首页业界动态通用技术技术文章-ISA技术文章-ISA 2006ForeFront TMG相关下载 登录论坛 @联系我们
ISA中文站 > 信息 > 技术文章-ISA > ISA-常规 > ISA Server 2004安全性最佳操作
现在时间是: 2019-02-19 18:46
ISA Server 2004安全性最佳操作

(2004-09-20 09:40)
来源:Microsoft Corp.



ISA Server 2004安全性最佳操作


注:此文摘自ISA Server 2004中文版帮助,对于理解如何安全配置ISA Server 2004有很大帮助,希望大家也能仔细看看。

由于运行 ISA Server2004 的计算机通常是外部网络的主要接口,因此我们建议您确保该计算机的安全性。除了此处的信息外,ISA 服务器网站上的安全性最佳操作(http://www.microsoft.com/)文档会使用新信息定期更新。

请执行下面的最佳操作:


  • 安装下列软件的重要更新:

    • 操作系统
    • ISA 服务器(ISA 服务器网站(http://www.microsoft.com/)上的最新更新)
    • ISA 服务器安装的其他组件(MSDE 和 OWC)

  • 请确保 ISA 服务器计算机存放在物理上安全的位置。以物理的方式访问服务器具有很高的安全风险。入侵者以物理的方式访问服务器可能导致未经授权的访问或修改,以及安装可骗过安全隐患检查的硬件或软件。要保持环境的安全性,必须限制以物理的方式访问 ISA 服务器计算机。
  • 应用“最小权限”原则,即用户应只具有执行特定任务所需的最小权限。这有助于确保在用户帐户泄露的情况下,用户所具有的有限的权限将使受到的影响最小。管理员应当使用权限受到限制的帐户来执行日常的、非管理性的任务,只有当执行特定管理任务时,才使用权限更大的帐户。分配 ISA 服务器管理角色时,应考虑到这一点。有关详细信息,请参阅管理角色

  • 认真权衡应授予哪些用户登录到 ISA 务器计算机的权限。然后,相应地配置登录权限。有关详细信息,请参阅 Windows 帮助。
  • 应用“缩小攻击面”原则,禁用对当前任务不重要的服务和功能。禁用不使用的 ISA
    服务器功能。专门针对您的网络需求配置相应的系统策略,并禁用不必要的功能。有关系统策略的详细信息,请参阅系统策略概述

  • 不要在 ISA 服务器计算机运行不必要的应用程序和服务。
  • 我们建议您不要在 ISA 服务器计算机上安装 DHCP。
  • 如果要求提供凭据,应使用强密码。如果密码可提供有效的防御功能以防止未授权的访问,则可将该密码视为强密码。强密码不包含用户帐户名的部分或全部,并至少包含下面四类字符中的三类:大写字符、小写字符、10 个基本数字,以及键盘上的字符(如 !、@ 或 #)。
  • 通过在交换机上部署安全解决方案(如第 2 层IDS 和静态 MAC 或端口关联)来防止第 2
    层攻击。

  • 应用配置更改之后,请对它们进行测试。例如,使用端口扫描来验证实际是否只打开适用的端口。
  • 如果可能,应在网络中配置 Internet 协议安全 (IPSec)。
  • 在 ISA 服务器计算机上配置静态地址解析协议 (ARP) 项目。

RADIUS 服务器配置建议



  • 如果使用 RADIUS 服务器进行身份验证,应创建监视服务器状态的连接性验证程序。配置警报,以便在 RADIUS 服务器不工作时可以执行适当的操作。有关连接性验证程序的详细信息,请参阅连接性

  • 未受信任的用户不应当拥有访问 RADIUS 服务器与 ISA 服务器之间的网络的权限。如果未受信任的用户必须访问,应在此网络中使用 IPSec。

日志记录和警报建议



  • 应定期认真查看日志,以检查是否存在可疑的网络资源访问和使用情况。
  • 配置警报以便向管理员发送通知。实施快速的响应过程。
  • 善用日志维护功能,以确保日志信息所存储在的磁盘不会被充满。有关日志维护功能的详细信息,请参阅日志存储格式
  • 配置“日志存储限制”警报定义,以停止 ISA 服务器服务。这样,只有在可以对访问进行适当的审核的情况下才允许访问。有关警报的详细信息,请参阅警报

  • 将日志保存到单独的 NTFS 磁盘分区以实现最高的安全性。只有 ISA 服务器计算机的管理员应当拥有对日志的访问权限。
  • 在将日志信息保存到 SQL 数据库时,应使用 Windows 身份验证(而不是 SQL 身份验证)。
  • 如果要将信息记录到远程数据库中,应对复制到远程数据库的日志信息配置加密和数据签名。

  • 要实现最高的安全性,应对 ISA 服务器计算机与 SQL Server 之间的通讯配置 IPSec。

  • 如果由于任何原因而无法保存日志信息,应锁定 ISA 服务器计算机。要实现此功能,应当为停止防火墙服务的日志失败事件配置警报定义。有关说明,请参阅添加警报定义


其他建议


此外,应对运行在 ISA 服务器计算机上的操作系统采用安全建议。请学习并应用下列文档中描述的安全措施:




作者:Microsoft Corp.
责任编辑:风间子

[1]
上一篇:ISA Server中的即时消息
下一篇:ISA Server 客户端类型
相关信息:

配置直接访问的站点:第一部分 配置Web代理客户的直接访问
ISA Server 2004中的锁定模式
How to :在域环境中配置ISA Server 2004
配置防火墙客户和Web代理客户的直接访问
你应该通过ISA防火墙来允许SSL吗?

热点信息 TOP 10
ISA 2004 王者归来
ISA Server 2004 SP3 使用指南
ISA Server 2004 中的HTTP筛选
HTTP 应用层过滤的兼容性问题及解决方案 v1.2
ISA Server实现HTTP Proxy中基本身份验证、Windows集成身份验证及其安全性
理解ISA Server 2004中的网络
ISA Server 2004中的通讯重定向
ISA Server 2004 Web代理服务拒绝用户再次进行身份验证
升级到ISA 2004防火墙的原因
ISA Server 客户端类型

搜索 SEARCH
关键字:
包含:
搜索于:


Copyright © ISACN.ORG 2004-2019 All Rights Reserved..