Системная политика

Шлюз Microsoft Forefront Threat Management представляет системную политику (набор предопределенных правил политики межсетевого экрана), осуществляющую управление доступом в сеть локального узла (компьютера Forefront TMG) и из нее. Эти правила позволяют контролировать, каким образом межсетевой экран Forefront TMG предоставляет инфраструктуру, необходимую для управления системой безопасности сети и сетевыми подключениями. При установке Forefront TMG автоматически задается системная политика по умолчанию, предназначенная для нахождения компромиссных решений между обеспечением безопасности и возможностью подключения.

Некоторые правила системной политики активируются в процессе установки. К ним относятся самые основные правила, необходимые для эффективного управления средой Forefront TMG. Впоследствии можно выбрать службы и задачи, которые могут потребоваться для управления сетью и включения соответствующих правил системной политики.

Правила системной политики

Для настройки правил системной политики служит редактор системной политики. В этом редакторе системная политика представлена набором групп конфигурации. Правила системной политики обрабатываются в первую очередь, до всех прочих правил. Порядок правил изменять нельзя. При установке правила применяются к определенным сетям (см. таблицу в разделе Правила системной политики).

Ограничение действия системной политики

После установки Forefront TMG можно выполнить настройку системной политики. Правила удалить невозможно, однако из соображений безопасности рекомендуется выполнить следующие действия.

  • После установки внимательно проверьте настроенные правила системной политики. Выполнив основные административные задачи, еще раз проверьте настройку системной политики.

  • Определите службы и задачи, не играющие важной роли при управлении сетью, а затем отключите соответствующие правила системной политики.

  • Дополнительно к этому ограничьте применение правил только необходимыми объектами сети. Например, группа настройки системной политики службы каталогов включена по умолчанию и применяется ко всем компьютерам внутренней сети. Можно ввести ограничение, предусматривающее применение этой политики только к определенной группе Active Directory во внутренней сети.

Службы, включенные с помощью системной политики

По умолчанию системная политика разрешает доступ межсетевого экрана Шлюз Microsoft Forefront Threat Management к сетевым ресурсам, необходимым для его надлежащего функционирования. В зависимости от особенностей развертывания может потребоваться блокирование доступа к ряду этих служб.

В зависимости от особенностей развертывания и необходимых служб нужно определить, какие группы настройки системной политики следует включить. В данном разделе описаны некоторые особенности развертывания.

Отключение группы настройки системной политики не обязательно связано с запретом использования конкретного протокола. Это объясняется тем, что этот же самый протокол может быть указан в другом правиле, которое включается другой группой настройки.

В данном разделе описаны службы, включаемые правилами системной политики. Полный список всех правил системной политики см. в разделе «Правила системной политики».

Сетевые службы

При установке Forefront TMG активируются основные сетевые службы. После установки Forefront TMG может получить доступ к серверам разрешения имен во всех сетях, а также к службам синхронизации времени во внутренней сети.

Если сетевые службы доступны в другой сети, необходимо изменить источники применимых групп настройки (DHCP, DNS или NTP) для их применения к определенной сети. Например, предположим, что DHCP-сервер расположен не во внутренней сети, а в демилитаризованной зоне. Измените источник для группы настройки DHCP (на вкладке «От») для применения к демилитаризованной зоне.

Системную политику можно изменить так, что будут доступны лишь определенные компьютеры внутренней сети. Если службы расположены в каком-либо другом месте, можно добавить дополнительную сеть.

Выполните изменение указанных ниже групп настройки в зависимости от требуемой сетевой службы.

  • DHCP

  • DNS

  • NTP

Службы DHCP

Если DHCP-сервер расположен за пределами внутренней сети, необходимо изменить правило системной политики таким образом, чтобы оно применялось к той сети, где находится DHCP-сервер.

Службы проверки подлинности

Одной из главных функций Forefront TMG является возможность применения политики межсетевого экрана к конкретным пользователям. Для проверки подлинности пользователей Forefront TMG необходимо установить связь с серверами проверки подлинности. По этой причине Forefront TMG по умолчанию может устанавливать связь с серверами Active Directory (для проверки подлинности Windows) и серверами RADIUS, расположенными во внутренней сети.

Выполните изменение указанных ниже групп настройки в зависимости от требуемой службы проверки подлинности.

  • Active Directory

  • RSA SecurID

  • RADIUS

  • Список отзыва сертификатов

Включение трафика DCOM

При включении правил консоли управления (MMC) разрешена передача трафика удаленного вызова процедур (RPC) в локальной сети. Однако передача трафика DCOM блокируется по умолчанию. Чтобы разрешить трафик DCOM, отключите правило системной политики Разрешить удаленное управление из выбранных компьютеров с помощью консоли управления MMC. Затем создайте правило, разрешающее трафик RPC. После этого в окне свойств правила настройте протокол RPC и снимите флажок Требовать строгого соответствия RPC.

Службы проверки подлинности Windows и RADIUS

Если проверка подлинности Windows или RADIUS не нужна, отключите соответствующие группы настройки системной политики.

Примечание.
При отключении группы настройки системной политики Active Directory также будет отключен доступ ко всем протоколам LDAP. Если протоколы LDAP необходимы для работы, создайте правило доступа, разрешающее использовать эти протоколы.
Совет.
Если требуется выполнить только проверку подлинности Windows, следует настроить системную политику, запретив использование всех остальных механизмов проверки подлинности.
Службы проверки подлинности RSA SecurID

По умолчанию связь с серверами проверки подлинности RSA SecurID отключена. Если для политики межсетевого экрана требуется проверка подлинности RSA SecurID, следует включить эту группу настройки.

Службы проверки подлинности списков отзывов сертификатов

По умолчанию загрузка списков отзыва сертификатов невозможна. Это связано с тем, что по умолчанию группа настройки загрузки списков отзыва сертификатов не включена. Чтобы включить загрузку списков отзыва сертификатов, убедитесь, что включена группа настройки загрузки списков отзыва сертификатов (в разделе «Службы проверки подлинности»). Затем примените эту группу настройки к объектам сети, где находятся списки отзыва сертификатов.

Будет разрешен весь трафик HTTP, проходящий от межсетевого экрана Forefront TMG до объектов сети, входящих в список на вкладке Куда.

Удаленное управление

Часто управление Forefront TMG осуществляется с удаленного компьютера. Необходимо тщательно определить, какие удаленные компьютеры могут использоваться для управления и мониторинга Forefront TMG.

Выполните изменения этих групп настройки в зависимости от способа реализации удаленного управления.

  • Консоль управления (MMC)

  • Сервер терминалов

  • ICMP (проверка связи)

  • Веб-управление

Правила системной политики, разрешающие удаленное управление Forefront TMG, включены по умолчанию. Управление Forefront TMG возможно с помощью оснастки удаленной консоли управления (MMC) или служб терминалов.

По умолчанию эти правила применяются к встроенному набору компьютеров «Компьютеры для удаленного управления». При установке Forefront TMG создается пустой набор компьютеров. Добавьте в этот набор все компьютеры, с которых будет осуществляться удаленное управление Forefront TMG. До выполнения этих действий удаленное управление с любого компьютера будет невозможно.

Совет.
Ограничьте возможность выполнения удаленного управления с определенных компьютеров, настроив применение правил системной политики только к конкретным IP-адресам.
Удаленный мониторинг и ведение журналов

Удаленное ведение журналов, удаленный мониторинг производительности и удаленный мониторинг Microsoft Operations Manager отключены по умолчанию. Следующие группы настройки отключены по умолчанию.

  • Удаленное ведение журнала (NetBIOS)

  • Удаленное ведение журнала (SQL)

  • Удаленный мониторинг производительности

  • Microsoft Operations Manager

Службы диагностики

По умолчанию правила системной политики, разрешающие доступ к службам диагностики, включены со следующими правами.

  • ICMP. Разрешено во всех сетях. Эта служба важна для определения возможности подключения к другим компьютерам.

  • Сетевая поддержка Windows. Установка связи NetBIOS со всеми компьютерами внутренней сети (по умолчанию).

  • Отчеты об ошибках Microsoft. Разрешение HTTP-доступа к набору URL-адресов веб-узлов отчетов об ошибках (Microsoft) для создания отчетов с информацией об ошибках. По умолчанию в этот набор URL-адресов входят адреса определенных веб-узлов Майкрософт.

  • Средства проверки HTTP-подключений. Использование межсетевым экраном Forefront TMG протоколов HTTP и HTTPS для проверки работоспособности определенного компьютера.

SMTP

Группа настройки SMTP включена по умолчанию, что позволяет устанавливать SMTP-подключение компьютера Forefront TMG к другим компьютерам внутренней сети. Это необходимо, например, если в сообщении электронной почты требуется отправить данные об оповещениях.

Важно.
Группу настройки SMTP рекомендуется включать только при отправке данных об оповещениях в сообщении электронной почты.

Запланированные задания загрузки

По умолчанию функция запланированных заданий загрузки отключена. Продолжительность отключения группы настройки запланированных заданий загрузки соответствует продолжительности отключения этой функции.

При создании задания загрузки содержимого будет выведен запрос на включение этого правила системной политики. У Forefront TMG появится возможность доступа к веб-узлам, указанным в задании загрузки содержимого.

Доступ к веб-узлам Майкрософт

Заданная по умолчанию системная политика разрешает доступ HTTP и HTTPS к веб-узлу Microsoft.com. из сети локального узла (то есть межсетевого экрана Forefront TMG). Это требуется по следующим причинам.

  • Отправка отчетов об ошибках (в соответствии с описанием в разделе «Службы диагностики»)

  • Доступ к полезной документации на веб-узле Forefront TMG и других связанных веб-узлах

Группа настройки «Разрешенные веб-узлы» включена по умолчанию, что позволяет Forefront TMG получить доступ к содержимому конкретных веб-узлов, входящих в набор доменных имен «Узлы, разрешенные системной политикой».

По умолчанию в этот набор URL-адресов включены различные веб-узлы Майкрософт. Чтобы добавить дополнительные веб-узлы, к которым будет разрешен доступ Forefront TMG, можно изменить набор доменных имен.

Доступ HTTP и HTTPS будет разрешен только к указанным веб-узлам.