Чтобы обеспечить дополнительную защиту компьютера, на котором установлен сервер Шлюз Microsoft Forefront Threat Management, следует применять принцип сокращения контактной зоны. Чтобы сократить контактную зону, выполните следующие указания.
- Не запускайте лишние приложения и службы на компьютере
Forefront TMG.
- Отключите неиспользуемые функции Forefront TMG. Например,
следует отключить кэширование, если оно не требуется. Если не
требуются функции VPN сервера Forefront TMG, отключите доступ
VPN-клиентов.
- Определите службы и задачи, не играющие важной роли в
управлении сетью, и отключите соответствующие правила системной
политики.
- Ограничьте действие правил системной политики только
необходимыми сетевыми объектами. Например, включенная по умолчанию
группа настройки системной политики Active Directory применяется в
отношении всех компьютеров во внутренней сети. Можно ограничить
область ее действия только определенной группой компьютеров во
внутренней сети в службе каталогов Active Directory.
В следующих разделах описано, как сократить контактную зону компьютера Forefront TMG.
Отключение функций
В зависимости от конкретных требований к сети, вам могут понадобиться не все функции Forefront TMG. Следует внимательно оценить свои потребности и решить, необходимы ли следующие функции.
- Доступ VPN-клиентов
- Кэширование
- Веб-прокси
- Надстройки
Если какая-либо функция не требуется, ее следует отключить.
Доступ VPN-клиентов
Доступ VPN-клиентов по умолчанию отключен. Это означает, что соответствующее правило системной политики «Разрешить трафик от VPN-клиента к серверу Forefront TMG», также отключено. Сетевое правило по умолчанию «VPN-клиенты к внутренней сети» включено, даже когда отключен доступ VPN-клиентов. Если доступ VPN-клиентов включен, его можно отключить, когда он не требуется.
Чтобы убедиться в том, что доступ VPN-клиентов отключен
-
В дереве консоли управления Forefront TMG щелкните узел Виртуальные частные сети.
-
В области сведений выберите вкладку VPN-клиенты и выберите команду Проверить свойства VPN.
-
Убедитесь, что на вкладке Общие снят флажок Включить доступ VPN-клиентов.
Кэширование
Кэширование отключено по умолчанию. Это означает, что отключены все соответствующие функции кэширования, включая запланированную загрузку содержимого. Если кэширование включено для сервера Forefront TMG, его можно отключить.
Чтобы убедиться в том, что кэширование отключено
-
В дереве консоли управления Forefront TMG щелкните узел Политика веб-доступа.
Если в области сведений параметр Веб-кэширование имеет значение Включено или если настроен диск кэширования, выполните следующие действия.
- На вкладке Задачи выберите команду Настроить
веб-кэширование.
- На вкладке Диски кэша выберите компьютер Forefront TMG и
нажмите кнопку Настроить.
- Выделите каждый диск, у которого значение в столбце Размер
кэша отлично от 0, и нажмите кнопку Сбросить.
- Нажмите кнопку OK.
- На вкладке Задачи выберите команду Настроить
веб-кэширование.
Веб-прокси
Веб-прокси Forefront TMG по умолчанию включен и используется в одном из сценариев централизованного развертывания Forefront TMG. Рекомендуется отключить веб-прокси в тех сценариях, в которых он не используется.
Ниже приведен список сценариев, в которых сервер Forefront TMG не использует веб-прокси.
- Сервер Forefront TMG используется только для
VPN-подключений.
- Не требуются следующие дополнительные возможности Forefront
TMG.
- Кэширование
- HTTP-сжатие
- Фильтрация на уровне приложений
- Кэширование
- Службы веб-прокси выполняются на другом компьютере Forefront
TMG.
Чтобы отключить веб-прокси на компьютере Forefront TMG, необходимо создать новый протокол на TCP-порте 80 и убедиться в том, что фильтр веб-прокси не выбран для этого нового протокола. При создании правила доступа, разрешающего HTTP-трафик с новым протоколом, должны быть выполнены следующие условия.
- Для пользователей должен быть надлежащим образом определен
основной шлюз, либо пользователи должны использовать клиент
межсетевого экрана.
- Разрешение имен должно быть надлежащим образом определено.
- Параметры веб-прокси очищены.
Чтобы повторно включить веб-прокси, используйте исходный протокол HTTP, создаваемый сервером Forefront TMG в процессе установки в любом правиле доступа.
Чтобы отключить веб-прокси
-
В дереве консоли управления Forefront TMG щелкните узел Политика межсетевого экрана.
-
В области сведений выберите вкладку Инструментарий и выберите команду Протоколы.
-
Нажмите кнопку Создать и выберите команду Протокол.
-
На начальной странице мастера определения нового протокола введите в поле Имя определения протокола значение HTTP1.
-
На странице «Сведения об основном подключении» нажмите кнопку Создать и введите значение 80 в поля С и На и нажмите кнопку ОК.
-
Не определяйте дополнительные соединения.
-
Нажмите кнопку Готово, чтобы завершить работу мастера.
Примечание. Не связывайте фильтр веб-прокси с созданным протоколом, поскольку это приведет к включению веб-прокси.
Надстройки
При установке сервера Forefront TMG также устанавливается набор фильтров приложений и веб-фильтров. Также можно установить дополнительные надстройки, предлагаемые сторонними поставщиками. Соблюдайте следующие рекомендации по безопасности.
- Не устанавливайте ненужные фильтры приложений и
веб-фильтры.
- Никогда не устанавливайте фильтры, полученные из ненадежных
источников.
- Сохраните библиотеку DLL, связанную с надстройкой, в защищенной
папке (например, в папке %ProgramFiles%\Microsoft Forefront TMG).
Настройте строгие списки управления доступом (ACL) для этой
папки.
- Отключите ненужные фильтры приложений и веб-фильтры.
Чтобы отключить надстройку
-
В дереве консоли управления Forefront TMG щелкните узел Система.
-
В области сведений выберите вкладку Фильтры приложений, если требуется отключить фильтр приложений, или вкладку Веб-фильтры, если требуется отключить веб-фильтр.
-
В области сведений выделите соответствующую надстройку.
-
На вкладке Задачи нажмите кнопку Отключить выбранные фильтры.
Системная политика
В состав сервера Forefront TMG входит стандартная настройка системной политики, которая позволяет использовать службы, которые обычно требуются для надлежащей работы сетевой инфраструктуры.
В общем, в целях безопасности, настоятельно рекомендуется настроить системную политику таким образом, чтобы запретить доступ к службам, которые не требуются для управления сетью. После установки следует тщательно проанализировать правила системной политики. Аналогично, после выполнения основных административных задач следует еще раз проверить настройку системной политики.
В следующих разделах описаны службы, которые включаются с помощью правил системной политики.
Дополнительные сведения о настройке системной политики см. в разделе Системная политика.
Сетевые службы
При установке сервера Forefront TMG основные сетевые службы включены. После завершения установки сервер Forefront TMG может получать доступ к серверам разрешения имен и службам синхронизации во внутренней сети.
Если сетевые службы находятся в другой сети, следует изменить соответствующие источники группы настройки, чтобы они применялись для этой конкретной сети. Например, предположим, что DHCP-сервер находится не во внутренней сети, а в демилитаризованной зоне. В этом случае следует изменить источник для группы настройки DHCP, чтобы он применялся для демилитаризованной зоны.
Системную политику можно изменить таким образом, чтобы разрешить доступ только к определенным компьютерам во внутренней сети. Либо можно добавить дополнительные сети, если службы выполняются в других местах.
В следующей таблице перечислены правила системной политики, применяющиеся для сетевых служб.
Группа настройки | Имя правила | Описание правила |
---|---|---|
DHCP |
Разрешить отправлять DHCP-запросы с сервера Forefront TMG во все сети Разрешить серверу Forefront TMG принимать DHCP-ответы от DHCP-серверов |
Разрешает компьютеру Forefront TMG получать доступ к любой сети с использованием DHCP-ответов и DHCP-запросов. |
DNS |
Разрешить отправлять DNS-запросы с сервера Forefront TMG на выбранные серверы |
Разрешает компьютеру Forefront TMG получать доступ ко всем сетям с использованием протокола DNS. |
NTP |
Разрешить отправку NTP-пакетов с сервера Forefront TMG на доверенные NTP-серверы |
Разрешает компьютеру Forefront TMG получать доступ к внутренней сети с использованием протокола NTP (UDP). |
DHCP
Если DHCP-сервер находится не во внутренней сети, необходимо изменить правило системной политики таким образом, чтобы оно применялось к сети, в которой находится DHCP-сервер. Например, если DHCP-сервер расположен во внешней сети, необходимо выполнить следующие действия.
Чтобы изменить правило системной политики для DHCP-сервера
-
В дереве консоли управления Forefront TMG щелкните узел Политика межсетевого экрана.
-
На вкладке Задачи нажмите кнопку Изменить системную политику.
-
В редакторе системной политики в дереве Группы настройки выберите пункт DHCP.
-
На вкладке С нажмите кнопку Добавить, выберите Внешняя, снова нажмите кнопку Добавить, а затем кнопку Закрыть.
-
Выберите пункт Внутренняя и нажмите кнопку Удалить.
-
Нажмите кнопку OK.
Службы проверки подлинности
К числу основных возможностей сервера Forefront TMG относится возможность применять политику межсетевого экрана для определенных пользователей. В случае применения политики в отношении определенной группы пользователей, необходимо проверить подлинность всех пользователей. Однако сервер Forefront TMG должен иметь возможность взаимодействовать с серверами проверки подлинности, чтобы проверять подлинность пользователей. По этой причине сервер Forefront TMG по умолчанию может взаимодействовать с серверами Active Directory (для проверки подлинности Windows) и с серверами RADIUS, расположенными во внутренней сети.
В следующей таблице перечислены правила системной политики, применяющиеся для служб проверки подлинности. Правила для неиспользуемых типов проверки подлинности можно отключить.
Группа настройки | Имя правила | Описание правила |
---|---|---|
Active Directory |
Разрешить доступ к службам каталогов для проверки подлинности Разрешить отправлять RPC-запросы с сервера Forefront TMG на доверенные серверы Разрешить отправлять пакеты Microsoft CIFS с сервера Forefront TMG на доверенные серверы Разрешить проверку подлинности Kerberos доверенных серверов со стороны сервера Forefront TMG |
Разрешают компьютеру Forefront TMG получать доступ к внутренней сети с использованием различных протоколов LDAP, протокола RPC (все интерфейсы), различных протоколов Microsoft CIFS и различных протоколов Kerberos с помощью службы каталогов Active Directory. |
RSA SecurID |
Разрешить проверку подлинности SecurID доверенных серверов со стороны сервера Forefront TMG |
Разрешает компьютеру Forefront TMG получать доступ к внутренней сети с использованием протокола RSA SecurID. |
RADIUS |
Разрешить проверку подлинности RADIUS доверенных серверов RADIUS со стороны сервера Forefront TMG |
Разрешает компьютеру Forefront TMG получать доступ к серверам во внутренней сети с использованием различных протоколов RADIUS. |
Загрузка списка отзыва сертификатов |
Разрешить весь HTTP-трафик с сервера Forefront TMG ко всем сетям (для загрузки списков отзыва сертификатов) |
Разрешает весь HTTP-трафик с сервера Forefront TMG ко всем сетям для загрузки обновленных списков отзыва сертификатов |
DCOM
Если требуется использовать протокол DCOM (например, для удаленного управления компьютером Forefront TMG), следует убедиться, что снят флажок Требовать строгого соответствия RPC.
Чтобы убедиться в том, что флажок «Требовать строгого соответствия RPC» снят
-
В дереве консоли управления Forefront TMG щелкните узел Политика межсетевого экрана.
-
На вкладке Задачи нажмите кнопку Изменить системную политику.
-
В редакторе системной политики в дереве Группы настройки выберите пункт Active Directory.
-
Убедитесь в том, что флажок Требовать строгого соответствия RPC снят
-
Нажмите кнопку OK.
Важно. |
---|
Протокол DCOM часто используется различными службами, в том числе для удаленного управления и автоматической подачи заявок на сертификаты. |
Проверка подлинности Windows и RADIUS
Если не требуется использовать проверку подлинности Windows или RADIUS, необходимо выполнить следующие действия, чтобы отключить соответствующие группы настройки системной политики.
Чтобы отключить соответствующие группы настройки системной политики
-
В дереве консоли управления Forefront TMG щелкните узел Политика межсетевого экрана.
-
На вкладке Задачи нажмите кнопку Изменить системную политику.
-
В редакторе системной политики в дереве Группы настройки выберите пункт Active Directory.
-
Убедитесь, что на вкладке Общие снят флажок Включить данную группу настройки.
Примечание. В случае отключения группы настройки системной политики Active Directory доступ ко всем протоколам LDAP будет запрещен. Если требуется использовать протоколы LDAP, следует создать правило доступа, разрешающее использовать эти протоколы. -
Повторите действия 3 и 4 для группы настройки RADIUS.
-
Нажмите кнопку OK.
Важно. Если требуется использовать только проверку подлинности Windows, отключите использование всех остальных методов проверки подлинности в системной политике.
RSA SecurID
По умолчанию взаимодействие с серверами проверки подлинности RSA SecurID отключено. Если политика межсетевого экрана требует использования проверки подлинности RSA SecurID, включите соответствующую группу настройки.
Загрузка списка отзыва сертификатов
По умолчанию загружать списки отзыва сертификатов нельзя, поскольку группа настройки загрузки списка отзыва сертификатов по умолчанию отключена.
Чтобы включить загрузку списка отзыва сертификатов
-
В дереве консоли управления Forefront TMG щелкните узел Политика межсетевого экрана.
-
На вкладке Задачи нажмите кнопку Изменить системную политику.
-
В редакторе системной политики в дереве Группы настройки выберите пункт Загрузка списка отзыва сертификатов.
-
Убедитесь, что на вкладке Общие снят флажок Включить данную группу настройки.
-
На вкладке На выберите сетевые объекты, с которых можно выполнять загрузку списка отзыва сертификатов.
-
Нажмите кнопку OK.
Важно. |
---|
Чаще всего загрузка списка отзыва сертификатов осуществляется по протоколу HTTP. Поэтому, если включена группа настройки Загрузка списка отзыва сертификатов, будут разрешены все HTTP-запросы из сети локального узла (компьютер Forefront TMG) к сетевым объектам, указанным на вкладке На. Если для загрузки списка отзыва сертификатов требуется использовать другой протокол, необходимо создать правило доступа для такого протокола. |
Удаленное управление
Зачастую управление сервером Forefront TMG осуществляется с удаленного компьютера. Внимательно подходите к отбору удаленных компьютеров, которым разрешено управлять и наблюдать за сервером Forefront TMG. В следующей таблице перечислены правила системной политики, применяющиеся для удаленного управления.
Группа настройки | Имя правила | Описание правила |
---|---|---|
Консоль управления MMC |
Разрешить удаленное управление с выбранных компьютеров с помощью управления MMC Разрешить обращаться к выбранным компьютерам по протоколу MS Firewall Control |
Разрешает компьютерам, входящим в набор компьютеров «Компьютеры удаленного управления», получать доступ к компьютеру Forefront TMG с использованием протоколов MS Firewall Control и RPC (все интерфейсы). |
Сервер терминалов |
Разрешить удаленное управление с выбранных компьютеров с помощью сервера терминалов |
Разрешает компьютерам, входящим в набор компьютеров «Компьютеры удаленного управления», получать доступ к компьютеру Forefront TMG с использованием протокола RDP (службы терминалов). |
Веб-управление |
Разрешить удаленное управление с выбранных компьютеров с помощью веб-приложения |
Разрешает удаленное управление с выбранных компьютеров с помощью веб-приложения |
ICMP (Ping) |
Разрешить отправлять ICMP-запросы (PING) серверу Forefront TMG с выбранных компьютеров |
Разрешает компьютерам, входящим в набор компьютеров «Компьютеры удаленного управления», получать доступ к компьютеру Forefront TMG с использованием протокола PING, и наоборот. |
По умолчанию правила системой политики, разрешающие удаленное управление сервером Forefront TMG, включены за исключением группы настройки веб-управления. Управлением сервером Forefront TMG может осуществляться с помощью диспетчера Forefront TMG на удаленном компьютере или подключения к удаленному рабочему столу.
По умолчанию эти правила применяются к встроенному набору компьютеров «Компьютеры удаленного управления». При установке сервера Forefront TMG создается пустой набор компьютеров. Добавьте в этот пустой набор компьютеров все компьютеры, которые будут удаленно управлять сервером Forefront TMG. До этого удаленное управление будет фактически невозможно с любого компьютера. Таким образом, удаленное управление можно осуществлять только с компьютеров, входящих в набор компьютеров «Компьютеры удаленного управления».
Чтобы разрешить удаленное управление с определенного компьютера
-
В дереве консоли управления Forefront TMG щелкните узел Политика межсетевого экрана.
-
На вкладке Инструментарий нажмите кнопку Сетевые объекты.
-
Разверните узел Наборы компьютеров, щелкните правой кнопкой мыши пункт Компьютеры удаленного управления и выберите команду Свойства.
-
Нажмите кнопку Добавить, а затем— кнопку Компьютер.
-
В поле Имя введите имя компьютера, которому будет разрешено управлять сервером Forefront TMG.
-
В поле IP-адрес компьютера введите IP-адрес компьютера.
-
Нажмите кнопку OK.
Ведение удаленного журнала и удаленное наблюдение
По умолчанию ведение удаленного журнала и удаленное наблюдение отключены. По умолчанию включена только группа настройки SMTP, которая разрешает связь сервера Forefront TMG с компьютерами во внутренней сети по протоколу SMTP. Например, это необходимо, когда требуется отправлять оповещения в виде сообщений электронной почты. По умолчанию отключены следующие группы настройки.
- Ведение удаленного журнала (NetBIOS)
- Ведение удаленного журнала (SQL)
- Удаленное наблюдение за производительностью
- Microsoft Operations Manager
В следующей таблице приведено описание групп настройки, применяющихся к ведению удаленного журнала и удаленному наблюдению за производительностью.
Группа настройки | Имя правила | Описание правила |
---|---|---|
Ведение удаленного журнала (NetBIOS) |
Разрешить ведение удаленного журнала на доверенных серверах с помощью NetBIOS |
Разрешает компьютеру Forefront TMG получать доступ к внутренней сети с использованием различных протоколов NetBIOS. |
Ведение удаленного журнала (SQL) |
Разрешить ведение удаленного журнала SQL на выбранных серверах со стороны сервера Forefront TMG |
Разрешает компьютеру Forefront TMG использовать протоколы Microsoft (SQL) для получения доступа к внутренней сети. |
Удаленное наблюдение за производительностью |
Разрешить удаленное наблюдение за производительностью сервера Forefront TMG со стороны доверенных серверов |
Разрешает компьютерам, входящим в набор компьютеров «Компьютеры удаленного управления», получать доступ к компьютеру Forefront TMG с использованием различных протоколов NetBIOS. |
Microsoft Operations Manager |
Разрешить удаленное наблюдение с сервера Forefront TMG за доверенными серверами с помощью агента Microsoft Operations Manager (MOM) |
Разрешает компьютеру Forefront TMG получать доступ к внутренней сети с использованием агента Microsoft Operations Manager. |
SMTP |
Разрешить отправлять SMTP-запросы с сервера Forefront TMG на доверенные серверы |
Разрешает компьютеру Forefront TMG получать доступ к внутренней сети с использованием протокола SMTP. |
Разрешение ведения удаленного журнала и удаленного наблюдения
Чтобы разрешить ведение удаленного журнала SQL, выполните следующие действия.
Чтобы разрешить ведение удаленного журнала SQL
-
В дереве консоли управления Forefront TMG щелкните узел Политика межсетевого экрана.
-
На вкладке Задачи нажмите кнопку Изменить системную политику.
-
В редакторе системной политики в дереве Группы настройки выберите пункт Ведение удаленного журнала (SQL).
-
На вкладке Общие установите флажок Включить данную группу настройки.
-
Нажмите кнопку OK.
Службы диагностики
В следующей таблице перечислены правила системной политики, применяющиеся для служб диагностики.
Группа настройки | Имя правила | Описание правила |
---|---|---|
ICMP |
Разрешить отправлять ICMP-запросы с сервера Forefront TMG на выбранные серверы |
Разрешает компьютеру Forefront TMG получать доступ ко всем сетям с использованием различных протоколов ICMP и протокола PING. |
Сетевая поддержка Windows |
Разрешить отправку пакетов NetBIOS с сервера Forefront TMG на доверенные серверы |
Разрешает компьютеру Forefront TMG получать доступ ко всем сетям с использованием различных протоколов NetBIOS. |
Отчеты об ошибках (Microsoft) |
Разрешить отправку HTTP/HTTPS-пакетов с сервера Forefront TMG на указанные веб-узлы отчетов об ошибках (Microsoft) |
Разрешает компьютеру Forefront TMG получать доступ к узлам отчетов об ошибках Microsoft с использованием протоколов HTTP или HTTPS. |
Средства проверки HTTP-подключений |
Разрешить отправлять запросы HTTP/HTTPS с сервера Forefront TMG на выбранные серверы для средств проверки подключения |
Разрешает компьютеру Forefront TMG отправлять запросы HTTP GET на определенный компьютер для проверки подключения. |
По умолчанию включены следующие группы настройки системной политики, разрешающие доступ к службам диагностики.
- ICMP. По умолчанию эта группа настройки разрешает
взаимодействие со всеми сетями (и локальным узлом) с использованием
различных протоколов ICMP и протокола PING. Такое взаимодействие
используется для определения подключений к другим компьютерам.
- Сетевая поддержка Windows. По умолчанию разрешает
взаимодействие с компьютерами во внутренней сети с использованием
протокола NetBIOS.
- Отчеты об ошибках (Microsoft). Разрешает доступ по
протоколу HTTP к набору URL-адресов веб-узлов отчетов об ошибках
Microsoft для предоставления информации об ошибках. По умолчанию
этот набор URL-адресов включает веб-узлы корпорации Майкрософт. Его
не следует изменять.
По умолчанию группа настройки «Средства проверки HTTP-подключений», которая разрешает компьютеру Forefront TMG использовать протоколы HTTP и HTTPS для проверки подключения к определенному компьютеру, отключена.
При создании средства проверки подключения эта группа настройки включена, чтобы разрешить сети локального узла использовать протокол HTTP или HTTPS для доступа к компьютеру в другой сети.
Рекомендуется разрешить доступ только к тем компьютерам, подключение к которым требуется проверить.
Чтобы разрешить доступ для проверки подключения к определенным компьютерам
-
В дереве консоли управления Forefront TMG щелкните узел Политика межсетевого экрана.
-
На вкладке Задачи нажмите кнопку Изменить системную политику.
-
В редакторе системной политики в дереве Группы настройки выберите пункт Средства проверки HTTP-подключений.
-
На вкладке На выберите пункт Все сети (и локальный компьютер) и нажмите кнопку Удалить.
-
Нажмите кнопку Добавить.
-
Для каждого компьютера, подключение к которому требуется проверить, выберите соответствующий сетевой объект и нажмите кнопку Добавить.
-
Нажмите кнопку Закрыть.
Примечание. Будет разрешен весь трафик HTTP и HTTPS из сети локального узла (компьютер Forefront TMG) к сетевым объектам, указанным на вкладке На. -
Нажмите кнопку OK.
Запланированные задания загрузки
По умолчанию запланированные задания загрузки отключены. В следующей таблице приведено описание группы настройки «Запланированные задания загрузки».
Группа настройки | Имя правила | Описание правила |
---|---|---|
Запланированные задания загрузки |
Разрешить отправлять с сервера Forefront TMG HTTP-запросы выбранным компьютерам для заданий загрузки содержимого |
Разрешает компьютеру Forefront TMG получать доступ ко всем сетям с использованием протокола HTTP. |
При создании задания загрузки содержимого появится запрос на включение этого правила системной политики. Сервер Forefront TMG сможет получать доступ к веб-узлам, указанным в задании загрузки содержимого.
Разрешенные веб-узлы
Системная политика по умолчанию разрешает доступ по протоколам HTTP и HTTPS из сети локального узла (компьютер Forefront TMG) к веб-узлам в доменах microsoft.com, windows.com и windowupdate.com. Это необходимо для следующих целей:
- отчеты об ошибках (в соответствии с описанием в разделе,
посвященном службам диагностики);
- обслуживание и управление.
По умолчанию группа настройки «Разрешенные веб-узлы» включена, чтобы разрешить серверу Forefront TMG доступ к содержимому на указанных веб-узлах, входящих в набор доменных имен узлов, разрешенных системной политикой. В следующей таблице приведено описание группы настройки «Разрешенные веб-узлы».
Группа настройки | Имя правила | Описание правила |
---|---|---|
Разрешенные веб-узлы |
Разрешить отправку HTTP/HTTPS-пакетов с сервера Forefront TMG на указанные веб-узлы |
Разрешает компьютеру Forefront TMG получать доступ к набору доменных имен узлов, разрешенных системной политикой, с использованием протоколов HTTP и HTTPS. |
В этот набор доменных имен входят различные узлы корпорации Майкрософт. Изменить предопределенный набор доменных имен узлов, разрешенных системной политикой, нельзя. Однако можно создать новый набор доменных имен и добавить его в группу системной политики «Разрешенные веб-узлы», чтобы добавить дополнительные веб-узлы, к которым серверу Forefront TMG будет разрешено получать доступ.
Чтобы изменить группу настройки «Разрешенные веб-узлы» для включения дополнительных веб-узлов
-
В дереве консоли управления Forefront TMG щелкните узел Политика межсетевого экрана.
-
На вкладке Задачи нажмите кнопку Изменить системную политику.
-
В редакторе системной политики в дереве Группы настройки выберите пункт Разрешенные веб-узлы.
-
На вкладке На нажмите кнопку Добавить, выберите набор доменных имен, определяющий веб-узлы, к которым требуется разрешить доступ с использованием протоколов HTTP и HTTPS, нажмите кнопку Добавить, а затем - кнопку Закрыть.
-
Нажмите кнопку OK.