安全性強化指南
本指南旨在提供您相關的必要資訊,以強化及保護執行 Microsoft® Internet Security and Acceleration (ISA) Server 2006 Enterprise Edition 或 ISA Server 2006 Standard Edition 的系統管理電腦。除了實用而特定的設定建議外,本指南還包含 ISA Server 部署策略。
對於執行 Microsoft Windows Server® 2003 作業系統的電腦,本指南是《Windows Server 2003 安全性指南》(位於 Microsoft TechNet 網站) 的同系列導引文件。具體來說,本指南中的許多程序與《Windows Server 2003 安全性指南》中介紹的安全性建議直接相關。因此,在執行本指南中所述的程序前,建議您先閱讀《Windows Server 2003 安全性指南》。
本指南的範疇
本指南著重於詳細說明協助建立與維護安全的 ISA Server 2006 環境所需的作業。本指南只能作為 ISA Server 2006 整體安全性策略的一部分,而非建立及維護安全環境的完整參考。
具體來說,本指南的內容是下列問題的詳細答案:
| • | 保障 ISA Server 電腦安全的建議步驟有哪些? |
| • | ISA Server 設定有哪些安全性考量? |
| • | 能協助準備安全的 ISA Server 2006 部署的指南有哪些? |
保障 ISA Server 電腦安全
保障 ISA Server 安全的首要步驟是確認 ISA Server 電腦的實體安全性,並採用基本安全性設定建議。在此提供有關下列主題的資訊:
| • | 管理更新 |
| • | 實體存取 |
| • | 決定網域成員 |
| • | 強化 Windows 基礎結構 |
| • | 管理角色與權限 |
| • | 減低受到攻擊的風險 |
| • | 鎖定模式 |
下列章節將分別說明這些議題以及如何落實安全性建議。
管理更新
以安全性最佳作法來說,我們強烈建議您務必為作業系統、ISA Server 及由 ISA Server 安裝的其他元件安裝最新的更新,這些元件包括 Microsoft SQL Server™ 2000 Desktop Engine (MSDE 2000) 及 Office Web Components 2003。執行 Windows Update 以確保您的系統全面安裝最新的更新程式。
同時建議您使用 Microsoft Baseline Security Analyzer (MBSA) 定期分析系統安全性。您可以從 Microsoft TechNet 網站下載 MBSA。
實體存取
請確定 ISA Server 電腦存放在實體安全的位置。實體存取伺服器是一項高安全性風險的行為。未經授權的使用者若實體存取伺服器,將可能造成未獲授權的存取或修改,以及安裝設計來規避安全性的軟硬體。若要維護安全環境,您必須限制 ISA Server 電腦的實際存取權。
若您懷疑 ISA Server 電腦已被洩漏,請重新安裝 ISA Server。
保護機密資訊以防遭竊
若為 ISA Server Enterprise Edition,設定存放區伺服器及各個陣列成員皆含有其他陣列成員及有關 ISA Server 企業的機密加密資訊。陣列成員也具有用於解密該等資訊的金鑰。
因此,若有設定存放區伺服器或陣列成員失竊,所有陣列成員的相關機密資訊都有可能不保。此外,若是設定存放區伺服器失竊,該伺服器可能會被用來重新連線到企業並修改現有的設定。
為減輕這類安全性問題:
| • | 若設定存放區伺服器或陣列成員失竊,請執行下列動作: |
| • | 對其他所有的陣列成員修改所有的機密資訊。機密資訊包括使用者認證密碼 (例如用於登入執行 SQL Server 電腦的密碼)、遠端驗證撥入使用者服務 (RADIUS) 共用機密,或預先共用的網際網路通訊協定安全性 (IPsec) 金鑰。 |
| • | 撤銷失竊伺服器上安裝的任何憑證。這些憑證可能包括安裝在陣列成員上,用於進行網頁發行或網站間 VPN 驗證的憑證,以及安裝在設定存放區伺服器上,以供透過安全通訊端層 (SSL) 加密通道驗證的憑證。 |
| • | 此外,當設定存放區伺服器失竊且設有設定存放區伺服器的複本時,應使用 RepAdmin 工具將失竊的設定存放區伺服器當作複本集,從 Active Directory® 應用程式模式 (ADAM) 伺服器設定中整個移除。若需 RepAdmin 工具的相關資訊,請參閱 ADAM 產品說明文件。 |
決定網域成員
在許多情況下,您可能會需要設定 ISA Server 電腦以驗證網域使用者。例如,當您要建立網頁發行規則來要求驗證網域成員的使用者身份時,便需要做此設定。
若要達成網域驗證,可使用下列方法來安裝及設定 ISA Server 電腦:
| • | 將 ISA Server 電腦安裝在不同的樹系,而非您公司網路的內部樹系。如此即使 ISA Server 電腦的樹系遭受攻擊,也能保護內部樹系免於遭受入侵。若要以網域成員身分取得 ISA Server 的系統管理及安全性優點,我們建議您在具有對企業樹系之單向信任的不同樹系中,部署 ISA Server 電腦。 請注意下列事項:
| ||||
| • | 將 ISA Server 電腦安裝於工作群組中,並設定輕量型目錄存取通訊協定 (LDAP) 驗證。如此即使工作群組中的 ISA Server 電腦遭受攻擊,也能保護內部網域免於遭受入侵。若需驗證的相關資訊,請參閱 Microsoft TechNet 網站. 請注意下列事項:
|
基於安全性理由,如果您不需要 ISA Server 電腦的網域或 Active Directory 功能,請考慮將 ISA Server 電腦安裝在工作群組中。例如,如果 ISA Server 保護網路邊緣,請考慮在工作群組中安裝電腦。若需在工作群組中安裝 ISA Server 的相關資訊,請參閱 Microsoft TechNet 網站上的 <工作群組中的 ISA Server Enterprise Edition>(英文)。
強化 Windows 基礎結構
如前所述,本指南假設您已經套用《Windows Server 2003 安全性指南》(英文) 中建議的設定。明確來說,您應該套用 Microsoft 基礎安全性原則 (Microsoft Baseline Security Policy) 安全性範本。但是,請勿實作 IPSec 篩選器或任何伺服器角色原則。
此外,您應當考量 ISA Server 功能,運用適當方式強化作業系統。
附註:於 ISA Server 安裝完成後,建議您強化 Windows 基礎結構。若為 ISA Server Enterprise Edition,請安裝所有必要的設定存放區伺服器及陣列成員。然後再強化電腦。
使用安全性設定精靈
Microsoft Windows Server 2003 Service Pack 1 (SP1) 作業系統包含一項攻擊面抑減工具,稱作安全性設定精靈。安全性設定精靈會根據您所選的伺服器角色,決定最低限度的必要功能,而停用其他不必要的功能。
當您在 ISA Server 電腦上安裝 Windows Server 2003 SP1 時,便可安裝安全性設定精靈,並使用該精靈來強化電腦。
若要於 Windows Server 2003 SP1 伺服器上安裝安全性設定精靈,請遵循下列程序。
安裝安全性設定精靈
1. | 按一下 [開始],然後按一下 [執行]。在命令提示字元視窗中,輸入 appwiz.cpl,然後按 [確定],開啟 [新增或移除程式] 對話方塊。 |
2. | 按一下 [新增/移除 Windows 元件]。 |
3. | 選取 [安全性設定精靈],再按 [下一步]。 |
附註:系統可能會提示您提供 Windows Server 2003 SP1 來源檔案的位置。
1. | 按一下 [完成],再按 [新增或移除程式] 對話方塊的 [關閉] 按鈕。 |
附註:若要更新安全性設定精靈以加入 ISA Server 2006 伺服器角色,請參閱 Microsoft TechNet 網站上的 <如何為 ISA Server 2006 伺服器角色更新安全性設定精靈>(英文)。
安全性設定精靈會引導您完成各種設定程序,包括建立、編輯、套用安全性原則,乃至於根據所選的伺服器角色來回復安全性原則。透過安全性設定精靈建立的安全性原則為 .xml 檔案,經套用後,能夠設定不同的服務、網路安全性、特定登錄值、稽核原則,以及在部分適用情況下的網際網路資訊服務 (IIS)。安全性設定精靈含有供 ISA Server 電腦使用的角色。
套用適當的 ISA Server 角色
1. | 在 ISA Server 電腦上,按一下 [開始],指向 [系統管理工具],然後按一下 [安全性設定精靈]。 | ||||||
2. | 在 [安全性設定精靈] 的 [歡迎使用] 頁面上,按 [下一步]。 | ||||||
3. | 在 [設定動作] 頁面上,選取 [建立新安全性原則]。 | ||||||
4. | 在 [選擇伺服器] 頁面上的 [伺服器] 中,輸入 ISA Server 電腦的名稱或 IP 位址。 | ||||||
5. | 在 [處理安全性設定資料庫] 頁面上,按 [下一步]。 | ||||||
6. | 在 [角色型服務設定] 頁面的 [歡迎使用] 頁面上,按 [下一步]。 | ||||||
7. | 在 [選擇伺服器角色] 頁面上,選取下列選項,然後按 [下一步]:
附註:若要強化設定存放區伺服器,請勿選取任何特定的伺服器角色。 | ||||||
8. | 在 [選擇用戶端功能] 頁面上,選取預設的用戶端角色。強化 ISA Server 時無特別需要設定的特殊用戶端角色。再按 [下一步]。 | ||||||
9. | 在 [選擇系統管理及其他選項] 頁面上,選取下列選項:
| ||||||
10. | 在 [選擇其他服務] 頁面上,選取適當的服務,然後按 [下一步]。 | ||||||
11. | 連續按 [下一步],直到結束精靈。 |
如需更多關於安全性設定精靈的技術指導,請參閱 Microsoft Windows Server System 網站上的 <Windows Server 2003 的安全性設定精靈>(英文)。
若要手動強化執行 Windows Server 2003 的電腦,請參閱 附錄 A:手動強化 Windows Server 2003。
管理角色與權限
因為 ISA Server 控制存取至您的網路,所以在指派 ISA Server 電腦與相關元件的權限時,應特別注意。仔細判定誰應該具有登入 ISA Server 電腦的使用權限。然後,適當地設定登入權限。
ISA Server 可讓您對使用者和群組套用系統管理角色。確定要允許哪些群組設定或檢視 ISA Server 原則和監視資訊之後,便可以適當指派角色。
以下各節詳細說明指派系統管理角色及權限時的考量點。
系統管理角色
如同系統環境中的其他應用程式,當您在定義 ISA Server 的權限時,應當考量 ISA Server 系統管理員所擔任的角色,而僅授予其必要的權限。ISA Server 利用系統管理角色來簡化整個程序。您可以使用以角色為基礎的系統管理,將 ISA Server 系統管理員組織成獨立的預先定義角色,每個角色都有它自己的一套工作。當您將角色指派給使用者時,基本上是允許使用者具有執行特定工作的權限。具有一種角色 (如「ISA Server 完整系統管理員」) 的使用者可以執行具有另一角色 (如「ISA Server 基本監視」) 之使用者無法執行的特定 ISA Server 工作。角色型系統管理涉及 Windows 使用者及群組。這些安全性權限、群組成員資格和使用者權利可用來辨別哪些使用者擁有哪些角色。下表描述 ISA Server Standard Edition 角色。
| Standard Edition 角色 | 描述 |
ISA Server 基本監視 | 指派到這個角色的使用者及群組可以監視 ISA Server 電腦和網路活動,但無法設定特定的監視功能。 |
ISA Server 延伸監視 | 指派到這個角色的使用者及群組可以執行所有的監視工作,包括記錄檔設定、警示定義設定,以及「ISA Server 基本監視」角色可使用的所有監視功能。 |
ISA Server 系統完整權限管理員 | 指派到這個角色的使用者及群組可以執行任何 ISA Server 工作,包括規則設定、套用網路範本以及進行監視。 |
下表描述 ISA Server Enterprise Edition 角色。
| Enterprise Edition 角色 | 描述 |
ISA Server 陣列監視稽核員 | 指派到這個角色的使用者及群組可以監視 ISA Server 電腦和網路活動,但無法設定特定的監視功能。 |
ISA Server 陣列稽核員 | 指派到這個角色的使用者及群組可以執行所有的監視工作,包括記錄檔設定、警示定義設定,以及在 Standard Edition 中開放給「ISA Server 基本監視」角色使用的所有監視功能。 |
ISA Server 陣列系統管理員 | 指派到這個角色的使用者及群組可以執行任何 ISA Server 工作,包括規則設定、套用網路範本以及進行監視。 |
ISA Server 企業系統管理員 | 指派為到這個角色的使用者與群組對於企業與所有陣列的設定擁有完全的控制權。企業系統管理員也可指派角色至其他使用者及群組。 |
ISA Server 企業稽核員 | 指派到這個角色的使用者及群組可以檢視企業設定以及所有陣列的設定。 |
這些 ISA Server 系統管理群組的成員可以是任何 Windows 使用者。並不需要特殊使用權限或 Windows 權限。唯一的例外是,若要使用 Perfmon 或 ISA Server 儀表板檢視 ISA Server 效能計數器時,使用者必須是 Windows Server 2003「效能監視使用者」群組的成員。
請注意,具有「ISA Server 延伸監視」權限的系統管理員可以匯入及匯出所有的設定資訊,包括機密設定資訊。也就是說,系統管理員有權將機密資訊解密。
在 ISA Server 電腦上具有系統管理員權限的使用者不會自動擁有 ISA Server 陣列層級或企業層級的權限。您必須特別對這些使用者指派適當的角色。不過請注意,屬於設定存放區伺服器之「系統管理員」群組的使用者本來就可以控制企業設定。這是因為他們可直接修改「設定存放區」伺服器上的任何資料。
為 ISA Server Standard Edition 指派系統管理角色
1. | 在 [ISA Server 管理] 的主控台樹狀目錄中,按一下 [Microsoft Internet Security and Acceleration Server 2006],再按 [Server_Name]。 |
2. | 在 [工作] 索引標籤上,按一下 [定義系統管理角色]。 |
3. | 在 [ISA Server 系統管理委派精靈] 的 [歡迎使用] 頁面中,按一下 [下一步]。 |
4. | 按一下 [新增]。 |
5. | 在 [群組 (建議) 或使用者] 中,輸入所要指定的特定系統管理權限之群組或使用者名稱。 |
6. | 在 [角色] 中,選取適當的系統管理角色。 |
為 ISA Server Enterprise Edition 指派系統管理角色
1. | 在 [ISA Server 管理] 的主控台樹狀目錄中,按一下 [Microsoft Internet Security and Acceleration Server 2006],展開 [陣列],然後按 [Array_Name]。 | ||||||
2. | 在 [工作] 索引標籤上按一下 [設定陣列內容]。 | ||||||
3. | 選取 [指派角色] 索引標籤 | ||||||
4. | 如果執行 ISA Server 服務的電腦位於網域中,則在 [指派角色] 索引標籤中,按一下上方的 [新增] 按鈕。在 [群組或使用者] 中,輸入有權存取設定存放區伺服器的群組或使用者。在 [角色] 中選取下列其中一項:
|
1. | 如果執行 ISA Server 服務的電腦位於工作群組中,則在 [指派角色] 索引標籤中,按一下下方的 [新增] 按鈕。在 [群組或使用者] 中,輸入有權存取設定存放區伺服器的群組或使用者。在 [角色] 中選取下列其中一項:
附註:若 ISA Server 位於工作群組中,您需指派 ISA Server 角色至鏡像帳戶。若需鏡像帳戶的相關資訊,請參閱產品「說明」。 |
認證
當系統要求您設定憑證時,請使用嚴密密碼。如果密碼能夠提供對未授權的存取有效的防禦,即視為嚴密。嚴密密碼不會包含所有或部份使用者帳戶名稱,而且至少包含下列四種字元類別的其中三種:大寫字元、小寫字元、10 個基本數字,以及能在鍵盤上找到的符號 (如 !、@ 或 #)。
使用權限
既賦予使用者最小的權限層級,同時又不影響使用者的日常作業,是一項重要原則。同樣的,針對如下節所述,指派權限給將成為 ISA Server 系統管理員的使用者,也需把握此原則。請慎重決定讓哪些人登入 ISA Server 電腦,除攸關伺服器運作的機要人員外,其他人員一律禁止存取。
最少專用權
套用最少專用權的原則,在這裡使用者具有執行特定作業所需的最少專用權。如果有危及到使用者帳戶,這項設定可藉由限制使用者保有的專用權,協助確保將影響減至最低。
將系統管理員群組及其他使用者群組縮減至最小範圍。例如,一個隸屬於 ISA Server 電腦系統管理員群組的使用者,便可在 ISA Server 電腦上執行任何工作。
在 Standard Edition 中,明確指派系統管理員群組的使用者 ISA Server 系統完整權限管理員的角色。他們擁有設定與監視 ISA Server 的完整權限。若需角色的相關資訊,請參閱 Administrative Roles 這一節。
在 Enterprise Edition,隸屬於設定存放區伺服器上之系統管理員群組的使用者可控制企業設定。他們可直接修改設定存放區伺服器上的任何資料。
登入與設定
當您登入 ISA Server 電腦時,請以執行工作所需的最小授權帳戶登入。例如,若要設定規則,您應以 ISA Server 系統管理員身分登入。但是,如果您只想檢視報告,請以更小的權限登入。
一般而言,應該使用具有限定權限的帳戶來執行日常無關系統管理的工作,僅在執行特定的系統管理工作時,才使用具有較大使用權限的帳戶。
來賓帳戶
建議您不要在 ISA Server 電腦上啟用來賓帳戶。
當使用者登入 ISA Server 電腦時,作業系統會檢查認證是否符合已知的使用者。如果該認證不符合已知的使用者,該使用者會以來賓身分登入,具有與來賓帳戶相同的權限。
ISA Server 會將來賓帳戶辨識為預設的「所有已驗證的使用者」使用者組。
選擇性存取控制清單
全新安裝的 ISA Server,其選擇性存取控制清單 (DACL) 會經過適當設定。此外,當您修改系統管理角色以及重新啟動 ISA Server 控制服務 (isactrl) 時,ISA Server 也會適當地重新設定 DACL。
注意:因為 ISA Server 會定期重新設定 DACL,所以請勿使用「安全性與設定分析」工具來設定 ISA Server 物件的單檔案 DACL。否則群組原則設定的 DACL 與 ISA Server 嘗試設定的 DACL 之間可能會起衝突。
請勿修改 ISA Server 設定的 DACL。請注意,ISA Server 不會為下列清單中的物件設定 DACL。您應小心設定下列清單中的物件之 DACL,只將權限授予受信任的特定使用者:
| • | 報告的資料夾 (當您選取發行報告時)。 |
| • | 匯出或備份設定時建立的設定檔。 |
| • | 備份到不同位置的記錄檔。 |
請小心設定 DACL,僅對受信任的使用者和群組授予使用權限。另外,請務必對 ISA Server 間接使用的物件,建立嚴格的 DACL。例如,建立 ISA Server 所使用的開放式資料庫連接 (ODBC) 時,請務必保持資料來源名稱 (DSN) 安全。
請為 ISA Server 電腦上執行的所有應用程式設定嚴格的 DACL。請務必為檔案系統及登錄裡的相關資料設定嚴格的 DACL。
若有自訂 SecurID HTML 或是錯誤訊息範本,請務必設定適當的 DACL。建議使用的 DACL 為「繼承上層的使用權限」。
秘訣:建議您不要將重要資料 (例如可執行檔和記錄檔) 儲存到 FAT32 磁碟分割。因為 FAT32 磁碟分割無法設定 DACL。
撤銷使用者權限
當您撤銷 ISA Server 系統管理員的系統管理權限時,也請務必執行下列步驟:
| • | 在 ISA Server 電腦上,刪除該使用者的帳戶。 |
| • | 在設定存放區伺服器 (適用於 ISA Server Enterprise Edition) 上,檢閱 ADAM 物件。 |
| • | 修改隸屬於已撤銷帳戶的物件擁有權。 |
抑減攻擊面
為了進一步確保 ISA Server 電腦的安全,請套用減少攻擊面的原則。若要減少受攻擊面的範圍,請遵循下列指示:
| • | 請勿在 ISA Server 電腦上執行不必要的應用程式及服務。請依照強化 Windows 基礎結構一節中所述,停用對目前工作沒有重要影響的服務和功能。 |
| • | 停用您不使用的 ISA Server 功能。例如,如果不需要使用快取,請停用快取;如果無須使用 ISA Server 的 VPN 功能,則請停用 VPN 用戶端存取。 |
| • | 找出對管理網路沒有重要影響的服務和工作,然後停用相關的系統原則規則。 |
| • | 限制系統原則規則的套用,僅在需要的網路實體上使用。例如,預設狀況下啟用的 Active Directory 系統原則設定群組會套用到內部網路上的所有電腦。您可以限制於只套用在內部網路上的特定 Active Directory 群組。 |
以下各節說明如何減少 ISA Server 電腦的受攻擊面。
停用 ISA Server 功能
視特定網路的需求而定,您可能並不需要使用 ISA Server 的整套功能。請仔細考量您的特殊需求,決定是否需要以下功能:
| • | VPN 用戶端存取 |
| • | 快取 |
| • | Web proxy |
| • | 增益集 |
如果不需使用某項特定功能,請停用該功能。
VPN 用戶端存取
VPN 用戶端存取功能預設為停用,這表示名稱為「允許 VPN 用戶端流量通往 ISA Server」的相關系統原則規則也停用。即使已停用 VPN 用戶端存取,但名為「VPN 用戶端到內部網路」的預設網路規則仍會啟用。如果先前已啟用 VPN 用戶端存取,但無使用上的必要性,您可以將它停用。
確認停用 VPN 用戶端存取
1. | 在 [ISA Server 管理] 的主控台樹狀目錄中,按一下 [虛擬私人網路 (VPN)]:
| ||||
2. | 在詳細資料窗格中,按一下 [VPN 用戶端] 索引標籤,然後按一下 [確認已啟用 VPN 用戶端存取]。 | ||||
3. | 在 [一般] 索引標籤上,確認未選取 [啟用 VPN 用戶端存取]。 |
快取
快取功能預設為停用,這表示包括排定的內容下載等所有相關快取功能也已停用。如果先前已在 ISA Server 中啟用快取,您可以將它停用。
確認停用快取
1. | 在 [ISA Server 管理] 的主控台樹狀目錄中,按一下 [快取]:
| ||||
2. | 若為 Enterprise Edition,在詳細資料窗格中,按一下 [快取磁碟機] 索引標籤。若為 Standard Edition,按一下 [快取規則] 索引標籤。 | ||||
3. | 在 [工作] 索引標籤上,按一下 [停用快取]。 |
附註:如果已停用快取,則不會看到這個選項。
Web proxy
Web Proxy 預設為啟用,是 ISA Server 2006 的中央部署實例。如果不需要使用 Web Proxy,建議您停用實例中的 Web Proxy。
下表列出 ISA Server 不使用 Web Proxy 服務時的實例:
| • | 只有在 VPN 連線時會用到 ISA Server。 |
| • | 非必要的 ISA Server 其他功能如下: |
| • | 快取 |
| • | HTTP 壓縮 |
| • | 應用程式層篩選 |
| • | 已有另一台 ISA Server 電腦提供 Web Proxy 服務。 |
若要停用 ISA Server 電腦上的 Web Proxy,需要在 TCP 連接埠 80 建立新的通訊協定,並確認新通訊協定中未選取 Web Proxy 篩選器。當您建立存取規則以允許新通訊協定處理 HTTP 流量時,應遵守下列幾點:
| • | 使用者必須具有經過適當定義的預設閘道,或是使用防火牆用戶端。 |
| • | 必須適當定義名稱解析。 |
| • | 必須清除 Web Proxy 設定。 |
若要重新啟用 Web Proxy,請於設定任何存取規則的過程中,使用 ISA Server 建立的原始 HTTP 通訊協定。
停用 Web Proxy |
在 [ISA Server 管理] 的主控台樹狀目錄中,按一下 [防火牆原則]。 若為 ISA Server 2006 Enterprise Edition,依序展開 [Microsoft Internet Security and Acceleration Server 2006]、[陣列] 及 [Array_Name],然後按一下 [防火牆原則]。 若為 ISA Server 2006 Standard Edition,依序展開 [Microsoft Internet Security and Acceleration Server 2006] 及 [Server_Name],然後按一下 [防火牆原則]。 在詳細資料窗格中,按一下 [工具箱] 索引標籤,再按 [通訊協定]。 按一下 [新增] 並選取 [通訊協定]。 在 [通訊協定定義名稱] 的欄位中輸入 http1。 按一下 [新增],並在 [從] 和 [到] 內容中輸入 80,以定義 [主要連線資訊]。 請勿定義任何 [次要連線]。 按一下 [完成] 以建立新通訊協定。 附註 請勿將 [網頁 Proxy 篩選器] 繫結到新建立的通訊協定,因為這樣會啟用 Web Proxy。 |
增益集
安裝 ISA Server 的同時,亦會安裝一組應用程式篩選器以及網頁篩選器。您可以在日後安裝由協力廠商提供的其他增益集。請遵循以下安全性指示:
| • | 請勿安裝不需要的應用程式篩選器或網頁篩選器。 |
| • | 請勿從不信任的來源安裝篩選器。 |
| • | 將與增益集有關的動態連結程式庫 (DLL) 儲存到受保護的程式庫中 (例如 %ProgramFiles%\Microsoft ISA Server)。請務必為此程式庫設定嚴密的存取控制清單 (ACL)。 |
| • | 停用不需要的應用程式與網頁篩選器。 |
停用增益集
1. | 在 [ISA Server 管理] 的主控台樹狀目錄中,按一下 [增益集]:
| ||||
2. | 在詳細資料窗格中,選取適當的增益集。 | ||||
3. | 在 [工作] 索引標籤中,按一下 [停用選取的篩選器]。 |
系統原則
ISA Server 含有預設的系統原則設定,該設定允許使用網路基礎結構的一般必要服務,以維持正常運作。
一般來說,從安全性觀點來看,我們強烈建議您設定系統原則,不允許存取管理網路所不需要的服務。請於安裝後仔細檢閱已設定的系統原則規則。同樣地,在您執行主要系統管理工作後,請重新檢閱系統原則設定。
以下各節說明系統原則規則所啟用的服務。
若需系統原則設定的相關資訊,請參閱 Microsoft TechNet 網站上的 <ISA Server 系統原則>。
網路服務
當安裝 ISA 伺服器時,即會啟用基本網路服務。安裝後,ISA Server 可以存取內部網路上的名稱解析伺服器及時間同步處理服務。
如果網路服務是在不同的網路中提供,請修改適用的設定群組資源,以套用到特定的網路。例如,假設 「動態主機設定通訊協定 (DHCP)」伺服器並非位在內部網路,而是位在周邊網路。請修改 DHCP 設定群組的資源,以套用到該周邊網路。
您可以修改系統原則,只允許存取內部網路上的特定電腦。另外,如果在別處找到服務,您可以新增其他網路。
下表顯示適用於網路服務的系統原則規則。
| 設定群組 | 規則名稱 | 規則描述 |
DHCP | 允許從 ISA Server 到內部網路的 DHCP 要求 允許從 DHCP 伺服器到 ISA Server 的 DHCP 回覆 | 允許 ISA Server 電腦使用 DHCP (回覆) 和 DHCP (要求) 來存取內部網路。 |
DNS | 允許 DNS 從 ISA Server 到選定的伺服器 | 允許 ISA Server 電腦使用 網域名稱系統 (DNS) 通訊協定來存取所有網路。 |
NTP | 允許從 ISA Server 到受信任 NTP 伺服器的 NTP | 允許 ISA Server 電腦使用 NTP (UDP) 通訊協定,來存取內部網路。 |
DHCP 服務
如果 DHCP 伺服器不在內部網路中,您必須修改系統原則規則,讓規則套用到 DHCP 伺服器所在的網路上。例如,假設 DHCP 伺服器位在外部網路,請執行下列程序。
驗證服務
ISA Server 的其中一個基本功能就是能夠將防火牆原則套用到特定使用者。然而,若要驗證使用者,ISA Server 必須能夠與驗證伺服器通訊。基於這個理由,依預設 ISA Server 可以與 Active Directory 伺服器 (若為 Windows 驗證) 及與位在內部網路的 RADIUS 伺服器通訊。
下表顯示適用於驗證服務的系統原則規則。如有未使用到的驗證類型,您可以停用其規則。
| 設定群組 | 規則名稱 | 規則描述 |
Active Directory | 允許存取目錄服務以進行驗證 允許從 ISA Server 到信任伺服器的 RPC 允許從 ISA Server 到信任伺服器的 Microsoft CIFS 允許從 ISA Server 到信任伺服器的 Kerberos 驗證 | 允許 ISA Server 電腦使用 Active Directory 目錄服務,透過以下通訊協定來存取內部網路:各種 LDAP 通訊協定、遠端程序呼叫 (RPC) (所有介面) 通訊協定、各種 Microsoft 共用網際網路檔案系統 (CIFS) 通訊協定,以及各種 Kerberos 通訊協定 (使用 Active Directory 目錄服務)。 |
RSA SecurID | 允許從 ISA Server 對信任的伺服器執行 SecurID 驗證 | 允許 ISA Server 電腦使用 RSA SecurID® 通訊協定來存取內部網路。 |
RADIUS | 允許從 ISA Server 對信任的 RADIUS 伺服器執行 RADIUS 驗證 | 允許 ISA Server 電腦使用各種 RADIUS 通訊協定,來存取內部網路。 |
憑證撤銷清單 (CRL) 下載 | 允許從 ISA Server 到所有網路的 HTTP 流量,以便下載 CRL | 允許從 ISA Server 到所有網路的超文字傳輸通訊協定 (HTTP),以便下載更新的憑證撤銷清單 (CRL)。 |
DCOM
若需要使用 DCOM 通訊協定 (例如用於遠端管理 ISA Server 電腦),請確定未啟用 [強制符合嚴格 RPC 的規範]。
確認未選取 [強制符合嚴格 RPC 的規範]
1. | 在 [ISA Server 管理] 的主控台樹狀目錄中,按一下 [防火牆原則]:
| ||||
2. | 在 [工作] 索引標籤上,按一下 [編輯系統原則]。 | ||||
3. | 在 [系統原則編輯器] 的 [設定群組] 樹狀目錄中,按一下 [Active Directory]。 | ||||
4. | 確認未選取 [強制符合嚴格 RPC 的規範]。 |
秘訣:包括遠端管理及憑證自動註冊等多項服務,都時常需要用到 DCOM。
Windows 及 RADIUS 驗證服務
如果不需要 Windows 驗證或 RADIUS 驗證,應執行下列步驟,以停用對應的系統原則設定群組。
停用對應的系統原則設定群組
1. | 在 [ISA Server 管理] 的主控台樹狀目錄中,按一下 [防火牆原則]:
| ||||
2. | 在 [工作] 索引標籤上,按一下 [編輯系統原則]。 | ||||
3. | 在 [系統原則編輯器] 的 [設定群組] 樹狀目錄中,按一下 [Active Directory]。 | ||||
4. | 在 [一般] 索引標籤上,確認未選取 [啟用此設定群組]。 附註:當您停用 Active Directory 系統原則設定群組時,會同時停止對所有 LDAP 通訊協定的存取。如您需要 LDAP 通訊協定,請建立允許使用這些通訊協定的存取規則。 | ||||
5. | 針對 RADIUS 設定群組重複進行步驟 3 及步驟 4。 秘訣:如果您只需要 Windows 驗證,請確定設定停止使用所有其他驗證機制的系統原則。 |
RSA SecurID 驗證服務
依預設,不會啟用與 RSA SecurID 驗證伺服器的通訊。如果您的防火牆原則需要 RSA SecurID 驗證,請確定啟用這個設定群組。
CRL 驗證服務
預設狀況下無法下載憑證撤銷清單 (CRL)。原因是依預設並未啟用 [CRL 下載] 設定群組。
啟用 [CRL 下載]
1. | 在 [ISA Server 管理] 的主控台樹狀目錄中,按一下 [防火牆原則]:
| ||||
2. | 在 [工作] 索引標籤上,按一下 [編輯系統原則]。 | ||||
3. | 在 [系統原則編輯器] 的 [設定群組] 樹狀目錄中,按一下 [CRL 下載]。 | ||||
4. | 在 [一般] 索引標籤上,確認已選取 [啟用此設定群組]。 | ||||
5. | 在 [到] 索引標籤上,選取可下載 CRL 的網路實體。 |
重要:下載 CRL 最常用的方法是透過 HTTP。因此,當您啟用 [CRL 下載] 後,會允許所有的 HTTP 流量從本機主機網路 (ISA Server 電腦) 傳輸至 [到] 索引標籤中所列的網路實體。如果憑證使用其他通訊協定來下載 CRL,您需針對這些通訊協定建立存取規則。
遠端管理
您通常將從遠端電腦管理 ISA Server。請仔細地判斷要允許哪些遠端電腦管理及監視 ISA Server。下表顯示所應設定的系統原則規則。
| 設定群組 | 規則名稱 | 規則描述 |
Microsoft Management Console | 允許使用 MMC 從選取的電腦遠端管理 允許到所選電腦的 MS 防火牆控制通訊 | 允許「遠端管理電腦」電腦組中的電腦使用 MS 防火牆控制和 RPC (所有介面) 通訊協定存取 ISA Server 電腦。 |
終端機伺服器 | 允許使用終端機伺服器從選取的電腦遠端管理 | 允許「遠端管理電腦」電腦組中的電腦使用 RDP (終端機服務) 通訊協定存取 ISA Server 電腦。 |
Web 管理 | 允許以 Web 應用程式從選定電腦進行遠端管理 | 允許以 Web 應用程式從選定電腦進行遠端管理。 |
ICMP (Ping) | 允許從選取的電腦到 ISA Server 的 ICMP (PING) 要求 | 允許 [遠端管理電腦] 電腦組中的電腦使用 PING 通訊協定存取 ISA Server 電腦,反之亦然。 |
依預設,除了 Web 管理設定群組外,其餘允許遠端管理 ISA Server 的系統原則規則均啟用。您可以執行遠端 Microsoft Management Console (MMC) 嵌入式管理單元,或使用「終端機服務」來管理 ISA Server。
依預設,這些規則會套用到內建的「遠端管理電腦」電腦組。當安裝 ISA Server 時,即會建立這個空的電腦組。將所有將在遠端管理 ISA Server 的電腦新增到這個空的電腦組。在此動作完成之前,您無法從任何電腦有效地進行遠端管理。
秘訣:藉由設定「遠端管理電腦」電腦組,可限制對特定電腦進行遠端存取。
啟用遠端管理
1. | 在 [ISA Server 管理] 的主控台樹狀目錄中,按一下 [防火牆原則]:
| ||||
2. | 在 [工具箱] 索引標籤上按一下 [網路物件]。 | ||||
3. | 展開 [電腦組],在 [遠端管理電腦] 上按一下滑鼠右鍵,再按一下 [內容]。 | ||||
4. | 按一下 [新增],然後按一下 [電腦]。 | ||||
5. | 在 [名稱] 中輸入電腦的名稱。 | ||||
6. | 在 [電腦 IP 位址] 中,輸入可遠端管理 ISA Server 的電腦 IP 位址。 |
附註:如果您在 ISA Server 防火牆服務的安裝過程中建立陣列,設定存放區伺服器會自動新增到「遠端管理電腦」的電腦組。如果是在安裝 ISA Server 防火牆之前建立陣列,則必須手動將設定存放區伺服器新增到「遠端管理電腦」的電腦組。
遠端登入與監視
依預設,遠端登入及監視功能設為停用。依預設,只啟用 SMTP 設定群組,允許「簡易郵件傳送通訊協定 (SMTP)」通訊從 ISA Server 傳輸到內部網路的電腦。例如,當您想要以電子郵件訊息傳送警示資訊時,這是必要的。預設狀況下,會停用下列設定群組:
| • | 遠端登入 (NetBIOS) |
| • | 遠端登入 (SQL) |
| • | 遠端效能監視 |
| • | Microsoft Operations Manager |
下表歸納說明設定群組。
| 設定群組 | 規則名稱 | 規則描述 |
遠端登入 (NetBIOS) | 允許使用 NetBIOS 遠端記錄到信任的伺服器 | 允許 ISA Server 電腦使用各種 NetBIOS 通訊協定,來存取內部網路。 |
遠端登入 (SQL) | 允許從 ISA Server 對選取的伺服器執行遠端 SQL 記錄 | 允許 ISA Server 電腦使用 Microsoft (SQL) 通訊協定,來存取內部網路。 |
遠端效能監視 | 允許從信任的伺服器遠端監視 ISA Server 的效能 | 允許「遠端管理電腦」電腦組中的電腦使用各種 NetBIOS 通訊協定存取 ISA Server 電腦。 |
Microsoft Operations Manager | 允許使用 Microsoft Operations Manager (MOM) Agent 從 ISA Server 遠端監視信任的伺服器 | 允許 ISA Server 電腦使用 Microsoft Operations Manager 代理程式,來存取內部網路。 |
SMTP | 允許從 ISA Server 到受信任伺服器的 SMTP | 允許 ISA Server 電腦使用 SMTP 存取內部網路。 |
啟用遠端登入與監視
請依下列程序來啟用遠端登入及監視。
診斷服務
依預設,除了「HTTP 連線能力檢查器」群組外,其餘允許存取診斷服務的系統原則規則均啟用,其權限如下:
| • | ICMP。允許所有網路 (及本機主機)。這個服務很重要,因為它可以判定是否與其他電腦連線。 |
| • | Windows 網路。這允許預設狀況下與內部網路上的電腦進行 NetBIOS 通訊。 |
| • | Microsoft 錯誤報告。這允許 HTTP 存取「Microsoft 錯誤報告」網站 URL 組,以允許報告錯誤資訊。依預設,此 URL 組包括特定的 Microsoft 網站,且不得修改。 |
| • | HTTP 連線能力檢查器。這項權限允許 ISA Server 電腦使用 HTTP 與安全 HTTP (HTTPS) 通訊協定檢查特定電腦是否能夠回應。 |
下表顯示預設啟用的系統原則設定群組。
| 設定群組 | 規則名稱 | 規則描述 |
ICMP | 允許從 ISA Server 到所選伺服器的 ICMP 要求 | 允許 ISA Server 電腦使用各種 ICMP 通訊協定及 PING 通訊協定存取所有網路。 |
Windows 網路 | 允許從 ISA Server 到受信任伺服器的 NetBIOS | 允許 ISA Server 電腦使用各種 NetBIOS 通訊協定,來存取所有網路。 |
與 Microsoft 進行通訊 (Microsoft 錯誤報告) | 允許從 ISA Server 到指定 Microsoft 錯誤報告網站的 HTTP/HTTPS | 允許 ISA Server 電腦使用 HTTP 或 HTTPS 通訊協定,來存取「Microsoft 錯誤報告」網站 URL 組的成員。 |
此外,預設停用的診斷服務如下:HTTP 連線能力檢查器。
當您建立連線能力檢查器時,HTTP 連線能力檢查器設定群組便會啟用,允許本機主機網路使用 HTTP 或 HTTPS 存取任何其他網路上的電腦。下表說明「HTTP 連線能力檢查器」設定群組。
| 設定群組 | 規則名稱 | 規則描述 |
HTTP 連線能力檢查器 | 允許從 ISA Server 到所選伺服器的 HTTP/HTTPS 要求,以取得連線能力檢查器 | 允許 ISA Server 電腦向指定的電腦傳送 HTTP GET 要求,以檢查連線能力。 |
建議您將這項存取限制在所要檢查連線能力的特定電腦上使用。
限制這項存取
1. | 在 [ISA Server 管理] 的主控台樹狀目錄中,按一下 [防火牆原則]:
| ||||
2. | 在 [工作] 索引標籤上,按一下 [編輯系統原則]。 | ||||
3. | 在 [系統原則編輯器] 的 [設定群組] 樹狀目錄中,按一下 [HTTP 連線能力檢查器]。 | ||||
4. | 在 [到] 索引標籤中,按一下 [所有網路 (與本機主機)],再按一下 [移除]。 | ||||
5. | 按一下 [新增],然後選取您要檢查連線能力的網路實體。如此便會允許從本機主機網路 (ISA Server 電腦) 至 [到] 索引標籤中所列網路實體的所有 HTTP 流量。 |
排定的下載工作
依預設,會停用排定的下載工作功能。下表說明「排定的下載工作」設定群組。
| 設定群組 | 規則名稱 | 規則描述 |
排定的下載工作 | 允許從 ISA Server 到所選電腦的 HTTP,以執行內容下載工作 | 允許 ISA Server 電腦使用 HTTP 存取所有網路。 |
當您建立一個內容下載工作時,系統會提示您啟用這個系統原則規則。ISA Server 將能夠存取內容下載工作中所指定的網站。
允許的站台
預設系統原則允許從本機主機網路 (ISA Server 電腦) 到 Microsoft.com 網站的 HTTP 和 HTTPS 存取。以下情形必須啟用此原則:
| • | 錯誤報告。 |
| • | 維護及管理。 |
預設狀況下,會啟用「允許的網站」設定群組,以允許 ISA Server 存取特定網站 (屬於 [系統原則允許的網站] 網域名稱組) 上的內容。下表說明「允許的網站」設定群組。
| 設定群組 | 規則名稱 | 規則描述 |
允許的網站 | 允許從 ISA Server 到指定網站的 HTTP/HTTPS 要求 | 允許 ISA Server 電腦使用 HTTP 及 HTTPS 通訊協定,來存取「系統原則允許的網站」URL 組的成員。 |
此 URL 組預設會包含各種 Microsoft 網站。您無法修改「系統原則允許的網站」網域組,不過您可以建立新的「網域名稱組」並新增到「允許的網站」系統原則群組,以便加入允許讓 ISA Server 存取的其他網站。
修改 URL 組以加入其他網站
1. | 在 [ISA Server 管理] 的主控台樹狀目錄中,按一下 [防火牆原則]:
| ||||
2. | 在 [工作] 索引標籤上,按一下 [編輯系統原則]。 | ||||
3. | 在 [系統原則編輯器] 的 [設定群組] 樹狀目錄中,按一下 [允許的網站]。 | ||||
4. | 在 [到] 索引標籤上按一下 [新增],然後選取必要的網域名稱組。 |
將允許所指定網站的 HTTP 和 HTTPS 存取。
鎖定模式
對攻擊進行回應是防火牆的重要功能之一。發生攻擊時,防衛的第一道防線是中斷網際網路連線,以隔離危及網路的惡意入侵者。不過,我們不建議這麼做。雖然您必須處理攻擊,但仍然必須儘快恢復正常的網路連線能力,並且必須識別攻擊來源。
鎖定功能結合執行隔離動作及保持連線的雙重需要。無論發生何種情況造成 Microsoft Firewall 服務關閉,ISA Server 都會進入鎖定模式。在下列情生況下,便會發這種狀況:
| • | 發生事件,進而觸發關閉防火牆服務。當您設定警示定義時,需要決定將導致防火牆服務關閉的事件。基本上,您會設定 ISA Server 進入鎖定模式的時間。 |
| • | 防火牆服務是手動關閉的。如果您已查覺惡意攻擊,則可關閉防火牆服務,同時設定 ISA Server 電腦及網路來因應攻擊動作。 |
影響的功能
處於鎖定模式時,會套用下列功能:
| • | 「防火牆封包篩選器引擎」(fweng) 會套用防火牆原則。 | ||||||
| • | 允許本機主機網路到所有網路的連出流量。若建立連出連線,則可使用該連線來回應連入流量。例如,DNS 查詢能在同一條連線上接收 DNS 回應。 | ||||||
| • | 除非先啟用特別允許流量的系統原則規則,否則不允許連入流量。唯一的例外是 DHCP 流量,它是永遠啟用的。允許讓「使用者資料包通訊協定 (UDP)」連接埠 67 的 DHCP 要求從本機主機網路傳送到所有網路,並允許 UDP 連接埠 68 的 DHCP 回覆傳入。 | ||||||
| • | 下列是仍適用的系統原則規則:
| ||||||
| • | VPN 遠端存取用戶端無法存取 ISA Server。同樣地,也不能對網站間 VPN 實例的遠端網站網路進行存取。 | ||||||
| • | 只有當防火牆服務重新啟動,並且 ISA Server 結束鎖定模式之後,才能套用對該鎖定模式的網路設定所進行的任何變更。例如,如果您實體移動網路區段,並重新設定 ISA Server 來符合實體的變更,則新的拓撲只會在 ISA Server 結束鎖定模式之後生效。 | ||||||
| • | ISA Server 不會觸發任何警示。 |
結束鎖定模式
當防火牆服務重新啟動時,ISA Server 將結束鎖定模式,並依先前所示繼續運作。當 ISA Server 結束鎖定模式後,將套用對 ISA Server 設定所進行的任何變更。
保障設定安全
依照公司安全性原則設定 ISA Server 防火牆原則時,請把握一項原則:拒絕非明確允許的所有流量。依預設,ISA Server 會實作這項原則。名為「預設規則」的預設防火牆原則規則會拒絕所有使用者存取任何網路。由於這項規則會放在最後處理,因此系統會拒絕所有未明確允許的流量。
企業管理安全性的最佳作法
ISA Server 2006 Enterprise Edition 採用一種多層架構,其中將設定資訊儲存於設定存放區伺服器。陣列成員會與設定存放區伺服器進行通訊,以取得最新的設定資訊。此外,陣列成員會互相通訊。若要協助保護此部署模型,請遵循這個主題中所列的安全性最佳作法。
保護設定存放區伺服器
若要保護設定存放區伺服器,請遵循下列指導方針:
| • | 建議您將設定存放區伺服器安裝在無需處理其他工作的專用電腦上。 |
| • | 保護設定存放區伺服器的安全。請確定電腦實際上是安全的。 |
| • | 建立系統管理員角色後,請避免在設定存放區伺服器上執行任何工作。若要變更設定存放區伺服器,應在 ISA Server 陣列電腦或遠端管理電腦上,使用企業系統管理員認證進行變更。 |
| • | 屬於該設定存放區伺服器上的「系統管理員」群組的使用者,具有企業系統管理員的實質權限。這是因為他們可直接修改「設定存放區」伺服器上的任何資料。 |
| • | 建議您不要將設定存放區伺服器放在網路的邊緣。而是將它放在執行 ISA Server 服務的電腦後面,這樣可保護它免受可能的攻擊。 |
| • | 稽核設定存放區伺服器上權限的變更。 |
| • | 可能的話,建議您僅在總公司部署一台設定存放區伺服器,而不要在分公司部署。例如,如果分公司與總公司之間連線良好,您應於總公司部署設定存放區伺服器,以確保設定存放區伺服器的實體位置安全。不過,如果分公司與總公司的網路連線速度慢,且分公司具有安全的設定存放區伺服器實體位置,則有必要在分公司部署設定存放區伺服器。 |
防火牆帳戶鎖定
設定存放區伺服器會藉由唯一帳戶來辨識各個 ISA Server 陣列成員,尤其是為此目的而建立的帳戶。此帳戶不受帳戶鎖定的影響,因此能預防拒絕服務攻擊的潛在風險。
您在安裝陣列成員時對此帳戶所建的預設密碼屬於嚴密密碼。若要變更此密碼,建議您設定嚴密密碼。
保護陣列內部通訊的安全
若要保護陣列內部通訊的安全,請遵循下列指導方針:
| • | 安裝時,會為每個陣列成員建立私人及公用金鑰配對。這些金鑰是用來在陣列成員之間傳送機密資料。如果相信金鑰已遭洩露,請先解除安裝再安裝 ISA Server,以建立新的金鑰配對。 |
| • | 建議您在僅用於陣列內部通訊的網路上,使用專用的網路介面卡。 |
於升級後驗證設定
ISA Server 2004 原則可升級為 ISA Server 2006。升級到 ISA Server 2006 之後,請仔細檢閱更新後的原則,以確定防火牆原則依然符合貴公司的安全性原則。
若需升級到 ISA Server 2006 的相關資訊,請參閱 Microsoft TechNet 網站上的 <升級為 ISA Server 2006 Standard Edition>,以及 Microsoft TechNet 網站上的 <升級為 ISA Server 2006 Enterprise Edition>。
驗證防火牆原則設定
在您建立防火牆原則後,我們建議您主動檢查該原則。驗證是否允許您要傳遞的流量。並驗證是否只開啟適用的連接埠。
例如,可使用連接埠掃描來驗證實際上只開啟適用的連接埠。
本機網域
建議您將所有本機網域名稱包含在系統認定為本機對內部網路的網域中。否則,ISA Server 可能會將名稱解析要求傳送到外部 DNS 伺服器,而潛在暴露內部網域的名稱。
設定本機網域表
1. | 在 [ISA Server 管理] 的主控台樹狀目錄中,按一下 [網路]:
| ||||
2. | 在詳細資料窗格中,按一下 [網路] 索引標籤,然後選取 [內部] 網路。 | ||||
3. | 在 [工作] 索引標籤上,按一下 [編輯選取的網路]。 | ||||
4. | 在 [網域] 索引標籤上,按一下 [新增]。然後在 [輸入要包括的網域名稱] 中輸入網域名稱。 |
備份與還原
ISA Server 具有匯出及匯入功能,供您備份及還原設定資訊。可以匯出設定參數,並將其儲存在本機 .xml 檔案中。您可以將設定資訊儲存到任何資料夾及使用任何檔案名稱。匯出的 .xml 檔案可能包含敏感資訊且應適當儲存。
還原設定檔案時,有可能會變更現有的防火牆原則。因此,當您還原 (匯入) 設定資訊時,請務必使用信任的設定檔案。
虛擬私人網路
將 ISA Server 2006 作為虛擬私人網路 (VPN) 伺服器時,請務必遵循最佳安全性作法。以下是保護其角色為 VPN 伺服器之 ISA Server 電腦的建議清單:
| • | 建議使用網際網路通訊協定安全性 (IPSec) 上的第二層通道通訊協定 (L2TP) 來增強加密。建議您實作及強制增強的密碼原則,因為這樣可以減少受到字典攻擊的機會。當您實作這樣的原則時,可以停用帳戶鎖定,因為這樣可以減少攻擊者觸發帳戶鎖定的機會。 |
| • | 考慮要求遠端 VPN 用戶端執行特定的作業系統 (如 Microsoft Windows Server 2003 或 Windows XP)。並非所有作業系統在檔案系統及使用者帳戶上都有同樣等級的安全性。同時,並非所有的作業系統都可使用所有的遠端存取功能。 |
| • | 使用可提供正確安全性的驗證方法。最安全的驗證方法是,結合智慧卡使用時的「可延伸的驗證通訊協定 - 傳輸等級安全性 (EAP-TLS)」。 |
| • | 使用 ISA Server 隔離控制功能,為遠端 VPN 用戶端提供階段性的網路存取。利用「隔離控制」,就可以在允許存取網路之前,將用戶端限制為隔離模式。儘管「隔離控制」不會提供保護以免遭攻擊,但可對授權使用者之電腦設定進行驗證,若有必要,還會在他們能夠存取網路之前進行修正。 |
VPN 病毒防護
不會自動阻擋受病毒感染的 VPN 用戶端電腦利用要求大量湧入它所保護的 ISA Server 電腦或網路。若要避免發生此狀況,請實行監視作法,以偵測如流量負載中的警示或不尋常尖峰等異常,並設定警示通知使用電子郵件訊息。如果辨識出受感染的 VPN 用戶端電腦,請執行下列動作之一:
| • | 使用遠端存取原則,將使用者排除於允許連線的 VPN 用戶端之外。 |
| • | 依照 IP 位址來限制 VPN 存取權。建立新網路以包含已封鎖的外部 IP 位址,並將用戶端的 IP 位址從外部網路移至新網路,即可進行此動作。 |
洪水安全防護功能
ISA Server 2006 能幫助您偵測並減少公司常會遇到的病毒散播及後續大量湧入的連線問題。ISA Server 洪水安全防護功能包括各種功能,您可以進行設定與監視來確保網路不會受到惡意攻擊。依預設,洪水安全防護功能設為啟用且具有預設設定,其中設定為記錄受洪水安全防護功能設定封鎖的流量。
修改或檢視洪水安全防護功能設定
1. | 在 [ISA Server 管理] 的主控台樹狀目錄中,按一下 [一般]:
| ||||
2. | 在詳細資料窗格中,按一下 [設定洪水安全防護功能設定]。 | ||||
3. | 按一下 [編輯] 以修改所要的設定值。 |
VPN 的驗證
使用可提供正確 VPN 安全性的驗證方法。
用戶端存取 VPN
最安全的驗證方法是,結合智慧卡使用時的「可延伸的驗證通訊協定 - 傳輸等級安全性 (EAP-TLS)」。雖然部署挑戰涉及使用需要公開金鑰基礎結構的 EAP-TLS 及智慧卡,但是仍是視為最安全的驗證方法。啟用 EAP-TLS (在遠端存取原則的設定檔上預設為停用)。
使用 EAP-TLS 驗證通訊協定時,您必須在「網際網路驗證服務 (IAS)」伺服器上安裝電腦憑證。若為用戶端及使用者驗證,您可以在用戶端電腦上安裝憑證,或者可以使用智慧卡。在您部署憑證之前,必須設計具有正確需求的憑證。
如果您使用密碼型驗證,請加強網路上的嚴密密碼原則,使其不易受到字典攻擊。
請考慮要求遠端 VPN 用戶端使用更安全的驗證通訊協定來進行驗證,例如 Microsoft Challenge Handshake 驗證通訊協定第 2 版 (MS-CHAP v2) 或可延伸的驗證通訊協定 (EAP),而不允許使用其他通訊協定,如密碼驗證通訊協定 (PAP)、Shiva 密碼驗證通訊協定 (SPAP) 及 Challenge Handshake 驗證通訊協定 (CHAP) 等。
強烈建議您停用 PAP、SPAP 及 CHAP。預設會停用 PAP、SPAP 及 CHAP。
網站間的 VPN
建議的部署實例是使用憑證來驗證網站間的 VPN 連線。使用憑證時需先滿足下列安全性考量:
| • | 應透過專用的內部憑證授權單位 (CA) 來發行網站間 VPN 連線所需的憑證。這是因為 IPsec 不會比對憑證名稱與網站名稱。所以只要憑證出自相同的 CA,驗證上便不會有問題。 |
| • | 強制檢查憑證撤銷清單 (CRL)。依預設,在建立 VPN 連線的過程中,IPsec 會嘗試從發行 CA 下載 CRL。如果因故無法下載 CRL,IPsec 仍會認定憑證有效,並允許建立 VPN 連線。若有陣列成員遭竊,則即使憑證已撤銷,系統或匯出的憑證仍有可能被用來與另一個陣列成員建立網站間的 VPN 連線。為減輕此風險,應設定對所有的陣列成員執行 StrongCRLCheck 檢查。StrongCRLCheck 檢查會強制讓陣列成員將所提出的每個憑證與 CRL 比對檢查,以驗證其有效性。如有陣列成員無法下載 CRL,其憑證會被視為無效而拒絕建立連線。 |
設定 StrongCRLCheck
1. | 在發行 CA 上設定附加的 CRL 發佈點。CRL 發佈點中使用的主機名稱應能夠在網際網路上解析。 | ||
2. | 縮短 CRL 的有效期。CRL 的有效期是指憑證檢查器認定 CRL 可信的期間。只要憑證檢查器在本機快取中已取得有效的 CRL,檢查器便不會嘗試從 CA 擷取另一個 CRL。CRL 的有效期係以 CRL 發行間隔加上允許複寫的最多 10% 計算。預設的 CRL 發行間隔為一週。若需 CRL 發佈點、CRL 發行及憑證撤銷的相關資訊,請參閱 Windows Server 2003 產品「說明」。 | ||
3. | 重新發行所有已發出的憑證,以便於憑證中加入新的 CRL 發佈點。 | ||
4. | 使用 ISA Server 網頁發行精靈,將新的 CRL 發佈點發行到網際網路。 | ||
5. | 如下指定憑證必須經過 CRL 比對檢查,否則無法建立 VPN 通道:
| ||
6. | 然後重新啟動原則代理程式服務及 Microsoft 防火牆服務。 附註:當原則代理程式停止並重新啟動時,IPsec 網站間 VPN 連線便停止正常運作。TCP SYN 及 UDP 封包會讓 ISA Server 變成純文字,而所有的回覆因為是純文字格式,所以都會被 ISA Server 丟棄。為修正此問題,請於重新啟動原則代理程式後,停止且再啟動 Microsoft 防火牆服務或重新啟動伺服器。 |
附註:依預設,IPsec 會等候 10 秒以完成 CRL 擷取程序。如果在此時間內無法擷取 CRL,則當 StrongCRLCheck 的值已設為 2 時,IPsec 會讓驗證失敗。在慢速連結的連線中,這會導致網站間的 VPN 連線失敗。
若需 IPsec 的相關資訊,請參閱 Microsoft TechNet 網站上的 <IPSec 運作方式>(英文)。
IPsec 流量
ISA Server 不會封鎖 IPsec 流量中所含的任何封裝安全承載 (ESP) 或驗證標頭流量。此外,這類流量絕不會被視為詐騙,因為這些通訊協定在設計上一律認定為安全無虞。
分公司 VPN 連線精靈回應檔案
網站間的 VPN 網路建立完成後,ISA Server 系統管理員即可執行建立「遠端 VPN 網站的回應檔案」工作,藉此建立回應檔案。回應檔案可在執行分公司 VPN 連線精靈時使用。
重要:回應檔案內含機密資訊,故應相對謹慎處理。將回應檔案傳送到分公司的 ISA Server 電腦時,請務必確保傳輸安全。
網路負載平衡
若為 Enterprise Edition,使用網路負載平衡 (NLB) 時,請遵循下列指示:
| • | 當您啟用 NLB 時,請參閱如下所述的安全性最佳作法: Microsoft TechNet 網站上的 <網路負載平衡:Windows 2000 及 Windows Server 2003 的安全性最佳作法>(英文)。 |
| • | 啟用 NLB 時,請將路由器放到啟用 NLB 陣列的前面。設定路由器,讓它封鎖原始 IP 流量。否則,所有陣列成員都會同時處理該流量。 |
| • | 啟用 NLB 時,它僅使用乙太網路通訊協定通訊來同步化陣列成員。此低階流量不受 ISA Server 保護。為了協助保護該流量,建議您在網際網路和啟用 NLB 的陣列之間放置 Layer-3 路由器。同時,在 ISA Server 電腦與包含不受信任電腦的網路之間設立 Layer-3 路由器。 |
| • | 此 Layer-3 路由器不允許低階乙太網路通訊協定通過,因此可協助保護陣列免受來自網際網路的潛在惡意乙太網路流量攻擊,此攻擊會破壞 NLB 的作業。 |
快取陣列路由通訊協定
若為 Enterprise Edition,當您啟用快取陣列路由通訊協定 (CARP) 時,請遵循下列指示:
| • | 建議您部署專用網路以供進行陣列內部通訊以及 CARP 通訊。或是使用專用網路供 CARP 通訊使用。設定此網路的 IPsec。 |
| • | 只有陣列成員才可存取已啟用 CARP 的網路。 |
連結轉譯
ISA Server 2006 的連結轉譯功能無論啟用與否,均會轉譯 HTTP 標頭。這表示當您發行 Web 伺服器時,若指定可以使用「任何網域名稱」,攻擊者就能在標頭中傳送惡意的內容。如果已發行的伺服器將要求重新導向任何電腦上的網頁,會使回應遭到破壞。(它可能會被修改,以包含來自攻擊者所傳送之標頭的 URL。)如果此網頁被下游伺服器快取,則存取該網頁的使用者將被重新導向至攻擊者所設定的網站。
基於這個原因,我們建議您指定網頁發行規則會套用至其中的特定網域名稱。
指定特定網域名稱
1. | 在 [ISA Server 管理] 的主控台樹狀目錄中,按一下 [防火牆原則]:
| ||||
2. | 在詳細資料窗格中,選取適用的網頁發行規則。 | ||||
3. | 在 [工作] 索引標籤上,按一下 [編輯選取的規則]。 | ||||
4. | 在 [公用名稱] 索引標籤中的 [這個規則套用到] 下,選取 [要求下列網站]。 | ||||
5. | 按一下 [新增]。 | ||||
6. | 在 [公用網域名稱或 IP 位址] 中,輸入所應套用網頁發行規則的特定網域名稱。 |
洪水安全防護功能
ISA Server 會限制指定時間的連線數目。您可設定一個限制,指定並行連線的最大數目。當達到連線數目的上限時,將拒絕該網頁接聽程式的任何新用戶端要求。
您可以限制伺服器發行或存取規則每秒鐘允許的 UDP、ICMP 及其他原始 IP 工作階段的建立總數。這些限制不適用於 TCP 連線。當指定的連線數目超過時,不會建立新的連線。現有的連線不會中斷。
下表列出洪水安全防護功能的內容及預設設定。
| 內容 | 預設值 |
每分鐘,每一 IP 位址的 TCP 連線要求數上限 | 限制: 600 |
每一 IP 位址的同時 TCP 連線數上限 | 限制: 160 |
TCP 半開放式連線數上限 | 限制: 80 無法設定 |
每分鐘,每一 IP 位址的 HTTP 要求數上限 | 限制: 600 |
每分鐘,每一規則的非 TCP 新工作階段數上限 | 限制: 1,000 |
每一 IP 位址的同時 UDP 工作階段數上限 | 限制: 160 |
指定有多少被拒絕的封包數會觸發警訊 | 限制: 600 |
我們強烈建議您不要變更這些預先設定的限制。如果您一定要修改連線限制,請以小幅增量逐步變更到所要的效果。
設定連線限制
1. | 在 [ISA Server 管理] 的主控台樹狀目錄中,按一下 [一般]:
| ||||
2. | 在詳細資料窗格中,按一下 [設定洪水安全防護功能設定]。 | ||||
3. | 針對所要的內容選取 [編輯],並變更為所要的值。 |
表單自訂
您不一定要使用 ISA Server 2006 提供的預設表單資料夾,可自行指定不同的資料夾。在您用來建立自訂表單的資料夾中存放的所有檔案,均可透過匿名存取。因此您必須確定指定資料夾中的檔案均未含有敏感資訊。
ISA Server 管理
ISA Server 管理的 Microsoft Management Console (MMC) 嵌入式管理單元係將敏感檔案存放在主控台電腦使用者的 [Documents and Settings] 資料夾中。為保護這些檔案的安全,ISA Server 管理應安裝在系統磁碟機格式化為 NTFS 檔案系統的電腦上。
自訂通訊協定
建立自訂的通訊協定時,請審慎設定使用次要連線範圍。如果所設的次要範圍與 ISA Server 防火牆既已定義的連接埠重疊,則當主要連接埠上已建立工作階段時,可能會在其中一個已定義的次要連接埠上與別的伺服器建立連線。
為減輕此風險:
| • | 確認次要通訊協定範圍未與已知的 ISA Server 連接埠或連接埠範圍重疊。 |
| • | 使用有別於存取規則的伺服器發行規則來發行應用程式。 |
附註:若要部署應用程式,應遵循 Secure Winsock 程式設計規範,詳見 MDSN (英文)。
網頁發行
本節探討網頁發行特有的安全性問題。
公用資訊站
應宣導使用者以正確方式登出 公用資訊站或公用工作站。尤其在使用無登出按鈕的發行應用程式,以及設定為單一登入 (SSO) 的情形時,更應養成正確的登出習慣。
當使用者存取發行的應用程式時,會在本機電腦上儲存一個 Cookie。如果應用程式沒有登出按鈕,而使用者在瀏覽其他網頁後即離開 公用資訊站而未登出,則 Cookie 仍會留在該電腦上且持續有效。其他使用者便有機會利用此 Cookie 存取其他設定為 SSO 發行應用程式的任何發行應用程式。
使用公用電腦存取網際網路時,應採用下列最佳作法:
| • | 請勿選取 [這是私人電腦]。 |
| • | 在可能情況下於發行應用程式中執行登出動作。 |
| • | 使用完畢發行應用程式後,請刪除 Cookie。 |
| • | 刪除網際網路暫存檔案。 |
| • | 刪除 Office 於 Microsoft Office SharePoint® Portal Server 操作期間所產生的暫存檔案。 |
| • | 刪除手動下載到公用資訊站的任何檔案。 |
| • | 關閉所有瀏覽視窗。 |
| • | 可能的話,登出 Windows。 |
重要:如有網頁接聽程式設定為使用持續 Cookie,ISA Server 會在使用者通過驗證後,將持續 Cookie 下載到該使用者的電腦上。即使在使用者關閉瀏覽器後,持續 Cookie 仍會保留在該使用者的電腦上。此 Cookie 可供未授權使用者用來存取發行應用程式。持續 Cookie 較容易遭到間諜軟體利用。非持續 Cookie (又稱為工作階段 Cookie) 只對產生該 Cookie 的瀏覽器視窗有效。若瀏覽器視窗關閉,非持續的工作階段 Cookie 便隨之刪除,無法供非授權使用者使用。請注意,使用非持續的工作階段 Cookie 時,使用者每次開啟新視窗時 (例如從 SharePointen Portal Server 入口網站中開啟 Office Word 文件) 都會看到驗證提示,可能會令使用者感到困擾。若需 Cookie 設定的詳細資訊,請參閱 ISA Server 說明。
單一登入 (SSO)
以下各節分別探討 SSO 的各個安全性項目。
單一登入網域
啟用單一登入 (SSO) 時,請務必提供特定的 SSO 網域。假設一般網域 (例如 .co.uk) 允許網頁瀏覽器將 ISA Server 單一登入 (SSO) Cookie 傳送到該網域中的任何網站,這樣會帶來安全性風險。
單一登入及工作階段行進
您應先確定已將 Web 應用程式設計為抵抗工作階段行進攻擊 (也稱為跨網站張貼、跨網站要求偽造或引誘攻擊),然後再使用 ISA Server 發行該應用程式。
網域名稱
不建議使用相同的主機名稱來發行兩個網站。如果您有兩個內部網站 http://site1 和 http://site2,請勿使用相同的主機名稱 http://external.contoso.com/site1 和 http://external.contoso.com/site2 來發行兩者。
較安全的發行方法是以唯一主機名稱分別發行各個網站,如 http://site1.contoso.com 和 http://site2.contoso.com。使用唯一主機名稱發行各個網站的好處是,萬一其中某個應用程式出現漏洞時,能彼此隔絕應用程式,以限制該應用程式的安全性風險之影響範圍。
Web 伺服器陣列
ISA Server 2006 能夠發行一組主控相同資料的伺服器,亦即所謂的伺服器陣列。使用 ISA Server 2006 來保護伺服器的安全時,您需要在各個 Web 伺服器之間發佈用戶端要求,同時必須維持用戶端關連。在此建議將伺服器陣列中的伺服器放置在有別於使用者的網路中,以便 ISA Server 能正確判定伺服器是否處於運作狀態。
防火牆用戶端
ISA Server 支援防火牆用戶端與 ISA Server 之間更安全的通訊方法,其中涉及使用 TCP 控制通道的加密。建議您設定讓 ISA Server 僅接受使用此安全方法通訊的用戶端連線。包括使用 ISA Server 2006 電腦的防火牆用戶端軟體。但是請注意,這會使 ISA Server 2004 之前的舊版防火牆用戶端軟體無法連線。
設定防火牆用戶端
1. | 在 [ISA Server 管理] 的主控台樹狀目錄中,按一下 [一般]:
| ||||
2. | 在詳細資料窗格中,按一下 [定義防火牆用戶端設定值]。 | ||||
3. | 在 [連線] 索引標籤中,確認未選取 [允許未加密的防火牆用戶端的連線]。 |
防火牆鏈結
設定防火牆鏈結時,建議您使用 IPsec 來保護 ISA Server 電腦與上游伺服器間的通訊通道安全。
保障部署的安全
保障 ISA Server 安全的第一步是確認 ISA Server 電腦的實體安全性,並落實基本安全性設定建議。
在確保 ISA Server 電腦的安全並採用安全性指示在伺服器上設定原則後,請考慮如何部署網路基礎結構。本節說明部署由 ISA Server 保護的網路時所需考量的安全性指示。
保護網路環境
若要保護網路環境,請執行下列動作:
| • | 在交換機上部署安全性解決方案,例如第 2 層 IDS及靜態 MAC 或連接埠關聯,以遏阻第 2 層攻擊。 |
| • | 儘可能在網路中設定 IPsec。 |
| • | 若要協助防止「位址解析通訊協定 (ARP)」快取上的攔截式攻擊,建議您將路由器放在 ISA Server 電腦之前。這是因為 ARP 封包無法透過路由器來遞送。當 ISA Server 與不信任的網路共用實體網路時,建議您設定 ISA Server 執行靜態 ARP。為了最佳的安全性考量,建議您為預設閘道及在其他相同實體網路的主機上新增靜態 ARP 項目。 |
| • | 請勿於 ISA Server 電腦上安裝網際網路通訊協定第六版本 (IPv6)。ISA Server 不會檢查 IPv6 流量。IPv6 流量不會經過檢查便可通過 ISA Server 電腦。 |
若為 Enterprise Edition:
| • | 建議以專用網路來進行陣列內部通訊。 |
| • | 若為啟用 NLB 的網路,應使用路由器。 |
驗證
強烈建議您使用安全連線,例如安全通訊端層 (SSL),並搭配任何驗證方法。
用戶端驗證
若使用 HTTP 驗證連接到未設有 SSL 的 ISA Server 防火牆,該連線要求會有遭到攔截式攻擊的潛在危險。攻擊者可在驗證過程中或驗證過後篡改要求。
為減少遭此攻擊的風險,HTTP 驗證應一律搭配啟用 SSL 的連線使用。
使用 RADIUS 伺服器
「遠端驗證撥入使用者服務 (RADIUS)」是一種專門提供驗證的業界標準通訊協定。RADIUS 用戶端 (通常為撥入伺服器、VPN 伺服器或無線存取點) 會以 RADIUS 訊息的形式,將使用者認證及連線參數資訊傳送至 RADIUS 伺服器。RADIUS 伺服器會驗證 RADIUS 用戶端要求,並傳回 RADIUS 訊息回應。
建議您如下所示,設定 RADIUS 伺服器:
| • | 如果您是使用 RADIUS 伺服器來進行驗證,請建立會監視伺服器狀態的連線能力檢查器。應設定警示,以便能夠在 RADIUS 伺服器無法運作時,採取適當的動作。 |
| • | 不受信任的使用者不得存取 RADIUS 伺服器與 ISA Server 之間的網路。如果不受信任的使用者必須具有存取權,請在此網路上使用 IPsec。 |
| • | 使用 IPsec 為 RADIUS 用戶端及伺服器提供額外的安全性。 |
Web Proxy 型驗證
RADIUS 驗證中適用於網頁發行及 Web Proxy 的唯一驗證方法是 PAP。
VPN 驗證
此外,當您實作需要 RADIUS 驗證的 VPN 或防火牆原則時,請遵循以下指示:
| • | 「RADIUS 使用者密碼」隱藏機制可能無法為密碼提供足夠的安全性。RADIUS 隱藏機制會使用 RADIUS 共用機密及「要求驗證者」,並使用 MD5 雜湊演算法來加密「使用者密碼」及其他屬性,例如「通道密碼」及「MS-CHAP-MPPE 金鑰」。RFC 2865 會指出評估威脅環境並決定是否應採取其他安全性措施的潛在需要。 | ||||||||
| • | 您可以使用具有封裝安全承載 (ESP) 的 IPSec 及加密演算法 (如三重 DES,即 3DES),來為隱藏的屬性提供其他保護,以提供整個 RADIUS 訊息的資料機密性。請遵循這些建議方針:
| ||||||||
| • | 當您使用密碼型驗證時,請加強網路上的嚴密密碼原則,以使其不易受到字典攻擊。 | ||||||||
| • | 當使用者名稱不是以英文來指定時,ISA Server 會使用目前安裝在 ISA Server 電腦上的字碼頁來轉譯該使用者資料。只有當用戶端也使用相同字碼頁時,才可驗證該使用者。 | ||||||||
| • | 如果在 RADIUS 驗證的使用者登入時變更 RADIUS 伺服器原則,則新原則不會套用到目前登入的使用者。這是因為若使用者是利用 RADIUS 驗證來存取已發佈的 Outlook Web Access 伺服器,ISA Server 就會快取所登入之使用者的認證所致。若要立即套用 RADIUS 伺服器原則,您可以中斷工作階段的連線。 |
使用 LDAP 伺服器
ISA Server 2006 僅支援網頁發行的 LDAP 驗證。LDAP 伺服器必須在 Windows Server 2003 或 Windows 2000 Server 網域控制站上執行。因此建議在網域控制站上設定 LDAPS,藉此保護 ISA Server 電腦以及 LDAP 伺服器之間的通訊安全。若需啟用 SSL 上的 LDAP 的相關資訊,請參閱 Microsoft TechNet 網站上的 <如何透過 SSL 與協力廠商憑證授權單位進行 LDAP 驗證>(英文)。
確認驗證伺服器的連線能力
如果您是使用 RADIUS 伺服器或 LDAP 伺服器進行驗證,請建立用於監視伺服器狀態的連線能力檢查器。設定警示,以便能夠在 RADIUS 或 LDAP 伺服器無法運作時,採取適當的動作。
驗證連線能力
1. | 在 [ISA Server 管理] 的主控台樹狀目錄中,按一下 [監視]:
| ||||
2. | 在詳細資料窗格中,按一下 [連線能力檢查器] 索引標籤。 | ||||
3. | 在 [工作] 索引標籤上,按一下 [建立新連線能力檢查器]。 | ||||
4. | 在精靈的 [歡迎使用] 頁面中,輸入連線能力檢查器的名稱,然後按 [下一步]。 | ||||
5. | 在 [連線能力檢查詳細資料] 頁面中,執行下列動作:
|
請注意下列事項:
| • | 若要確認 LDAP 伺服器,選取 [建立 TCP 到連接埠的連線],再選取適當的 LDAP 服務。 |
| • | 若要確認 RADIUS 伺服器,選取 [傳送 PING 要求]。 |
| • | 如未啟用允許進行 HTTP 連線能力檢查的系統原則規則,當您選取 [傳送 HTTP "GET" 要求] 時,系統會提示您啟用該系統原則規則。按一下 [是]。 |
1. | 在詳細資料窗格中,選取您剛建立的規則。 |
2. | 在 [工作] 索引標籤上,按一下 [編輯選取的檢查器]。 |
3. | 在 [內容] 索引標籤中,確認已選取 [如果伺服器回應不在指定的等候逾時時間內,就會觸發警示]。 |
部署驗證伺服器
基於安全性的理由,建議您將驗證伺服器置於高度安全的網路中。可能的話,請考量將驗證伺服器置於不同的網路 (除內部網路及周邊網路之外的網路)。如此將能夠有效防止從內部網路及周邊網路上的任何主機直接存取驗證伺服器。
在這種情況下,您應修改適用的系統原則規則,以便套用到驗證伺服器所在的網路。
部署驗證伺服器
1. | 在 [ISA Server 管理] 的主控台樹狀目錄中,按一下 [防火牆原則]:
| ||||
2. | 在 [工作] 索引標籤上,按一下 [編輯系統原則]。 | ||||
3. | 在 [系統原則編輯器] 的 [設定群組] 樹狀目錄中,於 [驗證服務] 下按一下適用的驗證方法。 | ||||
4. | 在 [到] 索引標籤上,按一下 [新增]。 | ||||
5. | 在 [新增網路實體] 中,選取驗證伺服器所在的網路。 |
DNS 伺服器
網域名稱系統 (DNS) 是名稱解析通訊協定,適用於如網際網路之類的 IP 網路。DNS 伺服器主控的資訊,可讓用戶端電腦將好記、由英數字元組成的 DNS 名稱,解析成電腦用來互相通訊的 IP 位址。
ISA Server 包含的名稱解析機制類似於 DNS 伺服器名稱解析機制。當用戶端對另一個網路上的主機提出要求時,它會指定主機電腦的 URL,讓 ISA Server 解析主機電腦的名稱。ISA Server 會將名稱解析要求,傳給您設定供其使用的 DNS 伺服器。
為了避免發生 DNS 快取中毒,強烈建議您設定 ISA Server 使用受信任的 DNS 伺服器 (例如,Windows DNS 伺服器),並啟用預防快取遭受侵害的選項。DNS 伺服器應該位於內部網路。
若要在不受信任的網路上部署 DNS 伺服器 (例如,在外部網路),建議您也在受信任的網路上安裝 DNS 伺服器 (例如,周邊網路)。然後,將受信任網路上的 DNS 伺服器設定為將要求轉寄給不受信任網路上的 DNS 伺服器。
部署 DNS 伺服器時,請遵循下列指示:
| • | 將 DNS 伺服器部署在內部網路。 |
| • | 於 ISA Server 電腦上設定連接到內部網路的網路介面卡,讓內部網路中的 DNS 伺服器處理所有的名稱解析要求。 |
| • | 確認 ISA Server 電腦上無其他網路介面卡使用不受信任的 DNS 伺服器。 |
| • | 建立存取規則,其中只允許內部 DNS 伺服器存取網際網路以進行 DNS 解析。 |
重要:只有信任的 DNS 伺服器才應當向不受信任的 DNS 伺服器傳送名稱解析要求。內部網路中的其他伺服器不得直接存取不受信任的 DNS 伺服器。
設定 DNS
1. | 在 ISA Server 電腦上,依序按一下 [開始]、[控制台],然後連按兩下 [網路連線]。 |
2. | 在您要設定的連線上按一下滑鼠右鍵,再按 [內容]。 |
3. | 在 [一般] 索引標籤的 [這個連線使用下列項目] 中,按一下 [Internet Protocol (TCP/IP)],再按 [內容]。 |
4. | 選擇 [使用下列的 DNS 伺服器位址]。 |
5. | 在 [慣用 DNS 伺服器] 和 [其他 DNS 伺服器] 中,輸入內部網路上受信任的 DNS 伺服器 IP 位址。 |
監視與疑難排解
監視允許通過 ISA Server 的網路流量,是您要執行的一項重要例行工作。監視功能的重點在於仔細分析記錄檔及稽核資訊。
以下各節將提供有助於確保記錄資訊完整的秘訣和提示。
記錄
記錄可供您檢視網路活動,檢查存取網路資源的使用者。定期且仔細地檢閱記錄檔,以檢查是否有可疑的存取及網路資源使用方式。請依照以下指示,充分利用 ISA Server 記錄:
| • | 設定警示,將通知傳送給系統管理員。實作迅速回應程序。 |
| • | 請將記錄儲存到 NTFS 磁碟分割,以取得最佳安全性。僅 ISA Server 電腦的系統管理員才應具備記錄的存取權。 |
| • | 當您將記錄資訊儲存到 SQL 資料庫時,請使用 Windows 驗證 (不是 SQL 驗證)。 |
| • | 如果您是要將資訊記錄到遠端資料庫,請為複製到遠端資料庫的記錄資訊設定加密及資料簽章。 |
| • | 為達到最佳安全性,請針對 ISA Server 電腦與 SQL Server 之間的通訊設定 IPSec。 |
| • | 如果因任何因素而無法儲存記錄資訊,請鎖定 ISA Server 電腦。為此,請針對會使防火牆服務停止的「記錄檔失敗」事件設定警示定義。 |
記錄檔儲存限制
設定記錄檔儲存限制警示的定義,以便於記錄檔存滿時停止 ISA Server 服務。聰明地使用記錄維護功能,以確定磁碟仍有空間可儲存記錄資訊。只有在記錄及儲存功能運作下能夠適當稽核存取時,才允許存取。
設定記錄存放限制
1. | 在 [ISA Server 管理] 的主控台樹狀目錄中,按一下 [監視]:
| ||||
2. | 在詳細資料窗格中,按一下 [警示] 索引標籤。 | ||||
3. | 在 [工作] 索引標籤上,按一下 [設定警示定義]。 | ||||
4. | 在 [警示定義] 中,按一下 [記錄檔儲存限制],再按一下 [編輯]。 | ||||
5. | 在 [一般] 索引標籤中,選取 [啟用]。 | ||||
6. | 在 [動作] 索引標籤中,按一下 [停止所選的服務],然後按一下 [選擇]。 | ||||
7. | 在 [服務] 中,選取 [Microsoft Firewall] 和 [Microsoft ISA Server 工作排程器]。 |
稽核
啟用 Windows 稽核,以便監視登入 ISA Server 電腦的使用者,更重要的是,監視有無企圖登入但失敗的可疑情形。
啟用稽核
1. | 在 ISA Server 電腦上按一下 [開始],依序指向 [所有程式]、[系統管理工具],然後按一下 [本機安全性原則]。 |
2. | 依序展開 [安全性設定]、[本機原則],然後按一下 [稽核原則]。 |
3. | 在詳細資料窗格中,於 [稽核登入事件] 上按一下滑鼠右鍵,再按 [內容]。 |
4. | 選取 [成功] 和 [失敗]。 |
洪水攻擊
藉由故意使網路超載以嘗試拒絕對合法的使用者服務時,就會發生洪水攻擊。例如,當惡意程式嘗試在公司網路外部傳播時,可能發生洪水攻擊。
ISA Server 遭遇洪水攻擊的第一個症狀是 CPU 使用量忽然激增,而導致記憶體加速消耗,或在 ISA Server 電腦上出現高記錄率。
如果您判定 ISA Server 電腦正遭受洪水攻擊,請使用記錄檢視器來判斷不法流量的來源。請特別檢查下列事項:
| • | 拒絕流量的記錄項目。請特別注意因超出配額、詐騙封包和內含損毀 CHECKSUM 的封包而遭拒絕的流量。這些通常是表示惡意用戶端。在 ISA Server 2006 Standard Edition 中,因超出連線數限制而終止的連線會產生結果代碼 0x80074e23。在 ISA Server 2006 Enterprise Edition 中,結果會以文字顯示,其中清楚指出連線終止的原因。 |
| • | 指出建立許多連線然後立即關閉這些連線的記錄。這往往表示用戶端電腦正在掃描 IP 位址範圍,尋找特定弱點。 |
另一個偵測及列出發生問題的電腦之方法是,暫時將連線限制的警示重新設定為每秒觸發 (而非使用 [手動重設] 選項)。如此會產生警示清單,每個警示都會在警示文字中指出發生問題的 IP 位址。在您查明發生問題的 IP 位址之後,請執行下列步驟,以改善 ISA Server 在洪水攻擊期間的效能:
改善 ISA Server 在洪水攻擊期間的效能
1. | 停用記錄。針對符合洪水的特定規則停用記錄,或在洪水攻擊停止之前整個停用記錄。 |
2. | 將「連線限制」警示 (或因特定攻擊而可能重複觸發的其他警示類型) 重新設定為 [手動重設]。 |
連線限制警示
發生連線限制警示時,請判斷您的網路是否遭受攻擊,或純粹只是有效流量負荷沉重。若由於惡意流量而超過限制,請嘗試下列動作:
| • | 如果惡意的流量似乎起源於內部網路,表示內部網路中可能有病毒。識別來源 IP 位址,並立即中斷電腦與網路的連線。 |
| • | 如果惡意的流量看似起源於外部網路中的小範圍 IP 位址,應建立規則,拒絕存取含有來源 IP 位址的電腦組。 |
| • | 如果惡意的流量疑為源自於大範圍的 IP 位址,請評估您的網路整體狀態。考慮設定較小的連線限制,以便 ISA Server 更妥善保護您的網路。 |
此外並建議您限制連線數量,如此有助於防範洪水攻擊。發生 UDP 或原始 IP 洪水攻擊時,會從假造的來源 IP 位址傳來許多要求,最後會導致阻斷服務。
防範由蠕蟲及病毒造成的洪水攻擊
內部網路有可能受到下列類型的蠕蟲感染:
| • | 使用特定通訊協定滲透的蠕蟲。 |
| • | 目的地針對特定 IP 位址的蠕蟲。 |
| • | 源自特定 IP 位址的蠕蟲。 |
為協助保護內部網路不受蠕蟲及其他惡意軟體破壞,在此提出下列建議:
| • | 在 VPN 用戶端網路上啟用隔離保護。 |
| • | 建立存取規則以拒絕受感染用戶端的流量進出,並拒絕讓蠕蟲使用通訊協定。此規則應設為第一個規則,以確保優先執行。請勿啟用此規則的記錄功能。 |
| • | 設定中斷連線網路,其中包含受感染用戶端的 IP 位址。來自這些用戶端的任何流量都將視為詐騙而予以丟棄。 |
建立中斷連線網路
中斷連線網路代表非實體連線到 ISA Server 電腦的某個範圍的 IP 位址。
建立中斷連線的網路
1. | 在 [ISA Server 管理] 的主控台樹狀目錄中,按一下 [網路]:
| ||||
2. | 在詳細資料窗格中,按一下 [網路] 索引標籤。 | ||||
3. | 在 [工作] 索引標籤上,按一下 [建立新的網路]。 | ||||
4. | 在 [歡迎使用] 頁面上,輸入網路的名稱。例如輸入 Disconnected,然後按 [下一步]。 | ||||
5. | 在 [網路類型] 頁面上,選取 [外部網路],再按 [下一步]。 | ||||
6. | 在 [網路位址] 頁面上按一下 [新增範圍]。接著在 [起始位址] 及 [結束位址] 中,輸入受感染用戶端的 IP 位址。依序按一下 [確定] 及 [下一步],再按 [完成]。 | ||||
7. | 在詳細資料窗格中,按一下 [網路規則] 索引標籤。確定其中沒有對此網路套用網路規則。 附註:每當發現有別台用戶端受感染時,請務必更新此網路。 |
設定路由表
調整 ISA Server 電腦上的本機路由表,有助於阻止受感染的用戶端存取內部網路上的資源。執行下列動作:
| • | 在 ISA Server 電腦上新增另一個網路介面卡。但不要與任何 ISA Server 網路建立關聯。 |
| • | 使用 route add 命令,新增靜態路由到使用此網路介面卡的 IP 位址之受感染用戶端的 IP 位址。 |
攻擊性程式碼
若使用者在無意間執行了具攻擊性的程式碼,且該攻擊性程式碼與其他檔案一併封裝 (包含篡改過的系統 DLL 版本),則攻擊性程式碼便可載入這些自己改過的 DLL 版本,如此便會增加程式碼可能造成的損害程度及類型。設定登錄機碼 MSS:建議將安全 DLL 搜尋模式啟用為 Enabled 值。
若需此登錄機碼的相關資訊,請參閱 Microsoft TechNet 網站上的《威脅與因應對策指南》第 10 章 <其他登錄設定>。
其他資源
若需其他的 ISA Server 2006 文件,請瀏覽 Microsoft TechNet 網站。
附錄 A:手動強化 Windows Server 2003
此附錄提供有關手動強化電腦及建立安全性範本的資訊。
手動強化電腦
若要手動強化伺服器,您可以依照本節所述的方式來設定服務啟動模式。設定電腦的程序類似於安全性設定精靈。
附註:建議使用安全性設定精靈來強化電腦,因為它能為 ISA Server 電腦提供最佳化安全保護。
ISA Server 系統管理及其他工作
對於執行必要工作的伺服器,您必須根據所選的角色來啟用特定服務。不必要的服務則應停用。下表列出 ISA Server 可能需處理的伺服器工作,同時說明這些工作所需執行的時機,並列出當您啟用角色時所應啟動的服務。
| 伺服器工作 | 使用狀況 | 所需服務 | 啟動模式 |
使用 Windows Installer 從本機安裝應用程式 | 使用 Microsoft Installer 服務進行安裝、解除安裝或修復應用程式時需執行。 | Windows Installer | 手動 |
備份 | 在 ISA Server 電腦上使用備份程式時需執行。 | Microsoft Software Shadow Copy Provider Volume Shadow Copy 卸除式存放服務 Volume Shadow Copy 卸除式存放服務 | 手動 手動 手動 手動 手動 |
錯誤報告 | 用於啟用錯誤報告,向 Microsoft 報告重大錯誤以供分析,有助於提高 Windows 的可靠性。 | 錯誤報告服務 | 自動 |
說明及支援 | 允許收集歷史電腦資料,供 Microsoft 產品支援服務提升事件管理。 | 說明及支援 | 自動 |
ISA Server 2006:MSDE 記錄 | 允許使用 MSDE 資料庫進行記錄時需執行。如果您未啟用適當的服務,可將資料記錄到 SQL 資料庫或檔案中。但是如此將無法在離線模式下使用記錄檢視器。 | SQLAgent$MSFW MSSQL$MSFW | 手動 自動 |
效能資料收集 | 允許在背景中收集有關 ISA Server 電腦的效能資料。 | 效能記錄及警示 | 自動 |
列印 | 允許從 ISA Server 電腦進行列印。 | Print Spooler TCP/IP NetBIOS Helper Workstation | 自動 自動 自動 |
遠端 Windows 系統管理 | 允許遠端管理 Windows 伺服器 (遠端管理 ISA Server 時不需要)。 | 伺服器 遠端登錄 | 自動 自動 |
時間同步處理 | 允許 ISA Server 電腦聯繫 NTP 伺服器以同步化時鐘。從安全性的觀點來看,時鐘的準確性對於事件稽核和其他安全性通訊協定而言十分重要。 | Windows Time | 自動 |
遠端協助專家 | 允許在此電腦上使用遠端協助功能。 | 說明及支援 Remote Desktop Help Session Manager 終端機服務 | 自動 手動 手動 |
Notes
| • | Wireless 或 Server 服務的其中一者必須執行,時間用戶端應用程式才能正常運作。 |
| • | 「遠端登錄」及 Server 服務必須同時執行,效能計數器才能正常運作。 |
| • | 當您使用「路由」及「遠端存取管理」(而非「ISA Server 管理」) 時,Server 服務的啟動模式應為「自動」,才能設定虛擬私人網路 (VPN)。
|
ISA Server 用戶端角色
伺服器可以是其他伺服器的用戶端。用戶端的角色依所啟用的特定角色服務而定。下表列出 ISA Server 可能會有的用戶端角色,同時說明需要使用這些角色的時機,並列出啟用角色時所應啟動的服務。
| 用戶端角色 | 使用狀況 | 所需服務 | 啟動模式 |
自動更新用戶端 | 若要允許從 Microsoft Windows Update 自動偵測及更新,請選取這個角色。 | Automatic Updates Background Intelligent Transfer Service | 自動 手動 |
DHCP 用戶端 | 如果 ISA Server 電腦會自動從 DHCP 伺服器接收其 IP 位址,請選取這個角色。 | DHCP Client | 自動 |
DNS 用戶端 | 如果 ISA Server 電腦需要從其他伺服器接收名稱解析資訊,請選取這個角色。 此外當 ISA Server 需要名稱解析資訊 (DNS 及主機檔案) 時,也請選取 DNS Client 角色。 | DNS Client | 自動 |
網域成員 | 如果 ISA Server 電腦屬於某個網域,請選取這個角色。 | Network location awareness 網路登入 Windows Time | 手動 自動 自動 |
DNS 登錄用戶端 | 選取這個角色可以讓 ISA Server 電腦自動向 DNS 伺服器登錄其名稱和位址資訊。 | DHCP Client | 自動 |
Microsoft 網路用戶端 | 如果 ISA Server 電腦必須連線到其他 Windows 用戶端,請選取這個角色。如未選取這個角色,ISA Server 電腦將無法存取遠端電腦上的共用功能,例如發行報告。 | TCP/IP NetBIOS Helper Workstation | 自動 自動 |
WINS 用戶端 | 如果 ISA Server 電腦使用 WINS 的名稱解析,請選取這個角色。 | TCP/IP NetBIOS Helper | 自動 |
建立安全性範本
您可以使用安全性範本 Microsoft Management Console (MMC) 嵌入式管理單元來建立範本。範本中包含所應啟用的服務及其啟動模式等相關資訊。您只要使用安全性範本,即可輕鬆設定安全性原則,再套用到每一台 ISA Server 電腦。若需建立及部署安全性範本的相關資訊,請參閱 Microsoft TechNet 網站上的《Windows Server 2003 安全性指南》。