文件服务器增量式组策略禁用了 DFS 服务 , 以便将环境中文件服务器遭到的攻击面降到最小 。为此 , 在本指南所定义的所有安全环境中 , 应该将 Distributed File System 设置配置为“禁用” 。
注意:通过在文件服务器上使用 DFS 简化分布式资源访问方式的组织机构必须修改文件服务器的增量式组策略 , 或者创建一个新的 GPO 来启用该服务 。
File Replication Service
表 6.2:设置
File Replication Service (FRS) 可以自动复制文件并在多个服务器上同时进行保存 。FRS 是 Microsoft? Windows? 2000 操作系统和 Windows Server 2003 家族中的一种自动文件复制服务 。这种服务复制所有域控制器中的系统卷 (Sysvol) 。另外 , 您还可以对该服务进行配置 , 使其复制与容错 DFS 关联的备用目标中的文件 。若禁用这种服务 , 文件复制将不再发生而服务器上的数据也不再进行同步 。
文件服务器增量式组策略禁用了 FRS 服务 , 以便将您所在环境中文件服务器遭到的攻击表面积降到最小 。为此 , 在本指南定义的所有安全环境中 , 应该将 File Replication Service 设置配置为“禁用” 。
注意:通过在文件服务器上使用 FRS 复制多个服务器上的数据的组织必须修改文件服务器的增量式组策略 , 或者创建一个新的 GPO 来启用该服务 。
其他安全性设置
MSBP 中应用的安全设置为文件服务器提供了大量的增强安全性 。不过 , 您也需要考虑其他一些注意事项 。这些步骤不能通过组策略来实施 , 而要在所有文件服务器上手动执行操作 。
保护众所周知帐户的安全
Microsoft Windows Server 2003 中具有大量的内置用户帐户 , 不能将其删除 , 但可以重命名 。Windows 2003 中最常用的两个内置帐户是“来宾”帐户和“管理员”帐户 。
默认情况下 , “来宾”账户在成员服务器和域控制器上为禁用状态 。不应该将此设置更改 。您应该对内置的“管理员”账户重命名并改变其描述 , 以阻止攻击者利用一个众所周知的帐户危及远程服务器的安全 。
最初 , 许多恶意代码的变种使用内置的管理员帐号 , 企图破坏服务器 。近几年来 , 进行上述重命名配置的意义已经降低了 , 因为出现了很多新的攻击工具 , 这些工具企图通过指定内置 “管理员”账户的安全标识符 (SID) 确定该帐户的真实姓名 , 从而侵入服务器 。SID 是识别每个用户、组、计算机帐户和网络上登录会话的唯一值 。不可能更改内置帐户的 SID 。将本地管理员帐户重命名为唯一的名称 , 操作部门就可以轻松监控攻击该帐户的企图 。
要保护文件服务器上的常用账户 , 您应当:
1. 重新命名“管理员”帐户和“来宾”账户 , 然后在每个域和服务器上将其密码更改为长且复杂的值 。
2. 在每个服务器上使用不同的名称和密码 。如果所有的域和服务器使用同一个帐户名和密码 , 则取得其中一台成员服务器访问权的攻击者就可以用相同的帐户名和密码取得其他域和服务器的访问权 。
3. 改变默认的帐户描述 , 以防止帐户被轻易识别 。
4. 在安全的位置记录这些更改 。
注意:可通过组策略重命名内置的“管理员”帐户 。由于应该为您的环境选择一个唯一的名称 , 因此本指南所提供的所有安全模板中都没有对此设置进行配置 。在本指南定义的三种环境中 , 都可以将“账户:重命名管理员帐户”设置配置为重命名管理员帐户 。此设置是组策略安全选项设置的一部分 。
保护服务账户
除非绝对必要 , 否则不要配置在域帐号安全性背景之下运行的服务 。如果服务器的物理安全受到破坏 , 域账户密码可以很容易通过转储本地安全性机构 (LSA) 秘文而获得 。
推荐阅读
- 最新WinXP应用技巧五则
- 轻松改变Win2003登录方式
- Win 2003上传文件不能超过200k解决方法
- AI查看文件页面大小的操作方法
- Win 2003无法上传较大文件的解决方法
- OPPO Find X2如何连接打印机?OPPO Find X2连接打印机打印文件教程
- 使用Win Server 2003搭建安全文件服务器
- qq接收的文件在哪文件夹
- 将XP的小游戏移植到Win2003中
- 管好Win XP/2003的预读取文件