Windows 2003安全指南之强化IAS服务器

核心提示：Windows 2003安全指南之强化IAS服务器

概述

本章提供了有关对运行于Microsoft? Windows Server? 2003之上的Internet Authentication Service（IAS）服务器进行安全性强化的建议和资源。IAS是1种远程身份验证拨号用户服务（RADIUS）服务器，它实现了用户身份验证、授权和帐户的集中治理等功能。IAS可用于验证位于Windows Server 2003、Windows NT 4.0或Windows 2000域控制器数据库中的用户。IAS支持各种网络访问服务器（NAS），包括路由和远程访问（RRAS）。

RADIUS隐躲机制使用了共享秘文的RADIUS、Request Authenticator和MD5散列算法来给用户的口令和其它属性加密，例如隧道口令（Tunnel – Password）和MS – CHAP – MPPE – Keys。RFC 2865指出了用户对评估环境要挟和决定是否是应当使用附加安全性的潜伏需要。

您可以通过利用了ESP（Encapsulating Security Payload）和1种加密算法（例如3DES）的IPSec为隐躲属性提供更多的保护，同时为所有RADIUS消息提供数据机密性。

Windows Server 2003以在发售之时具有安全的缺省配置。为进步本章的易用性，这里仅仅先容那些没有被成员服务器基线策略（MSBP）修改的设置。如需了解更多关于MSBP设置的信息，请参看第3章“创建成员服务器基线”。如需了解关于所有缺省设置的信息，请参看本指南的姐妹篇“要挟与对策：Windows Server 2003与Windows XP的安全设置”。

留意：IAS服务器角色的设置要求仅在企业客户（Enterprise Client）环境中进行了测试。因此，此处没有包括本指南为其他大部份服务器角色所提供的有关IPSec过滤器和DoS攻击的信息。

审核策略设置

在本指南所定义的3种环境下，IAS服务器的审核策略设置通过MSBP来配置。要了解更多关于MSBP的信息，请参看第3章“创建成员服务器基线”。MSBP设置确保与安全性相干的所有信息都能够记录在所有IAS服务器上。

用户权限分配

在本指南定义的3种环境下，IAS服务器的用户权限分配也通过MSBP来配置。要了解关于MSBP的更多信息，请参看第3章“创建成员服务器基线”。MSBP设置确保了企业能够对IAS访问进行同1的正确配置。

安全选项

在本指南定义的3种环境下，IAS服务器的安全选项设置也是通过MSBP来配置。要了解更多关于MSBP的信息，请参看第3章，“创建成员服务器基线”。MSBP设置保证了企业可以同1配置对IAS服务器的安全访问。

事件日志

在本指南定义的3种环境下，IAS服务器的事件日志设置通过MSBP来配置。要了解关于MSBP的更多信息，请参看第3章，“创建成员服务器基线”。

系统服务

任何服务或利用程序都是潜伏的攻击点，因此任何没必要要的服务或可履行文件都应当被禁用或删除。在MSBP中，这些可选的服务和其他任何没必要要的服务都将被禁用。

因此，本指南中关于IAS服务器角色的建议可能不适用于您的环境。请根据您的实际需要，调剂这些IAS服务器组策略的建议以满足您所在组织的需要。

IAS服务

表9.1: 设置
　　
服务名称　　 成员服务器缺省　　 企业客户机

IAS　　　　　　 没有安装　　　　　自动
　　
“IAS服务”设置实现了RADIUS协议方面的IETF标准，该标准答应使用异类网络访问设备。禁用该设置会导致身份验证要求不能到达备用IAS服务器，假设没有备用IAS服务器，用户将没法连接到网络。禁用该服务还会使得任何明确依托它的服务失效。

对IAS服务进行设置是IAS服务器角色所必须进行的工作。您可使用组策略保护和设置该服务的启动模式，以向服务器治理员授与访问该设置的唯1访问权限，并且因此避免该服务被未经授权或恶意用户配置或操纵。组策略还可以避免治理员无意中禁用该服务。

其它安全性设置

通过MSBP利用的安全性设置大大进步了IAS服务器的安全性。但是，我们还应当对其它1些事项进行考虑。有些步骤不能通过组策略来完成，而应当在所有IAS服务器上通过手动操纵来实现。

保护尽人皆知帐户的安全

Windows Server 2003有很多内置帐户，它们不能被删除，但可以重命名。Windows 2003中最多见的两个内置帐户是Guest和 Administrator 帐户。

在成员服务器和域控制器中，Guest 帐户缺省为禁用状态。您不应当改变此设置。内置的Administrator 帐户应被重命名，而且其描写也应被更改，以避免攻击者通过该帐户破坏远程服务器。

很多恶意代码的变种企图使用内置的治理员账户来破坏1台服务器。在近几年来，进行上述重命名配置的意义已大大下降了，由于出现了很多新的攻击工具，这些工具企图通过指定内置 Administrator 账户的安全标识（SID）来肯定该帐户的真实姓名，从而侵占服务器。SID是唯1能肯定网络中每个用户、组、计算机帐户和登录会话的值。改变内置帐户的SID是不可能的。通过将本地治理员帐户改变成1个特别的名称，您可以方便地监视对该帐户的攻击企图。

保护IAS服务器上尽人皆知帐户的安全

1、重命名Administrator和Guest帐户，并且将每个域和服务器上的密码更改成长而复杂的值。

2、在每个服务器上使用不同的名称和密码。假设在所有的域和服务器上使用相同的帐户名和密码，攻击者只须取得对1台成员服务器的访问，便可以够访问所有其他具有相同帐户名和密码的服务器。

3、修改帐户得缺省描写，以避免帐户被轻易辨认。

4、将这些变化记录1个安全的位置。

留意：内置的治理员帐户可通过组策略重命名。由于您必须为您的环境选择唯1的名字，这些设置没有配置到本指南提供的任何1个安全性模板中。在本指南定义的3种环境下，可将“帐户：重命名治理员帐户”设置配置为重命名治理员帐户。该设置是组策略中安全选项设置的1部份。

确保服务帐户的安全

除非尽对必要，否则不要将服务配置为在域帐户的安全上下文中运行。假设服务器的物理安全遭到破坏，域账户密码可以很轻易通过转储本地安全性授权（LSA）秘文而取得。

总结

本章解释了在本指南所定义的企业客户机环境下保护IAS服务器安全性所必须遵守的服务器强化设置。这些设置可能在本指南定义的其他环境中也适用，但是没有经过测试或验证。我们讨论的设置通过组策略进行配置和利用。基于这些服务器提供的服务，您可以将能够对MSBP提供有益补充的组策略对象（GPO）链接到组织中包括IAS服务器的组织单位（OU），以提供更多的安全性。

http://www.fw8.net/

TAG:服务器,帐户,安全性,指南,基线

评论加载中... 内容： 评论者： 验证码：