1 / 119

Windows 伺服器安全問題

Windows 伺服器安全問題. Windows 伺服器安全問題. 本機安全原則設定( Local Security Policy Settings ) 系統組態設定( System Configuration Settings )之中。 Windows 2003 特殊的設定問題. 本機安全原則設定. Windows 是採用圖形化介面( GUI )的本機原則編輯器。 點選 『 控制台 』 / 『 系統管理工具 』 / 『 本機安全原則 』 (詳見圖 15-1 ),即可開啟本機原則編輯器視窗。 工具程式除了允許管理員設定帳戶原則之外,也允許設定本機安全性原則。.

reyna
Download Presentation

Windows 伺服器安全問題

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. Windows 伺服器安全問題

  2. Windows 伺服器安全問題 • 本機安全原則設定(Local Security Policy Settings) • 系統組態設定(System Configuration Settings)之中。 • Windows 2003特殊的設定問題

  3. 本機安全原則設定 • Windows 是採用圖形化介面(GUI)的本機原則編輯器。 • 點選『控制台』/『系統管理工具』/『本機安全原則』(詳見圖15-1),即可開啟本機原則編輯器視窗。 • 工具程式除了允許管理員設定帳戶原則之外,也允許設定本機安全性原則。

  4. 圖15-1 本機安全性原則管理GUI

  5. 本機安全性原則GUI其實就是登錄檔(Registry)的前台編輯工具。本機安全性原則GUI其實就是登錄檔(Registry)的前台編輯工具。 • 不需要使用登錄檔編輯器(regedit或regedit32)來修改登錄檔的設定值。 • 一般而言,最好使用這個工具來變更這些安全性原則的設定值,而不是直接使用登錄檔編輯器來修改。 Windows 2000提供許多關於系統設定、本機安全原則和使用者管理設定等,許多安全性設定的範本。如果您選用其中任何一個範本,都應該清楚地瞭解這些變動會替系統帶來什麼影響。

  6. 圖15-2 本機安全性原則組態設定項目

  7. 登入訊息 • Windows提供兩種對使用者顯示登入訊息的方式: • 使用者嘗試登入的訊息文字。 • 使用者嘗試登入的訊息標題。

  8. 關機時清除虛擬記憶體分頁檔 • 在系統執行的過程中,虛擬記憶體分頁檔包含了許多重要的系統資訊,這些資訊可能包括加密金鑰或密碼雜湊。 • 只要啟用『當關機時清除虛擬記憶體分頁檔』選項,即可強迫Windows 2000關機時清除分頁檔。

  9. 允許不登入就將系統關機 • 如果一般使用者無法登入時,也不能允許他們關閉系統。 • 應該停用『允許不登入就將系統關機』。

  10. LAN Manager驗證層級 • LAN Manageer驗證是讓Windows 2000伺服器接受Windows 95或98用戶端的驗證系統(以及Windows工作群組)。 • LAN Manager驗證機制比Windows NT或Windows 2000驗證系統(稱為NTLM v2)更不安全,因此可能讓入侵者較容易暴力攻擊加密過的密碼。

  11. 如果要強制使用NTLM v2驗證,請依照下列方式設定: • 1.選擇LAN Manager驗證層級設定。 • 2.從下拉式選單選取合適的層級 • 層級的數值應該依據使用環境的需求加以設定。六種層級設定的內容如下: • 傳送LM和NTLM回應:預設都會回應LM和NTLM。設定之後,系統將不會使用NTLM v2工作階段安全性。

  12. 傳送LM和NTLM回應:如有交涉,使用NTLMv2工作階段安全性。傳送LM和NTLM回應:如有交涉,使用NTLMv2工作階段安全性。 • 只傳送NTLM回應。 • 只傳送NTLM v2回應。 • 只傳送NTLM v2回應,拒絕LM。 • 只傳送NTLM v2回應,拒絕LM與NTLM。 在變更這些原則設定之前,應該要詳細考量網路的運作需求。如果網路上有Windows95或Windows98用戶端,就必須允許LAN Manager回應。

