Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Pubblicato: 11 ottobre 2004 | Aggiornato: 24/11/2004
In questa pagina
Introduzione
Foglio di lavoro per la pianificazione dell'infrastruttura RADIUS
Creazione dei propri server
Installazione e configurazione del Servizio autenticazione Internet
Configurazione del server IAS primario
Distribuzione della configurazione a più server IAS
Riepilogo
Introduzione
Questo capitolo contiene informazioni dettagliate relative alla creazione di un'infrastruttura RADIUS (Remote Authentication Dial-In User Service) per la protezione di reti LAN senza fili (WLAN) basata sul Servizio autenticazione Internet (IAS, Internet Authentication Service) di Microsoft® Windows Server™ 2003. Sono incluse informazioni sull'installazione e la configurazione dei server RADIUS, la preparazione del servizio directory Active Directory® e la configurazione delle impostazioni del server IAS. L'infrastruttura RADIUS verrà usata nel capitolo successivo per creare una soluzione LAN senza fili completa.
L'obiettivo di questo capitolo è di fornire una guida all'implementazione della progettazione RADIUS descritta nel capitolo 5, "Progettazione di un'infrastruttura RADIUS per la protezione di reti LAN senza fili". Il capitolo non intende illustrare i principi generali di RADIUS o i dettagli sulle modalità di implementazione di IAS del protocollo RADIUS.
Questo capitolo è correlato ai capitoli Guida alla pianificazione di RADIUS e WLAN e Guida operativa. La Guida alla pianificazione spiega le motivazioni delle decisioni relative all'implementazione illustrate in questo capitolo e la Guida operativa descrive le attività e i processi necessari per la gestione dell'infrastruttura RADIUS. Prima di proseguire con gli argomenti del capitolo, si consiglia di leggere i capitoli relativi alla pianificazione. Prima di applicare le linee guida fornite in questo capitolo per implementare l'infrastruttura RADIUS, è opportuno inoltre leggere e comprendere le implicazioni dei requisiti di supporto nel capitolo delle istruzioni operative.
Prima di iniziare
Questa sezione contiene elenchi di controllo che aiutano a valutare il grado di preparazione di un'azienda in merito all'implementazione dell'infrastruttura RADIUS (in questo contesto, il termine "preparazione" si riferisce più all'aspetto logistico che a quello aziendale: le motivazioni aziendali che portano all'implementazione di questa soluzione sono trattate nei primi capitoli della Guida alla pianificazione).
Prima di iniziare
In particolare, è necessario conoscere i concetti di RADIUS e IAS. È inoltre consigliabile acquisire dimestichezza con Windows 2000 Server o Windows Server 2003 nelle seguenti aree:
Installazione del sistema operativo di Microsoft Windows®.
Concetti relativi ad Active Directory, tra cui la struttura e gli strumenti di Active Directory; la gestione di utenti, gruppi e altri oggetti Active Directory e l’uso dei criteri di gruppo.
Concetti alla base della protezione dei sistemi Windows, quali utenti, gruppi, controllo, elenchi di controllo di accesso (ACL), utilizzo dei modelli di protezione e applicazione dei modelli di protezione mediante Criteri di gruppo o strumenti della riga di comando.
Conoscenza degli script dei file batch. Conoscenza di Windows Scripting Host e del linguaggio Microsoft Visual Basic® Scripting Edition (VBScript) per poter trarre il massimo vantaggio dagli script forniti, ma non è essenziale.
Prima di leggere questo capitolo, è preferibile leggere anche il capitolo 5, "Progettazione di un'infrastruttura RADIUS per la protezione di reti LAN senza fili" e comprendere a fondo l’architettura e la progettazione di questa soluzione.
Prerequisiti organizzativi
È consigliabile consultare altri membri della propria azienda che dovrebbero essere coinvolti nell'implementazione di questa soluzione, quali:
Finanziatori dell'iniziativa
Personale addetto al controllo e alla protezione
Personale addetto a progettazione, amministrazione e operazioni di Active Directory
Personale addetto a DNS (Domain Name System) e progettazione, amministrazione e operazioni di rete
Prerequisiti per l'infrastruttura IT
Per quanto riguarda l'infrastruttura IT esistente, in questo capitolo si presuppone quanto segue:
Esiste un'infrastruttura di dominio di Active Directory Windows Server 2003. Tutti gli utenti dell'infrastruttura RADIUS in questa soluzione devono essere membri di un dominio all'interno dello stesso insieme di strutture di Active Directory.
Nota: per ulteriori informazioni sulla compatibilità con versioni precedenti di Microsoft Windows, consultare l'appendice A, "Versioni di Windows supportate".
Questa soluzione non fornisce istruzioni per effettuare l'integrazione in un'infrastruttura RADIUS esistente, tuttavia ciò non esclude la possibilità di una distribuzione accanto a un'infrastruttura RADIUS esistente.
Hardware del server in grado di eseguire il Servizio autenticazione Internet (IAS) di Windows Server 2003. Questa guida contiene una configurazione consigliata.
Licenze Windows Server 2003 Standard Edition e Enterprise Edition, supporti di installazione e codici "Product Key".
Panoramica dei capitoli
La figura che segue mostra il processo di creazione dell'infrastruttura RADIUS che sarà illustrato in modo dettagliato in questo capitolo.
.gif "Figura 8.1 Diagramma del processo di creazione dell'infrastruttura RADIUS")
Figura 8.1 Diagramma del processo di creazione dell'infrastruttura RADIUS
Questi passaggi rispecchiano l'organizzazione del capitolo e sono descritti nell'elenco seguente. Ciascuno di essi è costituito da attività di installazione o configurazione e una o più procedure di verifica che consentono di controllare le operazioni eseguite prima di continuare con il passaggio successivo.
Foglio di lavoro per la pianificazione di IAS Sono elencate le informazioni di configurazione utilizzate in questo capitolo per installare e configurare il Servizio autenticazione Internet. È inclusa una tabella di informazioni che devono essere fornite dall'utente prima di iniziare l'implementazione.
Creazione dei propri server Vengono descritte le procedure di selezione e configurazione dell'hardware, l'installazione di Windows Server 2003 e l'installazione di componenti opzionali. Inoltre, vengono descritte la creazione di gruppi di protezione per la gestione di Active Directory, l'impostazione delle autorizzazioni necessarie per la delega delle attività di gestione e l'implementazione della protezione a livello di sistema operativo mediante l'applicazione di modelli di protezione. I modelli utilizzati sono desunti dalla Guida per la protezione di Windows Server 2003. Le informazioni su come ottenere questa guida sono riportate alla fine di questo capitolo. Inoltre, in questa sezione sono elencate alcune attività comuni per completare l'installazione di base dei server.
Installazione e configurazione del Servizio autenticazione Internet Vengono descritti i passaggi di preparazione, l'installazione del software e la configurazione del Servizio autenticazione Internet, incluse la creazione e la protezione delle directory dati IAS.
Configurazione del server IAS primario Viene descritto il processo di configurazione del server IAS primario che verrà utilizzato come modello di configurazione per ulteriori server IAS con ruoli simili nell'ambiente. Inoltre, viene descritta la procedura di esportazione della configurazione IAS per l’utilizzo su altri server IAS. Questa procedura verrà riutilizzata nei capitoli successivi dopo l'esecuzione di una configurazione più complessa.
Configurazione del server IAS secondario Viene descritta la procedura di configurazione del server IAS secondario che verrà unito al server IAS primario in una coppia di server RADIUS per la tolleranza di errore e il bilanciamento del carico. Viene descritta, inoltre, la procedura di importazione della configurazione IAS primaria per la distribuzione automatica. Questa procedura verrà riutilizzata nei capitoli successivi dopo l'esecuzione di una configurazione più complessa.
Configurazione dei server IAS filiale Viene descritta la procedura di configurazione di un server IAS filiale facoltativo che può essere utilizzato come esempio per ambienti distribuiti e la procedura di importazione della configurazione IAS primaria per la distribuzione automatica. Questa procedura verrà riutilizzata nei capitoli successivi dopo l'esecuzione di una configurazione più complessa.
Foglio di lavoro per la pianificazione dell'infrastruttura RADIUS
Nella tabella che segue vengono elencati i parametri di configurazione utilizzati in questa soluzione. Devono essere considerati come un elenco di controllo quando si prendono le decisioni relative alla pianificazione.
Molti dei parametri riportati in queste tabelle vengono impostati manualmente come parte delle procedure documentate in questo capitolo. Altri vengono impostati da uno script eseguito come parte di una procedura oppure viene fatto riferimento al parametro da uno script per completare un'altra configurazione o un'attività operativa.
Nota: gli script utilizzati nella Guida alla creazione vengono descritti in modo più dettagliato nel file ToolsReadme.txt allegato agli script.
Elementi di configurazione definiti dagli utenti
La tabella che segue elenca dei parametri specifici dell'azienda fittizia Woodgrove Bank. Prima di iniziare la procedura di configurazione, occorre accertarsi di aver raccolto o deciso le impostazioni equivalenti per la propria organizzazione di tutti gli elementi indicati nella sottostante tabella. Negli esempi dei comandi citati nell'intero capitolo vengono utilizzati i valori fittizi mostrati qui. È necessario sostituire tali valori fittizi con i valori adeguati della propria azienda. I valori che è necessario sostituire sono indicati in corsivo.
Tabella 8.1. Elementi di configurazione definiti dagli utenti
| Elemento di configurazione | Impostazione |
|---|---|
| Nome di dominio DNS per la radice di strutture Active Directory | woodgrovebank.com |
| Nome NetBIOS (Network Basic Input/Output System) del dominio | WOODGROVEBANK |
| Nome del server IAS primario | HQ- IAS - 01 |
| Nome del server IAS secondario | HQ - IAS - 02 |
| Nome del server IAS secondario | BO - IAS - 03 |
| Elemento di configurazione | Impostazione |
|---|---|
| [Account] Nome completo del gruppo amministrativo che controlla la configurazione del Servizio autenticazione Internet | IAS Admins |
| [Account] Nome precedente a Windows 2000 del gruppo amministrativo che controlla la configurazione del Servizio autenticazione Internet | IAS Admins |
| [Account] Nome completo del gruppo che rivede il registro IAS delle richieste di account e di autenticazione per motivi di sicurezza | IAS Security Auditors |
| [Account] Nome pre-Windows 2000 del gruppo che esamina i registri delle richieste di autenticazione e accounting IAS a fini di protezione | IAS Security Auditors |
| [Scripts] Percorso degli script di installazione | C:\MSSScripts |
| [Script] File batch per l'esportazione della configurazione IAS | IASExport.bat |
| [Script] File batch per l'importazione della configurazione IAS | IASImport.bat |
| [Script] File batch per l'esportazione della configurazione dei client RADIUS IAS | IASClientExport.bat |
| [Script] File batch per l'importazione della configurazione dei client RADIUS di IAS | IASClientImport.bat |
| [Config] Percorso dei file di backup della configurazione | D:\IASConfig |
| [Registri richieste] Posizione dei file registro di autenticazione e delle richieste di controllo IAS | D:\IASLogs |
| [Request Logs] Nome della condivisione dei registri delle richieste RADIUS | IASLogs |
| Risorsa | Requisito |
|---|---|
| CPU | CPU doppia da 850 MHz o superiore |
| Memoria | 512 MB |
| Interfacce di rete | 2 x singole schede di interfaccia di rete (NIC, Network Interface Card) unite per una maggiore adattabilità |
| Archiviazione disco | Controller RAID (Redundant Array of Independent Disks) IDE (Integrated Device Electronics) o SCSI (Small Computer System Interface) 2 x 9 GB (SCSI o IDE) configurato come volume RAID 1 (unità C) 2 x 18 GB (SCSI o IDE) configurato come volume RAID 1 (unità D) Archiviazione su supporti rimovibili locali (CD-RW o nastro di backup), in assenza di una funzionalità di backup di rete Unità disco floppy da 1,44 MB per il trasferimento dei dati |
Preparazione dell'hardware
Completare tutte le configurazioni hardware in base alle indicazioni del fornitore hardware. Queste configurazioni possono includere l'applicazione degli aggiornamenti più recenti del BIOS (Basic Input/Output System) e dei firmware ricevuti dal proprio fornitore.
Utilizzare il software di gestione del controller del disco, fornito con l'hardware, per creare i volumi RAID 1, come indicato nella tabella precedente.
Installazione di Windows Server 2003
Questa sezione descrive in dettaglio l'installazione di Windows Server 2003 nei server IAS. Molte organizzazioni dispongono già di un processo automatico di installazione server. Tale processo automatico può essere utilizzato per le build del server, purché sia possibile includere nella build i parametri indicati nella procedura riportata di seguito. Per informazioni sull'utilizzo di Windows Server 2003 Standard Edition o Windows Server 2003 Enterprise Edition, vedere il capitolo 5, "Progettazione di un'infrastruttura RADIUS per la protezione di reti LAN senza fili".
Eseguire i passaggi indicati di seguito per installare Windows Server 2003 su uno dei server IAS.
Per installare Windows Server 2003
Assicurarsi che l'unità CD-ROM sia stata impostata come unità avviabile nelle impostazioni BIOS del server. Riavviare il computer con il CD di Windows Server 2003 nell'unità CD-ROM.
Creare una partizione nel volume primario, formattarla come file system NTFS e selezionare l'opzione per installare Windows in tale partizione.
Selezionare le impostazioni internazionali appropriate.
Digitare il nome e le informazioni relative all'azienda per la quale verrà registrato Windows.
Digitare una password sicura per l'account dell'amministratore locale (almeno 10 caratteri misti: maiuscole, minuscole, lettere, numeri e punteggiatura).
Digitare il nome del computer quando richiesto (sostituire questo valore con il nome che si è scelto):
IAS primario: HQ-IAS-01
IAS secondario: HQ-IAS-02
IAS filiale: BO-IAS-03
Quando richiesto, scegliere l’opzione di unirsi a un dominio. Immettere il nome del dominio Active Directory a cui verranno aggiunti i server: WOODGROVEBANK (sostituire questo valore con il nome del dominio in cui si installa il server RADIUS). Quando richiesto, immettere le credenziali di un utente autorizzato ad aggiungere computer a questo dominio.
Nota: nel caso di un dominio con più insiemi di strutture, i server IAS vengono solitamente installati nel dominio principale dell'insieme di strutture, per ottimizzare le operazioni di Kerberos. Sebbene non sia essenziale, questa soluzione si basa su tale configurazione.
Non installare componenti facoltativi.
Al termine del processo di installazione principale, il computer verrà riavviato. Continuare con i passaggi seguenti.
Installare eventuali service pack correnti, aggiornamenti critici e altri aggiornamenti necessari.
Riassegnare all'unità CD-ROM/DVD la lettera R.
Creare una partizione sul secondo volume del disco rigido, assegnare all'unità di questa partizione la lettera D e formattarla con NTFS.
Attivare questa copia di Windows.
Impostazioni di rete
I server IAS dispongono di una singola interfaccia di rete, sebbene questa configurazione possa essere implementata accoppiando due schede di interfaccia di rete fisiche per una maggiore capacità di recupero. L'interfaccia di rete deve essere configurata con un indirizzo IP (Internet Protocol) fisso e altri parametri di configurazione IP (quali gateway predefinito e impostazioni DNS) adeguati per la propria rete.
Verifica dell'installazione
È necessario verificare che l'installazione del sistema operativo sia stata completata correttamente e che i parametri configurati corrispondano ai risultati previsti.
Per visualizzare la configurazione corrente del sistema
Al prompt dei comandi, eseguire il programma systeminfo.
Verificare i seguenti elementi dell'output di systeminfo (alcuni dettagli dell'output sono stati omessi per maggiore concisione):
Nome host: HQ-IAS-01
Nome SO: Microsoft® Windows® Server 2003, Enterprise Edition
...
Configurazione SO: server membro
Proprietario registrato: il_proprio_nome
Organizzazione registrata: la_propria_organizzazione
...
Directory Windows: C:\WINDOWS
Directory di sistema: C:\WINDOWS\System32
Unità di avvio: \Device\HarddiskVolume1
Impostazioni internazionali sistema: le_proprie_impostazioni
Impostazione internazionale di input: la_propria_impostazione
Fuso orario: il_proprio_fuso_orario
...
Dominio: woodgrovebank.com
Server di accesso: \\Nome_del_controller_di_dominio
Aggiornamenti rapidi: X aggiornamenti rapidi installati.
[01]: Qxxxxxx
...
[nn]: Qnnnnnn
Schede di rete: 1 NIC installata.
[01]: modello_e_fornitore_della_scheda_di_rete
Nome connessione: connessione alla rete locale
DHCP abilitato: No
Indirizzi IP
[01]: xxx.xxx.xxx.xxx
Se queste impostazioni non corrispondono a quelle previste, è necessario riconfigurare il server utilizzando il Pannello di controllo oppure riavviare l'installazione.
Installazione di script di configurazione sui server
Assieme a questa soluzione vengono forniti script di supporto e file di configurazione per semplificare alcuni aspetti della configurazione e del funzionamento di questa soluzione. È necessario installarli in ciascun server. Alcuni di questi script saranno richiesti dalle operazioni descritte nel capitolo 12, "Gestione dell'infrastruttura di protezione RADIUS e LAN senza fili", pertanto non dovranno essere eliminati al termine dell'installazione del server RADIUS.
Per installare gli script di installazione in ciascun server
Creare una cartella denominata C:\MSSScripts.
Copiare gli script dal supporto di distribuzione alla cartella.
Controllo dei service pack e degli aggiornamenti della protezione
A questo punto, è necessario ricontrollare l'elenco dei service pack e degli aggiornamenti della protezione installati. Utilizzare uno strumento, ad esempio Microsoft Baseline Security Analyzer (MBSA), per eseguire il controllo, ottenere tutte le correzioni richieste e installarle nei server dopo un'adeguata procedura di test.
Per ulteriori informazioni su MBSA, vedere la sezione "Ulteriori informazioni" al termine di questo capitolo.
Installazione di software aggiuntivo
In questa sezione viene descritta la procedura per l'installazione sui server IAS di eventuali programmi software aggiuntivi necessari.
CAPICOM
CAPICOM 2.0 è necessario sui server RADIUS per alcuni degli script di installazione e gestione forniti con questa soluzione. Per informazioni su dove reperire l'ultima versione di CAPICOM, consultare la sezione "Ulteriori informazioni" alla fine di questo capitolo.
Prima di continuare con le procedure descritte in questa guida, seguire le istruzioni del file eseguibile autoestraente, per installare e registrare la DLL (Dynamic-Link Library) di CAPICOM.
Convalida della connettività di rete e di Active Directory
Il Servizio autenticazione Internet dipende molto dalla corretta configurazione di rete e dalla connettività di Active Directory. Si prenda, pertanto, in considerazione la possibilità di eseguire la diagnostica rete sul server prima di distribuire IAS.
È possibile eseguire Diagnostica rete tramite l'utilità Netdiag.exe degli Strumenti di supporto di Windows Server 2003 inclusi nel CD di Windows Server 2003. Estrarre Netdiag.exe con il comando seguente:
expand r:\support\tools\support.cab –f:netdiag.exe c:\mssscripts
Al termine, digitare il seguente comando:
C:\mssscripts\netdiag.exe
Assicurarsi di controllare eventuali errori o avvisi visualizzati.
Verifica del livello di funzionalità del dominio
Il modello preferito per il controllo dell'accesso di rete consiste nello sfruttare l'impostazione Controlla accesso tramite Criteri di accesso remoto per gli account utente all'interno di Active Directory. L'impostazione Controlla accesso tramite Criteri di accesso remoto è disponibile solo se Active Directory è in esecuzione nella modalità nativa di Windows 2000 o versioni successive. Pertanto, è necessario controllare il livello di funzionalità del dominio prima della distribuzione di criteri di accesso remoto (RAP) in IAS.
È possibile controllare il livello di funzionalità del dominio visualizzando le proprietà del dominio all'interno dello strumento Domini e trust di Active Directory. Se il dominio di destinazione per IAS è configurato nella modalità mista di Windows 2000, rivolgersi agli amministratori di Active Directory appropriati per pianificare la migrazione alla modalità nativa.
Per ulteriori informazioni su questo argomento, vedere la sezione "Ulteriori informazioni" al termine di questo capitolo.
Configurazione di gruppi di protezione di Active Directory
Il Servizio autenticazione Internet fa parte dell'infrastruttura per la protezione della rete. Di conseguenza, l'accesso alla configurazione del Servizio autenticazione Internet e ai file del registro deve essere rigorosamente controllato. Per implementare i controlli degli accessi richiesti, viene utilizzata una combinazione di gruppi globali di Active Directory e gruppi locali di Windows Server 2003.
Creazione di gruppi per l'amministrazione del Servizio autenticazione Internet
Eseguire lo script riportato di seguito come amministratore di dominio, per creare gruppi di protezione per l'amministrazione del Servizio autenticazione Internet:
Cscript //job:CreateIASGroups C:\MSSScripts\IAS_Tools.wsf
Questo script crea i seguenti gruppi di protezione come gruppi globali di dominio:
IAS Admins
IAS Security Auditors
Nel caso di un dominio con più insiemi di strutture, è necessario creare questi gruppi nello stesso dominio dei server IAS.
Nota: le aziende con amministratori situati in più domini dovrebbero considerare l'opzione di utilizzare gruppi universali invece dei gruppi globali creati in questa soluzione. Lo script che crea i gruppi di protezione può essere facilmente modificato tramite la sintassi usata per creare il gruppo Criteri di accesso remoto - Accesso senza fili nel capitolo successivo (vedere "Creazione di gruppi di Active Directory richiesti per l'accesso alla rete WLAN" nel capitolo 9).
Configurazione del gruppo di amministratori IAS
IAS è un componente fondamentale del sistema operativo Windows Server 2003, pertanto è necessaria l'appartenenza al gruppo di protezione Amministratori locale per eseguire attività di configurazione del Servizio autenticazione Internet.
È necessario aggiungere il gruppo globale di dominio Amministratori IAS nel gruppo Amministratori locale su ciascun server IAS. Se IAS è installato in un controller di dominio, è necessario aggiungere Amministratori IAS al gruppo Amministratori per il dominio utilizzando lo snap-in MMC (Microsoft Management Console) Utenti e computer di Active Directory.
Avviso: l'aggiunta di gruppi al gruppo di dominio predefinito Amministratori può avere serie conseguenze per la protezione. Per ulteriori informazioni, vedere la sezione dedicata al posizionamento di IAS nei controller di dominio del capitolo 5, "Progettazione di un'infrastruttura RADIUS per la protezione di reti LAN senza fili".
È necessario popolare i gruppi Amministratori IAS e Controllori protezione IAS con gli account del personale amministrativo appropriato. Per una descrizione completa del mapping di questi gruppi ai ruoli amministrativi del Servizio autenticazione Internet, consultare la sezione relativa alla pianificazione delle autorizzazioni amministrative nel capitolo 5, "Progettazione di un'infrastruttura RADIUS per la protezione di reti LAN senza fili".
Le procedure di installazione nella parte restante di questo documento richiedono l'uso di account che siano membri del gruppo Amministratori IAS.
Protezione di Windows Server 2003 per IAS
È necessario eseguire ulteriori passaggi per proteggere i server IAS dall'accesso non autorizzato. I server IAS sono un componente fondamentale dell'infrastruttura di protezione, pertanto dovrebbero ricevere la stessa considerazione dei firewall e delle altre infrastrutture di protezione dell'accesso.
Protezione fisica
È necessario posizionare i server IAS in un luogo dove l'accesso fisico possa essere controllato rigorosamente. Questi server devono essere continuamente in linea, pertanto è necessario posizionarli in un luogo dotato delle strutture adeguate (controllo della temperatura, filtraggio dell'aria, dispositivi antincendio).
La posizione dei server dovrebbe essere scelta in modo che sia il più possibile protetta da rischi esterni che potrebbero danneggiare il server, quali incendi e inondazioni.
Di pari importanza sono il controllo dell'accesso fisico e la garanzia della protezione fisica dei backup, della documentazione e di altri dati di configurazione. Queste informazioni dovrebbero essere conservate in un luogo separato dai server.
Applicazione delle impostazioni di protezione del sistema ai server
I server IAS vengono protetti utilizzando il ruolo server IAS definito nella Guida per la protezione di Windows Server 2003. Per ulteriori informazioni su questa guida e il sito per il download dei modelli di sicurezza, consultare la sezione "Ulteriori informazioni" alla fine di questo capitolo.
Poiché i server IAS sono membri di un dominio, le impostazioni dei criteri di protezione vengono applicate utilizzando Criteri di gruppo basati sul dominio. È necessario creare un'adeguata struttura di unità organizzativa (UO) che conservi gli oggetti computer del server IAS e una struttura di Oggetto Criteri di gruppo (GPO) per applicare le impostazioni di sicurezza. È necessario creare due GPO per server IAS eseguiti su server dedicati (ossia installati in un controller di dominio).
Enterprise Client - Server membro di base
Enterprise Client - Servizio autenticazione Internet
Dopo aver letto il capitolo 5, "Progettazione di un'infrastruttura RADIUS per la protezione di reti LAN senza fili", si potrebbe decidere di eseguire alcuni o tutti i servizi IAS nei controller di dominio. A causa della complessità della protezione avanzata dei controller di domino, in questo documento non vengono fornite istruzioni per l'applicazione di modelli Controller di dominio. La Guida per la protezione di Windows Server 2003 include un modello di protezione per i controller di dominio che eseguono un blocco simile a quello del criterio di base per i server membri. È necessario applicare il modello di protezione Controller di dominio ai controller di dominio esistenti solo dopo aver letto attentamente la Guida per la protezione di Windows Server 2003 e aver valutato i potenziali impatti sulle applicazioni e sui client di dominio.
Se si utilizza il modello di protezione Enterprise Client - Controller di dominio su server di controller di dominio e IAS combinati, su tali computer è necessario applicare il modello di protezione Enterprise Client - Server IAS. Questo modello applica impostazioni aggiuntive che attivano il servizio IAS (il servizio IAS è disattivato nel modello Enterprise Client - Controller di dominio). Per applicare questo modello, è necessario creare un GPO aggiuntivo da applicare in una nuova unità organizzativa figlio posizionata al di sotto dell'unità organizzativa Controller di dominio:
- Enterprise Client - IAS su Controller di dominio
È necessario attenersi alla procedura seguente per importare il modello Enterprise Client - Server IAS in questo GPO. Questa procedura descrive come creare unità organizzative (UO) e oggetti Criteri gruppo richiesti (GPO). I nomi di GPO e UO vengono forniti esclusivamente a scopo esemplificativo. È necessario adeguare la procedura ai propri standard di UO e GPO di dominio.
