Передовые практики по работе с сервером политики сети

  • Статья

Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016

Этот раздел можно использовать для изучения рекомендаций по развертыванию и управлению сервером политики сети (NPS).

В следующих разделах приведены рекомендации по различным аспектам развертывания NPS.

Учет

Ниже приведены рекомендации по ведению журнала NPS.

В NPS есть два типа учета или ведения журнала.

  • Ведение журнала событий для NPS. Журнал событий можно использовать для записи событий NPS в журналах событий системы и безопасности. Это используется в основном для аудита и устранения неполадок при попытках подключения.

  • Ведение журнала запросов проверки подлинности и учета пользователей. Вы можете регистрировать запросы проверки подлинности пользователей и учетных записей в текстовый формат или формат базы данных, а также выполнять вход в хранимую процедуру в базе данных SQL Server 2000. Ведение журнала запросов используется в основном для анализа подключений и выставления счетов, а также полезно в качестве средства исследования безопасности, предоставляя метод отслеживания действий злоумышленника.

Чтобы сделать наиболее эффективным использование ведения журнала NPS:

  • Включите ведение журнала (изначально) для записей проверки подлинности и учета. Измените эти выборы после определения того, что подходит для вашей среды.

  • Убедитесь, что ведение журнала событий настроено с достаточной емкостью для поддержания журналов.

  • Резервное копирование всех файлов журналов регулярно, так как они не могут быть повторно созданы при их повреждении или удалении.

  • Используйте атрибут КЛАССА RADIUS для отслеживания использования и упрощения идентификации отдела или пользователя для оплаты использования. Хотя автоматически созданный атрибут класса является уникальным для каждого запроса, повторяющиеся записи могут существовать в случаях, когда ответ на сервер доступа потерян и запрос обижается. Для точного отслеживания использования может потребоваться удалить повторяющиеся запросы из журналов.

  • Если серверы доступа к сети и прокси-серверы RADIUS периодически отправляют сообщения запроса на подключение к NPS, чтобы убедиться, что NPS подключен к сети, используйте параметр реестра имен пользователей с проверкой связи. Этот параметр настраивает NPS для автоматического отклонения этих ложных запросов подключения без их обработки. Кроме того, NPS не записывает транзакции, связанные с вымышленным именем пользователя в файлах журналов, что упрощает интерпретацию журнала событий.

  • Отключите пересылку уведомлений NAS. Вы можете отключить пересылку сообщений о запуске и остановке с серверов доступа к сети (NAS) членам удаленной группы серверов RADIUS, настроенной в NPS. Дополнительные сведения см. в разделе "Отключение пересылки уведомлений NAS".

Дополнительные сведения см. в разделе "Настройка учета сервера политики сети".

  • Чтобы обеспечить отработку отказа и избыточность с помощью ведения журнала SQL Server, разместите два компьютера с SQL Server на разных подсетях. Используйте мастер создания публикаций SQL Server для настройки реплика базы данных между двумя серверами. Дополнительные сведения см. в технической документации по SQL Server и Репликация SQL Server.

Проверка подлинности

Ниже приведены рекомендации по проверке подлинности.

  • Используйте методы проверки подлинности на основе сертификатов, такие как защищенный протокол расширенной проверки подлинности (PEAP) и расширяемый протокол проверки подлинности (EAP) для строгой проверки подлинности. Не используйте методы проверки подлинности только для паролей, так как они уязвимы для различных атак и не защищены. Для безопасной беспроводной проверки подлинности рекомендуется использовать PEAP-MS-CHAP версии 2, так как NPS подтверждает свое удостоверение для беспроводных клиентов с помощью сертификата сервера, а пользователи доказывают свое удостоверение с именем пользователя и паролем. Дополнительные сведения об использовании NPS в беспроводном развертывании см. в статье "Развертывание беспроводного доступа на основе паролей на основе пароля 802.1X" с проверкой подлинности беспроводного доступа.
  • Разверните собственный центр сертификации (ЦС) с помощью служб сертификатов Active Directory® (AD CS) при использовании надежных методов проверки подлинности на основе сертификатов, таких как PEAP и EAP, которые требуют использования сертификата сервера в NPS. Вы также можете использовать ЦС для регистрации сертификатов компьютера и сертификатов пользователей. Дополнительные сведения о развертывании сертификатов сервера на серверах NPS и удаленном доступе см. в статье "Развертывание сертификатов сервера" для проводных и беспроводных развертываний 802.1X.

Внимание

Сервер политики сети (NPS) не поддерживает использование символов из расширенного набора ASCII в паролях.

Конфигурация клиентского компьютера

Ниже приведены рекомендации по настройке клиентского компьютера.

  • Автоматически настройте все клиентские компьютеры-член домена 802.1X с помощью групповой политики. Дополнительные сведения см. в разделе "Настройка политик беспроводной сети (IEEE 802.11) в разделе "Развертывание беспроводного доступа".

Предложения по установке

Ниже приведены рекомендации по установке NPS.

