Exportar (0) Imprimir
Expandir Tudo

Práticas recomendadas de IAS

 

Práticas recomendadas de IAS

Este tópico apresenta as práticas recomendadas para implementar e configurar o IAS e baseia-se nas recomendações dos serviços de suporte técnico da Microsoft.

Sugestões de instalação

Antes de instalar o IAS, faça o seguinte:

  • Instale e teste cada um dos servidores de acesso usando métodos de autenticação local antes de torná-los clientes RADIUS.
  • Depois de instalar e configurar o IAS, salve a configuração usando o comando netsh aaaa show config > caminho\arquivo.txt. Para obter mais informações, consulte Comandos netsh para AAAA. Salve a configuração do IAS usando o comando netsh aaaa show config > caminho\arquivo.txt sempre que fizer uma alteração.
  • Não instale o Windows Server 2003, Standard Edition; Windows Server 2003, Enterprise Edition ou o Windows Server 2003, Datacenter Edition na mesma partição que o Windows 2000. Para acessar o banco de dados IAS esses sistemas operacionais utilizam arquivos em comum da pasta systemroot\Arquivos de Programas. Se você optar por instalar o Windows Server 2003, Standard Edition; Windows Server 2003, Enterprise Edition ou o Windows Server 2003, Datacenter Edition na mesma partição que o Windows 2000, o IAS no Windows 2000 não poderá mais acessar diretivas de acesso remoto ou o log de acesso remoto.
  • Não configure um servidor que executa IAS ou Roteamento e Acesso Remoto e o Windows Server 2003 como membro de um domínio do Windows NT Server 4.0 se o seu banco de dados de contas de usuário estiver armazenado em um controlador de domínio do Windows Server 2003 em outro domínio. Isso fará com que as consultas de LDAP do servidor IAS ao controlador de domínio do Windows Server 2003 falhem.
  • Em vez disso, configure seu servidor executando IAS ou Roteamento e Acesso Remoto e Windows Server 2003 como membro de um domínio do Windows Server 2003. Como alternativa, você pode configurar um servidor que executa IAS e o Windows Server 2003 como um servidor proxy que encaminha solicitações de autenticação e estatísticas a outro servidor que executa IAS e o Windows Server 2003 e que pode acessar o banco de dados de contas de usuários no controlador de domínio do Windows Server 2003. Para obter mais informações, consulte Implantando o IAS como proxy RADIUS.

Problemas de segurança

Quando você estiver administrando um servidor IAS remotamente, não envie dados importantes ou confidenciais (por exemplo, senhas ou segredos compartilhados) pela rede na forma de textos sem formatação. Há dois métodos recomendados para a administração remota de servidores IAS:

  • Usar os serviços de terminal para acessar o servidor IAS.
    Quando você utiliza os serviços de terminal, os dados não são enviados entre o cliente e o servidor. Apenas a interface do usuário do servidor (por exemplo, a área de trabalho do sistema operacional e a imagem do console do IAS) é enviada para o cliente dos serviços de terminal, que é chamado de conexão de área de trabalho remota no Windows XP. O cliente envia entradas de teclado e mouse, que são processadas localmente pelo servidor no qual os serviços de terminal estão ativados. Quando os usuários dos serviços de terminal fazem logon, eles vêem somente as respectivas sessões de cliente, que são gerenciadas pelo servidor e são independentes umas das outras. Além disso, a conexão de área de trabalho remota proporciona criptografia de 128 bits entre o cliente e o servidor. Para obter mais informações, consulte Serviços de terminal.
  • Usar IPSec para criptografar dados confidenciais.
    Você pode usar o protocolo IPSec para criptografar a comunicação entre o servidor IAS e o computador cliente remoto que está sendo usado para administrá-lo. Para que você possa administrar o servidor remotamente, o Pacote de Ferramentas de Administrativas do Windows Server 2003 deve ser instalado no computador cliente e o snap-in do IAS deve ser adicionado ao Console de Gerenciamento Microsoft (MMC). Para obter mais informações, consulte Regras de diretiva IPSec.

O servidor IAS oferece autenticação, autorização e estatísticas para tentativas de conexão com a rede da organização. Você pode proteger o servidor IAS e as mensagens RADIUS contra invasões internas e externas indesejáveis. Para obter mais informações sobre como proteger o servidor IAS, consulte Protegendo o IAS.

Para obter informações adicionais sobre como proteger o tráfego RADIUS quando o IAS é usado como um servidor RADIUS, consulte Considerações sobre segurança do IAS como um servidor RADIUS. Para obter informações adicionais sobre como proteger o tráfego RADIUS quando o IAS é usado como um proxy RADIUS, consulte Considerações sobre segurança do IAS como proxy RADIUS.

Usar o comando Runas para administrar servidores IAS locais

Você pode usar o comando Runas para realizar tarefas administrativas quando está conectado como membro de um grupo que não tem as credenciais de administrador necessárias (como, por exemplo, o grupo Usuários ou o grupo Usuários avançados). É recomendável que você faça login no servidor sem as credenciais de administrador porque isso protege o computador de uma variedade de possíveis ataques de segurança, como a instalação acidental de um vírus.

Log

Existem dois tipos de log no IAS:

  1. Log de eventos do IAS Você pode usar o log de eventos para registrar eventos do IAS no log de eventos do sistema. Ele é usado principalmente para fazer auditoria e solucionar problemas de tentativas de conexão.
  2. Registrando em log solicitações de estatísticas e de autenticação de usuários Você pode criar um log das solicitações de estatísticas e da autenticação dos usuários em arquivos de log no formato de texto ou de banco de dados ou pode criar um log em um procedimento armazenado em um banco de dados do SQL Server 2000. O registro de solicitações é usado principalmente para fins de análise de conexões e faturamento e também é útil como ferramenta de investigação de segurança, oferecendo um método de rastrear a atividade de um invasor.

Para utilizar o log do IAS da forma mais eficaz:

  • Ative o log (inicialmente) dos registros de estatísticas e autenticação. Modifique essas seleções após ter determinado o que é apropriado para o seu ambiente.
  • Certifique-se de que o log de eventos está configurado com capacidade suficiente para manter os logs.
  • Faça backup de todos os arquivos de log periodicamente, uma vez que eles não podem ser recriados se forem danificados ou excluídos.
  • Use o atributo de classe RADIUS para rastrear o uso e simplificar a identificação do departamento ou usuário que deve ser cobrado pela utilização. Embora o atributo de classe gerado automaticamente seja exclusivo de cada solicitação, podem existir registros duplicados em situações nas quais a resposta ao servidor de acesso é perdida e a solicitação é reenviada. Talvez você tenha de excluir as solicitações duplicadas dos logs para rastrear o uso de modo preciso.
  • Para proporcionar failover e redundância com o log do SQL Server, coloque dois computadores com o SQL Server em sub-redes diferentes. Use o assistente para criar publicação do SQL Server para configurar a duplicação do banco de dados entre dois servidores. Para obter mais informações, consulte a documentação do SQL Server 2000.

Para visualizar os logs do IAS, você pode usar a ferramenta Iasparse.exe na pasta \Support\Tools do CD dos produtos Windows Server 2003, Standard Edition; Windows Server 2003, Enterprise Edition ou Windows Server 2003, Datacenter Edition.

Para obter mais informações, consulte Log de acesso remoto.

