第 8 章:實作 RADIUS 基礎結構

發佈日期: 2004 年 11 月 10 日|更新日期: 2005 年 5 月 26 日


本頁內容

簡介
RADIUS 基礎結構規劃工作表
建置伺服器
安裝和設定 IAS
設定主要 IAS 伺服器
將設定部署到多個 IAS 伺服器中
總結

簡介

本章提供詳細指南,指導您如何根據 Microsoft® Windows Server™ 2003 的網際網路驗證服務 (IAS) 為無線區域網路(WLAN) 的安全性建置 RADIUS (遠端驗證撥號使用者服務) 基礎結構。本指南包括 RADIUS 伺服器的安裝與設定、Active Directory® 目錄服務的準備,以及 IAS 伺服器設置的設定。RADIUS 基礎結構將會在下一章中使用,以建置完整的無線區域網路解決方案。

本章針對第 5 章<為無線區域網路安全性設計 RADIUS 基礎結構>中所述的 RADIUS 設定,提供相關的實作指南。本章對 RADIUS 一般概念不作解釋,也不會具體說明 IAS 如何實作 RADIUS 通訊協定。

本章是 RADIUS 和 WLAN《規劃指南》及《作業指南》的附加說明。《規劃指南》會說明本章為何選擇特定實作決策;《作業指南》則說明成功維護 RADIUS 基礎結構所需進行的工作與程序。如果您尚未閱讀規劃章節,強烈建議您先加以閱讀後再繼續讀本章。您還需要閱讀並瞭解作業章節中所述的支援需求實作方法,然後再用本章中所述的方法實作 RADIUS 基礎結構。

本章先決條件

本節包含檢查清單,可協助您確保貴組織已準備就緒,可以實作 RADIUS 基礎結構 (這裡的「準備就緒」指的是邏輯概念,而非商業概念,實作此解決方案的商業動機已在之前的《規劃指南》中討論過)。

知識先決條件

您應該要熟悉 RADIUS 和 IAS 的概念。在以下情況中,您還必須熟悉 Windows 2000 Server 或 Windows Server 2003:

  • 安裝 Microsoft Windows® 作業系統。

  • Active Directory 概念 (包括 Active Directory 結構和工具;操作使用者、群組及其他 Active Directory 物件;群組原則的使用)。

  • Windows 系統安全性;安全概念,如使用者、群組及稽核;存取控制清單 (ACL);使用安全性範本;使用群組原則或命令列工具的安全性範本。

  • 瞭解批次檔指令碼。瞭解 Windows Scripting Host 和 Microsoft Visual Basic® Scripting Edition (VBScript) 語言有助您對提供的指令碼有最大程度的瞭解,但並非必需。

閱讀本章之前,您應該先閱讀第 5 章<為無線區域網路安全性設計 RADIUS 基礎結構>,並完全瞭解本解決方案的架構及設計。

組織先決條件

您應該諮詢貴組織中實作本解決方案的其他相關人員,如:

  • 商業贊助方。

  • 安全人員和稽核人員。

  • Active Directory 工程、管理及操作人員。

  • DNS (網域名稱系統) 與網路工程、管理及操作人員。

IT 基礎結構先決條件

本章假設現有 IT 基礎結構滿足以下條件:

  • 已部署 Windows Server 2003 Active Directory 網域基礎結構。在本解決方案中,RADIUS 基礎結構的所有使用者必須是同一 Active Directory 樹系中的網域成員。

    附註:如需更多有關舊版 Microsoft Windows 功能的資訊,請參閱附錄 A<Windows 版本支援對照表>。

  • 本解決方案不包含整合到現有 RADIUS 基礎結構中的指南,但搭配現有 RADIUS 基礎結構進行部署是可能的。

  • 具有能夠執行 Windows Server 2003 IAS 的伺服器硬體。本指南亦提供建議設定。

  • 具有 Windows Server 2003 標準版與企業版的授權、安裝媒體以及產品金鑰。

本章概觀

下圖顯示建置 RADIUS 基礎結構的程序,如本章所詳述。

圖 8.1 RADIUS 基礎結構建置程序圖

圖 8.1 RADIUS 基礎結構建置程序圖

上述步驟與本章中的結構相對應,並將於下列清單中說明。每個步驟均由安裝/設定工作以及一個或多個驗證程序所組成,以便您檢查剛才完成的操作,然後繼續下一個步驟。

  • IAS 規劃工作表。列出本章中用來安裝和設定 IAS 的設定資訊, 其中還包含開始實作之前必須提供的資訊表。

  • 建置伺服器。說明如何選取並設定硬體、安裝 Windows Server 2003,以及安裝選用元件。還說明如何建置 Active Directory 管理安全性群組、如何為委派管理工作設定正確的權限,以及如何套用安全性範本來實作作業系統級安全作業。使用的範本來自《Windows Server 2003 安全性指南》(英文)。有關如何取得該指南的資訊,可在本章的結尾處找到。本節還列出完成伺服器基本安裝的一些必要工作。

  • 安裝和設定 IAS。討論準備步驟、軟體安裝以及 IAS 的設定操作,包括建置 IAS 資料目錄及保護其安全。

  • 設定主要 IAS 伺服器。說明如何設定主要 IAS 伺服器,以便作為環境中其他類似角色 的 IAS 伺服器的設定範本。還說明如何匯出 IAS 設定,以供其他 IAS 伺服器使用。執行更複雜的設定後,後續章節中還會繼續用到此程序。

  • 設定次要 IAS 伺服器。說明如何設定次要 IAS 伺服器,以便與 RADIUS 伺服器組中的主要 IAS 伺服器搭配,提供容錯彈性及負載平衡功能。還說明如何匯入主要 IAS 設定,以供自動部署使用。執行更複雜的設定後,後續章節中還會繼續用到此程序。

  • 設定分公司 IAS 伺服器。說明如何設定選用的分公司 IAS 伺服器,以用作分散式環境的範例,還說明如何匯入主要 IAS 設定,以供自動部署使用。執行更複雜的設定後,後續章節中還會繼續用到此程序。


RADIUS 基礎結構規劃工作表

以下表格列出本解決方案所用的設定參數。您應將這些表格作為計劃決策的檢查清單。

這些表格中的許多參數需要手動設定,如本章說明程序中所述。其他參數是由某個程序中執行的指令碼所設定,或是由指令碼參照,才能完成其他一些設定或操作工作。

附註:《建置指南》中所使用的指令碼在指令碼隨附的 ToolsReadme.txt 檔案中有更詳細的說明。

使用者定義的設定項目

下表列出虛擬 Woodgrove Bank 公司適用的參數。開始安裝程序之前,應確定已收集或決定貴組織與下表所有項目相關的設定。本章此處所顯示的虛構值將用於提供的命令範例。您應使用適合貴組織的值來加以取代。需要您用合適值取代的位置會以斜體表示。

表 8.1:使用者定義的設定項目

設定項目

設定

Active Directory 樹系根網域的 DNS 名稱

woodgrovebank.com

網域的 NetBIOS (網域基本輸入/輸出系統) 名稱

WOODGROVEBANK

主要 IAS 伺服器的伺服器名稱

HQ-IAS-01

次要 IAS 伺服器的伺服器名稱

HQ-IAS-02

次要 IAS 伺服器的伺服器名稱

BO-IAS-03

解決方案指定的設定項目

特定安裝時,除非您必須使用不同於解決方案設計的特定設定,否則不必變更這個表格所指定的設定。您可以變更此處指定的設計參數,但請注意變更後的作業結果會不同於經過測試的解決方案。確定您完全瞭解變更設定的影響及設定的相依性,再變更設定程序的值或所提供指令檔的值。

表 8.2:解決方案指定的設定項目

設定項目

設定

[帳戶] 控制 IAS 設定之管理群組的完整名稱

IAS 系統管理員

[帳戶] 控制 IAS 設定之管理群組在 Windows 2000 之前版本中的名稱

IAS 系統管理員

基於安全性理由而檢閱 IAS 驗證和帳戶之要求記錄檔的群組完整名稱。

IAS 安全性稽核員

[帳戶] Windows 2000 之前版本中的群組名稱,會基於安全理由而檢閱 IAS 驗證和帳戶的要求記錄檔。

IAS 安全性稽核員

[指令碼] 安裝指令碼的路徑

C:\MSSScripts

[指令碼] IAS 設定匯出批次檔

IASExport.bat

IAS 設定匯入批次檔案

IASImport.bat

[指令碼] IAS RADIUS 用戶端設定匯出批次檔

IASClientExport.bat

[指令碼] IAS RADIUS 用戶端設定匯入批次檔

IASClientImport.bat

[設定] 設定備份檔案的路徑

D:\IASConfig

[要求日誌] IAS 驗證及稽核要求日誌的位置

D:\IASLogs

[要求記錄檔] RADIUS 要求記錄檔的共用名稱

IASLogs

準備 IAS

此解決方案包含兩個位於中心位置的 IAS 伺服器,這些伺服器設定為 RADIUS 伺服器,用於 WLAN 的存取控制。此解決方案也包含選用的分部 IAS 伺服器,這些伺服器設定為 RADIUS 伺服器,用於需要分散式基礎結構的環境中。如需更多有關放置 IAS 伺服器的資訊,請參閱第 5 章<為無線區域網路安全性設計 RADIUS 基礎結構>。

在安裝 IAS 之前,必須先完成一些準備工作,包括:

  • 設定伺服器硬體。

  • 安裝伺服器作業系統軟體。

  • 準備 Active Directory。

  • 執行伺服器安全強化工作。


建置伺服器

以下章節說明建置伺服器的步驟。雖然您可單獨建置每個伺服器,但必須確保在每個伺服器上都完成所有步驟。

指定伺服器硬體

IAS 伺服器硬體應從網站 Windows Server 2003 硬體相容性清單 (HCL)中選取。從 Windows Server 2003 HCL 中選取伺服器硬體,有助於避免因使用未經測試的硬體或編寫不佳的裝置驅動程式,而引發可靠性和相容性的問題。如需更多有關 Windows Server 2003 HCL 的資訊,請參閱本章結尾的<其他資訊>一節。

經測試的伺服器硬體規格

在實驗室環境下測試此解決方案時,所使用的硬體規格如下。這些硬體規格僅供參考,並非強制使用的規格。如需有關 IAS 伺服器硬體需求的進一步資訊,請參閱第 5 章<為無線區域網路安全性設計 RADIUS 基礎結構>。

表 8.3:經過測試的伺服器硬體規格

資源

需求

CPU

雙 CPU 850–MHz 或以上。

記憶體 (Memory)

