Microsoft Forefront: Schützen von Arbeitsgruppen mit Forefront

  • Artikel

Sie können Microsoft Forefront Threat Management Gateway bestimmungsgemäß mit Active Directory oder zum Sichern einer Arbeitsgruppeneinstellung nutzen.

Brien Posey

Konnektivität fördert die Zusammenarbeit, kann aber auch Sicherheitsgefahren in sich bergen. Mit Microsoft Forefront Threat Management Gateway (Forefront TMG) 2010 können Sie die Mitarbeiter einer Arbeitsgruppe, Ihre Daten und Ihr Unternehmensnetzwerk bei gleichzeitigem Schutz konfigurieren.

Obgleich Forefront innerhalb von Active Directory als hervorragende Anwendungseinrichtung für die Verwendung in einer Active Directory-Umgebung gilt, ist dessen Bereitstellung nicht zwingend notwendig. Sie können Forefront TMG in verschiedenen Topologien und für verschiedene Zwecke effektiv bereitstellen.

In einer Arbeitsgruppenumgebung müssen Sie Forefront TMG im Netzwerkumkreis einrichten, damit eingehende HTTP- und HTTPS-Pakete auf böswillige Inhalte hin überprüft werden können. Sie können die Anwendung auch zum Filtern der von Ihren Benutzern besuchten Arten von Websites verwenden.

Da sich der Forefront TMG-Server im Netzwerkumkreis befindet, sollte er über mindestens zwei Netzwerkadapter verfügen. Der eine Adapter wird mit dem privaten Netzwerk verbunden, der andere mit der äußeren Umgebung. Microsoft empfiehlt, beide Adapter mit einer statischen IP-Adresse zu konfigurieren.

Forefront wurde von Microsoft für die Bereitstellung innerhalb einer Windows-Domäne entworfen. Obgleich Forefront im Kontext einer Unternehmensarbeitsgruppe verwendet werden kann, gibt es einige geringfügige Einschränkungen, die in einer Domänenumgebung normalerweise nicht auftreten.

Wenn Sie Forefront z. B. in einer Arbeitsgruppenumgebung bereitstellen, können Sie die automatische Webproxyerkennung nicht nutzen. In ähnlicher Weise können Sie Forefront ohne Active Directory-Domäne nicht mithilfe von Gruppenrichtlinieneinstellungen konfigurieren. Stattdessen müssen Sie auf jedem einzelnen Computer, auf dem Forefront ausgeführt wird, auf lokale Sicherheitsrichtlinien zurückgreifen.

Weitere Einschränkungen verlangen eine sorgfältigere Überlegung. Computer, auf denen beispielsweise Forefront TMG Standard ausgeführt wird, werden in der Regel mit einem Enterprise Management Server verbunden. In einer Arbeitsgruppenumgebung können Sie jedoch die Enterprise Management Server-Replikation nicht durchführen.

Zertifizierungsstelle

Eine der wichtigsten Anforderungen zur Installation von Forefront in einer Arbeitsgruppenumgebung besteht darin, dass auf dem Forefront TMG-Server ein Serverzertifikat installiert sein muss. Da Sie dieses Zertifikat nur intern nutzen werden, empfiehlt Microsoft die Erstellung Ihrer eigenen Unternehmenszertifizierungsstelle, um die mit dem Erwerb eines handelsüblichen Zertifikats verbundenen Kosten zu vermeiden.

Windows Server verfügt über alles, was Sie zur Konfiguration dieser Anwendung als Zertifizierungsstelle benötigen. In Anbetracht der wichtigen Rolle von Serverzertifikaten sollten Sie Zertifizierungsdienste jedoch auf einem anderen Server als demjenigen, der als Forefront-Gateway im Netzwerkumkreis fungieren soll, bereitstellen.

Wenn Sie einen Server für die Funktion als Zertifizierungsstelle ausgewählt haben, öffnen Sie den Server-Manager. Navigieren Sie zum Container "Rollen", und klicken Sie auf den Link "Rollen hinzufügen". Windows startet nun den Assistenten zum Hinzufügen von Rollen. Umgehen Sie die Willkommensseite des Assistenten. Sie gelangen auf eine Seite, auf der Sie aufgefordert werden, die Rollen auszuwählen, die Sie installieren möchten.

Wählen Sie die Rolle "Active Directory-Zertifikatdienste" aus, und klicken Sie auf "Weiter". Es wird Ihnen eine Warnmeldung angezeigt, die besagt, dass Sie, sobald die Active Directory-Zertifikatdienste installiert wurden, den Namen oder Domänenstatus des Servers nicht mehr ändern können.

Sie werden aufgefordert, die Rollendienste auszuwählen, die bereitgestellt werden sollen. Wählen Sie die Dienste "Zertifizierungsstelle" und "Zertifizierungsstellen-Webregistrierung" aus, und klicken Sie auf "Weiter".

Windows fragt Sie nun, ob eine eigenständige oder eine Unternehmenszertifizierungsstelle bereitgestellt werden soll. Da Sie die Einrichtung für eine Arbeitsgruppenumgebung vornehmen, wählen Sie die Option "Eigenständig" aus. Klicken Sie auf "Weiter". Sie werden aufgefordert, den Typ der Zertifizierungsstelle auszuwählen. Da es sich hierbei um die erste Zertifizierungsstelle des Unternehmens handelt, wählen Sie die Option "Stammzertifizierungsstelle" aus, und klicken Sie auf "Weiter".

Sie werden nun vom Assistenten gefragt, ob Sie einen neuen privaten Schlüssel erstellen oder einen vorhandenen privaten Schlüssel verwenden möchten. Erstellen Sie einen neuen privaten Schlüssel, und klicken Sie auf "Weiter".

Wenn Windows den Kryptografiebildschirm des Assistenten anzeigt, klicken Sie auf "Weiter", um die Standards zu akzeptieren. Anschließend werden Sie aufgefordert, einen allgemeinen Namen für die Zertifizierungsstelle anzugeben. Geben Sie den Namen Ihrer Wahl ein. Sie müssen sich später bei der Bereitstellung von Forefront an diesen Namen erinnern können.

Sie werden aufgefordert, eine Gültigkeitsdauer des Zertifikats auszuwählen. Klicken Sie auf "Weiter", um die Standards zu akzeptieren. Der Assistent bittet Sie nun, einen Speicherort für die Zertifikatdatenbank anzugeben. Hierfür können Sie einen beliebigen Speicherort wählen. Dieser muss jedoch unbedingt in regelmäßigen Abständen gesichert werden.

Anschließend zeigt Ihnen der Assistent eine Einführung in IIS an. Klicken Sie erneut auf "Weiter". Sie können nun zusätzliche Rollendienste für IIS installieren. Die erforderlichen Rollendienste sind bereits ausgewählt, daher klicken Sie einfach nacheinander auf "Weiter" und auf "Installieren", um die erforderlichen Rollendienste bereitzustellen. Wenn der Prozess abgeschlossen ist, klicken Sie auf "Schließen".

Vorbereiten Ihres Servers

Ihr Server muss für die Installation von Forefront TMG vorbereitet werden. Installieren Sie hierfür zunächst alle aktuellen Windows Server-Patches auf Ihrem Server. Dies ist ein wichtiger Punkt. Als ich selbst einmal diesen Schritt versehentlich ausgelassen habe, wurde Forefront nicht richtig installiert.

Sobald Ihr Server aktuell ist, legen Sie die Forefront TMG 2010-Installationsmedien ein. Wenn Windows den Forefront-Begrüßungsbildschirm anzeigt, klicken Sie auf den Link für das Vorbereitungstool. Sobald dies erfolgt, startet Windows den Forefront TMG Preparation Tool-Assistenten.

Umgehen Sie die Willkommensseite des Assistenten. Sie werden nun aufgefordert, dem Lizenzvertrag zuzustimmen. Sie sehen den Bildschirm, auf dem Sie Sie gefragt werden, welche Art von Forefront-Installation durchgeführt werden soll, in Abbildung 1. Wählen Sie die Option "Forefront TMG-Dienste und -Verwaltung" aus, und klicken Sie auf "Weiter".

Figure 1 Choose the ForeFront TMG Services and Management option for installation

Abbildung 1 Wählen Sie die Option "Forefront TMG-Dienste und -Verwaltung" zur Installation aus

Windows installiert nun alle notwendigen Rollen und Features. Sobald der Prozess abgeschlossen ist, stellen Sie sicher, dass das Kontrollkästchen für den Assistenten zum Starten der Forefront TMG-Installation ausgewählt ist, und klicken Sie dann auf "Fertig stellen".

Installieren von Forefront TMG

Windows startet nun den Assistenten zur Installation von Forefront TMG im Unternehmen. Klicken Sie, nachdem Sie die Willkommensseite umgangen und dem Lizenzvertrag zugestimmt haben, erneut auf "Weiter". Als Nächstes müssen Sie Ihren Product Key eingeben. Klicken Sie erneut auf "Weiter". Der Assistent fordert Sie nun auf, den Installationspfad zu bestätigen. Wenn alles ordnungsgemäß aussieht, klicken Sie auf "Weiter", um zum Bildschirm zum Definieren des internen Netzwerks zu gelangen.

Forefront TMG ist für die Bereitstellung im Netzwerkumkreis konzipiert, daher muss klar sein, welche IP-Adressen in Ihrem internen Netzwerk enthalten sein sollen. Sie können Ihre internen Adressen bereitstellen, indem Sie auf die Schaltfläche "Hinzufügen" klicken.

Es wird Ihnen nun das Dialogfeld "Adressen" angezeigt. Klicken Sie auf die Schaltfläche "Add Adapters" (Adapter hinzufügen), und wählen Sie dann die mit Ihrem internen Netzwerk verbundenen Adapter aus, wie in Abbildung 2 gezeigt. Wenn der Adapter eine dynamische IP-Adresse verwendet, müssen Sie möglicherweise zurück zum Dialogfeld "Adressen" gehen, um den internen Adressbereich manuell anzugeben.

Figure 2 Choose the adapter connected to your internal network

Abbildung 2 Wählen Sie den mit Ihrem internen Netzwerk verbundenen Adapter aus

Wenn Sie Ihren Adapter und alle internen IP-Adressen angegeben haben, klicken Sie auf "Weiter". Möglicherweise wird Ihnen eine Warnmeldung angezeigt, die besagt, dass einige Dienste neu gestartet werden müssen. Wenn Sie eine solche Warnung bemerken, klicken Sie einfach erneut auf "Weiter".

An dieser Stelle wird Ihnen möglicherweise eine Meldung angezeigt, die besagt, dass die Remoteverwaltung von Ihrer IP-Adresse aus aktiviert wird. Wenn Sie eine solche Meldung sehen, notieren Sie sich unbedingt die IP-Adresse, bevor Sie auf "Weiter" klicken.

Es sollte Ihnen dann die Meldung angezeigt werden, dass Sie nun bereit sind, Forefront zu installieren. Klicken Sie auf die Schaltfläche "Installieren", und der Installationsprozess wird gestartet. Wie Sie in Abbildung 2 sehen können, gibt Ihnen der Assistent eine Schätzung über die Dauer des vollständigen Installationsprozesses. Klicken Sie nach Abschluss der Installation auf "Fertig stellen".

Konfigurieren von Forefront TMG

Öffnen Sie nach Abschluss der Installation von Forefront TMG die Forefront TMG Management-Konsole, und wählen Sie in der Konsolenstruktur den obersten Knoten aus. Klicken Sie auf den Link für das Starten des Assistenten für die ersten Schritte. Sie finden den Link im Bereich "Aktionen". Anschließend startet Forefront den Assistenten für die ersten Schritte, wie in Abbildung 3 gezeigt.

Figure 3 The Getting Started Wizard walks you through the configuration process

Abbildung 3 Der Assistent für die ersten Schritte führt Sie durch den Konfigurationsprozess.

Klicken Sie auf die Schaltfläche für das Konfigurieren der Netzwerkeinstellungen, um den Konfigurationsprozess zu starten, wie in Abbildung 3 gezeigt. Damit wird der Assistent für die Netzwerkeinrichtung gestartet. Umgehen Sie die Willkommensseite des Assistenten. Es wird ein Bildschirm angezeigt, in dem Sie zur Auswahl der Netzwerkvorlage aufgefordert werden, die der Topologie Ihres Netzwerks am besten entspricht. Da wir den Forefront-Server für die Bereitstellung von Perimeterschutz konfigurieren werden, wählen Sie "Edgefirewall" aus, wie in Abbildung 4 gezeigt.

Figure 4 Select the Edge Firewall option

Abbildung 4 Wählen Sie die Option "Edgefirewall" aus.

Sie werden zur Auswahl des Netzwerkadapters aufgefordert, der mit Ihrem internen Netzwerk verbunden ist. So können Sie auch zusätzliche Routen angeben. Dies ist in einer Arbeitsgruppenumgebung jedoch selten erforderlich.

Klicken Sie auf "Weiter", nachdem Sie Ihre Auswahl vorgenommen haben. Es wird ein Bildschirm angezeigt, in dem Sie zur Auswahl des Netzwerkadapters aufgefordert werden, der mit dem Internet verbunden ist. Nehmen Sie die Auswahl vor, und klicken Sie auf "Weiter" und anschließend auf "Fertig stellen".

Konfigurieren von Systemeinstellungen

Nun müssen Sie die Systemeinstellungen konfigurieren. Klicken Sie auf die Schaltfläche für das Konfigurieren der Systemeinstellungen, wie in Abbildung 3 gezeigt. Anschließend startet Windows den Assistenten für die Systemkonfigurierung.

Umgehen Sie die Willkommensseite des Assistenten. Es wird ein Bildschirm angezeigt, der ähnlich wie in Abbildung 5 gezeigt aussieht. In einer Domänenumgebung müssten Sie einen Domänennamen und ein DNS-Suffix bereitstellen. Da wir Forefront in einer Arbeitsgruppe einrichten, müssen wir nicht weiter unternehmen. Klicken Sie auf "Weiter" und anschließend auf "Fertig stellen", um die Systemkonfigurierung abzuschließen.

Figure 5 Verify that Forefront is configured for a workgroup deployment

Abbildung 5 Stellen Sie sicher, dass Forefront für die Bereitstellung in einer Arbeitsgruppe konfiguriert ist.

Definieren der Bereitstellungsoptionen

Der letzte Schritt im Konfigurationsprozess besteht in der Definierung der Bereitstellungsoptionen. Klicken Sie auf die Schaltfläche für die Definierung der Bereitstellungsoptionen, wie in Abbildung 3 gezeigt. Klicken Sie auf "Weiter", um die Willkommensseite zu umgehen, nachdem der Bereitstellungsassistent durch Windows gestartet wurde.

Anschließend werden Sie gefragt, ob Sie Microsoft Update verwenden möchten, um nach Updates für den Virenschutz zu suchen. Die Verwendung von Microsoft Update wird ausdrücklich empfohlen. Klicken Sie auf "Weiter". Anschließend wird der in Abbildung 6 gezeigte Bildschirm angezeigt.

Figure 6 Activate the complimentary license and enable malware inspection

Abbildung 6 Aktivieren Sie die kostenlose Lizenz sowie die Malwareprüfung.

Wie Sie in Abbildung 6 sehen, müssen Sie die Forefront-Lizenz aktivieren. Aktivieren Sie das System für die Netzwerkprüfung. Dies ermöglicht die Suche nach Malware auf der Ebene von HTTP/HTTPS-Paketen. Es wird empfohlen, außerdem das Kontrollkästchen für die Malwareprüfung zu aktivieren. Sie können außerdem die URL-Filterung aktivieren, wenn gewünscht.

Anschließend legen Sie fest, wie häufig Forefront nach Updates für den Virenschutz suchen soll. Standardmäßig erfolgt dies alle 15 Minuten. Sie können auch eine Benachrichtigung konfigurieren, sodass Sie informiert werden, wenn die Updates für einen längeren Zeitraum nicht ausgeführt werden konnten.

Anschließend werden Sie gefragt, ob Sie am Programm für die Verbesserung der Kundenzufriedenheit (Microsoft Customer Experience Improvement Program, CEIP) teilnehmen möchten. Nehmen Sie die Auswahl vor, und klicken Sie auf "Weiter". Klicken Sie anschließend auf "Fertig stellen", um den Konfigurationsprozess abzuschließen. Klicken Sie auf "Schließen", um den Assistenten für die ersten Schritte zu schließen.

Windows startet nun automatisch den Assistenten für Webzugriffsrichtlinien. Mithilfe dieses Assistenten können Sie die Arten der Webfilterung steuern, die von Forefront durchgeführt werden. Klicken Sie auf "Weiter", um die Willkommensseite des Assistenten zu umgehen. Es wird ein Bildschirm angezeigt, in dem Sie gefragt werden, ob Sie eine Standardregel erstellen möchten, die möglicherweise schädliche URLs blockiert. Klicken Sie auf "Ja" und anschließend auf "Weiter".

Nun wird ein Bildschirm angezeigt, in dem Sie nach den Typen von Websites gefragt werden, für die Sie den Zugriff blockieren möchten. Beispielsweise können Sie den Zugriff auf Websites blockieren, die Hass schüren oder obszöne Inhalte aufweisen. Die Liste der blockierten Inhalte wird automatisch ausgefüllt. Sie können die Liste jedoch entsprechend Ihren Anforderungen anpassen.

Anschließend werden Sie gefragt, ob Sie Regeln für die Malwareprüfung auf die Webzugriffsrichtlinie anwenden möchten. Dies wird ausdrücklich empfohlen. Außerdem wird empfohlen, dass Sie das Kontrollkästchen für die Blockierung verschlüsselter ZIP-Dateien auswählen, da diese Malware enthalten können.

Sie werden gefragt, ob Sie Benutzern gestatten möchten, mit SSL verschlüsselte HTTP-Sitzungen (HTTPS) zu verwenden. Die Prüfung von HTTPS-Inhalten wird empfohlen. Dies hat jedoch möglicherweise rechtliche Konsequenzen. Überlegen Sie sich Ihre Entscheidung sorgfältig.

Wenn Sie sich für HTTPS-Prüfungen entscheiden, werden Sie gefragt, ob Sie die Benutzer über diese Prüfungen benachrichtigen möchten. Sie werden auch darüber informiert, dass für den Prüfungsprozess ein Zertifikat erforderlich ist.

Sie können entweder mittels Forefront ein selbst signiertes Zertifikat generieren oder ein angepasstes Zertifikat verwenden. In einer Arbeitsgruppenumgebung können Sie keine selbst signierten Zertifikate verwenden. Sie müssen angepasste Zertifikate verwenden. Klicken Sie auf "Weiter". Sie werden aufgefordert, den Namen der Zertifizierungsstelle anzugeben. Das ist der Anzeigename, den Sie während der Erstellung der Zertifikatsstelle festgelegt haben, nicht notwendigerweise der Name des Servers.

Zum Schluss wird ein Bildschirm angezeigt, in dem Sie darüber informiert werden, dass Sie das Zertifikat manuell exportieren und bereitstellen müssen. Stellen Sie dem Assistenten einen Zielordner bereit, in den das Zertifikat heruntergeladen werden kann, und klicken Sie auf "Weiter". Aktivieren Sie die standardmäßige Regel für die Web-Zwischenspeicherung, um den Prozess abzuschließen.

Mittels dieses Verfahrens wird Forefront TMG so installiert, dass HTTP/HTTPS-Pakete geprüft werden, während sie den Netzwerkperimeter passieren. Beachten Sie jedoch, dass Forefront TMG zahlreiche zusätzliche Funktionen bereitstellt, wie die Prüfung von E-Mail-Nachrichten. Dies ist eine einfache Bereitstellung, die für die Sicherung von Arbeitsgruppen geeignet ist.

Brian Posey

Brien Posey*, MVP, ist freischaffender technischer Redakteur, der Tausende von Artikeln und Dutzende von Büchern verfasst hat. Sie können die Website von Brien Posey unter brienposey.com besuchen.*

Verwandter Inhalt: