Product Documentation

安全配置

Feb 26, 2018

本文包含确保安全部署和配置自助服务密码重置组件需要执行的过程。

  • 创建具有重置用户密码和解锁用户帐户权限的域用户帐户
  • 配置防火墙设置

创建自助服务帐户

如果要使用自助服务密码重置的密码重置或帐户解锁功能,请在服务配置过程中指定自助服务模块用于执行密码重置和帐户解锁操作的自助服务帐户。请确保该帐户具有足够的权限,但我们不建议您使用域管理员组中的帐户进行生产部署。建议授予的帐户权限如下:

  • 域成员
  • 相关域用户的密码重置和帐户解锁权限

Active Directory 用户和计算机中,创建要具有重置用户密码和解锁用户帐户权限的组或用户帐户。

  1. Active Directory 用户和计算机中,右键单击域,然后在菜单中单击委派控制
  2. 此时将显示控制委派向导。在欢迎对话框中,单击下一步
  3. 用户和组对话框中,单击添加。在列表中选择要向其授予解锁帐户权限的组,然后单击确定。在用户和组对话框中,单击下一步
  4. 要委派的任务对话框中,单击创建自定义任务去委派,然后单击下一步
  5. Active Directory 对象类型对话框中,单击“只是在这个文件夹中的下列对象”>“用户对象”,然后单击下一步
  6. 权限对话框中,选中常规特定属性对话框。在权限列表中,选中读取 lockoutTime写入 lockoutTime重置密码、更改密码、读取 userAccountControl、写入 userAccountControl、读取 pwdLastSet 和写入 pwdLastSet 复选框,然后单击下一步
  7. 完成控制委派向导对话框中,单击完成
     

配置防火墙设置

由于自助服务密码重置服务器和中央存储服务器组件负责管理用户密码,因此,我们强烈建议您在可信网络中部署这些组件,并且这些组件只能由特定的可信组件进行访问。本部分内容介绍了确保您为这些服务器正确配置 Windows 防火墙需要执行的步骤。我们还建议您配置现有网络基础结构,以确保将这些服务器与不可信网络流量隔离开来。

在部署中完成这些配置后,只能使用服务器消息块 (SMB) 从自助服务密码重置服务器访问自助服务密码重置中央存储服务器,并且只能通过 HTTPS 连接从 StoreFront 服务器访问自助服务密码重置服务器。

面向 Windows 2012 R2 的远程文件共享部署

localized image

环境

  • 请在专用服务器上部署自助服务密码重置组件。请勿将这些组件与现有 StoreFront 或 Delivery Controller 组件部署在相同的服务器上,否则,下面显示的防火墙配置可能会阻止 StoreFront 或 Controller 流量。
  • StoreFront 与自助服务密码重置服务器之间不存在非透明 HTTP/HTTPS 代理。

如果 StoreFront 与自助服务密码重置服务器之间存在任何非透明代理,请在防火墙规则中将自助服务密码重置服务器配置为只能从代理服务器访问。

  • 这些过程中的配置建立在 Windows 默认防火墙规则的基础之上。

为自助服务密码重置中央存储配置防火墙

完成配置后,自助服务密码重置中央存储提供的 SMB 服务在入站上只能从自助服务密码重置服务器访问,并且自助服务密码重置中央存储服务器在出站上只能访问企业网络上的服务。

1. 打开服务器管理器,并从顶部导航栏上的工具菜单中选择高级安全 Windows 防火墙

2. 在高级安全 Windows 防火墙中,选择中央窗格中的 Windows 防火墙属性。有三个防火墙配置文件,即域配置文件、专用配置文件和公用配置文件。选择域配置文件选项卡。请务必将防火墙状态设置为,将入站连接设置为阻止,将出站连接设置为允许

localized image

3. 选择专用配置文件公用配置文件选项卡,并且务必将防火墙状态设置为,将入站连接出站连接设置为阻止。应用并保存所做的更改。

4. 在入站规则中,选择文件和打印机共享(SMB-In),并且务必将此规则设置为已启用,将操作设置为允许连接

localized image

5. 在文件和打印机共享(SMB-In)属性中,更改到范围选项卡,选择这些 IP 地址,并将所有自助服务密码重置服务器 IP 地址添加到列表中。例如,自助服务密码重置服务器 A (192.168.1.10) 和自助服务密码重置服务器 B (192.168.1.11)。

6. 在文件和打印机共享(SMB-In)属性中,更改到高级选项卡,选择配置文件专用公用,并保存对此规则所做的更改。

7. 在文件服务器远程管理(SMB-In)文件和打印机共享 (NB-Session-In)入站规则上重复此步骤。

为自助服务密码重置服务器配置防火墙

完成配置后,自助服务密码重置服务器提供的 Web 服务将只能使用 HTTPS 通过 StoreFront 服务器访问,并且自助服务密码重置服务器只能访问企业网络中的服务。

1. 打开服务器管理器,并从顶部导航栏上的工具菜单中选择高级安全 Windows 防火墙

2. 在高级安全 Windows 防火墙中,选择中央窗格中的 Windows 防火墙属性。有三个防火墙配置文件,即域配置文件、专用配置文件和公用配置文件。选择域配置文件选项卡。请务必将防火墙状态设置为,将入站连接设置为阻止,将出站连接设置为允许。  

localized image

3. 选择专用配置文件公用配置文件选项卡,并且务必将防火墙状态设置为,将入站连接出站连接设置为阻止。应用并保存所做的更改。

4. 在入站规则中,选择万维网服务(HTTP 流入量),并且务必将此规则设置为已启用,将操作设置为阻止连接

5. 在万维网服务(HTTP 流入量)属性中,更改到高级选项卡,选择配置文件专用公用,并保存对此规则所做的更改。

6. 在入站规则中,选择万维网服务(HTTPS 流入量),并且务必将此规则设置为已启用,将操作设置为允许连接

localized image

7. 在万维网服务(HTTPS 流入量)属性中,更改到范围选项卡,选择这些 IP 地址,并将所有 StoreFront 服务器 IP 地址添加到列表中。例如,StoreFront A (192.168.1.50) 和 StoreFront B (192.158.1.51)。

8. 在万维网服务(HTTPS 流入量)属性中,更改到高级选项卡,选择配置文件、专用和公用,并保存对此规则所做的更改。

面向 Windows 2008 R2 的本地文件共享部署

完成配置后,将阻止来自远程客户端的任何 SMB 访问。只能从本地访问 SMB 文件共享,并且只能使用 HTTPS 连接从 StoreFront 服务器访问自助服务密码重置服务。

1. 打开服务器管理器,并从顶部导航栏上的工具菜单中选择高级安全 Windows 防火墙

2. 在高级安全 Windows 防火墙中,选择中央窗格中的 Windows 防火墙属性。有三个防火墙配置文件,即域配置文件、专用配置文件和公用配置文件。选择域配置文件选项卡。请务必将防火墙状态设置为,将入站连接设置为阻止,将出站连接设置为允许

localized image

3. 选择专用配置文件公用配置文件选项卡,并且务必将防火墙状态设置为,将入站连接出站连接设置为阻止。应用并保存所做的更改。

4. 在入站规则中,选择新建规则以创建新入站规则。在新建入站规则向导中,选择规则类型,选择端口作为新规则的类型,然后单击下一步

localized image

5. 在新建入站规则向导中,选择协议和端口TCP特定本地端口,在文本框中键入 445,然后单击下一步。 

6. 在新建入站规则向导中,选择操作阻止连接,然后单击下一步

7. 在新建入站规则向导中,选择配置文件专用公用,然后单击下一步

8. 在新建入站规则向导中,选择名称,输入名称和说明,然后单击下一步

9. 在入站规则中,选择万维网服务(HTTP 流入量),并且务必将此规则设置为已启用,将操作设置为阻止连接

localized image

10. 在万维网服务(HTTP 流入量)属性中,更改到高级选项卡,选择配置文件专用公用,并保存对此规则所做的更改。

11. 在入站规则中,选择万维网服务(HTTPS 流入量),并且务必将此规则设置为已启用,将操作设置为允许连接

12. 在万维网服务(HTTPS 流入量)属性中,更改到作用域选项卡。在远程 IP 地址部分中,选择这些 IP 地址,然后将所有 StoreFront 服务器 IP 地址添加到列表中。例如,StoreFront A (192.168.1.13) 和 StoreFront B (192.158.1.14)。

13. 在万维网服务(HTTP 流入量)属性中,更改到高级选项卡,选择配置文件专用公用,并保存对此规则所做的更改。