ISAServer2004安全强化指南四.docVIP

ISA Server 2004 安全强化指南四(图) 2006年11月21日?22:22 ChinaByte 　　远程管理 　　通常，您将从远程计算机管理 ISA 服务器。 谨慎地确定有权管理和监控 ISA 服务器的远程计算机。 下表显示应配置的系统策略规则。 　　 　　默认情况下，启用允许远程管理 ISA 服务器的系统策略规则。 ISA 服务器可以通过运行远程“Microsoft 管理控制台 (MMC)”管理单元来管理，或者使用终端服务来管理。 　　默认情况下，这些规则应用于内置的“远程管理计算机”计算机集。 当您安装 ISA 服务器时，创建这个空计算机集。 请向这个空计算机集添加将远程管理 ISA 服务器的所有计算机。 直到这样做之后，才能实际从某台计算机进行远程管理。 　　提示 　　通过配置系统策略规则，以便仅适用于特定 IP 地址，可以将远程管理限于特定计算机。 　　要启用远程管理，请执行以下步骤。 　　1. 单击“开始”，指向“所有程序”，指向 Microsoft ISA Server，然后单击“ISA 服务器管理”。 　　2. 在“ISA 服务器管理”的控制台树中，单击 Microsoft ISA Server2004，单击 server_name，然后单击“防火墙策略”。 　　3. 在“工具箱”选项卡上，单击“网络对象”。 　　 　　4. 在“网络对象”下面的工具栏中，在“计算机集”下方，用鼠标右键单击“远程管理计算机”，然后单击“属性”。 　　 　　5. 单击“添加”，然后单击“计算机”。 　　6. 在“名称”中，键入计算机的名称。 　　7. 在“计算机 IP 地址”中，键入可以远程管理 ISA 服务器的计算机的 IP 地址。 　　远程监视和日志 　　默认情况下，禁用远程日志和监控。 默认情况下禁用以下配置组: ? 远程日志 (NetBIOS) 　　远程记录 (SQL) 　　远程性能监视 　　Microsoft 操作管理器 　　下表描述这些配置组。 　　 　　启用远程日志和监视 　　要启用远程监视和日志，请执行以下步骤。 　　1. 单击“开始”，指向“所有程序”，指向 Microsoft ISA Server，然后单击“ISA 服务器管理”。 　　2. 在“ISA 服务器管理”的控制台树中，单击 Microsoft ISA Server2004，单击 server_name，然后单击“防火墙策略”。 　　3. 在“任务”选项卡上，单击“编辑系统策略”。 　　4. 在系统策略编辑器的“配置组”树中，选择以下一个或多个配置组: 远程日志 (NetBIOS) 　　远程记录 (SQL) 　　远程性能监视 　　Microsoft 操作管理器 　　5. 在“常规”选项卡上，验证选中“启用”。 　　防火墙客户端共享 　　如果在安装 ISA 服务器时安装了“防火墙客户端共享”组件，默认情况下启用“防火墙客户端安装共享”配置组。 内部网络上的所有计算机均可以访问该共享文件夹。 下表显示启用的系统策略配置组(及规则)。 　　 　　如果未安装“防火墙客户端共享”组件，系统不启用此配置。 　　诊断服务 　　默认情况下，启用允许访问诊断服务的系统策略规则，从而提供以下权限: ICMP。 这适用于所有网络。 此服务对确定与其他计算机的连接性很重要。 　　Windows 网络。 这允许 NetBIOS 通讯。默认情况下，允许与内部网络上的计算机通讯。 　　Microsoft 错误报告。 这允许使用 HTTP 协议访问“Microsoft 错误报告站点”URL 集，从而允许报告错误信息。 默认情况下，此 URL 集包括特定的 Microsoft 站点。 　　连接性验证程序。 此服务允许 ISA 服务器计算机使用 HTTP 和 HTTPS 协议检查某台特定计算机是否响应。 　　下表显示默认情况下启用的系统策略配置组。 　　 　　连接性验证程序 　　另外，默认情况下不启用以下诊断服务:HTTP 连接性验证程序。 　　当您创建连接性验证程序时，系统启用 HTTP 连接性验证程序配置组，从而允许本地主机网络使用 HTTP 或 HTTPS 协议访问任何其他网络上的计算机。 下表描述 HTTP 连接性验证程序配置组。 　　 　　建议将此访问限于您要验证其连接性的特定计算机。 　　要限制此访问，请执行以下步骤。 　　1. 单击“开始”，指向“所有程序”，指向 Microsoft ISA Server，然后单击“ISA 服务器管理”。 　　2. 在“ISA 服务器管理”的控制台树中，单击 Microsoft ISA Server2004，单击 server_name，然后单击“防火墙策略”。 　　3. 在“任务”选项卡上，单击“编