保护打印服务器上的众所周知帐户
1. 重新命名Administrator和Guest帐户,然后改变每个域和服务器的密码为长且复杂的值。
2. 为每个服务器使用不同的名称和密码。如果所有的域和服务器使用同一个帐户名和密码,取得一个服务器访问权的攻击者就可以用相同的帐户名和密码取得其它域和服务器的访问权。
3. 改变缺省的帐户描述,以防止这些帐户被轻易识别出来。
4. 在安全的地方记录上述改变。
注意:内置的Administrator帐户可以通过组策略重新命名。这个设置不能通过本指南提供的任何安全模板进行配置,因为您应该为您的环境选择一个特别的名字。在本指南定义的三种环境下,"账户:重命名管理员账户"可以被配置为重命名管理员账户。该设置是组策略安全选项设置的一部分。
保护服务帐户的安全 除非绝对必要,决不要将服务设定为在域帐户的安全上下文中运行。如果服务器的物理安全受到破坏,域账户密码可以很容易通过转储本地安全性授权(LSA)秘文而获得。
用IPSec过滤器阻断端口 Internet协议安全(IPSec)过滤器能为提高服务器的安全级别提供一条有效的途径。本指南推荐在其定义的高安全性环境中使用该选项,以便进一步减少服务器的攻击表面积。
要了解更多关于IPSec过滤器的使用信息,请参阅"威胁和对抗:Windows Server 2003和Windows XP安全设置 "的第11章 "其它成员服务器的强化程序"。
下表列出了可以在本指南定义的高安全性环境中的打印服务器上创建的所有IPSec过滤器
表7.3:打印服务器IPSec网络流量图
在实现上表中列出的所有规则时都应该进行镜像处理。以确保进入服务器的所有网络流量也可以返回到源服务器。
上表描述了服务器执行特别任务功能所需打开的基本端口。如果服务器使用静态IP地址,那么这些端口就已经足够了。要是希望提供其它功能,您需要开放其它端口。开放其它端口可使您环境中的打印服务器更容易管理,不过,它们可能大大降低这些服务器的安全性。
因为域成员和域控制器之间存在大量交互操作,在特殊的RPC和身份验证通信中,您需要允许文件服务器和所有域控制器之间的所有通信。通信还可以被进一步限制,但是大多数环境都需要为有效保护服务器而创建更多的过滤器。这使得IPSec策略的执行和管理更为困难。与一个打印服务器相关的所有域控制器都要创建相似的规则。为了提高打印服务器的可靠性和可用性,您需要为环境中的所有域控制器添加更多规则。
如上所述,如果需要在环境中允许Microsoft Operation manager(MOM),运行IPSec过滤器的服务器和MOM服务器之间的所有网络通信都必须被允许通过。这一点十分重要,因为MOM服务器和OnePoint客户--向MOM控制台提供报告的客户端应用程序--之间具有大量的交互行为。其它的管理软件可能也具有类似的要求。如果您需要更高级别的安全性,OnePoint客户过滤操作可以被配置为就IPSec和MOM服务器进行协商。
IPSec策略可以阻止任意一个高端口的通信,因此,您将无法进行远程过程调用(RPC)通信。这使得服务器的管理更加困难。因为这么多的端口已经被有效关闭,您可以启用终端访问,以方便管理员进行远程管理。
上面的网络流量图假定环境中包括启用了Active Directory的DNS服务器。如果使用静态DNS服务器,您还需要设定其它规则.执行IPSec策略不会对服务器的性能产生太大影响。不过,您应该在执行这些过滤之前首先进行测试,以便确保服务器的必要功能和性能得以保持。如果希望支持其它应用软件,您还需要添加其它的规则。
本指南包括一个.cmd文件,它简化了依照指南要求为域控制器创建IPSec过滤器的过程。PacketFilters-File.cmd文件使用NETSH命令创建适当的过滤器。您必须修改.cmd文件以使它包括您所在环境中的域控制器的IP地址。脚本为即将添加的域控制器提供了两个占位符。如果需要,您还可以添加其它的域控制器。域控制器的IP地址列表必须是最新的。
如果环境中有MOM,那么相应的MOM服务器的IP地址也必须列入脚本。这个脚本不会创建永久性的过滤器。
京公网安备 11010802021500号