简介
本指南旨在提供有关如何强化运行 Microsoft Internet Security and Acceleration (ISA) Server2004 Standard Edition 的计算机的重要信息。 除了提供具体的实用配置建议之外,本指南还包含 ISA 服务器部署策略。
对于运行 Microsoft Windows Server2003 的计算机,本指南是 Windows Server2003 Security Guide (http://go.microsoft.com/fwlink/?LinkId=31584) 的配套指南。 具体说来,本指南中的许多过程与 Windows Server2003 Security Guide 中介绍的安全建议直接相关。 因此,在您执行本指南中叙述的过程之前,建议您首先阅读 Windows Server2003 Security Guide。
如果 ISA 服务器安装在运行 Windows? 2000 Server 的计算机上,请参阅 Windows2000 Security Hardening Guide (http://go.microsoft.com/fwlink/?LinkID=22380)。
本指南的范围
本指南的重点明确集中在有助于创建和维护安全的 ISA Server 2004 环境所需的操作上。 本指南应作为 ISA Server 2004 总体安全策略的组成部分,而不应作为创建和维护安全环境的完全参考。
具体说来,本指南详细回答以下问题:
在保证 ISA 服务器安全方面有哪些建议步骤?
在 ISA 服务器配置方面应考虑哪些安全因素?
哪些指导有助于准备安全的 ISA Server 2004 部署?
保证 ISA 服务器计算机安全
保证 ISA 服务器安全的一个重要步骤是验证 ISA 服务器计算机是否物理上安全,以及您是否采用基本的安全配置建议,包括以下各项:
管理更新
物理上保证计算机安全
确定域成员身份
强化 Windows 基础结构
管理角色和权限
减小潜在攻击面
以下各部分描述如何实施这些建议。 本文还描述在识别安全威胁时如何锁定 ISA 服务器。
管理更新
作为安全最佳做法,我们强烈建议您始终为操作系统、ISA 服务器以及 ISA 服务器安装的其他组件(Microsoft SQL Server?2000 Desktop Engine (MSDE) 和 Office Web Components2002 (OWC))安装最新更新。 执行以下操作: ? 获取操作系统更新。 在 Windows Update 站点 上查找更新。
获取 ISA 服务器更新。 在 ISA Server2004 下载中心 (http://go.microsoft.com/fwlink/?LinkId=28791) 上查找最新更新信息。
在 Microsoft Security Bulletin Search (http://go.microsoft.com/fwlink/?LinkId=28687) 上搜索 Microsoft SQL Server2000 Desktop Engine (MSDE) 和 Office Web Components2002 (OWC) 的最新更新。
我们还建议您定期使用 Microsoft Baseline Security Analyzer (MBSA) 分析系统安全。 您可以从 MBSA 网站 (http://go.microsoft.com/fwlink/?LinkID=28790) 下载 MBSA。
物理访问
确保 ISA 服务器计算机存储在物理安全位置 ,物理访问服务器存在高度安全风险。 入侵者物理访问服务器会导致未经授权访问或修改,以及安装企图绕过安全检查的硬件或软件。 为了维护安全的环境,您必须限制对 ISA 服务器计算机的物理访问。
确定域成员身份
许多情况下,您可能需要将 ISA 服务器计算机设置为域成员。 例如,如果您要创建一种依赖于域用户身份验证的策略,ISA 服务器应属于某个域。
如果 ISA 服务器计算机保护的是您的网络的边缘,我们建议您将它安装在一个单独的林中,而不是安装在公司网络的内部林中。 这样有助于保护内部林。即使 ISA 服务器计算机所在的林受到攻击,也不会危及内部林。 为获得作为域成员的 ISA 服务器在管理和安全方面的好处,我们建议您将 ISA 服务器计算机部署在一个单独的林中,该林与公司林之间是一种单向信任关系。 (只有 Windows Server2003 域才支持单向信任。)
请注意,当您将 ISA 服务器作为域成员安装时,您可以使用组策略锁定 ISA 服务器计算机,而不是通过仅配置本地策略来锁定。
由于安全原因,如果您不要求 ISA 服务器计算机具有域或 Active Directory? 目录服务功能,请考虑将 ISA 服务器计算机安装在工作组中。 例如,如果 ISA 服务器保护的是网络的边缘,请考虑将计算机安装在工作组中。
强化 Windows 基础结构
前面已经提到,本指南假定您已应用 Windows Server2003 Security Guide 中建议的配置。 具体说来,您应该应用 Microsoft Baseline Security Policy 安全模板。 但是,不要实施 Internet 协议安全 (IPSec) 筛选或任何服务器角色策略。
另外,您应该考虑 ISA 服务器功能并相应地强化操作系统。
下表列出必须为 ISA 服务器启用才能使 ISA 服务器计算机功能正常的核心服务。