Использование мастера Security Configuration Wizard в Microsoft Forefront Threat Management Gateway 2010

В Windows Server 2008 и 2008R2 включен ценный инструмент под заглавием Security Configuration Wizard (SCW). Этот инструмент можно использовать для упрощения задачки подготовки операционной системы к установке брандмауэра Forefront Threat Management Gateway (TMG) 2010. SCW делает политику для опции служб, политик проверки и неких характеристик реестра на основании установленных ролей и функций. В этой статье я продемонстрирую вам, как использовать SCW для опции и установки политики безопасности в системе брандмауэра TMG, также как развернуть эту политику при помощи групповой политики Active Directory.

Роли Forefront TMG, подходящие для SCW

По дефлоту в SCW не включена поддержка роли TMG 2010 и роли TMG Enterprise Management Server (EMS). Чтоб получить поддержку этих ролей, загрузите и установите TMGRolesForSCW.exe, включенный в состав TMG 2010 Tools and Software Development Kit (SDK), который доступен тут.

Установка ролей TMG для SCW

Чтоб установить роли TMG для SCW, запустите TMGRolesForSCW.exe.

Внедрение мастера Security Configuration Wizard в Microsoft Forefront Threat Management Gateway 2010

Набросок 1

Примите условия лицензионного соглашения.

Внедрение мастера Security Configuration Wizard в Microsoft Forefront Threat Management Gateway 2010

Набросок 2

Изберите место для сохранения файлов.

Внедрение мастера Security Configuration Wizard в Microsoft Forefront Threat Management Gateway 2010

Набросок 3

Изберите Finish для окончания установки Forefront TMG Roles for SCW.

Внедрение мастера Security Configuration Wizard в Microsoft Forefront Threat Management Gateway 2010

Набросок 4

По окончании установки необходимо зарегистрировать эти новые роли в SCW. Для регистрации ролей перейдите в папку, которую вы ранее избрали для сохранения файлов, и скопируйте один из последующих файлов в %systemroot%securitymsscwkbs:

Для TMG под Windows Server 2008 SP2 скопируйте scw_tmg_w2k8_sp2.xml
Для TMG под Windows Server 2008 R2 скопируйте scw_tmg_w2k8r2_sp0.xml
Для TMG EMS под Windows Server 2008 SP2 скопируйте scw_tmgems_w2k8_sp2.xml
Для TMG EMS под Windows Server 2008 R2 скопируйте scw_tmgems_w2k8r2_sp0.xml

Внедрение мастера Security Configuration Wizard в Microsoft Forefront Threat Management Gateway 2010

Набросок 5

Откройте командную строчку завышенного уровня и перейдите к папке %systemroot%securitymsscwkbs, после этого наберите одну из последующих команд:

Для TMG под Windows Server 2008 SP2: scwcmd register /kbname:TMG /kbfile:scw_tmg_w2k8_sp2.xml
Для TMG EMS под Windows Server 2008 SP2: scwcmd register /kbname:TMG /kbfile:scw_tmgems_w2k8_sp2.xml
Для TMG под Windows Server 2008 R2: scwcmd register /kbname:TMG /kbfile:scw_tmg_w2k8r2_sp0.xml
Для TMG EMS под Windows Server 2008 R2: scwcmd register /kbname:TMG /kbfile:scw_tmgems_w2k8r2_sp0.xml

Внедрение мастера Security Configuration Wizard в Microsoft Forefront Threat Management Gateway 2010
Прирастить

Набросок 6

Создание политики безопасности при помощи SCW

Откройте SCW, выбрав Start/Administrative Tools и щелкнув на иконку Security Configuration Wizard.

Внедрение мастера Security Configuration Wizard в Microsoft Forefront Threat Management Gateway 2010
Прирастить

Набросок 7

Изберите необходимое действие. Для наших целей тут мы выберем вариант Create a new security policy(Сделать новейшую политику безопасности). После сотворения политики мы сможем редактировать, использовать либо откатывать политику в случае необходимости.

Внедрение мастера Security Configuration Wizard в Microsoft Forefront Threat Management Gateway 2010
Прирастить

Набросок 8

SCW может употребляться на локальной либо на удаленной машине. Мы желаем настроить политику для локальной машины, для которой имя хоста уже заполнено.

Внедрение мастера Security Configuration Wizard в Microsoft Forefront Threat Management Gateway 2010
Прирастить

Набросок 9

SCW начнет обрабатывать базу данных Security Configuration Database.

Внедрение мастера Security Configuration Wizard в Microsoft Forefront Threat Management Gateway 2010
Прирастить

Набросок 10

По окончании щелкните View Configuration Database(Просмотр базы данных конфигурации), чтоб убедиться, что серверная роль Forefront Threat Management Gateway внесена в базу данных.

Внедрение мастера Security Configuration Wizard в Microsoft Forefront Threat Management Gateway 2010
Прирастить

Набросок 11

Замечание: Вы сможете получить последующее предупреждение системы безопасности Windows(см. ниже). Щелкните Yes, чтоб просмотреть базу данных.

Внедрение мастера Security Configuration Wizard в Microsoft Forefront Threat Management Gateway 2010

Набросок 12

Щелкните на стрелку, чтоб развернуть Server Roles и удостоверьтесь, что Microsoft Forefront Threat Management Gateway (TMG) возникает в перечне. По окончании закройте окно, чтоб возвратиться к SCW.

Внедрение мастера Security Configuration Wizard в Microsoft Forefront Threat Management Gateway 2010

Набросок 13

Роли, функции, функции и службы

Сейчас SCW начнет настройку служб на основании ролей.

Внедрение мастера Security Configuration Wizard в Microsoft Forefront Threat Management Gateway 2010
Прирастить

Набросок 14

SCW настроит политику безопасности на основании ролей и функций, установленных в системе. Некие установленные роли выбираются по дефлоту. Щелкните на стрелку рядом с хоть какой ролью для получения дополнительной инфы об этой роли. Подтвердите все избранные роли, а потом изберите роль Microsoft Forefront Threat Management Gateway (TMG). Если ваш брандмауэр TMG также предоставляет службы VPN, непременно изберите роль Remote access/VPN server.

Внедрение мастера Security Configuration Wizard в Microsoft Forefront Threat Management Gateway 2010
Прирастить

Набросок 15

Некие установленные функции выбираются по дефлоту. Проверьте все, что выбрано, и занесите конфигурации по мере надобности. К примеру, вы сможете избрать отключение Microsoft Networking Client либо включение WINS client зависимо от ваших определенных требований в области безопасности.

Внедрение мастера Security Configuration Wizard в Microsoft Forefront Threat Management Gateway 2010
Прирастить

Набросок 16

Некие установленные функции выбираются по дефлоту. Снова же, просмотрите все, что выбрано, и занесите конфигурации по мере надобности. Просмотрите перечень пристально, потому что в настройках по дефлоту включены редко применяемые функции (к примеру, служба Microsoft Fibre Channel Platform Registration Service). Направьте внимание: если вы желаете подключаться к вашему брандмауэру TMG при помощи Remote Desktop Services (RDP), непременно включите роль Remote Desktop (по дефлоту она не выбрана).

Внедрение мастера Security Configuration Wizard в Microsoft Forefront Threat Management Gateway 2010
Прирастить

Набросок 17

Просмотрите перечень дополнительных служб и занесите в него конфигурации по мере надобности. Отмеченные в этом перечне службы будут включены, все другие службы будут отключены.

Внедрение мастера Security Configuration Wizard в Microsoft Forefront Threat Management Gateway 2010
Прирастить

Набросок 18

Укажите, как SCW будет относиться ко всем неопределенным службам, запущенным на избранной системе и не включенным в базу данных конфигурации безопасности. Изберите опцию, которая идеальнее всего подходит вашим потребностям. Будьте внимательны: выбор функции, отключающей службы, может привести к непредсказуемым последствиям.

Внедрение мастера Security Configuration Wizard в Microsoft Forefront Threat Management Gateway 2010
Прирастить

Набросок 19

Просмотрите перечень конфигураций, сделанных со службами в системе. Если вы избрали вариант с отключением неуказанных служб, непременно пристально изучите этот перечень. Повышенное внимание уделите всем службам, которые будут отключены, и режим пуска которых автоматический. Этот перечень можно отсортировать по режиму пуска (Current Startup Mode), щелкнув на заголовок колонки.

Внедрение мастера Security Configuration Wizard в Microsoft Forefront Threat Management Gateway 2010
Прирастить

Набросок 20

Сетевая безопасность

Сейчас SCW примется за сетевую безопасность.

Внедрение мастера Security Configuration Wizard в Microsoft Forefront Threat Management Gateway 2010
Прирастить

Набросок 21

SCW настроит главные опции реестра, контролирующие протоколы, применяемые для взаимодействия с другими компьютерами. Здесь будьте аккуратны, потому что выбор неправильных опций может привести к непредсказуемым последствиям. Если вы неуверенны в том, какие функции необходимо избрать, сможете смело пропустить этот раздел.

Внедрение мастера Security Configuration Wizard в Microsoft Forefront Threat Management Gateway 2010
Прирастить

Набросок 22

По дефлоту SCW делает догадки о клиентских операционных системах и об использовании системы TMG. Просмотрите эти функции и подтвердите, что они удовлетворяют вашим требованиям.

Внедрение мастера Security Configuration Wizard в Microsoft Forefront Threat Management Gateway 2010
Прирастить

Набросок 23

Изберите способ исходящей аутентификации, удовлетворяющий вашим требованиям.

Внедрение мастера Security Configuration Wizard в Microsoft Forefront Threat Management Gateway 2010
Прирастить

Набросок 24

При использовании доменных аккаунтов (что очень рекомендуется) удостоверьтесь, что на всех других компьютерах, с которыми будет вести взаимодействие система TMG, запущена, как минимум, Windows NT 4.0 SP6A. Если ваши клиенты должны синхронизировать свои системы с системой TMG, вы сможете избрать эту опцию тут. Эта функция отключена по дефлоту, потому что большая часть систем синхронизируют системное время с контроллером домена Active Directory.

Внедрение мастера Security Configuration Wizard в Microsoft Forefront Threat Management Gateway 2010
Прирастить

Набросок 25

Просмотрите вносимые в реестр конфигурации.

Внедрение мастера Security Configuration Wizard в Microsoft Forefront Threat Management Gateway 2010
Прирастить

Набросок 26

Политика аудита

В этом разделе SCW будет настраивать политику аудита. Если у вас уже настроена такая политика, которая удовлетворяет вашим потребностям, сможете тихо пропустить этот раздел.

Внедрение мастера Security Configuration Wizard в Microsoft Forefront Threat Management Gateway 2010
Прирастить

Набросок 27

Изберите вариант аудита, отвечающий вашим требованиям.

Внедрение мастера Security Configuration Wizard в Microsoft Forefront Threat Management Gateway 2010
Прирастить

Набросок 28

Просмотрите вносимые в политику аудита конфигурации. Направьте внимание на то, что функция, включающая шаблон безопасности SCWaudit.inf по дефлоту включена. Этот шаблон безопасности настроит списки System Access Control Lists (SACLS) для упрощения аудита доступа к файловой системе. Будьте аккуратны, т.к. когда шаблон SCWaudit.inf использован, его нельзя удалить при помощи функции rollback в SCW.

Внедрение мастера Security Configuration Wizard в Microsoft Forefront Threat Management Gateway 2010
Прирастить

Набросок 29

Сохранение политики безопасности

Дальше нам необходимо сохранить политику безопасности.

Внедрение мастера Security Configuration Wizard в Microsoft Forefront Threat Management Gateway 2010
Прирастить

Набросок 30

Укажите место для сохранения файла политики и занесите описание (можно этого и не делать, но это не рекомендуется). Вы также сможете просмотреть политику безопасности либо подключить дополнительные шаблоны безопасности.

Внедрение мастера Security Configuration Wizard в Microsoft Forefront Threat Management Gateway 2010
Прирастить

Набросок 31

Если вы настраиваете одну единственную систему, вы сможете избрать опцию, применяющую политику безопасности немедля. Если у вас несколько брандмауэров TMG, лучше будет распространить политику безопасности при помощи Active Directory Group Policy. В последующем разделе показывается, как это сделать.

Внедрение мастера Security Configuration Wizard в Microsoft Forefront Threat Management Gateway 2010
Прирастить

Набросок 32

Готово!

Внедрение мастера Security Configuration Wizard в Microsoft Forefront Threat Management Gateway 2010
Прирастить

Набросок 33

Распространение при помощи групповой политики

Одним из преимуществ установки TMG в качестве контроллера домена является возможность управлять настройкой безопасности при помощи групповой политики. Сам SCW годится для опции политики безопасности лишь на одной машине за один раз (локальной либо удаленной). В SCW при помощи инструмента командной строчки под заглавием scwcmd.exe мы можем перевоплотить эту политику безопасности в объект групповой политики (Group Policy Object – GPO), после этого распространить политику на огромное количество машин при помощи Active Directory Group Policy. Вот синтаксис этой команды:

scwcmd transform /p: PathandPolciyFileName /g: GPODisplayName

PathAndPolicyName – это ранее сделанная политика, а GPODisplayName – это имя объекта Group Policy Object (GPO), видимое в консоли управления групповой политикой (Group Policy Management Console – GPMC).

Продолжая наш пример, откроем командную строчку завышенного уровня и выполним последующую команду:

scwcmd transform /p:tmg_default.xml /g:’TMG Default’

Внедрение мастера Security Configuration Wizard в Microsoft Forefront Threat Management Gateway 2010

Набросок 34

После удачного окончания команды откройте GMPC (Start/Administrative Tools/Group Policy Management) и разверните узел Domains. Разверните домен, членом которого является брандмауэр TMG, и потом разверните Group Policy Objects. Там вы увидите новый объект групповой политики, сделанный при помощи инструмента scwcmd.

Внедрение мастера Security Configuration Wizard в Microsoft Forefront Threat Management Gateway 2010

Набросок 35

Сейчас вы сможете применить этот объект к организационной единице, включающей ваши брандмауэры TMG. В эталоне это будет отдельная ОЕ специально для ваших систем TMG для минимизации возможных конфликтов, которые могут появиться при использовании других GPO. Чтоб применить GPO, просто переместите GPO на подходящую ОЕ.

Заключение

Грамотная настройка операционной системы, усиление служб и уменьшение атакуемой поверхности актуально важны для информационной безопасности и работы брандмауэра TMG. Мастер Security Configuration Wizard упрощает и автоматизирует эту задачку, позволяя админу найти политики безопасности и применить их комфортным образом при помощи SCW либо групповой политики.

Аналогичный товар: Комментирование на данный момент запрещено, но Вы можете оставить ссылку на Ваш сайт.

Комментарии закрыты.