Использование мастера Security Configuration Wizard в Microsoft Forefront Threat Management Gateway 2010

В Windows Server 2008 и 2008R2 включен ценный инструмент под названием Security Configuration Wizard (SCW). Этот инструмент можно использовать для упрощения задачи подготовки операционной системы к установке брандмауэра Forefront Threat Management Gateway (TMG) 2010. SCW создает политику для настройки служб, политик проверки и некоторых параметров реестра на основании установленных ролей и функций. В этой статье я продемонстрирую вам, как использовать SCW для настройки и установки политики безопасности в системе брандмауэра TMG, а также как развернуть эту политику с помощью групповой политики Active Directory.

Роли Forefront TMG, подходящие для SCW

По умолчанию в SCW не включена поддержка роли TMG 2010 и роли TMG Enterprise Management Server (EMS). Чтобы получить поддержку этих ролей, загрузите и установите TMGRolesForSCW.exe, включенный в состав TMG 2010 Tools and Software Development Kit (SDK), который доступен здесь.

Установка ролей TMG для SCW

Чтобы установить роли TMG для SCW, запустите TMGRolesForSCW.exe.

Примите условия лицензионного соглашения.

Выберите место для сохранения файлов.

Выберите Finish для завершения установки Forefront TMG Roles for SCW.

По завершении установки нужно зарегистрировать эти новые роли в SCW. Для регистрации ролей перейдите в папку, которую вы ранее выбрали для сохранения файлов, и скопируйте один из следующих файлов в %systemroot%\security\msscw\kbs:

• Для TMG под Windows Server 2008 SP2 скопируйте scw_tmg_w2k8_sp2.xml
• Для TMG под Windows Server 2008 R2 скопируйте scw_tmg_w2k8r2_sp0.xml
• Для TMG EMS под Windows Server 2008 SP2 скопируйте scw_tmgems_w2k8_sp2.xml
• Для TMG EMS под Windows Server 2008 R2 скопируйте scw_tmgems_w2k8r2_sp0.xml

Откройте командную строку повышенного уровня и перейдите к папке %systemroot%\security\msscw\kbs, после чего наберите одну из следующих команд:

• Для TMG под Windows Server 2008 SP2: scwcmd register /kbname:TMG /kbfile:scw_tmg_w2k8_sp2.xml
• Для TMG EMS под Windows Server 2008 SP2: scwcmd register /kbname:TMG /kbfile:scw_tmgems_w2k8_sp2.xml
• Для TMG под Windows Server 2008 R2: scwcmd register /kbname:TMG /kbfile:scw_tmg_w2k8r2_sp0.xml
• Для TMG EMS под Windows Server 2008 R2: scwcmd register /kbname:TMG /kbfile:scw_tmgems_w2k8r2_sp0.xml

Создание политики безопасности с помощью SCW

Откройте SCW, выбрав Start/Administrative Tools и щелкнув на иконку Security Configuration Wizard.

Выберите нужное действие. Для наших целей здесь мы выберем вариант Create a new security policy(Создать новую политику безопасности). После создания политики мы сможем редактировать, применять или откатывать политику в случае необходимости.

SCW может использоваться на локальной или на удаленной машине. Мы хотим настроить политику для локальной машины, для которой имя хоста уже заполнено.

SCW начнет обрабатывать базу данных Security Configuration Database.

По завершении щелкните View Configuration Database(Просмотр базы данных конфигурации), чтобы убедиться, что серверная роль Forefront Threat Management Gateway внесена в базу данных.

Замечание: Вы можете получить следующее предупреждение системы безопасности Windows(см. ниже). Щелкните Yes, чтобы просмотреть базу данных.

Щелкните на стрелку, чтобы развернуть Server Roles и убедитесь, что Microsoft Forefront Threat Management Gateway (TMG) появляется в списке. По завершении закройте окно, чтобы вернуться к SCW.

Роли, функции, опции и службы

Теперь SCW начнет настройку служб на основании ролей.

SCW настроит политику безопасности на основании ролей и функций, установленных в системе. Некоторые установленные роли выбираются по умолчанию. Щелкните на стрелку рядом с любой ролью для получения дополнительной информации об этой роли. Подтвердите все выбранные роли, а затем выберите роль Microsoft Forefront Threat Management Gateway (TMG). Если ваш брандмауэр TMG также предоставляет службы VPN, обязательно выберите роль Remote access/VPN server.

Некоторые установленные функции выбираются по умолчанию. Проверьте все, что выбрано, и внесите изменения при необходимости. Например, вы можете выбрать отключение Microsoft Networking Client или включение WINS client в зависимости от ваших конкретных требований в области безопасности.

Некоторые установленные опции выбираются по умолчанию. Опять же, просмотрите все, что выбрано, и внесите изменения при необходимости. Просмотрите список внимательно, так как в настройках по умолчанию включены не часто используемые функции (например, служба Microsoft Fibre Channel Platform Registration Service). Обратите внимание: если вы хотите подключаться к вашему брандмауэру TMG с помощью Remote Desktop Services (RDP), обязательно включите роль Remote Desktop (по умолчанию она не выбрана).

Просмотрите список дополнительных служб и внесите в него изменения при необходимости. Отмеченные в этом списке службы будут включены, все остальные службы будут отключены.

Укажите, как SCW будет относиться ко всем неопределенным службам, запущенным на выбранной системе и не включенным в базу данных конфигурации безопасности. Выберите опцию, которая лучше всего подходит вашим потребностям. Будьте внимательны: выбор опции, отключающей службы, может привести к непредсказуемым последствиям.

Просмотрите список изменений, произведенных со службами в системе. Если вы выбрали вариант с отключением неуказанных служб, обязательно внимательно изучите этот список. Особое внимание уделите всем службам, которые будут отключены, и режим запуска которых автоматический. Этот список можно отсортировать по режиму запуска (Current Startup Mode), щелкнув на заголовок колонки.

Сетевая безопасность

Теперь SCW примется за сетевую безопасность.

SCW настроит ключевые настройки реестра, контролирующие протоколы, используемые для взаимодействия с другими компьютерами. Тут будьте осторожны, так как выбор некорректных настроек может привести к непредсказуемым последствиям. Если вы неуверенны в том, какие опции нужно выбрать, можете смело пропустить этот раздел.

По умолчанию SCW делает предположения о клиентских операционных системах и об использовании системы TMG. Просмотрите эти опции и подтвердите, что они удовлетворяют вашим требованиям.

Выберите метод исходящей аутентификации, удовлетворяющий вашим требованиям.

При использовании доменных аккаунтов (что крайне рекомендуется) убедитесь, что на всех остальных компьютерах, с которыми будет взаимодействовать система TMG, запущена, как минимум, Windows NT 4.0 SP6A. Если ваши клиенты должны синхронизировать свои системы с системой TMG, вы можете выбрать эту опцию здесь. Эта опция отключена по умолчанию, так как большинство систем синхронизируют системное время с контроллером домена Active Directory.

Просмотрите вносимые в реестр изменения.

Политика аудита

В этом разделе SCW будет настраивать политику аудита. Если у вас уже настроена такая политика, которая удовлетворяет вашим потребностям, можете спокойно пропустить этот раздел.

Выберите вариант аудита, отвечающий вашим требованиям.

Просмотрите вносимые в политику аудита изменения. Обратите внимание на то, что опция, включающая шаблон безопасности SCWaudit.inf по умолчанию включена. Этот шаблон безопасности настроит списки System Access Control Lists (SACLS) для упрощения аудита доступа к файловой системе. Будьте осторожны, т.к. когда шаблон SCWaudit.inf применен, его нельзя удалить с помощью функции rollback в SCW.

Сохранение политики безопасности

Далее нам нужно сохранить политику безопасности.

Укажите место для сохранения файла политики и внесите описание (можно этого и не делать, но это не рекомендуется). Вы также можете просмотреть политику безопасности или подключить дополнительные шаблоны безопасности.

Если вы настраиваете одну единственную систему, вы можете выбрать опцию, применяющую политику безопасности немедленно. Если у вас несколько брандмауэров TMG, лучше будет распространить политику безопасности с помощью Active Directory Group Policy. В следующем разделе показывается, как это сделать.

Готово!

Распространение с помощью групповой политики

Одним из преимуществ установки TMG в качестве контроллера домена является возможность управлять настройкой безопасности с помощью групповой политики. Сам SCW годится для настройки политики безопасности только на одной машине за раз (локальной или удаленной). В SCW с помощью инструмента командной строки под названием scwcmd.exe мы можем превратить эту политику безопасности в объект групповой политики (Group Policy Object - GPO), после чего распространить политику на множество машин с помощью Active Directory Group Policy. Вот синтаксис этой команды:

scwcmd transform /p: PathandPolciyFileName /g: GPODisplayName

PathAndPolicyName - это ранее созданная политика, а GPODisplayName - это имя объекта Group Policy Object (GPO), видимое в консоли управления групповой политикой (Group Policy Management Console - GPMC).

Продолжая наш пример, откроем командную строку повышенного уровня и выполним следующую команду:

scwcmd transform /p:tmg_default.xml /g:'TMG Default'

После успешного завершения команды откройте GMPC (Start/Administrative Tools/Group Policy Management) и разверните узел Domains. Разверните домен, членом которого является брандмауэр TMG, и затем разверните Group Policy Objects. Там вы увидите новый объект групповой политики, созданный с помощью инструмента scwcmd.

Теперь вы можете применить этот объект к организационной единице, включающей ваши брандмауэры TMG. В идеале это будет отдельная ОЕ специально для ваших систем TMG для минимизации потенциальных конфликтов, которые могут возникнуть при использовании других GPO. Чтобы применить GPO, просто переместите GPO на нужную ОЕ.

Заключение

Грамотная настройка операционной системы, усиление служб и уменьшение атакуемой поверхности жизненно важны для информационной безопасности и работы брандмауэра TMG. Мастер Security Configuration Wizard упрощает и автоматизирует эту задачу, позволяя администратору определить политики безопасности и применить их удобным образом с помощью SCW или групповой политики.