Windows Server 2003 安全性指南

第 10 章:IAS 伺服器角色

更新日期: 2006 年 7 月 17 日

本頁內容

概觀
稽核原則
使用者權利指派
安全性選項
事件記錄
其他安全性設定
使用 SCW 建立原則
總結

概觀

本章提出的建議與資源可協助您強化環境中執行 Microsoft Windows Server 2003 SP1 的網際網路驗證服務 (IAS) 伺服器。 IAS 是 Microsoft 實作的遠端驗證撥號使用者服務 (RADIUS) 伺服器與 Proxy,能夠集中管理使用者驗證、授權與帳戶處理。 在 Windows Server 2003、Windows NT® 4.0 或 Windows 2000 網域控制站上,IAS 可以用來驗証資料庫的使用者。 此外,IAS 還支援包括路由及遠端存取 (RRAS) 伺服器在內的多種網路存取伺服器 (NAS)。

RADIUS 隱藏機制使用 RADIUS 共用密碼、Request Authenticator 和 MD5 雜湊演算法,對使用者密碼和其他屬性進行加密,例如 Tunnel-Password 和 MS-CHAP-MPPE-Keys。 RFC 2865 提示評估威脅環境,並決定是否採取額外安全性措施的潛在需要。

本指南所述之設定均透過群組原則來進行設定和套用。 補充成員伺服器基準線原則 (MSBP) 的群組原則物件 (GPO),可以連結到含有 IAS 伺服器的適當組織單位 (OU),針對這個伺服器角色提供必要的安全性設定變更。 本章只討論與 MSBP 不同的原則設定。

在可能的情況下,這些設定會收集到準備套用到 IAS 伺服器 OU 的增量群組原則範本中。 本指南所述之部分設定無法透過群組原則來進行套用。 本指南還提供如何手動設定這些設定的詳細資訊。

適用於 EC 環境的基礎結構伺服器安全性範本名稱是 EC-Infrastructure Server.inf。 這個範本可以提供增量 IAS 伺服器範本的設定,讓您建立新的 GPO,連結到 IAS 伺服器 OU。 第 2 章《Windows Server 2003 強化機制》中提供逐步指示,協助您建立 OU 和群組原則,然後將適當的安全性範本匯入到每個 GPO 中。

如需 MSBP 中設定的相關資訊,請參閱第 4 章<成員伺服器基準線原則>。如需所有預設設定的相關資訊,請參閱同系列指南威脅與因應對策:Windows Server 2003 和 Windows XP 中的安全性設定 網址 http://go.microsoft.com/fwlink/?LinkId=15159。

注意:IAS 伺服器角色的設定規則僅在企業用戶端環境下測試。 因此,本文未討論本指南中針對大多數其他伺服器角色所指定的 DoS 攻擊資訊。

稽核原則

EC 環境中 IAS 伺服器的稽核原則設定,是透過 MSBP 所設定。 如需 MSBP 的更多資訊,請參閱第 4 章<成員伺服器基準線原則>。MSBP 設定可確保所有相關的安全性稽核資訊均記錄到組織中所有的 IAS 伺服器。

使用者權利指派

EC 環境中 IAS 伺服器的使用者權利指派,也是透過 MSBP 所設定。 如需 MSBP 的更多資訊,請參閱第 4 章<成員伺服器基準線原則>。MSBP 設定可確保全組織都能統一設定對 IAS 伺服器的適當存取權限。

安全性選項

EC 環境中 IAS 伺服器的安全性選項設定也是透過 MSBP 所設定。 如需 MSBP 的更多資訊,請參閱第 4 章<成員伺服器基準線原則>。MSBP 設定可確保全組織都能統一設定對 IAS 伺服器的適當存取權限。

事件記錄

EC 環境中 IAS 伺服器的事件記錄設定也是透過 MSBP 所設定。 如需 MSBP 的更多資訊,請參閱第 4 章<成員伺服器基準線原則>。

其他安全性設定

雖然透過 MSBP 所套用的安全性設定能大幅增強 IAS 伺服器的安全性,不過本節將討論幾點其他考量。 然而本節所提及的設定無法透過群組原則加以套用,因此必須在所有的 IAS 伺服器上手動執行。

保護已知帳戶

Windows Server 2003 SP1 有一些無法刪除但可以重新命名的內建使用者帳戶。 Windows Server 2003 內兩個最眾所皆知的內建帳戶是 Guest 和 Administrator。

在預設的情況下,Guest 帳戶在成員伺服器和網域控制站上,都是停用狀態。 此設定不得變更。 各種型態的惡意程式碼會先利用內建的 Administrator 帳戶來嘗試入侵伺服器。 因此,您應重新命名內建 Administrator 帳戶並修改其說明,以防攻擊者利用此已知帳戶對遠端伺服器進行攻擊。

