欢迎来到天天文库
浏览记录
ID:13105350
大小:197.00 KB
页数:19页
时间:2018-07-20
《服务器群集windows 2000 和 windows server 2003 安全性最佳实践》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、服务器群集:Windows2000和WindowsServer2003安全性最佳实践发布日期:2004年08月16日本页内容一般性假设部署和操作管理一般性假设应该为基础结构设置一些一般性假设和可行的最佳操作,以确保服务器群集运行环境的安全。1.服务器和存储器应处于真正安全的地方。2.设置检测不规则流量的实用安全实施,例如防火墙、网络探测器和管理工具。3.在诸如管理、日志存储、备份和恢复这样的领域,遵循安全方面的最佳实践/常识。4.在分配管理权限、ACL资源和其他内务处理角色方面,坚持平台级安全性最佳实践。5.ActiveDirectory、DNS、DH
2、CP、WINS等网络基础结构服务必须是安全的。任何危及这些基础结构服务安全的做法均会导致危及群集服务自身的安全。6.群集管理员必须确保在受信任的计算机上运行调用群集API(ClusAPI)的应用程序。对正在执行这些应用程序(由群集管理员运行)的计算机的任何妥协方案均会危及群集的安全。例如,如果在运行管理工具的工作站上存在具有提升权限的不受信任的用户,群集管理员可能会在本人毫无察觉的情况下对群集运行不可信赖代码或恶意代码。7.对于由群集服务创建和维护的对象集,切勿将这些对象的默认设置调整为限制较少的设置,以免危及其访问安全。群集服务可利用操作系统中的一系
3、列对象,例如:文件、设备、注册表项等。这些对象都具有默认安全设置,可确保非特权用户无法影响群集配置或群集上运行的应用程序。将这些安全设置改为限制较少的安全设置可能导致危及群集的安全并损坏应用程序数据。返回页首部署和操作管理群集管理员管理员可以指定组或个人,允许他们对群集进行管理。在服务器群集的当前版本中,控制的精度并不高;用户要么具有管理群集的权限,要么不具有这些权限。要授予用户或组管理群集的权限,必须将该用户或组添加到群集安全描述符中。此操作可以由群集管理员执行,或通过cluster.exe命令行工具来完成。请注意:除节点上的本地管理员组外,群集安全
4、配置的所有其他成员还必须是域用户帐户或全局组。这是为了确保帐户在群集中的所有节点上都相同、已正确定义并已授权。默认情况下,本地管理员组会被添加到群集服务安全描述符中。将用户或组添加到群集安全描述符中意味着该用户可以对该群集配置进行全面管理,其中包括(但不限于):•使资源脱机和联机•关闭节点上的群集服务•向群集中添加节点或从群集中删除节点•向群集中添加资源或从群集中删除资源由于群集中运行的应用程序和服务的影响范围,在向群集安全描述符中添加用户时必须特别注意。群集服务可运行与群集服务域用户帐户(不要将该帐户与用于管理该群集的帐户相混淆)下的资源相关联的代码
5、。由于群集管理员可以向群集添加新的资源,而且这些资源作为群集服务帐户运行,因此群集管理员可以安装那些将用计算机上的本地管理员权限运行的代码。最佳实践•群集管理员应使用群集服务帐户以外的其他帐户来管理群集。这会将不同的策略(如:密码过期等)分别应用于群集服务帐户和用于管理群集的域帐户。•您应该只将具有本地管理员权限的用户添加到群集服务安全描述符中。请注意:将域用户或全局组添加到本地管理员组,则该组或帐户将自动成为群集管理员。•不要将本地管理员组从群集服务安全性配置中删除。远程管理和配置群集调用服务器群集API(ClusAPI)的管理工具或其他应用程序可在
6、远程工作站上运行。一般假设群集管理员必须确保在受信任的计算机上运行这些应用程序。对正在执行这些应用程序(由群集管理员运行)的计算机的任何妥协方案均会危及群集的安全。当创建群集或者更改配置(例如添加新的群集节点)时,“群集配置向导”将在运行该向导的计算机上创建一个日志文件,以便在出现故障时,管理员可以使用日志进行调试和故障诊断。日志文件可包含群集配置数据,例如群集IP地址、网络名称等。如果未经授权的用户读取了数据,则此数据就可能被用来扩大攻击面。群集服务帐户群集服务帐户是用来启动群集服务的帐户。该帐户的凭据存储于服务控制管理器(SCM)中,服务控制管理器
7、(SCM)是一个Windows组件,负责在群集节点引导时启动群集服务。群集服务帐户在群集中的所有节点上都必须相同,而且必须属于域级帐户,对群集中的每个节点都具有本地管理权限。必须存在域帐户才能创建群集,“群集配置向导”将提示您输入所要使用的现有帐户。如果该帐户尚不是本地管理员组的成员,在创建群集时“群集配置向导”会自动将该帐户添加到本地管理员组中。同样,将节点添加到群集时,群集服务帐户也将被添加到本地管理员组中。如果节点从群集中脱离或最后一个节点被删除,并不会从本地管理员组中删除群集服务帐户。您需要知道这些语义,以免不小心将域帐户本地管理员权限授予一组
8、假设的节点。请注意:从群集中脱离节点时不会将群集服务帐户从本地管理员组中删除。将节点从群集中删
此文档下载收益归作者所有