Windows Server 2003 安全性指南
本文內容
第 7 章:檔案伺服器角色
更新日期: 2006 年 7 月 17 日
本頁內容
概觀 稽核原則設定 使用者權利指派 安全性選項 事件記錄設定 其他安全性設定 使用 SCW 建立原則 總結
概觀
要強化執行 Microsoft® Windows Server™ 2003 Service Pack 1 (SP1) 的檔案伺服器電腦並不容易,因為這些伺服器所提供的大部分重要服務必須使用伺服器訊息區 (SMB) 和 Common Internet File System (CIFS) 通訊協定的服務。 這些通訊協定可以提供豐富的資訊給未經驗證的使用者,因此通常在高安全性的 Windows 環境下都不會啟用它們。 但如果停用這些通訊協定,使用者和系統管理員就很難存取檔案伺服器了。
本章大部份的原則設定,都是透過群組原則加以設定和套用。 補充成員伺服器基準線原則 (MSBP) 的群組原則物件 (GPO),可以連結到含有檔案伺服器的適當組織單位 (OU),針對這個伺服器角色提供必要的安全性設定。 本章只討論與 MSBP 不同的原則設定。
在可能的情況下,這些原則設定會聚集在準備套用到檔案伺服器 OU 的增量群組原則物件中。 本章有些原則設定,是無法透過群組原則加以套用的。 本指南將詳細說明手動設定這些原則設定的方法。
下表所列的,是本指南定義檔案伺服器在三個環境下的檔案伺服器安全性範本名稱。 這些範本可以提供增量檔案伺服器範本的設定,讓您建立新的 GPO,連結到適當環境下的檔案伺服器 OU。 第 2 章《Windows Server 2003 強化機制》中提供逐步指示,協助您建立 OU 和群組原則,然後將適當的安全性範本匯入到每個 GPO 中。
表 7.1 檔案伺服器安全性範本
LC-File Server.inf
EC-File Server.inf
SSLF-File Server.inf
如需 MSBP 的原則設定的相關資訊,請參閱第 4 章<成員伺服器基準線原則>。如需所有預設原則設定的相關資訊,請參閱同系列指南[*威脅與因應對策:Windows Server 2003 和 Windows XP 的安全性設定*](https://go.microsoft.com/fwlink/?linkid=15159),網址為:https://go.microsoft.com/fwlink/?LinkId=15159。
[](#mainsection)[回到頁首](#mainsection)
### 稽核原則設定
本指南定義檔案伺服器在三個環境中的稽核原則設定,都是透過 MSBP 加以設定。 如需 MSBP 的詳細資訊,請參閱第 4 章<成員伺服器基準線原則>。MSBP 設定可以讓安全性稽核資訊記錄到所有的檔案伺服器。
[](#mainsection)[回到頁首](#mainsection)
### 使用者權利指派
本指南定義檔案伺服器在三個環境中的使用者權利指派設定,都是透過 MSBP 加以設定。 如需 MSBP 的詳細資訊,請參閱第 4 章<成員伺服器基準線原則>。MSBP 設定可以在所有的檔案伺服器上,統一設定所有適當的使用者權利指派。
[](#mainsection)[回到頁首](#mainsection)
### 安全性選項
本指南定義檔案伺服器在三個環境中的安全性選項設定,都是透過 MSBP 加以設定。 如需 MSBP 的詳細資訊,請參閱第 4 章<成員伺服器基準線原則>。MSBP 設定可以在所有的檔案伺服器上,統一設定所有相關的安全性選項設定。
[](#mainsection)[回到頁首](#mainsection)
### 事件記錄設定
本指南定義檔案伺服器在三個環境中的事件記錄檔設定,都是透過 MSBP 加以設定。 如需 MSBP 的更多資訊,請參閱第 4 章<成員伺服器基準線原則>。
[](#mainsection)[回到頁首](#mainsection)
### 其他安全性設定
雖然 MSBP 所套用的安全性設定,大幅加強了檔案伺服器的安全性,本節還會另外討論其他考量。 但是本節所提及的設定,無法透過群組原則加以實作,因此必須在所有的檔案伺服器上手動執行。
#### 保護已知帳戶
Windows Server 2003 SP1 有一些無法刪除但可以重新命名的內建使用者帳戶。 Windows Server 2003 內兩個最眾所皆知的內建帳戶是 Guest 和 Administrator。
在預設的情況下,Guest 帳戶在成員伺服器和網域控制站上,都是停用狀態。 此設定不得變更。 各種型態的惡意程式碼會先利用內建的 Administrator 帳戶來嘗試入侵伺服器。 因此,您應該重新命名內建 Administrator 帳戶並修改其說明,以防攻擊者利用此已知帳戶對遠端伺服器進行攻擊。
此設定變更的值在過去幾年中已經降低,因為已有攻擊工具能透過指定內建 Administrator 帳戶的安全性識別元 (SID) 來判斷真實名稱,然後嘗試破解伺服器。 SID 是用於明確識別網路上每一個使用者、群組、電腦帳戶以及登入工作階段的一個值。 此內建帳戶的 SID 無法變更。 如果以唯一名稱重新命名了此 Administrator 帳戶,操作群組就能輕易監視對此帳戶的攻擊嘗試。
**保護檔案伺服器上的熟知帳戶**
- 將每個網域和伺服器的 Administrator 與 Guest 帳戶重新命名,然後將密碼變更為一個更長、更複雜的值。
- 每個伺服器都使用不同的名稱及密碼。 如果所有網域及伺服器上都使用相同的帳戶名稱與密碼,攻擊者在取得一個成員伺服器的存取權限之後,就能存取所有其他伺服器。
- 將帳戶說明變更成不同於預設值的說明,以協助防止帳戶易於識破。
- 在安全的地方記錄您所作的任何變更。
**注意**:您可以透過群組原則重新命名內建的 Administrator 帳戶。 本指南提供的所有安全性範本均未實作此設定,因為每個組織都應該為此帳戶選擇唯一的名稱。 但您可以設定 \[帳戶: 重新命名系統管理員帳戶\] 設定,以重新命名本指南所定義的三種環境中的系統管理員帳戶。 此原則設定是 GPO 安全性選項設定的一部分。
#### 保護服務帳戶
除非絕對必要,否則切勿將服務設定成在網域帳戶的安全性內容下執行。 如果伺服器實體遭到破壞,網域帳戶密碼就會很容易透過傾印 LSA 機密而洩漏出去。 如需如何保護服務帳戶的詳細資訊,請參閱[服務和服務帳戶安全性規劃指南](https://www.microsoft.com/technet/security/topics/serversecurity/serviceaccount/default.mspx) (英文),網址為:www.microsoft.com/technet/security/topics/serversecurity/serviceaccount/default.mspx。
[](#mainsection)[回到頁首](#mainsection)
### 使用 SCW 建立原則
若要部署必要的安全性設定,您必須使用安全性設定精靈 (SCW) 和本指南之下載版本中所包含的安全性範本來建立伺服器原則。
建立您自己的原則時,請務必略過 \[登錄設定\] 和 \[稽核原則\] 區段。 上述設定均為安全性範本針對您所選的環境所提供的設定。 您必須使用此方法,以確保範本所提供的原則元素優先於 SCW 所設定的原則元素。
您應該使用新安裝的作業系統來開始設定工作,以確保不會誤用之前設定的舊設定或軟體。 如有可能,您應將作業系統安裝到與您部署所用的類似硬體上,以儘量確保相容性。 新安裝的電腦稱為「參照電腦」。
**建立檔案伺服器原則**
1. 在一台新的參照電腦上安裝 Windows Server 2003 SP1。
2. 在新電腦上,透過 \[控制台\]、\[新增/移除程式\]、\[新增/移除 Windows 元件\] 來安裝「安全性設定精靈」元件。
3. 將電腦加到網域中,這樣將會套用來自上層 OU 的所有安全性設定。
4. 僅安裝和設定要在每個伺服器上共用此角色的強制應用程式。 例如,特定角色的服務、軟體和管理代理程式、磁帶備份代理程式,以及防毒或反間諜軟體公用程式。
5. 啟動 SCW GUI,然後選取 \[建立新原則\],然後指向參照電腦。
6. 確保偵測到的伺服器角色,適用於您的環境:例如,檔案伺服器角色。
7. 確保偵測到的用戶端功能適用於您的環境。
8. 確保偵測到的系統管理選項適用於您的環境。
9. 確定已偵測到基準線所需的任何其他服務,例如:備份代理程式或防毒軟體。
10. 決定如何在環境中處理未指定的服務。 如要增強安全性,您可能要將此原則設定設為 \[已停用\]。 將此設定部署到生產網路中之前,應先對其進行測試。如果生產伺服器執行其他未複製到參照電腦上的服務,此設定可能會導致問題發生。
11. 確定在 \[網路安全性\] 區段中未核取 \[略過此區段\] 核取方塊,然後按一下 \[下一步\]。 之前識別出的適當連接埠和應用程式已設定為 Windows 防火牆的例外狀況。
12. 在 \[登錄設定\] 區段中,按一下 \[略過此區段\] 核取方塊,然後按一下 \[下一步\]。 這些原則設定會從提供的 INF 檔案中匯入。
13. 在 \[稽核原則\] 一節中,按一下 \[略過此區段\] 核取方塊,然後按一下 \[下一步\]。 這些原則設定會從提供的 INF 檔案中匯入。
14. 納入適當的安全性範本 (例如,EC-File Server.inf)。
15. 以適當的名字儲存原則 (例如,File Server.xml)。
#### 使用 SCW 測試原則
建立並儲存原則之後,Microsoft 強烈建議您將原則部署到測試環境中。 在理想的情況下,您的測試伺服器會擁有與生產伺服器相同的硬體和軟體設定。 此方法可幫您找出並解決潛在的問題,例如,存在特定硬體裝置所需的非預期服務。
您有兩種測試原則的選擇。 您可以使用原生 SCW 部署功能,或透過 GPO 來部署此原則。
開始撰寫原則時,您應考慮使用原生 SCW 部署功能。 您可以使用 SCW GUI,一次推入一個原則到單一伺服器中,或者使用 Scwcmd,將原則推入一群伺服器中。 原生部署方式能讓您在 SCW 內輕易回復已部署的原則。 如果在測試過程中對原則進行多次修訂,則此功能就會變得非常實用。
經過測試的原則可以確保將此原則套用到目標伺服器之後,不會對其重要功能造成負面影響。 套用設定變更後,您應該開始確認電腦的核心功能。 例如,如果將伺服器設定為憑證授權單位 (CA),請確定用戶端可以要求和獲得憑證、下載憑證撤銷清單等。
確定原則設定後,您即可按照下列程序所示,使用 Scwcmd 將原則轉換成 GPO。
如需如何測試 SCW 原則的詳細資料,請參閱[安全性設定精靈部署指南](https://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/scwdeploying/5254f8cd-143e-4559-a299-9c723b366946.mspx) (英文),網址為:www.microsoft.com/technet/prodtechnol/windowsserver2003/
library/SCWDeploying/5254f8cd-143e-4559-a299-9c723b366946.mspx 和[安全性設定精靈說明文件](https://go.microsoft.com/fwlink/?linkid=43450) (英文),網址為:https://go.microsoft.com/fwlink/?linkid=43450。
#### 轉換和部署原則
徹底測試原則之後,請完成下列步驟將原則轉換成 GPO 中並進行部署:
1. 在命令提示字元中,輸入下列命令:
```
scwcmd transform /p: