54SA.COM|专注于系统运维管理,为中国SA提供动力!
当前位置: 主页 > Windows > 服务器 > ISA >

ISA Server 2004 安全强化指南一(图)

时间:2010-10-28 21:31来源:未知 编辑:Tina

  简介
  
  本指南旨在提供有关如何强化运行 Microsoft Internet Security and Acceleration (ISA) Server2004 Standard Edition 的计算机的重要信息。 除了提供具体的实用配置建议之外,本指南还包含 ISA 服务器部署策略。
  
  对于运行 Microsoft Windows Server2003 的计算机,本指南是 Windows Server2003 Security Guide (http://go.microsoft.com/fwlink/?LinkId=31584) 的配套指南。 具体说来,本指南中的许多过程与 Windows Server2003 Security Guide 中介绍的安全建议直接相关。 因此,在您执行本指南中叙述的过程之前,建议您首先阅读 Windows Server2003 Security Guide。
  
  如果 ISA 服务器安装在运行 Windows? 2000 Server 的计算机上,请参阅 Windows2000 Security Hardening Guide (http://go.microsoft.com/fwlink/?LinkID=22380)。
  
  本指南的范围
  
  本指南的重点明确集中在有助于创建和维护安全的 ISA Server 2004 环境所需的操作上。 本指南应作为 ISA Server 2004 总体安全策略的组成部分,而不应作为创建和维护安全环境的完全参考。
  
  具体说来,本指南详细回答以下问题:
  
  在保证 ISA 服务器安全方面有哪些建议步骤?
  
  在 ISA 服务器配置方面应考虑哪些安全因素?
  
  哪些指导有助于准备安全的 ISA Server 2004 部署?
  
  保证 ISA 服务器计算机安全
  
  保证 ISA 服务器安全的一个重要步骤是验证 ISA 服务器计算机是否物理上安全,以及您是否采用基本的安全配置建议,包括以下各项:
  
  管理更新
  物理上保证计算机安全
  确定域成员身份
  强化 Windows 基础结构
  管理角色和权限
  减小潜在攻击面
  
  以下各部分描述如何实施这些建议。 本文还描述在识别安全威胁时如何锁定 ISA 服务器。
  
  管理更新
  
  作为安全最佳做法,我们强烈建议您始终为操作系统、ISA 服务器以及 ISA 服务器安装的其他组件(Microsoft SQL Server?2000 Desktop Engine (MSDE) 和 Office Web Components2002 (OWC))安装最新更新。 执行以下操作: ? 获取操作系统更新。 在 Windows Update 站点 上查找更新。
  
  获取 ISA 服务器更新。 在 ISA Server2004 下载中心 (http://go.microsoft.com/fwlink/?LinkId=28791) 上查找最新更新信息。
  
  在 Microsoft Security Bulletin Search (http://go.microsoft.com/fwlink/?LinkId=28687) 上搜索 Microsoft SQL Server2000 Desktop Engine (MSDE) 和 Office Web Components2002 (OWC) 的最新更新。
  
  我们还建议您定期使用 Microsoft Baseline Security Analyzer (MBSA) 分析系统安全。 您可以从 MBSA 网站 (http://go.microsoft.com/fwlink/?LinkID=28790) 下载 MBSA。
  
  物理访问
  
  确保 ISA 服务器计算机存储在物理安全位置 ,物理访问服务器存在高度安全风险。 入侵者物理访问服务器会导致未经授权访问或修改,以及安装企图绕过安全检查的硬件或软件。 为了维护安全的环境,您必须限制对 ISA 服务器计算机的物理访问。
  
  确定域成员身份
  
  许多情况下,您可能需要将 ISA 服务器计算机设置为域成员。 例如,如果您要创建一种依赖于域用户身份验证的策略,ISA 服务器应属于某个域。
  
  如果 ISA 服务器计算机保护的是您的网络的边缘,我们建议您将它安装在一个单独的林中,而不是安装在公司网络的内部林中。 这样有助于保护内部林。即使 ISA 服务器计算机所在的林受到攻击,也不会危及内部林。 为获得作为域成员的 ISA 服务器在管理和安全方面的好处,我们建议您将 ISA 服务器计算机部署在一个单独的林中,该林与公司林之间是一种单向信任关系。 (只有 Windows Server2003 域才支持单向信任。)
  
  请注意,当您将 ISA 服务器作为域成员安装时,您可以使用组策略锁定 ISA 服务器计算机,而不是通过仅配置本地策略来锁定。
  
  由于安全原因,如果您不要求 ISA 服务器计算机具有域或 Active Directory? 目录服务功能,请考虑将 ISA 服务器计算机安装在工作组中。 例如,如果 ISA 服务器保护的是网络的边缘,请考虑将计算机安装在工作组中。
  
  强化 Windows 基础结构
  
  前面已经提到,本指南假定您已应用 Windows Server2003 Security Guide 中建议的配置。 具体说来,您应该应用 Microsoft Baseline Security Policy 安全模板。 但是,不要实施 Internet 协议安全 (IPSec) 筛选或任何服务器角色策略。
  
  另外,您应该考虑 ISA 服务器功能并相应地强化操作系统。
  
  下表列出必须为 ISA 服务器启用才能使 ISA 服务器计算机功能正常的核心服务。
  
 

  ISA 服务器的服务器角色
  
  ISA 服务器计算机可能具有其他能力,即角色,具体取决于如何使用计算机。 下表列出可能的服务器角色,描述何时可能需要这些角色,并列出启用角色时应激活的服务。
  
 

  注
  
  在以下情况下,Server 服务的启动模式应为“自动”: ? 您安装 ISA Server2004:客户端安装共享。
  
  您使用“路由和远程访问管理”而不是“ISA 服务器管理”来配置虚拟专用网络 (VPN)。
  
  上表所述的其他任务或角色需要该服务。
  
  Routing and Remote Access 服务的启动模式为“手动”。 只有在启用 VPN 时,ISA 服务器才启动该服务。
  
  请注意,只有在使用“路由和远程访问管理”(而不是“ISA 服务器管理”)时,才需要 Server 服务。
  
  ISA 服务器的服务器任务
  
  服务器任务与服务器角色类似,通常与服务器角色相关,但是不属于服务器角色。 为使服务器能够执行必要的任务,根据您选择的角色,必须启用特定服务。 应禁用必要的服务。 下表列出 ISA 服务器的可能服务器任务,描述何时可能需要这些任务,并列出启用任务时应激活的服务。
  
 

  注
  
  时间客户端应用程序要求 Wireless 或 Server 服务正在运行,以保证功能正常。
  
  ISA 服务器的客户端角色
  
  服务器可以是其他服务器的客户端。 客户端角色取决于启用的角色特定服务。 下表列出 ISA 服务器的可能客户端角色,描述何时可能需要这些角色,并列出启用角色时应激活的服务。
  
 

  创建安全模板
  
  您可以使用 Microsoft 管理控制台 (MMC) 的“安全模板”管理单元创建模板。 该模板包含有关应启用的服务及其启动模式的信息。 通过使用安全模板,您可以轻松地配置安全策略,然后将其应用于每台 ISA 服务器计算机。
  
  要创建安全模板,请执行以下步骤。
  
  1. 要打开“安全模板”,请单击“开始”->“运行”,键入 mmc,然后单击“确定”。
  
  2. 在“文件”菜单中,选择“添加/删除管理单元”,然后单击“添加”按钮。
  
  3. 选定“安全模板”,单击“添加”,单击“关闭”,然后单击“确定”。
  
 

  4. 在控制台树中,单击“安全模板”节点,用鼠标右键单击您要存储新模板的文件夹,然后单击“新加模板”。
  
 

  5. 在“模板名”中,键入新安全模板的名称。
  
  6. 在“描述”中,键入新安全模板的描述,然后单击“确定”。
  
  7. 展开新模板,然后单击“系统服务”。
  
 

  8. 在详细信息窗格中,用鼠标右键单击“COM+ Event System”,然后单击“属性”。
  
  9. 选择“在模板中定义这个策略设置”,然后单击启动模式。 (对于 COM+ Event System,启动模式为“自动”。)
  
 

  10. 对下表中列出的每项服务重复步骤 8 和 9。
  

[责任编辑:Lavy]

------分隔线----------------------------