Sobre a diretiva do sistema

Publicado: novembro de 2009

Atualizado: fevereiro de 2010

Aplica-se a: Forefront Threat Management Gateway (TMG)

O Forefront TMG inclui uma diretiva de sistema que é um conjunto de regras de diretiva de firewall predefinidas que controla o acesso à rede do Host Local (o computador do Forefront TMG). Essas regras controlam como o firewall do Forefront TMG habilita a infraestrutura necessária para gerenciar a segurança e a conectividade da rede. O Forefront TMG é instalado com uma diretiva de sistema padrão, projetada para resolver o equilíbrio entre a segurança e a conectividade.

Este tópico descreve:

Sobre as regras de diretiva do sistema

Algumas regras de diretiva do sistema são habilitadas após a instalação. Elas são consideradas as regras mais básicas e necessárias para gerenciar efetivamente o ambiente do Forefront TMG. Posteriormente, é possível habilitar as regras de diretiva do sistema que habilitam os serviços e as tarefas de que você precisa para gerenciar sua rede.

Use o Editor de Diretivas do Sistema para configurar as regras de diretiva do sistema. No Editor de Diretivas do Sistema, a diretiva do sistema é categorizada em um conjunto de grupos de configurações. As regras de diretiva do sistema são processadas primeiro, antes de qualquer outra regra. Não é possível modificar a ordem dessas regras. No momento da instalação, as regras se aplicam a redes específicas, conforme listado na tabela fornecida em System policy rules.

Depois de instalar o Forefront TMG, é possível configurar a diretiva do sistema. Não é possível excluir essas regras, mas por medida de segurança, recomenda-se fazer o seguinte:

  • Após a instalação, analise cuidadosamente as regras configuradas de diretiva do sistema. Depois de realizar as principais tarefas administrativas, analise a configuração da diretiva do sistema novamente.

  • Identifique as tarefas e os serviços que não sejam críticos para o gerenciamento da rede e desabilite as regras de diretiva do sistema associadas a eles.

  • Além de desabilitar as regras desnecessárias de diretiva do sistema, limite a aplicabilidade das regras apenas para as entidades de rede necessárias. Por exemplo, o grupo do Active Directory é habilitado por padrão e aplica-se a todos os computadores da rede interna. Você pode limitar a aplicação a apenas um grupo específico de Serviços de Domínio Active Directory (AD DS) na rede interna.

Serviços habilitados pela diretiva do sistema

Por padrão, a diretiva do sistema permite que o firewall do Forefront TMG acesse recursos da rede essenciais para o seu funcionamento adequado. Dependendo da sua implantação específica, você pode bloquear o acesso a alguns desses serviços.

Dependendo de sua implantação específica e dos serviços necessários, você pode determinar quais grupos de configurações de diretiva do sistema devem ser habilitados. Esta seção descreve algumas dessas considerações de implantação.

Ao desabilitar um grupo de configuração de diretiva do sistema, você não evitará necessariamente o uso de um determinado protocolo. Isso ocorre porque o mesmo protocolo pode ser especificado em uma regra diferente, que é habilitada por um grupo de configuração diferente.

Estes serviços são habilitados pelas regras de diretiva do sistema:

  • Serviços de rede

  • Serviços DHCP

  • Serviços de autenticação

  • Habilitando tráfego DCOM

  • Serviços de autenticação RADIUS e do Windows

  • Serviços de autenticação do RSA SecurID

  • Serviços de autenticação de CRL

  • Gerenciamento remoto

  • Monitoramento remoto e log

  • Serviços de diagnóstico

  • SMTP

  • Trabalhos de download agendados

  • Acessando o site da Microsoft

Para obter uma lista completa de todas as regras da diretiva do sistema, consulte System policy rules.

Serviços de rede

Quando o Forefront TMG é instalado, os serviços de rede básicos são habilitados. Após a instalação, o Forefront TMG pode acessar os servidores de resolução de nome em todas as redes e os serviços de sincronização de hora na rede interna.

Se os serviços de rede estiverem disponíveis em uma rede diferente, você deve modificar as origens aplicáveis de grupo de configuração (DHCP, DNS ou NTP) para se aplicarem à rede específica. Por exemplo, se o servidor DHCP não estiver localizado na rede interna, mas em uma rede de perímetro, modifique a origem do grupo de configurações DHCP (na guia De) para aplicá-lo à rede de perímetro.

Você pode modificar a diretiva do sistema para que somente computadores específicos da rede interna possam ser acessados. Você também pode adicionar mais redes se os serviços forem encontrados em outros locais.

Modifique esses grupos de configuração, dependendo dos serviços de rede que você precisa:

  • DHCP

  • DNS

  • NTP

Serviços DHCP

Se o servidor DHCP não estiver localizado na rede interna, modifique a regra de diretiva do sistema para que ela se aplique à rede na qual o servidor DHCP está localizado.

Serviços de autenticação

Um dos recursos fundamentais do Forefront TMG é a capacidade de aplicar uma diretiva de firewall a usuários específicos. A fim de autenticar usuários, o Forefront TMG deve poder se comunicar com os servidores de autenticação.

Modifique esses grupos de configuração, dependendo dos serviços de autenticação que você precisa:

  • Active Directory

  • RADIUS

  • SecurID RSA

  • Download de CRL

Habilitando tráfego DCOM

Quando as regras do Console de Gerenciamento Microsoft (MMC) são habilitadas, o tráfego da chamada de procedimento remoto (RPC) tem permissão para acessar a rede do Host Local. No entanto, por padrão, o tráfego DCOM fica bloqueado. Se você deseja permitir o tráfego DCOM, desabilite a regra de diretiva do sistema “Permitir gerenciamento remoto usando computadores selecionados com MMC”. Em seguida, crie uma regra permitindo o tráfego RPC. Depois de criar a regra, nas propriedades da regra, configure o protocolo RPC e limpe a configuração Impor conformidade rígida com RPC.

Serviços de autenticação RADIUS e do Windows

Por padrão, o Forefront TMG pode se comunicar com servidores AD DS (de autenticação do Windows) e com servidores RADIUS localizados na rede interna. Se você não precisar de autenticação Windows ou autenticação RADIUS, desabilite os grupos de configuração de diretiva do sistema aplicável.

noteObservação:
  • Ao desabilitar o grupo de configuração da política do sistema Active Directory, o acesso a todos os protocolos LDAP é efetivamente desabilitado. Se você precisar dos protocolos LDAP, crie uma regra de acesso permitindo o uso desses protocolos.

  • Se for necessária apenas a autenticação do Windows, configure a diretiva do sistema desabilitando o uso de todos os outros mecanismos de autenticação.

Serviços de autenticação do RSA SecurID

A comunicação com os servidores de autenticação SecurID RSA não é habilitada por padrão. Se a diretiva de firewall exigir a autenticação do RSA SecurID, habilite esse grupo de configurações.

Serviços de autenticação de CRL

Por padrão, não é possível baixar as listas de certificados revogados (CRLs) porque o grupo de configurações Download de CRL não está habilitado por padrão. Para habilitar o download de CRL, verifique se o grupo de configurações Download de CRL está habilitado. Em seguida, aplique este grupo de configuração para as entidades da rede na qual as listas de revogação de certificado estão localizadas.

Todo o tráfego HTTP será permitido no firewall do Forefront TMG para as entidades de rede listadas na guia Para.

Gerenciamento remoto

Geralmente, é possível gerenciar o Forefront TMG a partir de um computador remoto. Determine cuidadosamente os computadores remotos com permissão para gerenciar e monitorar o Forefront TMG.

Modifique estes grupos de configuração, dependendo de como você executa o gerenciamento remoto:

  • Console de Gerenciamento Microsoft (MMC)

  • Terminal Server

  • Gerenciamento da Web

  • ICMP (Ping)

Por padrão, as regras da diretiva do sistema que permitem o gerenciamento remoto do Forefront TMG são habilitadas. O Forefront TMG pode ser gerenciado por meio da execução de um snap-in remoto do MMC (Microsoft Management Console - Console de Gerenciamento Microsoft) ou do uso dos Serviços de Terminal.

Por padrão, essas regras se aplicam ao conjunto de computadores interno Computadores de Gerenciamento Remoto. Quando o Forefront TMG é instalado, esse conjunto de computadores vazio é criado. Adicione a esse conjunto de computadores vazio todos os computadores que gerenciarão remotamente o Forefront TMG. Enquanto isso não for feito, o gerenciamento remoto não estará disponível em nenhum computador.

noteObservação:
Limite o gerenciamento remoto a computadores específicos, configurando as regras de diretiva do sistema que se aplicam apenas a endereços IP específicos.

Monitoramento remoto e log

Por padrão, o log remoto, o monitoramento remoto de desempenho e o monitoramento remoto do Microsoft Operations Manager estão desabilitados. Os seguintes grupos de configurações estão desabilitados por padrão:

  • Log Remoto (NetBIOS)

  • Log Remoto (SQL)

  • Monitoramento Remoto de Desempenho

  • Microsoft Operations Manager

Serviços de diagnóstico

Por padrão, as regras da diretiva do sistema que permitem acesso aos serviços de diagnósticos ficam habilitadas, com as seguintes permissões:

  • ICMP — este serviço, permitido em todas as redes, é importante para determinar a conectividade com outros computadores.

  • Sistema de rede do Windows — permite a comunicação NetBIOS, por padrão, com computadores na rede interna.

  • Relatório de erros da Microsoft — permite acesso HTTP ao conjunto de URLs dos sites de Relatório de Erros da Microsoft, para permitir o relato de informações sobre erros. Por padrão, este conjunto de URL inclui sites específicos da Microsoft.

  • Verificadores de Conectividade HTTP — permite que o firewall do Forefront TMG use protocolos HTTP e HTTPS para verificar se um computador específico está respondendo.

SMTP

Por padrão, o grupo de configuração SMTP fica habilitado, permitindo a comunicação SMTP do Forefront TMG para computadores na rede interna. Isso é necessário, por exemplo, quando você quer enviar informações de alerta em uma mensagem de email.

ImportantImportante:
É recomendável que o grupo de configurações SMTP não seja habilitado, caso você não envie informações de alerta em uma mensagem de email.

Trabalhos de download agendados

Por padrão, o recurso de downloads agendados está desabilitado. O grupo de configurações Trabalhos de Download Agendados estará desabilitado, desde que esse recurso esteja desabilitado.

Quando criar um trabalho de download de conteúdo, você será solicitado a habilitar essa regra de diretiva do sistema. O Forefront TMG será capaz de acessar os sites especificados no trabalho de download de conteúdo.

Acessando o site da Microsoft

A diretiva do sistema padrão permite o acesso HTTP e HTTPS a partir da rede Host Local (ou seja, o firewall do Forefront TMG) para o site Microsoft.com. O acesso ao site Microsoft.com é obrigatório por algumas razões, como o download de antivírus e atualizações de assinatura do Sistema de Inspeção de Rede, a geração de relatórios de erro ou o acesso à documentação do produto no site do Forefront TMG.

Por padrão, o grupo de configurações de Sites Permitidos está habilitado, permitindo que o Forefront TMG acesse o conteúdo de sites específicos que pertençam ao conjunto de nomes de domínio Sites Permitidos pela Diretiva do Sistema.

Este conjunto de URL inclui diversos sites da Microsoft, por padrão. É possível modificar o conjunto de nomes de domínio para incluir sites adicionais, aos quais o Forefront TMG terá permissão de acesso.

O acesso HTTP e HTTPS será permitido para os sites especificados.

Related Topics

Mostrar: