Так как компьютер, на котором запущен сервер Microsoft ISA
Server 2006, нередко является основным интерфейсом с внешней
сетью, рекомендуется обеспечить его безопасность. В дополнение к
информации данного файла справки рекомендуется периодически
просматривать руководство по усилению безопасности ISA
Server на веб-узле Microsoft
TechNet(http://www.microsoft.com/), так как оно
регулярно дополняется.
Обеспечение безопасности компьютера
Чтобы защитить компьютер ISA Server, выполните следующие
действия.
Установите критические обновления для следующих компонентов:
операционная система,
сервер ISA Server (последние обновления доступны на веб-узле
ISA
Server(http://www.microsoft.com/)),
дополнительные компоненты, установленные сервером ISA Server,
включая Microsoft SQL Server™ 2000 Desktop Engine
(MSDE 2000) и OWC.
Настоятельно рекомендуется на компьютерах с действующим
сервером ISA Server запустить анализатор безопасности MBSA. При
запуске анализатора безопасности MBSA он предупреждает об том, что
MSDE 2000 (дополнительный компонент, устанавливаемый сервером
ISA Server) использует учетную запись локальной службы. Это
сообщение можно спокойно проигнорировать, так как сервер ISA Server
разрешает локальный доступ только MSDE 2000. Никаким другим
сетевым службам доступ не разрешается.
Убедитесь в том, что компьютер ISA Server расположен в
физически защищенном помещении. Физический доступ к серверу
представляет высокий риск для безопасности. Если злоумышленник
получит физический доступ к серверу, то это может привести к
несанкционированному доступу, модификации оборудования или
установке аппаратного или программного обеспечения с целью обхода
защиты. Для поддержки защищенного окружения необходимо ограничить
физический доступ к компьютеру ISA Server.
При появлении подозрений в отношении компрометации компьютера
ISA Server переустановите сервер ISA Server.
Если пользователь неумышленно выполняет злонамеренный код,
который упакован с дополнительными файлами, включающими измененные
версии системных DLL-файлов, то такой код может загрузить
собственные версии данных DLL-файлов. Это увеличивает потенциальный
уровень повреждений, которые могут быть нанесены таким кодом.
Настройте раздел реестра "MSS: Включить режим безопасного поиска
DLL-файлов (рекомендовано)", установив значение "Включен".
Дополнительные сведения о данном разделе реестра, см. в разделе
Дополнительные параметры реестра на веб-узле Microsoft
TechNet(http://www.microsoft.com/).
При отзыве разрешений администратора ISA Server также проверьте
выполнение следующих действий.
На компьютере ISA Server ISA Server удалить учетную запись
соответствующего пользователя.
На сервере хранилища настроек (для выпуска ISA Server
Enterprise Edition) проанализируйте объекты ADAM.
Измените права владения объектами, которые принадлежат
отозванной учетной записи.
Не запускайте на компьютере ISA Server ненужные приложения и
службы.
Обеспечение безопасности сетевого окружения
Чтобы обеспечить безопасность сетевого окружения, выполните
следующие действия:
Установите защиту от атак второго уровня (Layer 2) путем
развертывания решений по обеспечению безопасности, таких как
Layer 2 IDS и статический MAC-адрес или связи портов на коммутаторах.
По возможности настройке использование в сети протокола IPsec.
Для защиты от атак "злоумышленник в середине" на кэш ARP
рекомендуется перед компьютером ISA Server разместить
маршрутизатор. В этом случае ARP-пакеты не смогут проходить через
маршрутизатор. Если сервер ISA Server использует физическую сеть
вместе с сетью без отношений доверия, то рекомендуется настроить
сервер ISA Server на использование статического протокола ARP. Для
оптимальной безопасности рекомендуется добавить статическую
ARP-запись для шлюза по умолчанию и на других узлах в той же
физической сети.
Обеспечение безопасности конфигурации
Чтобы обеспечить безопасность конфигурации, выполните следующие
действия.
Придерживайтесь принципа минимальных прав, согласно
которому пользователь имеет минимальные права, необходимые для
выполнения конкретной задачи. Это гарантирует, что в случае
компрометации учетной записи пользователя последствия будут
минимизированы вследствие ограниченных привилегий пользователя. При
выполнении повседневных неадминистративных задач администраторы
должны использовать учетную запись с ограниченными разрешениями.
Учетную запись с более широкими разрешениями следует использовать
только при выполнении конкретных административных задач. Учитывайте
данные рекомендации при назначении административных ролей на сервере ISA Server .
Дополнительные сведения о ролевом администрирование см. в документе
Принципы ролевого администрирования в ISA Server 2006
на веб-узле
технического центра Microsoft ISA Server(http://www.microsoft.com).
Тщательно определите тех, кто должен иметь разрешения на вход
на компьютер ISA Server. Затем соответствующим образом настройте
права входа. Дополнительные сведения см. в справке Windows.
Придерживайтесь принципа сокращения направлений атак,
отключая службы и функции, которые не являются критическими для
текущей задачи. Отключите неиспользуемые функции сервера ISA
Server. Настройте системную
политику, ориентируясь на сетевые потребности и отключая
ненужные функции. Дополнительные сведения о системной политике см.
в разделе Обзор системной политики.
При предоставлении учетных данных используйте надежные пароли.
Пароль считается надежным, если он обеспечивает эффективную защиту
от несанкционированного доступа. Надежный пароль не включает в себя
частично или целиком имя учетной записи пользователя и содержит не
менее трех из следующих четырех категорий символов: прописные
буквы, строчные буквы, основные 10 цифр и имеющиеся на клавиатуре
специальные символы (например !, @ или #).
После применения изменений конфигурации протестируйте их.
Например, с помощью сканирования портов убедитесь в том, что
реально отрыты только необходимые порты.
Ограничьте членство в наборе компьютеров удаленного управления
только компьютерами, которым требуется доступ к удаленному
администрированию. Например, не добавляйте к данному набору
компьютеров целые сети, такие как внутренняя сеть. Это способствует
защите межсетевого экрана от вирусов-червей, заразивших такие
сети.
Создайте сеть, в которую будут включены зараженные компьютеры.
Не создавайте для такой сети никаких сетевых правил, чтобы
запретить доступ из нее. После заражения компьютера переместите его
в данную сеть. Для выпуска ISA Server Enterprise Edition это
необходимо сделать на уровне массива. Обратите внимание, что
перемещение любого компьютера в данную сеть приводит к образованию
пропуска в диапазоне адресов внутренней сети, тем самым вызывая ее
фрагментацию. Фрагментированные сети оказывают отрицательное
влияние на производительность балансировки сетевой нагрузки ISA Server. Поэтому
данный метод следует использовать с осторожностью и как можно
быстрее возвращать компьютеры в исходные сети.
Рекомендации по настройке RADIUS-сервера
RADIUS-сервер рекомендуется настроить следующим образом.
Если RADIUS-сервер используется для проверки подлинности,
создайте средство проверки подключения, которое будет наблюдать за
состоянием сервера. Настройте оповещение, чтобы в случае
неисправности RADIUS-сервера предпринималось соответствующее
действие.
Ненадежные пользователи не должны иметь доступ к сети,
расположенной между RADIUS-сервером и ISA Server. Если ненадежные
пользователи должны иметь доступ, используйте в такой сети протокол
IPsec.
Рекомендации по ведению журналов и оповещению
При настройке ведения журналов и оповещения следуйте инструкциям
данного раздела. Ведение журналов и оповещение рекомендуется
настроить следующим образом.
Регулярно внимательно просматривайте журналы в поисках
подозрительного доступа к сетевым ресурсам и их использования.
Настройте оповещения так, чтобы администраторам посылались
уведомления. Реализуйте процедуру быстрого ответа.
Используйте функцию обслуживания журналов, чтобы избежать
заполнения диска, на котором сохраняются данные журналов. .
Настройте определение оповещения Ограничение размера
журнала на остановку служб ISA Server. В этом случае
разрешается только доступ с надлежащим уровнем контроля.
Если по какой-либо причине не удается сохранить данные
журналов, заблокируйте компьютер ISA Server. Для этого настройте
определение оповещения для события регистрации сбоя в журнале,
вызывающее остановку службы межсетевого экрана Microsoft. Инструкции см. в
разделе Добавить определение оповещения.
При настройке оповещения на запуск EXE-файла или сценария
убедитесь в доверенности такого файла или сценария и в наличии
соответствующих разрешений. Кроме этого, рекомендуется настроить
однократное срабатывание для оповещений, инициированных состоянием
сети (например для оповещений, инициированных отправкой пакета по
сети). В противном случае злоумышленник может вызывать отказ в
обслуживании в результате многократного срабатывания оповещения.
Инструкции по настройке частоты срабатывания оповещения см. в
разделе Изменение порога оповещения.
В целях максимальной безопасности храните журналы на отдельном
разделе диска с файловой
системой NTFS. К журналам должны иметь доступ только
администраторы компьютера ISA Server.
Дополнительные сведения о наблюдении, ведении журналов и
создании отчетов см. в разделе Принципы наблюдения, ведения
журналов и создания отчетов в ISA Server 2006 на веб-узле
технического центра Microsoft ISA Server(http://www.microsoft.com).
Дополнительные рекомендации
Выполняйте рекомендации по обеспечению безопасности в
операционной системе, действующей на компьютере ISA Server.
Изучайте и применяйте практические рекомендации по обеспечению
безопасности, описанные в перечисленной ниже документации.
Для ОС Microsoft Windows Server™ 2003 см.
Руководство по обеспечению безопасности
Windows Server 2003 в центре
загрузок Microsoft(http://www.microsoft.com/).
Дополнительные сведения об обеспечении безопасности в ISA
Server см. в документах, доступных на веб-узле с
рекомендациями для ISA Server(http://www.microsoft.com/).
Примечание
Если ведение журналов MSDE 2000 не требуется, удалите
компонент "Подробный журнал".
Получить
последнее содержимое ISA Server на веб-узле с
рекомендациями для ISA Server(http://www.microsoft.com/).
Отправить замечания или отзыв об этой странице.