概述
本章提供了有关对运行于Microsoft? Windows Server? 2003之上的Internet Authentication Service(IAS)服务器进行安全性强化的建议和资源。IAS是一种远程身份验证拨号用户服务(RADIUS)服务器,它实现了用户身份验证、授权以及帐户的集中管理等功能。IAS可用于验证位于Windows Server 2003、Windows NT 4.0或Windows 2000域控制器数据库中的用户。IAS支持各种网络访问服务器(NAS),包括路由和远程访问(RRAS)。
Spdns.com
RADIUS隐藏机制使用了共享秘文的RADIUS、Request Authenticator以及MD5散列算法来给用户的口令以及其它属性加密,例如隧道口令(Tunnel – Password)和MS – CHAP – MPPE – Keys。RFC 2865指出了用户对评估环境威胁以及决定是否应当使用附加安全性的潜在需要。 中国南通服务器网
您可以通过利用了ESP(Encapsulating Security Payload)和一种加密算法(例如3DES)的IPSec为隐藏属性提供更多的保护,同时为所有RADIUS消息提供数据机密性。
Www_Spdns_com
Windows Server 2003以在发售之时具有安全的缺省配置。为提高本章的易用性,这里仅仅介绍那些没有被成员服务器基线策略(MSBP)修改的设置。如需了解更多关于MSBP设置的信息,请参看第3章“创建成员服务器基线”。如需了解关于所有缺省设置的信息,请参看本指南的姐妹篇“威胁与对策:Windows Server 2003与Windows XP的安全设置”。 Www_Spdns_com
注意:IAS服务器角色的设置要求仅在企业客户(Enterprise Client)环境中进行了测试。因此,此处没有包括本指南为其他大部分服务器角色所提供的有关IPSec过滤器和DoS攻击的信息。
南通服务器网
审核策略设置
中国南通服务器网
在本指南所定义的三种环境下,IAS服务器的审核策略设置通过MSBP来配置。要了解更多关于MSBP的信息,请参看第3章“创建成员服务器基线”。MSBP设置确保与安全性相关的所有信息都能够记录在所有IAS服务器上。 Www~Spdns~com
用户权限分配 中国南通服务器网,为中文网南通服务器网
在本指南定义的三种环境下,IAS服务器的事件日志设置通过MSBP来配置。要了解关于MSBP的更多信息,请参看第3章,“创建成员服务器基线”。
Spdns~com
系统服务
Www_Spdns_com
任何服务或应用程序都是潜在的攻击点,因此任何不必要的服务或可执行文件都应当被禁用或删除。在MSBP中,这些可选的服务以及其他任何不必要的服务都将被禁用。
Www^Spdns^com
因此,本指南中关于IAS服务器角色的建议可能不适用于您的环境。请根据您的实际需要,调整这些IAS服务器组策略的建议以满足您所在组织的需要。 南通服务器网
IAS服务
Www.Spdns.com
表9.1: 设置
服务名称 成员服务器缺省 企业客户机 Www^Spdns^com
IAS 没有安装 自动
“IAS服务”设置实现了RADIUS协议方面的IETF标准,该标准允许使用异类网络访问设备。禁用该设置会导致身份验证请求不能到达备用IAS服务器,如果没有备用IAS服务器,用户将无法连接到网络。禁用该服务还会使得任何明确依赖它的服务失效。
中.国.南通服务器网
对IAS服务进行设置是IAS服务器角色所必须进行的工作。您可以使用组策略保护和设置该服务的启动模式,以向服务器管理员授予访问该设置的唯一访问权限,并且因此防止该服务被未经授权或恶意用户配置或操作。组策略还可以防止管理员无意中禁用该服务。 中国南通服务器网,为中文网南通服务器网
通过MSBP应用的安全性设置大大提高了IAS服务器的安全性。然而,我们还应当对其它一些事项进行考虑。有些步骤不能通过组策略来完成,而应当在所有IAS服务器上通过手动操作来实现。
Spdns_com
保护众所周知帐户的安全
Spdns
Windows Server 2003有很多内置帐户,它们不能被删除,但可以重命名。Windows 2003中最常见的两个内置帐户是Guest和 Administrator 帐户。 中国.南通服务器网
在成员服务器和域控制器中,Guest 帐户缺省为禁用状态。您不应该改变此设置。内置的Administrator 帐户应被重命名,而且其描述也应被更改,以防止攻击者通过该帐户破坏远程服务器。
Www^Spdns^com
许多恶意代码的变种企图使用内置的管理员账户来破坏一台服务器。在近几年来,进行上述重命名配置的意义已经大大降低了,因为出现了很多新的攻击工具,这些工具企图通过指定内置 Administrator 账户的安全标识(SID)来确定该帐户的真实姓名,从而侵占服务器。SID是唯一能确定网络中每个用户、组、计算机帐户以及登录会话的值。改变内置帐户的SID是不可能的。通过将本地管理员帐户改变为一个特别的名称,您可以方便地监视对该帐户的攻击企图。 Www@Spdns@com
保护IAS服务器上众所周知帐户的安全
Www@Spdns@com
1、重命名Administrator和Guest帐户,并且将每个域和服务器上的密码更改为长而复杂的值。 中国.南通服务器网
2、在每个服务器上使用不同的名称和密码。如果在所有的域和服务器上使用相同的帐户名和密码,攻击者只须获得对一台成员服务器的访问,就能够访问所有其他具有相同帐户名和密码的服务器。 南通服务器网
3、修改帐户得缺省描述,以防止帐户被轻易识别。 南通服务器网
4、将这些变化记录一个安全的位置。 Spdns^com
注意:内置的管理员帐户可通过组策略重命名。由于您必须为您的环境选择唯一的名字,这些设置没有配置到本指南提供的任何一个安全性模板中。在本指南定义的三种环境下,可将“帐户:重命名管理员帐户”设置配置为重命名管理员帐户。该设置是组策略中安全选项设置的一部分。 中国南通服务器网,为中文网南通服务器网,为中文网南通服务器网