  13. 匿名使用者連線的其他限制 • 這個原則設定允許管理員定義匿名連線可以執行的項目。三個選項如下: • 無。依賴預設權限, • 不允許SAM帳戶與共同的列舉 • 沒有明確宣告的匿名權限則不能存取

  14. Windows 2003額外的本機安全原則設定 • Windows 2003伺服器和Windows 2000的本機安全原則設定的為一不同之處,就是軟體限制原則(Software Restriction Policies,SRP)(詳見圖15-3)。 • SRP允許控制可以在本機電腦系統執行的軟體。 • 管理員可以利用這個選項,設定電腦系統是否允許執行某些特定類型的軟體,而且也可以用來防止執行不信任的軟體。

  15. 軟體限制原則 圖15-3 本機系統的軟體限制原則

  16. 軟體限制原則 • 管理員可以定義預設的安全性層級(允許可以執行軟體)或是拒絕執行軟體(允許執行軟體的決策相當模糊)。 • 雖然後者的成效較好,但是也可能造成限制性過高的結果。 • 在這些軟體影響任何系統運作之前,多花點時間詳加測試與設定。 • 在設定軟體限制原則的預設值之後,即可針對特定軟體建立軟體限制原則規則,並做為預設的例外安全性層級。

  17. 軟體限制原則 • 可以做為例外軟體的依據如下: • 雜湊 • 憑證 • 路徑(包含登錄資訊的路徑) • 網際網路區域 • 使用軟體限制原則可以達成下列目標: • 限制某些在電子郵件程式附件目錄之下執行的檔案類型。 • 限制某些使用者可以在終端機伺服器執行的程式。 千萬記得軟體限制原則無法取代防毒軟體。

  18. 系統設定 • 檔案系統 • 網路設定 • 帳戶設定 • Service pack和修補

  19. 檔案系統 • Windows 2000系統上的所有檔案系統,都應該轉換成NTFS檔案系統。 • FAT檔案系統並不允許設定檔案許可權限,因此採用NTFS會比較好。 • 如果系統含有FAT擋案系統,也可以執行CONVERT程式將它轉換成NTFS。 • 程式執行完畢將會重新開機,但是不曾影響檔案系統上的現有資料。

  20. Windows 2000 採用新版的NTFS檔案系統 一 NTFS-5。NTFS-5新增許多個人許可權的設定項目: • 跨資料夾/執行檔案 • 列出資料夾/讀取資料 • 讀取屬性 • 讀取擴充屬性 • 建立檔案/寫入資料 • 建立資料夾/附加資料

  21. 寫入屬性 • 寫入擴充屬性 • 刪除子資料夾及檔案 • 刪除 • 讀取許可權 • 變更許可權 • 取得擁有權 • 在Woindows 2000正式運作之前,管理員和安全幕僚應該瞭解這些新的許可權設定,並檢視檔案和資料夾的許可權架構。

  22. 檔案加密系統(Encrypting File System): • 如果入侵者可以利用其它作業系統開機(例如DOS),要求Windows 2000或Windows NT系統重新開機,接著就可以使用程式(例如NTFSDOS)讀取檔案並繞過NTFS的存取控管。 • 在使用Windows NT或Windows 2000時,NTFS檔案系統的缺點之一就是只能保護檔案。 • Windows 2000增加的檔案加密系統(Encrypting File System,EFS),就是用來保護檔案避免遭受這種類型的攻擊。

  23. 檔案加密系統(Encrypting File System): • EFS是一種『透通』的設計方式 - 使用者無須處理檔案的加/解密動作(只要資料夾或檔案啟用EFS即可)。 • 在檔案需要加密時,系統會使用對稱式金鑰演算法選擇金鑰,並對檔案加密。 • 依據一個或多個可以存取檔案的使用者公眾金鑰,最後再對這個金鑰加密。 • EFS具有可以還原加密資訊的內建機制。在預設的情況下,本機Administrator帳戶解密任何EFS檔案。

  24. 檔案加密系統(Encrypting File System): • EFS是作業系統和使用者之間的介面,某些命令會對檔案執行加密的動作。 • 如果寫入非NTFS 5.0 磁碟分割區或磁片,檔案寫入時並不會再次加密。 • 如果將檔案複製到其他電腦上,會使用不同的對稱式金鑰演算法重新加密。

  25. 共享(Share) • 如同Windows NT一樣,Windows 2000開機時會建立系統管理共享。 • 共享資源包含C$、D$、IPC$、ADMIN$和NETLOGON(網域控制站才有)。 • 只要點選『控制台』/『系統管理工具』的『電腦管理』(詳見圖15-4),即可全部列出目前的共享清單。 • 共享資料夾應設定密碼。 • 雖然攻擊者可能利用這些共享資源暴力破解Administrator帳戶的密碼,不過還是不建議關閉這些共享資源。

  26. 圖15-4 顯示共享資源的電腦管理

  27. 網路設定 • 除了Windows標準的連接埠(135、137、139)之外,Windows2000還多了下列連接埠: • Kerberos使用的連接埠88 • SMB over IP的連接埠445 • Kerberos kpasswd的連接埠464 • 網際網路 Key Exchange(IKE)的連接埠500(UDP專用)。

  28. 移除NetBIOS • 如果想要移除Windows 2000系統的NetBIOS,可以從『網路和撥號連線』畫面中,『進階』選單之下的『進階設定』開啟進階設定的畫面。 • 再點選『介面卡及連結』頁籤,最後停用特定介面的『File and Printer Sharing for Mircosoft Networks』(詳見圖15-5)。

  29. 移除NetBIOS 圖15-5 移除NetBIOS繫結

  30. 帳戶設定 • Windows 2000含有兩個預設的帳戶:Administrator和Guest。 • 利用『本機安全性設定』工具程式的『重新命名系統管理員帳戶』和『將來賓帳戶重新命名成』,即可變更這兩個帳戶的名稱。 • 應該要關閉Guest帳戶,而且一般都會一使用長串隨機字串,重新設定Geuest帳戶的密碼。 • 組織的每一部Windows 2000工作站和伺服器,都會含有本機設備的Administrator帳戶。

  31. 應該要建立一個可以將密碼定義成非常牢靠的程序,才能妥善地保護這些帳戶。應該要建立一個可以將密碼定義成非常牢靠的程序,才能妥善地保護這些帳戶。 • 密碼原則: • 可以透過『本機安全性原則』工具程式設定系統的密碼原則(詳見圖15-6)。 • 在設定畫面中,允許管理員設定密碼的參數和要求的長度。 在本章的群組原則和Active Directory內容中,將會詳細說明『密碼原則』和『帳戶鎖定原則』。

  32. 不論是在哪一種系統上,這些設定的內容都應該要符合組織的安全政策。不論是在哪一種系統上,這些設定的內容都應該要符合組織的安全政策。 • 如果啟用『密碼必須符合複雜性需求』,將會啟用預設的密碼過濾器(PASSFILT.DLL)。 • 這個過濾器會要求所有密碼必須輸入至少含有六個字元以上,其中不能含有任何使用者姓名,且至少需要含有三個:數值、符號、小寫字元或大寫字元。 • 除非有絕對的必要性, 否則千萬不要啟用『儲存可復原加密的密碼』設定。

  33. 圖15-6 利用本機安全性設定工具程式來建立密碼原則

  34. 帳戶鎖定原則: • 利用本機安全性原則工具程式,也可以設定『帳戶鎖定原則』(詳見圖15-7)。 • 應該依據組織的安全政策設定這些項目。 • 帳戶鎖定原則並不能強制套用在Administrator帳戶。這是因為Administrator帳戶永遠可以從系統的主控台(console)登入。 『帳戶鎖定原則』可以用來防止入侵者使用暴力攻擊猜測密碼。但是入侵者也可能對所有帳戶發動阻斷服務攻擊。因此,在設定這項原則之前,最好能夠考量鎖定的時間長度對使用者的影響程度。

