Exportar (0) Imprimir
Expandir Tudo
Expandir Minimizar

Guia de Fortalecimento de Segurança do ISA Server 2004

Publicado em: 3 de dezembro de 2004

Introdução

Este guia foi criado para dar fornecer informações essenciais sobre como fortalecer computadores executando o Microsoft Internet Security and Acceleration (ISA) Server 2004 Standard Edition. Além de recomendações práticas para configurações específicas, este guia inclui estratégias de implantação para o ISA Server.

Para computadores executando o Microsoft Windows Server 2003, este guia é um acompanhamento para o Guia de Segurança do Windows Server 2003 (http://go.microsoft.com/fwlink/?LinkId=31584). Especificamente, muitos dos procedimentos neste guia estão diretamente relacionados com as recomendações de segurança introduzidas no Guia de Segurança do Windows Server 2003. Portanto, antes de executar os procedimentos apresentados neste guia, recomendamos que você leia primeiro o Guia de Segurança do Windows Server 2003.

Se o ISA Server estiver instalado num computador executando o Windows® 2000 Server, veja o Guia de Fortalecimento de Segurança do Windows 2000 (http://go.microsoft.com/fwlink/?LinkID=22380).

O Escopo deste Guia

Este guia foca explicitamente nas operações exigidas para ajudar a criar e manter um ambiente seguro para o ISA Server 2004. Você deve usar este guia como parte de sua estratégia de segurança para o ISA Server 2004, e não como uma referência completa para a criação e manutenção de um ambiente seguro.

Especificamente, este guia fornece respostas detalhadas para as seguintes perguntas:

  • Quais são as etapas recomendadas para proteger um computador ISA Server?

  • Quais considerações de segurança devem ser aplicadas à configuração do ISA Server?

  • Quais orientações estão disponíveis para ajudar a preparar uma implantação segura do ISA Server 2004?

Protegendo o Computador do Servidor ISA

Um passo importante na proteção do ISA Server é certificar-se o computador ISA Server está fisicamente seguro, e se as recomendações de configurações de segurança foram aplicadas, incluindo:

  • Gerenciamento de atualizações

  • Proteção física do computador

  • Determinando os membros do domínio

  • Fortalecimento da infra-estrutura do Windows

  • Gerenciamento de funções e permissões

  • Redução da superfície de ataque em potencial

As seguintes sessões descrevem como implementar estas recomendações. Esta seção também descreve como um ISA Server é travado quando uma ameaça na segurança for identificada.

Gerenciamento de Atualizações

Como uma melhor prática de segurança, recomendamos que sempre sejam instaladas as últimas atualizações para o sistema operacional, para o ISA Server, e para outros componentes instalados pelo ISA Server: o Microsoft SQL Server™ 2000 Desktop Engine (MSDE) e o Office Web Components 2002 (OWC). Faça o seguinte:

Também recomendamos que você analise regularmente a segurança do sistema, usando o Microsoft Baseline Security Analyzer (MBSA). Você pode obter o MBSA através de download no site do MBSA (http://go.microsoft.com/fwlink/?LinkID=28790).

Acesso Físico

Certifique-se de que o computador ISA Server esteja num local fisicamente seguro. O acesso físico a um servidor representa um alto risco de segurança. O acesso físico a um servidor por um invasor pode resultar em modificações não autorizadas, bem como uma instalação de hardware ou software com o intuito de driblar a segurança. Para manter um ambiente seguro, é preciso restringir o acesso físico ao computador ISA Server.

Determinando os Membros do Domínio

Em muitos casos é uma boa idéia instalar o computador ISA Server como um membro de um domínio. Por exemplo, se você pretende criar uma política que dependerá a autenticação do usuário do domínio, o ISA Server deve pertencer a um domínio.

Se o computador ISA Server estiver protegendo a margem de sua rede, recomendamos que você o instale em uma floresta separada (ao invés da floresta interna de sua rede corporativa). Desta forma, você ajudará a proteger a floresta interna evitando seu comprometimento, mesmo se um ataque for preparado na floresta do computador ISA Server. Para tirar proveito dos benefícios administrativos e de segurança do ISA Server como um membro do domínio, recomendamos a implantação do computador ISA Server em uma floresta separada com uma relação de confiança de mão única com a floresta corporativa. (A relação de confiança de mão única é suportada apenas nos domínios do Windows Server 2003.)

Note que quando você instala o ISA Server como um membro do domínio, você pode travar computador ISA Server usando uma Política de Grupo, ao invés de configurar apenas uma política local.

Por razões de segurança, se não for exigida funcionalidade do serviço de diretório do Active Directory® ou do domínio para o computador ISA Server, considere fazer a instalação do computador ISA Server em um grupo de trabalho. Por exemplo, se o ISA Server estiver protegendo a margem da rede, considere instalar o computador em um grupo de trabalho.

Fortalecimento da Infra-estrutura do Windows

Como foi mencionado anteriormente, este guia assume que você tenha aplicado as configurações recomendadas no Guia de Segurança do Windows Server 2003. Especificamente, você deve aplicar o modelo de segurança do Microsoft Baseline Security Policy. No entanto, não implemente os filtros do Internet Protocol security (IPSec) ou qualquer uma das políticas de função do servidor.

Além disso, você deve considerar a funcionalidade do ISA Server e fortalecer o sistema operacional de acordo.

A seguinte tabela lista os serviços centrais que devem ser habilitados para que o ISA Server e o computador ISA Server funcionem adequadamente.

Nome do Serviço

Raciocínio (rationale)

Modo de Inicialização

Sistema de Eventos COM+

Sistema operacional central

Manual

Serviços de Criptografia

Sistema operacional central (segurança)

Automático

Log de eventos

Sistema operacional central

Automático

Serviços IPSec

Sistema operacional central (segurança)

Automático

Lógica de discos lógicos

Sistema operacional central (gerenciamento de disco)

Automático

Serviços Administrativos do Gerenciador de discos lógicos

Sistema operacional central (gerenciamento de disco)

Manual

Firewall da Microsoft

Exigido para o funcionamento normal do ISA Server

Automático

Controle do Microsoft ISA Server

Exigido para o funcionamento normal do ISA Server

Automático

Agendador de Tarefas do Microsoft ISA Server

Exigido para o funcionamento normal do ISA Server

Automático

MSSQL$MSFW

Exigido quando o registro do MSDE é usado para o ISA Server

Automático

Conexões de Rede

Sistema operacional central (infra-estrutura da rede)

Manual

Provedor de Suporte de Segurança NTLM

Sistema operacional central (segurança)

Manual

Plug and Play

Sistema operacional central

Automático

Armazenamento Protegido

Sistema operacional central (segurança)

Automático

Gerenciador de Conexão de Acesso Remoto

Exigido para o funcionamento normal do ISA Server

Manual

Chamada de Procedimento Remoto (RPC)

Sistema operacional central

Automático

Logon Secundário

Sistema operacional central (segurança)

Automático

Gerenciador de Contas de Segurança

Sistema operacional central

Automático

Servidor

Exigido para o ISA Server Firewall Client Share

Automático

Cartão Inteligente

Sistema operacional central (segurança)

Manual

SQLAgent$MSFW

Exigido quando o registro do MSDE é usado para o ISA Server

Manual

Notificação de Eventos de Sistema

Sistema operacional central

Automático

Telefonia

Exigido para o funcionamento normal do ISA Server

Manual

Serviço de Disco Virtual (VDS)

Sistema operacional central (gerenciamento de disco)

Manual

Windows Management Instrumentation (WMI)

Sistema operacional central (WMI)

Automático

Adaptador de Desempenho WMI

Sistema operacional central (WMI)

Manual

Funções de Servidor do ISA Server

O computador ISA Server pode operar com capacidades ou funções adicionais dependendo de como o computador é usado. A seguinte tabela exibe as possíveis funções do servidor, descreve quando elas podem ser exigidas, e lista também os serviços que devem ser ativados quando você habilita a função.

Função do Servidor

Cenário de Uso

Serviços Exigidos

Modo de Inicialização

Roteamento e Servidor de Acesso Remoto

Usuários e grupos determinados para esta função podem monitorar a atividade de rede e o computador ISA Server, mas não podem configurar funcionalidade de monitoramento específica.

Roteamento e Acesso Remoto

Manual

Roteamento e Servidor de Acesso Remoto

Usuários e grupos determinados para esta função podem monitorar a atividade de rede e o computador ISA Server, mas não podem configurar funcionalidade de monitoramento específica.

Remote Access Connection Manager

Manual

Roteamento e Servidor de Acesso Remoto

Usuários e grupos determinados para esta função podem monitorar a atividade de rede e o computador ISA Server, mas não podem configurar funcionalidade de monitoramento específica.

Telefonia

Manual

Roteamento e Servidor de Acesso Remoto

Usuários e grupos determinados para esta função podem monitorar a atividade de rede e o computador ISA Server, mas não podem configurar funcionalidade de monitoramento específica.

Estação de Trabalho

Automático

Roteamento e Servidor de Acesso Remoto

Usuários e grupos determinados para esta função podem monitorar a atividade de rede e o computador ISA Server, mas não podem configurar funcionalidade de monitoramento específica.

Servidor

Automático

Servidor Terminal para Administração Remota do Desktop

Selecione esta função para habilitar o gerenciamento remoto do computador ISA Server.

Servidor

Automático

Servidor Terminal para Administração Remota do Desktop

Selecione esta função para habilitar o gerenciamento remoto do computador ISA Server.

Terminal Services

Manual

Nota O modo de instalação para o serviço deve ser Automático nos seguintes casos:

  • Você instala o ISA Server 2004: Client Installation Share (Compartilhamento do Cliente do Firewall).

  • Você usa o Roteamento e Gerenciamento de Acesso Remoto, ao invés do ISA Server Management, para configurar uma rede virtual privada (virtual private network - VPN).

  • Outras tarefas ou funções, como foi descrito na tabela anterior, requerem o serviço. O modo de instalação para o serviço de Acesso Remoto e Roteamento é Manual. O ISA Server inicia o serviço apenas se uma VPN é habilitada.

Note que o serviço do Server é exigido apenas se você usar o Roteamento e o Gerenciamento de Acesso Remoto (ao invés do Gerenciamento do ISA Server) para configurar uma VPN.

Tarefas de Servidor do ISA Server

As tarefas de servidor são similares às funções de servidor e muitas vezes relacionadas a elas, mas não incluídas nelas. Para um servidor desempenhar as tarefas necessárias, serviços específicos devem ser habilitados, com base nas funções que você selecionar. Serviços desnecessários devem ser desativados. A seguinte tabela lista possíveis tarefas de servidor para o ISA Server, descreve quando elas podem ser necessárias, e lista os serviços que devem ser ativados quando a função é habilitada.

Tarefa do Servidor

Cenário de Uso

Serviços Exigidos

Modo de Inicialização

Instalação da aplicação localmente usando o Windows Installer

Obrigatório para instalar, desinstalar, ou consertar aplicações usando o Microsoft Installer Service.

Windows Installer

Manual

Backup

Obrigatório se estiver usando o NTBackup ou outro programa de backup no computador ISA Server.

Provedor de Cópia de Sombra do Software da Microsoft

Manual

Backup

Obrigatório se estiver usando o NTBackup ou outro programa de backup no computador ISA Server.

Cópia de Volume de Sombra

Manual

Backup

Obrigatório se estiver usando o NTBackup ou outro programa de backup no computador ISA Server.

Serviço de Armazenamento Removível

Manual

Relatório de Erro

Use habilitar o relatório de erro, ajudando assim a aperfeiçoar a confiabilidade do Windows ao relatar falhas críticas a Microsoft para analise.

Serviço de Relatório de Erro

Automático

Ajuda e Suporte

Permite a coleta de dados do histórico do computador para escalação de incidentes pelo Serviço de Suporte de Produto da Microsoft.

Ajuda e Suporte

Automático

ISA Server 2004: Client Installation Share

Obrigatório para permitir que computadores se conectem e instalem a partir do compartilhamento do Cliente do Firewall no computador ISA Server.

Servidor

Automático

ISA Server 2004: registro no MSDE

Obrigatório para permitir o registro usando os bancos de dados do MSDE. Se o serviço aplicável não for habilitado, você pode registrar arquivos ou bancos de dados do SQL. No entanto, você não poderá usar o Log Viewer off-line.

SQLAgent$MSFW

Manual

ISA Server 2004: registro no MSDE

Obrigatório para permitir o registro usando os bancos de dados do MSDE. Se o serviço aplicável não for habilitado, você pode registrar arquivos ou bancos de dados do SQL. No entanto, você não poderá usar o Log Viewer off-line.

MSSQL$MSFW

Automático

Monitor de Desempenho - Coleta de Histórico

Permite a coleta de histórico de dados de desempenho no computador ISA Server.

Alertas e Registros de Desempenho

Automático

Imprimir para um computador remoto

Permite a impressão a partir do computador ISA Server.

Spooler de Impressão

Automático

Imprimir para um computador remoto

Permite a impressão a partir do computador ISA Server.

TCP/IP NetBIOS Helper

Automático

Imprimir para um computador remoto

Permite a impressão a partir do computador ISA Server.

Estação de Trabalho

Automático

Administração Remota do Windows

Permite o gerenciamento remoto do servidor Windows (não exigido no gerenciamento remoto do ISA Server).

Servidor

Automático

Administração Remota do Windows

Permite o gerenciamento remoto do servidor Windows (não exigido no gerenciamento remoto do ISA Server).

Registro Remoto

Automático

Sincronização do Tempo

Permite ao computador ISA Server entrar em contato com um servidor NTP para sincronizar seu relógio. De uma perspectiva de segurança, um relógio preciso é importante para auditoria e protocolos de segurança.

Windows Time

Automático

Assistente Remoto

Permite que o recurso Assistente Remoto seja usado neste computador.

Ajuda e Suporte

Automático

Assistente Remoto

Permite que o recurso Assistente Remoto seja usado neste computador.

Gerenciador de Sessão de Ajuda de Área de Trabalho Remota

Manual

Assistente Remoto

Permite que o recurso Assistente Remoto seja usado neste computador.

Serviços de Terminal

Manual

Nota As aplicações cliente de tempo exigem que o serviço do Servidor ou Sem fio esteja sendo executado para funcionar adequadamente.

Funções Cliente do ISA Server

Os servidores podem ser clientes de outros servidores. As funções clientes são dependentes de serviços específicos de funções que estão sendo habilitadas. A seguinte tabela lista funções clientes possíveis para o ISA Server, descreve quando elas podem ser exigidas, e lista os serviços que devem ser ativados quando a função é habilitada.

Função Cliente

Cenário de Uso

Serviços Exigidos

Modo de Inicialização

Cliente de Atualizações Automáticas

Selecione esta função para permitir detecção e atualização automática do Microsoft Windows Update.

Atualizações Automáticas

Automático

Cliente de Atualizações Automáticas

Selecione esta função para permitir detecção e atualização automática do Microsoft Windows Update.

Serviço de Transferência Inteligente de Pano de Fundo

Manual

Cliente DHCP

Selecione esta função se o computador ISA Server receber seu endereço de IP automaticamente de um servidor DHCP.

Cliente DHCP

Automático

Cliente DNS

Selecione esta função se o computador ISA Server precisa receber informações sobre resolução de nome de outros servidores.

Cliente DNS

Automático

Membro do Domínio

Selecione esta função se o computador ISA Server pertencer a um domínio.

Reconhecimento de local da rede (NLA)

Manual

Membro do Domínio

Selecione esta função se o computador ISA Server pertencer a um domínio.

Logon de rede

Automático

Membro do Domínio

Selecione esta função se o computador ISA Server pertencer a um domínio.

Windows Time

Automático

Registro DNS Dinâmico

Selecione esta função para permitir que o computador ISA Server registre automaticamente seu nome e endereço com um DNS Server.

DHCP Cliente

Automático

Cliente de Rede Microsoft

Selecione esta função se o computador ISA Server precisa se conectar a outros clientes Windows. Se esta função não for selecionada, o computador ISA Server não poderá acessar compartilhamentos em computadores remotos para, por exemplo, publicar relatórios.

Auxiliar NetBIOS TCP/IP

Automático

Cliente de Rede Microsoft

Selecione esta função se o computador ISA Server precisa se conectar a outros clientes Windows. Se esta função não for selecionada, o computador ISA Server não poderá acessar compartilhamentos em computadores remotos para, por exemplo, publicar relatórios.

Estação de Trabalho

Automático

Cliente WINS

Selecione esta função se o computador ISA Server usar resoluções de nome com base no WINS.

Auxiliar NetBIOS TCP/IP

Automático

Criando um Modelo de Segurança

Você pode criar um modelo, usando o snap-in dos Modelos de Segurança do Console de Gerenciamento da Microsoft (MMC). O modelo inclui informações sobre quais serviços devem ser habilitados, bem como seu modo de inicialização. Ao usar um modelo de segurança, você pode configurar facilmente uma política de segurança e então aplicá-la a cada computador ISA Server.

Para criar um modelo de segurança, execute os seguintes passos.

  1. Para abrir o Modelo de Segurança, clique em Start, clique em Run, digite mmc, e então clique em OK.

  2. No menu File, clique em Add/Remove Snap-in e então clique em Add.

  3. Selecione Security Templates, clique em Add, clique em Close, e então clique em OK.

    Cc302488.isa2004hardening_01(pt-br,TechNet.10).gif

  4. Na árvore do console, clique no nó Security Templates, clique com o botão direito na pasta onde você quer guardar o novo modelo, e clique em New Template.

    Cc302488.isa2004hardening_02(pt-br,TechNet.10).gif

  5. Em Template name, digite o nome para o seu novo modelo de segurança.

  6. Em Description, digite uma descrição do seu novo modelo de segurança, e então clique em OK.

  7. Amplie o novo modelo, e clique em System Services.

    Cc302488.isa2004hardening_03(pt-br,TechNet.10).gif
    Veja a imagem ampliada

  8. No painel de detalhes, clique com o botão direito em COM+ Event System e clique em Properties.

  9. Selecione Define this policy setting in the template e então clique no modo de inicialização. (Para COM+ Event System, the modo de inicialização é Automatic.)

    Cc302488.isa2004hardening_04(pt-br,TechNet.10).gif

  10. Repita os passos 8 e 9 para cada um dos serviços listados na seguinte tabela.

    Nome do Serviço

    Nome abreviado

    Modo de inicialização

    Atualizações Automáticas

    wuauserv

    Automático

    Serviço de Transferência Inteligente de Pano de Fundo

    BITS

    Manual

    Sistema de eventos COM+

    EventSystem

    Manual

    Serviços de Criptografia

    CryptSvc

    Automático

    Cliente DHCP

    Dhcp

    Automático

    Cliente DNS

    Dnscache

    Automático

    Erro ao Informar o Serviço

    ERSvc

    Automático

    Log de evento

    Eventlog

    Automático

    Ajuda e Suporte

    Helpsvc

    Automático

    Serviços IPSec

    PolicyAgent

    Automático

    Gerenciador de discos lógicos

    dmserver

    Automático

    Serviço Administrativo do Gerenciador de Discos Lógicos

    dmadmin

    Manual

    Firewall da Microsoft

    Fwsrv

    Automático

    Controle do Microsoft ISA Server

    ISACtrl

    Automático

    Agendador de Tarefas do Microsoft ISA Server

    ISASched

    Automático

    Armazenamento do Microsoft ISA Server

    ISASTG

    Automático

    Provedor de Cópias de Sombra do Software da Microsoft Software

    SWPRV

    Manual

    MSSQL$MSFW

    MSSQL$MSFW

    Automático

    Conexões de Rede

    Netman

    Manual

    Reconhecimento de Local da Rede (NLA)

    NLA

    Manual

    Provedor de Suporte de Segurança NTLM

    NtLmSsp

    Manual

    Logs e Alertas de Desempenho

    SysmonLog

    Automático

    Plug and Play

    PlugPlay

    Automático

    Armazenamento Protegido

    ProtectedStorage

    Automático

    Gerenciador de Conexão de Acesso Remoto

    RasMan

    Manual

    Gerenciador de Seção de Ajuda de Área de Trabalho Remota

    RDSessMgr

    Manual

    Chamada de Procedimento Remoto P (RPC)

    RpcSs

    Automático

    Armazenamento Removível

    NtmsSvc

    Manual

    Roteamento e Acesso Remoto

    None

    Manual

    Logon Secundário

    seclogon

    Automático

    Gerenciador de Contas de Segurança

    SamSs

    Automático

    Servidor

    lanmanserver

    Manual

    Cartão Inteligente

    SCardSvr

    Manual

    Notificação de Eventos de Sistema

    SENS

    Automático

    Auxiliar TCP/IP NetBIOS

    LmHosts

    Automático

    Telefonia

    TapiSrv

    Manual

    Serviços de Terminal

    TermService

    Manual

    Serviço de Disco Virtual (VDS)

    VDS

    Manual

    Cópia de Volume de Sombra

    VSS

    Manual

    Instalador do Windows

    MSIServer

    Manual

    Windows Management Instrumentation

    winmgmt

    Automático

    Windows Time

    W32time

    Automático

    Configuração zero sem fio

    WZCSVC

    Automático

    Adaptador de desempenho WMI

    WmiApSrv

    Manual

    Estação de Trabalho

    lanmanworkstation

    Automático

Nota O modo de inicialização para o serviço do servidor deverá ser Automático nos seguintes casos:

  • Voce instala o ISA Server 2004: Client Installation Share.

  • Você usa o Rotemento (Routing) e Gerenciamento de Acesso Remoto (Remote Access Management), ao invés do ISA Server Management, para configurar uma VPN.

  • Outras tarefas ou funções, como mostra a tabela anterior, exigem o serviço.
    O modo de inicialização para o Rotemento e Gerenciamento de Acesso Remoto é Manual. O ISA Server inicia o serviço apenas se uma VPN for habilitada.
    As aplicações cliente de tempo exigem que o serviço do Servidor ou Sem fio esteja sendo executado para funcionar adequadamente.

Para aplicar o novo modelo ao computador ISA Server, execute os seguintes passos:

  1. Para abrir os Modelos de Segurança, clique em Start, clique em Run, digite mmc, e então clique em OK.

  2. No menu File, clique em Add/Remove Snap-in e então clique em Add.

  3. Selecione Security Configuration and Analysis, clique em Add, clique em Close, e então clique em OK.

    Cc302488.isa2004hardening_05(pt-br,TechNet.10).gif

  4. Na árvore do console tree, clique em Security Configuration and Analysis.

  5. Clique com o botão direito em Security Configuration and Analysis e então clique em Open Database.

  6. Digite um novo nome para o banco de dados, e então clique em Open.

  7. Selecione um modelo de segurança para importar, e então clique em Open. Selecione o modelo de segurança que voce criou anteriormente.

    Cc302488.isa2004hardening_06(pt-br,TechNet.10).gif

  8. Clique com o botão direito em Security Configuration and Analysis e então clique em Configure Computer Now.

Gerenciando Permissões e Funções

O ISA Server controla o acesso para sua rede, e por isso seja muito cuidadoso ao designar permissões para o computador do ISA Server e componentes relacionados. Determine cuidadosamente quem deve ter permissões para fazer o logon no computador ISA Server. Então, configure os direitos de logon de acordo.

O ISA Server permite a você aplicar funções administrativas aos usuários e grupos. Após determinar quais grupos têm permissão para configurar ou visualizar políticas do ISA Server e monitorar informações, você pode designar funções apropriadamente.

As seguintes seções detalharão considerações sobre quando designar permissões e funções administrativas.

Funções Administrativas

Como em qualquer aplicação em seu ambiente, quando você define as permissões para o ISA Server, é preciso considerar as funções de seus administradores do ISA Server e designar a eles apenas as permissões necessárias. Para simplificar o processo, o ISA Server usa funções administrativas. Você pode usar a administração baseada em funções para organizar seus administradores do ISA Server em funções separadas e pré-definidas, cada qual com seu próprio conjunto de tarefas. Quando você designa uma função a um usuário, você essencialmente está permitindo que ele execute tarefas específicas. Um usuário que tem uma função, como ISA Server Full Administrator (Administrador Total), pode desempenhar tarefas específicas do ISA Server que um usuário com outra função, como ISA Server Basic Monitoring (Monitoramento Básico), não pode. A administração baseada em funções envolve usuários e grupos do Windows. Estas permissões de segurança, participações em grupos, e direitos de usuários são usadas para distinguir quais usuários possuem quais funções. A seguinte tabela descreve as funções do ISA Server.

Função

Descrição

ISA Server Basic Monitoring (Monitoramento básico)

Usuários e grupos designados para esta função podem monitorar o computador e a atividade de rede do ISA Server, mas não podem configurar funcionalidade de monitoramento específica.

ISA Server Extended Monitoring (Monitoramento ampliado)

Usuários e grupos designados para esta função podem desempenhar todas as tarefas de monitoramento, incluindo configuração de log, de definição de alerta, e todas as funções de monitoramento disponíveis na função de monitoramento básico do ISA Server Basic Monitoring.

ISA Server Full Administrator (Administrador total)

Usuários e grupos designados para esta função podem desempenhar qualquer tarefa do ISA Server, incluindo a configuração de regras, aplicação de modelos de rede, e monitoramento.

Qualquer usuário do Windows pode ser membro destes grupos administrativos do ISA Server. Não não necessários privilégios espeicais ou permissões do Windows. A única exceção é que para visualizar os registros de desempenho do ISA Server, usando o perfmon ou o ISA Server Dashboard, o usuário precisa ser um membro do grupo do Windows Server 2003 Performance Monitors User.

Note que administradores com permissões do ISA Server Extended Monitoring podem exportar e importar todas as informações sobre configuração, incluindo informações secretas. Isto significa que eles podem decriptar informações secretas.

Para designar funções administrativas, execute os seguintes passos.

  1. Clique em Start, direcione para All Programs, direcione para Microsoft ISA Server, e então clique em ISA Server Management.

  2. Na árvore do console do ISA Server Management, clique em Microsoft ISA Server 2004 e então clique em server_name.

  3. No tab Tasks, clique em Define Administrative Roles.

    Cc302488.isa2004hardening_07(pt-br,TechNet.10).gif


    Veja a imagem ampliada
  4. Na página Welcome do ISA Server Administration Delegation Wizard, clique em Next.

  5. Clique em Add.

  6. Em Group (recommended) or User, digite o nome do grupo ou usuário para o qual serão designadas permissões administrativas específicas.

  7. Em Role, selecione a função administrativa aplicável.

Funções e Atividades

Cada função do ISA Server possui uma lista específica de tarefas do ISA Server associadas a ele. A seguinte tabela lista algumas tarefas de administração do ISA Server junto com as funções nas quais elas são executadas.

Atividade

Permissões de Monitoramento Básico

Permissões de Monitoramento Ampliado

Permissões de Administrador Total

Visualizar Dashboard, alertas, conectividade, sessões e serviços

X

X

X

Reconhecer alertas

X

X

X

Visualizar informações de log

X

X

Criar definições de alerta

X

X

Criar relatórios

X

X

Parar e iniciar sessões e serviços

X

X

Visualizar política de firewall

X

X

Configurar política de firewall

X

Configurar cachê

X

Configurar VPN

X

Permissões

Aplque o princípio de privilégio mínimo ao configurar permissões para os administradores ISA Server, como descreveremos na seção seguinte. Determine cuidadosamente quem tem permissão para fazer o logon no computador ISA Server, eliminando o acesso daqueles que não são essenciais para o funcionamento do servidor.

Privilégios Mínimos

Aplique o princípio do privilégio mínimo, onde um usuário tem os mínimos privilégios necessários para desempenhar uma tarefa específica. Isto ajuda a garantir que, se uma conta de usuário for comprometida, o impacto será minimizado pelos privilégios limitados que aquele usuário possui. Mantenha o grupo de Administradores e outros grupos de usuários o menor possível. Um usuário que pertence ao grupo de Administradores no computador ISA Server, por exemplo, pode desempenhar qualquer tarefa no computador ISA Server.

Note os usuários no grupo de Administradores são designados implicitamente para a função de ISA Server Full Administrator (Administrador Total), o que significa que eles também têm direitos para configurar e monitorar o ISA Server. Para mais informações sobre funções, veja a seção de Funções Administrativas.

Fazendo o Logon e Configurando

Quando você fizer o logon no computador ISA Server, faça-o com a conta com o privilégio mínimo necessário para a execução da tarefa. Por exemplo, para configurar uma regra, você deve fazer o logon como um administrador do ISA Server. No entanto, se você só quiser visualizar um relatório, faça o logon com menos privilégios.

Em geral, use uma conta com permissões restritivas para desempenhar tarefas de rotina, não administrativas, e use uma conta com permissões mais amplas apenas quando for executar tarefas administrativas específicas.

Contas de Visitante

Recomendamos que você não habilite a conta de Visitante no computador ISA Server.

Quando um usuário faz o logon num computador ISA Server, o sistema operacional verifica se as credenciais pertencem a um usuário conhecido. Se as credenciais não pertencerem a um usuário conhecido, o usuário é registrado como Visitante, com os mesmos privilégios concedidos à conta de Visitante.

O ISA Server reconhece a Conta de Visitante como conjunto padrão de usuários dos Usuários Autenticados.

Listas de Controle de Acesso Arbitrário

Com uma nova instalação, as listas de controle de acesso arbitrário (DACLs) do ISA Server são devidamente configuradas. Além disso, o ISA Server re-configura as DACLs apropriadamente quando as funções administrativas são modificadas (para mais informações, veja a seção de Funções Administrativas) e quando o Serviço de Controle do ISA Server (isactrl) é reiniciado.

AVISO O ISA Server re-configura DACLs periodicamente, e por isso a ferramenta de Análise de Configuração e Segurança não deve ser usada para configurar os DACLs por arquivo nos objetos do ISA Server. Caso contrário, poderá haver um conflito entre os DACLs estabelecidos pela Política de Grupo e os DACLs que o ISA Server tenta configurar.

Não modifique as DACLs estabelecidas pelo ISA Server. Note que o ISA Server não estabelece DACLs para objetos na seguinte lista. Você deve estabelecer DACLs cuidadosamente para os objetos na seguinte lista, concedendo permissões apenas a usuários confiáveis e específicos:

  • Pasta para relatórios (quando você seleciona para a publicação de relatórios).

  • Arquivos de configuração criados ao exportar ou fazer o backup da configuração.

  • Arquivos registrados que são gravados como backup em um local diferente.

Certifique-se de estabelecer as DACLs cuidadosamente, concedendo permissões apenas a usuários e grupos confiáveis. Além disso, certifique-se de criar DACLs rígidos nos objetos que são usados indiretamente pelo ISA Server. Por exemplo, ao criar uma conexão ODBC que será usada pelo ISA Server, certifique-se de proteger o Nome da Fonte de Dados (Data Source Name - DSN).

Configure DACLs rígidas para todas as aplicações sendo executadas no computador ISA Server. Certifique-se de configurar DACLs rígidas para dados associados no sistema de arquivo e no registro.

Dica Recomendamos que dados críticos (como arquivos registrados e executáveis) não sejam salvos em partições FAT32. Isto porque os DACLs não podem ser configurados para partições FAT32.

Reduzindo a superfície de ataque

Para proteger ainda mais o computador ISA Server, aplique o princípio da superfície de ataque reduzida. Para reduzir a área de ataque de sua superfície, siga estas orientações:

  • Não execute nenhuma aplicação ou serviço desnecessário no computador ISA Server. Inabilite serviços e funções não essenciais para as tarefas atuais, como descritos na seção de Fortalecimento da Infra-estrutura do Windows.

