Kontrollieren des sicheren Internetzugriffs mit ISA Server 2004 Microsoft Internet Security & Acceleration (ISA) Server 2004 Einführung Microsoft® Internet Security & Acceleration (ISA) Server 2004 bietet eine genaue Kontrolle darüber, wie Netzwerkclients auf das Internet zugreifen. Dank der Mehrfachnetzwerkfunktionen von ISA Server können Sie Clients in beliebigen Netzwerken kontrollieren, für die der ISA Server-Computer als Gateway zum Internet fungiert. Mehrere Netzwerke Mit ISA Server können Sie mehrere Netzwerke mit einem ISA Server-Computer verbinden und den Zugriff zwischen diesen Netzwerken steuern. Sie können daher den Internetzugriff jedes beliebigen Netzwerks kontrollieren, für das der ISA Server-Computer als Internetgateway fungiert. Zugriffsregeln Zugriffsregeln legen fest, wie Clients in einem Quellnetzwerk auf Ressourcen in einem Zielnetzwerk zugreifen. Zugriffsregeln können so konfiguriert werden, dass sie entweder für den gesamten IPDatenverkehr, für bestimmte Protokolldefinitionen oder für den gesamten IP-Datenverkehr mit Ausnahme ausgewählter Protokolle gelten. ISA Server enthält mehrere vorkonfigurierte, bekannte Protokolldefinitionen, einschließlich der am häufigsten verwendeten Internetprotokolle. Sie können weitere Protokolle hinzufügen oder ändern. Fordert ein Client ein Objekt mithilfe eines bestimmten Protokolls an, überprüft ISA Server die Zugriffsregeln. Eine Anforderung wird nur bearbeitet, wenn in einer Zugriffsregel die Kommunikation unter Verwendung des entsprechenden Protokolls und der Zugriff auf das angeforderte Objekt für diesen Client ausdrücklich zugelassen werden. 2 Kontrollieren des sicheren Internetzugriffs mit ISA Server 2004 Die Kontrolle des Internetzugriffs hängt primär von der Art und der Reihenfolge der Zugriffsregeln ab. Darüber hinaus muss die Zugriffskontrolle nur noch so konfiguriert werden, dass für Internetanforderungen eine Authentifizierung erforderlich ist. Die entsprechende Vorgehensweise ist in Anhang C: Konfigurieren der HTTP-Richtlinie beschrieben. Tipp Die Kontrolle des Internetzugriffs hängt nur von zwei Faktoren ab: In einer bestimmten Reihenfolge stehende Zugriffsregeln Webproxy-Eigenschaften In der folgenden Tabelle sind alle Optionen zusammengefasst, die beim Entwerfen von Zugriffsregeln zur Verfügung stehen. Die Optionen sind in der Tabelle entsprechend ihrer Position im Dialogfeld Eigenschaften der entsprechenden Zugriffsregel angeordnet. Um das Dialogfeld Eigenschaften für eine Zugriffsregeln zu öffnen, doppelklicken Sie im Detailbereich Firewallrichtlinie auf eine Zugriffsregel (beispielsweise auf Standardregel). Anmerkung Die Regelelemente, auf die in dieser Tabelle Bezug genommen wird, werden in diesem Dokument im Abschnitt Regelelemente beschrieben. Registerkarte Eigenschaft Kommentare Verwandte Regelelemente Allgemein Name Name der Regel Keine Allgemein Beschreibung Keine Allgemein Aktivieren Beschreibung der Regel Die Regel ist in Kraft, wenn dieses Kontrollkästchen aktiviert ist. Aktion Zulassen/Verweigern Wird mit der Regel der Internetzugriff für Anforderungen, die den in der Regel enthaltenen Regelelementen entsprechen, zugelassen oder verweigert? Keine Aktion HTTP-Anforderungen an diese Webseite umleiten Optional. Wenn eine Keine Internetzugriffsanforde rung durch eine Regel verweigert wird, können Sie eine erklärende Webseite bereitstellen. Keine Einführung 3 Aktion Anforderungen protokollieren, die mit dieser Regel übereinstimmen Aktivieren Sie dieses Keine Kontrollkästchen, wenn ISA Server Anforderungen protokollieren soll, die den Regelbedingungen entsprechen. Die Zugriffsregel kann Protokolle für alle Protokolle, für bestimmte Protokolle oder für alle Protokolle außer den angegebenen gelten. Diese Seite bietet über die Schaltfläche Filterung auch Zugriff auf die Eigenschaften der HTTPKonfiguration. Weitere Informationen hierzu finden Sie in diesem Dokument in Anhang C: Konfigurieren der HTTP-Richtlinie. Protokolle Gesamten ausgehenden Datenverkehr Ausgewählte Protokolle (in der Liste auswählen) Gesamten ausgehenden Datenverkehr außer dem ausgewählten (in der Liste auswählen) Von Diese Regel betrifft Datenverkehr von diesen Quellen Die Netzwerkobjekte, von denen die Anforderungen gesendet werden. Netzwerkobjekte Von Ausnahmen Die Regel gilt nicht für Datenverkehr, der von diesen Netzwerkobjekten gesendet wird. Netzwerkobjekte Nach Diese Regel betrifft Datenverkehr, der an diese Ziele gesendet wird Die Netzwerkobjekte, die vom Client angefordert werden. Im Fall von Internetzugriffen sollte es sich hierbei um das externe Netzwerk handeln. Netzwerkobjekte Nach Ausnahmen Die Regel gilt nicht für Datenverkehr, der an diese Netzwerkobjekte gesendet wird. Netzwerkobjekte 4 Kontrollieren des sicheren Internetzugriffs mit ISA Server 2004 Benutzer Diese Regel betrifft Anforderungen von folgenden Benutzersätzen Legt die Benutzer fest, Benutzer für die diese Regel gilt. Wenn Sie Benutzer angeben, statt die Standardeinstellung Alle Benutzer zu verwenden, müssen sich die den Regelbedingungen entsprechenden Benutzer authentifizieren. Benutzer Ausnahmen Legt die Benutzer fest, für die diese Regel nicht gilt. Wenn Sie unter Ausnahmen Benutzer angeben, müssen sich die den Regelbedingungen entsprechenden Benutzer authentifizieren. Benutzer Zeitplan Zeitplan Gibt die Zeiträume an, innerhalb der die Regel angewendet wird. Zeitpläne Inhaltstypen Regel wird angewendet auf: Alle Inhaltstypen Ausgewählte Inhaltstypen Bei Auswahl von Inhaltstypen Ausgewählte Inhaltstypen gilt die Regel nur für HTTPAnforderungen, die mit dem angegebenen Inhaltstyp beantwortet werden. Regelelemente Ein ISA Server-Regelelement ist ein Objekt, mit dem ISA Server-Regeln näher definiert werden. Beispielsweise repräsentiert ein Subnetzregelelement ein Subnetz innerhalb eines Netzwerks. Sie können Regeln definieren, die nur für ein Subnetz gelten, und Regeln, die für das gesamte Netzwerk mit Ausnahme des Subnetzes gelten. Ein Benutzersatz, der eine Gruppe von Benutzern repräsentiert, ist ein weiteres Beispiel für ein Regelelement. Durch die Erstellung eines Benutzersatzes und dessen Verwendung in einer ISA Server-Regel können Sie eine Regel definieren, die lediglich für diesen Satz von Benutzern gilt. Die verfügbaren Regelelemente werden angezeigt, wenn Sie den Knoten des ISA ServerComputers erweitern, auf Firewallrichtlinie klicken und im Aufgabenbereich die Registerkarte Toolbox auswählen. Es gibt fünf Typen von Regelelementen: Einführung 5 Protokolle. Dieses Regelelement enthält Protokolle, mit denen Sie die Anwendung der Zugriffsregeln beschränken können. Sie können beispielsweise den Zugriff für ein oder mehrere Protokolle anstatt für alle Protokolle gewähren oder verweigern. Benutzer. Mit diesem Regelelement können Sie einen Benutzersatz definieren, auf den eine Regel ausdrücklich angewendet wird oder der aus der Regelanwendung ausgeschlossen werden kann. Inhaltstypen. Dieses Regelelement beschreibt häufig vorkommende Inhaltstypen, auf die Regeln angewendet werden können. Es können auch neue Inhaltstypen definiert werden. Zeitpläne. Mit diesem Regelelement können Sie festlegen, an welchen Stunden der Woche eine Regel gelten soll. Netzwerkobjekte. Mit diesem Regelelement können Sie einen Sätze von Computern oder URLs definieren, auf die eine Regel ausdrücklich angewendet wird oder die aus der Regelanwendung ausgeschlossen werden. Weitere Informationen finden Sie unter Netzwerkobjekte. Sie werden in den in diesem Dokument beschriebenen Lösungen für den Internetzugriff folgende Regelelemente verwenden: Netzwerkobjekte, einschließlich URL-Sätze, Computersätze und Subnetze Benutzer und Benutzersätze Inhaltstypen Zeitpläne Netzwerkobjekte Mit Regelelementen des Typs Netzwerkobjekt können Computer und URLs auf verschiedene Weise abgebildet werden. Netzwerk Ein Regelelement des Typs Netzwerk repräsentiert ein Netzwerk, in dem sämtliche Computer (direkt oder über einen oder mehrere Router) mit einem einzelnen Netzwerkadapter des ISA Server-Computers verbunden sind. Netzwerke werden über den Knoten Netzwerke der ISA Server-Verwaltung definiert. Netzwerksatz Ein Regelelement des Typs Netzwerksatz stellt eine Gruppierung von einem oder mehreren Netzwerken dar. Dieses Regelelement kann verwendet werden, um Regeln auf mehr als ein Netzwerk anzuwenden. Ein Beispiel für diesen Regelelementtyp ist der Netzwerksatz Alle Netzwerke, der während der Installation von ISA Server erstellt wird. Computer Ein Regelelement des Typs Computer repräsentiert einen einzelnen Computer, der durch seine IP-Adresse identifiziert wird. Computersatz Ein Regelelement des Typs Computersatz ist ein Satz von einem oder mehreren Regelelementen des Typs Computer. 6 Kontrollieren des sicheren Internetzugriffs mit ISA Server 2004 Adressbereich Bei einem Regelelement des Typs Adressbereich handelt es sich um einen Satz von Computern, der durch einen fortlaufenden Bereich von IP-Adressen gekennzeichnet wird. Subnetz Ein Regelelement des Typs Subnetz repräsentiert ein Subnetz eines Netzwerks, das durch eine Netzwerkadresse und eine Netzwerkmaske (d. h. die Anzahl der signifikanten Bits) angegeben wird. URL-Satz Ein Regelelement des Typs URL-Satz ist ein Satz von URLs, wie beispielsweise http://www.adatum.com oder http://www.fabrikam.com/tools/*. Domänennamensatz Bei einem Regelelement des Typs Domänensatz handelt es sich um einen Satz von einem oder mehreren Domänennamen im Format www.fabrikam.com. Weblistener Ein Regelelement des Typs Weblistener ist eine IP-Adresse, an der der ISA Server-Computer Webanforderungen abhört. Dieser Regelelementtyp wird nicht in Zugriffsregeln für die Kontrolle des Internetzugriffs sondern in Webveröffentlichungsregeln verwendet. Webproxy-Eigenschaften Sie können für jedes Netzwerk, für das der ISA Server-Computer den Internetzugriff bereitstellt, Webproxy-Eigenschaften konfigurieren. Im Rahmen der WebproxyEigenschaften können Sie festlegen, dass sich Webclients authentifizieren müssen. Das Festlegen von Webproxy-Eigenschaften wird in diesem Dokument in Anhang D: Konfigurieren von Webproxy-Eigenschaften beschrieben. Webverkettung Zugriffsregeln legen fest, welche Art des Zugriffs zulässig ist. Durch die Webverkettung wird festgelegt, wie dieser Zugriff erlangt wird. Dies betrifft speziell Situationen, in denen sich andere Webproxycomputer zwischen dem ISA Server-Computer und dem Internetgateway des Unternehmens befinden. Informationen zum Konfigurieren der Webverkettung finden Sie in diesem Dokument in Anhang E: Konfigurieren der Webverkettung. Szenarien Es gibt viele Szenarien, in denen die Kontrolle des Internetzugriffs von großer Bedeutung ist: Striktes Beschränken der begrenzten Bandbreite auf Unternehmenszwecke. In diesem Szenario können Sie den Internetzugriff auf bestimmte Websites einschränken, die für den Geschäftsablauf von Belang sind. Lösungen 7 Weniger striktes Beschränken der begrenzten Bandbreite bzw. Reduzieren der Zeit, die Mitarbeiter für Internetrecherchen aufwenden, durch Sperren bestimmter Websites. Sperren bestimmter Inhaltstypen, da diese entweder für Ihr Unternehmen nicht relevant sind oder weil sie zuviel Brandbreite erfordern. Zulassen unterschiedlicher Ebenen des Internetzugriffs für verschiedene Benutzergruppen. Sperren bestimmter Websites aus rechtlichen Gründen, beispielsweise Websites, die dem privaten Dateiaustausch dienen. Kontrolle des Internetzugriffs in Situationen, in denen Mitarbeiter ihre Computer nicht sperren, um unbefugte Benutzer an Internetzugriffen zu hindern. Reduzieren der Internetverwendung während der Arbeitszeit durch Beschränken der Zeiträume, innerhalb derer Internetzugriffe zulässig sind. Lösungen Die Lösungen zu allen aufgeführten Szenarien beruhen auf der Flexibilität der Zugriffsregeln, d. h. der Regeln von ISA Server 2004, mit denen der Ressourcenzugriff (hier der Internetzugriff) gesteuert wird. Zum Erstellen von Zugriffsregeln verwenden Sie Regelelemente. Weitere Informationen hierzu finden Sie unter Zugriffsregeln und Regelelemente. Netzwerktopologie Um Internetzugriffe in einem Szenario mit einem internen Netzwerk zuzulassen, ist mindestens Folgendes erforderlich: Eine Verbindung zum Internet. In einer Testumgebung kann diese Verbindung von einem Webserver simuliert werden, der mit dem externen Netzwerkadapter des ISA Server-Computers verbunden ist. Dies könnte jedoch zur Folge haben, dass Sie die von Ihnen erstellten Zugriffsbeschränkungen nicht in vollem Umfang testen können. Ein Computer, der als ISA Server-Computer fungiert. Der ISA Server-Computer muss mit mindestens zwei Netzwerkadaptern ausgestattet sein. Ein Netzwerkadapter ist hierbei mit dem externen Netzwerk (welches das Internet repräsentiert) verbunden und der andere Netzwerkadapter mit dem internen Netzwerk. Wenn Ihre Lösung zusätzliche Netzwerke umfasst, beispielsweise ein zweites internes Netzwerk, muss jedem zusätzlichen Netzwerk am ISA Server-Computer ein eigener Netzwerkadapter zugeordnet sein. Die Konfiguration der Netzwerke (z. B. Anzahl der Computer, Benutzer und Subnetze) legt fest, welche Lösungsoptionen Sie in Ihr Szenario übernehmen können. Ein Computer in einem dem ISA Server-Computer nachgelagerten Netzwerk, für den der ISA Server-Computer als Standardgateway fungiert. 8 Kontrollieren des sicheren Internetzugriffs mit ISA Server 2004 Kurzanleitung zur Kontrolle des Internetzugriffs Anhand dieser Kurzanleitung können Sie die Schritte durchführen, die zum Kontrollieren des Internetzugriffs mit ISA Server erforderlich sind. Kurzanleitung zur Kontrolle des sicheren Internetzugriffs – Schritt 1: Sichern der aktuellen Konfiguration Es wird empfohlen, die aktuelle Konfiguration zu sichern, bevor Änderungen ausgeführt werden. Wenn die vorgenommenen Änderungen nicht zum gewünschten Ergebnis führen, kann die ursprüngliche, abgesicherte Konfiguration wiederhergestellt werden. Führen Sie die folgenden Schritte durch, um die Konfiguration des ISA Server-Computers zu sichern. 1. Klicken Sie mit der rechten Maustaste auf den Namen des ISA Server-Computers, und klicken Sie dann auf Sichern. 2. Geben Sie unter Konfiguration sichern den Speicherort und den Namen der Datei ein, in der die Konfiguration gespeichert werden soll. Zur einfacheren Identifizierung können Sie das Datum des Exportvorgangs in den Dateinamen einbeziehen, wie beispielsweise ExportSicherg2Juni2004. 3. Klicken Sie auf Sichern. Wenn Sie vertrauliche Informationen wie Benutzerkennwörter exportieren, werden Sie zur Eingabe eines Kennworts aufgefordert. Dieses Kennwort wird zum Wiederherstellen der Konfiguration aus der exportierten Datei benötigt. 4. Klicken Sie nach Abschluss des Sicherungsvorgangs auf OK. Anmerkung Da die XML-Datei als Sicherung dient, sollte eine Kopie dieser Datei auf einem anderen Computer gespeichert werden, damit eine Kopie zur NotfallWiederherstellung verfügbar ist. Kurzanleitung zur Kontrolle des sicheren Internetzugriffs – Schritt 2: Einrichten von ISA Server als Standardgateway zum Internet Damit der Internetzugriff mit ISA Server kontrolliert werden kann, muss der ISA ServerComputer für die zu reglementierenden Netzwerke als Standardgateway zum Internet fungieren. Andernfalls können die im Netzwerk eingebundenen Computer über ein anderes Gateway auf das Internet zugreifen und den ISA Server-Computer somit umgehen. Kurzanleitung zur Kontrolle des sicheren Internetzugriffs – Schritt 3: Konfigurieren der ISA Server-Lösungen Für jede Lösung wird auf dem ISA Server-Computer eins oder mehrere der folgenden Verfahren durchgeführt: Lösungen 9 Erstellen von Regelelementen. Dies wird in diesem Dokument in Anhang A: Erstellen von Regelelementen beschrieben. Entwerfen und Erstellen von Zugriffsregeln. In diesem Verfahren werden die für jede Regel verfügbaren Eigenschaften beschrieben. Eine Kurzanleitung zum Verwenden des Assistenten für neue Zugriffsregeln finden Sie in diesem Dokument in Anhang B: Verwenden des Assistenten für neue Zugriffsregeln. Konfigurieren der Webproxy-Eigenschaften. Dies ist insbesondere wichtig, wenn für Internetanforderungen eine Authentifizierung erforderlich sein soll. Die Eigenschafteneinstellungen werden jeweils im Abschnitt mit den entsprechenden Verfahrensschritten beschrieben. Nähere Einzelheiten über den Zugriff auf diese Eigenschaften finden Sie in diesem Dokument in Anhang D: Konfigurieren der Webproxy-Eigenschaften. Folgende Lösungen werden beschrieben: Zugriffskontrolle anhand eines Zeitplans und Benutzersatzes Zugriffskontrolle anhand der Netzwerkidentität Zugriffskontrolle anhand der Authentifizierung Zugriffskontrolle anhand des Inhaltstyps Zugriffskontrolle anhand eines Zeitplans Zugriffskontrolle anhand eines Zeitplans und Benutzersatzes In diesem Szenario gibt es im Unternehmen zwei Sätze von Benutzern. Einem Satz (den Managern) wird jederzeit unbeschränkter Zugriff auf das Internet gewährt. Dem anderen Satz (den Mitarbeitern) wird während der normalen Arbeitszeit nur der Zugriff auf Websites gewährt, die für ihre Arbeit relevant sind. Vor und nach der normalen Arbeitszeit sowie während der Mittagspause, jedoch nicht an den Wochenenden, erhalten sie unbeschränkten Zugriff. In diesem Szenario wird davon ausgegangen, dass alle Benutzer vom internen Netzwerk aus auf das Internet zugreifen. Für diese Lösung müssen zwei Zugriffsregeln erstellt werden. Bei der ersten Regel handelt es sich um eine Verweigerungsregel, mit der den Mitarbeitern während der normalen Arbeitszeit der Zugriff auf alle Internetsites außer den genehmigten Websites verweigert wird. Bei der zweiten Regel handelt es sich um eine Zulassungsregel, mit der allen Benutzern der Zugriff auf alle Websites gewährt wird. Wenn die Verweigerungsregel an erster Stelle steht, erhalten während der normalen Arbeitszeit nur die Manager uneingeschränkten Zugriff. Der Zugriff der Mitarbeiter hingegen wird während der Arbeitszeit auf die arbeitsbezogenen Websites beschränkt. Führen Sie zum Erstellen einer Lösung für dieses Szenario die folgenden Schritte durch. Die Verfahren zum Erstellen der Regelelemente Benutzersatz, URL-Satz und Zeitplan werden in diesem Dokument in Anhang A: Erstellen von Regelelementen beschrieben. Schritt 1: Erstellen der Benutzersätze Erstellen Sie den Benutzersatz Mitarbeiter, der alle Benutzer enthalten soll, die als Mitarbeiter gelten und nur über beschränkten Internetzugriff verfügen sollen. Schritt 2: Erstellen eines URL-Satzes Definieren Sie einen URL-Satz, der die arbeitsbezogenen Websites enthält, auf welche die Mitarbeiter während der normalen Arbeitszeit zugreifen dürfen. 10 Kontrollieren des sicheren Internetzugriffs mit ISA Server 2004 Schritt 3: Erstellen eines Zeitplans Erstellen Sie einen Zeitplan, der die normale Arbeitszeit der im Benutzersatz Mitarbeiter enthaltenen Benutzer repräsentiert. Zum Lieferumfang von ISA Server gehört ein Zeitplan mit dem Namen Normale Arbeitszeit, der möglicherweise Ihren Anforderungen genügt. Schritt 4: Erstellen einer Zugriffsregel, die jederzeit für alle Benutzer gilt Erstellen Sie eine Zugriffsregel, mit der allen Benutzern des internen Netzwerks uneingeschränkter Internetzugriff gewährt wird. Führen Sie die in diesem Dokument in Anhang B: Verwenden des Assistenten für neue Zugriffsregeln beschriebenen Schritte durch, und wählen Sie für die Eigenschaften die in der folgenden Tabelle dargestellten Einstellungen. Registerkarte Eigenschaft Einstellung Allgemein Name Internetzugriff für alle Allgemein Beschreibung Gewährt allen Benutzern uneingeschränkten Internetzugriff Allgemein Aktivieren Aktiviert Aktion Zulassen/Verweigern Zulassen Aktion HTTP-Anforderungen an diese Webseite umleiten Nicht aktiviert Aktion Anforderungen protokollieren, die mit dieser Regel übereinstimmen Aktivieren Sie dieses Kontrollkästchen, wenn ISA Server Anforderungen protokollieren soll, die den Regelbedingungen entsprechen. Protokolle Regel wird angewendet für Ausgewählte Protokolle: HTTP HTTPS FTP Von Diese Regel betrifft Datenverkehr von Netzwerk Intern diesen Quellen Von Ausnahmen Keine Nach Diese Regel betrifft Datenverkehr, der an diese Ziele gesendet wird Netzwerk Extern (das Internet) Nach Ausnahmen Keine Benutzer Diese Regel betrifft Anforderungen von folgenden Benutzersätzen Alle Benutzer Benutzer Ausnahmen Keine Zeitplan Zeitplan Immer Inhaltstypen Regel wird angewendet auf: Alle Inhaltstypen Ausgewählte Inhaltstypen Alle Inhaltstypen Schritt 5: Erstellen einer Verweigerungsregel für den Benutzersatz "Mitarbeiter" des Lösungen 11 internen Netzwerks Erstellen Sie eine Zugriffsregel für den Benutzersatz Mitarbeiter, um diesen Benutzern während der im Zeitplan Normale Arbeitszeit angegebenen Zeiträume den Zugriff auf das Internet mit Ausnahme der im URL-Satz genannten genehmigten Websites zu verweigern. Führen Sie die in diesem Dokument in Anhang B: Verwenden des Assistenten für neue Zugriffsregeln beschriebenen Schritte durch, und wählen Sie für die Eigenschaften die in der folgenden Tabelle dargestellten Einstellungen. Registerkarte Eigenschaft Einstellung Allgemein Name Verweigerungsregel für Internetzugriffe aus dem internen Netzwerk Allgemein Beschreibung Verweigert den Internetzugriff aus dem internen Netzwerk, ausgenommen Zugriffe auf bestimmte Websites Allgemein Aktivieren Aktiviert Aktion Zulassen/Verweigern Verweigern Aktion HTTP-Anforderungen an diese Webseite umleiten Optional – Sie können diese Option aktivieren und eine Webseite samt Pfad angeben. Aktion Anforderungen protokollieren, die mit dieser Regel übereinstimmen Aktivieren Sie dieses Kontrollkästchen, wenn ISA Server Anforderungen protokollieren soll, die den Regelbedingungen entsprechen. Protokolle Regel wird angewendet für Ausgewählte Protokolle: HTTP HTTPS FTP Von Diese Regel betrifft Datenverkehr von diesen Quellen Netzwerk Intern Von Ausnahmen Keine Nach Diese Regel betrifft Datenverkehr, der an diese Ziele gesendet wird Netzwerk Extern (das Internet) Nach Ausnahmen URL-Satz mit Websites, auf die während der Arbeitszeit zugegriffen werden darf Benutzer Diese Regel betrifft Anforderungen von folgenden Benutzersätzen Benutzersatz Mitarbeiter Benutzer Ausnahmen Keine Zeitplan Zeitplan Normale Arbeitszeit Inhaltstypen Regel wird angewendet auf: Alle Inhaltstypen Ausgewählte Inhaltstypen Alle Inhaltstypen Schritt 6: Festlegen der Regelreihenfolge 12 Kontrollieren des sicheren Internetzugriffs mit ISA Server 2004 Beim Erstellen von Zugriffsregeln müssen Sie stets die Regelreihenfolge berücksichtigen. In dieser Lösung muss die Regel, mit der den Mitarbeitern während der normalen Arbeitszeit der Zugriff verweigert wird, vor der Regel stehen, mit der allen Benutzern jederzeit uneingeschränkter Zugriff gewährt wird. Wenn diese Regel nicht an erster Stelle der Reihenfolge steht, liest ISA Server bei einer Anforderung von einem Benutzer im Benutzersatz Mitarbeiter zuerst die Regel, die den Zugriff zulässt. Damit wird während der normalen Arbeitszeit Zugriff auf das gesamte Internet gewährt. Zugriffskontrolle anhand der Netzwerkidentität In diesem Szenario gewähren Sie sämtlichen Benutzern des internen Netzwerks den Zugriff auf das Internet. Sie möchten jedoch, dass diese von ihren Computern am Arbeitsplatz aus nur auf Websites zugreifen können, die für ihre Arbeit relevant sind. Im Aufenthaltsraum für Mitarbeiter sind mehrere Computer verfügbar, von denen aus auch auf alle anderen Websites zugegriffen werden kann. Hierzu gibt es mindestens drei Lösungsansätze: Erstellen Sie eine Zulassungsregel, mit der den Computern im Aufenthaltsraum der Zugriff auf das gesamte Internet gewährt wird. Erstellen Sie eine Verweigerungsregel, um dem internen Netzwerk den Zugriff auf das Internet, mit Ausnahme der im URLSatz angegebenen zulässigen Websites, zu verweigern. Ändern Sie ggf. die Reihenfolge der Regeln, so dass die Zulassungsregel vor der Verweigerungsregel steht. Erstellen Sie zwei spezielle Zulassungsregeln: eine Regel für den Satz von Computern im Aufenthaltsraum, die Zugriffe auf das gesamte Internet zulässt, und eine Regel für das interne Netzwerk, die nur Zugriffe auf arbeitsbezogene Websites zulässt. Erstellen Sie eine Zulassungsregel für alle Computer des internen Netzwerks. Erstellen Sie eine Verweigerungsregel für einen Computersatz, der alle Computer des internen Netzwerks außer denen im Aufenthaltsraum umfasst. Diese Regel soll nur Zugriffe auf arbeitsbezogene Websites zulassen. Platzieren Sie die Verweigerungsregel vor der Zulassungsregel. Umgekehrtes Szenario Es kann auch die umgekehrte Situation vorliegen: ein internes Netzwerk, in dem der Internetzugriff nicht beschränkt ist, und Computer im Eingangsbereich, die überhaupt keinen Internetzugriff haben sollen. Erstellen Sie in diesem Fall einen Computersatz, der die Computer im Eingangsbereich umfasst, und eine Zulassungsregel, mit der dem internen Netzwerk Zugriff auf das externe Netzwerk gewährt wird, der Computersatz mit den Computern aus dem Eingangsbereich jedoch auf der Registerkarte Von unter Ausnahmen aufgelistet ist. Die vorgestellte Lösung ist die erste Option, da es einfacher ist, einen kleinen Computersatz mit den Computern aus dem Aufenthaltsraum zu erstellen, als einen Computersatz, der alle anderen Computer des internen Netzwerks umfasst. Führen Sie zum Erstellen der Lösung die folgenden Schritte durch. Die Verfahren zum Erstellen der Regelelemente vom Typ Netzwerkidentität und URL-Satz werden in diesem Dokument in Anhang A: Erstellen von Regelelementen beschrieben. Schritt 1: Erstellen der Netzwerkidentität Lösungen 13 Bei der von Ihnen erstellten Netzwerkidentität handelt es sich um einen Satz von IPAdressen, der eine Teilmenge des in ISA Server definierten Netzwerks enthält. In diesem Beispiel definieren Sie einen Computersatz, der die im Aufenthaltsraum befindlichen Computer enthält, also eine Gruppe von Computern des internen Netzwerks. Schritt 2: Erstellen eines URL-Satzes Definieren Sie einen URL-Satz, der die arbeitsbezogenen Websites enthält, auf die von allen Computern aus zugegriffen werden kann. Schritt 3: Erstellen einer Verweigerungsregel für das interne Netzwerk Erstellen Sie eine Verweigerungsregel für den Benutzersatz Mitarbeiter, um dem internen Netzwerk den Zugriff auf das Internet, mit Ausnahme der im URL-Satz angegebenen zulässigen Websites, zu verweigern. Führen Sie die in diesem Dokument in Anhang B: Verwenden des Assistenten für neue Zugriffsregeln beschriebenen Schritte durch, und wählen Sie für die Eigenschaften die in der folgenden Tabelle dargestellten Einstellungen. Registerkarte Eigenschaft Einstellung Allgemein Name Verweigerungsregel für Internetzugriffe aus dem internen Netzwerk Allgemein Beschreibung Verweigert den Internetzugriff aus dem internen Netzwerk, ausgenommen Zugriffe auf bestimmte Websites Allgemein Aktivieren Aktiviert Aktion Zulassen/Verweigern Verweigern Aktion HTTP-Anforderungen an diese Webseite umleiten Optional – Sie können diese Option aktivieren und eine Webseite samt Pfad angeben. Aktion Anforderungen protokollieren, die mit dieser Regel übereinstimmen Aktivieren Sie dieses Kontrollkästchen, wenn ISA Server Anforderungen protokollieren soll, die den Regelbedingungen entsprechen. Protokolle Regel wird angewendet für Ausgewählte Protokolle: HTTP HTTPS FTP Von Diese Regel betrifft Datenverkehr von diesen Quellen Netzwerk Intern Von Ausnahmen Keine Nach Diese Regel betrifft Datenverkehr, der an diese Ziele gesendet wird Netzwerk Extern (das Internet) Nach Ausnahmen URL-Satz mit arbeitsbezogenen Websites Benutzer Diese Regel betrifft Anforderungen von folgenden Benutzersätzen Alle Benutzer Benutzer Ausnahmen Keine 14 Kontrollieren des sicheren Internetzugriffs mit ISA Server 2004 Registerkarte Eigenschaft Einstellung Zeitplan Zeitplan Immer Inhaltstypen Regel wird angewendet auf: Alle Inhaltstypen Ausgewählte Inhaltstypen Alle Inhaltstypen Schritt 4: Erstellen einer Zulassungsregel für den Computersatz "Aufenthaltsraum" Erstellen Sie eine Zulassungsregel, mit der sämtlichen Benutzern über den Computersatz Aufenthaltsraum jederzeit uneingeschränkter Zugriff auf das Internet gewährt wird. Führen Sie die in diesem Dokument in Anhang B: Verwenden des Assistenten für neue Zugriffsregeln beschriebenen Schritte durch, und wählen Sie für die Eigenschaften die in der folgenden Tabelle dargestellten Einstellungen. Registerkarte Eigenschaft Einstellung Allgemein Name Zulassungsregel für den Internetzugriff aus dem Aufenthaltsraum Allgemein Beschreibung Gewährt allen Benutzern der Computer im Aufenthaltsraum uneingeschränkten Internetzugriff Allgemein Aktivieren Aktiviert Aktion Zulassen/Verweigern Zulassen Aktion HTTP-Anforderungen an diese Webseite umleiten Nicht aktiviert Aktion Anforderungen protokollieren, die mit dieser Regel übereinstimmen Aktivieren Sie dieses Kontrollkästchen, wenn ISA Server Anforderungen protokollieren soll, die den Regelbedingungen entsprechen. Protokolle Regel wird angewendet für Ausgewählte Protokolle: HTTP HTTPS FTP Von Diese Regel betrifft Datenverkehr von diesen Quellen Computersatz Aufenthaltsraum Von Ausnahmen Keine Nach Diese Regel betrifft Datenverkehr, der an diese Ziele gesendet wird Netzwerk Extern (das Internet) Nach Ausnahmen Keine Benutzer Diese Regel betrifft Anforderungen von folgenden Benutzersätzen Alle Benutzer Benutzer Ausnahmen Keine Zeitplan Zeitplan Immer Lösungen 15 Registerkarte Inhaltstypen Eigenschaft Regel wird angewendet auf: Alle Inhaltstypen Ausgewählte Inhaltstypen Einstellung Alle Inhaltstypen Anmerkung Am wichtigsten in dieser Aufstellung ist das Festlegen des Computersatzes Aufenthaltsraum für die Eigenschaft Von. Schritt 5: Festlegen der Regelreihenfolge Beim Erstellen von Zugriffsregeln müssen Sie stets die Regelreihenfolge berücksichtigen. Wenn die Verweigerungsregel der Zulassungsregel vorangeht, verarbeitet ISA Server die Verweigerungsregel zuerst und verweigert die Anforderung, auch wenn sie von einem Computer im Aufenthaltsraum stammt. Steht die Zulassungsregel vor der Verweigerungsregel, wird sie zuerst verarbeitet. Anforderungen von den Computern im Aufenthaltsraum werden dann zugelassen. Von anderen Computern gesendete Anforderungen, die sich nicht auf arbeitsbezogene, genehmigte Websites beziehen, werden in der Zulassungsregel nicht berücksichtigt und dann durch die Verweigerungsregel verweigert. Zugriffskontrolle anhand der Authentifizierung In diesem Szenario ist der physische Zugriff auf die Firmencomputer nicht immer gesichert. Beispielsweise hat das Wartungspersonal Zugang zu allen Büros, und die Mitarbeiter vergessen möglicherweise, ihre Computer abends zu sperren. Aus diesem Grund ist es wünschenswert, dass sich Benutzer authentifizieren, wenn sie eine Verbindung zum Internet herstellen. Schritt 1: Erstellen einer Zugriffsregel Erstellen Sie eine Zugriffsregel, die allen Benutzern Zugriff auf das Internet gewährt. Die entsprechende Vorgehensweise wird in diesem Dokument unter Erstellen einer Zugriffsregel, die jederzeit für alle Benutzer gilt beschrieben. Wenn Sie zusätzliche Beschränkungen festlegen möchten, können Sie auch Regeln definieren, die in anderen Lösungen in diesem Dokument beschrieben werden. Schritt 2: Erzwingen der Authentifizierung Sie können fordern, dass sich alle Webproxyclients in Netzwerken, die Webanforderungen über ISA Server an das Internet senden, authentifizieren müssen. Legen Sie dies in den Webproxy-Eigenschaften fest. Entsprechende Anweisungen finden Sie in diesem Dokument in Anhang D: Konfigurieren von Webproxy-Eigenschaften. Zugriffskontrolle anhand des Inhaltstyps In diesem Szenario müssen Sie die Verwendung begrenzter Bandbreite auf geschäftliche Zwecke beschränken und möchten daher den Zugriff auf Video- und Audiodateien verhindern, die sehr viel Bandbreite erfordern. Es gibt zwei Lösungsansätze für dieses Szenario: 16 Kontrollieren des sicheren Internetzugriffs mit ISA Server 2004 Erstellen Sie eine Zulassungsregel, die allen Benutzern ausnahmslos uneingeschränkten Zugriff auf das Internet gewährt, und definieren dann eine Verweigerungsregel, um allen Benutzern den Zugriff auf bestimmte Inhaltstypen zu verweigern. Vergewissern Sie sich, dass die Verweigerungsregel in der Regelreihenfolge vor der Zulassungsregel steht. Erstellen Sie eine Zulassungsregel, mit der allen Benutzern Zugriff auf das Internet gewährt wird, wobei der Zugriff jedoch auf bestimmte Inhaltstypen beschränkt ist. In Folgenden wird der zweite Ansatz beschrieben, da dieser nur eine Zulassungsregel erfordert. Führen Sie die in diesem Dokument in Anhang B: Verwenden des Assistenten für neue Zugriffsregeln beschriebenen Schritte durch, und wählen Sie für die Eigenschaften die in der folgenden Tabelle dargestellten Einstellungen. Wichtig Sie können Inhaltstypen nicht während der Regelerstellung festlegen. Sie müssen diese Einstellung im Dialogfeld Eigenschaften der entsprechenden Regel vornehmen. Nachdem Sie die Regel mit dem Assistenten für neue Zugriffsregeln erstellt haben, suchen Sie die Regel im Detailbereich Firewallrichtlinie. Doppelklicken Sie dann darauf, um das zugehörige Dialogfeld Eigenschaften zu öffnen. Klicken Sie auf die Registerkarte Inhaltstypen, und nehmen Sie dann die nötigen Änderungen vor. Registerkarte Eigenschaft Einstellung Allgemein Name Zulassungsregel für den Internetzugriff aus dem internen Netzwerk, außer auf Audio- und Videodateien Allgemein Beschreibung Zulassen des Internetzugriffs auf alle Inhaltstypen außer Audio und Video aus dem internen Netzwerk Allgemein Aktivieren Aktiviert Aktion Zulassen/Verweigern Zulassen Aktion HTTP-Anforderungen an diese Webseite umleiten Optional – Sie können diese Option aktivieren und eine Webseite samt Pfad angeben. Aktion Anforderungen protokollieren, die mit dieser Regel übereinstimmen Aktivieren Sie dieses Kontrollkästchen, wenn ISA Server Anforderungen protokollieren soll, die den Regelbedingungen entsprechen. Protokolle Regel wird angewendet für Ausgewählte Protokolle: HTTP HTTPS FTP Von Diese Regel betrifft Datenverkehr von diesen Quellen Netzwerk Intern Von Ausnahmen Keine Lösungen 17 Nach Diese Regel betrifft Datenverkehr, der an diese Ziele gesendet wird Netzwerk Extern (das Internet) Nach Ausnahmen Keine Benutzer Diese Regel betrifft Anforderungen von folgenden Benutzersätzen Alle Benutzer Benutzer Ausnahmen Keine Zeitplan Zeitplan Immer Inhaltstypen Regel wird angewendet auf: Alle Inhaltstypen Ausgewählte Inhaltstypen Ausgewählte Inhaltstypen (Wählen Sie alle Inhaltstypen außer Audio und Video aus.) Zugriffskontrolle anhand eines Zeitplans In diesem Szenario möchten Sie sicherstellen, dass Mitarbeiter, die nachts arbeiten und nicht zum Stammpersonal gehören (z. B. das Sicherheits- oder Wartungspersonal) nicht über Computer, die abends versehentlich nicht gesperrt wurden, auf das Internet zugreifen können. Führen Sie zum Erstellen einer Lösung für dieses Szenario folgende Schritte durch. Schritt 1: Erstellen eines Zeitplans Erstellen Sie einen Zeitplan, der die Zeiträume umfasst, innerhalb derer sich nur befugtes Personal in der Firma befindet. Beispielsweise umfasst dieser Zeitplan für alle Werktage den Zeitraum zwischen 07:00 und 21:00 Uhr. Schritt 2: Erstellen einer Zugriffsregel Erstellen Sie eine Zugriffsregel, mit der allen Benutzern nur während der im neu erstellten Zeitplan festgelegten Zeiten Internetzugriff gewährt wird. Kurzanleitung zur Kontrolle des sicheren Internetzugriffs – Schritt 4: Anzeigen von Internetzugriffsdaten in der ISA ServerProtokollierung Wenn Sie im Dialogfeld Eigenschaften für eine Zugriffsregel auf der Registerkarte Aktion die Option Anforderungen protokollieren, die mit dieser Regel übereinstimmen aktivieren, protokolliert ISA Server alle Anforderungen, die mit der betreffenden Regel übereinstimmen. Führen Sie die folgenden Schritte durch, um die im Protokoll enthaltenen Informationen anzuzeigen: 1. Wählen Sie in der Konsolenstruktur der Microsoft ISA Server-Verwaltung die Option Überwachung aus. 2. Wählen Sie im Detailbereich Überwachung die Registerkarte Protokollierung aus. 3. Erstellen Sie einen Filter, damit nur die Protokollierungsdaten zu Internetzugriffsversuchen angezeigt werden. Klicken Sie im Aufgabenbereich auf der Registerkarte Aufgaben auf Filter bearbeiten, um das Dialogfeld Filter bearbeiten zu öffnen. Der Filter verfügt über drei Standardbedingungen, die festlegen, dass die 18 Kontrollieren des sicheren Internetzugriffs mit ISA Server 2004 Protokollierungszeit auf Aktuell eingestellt ist, dass sowohl Protokolldaten vom Firewall als auch vom Webproxy bereitgestellt werden und dass der Verbindungsstatus nicht ausgegeben wird. Sie können diese Bedingungen bearbeiten und zusätzliche Bedingungen hinzufügen, um die Daten weiter einzuschränken, die während der Abfrage abgerufen werden. 4. Wählen Sie beispielsweise Protokollierungszeit aus. Wählen Sie im Dropdownmenü Bedingung die Option Letzte 24 Stunden aus, und klicken Sie dann auf Aktualisieren. Anmerkung Änderungen an Protokollfilterausdrücken und von Ihnen neu definierte Ausdrücke werden erst dann gespeichert, wenn Sie im Dialogfeld Filter bearbeiten auf Abfrage starten klicken. 5. Wählen Sie Protokolldatensatztyp aus. Wählen Sie im Dropdownmenü Wert die Option Webproxyfilter aus, und klicken Sie dann auf Aktualisieren. 6. Klicken Sie auf Abfrage starten. Der Befehl Abfrage starten ist auch im Aufgabenbereich auf der Registerkarte Aufgaben verfügbar. Durch die von Ihnen vorgenommenen Änderungen werden die im Protokoll enthaltenen Daten möglicherweise ausreichend eingegrenzt. Sie können die anzuzeigende Datenmenge jedoch noch weiter einschränken, indem Sie einen weiteren Filterausdruck hinzufügen. Dies wird im Folgenden beschrieben. 7. Klicken Sie im Aufgabenbereich auf der Registerkarte Aufgaben auf Filter bearbeiten, um das Dialogfeld Filter bearbeiten zu öffnen. Um einen weiteren Ausdruck hinzuzufügen, wählen Sie im Dropdownmenü Filtern nach einen Eintrag aus, und geben Sie dann eine Bedingung und einen Wert an. Die folgende Tabelle enthält einige Beispiele. Filtern nach Bedingung Wert Wirkung Client-IP Gleich IP-Adresse eines Clientcomputers Dient zum Anzeigen des Protokolls der Internetzugriffsversuch e eines bestimmten Clientcomputers. Clientbenutzername Gleich Name eines Benutzers Dient zum Anzeigen des Protokolls der Internetzugriffsversuch e eines bestimmten Benutzers. Zielhostname Gleich Name des Zielhosts Dient zum Anzeigen des Protokolls der Zugriffsversuche auf einen bestimmten Host. Ziel-IP Gleich IP-Adresse eines Zielhosts Dient zum Anzeigen des Protokolls der Zugriffsversuche auf einen bestimmten Host. Lösungen 19 8. Protokoll Gleich Ein Protokoll Dient zum Anzeigen des Protokolls der Zugriffsversuche, die unter Verwendung eines bestimmten Protokolls (z B. HTTPS) erfolgten. URL Gleich Ein URL Dient zum Anzeigen des Protokolls der Zugriffsversuche auf einen bestimmten URL. URL Enthält Ein URL Dient zum Anzeigen des Protokolls der Zugriffsversuche auf URLs, die eine bestimmte Zeichenfolge enthalten, z. B. gluecksspiel. Nach der Erstellung eines Ausdrucks klicken Sie auf Zur Liste hinzufügen, um ihn zur Abfragenliste hinzuzufügen. Klicken Sie dann auf Abfrage starten, um die Abfrage durchzuführen. Sie müssen auf Abfrage starten klicken, damit die vorgenommenen Änderungen gespeichert werden. Kurzanleitung zur Kontrolle des sicheren Internetzugriffs – Schritt 5: Erstellen eines Internetzugriffsberichts Sie können Berichte erstellen, in denen die über den ISA Server-Computer erfolgten Internetzugriffe zusammengefasst werden. Sie können sowohl einen sich wiederholenden Bericht erstellen, der in der von Ihnen angegebenen Häufigkeit ausgeführt wird, als auch einen nur einmal zusammengestellten Bericht. Führen Sie zum einmaligen Erstellen von Berichten die folgenden allgemeinen Schritte durch. 1. Wählen Sie in der Konsolenstruktur der Microsoft ISA Server-Verwaltung die Option Überwachung aus. 2. Wählen Sie im Detailbereich Überwachung die Registerkarte Berichte aus. 3. Wählen Sie auf der Registerkarte Aufgaben die Option Neuen Bericht erstellen aus, um den Assistenten für neue Berichte zu starten. 4. Geben Sie auf der Seite Willkommen einen Namen für den Bericht an, z. B. Internetzugriffsbericht für Datum. 5. Wählen Sie auf der Seite Berichtinhalt die Option Webnutzung aus (die anderen Typen dürfen nicht ausgewählt sein), und klicken Sie auf Weiter. Informationen zu anderen Berichttypen finden Sie in der ISA Server-Hilfe. 6. Legen Sie auf der Seite Berichtzeitraum mithilfe der Felder Startdatum und Enddatum den Zeitraum fest, der durch den Bericht abgedeckt wird. 20 Kontrollieren des sicheren Internetzugriffs mit ISA Server 2004 7. Auf der Seite Berichtveröffentlichung können Sie die Option Berichte in einem Verzeichnis veröffentlichen auswählen und ein Verzeichnis angeben, in dem die Berichte im HTML-Format gespeichert werden sollen. Wenn Sie einen Bericht in einem freigegebenen Verzeichnis veröffentlichen, können andere Benutzer, die Zugriff auf dieses Verzeichnis haben, den Bericht anzeigen. Wenn Sie den Bericht nicht veröffentlichen, kann er nur auf dem ISA Server-Computer angezeigt werden. Klicken Sie auf Weiter. 8. Auf der Seite E-Mail-Benachrichtigung senden können Sie Optionen auswählen, die sich auf das Senden von E-Mail-Nachrichten nach der Fertigstellung des Berichts beziehen. Klicken Sie dann auf Weiter. 9. Überprüfen Sie die Angaben auf der Zusammenfassungsseite, und klicken Sie dann auf Fertig stellen. Der Bericht wird im Detailbereich Überwachung auf der Registerkarte Berichte angezeigt. Führen Sie zum Erstellen eines sich wiederholenden Berichts die folgenden allgemeinen Schritte durch. 1. Wählen Sie in der Konsolenstruktur der Microsoft ISA Server-Verwaltung die Option Überwachung aus. 2. Wählen Sie im Detailbereich Überwachung die Registerkarte Berichte aus. 3. Wählen Sie auf der Registerkarte Aufgaben die Option Berichtaufträge erstellen und konfigurieren aus, um das Dialogfeld Eigenschaften von Berichtaufträgen zu öffnen. 4. Klicken Sie auf Hinzufügen, um den Assistenten für neue Berichtaufträge zu starten. 5. Geben Sie auf der Seite Willkommen einen Namen für den Bericht an, z. B. Wöchentlicher Internetzugriffsbericht. 6. Wählen Sie auf der Seite Berichtinhalt die Option Webnutzung aus (die anderen Typen dürfen nicht ausgewählt sein), und klicken Sie auf Weiter. Informationen zu anderen Berichttypen finden Sie in der ISA Server-Hilfe. 7. Wählen Sie auf der Seite Berichtauftragszeitplan aus, wie oft der Bericht erstellt werden soll. Ein täglicher Bericht umfasst die Aktivitäten eines Tages, ein wöchentlicher Bericht die Aktivitäten einer Woche und ein monatlicher Bericht die Aktivitäten eines Monats. Beachten Sie, dass monatliche Berichte in bestimmten Monaten unter Umständen nicht erstellt werden, wenn Sie monatliche Berichte am Monatsende erstellen lassen. Beispielsweise wird ein am 29. zu erstellender Bericht im Februar nur in Schaltjahren erstellt. Um den gesamten Kalendermonat abzudecken, lassen Sie den Bericht am Ersten des Monats erstellen. Da der Bericht am 01:00 Uhr erstellt wird, enthält er die Aktivitäten des gesamten Monats. 8. Auf der Seite Berichtveröffentlichung können Sie die Option Berichte in einem Verzeichnis veröffentlichen auswählen und ein Verzeichnis angeben, in dem die Berichte im HTML-Format gespeichert werden sollen. Wenn Sie einen Bericht in einem freigegebenen Verzeichnis veröffentlichen, können andere Benutzer, die Zugriff auf dieses Verzeichnis haben, den Bericht anzeigen. Wenn Sie den Bericht nicht veröffentlichen, kann er nur auf dem ISA Server-Computer angezeigt werden. Klicken Sie auf Weiter. 9. Auf der Seite E-Mail-Benachrichtigung senden können Sie Optionen auswählen, die sich auf das Senden von E-Mail-Nachrichten nach der Fertigstellung des Berichts beziehen. Klicken Sie dann auf Weiter. Lösungen 21 10. Überprüfen Sie die Angaben auf der Zusammenfassungsseite, und klicken Sie dann auf Fertig stellen. Nachdem der Bericht erzeugt wurde, wird er im Detailbereich Überwachung auf der Registerkarte Berichte angezeigt. Anhang A: Erstellen von Regelelementen Führen Sie zum Erstellen eines Regelelements dieses allgemeine Verfahren durch. 1. Erweitern Sie die Microsoft ISA Server-Verwaltung. 2. Erweitern Sie den Knoten des ISA Server-Computers. 3. Wählen Sie Firewallrichtlinie und im Aufgabenbereich die Registerkarte Toolbox aus. 4. Wählen Sie den Regelelementtyp aus, indem Sie auf das entsprechende Element klicken. 5. Klicken Sie an der obersten Position der Elementliste auf Neu. Wenn mehrere Regelelementtypen zur Auswahl stehen, wie dies bei Netzwerkobjekten der Fall ist, wird eine Dropdownliste angezeigt, und Sie können den zu erstellenden Elementtyp auswählen. 6. Geben Sie die Informationen ein, die im Assistenten oder Dialogfeld angegeben werden müssen. Nachdem Sie den Assistenten abgeschlossen oder im Dialogfeld auf OK geklickt haben, wird das neue Regelelement erstellt. 7. Klicken Sie im Detailbereich auf Übernehmen, um die Änderungen zu übernehmen. Sie können auch erst nach dem Erstellen der Zugriffsregeln auf Übernehmen klicken, d. h. nicht nach jeder Änderung sondern erst, nachdem alle Änderungen vorgenommen wurden. Das Übernehmen der Änderungen kann einige Zeit in Anspruch nehmen. Anhang B: Verwenden des Assistenten für neue Zugriffsregeln Diese Anleitung stellt eine allgemeine Beschreibung des Assistenten für neue Zugriffsregeln dar. 1. Wählen Sie in der Konsolenstruktur der ISA Server-Verwaltung die Option Firewallrichtlinie aus. 2. Wählen Sie im Aufgabenbereich auf der Registerkarte Aufgaben die Option Neue Zugriffsregel erstellen aus, um den Assistenten für neue Zugriffsregeln zu starten. 3. Geben Sie auf der Seite Willkommen des Assistenten den Namen der Zugriffsregel ein. Wählen Sie einen aussagekräftigen Namen, beispielsweise Internetzugriff für Mitarbeiter während der Arbeitszeit, und klicken Sie dann auf Weiter. 4. Wählen Sie auf der Seite Regelaktion die Option Zulassen aus, wenn Sie den Zugriff zulassen möchten, oder wählen Sie Verweigern aus, wenn Sie den Zugriff verweigern möchten. Klicken Sie dann auf Weiter. 5. Auf der Seite Protokolle wird für Regel wird angewendet für die Standardeinstellung Alle ausgehenden Protokolle angezeigt. Wählen Sie Ausgewählte Protokolle aus und klicken Sie auf die Schaltfläche Hinzufügen, um mithilfe des Dialogfelds Protokolle hinzufügen bestimmte Webprotokolle hinzuzufügen, beispielsweise HTTP, HTTPS und FTP. Klicken Sie anschließend auf Weiter. 6. Klicken Sie auf der Seite Zugriffsregelquellen auf Hinzufügen, um das Dialogfeld Netzwerkidentitäten hinzufügen zu öffnen. Klicken Sie auf die Kategorie, für die Sie eine Zugriffsregel erstellen möchten, wählen Sie das betreffende Objekt aus, klicken Sie 22 Kontrollieren des sicheren Internetzugriffs mit ISA Server 2004 auf Hinzufügen (wiederholen Sie diesen Schritt, um weitere Netzwerkobjekte hinzuzufügen), und klicken Sie dann auf Schließen. Klicken Sie auf der Seite Zugriffsregelquellen auf Weiter. 7. Klicken Sie auf der Seite Zugriffsregelziele auf Hinzufügen, um das Dialogfeld Netzwerkidentitäten hinzufügen zu öffnen. Klicken Sie auf Netzwerke, wählen Sie Externes Netzwerk (für das Internet) aus, klicken Sie auf Hinzufügen und dann auf Schließen. Klicken Sie auf der Seite Zugriffsregelziele auf Weiter. 8. Wenn die Regel für alle Benutzer gelten soll, können Sie auf der Seite Benutzersätze die Einstellung Alle Benutzer beibehalten und mit der nächsten Seite des Assistenten fortfahren. Wenn die Regel nur für bestimmte Benutzer gilt, wählen Sie Alle Benutzer aus, und klicken Sie dann auf Entfernen. Klicken Sie dann auf die Schaltfläche Hinzufügen, um das Dialogfeld Benutzer hinzufügen zu öffnen, in dem Sie den Benutzersatz auswählen können, für den diese Regel gelten soll. Im Dialogfeld Benutzer hinzufügen kann über das Menüelement Neu auf den Assistenten für neue Benutzersätze zugegriffen werden. Klicken Sie nach abgeschlossener Auswahl des Benutzersatzes auf Weiter. 9. Überprüfen Sie die Angaben auf der Zusammenfassungsseite des Assistenten, und klicken Sie dann auf Fertig stellen. 10. Klicken Sie im Detailbereich Firewallrichtlinie auf Übernehmen, um die neue Zugriffsregel zu übernehmen. Das Übernehmen der Regel kann einige Zeit in Anspruch nehmen. Bringen Sie die Zugriffsregeln in die gewünschte Reihenfolge, so dass sie ihrer Internetzugriffsrichtlinie entsprechen. Wenn Sie die Reihenfolge ändern, müssen Sie erneut auf Übernehmen klicken, um die Änderungen zu übernehmen. Anhang C: Konfigurieren der HTTP-Richtlinie Verschiedene Eigenschaften können im Assistenten für neue Zugriffsregeln nicht eingestellt werden. Nach dem Erstellen einer Zugriffsregel können Sie alle Eigenschaften der Regel anzeigen und bearbeiten, indem Sie im Detailbereich Firewallrichtlinie auf die Regel doppelklicken. HTTP-Richtlinie ist eine dieser Eigenschaften. Sie können damit HTTPEinstellungen für Anforderungen konfigurieren, die mit einer bestimmten Zulassungsregel übereinstimmen. ISA Server ist ein Firewall auf Anwendungsebene, der Anwendungsfilter auf HTTPDatenverkehr anwendet. Da ISA Server HTTP-Anforderungen überprüfen kann, können Anwendungen, deren Datenverkehr durch HTTP getunnelt wird, abhängig von der Konfiguration des HTTP-Anwendungsfilters gesperrt werden. Mit dem HTTPAnwendungsfilter kann zudem genau kontrolliert werden, welche HTTP-Anforderungen von der Firewallrichtlinie zugelassen werden. Sie können mithilfe der HTTP-Richtlinie Anwendungen sperren, die über HTTP getunnelt werden, beispielsweise MessagingAnwendungen oder Peer-to-Peer-Anwendungen für den privaten Dateiaustausch. Die HTTP-Richtlinie umfasst die folgenden Einstellungen: Maximale Länge der Anforderungsheader Nutzlastlänge der Anforderung URL-Schutz Sperren ausführbarer Dateien Verweigerte Methoden Lösungen 23 Spezielle Aktionen für bestimmte Dateierweiterungen Verweigern bestimmter Header Ändern von Server- und Viaheadern Verweigern bestimmter Signaturen Führen Sie zum Konfigurieren der HTTP-Richtlinie folgende Schritte durch. 1. Klicken Sie im Dialogfeld Eigenschaften der Zugriffsregel auf die Registerkarte Protokolle. 2. Klicken Sie auf Filterung, und wählen Sie HTTP konfigurieren aus, um das Dialogfeld HTTP-Richtlinie für diese Regel konfigurieren zu öffnen. 3. Klicken Sie auf die gewünschte Registerkarte, und konfigurieren Sie die Richtlinieneinstellungen. Anhang D: Konfigurieren der Webproxy-Eigenschaften Mithilfe des folgenden Verfahrens können Sie die Webproxy-Eigenschaften so konfigurieren, dass sich Clients beim Versuch, auf das Internet zuzugreifen, authentifizieren müssen. Beachten Sie, dass sich beim Einsatz von Zugriffsregeln, die für bestimmte Benutzersätze gelten oder die bestimmte Benutzersätze ausschließen, die den Regelbedingungen entsprechenden Benutzer auch dann authentifizieren müssen, wenn die Webproxy-Eigenschaften keine Authentifizierung erfordern. Regeln, die für Alle Benutzer gelten, schreiben jedoch nur dann eine Authentifizierung vor, wenn Sie die folgenden Schritte durchführen. 1. Erweitern Sie in der Konsolenstruktur der ISA Server-Verwaltung den Knoten Konfiguration, und wählen Sie Netzwerke aus. 2. Doppelklicken Sie auf das Netzwerk, dessen Internetzugriffseigenschaften Sie konfigurieren möchten, um das zugehörige Dialogfeld Eigenschaften zu öffnen. Normalerweise handelt es sich hierbei um das interne Netzwerk. Wählen Sie die Registerkarte Webproxy aus. 3. Aktivieren Sie das Kontrollkästchen Webproxyclients aktivieren (dies ist für das interne Netzwerk die Standardeinstellung). 4. Klicken Sie auf Authentifizierung, um das gleichnamige Dialogfeld zu öffnen. Sie können in diesem Dialogfeld eine Authentifizierungsmethode auswählen. 5. Aktivieren Sie das Kontrollkästchen Authentifizierung ist für alle Benutzer erforderlich. 6. Klicken Sie zur Auswahl der für die Authentifizierung zu verwendenden Standarddomäne auf Domäne auswählen. Diese Option ist nur dann verfügbar, wenn die Authentifizierungsmethoden RADIUS, Standard oder Digest verwendet werden. Klicken Sie zur Auswahl der zur Authentifizierung zu verwendenden RADIUSServer auf RADIUS-Server. Klicken Sie auf OK, um das Dialogfeld Authentifizierung zu schließen, und dann nochmals auf OK, um das Dialogfeld Eigenschaften zu schließen. 24 Kontrollieren des sicheren Internetzugriffs mit ISA Server 2004 Anmerkung Bei Webproxyclients handelt es sich um beliebige CERN-konforme Webanwendungen. Anforderungen von Webproxyclients werden an den Microsoft-Firewalldienst auf dem ISA Server-Computer geleitet, um die Zulässigkeit eines Zugriffs zu ermitteln. Der Firewalldienst kann das angeforderte Objekt auch zwischenspeichern oder die Anforderung aus dem ISA Server-Cache bedienen. Wenn ISA Server eine HTTP-Anforderung erhält, wird der Client unabhängig vom Clienttyp wie ein Webproxyclient behandelt. Auch Firewallclients oder SecureNAT-Clients werden bei einer HTTP-Anforderung als Webproxyclients eingestuft. Anhang E: Konfigurieren der Webverkettung Zugriffsregeln legen fest, welche Art des Zugriffs zulässig ist. Durch die Webverkettung wird festgelegt, wie dieser Zugriff erlangt wird. Dies betrifft speziell Situationen, in denen sich andere Webproxycomputer zwischen dem ISA Server-Computer und dem Internetgateway des Unternehmens befinden. Konfigurieren der Webverkettung Führen Sie zum Konfigurieren der Webverkettung diese allgemeinen Schritte durch. 1. Erweitern Sie in der Konsolenstruktur der ISA Server-Verwaltung den Knoten Konfiguration, und wählen Sie Netzwerke aus. 2. Klicken Sie im Detailbereich Netzwerke auf die Registerkarte Webverkettung. 3. Klicken Sie im Aufgabenbereich auf der Registerkarte Aufgaben auf Neue Webverkettungsregel erstellen, um den Assistenten für neue Webverkettungsregeln zu starten. 4. Geben Sie auf der Seite Willkommen den Namen der Regel ein, und klicken Sie auf Weiter. 5. Klicken Sie auf der Seite Webverkettungsregelziel auf Hinzufügen, um das Dialogfeld Netzwerkidentitäten hinzufügen zu öffnen. Erweitern Sie Netzwerke, klicken Sie auf Extern, auf Hinzufügen und dann auf Schließen. Damit wird das externe Netzwerk (das Internet) als Ziel hinzugefügt, da Sie Internetanforderungen weiterleiten möchten. Klicken Sie auf der Seite Webverkettungsregelziel auf Weiter. 6. Wählen Sie auf der Seite Aktion anfordern aus, wie Anforderungen bearbeitet werden sollen: Anforderungen direkt vom angegebenen Ziel abrufen. Bei Auswahl dieser Option wird keine Webverkettung verwendet. Anforderungen an angegebenen Upstreamserver weiterleiten. Wenn Sie diese Option auswählen, müssen Sie auf der nächsten Seite des Assistenten Informationen zu dem auf der Seite Primäres Routing angegebenen Upstreamserver festlegen. Fahren Sie wie in Schritt 8 beschrieben fort. Lösungen 25 Anmerkung Delegieren der Standardauthentifizierung Wenn Sie Anforderungen an angegebenen Upstreamserver weiterleiten auswählen, müssen Sie auch Delegierung der Anmeldeinformationen für Basisauthentifizierung zulassen aktivieren. ISA Server kann die Benutzerauthentifizierung vornehmen, sobald die Anforderung eingeht, und die Authentifizierungsdaten dann an den Webserver weiterleiten, damit die Benutzer ihre Anmeldeinformationen nicht nochmals eingeben müssen. Anforderungen umleiten an. Bei Auswahl dieser Option werden Anforderungen an die genannte Website weitergeleitet, deren Namen und Ports Sie angeben. Auf der Seite Aktion anfordern können Sie zudem eine DFÜ-Verbindung zum Weiterleiten der Anforderungen angeben, indem Sie Automatisches Einwählen verwenden aktivieren. Sie können erst dann eine DFÜ-Verbindung verwenden, wenn Sie eine automatische DFÜ-Verbindung festgelegt haben. Die entsprechende Vorgehensweise wird in Anhang F: Angeben einer automatischen DFÜ-Verbindung beschrieben. Klicken Sie nach der Festlegung einer Aktion auf Weiter. 7. Wenn Sie die Option Anforderungen direkt vom angegebenen Ziel abrufen oder Anforderungen umleiten an ausgewählt haben, wird im Anschluss die Zusammenfassungsseite angezeigt. Überprüfen Sie die Angaben, und klicken Sie dann auf Fertig stellen. Klicken Sie im Detailbereich auf Übernehmen, um die Änderungen zu übernehmen. 8. Wenn Sie in Schritt 6 Anforderungen an angegebenen Upstreamserver weiterleiten ausgewählt haben, wird im Anschluss die Seite Primäres Routing angezeigt, auf der Sie die Primärroute auswählen können, an die Anforderungen weitergeleitet werden. 9. Geben Sie die Daten zu Server, Port und SSL-Port ein. Sie können auch auf Durchsuchen klicken, um nach dem Server zu suchen. Bei den angegebenen Standardportnummern handelt es sich um diejenigen, die ein Upstream-ISA ServerComputer abhören würde. Unter Umständen hört Ihr Upstreamserver jedoch andere Ports ab. Wenn bestimmte Anmeldeinformationen für den Zugriff auf den Server erforderlich sind, aktivieren Sie Konto verwenden. Klicken Sie dann auf Konto festlegen, um das Dialogfeld Konto festlegen zu öffnen. Geben Sie im Dialogfeld Konto festlegen die Anmeldeinformationen an, die vom Server akzeptiert werden, und klicken Sie dann auf OK. Wählen Sie unter Authentifizierung eine Authentifizierungsmethode aus. Klicken Sie auf Weiter. Wenn Sie in Schritt 6 Anforderungen an angegebenen Upstreamserver weiterleiten ausgewählt haben, wird im Anschluss die Seite Reserveaktion angezeigt, auf der Sie Reserveaktionen für das Routing auswählen können. Anforderungen ignorieren. Anforderungen direkt vom angegebenen Ziel abrufen. Bei Auswahl dieser Option wird keine Webverkettung verwendet. 26 Kontrollieren des sicheren Internetzugriffs mit ISA Server 2004 Anforderungen an anderen Upstreamserver weiterleiten. Sie können daraufhin (auf der nächsten Seite des Assistenten) eine Reserveroute auswählen. Auf der Seite Reserveaktion können Sie zudem eine DFÜ-Verbindung zur Weiterleitung der Anforderung angeben, indem Sie Automatisches Einwählen verwenden aktivieren. Sie können erst dann eine DFÜ-Verbindung verwenden, wenn Sie eine automatische DFÜ-Verbindung festgelegt haben. Die entsprechende Vorgehensweise wird in Anhang F: Angeben einer automatischen DFÜ-Verbindung beschrieben. Klicken Sie auf Weiter. 10. Wenn Sie in Schritt 9 Anforderungen an anderen Upstreamserver weiterleiten ausgewählt haben, wird im Anschluss die Seite Reserverouting angezeigt, auf der Sie die Reserveroute auswählen können, an die Anforderungen weitergeleitet werden. Geben Sie die Daten zu Server, Port und SSL-Port ein. Sie können auch auf Durchsuchen klicken, um nach dem Server zu suchen. Bei den angegebenen Standardportnummern handelt es sich um diejenigen, die ein Upstream-ISA ServerComputer abhören würde. Unter Umständen hört Ihr Upstreamserver jedoch andere Ports ab. Wenn bestimmte Anmeldeinformationen für den Zugriff auf den Server erforderlich sind, aktivieren Sie Konto verwenden. Klicken Sie dann auf Konto festlegen, um das Dialogfeld Konto festlegen zu öffnen. Geben Sie im Dialogfeld Konto festlegen die Anmeldeinformationen an, die vom Server akzeptiert werden, und klicken Sie dann auf OK. Wählen Sie unter Authentifizierung eine Authentifizierungsmethode aus. Klicken Sie auf Weiter. 11. Überprüfen Sie die Angaben auf der Zusammenfassungsseite, und klicken Sie dann auf Fertig stellen. Anhang F: Angeben einer automatischen DFÜ-Verbindung Sie können ISA Server so konfigurieren, dass zum Herstellen einer Verbindung mit einem bestimmten Netzwerk automatisch eine DFÜ-Verbindung verwendet wird. Wenn Sie beispielsweise über eine DFÜ-Verbindung zum Internet verfügen, können Sie ISA Server so konfigurieren, dass die DFÜ-Verbindung zum externen Netzwerk automatisch hergestellt wird. Falls Sie über eine Hochgeschwindigkeits-Internetverbindung verfügen, kann die DFÜVerbindung wie in diesem Dokument in Anhang E: Konfigurieren der Webverkettung beschrieben als Reserveroute zum Internet dienen. 1. Erweitern Sie in der Konsolenstruktur der ISA Server-Verwaltung den Knoten Konfiguration, und wählen Sie Allgemein aus. 2. Klicken Sie im Detailbereich auf Einwähleinstellungen festlegen. 3. Wählen Sie Automatisches Einwählen in dieses Netzwerk und anschließend das Netzwerk aus, mit dem eine automatische DFÜ-Verbindung hergestellt wird. Wenn eine DFÜ-Verbindung für den Internetzugriff verwendet wird, geben Sie das externe Netzwerk an. 4. Wenn die DFÜ-Verbindung die primäre Methode für Internetverbindungen darstellt, aktivieren Sie Diese DFÜ-Verbindung als Standardgateway konfigurieren. Lösungen 27 5. Geben Sie unter DFÜ-Verbindung im Feld Folgende DFÜ-Verbindung verwenden den Namen der DFÜ-Verbindung an, oder klicken Sie auf Auswählen, um eine Verbindung auszuwählen. 6. Wenn die DFÜ-Verbindung einem bestimmten Benutzerkonto zugeordnet ist, klicken Sie auf Konto festlegen, und geben Sie unter DFÜ-Konto den Benutzernamen und das Kennwort an. Die in den Beispielen verwendeten Firmen, Organisationen, Produkte, Domänennamen, EMail-Adressen, Logos, Personen, Orte und Ereignisse sind frei erfunden. Jede Ähnlichkeit mit bestehenden Firmen, Organisationen, Produkten, Domänennamen, E-Mail-Adressen, Logos, Personen, Orten oder Ereignissen ist rein zufällig. Die in diesen Unterlagen enthaltenen Angaben und Daten, einschließlich URLs und Verweise auf andere Internetwebsites, können jederzeit ohne vorherige Ankündigung geändert werden. Die in den Beispielen verwendeten Firmen, sonstigen Namen und Daten sind frei erfunden, soweit nichts Anderes angegeben ist. Die Benutzer sind verpflichtet, sich an alle anwendbaren Urheberrechtsgesetze zu halten. Unabhängig von der Anwendbarkeit der entsprechenden Urheberrechtsgesetze darf ohne ausdrückliche schriftliche Erlaubnis der Microsoft Corporation kein Teil dieses Dokuments für irgendwelche Zwecke vervielfältigt oder in einem Datenempfangssystem gespeichert oder darin eingelesen werden, unabhängig davon, auf welche Art und Weise oder mit welchen Mitteln (elektronisch, mechanisch, durch Fotokopieren, Aufzeichnen usw.) dies geschieht. Microsoft Corporation kann Besitzer von Patenten oder Patentanträgen, Marken, Urheberrechten oder anderen Rechten an geistigem Eigentum sein, die den Inhalt dieses Dokuments betreffen. Das Bereitstellen dieses Dokuments gibt Ihnen jedoch keinen Anspruch auf diese Patente, Marken, Urheberrechte oder auf sonstiges geistiges Eigentum, es sei denn, dies wird ausdrücklich in den schriftlichen Lizenzverträgen von Microsoft eingeräumt. © 2004 Microsoft Corporation. Alle Rechte vorbehalten. Microsoft, Active Directory, Outlook, Windows, Windows Media und Windows NT sind entweder eingetragene Marken oder Marken der Microsoft Corporation in den USA und/oder anderen Ländern. Haben Sie Fragen oder Anmerkungen zu diesem Dokument? Senden Sie Feedback.