Windows2003安全指南之强化IAS服务器(2) IAS服务 表9.1: 设置 服务名称 成员服务器缺省 企业客户机 IAS 没有安装 自动 “IAS服务”设置实现了RADIUS协议方面的IETF标准,该标准允许使用异类网络访问设备。禁用该设置会导致身份验证请求不能到达备用IAS服务器,如果没有备用IAS服务器,用户将无法连接到网络。禁用该服务还会使得任何明确依赖它的服务失效。 对IAS服务进行设置是IAS服务器角色所必须进行的工作。您可以使用组策略保护和设置该服务的启动模式,以向服务器管理员授予访问该设置的唯一访问权限,并且因此防止该服务被未经授权或恶意用户配置或操作。组策略还可以防止管理员无意中禁用该服务。 其它安全性设置 通过MSBP应用的安全性设置大大提高了IAS服务器的安全性。然而,我们还应当对其它一些事项进行考虑。有些步骤不能通过组策略来完成,而应当在所有IAS服务器上通过手动操作来实现。 保护众所周知帐户的安全 Windows Server 2003有很多内置帐户,它们不能被删除,但可以重命名。Windows 2003中最常见的两个内置帐户是Guest和 Administrator 帐户。 在成员服务器和域控制器中,Guest 帐户缺省为禁用状态。您不应该改变此设置。内置的Administrator 帐户应被重命名,而且其描述也应被更改,以防止攻击者通过该帐户破坏远程服务器。 许多恶意代码的变种企图使用内置的管理员账户来破坏一台服务器。在近几年来,进行上述重命名配置的意义已经大大降低了,因为出现了很多新的攻击工具,这些工具企图通过指定内置 Administrator 账户的安全标识(SID)来确定该帐户的真实姓名,从而侵占服务器。SID是唯一能确定网络中每个用户、组、计算机帐户以及登录会话的值。改变内置帐户的SID是不可能的。通过将本地管理员帐户改变为一个特别的名称,您可以方便地监视对该帐户的攻击企图。 保护IAS服务器上众所周知帐户的安全 1. 重命名Administrator和Guest帐户,并且将每个域和服务器上的密码更改为长而复杂的值。 2. 在每个服务器上使用不同的名称和密码。如果在所有的域和服务器上使用相同的帐户名和密码,攻击者只须获得对一台成员服务器的访问,就能够访问所有其他具有相同帐户名和密码的服务器。 3. 修改帐户得缺省描述,以防止帐户被轻易识别。 4. 将这些变化记录一个安全的位置。 注意:内置的管理员帐户可通过组策略重命名。由于您必须为您的环境选择唯一的名字,这些设置没有配置到本指南提供的任何一个安全性模板中。在本指南定义的三种环境下,可将“帐户:重命名管理员帐户”设置配置为重命名管理员帐户。该设置是组策略中安全选项设置的一部分。 确保服务帐户的安全 除非绝对必要,否则不要将服务配置为在域帐户的安全上下文中运行。如果服务器的物理安全受到破坏,域账户密码可以很容易通过转储本地安全性授权(LSA)秘文而获得。 总结 本章解释了在本指南所定义的企业客户机环境下保护IAS服务器安全性所必须遵循的服务器强化设置。这些设置可能在本指南定义的其他环境中也适用,但是没有经过测试或验证。我们讨论的设置通过组策略进行配置和应用。基于这些服务器提供的服务,您可以将能够对MSBP提供有益补充的组策略对象(GPO)链接到组织中包含IAS服务器的组织单位(OU),以提供更多的安全性。
