Systemrichtlinien: Firewallrichtlinien für den ISA Server selber
Die Informationen in diesem Artikel beziehen sich auf:
- Microsoft ISA Server 2004
Im Artikel Firewallrichtlinien wurde beschrieben, wozu Firewallrichtlinien benötigt werden und wie sie funktionieren. Dort wurde auch erwähnt, dass es neben den individuellen Firewallrichtlinien weitere Richtlinien gibt. Der ISA Server selber benötigt für seine Funktionalität eigene Richtlinien, die so genannten Systemrichtlinien. In ihnen wird festgelegt, welche Protokolle bzw. Verbindungen wohin der ISA Server selber nutzen darf. Nach der Installation sind insgesamt 30 vordefinierte Systemrichtlinien vorhanden, jedoch sind nicht alle aktiviert:
Hinweis: Fahren Sie mit der Maus über den abgeschnittenen Regelnamen und Sie sehen im QuickInfo-Fenster den vollständigen Namen sowie die dazugehörende Beschreibung. Ein Klick auf den hinterlegten Link bringt Sie zur Tabelle mit weiterführenden Erklärungen.
Es gibt 2 Möglichkeiten, die Systemrichtlinien zu bearbeiten:
Mittels dieses Weges erhalten Sie ein neues vorgelagertes Fenster mit den Systemrichtlinien:
Hiermit können die Systemrichtlinien einfach verwaltet werden.
Wer lieber die Ansicht wie sie auch bei den Firewallrichtlinien verwendet wird bevorzugt kann sich im Aufgabenbereich der Firewallrichtlinien die Systemrichtlinien einblenden lassen und gelangt somit zu Übersicht, wie sie zu Beginn dieses Artikels verwendet wird:
Die folgende Tabelle soll helfen, die Funktionsweise und den Zweck jeder Systemrichtlinie zu verstehen:
| 1 |
 |
Authentifizierungsdienste: Zugriff auf Verzeichnisdienste für Authentifizierungszwecke zulassen | Gestattet dem ISA Server Zugriff auf das Active Directory des als intern (und somit vertrauenswürdig) definierten Netzwerk. |
| 2 |
|
Remoteverwaltung: Remoteverwaltung mit MMC von ausgewählten Computern zulassen | Gewährt allen Computern des Computersets "Remoteverwaltungscomputer" den Remotezugriff auf die ISA Konfiguration mittels der MMC. |
| 3 |
|
Remoteverwaltung: Remoteverwaltung mit Terminalserver von ausgewählten Computern zulassen | Gewährt allen Computern des Computersets "Remoteverwaltungscomputer" den Remotezugriff auf die ISA Konfiguration mittels Remotedesktop. |
| 4 |
 |
Remoteverwaltung: Remoteprotokollierung auf vertrauenswürdigen Servern mit NetBIOS zulassen | Der ISA Server darf NetBIOS Anfragen/Verbindungen zu allen internen Rechnern aufbauen. |
| 5 |
|
Authentifizierungsdienste: RADIUS-Authentifizierung von ISA Server an vertrauenswürdige RADIUS-Server zulassen | Gestattet dem ISA Server Zugriff auf einen RADIUS/IAS Server im internen Netzwerk zur Authentifizierung. |
| 6 |
|
Authentifizierungsdienste: Kerberos-Authentifizierung von ISA Server an vertrauenswürdige Server zulassen | Gestattet dem ISA Server eine Kerberos-Authentifizierung gegen Server im internen Netzwerk zur Authentifizierung. |
| 7 |
|
Netzwerkdienste: DNS vom ISA Server an ausgewählte Server zulassen | Erlaubt dem ISA Server, DNS-Anfragen zwecks Namensauflösung in alle Netzwerke zu stellen und die Antwort zu empfangen. |
| 8 |
|
Netzwerkdienste: DHCP-Anforderungen von ISA Server an alle Netzwerke zulassen | Erlaubt dem ISA Server selber, eine oder mehrer IP-Adressen per DHCP zu beziehen. |
| 9 |
|
Netzwerkdienste: DHCP-Antworten von DHCP-Servern an ISA Server zulassen | Erlaubt Clients des internen Netzwerkes DHCP Anfragen an den ISA Server zu senden und eine Antwort zu empfangen. |
| 10 |
|
Netzwerkdienste: ICMP (PING)-Anforderungen von ausgewählten Computern an ISA Server zulassen | Erlaubt allen Computern des Computersets "Remoteverwaltungscomputer" eine ping-Anforderung an den ISA Server zu stellen. |
| 11 |
|
Diagnosedienste: ICMP-Anforderungen vom ISA Server an ausgewählte Server zulassen | Gestattet dem ISA Server eine ping-Anforderung in alle Netzwerke zu senden. |
| 12 |
|
VPN: VPN-Clientdatenverkehr auf ISA Server zulassen. VPN-Systemrichtlinienregeln basieren auf VPN-Eigenschaften und auf dem VPN-Koten in der ISA Server-Verwaltung konfiguriert. | Erlaubt Clients aus dem externen Netz eine PPTP-VPN-Verbindung zum ISA Server herzustellen. |
| 13 |
|
VPN: VPN-Standort-zu-Standort-Datenverkehr zum ISA Server zulassen. VPN-Systemrichtlinienregeln basieren auf VPN-Eigenschaften, die im VPN-Knoten der ISA Server-Verwaltung konfiguriert werden. | Richtlinie, die für eine Remotestandortanbindung notwendig ist. Sie erlaubt den Verkehr vom Remotestandort zum ISA Server. |
