ISA Server 2004 安全强化指南
本页内容
 | 简介 |
| 保证 ISA 服务器计算机安全 |
| 保证配置安全 |
| 保证部署安全 |
| 其他资源 |
简介
本指南旨在提供有关如何强化运行 Microsoft Internet Security and Acceleration (ISA) Server 2004 Standard Edition 的计算机的重要信息。 除了提供具体的实用配置建议之外,本指南还包含 ISA 服务器部署策略。
对于运行 Microsoft Windows Server 2003 的计算机,本指南是 Windows Server 2003 Security Guide (http://go.microsoft.com/fwlink/?LinkId=31584) 的配套指南。 具体说来,本指南中的许多过程与 Windows Server 2003 Security Guide 中介绍的安全建议直接相关。 因此,在您执行本指南中叙述的过程之前,建议您首先阅读 Windows Server 2003 Security Guide。
如果 ISA 服务器安装在运行 Windows® 2000 Server 的计算机上,请参阅 Windows 2000 Security Hardening Guide (http://go.microsoft.com/fwlink/?LinkID=22380)。
本指南的范围
本指南的重点明确集中在有助于创建和维护安全的 ISA Server 2004 环境所需的操作上。 本指南应作为 ISA Server 2004 总体安全策略的组成部分,而不应作为创建和维护安全环境的完全参考。
具体说来,本指南详细回答以下问题:
| • | 在保证 ISA 服务器安全方面有哪些建议步骤? |
| • | 在 ISA 服务器配置方面应考虑哪些安全因素? |
| • | 哪些指导有助于准备安全的 ISA Server 2004 部署? |
保证 ISA 服务器计算机安全
保证 ISA 服务器安全的一个重要步骤是验证 ISA 服务器计算机是否物理上安全,以及您是否采用基本的安全配置建议,包括以下各项:
| • | 管理更新 |
| • | 物理上保证计算机安全 |
| • | 确定域成员身份 |
| • | 强化 Windows 基础结构 |
| • | 管理角色和权限 |
| • | 减小潜在攻击面 |
以下各部分描述如何实施这些建议。 本文还描述在识别安全威胁时如何锁定 ISA 服务器。
管理更新
作为安全最佳做法,我们强烈建议您始终为操作系统、ISA 服务器以及 ISA 服务器安装的其他组件(Microsoft SQL Server™ 2000 Desktop Engine (MSDE) 和 Office Web Components 2002 (OWC))安装最新更新。 执行以下操作:
| • | 获取操作系统更新。 在 Windows Update 站点 上查找更新。 |
| • | 获取 ISA 服务器更新。 在 ISA Server 2004 下载中心 (http://go.microsoft.com/fwlink/?LinkId=28791) 上查找最新更新信息。 |
| • | 在 Microsoft Security Bulletin Search (http://go.microsoft.com/fwlink/?LinkId=28687) 上搜索 Microsoft SQL Server 2000 Desktop Engine (MSDE) 和 Office Web Components 2002 (OWC) 的最新更新。 |
我们还建议您定期使用 Microsoft Baseline Security Analyzer (MBSA) 分析系统安全。 您可以从 MBSA 网站 (http://go.microsoft.com/fwlink/?LinkID=28790) 下载 MBSA。
物理访问
确保 ISA 服务器计算机存储在物理安全位置。 物理访问服务器存在高度安全风险。 入侵者物理访问服务器会导致未经授权访问或修改,以及安装企图绕过安全检查的硬件或软件。 为了维护安全的环境,您必须限制对 ISA 服务器计算机的物理访问。
确定域成员身份
许多情况下,您可能需要将 ISA 服务器计算机设置为域成员。 例如,如果您要创建一种依赖于域用户身份验证的策略,ISA 服务器应属于某个域。
如果 ISA 服务器计算机保护的是您的网络的边缘,我们建议您将它安装在一个单独的林中,而不是安装在公司网络的内部林中。 这样有助于保护内部林。即使 ISA 服务器计算机所在的林受到攻击,也不会危及内部林。 为获得作为域成员的 ISA 服务器在管理和安全方面的好处,我们建议您将 ISA 服务器计算机部署在一个单独的林中,该林与公司林之间是一种单向信任关系。 (只有 Windows Server 2003 域才支持单向信任。)
请注意,当您将 ISA 服务器作为域成员安装时,您可以使用组策略锁定 ISA 服务器计算机,而不是通过仅配置本地策略来锁定。
由于安全原因,如果您不要求 ISA 服务器计算机具有域或 Active Directory® 目录服务功能,请考虑将 ISA 服务器计算机安装在工作组中。 例如,如果 ISA 服务器保护的是网络的边缘,请考虑将计算机安装在工作组中。
强化 Windows 基础结构
前面已经提到,本指南假定您已应用 Windows Server 2003 Security Guide 中建议的配置。 具体说来,您应该应用 Microsoft Baseline Security Policy 安全模板。 但是,不要实施 Internet 协议安全 (IPSec) 筛选或任何服务器角色策略。
另外,您应该考虑 ISA 服务器功能并相应地强化操作系统。
下表列出必须为 ISA 服务器启用才能使 ISA 服务器计算机功能正常的核心服务。
| 服务名称 | 说明 | 启动模式 |
COM+ Event System | 核心操作系统 | 手动 |
Cryptographic Services | 核心操作系统(安全) | 自动 |
Event Log | 核心操作系统 | 自动 |
IPSec Services | 核心操作系统(安全) | 自动 |
Logical Disk Manager | 核心操作系统(磁盘管理) | 自动 |
Logical Disk Manager Administrative Service | 核心操作系统(磁盘管理) | 手动 |
Microsoft Firewall | 为使 ISA 服务器功能正常,需要该服务 | 自动 |
Microsoft ISA Server Control | 为使 ISA 服务器功能正常,需要该服务 | 自动 |
Microsoft ISA Server Job Scheduler | 为使 ISA 服务器功能正常,需要该服务 | 自动 |
Microsoft ISA Server Storage | 为使 ISA 服务器功能正常,需要该服务 | 自动 |
MSSQL$MSFW | 对 ISA 服务器使用 MSDE 日志记录时,需要该服务 | 自动 |
Network Connections | 核心操作系统(网络基础结构) | 手动 |
NTLM Security Support Provider | 核心操作系统(安全) | 手动 |
Plug and Play | 核心操作系统 | 自动 |
Protected Storage | 核心操作系统(安全) | 自动 |
Remote Access Connection Manager | 为使 ISA 服务器功能正常,需要该服务 | 手动 |
Remote Procedure Call (RPC) | 核心操作系统 | 自动 |
Secondary Logon | 核心操作系统(安全) | 自动 |
Security Accounts Manager | 核心操作系统 | 自动 |
Server | ISA 服务器防火墙客户端共享需要该服务 | 自动 |
Smart Card | 核心操作系统(安全) | 手动 |
SQLAgent$MSFW | 对 ISA 服务器使用 MSDE 日志记录时,需要该服务 | 手动 |
System Event Notification | 核心操作系统 | 自动 |
Telephony | 为使 ISA 服务器功能正常,需要该服务 | 手动 |
Virtual Disk Service (VDS) | 核心操作系统(磁盘管理) | 手动 |
Windows Management Instrumentation (WMI) | 核心操作系统 (WMI) | 自动 |
WMI Performance Adapter | 核心操作系统 (WMI) | 手动 |
ISA 服务器的服务器角色
ISA 服务器计算机可能具有其他能力,即角色,具体取决于如何使用计算机。 下表列出可能的服务器角色,描述何时可能需要这些角色,并列出启用角色时应激活的服务。
| 服务器角色 | 使用方案 | 需要的服务 | 启动模式 |
路由和远程访问服务器 | 分配了此角色的用户和组可以监控 ISA 服务器计算机和网络活动,但是不能配置特定的监控功能。 | Routing and Remote Access | 手动 |
路由和远程访问服务器 | 分配了此角色的用户和组可以监控 ISA 服务器计算机和网络活动,但是不能配置特定的监控功能。 | Remote Access Connection Manager | 手动 |
路由和远程访问服务器 | 分配了此角色的用户和组可以监控 ISA 服务器计算机和网络活动,但是不能配置特定的监控功能。 | Telephony | 手动 |
路由和远程访问服务器 | 分配了此角色的用户和组可以监控 ISA 服务器计算机和网络活动,但是不能配置特定的监控功能。 | Workstation | 自动 |
路由和远程访问服务器 | 分配了此角色的用户和组可以监控 ISA 服务器计算机和网络活动,但是不能配置特定的监控功能。 | Server | 自动 |
用于远程桌面管理的终端服务器 | 选择此角色可启用 ISA 服务器计算机的远程管理。 | Server | 自动 |
用于远程桌面管理的终端服务器 | 选择此角色可启用 ISA 服务器计算机的远程管理。 | Terminal Services | 手动 |
注
在以下情况下,Server 服务的启动模式应为“自动”:
| • | 您安装 ISA Server 2004:客户端安装共享。 |
| • | 您使用“路由和远程访问管理”而不是“ISA 服务器管理”来配置虚拟专用网络 (VPN)。 |
| • | 上表所述的其他任务或角色需要该服务。 Routing and Remote Access 服务的启动模式为“手动”。 只有在启用 VPN 时,ISA 服务器才启动该服务。 |
请注意,只有在使用“路由和远程访问管理”(而不是“ISA 服务器管理”)时,才需要 Server 服务。
ISA 服务器的服务器任务
服务器任务与服务器角色类似,通常与服务器角色相关,但是不属于服务器角色。 为使服务器能够执行必要的任务,根据您选择的角色,必须启用特定服务。 应禁用必要的服务。 下表列出 ISA 服务器的可能服务器任务,描述何时可能需要这些任务,并列出启用任务时应激活的服务。
| 服务器任务 | 使用方案 | 需要的服务 | 启动模式 |
使用 Windows Installer 本地安装应用程序 | 要使用 Microsoft Installer Service 安装、卸载或修复应用程序,需要该服务 | Windows Installer | 手动 |
备份 | 如果在 ISA 服务器计算机上使用 NTBackup 或其他备份程序,需要执行该任务。 | Microsoft Software Shadow Copy Provider | 手动 |
备份 | 如果在 ISA 服务器计算机上使用 NTBackup 或其他备份程序,需要执行该任务。 | Volume Shadow Copy | 手动 |
备份 | 如果在 ISA 服务器计算机上使用 NTBackup 或其他备份程序,需要执行该任务。 | Removable Storage service | 手动 |
错误报告 | 用于启用错误报告,从而通过向 Microsoft 报告严重错误以便进行分析,有助于提高 Windows 可靠性。 | Error Reporting Service | 自动 |
帮助和支持 | 允许收集计算机历史数据,以便进行 Microsoft 产品支持服务事件升级。 | Help and Support | 自动 |
ISA Server 2004:客户端安装共享 | 要允许计算机连接至 ISA 服务器计算机上的“防火墙客户端共享”并从其中安装,需要执行该任务。 | Server | 自动 |
ISA Server 2004:MSDE 日志记录 | 要允许使用 MSDE 数据库进行日志记录,需要执行该任务。 如果不启用相应的服务,虽然您可以记录至 SQL 数据库或文件, 但是不能够在脱机模式下使用日志查看器 | SQLAgent$MSFW | 手动 |
ISA Server 2004:MSDE 日志记录 | 要允许使用 MSDE 数据库进行日志记录,需要执行该任务。 如果不启用相应的服务,虽然您可以记录至 SQL 数据库或文件, 但是不能够在脱机模式下使用日志查看器 | MSSQL$MSFW | 自动 |
性能监视器 – 后台收集 | 允许在 ISA 服务器计算机上后台收集性能数据。 | Performance Logs and Alerts | 自动 |
打印至远程计算机 | 允许从 ISA 服务器计算机打印。 | Print Spooler | 自动 |
打印至远程计算机 | 允许从 ISA 服务器计算机打印。 | TCP/IP NetBIOS Helper | 自动 |
打印至远程计算机 | 允许从 ISA 服务器计算机打印。 | Workstation | 自动 |
远程 Windows 管理 | 允许远程管理 Windows 服务器(ISA 服务器的远程管理不需要执行该任务)。 | Server | 自动 |
远程 Windows 管理 | 允许远程管理 Windows 服务器(ISA 服务器的远程管理不需要执行该任务)。 | Remote Registry | 自动 |
时间同步 | 允许 ISA 服务器计算机与 NTP 服务器联系以使其时钟同步。 从安全角度看,准确的时钟对事件审核及其他安全协议很重要。 | Windows Time | 自动 |
远程协助 | 允许在此计算机上使用“远程协助”功能。 | Help and Support | 自动 |
远程协助 | 允许在此计算机上使用“远程协助”功能。 | Remote Desktop Help Session Manager | 手动 |
远程协助 | 允许在此计算机上使用“远程协助”功能。 | Terminal Services | 手动 |
注
时间客户端应用程序要求 Wireless 或 Server 服务正在运行,以保证功能正常。
ISA 服务器的客户端角色
服务器可以是其他服务器的客户端。 客户端角色取决于启用的角色特定服务。 下表列出 ISA 服务器的可能客户端角色,描述何时可能需要这些角色,并列出启用角色时应激活的服务。
| 客户端角色 | 使用方案 | 需要的服务 | 启动模式 |
自动更新客户端 | 要允许通过 Microsoft Windows Update 自动检测和更新,选择此角色。 | Automatic Updates | 自动 |
自动更新客户端 | 要允许通过 Microsoft Windows Update 自动检测和更新,选择此角色。 | Background Intelligent Transfer Service | 手动 |
DHCP 客户端 | 如果 ISA 服务器计算机自动从 DHCP 服务器接收其 IP 地址,选择此角色。 | DHCP Client | 自动 |
DNS 客户端 | 如果 ISA 服务器计算机需要从其他服务器接收名称解析信息,选择此角色。 | DNS Client | 自动 |
域成员 | 如果 ISA 服务器计算机属于某个域,选择此角色。 | Network location awareness (NLA) | 手动 |
域成员 | 如果 ISA 服务器计算机属于某个域,选择此角色。 | Net logon | 自动 |
域成员 | 如果 ISA 服务器计算机属于某个域,选择此角色。 | Windows Time | 自动 |
动态 DNS 注册 | 要允许 ISA 服务器计算机自动向 DNS Server 注册其名称和地址信息。 | DHCP Client | 自动 |
Microsoft 网络客户端 | 如果 ISA 服务器计算机必须连接至其他 Windows 客户端,选择此角色。 如果不选择此角色,ISA 服务器计算机将不能够访问远程计算机上的共享(例如,发布报表)。 | TCP/IP NetBIOS Helper | 自动 |
Microsoft 网络客户端 | 如果 ISA 服务器计算机必须连接至其他 Windows 客户端,选择此角色。 如果不选择此角色,ISA 服务器计算机将不能够访问远程计算机上的共享(例如,发布报表)。 | Workstation | 自动 |