Ajuste de desempenho do IAS

  • Para otimizar os tempos de resposta de autenticação e autorização do IAS e minimizar o tráfego de rede, instale o IAS em um controlador de domínio.
  • Quando são usados nomes principais universais (UPNs) ou domínios do Windows Server 2003, o IAS utiliza o catálogo global para autenticar os usuários. Para minimizar o tempo necessário para esse procedimento, instale o IAS em um servidor de catálogo global ou em um servidor que esteja na mesma sub-rede. Para obter mais informações, consulte A função do catálogo global. Para obter mais informações sobre a funcionalidade de domínio, consulte Funcionalidade do domínio e da floresta.
  • Quando você tem grupos de servidores remotos RADIUS configurados e, em Diretivas de Solicitação de Conexão do IAS, você desmarca a caixa de seleção Registrar informações de estatísticas nos servidores no grupo de servidores remotos RADIUS a seguir, esses grupos ainda recebem mensagens de notificação de início e de término do servidor de acesso à rede (NAS). Isso gera um tráfego de rede desnecessário. Para eliminar esse tráfego, desative o encaminhamento de notificações do NAS para servidores individuais em cada grupo de servidores remotos RADIUS desmarcando a caixa de seleção Encaminhar a este servidor as notificações de início e término do servidor de acesso à rede. Para obter mais informações, consulte Definir as configurações de autenticação e estatísticas de um membro do grupo e Configurar estatísticas.

Usando o IAS em organizações de grande porte

  • Se você estiver usando diretivas de acesso remoto para restringir o acesso a apenas determinados grupos, crie um grupo universal para todos os usuários aos quais deseja permitir o acesso e então crie uma diretiva de acesso remoto que conceda acesso a esse grupo universal. Não coloque todos os usuários diretamente no grupo universal, principalmente se você tiver um grande número deles na rede. Em vez disso, crie grupos separados que sejam membros do grupo universal e adicione usuários a esses grupos. Para obter mais informações sobre grupos universais, consulte Escopo de grupo. Para obter mais informações sobre como restringir ou conceder acesso a um grupo, consulte Permitir a conexão dial-up usando a participação em um grupo.
  • Sempre que possível, use um nome principal de usuário para se referir aos usuários. Um usuário pode ter o mesmo nome principal de usuário, independentemente da participação no domínio. Essa prática proporciona ajustabilidade, que pode ser necessária em organizações com um grande número de domínios.
  • Se o servidor IAS estiver em um computador que não seja um controlador de domínio e estiver recebendo muitas solicitações de autenticação por segundo, você poderá melhorar o desempenho aumentando o número de autenticações simultâneas entre o servidor IAS e o controlador de domínio.
    Para fazer isso, edite a seguinte chave do Registro: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters. Adicione um novo valor denominado MaxConcurrentApi e atribua a ele o valor 2 a 5.

Cuidado

  • A edição incorreta do Registro pode causar danos graves ao sistema. Antes de alterar o Registro, faça backup de todos os dados importantes existentes no computador.

Observações

  • Se você atribuir um valor muito alto a MaxConcurrentApi, o servidor IAS poderá colocar uma carga excessiva no controlador de domínio.
  • Para equilibrar de modo eficiente a carga de muitas autorizações ou de um grande volume de tráfego de autenticação RADIUS (como, por exemplo, uma grande implementação de acesso sem fio utilizando autenticação baseada em certificados), instale o IAS como um servidor RADIUS em todos os controladores de domínio. Em seguida, configure dois ou mais proxies IAS para encaminhar as solicitações de autenticação entre os servidores de acesso e os servidores RADIUS. Depois, configure os servidores de acesso para usar os proxies IAS como servidores RADIUS. Para obter mais informações, consulte Usando o proxy IAS para equilíbrio de carga.
  • Você pode configurar o IAS no Windows Server 2003 com, no máximo, 50 clientes RADIUS e 2 grupos de servidores remotos RADIUS. Você pode definir um cliente RADIUS usando um endereço IP ou um nome de domínio totalmente qualificado, mas não pode definir grupos de clientes RADIUS especificando um intervalo de endereços IP. Se o nome de domínio totalmente qualificado de um cliente RADIUS resulta em vários endereços IP, o servidor IAS usa o primeiro endereço IP retornado na consulta DNS. Com o IAS no Windows Server 2003, Enterprise Edition e no Windows Server 2003, Datacenter Edition, você pode configurar um número ilimitado de clientes RADIUS e grupos de servidores remotos RADIUS. Também pode configurar clientes RADIUS especificando um intervalo de endereços IP.
Isso foi útil para você?
(1500 caracteres restantes)
Agradecemos os seus comentários

Contribuições da comunidade

ADICIONAR
Mostrar:
© 2014 Microsoft