使用單一登入時的安全性考量

Microsoft Single Sign-on 服務 (SSOSrv) 使用以下幾種類型的帳號：設定帳號、單一登入管理員帳號、單一登入服務帳號以及企業應用軟體管理員帳號。如需這些帳號所需權限的詳細資訊，請參閱指定單一登入及應用軟體定義的設定。

伺服器陣列拓撲的安全性建議

使用單一登入服務時，分散伺服器陣列中的資源有助於加強安全性。尤其前端網頁伺服器、作業伺服器及儲存單一登入資料庫的電腦中的設定，都會影響到安全性。

低安全性設定 在一部伺服器上部署一切。這個設定的安全性較低，因為前端網頁伺服器、儲存在 Microsoft SQL Server 上的單一登入資料庫以及加密金鑰，都在同一部電腦上。
附註不建議您使用這種設定。
較安全的設定 設定 2 部電腦，一部是前端網頁伺服器，一部是作業伺服器 (包含儲存於 SQL Server 的單一登入資料庫及加密金鑰)。
高安全性設定建議 設定 3 部以上的電腦。前端網頁伺服器、作業伺服器 (包含加密金鑰) 及伺服器 (包含儲存於 SQL Server 的單一登入資料庫)，都是不同的電腦。

如果在共用服務方案中使用單一登入，所有子層伺服器陣列的系統管理員都能使用父層伺服器陣列中儲存的使用者認證。建議您只在父層入口網站上執行使用單一登入的應用程式，並在子層入口網站的應用程式中使用 iFrame。您應該停用子層伺服器陣列上的單一登入服務。

儲存加密金鑰備份時的安全性建議

加密金鑰的備份磁碟應該放在安全的地方。

加密金鑰是每個認證加密程序的一部份。它是資料庫中儲存的加密認證的解密金鑰，所以它的備份不應該和資料庫備份放在一起。

附註使用者只要有資料庫及金鑰的備份，就能修改使用者名稱及密碼。

啟用稽核加密金鑰

您應該啟用稽核加密金鑰。Microsoft Windows Server 2003「事件檢視器」的安全記錄會稽核追蹤金鑰的讀取及寫入動作。

啟用稽核加密金鑰

若要修改登錄，請執行下列動作：
注意 Incorrectly editing the registry may severely damage your system. Before making changes to the registry, you should back up any valued data on the computer.
1. 在工作列上按一下 [開始]，再按 [執行]。
2. 鍵入 regedit，然後按一下 [確定]。
3. 在 [登錄編輯程式] 中，導覽到 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ssosrv\Config。
4. 以滑鼠右鍵按一下 [設定]，然後按一下 [權限]。
5. 在 [設定的權限] 對話方塊中，按一下 [進階]。
6. 在 [設定的進階安全性設定] 對話方塊中，按一下 [稽核] 索引標籤，再按 [新增]。
7. 在 [選取使用者、電腦或群組] 對話方塊的 [輸入要選取的物件名稱] 方塊中，鍵入 everyone。
8. 按一下 [確定]。
9. 在 [設定的稽核項目] 對話方塊的 [失敗] 欄中，選取 [完全控制] 核取方塊，然後按一下 [確定]。
10. 按一下 [確定]，再按 [確定]，關閉所有對話方塊。
11. 關閉 [登錄編輯程式]。
若要啟用稽核，請執行下列動作：
1. 在工作列上按一下 [開始]，再按 [執行]。
2. 鍵入 mmc，然後按一下 [確定]。
3. 在主控台的 [檔案] 功能表中，按一下 [新增/移除嵌入式管理單元]。
4. 在 [新增/移除嵌入式管理單元] 對話方塊的 [獨立] 索引標籤中，按一下 [新增]。
5. 在 [新增獨立嵌入式管理單元] 對話方塊的 [可用的獨立嵌入式管理單元] 清單中，按一下 [群組原則物件編輯器]，再按 [新增]。
6. 確定 [選取群組原則物件] 對話方塊的 [群組原則物件] 方塊中有出現 [本機電腦] 後，按一下 [完成]。
7. 在 [新增獨立嵌入式管理單元] 對話方塊中，按一下 [關閉]。
8. 在 [新增/移除獨立嵌入式管理單元] 對話方塊中，按一下 [確定]。
9. 展開下列節點：
  - [本機電腦原則]
  - [電腦設定]
  - [Windows 設定]
  - [安全性設定]
  - [本機原則]
  - [稽核原則]
10. 在詳細資料窗格中，按兩下 [稽核物件存取]。
11. 在 [稽核物件存取屬性] 方塊中，選取 [失敗] 核取方塊，然後按一下 [確定]。

若要驗證有無進行稽核，請執行下列動作：

登出。
以使用者身分登入的使用者應該無法存取登錄機碼。
嘗試讀取登錄機碼。
查詢 Windows Server 2003「事件檢視器」安全性記錄中的稽核項目。