熱點推薦:
您现在的位置: 電腦知識網 >> 操作系統 >> Windows服務器 >> 正文

ISA Server 2004 安全強化指南三(圖)

2013-11-11 22:14:15  來源: Windows服務器 

  系統策略
  
  ISA 服務器包含默認的系統策略配置允許使用網絡基礎結構正常運行所需的常用服務
  
  一般從安全角度考慮我們強烈建議您配置系統策略以便禁止訪問管理網絡不需要的服務 安裝之後請仔細檢查配置的系統策略規則 同樣執行主要管理任務之後請再次檢查系統策略配置
  
  以下各部分描述系統策略規則啟用的服務
  
  網絡服務
  
  安裝 ISA 服務器時啟用基本的網絡服務 安裝之後ISA 服務器可以訪問內部網絡上的名稱解析服務器和時間同步服務
  
  如果網絡服務在其他網絡上您應修改相應的配置組的源以便適用於特定網絡 例如假設 DHCP 服務器不在內部網絡上而是在外圍網絡上 請修改 DHCP 配置組的源以便適用於外圍網絡
  
  您可以修改系統策略以便僅允許訪問內部網絡上的特定計算機 另外如果服務在其他位置您可以添加附加網絡
  
  下表顯示適用於網絡服務的系統策略規則
  
 

  DHCP 服務
  
  如果 DHCP 服務器不在內部網絡上您必須修改系統策略規則以便適用於 DHCP 服務器所在的網絡 例如如果 DHCP 服務器在外部網絡上請執行以下步驟
  
   單擊開始指向所有程序指向 Microsoft ISA Server然後單擊ISA 服務器管理
  
  ISA 服務器管理的控制台樹中單擊 Microsoft ISA Server單擊 server_name然後單擊防火牆策略
  
  任務選項卡上單擊編輯系統策略
  
   在系統策略編輯器的配置組樹中單擊 DHCP
  
 

  選項卡上單擊添加
  
  添加網絡實體選擇一個網絡對象
  
 

  提示
  
  我們建議如果您知道 DHCP 服務器的 IP 地址請僅使用該 IP 地址創建一個計算機集並選擇該計算機集 我們強烈建議當 DHCP 服務器在不受信任的網絡上時這樣做
  
   單擊添加然後單擊關閉
  
  身份驗證服務
  
  ISA 服務器的基本功能之一是能夠對特定用戶應用防火牆策略 但是要驗證用戶ISA 服務器必須能夠與身份驗證服務器通訊 由於這個原因默認情況下 ISA 服務器可以與 Active Directory 服務器(對於 Windows 身份驗證)以及內部網絡上的 RADIUS 服務器通訊
  
  下表顯示適用於身份驗證服務的系統策略規則
  
 

  DCOM
  
  如果您需要使用 DCOM 協議(例如為了遠程管理 ISA 服務器計算機)請確保不要啟用強制嚴格符合 RPC
  
  要驗證未選中強制嚴格符合 RPC請執行以下步驟
  
   單擊開始指向所有程序指向 Microsoft ISA Server然後單擊ISA 服務器管理
  
  ISA 服務器管理的控制台樹中單擊 Microsoft ISA Server單擊 server_name然後單擊防火牆策略
  
  任務選項卡上單擊編輯系統策略
  
   在系統策略編輯器的配置組樹中單擊 Active Directory
  
   驗證未選中強制嚴格符合 RPC
  
 

  提示
  
  各種服務(包括遠程管理和自動登記)通常都需要 DCOM
  
  Windows 和 RADIUS 身份驗證服務
  
  如果您不需要 Windows 身份驗證或 RADIUS 身份驗證應執行以下步驟禁用相應的系統策略配置組
  
   單擊開始指向所有程序指向 Microsoft ISA Server然後單擊ISA 服務器管理
  
  ISA 服務器管理的控制台樹中單擊 Microsoft ISA Server單擊 server_name然後單擊防火牆策略
  
  任務選項卡上單擊編輯系統策略
  
   在系統策略編輯器的配置組樹中單擊 Active Directory
  
 

  常規選項卡上驗證未選中啟用
  
  注
  
  禁用 Active Directory 系統策略配置組時實際上禁用對所有 LDAP 協議的訪問 如果您需要 LDAP 協議請創建允許使用這些協議的訪問規則
  
   對 RADIUS 配置組重復步驟
  
  提示
  
  如果您僅需要 Windows 身份驗證請確保配置系統策略以便禁用所有其他身份驗證機制
  
  RSA SecurID 身份驗證服務
  
  默認情況下不啟用與 RSA SecurID 身份驗證服務器的通訊 如果您的防火牆策略需要 RSA SecurID 身份驗證請確保啟用此配置組
  
  CRL 身份驗證服務
  
  默認情況下不能下載證書吊銷列表 (CRL) 這是因為默認情況下不啟用 CRL 下載配置組
  
  要啟用 CRL 下載請執行以下步驟
  
   單擊開始指向所有程序指向 Microsoft ISA Server然後單擊ISA 服務器管理
  
  ISA 服務器管理的控制台樹中單擊 Microsoft ISA Server單擊 server_name然後單擊防火牆策略
  
  任務選項卡上單擊編輯系統策略
  
   在系統策略編輯器的配置組樹中單擊CRL 下載
  
  常規選項卡上驗證選中啟用
  
  選項卡上選擇可以從其中下載證書吊銷列表的網絡實體
  

  將允許從本地主機網絡(ISA 服務器計算機)到選項卡上所列網絡實體的所有 HTTP 通訊
From:http://tw.wingwit.com/Article/os/fwq/201311/10229.html
    Copyright © 2005-2013 電腦知識網 Computer Knowledge   All rights reserved.