1.19k likes | 1.38k Views
Windows 伺服器安全問題. Windows 伺服器安全問題. 本機安全原則設定( Local Security Policy Settings ) 系統組態設定( System Configuration Settings )之中。 Windows 2003 特殊的設定問題. 本機安全原則設定. Windows 是採用圖形化介面( GUI )的本機原則編輯器。 點選 『 控制台 』 / 『 系統管理工具 』 / 『 本機安全原則 』 (詳見圖 15-1 ),即可開啟本機原則編輯器視窗。 工具程式除了允許管理員設定帳戶原則之外,也允許設定本機安全性原則。.
E N D
Windows 伺服器安全問題 • 本機安全原則設定(Local Security Policy Settings) • 系統組態設定(System Configuration Settings)之中。 • Windows 2003特殊的設定問題
本機安全原則設定 • Windows 是採用圖形化介面(GUI)的本機原則編輯器。 • 點選『控制台』/『系統管理工具』/『本機安全原則』(詳見圖15-1),即可開啟本機原則編輯器視窗。 • 工具程式除了允許管理員設定帳戶原則之外,也允許設定本機安全性原則。
本機安全性原則GUI其實就是登錄檔(Registry)的前台編輯工具。本機安全性原則GUI其實就是登錄檔(Registry)的前台編輯工具。 • 不需要使用登錄檔編輯器(regedit或regedit32)來修改登錄檔的設定值。 • 一般而言,最好使用這個工具來變更這些安全性原則的設定值,而不是直接使用登錄檔編輯器來修改。 Windows 2000提供許多關於系統設定、本機安全原則和使用者管理設定等,許多安全性設定的範本。如果您選用其中任何一個範本,都應該清楚地瞭解這些變動會替系統帶來什麼影響。
登入訊息 • Windows提供兩種對使用者顯示登入訊息的方式: • 使用者嘗試登入的訊息文字。 • 使用者嘗試登入的訊息標題。
關機時清除虛擬記憶體分頁檔 • 在系統執行的過程中,虛擬記憶體分頁檔包含了許多重要的系統資訊,這些資訊可能包括加密金鑰或密碼雜湊。 • 只要啟用『當關機時清除虛擬記憶體分頁檔』選項,即可強迫Windows 2000關機時清除分頁檔。
允許不登入就將系統關機 • 如果一般使用者無法登入時,也不能允許他們關閉系統。 • 應該停用『允許不登入就將系統關機』。
LAN Manager驗證層級 • LAN Manageer驗證是讓Windows 2000伺服器接受Windows 95或98用戶端的驗證系統(以及Windows工作群組)。 • LAN Manager驗證機制比Windows NT或Windows 2000驗證系統(稱為NTLM v2)更不安全,因此可能讓入侵者較容易暴力攻擊加密過的密碼。
如果要強制使用NTLM v2驗證,請依照下列方式設定: • 1.選擇LAN Manager驗證層級設定。 • 2.從下拉式選單選取合適的層級 • 層級的數值應該依據使用環境的需求加以設定。六種層級設定的內容如下: • 傳送LM和NTLM回應:預設都會回應LM和NTLM。設定之後,系統將不會使用NTLM v2工作階段安全性。
傳送LM和NTLM回應:如有交涉,使用NTLMv2工作階段安全性。傳送LM和NTLM回應:如有交涉,使用NTLMv2工作階段安全性。 • 只傳送NTLM回應。 • 只傳送NTLM v2回應。 • 只傳送NTLM v2回應,拒絕LM。 • 只傳送NTLM v2回應,拒絕LM與NTLM。 在變更這些原則設定之前,應該要詳細考量網路的運作需求。如果網路上有Windows95或Windows98用戶端,就必須允許LAN Manager回應。
