ISA Server 2004 系統(tǒng)策略.doc

ISA Server 2004 系統(tǒng)策略Microsoft Internet Security and Acceleration (ISA) Server 2004 包含一種默認(rèn)的系統(tǒng)策略配置，允許使用網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)正常運(yùn)行通常所需的服務(wù)。從安全角度來講，通常強(qiáng)烈建議用戶配置系統(tǒng)策略以便不允許訪問非管理網(wǎng)絡(luò)所必需的服務(wù)。請在安裝后仔細(xì)查看配置的系統(tǒng)策略規(guī)則。同樣，請在執(zhí)行完主要的管理任務(wù)后再次查看系統(tǒng)策略配置。本文檔將描述系統(tǒng)策略規(guī)則所啟用的一些服務(wù)。目錄l 網(wǎng)絡(luò)服務(wù) l 身份驗(yàn)證服務(wù) l 遠(yuǎn)程管理 l 防火墻客戶端共享 l 診斷服務(wù) l 連接驗(yàn)證程序 l SMTP l 預(yù)定下載作業(yè) l 訪問 Microsoft 網(wǎng)站 l 其他資源網(wǎng)絡(luò)服務(wù)安裝 ISA Server 時就啟用了基本網(wǎng)絡(luò)服務(wù)。安裝后，ISA Server 可訪問名稱解析服務(wù)器和內(nèi)部網(wǎng)絡(luò)上的時間同步服務(wù)。如果網(wǎng)絡(luò)服務(wù)由不同的網(wǎng)絡(luò)提供，應(yīng)當(dāng)修改適用的配置組源以應(yīng)用特定網(wǎng)絡(luò)。例如，假定 DHCP 服務(wù)器不在內(nèi)部網(wǎng)絡(luò)而在外圍網(wǎng)絡(luò)上。則修改 DHCP 配置組源，以應(yīng)用于該外圍網(wǎng)絡(luò)。用戶可修改系統(tǒng)策略，以便只可以訪問內(nèi)部網(wǎng)絡(luò)上的特定計算機(jī)?；蛘撸绻?wù)位于其他位置，也可以添加其他網(wǎng)絡(luò)。下表顯示了應(yīng)用于網(wǎng)絡(luò)服務(wù)的系統(tǒng)策略規(guī)則。配置組規(guī)則名稱規(guī)則描述DHCP允許從 ISA Server 到內(nèi)部網(wǎng)絡(luò)的 DHCP 請求允許從 DHCP 服務(wù)器到 ISA Server 的 DHCP 答復(fù)允許 ISA Server 計算機(jī)使用 DHCP（答復(fù)）和 DHCP（請求）協(xié)議訪問內(nèi)部網(wǎng)絡(luò)。DNS允許從 ISA Server 到所選服務(wù)器的 DNS允許 ISA Server 計算機(jī)使用 DNS 協(xié)議訪問所有網(wǎng)絡(luò)。NTP允許從 ISA Server 到受信任的 NTP 服務(wù)器的 NTP允許 ISA Server 計算機(jī)使用 NTP (UDP) 協(xié)議訪問內(nèi)部網(wǎng)絡(luò)。DHCP 服務(wù)如果 DHCP 服務(wù)器不在內(nèi)部網(wǎng)絡(luò)上，則必須修改系統(tǒng)策略規(guī)則以便其應(yīng)用于 DHCP 服務(wù)器所在的網(wǎng)絡(luò)。例如，如果 DHCP 服務(wù)器位于內(nèi)部網(wǎng)絡(luò)上，請執(zhí)行以下步驟。1. 單擊“開始”，指向“所有程序”，指向“Microsoft ISA Server”，然后單擊“ISA Server 管理”。2. 在“ISA Server 管理”的控制臺樹中，單擊“Microsoft ISA Server 2004”，單擊 server_name，然后單擊“防火墻策略”。3. 在“任務(wù)”選項卡上，單擊“編輯系統(tǒng)策略”。4. 在“系統(tǒng)策略編輯器”上的“配置組”樹中，單擊“DHCP”。5. 在“來自”選項卡上，單擊“添加”。6. 在“添加網(wǎng)絡(luò)實(shí)體”中，選擇一個網(wǎng)絡(luò)對象。提示： 建議如果知道 DHCP 服務(wù)器的 IP 地址，則使用該 IP 地址創(chuàng)建一個計算機(jī)集并選擇該計算機(jī)集。強(qiáng)烈建議當(dāng) DHCP 服務(wù)器位于不受信任的網(wǎng)絡(luò)上時執(zhí)行以上操作。7. 單擊“添加”，然后單擊“關(guān)閉”。身份驗(yàn)證服務(wù)ISA Server 的一個基本功能是能夠?qū)⒎阑饓Σ呗詰?yīng)用到特定用戶。然而，要想驗(yàn)證用戶的身份 ISA Server 必須能夠與身份驗(yàn)證服務(wù)器通信。因此，ISA Server 默認(rèn)能夠與 Active Directory 服務(wù)器（用于 Windows 身份驗(yàn)證）和內(nèi)部網(wǎng)絡(luò)上的 RADIUS 服務(wù)器通信。下表顯示了應(yīng)用于身份驗(yàn)證服務(wù)的系統(tǒng)策略規(guī)則。配置組規(guī)則名稱規(guī)則描述Active Directory允許出于身份驗(yàn)證目的訪問目錄服務(wù)允許從 ISA Server 到受信任的服務(wù)器的 RPC允許從 ISA Server 到受信任的服務(wù)器的 Microsoft CIFS允許從 ISA Server 到受信任的服務(wù)器的 Kerberos 身份驗(yàn)證允許 ISA Server 計算機(jī)使用各種 LDAP 協(xié)議、RPC（所有接口）協(xié)議、各種 Microsoft CIFS 協(xié)議以及使用 Active Directory 目錄服務(wù)的各種 Kerberos 協(xié)議訪問內(nèi)部網(wǎng)絡(luò)。RSA SecurID允許從 ISA Server 到受信任的服務(wù)器的 SecurID 身份驗(yàn)證允許 ISA Server 計算機(jī)使用 RSA SecurID 協(xié)議訪問內(nèi)部網(wǎng)絡(luò)。RADIUS允許從 ISA Server 到受信任的 RADIUS 服務(wù)器的 RADIUS 身份驗(yàn)證允許 ISA Server 計算機(jī)使用不同 RADIUS 協(xié)議訪問內(nèi)部網(wǎng)絡(luò)。證書吊銷列表允許從 ISA Server 到所有網(wǎng)絡(luò)的 HTTP 以下載 CRL身份驗(yàn)證服務(wù)：允許從 ISA Server 到所選網(wǎng)絡(luò)的 HTTP，以下載最新的證書吊銷列表 (CRL)。DCOM如果需要使用 DCOM 協(xié)議（例如，遠(yuǎn)程管理 ISA Server 計算機(jī)），則確保不啟用“強(qiáng)制嚴(yán)格符合 RPC”。要想驗(yàn)證“強(qiáng)制嚴(yán)格符合 RPC”沒被選中，請執(zhí)行以下步驟。1. 單擊“開始”，指向“所有程序”，指向“Microsoft ISA Server”，然后單擊“ISA Server 管理”。2. 在“ISA Server 管理”控制臺樹中，單擊“Microsoft ISA Server 2004”，單擊 server_name，然后單擊“防火墻策略”。3. 在“任務(wù)”選項卡上，單擊“編輯系統(tǒng)策略”。4. 在“系統(tǒng)策略編輯器”上的“配置組”樹中，單擊“Active Directory”。5. 驗(yàn)證“強(qiáng)制嚴(yán)格符合 RPC ”沒被選中。提示： 包括遠(yuǎn)程管理和自動注冊等多種服務(wù)常常需要 DCOM。Windows 和 RADIUS 身份驗(yàn)證服務(wù)如果不需要 Windows 身份驗(yàn)證或 RADIUS 身份驗(yàn)證，應(yīng)當(dāng)執(zhí)行以下步驟禁用適用的系統(tǒng)策略配置組。1. 單擊“開始”，指向“所有程序”，指向“Microsoft ISA Server”，然后單擊“ISA Server 管理”。2. 在“ISA Server 管理”控制臺樹中，單擊“Microsoft ISA Server 2004”，單擊 server_name，然后單擊“防火墻策略”。3. 在“任務(wù)”選項卡上，單擊“編輯系統(tǒng)策略”。4. 在“系統(tǒng)策略編輯器”上的“配置組”樹中，單擊“Active Directory”。5. 在“常規(guī)”選項卡上，驗(yàn)證“啟用”沒被選中。注意： 當(dāng)禁用 Active Directory 系統(tǒng)策略配置組時，對所有 LDAP 協(xié)議的訪問均被有效禁用。如果需要 LDAP 協(xié)議，則創(chuàng)建一條允許使用這些協(xié)議的訪問規(guī)則。6. 對 RADIUS 配置組重復(fù)步驟 4-5。提示： 如果只需要 Windows 身份驗(yàn)證，確保配置系統(tǒng)策略禁止使用所有其他身份驗(yàn)證機(jī)制。RSA SecurID 身份驗(yàn)證服務(wù)默認(rèn)狀態(tài)下不啟用與 RSA SecurID 身份驗(yàn)證服務(wù)器的通信。如果防火墻策略需要 RSA SecurID 身份驗(yàn)證，則確保啟用該配置組。 CRL 身份驗(yàn)證服務(wù)默認(rèn)狀態(tài)下不能下載證書吊銷列表 (CRL)。這是因?yàn)槟J(rèn)狀態(tài)下不啟用 CRL 下載配置組。要想啟用 CRL 下載，請執(zhí)行以下步驟。1. 單擊“開始”，指向“所有程序”，指向“Microsoft ISA Server”，然后單擊“ISA Server 管理”。2. 在“ISA Server 管理”控制臺樹中，單擊“Microsoft ISA Server 2004”，單擊 server_name，然后單擊“防火墻策略”。3. 在“任務(wù)”選項卡上，單擊“編輯系統(tǒng)策略”。4. 在“系統(tǒng)策略編輯器”上的“配置組”樹中，單擊“CRL 下載”。5. 在“常規(guī)”選項卡上，驗(yàn)證“啟用”已被選中。6. 在“到”選項卡上，選擇可從其下載證書吊銷列表的網(wǎng)絡(luò)實(shí)體。 將允許從本地主機(jī)網(wǎng)絡(luò)（ISA Server 計算機(jī)）到“到”選項卡上列出的網(wǎng)絡(luò)實(shí)體的所有 HTTP 流量。遠(yuǎn)程管理用戶常常要從遠(yuǎn)程計算機(jī)管理 ISA Server。小心確定允許哪些遠(yuǎn)程計算機(jī)管理和監(jiān)視 ISA Server。下表顯示了應(yīng)當(dāng)配置的系統(tǒng)策略規(guī)則。配置組規(guī)則名稱規(guī)則描述Microsoft 管理控制臺允許從所選計算機(jī)使用 MMC 進(jìn)行遠(yuǎn)程管理允許到所選計算機(jī)的 MS 防火墻控制通信允許“遠(yuǎn)程管理計算機(jī)”計算機(jī)集中的計算機(jī)使用 MS 防火墻控制和 RPC（所有接口）協(xié)議訪問 ISA Server 計算機(jī)。終端服務(wù)器允許從所選計算機(jī)使用終端服務(wù)器進(jìn)行遠(yuǎn)程管理允許“遠(yuǎn)程管理計算機(jī)”計算機(jī)集中的計算機(jī)使用 RDP（終端服務(wù)）協(xié)議訪問 ISA Server 計算機(jī)。ICMP (Ping)允許從所選計算機(jī)到 ISA Server 的 ICMP (PING) 請求允許“遠(yuǎn)程管理計算機(jī)”計算機(jī)集中的計算機(jī)使用 Ping 協(xié)議訪問 ISA Server 計算機(jī)，反之亦然。默認(rèn)狀態(tài)下啟用允許遠(yuǎn)程管理 ISA Server 的系統(tǒng)策略規(guī)則?？赏ㄟ^運(yùn)行 Microsoft 管理控制臺 (MMC) 管理單元或使用終端服務(wù)來管理 ISA Server。這些規(guī)則默認(rèn)應(yīng)用于內(nèi)置“遠(yuǎn)程管理計算機(jī)”計算機(jī)集。安裝 ISA Server 時將創(chuàng)建該空計算機(jī)集。將該空計算機(jī)集添加到所有將遠(yuǎn)程管理 ISA Server 的計算機(jī)中。在將該空計算機(jī)集添加到所有將遠(yuǎn)程管理 ISA Server 的計算機(jī)之前，不可以從任何計算機(jī)上有效使用遠(yuǎn)程管理。提示： 通過配置系統(tǒng)策略規(guī)則以僅應(yīng)用于特定 IP 地址來限制到特定計算機(jī)的遠(yuǎn)程管理。要想啟用遠(yuǎn)程管理，請執(zhí)行以下步驟。1. 單擊“開始”，指向“所有程序”，指向“Microsoft ISA Server”，然后單擊“ISA Server 管理”。2. 在“ISA Server 管理”控制臺樹中，單擊“Microsoft ISA Server 2004”，單擊 server_name，然后單擊“防火墻策略”。3. 在“工具箱”選項卡上，單擊“網(wǎng)絡(luò)對象”。4. 在“網(wǎng)絡(luò)對象”下方的工具欄上，右鍵單擊“計算機(jī)集”下方的“遠(yuǎn)程管理計算機(jī)”，然后單擊“屬性”。5. 單擊“添加”，然后單擊“計算機(jī)”。6. 在“名稱”中，鍵入計算機(jī)名。7. 在“計算機(jī) IP 地址”中，鍵入可遠(yuǎn)程管理 ISA Server 的計算機(jī)的 IP 地址。遠(yuǎn)程監(jiān)視和日志記錄默認(rèn)狀態(tài)下禁用遠(yuǎn)程日志記錄和監(jiān)視。默認(rèn)狀態(tài)下禁用以下配置組：l 遠(yuǎn)程日志記錄 (NetBIOS) l 遠(yuǎn)程日志記錄 (SQL) l 遠(yuǎn)程性能監(jiān)視 l Microsoft 操作管理器 下表描述了這些配置組。配置組規(guī)則名稱規(guī)則描述遠(yuǎn)程日志記錄 (NetBIOS)允許使用 NetBIOS 遠(yuǎn)程記錄到受信任的服務(wù)器允許 ISA Server 計算機(jī)使用各種 NetBIOS 協(xié)議訪問內(nèi)部網(wǎng)絡(luò)。遠(yuǎn)程日志記錄 (SQL)允許從 ISA Server 到所選服務(wù)器的遠(yuǎn)程 SQL 日志記錄允許 ISA Server 計算機(jī)使用 Microsoft (SQL) 協(xié)議訪問內(nèi)部網(wǎng)絡(luò)。遠(yuǎn)程性能監(jiān)視允許從受信任的服務(wù)器遠(yuǎn)程監(jiān)視 ISA Server 的性能允許“遠(yuǎn)程管理計算機(jī)”計算機(jī)集中的計算機(jī)使用各種 NetBIOS 協(xié)議訪問 ISA Server 計算機(jī)。Microsoft 操作管理器允許使用 Microsoft 操作管理器 (MOM) 代理從 ISA Server 遠(yuǎn)程監(jiān)視受信任的服務(wù)器允許 ISA Server 計算機(jī)使用 Microsoft 操作管理器代理訪問內(nèi)部網(wǎng)絡(luò)。啟用遠(yuǎn)程日志記錄和監(jiān)視要想啟用遠(yuǎn)程監(jiān)視和日志記錄，請執(zhí)行以下步驟。1. 單擊“開始”，指向“所有程序”，指向“Microsoft ISA Server”，然后單擊“ISA Server 管理”。2. 在“ISA Server 管理”控制臺樹中，單擊“Microsoft ISA Server 2004”，單擊 server_name，然后單擊“防火墻策略”。3. 在“任務(wù)”選項卡上，單擊“編輯系統(tǒng)策略”。4. 在“系統(tǒng)策略編輯器”上的“配置組”樹中，選擇以下配置組中的一個或多個：l 遠(yuǎn)程日志記錄 (NetBIOS)l 遠(yuǎn)程日志記錄 (SQL)l 遠(yuǎn)程性能監(jiān)視l Microsoft 操作管理器5. 在“常規(guī)”選項卡上，確認(rèn)“啟用”已被選中。防火墻客戶端共享如果在安裝 ISA Server 時安裝了防火墻客戶端共享組件，則默認(rèn)啟用防火墻客戶端安裝共享配置組。內(nèi)部網(wǎng)絡(luò)上的所有計算機(jī)均可以訪問該共享文件夾。下表顯示了已啟用的系統(tǒng)策略配置組（及規(guī)則）。配置組規(guī)則名稱規(guī)則描述防火墻客戶端安裝允許從受信任的計算機(jī)訪問 ISA Server 上的防火墻客戶端安裝共享允許內(nèi)部網(wǎng)絡(luò)上的計算機(jī)使用多種 Microsoft CIFS 和 NetBIOS 協(xié)議訪問 ISA Server 計算機(jī)。當(dāng)啟用該規(guī)則時，將允許從任何網(wǎng)絡(luò)或指定計算機(jī)上使用 SMB 訪問 ISA Server 計算機(jī)。不僅限訪問防火墻客戶端安裝共享文件夾。如果沒有安裝防火墻客戶端共享組件，則不啟用該配置組。診斷服務(wù)默認(rèn)情況下啟用允許訪問診斷服務(wù)的系統(tǒng)策略規(guī)則，帶有以下權(quán)限：l ICMP。 面向所有網(wǎng)絡(luò)允許該權(quán)限。該服務(wù)對于確定與其他計算機(jī)的連接至關(guān)重要。l Windows 網(wǎng)絡(luò)。 默認(rèn)允許內(nèi)部網(wǎng)絡(luò)上計算機(jī)間的 NetBIOS 通信。l Microsoft 錯誤報告。 允許 HTTP 訪問 Microsoft 錯誤報告站點(diǎn) URL 集，以允許報告錯誤信息。該 URL 集默認(rèn)包含特定的 Microsoft 站點(diǎn)。l 連接驗(yàn)證程序。 允許 ISA Server 計算機(jī)使用 HTTP 和 HTTPS 協(xié)議檢驗(yàn)特定計算機(jī)是否有響應(yīng)。下表顯示了默認(rèn)啟用的系統(tǒng)策略配置組。配置組規(guī)則名稱規(guī)則描述ICMP允許從 ISA Server 到所選服務(wù)器的 ICMP 請求允許 ISA Server 計算機(jī)使用多種 ICMP 協(xié)議和 Ping 協(xié)議訪問所有網(wǎng)絡(luò)。Windows 網(wǎng)絡(luò)允許從 ISA Server 到受信任的服務(wù)器的 NetBIOS允許 ISA Server 計算機(jī)使用多種 NetBIOS 協(xié)議訪問所有網(wǎng)絡(luò)。