Informationen zur Systemrichtlinie

Veröffentlicht: November 2009

Letzte Aktualisierung: Februar 2010

Betrifft: Forefront Threat Management Gateway (TMG)

Forefront TMG enthält eine Systemrichtlinie. Dabei handelt es sich um mehrere vordefinierte Firewallrichtlinienregeln, die den Zugriff vom und zum lokalen Hostnetzwerk steuern (dem Forefront TMG-Computer). Diese Regeln steuern, wie die zur Verwaltung der Netzwerksicherheit und -konnektivität erforderliche Infrastruktur durch die Forefront TMG-Firewall aktiviert wird. Bei der Installation von Forefront TMG wird eine Standardsystemrichtlinie eingerichtet, die einen Kompromiss zwischen Sicherheit und Konnektivität darstellt.

In diesem Thema wird Folgendes beschrieben:

Informationen zu Systemrichtlinienregeln

Einige Systemrichtlinienregeln werden bei der Installation aktiviert. Dies sind die grundlegendsten und notwendigsten Regeln, um die Forefront TMG-Umgebung effektiv verwalten zu können. Anschließend können Sie die Systemrichtlinienregeln aktivieren, um die Dienste und Aufgaben zu aktivieren, die Sie zur Verwaltung des Netzwerks benötigen.

Die Systemrichtlinienregeln werden mit dem Systemrichtlinien-Editor konfiguriert. Im Systemrichtlinien-Editor sind die Systemrichtlinien in mehrere Konfigurationsgruppen unterteilt. Die Systemrichtlinienregeln werden vor allen anderen Regeln verarbeitet. Sie können die Reihenfolge dieser Regeln nicht ändern. Bei der Installation werden diese Regeln entsprechend den Angaben in der Tabelle im Abschnitt System policy rules auf bestimmte Netzwerke angewendet.

Nach der Installation von Forefront TMG kann die Systemrichtlinie konfiguriert werden. Sie können diese Regeln nicht löschen. Aus Sicherheitsgründen wird jedoch empfohlen, die folgenden Schritte auszuführen:

  • Überprüfen Sie die konfigurierten Systemrichtlinienregeln nach der Installation sorgfältig. Überprüfen Sie die Systemrichtlinienkonfiguration nach der Durchführung umfangreicher Verwaltungsaufgaben stets erneut.

  • Ermitteln Sie die Dienste und Aufgaben, die Sie für die Verwaltung des Netzwerks nicht benötigen, und deaktivieren Sie die zugehörigen Systemrichtlinienregeln.

  • Zusätzlich zum Deaktivieren nicht benötigter Systemrichtlinienregeln wird empfohlen, die Anwendung der Regeln auf die erforderlichen Netzwerkidentitäten zu beschränken. Die Gruppe Active Directory ist beispielsweise standardmäßig aktiviert und wird auf alle Computer im internen Netzwerk angewendet. Sie können die Anwendung dieser Regeln auf eine bestimmte Gruppe der Active Directory-Domänendienste (AD DS) im internen Netzwerk beschränken.

Dienste, die von der Systemrichtlinie aktiviert werden

Standardmäßig lässt die Systemrichtlinie zu, dass die Forefront TMG-Firewall auf Netzwerkressourcen zugreifen kann, die für die einwandfreie Funktionsweise der Firewall besonders wichtig sind. Abhängig von der jeweiligen Bereitstellung können Sie den Zugriff auf einige dieser Dienste sperren.

Abhängig von der jeweiligen Bereitstellung und den benötigten Diensten können Sie festlegen, welche Systemkonfigurationsgruppen aktiviert werden sollen. In diesem Abschnitt werden einige dieser Bereitstellungsaspekte beschrieben.

Beim Aktivieren einer Konfigurationsgruppe der Systemrichtlinie wird die Verwendung eines bestimmten Protokolls nicht notwendigerweise ausgeschlossen. Das gleiche Protokoll kann in einer anderen Regel enthalten sein, die durch eine andere Konfigurationsgruppe aktiviert wird.

Die folgenden Dienste werden von Systemrichtlinienregeln aktiviert:

  • Netzwerkdienste

  • DHCP-Dienste

  • Authentifizierungsdienste

  • Aktivieren von DCOM-Datenverkehr

  • Windows- und RADIUS-Authentifizierungsdienste

  • RSA SecurID-Authentifizierungsdienste

  • CRL-Authentifizierungsdienste

  • Remoteverwaltung

  • Remoteüberwachung und -protokollierung

  • Diagnosedienste

  • SMTP

  • Geplante Downloadaufträge

  • Zugriff auf die Microsoft-Website

Unter System policy rules finden Sie eine vollständige Liste aller Systemrichtlinienregeln.

Netzwerkdienste

Bei der Installation von Forefront TMG werden die grundlegenden Netzwerkdienste aktiviert. Nach der Installation kann Forefront TMG auf Namensauflösungsserver in allen Netzwerken und Zeitsynchronisierungsdienste im internen Netzwerk zugreifen.

Wenn die Netzwerkdienste in einem anderen Netzwerk zur Verfügung stehen, müssen Sie die betreffenden Quellen der Konfigurationsgruppe (DHCP, DNS bzw. NTP) für das jeweilige Netzwerk anpassen. Wenn sich der DHCP-Server z. B. nicht im internen Netzwerk, sondern in einem Umkreisnetzwerk befindet, ändern Sie die Quelle für die DHCP-Konfigurationsgruppe (auf der Registerkarte Von) so, dass sie für das Umkreisnetzwerk gilt.

Sie können die Systemrichtlinie so ändern, dass nur auf bestimmte Computer im internen Netzwerk zugegriffen werden kann. Sie können jedoch auch weitere Netzwerke hinzufügen, wenn sich die gewünschten Dienste nicht im internen Netzwerk befinden.

Ändern Sie abhängig von den benötigten Netzwerkdiensten die folgenden Konfigurationsgruppen:

  • DHCP

  • DNS

  • NTP

DHCP-Dienste

Wenn sich der DHCP-Server nicht im internen Netzwerk befindet, müssen Sie die Systemrichtlinienregel so ändern, dass sie auf das Netzwerk angewendet wird, in dem sich der DHCP-Server befindet.

Authentifizierungsdienste

Eine der grundlegenden Funktionen von Forefront TMG besteht darin, eine Firewallrichtlinie auf bestimmte Benutzer anzuwenden. Zur Authentifizierung von Benutzern muss Forefront TMG mit den Authentifizierungsservern kommunizieren können.

Ändern Sie abhängig von den benötigten Authentifizierungsdiensten die folgenden Konfigurationsgruppen:

  • Active Directory

  • RADIUS

  • RSA SecurID

  • CRL-Download

Aktivieren von DCOM-Datenverkehr

Wenn die MMC-Regeln (Microsoft Management Console) aktiviert sind, wird RPC-Datenverkehr (Remote Procedure Call) zum lokalen Hostnetzwerk zugelassen. DCOM-Datenverkehr wird jedoch standardmäßig gesperrt. Wenn DCOM-Datenverkehr zugelassen werden soll, müssen Sie die Systemrichtlinienregel „Remoteverwaltung mit MMC von ausgewählten Computern zulassen“ deaktivieren. Erstellen Sie anschließend eine Regel, die RPC-Datenverkehr zulässt. Konfigurieren Sie nach dem Erstellen der Regel in den Regeleigenschaften das RPC-Protokoll, und deaktivieren Sie die Einstellung Strikte RPC-Einhaltung erzwingen.

Windows- und RADIUS-Authentifizierungsdienste

Standardmäßig kann Forefront TMG mit AD DS-Servern (für Windows-Authentifizierung) und mit RADIUS-Servern im internen Netzwerk kommunizieren. Wenn keine Windows-Authentifizierung oder RADIUS-Authentifizierung erforderlich ist, können Sie die entsprechenden Konfigurationsgruppen der Systemrichtlinie deaktivieren.

noteHinweis:
  • Wenn Sie die Konfigurationsgruppe Active Directory der Systemrichtlinie deaktivieren, wird der Zugriff auf alle LDAP-Protokolle deaktiviert. Erstellen Sie eine Zugriffsregel, die LDAP-Protokolle zulässt, wenn diese benötigt werden.

  • Wenn nur die Windows-Authentifizierung benötigt wird, muss die Verwendung aller anderen Authentifizierungsmechanismen in der Systemrichtlinie deaktiviert werden.

RSA SecurID-Authentifizierungsdienste

Die Kommunikation mit RSA SecurID-Authentifizierungsservern ist standardmäßig nicht aktiviert. Wenn die Firewallrichtlinie eine RSA SecurID-Authentifizierung erfordert, muss die betreffende Konfigurationsgruppe aktiviert werden.

CRL-Authentifizierungsdienste

Zertifikatsperrlisten (Certificate Revocation Lists, CRLs) können nicht standardmäßig heruntergeladen werden, da die Konfigurationsgruppe CRL-Download in den Standardeinstellungen nicht aktiviert ist. Um den Download von Zertifikatsperrlisten zu ermöglichen, muss die Konfigurationsgruppe CRL-Download aktiviert werden. Wenden Sie diese Konfigurationsgruppe anschließend auf die Netzwerkidentitäten an, in denen sich die Zertifikatsperrlisten befinden.

Jeglicher HTTP-Datenverkehr von der Forefront TMG-Firewall zu den auf der Registerkarte Nach aufgeführten Netzwerkidentitäten wird zugelassen.

Remoteverwaltung

Forefront TMG wird normalerweise von einem Remotecomputer aus verwaltet. Überlegen Sie sorgfältig, welche Remotecomputer in der Lage sein sollen, Forefront TMG zu verwalten und zu überwachen.

Ändern Sie abhängig von der jeweiligen Durchführung der Remoteverwaltung die folgenden Konfigurationsgruppen:

  • Microsoft Management Console (MMC)

  • Terminalserver

  • Web Management

  • ICMP (Ping)

Standardmäßig sind die Systemrichtlinienregeln, die die Remoteverwaltung von Forefront TMG zulassen, aktiviert. Forefront TMG kann mit einem MMC-Snap-In (Microsoft Management Console) oder mit den Terminaldiensten verwaltet werden.

Standardmäßig werden diese Regeln auf den vordefinierten Computersatz Remoteverwaltungscomputer angewendet. Der bei der Installation von Forefront TMG erstellte Computersatz ist zunächst leer. Fügen Sie diesem leeren Computersatz alle Computer hinzu, mit denen die Remoteverwaltung von Forefront TMG möglich sein soll. Erst nach diesem Schritt ist die Remoteverwaltung auf anderen Computern verfügbar.

noteHinweis:
Beschränken Sie die Remoteverwaltung auf bestimmte Computer, indem Sie Systemrichtlinienregeln konfigurieren, die nur für bestimmte IP-Adressen gelten.

Remoteüberwachung und -protokollierung

Standardmäßig sind die Remoteprotokollierung, die Remoteleistungsüberwachung sowie die Remoteüberwachung von Microsoft Operations Manager deaktiviert. Die folgenden Konfigurationsgruppen sind standardmäßig deaktiviert:

  • Remoteprotokollierung (NetBios)

  • Remoteprotokollierung (SQL)

  • Remoteleistungsüberwachung

  • Microsoft Operations Manager

Diagnosedienste

Standardmäßig lassen die Systemrichtlinienregeln den Zugriff auf Diagnosedienste mit den folgenden Berechtigungen zu:

  • ICMP – Dieser Dienst ist für alle Netzwerke zugelassen und ist wichtig, um die Konnektivität zu anderen Computern zu ermitteln.

  • Windows-Netzwerk – Damit wird die NetBIOS-Kommunikation zugelassen (standardmäßig mit Computern im internen Netzwerk).

  • Microsoft-Fehlerberichterstattung – Damit wird der HTTP-Zugriff auf den URL-Satz Microsoft-Fehlerberichterstattungs-Sites zugelassen, sodass die Berichterstattung von Fehlerinformationen ermöglicht wird. Dieser URL-Satz enthält standardmäßig die URLs bestimmter Microsoft-Websites.

  • HTTP-Konnektivitätsverifizierungen – Erlaubt der Forefront TMG-Firewall die Verwendung von HTTP- und HTTPS-Protokollen, um zu überprüfen, ob ein bestimmter Computer antwortet.

SMTP

Standardmäßig ist die Konfigurationsgruppe SMTP aktiviert, die eine SMTP-Kommunikation von Forefront TMG mit Computern im internen Netzwerk zulässt. SMTP wird beispielsweise zum Senden von Alarminformationen in einer E-Mail-Nachricht benötigt.

ImportantWichtig:
Die Konfigurationsgruppe SMTP sollte nicht aktiviert werden, wenn keine Alarminformationen in E-Mail-Nachrichten gesendet werden.

Geplante Downloadaufträge

Die Funktion für geplante Downloadaufträge ist standardmäßig deaktiviert. Die Konfigurationsgruppe Geplante Downloadaufträge ist deaktiviert, wenn diese Funktion deaktiviert ist.

Beim Erstellen eines Inhaltdownloadauftrags werden Sie aufgefordert, diese Systemrichtlinienregel zu aktivieren. Forefront TMG kann dann auf die im Inhaltdownloadauftrag angegebenen Sites zugreifen.

Zugriff auf die Microsoft-Website

Die Standardsystemrichtlinie lässt den HTTP- und HTTPS-Zugriff vom lokalen Hostnetzwerk (d. h. von der Forefront TMG-Firewall) auf die Website Microsoft.com zu. Der Zugriff auf die Microsoft.com-Website ist aus mehreren Gründen erforderlich, z. B. zum Herunterladen von Signaturupdates für Antivirensoftware und das Netzwerküberprüfungssystem sowie für die Fehlerberichterstattung oder für den Zugriff auf die Produktdokumentation auf der Forefront TMG-Website.

Die Konfigurationsgruppe Zugelassene Sites ist standardmäßig aktiviert. Diese Konfigurationsgruppe gestattet Forefront TMG den Zugriff auf Inhalte bestimmter Sites, die im Domänennamensatz Durch Systemrichtlinie zugelassene Sites enthalten sind.

Dieser Domänennamensatz umfasst standardmäßig verschiedene Microsoft-Websites. Sie können diesen Domänennamensatz anpassen und weitere Websites hinzufügen, um Forefront TMG den Zugriff auf diese Sites zu gestatten.

Auf die angegebenen Websites ist der HTTP- und HTTPS-Zugriff zulässig.

Verwandte Themen

Anzeigen: