Win 2003對打印服務(wù)器的保護(hù)

強(qiáng)化打印服務(wù)器

概述

????因為打印服務(wù)器提供的大多數(shù)重要服務(wù)都需要Microsoft Windows 網(wǎng)絡(luò)基本輸入/輸出系統(tǒng)（NetBIOS）相關(guān)協(xié)議的支持，所以本章將重點討論在進(jìn)一步強(qiáng)化打印服務(wù)器安全性方面存在的一些挑戰(zhàn)。服務(wù)器消息塊（SMB）協(xié)議和通用Internet文件系統(tǒng)（CIFS） 協(xié)議能給未經(jīng)授權(quán)用戶提供大量的信息。因此，我們經(jīng)常建議在高安全性的Windows環(huán)境中禁止打印服務(wù)器使用這些協(xié)議。但是，禁用這些協(xié)議可能給您的環(huán)境中的管理員和用戶訪問打印服務(wù)器造成一定的困難。

????本章下面的部分將詳細(xì)描述打印服務(wù)器能夠從中受益的一些安全性設(shè)置，這些設(shè)置都不能通過成員服務(wù)器基線策略（MSBP）得到應(yīng)用。要了解更多關(guān)于MSBP的信息，可參閱第三章"創(chuàng)建成員服務(wù)器基線"。

審核策略設(shè)置

????在本指南定義的三種環(huán)境下，打印服務(wù)器的審核策略都通過MSBP進(jìn)行配置。要了解更多關(guān)于MSBP的信息，可參閱第三章"創(chuàng)建成員服務(wù)器基線"。MSBP設(shè)置確保了所有相關(guān)的安全審核信息能夠被所有的打印服務(wù)器記錄在日志中。

用戶權(quán)限分配

????在本指南定義的三種環(huán)境下，打印服務(wù)器的用戶權(quán)限分配都通過MSBP進(jìn)行配置。要了解更多關(guān)于MSBP的信息，可參閱第三章"創(chuàng)建成員服務(wù)器基線"。MSBP設(shè)置確保了所有正確的用戶權(quán)限分配都能夠跨越不同的打印服務(wù)器實現(xiàn)統(tǒng)一配置。

安全選項

????在本指南定義的三種環(huán)境下，打印服務(wù)器的安全選項設(shè)置都是通過MSBP進(jìn)行配置。要了解更多關(guān)于MSBP的信息，可參閱第三章"創(chuàng)建成員服務(wù)器基線"。MSBP設(shè)置確保了所有相關(guān)的安全選項設(shè)置能夠跨越不同的打印服務(wù)器實現(xiàn)統(tǒng)一配置。

Microsoft網(wǎng)絡(luò)服務(wù)器：數(shù)字簽署通信（始終）

表7.1：設(shè)置

????"Microsoft網(wǎng)絡(luò)服務(wù)器：數(shù)字簽署通信（始終）"設(shè)置決定了數(shù)據(jù)包簽署對于SMB服務(wù)器組件來說是否是必需的。SMB協(xié)議為Microsoft的文件和打印共享以及像遠(yuǎn)程Windows管理這樣的其它許多網(wǎng)絡(luò)操作提供了基礎(chǔ)。為了阻止SMB數(shù)據(jù)包在傳輸過程中受到人為攻擊，SMB協(xié)議支持SMB數(shù)據(jù)包的數(shù)字簽署。該設(shè)置決定了服務(wù)器和SMB 客戶端之間的通信在被允許之前是否可以忽略SMB數(shù)據(jù)包的數(shù)字簽署。

????盡管該設(shè)置被缺省為禁用狀態(tài)，但是您可以通過MSBP在本指南定義的高安全性環(huán)境中啟用服務(wù)器的這個設(shè)置。您可以啟用打印服務(wù)器上的這個設(shè)置以便用戶執(zhí)行打印操作，但是它不允許用戶查看打印隊列。試圖查看打印隊列的用戶將得到拒絕訪問的消息。出于上述原因，在本指南定義的三種環(huán)境中，"Microsoft 網(wǎng)絡(luò)服務(wù)器：數(shù)字簽名通信（始終）"設(shè)置被配置為"禁用 "打印服務(wù)器。

事件日志設(shè)置

????在本指南定義的三種環(huán)境下，打印服務(wù)器的事件日志設(shè)置都通過MSBP進(jìn)行配置。要了解更多關(guān)于MSBP的信息，可參閱第三章"創(chuàng)建成員服務(wù)器基線"。

系統(tǒng)服務(wù)

????任何服務(wù)和應(yīng)用軟件都是攻擊者的潛在目標(biāo)，所以應(yīng)該禁用或刪除不需要的服務(wù)和可執(zhí)行文件。在MSBP中，可選服務(wù)和不必要服務(wù)都應(yīng)該被禁用。以下內(nèi)容詳細(xì)描述了應(yīng)該在打印服務(wù)器上啟用的服務(wù)。

后臺打印

表7.2：設(shè)置

????"后臺打印處理"服務(wù)管理著所有本地和網(wǎng)絡(luò)打印隊列并控制所有的打印工作。后臺打印處理服務(wù)是 Windows 打印子系統(tǒng)的中心，它與打印驅(qū)動程序和輸入/輸出（I/O）組件進(jìn)行通信。

????打印服務(wù)器依賴于"后臺打印處理"服務(wù)的正確運行。為了讓打印服務(wù)器處理客戶機(jī)的打印工作，該服務(wù)必須設(shè)置為運行。您可以使用組策略將" 后臺打印處理" 服務(wù)的啟動模式設(shè)置為"只允許服務(wù)器管理員訪問"，以防止服務(wù)被未經(jīng)授權(quán)或懷有惡意的用戶設(shè)置或操作。組策略也可以防止管理者無意中禁用該服務(wù)。其原因是：在本指南定義的三種安全環(huán)境中，"后臺打印處理"設(shè)置都被配置為"自動"。

其它安全性設(shè)置

????MSBP中應(yīng)用的安全設(shè)置大大提高了打印服務(wù)器的安全性。不過，您還需要考慮其它一些注意事項。有些步驟不能通過組策略來完成，而要在所有打印服務(wù)器上手動執(zhí)行操作。

保護(hù)眾所周知帳戶的安全

????Microsoft Windows Server? 2003具有大量的內(nèi)置用戶帳戶，這些帳戶不能被刪除，但是可以重命名。Windows 2003中最常見的兩個內(nèi)置帳戶是Guest 和Administrator 。
Guest 帳戶在成員服務(wù)器和域控制器上缺省為禁用狀態(tài)。此設(shè)置不應(yīng)該被更改。內(nèi)置的Administrator 帳戶應(yīng)該被重命名并改變描述。以防止攻擊者利用該帳戶危及遠(yuǎn)程服務(wù)器的安全。
許多惡意代碼的變種企圖使用內(nèi)置的管理員賬戶來破壞一臺服務(wù)器。在近幾年來，進(jìn)行上述重命名配置的意義已經(jīng)大大降低了，因為出現(xiàn)了很多新的攻擊工具，這些工具企圖通過指定內(nèi)置 Administrator 賬戶的安全標(biāo)識（SID）來確定該帳戶的真實姓名，從而侵占服務(wù)器。SID是識別每個用戶、組、計算機(jī)帳戶和網(wǎng)絡(luò)登錄的唯一值。要改變內(nèi)置帳戶的SID 是不可能的。您可以用一個特別的名字重新命名本地的administrator帳戶，以便您能夠監(jiān)控對該帳戶的攻擊行為。

保護(hù)打印服務(wù)器上的眾所周知帳戶

1. 重新命名Administrator和Guest帳戶，然后改變每個域和服務(wù)器的密碼為長且復(fù)雜的值。
2. 為每個服務(wù)器使用不同的名稱和密碼。如果所有的域和服務(wù)器使用同一個帳戶名和密碼，取得一個服務(wù)器訪問權(quán)的攻擊者就可以用相同的帳戶名和密碼取得其它域和服務(wù)器的訪問權(quán)。
3. 改變?nèi)笔〉膸裘枋觯苑乐惯@些帳戶被輕易識別出來。
4. 在安全的地方記錄上述改變。

??? 注意：內(nèi)置的Administrator帳戶可以通過組策略重新命名。這個設(shè)置不能通過本指南提供的任何安全模板進(jìn)行配置，因為您應(yīng)該為您的環(huán)境選擇一個特別的名字。在本指南定義的三種環(huán)境下，"賬戶：重命名管理員賬戶"可以被配置為重命名管理員賬戶。該設(shè)置是組策略安全選項設(shè)置的一部分。

保護(hù)服務(wù)帳戶的安全

??? 除非絕對必要，決不要將服務(wù)設(shè)定為在域帳戶的安全上下文中運行。如果服務(wù)器的物理安全受到破壞，域賬戶密碼可以很容易通過轉(zhuǎn)儲本地安全性授權(quán)（LSA）秘文而獲得。

用IPSec過濾器阻斷端口

??? Internet協(xié)議安全（IPSec）過濾器能為提高服務(wù)器的安全級別提供一條有效的途徑。本指南推薦在其定義的高安全性環(huán)境中使用該選項，以便進(jìn)一步減少服務(wù)器的攻擊表面積。

??? 要了解更多關(guān)于IPSec過濾器的使用信息，請參閱"威脅和對抗：Windows Server 2003和Windows XP安全設(shè)置 "的第11章 "其它成員服務(wù)器的強(qiáng)化程序"。

下表列出了可以在本指南定義的高安全性環(huán)境中的打印服務(wù)器上創(chuàng)建的所有IPSec過濾器

表7.3：打印服務(wù)器IPSec網(wǎng)絡(luò)流量圖

??? 在實現(xiàn)上表中列出的所有規(guī)則時都應(yīng)該進(jìn)行鏡像處理。以確保進(jìn)入服務(wù)器的所有網(wǎng)絡(luò)流量也可以返回到源服務(wù)器。

??? 上表描述了服務(wù)器執(zhí)行特別任務(wù)功能所需打開的基本端口。如果服務(wù)器使用靜態(tài)IP地址，那么這些端口就已經(jīng)足夠了。要是希望提供其它功能，您需要開放其它端口。開放其它端口可使您環(huán)境中的打印服務(wù)器更容易管理，不過，它們可能大大降低這些服務(wù)器的安全性。

??? 因為域成員和域控制器之間存在大量交互操作，在特殊的RPC和身份驗證通信中，您需要允許文件服務(wù)器和所有域控制器之間的所有通信。通信還可以被進(jìn)一步限制，但是大多數(shù)環(huán)境都需要為有效保護(hù)服務(wù)器而創(chuàng)建更多的過濾器。這使得IPSec策略的執(zhí)行和管理更為困難。與一個打印服務(wù)器相關(guān)的所有域控制器都要創(chuàng)建相似的規(guī)則。為了提高打印服務(wù)器的可靠性和可用性，您需要為環(huán)境中的所有域控制器添加更多規(guī)則。

??? 如上所述，如果需要在環(huán)境中允許Microsoft Operation manager（MOM），運行IPSec過濾器的服務(wù)器和MOM服務(wù)器之間的所有網(wǎng)絡(luò)通信都必須被允許通過。這一點十分重要，因為MOM服務(wù)器和OnePoint客戶--向MOM控制臺提供報告的客戶端應(yīng)用程序--之間具有大量的交互行為。其它的管理軟件可能也具有類似的要求。如果您需要更高級別的安全性，OnePoint客戶過濾操作可以被配置為就IPSec和MOM服務(wù)器進(jìn)行協(xié)商。

??? IPSec策略可以阻止任意一個高端口的通信，因此，您將無法進(jìn)行遠(yuǎn)程過程調(diào)用（RPC）通信。這使得服務(wù)器的管理更加困難。因為這么多的端口已經(jīng)被有效關(guān)閉，您可以啟用終端訪問，以方便管理員進(jìn)行遠(yuǎn)程管理。

??????? 上面的網(wǎng)絡(luò)流量圖假定環(huán)境中包括啟用了Active Directory的DNS服務(wù)器。如果使用靜態(tài)DNS服務(wù)器，您還需要設(shè)定其它規(guī)則.執(zhí)行IPSec策略不會對服務(wù)器的性能產(chǎn)生太大影響。不過，您應(yīng)該在執(zhí)行這些過濾之前首先進(jìn)行測試，以便確保服務(wù)器的必要功能和性能得以保持。如果希望支持其它應(yīng)用軟件，您還需要添加其它的規(guī)則。

??? 本指南包括一個.cmd文件，它簡化了依照指南要求為域控制器創(chuàng)建IPSec過濾器的過程。PacketFilters-File.cmd文件使用NETSH命令創(chuàng)建適當(dāng)?shù)倪^濾器。您必須修改.cmd文件以使它包括您所在環(huán)境中的域控制器的IP地址。腳本為即將添加的域控制器提供了兩個占位符。如果需要，您還可以添加其它的域控制器。域控制器的IP地址列表必須是最新的。

??? 如果環(huán)境中有MOM，那么相應(yīng)的MOM服務(wù)器的IP地址也必須列入腳本。這個腳本不會創(chuàng)建永久性的過濾器。因此，除非IPSec策略代理開始運行，否則服務(wù)器是不受保護(hù)的。要了解更多關(guān)于建立永久性過濾器或創(chuàng)建更高級IPSec過濾器腳本的信息，請參閱"威脅和對策：Windows Server 2003和 Windows XP安全設(shè)置 "的第11章 "其它成員服務(wù)器的強(qiáng)化程序"。最后，該腳本被配置為不對其創(chuàng)建的IPSec策略進(jìn)行分配。IP安全策略管理單元可用來檢查它創(chuàng)建的IPSec過濾器和分配IPSec策略以便使其生效。

總結(jié)

??? 本章闡述了在本指南所定義的三種環(huán)境中保護(hù)打印服務(wù)器的安全所需采取的服務(wù)器強(qiáng)化設(shè)置。所論述的大多數(shù)設(shè)置都通過使用組策略來進(jìn)行配置和加載的。您可以將能夠為MSBP提供有益補(bǔ)充的組策略對象（GPO）鏈接到包含打印服務(wù)器的相應(yīng)組織單位（OU），以便為這些服務(wù)器提供的服務(wù)賦予更多的安全性。

??? 文中提及的某些設(shè)置不能使用組策略來進(jìn)行應(yīng)用。在這些情況下，我們提供了手動配置這些設(shè)置所需的詳細(xì)資料。此外，我們還詳細(xì)介紹了創(chuàng)建和應(yīng)用能夠控制打印服務(wù)器間網(wǎng)絡(luò)通信類型的IPSec過濾器的具體過程。