Ограниченный режим работы операционной системы Microsoft Windows Server 2008 позволяет уменьшить контактную зону для злоумышленных атак посредством отключения необязательных функций при поддержании минимально необходимой функциональности. При установке Шлюз Microsoft Forefront Threat Management как одного из компонентов Essential Business Server программа установки автоматически включает ограниченный режим работы операционной системы Windows Server 2008, выполняемой на компьютере Forefront TMG, после завершения установки Forefront TMG. Для этого используется средство командной строки Scwcmd.exe со следующими параметрами:
 Копировать код |
|
|---|---|
scwcmd.exe configure /p:isa_harden.xml |
|
Данная команда применяет политику безопасности, определенную в файле Isa_harden.xml, который входит в состав сервера Forefront TMG. При применении указанной политики выполняется настройка типа запуска для ряда служб.
В приведенной ниже таблице перечислены службы, для которых политика безопасности, определенная в файле Isa_harden.xml, устанавливает тип запуска.
| Название службы | Тип запуска |
|---|---|
|
AeLookupSvc |
Автоматический |
|
ALG |
Вручную |
|
Appinfo |
Вручную |
|
AppMgmt |
Вручную |
|
AudioEndpointBuilder |
Отключено |
|
Audiosrv |
Отключено |
|
BFE |
Автоматический |
|
BITS |
Автоматический |
|
Обозреватель |
Автоматический |
|
CertPropSvc |
Вручную |
|
clr_optimization_v2.0.50727_32 |
Вручную |
|
COMSysApp |
Вручную |
|
CryptSvc |
Автоматический |
|
CscService |
Отключено |
|
DcomLaunch |
Автоматический |
|
Dhcp |
Автоматический |
|
Dnscache |
Автоматический |
|
dot3svc |
Вручную |
|
DPS |
Автоматический |
|
EapHost |
Вручную |
|
Eventlog |
Автоматический |
|
EventSystem |
Автоматический |
|
FCRegSvc |
Вручную |
|
fdPHost |
Вручную |
|
FDResPub |
Вручную |
|
gpsvc |
Автоматический |
|
hidserv |
Отключено |
|
hkmsvc |
Вручную |
|
IKEEXT |
Автоматический |
|
IPBusEnum |
Отключено |
|
iphlpsvc |
Автоматический |
|
KeyIso |
Вручную |
|
KtmRm |
Автоматический |
|
LanmanServer |
Автоматический |
|
LanmanWorkstation |
Автоматический |
|
lltdsvc |
Вручную |
|
lmhosts |
Автоматический |
|
MMCSS |
Вручную |
|
MpsSvc |
Автоматический |
|
MSDTC |
Автоматический |
|
MSiSCSI |
Вручную |
|
msiserver |
Вручную |
|
napagent |
Вручную |
|
Netman |
Вручную |
|
netprofm |
Автоматический |
|
NlaSvc |
Автоматический |
|
nsi |
Автоматический |
|
pla |
Вручную |
|
PlugPlay |
Автоматический |
|
PolicyAgent |
Отключено |
|
ProfSvc |
Автоматический |
|
ProtectedStorage |
Вручную |
|
RasAuto |
Отключено |
|
RasMan |
Вручную |
|
RemoteAccess |
Пропущено |
|
RemoteRegistry |
Отключено |
|
RpcLocator |
Вручную |
|
RpcSs |
Автоматический |
|
RSoPProv |
Вручную |
|
sacsvr |
Вручную |
|
SamSs |
Автоматический |
|
SCardSvr |
Отключено |
|
Расписание |
Автоматический |
|
SCPolicySvc |
Отключено |
|
seclogon |
Автоматический |
|
SENS |
Автоматический |
|
SessionEnv |
Вручную |
|
SharedAccess |
Отключено |
|
ShellHWDetection |
Автоматический |
|
slsvc |
Автоматический |
|
SLUINotify |
Вручную |
|
SNMPTRAP |
Вручную |
|
SSDPSRV |
Отключено |
|
SstpSvc |
Пропущено |
|
swprv |
Вручную |
|
SysMain |
Вручную |
|
TapiSrv |
Вручную |
|
TBS |
Вручную |
|
TermService |
Автоматический |
|
Темы |
Отключено |
|
THREADORDER |
Вручную |
|
TrkWks |
Автоматический |
|
TrustedInstaller |
Вручную |
|
UI0Detect |
Вручную |
|
UmRdpService |
Вручную |
|
upnphost |
Отключено |
|
UxSms |
Автоматический |
|
vds |
Вручную |
|
VSS |
Вручную |
|
W32Time |
Автоматический |
|
WcsPlugInService |
Вручную |
|
WdiServiceHost |
Вручную |
|
WdiSystemHost |
Вручную |
|
Wecsvc |
Вручную |
|
wercplsupport |
Вручную |
|
WerSvc |
Автоматический |
|
WinHttpAutoProxySvc |
Вручную |
|
Winmgmt |
Автоматический |
|
WinRM |
Автоматический |
|
wmiApSrv |
Вручную |
|
WPDBusEnum |
Вручную |
|
wuauserv |
Автоматический |
|
wudfsvc |
Вручную |
|
DNS |
Отключено |
|
nfssvc |
Отключено |
|
nfsclnt |
Отключено |
|
ADAM_ISASTGCTRL |
Автоматический |
|
AppHostSvc |
Автоматический |
|
aspnet_state |
Вручную |
|
clr_optimization_v2.0.50727_64 |
Вручную |
|
fwsrv |
Автоматический |
|
IAS |
Автоматический |
|
IISADMIN |
Автоматический |
|
isactrl |
Автоматический |
|
isasched |
Автоматический |
|
ISASTG |
Автоматический |
|
MDM |
Вручную |
|
MSSQL$ISARS |
Автоматический |
|
MSSQL$MSFW |
Автоматический |
|
MSSQLServerADHelper |
Отключено |
|
ose |
Вручную |
|
ReportServer$ISARS |
Автоматический |
|
Rqs |
Вручную |
|
SQLBrowser |
Автоматический |
|
SQLWriter |
Автоматический |
|
W3SVC |
Автоматический |
|
WAS |
Вручную |
|
WMSvc |
Вручную |
|
xmonitor |
Автоматический |
Политика безопасности, определенная в файле Isa_harden.xml, также настраивает компьютер Forefront TMG в качестве клиента других серверов. Включаются следующие клиентские функции:
- MSClient
- TimeSync
- DHCPClient
- DNSClient
- DynamicDNS
Остальные разделы, относящиеся к данной теме, предполагают, что на компьютере Forefront TMG уже были применена настройка, рекомендованная в «Руководстве по безопасности Windows Server 2008». А именно, необходимо применить шаблон основной политики безопасности Microsoft Baseline Security Policy. Однако при этом не следует применять какие-либо фильтры IPsec или политики ролей серверов.
Помимо этого также необходимо определить набор функций Forefront TMG и соответственно вручную настроить ограниченный режим работы операционной системы.
 Примечание. |
|---|
| Также рекомендуется установить ограниченный режим работы инфраструктуры Windows после полной установки сервера Forefront TMG. |
Настройка ограниченного режима
работы Windows Server 2008 вручную
Если необходимо настроить ограниченный режим работы сервера вручную, можно настроить режим запуска служб в соответствии с описанием, представленном в настоящем разделе. Настройка компьютера осуществляется в соответствии с процедурой мастера настройки безопасности.
| Примечание. |
|---|
| Рекомендуем использовать для настройки ограниченного режима работы компьютера политику безопасности, определенную в файле Isa_harden.xml, поскольку она наилучшим образом оптимизирована для обеспечения безопасности компьютера Forefront TMG. |
Администрирование и другие задачи
Для того чтобы сервер мог выполнять необходимые задачи, следует включить определенные службы в соответствии с выбранными ролями. Все необязательные службы должны быть отключены. В представленной ниже таблице перечислены возможные задачи сервера Forefront TMG. В этой таблице описаны случаи, когда требуется выполнение этих задач, а также указываются службы, которые необходимо активировать при выполнении каждой задачи.
| Задача сервера | Сценарий использования | Необходимые службы | Режим запуска |
|---|---|---|---|
|
Установка приложений на локальном компьютере при помощи установщика Windows |
Требуется для установки, удаления или восстановления приложений при помощи службы установщика Microsoft. |
Установщик Windows |
Вручную |
|
Резервное копирование |
Требуется в случае, если на компьютере Forefront TMG используется программа резервного копирования. |
Поставщик теневого копирования программ Майкрософт Теневое копирование томов Съемный носитель |
Вручную Вручную |
|
Отчеты об ошибках |
Используется для включения функции отчетов об ошибках. Позволяет повысить стабильность работы Windows за счет отправки сведений о критических ошибках в Майкрософт для анализа. |
Служба отчетов об ошибках Windows |
Автоматический |
|
Справка и поддержка |
Позволяет собирать хронологические данные компьютера, предоставляемые при обращении в службу технической поддержки Майкрософт. |
Справка и поддержка |
Автоматический |
|
Forefront TMG: ведение журналов SQL Server, экспресс-выпуск |
Требуется для разрешения ведения журналов с использование баз данных SQL Server, экспресс-выпуск. Если соответствующая служба не была включена, ведение журналов можно осуществлять с помощью базы данных SQL или файлов. Однако при этом средство просмотра журналов нельзя будет использовать в автономном режиме. |
SQLAgent$MSFW SQL Server, экспресс-выпуск (MSFW) |
Вручную Автоматический |
|
Сбор данных производительности |
Позволяет собирать в фоновом режиме данные о производительности на компьютере Forefront TMG. |
Журналы и оповещения производительности |
Автоматический |
|
Печать |
Позволяет выполнять печать с компьютера Forefront TMG. |
Очередь печати принтера Модуль поддержки NetBIOS через TCP/IP Рабочая станция |
Автоматический Автоматический Автоматический |
|
Удаленное администрирование Windows |
Позволяет осуществлять удаленное управления сервером Windows (не требуется для удаленного управления сервером Forefront TMG). |
Сервер Удаленный реестр |
Автоматический Автоматический |
|
Синхронизация времени |
Позволяет компьютеру Forefront TMG взаимодействовать NTP-сервером для синхронизации своего времени. С точки зрения безопасности поддержание точного времени очень важно для аудита событий и других протоколов безопасности. |
Время Windows |
Автоматический |
|
Удаленная помощь эксперта |
Позволяет использовать функцию удаленной помощи на этом компьютере. |
Справка и поддержка Диспетчер сеанса справки для удаленного рабочего стола Службы терминалов |
Автоматический Вручную Вручную |
Примечания
- Для правильного функционирования клиентских приложений,
выполняющих синхронизацию времени, необходимо запустить службу
беспроводной связи или службу сервера.
- Для правильного функционирования счетчиков производительности
необходимо запустить службу сервера и службу удаленного
реестра.
- Если используется не управление Forefront TMG, а управление
маршрутизацией и удаленным доступом, то для службы сервера должен
быть установлен автоматический режим запуска. Это необходимо для
настройки виртуальной частной сети (VPN).
- Для службы маршрутизации и удаленного доступа установлен режим
запуска вручную. Forefront TMG запускает данную службу только при
включении виртуальной частной сети.
- Служба сервера требуется только в том случае, если для
настройки виртуальной частной сети используется управление
маршрутизацией и удаленным доступом, а не управление Forefront
TMG.
Клиентские функции
Серверы могут выступать в качестве клиентов других серверов. Клиентские функции зависят от набора включенных служб, выполняющих эти функции. В представленной ниже в таблице перечислены возможные клиентские функции для сервера Forefront TMG, а также описаны случаи, когда требуется использовать эти функции, и указаны службы, которые необходимо активировать при включении данных функций.
| Клиентские функции | Сценарий использования | Необходимые службы | Режим запуска |
|---|---|---|---|
|
Центр обновления Windows |
Включите данную функцию, чтобы автоматически определять наличие обновлений для Windows и других программ, загружать эти обновления и устанавливать их. |
Центр обновления Windows |
Автоматический |
|
Фоновая интеллектуальная служба передачи (BITS) |
Включите данную функцию, чтобы передавать файлы обновлений в фоновом режиме, используя для этого незадействованную пропускную способность сети. |
Фоновая интеллектуальная служба передачи |
Автоматический |
|
DHCP-клиент |
Включите данную функцию, если IP-адрес компьютера Forefront TMG автоматически назначается DHCP-сервером. |
DHCP-клиент |
Автоматический |
|
DNS-клиент |
Включите данную функцию, если компьютеру Forefront TMG необходимо получать сведения о разрешении имен от других серверов. Функцию DNS-клиента также необходимо включать, когда серверу Forefront TMG требуются сведения о разрешении имен (файл Hosts и DNS). |
DNS-клиент |
Автоматический |
|
Член домена |
Включите данную функцию, если компьютер Forefront TMG принадлежит к домену Active Directory. |
Служба сведений о подключенных сетях Служба сетевого входа Время Windows |
Автоматический Автоматический Автоматический |
|
Клиент регистрации DNS |
Включите данную функцию, чтобы разрешить компьютеру Forefront TMG автоматически регистрировать на DNS-сервере свое имя и сведения о своем адресе. |
DHCP-клиент |
Автоматический |
|
Сетевой клиент Microsoft |
Включите данную функцию, если компьютеру Forefront TMG необходимо подключаться к другим клиентам Windows. Если данная роль не будет выбрана, компьютер Forefront TMG не сможет получить доступ к общим папкам, находящимся на удаленных компьютерах (например, для публикации отчетов). |
Модуль поддержки NetBIOS через TCP/IP Рабочая станция |
Автоматический Автоматический |
|
WINS-клиент |
Включите данную функцию, если для разрешения имен компьютер Forefront TMG использует службу WINS. |
Сервер Модуль поддержки NetBIOS через TCP/IP |
Автоматический Автоматический |
Создание шаблона безопасности
Шаблон безопасности можно создать с помощью оснастки «Шаблоны безопасности» консоли управления (MMC). Шаблон безопасности представляет собой INF-файл, в котором перечислены все необходимые службы и сведения о режимах запуска этих служб. Кроме того, в нем могут содержаться параметры безопасности, которые не могут быть заданы при помощи мастера настройки безопасности. Однако можно включить шаблон безопасности в политику безопасности, созданную при помощи мастера настройки безопасности, а затем применить данную политику к компьютеру Forefront TMG.