Развертывание forefront threat management

Развертывание forefront threat management

Итак, добрался до экспериментов с развертыванием Microsoft Forefront Threat Management Gateway.
При установке использовал 64-битную виртуальную машину (2 ядра и 2 гигабайта ОЗУ) с урезанными по отношению к запрашиваемым требованиями.
Microsoft рекомендует использовать 4 процессора и 4 гигабайтоа ОЗУ. Между тем, он неплохо встал и на порезануую конфигурацию.
Для развертывания использовал Windows Server 2008 Datacenter Edition x64. Установил все обновления, в том числе, необходимый для развертывания Service Pack 2.
Предлагаемый для скачивания и установки дистрибутив представляет собой самораспаковывающийся архив, который распаковывается в C:Microsoft Forefront TMG и весит 1 гигабайт с мелочью.
При запуске autorun получаем панель инсталяции, со ставший уже привычным мастером проверки конфигурации, который следует запустить перед самой установкой. Он не просто проверяет, но и устанавливает необходимые компоненты для спешного развертывания TMG.
Начало установки до боли напоминает установку ISA сервера. Все те же знакомые шестеренки процесса инсталяции, почти те же самые вопросы.
Выбираем установку TMG сервисов и менеджмента (по умолчанию). Выбираем куда развернуть рабочую копию программы (по умолчанию C:Program FilesMicrosoft Forefront Threat Management Gateway).
Указываем локальную сеть, для этого достаточно указать интерфейс сервера, смотрящий в локалку — он автоматом подставит нужные ранжи, или прописать сети вручную. Это было и в ISA сервере. Все, дальше ждем окончания процесса развертывания (примерно 20 минут) и делаем предконфигурацию сервисов TMG.
Замечу что вместе с TMG разворачивается MSSQL2008.
Запуск мастера конфигурации проходит в три этапа:
1. Configure Network Settings
2. Configure System Settings
3. Define Deployment Options

Configure Network Settings
Указываем роль нашего TMG — front-end сервер, back-end сервер, односетевое решение или решение с DMZ.
Как и в ISA данный выбор предконфигурирует разные типы network set-ов и правил общения между сетами.
Указываем какой интерфейс сервера смотрит внутрь сети, а какой наружу. Для удобства, я перед инсталяцией переименовываю интерфейсы в Internal и External. Так сложно ошибиться при выборе.
Характерной особенностью, что появилась в TMG — возможность указать нестандартные маршруты в сети, если, например, есть отдельный VPN сервер, на который надо маршрутизировать ответы в виртуальную сеть.

Configure System Settings
Этого этапа в ISA не было.
Здесь предлагается указать является ли сервер доменным или standalone.
Так как мой сервер был предварительно введен в домен — эти опции уже преднастроены, но имеется возможность на этом шаге сменить домен или имя машины.

Define Deployment Options
Этого этапа так же не было в ISA.
Настраиваем обновления сервера на использование WSUS (если в домене политиками раздается локальный SUS сервер, то будет использоваться он. В таком случае на нем надо добавить закачку обновлений для TMG).
Указываем лицензии для сетевого инспектора NIS и Web Protection. Как раз то, чего не было в ISA — своей собственной защиты от вирусов и атак. Рекомендую так же выставить галочку URL Filtering, что включит механизм блокирования потенциально опасных узлов. В настоящий момент в ISA2006 я использую GFI Web Monitor.
Указываем частоту обновления NIS, и стандартно настраиваем или не настраиваем отправку customer expiriences в Microsoft.

По завершению этих трех этапов стартует Web Access Policy Wizard, в котором рекомендуется задать предустановки по умолчанию для блокировки ненадежных узлов. Список удобно разделен на категории, например анонимайзеры, ботнет, игровые сервера, фишинговые ссылки, порнография.
Здесь же можно добавить свой список запрещенных узлов по этим категориям, или создать свою категорию. По умолчанию все списки пусты.
Следующим этапом предлагается задать пользователей, которым разрешено обходить блокирующие списки.
Далее идет настройка инспектора вредоносного кода. Желательно включить данную опцию. Здесь же есть возможность отсекать загрузку запароленных архивов.
Отдельно вынесена настройка инспектирования HTTPS трафика (!). Правда с оговоркой — мол инспектирование закрытого трафика может нарушать private laws. Следует быть осторожными с этой настройкой, так как под инспектирование попадет например работа с платежными системами пластиковых карт — это потенциальная возможность похищения информации администраторами TMG.
По этому следующим шагом можно настроить уведомление пользователей что их https соединение инспектируется TMG. Если мы настроили инспектировать HTTPS с валидацией сертификатов сайта, то нужно настроить источник сертификатов, будь то ручной режим или режим публикации сертификатов в Active Directory.
Далее определяем место и размер контент-кеша TMG. В ISA это делалось постфактум — а здесь предварительно.

После этого сервер почти готов к работе. Сразу обращает на себя внимание тот факт, что настройки не применяются автоматом, а ждут подтверждения. Нажимаем Apply и сервер начинает работу.
Мы имеем очень похожую на ISA консоль управления, только более расширенную. Появился вездесущий Dashboard, вынесен в отдельный блок Web Access Policy, E-mail policy. Появилась система обнаружения атак в которую входит NIS и фильтр известных сетевых атак. Удобно настраиваемый, прозрачный и уже включенный по умолчанию.
Примечателен тот факт, что в отличии от ISA сервера — после правила блокировки некорректных web-сайтов, идет разрешающее правило для всех в интернет по протоколам HTTP и HTTPS, а уже потом запрещающее все остальное. Насколько я помню ISA — там было только блокирующее правило, и разрешать надо было самостоятельно.
Хорошо это или плохо сказать сложно. С одной стороны пользователи УЖЕ способны ходить в интернет через TMG, а с другой — все равно эти правила каждый администратор задает сам, по группам и предпочтениям. Разрешено всем и всё — мало где применяется.
Интересный пункт — настройка политик e-mail. Здесь можно указать внутренние почтовые серверы, которые обслуживают некоторые домены, в том числе внешние. Эти правила являются дополнительным фильтром нежелательной почты.
Так же интересная мелочь — перед применением очередных изменений TMG предлагает экспортировать работающие настройки, и в случае некорректной конфигурации можно откатиться к сохраненной конфигурации.
Следует так же упомянуть, что для архитектуры x86 консоль управления устанавливается из отдельного пакета, а не методом выбора установки консоли из стандартной инсталяции.

Читайте также:  Преобразователь эксель в ворд

Понравилась возможность быстрой настройки варианта с несколькими провайдерами. Если на входе имеется несколько независимых каналов в интернет, то TMG позволяет настроить их в режимах отказоустойчивости отказоустойчивости с балансировкой.
Для этого На сервере должно быть по одной сетевой карте от каждого провайдера.

В целом TMG создает о себе приятное впечатление дружественного шлюза с кучей интересных и легко настраиваемых опций, справиться с большинством из которых может средней руки администратор.

В данном обзоре мы подробно рассмотрим Forefront Threat Management Gateway 2010, одну из самых интересных новинок последнего времени от корпорации Microsoft, пришедшую на смену ISA Server 2006. Помимо функционала корпоративного фаервола и прокси-сервера, новинка включает в себя возможности антивирусной и антиспам фильтрации HTTP и SMTP трафика, проверку HTTPS трафика и обнаружения уязвимостей.

Сертификат AM Test Lab

Номер сертификата: 66

Дата выдачи: 03.03.2010

Срок действия: 03.03.2015

Системные требования

Microsoft Forefront Threat Management Gateway 2010 поддерживает только операционные системы Windows Server 2008 с пакетом обновления 2 (SP2) или Windows Server 2008 R2.

Минимальные системные требования:

  • поддерживаемые операционные системы: Windows Server 2008 с пакетом обновления 2 (SP2) или Windows Server 2008 R2;
  • компьютер с двухъядерным (1 ЦП x два ядра) 64-разрядным процессором;
  • 2 Гб оперативной памяти;
  • 2,5 Гб свободного места на жестком диске (будет использоваться только для кэширования и временного хранения файлов в ходе проверки наличия вредоносных программ);
  • один раздел локального жесткого диска с файловой системой NTFS;
  • одна сетевая плата, совместимая с операционной системой компьютера, для взаимодействия с внутренней сетью;
  • дополнительная сетевая плата для каждой сети, подключенной к серверу Forefront TMG.

