|
|
ISA Server 2004 安全强化指南六(图) |
|
| http://www.hbdxs.com 2006-8-18 13:45:49 来源:网络收集 点击 |
|
|
保证部署安全
保证 ISA 服务器安全的第一步是验证 ISA 服务器计算机是否物理上安全,以及您是否采用基本的安全配置建议。
在保证 ISA 服务器计算机安全并在配置服务器策略时应用了安全准则以后,应考虑如何部署网络基础结构。 这部分描述在部署 ISA 服务器保护的网络时需要考虑的安全准则。
身份验证
在配置 Web 请求身份验证时,尽可能使用最强的身份验证方法。 我们强烈建议您对不安全的连接使用以下身份验证方法: ? 基本
摘要式
基于 Outlook? Web Access 窗体的身份验证
SecurID
RADIUS
使用 RADIUS 服务器
远程身份验证拨入用户服务 (RADIUS) 是用于提供身份验证的行业标准协议。 RADIUS 客户端(通常为拨号服务器、VPN 服务器或无线访问点)以 RADIUS 消息的形式将用户凭据和连接参数信息发送至 RADIUS 服务器。 RADIUS 服务器验证 RADIUS 客户端请求并发回 RADIUS 消息响应。
RADIUS 服务器除了验证客户端凭据之外,还对其进行授权,因此如果 ISA 服务器从 RADIUS 服务器收到表明客户端凭据未被批准的响应,实际上可能意味着 RADIUS 服务器未对客户端授权。 即使凭据已验证,根据 RADIUS 服务器验证策略,ISA 服务器也可能拒绝客户端请求。
在执行要求 RADIUS 身份验证的 VPN 或防火墙策略时,请遵循以下准则: ? RADIUS 用户密码隐藏机制可能无法提供足够的安全性。 RADIUS 隐藏机制使用 RADIUS 共享密码、请求验证程序以及用于加密用户密码及其他属性的 MD5 哈希算法,如隧道密码和 MS-CHAP-MPPE 密钥。 RFC2865 注意到评估威胁环境并确定是否应使用额外安全性的潜在需求。
您可以使用 Internet 协议安全 (IPSec) 及封装式安全措施负载 (ESP) 和加密算法(如 Triple DES (3DES))提供整个 RADIUS 消息的数据机密性,从而对隐藏属性提供额外保护。 遵循以下建议准则: ? 使用 IPSec 对 RADIUS 客户端和服务器提供额外安全性。
要求使用用户强密码。
使用身份验证帐户和帐户锁定,防止针对用户密码的词典攻击。
使用具有字母、数字和标点的随机序列的长共享密码。 经常更改密码,保护您的 IAS 服务器。
如果使用基于密码的身份验证,请对您的网络强制使用强密码策略,使词典攻击更困难。
如果使用英语之外的任何其他语言指定用户名,ISA 服务器使用 ISA 服务器计算机上安装的当前代码页来转换用户数据。 只有在客户端也使用相同的代码页时,才能验证该用户。
如果在 RADIUS 验证用户已登录时,您更改 RADIUS 服务器策略,新策略不会应用于当前登录的用户。 这是因为在访问已发布的 Outlook Web Access 服务器的用户使用 RADIUS 身份验证进行验证时,ISA 服务器会缓存登录用户的凭据。
要立即应用 RADIUS 服务器策略,您可以断开会话。
检验与身份验证服务器的连接性
如果您使用 RADIUS 服务器进行身份验证,请创建用于监视服务器状态的连接性验证程序。 配置警报,以便在 RADIUS 服务器不能正常运行时采取适当的措施。
要检验连接性,请执行以下步骤。
1. 单击“开始”,指向“所有程序”,指向 Microsoft ISA Server,然后单击“ISA 服务器管理”。
2. 在“ISA 服务器管理”的控制台树中,单击 Microsoft ISA Server2004,单击 server_name,然后单击“监视”。
3. 在详细信息窗格中,单击“连接性”选项卡。
4. 在“任务”选项卡上,单击“创建新连接性验证程序”。
5. 在向导的“欢迎”页上,键入连接性验证程序的名称,然后单击“下一步”。
6. 在“连接性验证细节”页上,执行以下操作:
1. 在“监视到此服务器或 URL 的连接”中,键入要监视的服务器的名称。
2. 在“验证方法”中,选择一个验证方法。 单击“下一步”,然后单击“完成”。
7. 如果未启用允许 HTTP 连接验证的系统策略规则,并且您选择了“发送一个 HTTP“Get”请求”,系统将会提示您启用系统策略规则。 单击“是”。
有关 HTTP 连接验证系统策略规则的详细信息,请参阅“连接性验证程序”部分。
8. 在详细信息窗格中,选择您刚才创建的规则。
9. 在“任务”选项卡上,单击“编辑所选验证程序”。
10. 在“属性”选项卡上,验证选中“如果服务器在指定时间没有响应,则触发一个警报”。
部署身份验证服务器
出于安全原因,我们建议您将身份验证服务器置于高度安全的网络中。 如果可能,请考虑将身份验证服务器置于一个单独的网络(与内部网络和外围网络分开)。 这样,您就可以有效地阻止内部网络或外围网络上的任何主机直接访问身份验证服务器。
在此情况下,您应修改适用的系统策略规则,以便它可以应用于身份验证服务器所在的网络。
要部署身份验证服务器,请执行以下步骤。
1. 单击“开始”,指向“所有程序”,指向 Microsoft ISA Server,然后单击“ISA 服务器管理”。
2. 在“ISA 服务器管理”的控制台树中,单击 Microsoft ISA Server2004,单击 server_name,然后单击“防火墙策略”。
3. 在“任务”选项卡上,单击“编辑系统策略”。
4. 在系统策略编辑器的“配置组”树中,单击“身份验证服务”下面的适用身份验证方法。
5. 在“到”选项卡上,单击“添加”。
6. 在“添加网络实体”中,选择身份验证服务器所在的网络。
DNS 服务器
域名系统 (DNS) 是 IP 网络的名称解析协议,如 Internet。 DNS 服务器具有客户端计算机将可存储的字母数字 DNS 名称解析为该计算机用来互相通讯的 IP 地址。
ISA 服务器包含名称解析机制,这与 DNS 服务器名称解析机制相似。 这样,当客户端向另一个网络上的主机发出请求时,ISA 服务器可以解析主机名称。 ISA 服务器向您配置用于名称解析的 DNS 服务器发出名称解析请求。
为了防止 DNS 缓存受到危害,我们强烈建议您配置 ISA 服务器以使用受信任的 DNS 服务器(例如,Windows DNS 服务器),并启用防止缓存受到危害的选项。 此 DNS 服务器应位于内部网络上。
如果您在一个不受信任的网络(例如,外部网络)上部署 DNS 服务器,我们强烈建议您同时在一个受信任的网络(例如,外围网络)上安装一个 DNS 服务器。 然后,配置受信任的网络上的 DNS 服务器将请求转给不受信任的网络上的 DNS 服务器。
要配置 DNS,请在 ISA 服务器计算机上执行以下步骤。
1. 单击“开始”,单击“控制面版”,然后双击“网络连接”。
2. 用鼠标右键单击要配置的连接,然后单击“属性”。
3. 在“常规”选项卡上,单击“此连接使用下列项目”下面的“Internet 协议 (TCP/IP)”,然后单击“属性”。
4. 选择“使用下面的 DNS 服务器地址”。
5. 在“首选 DNS 服务器”和“备用 DNS 服务器”中,键入内部网络上受信任的 DNS 服务器的 IP 地址。
监视和故障排除
您要执行的一项重要日常任务是监视允许通过 ISA 服务器的网络通讯。 监视功能的中心任务是仔细分析日志和审核信息。
以下各部分介绍有助于确保日志信息完整性的技巧和提示。
日志记录
日志记录使您可以审查网络活动,检查访问您的网络上的资源的人员。 定期仔细审查日志,检查可疑的访问及网络资源使用。 遵循以下准则以最佳利用 ISA 服务器日志记录: ? 配置警报以向管理员发送通知。 执行快速响应过程。
将日志保存到独立的 NTFS 磁盘分区以保证最大的安全性。 只有 ISA 服务器计算机的管理员可以访问日志。
如果您将日志信息保存至 SQL 数据库,请使用 Windows 身份验证(而不是 SQL 身份验证)。
如果您将日志保存至远程数据库,请配置加密和数据签名,以便将日志信息复制到远程数据库。
为保证最大的安全性,请为 ISA 服务器计算机与 SQL 服务器之间的通讯配置 IPSec。
如果由于任何原因而无法保存日志信息,请锁定 ISA 服务器计算机。 为此,请为停止防火墙服务的日志失败事件配置警报定义。
日志存储限制
使用日志维护功能,此乃明智之举,可以确保存储日志信息的磁盘空间不会占满。
配置日志存储限制警报定义以停止 ISA 服务器服务。 这样,您就可以仅允许经过相应审查的访问。
要配置日志存储限制,请执行以下步骤。
1. 单击“开始”,指向“所有程序”,指向 Microsoft ISA Server,然后单击“ISA 服务器管理”。
2. 在“ISA 服务器管理”的控制台树中,单击 Microsoft ISA Server2004,单击 server_name,然后单击“监视”。
3. 在详细信息窗格中,单击“警报”选项卡。
4. 在“任务”选项卡上
|
|
|
|
|
|
