域管理员特例创建高安全性服务器组如果您确定运行服务时必须进行域管理员级别的身份验证,则只应在高安全性服务器上托管该服务。高安全性服务器通常包括:
创建高安全性服务器组涉及到以下主要步骤:
要成功管理 High Security Servers 通用组的成员,请制订一个内部工作流程来请求为该组添加成员。如果将请求的服务器添加到组中,该流程应该包括验证请求和评估相关安全风险的步骤。工作流程可能就像将电子邮件发送到请求别名一样简单,但理想情况下,它应该是一个自动完成的过程。Solution Accelerator for Business Desktop Deployment Enterprise Edition 包含一个 Zero Touch Provisioning (ZTP) 组件,它提供了一个自动过程来完成此过程。 有关详细信息,请参见以下指南:
管理服务帐户密码更改为服务分配帐户时,服务控制管理器 (SCM) 要求在分配前输入该帐户的正确密码。如果提供的密码不正确,SCM 将拒绝该帐户。 如果将服务帐户配置为使用“本地系统”、“本地服务”或“网络服务”帐户,则无需管理服务帐户的密码,因为操作系统将对其进行管理。因此,这些服务帐户不需要进行密码管理。 对于其他服务帐户,SCM 将帐户密码存储在服务数据库中。在分配密码后,SCM 不会验证服务数据库中存储的密码和在 Active Directory® 目录服务中为用户帐户分配的密码是否继续匹配。因此,可能会出现类似于以下的情况:
如果以标准域或本地用户帐户运行服务,每次用户帐户密码更改时,必须更新这些服务密码。如果您不确定以该帐户运行的服务,或者不确定具有以该帐户运行的服务的计算机,该过程可能需要很长时间。您应该准确无误地记录这些类型的服务帐户及其密码的使用情况。对于大型组织来说,这可能意味着,他们需要将加密数据文件脱机,然后将其存储到安全的电子仓库中;但对于小型组织来说,将文档存放在加锁的抽屉或保险柜中可能会更合适。 要点:如果使用“Active Directory 用户和计算机”或“本地用户和组”控制台来更改应用程序(如 Exchange Server 或 SQL Server)的服务帐户密码,则还必须在应用程序界面中更改该密码。 注意:有关如何编写自动完成更新服务帐户密码任务的工具的详细信息,请参见更改服务的用户帐户密码,网址为:http://msdn.microsoft.com/library/default.asp?url=/library/ 强制使用强密码您应该要求组织的网络管理员强制使用强密码。他们应该使用组策略中的密码策略,提示用户在预定时间后更改他们的密码。强密码最少应该包括 10 个字符(最好是 15 个或更多),并且应该包括大写和小写字母、数字和符号的组合。在 Windows 2000 Server 和 Windows Server 2003 中,您可以使用组策略来强制使用强密码。有关详细信息,请参见帐户密码和策略(网址为:www.microsoft.com/technet/prodtechnol/windowsserver2003/ 自动完成弱管理员密码的测试您应该要求组织的网络管理员定期使用自动测试工具,检测使用其本地管理员帐户的弱密码部署的服务器。测试应该尝试猜测每台基于 Windows 的计算机上存在的内置本地管理员帐户的密码。 弱密码代表了网络上最常见的漏洞之一,也是入侵者获取计算机的管理员访问权限并破坏任何存储的服务帐户凭据的最简便的方法之一。 使用 Microsoft 基准安全分析器可以使用 Microsoft 基准安全分析器 (MBSA) 工具扫描网络上的每台计算机并查找弱密码。有关 MBSA 的详细信息以及要下载工具,请参见 Microsoft 基准安全分析器 1.2.1 版站点,网址为:www.microsoft.com/china/technet/security/tools/mbsahome.mspx。 MBSA 工具枚举所有用户帐户并检查是否有下列密码漏洞:
MBSA 检查还会通知您任何禁用的帐户或当前锁定的帐户。 MBSA 将使用每个列出的密码来尝试更改目标计算机上的密码。如果此操作成功,MBSA 将指明该帐户使用了那个密码。尽管 MBSA 不会重置或永久更改密码,但是如果密码太简单并产生了安全风险,它一定会报告这一情况。 您应该注意,尽管 MBSA 可以帮助查找正在使用的一些常见的不安全密码,但是它不能提供功能完备的密码审核和恢复功能,而某些第三方脱机扫描工具和市场上销售的某些应用程序则可以。 注意:MBSA 将重置在计算机上检测到的所有帐户锁定策略,这样,在此密码检查期间就不会锁定任何单个用户帐户。MBSA 不会在配置为域控制器的计算机上执行这些密码检查。
|
本文内容
|