512 MB。

網路介面

2 個同時使用的單一網路介面卡 (NIC),以提供恢復功能。

磁碟儲存

IDE (整合式電子裝置) 或 SCSI (小型電腦系統介面) RAID (獨立磁碟容錯陣列) 控制器。

2 x 9 GB (SCSI 或 IDE) 設定為 RAID 1 磁碟區 (磁碟機 C)。

2 x 18 GB (SCSI 或 IDE) 設定為 RAID 1 磁碟區 (磁碟機 D)。

如果沒有網路備份設備,則需可從本機上移除的媒體儲存裝置 (供備份使用的 CD-RW 或磁帶)。

1.44 MB 磁碟機供資料傳輸用。

準備硬體

根據硬體廠商的建議完成所有硬體設定。這類設定可能包括向廠商取得並套用最新的 BIOS (基本輸入/輸出系統) 和韌體更新。

使用隨硬體提供的磁碟控制卡管理軟體,來建立前面表格中所述的 RAID 1 磁碟區。

安裝 Windows Server 2003

本節說明如何在 IAS 伺服器上安裝 Windows Server 2003。許多組織已經擁有自動安裝伺服器的程序。您可以使用現有的程序來建置伺服器,但建置過程中必須包含以下程序所用的參數。如需更多有關使用 Windows Server 2003 標準版或 Windows Server 2003 企業版的資訊,請參閱第 5 章<為無線區域網路安全性設計 RADIUS 基礎結構>。

請執行下列步驟,以在其中一個 IAS 伺服器上安裝 Windows Server 2003。

安裝 Windows Server 2003

  1. 請確定伺服器 BIOS 中已將 CD-ROM 設定為可開機裝置。將 Windows Server 2003 CD 放入光碟機,然後重新啟動電腦。

  2. 在主磁碟區上建立一個磁碟分割,將其格式化為 NTFS 檔案系統 (NTFS),然後選取在該磁碟分割上安裝 Windows 的選項。

  3. 選取適當的區域設定。

  4. 鍵入用來註冊 Windows 的名稱和公司資訊。

  5. 為本端管理者帳戶鍵入一個增強式密碼 (至少 10 個字元,且為大寫字體和小寫字體的字母、數字,及標點字元的混合)。

  6. 出現系統提示時,鍵入電腦名稱 (用您的電腦名稱取代此值):

    • 主要 IAS:HQ-IAS-01

    • 次要 IAS:HQ-IAS-02

    • 分公司 IAS:BO-IAS-03

  7. 出現系統提示時,選取選項以加入網域。輸入伺服器將加入的 Active Directory 網域的名稱:WOODGROVEBANK (用您安裝 RADIUS 伺服器的網域名稱取代此值)。出現系統提示時,輸入使用者憑證 (此使用者必須有權限可將電腦加入此網域)。

    附註:對於多樹系網域,IAS 伺服器一般都會安裝在樹系根網域下,使 Kerberos 的操作達到最佳化。雖然此設定並非必須,但本解決方案仍以此設定作為假設前提。

  8. 請勿安裝任何選用元件。

    電腦會在主要安裝程序結束後重新啟動。繼續執行下列步驟。

  9. 安裝目前所有 Service Pack、重大更新及需要的所有其他更新。

  10. 將字母 R 重新分派給 CD-ROM/DVD 磁碟機。

  11. 在第二個硬式磁碟的磁碟區上建立一個磁碟分割,並將其指定為磁碟機 D,然後將其格式化為 NTFS 格式。

  12. 啟動 Windows 的複本。

網路設定

IAS 伺服器具有單一網路介面 (雖然需要同時使用兩個實體 NIC 來實作此設定,以增加其恢復能力)。網路介面應以固定的網際網路通訊協定 (IP) 位址和其他適用於您網路的 IP 設定參數 (例如,預設閘道和 DNS 設定) 來進行設定。

檢驗安裝

您應該驗證作業系統的安裝是否正確完成,以及設定的參數是否與預期的一致。

檢視目前的系統設定

  1. 在命令提示字元中執行 systeminfo 程式。

  2. 驗證以下系統資訊輸出項目 (此處為求簡明,已省略部分的輸出詳細資訊):

    主機名稱: HQ-IAS-01

    作業系統名稱: Microsoft® Windows® Server 2003, Enterprise Edition

    ...

    作業系統設定: 成員伺服器

    註冊的擁有者: 您的擁有者姓名

    登記的公司: 您的擁有者公司

    ...

    Windows 目錄: C:\WINDOWS

    系統目錄: C:\WINDOWS\System32

    開機裝置: \Device\HarddiskVolume1

    系統地區設定: 您的系統地區設定

    輸入法地區設定: 您的輸入法地區設定

    時區: 您的時區

    ...

    網域: woodgrovebank.com

    登入伺服器: \\網域控制站名稱

    Hotfix: 已安裝 X Hotfix。

                               [01]: Qxxxxxx

    ...

                               [nn]: Qnnnnnn

    網路卡: 已安裝 1 NIC。

    [01]: 網路卡型號與廠商 

    連線名稱: 區域連線

    啟用 DHCP :    否

    IP address(es)

    [01]: xxx.xxx.xxx.xxx

  3. 如果這些設定與預期不相符,則應透過 [控制台] 重新設定伺服器,或重新執行安裝。

安裝設定指令碼至伺服器

本解決方案還提供許多支援指令碼和設定檔,有助於簡化解決方案的某些設定和操作。您必須將它們安裝到每一部伺服器上。第 12 章<管理 RADIUS 和 WLAN 安全性基礎結構>中所述的操作還會用到上述部分指令碼,因此請勿在完成 RADIUS 伺服器安裝後刪除上述指令碼。

在每一個伺服器上安裝設定指令碼

  1. 建立名為 C:\MSSScripts 的資料夾。

  2. 將指令碼從發佈媒體複製到此資料夾中。

檢查 Service Pack 和安全性更新

此時,您應該重新檢查已安裝的 Service Pack 和安全性更新清單。使用諸如 Microsoft Baseline Security Analyzer (MBSA) 等工具執行檢查,並取得所需更新。適當測試後,在伺服器中安裝更新。

如需更多有關 MBSA 的資訊,請參閱本章結尾的<其他資訊>一節。

安裝其他軟體

本節說明如何在 IAS 伺服器上安裝其他必要的軟體。

CAPICOM

執行本解決方案中所提供的某些設定和管理指令碼時,RADIUS 伺服器上必須有 CAPICOM 2.0。如需有關取得最新版 CAPICOM 的資訊,請參閱本章結尾處<其他資訊>一節。

請遵循自行解壓縮執行檔中的指示,安裝並註冊 CAPICOM 動態連結程式庫 (DLL),然後再繼續依指南操作。

驗證網路和 Active Directory 連線

IAS 必須依賴 Active Directory 的正確網路設定和連線才能運作。因此,在部署 IAS 之前,建議您先在伺服器上執行網路診斷。

您可以使用 Windows Server 2003 支援工具 (可在 Windows Server 2003 CD 中找到) 中的 Netdiag.exe 公用程式來執行網路診斷。執行以下命令可解壓縮 Netdiag.exe:

expand r:\support\tools\support.cab –f:netdiag.exe c:\mssscripts

完成後,鍵入以下命令來執行公用程式:

C:\mssscripts\netdiag.exe

請務必檢查畫面顯示的任何錯誤或警告。

驗證網域功能層級

控制網路存取的慣用模型為:針對 Active Directory 內的使用者帳戶,使用 [透過遠端存取原則來控制存取] 設定。[透過遠端存取原則來控制存取] 設定只有當 Active Directory 在 Windows 2000 原生模式 (或更新版本) 中執行時才可使用。因此,您應該在 IAS 上部署遠端存取原則 (RAP) 之前,檢查網域功能層級。

您可以透過檢視 Active Directory Domains 和 Trusts 工具中的網域屬性,來檢查網域功能層級。如果 IAS 的目標網域設定為 Windows 2000 混合模式,請聯絡相應的 Active Directory 管理者,以進行規劃,遷移至原生模式。

有關此主題的詳細資訊,請參閱本章結尾<其他資訊>一節。

設定 Active Directory 安全性群組

IAS 是網路安全性基礎結構的一部分, 因此應該嚴格控制對 IAS 設定和記錄檔的存取。您可以結合 Active Directory 通用群組和 Windows Server 2003 本機群組,用以實作所需的存取控制。

建立 IAS 管理群組

以網域系統管理員身份執行下列指令碼,來建立 IAS 管理安全性群組:

Cscript //job:CreateIASGroups C:\MSSScripts\IAS_Tools.wsf

此指令碼會建立下列安全性群組,作為網域通用群組:

  • IAS 系統管理員

  • IAS 安全性稽核員

在多網域樹系中,這些群組應與 IAS 伺服器建立在同一個網域中。

附註:組織的系統管理員若分佈在多個網域中,應考慮使用萬用群組,而不是此處建立的通用群組。您可以使用下一章建立 [遠端存取原則 – 無線存取] 群組所用的語法 (請參閱第 9 章中的<建立 WLAN 存取所需的 Active Directory 群組>),對建立安全性群組的指令碼進行輕鬆的修改。

設定 IAS 系統管理員群組

IAS 是 Windows Server 2003 作業系統的核心元件,必須具有本機系統管理員安全性群組的成員資格,才能執行 IAS 設定工作。

您必須將 IAS 管理網域通用群組新增到各 IAS 伺服器上的本機系統管理員群組中。如果網域控制站中已安裝 IAS,則必須使用 Active Directory 使用者和電腦 Microsoft Management Console (MMC) 嵌入式管理單元,將 IAS 系統管理員新增到網域的系統管理員群組中。

警告:新增群組到內建系統管理員網域群組中,將嚴重影響到安全。如需更多資訊,請參閱第 5 章<為無線區域網路安全性設計 RADIUS 基礎結構>中關於如何在網域控制站上共置 IAS 的說明。

您應以適當管理人員的帳戶填入 [IAS 系統管理員] 與 [IAS 安全性稽核員] 群組。如需有關這些群組如何等同於 IAS 管理角色的完整說明,請參閱第 5 章<為無線區域網路安全性設計 RADIUS 基礎結構>中關於管理權限規劃的說明。

本文件其餘內容中的設定程序都要求使用 [IAS 系統管理員] 群組中的帳戶。

保護 IAS 的 Windows Server 2003

在必要情況下,您必須採用其他措施,以防他人未經授權存取 IAS 伺服器。IAS 伺服器是貴組織安全基礎結構的核心部分,您應該以如同處理防火牆與其他安全存取基礎結構般的態度,謹慎處理 IAS 伺服器。

實體安全性

您應將 IAS 伺服器放置在嚴格控制人員進出的位置。這些伺服器必須持續處於線上狀態,因此應該置於具有一般電腦伺服器室內設備 (例如,溫度控制、空氣過濾和滅火能力) 之處。

請儘量將伺服器置於不受火災、洪水等外界威脅破壞的位置。

另一重點則是針對備份、文件和其他設定資料,控制其實體存取並確保其實體安全。上述資訊應與伺服器分開存放。

在伺服器上套用系統安全性設定

您可以使用《Windows Server 2003 安全性指南》中所定義的 IAS 伺服器角色,來確保 IAS 伺服器的安全。如需更多有關本指南和安全性範本下載位置的資訊,請參閱本章結尾處<其他資訊>一節。

