Windows 2003安全指南之强化IAS服务器

概述

本章提供了有关对运行于Microsoft? Windows Server? 2003之上的Internet Authentication Service（IAS）服务器进行安全性强化的建议和资源。IAS是一种远程身份验证拨号用户服务（RADIUS）服务器，它实现了用户身份验证、授权以及帐户的集中管理等功能。IAS可用于验证位于Windows Server 2003、Windows NT 4.0或Windows 2000域控制器数据库中的用户。IAS支持各种网络访问服务器（NAS），包括路由和远程访问（RRAS）。

RADIUS隐藏机制使用了共享秘文的RADIUS、Request Authenticator以及MD5散列算法来给用户的口令以及其它属性加密，例如隧道口令（Tunnel – Password）和MS – CHAP – MPPE – Keys。RFC 2865指出了用户对评估环境威胁以及决定是否应当使用附加安全性的潜在需要。

您可以通过利用了ESP（Encapsulating Security Payload）和一种加密算法（例如3DES）的IPSec为隐藏属性提供更多的保护，同时为所有RADIUS消息提供数据机密性。

Windows Server 2003以在发售之时具有安全的缺省配置。为提高本章的易用性，这里仅仅介绍那些没有被成员服务器基线策略（MSBP）修改的设置。如需了解更多关于MSBP设置的信息，请参看第3章“创建成员服务器基线”。如需了解关于所有缺省设置的信息，请参看本指南的姐妹篇“威胁与对策：Windows Server 2003与Windows XP的安全设置”。

注意：IAS服务器角色的设置要求仅在企业客户（Enterprise Client）环境中进行了测试。因此，此处没有包括本指南为其他大部分服务器角色所提供的有关IPSec过滤器和DoS攻击的信息。

审核策略设置

在本指南所定义的三种环境下，IAS服务器的审核策略设置通过MSBP来配置。要了解更多关于MSBP的信息，请参看第3章“创建成员服务器基线”。MSBP设置确保与安全性相关的所有信息都能够记录在所有IAS服务器上。

用户权限分配

在本指南定义的三种环境下，IAS服务器的用户权限分配也通过MSBP来配置。要了解关于MSBP的更多信息，请参看第3章“创建成员服务器基线”。MSBP设置确保了企业能够对IAS访问进行统一的正确配置。

安全选项

在本指南定义的三种环境下，IAS服务器的安全选项设置也是通过MSBP来配置。要了解更多关于MSBP的信息，请参看第3章，“创建成员服务器基线”。MSBP设置保证了企业可以统一配置对IAS服务器的安全访问。

事件日志

在本指南定义的三种环境下，IAS服务器的事件日志设置通过MSBP来配置。要了解关于MSBP的更多信息，请参看第3章，“创建成员服务器基线”。

系统服务

任何服务或应用程序都是潜在的攻击点，因此任何不必要的服务或可执行文件都应当被禁用或删除。在MSBP中，这些可选的服务以及其他任何不必要的服务都将被禁用。

因此，本指南中关于IAS服务器角色的建议可能不适用于您的环境。请根据您的实际需要，调整这些IAS服务器组策略的建议以满足您所在组织的需要。

IAS服务

表9.1: 设置
　　
服务名称　　 成员服务器缺省　　 企业客户机

IAS　　　　　　 没有安装　　　　　自动
　　
“IAS服务”设置实现了RADIUS协议方面的IETF标准，该标准允许使用异类网络访问设备。禁用该设置会导致身份验证请求不能到达备用IAS服务器，如果没有备用IAS服务器，用户将无法连接到网络。禁用该服务还会使得任何明确依赖它的服务失效。

对IAS服务进行设置是IAS服务器角色所必须进行的工作。您可以使用组策略保护和设置该服务的启动模式，以向服务器管理员授予访问该设置的唯一访问权限，并且因此防止该服务被未经授权或恶意用户配置或操作。组策略还可以防止管理员无意中禁用该服务。

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有