因为打印服务器提供的大多数重要服务都需要Microsoft? Windows? 网络基本输入/输出系统(NetBIOS)相关协议的支持,所以本章将重点讨论在进一步强化打印服务器安全性方面存在的一些挑战。服务器消息块(SMB)协议和通用Internet文件系统(CIFS) 协议能给未经授权用户提供大量的信息。因此,我们经常建议在高安全性的Windows环境中禁止打印服务器使用这些协议。但是,禁用这些协议可能给您的环境中的管理员和用户访问打印服务器造成一定的困难。
本章下面的部分将详细描述打印服务器能够从中受益的一些安全性设置,这些设置都不能通过成员服务器基线策略(MSBP)得到应用。要了解更多关于MSBP的信息,可参阅第三章"创建成员服务器基线".
审核策略设置
在本指南定义的三种环境下,打印服务器的审核策略都通过MSBP进行配置。要了解更多关于MSBP的信息,可参阅第三章"创建成员服务器基线".MSBP设置确保了所有相关的安全审核信息能够被所有的打印服务器记录在日志中。
用户权限分配
在本指南定义的三种环境下,打印服务器的用户权限分配都通过MSBP进行配置。要了解更多关于MSBP的信息,可参阅第三章"创建成员服务器基线".MSBP设置确保了所有正确的用户权限分配都能够跨越不同的打印服务器实现统一配置。
安全选项
在本指南定义的三种环境下,打印服务器的安全选项设置都是通过MSBP进行配置。要了解更多关于MSBP的信息,可参阅第三章"创建成员服务器基线".MSBP设置确保了所有相关的安全选项设置能够跨越不同的打印服务器实现统一配置。
Microsoft网络服务器:数字签署通信(始终)
"Microsoft网络服务器:数字签署通信(始终)"设置决定了数据包签署对于SMB服务器组件来说是否是必需的。SMB协议为Microsoft的文件和打印共享以及像远程Windows管理这样的其它许多网络操作提供了基础。为了阻止SMB数据包在传输过程中受到人为攻击,SMB协议支持SMB数据包的数字签署。该设置决定了服务器和SMB 客户端之间的通信在被允许之前是否可以忽略SMB数据包的数字签署。
尽管该设置被缺省为禁用状态,但是您可以通过MSBP在本指南定义的高安全性环境中启用服务器的这个设置。您可以启用打印服务器上的这个设置以便用户执行打印操作,但是它不允许用户查看打印队列。试图查看打印队列的用户将得到拒绝访问的消息。出于上述原因,在本指南定义的三种环境中,"Microsoft 网络服务器:数字签名通信(始终)"设置被配置为"禁用 "打印服务器。
事件日志设置
在本指南定义的三种环境下,打印服务器的事件日志设置都通过MSBP进行配置。要了解更多关于MSBP的信息,可参阅第三章"创建成员服务器基线".
系统服务
任何服务和应用软件都是攻击者的潜在目标,所以应该禁用或删除不需要的服务和可执行文件。在MSBP中,可选服务和不必要服务都应该被禁用。以下内容详细描述了应该在打印服务器上启用的服务。
后台打印
"后台打印处理"服务管理着所有本地和网络打印队列并控制所有的打印工作。后台打印处理服务是 Windows 打印子系统的中心,它与打印驱动程序和输入/输出(I/O)组件进行通信。
打印服务器依赖于"后台打印处理"服务的正确运行。为了让打印服务器处理客户机的打印工作,该服务必须设置为运行。您可以使用组策略将" 后台打印处理" 服务的启动模式设置为"只允许服务器管理员访问",以防止服务被未经授权或怀有恶意的用户设置或操作。组策略也可以防止管理者无意中禁用该服务。其原因是:在本指南定义的三种安全环境中,"后台打印处理"设置都被配置为"自动".
其它安全性设置
MSBP中应用的安全设置大大提高了打印服务器的安全性。不过,您还需要考虑其它一些注意事项。有些步骤不能通过组策略来完成,而要在所有打印服务器上手动执行操作。
保护众所周知帐户的安全
Microsoft Windows Server? 2003具有大量的内置用户帐户,这些帐户不能被删除,但是可以重命名。Windows 2003中最常见的两个内置帐户是Guest 和Administrator . Guest 帐户在成员服务器和域控制器上缺省为禁用状态。此设置不应该被更改。内置的Administrator 帐户应该被重命名并改变描述。以防止攻击者利用该帐户危及远程服务器的安全。
