返回页首
保证 ISA 服务器计算机安全
保证 ISA 服务器安全的一个重要步骤是验证 ISA 服务器计算机是否物理上安全,以及您是否采用基本的安全配置建议,包括以下各项:
| • |
管理更新 |
| • |
物理上保证计算机安全 |
| • |
确定域成员身份 |
| • |
强化 Windows 基础结构 |
| • |
管理角色和权限 |
| • |
减小潜在攻击面 |
以下各部分描述如何实施这些建议。 本文还描述在识别安全威胁时如何锁定 ISA 服务器。
管理更新
作为安全最佳做法,我们强烈建议您始终为操作系统、ISA 服务器以及 ISA 服务器安装的其他组件(Microsoft SQL Server™ 2000 Desktop Engine (MSDE) 和 Office Web Components 2002 (OWC))安装最新更新。 执行以下操作:
| • |
获取操作系统更新。 在 Windows Update 站点 上查找更新。 |
| • |
获取 ISA 服务器更新。 在 ISA Server 2004 下载中心 (http://go.microsoft.com/fwlink/?LinkId=28791) 上查找最新更新信息。 |
| • |
在 Microsoft Security Bulletin Search (http://go.microsoft.com/fwlink/?LinkId=28687) 上搜索 Microsoft SQL Server 2000 Desktop Engine (MSDE) 和 Office Web Components 2002 (OWC) 的最新更新。 |
我们还建议您定期使用 Microsoft Baseline Security Analyzer (MBSA) 分析系统安全。 您可以从 MBSA 网站 (http://go.microsoft.com/fwlink/?LinkID=28790) 下载 MBSA。
物理访问
确保 ISA 服务器计算机存储在物理安全位置。 物理访问服务器存在高度安全风险。 入侵者物理访问服务器会导致未经授权访问或修改,以及安装企图绕过安全检查的硬件或软件。 为了维护安全的环境,您必须限制对 ISA 服务器计算机的物理访问。
确定域成员身份
许多情况下,您可能需要将 ISA 服务器计算机设置为域成员。 例如,如果您要创建一种依赖于域用户身份验证的策略,ISA 服务器应属于某个域。
如果 ISA 服务器计算机保护的是您的网络的边缘,我们建议您将它安装在一个单独的林中,而不是安装在公司网络的内部林中。 这样有助于保护内部林。即使 ISA 服务器计算机所在的林受到攻击,也不会危及内部林。 为获得作为域成员的 ISA 服务器在管理和安全方面的好处,我们建议您将 ISA 服务器计算机部署在一个单独的林中,该林与公司林之间是一种单向信任关系。 (只有 Windows Server 2003 域才支持单向信任。)
请注意,当您将 ISA 服务器作为域成员安装时,您可以使用组策略锁定 ISA 服务器计算机,而不是通过仅配置本地策略来锁定。
由于安全原因,如果您不要求 ISA 服务器计算机具有域或 Active Directory® 目录服务功能,请考虑将 ISA 服务器计算机安装在工作组中。 例如,如果 ISA 服务器保护的是网络的边缘,请考虑将计算机安装在工作组中。
前面已经提到,本指南假定您已应用 Windows Server 2003 Security Guide 中建议的配置。 具体说来,您应该应用 Microsoft Baseline Security Policy 安全模板。 但是,不要实施 Internet 协议安全 (IPSec) 筛选或任何服务器角色策略。
另外,您应该考虑 ISA 服务器功能并相应地强化操作系统。
下表列出必须为 ISA 服务器启用才能使 ISA 服务器计算机功能正常的核心服务。
|
COM+ Event System |
核心操作系统 |
手动 |
|
Cryptographic Services |
核心操作系统(安全) |
自动 |
|
Event Log |
核心操作系统 |
自动 |
|
IPSec Services |
核心操作系统(安全) |
自动 |