  • Перед установкой NPS установите и проверьте каждый сервер сетевого доступа с помощью локальных методов проверки подлинности перед их настройкой в качестве клиентов RADIUS в NPS.

  • После установки и настройки NPS сохраните конфигурацию с помощью команды Windows PowerShell Export-NpsConfiguration. Сохраните конфигурацию NPS с помощью этой команды при каждом перенастройке NPS.

Внимание

  • Экспортируемый файл конфигурации NPS содержит незашифрованные общие секреты для клиентов RADIUS и членов удаленных групп серверов RADIUS. Из-за этого убедитесь, что файл сохраняется в безопасном расположении.
  • Процесс экспорта не включает параметры ведения журнала для Microsoft SQL Server в экспортируемом файле. При импорте экспортированного файла в другой NPS необходимо вручную настроить ведение журнала SQL Server на новом сервере.

Настройка производительности NPS

Ниже приведены рекомендации по настройке NPS производительности.

  • Чтобы оптимизировать время проверки подлинности и авторизации NPS и свести к минимуму сетевой трафик, установите NPS на контроллере домена.

  • Если используются универсальные имена субъектов (UPN) или Домены Windows Server 2008 и Windows Server 2003, NPS использует глобальный каталог для проверки подлинности пользователей. Чтобы свести к минимуму время, необходимо установить NPS на сервере глобального каталога или сервере, который находится в той же подсети, что и сервер глобального каталога.

  • Если у вас настроены удаленные группы серверов RADIUS и в политиках запросов на Подключение ion NPS вы очищаете сведения об учете записей на серверах в следующей удаленной группе серверов RADIUS проверка, эти группы по-прежнему отправляются на сервер доступа к сети (NAS) для запуска и остановки уведомлений. Это создает ненужный сетевой трафик. Чтобы устранить этот трафик, отключите перенаправление уведомлений NAS для отдельных серверов в каждой удаленной группе серверов RADIUS, снимите флажок "Запуск и остановка сети пересылки" на этот сервер проверка.

Использование NPS в крупных организациях

Ниже приведены рекомендации по использованию NPS в крупных организациях.

  • Если вы используете политики сети для ограничения доступа для всех, кроме определенных групп, создайте универсальную группу для всех пользователей, которым требуется разрешить доступ, а затем создайте сетевую политику, которая предоставляет доступ для этой универсальной группы. Не помещайте всех пользователей непосредственно в универсальную группу, особенно если у вас есть большое количество пользователей в сети. Вместо этого создайте отдельные группы, которые являются членами универсальной группы, и добавьте пользователей в эти группы.

  • Используйте имя субъекта-пользователя, чтобы ссылаться на пользователей по возможности. Пользователь может иметь одно и то же имя участника-пользователя независимо от членства в домене. Эта практика обеспечивает масштабируемость, которая может потребоваться в организациях с большим количеством доменов.

  • Если вы установили сервер политики сети (NPS) на компьютере, отличном от контроллера домена, и NPS получает большое количество запросов проверки подлинности в секунду, вы можете повысить производительность NPS, увеличив число одновременных аутентификаций, разрешенных между NPS и контроллером домена. Дополнительные сведения см. в разделе "Увеличение одновременных операций проверки подлинности" с помощью NPS.

Проблемы с безопасностью

Ниже приведены рекомендации по сокращению проблем с безопасностью.

При удаленном администрировании NPS не отправляют конфиденциальные или конфиденциальные данные (например, общие секреты или пароли) по сети в виде открытого текста. Существует два рекомендуемых метода удаленного администрирования NPS:

  • Используйте службы удаленных рабочих столов для доступа к NPS. При использовании служб удаленных рабочих столов данные не отправляются между клиентом и сервером. Только пользовательский интерфейс сервера (например, образ консоли операционной системы и консоли NPS) отправляется клиенту служб удаленных рабочих столов, который называется удаленным рабочим столом Подключение ion в Windows® 10. Клиент отправляет ввод клавиатуры и мыши, который обрабатывается локально сервером с включенными службами удаленных рабочих столов. Когда пользователи служб удаленных рабочих столов входят в систему, они могут просматривать только отдельные клиентские сеансы, управляемые сервером и не зависящие друг от друга. Кроме того, Подключение ion удаленного рабочего стола обеспечивает 128-разрядное шифрование между клиентом и сервером.

  • Используйте протокол IPsec для шифрования конфиденциальных данных. IPsec можно использовать для шифрования связи между NPS и удаленным клиентским компьютером, используемым для администрирования NPS. Для удаленного администрирования сервера можно установить средства удаленного сервера Администратор istration для Windows 10 на клиентском компьютере. После установки используйте консоль управления Майкрософт (MMC), чтобы добавить оснастку NPS в консоль.

Внимание

Вы можете установить средства удаленного сервера Администратор istration для Windows 10 только в полном выпуске Windows 10 Профессиональный или Windows 10 Корпоративная.

Дополнительные сведения о NPS см. в разделе "Сервер политики сети" (NPS).