ISAServer2004安全强化指南四.doc

ISA Server 2004 安全强化指南四(图) 2006年11月21日22:22 ChinaByte远程管理通常，您将从远程计算机管理 ISA 服务器。 谨慎地确定有权管理和监控 ISA 服务器的远程计算机。 下表显示应配置的系统策略规则。 默认情况下，启用允许远程管理 ISA 服务器的系统策略规则。 ISA 服务器可以通过运行远程“Microsoft 管理控制台 (MMC)”管理单元来管理，或者使用终端服务来管理。默认情况下，这些规则应用于内置的“远程管理计算机”计算机集。 当您安装 ISA 服务器时，创建这个空计算机集。 请向这个空计算机集添加将远程管理 ISA 服务器的所有计算机。 直到这样做之后，才能实际从某台计算机进行远程管理。提示通过配置系统策略规则，以便仅适用于特定 IP 地址，可以将远程管理限于特定计算机。要启用远程管理，请执行以下步骤。1. 单击“开始”，指向“所有程序”，指向 Microsoft ISA Server，然后单击“ISA 服务器管理”。2. 在“ISA 服务器管理”的控制台树中，单击 Microsoft ISA Server2004，单击 server_name，然后单击“防火墙策略”。3. 在“工具箱”选项卡上，单击“网络对象”。 4. 在“网络对象”下面的工具栏中，在“计算机集”下方，用鼠标右键单击“远程管理计算机”，然后单击“属性”。 5. 单击“添加”，然后单击“计算机”。6. 在“名称”中，键入计算机的名称。7. 在“计算机 IP 地址”中，键入可以远程管理 ISA 服务器的计算机的 IP 地址。远程监视和日志默认情况下，禁用远程日志和监控。 默认情况下禁用以下配置组: ? 远程日志 (NetBIOS)远程记录 (SQL)远程性能监视Microsoft 操作管理器下表描述这些配置组。 启用远程日志和监视要启用远程监视和日志，请执行以下步骤。1. 单击“开始”，指向“所有程序”，指向 Microsoft ISA Server，然后单击“ISA 服务器管理”。2. 在“ISA 服务器管理”的控制台树中，单击 Microsoft ISA Server2004，单击 server_name，然后单击“防火墙策略”。3. 在“任务”选项卡上，单击“编辑系统策略”。4. 在系统策略编辑器的“配置组”树中，选择以下一个或多个配置组: 远程日志 (NetBIOS)远程记录 (SQL)远程性能监视Microsoft 操作管理器5. 在“常规”选项卡上，验证选中“启用”。防火墙客户端共享如果在安装 ISA 服务器时安装了“防火墙客户端共享”组件，默认情况下启用“防火墙客户端安装共享”配置组。 内部网络上的所有计算机均可以访问该共享文件夹。 下表显示启用的系统策略配置组(及规则)。 如果未安装“防火墙客户端共享”组件，系统不启用此配置。诊断服务默认情况下，启用允许访问诊断服务的系统策略规则，从而提供以下权限: ICMP。 这适用于所有网络。 此服务对确定与其他计算机的连接性很重要。Windows 网络。 这允许 NetBIOS 通讯。默认情况下，允许与内部网络上的计算机通讯。Microsoft 错误报告。 这允许使用 HTTP 协议访问“Microsoft 错误报告站点”URL 集，从而允许报告错误信息。 默认情况下，此 URL 集包括特定的 Microsoft 站点。连接性验证程序。 此服务允许 ISA 服务器计算机使用 HTTP 和 HTTPS 协议检查某台特定计算机是否响应。下表显示默认情况下启用的系统策略配置组。 连接性验证程序另外，默认情况下不启用以下诊断服务:HTTP 连接性验证程序。当您创建连接性验证程序时，系统启用 HTTP 连接性验证程序配置组，从而允许本地主机网络使用 HTTP 或 HTTPS 协议访问任何其他网络上的计算机。 下表描述 HTTP 连接性验证程序配置组。 建议将此访问限于您要验证其连接性的特定计算机。要限制此访问，请执行以下步骤。1. 单击“开始”，指向“所有程序”，指向 Microsoft ISA Server，然后单击“ISA 服务器管理”。2. 在“ISA 服务器管理”的控制台树中，单击 Microsoft ISA Server2004，单击 server_name，然后单击“防火墙策略”。3. 在“任务”选项卡上，单击“编辑系统策略”。4. 在系统策略编辑器的“配置组”树中，单击“HTTP 连接性验证程序”。 5. 在“到”选项卡上，单击“所有网络(和本地主机)”，然后单击“删除”。6. 单击“添加”，然后选择您要验证其连接性的网络实体。 将允许从本地主机网络(ISA 服务器计算机)到“到”选项卡上所列网络实体的所有 HTTP 通讯。SMTP默认情况下启用 SMTP 配置组，从而允许从 ISA 服务器到内部网络上的计算机的 SMTP 通讯。 例如，当您要通过电子邮件发送警报信息时，需要这样做。 下表描述 SMTP 配置组。 计划的下载任务默认情况下禁用“计划和下载任务”功能。 下表描述“计划的下载任务”配置组。 当您创建内部下载任务时，系统将提示您启用此系统策略规则。 ISA 服务器将能够访问内部下载任务中指定的站点。访问 Microsoft 网站默认系统策略允许使用 HTTP 和 HTTPS 协议从本地主机网络(即 ISA 服务器计算机)访问 网站。 需要此功能有以下几个原因: ? 错误报告(如“诊断服务”部分所述)访问 ISA 服务器网站及其他相关网站上的有用文档默认情况下启用允许的站点配置组，从而允许 ISA 服务器访问属于“系统策略允许的站点”域名集的特定站点上的内容。 下表描述“允许的站点”配置组。 默认情况下，此 URL 集包含各种 Microsoft 网站。 您可以修改该域名集，以包含允许 ISA 服务器访问的附加网站。要修改 URL 集以包含附加网站，请执行以下步骤。1. 单击“开始”，指向“所有程序”，指向 Microsoft ISA Server，然后单击“ISA 服务器管理”。2. 在“ISA 服务器管理”的控制台树中，单击 Microsoft ISA Server2004，单击 server_name，然