ISA Server 2004 alle Anleitungen als PDF
Contents
1. 470 886998 Best practices when you publish two or more internal Web sites that use authentication on an Internet Security and Acceleration Server 2004 based computer 887002 You experience a one minute delay in the passage of ICMP ping traffic after you change the network relationship type for an IPSec site to site network rule in ISA Server 2004 887005 Description of the time formats that are used in Internet Security and Acceleration Server 2004 log files and reports 888649 Core services that must be enabled for your Internet Security and Acceleration ISA Server 2004 computer to function correctly 884496 Client computers cannot access external resources and event ID 14147 appears in the Application log in ISA Server 2004 884560 You cannot use the RADIUS authentication protocol when you use the OWA Forms Based Authentication on a Web publishing rule to publish an internal Web site such as OWA in ISA Server 2004 885186 How to publish a Web site directly on your Internet Security and Acceleration Server 2004 computer 884496 Client computers cannot access external resources and event ID 14147 appears in the Application log in ISA Server 2004 839509 How to configure connectivity verifiers to monitor selected computers and networks in ISA Server 2004 884109 How to enable VPN access for users in a front end or back end scenario in ISA Server 2004 884505 How to use an ISA Server 2004 computer to block2. ccccccccccccccessseseeccccceaaneeseeeceeeeeeeaas 110 Konfiguration des ISA f r automatische Suche der Clienteinstellungen WPAD WSPAD EEE NE EE T E T E ee E EEE A A E T 115 Benutzerrollen und berechtigungen delegieren neesesssseoeersssssssscerrrsssssssrerssssssseeerees 125 Backup und Restore eines ISA Server 2004 0 0 0 0 cccsssssseeccccccceeeessesecccceesuaeeessseeeeeeeseaes 130 Remoteverwaltung eines ISA Server 2004 Teil 1 Remotedesktop RDP 135 Remoteverwaltung eines ISA Server 2004 Teil 2 Managementkonsole MMC 141 ISA Info gt Das lt Dokumentations und Supporttool f r den ISA Server 2004 150 Sch nheitskorrektur SQL Server Dienst Manager usssssessssseeeeennnnnnnnneseeeennnnnnnnnen 157 Erstellen einer Firewallrichtlinie am Beispiel von POPS3 22000sssssseeneeeeeen 159 Systemrichtlinien Firewallrichtlinien f r den ISA Server selber 168 Ein und Ausgehende ping Anfragen konfigurieren uesssssessssseeeessssnnnnnnsssnennenennnnnnnennnnn 176 Zugriff auf Windowsupdate V5 durch den ISA 2004 Von Christian Gr bner 183 ISA Server 2004 Microsoft SQL Server Ver ffentlichung uuneeeeeen 195 Einrichtung von RPC over HTTPS mit dem ISA Server 2004 00 eeeceeeseseeeeeeeeeeeees 200 7eitabeleich mit emen externen Zeitsetver aaa sen E R aa 229 Outlook Webaccess pe
3. M Keinen Proxyserver f r lokale Adressen Intranet verwenden Abbrechen bernehmen Hilfe Von nun an erhalten alle angemeldeten Dom nenbenutzer die Einstellungen vorkonfiguriert Wenn verhindert werden soll dass die Benutzer die Einstellungen selber ver ndern hilft folgende Option Struktur Favoriten Richtlinie Ennsilensf mm F Eaj nderung der Farbeinstellungen deaktivieren Richtlinien f r Default Domain Policy vrm w Ei Anderung der Farbeinstellungen f r Links deaktivieren TAS Computerkonfiguration al Anderung der Schriftarteneinstellungen deaktivieren i Benutzerkonfiguration Eii nderung der Spracheinstellungen deaktivieren H E Softwareeinstellungen Ei Anderung der Einstellungen f r Eingabehilfen deaktivieren Windows Einstellungen al Assistenten f r Internetzugang deaktivieren Be Administrative vorlagen fil nderung der erbi alekinsiou er Windows Komponenten iz Anderung der Proxyveinstellungen deaktivieren H E NetMeeting i nderung der Einstelungen f r die automatische Konfiguration Sa Internet Explorer ea Anderung der Filtereinstellungen deaktivieren is LO Internetsystemsteueru Eu Anderung der Zertifikatseinstellungen deaktivieren Ei Anderung der Einstellungen f r den Profil Assistenten deaktivier i Autovervolst ndigen F r Formulare deaktivieren Eu Die Kennw rter in Autovervwollst ndigen k nnen nicht gespeiche Eg EE Yom Administrator ber Anderung der Einstellungen f
4. zur cksetzen Gesamter Speicherplatz auf NTFS Laufwerken MB 16378 Aktuelle Gesamtcachegr e ME 2000 OK Abbrechen Ubernehmen Im obigen Beispiel wurde ein Cachefile von 2000 MB festgelegt Nat rlich m ssen die Einstellungs nderungen wie beim ISA Server 2004 blich bernommen werden celeration Server 2004 han r bernehmen verwerten Da anschlie end auch der Firewalldienst neu gestartet werden muss wird der Administrator darauf hingewiesen 18 ISA Server Warnung Anderungen werden erst wirksam nachdem folgende Dienste neu gestartet wurden Microsoft Firewsall Die nderungen werden erst wirksam nachdem Sie die Dienste manuell neu gestartet haben nderungen speichern und Dienste neu starten Snderungen werden nach Neustart der Dienste angewendet Dieser Yorgang kann einige Minuten dauern Alle beendeten Dienste mussen manuell neu gestartet werden Sobald der Diensteneustart erfolgt st werden alle Webanfragen zwischengespeichert Anschlie end kann man in den Eigenschaften der Cacheeinstellungen noch einiges konfigurieren Cacheeinstellungen j 7 xl Allgemein Aktive Zwischenspeicherung Erweitert Bea N sesamtcachegr e aller Cachelaufiwerke des Computers 2000 ME Die Zwischenspeicherung wird nur aktiviert wenn die Grote DD mindestens eines Lachelaufwerks gr er als 0 ist Abbrechen bernehmen 19 Cache
5. amp Netzwerkverbindungen a D Ioj x Datei Bearbeiten Ansicht Favoriten Extras Erweitert 7 ae Gp Zurich EQ f Ja Suchen ae Ordner Ex BEI Adresse ie Netzwerkyerbindungen wechseln zu Ger tename Besitzer Assistent gt EaAssistent f r neue Verbindungen Assistent LAN oder Hochgeschwindigkeitsinternet al WAN LAN oder Hochgeschwindigkeitsinternet Aktiviert Intel 21140 basierter System LAN LAN oder Hochgeschwindigkeitsinternet Aktiviert Intel 71140 basierter System Assistent f r neue verbindungen p Klicken Sie auf Weiter Assistent f r neue Yerbindungen E Wilkommen Mit desem Assistenten konnen Sie Eine Yerbindung mit dem Internet herstellen Eine Yerbindung mit einem privaten Netzwerk herstellen wie z B einem Firmennetzwerk Klicken Ste auf Weiter um den Yorgang fortzusetzen ZUNICK Abbrechen W hlen Sie Verbindung mit dem Internet herstellen 460 Assistent f r neue Yerbindungen Hetzwerkyerbindungstyp Wie mochten Sie vorgehen Stellt eine Verbindung mit dem Internet her 0 dass Sie den Browser verwenden und E Mail lesen konnen C Yerbindung mit dem Netzwerk am Arbeitsplatz herstellen Stellt eine Yerbindung mit einem Firmennetzwerk ber eine DFU oder VPA Verbindung her s0 dass Sie von zu Hause oder unterwegs arbeiten konnen Eine erweiterte Verbindung einrichten Stellt eine direkte Werbindung mit einem anderen Computer u
6. Benutzerberechtigungen definieren rea Exportieren Importieren Trennen Sichern wiederherstellen Ansicht d Eigenschaften Hilfe 130 Array sichern Speichern in Eigene Dateien r verwendete D Desktop Eigene Dateien wr a 2 Arbeitsplatz Eee Dateiname Konfig Stand 01 02 2004 bung Dateityp Isa Server E xportdateien xml Abbrechen Geben Sie einen beschreibenden Namen der Sicherungsdatei an Die xml Datei wird teilweise verschl sselt deshalb muss ein Kennwort vergeben werden Kennwort festlegen Sie haben ausgew hlt vertrauliche Informationen zu exportieren die wahrend des Exports werschlusselt werden Beim Importieren muss ein Kennwort eingegeben werden damit diese D atei ge ffnet und Legen Sie das zum Importieren dieser Datei erforderliche Kennwort fest mindestens 8 Zeichen Kennwort EIER Kennwort best tigen e SETTET TT Abbrechen Das Sichern der Konfiguration dauert nur wenige Sekunden ISABZ 01 wird nach C Dokumente und Einstellungen Administrator Eigene Dateien Konfi l Definitionen werden exportiert Abbrechen 131 Array sichern _ eae ajx Zuletzt verwendete D Arbeitsplatz wi Peer Dateiname konfig Stand 01 02 2004 Reserve bung Dateityp Isa Server Exportdateien xml Abbrechen Z Hier ein kleiner Auszug aus der soeben erzeugten S
7. set MYERRMSG Kein Zugriff m glich Quarantine Control ist evtl deaktiviert else if SERRORLEVELS 2 set MYERRMSG Zugriff verweigert Installieren Sie das CMAK Profile aus dem Unternehmensnetz else set MYERRMSG Unbekannter Fehler der Client bleibt im Quarantine Mode echo 3MYERRMSG goto EOF TESTFAIL echo 447 echo Der Computer erfullt nicht die Anforderungen der Security Policy der Firma IT TRAINING echo GROTE Wenden Sie sich an Ihren Administrator um die Mangel zu beheben und so Zugriff auf echo Firmenressourcen zu erhalten EOF Zusammenfassung Welche Schritte werden bei der Verwendung des Quarantine Control Features von ISA 2004 durchgef hrt e Der Benutzer der Quarantine Remote Access Clients verwendet das installierte Quarantine CM Profil um sich zum ISA 2004 Server zu connecten e Der Client leitet die Authentifizierungsanfrage an den ISA Server e Der ISA Server validiert die Authentifizierungsdaten und pr ft die Remote Access Policy ob diese die Quarantine Policy matched e Die Verbindung wird mit Quarantine Restriktionen akzeptiert und der Client erh lt eine IP Adresse und wird im Quarantined VPN Clients Netzwerk geparkt e Der Quarantined Client kann dem ISA Server nur mitteilen ob das Skript erfolgreich ausgef hrt wurde e Das CM Profile f hrt das Quarantine Skript als sogenannte Post Connect Aktion durch e Das Quarantine Skript wird ausgef hrt und
8. A aF Legen Sie fest wie dieser Computer von einem anderen Standort aus verwendet werden kann r Remoteunterstutzung m Remoteunterstutzung aktivieren und das Senden von Einladungen yon diesem Computer zulassen weitere Informationen uber Remote nterstutzung Enseitert r Remsotedesktop Vollstandiger Computername zonne msisaladg muc Weitere Informationen uber Remotedesktop Remotebenutzer ausw hlen Abbrechen bernehmen In den Systemeigenschaften Systemsteuerung gt System muss auf der Registerkarte Remote der Remotedesktop aktiviert werden Standardm ig d rfen dann nur lokale Administrationen eine RDP Verbindung herstellen Man kann aber jederzeit weitere berechtigte Benutzer hinzuf gen Sollten Sie die echten Terminaldienste ver ffentlichen wollen ist dieser Schritt ggfs nicht notwendig Konfiguration einer Firewallrichtlinie f r externen RDP Zugriff Nachdem die Windows seitigen Einstellungen vorgenommen wurden kann eine Firewallrichtlinie erstellt werden Erstellen Sie eine neue Serverver ffentlichungsregel 294 Assistent f r neue Servrerrer ffentlichungsregeln willkommen Microsoft Internet Security amp Acceleration Server2004 Mit diesem Assistenten konnen Sie eine neue Serververottenthchungsregel erstellen Serververottent hchungsregeln ordnen eingehende Clentanforderungen dem zust ndigen internen Server zu Bo Name der Serververo
9. 238 f r die Verschl sselung vom ISA zum Exchange Server f r exch srv1 meinedomain local auf dem Exchange Server Wichtig hierbei ist dass der Client der Zertifizierungsstelle fiir das externe Zertifikat und der ISA Server der Zertifizierungsstelle des internen Zertifikates vertrauen Des Weiteren m ssen die FQDN s Full Qualified Domain Name mit denen der Zertifikate bereinstimmen und die Zertifikate d rfen nicht abgelaufen sein ansonsten kommt kein Verbindungsaufbau zustande Voraussetzungen e Exchange Server ab Version 5 5 mit Standart Authentifizierung e Ein Webserverzertifikat f r exchange meinedomain de dem ISA Server e Ein Webserverzertifikat f r exch srvl meinedomain local auf dem Exchange Server e ISA Server 2004 1 Konfiguration des Exchange Servers 1 1 Konfiguration des HTTP Protokolls Exchange System Manager B I oj x a Datei Aktion Ansicht Fenster 7 e am Arg Erste Organisation Exchange EEEF Globale Einstellungen H a Empf nger ia Administrative Gruppen See Erste administrative Gruppe Server Ee EXCH SRYI sa I4 warteschlangen ree Erste Speichergr 0 Protokolle ge HTTP 5 IMAP4 H E NNTP Sy POPS 5 SMTP DERF Routinggruppen H E Ordner gt FA re i ee Offnen Sie in der Verwaltungskonsole fiir den Exchange Server die Einstellungen des virtuellen Exchange Servers f r das HTTP Protokoll 239 Eigenschaften von irtueller Exchange Server ae Ko
10. Diese Richtlinie steuert den Zugriff auf das Netzwerk solange keine individuelen Zugriffsberechtigungen in dem Benutzerprofil angegeben sind Wenn eine Werkindungs anforderung mit den angegebenen Bedingungen Ubereinstinimt C AAS Berechtigung verweigern f FAS Berechtigung erteilen OF Abbrechen bernehmen Wie angegeben werden Einwahlberechtigungen nur f r Mitglieder der Gruppe VPN Users erteilt Bei Bedarf kann die Richtlinie mit weiteren Bedingungen wie z B durch einen Zeitraum in dem sich Benutzer einw hlen d rfen erweitert werden 407 Einw hlprofil bearbeiten Benutzer dart das Kennwortnach Ablaufdatum andern U berrenmen Die Authentifizierungsmethode wurde nur auf MS Chap V2 gesetzt 408 ISA Server 2004 Site to Site VPN mit L2TP IPSec Die Informationen in diesem Artikel beziehen sich auf e Microsoft ISA Server 2004 Einleitung Dieser Artikel beschreibt die Einrichtung eines Site to Site VPN Netzwerkes zwischen zwei mit SDSL ans Internet angebundenen Standorten Obernkirchen OBK und Braunschweig BS Beide Standorte verwenden einen ISA Server 2004 Standard Uberblick iiber Site to Site VPN Gro e Unternehmen verf gen h ufig ber mehrere Standorte die untereinander kommunizieren m ssen z B eine Unternehmenszentrale in Obernkirchen M nchen und eine Schulungsniederlassung in Braunschweig Die beiden Standorte k nnen mithilfe eines Site to S te VPN sicher be
11. Fertigstellen des Assistenten Der Assistant fur Windows Komponenten wurde erfolgreich abgeschlossen Klicken Ste auf Fertig stellen um den Yorgang abzuschheten ZZUTLICK Schlie en Sie die Installation mit Fertigstellen ab 203 2 Konfiguration des virtuellen RPC Verzeichnisses Internetinformationsdienste Manager 3 Datei Aktion Ansicht Fenster f Hm xea S gt m i 6 Internetinformationsdienste aR L EXCH SRY1 lokaler Computer RocProsy dll 1 Anwendungspools 7 Ell Websites a Standardwebsite gi Exadmin l Exchange Fg Exchiveb Hi Microsoft Server Acti 35 OMA Fb Public oM H aspnet_client I Webdiensterweiterungen ffnen Sie den Internetinformationsdiente Manager ber Start gt Programme gt Verwaltung und ffnen S e Eigenschaften des RPC Verzeichnisses 204 Eigenschaften von Rpc Ed virtuelles Verzeichnis Dokumente Verzeichnissicherheit HTTP Header Benutzerdefinierte Fehler Authenkifizierung und Zugriffsteuerung Aktivieren Sie anonymen Zugang und bearbeiten Sie die Authentifizierungs methoden f r diese Ressource Einschr nkungen f r IP Adressen und Dom nennamen gew hren oder verweigern Sie den Zugriff auf diese Ressource ber IP Adressen oder Internetdamanennamen Bearbeiten Sichere Kommunikation Setzen Sie sichere kommunikation Soe voraus und aktivieren Sie Server Zer Lillies Clientzertifi
12. IP Adresse 192 166 69 51 ISAzk4 192 166 69 50 ISAzk4 197 168 69 82 ISA2k4 Hirzuk gen IP Adresse Enthernen OK Abbrechen 299 Assistent f r neue Servrerrer ffentlichungsregeln IP Adressen Wahlen Sie die Netzwerk IP Adressen auf dem 15 4 Server aus der Anforderungen fur den ver ffentlichten Server abhort Diese Netzwerke auf Anforderungen abhorer Ausgew hlte IPs Extern 192 168 69 80 C Intern Alle IP Adressen Lokaler Host Alle IP Adressen 1 Qusarant nen YPN Clients Alle IP Adressen C VPN Clients Alle IP Adressen I lz Alla elai ete Blbne Aal IM A den uruck Weiter gt Abbrechen Hinweis Sollten Sie mehrere interne Server oder den ISA Server Computer gleichzeitig per RDP von extern zug nglich machen m ssen Sie daf r unterschiedliche externe IP Adressen oder einen anderen Port verwenden Sie k nnen mit einer externen IP Adresse maximal einen internen Server ver ffentlichen Die letzte Seite des Assistenten zeigt wie immer eine bersicht an 300 Assistent f r neue Serrerver ffentlichungsregeln a i x Fertigstellen des Assistenten Microsoft Internet Security amp Der Assistent fur eine neve Serrerver ffentlichungsregel Acceleration 0 hacer wurde erfolgreich abgeschlossen Die neue Serveryverotfenthchungsregel wird wie folgt konfiguriert Name al ROF extern zu Sonne Yerpffentichter Server
13. Im Reiter Authentifizierung k nnen Sie die Authentifizierungsprotokolle festlegen PPTP L2TP erfordern im Gegensatz zu IPSEC eine Authentifizierung Eigenschaften von Remote GW o q Allgemein Adressen Verbindung Protokoll Authentilizierung Wahlen Sie che Auihentiinerungepotokode che Prane mar enn 154 Server Verbindungen mit einem Remotestandortgsteway initier C Extensible Authentication Protokoll EAP Beispiele Hen ara cee a ASA SeculD fe Microsoft CHAP Version 2 MS CHAPy2 Che folgenden Authentilizierungsprotokolle werden nicht empiohlen Verwenden Sie deze Protokolle nur falls der Femotestandort keine s chereten Protokolle unterst tzt Microsol CHAP IMS CHAP Challenge Handshake Authentication Protokoll HAP Erfondert umkehrbare Kennworler EAE Ue Siena thebeats M Unwerschl sseltes Kennwort PAP Erfondert umkehrbare Kenswworter Erstellen eine Netzwerkregel Hinweis Da es sich bei der Netzwerkregel um eine Routingregel handelt ist keine zus tzliche Netzwerkregel in die andere Richtung notwendig Bei einer Netzwerkregel mit NAT hingegen 421 wird nur eine einseitige Verbindung erstellt Der letzte Schritt ist die Erstellung einer Netzwerkregel welche die beiden Standorte mit einander verbindet a Figera chitin ci ee private Metres Eh Se haber de Netowerktopologie ge ndert Das Ketzer lag aca ste chee ner ungen recht der tlle Metivesrice in ces Bitara bt
14. Maximale Lange 7i Bytes Abbrechen Die meisten Befehle ben tigen nur eine bestimmte Anzahl an nachfolgenden Optionen sodass dies keine Operative Einschr nkung ist Z B ist f r das Kommando Mail from eine L nge von 266 Zeichen vorkonfiguriert Dies reicht sicherlich aus um die komplizierteste Absendemailadresse abzubilden denn welche Mailadresse hat mehr als 266 Zeichen M glicherweise hat aber der interne SMTP Server ein Sicherheitsloch was ausgenutzt werden k nnte wenn man hm Mailadressen mit 2000 Zeichen bergibt Um dem vorzubeugen setzt der ISA Server mit seinem SMTP Filter eine Beschr nkung Bestehende vorkonfigurierte Befehle k nnen nicht gel scht werden s e K nnen nur deaktiviert werden Es ist problemlos m glich neue Befehle hinzuzuf gen diese k nnen dann auch wieder gel scht werden Es empfiehlt sich gef hrliche oder nicht benotigte Befehle prinzipiell zu sperren e EXPN Das EXPN Expand Kommando erweitert eine Verteilerliste sodass der Absender alle in der Verteilerliste enthaltenen Mailadressen herausbekommen kann e NOOP Der NOOP NO Operation Befehl ist f r den funktionalen Betrieb berfl ssig Er bewegt den Mailserver lediglich dazu eine OK Statusmeldung zu liefern Im bertragenen Sinn ist er mit dem ping Befehl vergleichbar e VRFY Das VRFY verify Kommando wird dazu benutzt um einen Benutzernamen beim Mailserver zu berpr fen Hinweis Wenn ein Client den TURN Befehl
15. vorhandene E Mail Konten anzeigen oder bearbeiten Yerzeichnis Ein neues Verzeichnis oder Adressbuch hinzuf gen vorhandene Verzeichnisse oder Adressb cher anzeigen oder bearbeiten Erstellen Sie f r Outlook ein Profil und f gen diesem ein neues Konto hinzu E Mail Konten a x Servertyp Wahlen Sie den Servertyp mit dem Ihr neues E Mail Konto arbeitet Es wird eine Yerbindung zu einem Exchange Server hergestellt um E Mail zu lesen auf ffentliche Ordner zuzugreifen und Dokumente freizugeben C Pops Es wird eine verbindung zu einem POPS Mailserver hergestellt um E Mail zu downloaden C IMAP Es wird eine Verbindung zu einem IMAP Mailserver hergestellt um E Mail zu downloaden und Postfachordner zu synchronisieren HTTP Es wird eine Verbindung zu einer HTTP Mailserver wie Hotmail hergestellt um E Mail zu downloaden und Postfachordner zu synchronisieren Zus tzliche Serrertypen Es wird eine verbindung zu einem Mailserver einer anderen Arbeitsgruppe oder eines Drittanbieters hergestellt Zur ck Abbrechen 223 Als Serverart wahlen Sie hier Microsoft Exchange Server aus E Mail Konten Exchange Server Einstellungen Geben Sie die Informationen ein die zur Verbindung mit dem Exchange Server erforderlich sind geben Sie den Mamen Ihres Microsoft Exchange Servers ein Wenden Sie sich an Ihren Systemadministrator Falls unbekannt Microsoft Exchange Server exc
16. 192 168 16 68 Ei Verottenthchter Dienst ROF Terminaldienste Server Abhoren auf TE 5 zii klicken Sie auf Fertig stellen um den Yorgang abzuschlie en uruck Abbrechen Bevor die neu erstelle Firewallrichtlinie bernommen wird sollten Sie noch eine kleine Korrektur n den Eigenschaften der Richtlinie vornehmen Gehen S e dazu auf die Registerkarte Von Eigenschaften von RDP extern zu Sonne E 3 xl Allgemein Aktion Datenverkehr on Bis Netzwerke Zeitplar Diese Regel betrifft Datenverkehr von diesen Quellen a E ster Bearbeiten Entfernen ii Ausnahmen Hinzuf gen Bearbeiten Enttemen iLE Diese Regel gilt nur f r Datenverkehr von Metzwerkidentit ten die in den ausgew hlten Netzwerken auf der Registerkarte Netzwerk enthalten sind Hilfe uber Netzwerklistener OF Abbrechen bernehmen 301 t Security amp Acceleration Server2004 Standard Edition ehren p verwerfen Standardm ig wird als Quellnetzwerk beliebig ausgew hlt ndern Sie das in Extern ab Sollten Sie noch weitere Einschr nkungen vornehmen wollen so tun Sie es hier und jetzt Es ist z B denkbar dass Sie nur bestimmte vordefinierte Computer in einem Computersatz zusammenfassen und nur diesen den Zugriff auf diese Regel erlauben Dann w rden Sie nat rlich diesen Computersatz statt Extern hinzuf gen Denken Sie daran die durchgef
17. Donane ausw hlen Konhigunieren Abbrechen Uber den Schalter Authentifizierung ist f r alle Benutzer erforderlich wird die Authentifizierung f r das ganze interne Netzwerk eingeschaltet Hinweis Wird der Schalter Authentifizierung ist f r alle Benutzer erforderlich nicht aktiviert kann dennoch eine Benutzerauthentifizierung erzwungen werden Wenn eine Regel f r http ftp mit einer Gruppe existiert gilt diese auch nur f r die Gruppenmitglieder Unabh ngig vom gesetzten Schalter Es ist daher immer wichtig die richtige Authentifizierungsmethode zu verwenden In einer reinen Windows Umgebung sollte die Integrierte Authentifizierung aktiviert sein FR Name Protokolle Yon Listener Bedingung E e 1 http f r Admins G Zulassen Lid HTTP edhe Intern Extern his Administratoren os Lokaler Host e 2 http nach MS F r alle Zulassen Li HTTP ds Intern B Durch Systemrichtlinie zugelassene Sites A Alle Benutzer Im oben abgebildeten Fall haben die Mitglieder der Gruppe Administratoren uneingeschr nkten Internetzugriff Alle anderen Benutzer d rfen nur die Webseiten aufrufen die durch die Systemrichtlinie erlaubt sind Je nach vorhandener Netzwerkumgebung muss jedoch die Authentifizierungsmethode angepasst werden Dies ist zum Beispiel der Fall wenn als Webbrowser nicht der Microsoft Internet Explorer ab 5 x verwendet wird Die anderen Browser unterst tzen n mlich die Integrierte Authentifizierung nicht
18. Firewallrichtlinie Name Aktion Protokolle Ru rer von f Listener Nach Bedingung ei F 1 Webzugriff f r Empfang 2 Zulassen I HTTP a Workstations Extern Ae Empfangsgruppe L HTTPS ah 64 RADIUS IAS Authentifizierung mit dem ISA Server 2004 Die Informationen in diesem Artikel beziehen sich auf e Microsoft ISA Server 2004 Einleitung Der ISA 2004 bietet als erste Firewalll sung von Microsoft die M glichkeit eine Benutzerauthentifizierung f r das Regelwerk ber eine RADIUS Remote Authentication Dial In User Service Verbindung einzurichten Die Microsoft Implementierung von RADIUS nennt sich IAS Internet Authentication Service und steht unter Windows 2000 und 2003 f r alle Windows Versionen Ausnahme Windows 2003 Web Editon zur Verf gung Nachteile der IAS Authentifizierung mit dem ISA Server 2004 e RADIUS Traffic st per Default unverschl sselt Die Verwendung von IPSEC wird empfohlen e Bei jedem zutreffen der Regel muss RADIUS den Client reauthentifizieren was bei ausgelasteten Servern mehr Netzwerk und Verarbeitungslast erzeugt e ISA enth lt nicht sehr viele Informationen im RADIUS Access Request Paket so dass eine Unterscheidung zwischen ISA und anderen Diensten sehr schwer ist wenn alle auf derselben Maschine laufen Hinweis Webbrowser verstehen kein RADIUS als Authentifizierungstyp so dass der ISA Server 2004 den Clint auffordert sich per Basic Authentication zu identifiziere
19. Microsoft Internet Security amp Acceleration Server 2004 Standard Edlthen Firewallrichtlinie 4 Protokolle Yon Listener Systemrichtlinienregeln E a 1 Zugriff auf Yerzeichnisdienste f r Authentifizierung i LDAP Lokaler Host Intern on LOAF UDP a LDAP GC Global Catalog LOAPS Di LEAPS GC Global Catalog a 2 Remoteverwalung mit MMC von ausgew hlten Co 3 5 Firewallsteuerurg za Remotevervwalt Lokaler Host L1 NetBios Datagramm Di MetBios Mamendienst Li NetBios Sitzung Di RPC alle Schnittstellen 3 Remoteverwaltung mit Terminalserver von ausge A ROP Terminaldienste Za Remoteverwalt Lokaler Host E Lat 4 Remoteprotokollierung mit WetBlOS Transport auf NetBios Datagram t Lokaler Host b Intern 2 HetBios Namendierst ER NetBios Sitzung E a 5 RADIUS Authentifizierung von 154 Server an ausg gb RADIUS 4 Lokaler Host Intern on RADIUS Authentifizierung E a 6 Kerberos Authentifizierung von 154 Server an ausa D Kerberos Sec TCP Lokaler Host Intern i Kerberos Sec UDP 8 DNS vom 154 Server an ausgew hlte Server zulassen Li bys ets Lokaler Host ih Alle Netzwe 78 DHCP Anforderungen von 154 Server an alle Netz 3 LU DHCP Anforderung ths Lokaler Host y Beliebig 719 DHCP Ankworten von DHCP Servern an I5A Server U DHCP Antwort b Intern b Lokaler Host 7110 ICMP PING Anforderungen von ausgew hlten Co TEA Ping Za Remoteverw lt b Lokal
20. a i Klicken Sie auf Fertig stellen um den Yorgang abzuschlie en furuck Abbrechen Bevor die neu erstelle Firewallrichtlinie bernommen wird sollten Sie noch eine kleine Korrektur n den Eigenschaften der Richtlinie vornehmen Gehen S e dazu auf die Registerkarte Von Eigenschaften von RDP von extern auf ISA m xl Allgemein Aktion Datenverkehr Yon Bis Netzwerke Zeitplar Diese Regel betrifft Datenverkehr von diesen Quellen Etem Hinzuf gen Bearbeiten Ausnahmen Hinzufugen Bearbeiten Enttenen al Diese Regel gilt nur far Datenverkehr von Netzwerkidentit ten die in den ausgew hlten Netzwerken auf der Registerkarte Netzwerk enthalten sind Hilfe uber Netzwerklistener OF Abbrechen bernehmen 285 Standardm ig wird als Quellnetzwerk beliebig ausgew hlt ndern Sie das in Extern ab Sollten Sie noch weitere Einschr nkungen vornehmen wollen so tun Sie es hier und jetzt Es ist z B denkbar dass Sie nur bestimmte vordefinierte Computer in einem Computersatz zusammenfassen und nur diesen den Zugriff auf diese Regel erlauben Dann w rden Sie nat rlich diesen Computersatz statt Extern hinzuf gen Denken Sie daran die durchgef hrten nderungen zu y amp bernehmen Erst dann wird das Regelwerk in ISA Acceleration server2004 Server tats chlich ge ndert und steht zur Verf gung Microsoft verwerten Sollten Sie e
21. ajx Geben Sie die Authentifizierungsmethoden und einstellungen an die f r die Authentifizierung von Clients die eine Yerbindung mit dem I54 Seryver Computer herstellen verwendet werden sollen Hilfe ber Authentifizierung O 4 Digest C p Integriert Standard U SSL Zertifikat C ows Forms Based Aktiviert Formularbasierte Cookie H res ch Authentifizierung ist f r alle Benutzer erforderlich r Authentifizierungsserver Standarddom ne f r Authentifizierung ha ERE E E EE ausw hlen RADIUS Server f r Authentifizierung DP ANTUS Server ausw hlen Formilarbasierte Oni a Authentineleruing Kanfidurieren konfigurieren Abbrechen 219 Wahlen Sie als Authentifizierungsmethode nur Standart aus Sie bekommen eine Sicherheitswarnung angezeigt die Sie best tigen Ein Sicherheitsrisiko besteht hier nicht da die Daten in einem SSL Tunnel bertragen werden 3 3 Erstellen einer Sicheren Webserververoffentlichung Teil 2 Assistent f r neue 55L Webver ffentlichungsregel x Benutzersatze Sie k nnen die Regel auf Anforderungen von allen Benutzern anwenden Sie k nnen den Zugriff aber auch auf bestimmte Benutzers tze einschr nken Diese Regel betrifft Anforderungen von folgender Benutzers tzen amp Alle Benutzer Hinzuf gen Bearbeiten al Enthernen Zur ck Abbrechen Hier k nnten Sie den Zugriff
22. al 2 YPN Clients zum internen Metz Route t Quaranta nen VPN Clients Intern Ss VPN Clients E a 3 Internetzugritf MAT Intern Extern 4 Quarantanen VPN Clients gt VPN Clients Falls es n tig sein sollte kann hier die Beziehung zwischen den Netzwerken konfiguriert werden d h ob von dem VPN Client Netzwerk in andere Netzwerke geroutet oder NAT angewandt werden soll 6 Was passierte durch die Konfiguration der Punkte 1 3 405 a Routing und RAS Datei Aktion Ansicht 7 m dei eel l Routing und RAS 4 Serverstatus Fuy SRV1 lokal fi H Metzwerkschnittstellen SA at R 45 Clients 0 Ports IP Routing ne a Allgemein fap i E Statische N E RAS Richtlinien EN RAS Protokollierung z FISA Server Standardrichtlinie 24 verbindungen mit dem Microsoft Routing und Yerbindungen mit anderen Zugriffsserwern Durch die eben durchgef hrten Schritte wurde m Routing und RAS Dienst eine neue RAS Richtlinie ZSA Server Standardrichtlinie erstellt 406 Eigenschaften von ISA Server Standardrichklinie i x Einstellungen Geben Ste Bedingungen an mit denen Yerbindungsanforderungen Ubereinstinimen mussen Richtimenbedingungen Windows Groupe stimmen berein mit MEINEDOMAINSYPN Lsers Bearbeiten Entfernen Das zugewiegene Profil wird fur diese Verbindung ubernormen wenn Yerbindungsanforderungen mit den in der Richtlinie angegebenen Bedingungen Ubereinstimmen Profil bearbeiten
23. Automatische Aktualisierumgsrate Dienst gestartet 16 08 2004 20 29 06 Neu Firewalldienst Mittel Alarmaufgaben x Ausgew hlte Alarme zur cksetzen Ausgew hlte Alarme anerkennen HF Alarmdefinitionen konfigurieren Alarminformationen Beschreibung Der 154 Server Steuerungsdienst wurde gestartet 320 Eigenschaften von Alarme Alarmdefinikionen alarm 00000000 Kategorie Alarmakkionsfehler Firewalldienst Firewalldienst Firewalldienst J Berichtszusammenfassungs Erstellu Betriebssystem Komponentenkonflikt 5866 Firewalldierist Firewalldierist Firewalldienst Firewalldienst Sicherheit ef Enthernen Aktualisieren Abbrechen bernehmen Hier eine Aufstellung der m Auslieferungszustand enthaltenen Alarmdefinitionen und deren Aktivierungsstatus Dienst antwortet nicht Cachecontainer Initialisierungsfehler Cache ID Cachecontainerwiederherstellung a Cache AN Cacheinitialisierungstehler Cache Li Cacheobjekt verworfen Cache Cacheschreibrehler Cache di Cachewiederherstellung abgeschlos Cache AN Das Yerbindungslimit F r eine Regel Sicherheit a Das Yerbindungslimit wurde bersch Sicherheit um a Dienst gestartet Dienst heruntergef hren Dienstinitialisierungsfehler JEIEIEIE EE ERROR Poe ee m Hinzuf gen Bearbeiten 32 QeecececeOeg BOC BPSBBBEBPbbBBSBbBBEBBBBB OBEIORER HAITI TRITT RRR
24. Eigenschatten Beschreibung Ermoglicht den Zugriff auf Ressourcen in einem Microsoft Netzwerk MW Symbol bei Yerbindung im Infobereich anzeigen OF Abbrechen OF Abbrechen Auf dem ISA Server ist ein DNS Server installiert der alle Anfragen an die IP Adresse 192 168 69 1 weiterleitet Der DNS Server h lt keine Zone Je nach Netzwerkumgebung kann er aber ein Backup der AD integrierten Zone halten Mehr zu DNS gibt es hier Eigenschaften von ISAB2 01 E 7 x Debugprotokollierung Ereignisprotokallierung berwachen Schnittstellen Weiterleitungen Erweitert Stammbinweise Wahlen Sie die IP Adressen die DNS Anforderungen verarbeiten Der Server kann DNS Abfragen auf allen diesem Computer zugeordneten IF dressen abh ren oder Sie k nnen die Abfrage auf ausgew hlte IP Adressen beschr nken Folgende Adressen abh ren t Alle IP Adressen Be 132 BG 69 29 Hinzuf gen Entfernen Abbrechen bernehmen Eigenschaften von ISAB2 01 x Debugprotokollierung Ereignisprotokollierung berwachen Schnittstellen Weiterleitungen Erweitert Stammhinweise Weiterleitungen helfen bei der Aufl sung von DNS Abfragen die von diesem Server nicht beantwortet werden Abfragen von Namen in Folgenden DNS Domanen weiterleiten DAS Domane Alle anderen DNS Dom nen Wahlen Sie eine DNS Dom ne geben Sie die IP Adresse des Weiterleitungsservers unten ein und klicke
25. Inaktiy Abbrechen bernehmen Damit die Regel aktiv wird muss die Konfigurations nderung bernommen werden Internet Security amp Acceleration Server2004 Standard Edition bernehmen Firewallrichtlinie Protokolle Yon Listener E a 1 google zeitbeschrankt erlauben Zulassen Lil HTTP Intern Extern Alle Benutzer 4 Arbeitszeit werktags 372 ISA Server Clients Teil 1 Der SecureNAT Client Die Informationen in diesem Artikel beziehen sich auf e Microsoft ISA Server 2004 Das Kapitel ber die vom ISA Server unterst tzen Clients teilt sich in drei Artikel auf e Teil 1 Der SecureNAT Chent e Teil 2 Der Firewallclient e Teil 3 Der Webproxyclient Der SecureNAT Client Ein SecureNAT Client ist ein Computer auf dem keine Firewallclientsoftware installiert ist SecureNAT Clients k nnen von den meisten Funktionen ISA Server profitieren Dies schlie t die meisten Zugriffssteuerungsfunktionen ein mit Ausnahme der Unterst tzung von komplexen Protokollen sofern kein Anwendungsfilter daf r vorhanden ist und Authentifizierung auf Benutzerebene Obwohl SecureNAT Clients keine spezielle Software ben tigen muss das Standardgateway so konfigurieren werden dass der gesamte f r das Internet bestimmte Datenverkehr ber ISA Server direkt oder indirekt durch einen Router gesendet wird Dies kann entweder manuell oder durch einen DHCP Server vorgegeben werden Manuelle Konfiguration e
26. 169 254 483 100 163 254 71 45 458 Einrichten einer Internetanbindung tiber eine DFU Verbindung Die Informationen in diesem Artikel beziehen sich auf e Microsoft ISA Server 2004 Einleitung Dieser Artikel beschreibt die Einrichtung einer ISDN DFU Verbindung zur Verwendung als Einwahlinterface f r einen Microsoft ISA Server 2004 Nicht jede Firma st m Besitz einer Standleitung oder DSL Flatrate Verbindung mit einem Router um mit dem ISA Server 2004 eine Verbindung zum Internet herzustellen Gerade n kleineren Firmen steht evtl nur eine ISDN Verbindung zur Verf gung ISA Server 2004 unterst tzt die Verbindung mit dem Internet ber eine DF Verbindung In diesem Beispiel verwenden wir den Internet Call by Call Anbieter Callisa und eine AVM Fritz Card Die Installation und Konfiguration der ISDN Karte wird n diesem Artikel nicht beschrieben und vorausgesetzt Bemerkung In der Regel ist ein Internet Call by Call Anbieter auf Dauer zu kostenintensiv weil der ISA Server bei jedem ausgehenden Datenpaket eine DF Verbindung aufbaut Sollten Sie mit einer Einwahlverbindung arbeiten m ssen so empfehle ich die Wahl einer ISDN Flatrate oder eines Volumentarifs Ein Zeittarif kann schnell zu hohen Kosten f hren Im ersten Schritt m ssen Sie die DF Verbindung konfigurieren Starten Sie dazu den Assistent f r neue Verbindungen in dem Sie auf Start Verbinden mit Alle Verbindungen anzeigen klicken 459
27. C Microsoft Firewall Microsoft ISA SererAuftragszeitplaner Abbrechen Sollen andere Dienste gestoppt gestartet werden als die vorgegebenen besteht lediglich die M glichkeit dies per Batchfile oder Skript festzulegen und dies als Programm auszuf hren 329 Zum Starten von ISA Server w hlen Sie das Kontrollk stchen Ausgew hlte Dienste starten aus und klicken dann zur Auswahl der Dienste die beim Auftreten der Alarmbedingungen gestartet werden sollen auf Ausw hlen Vergessen Sie nicht durchgef hrte nderungen noch zu bernehmen Edition verwerfen In der ISA Server Verwaltung wird die vollst ndige Liste aller vorgefallenen Ereignisse nach dem Alarmtyp sortiert angezeigt Information Warnung oder Fehler Im Dashboard ist eine bersicht ber den aktuellen Alarm Zustand zu sehen i Alarme Alarm Letzter Eintrag 16 08 2004 20 29 06 3 i Die Registerkarte Alarm zeigt dann n here Details bersicht Alarme Sitzungen Dienste X Berichte W Konnektivit t N Protokollierung Alarm Letzter Eintrag Status Kategorie E 1 Dienst gestartet 16 08 2004 20 29 06 Heu Firewalldienst Dienst gestartet 16 08 2004 20 27 30 Meu Firewalldienst Dienst gestartet 16 08 2004 20 29 02 Heu Firewalldienst Dienst gestartet 16 08 2004 20 29 06 We Firewalldienst Alarminformationer eschreibung Der 154 Server Steuerungsdienst wurde gestartet Durch die Auswahl des entsprechenden Alarmheaders k
28. CHAP Erfordert umkehrbare Kennw rker SPAR Shiva Password Authentication Protokoll Erfordert umkehrbare Kennw rter a Unverschlisseltes Kennwort PAPI Erfordert umkehrbare Kennw rber Benutzerdefinierte IPSec Richtlinie f r LZTP Verbindung zulassen ornsballerker schl ssel Abbrechen bernehmen F r den Verbindungsaufbau muss eine Authentifizierungsmethode angegeben werden mit der 404 sich der Remotebenutzer authentifizieren muss Sinnvoll ist es dies bei der Authentifizierungsmethode MS Chap V2 zu belassen da dies die sicherste der angebotenen Methoden f r Authentifizierung mit Benutzername und Kennwort ist 4 Firewallrichtlinie fur das Clientnetzwerk anzeigen Firewallrichtlinie l Ra Name Aktion Protokolle Von Listener Mach Bedingun i 1 Zugriff auf interne Webserver f r YPN Clients A Zula RA HTTP Me vPN Clents he Intern Ki Alle Benutzer Abschlie end muss noch eine Regel bzw Regeln erstellt werden die den VPN Clients Zugriff auf das interne Netzwerk gew hrt Neu beim ISA 2004 st dass der Zugriff auf bestimmte Protokolle und interne Server eingeschr nkt werden kann Obige Regel erlaubt z B nur Zugriff von VPN Clients auf interne Webserver per HTTP 5 Netzwerkregeln anzeigen Netzwerke Y Netzwerks tze j Netzwerkregeln Webyerkettung l Be Klare Relation Quellmetzwerke fielnetzwerke al 1 Lokaler Hostzugriff Route ai Lokaler Host te Alle Hetzwerke u
29. Ca Zeitangaben in Millisek Minimum 2ms Maximum 2ms Mittelwert 2ms C Dokumente und Einstellungen Administrator gt 181 182 Zugriff auf Windowsupdate V5 durch den ISA 2004 Von Christian Grobner Die Informationen in diesem Artikel beziehen sich auf e Microsoft ISA Server 2004 Aufgrund von NTLM Autentifizierungsproblemen am Proxy schlagt das Windowsupdate V5 fehl Damit der Zugriff reibungslos funktioniert muss eine Firewallregel erstellt werden die anonymen Zugriff auf die Windowsupdate Seiten erlaubt Hinweis Dieses Problem tritt nur auf falls Sie Authentifizierung am ISA fiir ausgehende Webanfragen fordern Wie Sie den ISA 2004 daf r konfigurieren damit Ihre Konfiguration trotz anonymen Zugriff sicher bleibt erfahren Sie in dieser Anleitung 1 Deaktivierung der Webproxy Authentifizierung Hy Microsoft Internet Security amp Accelerat Eig FW SRYV1 ER berwachung CA Firewallrichtlinie 7 gt Virtuelle private Netzwerke PI Eye konfiguration Sg whe Netzwerke ity Cache H Add Ins 2 Allgemein Netzwerke 4 Netzwerksatze Netzwerkregeln Webverkettung Mame Adressbereiche Beschreibun D Extern F r die 154 Server Metzwerke e Das vordefinierte Netzwerkobjekt das das et Intern Eaenechortan 1 0 192 168 10 255 Das Netzwerk das das interne Netzwerk d 4 Lokaler H Meu etzwerk sind keine Das vordefinierte Netzwerkobjekt das der at Quarant Auswahl exportieren wer
30. Dienste herunter zu fahren oder Anwendungen auszuf hren Aktiviert wird die Eindringversuchserkennung in der allgemeinen ISA Server Verwaltung ISA Managementkonsole gt Allgemein 3 Erkennung von Eindringversuchen und DMS Angriffen aktivieren Eindringrersuchserkennung xl Allgemeine Angriffe DNS Anariffe Erkennung ausgew hlter Angriffe aktivieren Iw Windows Out of Band winhluke M Land M Ping of Death IP Half Scan M UIDP Bornb ii Portscan Mach angrikhen 10 Wwell known Ports Mach ngriten 20 Forts M Yerworfene Pakete protokollieren mi Bearbeiten Sie die Alarmdefinitionen F r ermittelte Angriffe 1 um Benachrichtigungen f r diese Angriffe zu konfigurieren Hilfe ber Alarme Abbrechen bernehmen aD e Windows Out of Band WinNuke Tritt auf wenn Angreifer einen Out of Band Angriff oder Denial of Service DoS Angriff gegen einen Computer ausf hren Ein DoS Angriff ist ein Versuch einen Computer oder ein Netzwerk lahm zu legen Dieser Angriff kann dazu f hren dass der Computer nicht mehr antwortet oder die Netzwerkverbindung verliert Dazu wird ein Sicherheitsloch in Windows Betriebssystemen fiir das ein Patch seit Windows NT 4 0 ServicePack 4 existiert ausgenutzt und an Port 139 ein leeres P Paket gesendet welches das TCP Flag Urgent gesetzt hat e Land Damit bezeichnet man die Methode wenn Eindringlinge eine TCP Verbindung mit einer gef lschten Quell IP A
31. Erst dann wird das Regelwerk in ISA Server tats chlich ge ndert und A r ee steht zur Verf gung Sollten Sie eine Fehlkonfiguration gefunden haben k nnen Sie alle get tigten aber noch nicht gespeicherten Anderungen wieder verwerfen Ver ffentlichen eines internen Terminalserver oder interner Remotedesktop Services auf einem alternativen Port Die Informationen in diesem Artikel beziehen sich auf e Microsoft ISA Server 2004 Der vorliegende Artikel beschreibt als Erg nzung zum Artikel RDP Serverver ffentlichung die notwendigen Schritte um einen internen Computer mittels des Remotedesktopprotokolls auf einem alternativen nicht standard Port zu ver ffentlichen Ein alternativer Port ist dann notwendig oder sinnvoll wenn entweder mehrere Server ber lediglich eine extern vorhandene IP Adresse ver ffentlicht werden soll oder wenn das Sicherheitskonzept die Nutzung von nicht standard Ports vorsieht Einrichten des internen Servers oder Computer zur Fernverwaltung mittels Remotedesktop RDP 293 Um den Server ber die Remotedesktop Funktionalit t von Windows Server 2003 bei Windows 2000 Server ist es das selbe Prinzip die Technik hei t dort jedoch noch Terminaldienst im Administrationsmodus verwalten zu k nnen muss am Windows Server ein kleiner Konfigurationsschritt durchgef hrt werden Systemeigenschalten l xl Allgemein Computename Hardware Erweitert Automatische Updates Remote
32. HTTP Filter Konfiguration Klicken Sie jetzt auf HTTP konfigurieren in der entsprechenden Firewallregel 264 Firewallrichtlinie Alle Netzwerke und loka HTTP Richtlinie f r diese Regel konfigurieren x Allgemein Methaden Erweiterungen Header Signaturen Anforderungsheader Maximale Headerl nge Bytes P i L Diese Einstellung betrifft alle Regeln nforderungsnutzlast M Jede Nutzlastl nge zulassen Maximale Mutzlastl nge Bytes URL Schukz Maximale URL Lange Bytes 10240 Maximale Abfragel nge Bytes 10240 Normalisierung verifizieren High Bit Zeichen sperren Ausf hrbare Dateien Antworten sperren die von Windows ausf hrbaren Inhalt enthalten Abbrechen bernehmen Anforderungsheader Maximale Headerl nge Bytes Gibt die maximale Anzahl an Bytes im Header URL und Header f r einen HTTP Request an bevor der Request geblockt wird Starten Sie mit einem Limit von 10 000 Bytes und erh hen Sie den Wert nur wenn Sie Probleme bei dem Aufrufen von Webseiten feststellen Anforderungsnutzlast Maximale Nutzlastl nge Bytes Per Default wird jede Nutzlastl nge zugelassen sie k nnen die L nge aber auch auf Anzahl XX Bytes beschr nken Mit Hilfe dieses Parameters k nnen S e die Anzahl der Daten beschr nken welche ein Benutzer per HTTP POST an Ihre Webseite in einem Webserverver ffentlichungsszenario bertr
33. Regel wird angewendet fur Ausgew hlte Protokolle Hinzufugen Bearbeiten Entfernen Forts Protokolle lt Zuruck Weiter gt Abbrechen Protokolle hinzuf gen x Protokolle Neu gt Bearbeiten L schen Allgemeine Protokolle Infrastruktur Mail 9 Instant Messaging Remoteterrninal C Streaming Media C YPN und IPSec E li Web U FTP Ls FTP Server LS HTTP UN HTTPS LE HTTPS Server Benutzerdefiniert J Authentifizierung Serverprotokolle C Alle Protokolle ndern Sie unter Regel wird angewendet f r die Auswahl auf Ausgew hlte Protokolle ab und f gen diese ber den Button Hinzuf gen hinzu F r den Zugriff auf das Windowsupdate V5 werden die Protokolle HTTP und HTTPS unter der Kategorie Web ben tigt 187 Protokolle Wahlen Sie die Protokolle aus f r die diese Regel angewendet wird Nachdem Sie die Protokolle ausgew hlt haben sollte die Auswahl der Protokolle wie oben abgebildet aussehen 188 Assistent f r neue Zugriffsregel Zugriffsregelquellen Diese Regel gilt f r Datenverkehr der von den auf dieser Seite angegebenen Quelen stammt Diese Regel betrifft Datenverkehr won diesen Quellen Hinzuf gen Bearbeitet Enttenen SEE Weiter gt Abbrechen Netzwerkidentit ten hinzuf gen xi Netzwerkidentitaten Heu Bearbeiten L schen 5 Netzwerke 3 Extern a Lokaler Host aks Su
34. Remoteverwaltung eines ISA Server 2004 Teil 1 Remotedesktop RDP Die Informationen in diesem Artikel beziehen sich auf e Microsoft ISA Server 2004 Zur Verwaltung und Konfiguration des ISA Server 2004 wird beim normalen Setup auch die Managementkonsole mitinstalliert Klassischerweise administriert man den ISA Server direkt an der Maschine auf der er auch installiert ist Jedoch gibt es haufig Situationen in denen dieser Administrationszugang zur Verf gung steht oder nicht gew nscht wird Z B Wenn der ISA Server in einem Rechenzentrum oder einem anderen Standort steht Genau deshalb gibt es natiirlich die M glichkeit den ISA Server fernzuverwalten Es stehen zwei unterschiedliche Methoden zur Verf gung Remote Desktop und Managementkonsole Einrichten des ISA Servers zur Fernverwaltung mittels Remotedesktop RDP Um den ISA Server ber die Remotedesktop Funktionalit t von Windows Server 2003 bei Windows 2000 Server ist es das selbe Prinzip die Technik hei t dort jedoch noch Terminaldienst im Administrationsmodus verwalten zu k nnen m ssen sowohl am Windows Server als auch n der ISA Verwaltung kleine Konfigurationsschritte durchgef hrt werden Zuerst muss der Windows Server zulassen dass er ber RDP verwaltet werden kann 135 iSystemeigenschatten ai xl Allgemein Computename Hardware Erweitert Automatische Updates Remote A Legen Sie fest wie dieser Computer von einem anderen Standort a
35. Wann sind solche Ma nahmen sinnvoll Erfahrungsgem gibt es manchmal Schwierigkeiten authentifizierte datenbankbasierte Webseiten zwischenzuspeichern Ebenso k nnen Webseiten mir sehr h ufig aktualisiertem Inhalt nicht f r die Zwischenspeicherung geeignet sein Wenn Benutzer Probleme mit einzelnen Webseiten haben die sich dar n u ern dass die Inhalte nicht dem entsprechen was mit einer Verbindung ohne ISA Server angezeigt wird sollte als erster Schritt bei der Fehlersuche versucht werden die Webseite wie oben beschrieben von der Zwischenspeicherung auszunehmen 41 Verteilen der Webproxy Einstellungen per Gruppenrichtlinie Die Informationen in diesem Artikel beziehen sich auf Microsoft ISA Server 2000 Microsoft ISA Server 2004 Microsoft Windows 2000 Server Microsoft Windows Server 2003 In einem gr eren Netzwerk ist es m hsam an jeder Workstation und f r jeden Benutzer von Hand m Internet Explorer die Proxyeinstellungen einzutragen damit die Workstation zum Webproxyclient wird Dies kann zumindest in einem Windows 2000 2003 Netzwerk mit Active Directory per Gruppenrichtlinie vordefiniert werden Alle betroffenen Benutzer bekommen dann automatisch zentral gesteuert die Einstellungen Besonders ideal ist die Kombination mit WPAD da hier die gr tm gliche Flexibilit t erreicht wird Je nach Unternehmens bzw Netzwerkstruktur kann die Richtlinie auf Dom nen oder Organisationseinheitenebene vergeben w
36. _ Eyt be FANS Fichten heuer 7 drdi viii o G pen Rair D gminie iega nur HRAS erni Armen fiin ar T a i iP A i 2 z Es Credit zu bhirr Hian Ar een M ssen Sie mehreren Benutzern den Zugriff auf Dienste ber den ISA erm glichen so empfiehlt sich das Anlegen einer Benutzergruppe um dieser die entsprechenden Berechtigungen zu vergeben und die entsprechenden Benutzer zum Mitglied dieser Gruppe zu machen In unserem Beispiel verwenden wir die Gruppe WWW Benutzer Installation der IAS Servers Sie installieren den IAS Server wie jede Microsoft Komponente ber Start Systemsteuerung Software Windows Komponenten Hinzuf gen Entfernen Gehen Sie dann in Netzwerkdienste und w hlen dort nternetauthentifizierungsdienst aus Wird Kosnponenlen Anier ompraten homen hinzugef gt bzw enter werden Eee ce i a alia lesa op anplee banarea ee re ne eher Sie sol Theta ae ee en Ricken Se caf det E ontralk asichen der Komponenten die hinnagetugt bow entieri werden vollen Drau gehe Ractchen Kehle pi annii w ons re Doman Nees Erden vi N Eindoche TCPAP Diente O DHE eure LOMB APC HT IP Py 0 0MB v UNS Windows Internet Name Serace 0 348 Beschnebung eh or Vib she essen Deu Erkenderbche Spacherglats 428 rosea Se Dei Becchombung Inctakeri eren DHP Serra det kermgs ne Padian Edordedkcher Spmicherplaiz 4 2 MB 66 Nach erfolgter Instal
37. erforderlich Der erste Schritt ist es im IAS einen neuen RADIUS Client zu erstellen Klicken Sie dazu mit de rechten Maustaste in den Container RAD IUS Client und f gen einen neuen Client hinzu Internet authentilisierungsdienst 192 9 200 114 192 9 200 167 RADHI 15 oF ag m um Sie m ssen einen Namen f r den neuen RADIUS Client angeben Das muss nicht zwingend der NetBIOS DNS Name des Clients sein es handelt sich hierbei nur um den angezeigten Namen Als n chstes m ssen Sie die IP Adresse oder den DNS Namen des RADIUS Client angeben und den Clienthersteller ausw hlen Wir w hlen als Clienthersteller RADIUS Standard 67 Eigenschalten von IA PRODHE IY When Se ne AAS Flichiirie verwenden de auf den Harlelsafiri des Charts batiet missen Sie den Herstebe des AALHLUS bends angeben Ein sehr wichtiger Punkt ist das so genannte Shared Secret beim IAS Gemeinsam geheimer Schl ssel genannt Hier be handelt es sich um eine Methode der Authentifizierung zwischen ISA Server und IAS Client Ist der gemeinsam geheime Schl ssel identisch erfolgt eine Kommunikation zwischen Server und Client Es wird die Verwendung eines sehr langen und kryptischen Schl ssels empfohlen Die Qualit t steht und f llt m t der L nge und Komplexit t des Schl ssels Ein brauchbarer Schl ssel w re zum Beispiel Xd5 1 xSS amp aiasD037Q Wichtig Bei der Vergabe des geheimen Schl ssels ist die Gro und Kleinsch
38. genau die notwendigen Zutaten zu verwenden Und genau um E VPN und IPSec l o El ia Wee diese Zutaten oder Werkzeuge geht es in diesem Artikel LI FTP N FTP Server Im Vergleich zum ISA Server 2000 wurde die El HTTP Managementkonsole wesentlich erweitert und verbessert Satt L HTTPS bisher unterschiedlichen und un bersichtlichen Knoten f r L HTTPS Server Protokolldefinitionen Zeitplanen Clientadresssatzen etc wurde Benutzerdefiniert die Toolbox eingef hrt In dieser Toolbox sind s mtliche H La Authentifizierung Zutaten f r Firewallrichtlinien enthalten Neben den bereits Lj Serverprotokolle vordefinierten Elementen k nnen nat rlich auch eigene H Lal Ale Protokolle benutzerdefinierte Elemente erstellt werden Fur viele haufig benutzen Protokolle sind Protokolldefinitionen vorhanden Ebenso k nnen Zeitplane Benutzer oder Netzwerkobjekte erstellt oder vorhandene verwendet werden Netzwerkobjekte 5 r ESF alas ne i Aer r Er Inhaltstypen S y Extern re d Lokaler Host cis Quaranb nen YPN Llierts PH Clients I Netzwerks tze E Computer Adressbereiche Subnetze 3 Computers tze C URL S tze C Dom nenramens tze I Weblistener 358 Wenn z B eine bestehende Firewallrichtlinie um ein weiteres Protokoll erweitert werden soll kann dies per drag and drop erfolgen Einfach das Protokoll auf die Regel ziehen Uber das Toolbox Men k nnen wie bereits angesprochen neue Elemente
39. llte Kastchen kennzeichnen Komponenten die nur zum Teil Installiert werden Blicken Sie auf Detalls um die Unterkomponenten anzuzeigen Komponenten O 9 Netzwerkdienste C Remoteinstallationsdienste z0 ME C Terminalserver 0 0 MB O Teminalserverlizenzierung DIME Beschreibung Ubertragt automatisch die aktuellen Stammzertifikate f r sichere E Mail Webbrowsing und Softwarezustellung Erforderlicher Speicherplatz 3 6 MB Verugbarer Speicherplatz 257 6 ME lt Zur ck Weiter gt Abbrechen Hilfe Einschr nkung der administrativen Zugriffe e Benennen Sie den Administrator Account nach erfolgter Windows Installation um und deaktivieren Sie den Account Es kann s nnvoll sein diesen Account dauerhaft zu monitoren um zu ermitteln wer versucht sich mit dem Administrator Account anzumelden bzw zu hacken e Erstellen Sie einen zus tzlichen Account mit administrativen Berechtigungen welchem Sie ein sehr langes und sicheres Kennwort vergeben e Reduzieren Sie ihre t gliche Arbeit am ISA Server mit administrativen Berechtigungen auf Minimum und verwenden S e Administrator Privilegien nur wenn das absolut notwendig ist e Beschranken Sie die Zahl der auf der Maschine eingerichteten Windows Administratoren auf ein Minimum Einsatz von Sicherheitsvorlagen Ein bew hrtes Prinzip zur Sicherung einer Windows 2000 2003 Maschine nach einem festen Schema sind so genannte Sicherheitsvorlagen Si
40. o berwachung Acceleration Sefver 2004 ee Firewallrichtlinie ee 3 virtuelle private fl Konfiguration Konnektivit t W Aufgaben Hilfe Konnektivitatsverifizierung Konnektivitatsverifizierungen werden zum berwachen des Konnektivitkatsstatus zwischen 154 Server und anderen Servern verwendet E Jetzt aktualisieren Aktualisieren Klicken Sie im Aufgabenbereich auf Neue Konnektivitatsverifizierung iS Automatische Aktualisierungsrate erstellen um eine Kannektivit tsverifizierung zwischen dem Computer mit Hoch 154 Server und einem bestimmten Server zu erstellen Konnektivitatsaufgaben Neue Konnektivitatsyverifizierung erstellen Verwandte Aufgaben Link zur Seite Alarme Konnektivitatsverifizierungen exportieren gt Konnektivitatsyerifizierungen importieren In diesem Beispiel ist noch keine Uberpriifung konfiguriert Somit kann nur entweder eine neue erstellt werden oder es kann eine z B von einem anderen ISA Server exportierte XML Datei mit Uberpriifungsregeln importiert werden Assistent f r neue Konnektivit tsvrerifizierung x Willkommen Vy Be AccalaraHen en Mit diesem Assistenten k nnen Sie eine neue Konnektivitatsyerifizierung erstellen Eine Konnektivitatsyverifizierung wird zum berwachen der zeitgerechten Konnektivit t zwischen dem 54 Server Compuber und einen bestimmten Computer oder URL verwendet Mame der externer Mailserver verf gbar Klick
41. r den Angreifer ein physikalischer Zugriff auf die Systeme besteht Systemupdates f r ISA und Windows Der erste Schritt einer erfolgreichen Verteidigungslinie gegen potentielle Angriffe auf Ihre Infrastruktur ist die berpr fung sowohl des ISA Servers als auch der Windows Plattform auf laufende Updates und neu entdeckte Sicherheitsliicken Stellen Sie ein sicher dass Windows und ISA Updates regelm ig nach Pr fung eingespielt und dokumentiert werden 314 A Microsoft Windows Update Microsoft Internet Explorer Datei Bearbeiten Ansicht Favoriten Extras 7 Qoe O BG Doe min SL A M Adresse https i5 windowsupdate microsoft com vSconsumer default aspx in de Mickos ott Suche Microsoft A Windows Windows Update Startseite windows Produktfamilie Windows Katalog Office Produktfamilie Willkommen Weitere Optionen Installationsverlauf anzeigen Hier erhalten Sie die aktuellsten Updates f r das Betriebssystem Software und Hardware Windows Update durchsucht M Einstellungen den Computer ermittelt welche Updates erforderlich sind und stellt eine individuelle Auswahl an Updates f r Ihren Computer zur verf gung Ausgeblendete Updates wiederherstellen Administrator Opkioner gt Schnellinstallation Empfohlen Wichtige Updates f r Ihren Computer Wahlen Sie f r den schnellsten Aktualisierungsworgang diese Option Mit der Schnellinstallation k nnen Sie nur die O F
42. r sehr sinnvoll Was ist eine Security Policy Eine SP definiert alle organisatorischen und technischen Ma nahmen eines Unternehmens welche zur Einrichtung Betrieb und Wartung von Firewallsystemen notwendig sind Die SP definiert nicht nur die technische L sung und Dokumentation der Perimeter Sicherheit sondern auch organisatorische Fragen wie Verpflichtungserkl rungen der Mitarbeiter zum Datenschutz Verhalten m Internet aber auch Notfallpl ne bei Kompromittierung des ISA Servers Um nur ein Beispiel zu nennen Sie sind Administrator eines mittelst ndischen Unternehmens mit 350 Besch ftigten welches in hohem Ma e von einer Internet Anbindung abh ngig ist jetzt stellen Sie fest dass Sie einen Eindringling im System haben oder das System von Viren befallen ist K nnen Sie jetzt einfach die Systeme vom Internet trennen Wer entscheidet ber die weitere Vorgehensweise Diese und viele andere Fragen und Antworten werden in einer SP festgehalten 323 Ein weiterer Vorteil einer SP ist nat rlich auch dass Sie damit eine st ndig aktualisierte Dokumentation der Firewall Infrastruktur besitzen Schulung des Personals verantwortungsvoller Umgang mit den Firewallsystemen Es kann nicht oft genug betont werden wie wichtig es ist f r die Verwaltung des ISA Server und der umgebenden Infrastruktur qualifiziertes und geschultes Personal einzusetzen welches sich nicht nur mit der Verwaltung des ISA Servers auskennt sondern auch
43. tzt hat aber ein anderes IP Netzwerk Benutzer die mit ihren Notebook zwischen den einzelnen Standorten wechseln m ssen keine Konfigurations nderungen am Webbrowser und oder Firewallclient vornehmen Durch Aktivieren der automatischen Suche suchen alle Webproxy und Firewallclients automatisch den entsprechenden ISA Server Computer Dies senkt auch den administrativen Aufwand erheblich denn k nftig m ssen bei Netzwerk ver nderungen die Clients nicht mehr manuell angepasst werden Voraussetzung f r das Webproxy Autodiscovery Protokoll WPAD bzw Winsock Proxy Autodiscovery Protokoll WSPAD ist eine funktionierende DNS und oder DHCP Umgebung Wenn die automatische Suche konfiguriert ist verbinden sich die Webproxy oder Firewallclients mit dem DNS oder DHCP Server und fragen nach einem WPAD Eintrag der auf den ISA Server verweist Wenn der WPAD Eintrag zur Verf gung gestellt werden kann k nnen die Clients den angegebenen ISA Server verwenden WPAD setzt einen Internet Explorer 5 0 oder h her voraus WPAD WSPAD ber DNS wird von Windows Server 2003 Windows XP Windows 2000 Windows NT 4 0 Windows 98 und Windows Me unterst tzt WPAD WSPAD ber DHCP ist f r Windows Server 2003 Windows XP Windows 2000 Windows 98 und Windows Me nutzbar Neben den angesprochenen Einstellungen am DNS oder DHCP Server ist eine einfache Einstellung am ISA Server vorzunehmen Alle Konfigurationsdetails werden nachfolgend erl utert 1 Einstellung
44. x zugriffsregelquellen Diese Regel gilt tur Datenverkehr der von den auf dieser Seite angegebenen Quellen stammt Diese Regel betrifft Datenverkehr von diesen Quellen Za M ailbenutzer Bearbeiten if Entferner uruck Weiter gt Abbrechen Damit die Benutzer auch nur den erlaubten Mailaccount bei GMX nutzen k nnen wird ein weiteres Computer Objekt angelegt Eigenschaften von GMX Mailserver ai x Allgemein 4 Name GMs Mailserver IP Adresse des Computers ela 165 64 20 Durchsuchen Beschreibung optional Abbrechen bernehmen und als Ziel f r die Regel verwendet 277 Assistent f r neue Zugriffsregel xl lt ugriffsregelz ele Diese Regel gilt tur Datenverkehr der von den Regelquellen an die auf dieser Seite angegebenen Zielen gesendet wird Diese Regel betrifft Datenverkehr der an diese Ziele gesendet wird A GMs Mailserver Bearbeiten Beatson Seien ZUrLICK Weiter gt Abbrechen Entfernen Nachdem der Richtlinienassistent beendet wurde und die neue Regel bernommen wurde ist sie einsatzbereit Microsoft Internet Security amp Acceleration Server 2004 Standard Edition 7 bernehmen a verweren f Firewallrichtlinie Protokolle Yon f Listener a 1 Mailverkehr zulassen 3 zulassen pops Ta Mailbenutzer a GMs Mailserver Alle Benutzer Li SMTP e Die berechtigte Frag
45. z B Rufnummer Provider de Damit lassen sich recht einfach wichtige Meldungen als SMS auf das Handy des Firewalladmins bertragen vorausgesetzt nat rlich es besteht noch eine Internetverbindung und der Mailserver kann diese auch nutzen Durch eine Systemrichtlinie ist es dem ISA Server erlaubt SMTP Verbindungen an interne Mailserver aufzubauen Sofern diese Systemrichtlinie f r Ihre individuellen Bed rfnisse nicht ausreichend ist kann sie erweitert oder durch eine zus tzliche Firewallrichtlinie erg nzt werden 327 Firewallrichtlinie Name ji Ku Yon Listener i 28 SMTP von 154 Server an vertrauensw rdige Server zulassen QA Zulassen BA SMTP whe Lokaler Host k Intern de Alle Benutzer ber die Test Funktion kann berpr ft werden ob alle notwendigen Konfigurationen vorgenommen wurden Wenn alles richtig ist bekommt der Administrator aus dem Beispiel folgende E Mail tass Erhalten z G isa alarmi msisafag de Mo 16 09 2004 23 51 Be Microsoft I5A Server Alarrntestrail F Aufgaben 1 3 Entw rfe al gel schte Objekte Gesendete Objekte AA Journal 0 Junk E Mail FA Kalender ga Kontakte Motizen L Postausgang pa ssbeingan 7 ie Betreff Microsoft ISA Server Alarmtestmail isa alarmi msisatag de isa alar miamsisatag de An Administrator Cc ER Vertrauensw rdige Sites Zusatzlich zur oder statt der Mail Benachrichti
46. zuzulassen Wer solche Regeln erstellt hat m glicherweise nicht sonderlich viel von einem Firewallkonzept verstanden Dem Thema Firewallkonzept ist ein eigener Artikel gewidmet Die Grafik unten verdeutlicht wie eine Firewallrichtlinie aufgebaut ist und welche Komponenten zu welchen Bedingungen verwendet werden k nnen Jeder Benutzer e zulassen E Authentfizierte Benutzer m verweigen Spezielle Benutzer E Zelnetzwerk E Ziel IP e Zielsite inscarankungen u Baal e Quellnetzwerk u a IP Par Typ Ursprungs iP Ver ffentlichte Website e Benutzer j Zeitplan j h f Fi em Filtereinstellungen J Sehen wir uns die einzelnen Elemente etwas detaillierter an e Aktion Eine Regel kann erlaubt zugelassen oder verboten verweigert werden Beim Erstellen einer Richtlinie muss unbedingt darauf geachtet werden dass sie von oben nach unten abgearbeitet werden Wenn z B oben eine Regel existiert die der Benutzerin Birgit die Nutzung von POP3 erlaubt und weiter unten eine Regel steht die allen Benutzern POP3 verbietet hat Birgit dennoch Zugriff auf POP3 e Verkehr Die Regel kann entweder f r ein IP Protokoll z B ICMP oder einen TCP UDP Port g ltig sein e Benutzer Hier kann angegeben werden ob die Regel nur f r bestimmte authentifizierte Benutzer gelten soll 364 e Quelle Eine Regel muss definieren von wo aus das zugelassene verweigerte Protokoll genutzt werden kann Der ISA Server 2004 un
47. 00815 Erstellt arn 13 07 2004 20 08 06 Installationsverzeichnis E a C Programme Micrasoft ISA Server Abbrechen bernehmen Dieser Artikel wird nach Bedarf gepflegt und listet alle wesentlichen Versionsnummern auf 4 0 2161 50 13 07 2004 RTM Final Version 4 0 2141 50 07 04 2004 RC refresh 4 0 2076 50 24 02 2004 RC 4 0 1872 0 14 11 2003 Beta 2 Nat rlich gab es vor der RTM Version noch wesentlich mehr verf gbare Builds Die hier alle aufzulisten macht jedoch wenig Sinn 149 ISA Info gt Das lt Dokumentations und Supporttool f r den ISA Server 2004 Die Informationen in diesem Artikel beziehen sich auf e Microsoft ISA Server 2004 J m Harrison stellte bereits Ende 2001 eine Version von ISA Info f r den ISA Server 2000 vor Damit war zum ersten Mal ein Dokumentationstool verf gbar welches s mtliche Einstellungen der ISA Konfiguration in ein Textfile exportierte Mit diesem Infofile konnte z B der Support schnell wesentliche Informationen ber das System bekommen oder man konnte es zur Netzwerkdokumentation verwenden Kurz nach Erscheinen des ISA Server 2004 ist auch eine angepasste Version von ISA Info verf gbar Dank der XML Unterst tzung des ISA 2004 stehen hier mehr M glichkeiten zur Verf gung Auch diese Version eignet s ch besonders zur Dokumentation oder f r Supportzwecke Die jeweils aktuelle Version finden Sie hier Nach dem downloaden und entpacken des Zip Files sind drei Datei
48. 1813 1646 fiir die Kontofiihrung Andern Sie die Ports nicht Wenn ja miissen die Anderungen auch am IAS erfolgen Das Zeitlimit Sekunden sollten Sie nur ver ndern wenn der ISA Probleme hat in dieser Zeit den IAS zu kontaktieren Das sollte aber nur sehr selten bis gar nicht der Fall sein Den Punkt Nachrichtenauthentifizierung immer verwenden k nnen Sie unver ndert lassen Firewallregel auf dem ISA Server Pope Der n chste Schritt ist die Erstellung eine Firewallrichtlinie mit der Verwendung von RADIUS als Benutzerauthentifizierung In diesem Beispiel verwenden wir eine Firewallrichtlinie f r den HTPP HTTPS Zugriff f r einen Active Directory Benutzer namens MSISAFAQ E Hi rosat Internet Security Bi Acceleration Server AMH BalBalsr ron ea u Microsoft Internet Security amp Accelerat Pireveslirichtiines Wirhuells private Betrwerke VFI i Misa Tre L dniu a YOR j tane iah Bedins 4 Ay Cache Saji Quarantine Control GJ Zussen Ras wh Quarantine A Lokaler Host Alle Benutzer Die ersten Schritte des Assistenten zur Erstellung einer Firewallrichtlinie erspare ich mir weil diese sich nicht von der Erstellung einer normalen Regel unterscheiden Wir steigen bei dem Punkt Benutzersdtze des Assistenten f r neue Zugriffregeln ein Entfernen Sie Alle Benutzer und klicken Sie auf Hinzufiigen um einen neuen Benutzersatz zu erstell
49. 4 Server gt 54 Server Management verwaltung virtual PC Additions Zubeh r Internet Explorer ee Outlook Express ee ul c Remoteunterst tzung Wird die Konsole zum ersten Mal ge ffnet muss eine Verbindung zum ISA Server hergestellt werden 146 E Microsoft Internet Security and Acceleration SerY Datei Aktion Ansicht F gt meon Microsoft Internet Security amp Acceleration Server 2004 Aktualisieren verbindung herstellen Ansicht Hilfe verbindung herstellen xl Wahlen Sie den zu verwalkender Computer aus Im Fall yon FRematererwalturg muss der angegebene Benutzer berechtigt sein den Computer zu verwalten verbindung herstellen mit C Lokalem Computer Computer auf dem diese Konsole ausgef hrt wird Anderem Computer Remoteverwaltung isark4 002 Durchsuchen C verbindung mit dem aktuellen Benutzerkonto herstellen Yerbindurg mit anderen Benutzerinformationen herstellen Benutzername Administrator Kennwort ELITITITTITTITTTTITTT Dom ne msisafag Nur angeben wenn der Benutzer ein Domanenmitglied isk Abbrechen Wenn das Benutzerkonto des Benutzers auf dessen Rechner die MMC installiert ist nicht ber eine entsprechende Rolle Berechtigung verf gt Kann hier ein berechtigtes Konto hinterlegt werden E Microsoft Internet Security and Acceleration Serv Datei Aktion Ansicht F gt 2 0 Microsoft Internet Se
50. 6 1 1 156 6 1 1 127 8 8 1 127 8 8 1 1568 8 1 1 156 86 1 1 172 16 8 1 172 16 B8 1 172 16 8 1 127 B 8 1 127 0 0 1 172 16 255 255 192 168 1 6 192 168 1 2 197 168 1 2755 192 168 2 0 144 _ TAH 4 192 168 2 255 224 0 6 6 224 0 0 6 724 _ A A A a A n 5 205 255 255 259 255 255 295 299 255 755 755 255 1 255 255 255 255 Standardgateway St ndige Routen Keine 255 255 255 255 255 255 255 8 255 255 255 255 255 2755 2755 255 255 255 2558 fee aha ea a 24h 255 255 255 255 240 6 6 6 240 0 6 6 4A_A A_A 240 0 0 6 205 200 200 200 255 255 255 255 255 2755 255 255 265 2 255 255 255 172 1665 1 24 172 16 0 1 192 168 1 2 127 0 0 1 1927 16f 1 7 19 2 168 2 i 127_A_H_1 192 168 2 1 154 68 1 1 172 16 8 1 197 _1AA_1 172 168 2 1 154 68 1 1 172 16 8 1 192 _16A_1 192 168 2 2 a 1 107 172 16 0 1 192 168 1 2 127 0 0 1 197 1681 2 192 168 2 1 147 AAT 192 168 2 1 158 8 1 1 172 16 8 1 197 1681 2 192 168 2 1 158 8 1 1 172 16 8 1 192 1681 2 192 168 2 1 Von Bedeutung f r den ISA Server ist hier nur die Route 192 168 2 0 255 255 255 0 192 168 2 1 192 168 2 1 Bei den anderen Routen handelt es sich um Multicast Broadcast Adressen und m ssen nicht ber cksichtigt werden Erl uterung der anderen Routen 0 0 0 0 st die Default Route 127 0 0 st die Loopback Adresse 192 168 2 0 ist die Netzwerk Route f r das Netzwerk 150 3 0 192 168 2 1 255 255 255 255 st die Host Route d
51. Allgemein Benutzer Domanen Aktivieren Befehle AUTH BOAT DATA EHLU EPH HELL HELF MAIL FROM NOOP QUIT REPT TO RSET I 99999999998 Eigenschaften von SMTP Filter a 3 x Schilisselworter SMTF Befehle Mas mallange 1024 zu rl rl 7 266 ZEE Hinzuf gen Laschen Bearbeiten Abbrechen bernehmen Allgemein Benutzer Domanen Aktivieren Befehle HELF MAIL FROM HOOF QUIT REPT TO RSET I STARTTLS TLS VAFY 999999999998 SAML FROM SEND FROM SUML FROM Schlusselmworter SMTF Befehle Maz mallange Hinzuf gen Laschen Bearbeiten Abbrechen bernehmen _ 82 In der Registerkarte SMTP Befehle k nnen und sollten verschiedene Befehle gesperrt bzw zugelassen werden d e bei der Kommunikation zwischen Mailservern ben tigt werden Dies ist die einzige Sperrm glichkeit die ohne Installation und Konfiguration der Nachrichten berwachung zur Verf gung steht und daher genutzt werden sollte S mtliche SMTP Befehle die hier nicht eingetragen sind werden vom ISA Server geblockt sobald der SMTP Filter aktiviert ist Dies ist auch der Grund warum er direkt nach der Installation deaktiviert st Neben den zugelassenen Befehlen kann auch d e max male L nge der Befehlsoptionen festgelegt werden um einen Puffer berlauf zu verhindern Regel des SMTP Befehls ll 7 SMTF Befehl aktivieren EXPN Name des Befehls
52. Aufwand kein ein Benutzer hinzugef gt werden in dem er Mitglied der Gruppe wird Schon hat er s mtliche ben tigten Rechte Wenn jedes Mal Rechte f r einen einzelnen Benutzer vergeben werden m ssten w re der Verwaltungsaufwand zu hoch und es kann leichter passieren dass vergessen wird einem Benutzer bei Bedarf Rechte zu entziehen z B wenn sich seine Funktion ge ndert hat 128 ISA Server Yerwaltungsdelegierungs Assistent e x ISA Server Verwaltungsdelegierungs Der 154 Server Verwaltungs Assistenten wurde erfolgreich abgeschlossen F r Folgende Gruppen oder Benutzer wurden Rechte wei f r TS 4AB2 01DieterR wurde die Rolle ISA Server H F r Folgende Gruppen oder Benutzer wurden Roller ge F r Folgende Gruppen oder Benutzer wurden Rollen entt all Klicken Sie auf Fertig stellen um den Yorgang abzuschlielien zur ck Fertig stellen Abbrechen Tip Die Zusammenfassung kann per Copy und Paste herausgenommen werden und in eine Dokumentation eingef gt werden So spart man sich ggfs Tipparbeit Werke tva Denken Sie daran die durchgef hrten Aue ae Se ony Anderungen zu bernehmen Erst dann wird das server 2004 Regelwerk in ISA Server tats chlich ge ndert und steht zur Verf gung verwerten Sollten Sie eine Fehlkonfiguration gefunden haben k nnen Sie alle get tigten aber noch nicht gespeicherten nderungen wieder verwerfen Standard Edition Z b
53. Beschreibung Hersteller Version olf Cache A DNS Filter Filtert DNS Datenverkehr Microsoft 4 0 5 ae a a Add Ins TE BER RN Sire FETT TET TETT LETTER ER ty ieee Bee PES PEPS PEPS PEPY EIET EIE ens EIET Bee TITS TE TS T EN ER ERLERNT CH PETER pte Bet Dts facies tes ERT T Eu aaa A a a aS eal E Allgemein M ai La Sen Na alle Sn we 42 H 323 Filter Aktiviert das H 323 Protokall Microsoft 4 0 I MMS Filter Aktiviert das Microsoft Media Streaming Protokoll Microsoft 4 0 I PNM Filter Aktiviert das RealNetworks Streaming Media Pr Microsoft 4 0 I POP Eindringversuchs Erken berpr ft auf POP Puffertiberlaufangriffe Microsoft 4 0 IPPTP Filber Aktiviert PPTP Tunneln durch I54 Server Microsoft 4 0 4 RPC Filter Aktiviert die ver ffenklichung von RPC Servern Microsoft 4 0 J RTSP Filter Aktiviert das Real Time Streaming Protokoll Microsoft 4 0 I SMTP Filter Filtert SMTP Datenverkehr Microsoft 4 0 HE SOCKS V4 Filter Aktiviert SOCKS 4 Kommunikation Microsoft H WebproxyFilber Aktiviert HTTP Proxy und Cache Microsoft 4 0 ISA Server Verwaltungsdelegation ISA Server 2004 bietet als erste Microsoft Firewall die M glichkeit an nicht administrative 353 Benutzer ISA Berechtigungen zu delegieren Es stehen drei verschiedene Verwaltungsdelegationen zur Verf gung e ISA Server Standard berwachung e Erweiterte ISA Server Uberwachung e ISA Server Hauptadministrator ISA Server Standard be
54. DF Verbindung aus DF Konto Dient zum Eingeben des Benutzernamens eines zum Zugriff auf die DF Verbindung berechtigten Benutzers Klicken Sie auf Konto festlegen um ein Benutzerkonto auszuw hlen das mit der DFU Verbindung verwendet wird Verwenden Sie hierbei nicht ein Windows Benutzerkonto sondern die Verbindungsdaten f r die Verbindung zum Internetdienstanbieter 467 21x Folgendes Konto verwenden Benutzer surt callsaspecial Durchsuchen Kennwort e sepete kennwort best tigen e su Abbrechen Die Konfiguration ist beendet Sie k nnen jetzt berpr fen ob der ISA Server automatisch eine Verbindung mit dem konfigurierten Internetdienstanbieter herstellt sobald der ISA Server 2004 Anfragen aus dem internen Netzwerk oder vom ISA Server selbst erh lt 468 SMTP POP3 ausgehend nicht moglich Die Informationen in diesem Artikel beziehen sich auf e Microsoft ISA Server 2004 In der Newsgroup und im Rahmen meiner taglichen Arbeit wird haufig gefragt warum ein Mailclient nach der ISA Installation keine Mails mehr senden bzw empfangen kann Was daf r am ISA Server zu konfigurieren ist habe ich im Artikel Mailzugriff ausf hrlich beschrieben An dieser Stelle m chte ich M glichkeiten aufzeigen wie ein Konfigurationsfehler gesucht und ggfs gefunden werden kann Problem Interner Mailclient z B Outlook kann keine Mails versenden und empfangen L sungsvorschl ge 1 berpr fen ob
55. E Entfernen Aktualisieren Zur Liste hinzuf gen Abfrage starten Abbrechen Einmal definierte Filteroptionen k nnen exportiert und auch wieder importiert werden Dieses Feature ist sehr hilfreich weil sich der Administrator damit eine Sammlung an Filterdefinitionen erstellen kann welche in einem bestimmten Verzeichnis gespeichert werden und dann bei Bedarf importiert werden k nnen Somit stehen dem Administrator fertige Vorlagen zur Verf gung mit welchem er die Protokolldaten filtern kann 335 f Filterdefinitionen exportieren Speichem in C isa2004 config Zuletzt vermendete D isaZ2004 04082004 xml isaZ004 3007 2004 xml Deskto p Eigene Dateien Metzwerkumge Dateiname Speichen bung Abbrechen 5A Server E xportdateren xml Dateityp Der ISA Server 2004 zeigt jetzt in Echtzeit die Protokolldaten basierend auf Ihrer Filterdefinition an 336 Filtern nach ae yp Protokollierung Protokeldatersat Gleich Firewall oder Wie Aktion Ungleich Yerkindungsstatus Nicht identifizierter IP Datenv Getrennbe Verbindung http Zugelassene Verbindung http Zugelassene verbindung Atte zugelassene Verbindung http Zugelassene Yerbindung http Zugelassene Werbandung http Zugelassene Yerbindung http Zugelassene verbindung http Zugelassene Yerbindung http Zugelassene Yerbindung http Zugelassene Verbindung http Zugelassene Verbindung ht
56. Firmenzentrale Assistent f r neue Webverkettungsregel x Wilkommen Webyerkettungsregeln legen fest ob Clentweb anforderungen direkt vom angegebenen Ziel abgerufen oder an einen Upstream I5 4 Server bzw ein anderes Ziel weitergeleitet werden Wwebverkettungstegelname ISA Alissensstelle zu 15 4 Firmenzentralel Klicken Sie auf Weiter um den Yorgang fortzusetzen Geben Sie im Fenster Webverkettungsregel das Ziel fiir den Datenverkehr an Da in diesem Beispiel eine Internetverbindung hergestellt werden soll wahlen wir das Netzwerkobjekt EXTERN aus 96 Assistent f r neue Webverkettungsregel x Webverkettungsregelziel Diese Hegel gilt tur Anforderungen die an die auf dieser Seite festgelegten Ziele gesendet wurden Im Fenster Aktion anfordern k nnen Sie die Anforderungsverarbeitung konfigurieren Routingregeln legen fest ob die Anforderung eines Webproxyclients direkt abgerufen an einen anderen Upstreamproxyserver oder an ein anderes Ziel gesendet werden sollen Anforderungen direkt vom angegebenen Ziel abrufen Gibt an dass ISA Server Anforderungen von Webproxyclients direkt an das Internet sendet Anforderungen an angegebenen Upstreamserver weiterleiten Gibt an dass ISA Server Anforderungen von Webproxyclients zur Verarbeitung an einen Upstreamserver sendet Der Upstreamserver entscheidet dann ob die Anforderung zugelassen oder abgewiesen wird Delegierung der Anmeldeinformationen f r Bas
57. Geben Sie einen Namen f r diese Einstellungen ein Msisafadl Einstellungen l schen algenen modem vn Preiser E 4 Einstellungen Erstellen Sie eine Verbindung oder tippen und halten Sie eine bereits vorhandene Verbindung und w hlen Sie die gew nschte Zum W hlen Automatisch die am besten geeignete Nummer w hlen Der Bereich Modem kann soll unver ndert gelassen werden 451 Msisatag Erstellen Sie eine Verbindung oder tippen und halten Sie eine bereits vorhandene Verbindung und w hlen Sie die gew nschte Allgemein VPN Proxyeinstellungen E Durch Doppelklick auf den blau hinterlegten Eintrag VPN Name frei w hlbar kommt man zur Eingabemaske der IP Adresse oder des FQDN f r den VPN Server 22 09 Ah Dieses Netzwerk stellt eine Verbindung mit dem Internet her Dieses Netzwerk verwendet einen Proxyserver meren wade VEN Wenn bei aktiver VPN Verbindung auch ber diese der HTTP Traffic abgewickelt werden soll an dieser Stelle die IP des internen ISA Servers eintragen Das war die Konfiguration des PocketPC ftir VPN Beachten Sie dass derzeit nur PPTP m glich ist Nachdem man mit dem FirmenLAN verbunden ist bekommt man im Regelfall per DHCP oder RAS IP Pool weitere Infos hier eine interne IP Adresse zugewiesen Dies kann man z B mit den vxUtils ansehen 159 amp i2217 dh Current IP HP S450 10 201 1 182 IP Address 10 201 1 181
58. IP Protokoll an erster Stelle steht O SOL Server Clientkonfigurationsprogramm B x Allgemein Alias DB Bibliotheksoptionen Hetzwerkbibliotheken Deaktivierte Protokolle Akt vierte Protokolle in Reihenfolge TCP IP AY Link PRS Pes Named Pipes VIS Aktivieren gt il lt lt Deaktivieren t Eigenschaften Frotokollverschl sselung erzwingen M Gemeinsam genutztes Speicherprotokall aktivieren Abbrechen bernehmen Hilfe Klicken Sie jetzt auf den Reiter Alias auf Hinzuf gen um einen neuen Alias f r den MS SQL Server zu erstellen Tragen Sie im Feld Serveralias den Namen des MS SQL Servers ein ebenso im Feld Servername im Bereich Verbindungsparameter Im Bereich Netzwerkbibliothek w hlen Sie TCP IP aus und deaktivieren den Haken Anschluss dynamisch bestimmen im Bereich Verbindungsparameter a Netzwerkbibliothekskonfiguration bearbeiten x Serveralas SQLSERVEROT m Netzwerk bibliotheken C Named Pipes TCP IP Multiprotokol NW Link 1Fbs75 PX C AppleTalk C Banyan VINES yA Andere m Werbindungsparameter Servername SQLSERVEROT Anschluss dynamisch bestimmen Anechldssn nmmer i 43a Abbrechen Hilfe Die Konfiguration ist fertig Sie k nnen jetzt eine Verbindung mit dem internen MS SQL Server herstellen 199 Einrichtung von RPC over HTTPS mit dem ISA Server 2004 Die Informationen in diesem Artikel b
59. Komponenten nach der Installation ndern Die neuen Konfigurationseinstellungen werden erst beim Aktualisieren der Clientkonfiguration wirksam INI Dateien Die Konfigurationsdaten werden in mehreren Dateien gespeichert die auf dem Firewallclientcomputer installiert sind Bei der Installation des Firewallclients auf dem Computer werden im einzelnen folgende Dateien auf dem Firewallclientcomputer installiert e Common ini e Management ini e Application ini Common ini In der Datei COMMON INI werden allgemeine Konfigurationen f r alle Anwendungen festgelegt Beispiel f r den Inhalt dieser Datei 383 Common ServerName ISA2004 gibt den ISA Server 2004 Computernamen an Disable 0 gibt an ob der ISA FW Client deaktiviert ist Autodetection 0 gibt an ob eine automatische Firewallerkennung akt v ist Management ini Die Datei Management ini werden die Konfigurationseinstellungen f r die Firewallclientverwaltung festgelegt Beispiel f r den Inhalt dieser Datei Traylcon TraylconVisualState 1 gibt an ob das ISA FW Client Symbol in der Taskleiste auftauchen soll Application ini Die Datei Application ini enth lt Konfigurationseinstellungen f r bestimmte Anwendungen Beispiel f r den Inhalt dieser Datei FW_Client_Proggil Disable 0 NameResolution R LocalBindTcpPorts 47 1 1 LocalBindUdpPorts 47 11 4723 7400 7460 RemoteBindTcpPorts 32 RemoteBindUdpPorts 3200 3250 ServerBindTcpPorts 200 400 ProxyBindIp 8
60. Kontakte ba Notizen 3 Postausgang Ri 5 T test amp Administrator 1 Element lel Online Bei erfolgreicher Verbindung k nnen Sie nun Outlook 2003 mit allen Features von Extern ber einen SSL Tunnel verwenden 5 Fehlerbehandlung Sollte es nicht zum Verbindungsaufbau kommen berpr fen Sie bitte folgende Schritte 5 1 berpr fung des internen SSL Tunnels ffnen Sie hierzu auf dem ISA Server ein Browserfenster und geben die interne URL des Exchange Servers und als Pfad rpc hier exch srv1 meinedomain local rpc Wenn alles funktioniert sollten Sie ein Anmeldefenster angezeigt bekommen in das Sie die Anmeldedaten des Benutzers in der Form Dom ne Benutzer eingeben Danach sollte eine HTTP 403 2 Fehlermeldung angezeigt werden Sollten Sie eine Zertifikatswarnung angezeigt bekommen beheben Sie die angezeigten Fehler Wichtig auf dem ISA Server ist dass sich das Zertifizierungsstellenzertifikat im Container f r Vertrauensw rdige Stammzeritifzierungsstellen des Computers befindet 5 2 berpr fung des externen SSL Tunnels 227 Offnen Sie hierzu auf dem externen Client ein Browserfenster und geben die externe URL des Exchange Servers und als Pfad rpc hier exchange meinedomain de rpc Wenn alles funktioniert sollten Sie ein Anmeldefenster angezeigt bekommen in das Sie die Anmeldedaten des Benutzers in der Form Dom ne Benutzer eingeben Danach sollte eine HTTP 403 2 Fehlermeldung angezeigt werden So
61. Netzwerk Legen Sie die Adressbereiche Fest die im internen Netzwerk von ISA Server einbezogen werden sollen Das interne Netzwerk enth lt in der Regel private Adressbereiche und die Adressbereiche die dem Metzwerkadapter zugeordnet sind der ber eine Verbindung mit dem internen Netzwerk verf gt Klicken Sie auf Hinzuf gen um die Adressbereiche f r das interne AeA Netzwerk festzulegen Adressbereiche der internen Netzwerks von bis Weiter gt Abbrechen 10 Durch Hinzuf gen gelangt man hierher Microsoft Internet Security Acceleration Server 2004 Setup l x Sie konnen die Adressbereiche eingeben die in das interne Netzwerk einbezogen werden sollen Oder klicken Sie auf Netzwerkadapter ausw hlen um die Adressbereiche die bestimmten Netwerkadapter zugeordnet sind auszuw hlen Interne Netzwerk adressbereiche Adressbereiche Von Bis Von me Bis lt Entenert Hetzwerkadapter ausw hlen OF Abbrechen Hier k nnen die IP Bereiche entweder von Hand oder anhand der Routing Tabelle hinzugef gt werden Internes Netzwerk konfigurieren X Wahlen Sie die P Adressbereiche die in das interne Netzwerk einbezogen werden sollen C Folgende private Bereiche hinzufugen 10 2 192 168 8 8 172 16 85 18 qr2 31 8 8 und 169 254 1 4 Adressbereiche basierend auf der Windovws Aoutingtabelle hinzufugen Wahlen Sie die Adressbereiche die folgenden in
62. Netzwerken der Klasse A B und C k nnen Sie hier auch auf Privater Adapter klicken und den Netzwerkbereich hinzuf gen Assistent f r ein neues Netzwerk i xj Netzwerkadressen Definieren Sie die IP Adressen f r dieses Netzwerk Sie konnen IP Sdressbereiche mit einem Netzwerkadapter verknuptte IP Adressbereiche und private P Bereiche hinzufugen Adressbereiche Startad esse Endadiesse Hinzuf gen 192 168 3 1 192 768 5 255 Bearbeiten Entfernen Adapter hinzufagen 10 0 0 0 10 255 255 255 1 2 16 0 0 172 31 299 299 192 168 0 0 192 166 255 255 169 254 0 0 169 254 255 255 furuck Der Assistent hat alle Informationen welche er zur Erstellung des Netzwerkes ben tigt gesammelt und zeigt Ihnen diese Informationen in einer Zusammenfassung an Klicken Sie unbedingt auf Hilfe ber weitere Konfigurationsschritte denn noch ist die Konfiguration nicht vollstandig _ 89 Assistent fiir ein neues Netzwerk X Fertigstellen des Assistenten Micrasoft Internet Security amp Der Assistent wurde erfolgrei 4 Er greich abgeschlossen Das neue Acceleration Server 2004 Netzwerk wird wie folgt konfiguriert Mame al Forschungsabteilung Hetzwerktop Internes Netzwerk Adressen 132 168 3 1 192 169 3 255 a Fa Sie mussen weitere Konf guratianzschritte ausf hren damit Datenverkehr durch dieses Netzwerk weitergeleitet werden Hilfe uber weitere Konf guratio
63. Newsgroup gibt es h ufiger A ssagen dass Outlook bei aktiviertem Firewall Client nicht richtig funktioniert Schuld ist hier die Standard Einstellung des ISA Servers f r den FW Client Outlook f r die Verwendung ber die Firewall zu deaktivieren Die Anwendung outlook hat per Default einen Schl ssel Disable dessen Wert auf 1 gesetzt ist Damit Outlook ber den ISA Server funktioniert setzen Sie den Wert auf 0 Anwendungseintragseinstellungen jx Anwendung outlook Schl ssel ef wert ieee eee nee eaanomeeenemmna T Abbrechen Weitere Anwendungseintragseinstellungen sind Anwendungseintragseinstellungen i x Anwendung outlook Schlussel Disable Wat ere LocalBindT cpPorts zu LacalBindUdpPorts RemoteBindT cpPorts RemoteB ind doPorts ServerBind cpPorts ProxyBindlp Disable DisableE NameResolution Persistent Controllhannel N ameR esolutionForLocalHost FForceLredentials 385 Beschreibung der Einstellungen aufbereitet aus der ISA Server Onlinehilfe Gibt den Namen des ISA Server Computers an zu dem der Firewallclient eine Verbindung herstellen soll Disable M gliche Werte 0 oder 1 Ist der Wert auf 1 eingestellt wird die Firewallclientanwendung fir die betreffende Clientanwendung deaktiviert DisableEx Werte O oder 1 Ist der Wert auf 1 eingestellt wird die Firewallclientanwendung fir die betreffende Clientanwendung deaktiviert Dies betrifft ausschlie lich den Firewallclient
64. Potest andortauf gaben 3 Remotertendorhistwerk hinzul gen ap Bemitestandert konfigurieren x Demstestandort entfernen LE Semotestandort deaktivieren Allgemeine VEN Konfiguration A upili supeihien G iieu konfigurieren Authenti ienunigenet hohe aren AP RADIUS Konfius aion angeben Verwandte Aufgaben E Shearer berwachen 425 ISA Server 2004 VPN Client Zugang mit PPTP Die Informationen in diesem Artikel beziehen sich auf e Microsoft ISA Server 2004 Einleitung Remote V PN Clientzugriff Mit dem ISA Server 2004 k nnen Sie Ihren Mitarbeitern den weltweiten Zugriff auf interne Netzwerkressourcen ber eine Internetverbindung erm glichen Wenn sich Ihr Unternehmen beispielsweise in Obernkirchen befindet ein Mitarbeiter jedoch in Braunschweig arbeitet muss der Verk ufer nicht nach Obernkirchen reisen um eine direkte Verbindung mit dem internen Netzwerk herzustellen Stattdessen kann er ber einen lokalen Internetprovider eine VPN Verbindung aufbauen um auf das interne Netzwerk zugreifen zu k nnen Mit dem ISA Server k nnen Sie L sungen f r einen Remoteclientzugriff ber e PPTP Point to Point Tunneling Protocol und e L2TP Layer Two Tunneling Protocol realisieren Die n chste Grafik zeigt eine typische Netzwerktopologie f r Remote VPN Clients In der Abbildung werden drei Netzwerke dargestellt e Das Internet in dem sich der VPN Client befindet e Das VPN Gateway ein ISA Se
65. Quelen und Zielen weter Assistent f r eine neue Netzwerkregel Fertigstellen des Ass stenten Be A eE migi 200 Da Ansien fur enen neus Netzwerknege varde elolgaich abgeschlossen Sis haban are neue Neraukege mt bolgender koniguaton eeit Bransch nach DBK Me skit iii Zel irtera Hetzwerkrelation Route s 2 Kiker Sie aul Petey stehen um den organ abrupchbeien So sieht die neu erstelle Netzwerkregel aus Sie haben die Netzwerkhopologie ge ndert Das Netzwerkdiagramm stelt diese nderungen nicht dar Alle Netzwerke in der Netewerktopologie werden auf der Registerkarte Netzwerke aufgef hrt etzuere fi Netzwerksatze Netzwerkreneln ur zy Local Host Access Route Local Host lt All Networks and MER VPN Clients to Internal Network Route as Quarantined VPN Clients och Internal othe YPN Cents EE Internet Access NAT oth Inbernal ed External b Quarantined VPN Chents oth VPN Clients Braunschweig nach OB Route Standort Braunschweig Internal 424 Sie k nnen die Verbindungen von und zum Remotestandort berwachen indem Sie auf der rechten Seite im Aufgabenfenster unter Verwandte Aufgaben Sitesitzungen berwachen anklicken Die Daten werden dann m Protokollfenster angezeigt f Penis Y Remotestandorte U Hame Protokoll Remoteserver abut Ferne GY Dig Meizwstek LTP 16 0 2 Aktiiert a a NIERE Ami 2
66. Registerkarte werden Name Beschreibung Kategorie sowie die Information uber den Schweregrad des Alarms angegeben Hier kann auBerdem der Alarm aktiviert oder deaktiviert werden was auch in der bersicht durch setzen oder l schen des H kchens get tigt werden kann Folgende Kategorien stehen zur Auswahl e Sicherheit e Cache e Routing e Firewalldienst e Andere Folgende Schweregrade stehen zur Verf gung e Fehler e Warnung e Information 323 Eigenschaften von Dienst gestartet E m x Allgemein Ereignisse Aktionen Ereignis Beschreibung Der Dienst wurde gestartet ae Beliebiger 15 4 Server Dienst leben Ste an wie oft das Ereignis auftreten muss bevor der Alarm ausgelost wird wiederholungsanzahl Anzahl der Ereignisse pro Sekunde Alarm beim berschreiten der Schwellenwerte wie folgt ausloser Sofort Mur nach manuellen Zur cksetzen des Alarms Wenn seit letzter Ausf hrung mehr als Min verstnchen sind bernehmen Abbrechen Auf der zweiten Registerkarte w rd der Alarm n her spezifiziert und ein Ereignis wird zugrunde gelegt Folgende Ereignisse sind w hlbar Auszug aus der Online Hilfe Ereignis Beschreibung Alarmaktionsfehler Die dem Alarm zugeordnete Aktion ist fehlgeschlagen Cachecontainer Die Cachecontainerinitialisierung ist fehlgeschlagen und die Initialisierung wurde ignoriert Cachecontainerwiederherstellung Die Wiederherstellu
67. Remotestandortnetzwerk hinzuf gen VPN Remotestandorte See keen an Eemia r erzielen der Pe ee engen Dielen wenden Dad Remotestenctrrak speziizkert che Standktt zu Shandort fetzererkeigerschalten wae 2 6 f r VPh Csterwerkehr verwendete TJ Remstestandortnetzwert hinzufllgen Protokolle WeilSerser Authenhilitenungernesthoden und cat den mark inkorgstible IP Adretser an Ga in Aufgabenbereich af Riemotestandartnetzwerk hinzul gen um en Ph Resoted andertretreek zu eridelen Allgemeine VEN Hia ber Veh Shandit py Standert Metrecrin Konfiguration Sf fugrtlenetowerke ausm hlen ky Ad esens konfigurieren ap Ascher fie unornerhogen saber GF RADILS Koniguraben angeben Folgen Sie den Anweisungen des Assistenten und vergeben einen Namen f r den Remotestandort 410 Assistent hir ein neues Ketzeerk Willkommen Miata Internet Security amp Mit derem Ass stenlen konnen Sie em neue Netzwerk erstellen Nelzwetke spenhzieren mindestens einen Beech von IP Adressen att Metrwerkobpekt das im Flegeln verwendet werden kann Metzwerkriame Stander amp 5 Klicken Sie aul Weke um den Vorgang fortzusetzen Als Protokoll w hlen Sie L2TP ber IPSec Dabe handelt es sich um das zurzeit bevorzugte Protokoll f r eine VPN Site to Site Verbindung Assistent f r neues Sbandort zu Standort Netzwerk VPH Protokoll Wahlen Sie das WPN Frodokol aut das zum Schutzen von sterwerkehr der zwischen Stan
68. Server Application Programming Interface Modell bas eren Webfilter werden vom Webproxy Filter geladen Wenn ein Webfilter geladen ist werden seine Informationen an den Webproxy Filter weitergeleitet Dieser legt fest welche Typen von Ereignissen berwacht werden sollen Jedes Mal wenn ein solches Ereignis eintritt wird der Webfilter benachrichtigt Die folgende Grafik zeigt den HTTP Filter in den Add Ins des ISA Server 2004 E Microsoft Internet Security amp Acceleration Server 004 Datei Aktion Ansicht 3 e Am e alat J Microsoft Internet Security amp Acceleration Server Eig ISAZ004TEST berwachung GA Firewallrichtlinie oo virtuelle private Netzwerke VPN anea gt Konfiguration i a In Netzwerke Rei Name Beschreibung Richtung Ver il Cache 1 Formularbasierter O WA u Aktiviert Formularbasierte Cookie Quthentifi Eingehende Webanforde 4 0 a Ho Add Ins aia patie Gales KERTORBRSDERRUREREERNERTONEREEETEREEURTTERETIRTTEEUTERPEEERURERTPREEFPEREERNERTONETSTERRUHBEUEERSERTTETEETETEREEUREIETEREETTEIEETEDERREUERTFUNRTERERTEUNETE TH hie a ke ee ae Pin aa igen ae ae a ca a ae ss a ks Pas HE FE Be JE SecurIb Filter Aktiviert SecurID Authentifizierung Eingehende Webanforde 4 0 Peedi Alem ee acumed EEE nannten enamenenngn ER EEE EEE TE i tanec 43 Radius Authentifizierungsfilter Aktiviert die Radius 4uthentifizierung Beide 4 0 uam 4 Link bersetzungsfilter Aktiviert die Link bersetzung f r ver
69. Sie hier und hier Die Installation eines MS SQL Server 2000 mit SP3a wird in diesem Artikel nicht beschrieben und vorausgesetzt Dieser Artikel wird in zwei Konfigurationsschritte unterteilt e Serververoffentlichung e Client Konfiguration Serverver ffentlichung Als erstes m ssen S e eine Serverver ffentlichung f r den MS SQL Server erstellen Klicken S e dazu n der ISA Server Verwaltungskonsole mit der rechten Maustaste auf Firewallrichtlinie und w hlen Sie Serverver ffentlichungsregel aus 195 Microsoft Internet Security amp Acceleration Server 2004 A E FIREWALL iternetSecurity amp EE berwachung j ccel eration Server 2004 aE ne Aktualisieren Fr m ool Virtuelle Firewallrichtlinie E gt Konfige Exportieren Importieren Systemrichtlinie bearbeiten R ae Mame Spe www Heu be Zugriffsregel PERL ri l webserverver ffentlichungsregel Ansicht d 3 Sichere webwrer ffentlichungsregel Hilfe Maiserwer Ver ffentlichungsregel Io Serverver ffenklichungsregel Assistent f r neue Serrervrer ffentlichungsregeln Willkommen Microsoft Internet Security amp Acceleration Server2004 Mit diesem Assistenten konnen Sie eine neue Serveryverotfenthchungsregel erstellen Serrerveroffent ichungsregeln ordnen eingehende Clentanforderungen dem zust ndigen internen Server zu Name der Serververoffentlchungsregel M5 SQLSERVERDT Intranet Klicken Sie au
70. Socket Pooling f r POP3 Es sind folgende Schritte notwendig in einem Kommandozeilenfenster cd c Inetpub AdminScripts net stop pop3svc cscript adsutil vbs set pop3svc disablesocketpooling true oe A net start pop3svc 5 Deaktivieren des Socket Pooling fur IMAP Es sind folgende Schritte notwendig in einem Kommandozeilenfenster l cd c Inetpub AdminScripts 2 net stop imap4svc 3 cscript adsutil vbs set imap4svc disablesocketpooling true 4 net start imap4svc DNS Aufl sung Die Informationen in diesem Artikel beziehen sich auf e Microsoft ISA Server 2004 e Windows 2000 Server e Windows Server 2003 _ 49 Eine korrekt funktionierende DNS Aufl sung ist ein wesentlicher Bestandteil einer jeden ISA Server Installation Unabh ngig davon dass ein Active Directory unter Windows 2000 bzw Windows Server 2003 nicht ohne DNS auskommt ist es f r die Ansteuerung von Servern im Internet unverzichtbar Im folgenden Artikel m chte ich keine DNS Implementierung im AD besprechen sondern mich rein auf den Zusammenhang mit dem ISA Server beschr nken Literatur zu DNS und AD gibt es gen gend 1 Viele Probleme die mich immer wieder erreichen oder in der Newsgroup geschildert werden haben unmittelbar mit einem DNS Problem zu tun Sei es der Mailserver der keine Mails zustellen kann keine Client Pop3 Abfragen oder Probleme Webseiten aufzurufen Dabei ist DNS im Grunde sehr einfach Man muss sich nur berlegen wie man DNS imp
71. Webproxy und oder Firewallclient ist der ISA Server f r die Namensaufl sung zust ndig 375 ISA Server Clients Teil 2 Der Firewall Client Die Informationen in diesem Artikel beziehen sich auf e Microsoft ISA Server 2004 Das Kapitel ber die vom ISA Server unterst tzen Clients teilt sich in drei Artikel auf e Teil 1 Der SecureNAT Chent e Teil 2 Der Firewallclient e Teil 3 Der Webproxyclient Einleitung Dieser Artikel beschreibt die Funktionsweise des Microsoft ISA Server 2004 Firewall Client und dessen Konfiguration Ein Firewallclient im Microsoft Jargon ist ein Computer auf dem die Firewallclientsoftware installiert und aktiviert ist Auf dem Firewallclientcomputer wird eine Winsock Anwendung ausgef hrt die den Microsoft Firewalldienst von ISA Server 2004 verwendet Wie funktioniert der Firewall Client Beim Installieren eines Firewallclients auf dem Clientcomputer werden nicht die einzelnen Winsock Anwendungen konfiguriert Stattdessen wird ein gemeinsames Winsock genutzt der auch von den anderen Anwendungen verwendet wird Der Firewallclient f ngt anschlie end die Aufrufe der Anwendungen ab und ermittelt ob die Anforderung an den ISA Server Computer weitergeleitet wird S e k nnen festlegen ob f r das jeweilige Netzwerk welches S e am ISA Server konfiguriert haben die Firewallclientunterst tzung aktiviert werden soll Bei aktivierter Firewallclientunterstiitzung n mmt der ISA Server 2004 einge
72. a ES fe konfig Stand 01 02 2004 xml Zuletzt vermendete D Desktop Eigene Dateien r Arbeitsplatz Hetzwerkumge bung Dateiname korfig Stand 01 02 2004 xml viederherst Dateityp fisa Serrer Esportdateien ml Abbrechen E W hlen Sie die wiederherzustellende Datei aus und geben Sie das Kennwort ein 133 Importierte Datei offnen a 2 xj Diese Datei enthalt sichere Informationen fur die das Eingeben eines Kennwort zum ffnen fiir den Import erforderlich ist E zapa EIER Abbrechen ISAB 01 wird aus C Dokumente und Einstellungen Administrator Eigene Dateien Ka nfic Definitionen werden importiert Abbrechen WUE ISAB2 01 wird aus CH Dokumente und Einstellungen Administrator Eigene Dateien Ko nfi Die Araydaten wurden erfolgreich wiederhergestellt Ok a ee ee Damit die Anderungen wirksam werden m ssen sie bernommen werden Be Microsoft Internet Security amp Acceleration Server Microsoft i Egg 1562 01 Internet Security amp E59 berwachung Acceleration Server 2004 L GF ae Standard Edition HA Firewallrichtlinie iS Yirkuelle private Netzwerke VPA Sirs Konfiguration zn cis Netzwerke verweren m Allgemein ISA Server Verwaltung Benutzerrollen und berechtigungen delegieren R Nun hat dieser ISA Server w eder den Stand zum Zeitpunkt der Erstellung der S cherungsdatei 134
73. amp Acceleration Server 2004 Die Installation wurde erfolgreich abgeschlossen Klicken Sie auf Fertig stellen um den Yorgang abzuschlielsen In manchen F llen ist ein anschlie ender Neustart des Servers notwendig 13 Microsoft ISA Server Ei 154 Server wirksam werden Klicken Sie auf Ja um das System jetzt neu zu starten N Sie m ssen das System neu starten damit die Konfigurationsanderungen f r Microsoft oder auf Nein um den Neustart sp ter durchzuf hren E Microsoft Internet Security amp Acceleration Server 2004 Datei Aktion Ansicht z lees Microsoft Internet Security amp Accelerat E 1542004 003 t Security amp EF berwachung Acce eration Server2004 bis S Firewallrichtlinie a gt virtuelle private Netzwerke YPL willkommen er Konfiguration Hval Netzwerke Wilkommen 154 Server 2004 ist eine erweiterbare Firewalll sung ISA Server 2004 wurde zum Unterst tzen von mehreren Metzwerkumgebungen entwickelt und bietet hoch integrierte YPC Netzwerkkapazit ten erweiterbare Benutzerauthentifizierungsmodelle umfassende berwachungs und Alarmbenachrichtigungen wie auch Remoteverwaltungsoptionen F Allgemein Benutzerhandbuch Erste Schritte anzeigen verwenden Sie das Benutzerhandbuch Erste Schritte um sich ber die Bereitstellung von 154 Server zu informieren Informationen zur Sicherung von ISA Server anzeigen zeigt Empfehlungen
74. an wie Sie Ihren ISA Server Computer sch tzen k nnen zu den ersten Schritten f r folgenden Computer wechseln 1I542004 003 Zur Microsoft Internet Security amp Acceleration Server 2004 Website wechseln Erhalten Sie Informationen ber die neusten Produktupdates und Kundensupportinformationen auf der 154 Server Website Wer den ISA Server 2000 kennt wird sich fragen wo denn die Abfrage nach dem Betriebsmode geblieben ist Der ISA Server 2000 kannte ja die drei Betriebsmodi Firewallmodus Cachemodus und Integrierter Modus Ein Wechsel konnte nur durch Neuinstallation durchgef hrt werden Diese Abfrage und Einschr nkung ist beim ISA Server 2004 weggefallen Weitere Infos dazu im Artikel Cachemodus 14 Aktivierung der Webcachefunktion beim ISA Server 2004 Die Informationen in diesem Artikel beziehen sich auf e Microsoft ISA Server 2004 Der ISA Server 2004 kann s mtlichen aus und eingehenden Webverkehr fiir die Protokolle HTTP und FTP zwischenspeichern cachen Wenn von internen Clients angeforderte externe Webseiten gespeichert werden spricht man vom Forward Caching Das Cachen der Seiten kann die Performance drastisch steigern Der Flaschenhals beim Internetzugang ist heute nach wie vor die Bandbreite der Anbindung an den ISP Interne Netzwerke haben heute fast berall mindestens 100MBit s zur Verf gung die Internetanbindung betr gt in kleinen und mittleren Unternehmen meist entweder 2 MBit s synchron oder eine DSL
75. analysieren und mit Filtern nach den gew nschten Daten zu filtern Dashboard bersicht Zentrale Anlaufstelle st das so genannte Dashboard In der bersichtsansicht der ISA Server Verwaltung wird in Echtzeit eine Momentaufnahme der zusammengefassten ISA Server Aktivit t angezeigt Mit den bersichtlich auf einer Seite angeordneten wichtigen Informationen k nnen Probleme schnell erkannt und behoben werden Das Dashboard und alle folgenden Monitoring M glichkeiten befinden sich im Container berwachung des ISA Verwaltungstool unterhalb des ISA Server Computerobjektes 303 Adta Carectory Nacht honfiguri andere Richt konfiguri Becht konfigun 05 08 2001 3 i Routingfwerkettungs Iwied 05 09 2004 15 46 13 2 B Kein Konnrekbiitat 11 03 2004 07 45 40 1 bee 1106 200 0 210 verworfane Paketas Ich beschreibe jetzt die Funktion der einzelnen Fenster des ISA Dashboards Konnektivit t ISA 2004 bietet die M glichkeit zur berpr fung der Konnektivit t von wichtigen Systemen innerhalb der Organisation wie DHCP Server DNS Server und Active Directory sowie z B der Pr fung der Verf gbarkeit einer Website durch das Ausf hren eines HTTP GET Befehls Mit diesem Feature kann ein Administrator schnell reagieren wenn unternehmenskritische Komponenten nicht erreichbar sind von denen der ISA Server zum Beispiel abh ngig sein k nnte Dienste Listet den St
76. angeben Dengel hits wedged mrecigsoft cot cher hie o be an pk a wal devel sel Ba Zu guter Letzt ist es auch noch m glich verworfene Pakete zu protokollieren ISA 2004 protokolliert per Default jedes verworfene Paket Die Einstellung ob verworfene Pakete protokolliert werden sollen wird ebenfalls im ISA Verwaltungstool eingestellt Der Weg zur Konfiguration lautet ISA Computer Objekt Konfiguration Allgemein Erkennung von Eindringversuchen und DNS Angriffen aktivieren Dort kann man im Reiter Allgemeine Angriffe Verworfene Pakete protokollieren Bemerkung Es ist immer wichtig das gesunde Ma an dem Verh ltnis zwischen protokollierten Daten und dem Verzicht auf Protokollierung zu finden Zuviel Protokollierung f hrt zu un bersichtlichen Logdateien verlangsamt das System und f hrt schnell zu berschriebenen Logdateien wenn das Gr enLimit der Protokolldatei erreicht ist Die Default Logdateigr e f r das Firewall und Webproxy Log betr gt 8 GB Beide Logs werden in einer MSDE protokolliert Nur die Logdatei f r die SMTP Nachrichten berwachung wird im erweiterten W3C Format geschrieben 312 Konfiguration einer Konnektivitatsverifizierung Die Informationen in diesem Artikel beziehen sich auf Microsoft ISA Server 2004 Im Artikel Ubersicht Monitoring wurde eine Zusammenfassung aller Uberwachungsfunktionen des ISA Server 2004 gegeben Das vorliegende Kapitel besc
77. auf dem ISA Server Computer definiert sein damit der Femotestandort eine VPN Verbindung initieren kann Der Name des Benutzerkontos muss mit dem Namen des Remotettandotnetzwerks ubetemshimmen und de Enwmahlsgenschadten mussen mare Pet In gro en Umgebungen mit zahlreichen Standorten ist es sinnvoll eine Zertifikatauthentifizierung einzurichten Hierf r st jedoch die Einrichtung einer Inhouse Zertifizierungsstelle erforderlich welche jedoch sehr viel Verwaltungsaufwand erfordert In unserem Beispiel verwenden wir keine Zertifizierungsstelle sondern einen vorinstallierten Schl ssel zur Authentifizierung den so genannten Preshared Key Verwenden Sie f r den PSK Pre Shared Key eine sehr komplexe lange und zuf llige Zeichenfolge wie in diesem Beispiel Assistent f r neves Standort zu Standort Hetzwerk L2TPAPSec Authentifzierung r Geben Sie de IPS ecAuthentiizeungemethode an Die Zettifiatauthentiizienung wed empfohlen und wird als prim re Authentilizienungemethode verwendet fals ie VPN Server an beiden Standorten ber digtale Zertiikate velgen de Ein roae Sea kann als a AA termes werden und wind als pirne Aubertiontngsncod verwendet wenn bere ale Zerlifik ate inctalbert smd fw Se Soe BEN em LE LUMEN NEE rete ateiname Auth Yonnstaherten Schl ssel f r Authentifizierung verwenden A45he 1 9 650E silly sds 38H F r das Site to Site Netzwerk m ssen Sie jetzt noch den int
78. ausgew hlten Netzwerk verf gbare IP Adressen Ausgew hlte IP Adressen IP Adresse 172 16 1 50 Fiu sr1 IP Adresse Enthernen OK Abbrechen Wahlen Sie die Option Angegebenen IP Adressen auf dem ISA Server Computer im ausgew hlten Netzwerk aus damit Sie die M glichkeit haben eventuelle weitere Weblistener individuell zu konfigurieren F gen Sie die IP Adresse auf der die Anfragen entgegengenommen werden sollen hinzu 215 Assistent f r neue Weblistenerdetinition x IP Adressen Ein Weblistener kann alle IP Adressen die mit einen Netzwerk auf dem 15 4 Server assoziiert sind einschlie en Sie konnen aber auch bestimmte IP Adressen ausw hlen Diese Netzwerke auf Anforderungen abhoren Ausgew hlte IPs Extern 172 16 1 50 C Intern Alle IP Adressen 4 Lokaler Host sAlle IP Adressen 1 Qusrant nen YPN Cliente Alle IP Adressen C amp YFN Clients Alle IP Adressen I ee Di es kenn ea cet ealla IMi Ann nn nn Hilfe uber Wreblistener lP 4dressen Unter dem ausgew hlten Netzwerk sollte anschlie end nur die angegebene IP Adresse ausgew hlt sein Assistent f r neue Weblistenerdefinition E gt x Portspezifizierung Geben Ste den Port an den der 15 4 Server Computer zum 4bhoren auf den ausgew hlten IP Adressen auf eingehende Webanforderungen verwenden wird HTTF HTTP aktivieren HTTP Port feo SSL SSL Port 443 Zertifi
79. ausgew hlten Netzwerk verf gbare IP Adressen Ausgew hlte IP Adressen IP Adresse 192 166 69 51 ISAzk4 192 166 69 50 ISAzk4 197 168 69 82 ISA2k4 Hirzuk gen IP Adresse Enthernen OK Abbrechen 290 Assistent f r neue Servervyerolfentlichungsregeln IP Adressen Wahlen Sie die HMetzwerk IP Adressen auf dem 154 Server aus der Anforderungen fur den ver ffentlichten Server abhor Diese Netzwerke auf Anforderungen abhoren Ausgew hlte IPs Extern 192 165 69 80 Intern Alle IP Adressen C Lokaler Host Alle IP Adressen C Quarant nen YPN Clients Alle IP Adressen C amp VPN Clients Alle IP Adressen I Le hi ales bebo KIL ool al IT dh dee furuck weiber gt Abbrechen Hinweis Sollten Sie mehrere interne Server oder den ISA Server Computer gleichzeitig per RDP von extern zug nglich machen m ssen Sie daf r unterschiedliche externe IP Adressen oder ein alternativer Port verwenden Sie k nnen mit einer externen IP Adresse maximal einen internen Server ver ffentlichen Die letzte Seite des Assistenten zeigt wie immer eine bersicht an 29 Assistent f r neue Serrerrer ffentlichungsregeln Internet Security amp Acceleration Server 2004 Fertigstellen des Assistenten Der Assistent fur eine neue Semerveroffentlichungsregel wurde erfolgreich abgeschlossen Die neue Serververottenthchungeregel
80. ausgew hlten Netzwerk aus damit Sie die M glichkeit haben eventuelle weitere Weblistener individuell zu konfigurieren F gen Sie die IP Adresse auf der die Anfragen entgegengenommen werden sollen hinzu 250 Assistent f r neue Weblistenerdefinition x IP Adressen Ein Weblistener kann alle IP Adressen die mit einem Netzwerk auf dem 15 4 Server assoziert sind einschlie en Sie konnen aber auch bestimmte IP Adressen auswahlen Diese Netzwerke auf Anforderungen abhorer Ausgew hlte IPs Extern 172 16 1 50 Intern Alle IP Adressen Lokaler Host lt Alle IP Adressen C Quarant nen YPN Clients Alle IP Adressen C VPN Clients lt Alle IP Adressen I I ch Du in a en ee E salle IMi Ann nn Hilfe uber Weblistener IP 4dressen Unter dem ausgew hlten Netzwerk sollte anschlie end nur die angegebene IP Adresse ausgew hlt sein Assistent f r neue Weblistenerdefinikion x Portspezifizierung Geben Ste den Port an den der 15 4 Server Computer zum Abhoren auf den ausgew hlten IP Adressen auf eingehende Webanforderungen verwenden wird HTTF HTTP aktivieren HTTF Fort zi SSL S5L Fort 443 Zertifikat Ausw hlen Hilfe uber die Wreblistener Portspezifik atian uruck Abbrechen Deaktivieren S e das Protokoll HTTP und aktivieren S e das Protokoll SSL um Anfragen nur ber einen SSL Tunnel zu zulassen Geben S e ber den Button Ausw hlen
81. cachen Man spricht dann vom Reverse Caching Was ist hier der Unterschied und wann wird was ben tigt Ihr Unternehmen setzt den ISA Server ein um z B einen internen Webserver mit der Firmenwebseite zu ver ffentlichen Dazu wurde eine entsprechende Firewallrichtlinie erstellt Wird nun diese Webseite von au en aufgerufen klinkt sich wiederum der ISA zwischen die Anfrage und ruft stellvertretend f r den Webclient als Proxy die Seiten auf Dabei l dt er s e nat rlich wieder in seinen lokalen Cache Wird die Seite zu einem sp teren Zeitpunkt erneut abgerufen kann der ISA nach kurzer Aktualitatspriifung die Seiten aus seinem lokalen Cache bereitstellen In diesem Szenario wird nicht zwingend Bandbreite gespart Daf r wird der Webserver entlastet da er nicht mehr jede Anfrage selber beantworten muss Denkbar st auch den ISA Server als Webproxy innerhalb eines Unternehmens als Cacheengine vor einem stark besuchten Intranetserver aufzubauen Nur um mal eine etwas gr ere artfremde Idee zu nennen Unmittelbar nach der Installation des ISA Server 2004 ist die Cachefunktionalitat nicht aktiviert Cache Dies muss bei Bedarf nachgeholt werden was ich fiir die meisten Anwendungsfalle empfehle Als erstes muss ein Cachelaufwerk definiert werden Aufgaben Hilfe Cacheregelaufgaben Eg Cachelaufwerke definieren Zischenspeicherung aktivieren S Cacheregel erstellen Verwandte Aufgaben AR Cacheeinstellu
82. das Standard Edition Regelwerk in ISA Server tatsachlich geandert und e steht zur Verf gung Sollten Sie eine Fehlkonfiguration gefunden haben k nnen Sie alle get tigten aber noch nicht gespeicherten Anderungen wieder verwerfen bemehmen Mit diesem Konfigurationsschritt hat der ISA Server eine Richtlinie gesetzt die allen Computern in der Gruppe Remoteverwaltungscomputer den Zugang ber die MMC erlaubt Als nachstes muss die Managementkonsole auf dem Client installiert werden Dazu ruft man wieder das Setup von der ISA Server CD auf 143 BE Microsoft ISA Server 2004 Setup Microsoft ae Windows Server System Microsoft 5 Internet Security amp Acceleration Server 2004 Standard Edition Anmerkungen zur version anzeigen Benuterhandbuch Erste Migrations Assistent Schritte anzeigen ausf hren ISA Server 2004 installieren Migrationshmandbuch anzeigen Beenden 20094 filicrosott Corporation Alle Rechte vorbehalten Hier bitte ISA Server 2004 installieren ausw hlen Nach akzeptieren der EULA und Eingabe der Lizenznummer gelangt man zum Auswahlmen 144 TA Installations Assistent f r Microsoft ISA Server 7004 Benutzerdefinierte Installation Wahlen Sie die zu installierenden Programmfunkkionen aus Klicken Sie auf ein Symbol in der Liste um die Installationsart der Funktion auszuw hlen m Fyiktionisbeschreiburg Server Verwaltung ee k ae EEE PA i E
83. das Zertifikat f r 251 die SSL Verschliisselung an Zertifikat ausw hlen Bra RS Wahlen Sie ein Zertifikat aus der Liste der Zertifikate auf dem angegebenen Server Zertifikate Ausgestellt f r Ausgestellt von Ablaufdatum Angezeigter N exchange mein Interne ertifiz 06 09 2006 exchange mel i IE Abbrechen Wahlen Sie das Zertifikat aus Assistent f r neue Weblistenerdefinition Portspezifizierung Geben Ste den Port an den der 15 4 Server Computer zum 4bhoren auf den ausgew hlten IP Adressen auf eingehende Webanforderungen verwenden wird HTTF HTTP aktivieren HTTP Port fea SSL M SSL aktivieren S5L Fort 443 ertitikat exchange meinedomain de Hilfe uber die Wreblistener Portspezitik atian uruck Weiter gt Abbrechen Anschlie end sollte der Weblistener wie im Bild abgebildet konfiguriert sein 252 Assistent f r neue Weblistenerdefinition x Fertigstellen des Assistenten Microsoft _ Internet Security amp Acceleration Server 2004 Der Assistent fur neue Weblistener wurde erfolgreich abgeschlossen Der neue Listener wird wie folgt konfiguriert Hame al Weblistener IF 172 16 1 50 Formsbased Abhoren auf E ster SSL Fort 443 SSL Zertifikat exchange meinedomain de a Ai Klicken Ste auf Fertig stellen um den Yorgang abzuschlie en uruck Abbrechen Zum Abschluss bekommen Sie eine Zusamm
84. den gesamten ausgehenden Datenverkehr zulassen oder den ausgehenden Datenverkehr einschr nken so dass nur der Webzugriff gestattet wird Eine Edgefirewall gilt nicht als sicherste Firewall L sung weil ein Angreifer nur eine Firewall berwinden mu 3 Abschnitt Umkreisnetzwerk Trihomed Firewall Bei dieser Vorlage wird eine Netzwerktopologie angenommen bei der ISA Server mit dem internen Netzwerk dem externen Netzwerk und einem Umkreisnetzwerk auch als DMZ demilitarisierte Zone oder abgeschirmtes Subnetz bezeichnet verbunden ist Eine Trihomed Firewall ist eine Firewall mit drei Netzwerkkarten und wird h ufig auch als Poor Man s Firewall bezeichnet Frontfirewall Netzwerkvorlage Bei dieser Vorlage wird eine Netzwerktopologie angenommen bei der sich ISA Server an der u eren Schnittstelle eines Netzwerks befindet und zum Schutz des internen Netzwerks ein weiterer Firewall am Back End konfiguriert ist Backfirewall Netzwerkvorlage Bei dieser Vorlage wird eine Netzwerktopologie angenommen bei der ISA Server an der Schnittstelle zwischen einem Umkreisnetzwerk und dem internen Netzwerk eingesetzt wird und zum Schutz des internen Netzwerks am Back End ein weiterer Firewall konfiguriert ist Weitere Informationen finden Sie unter Backfirewall Netzwerkvorlage Einzelner Netzwerkadapter Bei dieser Vorlage wird eine Netzwerkkonfiguration mit einem einzelnen Netzwerkadapter angenommen der sich innerhalb eines Umkreis oder Firmennet
85. dern Firewallchentcornputer Automatisches Konfigurationsskript verwenden f Standard URAL verwenden o Benutzerdefnierten URL versenden https Mond BORO array dl Get Routing Script M Webproxyserver verwenden 155 ServerName bzw IP Adresse Mond Durchsuchen Abbrechen bernehmen Durch diese Einstellung wird der Internet Explorer auf Clientcomputern die den Firewallclient installiert haben automatisch f r WPAD konfiguriert und somit zum Webproxyclient In den Eigenschaften des Netzwerkes k nnen auf der Registerkarte Webbrowser noch weitere Optionen konfiguriert werden 121 Eigenschaften von Intern a P x Automatische Erkennung Firewallclent Webproxy Allgemein Adressen Dom nen Webbrowser Geben Ste die Server oder Dom nen an auf die Chents direkt zugreifen und wie Clients auf das Internet zugreifen falls 15A Server nicht verf gbar ist Diese Einstellungen gelten fur alle Webbrowserchents die das angegebene Kontigurationskript dieses 5 4 Servers verwenden 7 Auf der Registerkarte Dom nen angegebene Computer direkt zugreifen Auf diese Server bzw Dom nen direkt zugreifen Hinzufugen Fenttemen vr Altemativroute fur die Internetyerbindung verwenden wenn der ISA Server nicht verf gbar ist Direktzugriff B Alternativer 54 Server Durchsuchen Abbrechen bernehmen Sofern z B m internen Netzwerk Webserver stehen sollten di
86. ee Ta m Pe es ee En aa OT fi i a oa ee e y m l J f EN Kra were ry H J ot LR jami ath t TEL iio Pol rely gi F r weitere Informationen zum Thema Monitoring lesen S e folgenden Artikel und diesen Lassen Sie s ch auf alle F lle bei dem Eintreten von wichtigen Ereignissen auf dem ISA Server informieren Es stehen Ihnen dazu verschiedene M glichkeiten zur Verf gung 355 Eigenschaften ron Alarme Alarmdefinikioner 1E a a a a g a a EOE a a 2 E Qc COeE CH CHECEe Oe SMT P Sernver Sa Alarm kategorie Alarmakkionsfehler Berichtszusammenfassungs Erstellu Betriebssystemn Komponentenkanflikt _achecontainer Initialisierungsfehler Cachecontainerwiederherstellung a Cacheinitialisierungsfehler Cacheobjekk verworfen CacheschreibFehler Cachewiederherstellung abgeschlos Das Verbindungslimit f r eine Regel Das Yerbindungslimit wurde bersch Dienst antwortet nicht Dienst gestartet Dienst heruntergefahren Dienstinitialisierungsfehler m s Frogramm ausf hren Porchsuchen Dieses Konto versenden M In Windows Ereignisprotokoll schreiben Ausgew hlte Dienste beenden Ausgew hlte Dienste starten S e k nnen s ch zum Beispiel per E Mail informieren lassen wenn ein bestimmter ISA Alarm auftritt Durchsuchen Konto festlegen Firewalldienst Firewalldienst Firewalldierist Cache Cach
87. ee es M SE N E T T uE 2 a EEE a Ha T a Externes Metzwerk Internet Mame Adressbereiche Beschreibun Extern F r die 154 Server Metzwerke e Das vordefinierte Wetzwerkobjekt das das Internet darstellt 24 Intern 0 0 0 1 126 255 255 255 Das Netzwerk das das interne Netzwerk darstellt 2 128 0 0 0 255 255 255 254 Firewallrichtlinie R Name Aktion Protokolle Yon Listener Nach DL Standardregel amp verweigern pE Gesamter St Alle Netzwerke und lokaler Host St Alle Netzwer gli Alle Benutzer _ 34 Bestimmte WebSeiten nicht cachen Die Informationen in diesem Artikel beziehen sich auf e Microsoft ISA Server 2004 Grunds tzlich speichert der ISA Server alle extern abgerufenen Webseiten und ggfs FTP Downloads im Cache sofern dieser eingerichtet wurde In einigen Situationen ist es notwendig bestimmte externe Webseiten nicht zu cachen Dies kann durch eine zus tzliche Cacheregel eingerichtet werden was in diesem Artikel ausf hrlich beschrieben wird Im folgenden Beispiel wird eine Regel eingerichtet die alle Anfragen an die Webseite www msisafaq de nicht zwischenspeichert In der Management Konsole unter Konfiguration gibt es den Punkt Cache Dort findet man entweder im Kontextmen oder im Aufgabenbereich die M glichkeit eine neue Cacheregel zu erstellen Assistent f r neue Cacheregel x Willkommen Microsoft Intern
88. einen Computerobjekt einschr nken J Firewallrichtlinie R Mame Aktion Prokokolle von Listener Mach Bedingung u DNS Aufl sung f r intern QA Fulassen RA ors bc Extern gg Alle Benutzer e Wenn es das allgemeine Netzwerkdesign zul sst verwende ich einen weiteren Schritt n der Namensaufl sung Wenn zum Beispiel mehrere Domaincontroller vorhanden sind leite ich die DNS Server an einen weiteren internen Server weiter Dies kann zum Beispiel der ISA Server selber sein Nur dieser eine darf dann DNS Anfragen stellen Der DNS Server erh lt statt der Weiterleitung zu einer externen IP Adresse wie oben eine interne IP eingetragen Am ISA muss dazu eine Regel erstellt werden die dem DC eine Verbindung zum lokalen DNS Server erlaubt Firewallrichtlinie N AR Name Aktion Protokolle Won Listener Mach Bedingung E ons Aufl sung f r oc zulassen Bons oc whe Lokaler Host gi Alle Benutzer Mittels der vorhandenen Systemrichtlinie darf der ISA Server selber DNS Anfragen an das externe Interface stellen Firewallrichtlinie W Jeder Client bekommt den internen AD DNS und einen weiteren externen DNS Server zugewiesen Bei den Vorbereitungen zu diesem Artikel ist mir auch diese L sung eingefallen M chte sie nur der Vollst ndigkeit halber erw hnen empfehle s e n cht Der Verwaltungsaufwand ist zu hoch Von der Konfiguration ist es eine Mischung aus den beide
89. erver Verwalkung x Installationsfreigabe f r Firewallclient erm glicht die Verwendung der X Nachrichten berwachung Verwaltungskonsole zur zentralen verwaltung von ISA Server Diese Funktion erfordert 22 MB auf der Festplatte ka a Installieren nach ProgrammeiMicrosoft ISA Serveri Spanon Abbrechen In vorliegenden Beispiel wird nur die ISA Server Verwaltung installiert ie Installations Assistent f r Microsoft ISA Server 2004 Microsoft 54 Server 27004 wird installiert Die gew hlten Programmfunkkionen werden installiert Warten Sie w hrend Microsoft I5A Server 2004 installiert wird Dieser Yorgang kann einige Minuten in Anspruch nehmen Skakus Neue Dateien werden kopiert CECT IT Te Abbrechen Nach kurzer Wartezeit ist die Installation fertig 145 E Microsoft Internet Security amp Acceleration Server 2004 Fertigstellen der Installation Microsoft Internet Security amp Acceleration Server 2004 Die Installation wurde erfolgreich abgeschlossen SS m 154 Server verwaltung nach Fertigstellen des Assistenten starten Klicken Sie auf Fertig stellen um den Yorgang abzuschlielien Fertig stellen Nach der Installation steht m Startmen der Eintrag ISA Server Management zur Verf gung Windows Update und Support amp Internet Explorer Windows Katalog en Autostart d DMS m Microsoft 5
90. f r Regeln die auf diesem Zeitplan basieren fest rene Sea hn ns eae ENES peace Ma E aat ESE p SAE i a PaE E m Pascha Bere aie A Dienstag Mittwoch Donnerstag Freitag Samstag Sonntag vor Montag Bisi Freitag fee 15 E fe Aktiv Inaktiv Abbrechen Nun haben wir alle Bauelemente zusammen und k nnen die Firewallrichtlinie erstellen 162 STY Firewallrichtlinienautc Neue m erstellen Webseray ver ffentlichen S Einen sicheren Webserver ver ffentlichen Ta Mailserver ver ffentlichen Ha Neue Serverver ffentlichungsr erstellen Dazu aus dem Aufgabenbereich den Punkt Neue Zugriffsregel erstellen ausw hlen Assistent f r neue Zugriffsregel Willkommen Internet Security amp celeration Server 2004 Mit diesem Assishenten konnen Sie eine neue Zugriffsregel erstellen Zugriffsregeln bestimmen die durchzufuhrende Akton und die zu verwendenden Protokolle wenn angegebene Cents in einem Netzwerk versuchen auf bestimmte Ziele oder Inhalte auf einem anderen Netzwerk zuzugreifen oe u zugriffsregelname u Birgit POPS erlauben klicken Ste auf Weiter um den Yorgang fortzusetzen 2 AUCE Abbrechen F r die Zugriffsregel sollte ein eindeutiger Name verwendet werden Das erleichtert sp ter die bersicht 163 Die Regel den Verkehr erlauben Assistent f r neue Zugriffsregel Regelaklton Legen Sie fest we Clentanforderunge
91. gbar sind W hlen Sie hier nur die Protokolle welche Sie wirklich verwenden wollen 430 Eigenschaften von PM Clients Aktivieren Sie die Tunnelprotokolle die f r RAS Werbindungen verf gbar sind IY PPTP aktivieren TIS Fics een f r den Remabezugriff W hlen Sie f r VPN Clientverbindungen die Netzwerke aus von denen Clients Verbindungen mit dem VPN Server initiieren k nnen Stellen Sie sicher dass das Netzwerk External ausgew hlt ist Eigenschaften von Virtuelle private Netzwerke YPN A TAE RAE E a oen Chents Verbindungen mm dem VPN Server initieren k nnen W hlen Sie f r Standort zu Standort Verbindungen die bokalen FF 4 External Buit PRESET TEN TE representing O wk Internal Network representing the internal r C SLAI Networks and Local This predefined network set include C Al Protected Networks This predefined network set include Uberpriifen Sie ob die vom ISA Server erstellte Systemrichtlinie korrekt ist Zur Anzeige der Systemrichtlinie klicken Sie in der ISA Verwaltungskonsole mit der rechten Maustaste auf Firewallrichtlinie und w hlen im Kontextmen Ansicht Systemrichtlinienregeln anzeigen 431 ji Allow PN cent traffic to ISA Server tus WIE Cent External ain Local Host All Users Di IPSec ESP bi IPSec NAT Li L21P Client Eid PeT Wenn Sie den VPN Clientzugriff aktivieren wird die Systemrichtlinienregel VPN Clientdatenverkehr zu ISA Ser
92. gesamter ausgehender Da Unten gibt es weiterf hrenden Erkl rungen Es gibt 2 M glichkeiten die Systemrichtlinien zu bearbeiten 170 4 Lokaler Host Extern Externi a IFSec emon a Extern cts Lokaler Host a b Lokaler Host obs Intern a b Lokaler Host te ickaler Host oe Lokaler Host coh Lckaler Host 4 Lokaler Host oy Alle Netzwe ab ae Host eth eee Host a TE Ron ei faken o h Lokaler Host ik Microsoft F e AY Intern dy alle te Fa Rematever Aktualisieren Exportieren Importieren dr Neu b Ansicht d Hilfe Systemrichtlinien Editor Konfigurationsgruppen Allgemein Mach EJ Netzwerkdienste DHCP DNS MTF Sq Authentifizierungsdiensti Active Directory RADIUS RS4 SecurlD CRL Download Remoteverwaltung Microsoft Manageme Diese Regel betrifft Datenverkehr der an diese Ziele gesendet Alle Netzwerke und lokaler Host Hinzuf gen Bearbeiten Enthernen Hil Terminalserver ICMP Ping Ausnahmen SJ Firewallcient Hinzuf gen Firewallclientinstallat Diagnosedienste Bearbeiten I_rAP Windows Netzwerk Enthernen Micrasofk Fehlerberic HTTP Konnektivitaks Protokollierung Abbrechen i Hiermit k nnen die Systemrichtlinien einfach verwaltet werden Wer lieber die Ansicht wie sie auch bei den Firewallrichtlinien verwendet wird bev
93. hier nt F r das Micros Werbind i m aming Perendt impale xj Willkommen Mit desem Ass terken konnen Sie en Dienot ertean tha Se ee oe agepan wand Klicken Sis auf Hiie um ere Liste der vor dem Stat ie N Klicken auf Hite auf der entsprechenden Sete Klicken Se aud Visiter um den Vorgang kotzusatzer Abbrechen Hite Sie m ssen das Script in diesem Beispiel SCRIPT BAT als Aktionstyp Vor Herstellen der Verbindung ausf hren 443 Assistent fir das Microsoft Vert ndungs Manager Versaltingskit x ee p ee we CMAK erstellt ein komplettes Profil anhand Ihrer Angaben und packt das ganze in eine EXE Datei welche Sie nur noch auf dem VPN Client ausf hren m ssen E D Active Directory Migration Tool ae Dat en sen oe 475 KE Aneendung 27 06 2004 D Ahead IOKE Setup Informationen 27 08 2004 OO Mars 2kB 27 08 2004 B Atheros Ei ca Sr cmak B Profiles C k om 5 Support 444 Nach erfolgter Installation des CMAK Profiles existiert ein neuer Eintrag in den Netzwerkverbindungen des Clients erbindungs Manager PN fae Er bindung getrennt eee NOS WAR CAPI Treiher 5 Quarantine Script Das Quarantine Script kann eine ausf hrbare Date EXE Skript VBS oder eine Batchdatei CMD oder BAT sein Nachdem m Script alle Anforderungen des VPN Clients abgefragt worden sind erfolgt der Aufruf von RQC EXE
94. hrten nderungen zu bernehmen Erst dann wird das Regelwerk in ISA Server tats chlich ge ndert und steht zur Verf gung Sollten Sie eine Fehlkonfiguration gefunden haben k nnen Sie alle get tigten aber noch nicht gespeicherten Anderungen wieder verwerfen Vom Client aus ruft man einfach die Remotedesktopverbindung Start gt Programme gt Zubeh r gt Kommunikation auf alternativ mstsc und gibt den Namen oder die IP Adresse und mit einem Doppelpunkt getrennt den alternativen Port des ISA Servers ein 72 Remotedesktapverbindung fx motedesktopverbindung Computer 192 168 69 80 1234 Lra Schlie en Tip Mit dem Befehl mstsc console ruft man eine Remotedesktopverbindung auf die Konsole auf Das hat mehrere Vorteile e man sieht Popups Warnungen e man kann meist Software installieren die nicht im Terminalmodus installiert werden kann e man kann die Konsole so bernehmen bergeben wie man sie am echten Monitor sieht 302 bersicht ber die ISA Server 2004 Monitoring Funktionen Die Informationen in diesem Artikel beziehen sich auf e Microsoft ISA Server 2004 Einleitung Der Microsoft ISA Server 2004 bietet sehr umfangreiche Monitoring M glichkeiten um den Status der Firewall und des Proxy Servers zu berwachen Im Vergleich zum ISA Server 2000 stehen jetzt leistungsf hige Analysetools zur Verf gung Eines der Highlights ist die M glichkeit die ISA Protokolldaten in Echtzeit zu
95. kompatibel sind Um den MSN Messenger zu blockieren konfigurieren Sie den User Agent MSN Messenger in einem Request Header Sie k nnen aber auch den Zugriff auf Webseiten mit bestimmten Malicious Code verbieten indem Sie z B die Zeichenfolge lt iframe src gt blockieren Diese Zeichenfolge veranlasst den Internet Explorer CPU Ressourcen zu verwenden Wichtig HTTP Signature Filtering funktioniert nur wenn die Requests und Responses UTF 3 eine Transformation von Unicode codiert sind Wird ein anderes Kodierungsschema verwendet kann kein Signature Blocking durchgef hrt werden HTTP Richtlinie f r diese Regel konfigurieren f x Allgemein Methoden Erweiterungen Header Signaturen Inhalte mit Folgenden Signaturen blockieren Hinzuf gen Bearbeiten _ Entfernen Wur aktivierte Suchzeichenfolgen anzeigen Abbrechen bernehmen In diesem Beispiel blocken wir den MSN Messenger mit Hilfe einer HTTP Signatur 270 Signatur tis Geben Sie einen Namen f r diese Signatursuche an Name MSN Messenger Black Beschreibung Blockiert die Verwendung des MSN Messengers optional Signatursuchkriterien Suchen in Anforderungsheader HTTP Header User 4gent Geben Sie die zu sperrende Signatur an MSN Messenger Signatur Format Text Eytebereich E Einer OK Abbrechen Zum Gl ck m ssen Sie nicht jeden HTTP Filter selbst erst
96. mit folgenden Parametern rgc ConnName TunnelConnName TCPPort Domain UserName ScriptVersion ConnName Der Name der Remote Access Verbindung Kann mit DialRasEntry abgefragt werden TunnelConnName Der Name der Tunnel Verbindung auf dem Host Kann mit TunnelRasEntry abgefragt werden TCPPort Die Port Nummer der RQS Komponente Default 7250 Domain Die Dom ne des zu verbindenden Benutzers Kann mit Domain abgefragt werden UserName Der Name des Benutzers welcher die Verbindung aufbaut Kann mit UserName abgefragt werden ScriptVersion Ein text String welcher die Script Version beinhaltet Sie k nnen alle Textstrings au er O verwenden weil diese vom RQS verwendet werden um mehrfache Strings zu trennen Die Erstellung des Quarantine VPN Scriptes ist die schwerste Angelegenheit Hier hat Microsoft noch einiges erheblich zu verbessern Die Konkurrenz bietet hier wesentlich komfortablere Konfigurationsm glichkeiten Es ist eine permanente Anpassung des Scriptes notwendig um es an die sich fast taglich ndernden Sicherheitsbedrohungen anzupassen Bemerkung Mit Windows 2003 SP1 soll es eine GUI zur Konfiguration des Quarantine Control Features geben Bei meinen bisherigen Test mit der Beta Version von Windows 2003 SP1 konnte ich dieses Programm nicht finden 445 Sie k nnen als Einstieg das Beispielscript aus dem Windows 2003 Qurantine Access Control Artikel verwenden Ich habe das Script in diesem Artikel etwas
97. nicht als Webcache L sung lassen Sie den Cache deaktiviert Default Einstellung des ISA Server 2004 Microsoft Internet Security amp Acceleration Server 2004 Datei Aktion Ansicht 7 e gt aaa elal a Microsoft Internet Security amp Acceleration Server 2004 aa rity 2 EG berwachen Acceleration Server 2004 Standard Edition 3 vse y Firewallrichtlinie pa ao virtuelle private Netzwerke YPN Cacheregeln X Inhaltdownloadauftrage H S Konfiguration ol Netzwerke 2 aia ck Aktualisieren amp Letzte Standardregel Lachelaufwerke festlegen Zaischenspeicherung deaktivieren Exportieren Importieren Meu b Ansicht d Eigenschaften Hilfe Verwenden Sie den ISA Server 2004 nicht als VPN Server so k nnen Sie die VPN Funktionalit t am ISA Server 2004 auch deaktivieren 352 Eigenschaften von PN Clients Ed Allgemein Gruppen Protokolle Benutzerzuordnung Maximale Anzahl zugelassener YPN Llients 240 Abbrechen bernehmen Deaktivieren Sie auch nicht ben tigte Anwendungs und Webfilter E Microsoft Internet Security amp Acceleration Server 2004 Datei Aktion Ansicht 7 flm 2 ale o Microsoft Internet Security amp Acceleration Server 2004 SH W2KSMARC be A berwachung cow 34 Firewallrichtlinie oo virtuelle private Netzwerke WPM Anwendungsfilter W webfilter 3 Konfiguration a mr a4 Netzwerke Mame
98. nicht anders zu erwarten war f hrt ein Assistent durch die notwendigen Konfigurationsschritte Netzwerkyorlagen Assistent x Willkommen Microsoft Internet Security amp Acceleration Server 2004 Sie haben die Netzwerkvorlage Einzelner HNetzwerkadapter ausgew hlt Mit diesem Assistenten k nnen Sie die Netzwerktopologie konfigurieren und eine Firewallrichtlinie F r diese Konfiguration anwenden fuck Abbrechen 29 Netzwerkvorlagen Assistent B xj ISA Servrer Konfiguration exportieren verwenden Sie die Exportfunktian um eine Sicherung der aktuellen 154 Server Konfiguration zu erstellen Durch ndern der Netzwerkkonfiguration werden die aktuelle Hetzwerkkanfiguration und Firewallrichtlinienregeln au er Kraft gesetzt Es wird empfohlen die Exportfunkkion zum Speichern der aktuellen 154 Server Konfiguration f r die Sicherung zu verwenden bevor Sie die Netzwerkkonfiguration ndern Sie k nnen die exportierte Konfigurationsdatei zu jedem beliebigen Zeitpunkt importieren um diese Konfiguration wiederherzustellen Zur ck Weiber gt Abbrechen Egal ob der ISA soeben frisch aufgesetzt wurde oder nicht empfehle ch dringend an dieser Stelle die aktuelle Konfiguration zu exportieren Schade dass Microsoft hier keine Zwangsexportfunktion eingebaut hat 30 Konfiguration exportieren Speichern in E Eigene Dateien i l Zuletzt verwendet
99. nnen Sie eine ganze Gruppe von Alarminstanzen zur cksetzen In der Alarmansicht werden Alarminstanzen der Kategorie entsprechend in Gruppen zusammengefasst zum Beispiel Dienst heruntergefahren Sie k nnen die Gruppenheader erweitern oder reduzieren und so die enthaltenen Elemente anzeigen oder ausblenden 330 Mithilfe der ISA Server Verwaltung k nnen Sie durch das Best tigen von Ereignissen anzeigen ob Sie ein spezifisches Ereignis oder eine Gruppe von Ereignissen bearbeiten Wenn Sie ein Ereignis oder eine Gruppe von Ereignissen als anerkannt markieren wechselt der Status der entsprechenden Ereignisse in der Alarmansicht und diese Ereignisse werden nicht mehr in der bersichtsansicht angezeigt bersicht Y Alarme Sitzungen W Dienste Berichte X Konnektivit t Protokollierung Glarrri Letzter Eintrag Status Kategorie 1 Dienst gestartet 16 06 2004 20 29 06 Heu Firewalldienst A Se O O 2 EIN Se ee 4 Dienst gestartet 16 08 2004 20 29 06 We Firewalldienst Auf die gleiche Weise k nnen Sie einen Alarm zur cksetzen was zur Folge hat dass er aus der Alarmansicht entfernt wird bersicht Y Alarme Sitzungen Dienste Berichte X Konnektivit t Protokollierung Alarm Letzter Eintrag Status kategorie Hinweis Gehen Sie mit den Alarm Benachrichtigungen sorgf ltig und bed chtig um Es empfiehlt sich z B nicht jedes Ereignis sofort als Mail zu versenden In der Praxis kann es durchaus vorkommen d
100. r neue Zugriffsregel 7 x Protokolle Wahlen Sie die Protokolle aus f r die diese Regel angewendet wird Regel wird angewendet f r Ausgew hlte Protokolle Protokolle Bearbeiten Entfernen Ports uruck Wi Biter gt Abbrechen Die Regel gilt nur f r das HTTP Protokoll 368 Assistent f r neue Zugriffsregel 7 xj ugrilfsregelquellen Diese Hegel gilt f r Datenverkehr der von den auf dieser Seite angegebenen Quelen stammt Diese Regel betrifft Datenverkehr von diesen Quellen Inter Bearbeiten Entfernen uruck eltern gt Abbrechen Da diese Regel alle Benutzer aus dem internen Netzwerk betrifft wird das Netzwerk Intern als Quelle hinzugef gt Assistent f r neue Zugriffsregel Zugriffsregelz ele Diese Regel gilt f r Datenverkehr der von den Regelquellen an die aut dieser Seite angegebenen Zielen gesendet wird Diese Regel betrifft Datenverkehr der an diese Ziele gesendet wird Estem Bearbeiten Entfernen uruck Weiter gt Abbrechen In diesem Beispiel wird keine Einschr nkung der erlaubten Websites festgelegt daher w rd das Netzwerk Extern als Ziel hinzugef gt Im folgenden Dialog soll die Voreinstellung Alle Benutzer best tigt werden Danach kommt eine Zusammenfassung des Assistenten welche z B f r Dokumentationszwecke kopiert werden kann 369 Die neue Firewall
101. rechten Seite die Toolbox Um dort ein neues Protokollelement zu erstellen muss in der Toolbox der Bereich Protokolle aufgeklappt werden Dann im Men Neu gt Protokoll auswahlen Assistent fir neue Protokolldefinitionen u E x Wilkommen Microsoft Internet Security amp Acceleration Server 2004 Mit diesem Assistenten kannen Sie eine neue Protokolldefinition erstellen Mit Protokolldefinitianen werden die zugrunde legenden Protokolle und Porthummern fur Yerbindungen angegeben Protokalldetinitionsnamne B T Online ClassicG ate un Klicken Ste auf Weiter um den Yorgang fortzusetzen AUCE Abbrechen F r ein Protokoll sollte ein sprechender Name verwendet werden Dies gilt brigens nicht nur hierf r F r s mtliche erstellten Objekte f r die Konfiguration des ISA Servers z B 360 Firewallrichtlinien sollten klare Namen verwendet werden die auf einen Blick eine Ubersicht geben was das jeweilige Element beinhaltet Assistent fiir neue Protokolldefinitionen Prim re Yerbindungsinformationen Welche Portnummer Protokoll und Richtung werden fur die prim re Werbindung verwendet Protokolltyp Bearbeiten th Laschen ln Zugriffsregeln mussen die verwendeten Protokolle ausgehend sein J ri 5 erververottentlichungsregeln mussen die verwendeten Protokolle eingehend Sein Hilfe ber das Erstellen neuer Protokolle ZUruIch Abbrechen Die zweite Dialogbox
102. server that is on the internal network 838709 How to use the ISA Server 2004 migration tool to migrate from ISA Server 2000 to ISA Server 2004 838378 You cannot install ISA Server 2004 Administration Tools alongside ISA Server 2000 Administration Tools Ale e 837454 How to configure access auditing for storage and for configuration in ISA Server 2000 and in ISA Server 2004 AD
103. to Site VPN in der Regel um ein und dieselbe Firma handelt ist es nicht notwendig den Datenverkehr einzuschr nken Wir erstellen eine Regel mit vollst ndigem Zugriff Hinweis Sie m ssen eine Zugriffsregel in beide Richtungen des jeweiligen Remotestandortes erstellen Achten Sie bei der Erstellung eines Site to Site VPN mit Partnern Lieferanten usw auf ein angepasstes Firewallregelwerk 416 Willkommen Mit diesem Assistenten k nnen Sie eine neue Zugnlisregel erstellen Zugr fsiegein bestimmen de durnchzuf hrende Akbon und dee zu verwendenden Protokolle wenn angegebene Chents in einem Netzwerk versuchen au bestimmte Ziele oder Inhalte auf einem anderen Netzwerk Wir erstellen eine Zulassungsregel TE nn Assiste nt f r neue Zw ance el ie Chentanforderungen nach Inhaken vom angegebenen Ziel ee a anus Riegel angegebenen Bedingungen zutreffen Die Regel wird fiir den gesamten ausgehenden Datenverkehr angewendet 41 77 Assiste nt hir neue Zugr fsregel pa w hlen Sie die Protokolle aus f r die diese Regel angewendet wid Die Regel betrifft den Datenverkehr vom Standort Braunschweig nach m e s ss ee nn a Assiste nt f r neue Zugrilisregel ix Des eh Data det von den aul dere Selle angegebenen Internal 418 r Pae e o SAAen aS Assistent f r neue Zu aie 4 EJ aiiiiagabiia DEE Bel cl nb esl der von den Regel
104. tree at SOFTWARE Microsoft MSSQLServer Reading registry tree at SYSTEM CurrentControlSet Services bwcperf Reading registry tree at SYSTEM CurrentControlSet Services Eventlog Application ACECLIENT Reading registry tree at SYSTEM CurrentControlSet Services Eventlog Application BwcPerf Reading registry tree at SYSTEM CurrentControlSet Services Eventlog Application DNS intrusion detection filter Reading registry tree at SYSTEM CurrentControlSet Services Eventlog Application FTP Access Filter Reading registry tree at SYSTEM CurrentControlSet Services Eventlog Application ISA Server H 323 Filter Reading registry tree at SYSTEM CurrentControlSet Services Eventlog Application ISA Server RPC Filter Reading registry tree at SYSTEM CurrentControlSet Services Eventlog Application ISA Server Streaming Filter Reading registry tree at SYSTEM CurrentControlSet Services Eventlog Application Microsoft Firewall Reading registry tree at SYSTEM CurrentControlSet Services Eventlog Application Microsoft ISA Server Control Reading registry tree at SYSTEM CurrentControlSet Services Eventlog Application Microsoft ISA Server Job Scheduler Reading registry tree at SYSTEM CurrentControlSet Services Eventlog Application Microsoft ISA Server ReportGenerator Reading registry tree at SYSTEM CurrentControlSet Services Eventlog Application Microsoft ISA Server Storage Reading registry tree at SYSTEM CurrentControlSet Services E
105. unter Kapitel 2 2 eingestellten Optionen Timeout E Mail Anlagen f r einen privaten Computer Microsoft Outlook Web Access Microsoft Internet Explorer Datei Bearbeiten Ansicht Adresse 2 https Hexchange meinedomain defCookie4uth dll GetLagonwrapperrurl 2F gt wechseln zu Outlook Web Access Ordner 3 Administrator F Aufgaben LA Entw rfe al gel schte Objekte Gesendete Objekte S Journal ie Junk E Mail Kalender ga Kontakte ha Motizen FE Postausgang e Uptionen 4 1 aktive Erinnerunglen a Favoriten Extras B Posteingang Zweizeilige E Mail Ansicht Elemente bis Pa ES Hilfe Administrator Testmail Testmail Administ ator An Administrator Cc Testmail f 5 Internet ER Links 1 von 1 H Abmelden Erhalten Di 17 09 2004 19 09 TEE Nach erfolgreicher Anmeldung haben Sie Zugriff auf Ihr Postfach per Outlook Webaccess 262 ISA Server 2004 HTTP Filter Die Informationen in diesem Artikel beziehen sich auf e Microsoft ISA Server 2004 Einleitung In diesem Artikel erl utere ich die Konfiguration des mit ISA 2004 mitgelieferten HTTP Filters und die interne Funktionalit t F r eine effiziente Arbeit mit dem HTTP Filter m ssen Sie das HTTP Protokoll etwas verstehen Lesen Sie dazu bitte folgenden Artikel Was ist ein Webfilter HTTP Filter Webfilter sind DLLs welche auf dem IIS ISAPI Internet
106. von ISA Server an ausgew hlte SecurlD Filter aktiv ist f r Server zulassen Authentifizierungsanfragen zu internen SecurlD Servern 25 Remote berwachung Remote berwachung von ISA Wird ben tigt wenn ein MOM Server auf vertrauensw rdigen Servern mithilfe des Server den ISA Server Microsoft Operations Manager Agents zulassen berwachen soll Authentifizierungsdienste HTTP von ISA Server an Erlaubt dem ISA Server die i ausgew hlte Netzwerke f r das Downloaden neusten Zertifikatsperrlisen v a laktualisierten Zertifikatsperrlisten zulassen HTTP von allen Netzwerken abzurufen Netzwerkdienste NTP von ISA Server an Gestattet dem ISA Server eine vertrauensw rdige NTP Server zulassen Zeitsynchronisation durchzuf hren Remote berwachung SMTP von ISA Server an Erlaubt dem ISA Server z B f r vertrauensw rdige Server zulassen Alarmbenachrichtigungen Mails per SMTP an das interne 26 21 28 a E 174 a a Netewerk zu senden Verschiedenes HTTP von ISA Server an Wenn geplante ausgew hlte Computer f r Inhaltdownloadauftr ge Inhaltsdownload Auftr ge fi zulassen existieren erlaubt diese dann aktivierte Richtlinie den HTTP Verkehr Remoteverwaltung Remoteverwaltungscomputern Erlaubt s mtlichen Verkehr m gestatten auf dem ISA Server Computer ausgef hrtejvom ISA Server zu allen Dienste zu verwalten Computern des Computersets Remoteverwaltungscomputer nach oben Syst
107. wird wie folgt konfiguriert Mame al ADF extern zu Sonne Verottenthchter Server 192 168 16 68 eroffentlichter Dienst RDF T erminaldienste Server Abhoren auf a i Klicken Sie auf Fertig stellen um den Yorgang abzuschlie en Zur ck Abbrechen Bevor die neu erstelle Firewallrichtlinie bernommen wird sollten Sie noch eine kleine Korrektur n den Eigenschaften der Richtlinie vornehmen Gehen S e dazu auf die Registerkarte Von Eigenschaften von ROP extern zu Sonne Allgemein Aktion Datenverkehr Yon Bis Netzwerke Zeitplar Diese Regel betrifft Datenverkehr von diesen Quellen a E stern Bearbeiten Entfernen Ausnahmen Hinzufugen Bearbeiten Enttenen ii Li Diese Regel gilt nur far Datenverkehr von Netzwerkidentit ten die in den ausgew hlten Netzwerken auf der Registerkarte Netzwerk enthalten sind Hilfe uber Netzwerklistener OF Abbrechen bernehmen 292 Standardm ig wird als Quellnetzwerk beliebig ausgew hlt ndern Sie das in Extern ab Sollten Sie noch weitere Einschr nkungen vornehmen wollen so tun Sie es hier und jetzt Es ist z B denkbar dass Sie nur bestimmte vordefinierte Computer in einem Computersatz zusammenfassen und nur diesen den Zugriff auf diese Regel erlauben Dann w rden Sie nat rlich diesen Computersatz statt Extern hinzuf gen Denken Sie daran die durchgef hrten nderungen zu bernehmen
108. zu beschr nken 191 Neues Domanennamensatz Richtlnienelement Name Windowsupdate ug 1 Regeln die Dom nennamens tze verwenden werden ggf nicht wie erwartet angewendet Falls DNS nicht ordnungsgem l konfiguriert ist In diesem Satz enthaltene Dom nennamen download microsoft com g windowsupdate com g windowsupdate microsoft com 5 windowsupdate microsoft com Heu Unbenenmen L schen Beschreibung optional Abbrechen Netzwerkidentit ten hinzuf gen E E x Netz yerkidentik ten Heu Bearbeiten L schen Netzwerke H Metzwerks tze 3 Computer Adressbereiche C subnetze 5 Dom nennamens tze A Durch Systemrichtlinie zugelassene 5 i Microsort Fehlerberichterstattungs 5 WiIndowsupdate Y5 E U URL S tze 9 Computers tze Hinzuf gen Schlie en Vergeben Sie einen Namen und f gen Sie ber Neu folgend angegebene Dom nen hinzu und w hlen S e den eben erstellten Dom nennamensatz unter der Kategorie Dom nennamens tze aus Ben tigte Dom nen f r Windowsupdate V5 192 download microsoft com windowsupdate com windowsupdate microsoft com windowsupdate microsoft com Assistent f r neue Zugriffsregel x Zugriffsregelziele Diese Regel gilt tur Datenverkehr der von den Regelquellen an die aut dieser Seite angegebenen Zielen gesendet wird Diese Regel betrifft Datenverkehr der an diese Ziele gesende
