首页业界动态通用技术技术文章-ISA技术文章-ISA 2006ForeFront TMG相关下载 登录论坛 @联系我们
ISA中文站 > 信息 > 技术文章-ISA > ISA-安装和规划 > ISA Server 2004 安全强化指南
现在时间是: 2018-12-16 09:11
ISA Server 2004 安全强化指南

(2005-02-21 13:12)

ISA Server 2004 安全强化指南

转载自微软技术资料
 
 
本页内容
  • 简介
  • 保证 ISA 服务器计算机安全
  • 保证配置安全
  • 保证部署安全
  • 其他资源

简介

本指南旨在提供有关如何强化运行 Microsoft Internet Security and Acceleration (ISA) Server2004 Standard Edition 的计算机的重要信息。 除了提供具体的实用配置建议之外,本指南还包含 ISA 服务器部署策略。

对于运行 Microsoft Windows Server2003 的计算机,本指南是 Windows Server2003 Security Guide (http://go.microsoft.com/fwlink/?LinkId=31584) 的配套指南。 具体说来,本指南中的许多过程与 Windows Server2003 Security Guide 中介绍的安全建议直接相关。 因此,在您执行本指南中叙述的过程之前,建议您首先阅读 Windows Server2003 Security Guide

如果 ISA 服务器安装在运行 Windows® 2000 Server 的计算机上,请参阅 Windows2000 Security Hardening Guide (http://go.microsoft.com/fwlink/?LinkID=22380)。

本指南的范围

本指南的重点明确集中在有助于创建和维护安全的 ISA Server 2004 环境所需的操作上。 本指南应作为 ISA Server 2004 总体安全策略的组成部分,而不应作为创建和维护安全环境的完全参考。

具体说来,本指南详细回答以下问题:

  • 在保证 ISA 服务器安全方面有哪些建议步骤?
  • 在 ISA 服务器配置方面应考虑哪些安全因素?
  • 哪些指导有助于准备安全的 ISA Server 2004 部署?
 

保证 ISA 服务器计算机安全

保证 ISA 服务器安全的一个重要步骤是验证 ISA 服务器计算机是否物理上安全,以及您是否采用基本的安全配置建议,包括以下各项:

  • 管理更新
  • 物理上保证计算机安全
  • 确定域成员身份
  • 强化 Windows 基础结构
  • 管理角色和权限
  • 减小潜在攻击面

以下各部分描述如何实施这些建议。 本文还描述在识别安全威胁时如何锁定 ISA 服务器。

管理更新

作为安全最佳做法,我们强烈建议您始终为操作系统、ISA 服务器以及 ISA 服务器安装的其他组件(Microsoft SQL Server™2000 Desktop Engine (MSDE) 和 Office Web Components2002 (OWC))安装最新更新。 执行以下操作:
获取操作系统更新。 在 Windows Update 站点 上查找更新。
获取 ISA 服务器更新。 在 ISA Server2004 下载中心 (http://go.microsoft.com/fwlink/?LinkId=28791) 上查找最新更新信息。
Microsoft Security Bulletin Search (http://go.microsoft.com/fwlink/?LinkId=28687) 上搜索 Microsoft SQL Server2000 Desktop Engine (MSDE) 和 Office Web Components2002 (OWC) 的最新更新。

我们还建议您定期使用 Microsoft Baseline Security Analyzer (MBSA) 分析系统安全。 您可以从 MBSA 网站 (http://go.microsoft.com/fwlink/?LinkID=28790) 下载 MBSA。

物理访问

确保 ISA 服务器计算机存储在物理安全位置 ,物理访问服务器存在高度安全风险。 入侵者物理访问服务器会导致未经授权访问或修改,以及安装企图绕过安全检查的硬件或软件。 为了维护安全的环境,您必须限制对 ISA 服务器计算机的物理访问。

确定域成员身份

许多情况下,您可能需要将 ISA 服务器计算机设置为域成员。 例如,如果您要创建一种依赖于域用户身份验证的策略,ISA 服务器应属于某个域。

如果 ISA 服务器计算机保护的是您的网络的边缘,我们建议您将它安装在一个单独的林中,而不是安装在公司网络的内部林中。 这样有助于保护内部林。即使 ISA 服务器计算机所在的林受到攻击,也不会危及内部林。 为获得作为域成员的 ISA 服务器在管理和安全方面的好处,我们建议您将 ISA 服务器计算机部署在一个单独的林中,该林与公司林之间是一种单向信任关系。 (只有 Windows Server2003 域才支持单向信任。)

请注意,当您将 ISA 服务器作为域成员安装时,您可以使用组策略锁定 ISA 服务器计算机,而不是通过仅配置本地策略来锁定。

由于安全原因,如果您不要求 ISA 服务器计算机具有域或 Active Directory® 目录服务功能,请考虑将 ISA 服务器计算机安装在工作组中。 例如,如果 ISA 服务器保护的是网络的边缘,请考虑将计算机安装在工作组中。

强化 Windows 基础结构

前面已经提到,本指南假定您已应用 Windows Server2003 Security Guide 中建议的配置。 具体说来,您应该应用 Microsoft Baseline Security Policy 安全模板。 但是,不要实施 Internet 协议安全 (IPSec) 筛选或任何服务器角色策略。

另外,您应该考虑 ISA 服务器功能并相应地强化操作系统。

下表列出必须为 ISA 服务器启用才能使 ISA 服务器计算机功能正常的核心服务。

服务名称 说明 启动模式

COM+ Event System

核心操作系统

手动

Cryptographic Services

核心操作系统(安全)

自动

Event Log

核心操作系统

自动

IPSec Services

核心操作系统(安全)

自动

Logical Disk Manager

核心操作系统(磁盘管理)

自动

Logical Disk Manager Administrative Service

核心操作系统(磁盘管理)

手动

Microsoft Firewall

为使 ISA 服务器功能正常,需要该服务

自动

Microsoft ISA Server Control

为使 ISA 服务器功能正常,需要该服务

自动

Microsoft ISA Server Job Scheduler

为使 ISA 服务器功能正常,需要该服务

自动

Microsoft ISA Server Storage

为使 ISA 服务器功能正常,需要该服务

自动

MSSQL$MSFW

对 ISA 服务器使用 MSDE 日志记录时,需要该服务

自动

Network Connections

核心操作系统(网络基础结构)

手动

NTLM Security Support Provider

核心操作系统(安全)

手动

Plug and Play

核心操作系统

自动

Protected Storage

核心操作系统(安全)

自动

Remote Access Connection Manager

为使 ISA 服务器功能正常,需要该服务

手动

Remote Procedure Call (RPC)

核心操作系统

自动

Secondary Logon

核心操作系统(安全)

自动

Security Accounts Manager

核心操作系统

自动

Server

ISA 服务器防火墙客户端共享需要该服务

自动

Smart Card

核心操作系统(安全)

手动

SQLAgent$MSFW

对 ISA 服务器使用 MSDE 日志记录时,需要该服务

手动

System Event Notification

核心操作系统

自动

Telephony

为使 ISA 服务器功能正常,需要该服务

手动

Virtual Disk Service (VDS)

核心操作系统(磁盘管理)

手动

Windows Management Instrumentation (WMI)

核心操作系统 (WMI)

自动

WMI Performance Adapter

核心操作系统 (WMI)

手动

 

ISA 服务器的服务器角色

ISA 服务器计算机可能具有其他能力,即角色,具体取决于如何使用计算机。 下表列出可能的服务器角色,描述何时可能需要这些角色,并列出启用角色时应激活的服务。

服务器角色 使用方案 需要的服务 启动模式

路由和远程访问服务器

分配了此角色的用户和组可以监控 ISA 服务器计算机和网络活动,但是不能配置特定的监控功能。

Routing and Remote Access

手动

路由和远程访问服务器

分配了此角色的用户和组可以监控 ISA 服务器计算机和网络活动,但是不能配置特定的监控功能。

Remote Access Connection Manager

手动

路由和远程访问服务器

分配了此角色的用户和组可以监控 ISA 服务器计算机和网络活动,但是不能配置特定的监控功能。

Telephony

手动

路由和远程访问服务器

分配了此角色的用户和组可以监控 ISA 服务器计算机和网络活动,但是不能配置特定的监控功能。

Workstation

自动

路由和远程访问服务器

分配了此角色的用户和组可以监控 ISA 服务器计算机和网络活动,但是不能配置特定的监控功能。

Server

自动

用于远程桌面管理的终端服务器

选择此角色可启用 ISA 服务器计算机的远程管理。

Server

自动

用于远程桌面管理的终端服务器

选择此角色可启用 ISA 服务器计算机的远程管理。

Terminal Services

手动

 

在以下情况下,Server 服务的启动模式应为“自动”:
您安装 ISA Server2004:客户端安装共享。
您使用“路由和远程访问管理”而不是“ISA 服务器管理”来配置虚拟专用网络 (VPN)。
上表所述的其他任务或角色需要该服务。

Routing and Remote Access 服务的启动模式为“手动”。 只有在启用 VPN 时,ISA 服务器才启动该服务。

请注意,只有在使用“路由和远程访问管理”(而不是“ISA 服务器管理”)时,才需要 Server 服务。



作者:Microsoft Corp.
责任编辑:风间子

[1] [2] [3] [4] [5] [6] [7] [8] 下一页>>
上一篇:ISA Server 2004 性能最佳操作
下一篇:使用 ISA Server 2004 SMTP筛选器和Message Screener
相关信息:

使用签名封锁QQ出现的新问题及对策
使用ISA Server 2004防火墙发布位于公共DMZ网段的服务器
用企业管理器管理ISA2004的MSDE日志
允许ISA 2004防火墙访问Windows更新服务
调整ISA Server 2004的性能

热点信息 TOP 10
ISA Server 2004标准版安装指南
How to :在域环境中配置ISA Server 2004
How to :使用公共IP地址来访问DMZ中的服务器
ISA Server 2004 SP2 使用指南 v 1.06
How To :配置ISA防火墙作为网络间的路由器
How to :在ISA Server 2004中配置DMZ网络
How to:在存在多条路由的内部网络中配置ISA Server 2004
ISA2004 beta2 快速安装指南
How to : 如何配置ISA Server 的网络环境 v2.0
How to :在ISA Server 2004中同时使用多条路由

搜索 SEARCH
关键字:
包含:
搜索于:


Copyright © ISACN.ORG 2004-2018 All Rights Reserved..