Exportar (0) Imprimir
Expandir Todos
Este tópico ainda não foi classificado - Classificar este tópico

Procedimentos Recomendados para o IAS

 

Procedimentos Recomendados para o IAS

Este tópico fornece os procedimentos recomendados para implementar e configurar o serviço de autenticação da Internet (IAS, Internet Authentication Service) e baseia-se em recomendações do suporte técnico da Microsoft.

Sugestões de instalação

Antes de instalar o IAS, efectue o seguinte:

  • Instale e teste cada um dos servidores de acesso utilizando métodos de autenticação locais antes de torná-los clientes RADIUS.
  • Após instalar e configurar o IAS, guarde a configuração utilizando o comando netsh aaaa show config > caminho\ficheiro.txt. Para mais informações, consulte Comandos netsh para AAAA. Guarde a configuração do IAS com o comando netsh aaaa show config > caminho\ficheiro.txt sempre que efectuar uma alteração.
  • Não instale o Windows Server 2003, Standard Edition, Windows Server 2003, Enterprise Edition, ou o Windows Server 2003, Datacenter Edition, na mesma partição que o Windows 2000. Estes sistemas operativos utilizam ficheiros comuns na pasta pastadosistema\Programas para aceder à base de dados do IAS. Se decidir instalar o Windows Server 2003, Standard Edition, Windows Server 2003, Enterprise Edition, ou o Windows Server 2003, Datacenter Edition, na mesma partição que o Windows 2000, o IAS no Windows 2000 deixa de poder aceder às políticas de acesso remoto ou ao registo de acesso remoto.
  • Não configure um servidor com o IAS ou o Encaminhamento e Acesso Remoto e o Windows Server 2003 como membro de um domínio do Windows NT Server 4.0 se a base de dados das contas de utilizador estiver armazenada num controlador de domínio do Windows Server 2003 noutro domínio. Esta operação fará com que as consultas do Protocolo Simples de Acesso a Directórios (LDAP, Lightweight Directory Access Protocol) do servidor IAS ao controlador de domínio do Windows Server 2003 falhem.
  • Em vez disso, configure o servidor com o IAS ou o Encaminhamento e Acesso Remoto e o Windows Server 2003 como membro de um domínio do Windows Server 2003. Em alternativa, pode configurar um servidor com o IAS e o Windows Server 2003 como um servidor proxy que reencaminha pedidos de autenticação e de gestão de contas para outro servidor com o IAS e o Windows Server 2003 que possa aceder à base de dados de contas de utilizador no controlador de domínio do Windows Server 2003. Para mais informações, consulte Implementar o IAS como um Proxy RADIUS.

Problemas de segurança

Quando administrar um servidor IAS remotamente, não envie dados importantes ou confidenciais (por exemplo, segredos partilhados ou palavras-passe) através da rede em texto simples. Existem dois métodos recomendados para a administração remota de servidores IAS:

  • Utilize os Serviços de terminal para aceder ao servidor IAS.
    Quando utiliza os Serviços de terminal, os dados não são enviados entre o cliente e o servidor. Apenas a interface de utilizador do servidor (por exemplo, o ambiente de trabalho do sistema operativo e a imagem da consola do IAS) é enviada para o cliente de Serviços de Terminal, que no Windows XP tem a designação de Ligação ao Ambiente de Trabalho Remoto. O cliente envia os dados introduzidos com o teclado e com o rato, que são processados localmente pelo servidor com os Serviços de terminal activados. Quando os utilizadores dos Serviços de terminal iniciam sessão, conseguem visualizar apenas as respectivas sessões de cliente individuais, que são geridas pelo servidor e independentes entre si. Além disso, a Ligação ao ambiente de trabalho remoto fornece encriptação de 128 bits entre o cliente e o servidor. Para mais informações, consulte Serviços de terminal.
  • Utilize o IPSec para encriptar dados confidenciais.
    Pode utilizar o IPSec para encriptar a comunicação entre o servidor IAS e o computador cliente remoto que estiver a ser utilizado para o administrar. Para administrar o servidor remotamente, deverá instalar o Pacote de Ferramentas de Administração do Windows Server 2003 no computador cliente e adicionar o snap-in do IAS à Consola de Gestão da Microsoft (MMC, Microsoft Management Console). Para mais informações, consulte Regras da Política IPSec.

O servidor IAS fornece autenticação, autorização e gestão de contas para tentativas de ligação à rede da organização. Pode proteger o servidor IAS e as mensagens RADIUS de intromissões internas e externas não desejadas. Para mais informações sobre como proteger o servidor IAS, consulte Proteger o IAS.

Para obter informações adicionais sobre como proteger o tráfego RADIUS quando o IAS é utilizado como um servidor RADIUS, consulte Considerações de segurança do IAS como um servidor de RADIUS. Para obter informações adicionais sobre como proteger o tráfego RADIUS quando o IAS é utilizado como um proxy RADIUS, consulte Considerações de segurança do IAS como um proxy RADIUS.

Utilizar o comando 'Runas' para administrar servidores IAS locais

Pode utilizar o comando Runas para efectuar tarefas administrativas quando iniciar sessão como membro de um grupo que não possua as credenciais administrativas necessárias (por exemplo, o grupo Utilizadores ou o grupo Utilizadores Avançados). Recomenda-se que inicie sessão no computador com credenciais administrativas, uma vez que este procedimento protege o computador de uma variedade de possíveis ataques à segurança, como, por exemplo, a instalação acidental de um vírus de computador.

Registo

Existem dois tipos de registo no IAS:

  1. Registo de eventos para o IAS Pode utilizar o registo de eventos para registar eventos do IAS no registo de eventos do sistema. Utiliza-se principalmente para a auditoria e resolução de problemas de tentativas de ligação.
  2. Registar pedidos de autenticação de utilizador e de gestão de contas Pode registar pedidos de autenticação de utilizador e de gestão de contas em ficheiros de registo, em formato de texto ou formato de base de dados, ou num procedimento armazenado numa base de dados de SQL Server 2000. O registo de pedidos utiliza-se principalmente para fins de análise das ligações e facturação e também é útil como ferramenta de investigação de segurança, pois fornece-lhe um método de detectar a actividade de um intruso.

Para tirar o melhor partido do registo do IAS:

  • Active o registo (inicialmente) para os registos de autenticação e gestão de contas. Modifique estas selecções depois de ter determinado o mais adequado para o ambiente.
  • Certifique-se de que o registo de eventos está configurado com a capacidade suficiente para manter os registos.
  • Efectue cópias de segurança dos ficheiros de registo regularmente, uma vez que não podem ser recriados se forem danificados ou eliminados.
  • Utilize o atributo RADIUS Class para controlar a utilização e simplificar a identificação do departamento ou utilizador ao qual imputa a utilização. Embora o atributo Class gerado automaticamente seja exclusivo para cada pedido, poderão existir registos duplicados nos casos em que se perca a resposta ao servidor de acesso e o pedido seja novamente enviado. Poderá ter de eliminar pedidos duplicados dos registos para controlar com precisão a utilização.
  • Para fornecer activação pós-falha e redundância com o registo do SQL Server, coloque dois computadores com o SQL Server em sub-redes diferentes. Utilize o assistente para criar publicações do SQL Server para configurar a replicação da base de dados entre dois servidores. Para mais informações, consulte a documentação do SQL Server 2002.

Pode utilizar a ferramenta lasparse.exe na pasta \Support\Tools no disco compacto do Windows Server 2003, Standard Edition, Windows Server 2003, Enterprise Edition, ou Windows Server 2003, Datacenter Edition, para visualizar os registos do IAS.

Para mais informações, consulte Início de Sessão por Acesso Remoto.

Optimizar o desempenho do IAS

  • Para optimizar os tempos de resposta de autenticação e autorização do IAS e minimizar o tráfego de rede, instale o IAS num controlador de domínio.
  • Quando são utilizados nomes principais universais (UPN, Universal Principal Name) ou domínios do Windows Server 2003, o IAS utiliza o catálogo global para autenticar os utilizadores. Para minimizar o tempo necessário para efectuar este procedimento, instale o IAS num catálogo global ou num servidor que pertença à mesma sub-rede. Para mais informações, consulte A função do catálogo global. Para mais informações sobre a funcionalidade de domínio, consulte Funcionalidade de domínio e floresta.
  • Quando tiver grupos de servidores RADIUS remotos configurados e, nas Políticas de Pedido de Ligação do IAS, desmarcar a caixa de verificação Registar informações de gestão de contas nos servidores no seguinte grupo de servidores RADIUS remotos que se segue, estes grupos irão continuar a receber mensagens de notificação de início e paragem do servidor de acesso à rede (NAS, network access server). Esta situação cria tráfego de rede desnecessário. Para eliminar este tráfego, desactive o reencaminhamento de notificações NAS para servidores individuais em cada grupo de servidores RADIUS remotos, desmarcando a caixa de verificação Reencaminhar para este servidor notificações de início e paragem do servidor de acesso à rede. Para mais informações, consulte Configurar as definições de autenticação e gestão de contas de um membro do grupo e Configurar gestão de contas.

Utilizar o IAS em grandes organizações

  • Se estiver a utilizar políticas de acesso remoto para restringir o acesso a alguns grupos, crie um grupo universal para todos os utilizadores, aos quais pretende que seja permitido o acesso e, em seguida, crie uma política de acesso remoto que conceda acesso a este grupo universal. Não coloque todos os utilizadores directamente no grupo universal, especialmente se existir um grande número de utilizadores na rede. Em alternativa, crie grupos separados que sejam membros do grupo universal e adicione utilizadores a esses grupos. Para mais informações sobre grupos universais, consulte Âmbito do grupo. Para mais informações sobre como restringir ou conceder acesso a um grupo, consulte Permitir a ligação de acesso telefónico utilizando os membros do grupo.
  • Sempre que possível, utilize um nome principal de utilizador para fazer referência a utilizadores. Um utilizador pode ter o mesmo nome principal de utilizador independentemente do domínio a que esteja associado. Esta procedimento proporciona a escalabilidade, que poderá ser necessária em organizações com um grande número de domínios.
  • Se o servidor IAS pertencer a um computador que não seja o controlador de domínio e receber um grande número de pedidos de autenticação por segundo, pode melhorar o desempenho aumentando o número de autenticações em simultâneo entre o servidor IAS e o controlador de domínio.
    Para efectuar este procedimento, edite a seguinte chave de registo: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters. Adicione um novo valor com o nome MaxConcurrentApi e atribua-lhe um valor entre 2 e 5.

Atenção

  • A edição incorrecta do registo poderá danificar gravemente o sistema. Antes de proceder a alterações ao registo, deverá efectuar cópias de segurança de todos os dados importantes no computador.

Notas

  • Se atribuir um valor a MaxConcurrentApi que seja demasiado elevado, o servidor IAS poderá colocar uma carga excessiva no controlador de domínio.
  • Para equilibrar, de forma eficaz, a carga de um grande número de autorizações ou do grande volume de tráfego de autenticação RADIUS (como, por exemplo, uma grande implementação sem fios utilizando a autenticação baseada em certificados), instale o IAS como servidor RADIUS em todos os controladores de domínio. Em seguida, configure dois ou mais proxies IAS para reencaminhar os pedidos de autenticação entre os servidores de acesso e os servidores RADIUS. Depois, configure os servidores de acesso para utilizarem os proxies IAS como servidores RADIUS. Para mais informações, consulte Utilizar o proxy IAS para balanceamento de carga.
  • Pode configurar o IAS no Windows Server 2003, Standard Edition, com um máximo de 50 clientes RADIUS e um máximo de 2 grupos de servidores RADIUS remotos. Pode definir um cliente RADIUS utilizando um nome de domínio totalmente qualificado ou um endereço IP, mas não pode definir grupos de clientes RADIUS especificando um intervalo de endereços IP. Se o nome de domínio totalmente qualificado de um cliente RADIUS for resolvido para vários endereços IP, o servidor IAS utiliza o primeiro endereço IP devolvido na consulta de DNS. Com o IAS no Windows Server 2003, Enterprise Edition, e Windows Server 2003, Datacenter Edition, pode configurar um número ilimitado de clientes RADIUS e grupos de servidores RADIUS remotos. Além disso, pode configurar clientes RADIUS especificando um intervalo de endereços IP.
Considera isto útil?
(1500 caracteres restantes)
Obrigado pelos seus comentários

Conteúdo da Comunidade

Adicionar
Mostrar:
© 2014 Microsoft. Todos os direitos reservados.