本模塊適用于下列產品和技術：

Windows Server 2003

如何使用本模塊

使用本模塊您可以了解應用于基于 Windows Server 2003 的文件服務器的安全設置。本模塊使用多個角色特定安全模板和一個基準安全模板。安全模板來自“Windows Server 2003 Security Guide”。

為了更好地理解本模塊的內容，請：

閱讀模塊 Windows Server 2003 安全性簡介。該模塊描述了“Windows Server 2003 Security Guide”的目的和內容。

閱讀模塊創建 Windows Server 2003 服務器的成員服務器基準。該模塊演示了使用組織單位和組策略將成員服務器基準應用于多個服務器的過程。

概述

由于文件服務器提供的大多數重要服務都需要 Microsoft? Windows? 網絡基本輸入/輸出系統 (NetBIOS) 相關協議的支持，因此在進一步強化文件服務器上存在一些挑戰。服務器消息塊 (SMB) 協議和通用 Internet 文件系統 (CIFS) 協議可以為沒有經過身份驗證的用戶提供豐富的信息。因此，常常建議在高安全性的 Windows 環境中禁止文件服務器使用這些協議。但是，禁用這些協議可能給您的環境中的管理員和用戶訪問文件服務器造成一定的困難。

本模塊后面的部分將詳細描述文件服務器可從安全設置中受益的內容，這些安全設置不是通過成員服務器基準策略 (MSBP) 得到應用的。有關 MSBP 的詳細信息，請參閱模塊創建 Windows Server 2003 服務器的成員服務器基準。

審核策略設置

在本指南定義的三種環境下，文件服務器的審核策略設置都是通過 MSBP 進行配置。有關 MSBP 的詳細信息，請參閱模塊創建 Windows Server 2003 服務器的成員服務器基準。MSBP 設置確保了在全部的文件服務器上記錄所有相關的安全性審核信息。

用戶權限分配

在本指南定義的三種環境下，文件服務器的用戶權限分配都是通過 MSBP 進行配置。有關 MSBP 的詳細信息，請參閱模塊創建 Windows Server 2003 服務器的成員服務器基準。MSBP 設置確保所有適當的用戶權限可以跨越所有文件服務器實現統一配置。

安全選項

在本指南定義的三種環境下，文件服務器的安全性選項設置都是通過 MSBP 進行配置。有關 MSBP 的詳細信息，請參閱模塊創建 Windows Server 2003 服務器的成員服務器基準。MSBP 設置確保所有相關的安全性選項設置可以跨越所有文件服務器實現統一配置。

事件日志設置

在本指南定義的三種環境下，文件服務器的事件日志設置都是通過 MSBP 進行配置。有關 MSBP 的詳細信息，請參閱模塊創建 Windows Server 2003 服務器的成員服務器基準。

系統服務

任何服務或應用程序都是一個潛在的攻擊點，因此，應該禁用或刪除所有不需要的服務或可執行文件。在 MSBP 中，這些可選服務以及所有不必要的服務都禁用。

在運行 Microsoft Windows Server 2003 的文件服務器上，經常還有其他一些服務被啟用，但是，這些服務不是必需的。這些服務的使用及其安全性一直是人們爭論的主題。為此，本指南所建議的文件服務器配置可能不適用于您的環境?？梢愿鶕枰{整我們建議的文件服務器組策略以滿足您組織機構的需求。

Distributed File System

表 1：設置

Distributed File System (DFS) 服務管理分布在局域網 (LAN) 或廣域網 (WAN) 的邏輯卷，而且是 Microsoft Active Directory? 目錄服務 SYSVOL 共享所必需的。DFS 是將完全不同的文件共享集成為一個邏輯命名空間的分布式服務。

命名空間是網絡存儲資源的一種邏輯表示方法，這些網絡存儲資源對網絡中的用戶都可用。禁用 DFS 服務可以防止用戶通過邏輯命名空間訪問網絡數據，要求用戶必須知道環境中所有服務器和共享資源的名稱才可以訪問網絡數據。

文件服務器增量式組策略禁用了 DFS 服務，以便將環境中文件服務器遭到的攻擊面降到最小。為此，在本指南所定義的所有安全環境中，應該將 Distributed File System 設置配置為“禁用”。

注意：通過在文件服務器上使用 DFS 簡化分布式資源訪問方式的組織機構必須修改文件服務器的增量式組策略，或者創建一個新的 GPO 來啟用該服務。

File Replication Service

表 6.2：設置

File Replication Service (FRS) 可以自動復制文件并在多個服務器上同時進行保存。FRS 是 Microsoft? Windows? 2000 操作系統和 Windows Server 2003 家族中的一種自動文件復制服務。這種服務復制所有域控制器中的系統卷 (Sysvol)。另外，您還可以對該服務進行配置，使其復制與容錯 DFS 關聯的備用目標中的文件。若禁用這種服務，文件復制將不再發生而服務器上的數據也不再進行同步。

文件服務器增量式組策略禁用了 FRS 服務，以便將您所在環境中文件服務器遭到的攻擊表面積降到最小。為此，在本指南定義的所有安全環境中，應該將 File Replication Service 設置配置為“禁用”。

注意：通過在文件服務器上使用 FRS 復制多個服務器上的數據的組織必須修改文件服務器的增量式組策略，或者創建一個新的 GPO 來啟用該服務。

其他安全性設置

MSBP 中應用的安全設置為文件服務器提供了大量的增強安全性。不過，您也需要考慮其他一些注意事項。這些步驟不能通過組策略來實施，而要在所有文件服務器上手動執行操作。

保護眾所周知帳戶的安全

Microsoft Windows Server 2003 中具有大量的內置用戶帳戶，不能將其刪除，但可以重命名。Windows 2003 中最常用的兩個內置帳戶是“來賓”帳戶和“管理員”帳戶。

默認情況下，“來賓”賬戶在成員服務器和域控制器上為禁用狀態。不應該將此設置更改。您應該對內置的“管理員”賬戶重命名并改變其描述，以阻止攻擊者利用一個眾所周知的帳戶危及遠程服務器的安全。

最初，許多惡意代碼的變種使用內置的管理員帳號，企圖破壞服務器。近幾年來，進行上述重命名配置的意義已經降低了，因為出現了很多新的攻擊工具，這些工具企圖通過指定內置 “管理員”賬戶的安全標識符 (SID) 確定該帳戶的真實姓名，從而侵入服務器。SID 是識別每個用戶、組、計算機帳戶和網絡上登錄會話的唯一值。不可能更改內置帳戶的 SID。將本地管理員帳戶重命名為唯一的名稱，操作部門就可以輕松監控攻擊該帳戶的企圖。

要保護文件服務器上的常用賬戶，您應當：

1. 重新命名“管理員”帳戶和“來賓”賬戶，然后在每個域和服務器上將其密碼更改為長且復雜的值。

2. 在每個服務器上使用不同的名稱和密碼。如果所有的域和服務器使用同一個帳戶名和密碼，則取得其中一臺成員服務器訪問權的攻擊者就可以用相同的帳戶名和密碼取得其他域和服務器的訪問權。

3. 改變默認的帳戶描述，以防止帳戶被輕易識別。

4. 在安全的位置記錄這些更改。

注意：可通過組策略重命名內置的“管理員”帳戶。由于應該為您的環境選擇一個唯一的名稱，因此本指南所提供的所有安全模板中都沒有對此設置進行配置。在本指南定義的三種環境中，都可以將“賬戶：重命名管理員帳戶”設置配置為重命名管理員帳戶。此設置是組策略安全選項設置的一部分。

保護服務賬戶

除非絕對必要，否則不要配置在域帳號安全性背景之下運行的服務。如果服務器的物理安全受到破壞，域賬戶密碼可以很容易通過轉儲本地安全性機構 (LSA) 秘文而獲得。

用 IPSec 過濾器阻斷端口

Internet 協議安全 (IPSec) 過濾器能為提高服務器的安全級別提供一條有效途徑。本指南推薦在其定義的高安全性環境中使用該選項，以便進一步減少服務器的攻擊表面積。

有關 IPSec 過濾器使用的詳細信息，請參閱模塊其他成員服務器強化過程。

下表列出了可在本指南定義的高安全性環境中的文件服務器上創建的所有 IPSec 過濾器。

表 3：文件服務器 IPSec 網絡流量圖

在執行上表列出的所有規則時都應該進行鏡像處理。這可以確保進入服務器的所有網絡流量也可以返回到源服務器。

上表描述了為服務器執行特別任務功能所需打開的基本端口。如果服務器使用靜態 IP 地址，這些端口已經足夠使用了。如果需要提供其他功能，可能需要打開其他端口。打開其他端口可使您環境中的文件服務器更容易管理，不過，它們可能大大降低這些服務器的安全性。

由于域成員和域控制器之間具有大量的交互操作，因此在特殊的 RPC 和身份驗證通信中，您需要允許文件服務器和所有域控制器之間的所有通信。還可以將通信進一步限制，但是大多數環境都需要為有效保護服務器而創建更多的過濾器。這使得 IPSec 策略的執行和管理更為困難。與一個文件服務器相關的所有域控制器都要創建相似的規則。為了提高文件服務器的可靠性和可用性，您需要為環境中的所有域控制器添加更多規則。

如上所述，如果在環境中運行 Microsoft Operation Manager (MOM)，則必須允許通過運行 IPSec 過濾器的服務器和 MOM 服務器之間的所有網絡通信。這一點十分重要，因為 MOM 服務器和 OnePoint 客戶 — 向 MOM 控制臺提供報告的客戶端應用程序 — 之間具有大量的交互行為。其他的管理軟件可能也有相似的要求。如果需要更高級別的安全性，可以將 OnePoint 客戶過濾操作配置為就 IPSec 同 MOM 服務器進行協商。

IPSec 策略可以有效地阻止任意一個高端口的通信，因此，將無法進行遠程過程調用 (RPC) 通信。這使得服務器的管理更加困難。由于已經有效關閉了如此之多的端口，因此可以啟用終端服務。這將使管理員能夠進行遠程管理。

上面的網絡流量圖假定環境中包括啟用了 DNS 服務器的 Active Directory。如果使用獨立的 DNS 服務器，可能還需要設定其他規則。

執行 IPSec 策略不會對服務器的性能產生明顯的影響。但是，在執行這些過濾器前應首先進行測試，以驗證服務器的必要功能和性能是否得以維持。如果要支持其他應用軟件，還可能需要添加其他規則。

本指南包括一個 .cmd 文件，該文件簡化了為文件服務器創建 IPSec 過濾器的過程。“PacketFilters-File.cmd”文件使用 NETSH 命令創建適當的過濾器。必須修改 .cmd 文件以使它包括環境中域控制器的 IP 地址。腳本為即將添加的域控制器提供了兩個占位符。如果需要，還可以添加其他的域控制器。域控制器的 IP 地址列表必須是最新的。

如果環境中有 MOM，那么相應的 MOM 服務器的 IP 地址也必須列入腳本。這個腳本不會創建永久性的過濾器。因此，除非 IPSec 策略代理開始運行，否則服務器是不受保護的。有關生成永久性的過濾器或創建更高級 IPSec 過濾腳本的詳細信息，請參閱模塊其他成員服務器強化過程。最后，將該腳本配置為不對其創建的 IPSec 策略進行分配。IP 安全策略管理單元可用于檢查它創建的 IPSec 過濾器和分配 IPSec 策略以便使其生效。

小結

本模塊講述了在本指南所定義的三種環境中保護文件服務器安全所需采取的服務器強化設置。所論述的大多數設置都是使用組策略進行配置和應用的。您可以將能夠對 MSBP 進行有益補充的組策略對象 (GPO) 鏈接到包含文件服務器的相應組織單位 (OU) 中，以便為這些服務器提供的服務賦予更多的安全性。

本指南所論述的一些設置不能使用組策略進行應用。在這些情況下，本指南提供了有關手動配置這些設置的詳細信息。此外，本指南還提供了創建和應用能夠控制文件服務器間網絡通信類型的 IPSec 過濾器的詳細信息。