微軟Forefront TMG 2010安全配置嚮導試用手記

在Windows Server 2008和2008 R2中均提供了一則增值型工具：SCW (Security Configuration Wizard)，它便於系統發佈微軟Forefront Threat Management Gateway (TMG) 2010 防火牆。網絡工程師可經過SCW生成有關服務配置、審計方面的策略，並完成相應的註冊表設置。本文將詳細介紹如何利用SCW針對TMG防火牆系統安全策略的安裝與配置以及進一步利用活動目錄組策略發佈該安全策略。
1、如何爲SCW生成Forefront TMG Roles
    在系統默認下SCW並不支持TMG 2010 role以及TMG Enterprise Management Server (EMS) role，爲此需下載TMGRolesForSCW.exe，該程序來自TMG 2010 Tools and Software Development Kit (SDK)，下載連接以下：
http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=8809cfda-2ee1-4e67-b993-6f9a20e08607
   下載後，執行TMGRolesForSCW.exe，開始安裝TMG Roles for SCW；安裝畢，需爲SCW修改註冊表，旨在註冊這些roles，而後需將文件複製到文件夾%systemroot%\security\ msscw\kbs，這裏分幾種情形：（1）對於TMG on Windows Server 2008 SP2，複製文件copy scw_tmg_w2k8_sp2.xml；（2）對於TMG on Windows Server 2008 R2，複製文件scw_tmg_w2k8r2_sp0.xml；（3）TMG EMS on Windows Server 2008 SP2，複製scw_tmgems_w2k8_sp2.xml；（4）對於TMG EMS on Windows Server 2008 R2，複製scw_tmgems_w2k8r2_sp0.xml。
    上述任務也可採用另外一種方式，一樣分幾種模式，都是在命令行轉入文件夾%systemroot%\security\msscw\kbs：（1）對於TMG on Windows Server 2008 SP2，輸入命令：scwcmd register /kbname:TMG /kbfile:scw_tmg_w2k8_sp2.xml；（2）對於TMG EMS on Windows Server 2008 SP2，執行命令：scwcmd register /kbname:TMG /kbfile: scw_tmgems_w2k8_sp2.xml；（3）對於TMG on Windows Server 2008 R2，執行：scwcmd register /kbname:TMG /kbfile:scw_tmg_w2k8r2_sp0.xml；（4）對於TMG EMS on Windows Server 2008 R2，執行：scwcmd register /kbname:TMG /kbfile:scw_tmgems_w2k8r2_sp0.xml
2、用SCW如何生成安全策略
    打開SCW的方式爲：選擇「開始/管理員工具」，而後點擊圖標Security Configuration Wizard，在這裏可選擇但願執行的行動，具體到這裏固然是選Create a new security policy，完成後可進行編輯和應用。SCW可用於本地或遠程機，好比咱們打算要對本地機進行策略配置，需設置主機名稱（圖一.jpg），而後SCW就會開始處理安全配置數據庫Security Configuration Database。完成後再點擊View Configuration Database就可確認將Forefront TMG服務器角色加入到數據庫中。對於出現的警告信息窗口Windows Security Warning，可點擊Yes查看數據庫配置信息。此時，點擊Server Roles旁的加號進行擴展，就會在列表中看到有「Microsoft Forefront Threat Management Gateway (TMG)」，而後再關閉該窗口，返回到SCW。

 圖一
3、用SCW設置角色、性能、選項和服務
    通過以上工做，咱們如今就能用SCW開始基於角色的服務配置。在默認時會選擇多個已安裝的角色，此時點擊角色旁邊箭頭符號可得到該角色相關信息，這裏咱們選取Microsoft Forefront Threat Management Gateway (TMG) role，若是TMG firewall來自×××服務，則確認選取角色Remote access/××× server(圖二.jpg)。
     在默認時會選中多項已安裝性能，可根據具體安全要求加以調整，好比能夠取消Microsoft Networking Client或勾選WINS client（圖三.jpg）。一樣，默認時也有多個已安裝選項被選，此時須要注意的是，若是鏈接TMG防火牆採用了RDP (Remote Desktop Services)方式，則應勾選遠程桌面Remote Desktop（圖四.jpg）。

4、用SCW如何配置網絡安全
    SCW可配置有關與其它機器通信的協議控制的主要註冊設置。建議採用域賬戶（domain accounts），而且TMG要求所通信的其它機器的運行系統最低版本須要達到Windows NT 4.0 SP6A，此時若是客戶系統與TMG時鐘同步，可在此勾選相應選項，但默認時該選項爲空，由於多數同步型系統採用的是活動目錄域控制器。
    另外，SCW也提供了可配置審計策略的選項，該選項在默認時包括了安全模板文件SCWaudit.inf，它經過設置System Access Control Lists (SACLS)控制文件系統訪問的審計。咱們能夠將安全策略保存，若是配置單一系統，能夠選擇一種安全策略當即應用；若是系統中有多項TMG防火牆，那麼採用活動目錄組策略佈署安全策略更爲適宜。
    域成員發佈TMG優點之一是可以利用Group Policy管理安全配置，但SCW在配置和發佈安全策略時一次只能針對一臺機器（雖然能夠是本地，也能夠是遠程）。咱們能夠利用SCW的命令行工具scwcmd.exe將安全策略轉換爲Group Policy Object (GPO)，而後利用Active Directory Group Policy將策略發佈到多部機器，命令格式以下：
scwcmd  transform /p: PathandPolciyFileName /g: GPODisplayName
    這裏的PathandPolciyFileName，係指此前生成的策略；GPODisplayName指的是在GPMC (Group Policy Management Console)中顯示的GPO (Group Policy Object)名稱。

 圖二
 
圖三
 
圖四