|
Logical Disk Manager |
核心操作系统(磁盘管理) |
自动 |
|
Logical Disk Manager Administrative Service |
核心操作系统(磁盘管理) |
手动 |
|
Microsoft Firewall |
为使 ISA 服务器功能正常,需要该服务 |
自动 |
|
Microsoft ISA Server Control |
为使 ISA 服务器功能正常,需要该服务 |
自动 |
|
Microsoft ISA Server Job Scheduler |
为使 ISA 服务器功能正常,需要该服务 |
自动 |
|
Microsoft ISA Server Storage |
为使 ISA 服务器功能正常,需要该服务 |
自动 |
|
MSSQL$MSFW |
对 ISA 服务器使用 MSDE 日志记录时,需要该服务 |
自动 |
|
Network Connections |
核心操作系统(网络基础结构) |
手动 |
|
NTLM Security Support Provider |
核心操作系统(安全) |
手动 |
|
Plug and Play |
核心操作系统 |
自动 |
|
Protected Storage |
核心操作系统(安全) |
自动 |
|
Remote Access Connection Manager |
为使 ISA 服务器功能正常,需要该服务 |
手动 |
|
Remote Procedure Call (RPC) |
核心操作系统 |
自动 |
|
Secondary Logon |
核心操作系统(安全) |
自动 |
|
Security Accounts Manager |
核心操作系统 |
自动 |
|
Server |
ISA 服务器防火墙客户端共享需要该服务 |
自动 |
|
Smart Card |
核心操作系统(安全) |
手动 |
|
SQLAgent$MSFW |
对 ISA 服务器使用 MSDE 日志记录时,需要该服务 |
手动 |
|
System Event Notification |
核心操作系统 |
自动 |
|
Telephony |
为使 ISA 服务器功能正常,需要该服务 |
手动 |
|
Virtual Disk Service (VDS) |
核心操作系统(磁盘管理) |
手动 |
|
Windows Management Instrumentation (WMI) |
核心操作系统 (WMI) |
自动 |
|
WMI Performance Adapter |
核心操作系统 (WMI) |
手动 |
ISA 服务器的服务器角色
ISA 服务器计算机可能具有其他能力,即角色,具体取决于如何使用计算机。 下表列出可能的服务器角色,描述何时可能需要这些角色,并列出启用角色时应激活的服务。
|
路由和远程访问服务器 |
分配了此角色的用户和组可以监控 ISA 服务器计算机和网络活动,但是不能配置特定的监控功能。 |
Routing and Remote Access |
手动 |
|
路由和远程访问服务器 |
分配了此角色的用户和组可以监控 ISA 服务器计算机和网络活动,但是不能配置特定的监控功能。 |
Remote Access Connection Manager |
手动 |
|
路由和远程访问服务器 |
分配了此角色的用户和组可以监控 ISA 服务器计算机和网络活动,但是不能配置特定的监控功能。 |
Telephony |
手动 |
|
路由和远程访问服务器 |
分配了此角色的用户和组可以监控 ISA 服务器计算机和网络活动,但是不能配置特定的监控功能。 |
Workstation |
自动 |
|
路由和远程访问服务器 |
分配了此角色的用户和组可以监控 ISA 服务器计算机和网络活动,但是不能配置特定的监控功能。 |
Server |
自动 |
|
用于远程桌面管理的终端服务器 |
选择此角色可启用 ISA 服务器计算机的远程管理。 |
Server |
自动 |
|
用于远程桌面管理的终端服务器 |
选择此角色可启用 ISA 服务器计算机的远程管理。 |
Terminal Services |
手动 |
注
在以下情况下,Server 服务的启动模式应为“自动”:
| • |
您安装 ISA Server 2004:客户端安装共享。 |
| • |
您使用“路由和远程访问管理”而不是“ISA 服务器管理”来配置虚拟专用网络 (VPN)。 |
| • |
上表所述的其他任务或角色需要该服务。
Routing and Remote Access 服务的启动模式为“手动”。 只有在启用 VPN 时,ISA 服务器才启动该服务。 |
请注意,只有在使用“路由和远程访问管理”(而不是“ISA 服务器管理”)时,才需要 Server 服务。
ISA 服务器的服务器任务
服务器任务与服务器角色类似,通常与服务器角色相关,但是不属于服务器角色。 为使服务器能够执行必要的任务,根据您选择的角色,必须启用特定服务。 应禁用必要的服务。 下表列出 ISA 服务器的可能服务器任务,描述何时可能需要这些任务,并列出启用任务时应激活的服务。
|
使用 Windows Installer 本地安装应用程序 |
要使用 Microsoft Installer Service 安装、卸载或修复应用程序,需要该服务 |
Windows Installer |
手动 |
|
备份 |
如果在 ISA 服务器计算机上使用 NTBackup 或其他备份程序,需要执行该任务。 |
Microsoft Software Shadow Copy Provider |
手动 |
|
备份 |
如果在 ISA 服务器计算机上使用 NTBackup 或其他备份程序,需要执行该任务。 |
Volume Shadow Copy |
手动 |
|
备份 |
如果在 ISA 服务器计算机上使用 NTBackup 或其他备份程序,需要执行该任务。 |
Removable Storage service |
手动 |
|
错误报告 |
用于启用错误报告,从而通过向 Microsoft 报告严重错误以便进行分析,有助于提高 Windows 可靠性。 |
Error Reporting Service |
自动 |
|
帮助和支持 |
允许收集计算机历史数据,以便进行 Microsoft 产品支持服务事件升级。 |
Help and Support |
自动 |
|
ISA Server 2004:客户端安装共享 |
要允许计算机连接至 ISA 服务器计算机上的“防火墙客户端共享”并从其中安装,需要执行该任务。 |
Server |
自动 |
|
ISA Server 2004:MSDE 日志记录 |
要允许使用 MSDE 数据库进行日志记录,需要执行该任务。 如果不启用相应的服务,虽然您可以记录至 SQL 数据库或文件, 但是不能够在脱机模式下使用日志查看器 |
SQLAgent$MSFW |
手动 |
|
ISA Server 2004:MSDE 日志记录 |
要允许使用 MSDE 数据库进行日志记录,需要执行该任务。 如果不启用相应的服务,虽然您可以记录至 SQL 数据库或文件, 但是不能够在脱机模式下使用日志查看器 |
MSSQL$MSFW |
自动 |
|
性能监视器 – 后台收集 |
允许在 ISA 服务器计算机上后台收集性能数据。 |
Performance Logs and Alerts |
自动 |
|
打印至远程计算机 |
允许从 ISA 服务器计算机打印。 |
Print Spooler |
自动 |
|
打印至远程计算机 |
允许从 ISA 服务器计算机打印。 |
TCP/IP NetBIOS Helper |
自动 |
|
打印至远程计算机 |
允许从 ISA 服务器计算机打印。 |
Workstation |
自动 |
|
远程 Windows 管理 |
允许远程管理 Windows 服务器(ISA 服务器的远程管理不需要执行该任务)。 |
Server |
自动 |
|
远程 Windows 管理 |
允许远程管理 Windows 服务器(ISA 服务器的远程管理不需要执行该任务)。 |
Remote Registry |
自动 |
|
时间同步 |
允许 ISA 服务器计算机与 NTP 服务器联系以使其时钟同步。 从安全角度看,准确的时钟对事件审核及其他安全协议很重要。 |
Windows Time |
自动 |
|
远程协助
|
