概述
This chapter provides recommendations and resources that will help you harden Internet Authentication Service (IAS) servers in your environment that run Microsoft Windows Server 2003 with SP1.IAS 是 Microsoft 实施的远程身份验证拨入用户服务 (RADIUS) 服务器和代理,允许集中管理用户身份验证、授权和记帐。IAS 可用于验证 Windows Server 2003、Windows NT® 4.0 或 Windows 2000 域控制器上数据库中的用户。IAS 还支持各种网络访问服务器 (NAS),包括路由和远程访问 (RRAS)。
RADIUS 隐藏机制使用 RADIUS 共享机密、请求验证者以及 MD5 哈希算法加密用户密码和其他属性,例如通道密码和 MS-CHAP-MPPE 密钥。RFC 2865 指明了可能需要评估威胁环境和确定是否应使用附加安全措施。
本章中的设置是通过组策略配置和应用的。可以将补充成员服务器基准策略 (MSBP) 的组策略对象 (GPO) 链接到包含 ISA 服务器的适当组织单位 (OU) 来为此服务器角色提供所需的安全设置更改。本章只讨论不同于 MSBP 的那些策略设置。
这些设置被尽可能地收集在将对 ISA 服务器 OU 应用的增量组策略模板中。本章中的某些设置无法通过组策略应用。提供了有关如何手动配置这些设置的详细信息。
EC 环境的基础结构服务器安全模板的名称是 EC - Infrastructure Server.inf。此模板提供增量 IAS 服务器模板的设置,该模板反过来用于创建链接到 IAS 服务器 OU 的新 GPO。第 2 章“Windows Server 2003 强化机制”提供了分步骤说明,帮助您创建 OU 和组策略,然后将合适的安全模板导入到每个 GPO。
有关 MSBP 中的设置的信息,请参阅第 4 章“成员服务器基准策略”。有关所有默认设置配置的信息,请参阅附加指南威胁和对策:Windows Server 2003 和 Windows XP 的安全设置,网址为 http://www.microsoft.com/china/technet/security/guidance/secmod48.mspx。
注意:IAS 服务器角色的设置规则只为企业客户端环境做过测试。因此,此处不包含为本指南中的大多数其他服务器角色指定的 DoS 攻击信息。
审核策略
在 EC 环境中,IAS 服务器的审核策略设置是通过 MSBP 配置的。有关 MSBP 的详细信息,请参阅第 4 章“成员服务器基准策略”。MSBP 设置可确保所有相关的安全审核信息都记录在组织中的所有 IAS 服务器上。
用户权限分配
在 EC 环境中,IAS 服务器的用户权限分配也是通过 MSBP 配置的。有关 MSBP 的详细信息,请参阅第 4 章“成员服务器基准策略”。MSBP 设置确保在整个组织内统一配置对 IAS 服务器的适当访问权限。
安全选项
在 EC 环境中,IAS 服务器的安全选项设置也是通过 MSBP 进行配置的。有关 MSBP 的详细信息,请参阅第 4 章“成员服务器基准策略”。MSBP 设置确保在整个企业内统一配置对 IAS 服务器的适当访问权限。
事件日志
在 EC 环境中,IAS 服务器的事件日志设置也是通过 MSBP 进行配置的。有关 MSBP 的详细信息,请参阅第 4 章“成员服务器基准策略”。
其他安全设置
尽管通过 MSBP 应用的安全设置显著增强 IAS 服务器的安全性,本节仍要讨论一些其他注意事项。然而,本节中的设置不能通过组策略应用,因此必须在所有 ISA 服务器上手动执行。
保护众所周知的帐户
Windows Server 2003 SP1 具有大量不能删除但可重命名的内置用户帐户。Windows Server 2003 中的两个最为人熟知的内置帐户为 Guest 和 Administrator。
默认情况下,Guest 帐户在成员服务器和域控制器上被禁用。此配置不可更改。许多恶意代码的变种在初次尝试破坏服务器时使用内置 Administrator 帐户。因此,应重命名内置 Administrator 帐户和更改其描述,以帮助防止尝试使用此知名帐户的攻击者对远程服务器进行破坏。
近几年来,进行上述重命名配置的意义已经大大降低了,因为出现了很多新的攻击工具,这些工具通过指定内置 Administrator 帐户的安全标识符 (SID) 来确定该帐户的真实姓名,从而侵入服务器。SID 是用来唯一标识网络上的每个用户、用户组、计算机帐户和登录会话的值。此内置帐户的 SID 是不可能更改的。不过,如果您使用独特的名称来重命名 Administrator 帐户,您的操作组就可以轻松监视针对该 Administrator 帐户所进行的攻击尝试。
保证 IAS 服务器上众所周知的帐户
| • |
在每个域和服务器上,重命名 Administrator 和 Guest 帐户,然后将其密码更改为长而复杂的值。 |
| • |
在每个服务器上使用不同的名称和密码。如果所有域和服务器使用同一个帐户名和密码,则取得其中一台成员服务器访问权的攻击者将取得所有其他成员服务器的访问权。 |
| • |
将帐户描述更改为不同于默认描述的内容,从而避免使用简单的帐户标识。 |
| • |
将所做的任何更改记录在安全位置。 注意:内置 Administrator 帐户可通过组策略重命名。未在本指南附带的任何安全模板中实施此策略设置,因为每个环境都应为此帐户选择一个独特的名称。但是,可以配置“帐户:重命名管理员帐户”设置来重命名 EC 环境中的管理员帐户。此策略设置是 GPO 的“安全选项”设置的一部分。 |
保护服务帐户
除非不可避免,否则不要将服务配置为在域帐户的安全上下文下运行。如果服务器受到物理破坏,可以通过转储 LSA 机密轻松获取域帐户密码。有关如何保护服务帐户的详细信息,请参阅服务和服务帐户安全规划指南,网址为 www.microsoft.com/technet/security/topics/serversecurity/serviceaccount/default.mspx。
使用 SCW 创建策略
要部署必要的安全设置,您必须使用安全配置向导 (SCW) 和本指南的可下载版本附带的安全模板创建服务器策略。
创建您自己的策略时,确保跳过“注册表设置”和“审核策略”部分。这些设置是安全模板针对所选环境提供的。此方法是确保模板提供的策略元素优先于 SCW 配置的元素所必需的。
您应该使用新的操作系统安装开始您的配置工作,这将有助于确保没有来自以前配置的旧设置或软件。如有可能,安装时使用的硬件应该类似于您在部署中所使用的硬件,以帮助确保尽可能高的兼容性。新安装称为引用计算机。
在执行服务器策略创建步骤期间,您可能将文件服务器角色从检测到的角色列表中删除。通常,有些服务器不需要该角色,如果在这些服务器上配置该角色,就会带来风险。若服务器需要部署文件服务器角色,则可以在此过程的后面应用另一个策略。
创建 IAS 服务器策略
|
1. |
在新引用计算机上创建 Windows Server 2003 SP1 的新安装。 |
|
2. |
通过“控制面板”、“添加或删除程序”、“添加/删除 Windows 组件”来安装安全配置向导组件。 |
|
3. |
将计算机加入到域,这将应用来自父 OU 的所有安全设置。 |
|
4. |
仅安装和配置共享此角色的每个服务器所必需的应用程序。例如,特定于角色的服务、软件和管理代理、磁带备份代理以及防病毒或反间谍软件实用程序。 |
|
5. |
启动 SCW GUI,选择“创建新的策略”,然后将其指向引用计算机。 |
|
6. |
确保检测到的服务器角色(例如 ISA 服务器 (RADIUS) 角色)适合于您的环境。 |
|
7. |
确保检测到的客户端功能适合于您的环境。 |
|
8. |
确保检测到的管理选项适合于您的环境。 |
|
9. |
确保您的基准所需要的任何附加服务(例如备份代理或防病毒软件)已被检测到。 |
|
10. |
确定如何处理您的环境中的未指定服务。为了获得附加的安全,您可能需要将此策略设置配置为“禁用”。应该对此配置进行测试,然后再将其部署到生产网络中,因为若生产服务器所运行的附加服务未复制到引用服务器上,部署此配置就会造成问题。 |
|
11. |
确保在“网络安全”部分中取消选中“跳过这一部分”,然后单击“下一步”。前面标识的相应端口和应用程序被配置为 Windows 防火墙的例外。 |
|
12. |
在“注册表设置”部分中,单击“跳过这一部分”复选框,然后单击“下一步”。这些策略设置从提供的 INF 文件中导入。 |
|
13. |
在“审核策略”部分中,单击“跳过这一部分”复选框,然后单击“下一步”。这些策略设置从提供的 INF 文件中导入。 |
|
14. |
包括相应的安全模板(例如 EC-IAS Server.inf)。 |
|
15. |
以适当的名称保存策略(例如 IAS Server.xml)。 |
使用 SCW 测试策略
在您创建和保存策略后,Microsoft 强烈建议您将其部署到测试环境中。理想情况下,测试服务器和生产服务器应具有相同的硬件和软件配置。此方法将允许您找到和修复潜在的问题,例如特定硬件设备需要意料之外的服务。
两个选项都可用于测试该策略。您可以使用本机 SCW 部署工具,或通过 GPO 来部署策略。
开始创作您的策略时,您应当考虑使用本机 SCW 部署工具。使用 SCW 可一次将策略强制到一个服务器,也可以使用 Scwcmd 将策略强制到一组服务器。本机部署方法允许在 SCW 中轻松回滚部署的策略。在进行测试的过程中对策略做出多次更改时,此功能就非常有用。
测试该策略的目的是确保在将此策略应用到目标服务器时不会对其重要的功能造成负面影响。应用配置更改之后,应开始验证计算机的核心功能。例如,如果将服务器配置为证书颁发机构 (CA),请确保客户端可以请求和获取证书、下载证书吊销列表等。
如果对您的策略配置非常有信心,就可以使用以下过程中显示的 Scwcmd 将策略转换为 GPO。
有关如何测试 SCW 策略的详细信息,请参阅 Deployment Guide for the Security Configuration Wizard(网址为 www.microsoft.com/technet/prodtechnol/windowsserver2003/
library/SCWDeploying/5254f8cd-143e-4559-a299-9c723b366946.mspx )和 Security Configuration Wizard Documentation(网址为 http://go.microsoft.com/fwlink/?linkid=43450)。
转换和部署策略
在彻底测试策略之后,请完成以下步骤以便将策略转换为 GPO 并进行部署:
|
1. |
在命令提示符处,键入以下命令: scwcmd transform /p:<PathToPolicy.xml> /g:<GPODisplayName> 然后按 Enter。例如: scwcmd transform /p:"C:\Windows\Security\msscw\Policies\IAS Server.xml" /g:"IAS Policy" 注意:因为显示限制,此处在命令提示符处输入的信息将显示为多行。应该在一行中输入全部信息。 |
|
2. |
使用组策略管理控制台将新建的 GPO 链接到适当的 OU。 |
注意,如果 SCW 安全策略文件包含 Windows 防火墙设置,那么为使该过程成功完成,就必须在本地计算机上激活 Windows 防火墙。要验证 Windows 防火墙是否已激活,请打开“控制面板”,然后双击“Windows 防火墙”。
应该立即执行最终的测试以确保 GPO 应用了期望的设置。要完成此过程,请确认是否进行了适当的设置,而且功能未受影响。
总结
本章解释了可用于在本指南定义的企业客户端环境中强化运行 Windows Server 2003 SP1 的 IAS 服务器的设置。这些设置也可以在本指南中定义的其他环境中工作,但未经测试或验证。设置是通过旨在补充 MSBP 的组策略对象 (GPO) 应用的。GPO 可链接到组织中包含 IAS 服务器的适当组织单位 (OU) 来提供附加的安全。
更多信息
下列链接提供了与强化运行 Windows Server 2003 SP1 的 ISA 服务器相关的主题的附加信息。
| • |
有关 IAS 的详细信息,请参阅了解 IAS 页面,网址为 www.microsoft.com/technet/prodtechnol/windowsserver2003/library/ |
| • |
有关 IAS 和安全的详细信息,请参阅 Internet 身份验证服务页面,网址为 www.microsoft.com/technet/prodtechnol/windowsserver2003/library/ |
| • |
有关 IAS、防火墙和 Windows Server 2003 的信息,请参阅 IAS 和防火墙页面,网址为 www.microsoft.com/technet/prodtechnol/windowsserver2003/library/ |
| • |
有关 RADIUS 的信息,请参阅备注“远程身份验证拨入用户服务 (RADIUS)”,网址为 http://www.cis.ohio-state.edu/cgi-bin/rfc/rfc2865.html。 |