此設定變更的值在過去幾年中已經降低,因為已有攻擊工具能透過指定內建 Administrator 帳戶的安全性識別元 (SID) 來判斷真實名稱,然後嘗試破解伺服器。 SID 是用於明確識別網路上每一個使用者、群組、電腦帳戶以及登入工作階段的一個值。 此內建帳戶的 SID 無法變更。 如果以唯一名稱重新命名了此 Administrator 帳戶,操作群組就能輕易監視對此帳戶的攻擊嘗試。

保護 IAS 伺服器中的已知帳戶

  • 將每個網域和伺服器的 Administrator 與 Guest 帳戶重新命名,並將密碼變更為一個更長、更複雜的值。

  • 每個伺服器都使用不同的名稱及密碼。 如果所有網域及伺服器上都使用相同的帳戶名稱與密碼,攻擊者在取得一個成員伺服器的存取權限之後,就能存取所有其他伺服器。

  • 將帳戶說明變更成不同於預設值的說明,以協助防止帳戶易於識破。

  • 在安全的地方記錄您所作的任何變更。

    注意:內建 Administrator 帳戶可透過群組原則重新命名。 本指南提供的所有安全性範本均未實作此原則設定,因為每個環境都必須為此帳戶選用唯一的名稱。 不過,您可以進行 [帳戶: 重新命名系統管理員帳戶] 設定,將 EC 環境中的 Administrator 帳戶重新命名。 這個原則設定是 GPO 安全性選項設定區段的一部分。

保護服務帳戶

除非絕對必要,否則切勿將服務設定成在網域帳戶的安全性內容下執行。 如果伺服器實體遭到破壞,網域帳戶密碼就會很容易透過傾印 LSA 機密而洩漏出去。 如需如何保護服務帳戶的詳細資訊,請參閱服務和服務帳戶安全性規劃指南 (英文),網址為:www.microsoft.com/technet/security/topics/serversecurity/serviceaccount/default.mspx。

使用 SCW 建立原則

若要部署必要的安全性設定,您必須使用安全性設定精靈 (SCW) 和本指南之下載版本中所包含的安全性範本來建立伺服器原則。

建立您自己的原則時,請務必略過 [登錄設定] 和 [稽核原則] 區段。 上述設定均為安全性範本針對您所選的環境所提供的設定。 您必須使用此方法,以確保範本所提供的原則元素優先於 SCW 所設定的原則元素。

您應該使用新安裝的作業系統來開始設定工作,以確保不會誤用之前設定的舊設定或軟體。 如有可能,請安裝在您用於部署的類似硬體,以儘量確保相容性。 新安裝的電腦稱為「參照電腦」。

在伺服器原則建立過程中,您可從偵測到的角色清單中移除檔案伺服器角色。 此角色通常是在不需要此角色的伺服器上設定,因此可將其視為一種安全性風險。 若要為需要檔案伺服器角色的伺服器啟用此角色,您可以套用本程序稍後的第二個原則。

建立 IAS 伺服器原則

  1. 在一台新的參照電腦上安裝 Windows Server 2003 SP1。

  2. 在新電腦上,透過 [控制台]、[新增/移除程式]、[新增/移除 Windows 元件] 來安裝「安全性設定精靈」元件。

  3. 將電腦加到網域中,這樣將會套用來自上層 OU 的所有安全性設定。

  4. 僅安裝和設定要在每個伺服器上共用此角色的強制應用程式。 例如,特定角色的服務、軟體和管理代理程式、磁帶備份代理程式,以及防毒或反間諜軟體公用程式。

  5. 啟動 SCW GUI,然後選取 [建立新原則],然後指向參照電腦。

  6. 確保偵測到的伺服器角色適用於您的環境:例如,[IAS 伺服器 (RADIUS)] 角色。

  7. 確保偵測到的用戶端功能適用於您的環境。

  8. 確保偵測到的系統管理選項適用於您的環境。

  9. 確定已偵測到基準線所需的任何其他服務,例如:備份代理程式或防毒軟體。

  10. 決定如何在環境中處理未指定的服務。 如要增強安全性,您可能要將此原則設定設為 [已停用]。 將此設定部署到生產網路中之前,應先對其進行測試。如果生產伺服器執行其他未複製到參照電腦上的服務,此設定可能會導致問題發生。

  11. 確定在 [網路安全性] 區段中未核取 [略過此區段] 核取方塊,然後按一下 [下一步]。 之前識別出的適當連接埠和應用程式已設定為 Windows 防火牆的例外狀況。

  12. 在 [登錄設定] 區段中,按一下 [略過此區段] 核取方塊,然後按一下 [下一步]。 這些原則設定會從提供的 INF 檔案中匯入。

  13. 在 [稽核原則] 一節中,按一下 [略過此區段] 核取方塊,然後按一下 [下一步]。 這些原則設定會從提供的 INF 檔案中匯入。

  14. 納入適當的安全性範本 (例如,EC-IAS Server.inf)。

  15. 以適當的名稱儲存原則 (例如,IAS Server.xml)。

使用 SCW 測試原則

建立並儲存原則之後,Microsoft 強烈建議您將原則部署到測試環境中。 在理想的情況下,您的測試伺服器會擁有與生產伺服器相同的硬體和軟體設定。 此方法可幫您找出並解決潛在的問題,例如,存在特定硬體裝置所需的非預期服務。

您有兩種測試原則的選擇。 您可以使用原生 SCW 部署功能,或透過 GPO 來部署此原則。

開始撰寫原則時,您應考慮使用原生 SCW 部署功能。 您可以使用 SCW 將原則一次推入單一伺服器中,或使用 Scwcmd 將原則推入一群伺服器中。 原生部署方式能讓您在 SCW 內輕易回復已部署的原則。 如果在測試過程中對原則進行多次修訂,則此功能就會變得非常實用。

經過測試的原則可以確保將此原則套用到目標伺服器之後,不會對其重要功能造成負面影響。 套用設定變更後,您應該開始確認電腦的核心功能。 例如,如果將伺服器設定為憑證授權單位 (CA),請確定用戶端可以要求和獲得憑證、下載憑證撤銷清單等。

確定原則設定後,您即可按照下列程序所示,使用 Scwcmd 將原則轉換成 GPO。

如需如何測試 SCW 原則的詳細資料,請參閱安全性設定精靈部署指南 (英文),網址為:www.microsoft.com/technet/prodtechnol/windowsserver2003/
library/SCWDeploying/5254f8cd-143e-4559-a299-9c723b366946.mspx 安全性設定精靈說明文件 (英文),網址為:http://go.microsoft.com/fwlink/?linkid=43450。

轉換和部署原則

徹底測試原則之後,請完成下列步驟將原則轉換成 GPO 中並進行部署:

  1. 在命令提示字元中,輸入下列命令:


    scwcmd transform /p:<PathToPolicy.xml> /g:<GPODisplayName>
    

    然後按下 ENTER。 例如:


    scwcmd transform /p:"C:\Windows\Security\msscw\Policies\IAS 
    Server.xml" /g:"IAS Policy"
    

    注意:由於版面限制,所以此處所提供的命令提示字元的輸入資訊,呈現出多行的情況。 實際上,所有資訊應輸入於同一行。

  2. 使用「群組原則管理主控台」將新建立的 GPO 連結至適當的 OU。

請注意,如果 SCW 安全性原則檔案包含 Windows 防火牆設定,則您必須在本機電腦上啟用 Windows 防火牆,才能成功完成此程序。 若要確認是否已啟用 Windows 防火牆,請開啟 [控制台],然後連按兩下 [Windows 防火牆]。

此時,您應執行最後測試,以確定 GPO 套用了所需的設定。 若要完成此程序,請確認已完成適當的設定,並且功能未受影響。

總結

本章所解說的設定,可以用來強化在本指南所定義的「企業用戶端」環境中,執行 Windows Server 2003 SP1 的 IAS 伺服器。 這些設定也可用在本指南定義的其他環境中,但尚未經過測試與驗證。 這些設定是透過專為補充 MSBP 而設計的群組原則物件 (GPO) 所配置與套用。 GPO 可以連結到您組織中含有 IAS 伺服器的適當組織單位 (OU),以提供更多的安全保護。

其他資訊

下列連結提供的各個主題,有助於強化執行 Windows Server 2003 SP1 的 IAS 伺服器。

  • 如需 IAS 的更多資訊,請參閱瞭解 IAS (英文) 網頁,網址 www.microsoft.com/technet/prodtechnol/windowsserver2003/library/
    ServerHelp/ab4eeeb2-b0aa-4b4a-a959-3902b2b3f1af.mspx。

  • 如需 IAS 與安全性的更多資訊,請參閱網際網路驗證服務 (英文) 網頁,網址 www.microsoft.com/technet/prodtechnol/windowsserver2003/library/
    ServerHelp/d98eb914-258c-4f0b-ad04-dc4db9e4ee63.mspx。

  • 如需 IAS、防火牆與 Windows Server 2003 的更多資訊,請參閱 IAS 與防火牆 (英文) 網頁,網址 www.microsoft.com/technet/prodtechnol/windowsserver2003/library/
    ServerHelp/518e70a9-9e7a-422b-a13f-f3193d4fd215.mspx。

  • 如需 RADIUS 的更多資訊,請參閱備忘錄遠端驗證撥號使用者服務 (RADIUS) (英文) 網頁,網址 http://www.ietf.org/rfc/rfc2866.txt。


下載

取得 Windows Serve 2003 安全性指南

更新通知

註冊以瞭解更新和新版本

意見

請將您的意見或建議傳送給我們



顯示: