Использование мастера настройки безопасности с Microsoft Forefront Threat Management Gateway 2010

Опубликовано: 9 Апреля, 2023

Введение


Windows Server 2008 и 2008R2 включают полезный инструмент под названием «Мастер настройки безопасности» (SCW). Этот инструмент можно использовать для упрощения задачи повышения безопасности базовой операционной системы при подготовке к развертыванию брандмауэра Forefront Threat Management Gateway (TMG) 2010. SCW создаст политику, которая настраивает службы, политики аудита и некоторые параметры реестра на основе установленных ролей и компонентов. В этой статье я покажу, как использовать SCW для настройки и установки политики безопасности в системе брандмауэра TMG и как развернуть эту политику безопасности с помощью групповой политики Active Directory.


Роли Forefront TMG для SCW


По умолчанию SCW не поддерживает роль TMG 2010 или роль TMG Enterprise Management Server (EMS). Для поддержки этих ролей загрузите и установите TMGRolesForSCW.exe, входящий в комплект инструментов и средств разработки программного обеспечения TMG 2010 (SDK), доступный здесь.


Установка ролей TMG для SCW


Чтобы установить роли TMG для SCW, запустите исполняемый файл TMGRolesForSCW.exe.



фигура 1


Примите условия лицензионного соглашения.



фигура 2


Выберите место для сохранения файлов.



Рисунок 3


Нажмите «Готово», чтобы завершить установку ролей Forefront TMG для SCW.



Рисунок 4


После завершения установки следующим шагом будет регистрация этих новых ролей в SCW. Чтобы зарегистрировать эти роли, перейдите в папку, в которую вы ранее сохраняли файлы, и скопируйте один из следующих файлов в %systemroot%securitymsscwkbs:




  • Для TMG на Windows Server 2008 SP2 скопируйте scw_tmg_w2k8_sp2.xml.


  • Для TMG на Windows Server 2008 R2 скопируйте scw_tmg_w2k8r2_sp0.xml.


  • Для TMG EMS на Windows Server 2008 SP2 скопируйте scw_tmgems_w2k8_sp2.xml


  • Для TMG EMS на Windows Server 2008 R2 скопируйте scw_tmgems_w2k8r2_sp0.xml.


Рисунок 5


Откройте командную строку с повышенными привилегиями и перейдите в папку %systemroot%securitymsscwkbs, затем введите одну из следующих команд:




  • Для TMG на Windows Server 2008 SP2:
    scwcmd регистр /kbname:TMG /kbfile:scw_tmg_w2k8_sp2.xml


  • Для TMG EMS на Windows Server 2008 SP2:
    scwcmd регистр /kbname:TMG /kbfile:scw_tmgems_w2k8_sp2.xml


  • Для TMG на Windows Server 2008 R2:
    scwcmd регистр /kbname:TMG /kbfile:scw_tmg_w2k8r2_sp0.xml


  • Для TMG EMS в Windows Server 2008 R2:
    scwcmd регистр /kbname:TMG /kbfile:scw_tmgems_w2k8r2_sp0.xml
Рисунок 6

Создание политики безопасности с помощью SCW


Откройте SCW, выбрав «Пуск/Инструменты администрирования» и щелкнув значок «Мастер настройки безопасности».



Рисунок 7


Выберите действие, которое хотите выполнить. Для наших целей здесь мы выберем опцию « Создать новую политику безопасности». После того, как мы закончим создание политики, мы можем позже отредактировать, применить или откатить политику, если это необходимо.



Рисунок 8


SCW можно использовать на локальном или удаленном компьютере. Мы собираемся настроить политику для локальной машины, для которой имя хоста предварительно заполнено.



Рисунок 9


SCW начнет обработку базы данных конфигурации безопасности.



Рисунок 10


После завершения щелкните Просмотреть базу данных конфигурации, чтобы убедиться, что роль сервера Forefront Threat Management Gateway включена в базу данных.



Рисунок 11


Примечание:
 Вы можете получить следующее предупреждение системы безопасности Windows. Щелкните Да, чтобы просмотреть базу данных конфигурации.



Рисунок 12


Щелкните стрелку, чтобы развернуть Роли сервера, и убедитесь, что Microsoft Forefront Threat Management Gateway (TMG) отображается в списке. После завершения закройте это окно, чтобы вернуться в SCW.



Рисунок 13


Роли, функции, параметры и службы


Теперь SCW начнет настройку службы на основе ролей.



Рисунок 14


SCW настроит политику безопасности на основе ролей и функций, установленных в системе. По умолчанию выбрано несколько установленных ролей. Щелкните стрелку рядом с любой ролью, чтобы получить дополнительную информацию об этой роли. Подтвердите все выбранные роли, а затем выберите роль Microsoft Forefront Threat Management Gateway (TMG). Если ваш брандмауэр TMG также предоставляет услуги VPN, обязательно выберите роль удаленного доступа/сервера VPN.



Рисунок 15


Несколько установленных функций выбраны по умолчанию. Просмотрите выбранные варианты и внесите необходимые коррективы. Например, вы можете отключить клиент Microsoft Networking Client или включить клиент WINS, в зависимости от конкретных требований безопасности.



Рисунок 16


По умолчанию выбрано несколько установленных опций. Еще раз просмотрите выбранные варианты и при необходимости внесите коррективы. Внимательно просмотрите список, так как по умолчанию включены редко используемые функции (например , служба регистрации платформы Microsoft Fibre Channel ). Обратите внимание: если вы хотите подключиться к брандмауэру TMG с помощью служб удаленных рабочих столов (RDP), обязательно выберите роль удаленного рабочего стола (по умолчанию она не выбрана).



Рисунок 17


Просмотрите список дополнительных услуг и внесите необходимые коррективы. Отмеченные здесь службы будут включены; все остальные службы будут отключены.



Рисунок 18


Определите, как SCW будет обрабатывать любые неуказанные службы, работающие в выбранной системе и не включенные в базу данных конфигурации безопасности. Выберите вариант, который лучше всего соответствует вашим требованиям. Выбирайте внимательно, так как выбор опции отключения служб может иметь непредвиденные последствия.



Рисунок 19


Просмотрите список изменений, внесенных в службы в системе. Если вы выбрали вариант отключения неуказанных служб, обязательно внимательно изучите этот список. Обратите особое внимание на любую службу, которую политика отключит, чей текущий режим запуска является автоматическим. Вы можете отсортировать этот список по текущему режиму запуска, щелкнув заголовок столбца.



Рисунок 20


Сетевая безопасность


В этом разделе SCW настроит параметры сетевой безопасности.



Рисунок 21


SCW настроит ключевые параметры реестра, управляющие протоколами, используемыми для связи с другими компьютерами. Действуйте осторожно, так как выбор неправильных настроек может иметь непредвиденные последствия. Если вы не уверены, какие параметры выбрать, вы можете смело пропустить этот раздел.



Рисунок 22


По умолчанию SCW делает предположения о клиентских операционных системах и их использовании в системе TMG. Просмотрите эти параметры и убедитесь, что они соответствуют вашим требованиям.



Рисунок 23


Выберите метод исходящей аутентификации, соответствующий вашим требованиям.



Рисунок 24


При использовании учетных записей домена (настоятельно рекомендуется) убедитесь, что на всех других компьютерах, с которыми будет взаимодействовать система TMG, установлена как минимум Windows NT 4.0 SP6A. Если ваши клиенты синхронизируют свои системные часы с этой системой TMG, вы можете выбрать эту опцию здесь. Этот параметр не включен по умолчанию, так как большинство систем синхронизируют системное время с контроллером домена Active Directory.



Рисунок 25


Просмотрите изменения параметров реестра.



Рисунок 26


Политика аудита


В этом разделе SCW настроит политику аудита. Если ваша политика аудита уже настроена в соответствии с вашими требованиями, вы можете смело пропустить этот раздел.



Рисунок 27


Выберите вариант аудита, соответствующий вашим требованиям.



Рисунок 28


Просмотрите изменения политики аудита. Обратите внимание, что возможность включения шаблона безопасности SCWaudit.inf включена по умолчанию. Этот шаблон безопасности устанавливает списки управления доступом к системе (SACLS) для облегчения аудита доступа к файловой системе. Действуйте осторожно, так как после применения файла SCWaudit.inf его нельзя будет удалить с помощью параметра отката SCW.



Рисунок 29


Сохранение политики безопасности


Далее мы сохраним политику безопасности.



Рисунок 30


Укажите место для сохранения файла политики и включите описание (необязательно, но рекомендуется). Вы также можете просмотреть политику безопасности или включить дополнительные шаблоны безопасности.



Рисунок 31


Если вы настраиваете одну систему, вы можете выбрать опцию немедленного применения политики безопасности. Если у вас несколько брандмауэров TMG, лучше развернуть политику безопасности с помощью групповой политики Active Directory. В следующем разделе показано, как это достигается.



Рисунок 32


Законченный!



Рисунок 33


Развертывание с помощью групповой политики


Одним из многих преимуществ развертывания TMG в качестве члена домена является возможность управлять конфигурацией безопасности с помощью групповой политики. Однако SCW предназначен для настройки и развертывания политики безопасности одновременно только на одном компьютере (локальном или удаленном). Используя инструмент командной строки SCW scwcmd.exe, мы можем преобразовать эту политику безопасности в объект групповой политики (GPO), а затем развернуть политику на нескольких компьютерах с помощью групповой политики Active Directory. Синтаксис этой команды:


scwcmd transform /p: PathandPolciyFileName /g: GPODisplayName


PathAndPolicyName — это политика, созданная ранее, а GPODisplayName — это имя объекта групповой политики (GPO), которое будет отображаться в консоли управления групповыми политиками (GPMC).


Следуя нашему примеру, откройте командную строку с повышенными привилегиями и выполните следующую команду:


scwcmd transform /p:tmg_default.xml /g: «TMG по умолчанию»



 Рисунок 34


После успешного выполнения команды откройте GMPC ( Пуск/Инструменты администрирования/Управление групповыми политиками ) и разверните узел Домены. Разверните домен, членом которого является брандмауэр TMG, а затем разверните Объекты групповой политики. Там вы увидите новый объект групповой политики, созданный с помощью инструмента scwcmd.



Рисунок 35


Теперь вы можете применить этот объект групповой политики к организационной единице (OU), в которую входят ваши брандмауэры TMG. В идеале это будет отдельная OU исключительно для ваших систем TMG, чтобы свести к минимуму любые потенциальные конфликты, которые могут возникнуть из-за применения других GPO. Чтобы применить объект групповой политики, просто выделите и перетащите объект групповой политики в соответствующую организационную единицу.


Резюме


Правильная конфигурация операционной системы, усиление защиты служб и уменьшение направлений атак необходимы для безопасности и производительности брандмауэра TMG. Использование мастера настройки безопасности упрощает и автоматизирует эту задачу, позволяя администратору определять политики безопасности и последовательно применять их с помощью SCW или групповой политики.

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023