Bagikan melalui

Praktik Terbaik Server Kebijakan Jaringan

  • Artikel

Berlaku untuk: Windows Server 2022, Windows Server 2019, Windows Server 2016

Anda dapat menggunakan topik ini untuk mempelajari praktik terbaik untuk menyebarkan dan mengelola Server Kebijakan Jaringan (NPS).

Bagian berikut memberikan praktik terbaik untuk berbagai aspek penyebaran NPS Anda.

Akuntansi

Berikut ini adalah praktik terbaik untuk pengelogan NPS.

Ada dua jenis akuntansi, atau pengelogan, di NPS:

  • Pengelogan peristiwa untuk NPS. Anda dapat menggunakan pengelogan peristiwa untuk merekam peristiwa NPS di log peristiwa sistem dan keamanan. Ini digunakan terutama untuk mengaudit dan memecahkan masalah upaya koneksi.

  • Mencatat permintaan autentikasi dan akuntansi pengguna. Anda dapat mencatat permintaan autentikasi dan akuntansi pengguna untuk mencatat file dalam format teks atau format database, atau Anda bisa masuk ke prosedur tersimpan dalam database SQL Server 2000. Pengelogan permintaan digunakan terutama untuk analisis koneksi dan tujuan penagihan, dan juga berguna sebagai alat investigasi keamanan, memberi Anda metode untuk melacak aktivitas penyerang.

Untuk memanfaatkan pengelogan NPS yang paling efektif:

  • Aktifkan pengelogan (awalnya) untuk rekaman autentikasi dan akuntansi. Ubah pilihan ini setelah Anda menentukan apa yang sesuai untuk lingkungan Anda.

  • Pastikan pengelogan peristiwa dikonfigurasi dengan kapasitas yang cukup untuk mempertahankan log Anda.

  • Cadangkan semua file log secara teratur karena tidak dapat dibuat ulang ketika rusak atau dihapus.

  • Gunakan atribut Kelas RADIUS untuk melacak penggunaan dan menyederhanakan identifikasi departemen atau pengguna mana yang akan ditagih untuk penggunaan. Meskipun atribut Kelas yang dihasilkan secara otomatis unik untuk setiap permintaan, rekaman duplikat mungkin ada jika balasan ke server akses hilang dan permintaan dikirim ulang. Anda mungkin perlu menghapus permintaan duplikat dari log Anda untuk melacak penggunaan secara akurat.

  • Jika server akses jaringan dan server proksi RADIUS Anda secara berkala mengirim pesan permintaan koneksi fiktif ke NPS untuk memverifikasi bahwa NPS sedang online, gunakan pengaturan registri nama pengguna ping. Pengaturan ini mengonfigurasi NPS untuk secara otomatis menolak permintaan koneksi palsu ini tanpa memprosesnya. Selain itu, NPS tidak mencatat transaksi yang melibatkan nama pengguna fiktif dalam file log apa pun, yang membuat log peristiwa lebih mudah ditafsirkan.

  • Nonaktifkan Penerusan Pemberitahuan NAS. Anda dapat menonaktifkan penerusan pesan mulai dan berhenti dari server akses jaringan (NAS) ke anggota grup server RADIUS jarak jauh YANG dikonfigurasi di NPS. Untuk informasi selengkapnya, lihat Menonaktifkan Penerusan Pemberitahuan NAS.

Untuk informasi selengkapnya, lihat Mengonfigurasi Akuntansi Server Kebijakan Jaringan.

  • Untuk menyediakan failover dan redundansi dengan pengelogan SQL Server, tempatkan dua komputer yang menjalankan SQL Server pada subnet yang berbeda. Gunakan Wizard Buat Publikasi SQL Server untuk menyiapkan replikasi database antara dua server. Untuk informasi selengkapnya, lihat Dokumentasi Teknis SQL Server dan Replikasi SQL Server.

Autentikasi

Berikut ini adalah praktik terbaik untuk autentikasi.

  • Gunakan metode autentikasi berbasis sertifikat seperti Protected Extensible Authentication Protocol (PEAP) dan Extensible Authentication Protocol (EAP) untuk autentikasi yang kuat. Jangan gunakan metode autentikasi khusus kata sandi karena rentan terhadap berbagai serangan dan tidak aman. Untuk autentikasi nirkabel yang aman, menggunakan PEAP-MS-CHAP v2 disarankan, karena NPS membuktikan identitasnya kepada klien nirkabel dengan menggunakan sertifikat server, sementara pengguna membuktikan identitas mereka dengan nama pengguna dan kata sandi mereka. Untuk informasi selengkapnya tentang menggunakan NPS dalam penyebaran nirkabel Anda, lihat Menyebarkan Akses Nirkabel Terautentikasi Berbasis Kata Sandi 802.1X.
  • Sebarkan otoritas sertifikasi (CA) Anda sendiri dengan Active Directory® Certificate Services (AD CS) saat Anda menggunakan metode autentikasi berbasis sertifikat yang kuat, seperti PEAP dan EAP, yang memerlukan penggunaan sertifikat server pada NPS. Anda juga dapat menggunakan CA Anda untuk mendaftarkan sertifikat komputer dan sertifikat pengguna. Untuk informasi selengkapnya tentang menyebarkan sertifikat server ke NPS dan server Akses Jarak Jauh, lihat Menyebarkan Sertifikat Server untuk Penyebaran Kabel dan Nirkabel 802.1X.

Penting

Server Kebijakan Jaringan (NPS) tidak mendukung penggunaan karakter ASCII yang Diperluas dalam kata sandi.

Konfigurasi komputer klien

Berikut ini adalah praktik terbaik untuk konfigurasi komputer klien.

  • Konfigurasikan semua komputer klien 802.1X anggota domain Anda secara otomatis dengan menggunakan Kebijakan Grup. Untuk informasi selengkapnya, lihat bagian "Mengonfigurasi Kebijakan Jaringan Nirkabel (IEEE 802.11) " dalam topik Penyebaran Akses Nirkabel.

Saran penginstalan

Berikut ini adalah praktik terbaik untuk menginstal NPS.

  • Sebelum menginstal NPS, instal dan uji setiap server akses jaringan Anda menggunakan metode autentikasi lokal sebelum Anda mengonfigurasinya sebagai klien RADIUS di NPS.

  • Setelah Anda menginstal dan mengonfigurasi NPS, simpan konfigurasi dengan menggunakan perintah Windows PowerShell Export-NpsConfiguration. Simpan konfigurasi NPS dengan perintah ini setiap kali Anda mengonfigurasi ulang NPS.

Perhatian

  • File konfigurasi NPS yang diekspor berisi rahasia bersama yang tidak terenkripsi untuk klien RADIUS dan anggota grup server RADIUS jarak jauh. Karena itu, pastikan Anda menyimpan file ke lokasi yang aman.
  • Proses ekspor tidak menyertakan pengaturan pengelogan untuk Microsoft SQL Server dalam file yang diekspor. Jika Anda mengimpor file yang diekspor ke NPS lain, Anda harus mengonfigurasi Pengelogan SQL Server secara manual di server baru.

NPS penyetelan performa

Berikut ini adalah praktik terbaik untuk NPS penyetelan performa.

  • Untuk mengoptimalkan waktu respons autentikasi dan otorisasi NPS dan meminimalkan lalu lintas jaringan, instal NPS pada pengendali domain.

  • Ketika nama prinsipal universal (UPN) atau domain Windows Server 2008 dan Windows Server 2003 digunakan, NPS menggunakan katalog global untuk mengautentikasi pengguna. Untuk meminimalkan waktu yang diperlukan untuk melakukan ini, instal NPS di server katalog global atau server yang berada di subnet yang sama dengan server katalog global.

  • Ketika Anda memiliki grup server RADIUS jarak jauh yang dikonfigurasi dan, dalam Kebijakan Permintaan Koneksi ion NPS, Anda menghapus kotak centang Rekam informasi akuntansi pada server di grup server RADIUS jarak jauh berikut, grup ini masih dikirim server akses jaringan (NAS) memulai dan menghentikan pesan pemberitahuan. Ini menciptakan lalu lintas jaringan yang tidak perlu. Untuk menghilangkan lalu lintas ini, nonaktifkan penerusan pemberitahuan NAS untuk server individual di setiap grup server RADIUS jarak jauh dengan menghapus kotak centang Teruskan pemberitahuan mulai dan hentikan jaringan ke server ini.

Menggunakan NPS di organisasi besar

Berikut ini adalah praktik terbaik untuk menggunakan NPS di organisasi besar.

  • Jika Anda menggunakan kebijakan jaringan untuk membatasi akses untuk semua kecuali grup tertentu, buat grup universal untuk semua pengguna yang ingin Anda izinkan aksesnya, lalu buat kebijakan jaringan yang memberikan akses untuk grup universal ini. Jangan menempatkan semua pengguna Anda langsung ke dalam grup universal, terutama jika Anda memiliki sejumlah besar pengguna di jaringan Anda. Sebagai gantinya, buat grup terpisah yang merupakan anggota grup universal, dan tambahkan pengguna ke grup tersebut.

  • Gunakan nama prinsipal pengguna untuk merujuk ke pengguna jika memungkinkan. Pengguna dapat memiliki nama prinsipal pengguna yang sama terlepas dari keanggotaan domain. Praktik ini memberikan skalabilitas yang mungkin diperlukan di organisasi dengan sejumlah besar domain.

  • Jika Anda menginstal Server Kebijakan Jaringan (NPS) di komputer selain pengendali domain dan NPS menerima sejumlah besar permintaan autentikasi per detik, Anda dapat meningkatkan performa NPS dengan meningkatkan jumlah autentikasi bersamaan yang diizinkan antara NPS dan pengendali domain. Untuk informasi selengkapnya, lihat Meningkatkan Autentikasi Bersamaan yang Diproses oleh NPS.

Masalah keamanan

Berikut ini adalah praktik terbaik untuk mengurangi masalah keamanan.

Saat Anda mengelola NPS dari jarak jauh, jangan mengirim data sensitif atau rahasia (misalnya, rahasia atau kata sandi bersama) melalui jaringan dalam teks biasa. Ada dua metode yang direkomendasikan untuk administrasi jarak jauh NPS:

  • Gunakan Layanan Desktop Jauh untuk mengakses NPS. Saat Anda menggunakan Layanan Desktop Jauh, data tidak dikirim antara klien dan server. Hanya antarmuka pengguna server (misalnya, desktop sistem operasi dan gambar konsol NPS) yang dikirim ke klien Layanan Desktop Jauh, yang diberi nama desktop jarak jauh Koneksi di Windows® 10. Klien mengirim input keyboard dan mouse, yang diproses secara lokal oleh server yang mengaktifkan Layanan Desktop Jauh. Ketika pengguna Layanan Desktop Jauh masuk, mereka hanya dapat melihat sesi klien individual mereka, yang dikelola oleh server dan independen satu sama lain. Selain itu, Koneksi desktop jarak jauh menyediakan enkripsi 128-bit antara klien dan server.

  • Gunakan keamanan Protokol Internet (IPsec) untuk mengenkripsi data rahasia. Anda dapat menggunakan IPsec untuk mengenkripsi komunikasi antara NPS dan komputer klien jarak jauh yang Anda gunakan untuk mengelola NPS. Untuk mengelola server dari jarak jauh, Anda dapat menginstal Alat Administrasi Server Jarak Jauh untuk Windows 10 di komputer klien. Setelah penginstalan, gunakan Konsol Manajemen Microsoft (MMC) untuk menambahkan snap-in NPS ke konsol.

Penting

Anda dapat menginstal Alat Administrasi Server Jarak Jauh untuk Windows 10 hanya pada rilis lengkap Windows 10 Professional atau Windows 10 Enterprise.

Untuk informasi selengkapnya tentang NPS, lihat Server Kebijakan Jaringan (NPS).