Сервер Шлюз Microsoft Forefront Threat Management реализует управление доступом для всех компонентов данных конфигурации и наблюдения посредством дескрипторов безопасности Windows Server 2008 для соответствующих объектов. Список управления доступом на уровне пользователей (DACL) в дескрипторе безопасности каждого объекта определяет типы доступа или разрешения, которые могут быть предоставлены пользователям и группам, а также пользователей и группы, которым предоставлено соответствующее разрешение.

Чтобы упростить управление предоставлением разрешений пользователям, на сервере Forefront TMG предусмотрены административные роли. Роль описывает набор прав, которые разрешают пользователям и группам выполнять определенные действия. Когда пользователю или группе назначается роль, сервер Forefront TMG выполняет настройку списков DACL в дескрипторах безопасности соответствующих объектов, предоставляя пользователю или группе разрешения, необходимые для выполнения действий, разрешенных для данной роли. Кроме того, сервер Forefront TMG перенастраивает списки DACL в соответствующих дескрипторах безопасности в случае изменения назначений административных ролей или перезапуска службы управления Microsoft Forefront TMG (isactrl).

Администрирование на основе ролей

Административные роли позволяют разбить администраторов Forefront TMG по отдельным, заранее определенным категориям с набором разрешенных задач. При присвоении пользователю роли ему предоставляется право на выполнение определенных действий. После отбора администраторов, которым следует разрешить просматривать и настраивать политику Forefront TMG, другие параметры настройки и данные наблюдения, им можно присвоить соответствующие роли.

Роли можно присвоить любому пользователю или группе Windows. На основании прав роли, назначенной пользователю или группе, сервер Forefront TMG выполняет настройку соответствующих разрешений для доступа к компонентам данных конфигурации и настройки Forefront TMG для каждого администратора.

Когда пользователю или группе назначается роль с правом просмотра или изменения данных локальной конфигурации, сервер Forefront TMG выполняет настройку соответствующих разрешений для доступа к параметрам конфигурации, сохраненным в локальном экземпляре ADAM (Active Directory Application Mode).

Административные роли не следует присваивать группам СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ и ГРУППА-СОЗДАТЕЛЬ, а также идентификаторам безопасности (SID), поскольку эти идентификаторы отсутствуют в экземпляре ADAM, в котором хранится конфигурация Forefront TMG.

Поскольку сервер Forefront TMG управляет доступом к сети, следует проявлять особую осторожность при назначении ролей, предоставляющих право на выполнение действий на сервере Forefront TMG и соответствующих компонентах. Внимательно подходите к отбору пользователей, которым разрешен вход на сервер Forefront TMG. Затем назначьте роли с соответствующими правами входа.

Особенности администрирования на основе ролей

Сервер Forefront TMG включает несколько предопределенных административных ролей. Как и в другом приложении, при назначении административных ролей пользователям следует применять принцип минимальных полномочий и учитывать административные задачи, которые должны выполнить различные администраторы Forefront TMG. Например, пользователь, выступающий в роли администратора массива Forefront TMG, может выполнять некоторые задачи администрирования Forefront TMG, которые не разрешается осуществлять пользователю, играющему роль аудитора наблюдения за массивом Forefront TMG.

Административные роли Forefront TMG можно присвоить любому пользователю или группе Windows. Для этого не требуется особых привилегий или разрешений Windows.

Примечание.
Единственное исключение состоит в том, что для просмотра счетчиков производительности Forefront TMG с помощью системного монитора или панели мониторинга Forefront TMG пользователь должен входить в группу пользователей системного монитора Windows Server 2008.

Пользователям, входящим в группу локальных администраторов на компьютере, на котором выполняются службы Forefront TMG, не требуется присваивать какую-либо роль, поскольку они имеют полные права настройки и наблюдения за сервером Forefront TMG.

Административные роли уровня массива

Административные роли уровня массива позволяют разбить администраторов уровня массива по отдельным, заранее определенным категориям со своим набором разрешенных задач. В следующей таблице описаны роли уровня массива Forefront TMG.

Роль Описание

Forefront TMG Аудитор наблюдения за массивом

Пользователи и группы, которым назначена эта роль, могут наблюдать за основными действиями сервера Forefront TMG и обменом данными по сети, но не могут просматривать данные конфигураций Forefront TMG.

Forefront TMG Аудитор массива

Пользователи и группы, которым назначена эта роль, могут выполнять все задачи наблюдения, в том числе за конфигурациями журнала и определений оповещений, и просматривать данные конфигураций Forefront TMG.

Forefront TMG Администратор массива

Пользователи и группы, которым назначена эта роль, могут выполнять любые задачи администрирования Forefront TMG в определенном массиве, в том числе настройку правил, применение сетевых шаблонов и наблюдение.

Примечание.
Администраторы, выполняющие роль аудитора массива Forefront TMG, могут настраивать все свойства отчета, кроме:
  • настройки другой учетной записи пользователя при публикации отчета;

  • настройки содержимого отчета.

Пользователь, которому назначена роль администратора массива Forefront TMG, может выполнять процессы с высоким уровнем приоритета на сервере Forefront TMG.

Роли и действия

Каждая роль Forefront TMG определяет список прав пользователей на выполнение конкретных действий. К таким действиям обычно относятся задачи администрирования Forefront TMG. В следующей таблице перечислены некоторые действия и роли уровня массива, в которых их разрешено выполнять.

Действие Forefront TMG Аудитор наблюдения за массивом Forefront TMG Аудитор массива Forefront TMG Администратор массива

Просмотр панели мониторинга, оповещений, подключений, сеансов и служб

Разрешено

Разрешено

Разрешено

Подтверждение и сброс оповещений

Разрешено

Разрешено

Разрешено

Просмотр данных журнала

Не разрешено

Разрешено

Разрешено

Создание определений оповещений

Не разрешено

Не разрешено

Разрешено

Создание отчетов

Не разрешено

Разрешено

Разрешено

Остановка и запуск сеансов и служб

Не разрешено

Разрешено

Разрешено

Просмотр политики межсетевого экрана

Не разрешено

Разрешено

Разрешено

Настройка политики межсетевого экрана

Не разрешено

Не разрешено

Разрешено

Настройка кэширования

Не разрешено

Не разрешено

Разрешено

Настройка виртуальной частной сети

Не разрешено

Не разрешено

Разрешено

Постепенное завершение обслуживания и остановка межсетевого экрана или веб-прокси с балансировкой сетевой нагрузки

Не разрешено

Разрешено

Разрешено

Просмотр локальной конфигурации (в экземпляре ADAM на члене массива)

Не разрешено

Разрешено

Разрешено

Изменение локальной конфигурации (в экземпляре ADAM на члене массива)

Не разрешено

Не разрешено

Не разрешено

Инструкции по назначению ролей уровня массива см. в разделе Настройка административных ролей уровня массива.

Назначение ролей для членов доменов и рабочих групп

В зависимости от топологии сети для доступа к данным конфигурации и наблюдения Forefront TMG следует назначать различные роли.

Члены массива, входящие в рабочую группу

Если службы Forefront TMG выполняются на нескольких компьютерах рабочей группы в одном массиве, необходимо создавать дублирующие учетные записи по всем членам массива для взаимодействия и администрирования внутри массива. Эти записи создаются для локальных пользователей, имеющих одинаковые учетные данные (имя пользователя и пароль) по всем членам массива.

При назначении административной роли уровня массива локальному пользователю одного члена массива такое назначение записывается в сохраненную конфигурацию на этом компьютере, а затем реплицируется на все остальные члены массива. В случае создания дублированных учетных записей этот пользователь сможет выполнять административные задачи, разрешенные для назначенной роли, в отношении всех членов массива с использованием одних и тех же учетных данных.

Централизованно управляемые члены массива, входящие в рабочую группу

Если компьютеры, на которых выполняются службы Forefront TMG, входят в рабочую группу, а сервер управления корпоративной конфигурацией входит в домен, для доступа к этому серверу следует использовать учетные записи пользователей в домене.

Создайте дублированные учетные записи на всех членах массива для взаимодействия и администрирования внутри массива. При создании учетных записей следует использовать учетные данные пользователя, заданные для исходного члена массива.

Предположим, что сервер управления корпоративной конфигурацией находится в домене contoso.com. Два компьютера, на которых выполняются службы Forefront TMG, входят в рабочую группу. Администрированием занимается администратор предприятия с именем пользователя Adina. Пользователь Adina должен входить в группу «Администраторы предприятия». В этом примере необходимо выполнить следующие действия.

  • Создайте дублирующие учетные записи для пользователя Adina на обоих компьютерах, на которых выполняются службы Forefront TMG. (Учетные записи должны иметь одинаковые данные.)

  • Добавьте имя пользователя домена Adina в список пользователей, которым разрешен доступ к серверу управления корпоративной конфигурацией.

  • Добавьте имя пользователя (указанное в дублирующей учетной записи) в список дублирующих учетных записей, используемых для наблюдения за этим массивом.

При подключении администратора к серверу управления корпоративной конфигурацией выполните следующие действия.

  1. Укажите учетные данные пользователя, входящего в систему, при выборе способа подключения к серверу управления корпоративной конфигурацией.

  2. При задании способа подключения к каждому члену массива указывайте различные учетные данные.

  3. Укажите имя пользователя Adina в учетных данных члена массива.

Важно.
Дублирующие учетные записи необходимы для ролей уровня как массива, так и предприятия.

Централизованно управляемые члены массива, входящие в домен

Если компьютер, на котором выполняются службы Forefront TMG, входит в домен, а сервер управления корпоративной конфигурацией входит в рабочую группу, следует создать административную учетную запись на этом сервере.

Обратите внимание: в этом сценарии на предприятии может использоваться только один такой сервер. Создайте учетную запись домена для взаимодействия и администрирования внутри массива.

Централизованно управляемый член массива и сервер управления корпоративной конфигурацией, входящие в рабочую группу

Если компьютер, на котором выполняются службы Forefront TMG, и сервер управления корпоративной конфигурацией входят в одну рабочую группу, следует создать одну административную учетную запись.

Обратите внимание: в этом сценарии на предприятии может использоваться только один такой сервер. Создавать учетную запись домена для взаимодействия и администрирования внутри массива не требуется.

Создайте дублирующие учетные записи по всем членам массива для взаимодействия и администрирования внутри массива. Однако можно создать дублирующие учетные записи для каждого администратора, которому выполняющего роль уровня массива или предприятия. Либо можно создать дублирующие учетные записи по каждой роли.

Советы и рекомендации

Обращаем ваше внимание на следующие советы и рекомендации.

Учетные данные

Используйте надежные пароли в учетных данных. Пароль считается надежным, если он обеспечивает эффективную защиту от несанкционированного доступа. Надежный пароль не должен содержать имя учетной записи или какую-либо его часть и должен включать символы по крайней мере трех категорий: строчные буквы, прописные буквы, цифры и специальные символы (например, !, @ или #).

Разрешения

При настройке разрешений для администраторов Forefront TMG применяйте принцип минимальных привилегий, описанный в следующем разделе. Внимательно подходите к отбору пользователей, которым разрешено подключаться к серверу Forefront TMG. Не предоставляйте доступ пользователям, которые не играют важной роли в управлении сервером.

Принцип минимальных привилегий

Применяйте принцип минимальных привилегий, в соответствии с которым пользователю предоставляется минимальный набор привилегий, необходимых для выполнения определенной задачи. В случае несанкционированного использования учетной записи пользователя негативные последствия можно свести к минимуму за счет ограничения полномочий такого пользователя.

В группу администраторов и другие группы пользователей должно входить как можно меньше пользователей. Например, пользователь, входящий в группу администраторов на сервере Forefront TMG, может выполнять любые действия на этом сервере Forefront TMG.

Пользователи, входящие в группу локальных администраторов на компьютере, на котором выполняются службы Forefront TMG, автоматически получают полный набор прав по настройке и наблюдению за сервером Forefront TMG.

Вход и настройка

При входе на сервер Forefront TMG следует использовать учетную запись, имеющую минимальные привилегии, необходимые для выполнения ожидаемых административных задач. Например, для настройки правила следует входить в систему в качестве администратора Forefront TMG. Однако, если требуется только просмотреть отчет, следует использовать учетную запись с меньшим уровнем привилегий.

В общем случае для выполнения повседневных задач, не связанных с администрированием, используйте учетную запись с ограниченными привилегиями, а для выполнения определенных административных задач - учетную запись с более широкими привилегиями.

Учетные записи гостя

Не рекомендуется включать учетную запись гостя на сервере Forefront TMG.

При входе пользователя на сервер Forefront TMG операционная система проверяет, соответствуют ли учетные данные известному пользователю. Если нет, пользователь входит в качестве гостя и имеет полномочия, предоставленные учетной записи гостя.

По умолчанию сервер Forefront TMG помещает учетную запись гостя в набор учетных записей «Все прошедшие проверку подлинности».

Списки управления доступом на уровне пользователей

В новой установке списки управления доступом на уровне пользователей (DACL) в дескрипторах безопасности объектов Forefront TMG настроены надлежащим образом. Кроме того, сервер Forefront TMG перенастраивает списки DACL в случае изменения административных ролей и перезапуска службы управления Microsoft Forefront TMG (isactrl).

Внимание!
Сервер Forefront TMG периодически выполняет перенастройку списков DACL, поэтому не следует использовать средство анализа и настройки безопасности для настройки списков файловых DACL для объектов Forefront TMG. В противном случае может возникнуть конфликт между списками DACL, определяемыми групповой политикой, и списками DACL, настраиваемыми сервером Forefront TMG.

Не изменяйте списки DACL, настроенные сервером Forefront TMG. Обратите внимание на то, что сервер Forefront TMG не определяет списки DACL для объектов, указанных в следующем списке. Следует проявлять осторожность при задании списков DACL для следующих объектов, предоставляя разрешения только доверенным пользователям и группам:

  • папки отчетов (если выбрана публикация отчетов);

  • файлы конфигурации, созданные при экспорте или резервном копировании конфигурации;

  • архивы файлов журналов, которые хранятся в другом месте.

Будьте внимательны при определении списков DACL и давайте разрешения только допущенным пользователям и группам. Кроме того, создавайте строгие списки DACL для объектов, которые косвенно используются сервером Forefront TMG. Например, при создании подключения ODBC, которое будет использоваться сервером Forefront TMG, следует обеспечить безопасность имени источника данных (DSN).

Строгие списки DACL следует настроить для всех приложений, выполняемых на сервере Forefront TMG. Настройте строгие списки DACL для соответствующих данных в файловой системе и ADAM.

В случае настройки шаблонов SecurID HTML или сообщений об ошибках следует настроить соответствующие списки DACL. Рекомендуется наследовать уровень разрешений от родительского объекта в списках DACL.

Не рекомендуется сохранять важные данные (например, исполняемые модули и файлы журналов) в разделах FAT32, поскольку настроить списки DACL для разделов FAT32 нельзя.

Отзыв разрешений пользователей

При отзыве административных разрешений у администратора Forefront TMG рекомендуется удалить учетную запись этого пользователя из службы каталогов Active Directory, чтобы исключить для него возможность доступа.

Удаление разрешений администраторов

Чтобы удалить разрешения администратора, следует удалить этого пользователя из соответствующей группы администраторов.

Чтобы удалить подключенных администраторов Forefront TMG из группы безопасности и добавить их в новую группу, выполните следующие действия.

  1. Добавьте учетную запись администратора в новую группу.

  2. Выйдите из системы, а затем войдите в систему, используя эту учетную запись администратора, чтобы изменения вступили в силу.

  3. Удалите учетную запись администратора из исходной группы.