Eine Anleitung zum Sichern von ISA Server 2006
Alan Maddison
Auf einen Blick:
- Bewährte Methoden zum Sichern Ihrer Server
- Einrichten des Sicherheitskonfigurations-Assistenten
- Eine exemplarische Vorgehensweise für den Sicherheitskonfigurations-Assistenten
- Zuweisen von Administratorrollen
Inhalt
Sichern Ihrer Server
Einrichten des Sicherheitskonfigurations-Assistenten
Ausführen des Sicherheitskonfigurations-Assistenten
Administratorrollen
Während viele IT-Experten sich auf ISA Server 2006 (Internet Security and Acceleration Server 2006) verlassen, um ihre Technologieressourcen zu sichern, gehen nur wenige einen Schritt weiter und sichern ISA Server selbst. Wenn Sie
ISA Server 2006 erst kürzlich installiert haben, haben Sie vermutlich noch im Gedächtnis, dass daran erinnert wurde, die Sicherung sofort nach Abschluss der Installation vorzunehmen. Leider nehmen sich (oder haben) viele IT-Experten selten die Zeit, diesen wichtigen Schritt durchzuführen, und so landet er auf dem Merkzettel für anstehende Aufgaben, die jedoch nie erledigt werden.
In der sich ständig wandelnden Sicherheitslage von heute ist diese Unterlassung, ISA Server zu sichern, nicht mehr akzeptabel. Glücklicherweise wurden bei den Tools, die für das Sichern von ISA Server verwendet werden, ungeheure Fortschritte erzielt. Viele der Herausforderungen in den Assistenten zur Erhöhung der Sicherheit, die in den Versionen vor ISA Server 2004 enthalten sind, bleiben Ihnen erspart. Stattdessen können Sie sich auf klar definierte Schritte und Tools, wie z. B. den Sicherheitskonfigurations-Assistenten (Security Configuration Wizard, SCW) verlassen, der in Windows Server® 2003 enthalten ist.
Dieser Artikel bietet eine kurze Zusammenfassung allgemeiner bewährter Methoden für das Sichern von Servern. Anschließend werden in einer Schritt-für-Schritt-Anleitung die Strategien für das Absichern von ISA Server untersucht, wobei mit dem SCW die Angriffsfläche der ISA Server- und Administratorrollen verringert wird, um den Zugriff auf ISA Server einzuschränken.
Sichern Ihrer Server
Es gibt viele Elemente und bewährte Methoden für das Sichern von Servern, die sich in einem Datencenter oder im Serverraum neben Ihrem Büro befinden können. Als Administrator fällt es in Ihren Verantwortungsbereich zu verstehen, welches die bewährten Methoden sind, und alles zu tun, um diese Anforderungen in einer für Ihre Organisation praktikablen Weise zu implementieren. Da Sicherheit in den letzten Jahren mit mehr Nachdruck behandelt wird, sind viele Administratoren relativ vertraut mit den Aufgaben, die den Kern dieser Anforderungen bilden. Deshalb werden diese Punkte hier nur in einer kurzen Übersicht zusammengefasst.
Der erste Schritt beim Sichern Ihrer Umgebung ist die Gewährleistung, dass Ihre Server physisch sicher sind. Das heißt praktisch, dass Sie den physischen Zugriff auf Ihre Server einschränken müssen. In kleineren Umgebungen bedeutet das, dass Sie sicherstellen müssen, dass die Tür zum Serverraum nie offen bleibt und nur eine sehr kleine Gruppe von Personen Zugang zu diesem Raum hat. In größeren Umgebungen gilt dieselbe grundlegende Anforderung, sie kann aber in einer komplexeren Weise implementiert werden. Viele Organisationen verwenden beispielsweise eine elektronische Überwachung. Dies ermöglicht ihnen die Überwachung der Serverstandorte und sogar die Einschränkung des Zugangs zu einzelnen Serverschränken, je nachdem, wie die Arbeitsbereiche strukturiert sind.
Es gibt einige spezielle Faktoren, die in Erwägung gezogen werden sollten, wenn es um den Diebstahl oder die physische Gefährdung eines ISA Servers oder ISA-Konfigurationsspeicherservers geht. Die Art der Informationen, die von einem gestohlenen Server gewonnen werden können, kann möglicherweise alle ISA Server und den gesamte Datenverkehr (einschließlich des verschlüsselten Datenverkehrs) in Ihrer Umgebung beeinträchtigen.
Wenn Sie vermuten, dass ein Server beeinträchtigt wurde, entfernen Sie den betroffenen Server unverzüglich, und folgen Sie dem Standardverfahren für das Sichern der Beweise. Nach diesen notwendigen Schritten müssen Sie den Prozess beginnen, bei dem alle vertraulichen Informationen geändert werden. Alle Zertifikate, die auf dem Server installiert sind, müssen widerrufen werden, und alle vorinstallierten und gemeinsamen geheimen Schlüssel müssen geändert werden. Wenn Sie ein Replikat des Konfigurationsspeicherservers verwalten, müssen Sie zudem sicherstellen, dass alle Daten, die sich auf den manipulierten Server beziehen, entfernt werden.
Nachdem Ihre Server physisch sicher sind, muss als Nächstes sichergestellt werden, dass eine strukturierte Methode für das Patchen der gesamten Software vorhanden ist, einschließlich der Virtualisierungsschicht, des Betriebssystems und der Anwendungen. Patches, Upgrades und Hotfixes müssen überprüft und regelmäßig angewendet werden. Aber vergessen Sie nicht, diese Updates zu testen, bevor Sie sie auf die Produktionssysteme anwenden. Ein Patch ist keine Hilfe, wenn es am Ende ein Problem verursacht, durch das die Anwendungs- oder Datenintegrität beeinträchtigt wird.
Falls die Datenintegrität beeinträchtigt ist, müssen Sie sich auf Ihre Sicherungen verlassen können. Dies führt zu einem anderen wichtigen Faktor beim Sichern Ihrer Infrastruktur. Wenn Sie Daten bei Bedarf nicht schnell und vollständig wiederherstellen können, kann die Ausfallzeit eine erhebliche Auswirkung auf Ihre Vorgänge haben und die Kosten der Zugriffsverletzung erhöhen.
Zwei andere Faktoren, die beachtet werden müssen, sind das Überwachen und Überprüfen. Die Überwachung Ihrer Anwendungen und Systeme ist ein entscheidender Aspekt eines guten Sicherheitsplans. Wenn Sie sich die Zeit zum Überprüfen von Protokollen, insbesondere von sicherheitsbezogenen Protokollen, nicht nehmen, ist die Wahrscheinlichkeit, dass Sie jemals vor dem Schadensfall Zugriffsverletzungen aufdecken, gering.
Dementsprechend wichtig ist die Überprüfung. Für viele Organisationen, besonders bei großen Umgebungen, wird dies oft formalisiert und ist sogar gesetzlich vorgeschrieben. Wie dem auch sei, es ist in jeder Umgebung wichtig, die Steuerelemente und die Methodik zur Sicherung Ihrer Ressourcen regelmäßig zu überprüfen, damit Ihre Bemühungen effektiv sind.
Abschließend ist Folgendes anzumerken: Da Sie ISA Server 2006 unter Windows Server® 2003 ausführen, ist es wichtig, dass Sie das Windows Server 2003-Sicherheitshandbuch noch einmal sorgfältig durchgehen und die notwendigen Empfehlungen implementieren. Sie finden das Windows Server 2003-Sicherheitshandbuch unter microsoft.com/technet/security/prodtech/windowsserver2003/w2003hg/sgch00.mspx.
Microsoft empfiehlt derzeit das Implementieren der Vorlage „Baseline Security Policy“, aber Sie sollten keine IPsec-Filter (Internet Protocol Security, Internetprotokollsicherheit) implementieren.
Einrichten des Sicherheitskonfigurations-Assistenten
Wie kann die Sicherheit von ISA Server selbst noch verbessert werden? Das primäre Tool für das Sichern von ISA ist der SCW (Security Configuration Wizard, Sicherheitskonfigurations-Assistent). Dies ist ein Tool zum Verringern der Angriffsfläche. Es erstellt Sicherheitsrichtlinien, die auf die Dienste, die Netzwerksicherheit, die Registrierung sowie die Überwachungsrichtlinie eines Servers abzielen, und konfiguriert das System nur für die erforderlichen Dienste und Features. Beachten Sie, dass Sie nur die ISA Server-Dienste konfigurieren sollten, die Sie auch verwenden werden. Der Webproxydienst ist beispielsweise standardmäßig aktiviert, aber Sie sollten diese Funktionalität deaktivieren, wenn ihre Verwendung nicht vorgesehen ist. Folglich müssen Sie sorgfältig auf die Konfigurationsoptionen achten, die der SCW Ihnen bietet.
Den SCW ist in Windows Server 2003 standardmäßig nicht installiert. Als Erstes müssen Sie deshalb den SCW unter Verwendung des Applets „Windows®-Komponenten hinzufügen/entfernen“ unter der Option „Software“ der Systemsteuerung manuell installieren. (Beachten Sie, dass der SCW standardmäßig in Windows Server 2008 installiert ist.) Nachdem der Bildschirm für die Windows-Komponenten geladen ist, führen Sie einen Bildlauf nach unten durch, und aktivieren Sie das Kontrollkästchen für den SCW.
Nach dem Abschluss der Installation ist die Anwendung unter „Verwaltung“ zu finden. Vor der Arbeit mit dem Assistenten müssen Sie den SCW durch Herunterladen eines Updates für ISA Server 2006 aktualisieren (verfügbar unter go.microsoft.com/fwlink/?LinkId=122532). Dieses Update fügt die Rollen für ISA Server 2006 Standard Edition, ISA Server 2006 Enterprise Edition und den ISA Server-Konfigurationsspeicherserver hinzu.
Nachdem Sie das Update heruntergeladen haben, müssen Sie das Paket ausführen und die Dateien extrahieren. Kopieren Sie nach dem Extrahieren dieser Dateien die zwei XML-Dateien (isa.xml und isaloc.xml) in den Ordner „SCW kbs“, in einer Standardinstallation von Windows Server also unter „C:\Windows\security\msscw\kbs“.
Wenn Sie die Dateien kopieren, werden Sie aufgefordert, zwei vorhandene Dateien mit dem gleichen Namen zu überschreiben. Diese zwei Dateien sind für ISA Server 2004. Deshalb sollten Sie vor dem Überschreiben von ihnen eine Sicherheitskopie erstellen. Im letzten Schritt kopieren Sie die isascwhlp.dll-Datei in den bin-Ordner, der sich in der Regel im Pfad „C:\Windows\security\msscw\bin“ befindet. Nachdem Sie das Hinzufügen der ISA-Rollen zum SCW abgeschlossen haben, kann die Installation beginnen.
Microsoft empfiehlt im Allgemeinen, dass Sie den SCW erst dann ausführen, wenn Sie die Konfiguration von ISA Server abgeschlossen haben. Wenn Sie Enterprise Edition ausführen, schließt dies die Konfiguration aller Arrays und Arraymitglieder ein.
Ausführen des Sicherheitskonfigurations-Assistenten
Als Erstes starten Sie den SCW von „Verwaltung“ aus. Denken Sie daran, dass Sie Verwaltungsberechtigungen benötigen, um den SCW-Prozess erfolgreich abzuschließen.
In Abbildung 1 sehen Sie den ersten Bildschirm des Assistenten. Wenn Sie den Text auf diesem Bildschirm lesen, vor allem die Warnung, die darauf hinweist, dass dieser Assistent die eingehenden Ports erkennt, die von diesem Server empfangen werden, ist leicht ersichtlich, warum es wichtig ist, dass ISA Server und die Arrays vor dem Beginn dieses Prozesses vollständig konfiguriert sind.
Abbildung 1 Starten des Sicherheitskonfigurations-Assistenten (zum Vergrößern auf das Bild klicken)
Falls Sie Ihre Umgebung nicht vollständig konfiguriert haben, ist davon auszugehen, dass Sie die SCW-Konfiguration nach dem Abschluss der ISA-Konfiguration überarbeiten müssen. Im nächsten Bildschirm (siehe Abbildung 2) wird gefragt, welche Aktion Sie durchführen möchten. Wählen Sie die Option zum Erstellen einer neuen Sicherheitsrichtlinie aus.
Abbildung 2 Erstellen einer neuen Sicherheitsrichtlinie (zum Vergrößern auf das Bild klicken)
Sie werden daraufhin aufgefordert, den Server auszuwählen, der als Baseline für die Richtlinie verwendet wird. Da Sie eine neue Richtlinie erstellen, besteht die Standardauswahl darin, den Computer zu verwenden, auf dem Sie den SCW ausführen. Dieses Verhalten ändert sich jedoch in Abhängigkeit von der Aktion, die Sie auf dem vorherigen Bildschirm ausgewählt haben. Unabhängig davon wird als bewährte Methode empfohlen, den SCW auf dem Server zu installieren, den Sie als die Baseline verwenden möchten. Wenn der SCW nicht auf dem Zielserver installiert wird, fehlen die Informationen, die für den Abschluss der Richtlinie verwendet werden. Es ist folglich einfacher, den SCW von dem Server, der als Baseline dienen soll, zu installieren und auszuführen.
Wenn Sie als Nächstes auf „Weiter“ klicken, beginnt der SCW die Analyse von ISA Server. Diese Analyse umfasst das Festlegen der auf dem Server installierten Rollen, der auf dem Server wahrscheinlich installierten Rollen, der installierten Dienste sowie der grundlegenden Netzwerkinformationen. Wenn die Verarbeitung abgeschlossen ist, können Sie die Datenbank durch Auswählen der Ansichtskonfigurationsdatenbank anzeigen. Die Konfigurationsdatenbank enthält viele Informationen, einschließlich aller unterstützten Serverrollen, Clientfeatures und Ports.
Dann beginnt der SCW den Prozess, bei dem Sie durch die rollenbasierte Dienstkonfiguration geführt werden. Durch Klicken auf „Weiter“ gelangen Sie zum nächsten Bildschirm, auf dem Sie aufgefordert werden, die Serverrollen auszuwählen (siehe Abbildung 3). Der anfängliche Scan, der vom SCW durchgeführt wird, ist zuverlässig, und Sie werden feststellen, dass die richtigen Serverrollen bereits identifiziert wurden. Es ist jedoch sehr wichtig, dass Sie sie nochmals überprüfen und alle unnötigen Rollen entfernen. Wenn der Server mehrere Rollen ausführt, stellen Sie sicher, dass alle entsprechenden Rollen ausgewählt sind.
Abbildung 3 Angeben der Serverrollen (zum Vergrößern auf das Bild klicken)
Ein wichtiger Punkt beim Ausführen von ISA Server 2006 Enterprise Edition ist, dass Sie den Konfigurationsspeicherserver berücksichtigen müssen. Wenn der Konfigurationsspeicherserver auf einem Server installiert ist, der gleichzeitig ein ISA Server ist (dies entspricht übrigens nicht den empfohlenen bewährten Methoden, ist aber trotzdem oft der Fall), müssen Sie sicherstellen, dass die Konfigurationsspeicherserver-Rolle ebenfalls ausgewählt ist. Sie sollten keinen Baselinescan eines Servers verwenden, der für Server, die eigentlich nur die ISA Server 2006-Rolle haben, beide Rollen hostet.
Als Nächstes werden Sie aufgefordert, die Clientfeatures des Servers auszuwählen. Anders gesagt, müssen Sie die Dienste angeben, die vom Server benötigt werden. Zum Beispiel werden nahezu alle Server den DNS-Client erfordern, und wenn ein Server Mitglied einer Domäne ist, wird er das Domänenmitgliedsfeature erfordern.
Nachdem Sie dies getan haben, werden der Bildschirm „Verwaltungs- und weitere Optionen“ angezeigt. Hier geben Sie die Optionen für die Anwendung, für die Verwaltung und für das Betriebssystem an, die Dienste verwenden oder auf die Netzwerkkonnektivität angewiesen sind. Alle hier nicht ausgewählten Dienste werden deaktiviert. Nachdem Sie Ihre Auswahl getroffen und auf „Weiter“ geklickt haben, erhalten aber Sie die Gelegenheit, alle zusätzlichen Dienste auszuwählen, die Sie zulassen möchten.
Dann konfigurieren Sie, wie nicht spezifizierte Dienste behandelt werden sollen. So können Sie definieren, was geschehen soll, wenn Dienste gefunden werden, die nicht in der Hauptdatenbank enthalten oder auf dem Baselineserver installiert sind, wenn die Richtlinie angewendet wird. Als allgemeine bewährte Methode empfiehlt sich das Deaktivieren aller nicht spezifizierten Dienste, weil dies unvorhergesehene Angriffsmethoden einschränkt. Leider kann diese Option negative Folgen haben, wenn Ihre Server in wichtigen Bereichen keine Ähnlichkeit aufweisen. Sie müssen sich außerdem an diese Einstellung erinnern, wenn Sie in Zukunft Anwendungen oder Netzwerkdienste hinzufügen.
Der nächste Abschnitt des Assistenten (siehe Abbildung 4) ermöglicht Ihnen das Überprüfen der Dienste, die vom SCW geändert werden. Dieser Bestätigungsbildschirm bietet eine Vergleichsansicht sowohl für den aktuellen als auch den geänderten Status der Dienste, nachdem die Richtlinie angewendet wurde.
Abbildung 4 Überprüfung und Bestätigung der Dienständerungen (zum Vergrößern auf das Bild klicken)
Nach dem Bestätigen der Dienste, die geändert werden sollen, fahren Sie mit dem Abschnitt „Netzwerksicherheit“ fort. Hier ermöglicht der SCW in der Regel das Ändern der Windows-Firewall- und IPsec-Einstellungen. Da Sie jedoch ISA Server 2006 konfigurieren, haben Sie keine andere Wahl, als diesen Abschnitt zu überspringen (siehe Abbildung 5).
Abbildung 5 Überspringen der Netzwerksicherheitseinstellungen (zum Vergrößern auf das Bild klicken)
Der Assistent fährt dann mit dem Konfigurieren der Registrierungseinstellungen fort, die sich auf die Netzwerkauthentifizierungsmethoden und die Sicherheit konzentrieren. Der erste Bildschirm in diesem Abschnitt umfasst die SMB-Signatur (Server Message Block). Das SMB-Protokoll ist ein zentrales Microsoft-Netzwerkprotokoll, und diese Einstellungen ermöglichen die signierte Kommunikation, um die Wahrscheinlichkeit der Man-in-the-Middle-Angriffe zu verringern.
Die Standardeinstellungen (siehe Abbildung 6) bieten eine gute Sicherungsstufe für Ihre ISA Server-SMB-Kommunikation. Sie müssen jedoch die Auswirkungen berücksichtigen, die das Signieren jeglicher Kommunikation zur Folge hat. Wenn Sie die zusätzlichen CPU-Zyklen nicht haben, sollten Sie die zweite Option deaktivieren. Denken Sie außerdem an alle Server, auf die diese Richtlinie angewendet wird. Wenn Sie Server mit verschiedenen Arbeitsauslastungen haben, müssen Sie den Server mit der höchsten CPU-Auslastung als Richtlinie dafür verwenden, ob Sie diese Option auswählen oder nicht.
Abbildung 6 Angeben, ob signierte Kommunikation erforderlich ist (zum Vergrößern auf das Bild klicken)
Die nächsten Bildschirme betreffen die LMCompatibility-Ebene, die der ISA Server verwenden sollte. Im ersten Bildschirm stehen drei Optionen zur Auswahl. Wenn Sie keine Legacy-Windows-Clients (wie z. B. Windows 95 oder Windows 98) haben und keine lokalen Konten für die Zugriffssteuerung verwenden, sollten Sie die Standardauswahl „Domänenkonten“ unverändert lassen.
Auf dem zweiten Bildschirm, auf dem die LMCompatibility-Ebene behandelt wird, stellen Sie Informationen zu Ihren Domänencontrollern bereit. Wenn Sie keine Windows NT® 4.0-Domäne haben, können Sie die Standardauswahl unverändert lassen (Windows NT 4.0 Service Pack 6a oder höher). Auf diesem Bildschirm sollten Sie auch auswählen, dass die Uhren mit der Uhroption auf dem ausgewählten Server synchronisiert werden. Durch Klicken auf „Weiter“ werden einige zusätzliche Konfigurationsoptionen für die eingehende LM-Kommunikation (LAN Manager) angezeigt (siehe Abbildung 7).
Abbildung 7 Angeben eingehender Authentifizierungsmethoden (zum Vergrößern auf das Bild klicken)
In diesem dritten Bildschirm, der sich auf die LMCompatibility-Ebene bezieht, wird festgelegt, ob Windows NT LAN Manager (NTLM), Version 2, erforderlich ist und ob LM-Hashes gespeichert werden. Sie sollten sicherstellen, dass keine dieser Optionen ausgewählt ist, vorausgesetzt, dass Ihre Umgebung diese Konfiguration unterstützt, da das Deaktivieren dieser beiden Optionen die Sicherheit erheblich verbessert. Daraufhin wird eine Zusammenfassung der Registrierungseinstellungen angezeigt. Überprüfen Sie jeden Eintrag, und bestätigen Sie, dass die Richtlinieneinstellungen korrekt sind.
Als Nächstes führt Sie der Assistent zum letzten Abschnitt – der Überwachung. Bei allen Konfigurationsoptionen, die Sie in diesem Abschnitt auswählen, müssen Sie einen wichtigen Punkt beachten: Einmal ausgewählte Optionen können nicht rückgängig gemacht werden. Da sich die Überwachung aber nicht auf die Systemfunktionalität auswirkt, sollten Sie diesen Abschnitt nicht überspringen.
Die Standardauswahl der Option „Erfolgreiche Aktivitäten überwachen“ stellt Ihnen keine Ereignisprotokolleinträge für Anmeldefehler zur Verfügung. Informationen in Bezug auf Anmeldefehler können jedoch wertvolle Informationen über Eindringversuche liefern. Folglich sollten Sie als allgemeine bewährte Methode die Option „Erfolgreiche und nicht erfolgreiche Aktivitäten überwachen“ auswählen.
Sie können dann Ihre Überwachungskonfiguration überprüfen und zweimal auf „Weiter“ klicken, um Ihre Sicherheitsrichtlinie zu speichern. Alles, was auf diesem Bildschirm (siehe Abbildung 8) erforderlich ist, ist ein Dateiname. Sie können aber auch eine kurze Beschreibung angeben. Diese Beschreibung kann sich in großen Umgebungen, in denen verschiedene Administratoren gemeinsam für die Sicherheit verantwortlich sind, als nützlich erweisen.
Abbildung 8 Angeben eines Namens und einer Beschreibung für Ihre Sicherheitsrichtlinie (zum Vergrößern auf das Bild klicken)
Nachdem die Datei gespeichert wurde, haben Sie die Wahl, die Richtlinie sofort oder später anzuwenden. Wenn Sie auswählen, die Richtlinie später anzuwenden, ist der Prozess vollständig. Wenn Sie feststellen, dass Sie in der Richtlinienkonfiguration Fehler gemacht haben, können Sie die Richtlinie, mit der Ausnahme der Überwachungseinstellungen, zurücksetzen.
Administratorrollen
Die Verringerung der Angriffsfläche Ihres ISA Servers ist ein entscheidender Schritt, um die Gefahr von Zugriffsverletzungen von externen Quellen zu verringern. Es ist jedoch auch wichtig, die Zuweisung der Administratorrollen innerhalb von ISA Server zu überprüfen, um das Potenzial für die Gefährdung durch interne Quellen zu begrenzen. Die Administratorrollen und eine partielle Liste allgemeiner zugeordneter Aufgaben sind in den Abbildungen 9 und 10 dargestellt.
Abbildung 9 Mit Standard Edition verknüpfte Rollen und Aufgaben
| Aufgabe | Überwachungsprüfprogramm | Prüfprogramm | Hauptadministrator |
|---|---|---|---|
| Dashboard, Alarme, Konnektivität, Sitzungen und Dienste anzeigen | Zugelassen | Zugelassen | Zugelassen |
| Alarme bestätigen | Zugelassen | Zugelassen | Zugelassen |
| Protokollinformationen anzeigen | – | Zugelassen | Zugelassen |
| Alarmdefinitionen erstellen | – | – | Zugelassen |
| Berichte erstellen | – | Zugelassen | Zugelassen |
| Sitzungen und Dienste starten und beenden | – | Zugelassen | Zugelassen |
| Firewallrichtlinie anzeigen | – | Zugelassen | Zugelassen |
| Firewallrichtlinie konfigurieren | – | – | Zugelassen |
| Cache konfigurieren | – | – | Zugelassen |
| Virtuelles privates Netzwerk (VPN) konfigurieren | – | – | Zugelassen |
Abbildung 10 Mit Standard Edition verknüpfte Rollen und Aufgaben
| Aktivität | Arrayüberwachungs-Prüfprogramm | Arrayprüfprogramm | Arrayadministrator |
|---|---|---|---|
| Dashboard, Alarme, Konnektivität und Sitzungen anzeigen | Zugelassen | Zugelassen | Zugelassen |
| Alarme bestätigen und zurücksetzen | Zugelassen | Zugelassen | Zugelassen |
| Protokollinformationen anzeigen | – | Zugelassen | Zugelassen |
| Alarmdefinitionen erstellen | – | - | Zugelassen |
| Berichte erstellen | – | Zugelassen | Zugelassen |
| Sitzungen und Dienste starten und beenden | – | Zugelassen | Zugelassen |
| Firewallrichtlinie anzeigen | – | Zugelassen | Zugelassen |
| Firewallrichtlinie konfigurieren | – | – | Zugelassen |
| Cache konfigurieren | – | – | Zugelassen |
| Virtuelles privates Netzwerk (VPN) konfigurieren | – | – | Zugelassen |
| NLB Drain/Stop durchführen | – | Zugelassen | Zugelassen |
| Lokale Konfiguration anzeigen (in Registrierung des Arraymitglieds) | – | Zugelassen | Zugelassen |
| Lokale Konfiguration ändern (in Registrierung des Arraymitglieds) | – | – | – |
Wie Sie sehen können, gibt es in den administrativen, ISA Server zugeordneten Aufgaben einen hohen Segmentierungsgrad. Dies wiederum erleichtert Ihnen die Aufgabe, Benutzern die richtigen Rollen innerhalb Ihrer Organisation zuzuweisen.
Darüber hinaus müssen Sie daran denken, dass der beste Ansatz für die Rollenzuweisung das Prinzip der geringsten Rechte ist. Alle Benutzer sollten nur jene Berechtigungen haben, die zur Verrichtung ihrer Arbeit notwendig sind.
Es muss außerdem beachtet werden, dass die Mitglieder der lokalen Administratorgruppe für ISA Server 2006 Standard Edition die gleichen Rechte haben wie ein ISA Server-Hauptadministrator. Mit Enterprise Edition haben die Mitglieder der lokalen Administratorgruppe für den Server mit der Konfigurationsspeicherserver-Rolle vollständige Kontrolle über die Enterprise-Konfiguration. Dies bedeutet, dass Sie die Mitgliedschaft der Domänenadministratoren sorgfältig überprüfen müssen (vorausgesetzt, dass Ihr ISA Server Mitglied einer Domäne ist), ebenso wie jede andere Gruppe, die Mitglied der lokalen Administratorgruppe für ISA Server ist.
Alan Maddison ist ein auf Microsoft-Technologien spezialisierter Senior Consultant bei Strategic Business Systems, einer Tochtergesellschaft von Brocade.