概述
本章提供了有關對運行於Microsoft? Windows Server? 2003之上的Internet Authentication Service(IAS)伺服器進行安全性強化的建議和資源。IAS是一種遠程身分識別驗證撥號使用者服務(RADIUS)伺服器,它實現了使用者身分識別驗證、授權以及帳戶的集中管理等功能。IAS可用於驗證位於Windows Server 2003、Windows NT 4.0或Windows 2000網域控制站資料庫中的使用者。IAS支援各種網路存取伺服器(NAS),包括路由和遠端存取(RRAS)。
RADIUS隱藏機制使用了共用秘文的RADIUS、Request Authenticator以及MD5散列演算法來給使用者的口令以及其它屬性加密,例如隧道口令(Tunnel – Password)和MS – CHAP – MPPE – Keys。RFC 2865指出了使用者對評估環境威脅以及決定是否應當使用附加安全性的潛在需要。
您可以通過利用了ESP(Encapsulating Security Payload)和一種密碼編譯演算法(例如3DES)的IPSec為隱藏屬性提供更多的保護,同時為所有RADIUS訊息提供資料機密性。
Windows Server 2003以在發售之時具有安全的預設配置。為提高本章的易用性,這裡僅僅介紹那些沒有被成員伺服器基準策略(MSBP)修改的設定。如需瞭解更多關於MSBP設定的資訊,請參看第3章“建立成員伺服器基準”。如需瞭解關於所有預設設定的資訊,請參看本指南的姐妹篇“威脅與對策:Windows Server 2003與Windows XP的安全設定”。
注意:IAS伺服器角色的設定要求僅在企業客戶(Enterprise Client)環境中進行了測試。因此,此處沒有包括本指南為其他大部分伺服器角色所提供的有關IPSec過濾器和DoS攻擊的資訊。
稽核原則設定
在本指南所定義的三種環境下,IAS伺服器的稽核原則設定通過MSBP來配置。要瞭解更多關於MSBP的資訊,請參看第3章“建立成員伺服器基準”。MSBP設定確保與安全性相關的所有資訊都能夠記錄在所有IAS伺服器上。
使用者權限分配
在本指南定義的三種環境下,IAS伺服器的使用者權限分配也通過MSBP來配置。要瞭解關於MSBP的更多資訊,請參看第3章“建立成員伺服器基準”。MSBP設定確保了企業能夠對IAS訪問進行統一的正確配置。
安全選項
在本指南定義的三種環境下,IAS伺服器的安全選項設定也是通過MSBP來配置。要瞭解更多關於MSBP的資訊,請參看第3章,“建立成員伺服器基準”。MSBP設定保證了企業可以統一配置對IAS伺服器的安全訪問。
事件記錄
在本指南定義的三種環境下,IAS伺服器的事件記錄設定通過MSBP來配置。要瞭解關於MSBP的更多資訊,請參看第3章,“建立成員伺服器基準”。
系統服務
任何服務或應用程式都是潛在的攻擊點,因此任何不必要的服務或可執行檔都應當被禁用或刪除。在MSBP中,這些可選的服務以及其他任何不必要的服務都將被禁用。
因此,本指南中關於IAS伺服器角色的建議可能不適用於您的環境。請根據您的實際需要,調整這些IAS伺服器組策略的建議以滿足您所在組織的需要。
IAS服務
表9.1: 設定
服務名稱 成員伺服器預設 企業客戶機
IAS 沒有安裝 自動
“IAS服務”設定實現了RADIUS協議方面的IETF標準,該標準允許使用異類網路訪問裝置。禁用該設定會導致身分識別驗證請求不能到達備用IAS伺服器,如果沒有備用IAS伺服器,使用者將無法串連到網路。禁用該服務還會使得任何明確依賴它的服務失效。
對IAS服務進行設定是IAS伺服器角色所必須進行的工作。您可以使用組策略保護和設定該服務的啟動模式,以向伺服器管理員授予訪問該設定的唯一存取權限,並且因此防止該服務被未經授權或惡意使用者配置或操作。組策略還可以防止管理員無意中禁用該服務。
其它安全性設定
通過MSBP應用的安全性設定大大提高了IAS伺服器的安全性。然而,我們還應當對其它一些事項進行考慮。有些步驟不能通過組策略來完成,而應當在所有IAS伺服器上通過手動操作來實現。
保護眾所周知帳戶的安全
Windows Server 2003有很多內建帳戶,它們不能被刪除,但可以重新命名。Windows 2003中最常見的兩個內建帳戶是Guest和 Administrator 帳戶。
在成員伺服器和網域控制站中,Guest 帳戶預設為禁用狀態。您不應該改變此設定。內建的Administrator 帳戶應被重新命名,而且其描述也應被更改,以防止攻擊者通過該帳戶破壞遠程伺服器。
許多惡意代碼的變種企圖使用內建的管理員賬戶來破壞一台伺服器。在近幾年來,進行上述重新命名配置的意義已經大大降低了,因為出現了很多新的攻擊工具,這些工具企圖通過指定內建的 Administrator 賬戶的安全標識(SID)來確定該帳戶的真實姓名,從而侵佔伺服器。SID是唯一能確定網路中每個使用者、組、電腦帳戶以及登入工作階段的值。改變內建帳戶的SID是不可能的。通過將本地系統管理員帳戶改變為一個特別的名稱,您可以方便地監視對該帳戶的攻擊企圖。
保護IAS伺服器上眾所周知帳戶的安全
1、重新命名Administrator和Guest帳戶,並且將每個域和伺服器上的密碼更改為長而複雜的值。
2、在每個伺服器上使用不同的名稱和密碼。如果在所有的域和伺服器上使用相同的帳戶名稱和密碼,攻擊者只須獲得對一台成員伺服器的訪問,就能夠訪問所有其他具有相同帳戶名稱和密碼的伺服器。
3、修改帳戶得預設描述,以防止帳戶被輕易識別。
4、將這些變化記錄一個安全的位置。
注意:內建的系統管理員帳戶可通過組策略重新命名。由於您必須為您的環境選擇唯一的名字,這些設定沒有配置到本指南提供的任何一個安全性模板中。在本指南定義的三種環境下,可將“帳戶:重新命名系統管理員帳戶”設定配置為重新命名系統管理員帳戶。該設定是組策略中安全選項設定的一部分。
確保服務帳戶的安全
除非絕對必要,否則不要將服務配置為在域帳戶的安全上下文中運行。如果伺服器的物理安全受到破壞,域賬戶密碼可以很容易通過轉儲本地安全性授權(LSA)秘文而獲得。
總結
本章解釋了在本指南所定義的企業客戶機環境下保護IAS伺服器安全性所必須遵循的伺服器強化設定。這些設定可能在本指南定義的其他環境中也適用,但是沒有經過測試或驗證。我們討論的設定通過組策略進行配置和應用。基於這些伺服器提供的服務,您可以將能夠對MSBP提供有益補充的組策略對象(GPO)連結到組織中包含IAS伺服器的組織單位(OU),以提供更多的安全性。