  • Inabilite recursos do ISA Server que você não utiliza. Por exemplo, se você não precisa de caching, inabilite-o. Se não precisa da funcionalidade VPN do ISA Server, inabilite o acesso ao cliente VPN.

  • Identifique os serviços e tarefas que não são essenciais para o gerenciamento de sua rede, e então inabilite as regras de políticas do sistema associadas.

  • Limite a aplicabilidade das regras de políticas do sistema para apenas as entidades de rede necessárias. Por exemplo, o grupo de configuração de políticas do sistema do Active Directory, habilitado por padrão, é aplicado a todos os computadores na rede interna. Você pode limitar isto para que seja aplicado apenas a um grupo específico do Active Directory na rede interna.

As seguintes seções descrevem como você pode reduzir a superfície de ataque do computador ISA Server.

Desativando Recursos do ISA Server

Dependendo das suas necessidades específicas de rede, você pode não precisar de um conjunto rico de recursos incluídos no ISA Server. Considere cuidadosamente suas necessidades específicas, e determine se você precisa de:

  • Acesso de cliente VPN

  • Caching

  • Suplementos

Se você não precisa de um recurso específico, inabilite-o.

Acesso de Cliente VPN

O acesso de cliente VPN é desativado por padrão. Isto significa que a regra de política do sistema relevante, chamada Allow VPN client traffic to ISA Server (permitir tráfego do cliente VPN ao ISA Server) também é inabilitada. A regra da rede padrão chamada VPN Clients to Internal Network (Clientes VPN para a Rede Interna) é habilitada, mesmo quando o acesso de cliente VPN é desativado. Se o acesso de cliente VPN tiver sido habilitado anteriormente, você pode inabilitá-lo, se ele não for necessário.

Para verificar se o acesso de cliente VPN está desativado, siga os seguintes passos.

  1. Clique em Start, direcione para All Programs, direcione para Microsoft ISA Server, e então clique em ISA Server Management.

  2. Na árvore do console do ISA Server Management, clique em Microsoft ISA Server 2004, clique em server_name, e então clique em Virtual Private Networks (VPN).

  3. No painel de detalhes, clique no tab VPN Clients e então clique em Verify that VPN Client Access is Enabled.

    Cc302488.isa2004hardening_08(pt-br,TechNet.10).gif
    Veja a imagem ampliada

  4. No tab General, verifique se Enable VPN client access não está selecionado.

    Cc302488.isa2004hardening_09(pt-br,TechNet.10).gif

Caching

O Caching é desativado por padrão. Isto significa que todos os recursos relevantes de caching, incluindo o download de conteúdo programado, estão desativados. Se o caching tiver sido habilitado anteriormente para ISA Server, você pode inabilitá-lo.

Para verificar se o caching está desativado, siga os seguintes passos.

  1. Clique em Start, direcione para All Programs, direcione para Microsoft ISA Server, e então clique em ISA Server Management.

  2. Na árvore do console do ISA Server Management, clique em Microsoft ISA Server 2004, clique em server_name, clique em Configuration, e então clique em Cache.

  3. No painel de detalhes, clique no tab Cache Drives.

  4. No tab Tasks, clique em Disable caching.
    Nota Se o caching estiver desativado, você não verá esta opção.

    Cc302488.isa2004hardening_10(pt-br,TechNet.10).gif
    Veja a imagem ampliada

Quando você instala o ISA Server, um conjunto de filtros de aplicações e filtros da web também é instalado. Você pode instalar em seguida suplementos adicionais, fornecidos por terceiros. Siga as seguintes orientações:

  • Não instale filtros de aplicações ou filtros da web que não sejam necessários.

  • Nunca instale um filtro de uma fonte não confiável.

  • Salve o DLL associado com o suplemento em uma biblioteca protegida (por exemplo, %ProgramFiles%\Microsoft ISA Server). Certifique-se de configurar ACLs rígidos para esta biblioteca.

  • Inabilite filtros da web e de aplicações que você não necessita.

Para inabilitar um suplemento, siga os seguintes passos.

  1. Clique em Start, direcione para All Programs, direcione para Microsoft ISA Server, e então clique em ISA Server Management.

  2. Na árvore do console do ISA Server Management, clique em Microsoft ISA Server 2004, clique em server_name, clique em Configuration, e então clique em Add-ins.

  3. No painel de detalhes, selecione o suplemento aplicável.

  4. No tab Tasks, clique em Disable Selected Filters.

Política do Sistema

O ISA Server inclui uma configuração padrão de política do sistema, que permite o uso de serviços comumente exigidos para que a infra-estrutura da rede funcione adequadamente.

Em geral, de uma perspectiva da segurança, recomendamos enfaticamente que você configure a política do sistema para que não seja permitido o acesso aos serviços que não são necessários para o gerenciamento de sua rede. Após a instalação, leia cuidadosamente as regras configuradas da política do sistema. Da mesma forma, após desempenhar tarefas importantes de administração, reveja novamente a configuração da política do sistema.

As seguintes seções descrevem serviços que são habilitados pelas regras da política do sistema.

Serviços de Rede

Quando você instala o ISA Server, serviços básicos de rede são habilitados. Após a instalação, o ISA Server pode acessar servidores de resolução de nome e serviços de sincronização de tempo na rede Interna.

Se os serviços de rede estiverem disponíveis numa rede diferente, é preciso modificar as fontes de grupo de configuração aplicável para aplicar à rede específica. Por exemplo, suponha que o servidor DHCP não esteja localizado na rede Interna, mas numa rede do perímetro. Modifique a fonte para o grupo de configuração DHCP para aplicar àquela rede do perímetro.

Você pode modificar a política do sistema para que apenas determinados computadores na rede Interna possam ser acessados. Alternativamente, você pode acrescentar redes adicionais, se os serviços forem encontrados em outro local.

A seguinte tabela mostra as regras da política do sistema que se aplica aos serviços de rede.

Grupo de Configuração

Nome da Regra

Descrição da Regra

DHCP

Allow DHCP requests from ISA Server to Internal (Permite solicitações DHCP do para Interna)
Allow DHCP replies from DHCP servers to ISA Server (Permite respostas dos servidores DHCP para o ISA Server)

Permite que o computador ISA Server acesse a rede Interna usando os protocolos do DHCP (resposta) e DHCP (solicitações).

DNS

Allow DNS from ISA Server to selected servers (Permite DNS do Isa Server para servidores selecionados)

Permite que o computador ISA Server acesse todas as redes usando o protocolo DNS.

NTP

Allow NTP from ISA Server to trusted NTP servers (Permite NTP do ISA Server para servidores NTP confiáveis)

Permite que o computador do ISA Server acesse a rede interna usando o protocolo NTP (UDP).

Serviços DHCP

Se o seu servidor DHCP não está localizado na rede Interna, você terá que modificar a regra da política do sistema, para que ela seja aplicada à rede na qual o servidor DHCP está localizado. Por exemplo, se o servidor DHCP estiver localizado na rede Externa, siga os seguintes passos.

  1. Clique em Start, direcione para All Programs, direcione para Microsoft ISA Server, e então clique em ISA Server Management.

  2. Na árvore do console do ISA Server Management, clique em Microsoft ISA Server 2004, clique em server_name, e então clique em Firewall Policy.

  3. No tab Tasks, clique em Edit System Policy.

  4. No Editor de Política do Sistema, na árvore dos Grupos de Configuração, clique em DHCP.

    Cc302488.isa2004hardening_11(pt-br,TechNet.10).gif
    Veja a imagem ampliada

  5. No tab From, clique em Add.

  6. Em Add Network Entities, selecione um objeto de rede.

    Cc302488.isa2004hardening_12(pt-br,TechNet.10).gif
    Veja a imagem ampliada

    Dica Recomendamos que, se você conhece o endereço de IP do servidor DHCP, crie um conjunto de computadores com apenas aquele endereço de IP e selecione aquele conjunto de computadores. Recomendamos isto enfaticamente quando o servidor DHCP estiver localizado numa rede não confiável.

  7. Clique em Add e então clique em Close.

Serviços de Autenticação

Uma das capacidades fundamentais do ISA Server é a habilidade para aplicar uma política de firewall para usuários específicos. Para autenticar usuários, no entanto, o ISA Server deve ser capaz de se comunicar com servidores de autenticação. Por esta razão, por padrão, o ISA Server pode se comunicar com servidores do Active Directory (para autenticação do Windows) e com servidores RADIUS localizados na rede Interna.

A seguinte tabela mostra as regras da política do sistema que se aplicam aos serviços de autenticação.

Grupo de Configuração

Nome da Regra

Descrição da Regra

Active Directory

Allow access to directory services for authentication purposes (Permite acesso aos serviços do diretório para autenticação)

Allow RPC from ISA Server to trusted servers (Permite RPC do ISA Server para servidores confiáveis)

Allow Microsoft CIFS from ISA Server to trusted servers (Permite CIFS do ISA Server para servidores confiáveis)

Allow Kerberos authentication from ISA Server to trusted servers (Permite autenticação Keberos do ISA Server para servidores confiáveis)

Permite que o computador ISA Server acesse a rede Interna usando diversos protocolos LDAP protocols, RPC (todas as interfaces), vários protocolos CIFS da Microsoft, e vários protocolos Kerberos, usando o serviço do diretório do Active Directory.

RSA SecurID

Allow SecurID authentication from ISA Server to trusted servers (Permite autenticação SecurID do ISA Server para servidores confiáveis)

Permite que o computador ISA Server acesse a rede Interna usando o protocolo RSA SecurID®.

RADIUS

Allow RADIUS authentication from ISA Server to trusted RADIUS servers (Permite autenticação RADIUS do ISA Server para servidores confiáveis)

Permite que o computador ISA Server acesse a rede Interna usando diversos protocolos RADIUS.

Lista de Anulação de Certificado

Allow HTTP from ISA Server to all networks for CRL downloads (Permite HTTP do ISA Server para todas as redes para download do CRL)

Serviços de Autenticação: Permite HTTP do ISA Server para redes selecionadas para o download de listas atualizadas de anulação de certificados (CRLs).

DCOM

Se você precisa usar o protocolo DCOM para, por exemplo, gerenciar remotamente o computador ISA Server-certifique-se de não habilitar Enforce strict RPC compliance.

Para verificar se Enforce strict RPC compliance não está selecionada, siga estes passos.

  1. Clique em Start, direcione para All Programs, direcione para Microsoft ISA Server, e então clique em ISA Server Management.

  2. Na árvore do console do ISA Server Management, clique em Microsoft ISA Server 2004, clique em server_name, e então clique em Firewall Policy.

  3. No tab Tasks, clique em Edit System Policy.

  4. No Editor de Política do Sistema, na árvore de Configuração de grupos, clique em Active Directory.

  5. Verifique se Enforce strict RPC compliance não está selecionada.

    Cc302488.isa2004hardening_13(pt-br,TechNet.10).gif
    Veja a imagem ampliada

    Dica O DCOM é muitas vezes exigido para diversos serviços, incluindo gerenciamento remoto e auto-registro.

Windows and RADIUS Authentication Services

Se você não necessita da autenticação do Windows ou do RADIUS, execute os seguintes passos para inabilitar os grupos de configuração da política do sistema aplicável.

  1. Clique em Start, direcione para All Programs, direcione para Microsoft ISA Server, e então clique em ISA Server Management.

  2. Na árvore do console do ISA Server Management, clique em Microsoft ISA Server 2004, clique em server_name, e então clique em Firewall Policy.

  3. No tab Tasks, clique em Edit System Policy.

  4. No Editor de Política do Sistema, na árvore de Configuração de grupos, clique Active Directory.

    Cc302488.isa2004hardening_14(pt-br,TechNet.10).gif
    Veja a imagem ampliada

  5. No tab General, verifique se Enable não está selecionado.

    Nota Ao inabilitar o grupo de configuração de política do sistema do Active Directory, o acesso para todos os protocolos LDAP é efetivamente desativado. Se protocolos LDAP forem necessários, crie uma regra de acesso permitindo o uso destes protocolos.

  6. Repita os passos 4 e 5 para o grupo de configuração RADIUS.

    Dica Se você necessita apenas da autenticação do Windows, certifique-se de configurar a política do sistema, inabilitando o uso dos demais mecanismos de autenticação.

Serviços de Autenticação SecurID RSA

A comunicação com os servidores de autenticação SecurID RSA não habilitada por padrão. Se a sua política de firewall requer autenticação SecurID RSA, certifique-se de permitir este grupo de configuração.

Serviços de Autenticação CRL

As listas de anulação de certificados (CRLs) não podem ser "baixadas" por padrão. Isto porque o grupo de configuração de Download de CRL não é habilitado por padrão.

Para habilitar o download do CRL, execute os seguintes passos.

  1. Clique em Start, direcione para All Programs, direcione para Microsoft ISA Server, e então clique em ISA Server Management.

  2. Na árvore do console do ISA Server Management, clique em Microsoft ISA Server 2004, clique em server_name, e então clique em Firewall Policy.

  3. No tab Tasks, clique em Edit System Policy.

  4. No Editor de Políticas do Sistema, na árvore dos Grupos de Configuração, clique em CRL Download.

  5. No tab General, verifique se Enable está selecionado.

  6. No tab To, selecione as entidades da rede das quais a lista de anulação de certificados pode ser "baixada".

    Cc302488.isa2004hardening_15(pt-br,TechNet.10).gif
    Veja a imagem ampliada

Todo o tráfego HTTP será permitido a partir da rede do Host Local (o computador ISA Server) para as entidades da rede listadas no tab To.

Gerenciamento Remoto

Freqüentemente, o ISA Server será gerenciado a partir de um computador remoto. Determine cuidadosamente quais computadores remotos são permitidos para gerenciar e monitorar o ISA Server. A seguinte tabela mostra as regras da política do sistema que devem ser configuradas.

Grupo de Configuração

Nome da Regra

Descrição da Regra

Console de Gerenciamento da Microsoft

Allow remote management from selected computers using MMC (Permite gerenciamento remoto a partir de computadores selecionados usando MMC)

Allow MS Firewall Control communication to selected computers (Permite comunicação do Controle de Firewall MS para computadores selecionados)

Permite que computadores no conjunto de Computadores de Gerenciamento Remoto acessem o computador ISA Server usando os protocolos de Controle de Firewall MS e RPC (todas as interfaces).

Servidor de Terminal

Allow remote management from selected computers using Terminal Server (Permite gerenciamento remoto a partir de computadores selecionados usando o Servidor de Terminal)

Permite que computadores no conjunto de Computadores de Gerenciamento Remoto acessem o computador ISA Server usando o protocolo RDP (Serviços de Terminal).

ICMP (Ping)

Allow ICMP (PING) requests from selected computers to ISA Server (Permite solicitações ICMP (PING) a partir de computadores selecionados para o ISA Server)

Permite que computadores no conjunto de Computadores de Gerenciamento Remoto acessem o computador ISA Server usando o protocolo Ping, e vice versa.

Por padrão, as regras da política do sistema que permitem o gerenciamento remoto do ISA Server, são habilitadas. O ISA Server pode ser gerenciado executando-se um snap-in do Console de Gerenciamento da Microsoft (MMC), ou usado Serviços de Terminal.

Por padrão, estas regras se aplicam ao conjunto de computadores embutido dos Computadores de Gerenciamento Remoto. Ao instalar o ISA Server, este conjunto vazio de computadores é criado. Adicione a este conjunto todos os computadores que gerenciarão remotamente o ISA Server. Até que isso seja feito, o gerenciamento remoto não está de fato disponível de nenhum computador.

Dica Limite o gerenciamento remoto para computadores específicos configurando as regras da política do sistema para que sejam aplicadas apenas a endereços de IP específicos.

Para habilitar o gerenciamento remoto, execute os seguintes passos.

  1. Clique em Start, direcione para All Programs, direcione para Microsoft ISA Server, e então clique em ISA Server Management.

  2. Na árvore do console do ISA Server Management, clique em Microsoft ISA Server 2004, clique em server_name, e então clique em Firewall Policy.

  3. No tab Toolbox, clique em Network Objects.

    Cc302488.isa2004hardening_16(pt-br,TechNet.10).gif

  4. Na barra de ferramentas abaixo de Network Objects, sob Computer Sets, clique com o botão direito em Remote Management Computers e então clique em Properties.

    Cc302488.isa2004hardening_17(pt-br,TechNet.10).gif

  5. Clique em Add e então clique em Computer.

  6. Em Name, digite o nome do computador.

  7. Em Computer IP address, digite o endereço de IP do computador que pode gerenciar remotamente o ISA Server.

Registro e Monitoramento Remoto

Por padrão, o registro e o monitoramento remoto é desativado. Os seguintes grupos de configuração são desativados por padrão:

  • Registro Remoto (NetBIOS)

  • Registro Remoto (SQL)

  • Monitoramento de Desempenho Remoto

  • Gerenciador de Operações da Microsoft

A seguinte tabela fornece uma descrição dos grupos de configuração.

Grupo de Configuração

Nome da Regra

Descrição da Regra

Registro Remoto (NetBIOS)

Allow remote logging to trusted servers using NetBIOS (Permite o registro remoto aos servidores confiáveis usando o NetBIOS)

Permite que o computador ISA Server acesse a rede Interna usando diversos protocolos NetBIOS.

Registro Remoto (SQL)

Allow remote SQL logging from ISA Server to selected servers (Permite o registro de SQL remoto do ISA Server para servidores selecionados)

Permite que o computador ISA Server use protocolos (SQL) da Microsoft para acessar a rede Interna.

Desempenho Remoto

Allow remote performance monitoring of ISA Server from trusted servers (Permite o monitoramento de desempenho remoto do ISA Server a partir de servidores confiáveis)

Allows computers in the Remote Management Computers computer set to access the ISA Server computer using various NetBIOS protocols.

Microsoft Operations Manager

Allow remote monitoring from ISA Server to trusted servers, using Microsoft Operations Manager (MOM) Agent (Permite o monitoramento remoto a partir do ISA Server para servidores remotos, usando o Agente de Gerenciador de Operações da Microsoft - MOM)

Permite que o computador ISA Server acesse a rede Interna usando o agente do the Internal network using the Gerenciador de Operações da Microsoft.

Habilitando o Monitoramento e o Registro Remoto

Para habilitar o registro e o monitoramento remoto, execute os seguintes passos.

  1. Clique em Start, direcione para All Programs, direcione para Microsoft ISA Server, e então clique em ISA Server Management.

  2. Na árvore do console do ISA Server Management, clique em Microsoft ISA Server 2004, clique em server_name, e então clique em Firewall Policy.

  3. No tab Tasks, clique em Edit System Policy.

  4. No Editor de Política do Sistema, na árvore de Grupos de Configuração, selecione um ou mais grupos de configuração entre os seguintes:

    • Registro Remoto (NetBIOS)

    • Registro Remoto (SQL)

    • Monitoramento de Desempenho Remoto

    • Gerenciador de Operações da Microsoft

  5. No tab General, verifique se Enable está selecionado.

Firewall Client Share

Se você instalou o componente do Firewall Client Share junto com o ISA Server, o grupo de configuração do Firewall Client Installation Share é habilitado por padrão. Todos os computadores na rede Interna podem acessar a pasta compartilhada. A seguinte tabela mostra o grupo (e regra) de configuração da política do sistema que é habilitado.

Grupo de Configuração

Nome da regra

Descrição da regra

Instalação do Cliente do Firewall

Allow access from trusted computers to the Firewall Client installation share on ISA Server (Permite acesso de computadores confiáveis para o compartilhamento da instalação do Cliente do Firewall no ISA Server)

Permite aos computadores na rede Interna acessar o computador ISA Server usando diversos protocolos do Microsoft CIFS e NetBIOS. Ao habilitar esta regra, o acesso é permitido para o computador ISA Server usando SMB de qualquer rede ou computador especificado. O acesso não é limitado apenas à pasta compartilhada da instalação do Cliente do Firewall.

Se você não instalou o componente de compartilhamento do Cliente do Firewall, este grupo de configuração não é habilitado.

Serviços de Diagnóstico

Por padrão, as regras da política do sistema que permitem o acesso aos serviços de diagnóstico são habilitadas, com as seguintes permissões:

  • ICMP. Permitido para todas as redes. Este serviço é importante para determinar a conectividade com outros computadores.

  • Rede Windows. Permite a comunicação NetBIOS por padrão para computadores na rede Interna.

  • Relatório de Erro da Microsoft. Permite acesso HTTP ao conjunto de sites URL de Relatório de Erro da Microsoft, para permitir o relato de uma informação de erro. Por padrão, este conjunto de URLs inclui sites específicos da Microsoft.

  • Verificadores de Conectividade. Permite ao computador ISA Server usar protocolos HTTP e HTTPS para checar se determinado computador reage positivamente.

A seguinte tabela mostra os grupos de configuração da política do sistema que são habilitados por padrão.

Grupo de Configuração

Nome da regra

Descrição da regra

ICMP

Allow ICMP requests from ISA Server to selected servers (Permite solicitações ICMP do ISA Server para servidores selecionados)

Permite que o computador ISA Server tenha acesso a todas as redes usando diversos protocolos ICMP e o protocolo Ping.

Rede Windows

Allow NetBIOS from ISA Server to trusted servers (Permite o NetBIOS a partir do ISA Server para servidores confiáveis)

Permite que o computador ISA Server tenha acesso a todas as redes usando diversos protocolos NetBIOS.

Comunicação para a Microsoft (Relatório de Erro da Microsoft)

Allow HTTP/HTTPS from ISA Server to specified Microsoft error reporting sites (Permite HTTP/HTTPS do ISA Server para sites específicos de relatórios de erro da Microsoft)

Permite ao computador ISA Server acessar membros do conjunto de URL de sites de Relatório de Erro da Microsoft usando protocolos HTTP ou HTTPS.

Verificadores de Conectividade

Além do que, o seguinte serviço de diagnóstico não é habilitado por padrão: HTTP Connectivity Verifiers (Verificadores de Conectividade do HTTP).

Quando um verificador de conectividade é criado, o grupo de configuração de Verificadores de Conectividade do HTTP é habilitado, permitindo que a rede Host Local use o HTTP ou HTTPS para acessar computadores em outra rede. A seguinte tabela descreve o grupo de configuração dos Verificadores de Conectividade do HTTP.

Grupo de Configuração

Nome da regra

Descrição da regra

Verificadores de Conectividade do HTTP

Allow HTTP/HTTPS from firewall to all networks, for HTTP connectivity verifiers (Permite HTTP/HTTPS do firewall para todas as redes, para conectividade do HTTP)

Permite ao computador ISA Server verificar a conectividade enviando solicitações HTTP GET para o computador especificado.

Recomendamos que você limite este acesso para computadores específicos cuja conectividade você deseja verificar.

Para limitar este acesso, execute os seguintes passos.

  1. Clique em Start, direcione para All Programs, direcione para Microsoft ISA Server, e então clique em ISA Server Management.

  2. Na árvore do console do ISA Server Management, clique em Microsoft ISA Server 2004, clique em server_name, e então clique em Firewall Policy.

  3. No tab Tasks, clique em Edit System Policy.

  4. No Editor de Política do Sistema, na árvore de Grupos de Configuração, clique em HTTP Connectivity Verifiers.

    Cc302488.isa2004hardening_18(pt-br,TechNet.10).gif
    Veja a imagem ampliada

  5. No tab To, clique em All Networks (and Local Host) e então clique em Remove.

  6. Clique em Add e então selecione as entidades da rede cuja conectividade você deseja verificar. Todo o tráfego HTTP será permitido a partir da rede Host Local (o computador ISA Server) para entidades de rede listadas no tab To.

SMTP

Por padrão, o grupo de configuração SMTP é habilitado, permitindo a comunicação SMTP do ISA Server para computadores na rede Interna. Isto é necessário, por exemplo, quando se quer enviar informações de alerta numa mensagem de e-mail. A seguinte tabela descreve o grupo de configuração SMTP.

Grupo de Configuração

Nome da regra

Descrição da regra

SMTP

Allow SMTP from ISA Server to trusted servers (Permite SMTP do ISA Server para servidores confiáveis)

Permite ao computador ISA Server acessar a rede interna usando o protocolo SMTP.

Tarefas de Download Programadas

Por padrão, o recurso de tarefas de download programadas é desativado. A seguinte tabela descreve o grupo de configuração das Tarefas de Download Programadas.

Grupo de Configuração

Nome da regra

Descrição da regra

Tarefas de Download Programadas

Allow HTTP from ISA Server to selected computers for Content Download Jobs (Permite HTTP do ISA Server para computadores selecionados para Tarefas de Download de Conteúdo)

Permite ao computador ISA Server acessar todas as redes usando o protocolo HTTP.

Quando você cria uma tarefa de download programada, você será solicitado a habilitar esta regra da política do sistema. O ISA Server poderá acessar os sites especificados na tarefa de download de conteúdo.

Acessando o site da Microsoft

A política do sistema padrão permite o acesso HTTP e HTTPS a partir da rede Host Local (isto é, o computador ISA Server) para o site microsoft.com. Isto é necessário por algumas razões:

  • Relatório de Erro (como descrito na seção de Serviços de Diagnóstico)

  • Acesso às documentações úteis no site do ISA Server e em outros sites relacionados

Por padrão, o grupo de configuração de Sites Permitidos é habilitado, possibilitando ao ISA Server acessar o conteúdo em sites específicos que pertencem ao conjunto de nomes do domínio dos Sites Permitidos na Política do Sistema (System Policy Allowed Sites). A seguinte tabela descreve o grupo de configuração dos Sites Permitidos.

Grupo de Configuração

Nome da regra

Descrição da regra

Allowed Sites

Allow HTTP/HTTPS requests from ISA Server to specified sites (Permite solicitações HTTP/HTTPS do ISA Server par site especificados)

Permite ao computador ISA Server acessar membros do conjunto URL de Sites Permitidos na Política do Sistema usando protocolos HTTP e HTTPS.

Este conjunto de URLs inclui diversos sites da Microsoft, por padrão. Você pode modificar o nome do domínio para incluir sites adicionais, os quais o ISA Server poderá acessar.

Para modificar o conjunto de URLs para incluir sites adicionais, execute os seguintes passos.

  1. Clique em Start, direcione para All Programs, direcione para Microsoft ISA Server, e então clique em ISA Server Management.

  2. Na árvore do console do ISA Server Management, clique em Microsoft ISA Server 2004, clique em server_name, e então clique em Firewall Policy.

  3. No tab Toolbox, clique em Network Objects.

    Cc302488.isa2004hardening_19(pt-br,TechNet.10).gif

  4. Sob Domain Name Sets, clique com o botão direito em System Policy Allowed Sites e então clique em Properties.

  5. No tab General, clique em New e então digite o URL para aquele site.

    Cc302488.isa2004hardening_20(pt-br,TechNet.10).gif

O Acesso HTTP e HTTPS será permitido para os sites especificados.

Modo Lockdown (Confinamento)

Uma função crítica de um firewall é reagir a um ataque. Quando um ataque ocorre, pode parecer que a principal defesa seja desconectar a Internet, e isolar a rede comprometida contra invasores mal intencionados. No entanto, esta não é a abordagem recomendada. Apesar de ser necessário lidar com o ataque, a conectividade da rede normal deve ser restabelecida o mais rápido possível, e a fonte do ataque deve ser identificada.

O recurso de lockdown introduzido com o ISA Server 2004 combina a necessidade de isolamento com a necessidade de estar conectado. Sempre que ocorrer uma situação que faça o serviço de Firewall da Microsoft fechar, o ISA Server entra no modo lockdown. Isto ocorre quando:

  • Um evento desencadeia o fechamento do Firewall. Quando você configura definições de alerta, você decide quais eventos causarão o fechamento do serviço de Firewall. Essencialmente, é você quem configura quando o ISA Server entrará no modo lockdown.

  • O serviço de Firewall é interrompido manualmente. Se você perceber a ocorrência de ataques mal intencionados, você pode interromper o serviço de Firewall, enquanto o computador ISA Server e a rede são configurados para lidarem com os ataques.

Funcionalidade Afetada

No modo lockdown, aplica-se a seguinte funcionalidade:

  • O Mecanismo de Filtragem do Firewall Packet (Filter Engine - fweng) aplica a política do firewall.

  • O tráfego de saída da rede Host Local para todas ad redes é permitido. Se uma conexão de saída é estabelecida, ela pode ser usada para responder ao tráfego de entrada. Por exemplo, um consulta DNS pode receber uma resposta DNS, na mesma conexão.

  • Nenhum tráfego de entrada é permitido, a não ser que uma regra da política do sistema que tenha especificamente permitido o tráfego seja habilitada. A única exceção é o tráfego DHCP, que é sempre permitido. Isto é, solicitações do DHCP na porta UDP 67 são permitidos a partir do host local para todas as redes, e as respostas DHCP na porta UDP 68 são permitidas de volta.

  • As seguintes regras da política do sistema ainda são aplicáveis:

    • Allow ICMP from trusted servers to the local host. (Permitir ICMP de servidores confiáveis para o host local).

    • Allow remote management of the firewall using MMC (RPC through port 3847). (Permitir gerenciamento remoto do firewall usando MMC (RPC através da porta 3847)).

    • Allow remote management of the firewall using RDP. (Permitir gerenciamento remoto do firewall usando RDP).

  • Clientes com acesso remoto VPN não podem acessar o ISA Server. Da mesma forma, o acesso é negado para redes de sites remotos em cenários VPN de site para site.

  • Qualquer mudança na configuração da rede durante o modo lockdown apenas será aplicada após o serviço de Firewall ser reiniciado e o ISA Server sair do modo lockdown. Por exemplo, se você mover fisicamente um segmento de rede e re-configurar o ISA Server para atender às mudanças físicas, a nova topologia entrará em ação apenas após o ISA Server sair do modo lockdown.

  • O ISA Server não desencadear nenhum alerta.

Saindo do Modo Lockdown

Quando o serviço de Firewall for reiniciado, o ISA Server sai do modo lockdown e continua funcionando, como anteriormente. Qualquer mudança feita à configuração do ISA Server será aplicada após o ISA Server sair do modo lockdown.

Protegendo a Configuração

Quando você configurar a política de firewall do ISA Server em conjunto com a política de segurança de sua empresa, siga o principio de negar todo o tráfego que não for explicitamente permitido. O ISA Server implementa esta política por padrão. Uma regra padrão de política de firewall, chamada Default Rule, nega acesso de todos os usuários a todas as redes. Como esta regra é processada por último, qualquer tráfego que não for explicitamente permitido terá o acesso negado.

Validando Configuração Após a Atualização

A política do ISA Server 2000 pode ser migrada para o ISA Server 2004, por atualização ou usando o ISA Server Migration Wizard. Leia cuidadosamente a política migrada. O ISA Server 2004 emprega um modelo de regra diferente do ISA Server 2000. Certifique-se de que a política do firewall seja configurada de acordo com a política de segurança de sua organização.

Validando a Configuração da Política do Firewall

Após a criação de uma política de firewall, recomendamos que você verifique regularmente a política. Confirme se o tráfego que você quer que passe está sendo permitido. Confirme também se apenas as portas aplicáveis estão abertas.

Rede Virtual Privada

É importante seguir as melhores práticas para segurança usando o ISA Server 2004 como um servidor de rede virtual privada (virtual private network - VPN). A lista abaixo contém recomendações para proteger seu computador ISA Server em sua função como servidor VPN:

  • Conexões Layer Two Tunneling Protocol (L2TP) sobre Internet Protocol security (IPSec) são recomendadas para encriptação mais forte. Recomendamos que você implemente e reforce uma política de senhas fortes, reduzindo assim a chance de um ataque de dicionário. Quando você implementa tal política, você pode inabilitar o lock-out da conta, reduzindo assim a chance de um invasor desencadear um o lock-out da conta.

  • Considere exigir que seus clientes VPN remotos executem determinados sistemas operacionais (como o Microsoft Windows Server 2003, Windows 2000 Server, ou Windows XP). Nem todos os sistemas operacionais possuem níveis iguais de segurança em seus sistemas de arquivos e em suas contas de usuários. Além disso, nem todos os recursos de acesso remoto estão disponíveis em todos os sistemas operacionais.

  • Use o recurso ISA Server Quarantine Control para fornecer acesso a rede por fases para clientes VPN remotos. Com o Quarantine Control, os clientes estão restritos a um modo de quarentena antes de ter acesso permitido à rede. Apesar do Quarantine Control não oferecer proteção contra invasores, as configurações do computador para usuários autorizados podem ser verificadas e, se necessário, corrigidas antes que eles possam acessar a rede.

Proteção contra Vírus com VPN

Computadores clientes VPN infectados com vírus não são automaticamente bloqueados no computador ISA Server ou nas redes que ele protege com solicitações. Para prevenir esta ocorrência, implemente práticas de monitoramento para detectar anomalias como alertas ou picos incomuns em cargas de tráfego, e configure uma notificação de alerta para usar mensagens de e-mail. Se um computador cliente VPN infectado for identificado, você pode:

  • Restringir o acesso VPN por nome de usuário usando a política de acesso remoto para excluir o usuário dos clientes VPN cuja conexão é permitida.

  • Restringir o acesso VPN por endereço de IP. Faça isso criando uma nova rede para conter endereços de IP externos que são bloqueados, e tire da mova o endereço de IP do cliente da rede Externa para a nova rede.

Autenticação para VPN

Use métodos de autenticação que fornecem segurança adequada. O método de segurança mais seguro é o Extensible Authentication Protocol-Transport Level Security (EAP-TLS) quando usado em conjunto com os cartões inteligentes. Apesar dos desafios de implantação envolvidos no uso do EAP-TLS e dos cartões inteligentes, que exigem a infra-estrutura de uma chave pública (public key infrastructure - PKI), este é considerado o método de autenticação mais seguro. Habilite o EAP-TLS, que é desativado por padrão no perfil de uma política de acesso remoto.

Quando usar o protocolo de autenticação EAP-TLS, é preciso instalar um certificado de computador no servidor do Internet Authentication Service (IAS). Para autenticação de cliente e usuário, você pode instalar um certificado no computador cliente, ou usar os cartões inteligentes. Antes de implantar certificados, é preciso criar o certificado com os requisitos corretos.

Se você usar a autenticação baseada em senhas, imponha políticas de senhas fortes em sua rede para dificultar os ataques de dicionários.

Considere exigir que seus clientes VPN remotos sejam autenticados com mais de um protocolo de autenticação, como o Microsoft Challenge Handshake Authentication Protocol version 2 (MS-CHAP v2) ou o Extensible Authentication Protocol (EAP), ao invés de permitir que eles usem protocolos como Password Authentication Protocol (PAP), Shiva Password Authentication Protocol (SPAP), e Challenge Handshake Authentication Protocol (CHAP).

Recomendamos enfaticamente que o Password Authentication Protocol (PAP), Shiva Password Authentication Protocol (SPAP), e o Challenge Handshake Authentication Protocol (CHAP) sejam desativados. O PAP, SPAP, e CHAP são desativados por padrão.

Tradução do Link

O recurso de tradução do link do ISA Server 2004 traduz cabeçalhos HTTP, estando link habilitado ou não. Isto significa que quando você publica um servidor web, especificando que Any domain name (qualquer nome de domínio) pode ser usado, um invasor poderia enviar conteúdos maliciosos no cabeçalho. Se o servidor publicado redireciona solicitações para uma página ou qualquer outro computador, a resposta pode estar comprometida. (Ela seria modificada para conter a URL do cabeçalho enviado por um malfeitor.) Se esta página estiver em cache por um servidor downstream, um usuário acessando a página seria redirecionado para o site configurado pelo malfeitor.

Por esta razão, recomendamos que você especifique os nomes dos domínios para os quais a regra de publicação na web se aplica.

Para especificar nomes de domínios, execute os seguintes passos.

  1. Clique em Start, direcione para All Programs, direcione para Microsoft ISA Server, e então clique em ISA Server Management.

  2. Na árvore do console do ISA Server Management, clique em Microsoft ISA Server 2004, clique em server_name, e então clique em Firewall Policy.

  3. No painel de detalhes, selecione a regra de publicação da web aplicável.

  4. No tab Tasks, clique em Edit Selected Rule.

  5. No tab Public Name, sob This rule applies to, selecione Requests for the following websites.

    Cc302488.isa2004hardening_21(pt-br,TechNet.10).gif

  6. Clique em Add.

  7. Em Public domain name or IP address, digite o nome do domínio específico para o qual a regra de publicação da web deve ser aplicada.

Limites de Conexão

O ISA Server limita o número de conexões em qualquer momento. Você pode configurar o limite, especificando o número máximo de conexões concomitantes. Quando o numero máximo de conexões tiver sido alcançado, qualquer nova solicitação de clientes para aquela escuta da web será negada.

Você pode limitar o número total de UDP, ICMP, e outras criações de sessões de Raw IP permitidas por segundo por uma regra de acesso ou de publicação de servidor. Estas limitações não se aplicam às conexões TCP. Quando o número especificado de conexões for ultrapassado, novas conexões não serão criadas. Conexões existentes não serão desconectadas.

Recomendamos que você configure limites baixos de conexão. Desta forma, você efetivamente evitará que host mal-intencionados consumam recursos no computador ISA Server.

Por padrão, os limites de conexão para conexões não-TCP são configurados em 1000 conexões por segundo por regra, e em 160 conexões por cliente. Os limites para conexões TCP são configurados em 160 conexões por cliente. Recomendamos enfaticamente que você não altere estes limites pré-configurados. Se você precisar modificar os limites de conexão, configure o menor número possível de conexões.

Para configurar limites de conexão, execute os seguintes passos.

  1. Clique em Start, direcione para All Programs, direcione para Microsoft ISA Server, e então clique em ISA Server Management.

  2. Na árvore do console do ISA Server Management, clique em Microsoft ISA Server 2004, clique em server_name, clique em Configuration, e então clique em General.

  3. No painel de detalhes, clique em Define Connection Limits.

    Cc302488.isa2004hardening_22(pt-br,TechNet.10).gif
    Veja a imagem ampliada

  4. No tab Connection Limit, selecione Limit the number of connections per client to.

    Cc302488.isa2004hardening_23(pt-br,TechNet.10).gif

  5. Faça o seguinte:

    • Em Connections created per second, per rule (non-TCP), digite o número de conexões permitidas por regra, por segundo.

    • Em Connection limit per client (TCP and non-TCP), digite o número de conexões permitidas por cliente.

Clientes do Firewall

O ISA Server suporta uma forma de comunicação mais segura entre o cliente de Firewall e o ISA Server, que envolve o uso de encriptação usando um canal de controle TCP. Você pode configurar o ISA Server para aceitar conexões apenas de clientes se comunicando nesta maneira segura. No entanto, isto impede que versões anteriores do software de Cliente de Firewall sejam conectadas.

Recomendamos que você permita apenas Cliente do Firewalls que possam se comunicar através de uma conexão encriptada. Isto inclui todos os softwares de Cliente do Firewall para os computadores ISA Server 2004.

Para configurar Cliente do Firewalls, execute os seguintes passos.

  1. Clique em Start, direcione para All Programs, direcione para Microsoft ISA Server, e então clique em ISA Server Management.

  2. Na árvore do console do ISA Server Management, clique em Microsoft ISA Server 2004, clique em server_name, clique em Configuration, e então clique em General.

  3. No painel de detalhes, clique em Define Firewall Client Settings.

    Cc302488.isa2004hardening_24(pt-br,TechNet.10).gif

  4. No tab Connection, verifique se Allow non-encrypted Firewall client connections não está selecionado.

    Cc302488.isa2004hardening_25(pt-br,TechNet.10).gif

Protegendo a Implantação

O primeiro passo para proteger o ISA Server é verificar se o computador ISA Server está fisicamente seguro e se as recomendações básicas de configuração de segurança foram aplicadas.

Após proteger o computador ISA Server e aplicar as diretrizes de segurança ao configurar a política no servidor, você deve considerar como será feita a implantação da a infra-estrutura de rede. Esta seção descreve as diretrizes de segurança a serem consideradas ao implantar uma rede protegida pelo ISA Server.

Autenticação

Ao configurar autenticação para solicitações da web, use o método de autenticação mais forte o possível. Recomendamos enfaticamente que você utilize os seguintes métodos de autenticação em conexões não protegidas:

  • Basic

  • Digest

  • Autenticação baseada em formas do Outlook® Web Access

  • SecurID

  • RADIUS

Usando Servidores RADIUS

O Remote Authentication Dial-In User Service (RADIUS) é um protocolo padrão na indústria usado para fornecer autenticação. Um cliente RADIUS (geralmente um servidor de discagem, um servidor VPN, ou um ponto de acesso sem fio) envia informações sobre os parâmetros da conexão e credenciais do usuário na forma de uma mensagem RADIUS para um servidor RADIUS. O servidor RADIUS autentica a solicitação do cliente RADIUS, e envia de volta uma mensagem de resposta RADIUS.

Como o servidor RADIUS autoriza credenciais do cliente, além de autenticá-las, a resposta que o ISA Server recebe do servidor RADIUS, indicando que as credenciais do cliente não foram aprovadas, pode na verdade indicar que o servidor RADIUS não autoriza o cliente. Mesmo se as credenciais tiverem sido autenticadas, o ISA Server pode rejeitar a solicitação do cliente, com base na política de autorização do servidor RADIUS.

Siga as seguintes diretrizes ao implementar uma política de firewall ou VPN que exija autenticação RADIUS:

  • O mecanismo de ocultação Usuário-Senha do RADIUS pode não fornecer segurança o suficiente para senhas. O mecanismo de ocultação do RADIUS usa o segredo compartilhado do RADIUS, o Autenticador de Solicitações (Request Authenticator), e usa o algoritmo quebrado MD5 para encriptar o Usuário-Senha e outros atributos, como o Túnel-Senha e MS-CHAP-MPPE-Keys. O RFC 2865 aponta a necessidade potencial para avaliar do ambiente de ameaça e determinar se deve ser usada segurança adicional.

    Você pode oferecer segurança adicional para atributos ocultos usando o Internet Protocol security (IPSec) com Encapsulating Security Payload (ESP) e um algoritmo de encriptação, como Triple DES (3DES), para fornecer confidencialidade de dados para toda a mensagem RADIUS. Siga estas orientações recomendadas:

    • Use o IPSec para oferecer segurança adicional para clientes e servidores RADIUS.

    • Requer o uso de senhas fortes.

    • Use autenticação e lockout (travamento) de contas para ajudá-lo a prevenir um ataque de dicionário contra uma senha de usuário.

    • Use um segredo compartilhado longo com uma seqüência aleatória de letras, números e pontuação. Mude-a com freqüência para ajudar a proteger seu IAS Server.

  • Quando usar autenticação baseada em senhas, imponha políticas de senhas fortes em sua rede para dificultar ataques de dicionário.

  • Quando nomes de usuários são especificados em qualquer idioma que não Inglês, o ISA Server use a página de código atual instalada no computador ISA Server para traduzir os dados do usuário. O usuário pode ser autenticado apenas se o cliente também usar a mesma página de código.

  • Se você alterar a política do servidor RADIUS enquanto usuários autenticados do RADIUS estão fazendo o logon, a nova política não será aplicada aos usuários que estão já fizeram o logon. Isto ocorre porque os ISA Server faz o cache das credenciais dos usuários que já fizeram o logon quando usuários acessando o servidor do Outlook Web Access publicado autenticam usando a autenticação RADIUS.

    Para a aplicar a política do servidor RADIUS imediatamente, você pode desconectar a sessão.

Verificando a Conectividade para Servidores de Autenticação

Se você está usando um servidor RADIUS para autenticação, crie um verificador de conectividade que monitore o status do servidor. Configure os alertas para que uma ação apropriada seja tomada quando o servidor RADIUS não estiver funcionando.

Para verificar a conectividade, execute os seguintes passos.

  1. Clique em Start, direcione para All Programs, direcione para Microsoft ISA Server, e então clique em ISA Server Management.

  2. Na árvore do console do ISA Server Management, clique em Microsoft ISA Server 2004, clique em server_name, e então clique em Monitoring.

  3. No painel de detalhes, clique no tab Connectivity.

  4. No tab Tasks, clique em Create New Connectivity Verifier.

  5. Na página Welcome do assistente, digite um nome para o verificador de conectividade e então clique em Next.

  6. Na página Connectivity Verification Details, faça o seguinte:

    Cc302488.isa2004hardening_26(pt-br,TechNet.10).gif

    1. No Monitor connectivity to this server or URL, digite o nome do servidor a ser monitorado.

    2. Em Verification method, selecione um método de verificação. Clique em Next e então clique em Finish.

  7. Se a regra da política do sistema que permite a verificação de conectividade HTTP não estiver habilitada, e você selecionou Send an HTTP "Get" request, você pode ser solicitado a habilitar a regra da política do sistema. Clique em Yes.

    Para mais informações sobre regras da política do sistema para verificação da conectividade HTTP, veja a seção Verificadores de Conectividade.

  8. No painel de detalhes, selecione a regra que você acabou de criar.

  9. No tab Tasks, clique em Edit Selected Verifier.

  10. No tab Properties, verifique se Trigger an alert if the server response is not within the specified timeout está selecionado.

    Cc302488.isa2004hardening_27(pt-br,TechNet.10).gif

Implantando Servidores de Autenticação

Por razões de segurança, recomendamos que você coloque os servidores de autenticação numa rede altamente protegida. Considere colocar os servidores de autenticação numa rede separada (não na rede de Perímetro ou Interna) se possível. Desta forma, você efetivamente prevenirá o acesso direto de qualquer host na rede de Perímetro ou Interna aos servidores de autenticação.

Neste caso, você deve modificar a regra aplicável da política do sistema, para que ela seja aplicada à rede na qual o servidor de autenticação está localizado.

Para implantar servidores de autenticação, execute os seguintes passos.

  1. Clique em Start, direcione para All Programs, direcione para Microsoft ISA Server, e então clique em ISA Server Management.

  2. Na árvore do console do ISA Server Management, clique em Microsoft ISA Server 2004, clique em server_name, e então clique em Firewall Policy.

  3. No tab Tasks, clique em Edit System Policy.

  4. No Editor de Políticas do Sistema, na árvore do Grupo de Configuração, sob Authentication Services, clique no método de autenticação aplicável.

  5. No tab To, clique em Add.

  6. Em Add Network Entities, selecione a rede na qual o servidor de autenticação está localizado.

Servidores DNS

Domain Name System (DNS) é protocolo de resolução de nome para redes de IP, como a Internet. Um servidor DNS hospeda as informações que permitirão aos computadores clientes solucionar nomes DNS alfas-numéricos e memoráveis para os endereços de IP que computadores usam para se comunicar uns com os outros.

O ISA Server inclui um mecanismo de resolução de nomes, similar ao mecanismo de resolução de nome do servidor DNS. Desta forma, quando um cliente faz uma solicitação para um host em outra rede, especificando a URL do computador host, o ISA Server pode solucionar o nome do computador host. O ISA Server envia uma solicitação de resolução de nome para o servidor DNS que você configura para o uso dele.

Para evitar o comprometimento do cache do DNS, recomendamos que você configure o ISA Server para usar um servidor DNS confiável (por exemplo, um servidor DNS Windows), com a opção para prevenir a poluição de cache. Este servidor DNS deve estar localizado numa rede Interna.

Se você implantar um servidor DNS numa rede não confiável (por exemplo, na rede Externa), recomendamos que você instale também um servidor DNS numa rede confiável (por exemplo, uma rede de perímetro). Então, configure o servidor DNS na rede confiável para encaminhar solicitações para o servidor DNS na rede não confiável.

Para configurar o DNS, execute os seguintes passos no computador ISA Server.

  1. Clique em Start, clique em Control Panel, e então clique duas vezes em Network Connections.

  2. Clique com o botão direito na conexão que você quer configurar, então clique em Properties.

  3. No tab General, em This connection uses the following items, clique em Internet Protocol (TCP/IP), e então clique em Properties.

    Cc302488.isa2004hardening_28(pt-br,TechNet.10).gif

  4. Selecione Use the following DNS server addresses.

  5. Em Preferred DNS server e em Alternate DNS server, digite os endereços de IP de um servidor DNS confiável na rede Interna.

    Cc302488.isa2004hardening_29(pt-br,TechNet.10).gif

Monitorando e Solucionando Problemas (Troubleshooting)

Uma tarefa importante e rotineira a ser desempenhada é o monitoramento do tráfego de rede permitido através do ISA Server. Uma parte central da função de monitoramento é a análise cuidadosa das informações sobre registro e auditoria.

As seguintes seções fornecem dicas sobre como ajudar a garantir a integridade das informações registradas.

Registro

O registro dá a você a oportunidade para rever a atividade de rede, checando quem está acessando os recursos na sua rede. Leia os registros regularmente e cuidadosamente, verificando se há acessos suspeitos e uso dos recursos da rede. Siga estas diretrizes para fazer o melhor uso do registro do ISA Server:

  • Configure alertas para enviar notificações para administradores. Implemente um procedimento rápido de resposta.

  • Salve os logs em uma partição de disco NTFS separada para segurança máxima. Apenas administradores do computador ISA Server devem ter acesso aos logs.

  • Quando salvar informações de logs num banco de dados SQL, use a autenticação Windows (e não a autenticação SQL).

  • Se você estiver registrando informações num banco de dados remoto, configure encriptação e assinatura de dados para as informações de log que são copiadas no banco de dados remoto.

  • Para segurança máxima, configure IPSec para a comunicação entre o computador ISA Server e o SQL Server.

  • Se as informações de log não puderem ser salvas por alguma razão, faça o lockdown (travamento) do computador ISA Server. Para isso,configure uma definição de alerta para o evento de Log Failure que travar o serviço do Firewall.

Limites de Armazenamento de Log

Use o recurso de manutenção do log de forma inteligente, para garantir que o disco no qual as informações do log estão armazenadas não fique cheio.

Configure a definição do alerta de Log Storage Limits (Limites de Armazenamento de Log) para travar os serviços do ISA Server. Desta forma, você permitirá o acesso apenas quando o acesso puder ser aditado adequadamente.

Para configurar limites de armazenamento de log, execute os seguintes passos.

  1. Clique em Start, direcione para All Programs, direcione para Microsoft ISA Server, e então clique em ISA Server Management.

  2. Na árvore do console do ISA Server Management, clique em Microsoft ISA Server 2004, clique em server_name, e então clique em Monitoring.

  3. No painel de detalhes, clique no tab Alerts.

  4. No tab Tasks, clique em Configure Alert Definitions.

    Cc302488.isa2004hardening_30(pt-br,TechNet.10).gif

  5. Em Alert Definitions, clique em Log storage limits e então clique em Edit.

    Cc302488.isa2004hardening_31(pt-br,TechNet.10).gif

  6. No tab General, selecione Enable.

  7. No tab Actions, clique em Stop selected services e então clique em Select.

    Cc302488.isa2004hardening_32(pt-br,TechNet.10).gif

  8. Em Services, selecione Microsoft Firewall e Microsoft ISA Server Job Scheduler.

Auditoria

Habilite a auditoria do Windows. Desta forma, você pode monitorar quem faz o log no computador ISA Server.

Para habilitar a auditoria, execute os seguintes passos no computador ISA Server.

  1. Clique em Start, direcione para All Programs, direcione para Administrative Tools, e então clique em Local Security Policy.

  2. No painel de detalhes, clique em Security Settings, clique em Local Policies, e então clique em Audit Policy.

  3. No painel de detalhes, clique com o botão direito em Audit logon events e então clique em Properties.

    Cc302488.AA(pt-br,TechNet.10).gif

  4. Selecione Success e Failure.

Recursos Adicionais

Para obter mais informações sobre o Microsoft ISA Server, veja o site do Microsoft ISA Server.

Você tem algum comentário sobre este documento? Envie seu feedback.

Download

Guia de Fortalecimento de Segurança do ISA Server 2004
1,21 MB

Isso foi útil para você?
(1500 caracteres restantes)
Agradecemos os seus comentários
A Microsoft está realizando uma pesquisa online para saber sua opinião sobre o site do MSDN. Se você optar por participar, a pesquisa online lhe será apresentada quando você sair do site do MSDN.

Deseja participar?
Mostrar:
© 2014 Microsoft