由於 IAS 伺服器屬於網域成員,因此可以使用基於網域的群組原則來套用安全性原則設定。您必須建立一個合適的組織單位 (OU) 結構來套用安全性設定,該結構包含 IAS 伺服器電腦物件和「群組原則物件 (GPO)」結構。對於在專用伺服器上執行的 IAS 伺服器 (即並未安裝在網域控制站上),必須為其建立兩個 GPO:

  • 企業用戶端 – 成員伺服器基線

  • 企業用戶端 – 網際網路驗證服務

當您閱讀第 5 章<為無線區域網路安全性設計 RADIUS 基礎結構>之後,可決定在網域控制站上執行部分或所有的 IAS 伺服器。由於強化網域控制站的程序非常複雜,本文件不說明如何套用網域控制站範本。《Windows Server 2003 安全性指南》中包含網域控制站的範本,可執行類似於成員伺服器基線原則的鎖定功能。請先閱讀《Windows Server 2003 安全性指南》並估計對網域用戶端及應用程式可能會造成的影響,然後再將 [網域控制站] 安全性範本套用到現有的網域控制站中。

如果要在 IAS 和網域控制站組合伺服器中使用 [企業用戶端 – 網域控制站] 安全性範本,您還必須在電腦中套用 [企業用戶端 – IAS 伺服器] 安全性範本, 此範本將會套用可啟用 IAS 服務的其他設定 ([企業用戶端 – 網域控制站] 範本中已停用 IAS 伺服器)。若要套用此範本,您應該建立一個額外的 GPO,以套用到位於「網域控制站 OU」下的一個新的子 OU 中:

  • 企業用戶端 – 網域控制站中的 IAS

您應該執行以下程序,將 [企業用戶端 – IAS 伺服器] 範本匯入到此 GPO。此程序說明如何建立 OU 與 GPO。其中的 GPO 和 OU 名稱僅為範例,您應將此程序修改為使用您自己的網域 OU 和 GPO 標準。

建立 IAS 伺服器 OU 和 GPO

  1. 請從《Windows Server 2003 Security Guide》(英文) 中,取得以下的安全性範本:

    • 企業用戶端 – 網域

    • 企業用戶端 – 成員伺服器基線

    • 企業用戶端 – IAS 伺服器

    • 企業用戶端 – 網域控制站

  2. 以 [網域系統管理員] 成員的身分登入,或以具有建立 OU 權限的使用者身分登入 (如步驟 4 中所述)。您還必須是 [網域系統管理員] 或 [群組原則建立者擁有者] 群組的成員才能建立 GPO。

  3. 開啟 Active Directory 使用者及電腦 MMC 嵌入式管理單元。

  4. 建立以下 OU 結構:

    woodgrovebank.com

    - 成員伺服器

    - IAS

    - 網域控制站

    - 擁有 IAS 的網域控制站

    警告:步驟 5 至 7 會將設定本機帳戶原則的網域原則套用至網域中的所有電腦。您應該檢查 [企業用戶端 – 網域] 安全性範本中的設定。與其套用至整個網域,建議您將此 GPO 連結至 IAS OU,以便將其範圍限制為僅套用 IAS 伺服器。

  5. 開啟網域容器的內容。在 [群組原則] 索引標籤上,按一下 [新增],以建立一個新的 GPO,再將其命名為 [網域原則]。

  6. 編輯該 GPO,並瀏覽至 [Computer Configuration\Windows Settings\Security Settings]。在 [安全性設定] 資料夾上按一下滑鼠右鍵,再按一下 [匯入]。瀏覽至 Enterprise Client – Domain.inf 檔案,並將其選取為要匯入的範本。

  7. 關閉 GPO。

  8. 針對以下表格中的 OU、GPO,和安全性範本的組合,重複上述的三個步驟。(這三個 GPO 僅會影響 IAS 伺服器,因此之前的警告不適用於此處。)

    表 8.4:群組原則物件和位置

    OU

    GPO

    安全性範本

    成員伺服器

    企業用戶端 – 成員伺服器基線

    Enterprise Client – Member Server Baseline.inf

    IAS

    企業用戶端 – 網際網路驗證服務

    Enterprise Client – IAS Server.inf

    擁有 IAS 的網域控制站

    企業用戶端 – 網域控制站中的 IAS

    (IAS 在網域控制站中時可選用)

    Enterprise Client – IAS Server.inf


建立 GPO 並匯入範本後,您必須在 GPO 中自訂設定,並遵循以下程序將其套用至 IAS 伺服器電腦。

自訂和套用企業用戶端 – 網際網路驗證服務 GPO

  1. 在 [Active Directory 使用者和電腦] 中,編輯 [企業用戶端 – 網際網路驗證服務 GPO]。在 [Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options] 中,根據您組織的安全性標準變更以下項目:

    • 帳戶: 重新命名系統管理員帳戶:新系統管理員名稱

    • 帳戶: 重新命名來賓帳戶名稱:新來賓名稱

    • 互動式登入: 給登入使用者的訊息本文:法律注意事項文字

    • 互動式登入: 給登入使用者的訊息標題:法律注意事項標題

  2. 在 [本機原則\使用者權限指派] 中,將以下的本機和網域群組新增至 [允許本機登入] 權限:

    • (local) Administrators

    • (local) Backup Operators

    • (domain) IAS Security Auditors

  3. 在 [系統服務] 資料夾中,開啟下列服務內容,並按一下 [定義範本內的這個原則設定]。按一下 [確定],以接受預設權限。將 [設定服務啟動模式] 的值設定為 [自動]

    • Removable Storage

    • Volume Shadow Copy

    • MS Software Shadow Copy Provider

    • 工作排程器

    附註:在成員伺服器基線安全性範本中,這些服務是停用的。但 NTBackup.exe 必須使用前三個服務。有些操作指令碼需要「工作排程器」服務。

  4. 將 IAS 伺服器電腦帳號移動至 IAS OU。

  5. 在 IAS 伺服器上,執行 gpupdate 命令,將 GPO 設定套用至電腦。

    附註:《Windows Server 2003 安全性指南》中包含這些安全性設定的詳細資訊。請參閱本章結尾的<其他資訊>一節,以瞭解如何取得本指南的資訊。

自訂並套用企業用戶端 – 網域控制站 GPO 中的 IAS

  1. 在 [Active Directory 使用者和電腦] 中,編輯 [企業用戶端 – 網域控制站 GPO 中的 IAS]。在 [Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options] 中,根據您組織的安全性標準變更以下項目:

    • 帳戶: 重新命名系統管理員帳戶:新系統管理員名稱

    • 帳戶: 重新命名來賓帳戶名稱:新來賓名稱

    • 互動式登入: 給登入使用者的訊息本文:法律注意事項文字

    • 互動式登入: 給登入使用者的訊息標題:法律注意事項標題

  2. 在 [本機原則\使用者權限指派] 中,將以下的本機和網域群組新增至 [允許本機登入] 權限:

    • (Builtin) Administrators

    • (Builtin) Backup Operators

    • (domain) IAS Security Auditors

  3. 在 [系統服務] 資料夾中,開啟下列服務內容,並按一下 [定義範本內的這個原則設定]。按一下 [確定],以接受預設權限。將 [設定服務啟動模式] 的值設定為 [自動]。

    • Removable Storage

    • Volume Shadow Copy

    • MS Software Shadow Copy Provider

    • 工作排程器

      附註:在成員伺服器基線安全性範本中,這些服務是停用的。但若要執行 NTBackup.exe,則必須使用前三個服務。有些操作指令碼需要「工作排程器」服務。

  4. 將 IAS 伺服器電腦帳戶移動至具有 IAS OU 的網域控制站。

  5. 在 IAS 伺服器上,執行 gpupdate 命令,將 GPO 設定套用至電腦。

    附註:《Windows Server 2003 安全性指南》中包含這些安全性設定的詳細資訊。請參閱本章結尾的<其他資訊>一節,以瞭解如何取得本指南的資訊。

檢驗安全性設定

若要檢驗是否正確套用安全性設定,請執行下列步驟。

檢驗 IAS 伺服器安全性設定

  1. 檢查來自 SceCli 原始檔之事件的應用程式事件記錄。在 gpupdate 命令後,應該會有一個事件 ID 1704。該事件的文字應該如下所示:

    已成功套用群組原則物件中的安全性原則。

  2. 重新啟動伺服器,檢查是否所有應該執行的服務均已啟動,且系統事件日誌中沒有記錄任何錯誤。

  3. 您應該可以登入並看到法律注意事項。

設定終端機服務安全性

您應該使用終端機服務來排定變更 RADIUS 用戶端所用的密碼 (RADIUS 密碼)。終端機服務流量加密能夠有效保護跨網路傳遞的 RADIUS 密碼。

重要:使用其他方法 (例如,使用 Telnet 或其他簡單的遠端執行工具) 在網路上設定或更改 RADIUS 用戶端密碼時,請務必使用網際網路通訊協定安全性 (IPsec) 或其他適當的技術來保護傳輸中的資訊。

以下終端機服務設定應在 [企業用戶端 – 網域控制站 GPO 中的 IAS] 以及套用至 IAS 伺服器的 [企業用戶端 – 網際網路驗證服務 GPO] 中進行設定。

表 8.5:在 [電腦設定\系統管理範本\Windows 元件\終端機服務] 中設定的設定值

路徑

原則

設定

 

拒絕登出的系統管理員登入主控台工作階段

啟用

 

不允許本端系統管理員自訂權限

啟用

 

為終端機服務使用者工作階段的遠端控制設定規則

不允許遠端控制

用戶端\伺服器資料重新導向

允許時區重新導向

停用

 

不允許剪貼簿重新導向

啟用

 

允許音訊重新導向

停用

 

不允許 COM 連接埠重新導向

啟用

 

不允許用戶端印表機重新導向

啟用

 

不允許 LPT 連接埠重新導向

啟用

 

不允許磁碟重新導向

啟用

 

不要將預設的用戶端印表機設定成工作階段的預設印表機

啟用

加密和安全性

設定用戶端連線加密等級

 

連線時自動提示用戶端輸入密碼

啟用

加密和安全性\RPC 安全性

安全伺服器 (要求安全性)

啟用

工作階段

為中斷的工作階段設定時間限制

10 分鐘

 

只允許從原始用戶端重新連線

啟用


任何要求對 IAS 伺服器進行終端機服務存取的網域帳戶或安全性群組,都必須新增到本機的「遠端桌面使用者」群組 (除非其已是本機「系統管理員」群組的成員)。

其他 Windows 設定工作

貴組織的基礎結構和標準,可能還會讓您必須進行其他設定工作。例如:

  • 啟用備份或安裝備份代理程式。

  • 設定 [簡單網路管理協定 (SNMP)] 或 [Windows Management Instrumentation (WMI)] 選項。

  • 安裝管理代理程式,例如 Microsoft Operations Manager (MOM) 或 Microsoft Systems Management Server (SMS) 用戶端元件。

  • 安裝防毒軟體。

  • 安裝入侵檢測代理程式。

在安裝這些項目時,應該對其進行檢驗。

安裝和設定 IAS

本解決方案包含兩個位於中心位置的 IAS 伺服器,可作為 RADIUS 伺服器以驗證使用者並授權網路存取。本解決方案也包含一個選用的分部 IAS 伺服器,以用於需要對網路存取進行分散式驗證和授權的環境下。如需更多有關放置 IAS 伺服器的資訊,請參閱第 5 章<為無線區域網路安全性設計 RADIUS 基礎結構>。

下一節說明在伺服器上安裝 IAS 的步驟。請務必在所有 IAS 伺服器中執行所有的安裝與設定步驟。

安裝 IAS 軟體元件

IAS 會隨 Windows 選用元件管理員 (透過 [控制台] 中的 [新增/移除元件] 存取) 一起安裝。下表列出要安裝的元件。縮排結構反映元件之間的階層關係,如同您在 [選用元件管理員] 精靈元件中所見 (由於未選取,因此未在此表中顯示)。

表 8.6:供安裝的 IAS 元件

要安裝的選用元件

安裝狀態

網路服務

已選取

          網際網路驗證服務

已選取


附註:必須有 Windows Server 2003 安裝媒體才能完成安裝。

安裝 IAS 元件

  • 在所有 IAS 伺服器上執行 [選用元件管理員] 以自動化 IAS 的安裝,而下列命令將會完成此工作:

    sysocmgr /i:sysoc.inf /u:C:\MSSScripts\OC_AddIAS.txt

在 Active Directory 中註冊 IAS

必須在所有網域中都註冊 IAS 伺服器, 也就是說,要將 LAS 伺服器的電腦帳戶加入要驗證帳戶的所有網域中的 [RAS 與 IAS 伺服器] 安全性群組。此群組中的成員確保 IAS 伺服器擁有適當的權限,可讀取網域中使用者和電腦帳戶的遠端存取內容。

您可以使用 [Active Directory 使用者和電腦 MMC] 嵌入式管理單元或 Netshell (netsh) 命令,將 IAS 伺服器的電腦帳戶物件置於此群組中。

使用 netsh 命令在預設網域的伺服器上註冊 IAS

  1. 使用具有該網域「網域系統管理員」權限的帳戶,登入每一個 IAS 伺服器。

  2. 開啟命令提示字元並鍵入:

    netsh ras add registeredserver

使用 netsh 命令在預設網域之外的網域中註冊 IAS

  1. 使用具有該目標網域「網域系統管理員」權限的帳戶,登入每一個 IAS 伺服器。

  2. 開啟命令提示,鍵入以下內容,並以欲註冊 IAS 伺服器的網域名稱來取代網域名稱

    netsh ras add registeredserver domain = 網域名稱

    附註:您也可以使用 [Active Directory 使用者和電腦 Microsoft Management Console (MMC)] 嵌入式管理單元,將 IAS 伺服器電腦物件新增到 RAS 和 IAS 伺服器安全性群組中。

建立和保護 IAS 資料目錄

您必須在 IAS 伺服器的資料磁碟機上建立資料目錄,以儲存 IAS 設定和記錄檔資料。請在每一個 IAS 伺服器上的命令提示字元中執行以下程序,以建立和保護 IAS 資料目錄。您也可以使用提供的批次指令碼來自動執行此程序。

建立和保護 IAS 資料目錄

  • 執行以下命令,並以您網域的 NetBIOS 名稱來取代其中的 WOODGROVEBANK:

    • md D:\IASConfig

    • md D:\IASLogs

    • cacls D:\IASConfig /G system:F administrators:F "Backup Operators":C

    • cacls D:\IASLogs /G system:F administrators:F "Backup Operators":C "WOODGROVEBANK\IAS Security Auditors":C

您也應該讓 IAS 安全稽核員共用 D:\IASLogs 目錄,讓他們可以從遠端存取 RADIUS 要求記錄檔資料。

安全地共用 IAS 記錄檔目錄

  • 執行以下命令,並以您網域的 NetBIOS 名稱來取代其中的 WOODGROVEBANK:

    net share IASLogs=D:\IASLogs /GRANT:"WOODGROVEBANK\IAS Security Auditors",CHANGE

已經建立包含先前命令的選用批次檔,但是必須對其進行編輯,使其包含您網域的正確 NetBIOS 名稱。

編輯和執行批次檔以建立、保護和共用 IAS 資料目錄

  1. 使用記事本來編輯 C:\MSSScripts\IAS_Data.BAT 檔案,並以您網域的 NetBIOS 名稱來取代其中的 WOODGROVEBANK。

  2. 在命令提示字元中執行以下命令,來執行該批次檔:

    C:\MSSScripts\IAS_Data.BAT


設定主要 IAS 伺服器

您應該選取您環境中的某個 IAS 伺服器作為您的主要伺服器。此伺服器將先於其他 IAS 伺服器進行設定,並會成為設定後續 IAS 伺服器的範本。

設定驗證和帳戶要求的記錄

依預設,IAS 並不會記錄 RADIUS 驗證和帳戶要求。如果可能,這兩種要求記錄檔都應啟用,以確保安全性事件已記錄下來並可於日後進行調查。此外,貴組織可能必須使用帳戶資料來進行計費。

附註:RADIUS 要求記錄會影響伺服器的效能,必須透過適當的程序,確保記錄不會填滿資料磁碟。請參閱第 5 章<為無線區域網路安全性設計 RADIUS 基礎結構>,以取得有關容量規劃的詳細資訊,並請參閱第 3 章<管理 RADIUS 和無線區域網路安全性基礎結構>,以取得有關保存及刪除記錄檔的資訊。

設定 IAS 伺服器上的驗證和帳戶記錄

  1. 使用 [網際網路驗證服務 MMC] 嵌入式管理單元,選取 [遠端存取記錄],然後檢視 [本機檔案] 記錄方法的內容。

  2. 選取帳戶處理要求 (例如:帳戶處理啟動或停止) 和驗證要求 (例如:接受存取或拒絕存取)。

    附註:本指南並未啟用定期狀態要求記錄, 但您可能會需要此記錄,以精確追蹤使用者網路工作階段的資訊。如需更多資訊,請參閱第 5 章<為無線區域網路安全性設計 RADIUS 基礎結構>。

  3. 確定已將記錄檔目錄設定為 D:\IASLogs,並選取 [與資料庫相容] 格式。

使用 [與資料庫相容] 格式便可直接將所需記錄檔匯入資料庫 (例如 Microsoft Access 和 Microsoft SQL Server™ 2000),以便查詢和報告資料。

設定 IAS 用於無線區域網路存取和其他網路應用

您現在完成了 IAS 的基本設定。本章剩餘內容說明如何將第一個 IAS 伺服器的設定複製到後續伺服器中。在複製上述設定之前,您必須先設定遠端存取原則及其他特定的應用設定。第 9 章<實作無線區域網路安全性>說明如何設定 IAS 以用於無線 LAN。設定完第一個伺服器後,您可以返回本章,然後按照程序將 IAS 設定複製到其他伺服器中。

將設定部署到多個 IAS 伺服器中

您可以使用 netsh 命令,將部分 IAS 設定匯出至文字檔案。以下設定區域可以獨立匯出:

  • 伺服器設定

  • 記錄設定

  • 遠端存取原則

  • 連線要求原則

  • RADIUS 用戶端

  • 完整設定

這些文字檔案可用來在多個 IAS 伺服器間傳送一般設定值,以確保設定的一致性,並加快部署的速度。以下設定可通用於類似角色的伺服器:

  • 伺服器設定

  • 記錄設定

  • 遠端存取原則

  • 連線要求原則

您應該僅在主要 IAS 伺服器上設定上述項目,然後使用 netsh 命令,將這些項目匯出至文字檔案。接著,將文字檔案匯入至其他具有類似角色的 IAS 伺服器。此程序可確保一般設定值的設定文字檔案會與所有伺服器同步。

每一個 IAS 伺服器都包含 RADIUS 用戶端設定,並可使用每個伺服器唯一的共用秘密資訊。因此,此資訊必須分別在每一個伺服器上進行設定和備份。

警告:使用 netsh 執行完整傾出時會產生設定文字檔案,其中可能含有機密 RADIUS 共用秘密資訊。本指南說明如何在無需用到所有 IAS 設定的情況下,部署設定並執行備份。如果您決定使用完整傾出的設定文字檔案,使用及儲存這類檔案請務必小心謹慎, 因為這些檔案中的資訊可讓任何人存取您的網路。

下節說明將主要 IAS 伺服器設定傳送至其他類似角色 IAS 伺服器的程序。您此時可以複製設定,但到目前為止,IAS 伺服器設定只有很少的變更。後續章節將會變更更多 IAS 重要設定 (例如,建立網路存取原則和新增 RADIUS 用戶端),您應在那時再執行複製程序。

匯出主要 IAS 伺服器設定

若將設定值傳送至此解決方案中所使用的其他 IAS 伺服器,則必須匯出主要 IAS 伺服器設定。

批次檔可自動匯出一般 IAS 設定區域以供備份,並用來在角色相同的多個 IAS 伺服器上,協助部署 IAS 設定。在建立用於部署設定的批次檔時,請務必只包含可在 IAS 伺服器之間移植的以下設定:

  • 伺服器設定

  • 記錄設定

  • 遠端存取原則

  • 連線要求原則

匯出主要 IAS 伺服器上的一般設定

  • 在命令提示中,鍵入以下命令:

    C:\MSSScripts\IASExport.bat

此批次檔包含一系列 netsh 命令,可將一般設定資訊匯出到 D:\IASConfig 目錄的設定文字檔案中。

從主要伺服器載入備份設定

IAS 可使用 netsh 命令將設定狀態從一個伺服器傳送到另一個伺服器。此程序可增加部署速度,並降低多伺服器部署期間發生錯誤的機會。之前建立的主要 IAS 伺服器設定狀態文字檔案,現在可用於將設定載入到次要 IAS 伺服器與任何分公司 IAS 伺服器中。

執行下列步驟,將匯出的設定文字檔從主要 IAS 伺服器載入到其他 IAS 伺服器。

將一般設定從主要 IAS 伺服器載入到其他 IAS 伺服器

  1. 將所有設定檔從主要 IAS 伺服器上的 D:\IASConfig 目錄複製到其他 IAS 伺服器上的 D:\IASConfig 目錄。

  2. 使用以下批次檔,從主要 IAS 伺服器的設定文字檔載入設定:

    C:\MSSScripts\IASImport.bat


總結

如果執行完本章所述全部程序,應該已完成以下工作:

  • 安裝和設定主要 IAS 伺服器的基本設定。

  • 安裝和設定次要 IAS 伺服器。

  • 安裝和設定選用的分部 IAS 伺服器。

  • 設定用於管理 IAS 伺服器的管理群組。

您現在可以設定 WLAN 特定設定,其說明已在第 9 章<實作無線區域網路安全性>中提供。您可能必須返回本章的結尾部分,以複製將在下一章中設定的 LAS 設定。

您現在還應該參閱第 12 章<管理 RADIUS 和無線區域網路安全性基礎結構>中的相關章節,其中包含可讓 RADIUS 基礎結構維持安全可靠運作的重要資訊。

其他資訊


顯示: