閱讀英文

共用方式為


Windows Server 2003 安全性指南

第 11 章:憑證服務伺服器角色

更新日期: 2006 年 7 月 17 日

本頁內容

概觀
稽核原則設定
使用者權利指派
安全性選項
事件記錄設定
其他登錄項目
其他安全性設定
使用 SCW 建立原則
總結

概觀

本章提供如何為環境中執行 Microsoft® Windows Server™ 2003 SP1 與 Microsoft 憑證服務的伺服器強化安全性的指引。 雖然本章包含保護這幾類伺服器安全所需的完整資訊,但對於如何在組織中建立安全的「憑證服務」基礎結構、或如何部署憑證授權單位 (CA),並未提供詳細資料。 這類主題在 Windows Server 2003 產品說明文件中有詳盡的討論。 此外也在 Windows Server 2003 Resource Kit 與 Microsoft 網站中的白皮書有所討論。 如需其他資訊,請參閱同系列指南:以憑證服務保護無線區域網路的安全,網址 https://go.microsoft.com/fwlink/?LinkId=14843。

本指南所述之設定均透過群組原則來進行設定和套用。 補充成員伺服器基準線原則 (MSBP) 的群組原則物件 (GPO),可以連結到含有 CA 伺服器的適當組織單位 (OU),針對這個伺服器角色提供必要的安全性設定變更。 本章只討論與 MSBP 不同的原則設定。

在可能的情況下,這些設定會收集到準備套用到 CA 伺服器 OU 的增量群組原則範本中。 本指南所述之部分設定無法透過群組原則來進行套用。 本指南還提供如何手動設定這些設定的詳細資訊。

適用於 EC 環境的 CA 伺服器安全性範本名稱是 EC-CA Server.inf。 這是增量的 CA 伺服器範本,用來建立新的 GPO,連結到適當環境下的 CA 伺服器 OU。 第 2 章<Windows Server 2003 強化機制>中提供有逐步指示,協助您建立 OU 和群組原則之後,將適當的安全性範本匯入到每個 GPO 中。

如需 MSBP 的設定的相關資訊,請參閱第 4 章<成員伺服器基準線原則>。如需所有預設設定的相關資訊,請參閱同系列指南威脅與因應對策:Windows Server 2003 和 Windows XP 中的安全性設定,網址為:https://go.microsoft.com/fwlink/?LinkId=15159。

注意:針對「憑證服務」伺服器角色所建議的原則設定僅針對「企業用戶端」環境進行測試。 因此,本章內容未包含本指南中針對大多數其他伺服器角色所指定的拒絕服務 (DoS) 資訊。

您可以先在環境中的一些憑證服務伺服器安裝 Microsoft 網際網路資訊服務 (IIS),以便這些伺服器能發佈 CA 憑證與憑證撤銷清單 (CRL)。 IIS 也可以用來裝載憑證服務伺服器網頁註冊頁,讓非 Microsoft Windows® 用戶端進行憑證註冊。 按照本章所提供的資訊採取行動之前,請務必先瞭解如何安全地安裝 IIS;說明請參閱本指南第 9 章<網頁伺服器角色>。 如果在 CA 安裝 IIS,為第 9 章所開發的安全性設定範本必須先套用到憑證服務伺服器,再完成本章所說明的指定設定。

注意:在較簡單的環境中,發行 CA 的伺服器可用來裝載網頁伺服器、CA 憑證,以及 CRL 下載點。 但是請考慮使用自身環境中的另一部網頁伺服器,以提高 CA 的安全性。

IIS 可以用來主控憑證伺服器註冊頁面,並為非 Windows 用戶端發佈 CA 憑證和 CRL 下載點。 Microsoft 建議您不要在根 CA 伺服器安裝 IIS。 如果可行,也應該避免在環境中執行發行的 CA 或在任何中繼 CA 上執行 IIS。 將 CA 憑證與 CRL 的 Web 下載點裝載於 CA 伺服器以外的其他伺服器,是比較安全的作法。 有許多需要擷取 CRL、或 CA 鏈結資訊的憑證使用者 (內部與外部),不一定要允許他們存取 CA 。 然而,若將下載點裝載到 CA,您便無法將使用者與 CA 隔離。

回到頁首

稽核原則設定

本指南所定義的「企業用戶端」環境中,憑證服務伺服器的稽核原則設定,是透過 MSBP 所設定。 如需 MSBP 的更多資訊,請參閱第 4 章<成員伺服器基準線原則>。MSBP 設定可確保所有相關的安全性稽核資訊均記錄到所有憑證服務伺服器中。

回到頁首

使用者權利指派

「企業用戶端」環境中,憑證服務伺服器的使用者權利指派設定,也是透過 MSBP 進行設定。 如需 MSBP 的更多資訊,請參閱第 4 章<成員伺服器基準線原則>。MSBP 設定可確保全企業都能統一設定對憑證服務伺服器的適當存取權限。

回到頁首

安全性選項

群組原則的「安全性選項」區段可用來啟用、或停用電腦的安全性設定,例如,資料的數位簽章、Administrator 和 Guest 帳戶名稱、軟碟機和 CD-ROM 光碟機存取、驅動程式安裝操作、登入提示等項目。

您可以在 [群組原則物件編輯器] 中,從下列位置進行 Windows Server 2003 安全性選項設定:

電腦設定\Windows 設定\安全性設定\本機原則\安全性選項

下表所示為針對企業用戶端環境中,「憑證服務」伺服器角色所建議的安全性選項設定。 此表下方的內文說明設定的詳細資訊。

表 11.1 建議的安全性選項設定

設定 企業用戶端
系統密碼編譯: 使用 FIPS 相容方法於加密,雜湊,以及簽章 已啟用
#### 系統密碼編譯: 使用 FIPS 相容方法於加密,雜湊,以及簽章 此原則設定會確定傳輸層安全性/安全通訊端層 (TLS/SSL) 安全性提供者是否只支援 TLS\_RSA\_WITH\_3DES\_EDE\_CBC\_SHA cipher suite。 支援 Cipher Suite 實際上就表示提供者僅支援以 TLS 通訊協定作為用戶端與伺服器 (若適用)。 TLS/SSL 安全性提供者使用下列演算法: - 用於 TLS 傳輸加密的 Triple Data Encryption Standard (3DES) 加密演算法。 - 用於 TLS 金鑰交換與驗證的 RSA (Rivest、Shamir 與 Adelman) 公開金鑰演算法。 (RSA 是由 RSA Data Security, Inc. 開發的公開金鑰加密技術。) - 符合 TLS 雜湊要求的 SHA-1 雜湊演算法。 如果使用加密檔案系統服務 (EFS),TLS/SSL 安全性提供者就只能支援以 Triple DES 加密演算法將儲存在 Windows NTFS 檔案系統中的檔案資料加密。 根據預設,EFS 會使用 DESX 演算法來加密檔案資料。 如果啟用這項原則設定,您環境中滿足這個伺服器角色的電腦會使用可用於數位加密、雜湊和簽章的最強大演算法。 使用這些演算法因為能限制未經授權的使用者危害數位加密或簽章的資料,所以能使風險降到最低。 因此,企業用戶端環境的 \[系統密碼編譯: 使用 FIPS 相容方法於加密,雜湊,以及簽章\] 設定設為 \[已啟用\]。 **注意**:啟用這個原則設定的用戶端電腦,將無法透過數位加密或簽章的通訊協定,與不支援這些演算法的伺服器通訊。 不支援這些演算法的網路用戶端電腦,將無法使用需要這些演算法的伺服器來進行網路通訊。 例如,許多以 Apache 為基礎的網頁伺服器並未設定成支援 TLS。 若您啟用此設定,就必須設定 Internet Explorer 使用 TLS。 作法是從 Internet Explorer 的 \[工具\] 功能表開啟 \[網際網路選項\] 對話方塊,按一下 \[進階\] 索引標籤,捲動到 \[設定\] 清單的底端,再按一下 \[使用 TLS 1.0\] 核取方塊。 也可以透過群組原則或使用 Internet Explorer Administrators Kit 來設定這項功能。 [](#mainsection)[回到頁首](#mainsection) ### 事件記錄設定 「企業用戶端」環境中,憑證服務伺服器的事件記錄設定,是透過 MSBP 所設定。 如需 MSBP 的更多資訊,請參閱第 4 章<成員伺服器基準線原則>。 [](#mainsection)[回到頁首](#mainsection) ### 其他登錄項目 其他登錄項目是為 EC-CA Server.inf 範本檔所建立。 這些項目未在本指南中所定義「企業用戶端」環境的系統管理範本 (.adm) 檔案中指定。 這類 .adm 檔案可定義 Windows Server 2003 SP1 的系統原則,以及桌面、Shell 和安全性設定的限制。 其他登錄項目是在安全性範本中設定,以自動化其實作。 如果移除了這個環境的增量憑證服務群組原則,其設定並不會自動移除;必須使用例如 Regedt32.exe 的登錄編輯工具來手動變更。 您可以在 \[群組原則物件編輯器\] 中,從下列位置設定 Windows Server 2003 的登錄項目: **MACHINE\\SYSTEM\\CurrentControlSet\\Services\\CertSvc\\Configuration** [](#mainsection)[回到頁首](#mainsection) ### 其他安全性設定 建議使用下列 ACL,此外也可透過群組原則指派。 然而,因為伺服器彼此的資料庫與記錄的路徑各不相同,所以這些 ACL 並未包含在本指南隨附的安全性範本中。 例如憑證服務伺服器可能裝有 C:\\、D:\\ 和 E:\\ 磁碟機。 下一節內容將詳細說明如何手動實作這些原則設定。 #### 檔案系統 ACL 未以存取控制清單 (ACL) 保護的檔案,只要未經授權的使用者能在本機上或經由網路存取,便很容易加以檢視、變更或刪除。 雖然 ACL 有助於保護檔案,不過加密可提供更強的保護,也是只需要由單一使用者存取檔案時的可行選項。 下表所示為企業用戶端環境中,Windows Server 2003 憑證服務伺服器的檔案系統 ACL。 在這種環境中,憑證服務伺服器以 **D:\\CertSrv** 作為憑證資料庫目錄,資料庫記錄檔則儲存在預設資料夾 **%SystemRoot%\\system32\\CertLog**。 也可以將記錄檔從系統磁碟機移到實體分開的鏡像處理磁碟機,例如 **E:\\CertLog**。 依照安全性方面的考量,並不需要將資料庫與記錄檔分開到不同的實體磁碟機,但若要多加保護,預防磁碟機故障,同時提升效能時,則建議採取這種設定方式。 憑證服務預設的安裝資料夾 **%SystemRoot%\\system32\\CertLog** 與 **%SystemRoot%\\system32\\CertSrv** 已設定正確的 ACL,見下表所示。 **表 11.2 檔案系統 ACL**

UI 中的 ACL 路徑 企業用戶端
%SystemRoot%\system32\CertLog (傳播到全部的子資料夾) Administrators (完整控制) System (完整控制)
%SystemRoot%\system32\CertSrv (傳播到全部的子資料夾) Administrators (完整控制) System (完整控制) Users (讀取和執行、列出資料夾內容、讀取)
D:\CertLog Administrators (完整控制) System (完整控制)
D:\CertSrv Administrators (完整控制) System (完整控制) Users (讀取和執行、列出資料夾內容、讀取)

由於 CA 對於安全性敏感的特質,上表所列出的憑證服務資料夾會啟用檔案稽核。 稽核項目的設定方式如下表所示:

表 11.3 憑證服務的檔案與登錄稽核設定

檔案路徑或登錄路徑 稽核類型 稽核設定
%SystemRoot%\system32\CertLog 失敗 Everyone (完整控制)
%SystemRoot%\system32\CertSrv 成功 Everyone (修改)
D:\CertSrv 成功 Everyone (修改)
D:\CertLog 成功 Everyone (修改)
這些原則設定可稽核任何使用者所造成的所有失敗存取類型 (讀取或修改),同時稽核任何使用者所作的任何成功修改。 #### 保護已知帳戶 Windows Server 2003 SP1 有一些無法刪除但可以重新命名的內建使用者帳戶。 Windows Server 2003 內兩個最眾所皆知的內建帳戶是 Guest 和 Administrator。 在預設的情況下,Guest 帳戶在成員伺服器和網域控制站上,都是停用狀態。 此設定不得變更。 各種型態的惡意程式碼會先利用內建的 Administrator 帳戶來嘗試入侵伺服器。 因此,您應重新命名內建 Administrator 帳戶並修改其說明,以防攻擊者利用此已知帳戶對遠端伺服器進行攻擊。 此設定變更的值在過去幾年中已經降低,因為已有攻擊工具能透過指定內建 Administrator 帳戶的安全性識別元 (SID) 來判斷真實名稱,然後嘗試破解伺服器。 SID 是用於明確識別網路上每一個使用者、群組、電腦帳戶以及登入工作階段的一個值。 此內建帳戶的 SID 無法變更。 如果以唯一名稱重新命名了此 Administrator 帳戶,操作群組就能輕易監視對此帳戶的攻擊嘗試。 **保護 CA 伺服器中的已知帳戶** - 將每個網域和伺服器的 Administrator 與 Guest 帳戶重新命名,並將密碼變更為一個更長、更複雜的值。 - 每個伺服器都使用不同的名稱及密碼。 如果所有網域及伺服器上都使用相同的帳戶名稱與密碼,攻擊者在取得一個成員伺服器的存取權限之後,就能存取所有其他伺服器。 - 將帳戶說明變更成不同於預設值的說明,以協助防止帳戶易於識破。 - 將這些變更記錄在安全的位置。 **注意**:您可以透過群組原則重新命名內建的 Administrator 帳戶。 本指南提供的所有安全性範本均未實作此原則設定,因為每個組織都應該為此帳戶選擇唯一的名稱。 不過,您可以進行 \[帳戶: 重新命名系統管理員帳戶\] 設定,將 EC 環境中的 Administrator 帳戶重新命名。 此原則設定是 GPO 安全性選項設定的一部分。 #### 保護服務帳戶 除非絕對必要,否則切勿將服務設定成在網域帳戶的安全性內容下執行。 如果伺服器實體遭到破壞,網域帳戶密碼就會很容易透過傾印 LSA 機密而洩漏出去。 如需如何保護服務帳戶的詳細資訊,請參閱[服務和服務帳戶安全性規劃指南](https://www.microsoft.com/technet/security/topics/serversecurity/serviceaccount/default.mspx) (英文),網址為:www.microsoft.com/technet/security/topics/serversecurity/serviceaccount/default.mspx。 [](#mainsection)[回到頁首](#mainsection) ### 使用 SCW 建立原則 若要部署必要的安全性設定,您必須使用安全性設定精靈 (SCW) 和本指南之下載版本中所包含的安全性範本來建立伺服器原則。 建立您自己的原則時,請務必略過 \[登錄設定\] 和 \[稽核原則\] 區段。 上述設定均為安全性範本針對您所選的環境所提供的設定。 您必須使用此方法,以確保範本所提供的原則元素優先於 SCW 所設定的原則元素。 您應該使用新安裝的作業系統來開始設定工作,以確保不會誤用之前設定的舊設定或軟體。 如有可能,您應該使用您用於部署的類似硬體,以儘量確保相容性。 新安裝的電腦稱為「參照電腦」。 在伺服器原則建立過程中,您可從偵測到的角色清單中移除檔案伺服器角色。 此角色通常是在不需要此角色的伺服器上設定,因此可將其視為一種安全性風險。 若要為需要檔案伺服器角色的伺服器啟用此角色,您可以套用本程序稍後的第二個原則。 **建立憑證服務伺服器原則** 1. 在一台新的參照電腦上安裝 Windows Server 2003 SP1。 2. 在新電腦上,透過 \[控制台\]、\[新增/移除程式\]、\[新增/移除 Windows 元件\] 來安裝「安全性設定精靈」元件。 3. 將電腦加到網域中,這樣將會套用來自上層 OU 的所有安全性設定。 4. 僅安裝和設定要在每個伺服器上共用此角色的強制應用程式。 例如,特定角色的服務、軟體和管理代理程式、磁帶備份代理程式,以及防毒或反間諜軟體公用程式。 5. 啟動 SCW GUI,然後選取 \[建立新原則\],然後指向參照電腦。 6. 確保偵測到的伺服器角色適用於您的環境:例如,憑證服務角色。 7. 確保偵測到的用戶端功能適用於您的環境。 8. 確保偵測到的系統管理選項適用於您的環境。 9. 確定已偵測到基準線所需的任何其他服務,例如:備份代理程式或防毒軟體。 10. 決定如何在環境中處理未指定的服務。 如要增強安全性,您可能要將此原則設定設為 \[已停用\]。 將此設定部署到生產網路中之前,應先對其進行測試。如果生產伺服器執行其他未複製到參照電腦上的服務,此設定可能會導致問題發生。 11. 確定在 \[網路安全性\] 區段中未核取 \[略過此區段\] 核取方塊,然後按一下 \[下一步\]。 之前識別出的適當連接埠和應用程式已設定為 Windows 防火牆的例外狀況。 12. 在 \[登錄設定\] 區段中,按一下 \[略過此區段\] 核取方塊,然後按一下 \[下一步\]。 這些原則設定會從提供的 INF 檔案中匯入。 13. 在 \[稽核原則\] 一節中,按一下 \[略過此區段\] 核取方塊,然後按一下 \[下一步\]。 這些原則設定會從提供的 INF 檔案中匯入。 14. 納入適當的安全性範本 (例如,EC-CA Server.inf)。 15. 以適當的名字儲存原則 (例如,Certificate Services.xml)。 #### 使用 SCW 測試原則 建立並儲存原則之後,Microsoft 強烈建議您將原則部署到測試環境中。 在理想的情況下,您的測試伺服器會擁有與生產伺服器相同的硬體和軟體設定。 此方法可幫您找出並解決潛在的問題,例如,存在特定硬體裝置所需的非預期服務。 您有兩種測試原則的選擇。 您可以使用原生 SCW 部署功能,或透過 GPO 來部署此原則。 開始撰寫原則時,您應考慮使用原生 SCW 部署功能。 您可以使用 SCW 將原則一次推入單一伺服器中,或使用 Scwcmd 將原則推入一群伺服器中。 原生部署方式能讓您在 SCW 內輕易回復已部署的原則。 如果在測試過程中對原則進行多次修訂,則此功能就會變得非常實用。 經過測試的原則可以確保將此原則套用到目標伺服器之後,不會對其重要功能造成負面影響。 套用設定變更後,您應該開始確認電腦的核心功能。 例如,如果將伺服器設定為憑證授權單位 (CA),請確定用戶端可以要求和獲得憑證、下載憑證撤銷清單等。 確定原則設定後,您即可按照下列程序所示,使用 Scwcmd 將原則轉換成 GPO。 如需如何測試 SCW 原則的詳細資料,請參閱[安全性設定精靈部署指南](https://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/scwdeploying/5254f8cd-143e-4559-a299-9c723b366946.mspx) (英文),網址為:www.microsoft.com/technet/prodtechnol/windowsserver2003/ library/SCWDeploying/5254f8cd-143e-4559-a299-9c723b366946.mspx 和[安全性設定精靈說明文件](https://go.microsoft.com/fwlink/?linkid=43450) (英文),網址為:https://go.microsoft.com/fwlink/?linkid=43450。 #### 轉換和部署原則 徹底測試原則之後,請完成下列步驟將原則轉換成 GPO 中並進行部署: 1. 在命令提示字元中,輸入下列命令: ``` scwcmd transform /p: