微軟產品安全強度、如何強化的公開資訊,以及資安強化服務 之建...
TRANSCRIPT
1
微軟產品安全強度、如何強化的公開資訊,以及資安強化服務
之建議說明 台灣微軟公共業務事業群經積極諮詢微軟內部美國及亞太區的資安專家,並且
參考國際間實際案例,綜合彙整相關資訊,完成此內容。本說明內容將分下列章節
做分項說明:
• 常見容易遭受攻擊之系統組態
• 微軟公司產品資訊安全基準與資安服務綜觀
• Active Directory 管理群組和帳戶的安全
• 針對 Active Directory服務之安全建議
• 微軟資安強化服務
2
常見容易遭受攻擊之系統組態
綜觀多數已知的遭受攻擊系統組態以及攻擊手法,以下為所歸納之常見容易遭
受攻擊之系統組態,以及其簡要說明:
一、設定並未按照風險等級處理提高安全係數
當系統設置的環境具有已知被攻擊的風險,例如必須設置在防火牆外的
Web 伺服器,此一系統就必須藉由關閉不必要的本機系統服務,應用軟體或
通訊埠來提高安全係數。另外如果系統設置的目的是執行組織內重要的功能,
例如 AD認證伺服器,也需套用同樣的觀念。
二、系統本身未持續進行更新
安全更新程式是防禦攻擊非關鍵的元件,若未能及時並持續更新,攻擊
端可能利用已知的系統或者應用軟體的弱點,在後續更新之前的時間差中置入
惡意程式。所以系統管理者不只注意安全更新的執行,其及時與持續性也至關
重要。
三、系統所介接的周邊系統安全係數不足
即使系統本身已經套用並執行安全基準設定,若是與其連接的周邊系統
的安全係數不足,攻擊端還是有可能藉由此一路徑滲透至系統內。例如兩個相
互信任 (Trust)的網域,若其中一個網域控制器開啟了不安全的通訊埠,攻擊端
很容易透過連結關係掌控另一個網域控制器。
四、系統所介接的周邊應用系統安全係數不足
觀念與前一項類似,其不同處在於攻擊端可能經由周邊應用程式的弱點
侵入此系統。例如延續前一項的案例,攻擊端透過應用軟體弱點控制了一個網
域伺服器,就能延續其控制與此網域相互信任的其他網域。
五、系統所介接的周邊系統使用者權限過高或不夠嚴謹
3
在延續前兩項的觀念,若是一個網域的管理者帳戶或權限容易被攻擊端
利用惡意程式或社交工程方法取得,與其相連的其他系統就非常容易被滲透並
且被控制。
六、系統所介接的周邊郵件系統安全係數與
七、帳號權限核發不夠嚴謹
此兩項弱點有高度相依性;基於郵件系統之特性,其必須架設在風險較
高的網路環境當中,若是沒有套用及執行足夠的安全基準,很容易成為入侵端
的攻擊目標並成為入侵整體系統的跳板。加上如果系統內部沒有嚴謹的帳號核
發管理,如專用申請核發流程之資訊系統,入侵端可能透過郵件系統假造帳戶
申請或權限提升之要求,就能取得較高之權限,並進一步控制全網域。
八、稽核管制不足,導致無法早期發現異狀
通常在攻擊端進行攻擊嘗試之時,會發生一連串異於常規的系統要求或
例外服務執行。系統中如果有相關之稽核管制措施,即有機會偵測攻擊的發生
並做早期的攔截中斷攻擊。
九、稽核軌跡保存不足,導致無法有效重建行為與狀況
接續上一項之概念,即使系統中有稽核管理措施,但若無足夠之軌跡資
訊,或是所能追蹤的時間不夠長,還是無法重建攻擊手段的全貌。即使可以暫
時中斷攻擊,還是無法完全阻擋再次發生的類似攻擊。
十、周邊系統安全性不足導致權限密碼遭竊取
周邊系統例如與系統同屬網路的終端 (endpoint),如果沒有加強其安全控
管,而隨意因方便性將系統管理員帳號加入本機之使用者清單,攻擊端就能透
過本機的弱點輕易地取得更高的使用權限。
十一、 周邊網路設計安全性不足
4
與系統連結的網路系統,如果沒有附加有效的加密功能,即可能讓攻擊
端利用擷取網路資訊的方式蒐集到有效的系統關鍵資料,進而利用以攻擊目標
系統。
5
微軟公司產品資訊安全基準與資安服務綜觀
微軟公司對於微軟產品的安全性提昇,一向不遺餘力。透過「高可信度電腦運
算」(Trustworthy Computing)的理念及實作,微軟公司致力於設計安全(Secure by
Design)、產品安全(Secure by Default)及部署安全(Secure in Deployment),以期各微
軟產品及解決方案可以協助保護公共安全、國家安全及經濟繁榮。
於佈署Microsoft Windows Server伺服器軟體及 Active Directory等微軟產品時,
為避免因管理機制不當導致駭客有機可乘,本文將由 Windows Server 產品的強度、
如何強化的公開資訊及資安強化服務等三個面向提供建議及說明,以協助使用者因
應日益嚴峻的資安挑戰。
一、Windows Server產品的強度
微軟公司伺服器軟體產品包含Windows Server 2003、Windows Server
2008及Windows Server 2008 R2等伺服器軟體,以上各版本皆通過嚴格的國
際「安全評估共通準則」(Common Criteria)測試並獲得 EAL 4+ 認證。EAL 4+
為商用產品所能獲得之本認證的最高等級。微軟公司各產品所獲得的認證等
級在公開網站 http://technet.microsoft.com/en-us/library/dd229319.aspx 上皆
有公開文件說明。
以Windows Server 2008 R2伺服器軟體產品為例,通過 Common Criteria
EAL 4+ 認證測試時所使用的相關設定,可以在以下連結中找到。
• Common Criteria Supplemental Admin Guidance for Windows 7 and
Windows Server 2008 R2
http://www.microsoft.com/en-us/download/details.aspx?id=9874
二、強化Windows Server與 Active Directory資訊安全的公開資訊
6
除了通過 Common Criteria EAL 4+ 認證之外,微軟公司也對其產品在使
用時如何管理與強化,提供一系列的公開文件。詳情請參考以下說明。
1. 安全基準 (Security Baseline) 設定
若企業或機關已導入 Active Directory及多部伺服器上部署了
Windows Server伺服器軟體,並且需要針對不同伺服器的角色(如檔案伺
服器、印表機伺服器、網域伺服器等)快速地進行專屬於其角色的安全基
準(Security Baseline)設定,可參考以下公開文章:
l Windows Server 2008 R2 Security Baseline
http://technet.microsoft.com/en-us/library/gg236605.aspx
l Windows Server 2003 Security Baseline:
http://go.microsoft.com/fwlink/?linkid=14845
以文件”Windows Server 2008 R2 Security Baseline”為例,該文件介紹
了「Security Compliance Manager」,且其內包含有各種伺服器角色安全
基準的範本,方便管理人員可以快速地將安全基準套用在每種不同角色的
伺服器上;其提供的安全基準範本包含:
(1) Windows Server 2008 R2 SP1 AD評證服務伺服器安全基準
(2) Windows Server 2008 R2 SP1 DHCP伺服器安全基準
(3) Windows Server 2008 R2 SP1 DNS伺服器安全基準
(4) Windows Server 2008 R2 SP1網域安全基準
(5) Windows Server 2008 R2 SP1網域控制器安全基準
(6) Windows Server 2008 R2 SP1檔案伺服器安全基準
(7) Windows Server 2008 R2 SP1 Hyper-V安全基準
(8) Windows Server 2008 R2 SP1 Member伺服器安全基準
(9) Windows Server 2008 R2 SP1 Network Access Services伺服器安全基準
(10) Windows Server 2008 R2 SP1印表機伺服器安全基準
(11) Windows Server 2008 R2 SP1遠端桌面服務安全基準
7
(12) Windows Server 2008 R2 SP1網站伺服器安全基準
2. 最佳實作指南 (Best Practice)
就Windows Server內建的 Active Directory功能,微軟公司提供了如
何強化資訊安全的最佳實作指南。該指南亦可同時適用於Windows Server
2008及Windows Server 2003。此公開文件可在以下連結下載:
• Best Practice Guide for Securing Active Directory Installations
http://www.microsoft.com/en-us/download/details.aspx?id=16755
該文件內容共分為六章節,分別為
(1) 規劃深度安全的 Active Directory (Planning for Active Directory Security-
in-Depth)
(2) 建立安全的 Active Directory邊界 (Establishing Secure Active Directory
Boundaries)
(3) 部署安全的網域控制器 (Deploying Secure Domain Controllers)
(4) 強化網域及網域控制器的群組原則設定 (Strengthening Domain and
Domain Controller Policy Settings)
(5) 建立安全的管理實作建議 (Establishing Secure Administrative Practices)
(6) 設定安全的 DNS (Securing DNS)
其中在第五章「建立安全的管理實作建議」中的「控制管理員登入程序」
一節裡,對於如何強制管理帳戶需搭配智慧卡(Smartcard)進行登入的設定,
進行了詳細的說明。
三、強化資料保護
隨著新版 Windows 7 及 Windows 8 作業系統軟體於近三年內陸續問世,
許多強化資料保護機制也內建在新的作業系統中。
8
以下列舉的二個機制,一為 AppLocker技術,一為 BitLocker(中文譯為
磁碟機加密)技術,兩者皆內建在Windows 7作業系統中,以強化用戶端的
資料保護。
1. AppLocker
AppLocker 是 Windows Server 2008 R2 和 Windows 7 的新功能,增強
軟體限制原則的功能。AppLocker可讓資訊人員根據檔案的唯一識別建立
規則,以允許或拒絕應用程式執行,並指定哪些使用者或群組可以執行這
些應用程式。AppLocker 可納入整體安全性策略的一環,以協助以下事項:
(1) 協助防止惡意軟體 (惡意程式碼) 和不支援的應用程式影響環境中的
電腦。
(2) 防止使用者安裝及使用未經授權的應用程式。
(3) 實作應用程式控制原則,滿足組織的安全性原則或規範需求。
關於 AppLocker的進階說明及設定,可參考以下公開文章:
l AppLocker作業指南
http://technet.microsoft.com/zh-tw/library/ee791916(v=ws.10).aspx
2. BitLocker(磁碟機加密)
BitLocker (「磁碟機加密」;下稱「BitLocker」)是 Windows 7 作業
系統中的整合安全性功能,可協助保護固定與卸除式資料磁碟機及作業系
統磁碟機上儲存的資料。BitLocker 有助於避免或減低下列攻擊手法,該
手法是停用或規避已安裝的作業系統,或是實際卸除硬碟再攻擊其中的資
料。對於完成部署 BitLocker功能的固定式與卸除式資料磁碟機而言,僅
有在使用者擁有必要的密碼、智慧卡認證、或適當金鑰時,才能讀寫磁碟
機上的資料。
9
關於 BitLocker的進階說明及設定,可參考以下公開文章:
l Windows 7 BitLocker 磁碟機加密逐步指南
http://technet.microsoft.com/zh-TW/library/dd835565(WS.10).aspx
10
Active Directory 管理群組和帳戶的安全 預設的 Microsoft Windows Server安全性設定,僅足夠保護 Active Directory 帳
戶免於基本類型的威脅。目前新型態的網域駭客行為如下表一所示,相關解決措施
考對應內部政策,防護目錄服務有系統管理存取權的使用者及群組。針對上述需求,
以下提供管理擁有網域控制站的系統管理控制權的使用者及群組作為參考,有助降
低未授權的使用者,取得 Active Directory 系統管理存取權、蓄意或意外複製、刪除
