關於系統原則

發佈時間: 2009年11月

更新日期: 2010年2月

適用於: Forefront Threat Management Gateway (TMG)

Forefront TMG 包含的系統原則是一組預先定義的防火牆原則規則,用來控制與本機主機網路 (Forefront TMG 電腦) 之間的存取。這些規則可控制 Forefront TMG 防火牆如何啟用必要的基礎結構,以管理網路安全性及連線能力。Forefront TMG 會一併安裝預設系統原則,這些預設系統原則可在安全性與連線能力之間取得平衡。

本主題說明:

關於系統原則規則

部份系統原則規則是在安裝時啟用。這些是有效管理 Forefront TMG 環境的最基本及必要規則。隨後,您就可以啟用這些系統原則規則,進而啟用管理網路所需的服務及工作。

使用系統原則編輯器可以設定系統原則規則。在系統原則編輯器內,系統原則是分類成一組設定群組。系統原則規則會先予以處理,再處理其他任何規則。您不可以修改這些規則的順序。安裝時,規則會套用至特定網路 (如System policy rules提供的表格所列)。

安裝 Forefront TMG 之後,可以設定系統原則。雖然您無法刪除這些規則,不過基於安全性觀點,建議您執行下列動作:

  • 安裝後,請仔細檢閱已設定的系統原則規則。在執行主要的系統管理工作後,請重新檢閱系統原則設定。

  • 識別對於如何管理網路而言不是很重要的那些服務及工作,然後停用相關的系統原則規則。

  • 除了停用不必要的系統原則規則外,並限制規則僅應用到必要的網路實體。例如,Active Directory 群組預設處於啟用狀態,而且這個群組會套用至內部網路上的所有電腦。不過,您可以將這個群組限制為僅套用至內部網路上的特定 Active Directory 網域服務 (AD DS) 群組。

系統原則啟用的服務

根據預設,系統原則會允許 Forefront TMG 防火牆存取正常運作防火牆所需的重要網路資源。根據您的特定部署,可能需要鎖定其中部分服務的存取權。

根據特定部署及所需要的服務,您可以決定應該啟用的系統原則設定群組。本節會描述其中部分部署考量。

當您停用系統原則設定群組時,不必然可防止使用特定通訊協定。這是因為可以在由不同設定群組指定的不同規則中指定相同的通訊協定。

系統原則規則會啟用下列服務:

  • 網路服務

  • DHCP 服務

  • 驗證服務

  • 啟用 DCOM 流量

  • Windows 及 RADIUS 驗證服務

  • RSA SecurID 驗證服務

  • CRL 驗證服務

  • 遠端管理

  • 遠端監視和記錄

  • 診斷服務

  • SMTP

  • 排定的下載工作

  • 存取 Microsoft 網站

如需所有系統原則規則的完整清單,請參閱System policy rules

網路服務

安裝 Forefront TMG 時,會啟用基本網路服務。安裝之後,Forefront TMG 可以存取所有網路上的名稱解析伺服器以及內部網路上的時間同步處理服務。

如果網路服務位於不同的網路中,則應該修改適用的設定群組來源 (DHCP、DNS 或 NTP) 以套用至特定的網路。例如,如果 DHCP 伺服器不在內部網路上,而是在周邊網路上,請修改 DHCP 設定群組的來源 (在 [從] 索引標籤上),以便套用至該周邊網路。

您可以修改系統原則,以便僅能存取內部網路上的特定電腦。另外,如果在別處找到服務,您可以新增其他網路。

請根據需要的網路服務來修改這些設定群組:

  • DHCP

  • DNS

  • NTP

DHCP 服務

如果您的 DHCP 伺服器不在內部網路上,請修改系統原則規則,以便將它套用到 DHCP 伺服器所在的網路。

驗證服務

Forefront TMG 的其中一個基本功能就是能夠將防火牆原則套用到特定使用者。為了驗證使用者,Forefront TMG 必須能夠與驗證伺服器通訊。

請根據需要的驗證服務來修改這些設定群組:

  • Active Directory

  • RADIUS

  • RSA SecurID

  • CRL 下載

啟用 DCOM 流量

啟用 Microsoft Management Console (MMC) 規則時,系統會允許遠端程序呼叫 (RPC) 流量進入本機主機網路。然而,依照預設會封鎖 DCOM 流量。如果您想要允許 DCOM 流量,請停用 [允許使用 MMC 從選取的電腦遠端管理] 系統原則規則。然後建立允許 RPC 流量的規則。建立規則之後,請在規則內容中設定 RPC 通訊協定,並清除 [強制符合嚴格 RPC 的規範] 設定。

Windows 及 RADIUS 驗證服務

根據預設,Forefront TMG 可以與 AD DS 伺服器 (若為 Windows 驗證) 以及與位在內部網路上的 RADIUS 伺服器通訊。如果不需要 Windows 驗證或 RADIUS 驗證,請停用適用系統原則設定群組。

note附註:
  • 停用 Active Directory 系統原則設定群組時,將停用所有 LDAP 通訊協定的存取。若您需要 LDAP 通訊協定,請建立允許使用這些通訊協定的存取規則。

  • 如果只需要 Windows 驗證,請務必設定系統原則,以便停止使用其他所有驗證機制。

RSA SecurID 驗證服務

預設不會啟用與 RSA SecurID 驗證伺服器的通訊。如果您的防火牆原則需要 RSA SecurID 驗證,請務必啟用這個設定群組。

CRL 驗證服務

根據預設,系統無法下載憑證撤銷清單 (CRL),因為預設不會啟用 CRL 下載設定群組。若要啟用 CRL 下載,請確認已啟用 CRL 下載設定群組。然後將這個設定群組套用至憑證撤銷清單所在的網路實體。

所有 HTTP 流量都允許從 Forefront TMG 防火牆流向 [到] 索引標籤上所列的網路實體。

遠端管理

通常您會從遠端電腦管理 Forefront TMG。請謹慎決定要允許哪些遠端電腦來管理和監視 Forefront TMG。

請根據執行遠端管理的方式來修改這些設定群組:

  • Microsoft Management Console (MMC)

  • 終端機伺服器

  • 網頁管理

  • ICMP (Ping)

系統預設會啟用允許遠端管理 Forefront TMG 的系統原則規則。您可以執行遠端 Microsoft Management Console (MMC) 嵌入式管理單元,或使用終端機服務來管理 Forefront TMG。

預設狀況下,這些規則會套用到內建的「遠端管理電腦」電腦組。安裝 Forefront TMG 時,會建立這個空的電腦組。請將所有要遠端管理 Forefront TMG 的電腦新增至這個空的電腦組。在您完成這個動作之前,將無法從任何電腦進行遠端管理。

note附註:
設定系統原則規則僅套用特定 IP 位址,以限制只能在這些電腦進行遠端管理。

遠端監視和記錄

根據預設,系統會停用 Microsoft Operations Manager 的遠端記錄、遠端效能監視及遠端監視。預設狀況下,會停用下列設定群組:

  • 遠端記錄 (NetBIOS)

  • 遠端記錄 (SQL)

  • 遠端效能監視

  • Microsoft Operations Manager

診斷服務

預設狀況下會啟用系統原則規則,以允許利用下列權限來存取診斷服務:

  • ICMP:這個服務 (所有網路都允許) 對判斷與其他電腦的連線能力十分重要。

  • Windows 網路:在預設狀況下,允許與內部網路上的電腦進行 NetBIOS 通訊。

  • Microsoft 錯誤報告:允許透過 HTTP 存取 Microsoft 錯誤報告網站 URL 組,以便報告錯誤資訊。預設狀況下,這個 URL 組會包括特定的 Microsoft 網站。

  • HTTP 連線能力檢查器:允許 Forefront TMG 防火牆使用 HTTP 及 HTTPS 通訊協定來檢查特定電腦是否有所回應。

SMTP

預設會啟用 SMTP 設定群組,以允許 Forefront TMG 與內部網路上的電腦進行 SMTP 通訊。例如,當您想要以電子郵件訊息傳送警示資訊時,這是必要的。

Important重要事項:
如果警示資訊不是透過電子郵件訊息傳送,則建議您不要啟用 SMTP 設定群組。

排定的下載工作

依照預設,會停用排定的下載工作功能。只要停用這個功能,就會停用「排定的下載工作」設定群組。

當您建立內容下載工作時,系統將提示您啟用這個系統原則規則。如此,Forefront TMG 便能夠存取內容下載工作中指定的網站。

存取 Microsoft 網站

預設系統原則允許從本機主機網路 (即 Forefront TMG 防火牆) 以 HTTP 及 HTTPS 存取 Microsoft.com 網站。需要存取 Microsoft.com 網站的少數原因包括:下載防毒和網路檢查系統簽章更新、錯誤報告,或是存取 Forefront TMG 網站上的產品文件。

預設會啟用「允許的網站」設定群組,以允許 Forefront TMG 存取屬於「系統原則允許的網站」網域名稱集之特定網站的內容。

此 URL 組預設會包含各種 Microsoft 網站。您可以修改網域名稱集,以包含允許 Forefront TMG 存取的其他網站。

允許對指定的網站進行 HTTP 及 HTTPS 存取。

相關主題

顯示: