Windows 2003安全指南之强化堡垒主机

出处：ChinaITLab收集整理作者：ChinaITLab收集整理时间：2005-12-7 23:53:00

　概述
　　
　　本章集中讨论了在企业环境中强化堡垒主机的问题。堡垒主机是一台既安全但是又允许公众访问的计算机。堡垒主机位于周边网络（也就是大家熟知的DMZ、非军事化区域或者受屏蔽子网）面向公众的一侧。堡垒主机不受防火墙或过滤路由器的保护，因此它被完全暴露在攻击中。因此，我们必须花大力气来设计和配置堡垒主机，将其可能遭受攻击的机会减至最少。
　　
　　堡垒主机通常被用作Web服务器、域名系统（DNS）服务器、文件传输协议（FTP）服务器、简单邮件传输协议（SMTP）服务器及网络新闻传输协议（NNTP）服务器等。理想情况下，堡垒主机应该只执行这些服务中的某一个功能，因为它扮演的角色越多，出现安全漏洞的可能性就越大。而在一台堡垒主机上只对一个服务的安全进行维护则较为容易一些。能够在多项堡垒主机业务上投入资金的企业必将从此类网络体系中获益匪浅。
　　
　　安全的堡垒主机的配置与一般主机有很大区别。所有不必要的服务、协议、程序和网络接口都应该被禁用或删除，而且，每个堡垒主机通常被配置成只承担一个角色。按照此方式经过加强的堡垒主机可以免遭某些类型攻击的威胁。
　　
　　本章下面部分将详细叙述可以在不同环境中最有效保护堡垒主机的各种安全加固设置
　　
　　堡垒主机本地策略
　　
　　与本指南前面所述的应用组策略的其它服务器不同，组策略不能应用到堡垒主机服务器，这是因为它们被配置为独立主机，不属于Microsoft? Active Directory? 域。由于它们高度暴露给外界，所以在本指南所定义的三个环境中，只为堡垒主机服务器提供了一些基本的指导。下面所描述的安全设置建立在第3章“创建成员服务器基线”为高安全性环境提供的成员服务器基线策略（MSBP）基础之上。这些设置包含在一个安全模板中，此模板必须应用到每个堡垒主机的“堡垒主机本地策略（BHLP）”。
　　
　　应用堡垒主机本地策略
　　
　　本指南提供的High Security – Bastion Host.inf文件可以用来配置BHLP。它能够启用一台SMTP堡垒主机正常工作所需的服务。应用High Security – Bastion Host.inf可以增强服务器的安全性，因为它减少了堡垒主机的攻击表面，但是您将无法对堡垒主机进行远程管理。您必须对BHLP进行一些修改才能实现更多的功能或增加堡垒主机的可管理性。
　　
　　为了应用安全模板中的所有安全设置，必须使用“安全配置和分析”管理单元，而不是“本地计算机策略”管理单元。使用“本地计算机策略”管理单元导入安全模板是不可能的，这是因为用于系统服务的安全设置无法在此管理单元中应用。
　　
　　下面的步骤描述了使用“安全配置和分析”管理单元来导入并应用BHLP安全模板的过程。
　　
　　警告：Microsoft强烈推荐在应用High Security – Bastion Host.inf前，对堡垒主机服务器进行一次完全备份。以便在应用High Security – Bastion Host.inf安全模板后如果出现了问题，可将堡垒主机恢复到其初始配置。请确信您已经对安全模板进行了配置，以启用您所在环境需要的堡垒主机功能。
　　
　　导入安全模板：
　　
　　1. 运行“安全配置和分析”管理单元。
　　
　　2. 右健单击“安全配置和分析”的范围项目。
　　
　　3. 单击“打开数据库”。
　　
　　4. 输入一个新的数据库名，然后单击“打开”。
　　
　　5. 选择“High Security – Bastion Host.inf”安全模板，然后单击“打开”。
　　
　　这样，所有堡垒主机的设置就将被导入，然后您可以审查和应用这些设置。
　　
　　应用安全设置
　　
　　1. 右健单击“安全配置和分析”的范围项目。
　　
　　2. 选择“现在配置计算机”。
　　
　　3. 在“现在配置计算机”对话框中输入希望查看的日志文件名称，然后单击“确定”。
　　
　　完成这些步骤后，所有相关安全模板设置将全部应用于环境中堡垒主机的本地策略。您必须重新启动堡垒主机才能使这些设置生效。
　　
　　下面部分描述了使用BHLP实施的安全设置。在本章中只论述那些与在MSBP中不同的设置。
　　
　　审核策略设置
　　
　　用于堡垒主机的BHLP审核策略的设置与在High Security – Member Server Baseline.inf文件中所指定的设置是相同的，详情请看第三章 “创建成员服务器基线。”BHLP设置确保了所有相关的安全审核信息都被记录到所有的堡垒主机服务器上。
　　
　　用户权限分配
　　
　　用于堡垒主机的BHLP用户权限分配基于High Security – Member Server Baseline.inf文件所指定的设置。详情请看第三章“创建成员服务器基线。”下面描述了BHLP和MSBP间的差别。
　　
　　允许本地登录
　　
　　表11.1：设置
　　　

　　“允许本地登录”用户权限允许用户在计算机上启动一个交互会话。对那些能登录到堡垒主机服务器控制台的账号做出限制，将有助于阻止未经授权的用户访问服务器上的文件系统和系统服务。
　　
　　默认情况下，Account Operators、Backup Operators、Print Operators及Power Users组被授予了本地登录的权限。应该将该权限仅授予Administrators组，以便只有高度信任的用户才拥有对堡垒服务器的管理访问权限，而且能够提供更高水平的安全性。
　　
　　拒绝从网络访问该计算机
　　
　　表11.2：设置
　　　

　　注意：在安全模板中并不包括ANONOYMOUS LOGON、内置Administrator、Support_388945a0、Guest及所有非操作系统服务的账号。这些账号和组都有唯一的安全标识符（SID）。因此，必须用手工方式将它们加入到BHLP中。
　　
　　“拒绝从网络访问该计算机”用户权限规定了哪些用户不能通过网络访问一台计算机。此设置将会拒绝一些网络协议，包括：基于服务器消息块（SMB）的协议、网络基础输入/输出系统（NetBIOS）、公共Internet文件系统（CIFS）、超文本传输协议（HTTP）及COM+（Component Object Model Plus）。当一个用户账号从属于两个策略时，该设置将忽略“从网络访问此计算机”的设置。在企业环境中为其它组配置此用户权限可以限制用户的访问能力，让他们只能执行委派的管理任务。
　　
　　在第三章“创建成员服务器基线”中，本指南建议将Guests 组加入到已经分配了该权限的用户和组中，以提供最高级别的安全性。然而，用来匿名访问IIS的IUSR账号默认情况下是Guests组的成员。因此，在本指南定义的高安全性环境中，堡垒主机的“拒绝从网络访问该计算机”的设置被配置为包括ANONOYMOUS LOGON、内置Administrator、Support_388945a0、Guest及所有非操作系统服务的账号。
　　
　　安全选项
　　
　　用于堡垒主机的BHLP安全选项设置与在第三章“创建成员服务器基线”的High Security – Member Server Baseline.inf文件中所指定的设置是相同的。这些BHLP设置确保了所有相应的安全选项都可以统一配置到全部堡垒主机服务器上。
　　
　　事件日志设置
　　
　　用于堡垒主机的BHLP事件日志设置与在第三章“创建成员服务器基线”中的High Security – Member Server Baseline.inf文件中指定的设置是相同的。这些BHLP设置确保了所有相应的事件日志都可以统一配置到全部堡垒主机服务器上。
　　
　　系统服务
　　
　　堡垒主机服务器的工作性质决定了它将暴露在外界的攻击之中。因此，每台堡垒主机的攻击表面积必须要降至最小。为了提高堡垒主机服务器的安全性，所有不需要的操作系统服务，以及对堡垒主机正常运行没有必要的角色都应该禁用。本指南包括的High Security – Bastion Host.inf 安全模板可以对BHLP进行配置，以启用一台SMTP堡垒主机服务器所需要的全部功能。BHLP启动了Internet信息服务管理器服务、HTTP SSL 服务和SMTP服务。但是，如果需要启用其它功能，您必须对BHLP加以修改。
　　
　　众多被禁用的服务将会产生大量的事件日志警告，您可以忽略这些警告。有些时候，启用这些服务将会减少事件日志警告和错误消息以及增加堡垒主机的可管理性。然而，这样做也会增加每台堡垒主机的攻击表面。
　　
　　以下小节论述了在堡垒主机服务器上应该被禁用的服务，以在降低堡垒主机攻击表面的同时保持其功能。这些小节只涉及了High Security – Member Server Baseline.inf 文件中未被禁用的服务。
　　
　　自动更新
　　
　　表11.3：设置
　　　

　　“自动更新”服务可以让堡垒主机下载并安装重要的Microsoft Windows? 升级。该服务为堡垒主机自动提供最新的升级、驱动程序和增强组件。您将不再需要手工搜索这些重要的升级和信息；操作系统会将它们直接发送给堡垒主机。当您在线并使用Internet连接从Windows 升级服务中搜索可用的更新时，操作系统会做出识别。根据您所做出的设置，该服务将会在下载和安装前向您发出通知，或者为您自动安装升级文件。
　　
　　停止或禁用“自动更新”服务将会阻止重要更新自动下载到计算机上。有些时候，您可能不得不直接连到Windows Update Web站点http://www.windowsupdate.microsoft.com上，以搜索、下载和安装任何可用的重要修补程序。
　　
　　对于堡垒主机的正常操作来说，该服务不是必需的。您可以使用本地策略将服务的启动模式设置为只允许管理员访问服务器，以阻止了未经授权或怀有恶意的用户对服务进行配置和操作。此外，禁用该服务能有效地降低一台堡垒主机服务器的攻击表面。因此，请在BHLP中将“自动更新”设置被配置为“禁用”。
　　
　　后台智能传输服务
　　
　　表11.4：设置
　　　

　　“后台智能传输服务”（BITS）是一个后台的文件传输机制和队列管理程序。BITS在客户端和HTTP服务器间异步传输文件。BITS接受传递文件的请求并使用空闲的网络带宽，因此其它相关的网络活动（例如浏览等）不会受到影响。
　　
　　停止该服务将会导致诸如“自动更新”这样的特性无法自动下载程序和其它信息，直到服务再次运行为止。这意味着如果该服务没有通过组策略进行配置，那么计算机将不会从“软件更新服务”（SUS）收到自动更新。禁用该服务还导致任何明显依赖它的服务无法传输文件，除非使用了一个可以避免失败的机制通过其它方法直接传输文件，如Internet Explorer。
　　
　　对于堡垒主机的正常操作来说，该服务不是必需的。您可以使用组策略将服务的开始模式设置配置为仅仅允许服务器管理员进行访问，以阻止未经授权或怀有恶意的用户对服务进行配置和操作。此外，禁用该服务能有效降低一台堡垒主机服务器的攻击表面。因此，在BHLP中该服务被禁用。
　　
　　计算机浏览器
　　
　　表11.5：设置
　　　

　　“计算机浏览器”服务在网络上维护一个当前计算机的列表，并将列表提供给需要它的程序。“计算机浏览器” 服务由需要查看网络域和资源的 Windows 计算机所使用。被指定为浏览器的计算机对浏览列表进行维护，该列表包括了网络上使用的所有共享资源。Windows应用程序的较早版本，如“我的网络位置”、“NET VIEW”命令和Microsoft Windows NT? Explorer，都需要浏览功能。例如，在运行Windows 95的计算机上打开“我的网络位置”，就会显示一个域和计算机的列表，这个列表就是该计算机从一台被指定为浏览器的计算机浏览列表中获得的一个副本。
　　
　　禁用“计算机浏览器”服务将会导致无法更新和维护浏览器列表。禁用该服务还导致任何明显依赖它的服务不能运行。
　　
　　对于堡垒主机的正常操作来说，该服务不是必需的。您可以使用组策略将服务的开始模式设置为仅仅允许服务器管理员进行访问，以阻止未经授权或怀有恶意的用户对服务进行配置和操作。此外，禁用该服务能有效地降低一台堡垒主机服务器的攻击表面。因此，在BHLP中的“计算机浏览器”设置被配置为“禁用”。
　　
　　DHCP客户
　　
　　表11.6：设置
　　　

　　“DHCP客户”服务通过登记和更新计算机的 IP 地址和DNS名称来管理网络配置。当一个客户，例如一个漫游用户，在网络上无目的游荡时，该服务将会阻止用户手工更改IP设置。客户会被自动分配一个新的IP地址，而不考虑它所连接的子网——只要动态主机配置协议（DHCP）服务器对于每个子网来说都是可访问的。没有必要对DNS或Windows　Internet名称系统（WINS）的设置进行手工配置。DHCP服务器会将这些服务设置强加给客户，只要DHCP服务器已经做好配置并且可以发出此类信息即可。若要在客户端激活该选项，只需选择“自动获得DNS服务器地址”单选按钮。激活该选项将避免因IP地址重复带来的冲突。
　　
　　停止“DHCP客户”服务将导致您的计算机无法接收到动态的IP地址，动态DNS更新功能也不会在DNS服务器上自动更新IP地址。禁用该服务还导致任何明显依赖它的服务失败。
　　
　　对于堡垒主机的正常操作来说，该服务不是必需的。您可以使用组策略将服务的开始模式设置为仅仅允许服务器管理员进行访问，以阻止未经授权或怀有恶意的用户对服务进行配置和操作。此外，禁用该服务能有效地降低一台堡垒主机服务器的攻击表面。因此，因此，BHLP中的“DHCP客户”设置被配置为“禁用”。
　　
　　网络位置感知（NLA）
　　
　　表11.7：设置
　　　

　　“网络位置感知（NLA）”服务控制和存储网络配置信息，如IP地址和域名变化等等，还有一些位置变化的信息，然后在这些信息发生变化时通知应用程序。
　　
　　对于堡垒主机的正常操作来说，该服务不是必需的。您可以使用组策略将服务的开始模式设置为仅仅允许服务器管理员进行访问，以阻止未经授权或怀有恶意的用户对服务进行配置和操作。此外，禁用该服务能有效地降低一台堡垒主机服务器的攻击表面。因此，因此，BHLP中的“网络位置感知（NLA）”设置被配置为“禁用”。
　　
　　NTLM安全支持提供者
　　
　　表11.8：设置
　　　

　　“NTLM安全支持提供者”服务为远程过程调用（RPC）程序提供了安全保障，这些程序使用传输，而不是使用命名管道，该服务能让用户使用NTLM验证协议登录到网络上。NTLM协议对不使用Kerberos V5验证的客户进行身份验证。
　　
　　如果停止或禁用“NTLM安全支持提供者”服务，您将无法登录到使用NTLM验证协议的客户端或者访问网络资源。Microsoft 操作管理器（MOM）和Telnet都依赖于该服务。
　　
　　对于堡垒主机的正常操作来说，该服务不是必需的。您可以使用组策略将服务的开始模式设置为仅仅允许服务器管理员进行访问，以阻止未经授权或怀有恶意的用户对服务进行配置和操作。此外，禁用该服务能有效地降低一台堡垒主机服务器的攻击表面。因此，在BHLP中“NTLM安全支持提供者”设置被配置为“禁用”。
　　
　　性能日志和警报
　　
　　表 11.9：设置
　　　

　　“性能日志和警报”服务基于预先配置的时间表从本地或远程计算机上采集性能数据，然后将数据写入一个日志或触发一个警报。根据包含在指定日志采集设置中的信息，该服务将启动和停止每个指定的性能数据集合。至少有一个采集计划，该服务才能运行。
　　
　　停止并禁用“性能日志和警报”服务将会导致性能信息未被搜集，当前运行的数据采集也将会终止，并且预定的未来采集计划也将不会发生。
　　
　　对于堡垒主机的正常操作来说，该服务不是必需的。您可以使用组策略将服务的开始模式设置为仅仅允许服务器管理员进行访问，以阻止未经授权或怀有恶意的用户对服务进行配置和操作。此外，禁用该服务能有效地降低一台堡垒主机服务器的攻击表面。因此，在BHLP中“性能日志和警报”设置被配置为“禁用”。
　　
　　远程管理服务
　　
　　表 11.10：设置
　　　

　　当服务器重启动时，“远程管理服务”运行下列远程管理任务：
　　
　　增加服务器重启动次数的计数。
　　生成一个自我签署的证书。
　　如果未在服务器上设置数据和时间，则产生一个警报。
　　如果没有配置电子邮件报警功能，则产生一个警报。
　　停止“远程管理服务”可能会导致远程服务器管理工具的一些特性不能正常工作，例如，用于远程管理的Web界面程序。禁用该服务还导致任何明显依赖它的服务失败。
　　
　　对于堡垒主机的正常操作来说，该服务不是必需的。您可以使用组策略将服务的开始模式设置为仅仅允许服务器管理员进行访问，以阻止未经授权或怀有恶意的用户对服务进行配置和操作。此外，禁用该服务能有效地降低一台堡垒主机服务器的攻击表面。因此，在BHLP中“远程管理服务”设置被配置为“禁用”。

远程注册表服务
　　
　　表 11.11：设置
　　　

　　倘若远程用户拥有所需的权限，“远程注册表服务”可以让远程用户更改域控制器上的注册表设置。默认情况下，只有 Administrators 和 Backup Operators 组中的用户才能远程访问注册表。该服务是Microsoft 基线安全分析器（MBSA）工具所必需的。MBSA是一个允许您验证企业中每台服务器上是否安装了某个补丁的工具。
　　
　　停止“远程注册表”服务将只允许您更改本地计算机上的注册表。禁用该服务还导致任何明显依赖它的服务失败，但不会影响本地计算机上的注册表操作。其它计算机或设备将不再能够连接到本地计算机的注册表。
　　
　　对于堡垒主机的正常操作来说，该服务不是必需的。您可以使用组策略将服务的开始模式设置为仅仅允许服务器管理员进行访问，以阻止未经授权或怀有恶意的用户对服务进行配置和操作。此外，禁用该服务能有效地降低一台堡垒主机服务器的攻击表面。因此，在BHLP中“远程注册表服务”设置被配置为“禁用”。
　　
　　服务器
　　
　　表 11.12：设置
　　　

　　“服务器”服务通过网络提供RPC支持、文件、打印和命名管道共享。该服务允许本地资源共享，如磁盘和打印机，以便网络上的其他用户访问这些资源。它还允许运行在其它计算机上的应用程序和您的计算机展开命名管道通讯，通信过程使用了RPC。命名管道通讯为一个进程的输出保留了一块内存，并以此作为另一个进程的输入。接收输入的进程不需要在本地计算机上运行。
　　
　　停止“服务器”服务将会阻止该计算机和网络上其它计算机间的文件和打印机共享，还会放弃RPC请求。禁用该服务还将导致任何明显依赖它的服务失败。
　　
　　对于堡垒主机的正常操作来说，该服务不是必需的。您可以使用组策略将服务的开始模式设置为仅仅允许服务器管理员进行访问，以阻止未经授权或怀有恶意的用户对服务进行配置和操作。此外，禁用该服务能有效地降低一台堡垒主机服务器的攻击表面。因此，在BHLP中“服务器”设置被配置为“禁用”。
　　
　　TCP/IP NetBIOS助手服务
　　
　　表 11.13：设置
　　　

　　“TCP/IP NetBIOS助手服务”为NetBIOS over TCP/IP（TCP/IP上的NetBIOS，NetBT）和网络上客户端的NetBIOS名称解析提供支持，因此，它允许用户共享文件、打印和登录到网络。“TCP/IP NetBIOS 助手”服务通过执行DNS名称解析，为NetBT服务提供支持。
　　
　　停止“TCP/IP NetBIOS助手服务”可能导致NetBT、重定向器（RDR）、服务器（SRV）、 Netlogon和Messenger服务的客户端无法共享文件和打印机，并且阻止用户登录计算机。例如，基于域的组策略将不再起作用。禁用该服务还导致任何明显依赖它的服务失败。
　　
　　对于堡垒主机的正常操作来说，该服务不是必需的。您可以使用组策略将服务的开始模式设置为仅仅允许服务器管理员进行访问，以阻止未经授权或怀有恶意的用户对服务进行配置和操作。此外，禁用该服务能有效地降低一台堡垒主机服务器的攻击表面。因此，在BHLP中“TCP/IP NetBIOS助手服务”设置被配置为“禁用”。
　　
　　终端服务
　　
　　表 11.14：设置
　　　

　　“终端服务”提供了一个多会话环境，允许客户端设备访问一个虚拟的Windows桌面会话以及在服务器端运行Windows 程序。“终端服务”还允许用户对服务器进行远程管理。
　　
　　停止或禁用“终端服务”将阻止用户对计算机的远程管理，使得计算机难于管理和更新。
　　
　　对于堡垒主机的正常操作来说，该服务不是必需的。您可以使用组策略将服务的开始模式设置为仅仅允许服务器管理员进行访问，以阻止未经授权或怀有恶意的用户对服务进行配置和操作。此外，禁用该服务能有效地降低一台堡垒主机服务器的攻击表面。因此，在BHLP中“终端服务”设置被配置为“禁用”。
　　
　　Windows Installer
　　
　　表11.15：设置
　　　

