当前位置:软件学习 > ISA >>

ISA Server 2004安全性最佳操作

注:此文摘自ISA Server 2004中文版帮助,对于理解如何安全配置ISA Server 2004有很大帮助,希望大家也能仔细看看。 
由于运行 ISA Server2004 的计算机通常是外部网络的主要接口,因此我们建议您确保该计算机的安全性。除了此处的信息外,ISA 服务器网站上的安全性最佳操作(http://www.microsoft.com/)文档会使用新信息定期更新。 
请执行下面的最佳操作: 

  • 安装下列软件的重要更新: 

    • 操作系统 
    • ISA 服务器(ISA 服务器网站(http://www.microsoft.com/)上的最新更新) 
    • ISA 服务器安装的其他组件(MSDE 和 OWC) 
  • 请确保 ISA 服务器计算机存放在物理上安全的位置。以物理的方式访问服务器具有很高的安全风险。入侵者以物理的方式访问服务器可能导致未经授权的访问或修改,以及安装可骗过安全隐患检查的硬件或软件。要保持环境的安全性,必须限制以物理的方式访问 ISA 服务器计算机。 
  • 应用“最小权限”原则,即用户应只具有执行特定任务所需的最小权限。这有助于确保在用户帐户泄露的情况下,用户所具有的有限的权限将使受到的影响最小。管理员应当使用权限受到限制的帐户来执行日常的、非管理性的任务,只有当执行特定管理任务时,才使用权限更大的帐户。分配 ISA 服务器管理角色时,应考虑到这一点。有关详细信息,请参阅管理角色

  • 认真权衡应授予哪些用户登录到 ISA 务器计算机的权限。然后,相应地配置登录权限。有关详细信息,请参阅 Windows 帮助。 
  • 应用“缩小攻击面”原则,禁用对当前任务不重要的服务和功能。禁用不使用的 ISA 
    服务器功能。专门针对您的网络需求配置相应的系统策略,并禁用不必要的功能。有关系统策略的详细信息,请参阅    系统策略概述

  • 不要在 ISA 服务器计算机运行不必要的应用程序和服务。 
  • 我们建议您不要在 ISA 服务器计算机上安装 DHCP。 
  • 如果要求提供凭据,应使用强密码。如果密码可提供有效的防御功能以防止未授权的访问,则可将该密码视为强密码。强密码不包含用户帐户名的部分或全部,并至少包含下面四类字符中的三类:大写字符、小写字符、10 个基本数字,以及键盘上的字符(如 !、@ 或 #)。 
  • 通过在交换机上部署安全解决方案(如第 2 层IDS 和静态 MAC 或端口关联)来防止第 2 
    层攻击。 
  • 应用配置更改之后,请对它们进行测试。例如,使用端口扫描来验证实际是否只打开适用的端口。 
  • 如果可能,应在网络中配置 Internet 协议安全 (IPSec)。 
  • 在 ISA 服务器计算机上配置静态地址解析协议 (ARP) 项目。 

RADIUS 服务器配置建议


  • 如果使用 RADIUS 服务器进行身份验证,应创建监视服务器状态的连接性验证程序。配置警报,以便在 RADIUS 服务器不工作时可以执行适当的操作。有关连接性验证程序的详细信息,请参阅连接性

  • 未受信任的用户不应当拥有访问 RADIUS 服务器与 ISA 服务器之间的网络的权限。如果未受信任的用户必须访问,应在此网络中使用 IPSec。 

日志记录和警报建议


  • 应定期认真查看日志,以检查是否存在可疑的网络资源访问和使用情况。 
  • 配置警报以便向管理员发送通知。实施快速的响应过程。 
  • 善用日志维护功能,以确保日志信息所存储在的磁盘不会被充满。有关日志维护功能的详细信息,请参阅日志存储格式
  • 配置“日志存储限制”警报定义,以停止 ISA 服务器服务。这样,只有在可以对访问进行适当的审核的情况下才允许访问。有关警报的详细信息,请参阅警报

  • 将日志保存到单独的 NTFS 磁盘分区以实现最高的安全性。只有 ISA 服务器计算机的管理员应当拥有对日志的访问权限。 
  • 在将日志信息保存到 SQL 数据库时,应使用 Windows 身份验证(而不是 SQL 身份验证)。 
  • 如果要将信息记录到远程数据库中,应对复制到远程数据库的日志信息配置加密和数据签名。 
  • 要实现最高的安全性,应对 ISA 服务器计算机与 SQL Server 之间的通讯配置 IPSec。 

  • 如果由于任何原因而无法保存日志信息,应锁定 ISA 服务器计算机。要实现此功能,应当为停止防火墙服务的日志失败事件配置警报定义。有关说明,请参阅添加警报定义


其他建议

此外,应对运行在 ISA 服务器计算机上的操作系统采用安全建议。请学习并应用下列文档中描述的安全措施: 
, ,

上一个:使用ISA 2004发布内部的邮件服务器
下一个:ISA Server 客户端类型

更多图片编程知识:
更多ISA疑问解答:
通过ISA防火墙允许FXP
ISA网络防火墙使用故障解决方法(图)
在ISA Server 2004中发布安全Web服务
ISA 2004中使用域名发布多个Web站点
使用ISA发布内部网络中的腾讯通服务
配置基于PPTP模式的站点到站点的VPN连接
升级到 ISA Server 2006
在ISA Server 2006中发布邮件访问服务
如何禁止Socket Pooling
ISA Server 2004 企业IT常见应用速查手册
使用公共IP地址来访问DMZ中的服务器(DMZ网络添加)
如何封掉QQ游戏??
如何清理删除ISA日志
通过ISA2004使用其他端口发布FTP站点
使用ISA Server 2004 发布Web站点
Dreamweaver
Fireworks
FrontPage
Flash
Photoshop
Coreldraw
Excel
Word
Powerpoint
outlook
wps
AfterEffects
3D MAX
Director
Authorware
PremierePro
Foxmail
Maya
ISA
会声会影
其它软件
AutoCAD
如果你遇到软件学习难题:
请访问www.zzzyk.com 试试
CopyRight © 2012 站长网 编程知识问答 www.zzzyk.com All Rights Reserved
部份技术文章来自网络,