109. 0 0 0 0 ABH REN TCP 172 16 19 1 1080 0 0 0 0 0 ABH REN TOP 172 16 19 1 1745 0 0 0 0 0 ABH REN TCP 172 16 19 1 3500 0 0 0 0 0 ABH REN TCP 172 16 19 1 3501 0 0 0 0 0 ABH REN TEP 172 16 19 1 3502 0 0 0 0 0 ABH REN POrESECEZUIG Dann wird es erstmal Schwierigkeiten geben wenn eine Webseite auf Port 80 h ren will denn der ISA beansprucht auch den Port 80 Wenn man jedoch die Webseite auf die internen IP Adresse des ISA konfiguriert und das Socket Pooling abschaltet stellt dies kein Problem mehr dar Um das Socket Pooling abzuschalten sind folgende Schritte notwendig 1 Socket Pooling f r HTTP abschalten _ 46 1 Von der Windows Server 2003 CD aus dem Verzeichnis lt cd gt support tools die Windows Server 2003 Supporttools suptools msi installieren Z SUPPORT TOOLS gt dir Datentrager in Laufwerk Z ist W2K3 DE Volumeseriennummer 4840 49D1 Verzeichnis von Z SUPPORT TOOLS 26 03 2003 14 00 lt DIR gt 26 03 2003 14 00 lt DIR gt 26 03 2003 14 00 1 887 881 DEPLOY CAB 26 03 2003 14 00 26 624 GBUNICNV EXE 26 03 2003 14 00 3 649 024 MSRDPCLI EXE 26 03 2003 14 00 335 360 NETSETUP EXE 26 03 2003 14 00 3 693 065 SUPPORT CAB 2620332002 14200 245 760 SUPTOOLS MSI 26 03 2003 14 00 944 976 SUP PRO CAB 26 03 2003 14 00 946 681 SUP SRV CAB 8 Datei en 11 729 371 Bytes 2 Verzeichnis se 0 Bytes frei 2 Durch net stop http y den IS HTTP Dienst anhalten C Programme Support Tools gt net stop http y
110. 0 192 168 1 23 Persistent 1 ForceCredentials 1 NameResolutionForLocalHost L Diese Dateien werden auf Betriebssystemebene fir alle am Computer angemeldeten Benutzer erstellt und k nnen f r jeden einzelnen Benutzer auf dem Computer erstellt werden Die Einstellungen f r einzelne Benutzer haben Vorrang gegen ber den allgemeinen Konfigurationseinstellungen Diese Dateien werden abh ngig vom Betriebssystem an verschiedenen Speicherorten erstellt Bei Windows XP werden die Dateien in zwei Ordner kopiert Dokumente und Einstellungen All Users Lokale Einstellungen Anwendungsdaten Microsoft Firewall Client 2004 Dokumente und Einstellungen Benutzername Lokale Einstellungen Anwendungsdaten Microsoft Firewall Client 2004 Einstellungen in der Datei Application ini k nnen auch zentral am ISA Server vorgenommen werden und gelten dann f r alle FW Clients 384 Starten Sie dazu die ISA Server Verwaltungskonsole und navigieren Sie zu Konfiguration Allgemein Firewallclienteinstellungen definieren und dann in den Reiter Anwendunsseinstellungen El Konfiguration ve a Netzwerke oy Cache ISA Server Verwaltung oto F m Add Ins eee Allgemein E 4 ALES A Yervaltungsdelegierung 4 Firewallclienteinstellungen definieren od Firewallverkettung konfigurieren Fi 154 Server Computerdetails anzeigen Einwahleinstellungen festlegen GP intiversetaung konfigurieren A Zertifikatsperrung Festlegen Beispiel Outlook In der deutschen ISA
111. 004 00 00 Anwendung 10 06 2004 00 00 Windows Installer P 10 06 2004 00 00 Anwendung 10 06 2004 00 00 Konfigurationseinst 10 06 2004 00 00 Abbrechen Angabe ob der ISA Computer h ndisch eingetragen werden soll oder ob der ISA Server Computer automatisch ermittelt werden soll F r die automatische Ermittlung sind zus tzliche Schritte erforderlich 381 i Installations Assistent f r Microsoft Firewallclient j x ISA Server Computerauswahl Geben Sie den 154 Server Compuber an mit dem der Firewallclient eine Verbindung herstellen soll Sie k nnen den 154 Server Computer festlegen mit dem der Firewallclient eine verbindung herstellen soll bzw der Firewallclient kann den entsprechenden 154 Server Computer ermitteln verbindung mit diesem ISA Server Computer herstellen geben Sie den 154 Server Hostnamen oder die IP Adresse an 132 9 200 240 Beispiel isa microsoft com oder 157 54 0 1 Entsprechenden ISA Server Computer automatisch ermitteln Hinweis Diese Einstellungen k nnen sp ter mit dem Firewallclient Yerwaltungsprogramm ge ndert werden Zur ck Weiber gt Abbrechen Installation ber die Softwareverteilungsfunktion der Gruppenrichtlinien von Windows 2000 2003 Sie k nnen den Firewall Client problemlos ber die Softwareverteilungsfunktion der Gruppenrichtlinien von Windows 2000 2003 verteilen Microsoft liefert ftir die Installation ein passendes MSI File mi
112. 12 Eine bersicht ber s mtliche FW Clientkonfigurationseinstellungen finden Sie in der Datei C Programme Microsoft Firewall Client 2004 ISAChent htm 388 Wahlen Sie aus wie der Firewallclient den Microsoft 54 Server ermitteln soll mit dem eine Werbindung hergestellt werden soll ISA Server automatisch suchen fetundener Se Server lt kein 154 Server gefunden Jetzt suchen f 155 Server manuell ausw hlen Geben Sie den Namen des 5 4 Servers ein der f r den Firewallchent Netzwerkzugnff versendet wird firewal Server testen Taskleistensymbol ausblenden wenn eine verbindung mit dem ISA Server besteht Abbrechen bernehmen Hilfe Wenn Sie verhindern wollen dass Benutzer den Firewall Client deaktivieren entfernen Sie s mtliche Benutzerberechtigungen auf die Datei COMMON INI und geben Sie dem Benutzer statt dessen nur Leseberechtigungen auf die Datei damit der Benutzer die Konfiguration lesen kann System und Administratoren sollten nat rlich weiterhin Vollzugriff haben Im Reiter Webbrowser k nnen Sie festlegen dass der Webbrowser auf dem Clientcomputer automatisch so konfiguriert wird dass er als Proxyserver den auf der Seite Allgemein angegebenen ISA Server Computer verwendet 389 E Microsoft Firewallclient f r ISA Server 2004 ix Allgemein Webbrowser Einstellungen Jetzt konfigurieren Beschreibung Der Firewallchent kann die Yerbin
113. 2004 16 86 2HH4 16 86 2664 18 86 2HH4 16 86 2664 14 66 2004 16 86 2HH4 14 66 2004 61 80 Ai fA Hi 88 Hi fA Ai 88 Ai 68 1 80 Hi 48 13 Dateiten 2 425 4 206 6 889 1 437 4 133 Par N 2 678 2 437 2 Werzeichnistse gt Configureflerts vbs GontrolAccessEyschedulefindlser et uhs HttpFilterConfig vhs HttpFiltersampleConfig xml HttpFilter MLSchema xsd ImportExport uhs SetMNetworkRe lation vbs Showl CMPS ystemPolicy vhs 46 322 Bytes AH Bytes frei E sdkssamples NAdnin gt cscript httpfilterconfig uhs Microsoft R Windows Script Host Version 5 6 Copyright C Microsoft Corporation 1996 26801 Alle Rechte vorbehalten Usage httpfilterconfig vbs Action RuleName FileName Action export Exports the HITP Filter configuration from the specified policy rul import Imports the HTIF Filter configuration to the specified policy rule IE sdk san les Admin gt 273 Konfiguration des ISA Server zur Unterstutzung interner Mailclients z B Outlook Outlook Express Die Informationen in diesem Artikel beziehen sich auf e Microsoft ISA Server 2004 Da im Artikel Erstellen einer Firewallrichtlinie bereits sehr ausf hrlich auf das Erstellen von Firewallrichtlinien eingegangen wurde beschrankt sich dieser Artikel auf die wesentlichen Schritte um einem internen Mailclient wie z B Outlook Express die Anbindung an einen externen Mailserver z B gmx de zu erm glichen Na
114. 30 ISA Server 2004 System Hardening Die Informationen in diesem Artikel beziehen sich auf e Microsoft ISA Server 2004 e Microsoft Windows Server 2003 Dieser Artikel beschreibt die notwendigen Schritte um einen installierten ISA Server 2004 so abzusichern damit ein maximaler Schutz des ISA Servers und auch des darunter liegenden Betriebssystems gew hrleistet ist Es werden dabei nicht nur die Schritte erl utert um einen ISA Server 2004 abzusichern sondern auch Empfehlungen und Hinweise gegeben um f r eine Gesamtsicherheit des Systems zu sorgen sofern so etwas berhaupt m glich ist Dieser Artikel unterteilt sich in folgende Kapitel e Erstellen einer Security Policy e Schulung des Personals verantwortungsvoller Umgang mit den Firewallsystemen e Physikalische Sicherheit e Systemupdates f r ISA und Windows e H rten des Betriebsystems e ISA Server 2004 Firewalltypen e ISA Server 2004 Installationsm slichkeiten e Restriktives ISA Server Regelwerk e Laufende berwachung der Firewall e Applikationen auf dem ISA Server e Einsatz von Virenscannersoftware und anderer Gateway Software Erstellen einer Security Policy Die Erstellung und laufende Pflege einer Security Policy ist in vielen Unternehmen ein unliebsames bel und wird gerne ignoriert weil es zugegebenerma en mit sehr viel Arbeit verbunden ist Der Autor h lt die Erstellung einer Security Policy in mittelst ndischen und Gro unternehmen jedoch f
115. 88644 You may not be able to connect to a Proxy Server 2 0 server or to an ISA 2004 server or ISA 2000 server that requires a UDP only control channel by using an ISA Server 2004 Firewall client e 888708 List of common scenarios that the VPN Roaming Clients and Quarantine Control in ISA Server 2004 document provides solutions for e 888710 Using ISA Server 2004 with Exchange Server 2003 e 888712 Remote administration of Internet Security and Acceleration Server 2004 e 888714 Outlook Web Access Server Publishing in ISA Server 2004 e 888716 Digital Certificates for Internet Security and Acceleration Server 2004 e 888717 Controlling secure Internet access by using ISA Server 2004 e 888042 ISA Server 2004 does not support traffic redirection e 888643 The migration stops responding when you try to migrate configuration settings from an ISA Server 2000 based computer that uses SSL certificates to an ISA Server 2004 based computer e 888711 Site to site VPN in ISA Server 2004 e 888713 VPN roaming clients and quarantine control in ISA Server 2004 e 841661 You cannot install the Remote Access Quarantine Agent tool on your Windows 2000 Server based computer e 884506 How to configure ISA Server 2004 to allow for RPC over HTTP client connections from Office Outlook 2003 to Exchange Server 2003 e 884580 Active mode FTP client programs cannot access an FTP server from behind Internet Security and Acceleration Server 2004
116. AQ H ufig gestellte wichtigen Updates und die Sicherheitsupdates schnell suchen downloaden und installieren die f r Ihren Computer Fragen erforderlich sind Hilfe und Support Edl Benutzerdefinierte Installation Wichtige und optionale Updates f r Ihren Computer W hlen Sie diese Option um nach optionalen wichtigen und Sicherheitsupdates zu suchen die f r Ihren Computer erforderlich sind W hlen Sie aus allen Updates auf der Site aus und berpr fen Sie sie vor dem Download Damit Sie bei potentiellen Sicherheitsliicken auf dem laufenden sind empfiehlt sich der regelm ige Besuch der Microsoft Security Seiten und der Webseiten von Windows und ISA Sie finden eine bersicht ber empfohlene Webseiten am Ende des Artikels Es besteht auch die M glichkeit zum Abonnement von Newslettern mit deren Hilfe Sie per E Mail ber neue Gef hrdungen informiert werden Es lohnt sich auch ein regelm iger Blick auf die Webseite von www msisafaq de Dieter Rauscher stellt auf dieser Seite eine Sammlung von Skripten zur Erstellung von HTTP Filter Signaturen zur Verf gung Es handelt sich hier um Filter Signaturen diverses ISA Gurus H rten des Betriebsystems Eine wichtige Aufgabe eines ISA Administrators ist es das zugrunde liegende Betriebssystem Windows 2000 oder Windows 2003 entsprechend abzusichern und auf die aktuellen Anforderungen abzustimmen Ziel ist auch hier die Minimierung der Angriffsoberflache Ma nahmen zur Minim
117. Abbrechen Hire Unter Komponenten wahlen Sie die Netzwerkdienste aus und klicken auf Details Metzwerkdienste Klicken Ste auf die Kontraollk astchen der Komponenten die hinzugef gt bzw entfernt werden sollen Grau gef llte K stchen kennzeichnen Komponenten die nur zum Teil installert werden Klicken Sie auf Details um die Unterkomponenten anzuzeigen Unterkomponenten von Metzwerkdienste Be amp UHLF Frotok all Dynamic Host Configuration Protocol 00MB a a DNS Server Domain Mare System 1 ME E Einfache TCPYIP Dienste 0 0 ME amp Internetauthentifizierungsdienst 0 0 ME Y E RPC ber HTTP Prosy 0 0 ME E JA wINS Windows Internet Name Service U9 ME Beschreibung Erm glicht es RPLYOCOM durch HTTP uber den Internet Information Server bertragen zu werden Erforderlicher Speicherplatz 41 ME Details Abbrechen verf gbarer Speicherplatz 4125 MB Wahlen Sie hier die Option RPC ber HTTP Proxy aus 202 Assistent f r Windows Komponenten Komponenten werden konfiguriert Die von Ihnen angeforderten Kanf guratianz anderungen werden durchgefuhrt f Bitte warten Sie w hrend die Komponenten konfiguriert werden Dies kann je 4 nach Auswahl der Komponenten einige Minuten in Anspruch nehmen Status Distributed Transaction Coordinator wird konfiguriert Anschlie end wird der RPC ber HTTP Proxy installiert Assistent f r Windows Komponenten
118. Adresse oder pro Benutzer freigeben Standardm ig ist keine Benutzerauthentifizierung aktiviert Benutzerauthentifizierung kann an mehreren Stellen verwendet werden Sobald der Firewallclient installiert ist K nnen f r alle nicht Webprotokolle benutzerabhangige Zulassungsregeln erstellt werden Somit kann z B erreicht werden dass f r Benutzer Birgit von jedem Rechner aus ausgehende SMTP Anfragen erlaubt sind Ohne den Firewallclient w rde dies nur ber Clientadresss tze und somit nur basierend auf einer oder mehreren IP Adresse m glich sein Damit auch f r die Webprotokolle http https und ftp eine Benutzerauthentifizierung m glich wird muss der Webproxyclient verwendet werden Sowohl der Firewallclient als auch der SecureNAT Client scheitern am Webproxyfilter Zuvor muss nat rlich der ISA Server f r die Benutzerauthentifizierung konfiguriert werden Dazu muss man im Knoten Netzwerke in die Eigenschaften des internen Netzwerkes gehen Netzwerke W Hetzwerks tze i Netzwerkregeln 4 Webverkettung Kame Adressbereiche Beschreibur 3 Extern F r die 154 Server Metzwerke e Das vordefinierte Netzwerkobjekt das das Internet darstellt i Lin ER A 192 168 16 0 192 168 16 255 Das Netzwerk es Pa eheee detak a _inLokaler Host Mit diesem Netzwerk sind keine Das vordefinierte Netzwerkobjekt das den ISA Server Computer darstellt 4a wd Quarant nen VPN C 59 Diesem Netzwerk sind zurzeit k Das vordefinierte Net
119. Application or FileType Application Extension or FileType System File Executing WMI query select AccessMask Compressed Encrypted FileSize FileType Manufacturer Name from CIM_DataFile where Drive C and Path Programme Microsoft ISA Server clients Program Files Microsoft Firewall Client 2004 and FileType Application or FileType Application Extension or FileType System File Executing WMI query select AccessMask Compressed Encrypted FileSize FileType 152 Manufacturer Name from CIM_DataFile where Drive C and Path Programme Microsoft ISA Server MSDEW and FileType Application or FileType Application Extension or FileType System File Executing WMI query select AccessMask Compressed Encrypted FileSize FileType Manufacturer Name from CIM_DataFile where Drive C and Path Programme Microsoft ISA Server Uninstall and FileType Application or FileType Application Extension or FileType System File Executing WMI query select AccessMask Compressed Encrypted FileSize FileType Manufacturer Name from CIM_DataFile where Drive C and Path Programme Microsoft SQL Server MSSQL SMSFW Binn and FileType Application or FileType Application Extension or FileType System File Reading registry tree at SOFTWARE Microsoft Microsoft SQL Server Reading registry
120. Benutzer bzw Gruppen direkt in der Firewallrichtlinie f r den Webzugriff angeben 2 Erstellen einer Firwallrichtlinie f r den anonymen Zugriff 185 Assistent f r neue Zugriffsregel ge xl Willkommen ity amp Acceleratig Server 2004 Mit diesem Assistenten kannen Sie eine neue Zugriffsregel erstellen Zugriffsregeln bestimmen die durchzufuhrende Akton und die zu venvendenden Protokolle wenn angegebene Clents in einem Netzwerk versuchen auf bestimmte Ziele oder Inhalte auf einem anderen Netzwerk zuzugreifen zugriffstegelname anonymer Zugriff auf Windowsupdate Al Klicken Sie auf Weiter um den Yorgang fortzusetzen ZUTICK weiter gt Abbrechen Erstellen Sie ber Firewallrichtlinien gt Neu gt Zugriffsregel eine neue Firewallrichtlinie Es ffnet s ch der Assistent zur Erstellung einer neuen Firewallrichtlinie Vergeben Sie zun chst einen Namen f r die Regel Assistent f r neue Zugriffsregel E i x Regelaklt on Legen Sie fest wie Clentanforderungen nach Inhalten vor angegebenen Ziel behandelt werden falls die in der Regel angegebenen Bedingungen zutreffen Aktion die beim Zutreffen der Regelbedingungen ausgef hrt wird t T uruck Abbrechen Als Aktion w hlen Sie Zulassen aus um den Zugriff zu gew hren 186 Assistent fiir neue Zugriffsregel Protokolle Wahlen Sie die Protokolle aus f r die diese Regel angewendet wird
121. CARI Treiber 1 mE ISDN Kanal AYE NDIS WAN CARI Treiber 1 17 DS ISDN Kanal AYE NDIS WAN DAPI Treiber 1 17 uruck Abbrechen Geben Sie einen Namen f r die Verbindung an Assistent f r neue Verbindungen gt Yerbindungsname wie lautet der Name des Internetdienstanbieters Geben den Namen des Internetdienstanbieterz im folgenden Feld ein Name des Internetdienstanbieters Callisa Der hier eingegebene Name wird als Mame fur die zu erstellende Verbindung verwendet amp uruck Abbrechen Geben Sie die Rufnummer des Internetdienstanbieters an 462 Assistent f r neue Yerbindungen u wahlende Rufnummer Wie lautet die Rufnummer des Internetdienstanbieters Geben Sie die Rufnummer unten eir Rufnummer jar 3161 Sie mussen eventuell eine 1 bzw eine Yonsahl oder beides einbeziehen Wahlen Sie die Rufnummer auf Ihrem Telefon wenn Sie sich nicht sicher sind ob diese zus tzlichen Nummern erforderlich sind Die gew hlte Hummer ist korekt wenn Sie bei dem Telefananraf einen Modemton horen uruck weiters Abbrechen F r wen soll die Verbindung zur Verf gung stehen Wir w hlen in diesem Beispiel Alle Benutzer Assistent f r neue Verbindungen Yertugbarkeit der Verbindung Ste konnen diese Yerbindung allen Benutzern zur Yerf gung stellen oder nur fur sich selbst verwenden Eine Verbindung die nur fur die eigene Yerwendung erstellt wird wird in I
122. DM Netzwerkidentit ten hinzuf gen Netzwerkidentitaten Neues Computerregelelement a Name Netzwerke m J Netzwerks tze xterner Zeitserver EI E Computer 4 Dom nencontroller Meu Bearbeiten L schen IP Adresse des Computers OR esterner Zeitserver TSE a u oy DeU Di E Interne DNS Server Adressbereiche 3 Subnetze Domanennamensatze Beschreibung optional URL S tze Zeitserver ist ntp fau de LI Computers tze Abbreche Vergeben Sie einen Namen und tragen Sie die IP Adresse des externen Zeitservers ein ber Durchsuchen k nnen Sie den FQDN des Zeitservers angeben der darauf in eine IP Adresse umgewandelt wird Optional kann hier eine Beschreibung angegeben werden F gen Sie der Regel das gerade erstellte Computerregelelement hinzu Assistent f r neue Zugriffsregel xl Zugriffsregelz ele Diese Regel gilt f r Datenverkehr der von den Regelquellen an die aut dieser Seite angegebenen Zielen gesendet wird Diese Regel betrifft Datenverkehr der an diese Ziele gesendet wird 4 E sterner Zeitseryer Bearbeiten Entfernen if Zur ck Weiter gt Abbrechen Als Ziel sollte nur der ausgew hlte Server stehen 235 Assistent f r neue Zugriffsregel Be Benutzers tze Sie konnen die Regel auf Anforderungen von allen Benutzer anwenden Ste konnen den Zugriff aber auch auf bestimmte Benutzers tze einschr nken Diese Regel betrifft Anforderu
123. DNS Server 192 168 10 1 Durchsuchen Adressbereiche 3 Subnetze 3 Computers tze Beschreibung optional Abbrechen Hinzuf gen Schlie en Vergeben Sie dem Computerregelelement einen Namen und geben Sie die IP Adresse des Servers an Optional kann eine Beschreibung angegeben werden F gen Sie das gerade erstellte Computerregel element hinzu damit Anfragen nur von diesem Server erlaubt sind 233 4 Assistent f r neue Zugriffsregel u xl zugriffsregelquellen Diese Regel gilt f r Datenverkehr der von den auf dieser Seite angegebenen Quellen stammt Diese Regel betrifft Datenverkehr von diesen Quellen 4 Domanencontroller Bearbeiten Be ee uruck Weiber gt Abbrechen Entfernen Als Quelle sollte nur der ausgew hlte Server stehen Netzwerkidentit ten hinzuf gen Assistent f r neue Zugriffsregel l ugritfsregelziele Diese Regel gilt fur Datenverkehr der von den Regelguellen an die auf di Neu Bearbeiten L schen Seite angegebenen Zielen gesendet wird Netzwerkidentitaten Hetzwerk Hetzwerksatz Computer Diese Regel betrifft Datenverkehr der an diese Ziele gesendet wird Adressbereich Subnetz Lomputersate ZUTICK Weiter gt Anschlie end m ssen Sie angeben in welches Netz bzw an welches Objekt Zeitanfragen gesendet werden d rfen Erstellen Sie hierzu ein neues Computerregelelement ber Neu gt Computer
124. Die folgenden Dienste h ngen vom Dienst HTTP ab Das Beenden des Dienstes HTTP beendet auch diese Dienste WWW Publishingdienst HITP SSL WWW Publishingdienst wird beendet WWW Publishingdienst wurde erfolgreich beendet HTTP SSL wird beendet HTTP SSL wurde erfolgreich beendet HTTP wurde erfolgreich beendet 3 Durchnet stop w3proxy den ISA Server Webproxydienst anhalten C Programme Support Tools gt net stop w3proxy Microsoft Webproxy wird beendet Microsoft Webproxy wurde erfolgreich beendet 4 Aus dem Verzeichnis c programme support tools die Datei httpcfg exe aufrufen httpcfg delete iplisten i 0 0 0 0 Damit wird der IIS konfiguriert nicht mehr auf alle IP Adressen zu h ren C Programme Support Tools gt httpcfg delete iplisten i 0 0 0 0 HttpDeleteServiceConfiguration completed with 1168 5 Anschlie end die IP festlegen auf die der IIS h ren soll _47 httpcfg set iplisten i 172 16 19 1 Wobei 172 16 19 1 nur als Beispiel dienen soll C Programme Support Tools gt httpcfg set iplisten i 172 AO 192 HttpSetServiceConfiguration completed with 0 Mitnet start http den IIS HTTP Dienst starten C Programme Support Tools gt net start http HTTP wurde erfolgreich gestartet Mitnet start w3svc den IIS WWW Dienst neu starten C Programme Support Tools gt net start w3svc WWW Publishingdienst wird gestartet WWW Publishingdienst wurde erfolgreich gestartet Mitnet start w3proxy den ISA Server Webp
125. E Virtuelle private Netzwerke VPN Fhiet werke Konfiguration Me a i Aktualisieren Exportieren Importieren Neu a Netzwerk E 5 Netzwerksatz _ 000000000 Metzwerkregel Webyerkettungsregel Geben Sie dem neuen Netzwerk einen Namen 86 Assistent f r ein neues Netzwerk X Wilkommen Microsoft Internet Security amp Acceleration Serverz004 Mit diesem Assistenten konnen Sie ein neues Netzwerk erstellen Netzwerke spezifizieren mindestens einen Bereich von IP Adressen als Metzwerk objekt das in Regeln verwendet werden kann Hetzwerkname Forschungsabteilund Klicken Ste auf Weiter um den Yorgang fortzusetzen UK Abbrechen Geben Sie jetzt den Typ des zu erstellenden Netzwerkes an Wir w hlen in unserem Beispiel Internes Netzwerk Assistent f r ein neues Netzwerk x Hetzwerktyp Geben Ste den zu konfigunerenden Netzwerktypen an Interne Metzwerke enthalten Clentcomputer die 15 4 Server sch tzt C Umkreisnetzwerk Ein Umkreisnetzwerk enth lt normalerweise Server die auf dem Internet weroffentlicht werden Ein Umkreisnetzwerk gilt als weniger vertrauenswurdig als interne Netzwerke C YPN Standort zu Standort Netzwerk Ein YFN Standort zu Standort Netzwerk ist ein Netzwerk auf einem Remotestandort das eine Verbindung Uber eine WPN Yerbindung herstellt C Externes Netzwerk Ein externes Netzwerk wird als ein vertrauenswurdiges Netzwerk wie z B das Intern
126. Ereignisse z B per E Mail informieren zu lassen 306 Eigenschadten von Alime KEJ Eigenschaften von Dienst heruntergefatiren Tu Aleemdefinitionen Allgemein Ereignisse Akbonen fF a Rachicniamnen aE ba Firen GMTP Server Beiriebsrystennkospanerkenk ndikt Firei ice e ED Crheerksneriniukimuiehe Cache be EB Cachncortansretedaherstelunga Cache Eh Cachentigkserunpefeten cache be Oii Cacdesbjekt veeworfen Cache Eh Cohesthreblehle Cache T Programm anfihen i Coceninderherrchelung shi Cache ES Das Verbindungen F r eine Reged Setherhent VE tr Duet Werbinckangolrret vun be Sarit E Dierit antrortat rach Fireach Diaska or E BEDO Deri prata For eias varanda i o Dienst heruntenget shrer Fr evelhen Ha Crenstintialsier ungstehier Firevradkcherest FF In WindomeEjeigrispiaickall schreit Ah Dis Eindingung Sicher hai u s feine Be a ee en I Autgevashite Dienste sadan E Auen e Neben der M glichkeit eine E Mail Benachrichtigung kann bei Erreichen des konfigurierten Alarms auch ein Programm ausgef hrt werden Informationen in das Windows Ereignisprotokoll geschrieben und z B bestimmte Dienste beendet werden Aus Sicherheitsgr nden kann es empfehlenswert sein bei einem Angriff auf den ISA Server welche die Funktionalit t des Systems kompromittiert die ISA Firewalldienste zu Beenden Dann ist zwar keine Internetkonnektivit t mehr m glich der ISA und da
127. Firewallrichtlinie Yon t Listener Mach Bedingun Aktion B birgit s Pc EE POPS Server Provider gi Alle Benutzer Rei Mame Protokolle E Letzte Standardregel 8 verweigern IFA Gesamter SE Alle Netzwer YE Alle Netzwerke fund lok amp Alle Benutzer Birgit POPS erlau Zulassen A POPS Micrsoft Internet Security amp Accel eration Se ver2004 tanda n ie Denken Sie daran die durchgef hrten Anderungen zu _Yemerfen bernehmen Erst dann wird das Regelwerk in ISA Server tats chlich ge ndert und steht zur Verf gung Z bernehmen Sollten Sie eine Fehlkonfiguration gefunden haben k nnen Sie alle get tigten aber noch nicht gespeicherten nderungen wieder verwerfen 167 Systemrichtlinien Firewallrichtlinien fur den ISA Server selber Die Informationen in diesem Artikel beziehen sich auf e Microsoft ISA Server 2004 Im Artikel Firewallrichtlinien wurde beschrieben wozu Firewallrichtlinien ben tigt werden und wie s e funktionieren Dort wurde auch erw hnt dass es neben den individuellen Firewallrichtlinien weitere Richtlinien gibt Der ISA Server selber ben tigt f r seine Funktionalit t eigene Richtlinien die so genannten Systemrichtlinien In ihnen wird festgelegt welche Protokolle bzw Verbindungen wohin der ISA Server selber nutzen darf Nach der Installation sind insgesamt 30 vordefinierte Systemrichtlinien vorhanden jedoch sind nicht alle aktiviert 168
128. Firewallrichtlinie S e k nnen diese Regel jetzt verwenden um dem Benutzer das Surfen ber den ISA Server 2004 zu erlauben Hinweis Ein weiterer interessanter Anwendungszweck einer Authentifizierung ber RADIUS ist VPN Ohne RADIUS muss der ISA Server der gleichzeitig als VPN Server konfiguriert ist zwingend Dom nenmitglied sein Mittels RADIUS kann der ISA auch als alleinstehender Server konfiguriert sein SE SMTP Anwendungsfilter Die Informationen in diesem Artikel beziehen sich auf e Microsoft ISA Server 2004 Der ISA Server filtert standardm ig s mtlichen SMTP Verkehr der an Port 25 des ISA Server Computers eintrifft Der SMTP Filter bernimmt den Datenverkehr untersucht ihn und leitet ihn nur dann weiter wenn die Regeln dies zulassen Der SMTP Filter kann mit der Nachrichten berwachung zusammenarbeiten um eine intensivere Untersuchung des Inhalts zu gew hrleisten Die Nachrichten berwachung muss gesondert installiert und konfiguriert werden was in diesem Artikel nicht beschrieben wird Der vorliegende Artikel m chte kurz die einfachste Schutzm sglichkeiten dieses Filters beschreiben Der SMTP Filter berpr ft die von Internet SMTP Servern und Clients gesendeten SMTP Befehle Der Filter ist in der Lage SMTP Befehle abzufangen und zu berpr fen ob sie l nger als erlaubt sind SMTP Befehle die gr er als die festgelegten Grenzwerte sind werden als Angriffe auf den SMTP Server aufgefasst und k nnen vo
129. Firewallrichtlinie von Ihnen dahingehend ge ndert dass internen Clients der Zugriff auf das Internet gestattet wird Obwohl hierbei gilt dass alle IP Adressen zum selben internen Netzwerk geh ren kann ISA Server aufgrund der Standardregel Alle verwerfen unter Umst nden auch Webdatenverkehr verweigern Sie m ssen daher eine Regel erstellen die die Durchleitung des Datenverkehrs zwischen den Netzwerken zul sst Um dieses Cachingszenario zu erm glichen m ssen Sie eine Zugriffsregel erstellen die allen Clients die Verwendung von HTTP und m glicherweise auch HTTPS und FTP gestattet Da das interne Netzwerks laut eindeutiger Definition alle Adressen umfasst muss das Quell und das Zielnetzwerk f r diese Regel jeweils das interne Netzwerk sein S e k nnen ISA Server auf einem Computer mit einem einzelnen Netzwerkadapter als Reversewebproxy einsetzen und Szenarien f r die Webver ffentlichung und Outlook Web Access Ver ffentlichung erm glichen Bei der Installation von ISA Server auf einem Computer mit einem einzelnen Adapter k nnen die folgenden ISA Server Funktionen nicht verwendet werden e Firewallclients e Virtuelle private Netzwerke e IP Paketfilterung e Firewallrichtlinie f r mehrere Netzwerke e Serververoffentlichung e Filterung auf Anwendungsebene e Die folgenden Protokolle werden unterst tzt HTTP HTTPS und FTP ber HTTP Daraus ergibt sich eine eingeschr nkte Sicherheitsfunktion von ISA Server in Ihrem Netzw
130. Hier eine kurze Zusammenstellung der f nf angebotenen Authentifizierungsmethoden Auszug aus der Online Hilfe 62 Standardauthentifizierung HTTP verwendet als Standardauthentifizierungsmethode die Standardauthentifizierung Die Standardauthentifizierung sendet und empfangt Benutzerinformationen als leicht lesbare Textzeichen W hrend Kennw rter und Benutzernamen verschl sselt werden wird bei der Standardauthentifizierung keine Verschl sselung verwendet Im Folgenden wird das Authentifizierungsverfahren bei der Standardauthentifizierung beschrieben 1 Der Client fordert den Benutzer auf Benutzername und Kennwortinformationen einzugeben 2 Die Anmeldeinformationen werden anschlie end vom Client verschl sselt und an den Server gesendet 3 F r den Benutzernamen wird das Vorhandensein eines Kontos auf dem Microsoft Internet Security amp Acceleration Server Computer ISA Server oder n einer vertrauten Dom ne des ISA Servers berpr ft Digestauthentifizierung Die Digestauthentifizierung bietet dieselben Funktionen wie die Standardauthentifizierung die Authentifizierungsinformationen werden jedoch auf andere Weise bertragen Die Authentifizierungsinformationen durchlaufen einen Einwegprozess der oft als Hashprozess bezeichnet wird Das Ergebnis dieses Prozesses wird Hashwert oder Nachrichten Hash genannt Es kann nicht entschl sselt werden d h der urspr ngliche Text kann nicht aus dem Hashwert entziffert werden Vor de
131. IP Adresse des Servers an den Sie ver ffentlichen Server IP Adresse 192 168 16 J Durchsuchen furuck Abbrechen 282 Wahlen Sie das RDP Server Protokoll aus Assistent f r neue Servrervrer ffentlichungsregeln E E x Protokoll auswahlen Wahlen Sie das Protokoll aus dass von dem ver ffentlichten Server verwendet wird Ausgew hlte Protokoll ROF Termnaldienste Server Eigenschaften Ports Neu Zurich Abbrechen Legen Sie anschlieBend das Netzwerk aus von welchem die Anfragen kommen Assistent f r neue Serverrer ffentlichungsregeln x IP Adressen Wahlen Sie die HMetzwerk IP Adressen auf dem 154 Server aus der Anforderungen fur den ver ffentlichten Server abhort Diese Netzwerke auf Anforderungen abhoren Ausgew hlte IPs Extern Alle IP Adressen 2 Intern Alle IP Adressen C Lokaler Host Alle IP Adressen C Quarant nen YPN Clients Alle IP Adressen amp YFN Clients Alle IP Adressen I 1 cc CLU lv Lot EIl L 1 al IT dh dee Zur ck weiber gt Abbrechen 283 Hinweis Sollte der ISA Server ber mehrere externe IP Adressen verf gen k nnen Sie mittels Adresse festlegen auf welcher IP Adresse RDP Anfragen entgegengenommen werden Extern Netzwerklistener IP Auswahl Tu xl Anforderungen abh ren auf C Allen IP Adressen auf dem 54 Ser
132. IP Adressen an die zum Aufl sen M Folgende WINS Serversdrasser verwenden Im Reiter Authentifizierung k nnen S e d e Authentifizierungsmethoden festlegen Per Default ist MS CHAPV2 aktiviert 433 Sie sollten auf die Aktivierung der wesentlich unsicheren Authentifizierungsmethoden e MS CHAP CHAP e SPAP e PAP verzichten In der Regel werden diese Authentifizierungsmethoden nicht ben tigt F r ein H chstma an Sicherheit k nnen Sie auch EAP als Authentifizierungsmethode verwenden EAP setzt jedoch die Verwendung von Smartcards oder Zertifikaten voraus und erfordert dass der ISA Server Mitglied einer Dom ne ist EAP Extensible Authentication Protokol mk Smartcard oder anderem Zertifikat 154 Server muss Mitgked in einer Dom ne sein Verwenden Se die unten aufgef hrten Protokolle nur f r VPN Chents auf denen Windows 98 NE HL JO ohne de neuste VPN Clientsoftware Microsoft verschiisselke Authentifizierung M5 CHAP M SBAP Shiva Password Authentication Protokoll Erfordert umkehrbare Kennecrter rn Unwerschl sseltes Kennwort PAP Erfordert umkehrbare Kennw rber Benutzerdefinierte IPSec Fichtline f r L2TP VWerbindung zulassen Der Reiter RADIUS bietet die M glichkeit der Authentifizierung ber RADIUS F r mehr Informationen ber RADIUS lesen Sie folgenden Artikel 434 Abbrechen Ubermehman In Schritt 5 berpr fen Sie die erstellte VPN N
133. ISA Server 2004 Inhaltsverzeichnis Installation des ISA Server 2004 deutsch auf Windows Server 2003 2ucssssssssssseeeeeeno 3 Aktivierung der Webcachefunktion beim ISA Server 2004 uuussssssssssseennnnnnnnnnneeneenenennnn 15 Erkennung von Eindringversuchen und DNS Angriffen aktivieren cccceeceeeeeeeeeeeees 22 ISA Server 2004 als reinen Webproxyserver Konfigurieren uuesesssssnssssssseeeeenenennneeennn 27 Bestimmite Webseltenrnicht eachen east T a 35 Verteilen der Webproxy Einstellungen per Gruppenrichtlinie 00000000 seen 42 Socket Pooling bei Windows Server 2003 und ISA Server eeeeeesssnennnesssseeeennnnnnnnnnnn 46 DNS AU Los 110 2 esse 49 Geplante Inhaltsdownloadsauftr ge einrichten cc ceeecceeccccceceseeeseeecceeeeeeeaaeeseeeeeeeeeaaas 54 Benutzerauthentifizierung bei ausgehenden Webantragen ccccccscccceceeeeeeesseeeeeeeeeeaas 60 RADIUS IAS Authentifizierung mit dem ISA Server 2004 00 ccccssseseeeeeseeeeeeeeeeees 65 SM TP Anwendunsshlter sassnsseeins er a 16 Erstellen eines nenen Netzwerkesaun uusernisie an sxcedt cuiserdlealeaneasscabadesese 85 ISA Server 2004 Erstellen einer Webverkettung Proxy Chain cccccccssseeseeeeeeeeeeees 95 Mierosorl 1Ss A Server 2004 nennen era EE E 95 ISA Server 2004 Mehrfachnetzwerke Besonderheiten 222000000B22sns nee 102 ISA Server 2004 IP Einstellungen definieren
134. ISP dynamisch zugewiesene IP Adresse und nicht den Hostnamen Assistent flr neue Verbindungen WPH Serroiaummahl wie lada dew Hama ru da Ace det VPH Seman Geben Se den Hocranen oder de IP Adrense det Compiler en zu dees mir Werbendung hergestellt wei den soll Hodiname oder Fiker EB meia com oda IT 80 185 65 154 Assistent f r peue Verbindungen Verf gbarkeit der Verbindung See konnen depe Verbindung sken Benutze zu Verf gung stellen ode nur fu ach seht verwenden Ere Verbendung che r ha die gene Verwendung erste wad wed in Ihrem Bendtzerpuohl gespeichert und Heh nut zur Verf gung wenn So angemeldet ond Verbindung erstellen fur 2 Ale Benutzer gt Eigen Verwendung _abbrechen Der Assistent hat die Verbindung konfiguriert 456 Assistenti fiir neue Verbindungen Fertigstellen des Assistenten Cet erfondesbche Scheitte zum Ersteller der iganden Werbendung wurden ondnungegenad dacha h Firmenzenbiale Obernkuchen Fir alle Benutzer chores Computers Ieigebssen Die Werbendung wad m Ordre Hetzwueikverbndungen genpencherl _ Werkn pfung auf dem Desktop hinzuf gen Eicken Se suf Fertig sakn um diese Werbandung zu erslelen und den Yorgang abzuschbeben Benutzemanme Administrata Kennt Pr oon sees C Benutzemanen und Kennwort speichern f r Nach erfolgreicher Authentifizierung ist die Verbindung hergestellt 457 TCPAP MS CHAP V2 MPPE 128
135. K K K K K E KE K E KE K ee K E KE K E K K K K K K K K K K K K K K K K K K K KK K K K K K K K K K K K ISAInfo 2004 version 1 0 RC2 1 Running on ISA2K4 002 as MSISAFAQ Administrator Started Sun Sep 5 20 29 15 UTC 0200 2004 Se Se K K K KE K KE KE K E KE K FT FT TFT E KE K TR KE K K E K K E K K K K K K K K K K K K K K K K K K K K K K K K K K K K K K K K Exporting ISA configuration this may take some time Reading Array Logging configuration Enumerating the servers in this array Reading additional ISA Server data Reading ISA signaled alerts Accessing WMI on ISA2K4 002 Executing WMI query select BuildNumber BuildType Caption CSDVersion OSLanguage OSProductSuite SerialNumber ServicePackMajorVersion ServicePackMinorVersion SuiteMask SystemDevice SystemDirectory Total VirtualMemorySize Version WindowsDirectory from Win32_OperatingSystem Executing WMI query select Compressed FileSize FS Name InitialSize MaximumSize Name from Win32_PageFile Executing WMI query select Description HotFixID from Win32_QuickFixEngineering where HotFixID File 1 Executing WMI query select DisplayName Description Name PathName Started StartMode StartName State from Win32_SystemDriver Executing WMI query select DisplayName Description Name PathName Processld StartMode StartName State from Win32_ Service Reading c boot ini Executing WMI query select Bootu
136. Klicken Sie auf Fertig stellen um den Assistenten zu schlielien SURLICH Durch Schlie en der vorigen Fenster st die Konfiguration abgeschlossen Exchange Server Verbindungsstatus Allgemein Aktivit t Servername Typ Schnittstelle Werbi Status nfriFe Reaktio exch srv 1 meinedomain local Verzeichnis Realtek R HTTPS hergestellt 40 367 ex ch sry 1 meinedomain local E Mail Realtek R HTTPS hergestellt 2910 203 ex ch sr 1 meinedormain local Verzeichnis Realtek R HTTPS hergestellt 3 0 75 exch sryv 1 meinedomain local E Mail Realtek F HTTPS hergestellt 14 0 z236 Yerbindung wiederherstellen Hier klicken um die Konnektivit t mit den Microsoft Exchange Servern wiederherzustellen 226 ffnen Sie anschlie end Outlook 2003 ber Start gt Ausf hren mit dem Befehl Outlook RPCDIAG Es sollte obiges Fenster erscheinen in dem Sie sehen K nnen dass die Verbindung ber HTTPS hergestellt wird D Posteingang Microsoft Outlook E BB oO x Datei Bearbeiten Ansicht wWechselnzu Extras Aktionen 7 Frage hier eingeben r Neu g E X antworten EB Allen antworten Weiterleiten So suchen G Kontaktnamen eingeben i Ordnerliste Posteingang Alle Ordner Angeordnet nach Datum New nach alk El Bi Postfach Administrator 3 Aufgaben Dienstag Entw rfe gt Administrator Dii4 16 a Gel schte Objekte test i A Gesendete Objekte 48 Journal Junk E Mail FH Kalender aa
137. OS zulassen Anfragen Verbindungen zu LI allen internen Rechnern aufbauen Authentifizierungsdienste RADIUS Gestattet dem ISA Server Authentifizierung von ISA Server an Zugriff auf einen RADIUS IAS vertrauensw rdige RADIUS Server zulassen Server im internen Netzwerk zur Authentifizierung 172 Authentifizierungsdienste Kerberos Gestattet dem ISA Server eine Authentifizierung von ISA Server an Kerberos Authentifizierung vertrauensw rdige Server zulassen gegen Server im internen Netzwerk zur Authentifizierung Netzwerkdienste DNS vom ISA Server an Erlaubt dem ISA Server DNS ausgew hlte Server zulassen Anfragen zwecks Namensaufl sung n alle Netzwerke zu stellen und die Antwort zu empfangen Erlaubt dem ISA Server selber eine oder mehrer IP Adressen per DHCP zu beziehen Netzwerkdienste DHCP Antworten von DHCP Erlaubt Clients des internen Servern an ISA Server zulassen Netzwerkes DHCP Anfragen an den ISA Server zu senden und eine Antwort zu empfangen Netzwerkdienste ICMP PING Anforderungen von Erlaubt allen Computern des ausgew hlten Computern an ISA Server zulassen Computersets Remoteverwaltungscomputer eine ping Anforderung an den ISA Server zu stellen Diagnosedienste ICMP Anforderungen vom ISA _ Gestattet dem ISA Server eine Server an ausgew hlte Server zulassen ping Anforderung in alle Netzwerke zu senden VPN VPN Clientdatenverkehr auf ISA Server Erlaubt Clients aus
138. R bei I berwachung br ak Firewallrichtlinie Yirkuelle private Netzwerke WPM Bab konfiguration Netzwerke oy Cache Aktualisieren Exportieren Importieren Heu F Netzwerk Metzwerksatz Ansicht d Hetzwerkregel Webwerkettungsregel Geben Sie der Netzwerkregel einen sprechenden Namen 91 Assistent f r eine neue Netzwerkregel xj Willkommen Micrasoft x Internet Security amp Acceleration Server2004 Mit desem Assistenten konnen Sie eine neue Hetzwerkregel erstellen Netzwerkregeln definieren das Yerh ltnis zwischen Metzwerkidentit ten entweder als Route oder als Netzwerkadressubersetzung NAT Hetzwerkregelname fp Forschung NAT Internet klicken Sie auf Wetter um den Worgang fortzusetzen E 2 uruck Abbrechen Netzwerkdatenverkerkehrquelle ist das Netzwerk Forschungsabteilung Assistent f r eine neue Netzwerkregel Hetzwerkdatenverkehrquellen Diese Regel gilt f r Datenverkehr der von den auf dieser Seite angegebenen Quellen stammt Diese Hegel betrifft Datenverkehr von diesen Quellen othe Forschungsabteilung Bearbeiten Entfernen ZUC Wieler gt Abbrechen Das Netzwerkdatenverkehrsziel ist Extern da eine Internet Verbindung hergestellt werden soll _92 Assistent f r eine neue Netzwerkregel x Hetzwerkdatenverkehrsziele Diese Regel gilt tur Datenverkehr der an den auf dieser Seite festgelegten Ziele em
139. RRR AI AI I AN ID NITHT ANTEHTHTAITHTAINI IOD N AI AI EINE Alarmakkionsfehler Berichtszusammenfassungs Erstellu Betriebssystem Komponentenkonflikt Cachecontainer InitialisierungsFehler Cachecontainerwiederherstellung a Cacheinitialisierungsfehler Cacheobjekk verworfen Cacheschreibfehler Cachewiederherstellung abgeschlos Das Verbindungslimit f r eine Regel Das Yerbindungslimit wurde bersch Dienst antwortet nicht Dienst gestartet Dienst heruntergefahren Dienstinitialisierungsfehler DMS Eindringung DMS fonentransfer Eindringyversuch Ein Neustart des 154 Server Lompu Eindringversuch festgestellt Ereignisprotokollfehler Ermikklungsmech anismus gegen b s Fehler bei der Cachedatei Gr en Fehler bei w hlen bei Bedarf Firewallkommunikatior sfehler FTP Filter Initialisierungswarnung IF Spooring Keine Konnektivit t Keine Ports verf gbar Komponentenladefehler Konfigurationsfehler Langsame Konnektivit t Nicht registriertes Ereignis FOP Eindringversuch Protokallierungsfehler Protokollspeicherlimits Ressourcenzuweisungsrehler Routing verkettungs jfehler Routing verkettungs wiederherstel RPL Filter Bindungsfehler RPL Filter Konnektivit t wurde ged Serverver ffentlichung ist unzutref Serververorfentlichung wWiederhers Servervwer ffentlichungsfehler SMTP Filterereignis SOCKS Konfigurationsfehler SYN Angriff Ung ltige Anmeldeinformationen f r Ung
140. SA Server Computer mit dem Freigabenamen ISA_Servername MSPClnt Das muss seit ISA Server 2004 aber nicht mehr sein Sie k nnen die FW Client Installationsfreigabe auch auf einem anderen Server zur Verf gung stellen Die Firewallclientsoftware darf nicht auf dem ISA Server Computer installiert werden Bei der Installation wird die Firewallclientanwendung aktiviert Die Firewallclientsoftware kann auf Clientcomputern unter folgenden Betriebssystemen installiert werden e Microsoft Windows Server 2003 e Windows 2000 Server e Windows XP e Windows Millennium Edition e Windows NT 4 0 e Windows 98 SE wenn IE ab Version 5 installiert ist Clientcomputer k nnen auf die Firewallclientfreigabe zugreifen wenn die Systemrichtlinien Konfiguration Firewallclient Firewallclientinstallation fiir Firewallclient aktiviert ist Diese Konfiguration wird standardm ig bei der Installation der Firewallclientfreigabe aktiviert 377 Systemrichtlinien Editor x Konfigurationsgruppen Allgemein Won MTF EJ Authentifizierungsdienst Durch Aktivieren dieser Konfigurationsgruppe sind Systenmrichtlinien m glich die den zugriff von vertrauenswordigen Computern auf die Active Directory Installationsfreigabe der Firewallsoftware zulassen Klicken Sie auf die RADIUS Registerkarte Yon um die vertrauensw rdigen Computer R54 Securlb anzugeben CRL Download EJ Remoteverwaltung Microsoft Manageme Terminalserver ICMP Ping Fir
141. SS a ee athe Lokaler Host Mit diesem Netzwerk sind keine Das vordefinierte Metzwerkobjekt das den 154 Server Compute Das interne Netzwerkinterface am ISA hat folgende Konfiguration 106 2 x Eigenschaften von Internetprotokoll TC CP 1 Allgemein IF Einstellungen k nnen automatisch zugewiesen werden wenn das Metzwerk diese Funktion unterst tzt Wenden Sie sich andernfalls an den Netewerkadministrator um die geeigneten IP Einstellungen zu beziehen IP Adresse automatisch beziehen IP Adresse 192 166 2 1 Subnetzmaske 255 255 255 0 Standardgatewa l A f DNS Serweradresse automatisch beziehen Folgende ONS Serveradressen verwenden Bevorzugter DNS Server LAm Berean d Alternativer DNS Server Erweitert Abbrechen ISA Server versucht bei der Ermittlung des Netzwerkobjektes einen Netzwerkadapter zu finden der eine IP Adresse aus diesem Netzwerkbereich hat ISA Server ermittelt diese Informationen anhand der Windows 2003 Routingtabelle Achten Sie in diesem Beispiel auf die Schnittstelle 192 168 2 1 Es folgt ein Auszug der Windows 2003 Routingtabelle cn Eingabeaufforderung Hetzwerkmaske 4 4 8 8 255 0 0 0 255 255 0 0 255 255 255 255 ZELL _Z266 L_755 255 255 255 0 0 255 255 255 255 Gateway Schnittstelle Metrik 192 168 1 248 192 168 1 2 24 127 8 8 1 127 8 8 1 156
142. Security amp Der Assistent f r eine neue Serververdlfentlichungsregel Acceleration Server2004 wurde erfolgreich abgeschlossen Die neue Serververottenthchungesregel wird wie folgt konfiguriert Name al MS S0LSERYEADI Intranet Verottenthchter Server 192 168 1 2 Verotfentlichter Dienst Microsol SQL Server Abhoren auf External a Eu Klicken Sie auf Fertig stellen um den Yorgang abzuschlie en lt Zur ck Abbrechen Der Serverver ffentlichungswizard hat folgende Regel erstellt Clientkonfiguration Der Microsoft SQL Server verwendet f r die Kommunikation per Default nicht nur den Port 1433 Standardverbindungen verwenden Named Pipes Bei der Verwendung von Named Pipes werden die Kommunikationsports dynamisch ausgehandelt Ports gt 1024 Diese Art der Verbindung ist nicht f r Firewalls geeignet Damit der Client z B SQL Server Enterprise Manager immer ber Port 1433 mit dem internen MS SQL Server kommuniziert m ssen Sie die Konfiguration auf dem Client anpassen Starten Sie dazu das SQL Server Clientkonfigurationsprogramm ber Start Ausf hren CLICONFG Das SQL Server Clientkonfigurationsprogramm ist Bestandteil der Microsoft SQL Server Client Installation Ausf hren LE fr geben Sie den Namen eines Programms Ordners Dokuments oder einer Inkernetressource an 4bbrechen Durchsuchen 198 Stellen Sie sicher dass im Fenster Aktivierte Protokolle in Reihenfolge dass TCP
143. Sie sich dass die Befehle im richtigen Format gespeichert sind Befehle durfen nicht mehr als 4 Zeichen lang sein und mussen durch ein Leerzeichen getrennt werden Eindringversuch festgestellt Ein externer Benutzer hat versucht einzudringen Ung ltige Zertifikatliste gefunden Das Clientzertifikat wurde aufgrund einer ung ltigen oder fehlenden Zertifikatsperrliste widerrufen M glicherweise ist die Zertifikatsperrliste abgelaufen und es konnte keine g ltige Zertifikatsperrliste gedownloadet werden Stellen Sie sicher dass die Konfigurationsgruppe f r die Systemrichtlinie zum Downloaden von Zertifikatsperrlisten aktiviert ist und dass eine Verbindung zu den Sperrlisten Verteilungspunkten besteht Ung ltiges DHCP Angebot Die IP Adresse des DHCP Angebots ist ung ltig Die Anmeldeinformationen f r Ung ltige Anmeldeinformationen f r W hlen bei Bedarf wurden Wahlen bei Bedarf sind ung ltig Jermittelt Ung ltige ODBC Protokoll Der angegebene Benutzername oder das Kennwort ist f r diese Anmeldeinformationen ODBC Datenbank ung ltig IP Spoofing Die IP Paketquelladresse ist ung ltig Ein Neustart des ISA Server nderungen an der Konfiguration werden erst nach dem Neustart des Computers ist erforderlich Computers wirksam Protokollierungsfehler Die Protokollierung f r Dienstname ist fehlgeschlagen Protokollspeicherlimits Mindestens ein Protokollspeicherlimit wurde erreicht Netzwerkkonfiguration Server betrifft v
144. Standard Physikalische Adresse 00 03 FF 91 60 6D DHCP aktiviert I Nein IP AhOVreEGSSeGs e we amp amp amp amp al 1 924 1605607 9 Subnerzmaske s amp amp o s amp 2 4906290420520 Standardgatewaiy r e r w e s 1292 1658 09 1 NetBIOS ber TCP IP Deaktiviert Folgende Netzwerkprotokolle sind an die jeweilige Netzwerkkarte gebunden l Eigenschaften v Inter 2 Allgemein Authentifizierung Erweitert Verbindung herstellen ber Eg Intel 217140 basierter PCl Fast Ethernet Adapter Standard Konfigurieren Diese Verbindung verwendet folgende Elemente Client f r Microzoft Netzwerke O a Netzwerklastenausgleich amp Datei und Druckerfreigabe tur Microsoft Netzwerke 7 Internetprotok all TERFIF Installieren Deinstallieren Eigenschaften Beschreibung Erm glicht den Zugriff auf Ressourcen in einem Microsoft Netzwerk Y Symbol bei Yerbindung im Infobereich anzeigen l Eigenschaften v nte 23 Allgemein Authentifizienng Erweitert Verbindung herstellen ber Eg Intel 21140 basierter PCl Fast Ethernet Adapter Standard Kontigurieren Diese Verbindung verwendet folgende Elemente CO IE Client f r Microsoft Netzwerke 5 Hetzwerklastenausgleich ja Datei und Druckerfreigabe f r Microgott Netzwerke 7 Internetprotok all TCP IP Installieren Deinstallieren
145. Subnet Mask 255 0 0 0 Default Gateway 10 201 1 180 Primary DMS 10 201 1 6 Secondary DNS Primary WINS Secondary WINS DHF Server Ein weiteres sehr n tzliches Tool ist Pocket Hosts von Marc Zimmermann Damit hat man die M glichkeit hosts Eintr ge wie am PC zu setzen 453 Clientkonfiguration fur PPTP VPN Verbindungen mit Windows 2000 XP Die Informationen in diesem Artikel beziehen sich auf e Microsoft ISA Server 2000 e Microsoft ISA Server 2004 e Clientbetriebssystem Microsoft Windows 2000 XP Im Artikel VPN mit PPTP wurde beschrieben wie der ISA Server als VPN Server konfiguriert wird Dieser Artikel beschreibt die notwendige Clientkonfiguration am Beispiel eines Windows XP Client mit SP2 Zur Einrichtung einer neuen VPN Verbindung klicken Sie auf Start Systemsteuerung Netzwerkverbindungen und unter Netzwerkaufgaben auf Neue Verbindung erstellen Assistent f r neue Verbindungen Willkommen Mit diesem Assstenten konnen Se Eine Verbindung mi dem Intemet herstellen Eine Verbindung mit einem pirvaten Netzwerk herstellen wae 2 B einem Fimennelzwerk Kicken Sie auf weiter um den Vorgang fo tzuseizen Weter gt Abbrechen Als Netzwerkverbindungstyp wahlen Sie Verbindung mit dem Netzwerk am Arbeitsplatz herstellen 454 Assistent f r neue Verbindungen Netzwerkverbindungstyp Wie mochten Sie vorgehen O Verbindung mit dem Internet herstellen Stel
146. TP Anforderungen umleiten als SSL Anforderungen Lest fest dass HTTP Anforderungen als SSL Anforderungen umgeleitet werden In diesem Fall ffnet ISA Server einen sicheren Kanal zum Server SSL Anforderungen umleiten als HTTP Anforderungen Lest fest dass SSL Anforderungen als HTTP Anforderungen umgeleitet werden dass hei t am ISA Server wird der SSL Tunnel terminiert 100 SSL Anforderungen umleiten als SSL Anforderungen Legt fest dass SSL Anforderungen als SSL Anforderungen umgeleitet werden In diesem Fall ffnet ISA Server einen sicheren Kanal zum Server Sicherer Kanal SSL ist erforderlich W hlen Sie diese Option aus um festzulegen dass der Zugriff nur ber einen SSL Kanal erfolgen darf 128 Bit Verschl sselung ist erforderlich Klicken Sie auf diese Option um die 128 Bit Verschl sselung auszuw hlen Zertifikat fiir Authentifizierung mit SSL Webserver verwenden Klicken Sie auf diese Option um zur Authentifizierung beim SSL Server ein Zertifikat zu verwenden Zertifikate fungieren als zusatzlicher Sicherheitsmechanismus zwischen dem ISA Server 2004 und einem SSL Webserver 128 Bit Verschl sselung ist erforderlich Zerinikat Gor Authentihzerung mit dem sal Webserver verwenden bernehmen 101 ISA Server 2004 Mehrfachnetzwerke Besonderheiten Die Informationen in diesem Artikel beziehen sich auf e Microsoft ISA Server 2004 Einleitung In meinem ersten Artikel habe i
147. Tea H so H einem einzigen Netzwerkadapter innerha Firewallrichtlinie Standardwebproxy und ee ade de enter zwischenspeicherkonfiguration verwenden wird verwendet In dieser Konfiguration kann angewendet Diese Richtlinie gestattet Webproxyclients A Server f r webproxy den fa l fiMischenspeicherung Webwer ffentlichung Webleistung durch Zwischenspeicherung Es werden verwendet werden ISA Server kann nicht l als Edgefirewall verwendet werden und jedoch keine Regeln erstellt unterst tzt Folgendes nicht Paketfilterung auf IF oder Transportebene YPN Eine der grundlegenden Funktionen von ISA Server Serverver ffentlichung und Firewallclients besteht darin mehrere Netzwerke miteinander verbinden zu k nnen Wenn ISA Server auf einem Computer mit einem Adapter installiert ist wird allerdings nur ein Netzwerk erkannt das interne Netzwerk Das interne Netzwerk umfasst alle IP Adressen mit Ausnahme der folgenden 0 0 0 0 255 255 255 255 und den Adressbereich 127 0 0 0 127 255 255 255 Bei der Einrichtung des Netzwerkes m ssen Sie die Adressen festlegen die im internen Netzwerk enthalten sein sollen Wenn Sie ISA Server auf einem Computer mit nur einem Netzwerkadapter installieren muss sichergestellt werden dass alle Adressen mit Ausnahme 97 von 0 0 0 0 255 255 255 255 und des Adressbereichs 127 0 0 0 127 255 255 255 in das interne Netzwerk aufgenommen werden In diesem Szenario wird die standardm ige
148. Variante mit z B 3072 384kBit s Neben den Geschwindigkeitsvorteilen kann auch eine Kostenersparnis erreicht werden sofern nicht sowieso eine feste Pauschale vereinbart wurde Je langsamer und teurer die Internetanbindung desto lohnender erweist sich das Cachen Wie funktioniert nun das Caching Nehmen wir an f r die beiden Firewalladministratoren eines Unternehmens Michael und Manfred existiert eine Firewallrichtlinie die ihnen das Surfen im Web erlaubt HTTP zugelassen Michael ffnet seinen Webbrowser und besucht die Webseite www msisafaq de und sieht sich dort einige Anleitungen an Die Webseiten und die dazugeh renden Bilder werden vom ISA Server beim Zielwebserver im Auftrag von Michaels Client angefordert und im Cache des ISA Servers gespeichert und nat rlich sofort an Michaels Webbrowser gesendet Michael erz hlt Manfred davon und dieser besucht von seinem eigenen PC aus ebenfalls diese Webseite Manfreds Webbrowser teilt dem ISA Server mit welche Seite er angezeigt bekommen m chte Der ISA schaut schnell in seinem Cache nach ob er nicht schon auf der gew nschten Seite war In diesem Beispiel ist das ja der Fall und der ISA pr ft nur noch ob es inzwischen eine aktuellere Seite am Zielwebserver gibt Ist das der Fall holt er die neuere Version und leitet sie an Manfreds Webbrowser weiter Ist keine neue Version verf gbar kann er Manfred die Seiten aus dem lokalen Cache zur Verf gung stellen Dass das nat rlich wesentlich sch
149. Verst ndnis f r Netzwerkprotokolle Systemsicherheit und allgemeine Sicherheitskenntnisse nachweisen kann Des weiteren ist ein verantwortungsvoller Umgang mit den Firewallsystemen notwendig Eine unbewusste Fehlbedienung der Firewall kann zu unerw nschten Ergebnissen f hren Mehr zu diesem Thema erfahren Sie in dem Kapitel Restriktives ISA Server Regelwerk Sollten Sie selbst nicht in der Lage sein ein Firewallsystem wie den ISA Server 2004 zu verwalten suchen Sie sich bitte entsprechende Unterst tzung durch externes Consulting oder mit Hilfe der ISA Server Newsgroup und Webseiten wie dieser Jeder Anfang ist schwer aber es ist auch noch kein Meister vom Himmel gefallen Physikalische Sicherheit F r einen sicheren ISA Server Betrieb m ssen Sie sich auch um die physikalische Sicherheit der Systeme k mmern Unter den Begriff Physikalische Sicherheit fallen e Zugangsschutz zum Serverraum IT Infrastruktur verst rkte T ren Sicherheitsglas Bewegungsmelder uvm e Zutrittsschutz zum Serverraum EDV Raum z B Zahlenschloss e Diebstahlschutz f r die Server zum Beispiel Montage in Racks mit abschlie baren T ren spezieller Diebstahlschutz f r Server Denken Sie auch daran die restliche Infrastruktur entsprechend zu sch tzen Es handelt s ch hierbei nat rlich nur um einige simple Beispiele Das Thema physikalische Sicherheit kann B nde f llen Es gilt der Grundsatz Kein System ist vor Angreifern sicher wenn f
150. Zielen gesendet wird Netzwerkidentitaten Diese Regel betrifft Datenverkehr der an diese Ziele gesendet wird Meu Bearbeiten L schen 3 Netzwerke Hetzwerks tze l Computer E Birgit s PC BPRS Server Provider E Adressbereiche CE Subnetze 3 Domanennamensatze CE URL S tze Computersatze za F RS Server Provider furuck W Die letzte Auswahlbox kann bernommen werden Hier k nnte wie bereits erw hnt zusammen mit dem Firewallclient eine Authentifizierung auf Benutzerebene f r diese Zugriffsrichtlinie erzwungen werden Damit k nnte Paul keinen Zugriff auf POP3 bekommen wenn er an Birgit s Rechner sitzt was in unserem Beispiel ohne Firewallclient m glich ist Zum Schluss gibt es eine Zusammenfassung die ggfs f r Dokumentationszwecke hier funktioniert drag and drop weiterverwendet werden kann 166 Assistent fiir neue Zugriffsregel Fertigstellen des Assistenten Microsoft Internet amp Der Assistent fur eine neue Zugriffsregel wurde erfolgreich 2004 abgeschlossen Die neue Zugriffsregel wird wie folgt konfiguriert Acceleration Hame Birgit POPS erlauben Aktion Zulassen Datenverkehr POPS Quelle Birgit s PC lin ll PORS Server Provider Angenommene Benutzersatze Ki al Klicken Ste auf Fertig stellen um den Yorgang abzuschlie en uruck Fertig stellen Abbrechen Nun ist die neue Richtlinie erstellt
151. Zur Konfiguration des ISA Server 2004 f r einen VPN Client Zugriff starten S e die ISA Verwaltungskonsole ISA Server 2004 bietet einen VPN Clientzugriffs Wizard der Sie durch die notwendigen Schritte zur Einrichtung eines Client Zugriffs f hrt Frosch birai Seriy amp Ancian Server SUCHE EEJ FIREWALL Ei Fi ceai hirs Be konpran VPN Clienteugriff konfigurieren AF deeser Sette hiren See festlegen wie Chents ber ene Pi erar auf des reeta uean Verificienen class der VPN Cienitruspill aktiviert ist Enntoicht Remobeckents eine Verbindung mit dem Netzwerk ber eine WER Werkandung herzustellen z3 Windows Renutter angeben oder einen RADIUS Server ausw hlen eben See che Winde ee Dee dee VE ea dorhen oder Fale RADILS Buthentiinerung versendet nerd w hlen 32 einen RADIUS AuthentFinerungsserver gus VEN Eigenvthalten und Kemmtezugriffskonfspuration verifizieren ee Sap ach dass chy VER a wap 2 B Probakolle und Zugffspunkte entiorechend der Netnvertanforderungen konfiguriert ard Arewallrichtinie f r clas VWeN Chentnetewerk anzeigen Wi ge Set ach dase die Frewalrichtiresntegein f r das VPA Dliemtenetrwerk entsprechend der 5 Netswerkregeln anzeigen Vergessen Sas sich dass dee Regeln die de Netzweriverh tneise zwischen dem VPH Cbkentenetzwerk und anderen Mette kart beiez wi 2 Bi dem kieran Idee are ce der Pe re konfiguriert wurden S e k nnen den VPN Clientzugriff ber die Aufgabenleiste ak
152. _MACHINE System CurrentControlSet Services Rqs 439 e Erstellt einen Registry Key damit RQS Ereignisse korrekt in der Ereignisanzeige dargestellt werden e Erstellt eine Firewallregel e VON Quarantine VPN und VPN Client Netzwerke e ZU Local Host Network e PROTOKOLL ROS e ERLAUBEN Alle Benutzer Der RQS Dienst startet wenn die Regel aktiviert wird Der Starttyp ist Automatisch Auszug aus dem Skript PM Configurer OSForiSa rbs Editor Datei Bewrbaten Format auh 7 copyright fc Microsoft Corporation All rights reserved THIS CODE I5 MADE AVAILABLE AS IS WITHOUT WARRANTY OF ANY KIND THE ENTIRE RISK OF THE USE OR THE RESULTS FROM THE USE OF THIS CODE REMAINS WITH THE 5 USER USE AND REDISTRIGUTION OF THIS CODE WITH OR WITHOUT MODIFICATION IS Conf igqure rgsForisa vbs ROS installation utility for Microsoft ISA Server 2004 Usage To install cscript ConfigurekosForisa vbs install AllowedSet RqsToolsPath To remove lt script Configurerkosrorisa vbs remove AllowedSet contains version strings separated by 0 For example script Configurerkasrorisa vbs install Sharedkeyl sharedkey2 C Program Files Rc EDER une Cc Microsoft Corporation All Rights Reserved Create base system and shell objects ser wshshell Sreateobject wscript shell Set wshsysenv WENNE 5 EINEN IRUNRENE EU ECE 9 Set FSO Createcbject Scripting Filesystemobject j befine stri
153. ach Bedingur E F 1 nonymer Zugriff auf Windowsupdate WS zulassen RA HTTF edhe Intern g wIndowsupdate WS m Alle Benutzer i HTTPS E oO Z Internet HTTPIFTP 3 zulassen A FTP Intern 3 Extern ne Internet User i ki HTTP Lii HTTPS Setzten Sie die Regel f r den Zugriff auf die Windowsupdate Seiten in der Reihenfolge vor die Regel die den Internetzzugriff erlaubt Ansonsten h tte diese Regel Vorrang und somit w re kein anonymer Zugriff m glich da in der Regel f r den Internet zugriff Authentifizierung auf Benutzerebene gefordert wird 194 ISA Server 2004 Microsoft SQL Server Ver ffentlichung Die Informationen in diesem Artikel beziehen sich auf e Microsoft ISA Server 2004 Dieser Artikel beschreibt die Ver ffentlichung eines Microsoft SQL Server 2000 ber einen ISA Server 2004 Der Microsoft SQL Server 2000 mit SP3a befindet sich im internen Netzwerk und soll ber ein externes Netzwerk erreichbar sein Bei dem externen Netzwerk handelt es sich um ein geschlossenes Netzwerk zum Anschluss einer bundesweit ag erenden Firma mit diversen Zweigstellen Warum dieser Hinweis Wenn S e mit dem Gedanken spielen einen MS SQL Server ber das Internet zu ver ffentlichen kann ich Ihnen diese Vorgehensweise definitiv NICHT empfehlen da der MS SQL Server quas direkt am Internet h ngt F r den Zugriff von EXTERN auf einen MS SQL Server im LAN verwenden Sie sichere Verbindungen wie VPN Details zum Thema VPN finden
154. ala wieder auf der Rerpitertarte Watswrerhe ale interna ETZE an cken Pre e a igen AE a a aire _ hii ta i A AN sb Quarantined PH Cl Diesem Netzwerk and auet o Bin dna k raen dient computers connecting be ai Standort Braer 10 06 10003 10 16 100 17 Ceres ketzweri Stel eine VAN Rardort zu Standort Vertindurg d ce PRE Charts Cece Metre k gine curse hk Bun diame nebeork ofgect representing dient computers comme Folgen Sie den Anweisungen des Wizard und vergeben Sie einen Namen fir die Netzwerkregel Assistent l r eine neue Nekrwerkrege Willkommen Me dnem Accrtenten konnen Se eine rue Nelzweckregel erstellen Metzwerkregeln defrucnen dar Yerai zuechen Mebzwerk dendil ten erdvesder als Route oder att Netzwerk schestuibentetzung MAT Nelzwerkragelname Braunschweig nach O amp K Klicken Sie auf Weiter um den Voegang fortzusetzen Die Regel betrifft als Source den Standort Braunschweig z422 Netzwerkziel ist Internal Pop ier erp Das Netzwerkverh ltnis muss auf Route stehen da die Pakete nicht geNATet werden 103 Assistent f r eine neue Netzwerkregel Hetzweikveorh allnis Gaben Sm an wae Daberwerkahu zusscher Quel und Zieinetzureckideninaban vetergeletet ward Zr MAT Network Adder Translation Bee hd td a tan ol aed Maar ced in ausgehenden Dabenverkere u durch che externa Pdea von ISA Server ersetzt ward G o ISA Server letet Daberwerke zwischen den
155. an den ver ffentlichten Server weiterleiten Legen Ste fest wie der Firewall Anforderungen an den ver ffentlichten Server meiterleitet Ursprung der Anforderungen scheint der 154 Server Lomputer zu sein t Ursprung der Anforderungen scheint der ursprungliche Client zu sein Hilfe uber das Weiterleiten von Anforderungen an vweroffentlichte Server bernehmen Abbrechen Unter dem Karteireiter Bis k nnen Sie unter der Option Anforderungen an den ver ffentlichten Server weiterleiten ausw heln welche IP Afesse an den Exchange Server bermittelt werden soll Dies kann f r statistische Auswertungen oder zu Fehlersuche relevant sein e Ursprung der Anforderung scheint der ISA Server Computer zu sein bermittelt wie der ISA Server 2000 die interne IP Adresse des ISA Servers an den Exchange Server e Ursprung der Anforderung scheint der urspr ngliche Client zu sein reicht die IP Adresse des externen Clients an den Exchange Server durch 259 Eigenschaften von Outlook Webccess Formsbased Authentic 3 xj w HEE enutzer benachnientgem menm HATIS verwendet werden soll Eine Verschl sselungsst rke von 128 Bit kann unter dem Karteireiter Datenverkehr gefordert werden 260 Microsoft Outlook Web Access Microsoft Internet Explorer Datei Bearbeiten Ansicht Favoriten Extras 7 7 Microsoft Office 3 Outlook Web Access Provided by Microsoft Exchange Server Domane Benutze
156. angepasst Das Skript kann jedoch nicht f r ein reales Quarantine Control Script verwendet werden zumal es sich bei diesem Beispielsskript nur um ein Ger st ohne wirkliche Funktion handelt Derzeit existieren noch keine frei verf gbaren Beispielskripte auf den Webseiten von Microsoft Es bleibt zu hoffen das Microsoft in Zukunft einige Beispielskripte ver ffentlicht Die Syntax lautet script bat 3DialRasEntry TunnelRasEntry 3Domain UserName Aus 3DialRasEntry wird 1 Aus TunnelRasEntry wird 2 Aus 3Domain wird 3 Aus UserName wird 4 echo off echo RAS Connection 1 echo Tunnel Connection 2 echo Domain 3 echo User Name 4 set MYSTATUS REM REM Netzwerk Poliy Check REM REM berpr ft ob ICF aktiviert ist REM Setzt ICFCHECK auf 1 pass REM Setzt ICFCHECK auf 2 fail REM Pr ft auf installierten Virenchecker REM Setzt VIRCHECK auf 1 pass REM Setzt VIRCHECK auf 2 fail REM Basierend auf den Ergebnissen wird Rgqc exe ausgef hrt 446 REM 1f ICFCHECK3 2 goto TESTFAIL 1f SVIRCHECKS 2 goto TESTFAIL rqc exe 1 2 7250 3 4 Versioni REM 1 DialRasEntry REM 2 TunnelRasEntry REM 7250 ist der TCP Port auf welchem Rqs exe einen Listener SEUZE REM 3 Domain REM 4 UserName REM Versionl ist die Versionsnummer des Scripts REM REM Statusausgabe REM 1f SERRORLEVELS Oo set MYERRMSG Success else at ZERRORLEVELS
157. arband EDY daf Ales 11 08 20 ki HTTP Setrencte Vertendung 11 08 2004 engi Nicht identiinerter IF Daterr Gerennte Yerbrdung 11 08 2004 2 aan Mecht icenliinwerter IF Chaterrs Tretira Verbarsch arg 11 08 2004 area Richt dlenibfionerter IP Dsterw Getrennte Wertercung 11 208 204 7 BE Nacht identifiserte IF Disteriw Iratiherte Verbancurg 11 08 2004 wi ED Nicht identificerber IP Disterv Gerencte Verbardung 1108 200 Aura Nicht Idenitifi erter P Chaterr Initiate verbancung 11 03 2004 an hetp Zugelassens Verbandung EDW dwf Ales aan Richt idenikimerter P Chaterr Gelrercbe Yerbrejuhj 11 08 2004 ber die sehr umfangreichen Filterm glichkeiten kann man die Anzeige der geloggten Daten modifizieren um eine effektivere Suche zu erm glichen Filter besthedten tx y jedngung Wert Frotokodkdatercetztyp h Prei oder Wehe Frog Abtei aktion Ungieich werbundungsstatus Legen Se de zum Pern der Daan vereercieten erie fest ent iF sr 1E iT 11 IH Es besteht die M glichkeit die Art des Loggings am ISA Server 2004 zu modifizieren Per Default protokolliert der ISA 2004 die Protokolldaten in eine per Default installierte MSDE Version 310 Eigenschaften yon Firewallprotokollierung Aufgaben Hilfe y Protokollierungsaufgaben 4 Filter bearbeiten Abfrage starken AF Firewallprotokallerung konfigurieren Weboroxyprotokollierung konfigu
158. ass ein Server mehrere Dutzend PortScans am Tag aushalten muss Wenn der Administrator dar ber jedes mal eine Mail bekommt ist sein Postfach bald berf llt und oder der interne Mailserver streikt wegen berlastung obwohl er gar nicht das eigentliche Angriffsziel war Hinweis Bei einem Neustart des ISA Server Computers werden alle Alarme zur ckgesetzt 331 ISA Server 2004 Protokollierung Die Informationen in diesem Artikel beziehen sich auf e Microsoft ISA Server 2004 Im Artikel bersicht Monitoring wurde eine Zusammenfassung aller berwachungsfunktionen des ISA Server 2004 gegeben Das vorliegende Kapitel beschreibt die M glichkeit die Protokollierungsfunktionen des ISA Server 2004 zu konfigurieren Einleitung ISA Server 2004 protokolliert die Aktivit t auf dem ISA Server Computer Diese Protokollierungen werden zum Erkennen von Sicherheitsverletzungen zum Generieren von Berichten und zur Problembehandlung bei Netzwerkproblemen verwendet S e k nnen festlegen welche Informationen in den Protokollierungen in welchem der folgenden Formate gespeichert werden Es stehen zur Auswahl e Datei e SQL e MSDE In der Protokollanzeige kann die Firewallprotokollierung und oder die Webproxyprotokollierung angezeigt werden Sie k nnen die derzeit im Protokollrepository gespeicherten Onlineprotokollierungen anzeigen oder das Repository abfragen um fr here Protokollierungen abzurufen In beiden Modi k nnen Sie Filter defin
159. atenverkehrquelle F r diese Regel angegeben wurde Abbrechen Mittels der mittleren Option Ver ffentlichte Serverports k nnen Sie z B den ISA Server auf Port 3389 abh ren lassen die Verbindung dann jedoch an den internen Terminalserver auf Port 1234 weiterleiten Dies k nnte dann notwendig sein wenn der interne Server umkonfiguriert werden musste Legen Sie anschlie end das Netzwerk aus von welchem die Anfragen kommen 298 Assistent f r neue Servrerrer ffentlichungsregeln mittels Adresse IP Adressen Wahlen Sie die Netzwerk IP Adressen auf dem 15 4 Server aus der Anforderungen fur den ver ffentlichten Server abhort Diese Netzwerke auf Anforderungen abhoren Marne Ausgew hlte IPs Extern Alle IP Adressen C Intern Alle IP Adressen Lokaler Host Alle IP Adressen 1 Qusarant nen YPN Clients Alle IP Adressen C VPN Clients Alle IP Adressen I ee hi l 2 ete BRI ote al AN IM A Hinweis Sollte der ISA Server ber mehrere externe IP Adressen verf gen k nnen Sie festlegen auf welcher IP Adresse RDP Anfragen entgegengenommen werden Extern Netzwerklistener IP Auswahl Anforderungen abh ren auf C Allen IP Adressen auf dem 54 Server Computer im ausgew hlten Netzwerk C Der Standard IP Adresse auf dem 154 Server Computer im ausgew hlten Netzwerk verf gbare IP Adressen Ausgew hlte IP Adressen
160. ation ber die Softwareverteilungsfunktion der Gruppenrichtlinien von Windows 2000 2003 e Unbeaufsichtigte Installation ber ein Skript H ndische Installation Die h ndische Installat on erfolgt durch manuelles Ausf hren der FWC Firewall Client Setup Routine SETUP EXE 380 CidiskingslisaZ004 deutsch FPC Program Files Microsoft ISA ServerlZQlients El ID isazoo4 E 5 deutsch E I FPE E 2 Program Files 5 Common Files E I Microsoft 154 Server E gt clients II Program Files 5 CookieAuthTemplates I ErrorHtmis 3 msde 5 NetworkTemplates 3 ReportHTMLs DI SDisaTemplates B ULHTMLs gt Uninstall 3 wk DI w2k3 Ge ndert am 3 Program Files Eilinstmsia exe 1 486 KB Eilinstmsiw exe 1 498 KB Valms_Fwc msi 833 KB l setup exe 100 KB F setup ini 6 KB Folgen Sie den Anweisungen des Setup Wizards InstallShield Wizard i i ei pat konfigurieren vor Windows Installer Microgott Firewallchent Setup bereitet den Installshield Wizard vor der Sie durch den Setup Yorgang leiten wird Bitte warten Abbrechen Der Firewall Client ist schnell installiert iz Installations Assistent f r Microsoft Firewallclient Willkommen Microsoft _ Internet Security amp Acceleration Server 2004 Microsort Firewallclient wird auf dem Computer installiert Klicken Sie auf Weiter um den Yorgang fortzusetzen lt zur ck Dateiordner 19 12 2004 17 26 Anwendung 10 06 2
161. atus der installierten ISA 2004 Dienste auf Berichte ISA 2004 bietet die M glichkeit der Definition so genannter Berichtsauftr ge mit welchen man sich zum Beispiel die protokollierte Internetaktivit t in grafisch aufbereiteter Form anzeigen lassen kann Dieses Feature ist sehr hilfreich zur Pr sentation von Daten f r F hrungsstellen oder einfach nur zur bersicht f r den Firewall Administrator Das Dashboard zeigt den Status der konfigurierten Berichtsauftr ge an Systemleistung Die Systemleistung zeigt zwei Z hler des Systemmonitors an 304 e Zugelassene Pakete pro Sekunde x10 zeigt die Datenmengen an welche der ISA pro Sekunde durch die Firewallengine f hrt e Verworfene Pakete pro Sekunde zeigen die Datenmengen an welche der ISA pro Sekunde an der Firewall verweigert verwirft Leistungsindik atoren hinzuf gen C Lokale Leistungendikalosen verwenden Leishungsindkatoren suswahlen yore Schieber Bemerkung Eine hohe Anzahl verworfener Pakete ist h ufig ein Anzeichen f r Denial of Service DoS Angriffe auf den ISA Server Alarme Hier werden ISA Server Systemmeldungen angezeigt welche fiir den einwandfreien ISA Betrieb sehr wichtig sind Wie man der Grafik entnehmen kann werden hier z B gestartete ISA Dienste angezeigt oder Informationen ber Webverkettungsprobleme uvm Sitzungen Hier wird die Anzahl der Verbindungen Sitzungen der drei ISA 2004 Clientarten e SecureNAT Client e F
162. auf eine bestimmte Benutzergruppe einschr nken 220 Assistent f r neue SSL Webrer ffentlichungsregel x Fertigstellen des Assistenten Microsoft Internet Security amp Der Assistent f r eine neue SSL WebyerdfFentlichungsregel Acceleration Server2004 wurde erfolgreich abgeschlossen Die neue SSL WebyverdaFFentlichungsregel wird wie Folgt konfiguriert Mame ae RPC over HTTPS Webwer ffentlichung Aktion zulassen Site exch sry1 meinedomain local ffentlicher Name angegebene eingehende Mamen Listener Weblistener IF 172 16 1 50 A Angenoammene Benutzersatze ae 4 Fu Klicken Sie auf Fertig stellen um den Yorgang abzuschlie en Zur ck Fertig stellen Abbrechen Zum Abschluss bekommen Sie eine Zusammenfassung der Firewallregel angezeigt Firewallrichtlinie R Name Aktion Protokolle Yon Listener Nach Bedinqun all 1 RPC over HTTPS Webwer ffentlichurg a Zulassen bl HTTPS La Weblistener IF 172 16 N exch srvd meined Rn Alle Benutzer ffnen Sie zur weitern Konfiguration die Eigenschaften der Ver ffentlichungsregel 221 WW HITR enutzer benachrichtigen wenn HTTPS verwendet werden soll Unter dem Karteireiter Allgemein k nnen Sie eine Verschl sselungsst rke von 128 Bit fordern 4 Konfiguration von Outlook 2003 222 E Mail Konten l xj Mit diesem Assistenten k nnen Sie die yon Outlook verwendeten E Mail Konten und Yerzeichnisse ndern
163. bbrechen bernehmen Hilfe Nach der n chsten Anmeldung des Benutzers ist der Internet Explorer wie folgt konfiguriert _ 44 Einstellungen f r lokales Netzwerk LAN Proeyserver versenden Anschluss WY Proxyserver f r lokale Adressen umgehen _45 Socket Pooling bei Windows Server 2003 und ISA Server Die Informationen in diesem Artikel beziehen sich auf e Microsoft ISA Server 2000 e Microsoft ISA Server 2004 e Microsoft Windows Server 2003 Im Artikel Socket Pooling W2k wurde bereits das Socket Pooling Problem unter Windows 2000 besprochen Auch unter Windows Server 2003 und dem HS 6 0 ist es so dass standardm ig die IP Adresse 0 0 0 0 mit Port 80 an den IIS gebunden ist Zwar wird der IIS nicht mehr automatisch mitinstalliert und kommt somit dem ISA in der Regel nicht in die Quere aber in verschiedenen Einsatzzwecken ist es ggfs erforderlich dass dennoch auf der ISA Maschine ein HS installiert ist C Programme Support Tools gt netstat na more Aktive Verbindungen Proto Lokale Adresse Remoteadresse Status Tor 0 0 0 0 80 0 0 0 0 0 ABH REN TCP 0 0 0 0 135 0 0 0 0 0 ABH REN TCP 0 0 0 0 445 0 0 0 0 0 ABH REN TCP 0 0 0 0 1025 0 0 0 0 0 ABH REN TOP 0 0 0 0 1723 0 0 0 0 0 ABH REN TCP 0 0 0 0 3003 0 0 0 0 0 ABH REN TCP 0 0 0 0 3004 0 0 0 0 0 ABH REN TOP 0 0 0 0 3013 0 0 0 0 0 ABH REN ET 0 0 0 0 3023 0 0 0 0 0 ABH REN TCP 127 0 0 1 11223 0 0 0 0 0 ABH REN TCP 172 16 19 1 139 0
164. befall berpr ft Es existieren eine Vielzahl von Virenscannerl sungen f r den ISA Server Da der ISA Server den Einstiegspunkt in Ihr Firmennetzwerk darstellt gilt der Grundsatz Stoppen Sie Eindringlinge und Viren so fr h wie m glich Aus diesem Anlass installieren S e auf dem ISA Server auch Content Management Systeme Intrusion Detection Systeme IDS und Gateway basierte Virenscanner welche s mtlichen Datenverkehr von EXTERN nach INTERN auf Virenbefall schadhaften Code ausf hrbaren Dateien uvm durchsucht und bas erend auf Ihrer festgelegten Policy verweigert bzw berpr ft Es stehen eine Vielzahl von Third Party Produkten f r den ISA Server 2004 zur Verf gung Klicken Sie hier f r eine Anbieter bersicht 357 Toolbox Werkzeugkasten f r Firewallrichtlinien Die Informationen in diesem Artikel beziehen sich auf e Microsoft ISA Server 2004 Protokolle Bearbeiten L sche Br BB REN rat a Eine Firewallrichtlinie regelt grob gesagt von wo nach wo wer Lj Allgemeine Protokolle wann welche Verbindung aufbauen darf Man kann es wie 4 Infrastruktur Kuchen backen betrachten man ben tigt viele Zutaten damit LA Mail eine leckere Torte entsteht Ok eine Firewallrichtlinie ist nicht I a 2 LA Instant Kr besonders schmackhaft verglichen mit einer Schwarzw lder j el a Remotatermina Kirschtorte Dennoch ist es sehr wichtig genau und wirklich nur Streaming Media
165. ber einen seriellen parallelen oder Infrargtanschluss her oder richtet diesen Computer so ein dass andere Computer darauf zugreifen konnen uruck weiter gt Abbrechen W hlen Sie Verbindung mit einem DF Modem herstellen Assistent f r neue Verbindungen E Internetverbindung Wie zoll die Internetwerkindung hergestellt werden Stellt eine Werbindung mit einem Modem und uber eine herkommliche Telefonleitung oder eine ISDN Telefonleitung her C Yerbindung ber eine Breitbandverbindung herstellen die Benutzername und Kennwort erfordert Stellt eine Hochgeschwindigk eitzverbindung uber ein DSL oder kabelmodem her Internetdienstanbieter nennen diesen Verbindungstyp hautig PPPoE C Werbindung ber eine st ndig aktive Breitbandverbindung herstellen Stellt eine Hochgeschwindigk eitzverbindung Uber ein Babelmodern oder eine OSL oder LAN Werbindung her Diese Yerbindung ist immer aktiv und erfordert keine Benutzeranmeldung Zurich Abbrechen W hlen Sie das Ger t zum Herstellen der Verbindung aus 461 Assistent f r neue Yerbindungen Gerat ausw hlen Dieses Ger t wird zum Herstellen der Verbindung verwendet Sie haben mehr als ein EF Ger t am Computer angeschlossen Wahlen Sie die Ger te die f r diese Verbindung verwendet werden sollen ER Alle verf gbaren ISDN Leitungen sind mehrfach verbunden ISDN Kanal AVM NDIS WAN CAPI Treiber 1 DS ISOM Kanal AVE NDIS WAN
166. berpr ft ob der Remote Access Client den Netzwerk Richtlinien entspricht Wenn alle Tests bestanden wurden f hrt das Skript RQC EXE aus mit dem Text String welcher im CM Profil angegeben wurde e RQC EXE sendet eine Notifikation an den ISA Server das das Skript erfolgreich ausgef hrt wurde e Die Notifikation wird von der RQS Listener Komponente empfangen es wird nur Traffic ber den ROS Port 7250 erlaubt e Die Listener Komponente berpr ft den Skript Version String in der Notification Message und schickt eine Best tigung zur ck e Wenn das Skript validiert wurde ruft die Listener Komponente die MprAdminConnectionRemoveQuarantine API auf welche den ISA Server dazu veranlasst den Client aus dem Quarantined VPN Clients network in das VPN Clients Network verschiebt e Die Listener Komponente erstellt ein Ereignis in die Ereignisanzeige System Clientkonfiguration f r PPTP VPN Verbindungen mit PocketPC 2002 Die Informationen in diesem Artikel beziehen sich auf 448 e Microsoft ISA Server 2000 e Microsoft ISA Server 2004 e Clientbetriebssystem Microsoft PocketPC 2002 So ein PocketPC ist eine sehr nette und n tzliche Sache Je nach Ausstattung und Konfiguration nahezu berall Zugriff auf das Internet und ggfs auf das Firmennetzwerk samt Synchronisation mit Outlook Exchange Gerade f r Administratoren oder Consultants ist der f r PocketPC verf gbare Remotedesktopclient Terminaldiensteclient sicherlich
167. bietet eine bersicht der f r dieses Protokollelement verwendeten ben tigten Ports und TCP IP Protokolle Uber den Button Neu gelangt man zu folgendem Fenster Protokollyerbindung erstellen bearbeiten Protokollkyp Tcp Frotokollnummmer 6 Richtung Ausgehend Portbereich Vor S66 Bis 566 I_MP Eigenschaften I_MP Lode I_PP Typ F r das T Online ClassicGate wird TCP Port 866 ausgehend ben tigt 361 Assistent f r neue Protokolldefinitionen Sekundare Verbindungen Wahlen Sie die Einstellungen f r s mtliche sekund re Verbindunger Geben Sie an ob sekund re Verbindungen verwendet werden sollen Hed Loschen uruck Abbrechen Sekund re Ports werden in diesem Fall nicht ben tigt Sekund re Ports werden von manchen Anwendungen ben tigt die ber mehr als einen Port mit einem anderen System kommunizieren Das letzte Dialogfenster bringt eine kurze Zusammenfassung die z B f r Dokumentationszwecke verwendet werden kann hier funktioniert copy amp past Assistent f r neue Protokolldefinitionen Fertigstellen des Assistenten Internet Security amp cceleration Server 2004 Der Assistent fur neue Protokolldetinitionen wurde erfolgreich abgeschlossen Die neue Protokolldetinition wird wie folgt konfiguriert Mame al T Online ClassicG ate Primare Yerbindung Protokall TER Port GEB Richtung Ausgehend n Fu Klicken Ste auf Ferti
168. c Weitere Informationen uber Bemotedesktop Remotebenutzer ausw hlen Abbrechen bernehmen 287 In den Systemeigenschaften Systemsteuerung gt System muss auf der Registerkarte Remote der Remotedesktop aktiviert werden Standardm ig d rfen dann nur lokale Administrationen eine RDP Verbindung herstellen Man kann aber jederzeit weitere berechtigte Benutzer hinzuf gen Sollten Sie die echten Terminaldienste ver ffentlichen wollen ist dieser Schritt ggfs nicht notwendig Konfiguration einer Firewallrichtlinie f r externen RDP Zugriff Nachdem die Windows seitigen Einstellungen vorgenommen wurden kann eine Firewallrichtlinie erstellt werden Erstellen Sie eine neue Serverver ffentlichungsregel Assistent f r neue Serverver ffentlichungsregeln x willkommen Microsoft _ Internet Security amp Acceleration Server2004 Mit diesem Assistenten konnen Sie eine neue Serververotfenthchungsregel erstellen Serrerveroffent ichungsregeln ordnen eingehende Clentanforderungen dem zust ndigen internen Server zu ee u Name der Serverver ffentlichungsregel RDF extern zu Sonne klicken Sie auf Weiter um den Yorgang fortzusetzen Dae In diesem Beispiel hei t der interne Server Sonne und hat die IP Adresse 192 168 16 68 288 Assistent f r neue Serverver ffentlichungsregeln E xj Server auswahlen Geben Sie die Netzwerk P 4dresse des Servers an den Sie ver
169. ch der ISA Installation sind ja bekanntlich s mtliche Verbindungen blockiert Jedes notwendige Protokoll muss zuerst zugelassen werden Damit ein Mailclient mit einem externen Mailserver kommunizieren kann werden gew hnlich zwei Protokolle ben tigt SMTP f rs senden und POP3 zum Mails abholen Deshalb sollten auch nur diese beiden Protokolle freigegeben werden Und das dann am besten nicht gleich f r das ganze interne Netzwerk sondern nur f r einzeln festgelegte Computer Warum Ganz einfach welchen Grund sollte es z B f r einen Netzwerkdrucker geben Mails nach extern versenden zu k nnen Der ISA Server kann Regeln anhand Benutzernamen oder IP Adressen zulassen verweigern Im ersten Fall ist der Firewallclient notwendig f r P basierte Regeln reicht der SecureNAT Client blicherweise sollte der SecureNAT Client ausreichend sein Das folgende Beispiel soll eine Richtlinie erstellen die folgende Bedingungen erf llt Die Benutzer Cornelia Birgit und Andreas sollen von hren jeweiligen Clients 192 168 16 19 192 168 16 59 und 192 168 16 34 ganztags Mails bei GMX abholen und versenden k nnen Dazu wird eine neue Firewallrichtlinie erstellt 14 Assistent f r neue Zugriffsregel 7 x Willkommen Microsoft Internet Security amp Acceleration Server 2004 Mit diesem Assistenten kannen Sie eine neue Zugriffsregel erstellen Zugriffsregeln bestimmen die durchzufuhrende Aktion und die zu verwendenden Protokolle wenn ang
170. ch gezeigt wie man ein Netzwerk mit ISA Server 2004 definiert Dieser Artikel beschreibt Besonderheiten der Netzwerkkonfiguration Schwerpunkt dieses Artikels ist die Beschreibung von typischen Konfigurationsfehlern Erkl rung der Beziehung zwischen ISA Server und Routingtabellen sowie einiger Tipps aus der Praxis Basis f r diesen Artikel ist ein ISA Server 2004 Standard mit vier Netzwerkkarten auf einem Windows Server 2003 Standard Erklarung der Netzwerke e DMZ Netzwerk f r die demilitarisierte Zone e WAN Verbindung zum Internet e LAN Das interne Netzwerk e WLAN Spezielles Netzwerksegment f r die WLAN Accesspoint Anbindung Netzwerkverbindungen Datei Bearbeiten Ansicht Favoriten Extras Erweitert 7 zur ck en F i Suchen er Ordner a y x i Enj Adresse je NWetzwerkverbindungen Assistent Fal Assistent F r neue verbindungen Assistent LAN oder Hochgeschwindigkeitsinternet a DMZ 172 16 0 0 LAN oder Hochgeschwindigkeitsinternet Aktiviert oll WAN 192 168 1 0 LAN oder Hochgeschwindigkeitsinternet Aktiviert ol LAN 192 168 2 0 LAN oder Hochgeschwindigkeitsinternet Aktiviert BB WLAN 150 0 0 0 LAN oder Hochgeschwindigkeitsinternet Aktiviert Wie ein Netzwerk konfiguriert wird lesen Sie bitte hier F r weitere Informationen zur Einrichtung einer Firewallrichtlinie finden Sie hier Zur Auffrischung Die Konfiguration eines Netzwerkes erfordert folgende Schritte e Erstellen des neuen Netzwerkes und An
171. cherheitsvorlagen sind strukturierte Textdateien INF Dateien die als Basis f r eine Sicherheitskonfiguration mit dem Security Configuration Editor SCE verwendet werden k nnen In den Sicherheitsvorlagen werden Einstellungen wie Kontenrichtlinien Uberwachungsrichtlinien Registrierungseinstellungen Konfiguration f r Systemdienste uvm s847 definiert Nach erfolgter Definition k nnen Sie das aktuelle System anhand der Sicherheitsvorlage konfigurieren Mit Hilfe der Sicherheitsvorlage ist sichergestellt dass Sie immer ein und dieselbe Sicherheitskonfiguration auf Ihre Systeme anwenden m Konsolei Konsolenstamm Sicherheitskonfiguration und analyse Aktion Ansicht Favoriten Fenster 7 m g Konsolenstarim B Sicherheitskonfiguration und analyse R kontorichtlinien kennwort und Kontosperrungsrichtlinien H A Sicherheitsvorlagen el Lokale Richtlinien Richtlinien F r die berwachung Benutzerrechte u ggl Ereignisprotokoll Ereignisprotokall Ci Eingeschr nkte Gruppen Eingeschr nkte Gruppen Li systemdienste Einstellungen des Systemdienstes Registrierung Einstellungen der Registrierungssicherheit Dateisystem Einstellungen der Dateisicherheit Speichern im E templates ky pE gt H Fe compas inf Tin A i E hisecdc inf Zuletzt C hisecws inf verwendete D iesacls inf E rooksec inf E securedc inf Desktop Ssecurews inf setup security inf ar Arbeitsplatz or Ne
172. cht wird e UDP Bomb Tritt auf wenn Eindringlinge versuchen ein illegales UDP Paket zu senden Ein UDP Paket das aus illegalen Werten in bestimmten Feldern aufgebaut ist bringt den Computer zum Absturz sobald das Paket empfangen wird e Port Scan Ein Port Scan All Port Scan tritt auf wenn Angreifende versuchen Zugriff auf mehr als die vorkonfigurierte Anzahl der Ports zu erhalten Der Administrator definiert einen Portbereich siehe Bild wodurch die Anzahl der Porte festgelegt wird die f r den Zugriff verf gbar sind Eindringlinge verwenden das Scannen von Ports um offene Ports eines Computers zu finden Offene Ports stellen einen Eingang in diese Computersysteme dar und dadurch kann versucht werden einen Angr ff ber einen oder mehrere dieser Ports durchzuf hren Neben der Eindringversuchserkennung auf IP Paketfilterebene hat der ISA Server2004 auch einen DNS Filter Bey lous Eindringrersuchserkennung a ajx Allgemeine Angriffe DNS ngriffe Eingehenden Datenverkehr auf Folgendes berpr fen M DNS Hostnamen berlauf M DNS L ngen berlauf I DNS Fonentransfer DRS Angriffe um Benachrichtigungen f r diese Angriffe zu i Bearbeiten Sie die Alarmdefinikionen f r ermittelte konfigurieren Hilfe ber Alarme bernehmen Abbrechen e DNS Hostnamentberlauf Tritt ein wenn eine Antwort eines DNS Servers fiir einen Hostnamen eine bestimmte feste L nge berschreitet Dieser Angriff kann bei feh
173. cht cachen Die G ltigkeitsdauer ist der Zeitraum in dem der Inhalt im Gache g ltig ist Das Inhaltsalter ist der Zeitraum seit der Erstellung oder letzten Anderung des Objekts Objekte in Gache entsprechend der G ltigkeitsdauer aktualisieren enn keine Gblaurzeit von der Quelle vorgegeben G ltigkeitsdauer der Objekte Festlegen Eh Prozentsatz des Inhaltsalters G ltigkeitsdauer Srenewerte Miche weniger als 15 Minuten Hicht mehr als 1 Tage r Diese Gultigkeitsdauer Grenzwerte auch auf Quellen anwenden die eine ablaufzeit Festlegen Wiederherstellen Abbrechen bernehmen Eigenschaften von msisafag nicht cachen Allgemein Nach Cachespeicher und abruf HTTP FTF Erweitert FTP Fwischenspeicherung aktivieren Geben Sieden 2eitraum an in dem EIF Objekte g ltig im Gache sind Das FIF Gbjekk wird ung ltig wenn die G ltigkeitsdauer abl uft G ltigkeitsdauer F r FIP Obyjekte l Tage OK Abbrechen libernehmen 40 Eigenschaften von msisafag nicht cachen Allgemein Mach Cachespeicher und abruf HTTP FTF Erweitert SSL Antworten zwischenspeichern Abbrechen libernehmen Nun ist die Regel fertig und die nderungen k nnen bernommen werden Microsoft Internet Security amp Acceleration Server 2004 Standard Edition een p verwerten Ab sofort werden alle Anfragen an die Webseite www msisafaq de nicht zwischengespeichert
174. chten ist das Erstellen einer Zugriffsregel zu empfehlen die jeden Datenverkehr vom internen Netzwerk zum VPN Clientnetzwerk zul sst Der ISA Server 2004 erlaubt die so genannte Stateful VPN Filterung dass hei t Sie k nnen jetzt festlegen welche Protokolle VPN Clients innerhalb des VPN Tunnels nutzen d rfen In diesem Beispiel erlauben wir den gesamten Datenverkehr Weitere Eigenschaften der VPN Einrichtung 242 Klicken Sie mit der rechten Maustaste auf virtuelle private Netzwerke VPN in der ISA Server Verwaltungskonsole und klicken Sie auf Eigenschaften Im Reiter Adresszuweisung k nnen Sie eine IP Adresszuweisungsmethode ausw hlen Per Default ist DHCP aktiviert Haben Sie keinen DHCP Server im Einsatz so w hlen Sie Statischer Adresspol und geben h ndisch einen IP Adressbereich an Eigense haften won Virtuelle private Netzwerke VEN 21x Zugriffsnetzwerke Adresszuweisung Authentifizierung RADIUS M IP Adresszumelsungsmeihode ausw hlen U Statischer Adresspool tte a r a fe IF eee eee Ee He Internal Erweiterte Einstellungen sind nur f r Erweitert Sie k nnen hier auch festlegen welches Netzwerkinterface auf dem ISA Server f r Dienste wie DHCP DNS und WINS verwendet werden soll Klicken Sie auf Erweitert und geben Sie die IP Adressen der DNS WINS Server an kamenaufkisung gt ix Geben Sie die DNS und WINS Serwer
175. chung UF Abbrechen bernehmen Wenn die Nachrichten berwachung konfiguriert wurde k nnen an dieser Stelle bestimmte Schl sselworte gefiltert werden iY Schl sselwortregel aktivieren Schlusselwort Your detail Aktion ausfuhren wenn Schlusselwort gefunden wurde im f Nachrichtentitel oder textfeld Nachrichtentitel Nachrichtentestfeld Aktion Nachricht welerleten 4 quarantine msisatag de Abbrechen TR Unter Aktion stehen folgende M glichkeiten zur Verf gung e Nachricht l schen Die Nachricht wird verworfen e Nachricht halten Die Nachricht landet m Badmail Verzeichnis e Nachricht weiterleiten an hier muss eine Adresse eingegeben werden an die die Nachricht weitergeleitet werden soll Eigenschaften von SMTP Filter p x Allgemein Schilisselworter Benutzer Dom nen Anlagen SMTP Befehe Legen Sie die zu sperenden E Mail Adressen und Domanennamen des Sender fest Sender E Mail Adresse des Senders Gesperrte Sender Hingutugen Beispiel benutzeridomaene com Entfernen Domanenname Gesperrte Dom nen Hinzufdgen Beispiel domaene com Entfernen Installieren Sie die Nachnchtenuberwachung um diese Funktionalit t verwenden zu konnen Hilfe uber die Hachnchtenuberw achung Abbrechen bernehmen Dom nen _79 Eigenschaften von SMTP Filter I 7 x Allgemein Schlusselmworter Benutzer Doma
176. curity amp Acceleration Server 2004 E ISA2K4 002 berwachung a LE Firewallrichtlirie a virtuelle private Netzwerke VPN ie konfiguration i 4 Allgemein sl Nun kann der Benutzer entsprechend seiner Rolle Konfigurationsarbeiten durchf hren Wichtig anzumerken ist noch dass auf einem Rechner nur entweder d e Managementkonsole f r den ISA 2000 oder f r den ISA 2004 installiert sein kann Beide zusammen gehen leider nicht Aktuell installierte Produktversion herausfinden Die Informationen in diesem Artikel beziehen sich auf e Microsoft ISA Server 2004 Dass ein ISA Server 2004 installiert ist wird dem Administrator sicherlich aufgefallen sein Und solange es noch keine Hotfixe oder Servicepacks gibt ist die installierte detaillierte Produktversion Bulidnummer nicht von gro er Bedeutung Sp testens nach dem Erscheinen der ersten Erweiterung f r den ISA oder zu Dokumentationszwecken ist es wesentlich zu wissen welche genaue Version installiert st Das herauszufinden ist ganz einfach In der ISA Managementkonsole findet man unter dem Knoten Allgemein den Punkt zZ 154 Server Computerdetails Ga anzeigen Dort sind alle ben tigten Informationen zu sehen 148 Eigenschaften von 1542k4 002 j amp lxj Allgemein 1542k4 002 Yollst ndiger Computernarnie 5 42k4 002 msisarag muc Beschreibung optional 154 Server Version 4 0 7161 50 Product ID 75581 012 1652185
177. d e Bandbreite und produziert unn tigen Datenverkehr In kleinen Netzen mit wenigen PC s und ohne eigenem DNS Server k nnte es unter Umst nden Sinn machen Aber nur dort Damit auch jeder Client eigene DNS Anfragen durch den ISA los wird muss im ISA eine Firewallrichtlinie f r DNS vorhanden sein J Eirewallrichtlinie Ro Mame Aktion Protokolle _ on Listener Mach Bedin Jun Oi DIS Aufl sung F r intern zulassen ons ol b Intern f Ex tern i Alle Benutzer _5 Jeder Client bekommt nur den internen AD DNS zugewiesen Wenn ein Active Directory vorhanden ist ben tigen die Clients sowieso den internen AD DNS Server als pr m ren DNS Server Am besten verteilt man das w eder per DHCP Warum DHCP Ich verwende in den meisten Netzwerken sehr gerne DHCP f r s mtliche Clients Drucker und ggfs Mitgliedserver Dadurch werden Netzwerk nderungen zum Kinderspiel Nicht mehr jeder einzelne Rechner muss angefasst werden wenn sich etwas ndert z B ein neues Default Gateway oder ein DNS Server Ein weiterer Vorteil ist die zentrale Kontrolle und Administration ber einen Server Man kann ohne Probleme einzelne Optionen dadurch verteilen siehe oben Und selbst wenn der DHCP Server zum Zeitpunkt der Anmeldung des Clients nicht vorhanden ist der kann eine einstellbare Zeit die zugewiesene IP Adresse behalten Also muss der Client wenn er z B www msisafaq de aufl sen m chte den AD DNS fragen Woher bekom
178. d ist immer die letzte Regel die abgearbeitet wird Diese Regel blockt allen nicht explizit erlaubten Verkehr von irgendwo nach irgendwo Die Existenz dieser Regel bedeutet auch dass direkt nach der Installation des ISA Server 2004 nichts funktioniert Obwohl das auch schon beim ISA Server 2000 so der Fall war verwirrt das immer noch viele Administratoren In der Vergangenheit war es bei Microsoft Produkten leider fast immer so dass nach einer weiter weiter weiter fertig Installation alles aktiviert war und das Produkt sofort benutzt werden konnte Beim ISA ist das verst ndlicherweise anders Hier muss 1m 365 zweiten Schritt alles konfiguriert werden was erlaubt werden soll Der Grund liegt auf der Hand erstens handelt es sich um eine Firewalll sung und zweitens wurde der ISA Server nach dem Microsoft Grundsatz von Trustworthy Computing entwickelt Dies sieht man brigens auch in der Stabilit t des Produktes Vier Jahre nach Verf gbarkeit des ISA Server 2000 gibt es gerade mal ein Dutzend Hotfixe und Servicepacks Schwerwiegende Sicherheitsliicken waren nicht darunter Auch wurde es bislang nicht geschafft einen ordentlich konfigurierten ISA Server zu hacken was auch immer man unter hacken verstehen m chte 366 Erstellen und verwenden von Zeitpl nen Die Informationen in diesem Artikel beziehen sich auf e Microsoft ISA Server 2004 Die G ltigkeit von Firewallrichtlinien kann unter anderem zeitgesteuert
179. d sein In den allermeisten F llen besteht keinerlei Notwendigkeit dass der ISA Server aus anderen Netzen oder von anderen Clients aus per ping erreichbar ist Aus Sicherheitsgriinden sollten nderungen am Regelwerk diesbez glich gut berlegt werden und nur bei wichtigen Gr nden durchgef hrt werden Der hier vorliegende Artikel stellt die zus tzlichen Konfigurationsschritte dar um den ISA Server von extern anzupingen und um internen Clients zu erlauben externe Rechner anzupingen 1 Konfiguration des ISA Server f r eingehende ping Anfragen Wie bereits erw hnt reagiert der ISA Server nicht auf ping Anfragen externer Clients 176 ot C WINDOWS system32 cmd exe Microsoft Windows RP Version 5 1 2600 CC Copyright 1985 2661 Microsoft Corp F gt ping 192 168 69 80 Ping wird ausgef hrt fiir 192 168 697 880 mit 32 Bytes Daten Reit hberschreitung der Anforderung Reit berschreitung der Anforderung Reituberschreitung der Anforderung Ae itiiberschreitung der Anforderung Ping Statistik fur 192 168 69 80 Fakete Gesendet 4 Empfangen Verloren 4 1662 Verlust gt IF gt Es gibt prinzipiell zwei Wege diese Konfigurationserweiterung vorzunehmen Man kann sowohl die bestehende Default Systemrichtlinie ver ndern oder eine neue Firewallrichtlinie erstellen Beide Wege werden hier beschrieben Welcher Weg sinnvoller ist kann nicht pauschal beantwortet werden la nderung der Systemrichtl
180. darstellt Lokaler Host Mit diesem Netzwerk sind keine Das vordefinierte Netzwerkobjekt das den 154 Server Computer darstellt adh Quarant nen WPN Llients Diesem Netzwerk sind zurzeit k Das vordefinierte Netzwerk das die Clientcomputer darstellt die eine Yerbind A VPN Clients J Diesem Netzwerk sind zurzeit k Das vwordefinierte dynamische Metzwerkobjekt das die Clientcomputer darstell Diese Netzwerke k nnen vom ISA Administrator in eine e NAT Network Address Translat on oder e ROUTE Beziehung zu einander gesetzt werden 85 Netzwerke i Edgefirewall P xternes Netzwerk Internet Zielnetzwerke d Alle Netzwerke u 4 Guarant nen Ph Clients 4 Intern Ss YPN Llieriks El el 3 Internetzugriff edhe Intern Q Extern ok Guarant nen VWPN Llients S VPN Clients Dieser Artikel beschreibt die Erstellung eines neuen Netzwerkes mit dem Ziel f r die Forschungsabteilung welche sich in einem eigenen IP Subnetz befindet ein neues Netzwerk anzulegen und den PCs in diesem Netzwerk den Zugriff auf Ressourcen m Internet zu erm glichen Starten Sie die ISA Server Verwaltungskonsole und klicken Sie mit der rechten Maustaste unterhalb von Konfiguration auf Netzwerke Klicken Sie im Kontextmen auf Netzwerk um ein neues Netzwerk zu erstellen La Microsoft Internet Security amp Acceleration Server i Fl W2kK3MARC 1 berwachung 1 Firewallrichtlinie
181. de Elemente Folgende IP Adresse verwenden w Bl Client f r Microsoft Netzwerke En ae wl Je Datei und Druckerfreigabe f r Microsoft Metzwerke a JE QoS Paketplaner eier rer Wl Internetpratakoll TCPAP Pee Ue A DNS Serveradresse automatisch beziehen Beschreibung Folgende DNS Serveradressen verwenden TEFYIF das Standardprotokoll fur WAN Netzwerke das den f Datenaustausch uber verschiedene miteinander verbundene ae rich L Netzwerke ermoglicht Symbol bei Verbindung im Infobereich anzeigen Abbrechen Die Registerkarte Alternative Konfiguration ist nur bei automatischer IP Einstellung verf gbar Hier kann f r den Fall dass kein DHCP Server verf gbar ist eine feste IP Adresse konfiguriert werden Diese Funktion ist erst ab Windows XP verf gbar Anfragen von SecureNAT Clients werden vom Firewalldienst verarbeitet Dabei ist keine Authentifizierung auf Benutzerbasis m glich es k nnen nur Regeln anhand von IP Adressen erstellt werden SecureNat Clients werden im reinen Cachemodus nicht unterst tzt SecureNAT Clients ben tigen immer eine Firewallrichtlinie f r ausgehenden Verkehr Selbst wenn eine Protokollregel vorhanden ist die den gesamten IP Datenverkehr frei gibt betrifft das nur die Protokolle Ports f r die eine Protokolldefinition vorhanden ist Ein SecureNAT Client muss sich selber um die DNS Aufl sung k mmern Beim
182. dem zulassen VPN Systemrichtlinienregeln basieren auf jexternen Netz eine PPTP VPN Zu VPN Eigenschaften und auf dem VPN Koten in der Verbindung zum ISA Server ISA Server Verwaltung konfiguriert herzustellen VPN VPN Standort zu Standort Datenverkehr zum Richtlinie die f r eine ISA Server zulassen VPN Systemrichtlinienregeln Remotestandortanbindung _f basieren auf VPN Eigenschaften die im VPN notwendig ist Sie erlaubt den Knoten der ISA Server Verwaltung konfiguriert Verkehr vom Remotestandort werden zum ISA Server VPN VPN Standort zu Standort Datenverkehr vom Richtlinie die fiir eine ISA Server zulassen VPN Systemrichtlinienregeln Remotestandortanbindung _f basieren auf VPN Eigenschaften die im VPN notwendig ist Sie erlaubt den Knoten der ISA Server Verwaltung konfiguriert Verkehr vom ISA Server zum werden Remotestandort Authentifizierungsdienste Microsoft CIFS von ISA Erlaubt dem ISA Server einen Server auf vertrauensw rdige Server zulassen Filesystemzugriff auf interne Rechner Protokollierung Remote SQL Protokollierung vom Erlaubt dem ISA Server die ISA Server an ausgew hlte Server zulassen Kommunikation mit einem internen SQL Server zwecks Protokollierung Verschiedene HTTP HTTPS Anforderungen von Erlaubt dem ISA Server den ISA Server an angegebene Sites zulassen Zugriff via HTTP und HTTPS auf die Seiten microsoft com 173 windows com und windowsupdate com 18 Netzw
183. dem Client und dem ISA Server und ein neuer Tunnel zwischen dem ISA und dem Exchange Server Hierzu sind zwei Webserverzertifikate f r die SSL Verbindung notwendig Ein Zertifikat f r die Verbindung vom Client zum ISA Server f r exchange meinedomain de auf dem ISA Server und intern fur die Verschl sselung vom ISA zum Exchange Server f r exch srv1 meinedomain local auf dem Exchange Server Wichtig hierbei ist dass der Client der Zertifizierungsstelle fiir das externe Zertifikat und der ISA Server der Zertifizierungsstelle des internen Zertifikates vertrauen Des Weiteren m ssen die FQDN s Full Qualified Domain Name mit denen der Zertifikate bereinstimmen und die Zertifikate d rfen nicht abgelaufen sein ansonsten kommt 200 kein Verbindungsaufbau zustande Voraussetzungen Exchange Server 2003 SP1 auf einem Windows 2003 Server Active Directory auf Windows 2003 Server Ein Webserverzertifikat f r exchange meinedomain de dem ISA Server Ein Webserverzertifikat f r exchange meinedomain local auf dem Exchange Server Windows XP SP1 mit Patch 331320 oder SP2 Outlook 2003 1 Installation des RPC over HTTP Proxys Pe Software Eile Tr sun 7 Zurzeit installierte Programme Sortieren nach name Programme DE mdi en ef Sen ee Microsoft NET Framework 1 1 Device Update 4 0 Grate 0 35 MB al entfernen Klicken Sie hier um Supportinformationen zu erhalten verwendet selten i Klicken Sie auf Entfern
184. dienst Lis MetBias Sitzung BARNTE UDP Li Ping U RIP LLI sum DA SNMP Trap ZUGE Welter gt Schlie en ndern Sie unter Regel wird angewendet f r die Auswahl auf Ausgew hlte Protokolle ab und f gen das unter der Kategorie Infrastruktor befindliche Protokoll NTP UDP hinzu das f r den 23 Zeitabgleich einem externen Zeitserver ben tigt wird Assistent f r neue Zugriffsregel g x ji ee al ey Protokolle Wahlen Sie die Protokolle aus fur die diese Regel angewendet wird N Ausgew hlte Protokolle Anschlie end solte nur das Protokoll NTP UDP ausgew hlt sein Netzwerkidentitaben hinzufiigen 7 a m E Assistent f r neue Zugriffsregel lt ugriffsregelquellen Diese Hegel gilt f r Datenverkehr der von den auf dieser Seite angegebe Huelen stammt Hinzuk gen 232 Es muss angegeben werden aus welchem Netz bzw von welchem Objekt die Anfragen zugelassen werden In dieser Anleitung wird der Zugriff auf einen einzelnen internen Server beschr nkt was aus Sicher heitsgr nden zu empfehlen ist Erstellen Sie ein neues Computerregelelement ber Neu gt Computer Netzwerkidentit ten hinzuf gen Netzwerkidentik ten Neues Computerregelelement ad Heu Bearbeiten L schen r Marien Netzwerke a mu Netzwerks tze om nencontroller amp Computer Domanencontroller IF Adresse des Computers 4 Interne
185. dorten gesendet ward verwendet werd e IPSec Tunnelmodus IP Securty Protokoll Bietet hohe Sicherheit und Inheropessbebtat mit VPM Drttanbieter Two Tunneling Protokoll ber IPSec Bietet eine sehr sichere Verbind che 151 PPTP Point to Point Tunneling Protokoll Baetet eine Schere Verbindungsmethoch Im folgenden Fenster m ssen Sie die IP Adresse oder den Namen des Remote VPN Servers angeben Bemerkung Bei nicht statischen IP Adressen m ssen Sie hier Verfahren wie DYNDNS einsetzen und im Remotestandortgateway einen Namen angeben z B ISA Remote dyndns org 411 Assistent f r neues Standort zu Standort Netzwerk Soll der lokale Standort Verbindungen mit dem Remote Standort aufbauen d rfen geben Sie in folgender Dialogbox den Benutzernamen Dom nennamen und das Kennwort f r die Verbindung an Assistent f r neues Standort zu Standort Netzwerk Remolestandait indiieren daf Sie m ssen F r eingehende Verbindungen m ssen Sie auf dem ISA Server Computer einen Benutzer definieren welcher mit dem Namen des Remotestandortnetzwerkes bereinstimmen muss Dieser Account muss auch das Recht zur Remoteeinwahl haben Das Benutzerkonto wird am Ende des Artikels gezeigt 412 Asststent f r newes Standort zu Standort Netzwerk Lokale Authentilizierung SES Ein Benutze muss f r eingehende Verbindungen fur dieses Netzwerk delirigt werner i Ein Benutzerkonto muss
186. dresse und Portnummer aufbauen welche mit der Ziel IP Adresse und Portnummer bereinstimmt Spoofing bezieht sich auf das Uberlisten eines Computers um Informationen zu erhalten welche unberechtigten Zugriffe mit Hilfe einer falschen IP Adresse erlauben Ein Land Angriff kann bewirken dass Computer nicht mehr reagieren und so auch f r berechtigte Benutzer nicht mehr zur Verf gung stehen e Ping of Death Mit Ping of Death Angriffen wird versucht einen Computer au er Kraft zu setzen in dem ICMP Echo Request Paketen gro e Datenmengen hinzugef gt werden Bei dieser Attacke sendet der Angreifer ICMP Pakete mit einer Nutzdatengr e von mindestens 65 510 Byte Diese werden fragmentiert zum Zielsystem bertragen und dort wieder zusammengesetzt Inklusive des ping Headers ergibt das ein IP Paket das gr er ist als die maximal zul ssige Gr e von 65 536 Byte Bei IP Implementierungen die einen solchen Overflow nicht abfangen kommt es dann zum Systemabsturz e IP Half Scan Treten auf wenn Eindringlinge wiederholt versuchen eine Verbindung zum Zielcomputer herzustellen und die TCP Pakete bestimmte Flags enthalten Die bestimmten Flags sind Sync 1 Daraufhin sendet der Ziel Server die Flags Sync 1 und zus tzlich das ACK 1 Flag Als n chstes m sste der Angreifer ein IP Paket senden das nur noch das Ack 1 Flag gesetzt hat das tut er aber nicht ein halber Port Scann also Dieser Vorgang kann darauf hindeuten dass nach offenen Ports gesu
187. dungseinstellungen des Webbrowser automatisch mit Hilfe der vorm SA Server erhaltenen Einstellungen konfigurieren Hinweis Diese Einstellungen gelten nur f r die LAN verbindung und nicht f r DF oder YPN Werbindungen Abbrechen bernehmen Hilfe Verschl sselte Firewallclientverbindungen Der ISA Server 2004 FW Client bietet die M glichkeit den Datenverkehr zwischen dem Firewallclient und dem ISA Server zu verschl sseln Verwenden Sie fr here Versionen der Firewallclientsoftware so k nnen diese FW Clients eine Verbindung zum ISA Server 2004 aufbauen wenn Sie in der ISA Verwaltungskonsole den Haken bei Unverschl sselte Firewallverbindungen zulassen setzen Nach Aktivierung dieser Funktion erfolgt die Kommunikation zwischen FW Client und ISA Server unverschl sselt 390 Firewallclienteinstellungen JbBermenmen 391 ISA Server Clients Teil 3 Der Webproxyclient Die Informationen in diesem Artikel beziehen sich auf e Microsoft ISA Server 2004 Das Kapitel ber die vom ISA Server unterst tzen Clients teilt sich in drei Artikel auf e Teil 1 Der SecureNAT Chent e Teil 2 Der Firewallclient e Teil 3 Der Webproxyclient Der Webproxyclient Ein Webproxyclient ist ein Clientcomputer mit einer Webbrowseranwendung die dem Hypertext Transfer Protokoll HTTP 1 1 entspricht und so konfiguriert ist dass der Webproxyfilter des ISA Server f r ausgehende Webanfragen verwendet wird Der Webproxyf
188. e Application and EventType 1 or EventType 2 or EventType 5 and TimeGenerated gt 20040829203008 000000 120 Executing WMI query select ComputerName Data EventCode Eventldentifier InsertionStrings Message SourceName RecordNumber TimeGenerated TimeWritten Type from Win32_NTLogEvent where LogFile Security and EventType 1 or EventType 2 or EventType 5 and TimeGenerated gt 20040829203008 000000 120 Executing WMI query select ComputerName Data EventCode Eventldentifier InsertionStrings Message SourceName RecordNumber TimeGenerated TimeWritten Type from Win32_NTLogEvent where LogFile System and EventType 1 or EventType 2 or EventType 5 and TimeGenerated gt 20040829203008 000000 120 Determining RemoteAccess service state Executing WMI query Select AllowMaximum Caption Description MaximumAllowed Name Path Status Type From Win32_Share Executing WMI query select AccessMask Compressed Encrypted FileSize FileType Manufacturer Name from CIM_DataFile where Drive C and Path Programme Microsoft ISA Server and FileType Application or FileType Application Extension or FileType System File Executing WMI query select AccessMask Compressed Encrypted FileSize FileType Manufacturer Name from CIM_DataFile where Drive C and Path Programme Microsoft ISA Server clients and FileType
189. e Cache Cache Cache Cache Sicherheit Sicherheit Firewalldienst Firewalldienst Firewalldienst Firewalldienst Sicherheit 3 Ausw hlen Auswahlen Abbrechen bernehmen 356 F r weitere Informationen zum Thema ISA Alarme lesen Sie folgenden Artikel Applikationen auf dem ISA Server Sehr haufig wird die Frage gestellt wie man denn bestimmte Applikationen auf dem ISA Server installiert und diese dann zur Nutzung von internen und auch externen Zugriffen konfiguriert Es gibt hier eine definitive Aussage Eine Firewall ist eine Firewall und kein Applikationsserver Was hei t das konkret Im Normalfall ist der ISA Server eine reine Firewall und es sind keine Applikationen auf dem ISA Server installiert weil diese die Sicherheit der Firewall kompromittieren k nnen und das System offener f r so genannte Exploits machen Vermeiden Sie nach M glichkeit die Installation von Anwendungen direkt auf dem ISA Server Installieren Sie statt dessen Applikationen welche im Internet zug nglich sein sollen in der DMZ DeMilitarisierten Zone Sie K nnen auch interne Server ber ISA Server 2004 Serverver ffentlichungs und Webserverver ffentlichungsregeln verf gbar machen Einsatz von Virenscanner und anderer Gateway Software Fast schon obligatorisch zu erw hnen ist es dass Sie auf dem ISA Server 2004 einen sich st ndig aktualisierenden Virenscanner installieren welcher das System laufend auf Viren
190. e D D BS kto m Arbeitsplatz Ga T ee Dateiname ISA Konfiguration 17 07 2004 bung 154 Server Exportoptionen Benutzerberechtiqungseinstellungen exportieren i vertrauliche Informationen exportieren verschlisselung verwenden Hilfe ber Export und Im vort Netzwerkvorlagen Assistent a x Intern Netzwerk IP Adressen Definieren Sie die IP Adressen f r dieses Netzwerk Sie k nnen IP Adressbereiche mit einem Netzwerkadapter verkn pfte IP Adressbereiche und private IP Bereiche hinzuf gen q Diese IP Adressen sind f r eine einzige Netzwerkadapterkonfiguration vordefiniert J Sie sollten diese Einstellungen nicht ndern Adressbereiche Startadresse Hinzuf gen 0 0 0 1 126 259 200 200 128 0 0 0 255 255 255 254 Bearbeiten Enthernen Adapter Privaten Adapter lt Zur ck Abbrechen ale Dateityp lisa Server Exportdateien xml Abbrechen Hier schlagt der Assistent vor die im Eingangstext oben beschriebenen Adressbereiche zu verwenden Anschlie end richtet der ISA noch eine Defaultfirewallrichtlnie ein die sicherstellt dass s mtlicher Verkehr gesperrt wird Nach Beendigung der Netzwerkkonfiguration m ssen dann entsprechende Zulassungsregel erstellt werden Netzwerkvrorlagen Assistent E l A xj Firewallrichtlinie ausw hlen Wahlen Sie die Standardfirewallrichtlinie die f r die in dieser Yorlage angegeben
191. e M glichkeiten des IP Protokolls wie z B die bekannteste IP Option 9 Strict Source Route Es gibt die M glichkeit 256 IP Optionen zu konfigurieren 0 255 110 Denial of Service Beispiel De fragmentierung ee IP Max 64kB Oe IP Ethernet Max 1 5kB su im Im Im jm 3 Fragmentierung Defragmentierung 0 1 2 3 2333 6 TB 2123 EB TE SA LZ FI SET eS 2 3 4 44 44 4444444444444 Version IHL Type of Service Total Length Fata at tae ta tata tata tate tata tae tanta tata tet tata tanta tartrtaotatetat Identification Flags Fragment Offset 4 4 4 4 4 eee 4444 tt tt tn tt I Time to Live Protocol Header Checksum 4 4 4 4 a 4 4 4 a a a ta te te tat i a ta ta tae teeta aaia aaa danda anda Sanda Sanda Siasia ana dian Source Address 4 4 4 4 4 4 4 44 HH a ta tt tat tt ttt IP Header Destination Address 4 tettette Oet Options Padding fafa a tette Pakete sind nicht immer wohlgeformt ISA Server 2004 blockiert einige IP Optionen weil diese f r Angriffe genutzt werden k nnen Nehmen wir als Beispiel nochmal die IP Option 9 Die einfachste Routing Attacke benutzt die Internet Protokolloption 9 bzw 3 In beiden F llen kann die Route durch das Netzwerk vom Sender des IP Paketes bestimmt werden Bei Verwendung von Strict Source Routing muss dabei jeder Vermittlungsknoten in der richtigen Reihenfolge angegeben werde
192. e Reservierungen Bereichsoptionegd ei u Seryveroptionen Optionen konfigurieren 119 i Bereich Optionen Ei Allgemein Erweitert ur Yerfugung stehende Optionen Beschreibung O 074 IAC Server Internet Relay Chat Liste der fur c O 075 StreetT alk Server O 076 STOA Server StreetT alk Directory Assistance Liste der fur c Liste der fur c WPAC I nforry Y Dateneingabe Zeichenfolge inte upad wpad dat Abbrechen bernehmen Es muss s chergestellt werden dass die Option 252 aktiviert ist Ein Beispiel f r einen konfigurierten DHCP Bereich mit Optionen k nnte so aussehen Wert klasse ef 003 Router Standard 192 168 5 1 Keine ef 006 DNS Server Standard 192 168 5 1 keine ef 015 DNS Domanenname Standard msisafag de Keine ely 252 WIP AD Standard httpiiiwpadiwpad dat keine 4 Konfiguration der Clienteinstellungen f r Firewallclients Um die Einstellungen f r die automatische Suche den Clients bei der Installation des Firewallclients mitzugeben kann dies am ISA Server eingestellt werden Dazu werden weder die Eigenschaften internen Netzwerks ge ffnet 120 Eigenschaften von Intern J 2 xi Allgemein Adressen Domanen Webbrowser Automatische Erkennung Firewallchent wW ebprosy M Firewallclientunterst tzung f r dieses Netzwerk aktivieren Firewallchentkontiguratiar 154 ServerName bzw IP Adresse IM ond Durchsuchen Webbrowserkanfguratiaon auf
193. e die hier aufkommen kann ist warum die drei Benutzer nicht unter Bedingung eingetragen wurden Die L sung ist einfach dazu w re der Firewallclient notwendig gewesen Nur mit diesem ist eine echte Benutzerauthentifizierung m glich In diesem Beispiel sind jedoch nur die IP Adressen der Clients relevant 278 Veroffentlichen von Remotedesktop zur Verwaltung des ISA Server Computers Die Informationen in diesem Artikel beziehen sich auf e Microsoft ISA Server 2004 Der unter der Rubrik Administration erschienene Artikel Remoteverwaltung RDP beschreibt die notwendigen und sinnvollen Schritte wenn von einem internen Client auf den ISA Server Computer per Remotedesktopprotokoll RDP zugegriffen werden soll Dort wurde auch erw hnt dass diese Konfiguration auch externe Clients ber cksichtigen kann Da dem externen Client durch die Gruppenmitgliedschaft ggfs zu viele Zugriffsrechte vergeben werden empfiehlt es sich eine eigene Firewallrichtlinie f r den externen RDP Zugriff zu erstellen Dies wird m vorliegenden Artikel beschrieben Einrichten des ISA Server Computer zur Fernverwaltung mittels Remotedesktop RDP Um den ISA Server ber die Remotedesktop Funktionalit t von Windows Server 2003 bei Windows 2000 Server ist es das selbe Prinzip die Technik hei t dort jedoch noch Terminaldienst im Administrationsmodus verwalten zu k nnen m ssen sowohl am Windows Server als auch n der ISA Verwaltung kleine Konfigurationsschri
194. efiniert So wird hier zum Beispiel festgelegt wie oft das oben ausgew hlte Ereignis auftreten muss bevor ein Alarm registriert werden soll Die ist bei h ufig auftretenden Ereignissen s nnvoll So k nnte z B ein einmal auftretendes SMTP Filterereignis noch nicht beunruhigend sein Wenn dieses Ereignis jedoch mehrmals pro Sekunde auftritt ist es eher meldenswert da dann davon auszugehen ist dass entweder ein unberechtigter Nutzungsversuch oder ggfs ein Kommunikationsproblem zwischen den beteiligten Mailservern vorliegt 326 Die letzte Registerkarte bietet verschiedene M glichkeiten an welche Aktion der ISA Server ausf hren soll wenn das definierte Ereignis eingetreten ist Eigenschaften von Dienst gestartet Allgemein Ereignisse Akt onen 2 xX E Mail senden Testen Frogramm ausf hren SMTF Sermer Durchsuchen Durchsuchen Dieses Konto Konto festlegen vernenden M In windows Ereignisprotokoll schreiben Ausgew hlte Dienste beenden Ausw hlen Ausgew hlte Dienste starten Ausw hlen Abbrechen bernehmen Eine der m glichen Aktionen ist eine E Mail zu versenden Dazu m ssen lediglich ein paar Angaben gemacht werden 7 E Mail senden Testen 5MTF Server sonne Durchsuchen Yan lisa alarm msisafaq de admin msisafag de Tipp Viele Mobilfunknetzbetreiber bieten Ihren Kunden eine individuelle Mailadresse an
195. efinierte IP Optionen anzeigen Abbrechen IP Einstellungen Ei P x IP Optionen IP Fragmente IF Fiouting Yerwenden Sie diese Seite um zugelassene IP Optionen auszuw hlen M IF Optionenfilterung aktivieren Alle Pakete mit ausgew hlten IP Optionen verweigern m Alle Pakete mit IP Option verweigern Alle Pakete mit ausgew hlten P ptiornen verweigern Alle Pakete auber die mit ausgew hlten IP Optionen verweigern Kein Yorgang a Record Route 68 Zeitstempel Soa eel Beet C 130 Sicherheit 131 Loose Source Route 1 136 Stream ID 137 Stict Source Route 148 Aouteralarm Nur ausgew hlte IP Optionen anzeigen Nicht definierte IP Optionen anzeigen Abbrechen 112 IP Fragmente In den unterschiedlichsten Netzwerken ist die Lange der tibertragenen P Pakete immer eingeschr nkt und Toplogieabh ngig Abh ngig von dem verwendeten Netz wird die maximale Gr e der IP Pakete in als Maximum Transfer Unit MTU in Oktetten Bytes angegeben Zur Anpassung der bertragenen IP Pakete an unterschiedliche MTU Werte ist das IP Protokoll in der Lage Pakete entsprechend den MTU Werten der einzelnen Netze zu fragmentieren dass heisst gro e IP Pakete auf eine Reihe von kleineren IP Teilpaketen IP Fragmenten aufzuteilen Ein Quellrechner kann auch verbieten dass ein IP Paket fragmentiert werden darf Hierf r muss der Quellrechner Router das Bit DF don t fragment im Feld Flags d
196. egebene Clients in einem Netzwerk versuchen auf bestimmte Ziele oder Inhalte auf einem anderen Netzwerk zuzugreifen zugriffstegelname Mailverkehr zulassen Klicken Ste auf Weiter um den Yorgang fortzusetzen 4 AUCE Abbrechen Assistent f r neue Zugriffsregel E E xj Regelaktion Legen Sie fest wie Clientanforderungen nach Inhalten vom angegebenen Ziel behandelt werden falls die in der Regel angegebenen Bedingungen zutreffen Aktion die beim Zutreffen der Regelbedingungen ausgef hrt wird U Yenseigerm uruck Abbrechen Diese Regel soll eine Zulassungsregel sein 275 Assistent f r neue Zugriffsregel Protokolle Wahlen Sie die Protokolle aus f r die diese Regel angewendet wird E Regel wird angewendet f r Hinzufugen Bearbeiten Entfernen FULD Ports uruck Abbrechen i und nur fur POP3 und SMTP gelten Als n chstes muss ein Computersatz f r die drei Benutzer erstellt werden Neues Regelelement f r den Computersatz i ajx Name Mailbenutzer In diesem Computersatz enthaltene Computer Adressbereiche und Subrietze IP Adressen E Cornelia 192 168 16 19 Birgit 192 168 16 59 H Andreas 192 168 16 34 Bearbeiten Enthernen Beschreibung optional OK Abbrechen Dieser neu erstellte Computersatz wird als Quelle f r die Zulassungsregel verwendet 276 Assistent f r neue Zugriffsregel
197. eine Firewallrichtlinie f r SMTP und POP3 Verkehr erstellt ist und ob ggfs Zugriffs Einschr nkungen existieren vgl den o g msisafaq Artikel 2 berpr fen ob der ISA Server eine Verbindung zum Internet hat speziell bei Anbindungen ber DF 3 Sicherstellen dass der interne Client ein SecureNAT Client oder ein Firewall Client Ist 4 Mittels des DOS Kommandos telnet einen Verbindungsaufbau testen telnet mail msisafaq de 25 Bitte diesen Befehl in einer Kommandozeile eingeben Verwenden Sie statt mail msisafaq de den Mailserver Ihres Providers der msisafaq Mailserver ist in dieser Form von aussen nicht erreichbar Port 25 ist f r SMTP zust ndig testen Sie ggfs auch Port 110 f r POP3 220 mail msisafaq de msisafaq ESMTP Mailserver Version 7 0 0 2002 Sat 13 Jul 2002 20 34 52 0200 Wenn eine Verbindung zum Mailserver hergestellt werden kann erhalten Sie abh ngig vom Zielmailserver eine hnliche Meldung quit Beenden Sie die Verbindung zum Mailserver weitere Tests sind nicht notwendig 221 2 0 0 mail msisafag de Service closing transmission channel 5 Bekommen Sie keine Verbindung UND haben Sie die ersten drei Punkte kontrolliert verwenden Sie statt dem FQDN die IP Adresse des Mailservers Hat der Verbindungsaufbau geklappt Wenn ja gehen Sie zu 8 Verwenden Sie testweise einen anderen Mailserver 8 sicherstellen dass die Namensaufl sung per DNS funktioniert an 469 Interessante Knowledge Base Artike
198. einnchten Wenn die primare Route nicht verf gbar ist Of Anforderungen direkt vor angegebenen Ziel abrufen Anforderungen an anderen Upstreamserver weiterleiten EIKE HN SE Hilfe uber automatisches Einvahlen lt Zur ck Abbrechen 99 berpr fen Sie in der Abschlu meldung des Assistenten noch einmal alle Einstellungen Assistent fiir neue Webverkettungsregel I i xl Fertigstellen des Assistenten Microsoft Internet Security amp Acceleration 2004 Der Assistent f r neue Webverkettungeregeln wurde erfolgreich abgeschlossen Die neue Wlebyerkettungsregel wird wie folgt konfiguriert Name ri SA Aussenstelle zu 15 4 Firmenzentrale Ziel Estern Aktion Anforderungen an angegebenen Upstreanserver weite Frimares Routing Server ISAZK4HO E 4 F klicken Sie auf Fertig stellen um den Yorgang abzuschlie en Abbrechen Anhand Ihrer Angaben hat der Ass stent folgende Webverkettungsregel erstellt Zum Schlu k nnen Sie bei Bedarf noch festlegen wie HTTP und SSL Anforderungen weitergeleitet werden sollen In der Regel ist hier keine Anpassung notwendig Klicken Sie zur Anpassung der Weiterleitung mit der rechten Maustaste auf die Webverkettungsregel und klicken Sie im Kontextmen auf Eigenschaften und w hlen Sie den Reiter Bridging aus HTTP Anforderungen umleiten als HTTP Anforderungen Lest fest dass HTTP Anforderungen als HTTP Anforderungen umgeleitet werden HT
199. einstellungen 2x Allgemein Aktive Zwischenspeicherung Erweitert Objekte die innerhalb der G ltigkeitsdauer aus dem Cache angefordert werden gelten als aktiv Aktive Objekte werden automatisch im Cache entsprechend der Einstellungen f r die aktive Zwischenspeicherurng aktualisiert Aktive Objekte im Cache aktualisieren C H ufig Clientcache Trefferverhaltnis ist wichtiger als reduzierter Hetzwerkdaterwerkehr f Normal lientcache Trefferverh ltnis und reduzierter Hetzwerkdatenverkehr sind gleich wichtig Selten Reduzierter Netzwerkdatenverkehr ist wichtiger als liertcache Trefferverh ltnis wiederherstellen Abbrechen Ubernehmen Wenn die Aktive Zwischenspeicherung aktiviert ist l dt der ISA Server selbstst ndig Objekte aus dem Internet nach die h ufig angefordert werden Diese Option empfiehlt sich nur dann zu aktivieren wenn man keinen Zeit oder Volumenabh ngigen Tarif verwendet 20 Cacheeinstellungen i 2 x Allgemein 5 Aktive Zwischenspeicherung Erweitert Sn EEE RLLEITELEEEEOEIETEIIeeeeeeeeeeeeG M Objekte zwischenspeichern die keinen HTTP Statuscode 200 haben Maximalgr e des zwischengespeicherten URL 12800 Bytes Falls die Website des abgelaufenen Objekts nicht erreicht werden kann Abgelaufenes Objekt nicht zur ckliefern Fehlerseite stattdessen anzeigen abgelaufenes Objekt nur bei folgender Ablaufzeit zur ckliefern geringerer Prozentanteil der urs
200. el Wahlen Sie den Netzwerkadapter den Sie verwenden mochten Netzwerk adapter Intel 2171 40 basierter PCI Fast Ethernet Adapter Standard 2 4 f Unbegrenete verbindungen Maximale Yerbindungen 2 AY Dieser Server ist f r den Modus Standardremotedesktop konfiguriert der masimal zwei gleichzeitige Remoteverbindungen erlaubt Abbrechen bernehmen In diesem Beispiel ist die 2 Netzwerkkarte dem internen Netzwerk zugeordnet l Intern LON Aktiviert Intel 21140 basierter PCT Fast Ethernet Adapter Standard 2 aL Extern LAM Aktivierk Intel 21140 basierter PCI Fask Ethernet Adapter Standard Konfiguration einer Firewallrichtlinie f r externen RDP Zugriff Nachdem die Windows seitigen Einstellungen vorgenommen wurden kann eine Firewallrichtlinie erstellt werden Erstellen Sie eine neue Serverver ffentlichungsregel 281 Assistent f r neue Serrerrer ffentlichungsregeln f x Willkommen amp Accelaratich Sarena Mit diesem Assistenten konnen Sie eine neue Serrerreroffentlichungsregel erstellen Serververattent ichungsregeln ordnen eingehende Clentanforderungen dem zust ndigen internen Server zu Name der Senververotfentlchungsregel ROP von extern auf 15 4 Klicken Sie auf Weiter um den Yorgang fortzusetzen Be Geben Sie die interne IP Adresse des ISA Server Computers an Assistent f r neue Serrervrer ffentlichungsregeln Server ausw hlen Geben Sie die Netzwerk
201. elbst nach erfolgter Authentifizierung der Anmeldeinformationen kann ISA Server eine Clientanforderung unter Umst nden auf Grundlage der Autorisierungsrichtlinie des RADIUS Servers ablehnen Anmerkung RADIUS Benutzer miissen Anmeldeinformationen im Format Domdne Benutzer und nicht als Benutzer Domdne an ISA Server tibergeben Sie k nnen ISA Server so konfigurieren dass f r die RADIUS Benutzerauthentifizierung bestimmte RADIUS Server verwendet werden RADIUS Authentifizierung f r ausgehende Anforderungen Bei Verwendung von JAS Internet Authentication Service als RADIUS Server m ssen Sie im Einw hlprofil der RAS Richtlinie von IAS die unverschl sselte Authentifizierung aktivieren d h PAP Password Authentication Protokoll oder SPAP Shiva Password Authentication Protokoll Die Aktivierung von IAS f r PAP oder SPAP ist eine profilbasierte AS Einstellung Alle RADIUS Clients die diese Richtlinienbedingungen erf llen k nnen dann eine Verbindung zum IAS Server ber PAP oder SPAP herstellen Nun kann eine Richtlinie die eines der Webprotokolle zul sst auf Benutzer oder Gruppen eingeschr nkt werden Pa eh eee ge PTE non Br Br nenn a a re nn nn Ware nn nn a NE Wr nen BL ar EAA rasen a AEE E AEA EAEAN AA BT EEA ep Er BENENNEN engere TED DEF ENTF REFERENT EF EFF EN FERIEN EEF EEE FREE FERIEN FERNE FEUER REFERENT EE EE Im im NF Mite im Im n Im Um Zn Im 10 2 Um IN IR DEI ine m Im tit Zn ie um 2m Im Im Zu cm um on om
202. ellen Sie k nnen im Internet diverse Filter Signaturen downloaden Achten S e bei dem Download jedoch darauf dass diese Informationen aus vertrauensw rdigen Quellen stammen Sie finden hier eine bersicht ber ISA Server 2004 HTTP Filter Signaturen Eine bersicht ber typische Applikations Signaturen finden Sie hier Wichtig Per Default scannt der Webfilter nur die ersten 100 Bytes im Request oder Response Body S e k nnen den Wert erh hen Beachten S e dabei allerdings dass die Performance des Servers darunter leiden kann Ergebnis einer geblockten Verbindung durch den HTTP Filter 27 Erkl rung Die gew nschte Seite kann nicht angezeigt werden Yersuchen Sie Folgendes Aktualisieren der Seite Suchen Sie die Seite erneut indem Sie auf die Schaltfl che Aktualisieren klicken Die Zeit berschreitung ist ggf aufgrund einer Internet berlastung aufgetreten e berpr fen der Schreibweise berpr fen Sie ob Sie die Adresse der Webseite richtig eingegeben haben Gof haben Sie sich bei der Adresse verschrieben Zugriff von einem Hyperlink Wenn es einen Hyperlink auf die gew nschte Seite gibt versuchen Sie ber diesen Hyperlink auf die Seite zuzugreifen wenden Sie sich an Ihren Administrator oder ans Helpdesk wenn Sie die angeforderte Seite immer noch nicht anzeigen k nnen Technische Informationen fir Supportpersonal e Fehlercode S02 Proxyfehler Die Anforderung wurde vom HTTP Filter zu
203. emrichtlinien k nnen nicht gel scht werden Es k nnen auch keine Weiteren erstellt werden Sie k nnen jedoch Systemrichtlinien deaktivieren oder in begrenztem Umfang anpassen Um den Umfang zu erweitern sollten Sie eine zus tzliche Firewallrichtlinie erstellen was anhand des Beispiels Ping erl utert wird Sie sollten diese Systemrichtlinien in das Firewallkonzept mit einbeziehen und an die individuellen Bed rfnisse anpassen 175 Ein und Ausgehende ping Anfragen konfigurieren Die Informationen in diesem Artikel beziehen sich auf e Microsoft ISA Server 2004 Im Artikel Systemrichtlinien wurden zwei Systemrichtlinien Nr 10 und 11 vorgestellt die bestimmte ICMP Verbindungen von und zum ISA Server zulassen Diese ICMP Verbindungen ICMP Code 0 ICMP Typ 8 werden durch das Kommandozeilentool ping verwendet um die Erreichbarkeit entfernter Computer zu berpr fen Im Auslieferungszustand sind folgende ping Anfragen zugelassen e Von Computern des Computersatzes Remoteverwaltungscomputer zum ISA Server e Vom ISA Server in alle Netzwerke FR Name A Protokolle Won Listener Nach iW 10 ICMP PING Anforderungen von ausgew gu Ping 4 Remoteverwaltungsco 4 Lokaler Host el i 11 ICMP Anforderungen vom 154 Server an go ICMP Informationsanforderung 4 Lokaler Host de Alle Netzwerke fund lokaler Host ii ICMP Zeitstempel Di Ping Diese beiden Richtlinien sollten im Normalfall zu Diagnosezwecken ausreichen
204. en Arteni Mir nee Zugrillerogel xj Soe ennen che Reel sul Aranan vor aler Barain aae Sn henner den Zuge abet auch auf behets Borutta enscht nken 1 Diese Reel bett dinfonderunger von folgenden fl enutzernitzen Klicken Sie auf Neu Be Bentsen Hinzul gen saree Im Assistenten f r Benutzers tze vergeben Sie einen Namen f r den neuen Benutzersatz Assistent l r peue Benubzers lse Willkommen Me deter deena bonnen Se enmen near Benuinertals either Em Derzeit il ame Gruppe wor Eienuitem Dari sowohl sls auch Machi maB erara gt B RADIUS de zusammen Wenn Sie Wiahrerollanibehungs Probokol ured Clg lchtireenwegedn erteilen k nnen Set de Aega ad mehen SHD aren Beputrersalm amne fap Ure water LAS Kbcken Se auf Wieder um den Vorgang Jorlzusetzen Assdakent hir neue ieee Eenuton Wahlen Se f eia aun die m Beruizercel eriha en pen vollen Der Namespace ist RADIUS Als Benutzername stehen zur Wahl 74 e Alle Benutzer im Namespace entspricht der Gruppe JEDER der Active Directory Dom ne e Angegebener Benutzername entspricht dem Active Directory Benutzernamen Benutzer hmzufigen ES Namespace RADIUS Benutzemame U Angegebener Benutzername a _ Abbrechen Wir w hlen Alle Benutzer im Namespace Das Regelwerk ist fast fertig W hlen Sie jetzt noch den neu erstellten Benutzersatz aus und best tigen Sie die neu erstellte
205. en bernehmen Sie die Einstellungen mit OK 206 Eigenschaften von Rpc Ed virtuelles Verzeichnis Dokumente Verzeichnissicherheit HTTP Header Benutzerdefinierte Fehler Authenkifizierung und Zugriffsteuerung Aktivieren Sie anonymen Zugang und bearbeiten Sie die Authentifizierungs methoden f r diese Ressource Einschr nkungen f r IP Adressen und Dom nennamen gew hren oder verweigern Sie den Zugriff auf diese Ressource ber IP Adressen oder Internetdamanennamen Bearbeiten Sichere Kommunikation Setzen Sie sichere kommunikation Soe voraus und aktivieren Sie Server Zer Lillies Clientzertifikate beim Zugriff auf diese ee Zertifikat anzeigen Bearbeiten M 128 Bit Yerschl sselung erforderlich Clienkzertifikake Clientzertifikate ignorieren C Clentzertifikate akzeptieren Clentzertifikate voraussetzen Zuordnung von Clientzertifikaten aktivieren Clientzertifikate k nnen Windows Benutzerkonten zugeordnet werden Dies erm glicht eine Steuerung des Zugriffs auf Ressourcen mit Clientzertifikaten Bearbeiten Abbrechen Hilfe 207 Wahlen Sie Sicheren Kanal voraussetzen SSL aus um nur SSL Anfrage zu zulassen Optional kann eine Verschl sselungsst rke von 128 Bit gefordert werden 2 1 Konfiguration der Ports f r die Kommunikation des RPC ber HTTP Proxys Hinweis Folgende Schritte sind nicht not
206. en Verwandte Aufgaben AF Protck leusammeniassung anpassen Durch einen Doppelkick auf den Berichtsnamen Gesamtstatus ffnet sich nach kurzer Zeit der Webbrowser mit einem detailliertem HTML Report usammenfassung Top Websrbes Protokolle an i Da folgenden Kommunksbansproiskolle wurden sum Transporber n von Neizwerkdstenverkehr ber den SA Server nnechsh des Tach om Berichtszeitraums verwendet Protokolle die den meisten Datenverkehr verwendet haben werden zuerst aufgef hrt Dieser Bencht enthalt aver Web und Nocht Webdatenverkehr ebnutzung Top Websites Hep Eros pie an Peg nd utz j nwendungsnutzung lt iiss Diiira Too Ame ne a Hetis Surg Top zisla me ER atenverkehr amp Auslastung Protokolle Microsoft CFS TOP Tite Air J Cachelaisteng sf nity ease Anforderungen I E Protokollierung Der Reiter Protokollierung zeigt den Datenverkehr von und zum ISA 2004 endlich in Echtzeit an Uber sehr umfangreiche Filter besteht die M glichkeit die angezeigten Protokolldaten zu modifizieren 309 Auch hier besteht wieder die M glichkeit durch einen Rechtsklick auf eine Spalten berschrift Spalten hinzuzuf gen und zu entfernen 11 03 20 HTTP ribtiewte Yerbindung 11 08 2004 Bu heto Zupelassene warband EDW daf Aes 11 06 20 fa Fetp Tugelascene Verbindung EDY darf Ales 11 08 2004 Pen hetp Zugelassene verbindung EW darf Alles L108 2004 2 eu hekp Tinlassene w
207. en um dieses Programm von dem Computer zu entfernen Mee Programme hinzuf gen aig Microsoft Gruppenrichtlinien Verwaltungskonsole Grote 11 75 ME ja windows Server 2003 Hotfix KB 819696 ja Windows Server 2003 Hotfix KB 822132 ja windows Server 2003 Hotfix KB 822742 it B d Dins use E windows Server 2003 Hotfix KB 822743 hinzuf gen entfernen 19 windows Server 2003 Hotfix KB 822744 6 windows Server 2003 Hotfix KB 822745 ja windows Server 2003 Hotfix KB 822925 ja windows Server 2003 Hotfix KB 823559 ffnen Sie hierzu die Softwareverwaltung ber Start gt Programme gt Systemsteuerung gt Software und klicken auf Windowskomponenten hinzuf gen entfernen 201 Assistent f r Windows Komponenten E4 Windows Komponenten Windows Komponenten konnen hinzugef gt bzw enthernt werden klicken Ste auf die Kontraollkastchen der Komponenten die hinzugef gt bzw entfernt werden sollen Grau gef llte K stchen kennzeichnen Komponenten die nur zum Teil installert werden Klicken Sie auf Details um die Unterkomponenten anzuzeigen Komponenten es Faxdienste 222 MWB CI GP Indexdienst OOMB 5 a Netzwerk dierste 2 6 MB m a Aemoteinstallationsdienste 2 0 ME Beschreibung Enth lt eine Vielzahl an spezialisierten netzwerk bezogenen Diensten und Protokoller Erforderlicher Speicherplatz 4 1 ME Details 4126 5 ME _ Yerfugbarer Speicherplatz lt Zur ck
208. en Auftrag Zurich Abbrechen te ie Assistent zum Hinzuf gen eines Inhaltdownloadauftrags l x Inhaltzwischenspeicherung Legen Ste fest welcher Inhalt zvischengespeichert werden soll und wie lang ein Objekt im Cache gespeichert wird bis es abl uft Cacheinhalt ro Wenn Quell und Anforderungsheader wischensperchern indizieren bzw wenn der Inhalt denamisch ist dann wird der Inhalt zwsschengespeichert Inhalt wird zwischengespeichert wenn der Quell und Anforderungsheader dies indizieren Gultigketsdauer Inhalt J uft gem der Cacheregel ab C G ltigkeitsdauer festlegen falls diese nicht in der Antwort definiert ist G ltigkeitsdauer des Objekts au er Kraft setzen Ubertragene Objekte mit never B ltigkeitsdauer markieren in Minuten BE Gultgk eitzdauer ist die et die Inhalte im Cache verbleiben bevor sie ablaufen Zurich Abbrechen Um die G ltigkeitsdauer TTL f r ein Objekt au er Kraft zu setzen aktivieren Sie das Kontrollk stchen G ltigkeitsdauer des Objekts au er Kraft setzen Um die G ltigkeitsdauer f r ein Objekt vorzugeben wenn keine G ltigkeitsdauer definiert ist aktivieren Sie das Kontrollk stchen G ltigkeitsdauer festlegen falls diese nicht in der Antwort definiert ist Um eine bestimmte G ltigkeitsdauer f r gedownloadete Objekte zu konfigurieren geben Sie unter bertragene Objekte mit neuer G ltigkeitsdauer markieren in Minuten Anzahl eine G ltig
209. en Netzwerke angewendet werden soll Firewallrichtlinie ausw hlen Beschreibung Erstellt eine Standardregel die den Zugriff auf alle Netzwerke verweigert Sie k nnen nachfolgend Firewallrichtlinienregeln erstellen die es Webclients erm glichen auf Webinhalk im Internet zuzugreifen und das Zwischenspeichern konfigurieren um die Webleistung zu beschleunigen verwenden Sie diese Option wenn auf dem Computer mit 154 Server ein einziger Netzwerkadapter installiert ist lt Zur ck Abbrechen Abschlie end wieder die gewohnte Zusammenfassung 30 Netzwerkvorlagen Assistent 3 x Fertigstellen des Assistenten Der Netewerkvorlagen Assistent wurde erfolgreich abgeschlossen Das Netzwerk und die Firewall und Systemrichtlinienregeln werden wie Folgt konfiguriert Folgende Netzwerke erstellen al Intern 0 0 0 1 126 255 255 255 125 0 0 0 255 250 255 204 Folgende Sicherheitsrichtlinie bernehmen Standardwebproxy und zwischenspeicherkonfigure Netzwerkregeln Wird im Debailbereich f r die Netzwerkregel angezeic Klicken Sie auf Fertig stellen um den Yorgang abzuschlie en lt Zur ck Fertig stellen Abbrechen Bevor die nderung wirksam wird muss wie gewohnt erst der bernehmen Knopf gedr ckt werden Sed rity amp Acceleration Server 2004 Standard Edition bernehmen verwerfen Das Netzwerkmodell hat sich wie folgt ge ndert Netzwerke E
210. en Sie auf Weiter um den Yorgang fortzusetzen gur ck Abbrechen Die erste Seite des Ass stenten verlangt wie immer die Eingabe eines Regelnamens Hier sollte wie immer ein sprechender Name eingetragen werden 314 Assistent f r neue Konnektirit tsrerifizierung a i 7 x Konnektivitatsverifizierungsdetails Geben Sie den zu Oberwachenden Computer dessen Konnektivit sgruppe und die Yerifizierungsmethode an Yerbindungsdetails Konnektivit t zu diesem Server bzw URL berwachen mail msisafag de Durchsuchen zur Kategorisierung dieser Konnektivitatsyverifizierung Andere verwendeter Gruppentyp Yerifizierungsmethode HTTP GET Anforderung senden C Pinganforderung senden TCP verbindung ber diesen Port starr ed Zur ck Abbrechen In den Verbindungsdetails kann man entweder einen FQDN oder eine IP Adresse des zu berwachenden Systems angeben Ebenso kann mittels der Durchsuchen Funktion ein Ziel m AD ausgew hlt werden Im oberen Beispiel soll die Verf gbarkeit des externen Mailservers berpr ft werden Beim Konfigurieren einer Konnektivit tsverifizierung f r einen Server kann diese in eine der folgenden Gruppen eingestuft werden Active Directory DHCP DNS Ver ffentlichte Server Web Internet und Andere Der Servergruppenstatus wird in der bersichtsansicht Dashboard angezeigt 315 Assistent f r neue Konnektivitatsyerifizieru
211. en am ISA Server zur Ver ffentlichung der WPAD Informationen WPAD Informationen k nnen f r jedes interne Netzwerk individuell festgelegt werden In den Eigenschaften des internen Netzwerkes ISA Verwaltungskonsole gt Servername gt Konfiguration gt Netzwerke gt Netzwerkname gibt es die Registerkarte Automatische Erkennung 115 Eigenschaften von Intern q xl Allgemein Adressen Domanen Webbrowser Automatische Erkennung Firewallcient Webproxy S4 Server bietet Informationen uber die automatische Erkennung tur Firewallclents und Webproxychents die W PAD Web Proxy Auto Discover Protokoll in QHOP oder DNS verwenden Vernvenden Sie die unterstutzten Funktionen wie z B einen DHS oder DHCP Server um 154 Server Informationen zu verotfentichen Pe err rrr Hilfe uber automatische Erkennung Pewee ene M Informationen f r die automatische Erkennung ver ffentlichen Diesen Port f r automatische Suchanforderungen fen verwenden Aktivieren Sie die Einstellungen fur die automatische Erkennung auf der Registerkarte Firewa llclient um Firewallchente fur die Verwendung der automatischen Erkennung zu Konfigurieren Abbrechen bernehmen Der Port kann auch ge ndert werden wenn er z B durch den IIS belegt ist Der Port 80 bei t sich hier nicht mit dem Port f r ausgehende Webanfragen 2 Konfiguration der DNS Einstellungen In der internen DNS Zone muss ein CName Reco
212. en die Anwender m glichst wenig in ihrer t glichen Arbeit behindert werden Folgende Anlagen sind prinzipiell als gef hrlich einzustufen acm bas bat bin chm cmd com cla class cpl crt drv exe fon fot dll hta ini inf ins Sp Js Jjse nk mpd Windows Systemdatei msi Windows Installationsdatei Visual Basic Klassenmodul msp Windows Installationsdatei Batchfile mst Visual Source Datei Bin rdate OCX OLE Steuerungsdatei Kompilierte Hilfe Datei otm VBA Projekt Datei Windows Kommandoscript ov Programm Overlay Datei Ausf hrbare Datei pif DOS Programminformation Java Applet pl Pearl Script Java Applet reg Registrierungsdatenbankdatei Systemsteuerungsanwendung scr Bildschirmschoner Zertifikat Sct Explorer Kommandodatei Ger tetreiber sct Windows Scriptingkomponente Ausf hrbare Date shb Document Scrap Objekt Schriftart shs Shell Scrap Objekt Schriftart SYS Systemdatei Dynamische Link Library tlb Typ Bibliothek HTML Anwendung url Internetverkn pfung Einstellungsdatei vb VBScript Date Installationsdatei vbe VBScript Encoded Datei Internetkommunikationseinstellungen vbs VBScript Datei Internetkommunikationseinstellungen v d Virtueller Geratetreiber JScript Datei WS Windows Scriptingdatei JScripe Encoded Datei WSC Windows Scripting Komponente Verkn pfung Shortcut wst Windows Scriptingdatei Miniport Ger tetreiber wsh Windows Scripting Einstellungen 81
213. en vorhanden Datei Bearbeiten Ansicht Favoriten Extras 7 Eeg gt Nee i u Suchen gt Ordner Br a x if B Adresse Dokumente und Einstellungen Administrator MSISAFAQDesktopiisainfo wechseln zu OF 0S 2004 11 36 S2KB JScript Skriptdatei OF 08 z004 11 35 SKB Textdokument 07 0S 2004 09 41 e Readme txt enth lt neben den rechtlichen Hinweisen und Nutzungsrechten eine kurze Beschreibung der ISAInfo Dateien e ISAInfo js istdas Tool zum Sammeln der ISA 2004 Informationen Es ist nicht mit ISA Server 2000 lauff hig Daf r steht eine eigene Version zur Verf gung Starten Sie das Tool vom ISA Server aus Sollte der Windows Scripting Host nicht installiert sein starten Sie das Tool mit cscript isainfo js Durch den Export wurden zwei neue Dateien angelegt 150 o ISAInfo2004 MachineName xml Dieses File beinhaltet alle ISA Konfigurationsdaten erzeugt durch die ISA Backup Routine sowie dar ber hinaus gehende Informationen ber die Maschine und die Netzwerkkonfiguration o ISAInfo2004 MachineName log Diese Log Datei enth lt ein Protokoll aller durchge hrten Aufgaben von ISAInfo 7js sowie etwaige Fehlermeldungen e ISAInfo hta ist ein Frontend um die XML Date ISAInfo2004 MachineName xml lesbar darzustellen Ausserdem kann damit jede Export oder Backup XML Datei des ISA Server 2004 dargestellt werden Zu Support Dokumentations und Vergleichszwecken f ge ich hier ein Logfile an KEKE KE K K KE E ee E KE
214. enden Bild sehen Sie die M glichkeit das Protokollspeicherformat auszuw hlen 339 Eigenschaften von Firewallprotokollierung 32 xj Protokollierung Felder Frotokallspeicherformat ausw hlen f MSDE Datenbank Optionen Namensformat ALOG yayyyoinodd FS nnn mdf Datei Optionen Mamensformat ISALOG yayyyninidd FS nnm wac Format C SQL Datenbank ODEC Datenguellen TE name DSN Erweitertes WIC Protokolllerungsdateiform t Y Tabellenname Tabellet Dieses Konto verwenden oo W Protokollierung f r diesen Dienst aktivieren kanta testeden Aktivieren Sie im Systemrichtlinien Editor die entsprechenden Remoteprotokollierungs konfigurationsgruppen um ein Protokoll remote in einer Datei oder SQL Datenbank zu erstellen Abbrechen bernehmen Achten Sie darauf dass der Haken bei Protokollierung f r diesen Dienst aktivieren aktiv ist Wenn dieses Kontrollk stchen nicht aktiviert ist werden keine Ereignisse protokolliert S e k nnen f r die MSDE Datenbank diverse Optionen konfigurieren Es besteht die M glichkeit den Ort der Protokolldatei anzugeben Dateispeicherlimits festzulegen und eine Akt on zu definieren welche Akt on beim Erreichen des Protokollgr enlimits durchgef hrt werden soll Die maximale Protokolldateigr e bei der Verwendung der MSDE betr gt 8 GB Insider sehen hier schon dass es sich nicht um die Standard MSDE handelt deren Gr e auf maxi
215. enfassung des Weblisteners angezeigt Assistent f r neue Mailserver Yer ffentlichungsregeln x Weblistener ausw hlen Der Weblistener bestimmt die IP Adressen und den Port auf dem der ISA Server Computer auf eingehende Webanforderungen abh rt Wweblistener Weblistener IF 172 16 1 50 Formsbased r Bearbeiten Listenereigenschatten Eigenschaft Fork HTTPS5 Zertifikat exchange meinedom Authentifizierungsmethoden Integriert Immer authentifizieren Hein as Der ausgew hlte Listener wurde nicht F r die Yerwendung von formbasierte J Ow A Authentifizierung konfiguriert Zur ck Weiter gt Abbrechen Andern Sie die Authentizierungsmehtode von Integriert auf die Formularbasierte Authentifizierung ber den Button Bearbeiten 253 Eigenschaften von Weblistener IP 172 16 1 50 Formsbased Ed xj TTP Ports bernehmen ffnen Sie die Authentifzierungsmethoden ber den Button Authentifizeriung 254 Authentifizierung x Geben Sie die Authentifizierungsmethoden und einstellungen an die f r die Authenkifizierung von Clients die eine Verbindung mit dem 154 Seryver Computer herstellen verwendet werden sollen Hilfe ber Authentifizierung C Digest E Integriert O Standard u P SSL Zertifikat OWA Forms Based Aktiviert Formularbasierte Cookie u weg feeb z d Authentifizierung ist f r alle Benutzer erforderlich M GQuthentiFizi
216. entries for the event log messag Looking for ISA installation path setting RQS Authenticator value under HALAS ysten LurrentGontrols5et S5ervices Rgs Updating firewall policy Adding KGS protocol definition Creating R S access rule From Quarantined UPN clients and UPN Clients to local host protocol R s Starting the RQS service The script successfully installed RQS for ISA Server 2004 Erstellter ROS Dienst auf dem ISA Server 2004 dianae Ranie Erm glicht einem subcriseten Benutzer an einem anderen Computer suf diesen Computer mt Nebbieeting ber Ceskinaert Lokales Syst Tig etvrorl Ma Tran Tarp art Meier raten Cer de Ble eer k Dasima Lokma Sah l iA Network CARN i Tre Service Can be weed bo ia 4 Cae VP C BAG TEAN for a Pouki and Remote Access See Gere Aukaat Loke Fr Ra hetrwerk DOE Dierst Erm g cht heter apat und Schere f r den dynamischen Datenaustausch O06 won Progreanmen de Desist Lokal Sua Cha hetzwerk DDE Sar n erent EAH en na Data Eschsige nasser Dabei Wars deter Den Desiri Loka Sah f ee ee T E Bae im ee ae ee ll a nl ah RT er ee ee ene E ne ah TE ln nn Eaka Bi mim E nn ee ee Erstellte Firewall Regel fur RQS A Marto Akbion Protokolle Yon f Lishener Nach noe Network Quarant 9 zulassen bL ROS 4 Quarankanen VPN Clents Lokaler Host F Ale Benutzer I VPN Chents Aktivieren des Quarantine Control Features auf dem ISA Server 2004 Starten Sie die ISA Ver
217. enutzergruppe einschr nken Assistent f r neue Mailserver Yer ffentlichungsregeln l x Fertigstellen des Assistenten Micrasoft Internet Secu rity amp Der Assistent f r eine neue Acceleration Server2004 Mailserver Ver ffentlichungsregel wurde erfolgreich abgeschlossen Die neue Mailserver Wer ffentlichungsregel wird wie Folat kanfiauriert Mame st Outlook Webccess Formsbased Authentification Site exch srv 1 meinedomain local ffentlicher Mame 4ngegebene eingehende Mamen Listener Weblistener IF 172 16 1 50 Formsbased angenommene Benutzersatze Alle Benutzer a Eu Klicken Sie auf Fertig stellen um den Yorgang abzuschlie en lt zur ck Fertig stellen Abbrechen Zum Abschluss bekommen Sie eine Zusammenfassung der Ver ffentlichungsregel angezeigt 258 Firewallrichtlinie Y R Name Aktion Protokolle Yon f Listener Nach Bedingun bi HTTPS La webliste al exch srv1 meined hie Alle Benutzer all 1 Outlook Webccess Formsbased Authentification zulassen Listener ffentlicher Name Pade Bridging Benutzer Zeitplan Linkubersetzung Allgemein Aktion Yon Bis Datenverkehr Geben Ste den Namen oder die Netzwerkadresse des zu veroffentlichenden Servers an Server exch srv meinedomain loca Durchsuchen M Ursprunglichen Hostheader anstelle des aktuellen oben angegebenen weiterleiten Hilfe uber Hostheader Anforderungen
218. er 0 Server apollo MS Fr Dienste SOL Serwer 22000 Dienste aktualisieren p Staten weiter E Beenden M Dienst bei Betiebssystemstart automatisch starten Ind ausgetuhrt SW poloM SF MSSOLS ernver Anschlie end kann man durch Dienste aktualisieren den SQL Serverdienst ausw hlen und das Fenster schlieBen K nftig erscheint das Trayicon mit der Statusinformation Fd Ih 02 46 158 Erstellen einer Firewallrichtlinie am Beispiel von POP3 Die Informationen in diesem Artikel beziehen sich auf e Microsoft ISA Server 2004 Im Artikel Firewallrichtlinien wurde beschrieben was Firewallrichtlinien sind und wie sie funktionieren In dem vorliegenden Artikel wird die Erstellung einer solchen Richtlinie anhand einer Beispielkonfiguration beschrieben und gezeigt Ausgangssituation Benutzerin Birgit soll w hrend der Arbeitszeit 09 00 12 00 und 13 00 17 00 Uhr und auch w hrend der Mittagspause 12 00 13 00 Uhr mit ihrem Outlook von ihrem fest zugewiesenen Arbeitsplatzrechner von einen im Internet stehenden Mailserver per POP3 Mails abholen k nnen Erinnern wir uns an die Leitregel f r die Firewallrichtlinien Aktion f r Verkehr von Benutzer aus Quelle zu Ziel mit Einschr nkungen In diesem Beispiel gilt e Aktion zulassen e Verkehr POP3 e Benutzer Birgit e Quelle Birgit s Computer e Ziel POP3 Server des Providers e Einschr nkungen Arbeitszeit und Mittagspause Mit de
219. er 2004 installieren Migrationshmandbuch anzeigen Beenden 2004 Microsoft Corporation Alle Rechte vorbehalten Einen Blick in die Anmerkungen bzw ins Benutzerhandbuch zu werfen schadet nie F r die Installation der Testversion bitte ISA Server 2004 installieren ausw hlen Nach dem akzeptieren der Lizenzbedingungen EULA und der Eingabe der Produkt ID kommt man zu folgendem Auswahlfenster iz Installations Assistent f r Microsoft ISA Server 2004 x Sekup Typ W hlen Sie die Installationsart die den Anforderungen am besten entspricht Typisch Lal Die Hauptprogrammfunktionen werden installiert Dies erfordert i ungef hr 27MB Speicherplatz Cachezuweisung ist nicht enthalten C Yollst ndig A Alle Programmfunktionen werden installiert Erfordert am meisten fic Speicherplatz 1 Benutzerdefiniert Legen Sie fest welche Programmfunkkionen installiert werden solen F r Fortgeschrittene Benutzer empfohlen CProgrammeimlicrosoft 154 Serveri ndern lt Zur ck Weiter gt Abbrechen iif Installations Assistent f r Microsoft ISA Server 2004 Benutzerdefinierte Installation Wahlen Sie die zu installierenden Programmfunkkiorien aus Klicken Sie auf ein Symbolin der Liste um die Installationsart der Funktion auszuw hlen Sr Firewalldienste ANNE SE Erweiterte Protokollierung oie ISA Server verwaltung rn X Installatior sfreigabe f r Firewallclient X Nach
220. er Eintrag in der Hosts Datei auf dem ISA Server vorgenommen werden 212 Assistent f r neue SSL Webrer ffentlichungsregel i x Details des ffentlichen Namens Geben Sie den ffentlichen Dom nennamen FORM oder die IP Adresse an die Benutzer eingeben sollen um die ver ffentlichte Site zu erreichen Anforderungen annehmen f r Diesen Dom nennamen unten eingeben Nur Anforderungen f r diesen ffentlichen Namen oder diese IP Adresse werden an die ver ffentlichte Site weitergeleitet Beispiel wam microsoft com ffentlicher Name exchange meinedomain de Pfad optional frp Auf Grundlage Ihrer Auswahl werden Anforderungen akzeptiert die an diese Site Hostheaderwerk gesendet werden Site https exchange meinedomain defroc Zur ck Abbrechen Sie m ssen angeben unter welcher URL ihr Exchange Server von Extern zu erreichen ist Der Pfad wird automatisch bernommen 3 2 Erstellung Konfiguration eines Weblisteners 213 Assistent f r neue SSL Webrer ffentlichungsregel i x Weblistener ausw hlen Der Weblistener bestimmt die IP Adressen und den Port auf dem der ISA Server Computer auf eingehende Webanforderungen abh rt Weblistener Meee Listenereigenschatten He Eigenschaft Zur ck Abbrechen Erstellen Sie ber den Button Neu einen neuen Weblistener Assistent f r neue Weblistenerdefinition x Wilkommen Microsoft Interne
221. er Host 169 VPN Clientdatenverkehr 2 zu ISA Eer zulassen EuuumenunEGumEEnmNEEEmEEEmEEEEEEENEEEEEEEEEENNEENEEENNENEENENNENENEEEEEERNEENERERNENEEEENEEENEEENENENENENENENNEENENENEEENEEENENENEEENERHNNEENENENNEENENENENENENENENENNEENEEENEERENNNERNENENBENENENEEENENENNEENENEEENENENENENENEEENENERENENENENENENENENENENEEENENENENENENEEEEENERERENENNEEENEEREEEREEEEEEENENRERENERNEEEENERNEEREEEENEENENEREBENNERENEENNEEREEEE amp BiHrte zugriff von vertrauenswordigen Computer auf die e oy NetBics Daaa HTTP HTTPS von I54 Server an e e Micra MS Firewallsteuerung Kommunikation mit ausgeva Hinweis I_PP Anforderungen vom 154 Server an ausgew VPN Standort ZU ee Datenverkehr zum ISA A YPN Standort zu Standort Dakenwerkehr wom ISA Microsoft CIFS Protokoll vom I54 Server an wertra Remote berwachung Yon ISA Server auf vertraue gesamten HTTF Batsnusrkabe vom ISA Server af on ICMP Informationsanforde ire ICMP Zeitstempel 2 LY Microsoft CIFS TCP LI Microsoft CIFS UDP 9 Ei Microsoft SQL TCP oa Microsoft SQL UDP Li HTTPS 3 U Microsoft CIFS TCP Hy Microsoft CIFS UCF NetBios Datagramm MetBios Mamendienst A ets reuna MetBios Mamendienst A 4 NetBios Sitzung 5 U NetBios Datagramm Ei NetBios Narnendienst a MetBios Sitzung A ia is SecurID SecurID D Authentifizieruna v von ISA Server ani a ventr m 1 ba 3 Microsoft Operations Mana T l 9 ba HTTP EE
222. er Optionsname WPAD mit folgenden Daten eingerichtet werden Datentyp Lader WPAD nformatonen veroffentlichen Nachdem der Optionsname erstellt wurde wird er auch verwendet 118 Yordefinierte Optionen und Werte re Optionsklasse DHCP Standardoptionen Optionsname foe wW PAD Hinzufugen Bearbeiten L schen Beschreibung wrap Informationen verottenthchen wert Zeichenfolge Jhttp wpad wpad dal Abbrechen Als Zeichenfolge wird der Pfad zum ISA Server eingetragen Wurde ein entsprechender DNS Eintrag erstellt und der Port im ISA auf 80 belassen reicht obiger Eintrag aus Der Einzutragende Name hat grunds tzlich das Format http Computername AutoDiscoveryPortNummer Wpad dat wobei Computername den vollqualifizierten Dom nennamen des ISA Server Computers und AutoDiscoveryPortNummer d e Portnummer darstellt auf der d e Informationen f r die automatische Suche ver ffentlich werden Dieser Port stimmt entweder mit der Portnummer f r ausgehende Webanfragen oder einem zus tzlichen Port berein der f r die Ver ffentlichung der automatischen Suche verwendet wird Als n chstes muss die soeben erstellte Option auch verwendet werden Je nach DHCP Konfiguration kann das n den Server oder n den Bereichsoptionen eingestellt werden B Ba DHCP panther msisafag de 192 168 5 1 pim Bereich 192 168 5 0 interner DHCP ji Adresspoal be zer Adressleases a d
223. erden Im folgenden Beispiel wird die Default Domain Policy verwendet Beschreibung gelverbindungseinstellungen Einstellungen f r Yerbindurge Automatische Erowserkonfiguration Einstellungen f r automatisch SR z Richtlinien f r Default Domain Policy vnni w Acan H E Computerkonfiguration El Benutzerkonfiguration H E Softwareeinstellungen l A Windows Einstellungen Internet Explorer Warkung Ha Benukzeroberfl che des Bre verbindung yeinstellunger Einstellungen f F r Proxy esse nn Einstellungen f r den Benik 4 Sicherheit a Programme f Skripts tAnmeldenl Abmelden Sicherheitseinstellungen 1 Remoteinstallationsdienste E a Ordnerumleitung Col e A desinicke ski un harlan Um einen Proxyserver einzutragen muss die Richtlinie Proxyeinstellungen angepasst werden 42 Proxyeinstellungen i 2 x Froxpeinstellungen Falls die Benutzer die Yerbindung ber Proxyserver herstellen sollen geben Sie diese hier an Verwenden Sie das Semikolon als Trennzeichen iY Proxyeinstellungen aktivieren Ausnahmen Proxyserver F r Adressen die wie Folgt beginnen keinen Proxyserver verwenden Froxyvadresse Anschluss 1 HTTP 192 168 9 1 e080 gt Secure 192 168 9 1 e080 3 FTP 192 168 9 1 3080 4 Gopher 5 Socks 192 168 9 1 1080 F r alle Adressen den selben Proxyserver verwenden
224. erfen Anschlie end reagiert der ISA Server auf ping Anfragen aus dem Externen Netzwerk cy C WINDOWS system3 7 cmd exe Microsoft Windows KP Version 5 1 2660 CCG Copyright 1785 26061 Microsoft Corp F gt ping 192 168 69 86 Ping wird ausgef hrt fur 192 168 69 80 mit 32 Bytes Daten t von 192 168 697 680 Bytes 32 Zeit lt ims TTL 128 von 192 168 697 880 Bytes 32 Zeit lt ims TTL 128 von 192 168 697 880 Bytes 32 Zeittims TTL 128 Antwort von 192 168 697 868 Bytes 32 Zeittims TTL 128 Ping Statistik f r 192 168 697 488 Fakete Gesendet 4 Empfangen 4 Verloren B CO Verlust gt a Zeitangaben in Millisek Minimum Ems Maximum Bms Mittelwert Hms lb Erstellen einer neuen Firewallrichtlinie Das Erstellen einer Firewallrichtlinie wurde bereits in einem Artikel ausf hrlich erkl rt Daher wird hier nur die Zusammenfassung der neu erstellten Richtlinie gezeigt R Name 4 Protokolle Von Listener Nach Bedinguni e Eingehende ping Anfragen won extern beantworten Qui Ping Extern Lokaler Host w Alle Benutzer Die Protokolldefinition f r Ping ist in der Toolbox unter Infrastruktur zu finden Nachdem die nderungen bernommen wurde l sst sich der ISA Server von extern anpingen 180 ec CA WINDOWS system37 cmd exe Microsoft Windows RP Version 5 1 2600 CC Copyright 1995 2061 Microsoft Corp F gt ping 192 168 69 80 Ping wird ausgef hrt f r 192 168 697 880 mit 32 By
225. erfugbar sind herstellen Betriebssystem Eine der folgenden Komponenten steht in Konflikt mit dem Komponentenkonflikt Betriebssystem IP Netzwerkadress bersetzung Editor NAT Gemeinsame Nutzung der Internetverbindung ICS oder Routing und RAS RRAS Zu gro es UDP Paket Ein UDP Paket User Datagram Protocol wurde von ISA Server verworfen da es gr er als die im Registrierungsschl ssel maximal zugelassene UDP Paketgr e ist Es wurde ein POP Puffer berlauf Post Office Protocol festgestellt nderungen des Quarant nen Ein Benutzer wurde aus dem Quarant nen VPN Clientnetzwerk VPN Clientnetzwerks entfernt In der Standardeinstellung ist dieser Alarm deaktiviert 325 Berichtszusammenfassungs Beim Erstellen der Berichtzusammenfassung aus den Erstellungsfehler Protokollierungsdateien ist ein Fehler aufgetreten Ressourcenzuweisungsfehler Ein Ressourcenzuweisungsfehler ist aufgetreten M glicherweise stand nicht gen gend Arbeitsspeicher zur Verf gung Routing verkettungs fehler ISA Server konnte die Anforderung nicht an einen Upstreamserver weiterleiten Routing verkettungs ISA Server hat die Weiterleitung an einen Upstreamserver wieder Auecerersie ung aufgenommen EIER wird RPC Filter Konnektivit t wurde Die Konnektivit t zum Ver ffentlichungs RPC Dienst Servername ge ndert wurde ge ndert Zus tzliche Schl ssel Serverver ffentlichungsfehler Die Serverver ffentlichungsregel wurde falsch konf
226. erk Um die Netzwerkvorlage einmalig einzurichten oder zu ndern gehen Sie in der ISA Managementkonsole auf den Knoten Netzwerke und w hlen n der Taskbar rechts unter Vorlagen die Einzelner Netzwerkadapter Vorlage aus _ 28 E Microsoft Internet Security amp Acceleration Server 2004 Datei Aktion Ansicht F Microsoft Internet Sect Wehen rity amp E hehe s P Netzwerke E berwech ng Acceleration Server 2004 14 Firewallrichtlinie DS virtuelle private E 3p koniu ton 154 Server wird als sekund re Verteidigung in einer kaskadierten Urmkreisnetzwerkkanfiguration verwendet verwenden Sie diese Option wenn zwei Firewalls zwischen dem gesch tzter internen Netzwerk und dem Internet verwendet werden Externes Netzwerk Internet Einzelner Netzwerkadapter 15 4 Server wird in einer Konfiguration mit einem einzigen Netzwerkadapter innerhalb des Umkreis oder des Firmennetzwerks verwendet In dieser Konfiguration kann 15A Server f r Webproxy Zwischenspeicherung Webvwer ffentlichung AS ET SEEN ROEHENEREHEHERRUNEESEGERGR und OWA Serververd frentlichung 4 Quarantanen PN C Di i verwendet werden 54 Server kann nicht er eee eee eee als Edgefirewall verwendet werden und 5 VPN Clients 7 Diesem Netzwerk sind zurze unterst tzt Folgendes nicht Paketfilterurg auf IF oder Transportebene VPN Serverver ffentlichung und Firewallclients Wie
227. erkdienste HTTP HTTPS Anforderungen Erlaubt bei konfigurierter vom ISA Server an ausgew hlte Server f r Konnektivit tsverifizierung 4IKonnektivit tsverifizierungen zulassen dem ISA Server Webseiten aus allen Netzwerken herunterzuladen 19 Firewallchient Zugriff von vertrauensw rdigen Wird ben tigt wenn der Computer auf die Firewallclient Installationsfreigabe Firewallclientinstallationsordner jauf dem ISA Server zulassen auf dem ISA Server als a Freigabe vorhanden ist Damit k nnen interne Clients darauf zugreifen 20 Remote berwachung Remoteleistungs berwachung Erlaubt allen Computern des von ISA Server von vertrauensw rdigen Servern Computersets Zulassen Remoteverwaltungscomputer NetBIOS Sitzungen zum ISA Server zwecks Leistungs berwachung herzustellen Diagnosedienste NetBIOS von ISA Server auf Der ISA Server darf NetBIOS vertrauenswirdige Server zulassen Anfragen Verbindungen zu allen internen Rechnern aufbauen Authentifizierungsdienste RPC von ISA Server auf ISA Server erlauben RPC vertrauensw rdige Server zulassen Verbindungen zum internen Netzwerk aufzubauen Diagnosedienste HTTP HTTPS von ISA Server an Erlaubt der angegebene Microsoft Fehlerberichterstattungs Sites Fehlerberichtsfunktion den Zugriff auf die Microsoft Fehlerberichtsseite watson microsoft com 21 22 23 24 Authentifizierungsdienste SecurID Wird ben tigt wenn der m Authentifizierung
228. ernehmen 129 Backup und Restore eines ISA Server 2004 Die Informationen in diesem Artikel beziehen sich auf e Microsoft ISA Server 2004 Das Backup der ISA Server Konfiguration sollte eine Selbstverst ndlichkeit sein zumal der ISA eine wesentliche und wichtige Komponente einer Netzwerkinfrastruktur darstellt Aus diesem Grund enthalt die ISA Verwaltungskonsole eine Sicherungs und Wiederherstellungsfunktion Damit k nnen die Konfigurationsdaten in einer xml Datei lokal oder auf einem Netzwerklaufwerk gespeichert werden Diese Sicherung enth lt jedoch nicht alle Daten die zur kompletten Wiederherstellung eines ISA Server Computers ben tigt werden sie sind lediglich ein Teil davon Alle allgemeinen ISA Konfigurationsinformationen werden gesichert Fiir die Wiederherstellung nach einem Systemausfall wird au erdem die Sicherung der gesamten Computerkonfiguration ben tigt Deshalb sollte ein regelm iges Backup der Systemdaten erfolgen Das ISA eigene Backup kann nicht automatisiert werden Die ISA Konfiguration sollte jedesmal vor und nach nderungen der Einstellungen durchgef hrt werden Die Sicherungs Wiederherstellungsfunktion kann NICHT dazu verwendet werden die Konfiguration eines ISA Servers auf einen anderen zu bertragen clonen Verwenden Sie dazu die Export Importfunktionalitat des ISA Servers 1 Backup Ld Microsoft Internet Security amp Acceleration Server Fig ieee Aktualisieren k T
229. ernen IP Adressbereich der Clients hinter dem Remote ISA Server angeben Standort Braunschweig BS ee Assistent f r neues Standort zu Standort Netzwerk Definieren Sie die IP Adiessen f r dieses Netzwerk Sie k nnen Fe aan San verkn pfte IP Adressbereiche und Geben Sie hier den Adressbereich ein IP Adressbereicheigenschaften Geben Sie zus tzlich noch die IP Adresse des externen Interface des Remote ISA Server an Diese Einstellung ist notwendig damit Web Proxy Clients auf das Netzwerk zugreifen k nnen T r Adressbereicheigenschaften Die Konfiguration ist beendet Sie k nnen den Assistenten fertig stellen 414 Assistent f r neues Standort zu Standort Netzwerk x Fertigstelen des Assistenten Microsoft Internet Security amp Der Assistent wurde erfolgreich abgeschlossen Das neue Acceleration Server 2004 Netzwerk wird wie folgt konfiguriert Name Standort BS Frotok oll LETFFSec Adressen BE 10 16 02 192 166 1 0 192 168 1 255 Bi eel ia ao Ste mussen weitere Konf gurationzschntte ausf hren damit Datenverkehr durch dieses Netzwerk weitergeleitet werden kann Hilfe uber weitere Konfigurationsschritte klicken Sie auf Fertig stellen um den Yorgang abzuschlie en uruck Abbrechen Schritte zur Netzwerkkonfiguration Damit neu erstellte Netzwerke Datenverkehr senden oder empfangen k nnen m ssen weitere Konfigurationsschritte durchgef
230. erren die von Windows ausf hrbaren Inhalt enthalten Diese Option blockiert s mtlichen von Windows ausf hrbaren Inhalt Antworten welche mit einem MZ z B EXE beginnen Der HTTP Filter erkennt hier brigens auch umbenannte EXE Dateien in z B DOC Dateien anhand des Dateityps Als n chstes k nnen Sie die zugelassenen HTTP Methoden konfigurieren HTTP Richtlinie f r diese Regel konfigurieren P x Allgemein Methoden Erweiterungen Header Signaturen Geben Sie die Aktion an die f r HTTP Methoden verwendet werden soll ngegebene Methoden sperren alle anderen zulassen Hinzuf gen Bearbeiten Enthernen Beschreibung Abbrechen Ubernehmen Beispiele fur HTTP Methoden GET Empfangt die spezifizierte URI HEAD Empf ngt nur den Header im URI POST Fragt den Server an die Informationen zu akzeptieren PUT Fragt den Server an die Informationen und den spezifizierten URI zu akzeptierenj DELETE Fragt den Server an die spezifizierte URI zu l schen 266 In diesem Beispiel blocken wir HTTP Anfragen mit der HTTP PUT Methode CI x HTTF Methode festlegen Methade PLIT Bei der Methode wird zwischen Grob und Kleinschreibung unterschieden 2 B POST Beschreibung optional Abbrechen Mit Hilfe des geblockten HTTP PUT k nnen interne Clients keine Daten mehr zu externen Webseiten posten Das kann s nnvoll sein um zu verhindern das sensit
231. ersionen der Firewallclientsortware ausf hren Hinweis Es wird empfohlen den Firewallcient f r 154 Server 2004 bereitzustellen da dieser neue Sicherheitsfunktionen enth lt Zur ck I mi Fool Abbrechen Hintergrund der Frage ist folgender Mit dem ISA Server 2004 verwendet der ISA Server eine verschl sselte Verbindung zum Firewallclient Damit kommen nat rl ch ltere Firewallclients nicht zurecht und k nnten keine Verbindung mehr aufbauen Zwecks Abw rtskompatibilit t kann auf d e Verschl sselung verzichtet werden a pae Bevor es dann wirklich mit der Installation losgeht kommt noch folgende Information 5 Installations Assistent f r Microsoft ISA Server 2004 s x Dienske W hrend der Installation werden einige Dienste die lokal auf dem Computer ausgef hrt werden eventuell neu gestartet bzw deaktiviert Wenn diese Dienste auf dem Computer ausgef hrt werden werden sie und Systemkoamponenten die davon abh ngig sind beendet SMMF Dienst 115 115 Yerwaltungsdienst Wenn diese Dienste auf dem Computer aktiviert sind werden sie w hrend der Installation deaktiviert Internetverbindungsfirewall ICF Gemeinsame Nutzung der Internetyerbindumg 125 IF Netzwerkadress bersetzung Zur ck Nach wenigen Minuten ist die Installation fertig gestellt Microsoft Internet Security amp Acceleration Server 2004 X Fertigstellen der Installation Microsoft s Internet Security
232. erst eine WLAN Karte eingesetzt und installiert werden Das Beispiel hier verwendet einen HP iPAQ 5450 mit integriertem Bluetooth und WLAN 449 Status 21 29 0 Access Point ID msisafaq Verschlisselung 126 Bit Hetzwerkbvp Infrastruktur Kanal 10 Ubertragungsrate 11 Mbitis Softwareversionen Software 4 0 1 21 Treiber 2 2 2 39 Firmware 0 90 5 149 Hardwarerevision 6 3 9 5 2002 MAL Adresse U0 02 54 43 95 BE IP Adresse 192 166 69 4 Bluetooth Nicht berall ist nat rlich ein WLAN HotSpot verf gbar Wer ein bluetoothf higes Mobiltelefon sein Eigen nennt kann damit eine GPRS Verbindung zum Internet aufbauen Mittlerweile d rfte jeder Netzanbieter Provider diesen Zugang zu ertr glichen Kosten anbieten Eine gute Anleitung zum Verbindungsaufbau ber GPRS gibt es z B auf der Seite http www pocket expert de Auf dieser Website finden Sie sehr viele n tzliche Tipps rund um den PocketPC 2 Einrichten einer neuen VPN Verbindung Uber Start gt Einstellungen gt Verbindungen gt Verbindungen kommt man zu folgendem Screen 422211 A Einstellungen zur automatischen Verbindung mit dem Internet T Mobile GPRS Verbinden Einstellungen zur automatischen Verbindung mit dem B ro Wsisataq r Die Netzwerkkarte verbindet mit Dem Internet 450 Sehen wir uns die Einstellungen von Msisafaq n her an Einstellungen f 72 07 ok Msisafaq
233. erung der Benutzer erfolgen muss und die Authentifizierungsmethode RADIUS ist Starten Sie dazu die ISA Verwaltungskonsole und navigieren Sie ber die Konfiguration zum Container Netwerke und wahlen dort das Netzwerkobjekt ntern aus und gehen in dessen Eigenschaften 70 Edgefirewall E mernet Neitmerk fEnteret W Extern F r die 15 4 Serrer Netzweerka A era ee dat dee Internet daria intern 23 198 9 200 0 192 9 200 254 Das Netzwerk dies das interne Netzwerk darstolt adhe Lokar Hiz Mit etem ebenen dnd ine Duet i dearie Netzwerkobjekt das den EA Sermer Computer charstelt ran Diesem Netzwerk sind zurzet k Deen wordefinierte Netzwerk das che Chentcomputer darstellt de cane verbar I en Digam Nettwerk and cornet bk Das vordehnerte dyraria Metiwerkoboekt das de erieou dart Klicken Sie auf den Reiter Webproxy und w hlen dort bei der zugelassenen Authentifizierungsmethode Aurhentifizierung aus Im nun erscheinenden Fenster w hlen Sie die Authentifizierungsmethode Integriert Standardmethode ab und klicken stattdessen auf RADIUS Eigensi haften von Intern E l zz Aut hentihizher L r aj x Allgemein Ademen Domanen Webbrowser Geben Se ch Authentierungsmethoden und einstelungen an de f r de Automatiche Erkennung Firemalichend Wiebprouy von Chents EAN DEE aloke DIE Zur RN tit CH Cece Hie ber uthertifiierung HTTP l fe HITP iien HTTP Peet 2080 SSL 7 SSL akive
234. erungen Header Signaturen Alle Header aulser dem folgenden zulassen Hinzuf gen Suchen in Bearbeiten Enthernen Le Serverheader urspr nglichen Header senden ndern in Viaheader Standardheader senden ndern in Abbrechen bernehmen Sie k nnen im Feld Serverheader auch noch festlegen ob der Header aus der Antwort gel scht werden soll oder der Header in der Antwort bearbeitet werden soll In diesem Beispiel blocken wir den HTTP Header f r Kazaa Somit werden Anforderungen welche im Anforderungsheader diesen HTTP Header enthalten blockiert x Zu sperrende HTTP Header angeben Suchen in lanfarderungsheader HTTP Header x Kazas Netbwork OK Abbrechen HTTP Filter Signaturen Eine HTTP Signatur kann jedes Zeichen in einem HTTP Body oder HTTP Header sein S e k nnen HTTP Signaturen dazu verwenden z B das Ausf hren von Applikationen zu verhindern Um eine HTTP Signatur zu ermitteln m ssen Sie wissen welche Muster die Applikation im Request Header Response Header und Body verwendet und dann eine S gnatur erstellen welche Pakete bas erend auf diesem String blockiert 269 Die Schwierigkeit ist es eine Signatur zu erstellen die wirklich nur schadhafte Aufrufe blockiert Wenn Sie z B eine Signatur erstellen welche das Wort Mozilla blockiert werden die meisten Webbrowser und Applikationen blockiert weil die meisten Browser Mozilla
235. erungsserver Standarddorn ne f r Authentifizierung Darren ausw hlen RADIUS Server f r Authentifizierung RADILIS Serwer ausw hlen Formularbasierte Ow A Authentifizierung konfigurieren OK Abbrechen W hlen Sie die Authentifzierungsmehtode OWA Forms Based aus ber Formularbasierte OWA Authentifizierung konfigurieren k nnen Sie weitere Einstellungen f r die Authentizierungsmethode vornehmen 255 Formularbasierte 4uthentifizierung fir OWA E i x Diese Funktion erm glicht Benutzern eine Verbindung mit einem OWA Server mit Formbasierter Cookie Authentifizierung herzustellen Dieser Authentifizierungsbyp verhindert dass ein Clentbrowser Clientanmeldeinformationen zwischensoeichert Benutzer m ssen ihre Anmeldeinformationen erneut eingeben nachdem sie den Browser schlie en oder auf eine andere Seite wechseln Benutzer m ssen ihre Anmeldeinformationen auch dann erneut eingeben wenn die Sitzung das angegebene Leerlaufzeiklimit berschritten hat Diese Einstellungen betreffen alle Weblistener die f r die Verwendung der OW 4 Formbasierte Authenkifizierung konfiguriert wurden Zeitlimit F r Leerlaufsitzung Zeitlimit F r Leerlaufsitzung konfigurieren f r Clients auf ffentlichen Computern 22 Minuten Clients auf privaten Computern 36 Stunden E Mail 4nlagen E Mail 4nlagen sperren f r Clients auf ffentlichen Computern Clients auf
236. es IP Headers auf 1 setzen Die Gr e des IP Pakets liegt bei 576 bis 65 536 Oktetten Wenn man die minimale L nge von 20 Oktetten des IP Headers ber cksichtigt bleiben f r die weiteren Daten und den TCP Header noch 65 516 Oktette Die minimale Gr e von 576 Oktetts muss von jeder IP Implementierung unterst tzt werden ISA Server 2004 deaktiviert das Blocken von IP Fragementen per Default weil ein aktviertes blocken von IP Fragmenten auch zu unerw nschten Nebeneffekten f hren kann dass zum Beispiel VPN und IPSEC Verbindungen Probleme bereiten da ja hier bewusst IP Pakete vor Ver nderung gesch tzt werden IP Fragmente k nnen aber auch die Sicherheit des Systems gef hrden Ein Beispiel f r einen Sabotageangriff ist der Ping of Death bei dem ein synthetisches unzul ssig gro es IP Paket gt 65535 Bytes in fragmentierter Form bertragen wird Das angegriffene System st rzt bei dem Versuch ab die Fragmente wieder zusammenzuf gen Das ist sicherlich kein aktuelles Beispiel weil alle aktuellen Firewallsysteme in der heutigen Zeit gegen Ping of Death gefeit sind auch der ISA Server hat einen IDS gegen Ping of Death lizenziert von ISS soll aber als Beispiel ausreichend sein IP Einstellungen IP Routing Wenn IP Routing aktiviert ist sendet ISA Server das urspriingliche Netzwerkpaket zum Ziel Durch IP Routing wird zwar der Durchsatz verbessert aus Sicherheitsgriinden wird jedoch empfohlen diese Funktion zu deaktiv
237. es lokalen Hosts 192 168 2 255 ist die Subnetz Broadcast Adresse 224 0 0 0 ist f r das Multicasting 255 255 255 255 ist f r die limitierte Broadcast Adresse Die oben beschriebene Fehlermeldung tr tt dann auf wenn Routen nicht mit dem internen Netzwerkobjekt bereinstimmen oder der IP Adressbereich des internen Netzwerkobjektes nicht r chtig definiert wurde Ein falsch konfiguriertes Netzwerk kann dazu f hren dass ISA Server das Netzwerk nicht sch tzen kann weil Adressbereiche falsch interpretiert werden Eine detaillierte Erkl rung zu diesem Thema finden Sie hier Trihomed DMZ Beispiel Zum Abschluss dieses Artikels ein Beispiel einer ISA Server 2004 Konfiguration mit der Netzwerkvorlage 3 Abschnitt Umkreisnetzwerk Die folgenden Grafiken sollen Ihnen einen berblick ber die Flexibilit t des ISA Servers in Bezug auf die Multinetwork Funktionalit ten geben Sie sehen hier ein Netzwerk mit dem Namen Umkreis welches das Umkreisnetzwerk auch DMZ genannt darstellt Netzwerke Netzwerks tze X Netzwerkregeln X Webverkettung Name Adressbereiche Beschreibun Extern F r die ISA Server Netzwerke externe IP Adressen Das vordefinierte Netzwerkobjekt das das Internet darstellt ab Intern 49 192 168 2 0 192 168 2 255 Das Netzwerk das das interne Netzwerk darstellt b Lokaler Host Mit diesem Netzwerk sind keine IP Adressen assoziiert Das vordefinierte Netzwerkobjekt das den ISA Server Computer darstellt dhs Quara
238. ese direkt und ohne Proxyserver angesprochen werden Dazuk nnen diese Server oder Serverbereiche im obigen Feld als Proxyausnahmen eingetragen werden 5 Konfiguration des Webbrowsers f r die Automatische Suche Wenn kein Firewallclient installiert ist muss der Internet Explorer ggfs manuell angepasst werden In den Eigenschaften der LAN Einstellungen IE gt Extras gt Internetoptionen gt Verbindungen muss das Kontrollk stchen bei Automatische Suche der Einstellungen aktiviert sein Bei einer Standard Installation des IE ist dies der Fall 122 Proxyserver f r lokale Adressen umgehen en Von nun an sucht sich der Client die Proxyeinstellungen selber Erfahrungsgem kann dies beim ersten Aufruf des Browsers einige Sekunden dauern Die automatische Suche kann auch f r den Browser des ISA Computers selber verwendet werden 6 Konfiguration des Firewallclients f r die Automatische Suche Nat rlich unterst tzt auch der Firewallclient die automatische Suche Sobald der Client installiert ist m ssen lediglich folgender Haken gesetzt werden 123 EF Microsoft Firewallclient f r ISA Server 7004 fx Microsoft Firewallclient f r ISA Server 2004 aktivieren Wahlen Sie aus wie der Firewallclient den Microsoft SA Server ermitteln sall mit dem eine Verbindung hergestellt werden soll ISA Server automatisch suchen Gefundener ISA Server skein ISA Server gefunden CO ISA Server manuell au
239. eser Netzwerkadapter ber Routen zu den Adressen 10 X X X und 30 X X X wobei keine Routen in keinem Netzwerkadapter f r die Adressen 20 X X X vorhanden sind Weiterhin wird in diesem Szenario davon ausgegangen dass Sie zwei Netzwerke eingerichtet haben Netzwerk A 10 0 0 0 10 255 255 255 Netzwerk B 30 0 0 0 30 255 255 255 Es sind keine Routen f r die Netzwerkadressen m Bereich 20 0 0 0 20 255 255 255 definiert daher werden diese als Teil des externen Standardnetzwerks angesehen Das externe Standardnetzwerk wird als hinter Netzwerk A befindlich angesehen da der Adapter von Netzwerk A eine Route zum externen Standardnetzwerk besitzt jedoch diesem Netzwerk nicht zugeordnet ist Die Adresse des Adapters geh rt nicht zum externen Netzwerk Netzwerk B befindet sich dieser Definition nach ebenfalls hinter Netzwerk A Allerdings ist Netzwerk B nicht das externe Standardnetzwerk ISA Server betrachtet dies jedoch als eine fehlerhafte Konfiguration und das Netzwerk wird vor bergehend getrennt 105 Zur Konfiguration von ISA Server werden die beiden Routen zu 10 X X X und 30 X X X in einem einzelnen Netzwerk zusammengefasst ISA Server kann diese beiden Adressbereiche nicht als eindeutige Netzwerke auffassen da beide demselben Netzwerkadapter zugeordnet sind ISA Server Fehlermeldung ISA Server hat Routen ber den Adapter XXXXX ermittelt die mit dem Netzwerkelement dem dieser Adapter angeh rt nicht bereinstimme
240. esten k nnen Sie die Konfiguration indem Sie folgende Befehle eingeben Beenden Sie zun chst den Zeitdienst ber den Befehl net stop w32time Zur einmaligen manuellen Syncronisation geben Sie folgendes ein w32tm once Danach starten Sie den Zeitdienst wieder ber net start w32time 2 2 Windows 2003 Server Bei einem Windows 2003 Server ist die Konfiguration des externen zeitservers hnlich ffen Sie auch hier ein Eingabeaufforderungsfenster ber Start Ausf hren gt cmd Legen Sie den externen Zeitserver ber den Befehl net time setsntp ntp0 fau de fest ntpO fau de ist in dieser Anleitung der externe Zeitserver Einen Link zu externen Zeitservern finden Sie am Ende dieser Anleitung Ob der Abgleich mit dem Zeitserver funktioniert K nnen Sie mit folgendem Befehl testen w32tm resync 3 N tzliche Links zum Thema Zeitsyncronisation In folgendem Link finden Sie eine Liste von externen Zeitservern die f r den Zeitabgleich verwendet werden kann Bietet Ihr ISP auch diesen Dienst an k nnen Sie auch diesen Zeitserver verwenden 237 Outlook Webaccess per SSL mit Formsbased Authentification mit dem ISA 2004 Die Informationen in diesem Artikel beziehen sich auf e Microsoft ISA Server 2004 e Microsoft Exchange Server 2003 Outlook Webaccess erm glicht den Zugriff auf Ihr Postfach ber einen Webbrowser Durch eine SSL Verschl sselung und das neue Feature m ISA 2004 der Formsbased Authentification kann die
241. et betrachtet 54 Server hat ein standardm all ges externes Netzwerk amp ZUTICHK Abbrechen Die Bedeutung der Netzwerke ist selbsterkl rend Es sei hier nur ein Hinweis auf die Bedeutung des Umkreisnetzerk gegeben Als Umkreisnetzwerk bezeichnet man auch die DMZ DeMilitarisierte Zone Der Begriff DMZ sollte den meisten Lesern gel ufiger sein Geben Sie jetzt einen IP Adressbereich f r das neue Netzwerk an in diesem Beispiel w hlen wir den Netzwerkbereich 192 168 3 1 192 168 3 255 Assistent f r ein neues Netzwerk E xj Hetzwerkadressen Definieren Sie die IP Adressen fur dieses Netzwerk Sie konnen P 4dressbereiche mit einem Netzwerkadapter verknuptte IP Adressbereiche und private F Bereiche hinzufugen Adressbereiche Startadresse Endadesse 132 168 3 1 132 168 3 255 Bearbeiten Entfernen Adapter hinzufugen Frivater Adapter ZUrIch Weiter gt Abbrechen Sie k nnen auch einen Netzwerkadapter ausw hlen aus dem der ISA Server Assistent den neuen Netzwerkbereich erstellen soll Klicken Sie dazu auf Adapter hinzufiigen Netzwerkadapter auswahlen E i ajx Netzwerk adapterdetails Netzwerk echnittstelleninformationen Name Intel 217 40 basierter PCl Fast Ethernet Adapter Standard 2 P Adresser 10 16 03 Routemformationer 10 0 0 0 10 255 255 255 lk Abbrechen 88 Haben Sie INTERN einen Standard Netzwerkbereich aus den privaten
242. et Security amp Acceleration Server 2004 Lacheregeln bestimmen die im Cache gespeicherten Inhaltstypen und den Zeitraum in dem die abgerufenen Objekte gultig sind Lacheregelname a ee klicken Sie auf Weiter um den Yorgang fortzusetzen 2 uruck Abbrechen Hier sollte wie immer ein beschreibender Name eingegeben werden 35 _ Assistent fiir neue Cacheregel p x Cacheregelziel Diese Regel gilt fur Anforderungen die an die auf dieser Seite festgelegten Ziele gesendet wurden Diese Regel betrifft Inhalte die von diesen Netzwerkidentit ten angefordert wurden Bearbeiten Entfernen Zur ck weiber gt Abbrechen Netzwerkidentit ten hinzuf gen Netzwerkidentik ten Neu Bearbeiten L schen C Netzwerke Netzwerksatze Computer Adressbereiche Subnetze 3 Computers tze Er Eee U4 Durch Systemrichtlinie zugelassene 5 C4 Microsoft Feblerberichterstattungs 5 URL Satze Hinzuk gen Schlie en Sofern nicht bereits zu einem fr heren Zeitpunkt erledigt muss hier nun ein neuer Dom nennamensatz erstellt werden 36 Neues Domanennamensatz Richtinienelement E ajx Name Nicht zu chachende Webseiten Regeln die Domanennamensatze verwenden werden ggf nicht 1 Wie erwartet angewendet Falls DNS nicht ordnungsgern konfiguriert ist In diesem Satz enthaltene Dom nennamen g msisafaqg de linbenennen L
243. et der Server n cht versucht der Client beim Neustart des Servers den Status der gebundenen und abh renden Sockets wieder herzustellen ForceCredentials Kann nur am Firewallclientcomputer eingestellt werden Wird verwendet wenn ein Windows Dienst oder eine Windows Serveranwendung als Firewallclientanwendung ausgef hrt wird Ist dieser Wert auf 1 eingestellt wird die Verwendung anderer Anmeldeinformationen f r die Benutzerauthentifizierung erzwungen Diese Informationen s nd lokal auf dem Computer gespeichert auf dem der Dienst ausgef hrt wird Die Benutzeranmeldeinformationen werden auf dem Clientcomputer mit der Anwendung Credtool exe gespeichert die zum Lieferumfang der Firewallclientsoftware geh rt Die Benutzeranmeldeinformationen 386 miissen auf ein Benutzerkonto verweisen das von ISA Server authentifiziert werden kann Dieses Konto kann sich auf dem ISA Server Computer oder einer f r ISA Server vertrauenswirdigen Dom ne befinden Das Benutzerkonto ist normalerweise so eingestellt dass es nicht abl uft Andernfalls m ssen die Benutzerinformationen jeweils vor Ablauf des Kontos erneuert werden NameResolution M gliche Werte sind L Standardeinstellung P oder E Gibt ForLocalHost an wie der lokale Computername Client beim Aufruf der API gethostbyname aufgel st wird Der Computername LocalHost wird durch Aufruf der Winsock API Funktion gethostbyname unter Verwendung der Zeichenfolge LocalHost e
244. etzwerkregel Es wird eine Regel erstellt welche den VPN Clients und Quarantined VPN Clients den Zugriff auf das interne Netzwerk zul sst Die Netzwerkrelation ist ROUTE das hei t Datenpakete der VPN Clients werden ber den ISA Server in das interne Netzwerk geroutet Netzwerke Edgefirewall Pan VPN Clientnetzwerk Externes Netzwerk Internet aii Local Host Access Route Local Host d All Networks and VPA Clients bo Internal Network Route a Quarantined VPM chents adhe Interna i L Ph h rs ur 1 Ce N 413 Internet Access NAT chs Internal ths External ahs Quarantined VPM Clents wth VPN Clients 435 Bei der Installation von ISA Server wird standardm ig eine Netzwerkregel erstellt die eine Routingbeziehung zwischen dem internen Netzwerk und dem VPN Clientnetzwerk definiert Eine weitere Standardregel wird bei der Installation von ISA Server erstellt S e l sst den Zugriff des VPN Clientnetzwerks auf das externe Netzwerk zu Um den Datenverkehr zwischen VPN Clientnetzwerken und anderen Netzwerken zuzulassen k nnen Sie neue Netzwerkregeln erstellen Bemerkung Normalerweise h ngt der ISA Server nicht direkt am Internet sondern ist ber einen Router an das Internet angeschlossen Sollte das bei Ihnen auch der Fall sein so m ssen Sie am Router ein Portforwarding f r PPTP einrichten Der Router forwarded dann diese Datenpakete an das externe Interface des ISA Servers Die Einric
245. ewallcient Firewallcienkinstallat Diagnosedienste I_FAP Windows Netzwerk Microsort Fehlerberi HTTP Konnektivitaks Protokollierung Remoteprotokollierur Remoteprotokollierur Remote berwachurg Abbrechen Aktivierung des Servers f r die Firewall Client Verwendung Starten Sie die ISA Server Verwaltungskonsole navigieren Sie zu Konfiguration Netzwerke und dann in die Eigenschaften des Netzwerkobjektes Intern im Reiter Netzwerke Klicken Sie dort den Reiter Firewallclient an und nehmen Sie die notwendigen Einstellungen vor 378 Eigenschaften von Intern GIES Allgemein Adressen Dom nen Webbrowser Automatische Erkennung Firewallclient wWebprosy M Firewalclientunterstitzung f r dieses Netzwerk aktivieren Firewallchentkontiguratior ISA Server Name bzw IP Adresse is32004 Durchsuchen Webbrowserkontiguration auf dem Firewallclientcomputer M Automatische Ermittlung der Einstellungen Y Automatisches Konfiqurationsskript verwenden Standard UAL verwenden f Benutzerdefinierten URL verwenden http isa2004 S060 array dll Get A outing Script M webprosvseryer verwenden 154 Server Name bzw IP Adresse isa2004 Durchsuchen Abbrechen bernehmen Im Bereich Webbrowserkonfiguration auf dem Firewallclientcomputer k nnen Sie ein automatisches Konfigurationsskript angeben Hier ist die Angabe einer INS Datei des IEAK Internet Explorer Administration K
246. eziehen sich auf e Microsoft ISA Server 2004 e Microsoft Exchange Server 2003 SP1 e Microsoft Windows Server 2003 Der ISA Server 2004 bietet wie schon der ISA Server 2000 viele M glichkeiten von Extern auf sein Exchange Postfach zu zugreifen Durch RPC over HTTPS besteht eine sichere Methode den internen Exchange Server zu ver ffentlichen Hierbei ist es nicht notwendig wie bei einer reinen RPC Ver ffentlichung den kritischen Port 135 zu ffnen da die RPC Pakete n einem SSL Tunnel bertragen werden Die Pakete werden an den RPC ber HTTP Proxy bermittelt von dem der HTTP Header entfernt wird und die reinen RPC Pakete an den Exchange Server weitergeleitet werden Daten vom Exchange Server aus werden zuerst an den RPC ber HTTP Proxy gesendet und von dort aus wieder als verschl sselte HTTP Pakete an den Client weitergeleitet Vorteile dieser Verbindungsmethode sind e Die Benutzer arbeiten in der gewohnten Microsoft Outlook Umgebung e Es besteht nur Zugriff auf den Exchange Server und nicht auf andere interne Ressourcen e Aus einem Remote Netzwerk mit Firewall muss nur das Protokoll HTTPS erlaubt sein e RPC over HTTPS funktioniert auch bei einem Small Business Server 2003 Szenario SSL Tunnel F Client Exchange meinedomain de eo nn Be Exch Srv1 meinedomain local on ano In dieser Anleitung wird die Verbindung zum Exchange Server mittels SSL Bridging hergestellt d h es besteht ein SSL Tunnel zwischen
247. f Weiter um den Yorgang fortzusetzen 2 Surck Abbrechen Microsoft SQL Server 2004 bietet ein vordefiniertes Protokoll mit dem Namen Microsoft SOL Server welches den TCP Port 1433 Eingehend definiert W hlen Sie das Protokoll aus dem Dropdown Feld aus 196 Assistent f r neue Serverver ffentlichungsregeln x Protokoll auswahlen Wahlen Sie das Protokoll aus dass von dem weroftentichten Server verwendet wird Ausgew hlte Protokoll Microsott SOL Server Forts Neu uruck Weiter gt Abbrechen Wahlen Sie das Netzwerk aus auf welchem der ISA Server 2004 auf Anfragen reagieren soll Wir w hlen das Netzwerk External aus Assistent f r neue Serverver ffentlichungsregeln g x IP Adressen Wahlen Sie die Netzwerk IP Adressen auf dem 154 Server aus der Anforderungen fur den vweroffentlichten Server abhor Diese Netzwerke auf Anforderungen abhoren Ausgew hlte IPs EE eternal Alle IP Adressen C Internal Alle IP Adressen Local Host Alle IP Adressen C Quarantined WPN Clients Alle IP Adressen C amp YFN Clients Alle IP Adressen I rs All hl nk l n odl iddL cob IMi h de es ft Adresse uruck Abbrechen Uberpriifen Sie die korrekten Einstellungen des Wizards 197 Assistent f r neue Serrerver ffentlichungsregeln k x Fertigstellen des Assistenten Microsoft Internet
248. f r ISA Server 2004 Wenn diese Option aktiviert ist wird die Einstellung Disable au er Kraft gesetzt NameResolution M gliche Werte L oder R Standardm ig werden Dom nennamen in dezimaler durch Punkte getrennter Schreibweise bzw Internetdom nennamen zur Namensaufl sung an den ISA Server Computer umgeleitet Alle anderen Namen werden auf dem lokalen Computer aufgel st Ist dieser Wert auf R eingestellt werden alle Namen zur Aufl sung an den ISA Server Computer umgeleitet Redirection Ist dieser Wert auf L eingestellt werden alle Namen auf dem lokalen Computer aufgel st Local Gibt einen TCP Port Transmission Control Protocol eine TCP Liste oder einen TCP Bereich mit lokaler Bindung an Gibt einen UDP Port User Datagram Protocol eine UDP Liste oder einen UDP Bereich mit lokaler Bindung an Gibt einen TCP Port eine TCP Liste oder einen TCP Bereich mit Remotebindung an Gibt einen UDP Port eine UDP Liste oder einen UDP Bereich mit Remotebindung an Gibt einen TCP Port eine TCP Liste oder einen TCP Bereich fiir alle Ports an die mehr als eine Verbindung annehmen sollen Persistent M gliche Werte O oder 1 Ist dieser Wert auf 1 eingestellt Kann ein bestimmter Serverstatus auf dem ISA Server Computer aufrecht erhalten werden wenn ein Dienst beendet und neu gestartet wird und der Server n cht antwortet Der Client sendet w hrend einer akt ven S tzung regelm ig eine Keep Alive Meldung an den Server Antwort
249. f r den ISA Server Computer Das lokale Hostnetzwerk kann NICHT ge ndert oder gel scht werden VPN Clients Dieses Netzwerk umfasst die Adressen der derzeit verbundenen Clients Der Bereich der m glichen Adressen wird be der Konfiguration der VPN Eigenschaften festgelegt Das VPN Clientnetzwerk kann nicht gel scht werden Quarant nen VPN Clients Zu diesem Netzwerk geh ren die Adressen von VPN Clients die noch nicht aus der Quarant ne entlassen wurden Das Quarant nen V PN Clientnetzwerk kann nicht gel scht werden Netzwerkvorlagen ISA Server enth lt Netzwerk vorlagen die h ufig vorkommende Netzwerktopologien abbilden Mithilfe der Netzwerkvorlagen konfigurieren Sie die Firewallrichtlinien f r den Datenverkehr zwischen den Netzwerken Die Verwendung von Netzwerkvorlagen ist nicht zwingend vorgeschrieben Ein erfahrener Administrator kann die Netzwerke Netzwerkregeln und Firewallrichtlinien auch per Hand konfigurieren ISA Server 2004 enth lt die folgenden Netzwerkvorlagen Auszug aus der Online Hilfe leicht modifiziert 103 Edgefirewall Bei dieser Vorlage wird eine Netzwerktopologie angenommen bei der sich ISA Server an der u eren Schnittstelle des Netzwerks dem so genannten Perimeter befindet Ein Netzwerkadapter ist hierbei mit dem internen Netzwerk verbunden Der andere Netzwerkadapter verf gt hingegen ber eine Verbindung mit einem externen Netzwerk Internet Bei Auswahl dieser Vorlage k nnen Sie
250. f dern Firewallclientoormputer M Automatische Ermittlung der Einstellungen if Automatisches Konfigurationsskript verwenden Standard LAL verwenden C Benutzerdefinierten URL verwenden http SA 2k 00 BOBO array dll Get Routing Script Y Webprosuserver verwenden 155 ServerName bzw IP Adresse IS2k4 002 Durchsucher Abbrechen bernehmen Der Standardkonfigurations URL lautet http Computername Port array dll Get Routing Script wobei Computername f r den Namen des ISA Server Computers und Port f r den Port des Webproxyfilters steht An dieser URL befindet sich das Konfigurationsskript ISA Server erstellt dieses Skript basierend auf den Optionen f r Direktzugriff und Reserveroute automatisch Sie k nnen eine Option einstellen durch die ISA Server ein Clientkonfigurationsskript das sich auf dem ISA Server Computer befindet bei jedem ffnen des Webbrowsers automatisch downloadet Die Ausgabe dieses Skripts liefert eine geordnete Reihe von ISA Server Computern die der Browser zum Abrufen des durch den URL angegebenen Objekts verwendet Verwenden S e dazu WPAD In der Registerkarte Webbrowser k nnen Server festgelegt werden bei deren Zugriff der Webproxyfilter umgangen werden soll 395 Eigenschaften von Intern a xl Automatische Erkennung Firewallclent Webproxy Allgemein Adressen Dom nen Webbrowser Geben Ste die Server oder Dom nen an auf die Chents direkt zu
251. festgelegt werden Damit ist es zum Beispiel m glich internen Benutzern ohne Authentifizierung das Besuchen von Websites nur werktags zwischen 09 00 und 12 00 und von 14 00 b s 18 00 Uhr zu erlauben Der folgende Artikel beschreibt die wesentliche Schritte um obiges Beispiel umzusetzen Dazu wird eine neue Firewallrichtlinie erstellt Weitergehende Informationen ber das Erstellen von Firewallrichtlinien k nnen in diesem Artikel nachgelesen werden Assistent f r neue Zugriffsregel xj Willkommen Microsoft Internet Security amp Acceleration Server 2004 Mit diesem Assistenten konnen Sie eine neue Zugriffsregel erstellen Zugriffsregeln bestimmen die durchzufuhrende Aktion und die zu venvendenden Protokolle wenn angegebene Clients in einem Netzwerk versuchen auf bestimmte Ziele oder Inhalte auf einem anderen Netzwerk zuzugreifen zugriffstegelname e google zeitbeschr nkt erlauber Klicken Sie auf Weiter um den Yorgang fortzusetzen 2 AUCE Abbrechen Hier sollte w e immer ein beschreibender Name verwendet werden 367 Assistent f r neue Zugriffsregel Regelaklt on Legen Ste fest wie Clentanforderungen nach Inhalten vorn angegebenen Ziel behandelt werden falls die in der Regel angegebenen Bedingungen zutreffen Aktion die beim zutreffen der Regelbedingungen ausgefuhrt ward U Yernveigen uruck Abbrechen Diese Regel soll eine Zulassungsregel sein Assistent f
252. ffentlich Eingehende Wwebanforde 4 0 HTTF Filter Filtert HTTP Datenverkehr und erzwingt die ko Beide Webfilter Funktionalit t Der Webfilter im ISA Server 2004 hat folgende Aufgaben e HTTP Anforderungen scannen und modifizieren e HTTP Antworten scannen und modifizieren e Blockieren von speziellen HTTP Antworten e Netzwerkverkehr protokollieren und analysieren e Datenverschlisselung und Komprimierung e Benutzerdefinierte Authentifizierungsschemata OWA RADIUS RSA ID 263 Wie funktioniert ein Webfilter e Ein Client stellt eine Verbindung zum ISA Server 2004 her und fordert eine Ressource aus dem etxernen Netzwerk an e Die Firewall Engine f hrt Paketfiltering f r die Anfrage durch und pr ft ob die Anforderung auf dieser Ebene erlaubt ist e Wenn die Anforderung erlaubt ist wird eine Verbindung mit dem Firewall Dienst hergestellt e Der Firewall Dienst berpr ft die Firewallregel ob ein Applikations oder Webfilter f r die Regel definiert ist e Wenn das der Fall ist HTTP HTTPS bergibt der Firewall Dienst die Anforderung an den Webproxy Filter e Die Anfrage wird basierend auf der Webfilter Konfiguration berpr ft Der Webfilter erlaubt oder verweigert die Anforderung e Wenn die Anfrage vom Webfilter akzeptiert wurde wir die Anfrage zuriick an den Firewall Dienst bergeben und ber das Netzwerkinterface an den Zielserver weitergeleitet Wichtig Der HTTP Filter im ISA Server 2004 ist regelspez
253. g stellen um den Yorgang abzuschheten uruck Abbrechen 362 Das nun neu erstellte Protokollelement wird n der Toolbox unter Benutzerdefiniert angezeigt Protokolle Neu Bearbeiten L schen E Allgenieine Protokolle I Infrastruktur Mail Instant Messaging Remoteterminal Streaming Media C VPN und IPSec 3 web k Berube Steet niet 2 ae m EF areena _ Damit die nderung bzw die Neueinrichtung wirksam wird muss die Konfiguration noch gespeichert werden Internet Security amp Acceleration Server 2004 Standard Edition bernehmen verweren 363 Firewallrichtlinien Die Informationen in diesem Artikel beziehen sich auf e Microsoft ISA Server 2004 Fine Firewallrichtlinie regelt grob gesagt von wo nach wo wer wann welche Verbindung aufbauen darf Man kann es wie Kuchen backen betrachten man ben tigt viele Zutaten damit eine leckere Torte entsteht Ok eine Firewallrichtlinie ist nicht besonders schmackhaft verglichen mit einer Schwarzw lder Kirschtorte Dennoch ist es sehr wichtig genau und wirklich nur genau die notwendigen Zutaten zu verwenden Niemand w rde auf die Idee kommen in diese Kirschtorte eine Flasche Cola hinzuzuf gen Und genauso sollte niemand auf die Idee kommen Firewallrichtlinien zu weit zu ffnen und oder Protokolle hinzuzuf gen die gar nicht ben tigt werden Die sinnloseste und gef hrlichste Regel ist allen Verkehr
254. gabe des Netzwerkbereiches e Erstellen einer Netzwerkregel welche die verbundenen Netzwerke festlegt und den Typ ROUTE oder NAT festlegt e Erstellen einer Firewallrichtlinie welche den Zugriff zwischen den Netzwerken regelt 102 Nach der Installation von ISA Server sind f nf Netzwerke konfiguriert Intern Bei dem internen Netzwerk handelt es sich um die IP Adressbereiche des internen Netzwerkes ISA Server s eht dieses Netzwerk als vertrauensw rdig mit Ausnahmen Stichwort Systemrichtlinie aber auch als schutzw rdig an Die IP Adressbereiche des Netzwerkobjektes intern m ssen mit der Windows Routingtabelle f r das interne Interface bereinstimmen Externes Standardnetzwerk Das externe Standardnetzwerk beinhaltet alle IP Adressen die nicht ausdr cklich zu einem anderen Netzwerk geh ren Nach der Installation beinhaltet das externe Standardnetzwerk alle Adressen die nicht im internen Netzwerk enthalten sind die IP Adresse des lokalen Hostnetzwerks 127 0 0 1 und die IP Adressen aller anderen Netzwerkadapter des ISA Server Computers Das externe Standardnetzwerk gilt als NICHT vertrauensw rdiges Netzwerk Daher wird das Netzwerkverh ltnis zum externen Standardnetzwerk in der Regel als NAT Network Address Translation konfiguriert Dadurch k nnen Clients des Quellnetzwerks auf externe Standardzielnetzwerke zugreifen das externe Standardnetzwerk jedoch nicht auf das Quellnetzwerk Lokaler Host Dieses Netzwerk steht
255. gebaut werden sobald es einen Internetzugang gibt z B Flughafen Der ISA Server 2004 unterst tz zur Remoteeinwahl per VPN die zwei Tunnelprotokolle PPTP und L2TP IPSEC Das Tunnelprotokoll PPTP auf das sich diese Anleitung bezieht ist leicht einzurichten und hat den Vorteil dass es ohne Probleme mit Ger ten die NAT anwenden funktioniert L2TP IPSEC hingegen bietet einen h heren Sicherheiststandart als PPTP und funktioniert mittlerweile auch durch NAT T NAT Traversal mit Ger ten die NAT anwenden Hierbei ist allerdings zu beachten dass der Router L2TP IPSEC Passtrough unterst tzen muss Die Konfiguration der VPN Remoteeinwahl erfolgt durch die in nachstehendem Bild zu sehenden 5 Schritte 397 Die Nummerierung der einzelnen Kapitel entspricht den einzelnen Schritten auf dem Bild a w VPN Clientzugriff konfigurieren Auf dieser Seite k nnen Sie festlegen wie Clients ber eine VPN Verbindung auf das Firmennetzwerk zugreifen Yerifizieren dass der PN Clientzugriff aktiviert ist Erm glicht Remokeclients eine verbindung mit dern Netzwerk ber eine VPM Verbindung herzustellen Wwindows Benutzer angeben oder einen RADIUS Server ausw hlen geben Sie die Windows Benutzer Dom nengruppen an die YPN Zugriff verwenden d rfen oder Falls RADIUS Authentifizierung verwendet wird w hlen Sie einen RADIUS Authentifizierungsserver aus YPN Eigenschaften und Remotezugriffskonfiguration verifiziere
256. geht mit dem Small Business Server 2003 ja diesen Weg Installieren Sie den ISA Server 2004 erst nachdem Sie das zugrunde liegende Windows System entsprechend geh rtet haben Installieren Sie den ISA Server von einer vertrauensw rdigen Installationsquelle welche garantiert virenfrei ist und von deren Herkunft Sie sicher sind dass es sich um die Original ISA Installationsdateien handelt Schlie en Sie die Windows Maschine auf der ISA Server 2004 installiert werden soll nicht an das Internet an bis Sie den ISA Server 2004 vollst ndig installiert konfiguriert und die notwendigen Updates installiert haben Nach erfolgter ISA Installation existiert eine Default Policy die so genannte Cleanup Rule welche s mtlichen Datenverkehr zum Internet verweigert Restriktives ISA Server Regelwerk Stellen Sie als ISA Server Administrator sicher dass Sie mit einem minimalen ISA Server Regelwerk arbeiten welches nur das absolute Mindestma an Firewallrichtlinien zul sst Faustformel Bei der Einrichtung eines Firewallregelwerkes wird nach dem Minimalprinzip gearbeitet Gehen Sie dazu wie folgt vor Verschaffen Sie sich einen berblick ber Ihre Infrastruktur und protokollieren Sie die notwendigen Kommunikationsbeziehungen von INTERN nach EXTERN und zum ISA Server selbst Legen Sie fest welche Kommunikationsbeziehungen von EXTERN nach INTERN notwendig s nd Basierend auf diesen Informationen gehen Sie dazu ber die notwendigen Proto
257. geschr nkten Funktionsumfangs des ISA Servers unter Windows 2000 empfiehlt der Autor die Installation des ISA Servers auf einer Windows 2003 Maschine Bei der Installation des ISA Servers stellt sich des fteren die Frage wie die Windows 2000 349 2003 Maschine an das interne Netzwerk angebunden wird Es gibt hier zwei ultimative Aussagen e Installieren Sie den ISA Server 2004 niemals auf einem Windows 2000 2003 Dom nencontroller e Installieren Sie den ISA Server 2004 nicht auf einem Windows 2000 2003 Mitgliedsserver wenn sich der ISA Server als so genannte Frontfirewall oder auch Egde Firewall direkt mit dem Internet verbunden ist Microsoft empfiehlt auch in einigen Whitepapern die Installation der ISA Server 2004 in einem separaten Forest Diese Konstellation macht aus Sicht des Autors erst Sinn wenn man eine Vielzahl von ISA Servern betrieben will und zum Beispiel von Gruppenrichtlinien und der Speicherung der Array Informationen im Active Directory nur ISA 2004 Enterprise profitieren will Keine Regel ohne Ausnahme Betreiben Sie den ISA Server im Rahmen einer Front und Backend Firewallkonfiguration als Backend Server bestehen keine Sicherheitsbedenken den ISA Server 2004 auf einem Windows 2000 2003 Mitgliedsserver zu installieren L sst Ihr IT Budget keine Investition in zus tzliche Hardware und Software Lizenzen zu k nnen Sie den ISA Server nat rlich auf einem Dom nencontroller installieren Microsoft
258. greifen und wie Clients auf das Internet zugreifen falls 15A Server nicht verf gbar ist Diese Einstellungen gelten fur alle Webbrowserchents die das angegebene Kontigurationskript dieses 5 4 Servers verwenden 7 Auf der Registerkarte Dom nen angegebene Computer direkt zugreifen Auf diese Server bzw Dom nen direkt zugreifen Hinzufugen Fenttemen vr Altemativroute fur die Internetyerbindung verwenden wenn der ISA Server nicht verf gbar ist Direktzugriff B Alternativer 54 Server Dunensuchen Abbrechen bernehmen Wenn m Netzwerk mehrere ISA Server vorhanden s nd kann ber die Option Alternativroute festgelegt werden welcher ISA Server angefragt werden soll wenn der eigentliche konfigurierte ISA Server nicht erreichbar ist 396 Eingehende VPN Verbindungen per PPTP Die Informationen in diesem Artikel beziehen sich auf e Microsoft ISA Server 2004 Wie der ISA Server 2000 unterstiitzt der ISA Server 2004 die VPN Einwahl durch Remoteclients Durch eine VPN Verbindung wird ein sicherer Tunnel tiber ein Netzwerk wie das Internet aufgebaut ber den der Client Zugriff auf Ressourcen des Firmenetzwerkes bekommt Vorteile einer VPN Verbindung e Bei vorhandener DSL Flatrate entstehen keine weiteren Kosten f r d e Einwahl e Abh ngig von der Internetanbindung ist eine VPN Verbindung schneller als per Telefonleitung e Eine VPN Verbindung kann von jedem Ort aus auf
259. gscomp uter Bearbeiten Entfernen ii ICMP Ping Ausnahmen SJ Firewallclient Hinzuf gen Firewallclientinstallat Diagnosedienste Bearbeiten I_rAP Windows Netzwerk Enthernen Microsofk Fehlerberic HTTP Konnektivitaks Protokollierung Abbrechen i F gen Sie ber den Hinzuf gen Button z B das Externe Netzwerk hinzu Nat rlich k nnen Sie hier je nach Firewallkonzept auch nur bestimmte Objekte hinzuf gen Ssystemrichtlinien Editor 2x Konfigurakionsgrupper Allgemein Yon EJ Netzwerkdienste DHCP DHS MTF Sq Authentifizierungsdiensti Active Directory RADIUS RS4 SecurlD CRL Download Remoteverwaltung Microsoft Manageme Terminalseryer Diese Regel betrifft Datenyverkehr von diesen Quellen Za Remoteverwaltungscomputer er Extern ICMP Ping Ausnahmen SJ Firewallcient Hinzuf gen Firewallclientinstallat Diagnosedienste Bearbeiten I_rAP Windows Netzwerk Enthernen Micrasofk Fehlerberic HTTP Konnektivitaks Protokollierung OK Abbrechen i 179 verwerten Beenden S e den Systemrichtlinien Editor mit OK Denken Sie daran die durchgef hrten nderungen zu bernehmen Erst dann wird das Regelwerk in ISA Server tats chlich ge ndert und steht zur Verf gung Sollten Sie eine Fehlkonfiguration gefunden haben K nnen Sie alle get tigten aber noch nicht gespeicherten Anderungen wieder verw
260. gt URL Schutz Maximale URL L nge Bytes Spezifiziert die maximale L nge einer erlaubten URL Der Default Wert ist 10 240 Byte Reduzieren Sie die L nge nur wenn ein Angriff mit berlangen URLs bekannt wird Maximale Abfragel nge Bytes Spezifiziert die maximale L nge einer URL Abfrage Eine URL Abfrage erkennen Sie an den Zeichen nach dem in einer URL Normalisierung verifizieren Webserver empfangen Anfragen welche als URL kodiert sind dass heisst diese Anfragen k nnen auch Zeichen enthalten welche mit einem Zeichen gefolgt durch eine Nummer ersetzt werden m ssen Als Normalisierung bezeichnet man den Prozess der Decodierung von URL kodierten Anfragen Weil das Zeichen selbst URL kodiert sein kann kann ein Angreifer einen URL Request an einen Webserver schicken 265 welcher doppelt kodiert ist Wenn Sie Normalisierung verifizieren ausgew hlt haben normalisiert der HTTP Filter die URL doppelt und wenn er beim zweiten mal einen Unterschied in der URL feststellt wird der Request verworfen High Bit Zeichen sperren URLs welche Double Byte Character DBCS oder Latin enthalten werden geblockt wenn diese Einstellung aktiv ist Das sperrt in der Regel Sprachen welche mehr als 8 Bit also 16 Bit zur Darstellung aller Zeichen Ihrer Sprache ben tigen Seien Sie mit der Aktivierung dieses Features vorsichtig gerade in OWA Szenarien f hrt das unter Umst nden zu Problemen Ausf hrbare Dateien Antworten sp
261. gung kann auch ein Programm oder ein Script ausgef hrt werden das wiederum verschiedene Aktionen startet W hlen Sie dazu das Kontrollk stchen Programm aus und geben dann den an einer Eingabeaufforderung auszuf hrenden Befehl sowie das Konto ein unter dem das Programm ausgef hrt werden soll wenn beim Auftreten der Alarmbedingung eine Anwendung ausgef hrt werden soll ber die Option In Windows Ereignisprotokoll schreiben wird das Ereignis im Eventlog des Computers protokolliert 328 Eigenschaften von Ereignis m x Ereignis Datum Re Quelle Microsoft 54 Server Steuer Uhrzeit 20 29 06 Kategorie Keine Typ Information Ereignis 14027 Kennung Er Benutzer Nicht zutreffend Computer 5A2E4 002 Beschreibung Der 54 Serrer Steuerungsdenst wurde gestartet Weitere Informationen uber die Hilfe und Supportdienste erhalten Sie unter http go microsoft com fwlink events asp Daten f Bytes i wirker Abbrechen bernehmen Zum Beenden des ISA Servers w hlen S e das Kontrollk stchen Ausgew hlte Dienste beenden aus und klicken dann zur Auswahl der ISA Server Dienste die beim Auftreten der Alarmbedingungen beendet werden sollen auf Ausw hlen An dieser Stelle k nnen lediglich die folgenden beiden ISA Server spezifischen Dienste ausgew hlt werden ISA Server Dienste ausw hlen a x Wahlen Ste 154 Serrer Dienste die fur diese Akton einzubeziehen zind Dienste
262. h sry meinedomain local geben Sie den Mamen des Postfachs ein das f r Sie eingerichtet wurde Der Fostfachname isk normalerweise der gleiche wie der Benutzername Benutzername Administrator Weitere Einstellungen Tragen Sie unter Microsoft Exchange Server den internen Servernamen des Exchange Servers ein Als Benutzername tragen Sie das entsprechende Postfach ein und ffnen anschlie end die weiteren Einstellungen Hinweis Bei sehr groben Postf chern empfiehlt es sich den Cachemodus zum Verbindungstest zu deaktivieren Dieser sollte allerdings aus Performancegr nden nach erfolgreicher Verbindung ber das Men Extras gt Konten wieder aktiviert werden DIN Microsoft Exchange Server x Allgemeines Erweitert Sicherheit 9 Yerbindung Remotemai verbindung Im Offlinemodus Folgende Einstellungen zur verbindung mit dem Exchange Server verwenden Ober das lokale Netzwerk verbinden LAM ber Modem verbinden C Internebwerbindung manuell herstellen Modern Die Folgende BEU NMetzwerkserbindung verwenden Eigenscharten Hinzuk gen Exchange via Internet Setzen Sie den Haken bei Exchange Verbindung mit HTTP herstellen unter dem Karteireiter Verbindung Weitere Einstellungen miissen unter dem Punkt Exchange Proxyeinstellungen vorgenommen werden Exchange Proxyeinstellungen Microsoft Office Gutlook kann ber das Internet mit dem Microsoft E
263. h um ein neues Feature des ISA Server 2004 mit der M glichkeit VPN Clients erst dann Zugriff auf interne Netzwerkressourcen zu gewahren wenn der Client vorher vom Administrator festgelegte Anforderungen erf llt Solche vom Administrator festgelegte Anforderungen k nnten z B sein e Einsatz eines aktuellen Virenscanners e Aktivierte Windows Firewall e Verwendung der aktuellsten Windows Updates Bemerkung Das VPN Quarantine Control Feature existiert bereits seit der Einf hrung von Windows 2003 Bestandteile des VPN Quarantine Control Feature e RQS EXE Remote Quarantine Server Bestandteil des Windows 2003 Resource Kits auf dem ISA Server 2004 e RQC EXE Remote Quarantine Client Bestandteil des Windows 2003 Resource Kits auf den VPN Clients e Connection Manager Administration Profile aus dem Connection Manager Administration Kit CMAK e ConfigureRQSForISA VBS zur Konfiguration der notwendigen ISA Server 2004 Komponenten 438 Remote Access Quarantine Control Tool Die ben tigten Quarantine Control Tools sind Bestandteil des Windows 2003 Resource Kits Sie m ssen das Windows 2003 Resource Kit auf dem ISA Server 2004 installieren Nach Installation des Windows 2003 Resource Kits miissen Sie ein Update der ROS Komponenten installieren Nach dem Download des Tools erfolgt die Installation 5 x Please read the following license agreement Press the PAGE DOWN key to see the rest of the agreement Ne
264. hende Anforderungen an Port 1745 entgegen Wenn ein Firewallclient ber eine Winsock Anwendung ein Objekt von einem Computer anfordert berpr ft der Client ob der betreffende Computer als lokaler Computer eingestuft ist Eine Adresse gilt als lokal wenn sie im Adressbereich des jeweiligen Netzwerks enthalten ist Ist der anzurufende Server Computer nicht lokal wird die Anforderung an den Firewalldienst gesendet Der Firewalldienst verarbeitet die Anforderung und leitet diese basierend auf den Firewallrichtlinien an das entsprechende Ziel weiter Die Firewallclientsoftware kann ebenfalls wie der Webproxy Client allerdings nur f r HTTP HTTPS FTP Windows Benutzerinformationen die f r Authentifizierungszwecke ben tigt werden an den ISA Server Computer senden Der FW Client ist der einzige Client welcher eine 376 Benutzerauthentifizierung fiir jedes Protokoll unterstiitzt und ohne einen Anwendungsfilter komplexe Protokolle und sekund re Verbindungen unterst tzt F r eine wesentlich technischere bersicht ber den ISA Server Firewall Client lesen Sie folgenden Artikel Was ist Winsock Winsock ist die Kurzform f r Windows Socket Dabei handelt es sich um eine API Application Programming Interface die Windows Programmen ber das TCP IP Netzwerkprotokoll die Kommunikation mit anderen Computern erm glicht Allgemeines Die ISA Server Clientinstallationsdateien befinden sich normalerweise in einem Ordner auf dem I
265. hinzugef gt werden Neu Bearbeiten L schen Hetzwerk Hetzwerks atz Computer Adressbereich Subnetz Computersatz URL Satz Domanennamensatz Weblistener Wenn ein bestehendes Element ausgew hlt ist kann es auch bearbeitet oder gel scht werden Dies gilt nicht f r bereits systemseitig vorhandene Elemente Sollte die Toolbox nicht angezeigt werden wenn Sie in der ISA Server Managementkonsole und darin den Knoten Firewallrichtlinie ffnen kann es sein dass sie verkleinert wurde In diesem Fall befindet sich am rechten Rand Mitte ein Verschiebeelement Damit kann die Toolbox nach links ausgeklappt werden 359 Erstellen eines neuen benutzerdefinierten Protokollelementes in der Toolbox Die Informationen in diesem Artikel beziehen sich auf e Microsoft ISA Server 2004 Im Artikel Toolbox wurde bereits der Werkzeugkasten vorgestellt der beim Erstellen oder Ver ndern einer Firewallrichtline als Vorratsbeh ter fiir die Bestandteile verwendet wird Dieser kurze Artikel hier beschreibt wie ein neues Protokollelement oder Protokolldefinition erstellt wird Aufgak Protokolle Im folgenden Beispiel wird ein Protokollelement f r das T Online ClassicGate erstellt Neu Bearbeiten welches bereits hier f r den ISA Server 2000 ausf hrlich beschrieben wurde Protokoll RPC Protokoll In der ISA Server Managementkonsole findet man unterhab des Knotens Firewallrichtlinie auf der
266. hl sselt verschl sselten Datenverkehr und berpr ft und Filtert nach Inhalt C 5L Tunneling 15A Server bertr gt unbearbeiteten verschl sselten Datenverkehr an den ver ffentlichten Webserver Hilfe ber SSL Bridging und Tunneln W hlen Sie die Option SSL Bridging damit die gesamte Kommunikation ber einen SSL Tunnel statt findet Assistent f r neue S5SL Webveroffentlichungsregel 3 l x Regelaktion ausw hlen Legen Sie fest wie f r diese Regel reagiert werden soll wenn Bedingungen nicht eintreten Aktion die beim zutreffen der Regelbedingungen ausgef hrt f verweigern Zur ck Abbrechen 210 Als Regelaktion wahlen Sie Zulassen aus Assistent f r neue SSL Webveroffentlichungsregel 3 x Bridgingmodus Legen Sie die zu sichernden verbindungen Fest Sichere verbindung mit Clients 15A Server nimmt Anforderungen von Clients ber eine sichere Yerbindung HTTPS an und leitet Anforderungen an den Webserver ber eine standardm l ige verbindung HTTP weiter Sichere verbindung mit Webserver ISA Server nimmt Anforderungen von Clients ber eine standardm ige verbindung HTTP an und leitet Anforderungen an den Webserver ber eine sichere Yerbindung HTTPS weiter 15A Server nimmt Anforderungen von Clients ber eine sichere Yerbindurg HTTPS an und leitet Anforderungen an den Webserver ber eine sichere verbindung HTTPS weiter lt Zur ck Abb
