当前，众多 IT 专家正在依靠 ISA Server 2006 (Internet Security and Acceleration Server 2006) 保障其技术资产的安全，却很少有人采取专门措施保护 ISA Server 本身的安全。如果您
最近刚安装了 ISA Server 2006，您可能会回想起就在安装一结束时有这样一条提示。遗憾的是，很少有 IT 专家会花费时间（或有时间）执行这一重要的步骤，这导致其经常变为一纸空文。
如今的安全领域充满变数，ISA Server 本身的安全无法保障是不可容忍的。值得庆幸的是，用于保障 ISA Server 安全的工具已经有了长足的进步。ISA Server 2004 之前版本的“安全增强向导”中的诸多不适之处现在已得到解决。目前的工具和步骤均定义良好，如 Windows Server 2003 随附的安全配置向导 (SCW)。
我将在本文中简述服务器安全保障的常用最佳实践。然后分步剖析 ISA Server 本身的增强策略，即使用“安全配置向导”减少对 ISA Server 的攻击面，并使用管理角色设定 ISA Server 的访问权限。
保障服务器的安全
无论服务器是位于数据中心还是就在您办公室的隔壁，要保障它们的安全均涉及很多因素和最佳实践。作为一名管理员，您的职责就是了解这些最佳实践，并尽可能以与公司实际情况相符的方式满足其要求。由于近年来对安全性的重视日益普及，我们中的大部分人对安全保障的核心任务已经非常熟悉，所以在这里就不必长篇大论了。
保障环境安全的第一步是确保服务器所处物理环境的安全。实际上，这意味着您必须限制对服务器的物理访问。如果环境空间不大，则需要为服务器所在的房间上锁，并限定只有极少数人才有权进入。如果空间很大，这一基本要求类似，但实施方式要更为复杂。例如，许多公司都使用电子监控。这样，它们就能审查对服务器所在位置的进入情况，甚至能够根据工作职责的层级限制对个人办公隔间的接触。
在处理 ISA Server 或 ISA 配置存储服务器的失窃或物理环境安全隐患时，需要考虑一些特殊的因素。失窃服务器存储的信息有可能危及您环境中所有 ISA Server 和通信（包括加密的通信）。
如果您怀疑某台服务器受到了攻击或失窃等，请立即转移受影响的服务器（如果它仍在现场），然后执行标准的取证程序。实施这些必要的措施后，您需要着手更改所有的机密信息—废除服务器上安装的所有证书并修改先前共享的密钥和保密信息。此外，如果您还持有备用配置存储服务器，请确保删除所有与受攻击服务器有关联的数据。
服务器物理环境的安全得到保证后，接下来就要确保能有条理地为所有软件安装补丁，包括虚拟化层、OS 和应用程序。应定期查看并应用补丁程序、升级程序和修补程序。但请务必先测试这些更新，然后再将其应用到生产系统中。要是补丁程序会对应用程序或数据的完整性有所不利，那它就毫无益处。
如果数据的完整性存在安全隐患，您就必须转而依赖备份。保障基础结构安全的另一重要因素就是由此而来。如果在需要时您无法迅速完整地恢复数据，停机时间会对您的操作产生重大影响，进而加大入侵成本。
监控和审计是两个需要考虑的因素。在任何良好的安全计划中，监控都是必不可少的要素。如果您没有花时间查看日志，特别是与安全相关的日志，您就很可能无法在出现损坏前找出入侵企图。
审计也是同等重要。在许多公司（尤其是大公司）中，这是一项制度甚至是法规要求。总之，对于任何公司，都需要定期查看用于保障资产安全的控制步骤和方法，以确保您的措施有效。
最后，由于您是在 Windows Server 2003 上运行 ISA Server 2006，所以需要查看 Windows Server 2003 安全指南并执行必要的建议措施。该指南的路径为 microsoft.com/technet/security/prodtech/windowsserver2003/w2003hg/sgch00.mspx。
Microsoft 目前建议运行“基准安全性策略”模板，但您不应运行任何 Internet 协议安全性 (IPsec) 过滤器。
安装安全配置向导
那么，如何让 ISA Server 本身更为安全呢？SCW 是保障 ISA 安全的基本工具。它用于减少攻击面。它针对服务器的服务、网络安全和注册表创建安全策略和审计策略，从而为系统配置刚好需要的服务和功能。请切记仅配置您打算使用的 ISA Server 服务。例如，Web Proxy 服务默认启用，但如果您不会用到这一服务，应将其禁用。因此，您需密切注意 SCW 为您提供的配置选项。
Windows Server 2003 上默认未安装 SCW，因此您首先要自己使用“添加/删除程序”控制面板中的“添加/删除 Windows 组件”小程序安装这一程序。（注意，Windows Server 2008 中默认安装有 SCW。）加载“Windows 组件”屏幕后，向下滚动并选中 SCW 的复选框。
安装一旦完成，该应用程序会出现在“管理工具”下。使用向导前必须先通过下载 ISA Server 2006 的更新来对 SCW 加以更新（地址为 go.microsoft.com/fwlink/?LinkId=122532）。此更新会为 ISA Server 2006 Standard Edition、ISA Server 2006 Enterprise Edition 和 ISA Server 配置存储服务器新增角色。
下载更新后，需要运行软件包并从中解压文件。解压这些文件后，将其中的两个 .xml 文件（isa.xml 和 isaloc.xml）复制到 SCW kbs 文件夹—在 Windows Server 的默认安装中，其路径为 c:\windows\security\msscw\kbs。
复制文件时，会提示您覆盖两个名称相同的现有文件。这两个文件要在 ISA Server 2004 中使用，所以覆盖前请进行备份。最后是将 isascwhlp.dll 文件复制到 bin 文件夹，通常它的路径是 c:\windows\security\msscw\bin。将 ISA 角色加入 SCW 后，即可开始安装。
Microsoft 通常建议您在配置完 ISA Server 后再运行 SCW。如果您运行的是 Enterprise Edition，这包括配置所有数组和数组成员。
运行 SCW
首先从管理工具启动 SCW—记住，您需要具有管理权限才能完成 SCW 进程。

图 1 显示了向导的第一个屏幕。如果您通读了此屏幕上的文字，尤其是“this wizard detects the inbound ports that are listened to by this server”（此向导检测由此服务器侦听的入站端口），您就会理解在启动这一进程前完全配置 ISA Server 和数组的重要性。
图 1 启动安全配置向导（单击图像可查看大图）
如果您尚未完全配置环境，您需要有一个好机会能在完成 ISA 配置后修改 SCW 配置。下一屏幕（如图 2 所示）会询问您想执行哪种操作。您应选择“Create a new security policy”（新建安全策略）。

图 2 新建安全策略（单击图像可查看大图）
随后通知您选择担任策略基线的服务器。由于您是新建策略，默认选项是使用您运行 SCW 的计算机。但是，此行为会随您在前一屏幕中所选的执行操作而变。总之，建议您最好在用作基线的服务器上安装 SCW。如果未在目标服务器上安装 SCW，则有可能丢失用于完成策略的信息。因此，为了方便起见，最好在将用做基线的服务器上安装 SCW。
按“Next” （下一步）后，SCW 将开始分析您的 ISA Server。此分析包括确定在服务器上安装的角色、可能在服务器上安装的角色、安装的服务以及基本联网信息。完成这一流程后，可通过选择 “Configuration Database”（配置数据库）查看数据库。此配置数据库存有大量信息，包括所有支持的服务器角色、客户端功能和端口。
SCW 随后开始逐步引导您完成基于角色的服务配置。按“Next”（下一步）进入下一屏幕，它会提示您选择服务器角色，如图 3 所示。SCW 执行的初始扫描是可靠的，您应能发现已经标识出了正确的服务器角色。但是，您需要仔细检查并删除任何不需要的角色，这一点十分重要。如果服务器担当多个角色，确保选择了所有合适的角色。

图 3 指定服务器角色（单击图像可查看大图）
如果运行 ISA Server 2006 Enterprise Edition，务必要考虑配置存储服务器。如果配置存储服务器安装在充当 ISA Server 的服务器上（这一方式与建议的最佳实践不符，但在实际中经常出现），则需要确保还选择了“配置存储服务器”角色。如果实际服务器仅具备 ISA Server 2006 角色，则您不能对其使用托管两种角色的服务器基线扫描。
接下来会提示您选择服务器的客户端功能。换言之，您需指定服务器需要的服务。例如，几乎所有服务器都需要 DNS 客户端，如果服务器是域成员，则还需要域成员功能。
完成后为您显示“管理和其他选项”屏幕。在此指定使用服务或依赖网络连接的应用程序、管理和操作系统选项。任何没有在此选中的服务均被禁用。但在您完成选择并按“Next”（下一步）后，还允许您选择任何想要的其他服务。
接下来您可配置如何处理未指定的服务。您可定义在应用策略后，如发现未包括在主数据库中或未在基线服务器安装的服务，应进行何种处理。一般来讲，最好选择禁用未指定的服务，以防止任何未预见的攻击。遗憾的是，如果您的服务器有重大变化，这会带来负面影响。因此，若您将来要添加任何应用程序或网络服务，需要记住这一设置。
此向导的下一部分（如图 4 所示）允许您查看由 SCW 修改的服务。此配置屏幕为您提供比较视图，上面比较了当前状态和应用策略后修改的服务状态。

图 4 查看并确认服务更改（单击图像可查看大图）
确定要有更改的服务后，进入“网络安全”设置区。SCW 通常让您在此修改“Windows 防火墙和 Ipsec”设置。但由于您是在配置 ISA Server 2006，您只能略过这部分内容，如图 5 所示。
[local]5[/local]
图 5 略过网络安全设置（单击图像可查看大图）
接下来是配置注册表设置，主要内容是网络验证和安全。这部分的第一个屏幕涉及服务器消息块 (SMB) 签名。SMB 协议是 Microsoft 核心联网协议，这些设置允许使用经过签名的通信，以减少中间人攻击的可能性。
[local]6[/local]
默认设置（如图 6 所示）为 ISA Server SMB 通信提供了相当不错的安全防护。但您必须考虑到对所有通信签名所产生的影响。如果您没有多余的 CPU 时钟周期，不应选择第二个选项。并且要考虑应用此策略的所有服务器—如果您的服务器有多项工作负载，需要使用 CPU 利用率最高的服务器做为是否选取此选项的衡量标准。
图 6 指定是否要求签名的通信（单击图像可查看大图）
下一组屏幕处理 ISA Server 应使用的 LMCompatibility 级别。其中是第一个显示三个选项。除非您有旧版的 Windows 客户端（例如 Windows 95 或 Windows 98）或您使用本地帐户进行访问控制，否则应选中域帐户的默认选项。
在处理 LMCompatibility 级别的第二个屏幕上，您提供域控制器的相关信息。如果您未安装任何 Windows NT 4.0 域，应选中默认选项（Windows NT 4.0 Service Pack 6a 或更新的操作系统）。在此对话框中，还应选中“Clocks be synchronized with the selected server's clock”（时钟与选定服务器的时钟同步）选项。选择“Next”（下一步）将显示入站 LAN Manager (LM) 通信的一些其他选项，如图 7 所示。
[local]7[/local]
图 7 指示入站验证方式（单击图像可查看大图）
第三个屏幕与 LMCompatibility 级别有关，它确定是否要求 Windows NT LAN Manager (NTLM) 版本 2 以及是否存储 LM 哈希。如果您的环境将支持该配置，应确保这两个选项均未选中，因为这会大大提高安全性。随后为您显示“注册表设置摘要”。查看每个注册表项并确认策略设置正确。
接下来，向导将您带入最后一部分—审计。对于在此部分所选的任何配置选项，有一点需要特别注意：它们都不能回滚。但由于审计不会影响系统功能，您不应略过这一部分。
“Audit successful activities”（审计成功活动）这一默认选项不会为您提供登录失败的事件日志条目。但是，登录失败的相关信息会提供非常有用的入侵企图信息。因此，最好选中这一选项。
随后您可查看您的审计配置并按两次“Next”（下一步）以保存安全策略。如图 8 所示，此屏幕只需输入文件名；但您也可以提供简介。在多名管理员共享安全职责的大型环境中，此简介非常有用。
[local]8[/local]
图 8 提供安全策略的名称和说明（单击图像可查看大图）
保存文件后，允许您选择是立即应用策略还是稍后应用。如果您选择稍后应用策略，此过程完成。如果您发现策略配置中有任何错误，可以回滚策略（但审计配置除外）。
管理角色
减少外部安全缺口时，减少 ISA Server 的攻击面是其中的关键步骤。但是，审查 ISA Server 内管理角色的分配也同样重要，这可减少内部安全隐患。图 9 和 10 中显示了管理角色和常用相关任务的部分列表。
[local]9[/local]
正如您所见，与 ISA Server 相关的管理任务划分得很细。这就为您向公司中内的用户指定合适的角色提供了便利。
进一步讲，您需要牢记指定角色时最好应用最小权限的概念。任何已知用户只应具备完成工作所需的最低权限。
另外，还要注意 ISA Server 2006 Standard Edition 中本地 Administrators 组的成员与 ISA Server Full Administrator 的权限相同。在 Enterprise Edition 中,履行配置存储服务器角色的服务器所属本地 Administrators 组的成员对 Enterprise 配置有完全控制权。这意味着如果您的 ISA Server 是域成员，您需要仔细审查 Domain Admins 组的成员关系，以及隶属 ISA Server 本地 Administrators 组的任何其他组成员关系。
[ 本帖最后由 云杉上的蝴蝶 于 2008-9-18 05:44 编辑 ]