Рекомендуемые системные требования:

  • компьютер с четырехъядерным (2 ЦП x два ядра или 1 ЦП x четыре ядра) 64-разрядным процессором;
  • 4 Гб оперативной памяти
  • 2,5 Гб свободного места на жестком диске (будет использоваться только для кэширования и временного хранения файлов в ходе проверки наличия вредоносных программ);
  • два диска для ведения системного журнала и журнала TMG и один — для кэширования и проверки наличия вредоносных программ;
  • одна сетевая плата, совместимая с операционной системой компьютера, для взаимодействия с внутренней сетью;
  • дополнительная сетевая плата для каждой сети, подключенной к серверу Forefront TMG.

Установка продукта

Microsoft Forefront Threat Management Gateway — комплексный набор программ для обеспечения безопасности в сети, позволяющий повысить надежность охраны и усилить контроль за клиентскими и серверными операционными системами, благодаря интеграции с существующей ИТ-инфраструктурой и упрощению развертывания, управления и анализа.

Усилиями компании Майкрософт полная версия продукта Forefront Threat Management Gateway (Forefront TMG), являющегося прямым наследником Microsoft ISA Server, вышла в первом полугодии 2009 года. Помимо всего функционала Microsoft ISA Server новый продукт включает в себя улучшения существующих, а также множество новых функций.

Forefront TMG продается в двух вариантах: Standard и Enterprise. Функционально они практически не отличаются, различия состоят лишь в лицензионных ограничениях, которые приведены ниже.

Развертывание клиента Forefront Threat Management Gateway 2010

В этом посте я продолжу рассказывать о процессе установки и настройки Microsoft Forefront Threat Management Gateway 2010 и, в частности, сегодня постараюсь описать процесс развертывания клиента Forefront TMG 2010 в защищенной им сети, а также процесс настройки автообнаружения параметров веб-прокси (параметров настройки нашего сервера Forefront TMG) в нашей тестовой сети клиентами.
Перед тем как я расскажу о том как организовать развертывание клиента Forefront TMG 2010 нам необходимо настроить автоматическое обнаружение параметров нашего веб-прокси во внутренней сети на основе протокола WPAD, что обеспечит автоматическое получение параметров конфигурации веб-браузерами клиентских компьютеров и настроек клиентами Forefront TMG 2010. В Forefront TMG для осуществления автоматического обнаружения используется сценарий автоматической настройки или WPAD-запись в Active Directory, DNS или DHCP. Forefront TMG 2010 может действовать от имени WPAD-сервера для клиентов веб-прокси.

Читайте также:  Индукционный генератор электрического тока

Для начала включим автоматическое обнаружение на интерфейсе нашей внутренней сети в Forefront TMG 2010. Для этого в консоли управления TMG 2010 заходим в раздел Networking, выбираем внутреннюю сеть (Internal) и нажимаем Properties . После чего переходим на вкладку Auto Discovery, где мы должны включить автоматическое обнаружение и указать порт для приема запросов на получение файлов настроек браузера от клиентов. По умолчанию Forefront TMG публикует информацию об автоматическом обнаружении на порте 8080. При использовании записи WPAD в DNS публикация должна осуществляться на порте 80. Записи WPAD в DHCP могут использовать любой порт. Так как я в дальнейшем объясню процесс создания записи WPAD в DNS и в DHCP, то я буду использовать порт 80.

Ставим галочку напротив “” , нажимаем ОК и применяем выбранные настройки (Apply):

После успешного применения настроек щелкаем ОК :

На этом настройка автоматического обнаружения со стороны Forefront TMG 2010 окончена.

Далее необходимо обеспечить, чтобы клиентский браузер смог получить url-адрес нашего WPAD-сервера используя запись DHCP-сервера или DNS-сервера. URL-адрес WPAD используется для поиска файла конфигурации, используемого для настройки параметров клиента веб-прокси.

Для того, чтобы клиентский браузер смог найти сервер WPAD используя DHCP мы должны позаботится о создании соответствующей записи на сервере DHCP, а также думаю всем понятно, что в сети должен быть “поднят” сервер DHCP и клиентские машины должны быть клиентами DHCP, т.е. должны получать IP-адреса от DHCP-сервера.

Процесс создания записи WPAD на сервере DHCP выглядит следующим образом: открываем консоль DHCP из меню Administrative Tools (Администрирование)


и выбираем название нашего сервера DHCP в левой части консоли. Раскрываем список протоколов и выбираем IPv4. Щелкаем правой кнопкой мыши и выбираем команду Set Predefined Options (задать предопределенные настройки) :


В диалоговом окне Predefined Options and Values (предопределенные параметры и значения), нажимаем кнопку Add (добавить) и заполняем следующие параметры:

Для подтверждения щелкаем ОК и вводим URL-адрес брандмауэра в качестве значение нашей записи WPAD в поле Value : http://gateway:80/wpad.dat
В строке Value : gateway – это имя нашего сервера Forefront TMG 2010, 80 – номер порта, который мы настраивали для приема запросов на получение файлов настроек браузера от клиентов (см. выше).


Подтверждаем наши настройки, щелкаем ОК.
Далее необходимо включить на сервере DHCP параметр WPAD с кодом 252 для области. Для этого открываем параметры IPv4 в левом окне консоли, находим Scope Options (параметры области) и щелкаем на них правой кнопкой мыши. Выбираем команду Configure Options (настройка параметров). В диалоговом окне Scope Options (параметры области) в списоке Available Options (доступные параметры) необходимо найти и поставьте галочку в поле 252 wpad. Нажмите на кнопку Apply (применить), а затем на кнопку OK. После этого в правой части консоли мы увидим, что параметр WPAD включен :

На этом процесс создания записи WPAD на сервере DHCP для автоматического обнаружения завершен.
Клиентский браузер или клиентский брандмауэр также может найти сервер WPAD используя запрос к серверу DNS. Приступим к созданию записи WPAD на сервере DNS: заходим в консоль управления сервером DNS из меню Administrative Tools (Администрирование)

Перед тем как создавать запись WPAD на сервере DNS необходимо чтобы на сервере DNS была предварительно создана запись узла Host (A) для WPAD-сервера. Согласно рекомендациям Microsoft, необходимо зарезервировать статическое имя DNS узла для WPAD-сервера, как описано в статье Майкрософт 934864: Настройка служб Microsoft DNS и WINS для резервирования регистрации WPAD. Далее необходимо создать непосредственно запись псевдонима (CNAME) для указания на запись существующего узла – нашего сервера WPAD.

На DNS-сервере в дереве консоли щелкните правой кнопкой на зону прямого просмотра домена и затем щелкните New alias name (cоздать псевдоним) CNAME :


В диалоговом окне New resource record вводим :

В поле Alias Name (имя псевдонима) введите WPAD

В поле Fully qualified domain name (полное имя конечного узла) введите полное доменное имя WPAD-сервера. Если на компьютере или массиве Forefront TMG уже определена запись узла (запись А), нажмите кнопку Обзор и найдите в пространстве имен DNS имя сервера Forefront TMG.

щелкаем ОК для выбора,

И еще раз ОК для создания CNAME записи.:


Из скриншота видно, что мы успешно создали запись CNAME для обнаружения нашего WPAD-сервера. Исходя из логики все что нужно сделано, но как оказывается, этого недостаточно для успешного обнаружения WPAD-сервера в сети используя DNS. Роль DNS Server в системе Windows Server 2008 предусматривает глобальный список блокировки запросов, позволяющий уменьшить уязвимость системы, связанную с динамическими обновлениями DNS. Если настройка или удаление WPAD происходит после развертывания роли сервера DNS на сервере Windows Server 2008, необходимо обновить список блокировки на всех DNS-серверах, где находятся области регистрации серверов WPAD, т.е. необходимо удалить WPAD из черного списка DNS. Эта процедура выполняется в командной строке с использованием известной утилиты командной строки dnscmd :

Читайте также:  Как вставить фото в текст word

Для начала просмотрим включена блокировка глобальных запросов или нет: для этого откроем командную строку и выполним команду :

dnscmd /info /enableglobalqueryblocklist

Результатом работы этого запроса может быть значение 1, если блокировка глобальных запросов включена и 0 – в противном случае. Просмотрим черный список :

dnscmd /info /globalqueryblocklist

Как видно из результата выполнения команды wpad включен в черный список запросов. Отключим блокировку глобальных запросов выполнив следующую команду:

dnscmd /config /enableglobalqueryblocklist 0

Таким образом процесс создания записи WPAD на сервере DNS для автоматического обнаружения завершен. Как вы могли заметить настройка в некотором смысле не всегда тривиальна и необходимо иногда “поизвращаться” для того, чтобы все корректно настроить, 🙂

Ну а теперь я расскажу о новшестве — Microsoft Forefront TMG 2010 предоставляет новую функцию автоматического определения TMG сервера для TMG клиента. Forefront TMG 2010 клиент посредством протокола LDAP может использовать маркер (AD Marker) в Active Directory для поиска соответствующего TMG сервера в сети.

