Windows 2003安全之强化堡垒主机(3)

　　拒绝从网络访问该计算机

　　表11.2：设置

　　注意：在安全模板中并不包括ANONOYMOUS LOGON、内置Administrator、Support_388945a0、Guest及所有非操作系统服务的账号。这些账号和组都有唯一的安全标识符（SID）。因此，必须用手工方式将它们加入到BHLP中。

　　“拒绝从网络访问该计算机”用户权限规定了哪些用户不能通过网络访问一台计算机。此设置将会拒绝一些网络协议，包括：基于服务器消息块（SMB）的协议、网络基础输入/输出系统（NetBIOS）、公共Internet文件系统（CIFS）、超文本传输协议（HTTP）及COM+（Component Object Model Plus）。当一个用户账号从属于两个策略时，该设置将忽略“从网络访问此计算机”的设置。在企业环境中为其它组配置此用户权限可以限制用户的访问能力，让他们只能执行委派的管理任务。

　　在第三章“创建成员服务器基线”中，本指南建议将Guests 组加入到已经分配了该权限的用户和组中，以提供最高级别的安全性。然而，用来匿名访问IIS的IUSR账号默认情况下是Guests组的成员。因此，在本指南定义的高安全性环境中，堡垒主机的“拒绝从网络访问该计算机”的设置被配置为包括ANONOYMOUS LOGON、内置Administrator、Support_388945a0、Guest及所有非操作系统服务的账号。

　　安全选项

　　用于堡垒主机的BHLP安全选项设置与在第三章“创建成员服务器基线”的High Security – Member Server Baseline.inf文件中所指定的设置是相同的。这些BHLP设置确保了所有相应的安全选项都可以统一配置到全部堡垒主机服务器上。

　　事件日志设置

　　用于堡垒主机的BHLP事件日志设置与在第三章“创建成员服务器基线”中的High Security – Member Server Baseline.inf文件中指定的设置是相同的。这些BHLP设置确保了所有相应的事件日志都可以统一配置到全部堡垒主机服务器上。

　　系统服务

　　堡垒主机服务器的工作性质决定了它将暴露在外界的攻击之中。因此，每台堡垒主机的攻击表面积必须要降至最小。为了提高堡垒主机服务器的安全性，所有不需要的操作系统服务，以及对堡垒主机正常运行没有必要的角色都应该禁用。本指南包括的High Security – Bastion Host.inf 安全模板可以对BHLP进行配置，以启用一台SMTP堡垒主机服务器所需要的全部功能。BHLP启动了Internet信息服务管理器服务、HTTP SSL 服务和SMTP服务。但是，如果需要启用其它功能，您必须对BHLP加以修改。

　　众多被禁用的服务将会产生大量的事件日志警告，您可以忽略这些警告。有些时候，启用这些服务将会减少事件日志警告和错误消息以及增加堡垒主机的可管理性。然而，这样做也会增加每台堡垒主机的攻击表面。

　　以下小节论述了在堡垒主机服务器上应该被禁用的服务，以在降低堡垒主机攻击表面的同时保持其功能。这些小节只涉及了High Security – Member Server Baseline.inf 文件中未被禁用的服务。