　　Windows Installer 服务通过应用一系列在安装过程期间集中定义的安装规则，来管理应用程序的安装和卸载。这些安装规则定义了所安装应用程序的安装和配置。另外，该服务还可以更改、修复或删除一个现存的应用程序。组成该服务的技术包括Windows操作系统的Windows Installer 服务以及.msi 压缩包格式文件（用于保存关于应用程序的设置和安装信息）。
　　
　　Windows Installer不仅是一个安装程序，它还是一个可扩展的软件管理系统。该服务可以管理软件组件的安装、添加和删除，监视文件回弹，以及使用回滚功能从灾难事件中恢复基本文件。另外，Windows Installer 支持从多种来源安装和运行软件，还可以由那些想要安装自己应用程序的开发者进行定制。
　　
　　将 Windows Installer 设置为手动会导致使用 Installer的应用程序启动该服务。
　　
　　停止该服务将导致依赖于它的应用程序安装、卸载、修复和更改失败。同样，利用此服务的应用程序在运行时可能无法正常发挥功能。禁用该服务还将导致任何明显依赖它的服务失败。
　　
　　对于堡垒主机的正常操作来说，该服务不是必需的。您可以使用组策略将服务的开始模式设置为仅仅允许服务器管理员进行访问，以阻止未经授权或怀有恶意的用户对服务进行配置和操作。此外，禁用该服务能有效地降低一台堡垒主机服务器的攻击表面。因此，在BHLP中Windows Installer设置被配置为“禁用”。
　　
　　Windows管理规范驱动程序扩展
　　
　　表11.16：设置
　　　

　　“Windows管理规范驱动程序扩展”服务监视所有驱动程序以及被配置成发布WMI或事件跟踪信息的事件跟踪提供者。
　　
　　对于堡垒主机的正常操作来说，该服务不是必需的。您可以使用组策略将服务的开始模式设置为仅仅允许服务器管理员进行访问，以阻止未经授权或怀有恶意的用户对服务进行配置和操作。此外，禁用该服务能有效地降低一台堡垒主机服务器的攻击表面。因此，在BHLP中“Windows Management Instrumentation驱动程序扩展”设置被配置为“禁用”。
　　
　　WMI性能适配器
　　
　　表11.17：设置
　　　

　　“WMI性能适配器”服务提供了从WMI HiPerf 提供者获得的性能库信息。需要提供性能计数器的应用程序和服务现在可以使用两种方式做到这一点：编写一个WMI 高性能（High Performance）提供者或编写一个性能库。
　　
　　“WMI性能适配器”服务通过反向适配器性能库（Reverse Adapter Performance Library），将WMI高性能（High Performance）提供者提供的性能计数器转换成性能数据助手（Performance Data Helper，PDH）可以引用的计数器。这样一来，PDH客户（如Sysmon）就可以引用计算机上任何WMI性能适配器提供者所提供的性能计数器。
　　
　　如果“WMI性能适配器”服务停止了，WMI性能计数器将无法使用。禁用该服务还会导致任何明显依赖它的服务失败。
　　
　　对于堡垒主机的正常操作来说，该服务不是必需的。您可以使用组策略将服务的开始模式设置为仅仅允许服务器管理员进行访问，以阻止未经授权或怀有恶意的用户对服务进行配置和操作。此外，禁用该服务能有效地降低一台堡垒主机服务器的攻击表面。因此，在BHLP中“WMI性能适配器”设置被配置为“禁用”。
　　
　　其它安全设置
　　
　　通过BHLP应用的安全设置为堡垒主机服务器提供更高的安全性。然而，这里还需要考虑一些额外的事项和过程。这些步骤不能通过本地策略来执行，而应该在所有堡垒主机服务器上通过手动方式来完成。
　　
　　以手动方式向用户权限分配中添加唯一的安全组
　　
　　大多数通过MSBP应用的用户权限分配都已经在本指南附带的安全性模板中进行了适当的指定。但是，有些账户和安全组不能被包含在模板中，因为它们的安全标识（SID）对于单个的Windows 2003域是特定的。下面介绍了必须手动配置的用户权限。
　　
　　警告：下表包含了内置Administrator账户。不要将该账户与内置的Administrators安全组混淆。如果Administrators安全组被添加了以下任何一个拒绝访问用户权限，为了更正该错误，您必须从本地登录。
　　
　　另外，根据第三章“创建成员服务器基线”中的建议，内置的Administrator账号可能已经被重命名。当添加Administrator账户时，请确信添加的是经过了重命名的账户。
　　
　　表11.18：手工添加用户权限分配
　　　

