Internet Authentication Service & Network Policy Server
Internet Authentication Service (IAS) was renamed Network Policy Server (NPS).
Internet Authentication Service
Internet Authentication Service is the Microsoft implementation of a RADIUS server and proxy.
Internet Authentication Service supports two API sets: Network Policy Server Extensions API and Server Data Objects API.
Network Policy Server
Network Policy Server is the Microsoft implementation of a RADIUS server and proxy and it is available on Windows servers starting with Windows Server 2008.
In addition, NPS contains a set of new features that expand the IAS capabilities.
Feature
What’s new for NPS
Network Access Protection (NAP)
NPS is the central server of Network Access Protection. NPS supports policy authoring using the following additional conditions:
Policy expiration.
Operating system version.
Access client IP address.
Health policies.
Allowed EAP types.
HCAP.
NPS supports policy authoring using the following additional settings:
Probation.
Limited access.
Extended state for limited access.
NPS, through NAP, interoperates with CISCO NAC. IAS does not support NAP.
EAP Policy and EAPHost Support
NPS uses EAPHost for EAP method extensibility. Additionally, administrators may configure network access policy for EAP. IAS does not support EAPHost integration, or EAP type filter conditions for policies.
IPv6 Support
NPS supports deployment in IPv6 environments. IAS does not support IPv6 network addresses.
XML Configuration
NPS configuration can be imported and exported in XML format. IAS is using a Jet database for storing service configuration.
Common Criteria Support
NPS has been updated to support its deployment in environments that must meet the Common Criteria security standards.
NPS Extensions API
The NPS extension DLLs run in a separate process from the NPS service. Should an extension DLL crash, NPS will keep running and future requests will be rejected. The IAS extension DLLs run in the same process as the IAS service and may adversely affect the service.
Management User Interface
The NPS management console (nps.msc) has a new look, improved usability, and covers all the new functionality added to NPS. IAS uses the ias.msc management console.
Role Management Tool and Server Manager Integration
NPS is integrated with the Server Manager and the Role Management Tool. This integration facilitates the configuration and management of NPS and related scenarios. Server Manager is not available on computers running IAS.
Updated Command Line Scripting with Netsh.
NPS supports the «Netsh nps» command line interface. «Netsh nps» contains new commands that permit to fully configure NPS, including NAP features. IAS supports the «Netsh aaaa» command line interface.
Policy Isolation
NPS enables the implementation of policy isolation by setting the Network Policy Source. Policies can be configured that are applicable only to a predetermined NAS type. IAS does not support policy isolation.
See TechNet: Network Policy Server for more information on NPS.
Ias windows что это
Если вы считаете, что её стоило бы доработать как можно быстрее, пожалуйста, скажите об этом.
На этой странице описаны различные аспекты настройки RADIUS-сервера в Windows 2003: Internet Authentication Service (IAS). Пока что основное внимание уделено настройке сервера для прохождения пользователями 802.1X, web- и mac-аутентификации.
Содержание
[править] Настройка Internet Authentication Service (IAS)
[править] Настройка RADIUS-клиентов
[править] Настройка политики для аутентификации пользователей
[править] Настройка политики для аутентификации компьютеров
В среде Microsoft, при включении компьютера, в первую очередь должен быть доступ к контроллеру домена, а только после этого может выполняться аутентификация пользователя по 802.1X.
Аутентификация на DC нужна для:
Machine group policies
Computer startup scripts
Software installation settings
Но, если на порту сетевого устройства, к которому подключен компьютер, настроена аутентификация 802.1X, то через этот порт проходит только трафик протокола EAP. И доступ к контроллеру домена невозможен. Если клиент до этого получал доступ к контроллеру домена, то у него в кеше хранится достаточно информации для старта компьютера без доступа к контроллеру домена.
Однако, это решает только вопрос доступа к контроллеру домена для прохождения аутентификации. Вопрос применения групповых политик к компьютерам и установки программного обеспечения на компьютер остается неразрешенным.
Существуют клиенты различных производителей, которые позволяют поменять порядок аутентификации по 802.1X и аутентификации в домене. Примеры клиентов:
Huawei-3Com 802.1X клиент
Odyssey Client от Funk Software
Аутентификация компьютера (даже без подключенного пользователя) позволяет решить вопрос доступа к контроллеру домена для:
прохождения аутентификации в домене,
применения групповых политик к компьютеру,
автоматической установки ПО на компьютер.
Процедура настройки клиента для прохождения аутентификации описана на странице 802.1X и RADIUS
1. Нажать правой кнопкой на Remote Access Policies и выбрать в сплывающем меню New Remote Access Policy. Появится New Remote Access Policy Wizard.
3. Выбрать Set up a custom policy, написать имя для новой политики (например, Computer auth), нажать Next:
4. В окне Policy Conditions нажать Add.
5. Выбрать Windows Groups в качестве условия для созданной политики и нажать Add.
6. В окне Groups нажать Add.
7. Набрать Domain Computers и нажать OK.
10. Выбрать Grant remote access permission и нажать Next.
11. Нажать Edit Profile и выбрать закладку Authentication.
12. Нажать EAP Methods. Настройки по умолчанию должны быть изменены для добавление метода PEAP.
13. В окне select EAP Providers нажать Add.
14. Выбрать Protected EAP (PEAP) и нажать OK.
15. Дважды нажать OK.
16. Выбрать No во всплывшем окне Dial-in Settings.
18. Click Finish to close the New Remote Access Policy Wizard.
[править] Настройка дополнительных атрибутов в политиках
[править] Назначение VLAN по результатам аутентификации на коммутатор
Для динамического размещения порта коммутатора в VLANе по результатам аутентификации используются такие стандартные атрибуты RADIUS-сервера:
[64] Tunnel-Type=VLAN (type 13)
[65] Tunnel-Medium-Type=802 (type 6)
[81] Tunnel-Private-Group-ID=VLANID (или имя VLAN)
[править] Назначение ACL по результатам аутентификации на коммутатор ProCurve
[править] Проверка работы IAS
Если клиент не прошел аутентификацию, то информацию о том, по каким причинам это произошло можно посмотреть в Event Viewer > System.
[править] Всякое
[править] Password Policy: Store Passwords Using Reversible Encryption
После включения этой функции необходимо сделать reset password для пользователя
Руководство по безопасности Windows Server 2003
Глава 10. Роль сервера IAS
Опубликовано 20 апреля 2007 г.
На этой странице
Обзор
Эта глава предоставляет рекомендации и необходимые ресурсы для укрепления безопасности серверов IAS в среде с Microsoft* WindowsServer *2003 с пакетом обновления 1 (SP1). IAS представляет собой разработанную корпорацией Майкрософт реализацию службы RADIUS и прокси-сервера, обеспечивающую централизованное управление проверкой подлинности пользователей, авторизацией и учетными данными. IAS используется для проверки подлинности пользователей в базах данных контроллеров доменов с Windows * Server2003, WindowsNT®4.0 и Windows *2000. IAS также поддерживает различные серверы сетевого доступа (NAS), включая службу маршрутизации и удаленного доступа (RRAS).
Механизм маскировки RADIUS использует общий секрет RADIUS, средство проверки подлинности запросов и алгоритм хэширования MD5 для шифрования атрибутов User-Password, Tunnel-Password, MS-CHAP-MPPE-Keys и других. Согласно RFC 2865, следует оценить среду угроз и определить, следует ли прибегнуть к дополнительным мерам безопасности.
Параметры, описанные в данной главе, настраиваются и применяются с помощью групповой политики. Объект групповой политики, дополняющий базовую политику рядового сервера (MSBP) может быть связан с соответствующими подразделениями, которые содержат серверы IAS, для предоставления необходимых изменений параметров безопасности для данной роли сервера. В данной главе рассматриваются параметры политик, отличающиеся от параметров базовой политики рядовых серверов.
По возможности эти параметры объединяют в дополнительный шаблон групповой политики, который будет применен к подразделению серверов IAS. Некоторые из описываемых в этой главе параметров нельзя применить с помощью групповой политики. Для этих параметров приведены подробные сведения по их настройке вручную.
Имя шаблона безопасности инфраструктуры сервера для среды корпоративных клиентов — EC-Infrastructure Server.inf. Этот шаблон предоставляет параметры для добавочного шаблона сервера IAS, который, в свою очередь, используется для создания нового объекта групповой политики, связанного с подразделением серверов IAS. Пошаговые инструкции по созданию подразделений и групповых политик и последующему импорту соответствующего шаблона безопасности в объект групповой политики содержатся в главе 2 «Механизмы укрепления безопасности Windows Server 2003».
Дополнительные сведения о параметрах политики MSBP см. в главе 4 «Базовая политика рядовых серверов». Сведения обо всех параметрах по умолчанию см. в дополнительном руководстве Угрозы и меры противодействия: параметры безопасности в системах Windows Server 2003 и Windows XP*, которое можно загрузить по адресу *http://go.microsoft.com/fwlink/?LinkId=15159 (на английском языке).
Примечание. Рекомендованные параметры для роли сервера IAS были проверены только в среде EC. По этой причине данные о DoS-атаках, указанные для большинства других ролей сервера в данном руководстве, в эту главу не включены.
Политика аудита
Параметры политики аудита для серверов IAS в среде корпоративных клиентов настраиваются с помощью базовой политики рядовых серверов. Дополнительные сведения о политике MSBP см. в главе 4 «Базовая политика рядовых серверов». Параметры MSBP обеспечивают запись в журнал всех важных сведений об аудите безопасности на всех серверах IAS в организации.
Назначение прав пользователя
Назначение прав пользователя на серверах IAS в среде EC также производится через MSBP. Дополнительные сведения о политике MSBP см. в главе 4 «Базовая политика рядовых серверов». Параметры MSBP обеспечивают единую настройку соответствующего доступа к серверам IAS во всей организации.
Параметры безопасности
Параметры безопасности для серверов IAS в среде EC также настраиваются через MSBP. Дополнительные сведения о политике MSBP см. в главе 4 «Базовая политика рядовых серверов». Параметры MSBP обеспечивают единую настройку соответствующего доступа к серверам IAS по всей организации.
Журнал событий
Параметры журналов событий серверов IAS в среде EC также настраиваются через MSBP. Дополнительные сведения о политике MSBP см. в главе 4 «Базовая политика рядовых серверов».
Дополнительные параметры безопасности
Хотя параметры безопасности, применяемые MSBP, значительно укрепляют безопасность серверов IAS, в данном разделе рассматриваются некоторые дополнительные факторы. Однако параметры, описанные в данном разделе, нельзя применить с помощью групповой политики. Их внедрение необходимо выполнять вручную на всех серверах IAS.
Обеспечение безопасности известных учетных записей
В системе Windows* Server2003 с пакетом обновления 1 (SP1) имеется несколько встроенных учетных записей, которые нельзя удалить, но можно переименовать. Две самые известные встроенные учетные записи WindowsServer *2003 — «Гость» и «Администратор».
На рядовых серверах и контроллерах домена учетная запись гостя по умолчанию отключена и включать ее не рекомендуется. Многие вредоносные программы для получения несанкционированного доступа к серверу в первую очередь пытаются использовать встроенную учетную запись администратора. Поэтому следует переименовать встроенную учетную запись администратора и изменить ее описание для предотвращения попыток получения несанкционированного доступа к удаленному серверу с помощью этой хорошо известной учетной записи.
Эффективность такого переименования в последние годы снизилась из-за появления средств атаки, указывающих при обращении к серверу идентификатор безопасности (SID) встроенной учетной записи администратора. По идентификатору безопасности определяется настоящее имя учетной записи, после чего делается попытка несанкционированного доступа. Идентификатор безопасности — это число, однозначно определяющее каждого пользователя, группу, учетную запись компьютера или сеанс входа в систему при работе в сети. Изменить идентификатор безопасности этой встроенной учетной записи невозможно. Однако оперативные группы организации смогут с легкостью отслеживать попытки атак на учетную запись администратора, если ей будет присвоено уникальное имя.
Защита известных учетных записей на серверах IAS
Переименуйте учетные записи администратора и гостя в каждом домене и на каждом сервере, используйте длинные и сложные пароли.
Для каждого сервера назначайте разные пароли и имена учетных записей. При использовании одинаковых паролей и имен учетных записей злоумышленник, получив доступ к одному из рядовых серверов, сможет получить доступ и к другим.
Чтобы предотвратить идентификацию учетной записи по ее описанию, смените описание.
Храните записи сделанных изменений в безопасном месте.
Примечание. Встроенную учетную запись администратора можно переименовать с помощью групповой политики. Данный параметр политики не был реализован ни в одном из шаблонов безопасности, содержащихся в настоящем руководстве, так как каждая организация должна сама выбрать уникальное имя для данной учетной записи. Однако параметр Учетные записи: переименование учетной записи администратора можно использовать для переименования учетных записей администраторов в среде EC. Этот параметр политики входит в раздел параметров безопасности объекта групповой политики.
Защита учетных записей служб
Без необходимости не настраивайте службы на запуск в контексте безопасности учетной записи домена. Имея физический доступ к серверу, пароли учетной записи домена очень просто получить, выгрузив секретные данные из LSA. Дополнительные сведения об укреплении безопасности учетных записей служб см. в руководстве по планированию обеспечения безопасности служб и служебных учетных записей по адресу http://go.microsoft.com/fwlink/?LinkId=41311 (на английском языке).
Создание политики с помощью мастера настройки безопасности
Для настройки необходимых параметров безопасности при создании политики сервера следует использовать как мастер настройки безопасности (SCW), так и шаблоны безопасности, включенные в загружаемую версию данного руководства.
При создании собственной политики пропустите разделы «Параметры реестра» и «Политика аудита». Соответствующие параметры будут взяты из шаблонов безопасности для выбранной среды. Такой способ настройки гарантирует, что элементы политики, содержащиеся в шаблонах, будут иметь более высокий приоритет по сравнению с элементами, заданными с помощью мастера настройки безопасности.
Все настройки следует выполнять на компьютере с вновь установленной операционной системой, чтобы избежать переноса устаревших параметров или приложений из прежних конфигураций. По возможности, следует использовать оборудование, схожее по характеристикам с оборудованием, которые будет использоваться при развертывании, чтобы обеспечить максимальную совместимость. Компьютер с заново установленной операционной системой называется контрольным компьютером.
Во время создания политики сервера из списка обнаруженных ролей можно удалить роль файлового сервера. Эта роль часто бывает настроена на серверах, где она не нужна, и может представлять угрозу безопасности. Если на сервере требуется роль файлового сервера, ее можно включить при настройке другой политики, описанной ниже.
Создание политики сервера IAS
Установите систему Windows Server 2003 с пакетом обновления 1 (SP1) на новый контрольный компьютер.
Установите на компьютер мастер настройки безопасности. Откройте для этого панель управления, дважды щелкните значок «Установка и удаление программ» и выберите вариант «Установка компонентов Windows».
Подключите компьютер к домену, который выполнит применение всех параметров безопасности родительских подразделений.
Установите и настройте только обязательные приложения, которые будут установлены на все серверы, выполняющие данную роль. Примерами могут служить службы, определяемые ролью, агенты программного обеспечения и управления, агенты внешних хранилищ, а также антивирусные и антишпионские программы.
Запустите графический интерфейс пользователя мастера настройки безопасности, выберите пункт Создать новую политику и укажите контрольный компьютер.
Убедитесь в том, что обнаруженные роли серверов, например роль сервера IAS (RADIUS), подходят для среды.
Убедитесь в том, что обнаруженные функции клиента подходят для среды.
Убедитесь в том, что обнаруженные административные возможности подходят для среды.
Убедитесь в том, что найдены все дополнительные службы, необходимые для выполнения базовых функций, например агенты внешних хранилищ и антивирусные программы.
Определите порядок работы со службами, которые не были указаны при создании политики. Для обеспечения дополнительной безопасности можно установить этот параметр политики в значение Отключен. Прежде чем развертывать конфигурацию в рабочей сети, ее необходимо протестировать, так как могут возникнуть проблемы, если на рабочих серверах запущены дополнительные службы, не продублированные на контрольном компьютере.
Убедитесь в том, что в разделе «Безопасность сети» снят флажок Пропустить этот раздел, затем нажмите кнопку Далее. Соответствующие порты и приложения, определенные ранее, настраиваются в качестве исключений брандмауэра Windows.
В разделе «Параметры реестра» установите флажок Пропустить этот раздел и нажмите кнопку Далее. Данные параметры политики импортируются из прилагаемого файла с расширением INF.
В разделе «Политика аудита» установите флажок Пропустить этот раздел и нажмите кнопку Далее. Данные параметры политики импортируются из прилагаемого файла с расширением INF.
Включите соответствующий шаблон безопасности (например EC-IAS Server.inf).
Сохраните политику с соответствующим именем (например IAS Server.xml).
Проверка политики с помощью мастера настройки безопасности
После создания и сохранения политики корпорация Майкрософт настоятельно рекомендует развернуть ее в тестовой среде. В идеале тестовые серверы должны иметь такое же оборудование и программное обеспечение, как и рабочие серверы. Это позволит обнаружить и устранить возможные проблемы, например присутствие непредусмотренных служб, затребованных определенными устройствами.
Для тестирования политики используются два способа. Можно воспользоваться встроенными функциями развертывания мастера настройки безопасности или развернуть политики с помощью объекта групповой политики.
Приступая к созданию политик, следует рассмотреть возможность использования встроенных средств развертывания мастера настройки безопасности. Принудительно отправить политику на отдельный сервер можно с помощью мастера настройки безопасности, для группы серверов можно использовать средство Scwcmd. Встроенный метод развертывания позволяет легко откатить развернутые политики с помощью мастера настройки безопасности. Данная функция может быть очень полезна при внесении множественных изменений в политики в ходе тестирования.
Цель тестирования политик — удостовериться, что применение той или иной политики к серверам не повлияет негативно на их основные функции. После применения настроек следует проверить базовые возможности компьютера. Например, если сервер настроен как центр сертификации, следует удостовериться, что клиенты смогут запрашивать и загружать сертификаты, списки отзыва сертификатов и т. д.
По окончании работы с настройкой политик, следует использовать команду Scwcmd (см. процедуру ниже) для преобразования политик в объекты групповой политики.
Преобразование и развертывание политики
После всестороннего тестирования политики выполните следующие действия для ее преобразования в объект групповой политики и последующего развертывания.
введите в командной строке команду
и нажмите клавишу ВВОД. Пример.
Примечание. Строка разбита на несколько строк для удобства чтения. Однако при использовании в системе необходимо ввести команду одной строкой без разрывов.
Примечание. В приведенном примере текст, который необходимо ввести в командную строку, разбит на две части в связи с ограничениями экрана. Этот текст следует вводить одной строкой.
Используйте консоль управления групповыми политиками для сопоставления созданного объекта групповой политики соответствующему подразделению.
Если файл политики безопасности для мастера настройки безопасности содержит параметры брандмауэра Windows, то для успешного завершения этой процедуры брандмауэр Windows должен быть запущен на локальном компьютере. Чтобы запустить брандмауэр Windows, откройте панель управления и выберите пункт «Брандмауэр Windows».
Выполните окончательную проверку правильности значений параметров объекта групповых политик. Для завершения процедуры подтвердите, что значения параметров установлены правильно и функциональные возможности не изменились.
Заключение
В данной главе описаны параметры безопасности, которые можно использовать для укрепления безопасности серверов IAS с Windows* Server *2003 с пакетом обновления 1 (SP1) в среде корпоративных клиентов, рассматриваемой в данном руководстве. Эти параметры также могут подходить для других сред, описанных в данном руководстве, но проверка этого не производилась. Данные параметры настраиваются и применяются с помощью объекта групповой политики (GPO), разработанного в качестве дополнения к базовой политике рядового сервера. Для обеспечения дополнительной безопасности объекты групповой политики могут быть связаны с соответствующими подразделениями организации, содержащими серверы IAS.
Дополнительные сведения
Ниже приведены ссылки на документы, содержащие дополнительные сведения по укреплению безопасности серверов IAS под управлением Windows Server 2003 с пакетом обновлений 1 (SP1).