匿名使用者連線的其他限制 • 這個原則設定允許管理員定義匿名連線可以執行的項目。三個選項如下: • 無。依賴預設權限, • 不允許SAM帳戶與共同的列舉 • 沒有明確宣告的匿名權限則不能存取
Windows 2003額外的本機安全原則設定 • Windows 2003伺服器和Windows 2000的本機安全原則設定的為一不同之處,就是軟體限制原則(Software Restriction Policies,SRP)(詳見圖15-3)。 • SRP允許控制可以在本機電腦系統執行的軟體。 • 管理員可以利用這個選項,設定電腦系統是否允許執行某些特定類型的軟體,而且也可以用來防止執行不信任的軟體。
軟體限制原則 圖15-3 本機系統的軟體限制原則
軟體限制原則 • 管理員可以定義預設的安全性層級(允許可以執行軟體)或是拒絕執行軟體(允許執行軟體的決策相當模糊)。 • 雖然後者的成效較好,但是也可能造成限制性過高的結果。 • 在這些軟體影響任何系統運作之前,多花點時間詳加測試與設定。 • 在設定軟體限制原則的預設值之後,即可針對特定軟體建立軟體限制原則規則,並做為預設的例外安全性層級。
軟體限制原則 • 可以做為例外軟體的依據如下: • 雜湊 • 憑證 • 路徑(包含登錄資訊的路徑) • 網際網路區域 • 使用軟體限制原則可以達成下列目標: • 限制某些在電子郵件程式附件目錄之下執行的檔案類型。 • 限制某些使用者可以在終端機伺服器執行的程式。 千萬記得軟體限制原則無法取代防毒軟體。
系統設定 • 檔案系統 • 網路設定 • 帳戶設定 • Service pack和修補
檔案系統 • Windows 2000系統上的所有檔案系統,都應該轉換成NTFS檔案系統。 • FAT檔案系統並不允許設定檔案許可權限,因此採用NTFS會比較好。 • 如果系統含有FAT擋案系統,也可以執行CONVERT程式將它轉換成NTFS。 • 程式執行完畢將會重新開機,但是不曾影響檔案系統上的現有資料。
Windows 2000 採用新版的NTFS檔案系統 一 NTFS-5。NTFS-5新增許多個人許可權的設定項目: • 跨資料夾/執行檔案 • 列出資料夾/讀取資料 • 讀取屬性 • 讀取擴充屬性 • 建立檔案/寫入資料 • 建立資料夾/附加資料
寫入屬性 • 寫入擴充屬性 • 刪除子資料夾及檔案 • 刪除 • 讀取許可權 • 變更許可權 • 取得擁有權 • 在Woindows 2000正式運作之前,管理員和安全幕僚應該瞭解這些新的許可權設定,並檢視檔案和資料夾的許可權架構。
檔案加密系統(Encrypting File System): • 如果入侵者可以利用其它作業系統開機(例如DOS),要求Windows 2000或Windows NT系統重新開機,接著就可以使用程式(例如NTFSDOS)讀取檔案並繞過NTFS的存取控管。 • 在使用Windows NT或Windows 2000時,NTFS檔案系統的缺點之一就是只能保護檔案。 • Windows 2000增加的檔案加密系統(Encrypting File System,EFS),就是用來保護檔案避免遭受這種類型的攻擊。
檔案加密系統(Encrypting File System): • EFS是一種『透通』的設計方式 - 使用者無須處理檔案的加/解密動作(只要資料夾或檔案啟用EFS即可)。 • 在檔案需要加密時,系統會使用對稱式金鑰演算法選擇金鑰,並對檔案加密。 • 依據一個或多個可以存取檔案的使用者公眾金鑰,最後再對這個金鑰加密。 • EFS具有可以還原加密資訊的內建機制。在預設的情況下,本機Administrator帳戶解密任何EFS檔案。
檔案加密系統(Encrypting File System): • EFS是作業系統和使用者之間的介面,某些命令會對檔案執行加密的動作。 • 如果寫入非NTFS 5.0 磁碟分割區或磁片,檔案寫入時並不會再次加密。 • 如果將檔案複製到其他電腦上,會使用不同的對稱式金鑰演算法重新加密。
