實作安全的管理主機
適用於:Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012
安全系統管理主機是特別針對建立安全平台所設定的工作站或伺服器,而從此安全平台,特殊權限帳戶可以對下列項目執行系統管理工作:Active Directory,或網域控制站、加入網域的系統以及已加入網域之系統上所執行的應用程式。 在此情況下,「特殊權限帳戶」不僅是指屬於 Active Directory 中最具特殊權限群組成員的帳戶,也是指任何已委派權限的帳戶,而這些權限允許執行系統管理工作。
這些帳戶可能是能夠重設網域中大部分使用者密碼的技術支援中心帳戶、用來對 DNS 記錄和區域進行系統管理的帳戶,或用於設定管理的帳戶。 安全系統管理主機專用於系統管理功能,而且不會執行電子郵件應用程式、網頁瀏覽器或生產力軟體 (例如 Microsoft Office) 這類軟體。
雖然「最具特殊權限」帳戶和群組應該據此受到最嚴格的保護,但這還是需要保護所授與的權限高於標準使用者帳戶權限的任何帳戶和群組。
安全系統管理主機可以是僅用於系統管理工作的專用工作站、執行遠端桌面閘道伺服器角色以及 IT 使用者連線以執行目的地主機系統管理的成員伺服器,或執行 Hyper-V 角色的伺服器,並為每位 IT 使用者提供用於其系統管理工作的唯一虛擬機器。 在許多環境中,可能會實作這三種方式的組合。
實作安全系統管理主機需要符合您組織大小、系統管理做法、風險偏好和預算的規劃和設定。 此處提供實作安全系統管理主機的考量和選項,讓您用來開發適合您組織的系統管理策略。
建立安全系統管理主機的原則
若要有效地保護系統免受攻擊,應該記住一些一般原則:
您絕對不應該從不受信任的主機 (即保護程度與其所管理系統不同的工作站) 對受信任的系統 (即網域控制站這類安全伺服器) 進行系統管理。
執行特殊權限活動時,您不應該依賴單一驗證因素;也就是說,不應該將使用者名稱與密碼組合視為可接受的驗證,因為只會呈現單一因素 (您知道的項目)。 您應該考慮在系統管理案例中產生和快取或儲存認證的位置。
雖然目前威脅環境中的大部分攻擊都是利用惡意程式碼和惡意駭客攻擊,但在設計和實作安全系統管理主機時,請不要省略實體安全性。
帳戶設定
即使您的組織目前未使用智慧卡,您仍然應該考慮針對特殊權限帳戶和安全系統管理主機實作它們。 系統管理主機應該設定為所有帳戶都需要智慧卡登入,方法是修改 GPO 中連結至包含系統管理主機之 OU 的下列設定:
電腦設定\原則\Windows 設定\本機原則\安全性選項\互動式登入:需要智慧卡
不論 Active Directory 中個別帳戶上的設定為何,此設定都需要所有互動式登入才能使用智慧卡。
您也應該將安全系統管理主機設定為只允許已授權帳戶登入,而這可以在下列項目中設定:
電腦設定\原則\Windows 設定\本機原則\安全性設定\本機原則\使用者權限指派
這只會將互動式 (和遠端桌面服務 (適用時)) 登入權限授與安全系統管理主機的授權使用者。
實體安全性
若要將系統管理主機視為可信任,必須將它們設定並保護到與所管理系統相同的程度。 保護網域控制站不受攻擊中所提供的大部分建議也適用於用來對網域控制站和 AD DS 資料庫進行系統管理的主機。 在大部分環境中實作安全系統管理系統的其中一個挑戰是可能更難實作實體安全性,因為這些電腦通常位於不像資料中心內所裝載伺服器一樣安全的區域,例如系統管理使用者的桌面。
實體安全性包括控制系統管理主機的實體存取。 在小型組織中,這可能表示您維護專用系統管理工作站,而且此工作站會在未使用時一直鎖定在辦公室或書桌抽屜中。 或者,這可能表示當您需要執行 Active Directory 或網域控制站的系統管理時,可以直接登入至網域控制站。
在中型組織中,您可能會考慮實作安全系統管理「跳躍伺服器」,而這些伺服器位於辦公室的安全位置,並在需要管理 Active Directory 或網域控制站時使用。 在使用或不使用跳躍伺服器的情況下,您也可以實作在未使用時鎖定在安全位置中的系統管理工作站。
在大型組織中,您可以部署資料中心式跳躍伺服器,而這類伺服器嚴格控制對 Active Directory、網域控制站以及檔案、列印或應用程式伺服器的存取。 跳躍伺服器架構的實作很有可能會包括大型環境中的安全工作站與伺服器組合。
無論您組織的大小和系統管理主機的設計為何,您都應該保護實體電腦免於未經授權的存取或竊取,而且應該使用 BitLocker 磁碟機加密來加密和保護系統管理主機上的磁碟機。 在系統管理主機上實作 BitLocker,這樣,即使主機遭竊或其磁碟遭到移除,您還是可以確保未經授權的使用者無法存取磁碟機上的資料。
作業系統版本和設定
所有系統管理主機 (不論是伺服器或工作站) 都應該執行您組織中正在使用的最新作業系統,原因如本文件稍早所述。 執行目前作業系統,您的系統管理人員即可獲益於新的安全性功能、完整廠商支援,以及作業系統中引進的其他功能。 此外,當您要評估新的作業系統時,透過先將其部署至系統管理主機,您將需要熟悉其所提供的新功能、設定和管理機制,而接著可以在規劃更廣泛的作業系統部署時利用這些項目。 屆時,您組織中經驗最豐富的使用者也會是熟悉新作業系統且最適合提供其支援的使用者。
Microsoft 安全性設定精靈
如果您實作跳躍伺服器作為系統管理主機策略的一部分,則應該使用內建的 [安全性設定精靈] 來設定服務、登錄、稽核和防火牆設定,以減少伺服器的受攻擊面。 已收集並設定 [安全性設定精靈] 組態設定時,可以將設定轉換成 GPO,以用來在所有跳躍伺服器上強制執行一致的基準設定。 您可以進一步編輯 GPO 以實作跳躍伺服器特有安全性設定,而且可以合併使用所有設定與從 Microsoft Security Compliance Manager 擷取的其他基準設定。
Microsoft Security Compliance Manager
Microsoft Security Compliance Manager 是一種可免費使用的工具,而此工具會根據作業系統版本和角色設定來整合 Microsoft 所建議的安全性設定,並將它們收集至單一工具和 UI,而這個單一工具和 UI 可以用來建立和設定網域控制站的基準安全性設定。 Microsoft Security Compliance Manager 範本可以與 [安全性設定精靈] 設定合併使用,以針對跳躍伺服器產生完整的設定基準,而跳躍伺服器是由 GPO 所部署和強制執行,而且 GPO 部署於 Active Directory 中跳躍伺服器所在的 OU。
注意
截至本文為止,Microsoft Security Compliance Manager 未包括跳躍伺服器或其他安全系統管理主機的特定設定,但仍然可以使用 Security Compliance Manager (SCM) 來建立您系統管理主機的初始基準。 不過,若要正確保護主機,您應該套用適用於高度安全工作站和伺服器的其他安全性設定。
AppLocker
應該透過 AppLocker 或協力廠商應用程式限制軟體以使用指令碼、工具和應用程式來設定系統管理主機和虛擬機器。 任何不符合安全設定的系統管理應用程式或公用程式都應該升級或取代為符合安全開發和系統管理做法的工具。 系統管理主機上需要新的或其他工具時,應該徹底測試應用程式和公用程式,而且,如果工具適合系統管理主機上的部署,則可以將其新增至系統。
RDP 限制
雖然特定設定將會根據系統管理系統的架構而不同,但您應該包括可以使用哪些帳戶和電腦來建立遠端桌面通訊協定 (RDP) 與受管理系統之連線的限制,例如使用遠端桌面閘道 (RD 閘道) 跳躍伺服器來控制已授權使用者和系統對網域控制站和其他受管理系統的存取。
您應該允許已授權使用者進行互動式登入,而且應該移除甚至封鎖伺服器存取不需要的其他登入類型。
修補程式和設定管理
較小的組織可能會依賴 Windows Update 或 Windows Server Update Services (WSUS) 這類供應項目來管理 Windows 系統的更新部署,而較大的組織可能會實作 Microsoft Endpoint Configuration Manager 這類企業修補程式和設定管理軟體。 無論您用來將更新部署至一般伺服器和工作站母體的機制為何,您都應該考慮針對高度安全系統 (例如網域控制站、憑證授權單位和系統管理主機) 進行個別部署。 將這些系統與一般管理基礎結構隔離,這樣,如果您的管理軟體或服務帳戶遭到入侵,就無法輕易地將入侵延伸至基礎結構中最安全的系統。
雖然您不應該針對安全系統實作手動更新程序,但您應該設定個別基礎結構來更新安全系統。 即使在極大型組織中,通常也可以透過安全系統中的專用 WSUS 伺服器和 GPO 來實作此基礎結構。
封鎖網際網路存取
不應該允許系統管理主機來存取網際網路,它們也不應該能夠瀏覽組織的內部網路。 系統管理主機上不應該允許網頁瀏覽器和類似的應用程式。 您可以透過安全主機上的周邊防火牆設定、WFAS 設定和「黑洞」Proxy 設定的組合,來封鎖安全主機的網際網路存取。 您也可以使用應用程式允許清單,以防止在系統管理主機上使用網頁瀏覽器。
虛擬化
可能的話,請考慮將虛擬機器實作為系統管理主機。 您可以使用虛擬化來建立可集中儲存和管理的個別使用者系統管理系統,而且可以在未使用時輕鬆地予以關閉,確保系統管理系統上沒有使用中認證。 您也可以要求虛擬系統管理主機在每次使用之後重設為初始快照集,確保虛擬機器保持原始狀態。 下節提供系統管理主機虛擬化選項的詳細資訊。
實作安全系統管理主機的範例方式
無論您如何設計和部署系統管理主機基礎結構,您都應該記住本主題稍早<建立安全系統管理主機的原則>中所提供的指導方針。 這裡所述的每種方式都會提供一般資訊,以說明如何區隔 IT 人員所使用的「系統管理」和「生產力」系統。 生產力系統是 IT 系統管理員用來檢查電子郵件、瀏覽網際網路以及使用 Microsoft Office 這類一般生產力軟體的電腦。 系統管理系統是經過強化且專用於 IT 環境日常系統管理的電腦。
實作安全系統管理主機最簡單的方式是為 IT 人員提供安全工作站,讓他們可以從中執行系統管理工作。 在僅限工作站實作中,會使用每個系統管理工作站來啟動管理工具和 RDP 連線,以管理伺服器和其他基礎結構。 僅限工作站實作在較小組織中可能很有效,但較大型且更複雜的基礎結構可能會受益於在其中使用專用系統管理伺服器和工作站的系統管理主機分散式設計,如本主題稍後的<實作安全系統管理工作站和跳躍伺服器>中所述。
實作個別實體工作站
您可以實作系統管理主機的其中一種方式是對每個 IT 使用者發行兩個工作站。 其中一個工作站會與「一般」使用者帳戶搭配使用來執行活動 (例如,檢查電子郵件,以及使用生產力應用程式),而第二個工作站則嚴格專用於系統管理功能。
針對生產力工作站,可以將一般使用者帳戶授與 IT 人員,而不是使用特殊權限帳戶來登入不安全的電腦。 系統管理工作站應該已設定嚴格控制設定,而且 IT 人員應該使用不同的帳戶來登入系統管理工作站。
如果您已實作智慧卡,則系統管理工作站應該設定為需要智慧卡登入,而且 IT 人員應該獲提供個別帳戶來進行系統管理使用,也設定為需要智慧卡才能進行互動式登入。 系統管理主機應該如先前所述進行強化,而且只應該允許所指定的 IT 使用者在本機登入系統管理工作站。
優點
實作個別的實體系統,即可確保每部電腦都針對其角色適當地進行設定,而且 IT 使用者無法不小心地讓系統面臨風險。
缺點
實作個別實體電腦會增加硬體成本。
使用用來對遠端系統進行系統管理的認證來登入實體電腦,會將認證快取至記憶體。
如果未安全地儲存系統管理工作站,則其可能很容易透過實體硬體金鑰記錄器或其他實體攻擊這類機制而遭到入侵。
使用虛擬化生產力工作站來實作安全實體工作站
在此方式中,IT 使用者會獲得受保護的系統管理工作站,而他們可以從中使用遠端伺服器系統管理工具 (RSAT) 或伺服器責任範圍內的 RDP 連線來執行日常系統管理功能。 IT 使用者需要執行生產力工作時,可以透過 RDP 連線至以虛擬機器身分執行的遠端生產力工作站。 應該針對每個工作站使用個別的認證,而且應該實作智慧卡這類控制項。
優點
系統管理工作站和生產力工作站會分開。
使用安全工作站連線至生產力工作站的 IT 人員可以使用個別的認證和智慧卡,而且不會將特殊權限認證儲存在較不安全的電腦上。
缺點
實作解決方案需要設計和實作工作以及健全的虛擬化選項。
如果實體工作站未安全地予以儲存,則可能會容易受到可危害硬體或作業系統的實體攻擊,而且很容易發生通訊攔截。
實作具有個別「生產力」和「系統管理」虛擬機器連線的單一安全工作站
在此方式中,您可以對 IT 使用者發行如先前所述予以鎖定的單一實體工作站,以及 IT 使用者沒有其特殊權限存取權。 您可以針對專用伺服器上所裝載的虛擬機器提供遠端桌面服務連線,以針對 IT 人員提供一部執行電子郵件和其他生產力應用程式的虛擬機器,以及設定為使用者專用系統管理主機的第二部虛擬機器。
您應該使用用來登入實體電腦的帳戶以外的個別帳戶來要求虛擬機器使用智慧卡或其他多重要素登入。 IT 使用者登入實體電腦之後,可以使用其生產力智慧卡來連線至其遠端生產力電腦,以及使用個別帳戶和智慧卡來連線至其遠端系統管理電腦。
優點
IT 使用者可以使用單一實體工作站。
要求虛擬主機的個別帳戶,以及使用虛擬機器的遠端桌面服務連線,就不會在本機電腦的記憶體中快取 IT 使用者的認證。
實體主機可以受到與系統管理主機相同程度的保護,以減少本機電腦遭到入侵的可能性。
如果 IT 使用者的生產力虛擬機器或其系統管理虛擬機器可能已遭到入侵,則可以將虛擬機器輕鬆地重設為「已知良好」狀態。
如果實體電腦遭到入侵,則不會在記憶體中快取任何特殊權限認證,而且使用智慧卡可以防止按鍵記錄器危害認證。
缺點
實作解決方案需要設計和實作工作以及健全的虛擬化選項。
如果實體工作站未安全地予以儲存,則可能會容易受到可危害硬體或作業系統的實體攻擊,而且很容易發生通訊攔截。
實作安全系統管理工作站和跳躍伺服器
安全系統管理工作站的替代方案 (或與其合併使用),是您可以實作安全跳躍伺服器,而且系統管理使用者可以使用 RDP 和智慧卡來連線至跳躍伺服器,以執行系統管理工作。
跳躍伺服器應該設定為執行遠端桌面閘道角色,以允許您實作跳躍伺服器以及其將從中管理之目的地伺服器的連線限制。 可能的話,您也應該安裝 Hyper-V 角色,並建立個人虛擬桌面或其他個別使用者虛擬機器,讓系統管理使用者用於其在跳躍伺服器上的工作。
將跳躍伺服器上的個別使用者虛擬機器提供給系統管理使用者,即可提供系統管理工作站的實體安全性,而且系統管理使用者可以重設或關閉未使用的虛擬機器。 如果您不想在相同的系統管理主機上安裝 Hyper-V 角色和遠端桌面閘道角色,則可以將其安裝至個別的電腦。
只要可能,就應該使用遠端系統管理工具來管理伺服器。 遠端伺服器系統管理工具 (RSAT) 功能應該安裝至使用者的虛擬機器 (如果您未實作個別使用者虛擬機器來進行系統管理,則為跳躍伺服器),而且系統管理人員應該透過 RDP 來連線至其虛擬機器,以執行系統管理工作。
如果系統管理使用者必須透過 RDP 來連線至目的地伺服器,才能直接對其進行管理,則只有在使用適當的使用者和電腦來建立與目的地伺服器的連線時,RD 閘道才應該設定為允許建立連線。 在未獲指定管理系統的系統上,應該禁止執行 RSAT (或類似的) 工具,例如不是跳躍伺服器的一般使用工作站和成員伺服器。
優點
建立跳躍伺服器可讓您將特定伺服器對應至網路中的「區域」(具有類似設定、連線和安全性需求的系統集合),以及要求從安全系統管理主機連線至所指定「區域」伺服器的系統管理人員進行每個區域的系統管理。
將跳躍伺服器對應至區域,即可針對連線屬性和設定需求實作細微的控制,而且可以輕鬆地識別從未經授權系統進行連線的嘗試。
在跳躍伺服器上實作個別系統管理員虛擬機器,即可在系統管理工作完成時,強制關閉虛擬機器,並將虛擬機器重設為已知的乾淨狀態。 在系統管理工作完成時強制執行虛擬機器的關機 (或重新開機),攻擊者就無法鎖定虛擬機器,也無法執行認證竊取攻擊,因為在重新開機之後不會持續保留記憶體快取認證。
缺點
無論是實體還是虛擬,跳躍伺服器都需要專用伺服器。
實作指定的跳躍伺服器和系統管理工作站需要仔細地規劃以及對應至環境中所設定之任何安全性區域的設定。