服务器群集：Windows-2000-和-Windows-Server-2003-安全性最佳做法.doc

服务器群集：Windows 2000 和 Windows Server 2003 安全性最佳做法 Microsoft Corporation发布时间：2003 年 7 月 8 日 摘要 本文介绍与服务器群集安全性相关的最佳做法。本文提供了与服务器群集的管理、操作和编写应用程序相关的准则和最佳做法，适用于 Windows 2000 及更高版本。本文分两部分介绍安全性最佳做法：一部分针对负责部署和管理服务器群集的管理员，一部分针对负责编译识别群集的应用程序或将要部署在群集上的应用程序的开发人员。 一般性假设 应该为基础结构设置一些一般性假设和可行的最佳操作，以确保服务器群集运行环境的安全。 服务器和存储器应处于真正安全的位置。 设置检测不规则通信的实用安全实现，例如防火墙、网络探测和管理工具。 在类似管理、日志存储、备份和恢复这样的领域，坚持安全方面的最佳做法/常识。 在分配管理权限、ACL 资源和其他内务处理角色方面，坚持平台级安全性最佳做法。 Active Directory、DNS、DHCP、WINS 等网络基础结构服务必须是安全的。任何危及这些基础结构服务安全的做法均可导致危及群集服务自身的安全。 群集管理员必须确保在受信任的计算机上运行调用群集 API (ClusAPI) 的应用程序。危及执行这些应用程序（由群集管理员运行）的计算机的安全均可危及群集的安全。例如，如果在运行管理工具的工作站上存在具有提升权限的不受信任的用户，群集管理员可能会在本人毫无察觉的情况下对群集运行不可信代码或恶意代码。 对于由群集服务创建和维护的对象集，切勿将这些对象的默认设置调整为限制较少的设置，以免危及它们的访问安全。群集服务可利用操作系统中的一系列对象，例如文件、设备、注册表项等。这些对象都具有默认的安全设置，可确保非特权用户无法影响群集配置或群集上运行的应用程序。将这些安全设置改为限制较少的安全设置可能导致危及群集的安全并损坏应用程序数据。 部署与操作管理 群集管理员 管理员可以指定组或个人，允许他们对群集进行管理。在服务器群集的当前版本中，控制的精度并不高；用户要么具有管理群集的权限，要么不具有这些权限。要授予用户或组管理群集的权限，必须将该用户或组添加到群集安全描述符中。此操作可以由群集管理员或通过 cluster.exe 命令行工具来完成。 备注???除节点上的本地管理员组外，群集安全配置的所有其他成员还必须是域用户帐户或全局组。这是为了确保帐户在群集中的所有节点上都相同、已正确定义并已授权。 默认情况下，本地管理员组会添加到群集服务安全描述符中。 将用户或组添加到群集安全描述符中意味着该用户可以管理该群集配置的所有方面，其中包括（但不限于）： 使资源脱机和联机 关闭节点上的群集服务 向群集中添加节点或从群集中删除节点 向群集中添加资源或从群集中删除资源 由于群集中运行的应用程序和服务的影响范围，在向群集安全描述符中添加用户时必须特别注意。 群集服务可运行与群集服务域用户帐户（不要将该帐户与用于管理该群集的帐户相混淆）下的资源关联的代码。由于群集管理员可以向群集添加新的资源，而且这些资源作为群集服务帐户运行，因此群集管理员可以安装那些将用计算机上的本地管理员权限运行的代码。 最佳做法 群集管理员应使用群集服务帐户以外的其他帐户来管理群集。这会将不同的策略（例如密码过期等）分别应用于群集服务帐户和用于管理群集的域帐户。 您应该只将具有本地管理员权限的用户添加到群集服务安全描述符中。 备注???将域用户或全局组添加到本地管理员组，则该组或帐户将自动成为群集管理员。 不要将本地管理员组从群集服务安全性配置中删除。 远程管理和配置群集 调用服务器群集 API (ClusAPI) 的管理工具或其他应用程序可在远程工作站上运行。常规假设是群集管理员必须确保在受信任的计算机上运行这些应用程序。对正在执行这些应用程序（由群集管理员运行）的计算机的任何妥协方案均可危及群集的安全。 当创建群集或者更改配置（例如添加新的群集节点）时，“群集配置向导”将在运行该向导的计算机上创建一个日志文件，以便在出现故障时，管理员可以使用日志进行调试和排除故障。日志文件可包含群集配置数据，例如群集 IP 地址、网络名称等。如果未经授权的用户读取了数据，则此数据就可能被用来扩大攻击面。 群集服务帐户 群集服务帐户是用来启动群集服务的帐户。该帐户的凭据存储于服务控制管理器 (SCM) 中，服务控制管理器 (SCM) 是一个 Windows? 组件，它负责在群集节点引导时启动群集服务。 群集服务帐户在群集中的所有节点上都必须相同，而且必须是域级帐户，对群集中的每个节点都具有本地管理权限。必须存在域帐户才能创建群集，“群集配置向导”