共享(Share) • 如同Windows NT一樣,Windows 2000開機時會建立系統管理共享。 • 共享資源包含C$、D$、IPC$、ADMIN$和NETLOGON(網域控制站才有)。 • 只要點選『控制台』/『系統管理工具』的『電腦管理』(詳見圖15-4),即可全部列出目前的共享清單。 • 共享資料夾應設定密碼。 • 雖然攻擊者可能利用這些共享資源暴力破解Administrator帳戶的密碼,不過還是不建議關閉這些共享資源。
網路設定 • 除了Windows標準的連接埠(135、137、139)之外,Windows2000還多了下列連接埠: • Kerberos使用的連接埠88 • SMB over IP的連接埠445 • Kerberos kpasswd的連接埠464 • 網際網路 Key Exchange(IKE)的連接埠500(UDP專用)。
移除NetBIOS • 如果想要移除Windows 2000系統的NetBIOS,可以從『網路和撥號連線』畫面中,『進階』選單之下的『進階設定』開啟進階設定的畫面。 • 再點選『介面卡及連結』頁籤,最後停用特定介面的『File and Printer Sharing for Mircosoft Networks』(詳見圖15-5)。
移除NetBIOS 圖15-5 移除NetBIOS繫結
帳戶設定 • Windows 2000含有兩個預設的帳戶:Administrator和Guest。 • 利用『本機安全性設定』工具程式的『重新命名系統管理員帳戶』和『將來賓帳戶重新命名成』,即可變更這兩個帳戶的名稱。 • 應該要關閉Guest帳戶,而且一般都會一使用長串隨機字串,重新設定Geuest帳戶的密碼。 • 組織的每一部Windows 2000工作站和伺服器,都會含有本機設備的Administrator帳戶。
應該要建立一個可以將密碼定義成非常牢靠的程序,才能妥善地保護這些帳戶。應該要建立一個可以將密碼定義成非常牢靠的程序,才能妥善地保護這些帳戶。 • 密碼原則: • 可以透過『本機安全性原則』工具程式設定系統的密碼原則(詳見圖15-6)。 • 在設定畫面中,允許管理員設定密碼的參數和要求的長度。 在本章的群組原則和Active Directory內容中,將會詳細說明『密碼原則』和『帳戶鎖定原則』。
不論是在哪一種系統上,這些設定的內容都應該要符合組織的安全政策。不論是在哪一種系統上,這些設定的內容都應該要符合組織的安全政策。 • 如果啟用『密碼必須符合複雜性需求』,將會啟用預設的密碼過濾器(PASSFILT.DLL)。 • 這個過濾器會要求所有密碼必須輸入至少含有六個字元以上,其中不能含有任何使用者姓名,且至少需要含有三個:數值、符號、小寫字元或大寫字元。 • 除非有絕對的必要性, 否則千萬不要啟用『儲存可復原加密的密碼』設定。
圖15-6 利用本機安全性設定工具程式來建立密碼原則
帳戶鎖定原則: • 利用本機安全性原則工具程式,也可以設定『帳戶鎖定原則』(詳見圖15-7)。 • 應該依據組織的安全政策設定這些項目。 • 帳戶鎖定原則並不能強制套用在Administrator帳戶。這是因為Administrator帳戶永遠可以從系統的主控台(console)登入。 『帳戶鎖定原則』可以用來防止入侵者使用暴力攻擊猜測密碼。但是入侵者也可能對所有帳戶發動阻斷服務攻擊。因此,在設定這項原則之前,最好能夠考量鎖定的時間長度對使用者的影響程度。
圖15-7 利用本機安全性設定工具程式建立帳戶鎖定原則
Service pack和修補 • 請使用自動Update
Windows 2003特殊的設定問題 • 最初的系統設定和Windows 2000一樣。管理員需要確認已經適當地設定下列三種服務: • 終端機服務 • 軟體限制 • .NET framework組態設定
終端機服務 • 在預設的情況下,Windows 2003伺服器提供遠端管理桌面(Windows 2000的遠端管理模式之中的終端機服務)服務。 • 這項服務在主控台工作階段(session)之中,最多允許兩組遠端工作階段。 • 為了盡可能提供這項服務的安全性,管理員需要確認在終端機服務組態設定的畫面中,已經適當地設定特定連線的『內容(Properties)』選項(詳見圖15-8)。
加密層級: • 可以用來保護用戶端和伺服器之間,傳輸資料的可用加密層級如下: • 低:使用56位元金鑰加密。 • 用戶端相容:用戶端支援最大金鑰長度的加密方式。 • 高:使用128位元加密。用戶端可能無法支援這種層級的加密方式,所以可能也會無法連線。 • 依據FIPS:採用美國聯邦資訊處理程序標準的140-1確認加密法,來保護傳輸中的資料。
登入設定: • 當用戶端連線到終端機伺服器時,使用預設的登入憑證(詳見圖15-9)。 • 在預設的情況下,是由用戶端提出登入的憑證。 • 另一選擇 - 所有連線採用單一帳戶。 • 最後的選擇可能要求用戶輸入密碼,另外一種選擇就是所有連線都是使用相同的使用者帳戶。
網路介面設定: • 這個選項可以用來判斷使用哪一個網路介面負責監聽這項服務。 • 只有在系統含有多組網路介面時才允許設定。 • 只要妥善管理使用者帳戶(使用牢靠的密碼、鎖定帳戶等等),且利用適當的保護機制(例如防火牆),即可提供這項服務所需的安全性。
.NET Framework 組態設定 • .NET framework組態設定工具(詳見圖15-10)特別是.NET framework 1.1版,允許設定存取安全性原則的程式碼。 • 這項工具程式可以用來加強安全和(或)移除已經安裝在系統上的管理元件。 • 從安全性的觀點看來,也可以利用這個工具程式來控制應用程式存取受到保護的資源。 • 安全系統透過三種原則層級(企業、設備使用者),來判斷可以允許的權限組合。
.NET Framework 組態設定 圖15-10 .NET 組態設定工具程式
.NET Framework 組態設定 • 企業:針對整個企業的安全性原則(以每一部設備做為套用這項原則的為基準時,企業原則和設備原則之間的界線會變得非常模糊。不過在發行最終版本時,可能會變得非常明確)。 • 設備:套用在所有執行程式碼的系統上。 • 使用者:套用在目前已經登入的使用者。 • 應該要個別地評估每一項原則,而且也要利用原則的組合結果,設定程式碼只能具有最低限度的權限授予。 • 判斷『拒絕』的優先權要比『允許』的優先權來得高。
15-2 管理使用者 • Windows 2000系統的使用者管理,是組織和系統安全非常重要的一環。 • 組織應該建立完善的程序,來確認每一位新使用者應該擁有的許可權等級。 • 在員工離職的當下,組織也應該具有一套移除使用者對於系統存取權限的程序。 • 本節的內容如下: • 15-2-1 新增使用者 • 15-2-2 設定檔案許可權 • 15-2-3 刪除使用者
15-2-1 新增使用者 • 在系統新增使用者之時,務必確認完全符合組織的使用者管理程序。 • 應該定義『誰會需要新的帳號』、『誰可以核准新增帳號的需求』。 • 在系統或網域的『電腦管理』工具程式畫面中,點選『本機使用者和群組』節點再『使用者』項目。接著點選『執行』選單之下的『新使用者』選項,即可新增新的使用者(詳見圖15-11)。
如同Windows NT一樣,每一位使用者應該都具有唯一的使用者ID和帳戶。 • 如果兩個使用者需要相同的存取權限時,那麼也應該分別建立兩個帳戶並隸屬於同一個群組。 • 在任何情況下,都不應該多人共用相同的帳戶。