ISA Server 2004 安全强化指南二(图)

执子之手

　　注 　　 　　在以下情况下，Server 服务的启动模式应为“自动”：　您安装 ISA Server2004：客户端安装共享。 　　 　　您使用“路由和远程访问管理”而不是“ISA 服务器管理”来配置 VPN。 　　 　　上表所述的其他任务或角色需要该服务。 　　 　　Routing and Remote Access 服务的启动模式为“手动”。 只有在启用 VPN 时，ISA 服务器才启动该服务。 　　 　　时间客户端应用程序要求 Wireless 或 Server 服务正在运行，以保证功能正常。 　　 　　要将新模板应用于 ISA 服务器计算机，请执行以下步骤。 1. 要打开“安全模板”，请单击“开始”->“运行”，键入 mmc，然后单击“确定”。 　　 　　2. 在“文件”菜单中，选择“添加/删除管理单元”，然后单击“添加”按钮。 　　 　　3. 选择“安全配置和分析”，单击“添加”，单击“关闭”，然后单击“确定”。 　　　

登录/注册后可看大图

　　4. 在控制台树中，单击“安全配置和分析”。 　　 　　5. 用鼠标右键单击“安全配置和分析”，然后选择“打开数据库”。 　　 　　6. 键入一个新的数据库名称，然后单击“打开”。 　　 　　7. 选择要导入的安全模板，然后单击“打开”。 选择您先前创建的安全模板。 　　　

登录/注册后可看大图

　　8. 用鼠标右键单击“安全配置和分析”，然后单击“立即配置计算机”。 　　 　　管理权限和角色 　　 　　ISA 服务器控制对您的网络的访问，因此在为 ISA 服务器计算机及相关组件分配权限时应特别小心。 谨慎地确定有权登录 ISA 服务器计算机的人员。 然后相应地配置登录权限。 　　 　　ISA 服务器允许您对用户和组应用管理角色。 确定允许哪些组配置或查看 ISA 服务器策略及监控信息之后，可以适当地分配角色。 　　 　　以下各部分详述分配权限及管理角色时的考虑事项。 　　 　　管理角色 　　 　　对于您的环境中的任何应用，当您为 ISA 服务器定义权限时，应考虑您的 ISA 服务器管理员的角色并仅为他们分配必要的权限。 为简化流程，ISA 服务器使用管理角色。 您可以使用基于角色的管理，将您的 ISA 服务器管理员组织成独立的预定角色，每个角色有自己的一组任务。 当您为用户分配角色时，实际上是允许用户具有执行特定任务的权限。 具有一个角色（如“ISA 服务器完全权限管理员”）的用户可以执行具有另一个角色（如“ISA 服务器基本监视”）的用户不能执行的特定 ISA 服务器任务。 基于角色的管理涉及 Windows 用户和组。 这些安全权限、组成员身份和用户权限用于区分具有不同角色的不同用户。 下表描述 ISA 服务器角色。 　　　

登录/注册后可看大图

　　这些 ISA 服务器管理组的成员可以是任何 Windows 用户。 不需要特权或 Windows 权限。 唯一的例外是，要使用 perfmon 或 ISA 服务器仪表板查看 ISA 服务器性能计数器，用户必须是 Windows Server2003 Performance Monitors User 用户组的成员。 　　 　　请注意，具有“ISA 服务器扩展监视”权限的管理员可以导出和导入所有配置信息，包括机密配置信息。 这意味着他们可以将机密信息解密。 　　 　　要分配管理角色，请执行以下步骤。 1. 单击“开始”，指向“所有程序”，指向 Microsoft ISA Server，然后单击“ISA 服务器管理”。 　　 　　2. 在“ISA 服务器管理”的控制台树中，单击 Microsoft ISA Server2004，然后单击 server_name。 　　 　　3. 在“任务”选项卡上，单击“定义管理角色”。 　　　

登录/注册后可看大图

　　4. 在“ISA 服务器管理委派向导”的“欢迎”页上，单击“下一步”。 　　 　　5. 单击“添加”。 　　 　　6. 在“组（推荐）或用户”中，键入将为其分配特定管理权限的组或用户的名称。 　　 　　7. 在“角色”中，选择适用的管理角色。 　　 　　角色与活动 　　 　　每个 ISA 服务器角色具有关联的一系列特定 ISA 服务器任务。 下表列出某些 ISA 服务器管理任务以及执行这些任务的角色。 　　　

登录/注册后可看大图

　　权限 　　 　　为 ISA 服务器管理员配置权限时应用最少特权原则，如下一部分所述。 谨慎地确定有权登录 ISA 服务器计算机的人员，避免将访问权分配给对服务器正常运行没有重要影响的人员。 　　 　　最少特权 　　 　　应用最少特权原则，用户具有执行特定任务所需的最少特权。 这样有助于确保在某个用户帐户受到危害时，由于该用户的特权有限，产生的影响最小。 　　 　　保持 Administrators 组及其他用户组尽可能小。 例如，属于 ISA 服务器计算机上的 Administrators 组的用户可以执行 ISA 服务器计算机上的任何任务。 　　 　　请注意，Administrators 组中的用户隐式分配了“ISA 服务器完全权限管理员”角色，意味着他们也具有配置和监控 ISA 服务器的完全权限。 有关角色的详细信息，请参阅“管理角色”部分。 　　 　　登录和配置 　　 　　当您登录至 ISA 服务器计算机时，请使用执行任务所需的最少特权帐户登录。 例如，要配置规则，应以 ISA 服务器管理员的身份登录。 但是，如果仅要查看报表，请使用较少特权帐户登录。 　　 　　一般说来，要执行例行的非管理任务，请使用具有限制权限的帐户；只有在执行特定的管理任务时，才使用具有更多权限的帐户。 　　 　　来宾帐户 　　 　　建议在 ISA 服务器计算机上不要启用来宾帐户。 　　 　　用户登录至 ISA 服务器计算机时，操作系统检查凭据是否与已知用户匹配。 如果凭据与已知用户不匹配，用户是作为来宾登录的，具有与来宾帐户相同的特权。 　　 　　ISA 服务器将来宾帐户视为默认的“所有授权用户”用户集。 　　 　　随机访问控制列表 　　 　　执行新安装后， ISA 服务器随机访问控制列表 (DACL) 适当地进行配置。 另外，当您修改管理角色（有关详细信息，请参阅“管理角色”部分）时，以及重新启动 ISA Server Control Service (isactrl) 时，ISA 服务器对 DACL 适当地进行重新配置。 　　 　　警告 　　 　　ISA 服务器定期重新配置 DACL，因此不应使用“安全和配置分析”工具对 ISA 服务器对象按文件配置 DACL。 否则，组策略设置的 DACL 与 ISA 服务器尝试配置的 DACL 之间可能存在冲突。 　　 　　不要修改 ISA 服务器设置的 DACL。 请注意， ISA 服务器不为以下列表中的对象设置 DACL。 应谨慎地为以下列表中的对象设置 DACL，以便仅为受信任的特定用户授予权限。 报表的文件夹（当您选择发布报表时）。 　　 　　导出或备份配置时创建的配置文件。 　　 　　备份到其他位置的日志文件。 　　 　　确保谨慎地设置 DACL，以便仅为受信任的用户和组授予权限。 另外，确保对 ISA 服务器间接使用的对象创建严格的 DACL。 例如，创建 ISA 服务器将使用的 ODBC 连接时，务必保持数据源名称 (DSN) 安全。 　　 　　为 ISA 服务器计算机上运行的所有应用程序配置严格的 DACL。 确保为文件系统和注册表中的关联数据配置严格的 DACL。 　　 　　提示 　　 　　建议不要将关键数据（如可执行文件和日志文件）保存至 FAT32 分区。 这是因为不能为 FAT32 分区配置 DACL。 　　 　　减小攻击面 　　 　　为加强 ISA 服务器计算机安全，请应用“减小攻击面”原则。 为减小攻击面，请遵循以下准则： 　　不要在 ISA 服务器计算机上运行不必要的应用程序和服务。 禁用对当前任务没有重要影响的服务和功能，如“强化 Windows 基础结构”部分所述。 　　 　　禁用您不使用的 ISA 服务器功能。 例如，如果您不需要缓存，请禁用缓存。 如果您不需要 ISA 服务器的 VPN 功能，请禁用 VPN 客户端访问。 　　 　　确定对您如何管理网络没有重要影响的服务和任务，然后禁用关联的系统策略规则。 　　 　　使系统策略规则的适用性仅限于必需的网络实体。 例如，默认情况下启用的 Active Directory 系统策略配置组适用于内部网络上的所有计算机。 您可以加以限制，使之仅适用于内部网络上某个特定的 Active Directory 组。 　　 　　以下各部分描述如何减小 ISA 服务器计算机的攻击面。 　　 　　禁用 ISA 服务器功能 　　 　　根据您的特定网络需求，您可能并不需要 ISA 服务器附带的丰富功能。 您应仔细考虑您的特定需求，确定是否需要以下功能： VPN 客户端访问 　　 　　缓存 　　 　　插件 　　 　　如果您不需要某项特定功能，请禁用该功能。 　　 　　VPN 客户端访问 　　 　　默认情况下禁用 VPN 客户端访问。 这意味着，称为“允许 VPN 客户端到 ISA 服务器的通讯”的相关系统策略规则也被禁用。 即使 VPN 客户端访问被禁用，称为“VPN 客户端到内部网络”的默认网络规则仍启用。 如果先前启用了 VPN 客户端访问，现在不需要，您可以禁用它。 　　 　　要验证 VPN 客户端访问是否被禁用，请执行以下步骤。 1. 单击“开始”，指向“所有程序”，指向 Microsoft ISA Server，然后单击“ISA 服务器管理”。 　　 　　2. 在“ISA 服务器管理”的控制台树中，单击 Microsoft ISA Server2004，单击 server_name，然后单击“虚拟专用网络 (VPN)”。 　　 　　3. 在详细信息窗格中，单击“VPN 客户端”选项卡，然后单击“验证启用了 VPN 客户端访问” <