Windows 2003安全指南之強化IAS服務器

發布時間: 2012/6/15 18:28:12

概述

本章提供了有關對運行于Microsoft? Windows Server? 2003之上的Internet Authentication Service（IAS）億恩科技服務器進行安全（服務器租用找：51033397）性強化的建議和資源。IAS是一種遠程身份驗證撥號用戶服務（RADIUS）億恩科技服務器，它實現了用戶身份驗證、授權以及帳戶的集中管理等功能。IAS可用于驗證位于Windows Server 2003、Windows NT 4.0或Windows 2000域控制器數據庫中的用戶。IAS支持各種網絡訪問億恩科技服務器（NAS），包括路由和遠程訪問（RRAS）。

RADIUS隱藏機制使用了共享秘文的RADIUS、Request Authenticator以及MD5散列算法來給用戶的口令以及其它屬性加密，例如隧道口令（Tunnel – Password）和MS – CHAP – MPPE – Keys。RFC 2865指出了用戶對評估環境威脅以及決定是否應當使用附加安全（服務器租用找：51033397）性的潛在需要。

您可以通過利用了ESP（Encapsulating Security Payload）和一種加密算法（例如3DES）的IPSec為隱藏屬性提供更多的保護，同時為所有RADIUS消息提供數據機密性。

Windows Server 2003以在發售之時具有安全（服務器租用找：51033397）的缺省配置。為提高本章的易用性，這里僅僅介紹那些沒有被成員億恩科技服務器基線策略（MSBP）修改的設置。如需了解更多關于MSBP設置的信息，請參看第3章“創建成員億恩科技服務器基線”。如需了解關于所有缺省設置的信息，請參看本指南的姐妹篇“威脅與對策：Windows Server 2003與Windows XP的安全（服務器租用找：51033397）設置”。

注意：IAS億恩科技服務器角色的設置要求僅在企業客戶（Enterprise Client）環境中進行了測試。因此，此處沒有包括本指南為其他大部分億恩科技服務器角色所提供的有關IPSec過濾器和DoS攻擊的信息。

審核策略設置

在本指南所定義的三種環境下，IAS億恩科技服務器的審核策略設置通過MSBP來配置。要了解更多關于MSBP的信息，請參看第3章“創建成員億恩科技服務器基線”。MSBP設置確保與安全（服務器租用找：51033397）性相關的所有信息都能夠記錄在所有IAS億恩科技服務器上。

用戶權限分配

在本指南定義的三種環境下，IAS億恩科技服務器的用戶權限分配也通過MSBP來配置。要了解關于MSBP的更多信息，請參看第3章“創建成員億恩科技服務器基線”。MSBP設置確保了企業能夠對IAS訪問進行統一的正確配置。

安全（服務器租用找：51033397）選項

在本指南定義的三種環境下，IAS億恩科技服務器的安全（服務器租用找：51033397）選項設置也是通過MSBP來配置。要了解更多關于MSBP的信息，請參看第3章，“創建成員億恩科技服務器基線”。MSBP設置保證了企業可以統一配置對IAS億恩科技服務器的安全（服務器租用找：51033397）訪問。

事件日志

在本指南定義的三種環境下，IAS億恩科技服務器的事件日志設置通過MSBP來配置。要了解關于MSBP的更多信息，請參看第3章，“創建成員億恩科技服務器基線”。

系統服務

任何服務或應用程序都是潛在的攻擊點，因此任何不必要的服務或可執行文件都應當被禁用或刪除。在MSBP中，這些可選的服務以及其他任何不必要的服務都將被禁用。

因此，本指南中關于IAS億恩科技服務器角色的建議可能不適用于您的環境。請根據您的實際需要，調整這些IAS億恩科技服務器組策略的建議以滿足您所在組織的需要。