Руководство по обеспечению безопасности ISA Server 2006

Хотя многие спецы по ИТ полагаются на ISA Server 2006 для защиты собственных технологических активов, немногие спецы также защищают и сам ISA Server. Если вы не так давно установили ISA Server 2006, то сможете держать в голове напоминание о незамедлительном выполнении после окончания установки. К огорчению, многие спецы по ИТ нечасто уделяют (либо имеют) время на выполнение этого принципиального шага, и потому он оказывается в перечне дел, которые не производятся никогда.

В нынешних повсевременно меняющихся критериях безопасности такое отсутствие защиты ISA Server более неприемлемо. К счастью, средства для обеспечения защиты ISA Server существенно стали лучше. Больше вам не придется биться с обилием проблем в мастерах увеличения безопасности, входивших в состав ISA Server до выпуска ISA Server 2004. Заместо этого можно полагаться на строго определенные этапы и средства, такие как мастер опции безопасности (SCW), входящий в состав Windows Server® 2003.

В данной статье представлен лаконичный обзор общих советов по обеспечению защиты серверов. Потом будут тщательно рассмотрены стратегии увеличения безопасности самого сервера ISA Server, использующие мастер опции безопасности с целью уменьшить число способностей для атаки сервера ISA Server и административные роли для ограничения доступа к ISA Server.

Обеспечение защиты серверов

Существует огромное количество частей и практических советов, относящихся к обеспечению защиты серверов, находящихся в центре обработки данных либо в серверном помещении рядом с вашим кабинетом. Вы как админ несете ответственность за познание этих советов и выполнение всего вероятного для соблюдения этих требований более удобным для организации методом. С увеличением внимания к безопасности в последние годы многие из нас достаточно отлично ознакомились с задачками, образующими базу эти требований, потому я не буду обрисовывать явное, а только приведу лаконичный обзор.

1-ое, что нужно сделать для защиты вашей среды, – это обеспечить физическую защиту серверов. На практике это значит необходимость ограничения физического доступа к серверам. В маленьких средах это значит запирание двери серверной комнаты и определение ограниченного числа лиц, имеющих к ней доступ. В более больших средах эти главные требования фактически не меняются, но метод их выполнения более сложен. К примеру, огромное количество организаций употребляют электрическое наблюдение. Это позволяет держать под контролем вход в помещение с серверами и даже ограничивать доступ к отдельным стойкам и отсекам зависимо от должностных обязательств.

При предотвращении способности кражи либо физической компрометации сервера ISA Server либо сервера хранилища опций ISA нужно учесть ряд уникальных причин. Нрав данных, которые могут быть получены с украденного сервера, потенциально подвергает риску все серверы ISA Server и трафик (включая зашифрованный) в вашей среде.

При появлении подозрений на компрометацию сервера, его кражу и другие схожих опасности нужно немедля убрать сервер (если он еще находится в месте эксплуатации) и выполнить стандартные процедуры фиксации улик. После выполнения этих нужных действий следует приступить к изменению всей секретной инфы — все установленные на сервере сертификаты должны быть отозваны, а все подготовительные ключи и общие секреты должны быть изменены. Не считая того, при наличии высказывания сервера хранилища опций все данные, относящиеся к скомпрометированному серверу, должны быть удалены.

Последующим действием после обеспечения физической защиты серверов является внедрение структурированной методики установки исправлений для всего программного обеспечения, включая уровень виртуализации, операционную систему и приложения. Следует часто инспектировать и устанавливать доступные исправления и обновления. Но до установки в рабочих системах эти обновления должны проходить тестирование. Установка исправления не приведет ни к чему отличному, если оно станет предпосылкой трудности, компрометирующей приложение либо целостность данных.

При компрометации целостности данных следует полагаться на запасные копии. Это приводит к другому главному элементу защиты инфраструктуры. Если нереально стремительно и стопроцентно вернуть данных в случае появления таковой необходимости, обычный может оказать существенное воздействие на эксплуатацию, что в итоге приведет к повышению издержек, связанных со вторжением.

Два других элемента, которые нужно принять во внимание, – это аудит и наблюдение. Наблюдение за приложениями и системами – только принципиальные части хоть какого удачного плана безопасности. Если не уделять время исследованию журналов, а именно, журналов, относящихся к безопасности, навряд ли можно вообщем найти пробы вторжения до фактического нанесения вреда.

Более принципиальным является аудит. Во многих организациях, в особенности в огромных, он нередко формализован и даже может требоваться по закону. В любом случае, чтоб ваши деяния были действенными, нужно часто инспектировать механизмы и методики, применяемые для защиты активов организации, независимо от ее размера.

В конце концов, так как ISA Server 2006 работает под управлением Windows Server® 2003, принципиально изучить управление по безопасности Windows Server 2003 и выполнить нужные советы. Управление по безопасности Windows Server 2003 доступно на веб-узле microsoft.com/technet/security/prodtech/windowsserver2003/w2003hg/sgch00.mspx.

На этот момент компания Майкрософт советует применение шаблона Baseline Security Policy, но не следует реализовывать какие-либо фильтры IPsec.

Установка мастера опции безопасности

Потому что же сделать сервер ISA Server более неопасным? Основное средство обеспечения защиты ISA – мастер опции безопасности (SCW). Это средство уменьшения способностей для атаки. Мастер делает политики безопасности для служб, сетевой безопасности, реестра и политики аудита сервера, настраивая систему только для нужных служб и функций. Нужно увидеть, что следует настраивать только те службы ISA Server, которые вы собираетесь использовать. К примеру, служба веб-прокси включена по дефлоту, но если ее внедрение не планируется, ее следует отключить. Таким макаром, нужно уделять повышенное внимание легкодоступным вариантам опции, представляемым мастером опции безопасности.

Мастер SCW по дефлоту не заходит в состав Windows Server 2003, потому первым действием является его самостоятельная установка при помощи апплета «Добавление и удаление компонент Windows®» панели управления «Установка и удаление программ». (Направьте внимание, что мастер SCW в Windows Server 2008 установлен по дефлоту.) После возникновения окна «Компоненты Windows» установите флаг для мастера опции безопасности.

По окончании установки приложение становится легкодоступным в меню «Администрирование». До начала использования мастера нужно обновить SCW, загрузив обновление для ISA Server 2006 (доступно по адресу go.microsoft.com/fwlink/?LinkId=122532). Это обновление служит для прибавления ролей для ISA Server 2006 Standard Edition, ISA Server 2006 Enterprise Edition и сервера хранилища опций ISA Server.

После загрузки обновления нужно запустить пакет и извлечь из него файлы. После извлечения этих файлов скопируйте два файла XML (isa.xml и isaloc.xml) в папку kbs в SCW — в установке Windows Server по дефлоту это будет папка c:windowssecuritymsscwkbs.

При копировании файлов появится запрос на доказательство перезаписи 2-ух имеющихся файлов с такими же именами. Эти файлы для ISA Server 2004, потому до их перезаписи нужно сделать их запасную копию. Заключительный шаг – копирование файла isascwhlp.dll в папку bin, которая обычно размещена по адресу c:windowssecuritymsscwbin. После окончания прибавления ролей ISA к мастеру SCW вы будете готовы к началу установки.

Обычно, компания Майкрософт советует запускать мастер SCW только после окончания опции ISA Server. При работе с Enterprise Edition это значит настройку всех массивов и всех членов массивов.

Пуск мастера SCW

Первым шагом является пуск мастера SCW из средств администрирования — нужно держать в голове, что для удачного пуска мастера SCW нужны права админа.

На рис. 1 показан 1-ый экран мастера. Если прочесть текст на дисплее, а именно, предупреждение «Этот мастер определяет входящие порты, прослушиваемые этим сервером», можно осознать причину значимости полной опции сервера ISA Server и массивов до начала данного процесса.

Управление по обеспечению безопасности ISA Server 2006

Рис 1. Пуск мастера опции безопасности

Без полной опции вашей среды будет велика возможность необходимости пересмотреть настройку SCW после окончания опции ISA Server. На последующем экране, показанном на рис. 2, запрашивается действие для выполнения. Нужно избрать пункт «Создать новейшую политику безопасности».

Управление по обеспечению безопасности ISA Server 2006

Рис 2. Создание новейшей политики безопасности

После чего появится запрос на выбор сервера, который будет служить базисным для политики. Так как производится создание новейшей политики, по дефлоту выбрано внедрение компьютера, на котором запущен мастер SCW. Но это поведение меняется зависимо от деяния, избранного для выполнения на прошлом экране. В любом случае рекомендуется устанавливать мастер SCW на сервере, который будет употребляться в качестве базисного. Если SCW не установлен на мотивированном сервере, будет отсутствовать информация, применяемая для окончания сотворения политики. Потому, чтоб не усложнять жизнь, установите и запустите мастер SCW с сервера, который будет базисным.

При нажатии кнопки «Далее» мастер SCW начнет процесс анализа ISA Server. Этот анализ включает определение установленных на сервере ролей, ролей, которые, вероятнее всего, установлены на сервере, установленных служб и главных сетевых данных. После окончания процесса можно просмотреть базу данных, выбрав «Просмотр базы данных». В базе данных опции содержится огромное количество данных, в том числе все поддерживаемые роли серверов, функции клиента и порты.

После чего мастер SCW приступит к процессу опции служб на базе ролей. После нажатия кнопки «Далее» появится последующий экран с запросом на выбор ролей сервера, как показано на рис. 3. Начальный выполняемый мастером SCW поиск является надежным, и вы увидите, что верные роли сервера уже определены. Но очень принципиально снова проверить и удалить ненадобные роли. Если сервер делает несколько ролей, удостоверьтесь в том, что выбраны все надлежащие роли.

Управление по обеспечению безопасности ISA Server 2006

Рис. 3 Указание ролей сервера

При использовании ISA Server 2006 Enterprise Edition принципиально держать в голове, что нужно учесть сервер хранилища опций. Если сервер хранилища опций установлен на сервере, также выступающем в качестве сервера ISA Server (это, меж иным, противоречит советам, но, все же, нередко употребляется), нужно убедиться в том, что выбрана роль сервера хранилища опций. Не следует использовать проверку базисных характеристик сервера, на котором расположены обе роли, но в реальности располагается только роль сервера ISA Server 2006.

Дальше появится запрос на выбор клиентских функций сервера. Другими словами, нужно указать требуемые сервером службы. К примеру, практически для всех серверов требуется клиент DNS, а если сервер является членом домена, для него будет требоваться функция члена домена.

После выполнения этих шагов появится экран «Параметры управления и другие параметры». На нем указываются характеристики приложения, администрирования и операционной системы, применяемые службами либо полагающиеся на сетевое подключение. Все не избранные к этому моменту службы будут отключены. Но после внесения конфигураций и нажатия кнопки «Далее» можно будет избрать любые дополнительные службы, которые необходимо разрешить.

После чего мастер приступит к настройке метода обработки неуказанных служб. Это позволяет найти деяния при применении политики в случае обнаружения служб, не включенных в основную базу данных либо установленных на базисном сервере. В согласовании с общей рекомендацией следует избрать отключение неуказанных служб, так как это ограничит все неожиданные направления атаки. К огорчению, это может иметь нехорошие последствия при сильной несхожести серверов; также нужно держать в голове об этом параметре при добавлении каких-то приложений либо сетевых служб в будущем.

На последующем экране мастера, показанном на рис. 4, можно просмотреть службы, модифицированные мастером SCW. На этом экране доказательства содержится сравнительное представление текущего состояния и модифицированного состояния после внедрения политики.

Управление по обеспечению безопасности ISA Server 2006

Рис. 4. Просмотр и доказательство конфигураций служб

После доказательства служб для конфигурации производится переход к разделу «Сетевая безопасность». Конкретно в нем мастер SCW обычно позволяет изменять характеристики брандмауэра Windows и IPsec. Но, так как производится настройка сервера ISA Server 2006, остается только пропустить этот раздел, как показано на рис. 5.

Управление по обеспечению безопасности ISA Server 2006

Рис 5. Пропуск последних характеристик сетевой безопасности

После чего мастер перебегает к настройке характеристик реестра, относящихся к безопасности и способам проверки подлинности сети. На первом экране в этом разделе обозначено подписывание SMB. Протокол SMB – это основной сетевой протокол Microsoft, а эти характеристики обеспечивают возможность подписанной связи для понижения вероятности атак типа «злоумышленник в середине».

Характеристики по дефлоту, как показано на рис. 6, обеспечивают высшую безопасность связи по SMB для ISA Server. Но нужно учесть воздействие подписывания всей связи. При отсутствии свободной процессорной мощности следует снять 2-ой флаг. Также не забудьте пошевелить мозгами обо всех серверах, для которых будет использована политика, — при наличии серверов с разными рабочими нагрузками для решения вопроса об установке этого флага нужно управляться сервером с самым высочайшим потреблением ресурсов.

Управление по обеспечению безопасности ISA Server 2006

Рис. 6. Указание необходимости подписанной связи

Последующий набор экранов относится к уровню LMCompatibility, который должен употребляться сервером ISA Server. На первом из этих экранов представлено три варианта. Нужно бросить избранный по дефлоту вариант «Учетные записи в домене», если только не употребляются устаревшие операционные системы Windows (такие как Windows 95 либо Windows 98) либо если для управления доступом употребляются локальные учетные записи.

На втором экране, относящемся к уровню LMCompatibility, указываются сведения о контроллерах доменов. При отсутствии доменов Windows NT® 4.0 можно бросить избранный вариант по дефлоту (Операционные системы Windows NT 4.0 с пакетом обновления 6a либо более поздние версии ОС). В этом диалоговом окне также следует установить флаг синхронизации часов с часами избранного сервера. После нажатия кнопки «Далее» можно будет установить ряд дополнительных характеристик опции для входящей связи LAN Manager (LM), как показано на рис. 7.

Управление по обеспечению безопасности ISA Server 2006

Рис. 7. Указание способов проверки подлинности для входящей связи

На 3-ем экране, относящемся к уровню LMCompatibility, определяется необходимость LAN Manager (NTLM) версии 2 Windows NT и сохранение хеш-кодов LM. Нужно убедиться в том, что эти флажки не установлены, при условии, что ваша среда поддерживает такую настройку, так как снятие этих флагов ведет к значительному увеличению безопасности. После чего появится окно «Сводка характеристик реестра». Просмотрите все записи и подтвердите корректность характеристик политики.

Дальше мастер перебегает к последнему разделу — аудиту. Принципиально отметить, что конфигурации характеристик опции, выполненные в данном разделе, не могут быть отменены. Но, так как аудит не оказывает влияние на функциональность системы, не следует пропускать этот раздел.

Вариант по дефлоту «Выполнять аудит удачных действий» не предоставляет записи журнальчика событий для ошибок входа в систему. Но сведения об ошибках входа в систему могут предоставить ценные данные о попытках вторжения. Потому, обычно, рекомендуется избрать «Выполнять аудит как удачных, так и неуспешных действий».

После чего можно проверить настройку аудита и два раза надавить кнопку «Далее», чтоб сохранить политику безопасности. На этом экране, показанном на рис. 8, требуется только указать имя файла; но также можно ввести короткое описание,. Это описание может быть полезным в огромных средах, в каких обязанности по обеспечению безопасности делятся меж несколькими админами.

Управление по обеспечению безопасности ISA Server 2006

Рис 8. Указание имени и описания для политики безопасности

После сохранения файла можно применить политику немедля либо сделать это позже. Если принято решение избрать применение политики позднее, процесс завершен. При обнаружении ошибок в настройке политики можно выполнить ее откат, кроме характеристик аудита.

Административные роли

Понижение количества вероятных направлений для атаки сервера ISA Server – принципиальный шаг для уменьшения возможных нарушений из наружных источников. Но также принципиально проверить предназначение административных ролей в ISA Server для ограничения способности компрометации из внутренних источников. Административные роли и неполный перечень обычных соответственных задач показаны на рис. 9 и 10.

 Рис. 9. Роли и надлежащие задачки в выпуске Standard Edition

Задачка Аудитор наблюдения Аудитор Полный админ
Просмотр панели наблюдения, оповещений, подключений, сеансов и служб Разрешено Разрешено Разрешено
Доказательство оповещений Разрешено Разрешено Разрешено
Просмотр инфы журнальчика Разрешено Разрешено
Создание определений оповещений Разрешено
Создание отчетов Разрешено Разрешено
Остановка и пуск сеансов и служб Разрешено Разрешено
Просмотр политики брандмауэра Разрешено Разрешено
Настройка политики брандмауэра Разрешено
Настройка кэша Разрешено
Настройка виртуальной личной сети (VPN) Разрешено

Рис. 10. Роли и надлежащие задачки в выпуске Enterprise Edition

Действие Аудитор наблюдения за массивом Аудитор массива Админ массива
Просмотр панели наблюдения, оповещений, подключений и сеансов Разрешено Разрешено Разрешено
Доказательство и сброс оповещений Разрешено Разрешено Разрешено
Просмотр инфы журнальчика Разрешено Разрешено
Создание определений оповещений - Разрешено
Создание отчетов Разрешено Разрешено
Остановка и пуск сеансов и служб Разрешено Разрешено
Просмотр политики брандмауэра Разрешено Разрешено
Настройка политики брандмауэра Разрешено
Настройка кэша Разрешено
Настройка виртуальной личной сети (VPN) Разрешено
Выполнение окончания/остановки балансировки сетевой нагрузки Разрешено Разрешено
Просмотр локальной опции (в реестре члена массива) Разрешено Разрешено
Изменение локальной опции (в реестре члена массива)

Видите ли, административные задачки, связанные с ISA Server, существенно сегментированы. Это, в свою очередь, должно упростить предназначение верных ролей юзерам в организации.

Не считая того, нужно держать в голове, что лучшим методом предназначения ролей является внедрение концепции малых возможностей. Каждый определенный юзер обязан иметь только малый объем возможностей, нужный для выполнения собственной работы.

Также принципиально держать в голове, что члены локальной группы «Администраторы» в ISA Server 2006 Standard Edition имеют такие же права, как и полный админ ISA Server. В Enterprise Edition члены локальной группы «Администраторы» на сервере с ролью сервера хранилища опций имеют полный контроль над настройкой Enterprise. Это значит, что нужно пристально проверить членство в группе «Администратора домена», предполагая, что сервер ISA Server является членом домена, также во всех других группах, являющихся членами локальной группы «Администраторы».

Аналогичный товар: Комментирование на данный момент запрещено, но Вы можете оставить ссылку на Ваш сайт.

Комментарии закрыты.