首选服务器安全建议

首选服务器配置的建议安全最佳实践

本文概述了配置首选服务器的关键安全建议，以确保在您的环境中安全有效地应用更新。 这些指南涉及 HTTPS 和 SMB 协议的使用、正确的身份验证方法、FQDN（完全限定域名）要求以及最大限度降低不安全连接相关风险的配置。

关键安全建议

1. 避免使用 IP 地址

   首选服务器必须配置为使用完全限定域名 (FQDN) 而不是原始 IP 地址。 这确保了跨协议的兼容性和安全性：

   • 对于 HTTPS：

     • 证书必须与服务器的 FQDN 匹配。 使用 IP 地址作为服务器 URL 将使证书无效。

     • 无效的证书可能会损害数据完整性，而完全禁用证书验证可能会允许中间人攻击，从而显著增加风险。

     • 始终验证证书，如果不匹配，则阻止连接以维护安全。

   • 对于 SMB（UNC 路径）：

     • Kerberos 身份验证是首选方法，需要使用 FQDN。 如果没有它，身份验证将回退到安全性较低的 NTLM。

2. 首选 Kerberos 身份验证

   应尽可能将 Kerberos 作为默认身份验证方法，因为它比 NTLM 更安全：

   • 为什么 Kerberos 更好：

     • 密码永远不会发送到目标服务器。 相反，Kerberos 使用由域控制器验证的签名票证来授予服务器访问权限。

     • 票证是服务器专用的，不能重复用于访问其他计算机，从而降低了凭据滥用的风险。

   • 回退到 NTLM：

     • 永远不要使用 NTLM v1，因为它很容易受到哈希破解等攻击。

     • NTLM v2 可以用作后备，但安全性不如 Kerberos。 增加密码长度以加强 NTLM v2 对暴力攻击的防范。

3. SMB 协议版本和配置

   SMB 协议版本和配置在确保文件传输安全方面发挥着重要作用。 请遵循以下指导准则：

   • 禁用 SMB v1：

     • 它已经过时、不安全，并且在现代系统上默认被禁用。 切勿启用或使用 SMB v1。

   • 启用 SMB 签名 (SMB v2)：

     • 通过确保每条消息都经过验证来防止重放攻击。

   • 首选具有加密的 SMB v3：

     • SMB v3 支持签名和加密。 加密保护传输中的数据，因此即使是同一网络上的用户也无法查看文件内容。

4. 写入与 读取凭据

   配置首选服务器时，区分写入凭据（由同步代理使用）和读取凭据（由端点使用）：

   • 写入凭据：

     • 这些更加敏感，因为它们允许同步代理将文件上传到首选服务器。 始终对写入操作强制执行安全配置（例如，带有加密的 Kerberos 或 SMB v3）。

   • 读取凭据：

     • 由端点用来检索更新。 虽然安全配置是首选，但仅限于安全协议可能会导致与旧系统间兼容性问题。 平衡安全要求和运营需求。

5. 默认安全模式

   建议在环境中采用以下默认安全设置来保护首选服务器配置：

   • 强制执行写入操作的安全连接：

     • 同步代理在写入首选服务器时应仅使用安全的 SMB 配置。 拒绝 SMB v1 或 NTLM v1 等不安全设置。

     • 如果管理员选择允许不安全的 SMB 连接，这将增大风险。

   • 允许通过不安全的连接进行读取操作（可选）：

     • 对于使用读取凭据的端点，如有必要，允许使用安全性较低的协议来支持旧版或未修补的系统。 但是，请将其限制在特定场景下并注意风险。

6. 密码和凭据安全

   确保强健的身份验证实践：

   • 使用复杂的密码（最好长度超过 14 个字符），以减轻 NTLM v2 的暴力破解密码风险。

   • 避免使用基本的身份验证方法，例如以纯文本或 base64 编码传输用户名和密码。

摘要

通过遵循上述建议，您可以减少安全暴露风险，同时保持整个组织的兼容性。 始终优先考虑 Kerberos 身份验证、使用 FQDN、强制执行 SMB v3 加密并仔细验证证书，以实现安全的首选服务器设置。

如需更多帮助，请联系 Ivanti 支持部门。