允许在此计算机上使用“远程协助”功能。 |
Help and Support |
自动 |
|
远程协助
|
允许在此计算机上使用“远程协助”功能。 |
Remote Desktop Help Session Manager |
手动 |
|
远程协助
|
允许在此计算机上使用“远程协助”功能。 |
Terminal Services |
手动 |
注
时间客户端应用程序要求 Wireless 或 Server 服务正在运行,以保证功能正常。
ISA 服务器的客户端角色
服务器可以是其他服务器的客户端。 客户端角色取决于启用的角色特定服务。 下表列出 ISA 服务器的可能客户端角色,描述何时可能需要这些角色,并列出启用角色时应激活的服务。
|
自动更新客户端 |
要允许通过 Microsoft Windows Update 自动检测和更新,选择此角色。 |
Automatic Updates |
自动 |
|
自动更新客户端 |
要允许通过 Microsoft Windows Update 自动检测和更新,选择此角色。 |
Background Intelligent Transfer Service |
手动 |
|
DHCP 客户端 |
如果 ISA 服务器计算机自动从 DHCP 服务器接收其 IP 地址,选择此角色。 |
DHCP Client |
自动 |
|
DNS 客户端 |
如果 ISA 服务器计算机需要从其他服务器接收名称解析信息,选择此角色。 |
DNS Client |
自动 |
|
域成员 |
如果 ISA 服务器计算机属于某个域,选择此角色。 |
Network location awareness (NLA) |
手动 |
|
域成员 |
如果 ISA 服务器计算机属于某个域,选择此角色。 |
Net logon |
自动 |
|
域成员 |
如果 ISA 服务器计算机属于某个域,选择此角色。 |
Windows Time |
自动 |
|
动态 DNS 注册 |
要允许 ISA 服务器计算机自动向 DNS Server 注册其名称和地址信息。 |
DHCP Client |
自动 |
|
Microsoft 网络客户端 |
如果 ISA 服务器计算机必须连接至其他 Windows 客户端,选择此角色。 如果不选择此角色,ISA 服务器计算机将不能够访问远程计算机上的共享(例如,发布报表)。 |
TCP/IP NetBIOS Helper
|
自动 |
|
Microsoft 网络客户端 |
如果 ISA 服务器计算机必须连接至其他 Windows 客户端,选择此角色。 如果不选择此角色,ISA 服务器计算机将不能够访问远程计算机上的共享(例如,发布报表)。 |
Workstation |
自动 |
|
WINS 客户端 |
如果 ISA 服务器计算机使用基于 WINS 的名称解析,选择此角色。 |
TCP/IP NetBIOS Helper
|
自动 |
您可以使用 Microsoft 管理控制台 (MMC) 的“安全模板”管理单元创建模板。 该模板包含有关应启用的服务及其启动模式的信息。 通过使用安全模板,您可以轻松地配置安全策略,然后将其应用于每台 ISA 服务器计算机。
要创建安全模板,请执行以下步骤。
|
1. |
要打开“安全模板”,请单击“开始”->“运行”,键入 mmc,然后单击“确定”。 |
|
2. |
在“文件”菜单中,选择“添加/删除管理单元”,然后单击“添加”按钮。 |
|
3. |
选定“安全模板”,单击“添加”,单击“关闭”,然后单击“确定”。
|
|
4. |
在控制台树中,单击“安全模板”节点,用鼠标右键单击您要存储新模板的文件夹,然后单击“新加模板”。
|
|
5. |
在“模板名”中,键入新安全模板的名称。 |
|
6. |
在“描述”中,键入新安全模板的描述,然后单击“确定”。 |
|
7. |
展开新模板,然后单击“系统服务”。
查看大图
|
|
8. |
在详细信息窗格中,用鼠标右键单击“COM+ Event System”,然后单击“属性”。 |
|
9. |
选择“在模板中定义这个策略设置”,然后单击启动模式。 (对于 COM+ Event System,启动模式为“自动”。)
|
|
10. |
对下表中列出的每项服务重复步骤 8 和 9。
|
Automatic Updates |
wuauserv |
自动 |
|
Background Intelligent Transfer Service |
BITS |
手动 |
|
COM+ Event System |
EventSystem |
手动 |
|
Cryptographic Services |
CryptSvc |
自动 |
|
DHCP Client |
Dhcp |
自动 |
|
DNS Client |
Dnscache |
自动 |
|
Error Reporting Service |
ERSvc |
自动 |
|
Event Log |
Eventlog |
自动 |
|
Help and Support |
Helpsvc |
自动 |
|
IPSec Services |
PolicyAgent |
自动 |
|
Logical Disk Manager |
dmserver |
自动 |
|
Logical Disk Manager Administrative Service |
dmadmin |
手动 |
|
Microsoft Firewall |
Fwsrv |
自动 |
|
Microsoft ISA Server Control |
ISACtrl |
自动 |
|
Microsoft ISA Server Job Scheduler |
ISASched |
自动 |
|
Microsoft ISA Server Storage |
ISASTG |
自动 |
|
Microsoft Software Shadow Copy Provider |
SWPRV |
手动 |
|
MSSQL$MSFW |
MSSQL$MSFW |
自动 |
|
Network Connections |
Netman |
手动 |
|
Network Location Awareness (NLA) |
NLA |
手动 |
|
NTLM Security Support Provider |
NtLmSsp |
手动 |
|
Performance Logs and Alerts |
SysmonLog |
自动 |
|
Plug and Play |
PlugPlay |
自动 |
|
Protected Storage |
ProtectedStorage |
自动 |
|
Remote Access Connection Manager |
RasMan |
手动 |
|
Remote Desktop Help Session Manager |
RDSessMgr |
手动 |
|
Remote Procedure Call (RPC) |
RpcSs |
自动 |
|
Removable Storage |
NtmsSvc |
手动 |
|
Routing and Remote Access |
None |
手动 |
|
Secondary Logon |
seclogon |
自动 |
|
Security Accounts Manager |
SamSs |
自动 |
|
Server |
lanmanserver |
手动 |
|
Smart Card |
SCardSvr |
手动 |
|
System Event Notification |
SENS |
自动 |
|
TCP/IP NetBIOS Helper |
LmHosts |
自动 |
|
Telephony |
TapiSrv |
手动 |
|
Terminal Services |
TermService |
手动 |
|
Virtual Disk Service (VDS) |
VDS |
手动 |
|
Volume Shadow Copy |
VSS |
手动 |
|
Windows Installer |
MSIServer |
手动 |
|
Windows Management Instrumentation |
winmgmt |
自动 |
|
Windows Time |
W32time |
自动 |
|
Wireless Configuration |
WZCSVC |
自动 |
|
WMI Performance Adapter |
WmiApSrv |
手动 |
|
Workstation |
lanmanworkstation |
自动 |
|
注
在以下情况下,Server 服务的启动模式应为“自动”:
| • |
您安装 ISA Server 2004:客户端安装共享。 |
| • |
您使用“路由和远程访问管理”而不是“ISA 服务器管理”来配置 VPN。 |
| • |
上表所述的其他任务或角色需要该服务。
Routing and Remote Access 服务的启动模式为“手动”。 只有在启用 VPN 时,ISA 服务器才启动该服务。
时间客户端应用程序要求 Wireless 或 Server 服务正在运行,以保证功能正常。 |
要将新模板应用于 ISA 服务器计算机,请执行以下步骤。
|
1. |
要打开“安全模板”,请单击“开始”->“运行”,键入 mmc,然后单击“确定”。 |
|
2. |
在“文件”菜单中,选择“添加/删除管理单元”,然后单击“添加”按钮。 |
|
3. |
选择“安全配置和分析”,单击“添加”,单击“关闭”,然后单击“确定”。
|
|
4. |
在控制台树中,单击“安全配置和分析”。 |
|
5. |
用鼠标右键单击“安全配置和分析”,然后选择“打开数据库”。 |
|
6. |
键入一个新的数据库名称,然后单击“打开”。 |
|
7. |
选择要导入的安全模板,然后单击“打开”。 选择您先前创建的安全模板。
|
|
8. |
用鼠标右键单击“安全配置和分析”,然后单击“立即配置计算机”。 |
管理权限和角色
ISA 服务器控制对您的网络的访问,因此在为 ISA 服务器计算机及相关组件分配权限时应特别小心。 谨慎地确定有权登录 ISA 服务器计算机的人员。 然后相应地配置登录权限。
ISA 服务器允许您对用户和组应用管理角色。 确定允许哪些组配置或查看 ISA 服务器策略及监控信息之后,可以适当地分配角色。
以下各部分详述分配权限及管理角色时的考虑事项。
管理角色
对于您的环境中的任何应用,当您为 ISA 服务器定义权限时,应考虑您的 ISA 服务器管理员的角色并仅为他们分配必要的权限。 为简化流程,ISA 服务器使用管理角色。 您可以使用基于角色的管理,将您的 ISA 服务器管理员组织成独立的预定角色,每个角色有自己的一组任务。 当您为用户分配角色时,实际上是允许用户具有执行特定任务的权限。 具有一个角色(如“ISA 服务器完全权限管理员”)的用户可以执行具有另一个角色(如“ISA 服务器基本监视”)的用户不能执行的特定 ISA 服务器任务。 基于角色的管理涉及 Windows 用户和组。 这些安全权限、组成员身份和用户权限用于区分具有不同角色的不同用户。 下表描述 ISA 服务器角色。
|
ISA 服务器基本监视 |
分配了此角色的用户和组可以监控 ISA 服务器计算机和网络活动,但是不能配置特定的监控功能。 |
|
ISA 服务器扩展监视 |
分配了此角色的用户和组可以执行全部监控任务,包括日志配置、警报定义配置以及“ISA 服务器基本监视”角色可执行的全部监控功能。 |
|
ISA 服务器完全权限管理员 |
分配了此角色的用户和组可以执行任何 ISA 服务器任务,包括规则配置、应用网络模板和监控。 |
这些 ISA 服务器管理组的成员可以是任何 Windows 用户。 不需要特权或 Windows 权限。 唯一的例外是,要使用 perfmon 或 ISA 服务器仪表板查看 ISA 服务器性能计数器,用户必须是 Windows Server 2003 Performance Monitors User 用户组的成员。
请注意,具有“ISA 服务器扩展监视”权限的管理员可以导出和导入所有配置信息,包括机密配置信息。 这意味着他们可以将机密信息解密。
要分配管理角色,请执行以下步骤。
|
1. |
单击“开始”,指向“所有程序”,指向 Microsoft ISA Server,然后单击“ISA 服务器管理”。 |
|
2. |
在“ISA 服务器管理”的控制台树中,单击 Microsoft ISA Server 2004,然后单击 server_name。 |
|
3. |
在“任务”选项卡上,单击“定义管理角色”。
查看大图
|
|
4. |
在“ISA 服务器管理委派向导”的“欢迎”页上,单击“下一步”。 |
|
5. |
单击“添加”。 |
|
6. |
在“组(推荐)或用户”中,键入将为其分配特定管理权限的组或用户的名称。 |
|
7. |
在“角色”中,选择适用的管理角色。 |
角色与活动
每个 ISA 服务器角色具有关联的一系列特定 ISA 服务器任务。 下表列出某些 ISA 服务器管理任务以及执行这些任务的角色。
|
查看仪表板、警报、连接性、会话和服务 |
X |
X |
X |
|
确认警报 |
X |
X |
X |
|
查看日志信息 |
|
X |
X |
|
创建警报定义 |
|
X |
X |
|
创建报表 |
|
X |
X |
|
停止和启动会话和服务 |
|
X |
X |
|
查看防火墙策略 |
|
X |
X |
|
配置防火墙策略 |
|
|
X |
|
配置缓存 |
|
|
X |
|
配置 VPN |
|
|
X |
权限
为 ISA 服务器管理员配置权限时应用最少特权原则,如下一部分所述。 谨慎地确定有权登录 ISA 服务器计算机的人员,避免将访问权分配给对服务器正常运行没有重要影响的人员。
最少特权
应用最少特权原则,用户具有执行特定任务所需的最少特权。 这样有助于确保在某个用户帐户受到危害时,由于该用户的特权有限,产生的影响最小。
保持 Administrators 组及其他用户组尽可能小。 例如,属于 ISA 服务器计算机上的 Administrators 组的用户可以执行 ISA 服务器计算机上的任何任务。
请注意,Administrators 组中的用户隐式分配了“ISA 服务器完全权限管理员”角色,意味着他们也具有配置和监控 ISA 服务器的完全权限。 有关角色的详细信息,请参阅“管理角色”部分。
登录和配置
当您登录至 ISA 服务器计算机时,请使用执行任务所需的最少特权帐户登录。 例如,要配置规则,应以 ISA 服务器管理员的身份登录。 但是,如果仅要查看报表,请使用较少特权帐户登录。
一般说来,要执行例行的非管理任务,请使用具有限制权限的帐户;只有在执行特定的管理任务时,才使用具有更多权限的帐户。
来宾帐户
建议在 ISA 服务器计算机上不要启用来宾帐户。
用户登录至 ISA 服务器计算机时,操作系统检查凭据是否与已知用户匹配。 如果凭据与已知用户不匹配,用户是作为来宾登录的,具有与来宾帐户相同的特权。
ISA 服务器将来宾帐户视为默认的“所有授权用户”用户集。
随机访问控制列表
执行新安装后, ISA 服务器随机访问控制列表 (DACL) 适当地进行配置。 另外,当您修改管理角色(有关详细信息,请参阅“管理角色”部分)时,以及重新启动 ISA Server Control Service (isactrl) 时,ISA 服务器对 DACL 适当地进行重新配置。
警告
ISA 服务器定期重新配置 DACL,因此不应使用“安全和配置分析”工具对 ISA 服务器对象按文件配置 DACL。 否则,组策略设置的 DACL 与 ISA 服务器尝试配置的 DACL 之间可能存在冲突。
不要修改 ISA 服务器设置的 DACL。 请注意, ISA 服务器不为以下列表中的对象设置 DACL。 应谨慎地为以下列表中的对象设置 DACL,以便仅为受信任的特定用户授予权限。
| • |
报表的文件夹(当您选择发布报表时)。 |
| • |
导出或备份配置时创建的配置文件。 |
| • |
备份到其他位置的日志文件。 |
确保谨慎地设置 DACL,以便仅为受信任的用户和组授予权限。 另外,确保对 ISA 服务器间接使用的对象创建严格的 DACL。 例如,创建 ISA 服务器将使用的 ODBC 连接时,务必保持数据源名称 (DSN) 安全。
为 ISA 服务器计算机上运行的所有应用程序配置严格的 DACL。 确保为文件系统和注册表中的关联数据配置严格的 DACL。
提示
建议不要将关键数据(如可执行文件和日志文件)保存至 FAT32 分区。 这是因为不能为 FAT32 分区配置 DACL。
减小攻击面
为加强 ISA 服务器计算机安全,请应用“减小攻击面”原则。 为减小攻击面,请遵循以下准则:
| • |
不要在 ISA 服务器计算机上运行不必要的应用程序和服务。 禁用对当前任务没有重要影响的服务和功能,如“强化 Windows 基础结构”部分所述。 |
| • |
禁用您不使用的 ISA 服务器功能。 例如,如果您不需要缓存,请禁用缓存。 如果您不需要 ISA 服务器的 VPN 功能,请禁用 VPN 客户端访问。 |
| • |
确定对您如何管理网络没有重要影响的服务和任务,然后禁用关联的系统策略规则。 |
| • |
使系统策略规则的适用性仅限于必需的网络实体。 例如,默认情况下启用的 Active Directory 系统策略配置组适用于内部网络上的所有计算机。 您可以加以限制,使之仅适用于内部网络上某个特定的 Active Directory 组。 |
以下各部分描述如何减小 ISA 服务器计算机的攻击面。
禁用 ISA 服务器功能
根据您的特定网络需求,您可能并不需要 ISA 服务器附带的丰富功能。 您应仔细考虑您的特定需求,确定是否需要以下功能:
如果您不需要某项特定功能,请禁用该功能。
VPN 客户端访问
默认情况下禁用 VPN 客户端访问。 这意味着,称为“允许 VPN 客户端到 ISA 服务器的通讯”的相关系统策略规则也被禁用。 即使 VPN 客户端访问被禁用,称为“VPN 客户端到内部网络”的默认网络规则仍启用。 如果先前启用了 VPN 客户端访问,现在不需要,您可以禁用它。
要验证 VPN 客户端访问是否被禁用,请执行以下步骤。
|
1. |
单击“开始”,指向“所有程序”,指向 Microsoft ISA Server,然后单击“ISA 服务器管理”。 |
|
2. |
在“ISA 服务器管理”的控制台树中,单击 Microsoft ISA Server 2004,单击 server_name,然后单击“虚拟专用网络 (VPN)”。 |
|
3. |
在详细信息窗格中,单击“VPN 客户端”选项卡,然后单击“验证启用了 VPN 客户端访问”。
查看大图
|
|
4. |
在“常规”选项卡上,验证未选中“启用 VPN 客户端访问”。
|
缓存
默认情况下禁用缓存。 这意味着,所有相关的缓存功能(包括预定内容下载)均被禁用。 如果先前为 ISA 服务器启用了缓存,您可以禁用它。
要验证缓存是否被禁用,请执行以下步骤。
|
1. |
单击“开始”,指向“所有程序”,指向 Microsoft ISA Server,然后单击“ISA 服务器管理”。 |
|
2. |
在“ISA 服务器管理”的控制台树中,单击 Microsoft ISA Server 2004 -> server_name ->“配置” ->“缓存”。 |
|
3. |
在详细信息窗格,单击“缓存驱动器”选项卡。 |
|
4. |
在“任务”选项卡上,单击“禁用缓存”。
注
如果禁用缓存,将不显示该选项。
查看大图
|
插件
安装 ISA 服务器时,同时会安装一个包含应用程序筛选器和 Web 筛选器的套件。 随后可以安装由第三方供应商提供的附加插件。 请遵循以下准则:
| • |
不要安装您不需要的应用程序筛选器或 Web 筛选器。 |
| • |
永不从不受信任的源安装筛选器。 |
| • |
将与插件关联的 DLL 保存在受保护的库(例如,%ProgramFiles%\Microsoft ISA Server)中。 确保为该库配置严格的 ACL。 |
| • |
禁用您不需要的应用程序筛选器和 Web 筛选器。 |
要禁用插件,请执行以上步骤。
|
1. |
单击“开始”,指向“所有程序”,指向 Microsoft ISA Server,然后单击“ISA 服务器管理”。 |
|
2. |
在“ISA 服务器管理”的控制台树中,单击 Microsoft ISA Server 2004 -> server_name ->“配置” ->“插件”。 |
|
3. |
在详细信息窗格中,选择适用的插件。 |
|
4. |
在“任务”选项卡上,单击“禁用所选筛选器”。 |
ISA 服务器包含默认的系统策略配置,允许使用网络基础结构正常运行所需的常用服务。
一般从安全角度考虑,我们强烈建议您配置系统策略,以便禁止访问管理网络不需要的服务。 安装之后,请仔细检查配置的系统策略规则。 同样,执行主要管理任务之后,请再次检查系统策略配置。
以下各部分描述系统策略规则启用的服务。
站长资讯通告:
