ISA Server 2004 安全强化指南六(图)

dick0621

　　保证部署安全 　　 　　保证 ISA 服务器安全的第一步是验证 ISA 服务器计算机是否物理上安全，以及您是否采用基本的安全配置建议。 　　 　　在保证 ISA 服务器计算机安全并在配置服务器策略时应用了安全准则以后，应考虑如何部署网络基础结构。 这部分描述在部署 ISA 服务器保护的网络时需要考虑的安全准则。 　　 　　身份验证 　　 　　在配置 Web 请求身份验证时，尽可能使用最强的身份验证方法。 我们强烈建议您对不安全的连接使用以下身份验证方法： ? 基本 　　摘要式 　　基于 Outlook? Web Access 窗体的身份验证 　　SecurID 　　RADIUS 　　 　　使用 RADIUS 服务器 　　 　　远程身份验证拨入用户服务 (RADIUS) 是用于提供身份验证的行业标准协议。 RADIUS 客户端（通常为拨号服务器、VPN 服务器或无线访问点）以 RADIUS 消息的形式将用户凭据和连接参数信息发送至 RADIUS 服务器。 RADIUS 服务器验证 RADIUS 客户端请求并发回 RADIUS 消息响应。 　　 　　RADIUS 服务器除了验证客户端凭据之外，还对其进行授权，因此如果 ISA 服务器从 RADIUS 服务器收到表明客户端凭据未被批准的响应，实际上可能意味着 RADIUS 服务器未对客户端授权。 即使凭据已验证，根据 RADIUS 服务器验证策略，ISA 服务器也可能拒绝客户端请求。 　　 　　在执行要求 RADIUS 身份验证的 VPN 或防火墙策略时，请遵循以下准则： ? RADIUS 用户密码隐藏机制可能无法提供足够的安全性。 RADIUS 隐藏机制使用 RADIUS 共享密码、请求验证程序以及用于加密用户密码及其他属性的 MD5 哈希算法，如隧道密码和 MS-CHAP-MPPE 密钥。 RFC2865 注意到评估威胁环境并确定是否应使用额外安全性的潜在需求。 　　 　　您可以使用 Internet 协议安全 (IPSec) 及封装式安全措施负载 (ESP) 和加密算法（如 Triple DES (3DES)）提供整个 RADIUS 消息的数据机密性，从而对隐藏属性提供额外保护。 遵循以下建议准则： ? 使用 IPSec 对 RADIUS 客户端和服务器提供额外安全性。 　　 　　要求使用用户强密码。 　　 　　使用身份验证帐户和帐户锁定，防止针对用户密码的词典攻击。 　　 　　使用具有字母、数字和标点的随机序列的长共享密码。 经常更改密码，保护您的 IAS 服务器。 　　 　　如果使用基于密码的身份验证，请对您的网络强制使用强密码策略，使词典攻击更困难。 　　 　　如果使用英语之外的任何其他语言指定用户名，ISA 服务器使用 ISA 服务器计算机上安装的当前代码页来转换用户数据。 只有在客户端也使用相同的代码页时，才能验证该用户。 　　 　　如果在 RADIUS 验证用户已登录时，您更改 RADIUS 服务器策略，新策略不会应用于当前登录的用户。 这是因为在访问已发布的 Outlook Web Access 服务器的用户使用 RADIUS 身份验证进行验证时，ISA 服务器会缓存登录用户的凭据。 　　 　　要立即应用 RADIUS 服务器策略，您可以断开会话。 　　 　　检验与身份验证服务器的连接性 　　 　　如果您使用 RADIUS 服务器进行身份验证，请创建用于监视服务器状态的连接性验证程序。 配置警报，以便在 RADIUS 服务器不能正常运行时采取适当的措施。 　　 　　要检验连接性，请执行以下步骤。 　　 　　1. 单击“开始”，指向“所有程序”，指向 Microsoft ISA Server，然后单击“ISA 服务器管理”。 　　 　　2. 在“ISA 服务器管理”的控制台树中，单击 Microsoft ISA Server2004，单击 server_name，然后单击“监视”。 　　 　　3. 在详细信息窗格中，单击“连接性”选项卡。 　　 　　4. 在“任务”选项卡上，单击“创建新连接性验证程序”。 　　 　　5. 在向导的“欢迎”页上，键入连接性验证程序的名称，然后单击“下一步”。 　　 　　6. 在“连接性验证细节”页上，执行以下操作： 　　　

登录/注册后可看大图

　　1. 在“监视到此服务器或 URL 的连接”中，键入要监视的服务器的名称。 　　 　　2. 在“验证方法”中，选择一个验证方法。 单击“下一步”，然后单击“完成”。 　　 　　7. 如果未启用允许 HTTP 连接验证的系统策略规则，并且您选择了“发送一个 HTTP“Get”请求”，系统将会提示您启用系统策略规则。 单击“是”。 　　 　　有关 HTTP 连接验证系统策略规则的详细信息，请参阅“连接性验证程序”部分。 　　 　　8. 在详细信息窗格中，选择您刚才创建的规则。 　　 　　9. 在“任务”选项卡上，单击“编辑所选验证程序”。 　　 　　10. 在“属性”选项卡上，验证选中“如果服务器在指定时间没有响应，则触发一个警报”。 　　　

登录/注册后可看大图

　　部署身份验证服务器 　　 　　出于安全原因，我们建议您将身份验证服务器置于高度安全的网络中。 如果可能，请考虑将身份验证服务器置于一个单独的网络（与内部网络和外围网络分开）。 这样，您就可以有效地阻止内部网络或外围网络上的任何主机直接访问身份验证服务器。 　　 　　在此情况下，您应修改适用的系统策略规则，以便它可以应用于身份验证服务器所在的网络。 　　 　　要部署身份验证服务器，请执行以下步骤。 　　 　　1. 单击“开始”，指向“所有程序”，指向 Microsoft ISA Server，然后单击“ISA 服务器管理”。 　　 　　2. 在“ISA 服务器管理”的控制台树中，单击 Microsoft ISA Server2004，单击 server_name，然后单击“防火墙策略”。 　　 　　3. 在“任务”选项卡上，单击“编辑系统策略”。 　　 　　4. 在系统策略编辑器的“配置组”树中，单击“身份验证服务”下面的适用身份验证方法。 　　 　　5. 在“到”选项卡上，单击“添加”。 　　 　　6. 在“添加网络实体”中，选择身份验证服务器所在的网络。 　　 　　DNS 服务器 　　 　　域名系统 (DNS) 是 IP 网络的名称解析协议，如 Internet。 DNS 服务器具有客户端计算机将可存储的字母数字 DNS 名称解析为该计算机用来互相通讯的 IP 地址。 　　 　　ISA 服务器包含名称解析机制，这与 DNS 服务器名称解析机制相似。 这样，当客户端向另一个网络上的主机发出请求时，ISA 服务器可以解析主机名称。 ISA 服务器向您配置用于名称解析的 DNS 服务器发出名称解析请求。 　　 　　为了防止 DNS 缓存受到危害，我们强烈建议您配置 ISA 服务器以使用受信任的 DNS 服务器（例如，Windows DNS 服务器），并启用防止缓存受到危害的选项。 此 DNS 服务器应位于内部网络上。 　　 　　如果您在一个不受信任的网络（例如，外部网络）上部署 DNS 服务器，我们强烈建议您同时在一个受信任的网络（例如，外围网络）上安装一个 DNS 服务器。 然后，配置受信任的网络上的 DNS 服务器将请求转给不受信任的网络上的 DNS 服务器。 　　 　　要配置 DNS，请在 ISA 服务器计算机上执行以下步骤。 　　 　　1. 单击“开始”，单击“控制面版”，然后双击“网络连接”。 　　 　　2. 用鼠标右键单击要配置的连接，然后单击“属性”。 　　 　　3. 在“常规”选项卡上，单击“此连接使用下列项目”下面的“Internet 协议 (TCP/IP)”，然后单击“属性”。 　　　

登录/注册后可看大图

　　4. 选择“使用下面的 DNS 服务器地址”。 　　 　　5. 在“首选 DNS 服务器”和“备用 DNS 服务器”中，键入内部网络上受信任的 DNS 服务器的 IP 地址。 　　　

登录/注册后可看大图

　　监视和故障排除 　　 　　您要执行的一项重要日常任务是监视允许通过 ISA 服务器的网络通讯。 监视功能的中心任务是仔细分析日志和审核信息。 　　 　　以下各部分介绍有助于确保日志信息完整性的技巧和提示。 　　 　　日志记录 　　 　　日志记录使您可以审查网络活动，检查访问您的网络上的资源的人员。 定期仔细审查日志，检查可疑的访问及网络资源使用。 遵循以下准则以最佳利用 ISA 服务器日志记录： ? 配置警报以向管理员发送通知。 执行快速响应过程。 　　 　　将日志保存到独立的 NTFS 磁盘分区以保证最大的安全性。 只有 ISA 服务器计算机的管理员可以访问日志。 　　 　　如果您将日志信息保存至 SQL 数据库，请使用 Windows 身份验证（而不是 SQL 身份验证）。 　　 　　如果您将日志保存至远程数据库，请配置加密和数据签名，以便将日志信息复制到远程数据库。 　　 　　为保证最大的安全性，请为 ISA 服务器计算机与 SQL 服务器之间的通讯配置 IPSec。 　　 　　如果由于任何原因而无法保存日志信息，请锁定 ISA 服务器计算机。 为此，请为停止防火墙服务的日志失败事件配置警报定义。 　　 　　日志存储限制 　　 　　使用日志维护功能，此乃明智之举，可以确保存储日志信息的磁盘空间不会占满。 　　 　　配置日志存储限制警报定义以停止 ISA 服务器服务。 这样，您就可以仅允许经过相应审查的访问。 　　 　　要配置日志存储限制，请执行以下步骤。 　　 　　1. 单击“开始”，指向“所有程序”，指向 Microsoft ISA Server，然后单击“ISA 服务器管理”。 　　 　　2. 在“ISA 服务器管理”的控制台树中，单击 Microsoft ISA Server2004，单击 server_name，然后单击“监视”。 　　 　　3. 在详细信息窗格中，单击“警报”选项卡。 　　 　　4. 在“任务”选项卡上 <

5dok.com

跟我一起相处五年的男友就因为一个软件，和我分手了。我从来没想过我们之间的结局会因为一个软件而终结，但事情就是这样真真实实的发生了。 我跟男友认识五年了，他长相很一般，家里也没什么钱。大学我们就认识了，还相处过一年的时间，我的第一次也献给了他，当时还天真的要和他结婚过一辈子。 后来他退学，离开了校园，说是因为家里的原因不得不退学去外面找份工作供弟弟上学，女人最容易被感情冲昏头脑，我曾经一度要闹着退学跟他一起，一起工作。家里死活都是不同意，妈妈还放出话要和他小子在一起就等她死，同学也劝我仔细想想，是啊我的自身条件也不差父母都在国企有稳定工作，我168，长相也还算对得起观众，找什么男人不好，非要找一个缀学的穷光蛋。 我又在学校待了1年，我们分开后他没有给我打过一次电话，我忍不住拨通了他的号码，那熟悉的一串数字却传来了对方已停机的叫声，好长一段时间我情绪很是失落，他怎么这么没有良心，后来我交了好几个男朋友，想要自己忘记，多到自己都数不过来了。当然还有一些Z爱的事情，也只有那个时候心情才会完全放松。大学就这样堕落的结束了。 毕业后他给我打电话说，他和几个朋友对钱在A城刚了一个小贸易公司，我是学网络营销的，想让我去帮帮忙。我一口就答应了，毕竟我还是最放不下他的。 见面那天他说现在资金紧缺就不请我在外面吃饭了，他在家做给我吃，顺便介绍一下公司的情况。我到了他家，他一把抱住我说他还是爱我的，这一年他每天都在想我，却不敢给我打电话，觉得自己配不上我。他一直在算着我毕业的时间，毕业尝试着拨通我的号码，没想到竟然接通了。我一下子就哭了，这些年我的号码一直舍不得换，也不很少关机，就算没钱也要借钱把电话欠费交了。我们那天聊得很少，大部分时间都是看着对方什么也没有说。然后我们脱掉对方的衣服，做了那个事情，我很顺从，感觉这好像是理所应当的一样。但这次他那家伙变得更长、更粗、更有力量了。 第二天我去他公司看了看，真的很小的一个公司，整个公司只有三张桌子几个电话，其他什么都没有。我了解到他公司的困境后，虽然我也只是刚毕业没有工作经验，但还是坚信我一定能帮到他的。我利用学校里学的，竭尽所能的工作着，公司网络营销的全部都是我来做的。我为他公司制作了网站，在论坛发帖子、把供应信息发送到供求等网站。没想到的是网络竟让成了他公司客户的主要来源。 一年后，他的业务慢慢好了起来，但还不至于说赚到大钱，而我每天的工作依然是发发帖子、发布一些信息、在维护维护公司的网站。他曾经开玩笑的跟我说：原来营销这么简单啊，每天上网发发信息就可以了，人人都会。 后来公司有招聘了两个员工，和我的工作一样，就是在网上发布信息。他整天忙着在外面拜访客户、请客户吃饭，我整天呆在公司。一天也只有早上半个小时也晚上能够在一起，他晚上回家很晚经常在十点以后，回家后倒床就睡，有时候甚至整夜都不回家，问他在干什么，他就说陪客户玩了一晚上。我问他有没有跟客户去找小姐，他说工作需要有时候为了做成生意要请客户去那地方消费，但自己绝对不碰小姐的。 虽然我相信他，但是事实就是这样，我们之间的距离越来越远，我有时候晚上想他了给他打电话，他总是匆忙说两句就挂电话，说是正在和客户谈生意不方便。 生意越做越大，员工也越来越多，公司也搬迁换更大的地方了。我每天的工作还是发帖、发信息，重复、乏味，让人心烦。 后来我无意中发现一个叫“推广小助手”的群发软件可以自动在网上发帖、发布供应信息，心想这下好了，有了这个论坛群发软件，再也不用做哪些让人头疼的发帖工作了。我把软件拿给他看，他很快就决定购买一套，说是送给我的礼物。 谁知道这就是我们分手的导火索，我越来越清闲，每天打开那个软件就什么也不用管了，而且发送的数量远远比之前手工发送的多太多了。没天能发送几万个帖子。那段时间他生意好的不得了。我整天上班还可以看看新闻、看看电影什么的。 几个月后，公司再次搬迁，搬到了一个非常豪华的办公楼，面积也很大，他终于有了自己的办公室，而我则和其他员工一样坐在大厅里，我和他之间的共同语言越来越少。 和他在一起这么久了，我也到了结婚的年龄，但他重来不跟我谈结婚的事情，我又一次小心翼翼的问他说我们结婚吧，他却笑道，这么早啊，他还小，还要闯事业，他的意思是30岁以后再结婚。但我等不了了，等他30岁我不就高龄产妇了，他根本就不考虑我的感受。 都说男人一有钱了就会学坏，他还是那样天天回家很晚，甚至连续几天不回家。我一个人在家，忍不住去想他是不是在外面有人了，为什么不考虑一下我的感受。 我偷偷拿到他的手机，发现里面和一个叫青青的女孩的短信都很恶心，短信里还说他现在女朋友（也就是说我）整天闲着没事，吃白饭，老是缠着他，很烦，那女孩叫他老公别烦我和你在一起很开心。我一下子就傻了，头都大了，怎么也不相信自己的眼睛。 整整一个星期我心痛如刀割一样，脑子里不断回响着“整天闲着没事，吃白饭，老是缠着他”这句话。有时候躲在公司的卫生间里偷偷的哭。晚上睡不好觉。 他冷冷的问我怎么了，这几天脸色这么难看，我也只好说昨天失眠没睡好。他要离开我了怎么办，难道就是因为那个推广小助手的破软件，让他觉得我已经不重要了吗？ 我决心一定要向他问明白，我问他手机里的短信到底是怎么回事，他却火了，说我没事儿翻他手机干什么。知道什么叫隐私吗。我又问他那个叫青青的女孩是谁，他一巴掌打在我脸上，后面的事情我真的写不下去了，我的心在滴血，他把我赶出家门………… 最终我们还是分手了，虽然我极力想要去挽留，我们之间的关系就像是一缕青烟，当你本能的伸手想要去抓住，挥动手臂带来的气流却把这缕纤细的烟雾完全冲散。 我什么都没做错，为什么会这样，他永远都不知道我在他手机上看到了什么内容，而那些内容又多么伤人。就是那个推广小助手软件惹的祸，要不他也不会说我整天闲着没事儿，吃白饭，那个软件的网址http://www.tgxzs.com 有没有黑客能把它给黑掉，不要让他再害人了。