В Forefront TMG представлены роли администрирования и аудита Forefront TMG для отдельного сервера Forefront TMG, массива серверов Forefront TMG или нескольких серверов Forefront TMG. Роль определяет набор прав, которые разрешают пользователям и группам выполнять определенные действия. Роли реализуются с помощью списков управления доступом на уровне пользователей Windows (DACL). Дополнительные сведения о списках управления доступом на уровне пользователей см. на странице Списки управления доступом (страница может быть на английском языке) (http://go.microsoft.com/fwlink/?LinkId=150480).

Административные роли Forefront TMG можно назначать любым пользователям и группам Windows. Наличие каких-либо специальных прав или разрешений Windows не требуется. Применяются следующие исключения:

В этом разделе представлены следующие сведения:

Дополнительные сведения о настройке ролей см. в разделе Настройка ролей и разрешений.

Административные роли и разрешения

В Forefront TMG поддерживается назначение административных ролей двух уровней:

  • Роли уровня массива — администрирование отдельного сервера Forefront TMG или отдельного массива Forefront TMG.

  • Роли уровня предприятия — администрирование предприятия, в том числе всех массивов Forefront TMG, с помощью сервера Enterprise Management Server (EMS). Этот параметр доступен только для пользователей Forefront TMG Enterprise.

С каждой ролью связаны следующие разрешения:

Административные роли уровня массива

В следующей таблице перечислены административные роли Forefront TMG уровня массива, а также разрешения, предоставляемые пользователям, которым назначаются соответствующие роли.

Примечание.
Пользователям, входящим в группу локальных администраторов на компьютере, на котором выполняются службы Forefront TMG, не требуется назначать какую-либо роль, поскольку они обладают полными правами на администрирование и аудит Forefront TMG.

Роль Разрешения

Аудитор наблюдения за массивом Forefront TMG

Может отслеживать основные операции сервера и сети в массиве Forefront TMG. Не может просматривать конфигурацию Forefront TMG.

Аудитор массива Forefront TMG

Может выполнять все задачи наблюдения в массиве Forefront TMG, в том числе за конфигурациями журнала и определений оповещений, за исключением:

  • настройки другой учетной записи пользователя при публикации отчета;

  • настройки содержимого отчета.

Кроме того, аудиторы массива Forefront TMG могут просматривать конфигурацию Forefront TMG.

Администратор массива Forefront TMG

Может выполнять любые задачи администрирования в массиве Forefront TMG, в том числе настройку правил, применение сетевых шаблонов, наблюдение, а также запуск процессов с высоким уровнем приоритета на сервере Forefront TMG.

Административные роли уровня предприятия

В следующей таблице перечислены административные роли Forefront TMG уровня предприятия, а также разрешения, предоставляемые пользователям, которым назначаются соответствующие роли.

Роль Разрешения

Аудитор предприятия Forefront TMG

Может выполнять все задачи наблюдения в массивах предприятия Forefront TMG, в том числе за конфигурациями журнала и определений оповещений, за исключением:

  • настройки другой учетной записи пользователя при публикации отчета;

  • настройки содержимого отчета.

Кроме того, аудиторы предприятия Forefront TMG могут просматривать конфигурацию Forefront TMG.

Администратор предприятия Forefront TMG

Может выполнять любые задачи администрирования в массивах предприятия Forefront TMG, в том числе настройку политик предприятия, правил, применение сетевых шаблонов, наблюдение, а также запуск процессов с высоким уровнем приоритета на сервере Forefront TMG.

Роли и действия

Каждая роль Forefront TMG определяет список прав пользователей на выполнение конкретных действий в Forefront TMG. К таким действиям обычно относятся задачи администрирования Forefront TMG. Администраторы массива могут выполнять эти действия в отдельном массиве Forefront TMG. Администраторы предприятия могут выполнять такие действия в массиве предприятия.

В следующей таблице перечислены некоторые действия и роли уровня массива, в которых их разрешено выполнять.

действие Аудитор наблюдения Аудитор Администратор

Просмотр панели мониторинга, оповещений, подключений, сеансов и служб

Разрешено

Разрешено

Разрешено

Подтверждение и сброс оповещений

Разрешено

Разрешено

Разрешено

Просмотр данных журнала

Не разрешено

Разрешено

Разрешено

Создание определений оповещений

Не разрешено

Не разрешено

Разрешено

Создание отчетов

Не разрешено

Разрешено

Разрешено

Остановка и запуск сеансов и служб

Не разрешено

Разрешено

Разрешено

Просмотр политики межсетевого экрана

Не разрешено

Разрешено

Разрешено

Настройка политики межсетевого экрана

Не разрешено

Не разрешено

Разрешено

Настройка кэширования

Не разрешено

Не разрешено

Разрешено

Настройка виртуальной частной сети

Не разрешено

Не разрешено

Разрешено

Постепенное завершение обслуживания и остановка межсетевого экрана или веб-прокси с балансировкой сетевой нагрузки

Не разрешено

Разрешено

Разрешено

Просмотр локальной конфигурации (в экземпляре ADAM на члене массива)

Не разрешено

Разрешено

Разрешено

Изменение локальной конфигурации (в экземпляре ADAM на члене массива)

Не разрешено

Не разрешено

Разрешено

Рекомендации по назначению ролей

В следующей таблице приведены рекомендации по назначению ролей Forefront TMG.

Тема Рекомендации

Учетные данные

При вводе учетных данных в Forefront TMG следует использовать надежные пароли.

Пароль считается надежным, если он обеспечивает эффективную защиту от несанкционированного доступа. Надежный пароль не должен содержать имя учетной записи или какую-либо его часть и должен включать символы по крайней мере трех категорий: строчные буквы, прописные буквы, цифры и специальные символы (например, !, @ или #).

Разрешения

Внимательно подходите к отбору пользователей, которым разрешено подключаться к серверу Forefront TMG. Не предоставляйте доступ пользователям, которые не играют важной роли в управлении сервером.

Принцип минимальных привилегий

Применяйте принцип минимальных привилегий, в соответствии с которым пользователю предоставляется минимальный набор привилегий, необходимых для выполнения определенной задачи. В случае несанкционированного использования учетной записи пользователя негативные последствия можно свести к минимуму за счет ограничения полномочий такого пользователя. Включайте в группу локальных администраторов минимально необходимое число пользователей, поскольку членам группы администраторов на сервере Forefront TMG автоматически назначается роль администратора массива Forefront TMG.

Вход и настройка

При входе на сервер Forefront TMG следует использовать учетную запись, имеющую минимальные привилегии, необходимые для выполнения ожидаемых административных задач. Например, для настройки правила следует входить в систему в качестве администратора Forefront TMG. Однако, если требуется только просмотреть отчет, следует использовать учетную запись с меньшим уровнем привилегий.

В общем случае для выполнения повседневных задач, не связанных с администрированием, используйте учетную запись с ограниченными привилегиями, а для выполнения определенных административных задач – учетную запись с более широкими привилегиями.

Учетные записи гостя

Не рекомендуется включать учетную запись гостя на сервере Forefront TMG.

При входе пользователя на сервер Forefront TMG операционная система проверяет, соответствуют ли учетные данные известному пользователю. Если нет, пользователь входит в качестве гостя и имеет полномочия, предоставленные учетной записи гостя.

По умолчанию сервер Forefront TMG помещает учетную запись гостя в набор учетных записей "Все прошедшие проверку пользователи".

Списки управления доступом на уровне пользователей

В новой установке списки управления доступом на уровне пользователей (DACL) в дескрипторах безопасности объектов Forefront TMG настроены надлежащим образом. Кроме того, сервер Forefront TMG перенастраивает списки DACL в случае изменения административных ролей и перезапуска службы управления Microsoft Forefront TMG (isactrl).

Внимание!
Поскольку Forefront TMG периодически перенастраивает списки DACL, не следует использовать средство анализа и настройки безопасности для настройки списков DACL на основе файлов для объектов Forefront TMG. В противном случае возможен конфликт между установленными в групповой политике и настраиваемыми сервером Forefront TMG списками DACL.

Не изменяйте списки DACL, настроенные сервером Forefront TMG. Обратите внимание на то, что сервер Forefront TMG не определяет списки DACL для объектов, указанных в следующем списке. Следует проявлять осторожность при задании списков DACL для следующих объектов, предоставляя разрешения только доверенным пользователям и группам:

  • папки отчетов (если выбрана публикация отчетов);

  • файлы конфигурации, созданные при экспорте или резервном копировании конфигурации;

  • архивы файлов журналов, которые хранятся в другом месте.

Будьте внимательны при настройке списков DACL и предоставляйте разрешения только доверенным пользователям и группам. Кроме того, создавайте строгие списки DACL для объектов, которые косвенно используются сервером Forefront TMG. Например, при создании подключения ODBC, которое будет использоваться сервером Forefront TMG, следует обеспечить безопасность имени источника данных (DSN).

Строгие списки DACL следует настроить для всех приложений, выполняемых на сервере Forefront TMG. Настройте строгие списки DACL для соответствующих данных в файловой системе и ADAM.

В случае настройки шаблонов SecurID HTML или сообщений об ошибках следует настроить соответствующие списки DACL. Рекомендуется наследовать уровень разрешений от родительского объекта в списках DACL.

Не рекомендуется сохранять важные данные (например, исполняемые модули и файлы журналов) в разделах FAT32, поскольку настроить списки DACL для разделов FAT32 нельзя.

Отзыв разрешений пользователей

При отзыве административных разрешений у администратора Forefront TMG рекомендуется удалить учетную запись этого пользователя из доменных служб Active Directory (AD DS), чтобы исключить для него возможность доступа.

Удаление разрешений администраторов

Чтобы удалить разрешения администратора, следует удалить этого пользователя из соответствующей группы администраторов.

Чтобы удалить выполнивших вход в систему администраторов Forefront TMG из группы безопасности и добавить их в новую группу, выполните следующие действия:

  1. Добавьте учетную запись администратора в новую группу.

  2. Выйдите из системы, а затем войдите в систему, используя эту учетную запись администратора, чтобы изменения вступили в силу.

  3. Удалите учетную запись администратора из исходной группы.

См. также