ISA Server FAQ Home | ISA 2000 | ISA 2004 | ISA 2006 | TMG | Verschiedenes | Tools | Downloads | Links | Das Buch! | Bücher | User Group | Events | Blog | About | Sitemap | Suche

Kapitel höher
Erstellen einer Firewallrichtlinie
Systemrichtlinien
Websiten sperren
Windowsupdate V5
Zeitsynchronisation
Mailzugriff
SMTP Server veröffentlichen
Exchange RPC über HTTPS
Formbased OWA
SSL Bridging mit HOSTS Datei
SSL Bridging mit Split DNS
Lokaler Remotedesktop
RDP-Serververöffentlichung
RDP-Serververöffentlichung 2
SQL Server Veröffentlichung
Oracle veröffentlichen
Ping zulassen
HTTP Filterung

 

Systemrichtlinien: Firewallrichtlinien für den ISA Server selber


Die Informationen in diesem Artikel beziehen sich auf:

  • Microsoft ISA Server 2004

 

Im Artikel Firewallrichtlinien wurde beschrieben, wozu Firewallrichtlinien benötigt werden und wie sie funktionieren. Dort wurde auch erwähnt, dass es neben den individuellen Firewallrichtlinien weitere Richtlinien gibt. Der ISA Server selber benötigt für seine Funktionalität eigene Richtlinien, die so genannten Systemrichtlinien. In ihnen wird festgelegt, welche Protokolle bzw. Verbindungen wohin der ISA Server selber nutzen darf. Nach der Installation sind insgesamt 30 vordefinierte Systemrichtlinien vorhanden, jedoch sind nicht alle aktiviert:

Zugriff auf Verzeichnisdienste für Authentifizierungszwecke zulassen. / Authentifizierungsdienste: Zugriff auf Verzeichnisdienste für Authentifizierungszwecke zulassen Remoteverwaltung mit MMC von ausgewählten Computern zulassen Remoteverwaltung mit Terminalserver von ausgewählten Computern zulassen kollierung mit NetBIOS-Transport auf vertrauenswürdige Server zulassen RADIUS-Authentifizierung von ISA Server an ausgewählte RADIUS-Server zulassen Kerberos-Authentifizierung von ISA Server an ausgewählte Server zulassen DNS vom ISA Server an ausgewählte Server zulassen DHCP-Anforderungen von ISA Server an alle Netzwerke zulassen DHCP-Antworten von DHCP-Servern an ISA Server zulassen ICMP (PING)-Anforderungen von ausgewählten Computern an ISA Server zulassen
ICMP-Anforderungen vom ISA Server an ausgewählte Server zulassen VPN-Clientdatenverkehr zu ISA Server zulassen / VPN: VPN-Clientdatenverkehr auf ISA Server zulassen. VPN-Systemrichtlinienregeln basieren auf VPN-Eigenschaften und auf dem VPN-Koten in der ISA Server-Verwaltung konfiguriert. VPN-Standort-zu-Standort-Datenverkehr zum ISA Server zulassen / VPN: VPN-Standort-zu-Standort-Datenverkehr zum ISA Server zulassen. VPN-Systemrichtlinienregeln basieren auf VPN-Eigenschaften, die im VPN-Knoten der ISA Server-Verwaltung konfiguriert werden. VPN-Standort-zu-Standort-Datenverkehr vom ISA Server zulassen / VPN: VPN-Standort-zu-Standort-Datenverkehr vom ISA Server zulassen. VPN-Systemrichtlinienregeln basieren auf VPN-Eigenschaften, die im VPN-Knoten der ISA Server-Verwaltung konfiguriert werden. Microsoft CIFS-Protokoll vom ISA Server an vertrauenswürdige Server zulassen Remote-SQL-Protokollierung vom ISA Server an ausgewählte Server zulassen HTTP/HTTPS-Anforderungen vom ISA Server an angegebene Sites zulassen HTTP/HTTPS-Anforderungen vom ISA Server an ausgewählte Server für Konnektivitätsverifizierungen zulassen Zugriff von vertrauenswürdigen Computer auf die Firewallclient-Installationsfreigabe auf dem ISA Server zulassen / Firewallclient: Zugriff von vertrauenswürdigen Computer auf die Firewallclient-Installationsfreigabe auf dem ISA Server zulassen Remoteleistungsüberwachung von ISA Server von vertrauenswürdigen Servern zulassen
NetBIOS von ISA Server an vertrauenswürdige Server zulassen RPC von ISA Server an vertrauenswürdige Server zulassen HTTP/HTTPS von ISA Server an angegebene Microsoft-Fehlerberichterstattungs-Sites zulassen SecurID-Authentifizierung von ISA Server an vertrauenswürdige Server zulassen Remoteüberwachung von ISA Server auf vertrauenswürdige Server mit MOM (Microsoft Operations Manager-Agent) zulassen Gesamten HTTP-Datenverkehr vom ISA Server auf alle Netzwerke (für Zertifikatsperrlistendownloads) zulassen NTP von ISA Server an vertrauenswürdige NTP-Server zulassen SMTP von ISA Server an vertrauenswürdige Server zulassen HTTP von ISA Server an ausgewählte Computer für Inhaltdownloadaufträge zulassen MS-Firewallsteuerung-Kommunikation mit ausgewählten Computern zulassen

Hinweis: Fahren Sie mit der Maus über den abgeschnittenen Regelnamen und Sie sehen im QuickInfo-Fenster den vollständigen Namen sowie die dazugehörende Beschreibung. Ein Klick auf den hinterlegten Link bringt Sie zur Tabelle mit weiterführenden Erklärungen.

Es gibt 2 Möglichkeiten, die Systemrichtlinien zu bearbeiten:

Mittels dieses Weges erhalten Sie ein neues vorgelagertes Fenster mit den Systemrichtlinien:

Hiermit können die Systemrichtlinien einfach verwaltet werden.

Wer lieber die Ansicht wie sie auch bei den Firewallrichtlinien verwendet wird bevorzugt kann sich im Aufgabenbereich der Firewallrichtlinien die Systemrichtlinien einblenden lassen und gelangt somit zu Übersicht, wie sie zu Beginn dieses Artikels verwendet wird:

Die folgende Tabelle soll helfen, die Funktionsweise und den Zweck jeder Systemrichtlinie zu verstehen:

nach oben

1 Authentifizierungsdienste: Zugriff auf Verzeichnisdienste für Authentifizierungszwecke zulassen Gestattet dem ISA Server Zugriff auf das Active Directory des als intern (und somit vertrauenswürdig) definierten Netzwerk.
2 Remoteverwaltung: Remoteverwaltung mit MMC von ausgewählten Computern zulassen Gewährt allen Computern des Computersets "Remoteverwaltungscomputer" den Remotezugriff auf die ISA Konfiguration mittels der MMC.
3 Remoteverwaltung: Remoteverwaltung mit Terminalserver von ausgewählten Computern zulassen Gewährt allen Computern des Computersets "Remoteverwaltungscomputer" den Remotezugriff auf die ISA Konfiguration mittels Remotedesktop.
4 Remoteverwaltung: Remoteprotokollierung auf vertrauenswürdigen Servern mit NetBIOS zulassen Der ISA Server darf NetBIOS Anfragen/Verbindungen zu allen internen Rechnern aufbauen.
5 Authentifizierungsdienste: RADIUS-Authentifizierung von ISA Server an vertrauenswürdige RADIUS-Server zulassen Gestattet dem ISA Server Zugriff auf einen RADIUS/IAS Server im internen Netzwerk zur Authentifizierung.
6 Authentifizierungsdienste: Kerberos-Authentifizierung von ISA Server an vertrauenswürdige Server zulassen Gestattet dem ISA Server eine Kerberos-Authentifizierung gegen Server im internen Netzwerk zur Authentifizierung.
7 Netzwerkdienste: DNS vom ISA Server an ausgewählte Server zulassen Erlaubt dem ISA Server, DNS-Anfragen zwecks Namensauflösung in alle Netzwerke zu stellen und die Antwort zu empfangen.
8 Netzwerkdienste: DHCP-Anforderungen von ISA Server an alle Netzwerke zulassen Erlaubt dem ISA Server selber, eine oder mehrer IP-Adressen per DHCP zu beziehen.
9 Netzwerkdienste: DHCP-Antworten von DHCP-Servern an ISA Server zulassen Erlaubt Clients des internen Netzwerkes DHCP Anfragen an den ISA Server zu senden und eine Antwort zu empfangen.
10 Netzwerkdienste: ICMP (PING)-Anforderungen von ausgewählten Computern an ISA Server zulassen Erlaubt allen Computern des Computersets "Remoteverwaltungscomputer" eine ping-Anforderung an den ISA Server zu stellen.
11 Diagnosedienste: ICMP-Anforderungen vom ISA Server an ausgewählte Server zulassen Gestattet dem ISA Server eine ping-Anforderung in alle Netzwerke zu senden.
12 VPN: VPN-Clientdatenverkehr auf ISA Server zulassen. VPN-Systemrichtlinienregeln basieren auf VPN-Eigenschaften und auf dem VPN-Koten in der ISA Server-Verwaltung konfiguriert. Erlaubt Clients aus dem externen Netz eine PPTP-VPN-Verbindung zum ISA Server herzustellen.
13 VPN: VPN-Standort-zu-Standort-Datenverkehr zum ISA Server zulassen. VPN-Systemrichtlinienregeln basieren auf VPN-Eigenschaften, die im VPN-Knoten der ISA Server-Verwaltung konfiguriert werden. Richtlinie, die für eine Remotestandortanbindung notwendig ist. Sie erlaubt den Verkehr vom Remotestandort zum ISA Server.
14 VPN: VPN-Standort-zu-Standort-Datenverkehr vom ISA Server zulassen. VPN-Systemrichtlinienregeln basieren auf VPN-Eigenschaften, die im VPN-Knoten der ISA Server-Verwaltung konfiguriert werden. Richtlinie, die für eine Remotestandortanbindung notwendig ist. Sie erlaubt den Verkehr vom ISA Server zum Remotestandort.
15 Authentifizierungsdienste: Microsoft CIFS von ISA Server auf vertrauenswürdige Server zulassen Erlaubt dem ISA Server, einen Filesystemzugriff auf interne Rechner.
16 Protokollierung: Remote-SQL-Protokollierung vom ISA Server an ausgewählte Server zulassen Erlaubt dem ISA Server die Kommunikation mit einem internen SQL-Server zwecks Protokollierung.
17 Verschiedene: HTTP/HTTPS-Anforderungen von ISA Server an angegebene Sites zulassen Erlaubt dem ISA Server den Zugriff via HTTP und HTTPS auf die Seiten *.microsoft.com; *.windows.com und *.windowsupdate.com
18 Netzwerkdienste: HTTP/HTTPS-Anforderungen vom ISA Server an ausgewählte Server für Konnektivitätsverifizierungen zulassen Erlaubt bei konfigurierter Konnektivitätsverifizierung dem ISA Server, Webseiten aus allen Netzwerken herunterzuladen.
19 Firewallclient: Zugriff von vertrauenswürdigen Computer auf die Firewallclient-Installationsfreigabe auf dem ISA Server zulassen Wird benötigt, wenn der Firewallclientinstallationsordner auf dem ISA Server als Freigabe vorhanden ist. Damit können interne Clients darauf zugreifen.
20 Remoteüberwachung: Remoteleistungsüberwachung von ISA Server von vertrauenswürdigen Servern zulassen Erlaubt allen Computern des Computersets "Remoteverwaltungscomputer" NetBIOS Sitzungen zum ISA Server zwecks Leistungsüberwachung herzustellen.
21 Diagnosedienste: NetBIOS von ISA Server auf vertrauenswürdige Server zulassen Der ISA Server darf NetBIOS Anfragen/Verbindungen zu allen internen Rechnern aufbauen.
22 Authentifizierungsdienste: RPC von ISA Server auf vertrauenswürdige Server zulassen ISA Server erlauben, RPC-Verbindungen zum internen Netzwerk aufzubauen.
23 Diagnosedienste: HTTP/HTTPS von ISA Server an angegebene Microsoft-Fehlerberichterstattungs-Sites zulassen Erlaubt der Fehlerberichtsfunktion den Zugriff auf die Microsoft-Fehlerberichtsseite *.watson.microsoft.com
24 Authentifizierungsdienste: SecurID-Authentifizierung von ISA Server an ausgewählte Server zulassen Wird benötigt, wenn der SecurID-Filter aktiv ist für Authentifizierungsanfragen zu internen SecurID-Servern.
25 Remoteüberwachung: Remoteüberwachung von ISA Server auf vertrauenswürdigen Servern mithilfe des Microsoft Operations Manager-Agents zulassen. Wird benötigt, wenn ein MOM-Server den ISA Server überwachen soll.
26 Authentifizierungsdienste: HTTP von ISA Server an ausgewählte Netzwerke für das Downloaden aktualisierten Zertifikatsperrlisten zulassen Erlaubt dem ISA Server, die neusten Zertifikatsperrlisten via HTTP von allen Netzwerken abzurufen.
27 Netzwerkdienste: NTP von ISA Server an vertrauenswürdige NTP-Server zulassen Gestattet dem ISA Server eine Zeitsynchronisation durchzuführen.
28 Remoteüberwachung: SMTP von ISA Server an vertrauenswürdige Server zulassen Erlaubt dem ISA Server z.B. für Alarmbenachrichtigungen Mails per SMTP an das interne Netzwerk zu senden.
29 Verschiedenes: HTTP von ISA Server an ausgewählte Computer für Inhaltdownloadaufträge zulassen Wenn geplante Inhaltsdownload-Aufträge existieren, erlaubt diese dann aktivierte Richtlinie den HTTP-Verkehr.
30 Remoteverwaltung: Remoteverwaltungscomputern gestatten, auf dem ISA Server-Computer ausgeführte Dienste zu verwalten. Erlaubt sämtlichen Verkehr vom ISA Server zu allen Computern des Computersets "Remoteverwaltungscomputer"

nach oben

Systemrichtlinien können nicht gelöscht werden. Es können auch keine Weiteren erstellt werden. Sie können jedoch Systemrichtlinien  deaktivieren oder in begrenztem Umfang anpassen. Um den Umfang zu erweitern sollten Sie eine zusätzliche Firewallrichtlinie erstellen, was anhand des Beispiels Ping erläutert wird.

Sie sollten diese Systemrichtlinien in das Firewallkonzept mit einbeziehen und an die individuellen Bedürfnisse anpassen.

 

Stand: Friday, 28. August 2009/DR.  


Home | ISA 2000 | ISA 2004 | ISA 2006 | TMG | Verschiedenes | Tools | Downloads | Links | Das Buch! | Bücher | User Group | Events | Blog | About | Sitemap | Suche

Fragen oder Probleme in Zusammenhang mit dieser Website richten Sie bitte an den Webmaster. Bitte inhaltliche oder technische Fragen ausschließlich in der deutschen ISA Server Newsgroup stellen.
Verbesserungsvorschläge, Anregungen oder Fremdartikel sind jederzeit willkommen! Copyright 2001-2011. Alle Rechte vorbehalten. msisafaq.de steht in keiner Beziehung zur Microsoft Corp.
Stand: Monday, 18. March 2013 / Dieter Rauscher