偏好的伺服器安全建議

偏好的伺服器組態的建議安全最佳做法

本文概述了設定偏好的伺服器的關鍵安全建議，以確保在您的環境中安全有效地套用更新。 這些指南涉及 HTTPS 和 SMB 協定的使用、正確的驗證方法、FQDN (完整網域名稱) 要求以及最大限度降低不安全連線相關風險的組態。

關鍵安全建議

1. 避免使用 IP 位址

   偏好的伺服器必須設定為使用完整網域名稱 (FQDN) 而不是原始 IP 位址。 這確保了跨協定的兼容性和安全性:

   • 對於 HTTPS:

     • 憑證必須與伺服器的 FQDN 相符。 使用 IP 位址作為伺服器 URL 將使憑證無效。

     • 無效的憑證可能會損害資料完整性，而完全停用憑證驗證會允許中間人攻擊，從而顯著增加風險。

     • 始終驗證證書，如果不匹配，則阻止連接以維護安全性。

   • 對於 SMB (UNC 路徑):

     • Kerberos 驗證是偏好的方法，需要使用 FQDN。 如果沒有它，驗證將回退到安全性較低的 NTLM。

2. 首選 Kerberos 驗證

   Kerberos 應盡可能作為預設的驗證方法，因為它比 NTLM 更安全:

   • 為什麼 Kerberos 更好:

     • 密碼永遠不會傳送到目標伺服器。 相反，Kerberos 使用由網域控制器驗證的簽章票證來授予伺服器存取權限。

     • 票證是伺服器專用的，不能重複用於存取其他電腦，從而降低了憑證濫用的風險。

   • 回退到 NTLM:

     • 永遠不要使用 NTLM v1，因為它很容易受到雜湊值破解等攻擊。

     • NTLM v2 可以用作後備，但安全性不如 Kerberos。 增加密碼長度以加強 NTLM v2 對暴力攻擊的防禦。

3. SMB 協定版本和組態

   SMB 協定版本和組態在確保檔案傳輸安全方面發揮著重要作用。 請遵循以下指南:

   • 禁用 SMB v1:

     • 它已經過時、不安全，並且在現代系統上預設已停用。 切勿啟用或使用 SMB v1。

   • 啟用 SMB 簽章 (SMB v2):

     • 透過確保每條訊息都經過驗證來防止重播攻擊。

   • 偏好具有加密的 SMB v3:

     • SMB v3 支援簽章和加密。 加密保護傳輸中的資料，因此即使是同一網路上的使用者也無法檢視檔案內容。

4. 寫入與 讀取憑證

   設定偏好的伺服器時，區分寫入憑證 (由同步代理使用) 和讀取憑證 (由端點使用):

   • 寫入憑證:

     • 這些更加敏感，因為它們允許同步代理程式將檔案上傳到偏好的伺服器。 始終對寫入作業強制執行安全組態 (例如，帶有加密的 Kerberos 或 SMB v3)。

   • 讀取憑證:

     • 由端點用來擷取更新。 雖然安全組態是首選，但僅限於安全協定可能會導致與舊系統的相容性問題。 平衡安全要求和營運需求。

5. 預設安全模式

   建議在環境中採用以下預設安全設定來保護偏好的伺服器組態:

   • 強制執行寫入作業的安全連線:

     • 同步代理程式在寫入偏好的伺服器時應僅使用安全的 SMB 組態。 拒絕 SMB v1 或 NTLM v1 等不安全設定。

     • 如果管理員選擇允許不安全的 SMB 連接，這將增加風險。

   • 允許透過不安全的連線進行讀取操作 (可選):

     • 對於使用讀取憑證的端點，如有必要，允許使用安全性較低的協定來支援舊版或未修補的系統。 但是，請將其限制在特定場景下並注意風險。

6. 密碼和憑證安全

   確保強大的驗證做法:

   • 使用複雜的密碼，最好長度超過 14 個字元，以減輕 NTLM v2 的暴力破解密碼風險。

   • 避免使用基本的驗證方法，例如以純文字或 base64 編碼傳輸使用者名稱和密碼。

摘要

透過遵循上述建議，您可以減少安全風險，同時保持整個組織的相容性。 始終優先考慮 Kerberos 驗證、使用 FQDN、強制執行 SMB v3 加密，並仔細驗證憑證以實現安全的偏好的伺服器設定。

如需更多協助，請聯絡 Ivanti 支援。