Microsoft Forefront: protezione di gruppi di lavoro con Forefront

È possibile utilizzare Microsoft Forefront Threat Management Gateway nel modo previsto con Active Directory oppure per proteggere un'impostazione di un gruppo di lavoro.

Brien Posey

La connettività genera collaborazione, ma anche rischi ed esposizione. È possibile configurare i collaboratori in un gruppo di lavoro e continuare a proteggerli insieme ai dati e alla rete aziendale con Microsoft Forefront Threat Management Gateway (Forefront TMG) 2010.

Sebbene venga considerato come un set di applicazioni di classe enterprise per l'utilizzo in un ambiente Active Directory, non è assolutamente necessario distribuire Forefront in Active Directory, ma è possibile distribuirlo in modo efficace in diverse topologie e per varie finalità.

In un ambiente di gruppo di lavoro è consigliabile configurare Forefront TMG nel perimetro della rete per ispezionare i pacchetti HTTP e HTTPS in entrata e individuare eventuali contenuti dannosi. È inoltre possibile utilizzarlo per filtrare i tipi di siti Web visitati dagli utenti.

Poiché il server Forefront TMG risiede nel perimetro della rete, deve disporre di almeno due schede di rete, una per la connessione alla rete privata, l'altra per la connessione esterna. È consigliabile configurare entrambe le schede con un indirizzo IP statico.

Microsoft ha sviluppato Forefront per la distribuzione all'interno di un dominio Windows. Sebbene sia possibile utilizzarlo nel contesto di un gruppo di lavoro aziendale, sussistono alcune minime limitazioni che non si verificherebbero in un ambiente di dominio.

Se ad esempio si distribuisce Forefront in un ambiente di gruppo di lavoro, non sarà possibile utilizzare il rilevamento proxy Web automatico. In modo analogo, senza un dominio Active Directory, non sarà possibile configurare Forefront con l'impostazione Criteri di gruppo, ma sarà necessario utilizzare criteri di protezione locali in ogni computer che esegue Forefront.

Altre limitazioni meritano una considerazione più oculata. I computer che ad esempio eseguono Forefront TMG Standard sono in genere associati a un server di gestione aziendale. Non è tuttavia possibile eseguire la replica del server di gestione aziendale in un ambiente di gruppo di lavoro.

Autorità di certificazione

Uno dei requisiti principali per l'installazione di Forefront in un ambiente di gruppo di lavoro prevede che nel server Forefront TMG sia installato un certificato server. Poiché tale certificato verrà utilizzato esclusivamente a livello interno, è consigliabile creare un'autorità di certificazione aziendale personalizzata per evitare i costi relativi all'acquisto di un certificato commerciale.

Windows Server è perfettamente configurabile come autorità di certificazione. Per la natura sensibile dei certificati server è tuttavia consigliabile distribuire i servizi dei certificati in un server diverso da quello che verrà impiegato come gateway Forefront nel perimetro della rete.

Una volta scelto un server da utilizzare come autorità di certificazione, aprire Server Manager. Passare al contenitore Ruoli e fare clic sul collegamento Aggiungi ruoli. Verrà avviata l'Aggiunta guidata ruoli. Ignorare la schermata iniziale della procedura per visualizzare una schermata in cui verrà richiesto di selezionare i ruoli che si desidera installare.

Scegliere il ruolo Servizi certificati Active Directory e fare clic su Avanti. Verrà visualizzato un messaggio in base al quale, una volta installati i servizi certificati Active Directory, non sarà possibile modificare il nome o lo stato del dominio del server.

Verrà richiesto di scegliere i servizi dei ruoli che si desidera aprire. Scegliere i servizi Autorità di certificazione e Registrazione Web Autorità di certificazione, quindi fare clic su Avanti.

A questo punto verrà richiesto se si desidera distribuire un'autorità di certificazione autonoma o aziendale. Poiché si intende eseguire la configurazione in un ambiente di gruppo di lavoro, scegliere l'opzione Autonoma. Facendo clic su Avanti, verrà richiesto di scegliere il tipo di autorità di certificazione. Poiché si tratta della prima autorità di certificazione nell'organizzazione, scegliere l'opzione CA radice e fare clic su Avanti.

Verrà ora chiesto se si desidera creare una nuova chiave privata o utilizzarne una esistente. Creare una nuova chiave privata e scegliere Avanti.

Nel momento in cui verrà visualizzata la schermata Crittografia della procedura guidata, fare clic su Avanti per accettare i valori predefiniti. Verrà quindi richiesto di fornire un nome comune per l'autorità di certificazione. Immettere il nome desiderato e prenderne nota, in quanto dovrà essere riutilizzato in fase di distribuzione di Forefront.

Verrà richiesto di selezionare un periodo di validità per il certificato. Fare clic su Avanti per accettare i valori predefiniti. Verrà ora richiesto di specificare un percorso per il database del certificato. Scegliere un percorso qualsiasi, senza dimenticare di eseguirne regolarmente il backup.

Verrà ora visualizzata un'introduzione a IIS. Fare nuovamente clic su Avanti per installare altri servizi di ruoli per IIS. I servizi necessari sono già selezionati, quindi fare clic su Avanti e su Installa per distribuirli. Al termine del processo fare clic su Chiudi.

Preparazione del server

Prima di installare Forefront TMG, è necessario preparare il server. Per iniziare, installare tutte le patch di Windows Server più recenti nel server. Si tratta di un passaggio che, se ignorato, impedirà l'installazione corretta di Forefront.

Una volta aggiornato il server, inserire il supporto di installazione di Forefront TMG 2010. Quando viene visualizzata la schermata iniziale di Forefront, fare clic sul collegamento Run Preparation Tool. A questo punto verrà avviata la procedura guidata dello strumento di preparazione Forefront TMG.

Ignorare la schermata iniziale della procedura. Verrà richiesto di accettare il contratto di licenza. Verrà quindi visualizzata la schermata illustrata nella Figura 1, in cui verrà chiesto il tipo di installazione Forefront che verrà eseguito. Scegliere l'opzione Forefront TMG Services and Management e fare clic su Next.

Figura 1 Scelta dell'opzione ForeFront TMG Services and Management per l'installazione

Verranno installati tutti i ruoli e le funzionalità necessari. Al termine del processo verificare che la casella di controllo Launch Forefront TMG Installation Wizard sia selezionata, quindi fare clic su Finish.

Installazione di Forefront TMG

A questo punto verrà avviata l'Installazione guidata Forefront TMG Enterprise. Dopo aver visualizzato la schermata iniziale e accettato il contratto di licenza, fare nuovamente clic su Next e fornire il codice Product Key. Fare nuovamente clic su Next. Verrà chiesto di confermare il percorso di installazione. Se non è necessario apportare alcuna modifica, fare clic su Next per passare alla schermata Define Internal Network.

Forefront TMG è sviluppato per la distribuzione nel perimetro della rete e pertanto è necessario conoscere gli indirizzi IP inclusi nella rete interna. È possibile fornire l'intervallo di indirizzi interni facendo clic sul pulsante Add.

A questo punto verrà visualizzata la finestra di dialogo degli indirizzi. Fare clic sul pulsante Add Adapters e scegliere la scheda connessa alla rete interna, come indicato nella Figura 2. Se la scheda utilizza un indirizzo IP dinamico, potrebbe essere necessario tornare alla finestra di dialogo degli indirizzi per specificare manualmente l'intervallo di indirizzi interni.

Figura 2 Selezione della scheda connessa alla rete interna

Dopo aver specificato la scheda e tutti gli intervalli di indirizzi IP interni, fare clic su Next. Potrebbe essere visualizzato un messaggio in cui viene richiesto di riavviare alcuni servizi. In questo caso, fare nuovamente clic su Next.

A questo punto potrebbe essere visualizzato un messaggio indicante che la gestione remota è in fase di abilitazione da parte dell'indirizzo IP. In questo caso, prendere nota dell'indirizzo IP prima di fare clic su Next.

Dovrebbe ora essere visualizzato un messaggio per iniziare a installare Forefront. Fare clic sul pulsante Install per avviare il processo di installazione. Come indicato nella Figura 2, nella procedura guidata viene fornita una stima della durata del processo di installazione. Al termine del processo di installazione fare clic

Configurazione di Forefront TMG

Dopo aver installato Forefront TMG, aprire la console di gestione Forefront TMG e selezionare il nodo superiore dell'albero della console. Fare clic sul collegamento Launch Getting Started Wizard situato nel riquadro Actions. Verrà avviata la procedura guidata introduttiva, come indicato nella Figura 3.

Figura 3 Procedura guidata introduttiva sul processo di configurazione

Fare clic sul pulsante Configure Network Settings per avviare il processo di configurazione, come indicato nella Figura 3. Verrà avviata l'Installazione guidata della rete. Ignorare la schermata iniziale della procedura per visualizzare una schermata in cui verrà chiesto di scegliere il modello di rete ideale per la propria topologia. Poiché il computer Forefront Server verrà configurato in modo da fornire la protezione del perimetro, scegliere Edge Firewall come indicato nella Figura 4.

Figura 4 Selezione dell'opzione Edge Firewall

Verrà richiesto di selezionare la scheda di rete connessa alla rete interna. In questo passaggio è inoltre possibile specificare altri route, sebbene sia raramente necessario in un ambiente di gruppo di lavoro.

Dopo aver effettuato la selezione, fare clic su Next per visualizzare una schermata in cui verrà chiesto di selezionare la scheda di rete connessa a Internet. Effettuare la selezione desiderata, fare clic su Next, quindi su Finish.

Configurazione delle impostazioni del sistema

Passiamo ora alla configurazione delle impostazioni del sistema. Fare clic sul pulsante Configure System Settings indicato nella Figura 3 per avviare la Configurazione guidata del sistema.

Ignorare la schermata iniziale della procedura. Ne verrà visualizzata un'altra simile a quella indicata nella Figura 5. In un ambiente di dominio è necessario fornire un nome di dominio e un suffisso DNS. Poiché si intende eseguire la configurazione di Forefront in un ambiente di gruppo di lavoro, non sarà necessario alcun intervento. Per completare la configurazione del sistema, fare clic su Next, quindi su Finish.

Figura 5 Verifica della configurazione di Forefront per una distribuzione di gruppo di lavoro

Definizione di opzioni di distribuzione

L'ultimo passaggio nel processo di configurazione consiste nel definire le opzioni di distribuzione. Fare clic sul pulsante Define Deployment Options indicato nella Figura 3. All'avvio della Distribuzione guidata fare clic su Next per ignorare la schermata iniziale.

Verrà quindi chiesto se si desidera utilizzare Microsoft Update per cercare aggiornamenti antivirus. È consigliabile accettare scegliendo Yes. Fare clic su Next per passare alla schermata indicata nella Figura 6.

Figura 6 Attivazione della licenza gratuita e abilitazione dell'ispezione antimalware

Come indicato nella Figura 6 è necessario attivare la licenza Forefront. Abilitare il sistema di ispezione rete (Network Inspection System) per cercare codice dannoso a livello di pacchetti HTTP/HTTPS. È inoltre opportuno selezionare la casella di controllo Enable Malware Inspection, mentre è possibile abilitare il filtro URL in base alle esigenze.

Verrà ora configurata un'opzione per controllare la frequenza di ricerca di aggiornamenti antivirus. Per impostazione predefinita, l'aggiornamento verrà eseguito ogni 15 minuti. È inoltre possibile configurare una notifica in caso di esito negativo di ricerche di aggiornamenti per un periodo di tempo prolungato.

Verrà quindi richiesto se si desidera partecipare ad Analisi utilizzo software di Microsoft. Per completare il processo di configurazione, effettuare la selezione desiderata e fare clic su Next, quindi su Finish. Fare clic su Close per chiudere la procedura guidata introduttiva.

Verrà ora automaticamente avviata la creazione guidata criterio Web, che consente di controllare i tipi di filtri Web eseguiti da Forefront. Fare clic su Next per ignorare la schermata iniziale e passare a un'altra schermata in cui verrà chiesto se si desidera creare un ruolo predefinito in grado di bloccare URL potenzialmente dannosi. Fare clic su Yes, quindi su Next.

A questo punto verrà visualizzata una schermata in cui si richiede di specificare i tipi di siti Web a cui si desidera bloccare l'accesso. È ad esempio possibile bloccare l'accesso ai siti con dichiarazioni di odio o contenuti osceni. L'elenco di contenuti bloccati viene popolato automaticamente, ma è possibile modificarlo in base alle esigenze.

Verrà ora richiesto se si desidera applicare regole di ispezione antimalware al criterio di accesso Web. È consigliabile scegliere Yes e selezionare la casella di controllo per bloccare file con crittografia ZIP che potrebbero contenere file dannosi.

Verrà richiesto se si desidera consentire agli utenti l'utilizzo di sessioni HTTP con crittografia SSL (HTTPS). È consigliabile eseguire l'ispezione dei contenuti HTTPS, ma come indicato da Forefront l'operazione potrebbe avere ripercussioni legali. È pertanto opportuno valutare la situazione con estrema cautela.

Se si sceglie di eseguire le ispezioni HTTPS, verrà richiesto se si desidera informare gli utenti in merito a queste ispezioni. Per il processo di ispezione è necessario un certificato.

È possibile utilizzare un certificato autofirmato generato da Forefront oppure un certificato personalizzato. L'utilizzo di un certificato autofirmato è da escludersi in un ambiente di gruppo di lavoro e pertanto sarà necessario scegliere l'opzione Custom Certificate. A questo punto fornire il nome dell'autorità di certificazione: si tratta del nome descrittivo definito in fase di creazione dell'autorità di certificazione, non necessariamente il nome del server.

Verrà infine visualizzata una schermata indicante la necessità di esportare e distribuire manualmente il certificato. Fornire una cartella di destinazione per la procedura guidata in cui scaricare il certificato, quindi fare clic su Next. Quando richiesto, abilitare la regola Cache Web predefinita per completare il processo.

In base a questa procedura, Forefront TMG verrà installato in modo da eseguire l'ispezione dei pacchetti HTTP/HTTPS in transito nel perimetro della rete. Tenere tuttavia presente che Forefront TMG offre molte altre funzionalità, quali la capacità di ispezionare i messaggi di posta elettronica. Si tratta in sostanza di una distribuzione più semplice per la protezione dei gruppi di lavoro.

Brien Posey*, MVP, è autore freelance di migliaia di articoli e decine di testi tecnici. È possibile visitare il suo sito Web all'indirizzo brienposey.com.*

Contenuto correlato:

• Considerazioni su domini e gruppi di lavoro
• Preparazione all'installazione
• Configurazione di Forefront TMG per la distribuzione di gruppi di lavoro