Windows2003安全指南之强化IAS服务器

Windows2003安全指南之强化IAS服务器(1)
　　概述
　　
　　本章提供了有关对运行于Microsoft? Windows Server? 2003之上的Internet Authentication Service（IAS）服务器进行安全性强化的建议和资源。IAS是一种远程身份验证拨号用户服务（RADIUS）服务器，它实现了用户身份验证、授权以及帐户的集中管理等功能。IAS可用于验证位于Windows Server 2003、Windows NT 4.0或Windows 2000域控制器数据库中的用户。IAS支持各种网络访问服务器（NAS），包括路由和远程访问（RRAS）。
　　
　　RADIUS隐藏机制使用了共享秘文的RADIUS、Request Authenticator以及MD5散列算法来给用户的口令以及其它属性加密，例如隧道口令（Tunnel ? PassWord）和MS ? CHAP ? MPPE ? Keys。RFC 2865指出了用户对评估环境威胁以及决定是否应当使用附加安全性的潜在需要。
　　
　　您可以通过利用了ESP（Encapsulating Security Payload）和一种加密算法（例如3DES）的IPSec为隐藏属性提供更多的保护，同时为所有RADIUS消息提供数据机密性。
　　
　　Windows Server 2003以在发售之时具有安全的缺省配置。为提高本章的易用性，这里仅仅介绍那些没有被成员服务器基线策略（MSBP）修改的设置。如需了解更多关于MSBP设置的信息，请参看第3章“创建成员服务器基线”。如需了解关于所有缺省设置的信息，请参看本指南的姐妹篇“威胁与对策：Windows Server 2003与Windows XP的安全设置”。
　　
　　注意：IAS服务器角色的设置要求仅在企业客户（Enterprise Client）环境中进行了测试。因此，此处没有包括本指南为其他大部分服务器角色所提供的有关IPSec过滤器和DoS攻击的信息。
　　
　　审核策略设置
　　
　　在本指南所定义的三种环境下，IAS服务器的审核策略设置通过MSBP来配置。要了解更多关于MSBP的信息，请参看第3章“创建成员服务器基线”。MSBP设置确保与安全性相关的所有信息都能够记录在所有IAS服务器上。
　　
　　用户权限分配
　　
　　在本指南定义的三种环境下，IAS服务器的用户权限分配也通过MSBP来配置。要了解关于MSBP的更多信息，请参看第3章“创建成员服务器基线”。MSBP设置确保了企业能够对IAS访问进行统一的正确配置。
　　
　　安全选项
　　
　　在本指南定义的三种环境下，IAS服务器的安全选项设置也是通过MSBP来配置。要了解更多关于MSBP的信息，请参看第3章，“创建成员服务器基线”。MSBP设置保证了企业可以统一配置对IAS服务器的安全访问。
　　
　　事件日志
　　
　　在本指南定义的三种环境下，IAS服务器的事件日志设置通过MSBP来配置。要了解关于MSBP的更多信息，请参看第3章，“创建成员服务器基线”。
　　
　　系统服务
　　
　　任何服务或应用程序都是潜在的攻击点，因此任何不必要的服务或可执行文件都应当被禁用或删除。在MSBP中，这些可选的服务以及其他任何不必要的服务都将被禁用。
　　
　　因此，本指南中关于IAS服务器角色的建议可能不适用于您的环境。请根据您的实际需要，调整这些IAS服务器组策略的建议以满足您所在组织的需要。