Per creare le UO e i GPO dei server IAS
Ottenere i seguenti modelli di protezione dalla Windows Server 2003 Security Guide:
Enterprise Client - Dominio
Enterprise Client - Server membro di base
Enterprise Client - Server IAS
Enterprise Client - Controller di dominio
Accedere come membro del gruppo degli Amministratori di dominio o come utente che dispone di diritti per la creazione delle UO descritte nel passaggio 4. Per creare GPO, è necessario essere un membro del gruppo Amministratori di dominio o di quello Proprietari autori criteri di gruppo.
Aprire lo snap-in MMC Utenti e computer di Active Directory.
Creare la seguente struttura dell'unità organizzativa:
woodgrovebank.com
Server membri
IAS
Controller di dominio
Controller di dominio con IAS
Avviso: i passaggi da 5 a 7 applicano criteri di dominio che configurano i criteri di account locali su tutti i computer nel dominio. È preferibile prendere in esame il modello Enterprise Client - Protezione del dominio. Anziché applicarlo a tutto il dominio, può essere necessario creare questo GPO collegato all'unità operativa IAS in maniera che il suo ambito sia limitato solo ai server IAS.
Aprire le proprietà del contenitore del dominio. Dalla scheda Criterio gruppo, fare clic su Nuovo per creare un nuovo GPO e denominarlo Criteri dominio.
Modificare il GPO e selezionare la cartella Configurazione computer\Impostazioni di Windows\Impostazioni di protezione. Fare clic con il pulsante destro del mouse sulla cartella Impostazioni di protezione, quindi fare clic su Importa. Individuare il file Enterprise Client - Domain.inf e selezionarlo come modello da importare.
Chiudere il GPO.
Ripetere i tre passaggi precedenti per la combinazione di unità operative, GPO e modelli di protezione mostrata nella tabella seguente. Questi tre GPO agiscono solo sui server IAS, quindi l'avviso precedente in questo caso non è rilevante.
Tabella 8.4. Oggetti Criteri di gruppo e posizione
| Unità operativa | GPO | Modello di protezione |
|---|---|---|
| Server membri | Enterprise Client - Server membro di base | Enterprise Client - Server membro Baseline.inf |
| IAS | Enterprise Client - Servizio autenticazione Internet | Enterprise Client - IAS Server.inf |
| Controller di dominio con IAS | Enterprise Client - IAS su Controller di dominio (facoltativo se IAS si trova su un controller di dominio) | Enterprise Client - IAS Server.inf |
| Percorso | Criteri | Impostazione |
|---|---|---|
| Nega la disconnessione di un amministratore connesso alla sessione della console | Attivato | |
| Non consentire agli amministratori locali di personalizzare le autorizzazioni | Attivato | |
| Imposta le regole per il controllo remoto delle sessioni utente di Servizi terminal | Nessun controllo remoto consentito | |
| Reindirizzamento dati client/server | Consenti reindirizzamento fuso orario | Disabilitata |
| Non consentire il reindirizzamento degli Appunti | Attivato | |
| Consenti il reindirizzamento audio | Disabilitata | |
| Non consentire il reindirizzamento della porta COM | Attivato | |
| Non consentire il reindirizzamento della stampante client | Attivato | |
| Non consentire il reindirizzamento della porta LPT | Attivato | |
| Non consentire il reindirizzamento delle unità | Attivato | |
| Non impostare stampante predefinita del client come stampante predefinita per una sessione | Attivato | |
| Crittografia e protezione | Imposta livello di crittografia connessione client | Alto |
| Richiedi sempre password del client alla connessione | Attivato | |
| Crittografia e protezione\Protezione RPC | Server protetto (Richiedi protezione) | Attivato |
| Sessioni | Imposta limite di tempo per le sessioni disconnesse | 10 minuti |
| Consenti la riconnessione solo dal client originale | Attivato |
| Componente facoltativo da installare | Stato di installazione |
|---|---|
| Servizi di rete | Selezionata |
| Servizio autenticazione Internet | Selezionata |