267. hreibt die M glichkeit den ISA so einzurichten dass er bestimmte andere Server oder Dienste auf deren Verf gbarkeit berpr ft und je nach Zustand Ma nahmen ergreift Es gibt drei Methoden zur berpr fung der Konnektivit t HTTP GET Anforderung senden Wenn diese Methode konfiguriert wurde sendet ISA Server eine HTTP GET Anforderung und wartet auf die Antwort Mit dieser Methode k nnen Sie berpr fen ob ein Webserver ausgef hrt wird und f r ISA Server erreichbar ist Pinganforderung senden Wenn diese Methode konfiguriert wurde sendet ISA Server eine Anforderung ICMP ECHO_REQUEST an den angegebenen Server und wartet auf die entsprechende Antwort ICMP ECHO_REPLY Mit dieser Methode k nnen Sie berpr fen ob ein Server ausgef hrt wird und f r ISA Server erreichbar ist TCP Verbindung ber dieses Protokoll herstellen Wenn diese Methode konfiguriert wurde versucht ISA Server eine TCP Verbindung mit einem bestimmten Port auf dem angegebenen Server herzustellen Mit dieser Methode k nnen S e berpr fen ob ein bestimmter Dienst auf dem Server ausgef hrt wird und f r ISA Server erreichbar ist Um eine neue Konnektivit tsverifizierung einzurichten oder sich bestehende anzeigen zulassen w hlt man die Registerkarte Konnektivit t im Knoten berwachung der ISA Server Management Konsole aus 313 Microsoft Inkernet Secut ig 15A2K4 002 Internet Security amp berwachung von ISA2K z
268. hrem Benutzerprofil gespeichert und steht nur zur Verf gung wenn Sie angemeldet sind Verbindung erstellen f r Eigene Verwendung Zur ck Abbrechen Geben Sie jetzt die Internetkontoinformationen f r das Herstellen der Verbindung zum Internet Provider an Die Daten erfahren Sie bei Ihrem Internetanbieter Die beiden Haken k nnen Sie gesetzt lassen 463 Assistent f r neue erbindungen a Internetkontomformationen Sie benotigen einen Kontonamen und ein Kennwort fur die Anmeldung an Ihrem Internetkanto Geben Sie einen Kontonamen und ein Kennwort f r den Internetdienstanbieter ein Schreiben Ste diese Informationen auf und verwahren Sie sie an einem sicheren Ort wenden Sie sich an den Internetdienstanbieter wenn Sie den Kontonamen oder das Kennwort eines vorhandenen Kontos vergessen haben Benutzername surf callsaspecial Kennwort oseeees F ennwort best tigen oasasss M Diesen Kontonamen und Kennwort f r die Internetwrerbindurg aller Benutzer dieses Computers verwenden M Verbindung als Standardinternetserbindung verwenden ZWUCE Abbrechen Der Assistent hat alle Informationen erhalten Sie k nnen den Assistenten mit einem Mausklick auf Fertig stellen beenden Assistent f r neue Yerbindungen Fertigstellen des Assistenten Die erforderlichen Schritte zum Erstellen der folgenden Yerbindung wurden erfolgreich abgeschlossen Callisa Verbindung als Standardyerbindung verwende
269. hrt werden Diese Schritte sind vom Typ des erstellten Netzwerks abh ngig Wir konzentrieren uns auf das Site to Site Netzwerk mit L2TP Site to Site VPN mit L2TP Damit Clients eine Verbindung aus dem VPN ber PPTP Point to Point Tunneling Protokoll oder L2TP Layer Two Tunneling Protokoll herstellen k nnen m ssen S e die folgenden Schritte durchf hren e Erstellen Sie einen Benutzer mit dem Namen des neuen Netzwerks Geben Sie dann f r die RAS Berechtigungen Zulassen an e Erstellen Sie Netzwerkregeln die Datenverkehr zu und von diesem Netzwerk zulassen e Erstellen Sie Zugriffsregeln die Datenverkehr zu und von diesem Netzwerk zulassen Erstellen eines Benutzers Bei der Erstellung eines Benutzer ist der Reiter Einw hlen wichtig Dort muss dem Account der Zugriff gestattet werden 415 Eigenschaften von Standort B5 Sicherheit Umgebung Serungen Remolsuberwachung Teimrinaldenstprofie Allgemein Adese Konto Pro Rufnummern Organisation Vercttentichte Zertifikate Mitgled von Einw hlen Objekt gt Eirus hlen oder VFN C Zuge verweigem G Zug Uber RAS Richtinien steuern Kein Rucknul 7 Vom Arner festgelegt nur ARAS Dienst Immer R ck uf arc r Staheche P Adecn zueigen oT Stateche Rouen anwenden Deiner zu akinaeende Routen f r dese Ermahlvertinde g Erstellen von Zugriffsregel Da es sich bei einem Site
270. htung des Port Forwarding ist von Router zu Router unterschiedlich Das Beispiel zeigt das Port Forwarding eines SOHO Netgear Routers SEIEN p itni aia Anfangs End IP Adresse des einstellen aa E Port sE Port al Servers Routerautrustung Port Triggering WAN Setup LAN IP Konfiquration Dynamic DNS Static Routes Remote Add Custom service Edit service Delete Service VPN Verbindungs berwachung Sie k nnen VPN Sitzungen berwachen indem Sie die Ansicht Sitzungen so filtern dass nur VPN Verbindungen angezeigt werden Konfigurieren Sie den Filter zum berwachen von VPN Clients so dass als Sitzungstyp VPN Client ausgew hlt ist Konfigurieren Sie zum berwachen der Verbindungen aus einem Remotestandortnetzwerk den Filter in der Ansicht Sitzungen so dass f r das Quellnetzwerk die Option VPN Remotestandort ausgew hlt ist Verwandte Aufgaben a VPN Clients berwachen YPN Llenktkonfiguration exportieren gt VPE Clientkonfiguration importieren 436 S zungstyp Gleich WPN Cliert Protokollierung ISA Server 2004 unterst tzt folgende Protokollierungstypen f r VPN Verbindungen e Ereignisprotokollierung Systemprotokoll e ISA Server Protokollierung MSDE e Authentifizierungs und Kontof hrungsprotokollierung auf der Grundlage von RADIUS bersicht ber die Quarant nesteuerung ISA Server 2004 bietet ein neues Feature zur sicheren Anbindung von VPN Clients an das lokale Netzwerk d
271. icherheit HTTF Header Benutzerdefinierte Fehler Authentifizierung und Zugriffsteuerung Aktivieren Sie anonymen Zugang und bearbeiten Sie die Autchentifizierungs methoden f r diese Ressource Einschr nkungen f r IP Adressen und Dom nennamen auf diese Ressource ber IP Adressen oder Internetdam nenn amen Bearbeiten E gew hren oder verweigern Sie den Zugriff Sichere kommunikation Setzen Sie sichere Kommunikation SE voraus und aktivieren Sie SERYERZEFNGAG Clientzertifikate beim Zugriff auf diese re Reet Zertifikat anzeigen Bearbeiten OK Abbrechen bernehmen Hilfe Abschlie end k nnen Sie unter der Option Sichere Kommunikation weitere Einstellungen bzgl der SSL Verschl sselung konfigurieren Sichere Kommunikation i DB x W Sicheren Kanal voraussetzen 55L Clientzertifikakte f Clentzertifikate ignorieren Clentzertifikate akzeptieren Clientzertifikate voraussetzen I Zuordnung von Clientzertifikaten aktivieren lientzertifikate k nnen Windows Benutzerkonten zugeordnet werden Dies erm glicht eine Steuerung des Zugriffs auf Ressourcen mit Clientzertifikaten Beebe Abbrechen Hilfe ee Setzen Sie den Haken bei Sichern Kanal voraussetzen SSL um Anfragen nur per SSL zu zulassen Optional k nnen Sie eine Verschl sselungsst rke von 128 Bit fordern 2 Konfiguration des ISA Servers 2004 2 1 Erstellen einer siche
272. icherheitsprinzipal Objekttypen Suchpfad ISAB2 01 Ffade Geben Ste die zu verwendenden Ubjektnamen ein Beispiele 1556 2 01 Dieter Erweitert OF Abbrechen 2 Steuerung delegieren Gruppe empfohlen oder I5AB2 01 DieterR Durchsuchen Rolle ISA Server Hauptadministrator Rollenbeschreibung gew hrt Yollzugriff auf alle 15 4 Seryer Konfigurationsoptionen Protokollierung und Berichterstattung Au erdern k nnen Hauptadministratoren die 154 Server Steverung auf andere Administratoren delegieren 127 ISA Server Yerwaltungsdelegierungs Assistent i u Benutzer oder Gruppen Wahlen Sie mindestens einen Benutzer oder eine Gruppe dem bzw der Sie die Verwaltung zuweisen m chten Benutzer und Gruppen Mame Rolle I5AB2 01 4dministrator 154 Server Hauptadministrabor VORDEFINIERT Aadministratoren 54 Server Hauptadministratar ISABZ 011DieterR 154 Server Hauptadministrabor Bearbeiten Hinzuf gen pees Abbrechen Zur ck Nachdem ein Benutzer hinzugef gt wurde erscheint eine Zusammenfassung Empfohlen wird statt eines einzelnen Benutzers eine Gruppe zu verwenden Prinzipiell sollten Berechtigungen nur auf Gruppenebene statt auf Benutzerebene vergeben werden Dies betrifft nicht nur die ISA Konfiguration vielmehr die Filesystem und Exchangerechte Gruppen sind wesentlich flexibler handhabbar ohne
273. icherungsdatei lt fpc4 Name dt dt string gt DHCP Anforderung lt fpc4 Name gt lt fpc4 Predefined dt dt boolean gt 1 lt fpc4 Predefined gt lt fpc4 ProtocolCategory dt dt int gt 4 lt fpc4 ProtocolCategory gt lt fpc4 Refs StorageName ApplicationFilters StorageType 1 gt lt fpc4 ProtocolConnections StorageName PrimaryConnections StorageType 1 gt lt fpc4 ProtocolConnection StorageName 1e24fd7c 7b32 4f58 8e0e sfdd297d891c StorageType 1 gt lt fpc4 ConnectionType dt dt int gt 17 lt fpc4 ConnectionType gt lt fpc4 Direction dt dt int gt 1 lt fpc4 Direction gt lt fpc4 PortHigh dt dt int gt 67 lt fpc4 PortHigh gt lt fpc4 PortLow dt dt int gt 67 lt fpc4 PortLow gt lt fpc4 ProtocolConnection gt lt fpc4 ProtocolConnections gt lt fpc4 Protocal gt lt fpc4 Protocol StorageName a3244b59 ca48 4619 8163 0b65676bd959 StorageType 1 gt lt fpc4 Components dt dt Int gt 16 lt fpc4 Components gt lt fpc4 Guid dt dt string gt a3244b59 ca48 4619 8163 0b65676bd959 lt fpc4 Guid gt 132 2 Restore F r ein Restore ist der Weg nahezu identisch Ld Microsoft Internet Security amp Acceleration Server e Aktualisieren hr E Benutzerberechtigungen definieren rea Exportieren Importieren Trennen Sichern Wiederherstellen Ansicht d Eigenschaften Hilfe Array wiederherstellen Suchen in E Eigene Dateien
274. ie IP Adresse 172 16 19 1 der interne DC mit DNS die Adresse 172 16 19 2 Konfiguration ber DHCP Server Grunds tzliche Informationen zur Verwendung eines DHCP Servers k nnen u a n der Online Hilfe des Windows Servers nachgelesen werden Die Information zum Standardgateway werden in der DHCP Option 003 Router hinterlegt die entweder ber Bereichs oder ber Serveroptionen hinzugef gt wird Datei Aktion Ansicht 7 e EE EHLP is halef msisafag org 172 16 19 2 ER Bereich 172 16 0 0 Interne Clients E Adresspool li Adressisases ef 003 Router 172 16 19 1 keine ef O06 DNS Server 172 16 19 2 keine ef 015 DMWS Domanenname msisafag org keine Im oberen Beispiel werden den Clients auch Informationen zu DNS mitgegeben In den Eigenschaften der Netzwerkverbindung des Clients in der Regel ist nur eine mit dem Namen LAN Verbindung vorhanden die Eigenschaften von Internetprotokoll TCP IP aufrufen ade _ Eigenschaften von VMNet3 EIE Eigenschaften von Internetprotokoll TCP IP PR Allgemein Authentifizierung Erweitert Allgemein Alternative Konfiguration Yerbindung herstellen unter Yernvendung won IF Einstellungen konnen automatisch zugewiesen werden wenn das Netzwerk diese Funktion unterst tzt Wenden Sie sich anderntalls an den Netzwerkadministrator um die geeigneten IF Einstellungen zu beziehen IP Adresse automatisch beziehen Diese Werbindung verwendet folgen
275. ie VPN Quarantine Control Die Quarant nesteuerung gew hrt Remote VPN Clients einen Netzwerkzugriff in Stufen Dieser wird auf einen Quarant nemodus beschr nkt bis der Zugriff auf das Netzwerk zugelassen wird Sobald sich die Konfiguration des Clientcomputers in bereinstimmung mit den spezifischen Quarant neeinschr nkungen Ihrer Organisation befindet wird auf die Verbindung die Standard VPN Richtlinie angewendet Dabei wird der angegebene Quarant netyp ber cksichtigt In den Quarant neeinschr nkungen kann beispielsweise festgelegt werden dass w hrend der Verbindung zum Netzwerk Antivirus Software installiert und aktiviert wird Obwohl die Quarant nesteuerung keinen Schutz vor Angreifern bietet k nnen Computerkonfigurationen f r autorisierte Benutzer berpr ft und ggf korrigiert werden bevor diese Benutzer n der Lage sind auf das Netzwerk zuzugreifen Dar ber hinaus k nnen Sie ber einen Zeitraum definieren nach welchem Zeitraum die Verbindung getrennt wird wenn der Client die Quarantine Anforderungen nicht erf llt s437 ISA Server 2004 VPN Quarantine Control Die Informationen in diesem Artikel beziehen sich auf e Microsoft ISA Server 2004 Einleitung Dieser Artikel ist als Erg nzung f r den folgenden Artikel zu sehen VPN mit PPTP und beschreibt die Einrichtung des ISA Server 2004 VPN Quarantine Control Features Was ist VPN Quarantine Control Bei dem VPN Quarantine Control Feature handelt es sic
276. ientinstallat Diagnosedienste I_rAP Windowws Betziwerk Microsoft Fehlerberit HTTP Konnektivitats Protokollierung Durch Aktivieren dieser Konfigurationsgruppe sind Systemrichtlinien m glich die die Remoteverwaltung von 154 Server mittels Terminalserver von ausgew hlten Computern aus zulassen Klicken Sie auf die Registerkarte Yon um die Computer anzugeben M Aktivieren Abbrechen Hier muss der Haken gesetzt sein Anschlie end sollte man sicherstellen dass n der Registerkarte Von nur ein Computerset enthalten ist welches wiederum nur die berechtigten Rechner beinhaltet 137 Systemrichtlinien Editor Konfigurationsgruppen Allgemein Yon EJ Netzwerkdienste DHCP DHS MTF Sq Authentifizierungsdiensti Active Directory RADIUS RS4 SecurlD CRL Download Remoteverwaltung Microsoft Manageme Diese Regel betrifft Datenverkehr von diesen Quellen Hinzuf gen Za Remoteverwaltungscomputer Bearbeiten Enthernen all ag Terminalserver ICMP Ping Ausnahmen SJ Firewallcient Hinzuf gen Firewallcientinstallat Diagnosedienste Bearbeiten I_rAP Windows Netzwerk Enthernen Micrasofk Fehlerberic HTTP Konnektivitaks Sy Protokollierung OK Abbrechen i Man kann gleich hier berechtigte Computer der Gruppe Remoteverwaltungscomputer hinzuf gen Es empfiehlt sich in dieser Gruppe gleich alle Rechner hinzuzuf ge
277. ieren Wenn IP Routing deaktiviert ist sendet ISA Server nur die Daten nicht das gesamte Paket zum Ziel ISA Server 2004 verwaltet sekund re NAT Verbindungen von komplexen Protokollen z B FTP direkt im Kernel Mode welches den Durchsatz f r Protokolle mit sekund ren Protokollen erheblich beschleunigen kann Sekund re Verbindungen f r Secure NAT Clients werden allerdings nur unterst tzt wenn ein Applikations Filter f r das Protokoll auf dem ISA Server 2004 installiert ist Sie m ssen also hier eine Entscheidung zu Gunsten der Performance aktiviertes IP Routing oder zu Gunsten der Sicherheit deaktiviertes IP Routing treffen Aufgrund der Tatsache dass IP Routing per Default aktiv ist und auch andere Firewallimplementationen per Default IP Routing aktivieren k nnen Sie diese Einstellung unver ndert lassen IP Einstellungen bernehmen 114 Konfiguration des ISA fur automatische Suche der Clienteinstellungen WPAD WSPAD Die Informationen in diesem Artikel beziehen sich auf e Microsoft ISA Server 2004 Die automatische Suchfunktion des ISA Server erm glicht die Konfiguration von Clients sodass sie automatisch den entsprechenden ISA Server Computer suchen und finden Auf diese Weise k nnen zum Beispiel mobile Clients eine Verbindung zum n chstgelegenen ISA Server Computer herstellen Dies ist besonders f r Unternehmen mit mehreren Standorten interessant Jeder Standort ist durch einen eigenen ISA Server gesch
278. ieren um die angezeigte Datenmenge zu begrenzen und bersichtlichere Auswertungen definieren zu k nnen S rosa Internet Security k Acceleration Server 7004 ya pn peg Incl ny berwachung von Ea Frrewshrichl ne sd Vebueke private Netzwerke YEN EE Konfiguration Kicker Se auf Abf aze starten um eine neue Abfrage zu starten Klicken Sie auf Fiter bearbetar um einen Fiber au erstellen und eine neue Abfrage zu starten 332 Der Standard Abfrage Filter filtert nach dem Protokolldatensatztyp Firewall oder Webproxyfilter der Anzeige der Daten in Echtzeit und nach jedem Verbindungsstatus Filter bearbeiten anpa i pje Protokolldatensatztyp Gleich Firewall oder Webproxyfilber Protokollierungszeit Aktuel Aktion Ungleich Verbindungsstatus ST Aktualsieren zur Liste hirzuf ger S e k nnen den Filter modifizieren indem S e m Standard Filter unter Filtern nach den Filtertyp ausw hlen und dann anpassen Sie k nnen auch einen eigenen Filter erstellen indem S e unter Filtern nach einen Filter ausw hlen Es stehen zahlreiche Filterm glichkeiten zur Verf gung Eine bersicht ber die Filterm glichkeiten zeigt das n chste Bild 333 Aktion Authentifizierter Client mar oder WeboroxFilber verbindungsstatus auare Nachdem Sie einen Filtertyp ausgew hlt haben in diesem Beispiel Client IP
279. ierung der Angriffsoberflache e Deaktivierung nicht ben tigter Dienste e Installation nur der notwendigsten Windows Komponenten e Einschr nkung der administrativen Zugriffe e Einsatz von Sicherheitsvorlagen s345 Deaktivierung nicht benotigter Dienste Erforderliche Dienste um die Funktionalit t des ISA Servers sicher zu stellen Festplattenmanagement Administrative Service Microsoft Firewall Erforderlich f r den ISA Server Control Job Scheduler Storage ISA Server Network Connections Betriebssystem Netzwerkinfrastruktur NTLM Security Support Betriebssystem Sicherheit Manuell Provider Plug and Play Protected Storage Betriebssystem Sicherheit Connection Manager RPC Secondary Logon Betriebssystem Sicherheit Manager Client Share Betriebssystem Sicherheit ISA Server Notification Virtual Disk Service Betriebssystem Windows Management Betriebssystem WMI Instumenation WMI nn Adapter 346 Installation nur der notwendigsten Windows Komponenten Installieren Sie auf der Windows Maschine nur ben tigte Komponenten und verzichten Sie auf zus tzliche Programme wie DHCP WINS RIS Terminalserver usw wenn diese nicht absolut notwendig sind Assistent f r Windows Komponenten wWindows Komponenten Yindows Kompanenten konnen hinzugef gt bzw entfernt werden Klicken Ste auf die Kontrallk astchen der Komponenten die hinzugef gt bzw entfernt werden sollen Grau gef
280. ifisch dass hei t Sie k nnen den HTTP Filter pro Firewallregel konfigurieren Einzige Ausnahme von der Regel Die Angabe der maximalen Header L nge im Feld Anwendungsheader ist f r alle HTTP Policies g ltig Eine nderung die Sie hier vornehmen gilt f r alle Policies S Microsoft Internet Security amp Acceleration Server 2004 Datei Aktion Ansicht 4 m al atxQOOoOs 5 Microsoft Internet Security amp Acceleration Server 201 a i W2K3MARC TJ berwachung Firewallrichtlinie D Virtuelle private Netzwerke VPN H S Konfiguration lb Netzwerke Firewallrichtlinie Reihenfolge Aktion Protokolle Yon Listener off Cache zulassen MA HTTP 1 Add Ins Eigenschaften 2 Allgemein e Letzte L schen 8 verweigern Pa Gesamter Datenverkehr Kopieren Auswahl exportieren Auswahl importieren Deaktivieren HTTP konfigurieren Bemerkung Der HTTP Filter im ISA Server 2004 kann auch HTTPS Datenverkehr filtern wenn es sich bei dem Datenverkehr um eine sichere Webserverver ffentlichung handelt bei der die Anfrage im so genannten Bridge Mode betrieben wird Im Bridge Mode wird die HTTPS Anfrage am ISA Server aufgehoben und vom ISA Server erneut SSL verschl sselt und an den Client z B internen Webserver gesendet Im SSL Tunnelmodus explizite SSL Verbindung zwischen Client und externem Server ist keine Webfilterung m glich Sie m ssen dazu Software von Drittanbietern verwenden
281. igen Zeichenfolge mit dem Namen NSPI interface protocol sequences Als Wert f r diesen Registrierungsschliissel geben Sie ncacn_http 6004 ein Wiederholen Sie diesen Schritt f r jeden Globalen Katalog Server in Ihrem Netzwerk 4 Konfiguration des ISA Servers Am ISA Server selbst muss eine Sichere Webver ffentlichung erstellt werden um die Anforderungen an den RPC ber HTTP Proxy auf dem Exchange Server weiter zu leiten Zus tzlich ist ein Zertifikat f r die SSL Verschl sselung notwendig das an den Weblistener gebunden werden muss 208 Wie Sie ein Zertifikat am ISA importieren finden Sie unter folgender Anleitung e OWA SSL Teil 3 4 1 Erstellen einer Sicheren Webserververoffentlichung Teil 1 Assistent f r neue SSL Webrer ffentlichungsregel i x Willkommen Here tve nternet Security Acceleration Server 2004 Mit diesem Assistenten k nnen Sie eine sichere Website mit SSL Bridging oder Tunneling ver ffentlichen Regelname f r SSL ebwer ffentlichung RPC over HTTPS Webwer ffentlichung Klicken Sie auf Weiter um den Yorgang fortzusetzen Uruk Abbrechen Erstellen Sie ber Servername gt Firewallregeln gt Neu gt Sichere Webserverver ffentlichung eine neue Firewallregel 209 Assistent f r neue SSL Webrer ffentlichungsregel x Yer ffentlichungsmodus Legen Sie fest ob ISA Server Anforderungen an die Website berpr fen und Filtern soll 15A Server entsc
282. iguriert unzutreffend Wiederherstellung Dienstinitialisierungfehler Der Dienst konnte nicht initialisiert werden Dienst antwortet nicht Ein ISA Server Dienst wurde beendet bzw unerwarteterweise angehalten Dienst heruntergefahren Ein Dienst wurde ordnungsgem beendet Dienstname Dienst gestartet Ein Dienst wurde ordnungsgem gestartet Dienstname Langsame Konnektivit t ISA Server hat eine langsame Verbindung mit dem angeforderten Server festgestellt SMTP Filterereignis Eine SMTP Befehlsregel Simple Mail Transfer Protocol wurde verletzt SOCKS Konfigurationsfehler Der in den SOCKS Eigenschaften angegebene Port wird von einem anderen Protokoll verwendet SYN Angriff Durch ISA Server wurde ein SYN Angriff festgestellt Nicht registriertes Ereignis Ein nicht registriertes Ereignis ist aufgetreten Upstreamverkettungs Die Upstreamverkettungs Anmeldeinformationen sind ungultig Anmeldeinformationen VPN Verbindungsfehler Ein VPN Clientverbindungsversuch ist fehlgeschlagen In Abh ngigkeit des gew hlten Ereignisses stehen verschiedene Auswahlm glichkeiten als Zus tzliche Bedingung zur Verf gung Im Beispiel der Alarmdefinition f r Dienst gestartet stehen folgende Bedingungen zur Verf gung e Beliebiger ISA Server Dienst e ISA Server Steuerungsdienst e ISA Server Firewalldienst e ISA Server Auftragsplanungsdienst In der unteren H lfte der Registerkarte werden weitere Eigenschaften des Alarms d
283. ilter und somit der Webproxyclient unterst tzt die folgenden Protokolle FTP HTTP und HTTPS Es muss wie beim SecureNAT Client keine Software auf dem Client installiert werden es ist hnlich wie bei diesem nur eine Konfigurationsangelegenheit Dabei spielt es erstmal keine Rolle welcher Webbrowser verwendet wird S mtliche HTTP 1 1 kompatible Browser z B Microsoft Internet Explorer Version 3 02 und h her sowie Netscape 2 0 und h her unterst tzen einen Proxy f r ausgehende Anfragen Lediglich wenn die Authentifizierung auf Benutzerebene verwendet werden soll wird ein Internet Explorer ben tigt um die integrierte Authentifizierung zu verwenden der Netscape unterst tzt nur Standardauthentifizierung Die Einstellungen k nnen entweder an jedem Client manuell vorgenommen werden oder per Gruppenrichtlinie und ggfs zusammen mit WPAD verteilt werden 392 Entlemen amstelungeri pert e Immer standardyerbindung wahlen Aktueller Standard Keine Als Standard bernehmen Konfiguration eines Internet Explorers als Webproxyclient 393 Mozilla F File Edit View Go Bookmarks Tools Window Help 3 T E ard Reload Stoo Preferences Appearance Navigator es Composer EMail amp Newsgroups Direct connection to the Internet Privacy amp Security Manual proxy configuration H Advanced HTTP Proxy 172 16 19 1 ort Scripts amp Plugins Keyboard Navigation SSL Proxy 172 16 19 1 o
284. in Weblistener spezifiziert die IP Adressen und den Port die der 15 4 Server Lomputer f r eingehende Webantordernungen abhort Weblistenername Weblistener IF 172 16 1 60 Formsbased Klicken Sie auf Weiter um den Yorgang fortzusetzen 2 ZUTUCK Abbrechen Vergeben S e einen Namen f r den Weblistener 249 Assistent f r neue Weblistenerdefinition l x IP Adressen Ein Weblistener kann alle IP Adressen die mit einem Netzwerk auf dem 15 4 Server assoziiert sind einschlie en Sie konnen aber auch bestimmte IP Adressen ausw hlen Diese Netzwerke auf Anforderungen abh ren EL IP s m Extern C Intern Alle rar Lokaler Host Alle IP Adressen 2 Quarant nen YPN Clients Alle IP Adressen C amp YFN Clients Alle IP Adressen me Da a Se eee oe ee ae PE eo de a Adresse Hilfe uber Wreblistener lP Adressen uruck Abbrechen Geben Sie das Netzwerk an von dem Zugriff zugelassen werden soll Extern Netzwerklistener IP Auswahl ga x Anforderungen abh ren auf Allen IP Adressen auf dem ISA Server Computer im ausgew hlter Netzwerk Der Standard IP Adresse auf dem ISA Server Camputer im ausgew hlter Netzwerk verf gbare IP Adressen Ausgew hlte IP Adressen IP Adresse server IP Adresse 172 16 1 50 Fuu srw1 Enthernen OK Abbrechen W hlen Sie die Option Angegebenen IP Adressen auf dem ISA Server Computer im
285. in geeignetes Clientzertifikat pr sentieren oz SSL f hrt die Authentifizierung durch indem w hrend des Anmeldeprozesses der Inhalt einer verschl sselten digitalen Identifikation vom Webbrowser des Benutzers berpr ft wird Die Benutzer erhalten ihre Clientzertifikate von einer externen Organisation der beide vertrauen Die Serverzertifikate enthalten identifizierende Informationen ber den Server In den Clientzertifikaten sind normalerweise identifizierende Informationen ber den Benutzer und die Organisation von der das Zertifikat ausgestellt wurde enthalten e RADIUS RADIUS Remote Authentication Dial In User Service ist ein Industriestandardprotokoll das in RFC 2865 Remote Authentication Dial in User Service RADIUS beschrieben ist Das RADIUS Protokoll dient zur Authentifizierung Ein RADIUS Client in der Regel ein DFU Server VPN Server oder Drahtloszugriffspunkt sendet Benutzeranmeldeinformationen und Verbindungsparameterinformation in Form einer RADIUS Nachricht an einen RADIUS Server Der RADIUS Server authentifiziert die RADIUS Clientanforderung und sendet eine RADIUS Nachrichtenantwort zur ck Clientanmeldeinformationen werden durch RADIUS Server nicht nur authentifiziert sondern auch autorisiert Wenn daher ISA Server vom RADIUS Server eine Antwort erh lt gem der die Clientanmeldeinformationen nicht zugelassen werden kann dies auch bedeuten dass der RADIUS Server den Client nicht autorisieren konnte S
286. ine Fehlkonfiguration gefunden haben k nnen Sie alle get tigten aber noch nicht gespeicherten bernehmen Anderungen wieder verwerfen 286 Veroffentlichen eines internen Terminalserver oder interner Remotedesktop Services Die Informationen in diesem Artikel beziehen sich auf e Microsoft ISA Server 2004 Der vorliegende Artikel beschreibt die notwendigen Schritte um den ISA Server f r den Zugriff ber das Remotedesktopprotokoll RDP auf einen internen Server einzurichten Einrichten des internen Servers oder Computer zur Fernverwaltung mittels Remotedesktop RDP Um den Server ber die Remotedesktop Funktionalit t von Windows Server 2003 bei Windows 2000 Server ist es das selbe Prinzip die Technik hei t dort jedoch noch Terminaldienst im Administrationsmodus verwalten zu k nnen muss am Windows Server ein kleiner Konfigurationsschritt durchgef hrt werden Systemeigenschaften ajx Allgemein Computename Hardware Erweitert Automatische Updates Remote Ki Legen Sie fest wie dieser Computer von einem anderen Standort aus verwendet werden kann r Remoteunterstutzung m Femoteunterstatzung aktivieren und das Senden von Einladungen yon diesem Computer zulassen weitere Informationen uber Fiemoteunterst tzun Ensete r Remotedesktop e Benutzern erlauben eine Remotedesktopyerbindung herzustelleri Vollstandiger Computermame zonne mslzatag mu
287. inem anderen Standort steht Genau deshalb gibt es nat rlich die M glichkeit den ISA Server fernzuwarten Es stehen zwei unterschiedliche Methoden zur Verf gung Remote Desktop und Managementkonsole Einrichten des ISA Servers zur Fernverwaltung mittels Managementkonsole MMC Die Vorbereitungen des ISA Servers zur Fernkonfiguration ber die MMC hnelt der Konfig f r RDP Es muss wieder eine Systemrichtlinie angepasst werden Systemrichtlinien Editor 3 xl Kanfigurationsgruppen Allgemein Won Netzwerkdienste Durch Aktivieren dieser Konfigurationsgruppe sind Systemrichtlinien m glich die die Remoteverwaltung von 154 Server mittels MMC von ausgew hlten Computern aus zulassen Klicken Sie auf die Registerkarte Yon um die Computer anzugeben DHCP DHS MTF Sq Authentifizierungsdiensti Active Directory RADIUS RS4 SecurlD CRL Download Remoteverwaltung a Microsoft Managem Terminalserwer ICMP Ping Firewallclient Firewallclientinstallat M Aktivieren m Diagnosedienste 1 j Sie m ssen Administratorrechte zuweisen damit die Remoteyerwaltung verwendet werden kann I_rAP Windows Hetzwerk Microsoft Fehlerberit HTTP Konnektivitats Protokollierung Abbrechen 141 Hier muss der Haken gesetzt sein AnschlieBend sollte man sicherstellen dass in der Registerkarte Von nur ein Computerset enthalten ist welches wiederum nur die berechtigten Rechner beinha
288. iner leeren Zeichenfolge oder eines NULL Zeichenfolgenzeigers aufgel st Winsock Anwendungen rufen gethostbyname LocalHost auf um hre lokale IP Adresse zu suchen und an einen Internetserver zu senden Ist die Option auf L eingestellt gibt gethostbyname die IP Adressen des lokalen Hostcomputers zur ck Ist die Option auf P eingestellt gibt gethostbyname die IP Adressen des ISA Server Computers zur ck Ist die Option auf E eingestellt gibt gethostbyname nur die externen IP Adressen des ISA Server Computers zur ck die IP Adressen die sich nicht in der lokalen Adresstabelle befinden ControlChannel M gliche Werte Wsp udp oder Wsp tcp Standardeinstellung Gibt den Wert des verwendeten Steuerkanals an EnableRouteMode M gliche Werte sind O und 1 Standardeinstellung Wenn EnableRouteMode auf 1 eingestellt und ein Routeverh ltnis zwischen dem Firewallclientcomputer und dem angeforderten Ziel eingerichtet ist wird die IP Adresse des Firewallclients als Quelladresse verwendet Ist dieser Wert auf O eingestellt wird die IP Adresse des ISA Server Computers verwendet Dieses Flag wird von alteren Versionen des Firewallclients nicht unterstutzt Reihenfolge der Anwendung der Einstellungen Die INI Dateien im Ordner des Benutzers haben Vorrang Als N chstes berpr ft der Firewallclient den Inhalt des Ordners All Users Alle weiteren Konfigurationseinstellungen werden ggf bernommen Falls eine festgelegte K
289. ines Clients zum SecureNAT Client In den Eigenschaften der Netzwerkverbindung des Clients in der Regel ist nur eine mit dem Namen LAN Verbindung vorhanden die Eigenschaften von Internetprotokoll TCP IP aufrufen 373 Eigenschaften von VMNet3 23 Eigenschaften von Internetprotokoll TCP IP BE Allgemein Authentifizierung Erweitert Allgemein Verbindung herstellen unter Yerwendung yor IP Einstellungen konnen automatisch zugewiesen werden wenn das Netzwerk diese Funktion unterst tzt Wenden Sie sich andernfalls ar E Ethernetadapter der AMD FENE T Familie 2 den Netzwerk administrator um die geeigneten IF Einstellungen zu beziehen O lF Adresse automatisch beziehen Diese Yerbindung verwendet folgende Elemente Folgende IF Adresse verwenden E Client BIERNEIRSBIEDISIEMEIKE je 17 16 19 110 al Datei und Druckerfreigabe fur Microsott Netewerke al GoS Paketplaner subnetzmaske 255 255 255 0 Internetprotok all TCP IP Standardgatevay 172 16 Pele koha anaa En Po bea eee Bere UN o SETVETECIESs e aulomalsch beziehen Beschreibung Folgende ONS Serveradressen verwenden TCPVIP das Standardprotokoll f r WAN Hetzwerke das den l Datenaustausch uber verschiedene miteinander verbundene Bevorzugter DNS Server 2 16 19 2 Het k oglicht Bean Alternativer DNS Server Symbol bei Yerbindung im Infobereich anzeigen Abbrechen Im Beispiel f r diesen Artikel hat der ISA Server d
290. inie ffnen Sie den Systemrichtlinien Editor ber das Kontextmen des Management Konsole Knoten Firewallrichtlinie und zeigen Sie auf den Punkt Remoteverwaltung ICMP Ping 177 Systemrichtlinien Editor 5 2x Eonfigurationsgruppen Allgernein Won EJ Netzwerkdienste DHCP DRS MTF Sq Authentifizierungsdiensti Active Directory RADIUS RS4 SecurlD CRL Download Remoteverwaltung Microsoft Manageme Terminalseryver gt TG Firewallclient Firewallclientinstallat Diagnosedienste I_rAP Windowws Betziwerk Microsoft Fehlerberit HTTP Konnektivitats Protokollierung Durch Aktivieren dieser Konfigurationsgruppe sind Systemrichtlinien m glich die IZMP Pinganforderungen von ausgew hlten Computern an I54 Server zulassen Klicken Sie auf die Registerkarte Yon um die Computer anzugeben M Aktivieren Abbrechen Wie bereits erw hnt st diese Richtlinie akt v Hier k nnte s e auch deaktiviert werden Dann kann der ISA Server n cht mehr angepingt werden Im folgenden Screenshot sehen Sie die Standardeinstellung 178 1Systemrichtlinien Editor a a aes Konfigurationsgruppen Allgemein Yon EJ Netzwerkdienste DHCP DHS MTF Sq Authentifizierungsdiensti Active Directory RADIUS RS4 SecurlD CRL Download Remoteverwaltung Microsoft Manageme Terminalseryver Diese Regel betrifft Datenverkehr von diesen Quellen Hinzuf gen Sacer obeverwaltun
291. interessant Eine bestehende IP Verbindung vorausgesetzt entweder per Bluetooth Handy GPRS oder per WLAN kann man per RDP auf einen Server zugreifen und hn fernsteuern oder Konfigurationen vornehmen Allerdings ist das kleine Display gew hnungsbed rftig Was allerdings wenn der Terminalserver der Exchange oder Mailserver nicht ffentlich m Internet verf gbar s nd sondern durch einen ISA Server gesch tzt werden In diesem Fall bietet es sich an vom PocketPC aus eine VPN Verbindung zum ISA aufzubauen Dann ist man wie mit einem normalen Windows Client mit einer LAN internen IP Adresse ausgestattet und kann auf s mtliche Ressourcen zugreifen Das ist vom Prinzip her genauso einfach wie bei einem Windows 2000 XP Client Hinweis Wenn Sie Exchange Server 2003 einsetzen k nnen Sie mittels ActiveServerSync den PocketPC mit Exchange ohne ein VPN synchronisieren Sie m ssen dazu lediglich eine Webserverver ffentlichung f r diesen Dienst erstellen Sehen wir uns das Setup Schritt f r Schritt an 1 Herstellen einer Internetverbindung Bevor eine VPN Verbindung zum FirmenLAN hergestellt werden kann muss eine Internetverbindung bestehen Na gut es gibt auch noch die M glichkeit sich z B per HSCSD direkt in den RAS Server einzuw hlen Im folgenden wird jedoch der gebr uchlichere Weg ber eine Internetverbindung beschrieben WLAN WLAN ist die bandbreitenbeste Verbindung f r einen PocketPC Je nach Ger t muss nat rlich zu
292. irewall Client e Webproxy Client angezeigt Die Anzahl spiegelt nicht unbedingt die tats chliche Anzahl der Client Computer wieder weil ein Client mehrere Clientarten gleichzeitig verwenden kann Alarme 305 Aktualisieren A Jetet aktualisieren Bi Automatiche Aktualisierungsrate mte In der Registerkarte Alarme protokolliert der ISA Server wichtige Systemereignisse w e das Starten und Beenden von ISA 2004 Diensten und zum Alarmaufgaben Beispiel fehlende Konnectivit t Verbindungen In der Spalte Kategorie wird die A Alsemdefinitionen konfigurieren beteiligte ISA 2004 Komponente angezeigt Alarme f bersicht W Sitzungen W Di X Berichte X Konnektivit t Protokollierung Alarm Letzter Eintrag Skakus kategorie mo eS 2 a rn Tr ru a a ee ae a nenne ven oe Yi A E 2 a a amma mamas me Ls a PT See 8 amp kene Konnektivit t u 11 0 08 2004 07 45 40 i Neu jh tints Firewalldienst Da oo D E E a Das Verbindungsimit ande berschritten 11 08 2004 08 21 50 Heu sicherheit Das yerbindungslimit ards berschritten 11 08 2004 08 21 50 Meu sicherheit Der ISA 2004 bietet auch ausgefeilte Benachrichtigungsoptionen welche bei Erreichen eines bestimmten Systemzustandes aktiv werden Etwas versteckt befindet sich in der Taskbar die M glichkeit Alarmdefinitionen zu konfigurieren Mit Hilfe dieser Konfiguration kann sich der ISA Administrator bei dem Eintreten bestimmter
293. isauthentifizierung zulassen L sst die Authentifizierung des Clients durch den Webserver zu an den die Anforderung weitergeleitet wird Wie der Name vermuten l sst wird hier nur die Weitergabe der Credentials einer Basisauthentifizierung durchgef hrt Einstellungen f r Upstreamserver Klicken Sie auf Einstellungen um den Upstreamserver zu konfigurieren der die Anforderungen bearbeitet Alternativroute 97 Listet optionale ISA Server Computer zum Bearbeiten von Anforderungen auf wenn die Prim rroute nicht verf gbar ist Wenn Sie Upstreamproxyserver ausw hlen m ssen Sie festlegen welcher Server verwendet wird Klicken Sie auf Einstellungen um den fiir die Alternativroute verwendeten Upstreamserver zu konfigurieren Anforderungen umleiten an Gibt an dass ISA Server Anforderungen von Webproxyclients an ein anderes Ziel weiterleitet Geben Sie unter Standort die URL des anderen Ziels der Anforderung ein Geben Sie unter Port die Portnummer des anderen Ziels ein Geben Sie unter SSL Port die SSL Portnummer Secure Sockets Layer des anderen Ziels ein Automatisches Einw hlen verwenden Gibt an dass ISA Server f r die Verbindung zur Prim rroute eine DF Verbindung verwendet Diese DF Verbindung k nnen Sie ebenfalls in der ISA Verwaltungskonsole erstellen Ist keine DFU Verbindung vorhanden bleibt das Feld ausgegraut Assistent f r neue Webverkettungsregel Akt on anfordern Geben Sie an wie Clentanfo
294. ispiel mit Hilfe von unterschiedlichen Zeitpl nen festgelegt werden dass Birgit w hrend der Arbeitszeit die in einem Zeitplan von 08 00 12 00 und 13 00 bis 17 00 Uhr festgelegt wurde und w hrend der Mittagspause von 12 00 bis 13 00 Uhr definiert in einem zus tzlichen Zeitplan POP3 nutzen darf Wer den ISA Server 2000 kennt wird sich etwas umgew hnen m ssen Der ISA 2000 kannte verschiedene Orte Knoten innerhalb der Managementkonsole an denen Richtlinien f r den Zugriff nach au en und oder nach innen erstellt und verwaltet wurden Dies wurde in der aktuellen 2004er Version komplett ver ndert Es gibt nur noch einen Ort f r Richtlinien Um genau zu sein gibt es doch zwei Orte Es gibt einmal die Firewallrichtlinien und es gibt die Systemrichtlinien Firewallrichtlinien regeln grunds tzlich den Verkehr zwischen den verschiedenen Netzwerken Systemrichtlinien regeln alles was der ISA Server selber f r den Betrieb ben tigt Systemrichtlinien werden standardm ig nicht angezeigt k nnen jedoch eingeblendet werden Direkt nach der Installation existiert bereits eine Firewallrichtlinie Firewallrichtlinie Reihenfolge Mame Aktion Protokolle Yon Listener Mach Bedingung g Letzte Standardregel 8 verweigern BR Gesamter Datenverkehr a Alle Netzwerke fund lokaler Host Alle Netzwe ia Alle Benutzer Diese Richtlinie kann mit der Ausnahme der Protokollierungseinstellung nicht ver ndert werden un
295. it m glich mit welchem weitere Einstellungen konfiguriert werden Lesen S e hier mehr zum IEAK Der ISA Server kann f r die automatische Erkennung des ISA Servers f r den Firewall und Webproxy Client konfiguriert werden 379 Eigenschaften von Intern x Allgemein Adressen Domanen Webbrowser Automatische Erkennung Firewallclient Webproxy 155 Server bietet Informationen uber die automatische Erkennung f r Firewallchent und WWebprosyclents die WFAD Web Proxy Auto Discover Protokoll in QHOP oder DNS verwenden Versenden Sie die unterst tzten Funktionen wie z B einen DHS oder LIHLF Server um 154 Server Informationen zu veroffentlichen Hilfe uber automatische Erkennung fr informationen f r die automatische Erkennung ver ffentlicher E Usd log ng ot bisa T ec dad Bird ping sod pinch L ana A Pano heer oo pane bad E PO Rone hae Moe bie clan ach Png foci foe aa bea Pech TOTE Diesen Port fur automatische Suchanforderungen feo verwenden Aktivieren Sie die Einstellungen fur die automatische Erkennung auf der Registerkarte Firewallclient um Firewallchents fur die Verwendung der automatischen Erkennung zu konfigurieren Abbrechen bernehmen Fiir weitere Informationen rund um das Thema Automatische Erkennung lesen Sie folgenden Artikel Firewall Client Installation Der Firewall Client kann auf verschiedenen Arten installiert werden e H ndische Installation e Install
296. its Festlegen Klicken Sie auf Einw hleinstellungen festlegen Die DFU Verbindung beinhaltet DFU Eigenschaften wie den Internetdienstanbieter ISP die Einwahlnummer und das Modem Nach der Auswahl einer DF Verbindung m ssen die vom Internetdienstanbieter ISP angeforderten DF Kontoinformationen angegeben werden Es m ssen dieselben Kontoinformationen eingegeben werden wie beim Erstellen der DF Verbindung Die DF Kontoinformationen werden von ISA Server verwendet wenn eine Verbindung zum Internetdienstanbieter hergestellt wird 465 w hlkonfiguration 2x Einwa hleinstellungen f verbindung selbst herstellen Automatisches Einw hlen in dieses Netzwerk Hilfe ber das Erstellen von Netzwerken Diese DFU Verbindung als Standardosteway konfiaurieren DFU Verbindung Folgende OFU verbindung verwenden Aus Jahlen Hilfe ber das Erstellen von DEU Verbindungen EF Korko Dieses Konto verwenden konto Festlegen bernehmen Bemerkung Vergewissern Sie sich dass auf den internen Netzwerkadaptern des ISA Server Computers kein Standardgateway konfiguriert ist Klicken Sie auf Automatisches Einw hlen in dieses Netzwerk und w hlen Sie das externe Netzwerkinterface das Externe Netzwerkinterface hat n diesem Beispiel den Namen Extern Bemerkung Ich empfehle Ihnen nach der Installation des Windows 2003 Servers die Netzwerkkarten entsprechend deren Verwendung
297. ive Informationen nicht auf anderen Webseiten ver ffentlicht werden k nnen aber auch in Webver ffentlichungsszenarien kann dieses Feature sinnvoll sein um zu verhindern dass Angreifer Malicious Informationen auf der internen Webseite posten k nnen Dateiendungen sperren Mit Hilfe der M glichkeit zur Sperrung von bestimmten Dateiendungen m HTTP Filter k nnen Sie einfach und effektiv z B das Downloaden von EXE Dateien verhindern HTTP Richtlinie f r diese Regel konfigurieren 1 x Allgemein Methoden Erweiterungen Header Signaturen F r Dateiendungen durchzuf hrende Aktion Festlegen Hinzuf gen Bearbeiten ER Enthernen Anforderungen sperren die mehrdeutige Erweiterungen enthalten Abbrechen bernehmen 267 Anforderungen sperren die mehrdeutige Erweiterungen enthalten blockiert alle Extensionen bei welchen der ISA Server die Erweiterung nicht bestimmen kann In diesem Beispiel blocken wir den Zugriff auf EXE Dateien x Geben Sie eine Erweiterung ar Erweiterung EXE Beispiel exe Beschreibung optional Abbrechen Wie arbeitet der ISA Server 2004 HTTP Filter Dateiendungen ab Wenn die Filterung basierend auf Dateiendungen aktiviert ist berpr ft der HTTP Filter jede Anfrage basierend auf der Dateiextension ISA Server interpretiert eine Dateiendung in einer URL nach dem letzten dar n enthaltenen Punkt und einem oder oder dem Ende einer URL wenn kei
298. k nnen Sie noch eine Bedingung zur Filterung hinzuf gen Achtung Die zur Verf gung stehenden Filter Bedingungen sind immer abh ngig von der Filterart Filtern nach In diesem Beispiel ist die Filterart Client IP und f r diese Filterart stehen die Bedingungen Gleich Gr er oder gleich kleiner oder gleich und Ungleich zur Verf gung de E a Nur Eintr ge anzeigen die diesen Bedingungen entsprechen Filtern nach Bedingung Wert o Protokolldatensatetyp sleich Firewall oder Webproxyfilter Frotokollierungszeit Aktuell dJ Aktion Ungleich Yerbindungsstatus Legen Sie die zum Filtern der Daten verwendeten Kriterien fest Filtern nach Bedingung Werk Client IP Graber oder gleich ktualisieren z r Liste hineunuigen Kleiner oder gleich Abbrechen Ungleich Als Wert wurde in diesem Beispiel die IP Adresse 192 168 1 111 eingegeben Zum Abschluss m ssen Sie noch auf Zur Liste hinzuf gen klicken damit der neue Filter zur Filterbedingung hinzugef gt wird und auf Abfrage starten klicken Filter bearbeiten u x Mur Eintr ge anzeigen die diesen Bedingungen entsprechen Filtern nach Protokolldatensatetyp Gleich Firewall oder Webproxytilter Protokollierumgszeit Aktuell Had Aktion Ungleich Verbindungsstatus Gleich 192 168 1 111 Legen Sie die zum Filtern der Daten verwendeter Kriterien fest Filtern nach Bedingung Werk Iciient IP Gleich FIS o TED p Paes
299. k sind zurzeit k Das vordetinierte Netzwerk das die Clients I VPR Clients Diesem Netzwerk sind zurzeit k Das vordefinierte dynamische Netzwerkobj Gehen Sie in die Eigenschaften des Netzwerkes ber das auf die Windowsupdate Seiten zugegriffen werden muss 183 S5L Port Zertifikat ETERA Enan earl US EhlBH bernehmen ffnen Sie unter dem Karteireiter Webproxy die Authentifizierungsmethoden ber den Button Authentifizierung 184 Authentifizierung E jx Geben Sie die Authentifizierungsmethoden und einstellungen an die f r die Aukhentifizierung von Clients die eine Yerbindung mit dem 154 Server Computer herstellen verwendet werden sallen Methode C Digest P Integriert O Standard U 7 SsL 2ertifikat CJ RADIUS Authentifiziert einen Benutzer mit dem RADIUS Protokol Beschreibung Authentifizierung ist f r alle Benutzer erforderlich Authenkifizierungsserver St andarddomaner rautkentikizlerung ustl hlen RACHUS Server f r Authentifizierung RADILS Serwer ausw hlen Eatmiularbasierte toy 4 Authentinzierung kankigurletren Bomane ausw hlen KOnkigunekenis Abbrechen Entfernen Sie den Haken bei Authentifizierung ist f r alle Benutzer erforderlich um die generelle Authentifizierung auf Benutzerebene zu deaktivieren Falls Sie Authentifizierung fur den Webzugriff fordern wollen miissen Sie die entsprechenden
300. kat Ausw hlen Hilfe uber die Weblistener Portspezitikation ZUC Abbrechen Deaktivieren Sie das Protokoll HTTP und aktivieren Sie das Protokoll SSL um Anfragen nur ber einen SSL Tunnel zu zulassen Geben Sie ber den Button Ausw hlen das Zertifikat f r 216 die SSL Verschliisselung an Zertifikat ausw hlen a BPA Wahlen Sie ein Zertifikat aus der Liste der Zertifikate auf dem angegebenen Server Zertifikate Ausgestellt f r Ausgestellt yon Ablaufdatum erxchange mein Interne Zertifizi 06 09 2006 Angezeigter N exchange mei Abbrechen Wahlen Sie das Zertifikat aus Assistent f r neue Weblistenerdefinition Portspezifizierung Geben Ste den Port an den der 15 4 Server Computer zum 4bhoren auf den ausgew hlten IP Adressen auf eingehende Webanforderungen verwenden wird SSL M SSL aktivieren S5L Fort 443 Zertifikat S change meinedamsin de Ausw hlen Hilfe uber die Wreblistener Portspezitik atian uruck Abbrechen Anschlie end sollte der Weblistener wie im Bild abgebildet konfiguriert sein 217 Assistent f r neue Weblistenerdefinition x Fertigstellen des Assistenten Microsoft _ Internet Security amp Acceleration Server 2004 Der Assistent fur neue Weblistener wurde erfolgreich abgeschlossen Der neue Listener wird wie folgt konfiguriert Hame al Weblistener IF 172 16 1 50 Standart Abhoren auf Exte
301. kate beim Zugriff auf diese ee Zertifikat anzeigen Bearbeiten OK Abbrechen bernehmen Hilfe Konfigurieren Sie die Authentifizierungsmethoden indem Sie ber die Option Authentifizierung und Zugriffsteuerung auf Bearbeiten klicken Wenn Sie noch kein Zertifikat fiir den Webserver besitzen k nnen Sie unter Sichere Kommunikation ein Zertifikat anfordern Wie Sie ein Zertifikat anfordern finden Sie in folgender Anleitung 205 Authentifizierungsmethoden Das folgende Windows Benutzerkonto f r den anonymen Zugriff verwenden Benutzername IUSR SUFER SERVER Durchsuchen Kennwort ELITE Authenkifizierter Zugriff F r die Folgenden Authentifizierungsmethoden sind Benutzername und Kennwort erforderlich Falls Folgendes gilt anonymer Zugriff ist deaktiviert oder der Zugriff ist durch NTFS Zugriffssteuerungslisken eingeschr nkt Integrierte Windows Authentifizierung Digest Authentifizierung f r Windows Dom nenserver M Standardauthentifizierung Kennwort wird als Klartext gesendet NET Passport Authentifizierung Standarddarm ne Ausw hlen Bereich Ausw hlen Abbrechen Hilfe Deaktivieren Sie den anonymen Zugriff indem Sie den Haken entfernen und w hlen Sie als Authentifizierungsmethode die Standartauthentifizierung aus Die Standartauthentifzierung ist hier kein Sicherheitsrisiko da die Daten ber einen SSL Tunnel transportiert werd
302. keitsdauer ein Assistent zum Hinzuf gen eines Inhaltdownloadauftrags x Fertigstellen des Assistenten In Accelavaiaal ee Der Assistent zum Hinzuf gen eines geplanten Inhaltdowunloadauftrags wurde erfolgreich abgeschlossen Der neue Auftrag wird wie folgt konfiguriert Name WIM matag de herunterladen Ha ufigket Taglich downloaden Tagliche H ufigkeit Einmal am Tag Startdatum 14 09 2004 URL http u masatag de Tiefenlimit ra H ol Klicken Sie auf Fertig stellen um den Yorgang abzuschheten lt Zurich Abbrechen Fe Anmerkungen e Wenn der Cacheinhaltdownloadauftrag fehlschl gt wird ein Ereignis in der Windows Ereignisanzeige protokolliert e Der geplante Inhaltdownloadauftrag schl gt fehl wenn vom Webserver von dem das Objekt gedownloadet wird eine Clientauthentifizierung gefordert wird _ 59 Benutzerauthentifizierung bei ausgehenden Webanfragen Die Informationen in diesem Artikel beziehen sich auf e Microsoft ISA Server 2004 Oftmals ist es erforderlich dass f r ausgehende Webanfragen also Anfragen ber http https und ftp eine Zugriffskontrolle auf Benutzerebene erfolgen kann In vielen Unternehmen wird aus arbeitsrechtlichen oder aus Sicherheitsgriinden nicht allen Mitarbeitern ein uneingeschr nkter Internetzugang erm glicht Um das zu Kontrollieren ist der ISA Server bestens geeignet Der ISA Server kann grunds tzlich bei allen Zugriffsarten Regeln pro IP
303. kolle zu 350 definieren wenn Sie der ISA Server noch nicht vorkonfiguriert hat erstellen Sie die notwendigen Computers tze Zielsatze usw Modifizieren Sie jetzt als erstes die Systemrichtlinie des ISA Servers um diese auf Ihre Bed rfnisse anzupassen Microsoft liefert mit dem ISA Server 2004 eine Standard Systemrichtlinie aus welche den Zugriff auf das interne Interface des ISA Servers sch tzt und nur bestimmte Infrastrukturprotokolle wie DNS DHCP usw zul sst Passen Sie diese Systemrichtlinie auf Ihre aktuelle Konfiguration an um eine geringstm gliche Angriffsflache zu bieten Systemrichtlinien Editor E E 2 x konfigurationsgruppen Allgemein Won Durch Aktivieren dieser Konfigurationsgruppe sind Systemrichtlinienregeln m glich die den Zugriff zwischen vertrauensw rdigen DHOP Servern und dem Computer mit 154 Server zulassen Klicken Sie auf die Registerkarte Yon um die vertrauensw rdigen DHCF Server anzugeben a DHCP DNS MTP Sy Authentifizierungsdienst Active Directory RADIUS RSA SecurlD CRL Download EJ Remoteverwaltung Microsoft Manageme Terminalserver ICMP Ping Sy Firewallcient Firewallclientinstallat Diagnosedienste I_FAP Windows Netzwerk Microsort Fehlerberic HTTP Konnektivitats S Protokollierung a Aktivieren Abbrechen Jetzt k nnen Sie die entsprechenden Regelwerke erstellen und dokumentieren Dokumentieren Sie jede erstellte Firewall P
304. konnten sein e Ein zentraler Internetzugang aus Sicherheitsgriinden aber Nutzung der Proxy Funktionalit ten zur Reduzierung der Netzwerklast zwischen den Zweigstellen und der Firmenzentrale e Kaskadierung mit einem weiteren Proxy Server z B mit einem Proxy Server eines Rechenzentrums wenn der Firma Bemerkung Eine Webverkettung kann auch zwischen einem ISA Server und einem NICHT ISA Server hergestellt werden eine Firewallverkettung hingegen kann NUR mit ISA Servern durchgef hrt werden Dieser Artikel beschreibt die Einrichtung einer Webverkettung zwischen einem ISA Server 2004 n einer Zweigstelle und der Firmenzentrale Zur Konfiguration der Webverkettung starten Sie die ISA Server Verwaltungskonsole erweitern den Container Konfiguration und klicken mit der rechten Maustaste auf Netzwerke W hlen Sie aus dem Kontextmen Webverkettungsregel aus und folgen Sie den Anweisungen des Wizards 95 _ Microsoft Internet Security amp Acceleration Microsoft 2 WORTE Internet Security amp i Acceleration Server2004 EA berwachung Standard Edition LA Firewallrichtlinie oo Virtuelle private Netzwerke VPN Konfiguratio Netzwerke d Cache Aktualisieren Einzelner Netzwerkadapter Lokaler Host Externes Netzwerk Internet Internes Netzwerk Vergeben Sie einen sinnvollen Namen f r die Webverkettungsregel In diesem Beispiel verwenden wir den Namen SA Ausstenstelle zu ISA
305. l Auswahl einiger Artikel aus der Microsoft Knowledge Base zu h ufigen Problemen und Themen rund um den ISA Server 2004 e 890306 You receive event ID 14192 and the Internet Security and Acceleration Server ISA 2004 Control service does not start e 888642 Programs and services on a Firewall Client computer may not be able to access remote resources in ISA Server 2004 e 888647 Users are repeatedly prompted for credentials and authentication is not successful when a downstream computer that is running ISA Server 2004 uses Integrated Windows authentication to authenticate to an upstream computer that is running ISA Server 2004 e 887000 You receive a The remote procedure call failed error message and RPC route publishing is not permitted in ISA Server 2004 e 888927 Host headers and URLs are considered to be encoded by UTF8 encoding in Internet Security and Acceleration Server 2004 e 888652 Some 16 bit files may be installed when you install ISA Server 2004 e 888646 Changes that you make by using the Firewall Client are not applied to all users e 885351 You cannot browse Web servers on a remote site when you use IPsec tunnels to connect sites on a Windows Server 2003 based computer that is running Internet Security and Acceleration Server 2004 e 888709 When to use the ISA Server 2004 SMTP filter and Message Screener e 888715 Export import and backup functionality in Internet Security and Acceleration Server 2004 e 8
306. l eine Verbindung m dem Internet her 0 dass Sie den Browser verwenden Verbindung mit dem Netzwerk am Arbeitsplatz herstellen Stell eine Verbindung mi einem Femennetzwerk uber eine DFU oder VPH Verbindung her so dass Sie von zu Hause oder unferwegs arbeten k nnen Eine erweiterte Verbindung einrichten Shek ene direkte Werbindung mi einem anderen Compute uber einen senellen parallelen oder Inirsolanschluss her oder nchtet desen Computer so ein dass andere Computer darauf zugredien konnen cack wate atten Wahlen Sie VPN Verbindung Assistent f r neue Verbindungen Heizweikverbindung Wie ood che Netzwerk werbendung am Artesiiplaiz hergesiet werden Folgende Werbindung ersbeller O DFO Verbindung Stel era Verber uber n Modem und era require Telefonketung oda uber ane 150M Tabet y her VPH Verbindung Stel eine Nelnererkverberdung ma ener VPN Verbindung Vatu Prevete Matak Vergeben Sie einen Namen ftir die VPN Verbindung Assistent f r neue Verbindungen Yerbindungsnaeee Geben aren Naren fue dee Serberdung md Ihrem Subeiteplatr an Geben einen Namen fa de Werkandung im folgenden Feld en Fares Famenzenirale Obemkachen Sie konnen zum Feige den Haren Ewes Abetares oder den Haren des Servers ant dem eins Werbandung hergeitelt werden pol eingeben Wem 455 Geben Sie hier den Hostnamen oder die IP Adresse des VPN Servers ISA 2004 an In diesem Beispiel verwende ich eine vom
307. lation des IAS miissen Sie diesen Server im Active Directory registrieren damit der IAS berechtigt ist Kontenanfragen ber LDAP an das Active Directory zu richten Klicken Sie dazu in der IAS Konsole mit der rechten Maustaste auf Internetauthentifizierungsdienst und w hlen im Kontextmen Server im Active Directory registrieren aus Internetauthentifizierungsdienst Fils iia Mapt aiaei aS e PEFleloS el internetauchentifizierun i re Dienst beenden kommen Foto Ierung poy A VE eke E A RAS Richtlinien BBENS ea EM BILDER DREIER Werbindunasanford Ansicht kauthentifizierungscsenst 145 kann f r die m Er Pea is rung Autorisierung und Kontof hrung won Eigenschaften drahtlosen und Ethernet Verbindungen mit dem rwendet werden IAS kann ebenfalls f r die g von Authentifizierungsanforderungen f r fserver verwendet werden der kompatibel mit Hilfe RADIUS ist Klicken Se im Men Aktion auf Server im Active Directory registrieren um den 145 zum Lesen der RAS Eigenschaften van Benutzerkonten im Active Directory zu konfigurieren Weitere Informationen ber das Einrichten von IAS Bereitstellungsszenarios und Problembehandlung finden Sie in der GndinehilFe Erstellen des ISA 2004 Servers als IAS Client Damit der ISA Server 2004 eine Benutzerauthentifizierung ber RADIUS nutzen kann m ssen Sie den ISA Server als RADIUS Client einrichten Hierzu sind zwei Schritte
308. lementieren will Wie immer im Leben gibt es auch hier verschiedene Wege zum Ziel Hinzu kommt noch dass der ISA Server je nach Clienttyp anders reagiert F r einen Firewallclient k mmert sich der ISA selber um s mtliche Namensaufl sungen d h der ISA selber muss n der Lage sein korrekte DNS Abfragen beantwortet zu bekommen Bei einem SecureNAT Client ist der jeweilige Client eigenverantwortlich Hier muss sichergestellt werden dass dieser unabh ngig vom ISA Server in der Lage ist Namen aufzul sen Welche M slichkeiten gibt es nun DNS zu verwenden 1 Jeder Client bekommt einen externen DNS Server statisch oder per DHCP zugewiesen 2 Jeder Client bekommt nur den internen AD DNS zugewiesen 3 Jeder Client bekommt den internen AD DNS und einen weiteren externen DNS Server zugewiesen Jeder Client bekommt einen externen DNS Server statisch oder per DHCP zugewiesen Ein m gliches Szenario w re jedem internen Client in den LAN Einstellungen einen externen DNS Server einzutragen 50 JP Einstellungen k nnen a sen werden wenn en Friktion unten Wenden sich arderfals an Datei Aktion Ansicht 7 am e E 15 netrcz localdomain 192 168 161 145 El Bereich 192 168 19 0 msisafag 003 Router Standard 192 168 19 1 Keine t Adresspool eb 006 DNS Server Standard 194 25 2 129 Keine Diese Methode hat den Nachteil dass jeder Client st ndig bers Internet DNS Anfragen starten muss Dies vermindert
309. lerhaft geschriebenen Anwendungen welche die L nge des Hostnamens nicht berpr fen bewirken dass die internen Puffer berlaufen sobald der Hostname kopiert wird Dieser Angriff kann es einem Angreifer erm glichen beliebige Befehle auf dem angegriffenen Computer auszuf hren e DNS L ngen berlauf Tritt ein wenn eine IP Adresse ein Feld enth lt dessen Wert gr er als 4 Byte ist Dieser Angriff kann bei fehlerhaft geschriebenen Anwendungen die DNS Suchen durchf hren einen internen Puffer berlauf bewirken Dieser Angriff kann es einem Angreifer erm glichen beliebige Befehle auf dem angegriffenen Computer auszuf hren e DNS Zonentransfer Lest fest dass der Filter pr fen soll ob Eindringversuche vom Typ DNS Zonentransfer stattgefunden haben Ein DNS Zonentransfer tritt auf wenn ein Clientsystem eine DNS Clientanwendung f r die bertragung von Zonen von einem internen DNS Server verwendet Erg nzend zu den oben vorgestellten Eindringversuchserkennungsm slichkeiten stellt der ISA Server 2004 auch einen POP Eindringungs Erkennungstilter zur Verf gung Der POP Eindringungs Erkennungsfilter f ngt f r das interne Netzwerk bestimmten POP Datenverkehr zum Zweck der Analyse ab Der Anwendungsfilter berpr ft insbesondere POP Puffer berlaufangriffe Ein POP Puffer berlaufangriff tritt dann auf wenn ein 24 Remoteangreifer versucht als Superuser eines POP Servers Zugriff zu erhalten indem ein interner Puffer auf de
310. llten S e eine Zertifikatswarnung angezeigt bekommen beheben Sie die angezeigten Fehler 228 Zeitabgleich mit einem externen Zeitserver Die Informationen in diesem Artikel beziehen sich auf e Microsoft ISA Server 2004 e Microsoft Windows Server 2000 e Microsoft Windows Server 2003 Die richtige Uhrzeit in einem Netzwerk ist eine wichtige Sache die von sehr vielen Administratoren vernachl ssigt wird Aufgrund einer falschen Uhrzeit kann es vorkommen dass eine Verbindung verweigert wird ein wichtiger Aspekt ist dies z B bei Verschl sselung oder es entstehen Falschbuchungen in einem Warenwirtschaftssystem Erkennen ob ein Zeitserver auf einem Server konfiguriert ist K nnen Sie durch Fehlermeldungen vom Typ W32Time im Ereignissprotokoll Wie Sie einen Server in Verbindung mit dem ISA 2004 fiir die Verwendung eines Zeitservers konfigurieren wird in dieser Anleitung erkl rt 1 Erstellen einer Firewallrichtlinie 229 E Microsoft Internet Security amp Acceleration Server 2004 Datei Aktion Ansicht 8 o Microsoft Internet Security amp Accelerat Hiss uritv amp ahg Fi SR W 1 nterne t5 curity Firewallrichtlinie 5 S OE Acceleration server 2004 Ss Virtuelle priv Aktualisieren Pe Konfiguratio Exportieren Importieren Systemrichtlinie bearbeiten webserverver ffentlichungsregel Sichere Wwebvwer ffentlichungsregel Mailserver ver ffentlichungsregel Serverve
311. local Geben Sie den Namen des internen Mailservers an Hinweis Der Name des Zielservers muss mit dem FQDN des Zertifikates auf dem Exchange Server bereinstimmen Sollte dies nicht der Fall sein muss ein entsprechender Eintrag in der Hosts Datei auf dem ISA Server vorgenommen werden s247 Pe ge Assistent f r neue Mailserver Yer ffentlichungsregeln gt Details des ffentlichen Namens Geben Sie den ffentlichen Dom nennamen FDM oder die IP Adresse an die Benutzer eingeben sollen um die ver ffentlichte Site zu erreichen Diesen Dom nennamen unten eingeben exchange meinedomain de Geben Sie die URL an unter der Ihr Outlook Webaccess von Extern zu erreichen ist 2 2 Erstellen eines Weblisteners mit Formsbased Authentification 248 Assistent f r neue Mailserver Yer ffentlichungsregeln x Weblistener ausw hlen Der Weblistener bestimmt die IP Adressen und den Port auf dem der 154 Server Computer auf eingehende Webanforderungen abh rt Weblistener Bearbeiten Listenereigenschatten Eigenschaft Zur ck Weiter gt Abbrechen Erstellen Sie ber den Button Neu einen neuen Weblistener Assistent f r neue Weblistenerdefinition E x l Wilkommen Microsoft Internet Security amp Acceleration Server 2004 Mit diesem Assistenten konnen Sie einen neuen Weblistener erstellen Weblistener werden in Webyverottenthchungsregeln verwenden E
312. lokale Adresse gilt wird die Verbindung ber den Microsoft Firewalldienst auf ISA Server hergestellt LAT Da ist sie wieder aber nur auf der Clientseite Eine lokale Version dieser Informationen kann ebenfalls erstellt werden S e k nnen mit Notepad eine benutzerdefinierte Datei f r die lokale Adresstabelle LAT eines Clients unter dem Namen Locallat txt erstellen und im Ordner Dokumente und Einstellungen All Users Lokale Einstellungen Anwendungsdaten Microsoft Firewall Client 2004 auf dem Firewallclientcomputer speichern Sie k nnen weitere IP Adressbereiche hinzuf gen die der Client als Bestandteil des lokalen Netzwerks erkennt Der Client bestimmt anhand der eigenen Routingtabelle der serverspezifischen Einstellungen und der Datei Locallat txt welche IP Adressen zum lokalen Netzwerk geh ren Beim Erstellen der Datei Locallat txt geben Sie die IP Adresspaare in die Datei ein Jedes Adresspaar definiert entweder einen IP Adressbereich oder eine einzelne IP Adresse Das folgende Beispiel zeigt eine Datei Locallat txt mit zwei Eintr gen Der erste Eintrag ist ein IP Adressbereich und der zweite eine einzelne IP Adresse 192 168 1 0 192 168 1 255 g bt einen Netzwerkbereich an 192 168 1 18 192 168 1 18 g bt eine IP Adresse an Firewall Clienteinstellungen Nach erfolgter Firewallclient Installation k nnen Sie die Einstellungen des Firewall Clients modifizieren Klicken Sie dazu doppelt auf das ISA Icon im Tray 20
313. ltet Systemrichtlinien Edikor a E 2 Konfigurationsgruppen Allgemein Yon Netzwerkdienste DHCP DHS MTF Sq Authentifizierungsdiensti Active Directory RADIUS RS4 SecurlD CRL Download Remoteverwaltung amp Microsoft Manageme Diese Regel betrifft Datenverkehr von diesen Quellen Hinzuf gen Za Remoteverwaltungscomputer Bearbeiten Enthernen Hild Terminalserver ICMP Ping Ausnahmen SJ Firewallcient Hinzuf gen Firewallclientinstallat Diagnosedienste Bearbeiten I_rAP Windows Netzwerk Enthernen Micrasofk Fehlerberic HTTP Konnektivitaks Protokollierung Abbrechen i Man kann gleich hier berechtigte Computer der Gruppe Remoteverwaltungscomputer hinzuf gen Es empfiehlt sich in dieser Gruppe gleich alle Rechner hinzuzuf gen die sp ter sowohl ber RDP als auch die MMC auf die ISA Server Einstellungen zugreifen sollen 119 Eigenschaften Yon Remoteverwaltungscomputer 2 x Allgemein pm Name Femoteverwalturigscomputer In diesem Computersatz enthaltene Computer Adressbereiche und Subnetze IP Adressen E Dieter PC1 10 19 11 19 Bearbeiten L schen Computer die 154 Server remote verwalten k nnen Beschreibung optional OK Abbrechen Ubernehmen Microsoft ners Denken Sie daran die durchgefiihrten Security amp g gt PPH a Server 2004 Anderungen zu tibernehmen Erst dann wird
314. ltige ODBC Protokall 4nmeldei Ung ltige Zertifikatliste gefunden Ung ltiges EHLP Angebaot Upstreamyverkettungs Anmeldeinfor ver nderte Netzwerkkonfiguration YPN Werbindungsfehler Zu gro es UDP Paket nderungen des Guarant nen YPN Firewalldierist Firewalldienst Firewalldienst Cache Cache Cache Cache Cache Cache Sicherheit Sicherheit Firewalldienst Firewalldienst Firewalldienst Firewalldierist Sicherheit Sicherheit Firewalldienst Sicherheit Firewalldienst Sicherheit Cache Firewalldienst Firewalldienst Firewalldierist Sicherheit Firewalldienst Firewalldienst Firewalldierist Firewalldienst Firewalldienst Firewalldienst Sicherheit Firewalldienst Firewalldienst Firewalldierist Routing Routing Firewalldierist Firewalldierist Firewalldierist Firewalldienst Firewalldienst Firewalldienst Firewalldienst Sicherheit Firewalldierist Firewalldienst Firewalldienst Sicherheit Firewalldienst Firewalldienst Firewalldienst Sicherheit Firewalldienst 322 Bevor wir eine neue Alarmdefinition hinzuf gen sollten wir uns die bestehenden am Beispiel von Dienst gestartet einmal genauer ansehen Eigenschaften von Dienst gestartet x Allgemein Ereignisse Aktionen EN Name Dienst gestartet Beschreibung Der Dienst wurde gestartet optional Kategorie Firewalldienst z Schweregrad Information i M Aktivieren Abbrechen bernehmen Auf der ersten
315. m Hashprozess werden zus tzliche Informationen zum Kennwort hinzugef gt sodass niemand den Kennworthashwert erfassen und zur Nachahmung des echten Benutzers verwenden kann Es werden Werte hinzugef gt d e bei der Identifizierung des Benutzers des Computers und der dazugeh rigen Dom ne helfen Um zu verhindern dass ein widerrufenes Kennwort verwendet wird wird hier eine Zeitmarkierung hinzugef gt Dies ist ein deutlicher Vorteil gegen ber der Standardauthentifizierung da das Kennwort nicht abgefangen und von einer unberechtigten Person verwendet werden kann Die Digestauthentifizierung kann nur in Windows 2000 Dom nen verwendet werden Integrierte Windows Authentifizierung Die integrierte Windows Authentifizierung ist eine sichere Form zur Benutzerauthentifizierung da der Benutzername und das Kennwort n cht ber das Netzwerk gesendet werden Die integrierte Windows Authentifizierung kann entweder das Kerberos V5 Authentifizierungprotokoll oder das eigene Herausforderung R ckmeldung Authentifizierungsprotokoll verwenden SSL Zertifikat S e k nnen die Secure Sockets Layer SSL Sicherheitsfunktionen zur Authentifizierung verwenden Wenn ein Client ein Objekt von einem Server anfordert gibt es zwei M glichkeiten zur Zertifizierung o Der Server authentifiziert sich selbst indem er ein Serverzertifikat an den Client sendet o Der Server fordert den Client auf sich zu authentifizieren In diesem Fall muss der Client dem Server e
316. m SMTP Filter abgewehrt werden Jeder SMTP Befehl besitzt eine festgelegte maximale Lange Diese L nge entspricht der Anzahl Bytes die f r jeden Befehl zul ssig sind Wenn ein Angreifer einen Befehl sendet dessen L nge die Anzahl der f r diesen Befehl zul ssigen Bytes berschreitet unterbricht ISA Server d e Verbindung und verhindert so den Datenaustausch zwischen dem Angreifer und dem Mailserver des Unternehmens Wenn ein Client einen Befehl verwendet der zwar definiert aber deaktiviert ist beendet der Filter die Verbindung Gleiches gilt f r einen Befehl der nicht definiert ist Im Fall eines Versto es gegen den SMTP Filter kann ein Alarmereignis erzeugt werden worauf vordefinierte Aktionen ausgef hrt werden k nnen Der SMTP Filter hat in der Grundeinstellung folgende Registerkarten Ba ee Eigenschaften von SMTP Filter J Filtert SU TF Datenwerkehr Jbernehmen Im Gegensatz zum ISA Server 2000 ist in der aktuellen Version der SMTP Filter nach der Installation aktiviert Be Eigenschaften von SMTP Filter i x Benutzer Dom nen Anlagen SMTF Betehle Allgemein Schlusselworter E Mail die folgende Schlusselworter enth lt wird gelascht zur ckgehalten oder weitergeleitet zeichenfolgen Schluss Angewendet Aktion Bearbeiten Entfernen ka Installieren Sie die MWachrichtenubenvachung um diese Funktionalit t verwenden zu konnen Hilfe uber die Hachnchtenuberw a
317. m Server zum Uberlaufen gebracht wird Der POP Eindringungs Erkennungsfilter bietet keine Konfigurationsm glichkeit und befindet sich im Gegensatz zu den oberen beiden bei den Anwendungsfiltern kcrosoft Acceleration Server 2004 nwendungsfilter Name E ib Hersteller version I DNS Filker Filtert DMS Datenyverkehr Microsoft Rj 4 0 e pai ee ee IE en Spui EPA ATASA AAAA E ain ET ee E E a A we LEUREN ENEAN ee ech DEVAN ee eit EENET RUDE TELE ETE ARER A ee E E POP Eindringver berpr ft auf POP Puffer berlaufangriffe Microsoft Ru amp I PPTP Filter Aktiviert PPTP Tunneln durch 54 Server Microsoft ER 4 0 ane es a TE gO ee OANA nn RAOR nyni a Re 5 i AAAA apap Zr a 7 soe ci ET eg mar T an eben an nn EEA tb yt ah ace Ee PELE EERE DUET EDELE 25 Eigenschaften von POP Eindringversuchs Erkennungsfilter p es E j Irr T J rf L berpr ft auf POF Puffer berlauFanariffe Jpernenmen Man k nnte ggfs noch den SMTP Filter in den Bereich Eindringversuchserkennung aufnehmen da dieser Anwendungsfilter SMTP Kommandos abweisen sowie den Mailverkehr berwachen kann _ 26 ISA Server 2004 als reinen Webproxyserver konfigurieren Die Informationen in diesem Artikel beziehen sich auf e Microsoft ISA Server 2004 Bei der Installation des ISA Server 2000 musste man sich entscheiden welchen Betriebsmode man verwenden m chte Eine Anderung kon
318. mal 2 GB limitiert ist sondern um die erweiterte MSDE 340 ajx Protokolierungsdatei speichern C Diesem Ordner Geber Sie den vollst ndigen Pfad ein ev Durchsuchen Dateispeicherlimits protokollieren Tg M Maximale Gr e der Protokolldatei GB 5 M Beizubehaltender freier Speicherplatz MB 256 Protokallgr enlirnits durch Folgende Aktionen f Alte Protokolldateien l schen Falls erforderlich C Neue Protokolleintr ge verwerfen IW Dateien l schen die lter sind als Tage Zz M Protokolldateien komprimieren OK Abbrechen Die Protokolldateien k nnen zur Reduzierung des Platzbedarfs komprimiert werden Dieses Feature steht jedoch nur auf Partitionen mit dem NTFS Dateisystem zur Verf gung Wenn Sie eine Protokollierung in eine SQL Datenbank AUSSERHALB des ISA Server 2004 planen m ssen S e mit Hilfe des Systemrichtlinien Editor die Remoteprotokollierung f r SOL Aktivieren und im Reiter Nach das Netzwerk angeben welches den Remote SQL Server beinhaltet ssl systemrichtlinien Editor Microsoft Manageme 4 Terminalserver ICMP Ping Sy Firewallclient Firewallclientinstalla Sy Diagnosedienste ICMP Windows Netzwerk i Microsoft Fehlerberi HTTF Konnektivit ts i E Protokollierung Remoteprotokallierur e Rem oteprot okallierun ey Remote berwachung Remoteleistungs bei Microsoft Operations SMTP Sy verschiedene Geplante Downloade Zugelassene Sites
319. mprimierung bernehmen Unter dem Karteireiter Einstellungen deaktivieren Sie die Option Formularbasierte Authentifizierung aktivieren da diese Authentifizierungsmethode nur an einer Stelle verwendet werden kann in dieser Anleitung am ISA Server 1 2 Konfiguration der virtuellen Verzeichnisse Exchange Exchweb Public 240 E Internetinformationsdienste Manager Ya Datei Aktion Ansicht Fenster 7 e em xenR AlE Lg Internetinformationsdienste 2 9 EXCH SRY1 lokaler Computer J Anwendungspools Websites ea Standardwebsite gj Exadmin cer Exchange g ExchWeb Microsoft Seryver Activesyne i OMA cer Public cer Rpr aspnet_client H webdiensterweiterungen In dieser Ansicht werden keine Elemente angezeigt Konfigurieren Sie wie folgend beschrieben der Reihe nach die virtuellen Verzeichnisse Exchange Exchweb und Public Eigenschaften von Exchange u x virtuelles Verzeichnis Dokumente Verzeichnissicherheit HTTP Header Benutzerdefinierte Fehler Authentifizierung und Zugriffsteuerung Aktivieren Sie anonymen Zugang und u bearbeiten Sie die Autchentifizierungs methoden f r diese Ressource Einschr nkungen f r IP Adressen und Dom nennamen auf diese Ressource ber IP Adressen oder Internetdam nenn amen Bearbeiten E gew hren oder verweigern Sie den Zugriff Sichere Kommunikation Setzen Sie sichere Kommunikation Fik vora