  35. 圖15-7 利用本機安全性設定工具程式建立帳戶鎖定原則

  36. Service pack和修補 • 請使用自動Update

  37. Windows 2003特殊的設定問題 • 最初的系統設定和Windows 2000一樣。管理員需要確認已經適當地設定下列三種服務: • 終端機服務 • 軟體限制 • .NET framework組態設定

  38. 終端機服務 • 在預設的情況下,Windows 2003伺服器提供遠端管理桌面(Windows 2000的遠端管理模式之中的終端機服務)服務。 • 這項服務在主控台工作階段(session)之中,最多允許兩組遠端工作階段。 • 為了盡可能提供這項服務的安全性,管理員需要確認在終端機服務組態設定的畫面中,已經適當地設定特定連線的『內容(Properties)』選項(詳見圖15-8)。

  39. 圖15-8 終端機服務組態設定

  40. 加密層級: • 可以用來保護用戶端和伺服器之間,傳輸資料的可用加密層級如下: • 低:使用56位元金鑰加密。 • 用戶端相容:用戶端支援最大金鑰長度的加密方式。 • 高:使用128位元加密。用戶端可能無法支援這種層級的加密方式,所以可能也會無法連線。 • 依據FIPS:採用美國聯邦資訊處理程序標準的140-1確認加密法,來保護傳輸中的資料。

  41. 登入設定: • 當用戶端連線到終端機伺服器時,使用預設的登入憑證(詳見圖15-9)。 • 在預設的情況下,是由用戶端提出登入的憑證。 • 另一選擇 - 所有連線採用單一帳戶。 • 最後的選擇可能要求用戶輸入密碼,另外一種選擇就是所有連線都是使用相同的使用者帳戶。

  42. 圖15-9 登入設定頁籤

  43. 網路介面設定: • 這個選項可以用來判斷使用哪一個網路介面負責監聽這項服務。 • 只有在系統含有多組網路介面時才允許設定。 • 只要妥善管理使用者帳戶(使用牢靠的密碼、鎖定帳戶等等),且利用適當的保護機制(例如防火牆),即可提供這項服務所需的安全性。

  44. .NET Framework 組態設定 • .NET framework組態設定工具(詳見圖15-10)特別是.NET framework 1.1版,允許設定存取安全性原則的程式碼。 • 這項工具程式可以用來加強安全和(或)移除已經安裝在系統上的管理元件。 • 從安全性的觀點看來,也可以利用這個工具程式來控制應用程式存取受到保護的資源。 • 安全系統透過三種原則層級(企業、設備使用者),來判斷可以允許的權限組合。

  45. .NET Framework 組態設定 圖15-10 .NET 組態設定工具程式

  46. .NET Framework 組態設定 • 企業:針對整個企業的安全性原則(以每一部設備做為套用這項原則的為基準時,企業原則和設備原則之間的界線會變得非常模糊。不過在發行最終版本時,可能會變得非常明確)。 • 設備:套用在所有執行程式碼的系統上。 • 使用者:套用在目前已經登入的使用者。 • 應該要個別地評估每一項原則,而且也要利用原則的組合結果,設定程式碼只能具有最低限度的權限授予。 • 判斷『拒絕』的優先權要比『允許』的優先權來得高。

  47. 15-2 管理使用者 • Windows 2000系統的使用者管理,是組織和系統安全非常重要的一環。 • 組織應該建立完善的程序,來確認每一位新使用者應該擁有的許可權等級。 • 在員工離職的當下,組織也應該具有一套移除使用者對於系統存取權限的程序。 • 本節的內容如下: • 15-2-1 新增使用者 • 15-2-2 設定檔案許可權 • 15-2-3 刪除使用者

  48. 15-2-1 新增使用者 • 在系統新增使用者之時,務必確認完全符合組織的使用者管理程序。 • 應該定義『誰會需要新的帳號』、『誰可以核准新增帳號的需求』。 • 在系統或網域的『電腦管理』工具程式畫面中,點選『本機使用者和群組』節點再『使用者』項目。接著點選『執行』選單之下的『新使用者』選項,即可新增新的使用者(詳見圖15-11)。

  49. 如同Windows NT一樣,每一位使用者應該都具有唯一的使用者ID和帳戶。 • 如果兩個使用者需要相同的存取權限時,那麼也應該分別建立兩個帳戶並隸屬於同一個群組。 • 在任何情況下,都不應該多人共用相同的帳戶。

  50. 圖15-11 新使用者視窗

More Related