ISA Server 2004 安全强化指南.docVIP

转自MicrosoftISA Server 2004 安全强化指南简介本指南旨在提供有关如何强化运行 Microsoft Internet Security and Acceleration (ISA) Server 2004 Standard Edition 的计算机的重要信息。 除了提供具体的实用配置建议之外，本指南还包含 ISA 服务器部署策略。 对于运行 Microsoft Windows Server 2003 的计算机，本指南是 Windows Server 2003 Security Guide (/fwlink/?LinkId=31584) 的配套指南。 具体说来，本指南中的许多过程与 Windows Server 2003 Security Guide 中介绍的安全建议直接相关。 因此，在您执行本指南中叙述的过程之前，建议您首先阅读 Windows Server 2003 Security Guide。 如果 ISA 服务器安装在运行 Windowsreg; 2000 Server 的计算机上，请参阅 Windows 2000 Security Hardening Guide (/fwlink/?LinkID=22380)。本指南的范围本指南的重点明确集中在有助于创建和维护安全的 ISA Server 2004 环境所需的操作上。 本指南应作为 ISA Server 2004 总体安全策略的组成部分，而不应作为创建和维护安全环境的完全参考。 具体说来，本指南详细回答以下问题： ? 在保证 ISA 服务器安全方面有哪些建议步骤？ ? 在 ISA 服务器配置方面应考虑哪些安全因素？ ? 哪些指导有助于准备安全的 ISA Server 2004 部署？ 返回页首保证 ISA 服务器计算机安全保证 ISA 服务器安全的一个重要步骤是验证 ISA 服务器计算机是否物理上安全，以及您是否采用基本的安全配置建议，包括以下各项： ? 管理更新 ? 物理上保证计算机安全 ? 确定域成员身份 ? 强化 Windows 基础结构 ? 管理角色和权限 ? 减小潜在攻击面 以下各部分描述如何实施这些建议。 本文还描述在识别安全威胁时如何锁定 ISA 服务器。管理更新作为安全最佳做法，我们强烈建议您始终为操作系统、ISA 服务器以及 ISA 服务器安装的其他组件（Microsoft SQL Server? 2000 Desktop Engine (MSDE) 和 Office Web Components 2002 (OWC)）安装最新更新。 执行以下操作： ? 获取操作系统更新。 在 Windows Update 站点 上查找更新。 ? 获取 ISA 服务器更新。 在 ISA Server 2004 下载中心 (/fwlink/?LinkId=28791) 上查找最新更新信息。 ? 在 Microsoft Security Bulletin Search (/fwlink/?LinkId=28687) 上搜索 Microsoft SQL Server 2000 Desktop Engine (MSDE) 和 Office Web Components 2002 (OWC) 的最新更新。 我们还建议您定期使用 Microsoft Baseline Security Analyzer (MBSA) 分析系统安全。 您可以从 MBSA 网站 (/fwlink/?LinkID=28790) 下载 MBSA。物理访问确保 ISA 服务器计算机存储在物理安全位置。 物理访问服务器存在高度安全风险。 入侵者物理访问服务器会导致未经授权访问或修改，以及安装企图绕过安全检查的硬件或软件。 为了维护安全的环境，您必须限制对 ISA 服务器计算机的物理访问。??确定域成员身份许多情况下，您可能需要将 ISA 服务器计算机设置为域成员。 例如，如果您要创建一种依赖于域用户身份验证的策略，ISA 服务器应属于某个域。如果 ISA 服务器计算机保护的是您的网络的边缘，我们建议您将它安装在一个单独的林中，而不是安装在公司网络的内部林中。 这样有助于保护内部林。即使 ISA 服务器计算机所在的林受到攻击，也不会危及内部林。 为获得作为域成员的 ISA 服务器在管理和安全方面的好处，我们建议您将 ISA 服务器计算机部署在一个单独的林中，该林与公司林之间是一种单向信任关系。 （只有 Windows Server 2003 域才支持单向信任。）请注意，当您将 ISA 服务器作为域成员安装时，您可以使用组策略锁定 ISA 服务器计算机，而不是通过仅配置本地策略来锁定。 由于安全原因，如果您不要求 ISA 服务器计算机具有域