将 IAS 用作 RADIUS 服务器时的安全注意事项

将 IAS 用作 RADIUS 服务器时的安全注意事项

将 IAS 部署为 RADIUS 服务器时,请考虑以下安全问题:
  • 共享机密

    配置强共享机密并对其进行频繁更改,以防止受到字典***。强共享机密是一个由随机字母、数字和标点符号组成的较长序列(多于 22 个字符)。详细信息,请参阅 共享的机密

  • “Message Authenticator”属性

    要确保传入的 RADIUS 访问请求消息(用于使用 PAP、CHAP、MS-CHAP 和 MS-CHAP v2 身份验证协议的连接请求)是从使用正确的共享机密配置的 RADIUS 客户端发出的,可以使用 RADIUS“Message Authenticator”属性(也称为数字签名或签名属性)。必须同时在 IAS 服务器(作为 Internet 验证服务中 RADIUS 客户端配置的一部分)和 RADIUS 客户端(访问服务器或 RADIUS 代理)上启用“Message Authenticator”属性。请在启用“Message Authenticator”属性前确保 RADIUS 客户端支持此属性。“Message Authenticator”属性总是与 EAP 一起使用,而不必在 IAS 服务器和访问服务器上启用它。详细信息,请参阅 编辑 RADIUS 客户端配置

    有关启用访问服务器的 RADIUS“Message Authenticator”属性的信息,请参阅相应访问服务器文档。对于路由和远程访问服务,在配置 RADIUS 身份验证提供程序时可以通过 RADIUS 服务器的属性启用 RADIUS“消息验证程序”属性。详细信息,请参阅 使用 RADIUS 身份验证

  • 防火墙配置

    如果 IAS 服务器位于外围网络(也称为外围安全区域或 DMZ),则需配置 Internet 防火墙(在外围网络和 Internet 之间),以便允许 RADIUS 消息在您的 IAS 服务器与 Internet 上的 RADIUS 客户端之间传送。您可能需要配置位于外围网络和 Intranet 之间的其他防火墙,以允许通讯在外围网络上的 IAS 服务器和 Intranet 上的域控制器之间传递。详细信息,请参阅 IAS 和防火墙

  • 身份验证协议

    IAS 支持几种不同的身份验证协议。身份验证协议从最安全到最不安全的顺序如下:PEAP-EAP-TLS(仅用于无线客户端和已通过身份验证的交换机客户 端)、EAP-TLS、PEAP-EAP-MS-CHAPv2(仅用于无线客户端和已通过身份验证的交换机客户端)、MS-CHAP v2、MS-CHAP、EAP-MD5、CHAP 和 PAP。Microsoft 建议您只使用配置所需的最安全可靠的身份验证协议。对于基于密码的身份验证协议,必须强制实施强密码策略以防止受到字典***。除非需要,否则不推荐使用 PAP。详细信息,请参阅 身份验证方法

  • 远程访问帐户锁定

    要防止通过使用已知的用户名对访问服务器启动联机字典***,您可以启用远程访问帐户锁定。达到所配置的连接尝试失败次数后,远程访问帐户锁定将禁用对用户帐户的远程访问。详细信息,请参阅 远程访问帐户锁定

    远程访问帐户锁定也可以用于防止恶意用户通过使用错误的密码多次尝试拨号或 ××× 连接而蓄意锁定域帐户。可以将用于远程访问帐户锁定的尝试失败次数设置为比用于域帐户锁定的登录重试次数的值小。通过此操作,锁定域帐户之前就会发生远程 访问帐户锁定,这样可以防止蓄意锁定域帐户。

  • 基于证书的身份验证

    在使用 EAP-TLS 身份验证协议时,您必须在 IAS 服务器上安装计算机证书。对于客户端和用户身份验证,可以在客户端计算机上安装证书或者使用智能卡。对证书进行注册之前,证书必须满足正确的需求和目的。详细信息,请参阅 网络访问身份验证和证书 基于证书的身份验证的计算机证书

  • 使用受保护的可扩展身份验证协议 (PEAP) 的无线客户端的身份验证

    可以使用带有 EAP-TLS 的 PEAP(也称为 PEAP-EAP-TLS)部署带有 PEAP 的证书。带有 EAP-MS-CHAPv2 的 PEAP(也称为 PEAP-EAP-MS-CHAPv2)能够提供安全密码身份验证。PEAP-EAP-TLS 使用带有证书的公钥结构 (PKI) 进行服务器身份验证,使用智能卡或证书进行客户端和用户身份验证。使用 PEAP-EAP-TLS 时,将对客户端证书信息进行加密。

    尽管对证书部署使用带智能卡的 PEAP-EAP-TLS 是最安全的身份验证方法,但是向无线客户端和已通过身份验证的交换机客户端部署证书的复杂性和成本对于您的组织而言可能不切实际。PEAP-EAP- MS-CHAPv2 对安全性与部署成本和复杂性进行了权衡。与 MS-CHAPv2 不同,PEAP-EAP-MS-CHAPv2 是一种相互身份验证方法,它能够使用传输级别安全性 (TLS) 创建客户端与身份验证方之间的端对端加密连接。客户端可能通过使用服务器的证书对服务器进行身份验证,而服务器可以通过基于密码的凭据对客户端进行身份验 证。有关使用 PEAP 的远程访问策略的示例,请参阅 使用安全密码身份验证的无线访问

  • Active Directory 中 IAS 服务器的注册

    在 IAS 服务器访问 Active Directory 域以便对用户凭据和用户访问帐户属性进行身份验证之前,必须在这些域中注册 IAS 服务器。详细信息,请参阅 使 IAS 服务器读取 Active Directory 中的用户帐户

  • 使用 IPSec 筛选器锁定 IAS 服务器

    您可以对 IPSec 筛选器进行更为细化的配置,以便只允许特定通讯进出 RADIUS 服务器上的网络接口。可以将这些筛选器应用于组织单位并存储在 Active Directory 中,也可以创建这些筛选器并将其应用到单独的服务器。详细信息,请参阅 使用 IPSec 来保证 RADIUS 的通信安全

注意
You can configure IAS in Windows Server 2003, Standard Edition, with a maximum of 50 RADIUS clients and a maximum of 2 remote RADIUS server groups. You can define a RADIUS client using a fully qualified domain name or an IP address, but you cannot define groups of RADIUS clients by specifying an IP address range. If the fully qualified domain name of a RADIUS client resolves to multiple IP addresses, the IAS server uses the first IP address returned in the DNS query. With IAS in Windows Server 2003, Enterprise Edition, and Windows Server 2003, Datacenter Edition, you can configure an unlimited number of RADIUS clients and remote RADIUS server groups. In addition, you can configure RADIUS clients by specifying an IP address range.