JIT SPRAY ÃÂÃÂÃÂÛØ× TDSS - Xakep Online
JIT SPRAY ÃÂÃÂÃÂÛØ× TDSS - Xakep Online
JIT SPRAY ÃÂÃÂÃÂÛØ× TDSS - Xakep Online
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
SYN/ACK<br />
Мастер установки Forefront UAG<br />
Инструмент Forefront UAG 2010 Best Practices<br />
Analyzer Tool поможет разобраться с проблемами<br />
Ïåðåõîäèì ê URL Set, ãäå îïðåäåëÿþòñÿ ïðàâèëà ïðîâåðêè àäðåñîâ.<br />
Çäåñü ìîæíî çàäàâàòü øàáëîíû è óêàçûâàòü äåéñòâèå Accept èëè<br />
Reject (URL, íå ïîïàäàþùèé ïîä øàáëîí, áóäåò áëîêèðîâàí). Ñàìè<br />
ïðàâèëà ìîãóò áûòü Primary (ïåðâè÷íûìè) è Exclude (ïîçâîëÿþò<br />
óñòàíîâèòü èñêëþ÷åíèÿ äëÿ Primary).<br />
Âî âêëàäêå Global URL Settings óòî÷íÿþòñÿ îáùèå ïðàâèëà, êîòîðûå<br />
äîáàâëÿþòñÿ ê íàñòðîéêàì, ïðîèçâåäåííûì â URL Set.<br />
Òåïåðü ìîæåì ïóáëèêîâàòü ïðèëîæåíèå íà ñåðâåðå UAG. Âûáèðàåì<br />
òðàíê è ïóíêò «Add Application» â êîíòåêñòíîì ìåíþ, ïîñëå ÷åãî<br />
çàïóñêàåòñÿ âèçàðä. Íà ïåðâîì øàãå âûáèðàåì ïðèëîæåíèå. Çäåñü<br />
ïÿòü ïóíêòîâ: Built-in services (ôàéëîâûé ñåðâèñ, âåá-ìîíèòîð), Web<br />
(Exchange, SharePoint, Dynamics CRM è ò.ä.), Client/server and legacy,<br />
Browser-embedded (Citrix XenApp), Terminal services (TS)/Remote<br />
Desktop Services (RDS). Âûáèðàåì ëþáîé, ïîñëå ÷åãî â ðàñêðûâàþùåìñÿ<br />
ñïèñêå ïðèëîæåíèå (ñì. âûøå â ñêîáêàõ). Äàëüíåéøèå<br />
íàñòðîéêè ìàñòåðà áóäóò çàâèñåòü îò âûáðàííûõ çäåñü óñòàíîâîê. È<br />
íàêîíåö, îòìå÷àåì, êàêèõ ïîëüçîâàòåëåé áóäåì àâòîðèçîâûâàòü.<br />
Âûïîëíåííûå íàñòðîéêè ñèñòåìà ñîõðàíèò â õðàíèëèùå TMG. Íà<br />
èõ îñíîâå àâòîìàòè÷åñêè ñîçäàþòñÿ íîâûå ïðàâèëà áðàíäìàóýðà, â<br />
ýòîì ìîæíî óáåäèòüñÿ, îòêðûâ ìåíåäæåð TMG: ìû óâèäèì âñå ïðàâèëà,<br />
ñîîòâåòñòâóþùèå íàøèì óñòàíîâêàì.<br />
НАСТРОЙКА DIRECTACCESS<br />
Òàê êàê ïîääåðæêà òåõíîëîãèè DirectAccess ÿâëÿåòñÿ îäíîé èç<br />
îñíîâíûõ ôóíêöèé, êîòîðàÿ îòëè÷àåò UAG îò IAG 2007, ðàññìîòðèì<br />
åå íàñòðîéêó. Ñíà÷àëà äîëæíû áûòü âûïîëíåíû îáÿçàòåëüíûå<br />
òðåáîâàíèÿ, âñå îíè îïèñàíû â äîêóìåíòå «Forefront UAG<br />
DirectAccess prerequisites», íî åãî ñòðóêòóðà äîâîëüíî çàïóòàíà, ñ<br />
ìíîæåñòâîì ïåðåõîäîâ, ïîýòîìó èçëîæó âñå â êðàòêîé ôîðìå. Òàê,<br />
êîìïüþòåð îáÿçàòåëüíî äîëæåí áûòü ïîäêëþ÷åí ê äîìåíó, èìåòü<br />
äâå ñåòåâûå êàðòû, à âíåøíèé ñåòåâîé èíòåðôåéñ îáëàäàòü äâóìÿ<br />
«áåëûìè» IPv4-àäðåñàìè (ïîäðîáíîñòè ïî àäðåñó go.microsoft.com/<br />
NAP & NPS<br />
Network Access Protection — òåõíîëîãèÿ, ïîçâîëÿþùàÿ êîíòðîëèðîâàòü<br />
äîñòóï ê ñåòè, èñõîäÿ èç èíôîðìàöèè î ñîñòîÿíèè<br />
ñèñòåìû êëèåíòñêîãî õîñòà.<br />
Network Policy Server ïîçâîëÿåò öåíòðàëèçîâàííî íàñòðàèâàòü<br />
è óïðàâëÿòü ñåòåâûìè ïîëèòèêàìè, èñïîëüçóÿ äëÿ ýòîãî<br />
RADIUS-ñåðâåð, RADIUS-ïðîêñè è ñåðâåð ïîëèòèê NAP.<br />
118<br />
fwlink/?LinkId=169486). Äëÿ óäîáñòâà óïðàâëåíèÿ ëó÷øå ñîçäàòü<br />
îòäåëüíîå ïîäðàçäåëåíèå â AD, âñå ó÷åòíûå çàïèñè êëèåíòñêèõ<br />
êîìïüþòåðîâ è ñåðâåðîâ, âõîäÿùèõ â íåãî, áóäóò ïîëó÷àòü äîñòóï<br />
ê DirectAccess. Òàêæå ñëåäóåò íàñòðîèòü àâòîìàòè÷åñêóþ ïîäà÷ó<br />
çàÿâîê íà ñåðòèôèêàòû (AutoEnrollment), ïîçâîëÿþùóþ àâòîìàòîì<br />
ðåãèñòðèðîâàòü ñåðòèôèêàòû êëèåíòîâ. Äëÿ ýòîãî çàïóñêàåòñÿ<br />
êîíñîëü Certification Authority, è âî âêëàäêå Manage –> Certificate<br />
Templates âûáèðàåì Workstation Authentication. Äàëåå çàíîñèì â<br />
ñïèñîê äîìåííûå ãðóïïû, êîòîðûå áóäóò èñïîëüçîâàòüñÿ ïðè ïîäêëþ÷åíèè<br />
ê DirectAccess, è óñòàíàâëèâàåì ðàçðåøåíèÿ Autoenroll<br />
è Enroll. Â ðåäàêòîðå ãðóïïîâûõ ïîëèòèê ñîçäàåì íîâûé GPO<br />
(DirectAccess IPsec Certificate AutoEnrollment), çàòåì â «Computer<br />
Configuration –> Policies –> Windows Settings –> Security Settings»<br />
âûáèðàåì «Public Key Policies –> Certificate Services Client –><br />
Autoenrollment». Âûçûâàåì îêíî ðåäàêòèðîâàíèÿ è óñòàíàâëèâàåì<br />
ôëàæêè «Renew expired certificates» è «Update certificates that use<br />
certificate templates». Â Security Filtering äîáàâëÿåì ãðóïïû, êîòîðûå<br />
áóäóò ðàáîòàòü ñ DirectAccess, âñå îñòàëüíûå ãðóïïû, ïðîïèñàííûå<br />
çäåñü ïî óìîë÷àíèþ, óäàëÿåì.<br />
Åùå îäèí âàæíûé ïóíêò — íàñòðîéêà DNS-èíôðàñòðóêòóðû.<br />
×àñòè÷íî íàñòðîéêè áûëè ðàññìîòðåíû â ñòàòüå «Ñèíõðîííûé çàïëûâ<br />
íà äàëüíþþ äèñòàíöèþ», îïóáëèêîâàííîé â ][ 11.2009, íàì<br />
ëèøü îñòàåòñÿ ïðè ïîìîùè GPO óñòàíîâèòü DNS-ñóôôèêñû äëÿ<br />
êëèåíòîâ, ïîäêëþ÷àþùèõñÿ ïîñðåäñòâîì DirectAccess. Ïåðåõîäèì<br />
â Computer Configuration Policies Administrative Templates <br />
Ðåøàåì ïðîáëåìû<br />
Íåñìîòðÿ íà òî, ÷òî â íàñòðîéêå òðàíêîâ, ïðèëîæåíèé è<br />
ïðî÷èõ ïàðàìåòðîâ UAG ïîìîãàþò ìàñòåðà, âûäàþùèå<br />
âíÿòíûå ïîäñêàçêè, ñ ïåðâîãî ðàçà âñå çàïóñòèòü íå âñåãäà<br />
ïîëó÷àåò ñÿ. Óæ ñëèøêîì ìíîãî ñåðâèñîâ çàâÿçàíî â åäèíûé<br />
óçåë. Ïðîáëåìû, êîòîðûå êàñàþòñÿ òåêóùåãî óçëà, îòîáðàæàþòñÿ<br />
â êîíñîëè óïðàâëåíèÿ UAG. Ïðîàíàëèçèðîâàòü ñèòóàöèþ<br />
â êîìïëåêñå ïîìîæåò èíñòðóìåíò Forefront UAG 2010<br />
Best Practices Analyzer (BPA) Tool, êîòîðûé ìîæíî ñêà÷àòü<br />
ñ ñàéòà Microsoft. Ïðîâåäÿ ðÿä òåñòîâ, BPA âûäàåò îò÷åòû, â<br />
íèõ áóäåò îòðàæåíà òåêóùàÿ ñèòóàöèÿ, êëþ÷åâûå ìîìåíòû â<br />
íàñòðîéêàõ è ïîòåíöèàëüíûå ïðîáëåìû. Êðîìå òîãî, âûïîëíÿÿ<br />
ðåêîìåíäàöèè, âûäàííûå BPA, ìîæíî äîñòè÷ü áîëüøåé<br />
ïðîèç âîäèòåëüíîñòè. Äëÿ Forefront TMG äîñòóïåí àíàëîãè÷íûé<br />
èíñòðóìåíò — Forefront TMG BPA Tool.<br />
XÀÊÅÐ 09 /140/ 10