進行規劃以防範已知弱點

發佈時間: 2009年11月

更新日期: 2010年2月

適用於: Forefront Threat Management Gateway (TMG)

本主題的設計目的是為了協助您規劃如何使用 Forefront TMG 保護您的網路,以防範作業系統和應用程式的弱點。

Forefront TMG 會透過網路檢查系統 (NIS,Forefront TMG 入侵防止系統中運用簽章的部分) 來保護您的網路,以防範利用作業系統和應用程式中的已知弱點。

NIS 是一種根據通訊協定解碼的流量檢查系統,它使用已知弱點的簽章來偵測並封鎖對網路資源的潛在攻擊,提供的功能如下:

  • Microsoft 網路弱點的完整保護;研究和回應功能是由 Microsoft 惡意程式碼防護中心 (MMPC) 所提供。如需有關 MMPC 的詳細資訊,請參閱惡意程式碼防護中心 (http://go.microsoft.com/fwlink/?LinkId=160624) (英文)。

  • 作業簽章散佈通道,允許透過 Microsoft Update 的動態簽章快照散佈。如需相關資訊,請參閱規劃保護定義的更新

NIS 會根據 Microsoft Generic Application-level Protocol Analyzer (GAPA) 所執行的通訊協定分析,來檢查內部使用者的網頁流量,並偵測和封鎖惡意流量。只要一建立 MMPC 簽章,即可更新 NIS,以對抗新類別的攻擊和弱點,包括零時差攻擊,以便將弱點揭露和修補程式部署的間隔時間縮到最短,使其從數週變成數小時。如需有關 GAPA 的詳細資訊,請參閱 Generic Application-Level Protocol Analyzer 及其語言 (http://go.microsoft.com/fwlink/?LinkId=160623) (英文)。

當您計劃在組織中部署 NIS 時,請考慮下列事項:

  • NIS 可防範網路弱點,但是無法防範檔案弱點,例如病毒或間諜軟體傳輸。檔案弱點的防護是由惡意程式碼檢查功能所處理。如需相關資訊,請參閱進行規劃以防範惡意網頁內容

  • NIS 只支援 MMPC 製作和認可的簽章。

  • 為了持續保護您的系統免受最新烕脅的攻擊,請確認 Forefront TMG 可以連線到選取的更新來源 (Microsoft Update 或 Windows Server Update Service (WSUS)),而且已啟用最新簽章集的自動安裝。如需相關資訊,請參閱規劃保護定義的更新

  • 當您從 MMPC 下載新簽章集時,只會將簽章集套用到新連線。建立安全性原則時,請基於使用者的便利考慮長期持續的連線 (例如虛擬私人網路連線),以獲得將最新保護套用到所有連線的安全性。

  • 在本機主機 (Forefront TMG 電腦) 上,NIS 只會檢查 HTTP、HTTPS 和電子郵件通訊協定。

  • NIS 會檢查 RPC over TCP,但不會檢查 RPC over UDP。因此,建議您使用防火牆規則來封鎖 RPC over UDP 流量。如需詳細資訊,請參閱設定防火牆原則

相關主題

顯示: