Microsoft Internet Security and Acceleration (ISA) Server 2004 強化指南

發佈日期: 2005 年 2 月 2 日

本頁内容

簡介
保障 ISA Server 電腦的安全
保障設定的安全
保障部署的安全
其他資源

簡介

本指南的目的在提供關於如何強化執行 Microsoft Internet Security and Acceleration (ISA) Server 2004 Standard Edition 的電腦之重要:資訊。 除了實用的特定設定建議外,本指南還包含 ISA Server 部署策略。

對執行 Microsoft Windows Server 2003 的電腦而言,本指南可以說是《Windows Server 2003 安全性指南》(英文) (http://go.microsoft.com/fwlink/?LinkId=31584) 的姐妹篇。 具體來說,本指南中的許多程序與《Windows Server 2003 安全性指南》(英文) 中介紹的安全性建議直接相關。 因此,在執行本指南中所述的程序前,建議您先閱讀《Windows Server 2003 安全性指南》(英文)。

如果 ISA Server 安裝在執行 Windows® 2000 Server 的電腦上,請參閱《Windows 2000 Security 強化指南》(英文) (http://go.microsoft.com/fwlink/?LinkID=22380)。

本指南的範圍

本指南著重於詳細說明協助建立與維護安全的 ISA Server 2004 環境所需的作業。 本指南只能作為 ISA Server 2004 整體安全性策略的一部分,而非建立及維護安全環境的完整參考。

具體來說,本指南的內容是以下問題的詳細答案:

  • 保障 ISA Server 電腦安全的建議步驟有哪些?

  • ISA Server 設定有哪些安全性考量?

  • 能協助準備安全的 ISA Server 2004 部署的指南有哪些?

保障 ISA Server 電腦的安全

保障 ISA Server 安全的一項重要:步驟是確認 ISA Server 電腦的實體安全性,並採用基本安全性設定建議,這些建議包括:

  • 管理更新

  • 保障電腦的實體安全性

  • 決定網域成員

  • 強化 Windows 基礎結構

  • 管理角色與權限

  • 減低受到攻擊的風險

以下的章節會說明如何實作這些建議。 本章節也會說明在識別出安全性威脅時,如何鎖定 ISA Server。

管理更新

為保障最佳的安全性,建議您務必為作業系統、ISA Server 及其安裝的其他元件安裝最新的更新,這些元件包括:Microsoft SQL Server™ 2000 Desktop Engine (MSDE) 與 Office Web Components 2002 (OWC)。 請執行下列作業:

  • 取得作業系統更新。 檢查 Windows Update 網站上是否有更新。

  • 取得 ISA Server 更新。 檢查 ISA Server 2004 下載中心 (英文) (http://go.microsoft.com/fwlink/?LinkId=28791) 以取得最新更新資訊。

  • Microsoft 安全性公告搜尋 (英文) (http://go.microsoft.com/fwlink/?LinkId=28687) 中搜尋 Microsoft SQL Server 2000 Desktop Engine (MSDE) 與 Office Web Components 2002 (OWC) 的最新更新。

同時建議您使用 Microsoft Baseline Security Analyzer (MBSA) 定期分析系統安全性。 您可以從 MBSA 網站 (英文) (http://go.microsoft.com/fwlink/?LinkID=28790) 下載 MBSA。

實體存取

請務必將 ISA Server 電腦安置在實體安全性佳的位置。 實體存取對伺服器而言也是一項頗高的安全性風險, 如果侵入者實體存取伺服器,就可以進行未授權的存取或修改,並安裝規避安全性防禦機制的軟硬體。 如果要維護安全的環境,必須限制 ISA Server 電腦的實體存取。  

決定網域成員

在許多情況下,您可能需要將 ISA Server 電腦設定為網域成員。 例如:如果要建立依賴網域使用者驗證的原則,則 ISA Server 應屬於網域成員。

如果 ISA Server 電腦是用於保護網路邊緣,建議您將其安裝在獨立的樹系 (而不是公司網路的內部樹系) 中。 如此一來,即使 ISA Server 電腦所在的樹系受到攻擊,仍可以保護內部樹系免受威脅。 如果要享有 ISA Server 成為網域成員的管理與安全性優點,建議您將 ISA Server 電腦部署在與公司樹系之間具有單向信任關係的獨立樹系中 (僅 Windows Server 2003 網域支援單向信任)。

請注意,當您將 ISA Server 安裝為網域成員時,可以使用群組原則鎖定 ISA Server 電腦,而不僅限於設定本機原則。

基於安全性理由,如果不需要 ISA Server 電腦的網域或 Active Directory® 目錄服務功能,請考慮將 ISA Server 電腦安裝在工作群組中。 例如:如果 ISA Server 電腦是用於保護網路邊緣,請考慮將電腦安裝在工作群組中。

強化 Windows 基礎結構

如前所述,本指南會假設您已經套用《Windows Server 2003 安全性指南》(英文) 中建議的設定。 明確來說,您應該套用 Microsoft 基礎安全性原則 (Microsoft Baseline Security Policy) 安全性範本。 但是,請勿實作網際網路通訊協定安全性 (IPSec) 篩選器,或任何伺服器角色原則。

此外,請考量 ISA Server 功能,以相應措施強化作業系統。

下表列出要讓 ISA Server 與 ISA Server 電腦正常運作所必須啟用的核心服務。

服務名稱

原理

啟動模式

COM+ Event System

核心作業系統

手動

Cryptographic Services

核心作業系統 (安全性)

自動

Event Log

核心作業系統

自動

IPSec Services

核心作業系統 (安全性)

自動

Logical Disk Manager  

核心作業系統 (磁碟管理)

自動

Logical Disk Manager Administrative Service

核心作業系統 (磁碟管理)

手動

Microsoft Firewall

ISA Server 正常運作所需

自動

Microsoft ISA Server Control

ISA Server 正常運作所需

自動

Microsoft ISA Server Job Scheduler

ISA Server 正常運作所需

自動

Microsoft ISA Server Storage

ISA Server 正常運作所需

自動

MSSQL$MSFW

為 ISA Server 使用 MSDE 記錄時需要

自動

Network Connections

核心作業系統 (網路基礎結構)

手動

NTLM Security Support Provider

核心作業系統 (安全性)

手動

Plug and Play

核心作業系統

自動

Protected Storage

核心作業系統 (安全性)

自動

Remote Access Connection Manager

ISA Server 正常運作所需

手動

Remote Procedure Call (RPC)

核心作業系統

自動

Secondary Logon

核心作業系統 (安全性)

自動

Security Accounts Manager

核心作業系統

自動

Server

ISA Server 防火牆用戶端共用所需

自動

Smart Card

核心作業系統 (安全性)

手動

SQLAgent$MSFW

為 ISA Server 使用 MSDE 記錄時需要

手動

System Event Notification

核心作業系統

自動

Telephony

ISA Server 正常運作所需

手動

Virtual Disk Service (VDS)

核心作業系統 (磁碟管理)

手動

Windows Management Instrumentation (WMI)  

核心作業系統 (WMI)

自動

WMI Performance Adapter

核心作業系統 (WMI)

手動

ISA Server 伺服器角色

視您使用電腦的方式而定,ISA Server 電腦可以使用其他功能或角色運作。 下表列出可能的伺服器角色,同時說明何時可能需要這些角色,並列出啟用這些角色時需要啟動的服務。

伺服器角色

使用狀況

所需服務

啟動模式

路由及遠端存取伺服器

指定為這個角色的使用者和群組可以監視 ISA Server 電腦與網路活動,但無法設定特殊的監視功能。

Routing and Remote Access

手動

路由及遠端存取伺服器

指定為這個角色的使用者和群組可以監視 ISA Server 電腦與網路活動,但無法設定特殊的監視功能。

Remote Access Connection Manager

手動

路由及遠端存取伺服器

指定為這個角色的使用者和群組可以監視 ISA Server 電腦與網路活動,但無法設定特殊的監視功能。

Telephony

手動

路由及遠端存取伺服器

指定為這個角色的使用者和群組可以監視 ISA Server 電腦與網路活動,但無法設定特殊的監視功能。

Workstation

自動

路由及遠端存取伺服器

指定為這個角色的使用者和群組可以監視 ISA Server 電腦與網路活動,但無法設定特殊的監視功能。

Server  

自動

用於遠端桌面系統管理的終端機伺服器

選取這個角色可以啟用 ISA Server 電腦的遠端管理功能。

Server

自動

用於遠端桌面系統管理的終端機伺服器

選取這個角色可以啟用 ISA Server 電腦的遠端管理功能。

Terminal Services

手動

 注意
在以下情況中,應將 Server 服務的啟動模式設為 [自動]:

  • 安裝 ISA Server 2004 的用戶端安裝共用。

  • 使用路由及遠端存取管理 (而不是 ISA Server 管理) 來設定虛擬私人網路 (VPN)。

  • 上表所述的其他工作或角色需要這項服務。

    Routing and Remote Access 服務的啟動模式為 [手動], ISA Server 僅在啟用 VPN 時才會啟動這個服務。

請注意,僅在您使用路由及遠端存取管理 (而不是 ISA Server 管理) 來設定 VPN 時才需要 Server 服務。

ISA Server 伺服器工作

伺服器工作類似於伺服器角色,通常與伺服器角色相關,但並不屬於伺服器角色。 如果要讓伺服器執行所需的工作,就必須根據所選的角色啟用特定服務。 不必要的服務應該停用。 下表列出 ISA Server 可能的伺服器工作,同時說明何時可能需要這些角色,並列出啟用這些角色時需要啟動的服務。

伺服器工作

使用狀況

所需服務

啟動模式

使用 Windows Installer 從本機安裝應用程式

使用 Microsoft Installer 服務安裝、解除安裝或修復應用程式時需要。

Windows Installer

手動

備份

在 ISA Server 電腦上使用 NTBackup 或其他備份程式時需要。

Microsoft Software Shadow Copy Provider

手動

備份

在 ISA Server 電腦上使用 NTBackup 或其他備份程式時需要。

Volume Shadow Copy

手動

備份

在 ISA Server 電腦上使用 NTBackup 或其他備份程式時需要。

Removable Storage Service

手動

錯誤報告

用於啟用錯誤報告,向 Microsoft 報告重大錯誤以供分析,協助提高 Windows 的可靠性。

Error Reporting Service

自動

說明及支援

允許收集歷史電腦資料,供 Microsoft 技術支援服務提升事件管理。

Help and Support

自動

ISA Server 2004 的用戶端安裝共用

允許電腦連線到 ISA Server 電腦上的防火牆用戶端共用,並從中進行安裝時需要使用。

Server

自動

ISA Server 2004 的 MSDE 記錄

允許使用 MSDE 資料庫記錄之用, 如果尚未啟用適當的服務,可以記錄到 SQL 資料庫或檔案中, 但是將無法在離線模式下使用記錄檢視器。

SQLAgent$MSFW

手動

ISA Server 2004 的 MSDE 記錄

允許使用 MSDE 資料庫記錄之用, 如果尚未啟用適當的服務,可以記錄到 SQL 資料庫或檔案中, 但是將無法在離線模式下使用記錄檢視器。

MSSQL$MSFW

自動

效能監視器 – 背景收集

允許在背景中收集有關 ISA Server 電腦的效能資料。

Performance Logs and Alerts

自動

列印至遠端電腦

允許從 ISA Server 電腦進行列印。

Print Spooler

自動

列印至遠端電腦

允許從 ISA Server 電腦進行列印。

TCP/IP NetBIOS Helper Service

自動

列印至遠端電腦

允許從 ISA Server 電腦進行列印。

Workstation

自動

遠端 Windows 系統管理

允許遠端管理 Windows 伺服器 (遠端管理 ISA Server 時不需要)。

Server

自動

遠端 Windows 系統管理

允許遠端管理 Windows 伺服器 (遠端管理 ISA Server 時不需要)。

Remote Registry

自動

時間同步化

允許 ISA Server 電腦聯繫 NTP 伺服器以同步化時鐘。 從安全性方面來看,時鐘的準確性對於事件稽核和其他安全性通訊協定而言十分重要:。

Windows Time

自動

遠端助理

允許在此電腦上使用遠端協助功能。

Help and Support

自動

遠端助理

允許在此電腦上使用遠端協助功能。

Remote Desktop Help Session Manager

手動

遠端助理

允許在此電腦上使用遠端協助功能。

Terminal Services

手動

 注意
必須執行 Wireless 或 Server 服務,才能讓時間用戶端應用程式正常運作。

ISA Server 用戶端角色

伺服器可以是其他伺服器的用戶端, 用戶端的角色是取決於啟用的特定角色服務。 下表列出 ISA Server 可能的用戶端角色,同時說明何時可能需要這些角色,並列出啟用這些角色時需要啟動的服務。

用戶端角色

使用狀況

所需服務

啟動模式

自動更新用戶端

選取這個角色會允許從 Microsoft Windows Update 自動偵測和更新。

Automatic Updates

自動

自動更新用戶端

選取這個角色會允許從 Microsoft Windows Update 自動偵測和更新。

Background Intelligent Transfer Service

手動

DHCP 用戶端

如果 ISA Server 電腦會自動從 DHCP 伺服器接收其 IP 位址,請選取這個角色。

DHCP Client

自動

DNS 用戶端

如果 ISA Server 電腦需要從其他伺服器接收名稱解析資訊,請選取這個角色。

DNS Client

自動

網域成員

如果 ISA Server 電腦屬於某個網域,請選取這個角色。

Network Location Awareness (NLA)

手動

網域成員

如果 ISA Server 電腦屬於某個網域,請選取這個角色。

Net Logon

自動

網域成員

如果 ISA Server 電腦屬於某個網域,請選取這個角色。

Windows Time

自動

動態 DNS 登錄

選取這個角色可以讓 ISA Server 電腦自動向 DNS 伺服器登錄其名稱和位址資訊。

DHCP Client

自動

Microsoft 網路用戶端

如果 ISA Server 電腦必須連線到其他 Windows 用戶端,請選取這個角色。 如果您沒有選取這個角色,ISA Server 電腦將無法存取遠端電腦上的共用功能 (例如:發佈報告)。

TCP/IP NetBIOS Helper

自動

Microsoft 網路用戶端

如果 ISA Server 電腦必須連線到其他 Windows 用戶端,請選取這個角色。 如果您沒有選取這個角色,ISA Server 電腦將無法存取遠端電腦上的共用功能 (例如:發佈報告)。

Workstation

自動

WINS 用戶端

如果 ISA Server 電腦使用 WINS 的名稱解析,請選取這個角色。

TCP/IP NetBIOS Helper

自動

建立安全性範本

您可以使用安全性範本 Microsoft Management Console (MMC) 嵌入式管理單元建立範本。 範本包括有關應該啟用的服務及其啟動模式的資訊。 您可以輕鬆使用安全性範本設定安全性原則,再套用到每部 ISA Server 電腦。

如果要建立安全性範本,請執行下列步驟。

  1. 如果要開啟 [安全性範本],請按一下 [開始] 與 [執行],輸入 mmc,然後按一下 [確定]。

  2. 在 [檔案] 功能表上,按一下 [新增/移除嵌入式管理單元],然後按一下 [新增]。

  3. 選取 [安全性範本],按一下 [新增],再按一下 [關閉],然後按一下 [確定]。

    sechgd01.gif

  4. 在主控台樹狀目錄中,按一下 [安全性範本] 節點,在要儲存新範本的資料夾上按一下滑鼠右鍵,然後按一下 [新增範本]。

    sechgd02.gif

  5. 在 [範本名稱] 中,輸入新安全性範本的名稱。

  6. 在 [描述] 中,輸入新安全性範本的描述,然後按一下 [確定]。

  7. 展開新範本,然後按一下 [系統服務]。

    sechgd03_big.gif
    查看完整大小影像

  8. 在詳細資料窗格中,在 [COM+ Event System] 上按一下滑鼠右鍵,然後按一下 [內容]。

  9. 選取 [定義範本內的這個原則設定],然後按一下啟動模式 (COM+ Event System 的啟動模式為 [自動])。

    sechgd04.gif

  10. 為下表中列出的每項服務執行步驟 8 與 9。

    服務名稱

    簡短名稱

    啟動模式

    Automatic Updates

    wuauserv

    自動

    Background Intelligent Transfer Service

    BITS

    手動

    COM+ Event System

    EventSystem

    手動

    Cryptographic Services

    CryptSvc

    自動

    DHCP Client

    Dhcp

    自動

    DNS Client

    Dnscache

    自動

    Error Reporting Service

    ERSvc

    自動

    Event Log

    Eventlog

    自動

    Help and Support

    Helpsvc

    自動

    IPSec Services

    PolicyAgent

    自動

    Logical Disk Manager

    dmserver

    自動

    Logical Disk Manager Administrative Service

    dmadmin

    手動

    Microsoft Firewall

    Fwsrv

    自動

    Microsoft ISA Server Control

    ISACtrl

    自動

    Microsoft ISA Server Job Scheduler

    ISASched

    自動

    Microsoft ISA Server Storage

    ISASTG

    自動

    Microsoft Software Shadow Copy Provider

    SWPRV

    手動

    MSSQL$MSFW

    MSSQL$MSFW

    自動

    Network Connections

    Netman

    手動

    Network Location Awareness (NLA)

    NLA

    手動

    NTLM Security Support Provider

    NtLmSsp

    手動

    Performance Logs and Alerts

    SysmonLog

    自動

    Plug and Play

    PlugPlay

    自動

    Protected Storage

    ProtectedStorage

    自動

    Remote Access Connection Manager

    RasMan

    手動

    Remote Desktop Help Session Manager

    RDSessMgr

    手動

    Remote Procedure Call (RPC)

    RpcSs

    自動

    Removable Storage

    NtmsSvc

    手動

    Routing and Remote Access

    手動

    Secondary Logon

    seclogon

    自動

    Security Accounts Manager

    SamSs

    自動

    Server

    lanmanserver

    手動

    Smart Card

    SCardSvr

    手動

    System Event Notification

    SENS

    自動

    TCP/IP NetBIOS Helper

    LmHosts

    自動

    Telephony

    TapiSrv

    手動

    Terminal Services

    TermService

    手動

    Virtual Disk Service (VDS)

    VDS

    手動

    Volume Shadow Copy

    VSS

    手動

    Windows Installer

    MSIServer

    手動

    Windows Management Instrumentation

    winmgmt

    自動

    Windows Time

    W32time

    自動

    Wireless Configuration

    WZCSVC

    自動

    WMI Performance Adapter

    WmiApSrv

    手動

    Workstation

    lanmanworkstation

    自動

 注意
在以下情況中,應將 Server 服務的啟動模式設為 [自動]:

  • 安裝 ISA Server 2004 的用戶端安裝共用。

  • 使用路由及遠端存取管理 (而不是 ISA Server 管理) 來設定 VPN。

  • 上表所述的其他工作或角色需要這項服務。

    Routing and Remote Access 服務的啟動模式為 [手動], ISA Server 只有在 VPN 啟用時才會啟動服務。
    必須執行 Wireless 或 Server 服務,才能讓時間用戶端應用程式正常運作。

如果要為 ISA Server 電腦套用新的範本,請執行下列步驟。

  1. 如果要開啟 [安全性範本],請按一下 [開始] 與 [執行],輸入 mmc,然後按一下 [確定]。

  2. 在 [檔案] 功能表上,按一下 [新增/移除嵌入式管理單元],然後按一下 [新增]。

  3. 選取 [安全性設定及分析],按一下 [新增],按一下 [關閉],然後按一下 [確定]。

    sechgd05.gif

  4. 在主控台樹狀目錄中,按一下 [安全性設定及分析]。

  5. 在 [安全性設定及分析] 上按一下滑鼠右鍵,然後按一下 [開啟資料庫]。

  6. 輸入新的資料庫名稱,然後按一下 [開啟]。

  7. 選取要匯入的安全性範本,然後按一下 [開啟]。 選取先前建立的安全性範本。

    sechgd06.gif

  8. 在 [安全性設定及分析] 上按一下滑鼠右鍵,然後按一下 [立即設定電腦]。

管理權限與角色

由於 ISA Server 控制著網路的存取,在為 ISA Server 電腦及相關元件指定權限時請務必審慎。 請謹慎決定要授予 ISA Server 電腦登入權限的使用者, 然後據此設定登入權限。

ISA Server 可以讓您為使用者和群組套用系統管理角色。 當您決定要授予設定或檢視 ISA Server 原則與監視資訊權限的群組後,就可以適當地指定角色。

以下內容的詳細說明了指定權限與系統管理角色時的考量。

系統管理角色

就像環境中的其他應用程式一樣,當您在定義 ISA Server 權限的時候,也應該考慮 ISA Server 系統管理員所擔任的角色,然後僅授予必要的權限。 為了簡化處理程序,ISA Server 會使用系統管理角色。 您可以使用角色管理,將 ISA Server 系統管理員組織成個別預先定義的角色,而每種角色都有自己的一組工作。 為使用者指定角色時,實際上就是授予該使用者執行特定工作的權限。 具有角色 (如 ISA Server 系統完整權限管理員) 的使用者可以執行其他角色 (如 ISA Server 基本監視) 使用者所無法執行的特定 ISA Server 工作。 角色管理的對象包括 Windows 使用者和群組。 這些安全性權限、群組成員資格以及使用者權限是用於區別具有不同角色的使用者。 下表說明各種 ISA Server 角色。

角色

說明

ISA Server 基本監視

指定為這個角色的使用者和群組可以監視 ISA Server 電腦與網路的活動,但無法設定特殊的監視功能。

ISA Server 延伸監視

指定為這個角色的使用者和群組可以執行所有監視工作,包括記錄設定、警示定義設定,以及「ISA Server 基本監視」角色可以執行的所有監視功能。

ISA Server 系統完整權限管理員

指定為這個角色的使用者和群組可以執行任何 ISA Sever 工作,包括規則設定、網路範本套用以及監視等。

上述 ISA Server 系統管理群組的成員可以是任何 Windows 使用者, 無需任何特殊權限或 Windows 權限。 唯一例外的是,如果要檢視 ISA Server 效能計數器或使用 Perfmon 或 ISA Server 儀表板,使用者必須是 Windows Server 2003 的 Performance Monitors User 使用者群組的成員。

請注意,具有「ISA Server 延伸監視」權限的系統管理員可以將所有設定資訊匯入和匯出,包括機密設定資訊。 也就是說,系統管理員可以將機密資訊解密。

如果要指定系統管理角色,請執行下列步驟。

  1. 按一下 [開始],並依次指向 [所有程式] 及 [Microsoft ISA Server],再按一下 [ISA Server 管理]。

  2. 在 [ISA Server 管理] 主控台樹狀目錄中,按一下 [Microsoft ISA Server 2004],然後按一下 [(您的伺服器名稱)]。

  3. 在 [工作] 索引標籤中,按一下 [定義系統管理角色]。

    sechgd07_big.gif
    查看完整大小影像

  4. 在 [ISA Server 系統管理委派精靈] 的 [歡迎使用] 頁面中,按一下 [下一步]。

  5. 按一下 [新增]。

  6. 在 [群組] (建議) 或 [使用者] 中,輸入要指定特定系統管理權限的群組或使用者名稱。

  7. 在 [角色] 中,選取適當的系統管理角色。

角色與活動

每種 ISA Server 角色都有一組相關的特定 ISA Server 工作。 下表列出部分 ISA Server 系統管理工作,以及執行該工作的角色。

活動

基本監視權限

延伸監視權限

完整權限管理員權限

檢視儀表板、警示、連線、工作階段和服務

X

X

X

確認警示

X

X

X

檢視記錄資訊

 

X

X

建立警示定義

 

X

X

建立報告

 

X

X

停止與啟動工作階段與服務

 

X

X

檢視防火牆原則

 

X

X

設定防火牆原則

 

 

X

設定快取

 

 

X

設定 VPN

 

 

X

權限

在設定 ISA Server 管理員權限時,請遵循套用最小權限的原則,如下所述。 請慎重決定要授予 ISA Server 電腦登入權限的使用者,除維護伺服器運作必要人員外,取消其他人員的存取權限。

最小權限

遵循最小權限的原則,讓使用者具有執行特定工作所需的最小權限。 將使用者所具有的權限降至最低,可以在使用者帳戶遭到入侵時,將影響降至最低。

請儘量將 Administrators 群組與其他使用者群組的人數保持最少。 例如,僅讓一位 ISA Server 電腦上 Administrators 群組中的使用者能在 ISA Server 電腦上執行任何工作。

請注意,Administrators 群組中的使用者的角色已經指定為「ISA Server 系統完整權限管理員」,也就是具有設定與監視 ISA Server 的完整權限。 如需關於角色的詳細資訊,請參閱<系統管理角色>一節。

登入與設定

登入 ISA Server 電腦時,請以執行工作所需的最小權限登入。 例如,如果要設定規則,應該以 ISA Server 系統管理員身份登入。 但如果只想檢視報告,則可以較低的權限登入。

一般來說,最好使用權限較低的帳戶來執行例行的非管理工作,僅在執行特定系統管理工作時使用較大權限的帳戶。

來賓 (Guest) 帳戶

建議您不要在 ISA Server 電腦上啟用來賓帳戶。

使用者登入 ISA Server 電腦時,作業系統會檢查認證是否與已知使用者相符。 如果認證不符合已知使用者,則使用者將以來賓身份登入,且具有來賓帳戶的權限。

ISA Server 會將來賓帳戶識別為預設的 [所有已驗證的使用者] 使用者設定。

選擇性存取控制清單

初次安裝時,會適當設定 ISA Server 選擇性存取控制清單 (DACL)。 此外,當您修改系統管理角色 (如需更多資訊,請參閱<系統管理角色>一節) 以及重新啟動 ISA Server Control Service (isactrl) 時,ISA Server 也會適當重新設定 DACL。

 警告
由於 ISA Server 會定期重新設定 DACL,請勿使用安全性設定及分析工具在 ISA Server 物件上設定每個檔案的 DACL。 否則,由群組原則設定的 DACL 與 ISA Server 嘗試設定的 DACL 之間可能會發生衝突。

請勿修改 ISA Server 設定的 DACL。 請注意,ISA Server 不會為以下清單中的物件設定 DACL。 請仔細為下列清單中的物件設定 DACL,並僅將權限授予信任的特定使用者:

  • 選擇發佈報告時,報告所在的資料夾。

  • 匯出或備份設定資訊時建立的設定檔案。

  • 備份到其他位置的記錄檔。

請務必仔細設定 DACL,並僅將權限授予信任的使用者和群組。 另外,請務必在 ISA Server 間接使用的物件上建立嚴格的 DACL。 例如,建立 ISA Server 將會使用的 ODBC 連線時,請務必確保資料來源名稱 (DSN) 的安全。

為在 ISA Server 電腦上執行的所有應用程式設定嚴格的 DACL, 也請務必為檔案系統和登錄中的相關資料設定嚴格的 DACL。

 秘訣
建議您不要將重要:資料 (例如可執行檔和記錄檔) 儲存到 FAT32 磁碟分割中, 因為 DACL 無法設定用於 FAT32 磁碟分割。

減低受到攻擊的風險

為了進一步確保 ISA Server 電腦的安全,請遵循減低受攻擊風險的原則。 如果要減低受到攻擊的風險,請依照以下指示進行:

  • 請勿在 ISA Server 電腦上執行不必要的應用程式與服務。 請依照<強化 Windows 基礎結構>一節中所述,停用對目前工作沒有重要:影響的服務和功能。

  • 停用無須使用的 ISA Server 功能。 例如,如果不需要使用快取,則請停用快取; 如果無須使用 ISA Server 的 VPN 功能,則請停用 VPN 用戶端存取。

  • 找出對管理網路沒有重要:影響的服務和工作,然後停用相關的系統原則規則。

  • 限制系統原則規則的套用,僅在需要的網路實體上使用。 例如,Active Directory 系統原則設定群組 (預設為啟用) 會將原則套用到內部網路中的所有電腦。 您可以選擇只將原則套用於內部網路中特定的 Active Directory 群組。

以下內容說明如何降低 ISA Server 電腦受攻擊的風險。

停用 ISA Server 功能

視特定網路的需求而定,您可能並不需要使用 ISA Server 的各種功能。 請仔細考量您的特殊需要,然後決定是否需要以下功能:

  • VPN 用戶端存取

  • 快取

  • 增益集

如果不需使用某項特定功能,則請停用該功能。

VPN 用戶端存取

VPN 用戶端存取功能預設為停用, 這代表名稱為「允許到 ISA Server 的 VPN 用戶端流量」的相關系統原則規則也已停用。 即使已停用 VPN 用戶端存取,稱為「VPN 用戶端到內部網路」的預設網路規則仍會啟用。 如果先前已啟用過 VPN 用戶端存取,請停用此功能 (如果無須使用此功能)。

如果要確認已停用 VPN 用戶端存取,請執行下列步驟。

  1. 按一下 [開始],並依次指向 [所有程式] 及 [Microsoft ISA Server],再按一下 [ISA Server 管理]。

  2. 在 [ISA Server 管理] 主控台樹狀目錄中,按一下 [Microsoft ISA Server 2004],再按一下 [(您的伺服器名稱)] 和 [虛擬私人網路 (VPN)]。

  3. 在詳細資料窗格中,按一下 [VPN 用戶端],然後按一下 [確認已啟用 VPN 用戶端存取]。

    sechgd08_big.gif
    查看完整大小影像

  4. 在 [一般] 索引標籤中,確認未選取 [啟用 VPN 用戶端存取]。

    sechgd09.gif

快取

快取功能預設為停用, 這代表所有相關快取功能 (包括排定的內容下載) 也已停用。 如果先前已在 ISA Server 中啟用過快取,可以停用這項功能。

如果要確認已停用快取,請執行下列步驟。

  1. 按一下 [開始],並依次指向 [所有程式] 及 [Microsoft ISA Server],再按一下 [ISA Server 管理]。

  2. 在 [ISA Server 管理] 主控台樹狀目錄中,按一下 [Microsoft ISA Server 2004],再按一下 [(您的伺服器名稱)] 和 [設定],然後按一下 [快取]。

  3. 在詳細資料窗格中,按一下 [快取磁碟機] 索引標籤。

  4. 在 [工作] 索引標籤中,按一下 [停用快取]。

    note.gif  注意
    如果已停用快取,則不會看到這個選項。

    sechgd10_big.gif
    查看完整大小影像

增益集

安裝 ISA Server 的同時,亦會安裝一組應用程式篩選器以及網頁篩選器。 您可以在以後安裝由協力廠商提供的其他增益集。 請依照以下安全性指示進行:

  • 請勿安裝不需要的應用程式篩選器或網頁篩選器。

  • 切勿從不信任的來源安裝篩選器。

  • 將與增益集有關的 DLL 儲存到受保護的程式庫中 (例如:%ProgramFiles%\Microsoft ISA Server), 請務必為此程式庫設定嚴格的 ACL。

  • 停用不需要的應用程式與網頁篩選器。

如果要停用增益集,請執行下列步驟。

  1. 按一下 [開始],並依次指向 [所有程式] 及 [Microsoft ISA Server],再按一下 [ISA Server 管理]。

  2. 在 [ISA Server 管理] 主控台樹狀目錄中,按一下 [Microsoft ISA Server 2004],再按一下 [(您的伺服器名稱)] 和 [設定],然後按一下 [增益集]。

  3. 在詳細資料窗格中,選取適當的增益集。

  4. 在 [工作] 索引標籤中,按一下 [停用選取的篩選器]。

系統原則

ISA Server 包含的預設系統原則設定,會允許使用網路基礎結構通常需要的服務,以維持正常作業。

一般而言,出於安全方面的考慮,建議您務必設定系統原則,以限制存取非網路管理所需的服務。 請在安裝後,仔細檢查設定的系統原則規則。 同樣地,請在執行主要系統管理工作之後,再次檢查系統原則設定。

以下章節會說明系統原則規則所啟用的服務。

網路服務

安裝 ISA Server 後,會啟用基本網路服務。 在安裝完成後,ISA Server 就能夠存取內部網路上的名稱解析伺服器以及時間同步服務。

如果網路服務位於其他網路,您應該修改適用的設定群組來源,以便用於特定網路。 例如,假設 DHCP 伺服器不在內部網路,而是在周邊網路中, 請修改 DHCP 設定群組的來源,以便用於該周邊網路。

您可以修改系統原則,只允許存取內部網路中的特定電腦。 此外,如果服務位於內部網路以外的位置,您可以新增其他網路。

下表顯示適用於網路服務的系統原則規則。

設定群組

規則名稱

規則說明

DHCP

允許從 ISA Server 到內部網路的 DHCP 要求

允許從 DHCP 伺服器到 ISA Server 的 DHCP 回覆

允許 ISA Server 電腦使用 DHCP (回覆) 與 DHCP (要求) 通訊協定存取內部網路。

DNS

允許從 ISA Server 到特定伺服器的 DNS

允許 ISA Server 電腦使用 DNS 通訊協定存取所有網路。

NTP

允許從 ISA Server 到信任的 NTP 伺服器的 NTP

允許 ISA Server 電腦使用 NTP (UDP) 通訊協定存取內部網路。

DHCP 服務

如果 DHCP 伺服器不在內部網路中,您必須修改系統原則規則,以便用於 DHCP 伺服器所在的網路。 例如,如果 DHCP 伺服器位於外部網路中,請執行下列步驟。

  1. 按一下 [開始],並依次指向 [所有程式] 及 [Microsoft ISA Server],再按一下 [ISA Server 管理]。

  2. 在 [ISA Server 管理] 主控台樹狀目錄中,按一下 [Microsoft ISA Server 2004],再按一下 [(您的伺服器名稱)] 和 [防火牆原則]。

  3. 在 [工作] 索引標籤中,按一下 [編輯系統原則]。

  4. 在 [系統原則編輯器] 的 [設定群組] 樹狀目錄中,按一下 [DHCP]。

    sechgd11_big.gif
    查看完整大小影像

  5. 在 [從] 索引標籤中,按一下 [新增]。

  6. 在 [新增網路實體] 中選取網路物件。

    sechgd12_big.gif
    查看完整大小影像

     秘訣
    如果您知道 DHCP 伺服器的 IP 位址,建議使用該 IP 位址建立電腦組,然後選取該電腦組。 如果 DHCP 伺服器位於不受信任的網路中,建議您務必使用這個方法。

  7. 按一下 [新增],然後按一下 [關閉]。

驗證服務

ISA Server 的基本功能之一是將防火牆原則套用到特定使用者。 但如果要驗證使用者,ISA Server 必須能夠與驗證伺服器進行通訊。 基於這個原因,ISA Server 預設可以與 Active Directory 伺服器 (適用於 Windows 驗證) 以及內部網路中的 RADIUS 伺服器進行通訊。

下表顯示適用於驗證服務的系統原則規則。

設定群組

規則名稱

規則說明

Active Directory

允許存取目錄服務以進行驗證

允許從 ISA Server 到信任的伺服器的 RPC

允許從 ISA Server 到信任的伺服器的 Microsoft CIFS

允許從 ISA Server 到信任的伺服器的 Kerberos 驗證

允許 ISA Server 電腦使用各種 LDAP 通訊協定、RPC (所有介面) 通訊協定、各種 Microsoft CIFS 通訊協定和各種 Kerberos 通訊協定,透過 Active Directory 目錄服務存取內部網路。

RSA SecurID

允許從 ISA Server 到信任的伺服器的 SecurID 驗證

允許 ISA Server 電腦使用 RSA SecurID® 通訊協定存取內部網路。

RADIUS

允許從 ISA Server 到信任的 RADIUS 伺服器的 RADIUS 驗證

允許 ISA Server 電腦使用各種 RADIUS 通訊協定存取內部網路。

憑證撤銷清單

允許從 ISA Server 到所有網路進行 CRL 下載的 HTTP 連線

驗證服務:允許從 ISA Server 到特定網路的 HTTP 連線,以下載更新的憑證撤銷清單 (CRL)。

DCOM

如果需要使用 DCOM 通訊協定 (例如:用於遠端管理 ISA Server 電腦),請確定未啟用 [強制符合嚴格 RPC 的規範]。

如果要確認未選取 [強制符合嚴格 RPC 的規範],請執行下列步驟。

  1. 按一下 [開始],並依次指向 [所有程式] 及 [Microsoft ISA Server],再按一下 [ISA Server 管理]。

  2. 在 [ISA Server 管理] 主控台樹狀目錄中,按一下 [Microsoft ISA Server 2004],再按一下 [(您的伺服器名稱)] 和 [防火牆原則]。

  3. 在 [工作] 索引標籤中,按一下 [編輯系統原則]。

  4. 在 [系統原則編輯器] 的 [設定群組] 樹狀目錄中,按一下 [Active Directory]。

  5. 確認未選取 [強制符合嚴格 RPC 的規範]。

    sechgd13_big.gif
    查看完整大小影像

     秘訣
    許多服務 (包括遠端管理與自動註冊) 經常都會使用 DCOM。

Windows 與 RADIUS 驗證服務

如果不需要 Windows 驗證或 RADIUS 驗證,請執行下列步驟,停用適當的系統原則設定群組。

  1. 按一下 [開始],並依次指向 [所有程式] 及 [Microsoft ISA Server],再按一下 [ISA Server 管理]。

  2. 在 [ISA Server 管理] 主控台樹狀目錄中,按一下 [Microsoft ISA Server 2004],再按一下 [(您的伺服器名稱)] 和 [防火牆原則]。

  3. 在 [工作] 索引標籤中,按一下 [編輯系統原則]。

  4. 在 [系統原則編輯器] 的 [設定群組] 樹狀目錄中,按一下 [Active Directory]。

    sechgd14_big.gif
    查看完整大小影像

  5. 在 [一般] 索引標籤中,確認未選取 [啟用]。

    note.gif  注意
    如果停用 Active Directory 系統原則設定群組,會停用 LDAP 通訊協定的存取。 如果需要使用 LDAP 通訊協定,請建立允許使用這些通訊協定的存取規則。

  6. 請為 RADIUS 設定群組進行步驟 4 與步驟 5。

      秘訣
    如果只需要 Windows 驗證,請務必設定系統原則,停用所有其他驗證機制。

RSA SecurID 驗證服務

預設並不會啟用與 RSA SecurID 驗證服務的通訊。 如果您的防火牆原則需要 RSA SecurID 驗證,請務必啟用這個設定群組。

CRL 驗證服務

依照預設,無法下載憑證撤銷清單 (CRL)。 這是因為 [CRL 下載] 設定群組並未預設為啟用。

如果要啟用 CRL 下載,請執行下列步驟。

  1. 按一下 [開始],並依次指向 [所有程式] 及 [Microsoft ISA Server],再按一下 [ISA Server 管理]。

  2. 在 [ISA Server 管理] 主控台樹狀目錄中,按一下 [Microsoft ISA Server 2004],再按一下 [(您的伺服器名稱)] 和 [防火牆原則]。

  3. 在 [工作] 索引標籤中,按一下 [編輯系統原則]。

  4. 在 [系統原則編輯器] 的 [設定群組] 樹狀目錄中,按一下 [CRL 下載]。

  5. 在 [一般] 索引標籤中,確認已選取 [啟用]。

  6. 在 [一般] 索引標籤中,選取可以下載憑證撤銷清單的網路實體。

    sechgd15_big.gif
    查看完整大小影像

從本機主機網路 (ISA Server 電腦) 至 [到] 索引標籤中所列網路實體的所有 HTTP 傳輸都會受允許。

遠端管理

通常您會從遠端電腦管理 ISA Server, 請仔細決定要用來管理與監視 ISA Server 的遠端電腦。 下表顯示應該設定的系統原則規則。

設定群組

規則名稱

規則說明

Microsoft Management Console

允許從特定電腦使用 MMC 執行遠端管理

允許到所選電腦的 MS 防火牆控制通訊

允許 [遠端管理電腦] 電腦組中的電腦使用 MS 防火牆控制與 RPC (所有介面) 通訊協定存取 ISA Server 電腦。

終端機伺服器

允許從特定電腦使用終端機伺服器執行遠端管理

允許 [遠端管理電腦] 電腦組中的電腦使用 RDP (終端機服務) 通訊協定存取 ISA Server 電腦。

ICMP (Ping)

允許從特定電腦到 ISA Server 的 ICMP (PING) 要求

允許 [遠端管理電腦] 電腦組中的電腦使用 Ping 通訊協定存取 ISA Server 電腦,同時允許 ISA Server 電腦存取電腦組中的電腦。

依照預設,會啟用允許遠端管理 ISA Server 的系統原則規則。 您可以執行遠端 Microsoft Management Console (MMC) 嵌入式管理單元或使用終端機服務管理 ISA Server。

依照預設,上述規則會套用於內建的 [遠端管理電腦] 電腦組。 安裝 ISA Server 的同時,就會建立這個空的電腦組。 請先在這個空白電腦組中新增將用於遠端管理 ISA Server 的所有電腦, 否則將無法從任何電腦中執行遠端管理。

 秘訣
設定系統原則規則僅套用於特定的 IP 位址,就可以將遠端管理功能限制於特定電腦。

如果要啟用遠端管理,請執行下列步驟。

  1. 按一下 [開始],並依次指向 [所有程式] 及 [Microsoft ISA Server],再按一下 [ISA Server 管理]。

  2. 在 [ISA Server 管理] 主控台樹狀目錄中,按一下 [Microsoft ISA Server 2004],再按一下 [(您的伺服器名稱)] 和 [防火牆原則]。

  3. 在 [工具箱] 索引標籤中,按一下 [網路物件]。

    sechgd16.gif

  4. 在 [網路物件] 下工具列中的 [電腦組] 下,在 [遠端管理電腦] 上按一下滑鼠右鍵,然後按一下 [內容]。

    sechgd17.gif

  5. 按一下 [新增],然後按一下 [電腦]。

  6. 在 [名稱] 中,輸入電腦的名稱。

  7. 在 [電腦 IP 位址] 中,輸入可以遠端管理 ISA Server 的電腦 IP 位址。

遠端監視與記錄

依照預設,遠端記錄與監視功能會停用。 下列設定群組已預設為停用:

  • 遠端記錄 (NetBIOS)

  • 遠端記錄 (SQL)

  • 遠端效能監視

  • Microsoft Operations Manager

下表會說明相關設定群組。

設定群組

規則名稱

規則說明

遠端記錄 (NetBIOS)

允許使用 NetBIOS 遠端記錄至信任伺服器

允許 ISA Server 電腦使用各種 NetBIOS 通訊協定存取內部網路。

遠端記錄 (SQL)

允許從 ISA Server 執行 SQL 遠端記錄至選取的伺服器

允許 ISA Server 電腦使用 Microsoft (SQL) 通訊協定存取內部網路。

遠端效能監視

允許從信任的伺服器遠端監視 ISA Server 效能

允許 [遠端管理電腦] 電腦組中的電腦使用各種 NetBIOS 通訊協定存取 ISA Server 電腦。

Microsoft Operations Manager

允許使用 Microsoft Operations Manager (MOM) 代理程式從 ISA Server 遠端監視受信任的伺服器

允許 ISA Server 電腦使用 Microsoft Operations Manager 代理程式存取內部網路。

啟用遠端記錄與監視

如果要啟用遠端監視與記錄,請執行下列步驟。

  1. 按一下 [開始],並依次指向 [所有程式] 及 [Microsoft ISA Server],再按一下 [ISA Server 管理]。

  2. 在 [ISA Server 管理] 主控台樹狀目錄中,按一下 [Microsoft ISA Server 2004],再按一下 [(您的伺服器名稱)] 和 [防火牆原則]。

  3. 在 [工作] 索引標籤中,按一下 [編輯系統原則]。

  4. 在 [系統原則編輯器] 的 [設定群組] 樹狀目錄中,選取以下其中一個或多個設定群組:

    • 遠端記錄 (NetBIOS)

    • 遠端記錄 (SQL)

    • 遠端效能監視

    • Microsoft Operations Manager

  5. 在 [一般] 索引標籤中,確認已選取 [啟用]。

防火牆用戶端共用

如果在安裝 ISA Server 時安裝了 [防火牆用戶端共用] 元件,則 [防火牆用戶端安裝共用] 設定群組將預設為啟用。 內部網路中的所有電腦都能夠存取共用資料夾。 下表會顯示已啟用的系統原則設定群組 (與規則)。

設定群組

規則名稱

規則說明

防火牆用戶端安裝

允許從信任的電腦存取 ISA Server 上的防火牆用戶端安裝共用

允許內部網路中的電腦使用各種 Microsoft CIFS 與 NetBIOS 通訊協定存取 ISA Server 電腦。 啟用這個規則後,將允許從任何指定的網路或電腦使用 SMB 存取 ISA Server 電腦。 存取並不僅限於防火牆用戶端安裝共用資料夾。

如果尚未安裝 [防火牆用戶端共用] 元件,則不會啟用這個設定群組。

診斷服務

依照預設,會啟用允許存取診斷服務的系統原則規則,權限如下:

  • ICMP。 所有網路都具有這項權限, 這個服務對於判斷與其他電腦的連線非常重要:。

  • Windows 網路。 依照預設,這項權限會允許內部網路中的電腦進行 NetBIOS 通訊。

  • Microsoft 錯誤報告。 這項權限會允許對 Microsoft 錯誤報告網站 URL 組進行 HTTP 存取,以報告錯誤資訊。 依照預設,這組 URL 會包括特定 Microsoft 網站。

  • 連線能力檢查器。 這項權限會允許 ISA Server 電腦使用 HTTP 與 HTTPS 通訊協定檢查特定電腦是否能夠回應。

下表顯示已預設啟用的系統原則設定群組。

設定群組

規則名稱

規則說明

ICMP

允許從 ISA Server 到特定伺服器的 ICMP 要求

允許 ISA Server 電腦使用各種 ICMP 通訊協定與 Ping 通訊協定存取所有網路。

Windows 網路

允許從 ISA Server 到信任的伺服器的 NetBIOS

允許 ISA Server 電腦使用各種 NetBIOS 通訊協定存取所有網路。

與 Microsoft 進行通訊 (Microsoft 錯誤報告)

允許從 ISA Server 到指定 Microsoft 錯誤報告網站的 HTTP/HTTPS 存取

允許 ISA Server 電腦使用 HTTP 或 HTTPS 通訊協定,存取 Microsoft 錯誤報告網站 URL 組中的成員。

連線能力檢查器

另外,[HTTP 連線能力檢查器] 診斷服務並未預設為啟用。

建立連線能力檢查器時,會啟用 [HTTP 連線能力檢查器] 設定群組,讓本機主機網路使用 HTTP 或 HTTPS 存取任何其他網路中的電腦。 下表說明 [HTTP 連線能力檢查器] 設定群組。

設定群組

規則名稱

規則說明

HTTP 連線能力檢查器

允許 HTTP 連線能力檢查器從防火牆到所有網路的 HTTP/HTTPS

允許 ISA Server 電腦向指定的電腦傳送 HTTP GET 要求,以檢查連線能力。

建議您將這項存取限制在要檢查連線能力的特定電腦上使用。

如果要限制這項存取,請執行下列步驟。

  1. 按一下 [開始],並依次指向 [所有程式] 及 [Microsoft ISA Server],再按一下 [ISA Server 管理]。

  2. 在 [ISA Server 管理] 主控台樹狀目錄中,按一下 [Microsoft ISA Server 2004],再按一下 [(您的伺服器名稱)] 和 [防火牆原則]。

  3. 在 [工作] 索引標籤中,按一下 [編輯系統原則]。

  4. 在 [系統原則編輯器] 的 [設定群組] 樹狀目錄中,按一下 [HTTP 連線能力檢查器]。

    sechgd18_big.gif
    查看完整大小影像

  5. 在 [到] 索引標籤中,按一下 [所有網路 (與本機主機)],然後按一下 [移除]。

  6. 按一下 [新增],然後選取要檢查連線能力的網路實體。 從本機主機網路 (ISA Server 電腦) 至 [到] 索引標籤中所列網路實體的所有 HTTP 傳輸都會受允許。

SMTP

依照預設,會啟用 SMTP 設定群組,允許從 ISA Server 到內部網路中電腦的 SMTP 通訊。 例如,如果要在電子郵件訊息中傳送警示資訊,就會需要使用這項設定。 下表說明 [SMTP] 設定群組。

設定群組

規則名稱

規則說明

SMTP

允許從 ISA Server 到信任的伺服器的 SMTP

允許 ISA Server 電腦使用 SMTP 通訊協定存取內部網路。

排定的下載工作

依照預設,排定的下載工作功能會停用。 下表說明 [排定的下載工作] 設定群組。

設定群組

規則名稱

規則說明

排定的下載工作

允許從 ISA Server 到特定電腦的 HTTP 連線,以進行內容下載工作

允許 ISA Server 電腦使用 HTTP 通訊協定存取所有網路。

建立內容下載工作時,系統會提示您啟用這項系統原則規則。 啟用後,ISA Server 就能夠存取內容下載工作中指定的網站。

存取 Microsoft 網站

預設系統原則會允許透過 HTTP 和 HTTPS 方式由本機主機網路 (即 ISA Server 電腦) 存取 Microsoft.com 網站。 下列情況需要用到此設定:

  • 錯誤報告 (如<診斷服務>一節所述)

  • 存取 ISA Server 網站及其他相關網站上的有用文件

依照預設,會啟用 [允許的網站] 設定群組,以允許 ISA Server 存取 [系統原則允許的網站] 網域名稱組中特定網站上的內容。 下表說明 [允許的網站] 設定群組。

設定群組

規則名稱

規則說明

允許的網站

允許從 ISA Server 到指定網站的 HTTP/HTTPS 要求

允許 ISA Server 電腦使用 HTTP 與 HTTPS 通訊協定存取 [系統原則允許的網站] URL 組中的成員。

依照預設,這組 URL 包括各種 Microsoft 網站。 您可以修改網域名稱組,在其中加上允許 ISA Server 存取的其他網站。

如果要修改 URL 組以加入其他網站,請執行下列步驟。

  1. 按一下 [開始],並依次指向 [所有程式] 及 [Microsoft ISA Server],再按一下 [ISA Server 管理]。

  2. 在 [ISA Server 管理] 主控台樹狀目錄中,按一下 [Microsoft ISA Server 2004],再按一下 [(您的伺服器名稱)] 和 [防火牆原則]。

  3. 在 [工具箱] 索引標籤中,按一下 [網路物件]。

    sechgd19.gif

  4. 在 [網域名稱組] 下的 [系統原則允許的網站] 上按一下滑鼠右鍵,然後按一下 [內容]。

  5. 在 [一般] 索引標籤中,按一下 [新增],然後輸入特定網站的 URL。

    sechgd20.gif

對指定網站的 HTTP 和 HTTPS 存取將會被允許。

鎖定模式

防火牆的一項重要:功能就是對攻擊作出反應。 遇到攻擊時,首要的防禦措施就是中斷網際網路連線,將受到入侵的網路與惡意外部網站隔開, 但並不建議您採取這個方法。 雖然必須處理受到攻擊的情況,但仍需儘快恢復正常網路連線,並儘快找出攻擊來源。

ISA Server 2004 的鎖定功能結合了隔離惡意網站與保持連線的功能。 當發生造成 Microsoft Firewall 服務關閉的情況時,ISA Server 就會進入鎖定模式。 進入鎖定模式的情況如下:

  • 某個事件使得防火牆服務關閉。 設定警示定義時,您可以決定哪些事件會造成防火牆服務關閉, 也就是說,您可以設定 ISA Server 何時會進入鎖定模式。

  • 手動關閉防火牆服務。 如果發現遭到惡意攻擊,您可以關閉防火牆服務,同時設定 ISA Server 電腦和網路處理攻擊。

受影響的功能

在鎖定模式下時,下列功能將會適用:

  • 防火牆封包篩選引擎 (fweng) 會套用防火牆原則。

  • 允許從本機主機網路輸出至所有網路的流量。 如果建立了輸出連線,則連線可用於回應輸入流量。 例如,DNS 查詢可以在同一連線中接收 DNS 回應。

  • 不允許輸入流量,除非啟用了允許特定流量的系統原則規則, 但 DHCP 流量例外,系統永遠允許這個流量。 也就是說,會允許 UDP 連接埠 67 上的 DHCP 要求從本機主機傳送至所有網路,同時允許在 UDP 連接埠 68 上傳回 DHCP 回覆。

  • 下列系統原則規則仍然適用:

    • 允許從信任的伺服器到本機主機的 ICMP。

    • 允許使用 MMC (透過連接埠 3847 的 RPC) 遠端管理防火牆。

    • 允許使用 RDP 遠端管理防火牆。

  • VPN 遠端存取用戶端無法存取 ISA Server。 同樣地,在網站間 VPN 連線的情況下,也無法存取遠端網站。

  • 只有在重新啟動防火牆服務,且 ISA Server 結束鎖定模式後,才會套用在鎖定模式中對網路設定所作的變更。 例如,如果實體移動網路區段並將 ISA Server 重設為與實體變更相符,新的拓樸只有在 ISA Server 結束鎖定模式後才會生效。

  • ISA Server 不會觸發任何警示。

結束鎖定模式

重新啟動防火牆服務後,ISA Server 會結束鎖定模式並繼續正常運作 (如前所述)。 對 ISA Server 設定所作的任何變更將在 ISA Server 結束鎖定模式後套用。

保障設定的安全

結合公司安全性原則設定 ISA Server 防火牆原則時,請遵循一項原則:拒絕所有未明確允許的流量。 ISA Server 預設會實作這項原則。 名為「預設規則」的預設防火牆原則規則會拒絕所有使用者存取任何網路。 由於最後才會處理這項規則,系統會拒絕所有未明確允許的流量。

在升級之後驗證設定

您可以進行升級或使用「ISA Server 遷移精靈」將 ISA Server 2000 原則遷移到 ISA Server 2004 中。 請仔細檢查遷移後的原則。 ISA Server 2004 使用的規則模型與 ISA Server 2000 不同, 請務必讓防火牆原則與您公司的安全性原則設定一致。

驗證防火牆原則設定

建立防火牆原則後,建議您經常檢查該原則。 確認要傳輸的流量經過允許, 並確認僅開啟了適當的連接埠。

虛擬私人網路

將 ISA Server 2004 用作虛擬私人網路 (VPN) 伺服器時,請務必遵循最佳安全性實務指南。 下面列出多項安全性建議,可以保護作為 VPN 伺服器的 ISA Server 電腦安全:

  • 建議使用「IPSec 上加第二層通道通訊協定 (L2TP)」連線,以獲得最佳加密保護。 我們建議您實作並強制執行增強式密碼原則,降低遭到字典攻擊的可能性。 實作此類原則時,您可以停用帳戶鎖定,降低攻擊者觸發帳戶鎖定的可能性。

  • 考慮要求遠端 VPN 用戶端執行特定作業系統 (如 Microsoft Windows Server 2003、Windows 2000 Server 或 Windows XP)。 並非所有作業系統的檔案系統及使用者帳戶都具有相同等級的安全性。 此外,並非所有遠端存取功能在所有作業系統上均可使用。

  • 使用 ISA Server 隔離控制功能為遠端 VPN 用戶端提供階段式網路存取。 使用隔離控制後,用戶端在獲准存取網路之前,將會受限於隔離模式。 雖然隔離控制不能防禦攻擊者,但可以對授權使用者的電腦設定進行確認,並在必要時進行更正,然後才允許其存取網路。

VPN 病毒防護

感染病毒的 VPN 用戶端電腦不會自動封鎖要求,以防止 ISA Server 電腦或其保護的網路流量過大。 為了防止發生這種情況,請進行監視以偵測異常行為 (如警示或異常尖峰流量負載),並設定使用電子郵件警示通知。 如果發現受感染的 VPN 用戶端電腦,請採取下列任何措施:

  • 使用遠端存取原則將使用者排除在允許連線的 VPN 用戶端之外,以使用者名稱限制 VPN 存取。

  • 以 IP 位址限制 VPN 存取。 建立一個新網路以包含封鎖的外部 IP 位址,然後將用戶端 IP 位址從外部網路移至新網路。

VPN 驗證

請使用具有適當安全性的驗證方法。 最安全的驗證方法是與智慧卡配合使用的可延伸的驗證通訊協定-傳輸層安全性 (EAP-TLS)。 儘管使用 EAP-TLS 與智慧卡需要公開金鑰基礎結構 (PKI),給部署工作帶來難度,但這是公認最安全的驗證方法。 請啟用 EAP-TLS (在遠端存取原則的設定檔中預設為停用)。

使用 EAP-TLS 驗證通訊協定時,必須在網際網路驗證服務 (IAS) 伺服器上安裝電腦憑證。 對於用戶端與使用者驗證,您可以在用戶端電腦上安裝憑證,也可以使用智慧卡。 部署憑證之前,必須依照正確的需求設計憑證。

如果您使用密碼型驗證,請在網路上強制執行增強式密碼原則,以增加字典攻擊的難度。

考慮以更安全的驗證通訊協定驗證遠端 VPN 用戶端,例如 Microsoft Challenge Handshake 驗證通訊協定 2 版 (MS-CHAP v2) 或可延伸的驗證通訊協定 (EAP),而不要允許使用密碼驗證通訊協定 (PAP)、Shiva 密碼驗證通訊協定 (SPAP) 及 Challenge Handshake 驗證通訊協定 (CHAP) 等通訊協定。

建議您務必停用密碼驗證通訊協定 (PAP)、Shiva 密碼驗證通訊協定 (SPAP) 及 Challenge Handshake 驗證通訊協定 (CHAP)。 PAP、SPAP 及 CHAP 預設為停用。

連結轉譯

ISA Server 2004 的連結轉譯功能無論啟用與否,均會轉譯 HTTP 標頭。 這表示當您發佈網頁伺服器時,如果指定可以使用「任何網域名稱」,攻擊者就可以在標頭中傳送惡意內容。 如果發佈的伺服器將要求重新導向到任何電腦上的網頁,回應可能會受到污染 (回應可能會含有來自攻擊者所傳送標頭的 URL)。如果下游伺服器快取這個網頁,存取這個網頁的使用者就會被重新導向至攻擊者設定的網站。

基於這個原因,建議您指定要套用網頁發佈規則的特定網域名稱。

如果要指定特定網域名稱,請執行下列步驟。

  1. 按一下 [開始],並依次指向 [所有程式] 及 [Microsoft ISA Server],再按一下 [ISA Server 管理]。

  2. 在 [ISA Server 管理] 主控台樹狀目錄中,按一下 [Microsoft ISA Server 2004],再按一下 [(您的伺服器名稱)] 和 [防火牆原則]。

  3. 在詳細資料窗格中,選取適用的網頁發佈規則。

  4. 在 [工作] 索引標籤中,按一下 [編輯選取的規則]。

  5. 在 [公用名稱] 索引標籤中的 [這個規則套用到] 下,選取 [對下列網站的要求]。

    sechgd21.gif

  6. 按一下 [新增]。

  7. 在 [公用網域名稱或 IP 位址] 中,輸入要套用網頁發佈規則的特定網域名稱。

連線限制

ISA Server 可限制任何指定時間的連線數目。 您可以指定同時連線的最大數目,以設定這項限制。 達到最大連線數目時,該網頁接聽程式會拒絕任何新的用戶端要求。

您可以限制伺服器發佈或存取規則每秒鐘允許的 UDP、ICMP 及建立的其他原始 IP 工作階段總數。 這些限制不適用於 TCP 連線。 超過指定的連線數目時,將不會建立新的連線。 現有的連線也不會中斷。

建議您設定較低的連線限制, 這樣將能夠有效限制惡意主機耗用 ISA Server 電腦上的資源。

依照預設,非 TCP 連線的連線限制設定為每一規則每秒鐘 1000 個連線,每個用戶端 160 個連線。 TCP 連線的連線限制設定為每個用戶端 160 個連線。 強烈建議您不要變更這些預先設定的限制。 如果必須修改連線限制,請儘可能設定較少的連線數目。

如果要設定連線限制,請執行下列步驟。

  1. 按一下 [開始],並依次指向 [所有程式] 及 [Microsoft ISA Server],再按一下 [ISA Server 管理]。

  2. 在 [ISA Server 管理] 主控台樹狀目錄中,按一下 [Microsoft ISA Server 2004],再按一下 [(您的伺服器名稱)] 和 [設定],然後按一下[一般]。

  3. 在詳細資料窗格中,按一下 [定義連線限制]。

    sechgd22_big.gif
    查看完整大小影像

  4. 在 [連線限制] 索引標籤中,選取每個用戶端的 [限制連線數目]。

    sechgd23.gif

  5. 請執行下列作業:

    1. 在 [每一規則 (非 TCP), 每秒鐘所產生的連線數目] 中,輸入每一規則每秒鐘允許的連線數目。

    2. 在 [每一用戶端 (TCP 及非 TCP) 的連線數目限制] 中,輸入每一用戶端允許的連線數目。

防火牆用戶端

ISA Server 支援在防火牆用戶端與 ISA Server 之間使用加密透過 TCP 控制通道進行通訊,這是一種更安全的方式。 您可以將 ISA Server 設為僅接受以此安全方式進行通訊的用戶端連線。 不過,這會妨礙舊版的防火牆用戶端軟體進行連線。

建議您僅允許可以透過加密連線進行通訊的防火牆用戶端, 包括 ISA Server 2004 電腦的所有防火牆用戶端軟體。

如果要設定防火牆用戶端,請執行下列步驟。

  1. 按一下 [開始],並依次指向 [所有程式] 及 [Microsoft ISA Server],再按一下 [ISA Server 管理]。

  2. 在 [ISA Server 管理] 主控台樹狀目錄中,按一下 [Microsoft ISA Server 2004],再按一下 [(您的伺服器名稱)] 和 [設定],然後按一下[一般]。

  3. 在詳細資料窗格中,按一下 [定義防火牆用戶端設定值]。

    sechgd24_big.gif
    查看完整大小影像

  4. 在 [連線] 索引標籤中,確認未選取 [允許未加密的防火牆用戶端的連線]。

    sechgd25.gif

保障部署的安全

保障 ISA Server 安全的第一步是確認 ISA Server 電腦的實體安全性,並採用基本安全性設定建議。

在確保 ISA Server 電腦的安全並採用安全性指示在伺服器上設定原則後,請考慮如何部署網路基礎結構。 本節說明部署由 ISA Server 保護的網路時應考量的安全性指示。

驗證

設定網頁要求的驗證時,請儘可能使用最嚴格的驗證方法。 建議您務必在非安全連線上使用下列驗證方法:

  • 基本

  • 摘要

  • Outlook® Web Access 表單型驗證

  • SecurID

  • RADIUS

使用 RADIUS 伺服器

遠端驗證撥入使用者服務 (RADIUS) 是用於提供驗證的業界標準通訊協定。 RADIUS 用戶端 (通常為撥號伺服器、VPN 伺服器或無線存取點) 會以 RADIUS 訊息的形式,將使用者認證與連線參數資訊傳送至 RADIUS 伺服器。 RADIUS 伺服器會驗證 RADIUS 用戶端要求,然後傳回 RADIUS 訊息回應。

由於 RADIUS 伺服器不僅驗證用戶端認證,還會授權用戶端認證,因此,如果 ISA Server 收到 RADIUS 伺服器傳回用戶端認證未獲核准的回應,實際上可能表示 RADIUS 伺服器沒有授權給用戶端。 即使認證通過驗證,ISA Server 仍可能根據 RADIUS 伺服器授權原則拒絕用戶端的要求。

在實作需要 RADIUS 驗證的 VPN 或防火牆原則時,請依照以下指示:

  • RADIUS 使用者密碼隱藏機制可能無法為密碼提供足夠的安全性。 RADIUS 隱藏機制會使用 RADIUS 共用密碼、Request Authenticator 和 MD5 雜湊演算法,對使用者密碼和其他屬性進行加密,例如 Tunnel-Password 和 MS-CHAP-MPPE-Keys。 RFC 2865 提示評估威脅環境的潛在需要,也決定是否要使用額外安全性措施。
    您可以為隱藏屬性提供額外保護,使用網際網路通訊協定安全性 (IPSec) 配合封裝安全性承載 (ESP) 和加密演算法 (例如三重 DES 演算法 (3DES)),為整個 RADIUS 訊息保障資料機密性。 請依照以下建議指示進行:

    • 使用 IPSec 為 RADIUS 用戶端與伺服器提供額外的安全性。

    • 要求使用增強式使用者密碼。

    • 使用驗證計數與帳戶鎖定,幫助防止使用者密碼受到字典攻擊。

    • 使用含隨機順序的字母、數字和標點符號的較長共用密碼, 並經常變更密碼以保護 IAS server。

  • 使用密碼型驗證時,請在網路上強制執行增強式密碼原則,以增加字典攻擊的難度。

  • 使用除英文以外的任何語言指定使用者名稱時,ISA Server 會使用目前安裝在 ISA Server 電腦上的字碼頁轉譯使用者資料。 僅在用戶端使用相同的字碼頁時,才可以驗證使用者。

  • 如果您在 RADIUS 驗證的使用者登入時變更 RADIUS 伺服器原則,新的原則將不會套用於目前登入的使用者。 這是因為在登入使用者使用 RADIUS 驗證存取發佈的 Outlook Web Access 伺服器驗證時,ISA Server 會快取使用者的認證。
    如果要立即套用 RADIUS 原則,您可以中斷工作階段。

確認驗證伺服器的連線能力

如果您使用 RADIUS 伺服器進行驗證,請建立可以監視伺服器狀態的連線能力檢查器。 請設定警示,以便在 RADIUS 伺服器無法正常運作時採取適當的措施。

如果要確認連線能力,請執行下列步驟。

  1. 按一下 [開始],並依次指向 [所有程式] 及 [Microsoft ISA Server],再按一下 [ISA Server 管理]。

  2. 在 [ISA Server 管理] 主控台樹狀目錄中,按一下 [Microsoft ISA Server 2004],再按一下 [(您的伺服器名稱)] 和 [監視]。

  3. 在詳細資料窗格中,按一下 [連線能力] 索引標籤。

  4. 在 [工作] 索引標籤中,按一下 [建立新連線能力檢查器]。

  5. 在精靈的 [歡迎] 頁面中,輸入連線能力檢查器的名稱,然後按 [下一步]。

  6. 在 [連線能力檢查詳細資料] 頁中,執行下列作業:

    sechgd26.gif

    1. 在 [監視到這個伺服器或 URL 的連線能力] 中,輸入要監視的伺服器名稱。

    2. 在 [確認方法] 中,選取確認方法。 按 [下一步],然後按一下 [完成]。

  7. 如果尚未啟用允許 HTTP 連線能力檢查的系統原則規則,且選取了 [傳送 HTTP "Get" 要求],您將會收到要求啟用系統原則規則的提示。 請按一下 [是]。
    如需關於 HTTP 連線能力檢查系統原則規則的詳細資訊,請參閱<連線能力檢查器>一節。

  8. 在詳細資料窗格中,選取剛建立的規則。

  9. 在 [工作] 索引標籤中,按一下 [編輯選取的檢查器]。

  10. 在 [內容] 索引標籤中,確認已選取 [如果伺服器回應不在指定的等候逾時時間內,觸發警訊]。

    sechgd27.gif

部署驗證伺服器

基於安全性理由,建議您將驗證伺服器置於高度安全的網路中。 可能的話,請考慮將驗證伺服器置於獨立網路中 (與內部和周邊網路分離)。 如此一來,將能夠有效防止從內部和周邊網路上的任何主機直接存取驗證伺服器。

在這種情況下,請修改適用的系統原則規則,使其適用於驗證伺服器所處的網路。

如果要部署驗證伺服器,請執行下列步驟。

  1. 按一下 [開始],並依次指向 [所有程式] 及 [Microsoft ISA Server],再按一下 [ISA Server 管理]。

  2. 在 [ISA Server 管理] 主控台樹狀目錄中,按一下 [Microsoft ISA Server 2004],再按一下 [(您的伺服器名稱)] 和 [防火牆原則]。

  3. 在 [工作] 索引標籤中,按一下 [編輯系統原則]。

  4. 在 [系統原則編輯器] 的 [設定群組] 樹狀目錄中,在 [驗證服務] 下按一下適用的驗證方法。

  5. 在 [到] 索引標籤中,按一下 [新增]。

  6. 在 [新增網路實體] 中,選取驗證伺服器所處的網路。

DNS 伺服器

網域名稱系統 (DNS) 是 IP 網路 (如網際網路) 的名稱解析通訊協定。 DNS 伺服器儲存的資訊,可以讓用戶端電腦將由英數字元組成的明顯 DNS 名稱,解析為電腦相互通訊所用的 IP 位址。

ISA Server 包含的名稱解析機制類似於 DNS 伺服器名稱解析機制。 如此一來,當用戶端透過指定主機電腦的 URL 向另一個網路上的主機發出要求時,ISA Server 就可以解析此主機電腦的名稱。 ISA Server 會將名稱解析要求傳送至您設定使用的 DNS 伺服器。

為防止 DNS 快取中毒,建議您務必將 ISA Server 設定為使用信任的 DNS 伺服器 (例如 Windows DNS 伺服器),並啟用防止快取污染的選項。 這個 DNS 伺服器應置於內部網路上。

如果您在不受信任的網路 (如外部網路) 上部署 DNS 伺服器,建議您同時在信任的網路 (如周邊網路) 上安裝 DNS 伺服器。 然後,設定信任網路上的 DNS 伺服器,將要求轉送給不受信任網路上的 DNS 伺服器。

如果要設定 DNS,請在 ISA Server 電腦中執行下列步驟。

  1. 按一下 [開始],按一下 [控制台],然後按兩下 [網路連線]。

  2. 在要設定的連線上按一下滑鼠右鍵,然後按一下 [內容]。

  3. 在 [一般] 索引標籤的 [這個連線使用下列項目] 中,按一下 [網際網路通訊協定 (TCP/IP)],然後按一下 [內容]。

    sechgd28.gif

  4. 選取 [使用下列的 DNS 伺服器位址]。

  5. 在 [慣用 DNS 伺服器] 與 [備用 DNS 伺服器] 中,輸入內部網路上信任的 DNS 伺服器 IP 位址。

    sechgd29.gif

監視與疑難排解

您需要執行的重要:例行工作是監視允許通過 ISA Server 的網路流量。 監視功能的重點是仔細分析記錄檔與稽核資訊。

下列章節提供有助於確保記錄資訊完整的秘訣和提示。

記錄

記錄可以讓您檢視網路活動,檢查存取網路資源的使用者。 請定期仔細檢查記錄檔,確認是否有任何可疑的網路資源存取與使用活動。 請依照以下指示,充分利用 ISA Server 記錄:

  • 設定警示以向系統管理員傳送通知。 實作快速回應程序。

  • 將記錄檔儲存到獨立的 NTFS 磁碟分割中,以確保最大安全性。 僅限 ISA Server 電腦的系統管理員能夠存取記錄檔。

  • 將記錄資訊儲存到 SQL 資料庫中時,請使用 Windows 驗證 (而非 SQL 驗證)。

  • 如果要將資訊記錄到遠端資料庫,請為要複製到遠端資料庫的記錄資訊設定加密與資料簽章。

  • 為取得最佳安全性,請為 ISA Server 電腦和 SQL Server 之間的通訊設定 IPSec。

  • 如因任何原因無法儲存記錄資訊,請鎖定 ISA Server 電腦。 如果要執行這項作業,請設定導致防火牆服務停止的 [記錄檔失敗] 事件警示定義。

記錄檔儲存限制

請充分運用記錄檔的維護功能,確保用來儲存記錄資訊的磁碟不會裝滿。

設定停止 ISA Server 服務的 [記錄檔儲存限制] 警示定義。 如此一來,只會允許可以適當進行稽核的存取。

如果要設定記錄檔儲存限制,請執行下列步驟。

  1. 按一下 [開始],並依次指向 [所有程式] 及 [Microsoft ISA Server],再按一下 [ISA Server 管理]。

  2. 在 [ISA Server 管理] 主控台樹狀目錄中,按一下 [Microsoft ISA Server 2004],再按一下 [(您的伺服器名稱)] 和 [監視]。

  3. 在詳細資料窗格中,按一下 [警示] 索引標籤。

  4. 在 [工作] 索引標籤中,按一下 [設定警示定義]。

    sechgd30_big.gif
    查看完整大小影像

  5. 在 [警示定義] 中,按一下 [記錄檔儲存限制],然後按一下 [編輯]。

    sechgd31.gif

  6. 在 [一般] 索引標籤中,選取 [啟用]。

  7. 在 [動作] 索引標籤中,按一下 [停止所選的服務],然後按一下 [選擇]。

    sechgd32.gif

  8. 在 [服務] 中,選取 [Microsoft Firewall] 與 [Microsoft ISA Server Job Scheduler]。

稽核

啟用 Windows 稽核。 如此一來,您可以監視登入 ISA Server 電腦的人員。

如果要啟用稽核,請在 ISA Server 電腦中執行下列步驟。

  1. 按一下 [開始],並依序指向 [所有程式] 及 [系統管理工具],再按一下 [本機安全性原則]。

  2. 在詳細資料窗格中,按一下 [安全性設定],然後按一下 [本機原則],再按一下 [稽核原則]。

  3. 在詳細資料窗格中,在 [稽核登入事件] 上按一下滑鼠右鍵,然後按一下 [內容]。

    sechgd33.gif

  4. 選取 [成功] 與 [失敗]。

其他資源

如需關於 Microsoft ISA Server 的詳細資訊,請瀏覽 Microsoft ISA Server 網站

對本文件有何意見? 傳送意見

下載完整的解決方案

ISA Server 2004 安全性強化指南


顯示: