第 8 章:實作 RADIUS 基礎結構
發佈日期: 2004 年 11 月 10 日|更新日期: 2005 年 5 月 26 日
本頁內容
簡介
RADIUS 基礎結構規劃工作表
建置伺服器
安裝和設定 IAS
設定主要 IAS 伺服器
將設定部署到多個 IAS 伺服器中
總結
簡介
本章提供詳細指南,指導您如何根據 Microsoft® Windows Server™ 2003 的網際網路驗證服務 (IAS) 為無線區域網路(WLAN) 的安全性建置 RADIUS (遠端驗證撥號使用者服務) 基礎結構。本指南包括 RADIUS 伺服器的安裝與設定、Active Directory® 目錄服務的準備,以及 IAS 伺服器設置的設定。RADIUS 基礎結構將會在下一章中使用,以建置完整的無線區域網路解決方案。
本章針對第 5 章<為無線區域網路安全性設計 RADIUS 基礎結構>中所述的 RADIUS 設定,提供相關的實作指南。本章對 RADIUS 一般概念不作解釋,也不會具體說明 IAS 如何實作 RADIUS 通訊協定。
本章是 RADIUS 和 WLAN《規劃指南》及《作業指南》的附加說明。《規劃指南》會說明本章為何選擇特定實作決策;《作業指南》則說明成功維護 RADIUS 基礎結構所需進行的工作與程序。如果您尚未閱讀規劃章節,強烈建議您先加以閱讀後再繼續讀本章。您還需要閱讀並瞭解作業章節中所述的支援需求實作方法,然後再用本章中所述的方法實作 RADIUS 基礎結構。
本章先決條件
本節包含檢查清單,可協助您確保貴組織已準備就緒,可以實作 RADIUS 基礎結構 (這裡的「準備就緒」指的是邏輯概念,而非商業概念,實作此解決方案的商業動機已在之前的《規劃指南》中討論過)。
知識先決條件
您應該要熟悉 RADIUS 和 IAS 的概念。在以下情況中,您還必須熟悉 Windows 2000 Server 或 Windows Server 2003:
安裝 Microsoft Windows® 作業系統。
Active Directory 概念 (包括 Active Directory 結構和工具;操作使用者、群組及其他 Active Directory 物件;群組原則的使用)。
Windows 系統安全性;安全概念,如使用者、群組及稽核;存取控制清單 (ACL);使用安全性範本;使用群組原則或命令列工具的安全性範本。
瞭解批次檔指令碼。瞭解 Windows Scripting Host 和 Microsoft Visual Basic® Scripting Edition (VBScript) 語言有助您對提供的指令碼有最大程度的瞭解,但並非必需。
閱讀本章之前,您應該先閱讀第 5 章<為無線區域網路安全性設計 RADIUS 基礎結構>,並完全瞭解本解決方案的架構及設計。
組織先決條件
您應該諮詢貴組織中實作本解決方案的其他相關人員,如:
商業贊助方。
安全人員和稽核人員。
Active Directory 工程、管理及操作人員。
DNS (網域名稱系統) 與網路工程、管理及操作人員。
IT 基礎結構先決條件
本章假設現有 IT 基礎結構滿足以下條件:
已部署 Windows Server 2003 Active Directory 網域基礎結構。在本解決方案中,RADIUS 基礎結構的所有使用者必須是同一 Active Directory 樹系中的網域成員。
**附註:**如需更多有關舊版 Microsoft Windows 功能的資訊,請參閱附錄 A<Windows 版本支援對照表>。
本解決方案不包含整合到現有 RADIUS 基礎結構中的指南,但搭配現有 RADIUS 基礎結構進行部署是可能的。
具有能夠執行 Windows Server 2003 IAS 的伺服器硬體。本指南亦提供建議設定。
具有 Windows Server 2003 標準版與企業版的授權、安裝媒體以及產品金鑰。
本章概觀
下圖顯示建置 RADIUS 基礎結構的程序,如本章所詳述。
.gif)
圖 8.1 RADIUS 基礎結構建置程序圖
上述步驟與本章中的結構相對應,並將於下列清單中說明。每個步驟均由安裝/設定工作以及一個或多個驗證程序所組成,以便您檢查剛才完成的操作,然後繼續下一個步驟。
IAS 規劃工作表。列出本章中用來安裝和設定 IAS 的設定資訊, 其中還包含開始實作之前必須提供的資訊表。
建置伺服器。說明如何選取並設定硬體、安裝 Windows Server 2003,以及安裝選用元件。還說明如何建置 Active Directory 管理安全性群組、如何為委派管理工作設定正確的權限,以及如何套用安全性範本來實作作業系統級安全作業。使用的範本來自《Windows Server 2003 安全性指南》(英文)。有關如何取得該指南的資訊,可在本章的結尾處找到。本節還列出完成伺服器基本安裝的一些必要工作。
安裝和設定 IAS。討論準備步驟、軟體安裝以及 IAS 的設定操作,包括建置 IAS 資料目錄及保護其安全。
設定主要 IAS 伺服器。說明如何設定主要 IAS 伺服器,以便作為環境中其他類似角色 的 IAS 伺服器的設定範本。還說明如何匯出 IAS 設定,以供其他 IAS 伺服器使用。執行更複雜的設定後,後續章節中還會繼續用到此程序。
設定次要 IAS 伺服器。說明如何設定次要 IAS 伺服器,以便與 RADIUS 伺服器組中的主要 IAS 伺服器搭配,提供容錯彈性及負載平衡功能。還說明如何匯入主要 IAS 設定,以供自動部署使用。執行更複雜的設定後,後續章節中還會繼續用到此程序。
設定分公司 IAS 伺服器。說明如何設定選用的分公司 IAS 伺服器,以用作分散式環境的範例,還說明如何匯入主要 IAS 設定,以供自動部署使用。執行更複雜的設定後,後續章節中還會繼續用到此程序。
RADIUS 基礎結構規劃工作表
以下表格列出本解決方案所用的設定參數。您應將這些表格作為計劃決策的檢查清單。
這些表格中的許多參數需要手動設定,如本章說明程序中所述。其他參數是由某個程序中執行的指令碼所設定,或是由指令碼參照,才能完成其他一些設定或操作工作。
附註:《建置指南》中所使用的指令碼在指令碼隨附的 ToolsReadme.txt 檔案中有更詳細的說明。
使用者定義的設定項目
下表列出虛擬 Woodgrove Bank 公司適用的參數。開始安裝程序之前,應確定已收集或決定貴組織與下表所有項目相關的設定。本章此處所顯示的虛構值將用於提供的命令範例。您應使用適合貴組織的值來加以取代。需要您用合適值取代的位置會以斜體表示。
表 8.1:使用者定義的設定項目
| 設定項目 | 設定 |
|---|---|
| Active Directory 樹系根網域的 DNS 名稱 | woodgrovebank.com |
| 網域的 NetBIOS (網域基本輸入/輸出系統) 名稱 | WOODGROVEBANK |
| 主要 IAS 伺服器的伺服器名稱 | HQ-IAS-01 |
| 次要 IAS 伺服器的伺服器名稱 | HQ-IAS-02 |
| 次要 IAS 伺服器的伺服器名稱 | BO-IAS-03 |
| 設定項目 | 設定 |
|---|---|
| [帳戶] 控制 IAS 設定之管理群組的完整名稱 | IAS 系統管理員 |
| [帳戶] 控制 IAS 設定之管理群組在 Windows 2000 之前版本中的名稱 | IAS 系統管理員 |
| 基於安全性理由而檢閱 IAS 驗證和帳戶之要求記錄檔的群組完整名稱。 | IAS 安全性稽核員 |
| [帳戶] Windows 2000 之前版本中的群組名稱,會基於安全理由而檢閱 IAS 驗證和帳戶的要求記錄檔。 | IAS 安全性稽核員 |
| [指令碼] 安裝指令碼的路徑 | C:\MSSScripts |
| [指令碼] IAS 設定匯出批次檔 | IASExport.bat |
| IAS 設定匯入批次檔案 | IASImport.bat |
| [指令碼] IAS RADIUS 用戶端設定匯出批次檔 | IASClientExport.bat |
| [指令碼] IAS RADIUS 用戶端設定匯入批次檔 | IASClientImport.bat |
| [設定] 設定備份檔案的路徑 | D:\IASConfig |
| [要求日誌] IAS 驗證及稽核要求日誌的位置 | D:\IASLogs |
| [要求記錄檔] RADIUS 要求記錄檔的共用名稱 | IASLogs |
| 資源 | 需求 |
|---|---|
| CPU | 雙 CPU 850–MHz 或以上。 |
| 記憶體 (Memory) | 512 MB。 |
| 網路介面 | 2 個同時使用的單一網路介面卡 (NIC),以提供恢復功能。 |
| 磁碟儲存 | IDE (整合式電子裝置) 或 SCSI (小型電腦系統介面) RAID (獨立磁碟容錯陣列) 控制器。 2 x 9 GB (SCSI 或 IDE) 設定為 RAID 1 磁碟區 (磁碟機 C)。 2 x 18 GB (SCSI 或 IDE) 設定為 RAID 1 磁碟區 (磁碟機 D)。 如果沒有網路備份設備,則需可從本機上移除的媒體儲存裝置 (供備份使用的 CD-RW 或磁帶)。 1.44 MB 磁碟機供資料傳輸用。 |
準備硬體
根據硬體廠商的建議完成所有硬體設定。這類設定可能包括向廠商取得並套用最新的 BIOS (基本輸入/輸出系統) 和韌體更新。
使用隨硬體提供的磁碟控制卡管理軟體,來建立前面表格中所述的 RAID 1 磁碟區。
安裝 Windows Server 2003
本節說明如何在 IAS 伺服器上安裝 Windows Server 2003。許多組織已經擁有自動安裝伺服器的程序。您可以使用現有的程序來建置伺服器,但建置過程中必須包含以下程序所用的參數。如需更多有關使用 Windows Server 2003 標準版或 Windows Server 2003 企業版的資訊,請參閱第 5 章<為無線區域網路安全性設計 RADIUS 基礎結構>。
請執行下列步驟,以在其中一個 IAS 伺服器上安裝 Windows Server 2003。
安裝 Windows Server 2003
請確定伺服器 BIOS 中已將 CD-ROM 設定為可開機裝置。將 Windows Server 2003 CD 放入光碟機,然後重新啟動電腦。
在主磁碟區上建立一個磁碟分割,將其格式化為 NTFS 檔案系統 (NTFS),然後選取在該磁碟分割上安裝 Windows 的選項。
選取適當的區域設定。
鍵入用來註冊 Windows 的名稱和公司資訊。
為本端管理者帳戶鍵入一個增強式密碼 (至少 10 個字元,且為大寫字體和小寫字體的字母、數字,及標點字元的混合)。
出現系統提示時,鍵入電腦名稱 (用您的電腦名稱取代此值):
主要 IAS:HQ-IAS-01
次要 IAS:HQ-IAS-02
分公司 IAS:BO-IAS-03
出現系統提示時,選取選項以加入網域。輸入伺服器將加入的 Active Directory 網域的名稱:WOODGROVEBANK (用您安裝 RADIUS 伺服器的網域名稱取代此值)。出現系統提示時,輸入使用者憑證 (此使用者必須有權限可將電腦加入此網域)。
**附註:**對於多樹系網域,IAS 伺服器一般都會安裝在樹系根網域下,使 Kerberos 的操作達到最佳化。雖然此設定並非必須,但本解決方案仍以此設定作為假設前提。
請勿安裝任何選用元件。
電腦會在主要安裝程序結束後重新啟動。繼續執行下列步驟。
安裝目前所有 Service Pack、重大更新及需要的所有其他更新。
將字母 R 重新分派給 CD-ROM/DVD 磁碟機。
在第二個硬式磁碟的磁碟區上建立一個磁碟分割,並將其指定為磁碟機 D,然後將其格式化為 NTFS 格式。
啟動 Windows 的複本。
網路設定
IAS 伺服器具有單一網路介面 (雖然需要同時使用兩個實體 NIC 來實作此設定,以增加其恢復能力)。網路介面應以固定的網際網路通訊協定 (IP) 位址和其他適用於您網路的 IP 設定參數 (例如,預設閘道和 DNS 設定) 來進行設定。
檢驗安裝
您應該驗證作業系統的安裝是否正確完成,以及設定的參數是否與預期的一致。
檢視目前的系統設定
在命令提示字元中執行 systeminfo 程式。
驗證以下系統資訊輸出項目 (此處為求簡明,已省略部分的輸出詳細資訊):
主機名稱: HQ-IAS-01
作業系統名稱: Microsoft® Windows® Server 2003, Enterprise Edition
...
作業系統設定: 成員伺服器
註冊的擁有者: 您的擁有者姓名
登記的公司: 您的擁有者公司
...
Windows 目錄: C:\WINDOWS
系統目錄: C:\WINDOWS\System32
開機裝置: \Device\HarddiskVolume1
系統地區設定: 您的系統地區設定
輸入法地區設定: 您的輸入法地區設定
時區: 您的時區
...
網域: woodgrovebank.com
登入伺服器: \\網域控制站名稱
Hotfix: 已安裝 X Hotfix。
[01]: Qxxxxxx
...
[nn]: Qnnnnnn
網路卡: 已安裝 1 NIC。
[01]: 網路卡型號與廠商
連線名稱: 區域連線
啟用 DHCP : 否
IP address(es)
[01]: xxx.xxx.xxx.xxx
如果這些設定與預期不相符,則應透過 [控制台] 重新設定伺服器,或重新執行安裝。
安裝設定指令碼至伺服器
本解決方案還提供許多支援指令碼和設定檔,有助於簡化解決方案的某些設定和操作。您必須將它們安裝到每一部伺服器上。第 12 章<管理 RADIUS 和 WLAN 安全性基礎結構>中所述的操作還會用到上述部分指令碼,因此請勿在完成 RADIUS 伺服器安裝後刪除上述指令碼。
在每一個伺服器上安裝設定指令碼
建立名為 C:\MSSScripts 的資料夾。
將指令碼從發佈媒體複製到此資料夾中。
檢查 Service Pack 和安全性更新
此時,您應該重新檢查已安裝的 Service Pack 和安全性更新清單。使用諸如 Microsoft Baseline Security Analyzer (MBSA) 等工具執行檢查,並取得所需更新。適當測試後,在伺服器中安裝更新。
如需更多有關 MBSA 的資訊,請參閱本章結尾的<其他資訊>一節。
安裝其他軟體
本節說明如何在 IAS 伺服器上安裝其他必要的軟體。
CAPICOM
執行本解決方案中所提供的某些設定和管理指令碼時,RADIUS 伺服器上必須有 CAPICOM 2.0。如需有關取得最新版 CAPICOM 的資訊,請參閱本章結尾處<其他資訊>一節。
請遵循自行解壓縮執行檔中的指示,安裝並註冊 CAPICOM 動態連結程式庫 (DLL),然後再繼續依指南操作。
驗證網路和 Active Directory 連線
IAS 必須依賴 Active Directory 的正確網路設定和連線才能運作。因此,在部署 IAS 之前,建議您先在伺服器上執行網路診斷。
您可以使用 Windows Server 2003 支援工具 (可在 Windows Server 2003 CD 中找到) 中的 Netdiag.exe 公用程式來執行網路診斷。執行以下命令可解壓縮 Netdiag.exe:
expand r:\support\tools\support.cab –f:netdiag.exe c:\mssscripts
完成後,鍵入以下命令來執行公用程式:
C:\mssscripts\netdiag.exe
請務必檢查畫面顯示的任何錯誤或警告。
驗證網域功能層級
控制網路存取的慣用模型為:針對 Active Directory 內的使用者帳戶,使用 [透過遠端存取原則來控制存取] 設定。[透過遠端存取原則來控制存取] 設定只有當 Active Directory 在 Windows 2000 原生模式 (或更新版本) 中執行時才可使用。因此,您應該在 IAS 上部署遠端存取原則 (RAP) 之前,檢查網域功能層級。
您可以透過檢視 Active Directory Domains 和 Trusts 工具中的網域屬性,來檢查網域功能層級。如果 IAS 的目標網域設定為 Windows 2000 混合模式,請聯絡相應的 Active Directory 管理者,以進行規劃,遷移至原生模式。
有關此主題的詳細資訊,請參閱本章結尾<其他資訊>一節。
設定 Active Directory 安全性群組
IAS 是網路安全性基礎結構的一部分, 因此應該嚴格控制對 IAS 設定和記錄檔的存取。您可以結合 Active Directory 通用群組和 Windows Server 2003 本機群組,用以實作所需的存取控制。
建立 IAS 管理群組
以網域系統管理員身份執行下列指令碼,來建立 IAS 管理安全性群組:
Cscript //job:CreateIASGroups C:\MSSScripts\IAS_Tools.wsf
此指令碼會建立下列安全性群組,作為網域通用群組:
IAS 系統管理員
IAS 安全性稽核員
在多網域樹系中,這些群組應與 IAS 伺服器建立在同一個網域中。
**附註:**組織的系統管理員若分佈在多個網域中,應考慮使用萬用群組,而不是此處建立的通用群組。您可以使用下一章建立 [遠端存取原則 – 無線存取] 群組所用的語法 (請參閱第 9 章中的<建立 WLAN 存取所需的 Active Directory 群組>),對建立安全性群組的指令碼進行輕鬆的修改。
設定 IAS 系統管理員群組
IAS 是 Windows Server 2003 作業系統的核心元件,必須具有本機系統管理員安全性群組的成員資格,才能執行 IAS 設定工作。
您必須將 IAS 管理網域通用群組新增到各 IAS 伺服器上的本機系統管理員群組中。如果網域控制站中已安裝 IAS,則必須使用 Active Directory 使用者和電腦 Microsoft Management Console (MMC) 嵌入式管理單元,將 IAS 系統管理員新增到網域的系統管理員群組中。
**警告:**新增群組到內建系統管理員網域群組中,將嚴重影響到安全。如需更多資訊,請參閱第 5 章<為無線區域網路安全性設計 RADIUS 基礎結構>中關於如何在網域控制站上共置 IAS 的說明。
您應以適當管理人員的帳戶填入 [IAS 系統管理員] 與 [IAS 安全性稽核員] 群組。如需有關這些群組如何等同於 IAS 管理角色的完整說明,請參閱第 5 章<為無線區域網路安全性設計 RADIUS 基礎結構>中關於管理權限規劃的說明。
本文件其餘內容中的設定程序都要求使用 [IAS 系統管理員] 群組中的帳戶。
保護 IAS 的 Windows Server 2003
在必要情況下,您必須採用其他措施,以防他人未經授權存取 IAS 伺服器。IAS 伺服器是貴組織安全基礎結構的核心部分,您應該以如同處理防火牆與其他安全存取基礎結構般的態度,謹慎處理 IAS 伺服器。
實體安全性
您應將 IAS 伺服器放置在嚴格控制人員進出的位置。這些伺服器必須持續處於線上狀態,因此應該置於具有一般電腦伺服器室內設備 (例如,溫度控制、空氣過濾和滅火能力) 之處。
請儘量將伺服器置於不受火災、洪水等外界威脅破壞的位置。
另一重點則是針對備份、文件和其他設定資料,控制其實體存取並確保其實體安全。上述資訊應與伺服器分開存放。
在伺服器上套用系統安全性設定
您可以使用《Windows Server 2003 安全性指南》中所定義的 IAS 伺服器角色,來確保 IAS 伺服器的安全。如需更多有關本指南和安全性範本下載位置的資訊,請參閱本章結尾處<其他資訊>一節。
由於 IAS 伺服器屬於網域成員,因此可以使用基於網域的群組原則來套用安全性原則設定。您必須建立一個合適的組織單位 (OU) 結構來套用安全性設定,該結構包含 IAS 伺服器電腦物件和「群組原則物件 (GPO)」結構。對於在專用伺服器上執行的 IAS 伺服器 (即並未安裝在網域控制站上),必須為其建立兩個 GPO:
企業用戶端 – 成員伺服器基線
企業用戶端 – 網際網路驗證服務
當您閱讀第 5 章<為無線區域網路安全性設計 RADIUS 基礎結構>之後,可決定在網域控制站上執行部分或所有的 IAS 伺服器。由於強化網域控制站的程序非常複雜,本文件不說明如何套用網域控制站範本。《Windows Server 2003 安全性指南》中包含網域控制站的範本,可執行類似於成員伺服器基線原則的鎖定功能。請先閱讀《Windows Server 2003 安全性指南》並估計對網域用戶端及應用程式可能會造成的影響,然後再將 [網域控制站] 安全性範本套用到現有的網域控制站中。
如果要在 IAS 和網域控制站組合伺服器中使用 [企業用戶端 – 網域控制站] 安全性範本,您還必須在電腦中套用 [企業用戶端 – IAS 伺服器] 安全性範本, 此範本將會套用可啟用 IAS 服務的其他設定 ([企業用戶端 – 網域控制站] 範本中已停用 IAS 伺服器)。若要套用此範本,您應該建立一個額外的 GPO,以套用到位於「網域控制站 OU」下的一個新的子 OU 中:
- 企業用戶端 – 網域控制站中的 IAS
您應該執行以下程序,將 [企業用戶端 – IAS 伺服器] 範本匯入到此 GPO。此程序說明如何建立 OU 與 GPO。其中的 GPO 和 OU 名稱僅為範例,您應將此程序修改為使用您自己的網域 OU 和 GPO 標準。
建立 IAS 伺服器 OU 和 GPO
*請從《*Windows Server 2003 Security Guide》(英文) 中,取得以下的安全性範本:
企業用戶端 – 網域
企業用戶端 – 成員伺服器基線
企業用戶端 – IAS 伺服器
企業用戶端 – 網域控制站
以 [網域系統管理員] 成員的身分登入,或以具有建立 OU 權限的使用者身分登入 (如步驟 4 中所述)。您還必須是 [網域系統管理員] 或 [群組原則建立者擁有者] 群組的成員才能建立 GPO。
開啟 Active Directory 使用者及電腦 MMC 嵌入式管理單元。
建立以下 OU 結構:
woodgrovebank.com
成員伺服器
IAS
網域控制站
擁有 IAS 的網域控制站
**警告:**步驟 5 至 7 會將設定本機帳戶原則的網域原則套用至網域中的所有電腦。您應該檢查 [企業用戶端 – 網域] 安全性範本中的設定。與其套用至整個網域,建議您將此 GPO 連結至 IAS OU,以便將其範圍限制為僅套用 IAS 伺服器。
開啟網域容器的內容。在 [群組原則] 索引標籤上,按一下 [新增],以建立一個新的 GPO,再將其命名為 [網域原則]。
編輯該 GPO,並瀏覽至 [Computer Configuration\Windows Settings\Security Settings]。在 [安全性設定] 資料夾上按一下滑鼠右鍵,再按一下 [匯入]。瀏覽至 Enterprise Client – Domain.inf 檔案,並將其選取為要匯入的範本。
關閉 GPO。
針對以下表格中的 OU、GPO,和安全性範本的組合,重複上述的三個步驟。(這三個 GPO 僅會影響 IAS 伺服器,因此之前的警告不適用於此處。)
表 8.4:群組原則物件和位置
OU GPO 安全性範本 成員伺服器 企業用戶端 – 成員伺服器基線 Enterprise Client – Member Server Baseline.inf IAS 企業用戶端 – 網際網路驗證服務 Enterprise Client – IAS Server.inf 擁有 IAS 的網域控制站 企業用戶端 – 網域控制站中的 IAS (IAS 在網域控制站中時可選用) Enterprise Client – IAS Server.inf
建立 GPO 並匯入範本後,您必須在 GPO 中自訂設定,並遵循以下程序將其套用至 IAS 伺服器電腦。
自訂和套用企業用戶端 – 網際網路驗證服務 GPO
在 [Active Directory 使用者和電腦] 中,編輯 [企業用戶端 – 網際網路驗證服務 GPO]。在 [Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options] 中,根據您組織的安全性標準變更以下項目:
帳戶: 重新命名系統管理員帳戶:新系統管理員名稱
帳戶: 重新命名來賓帳戶名稱:新來賓名稱
互動式登入: 給登入使用者的訊息本文:法律注意事項文字
互動式登入: 給登入使用者的訊息標題:法律注意事項標題
在 [本機原則\使用者權限指派] 中,將以下的本機和網域群組新增至 [允許本機登入] 權限:
(local) Administrators
(local) Backup Operators
(domain) IAS Security Auditors
在 [系統服務] 資料夾中,開啟下列服務內容,並按一下 [定義範本內的這個原則設定]。按一下 **[**確定],以接受預設權限。將 [設定服務啟動模式] 的值設定為 [自動]
Removable Storage
Volume Shadow Copy
MS Software Shadow Copy Provider
工作排程器
**附註:**在成員伺服器基線安全性範本中,這些服務是停用的。但 NTBackup.exe 必須使用前三個服務。有些操作指令碼需要「工作排程器」服務。
將 IAS 伺服器電腦帳號移動至 IAS OU。
在 IAS 伺服器上,執行 gpupdate 命令,將 GPO 設定套用至電腦。
附註:《Windows Server 2003 安全性指南》中包含這些安全性設定的詳細資訊。請參閱本章結尾的<其他資訊>一節,以瞭解如何取得本指南的資訊。
自訂並套用企業用戶端 – 網域控制站 GPO 中的 IAS
在 [Active Directory 使用者和電腦] 中,編輯 [企業用戶端 – 網域控制站 GPO 中的 IAS]。在 [Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options] 中,根據您組織的安全性標準變更以下項目:
帳戶: 重新命名系統管理員帳戶:新系統管理員名稱
帳戶: 重新命名來賓帳戶名稱:新來賓名稱
互動式登入: 給登入使用者的訊息本文:法律注意事項文字
互動式登入: 給登入使用者的訊息標題:法律注意事項標題
在 [本機原則\使用者權限指派] 中,將以下的本機和網域群組新增至 [允許本機登入] 權限:
(Builtin) Administrators
(Builtin) Backup Operators
(domain) IAS Security Auditors
在 [系統服務] 資料夾中,開啟下列服務內容,並按一下 [定義範本內的這個原則設定]。按一下 **[**確定],以接受預設權限。將 [設定服務啟動模式] 的值設定為 [自動]。
Removable Storage
Volume Shadow Copy
MS Software Shadow Copy Provider
工作排程器
**附註:**在成員伺服器基線安全性範本中,這些服務是停用的。但若要執行 NTBackup.exe,則必須使用前三個服務。有些操作指令碼需要「工作排程器」服務。
將 IAS 伺服器電腦帳戶移動至具有 IAS OU 的網域控制站。
在 IAS 伺服器上,執行 gpupdate 命令,將 GPO 設定套用至電腦。
附註:《Windows Server 2003 安全性指南》中包含這些安全性設定的詳細資訊。請參閱本章結尾的<其他資訊>一節,以瞭解如何取得本指南的資訊。
檢驗安全性設定
若要檢驗是否正確套用安全性設定,請執行下列步驟。
檢驗 IAS 伺服器安全性設定
檢查來自 SceCli 原始檔之事件的應用程式事件記錄。在 gpupdate 命令後,應該會有一個事件 ID 1704。該事件的文字應該如下所示:
已成功套用群組原則物件中的安全性原則。
重新啟動伺服器,檢查是否所有應該執行的服務均已啟動,且系統事件日誌中沒有記錄任何錯誤。
您應該可以登入並看到法律注意事項。
設定終端機服務安全性
您應該使用終端機服務來排定變更 RADIUS 用戶端所用的密碼 (RADIUS 密碼)。終端機服務流量加密能夠有效保護跨網路傳遞的 RADIUS 密碼。
**重要:**使用其他方法 (例如,使用 Telnet 或其他簡單的遠端執行工具) 在網路上設定或更改 RADIUS 用戶端密碼時,請務必使用網際網路通訊協定安全性 (IPsec) 或其他適當的技術來保護傳輸中的資訊。
以下終端機服務設定應在 [企業用戶端 – 網域控制站 GPO 中的 IAS] 以及套用至 IAS 伺服器的 [企業用戶端 – 網際網路驗證服務 GPO] 中進行設定。
表 8.5:在 [電腦設定\系統管理範本\Windows 元件\終端機服務] 中設定的設定值
| 路徑 | 原則 | 設定 |
|---|---|---|
| 拒絕登出的系統管理員登入主控台工作階段 | 啟用 | |
| 不允許本端系統管理員自訂權限 | 啟用 | |
| 為終端機服務使用者工作階段的遠端控制設定規則 | 不允許遠端控制 | |
| 用戶端\伺服器資料重新導向 | 允許時區重新導向 | 停用 |
| 不允許剪貼簿重新導向 | 啟用 | |
| 允許音訊重新導向 | 停用 | |
| 不允許 COM 連接埠重新導向 | 啟用 | |
| 不允許用戶端印表機重新導向 | 啟用 | |
| 不允許 LPT 連接埠重新導向 | 啟用 | |
| 不允許磁碟重新導向 | 啟用 | |
| 不要將預設的用戶端印表機設定成工作階段的預設印表機 | 啟用 | |
| 加密和安全性 | 設定用戶端連線加密等級 | 高 |
| 連線時自動提示用戶端輸入密碼 | 啟用 | |
| 加密和安全性\RPC 安全性 | 安全伺服器 (要求安全性) | 啟用 |
| 工作階段 | 為中斷的工作階段設定時間限制 | 10 分鐘 |
| 只允許從原始用戶端重新連線 | 啟用 |
| 要安裝的選用元件 | 安裝狀態 |
|---|---|
| 網路服務 | 已選取 |
| 網際網路驗證服務 | 已選取 |