Windows 2003对打印服务器的保护(图)

时间：2015-01-18 来源：互联网作者：佚名

　　强化打印服务器
　　
　　概述
　　
　　因为打印服务器提供的大多数重要服务都需要Microsoft Windows 网络基本输入/输出系统（NetBIOS）相关协议的支持，所以本章将重点讨论在进一步强化打印服务器安全性方面存在的一些挑战。服务器消息块（SMB）协议和通用Internet文件系统（CIFS）协议能给未经授权用户提供大量的信息。因此，我们经常建议在高安全性的Windows环境中禁止打印服务器使用这些协议。但是，禁用这些协议可能给您的环境中的管理员和用户访问打印服务器造成一定的困难。
　　
　　本章下面的部分将详细描述打印服务器能够从中受益的一些安全性设置，这些设置都不能通过成员服务器基线策略（MSBP）得到应用。要了解更多关于MSBP的信息，可参阅第三章"创建成员服务器基线"。
　　
　　审核策略设置
　　
　　在本指南定义的三种环境下，打印服务器的审核策略都通过MSBP进行配置。要了解更多关于MSBP的信息，可参阅第三章"创建成员服务器基线"。MSBP设置确保了所有相关的安全审核信息能够被所有的打印服务器记录在日志中。
　　
　　用户权限分配
　　
　　在本指南定义的三种环境下，打印服务器的用户权限分配都通过MSBP进行配置。要了解更多关于MSBP的信息，可参阅第三章"创建成员服务器基线"。MSBP设置确保了所有正确的用户权限分配都能够跨越不同的打印服务器实现统一配置。
　　
　　安全选项
　　
　　在本指南定义的三种环境下，打印服务器的安全选项设置都是通过MSBP进行配置。要了解更多关于MSBP的信息，可参阅第三章"创建成员服务器基线"。MSBP设置确保了所有相关的安全选项设置能够跨越不同的打印服务器实现统一配置。
　　
　　Microsoft网络服务器：数字签署通信（始终）
　　
　　表7.1：设置
　　　

　　"Microsoft网络服务器：数字签署通信（始终）"设置决定了数据包签署对于SMB服务器组件来说是否是必需的。SMB协议为Microsoft的文件和打印共享以及像远程Windows管理这样的其它许多网络操作提供了基础。为了阻止SMB数据包在传输过程中受到人为攻击，SMB协议支持SMB数据包的数字签署。该设置决定了服务器和SMB 客户端之间的通信在被允许之前是否可以忽略SMB数据包的数字签署。
　　
　　尽管该设置被缺省为禁用状态，但是您可以通过MSBP在本指南定义的高安全性环境中启用服务器的这个设置。您可以启用打印服务器上的这个设置以便用户执行打印操作，但是它不允许用户查看打印队列。试图查看打印队列的用户将得到拒绝访问的消息。出于上述原因，在本指南定义的三种环境中，"Microsoft 网络服务器：数字签名通信（始终）"设置被配置为"禁用 "打印服务器。
　　
　　事件日志设置
　　
　　在本指南定义的三种环境下，打印服务器的事件日志设置都通过MSBP进行配置。要了解更多关于MSBP的信息，可参阅第三章"创建成员服务器基线"。
　　
　　系统服务
　　
　　任何服务和应用软件都是攻击者的潜在目标，所以应该禁用或删除不需要的服务和可执行文件。在MSBP中，可选服务和不必要服务都应该被禁用。以下内容详细描述了应该在打印服务器上启用的服务。
　　
　　后台打印
　　
　　表7.2：设置
　　　

　　"后台打印处理"服务管理着所有本地和网络打印队列并控制所有的打印工作。后台打印处理服务是 Windows 打印子系统的中心，它与打印驱动程序和输入/输出（I/O）组件进行通信。
　　
　　打印服务器依赖于"后台打印处理"服务的正确运行。为了让打印服务器处理客户机的打印工作，该服务必须设置为运行。您可以使用组策略将" 后台打印处理" 服务的启动模式设置为"只允许服务器管理员访问"，以防止服务被未经授权或怀有恶意的用户设置或操作。组策略也可以防止管理者无意中禁用该服务。其原因是：在本指南定义的三种安全环境中，"后台打印处理"设置都被配置为"自动"。
　　
　　其它安全性设置
　　
　　MSBP中应用的安全设置大大提高了打印服务器的安全性。不过，您还需要考虑其它一些注意事项。有些步骤不能通过组策略来完成，而要在所有打印服务器上手动执行操作。
　　
　　保护众所周知帐户的安全
　　
　　Microsoft Windows Server? 2003具有大量的内置用户帐户，这些帐户不能被删除，但是可以重命名。Windows 2003中最常见的两个内置帐户是Guest 和Administrator 。
　　
　　Guest 帐户在成员服务器和域控制器上缺省为禁用状态。此设置不应该被更改。内置的Administrator 帐户应该被重命名并改变描述。以防止攻击者利用该帐户危及远程服务器的安全。
　　
　　许多恶意代码的变种企图使用内置的管理员账户来破坏一台服务器。在近几年来，进行上述重命名配置的意义已经大大降低了，因为出现了很多新的攻击工具，这些工具企图通过指定内置 Administrator 账户的安全标识（SID）来确定该帐户的真实姓名，从而侵占服务器。SID是识别每个用户、组、计算机帐户和网络登录的唯一值。要改变内置帐户的SID 是不可能的。您可以用一个特别的名字重新命名本地的administrator帐户，以便您能够监控对该帐户的攻击行为。
　　
　　保护打印服务器上的众所周知帐户
　　
　　1. 重新命名Administrator和Guest帐户，然后改变每个域和服务器的密码为长且复杂的值。
　　
　　2. 为每个服务器使用不同的名称和密码。如果所有的域和服务器使用同一个帐户名和密码，取得一个服务器访问权的攻击者就可以用相同的帐户名和密码取得其它域和服务器的访问权。
　　
　　3. 改变缺省的帐户描述，以防止这些帐户被轻易识别出来。
　　
　　4. 在安全的地方记录上述改变。
　　
　　注意：内置的Administrator帐户可以通过组策略重新命名。这个设置不能通过本指南提供的任何安全模板进行配置，因为您应该为您的环境选择一个特别的名字。在本指南定义的三种环境下，"账户：重命名管理员账户"可以被配置为重命名管理员账户。该设置是组策略安全选项设置的一部分。
　　
　　保护服务帐户的安全
　　
　　除非绝对必要，决不要将服务设定为在域帐户的安全上下文中运行。如果服务器的物理安全受到破坏，域账户密码可以很容易通过转储本地安全性授权（LSA）秘文而获得。
　　
　　用IPSec过滤器阻断端口
　　
　　Internet协议安全（IPSec）过滤器能为提高服务器的安全级别提供一条有效的途径。本指南推荐在其定义的高安全性环境中使用该选项，以便进一步减少服务器的攻击表面积。
　　
　　要了解更多关于IPSec过滤器的使用信息，请参阅"威胁和对抗：Windows Server 2003和Windows XP安全设置 "的第11章 "其它成员服务器的强化程序"。
　　
　　下表列出了可以在本指南定义的高安全性环境中的打印服务器上创建的所有IPSec过滤器
　　
　　表7.3：打印服务器IPSec网络流量图
　　

　　在实现上表中列出的所有规则时都应该进行镜像处理。以确保进入服务器的所有网络流量也可以返回到源服务器。
　　
　　上表描述了服务器执行特别任务功能所需打开的基本端口。如果服务器使用静态IP地址，那么这些端口就已经足够了。要是希望提供其它功能，您需要开放其它端口。开放其它端口可使您环境中的打印服务器更容易管理，不过，它们可能大大降低这些服务器的安全性。
　　
　　因为域成员和域控制器之间存在大量交互操作，在特殊的RPC和身份验证通信中，您需要允许文件服务器和所有域控制器之间的所有通信。通信还可以被进一步限制，但是大多数环境都需要为有效保护服务器而创建更多的过滤器。这使得IPSec策略的执行和管理更为困难。与一个打印服务器相关的所有域控制器都要创建相似的规则。为了提高打印服务器的可靠性和可用性，您需要为环境中的所有域控制器添加更多规则。
　　
　　如上所述，如果需要在环境中允许Microsoft Operation manager（MOM），运行IPSec过滤器的服务器和MOM服务器之间的所有网络通信都必须被允许通过。这一点十分重要，因为MOM服务器和OnePoint客户--向MOM控制台提供报告的客户端应用程序--之间具有大量的交互行为。其它的管理软件可能也具有类似的要求。如果您需要更高级别的安全性，OnePoint客户过滤操作可以被配置为就IPSec和MOM服务器进行协商。
　　
　　IPSec策略可以阻止任意一个高端口的通信，因此，您将无法进行远程过程调用（RPC）通信。这使得服务器的管理更加困难。因为这么多的端口已经被有效关闭，您可以启用终端访问，以方便管理员进行远程管理。
　　
　　上面的网络流量图假定环境中包括启用了Active Directory的DNS服务器。如果使用静态DNS服务器，您还需要设定其它规则.执行IPSec策略不会对服务器的性能产生太大影响。不过，您应该在执行这些过滤之前首先进行测试，以便确保服务器的必要功能和性能得以保持。如果希望支持其它应用软件，您还需要添加其它的规则。
　　
　　本指南包括一个.cmd文件，它简化了依照指南要求为域控制器创建IPSec过滤器的过程。PacketFilters-File.cmd文件使用NETSH命令创建适当的过滤器。您必须修改.cmd文件以使它包括您所在环境中的域控制器的IP地址。脚本为即将添加的域控制器提供了两个占位符。如果需要，您还可以添加其它的域控制器。域控制器的IP地址列表必须是最新的。
　　
　　如果环境中有MOM，那么相应的MOM服务器的IP地址也必须列入脚本。这个脚本不会创建永久性的过滤器。因此，除非IPSec策略代理开

来顶一下