目标
使用本模块可以实现:
• 备份 Microsoft Internet 验证服务 (IAS) 配置信息。
• 导出 RADIUS 客户端信息。
适用范围
本模块适用于下列产品和技术:
• Microsoft® Windows® Server™ 2003
• Microsoft Internet 验证服务 (IAS)
• Microsoft Active Directory® 目录服务
如何使用本模块
本模块描述了为 RADIUS 基础结构备份 IAS 和导出 RADIUS 配置信息的步骤。可以将本模块中的指导用于现有 RADIUS 基础结构。
要充分利用本模块,请首先阅读“Microsoft 安全无线局域网解决方案构建指南”中的模块实现可确保无线 LAN 安全的 RADIUS 基础结构。它使您可以更加充分地理解如何建立 RADIUS 基础结构。
摘要
本模块描述了管理 RADIUS 基础结构并将其实现为安全无线 LAN (WLAN) 解决方案的一部分所必需的操作性过程。
本过程目的在于计划一个导出部分 IAS 配置状态的夜间任务。这些导出的数据可以用于在灾难性事件后帮助系统恢复。完整的 IAS 配置状态包括 RADIUS 客户端配置(属于敏感信息);关于导出数据的指示将分别详细阐述。
备份 IAS 配置信息
本任务配置计划任务以在夜间执行 IAS 服务器配置状态的备份。IAS 备份假设您已经具有一个公司服务器备份系统。这是因为这个过程创建的备份文件然后会由公司备份系统进行备份。可能是联网备份或本地设备备份。解决方案还假设公司服务器备份系统在夜间运行,以便备份 IAS 服务器上的磁盘。
• 配置 IAS 配置备份
1.运行下列命令以计划备份作业在夜间运行。这个命令设置作业在每夜凌晨 2 点运行。
SCHTASKS /Create /RU system /SC Daily /TN "IAS Backup" /TR C:\MSSScripts\IASExport.bat /ST 02:00
注意:为打印方便,命令分两行显示,输入时,请输入为一行。
2.配置公司服务器备份系统,每晚将 D:\IASConfig 目录的内容备份到可移动媒体上。如果可能,建立一个预处理脚本来检查由 IASExport.bat 文件创建的 IAS 配置文本文件的日期和时间,看看它们是否是在 24 小时以内。如果文件日期和时间戳超过了 24 小时,说明上一次的备份失败了而且仍然在运行。
注意:所提供的 IASExport.bat 脚本可以用来此任务的起始点。应该修改 IASExport.bat 脚本的逻辑,以便脚本使用的 netsh 工具的错误事件能够生成操作人员可以检测到的事件或通知。
应该考虑对 D:\IASConfig 目录启用 Windows 文件审核,以便指示服务器的安全审核员定期复查审核数据,了解异常活动(如,失败的访问)。D:\IASConfig 目录中的信息会让攻击者了解如何泄漏网络接入控制。
导出 RADIUS 客户端配置信息
RADIUS 客户端信息可以通过 netsh 命令导出。本解决方案包括一个批处理文件,它可以将 RADIUS 客户端信息导出到软盘或其他可写的可移动媒体上。
• 导出 RADIUS 客户端配置
1.在要导出其上的 RADIUS 客户端状态的 IAS 服务器上,通过命令提示符执行下列命令:
C:\MSSScripts\IASClientExport.bat
2.调查发生的任何错误或警告,并加以纠正。一旦状况被纠正,再次执行脚本。妥善存储备份媒体。
警告:此备份数据很敏感,因为其中包含用来获取公司 WLAN 接入的机密。它的传输和存储必须高度小心,并确保安全,像对待 IAS 服务器一样。将备份数据存储在 IAS 服务器之外的其他物理站点。这样,如果 IAS 站点的所有计算机设备都被破坏或者不可访问了,您还可以恢复 IAS 服务器。
