技术文章 > Windows 2003 安全性简介

Windows 2003 安全性简介

2018-07-19 17:35

文档管理软件,文档管理系统,知识管理系统,档案管理系统的技术资料:
Windows 2003 安全性简介
更新日期: 2004年03月08日
本页内容
本模块内容
目标
适用范围
如何使用本模块
概述
执行摘要
本指南面向的对象
获得安全、保持安全
本指南的范围
内容概述
技能和准备
要求
样式惯例
小结
本模块内容
本模块包含 Windows 2003 安全性简介的介绍性资料。
返回页首
目标
使用本模块可以:
• 了解 Windows 2003 安全性简介的基础概念。

• 定义 Windows 2003 安全性简介的目标。

• 描述 Windows 2003 安全性简介的内容。

返回页首
适用范围
本模块适用于下列产品和技术:
• Microsoft® Windows Server™ 2003 操作系统

• Microsoft Active Directory® 目录服务

• 服务器强化

返回页首
如何使用本模块
本模块介绍了 Windows 2003 安全性简介的范围和内容。使用本模块可以识别 Windows 2003 安全性简介的内容并且找到您感兴趣的信息区域。此外,使用本模块还可以了解指南本身的范围和方法。本模块列出了使用 Windows 2003 安全性简介中所用工具和模板的要求。
返回页首
概述
欢迎阅读 Windows 2003 安全性简介。本指南专门用于提供最佳的可用信息以评估并防范用户系统环境中的 Windows Server 2003 安全隐患。其中的模块提供了详细的指导信息,帮助用户尽可能的优化 Windows Server 2003 的安全配置并增强其功能,以消除系统安全隐患。本指南主要面向 Windows Server 2003 环境中的咨询人员、设计人员和系统工程师。
Microsoft 工程小组、顾问、技术支持部门的工程师、客户和合作伙伴已经审查并批准了本指南。因此,它具有下列特点:
• 行之有效 — 基于现场体验

• 权威性 — 提供最佳可用建议

• 准确性 — 经过技术验证和测试

• 可行性 — 提供正确的具体步骤

• 相关性 — 针对实际安全问题而制订

与已在各种环境中实现 Windows Server 2003、Microsoft Windows® XP 和 Windows® 2000 操作系统的顾问和系统工程师协同工作有助于确立最新的最佳做法,以确保这些服务器和客户端的安全。本指南中详细地提供了这些信息。
附加指南“Threats and Countermeasures:Security Settings in Windows Server 2003 and Windows XP”(英文)全面介绍了 Windows Server 2003 和 Windows XP 中存在的所有主要的安全设置。本指南中第一个模块之后的各模块包括逐步安全指导、过程和建议,以便为您提供任务列表,将组织中 Windows Server 2003 计算机的安全状态提升到更高的安全级别。如需更深入地了解本文档中的相关概念,请参阅相关信息资源,如 “Microsoft Windows 2003 Server Resource Kit”(英文)、“Microsoft Windows XP Resource Kit”(英文)、“Microsoft Windows 2000 Security Resource Kit”(英文) 和 “Microsoft TechNet”(英文)。
返回页首
执行摘要
无论系统环境如何,强烈建议您密切关注系统安全性。由于通常没有将间接支出考虑在内,许多组织错误地低估了其 IT 环境的价值。如果系统环境中的服务器受到严重攻击,整个组织也将蒙受巨大损失。例如,如果攻击活动迫使公司网站关闭,从而造成利润或客户信任度的巨大损失,公司将面临丧失盈利能力的危险。评估安全成本时,应该将与任何攻击相关的间接支出以及丧失 IT 功能所造成的开销计算在内。
通过与安全相关的漏洞、风险和暴露分析,您可以了解到,网络环境中所有计算机系统都会面临在安全性与可用性之间取舍权衡的问题。本指南对 Windows Server 2003 和 Windows XP 中的主要安全措施、其针对的漏洞和潜在的负面影响进行了说明。
此外,本指南还提供了在以下三种常见企业环境中加强这些系统的具体建议:支持如 Windows 98 等老版本操作系统的环境;仅由 Windows 2000 及更新版本的操作系统组成的环境;对安全性有极高要求、为实现高级别的安全性可以在功能和管理方面作出很大牺牲的环境。这些环境在整个指南中分别被称为旧客户端环境、企业客户端环境和高安全级环境。我们对本指南中的信息进行了合理的组织,以便用户能够方便的对其进行访问。因此,用户可以快速地定位并决定适用于组织中计算机的设置。虽然本指南主要针对企业客户,但是其中的许多内容适合于任何规模的组织。
为了从本资料中获取最多有价值的信息,需要阅读整个指南。另请参阅附加指南“Threats and Countermeasures:Security Settings in Windows Server 2003 and Windows XP”,其网址为:http://go.microsoft.com/fwlink/?LinkId=15159(英文)。希望本指南能够为您提供有用的、信息丰富的和引人入胜的资料。
返回页首
本指南面向的对象
本指南主要面向在 Windows Server 2003 应用程序或基础结构开发和部署的规划阶段负责的顾问、安全专家、系统结构设计人员和 IT 专业人员。上述人员通常负责下列任务:
• 结构设计人员和规划人员,负责组织中客户端体系结构方面的工作。

• IT 安全专家,仅负责组织内跨平台的安全性。

• 业务分析人员和业务决策人员 (BDM),负责依赖于客户端支持的关键业务目标和要求分析和决策。

• 来自 Microsoft 服务部门和合作伙伴的顾问,需要企业客户和合作伙伴的相关有用信息的详细资源。

返回页首
获得安全、保持安全
在 2001 年 10 月,Microsoft 启动了“战略性技术保护计划 (STPP)”。此计划的目标是将那些焦点集中在安全性上的 Microsoft 产品、服务和支持集成在一起。Microsoft 将维护安全环境的过程分为两个相关阶段:即获得安全和保持安全。
获得安全
第一个阶段称为“获得安全”。为了帮助组织达到适当的安全级别,本指南中的建议将有助于您确保当前和将来计算机系统的安全。
保持安全
第二个阶段称为“保持安全”。在完成初始安全环境的建立后,用户需要持续维护环境的安全,对安全隐患采取预防措施,并在出现威胁时有效应对。
返回页首
本指南的范围
本指南重点介绍如何为组织中运行 Windows Server 2003 的计算机创建和维护安全的环境。本资料说明了确保指南中定义的三类环境安全的各个阶段以及根据客户端依赖性如何处理定义的服务器设置。所涉及的三类环境分别称为旧客户端环境、企业客户端环境和高安全级环境。
• 旧客户端设置针对的是包括运行 Windows Server 2003的成员服务器和域控制器、运行Windows 98、Windows NT® 4.0 及更高版本的客户端的 Active Directory 域。

• 企业客户端设置针对的是包括运行 Windows Server 2003的成员服务器和域控制器、运行Windows 2000、Windows XP 及更高版本的客户端的 Active Directory 域。

• 高安全级设置针对的是包括运行 Windows Server 2003 的成员服务器和域控制器、运行 Windows 2000、Windows XP 及更高版本的客户端的 Active Directory 域。但是,高安全级设置过于严格,许多应用程序可能无法运行。由于此原因,服务器的性能可能会受到一些影响,管理这些服务器也将更具挑战性。

强化指南适用于由不同服务器角色构成的组。所描述的对策和所提供的工具假设每个服务器具有单一角色,如果环境中的某些服务器需要承担多个角色,则可以自定义本指南中包含的安全模板,为具有多个角色的服务器配置服务和安全选项的适当组合。本指南涉及的角色包括:
• 域控制器

• 基础结构服务器

• 文件服务器

• 打印服务器

• Intenet 信息服务 (IIS) 服务器

• Internet 验证服务 (IAS) 服务器

• 证书服务服务器

• 堡垒主机

本指南中建议的各项设置已在实验室模拟环境中进行了全面的测试:旧客户端环境、企业客户端环境和高安全级环境。这些设置已经通过了实验室环境测试,但是组织仍然需要在自己的实验室中建立符合自身产品环境的精确模拟环境,以对其进行进一步的测试。用户很可能需要对本指南中提供的安全模板和手动操作规程进行一些更改,以便所有的业务应用程序能够正常运行。有关详细信息,请参阅附加指南“Threats and Countermeasures:Security Settings in Windows Server 2003 and Windows XP”,其网址为:http://go.microsoft.com/fwlink/?LinkId=15159(英文)。用户可从中获取所需信息,以评估各项措施并确定适合本组织特定环境和业务要求的特定措施。
返回页首
内容概述
Windows 2003 安全性简介由 12 个模块组成。各模块建立在端对端解决方案过程的基础之上。为实现并确保环境中 Windows Server 2003 的安全性,该端对端解决方案过程发挥着至关重要的作用。前面的几个模块描述了如何为增强组织中的服务器构建基础,而其余的模块则描述了各服务器角色所对应的的特定过程。
Windows 2003 安全性简介
本模块包含 Windows 2003 安全性简介的简要说明以及各模块概述。
在 Windows Server 2003 环境中规划基本的域结构
本模块说明了如何构建基准域环境,以提供确保 Windows Server 2003 基础结构安全性的指南。本模块首先介绍了域级别的安全设置和对策,同时还包括 Microsoft Active Directory 服务设计、组织单位 (OU) 设计和域策略的高级说明。
然后,从确保域环境安全方面说明了本模块中涉及的旧客户端环境、企业客户端环境和高安全级环境。这提供了一个发展思路,指导组织在适合每个环境的域基础结构内构造一个更安全的环境。
创建 Windows Server 2003 服务器的成员服务器基准
本模块说明了本指南中定义的三个环境所包括的服务器角色的安全模板设置和其他安全措施。本模块主要介绍了如何建立成员服务器基准策略(MSBP),以实现指南中稍后讨论的服务器角色强化建议 。
本模块中选择的建议可以确保公司安全的部署我们强烈推荐的 Windows Server 2003 系统设置配置,这些配置既适合于现有系统,也适合于新建系统。Windows Server 2003 系统中默认的安全配置已经经过了检查与测试。与默认操作系统设置相比,本模块中提供的建议可以提供更好的安全性。在某些情况下,为提供对旧客户端的支持,建议使用的设置配置没有 Windows Server 2003 的默认安装中提供的设置严格。
强化 Windows Server 2003 域控制器
在任何包括运行 Windows Server 2003 的计算机的 Active Directory 环境中,域控制器服务器都是需要确保其安全性的最重要角色之一。域控制器的任何损失或破坏都将破坏依赖域控制器进行身份验证、组策略和中央轻型目录访问协议 (LDAP) 目录的客户端、服务器和应用程序。
本模块概述了始终将域控制器服务器存储在仅限定的管理人员可以访问的安全的物理地点的重要性。此外,本模块还说明了将域控制器存储于不安全位置(如分支办公室)的危险性并重点解释了建议的域控制器组策略涉及的安全考虑。
强化 Windows Server 2003 基础结构服务器
在本模块中,基础结构服务器角色被定义为一个动态主机控制协议 (DHCP) 服务器或者 Windows Internet 名称服务 (WINS) 服务器。此外,本模块还详细说明了在您的环境中基础结构服务器可以受益于成员服务器基准策略没有应用的安全设置的领域。
强化 Windows Server 2003 文件服务器
本模块重点介绍了文件服务器角色以及强化分配了该角色的服务器的安全性问题。文件服务器中的最基本服务需要与 Windows 网络基本输入/输出系统 (NetBIOS) 相关的协议。服务器消息块 (SMB) 和通用 Internet 文件系统 (CIFS) 协议可以向未进行身份验证的用户提供丰富的信息,但是,在高安全性 Windows 环境中通常建议禁用这些协议。此外,本模块还详细描述了在哪些方面,用户环境中的文件服务器可以受益于非 MSBP 策略的安全设置。
强化 Windows Server 2003 打印服务器
打印服务器是本模块的说明重点。同样,打印服务器中的最基本服务需要与 Windows NetBIOS 相关的协议。服务器消息块 (SMB) 和通用 Internet 文件系统 (CIFS) 协议可以向未进行身份验证的用户提供丰富的信息,但是,在高安全性 Windows 环境中通常建议禁用这些协议。此外,本模块还详细描述了在哪些方面,打印服务器的安全设置可以通过非 MSBP 的方式得以优化。
强化 Windows Server 2003 IIS 服务器
本模块概述了网站和应用程序的总体安全性如何依赖于整个 IIS 服务器(包括在 IIS 服务器上运行的各网站和应用程序)以避免来自环境中客户机的威胁。网站和应用程序还须防范来自同一 IIS 服务器上其他网站和应用程序的威胁。本模块中详细地说明了确保环境中的 IIS 服务器相互隔离的操作。
在默认情况下,IIS 没有安装在 Windows 服务器系统家族的成员上。在初始安装 IIS 时,以高安全级别的“锁定”模式进行安装。例如,默认情况下,IIS 仅提供静态内容服务。其他功能(如 ASP、ASP.NET、服务器–端包含、WebDAV 发布 和 Microsoft FrontPage® Server Extensions)必须由管理员通过 Internet 信息服务管理器 (IIS Manager) 中的 Web 服务扩展节点才能启用。
本模块中的各个部分对为增强环境中 IIS 服务器安全性实施的各种安全强化设置进行了详细的说明。我们还强调安全监控、检测和响应的重要性以确保服务器保持安全。
强化 Windows Server 2003 IAS 服务器
Internet 验证服务 (IAS) 提供 RADIUS 服务(一种基于标准的身份验证协议,用于验证远程登录用户的身份)。本模块详细说明了在哪些方面,用户环境中的 ISA 服务器可以受益于非 MSBP 策略的安全设置。
强化 Windows Server 2003 证书服务器
证书服务提供了在服务器环境中建立公钥基础结构 (PKI) 所需的加密服务和证书管理服务。本模块详细描述了在哪些方面,用户环境中的证书服务器可以受益于非 MSBP 策略的安全设置。
强化 Windows Server 2003 堡垒主机
客户端可以从 Internet 访问堡垒主机服务器。本模块对这些对外开放的堡垒服务器所面临的大量网络攻击进行了说明,在许多情况下,攻击者完全可以根据自己的意愿实施匿名攻击。多数组织不会将它们域基础结构扩展到网络中的对外开放部分。因此,本模块重点介绍了适用于独立计算机的安全性强化建议。此外,本模块还详细描述了在哪些方面,用户环境中的堡垒主机可以受益于非 MSBP 策略的安全设置。
工具和模板
本指南附带了安全模板、脚本和其他工具的集合,以帮助组织评估、测试和实现本指南中建议的安全措施。安全模板为文本文件,这些文本文件可以被导入到基于域的组策略之中或通过“安全配置和分析”管理单元应用于本地。有关这一过程的相应信息,请参阅模块“配置域基础结构”。本指南附带的脚本可以使用 NETSH 命令行工具实现 IPSec 数据包过滤器并对建议措施测试中使用的脚本进行测试。本指南还包括称为“Windows Server 2003 Security Guide Settings”(英文)的 Microsoft Excel 工作簿,它为每个安全模板中包含的设置编制了文档。这些工具和模板包括在 WinZip 自解压文件中,可以在以下站点获得:http://go.microsoft.com/fwlink/?LinkId=14846(英文)。当从此压缩文件解压缩文件时,会在指定的位置创建下列文件夹结构:
• \Windows Server 2003 Security Guide — 包含本文档的 PDF 格式文件以及与本资料相关的“测试指南”、“交付指南”和“支持指南”。

• \Windows Server 2003 Security Guide\Tools and Templates — 包含本指南附带的任何项目的子目录。

• \Windows Server 2003 Security Guide\Tools and Templates\Security Guide\Security Templates — 包含本指南中讨论的所有安全模板。

• \Windows Server 2003 Security Guide\Tools and Templates\Security Guide\Sample Scripts — 包含所有示例 IPSec 过滤器脚本和一个包含本指南中讨论的所有通信映射的 Excel 工作簿。

• \Windows Server 2003 Security Guide\Tools and Templates\Security Guide\Checklists — 包含每个服务器角色特定的检查表。

• \Windows Server 2003 Security Guide\Tools and Templates\Test Guide — 包含与测试指南相关的工具。

• \Windows Server 2003 Security Guide\Tools and Templates\Delivery Guide — 包含与交付指南相关的工具。

返回页首
技能和准备
对于负责开发、部署并确保企业中 Windows Server 2003 和 Windows XP 的安全性的管理员或结构设计人员,下列知识和技能是必备条件:
• 拥有 MCSE 2000 证书,有 2 年以上安全相关经验。

• 对公司域和 Active Directory 环境有深入了解。

• 熟练使用管理工具,包括 Microsoft 管理控制台 (MMC)、secedit、gpupdate 和 gpresult。

• 有管理组策略的经验。

• 有在企业环境中部署应用程序和工作站的经验。

返回页首
要求
为使用本指南中的工具和模板,需要以下软件配置:
• Windows Server 2003 标准版、Windows Server 2003 企业版 或 Windows Server 2003 标准版。

• 基于 Windows Server 2003 的 Active Directory 域。

• Microsoft Excel 2000 或更高版本。

返回页首
样式惯例
本指南使用下列样式惯例和术语。
表 1:样式惯例
元素 含义
粗体
完全按显示键入的字符,包括命令和开关。说明性文本中的用户界面元素也用粗体。

斜体
特定值变量的占位符。例如,Filename.ext 可以指正在讨论的第一个例子中的任何有效文件名。

要点
提醒读者阅读对完成任务非常重要的补充信息。

固定宽度字体
代码示例。

%SystemRoot%
安装 Windows Server 2003 操作系统的文件夹。

注意
提醒读者阅读补充信息。

屏幕参数
出现在屏幕和命令行命令上的消息使用此样式的字体。

返回页首
小结
本模块提供对确保 Windows Server 2003(在本指南的剩余部分将进一步深入地进行介绍)安全所涉及的主要因素进行了简要说明。现在,您已经了解了本指南的结构和概要内容,您可以选择从头到尾阅读本指南,还是仅选择那些与您有关的部分。
但是,切记有效、成功的安全操作需要在本指南所包括的所有领域进行改进,而不仅仅是某些领域。由于此原因,强烈建议您阅读整个指南以利用本指南提供的所有可以用于确保 Windows Server 2003 安全的信息。
其他信息
以下是在发布本指南和产品时提供的最新信息资源,其内容紧紧围绕如何确保 Windows Server 2003 的安全。
有关 Microsoft 安全性方面的详细信息,请访问下列网址: http://www.microsoft.com/security(英文)。
有关 MOF 如何在企业中提供帮助的详细信息,请访问下列网址: http://www.microsoft.com/business/services/mcsmof.asp(英文)。
有关 Microsoft 战略性技术保护计划网站的信息,请访问下列网址: http://microsoft.com/security/mstpp.asp(英文)。
有关预订 Microsoft 安全性通告服务的信息,请访问下列网址: http://www.microsoft.com/china/security/bulletins/notify.asp。