　　重要：所有非操作系统服务账户包括整个企业范围内用于特定应用程序的服务账户。但不包括LOCAL SYSTEM、LOCAL SERVICE或NETWORK SERVICE等操作系统所使用的内置账号。
　　
　　删除不必要的网络协议和绑定
　　
　　可通过Internet直接访问的服务器（特别是堡垒主机服务器），应该禁用所有不必要的协议，以避免用户枚举攻击的威胁。用户枚举是一种信息搜集类型，攻击者试图使用它获得系统特有的信息，然后计划下一步的攻击。
　　
　　服务器消息块（SMB）协议将返回有关一台计算机的大量信息，甚至对使用“空”会话的未经授权的用户也是如此。相关信息可从共享、用户信息（包括组和用户权限）、注册表键值及更多方式中取得。
　　
　　禁用SMB和TCP/IP上的NetBIOS，可以大大降低服务器的攻击表面，并保护堡垒主机的安全。虽然该配置下的服务器更加难于管理，并且无法访问网络上的共享文件夹，但这些措施可以有效保护服务器免予遭受那些轻而易举的攻击。因此，本指南建议：在可以通过Internet进行访问的堡垒主机服务器上，禁用网络连接的SMB或者TCP/IP上的NetBIOS。
　　
　　禁用SMB:
　　
　　1. 在“控制面板”上，双击“网络连接”。
　　
　　2. 右键单击一个Internet类型连接，然后单击“属性”。
　　
　　3. 在“属性”对话框中，选择“Microsoft网络客户端”，然后单击“卸载”。
　　
　　4. 按照卸载步骤指示进行。
　　
　　5. 选择“Microsoft网络的文件和打印机共享”，然后单击“卸载”。
　　
　　6. 按照卸载步骤指示进行。
　　
　　禁用TCP/IP 上的NetBIOS：
　　
　　1. 在“控制面板”上，双击“系统”，单击“硬件”标签，然后点击“设备管理器” 按钮。
　　
　　2. 在“查看”菜单上，单击“显示隐藏的设备”。
　　
　　3. 展开“非即插即用驱动程序”。
　　
　　4. 右键单击“TCP/IP 上的NetBIOS”，然后单击“禁用”。
　　
　　上述操作会禁用TCP/445和UDP 445端口上的SMB直接主机侦听程序。
　　
　　注意：此过程禁用了nbt.sys驱动程序。在“TCP/IP高级设置”对话框的“WINS” 标签中，包括一个“禁用TCP/IP 上的NetBIOS”选项。选中该选项只是禁用了在TCP 端口139上进行侦听的“NetBIOS会话服务”。这样做并未完全禁用SMB。若要完全禁用SMB，请使用上面的步骤。
　　
　　保护众所周知的账号
　　
　　在Microsoft Windows Server? 2003中有一些内置的账号，它们不能被删除，而只能重命名。在Windows 2003中最为人所熟知的两个内置账号是Guest和Administrator。
　　
　　默认情况下，在服务器上的Guest账号是禁用的，而且不应被修改。内置的Administrator账号应该被重命名，并且改变描述以阻止攻击者从远程服务器使用该账号进行攻击。
　　
　　许多恶意代码的变种使用内置的管理员帐号，企图窃取服务器的秘密。在近几年来，进行上述重命名配置的意义已经大大降低了，因为出现了很多新的攻击工具，这些工具企图通过指定内置 Administrator 账户的安全标识（SID）来确定该帐户的真实姓名，从而侵占服务器。 SID是一个能唯一识别每一个用户、组、计算机帐户及网络登录会话的数值。内置帐户的SID是不可能改变的。将本地管理员帐户重新命名为独特的名称，操作部门就可以轻松监控攻击该帐户的企图。
　　
　　在堡垒主机服务器上保护众所周知的账号：
　　
　　1. 重命名Administrator和Guest账号，然后将其在每台服务器上的密码设成一个长且复杂的值。
　　
　　2. 在每台服务器上使用不同的名字和密码。如果在所有的服务器上都使用相同的账号名和密码，那么获得一台服务器访问权的攻击者就能使用相同的账号名和密码来访问所有其它的服务器。
　　
　　3. 更改对账号的描述，使其与默认描述不同，这样有助于防止帐户被轻易识别。
　　
　　4. 在一个安全的位置记录这些更改。
　　
　　错误报告
　　
　　表11.19：设置
　　　

　　“错误报告”服务可以帮助Microsoft 跟踪和查找错误。您可以将该服务配置为给操作系统错误、Windows组件错误或程序错误生成报告。“错误报告”服务将这些错误通过Internet报告给Microsoft，或者报告给内部企业文件共享。
　　
　　该设置只有在Microsoft Windows? XP Professional和Windows Server 2003上可用。在组策略对象编辑器中配置该设置的路径是：
　　
　　Computer Configuration\Administrative Templates\System\Error Reporting
　　
　　错误报告可能包含敏感的（甚至是保密的）企业数据。Microsoft 关于错误报告的隐私政策保证 Microsoft 不会不适当地使用这些数据，但是这些数据使用明文形式的超级文本传输协议（HTTP）传送，这就有可能被Internet 上的第三方截获或者查看。因此，本指南建议在指南定义的三种安全环境下，在DCBP中将错误报告设置配置为禁用。
　　
　　使用IPSec过滤器阻断端口
　　
　　IPSec 过滤器可为增强服务器所需要的安全级别提供有效的方法。本指南推荐在其定义的高安全性环境中使用该选项，以便进一步减少服务器的攻击表面。
　　
　　要了解关于IPSec过滤器使用的更多信息，请参看第11章，“其它服务器的强化程序”，“威胁与对策：Windows Server 2003和Windows XP中的安全性设置 ”。
　　
　　下表列举了在本指南定义的高安全性环境下，可以在SMTP堡垒主机上创建的IPSec过滤器。
　　
　　表11.20：SMTP堡垒主机IPSec网络流量图
　　　

　　在执行时上表所列举的规则时，应当对其进行镜像处理。这样可以保证任何进入服务器的网络流量也可以返回到源服务器。
　　
　　上表表明，服务器要想完成特定角色的功能而应当打开的基本端口。如果服务器拥有一个静态IP地址，这些端口已经足够了。
　　
　　警告：这些IPSec过滤器施加的限制非常严格，并且大大降低了服务器的可管理性。您需要打开额外的端口来实施监视、补丁管理和软件更新功能。
　　
　　IPSec策略的实施对服务器的性能将不会有显著的影响。但是，在实施这些过滤器前还是应该进行测试，以验证服务器仍然可以维持必要的功能和性能。您可能还需要增加一些附加的规则来支持其它应用程序。
　　
　　该指南中包括一个.cmd文件，它简化了依照指南要求为域控制器创建IPSec过滤器的过程。PacketFilters-SMTPBastionHost.cmd文件使用NETSH命令来创建相应的过滤器。
　　
　　此脚本不会创建永久性的过滤器。因此，服务器不会受到保护，除非IPSec策略代理被启动。关于创建永久性过滤器或创建更高级IPSec过滤器脚本的更多信息，请参看本指南的姐妹篇“威胁与对策：Windows Server 2003和Windows XP中的安全性设置”中的第11章“其它成员服务器的强化程序”。最后，该脚本被配置为不分配其创建的IPSec策略。IP安全性策略管理单元可用来检查所创建的IPSec过滤器，并且分配IPSec策略以便让其生效。
　　
　　总结
　　
　　堡垒主机服务器高度暴露在外界攻击之中。您必须尽可能的保证它们的安全，在将其可用性发挥至最大的同时，将堡垒主机服务器面临的安全威胁降至最低。最安全的堡垒主机服务器只允许高度信任的账号访问，并仅仅启用能够正常行使其功能所需的最少的服务。
　　
　　本章对用来保护堡垒主机服务器安全的强化安全设置和措施进行了解释。大多数的设置可通过本地组策略进行应用。我们也介绍了手动配置和应用安全设置的步骤。
　　
　　我们还详细介绍了创建和应用能够控制堡垒主机服务器间网络通信类型的IPSec过滤器具体过程。根据企业环境中堡垒主机服务器所扮演的角色，这些过滤器可以被修改，以阻止特定类型的网络流量。