Forefront TMG представляет системную политику, которая является набором предопределенных правил политики межсетевого экрана, осуществляющих управление доступом в сеть локального узла (компьютера Forefront TMG) и из нее. Эти правила позволяют контролировать, каким образом межсетевой экран Forefront TMG предоставляет инфраструктуру, необходимую для управления системой безопасности сети и сетевыми подключениями. При установке Forefront TMG задается системная политика по умолчанию, предназначенная для нахождения компромиссных решений между обеспечением безопасности и возможностью подключения.

В этом разделе описывается:

Правила системной политики

Некоторые правила системной политики активируются в процессе установки. К ним относятся самые основные правила, необходимые для эффективного управления средой Forefront TMG. Впоследствии можно включить правила системной политики, включающие службы и задачи, которые могут потребоваться для управления сетью.

Обновленную документацию по системной политике Forefront TMG см. на странице Forefront TMG библиотеки TechNet (http://go.microsoft.com/fwlink/?LinkID=131702) (возможно, на английском языке).

Для настройки правил системной политики служит редактор системной политики. В этом редакторе системная политика представлена набором групп конфигурации. Правила системной политики обрабатываются в первую очередь, до всех прочих правил. Порядок правил изменять нельзя. При установке правила применяются к определенным сетям, как указано в таблице, приведенной в разделе Правила системной политики (http://go.microsoft.com/fwlink/?LinkID=159773).

После установки Forefront TMG можно выполнить настройку системной политики. Правила удалить невозможно, однако из соображений безопасности рекомендуется выполнить следующие действия.

  • После установки внимательно проверьте настроенные правила системной политики. Выполнив основные административные задачи, еще раз проверьте настройку системной политики.

  • Определите службы и задачи, не играющие важной роли в управлении сетью, и отключите соответствующие правила системной политики.

  • Дополнительно к этому ограничьте применение правил только необходимыми объектами сети. Например, включенная по умолчанию группа Active Directory применяется в отношении всех компьютеров во внутренней сети. Можно ограничить область ее действия только определенной группой доменных служб Active Directory (AD DS) во внутренней сети.

Службы, включенные с помощью системной политики

По умолчанию системная политика разрешает доступ межсетевого экрана Forefront TMG к сетевым ресурсам, необходимым для его надлежащего функционирования. В зависимости от особенностей развертывания может потребоваться блокирование доступа к ряду этих служб.

В зависимости от особенностей развертывания и необходимых служб можно определить, какие группы настройки системной политики следует включить. В данном разделе описаны некоторые особенности развертывания.

Отключение группы настройки системной политики не обязательно связано с запретом использования конкретного протокола. Это объясняется тем, что этот же самый протокол может быть указан в другом правиле, которое включается другой группой настройки.

Следующие службы включены правилами системной политики.

  • Сетевые службы

  • Службы DHCP

  • Службы проверки подлинности

  • Включение трафика DCOM

  • Службы проверки подлинности Windows и RADIUS

  • Службы проверки подлинности RSA SecurID

  • Службы проверки подлинности списков отзыва сертификатов

  • Удаленное управление

  • Удаленное наблюдение и ведение удаленного журнала

  • Службы диагностики

  • SMTP

  • Запланированные задания загрузки

  • Доступ к веб-узлам Майкрософт

Полный список всех правил системной политики см. в разделе Правила системной политики (http://go.microsoft.com/fwlink/?LinkID=159773).

Сетевые службы

При установке сервера Forefront TMG основные сетевые службы включены. После установки сервер Forefront TMG может получить доступ к серверам разрешения имен во всех сетях, а также к службам синхронизации времени во внутренней сети.

Если сетевые службы доступны в другой сети, необходимо изменить источники применимых групп настройки (DHCP, DNS или NTP) для их применения к определенной сети. Например, если DHCP-сервер расположен не во внутренней сети, а в демилитаризованной зоне, следует изменить источник для группы настройки DHCP (на вкладке Откуда), чтобы он применялся для демилитаризованной зоны.

Системную политику можно изменить таким образом, чтобы разрешить доступ только к определенным компьютерам во внутренней сети. Либо можно добавить дополнительные сети, если службы выполняются в других местах.

Выполните изменение указанных ниже групп настройки в зависимости от требуемой сетевой службы.

  • DHCP

  • DNS

  • NTP

Службы DHCP

Если DHCP-сервер находится не во внутренней сети, необходимо изменить правило системной политики таким образом, чтобы оно применялось к сети, в которой находится DHCP-сервер.

Службы проверки подлинности

К числу основных возможностей сервера Forefront TMG относится возможность применять политику межсетевого экрана для определенных пользователей. Для проверки подлинности пользователей серверу Forefront TMG необходимо установить связь с серверами проверки подлинности.

Выполните изменение указанных ниже групп настройки в зависимости от требуемой службы проверки подлинности.

  • Active Directory

  • RADIUS

  • RSA SecurID

  • Загрузка списка отзыва сертификатов

Включение трафика DCOM

Когда включены правила консоли управления (MMC), разрешена передача трафика удаленного вызова процедур (RPC) в локальной сети. Однако передача трафика DCOM блокируется по умолчанию. Чтобы разрешить трафик DCOM, отключите правило системной политики «Разрешить удаленное управление из выбранных компьютеров с помощью консоли управления MMC». Затем создайте правило, разрешающее трафик RPC. После этого в окне свойств правила настройте протокол RPC и снимите флажок Требовать строгого соответствия RPC.

Службы проверки подлинности Windows и RADIUS

По умолчанию сервер Forefront TMG может взаимодействовать с серверами AD DS (для проверки подлинности Windows) и с серверами RADIUS, расположенными во внутренней сети. Если проверка подлинности Windows или RADIUS не нужна, отключите соответствующие группы настройки системной политики.

Примечание.
  • При отключении группы настройки системной политики Active Directory также будет отключен доступ ко всем протоколам LDAP. Если требуется использовать протоколы LDAP, следует создать правило доступа, разрешающее использовать эти протоколы.

  • Если требуется выполнить только проверку подлинности Windows, следует настроить системную политику, отключив использование всех остальных механизмов проверки подлинности.

Службы проверки подлинности RSA SecurID

По умолчанию взаимодействие с серверами проверки подлинности RSA SecurID отключено. Если политика межсетевого экрана требует использования проверки подлинности RSA SecurID, включите соответствующую группу настройки.

Службы проверки подлинности списков отзыва сертификатов

Списки отзыва сертификатов нельзя загружать по умолчанию, поскольку группа настройки загрузки списка отзыва сертификатов по умолчанию отключена. Чтобы включить загрузку списков отзыва сертификатов, убедитесь, что включена группа настройки загрузки списков отзыва сертификатов. Затем примените эту группу настройки к объектам сети, где находятся списки отзыва сертификатов.

Будет разрешен весь трафик HTTP, проходящий от межсетевого экрана Forefront TMG до объектов сети, входящих в список на вкладке Куда.

Удаленное управление

Обычно управление сервером Forefront TMG осуществляется с удаленного компьютера. Внимательно подходите к отбору удаленных компьютеров, которым разрешено управлять и наблюдать за сервером Forefront TMG.

Выполните изменения этих групп настройки в зависимости от способа реализации удаленного управления.

  • Консоль управления (MMC)

  • Сервер терминалов

  • Веб-управление

  • ICMP (Ping)

Правила системной политики, разрешающие удаленное управление Forefront TMG включены по умолчанию. Управление Forefront TMG возможно с помощью оснастки удаленной консоли управления (MMC) или служб терминалов.

По умолчанию эти правила применяются к встроенному набору компьютеров «Компьютеры удаленного управления». При установке сервера Forefront TMG создается пустой набор компьютеров. Добавьте в этот пустой набор компьютеров все компьютеры, которые будут удаленно управлять сервером Forefront TMG. До этого удаленное управление будет невозможно с любого компьютера.

Примечание.
Ограничьте возможность выполнения удаленного управления с определенных компьютеров, настроив применение правил системной политики только к конкретным IP-адресам.
Удаленное наблюдение и ведение удаленного журнала

Удаленное ведение журналов, удаленный мониторинг производительности и удаленный мониторинг Microsoft Operations Manager отключены по умолчанию. По умолчанию отключены следующие группы настройки.

  • Ведение удаленного журнала (NetBIOS)

  • Ведение удаленного журнала (SQL)

  • Удаленное наблюдение за производительностью

  • Microsoft Operations Manager

Службы диагностики

По умолчанию правила системной политики, разрешающие доступ к службам диагностики, включены со следующими правами.

  • ICMP — Эта служба, разрешенная во всех сетях, используется для определения подключений к другим компьютерам.

  • Сетевая поддержка Windows — Разрешение связи NetBIOS со всеми компьютерами внутренней сети (по умолчанию).

  • Отчеты об ошибках (Microsoft) — Разрешение HTTP-доступа к набору URL-адресов веб-узлов отчетов об ошибках (Microsoft) для создания отчетов с информацией об ошибках. По умолчанию в этот набор URL-адресов входят адреса определенных веб-узлов Майкрософт.

  • Средства проверки HTTP-подключений — Разрешение сетевому экрану Forefront TMG использовать протоколы HTTP и HTTPS для проверки работоспособности определенного компьютера.

SMTP

Группа настройки SMTP включена по умолчанию, что позволяет устанавливать SMTP-подключение сервера Forefront TMG к компьютерам внутренней сети. Например, это необходимо, когда требуется отправлять оповещения в виде сообщений электронной почты.

Важно.
Группу настройки SMTP рекомендуется включать только при отправке данных об оповещениях в сообщении электронной почты.

Запланированные задания загрузки

По умолчанию запланированные задания загрузки отключены. Продолжительность отключения группы настройки запланированных заданий загрузки соответствует продолжительности отключения этой функции.

При создании задания загрузки содержимого появится запрос на включение этого правила системной политики. Сервер Forefront TMG сможет получать доступ к веб-узлам, указанным в задании загрузки содержимого.

Доступ к веб-узлам Майкрософт

Заданная по умолчанию системная политика разрешает доступ HTTP и HTTPS к веб-узлу Microsoft.com. из сети локального узла (то есть межсетевого экрана Forefront TMG). Доступ к веб-сайту Microsoft.com требуется по нескольким причинам, таким как загрузка обновлений антивирусных программ и обновлений сигнатур системы проверки сети, предоставление отчетов об ошибках или получение доступа к документации по продукту на веб-сайте Forefront TMG.

По умолчанию группа настройки «Разрешенные веб-узлы» включена, чтобы разрешить серверу Forefront TMG доступ к содержимому на указанных веб-узлах, входящих в набор доменных имен узлов, разрешенных системной политикой.

По умолчанию в этот набор URL-адресов включены различные веб-узлы Майкрософт. Чтобы добавить дополнительные веб-узлы, к которым будет разрешен доступ Forefront TMG, можно изменить набор доменных имен.

Доступ HTTP и HTTPS будет разрешен только к указанным веб-узлам.

См. также