译自微软技术资料,Hardening the Windows Infrastructure on the ISA Server2004 Computer
因为ISA Server 2004是用于保护你的网络和资源的防火墙,对于安装ISA Server的计算机上的设置,一定要特别小心。我们推荐你按照Windows Server 2003安全向导(http://go.microsoft.com/fwlink/?LinkId=31584)上的介绍来对ISA Server计算机进行配置;另外,你应该应用微软基线安全模板。不过,不要使用IPSec过滤器或者其他服务器策略。
另外,你应该考虑ISA Server计算机应具有的功能,从而设计ISA Server的操作系统功能。这篇文章中介绍了如何设计ISA Server运行之上的Windows Server 2003和Windows Server 2000服务器上的服务。
在这篇文章中,介绍了以下内容:
-
核心服务;
-
ISA Server服务器角色;
-
ISA Server服务器任务;
-
ISA Server客户角色;
-
建立安全模板;
核心服务
下表谐隽巳肐SA Server和ISA Server计算机正常工作所必须的核心服务:
|
服务名字 |
说明 |
启动模式 |
| COM+ Event System |
操作系统核心服务 |
手动 |
| Cryptographic Services |
操作系统核心服务(安全) |
自动 |
| Event Log |
操作系统核心服务 |
自动 |
| IPSec Services |
操作系统核心服务(安全) |
自动 |
| Logical Disk Manager |
操作系统核心服务(磁盘管理) |
自动 |
| Logical Disk Manager Administrative Service |
操作系统核心服务(磁盘管理) |
手动 |
| Microsoft Firewall |
ISA Server功能需要 |
自动 |
| Microsoft ISA Server Control |
ISA Server功能需要 |
自动 |
| Microsoft ISA Server Job Scheduler |
ISA Server功能需要 |
自动 |
| Microsoft ISA Server Storage |
ISA Server功能需要 |
自动 |
| MSSQL$MSFW |
ISA Server的MSDE日志需要 |
自动 |
| Network Connections |
操作系统核心服务(网络基础结构) |
手动 |
| NTLM Security Support Provider |
操作系统核心服务(安全) |
手动 |
| Plug and Play |
操作系统核心服务 |
自动 |
| Protected Storage |
操作系统核心服务(安全) |
自动 |
| Remote Access Connection Manager |
ISA Server功能需要 |
手动 |
| Remote Procedure Call (RPC) |
操作系统核心服务 |
自动 |
| Secondary Logon |
操作系统核心服务(安全) |
自动 |
| Security Accounts Manager |
操作系统核心服务 |
自动 |
| Server |
ISA Server防火墙客户端共享需要 |
自动 |
| Smart Card |
操作系统核心服务(安全) |
手动 |
| SQLAgent$MSFW |
ISA Server的MSDE日志需要 |
手动 |
| System Event Notification |
操作系统核心服务 |
自动 |
| Telephony |
ISA Server功能需要 |
手动 |
| Virtual Disk Service (VDS) |
操作系统核心服务(磁盘管理) |
手动 |
| Windows Management Instrumentation (WMI) |
操作系统核心服务 (WMI) |
自动 |
|
WMI Performance Adapter |
操作系统核心服务 (WMI) |
手动 |
ISA Server服务器角色
根据你的需要,ISA Server计算可能会作为其他服务功能或者角色使用。下表列出了可能的服务器角色,并且描述了何时会使用此种角色以及需要启用的服务:
|
服务器角色 |
使用场景 |
需要的服务 |
启动模式 |
|
路由和远程访问服务器 |
分配给此角色的用户和组可以监控ISA Server计算机和网络活动,但是不能配置指定的监控功能。 |
Routing and Remote Access |
手动 |
|
路由和远程访问服务器 |
分配给此角色的用户和组可以监控ISA Server计算机和网络活动,但是不能配置指定的监控功能。 |
Remote Access Connection Manager |
手动 |
|
路由和远程访问服务器 |
分配给此角色的用户和组可以监控ISA Server计算机和网络活动,但是不能配置指定的监控功能。 |
Telephony |
手动 |
|
路由和远程访问服务器 |
分配给此角色的用户和组可以监控ISA Server计算机和网络活动,但是不能配置指定的监控功能。 |
Workstation |
自动 |
|
路由和远程访问服务器 |
分配给此角色的用户和组可以监控ISA Server计算机和网络活动,但是不能配置指定的监控功能。 |
Server |
自动 |
|
远程桌面管理的终端服务器 |
选择此角色则启用ISA Server计算机的远程管理 |
Server |
自动 |
|
远程桌面管理的终端服务器 |
选择此角色则启用ISA Server计算机的远程管理 |
Terminal Services |
手动 |
注意:在下列情况中,Server服务的启动模式应该设置为“自动”:
-
ISA Server 2004的防火墙客户端安装共享;
-
你使用路由和远程访问控制台(RRAS)而不是ISA Server管理控制台来配置VPN;
-
其他任务角色需要此服务;
-
RRAS服务启动模式是手动,ISA Server只有在启用VPN时才会启动此服务;
-
注意只有在你使用RRAS来配置VPN时Server服务才是必须的;
ISA Server 服务器任务
服务器任务近似于服务器角色,但是并不包含于服务器角色。为了让服务器执行必需的任务,基于你选择的角色,指定的服务必需启用。下表列出了ISA Server可能的服务器任务,描述了何时会需要和需要启用的服务:
|
服务器任务 |
使用场景 |
需要的服务 |
启动模式 |
|
使用Windows Installer本地安装应用程序 |
需要使用Windows Installer安装、卸载和修复应用程序 |
Windows Installer |
手动 |
|
备份 |
需要在ISA Server上使用NTBackup或者其他备份程序 |
Microsoft Software Shadow Copy Provider |
手动 |
|
备份 |
需要在ISA Server上使用NTBackup或者其他备份程序 |
Volume Shadow Copy |
手动 |
|
备份 |
需要在ISA Server上使用NTBackup或者其他备份程序 |
Removable Storage service |
手动 |
|
错误报告 |
用于启用错误报告,这样可以向微软报告错误,以便微软分析 |
Error Reporting Service |
自动 |
|
帮助和支持 |
允许收集计算机的历史数据,以便微软产品支持中心使用 |
Help and Support |
自动 |
|
ISA Server 2004:客户端安装共享 |
需要允许客户机连接到ISA Server 2004计算机安装防火墙客户端。 |
Server |
自动 |
|
ISA Server 2004:MSDE日志 |
允许在MSDE数据库中进行日志。如果你不需要此服务,那么你可以记录日志到SQL Server或者文件中。但是,你将不能在离线情况下查看日志。 |
SQLAgent$MSFW |
手动 |
|
ISA Server 2004:MSDE日志 |
允许在MSDE数据库中进行日志。如果你不需要此服务,那么你可以记录日志到SQL Server或者文件中。但是,你将不能在离线情况下查看日志。 |
MSSQL$MSFW |
自动 |
|
性能计数器后台收集数据 |
允许ISA Server计算机后台收集性能数据 |
Performance Logs and Alerts |
自动 |
|
打印到远程计算机 |
允许从ISA Server上打印 |
Print Spooler |
自动 |
|
打印到远程计算机 |
允许从ISA Server上打印 |
TCP/IP NetBIOS Helper |
自动 |
|
打印到远程计算机 |
允许从ISA Server上打印 |
Workstation |
自动 |
|
远程Windows管理 |
允许Windows服务器的远程管理(不是远程管理ISA Server所必需) |
Server |
自动 |
|
远程Windows管理 |
允许Windows服务器的远程管理(不是远程管理ISA Server所必需) |
Remote Registry |
自动 |
|
时间同步 |
允许ISA Server计算机连接NTP服务器来同步时间。从安全角度考虑,准确的时间对于事件审计和其他安全协议是非常重要的。 |
Windows Time |
自动 |
|
远程协助 |
允许在此计算机上实现远程协助 |
Help and Support |
自动 |
|
远程协助 |
允许在此计算机上实现远程协助 |
Remote Desktop Help Session Manager |
手动 |
|
远程协助 |
允许在此计算机上实现远程协助 |
Terminal Services |
手动 |
注意:时间客户程序需要Wireless或者Server服务才能正常运行;
ISA Server客户角色
服务器可以是其他服务器的客户。客户角色依赖于指定角色的服务的启用。下表列出了ISA Server可能的客户角色,描述了何时需要以及需要激活的服务:
|
客户角色 |
使用场景 |
需要的服务 |
启动模式 |
|
客户端自动更新 |
选择此角色允许客户从微软Windows更新中进行自动检测和更新 |
Automatic Updates |
自动 |
|
客户端自动更新 |
选择此角色允许客户从微软Windows更新中进行自动检测和更新 |
Background Intelligent Transfer Service |
手动 |
|
DHCP客户 |
当ISA Server从DHCP服务器获得IP时,启用此角色 |
DHCP Client |
自动 |
|
DNS客户 |
当ISA Server需要从其他DNS服务器解析名字时,启用此角色 |
DNS Client |
自动 |
|
域成员 |
如果ISA Server属于域,选择此角色 |
Network location awareness (NLA) |
手动 |
|
域成员 |
如果ISA Server属于域,选择此角色 |
Net logon |
自动 |
|
域成员 |
如果ISA Server属于域,选择此角色 |
Windows Time |
自动 |
|
动态DNS注册 |
选择此角色则允许ISA Server计算机在DNS服务器中自动注册DNS名字和IP地址. |
DHCP Client |
自动 |
|
Microsoft网络客户 |
如果ISA Server连接到其他Windows网络客户端,选择此角色。如果你禁用此角色,那么ISA Server计算机将不能访问其他计算机的共享。 |
TCP/IP NetBIOS Helper |
自动 |
|
Microsoft网络客户 |
如果ISA Server连接到其他Windows网络客户端,选择此角色。如果你禁用此角色,那么ISA Server计算机将不能访问其他计算机的共享。 |
Workstation |
自动 |
|
WINS客户 |
如果ISA Server使用基于WINS的名字解析方式,选择此角色 |
TCP/IP NetBIOS Helper |
自动 |
建立安全模板
你可以使用安全模板管理控制台来建立一个模板,这个模板包含了哪些服务需要启用的信息。通过使用模板,你可以很容易的建立安全策略,再将它应用到其他ISA Server计算机上。
执行以下步骤以建立安全模板:
1.为了打开安全模板,点击开始,然后点击运行,输入MMC,点击确定;
2.在文件菜单,点击添加/删除管理单元,然后点击添加;
3.选择安全模板,然后点击添加,点击关闭,最后点击确定。
4.在控制台树,点击安全模板节点,右击你想保存新模板的目录,然后点击新模板;
5.在安全模板,输入你的新模板的名字;
6.在描述,输入模板的描述,点击确定;
7.展开新模板,然后点击系统服务;
8.在细节面板,右击COM+ Event System,然后点击属性;
9.选择Define this policy setting in the template,然后点击启动模式(对于COM+ Event System,启动模式是自动)
10.重复步骤8和步骤9,按照下表中来定义这些服务;
|
服务名 |
短名 |
启动模式 |
|
Automatic Updates |
wuauserv |
自动 |
|
Background Intelligent Transfer Service |
BITS |
手动 |
|
COM+ Event System |
EventSystem |
手动 |
|
Cryptographic Services |
CryptSvc |
自动 |
|
DHCP Client |
Dhcp |
自动 |
|
DNS Client |
Dnscache |
自动 |
|
Error Reporting Service |
ERSvc |
自动 |
|
Event Log |
Eventlog |
自动 |
|
Help and Support |
Helpsvc |
自动 |
|
IPSec Services |
PolicyAgent |
自动 |
|
Logical Disk Manager |
dmserver |
自动 |
|
Logical Disk Manager Administrative Service |
dmadmin |
手动 |
|
Microsoft Firewall |
Fwsrv |
自动 |
|
Microsoft ISA Server Control |
ISACtrl |
自动 |
|
Microsoft ISA Server Job Scheduler |
ISASched |
自动 |
|
Microsoft ISA Server Storage |
ISASTG |
自动 |
|
Microsoft Software Shadow Copy Provider |
SWPRV |
手动 |
|
MSSQL$MSFW |
MSSQL$MSFW |
自动 |
|
Network Connections |
Netman |
手动 |
|
Network Location Awareness (NLA) |
NLA |
手动 |
|
NTLM Security Support Provider |
NtLmSsp |
手动 |
|
Performance Logs and Alerts |
SysmonLog |
自动 |
|
Plug and Play |
PlugPlay |
自动 |
|
Protected Storage |
ProtectedStorage |
自动 |
|
Remote Access Connection Manager |
RasMan |
手动 |
|
Remote Desktop Help Session Manager |
RDSessMgr |
手动 |
|
Remote Procedure Call (RPC) |
RpcSs |
| | 
