• Articolo

ISA Server

Miglioramento della protezione del gateway di Servizi terminal con ISA Server 2006

Dott. Thomas W. Shinder e Yuri Diogenes

 

Panoramica:

  • Due scenari in cui il gateway di Servizi terminal è utilizzato con ISA Server
  • Configurazione di ISA Server 2006
  • Verifica e monitoraggio

Indice

Oltre il perimetro
Primo scenario
Configurazione di ISA Server 2006
Verifica e monitoraggio dell'accesso client
Monitoraggio mediante ISA Server
Secondo scenario
Considerazioni sul client
Conclusioni

In seguito al successo di Outlook via Internet in Exchange Server 2007, anche Windows Server 2008 rende disponibile una funzionalità che consente di accedere al proprio desktop da qualsiasi luogo in modo sicuro e controllato.

Il nuovo servizio gateway di Terminal Server in Windows Server® 2008 offre la flessibilità dei servizi Terminal Server di Windows®, oltre alla possibilità di collegarsi a un server terminal da qualsiasi luogo mediante una connessione HTTP. Questo servizio utilizza il protocollo RDP (Remote Desktop Protocol) su HTTPS (SSL) per aumentare la protezione, fornendo al contempo un'unica interfaccia client per l'accesso alle risorse di Servizi terminal.

Il nuovo servizio gateway offre notevoli vantaggi a coloro che devono accedere al computer in modalità remota:

  • Non è necessario stabilire una sessione di rete privata virtuale (VPN) prima di connettersi a risorse interne utilizzando RDP.
  • La protezione è ottimizzata grazie all'utilizzo di Protezione accesso alla rete (NAP, Network Access Protection) e di verifiche dell'integrità della protezione Windows per controllare le connessioni RDP.
  • Non è necessario aprire la porta TCP 3389 in ingresso per consentire pubblicazioni Web più sicure attraverso i firewall.

È possibile utilizzare Microsoft® Internet Security and Acceleration (ISA) Server 2006 per migliorare la protezione del servizio gateway di Servizi terminal, consentendo contemporaneamente accesso esterno alle risorse interne. È possibile configurare uno scenario di bridging da SSL a SSL in cui ISA Server 2006 riceve richieste e le trasferisce al gateway di Servizi terminal interno, utilizzando inoltre l'HTTPS. Mentre esegue il bridging della richiesta, il firewall ISA decrittografa le comunicazioni SSL ed esegue un'ispezione a livello di applicazione.

Se il flusso del protocollo HTTP supera l'ispezione, la comunicazione viene nuovamente crittografata e inoltrata al proxy di Servizi terminal. Se il flusso del protocollo non supera l'ispezione, la connessione viene annullata.

Oltre il perimetro

Microsoft ha investito molto nella protezione e, al momento, Windows Server 2008 è la versione più sicura e affidabile di Windows. Tuttavia, l'azienda si interessa anche delle modalità in cui gli utenti implementeranno i prodotti e vorrebbe che si attenessero alle procedure consigliate per mantenere gli ambienti sicuri. Le procedure consigliate richiedono un'azione di difesa totale, in modo da garantire protezione in più punti di accesso o livelli. In questo caso, i livelli a cui si fa riferimento sono costituiti da criteri, procedure e informazioni sulla presenza, perimetro, rete interna e host.

Quando si consente a utenti esterni di accedere a una risorsa interna mediante ISA Server, è opportuno comprendere i limiti di tutti i prodotti interessati. ISA Server 2006 e il gateway di Servizi terminal forniranno protezione a livello di perimetro, ma per le risorse interne occorre definire criteri per consentire o negare l'accesso a seconda delle esigenze. I Servizi di accesso e criteri di rete (NPAS, Network Policy and Access Services) consentono di raggiungere tale obiettivo, operando a livello di criteri, procedure e informazioni sulla presenza. L'accesso alle risorse interne (unità, appunti, stampanti e così via) è definito dai criteri di autorizzazione delle risorse di Servizi terminal, che si riferiscono al livello della rete interna.

In questo articolo esaminerò dapprima la modalità di pubblicazione del gateway di Servizi terminal tramite ISA Server 2006. Successivamente amplierò lo scenario di pubblicazione di ISA Server 2006, includendo l'imposizione dell'integrità dei client tramite l'utilizzo di Protezione accesso alla rete. Quest'ultima consente di creare criteri di integrità client per controllare l'accesso al livello host.

Primo scenario

L'obiettivo è illustrare la modalità di pubblicazione del gateway di Servizi terminal tramite ISA Server 2006. Nella figura 1 è presente un riepilogo dei computer e del flusso di dati durante la connessione. In questo scenario, viene implementato il ruolo Server dei criteri di rete (NPS) sul gateway di Servizi terminal stesso. Tuttavia, nel secondo scenario la situazione verrà modificata e verrà utilizzato un Server dei criteri di rete centrale. Esaminare la sequenza riportata di seguito per comprendere come avvengono le comunicazioni fra i componenti della soluzione di pubblicazione del gateway di Servizi terminal:

fig01.gif

Figura 1 Pubblicazione del gateway di Servizi terminal tramite ISA Server 2006 (fare clic sull'immagine per ingrandirla)

  1. L'utente RDP esterno avvia la connessione. La prima operazione che il client deve eseguire è risolvere il nome esterno del gateway di Servizi terminal (in questo caso, tsg.contoso.com). Il DNS esterno risolve questo nome, che indica l'indirizzo IP esterno di ISA Server.
  2. Viene stabilito un tunnel SSL tra il client RDP e l'interfaccia esterna di ISA Server. ISA Server dispone di una regola di pubblicazione sul Web sulla porta TCP 443, che utilizza un certificato rilasciato a tsg.contoso.com.
  3. Dopo aver valutato la regola e verificato che il traffico sia consentito, ISA Server invierà una query DNS al server DNS interno (situato sul controller di dominio) per risolvere il nome del server specificato nella regola di pubblicazione sul Web.
  4. Quindi, ISA Server apre un tunnel SSL verso il gateway di Servizi terminal, trasferendovi la richiesta di autenticazione.
  5. Il server gateway di Servizi terminal convalida le credenziali dell'utente e verifica che questo sia autorizzato a stabilire la connessione.
  6. Dopo aver definito che l'utente è autorizzato a stabilire la connessione, il servizio gateway di Servizi terminal riceve le richieste sulla porta TCP 443 e inoltra i pacchetti RDP tramite la porta TCP 3389 (per impostazione predefinita) al Server terminal interno in cui risiede l'applicazione (ad esempio, un'applicazione CRM).

Da questo punto in poi, tutti i pacchetti inviati dal client RDP al servizio gateway di Servizi terminal tramite ISA Server saranno inoltrati al Server terminal interno e viceversa.

È importante ricordare che l'RDP su HTTPS in realtà non è nient'altro che un RDP/RPC/HTTPS. Il client RDP incapsula le comunicazioni RDP in un'intestazione RPC, che è a sua volta incapsulata in un'intestazione HTTP protetta tramite SSL (o TLS, Transport Level Security). In questo caso, tutti i componenti necessari per una soluzione RPC su HTTPS devono essere presenti. È questa la ragione per cui, quando si installa il servizio del ruolo Gateway di Servizi terminal, viene automaticamente installato il proxy RPC su HTTP. Per comprendere in modo più approfondito come opera questo protocollo, si consiglia di leggere l'articolo "Esecuzione di un test di RPC su HTTP tramite ISA Server 2006 Part 1; protocolli, autenticazione e elaborazione" presente sul blog del team di ISA Server (disponibile all'indirizzo blogs.technet.com/isablog).

Per questa implementazione è necessario Windows Server 2008 con il gateway di Servizi terminal installato e tale funzionalità dipende dal proxy RPC su HTTP. Affinché la funzionalità RDP sul proxy RPC su HTTP funzioni correttamente, Internet Information Services (IIS) 7.0 deve essere installato e in esecuzione. È inoltre necessaria la funzionalità Servizi di accesso e criteri di rete. Tuttavia, se si preferisce, è possibile configurare il gateway di Servizi terminal affinché utilizzi il server dei criteri di rete, in precedenza noto come Servizio autenticazione Internet (IAS, Internet Authentication Service), per centralizzare le operazioni di memorizzazione, gestione e convalida dei criteri di autorizzazione delle connessioni di Servizi terminal. Infine, se non si dispone di un certificato SSL per il server gateway di Servizi terminal, è necessario ottenerlo. È importante sottolineare che ISA Server 2006 deve considerare attendibile l'autorità di certificazione che rilascia il certificato. Accertarsi pertanto di importare il certificato nell'archivio delle autorità di certificazione affidabili.

Lo strumento Servizi di dominio Active Directory® è necessario solo se si configurano criteri di autorizzazione del gateway di Servizi terminal in base ai quali gli utenti devono essere membri di un gruppo di protezione Active Directory per connettersi al server gateway. Per questa configurazione specifica, verrà utilizzato Active Directory su un computer che esegue Windows Server 2003 SP2.

Una volta terminata l'installazione del gateway di Servizi terminal, verrà visualizzata la schermata mostrata nella figura 2, che mostra i componenti che sono stati installati. Per connettere il gateway di Servizi terminal, i client devono essere eseguiti su uno dei sistemi operativi riportati di seguito: Windows Vista®, Windows XP con SP2 e RDP 6.0 o successivo, Windows Server 2008, Windows Server 2003 con SP1 o successivo e RDP 6.0 o successivo. Per ulteriori informazioni sulla configurazione del gateway di Servizi terminal, consultare la guida dettagliata relativa all'installazione in Windows Server 2008, disponibile all'indirizzo go.microsoft.com/fwlink/?LinkId=122251. Ora spiegherò come configurare ISA Server 2006.

fig02.gif

Figura 2 Riepilogo dell'installazione del gateway di Servizi terminal (fare clic sull'immagine per ingrandirla)

Configurazione di ISA Server 2006

La prima operazione consiste nella creazione di un listener Web che gestisca le richieste provenienti dal client RDP esterno. Il listener Web deve avere i seguenti parametri:

  • Autenticazione: base
  • Convalida autenticazione: Windows (Active Directory)
  • Connessioni: abilitare le connessioni SSL (HTTPS) sulla porta 443
  • Certificati: certificato rilasciato a tsg.contoso.com
  • Reti: esterne

Successivamente, occorre creare la regola di pubblicazione sul Web. Per ISA Server 2006, il client RDP utilizzerà lo stesso protocollo usato da Outlook® via Internet, quindi selezionare la procedura guidata di Exchange Server 2007. Procedere come descritto di seguito:

  1. Fare clic con il pulsante destro del mouse su Criterio firewall, selezionare Nuovo, quindi fare clic su Regola di pubblicazione accesso client Web Exchange.
  2. Nella pagina Creazione guidata regola di pubblicazione sul Web, immettere il nome della regola, quindi fare clic su Avanti.
  3. Nella pagina Seleziona azione regola, selezionare l'opzione Consenti, quindi fare clic su Avanti.
  4. Nella pagina Creazione guidata regola di pubblicazione Exchange, selezionare la versione di Exchange, in questo caso Exchange Server 2007, quindi Outlook Anywhere (RPC/HTTP(s)) e fare clic su Avanti. (Nota: non selezionare l'opzione Pubblica cartelle aggiuntive nei client del server Exchange per Outlook 2007).
  5. Nella pagina Tipo di pubblicazione, selezionare l'opzione Pubblica un singolo sito Web o un sistema di bilanciamento del carico, quindi fare clic su Avanti.
  6. Nella pagina Protezione connessione server, selezionare Utilizzare SSL per connettersi al server Web pubblicato o alla server farm, quindi fare clic su Avanti.
  7. Nella pagina Dettagli pubblicazione interna, all'interno della casella Nome sito interno, immettere il nome del server gateway di Servizi terminal. Selezionare la casella di controllo Utilizza nome computer o indirizzo IP per la connessione al server pubblicato, quindi immettere il nome del server nella casella Indirizzo IP o nome computer. Se non si conosce il nome del server gateway di Servizi terminal, fare clic su Sfoglia per ricercarne la posizione. Il nome utilizzato su questa pagina deve corrispondere al nome soggetto o al nome comune presente nel certificato del sito Web collegato al sito del gateway di Servizi terminal.
  8. Nella pagina Dettagli nome pubblico, dall'elenco a discesa Accetta richieste per, selezionare Questo nome dominio (immettere di seguito). Quindi, nella casella Nome pubblico, immettere il nome pubblico corrispondente al nome del certificato rilasciato per questo URL (in questo caso, il nome era tsg.contoso.com.). Fare clic su Avanti.
  9. Nella pagina Scegliere Listener Web, fare clic sull'elenco a discesa e selezionare il listener Web creato in precedenza, quindi fare clic su Avanti.

Nella pagina Delega autenticazione, selezionare l'opzione Nessuna delega, ma il client può eseguire l'autenticazione direttamente, quindi fare clic su Avanti.

Nella pagina Gruppo di utenti, verificare che sia selezionata l'opzione predefinita (Tutti gli utenti), fare clic su Avanti, quindi su Fine e applicare le impostazioni.

Facendo doppio clic sulla regola e selezionando la scheda relativa al percorso, si noterà che l'unico percorso presente è /rpc/*. Questo è dovuto al fatto che è stata utilizzata la procedura guidata di Outlook via Internet di Exchange Server 2007.

Verifica e monitoraggio dell'accesso client

Come detto in precedenza, per la connessione al gateway di Servizi terminal è necessario un client RDP 6.0 o successivo. Per configurare l'applicazione del client RDP, avviarla e immettere il nome del Server terminal al quale si desidera eseguire la connessione nel campo Computer. Fare clic sul pulsante Opzioni, sulla scheda Avanzate, quindi su Impostazioni e immettere il nome esterno del server gateway di Servizi terminal, come illustrato nella figura 3. In questo esempio, si tratta del nome presente sul certificato legato al listener Web utilizzato dalla regola di pubblicazione sul Web per accettare le richieste in arrivo. Nell'esempio, viene utilizzata l'autenticazione NT® LAN Manager di Windows. Una volta terminata l'operazione, fare clic su OK, quindi su Connetti. Verrà visualizzata una richiesta di autenticazione. Immettere le credenziali di un utente con accesso al Server terminal, quindi fare clic su OK.

fig03.gif

Figura 3 Configurazione del client RDP (fare clic sull'immagine per ingrandirla)

Nel client RDP 6.0 (per Windows XP e Windows Server 2003) verrà visualizzata la schermata mostrata nella figura 3. L'autenticazione sarà richiesta due volte: la prima è per il computer del gateway di Servizi terminal, mentre la seconda è per il Server terminal al quale si desidera accedere. Si tratta di un'informazione importante, in quanto, sebbene si potrebbe pensare che la richiesta sia dovuta alla configurazione di ISA Server, in realtà ISA Server non si occupa affatto dell'autenticazione perché la regola di pubblicazione sul Web viene applicata a tutti gli utenti, il che consente connessioni anonime attraverso il firewall ISA.

Il client RDP fornito con Windows Server 2008 dispone dell'opzione Usa credenziali del gateway di Servizi terminal per il computer remoto, come illustrato nella figura 4. Selezionando questa opzione, non è necessario immettere le credenziali due volte, garantendo una migliore esperienza utente. Questa opzione di accesso singolo è disponibile anche in Windows Vista dopo l'applicazione del SP1.

fig04.gif

Figura 4 Il client RDP di Windows Server 2008 (fare clic sull'immagine per ingrandirla)

Utilizzando l'opzione Monitoraggio, è possibile monitorare la connessione tramite Gestione gateway di Servizi terminal. Il servizio gateway di Servizi terminal fornisce inoltre informazioni dettagliate quando un utente non autorizzato tenta di connettersi al server. Nella figura 5, il Visualizzatore eventi mostra un tentativo di connessione da parte di un utente che non dispone dell'autorizzazione necessaria per collegarsi tramite il gateway di Servizi terminal.

fig05.gif

Figura 5 Evento registrato nel servizio gateway di Servizi terminal (fare clic sull'immagine per ingrandirla)

Per questo evento viene registrato l'indirizzo IP interno di ISA Server 2006, poiché nella regola di pubblicazione sul Web è selezionata l'opzione Le richieste sembrano provenire dal computer ISA Server. Per registrare l'indirizzo IP del client originale, occorre modificare la regola di pubblicazione sul Web di ISA Server 2006 e selezionare l'opzione Le richieste sembrano provenire dal client originale nella scheda A.

Monitoraggio mediante ISA Server

Utilizzando le nuove funzionalità di ISA Server 2006 Supportability Pack, è possibile esaminare nei dettagli e comprendere tutte le connessioni alla rete interna. Nella figura 6 è presente una connessione evidenziata e, sulla riga Request: il verbo RPC_IN_DATA indica l'URL per il proxy RPC su HTTP.

fig06.gif

Figura 6 Registrazione di ISA Server 2006 mediante l'aggiornamento Supportability Pack (fare clic sull'immagine per ingrandirla)

Continuando a osservare la registrazione, sarà possibile visualizzare l'altro verbo RPC su HTTP, RPC_OUT_DATA. È importante conoscere i metodi HTTP utilizzati, ossia RPC_IN_DATA e RPC_OUT_DATA per RDP/HTTP, perché se il filtro HTTP è configurato per bloccare tali metodi, il traffico su ISA Server verrà bloccato. Per bloccare l'ambiente in uso, è possibile configurare la regola di pubblicazione sul Web RDP/HTTP in modo che consenta solo questi due metodi. Per ulteriori informazioni sui metodi HTTP utilizzati in genere per le pubblicazioni, consultare l'articolo relativo ai filtri HTTP in ISA Server 2004, disponibile all'indirizzo technet.microsoft.com/library/cc302627.

Secondo scenario

Per questo scenario, il gateway di Servizi terminal utilizzerà un criterio NPS centrale situato su un altro server. Verrà imposto un criterio di Protezione accesso alla rete per i client che si connettono in modalità remota tramite il gateway di Servizi terminal. In questo caso, saranno utilizzati gli stessi componenti usati nello scenario 1, aggiungendo unicamente il server dei criteri di rete. Tuttavia, a causa dell'imposizione di Protezione accesso alla rete, sarà utilizzato un numero superiore di componenti sul lato client, come illustrato nella figura 7.

fig07.gif

Figura 7 Componenti principali della topologia dello scenario 2 (fare clic sull'immagine per ingrandirla)

Di seguito è riportata una spiegazione dei singoli componenti. Sul client Windows Vista, l'Agente integrità sistema (SHA) è costituito da componenti sul lato client responsabili del monitoraggio e della segnalazione dello stato di integrità del client stesso. Windows Vista dispone dell'Agente integrità sistema Windows, ma altre aziende stanno lavorando alla creazione di propri agenti.

Quando il client tenta di accedere alla rete, l'Agente Protezione accesso alla rete (Agente NAP) presente sul client deve stabilire la comunicazione con il server di imposizione Protezione accesso alla rete. L'Agente Protezione accesso alla rete invia a questo server il rapporto di integrità del client.

Sul gateway di Servizi terminal, il criterio di autorizzazione delle risorse di Servizi terminal (TS RAP) è il componente che consente di determinare quali computer saranno disponibili per la ricezione di richieste RDP in ingresso. Il criterio di autorizzazione delle risorse di Servizi terminal determina inoltre a utenti possono stabilire connessioni RDP a server specifici.

Il Server dei criteri di rete centrale deve controllare condizioni, vincoli e impostazioni che regolano l'accesso ai computer interni. Le istanze di Convalida integrità di sistema (SHV) sul Server dei criteri di rete centrale devono valutare se il rapporto di integrità inviato dal client è conforme ai criteri definiti dall'amministratore.

Ora si modifichi il gateway di Servizi terminal affinché faccia riferimento a un Server dei criteri di rete centrale. Aprire la console di gestione del gateway di Servizi terminal, fare clic con il pulsante destro del mouse sul nome del server, quindi selezionare l'opzione Proprietà. Nella finestra relativa alle proprietà del server, fare clic sulla scheda Archivio criteri di autorizzazione delle connessioni di Servizi terminal, quindi selezionare Server dei criteri di rete centrale. Immettere il nome o l'indirizzo IP del server dei criteri di rete e fare clic sul pulsante Aggiungi. Verrà visualizzata la finestra Segreto condiviso. Immettere il segreto, fare clic su OK, quindi fare nuovamente clic su OK per chiudere la finestra. È necessario memorizzare questo segreto, poiché sarà utilizzato sul server dei criteri di rete.

Se il server dei criteri di rete è già installato su un altro server, attenersi alla procedura seguente:

  1. Aprire la console Server dei criteri di rete e, nel riquadro di sinistra, fare clic su Server dei criteri di rete (locale).
  2. Nel riquadro di destra, fare clic su Configurazione Protezione accesso alla rete. Verrà visualizzata la pagina Selezione del metodo di connessione alla rete da utilizzare con Protezione accesso alla rete.
  3. In Metodo di connessione alla rete, selezionare Gateway di Servizi terminal dall'elenco a discesa, quindi fare clic su Avanti.
  4. Nella pagina Specifica server di imposizione Protezione accesso alla rete che eseguono Gateway di Servizi terminal, fare clic sul pulsante Aggiungi.
  5. Nella finestra Nuovo server gateway di Servizi terminal, immettere il nome descrittivo e l'indirizzo IP del server gateway di Servizi terminal. Nella parte inferiore della finestra, immettere il segreto condiviso, utilizzando lo stesso segreto presente nella configurazione del server gateway di Servizi terminal. Quindi fare clic su OK.
  6. Nella pagina Configura reindirizzamento dispositivi client e metodi di autenticazione, è possibile specificare quali dispositivi saranno reindirizzati e il metodo di autenticazione consentito (password o smart card). Ai fini di questo esempio, lasciare inalterate le opzioni predefinite e fare clic su Avanti.
  7. Nella pagina Configurazione gruppi di utenti o di computer, aggiungere il gruppo di utenti al quale è consentito stabilire la connessione. In questo esempio, fare clic sul pulsante Aggiungi utenti in Gruppi di utenti (obbligatorio) e selezionare Domain Admins. Fare clic su OK, quindi su Avanti.
  8. Nella pagina Definizione criterio di integrità di Protezione accesso alla rete, si noterà che è già selezionata l'istanza di Convalida integrità di sistema predefinita. Si noti inoltre, nella parte inferiore di questa pagina, che ai computer non conformi è negato l'accesso. Lasciare inalterate le impostazioni predefinite e fare clic su Avanti.
  9. Nella pagina Completamento criteri di imposizione Protezione accesso alla rete e configurazione client RADIUS, riesaminare le opzioni selezionate in precedenza. Inoltre, se si fa clic sul collegamento ipertestuale Dettagli configurazione, verrà visualizzata una pagina HTML con un riepilogo delle selezioni effettuate. Al termine della revisione, fare clic su Fine.

Questa procedura guidata consente di configurare le impostazioni per numerosi criteri importanti (criteri di richiesta connessione, di rete e di integrità), il che riduce in modo significativo le operazioni necessarie per configurare la Protezione accesso alla rete per questo scenario.

Considerazioni sul client

Ora che il server è installato e configurato correttamente, è opportuno esaminare le operazioni necessarie per il client.

Per poter sfruttare i criteri di imposizione di Protezione accesso alla rete, il client deve eseguire Windows Server 2008 o Windows Vista. Per Windows XP, è necessario aver installato SP3, che include il client di Protezione accesso alla rete.

Oltre ai requisiti relativi al sistema operativo, esistono servizi e impostazioni che è necessario abilitare sul lato client. Di seguito ne vengono riportati alcuni:

  • Aggiunta del nome del server gateway di Servizi terminal all'elenco dei server trusted sul client.
  • Avvio del servizio Agente Protezione accesso alla rete e impostazione del tipo di avvio del servizio su Automatico.
  • Attivazione del client imposizione quarantena del gateway di Servizi terminal.

Al fine di semplificare l'implementazione di questa soluzione, Microsoft ha creato il comando per la configurazione client di Protezione accesso alla rete di Servizi terminal (Tsgqecclientconfig.cmd), che è possibile scaricare dalla pagina go.microsoft.com/fwlink/?LinkId=122267. Dopo aver eseguito il comando, il client sarà configurato come client di imposizione Protezione accesso alla rete per il gateway di Servizi terminal. Si tenga presente che il comando deve essere eseguito con privilegi elevati.

L'obiettivo principale di questo articolo è stato non solo descrivere la nuova funzionalità gateway di Servizi terminal disponibile in Windows Server 2008 e spiegare come pubblicarla in modo sicuro tramite ISA Server 2006, ma anche fornire una panoramica sui vantaggi di protezione che la combinazione di questi due prodotti può fornire alle aziende.

Oggigiorno, potersi connettere da qualsiasi luogo è un requisito fondamentale per qualsiasi azienda di successo. Tuttavia, è anche necessario che tale connettività non impedisca di offrire un'esperienza ottimale all'utente e, cosa più importante, è essenziale che le modalità di connessione garantiscano la massima protezione.

Il Dott. Thomas W. Shinder ha ottenuto le qualifiche di MCSE e MVP per ISA Server. Lavora come docente, scrittore e consulente nel campo della tecnologia informatica dal 1996 ed è autore di sei libri sul firewall ISA. È inoltre leader di riferimento e principale sostenitore di ISAserver.org, la più grande community di amministratori e appassionati del firewall ISA su Internet.

Yuri Diogenes, MCSE+S, MCTS, MCITP, Security+, Network+ e CCNP, è Security Support Engineer all'interno del team di Microsoft ISA Server/IAG. Scrive articoli per Microsoft TechNet Library e sul blog del team di ISA Server. Yuri lavora con la tecnologia Microsoft dal 1993. Prima dell'assunzione presso Microsoft, ha lavorato come docente, support analyst e consulente Microsoft.