概述
本章提供了有关对运行于Microsoft? Windows Server? 2003之上的Internet Authentication Service(IAS)服务器进行安全性强化的建议和资源。IAS是一种远程身份验证拨号用户服务(RADIUS)服务器,它实现了用户身份验证、授权以及帐户的集中管理等功能。IAS可用于验证位于Windows Server 2003、Windows NT 4.0或Windows 2000域控制器数据库中的用户。IAS支持各种网络访问服务器(NAS),包括路由和远程访问(RRAS)。
RADIUS隐藏机制使用了共享秘文的RADIUS、Request Authenticator以及MD5散列算法来给用户的口令以及其它属性加密,例如隧道口令(Tunnel – Password)和MS – CHAP – MPPE – Keys。RFC 2865指出了用户对评估环境威胁以及决定是否应当使用附加安全性的潜在需要。
您可以通过利用了ESP(Encapsulating Security Payload)和一种加密算法(例如3DES)的IPSec为隐藏属性提供更多的保护,同时为所有RADIUS消息提供数据机密性。
Windows Server 2003以在发售之时具有安全的缺省配置。为提高本章的易用性,这里仅仅介绍那些没有被成员服务器基线策略(MSBP)修改的设置。如需了解更多关于MSBP设置的信息,请参看第3章“创建成员服务器基线”。如需了解关于所有缺省设置的信息,请参看本指南的姐妹篇“威胁与对策:Windows Server 2003与Windows XP的安全设置”。
注意:IAS服务器角色的设置要求仅在企业客户(Enterprise Client)环境中进行了测试。因此,此处没有包括本指南为其他大部分服务器角色所提供的有关IPSec过滤器和DoS攻击的信息。
审核策略设置
在本指南所定义的三种环境下,IAS服务器的审核策略设置通过MSBP来配置。要了解更多关于MSBP的信息,请参看第3章“创建成员服务器基线”。MSBP设置确保与安全性相关的所有信息都能够记录在所有IAS服务器上。
用户权限分配
在本指南定义的三种环境下,IAS服务器的用户权限分配也通过MSBP来配置。要了解关于MSBP的更多信息,请参看第3章“创建成员服务器基线”。MSBP设置确保了企业能够对IAS访问进行统一的正确配置。
安全选项
在本指南定义的三种环境下,IAS服务器的安全选项设置也是通过MSBP来配置。要了解更多关于MSBP的信息,请参看第3章,“创建成员服务器基线”。MSBP设置保证了企业可以统一配置对IAS服务器的安全访问。
事件日志
在本指南定义的三种环境下,IAS服务器的事件日志设置通过MSBP来配置。要了解关于MSBP的更多信息,请参看第3章,“创建成员服务器基线”。
系统服务
任何服务或应用程序都是潜在的攻击点,因此任何不必要的服务或可执行文件都应当被禁用或删除。在MSBP中,这些可选的服务以及其他任何不必要的服务都将被禁用。
因此,本指南中关于IAS服务器角色的建议可能不适用于您的环境。请根据您的实际需要,调整这些IAS服务器组策略的建议以满足您所在组织的需要。
IAS服务
表9.1: 设置
服务名称 成员服务器缺省 企业客户机
IAS 没有安装 自动
“IAS服务”设置实现了RADIUS协议方面的IETF标准,该标准允许使用异类网络访问设备。禁用该设置会导致身份验证请求不能到达备用IAS服务器,如果没有备用IAS服务器,用户将无法连接到网络。禁用该服务还会使得任何明确依赖它的服务失效。
对IAS服务进行设置是IAS服务器角色所必须进行的工作。您可以使用组策略保护和设置该服务的启动模式,以向服务器管理员授予访问该设置的唯一访问权限,并且因此防止该服务被未经授权或恶意用户配置或操作。组策略还可以防止管理员无意中禁用该服务。
其它安全性设置
通过MSBP应用的安全性设置大大提高了IAS服务器的安全性。然而,我们还应当对其它一些事项进行考虑。有些步骤不能通过组策略来完成,而应当在所有IAS服务器上通过手动操作来实现。
保护众所周知帐户的安全
Windows Server 2003有很多内置帐户,它们不能被删除,但可以重命名。Windows 2003中最常见的两个内置帐户是Guest和 Administrator 帐户。
在成员服务器和域控制器中,Guest 帐户缺省为禁用状态。您不应该改变此设置。内置的Administrator 帐户应被重命名,而且其描述也应被更改,以防止攻击者通过该帐户破坏远程服务器。
许多恶意代码的变种企图使用内置的管理员账户来破坏一台服务器。在近几年来,进行上述重命名配置的意义已经大大降低了,因为出现了很多新的攻击工具,这些工具企图通过指定内置 Administrator 账户的安全标识(SID)来确定该帐户的真实姓名,从而侵占服务器。SID是唯一能确定网络中每个用户、组、计算机帐户以及登录会话的值。改变内置帐户的SID是不可能的。通过将本地管理员帐户改变为一个特别的名称,您可以方便地监视对该帐户的攻击企图。
保护IAS服务器上众所周知帐户的安全
1、重命名Administrator和Guest帐户,并且将每个域和服务器上的密码更改为长而复杂的值。
2、在每个服务器上使用不同的名称和密码。如果在所有的域和服务器上使用相同的帐户名和密码,攻击者只须获得对一台成员服务器的访问,就能够访问所有其他具有相同帐户名和密码的服务器。
3、修改帐户得缺省描述,以防止帐户被轻易识别。
4、将这些变化记录一个安全的位置。
注意:内置的管理员帐户可通过组策略重命名。由于您必须为您的环境选择唯一的名字,这些设置没有配置到本指南提供的任何一个安全性模板中。在本指南定义的三种环境下,可将“帐户:重命名管理员帐户”设置配置为重命名管理员帐户。该设置是组策略中安全选项设置的一部分。
确保服务帐户的安全
除非绝对必要,否则不要将服务配置为在域帐户的安全上下文中运行。如果服务器的物理安全受到破坏,域账户密码可以很容易通过转储本地安全性授权(LSA)秘文而获得。
总结
本章解释了在本指南所定义的企业客户机环境下保护IAS服务器安全性所必须遵循的服务器强化设置。这些设置可能在本指南定义的其他环境中也适用,但是没有经过测试或验证。我们讨论的设置通过组策略进行配置和应用。基于这些服务器提供的服务,您可以将能够对MSBP提供有益补充的组策略对象(GPO)链接到组织中包含IAS服务器的组织单位(OU),以提供更多的安全性。