RADIUS 是一种用于在需要认证其链接的网络访问服务器(NAS)和共享认证服务器之间进行认证、授权和记帐信息的文档协议。
RADIUS 的关键功能部件为:
客户机/服务器体系结构 网络访问服务器(NAS)作为 RADIUS 客户机运行。客户机负责将订户信息传递至指定的 RADIUS 服务器,然后根据返回的响应进行 *** 作。
RADIUS 服务器负责接收订户的连接请求、认证订户,然后返回客户机所有必要的配置信息以将服务发送到订户。
RADIUS 服务器可以担当其它 RADIUS 服务器或者是其它种类的认证服务器的代理。
网络安全性:
通过使用加密的共享机密信息来认证客户机和 RADIUS 服务器间的事务。从不通过网络发送机密信息。此外,在客户机和 RADIUS 服务器间发送任何订户密码时,都要加密该密码。 灵活认证机制:
RADIUS 服务器可支持多种认证订户的方法。当订户提供订户名和原始密码时,RADIUS 可支持点对点协议(PPP)、密码认证协议(PAP)、提问握手认证协议(CHAP)以及其它认证机制。
可扩展协议:
所有事务都由变长的三元组“属性-长度-值”组成。可在不影响现有协议实现的情况下添加新属性值。
如何配置 RADIUS 服务器
在“ISA 服务器管理”的控制台树中,单击“常规”: 对于 ISA Server 2004 Enterprise Edition,依次展开“Microsoft Internet Security and Acceleration Server 2004”、“阵列”、“Array_Name”、“配置”,然后单击“常规”。 对于 ISA Server 2004 Standard Edition,依次展开“Microsoft Internet Security and Acceleration Server 2004”、“Server_Name”、“配置”,然后单击“常规”。 在详细信息窗格中,单击“定义 RADIUS 服务器”。 在“RADIUS 服务器”选项卡上,单击“添加”。 在“服务器名”中,键入要用于身份验证的 RADIUS 服务器的名称。 单击“更改”,然后在“新机密”中,键入要用于 ISA 服务器与 RADIUS 服务器之间的安全通讯的共享机密。必须在 ISA 服务器与 RADIUS 服务器上配置相同的共享机密,RADIUS 通讯才能成功。 在“端口”中,键入 RADIUS 服务器要对传入的 RADIUS 身份验证请求使用的用户数据报协议 (UDP)。默认值 1812 基于 RFC 2138。对于更早的 RADIUS 服务器,请将端口值设置为 1645。 在“超时(秒)”中,键入 ISA 服务器将尝试从 RADIUS 服务器获得响应的时间(秒),超过此时间之后,ISA 服务器将尝试另一台 RADIUS 服务器。 如果基于共享机密的消息验证程序与每个 RADIUS 消息一起发送,请选择“总是使用消息验证程序”。
注意:
要打开“ISA 服务器管理”,请单击“开始”,依次指向“所有程序”、“Microsoft ISA Server”,然后单击“ISA 服务器管理”。 当为 RADIUS 身份验证配置 ISA 服务器时,RADIUS 服务器的配置会应用于使用 RADIUS 身份验证的所有规则或网络对象。 共享机密用于验证 RADIUS 消息(Access-Request 消息除外)是否是配置了相同的共享机密且启用了 RADIUS 的设备发送的。 请务必更改 RADISU 服务器上的默认预共享密钥。 配置强共享密钥,并经常更改,以防止词典攻击。强共享机密是一串很长(超过 22 个字符)的随机字母、数字和标点符号。 如果选择“总是使用消息验证程序”,请确保 RADIUS 服务器能够接收并配置为接收消息验证程序。 对于 客户端,可扩展的身份验证协议 (EAP) 消息始终是随同消息验证程序一起发送的。对于 Web 代理客户端,将仅使用密码身份验证协议 (PAP)。 如果 RADIUS 服务器运行了 Internet 身份验证服务 (IAS),并且为此服务器配置的 RADIUS 客户端选择了“请求必须包含消息验证程序属性”选项,则必须选择“总是使用消息验证程序”。Windows Server 2003 安全性指南介绍
Windows Server 2003安全指南概述
安全性指南概述
更新日期:2003年6月20日
"Windows Server 2003安全指南"旨在提供一套易于理解的指南、工具和模板,帮助用户维护一个安全的Windows Server 2003环境。尽管该产品在默认安装状态下非常安全,但是您仍然可以根据实际需要对大量安全选项进行进一步配置。该指南不仅提供了安全方面的建议,而且提供了与安全风险有关的背景信息,说明了这些设置在减轻安全威胁的同时,可能会对环境产生的影响。
指南解释了三种不同环境所具有的不同需求,以及每一种规定的服务器设置在客户机依赖关系方面所要解决的问题。我们所考虑的三种环境分别是:旧有客户机(Legacy Client)、企业客户机(Enterprise Client)和高安全性(High Security)。
"旧有客户机"设置设计用来工作在运行Windows Server 2003域控制器和成员服务器的Active Directory域中,域中还运行基于Windows 98、Windows NT 40以及其它更新 *** 作系统的客户机。
"企业客户机"设置设计用来工作在Windows Server 2003域控制器和成员服务器的Active Directory域中,域中同时还运行基于Windows 2000、Windows XP以及其它更新 *** 作系统的客户机。
"高安全性"设置也设计用来工作在Windows Server 2003域控制器和成员服务器的Active Directory域中,域中同时还运行基于Windows 2000、Windows XP以及其它更新 *** 作系统的客户机。但是,"高安全性"设置具有很多限制,以致许多应用程序无法正常工作,同时服务器的性能也会有轻微的降低,对服务器的管理也更具挑战性。
这些不同级别的强化措施针对具有基线安全性的成员服务器和各种不同的服务器角色。我们将在下面对包括在本指南中的文档进行讨论。
指南内容
出于易用性的考虑,指南的内容被划分为几个不同的部分。其中包括安全性指南及其姐妹篇"威胁和对策:Windows Server 2003 和 Windows XP中的安全设置"、测试指南、交付指南和支持指南。
Windows Server 2003安全指南
Windows Server 2003安全指南 分为12章。每一章都建立在一个端对端的过程之上,该过程对于在您的环境中实现和维护wins2的安全来说是必需的。前几章的内容介绍了强化组织中的服务器所需的基础知识,其余章节则详细介绍了强化每种服务器角色所需进行的 *** 作步骤。
第 1 章: Windows Server 2003安全指南介绍
本章介绍了Windows Server 2003安全指南,并且对每一章的内容进行了简单概述。
第 2 章:配置域的基础结构
本章解释了基线域环境的构建方法,以便为保护Windows Server 2003基础结构提供指导。本章首先讲解了域级别的安全设置选项和相应对策。然后对Microsoft Active Directory®服务和组织单位(OU)的设计方法以及域策略进行了深入介绍。
第 3 章:创建成员服务器基线
本章解释了指南所定义三种环境中相关服务器角色的安全模板设置和其它对策。本章着重介绍了为将在指南后文中进行讨论的服务器角色强化建议建立基线环境的方法。
第 4 章:强化域控制器
在维护各种Windows Server 2003 Active Directory 环境的安全性方面,域控制器服务器角色是最重要的服务器角色之一。本章重点介绍了隐藏在我们建议采用的域控制器组策略后面的一些安全考虑事项。
第 5 章:强化基础结构服务器
在本章中,基础结构服务器被定义为动态主机控制协议(Dynamic Host Control Protocol,DHCP)服务器或 Windows Internet名称服务(Windows Internet Name Service,WINS)服务器。本章详细介绍了在环境中的基础结构服务器上进行安全设置能够为您带来的好处,这些设置不能通过成员服务器基线策略(Member Server Baseline Policy,MSBP)得到应用。
第 6 章:强化文件服务器
本章关注于文件服务器角色以及对该服务器角色进行强化将要面临的困难。本章详细展示了对文件服务器进行安全方面的设置所能够为您带来的益处,这些安全设置均无法通过成员服务器基线策略(MSBP)进行应用。
第 7 章:强化打印服务器
打印服务器是本章所要讲述的重点。再一次地,服务器提供的最重要服务都需要使用与Windows NetBIOS相关的协议。本章详细介绍了能够加强打印服务器安全性的设置,这些设备不能通过成员服务器基线策略(MSBP)得到应用。
第 8 章:强化IIS服务器
本章各个小节详细介绍了能够增强您所在环境中的IIS服务器安全性的设置。我们在此强调了安全监视、检测和响应等工作的重要性,以确保这些服务器保持安全状态。
第 9 章:强化IAS服务器
Internet Authentication Servers(Internet身份验证服务,IAS)提供了Radius服务,这是一种基于标准的身份验证协议,旨在对远程访问网络的客户机身份进行鉴别。本章对IAS Server能够从中受益的安全设置进行了详细介绍,这些设置不能通过成员服务器基线策略(MSBP)应用到服务器上。
第 10 章:强化证书服务服务器
证书服务(Certificate Services)为在服务器环境中构建公共密钥基础结构(PKI)提供了所需的加密和证书管理服务。本章对证书服务服务器能够从中受益的安全设置进行了详细介绍,这些设置不能通过成员服务器基线策略(MSBP)应用到服务器上。
第 11 章:强化堡垒主机
堡垒主机是客户机能够通过Internet进行访问的服务器。我们在本章中详细介绍了堡垒主机能够从中受益的安全设置,这些设置不能通过成员服务器基线策略(MSBP)应用到服务器上,我们同时还介绍了在基于Active Directory的域环境中应用这些设置的方法。
第 12 章:结论
本章对整个安全性指南进行了总结,并且通过简短的概述性语言对指南前面各章中的所有要点进行了回顾。
威胁和对策:Windows Server 2003 和 Windows XP中的安全设置
本指南的目的在于为Microsoft® Windows® *** 作系统当前版本中可以使用的安全设置提供一个参考。它是"Windows Server 2003安全指南"的姐妹篇。
对于我们在指南中讨论的每一种设置,我们都介绍了该项设置可以防范的安全性威胁,可以应用的不同对策,以及这些设置选项对系统性能可能产生的影响。
测试指南
本文档使得实施了Windows Server 2003安全指南 的企业能够对他们的解决方案实现方式进行测试。文档还介绍了 Windows Server 2003安全指南测试小组自己在测试过程中获得的真实体验。
本文描述了Windows Server 2003安全指南 测试工作的范围、目标和策略。文章还介绍了测试环境、测试案例细节、发布标准以及测试结果。
交付指南
本指南为商业规划人员、IT系统设计人员或者项目经理提供了一些一般性信息,为他们实施本解决方案以及完成部署本解决方案所必须完成的工作、资源类型、相关知识以及所需的大概费用提出了建议。这些信息将通过通往一般性解决方案框架的指针以及针对本安全解决方案而专门提供的工具交付给用户。
支持指南
本文档的目标读者是那些正在实施Windows Server 2003安全指南 的部署小组和那些正在为该解决方案提供支持和维护服务的客户。
文档旨在围绕解决方案软件组件的支持方式提供一些信息,其中包括:逐级提交路径、支持服务和资源以及不同的支持服务级别。
下载和资源
下载 Windows Server 2003安全指南
下载"威胁和对策:Windows Server 2003 和 Windows XP中的安全设置"
提交您的反馈意见
我们希望听到大家对本指南的反馈意见。我们特别希望了解大家对以下主题的反馈意见:
指南中提供的信息对您有帮助吗?
指南中介绍的分步 *** 作过程准确吗?
指南的各章内容的可读性如何?是否能够引起您的兴趣?
您从整体上如何对本指南进行评价?
请将您的反馈意见发送到以下电子邮件地址:secwish@microsoftcom 我们期待着您的回音。
windows server2003是目前最为成熟的网络服务器平台,安全性相对于windows 2000有大大的提高,但是2003默认的安全配置不一定适合我们的需要,所以,我们要根据实际情况来对win2003进行全面安全配置。说实话,安全配置是一项比较有难度的网络技术,权限配置的太严格,好多程序又运行不起,权限配置的太松,又很容易被黑客入侵,做为网络管理员,真的很头痛,因此,我结合这几年的网络安全管理经验,总结出以下一些方法来提高我们服务器的安全性。
第一招:正确划分文件系统格式,选择稳定的 *** 作系统安装盘
为了提高安全性,服务器的文件系统格式一定要划分成NTFS(新技术文件系统)格式,它比FAT16、FAT32的安全性、空间利用率都大大的提高,我们可以通过它来配置文件的安全性,磁盘配额、EPS文件加密等。如果你已经分成FAT32的格式了,可以用CONVERT 盘符 /FS:NTFS /V 来把FAT32转换成NTFS格式。正确安装windows 2003 server,可以直接网上升级,我们安装时尽量只安装我们必须要用的组件,安装完后打上最新的补丁,到网上升级到最新版本!保证 *** 作系统本身无漏洞。
第二招:正确设置磁盘的安全性,具体如下(虚拟机的安全设置,我们以asp程序为例子)重点:
1、系统盘权限设置
C:分区部分:
c:\
administrators 全部(该文件夹,子文件夹及文件)
CREATOR OWNER 全部(只有子文件来及文件)
system 全部(该文件夹,子文件夹及文件)
IIS_WPG 创建文件/写入数据(只有该文件夹)
IIS_WPG(该文件夹,子文件夹及文件)
遍历文件夹/运行文件
列出文件夹/读取数据
读取属性
创建文件夹/附加数据
读取权限
c:\Documents and Settings
administrators 全部(该文件夹,子文件夹及文件)
Power Users (该文件夹,子文件夹及文件)
读取和运行
列出文件夹目录
读取
SYSTEM全部(该文件夹,子文件夹及文件)
C:\Program Files
administrators 全部(该文件夹,子文件夹及文件)
CREATOR OWNER全部(只有子文件来及文件)
IIS_WPG (该文件夹,子文件夹及文件)
读取和运行
列出文件夹目录
读取
Power Users(该文件夹,子文件夹及文件)
修改权限
SYSTEM全部(该文件夹,子文件夹及文件)
TERMINAL SERVER USER (该文件夹,子文件夹及文件)
修改权限
2、网站及虚拟机权限设置(比如网站在E盘)
说明:我们假设网站全部在E盘 >对于有线连接的身份验证和授权,启用 8021X 的交换机通常使用远程身份验证拨号用户服务 (RADIUS) 协议向 RADIUS 服务器发送连接请求,如基于 Windows Server® 2008 的网络策略服务器 (NPS) 或 Windows Server 2003 Internet 身份验证服务 (IAS) 服务器。
在您针对 RADIUS 对交换机进行配置之后,若需要进行 8021X 身份验证,还必须在您的有线计算机上启用并配置 8021X 身份验证。自 Windows XP 后,Microsoft® Windows® 中就开始支持有线网络连接的 IEEE 8021X 身份验证。但是,您必须在每台有线客户端的 Windows XP 和 Windows Server 2003 中手动配置 8021X 身份验证设置(在 Network Connections 文件夹中网络连接属性的“身份验证”选项卡中)。
欢迎分享,转载请注明来源:内存溢出
评论列表(0条)