320. mt holt sich dieser DNS Server die Information Hier gibt es wiederum zwei denkbare Ans tze dies zu realisieren e Der AD DNS Server hat eine Weiterleitung zu einem externen DNS Server z B des Internet Service Providers eingetragen und befragt somit diesen Dies wird hier konfiguriert Eigenschaften von PANDA Ei ES Erweitert Hinweise auf das Stammwerzeichnie 7 ae E ET Frotok alllerung Ubenvachen Sicherheitzeinstellungen Vorgang Ansicht Schnittstellen Weiterleitungen Struktur We terleitungen helfen bei der 4uflosung von DMS Abfragen die von diesem Server nicht beantwortet werden DMS PANDA BE u Forw ard Lookupzonen M Weiterleitung aktivieren msisafag de Geben Sie die IP Adresse ein und klicken Sie auf Hinzuf gen um eine Weiterleitung hinzuzufugen FL _msdes mE pa IP Adresse FL _udp ngm Reverse Lockupzonen 129 123 129 125 Wal nace H Zwischengespeicherte Lo Hach oben Hach unten Weiterleitungszeitlimit Sek Keine Rekursion verwenden Sollte der Punkt Weiterleitung aktivieren ausgegraut sein dann ist die Root Forward Lookup Zone vorhanden Die muss dann entfernt werden Nach einem Neustart des DNS Servers kann die Weiterleitung aktiviert werden _52 OF Abbrechen bernehmen Da die Clients nun nicht mehr direkt externe DNS Server anfragen kann man im ISA Server den Zugriff auf das Protokoll DNS durch
321. n Auf diese Fehlermeldung suchen viele Administratoren seit Erscheinen des ISA Server 2004 in den Newsgroups eine Antwort zur L sung des Problems Aus diesem Anlass sollen hierzu einige kl rende Worte gesagt werden bersicht Konnektivit t W Protokollierung Alarm Letzter Eintrag Status kategorie A Konfigurationsfe 05 11 2004 10 10 49 Meu Firewalldienst konfigurationsfehler 05 11 2004 10 10 49 Meu Firewalldierist Alarminformakionen Beschreibung 154 Server hat Routen ber Adapter VPM 150 0 0 0 ermittelt die mit dem Netzwerkelement dem dieser Adapter angeh rt icht bereinstimmen Folgende Adressbereiche stehen in Konflikt 0 0 0 1 126 255 255 255 128 0 0 0 149 255 255 255 150 1 0 0 f 172 15 255 255 172 17 0 0 192 169 0 255 192 168 3 0 223 255 255 255 240 0 0 0 255 255 255 254 Reparieren Sie das Netzwerkelemer ndfoder die Routingtabelle damit diese Bereiche konsistent sind sie sollten beiden oder keinem angeh ren berpr fen Sie ob dieses Ereign erneut auftritt wenn Sie k rzlich ein Remotestandortnetzwerk erstellt haben Sie k nnen diese Meldung ignorieren wenn das Ereignis nicht ieder auftritt Das korrekt konfigurierte interne Netzwerk in diesem Artikel ist wie folgt definiert Netzwerke W Netzwerks tze Netzwerkregeln Webyerkettung Mame Adressbereiche Beschreibun Extern F r die I54 Server Netzwerke e Das vordefinierte Wetzwerkobjekt das das Internet darstellt ienai
322. n Fur alle Benutzer dieses Computers freigeben Denselben Benutzernamen und dasselbe Kennwort f r Die verbindung wird im Ordner Netzwerk yverbindunger gespeichert Klicken Sie auf Fertig stellen um diese Yerbindung zu erstellen und den Yorgang abzuschlie en uruck Abbrechen Die DF Verbindung ist jetzt konfiguriert Im n chsten Schritt m ssen Sie jetzt den ISA Server 2004 zur automatischen Einwahl konfigurieren Starten Sie dazu die ISA Server 2004 Verwaltungskonsole und navigieren Sie zu dem Container Allgemein unterhalb des Container Konfiguration 464 EF Microsoft Internet Security amp Acceleration Server 004 Datei Aktion Ansicht 7 2 3 3 Microsoft Internet Security amp Acceleration Server 2004 Euer U3 U I berwachung 1 Firewallrichtlinie oo Virtuelle private Netzwerke YPM EN konfiguration Hab Netzwerke B Microsott Internet Security amp Acceleration a Standand Edition Allgemein i ISA Server Verwaltung i Firewallclienteinstellungen 7 definieren R Yerwaltungsdelegierung 154 Server Computerdetails od Firewallverkettung konfigurieren i ES anzeigen ink bersetzung a Einmw hleinstelungen Festlegen ae i konfigurieren zertifikatsperrung festlegen Zus tzliche Sicherheitsrichtlinie HEJ RADIUS Server definieren de IP Einstellungen definieren Erkennung von Eindringyersuchen und DNS Angriffer aktivieren Fe Yerbindungslim
323. n Vergewissern Sie sich dass die YPN Eigenschaften wie z B Protokolle und Zugriffspurkte entsprechend der Netzwerkanforderungen konfiguriert sind Firewallrichtlinie f r das YPN Clientnetzwerk anzeigen Vergewissern Sie sich dass die Firewallrichtlinienregeln f r das YPN Clientsnetzwerk entsprechend der Wetzwerk und Firmensicherheiksanforderungen konfiguriert wurden Netzwerkregeln anzeigen vergewissern Sie sich dass die Regeln die die Netzwerkverhaltnisse zwischen dem YPN Clientsnetzwerk und anderen Netzwerken festlegen wie z B dem internen Netzwerk entsprechend der Netzwerkanforderungen konfiguriert wurden 1 Verifizieren dass der VPN Clientzugriff aktiviert ist 398 Eigenschaften von PN Clients Tt eet Damit der ISA Server VPN Clientverbindungen akzeptiert muss der Haken be1 VPN ClientZugriff aktivieren gesetzt werden Die Option Maximale Anzahl zugelassener VPN Clients legt die maximale Anzahl der gleichzeitigen Verbindungen fest Standartm ssig steht diese Option auf 5 Verbindungen ndern Sie diese Option auf die Anzahl der ben tigten gleichzeitigen Verbindungen ab 2 Windows Benutzer angeben 399 Eigenschaften von YPN Clients ee ajx Allgemein Gruppen Protokolle Benukzerzuordnung Wahlen Sie die Domanengruppen f r die Remotezugriff zugelassen ist Hamespace aruppe Dom ne kt windows YPN Users MEINEDOMAIM Enthernen F r Benutzerkonten die diese
324. n oder enthalten ist Zus tzlich versucht der HTTP Filter Zeichen welche einem Punkt folgen als Dateierweiterung zu erkennen z B EXE DLL oder COM Wenn mehrere dieser Zeichen in einer URL enthalten sind evaluiert ISA nur die erste Extension Um das zu verdeutlichen einige Beispiele http server pfad datei ext ext wird geblockt http server pfad datei htm subpfad msisafag asp asp wird geblockt http server pfad exe datei ext exe wird geblockt Um im dritten Beispiel auch die EXT Erweiterung zu verweigern erstellen Sie eine Signatur welche die EXT Erweiterung in der URL verweigert HTTP Header Behandlung Wenn ein Client eine Anforderung an den Webserver sendet oder der Webserver antwortet ist der erste Part einer solchen Antwort immer ein HTTP Request oder HTTP Response Nach dem HTTP Request oder Response sendet der Client oder der Server einen HTTP Header Das Request Header Feld erlaubt dem Client zus tzliche Informationen ber den Request an den Server mitzugeben Headers enthalten Informationen ber den Client Browser und Betriebssysteminformationen Authorisierungsinformationen uvm Der Client Header verwendet auch das Attribut User Agent mit welchem bestimmt werden kann welche Applikation die Anforderung durchf hrt Mit Hilfe des HTTP Filters k nnen jetzt z B bestimmte Header geblockt werden 268 HTTP Richtlinie f r diese Regel konfigurieren ajx Allgemein Methoden Erweit
325. n Dazu geh rt u a dass alle verf gbaren Hotfixe eingespielt werden Als n chstes muss die Netzwerkkonfiguration vorgenommen werden Damit s mtliche Funktionen des ISA genutzt werden k nnen ben tigt der Server 2 Netzwerkschnittstellen n 2 unterschiedlichen IP Subnetzen Fur diesen Artikel verwende ich einen Windows Server 2003 mit folgender Netzwerkkonfiguration Intern LAN oder Hochgeschwindigkeitsinternet Aktiviert Intel 21140 basierter PCI Fast Ethernet Adapter Standard 2 lt h Extern LAN oder Hochgeschwindigkeitsinternet Aktiviert Intel 21140 basierter PCI Fast Ethernet Adapter Standard Cr oipcontig all Windows IP Konfiguration Hostname ee amp ae ALDO J Primares DNS F gt e a gt msisafaq de Knotentyp a gt Unbekannt IP RkR u uting Sein AN ss amp amp amp 2 Nein WINS Proxy aktiviert s e e s e Nein Ethernet Adapter Intern en DNS SUEFIS Beschreibung se s a a Intel 21140 basierter PCI Fast Ethernet eae Standard 2 Physikalische Adresse i QQ O3 FF FA FF FF DHCP aktiviert I Nein IP Adresse 2 u 2 2 amp u nm si OT Ssubnetzmaske amp a 235 255 253 0 Standardgateway ee es ee we DNS amp amp amp amp amp amp amp 197 160 750 741 Ethernet Adapter Extern Verbindungsspezifisches DNS Suffix Beschreibung gt Intel 21140 basierter PCI Fast Ethernet EN
326. n ISA packt diese Pakete in ein RADIUS Access Request Paket und sendet diese zum ausgew hlten RADIUS Server Warum RADIUS IAS Ein ISA 2004 Server befindet sich oftmals in einer DMZ DeMilitarisierten Zone Dabei handelt es sich um einen Hochsicherheitsbereich welcher nur die notwendigsten Verbindungen zwischen LAN und WAN Internet etc herstellen soll Aus diesem Grund implementiert man einen ISA Server 2004 als Firewall L sung nicht in das interne Netzwerk sprich der ISA Server 2004 w rd KEIN Mitglied der Dom ne Eine Ausnahme von der Regel ist ein ISA 2004 Server als reine Proxy L sung Dort befindet sich der ISA Server 2004 hinter einer anderen ISA 2004 Firewall oder Third Party Firewall und kann so Mitglied der Dom ne sein um z B ber die integrierte Windows Authentifizierung ein Regelwerk f r den Webzugriff abzubilden Die Benutzerseite 65 Stellen Sie sicher dass die Benutzer eine RAS Einwahlberechtigung haben Es handelt sich hierbei zwar um keine RAS Einwahl aber mit diesem Schalter teilen Sie mit dass jetzt RAS Richtlinien und IAS Richtlinien verwendet werden k nnen welche ja f r den ISA Server 2004 Zugriff ber RADIUS erforderlich sind i WEF haften yon SISA An E ixl Sohohet Urga Sitzungen Pemotelbersachung Temnsdewpe a iiM Aymen Adee onto hai Auren Oigors Weierichie Zeile M pkedivon Eimw hlen Obje j R Eipenichtigung TE rekin odes VENI C Bapt yeremgen
327. n Im Gegensatz zu Loose Source Routing welches auch zus tzliche Hops zwischen zwei angegebenen IP Adressknoten zul sst Der Datenstrom der Zielstation kann damit problemlos an das Computersystem des Eindringlings umgeleitet werden Dazu simuliert der Angreifer wiederum die IP Adresse eines internen Systems IP Adress Spoofing und ffnet unter Aktivierung der Option Loose Source Routing eine Verbindung zur Z elstation wobei als Route f r die Antwortpakete ein Pfad der ber das angreifende System f hrt angegeben wird Damit stehen dem eingedrungenem System alle M glichkeiten der simulierten internen Station zur Verf gung Im ISA Server 2004 wird Strict Source Route als IP Option 137 und Loose Source Route als IP Option 131 dargestellt F r die Standardinstallationen k nnen Sie die IP Optionen aktiviert lassen und m ssen keine zus tzlichen IP Optionen aktivieren Aktivieren Sie zus tzliche IP Optionen nur wenn Sie deren Bedeutung vollst ndig verstehen 111 IP Einstellungen 3 x IP Optionen IP Fragmente IF Fiouting k Yerwenden Sie diese Seite um zugelassene P Optionen auszuwahlen Alle Fakete mit ausgew hlten IP Optionen verweigern ja Ende der OUptionsliste Alle ausw hlen C 1 ken Vorgang H Record Route Be Zeitstempel NEE C 130 Sicherheit 131 Loose Source Route Stream ID Strict Source Route Kouteralarm Nur ausgew hlte IP Optionen anzeigen Nicht d
328. n die sp ter sowohl ber RDP als auch die MMC auf die ISA Server Einstellungen zugreifen sollen 138 Eigenschaften von Remoteverwaltungscomputer Allgemein Name Femotbeverwaltunmgscompuber In diesem Computersatz enthaltene Computer Adressbereiche und Subrietze Name IP Adressen H Dieter PC1 10 19 11 18 Bearbeiten L scher Computer die 154 Server remote verwalten k nnen Beschreibung optional OK Abbrechen Ubernehmen Mint Security amp Denken Sie daran die durchgef hrten Acceleration Server 2004 Anderungen zu bernehmen Erst dann wird das Standard Edition Regelwerk in ISA Server tats chlich ge ndert und Bee steht zur Verf gung Sollten Sie eine Fehlkonfiguration gefunden haben k nnen Sie alle get tigten aber noch nicht gespeicherten Anderungen wieder verwerfen bernehmen Mit diesem Konfigurationsschritt hat der ISA Server eine Richtlinie gesetzt die allen Computern in der Gruppe Remoteverwaltungscomputer den Zugang ber RDP erlaubt Dabei st es unerheblich ob ein Client der Gruppe Remoteverwaltungscomputer eine interne oder eine externe IP Adresse hat Selbst eine Mischung aus internen externen Clients ist zul ssig Dadurch kann auch der Remotedesktop des ISA Server Computers f r bestimmte externe Clients ver ffentlicht werden Beachten Sie jedoch dass bei Angabe eines externen Clients dieser automatisch auch alle Zugriff
329. n Com nengruppen angeh ren sollte der WPN Zugriff fEinwahloptionen auf Zugriff ber RAS Richtlinien steuern gesetzt sein W hlen Sie Zugriff gestatten Falls die Option nicht verf gbar ist A OK Abbrechen bernehmen Der ISA Server 2004 erwartet eine Angabe von zugelassenen Benutzern bzw einer Gruppe die eine VPN Verbindung mit dem ISA Server herstellen d rfen Die einfachste M glichkeit ist dies durch eine Gruppe zu realisieren dabei ist es egal ob es sich um eine lokale Gruppe oder eine Gruppe aus der Dom ne handelt Hinweis Alternativ ist auch eine Authentifizierung ber RADIUS m glich Falls der ISA Server kein Mitglied der Dom ne sein sollte kann trotzdem mittels RADIUS eine Authentifizierung auf Dom nenebene stattfinden 3 1 VPN Eigenschaften 400 Eigenschaften von PN Clients ed a bernehmen Es muss das Tunnelprotokoll ausgew hlt werden fiir das der ISA Verbindungen akzeptieren soll Diese Anleitung beschr nkt sich auf das Tunnelprotokoll PPTP 3 2 Remotezugriffskonfiguration 401 Eigenschaften von Yirkuelle private Netzwerke 1 IN a x Zugriffsnetzwerke Adresszuweisung Guthentifizierung RADIUS Wahlen Sie F r YPN Lientverbindungen die Netzwerke aus von denen Clients Verbindungen mit dem VPM Server initieren k nnen Wahlen Sie F r Standort 2u Standort verbindungen die lokalen Hetzwerke aus deren Adapter als YPN Gateway f r die Yerbind
330. n Sep 5 20 31 03 UTC 0200 2004 154 Nachdem die Info Datei erzeugt wurde kann das ISAlnfo hta File ausgef hrt werden Es wird folgende Oberfl che gestartet E IsAinfo 2004 version 1 0 RC2 1 ol x Seel ISA SERVER Uber den Button Load XML kann die anzusehende XML Datei ausgew hlt und ge ffnet werden 155 BE ISAInfo 2004 version 1 0 RC2 1 displaying ISAInfo2004_I5 ISAlnfo 2004 Viewer Scan SA Save AbAL Load ML ISO SERVER SETTINGS Servers and Arrays Build 4 0 2161 50 _ ISA2K4 002 ISA 2004 XML export created by Comment MSISAFAQWAdministrator using ISAlnto 2004 version Admin Securi a 55 Y 1 0 RC2 1 on Sun Sep 5 20 29 16 UTC 0200 2004 Be Edition a0 _ Firewall Policy ISA XML Version 1 0 _ Cache Optional Data 7 Pu Client Application Settings Connectivity verifiers _ Extensions Logs _ Network Configuration _ Reports __ Rule Elements _ Servers Upgrade j he pal SuUcesstully rendered CiDokumente und Einstellungenwadministrator MSISAFAQChDesktoplsAlnfo2004_1SA2H4 O02 xml Uber das Menii auf der linken Seite kann durch die Konfiguration gegangen werden Z B lassen sich die konfigurierten Firewallrichtlinien anzeigen MS 1SAInfo 2004 version 1 0 RC2 1 displaying 1SAInfo2004 1S42K4 002 xml Scan a Save el ISA SERVER SETTINGS Servers and Arrays http fiir Admins _ ISA2K4 002 Description _ Admin Security Enabled true Delegated Admins 2 Loggi
331. n Sie auf Hinzuf gen um eine Weiterleitung hinzuzuf gen Weiterleikungs IP Adressliste der gew hlten Dom nen l Hinzuriigen Entfernen prenen oben nech unten unten Sek bis zur a der Weiterleitungsabrragen Keine Rekursion f r diese Dom ne verwenden OK Abbrechen bernehmen _6 Der letzte wichtige Punkt bei der Vorbereitung des Betriebssystems ist die Bindungsreihenfolge der Netzwerkkarten Erweiterte Einstellungen 5 xl Hetzwerkkarten und Bindungen Reihenfolge der Anbieter Die Verbindungen werden in der Reihenfolge aufgef hrt in der OHS und andere Netzwerkdienste darauf zugreifen Yerbindungen Extern EB RAS Verbindung ee Bindungen har Intern Datei und Druckerfreigabe f r Microsoft Netzwerke 5 Internetpratakall TCP IP Client f r Microsoft Netzwerke 5 Internetpratakall TCP IP ale Abbrechen Der Windows Server ist wie folgt an das Internet angebunden dyn zugewiesen 192 168 69 1 en Internet DSL Router 192 168 69 9 ISA Server Nachdem nun alle Voraussetzungen erf llt sind kann die Installation des ISA Server 2004 beginnen BE Microsoft ISA Server 2004 Setup Microsoft Al Windows Server System Microsoft Internet Security amp Acceleration Server 2004 Standard Edition Anmerkungen zur version anzeigen Benutzerhandbuch Erste Migrations Assistent Schritte anzeigen ausf hren ISA Serv
332. n gestattet auf angegebene 154 Server Dienste zuzugreifen delegiert werden Klicken Sie auf Weiter um den Yorgang fortzusetzen gur ck ISA Server Yerwaltungsdelegierungs Assistent Benutzer oder Gruppen Wahlen Sie mindestens einen Benutzer oder eine Gruppe dem bzw der Sie die Verwaltung zuweisen m chten Benutzer und Gruppen 15AB2 01 1 Administrator 154 Server Hauptadministratar VORDEFINIERT 4drministratoren 154 Server Hauptadministratar Hinzuf gen Bearbeiten Enthernen Abbrechen weitet gt Folgende Rollen stehen zur Verf gung e ISA Server Hauptadministrator Gew hrt Vollzugriff auf alle ISA Server Konfigurationsoptionen Protokollierung und Berichterstattung Au erdem k nnen Hauptadministratoren die ISA Server Steuerung auf andere Administratoren delegieren 126 e ISA Server Bas s berwachung Gew hrt Zugriff auf die ISA Server Bas s berwachungsfunktionen e Erweiterte ISA Server Uberwachung Gew hrt Vollzugriff auf die gesamt ISA Server Uberwachung und Lesezugriff auf die ISA Server Konfiguration Steuerung delegieren Gruppe empfohlen oder Durchsuchen Rolle Erweiterte ISA Server Uberwachung Rollenbeschreibung Gew hrt Vollzugriff auf die gesamte 154 Server Uberwachung und Lesezugriff auf die 15 4 Server Konfiguration Benutzer oder Gruppe w hlen E x Objekttyp Benutzer oder Integriertes S
333. n nach Inhalten vorn angegebenen Ziel behandelt werden falls die in der Regel angegebenen Bedingungen zutreffen Aktion die beim zutreffen der Regelbedingungen ausgef hrt wird Yernveigen uruck Abbrechen Assistent f r neue Zugriffsregel x Protokolle Wahlen Sie die Protokolle aus fur die diese Regel angewendet wird Protokolle hinzuf gen Regel wird angewendet fiir Protokolle ausgew hlte Protokolle Frotok olle Mail DA mard LI IMAP4 Server DI mars DA IMAPS Server DA LDAP DI LDAP UDP DA Loars DA NNTP LI NTRS Lie NATP Server uruck l ERJ POPS Server DI POP3S Server Heu Bearbeiten L schen ER Microsoft Operations Manager Ac 164 Durch Doppelklick auf das POP3 Element in der Toolbox wird es dem Assistenten hinzugef gt Assistent f r neue Zugriffsregel l i xj ugrittsregelgquellen Diese Regel git fur Datenverkehr der von den auf dieser Seite angegebenen Quellen stammt Netzwerkidentik ten Diese Regel betrifft Datenverkehr von diesen Quelle Heu Bearbeiten L schen Birgit s PC Netzwerke J Netzwerks tze 5 Computer Ef eraits PC a POPS Server Provider Adressbereiche Subnetze 3 Computersatze WUC Als nachstes wird das Quellobjekt angegeben 165 ugriffsregelzrele Diese Regel gilt f r Datenverkehr der von den Regelquellen an die auf dieser Seite angegebenen
334. n und deren Filterung gek mmert haben gehen wir jetzt zur Konfiguration der Protokollierung ber Der ISA Server 2004 bietet die M slichkeit eine e Firewallprotokollierung e Webproxyprotokollierung und e SMTP Nachrichten berwachungsprotokollierung einzurichten 338 Aufgaben Hilfe Protokollierungsaufgaben 4 Filter bearbeiten ig Abfrage beenden Firewallprotokollierung konfigurieren ey Weboroxyprobokollierung konfigurieren AF Protokollierung f r SMTP Nachrichten berwachung konfigurieren E Filterdefinitionen exportieren gt Filterdefinitionen importieren Verwandte Aufgaben 33 Ausgew hlte Ergebnisse in Zwischenablage kopieren 33 Alle Ergebnisse in Zwischenablage kopieren Folgende Protokollspeicherformate stehen zur Verf gung e MSDE Datenbank e Datei o W3C Protokollierugsformat o ISA Server Dateiformat e SQL Datenbank ber ODBC Der Firewall und Webproxydienst protokollieren d e Daten per Default n eine MSDE Datenbank Bei der MSDE Microsoft SQL Server Desktop Engine handelt es sich um eine kostenlose funktionsreduzierte Datenbank aus dem Hause Microsoft F r mehr Informationen ber die MSDE sei auf folgende Webseite verwiesen http www microsoft com sql msde Bemerkung W hrend der Installation des ISA Server 2004 wird eine MSDE Datenbank installiert Die SMTP Nachrichten berwachungsprotokollierung erfolgt per Default im erweiterten W3C Nachrichtenformat Im folg
335. n vorgenannten M glichkeiten Hierbei muss sichergestellt werden dass ein eventuell vorhandener Exchange Server DNS Abfragen stellen kann _53 _ Geplante Inhaltsdownloadsauftr ge einrichten Die Informationen in diesem Artikel beziehen sich auf e Microsoft ISA Server 2004 Neben der Cachefunktion f r h ufig abgerufene Webinhalte kann der ISA Server 2004 zur Performancesteigerung automatisiert bestimmte Webseiten zeitgesteuert in den Cache laden Das kann in bestimmten F llen Vorteile haben e schnellere Bereitstellung des Inhalts f r die Clients da keine echte Anforderung an den Zielserver gesendet wird e es kann eine Zeitspanne verwendet werden in der mehr Bandbreite zur Verf gung steht Nacht Im Kontextmen oder im Aufgabenbereich des Knotens Cache steht der Men punkt Neuer Inhaltsdownloadauftrag zur Verf gung Beim ersten Aufruf erscheint folgender Hinweis Geplante Inhaltdownloadauftrage aktivieren xj Das lokale Hostnetzwerk ist so konfiguriert dass webprosy Clientanfragen abgeh rt werden Die Konfigurationsgruppe For geplante Downloadauftr ge ist aktiviert Systemrichtlinie N Geplante Inhaltdownloadaurtrage werden nur ausgef hrt wenn Folgendes zutrifft M chten Sie diese Einstellungen konfigurieren Sie m ssen die Anderungen auf die Konfiguration anwenden Dadurch wird in der Systemrichtlinie der Downloadauftrag zugelassen _54 Systemrichtlinien Editor l x konfigura
336. neller geht als wenn extra f r Manfred die Seiten erneut komplett herunter geladen werden m ssen sollte einleuchtend sein Neben dem dadurch erzielten Geschwindigkeitsvorteil kann zus tzlich noch kostbare Bandbreite und je nach Tarif auch Volumenkosten eingespart werden Je mehr Benutzer die selben Webseiten aufrufen desto gr er der Vorteil Der ISA Server nutzt zwei Speichermedien f r d e gecachten Daten Zuerst werden die Daten im RAM des Servers zwischengespeichert Wenn der zur Verf gung stehende Platz ersch pft ist werden die Inhalte in ein Cachefile auf einer lokalen Festplatte geschrieben Daher kann durch hinzuf gen von RAM und oder einer Konfigurations nderung die Cachleistung erh ht werden Erg nzend dazu kann der ISA Server f r so genannte Inhaltdownloadauftr ge konfiguriert werden Dadurch kann der ISA Server selbstst ndig zu einem vordefinierten Zeitplan 15 bestimmte Teile von Webseiten in seinen lokalen Cache laden um sie zu einem spateren Zeitpunkt den Benutzern schneller zur Verf gung zu stellen Der Download kann zum Beispiel nachts oder au erhalb der blichen Gesch ftszeiten erfolgen um die weniger benutze Bandbreite auszunutzen die ja tags ber f r wichtigere Dinge benutzt werden sollte Wie ein solcher Inhaltdownloadauftrag konfiguriert wird ist in einem eigenen Artikel beschrieben Wie eingangs erw hnt kann der ISA neben dem gerade beschriebenen Forward Caching auch gerade entgegengesetzt
337. nen Anlagen SMTF Befehle E Mails die die folgenden Anlagenkategorien enthalten werden gel scht zuruckgehalten oder weitergeleitet Anlagen Akton Hinzuf gen Bearbeiten L schen a Installieren Sie die Wachrichtenubenvachung um diese Funktionalit t verwenden zu konnen Hilfe uber die Hachnchtenuberw achung Abbrechen bernehmen An dieser Stelle k nnen Anlagen blockiert werden E Mail Anhangregel i E aj xi W Anhangsregel aktivieren Regel tur Nachrichten mit einer der folgenden Eigenschaften anwenden f Anhangsname Anhangserweiterung ball lz B exe Anhangsgr enlimit in Bytes Aktion Nachricht weiterleiten a quarantine msisatag de Abbrechen Unter Aktion stehen wieder die drei M glichkeiten zur Verf gung 80 Nachricht l schen Die Nachricht wird verworfen Nachricht halten Die Nachricht landet im Badmail Verzeichnis Nachricht weiterleiten an hier muss eine Adresse eingegeben werden an die die Nachricht weitergeleitet werden soll Ich empfehle meistens geblockte Mails nicht zu l schen sondern an ein speziell berwachtes und auf Viren gepr ftes Postfach weiterzuleiten Somit geht keine Mail verloren was je nach Einsatzzweck in einem Unternehmen wichtig sein k nnte Es ist immer ein Abw gungsspiel welche Anlagen gesperrt werden sollen Einerseits soll m glichst eine hohe Sicherheit erreicht werden andererseits soll
338. ng Enabled Security Roles 3 Type Access Rule _ alerts 55 Action Allow _ Firewall Policy Fram System Rules 30 ce oe u Array Rules 3 elwor okaler Hos _ Cache To cher Network Extern Pie o PERE peat Frotocols Specified Protocols Settings en Connectivity Yerifiers aaa Applies to all content _ Extensions ie Ae Users Administratoren Logs mh ERSTER Redirect URL Jetwork Configuration Schedules lRennts bs array Rues eT Hinweis ISAlnfo hta kann auch auf einem anderen Rechner ausgef hrt werden um dort die ISA Konfiguration zu betrachten 156 Schonheitskorrektur SQL Server Dienst Manager Die Informationen in diesem Artikel beziehen sich auf e Microsoft ISA Server 2004 Der vorliegende Artikel beschreibt die Beseitigung eines kleinen Sch nheitsfehlers im Zusammenhang mit der durch den ISA Server 2004 installierten MSDE Datenbank Standardm ig kann man im Systemtray keinen Status der Datenbank einsehen TIARD wz Der Status der Datenbank ist nicht ersichtlich Dies kann jedoch ganz einfach ge ndert werden Offnen des SQL Server Dienst Manager durch Doppelklick 7 SQL Server Dienst Manager 0 Server Dienste p Starten weiter Ei Beenden Dienst bei Betriebssystemst rt automatisch starten Nicht verbunden 44 Im Feld Server den Namen des ISA Server Computers und die zugeh rige SQL Instanz angegeben 157 565 SOL Server Dienst Manag
339. ng a x Fertigstellen des Assistenten Microsoft Internet Security amp Acceleration Server2004 Der Assistent f r neue Konnekkivit tsverifizierung wurde erfolgreich abgeschlossen Die neue Konnektivitatsverifizierung wird wie Folgt konfiguriert Name al externer Mailserver verf gbar ziel mail msisafag de Gruppe Andere Yerifizierungsmethode TLP ZS SMTP a Eu Klicken Sie auf Fertig stellen um den Yorgang abzuschlie en und die Konfiguration zu speichern lt zur ck Fertig stellen Abbrechen Zum Schluss die bliche Zusammenfassungsmeldung mit allen eingegebenen Details L sst man sich anschlie end die Eigenschaften der neu erstellten Regel anzeigen kann man noch zwei weitere Optionen konfigurieren 316 Eigenschaften von externer Mailserver verf gbar x Allgemein Eigenschaften verbindung verifizieren verbindung mit diesem Server berwachen mail msisafag de Durchsuchen Gruppentyp ndere Wahlen Sie die Yerifizierungsmethode f r diese Yerbindung aus C HTTP GET 4nforderung senden Fing Anforderung sender f TCP Verbindung herstellen verbindung ber Port smTP 25 Zeiklimik Schwellenwert f r Antwortzeitlimit ms Sood Einen Alarm ausl sen Falls die Serverantwort nicht innerhalb des Wi ie i angegebenen Zeiklimits vorliegt Abbrechen libernehmen Zum einen kann der Schwellenwert konfiguriert
340. ng eines einzelnen Cachecontainers wurde abgeschlossen abgeschlossen Gr en nderung deaktiviert abgeschlossen Cacheschreibfehler Der Versuch Inhalt in den Cache zu schreiben ist fehlgeschlagen Cacheobjekt verworfen W hrend der Cachewiederherstellung wurde ein Objekt mit in Konflikt stehenden Informationen gefunden Dieses Objekt wurde verworfen Komponentenladefehler Eine Erweiterungskomponente konnte nicht geladen werden aufgetreten berschritten berschritten 31 Das Verbindungslimit fur eine Die Anzahl der pro Sekunde fur eine Regel zugelassenen Regel wurde berschritten Verbindungen wurde berschritten Ermittlungsmechanismus gegen Der Ermittlungsmechanismus gegen b sartige DHCP b sartige DHCP Eindringversuche wurde deaktiviert Eindringversuche wurde deaktiviert Fehler bei W hlen bei Bedarf Die DFU Verbindung konnte nicht erstellt werden da entweder keine Antwort empfangen wurde oder die Leitung besetzt ist DNS Zonentransfer Ein Zonentransferangriff ist aufgetreten Eindringversuch Ereignisprotokollfehler Die Ereignisinformationen konnten nicht im Systemereignisprotokoll protokolliert werden In der Standardeinstellung ist dieser Alarm deaktiviert Firewallkommunikationsfehler Zwischen dem Firewallclient und dem ISA Server Dienst ist ein Kommunikationsfehler aufgetreten FTP Filter Der FTP Filter konnte die zugelassenen FTP Befehle nicht Initialisierungswarnung analysieren Vergewissern
341. ngen konfigurieren Cacheregeln exportieren gt Cacheregeln importieren Dazu kann man den Aufgabenbereich 16 oder das Kontextmen verwenden Lo Microsoft Internet Security and Acceler Figg I5a2k4 002 I berwachung k Firewallrichtlinie owl Virtuelle private Netzwerke WPI El Konfiguration f b Netz erke Mek 5 LAC Aktualisieren Cachelaufwerke Festlegen Exportieren 00 Importieren z Far Deu ee A 2 Eigenschaften lt Anschlie end erh lt man die Laufwerksdefinitionsbox Cachelaufwerke festlegen E a Cachelaurwerke 1542k4 002 Laufwerk Sicha Maximale Cachegrate ME gesamter Speicherplatz auf NTFS Laufwerker Aktuelle Gesamtcachegr e MEJ 2 x a Freier Spei Freie Cachegr oE 3B T Festlegen Zur cksetzen MB 16378 0 Abbrechen bernehmen Je nach Anzahl der vorhandenen Festplatten Volumes werden natiirlich mehrere Laufwerke angeboten als im oberen Beispiel Es empfiehlt sich aus Performancegr nden das Cachefile auf eine separate schnelle Festplatte zu legen Die Gr e ist individuell und ich m chte hier keine Regelempfehlung machen 17 Cachelaufwerke festlegen p Bi x Cachelaufwerke E 1542k4 002 Laufwerk Speicherpla Freier Spei Cachegr fi ine NTFS 16375 12202 2000 Maximale Cachegr e MB 2000
342. ngen von folgenden Benutzersatzen Hinzufugen a Alle Benutzer Bearbeiten all Entfernen uruck Abbrechen Belassen Sie die Einstellung Alle Benutzer da der Zeitabgleich ber einen Dienst gesteuert wird Der Zugriff wurde in vorigen Schritten nur auf einen Server beschr nkt somit ist dies kein Sicherheitsrisiko Assistent f r neue Zugriffsregel er Fertigstellen des Assistenten Internet Securi ry amp Der Assistent fur eine neue Zugrifferegel wurde erfolgreich Acceleration Server 2004 abgeschlossen Die neue Zugrffsregel wird wie folgt konfiguriert Name r zugriff auf externe elserver Aktion lassen Datenverkehr NTF UDF Huelle Domanencontroller Ziel Externer eserver Angenommene Benutzers tze is al A klicken Sie auf Fertig stellen um den Yorgang abzuschlie en uruck Abbrechen Abschlie end bekommen Sie eine Zusammenfassung der Firewallregel angezeigt 236 2 Konfigurieren des Servers f r einen externen Zeitserver Damit der Zeitabgleich funktioniert muss der Server f r einen externen Zeitserver konfiguriert werden 2 1 Windows 2000 Server ffnen Sie ber Start gt Ausf hren gt cmd ein Eingabeaufforderungsfenster Mit dem Befehl net time setsntp ntp0 fau de legen Sie den externen Zeitserver fest ntpO fau de ist in dieser Anleitung der externe Zeitserver Einen Link zu externen Zeitservern finden S e am Ende dieser Anleitung T
343. ngs and paths in advance enpl gino l Name Big ae Le FpcReginstPath HELM SOFTWARE Microsoft FPCA InStal Directory jRegservicePath HELM Syst em currentcontrolset services Ags jRegeventPath HKLM Sys Tem Curr ntcontroal Set Services EventlLog application Ags iServiceName Remote Access Quarantine Agent Bh Wie lautet die Syntax zur Installation des RQS Skriptes f r Quarantine Control cscript ConfigureRQSForISA vbs install AllowedSet RqsToolsPath AllowedSet ist ein Version String welcher von der RQC Komponente angegeben werden muss um sich beim RQS Listener zu identifizieren Verwenden Sie 0 um mehrfache Versions Strings zu trennen RgsToolsPath ist der Pfad zu den RQS Tools ohne Angabe des Dateinamen Beispiel cscript ConfigureRQSForISA vbs install SharedKeyl C RQS 440 Bemerkung Das Skript ConfigureROSForlSA vbs setzt voraus dass sich die Dateien SC EXE und REG EXE im Windows System Pfad befinden Das ist bei Windows 2003 der Fall aber nicht bei Windows 2000 t1 Command Prompt Gsrgs escript configurergsforisa ubs install sharedkeyl c rqs Microsoft R gt Windows Script Host Version 5 6 Copyright lt C gt Aicrosoft Corporation 1996 2861 All rights reserved Registering RQS as Service EC CreateService SUCCESS S5C ChangeServiceConfig2 SUCCESS C ChangesServiceConfige SUCCESS the allowed version strings under HKLASS ystemCurrentContro let Services Setting
344. nhalt Geben Ste an ob abgerufener Inhalt im Cache gespeichert werden soll Standardm ig wird ein Objekt nur in Cache gespeichert falls seine Quelle und sein Anforderungsheader dies andeuten Wahlen Sie aus wann Inhalt im Cache gespeichert werden soll Falls Quell und Anforderungsheader Ziwischenspeichem indizieren zus tzlich zschenspeichern 7 Dynamischen Inhalt F inhalt turn Dffinebrowsina 302 307 Antworten F Inhalt der Benutzerauthentifizierung f r Abruf erfordert Zur ck Abbrechen Hier wird festgelegt dass kein Inhalt zwischengespeichert werden soll 38 Assistent f r neue Cacheregel x Fertigstellen des Assistenten Microsoft Internet Security amp Acceleration Server 004 Der Assistent fur neue Cacheregeln wurde erfolgreich abgeschlossen Die neue Cacheregel wird wie folgt konfiguriert Name al m afag nicht cachen Ziel E Nicht zu chachende Webseiten Lacheabrufkonfiguration Mur wenn eine gultige Version des Objekts im L Cacheinhaltkonfiguratiors Zu Niemals kein Inhalt wird zwischengespeichert a of 4 d Klicken Sie auf Fertig stellen um den Yorgang abzuschlie en Zur ck Abbrechen Abschlie end die obligatorische Zusammenfassungsseite die man als Dokumentation weiterverwenden K nnte Zum Schluss sollte man in den Eigenschaften der neu erstellten Regel noch folgende nderungen durchf hren 39 Eigenschaften von msisafag ni
345. nnnneeennen 409 ISA Server 2004 VPN Client Zugang mit PPTP 02000002sseeeesssesnneeeeennn 426 ISA Server 2004 V PN Quarantine Eontrel a sa a ne 438 Clientkonfiguration f r PPTP VPN Verbindungen mit PocketPC 2002 448 Clientkonfiguration f r PPTP VPN Verbindungen mit Windows 2000 XP 454 Einrichten einer Internetanbindung ber eine DFU Verbindung eeene 459 SMTP POR gt ausgehend nicht moglich nasse taten un 469 Installation des ISA Server 2004 deutsch auf Windows Server 2003 Die Informationen in diesem Artikel beziehen sich auf e Microsoft ISA Server 2004 RTM Die Version 2004 unterscheidet sich wesentlich vom ISA Server 2000 Zu den Unterschieden und Neuerungen wird es hier demn chst separate Artikel geben Was sich nicht geandert hat sind die Betriebssystemseitigen Voraussetzungen Der ISA Server 2004 unterst tzt folgende Serverbetriebssysteme und kann auf hnen installiert werden e Windows 2000 Server mit Servicepack 4 e Windows 2000 Advanced mit Server Servicepack 4 e Windows Server 2003 Standard Edition e Windows Server 2003 Enterprise Edition Es wird jedoch empfohlen Windows Server 2003 als Grundlage zu verwenden Die Artikel der msisafaq de beziehen sich prinzipiell immer auf Windows Server 2003 sofern nicht anders angegeben wird Vor der Installation von ISA Server 2004 muss das Betriebssystem entsprechend konfiguriert und vorbereitet werde
346. nsschritte Allen um den Yorgang uruck Abbrechen Klicken Sie au abzuschlie en Schritte zur Netzwerkkonfiguration Damit neu erstellte Netzwerke Datenverkehr senden oder empfangen k nnen m ssen weitere Konfigurationsschritte durchgef hrt werden Diese Schritte sind vom Typ des erstellten Netzwerks abh ngig Internes externes und Umkreisnetzwerk Damit Clients in diesen Netzwerken Datenverkehr senden und empfangen k nnen m ssen Sie die folgenden Schritte durchf hren Erstellen Sie eine Netzwerkregel die Datenverkehr zu und von diesem Netzwerk zul sst Entsprechende Anweisungen finden Sie unter Erstellen einer Netzwerkregel Erstellen Sie Firewallrichtlinienregeln die Datenverkehr zu und von diesem Netzwerk zulassen Entsprechende Anweisungen finden Sie unter Erstellen einer Zugriffsregel Erstellen einer Webver ffentlichungsregel Erstellen einer Serverver ffentlichungsregel oder Ver ffentlichen eines Mailservers Standort zu Standort VPN mit IPSec Damit Clients Verbindungen aus einem VPN Virtual Private Network mit IPSec Internet Protocol Security herstellen k nnen m ssen S e folgende Schritte durchf hren Erstellen Sie eine Netzwerkregel die Datenverkehr zu und von diesem Netzwerk zul sst Erstellen Sie Zugriffsregeln die Datenverkehr zu und von diesem Netzwerk zulassen berpr fen Sie die IPSec Protokolleinstellungen mithilfe der Eigenschaften des neu erstellten Netzwerks Stando
347. nt nen YPN Clients Diesem Netzwerk sind zurzeit keine IP Adressen zugeordnet Das vordefinierte Netzwerk das die Clientcomputer darstellt die eine Verbindung mit ISA Serve Umkreis Mm 172 16 0 0 172 16 255 255 Das Netzwerkobjekt das ein Umkreisnetzwerk auch DMZ Demilitarized Zone und berwachtes gt YPN Clients Diesem Netzwerk sind zurzeit keine IP Adressen zugeordnet Das vordefinierte dynamische Netzwerkobjekt das die Clientcomputer darstellt die via YPN ein Die Netzwerkregel ist auf NAT f r interne Kommunikation mit dem Umkreisnetzwerk und ROUTE vom Umkreisnetzwerk mit EXTERN konfiguriert 108 Fielnetzwerke az YPN Clients zum internen Netz Route Quarantanen VPN Clients Intern VPR Clients E el 3 Unmkreiskonfiguration MAT Intern athe Umkreis dhs Gusrant nen WPN Llients 5 WPN Clients ah Umkreiszugriff Route adhe Umkreis Extern E SA5 Internetzugriff MAT si Intern O D Extern 4 Quarantanen PN Clients I PN Clients Fur das neu erstellte Netzwerk wird basierend auf der gewahlten Einstellung des Wizard eine entsprechende Firewallrichtlinie erstellt Microsoft amp Pl a Be cove Firewallrichtlinie Standard Edition Firewallrichtlinie Reihenfolge Name Aktion Protokolle von Listener Nach Bedingung Nur Webzugriff zulassen MA FTP k Intern Extern g Alle Benutzer RA HTTP VPN Clients Umkreis MA HTTPS r 2 YPN Clients zum internen Netz
348. nte nur durch Neuinstallation erfolgen Wollte man den ISA Server nur als Webcacheserver verwenden um seine St rken im Caching auszunutzen und auf die Firewallfunktionalit ten verzichten musste man den Cachemodus ausw hlen In der Regel befindet sich dabei eine weitere Firewall an der u eren Schnittstelle des Netzwerks zur Verbindung des Firmennetzwerks mit dem Internet In diesem Szenario mit einem Adapter fungiert ISA Server normalerweise als Cacheserver auf dem die Inhalte aus dem Internet zwischengespeichert und f r Clients im Firmennetzwerk bereitgestellt werden Wer den ISA Server 2004 schon mal installiert hat wird feststellen dass es keine Abfrage mehr gibt in welchem Modus er installiert werden soll Soll das hei en dass der 2004er das nicht mehr unterst tzt Nat rlich kann der Internet Security and Acceleration Server 2004 jederzeit auch nur als Cacheserver verwendet werden deswegen ja das Acceleration in seinem Namen Der Cachemodus wird durch die mitgelieferte Netzwerkvorlage Einzelner Netzwerkadapter vorbereitet Das Netzwerkmodell beim 2004er ist v llig anders und wesentlich flexibler als das des 2000er Servers F r die h ufigsten Netzwerklayouts gibt es Vorlagen d e dem ISA Administrator die Grundeinrichtung erleichtern Einzelner Bei Anwendung der Einzelnetzwerkadapter Netzwerkadapter Netzwerkvorlage wird das interne Netzwerk so konfiguriert dass es alle IP Adressen enth lt Die ISA Server wird in
349. offentlichen SemerIP Adresse 192 168 16 66 Durchsuchen furuck Abbrechen W hlen S e das RDP Server Protokoll aus Assistent f r neue Serrerrer ffentlichungsregeln x Protokoll ausw hlen Wahlen Sie das Protokoll aus dass von dem ver ffentlichten Server verwendet wird Ausgew hlte Protokoll ROF Termnaldienste Server Eigenschaften Ports Neu Zur ck Abbrechen Legen Sie anschlie end das Netzwerk aus von welchem die Anfragen kommen 289 Assistent f r neue Servervyerolfentlichungsregeln mittels Adresse IP Adressen Wahlen Sie die NMetzwerk IP Adressen auf dem 154 Server aus der Anforderungen fur den ver ffentlichten Server abhor Diese Netzwerke auf Anforderungen abhoren Name Ausgew hlte IPs Extern Alle IP Adressen Intern Alle IP Adressen C Lokaler Host Alle IP Adressen C Quarant nen YPN Clients Alle IP Adressen C amp VPN Clients Alle IP Adressen I Le hi ales bebo KIL ool eo IM dh de Hinweis Sollte der ISA Server ber mehrere externe IP Adressen verf gen k nnen Sie festlegen auf welcher IP Adresse RDP Anfragen entgegengenommen werden Extern Netzwerklistener IP Auswahl Anforderungen abh ren auf C Allen IP Adressen auf dem 54 Server Computer im ausgew hlten Netzwerk C Der Standard IP Adresse auf dem 154 Server Computer im
350. olicy mit dem Erstellungsgrund und was diese Policy erm glichen soll damit Sie auch in naher Zukunft einen berblick ber Ihr Regelwerk behalten Beachten Sie auch die Reihenfolge der Firewall Policies ISA Server 2004 arbeitet die Firewall Policies anders als der ISA Server 2000 ab Kleiner Tipp Platzieren Sie die am h ufigsten verwendeten Firewall Policies am Anfang des Regelwerkes um die Performance etwas zu erh hen Achten Sie aber trotzdem darauf dass durch das Verschieben der Regeln keine unerw nschten Ergebnisse auftreten 35 amp Microsoft Internet Security amp Acceleration Server 2004 J le Datei Aktion Ansicht e 9 lt j Microsoft Internet Security amp Acceleratio H E W2K3MARC EF berwachung 14 Firewallrichtlinie HLD Virtuelle private Netzwerke VPN Firewallrichtlinie 3 Konfiguration Firewallrichtlinie Reihenfolge Aktion Protokolle Yon Listener Bedingun Standardregel 5 verweigern BA Gesamter Alle Netzwerke und lokaler Host Alle Netzwe wi Alle Benutzer Arbeiten Sie nach dem Minimalprinzip dass hei t erstellen Sie das Regelwerk so restriktiv und minimal wie m glich Aktivierte ISA Server Komponenten Je nach Einsatzzweck des ISA Server 2004 sollten Sie nur die absolut notwendigen ISA Komponenten w hrend der Installation ausw hlen und auch nach der Installation nur die ben tigten Komponenten aktivieren Ben tigen S e zum Beispiel den ISA Server
351. onfigurationseinstellung zu den entsprechenden benutzerspezifischen Einstellungen m Widerspruch steht wird sie ignoriert Die Firewallclientanwendung erkennt den ISA Server Computer mit dem eine Verbindung hergestellt werden soll entsprechend den in der Firewallclientverwaltung festgelegten Einstellungen Schlie lich untersucht der Firewallclient die Einstellungen auf Serverebene Alle f r ISA Server festgelegten Konfigurationseinstellungen werden bernommen Falls eine festgelegte Konfigurationseinstellung zu den entsprechenden benutzer oder computerspezifischen Einstellungen im Widerspruch steht wird sie ignoriert Lokale Adressen des Firewallclients 387 Standardm ig betrachtet der Firewallclient alle Adressen im Netzwerk f r die dieser Client konfiguriert ist sowie die in der lokalen Routingtabelle auf dem Firewallclientcomputer angegebenen Adressen als lokale Adressen Wenn beispielsweise der Firewallclient eine Verbindung zum Netzwerkadapter f r das interne Netzwerk herstellt werden alle im internen Netzwerk konfigurierten IP Adressen als lokal angesehen Bei jedem Versuch einer Winsock Anwendung auf dem betreffenden Client eine Verbindung zu einer IP Adresse herzustellen wird anhand der Datei Locallat txt bestimmt ob es sich bei der IP Adresse um eine Adresse im internen Netzwerk handelt Falls die Adresse als lokale Adresse angesehen wird kommt es zu einer direkten Verbindungsherstellung Wenn die Adresse nicht als
352. orzugt kann sich im Aufgabenbereich der Firewallrichtlinien die Systemrichtlinien einblenden lassen und gelangt somit zu Ubersicht wie sie zu Beginn dieses Artikels verwendet wird 171 Firewallrichtlinienaufgaben S Neue Zugriffsregel erstellen Webserver ver ffentlichen H Einen sicheren Webserver ver ffentlichen Mailserver ver ffentlichen Neue Serverver ffentlichungsregel erstellen Systemrichtlinienaufgaben ee Systemrichtlinienregeln ausblenden Systemrichtlinie exportieren gt Systemrichtlinie importieren Die folgende Tabelle soll helfen die Funktionsweise und den Zweck jeder Systemrichtlinie zu verstehen nach oben Authentifizierungsdienste Zugriff auf Gestattet dem ISA Server Verzeichnisdienste f r Authentifizierungszwecke IZugriff auf das Active Directory des als intern und somit vertrauensw rdig definierten Netzwerk Remoteverwaltung Remoteverwaltung mit MMC Gew hrt allen Computern des von ausgew hlten Computern zulassen Computersets Remoteverwaltungscomputer den Remotezugriff auf die ISA Konfiguration mittels der MMC Remoteverwaltung Remoteverwaltung mit Gew hrt allen Computern des Terminalserver von ausgew hlten Computern Computersets zulassen Remoteverwaltungscomputer den Remotezugriff auf die ISA Konfiguration mittels Remotedesktop Remoteverwaltung Remoteprotokollierung auf Der ISA Server darf NetBIOS x vertrauensw rdigen Servern mit NetBI
353. pState CurrentTimeZone Description Domain DomainRole Manufacturer Model NumberOfProcessors TotalPhysicalMemory from Win32_ComputerSystem Executing WMI query select Availability CapabilityDescriptions Caption Description DevicelD InterfaceType LastErrorCode Manufacturer Model Name Partitions SCSIBus SCSILogicalUnit SCSIPort SCSITargetld Size Status from Win32_DiskDrive Executing WMI query select Caption Description DeviceID DriveType FileSystem 151 FreeSpace LastErrorCode Size VolumeDirty VolumeName from Win32_LogicalDisk Executing WMI query select AdapterType Availability ConfigManagerErrorCode Description DevicelD Index LastErrorCode Name MACAddress MaxNumberControlled MaxSpeed NetConnectionStatus PowerManagementCapabilities ServiceName Speed StatusInfo TimeOfLastReset from Win32_NetworkAdapter Executing WMI query select Availability CPUStatus CurrentClockSpeed DevicelD I2CacheSize 12CacheSpeed Name from Win32_ Processor Executing WMI query select AnswerMode AttachedTo Availability Caption ConfigurationDialog Description MaxBaudRateToPhone MaxBaudRateToSerialPort Model ModemInfPath Status from Win32_POTSModem Reading the event logs Executing WMI query select ComputerName Data EventCode Eventldentifier InsertionStrings Message SourceName RecordNumber TimeGenerated TimeWritten Type from Win32_NTLogEvent where LogFil
354. pfangen wind Diese Hegel betrifft Datenverkehr der an diese Ziele gesendet wird Estern Bearbeiten Entfernen Zur ck eltern gt Abbrechen Das Netzwerkverh ltnis ist NAT Network Address Translation Mit Hilfe von NAT maskiert der ISA Server die IP Adressen der internen Clients mit der externen IP Adresse des ISA Servers Assistent f r eine neue Netzwerkregel x Hetzwerkyerhaltnis Geben Sie an wie Datenverkehr zwischen Quell und Zielnetzwerkidentit ten weitergeleitet wird 5A Server tarnt Computerguellen indem die Netzwerk P 4dressen dieser Computer tur ausgehenden Datenverkehr durch die externe IP Adresse von 15 4 Server ersetzt wird C Route 155 Server leitet Datenverkehr zwischen den Quellen und zielen weiter Hetzwerkadressubersetzung wird nicht verwendet Routenetzwerkwerh ltnisse sind bidirektional Zur ck Abbrechen Klicken Sie in der ISA Verwaltungskonsole unterhalb von Konfiguration auf Netzwerke und berpr fen Sie im Reiter Netzwerkregeln ob die entsprechende Netzwerkregel korrekt erstellt wurde _ 93 _ Raon Mame Relation uellnetzwerke Zielnetzwerke Bl AG ml E m 8 Bj AEG ELE gg vP ients zum internen Metz Route So Quarantanen vPA Cients Intern Ss VPRM Clients E EC Internetzugriff MAT Intern Q Extern ahs Quarant nen YPN Clients A VPN Clients Der letzte Schritt ist die Erstellung eine Firewallrichtlinie f r das neu erstellte Net
355. pr nglichen GUltigkeitsdauer Aber nicht mehr als Minuten gi 10 Prozentanteil des freien Speichers der zum Zwischenspeichern verwendet werden soll Wiederherstellen Abbrechen Ubernehmen hnlich wie beim ISA Server 2000 k nnen einige Zwischenspeicherungsoptionen gesetzt werden Die interessanteste Einstellung dabei ist der Prozentanteil des freien Speichers der zum Zwischenspeichern verwendet werden soll Die Standardeinstellung ist 10 Soll der ISA auch als Cacheengine verwendet werden und verf gt er ber gen gend RAM kann der Wert erfahrungsgem bis auf 80 oder 90 erh ht werden D h dass wesentlich mehr RAM fur den schnellen Zwischenspeicher verwendet wird Hierduch wird eine deutlich gesteigerte Performance erreicht pA ee Erkennung von Eindringversuchen und DNS Angriffen aktivieren Die Informationen in diesem Artikel beziehen sich auf e Microsoft ISA Server 2004 Der ISA Server bietet neben den Firewall und Proxyfunktionen auch eine Eindringversuchserkennung Microsoft hat diesen Bestandteil von ISS www iss net isaserver lizenziert ISS bietet dar ber hinaus f r den ISA weitere Komponenten an die mehr Erkennungsmuster f r Angriffsversuche mitbringen Sobald die Eindringversuchserkennung aktiviert ist erkennt der ISA Angriffsversuche und kann darauf reagieren Es besteht die M glichkeit das Ereignis nur im Ereignisprotokoll zu vermerken z B dem Administrator eine E Mail zu senden
356. privaten Computern Abbrechen In diesem Fenster k nnen Sie die Timeouts und die Behandlung von E Mail Anlagen auf privaten bzw ffentlichen Computern konfigurieren Aktivieren Sie die Optoin Von OWA Abmelden wenn der Benutzer von der OWA Site wechselt damit die Verbindung getrennt wird sobald der Benutzer Outlook Webaccess verl sst Diese Einstellungen sind die Grundlage f r die Sicherheitsoptionen die bei der Anmeldung ausgw hlt werden k nnen 256 ntlichungsregeln sss Assistent f r neue Mailserver Yer ffe Weblistener ausw hlen Der Weblistener bestimmt die IP Adressen und den Port auf dem der 544 Server Computer auf eingehende Webanforderungen abh rt Weblistener IF 172 16 1 50 Formsbased Port HTTPS 443 z Zertifikat exchange meinedom Authentifizierungsmethoden GWA Forms Based Immer authentifizieren Die Konfiguration des Weblisteners ist nun abgeschlossen 2 1 Erstellen einer sicheren Webver ffentlichungsregel Teil 2 257 Assistent f r neue Mailserrer Ver ffentlichungsregeln Benukzers k ze Sie k nnen die Regel auf Anforderungen von allen Benutzern anwenden Sie k nnen den Zugriff aber auch auf bestimmte Benutzers tze einschr nken Ll Diese Regel betrifft Anforderungen yon Folgenden Benutzersatzen Hinzuf gen ge Alle Benutzer Bearbeiten all Enthernen Zur ck Abbrechen Hier k nnten Sie den Zugriff auf eine bestimmte B
357. ption Folgendes Netzwerk f r DHCP DNS und WINS Dienste verwenden ist daf r verantwortlich welche DNS und WINS Server dem VPN Client zugewiesen werden Diese Einstellungen k nnen unter dem Punkt Erweitert wie 1m n chsten Bild zu sehen auch manuell konfiguriert werden 403 Geben Sie die DMS und WINS Server IF 4dressen an die zum Aufl sen won Compubernamen F r YPA Llientserbindurgen verwendet werden Prim r Burchsuchens Alternativ Gants F PIURCHSUCHEN ia fe WINS Serveradressen Uber DHCP Konfiguration beziehen Folgende WINS Serveradressen verwenden Prim r E ite eg Brurchslichen Alternativ Die DNS und WINS Server k nnen hier angepasst werden falls eine alternative Konfiguration n tig ist Eigenschaften von Yirtuelle private Netzwerke N x fugrifFsnetzwerke Adresszuweisung Authentifizierung RADIUS Be eee w hlen Sie die Authentifizierungsmethoden aus die verwendet werden sollen wenn das remoteseitige Gateway oder der Remateclient eine verbindung mit dem Ian Server initiiert EAP Extensible Authenticatior Protaokall mikt Smartcard oder anderem Zertifikat 154 Server muss Mitglied in einer Dom ne sein versenden Sie die unten aufgef hrten Protokolle nur F r VPN Clients auf denen windows 98 oder Windows NT 4 0 ohne die neuste YPN Llientsoftware ausgef hrt wird Microsoft verschlisselte Authentifizierung M5 CHAP a verschl sselte Authentifizierung
358. quellen an die auf dieser Qenendet ward ete angegebenen Zelen Die Regel betrifft Anforderungen von folgenden Benutzers tzen All Users nr Se ee i peanae Assistent F r neue Fall griffsreg el O X Benutzers tze Sie k nnen die Regel auf Anforderungen von allen Benutzem anwenden Sie r A ea i 1 ur L m Mi ter ni 1 PE r berpr fen Sie noch einmal die Einstellungen 419 nschaften von Remote GW Im Reiter Verbindungen k nnen Sie noch einmal die Verbindungsdaten berpr fen und eine Beendigung der Verbindung nach Anzahl X Minuten Stunden festlegen haften von Remote GW s eee u Pai nf ul ly I 1 1 Hier k nnen Sie das VPN Protokoll einstellen und den PSK ndern Vorsicht Muss auf beiden Seiten ge ndert werden 420 Eigenschaften von ads Wahlen Sie wig O ai SA Beh SCHRAZ DE Datenverkehis versendet werden De Zei aauthentihzienng et de peim re Autner llzietungsmelhoce Die VFH Server an beiden Standorten ason reden Comgsterzeitiikate verf gen de von wertr Zertii ierungsstel en ausgestelll wurden 7 Yonnstalleiten Schl ssel f r PSec Authentifizierung als se latematne Suthenhhizenumasmethode zulassen Vonnstebeten Schlussel ha Authentiineung verwenden RR AT ET EN PPTP bietet eine sichere Verbindungimethode
359. r ckgewiesen Wenden Sie sich an den 154 Serwer Administrator 12217 e Quelle webfilter Ermittlung von HTTP Anwendungsignaturen Zur Ermittlung von HTTP Anwendungssignaturen die Ihnen nicht bekannt sind k nnen Sie den Windows eigenen Netzwerkmonitor verwenden und den Netzwerkverkehr sniffen Die folgende Grafik zeigt ein Beispiel f r einen Netzwerksniff mit dem in Windows 2000 2003 verf gbaren Netzwerkmonitor Sie k nnen nat rlich auch jeden anderen Netzwerkmonitor zum Beispiel Ethereal verwenden HTIF GET Request from Client HTTP Request Method crt Http Request HTTP Uniform Resource Identifier Usergroup index ht HTTP Protocol Version HTTP 1 1 Request Header HTTP Accept image gif inage x xbitnmap inage jpeg inage pjpeg application wnd us excel application wnd mws powerpoint HTTP Beferer http wumu nsisafag de HTTP Accept Lanquage de HTTP Accept Encoding Sgzip deflate Signatur HTTP User Agent Mozilla 4 0 compatible MSIE 6 0 Windows NT 5 2 NET CLR 1 1 43 HTTP Host Zinn me Lear http Header 1 Connection Eeep live Dieses Beispiel zeigt den HTTP Request Typen GET den HTTP Request Header HTTP 1 1 den User Agent Mozilla 4 0 und die Signatur MSIE 6 0 HTTPFILTERCONFIG VBS Verwenden Sie HTTPFILTERCONFIG VBS aus dem Verzeichnis SDK SAMPLES ADMIN von der ISA Server 2004 CD um HTTP Filter zu importieren und zu exportieren 272 ch Eingabeaufforderung 14 66
360. r ffentlithungsregel S Assistent fiir neue Zugriffsregel Wilkommen Microsoft ah Acceleration aan Acceleration Server 2004 Mit diesem Assistenten kannen Sie eine neue Zugriffsregel erstellen Zugriffsregeln bestimmen die durchzufuhrende Aktion und die zu venvendenden Protokolle wenn angegebene Clents in einem Netzwerk versuchen auf bestimmte Ziele oder Inhalte auf einem anderen Netzwerk zuzugreifen zugriffstegelname Zusri auf externe Zeitseryei Klicken Ste auf Weiter um den Yorgang fortzusetzen AUCE Abbrechen Vergeben Sie der Regel einen aussagekr ftigen Namen 230 Assistent f r neue Zugriffsregel x Regelaktion Legen Sie fest wie Clientanforderungen nach Inhalten vom angegebenen Ziel behandelt werden falls die in der Regel angegebenen Bedingungen zutreffen Aktion die beim zutreffen der Regelbedingungen ausgef hrt wird C Yerweigerm ZUTICK Abbrechen W hlen Sie die Option Zulassen aus Protokolle hinzuf gen Assistent f r neue Zugriffsregel 1 Protokolle Wahlen Sie die Protokolle aus f r die diese Regel angewendet wird Protokolle Heu Bearbeiten L schen Allgemeine Protokolle 5 Infrastruktur ER DHCP Anforderung Wi DHCP Antwort Ausgew hlte Protokolle Le DNS ER DNS Server EN ICMP Informationsanfordert Li ICMP Zeitstempel LA Loar EA NetBios Datagramm Kegel wird angewendet f r Frotok alle ER NetBios Namen
361. r Messaging deaktivieren m ee ee m F Anderung der Einstellungen f r Kalender und Kontakte deaktivie 4 l r 4 ee Sse eee C Offlineseiten Pe J Browser Mer s C Symbolleisten vee 3 Dauerhaftigkeitsyerhall _ 43 Eigenschaften von Anderung der Proxyeinstellungen Richtlinie Erkl rung Anderung der Prosveinstellungen deaktivieren Nicht konfiguriert Aktiviert C Deaktiviert me o Wenn die Einstellungen zusammen mit WPAD verwendet werden sollen darf kein Proxy wie oben beschrieben eingetragen werden In diesem Fall muss die Richtlinie Automatische Browserkonfiguration verwendet werden Automatische Browserkonfiguration E E 2x Automatische Kanf guratian Die automatische Konfiguration erm glicht es Aktualisierungen nach der Werteilung direkt auf den Computer des Anwenders weiterzugeben Sie k nnen ein URL f r eine INS Datei oder f r Autoproxy angeben oder beides M Automatische Ermittlung von Konfigurationseinstellungen T Automatische Konfiguration aktivieren eben Sie das Intervall f r die automatische Konfiguration in Minuten an Falls Sie das Feld leer lassen oder Null eintragen wird die automatische Konfiguration nur bei einem Meustart des Browsers und einem Navigieren zu einer Seite ausgef hrt Auborabtische Konhiguration alle Minuten durchk hren URL Kir Gubokontiguration INS Biatei Pa URL Gur futoproey 5 Avscader PA Datben A
362. r SSL mit Formsbased Authentification mit dem ISA 2004 238 ISA Server 2004 SH TIEF EN ae ae Le aaeaataeeene 263 Konfiguration des ISA Server zur Unterst tzung interner Mailclients z B Outlook Outlook RRC SS thee aes et hae ea he eo eda ERIELET EUR een hee head NEN IE 274 Ver ffentlichen von Remotedesktop zur Verwaltung des ISA Server Computers 279 Ver ffentlichen eines internen Terminalserver oder interner Remotedesktop Services 287 bersicht ber die ISA Server 2004 Monitoring Funktionen 303 Konfiguration einer Konnektivit tsverifizierung uueessssssssssssseeeesnsnnnnnneennnnnnnnnnnnnnnnnnnenn 313 Alarmkontisuratign nne ei 320 ISA Server 2004 Protokollierung euren BEE 332 ISA Server 2004 System Harde nina ara ur Hier 343 Toolbox Werkzeugkasten f r Firewallrichtlinien ussss 00000sseeeeeeeennnnnneeeneenn 358 Erstellen eines neuen benutzerdefinierten Protokollelementes in der Toolbox 360 Fire wallrichiinie na seen E 364 Erstellen und verwenden von Zeitpl nen saa un awterner a ace earns 367 ISA Server Clients Teil 1 Der SecureNAT Client 0000ss02000ssseeeeeesnnnnnnneneenen 373 ISA Server Clients Teil 2 Der Firewall Client aaa 376 ISA Server Clients Teil 3 Der Webproxychent 2 2 392 Eingehende VPN Verbindungen per PPIP a u a a 397 ISA Server 2004 Site to Site VPN mit L2TP IPSec 000 0000000020ssseensn
363. r Toolbox sollten wir uns zuerst Elemente f r Birgit s Computer POP3 Server des Providers Arbeitszeit und Mittagspause erstellen Sofern auf Birgit s Computer der Firewallclient ausgef hrt wird k nnte zus tzlich zur Einschr nkung von ihrem PC auch ihre Benutzerauthentifizierung erzwungen werden die bei nicht HTTP FTP Verkehr ausschlie lich mittels des Firewallclients m glich ist Zuerst wird ein neues Netzwerkobjekt Birgit s PC erstellt welches anhand seiner IP Adresse charakterisiert wird 159 Neues Computerregelelement Be arbeike I Netzwerke Bi Netzwerks tze True k JP von Birgit u A CI Netzwerke 9 Netzwerksatze Computer LO Adressbereiche C Subnetze E Computersatze EE URL S tze 3 Dom nennamens tze E weblistener 160 Als n chstes wird ein Netzwerkobjekt POP3 Server im Internet erstellt Neues Computerregelelement Z u POPS Server Provider Nun noch schnell die beiden Zeitpl ne anpassen bzw erstellen 161 Eigenschaften von Normale Arbeitszeit J j aj x Allgemein Zeitplan Definieren Sie eine eitplanyvorage auf dieser Seite 0 2 4 6 8 10 12 14 16 18 20 22 0 Dienstag Wlittwoch Donnerstag Freitag Samstag Sonntag Von Montag Bis Montag zeit OO 01 E C Aktiv f Inaktiv Abbrechen bernehmen alx Mame Mittagspause Beschreibung Legen Sie Aktivierungszeiten
364. r das Internet verbunden werden ISA Server 2004 enth lt drei VPN Protokolle f r Site to Site Verbindungen e PPTP Point to Point Tunneling Protokoll e L2TP Layer 2 Tunneling Protokoll ber IPSec IP Security e I PSec Tunnelmodus IP Security Protokoll Die Verfahren zum Konfigurieren von Remote VPN Netzwerken unterscheiden sich je nach ausgewahltem Tunneling Protokoll Bei allen Remotestandortnetzwerken muss das Netzwerk konfiguriert eine Netzwerk und Firewallrichtlinie f r das Remotenetzwerk eingerichtet und das Remotestandortgateway VPN Server konfiguriert werden F r IPSec Netzwerke k nnen dar ber hinaus die Sicherheitseinstellungen auf dem ISA Server 2004 Computer konfiguriert werden Au erdem m ssen die IPSec Richtlinieneinstellungen auf dem Remotestandortgateway konfiguriert werden Ein Site to Site VPN mit IPSEC sollte nur aus Abw rtskompatibilit tsgr nden mit anderen Firewalll sungen verwendet werden Site to Site VPN mit IPSEC ist auch ein neues Feature des ISA Server 2004 409 ISA Server 2004 ISA Server 2004 Ls Starten Sie mit der Erstellung des S2S VPN auf dem ISA Server in Obernkirchen Zur Erstellung eines Site to Site VPN starten Sie die ISA Server Verwaltungskonsole und klicken Sie unterhalb des ISA Server Firewallobjektes auf virtuelle private Netzwerke VPN und dort auf den Reiter Remotestandorte Dort klicken Sie auf der rechten Seite in den Remotestandortaufgaben auf
365. rator MSISAFAQ Desktop IS AInfo2004_tempdata txt Reading C Dokumente und Einstellungen Administrator MSISAFAQ Desktop IS AInfo2004_tempdata txt Accessing WScript Shell Executing C WINDOWS system32 cmd exe c NETSTAT R gt gt C Dokumente und Einstellungen Administrator MSISAFAQ Desktop IS AInfo2004_tempdata txt Reading C Dokumente und Einstellungen Administrator MSISAFAQ Desktop IS AInfo2004_tempdata txt Accessing WScript Shell Executing C WINDOWS system32 cmd exe c NETSH SHOW HELPER gt gt C Dokumente und Einstellungen Administrator MSISAFAQ Desktop IS AInfo2004_tempdata txt Reading C Dokumente und Einstellungen Administrator MSISAFAQ Desktop IS AInfo2004_tempdata txt Accessing WScript Shell Executing C WINDOWS system32 cmd exe c WLBS DISPLAY gt gt C Dokumente und Einstellungen Administrator MSISAFAQ Desktop IS AInfo2004_tempdata txt Accessing WScript Shell Executing C WINDOWS system32 cmd exe c NETSTAT ANO gt gt C Dokumente und Einstellungen Administrator MSISAFAQ Desktop IS AInfo2004_tempdata txt Reading C Dokumente und Einstellungen Administrator MSISAFAQ Desktop IS AInfo2004_tempdata txt Accessing Msxml2 MXXMLWriter 3 0 Accessing Msxml2 SAXXMLReader 3 0 Cleaning up the XML Saving C Dokumente und Einstellungen Administrator MSISAFAQ Desktop IS AInfo2004_ISA2K4 002 xml ISAInfo 2004 version 1 0 RC2 1 completed at Su
366. rd Alias f r den ISA Server eingerichtet werden Eli DNS B EB PANTHER E H Zwischengespeicherte Lookupyorgange Fo Forward Lookupzonen a HM Berne Serwerdatendatei aktualisieren a Lokale Benutzer u Neu laden DHCP Neuer Host Heuer Alias 116 Neuen Eintrag erstellen Alias CNAME bergeordnete Dom ne msisafaq de Aliasname bei Nichtangabe wird ubergeordnete Domane verwendet WPAD Vollqualifizierter Hame des Zielhosta panther msisataq de Eintrag l schen wenn er veraltet Zeitstempel des Eintrags Gultigkeitsdauer TTL fi a 0 OF Abbrechen Der Aliasname muss WPAD lauten im n chsten Eingabefeld wird der komplette Dom nenname des ISA Servers eingetragen In diesem Beispiel hei t der Server Panther die Dom ne lautet msisafaq de 3 Konfiguration der DHCP Einstellungen Es muss eine neue vordefinierte Option im DHCP Server erstellt werden EE DHCP El ifs panther msisafag de 192 168 5 1 5 Bereich 192 168 5 0 interner Statistik anzeigen E Adresspool Neuer Bereich m Adressleases Neue Bereichsgruppierung Gli Reservierungen Neuer Multicastbereich gi Bereichsoptionen By Serveroptionen Alle Bereiche abstimmen Benutzerklassen definieren Herstellerklassen definieren Vordefinierte Optionen einstellen 117 l Vordefinierte Optionen und Werte 002 Zeitoffset Lastest Es muss ein neu
367. rderangen nach Inhalten vorn angegebenen Ziel verarbeitet werden sollen Wenn Sie bei der Anforderungsverarbeitung Anforderungen an angegebenen Upstreamserver weiterleiten gew hlt haben m ssen Sie im Fenster Prim res Routing den Upstream Proxy und die Port Nummer f r HTTP und SSL angeben Wenn der Upstream Proxy eine Authentifizierung erfordert m ssen Sie auf Konto verwenden klicken und dort das Konto festlegen und die Authentifizierungsart Standard oder WIndows integriert festlegen _ 98 _ Assistent f r neue Webrerkettungsregel l x Primares Routing Sie k nnen die primare Route f r Anforderungen die an den Upstreamprosyserwer gesendet werden festlegen Geben Sie den Namen des Servers und die Fortnummer har die prim re Route ein Geben Sie Name und Kennwort ein wenn Sie ein bestimmtes Benutzerkonto Server 1SA2KAH0 Durchsuchen Part s080 SSL Port has Konto verwenden Authentifzienung uruck Abbrechen Im Fenster Reserveaktion k nnen Sie die Aktion festlegen wenn die prim re Route nicht verf gbar ist Aus Redundanzgr nden k nnten Sie hier einen Reserveserver angeben indem Sie auf Anforderungen an anderen Upstreamserver weiterleiten klicken diesem Beispiel w hlen wir Anforderungen ignorieren Assistent f r neue Webverkettungsregel a x Heserveakl on Sie k nnen eine Sieherungema nahme f r Clients die keine Verbindung uber die primare Route herstellen konnen
368. rechen Als Bridgingmodus w hlen Sie s e die Option Sichere Verbindung mit Clients und Webserver aus um einen SSL Tunnel zwischen Client und dem ISA Server und zwischem dem ISA Server und dem Exchange Server herzustellen 211 Assistent f r neue SSL Webveroffentlichungsregel 7 x fu ver ffentlichende Website festlegen Geben Sie den Computer Webserver an auf dem sich die Website befindet Sie k nnen die gesamte Website ver ffentlichen oder den Zugriff auf einen bestimmten Ordner einschr nken Computername oder IP Adresse exch srv1 meinedamain local Durchsuchen Urspr nglicher Hostheader anstelle des aktuellen toben angegebenen weiterleiten Geben Sie den Namen der zu ver ffentlichender Datei oder des zu ver ffentlichenden Ordners ein Verwenden Sie um alle Dateien und Unterordner innerhalb eines Ordners mibeinzuschlieien z B Ordners Ffad froci Die Folgende Website wird auf Ihrer Auswahl basierend ver ffentlicht site https fexch srvL meinedomain localfrpc Legen Sie den Port an den Anforderungen umgeleitet werden auf der Registerkarte Bridging auf der Regeleigensch ftenseite Fest Zur ck Abbrechen Geben Sie als Ziel der Firewallregel den Namen des internen Exchange Servers und als Pfad RPC an Hinweis Der Name des Zielservers muss mit dem FODN des Zertifikates auf dem Exchange Server tibereinstimmen Sollte dies nicht der Fall sein muss ein entsprechend
369. reibung zu beachten Den hier gew hlten Schl ssel m ssen Sie sp ter auch noch beim ISA Server verwenden also merken Sie sich den Schl ssel gut RAS Richtlinie Erstellen Sie eine neue RAS Richtlinie mit welcher Sie einer neu zu erstellen Active Directory Benutzergruppe WWW Benutzer das Recht geben den mit IP Adresse angegebenen ISA Server nutzen zu d rfen 68 ia Internet authentdielerungschenst om xE 2 GS RADIUS Cbents on en Eigenschalten von 1SA2004 Pu 2 x ii 23 Verbundungsanforderungswerarbeikung Einstelungen Geben Sie Bedingungen an mt denen Verbindungsartorderungen Bichtireenbedrgungert Verbindungsantonderungen rat den n det Richir angegebenen RAS Gerechiigung yerweigen PAS Betechtigung eiteden ok Ubeireanent Auf dem ISA Server Auf dem ISA Server 2004 m ssen Sie verschiedene Konfigurations nderungen vor nehmen damit der ISA eine Benutzerauthentifizierung ber IAS durchf hrt Als erstes m ssen S e berpr fen ob die ISA Server 2004 Firewall Systemrichtlinie den RADIUS Zugriff auf das interne Netzwerk zul sst Starten Sie dazu die ISA Server Verwaltungskonsole und klicken Sie mit der rechten Maustaste auf Firewallrichtlinie und w hlen im Kontextmen Systemrichtlinie bearbeiten aus Die Firewallrichtlinie ist per Default aktiviert 69 Als n chstes m ssen wir dem Netzwerkobjekt Intern mitteilen dass ab sofort eine Authentifizi
370. ren Als n chstes aktivieren Sie Authentifizierung ist f r alle Benutzer erforderlich Damit wird sichergestellt dass nicht autorisierte Benutzer zur Authentifizierung aufgefordert werden Im Feld Authentifizierungsserver w hlen Sie bitte RAD US Server aus Es erscheint folgendes Fenster in diesem Beispiel ist bereits ein RADIUS Server konfiguriert Klicken Sie auf Hinzuf gen le RADIUS Server Gaben Se de RADILS Server an dee f r RACIUS Berutzer authenkfizenung ne Server werden entsprechend der sufgef hrben Fieihwerdolge a m Auf daze Leite der RACHLS Serwer werd irer rereienet IL wenn RADIUS Authenbfineung verwendet wird oe Abbrechen Geben Sie unter Servername die IP Adresse oder den Namen des IAS Servers an Die Serverbeschreibung ist optional jedoch zur besseren Orientierung und zur Dokumentation s nnvoll RADIUS Server bearbeiten Geben Sie den Namen oder die IP Adresse des RADIUS Servers ein und lagen Sie fest wie ISA Server mit diesem Server kommunizieren soll Serverbeschreibung Interner DE peel Schl ssel en _ Fader Port 1812 Zeitlimit Sekunden 5 een Im Feld Gemeinsamer geheimer Schl ssel geben Sie den im IAS erstellen Schl ssel an Sie erinnern sich Xd5 1 xSS amp aasD03 Q Best tigen Sie den Schl ssel noch einmal Tipp Verwenden Sie NICHT den Schliissel aus diesem Beispiel Der Standard Port fir RADIUS ist 1812 1645 fiir die Authentifizierung und
371. ren Webver ffentlichungsregel Teil 1 Assistent f r neue Mailserver Ver ffentlichungsregeln x Willkommen Microsoft Internet Security amp Acceleration Server 2004 Mit diesem Assistenten k nnen Sie Mailserver wie SMTP oder Webmaildsdienste z B Outlook Web Access ver ffentlichen Dieser Assistent ver ffentlicht pro Ausf hrung einen Mailserver F hren Sie den Assistent erneut f r weitere Maiserverver ffentlichungen aus Name der Mailserver Wer ffentlichungsregel Outlook Webaccess Formsbased Authentification Klicken Sie auf Weiter um den Yorgan g fortzusetzen ZUFRLICK Abbrechen Erstellen Sie ber Servername gt Firewallregeln gt Neu gt Mailserverver ffentlichungsregel eine neue Ver ffentlichungsregel Es ffnet sich der Assistent zur erstellung einer neuen Firewallrichtlinie zur Ver ffentlichung eines Mailservers Vergeben Sie einen Namen f r die Regel DM Assistent f r neue Mailserver Yer ffentlichungsregeln 2 x fugriffstyp ausw hlen w hlen Sie den Zugriffstyp aus den dieser Mailserver f r Clients zur Yerf gung stellen soll C dlientzugriff RPC IMAP POPS SMTP 4 Server zu 5erver Kommunikation SMTP MMTP Zur ck Abbrechen Wahlen Sie die erste Option f r den Webzugriff per OWA aus Assistent f r neue Mailserver Yer ffentlichungsregeln i x Dienste ausw hlen w hlen Sie die Dienste aus die auf diesem Mailser
372. richten berwachung Funktionsbeschreibung Steuert den Zugriff und Datenverkehr zwischen Hetzwerken Diese Funktion erfordert 17 MB auf der Festplatte Es sind 1 won 1 untergeordneten Funktionen ausgew hlt die 56 ME auf der Festplatte erfordern Installieren nach Programmei flicrosoft I5A Serveri Hilfe Speicherplatz Zur ck Weiter gt Abbrechen Die Typische Installation beinhaltet e Firewalldienste e Erweiterte Protokollierung e ISA Server Verwaltung e Installationsfreigabe f r Firewallclient Bei der Vollst ndigen Installation ist zus tzlich noch ausgew hlt e Nachrichtentiberwachung Die Installationsfreigabe f r Firewallclient muss nicht zwingend auf dem ISA Server installiert werden Hier ist ein wesentlicher Unterschied zum ISA Server 2000 erkennbar Dort musste der Firewallclient immer zwingend von der mspelnt Freigabe am ISA Server installiert werden Beim 2004er kann diese Freigabe auch auf einem internen Fileserver liegen Warum Der ISA Server 2004 kann das interne Interface also die Schnittstelle zum LAN komplett blocken und nur einige wenige zugelassene Protokolle durchlassen Somit k nnte man bei gesperrtem Filezugriff auf den ISA Server keinen Firewallclient mehr installieren Als n chstes m chte der ISA Server wissen welche IP Adressen er als ntern zu betrachten hat i 15 x ii Installations Assistent f r Microsoft ISA Server 2004 Internes
373. richtlinie wurde somit erstellt Nun muss noch der Zeitraum konfiguriert werden Durch Doppelklick auf die Regel gelangt man zur Registerkarte Zeitplan Eigenschaften von google zeitbeschrankt erlaub i x Allgemein Aktion Protokolle Yon Nach Benutzer Zeitplan Inhaltzt pen Zeitplan Neu Beschreibung E A Samstag Sonntag Yan Montag Bis Sonntag eit OO DO E ak Inaktiv Abbrechen bernehmen Die Standardeinstellung erlaubt die Regel zu jeder Zeit Es gibt zwei vordefinierte Zeitpl ne e Normale Arbeitszeit 2 4 6 10 12 14 16 18 20 22 Alle Montag Dienstag Wiittmoch Donnerstag Freitag Samstag Sonntag e Wochenende Uo 20 20 55 8 eae e a aA e ll Alle Montag Dienstag Mittvnoch Donnerstag Freitag Samstag TEED E e e Sonntag PRR 370 Durch klicken auf Neu kann ein neuer Zeitplan definiert werden F r das obige Beispiel wird ein neuer Zeitplan ben tigt Anschlie end wird der neu erstellte Zeitplan ausgew hlt 371 Eigenschaften von google zeitbeschr nkt erlauben Allgemein Aktion Protokolle Yon Nach Benutzer Zeitplan Inhaltstypen Neu Zeitplan be PArbeitszeit werktags Beschreibung Regelarbeitszeit 2 4 6 8 10 12 14 16 18 20 22 0 Alle Montag Dienstag Mittwoch Donnerstag Freitag Samstag Sonntag Von Montag Bis Montag zeit 10 11 Bo iki
374. rieren ER Protokollierung f r SMTP Machrichtentberwachung konfigurieren F Protokallerung f r diesen Dienst aktivieren Fa A Aktivieren Se im Systenwichthinden Editer che entsprechenden k Filterdefinitionen exportieren Remoteprotokdlierung Konfigurstionsgruppen um ein Protokol remote in einer Datei oder 5OL Datenbank zu erstellen gt Filterdefinitionen importieren Was wird protokolliert Der Administrator kann an verschiedenen Stellen des Systems festlegen welche Informationen protokolliert werden soll Generell besteht f r jede Firewall Regel die M glichkeit auf dieser Regel basierenden Datenverkehr zu protokollieren Per Default ist auch jede Regel Protokoll aktiviert Per Default werden auch die ISA 2004 eigenen Systemrichtlinienregeln protokolliert Um die Systemrichtlinienregeln anzeigen zu lassen muss man m ISA Verwaltungstool unterhalb des ISA Computerobjektes mit der rechten Maustaste auf Firewallregel klicken und im Kontextmen Ansicht Systemrichtlinien Regeln anzeigen aktivieren Danach kann f r die gew nschte Regel im Reiter Aktion die Protokollierung deaktiviert werden 311 Eiqensthalten von HTTP HTTPS von ISA Server an angegebene 1 Ei Beware Caplan Iran Algen A Photokole von Nach Akhon ce bem Juien der iegeibedingungen miigh vant fe c r Leiten Ge Anforderungen aul eine abemative Webeedea um deren Aubetse San on Formal hop VAL
375. rn SSL Poart 443 SSL ertifikat enchange meinedomain de a Ai Klicken Ste auf Fertig stellen um den Yorgang abzuschlie en uruck Abbrechen Zum Abschluss bekommen Sie eine Zusammenfassung des Weblisteners angezeigt Assistent f r neue SSL Webrer ffentlichungsregel l x Weblistener ausw hlen Der Weblistener bestimmt die IP Adressen und den Port auf dem der 154 Server Computer auf eingehende Webanforderungen abh rt Weblistener Weblistener IF 172 16 1 50 Standart dl Bearbeiten Listenereigenschatten _ Eigenschaft Beschreibung Netzwerke Extern Porti HTTP Deaktiviert FortiHTTFS 443 FertiFik at eyrhanne u einen a i Das f r den Weblistener angegebene Zertifikat muss mit dem Well known ffentlichen Namen der ver ffentlichten Website Gbereinstinmen Hilfe ber das Beziehen eines Zertifikats zum Ver ffentlichen mr mr Sol abh Aik Zur ck Weiter gt Abbrechen ndern Sie die Authentifizierungsmethode ber den Button Bearbeiten 218 HTE Fort af SSL M SSL aktivieren SSL Forf 447 Zertifikat exchange meinedemain de Ausw hlen zugelassene Authentifizierungsmethoden konfigurieren Authentifizierung Erweiterte Eigenschaften konfigurieren Erweitert Abbrechen bernehmen ffnen Sie die Konfiguration der Authentifizierungsmethoden ber Authentifizierung Authentifizierung
376. rname Meinedomain Administrator Client Beschreibung Premium Standard Sicherheit Beschreibung ffentlicher oder gemeinsam genutzter Computer O Privater Computer Die E Mail Sitzung wird automatisch nach einer Leerlaufzeit von Outlook Web Access beendet um Ihr Konto vor unberechtigtem Zugriff zu sch tzen Falls die Sitzung beendet wird m ssen Sie zum erneuten Anmelder auf einen E Mail Ordner wie z B Posteingang klicken Sie sollten dann auto matisch auf die Anmeldeseite umgeleitet werden auf der sic h erneut anmelden k nnen Geben Sie die externe URL mit dem Pfad exchange in dieser Anleitung https exchange meinedomain de exchange im Internet Explorer ein um die Ver ffentlichungsregel zu testen Es erscheint die formularbas erte Anmeldemaske von Outlook Webaccess Geben Sie Ihren Benutzernamen und das Kennwort ein um sich anzumelden Zus tzlich haben S e die M glichkeit folgende Optionen zu sezten Client e Premium Ihnen stehen alle Features von Outlook Webaccess zur Verf gung e Standart Stellt Ihnen eine abgespeckte Version von Outlook Webaccess zur Verf gung mit weniger Features Diese Methode ist f r langsame Netzwerkverbindungen besser geeignet 261 Sicherheit e ffentlicher oder gemeinsam genutzter Computer Verwendet die unter Kapitel 2 2 eingestellten Optionen Timeout E Mail Anlagen f r einen ffentlichen Computer e Privater Computer Verwendet die
377. roxydienst neu starten C Programme Support Tools gt net start w3proxy Microsoft Webproxy wird gestartet Microsoft Webproxy wurde erfolgreich gestartet Anschlie end geh rt die 0 0 0 0 nicht mehr dem IIS C Programme Support Tools gt netstat na more Aktive Verbindungen Proto TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP Fo Lokale Adresse Remoteadresse Status 0 0 0 0 135 0 0 0 0 0 ABH REN 0 0 0 0 445 0 0 0 0 0 ABH REN 0 0 0 0 1025 0 0 0 0 0 ABH REN 0 0 0 0 1723 0 0 0 0 0 ABH REN 0 0 0 0 3003 0 00 00 ABH REN 0 0 0 0 3004 0 0 0 0 0 ABH REN 0 0 0 0 3013 0 0 0 0 0 ABH REN 0 0 0 0 3023 0 0 0 0 0 ABH REN 127 0 0 1 11223 ERS ABH REN 172 16 19 1 139 0 0 0 0 0 ABH REN 172 16 19 1 1080 0 0 0 0 0 ABHOREN 172 16 19 1 1745 0 0 0 0 0 ABHOREN 172 16 19 1 3500 020 20 020 ABHOREN 172 16 19 1 3501 0 0 0 0 0 ABHOREN 172 16 19 1 3502 0 0 0 0 0 ABHOREN reset zung 2 Deaktivieren des Socket Pooling f r FTP Es s nd folgende Schritte notwendig in einem Kommandozeilenfenster 48 od c inetpub AdminScripts net stop msftpsvc cscript adsutil vbs set msftpsvc disablesocketpooling true u aiT net start msftpsvc 3 Deaktivieren des Socket Pooling f r SMTP Es s nd folgende Schritte notwendig in einem Kommandozeilenfenster cd c Inetpub AdminScripts net stop smtcosvc cscript adsutil vbs set smtpsvc disablesocketpooling true Pe net start smtpsvce 4 Deaktivieren des
378. rt Cache FTP Proxy 172 16 19 1 Port Proxies Gopher Proxy Port HTTP Networking uP Software Installation SOCKS Host 172 16 19 1 Fort Mouse Wheel SOCKS v4 SOCKS v5 System Offline amp Disk Space Configure Proxies to Access the Internet Ho Proxy for localhost 127 0 0 1 Example mozilla org net nz Automatic proxy configuration URL SSS Konfiguration eines Mozilla Browser Tip Verwenden Sie die interne IP Adresse und nicht den Computernamen oder den DNS Namen des ISA Servers da bei deren Aufl sung die externe IP Adresse des ISAs verwendet wird In diesem Fall werden Anfragen vom Browser verworfen weil die externe IP Adresse nicht in der lokalen Adresstabelle enthalten ist und der Zugriff somit verweigert wird Daher muss der Browser auf dem Server so konfiguriert werden dass die Verbindung ber den Webproxyfilter hergestellt wird Um die Einstellungen f r den Webproxyclient den Clients bei der Installation des Firewallclients mitzugeben kann dies am ISA Server eingestellt werden Dazu werden die Eigenschaften der Komponenten der Clientkonfiguration ISA Verwaltungskonsole gt Netzwerke gt Intern ge ffnet 394 Eigenschaften von Intern a 2 Allgemein Adressen Dom nen Webbrowser Automatische Erkennung Firewallchent wWebprosy Firewallchentkontiguratiar ISA ServerName bzw IP Adresse 1542k4 002 Durchsuchen Weebbrowserkontiguration au
379. rt zu Standort VPN mit PPTP oder L2TP _ 90 Damit Clients eine Verbindung aus dem VPN iiber PPTP Point to Point Tunneling Protokoll oder L2TP Layer Two Tunneling Protokoll herstellen k nnen m ssen Sie die folgenden Schritte durchf hren Erstellen Sie einen Benutzer mit dem Namen des neuen Netzwerks Geben Sie dann f r die RAS Berechtigungen Zulassen an Entsprechende Anweisungen finden Sie unter Erstellen von Benutzern und Gruppen f r Remote VPN Clients Erstellen Sie Netzwerkregeln die Datenverkehr zu und von diesem Netzwerk zulassen Erstellen Sie Zugriffsregeln die Datenverkehr zu und von diesem Netzwerk zulassen Klicken Sie in der ISA Verwaltungskonsole unterhalb von Konfiguration auf Netzwerke und berpr fen Sie im Reiter Netzwerke ob das entsprechende Netzwerk korrekt erstellt wurde Netzwerke Netzwerks tze X Netzwerkregeln X Webwerkettung Mame Adressbereiche Beschreibur a Extern F r die I54 Server Metzwerke e Das vordefinierte Netzwerkobjekt das das Internet darstellt ea z maa a a it meee HA rE ema ER EO EP u 4 Querant nen VPN Clents Diesem Netzwerk ind zurzeit k Das vordefirierte Netzwerk das die Clentcomputer darstelt de eine Verbind MERK ee Im n chsten Schritt st die Erstellung einer Netzwerkregel notwendig Mit Hilfe der Netzwerkregel regeln Sie wie das neue Netzwerk mit dem Zielnetzwerk kommunizieren soll Br Microsoft Internet Security amp Acceleration Server i akg Wek SM
380. rver Computer e Das interne Netzwerk das einen DHCP Server f r die Zuweisung dynamischer IP Adressen und optional bei Verwendung des L2TP Tunneling Protokolls eine Zertifizierungsstelle enthalten kann 1IS Server _ eu SOL Server z i a F m ae ml 2 tn Wie fee ee Exchange lt wr Server Fun Zweigniederlassung L Umkreisnetzwerk ISA Server Fors i f Ba E alioa ru ey ee En G Imternet E Tipit 7 i ni i an U T z fr af i i i a ame Pe r Pk cy a er Fa 2 Sa IS a i Aaa i N eae irmennetzwerk ty 426 In unserem Beispiel verwenden wir eine VPN Client Konfiguration ber das Microsoft PPTP Protokoll Das PPTP Protokoll ist nicht ganz so sicher wie das L2TP Protokoll ber IPSEC lasst sich jedoch wesentlich leichter implementieren weil es keine Zertifizierungsstellen Infrastruktur mit Zertifikaten voraussetzt wie das bei L2TP ber PSEC der Fall ist und bietet bei der Verwendung von sicheren Kennw rtern in der Regel ein ausreichendes Schutzniveau PPTP ist auch NAT Network Address Translation f hig das hei t es existiert ein NAT Editor f r PPTP Eine Implementierung von L2TP IPSEC ber NAT ist etwas aufw ndiger da hier NAT T Network Address Translat on Traversal verwendet werden muss Die Implementierung einer Client VPN Verbindung ber L2TP IPSEC wird in einem sp teren Artikel auf dieser Webseite beschrieben
381. rwachung Benutzer und Gruppen mit dieser Rolle k nnen die Computer und Netzwerkaktivitat des ISA Server Computers tiberwachen ohne jedoch einzelne Uberwachungsfunktionen konfigurieren zu k nnen Erweiterte ISA Server berwachung Benutzer und Gruppen mit dieser Rolle k nnen s mtliche berwachungsaufgaben einschlie lich der Konfiguration von Protokollen und Alarmdefinitionen sowie alle f r die Rolle ISA Server Bas s berwachung verf gbaren Uberwachungsfunktionen durchf hren ISA Server Hauptadministrator Benutzer und Gruppen mit dieser Rolle k nnen s mtliche ISA Server Aufgaben durchf hren einschlie lich des Anwendens von Netzwerkvorlagen der Netzwerk und Regelkonfiguration und der berwachung Laufende berwachung der Firewall Als ISA Server Administrator ist es Ihre ureigenste Aufgabe das Firewallsystem st ndig berwachen und f r eine ausreichende Performance zu sorgen Zu den berwachungs W artungst tigkeiten geh ren e T gliche Analyse der ISA Server Logdateien auf verd chtige Aktivit ten e T gliche Durchsicht der Meldungen der Ereignisanzeige e berpr fen der Festplattenkapazit t um einen System berlauf zu vermeiden e Sichern der Logdateien und der Ereignisanzeige auf einen anderen Rechner als den ISA Server um im Falle eine Angriffs Logmanipulation vorzubeugen und eine gewisse Revisionssicherheit bei Protokolldaten zu erreichen 354 Wr cm Era ir gt ae oe ur u ree A ie iy Wo aa
382. s dahinterliegende LAN vor Angriffen gesch tzt Das Beenden der Firewalldienste sollte auf alle F lle in der Security Policy der EDV Abteilung vermerkt werden und von der Gesch ftsf hrung abgesegnet sein Der ISA Server 2004 macht von dem Beenden des Firewallengine Dienstes Gebrauch wenn z B das Firewall Logging nicht mehr gew hrleistet ist Sitzungen Im Reiter Sitzungen werden alle Verbindungen zum ISA Server 2004 angezeigt ISA 2004 zeigt hier den Verbindungszeitpunkt den Sitzungstyp die Client IP Adresse und viele weitere Informationen an Mit einem Rechtsklick auf eine der Spalten berschriften besteht die M glichkeit selbst Spalten hinzuzuf gen bzw zu entfernen Es ist ebenfalls m glich die Spalten individuell zu verschieben ber den Punkt Filter bearbeiten kann man eigene Abfragen definieren um das Suchergebnis zum Beispiel einzuschr nken 307 verse Y Herne Bitzungen Filterdefinition Klicken Se auf Filter bearbeiten um einen Filter zu definieren und eme neue Abfrage zu starter ee Ry 11 08 2004 SecureNAT Sy 11 08 2004 Webproxy Intern anonymous A 1108 2004 SecureNAT Intern er 2 11 08 2004 Webproxy Intern anonymous A 11 08 2004 SecureNAT Intern Tae A 11 08 2004 Webproxy Intern Peskin ae Ay 11 08 2004 Webproxy Intern ee 2 11 08 2004 Webproxy Intern Per S 11 08 2004 ve Webproxy Intern anonymous 2 11 08 2004 Webproxy Intern
383. sarank nen YPH Lientz gt YPN Llients Metzwerks tze Computer Adressbereiche Subnetze Computersatze Schieten Sie m ssen angeben aus welchem Netzwerk der Zugriff gew hrt wird F gen Sie hier ber den Button Hinzuf gen alle Netz werke die Zugriff ben tigen der Regel hinzu W hlen Sie unter der Kategorie Netzwerke die Netzwerke aus die Sie der Regel hinzuf gen wollen 189 Assistent f r neue Zugriffsregel u Ex f Zugriffsregelquellen Diese Regel gilt fur Datenverkehr der von den auf dieser Seite angegebenen Quellen starnmt Anschlie end sollten als Zugriffsquellen nur die Netzwerke ausgew hlt sein die Zugriff ben tigen 190 TES i Raising En st x Assistent f r neue Zugriffsregel Zugriffsregelz ele Diese Hegel gilt f r Datenverkehr der von den Regelquellen an die auf dieser Seite angegebenen Zielen gesendet wird Diese Regel betrifft Datenverkehr der an diese Ziele gesendet wird Hinzufugen bearbeiten EAtenen Zuruck Abbrechen Weter gt Metzwerkidentik ten hinzuf gen hletzwerkidentit ten Neu Bearbeiten L schen Netzwerk Netzwerksatz Computer Adressbereich Subnetz Computersatz URL Satz Domanennamensate F gen Sie ber den Button Hinzuf gen das Ziel der Regel hinzu Erstellen Sie ber Neu gt Dom nennamensatz ein neues Regelelement um den Zugriff auf bestimmte externe Ziele
384. schen Beschreibung Dieser Dom nennamensatz enth lt alle optional Webseiten die der ISA Server nicht zwischenspeicherri soll Abbrechen Administratoren die sich mit dem ISA Server 2000 auskennen werden die neuen Funktionen der 2004er Version sehr sch tzen Mussten fr her alle Elemente die f r eine Regel notwendig waren m Vorfeld definiert werden kann das nun beim Erstellen einer Regel n einem Schritt durchgef hrt werden Assistent f r neue Cacheregel x Cacheregelziel Diese Regel gilt fur Anforderungen die an die auf dieser Seite festgelegten Ziele gesendet wurden Diese Regel betrifft Inhalte die von diesen Netzwerkidentit ten angefordert wurden Nicht zu chachende Webseiten Hinzufugen Bearbeiten Entfernen all Zur ck Abbrechen 5 Die folgende Assistentenseite kann ohne Anderung tibernommen werden Assistent f r neue Cacheregel i x Inhaltsabrut Legen Sie fest wie im Cache gespeicherte Objekte bei Anforderung abgerufen werden sollen Angefordertes Objekt aus dem Cache abrufen Falls irgendeine Version des Objekts im Cache vorhanden ist Anforderung an den Server weiterleiten falls keine vorhanden ist Falls irgendeine Yersion des Objekts im Cache vorhanden ist Anforderung verwerten falls Keine vorhanden ist Anforderung niemals an den Server weiterleiten Zur ck Abbrechen Assistent f r neue Cacheregel i xX Cachei
385. ser Zugriff sicher eingerichtet werden Die Authentifizierung erfolgt bei dieser Authentifizierungsmethode ber ein Cookie durch das berpr ft wird ob der Benutzer nach erfolgreicher Anmeldung authentifiziert ist Das Cookie wird nicht auf dem Computer gespeichert somit bietet diese Methode einen sicheren Zugang von ffentlichen Computern Vorteile dieser Verbindungsmethode sind e Es k nnen f r die unterschiedlichen Computertypen ffentlich Privat unterschiedliche Sicherheitseinstellunge bzgl Timeout getroffen werden e Es k nnen f r die unterschiedlichen Computertypen ffentlich Privat unterschiedliche Sicherheitseinstellunge bzgl E Mail Anlagen getroffen werden e Das Cookie ist nur w hrend dieser Sitzung g ltig und verf llt beim Schlie en des Browsers oder beim Wechsel der Seite e Wenn das auch nicht wirklich ein Vorteil ist aber die Anmeldung per OWA Formsbased Authentification st Benutzerfreundlicher Szenario int ao Exch Srv1 meinedomain local on ano Client Exchange meinedomain de om In dieser Anleitung wird die Verbindung zum Exchange Server mittels SSL Bridging hergestellt d h es besteht ein SSL Tunnel zwischen dem Client und dem ISA Server und ein neuer Tunnel zwischen dem ISA und dem Exchange Server Hierzu sind zwei Webserverzertifikate f r die SSL Verbindung notwendig Ein Zertifikat f r die Verbindung vom Client zum ISA Server f r exchange meinedomain de auf dem ISA Server und intern
386. srechte erh lt die der Remoteverwaltungscomputergruppe zugeteilt wurden In den meisten Situationen werden das zu viele Rechte sein und es st w nschenswert dem externen Client wirklich nur den Remotedesktop zur Verf gung zu stellen Diese Richtlinie wird im Artikel Lokaler Remotedesktop beschrieben 139 Vom Client aus ruft man einfach die Remotedesktopverbindung Start gt Programme gt Zubeh r gt Kommunikation auf alternativ mst sc und gibt den Namen oder die IP Adresse des ISA Servers ein 72 Remotedesktapverbindung E x Tip Mit dem Befehl mstsc console ruft man eine Remotedesktopverbindung auf die Konsole auf Das hat mehrere Vorteile e man sieht Popups Warnungen e man kann meist Software installieren die nicht im Terminalmodus installiert werden kann e man kann die Konsole so tibernehmen ibergeben wie man sie am echten Monitor sieht 140 Remoteverwaltung eines ISA Server 2004 Teil 2 Managementkonsole MMC Die Informationen in diesem Artikel beziehen sich auf e Microsoft ISA Server 2004 Zur Verwaltung und Konfiguration des ISA Server 2004 wird beim normalen Setup auch die Managementkonsole mitinstalliert Klassischerweise administriert man den ISA Server direkt an der Maschine auf der er auch installiert ist Jedoch gibt es haufig Situationen in denen dieser Administrationszugang zur Verf gung steht oder nicht gew nscht wird Z B Wenn der ISA Server in einem Rechenzentrum oder e
387. ssourcen erhalten m ssen Sie eine entsprechende Firewall Policy erstellen Die Grafik zeigt ein Beispiel Name Aktion Protokole VonjListener Nach __ Bedingung wd Inbern Kr Ab Benutzt ei Details zur Konfiguration von Firewall Policies erhalten Sie hier Verbindungs Manager Profil Erstellen Sie mit Hilfe des Verbindungs Manager Verwaltungskits auf dem ISA Server 2004 ein Connection Manager Profile mit dessen Hilfe ein VPN Client die Verbindung zum VPN Server aufbauen kann Bestandteil des CM Profiles ist auch das Quarantine Control Skript 409 xj Klicken Sie auf die Kontrollk stchen der Komponenten die hinzugefiigt bzw entfernt werden sollen Grau gef llte K stchen kennzeichnen Komponenten die nur zum Ted instalert werden Klicken Sie auf Details um die Unterkomponenten anzuzeigen Unterkomponenten von Werwaltungs und Uberwachungsprogiamme x C gd Connection Point Services 02MB C 9 Netewerkmonitorprogramme 2 6 MB C A SNMP Simple Network Management Protocol 0 3MB wi GE Verbindungs M anagerWensallumgska 1 3MB O lw SNMP Anbieter 1 1MB MS Wil Anbieter f r Windows Installer 0 6 ME Beschreibung ED eo tanwendungen uber die ace peer oleh WHI auf Windows more Zuzugreden E forderkcher Speicherplatz 4 1 MB Desk Verf gbarer Speicherplatz 5551 0 MB Ich beschreibe in diesem Artikel nicht jeden Schritt zur Konfiguration eines CM Profiles F r weitere Informationen klicken Sie
388. sw hlen Geben Ste den Namen dest54 Servers em der f r den Firewallcient Netzwerkzugntf verwendet wird ever konfiguriert Taskleistensymbol ausblenden wenn eine Verbindung mit dem ISA 124 Benutzerrollen und berechtigungen delegieren Die Informationen in diesem Artikel beziehen sich auf e Microsoft ISA Server 2004 Manchmal ist es notwendig einem zus tzlichen Benutzer bestimmte Rechte f r die ISA Server Verwaltung zu geben ohne ihm gleich lokale Windows Administrationsrechte zu vergeben Genau daf r bietet der ISA Server 2004 die Option Benutzerrollen und berechtigungen delegieren an Zu finden ist sie in der ISA MMC unter Konfiguration gt Allgemein Ls Microsoft Internet Security amp Acceleration Server Microsoft Aig IsaBz 01 Internet Security amp 5 berwachung Acceleration Server 2004 er o RER Standard Edition e ES Firewallrichtlinie aot z virtuelle private Netzwerke VPN J Allgemein 00 E38 konfiguration Sa Hvale Netzwerke Cache ISA Server Verwaltung 4 Add Ins m Allgemein Benutzerrollen und berechtigungen delegieren gt Firewallverkettung konfigurieren 7 Automatische DF Yerbindung festlegen 125 ISA Server Yerwaltungsdelegierungs Assistent 3 4 x Wilkommen Mit diesem Assistent k nnen Sie Benutzern und Gruppen administrative Rollen zuweisen Mit diesen vordefinierten Rollen kann die Ebene der administrativen Steuerung die Benutzer
389. t Kopieren Sie das Verzeichnis Clients von der ISA CD in die Softwareverteilungsfreigabe Fur eine detaillierte Beschreibung der Softwareverteilung lesen Sie den Artikel Softwarezuweisung unter HowTo auf der folgenden Webseite Unbeaufsichtigte Installation ber ein Skript So f hren Sie eine unbeaufsichtigte Firewallclientinstallation durch Geben Sie an der Eingabeaufforderung auf dem Firewallclientcomputer folgendes ein Pfad Setup v SERVER_NAME _OR_IP ISA_Servername ENABLE_AUTO_DETECT 110 REFRESH_WEB_PROXY 1 110 qn Erklarung Pfad steht fiir den Pfad zu den freigegebenen ISA Server Clientinstallationsdateien Diese Dateien befinden sich normalerweise auf dem ISA Server Computer in einem Ordner mit dem Freigabenamen ISA MSPelnt ISA_Servername steht f r den Namen des ISA Server Computers zu dem der Firewallclient eine Verbindung herstellen soll Der Parameter ENABLE_AUTO_DETECT 1 gibt an dass der Firewallclient automatisch den ISA Server Computer erkennt ber den Verbindungen hergestellt werden ist Der Parameter REFRESH_WEB_PROXY 1 gibt an dass die Firewallclientkonfiguration mit der Webproxykonfiguration aktualisiert werden soll die auf dem ISA Server Computer definiert wurde 382 Unbeaufsichtigte Deinstallation Um eine unbeaufsichtigte Deinstallation durchzuf hren geben Sie an einer Eingabeaufforderung folgendes ein Msikxec exe X 199B7F78 69B7 47C5 8D4B A3ED1391FB6B qn Um dieses Verfahren d
390. t Security amp Acceleration Server 2004 Mit diesem Assistenten konnen Sie einen neuen Weblistener erstellen Weblishener werden in Webyverottenthchungsregeln verwenden Ein Weblistener spezifiziert die IP Adressen und den Port die der 15 4 Server Lomputer far eingehende Webantordenngen abhort Weblishenenvame weblistener IP 172 16 1 50 Standart Klicken Sie auf Weiter um den Yorgang fortzusetzen lt ZUTUICH Abbrechen Vergeben Sie einen Namen im Assistenten zur Erstellung eines neuen Weblisteners 214 Assistent f r neue Weblistenerdefinition x IF Adressen Ein Weblistener kann alle IP Adressen die mit einen Netzwerk auf dem 154 Server assoziert sind einzchlielien Sie konnen aber auch bestimmte IP Adressen auszahlen Diese Netzwerke auf Anforderungen abhoren Ausgew hlte IPs v lt Alle IP Adressen sF Intern Alle IP Adressen 1 Lokaler Host Alle IP Adressen J Qusrant nen YPN Clients Alle IP Adressen C amp YFN Clients Alle IP Adressen I l PaM ESA A P E A A E le IM h deem a Adresse Hilfe uber Wreblistener IP 4dressen Zur ck Abbrechen Geben Sie das Netzwerk an von dem Zugriff zugelassen werden soll Extern Netzwerklistener IP Auswahl l l x Anforderungen abh ren auf Allen IP Adressen auf dem ISA Server Computer im ausgew hlten Netzwerk Der Standard IP Adresse auf dem ISA Server Computer im
391. t wird tg Windowsupdate WE Bearbeiten Entfernen if uruck Weiter gt Abbrechen Als externes Zugriffsziel sollte nur der Dom nennamensatz ausgew hlt sein Assistent f r neue Zugriffsregel Be i x Benutzers atze Sie konnen die Regel auf Anforderungen von allen Benutzer anwenden Sie konnen den Zugriff aber auch auf bestimmte Benutzers tze einschr nken Diese Regel betrifft Anforderungen von folgenden Benutzers tzen Mr Alle Benutzer Hinzufugen li Bearseiten Erttermen ZUrIch Abbrechen 193 Diese Regel muss f r alle Benutzer gelten da ein anonymer Zugriff ben tigt wird Deshalb wurde der Zugriff durch einen Dom nennamensatz beschr nkt um nicht den gesamten Zugriff auf das Internet anonym zu gew hren Assistent f r neue Zugriffsregel l l x Fertigstellen des Assistenten Microsoft Internet Security amp Der Assistent fur eine neue Zugnffsregel wurde erfolgreich Acceleration Server200 4 abgeschlossen Die neue Zugriffsregel wird wie folgt konfiguriert Anonymer ugitt auf Windowsupdate Wo al Aktion zulassen Datenverkehr HTTF HTTFS Quelle Intern Ziel wWindowsupdate W5 Angenommene Benutzers tze Alle Benutzer a Klicken Sie auf Fertig stellen um den Yorgang abzuschlie en UCE Abbrechen Abschlie end bekommen Sie alle Einstellungen als Zusammenfassung angezeigt Ru Name Aktion Protokolle Yon Listener M
392. ternen Netzwerk adaptem zugeordnet sind 10 13 11 1 192 165 69 9 C Extem OK Abbrechen Ne Tce Installations Assistent f r Microsoft ISA Server 2004 s q loj xi Internes Netzwerk Legen Sie die Adressbereiche fest die im internen Netzwerk von I5A Server einbezogen werden sollen Das interne Netzwerk enth lt in der Regel private Adressbereiche und die Adressbereiche die dem Metzwerkadapter zugeordnet sind der ber eine Verbindung mit dem internen Netzwerk verf gt klicken Sie auf ndern um Adressen f r das interne Netzwerk hinzuzuf gen oder zu bearbeiten Adressbereiche der internen Metzwerks von bis 10 19 11 0 10 19 11 255 10 255 255 255 10 255 255 259 Zur ck Weiber gt Abbrechen Als letztes wird man noch gefragt ob auch ltere Firewallclients eine Verbindung zum ISA Server 2004 aufbauen k nnen iz Installations Assistent f r Microsoft ISA Server 2004 Tu xj Yerbindungseinstellungen f r den Firewallclient Yerifizieren Sie die Verbindungseinstellungen f r Firewallclients f r 154 Server 2004 Der Firewallcient F r 154 Server 2004 verwendet ein Protokoll das den Kanal zwischen dem Firewallclient und ISA Server verschl sselt Firewallclients die fr here versionen der Firewallcientsoftware verwenden werden ebenfalls unterst tzt F r diese Yerbindungen wird jedoch keine Verschl sselung verwendet verbindungen f r Computer zulassen die Fr here V
393. ternen Netzwerk eingesetzt wird und zum Schutz des internen Netzwerks am Back End ein weiterer Firewall konfiguriert ist Einzelner Netzwerkadapter Bei dieser Vorlage wird eine Netzwerkkonfiguration mit einem einzelnen Netzwerkadapter angenommen der sich innerhalb eines Umkreis oder Firmennetzwerks befindet In dieser Konfiguration dient ISA Server als Webproxy und Cacheserver internet Security amp Acceleration Server2004 Netzwerke Standard Edition EBEN vorlagen WARE Einzelner Netzwerkadapter Edgefirewall Lokaler Host Stellt eine verbindung zwischen dem internen Netzwerk und dem Internet her und sch tzt das Netzwerk vor Externes Netrwerk Eindringversuchen Internet 3 Abschnitt Umkreisnetzwerk Stellt eine verbindung zwischen dem internen Netzwerk und dem Internet her sch tzt das Netzwerk vor Eindringversuchen und ver ffentlicht Dienste im Internet sicher von einem Umkreisnetzwerk Frontfirewall 154 Server wird als prim re Verteidigung in einer kaskadierten Umkreisnetzwerkkonfiguration verwendet verwenden Sie diese Option wenn zwei Firewalls zwischen dem gesch tzten internen Netzwerk und dem Internet verwendet werden F r weitere Informationen zum Thema Netzwerkdefinition lesen Sie folgenden Artikel ISA Installationsmoglichkeiten ISA Server 2004 l sst sich auf Windows 2000 und Windows 2003 installieren Aufgrund der erweiterten Sicherheitsfunktionen und des etwas ein
394. terst tzt ein unbegrenztes virtuelles Netzwerkmodell Es k nnen also mehrere virtuelle Netzwerke definiert werden f r unterschiedliche Zwecke Zur Netzwerkdefinition ist ebenfalls ein Artikel verf gbar Als Quellenangabe kann entweder ein ganzes Netzwerk ein Netzwerkset bestimmte Computers tze oder IP Adressbereiche verwendet werden e Ziel Das Ziel ist kann genauso wie die Quelle ein ganzes Netzwerk ein Netzwerkset bestimmte Computers tze oder IP Adressbereiche enthalten Hiermit wird festgelegt wohin der zugelassene verweigerte Verkehr aus der angegebenen Quelle hin darf Um beim oben begonnen Beispiel von Birgit zu bleiben Hier k nnte festgelegt werden dass Birgit nur einen bestimmten POP3 Server abfragen darf e Einschr nkungen Zum Schluss sollte noch die gerade erstellte Regel beschr nkt werden Hierzu stehen zum Beispiel Zeitpl ne oder HTTP Filtereinschr nkungen zur Verf gung Mit einem Zeitplan kann gesteuert werden dass Birgit nur zwischen 09 00 und 18 00 Uhr einen bestimmten POP3 Server abfragen darf Wenn die Richtlinie den Zugriff auf HTTP zul sst kann n den HTTP Filtereinstellungen beispielsweise konfiguriert werden dass der MSN Messenger nicht ber HTTP eine Verbindung aufbauen darf Wie das konfiguriert wird beschreibt ein eigener Artikel Au er f r Aktion k nnen innerhalb einer Regel mehrere Elemente aus einer Kategorie solange sie sich nicht gegenseitig ausschlie en verwendet werden So kann zum Be
395. tes Daten Antwort von 192 168 697 886 Bytes 32 Zeitt ims TTL gt 12 Antwort von 192 168 697 886 Bytes 32 Zeit ims TTL 128 Antwort von 192 168 697 886 Bytes 32 Zeittims TTL 124 Antwort von 192 168 697 886 Bytes 32 feittims TTL 128 Ping Statistik f r 192 168 69 86 Fakete Gesendet 4 Empfangen 4 Verloren B Cx Verlust gt a Zeitangaben in Millisek Minimum ms Maximum Bms Mittelwert Ams FiS ua Beachten Sie dass bei beiden o g Konfigurationen s mtliche IP Adressen die auf der externen Schnittstelle gebunden sind angepingt werden k nnen 2 Konfiguration des ISA Server f r ausgehende ping Anfragen interner Clients F r diesen Konfigurationsschritt ist wieder eine neue Firewallrichtlinie erforderlich Firewallrichtlinie a I ping f r interne Clients nach Extern erlauben gu Ping othe Intern a Extern ha Alle Benutzer Damit kann ein interner Rechner ein externes Ziel anpingen Microsoft Windows Version 5 2 3790 C Copyright 1985 2003 Microsoft Corp C Dokumente und Einstellungen Administrator gt ping 192 168 69 1 Ping wird ausgef hrt f r 192 168 69 1 mit 32 Bytes Daten Antwort von 192 168 69 Antwort von 192 168 69 Antwort von 192 168 69 Antwort von 192 168 69 1 Bytes 32 Zeit 2ms TTL 63 1 Bytes 32 Zeit 2ms TTL 63 1 Bytes 32 Zeit 2ms TTL 63 1 Bytes 32 Zeit 2ms TTL 63 Ping Statistik fur 192 168 69 1 Pakete Gesendet 4 Empfangen 4 Verloren 0 0 Verlust
396. tfenthchungsregel a ROP extern zu Sonne Klicken Sie auf Weiter um den Yorgang fortzusetzen Base In diesem Beispiel hei t der interne Server Sonne und hat die IP Adresse 192 168 16 68 Assistent f r neue Servrerrer ffentlichungsregeln Server ausw hlen Geben Sie die Netzwerk IP Adresse des Servers an den Sie ver ffentlichen SemerIP Adresse 192 1686 16 68 Durchsuchen uruck Abbrechen 295 Wahlen Sie das RDP Server Protokoll aus Assistent f r neue Serrerver ffentlichungsregeln Protokoll ausw hlen Wahlen Sie das Protokoll aus dass von dem verottentlchten Server verwendet aad iz ber die Schaltfl che Ports gelangen Sie in den Konfigurationsbereich f r den alternativen Port 296 Ports ee Die Optionen f r die Portau erkraftsetzung erm glichen Ihnen die Standardports die f r die Yerbindungsherstellung mit dem ver ffentlichten Server verwendet werden auher Kraft zu setzen Firewallporks ry ber den in der Protokolldefinition definierten Standardport ver ffentlichen c Auf folgendem Port anstelle des Standardports 3 ver ffentlichen Ver ffentlichte Serwerporks a Anforderungen an den Standardport des ver ffentlichten Servers sender c Anforderungen an diesen Port des ver ffentlichten I 4 Servers senden Quellporks f Datenverkehr von allen zugelassenen Quellports zulassen Datenverkehr auf diesen Bereich
397. tion Die Informationen in diesem Artikel beziehen sich auf e Microsoft ISA Server 2004 Der ISA Server bietet die M glichkeit eine vordefinierte Reaktion auf ein bestimmtes Ereignis auszuf hren Der ISA Server Alarmdienst fungiert dann als Verteiler und als Ereignisfilter Er ist f r das Erfassen von Ereignissen verantwortlich berpr ft die Erf llung bestimmter Bedingungen z B Schwellenwerte und f hrt die entsprechenden Aktionen aus Eine solche Aktion kann zum Beispiel ein Eintrag im Ereignisprotokoll oder eine E Mail an den Firewalladministrator sein Um dem Administrator etwas Arbeit abzunehmen liefert der ISA Server serienm ig eine ganze Reihe Alarmdefinitionen mit Um die Alarmdefinitionen zu konfigurieren ffnen Sie den Aufgabenbereich im Knoten berwachung gt Alarme Microsoft Internet Security amp Acceleration Server 2004 Uberwachung von IS42K4 002 Standard Edition Alarm Letzter Eintrag Status Kategorie i Dienst gestartet 16 09 2004 20 29 06 Meu Firewalldierist ae ESA GDR AAAA IA AS ea opal erate A aa eee POCO RG NS RAGES RS pen nope RG RC RG RR OR HERR OGRQaR AC AK Aktualisieren Dienst gestartet 16 08 2004 20 27 30 Meu Firewalldierist ESTER Ebr AT EA EALES EAEN EEN EA EA EST ERLERNT ENT BoM BOLD BAN DATTELN Best EL RR CEN Be EAB EN EA SON EO Se Co eR Ea Ro EB Br Bed A AB LEN AN Jetzt aktualisieren Dienst bartet 16 08 2004 20 29 02 hy Fi Idienst BER a Epen TEE RE Bee AE Wenn RE Da eee
398. tionsgruppen Allgemein Microsoft Manageme a l l l l Terms Durch Aktivieren dieser Konfigurationsgruppe werden die Systemrichtlinienregeln aktiviert die den geplanten ICMP Ping DownloadauFtragen erm glichen Inhalt f r den Cache von Sy Firewallclient Remotesites vorzeitig abzufangen Firewallclientinstallat Diagnosedienste I_rAP Windows Netzwerk Microsoft Fehlerberic HTTP Konnektivitaks Protokollierung Remotepratakallierur IM Aktivieren Remoteprotokollierur Sy Remote berwachurg Remoteleistungs be Microsoft Operations SMTP verschiedene gt ceplante Downloads zugelassene Sites Abbrechen Zus tzlich muss n einer weiteren bergeordneten Zugriffsregel n cht authentifizierter HTTP Zugriff vom lokalen Hostnetzwerk zugelassen werden Je nach Konfigurationsstand des ISA Servers muss vor der weiteren Regelerstellung zuerst die Anderung bernommen werden Anschlie end muss man den Regelassistent erneut starten 559s Assistent zum Hinzuf gen eines Inhaltdownloadauftrags x Willkommen Microsoft Internet Security amp Acceleration Server 04 Mit diesem Assistenten konnen Sie einen Zeitplan erstellen um festzulegen wann und wie Inhalte vor einer bestimmten Website inden Cache gedownloadet werden zoll E Suttragsname des Inhaltsdownloads Bi baa iw msisatag de herunterlader klicken Sie auf Weiter um den Yorgang fortzusetzen 2 Zurich Abbrechen Assistent z
399. tivieren 427 VPN Clientaufgaben YPN Llientzugriff aktivieren Fe YPN Llientzugriff konfigurieren Allgemeine YPN Konfiguration Eg zugriffsnetzwerke ausw hlen Adresszuweisung konfigurieren be Authenkifizierungsmethoden ausw hlen a RADIUS Konfiguration angeben Verwandte Aufgaben Ai yPN Clients berwachen YPN Llientkonfigurakion exportieren 3 VPN Clientkonfiguration importieren Im ersten Schritt muss der VPN Clientzugriff aktiviert werden Geben Sie hier die Anzahl der maximal zugelassenen VPN Clients an 2x Eigenschaften von YPN Chents Algemen Gruppen Protokolle Berutzerzuordnung Iv Mpnl Chentzugrif aktivieren Als n chstes m ssen Sie festlegen welche Benutzer oder Gruppen f r den Remotezugriff zugelassen sind Es st empfohlen den Remotezugriff ber Windows Gruppen zu regeln In unserem Beispiel haben wir eine Windows Gruppe mit dem Namen VPN erstellt und die entsprechenden Benutzer in diese Gruppe aufgenommen 428 Benutzerkonten welche sich in der Gruppe VPN befinden muss der Remotezugriff ber eine RAS Richtlinie erlaubt sein oder der Zugriff in den Eigenschaften des Benutzerkontos aktiviert sein Zugriff ber die Eigenschaften des Benutzerkontos aktivieren Zugriff ber eine RAS Richtlinie aktivieren 429 Im dritten Schritt ist es notwendig die Tunnelprotokolle auszuw hlen welche f r die VPN Verbindungen verf
400. tp Zugelassene Yerbindung HTTP Getrennbe Verbindung Oemiizerter F Lafenv Gelrennte ver Mit einem Rechtsklick mit der Maus im Protokollfenster k nnen Sie die aktuelle Abfrage beenden oder den Filter bearbeiten Protokolidabensat Gleich Firewall oder We Protokofierungsze Aktuell Aktion Ungbeich verbindungsstatus 20 20 06 20 2004 HTTP 20 08 2004 HTTP 20 08 2004 http 20 08 2004 HTTP HTTF 20 08 2004 20 08 2004 ing 20 06 2004 20 08 2004 20 06 2004 Nicht identifizierter IP Datenv Nicht identifizierber IP Datenvy Getrennt Inkierte Getrennt Inktierte Intherte 337 IT Abteilung IT Abteilurg IT Abteilung IT Abteilurg IT Abteilung IT Abteilung IT Abteilung IT Abteilung IT Abteilung IT Abteilung IT Abteilung IT Abteilung Sie k nnen dem Protokollfenster zus tzliche Spalten Hinzuf gen Entfernen sowie den Ursprungszustand Wiederherstellen Spalten hinzuf gen entfernen Urspriingliches Client 1P rs Protokollierungszeit Client Agent ii ziel IF Authentifizierker Client zielport Dienst l z Protokoll e Servername Hireuhigen Aktion PEST guepi Verweisender Server 1 Regel r ielhosknare Bess z Enitrernen Client IF Mach ameen Transport Clientbenutzername MIME Typ Guellnetzwerk Objektquelle Fielnetzwerk Quellproxy HTTP Methode Fielproxy URL _Bidirektional Nachdem wir uns um die Anzeige der Protokolldate
401. transparent HTTP clients without requiring authentication 885957 How to install ISA Server 2004 hotfixes 884203 VPN clients are disconnected when you restart the IPSec Policy Agent service on a computer that is running ISA Server 2004 884492 The RADIUS authentication process in ISA Server 2004 884493 A log query may not return all the results that you expect in Internet Security and Acceleration Server 2004 841665 A network address translation IP address may be used for all outgoing network traffic on an ISA Server 2004 computer 884569 The ISACTRL and WSPSRV services do not start when you install ISA Server 2004 on a multiprocessor computer 884495 Event ID 7000 appears in the System log and the ISA Server Storage service does not start when you start a computer that is running ISA Server 2004 884494 You receive a Setup failed while registering Wspadmin dll error message when you try to install ISA Server 2004 883285 Users are repeatedly prompted for their credentials when they try to access the Internet after you configure a firewall chain between ISA Server computers 884319 ISA Server 2004 Standard Edition does not support NLB functionality 840472 Internal DNS requests and internal LDAP requests may be sent to the external network adapter on a computer that is running ISA Server 2004 841664 Clients may receive an Error Code 500 Internal Server Error error message if you use ISA Server 2004 to publish a Web site to a
402. tsverifizierungsstatus berwachten Server 1xx 2xx oder 3xx OK Dies ist die Antwortzeit in Millisekunden 401 Webserverauthentifizierung OK Dies wird nicht als Fehler eingestuft da die Meldung erforderlich vom Webserver zur ckgegeben wurde Fehler Windows Server 2003 Dies wird als Fehler BOP 102 aa A eingestuft da die Konnektivit t zum eigentlichen enon Webserver nicht ermittelt werden kann 407 Proxyauthentifizierung Authentifizierung erforderlich Windows 2000 Server erforderlich 4xx au er 401 und 407 oder 5xx Fehler Zeit berschreitung der Zeitiiberschreitung Anforderung Der Servername konnte nicht Nicht aufgel ster Name aufgel st werden ISA Server ist nicht verf gbar Verifizierung nicht m glich Firewalldienst ist nicht verf gbar Sofern die Alarmfunktion nicht deaktiviert wurde wird bei einem Verbindungsfehler ein Alarm angezeigt bersicht Konnektivit t W Protokollierung Wh E 62 keine Konnektivit t Alarm Letzter Eintrag Status Kategori 14 08 2004 09 59 06 Neu Firewalldienst Keine Konnektivit t 14 08 2004 09 59 06 Neu Firewalldienst Abh ngig von diesem Alarmevent k nnen dann verschiedene Ma nahmen eingeleitet werden Damit wird sich ein eigenst ndiger Artikel besch ftigen Unabh ngig von der Alarmierung wird der Status der Konnektivit tsverifizierung 1m Dashboard angezeigt 318 Web Internet Micht konfiguriert 319 Alarmkonfigura
403. tte durchgef hrt werden Zuerst muss der Windows Server zulassen dass er ber RDP verwaltet werden kann 279 Systemeigenschalten a ajx Allgemein Computename Hardware Erweitert Automatische Updates Remote Legen Sie fest wie dieser Computer von einem anderen Standart aus verwendet werden kann r Remoteunterstutzung m Remoteunterstutzung aktivieren und das Senden von Einladungen yon diesem Computer zulassen weitere Informationen uber Fiemoteunterst tzun Enseitert Vollstandiger ISAzck4 002 weitere Informationen uber Remotedeskto i Femotebenutzer ausw hlen Abbrechen bernehmen In den Systemeigenschaften Systemsteuerung gt System muss auf der Registerkarte Remote der Remotedesktop aktiviert werden Standardm ig d rfen dann nur lokale Administrationen eine RDP Verbindung herstellen Man kann aber jederzeit weitere berechtigte Benutzer hinzuf gen Als n chsten Schritt ist es ggfs sinnvoll die Terminaldienstekonfiguration anzupassen dass nur einer der mindestens 2 Netzwerkadapter auf RDP Anfragen reagiert 280 Datei Aktion Ansicht 7 2 RDP Tcp tcp Microsoft RDP 5 2 H E Servereinstellungen Eigenschaften von RDP Tcp Remoteubenvachung Llienteinstellungen Allgemein Anmeldeeinstellungen Sitzungen Umgebung Hetzwerkadapter Berechtigungen Folgende Netewerkadapter sind mit dem gew hlten bertragungstop kompatib
404. twork Access Quarantine Control Ui lities Resource Kit for MICROSOFT INTERNET SECURITY AND ACCELERATION SERVER 2004 END USER LICENSE AGREEMENT FOR MICROSOFT SOFTWARE IMF URTAMT RE amp SD CAREFULLY This End User License Agreement EULA tt a legal agreement between you either an Individual or a single entity and Microsoft Corporation for the Microsoft sottware that accompanies this EULA which includes computer software and mar include associated media printed materiale online or electronic documentation and Internet based services Software An amendment or addendum to this EULA may Do you accept all of the terms of the preceding License Agreement If you choose Mo Install will close To install pou must accept this agreement es Ho Bemerkung ROS EXE ist Bestandteil des Windows 2003 Resource Kits Es existiert allerdings eine aktuellere Version welche Sie auf alle F lle verwenden sollten Nachdem Sie die Tools installiert haben f hren Sie das Skript ConfigureROSForlSA vbs aus um den ISA Server 2004 als ROS Listener Komponente vorzubereiten Network Access Quarantine Control Utilities Als n chstes m ssen Sie das Skript ConfigureRQSForISA VBS ausf hren Dieses Skript f hrt folgende Aufgaben durch e Erstellt eine RQS Protokolldefinition TCP Port 7250 e Erstellt einen ROS Dienst auf dem ISA Network Quarantine Service keine Dependencies e Erstellt folgenden Registry Key HKEY_LOCAL
405. tzwerkumge Dateiname ISA Server 2004 Firewalltypen ISA Server 2004 bietet die Konfiguration von verschiedenen Firewalltypen Die Konfiguration bas ert auf so genannten Netzwerkvorlagen ISA Server 2004 bietet folgende Netzwerkvorlagen an Edgefirewall Bei dieser Vorlage wird eine Netzwerktopologie angenommen bei der sich ISA Server an der u eren Schnittstelle des Netzwerks befindet Ein Netzwerkadapter ist hierbei mit dem internen Netzwerk verbunden Der andere Netzwerkadapter verf gt hingegen ber eine Verbindung mit einem externen Netzwerk Internet Bei Auswahl dieser Vorlage k nnen S e den gesamten ausgehenden Datenverkehr zulassen oder den ausgehenden Datenverkehr einschr nken so dass nur der Webzusgriff gestattet wird 3 Abschnitt Umkreisnetzwerk Bei dieser Vorlage wird eine Netzwerktopologie angenommen bei der ISA Server mit dem internen Netzwerk dem externen Netzwerk und einem Umkreisnetzwerk auch als DMZ demilitarisierte Zone oder abgeschirmtes Subnetz bezeichnet verbunden ist 348 Frontfirewall Netzwerkvorlage Bei dieser Vorlage wird eine Netzwerktopologie angenommen bei der sich ISA Server an der u eren Schnittstelle eines Netzwerks befindet und zum Schutz des internen Netzwerks ein weiterer Firewall am Back End konfiguriert ist Backfirewall Netzwerkvorlage Bei dieser Vorlage wird eine Netzwerktopologie angenommen bei der ISA Server an der Schnittstelle zwischen einem Umkreisnetzwerk und dem in
406. u 2 11 08 2004 wo Weborascy Inter Arey TGS 11 08 2004 Webproxy Intern 1 2 R 11 08 2004 Webproxy Intern ER amp 11 08 2004 Webproxy Intern Ce ag ee re Dienste In dem Reiter Dienste kann man sich den Status der einzelnen ISA 2004 Dienste anzeigen lassen und jeden der Dienste Starten und Beenden f bersicht Y Alarme Y Sitzungen Berichte X Konnektivit t Frotokallierung L Dienst Status w Microsoft Data Engine Dienste Dienstbetriebszeit Wird ausgef hrt Dis Microsoft 154 Server Auftragszeitplaner Wird ausgef hrt a Microsoft Firewall Wird ausgef hrt 5 Tage 17 59 04 Berichte ISA 2004 bietet die M glichkeit der Definition von so genannten Berichtsauftr gen mit dessen Hilfe man sehr einfach grafische HTML Reports generieren kann Berichtsauftr ge sind ein sehr n tzliches Werkzeug um sich zum Beispiel die Top 10 der am meisten aufgesuchten Webseiten anzuzeigen oder den Prozentsatz der eingesetzten Webbrowser 308 Aktualisieren J Jetet aktualisieren f iche Aktuslksierungsrate Mittel Berichtaufgaben T Neuen Bercht erstellen A Benchtauftrage erstellen und konligurieren G Ausgemahker Bericht anzeigen amp Ausgem hken Bericht ver ffenthcheri l 2 Ausgew hlter Bericht bechen Berichte anpassen af Zusammenfassungsinhalt anpassen AT Anwendungsmukzungsinhalt anpassen AF Esbermerkehr und Auslastungsinhak anpassen A Sicherhetsinhok anpass
407. um Hinzuf gen eines Inhaltdownloadauftr gs Downloadhaufigkeit Wahlen Sie aus wie oft der Auftrag ausgef hrt werden soll Auftrag ausf hren Nur einmal nach Abschluss dieses Assistenten Mur einmal nach Zeitplan Wochentlich Der Microsoft 154 Serrer Auftragszeitplandenst muss ausgef hrt werden damit 7 1 dieser Auftrag gestartet werden kann lt Zur ck Abbrechen Hier kann angegeben werden wie oft der Auftrag ausgef hrt werden soll Im n chsten Dialog kann das noch n Abh ngiskeit der letzten Angabe verfeinert werden _ 56 Assistent zum Hinzuf gen eines Inhaltdownloadauftrags Tagliche H ufigkeit Sie konnen die Auftragsausfuhrung far t glich oder mehrmals am Tag planen Startdatum des Auftrags 14 08 2004 Startzeit des Auftrags 23 Auftrag jeden Tag einmal ausf hren C Wiederholung jeden Minuten ir Keinen neuen Auftrag ausf hren nach 94 59 Zur ck Abbrechen Assistent zum Hinzuf gen eines Inhaltdownloadauftrags Inhaltdownload Legen Ste die Inhaltdownloaddetails fur diesen Auftrag fest Inhialtedownload von diesem URL http u meigatag de Beispiel http widgets microsoft com content Auttragsbeschrankungen Link nicht au erhalb des angegebenen URL Domanennamens folgen M Maximale Linktiefe pro Seite Anzahl der abgerufenen Objekte einschr nken auf Maximale Anzahl gleichzeitiger TEF Yerbindungen f r dies
408. umzubenennen damit Sie bei der sp teren Verwaltung des ISA Servers nicht die bersicht verlieren Das interne Netzwerkinterface k nnen Sie z B INTERN nennen und das externe Interface EXTERN Diese DF Verbindung als Standardgateway konfigurieren Legt fest dass bei der Verwendung dieser DF Verbindung auch das externe Netzwerk ber den DFU Adapter erreichbar ist 466 W hlkonfiguration E x Einwahleinstellungen verbindung selbst herstellen Automatisches Einw hlen in dieses Netzwerk Extern m Hilfe ber das Erstellen von Netzwerken Y Diese DF Yerbindung als Standardgateway konfigurieren DFU Verbindung Folgende GF Yerbindung verwenden Callisa Hilfe ber das Erstellen von DFU Verbindungen r BRU Kanta a Dieses Konto verwenden Konto festlegen OK Abbrechen bernehmen Automatisches Einw hlen in dieses Netzwerk Das automatische Einwahlen wird f r ein bestimmtes Netzwerk konfiguriert Wenn ISA Server 2004 eine Anforderung f r das ausgew hlte Netzwerk erh lt wird die DF Verbindung verwendet die f r dieses Netzwerk konfiguriert wurde Das automatische Einw hlen kann nur f r ein Netzwerk verwendet werden Wenn das automatische Einwahlen f r die Verbindung ins Internet verwendet wird sollten Sie als automatische DF Verbindung das externe Netzwerk ausw hlen DF Verbindung Klicken Sie auf Ausw hlen und w hlen Sie die zuvor konfigurierte
409. ungsherstellung mit der Remotesike verwendet werden Diese Einstellungen betreffen alle VPN Clients und Skandart zu Standort VWerbindungen Exterri Das vordetinierte Netzwerkobjekt C Intern Das Netzwerk das das interne Net C di sle gesch tzten Netzwe Dieser vordefinierter Metzwerksatz C Ze Alle Hetzwerke und loka Dieser vordefinierter Netzwerksatz Abbrechen Gberniehmen Der VPN Zugriff kann aus mehreren Netzwerken erfolgen meistens geschieht dies aus dem Internet hierf r muss das Netzwerk Extern ausgew hlt sein Sollten VPN Verbindungen aus weiteren Netzen aufgebaut werden m ssen diese hier zus tzlich angegeben werden 402 Eigenschaften von Yirtuelle private Netzwerke VPN Zugriffsnetzwerke Adresszuweisung Authentifizierung RADIUS IF Adresszuweisungsmethode ausw hlen f Statischer Adresspool IP Adressbereiche Starbadresse 192 168 11 1 194 165 11 25 4 Hinzuf gen Bearbeiten li Entfernen Dynamic Host Configuration Protokoll DHCP Folgendes Netzwerk F r DHCP DNS und WINS Dieriste verwenden intern Erweiterte Einstellungen sind nur F r Erweitert Remate V PN Clients verf gbar Abbrechen Ubernehmen Unter dem Karteireiter Adresszuweisung wird festgelegt wie die VPN Clients ihre IP Adresse beziehen Es besteht die M glichkeit durch einen statischen Adresspool oder durch einen DHCP Server Die O
410. urchf hren zu k nnen m ssen Sie auf dem Clientcomputer Mitglied der Gruppe Administratoren sein Erweiterte Firewallclienteinstellungen Nach der Installation bernimmt die Firewallclientsoftware die Einstellungen die durch den ISA Server 2004 Computer konfiguriert wurden von dem aus die Firewallclientanwendung installiert wurde Durch diese Servereinstellungen werden unter anderem die automatische Webproxykonfiguration der ISA Server Name die automatische Erkennung von ISA Server sowie andere Funktionen bestimmt Nachdem die Firewallclientsoftware installiert ist aktualisiert der ISA Server 2004 diese Clienteinstellungen bei jedem Neustart eines Clientcomputers und alle sechs Stunden nach der ersten Aktualisierung Zus tzlich zu diesen Einstellungen aktualisiert ISA Server den FW Client regelm ig mit Informationen zu IP Adressen die der Client als lokale Adressen erkennen soll F r die meisten Winsock Anwendungen funktioniert die Standardfirewall Clientkonfiguration ohne jegliche zus tzliche nderungen In einigen F llen m ssen Sie jedoch Clientkonfigurationsinformationen hinzuf gen ein Beispiel hierf r ist Outlook Der Firewallclient kann f r jeden Benutzer und f r jeden Computer lokal auf dem Firewallclientcomputer konfiguriert werden Die Konfiguration erfolgt indem nderungen an den INI Dateien vorgenommen werden die auf dem Firewallclientcomputer installiert sind S e k nnen die Standardeinstellungen f r alle
411. us und aktivieren Sie SERYERZEFENNKAG Clientzertifikate beim Zugriff auf diese BB ne Zertifikat anzeigen Bearbeiten OK Abbrechen bernehmen Hilfe 241 Unter dem Karteireiter Verzeichnissicherheit ffnen Sie ber Bearbeiten zun chst die Authentifizierung und Zugriffssteuerung Authentifizierungsmetchoden E x nonymen Zugriff aktivieren Das Folgende Windows Benutzerkonto f r den anonymen Zugriff verwenden Benutzername IUSR_EACH SRW Kennwort ELITE TITTT Authentifizierker Zugriff F r die folgender Authentifizierungsmethoden sind Benutzername und Kennwort erforderlich Falls Folgendes gilt anonymer Zugriff ist deaktiviert oder der Zugriff ist durch NTFS Zugriffssteuerungslisten eingeschr nkt Digest Authentifizierung f r Windows Dom nenserver M Standardauthentifizierung Kennwort wird als Klartext gesendet NET Passport Authentifizierung Standarddamane MEINEDOMAIN Ausw hlen Bereich Ausw hlen Abbrechen Hilfe Setzen Sie die Authentifzierungsmehtode auf Standartauthentifzierung Es erscheint eine Warnmeldung die Sie best tigen Durch den verwendeten SSL Tunnel besteht f r die Daten kein Sicherheitsrisiko Die Authentifizierungsmethode Integriert k nnen Sie f r interne Zugriffe aktivert lassen oder deaktivieren DA Eigenschaften von Exchange 2 ea x virtuelles Verzeichnis Dokumente verzeichniss
412. us verwendet werden kann Femoteunterstotzung Remoteunterstutzung aktivieren und das Senden von Einladungen yon diesem Computer zulassen Weitere Informationen ber Bemoteunterst tzung Erweitert Vollstan diger 1552k amp 4 002 weitere Informationen uber Bemotedeskto 1 Femotebenutzer ausw hlen Abbrechen bernehmen In den Systemeigenschaften Systemsteuerung gt System muss auf der Registerkarte Remote der Remotedesktop aktiviert werden Standardm ig d rfen dann nur lokale Administrationen eine RDP Verbindung herstellen Man kann aber jederzeit weitere berechtigte Benutzer hinzuf gen Anschlie end muss 1m ISA Server die Systemrichtlinie f r Remoteverwaltung aktiviert angepasst werden ES Microsoft Internet Security an Datei Aktion Ansicht 7 en Bm lala Microsoft Internet Security and Acc a ig I5a2k4 002 berwachung fe Firewallrichtlinie i Yirkuelle private Netzwerke S konfiguration Aktualisieren Exportieren Importieren Hab Netzwerke Systemrichtlinie bearbeiten 3 Cache J Add Ins nee ry Allgemein Ansicht Hilfe 136 Systemrichtlinien Editor 2x Eonfigurationsgruppen Allgernein Won EJ Netzwerkdienste DHCP DRS MTF Sq Authentifizierungsdiensti Active Directory RADIUS RS4 SecurlD CRL Download Remoteverwaltung Microsoft Manageme Terminalserver ICMP Ping Firewallclient Firewallcl
413. ventlog Application Microsoft ISA Server Web Proxy Reading registry tree at SYSTEM CurrentControlSet Services Eventlog Application Microsoft ISA Server WMS Proxy Reading registry tree at SYSTEM CurrentControlSet Services Eventlog Application POP Intrusion Detection Filter 153 Reading registry tree at SYSTEM CurrentControlSet Services Eventlog Application SmtpEvt Reading registry tree at SYSTEM CurrentControlSet Services Eventlog Application SOCKS Filter Reading registry tree at SYSTEM CurrentControlSet Services Fweng Reading registry tree at SYSTEM CurrentControlSet Services Fwsrv Reading registry tree at SYSTEM CurrentControlSet Services H323Fltr Reading registry tree at SYSTEM CurrentControlSet Services isactrl Reading registry tree at SYSTEM CurrentControlSet Services isasched Reading registry tree at SYSTEM CurrentControlSet Services isastg Reading registry tree at SYSTEM CurrentControlSet Services MSSQL MSFW Reading registry tree at SYSTEM CurrentControlSet Services RemoteAccess Reading registry tree at SYSTEM CurrentControlSet Services SocksFlt Reading registry tree at SYSTEM CurrentControlSet Services tcpip Reading registry tree at SYSTEM CurrentControlSet Services W3PCache Reading registry tree at SYSTEM CurrentControlSet Services W3Proxy Accessing WScript Shell Executing C WINDOWS system32 cmd exe c IPCONFIG ALL gt gt C Dokumente und Einstellungen Administ
414. ver Computer im ausgew hlten Netzwerk C Der Standard IP Adresse auf dem 154 Server Computer im ausgew hlter Netzwerk verf gbare IP Adressen Ausgew hlte IP Adressen IP Adresse IP Adresse 197 168 69 81 Azk 192 165 69 850 I5A2k4 197 168 69 82 1I542k4 Hinzuk gen gt a i Entfernen OK Abbrechen Assistent f r neue Serverver ffentlichungsregeln x IP Adressen Wahlen Sie die HMetzwerk IP Adressen auf dem 154 Server aus der Anforderungen fur den ver ffentlichten Server abhor Diese Netzwerke auf Anforderungen abhoren Name Ausgew hlte Ps Extern 192 168 69 80 Intern Alle P Adressen gt C Lokaler Host lt Alle IP Adressen C Quarant nen YPN Clients Alle IP Adressen amp VPN Clients Alle IP Adressen En hi 1 ales bebo El L 1 eo I dh de Zur ck weiber gt Abbrechen Die letzte Seite des Assistenten zeigt wie immer eine bersicht an 284 Assistent f r neue Serrerrer ffentlichungsregeln Internet Security amp Acceleration Server 2004 Fertigstellen des Assistenten Der Assistent fur eine neue Semerveroffentlichungsregel wurde erfolgreich abgeschlossen Die neue Serververottenthchungeregel wird wie folgt konfiguriert Mame ae RDF von extern auf ISA I Verottenthchter Server 192 168 16 1 Veroffentlichter Dienst RDF T erminaldienste Server Abhoren auf
415. ver ver ffentlicht werden sollen webclient E Mail Dienste Outlook Mobile Access Exchange ActiveSync High Bit Zeichen aktivieren die von erweiterten Zeichens tzen verwendet werden Zur ck Abbrechen Als Webclient E Mail Dienst w hlen Sie Outlook Web Access aus Die Option High Bit 245 Zeichen aktivien muss aktiviert sein da es ansonsten zu Problemen mit E Mails bzw Ordnern mit Umlauten kommt Ist diese Auswahl nicht gesetzt k nnen Sie Z B keine neuen E Mails schreiben da diese erst im Ordner Entw rfe zwischen gespeichert werden Assistent f r neue Mailserver Yer ffentlichungsregeln x Bridgingmodus Geben Sie die verbindungen an die durch Bridging gesichert werden sollen Sichere verbindung mit Clients 15 4 Server wird mit den Clentcomputern eine sichere Yerbindung und mit dem Mailserver eine Standardverbindung herstellen 15A Server wird mit den Cientcomputern und dem Mailserver eine sichere verbindung herstellen C Nur Standardverbindungen Zur ck Abbrechen W hlen Sie Sichere Verbindung mit Client und Mailserver aus um einen SSL Tunnel zwischen Client und dem ISA Server und einen neuen SSL Tunnel zwischen ISA Server und dem Exchange Server herzustellen 246 PS BE Assistent f r neue Mailserver Yer ffentlichungsregeln Webmailserver festlegen Geben Sie den Mailserver an auf dem diese Webmailsite gehostet wird exch srv1 meinedomain
416. ver zulassen aktiviert Je nachdem welche Protokolle Sie f r den Remoteclientzugriff konfiguriert haben l sst die Systemrichtlinienregel die Verwendung von PPTP Point to Point Tunneling Protokoll L2TP Layer Two Tunneling Protokoll oder von beiden Protokollen vom externen Netzwerk vermutlicher Aufenthaltsort der VPN Clients zum ISA Server Computer lokaler Host zu VPN Protokoll F r den VPN Clientzugriff k nnen die Protokolle PPTP L2TP oder beide verwendet werden Beim Andern dieser Einstellung wird die Systemrichtlinienregel entsprechend aktualisiert und l sst das angegebene Protokoll zu ISA Server fungiert f r VPN Clients als ARP Proxy Address Resolution Protokoll Wenn beispielsweise dem VPN Clientnetzwerk zugewiesene Adressen Bestandteil des internen Netzwerksegments sind senden Computer des internen Netzwerks ARP Anforderungen an VPN Chents Dabei ist unerheblich ob die Adressen von einem statischen Pool oder einem DHCP Server zugewiesen wurden ISA Server f ngt diese Abfragen ab und antwortet anstelle des verbundenen VPN Clients Das Subnetz f r das VPN Clientnetzwerk muss nicht vom internen Netzwerk getrennt werden Firewallrichtlinien Um Remote VPN Clients den Zugriff auf Ressourcen des internen Netzwerks zu erm glichen muss eine Zugriffsregel erstellt werden d e den entsprechenden Zugriff zul sst Wenn Sie hinsichtlich der Firewallrichtlinien das VPN Clientnetzwerk und das interne Netzwerk als dentisch betra
417. verwendet werden alle entsprechenden E Mails vom Filter aussortiert 83 Hinweis Laut RFC ist der AUTH Befehl Bestandteil des MAIL FROM Befehls Aus diesem Grund sperrt der SMTP Filter MAIL FROM Befehle nur wenn sie die zul ssige L nge der MAIL FROM und AUTH Befehle berschreiten wenn AUTH aktiviert ist Wenn Sie zum Beispiel f r MAIL FROM eine maximale L nge von 266 Bytes und f r AUTH eine L nge von 1024 Bytes festlegen wird die Nachricht nur gesperrt wenn der MAIL FROM Befehl 1290 Bytes bersteigt Hinweis Ich m chte nochmals betonen dass ohne installierter und konfigurierter Nachrichten berwachung lediglich die Registerkarte Befehle Wirkung zeigt _ 84 Erstellen eines neuen Netzwerkes Die Informationen in diesem Artikel beziehen sich auf e Microsoft ISA Server 2004 Einleitung Microsoft ISA Server 2004 bietet als erste Microsoft Firewall die M glichkeit mehrere Netzwerkobjekte zu definieren und diese Netzwerkobjekte mit beliebigen anderen Netzwerkobjekten in Beziehung zu setzen Netzwerke a Edgefirewall a ee San stil j 7 j VPN Clientnetwerk Externes Netzwerk Internet P Far oh E Netzwerke X Netzwerks tze N Netzwerkregeln X webverkettung Mame Adressbereiche Beschreibun Extern F r die ISA Server Metzwerke e Das vordefinierte Netzwerkobjekt das das Internet darstellt Intern Ea 192 168 1 2 192 168 1 255 Das Netzwerk das das interne Netzwerk
418. von Quellports einschr nken on Bisi Dieser Bereich muss F r die Clients gelten die in der zugelassen Datenverkehrquelle f r diese Regel angegeben wurde Abbrechen Dabei ist f r das hier besprochene Szenario lediglich der oberste Abschnitt Firewallports interessant Durch die Option Auf folgendem Port anstelle des Standardports ver ffentlichen k nnen Sie einen alternativen Port wie z B 1234 statt des blichen Ports 3389 verwenden Externe Clients m ssen dann in ihrer Remotedesktopverbindung siehe unten den alternativen Port angeben 297 me 2x Die Optionen f r die Portau erkraftsetzung erm glichen Ihnen die Standardports die f r die Yerbindungsherstellung mit dem ver ffentlichten Server verwendet werden auber Kraft zu setzen Hilfe ber das Aulierkraftsetzen yon Standardpaorts EEE Firewallparts ber den in der Protokolldefinition definierten Standardport ver ffentlichen Fey Auf folgendem Port anstelle des Standardports iz 4 er ver ffentlichen ver ffentlichte Seryerports Anforderungen an den Standardport des ver ffentlichten Servers senden rc Anforderungen an diesen Port des ver ffentlichten 3 Servers senden i Guellports f Datenverkehr von allen zugelassenen Quellports zulassen Datenverkehr auf diesen Bereich von Quellports einschr nken von I SS ie sS Dieser Bereich muss f r die Clients gelten die in der zugelassen D
419. waltungskonsole und navigieren Sie zu Konfiguration Netzwerke und w hlen im Reiter Netzwerke die Quarant nen VPN Clients aus Klicken Sie mit der rechten Maustaste auf das Objekt und w hlen im Kontext Men Eigenschaften aus Im Reiter Quarant ne k nnen Sie dann die Quarant nensteuerung aktivieren Wahlen Sie Quarant ne gem den ISA Server Richtlinien 441 Eigenschaften von Quarant nen YPN Clienks ajx Allgemein tuarantane Durch Quarant neaktivierung werden YPN Clients die eine Yerbindurg mit dem Netzwerk herstellen in einen designierten YPN Client Quarant ne netzwerk gehalten bis die Clientkonfigurationsanforderungen erf llt und best tigt werden Diese Clients verf gen ber eingeschr nkten Zugriff gem li der Richtlinie des Netzwerks bis sie die Quarant ne passieren und in das YPN Netzwerk verschoben werden Quarant ne gem den RADIUS Serverrichtlinien Quarant ne gem den ISA Server Richtlinien verbindung wird getrennt nach in Sekunden g Folgende Benutzer von der Quarant ne ausschlie en ruppe Hinzuf gen Entfernen OK Abbrechen bernehmen Bemerkung Wenn Sie Quarant ne gem den RADIUS Server Richtlinien w hlen muss der ISA Server Mitglied einer Dom ne sein Es sind dann noch weitere Schritte erforderlich Erstellen einer Firewall Policy fur die VPN Clients Damit die Quarantined VPN Clients Zugriff auf interne Netzwerkre
420. wendig falls es sich um einen Small Business Server 2003 handelt oder der Exchange Server auf einem Dom nencontroller installiert ist Abschlie end m ssen Sie noch die Ports festlegen auf denen die Kommunikation mit dem RPC ber HTTP Proxy statt findet Offen Sie hierzu ber Start gt Ausf hren gt regedit den Registrierungseditior und navigieren S e zu folgednem Pfad HKEY_LOCAL_MACHINE SOFTWARE Microsoft Rpc RpcProxy Andern Sie den Wert des Registrierungsschliissels ValidPorts in folgenden Wert ab NETBIOS Name des Servers 6001 FQDN des Servers 6001 NETBIOS Name des Servers 6004 FQDN des Servers 6004 In dieser Anleitung entspricht das exch srv1 6001 exch srv 1 meinedomain local 600 1 exch srv 1 6004 exch srv1 meinedomain local 6004 Die Konfiguration am Exchange Server ist nun abgeschlossen 3 Konfiguration der Globalen Katalog Server Hinweis Folgende Schritte sind nicht notwendig falls es sich um einen Small Business Server 2003 handelt oder der Exchange Server auf einem Dom nencontroller installiert ist Um die Kommunikation zwischen dem RPC ber HTTP Proxy und den Globalen Katalogen zu gew hrleisten m ssen Sie die ben tigten Ports angeben Offnen Sie wieder ber Start gt Ausf hren gt regedit den Registrierungseditor und navigieren Sie zu folgendem Pfad HKEY LOCAL MACHINE S YSTEM CurrentControlSet Services NTDS Parameters und erstellen einen neunen Registrierungsschliissel vom Typ Wert der mehrteil
421. werden nach dem der ISA Server de Verbindung als nicht zustande gekommen ans eht Erg nzend dazu kann noch festgelegt werden ob bei einem Fehler ein Alarm ausgel st wird Wenn nicht wird lediglich in der Management Konsole eine Warnung ausgegeben Damit die berpr fungsregel akt v wird muss wie immer bei einer Konfigurations nderung diese bernommen werden Acce Eten e Aa Standard Edition Vernveren Anschlie end wird die Regel ausgef hrt bersicht Konnektivit t W Protokollierung U Verifizierungsname Gruppentyp Methode ziel Port Schwellenwert Ergebnis a F externer Mailserver verf gbar ndere TCP mall msisafag de 25 5000 ms Nicht aufgel ster Mame In diesem Beispiel wurde festgestellt dass der zu berpr fende Mailserver nicht erreichbar ist Als Grund gt Ergebnis wird genannt Nicht aufgel ster Name Folgende Ergebnisse k nnen gemeldet werden 317 e Verifizierung In diesem Moment wird die Regel angewendet und der Zielserver berpr ft e xms x gibt die Zeitspanne in Millisekunden an innerhalb der eine Antwort empfangen wurde e Fehler Der Zielserver konnte nicht erreicht werden Deutet meist auf ein tempor res Problem oder eine erforderliche Proxyauthentifikation hin Folgende Tabelle aus der Online Hilfe g bt Auskunft welches Ergebnis bei einer HTTP Anfrage in Abhangigkeit der R ckmeldung des Webservers geliefert wird HTTP Antwort vom Konnektivit
422. werk a Zulassen PA Gesamter ausgehender Datenverkehr gt YPN Clients b Intern amp Alle Benutzer a 3 DNS in das Umkreisnetzwerk zulassen 9 zulassen U DNS Intern Umkreis Alle Benutzer D PN Clients 2 Letzte Standardregel verweigern ZA Gesamter Datenverkehr lt Alle Netzwerke und lokaler Host 2 amp Alle Netzwe amp Alle Benutzer 109 ISA Server 2004 IP Einstellungen definieren Die Informationen in diesem Artikel beziehen sich auf e Microsoft ISA Server 2004 Einleitung ISA Server 2004 bietet die Option zur Konfiguration von IP Einstellungen um die Sicherheit des Systems zu erh hen Befolgen Sie bei der Konfiguration den Hinweisen in diesem Artikel gt Virtuelle private Netzwerke YPN Konfiguration ah Netzwerke Allgemein Cache ISA Server Verwaltung 3 Add Ins 3 Allgemein 7 ve R vYerwaltungsdelegierung m Firewallclienteinstellungen definieren oJ Firewallverkettung konfigurieren E 154 Server Computerdetails anzeigen Einw hleinstellungen festlegen wy Link bersetzung konfigurieren Er Zertifikatsperrung festlegen Zus tzliche Sicherheitsrichtlinie EN RADIUS Server definieren d IP Einstellungen definieren a f a d d E Erkennung von Eindringyersuchen und DNS Angriffen aktivieren il Yerbindungslimits festlegen r IP Optionen Bei den IP Optionen handelt es sich um einen speziellen Bereich im IP Header mit dem Namen IP Options IP Optionen definieren zus tzlich
423. xchange Server Daten austauschen inden Remoteprozeduraufrufe RPC in HTTP Paketen geschachtelt werden Wahlen Sie welches Protokoll und welche Suthentifizierungsmethode verwendet werden soll wenden Sie sich an den Exchange Serveradministrator wenn Sie nicht wissen welche Optioner Sie w hlen sollen Verbindungseinstellungen Diesen URL f r die verbindung mit dem Exchange Proxyserver verwenden https exchange meinedomain de J J i arkir Ai Rm ia H PH ver umang Vervwiencen Sitzung gegenseitig authentifizieren wenn verbindung mit SSL hergestellt wird Bei schnellen Netzwerken zuerst eine verbindung ber HTTP herstellen dann ber TEPIP Bei langsamen Netzwerken zuerst eine verbindung ber HTTP herstellen dann ber TCP IP Proxyauthentifizierungseinstellungen Diese Authentifizierung f r die verbindung mit dem Exchange Proxyserver verwenden Standardauthentifizierung gt 225 Als Verbindungs URL tragen Sie hier die externe URL ein unter der Sie die Ver ffentlichung erstellt haben Setzen Sie die beiden Haken f r die HTTP Verbindung und stellen Sie die Authentifizierungsmehtode auf Standartauthentifizierung um E Mail Konten gt x Kontoeinrichtung abgeschlossen Sie haben alle Informationen eingegeben die zum erfolgreichen Einrichten eines Kontos notwendig sind
424. zwerk Microsoft Internet Security amp Acceleration Server E eer WEKSMARC mn arne Security amp ER berwachung a n Server 2004 aS eae virtuele peg altrichtlinie gt Konfigur Exportieren Aktualisieren Er Netz Importieren ml ln SO eC cac Systemrichtlinie bearbeiten iid oA Add ee EEE ae A Alge Gel a Zugriffsregel webserverver ffentlichungsregel Ansicht Sichere WebyerdfFentlichungsregel Hilfe HMaiserver Ver ffentlichungsregel Serverver ffentlichungsregel Die neue Firewallrichtlinie soll den HTTP HTTPS Zugriff f r das Netzwerk Forschungsabteilung nach Extern f r Alle Benutzer zulassen Firewallrichtlinie n Reihenfolge Name Aktion Protokolle Von Listener Nach E 1 HTTP Zugriff Fuer Forschung GX Zulassen Li HTTP l Forschungsabteilung SB Extern Li HTTPS 94 ISA Server 2004 Erstellen einer Webverkettung Proxy Chain Die Informationen in diesem Artikel beziehen sich auf Microsoft ISA Server 2004 Einleitung In gr eren Firmenumgebungen mit Zweigstellen kommt es h ufiger vor dass in der Zweigstelle ein ISA Server 2004 als Firewall oder Webproxy konfiguriert ist und dieser ber den zentralen ISA Server 2004 in der Firmenzentrale eine Verbindung zum Internet herstellt Diese Art der Anbindung von mehreren Proxy Servern ber eine Kaskadierung an das Internet wird als Webverkettung bzw Proxy Chaining bezeichnet Grunde fur eine Webverkettung
425. zwerk das die Clientcomputer darstellt die eine Verbi Po ER ERRTERERANER Se AN Hie D i an en ran eek esse de frohe tea 60 Eigenschaften von Intern x Allgemein Adressen Domanen Webbrowser Automatische Erkennung Firewallchent Webproaxy lw HTTP aktivieren HTTF Fort B080 SSL SSL aktivieren Ssl Fort 3443 Zertifikat Ausw hlen ugelassene Authentifizierangsmethoden konfigurieren Authentifizierung Erweiterte Eigenschaften Konf gurieren Erweitert Abbrechen bernehmen In der Registerkarte Webproxy kann man den Webproxy f r dieses Netzwerk aktivieren und den Abh rport Listener konfigurieren Standard ist Port 8080 Uber die Schaltfl che Authentifizierung gelangt man zu folgenden Optionen 61 Authentifizierung _ ajx Geben Sie die Authentifizierungsmethoden und einstellungen an die f r die Authentifizierung von Clients die eine Verbindung mit dem 154 Server Computer herstelen verwendet werden sollen Hilfe ber Authentifizierung Methode Beschreibung 1 7 Digest Integriert E Standard O S5L zertifikat E RADIUS Authentifiziert einen Benutzer mit dem RADIUS Protokol SuthentiFizierungsserver Standarddamane Gar futhentitizierung ausw hlen RACIUS Server f r Auchentifizierung RADILS Serwer ausw hlen Formularbasierte OwA Authenihizierung konfigurieren
426. zwerks befindet In dieser Konfiguration dient ISA Server als Webproxy und Cacheserver Diese Netzwerkvorlage entspricht in etwa der Installation eines ISA Server 2000 im Cache Mode 104 Edgefirewall Stellt eine verbindung zwischen dem internen Netzwerk und dem Internet her und sch tzt das Netzwerk vor Eindringersuchen 3 Abschnitt Umkreisnetzwerk Stellt eine verbindung zwischen dem internen Netzwerk und dem Internet her sch tzt das Netzwerk vor Eindringversuchen und ver ffentlicht Dienste im Internet sicher von einem Unkreisnetzwerk Hintereinander angeordnete Netzwerke Sehr haufig stellt sich auch die Frage wie der ISA Server konfiguriert werden muss wenn sich die Netzwerke hintereinander angeordnet befinden dass hei t sich hinter dem ISA Server weitere Netzwerke als das interne Netzwerk befinden Bei einer Konfiguration hintereinander angeordneter Netzwerke verf gt ein Netzwerkadapter ber Routen zu einem fremden Netzwerk In den meisten F llen unterst tzt ISA Server derartige Konfigurationen nicht wobei jedoch folgende Ausnahmen gelten e Ein IPSec Tunnel der zwischen zwei Standorten besteht e Das vordefinierte externe Netzwerk kann sich hinter dem als Standardgateway dienenden Netzwerkadapter befinden e Quaranta nen VPN Clients k nnen niemals direkt mit einem Netzwerk verbunden sein Angenommen ein Netzwerkadapter mit der Adresse 10 0 0 1 ist das Standardgateway Au erdem verf gt di
Download Pdf Manuals
Related Search