與 Microsoft（Microsoft 錯誤報告）的通信允許 ISA Server 與指定 Microsoft 錯誤報告站點(diǎn)間的 HTTP/HTTPS允許 ISA Server 計算機(jī)使用 HTTP 或 HTTPS 協(xié)議訪問 Microsoft 錯誤報告站點(diǎn) URL 集成員。連接驗(yàn)證程序此外，默認(rèn)情況下不啟用以下診斷服務(wù)：HTTP 連接驗(yàn)證程序。創(chuàng)建連接驗(yàn)證程序時將啟用 HTTP 連接驗(yàn)證程序配置組，允許本地主機(jī)網(wǎng)絡(luò)使用 HTTP 或 HTTPS 訪問任何其他網(wǎng)絡(luò)上的計算機(jī)。下表描述了 HTTP 連接驗(yàn)證程序配置組。配置組規(guī)則名稱規(guī)則描述HTTP 連接驗(yàn)證程序針對 HTTP 連接驗(yàn)證程序允許從防火墻到與所有網(wǎng)絡(luò)的 HTTP/HTTPS允許 ISA Server 計算機(jī)通過發(fā)送 HTTP GET 請求到特定計算機(jī)來檢查連接。建議將該訪問限制到想要檢驗(yàn)其連接的特定計算機(jī)。要想限制該訪問，請執(zhí)行以下步驟。1. 單擊“開始”，指向“所有程序”，指向“Microsoft ISA Server”，然后單擊“ISA Server 管理”。2. 在“ISA Server 管理”控制臺樹中，單擊“Microsoft ISA Server 2004”，單擊 server_name，然后單擊“防火墻策略”。3. 在“任務(wù)”選項卡上，單擊“編輯系統(tǒng)策略”。4. 在“系統(tǒng)策略編輯器”上的配置組”樹中，單擊“HTTP 連接驗(yàn)證程序”。5. 在“到”選項卡上，單擊“所有網(wǎng)絡(luò)（及本地主機(jī)）”，然后單擊“刪除”。6. 單擊“添加”，然后選擇想要檢驗(yàn)其連接的網(wǎng)絡(luò)實(shí)體。將允許從本地主機(jī)網(wǎng)絡(luò)（ISA Server 計算機(jī)）到“到”選項卡上列出的網(wǎng)絡(luò)實(shí)體的所有 HTTP 流量。SMTP默認(rèn)情況下啟用 SMTP 配置組，允許從 ISA Server 到內(nèi)部網(wǎng)絡(luò)計算機(jī)的 SMTP 通信。例如，當(dāng)想要在電子郵件中發(fā)送警報信息時需要啟用 SMTP 配置組。下表描述了 SMTP 配置組。配置組規(guī)則名稱規(guī)則描述SMTP允許從 ISA Server 到受信任的服務(wù)器的 SMTP允許 ISA Server 計算機(jī)使用 SMTP 協(xié)議訪問內(nèi)部網(wǎng)絡(luò)。預(yù)定下載作業(yè)默認(rèn)情況下禁用預(yù)定下載作業(yè)功能。下表描述了預(yù)定下載作業(yè)配置組。配置組規(guī)則名稱規(guī)則描述預(yù)定下載作業(yè)允許從 ISA Server 到所選計算機(jī)的 HTTP 以進(jìn)行內(nèi)容下載作業(yè)允許 ISA Server 計算機(jī)使用 HTTP 協(xié)議訪問所有網(wǎng)絡(luò)。創(chuàng)建內(nèi)容下載作業(yè)時將提示啟用該系統(tǒng)策略規(guī)則。ISA Server 將能夠訪問內(nèi)容下載作業(yè)中指定的站點(diǎn)。訪問 Microsoft 網(wǎng)站默認(rèn)系統(tǒng)策略允許從本地主機(jī)網(wǎng)絡(luò)（即 ISA Server 計算機(jī)）到 網(wǎng)站的 HTTP 和 HTTP