Ролевое администрирование сервера ISA Server 2006

Сервер Microsoft® Internet Security and Acceleration (ISA) 2006 позволяет применять административные роли к пользователям или группам. Соответствующие роли можно настроить после того, как определены, какие группы могут настраивать политику ISA-сервера и просматривать контрольные сведения.

Сценарий: ролевое администрирование

С помощью ролевого администрирования можно разбить администраторов ISA-сервера по отдельным предопределенным ролям, для каждой из которых будет предусмотрен свой круг задач. Когда пользователю присваивается роль, этот пользователь получает разрешение на выполнение определенных задач. Ролевое администрирование работает с пользователями и группами Microsoft Windows Server® 2003 или Windows® 2000 Server. Роли пользователей различаются в зависимости от прав доступа, членства в группах и прав пользователей.

Поскольку ISA-сервер управляет сетевым доступом, следует предельно внимательно предоставлять права доступа к компьютеру, на котором находится ISA-сервер, а также к связанным компонентам. Следует тщательно отобрать пользователей, обладающих разрешением на вход в систему на компьютере ISA-сервера. Затем соответствующим образом настраиваются права входа в систему.

Функции ролевого администрирования

Как и с любым приложением в рабочей среде, задавая разрешения для ISA-сервера, следует рассмотреть роли администраторов сервера и присвоить им только необходимые разрешения. Упростить этот процесс позволяют административные роли ISA-сервера. Когда пользователю присваивается роль, этот пользователь, по существу, получает разрешение на выполнение определенных задач. Пользователь, обладающий одной ролью, например полного администратора ISA-сервера, может выполнять определенные задачи, которые недоступны для пользователя с другой ролью, например «Простой мониторинг сервера ISA». Ролевая администрация работает с пользователями и группами Windows. Роли пользователей различаются в зависимости от прав доступа, членства в группах и прав пользователей.

Членами этих административных групп ISA-сервера могут быть любые пользователи Windows. Для этого не требуется особых прав доступа или разрешений Windows.

Единственное исключение — для просмотра счетчиков производительности ISA-сервера с помощью системного монитора или цифровой панели ISA-сервера пользователь должен быть членом группы «Пользователи, контролирующие производительность» в Windows Server 2003.

Пользователям с административными разрешениями на ISA-сервере Enterprise Edition автоматически присваиваются разрешения уровня предприятия. Обратите внимание на то, что пользователи, принадлежащие к группе «Администраторы» на сервере хранилища конфигурации, могут управлять конфигурацией предприятия. Это обусловлено тем, что они могут напрямую изменять любые данные на сервере хранилища конфигурации.

Административные роли (выпуск Standard Edition)

В следующей таблице описаны роли на ISA-сервере выпуска Standard Edition.

Роль «Standard Edition»	Описание
Аудитор мониторинга ISA-сервера	Пользователи и группы, принадлежащие к этой роли, могут отслеживать основные операции ISA-сервера и сети, но не могут просматривать конфигурацию сервера.
Аудитор ISA-сервера	Пользователи и группы, принадлежащие к этой роли, могут выполнять все задачи мониторинга, включая настройку журналов и настройку определений предупреждений, а также просматривать конфигурацию ISA-сервера.
Полный администратор ISA-сервера.	Пользователи и группы, принадлежащие к этой роли, могут выполнять любые задачи ISA-сервера, включая настройку правил, применение сетевых шаблонов и мониторинг.

Администраторы с разрешениями типа «Аудитор ISA-сервера» могут экспортировать, импортировать и расшифровывать такие данные, как пароли, которые хранятся в конфигурации.

Роли и действия

Каждой роли ISA-сервера соответствует свой список задач. В следующей таблице перечислены некоторые административные задачи ISA-сервера, а также роли, в рамках которых они могут выполняться.

Действие	Аудитор мониторинга ISA-сервера	Аудитор ISA-сервера	Полный администратор ISA-сервера.
Просмотр цифровой панели, предупреждений, подключений, сеансов и служб.	Разрешено	Разрешено	Разрешено
Подтверждение предупреждений	Разрешено	Разрешено	Разрешено
Просмотр сведений журнала	Не разрешено	Разрешено	Разрешено
Создание определений предупреждений	Не разрешено	Не разрешено	Разрешено
Создание отчетов	Не разрешено	Разрешено	Разрешено
Остановка и запуск сеансов и служб	Не разрешено	Разрешено	Разрешено
Просмотр политики брандмауэра	Не разрешено	Разрешено	Разрешено
Настройка политики брандмауэра	Не разрешено	Не разрешено	Разрешено
Настройка кэша	Не разрешено	Не разрешено	Разрешено
Настройка виртуальной частной сети (VPN)	Не разрешено	Не разрешено	Разрешено

Администраторы, обладающие разрешениями роли «Аудитор ISA-сервера», могут настраивать все свойства отчетов, за исключением следующих.

•	При публикации отчетов невозможно настраивать учетную запись другого пользователя.
•	Невозможно изменять содержимое отчета.

Административные роли уровня массива (выпуск Enterprise Edition)

Администраторов уровня массива можно распределять по отдельным предопределенным ролям, для каждой из которых будет задан свой набор задач. В следующей таблице описаны роли уровня массива на ISA-сервере выпуска Enterprise Edition.

Роль	Описание
Аудитор мониторинга массива ISA-сервера	Пользователи и группы, принадлежащие к этой роли, могут отслеживать основные операции ISA-сервера и сети, но не могут просматривать конфигурацию сервера.
Аудитор массива ISA-сервера	Пользователи и группы, принадлежащие к этой роли, могут выполнять все задачи мониторинга, включая настройку журналов и настройку определений предупреждений, а также просматривать конфигурацию ISA-сервера.
Полный администратор массива ISA-сервера	Пользователи и группы, принадлежащие к этой роли, могут выполнять в определенном массиве любые задачи ISA-сервера, включая настройку правил, применение сетевых шаблонов и мониторинг.

Администраторы, принадлежащие к роли «Аудитор массива ISA-сервера», могут настраивать все свойства отчетов, за исключением следующих.

•	При публикации отчетов невозможно настраивать учетную запись другого пользователя.
•	Невозможно изменять содержимое отчета. Пользователь в роли «Администратор массива ISA-сервера» может запускать на сервере процессы с максимальными правами доступа.

Роли и действия

Каждой роли ISA-сервера соответствует свой список задач. В следующей таблице перечислены некоторые административные задачи ISA-сервера, а также роли, в рамках которых они могут выполняться.

Действие	Аудитор мониторинга массива ISA-сервера	Аудитор массива ISA-сервера	Полный администратор массива ISA-сервера
Просмотр цифровой панели, предупреждений, подключений, сеансов и служб.	Разрешено	Разрешено	Разрешено
Подтверждение и сброс предупреждений	Разрешено	Разрешено	Разрешено
Просмотр сведений журнала	Не разрешено	Разрешено	Разрешено
Создание определений предупреждений	Не разрешено	Не разрешено	Разрешено
Создание отчетов	Не разрешено	Разрешено	Разрешено
Остановка и запуск сеансов и служб	Не разрешено	Разрешено	Разрешено
Просмотр политики брандмауэра	Не разрешено	Разрешено	Разрешено
Настройка политики брандмауэра	Не разрешено	Не разрешено	Разрешено
Настройка кэша	Не разрешено	Не разрешено	Разрешено
Настройка виртуальной частной сети (VPN)	Не разрешено	Не разрешено	Разрешено
Сток и остановка брандмауэра или веб-прокси с балансировкой нагрузки сети (NLB)	Не разрешено	Разрешено	Разрешено
Просмотр локальной конфигурации (в реестре элемента массива)	Не разрешено	Разрешено	Разрешено
Изменение локальной конфигурации (в реестре элемента массива)	Не разрешено	Не разрешено	Не разрешено

Административные роли уровня предприятия (выпуск Enterprise Edition)

С помощью ролевого администрирования можно разбить администраторов предприятия на ISA-сервере 2006 по отдельным предопределенным ролям, для каждой из которых будет предусмотрен свой круг задач. Когда пользователю присваивается роль, этот пользователь получает разрешение на выполнение определенных задач. Ролевая администрация работает с пользователями и группами Windows. Роли пользователей различаются в зависимости от прав доступа, членства в группах и прав пользователей.

На ISA-сервере различаются роли уровня предприятия и уровня массива. В следующей таблице описаны роли на ISA-сервере, предназначенные для администрирования предприятия.

Роль	Описание
Аудитор предприятия	Пользователи и группы, принадлежащие к этой роли, могут просматривать конфигурацию предприятия и всех массивов. Кроме того, они могут просматривать локальную конфигурацию (в реестре элемента массива).
Администратор предприятия	Пользователи и группы, принадлежащие к этой роли, обладают полным контролем над предприятием и конфигурациями всех массивов. Кроме того, администратор предприятия может присваивать роли другим пользователям и группам. Кроме того, они могут просматривать и изменять локальную конфигурацию (в реестре элемента массива).

Пользователь в роли «Администратор предприятия» может запускать на ISA-серверах предприятия процессы с максимальными правами доступа.

Кроме того, на ISA-сервере предусмотрена роль администратора политики. Пользователь в этой роли может просматривать и изменять определенные политики.

Роли и действия

Каждой роли ISA-сервера соответствует свой список задач. В следующей таблице перечислены некоторые административные задачи ISA-сервера, а также роли, в рамках которых они могут выполняться.

Действие	Администратор предприятия	Аудитор предприятия
Просмотр политик предприятия	Разрешено	Разрешено
Создание политик предприятия	Разрешено	Не разрешено
Применение политик предприятия к массиву	Разрешено	Не разрешено
Просмотр политики брандмауэра на уровне массива	Разрешено	Разрешено
Просмотр конфигурации массива	Разрешено	Разрешено
Изменение конфигурации массива	Разрешено	Не разрешено
Создание массива	Разрешено	Не разрешено
Просмотр локальной конфигурации (в реестре элемента массива)	Разрешено	Разрешено
Изменение локальной конфигурации (в реестре элемента массива)	Разрешено	Не разрешено

Роли для доменов и рабочих групп (выпуск Enterprise Edition)

В зависимости от топологии сети, для ролей, связанных с сервером хранилища конфигурации, необходимо настраивать различные разрешения.

Компьютер, на котором находится ISA-сервер, относится к рабочей группе

Если компьютер, на котором находится ISA-сервер, принадлежит рабочей группе, но сервер хранилища конфигурации принадлежит домену, то для доступа к серверу хранилища конфигурации необходимо использовать учетные записи пользователей, настроенные на домене.

Создайте зеркальные учетные записи на каждый член массива для связи и администрирования внутри массива. Необходимо создать учетные записи, параметры которых будут совпадать с параметрами учетной записи, настроенной в первом члене массива.

Например, предположим, что сервер хранилища конфигурации принадлежит домену Microsoft.com. Два компьютера, на которых находится ISA-сервер, принадлежат к рабочим группам. Предприятием управляет администратор предприятия с именем пользователя Adina. Этот пользователь должен принадлежать к группе «Администраторы предприятия». В данном примере необходимо наличие следующих учетных записей:

•	Создайте зеркальные учетные записи для пользователя Adina на обоих компьютерах, на которых выполняются службы ISA-сервера. (У этих учетных записей должны быть одинаковые учетные данные.)
•	Добавьте доменное имя пользователя Adina к пользователям, которым разрешен доступ к серверу хранилища.
•	Добавьте имя пользователя (заданное в зеркальной учетной записи) к списку зеркальных учетных записей, применяемых для мониторинга этого массива.

Когда администратор предприятия подключается к предприятию, выполняются следующие действия:

1.	При настройке способа подключения к серверу хранилища конфигурации задаются учетные данные пользователя, который вошел в систему.
2.	При настройке способа подключения к каждому элементу массива задаются различные учетные данные.
3.	В качестве имени пользователя в учетных данных члена массива задается Adina.

Компьютер, на котором находится ISA-сервер, принадлежит домену

Если компьютер, на котором выполняются службы ISA-сервера, относится к домену, а сервер хранилища конфигурации принадлежит рабочей группе, то на сервере хранилища конфигурации необходимо создать административную учетную запись.

Обратите внимание на то, что в этом сценарии для предприятия можно использовать только один сервер хранилища конфигурации. Создайте доменные учетные записи для связи и администрирования внутри массива.

Компьютер, на котором выполняются службы ISA-сервера, и сервер хранилища конфигурации относятся к рабочей группе

Если как службы ISA-сервера, так и сервер хранилища конфигурации относятся к одной рабочей группе, то необходимо создать одну административную учетную запись.

Обратите внимание на то, что в этом сценарии для предприятия можно использовать только один сервер хранилища конфигурации. Доменные учетные записи для связи и администрирования внутри массива создавать не нужно.

Создайте зеркальные учетные записи на всех элементах массива для связи и администрирования внутри него. Возможно, зеркальные учетные записи потребуется создать для каждого администратора. В качестве альтернативного варианта создайте зеркальные учетные записи для каждой роли.

Учетные данные

При запросе на ввод учетных данных следует указывать надежные пароли. Пароль считается надежным, если он обеспечивает эффективную защиту от несанкционированного доступа. Надежный пароль не содержит полностью или частично имя пользователя учетной записи, а также содержит, по меньшей мере, три или четыре знака следующих категорий: прописные буквы, строчные буквы, основные 10 цифр, а также знаки, которые находятся на клавиатуре (такие как !, @ или #).

Рекомендации

Учтите следующие рекомендации.

Разрешения

Следуйте принципу присвоения минимальных прав доступа при настройке разрешений для администраторов ISA-сервера, описанному в следующем разделе. Тщательно продумайте, какие пользователи смогут входить в систему на компьютере ISA-сервера, чтобы исключить доступ тех пользователей, участие которых в работе сервера не является необходимым.

Минимальные права доступа

Следуйте принципу минимальных прав доступа, когда пользователь обладает минимальными правами доступа, достаточными для выполнения определенных задач. Это гарантирует, что в случае несанкционированного доступа к учетной записи пользователя ущерб будет минимальным, поскольку права этого пользователя ограничены.

Группа «Администраторы» и другие группы должны быть как можно меньше. Например, пользователь, принадлежащий к группе «Администраторы» на компьютере ISA-сервера, может выполнять на нем любые действия.

В выпуске Standard Edition пользователи группы «Администраторы» неявно относятся к роли «Полный администратор» ISA-сервера. Они обладают полными правами настройки и контроля ISA-сервера.

Обратите внимание на то, что пользователи, принадлежащие к группе «Администраторы» на сервере хранилища конфигурации, могут управлять конфигурацией предприятия. Они могут напрямую изменять любые данные на сервере хранилища конфигурации.

Вход в систему и настройка

Входить в систему на компьютере ISA-сервера следует с минимальными правами доступа, необходимыми для выполнения задачи. Например, для настройки правила следует войти в систему в качестве администратора ISA-сервера. Однако для просмотра отчета предпочтительнее войти в систему с меньшими правами доступа.

В целом, для выполнения повседневных задач, не связанных с администрированием, следует использовать учетную запись с ограниченными правами доступа, а учетные записи с более широкими возможностями следует использовать только для выполнения определенных административных задач.

Гостевые учетные записи

На компьютере ISA-сервера гостевые учетные записи рекомендуется отключить.

При входе пользователя в систему на компьютере ISA-сервера операционная система проверяет, соответствуют ли введенные учетные данные какому-либо из известных пользователей. Если учетные данные не принадлежат известному пользователю, то он входит в систему как гость с правами доступа, предусмотренными для гостевой учетной записи.

На ISA-сервере гостевая учетная запись используется по умолчанию для набора всех пользователей, прошедших проверку.

Избирательные списки управления доступом

В новой установке избирательные списки управления доступом ISA-сервера (DACL) настроены соответствующим образом. Дополнительно, ISA-сервер изменяет настройку списков DACL при изменении административных ролей, а также при перезапуске службы управления ISA-сервером Microsoft (isactrl). Дополнительные сведения см. выше в разделе Функции ролевого администрирования.

Поскольку ISA-сервер периодически изменяет конфигурацию списков DACL, не следует выполнять пофайловую настройку этих списков на объектах ISA-сервера с помощью средства настройки и анализа безопасности. В противном случае могут возникать конфликты между набором списков DACL групповой политики и списков, которые пытается настроить ISA-сервер.

Не изменяйте набор списков DACL ISA-сервера. Обратите внимание на то, что ISA-сервер не задает списки DACL для перечисленных ниже объектов. Для следующих объектов списки DACL следует задавать очень аккуратно, при этом разрешения должны получать только надежные пользователи.

Папка для отчетов (если выбрана публикация отчетов).

Файлы конфигурации, создаваемые при экспорте или резервном копировании конфигурации.

Файлы журналов, резервная копия которых сохраняется в другом месте.

Следует задавать списки DACL очень внимательно, предоставляя разрешения только надежным пользователям и группам. Кроме того, следует создать обязательные списки DACL для объектов, которые косвенно используются ISA-сервером. Например, при создании ODBC-подключения, которое будет использовать ISA-сервер, имя источника данных (DSN) должно быть защищено.

Настройте обязательные списки DACL для всех приложений, работающих на компьютере ISA-сервера. Убедитесь, что настроены обязательные списки DACL для связанных данных в файловой системе и в реестре.

При настройке HTML-кода SecurID или шаблонов сообщений об ошибках нужно также настроить соответствующие списки DACL. Рекомендуемый список DACL — это разрешение наследования Inherit от родителя.

Критические данные (исполняемые данные и файлы журналов) не следует сохранять в разделах с файловой системой FAT32. Это связано с тем, что списки DACL не настраиваются для partitionsTip FAT32.

Отмена разрешений пользователей

При отмене административных прав доступа у администратора ISA-сервера рекомендуется удалить учетную запись пользователя из службы каталогов Active Directory®, что гарантированно прекратит доступ этого пользователя.

Удаление административных разрешений

Для удаления административных разрешений следует удалить пользователя из соответствующей группы администраторов.

Чтобы удалить из группы безопасности тех администраторов ISA-сервера, которые уже вошли в систему, и добавить их в новую группу, выполните следующие действия

1.	Добавьте административную учетную запись в новую группу.
2.	Выйдите из системы и войдите снова с помощью административной учетной записи, чтобы новые параметры вступили в силу.

Удалите административную учетную запись из первоначальной группы.