Exportar (0) Imprimir
Expandir Tudo
Expandir Minimizar

Administração baseada na função no ISA Server 2006

O Microsoft® Internet Security and Acceleration (ISA) Server 2006 permite a você aplicar funções administrativas a usuários e grupos. Depois de determinar quais os grupos com permissão para configurar ou exibir informações de diretiva e monitoramento do ISA Server, você poderá atribuir funções da maneira apropriada.

Cenário: Administração baseada na função

É possível usar a administração baseada na função para organizar os administradores do ISA Server em funções separadas e predefinidas, cada um com seu próprio conjunto de tarefas. Ao atribuir uma função a um usuário, você concede a ele permissões para realizar tarefas específicas. A administração baseada na função envolve usuários e grupos do Microsoft Windows Server® 2003 ou do Windows® 2000 Server. Essas permissões de segurança, associações de grupo e direitos de usuário são usadas para distinguir os usuários e suas funções.

Uma vez que o ISA Server controla o acesso à rede, deve-se tomar um cuidado especial na atribuição de permissões ao computador do ISA Server e aos componentes relacionados. Determine com cuidado quem deve ter permissão de logon no computador do ISA Server. Em seguida, configure os direitos de logon apropriadamente.

Recursos da administração baseada na função

Da mesma forma que qualquer aplicativo em seu ambiente, quando você definir as permissões para o ISA Server, considere as funções dos administradores e atribua a eles apenas as permissões necessárias. Para simplificar o processo, o ISA Server usa funções administrativas. Ao atribuir uma função a um usuário, em essência, você está concedendo a ele permissões para realizar tarefas específicas. Um usuário que tem uma função, como administrador total do ISA Server, pode realizar tarefas específicas que um usuário com outra função, como monitoramento básico do ISA Server, não pode. A administração baseada na função envolve usuários e grupos do Windows. Essas permissões de segurança, associações de grupo e direitos de usuário são usadas para distinguir os usuários e suas funções.

Os membros dos grupos administrativos do ISA Server podem ser qualquer usuário do Windows. Não é necessário nenhum privilégio ou permissão do Windows em especial.

Observação:

A única exceção é que, para exibir os contadores de desempenho do ISA Server, usando o Perfmon ou o Painel do ISA Server, o usuário deve ser membro do grupo Usuários de monitor de desempenho do Windows Server 2003.

Usuários com permissões de administrador no computador do ISA Server Enterprise Edition recebem, automaticamente, as permissões de nível empresarial do ISA Server. Observe que os usuários que pertencem ao grupo Administradores no servidor de armazenamento de configurações podem controlar a configuração empresarial. Isso se deve ao fato de que eles podem modificar diretamente qualquer dado no servidor de armazenamento de configurações.

Funções administrativas (Standard Edition)

A tabela a seguir descreve as funções do ISA Server Standard Edition.

Função no Standard Edition

Descrição

Auditor de monitoramento do ISA Server

Usuários e grupos atribuídos a esta função podem monitorar atividades básicas da rede e do computador do ISA Server, mas não podem exibir a configuração do ISA Server.

Auditor do ISA Server

Usuários e grupos atribuídos a esta função podem realizar todas as tarefas de monitoramento, inclusive a configuração de log e a configuração da definição de alerta, além de poderem exibir a configuração do ISA Server.

Administrador total do ISA Server

Usuários e grupos atribuídos a esta função podem realizar qualquer tarefa do ISA Server, inclusive configuração de regras, aplicação de modelos de rede e monitoramento.

Observação:

Administradores com permissões de auditor do ISA Server podem exportar, importar e descriptografar informações, como senhas armazenadas na configuração.

Funções e atividades

Cada função do ISA Server tem uma lista específica de tarefas associadas a si. A tabela a seguir lista algumas tarefas administrativas do ISA Server, junto com as funções nas quais elas são realizadas.

Atividade

Auditor de monitoramento do ISA Server

Auditor do ISA Server

Administrador total do ISA Server

Exibir painel, alertas, conectividade, sessões e serviços

Permitido

Permitido

Permitido

Alertas de confirmação

Permitido

Permitido

Permitido

Exibir informações de log

Não permitido

Permitido

Permitido

Criar definições de alerta

Não permitido

Não permitido

Permitido

Criar relatórios

Não permitido

Permitido

Permitido

Interromper e iniciar sessões e serviços

Não permitido

Permitido

Permitido

Exibir diretiva de firewall

Não permitido

Permitido

Permitido

Configurar diretiva de firewall

Não permitido

Não permitido

Permitido

Configurar cache

Não permitido

Não permitido

Permitido

Configurar uma VPN (rede privada virtual)

Não permitido

Não permitido

Permitido

Administradores com permissões da função Auditor do ISA Server podem configurar todas as propriedades de relatório, com as seguintes exceções:

  • Não podem configurar uma conta de usuário diferente na publicação de relatórios.

  • Não podem personalizar o conteúdo dos relatórios.

Funções administrativas em nível de matriz (Enterprise Edition)

É possível organizar os administradores de matriz em funções separadas e predefinidas, cada um com seu próprio conjunto de tarefas. A tabela a seguir descreve as funções em nível de matriz do ISA Server Enterprise Edition.

Função

Descrição

Auditor de monitoramento de matriz do ISA Server

Usuários e grupos atribuídos a esta função podem monitorar atividades básicas da rede e do computador do ISA Server, mas não podem exibir a configuração do ISA Server.

Auditor de matriz do ISA Server

Usuários e grupos atribuídos a esta função podem realizar todas as tarefas de monitoramento, inclusive a configuração de log e a configuração da definição de alerta, além de poderem exibir a configuração do ISA Server.

Administrador de matriz do ISA Server

Usuários e grupos atribuídos a esta função podem realizar qualquer tarefa do ISA Server na matriz específica, inclusive configuração de regras, aplicação de modelos de rede e monitoramento.

Observação:

Administradores com permissões de auditor de matriz do ISA Server podem configurar todas as propriedades de relatório, com as seguintes exceções:

  • Não podem configurar uma conta de usuário diferente na publicação de relatórios.

  • Não podem personalizar o conteúdo dos relatórios.

    Um usuário com função atribuída de administrador de matriz do ISA Server pode executar processos altamente privilegiados no computador do ISA Server.

Funções e atividades

Cada função do ISA Server tem uma lista específica de tarefas associadas a si. A tabela a seguir lista algumas tarefas administrativas do ISA Server, junto com as funções nas quais elas são realizadas.

Atividade

Auditor de monitoramento de matriz do ISA Server

Auditor de matriz do ISA Server

Administrador de matriz do ISA Server

Exibir painel, alertas, conectividade, sessões e serviços

Permitido

Permitido

Permitido

Confirmar e redefinir alertas

Permitido

Permitido

Permitido

Exibir informações de log

Não permitido

Permitido

Permitido

Criar definições de alerta

Não permitido

Não permitido

Permitido

Criar relatórios

Não permitido

Permitido

Permitido

Interromper e iniciar sessões e serviços

Não permitido

Permitido

Permitido

Exibir diretiva de firewall

Não permitido

Permitido

Permitido

Configurar diretiva de firewall

Não permitido

Não permitido

Permitido

Configurar cache

Não permitido

Não permitido

Permitido

Configurar uma VPN (rede privada virtual)

Não permitido

Não permitido

Permitido

Esvaziar e interromper o firewall NLB (balanceamento de carga na rede) ou o servidor de balanceamento de carga Proxy da Web.

Não permitido

Permitido

Permitido

Exibir a configuração local (no registro de membro da matriz)

Não permitido

Permitido

Permitido

Alterar a configuração local (no registro de membro da matriz)

Não permitido

Não permitido

Não permitido

Funções administrativas de nível empresarial (Enterprise Edition)

É possível usar a administração baseada na função para organizar os administradores empresariais do ISA Server 2006 em funções separadas e predefinidas, cada um com seu próprio conjunto de tarefas. Ao atribuir uma função a um usuário, você concede a ele permissões para realizar tarefas específicas. A administração baseada na função envolve usuários e grupos do Windows. Essas permissões de segurança, associações de grupo e direitos de usuário são usadas para distinguir os usuários e suas funções.

O ISA Server distingue as funções em nível empresarial e nível da matriz. A tabela a seguir descreve as funções do ISA Server para administração empresarial.

Função

Descrição

Auditor empresarial do ISA Server

Usuários e grupos atribuídos a esta função podem exibir a configuração empresarial e todas as configurações da matriz. Eles também podem exibir a configuração local (no registro de membro da matriz)

Administrador empresarial do ISA Server

Usuários e grupos atribuídos a esta função têm controle total sobre a configuração empresarial e todas as configurações da matriz. O administrador empresarial também pode atribuir funções a outros usuários e grupos. Eles também podem exibir e alterar a configuração local (no registro de membro da matriz)

Observação:

Um usuário com função atribuída de administrador empresarial de matriz do ISA Server pode executar processos altamente privilegiados nos computadores com o ISA Server da empresa.

O ISA Server também fornece uma função de administrador de diretivas. Um usuário com essa função pode exibir e alterar diretivas específicas.

Funções e atividades

Cada função do ISA Server tem uma lista específica de tarefas associadas a si. A tabela a seguir lista algumas tarefas administrativas do ISA Server, junto com as funções nas quais elas são realizadas.

Atividade

Administrador empresarial do ISA Server

Auditor empresarial do ISA Server

Exibir diretivas empresariais

Permitido

Permitido

Criar diretivas empresariais

Permitido

Não permitido

Aplicar diretivas empresariais a uma matriz

Permitido

Não permitido

Exibir diretiva de firewall em nível de matriz

Permitido

Permitido

Exibir configuração da matriz

Permitido

Permitido

Modificar configuração da matriz

Permitido

Não permitido

Criar uma matriz

Permitido

Não permitido

Exibir a configuração local (no registro de membro da matriz)

Permitido

Permitido

Alterar a configuração local (no registro de membro da matriz)

Permitido

Não permitido

Funções para domínio e grupos de trabalho (Enterprise Edition)

Dependendo da topologia específica de sua rede, devem ser configuradas diferentes permissões para as funções que acessam o servidor de armazenamento de configurações.

O computador que executa os serviços do ISA Server pertence a um grupo de trabalho

Se o computador que executa os serviços do ISA Server pertencer a um grupo de trabalho, mas o servidor de armazenamento de configurações pertencer a um domínio, as contas de usuário configuradas nesse domínio devem ser usadas para acessar o servidor de armazenamento de configurações.

Crie contas espelhadas em cada membro de matriz, para comunicação e administração entre matrizes. As contas devem ser criadas com as mesmas configurações da conta de usuário especificada no membro de matriz inicial.

Por exemplo, suponha que o servidor de armazenamento de configurações pertença ao domínio Microsoft.com. Os dois computadores que executam os serviços do ISA Server pertencem cada um a um grupo de trabalho. O administrador empresarial com o nome de usuário Adina administrará essa empresa. Adina deve pertencer ao grupo Administradores empresariais. Neste exemplo, são necessárias as seguintes ações:

  • Criar contas espelhadas para Adina em ambos os computadores que executam os serviços do ISA Server. (As contas devem ter credenciais idênticas.)

  • Adicione o nome de usuário de domínio Adina aos usuários com acesso permitido ao servidor de armazenamento de configurações.

  • Adicione o nome de usuário (especificado na conta espelhada) à lista de contas espelhadas usadas para monitoramento dessa matriz.

Quando o administrador empresarial se conectar à empresa, as seguintes ações serão realizadas:

  1. Especificação das credenciais do usuário que está conectado, quando se especifica o modo de conexão com o servidor de armazenamento de configurações.

  2. Especificação de credenciais diferentes, quando se especifica o modo de conexão com os membros de matriz.

  3. Especificação do nome de usuário Adina para as credenciais de membro de matriz.

O computador que executa os serviços do ISA Server pertence a um domínio

Se o computador que executa os serviços do ISA Server pertencer a um domínio, mas o servidor de armazenamento de configurações pertencer a um grupo de trabalho, crie uma conta administrativa no servidor de armazenamento de configurações.

Observe que, neste cenário, apenas um servidor de armazenamento de configurações pode ser usado para a empresa. Crie contas de domínio para comunicação e administração entre matrizes.

O computador que executa os serviços do ISA Server e o servidor de armazenamento de configurações pertencem a um grupo de trabalho

Se o computador que executa os serviços do ISA Server e o servidor de armazenamento de configurações pertencerem ao mesmo grupo de trabalho, crie uma única conta administrativa.

Observe que, neste cenário, apenas um servidor de armazenamento de configurações pode ser usado para a empresa. Não é preciso criar contas de domínio para comunicação e administração entre matrizes.

Crie contas espelhadas em cada membro de matriz, para comunicação e administração entre matrizes. Recomenda-se criar contas espelhadas para cada administrador. Como alternativa, crie contas espelhadas para cada função.

Credenciais

Quando for solicitada a apresentação das credenciais, use senhas fortes. Uma senha é considerada forte quando proporciona uma defesa eficaz contra acesso não autorizado. Uma senha forte não contém o nome da conta de usuário, nem em seu todo, nem em parte, e contém pelo menos três das quatro categorias de caracteres: caracteres maiúsculos, caracteres minúsculos, algarismos decimais e símbolos do teclado (como !, @ ou #).

Práticas recomendadas

Leve em consideração as práticas recomendadas a seguir.

Permissões

Aplique o princípio de privilégios mínimos na configuração de permissões para administradores do ISA Server, conforme descrito na seção a seguir. Determine com cuidado quem tem permissão de fazer logon no computador do ISA Server, eliminando o acesso de quem não for crucial para as funções do servidor.

Privilégios mínimos

Aplique o princípio de privilégios mínimos, no qual um usuário deve ter somente os privilégios necessários para realizar uma tarefa específica. Isso ajuda a assegurar que, se uma conta de usuário for comprometida, o impacto será minimizado devido à limitação dos privilégios detidos por esse usuário.

Mantenha o grupo Administradores e outros grupos de usuários do menor tamanho possível. Um usuário que pertence ao grupo Administradores no computador do ISA Server, por exemplo, pode realizar qualquer tarefa nele.

Na Standard Edition, os usuários do grupo Administradores recebem implicitamente a atribuição da função de administrador total do ISA Server. Eles têm direitos irrestritos para configurar e monitorar o ISA Server.

Na Enterprise Edition, os usuários que pertencem ao grupo Administradores no servidor de armazenamento de configurações podem controlar a configuração empresarial. Eles podem modificar diretamente qualquer dado no servidor de armazenamento de configurações.

Logon e configuração

Ao fazer o logon no computador do ISA Server, use a conta com os privilégios mínimos necessários para realizar a tarefa. Por exemplo, para configurar uma regra, faça logon como administrador do ISA Server. Entretanto, se quiser apenas exibir um relatório, faça logon com menos privilégios.

Em geral, use uma conta com permissões restritas para realizar tarefas de rotina não relacionadas com a administração e uma conta com permissões mais amplas apenas para realizar tarefas administrativas específicas.

Contas de convidados

Recomendamos não ativar a conta Convidado no computador do ISA Server.

Quando um usuário faz logon no computador do ISA Server, o sistema operacional verifica se as credenciais correspondem a um usuário conhecido. Se as credenciais não forem reconhecidas, o usuário será conectado como convidado, com os mesmos privilégios atribuídos à conta Convidado.

O ISA Server reconhece a conta Convidado como o conjunto de usuários Todos os Usuários Autenticados.

Listas discricionárias de controle de acesso

Durante a nova instalação, as DACLs (listas discricionárias de controle de acesso) do ISA Server são configuradas apropriadamente. Além disso, o ISA Server reconfigura as DACLs quando as funções administrativas são modificadas e quando o serviço isactrl (Controle do Microsoft ISA Service) é reiniciado. Para obter mais informações, consulte a seção Recursos da administração baseada na função descrita anteriormente neste documento.

Cuidado:

Uma vez que o ISA Server reconfigura periodicamente as DACLs, não se deve usar a ferramenta Análise de segurança e configuração para configurá-las por arquivo nos objetos do ISA Server. Caso contrário, pode haver um conflito entre as DACLs definidas pela diretiva de grupo e as DACLs que o ISA Server tenta configurar.

Não modifique as DACLs definidas pelo ISA Server. Observe que o ISA Server não define DACLs para os objetos na lista a seguir. É necessário definir DACLs para os objetos da lista abaixo cuidadosamente, dando permissões apenas para usuários confiáveis e específicos:

Pasta para relatórios (quando se opta por publicar os relatórios).

Arquivos de configuração criados durante a exportação ou backup da configuração.

Arquivos de log que recebem backup em um local diferente.

Certifique-se de definir as DACLs com cuidado, dando permissões apenas a usuários e grupos confiáveis. Certifique-se, também, de criar DACLs rígidas nos objetos usados indiretamente pelo ISA Server. Por exemplo, ao criar uma OBDC (Conectividade aberta a banco de dados) que será usada pelo ISA Server, certifique-se de manter seguro o DSN (nome de origem dos dados).

Configure DACLs rígidas para todos os aplicativos em execução no computador do ISA Server. Certifique-se de configurar DACLs rígidas para os dados associados no sistema de arquivos e no registro.

Se você personalizar o SecurID HTML ou os modelos de mensagem de erro, certifique-se de configurar DACLs apropriadas. A DACL recomendada é Herdar permissão do pai.

Dica:

Recomendamos não salvar dados cruciais (como arquivos executáveis e de log) em partições FAT32. Isto se deve ao fato de que não podem ser configuradas DACLs para TIPs de partições FAT32.

Revogação de permissões de usuário

Quando você revogar permissões administrativas de um administrador do ISA Server, recomendamos excluir a conta de usuário do serviço de diretório Active Directory®, para assegurar-se de que o usuário não tenha mais o acesso.

Remoção de permissões de administrador

Para remover permissões de administrador, remova o usuário do grupo de administradores específico.

Para remover administradores conectados do ISA Server de um grupo de segurança e adicioná-los a um novo grupo, execute as etapas a seguir
  1. Adicione a conta de administrador ao novo grupo.

  2. Faça logoff e, em seguida, reconecte a conta de administrador, para que as novas configurações tenham efeito.

Remova a conta de administrador do grupo original

Isso foi útil para você?
(1500 caracteres restantes)
Agradecemos os seus comentários
Mostrar:
© 2014 Microsoft