WINS 客户端 | 如果 ISA 服务器计算机使用基于 WINS 的名称解析,选择此角色。 | TCP/IP NetBIOS Helper | 自动 |
创建安全模板
您可以使用 Microsoft 管理控制台 (MMC) 的“安全模板”管理单元创建模板。 该模板包含有关应启用的服务及其启动模式的信息。 通过使用安全模板,您可以轻松地配置安全策略,然后将其应用于每台 ISA 服务器计算机。
要创建安全模板,请执行以下步骤。
1. | 要打开“安全模板”,请单击“开始”->“运行”,键入 mmc,然后单击“确定”。 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
2. | 在“文件”菜单中,选择“添加/删除管理单元”,然后单击“添加”按钮。 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
3. | 选定“安全模板”,单击“添加”,单击“关闭”,然后单击“确定”。
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
4. | 在控制台树中,单击“安全模板”节点,用鼠标右键单击您要存储新模板的文件夹,然后单击“新加模板”。
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
5. | 在“模板名”中,键入新安全模板的名称。 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
6. | 在“描述”中,键入新安全模板的描述,然后单击“确定”。 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
7. | 展开新模板,然后单击“系统服务”。 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
8. | 在详细信息窗格中,用鼠标右键单击“COM+ Event System”,然后单击“属性”。 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
9. | 选择“在模板中定义这个策略设置”,然后单击启动模式。 (对于 COM+ Event System,启动模式为“自动”。)
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
10. | 对下表中列出的每项服务重复步骤 8 和 9。
|
注
在以下情况下,Server 服务的启动模式应为“自动”:
| • | 您安装 ISA Server 2004:客户端安装共享。 |
| • | 您使用“路由和远程访问管理”而不是“ISA 服务器管理”来配置 VPN。 |
| • | 上表所述的其他任务或角色需要该服务。 Routing and Remote Access 服务的启动模式为“手动”。 只有在启用 VPN 时,ISA 服务器才启动该服务。 |
要将新模板应用于 ISA 服务器计算机,请执行以下步骤。
1. | 要打开“安全模板”,请单击“开始”->“运行”,键入 mmc,然后单击“确定”。 |
2. | 在“文件”菜单中,选择“添加/删除管理单元”,然后单击“添加”按钮。 |
3. | 选择“安全配置和分析”,单击“添加”,单击“关闭”,然后单击“确定”。
|
4. | 在控制台树中,单击“安全配置和分析”。 |
5. | 用鼠标右键单击“安全配置和分析”,然后选择“打开数据库”。 |
6. | 键入一个新的数据库名称,然后单击“打开”。 |
7. | 选择要导入的安全模板,然后单击“打开”。 选择您先前创建的安全模板。
|
8. | 用鼠标右键单击“安全配置和分析”,然后单击“立即配置计算机”。 |
管理权限和角色
ISA 服务器控制对您的网络的访问,因此在为 ISA 服务器计算机及相关组件分配权限时应特别小心。 谨慎地确定有权登录 ISA 服务器计算机的人员。 然后相应地配置登录权限。
ISA 服务器允许您对用户和组应用管理角色。 确定允许哪些组配置或查看 ISA 服务器策略及监控信息之后,可以适当地分配角色。
以下各部分详述分配权限及管理角色时的考虑事项。
管理角色
对于您的环境中的任何应用,当您为 ISA 服务器定义权限时,应考虑您的 ISA 服务器管理员的角色并仅为他们分配必要的权限。 为简化流程,ISA 服务器使用管理角色。 您可以使用基于角色的管理,将您的 ISA 服务器管理员组织成独立的预定角色,每个角色有自己的一组任务。 当您为用户分配角色时,实际上是允许用户具有执行特定任务的权限。 具有一个角色(如“ISA 服务器完全权限管理员”)的用户可以执行具有另一个角色(如“ISA 服务器基本监视”)的用户不能执行的特定 ISA 服务器任务。 基于角色的管理涉及 Windows 用户和组。 这些安全权限、组成员身份和用户权限用于区分具有不同角色的不同用户。 下表描述 ISA 服务器角色。
| 角色 | 描述 |
ISA 服务器基本监视 | 分配了此角色的用户和组可以监控 ISA 服务器计算机和网络活动,但是不能配置特定的监控功能。 |
ISA 服务器扩展监视 | 分配了此角色的用户和组可以执行全部监控任务,包括日志配置、警报定义配置以及“ISA 服务器基本监视”角色可执行的全部监控功能。 |
ISA 服务器完全权限管理员 | 分配了此角色的用户和组可以执行任何 ISA 服务器任务,包括规则配置、应用网络模板和监控。 |
这些 ISA 服务器管理组的成员可以是任何 Windows 用户。 不需要特权或 Windows 权限。 唯一的例外是,要使用 perfmon 或 ISA 服务器仪表板查看 ISA 服务器性能计数器,用户必须是 Windows Server 2003 Performance Monitors User 用户组的成员。
请注意,具有“ISA 服务器扩展监视”权限的管理员可以导出和导入所有配置信息,包括机密配置信息。 这意味着他们可以将机密信息解密。
要分配管理角色,请执行以下步骤。
1. | 单击“开始”,指向“所有程序”,指向 Microsoft ISA Server,然后单击“ISA 服务器管理”。 |
2. | 在“ISA 服务器管理”的控制台树中,单击 Microsoft ISA Server 2004,然后单击 server_name。 |
3. | 在“任务”选项卡上,单击“定义管理角色”。 |
4. | 在“ISA 服务器管理委派向导”的“欢迎”页上,单击“下一步”。 |
5. | 单击“添加”。 |
6. | 在“组(推荐)或用户”中,键入将为其分配特定管理权限的组或用户的名称。 |
7. | 在“角色”中,选择适用的管理角色。 |
角色与活动
每个 ISA 服务器角色具有关联的一系列特定 ISA 服务器任务。 下表列出某些 ISA 服务器管理任务以及执行这些任务的角色。
| 活动 | 基本监视权限 | 扩展监视权限 | 完全权限管理员权限 |
查看仪表板、警报、连接性、会话和服务 | X | X | X |
确认警报 | X | X | X |
查看日志信息 |
| X | X |
创建警报定义 |
| X | X |
创建报表 |
| X | X |
停止和启动会话和服务 |
| X | X |
查看防火墙策略 |
| X | X |
配置防火墙策略 |
|
| X |
配置缓存 |
|
| X |
配置 VPN |
|
| X |
权限
为 ISA 服务器管理员配置权限时应用最少特权原则,如下一部分所述。 谨慎地确定有权登录 ISA 服务器计算机的人员,避免将访问权分配给对服务器正常运行没有重要影响的人员。
最少特权
应用最少特权原则,用户具有执行特定任务所需的最少特权。 这样有助于确保在某个用户帐户受到危害时,由于该用户的特权有限,产生的影响最小。
保持 Administrators 组及其他用户组尽可能小。 例如,属于 ISA 服务器计算机上的 Administrators 组的用户可以执行 ISA 服务器计算机上的任何任务。
请注意,Administrators 组中的用户隐式分配了“ISA 服务器完全权限管理员”角色,意味着他们也具有配置和监控 ISA 服务器的完全权限。 有关角色的详细信息,请参阅“管理角色”部分。
登录和配置
当您登录至 ISA 服务器计算机时,请使用执行任务所需的最少特权帐户登录。 例如,要配置规则,应以 ISA 服务器管理员的身份登录。 但是,如果仅要查看报表,请使用较少特权帐户登录。
一般说来,要执行例行的非管理任务,请使用具有限制权限的帐户;只有在执行特定的管理任务时,才使用具有更多权限的帐户。
来宾帐户
建议在 ISA 服务器计算机上不要启用来宾帐户。
用户登录至 ISA 服务器计算机时,操作系统检查凭据是否与已知用户匹配。 如果凭据与已知用户不匹配,用户是作为来宾登录的,具有与来宾帐户相同的特权。
ISA 服务器将来宾帐户视为默认的“所有授权用户”用户集。
随机访问控制列表
执行新安装后, ISA 服务器随机访问控制列表 (DACL) 适当地进行配置。 另外,当您修改管理角色(有关详细信息,请参阅“管理角色”部分)时,以及重新启动 ISA Server Control Service (isactrl) 时,ISA 服务器对 DACL 适当地进行重新配置。
警告
ISA 服务器定期重新配置 DACL,因此不应使用“安全和配置分析”工具对 ISA 服务器对象按文件配置 DACL。 否则,组策略设置的 DACL 与 ISA 服务器尝试配置的 DACL 之间可能存在冲突。
不要修改 ISA 服务器设置的 DACL。 请注意, ISA 服务器不为以下列表中的对象设置 DACL。 应谨慎地为以下列表中的对象设置 DACL,以便仅为受信任的特定用户授予权限。
| • | 报表的文件夹(当您选择发布报表时)。 |
| • | 导出或备份配置时创建的配置文件。 |
| • | 备份到其他位置的日志文件。 |
确保谨慎地设置 DACL,以便仅为受信任的用户和组授予权限。 另外,确保对 ISA 服务器间接使用的对象创建严格的 DACL。 例如,创建 ISA 服务器将使用的 ODBC 连接时,务必保持数据源名称 (DSN) 安全。
为 ISA 服务器计算机上运行的所有应用程序配置严格的 DACL。 确保为文件系统和注册表中的关联数据配置严格的 DACL。
提示
建议不要将关键数据(如可执行文件和日志文件)保存至 FAT32 分区。 这是因为不能为 FAT32 分区配置 DACL。
减小攻击面
为加强 ISA 服务器计算机安全,请应用“减小攻击面”原则。 为减小攻击面,请遵循以下准则:
| • | 不要在 ISA 服务器计算机上运行不必要的应用程序和服务。 禁用对当前任务没有重要影响的服务和功能,如“强化 Windows 基础结构”部分所述。 |
| • | 禁用您不使用的 ISA 服务器功能。 例如,如果您不需要缓存,请禁用缓存。 如果您不需要 ISA 服务器的 VPN 功能,请禁用 VPN 客户端访问。 |
| • | 确定对您如何管理网络没有重要影响的服务和任务,然后禁用关联的系统策略规则。 |
| • | 使系统策略规则的适用性仅限于必需的网络实体。 例如,默认情况下启用的 Active Directory 系统策略配置组适用于内部网络上的所有计算机。 您可以加以限制,使之仅适用于内部网络上某个特定的 Active Directory 组。 |
以下各部分描述如何减小 ISA 服务器计算机的攻击面。
禁用 ISA 服务器功能
根据您的特定网络需求,您可能并不需要 ISA 服务器附带的丰富功能。 您应仔细考虑您的特定需求,确定是否需要以下功能:
| • | VPN 客户端访问 |
| • | 缓存 |
| • | 插件 |
如果您不需要某项特定功能,请禁用该功能。
VPN 客户端访问
默认情况下禁用 VPN 客户端访问。 这意味着,称为“允许 VPN 客户端到 ISA 服务器的通讯”的相关系统策略规则也被禁用。 即使 VPN 客户端访问被禁用,称为“VPN 客户端到内部网络”的默认网络规则仍启用。 如果先前启用了 VPN 客户端访问,现在不需要,您可以禁用它。
要验证 VPN 客户端访问是否被禁用,请执行以下步骤。
1. | 单击“开始”,指向“所有程序”,指向 Microsoft ISA Server,然后单击“ISA 服务器管理”。 |
2. | 在“ISA 服务器管理”的控制台树中,单击 Microsoft ISA Server 2004,单击 server_name,然后单击“虚拟专用网络 (VPN)”。 |
3. | 在详细信息窗格中,单击“VPN 客户端”选项卡,然后单击“验证启用了 VPN 客户端访问”。 |
4. | 在“常规”选项卡上,验证未选中“启用 VPN 客户端访问”。
|
缓存
默认情况下禁用缓存。 这意味着,所有相关的缓存功能(包括预定内容下载)均被禁用。 如果先前为 ISA 服务器启用了缓存,您可以禁用它。
要验证缓存是否被禁用,请执行以下步骤。
1. | 单击“开始”,指向“所有程序”,指向 Microsoft ISA Server,然后单击“ISA 服务器管理”。 |
2. | 在“ISA 服务器管理”的控制台树中,单击 Microsoft ISA Server 2004 -> server_name ->“配置” ->“缓存”。 |
3. | 在详细信息窗格,单击“缓存驱动器”选项卡。 |
4. | 在“任务”选项卡上,单击“禁用缓存”。
|
插件
安装 ISA 服务器时,同时会安装一个包含应用程序筛选器和 Web 筛选器的套件。 随后可以安装由第三方供应商提供的附加插件。 请遵循以下准则:
| • | 不要安装您不需要的应用程序筛选器或 Web 筛选器。 |
| • | 永不从不受信任的源安装筛选器。 |
| • | 将与插件关联的 DLL 保存在受保护的库(例如,%ProgramFiles%\Microsoft ISA Server)中。 确保为该库配置严格的 ACL。 |
| • | 禁用您不需要的应用程序筛选器和 Web 筛选器。 |
要禁用插件,请执行以上步骤。
1. | 单击“开始”,指向“所有程序”,指向 Microsoft ISA Server,然后单击“ISA 服务器管理”。 |
2. | 在“ISA 服务器管理”的控制台树中,单击 Microsoft ISA Server 2004 -> server_name ->“配置” ->“插件”。 |
3. | 在详细信息窗格中,选择适用的插件。 |
4. | 在“任务”选项卡上,单击“禁用所选筛选器”。 |
系统策略
ISA 服务器包含默认的系统策略配置,允许使用网络基础结构正常运行所需的常用服务。
一般从安全角度考虑,我们强烈建议您配置系统策略,以便禁止访问管理网络不需要的服务。 安装之后,请仔细检查配置的系统策略规则。 同样,执行主要管理任务之后,请再次检查系统策略配置。
以下各部分描述系统策略规则启用的服务。
网络服务
安装 ISA 服务器时,启用基本的网络服务。 安装之后,ISA 服务器可以访问内部网络上的名称解析服务器和时间同步服务。
如果网络服务在其他网络上,您应修改相应的配置组的源,以便适用于特定网络。 例如,假设 DHCP 服务器不在内部网络上,而是在外围网络上, 请修改 DHCP 配置组的源,以便适用于外围网络。
您可以修改系统策略,以便仅允许访问内部网络上的特定计算机。 另外,如果服务在其他位置,您可以添加附加网络。
下表显示适用于网络服务的系统策略规则。
| 配置组 | 规则名称 | 规则描述 |
DHCP | 允许从 ISA 服务器到内部网络的 DHCP 请求 允许从 DHCP 服务器到 ISA 服务器的 DHCP 回复 | 允许 ISA 服务器计算机使用 DHCP(回复)和 DHCP(请求)协议访问内部网络。 |
DNS | 允许从 ISA 服务器到选择服务器的 DNS | 允许 ISA 服务器计算机使用 DNS 协议访问所有网络。 |
NTP | 允许从 ISA 服务器到受信任的 NTP 服务器的 NTP | 允许 ISA 服务器计算机使用 NTP (UDP) 协议访问内部网络。 |
DHCP 服务
如果 DHCP 服务器不在内部网络上,您必须修改系统策略规则,以便适用于 DHCP 服务器所在的网络。 例如,如果 DHCP 服务器在外部网络上,请执行以下步骤。
1. | 单击“开始”,指向“所有程序”,指向 Microsoft ISA Server,然后单击“ISA 服务器管理”。 |
2. | 在“ISA 服务器管理”的控制台树中,单击 Microsoft ISA Server 2004,单击 server_name,然后单击“防火墙策略”。 |
3. | 在“任务”选项卡上,单击“编辑系统策略”。 |
4. | 在系统策略编辑器的“配置组”树中,单击 DHCP。 |
5. | 在“从”选项卡上,单击“添加”。 |
6. | 在“添加网络实体”中,选择一个网络对象。
|
7. | 单击“添加”,然后单击“关闭”。 |
身份验证服务
ISA 服务器的基本功能之一是能够对特定用户应用防火墙策略。 但是,要验证用户,ISA 服务器必须能够与身份验证服务器通讯。 由于这个原因,默认情况下 ISA 服务器可以与 Active Directory 服务器(对于 Windows 身份验证)以及内部网络上的 RADIUS 服务器通讯。
下表显示适用于身份验证服务的系统策略规则。
| 配置组 | 规则名称 | 规则描述 |
Active Directory | 允许对目录服务进行身份验证的访问 允许从 ISA 服务器到受信任的服务器的 RPC 允许 Microsoft CIFS 从 ISA 服务器到受信任的服务器 允许从 ISA 服务器到受信任的服务器的 Kerberos 身份验证 | 允许 ISA 服务器计算机使用各种 LDAP 协议、RPC(所有接口)协议、各种 Microsoft CIFS 协议和各种 Kerberos 协议并使用 Active Directory 目录服务访问内部网络。 |
RSA SecurID | 允许从 ISA 服务器到受信任的服务器进行 SecurID 身份验证 | 允许 ISA 服务器计算机使用 RSA SecurID® 协议访问内部网络。 |
RADIUS | 允许从 ISA 服务器到受信任 RADIUS 服务器的 RADIUS 身份验证 | 允许 ISA 服务器计算机使用各种 RADIUS 协议访问内部网络。 |
证书吊销列表 | 允许从 ISA 服务器到所有网络的 HTTP 通讯(用于 CRL 下载) | 身份验证服务:允许 ISA 服务器使用 HTTP 协议访问选定的网络以便下载更新的证书吊销列表 (CRL)。 |
DCOM
如果您需要使用 DCOM 协议(例如,为了远程管理 ISA 服务器计算机),请确保不要启用“强制严格符合 RPC”。
要验证未选中“强制严格符合 RPC”,请执行以下步骤。
1. | 单击“开始”,指向“所有程序”,指向 Microsoft ISA Server,然后单击“ISA 服务器管理”。 |
2. | 在“ISA 服务器管理”的控制台树中,单击 Microsoft ISA Server 2004,单击 server_name,然后单击“防火墙策略”。 |
3. | 在“任务”选项卡上,单击“编辑系统策略”。 |
4. | 在系统策略编辑器的“配置组”树中,单击 Active Directory。 |
5. | 验证未选中“强制严格符合 RPC”。
|
Windows 和 RADIUS 身份验证服务
如果您不需要 Windows 身份验证或 RADIUS 身份验证,应执行以下步骤禁用相应的系统策略配置组。
1. | 单击“开始”,指向“所有程序”,指向 Microsoft ISA Server,然后单击“ISA 服务器管理”。 |
2. | 在“ISA 服务器管理”的控制台树中,单击 Microsoft ISA Server 2004,单击 server_name,然后单击“防火墙策略”。 |
3. | 在“任务”选项卡上,单击“编辑系统策略”。 |
4. | 在系统策略编辑器的“配置组”树中,单击 Active Directory。 |
5. | 在“常规”选项卡上,验证未选中“启用”。
|
6. | 对 RADIUS 配置组重复步骤 4 和 5。
|
RSA SecurID 身份验证服务
默认情况下不启用与 RSA SecurID 身份验证服务器的通讯。 如果您的防火墙策略需要 RSA SecurID 身份验证,请确保启用此配置组。
CRL 身份验证服务
默认情况下不能下载证书吊销列表 (CRL)。 这是因为默认情况下不启用 CRL 下载配置组。
要启用 CRL 下载,请执行以下步骤。
1. | 单击“开始”,指向“所有程序”,指向 Microsoft ISA Server,然后单击“ISA 服务器管理”。 |
2. | 在“ISA 服务器管理”的控制台树中,单击 Microsoft ISA Server 2004,单击 server_name,然后单击“防火墙策略”。 |
3. | 在“任务”选项卡上,单击“编辑系统策略”。 |
4. | 在系统策略编辑器的“配置组”树中,单击“CRL 下载”。 |
5. | 在“常规”选项卡上,验证选中“启用”。 |
6. | 在“到”选项卡上,选择可以从其中下载证书吊销列表的网络实体。 |
将允许从本地主机网络(ISA 服务器计算机)到“到”选项卡上所列网络实体的所有 HTTP 通讯。
远程管理
通常,您将从远程计算机管理 ISA 服务器。 谨慎地确定有权管理和监控 ISA 服务器的远程计算机。 下表显示应配置的系统策略规则。
| 配置组 | 规则名称 | 规则描述 |
Microsoft 管理控制台 | 允许从所选计算机使用 MMC 进行远程管理 允许 MS 防火墙控制与所选计算机通信 | 允许“远程管理计算机”计算机集内的计算机使用 MS 防火墙控制和 RPC(所有接口)协议访问 ISA 服务器计算机。 |
终端服务器 | 允许从所选计算机使用终端服务器进行远程管理 | 允许“远程管理计算机”计算机集内的计算机使用 RDP(终端服务)协议访问 ISA 服务器计算机。 |
ICMP (Ping) | 允许从所选计算机到 ISA 服务器的 ICMP (PING) 请求 | 允许“远程管理计算机”计算机集内的计算机使用 Ping 协议访问 ISA 服务器计算机,反之亦然。 |
默认情况下,启用允许远程管理 ISA 服务器的系统策略规则。 ISA 服务器可以通过运行远程“Microsoft 管理控制台 (MMC)”管理单元来管理,或者使用终端服务来管理。
默认情况下,这些规则应用于内置的“远程管理计算机”计算机集。 当您安装 ISA 服务器时,创建这个空计算机集。 请向这个空计算机集添加将远程管理 ISA 服务器的所有计算机。 直到这样做之后,才能实际从某台计算机进行远程管理。
提示
通过配置系统策略规则,以便仅适用于特定 IP 地址,可以将远程管理限于特定计算机。
要启用远程管理,请执行以下步骤。
1. | 单击“开始”,指向“所有程序”,指向 Microsoft ISA Server,然后单击“ISA 服务器管理”。 |
2. | 在“ISA 服务器管理”的控制台树中,单击 Microsoft ISA Server 2004,单击 server_name,然后单击“防火墙策略”。 |
3. | 在“工具箱”选项卡上,单击“网络对象”。
|
4. | 在“网络对象”下面的工具栏中,在“计算机集”下方,用鼠标右键单击“远程管理计算机”,然后单击“属性”。
|
5. | 单击“添加”,然后单击“计算机”。 |
6. | 在“名称”中,键入计算机的名称。 |
7. | 在“计算机 IP 地址”中,键入可以远程管理 ISA 服务器的计算机的 IP 地址。 |
远程监视和日志
默认情况下,禁用远程日志和监控。 默认情况下禁用以下配置组:
| • | 远程日志 (NetBIOS) |
| • | 远程记录 (SQL) |
| • | 远程性能监视 |
| • | Microsoft 操作管理器 |
下表描述这些配置组。
| 配置组 | 规则名称 | 规则描述 |
远程日志 (NetBIOS) | 允许使用 NetBIOS 远程登录到受信任的服务器 | 允许 ISA 服务器计算机使用各种 NetBIOS 协议访问内部网络。 |
远程记录 (SQL) | 允许从 ISA 服务器到已选定服务器的远程 SQL 日志 | 允许 ISA 服务器计算机使用 Microsoft (SQL) 协议访问内部网络。 |
远程性能监视 | 允许从受信任的服务器远程监视 ISA 服务器的性能 | 允许“远程管理计算机”计算机集内的计算机使用各种 NetBIOS 协议访问 ISA 服务器计算机。 |
Microsoft 操作管理器 | 允许 ISA 服务器使用 Microsoft 操作管理器 (MOM) 代理远程监视受信任的服务器 | 允许 ISA 服务器计算机使用“Microsoft 操作管理器”代理访问内部网络。 |
启用远程日志和监视
要启用远程监视和日志,请执行以下步骤。
1. | 单击“开始”,指向“所有程序”,指向 Microsoft ISA Server,然后单击“ISA 服务器管理”。 | ||||||||
2. | 在“ISA 服务器管理”的控制台树中,单击 Microsoft ISA Server 2004,单击 server_name,然后单击“防火墙策略”。 | ||||||||
3. | 在“任务”选项卡上,单击“编辑系统策略”。 | ||||||||
4. | 在系统策略编辑器的“配置组”树中,选择以下一个或多个配置组:
| ||||||||
5. | 在“常规”选项卡上,验证选中“启用”。 |
防火墙客户端共享
如果在安装 ISA 服务器时安装了“防火墙客户端共享”组件,默认情况下启用“防火墙客户端安装共享”配置组。 内部网络上的所有计算机均可以访问该共享文件夹。 下表显示启用的系统策略配置组(及规则)。
| 配置组 | 规则名称 | 规则描述 |
防火墙客户端安装 | 允许受信任的计算机访问 ISA 服务器上的防火墙客户端安装共享 | 允许内部网络上的计算机使用各种 Microsoft CIFS 和 NetBIOS 协议访问 ISA 服务器计算机。 启用此规则时,允许使用 SMB 从指定的任何网络或计算机访问 ISA 服务器计算机。 访问不仅限于防火墙客户端安装共享文件夹。 |
如果未安装“防火墙客户端共享”组件,系统不启用此配置。
诊断服务
默认情况下,启用允许访问诊断服务的系统策略规则,从而提供以下权限:
| • | ICMP。 这适用于所有网络。 此服务对确定与其他计算机的连接性很重要。 |
| • | Windows 网络。 这允许 NetBIOS 通讯。默认情况下,允许与内部网络上的计算机通讯。 |
| • | Microsoft 错误报告。 这允许使用 HTTP 协议访问“Microsoft 错误报告站点”URL 集,从而允许报告错误信息。 默认情况下,此 URL 集包括特定的 Microsoft 站点。 |
| • | 连接性验证程序。 此服务允许 ISA 服务器计算机使用 HTTP 和 HTTPS 协议检查某台特定计算机是否响应。 |
下表显示默认情况下启用的系统策略配置组。
| 配置组 | 规则名称 | 规则描述 |
ICMP | 允许从 ISA 服务器到已选定服务器的 ICMP 请求 | 允许 ISA 服务器计算机使用各种 ICMP 协议和 Ping 协议访问所有网络。 |
Windows 网络 | 允许 NetBIOS 从 ISA 服务器到受信任的服务器 | 允许 ISA 服务器计算机使用各种 NetBIOS 协议访问所有网络。 |
与 Microsoft 通信(Microsoft 错误报告) | 允许从 ISA 服务器到指定的 Microsoft 错误报告站点的 HTTP/HTTPS | 允许 ISA 服务器计算机使用 HTTP 或 HTTPS 协议访问“Microsoft 错误报告站点”URL 集的成员。 |
连接性验证程序
另外,默认情况下不启用以下诊断服务:HTTP 连接性验证程序。
当您创建连接性验证程序时,系统启用 HTTP 连接性验证程序配置组,从而允许本地主机网络使用 HTTP 或 HTTPS 协议访问任何其他网络上的计算机。 下表描述 HTTP 连接性验证程序配置组。
| 配置组 | 规则名称 | 规则描述 |
HTTP 连接性验证程序 | 允许从防火墙到所有网络的 HTTP/HTTPS(用于HTTP 连接性验证程序) | 允许 ISA 服务器计算机通过向指定的计算机发送 HTTP GET 请求来检查连接性。 |
建议将此访问限于您要验证其连接性的特定计算机。
要限制此访问,请执行以下步骤。
1. | 单击“开始”,指向“所有程序”,指向 Microsoft ISA Server,然后单击“ISA 服务器管理”。 |
2. | 在“ISA 服务器管理”的控制台树中,单击 Microsoft ISA Server 2004,单击 server_name,然后单击“防火墙策略”。 |
3. | 在“任务”选项卡上,单击“编辑系统策略”。 |
4. | 在系统策略编辑器的“配置组”树中,单击“HTTP 连接性验证程序”。 |
5. | 在“到”选项卡上,单击“所有网络(和本地主机)”,然后单击“删除”。 |
6. | 单击“添加”,然后选择您要验证其连接性的网络实体。 将允许从本地主机网络(ISA 服务器计算机)到“到”选项卡上所列网络实体的所有 HTTP 通讯。 |
SMTP
默认情况下启用 SMTP 配置组,从而允许从 ISA 服务器到内部网络上的计算机的 SMTP 通讯。 例如,当您要通过电子邮件发送警报信息时,需要这样做。 下表描述 SMTP 配置组。
| 配置组 | 规则名称 | 规则描述 |
SMTP | 允许从 ISA 服务器到受信任的服务器的 SMTP | 允许 ISA 服务器计算机使用 SMTP 协议访问内部网络。 |
计划的下载任务
默认情况下禁用“计划和下载任务”功能。 下表描述“计划的下载任务”配置组。
| 配置组 | 规则名称 | 规则描述 |
计划的下载任务 | 允许 HTTP 从 ISA 服务器下载内容到所选计算机 | 允许 ISA 服务器计算机使用 HTTP 协议访问所有网络。 |
当您创建内部下载任务时,系统将提示您启用此系统策略规则。 ISA 服务器将能够访问内部下载任务中指定的站点。
访问 Microsoft 网站
默认系统策略允许使用 HTTP 和 HTTPS 协议从本地主机网络(即 ISA 服务器计算机)访问 microsoft.com 网站。 需要此功能有以下几个原因:
| • | 错误报告(如“诊断服务”部分所述) |
| • | 访问 ISA 服务器网站及其他相关网站上的有用文档 |
默认情况下启用允许的站点配置组,从而允许 ISA 服务器访问属于“系统策略允许的站点”域名集的特定站点上的内容。 下表描述“允许的站点”配置组。
| 配置组 | 规则名称 | 规则描述 |
允许的站点 | 允许从 ISA 服务器到指定站点的 HTTP/HTTPS 请求 | 允许 ISA 服务器计算机使用 HTTP 和 HTTPS 协议访问“系统策略允许的站点”URL 集的成员。 |
默认情况下,此 URL 集包含各种 Microsoft 网站。 您可以修改该域名集,以包含允许 ISA 服务器访问的附加网站。
要修改 URL 集以包含附加网站,请执行以下步骤。
1. | 单击“开始”,指向“所有程序”,指向 Microsoft ISA Server,然后单击“ISA 服务器管理”。 |
2. | 在“ISA 服务器管理”的控制台树中,单击 Microsoft ISA Server 2004,单击 server_name,然后单击“防火墙策略”。 |
3. | 在“工具箱”选项卡上,单击“网络对象”。
|
4. | 在“域名集”下方,用鼠标右键单击“系统策略允许的站点”,然后单击“属性”。 |
5. | 在“常规”选项卡上,单击“新建”,然后键入特定网站的 URL。
|
将允许使用 HTTP 和 HTTPS 协议访问指定的网站。
锁定模式
防火墙的一个重要功能是对攻击作出反应。 发生攻击时,第一道防线似乎是断开与 Internet 的连接,从而将受到危害的网络与恶意外部攻击者隔离。 但是,这不是一个值得推荐的方法。 虽然必须对付攻击,但是尽快恢复正常网络连接性,并且必须识别攻击的来源。
ISA Server 2004 引入的锁定功能同时满足隔离和保持连接的需要。 如果出现某种情况,导致 Microsoft 防火墙服务关闭,ISA 服务器将进入锁定模式。 以下条件下会发生这种情况:
| • | 某个事件触发防火墙服务关闭。 当您配置警报定义时,需要决定导致防火墙服务关闭的事件。 实质上,您配置 ISA 服务器何时进入锁定框。 |
| • | 手动关闭防火墙服务。 如果您察觉恶意攻击,您可以关闭防火墙服务,同时配置 ISA 服务器计算机和网络以对付攻击。 |
受影响的功能
处于锁定模式时,功能方面情况如下:
| • | Firewall Packet Filter Engine (fweng) 应用防火墙策略。 | ||||||
| • | 允许从本地主机网络到所有网络的传出通讯。 如果建立一个传出连接,可以使用该连接对传入通讯作出响应。 例如,DNS 查询可以在相同的连接上接收 DNS 响应。 | ||||||
| • | 除非启用特别允许传入通讯的系统策略规则,否则不允许传入通讯。 一个例外情况是 DHCP 通讯,DHCP 通讯始终获得允许。 也就是说,允许 UDP 端口 67 上的 DHCP 请求从本地主机传送到所有网络,允许 UDP 端口 68 上的 DHCP 回复传回本地主机。 | ||||||
| • | 以下系统策略规则仍适用:
| ||||||
| • | VPN 远程访问客户端不能访问 ISA 服务器。 同样,在站点至站点 VPN 方案中,拒绝访问远程站点网络。 | ||||||
| • | 只有在防火墙服务重新启动并且 ISA 服务器退出锁定模式之后,才应用锁定模式下对网络配置的更改。 例如,如果您物理上移动网络段,并重新配置 ISA 服务器以便与物理更改匹配,只有在 ISA 服务器退出锁定模式之后,新拓扑才生效。 | ||||||
| • | ISA 服务器不触发任何警报。 |
保持锁定模式
防火墙服务重新启动时,ISA 服务器退出锁定模式并继续像以前一样运行。 ISA 服务器退出锁定模式之后,应用对 ISA 服务器配置的任何更改。
保证配置安全
当您配合公司安全策略配置 ISA 服务器防火墙策略时,请遵循拒绝未明确允许的所有流量的原则。 ISA 服务器在默认情况下实施此策略。 称为“默认规则”的默认防火墙策略规则拒绝所有用户访问所有网络。 由于最后处理此规则,将拒绝未明确允许的任何通讯。
升级之后验证配置
通过升级或使用“ISA 服务器迁移向导”,可以将 ISA Server 2000 策略迁移至 ISA Server 2004。 请仔细检查迁移的策略。 ISA Server 2004 利用与 ISA Server 2000 不同的规则模型。 确保根据组织的安全策略配置防火墙策略。
验证防火墙策略配置
建议您在创建防火墙策略之后,积极检查策略。 验证您要传送的通讯是否获得允许。 另外,验证仅适用的端口打开。
虚拟专用网络
使用 ISA Server 2004 作为虚拟专用网络 (VPN) 服务器时,请遵循安全最佳做法,这很重要。 下面列出关于保证作为 VPN 服务器的 ISA 服务器计算机安全的建议:
| • | 建议使用 L2TP over IPSec(建立在 Internet 协议安全之上的第二层隧道协议)连接,以获得最强加密。 建议实施并强制使用强密码策略,从而减少词典攻击的机会。 实施这样的策略时,您可以禁用帐户锁定,从而减少攻击者触发帐户锁定的机会。 |
| • | 要求远程 VPN 客户端运行特定操作系统(如 Microsoft Windows Server 2003、Windows 2000 Server 或 Windows XP)。 并非所有操作系统的文件系统和用户帐户系统都具有同等安全级别。 同样,并非所有操作系统的所有远程访问功能都可用。 |
| • | 使用 ISA 服务器的隔离控制功能为远程 VPN 客户端提供分阶段网络访问。 通过隔离控制,客户端在获准访问网络之前,限于隔离模式。 虽然隔离控制并不能防止攻击,但是在授权用户访问网络之前,可以验证授权用户的计算机配置并在必要时进行纠正。 |
利用 VPN 进行病毒防护
系统不能自动阻止感染病毒的 VPN 客户端计算机通过请求使病毒扩散到 ISA 服务器计算机或其保护的网络。 为防止这种情况发生,需要采取监视措施以检测警报或异常通讯高峰等异常情况,并且配置警报通知以使用电子邮件。 如果确定受感染的 VPN 客户端计算机,请采取以下措施之一:
| • | 通过使用远程访问策略将用户排除在允许连接的 VPN 客户端之外,按用户名限制 VPN 访问。 |
| • | 按 IP 地址限制 VPN 访问。 创建一个包含阻止的外部 IP 地址的新网络,并将客户端的 IP 地址从外部网络移至新网络。 |
VPN 的身份验证
使用足够安全的身份验证方法。 最安全的身份验证方法是与智能卡结合使用的可扩展身份验证协议-传输级别安全 (EAP-TLS)。 尽管使用 EAP-TLS 和智能卡时会遇到部署难题,需要公钥基础结构 (PKI),仍不失为最安全的身份验证方法。 启用 EAP-TLS(在远程访问策略的配置文件中默认为禁用)。
如果使用 EAP-TLS 身份验证协议,必须在 Internet 验证服务 (IAS) 服务器上安装计算机证书。 对于客户端和用户身份验证,您可以在客户端计算机上安装证书,也可以使用智能卡。 在部署证书之前,必须按正确的要求设计证书。
如果使用基于密码的身份验证,请对您的网络强制使用强密码策略,使词典攻击更困难。
可考虑要求您的远程 VPN 客户端使用更安全的身份验证协议进行身份验证,如 Microsoft 质询握手身份验证协议版本 2 (MS-CHAP v2) 或可扩展身份验证协议 (EAP),而不允许它们使用密码身份验证协议 (PAP)、Shiva 密码身份验证协议 (SPAP) 和质询握手身份验证协议 (CHAP)。
我们强烈建议禁用密码身份验证协议 (PAP)、Shiva 密码身份验证协议 (SPAP) 和质询握手身份验证协议 (CHAP)。 默认情况下禁用 PAP、SPAP 和 CHAP。
链接转换
无论是否启用了链接转换,ISA Server 2004 的链接转换功能都会转换 HTTP 标头。 这意味着,当您发布 Web 服务器时,如果指定可以使用任何域名,攻击者可以在标头中发送恶意内容。 如果发布的服务器将请求重定向至任何计算机上的页面,响应可能有害。 (它可能已被修改,包含攻击者发送的标头中的 URL。)如果此页面被下游服务器缓存,访问此页面的用户将会被重定向至攻击者配置的网站。
因此,我们建议您指定 Web 发布规则应用到的特定域名。
要指定特定域名,请执行以下步骤。
1. | 单击“开始”,指向“所有程序”,指向 Microsoft ISA Server,然后单击“ISA 服务器管理”。 |
2. | 在“ISA 服务器管理”的控制台树中,单击 Microsoft ISA Server 2004,单击 server_name,然后单击“防火墙策略”。 |
3. | 在详细信息窗格中,选择适用的 Web 发布规则。 |
4. | 在“任务”选项卡上,单击“编辑所选规则”。 |
5. | 在“公共名称”选项卡上,选择“此规则应用到”下面的“以下网站的请求”。
|
6. | 单击“添加”。 |
7. | 在“公共域名或 IP 地址”中,键入 Web 发布规则将应用到的特定域名。 |
连接限制
ISA 服务器限制指定时间内的连接数。 您可以配置限制,从而指定并发连接的最大数量。 达到最大连接数时,对该 Web 侦听器的任何新客户端请求都将被拒绝。
您可以限制服务器发布或访问规则每秒允许的 UDP、ICMP 及其他 Raw IP 会话的总数。 这些限制并不适用于 TCP 连接。 超过指定的连接数时,将不再创建新连接。 也不会断开现有的连接。
建议配置较严格的连接限制。 这样可以有效地限制恶意主机使用 ISA 服务器计算机上的资源。
默认情况下,对于非 TCP 连接,连接限制配置为每秒钟每个规则 1000 个连接,每个客户端 160 个连接。 对于 TCP 连接,连接限制配置为每个客户端 160 个连接。 我们强烈建议您不要更改这些预配置限制。 如果您必须修改连接限制,请尽可能配置较少的连接数。
要配置连接限制,请执行以下步骤。
1. | 单击“开始”,指向“所有程序”,指向 Microsoft ISA Server,然后单击“ISA 服务器管理”。 | ||||
2. | 在“ISA 服务器管理”的控制台树中,单击 Microsoft ISA Server 2004 -> server_name ->“配置”->“常规”。 | ||||
3. | 在详细信息窗格中,单击“定义连接限制”。 | ||||
4. | 在“连接限制”选项卡上,选择“限制连接数目”。
| ||||
5. | 执行以下操作:
|
防火墙客户端
ISA 服务器支持防火墙客户端和 ISA 服务器之间采用更安全的通讯方式,这涉及采取使用 TCP 控制通道的加密。 您可以配置 ISA 服务器,使之仅接受客户端使用此安全方式发出的连接请求。 但是,这会使较早版本的防火墙客户端软件无法连接。
我们建议您仅允许通过加密连接进行通讯的防火墙客户端。 这包括 ISA Server 2004 计算机的所有防火墙客户端软件。
要配置防火墙客户端,请执行以下步骤。
1. | 单击“开始”,指向“所有程序”,指向 Microsoft ISA Server,然后单击“ISA 服务器管理”。 |
2. | 在“ISA 服务器管理”的控制台树中,单击 Microsoft ISA Server 2004 -> server_name ->“配置”->“常规”。 |
3. | 在详细信息窗格中,单击“定义防火墙客户端设置”。 |
4. | 在“连接”选项卡上,验证未选中“允许不加密的防火墙客户端连接”。
|
保证部署安全
保证 ISA 服务器安全的第一步是验证 ISA 服务器计算机是否物理上安全,以及您是否采用基本的安全配置建议。
在保证 ISA 服务器计算机安全并在配置服务器策略时应用了安全准则以后,应考虑如何部署网络基础结构。 这部分描述在部署 ISA 服务器保护的网络时需要考虑的安全准则。
身份验证
在配置 Web 请求身份验证时,尽可能使用最强的身份验证方法。 我们强烈建议您对不安全的连接使用以下身份验证方法:
| • | 基本 |
| • | 摘要式 |
| • | 基于 Outlook® Web Access 窗体的身份验证 |
| • | SecurID |
| • | RADIUS |
使用 RADIUS 服务器
远程身份验证拨入用户服务 (RADIUS) 是用于提供身份验证的行业标准协议。 RADIUS 客户端(通常为拨号服务器、VPN 服务器或无线访问点)以 RADIUS 消息的形式将用户凭据和连接参数信息发送至 RADIUS 服务器。 RADIUS 服务器验证 RADIUS 客户端请求并发回 RADIUS 消息响应。
RADIUS 服务器除了验证客户端凭据之外,还对其进行授权,因此如果 ISA 服务器从 RADIUS 服务器收到表明客户端凭据未被批准的响应,实际上可能意味着 RADIUS 服务器未对客户端授权。 即使凭据已验证,根据 RADIUS 服务器验证策略,ISA 服务器也可能拒绝客户端请求。
在执行要求 RADIUS 身份验证的 VPN 或防火墙策略时,请遵循以下准则:
| • | RADIUS 用户密码隐藏机制可能无法提供足够的安全性。 RADIUS 隐藏机制使用 RADIUS 共享密码、请求验证程序以及用于加密用户密码及其他属性的 MD5 哈希算法,如隧道密码和 MS-CHAP-MPPE 密钥。 RFC 2865 注意到评估威胁环境并确定是否应使用额外安全性的潜在需求。
| ||||||||
| • | 如果使用基于密码的身份验证,请对您的网络强制使用强密码策略,使词典攻击更困难。 | ||||||||
| • | 如果使用英语之外的任何其他语言指定用户名,ISA 服务器使用 ISA 服务器计算机上安装的当前代码页来转换用户数据。 只有在客户端也使用相同的代码页时,才能验证该用户。 | ||||||||
| • | 如果在 RADIUS 验证用户已登录时,您更改 RADIUS 服务器策略,新策略不会应用于当前登录的用户。 这是因为在访问已发布的 Outlook Web Access 服务器的用户使用 RADIUS 身份验证进行验证时,ISA 服务器会缓存登录用户的凭据。 |
检验与身份验证服务器的连接性
如果您使用 RADIUS 服务器进行身份验证,请创建用于监视服务器状态的连接性验证程序。 配置警报,以便在 RADIUS 服务器不能正常运行时采取适当的措施。
要检验连接性,请执行以下步骤。
1. | 单击“开始”,指向“所有程序”,指向 Microsoft ISA Server,然后单击“ISA 服务器管理”。 | ||||
2. | 在“ISA 服务器管理”的控制台树中,单击 Microsoft ISA Server 2004,单击 server_name,然后单击“监视”。 | ||||
3. | 在详细信息窗格中,单击“连接性”选项卡。 | ||||
4. | 在“任务”选项卡上,单击“创建新连接性验证程序”。 | ||||
5. | 在向导的“欢迎”页上,键入连接性验证程序的名称,然后单击“下一步”。 | ||||
6. | 在“连接性验证细节”页上,执行以下操作:
| ||||
7. | 如果未启用允许 HTTP 连接验证的系统策略规则,并且您选择了“发送一个 HTTP“Get”请求”,系统将会提示您启用系统策略规则。 单击“是”。 | ||||
8. | 在详细信息窗格中,选择您刚才创建的规则。 | ||||
9. | 在“任务”选项卡上,单击“编辑所选验证程序”。 | ||||
10. | 在“属性”选项卡上,验证选中“如果服务器在指定时间没有响应,则触发一个警报”。
|
部署身份验证服务器
出于安全原因,我们建议您将身份验证服务器置于高度安全的网络中。 如果可能,请考虑将身份验证服务器置于一个单独的网络(与内部网络和外围网络分开)。 这样,您就可以有效地阻止内部网络或外围网络上的任何主机直接访问身份验证服务器。
在此情况下,您应修改适用的系统策略规则,以便它可以应用于身份验证服务器所在的网络。
要部署身份验证服务器,请执行以下步骤。
1. | 单击“开始”,指向“所有程序”,指向 Microsoft ISA Server,然后单击“ISA 服务器管理”。 |
2. | 在“ISA 服务器管理”的控制台树中,单击 Microsoft ISA Server 2004,单击 server_name,然后单击“防火墙策略”。 |
3. | 在“任务”选项卡上,单击“编辑系统策略”。 |
4. | 在系统策略编辑器的“配置组”树中,单击“身份验证服务”下面的适用身份验证方法。 |
5. | 在“到”选项卡上,单击“添加”。 |
6. | 在“添加网络实体”中,选择身份验证服务器所在的网络。 |
DNS 服务器
域名系统 (DNS) 是 IP 网络的名称解析协议,如 Internet。 DNS 服务器具有客户端计算机将可存储的字母数字 DNS 名称解析为该计算机用来互相通讯的 IP 地址。
ISA 服务器包含名称解析机制,这与 DNS 服务器名称解析机制相似。 这样,当客户端向另一个网络上的主机发出请求时,ISA 服务器可以解析主机名称。 ISA 服务器向您配置用于名称解析的 DNS 服务器发出名称解析请求。
为了防止 DNS 缓存受到危害,我们强烈建议您配置 ISA 服务器以使用受信任的 DNS 服务器(例如,Windows DNS 服务器),并启用防止缓存受到危害的选项。 此 DNS 服务器应位于内部网络上。
如果您在一个不受信任的网络(例如,外部网络)上部署 DNS 服务器,我们强烈建议您同时在一个受信任的网络(例如,外围网络)上安装一个 DNS 服务器。 然后,配置受信任的网络上的 DNS 服务器将请求转给不受信任的网络上的 DNS 服务器。
要配置 DNS,请在 ISA 服务器计算机上执行以下步骤。
1. | 单击“开始”,单击“控制面版”,然后双击“网络连接”。 |
2. | 用鼠标右键单击要配置的连接,然后单击“属性”。 |
3. | 在“常规”选项卡上,单击“此连接使用下列项目”下面的“Internet 协议 (TCP/IP)”,然后单击“属性”。
|
4. | 选择“使用下面的 DNS 服务器地址”。 |
5. | 在“首选 DNS 服务器”和“备用 DNS 服务器”中,键入内部网络上受信任的 DNS 服务器的 IP 地址。
|
监视和故障排除
您要执行的一项重要日常任务是监视允许通过 ISA 服务器的网络通讯。 监视功能的中心任务是仔细分析日志和审核信息。
以下各部分介绍有助于确保日志信息完整性的技巧和提示。
日志记录
日志记录使您可以审查网络活动,检查访问您的网络上的资源的人员。 定期仔细审查日志,检查可疑的访问及网络资源使用。 遵循以下准则以最佳利用 ISA 服务器日志记录:
| • | 配置警报以向管理员发送通知。 执行快速响应过程。 |
| • | 将日志保存到独立的 NTFS 磁盘分区以保证最大的安全性。 只有 ISA 服务器计算机的管理员可以访问日志。 |
| • | 如果您将日志信息保存至 SQL 数据库,请使用 Windows 身份验证(而不是 SQL 身份验证)。 |
| • | 如果您将日志保存至远程数据库,请配置加密和数据签名,以便将日志信息复制到远程数据库。 |
| • | 为保证最大的安全性,请为 ISA 服务器计算机与 SQL 服务器之间的通讯配置 IPSec。 |
| • | 如果由于任何原因而无法保存日志信息,请锁定 ISA 服务器计算机。 为此,请为停止防火墙服务的日志失败事件配置警报定义。 |
日志存储限制
使用日志维护功能,此乃明智之举,可以确保存储日志信息的磁盘空间不会占满。
配置日志存储限制警报定义以停止 ISA 服务器服务。 这样,您就可以仅允许经过相应审查的访问。
要配置日志存储限制,请执行以下步骤。
1. | 单击“开始”,指向“所有程序”,指向 Microsoft ISA Server,然后单击“ISA 服务器管理”。 |
2. | 在“ISA 服务器管理”的控制台树中,单击 Microsoft ISA Server 2004,单击 server_name,然后单击“监视”。 |
3. | 在详细信息窗格中,单击“警报”选项卡。 |
4. | 在“任务”选项卡上,单击“配置警报定义”。 |
5. | 在“警报定义”中,单击“日志存储限制”,然后单击“编辑”。
|
6. | 在“常规”选项卡上,选择“启用”。 |
7. | 在“操作”选项卡上,单击“停止选择的服务”,然后单击“选择”。
|
8. | 在“服务”中,选择“Microsoft 防火墙”和“Microsoft ISA Server 任务计划程序”。 |
审核
启用 Windows 审核。 这样,您就可以监视登录 ISA 服务器计算机的人员。
要启用审核,请在 ISA 服务器计算机上执行以下步骤。
1. | 单击“开始”,指向“所有程序”,再指向“管理工具”,然后单击“本地安全策略”。 |
2. | 在详细信息窗格中,单击“安全设置”,单击“本地策略”,然后单击“审核策略”。 |
3. | 在详细信息窗格中,用鼠标右键单击“审核登录事件”,然后单击“属性”。
|
4. | 选择“成功”或“失败”。 |
其他资源
有关 Microsoft ISA Server 的信息,请参阅 Microsoft ISA Server 网站。
如果您对本文档有任何意见或建议, 请发送反馈。