| 14 |
|
VPN: VPN-Standort-zu-Standort-Datenverkehr vom ISA Server zulassen. VPN-Systemrichtlinienregeln basieren auf VPN-Eigenschaften, die im VPN-Knoten der ISA Server-Verwaltung konfiguriert werden. | Richtlinie, die für eine Remotestandortanbindung notwendig ist. Sie erlaubt den Verkehr vom ISA Server zum Remotestandort. |
| 15 |
|
Authentifizierungsdienste: Microsoft CIFS von ISA Server auf vertrauenswürdige Server zulassen | Erlaubt dem ISA Server, einen Filesystemzugriff auf interne Rechner. |
| 16 |
|
Protokollierung: Remote-SQL-Protokollierung vom ISA Server an ausgewählte Server zulassen | Erlaubt dem ISA Server die Kommunikation mit einem internen SQL-Server zwecks Protokollierung. |
| 17 |
|
Verschiedene: HTTP/HTTPS-Anforderungen von ISA Server an angegebene Sites zulassen | Erlaubt dem ISA Server den Zugriff via HTTP und HTTPS auf die Seiten *.microsoft.com; *.windows.com und *.windowsupdate.com |
| 18 |
|
Netzwerkdienste: HTTP/HTTPS-Anforderungen vom ISA Server an ausgewählte Server für Konnektivitätsverifizierungen zulassen | Erlaubt bei konfigurierter Konnektivitätsverifizierung dem ISA Server, Webseiten aus allen Netzwerken herunterzuladen. |
| 19 |
|
Firewallclient: Zugriff von vertrauenswürdigen Computer auf die Firewallclient-Installationsfreigabe auf dem ISA Server zulassen | Wird benötigt, wenn der Firewallclientinstallationsordner auf dem ISA Server als Freigabe vorhanden ist. Damit können interne Clients darauf zugreifen. |
| 20 |
|
Remoteüberwachung: Remoteleistungsüberwachung von ISA Server von vertrauenswürdigen Servern zulassen | Erlaubt allen Computern des Computersets "Remoteverwaltungscomputer" NetBIOS Sitzungen zum ISA Server zwecks Leistungsüberwachung herzustellen. |
| 21 |
|
Diagnosedienste: NetBIOS von ISA Server auf vertrauenswürdige Server zulassen | Der ISA Server darf NetBIOS Anfragen/Verbindungen zu allen internen Rechnern aufbauen. |
| 22 |
|
Authentifizierungsdienste: RPC von ISA Server auf vertrauenswürdige Server zulassen | ISA Server erlauben, RPC-Verbindungen zum internen Netzwerk aufzubauen. |
| 23 |
|
Diagnosedienste: HTTP/HTTPS von ISA Server an angegebene Microsoft-Fehlerberichterstattungs-Sites zulassen | Erlaubt der Fehlerberichtsfunktion den Zugriff auf die Microsoft-Fehlerberichtsseite *.watson.microsoft.com |
| 24 |
|
Authentifizierungsdienste: SecurID-Authentifizierung von ISA Server an ausgewählte Server zulassen | Wird benötigt, wenn der SecurID-Filter aktiv ist für Authentifizierungsanfragen zu internen SecurID-Servern. |
| 25 |
|
Remoteüberwachung: Remoteüberwachung von ISA Server auf vertrauenswürdigen Servern mithilfe des Microsoft Operations Manager-Agents zulassen. | Wird benötigt, wenn ein MOM-Server den ISA Server überwachen soll. |
| 26 |
|
Authentifizierungsdienste: HTTP von ISA Server an ausgewählte Netzwerke für das Downloaden aktualisierten Zertifikatsperrlisten zulassen | Erlaubt dem ISA Server, die neusten Zertifikatsperrlisten via HTTP von allen Netzwerken abzurufen. |
| 27 |
|
Netzwerkdienste: NTP von ISA Server an vertrauenswürdige NTP-Server zulassen | Gestattet dem ISA Server eine Zeitsynchronisation durchzuführen. |
| 28 |
|
Remoteüberwachung: SMTP von ISA Server an vertrauenswürdige Server zulassen | Erlaubt dem ISA Server z.B. für Alarmbenachrichtigungen Mails per SMTP an das interne Netzwerk zu senden. |
| 29 |
|
Verschiedenes: HTTP von ISA Server an ausgewählte Computer für Inhaltdownloadaufträge zulassen | Wenn geplante Inhaltsdownload-Aufträge existieren, erlaubt diese dann aktivierte Richtlinie den HTTP-Verkehr. |
| 30 |
|
Remoteverwaltung: Remoteverwaltungscomputern gestatten, auf dem ISA Server-Computer ausgeführte Dienste zu verwalten. | Erlaubt sämtlichen Verkehr vom ISA Server zu allen Computern des Computersets "Remoteverwaltungscomputer" |
Systemrichtlinien können nicht gelöscht werden. Es können auch keine Weiteren erstellt werden. Sie können jedoch Systemrichtlinien deaktivieren oder in begrenztem Umfang anpassen. Um den Umfang zu erweitern sollten Sie eine zusätzliche Firewallrichtlinie erstellen, was anhand des Beispiels Ping erläutert wird.
Sie sollten diese Systemrichtlinien in das Firewallkonzept mit einbeziehen und an die individuellen Bedürfnisse anpassen.
Stand: Friday, 28. August 2009/DR.