機密資料、癱瘓網路而損害資訊安全的風險。
表一 AD攻擊手法與解決措施對應表
攻擊手法 說明 安全弱點 解決措施
1. PC中的Local Administrator 帳號與密碼問題
AD環境中配發給同仁的PC中的 Local Administrator帳號的相同密碼。造成只要一台主機
受駭(不論權限),駭客就可竊取本機 Local Administrator的密碼,進而破解(或以手法 2)後,透過網路芳鄰協定進行惡意
程式的擴散或跨主機的資
料竊取
Local Administrator相同帳號密碼
2
3
網路芳鄰等惡意擴散 5
管理者帳號入侵 5
6
8
8
10
10
2.取得管理者帳號密碼並
盜走所有者
使用帳號
HASH資料
入侵 AD中的 DC後,下載整份 AD帳號的 HASH檔案。然後使用工具在進行
網路連線的時候(網芳、遠端桌面等)直接將封包中的HASH值取代成被竊取出來的值.這樣駭客就可以不用破解出明碼的密碼值就
可以任意登入任意電腦
網路芳鄰等惡意擴散 5
管理者帳號入侵 5
6
8
8
11
10
10
3.調整參數提升一般 User帳號為管理
者帳號
利用一般 User帳號,變更服務參數,建立新管理者
帳號
管理者帳號入侵 5
6
8
8
10
10
l 解決措施
1. 停用本機系統管理員(Local Administrator)
若因內部政策需要啟用本機系統管理員(Local Administrator),應變更顯示
帳戶名稱,避免各電腦上的顯示名稱都設定成相同,並採用高複雜度密碼使用
原則,並避免在各電腦上設定同樣的密碼。
2. 更名並停用 Guest帳戶
Guest 帳戶允許在網域沒有帳戶的使用者,以來賓身分登入網域。這個帳
戶預設停用,也應該保持停用,但是隱藏這個帳戶增加一層額外的保護避免未
授權存取,請使用其他使用者名稱同樣格式的誘餌假使用者帳戶。
3. 避免儲存 LM Hash 密碼 與禁用 LM、 NTLM 驗證協定
避免密碼以 HASH方式儲存於任何電腦或伺服器中,透過下列檢查方法進
行確認。
12
n 確認群組原則設定為[電腦設定àWindows 設定à安全性設定à本機
原則à安全性選項設定à啟用「網路安全性:下次密碼變更時不儲存
LAN Manager雜湊值」。
n 確認登錄資料庫,Windows 2000 SP 2以後,務必確認所有網域控制
站,HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa,
確認含有 DWORD類型的值 NoLMHash = 1。
n 確認「Default Domain Controllers Policy」群組原則物件「電腦設定
àWindows 設定à安全性設定à本機原則à安全性選項à網路安全性
à「LAN Manager驗證層級」à設定為「只傳送 NTLMv2回應,拒絕
LM&NTLM」。
4. 停用網路芳鄰與遠端桌面連線
避免網路芳鄰與遠端桌面成為駭客攻擊的跳板,因此針對此 2類服務予以
限用。
n 確認群組原則物件 電腦設定à系統管理範本àWindows 元件à終端
機服務à允許使用者使用終端機服務從遠端連線]à設定為「停用」。
n 確認群組原則物件 電腦原則à電腦設定àWindows設定à安全性設
定à本機原則à安全性選項à啟用「網路存取:共用和安全性模式用
於本機帳戶」→設定為「傳統-本機使用者以自身身分驗證」。
n 確認群組原則物件 電腦設定àWindows設定à安全性設定à本機原
則à安全性選項à啟用「網路存取:不允許 SAM 帳戶的匿名列舉」。
n 確認群組原則物件 電腦設定àWindows設定à安全性設定à本機原
則à安全性選項à啟用「網路存取:不允許 SAM帳戶和共用的匿名
列舉」。
n 確認群組原則物件 電腦設定àWindows 設定à安全性設定à本機原
則à安全性選項à停用「網路存取:讓 Everyone權限套用到匿名使
用者」。
13
n 確認群組原則物件 電腦原則à電腦設定àWindows設定à安全性設
定à本機原則à使用者權限指派à啟用「拒絕從網路訪問這台電腦」,
並設定拒絕群組為「Everyone」。
n 確認群組原則物件 電腦設定àWindows 設定à安全性設定à系統服
務àComputer Browserà設定為「停用」。
n 確認群組原則物件 電腦設定 àWindows 設定à系統服務àServerà
設定為「停用」。
5. 系統維護人員盡可能不使用具備 Domain Admins身份之帳號
系統維護人員進行使用者電腦檢修維護時,除了不可使用自己日常作業的
帳號外,亦應避免使用系統管理用帳號,以避免在使用者電腦可能遭置入鍵盤
側錄程式情況下竊取系統管理帳號密碼。
6. 嚴格保護 Domain Controller 存取方式
網域控制站除 Domain Admins可登入外,應避免以遠端桌面連線方式登入
進行管理,如果確有進行遠端管理的必要性,應嚴格限制登入 IP、變更預設遠
端桌面使用埠、啟用網路等級認證(Network Level Authentication, NLA)及限制
使用者登入。
7. 控管維護廠商帳號使用
應盡量避免提供維護廠商具有網域最高系統管理權限之帳號,以及禁止廠
商進行遠端登入維護之行為。
8. 加強稽核帳號登入及存取行為
平時應定期審核帳號存取紀錄,檢視是否有異常帳號連線行為,以及停用
或刪除非使用中的帳號。
14
9. 加強服務系統管理帳戶及群組的安全性
在網域中建立一個受控制的組織單位 (OU) 樹狀子目錄,並且包含所有服
務系統管理員帳戶,及它們使用的系統管理工作站的樹狀子目錄,就可應用特
定安全性和原則設定,達到最大的保護。
10. 建立使用系統管理帳戶及群組的管理辦法
以下管理辦法有助於降低未授權使用者提升存取權限存的電腦及網路,或
合法使用者因認識不全誤用系統管理員權限,而造成資訊安全之損害。
n 限制服務系統管理員帳戶(Domain Admins 成員的帳戶)的數目,至多
以 2個為上限
n 將系統管理使用者分為系統管理及日常管理兩種帳戶
n 指派可信度高的人員擔任系統管理員帳戶
n 將系統管理員權限侷限於實際需求的權限,並定期審查所有權限
n 限制系統管理登入程序,規範系統管理帳戶僅能於 Active Directory
本機登入管理
n 保障 Active Directory 各項服務(請參閱附件 AD服務安全建議)
15
針對 Active Directory服務之安全建議
安裝 AD 服務時採用 Server Core安裝方式將會有效減少Windows伺服器對於
磁碟空間和記憶體的需求,並且最大程度增加部署架構的可擴充性,節省了相當大
的儲存空間,同時還使伺服器被攻擊區域的面積縮小,進而提高整體安全性和可靠;
另外 AD Server 安裝應確認每一個功能之需求性,避免安裝非必要之功能或角色,
以下將針對 AD個服務角色與群組安全原則設定提供相關安全建議。
1. AD服務安全建議
當建置 Active Directory服務管理時,應評估內部資安政策後,對應相關所
需之服務,同時考量以 Active Directory服務管理最小權限安全準則,予以安裝
建置所需之伺服器服務角色,相關服務之安全建議請參考下列說明。
l Active Directory 網域服務
應使用 Active Directory網域服務(AD DS)管理用戶管理和資源,
Domain Controller role service為 AD DS服務下之預設安裝服務,該服務提供
管理用戶與用戶之間的溝通和網域,包括用戶登錄過程,身份驗證和目錄搜
索,提供的集中式、委派系統管理模型以及單一登入 (SSO) 功能。對於該服
務之安全建議檢查項目,應落實下表之安全檢查項目。
Active Directory 網域服務檢查項目
Active Directory Domain Controller安裝建議為 Server Core
當建置位置無法確認實體安全,建議採取唯讀網域控制站(RODCs),並建立RODCs的 local administration
Domain Controller role service應與 DNS role service結合
將 Domain Controller磁碟以 BitLocker加密保護
16
l DHCP 服務
DHCP 伺服器集中管理 IP 位址及相關資訊,自動提供有效的 IP地址的
用戶端電腦和其他基於 TCP/ IP的網絡設備 ,並允許它們連接到其他網絡資
源,安裝及啟動 DHCP 服務之後,必須建立領域,該領域是提供網路上
DHCP 用戶端電腦的租用使用的有效 IP 位址範圍。每個 DHCP 伺服器都必須
至少具有一個領域,並且領域不能與環境中的任何其他 DHCP 伺服器領域重
疊,且 Active Directory 網域中的 DHCP 伺服器必須被授權,才能防
止 Rogue DHCP 伺服器連線。對於該服務之安全建議檢查項目,應落實下表
之安全檢查項目。
DHCP 服務檢查項目
DHCP 伺服器建議安裝為 Server Core
單一主機安裝為 DHCP 伺服器
確認無其他電腦啟用 DHCP服務
確認 DHCP的範圍與保留範圍
l DNS 服務
網域名稱伺服器 (DNS Services) 是用來命名組織為網域階層之電腦和網
路服務的系統。因此當網域內有已加入網域的電腦、 Windows 型 DHCP 用戶
端電腦、 連線到網際網路的電腦 、位於廣域網路 (WAN) 的分公司或網域之
相關設備,應於 Active Directory安裝 DNS 伺服器,提供 TCP/IP 網路上 (例如
網際網路) 使用 DNS 以易記的名稱來尋找電腦和服務。。對於該服務之安全
建議檢查項目,應落實下表之安全檢查項目。
DNS 服務檢查項目
DNS 伺服器安裝建議為 Server Core
當 DNS 伺服器建置位置無法確認實體安全,建議採取 RODCs DNS zones
將內部 DNS伺服器與外部 DNS伺服器分開建置
17
將 DNS 伺服器設定為動態更新
DNS 伺服器安裝建議為 Server Core
l 網站服務
網站伺服器可建立站台、應用程式及虛擬目錄,與網際網路、內部網
路或外部網路上的使用者一起共用資訊,當 IIS 管理員非網域管理員時,應
設定獨立委派給 IIS 管理員使用者,而不必將伺服器的完整控制權釋出。對
於該服務之安全建議檢查項目,應落實下表之安全檢查項目。對於該服務之
安全建議檢查項目,應落實下表之安全檢查項目。
網站服務檢查項目
網站伺服器安裝建議為 Server Core
移除無使用的 IIS物件
啟用 SSL與身分驗證機制
l 檔案服務
檔案和存放服務提供的技術有助於管理存放裝置、啟用檔案複寫、管
理共用資料夾、確保快速檔案搜尋,以及啟用對 UNIX 用戶端電腦的存取,
應啟用不同使用者相關檢是權限,並以存取為基礎的列舉只會顯示使用者有
權存取的檔案與資料夾。確保存取共用資料夾的使用者只能看見自己的個人
主目錄,而其他使用者的資料夾將會隱藏在檢視中。對於該服務之安全建議
檢查項目,應落實下表之安全檢查項目。
檔案服務檢查項目
檔案伺服器安裝建議為 Server Core
建立建立配額以限制磁碟區或資料夾的允許空間,並在接近或超過配額限制時產
生電子郵件與其他類型的通知
建立檔案檢測以控制使用者可以儲存的檔案類型,並在使用者嘗試儲存封鎖的檔
案時傳送通知
18
把檔案與硬碟以加密保護
l 列印服務
列印服務可讓列印系統管理員在用戶端電腦上安裝印表機,以及管理
和監視印表機時節省大量時間。應搭配使用列印管理與群組原則時,讓使用
者和電腦自動使用印表機連線,並集中管理。對於該服務之安全建議檢查項
目,應落實下表之安全檢查項目。
列印服務檢查項目
Print 伺服器安裝建議為 Server Core
定期更新集中控管公用印表機驅動程式
l Active Directory憑證服務
憑證服務 (AD CS) 提供建立及管理公開金鑰憑證的自訂服務,這些憑證
應採用公開金鑰技術的軟體安全性系統,並藉由繫結個人、裝置或服務的識
別身分到對應的私密金鑰,組織可以使用 AD CS 來加強安全性,並且對於憑
證應確認憑證有效狀態與撤銷狀態,憑證發佈後只在一段時間內有效,只要
憑證的到期日尚未到期且未在該日期之前撤銷憑證,認為有效憑證。對於該
服務之安全建議檢查項目,應落實下表之安全檢查項目。
Active Directory憑證服務檢查項目
建置離線的 root CA
限制可發布 CA憑證種類
確認每個憑證都未損毀,且格式正確
l 網路原則與存取服務
網路原則伺服器 (NPS) 可讓針對用戶端健康情況、連線要求驗證以及連
線要求授權,建立和強制執行整個組織的網路存取原則。系統管理員應使用
NAP 來建立並自動強制執行健康原則,其中包含軟體需求、安全性更新需求
19
和其他設定。應限制不符合健康原則的用戶端電腦限制的網路存取權限,直
到更新設定並符合原則為止。對於該服務之安全建議檢查項目,應落實下表
之安全檢查項目。
網路原則與存取服務檢查項目
根據不同服務限制其流量
NPS 與 RADIUS clients 啟用 IPsec傳輸
l 遠端桌面服務
遠端桌面服務可將桌面與應用程式部署加速並延伸到任何裝置,因此
欲啟用該服務應考量,應先考量是否欲內部資安政策符合。對於該服務之安
全建議檢查項目,應落實下表之安全檢查項目。
遠端桌面服務檢查項目
於終端機伺服器上啟用 SSO
啟用網路等級認證(network level authentication, NLA)
改變預設 RDP port
使用 NTFS檔案系統
使用者資料獨立儲存於獨立硬碟
建置針對終端機服務建置,應評估並建置相關 GPO安全規則
2. 群組原則安全性
管理網域內使用者可透過群組原則設定,達到集中安全之管理優勢,命名
組織單位(OU)時,請確保所使用的名稱是最直觀簡短的,使用 GPO時,應針對
使用者群不同而給予不同的群組原則,例如:domain 、domain controllers 、
member servers、organization。
20
以下將安全群組原則分為四大類,針對本機帳戶管理、密碼管理、電腦管
理、稽核管理及其他服務管理,針對其中網域安全中之必要安全原則,予以建
議提供政府機關資訊管理人員管理參考。
l 本機帳戶管理 GPO 原則 設定
Windows 設定/安全性設定/本機原則/安全性選項/帳戶
帳戶: Administrator 帳戶狀態
啟用
Windows 設定/安全性設定/本機原則/安全性選項/帳戶
帳戶: Guest 帳戶狀態 停用
Windows 設定/安全性設定/本機原則/安全性選項/帳戶
帳戶: 重新命名系統管理員帳戶
"Renamed_Admin"
Windows 設定/安全性設定/本機原則/安全性選項/帳戶
帳戶: 重新命名來賓帳戶名稱
"Renamed_Guest"
Windows 設定/安全性設定/本機原則/安全性選項/帳戶
帳戶: 限制使用空白密碼的本機帳戶僅能登入到主控
台
啟用
l 密碼管理 GPO 原則 設定
Windows 設定/安全性設定/帳戶原則/密碼規則
使用可還原的加密來存放
密碼 停用
Windows 設定/安全性設定/帳戶原則/密碼規則
密碼必須符合複雜性需求 啟用
Windows 設定/安全性設定/帳戶原則/密碼規則
密碼長度最小值 12 個字元
Windows 設定/安全性設定/帳戶原則/密碼規則
密碼最長使用期限 60 天
Windows 設定/安全性設定/帳戶原則/密碼規則
密碼最短使用期限 1 天
Windows 設定/安全性設定/帳戶原則/密碼規則
強制密碼歷程記錄 已記憶 24 個密碼
21
Windows 設定/安全性設定/帳戶原則/帳戶鎖定原則
重設帳戶鎖定計數器的時
間 15 分
Windows 設定/安全性設定/帳戶原則/帳戶鎖定原則
帳戶鎖定期間 15 分
Windows 設定/安全性設定/帳戶原則/帳戶鎖定原則
帳戶鎖定閥值 5 次無效的登入嘗試
本機原則/安全性選項/互動式登入
互動式登入: 在密碼到期前提示使用者變更密碼
14天
l 電腦管理 GPO 原則 設定
系統管理範本/Windows 元件/Windows Update
設定自動更新: 3 - 自動下載和通知我安裝
系統管理範本/系統/電源管理/睡眠設定
喚醒電腦時必須使用密碼 (一般電源)
啟用
系統管理範本/系統/電源管理/睡眠設定
喚醒電腦時必須使用密碼 (使用電池)
啟用
控制台/個人化 以密碼保護螢幕保護裝置 啟用
控制台/個人化 啟用螢幕保護裝置 啟用
控制台/個人化 螢幕保護裝置逾時 啟用
控制台/個人化 啟用螢幕保護裝置的等候
秒數 900秒
l 稽核管理 GPO 原則 設定
Windows 設定/安全性設定/本機原則/稽核原則
稽核目錄服務存取 失敗
Windows 設定/安全性設定/本機原則/稽核原則
稽核系統事件 成功
Windows 設定/安全性設定/本機原則/稽核原則
稽核物件存取 失敗
22
Windows 設定/安全性設定/本機原則/稽核原則
稽核原則變更 成功
Windows 設定/安全性設定/本機原則/稽核原則
稽核特殊權限使用 失敗
Windows 設定/安全性設定/本機原則/稽核原則
稽核帳戶登入事件 成功,失敗
Windows 設定/安全性設定/本機原則/稽核原則
稽核帳戶管理 成功,失敗
Windows 設定/安全性設定/本機原則/稽核原則
稽核登入事件 成功,失敗
Windows 設定/安全性設定/本機原則/稽核原則
稽核程序追蹤 沒有稽核
l 其他服務管理 GPO 原則 設定
Windows 元件/NetMeeting 停用遠端桌面共用 啟用
系統/遠端協助 提供遠端協助 停用
系統/遠端協助 請求遠端協助 停用
Windows 元件/附件管理員 不要保留檔案附件的區域
資訊 停用
Windows 元件/附件管理員 開啟附件時通知防毒程式 啟用
Windows 元件/附件管理員 隱藏移除區域資訊的機制 啟用
Windows 元件/網路共用 防止使用者共用其設定檔
內的檔案 啟用
系統/網際網路通訊管理/網際網路通訊設定
關閉說明分級 啟用
23
微軟資安強化服務 隨著駭客攻擊手法日新月異,各國政府及企業面對強大的資安威脅,往往防不
勝防。微軟公司在協助各國政府因應資安事件的同時,也發展出適合機敏環境使用
的資安強化服務。
以下列舉的二個服務,一為降低風險、一為主動分析,皆是微軟公司經過解析
全球實際案例而發展出的最佳實作。
1. 強化安全管理環境服務 (Enhanced Security Administrative Environment, 簡稱
ESAE)
此服務為最新技術加上最佳實作的組合,以達到協助降低機敏帳戶及
機敏資料被竊取的風險。此服務內容包含:
(1) 將一般使用者與系統管理者的帳戶完全隔離,並強制系統管理帳戶使
用智慧卡(Smartcard)。
(2) 建置獨立於網域及應用伺服器的專用管理環境。
(3) 利用複式認證系統,限制外網連結以及其他相關措施強化此獨立管理
環境。
(4) 建立獨立的系統監視與稽核機制。
該服務概要請參閱 http://www.microsoft.com/services。
2. 安全錯誤回報與分析服務 (Security Error Reporting and Analysis, 簡稱 SERA)
此服務是使用內建於 Windows 與 Windows Server的錯誤回報機制
(不需另外安裝 Agent),在內網的環境中擷取並分析網路及系統是否處
於被攻擊的狀況。此項服務可偵測出以下情況及資訊:
• 可能的零時差攻擊
• 未安裝的安全修補程式
• 可疑的網站流量變化
25
© 2013 Microsoft Corporation. All rights reserved.
The information contained in this document represents the current view of Microsoft Corporation on the issues discussed as of the date of publication. The information, including URL and other Internet Web site references, contained in this document is provided AS IS, and, may subject to change at any time without notice to you.
This document should not be interpreted as an offer or commitment on the part of Microsoft. Microsoft cannot guarantee the accuracy of any information presented, and MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED, OR STATUTORY, AS TO THE INFORMATION IN THIS DOCUMENT. You bear the risk of using it. This document does not provide you with any legal rights to any intellectual property in any Microsoft product. You may copy and use this document for your internal, reference and informational purposes only.