审核策略设置(服务器安全)

来源：互联网发布：2016中国国际储备数据编辑：程序博客网时间：2024/05/22 10:35

审核策略设置

域控制器的审核策略设置与 MSBP 中所指定的相同。有关详细信息，请参阅模块创建 Windows Server 2003 服务器的成员服务器基准。DCBP 中的基准策略设置确保所有相关的安全审核信息记录在域控制器中。

返回页首

用户权限分配

DCBP 为域控制器指定许多用户权限分配。除默认设置外，修改了其他七种用户权限以增强本指南定义的三种环境中域控制器的的安全性。

本节提供与 MSBP 中的设置不同的 DCBP 指定用户权限设置的相关详细信息。有关本节中指定设置的小结，请参阅“Windows Server 2003 Security Guide”附带的Windows Server 2003 Security Guide Settings Excel 工作簿，其网址为：http://go.microsoft.com/fwlink/?LinkId=14846（英文）。

从网络访问此计算机

表 2：设置

域控制器默认值旧客户端企业客户端高安全级

Administrators、Authenticated Users、ENTERPRISE DOMAIN CONTROLLERS、Everyone、Pre-Windows 2000 Compatible Access。

没有定义。

没有定义

Administrators、Authenticated Users、ENTERPRISE DOMAIN CONTROLLERS

“从网络访问此计算机”用户权限将确定哪些用户和组可以通过网络连接到此计算机。此用户权限是许多网络协议所必需的，这些协议包括基于服务器消息块 (SMB) 的协议、网络基本输入输出系统 (NetBIOS)、通用 Internet 文件系统 (CIFS)、超文本传输协议 (HTTP)和组件对象模型 (COM+)。

虽然授予“Everyone”安全组的权限不再向 Windows Server 2003 中的匿名用户授予访问权，但是仍然可以通过“Everyone”安全组向来宾组和帐户授予访问权。出于此原因，本指南推荐在高安全性环境中从“从网络访问此计算机”用户权限删除“Everyone”安全组，以进一步防止针对域来宾访问权的攻击。

域中添加工作站

表 3：设置

域控制器默认值旧客户端企业客户端高安全级

Authenticated Users

Administrators

“域中添加工作站”用户权限允许用户向特定域中添加计算机。为了使此权限生效，必须将它作为域的默认域控制器策略的一部分分配给用户。授予了此权限的用户可以向域中最多添加 10 个工作站。授予了 Active Directory 中 OU 或计算机容器的“创建计算机对象”权限的用户还可以将计算机加入域。授予了此权限的用户可以向域中添加不限数量的计算机，无论他们是否已被分配“域中添加工作站”用户权限。

默认情况下，“Authenticated Users”组中的所有用户能够向 Active Directory 域中最多添加 10 个计算机帐户。这些新计算机帐户是在计算机容器中创建的。

在 Active Directory 域中，每个计算机帐户是一个完整的安全主体，它能够对域资源进行身份验证和访问。一些组织想限制 Active Directory 环境中的计算机数量，以便他们可以始终跟踪、生成和管理它们。

允许用户向域中添加工作站会妨碍此努力。它还为用户提供了执行更难跟踪的活动的途径，因为他们可以创建其他未授权的域计算机。

出于这些原因，在本指南中定义的三种环境中，“域中添加工作站”用户权限只授予给“Administrators”组。

允许本地登录

表 4：设置

域控制器默认值旧客户端企业客户端高安全级

Administrators、Account Operators、Backup Operators、Print Operators 和 Server Operators

Administrators

通过“允许本地登录”用户权限，用户可以在计算机上启动一个交互式会话。如果不具有此权限的用户具有“通过终端服务允许登录”权限，则其仍然可以在计算机上启动一个远程交互式会话。

如果对某种环境中可以使用哪些帐户登录到域控制器控制台进行限制，将有助于阻止未经授权的用户访问域控制器文件系统和系统服务。可以登录到域控制器控制台的用户可能会恶意利用此系统，并且可能威胁整个域或林的安全。

默认情况下，向“Account Operators”、“Backup Operators”、“Print Operators”和“Server Operators” 组授予了从本地登录到域控制器的权限。这些组中的用户将不必登录到域控制器来执行其管理任务。这些组中的用户可从其他工作站正常执行其任务。只有“Administrators”组中的用户应该对域控制器执行维护任务。

只向“Administrators”组授予此权限将域控制器的物理和交互式访问权限仅限制在高度信任用户，因此增强了安全性。出于此原因，在本指南中定义的三种环境中，“域中添加工作站”用户权限只授予给“Administrators”组。

通过终端服务允许登录

表 5：设置

域控制器默认值旧客户端企业客户端高安全级

没有定义

Administrators

通过“通过终端服务允许登录”用户权限，用户可以使用远程桌面连接登录到计算机。

如果通过终端服务对可使用哪些帐户登录到域控制器控制台进行限制，将有助于阻止未经授权的用户访问域控制器文件系统和系统服务。通过终端服务可以登录到域控制器控制台的用户可能利用此系统，并且可能威胁整个域或林的安全。

只向“Administrators”组授予此权限将域控制器的交互式访问权仅限制在高度信任用户，因此增强了安全性。出于此原因，在本指南中定义的三种环境中，“域中添加工作站”用户权限只授予给“Administrators”组。默认情况下，虽然通过终端服务登录到域控制器需要管理权限，但是配置此用户权限将有助于防止可能危及此限制的无意或恶意操作。

作为进一步安全措施，DCBP 将拒绝默认的“Administrator”帐户通过终端服务登录域控制器的权限。此设置也将阻止恶意用户试图使用默认的“Administrator”帐户从远程闯入域控制器。有关此设置的详细信息，请参阅模块创建 Windows Server 2003 服务器的成员服务器基准。

更改系统时间

表 6：设置

域控制器默认值旧客户端企业客户端高安全级

Administrators、Server Operators

Administrators

通过“更改系统时间”用户权限，用户可以调整计算机内部时钟的时间。更改系统时间的时区或其他显示特征不需要此权限。

同步系统时间对于 Active Directory 的操作是关键的。Kerberos v5 身份验证协议所使用的正确的 Active Directory 复制和身份验证票证生成过程均依赖于在任何环境中同步的时间。

如果使用某系统时间配置的域控制器与此环境中其他域控制器的系统时间不同步，此域控制器可能妨碍域服务操作。只有管理员可以修改系统时间，这将使使用错误系统时间配置域控制器的可能性减至最低。

默认情况下，向“Server Operators”组授予了修改域控制器系统时间的权限。由于此组成员错误修改域控制器系统时间可能导致的影响，所以在 DCBP 中配置此用户权限，以便只有“Administrators”组能够在本指南定义三种环境的任何一种中更改系统时间。

有关 Windows 时间服务的更多信息，请参阅知识库文章 Q224799“Basic Operation of the Windows Time Service”，其网址为：http://support.microsoft.com/default.aspx?scid=224799（英文），以及 Q216734“How to Configure an Authoritative Time Server in Windows 2000”，其网址为： http://support.microsoft.com/default.aspx?scid=216734（英文）。

使计算机和用户帐户受信任以进行委派

表 7：设置

域控制器默认值旧客户端企业客户端高安全级

Administrators

没有定义

Administrators

通过“使计算机和用户帐户受信任以进行委派”用户权限，用户可以更改 Active Directory 中用户或计算机对象的“已为委派信任”设置。身份验证委派是多级客户端/服务器应用程序所使用的功能。通过身份验证委派，前端服务可以在对后端服务进行身份验证时使用对客户端的信任。要使这种功能成为可能，客户端与服务器必须均在受信任进行委派的帐户下运行。

错误使用此权限可能导致未经授权的用户伪装成网络上的其他用户。某攻击者可以伪装成其他用户窃取此权限获得网络资源的访问权，这可能使得某安全事件之后发生的事件更难以解释。

本指南建议将“使计算机和用户帐户受信任以进行委派”权限分配给域控制器上的“Administrators”组。

注意：尽管默认域控制器策略向管理员组分配此权限，但是因为 DCBP 最初基于 MSBP，所以 DCBP 仅强制在高安全级环境中使用此权限。MSBP 向此权限分配一个 NULL 值。

加载和卸载设备驱动程序

表 8：设置

域控制器默认值旧客户端企业客户端高安全级

Administrators、Print Operators

Administrators

“加载和卸载设备驱动程序”用户权限确定哪类用户可以加载和卸载设备驱动程序。加载和卸载即插即用设备需要此用户权限。

恶意加载或卸载域控制器上的设备驱动程序可能将对其操作产生有害影响。如果将能够加载和卸载设备驱动程序的帐户只限制给予最受信任的用户，则可以将使用设备驱动程序威胁环境中域控制器安全的机会减至最低。

默认情况下，向“Print Operators”组授予此权限。正如前面所提到的一样，不推荐在域控制器上创建“打印机共享”。这使“Print Operators”不必具有加载和卸载设备驱动程序的权限。因此，在本指南所定义的三种环境中，只向“Administrators”组授予此用户权限。

还原文件和目录

表 9：设置

域控制器默认值旧客户端企业客户端高安全级

Administrators、Backup Operators、Server Operators

Administrators

通过“还原文件和目录”用户权限，用户可以在还原已备份文件和目录时绕过文件和目录权限，并且将任何有效安全主体设置为对象所有者。

使某用户帐户能够将文件和目录还原到域控制器的文件系统，这将使帐户所有者获得更易修改可执行服务的能力。利用此权限提供的访问权的恶意用户不仅致使域控制器无效，而且威胁域或整个林的安全。

默认情况下，向“Server Operators”和“Backup Operators”组授予此权限。如果从这些组中删除此用户权限并且仅向“Administrators”组授予此权限，则可以降低由于错误修改文件系统而危及域控制器安全的可能性。因此，在本指南所定义的三种环境中，只向“Administrators”组授予此用户权限。

关闭系统

表 10：设置

域控制器默认值旧客户端企业客户端高安全级

Administrators、Server Operators、Print Operators、Backup Operators

Administrators

通过“关闭系统”用户权限，用户可以关闭本地计算机。

具有关闭域控制器能力的恶意用户可轻松地启动一个可能严重影响整个域或林的拒绝服务 (DoS) 攻击。此外，可在重新启动服务时利用此用户权限启动对域控制器系统帐户的特权提升攻击。对域控制器的一次成功的特权提升攻击将威胁域或整个林的安全。

默认情况下，向“Administrators”、“Server Operators”、“Print Operators”和“Backup Operators”组授予此权限以关闭域控制器。在安全环境中，除“Administrators”之外，其他组均不需要此权限来执行管理任务。出于此原因，在本指南定义的三种环境中，只向“管理员”组授予此用户权限。

返回页首

安全选项

域控制器的大多数安全选项设置与 MSBP 中指定的设置相同。有关详细信息，请参阅模块创建 Windows Server 2003 服务器的成员服务器基准。在下一节中将描述 MSBP 和 DCBP 的区别。

网络安全:不要在下次更改密码时存储 LAN Manager 的哈希值

表 11：设置

成员服务器默认值旧客户端企业客户端高安全级

已禁用

已启用

“网络安全：不要在下次更改密码时存储 LAN Manager 的哈希值”安全选项设置确定密码更改时是否存储了新密码的 LAN Manager (LM) 哈希值。与加密性更强的 Windows NT® 哈希相比，LM 哈希相对较弱且易受攻击。出于此原因，此 MSBP 在本指南定义的三种安全环境中启用此设置。

DCBP 在企业客户端和高安全级环境的域控制器上启用此设置，在旧客户端环境的域控制器上禁用此设置。如果在旧客户端环境的域控制器上启用此设置，Windows 98 客户端在更改其密码后将无法登录。

注意：旧操作系统和某些第三方应用程序在启用此设置时可能会失败。此外，启用此设置需要所有帐户更改其密码。

返回页首

事件日志设置

域控制器的事件日志设置与 MSBP 中指定的设置相同。有关详细信息，请参阅模块创建 Windows Server 2003 服务器的成员服务器基准。DCBP 中的基准组策略设置确保域控制器上记录了所有相关安全审核信息，包括 Directory Services Access。

返回页首

系统服务

在所有 Windows Server 2003 域控制器上，必须启用下列系统服务。DCBP 中的基准策略设置确保所有所需系统服务在域控制器间统一配置。

本节提供了有关与 MSBP 中的设置不同的 DCBP 预定系统服务设置的详细信息。有关本节中预定设置的小结，请参阅“Windows Server 2003 Security Guide”附带的 Windows Server 2003 Security Guide Settings Excel 工作簿，其网址为：http://go.microsoft.com/fwlink/?LinkId=14846（英文）。

注意：如果从 Windows Server 2003 支持工具运行 DCDiag.exe 实用程序，它将检测所有可在目前环境的域控制器上运行的服务。DCDiag.exe 将会因为域控制器基准策略中的某些服务（包括 IISADMIN、SMTPSVC 和 TrkSvr）已禁用而报告错误。此信息并不表示配置出现问题。

分布式文件系统

表 12：设置

域控制器默认值服务名旧客户端企业客户端高安全级

自动

DFS

自动

“分布式文件系统 (DFS)”服务将全异的文件共享分布并集成到单一逻辑命名空间中。此服务管理在局域网和广域网 (WAN) 上分布的逻辑卷，它是 Active Directory 系统卷 (SYSVOL) 共享所必需的服务。SYSVOL 复制依赖于正确的 DFS 操作。

使用组策略保护和设置某服务的启动模式，这将只向服务器管理员授予访问权，因此，可以避免未经授权或恶意用户配置或运行此服务。组策略还可以防止管理员因疏忽而禁用此服务。出于这些原因，在本指南定义的三种环境中，将此服务配置为在 DCBP 中自动启动。

DNS 服务器

表 13：设置

域控制器默认值服务名旧客户端企业客户端高安全级

自动

DNS

自动

“DNS 服务器”服务解析 DNS 名称的域名系统 (DNS) 查询和更新请求。“DNS 服务器”是在 Active Directorys 中使用 DNS 名称和域控制器查找已标识设备的重要服务。

Active Directory 的可靠性和可用性非常依赖于“DNS 服务器”服务的正确操作。没有 DNS，域控制器将无法互相找到对方以复制目录信息，而且客户端无法联系域控制器以进行验证。

使用组策略设置某服务的启动模式并使之安全，这将只授予服务器管理员访问权限，因而使该服务免受未经授权的用户或恶意用户的配置或操作。组策略也将防止管理员因疏忽而禁用该服务。因此，在本指导定义的三种环境中，将该服务配置为在 DCBP 中自动启动。

文件复制

表 14：设置

域控制器默认值服务名旧客户端企业客户端高安全级

自动

NtFrs

自动

通过“文件复制”服务，将在多台服务器上同时自动复制和维护文件。文件复制服务 (FRS) 是 Windows 2000 和 Windows Server™ 系列中的自动文件复制服务。该服务复制所有域控制器上的 SYSVOL，并可进行配置以复制与默认容错 DFS 相关联的其他目标上的文件。SYSVOL 复制也依赖于“文件复制”服务的正确操作。

站点间消息传递

表 15：设置

域控制器默认值服务名旧客户端企业客户端高安全级

自动

IsmServ

自动

“站点间消息传递 (ISM)”服务使消息能够在在运行 Windows Server 站点的计算机之间进行交换。该服务用于站点间基于邮件的复制。Active Directory 包括通过 Internet 协议 (IP) 传输在使用简单邮件传输协议 (SMTP) 的站点之间的支持复制。SMTP 支持由作为 Microsoft Internet 信息服务 (IIS) 组件的 SMTP 服务提供。

用于站点间通信的传输设置必须是可扩展的，而且每个传输在一个独立的加载项动态链接库 (DLL) 中定义。在所有可能执行站点间通信的域控制器上运行的 ISM 服务中将加载这些加载项 DLL。 ISM 服务将发送和接收消息请求定向至适当的传输加载项 DLL，然后将这些消息路由至目标计算机的 ISM 服务。Active Directory 复制依赖于正确运行的“站点间消息传递”服务。

Kerberos 密钥分布中心

表 16：设置

域控制器默认值服务名旧客户端企业客户端高安全级

自动

Kdc

自动

“Kerberos 密钥分布中心 (KDC)”服务使用 Kerberos v5 验证协议使用户能够登录到网络。

用户需要 KDC 服务以登录到网络。禁止该服务将阻止用户登录到网络。

远程过程调用 (RPC) 定位器

表 17：设置

域控制器默认值服务名旧客户端企业客户端高安全级

自动

RpcLocator

自动

“远程过程调用 (RPC) 定位器”服务允许使用应用程序编程接口 (API) 的 RpcNs* 家族的 RPC 客户端能够查找 RPC 服务器并管理 RPC 名称服务数据库。

停止或禁用该服务可能会阻止使用 RpcNs* API 的 RPC 客户端查找服务器或无法启动。而且，依赖于来自同一台计算机的 RpcNs* API 的 RPC 客户端可能无法查找支持某给定接口的 RPC 服务器。停止或禁用域控制器上的该项服务可能导致使用 RpcNs* API 的 RPC 客户端和域控制器在试图查找客户端时服务中断。

返回页首

其他安全设置

本节将介绍对 DCBP 必要的手动修改和无法通过组策略实现时的其他设置与对策。

向用户权限分配方案手动添加唯一的安全组

通过 DCBP 应用的大部分用户权限分配方案已在 Windows Server 2003 Security Guide 的可用安全模板中正确指定，该指南位于：http://go.microsoft.com/fwlink/?LinkId=14846（英文）。但是，有一些帐户和安全组无法包含在该模板中，因为其安全标识符 (SID) 针对于单个 Windows 2003 域。必须手动配置的用户权限分配方案如下所示。

警告：下表包含内置管理员帐户值。不要将该帐户与内置管理员安全组相混淆。如果为管理员安全组设置了以下的权限限制，您需要从本地登录以更正该错误。

此外，根据创建 Windows Server 2003 服务器的成员服务器基准模块中描述的一些建议，内置管理员帐户可能已重新命名。添加管理员帐户时，请确认已指定重新命名的帐户。

表 18：手动分配用户权限分配

域控制器默认值旧客户端企业客户端高安全级

禁止从网络访问该计算机

内置管理员、Support_388945a0、Guest 和所有非操作系统服务帐户

禁止作为批作业登录

Support_388945a0 和 Guest

禁止通过终端服务登录

内置管理员和所有非操作系统服务帐户

要点：所有非操作系统服务帐户包括企业内用于特定应用程序的服务帐户。但不包括操作系统使用的本地系统、本地服务或网络服务内置帐户。

目录服务

运行 Windows Server 2003 的域控制器存储目录数据并管理用户与域的交互操作，包括用户登录进程、身份验证和目录搜索。

重定位数据Active Directory 数据库和日志文件

维护 Active Directory 数据库和日志文件的安全性对于保证目录完整性和可靠性至关重要。

如果域控制器出现安全问题，从默认位置移走 ntds.dit、edb.log 和 temp.edb 文件，以防范恶意攻击。而且，将文件由系统卷移动到独立的物理磁盘也有助于提高域控制器的性能。

有鉴于此，本指南推荐将所定义三种环境中域控制器的 Active Directory 数据库和日志文件从系统卷上的默认位置移动到非系统卷或镜像磁盘中。

调整 Active Directory 日志文件的大小

确保域控制器日志中记录并维护有足够的信息，这对于有效监视并维护 Active Directory 的完整性、可靠性与可用性至关重要。

因此，提高日志文件的最大容量将为管理员提供足够的所需信息，以便在发生黑客攻击事件后能够实施有效的审核。

鉴于以上考虑，在本指南定义的三种环境中，推荐将域控制器上的 Directory Service 和文件复制服务日志文件的最大容量从默认的 512 KB 增加到 16 MB。

使用 Syskey

在域控制器上，密码信息被存储在 Directory Service 中。密码破解软件经常将 SAM 数据库或 Directory Service 作为攻击目标，以获取用户的帐户密码。

针对离线密码破解软件，系统工具 Syskey 为用户密码构筑了又一道防线。Syskey 使用强加密技术以确保存储于目录服务中帐户密码的安全性。

表 19：Syskey 模式

System Key 选项安全级别描述

模式 1：系统生成密码，本地存储启动密码

安全

使用计算机生成的随机密钥作为系统密钥并且将该密钥的加密版本存储在本地计算机上。该选项在注册表中提供强加密密码信息，并且使用户能够重新启动计算机而不需要管理员输入密码或插入磁盘。

模式 2：管理员生成密码，密码启动

更安全

使用计算机生成的随机密钥作为系统密钥并且将该密钥的加密版本存储在本地计算机上。该密钥也受到管理员所选择密码的保护。计算机启动时提示用户输入系统密钥密码。该系统密钥不存储在计算机中。

模式 3：系统生成密码，软盘上存储启动密钥。

最安全

使用计算机生成的随机密钥并且将该密钥存储在软盘上。启动系统需要包含系统密钥的软盘，并且按照启动过程中的提示插入该软盘。该系统密钥不存储在计算机中。

所有 Windows Server 2003 服务器启用模式 1（模糊密钥）的 Syskey。对于面临物理安全威胁的域控制器，强烈推荐使用模式 2（控制台密码）或模式 3（软盘存储 Syskey 密码）的 Syskey。

由于域控制器易被具有物理访问机会的攻击者重新启动，所以从安全角度出发，这似乎是正确的做法。通过采用模式 1 的 Syskey，攻击者可以读取和更改目录内容。

但是，模式 2 或模式 3 不支持通过重新启动取得域控制器的控制权。要充分利用这些 Syskey 模式提供的附加保护，必须在目前环境中实施正确的操作规程以符合域控制器指定的可用性要求。

Syskey 密码或软盘管理逻辑学相当复杂，尤其在部门办公中更是如此。例如，为使用户能够访问网络而要求一个部门经理或本地管理员工在下午 3 点钟办公时输入密码或插入软盘过于苛刻，并且很难满足高可用性服务等级协议 (SLA) 的要求。

或者，允许集中式 IT 操作人员远程提供 Syskey 密码将需要其他硬件 — 一些硬件供应商提供了远程访问服务器控制台的解决方案。

最终，丢失 Syskey 密码或软盘将使域控制器处于无法重新启动的状态。如果丢失 Syskey 密码或软盘，则无法恢复域控制器。如果发生这种情况，必须重建域控制器。

但是如果使用正确的操作过程，Syskey 可以提供更高的安全级别，很好的保护域控制器上关键的目录信息。

因此，对于位于弱物理安全性地点的域控制器，推荐使用 Syskey 模式 2 或模式 3。该建议也适用于于本指南所定义三种环境中的域控制器。

•

要创建或更新系统密钥，请执行下列操作：

依次单击“开始”，“运行”，键入“syskey”，然后单击“确定”。

单击“启用加密”，然后单击“更新”。

单击所需选项，然后单击“确定”。

集成 DNS 到 Active Directory

Microsoft 推荐在本指南所定义的三种环境中集成 Active Directory 与 DNS 服务，因为在某种程度上将 DNS 集成到 Active Directory 可以简化保护 DNS 基础结构的工作。

保护 DNS 服务器

对于 Active Directory 环境来说，确保 DNS 服务器的安全性至关重要。以下部分将提供相关的建议与解释。

攻击者攻击 DNS 服务器的目标之一是截获返回给客户的 DNS 信息。这样，客户端可能无意中错误定向到未经验证的计算机。IP 欺骗和高速缓存破坏均属于此类攻击。

在 IP 欺骗中，未经授权用户 IP 地址被添加到传输数据中，以骗取访问计算机或网络的权限。在缓存中毒攻击中，未经授权的主机将其他主机的错误信息传输到 DNS 服务器缓存中。该攻击导致将客户端重定向到未经授权的计算机。

如果客户无意中开始了与未经授权计算机的通讯，这些计算机则可能试图获得访问权限，以访问存储在该客户端计算机上的信息。

并不是所有攻击均集中于欺骗 DNS 服务器上。一些 DoS 攻击可能会更改合法 DNS 服务器中的 DNS 记录。这样，客户端在发出查询请求后，将收到无效的地址。收到攻击后，服务器将返回无效地址，因此客户端和服务器无法查找所需的资源，例如域控制器、Web 服务器或文件共享目录。

基于此，本指南建议在三种环境中配置所使用的路由器以丢弃哄骗的 IP 数据包，从而确保 DNS 服务器的 IP 地址不被其他计算机欺骗。

配置安全的动态更新

Windows Server 2003 DNS 客户端服务支持动态 DNS 更新，通过该服务，客户端系统可以将 DNS 记录直接添加到数据库中。如果将动态 DNS 服务器配置为接收不安全的更新，则其可以接收来自攻击者（使用支持 DDNS 协议的客户端）的恶意或未经授权的更新。

最小的影响是，攻击者可能将错误项添加到 DNS 数据库；最坏的情况是，攻击者可能覆盖或删除 DNS 数据库中的合理项。这样的攻击可能导致下列任何一种情况：

•

将客户端定向到未经授权的域控制器：当客户端提交查找域控制器地址的 DNS 查询时，某泄露的 DNS 服务器可被指示返回未经授权服务器的地址。使用其他相关的非 DNS 攻击时，客户端可能被欺骗将安全信息传递到错误服务器。

•

使用无效地址响应 DNS 查询：这将使客户端与服务器无法相互查找。如果客户端找不到服务器，则无法访问该目录。域控制器找不到其他域控制器时，目录复制将停止并创建一个可能影响整个林用户的 DoS 条件。

•

在创建 DoS 条件过程中，服务器磁盘空间可能会因虚拟记录填满的巨大区域文件或者减慢复制的大量项而耗尽。

如果是由 Active Directory 林中的有效客户端发送注册请求，则使用安全 DDNS 更新将保证只对注册请求进行处理。这将大大限制攻击者泄露 DNS 服务器完整性的机会。

基于此，本指南建议在所定义的三种环境中配置 Active Directory DNS 服务器以仅接收安全动态更新。

将区域传输限制在已授权系统

由于区域在 DNS 中扮演着重要角色，它们应该能通过网络的多个 DNS 服务器获得，以便在解析名称查询时提供足够的可用性和容错性。否则，刚好发送到区域中没有响应的某个服务器上的名称查询可能无法解析。对于驻留区域的其他服务器，需要区域传输复制和同步所用区域的所有副本。

此外，没有限制可以请求区域传输的用户的 DNS 服务器易将整个 DNS 区域传输到任何请求它的用户。使用工具如 nslookup.exe 可以轻松地完成此操作。这些工具会暴露整个域的 DNS 数据集，包括哪些主机正用作域控制器、目录集成 Web 服务器或 Microsoft SQL Server 2000 数据库。

基于此，本指南建议在所定义的三种环境中配置 Active Directory 集成 DNS 服务器以允许区域传输，但是限制可以请求传输的系统类型。

调整事件日志和 DNS 服务日志的大小

确保为某环境中的域控制器记录和维护足够数量的信息对于有效监视 DNS 服务是至关重要的。

增加 DNS 服务日志文件的最大大小有助于管理员维护足够数量的信息，以便在发生攻击时执行有意义的审核。

基于此，本指南建议在所定义的三种环境中，将域控制器的 DNS 服务日志文件的最大大小至少配置为 16 MB，并确保选择 DNS 服务中的“按需要覆盖事件”选项以最大化保留日志项的数量。

保护已知帐户

Windows Server 2003 具有大量无法删除但可重命名的内置用户帐户。Windows 2003 中最为人所知的两个内置帐户是“Guest”和“Administrator”。

默认情况下，在成员服务器和域控制器上禁用“Guest”帐户。不应更改该设置。应该重命名内置“Administrator”帐户并更改描述以防止攻击者使用已知帐户危及远程服务器的安全。

许多恶意代码最初试图使用内置管理员帐户危及服务器的安全。通过指定内置管理员帐户 SID 以确定其真实名称的攻击工具可试图侵入服务器，由于该工具的发布，过去几年中对此配置值的更改已经减少了。SID 值唯一标识网络中的用户、组、计算机帐户和登录会话。不可能更改该内置帐户的 SID。重命名本地管理员帐户唯一名称可使操作组易于监视对该帐户的试图攻击。

完成下列步骤可保护域和服务器上的已知帐户：

重命名每个域和服务器上的“Administrator”和“Guest”帐户，并将其密码更改为长而复杂的值。

在每个服务器上使用不同的名称和密码。如果在所有域和服务器上使用同一帐户名称与密码，则获得访问某成员服务器权限的攻击者将有权访问使用同一帐户名称与密码的所有其他服务器。

将帐户描述更改为默认值外的其他值有助于防止帐户很容易被标识。

将这些更改记录在安全位置。

注意：内置管理员帐户可通过组策略重命名。因为要针对环境选择唯一名称，所以不在 DCBP 中配置该设置。“帐户:重命名管理员帐户”可被配置为在本指南定义的三种环境中重命名管理员帐户。此设置是 GPO 安全选项设置的一部分。

保护服务帐户

如果不是完全必要的话，请勿将服务配置为在域帐户的安全上下文中运行。如果服务器在物理上受到安全危及，可通过转储本地安全机构 (LSA) 机密轻松获得域帐户密码。

终端服务设置

表 20：设置

默认值旧客户端企业客户端高安全级

设置客户端连接加密级别

高

“设置客户端连接加密级别”设置确定环境中终端服务客户端连接的加密级别。使用 128 位加密的“高级”设置选项可防止攻击者使用包分析器窃听终端服务会话。某些旧版终端服务客户端不支持此高级加密。如果网络包含此类客户端，请设置连接加密级别以使用该客户端支持的最高加密级别发送和接收数据。基于此，本指南建议将“设置客户端连接加密级别”设置配置为“已启用”，并且在所定义的三种安全环境的 DCBP 中选择“高级”加密选项。

在组策略对象编辑器中配置该设置的路径是：

计算机配置/管理模板/Windows 组件/终端服务/加密与安全性。

有三种可用的加密级别：

表 21：终端服务加密级别

加密级别描述

高级

使用强 128 位加密可将此级别加密数据从客户端发送到服务器并从服务器发送到客户端。当终端服务器运行在只包含 128 位客户端（例如远程桌面连接客户端）的环境中时，请使用此级别。不支持此加密级别的客户端将无法连接。

客户端兼容

此级别加密数据以客户端支持的最大密钥强度在客户端与服务器之间发送。如果终端服务器运行于包含混合型或旧客户端的环境中，请使用此级别。

低级

使用 56 位加密可将此级别加密数据从客户端发送至服务器。要点：从服务器向客户端发送的数据不加密。

错误报告

表 22：设置

默认值旧客户端企业客户端高安全级

报告错误

已禁用

“错误报告”服务有助于 Microsoft 跟踪和解决错误。可以配置该服务以生成有关操作系统错误、Windows 组件错误或程序错的报告。启用“报告错误”服务可将这些错误通过 Internet 报告给 Microsoft 或报告给内部企业文件共享。

该设置仅在 Microsoft Windows®、XP Professional 操作系统和 Windows Server 2003 中可用。在组策略对象编辑器中配置该设置的路径是：

计算机配置/管理模板/系统/错误报告

错误报告可能包含敏感或乃至保密的企业数据。关于错误报告的 Microsoft 隐私策略可确保 Microsoft 正确使用此类数据，但是该数据以明文超文本传输协议 (HTTP) 传输，它可能会在 Internet 上被截获并被第三方查看。基于此，本指南建议在所定义的所有三种安全环境中，将 DCBP 中的“错误报告”设置配置为“已禁用”。

使用 IPSec 筛选器的块端口

Internet 协议安全 (IPSec) 筛选器可提供一种有效方法以提高服务器所需的安全级别。本指南建议在所定义的“高安全级”环境中使用此可选指南以进一步降低服务器的攻击面。

有关使用 IPSec 筛选器的详细信息，请参阅模块其他成员服务器强化过程。

下表列出了在本指南定义的“高安全级”环境中可在域控制器上创建的所有 IPSec 筛选器。

下表列出了在本指南定义的“高安全级”环境中应在域控制器上创建的所有 IPSec 筛选器。

表 23：域控制器 IPSec 筛选器网络流量图

服务协议源端口目标端口源地址目标地址操作镜像

CIFS/SMB Server

TCP

所有

445

所有

允许

是

UDP

所有

445

所有

允许

是

RPC Server

TCP

所有

135

所有

允许

是

UDP

所有

135

所有

允许

是

NetBIOS Server

TCP

所有

137

所有

允许

是

UDP

所有

137

所有

允许

是

UDP

所有

138

所有

允许

是

TCP

所有

139

所有

允许

是

Monitoring Client

所有

MOM 服务器

允许

是

Terminal Services Server

TCP

所有

3389

所有

允许

是

Global Catalog Server

TCP

所有

3268

所有

允许

是

TCP

所有

3269

所有

允许

是

DNS Server

TCP

所有

允许

是

UDP

所有

允许

是

Kerberos Server

TCP

所有

允许

是

UDP

所有

允许

是

LDAP Server

TCP

所有

389

所有

允许

是

UDP

所有

389

所有

允许

是

TCP

所有

636

所有

允许

是

UDP

所有

636

所有

允许

是

NTP Server

TCP

所有

123

所有

允许

是

UDP

所有

123

所有

允许

是

PredefinedRPC Range

TCP

所有

57901-57950

所有

允许

是

DC Comms

所有

域控制器

允许

是

DC Comms

所有

域控制器 2

允许

是

ICMP

所有

允许

是

All Inbound Traffic

所有

禁止

是

上表列举的所有规则都应在实施时镜像。这确保了进入服务器的所有网络流量也被许可返回初始服务器。

上表代表了服务器要打开的基本端口，以便执行角色特定功能。如果服务器有静态 IP 地址，这些端口足够。可能需要打开其他端口提供其他功能。打开其他端口将使环境中的域控制器更容易管理，但可能大大降低这些服务器的安全性。

要支持客户端登录进程，应专门指定端口范围来使用 RPC。如果将环境中的 RPC 流量限制于一定的端口数量，选定端口范围应包括超过 50,000 个的端口。这可通过设置下列注册表加以配置：

如果 HKEY_LOCAL_MACHINE/Software/Microsoft/RPC/Internet 不存在，请创建。

HKEY_LOCAL_MACHINE/Software/Microsoft/RPC/Internet/Ports 应作为 REG_MULTI_SZ 创建和配置，值代表了要打开的端口的范围。例如，值 57901-57950 将打开 50 个端口使用 RPC 数据流。

HKEY_LOCAL_MACHINE/Software/Microsoft/RPC/Internet/PortsInternetAvailable 应作为 REG_SZ 创建和配置，值是 Y。

HKEY_LOCAL_MACHINE/Software/Microsoft/RPC/Internet/UseInternetPorts 应作为 REG_SZ 创建和配置，值是 Y。

完成上面注册表的更改后，请重新启动服务器。

注意：这些更改可能影响性能，请一定在实施前测试。要打开的确切端口数取决于环境和服务器的使用与功能。客户端的登录次数一定要监视。如果登录性能降级，则需要打开其他端口。

如上所示，如果在环境中实施 Microsoft Operations Manager (MOM)，必须允许所有网络数据流在实施 IPSec 筛选器的服务器与 MOM 服务器之间往复传递。由于 MOM 服务器和负责报告 MOM 控制台的 OnePoint 客户端到客户端应用程序之间有大量数据交互，上面这种选择是必要的。其他管理包可能有类似的需求。如果要满足更高级别的安全性，可在 OnePoint 客户端配置筛选器操作来与 MOM 服务器协商 IPSec。

上面的网络流量图假定环境中包含启用 Active Directory 的 DNS 服务器。如果使用独立 DNS 服务器，可能需要其他规则。

IPSec 策略的实施不应明显影响服务器性能。但在实施这些筛选器之前，必须通过测试环节，目的是确认服务器必要的功能和性能都能得到维护。也可以添加其他规则支持其他应用程序。

注意：域控制器的动态性非常强，在其上实施 IPSec 筛选器应仔细评估，然后在实验室环境中充分测试。由于域控制器间大量的数据交互，需要添加 IPSec 筛选器在控制器间相互复制数据。在有很多域控制器的复杂环境中，这需要创建几十种其他筛选器，以便有效保护域控制器。这样，实施和管理 IPSec 策略则变得十分困难。当然，域控制器量很少的环境也可充分利用实施 IPSec 筛选器的优点。

本指南包括一个 .cmd 文件，它简化了域控制器指定 IPSec 筛选器的创建过程。PacketFilters-DC.cmd 文件使用 NETSH 命令创建适当的筛选器。必须修改 .cmd 文件，将环境中的其他域控制器 IP 地址包括在内。脚本包含了要添加的两个域控制器的占位符。如果需要，可添加其他域控制器。域控制器的 IP 地址列表必须保持最新。

如果 MOM 在环境中，脚本中还要指定相应 MOM 服务器的 IP 地址。脚本不创建永久筛选器。因此，除非启动 IPSec 策略代理，否则服务器不受保护。有关建立永久筛选器或创建高级 IPSec 筛选器脚本的详细信息，请参阅模块其他成员服务器强化过程。最后，配置脚本不分配创建的 IPSec 策略。可使用 IP 安全策略管理单元检查已创建的 IPSec 筛选器，然后按顺序分配 IPSec 策略使其生效。

返回页首

小结

本指南说明了各种服务器强化设置，它们是确保本指南定义的三种环境中的域控制器安全的必要因素。这里讨论的大多数设置都通过组策略配置和应用。设计优于默认域控制器策略的组策略对象 (GPO) 与域控制器组织单元 (OU) 关联。域控制器基准策略 (DCBP) 包括的设置将提高所有给定环境中的域控制器的安全性。使用两种 GPO 保护域控制器可保护默认环境，并简化解决问题的过程。

有些服务器强化设置不能通过组策略应用。在这种情况下，本指南提供了手动配置这些设置的详细信息。

由于域控制器都受到一定的保护，本指南的后续模块将集中介绍其他特定服务器角色的保护方法。

其他信息

下面是本指南发布时与保护运行 Windows Server 2003 的计算机环境中的域控制器密切相关的最新信息。

有关 Microsoft 系统体系结构的信息以及有关企业数据中心说明性体系结构指南，请访问下列网址： http://www.microsoft.com/technet/itsolutions/edc/default.asp（英文）。

有关启用 Active Directory 权限的匿名访问的信息，请参阅知识库文章 257988“Description of Dcpromo Permissions Choices”，其网址为：

http://support.microsoft.com/default.aspx?scid=257988（英文）。

有关 Windows 2000 DNS 的信息，请参阅“Windows 2000 DNS White Paper”，其网址为： http://www.microsoft.com/windows2000/techinfo/howitworks/communications/nameadrmgmt/w2kdns.asp（英文）。

有关 Windows 2000 DNS 的详细信息，请参阅模块 6 在线版本“TCP/IP Core Networking Guide”，其网址为： http://www.microsoft.com/windows2000/techinfo/reskit/en-us/default.asp（英文）。

有关 Windows 2003 DNS 的信息，请参阅“Changes to DNS in Windows Server 2003”，其网址为： http://www.microsoft.com/windows2000/technologies/communications/dns/dns2003.asp（英文）。

有关 IPSec 筛选器的详细信息，请参阅“How To:Use IPSec IP Filter Lists in Windows 2000”，其网址为： http://support.microsoft.com/default.aspx?scid=313190（英文）。

有关限制 Active Directory 的详细信息，请参阅“Restricting Active Directory Replication Traffic to a Specific Port”，其网址为： http://support.microsoft.com/default.aspx?scid=224196（英文）。

有关限制 FRS 复制流量的详细信息，请参阅“How to Restrict FRS Replication Traffic to a Specific Static Port”，其网址为： http://support.microsoft.com/default.aspx?scid=319553（英文）。

有关 Windows 时间服务的详细信息，请参阅“Basic Operation of the Windows Time Service”，其网址为： http://support.microsoft.com/default.aspx?scid=224799（英文）。

有关配置 Windows 时间服务的详细信息，请参阅“How to Configure an Authoritative Time Server in Windows 2000”，其网址为： http://support.microsoft.com/default.aspx?scid=216734（英文）。