Для создании конфигурации маркера АD Marker в Active Directory используется специальный инструмент TMG AD Config. Этот инструмент входит в состав Microsoft® Forefront Threat Management Gateway (TMG) Beta 3 Tools & Software Development Kit, а точнее в состав пакета

AdConfigPack.EXE и который можно скачать в центре загрузки Microsoft по этой ссылке.

Скачиваем AdConfigPack.EXE и запускаем его на сервере Forefront TMG 2010:

принимаем условия лицензионного соглашения :


Пару секунд и все установлено :


После установки запускаем командную строку и переходим в папку с установленным инструментом :


Далее посмотрим синтаксис этой тулы :


Согласно синтаксиса создаем маркер AD Marker в Active Directory следующей командой :

где gateway.test.loc – FQDN нашего сервера Forefront TMG 2010, 80 — номер порта на котором Forefront TMG публикует информацию об автоматическом обнаружении.


AD маркер в Active Directory можно также удалять используя эту же тулу, если Вы решите не использовать поддержку AD Marker. Вот и все готово.

После всего рассказанного я могу сказать, что все подготовительные мероприятия проведены и можно рассказать как автоматически установить клиенты Forefront TMG 2010 на клиентские компьютеры.

Для централизованного развертывания программного обеспечения клиента Forefront TMG на клиентских компьютерах в сети можно использовать один из трех нижеприведенных методов распространения:

В данной статье я расскажу о втором методе распространения клиента Forefront TMG 2010, а именно — распространение с использованием групповой политики. О третьем методе я напишу отдельный пост.

Независимо от метода распространения клиента Forefront нам необходимо положить на сетевой ресурс сам инсталляционный пакет клиента Forefront TMG 2010, который будет устанавливаться на клиентские компьютеры и дать доступ на чтение всем пользователям домена:

1. Создаем общий сетевой ресурс TMG_Client_Setup и копируем сюда с инсталляционного диска сам файл клиента Forefront TMG 2010: MS_FWC.MSI

2. Устанавливаем права на чтение всем пользователям домена:


3. Далее на контроллере домена заходим в редактор групповых политик и создаем новый объект групповой политики, например TMG_Client_Deploy, с привязкой к тому Organization Unit (OU), где находятся пользователи, которым необходимо установить клиент Forefront TMG 2010:

Теперь отредактируем созданный объект групповой политики TMG_Client_Deploy :

кликаем правой кнопкой мыши и нажимаем Edit :

5. В левой части консоли раскрываем User Configuration – Policies – Software Settings – Software installation :

и создаем новый пакет установки :

указываем путь к созданному ранее сетевому ресурсу, на котором лежит файл клиента Forefront TMG 2010:

выбираем тип развертывания : Assigned – при этом типе развертывания установка клиента Forefront TMG 2010 будет произведена автоматически при входе пользователя в домен

Далее обязательно ставим “галочку” напротив Install this application at logon, чтобы процесс установки клиента Forefront TMG был выполнен автоматически при входе клиента в домен:

Для сохранения всех выполненных нами действий нажимаем финишный ОК:

6. Принудительно обновим политику домена:



На этом окончен процесс создания групповой политики для автоматического распространения клиента Microsoft Forefront TMG 2010 по сети. Проверим как применяется созданная политика на примере одного пользователя :

Как только пользователь залогинился клиент Forefront TMG 2010 автоматически установился :

и получил настройки от сервера TMG :


и автоматически сконфигурировал веб-браузер:


В завершении всего выше сказанного хочу подвести итоги : в этом посте я продолжил знакомство с новым продуктом Microsoft для для обеспечения безопасности внутренней сети предприятия, а также обеспечивающего защиту внешнего периметра корпоративной сети от внешних угроз. В посте я постарался максимально подробно рассказать о настройке автоматического обнаружения параметров веб-браузеров клиентских компьютеров и настройках клиентов Forefront TMG 2010, описан процесс распространения клиента Forefront TMG 2010 на компьютеры пользователей с использованием групповых политик. Я надеюсь, что мой пост поможет Вам.

Ссылка на основную публикацию
Adblock detector