Windows 2003安全指南之强化IAS服务器

概述

本章提供了有关对运行于Microsoft? Windows Server? 2003之上的Internet Authentication Service（IAS）亿恩科技服务器进行安全（服务器租用找：51033397）性强化的建议和资源。IAS是一种远程身份验证拨号用户服务（RADIUS）亿恩科技服务器，它实现了用户身份验证、授权以及帐户的集中管理等功能。IAS可用于验证位于Windows Server 2003、Windows NT 4.0或Windows 2000域控制器数据库中的用户。IAS支持各种网络访问亿恩科技服务器（NAS），包括路由和远程访问（RRAS）。

RADIUS隐藏机制使用了共享秘文的RADIUS、Request Authenticator以及MD5散列算法来给用户的口令以及其它属性加密，例如隧道口令（Tunnel – Password）和MS – CHAP – MPPE – Keys。RFC 2865指出了用户对评估环境威胁以及决定是否应当使用附加安全（服务器租用找：51033397）性的潜在需要。

您可以通过利用了ESP（Encapsulating Security Payload）和一种加密算法（例如3DES）的IPSec为隐藏属性提供更多的保护，同时为所有RADIUS消息提供数据机密性。

Windows Server 2003以在发售之时具有安全（服务器租用找：51033397）的缺省配置。为提高本章的易用性，这里仅仅介绍那些没有被成员亿恩科技服务器基线策略（MSBP）修改的设置。如需了解更多关于MSBP设置的信息，请参看第3章“创建成员亿恩科技服务器基线”。如需了解关于所有缺省设置的信息，请参看本指南的姐妹篇“威胁与对策：Windows Server 2003与Windows XP的安全（服务器租用找：51033397）设置”。

注意：IAS亿恩科技服务器角色的设置要求仅在企业客户（Enterprise Client）环境中进行了测试。因此，此处没有包括本指南为其他大部分亿恩科技服务器角色所提供的有关IPSec过滤器和DoS攻击的信息。

审核策略设置

在本指南所定义的三种环境下，IAS亿恩科技服务器的审核策略设置通过MSBP来配置。要了解更多关于MSBP的信息，请参看第3章“创建成员亿恩科技服务器基线”。MSBP设置确保与安全（服务器租用找：51033397）性相关的所有信息都能够记录在所有IAS亿恩科技服务器上。

用户权限分配

在本指南定义的三种环境下，IAS亿恩科技服务器的用户权限分配也通过MSBP来配置。要了解关于MSBP的更多信息，请参看第3章“创建成员亿恩科技服务器基线”。MSBP设置确保了企业能够对IAS访问进行统一的正确配置。

安全（服务器租用找：51033397）选项

在本指南定义的三种环境下，IAS亿恩科技服务器的安全（服务器租用找：51033397）选项设置也是通过MSBP来配置。要了解更多关于MSBP的信息，请参看第3章，“创建成员亿恩科技服务器基线”。MSBP设置保证了企业可以统一配置对IAS亿恩科技服务器的安全（服务器租用找：51033397）访问。

事件日志

在本指南定义的三种环境下，IAS亿恩科技服务器的事件日志设置通过MSBP来配置。要了解关于MSBP的更多信息，请参看第3章，“创建成员亿恩科技服务器基线”。

系统服务

任何服务或应用程序都是潜在的攻击点，因此任何不必要的服务或可执行文件都应当被禁用或删除。在MSBP中，这些可选的服务以及其他任何不必要的服务都将被禁用。

因此，本指南中关于IAS亿恩科技服务器角色的建议可能不适用于您的环境。请根据您的实际需要，调整这些IAS亿恩科技服务器组策略的建议以满足您所在组织的需要。

服务器租用/服务器托管中国五强！虚拟主机域名注册顶级提供商！15年品质保障！--亿恩科技[ENKJ.COM]