ISA Server 2004安全性最佳操作
注:此文摘自ISA Server 2004中文版帮助,对于理解如何安全配置ISA Server 2004有很大帮助,希望大家也能仔细看看。由于运行 ISA Server2004 的计算机通常是外部网络的主要接口,因此我们建议您确保该计算机的安全性。除了此处的信息外,ISA 服务器网站上的安全性最佳操作(http://www.microsoft.com/)文档会使用新信息定期更新。
请执行下面的最佳操作:
- 安装下列软件的重要更新:
- 操作系统
- ISA 服务器(ISA 服务器网站(http://www.microsoft.com/)上的最新更新)
- ISA 服务器安装的其他组件(MSDE 和 OWC)
- 操作系统
- 请确保 ISA 服务器计算机存放在物理上安全的位置。以物理的方式访问服务器具有很高的安全风险。入侵者以物理的方式访问服务器可能导致未经授权的访问或修改,以及安装可骗过安全隐患检查的硬件或软件。要保持环境的安全性,必须限制以物理的方式访问 ISA 服务器计算机。
- 应用“最小权限”原则,即用户应只具有执行特定任务所需的最小权限。这有助于确保在用户帐户泄露的情况下,用户所具有的有限的权限将使受到的影响最小。管理员应当使用权限受到限制的帐户来执行日常的、非管理性的任务,只有当执行特定管理任务时,才使用权限更大的帐户。分配 ISA 服务器管理角色时,应考虑到这一点。有关详细信息,请参阅管理角色。
- 认真权衡应授予哪些用户登录到 ISA 务器计算机的权限。然后,相应地配置登录权限。有关详细信息,请参阅 Windows 帮助。
- 应用“缩小攻击面”原则,禁用对当前任务不重要的服务和功能。禁用不使用的 ISA
服务器功能。专门针对您的网络需求配置相应的系统策略,并禁用不必要的功能。有关系统策略的详细信息,请参阅系统策略概述。 - 不要在 ISA 服务器计算机运行不必要的应用程序和服务。
- 我们建议您不要在 ISA 服务器计算机上安装 DHCP。
- 如果要求提供凭据,应使用强密码。如果密码可提供有效的防御功能以防止未授权的访问,则可将该密码视为强密码。强密码不包含用户帐户名的部分或全部,并至少包含下面四类字符中的三类:大写字符、小写字符、10 个基本数字,以及键盘上的字符(如 !、@ 或 #)。
- 通过在交换机上部署安全解决方案(如第 2 层IDS 和静态 MAC 或端口关联)来防止第 2
层攻击。 - 应用配置更改之后,请对它们进行测试。例如,使用端口扫描来验证实际是否只打开适用的端口。
- 如果可能,应在网络中配置 Internet 协议安全 (IPSec)。
- 在 ISA 服务器计算机上配置静态地址解析协议 (ARP) 项目。
RADIUS 服务器配置建议
- 如果使用 RADIUS 服务器进行身份验证,应创建监视服务器状态的连接性验证程序。配置警报,以便在 RADIUS 服务器不工作时可以执行适当的操作。有关连接性验证程序的详细信息,请参阅连接性。
- 未受信任的用户不应当拥有访问 RADIUS 服务器与 ISA 服务器之间的网络的权限。如果未受信任的用户必须访问,应在此网络中使用 IPSec。
日志记录和警报建议
- 应定期认真查看日志,以检查是否存在可疑的网络资源访问和使用情况。
- 配置警报以便向管理员发送通知。实施快速的响应过程。
- 善用日志维护功能,以确保日志信息所存储在的磁盘不会被充满。有关日志维护功能的详细信息,请参阅日志存储格式。
- 配置“日志存储限制”警报定义,以停止 ISA 服务器服务。这样,只有在可以对访问进行适当的审核的情况下才允许访问。有关警报的详细信息,请参阅警报。
- 将日志保存到单独的 NTFS 磁盘分区以实现最高的安全性。只有 ISA 服务器计算机的管理员应当拥有对日志的访问权限。
- 在将日志信息保存到 SQL 数据库时,应使用 Windows 身份验证(而不是 SQL 身份验证)。
- 如果要将信息记录到远程数据库中,应对复制到远程数据库的日志信息配置加密和数据签名。
- 要实现最高的安全性,应对 ISA 服务器计算机与 SQL Server 之间的通讯配置 IPSec。
- 如果由于任何原因而无法保存日志信息,应锁定 ISA 服务器计算机。要实现此功能,应当为停止防火墙服务的日志失败事件配置警报定义。有关说明,请参阅添加警报定义。
其他建议
此外,应对运行在 ISA 服务器计算机上的操作系统采用安全建议。请学习并应用下列文档中描述的安全措施:
- 对于 Windows Server2003,请参阅 Windows Server2003 Security Guide(http://www.microsoft.com/)。
- 对于 Windows 2000 Server,请参阅 Security Operations Guide for Windows2000(http://www.microsoft.com/)。