Windows 2003：強化IAS服務(wù)器

　　RADIUS隱藏機制使用了共享秘文的RADIUS、Request Authenticator以及MD5散列算法來給用戶的口令以及其它屬性加密，例如隧道口令(Tunnel – Password)和MS – CHAP – MPPE – Keys。RFC 2865指出了用戶對評估環(huán)境威脅以及決定是否應(yīng)當(dāng)使用附加安全性的潛在需要。

　　您可以通過利用了ESP(Encapsulating Security Payload)和一種加密算法(例如3DES)的IPSec為隱藏屬性提供更多的保護，同時為所有RADIUS消息提供數(shù)據(jù)機密性。

　　Windows Server 2003以在發(fā)售之時具有安全的缺省配置。為提高本章的易用性，這里僅僅介紹那些沒有被成員服務(wù)器基線策略(MSBP)修改的設(shè)置。如需了解更多關(guān)于MSBP設(shè)置的信息，請參看第3章“創(chuàng)建成員服務(wù)器基線”。如需了解關(guān)于所有缺省設(shè)置的信息，請參看本指南的姐妹篇“威脅與對策：Windows Server 2003與Windows XP的安全設(shè)置”。

　　注意：IAS服務(wù)器角色的設(shè)置要求僅在企業(yè)客戶(Enterprise Client)環(huán)境中進行了測試。因此，此處沒有包括本指南為其他大部分服務(wù)器角色所提供的有關(guān)IPSec過濾器和DoS攻擊的信息。

　　審核策略設(shè)置

　　在本指南所定義的三種環(huán)境下，IAS服務(wù)器的審核策略設(shè)置通過MSBP來配置。要了解更多關(guān)于MSBP的信息，請參看第3章“創(chuàng)建成員服務(wù)器基線”。MSBP設(shè)置確保與安全性相關(guān)的所有信息都能夠記錄在所有IAS服務(wù)器上。

　　用戶權(quán)限分配

　　在本指南定義的三種環(huán)境下，IAS服務(wù)器的用戶權(quán)限分配也通過MSBP來配置。要了解關(guān)于MSBP的更多信息，請參看第3章“創(chuàng)建成員服務(wù)器基線”。MSBP設(shè)置確保了企業(yè)能夠?qū)�IAS訪問進行統(tǒng)一的正確配置。

　　安全選項

　　在本指南定義的三種環(huán)境下，IAS服務(wù)器的安全選項設(shè)置也是通過MSBP來配置。要了解更多關(guān)于MSBP的信息，請參看第3章，“創(chuàng)建成員服務(wù)器基線”。MSBP設(shè)置保證了企業(yè)可以統(tǒng)一配置對IAS服務(wù)器的安全訪問。

　　事件日志

　　在本指南定義的三種環(huán)境下，IAS服務(wù)器的事件日志設(shè)置通過MSBP來配置。要了解關(guān)于MSBP的更多信息，請參看第3章，“創(chuàng)建成員服務(wù)器基線”。

　　系統(tǒng)服務(wù)

　　任何服務(wù)或應(yīng)用程序都是潛在的攻擊點，因此任何不必要的服務(wù)或可執(zhí)行文件都應(yīng)當(dāng)被禁用或刪除。在MSBP中，這些可選的服務(wù)以及其他任何不必要的服務(wù)都將被禁用。

　　因此，本指南中關(guān)于IAS服務(wù)器角色的建議可能不適用于您的環(huán)境。請根據(jù)您的實際需要，調(diào)整這些IAS服務(wù)器組策略的建議以滿足您所在組織的需要。

服務(wù)器租用/服務(wù)器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]