科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航



ZDNet>网络频道>ZD评测>实施基于角色的安全系统

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

基于角色的安全是Longhorn服务器的新功能,不过现在,只要你拥有Window Server 2003服务器,也一样可以体验到这种新的安全技术。

来源: 2006年12月14日

关键字:服务器 Longhorn 安全管理 服务器

基于角色的安全是Longhorn服务器的新功能,不过现在,只要你拥有Window Server 2003服务器,也一样可以体验到这种新的安全技术。在本文中,笔者将向大家介绍如何在 Windows Server 2003中部署基于角色的安全。

你肯定听说过,安全性是微软设计Longhorn Server的首选任务。在Longhorn Server中出现的众多安全技术中,有一种新的安全模式被称作“基于角色的安全(role based security)”。虽然Windows Server 2003中并没有采用这种新的安全模式,但是通过某种手段,我们也可以在Windows Server 2003中建立一个与Longhorn Server类似的基于角色 的安全系统。在本文中,我就将向大家介绍如何实现这一功能。

什么是基于角色的安全?
在开始前,我先要简单介绍一下基于角色的安全。在Longhorn Server中,基于角色的安全技术可以让用户告诉Longhorn,服务器将以什么身份(文件服务器、域控制器、DNS服务 器等)工作,Longhorn进而会根据这种工作身份来设定安全参数和等级。

基于角色的安全在很多方面都具有优势。在Longhorn Server中,这种基于角色的安全配置极大的简化了整个服务器的配置复杂程度。比如,在以往的服务器中,你可能在安装某一 服务器组件时才发现,需要事先安装另一个附属组件。而在Longhorn Server中,服务器被配置为以某一角色运行,就可以自动安装该角色所需的全部组件,包括这些组件的附属组 件。它可以让管理员确定服务器已经安装了全部所需的组件。

这种模式还有另一个优点,即尽管服务器拥有了实现预定角色所需的全部组件,但是并没有拥有那些它不需要的组件。这对于系统安全来说非常重要。在计算机系统上有一个必然 的规律,即系统中执行的代码越多,这些代码中存在安全隐患的可能性就越大。通过基于角色的配置模式,服务器清除了不需要的组件,降低了运行的代码数量,间接提高了系统 整体的安全性。另一方面,通过禁用那些不需要的系统服务,你可以让服务器的性能获得一定程度的提升,因为那些被禁用的服务将不再占用处理器时间以及内存空间了。

按角色为服务器分类
在Longhorn Server中,你可以通过Server Manager来添加和删除服务器角色。通过这种方式,服务器的安全系统会自动调整设置,以支持该角色。不幸的是,在Windows Server 2003中,并没有包含这种机制。虽然你也可以在Windows Server 2003中应用基于角色的安全,但是这需要你手动完成。

在Windows Server 2003中实施基于角色的安全,最简单的方法就是从建立安全策略基准(baseline)开始。这一安全基准策略应该是具有通用性的,可以被应用于你的全部服务器 中,而不论它们承担什么角色。建立好安全策略基准后,你就可以在活动目录中建立容器来对应不同的服务器角色。接着要将安全策略基准应用到全部容器中,再根据每个容器所 对应的服务器角色的不同来分别制定各自的安全策略。

这里需要注意的是,在默认情况下,活动目录会将所有服务器放在两个容器(Domain Controllers和Computers)中的其中一个。将用于域控制器的策略应用在Domain Controllers 容器上,将其它基本的安全策略应用于Computers容器上,这看上去好像是很有逻辑。但是需要注意到,首先,组策略无法应用于Domain Controllers容器或者Computers容器上, 组策略只能被应用在本地计算机、站点、域、或者Organizational Unit上。就算可以将组策略应用在Computers容器中,但是别忘了Computers容器中还包含了工作站。你肯定也不 希望将通用的服务器策略应用在工作站上吧。

如果希望建立特殊的容器包含不同角色的服务器,你可以通过两种途径实现。一种是将服务器组织进资源域。资源域与其它域没有其它区别,只是资源域中不包含用户。这么做的 目的就是让组策略可以应用到域中。比如你可以为你的文件服务器建立一个域,为你的应用服务器再建立一个域。但这么做也有一些问题。首先,和任何域一样,资源域也需要域 控制器,因此为每个域单独配置域控制器会造成成本增加。

其次,这么做对于建立跨域的安全性来说,提高了实施的复杂度。由于资源域中不包含任何用户,因此你必须采用跨域许可的方式来让用户有能力访问到这些资源服务器。

另一种根据角色组织服务器的方法就是为每个角色创建一个独立的组织单元(Organizational Unit),并将服务器移动到相应的组织单元中。在我看来,这种方法是最优的选择, 因为它不会导致成本上升,也不会像建立资源域那样提升整个网络架构的复杂性。

建立安全基准策略
我已经讲过了该如何根据角色组织你的服务器,下面我再介绍一下如何建立基本的安全策略。在介绍前我需要提醒大家,虽然我希望我所介绍的基本安全策略能够具有普遍性,但 是由于每个企业的实际情况不同,因此我的安全基准策略并不能保证适用于所有企业。如果你打算利用我介绍的内容来建立适合你的企业的安全基准策略,一定要在我的策略上进 行仔细调整,满足你的企业的需求。

建立审计策略(audit policy)
在基准安全策略中,我首先建议你设置的就是审计策略。之所以将审计策略放在第一位,有多种原因。首先,由于我们正在创建新的安全策略,我们需要知道这个安全策略是否能 够正常地工作。审计策略为我们提供了这种信息。其次,一旦安全规则被打破,你可以通过审计策略获得相关的证据,并分析问题所在。

在介绍如何创建审计策略前,我还需要说明何时实施审计,以及审计内容的多少。当你建立审计策略时,也许希望对大量的事件进行审计,但是这么做会导致声称大量的日志文件 。在这种情况下,日志文件包含了太多的内容,以至于你基本上无法找到你所需的信息。过度的审计还会消耗大量系统资源和性能。因此,我建议你仅对必要的事件进行审计。

你可以通过Group Policy Object Editor察看审计策略,或者通过Computer Configuration | Windows Settings | Security Settings | Local Policies | Audit Policy 方式 来访问审计策略。Audit Policy容器中包含了九项你可以修改的审计策略。对于每一项策略,你都可以启用成功和/或失败审计。比如,第一项审计策略是审计账户登陆事件。如果 你设定为审计成功的账户登陆事件,那么审计日志中就会在每个用户成功登录系统时创建一个记录项目。而如果你设定为审计失败的登录事件,那么当用户登录失败时,系统日志 会进行记录。

为了保证审计的效率,避免过多的日志文件项目,我倾向于采用保守的审计项目。下面列出的就是我推荐的审计设置。对于你的系统,你也可以根据需要进行适当增减。我的推荐 设置是:

  • Audit account logon events: Failure
  • Audit account management: Success and Failure
  • Audit directory service access: No auditing
  • Audit logon events: Failure
  • Audit object access: No auditing
  • Audit policy change: Success and Failure
  • Audit privilege use: Success
  • Audit process tracking:No auditing
  • Audit system events:No auditing

  • 禁用系统服务
    在本文开始,我讲述了很多有关减少系统中运行的代码的问题。实现这一目的的方法之一就是禁用那些额外的系统服务。很明显,这种方法并不具有一个普遍适用的系统服务列表 ,因为每个服务器的功能不同。不过别忘了,我们现在讲的是建立一个通用的安全基础策略,你可以根据每个服务器的不同角色在稍后的服务器角色规则中重新启用一些所需的服 务。

    通过组策略编辑器,在Computer Configuration | Windows Settings | Security Settings | System Services中,你可以配置每个系统服务的状态。在选择System Services容 器后,右侧会列出所有系统服务的详细列表。你可以对每个服务的启动模式进行设置。可供选择的启动模式包括:自动/手动/禁用。

    如果某个服务的启动模式被设置为自动,那么该服务会在系统启动时同时启动。为了让Windows的系统功能能够正常运作,有些服务必须要设置为自动运行。

    另一些服务可能有时会用到,但并不是随时需要。你可以设置这些服务的启动模式为手动。虽然说是手动,但是你并不需要真的手动运行这些服务。手动的意思是指当Windows需要 这些服务运行时,这些服务才会运行,而不是随系统启动而自动启动。

    最后一种启动模式是禁用。如果你禁用了某个服务,那么Windows在任何情况下也不会运行该服务。就算你试图手动运行该服务,也是一样的结果,除非你重新修改这个服务的启动 模式。

    在讨论过三种不同的系统服务启动模式后,我在下面列出了系统服务启动模式配置的推荐表:

  • Alerter 禁用
  • Application Management 禁用
  • 自动 Updates 自动
  • Background Intelligent Transfer Service 手动
  • Clipbook 禁用
  • COM+ Event System 手动
  • Computer Browser 自动
  • DHCP Client 自动
  • Distributed File System 禁用
  • Distributed Link Tracking Client 自动
  • A distributed Transaction Coordinator 禁用
  • DNS Client 自动
  • Event Log 自动
  • Indexing Service 禁用
  • IPSec Service 自动
  • License Logging 禁用
  • Logical Disk Manager 自动
  • Logical Disk Manager Administrative Service 手动
  • Messenger 禁用
  • Net Logon 自动
  • NetMeeting Remote Desktop Sharing 禁用
  • Network Connections 手动
  • Network DDE 禁用
  • Network DDE DSDM 禁用
  • NT LM Security Support Provider 手动
  • Performance Logs And Alerts 手动
  • Plug And Play 自动
  • Print Spooler 禁用
  • Protected Storage 自动
  • Remote Access Auto Connection Manager 禁用
  • Remote Access Connection Manager 禁用
  • Remote Procedure Call 自动
  • Remote Registry 自动
  • Removable Storage 禁用
  • Routing and Remote Access 禁用
  • Secondary Logon 禁用
  • Security Accounts Manager 自动
  • Server 自动
  • Smart Card 禁用
  • System Event Notification 自动
  • Task Scheduler 禁用
  • TCP/IP NetBIOS Helper 自动
  • Telephony 禁用
  • Terminal Services 手动
  • Telnet 禁用
  • Uninterruptible Power Supply 禁用
  • Windows Installer 手动
  • Windows Management Instrumentation 自动
  • Windows Management Instrumentation Driver Extensions 手动
  • Windows Time 自动
  • Workstation 自动

    在建立这一策略时,有两点是你必须牢记的。首先,我敢肯定,在你的组策略编辑器列出的服务项目中,肯定有一些是我上面没有提到的。出现这一问题是由于很多软件都会安装 自己所需的服务。这些新安装的服务也会列在组策略编辑器中。我的建议是,如果你看到一个服务并没有出现在我上面的列表中,那么就保持它的现有启动状态好了。

    第二点需要注意的是,如果你还没有准备好建立基于角色的策略,那么就不要建立本策略。之所以这么说是因为,我上面列出的某些策略并不具有通用性。比如你也许注意到我将 Distributed File System服务设置为禁用了。如果你正巧有一台依靠Distributed File System服务工作的文件服务器,那么禁用Distributed File System服务会导致服务器功能 出现问题。还有其它一些服务的设置也不具有普遍性。

    你需要记住,我上面列出的服务设置列表是将那些对全局来说没有必要性的服务都设置为禁用的。这并不意味着那些服务在你的某个服务器上就必须是禁用。这就是为什么你必须 先准备好建立基于角色的策略,才能考虑我上面推荐的服务启动模式设置列表。

    (责任编辑:陈毅东

    查看本文的国际来源

  • 推广二维码
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题