Win 2003對打印服務器的保護

強化打印服務器

概述

????因為打印服務器提供的大多數(shù)重要服務都需要Microsoft Windows 網(wǎng)絡基本輸入/輸出系統(tǒng)（NetBIOS）相關協(xié)議的支持，所以本章將重點討論在進一步強化打印服務器安全性方面存在的一些挑戰(zhàn)。服務器消息塊（SMB）協(xié)議和通用Internet文件系統(tǒng)（CIFS） 協(xié)議能給未經授權用戶提供大量的信息。因此，我們經常建議在高安全性的Windows環(huán)境中禁止打印服務器使用這些協(xié)議。但是，禁用這些協(xié)議可能給您的環(huán)境中的管理員和用戶訪問打印服務器造成一定的困難。

????本章下面的部分將詳細描述打印服務器能夠從中受益的一些安全性設置，這些設置都不能通過成員服務器基線策略（MSBP）得到應用。要了解更多關于MSBP的信息，可參閱第三章"創(chuàng)建成員服務器基線"。

審核策略設置

????在本指南定義的三種環(huán)境下，打印服務器的審核策略都通過MSBP進行配置。要了解更多關于MSBP的信息，可參閱第三章"創(chuàng)建成員服務器基線"。MSBP設置確保了所有相關的安全審核信息能夠被所有的打印服務器記錄在日志中。

用戶權限分配

????在本指南定義的三種環(huán)境下，打印服務器的用戶權限分配都通過MSBP進行配置。要了解更多關于MSBP的信息，可參閱第三章"創(chuàng)建成員服務器基線"。MSBP設置確保了所有正確的用戶權限分配都能夠跨越不同的打印服務器實現(xiàn)統(tǒng)一配置。

安全選項

????在本指南定義的三種環(huán)境下，打印服務器的安全選項設置都是通過MSBP進行配置。要了解更多關于MSBP的信息，可參閱第三章"創(chuàng)建成員服務器基線"。MSBP設置確保了所有相關的安全選項設置能夠跨越不同的打印服務器實現(xiàn)統(tǒng)一配置。

Microsoft網(wǎng)絡服務器：數(shù)字簽署通信（始終）

表7.1：設置

????"Microsoft網(wǎng)絡服務器：數(shù)字簽署通信（始終）"設置決定了數(shù)據(jù)包簽署對于SMB服務器組件來說是否是必需的。SMB協(xié)議為Microsoft的文件和打印共享以及像遠程Windows管理這樣的其它許多網(wǎng)絡操作提供了基礎。為了阻止SMB數(shù)據(jù)包在傳輸過程中受到人為攻擊，SMB協(xié)議支持SMB數(shù)據(jù)包的數(shù)字簽署。該設置決定了服務器和SMB 客戶端之間的通信在被允許之前是否可以忽略SMB數(shù)據(jù)包的數(shù)字簽署。

????盡管該設置被缺省為禁用狀態(tài)，但是您可以通過MSBP在本指南定義的高安全性環(huán)境中啟用服務器的這個設置。您可以啟用打印服務器上的這個設置以便用戶執(zhí)行打印操作，但是它不允許用戶查看打印隊列。試圖查看打印隊列的用戶將得到拒絕訪問的消息。出于上述原因，在本指南定義的三種環(huán)境中，"Microsoft 網(wǎng)絡服務器：數(shù)字簽名通信（始終）"設置被配置為"禁用 "打印服務器。

事件日志設置

????在本指南定義的三種環(huán)境下，打印服務器的事件日志設置都通過MSBP進行配置。要了解更多關于MSBP的信息，可參閱第三章"創(chuàng)建成員服務器基線"。

系統(tǒng)服務

????任何服務和應用軟件都是攻擊者的潛在目標，所以應該禁用或刪除不需要的服務和可執(zhí)行文件。在MSBP中，可選服務和不必要服務都應該被禁用。以下內容詳細描述了應該在打印服務器上啟用的服務。

后臺打印

表7.2：設置

????"后臺打印處理"服務管理著所有本地和網(wǎng)絡打印隊列并控制所有的打印工作。后臺打印處理服務是 Windows 打印子系統(tǒng)的中心，它與打印驅動程序和輸入/輸出（I/O）組件進行通信。

????打印服務器依賴于"后臺打印處理"服務的正確運行。為了讓打印服務器處理客戶機的打印工作，該服務必須設置為運行。您可以使用組策略將" 后臺打印處理" 服務的啟動模式設置為"只允許服務器管理員訪問"，以防止服務被未經授權或懷有惡意的用戶設置或操作。組策略也可以防止管理者無意中禁用該服務。其原因是：在本指南定義的三種安全環(huán)境中，"后臺打印處理"設置都被配置為"自動"。

其它安全性設置

????MSBP中應用的安全設置大大提高了打印服務器的安全性。不過，您還需要考慮其它一些注意事項。有些步驟不能通過組策略來完成，而要在所有打印服務器上手動執(zhí)行操作。

保護眾所周知帳戶的安全

????Microsoft Windows Server? 2003具有大量的內置用戶帳戶，這些帳戶不能被刪除，但是可以重命名。Windows 2003中最常見的兩個內置帳戶是Guest 和Administrator 。
Guest 帳戶在成員服務器和域控制器上缺省為禁用狀態(tài)。此設置不應該被更改。內置的Administrator 帳戶應該被重命名并改變描述。以防止攻擊者利用該帳戶危及遠程服務器的安全。
許多惡意代碼的變種企圖使用內置的管理員賬戶來破壞一臺服務器。在近幾年來，進行上述重命名配置的意義已經大大降低了，因為出現(xiàn)了很多新的攻擊工具，這些工具企圖通過指定內置 Administrator 賬戶的安全標識（SID）來確定該帳戶的真實姓名，從而侵占服務器。SID是識別每個用戶、組、計算機帳戶和網(wǎng)絡登錄的唯一值。要改變內置帳戶的SID 是不可能的。您可以用一個特別的名字重新命名本地的administrator帳戶，以便您能夠監(jiān)控對該帳戶的攻擊行為。

保護打印服務器上的眾所周知帳戶

1. 重新命名Administrator和Guest帳戶，然后改變每個域和服務器的密碼為長且復雜的值。
2. 為每個服務器使用不同的名稱和密碼。如果所有的域和服務器使用同一個帳戶名和密碼，取得一個服務器訪問權的攻擊者就可以用相同的帳戶名和密碼取得其它域和服務器的訪問權。
3. 改變缺省的帳戶描述，以防止這些帳戶被輕易識別出來。
4. 在安全的地方記錄上述改變。

??? 注意：內置的Administrator帳戶可以通過組策略重新命名。這個設置不能通過本指南提供的任何安全模板進行配置，因為您應該為您的環(huán)境選擇一個特別的名字。在本指南定義的三種環(huán)境下，"賬戶：重命名管理員賬戶"可以被配置為重命名管理員賬戶。該設置是組策略安全選項設置的一部分。

保護服務帳戶的安全

??? 除非絕對必要，決不要將服務設定為在域帳戶的安全上下文中運行。如果服務器的物理安全受到破壞，域賬戶密碼可以很容易通過轉儲本地安全性授權（LSA）秘文而獲得。

用IPSec過濾器阻斷端口

??? Internet協(xié)議安全（IPSec）過濾器能為提高服務器的安全級別提供一條有效的途徑。本指南推薦在其定義的高安全性環(huán)境中使用該選項，以便進一步減少服務器的攻擊表面積。

??? 要了解更多關于IPSec過濾器的使用信息，請參閱"威脅和對抗：Windows Server 2003和Windows XP安全設置 "的第11章 "其它成員服務器的強化程序"。

下表列出了可以在本指南定義的高安全性環(huán)境中的打印服務器上創(chuàng)建的所有IPSec過濾器

表7.3：打印服務器IPSec網(wǎng)絡流量圖

??? 在實現(xiàn)上表中列出的所有規(guī)則時都應該進行鏡像處理。以確保進入服務器的所有網(wǎng)絡流量也可以返回到源服務器。

??? 上表描述了服務器執(zhí)行特別任務功能所需打開的基本端口。如果服務器使用靜態(tài)IP地址，那么這些端口就已經足夠了。要是希望提供其它功能，您需要開放其它端口。開放其它端口可使您環(huán)境中的打印服務器更容易管理，不過，它們可能大大降低這些服務器的安全性。

??? 因為域成員和域控制器之間存在大量交互操作，在特殊的RPC和身份驗證通信中，您需要允許文件服務器和所有域控制器之間的所有通信。通信還可以被進一步限制，但是大多數(shù)環(huán)境都需要為有效保護服務器而創(chuàng)建更多的過濾器。這使得IPSec策略的執(zhí)行和管理更為困難。與一個打印服務器相關的所有域控制器都要創(chuàng)建相似的規(guī)則。為了提高打印服務器的可靠性和可用性，您需要為環(huán)境中的所有域控制器添加更多規(guī)則。

??? 如上所述，如果需要在環(huán)境中允許Microsoft Operation manager（MOM），運行IPSec過濾器的服務器和MOM服務器之間的所有網(wǎng)絡通信都必須被允許通過。這一點十分重要，因為MOM服務器和OnePoint客戶--向MOM控制臺提供報告的客戶端應用程序--之間具有大量的交互行為。其它的管理軟件可能也具有類似的要求。如果您需要更高級別的安全性，OnePoint客戶過濾操作可以被配置為就IPSec和MOM服務器進行協(xié)商。

??? IPSec策略可以阻止任意一個高端口的通信，因此，您將無法進行遠程過程調用（RPC）通信。這使得服務器的管理更加困難。因為這么多的端口已經被有效關閉，您可以啟用終端訪問，以方便管理員進行遠程管理。

??????? 上面的網(wǎng)絡流量圖假定環(huán)境中包括啟用了Active Directory的DNS服務器。如果使用靜態(tài)DNS服務器，您還需要設定其它規(guī)則.執(zhí)行IPSec策略不會對服務器的性能產生太大影響。不過，您應該在執(zhí)行這些過濾之前首先進行測試，以便確保服務器的必要功能和性能得以保持。如果希望支持其它應用軟件，您還需要添加其它的規(guī)則。

??? 本指南包括一個.cmd文件，它簡化了依照指南要求為域控制器創(chuàng)建IPSec過濾器的過程。PacketFilters-File.cmd文件使用NETSH命令創(chuàng)建適當?shù)倪^濾器。您必須修改.cmd文件以使它包括您所在環(huán)境中的域控制器的IP地址。腳本為即將添加的域控制器提供了兩個占位符。如果需要，您還可以添加其它的域控制器。域控制器的IP地址列表必須是最新的。

??? 如果環(huán)境中有MOM，那么相應的MOM服務器的IP地址也必須列入腳本。這個腳本不會創(chuàng)建永久性的過濾器。因此，除非IPSec策略代理開始運行，否則服務器是不受保護的。要了解更多關于建立永久性過濾器或創(chuàng)建更高級IPSec過濾器腳本的信息，請參閱"威脅和對策：Windows Server 2003和 Windows XP安全設置 "的第11章 "其它成員服務器的強化程序"。最后，該腳本被配置為不對其創(chuàng)建的IPSec策略進行分配。IP安全策略管理單元可用來檢查它創(chuàng)建的IPSec過濾器和分配IPSec策略以便使其生效。

總結

??? 本章闡述了在本指南所定義的三種環(huán)境中保護打印服務器的安全所需采取的服務器強化設置。所論述的大多數(shù)設置都通過使用組策略來進行配置和加載的。您可以將能夠為MSBP提供有益補充的組策略對象（GPO）鏈接到包含打印服務器的相應組織單位（OU），以便為這些服務器提供的服務賦予更多的安全性。

??? 文中提及的某些設置不能使用組策略來進行應用。在這些情況下，我們提供了手動配置這些設置所需的詳細資料。此外，我們還詳細介紹了創(chuàng)建和應用能夠控制打印服務器間網(wǎng)絡通信類型的IPSec過濾器的具體過程。