Первая страница
Наша команда
Контакты
О нас

    Головна сторінка



N держреєстрації

N держреєстрації




Сторінка11/18
Дата конвертації10.03.2017
Розмір1.8 Mb.
1   ...   7   8   9   10   11   12   13   14   ...   18

2.1.8. Роль сервера IAS


Цей розділ надає рекомендації і необхідні ресурси для зміцнення безпеки серверів IAS в середовищі з Microsoft Windows Server 2003 з пакетом оновлення 1 (SP1). IAS є розробленою корпорацією Майкрософт реалізацію служби RADIUS і проксі-сервера, такою, що забезпечує централізоване управління перевіркою достовірності користувачів, авторизацією і обліковими даними. IAS використовується для перевірки достовірності користувачів в базах даних контроллерів доменів з Windows  Server 2003, Windows NT® 4.0 і Windows 2000. IAS також підтримує різні сервери мережевого доступу (NAS), включаючи службу маршрутизації і видаленого доступу (RRAS).
Проксі-сервер (від англ. proxy - «представник, уповноважений») - сервер (комп'ютерна система або програма) в комп'ютерних мережах, що дозволяє клієнтам виконувати непрямі (через посередництво проксі-сервера) запити до мережевих сервісів.
Маршрутиза́ція (англ. Routing) - процес визначення маршруту прямування інформації між мережами. Маршрутизатор (або роутер від англ. router) приймає рішення, що базується на IP-адресі отримувача пакету.

Механізм маскування RADIUS використовує загальний секрет RADIUS, засіб перевірки достовірності запитів і алгоритм хешування MD5 для шифрування атрибутів User-Password, Tunnel-Password, MS-CHAP-MPPE-Keys і інших. Згідно RFC 2865, слід оцінити середовище погроз і визначити, чи слід удатися до додаткових заходів безпеки.

Параметри, описані в даному розділі, настроюються і застосовуються за допомогою групової політики. Об'єкт групової політики, доповнюючий базову політику рядового сервера (MSBP) може бути пов'язаний з відповідними підрозділами, які містять сервери IAS, для надання необхідних змін параметрів безпеці для даної ролі сервера. У даному розділі розглядаються параметри політик, що відрізняються від параметрів базової політики рядових серверів.

По можливості ці параметри об'єднують в додатковий шаблон групової політики, який буде застосований до підрозділу серверів IAS. Деякі з описуваних в цьому розділі параметрів не можна застосувати за допомогою групової політики. Для цих параметрів приведені докладні відомості по їх настройці уручну.

Ім'я шаблону безпеки інфраструктури сервера для середовища корпоративних клієнтів — EC-Infrastructure Server.inf. Цей шаблон надає параметри для додаткового шаблону сервера IAS, який, у свою чергу, використовується для створення нового об'єкту групової політики, пов'язаного з підрозділом серверів IAS. Покрокові інструкції по створенню підрозділів і групових політик і подальшому імпорту відповідного шаблону безпеки в об'єкт групової політики містяться в розділі 1 «Механізми зміцнення безпеки Windows Server 2003».

Для настройки необхідних параметрів безпеки при створенні політики сервера слід використовувати як майстер настройки безпеки (SCW), так і шаблони безпеки.

При створенні власної політики потрібно пропустити розділи «Параметри реєстру» і «Політика аудиту». Відповідні параметри будуть узяті з шаблонів безпеки для вибраного середовища. Такий спосіб настройки гарантує, що елементи політики, що містяться в шаблонах, матимуть вищий пріоритет в порівнянні з елементами, заданими за допомогою майстра настройки безпеки.

Всі настройки слід виконувати на комп'ютері із знов встановленою операційною системою, щоб уникнути перенесення застарілих параметрів або програм з колишніх конфігурацій. По можливості, слід використовувати устаткування, схоже по характеристиках з устаткуванням, які використовуватиметься при розгортанні, щоб забезпечити максимальну сумісність. Комп'ютер з наново встановленою операційною системою називається контрольним комп'ютером.

Під час створення політики сервера із списку виявлених ролей можна видалити роль файлового сервера. Ця роль часто буває настроєна на серверах, де вона не потрібна, і може представляти загрозу безпеці. Якщо на сервері потрібна роль файлового сервера, її можна включити при настройці іншої політики, описаної нижче.

Для створення політики сервера IAS необхідно:



  1. Встановити систему Windows Server 2003 з пакетом оновлення 1 (SP1) на новий контрольний комп'ютер.

  2. Встановити на комп'ютер майстер настройки безпеки. Відкрити для цього панель управління, двічі клацнути значок «Установка і видалення програм» і вибрати варіант «Установка компонентів Windows».

  3. Підключити комп'ютер до домену, який виконає застосування всіх параметрів безпеки батьківських підрозділів.

  4. Встановити і налаштувати тільки обов'язкові програми, які будуть встановлені на всі сервери, що виконують дану роль. Прикладами можуть служити служби, визначувані роллю, агенти програмного забезпечення і управління, агенти зовнішніх сховищ, а також антивірусні і антишпигунські програми.

  5. Запустити графічний інтерфейс користувача майстра настройки безпеки, вибрати пункт Створити нову політику і вказати контрольний комп'ютер.

  6. Переконатися в тому, що виявлені ролі серверів, наприклад роль сервера IAS (RADIUS), підходять для середовища.

  7. Переконатися в тому, що виявлені функції клієнта підходять для середовища.

  8. Переконатися в тому, що виявлені адміністративні можливості підходять для середовища.

  9. Переконатися в тому, що знайдені всі додаткові служби, необхідні для виконання базових функцій, наприклад агенти зовнішніх сховищ і антивірусні програми.

  10. Визначити порядок роботи із службами, які не були вказані при створенні політики. Для забезпечення додаткової безпеки можна встановити цей параметр політики в значення Відключений. Перш ніж розгортати конфігурацію в робочій мережі, її необхідно протестувати, оскільки можуть виникнути проблеми, якщо на робочих серверах запущені додаткові служби, не продубльовані на контрольному комп'ютері.

  11. Переконатися в тому, що в розділі «Безпека мережі» знятий прапорець Пропустити цей розділ, потім натиснути кнопку Далі. Відповідні порти і програми, визначені раніше, настроюються як виключення брандмауера Windows.

  12. У розділі «Параметри реєстру» встановити прапорець Пропустити цей розділ і натиснути кнопку Далі. Дані параметри політики імпортуються з файлу, що додається, з розширенням INF.

  13. У розділі «Політика аудиту» встановити прапорець Пропустити цей розділ і натиснути кнопку Далі. Дані параметри політики імпортуються з файлу, що додається, з розширенням INF.

  14. Включити відповідний шаблон безпеки (наприклад, EC-IAS Server.inf).

  15. Зберегти політику з відповідним ім'ям (наприклад, IAS Server.xml).
1   ...   7   8   9   10   11   12   13   14   ...   18



  • Створити нову політику
  • Пропустити цей розділ