Microsoft Forefront: Protegendo grupos de trabalho com o Forefront

Microsoft Forefront Protegendo grupos de trabalho com o Forefront A conectividade gera colaboração, mas também pode gerar risco e exposição. Você pode configurar seus operadores em um grupo de trabalho a ainda protegê-los, assim como os dados e a rede corporativa, com o Microsoft Forefront Threat Management Gateway (Forefront TMG) 2010.

Embora geralmente considerado um conjunto de aplicativos de classe empresarial desenvolvido para ser usado em um ambiente do Active Directory, não é absolutamente necessário implantar o Forefront no Active Directory. Você pode efetivamente implantar o Forefront TMG em algumas topologias diferentes, com várias finalidades.

Em um ambiente de grupo de trabalho, você irá configurar o Forefront TMG no perímetro de rede, para que ele possa inspecionar os pacotes HTTP e HTTPS de entrada para verificar a existência de conteúdo malicioso. Ele também pode ser usado para filtrar os tipos de sites visitados pelos seus usuários.

Como o servidor do Forefront TMG estará posicionado no perímetro de rede, ele deverá ter no mínimo dois adaptadores de rede. Um adaptador se conectará à rede privada, enquanto o outro se conectará ao mundo externo. A Microsoft recomenda que esses dois adaptadores sejam configurados com um endereço IP estático.

A Microsoft desenvolveu o Forefront para ser implantado em um domínio do Windows. Embora seja possível utilizá-lo no contexto de um grupo de trabalho empresarial, existem algumas pequenas limitações normalmente encontradas em um ambiente de domínio.

Por exemplo, se você estiver implantando o Forefront em um ambiente de grupo de trabalho, não poderá usar a detecção automática de proxy da Web. Da mesma forma, sem um domínio do Active Directory, não será possível configurar o Forefront usando configurações de Diretiva de Grupo. Em vez disso, será necessário usar políticas de segurança locais em cada computador individual que executar o Forefront.

Outras limitações garantem uma consideração mais cuidadosa. Por exemplo, os computadores que executam o Forefront TMG Standard geralmente estão associados a um Enterprise Management Server. No entanto, não é possível executar replicação do Enterprise Management Server em um ambiente de grupo de trabalho.

Autoridade de Certificação

Um dos principais requisitos para instalar o Forefront em um ambiente de grupo de trabalho é que você deve ter um certificado de servidor instalado no servidor do Forefront TMG. Como esse certificado só será usado internamente, a Microsoft recomenda que você crie a sua própria Autoridade de Certificação Corporativa como uma maneira de evitar os custos associados à aquisição de um certificado comercial.

O Windows Server possui tudo que você precisa para configurá-lo de forma que ele funcione como uma Autoridade de Certificação. Devido à natureza confidencial dos certificados de servidor, no entanto, você deve implantar os serviços de certificado em outro servidor, e não naquele que funcionará como gateway do Forefront no perímetro de rede.

Após escolher um servidor para funcionar como autoridade de certificação, abra o Gerenciador do Servidor. Vá para o contêiner Funções e clique no link Adicionar Funções. O Windows iniciará o assistente para Adicionar Funções. Ignore a tela de boas-vindas do assistente e você irá para uma tela que solicita que você escolha as funções que deseja instalar.

Escolha a função Serviços de Certificados do Active Directory e clique em Avançar. Você verá uma mensagem de aviso informando que, após instalar os serviços de certificados do Active Directory, não será possível alterar o nome ou o status de domínio do servidor.

Você será solicitado a escolher os serviços de função que deseja implantar. Escolha os serviços Autoridade de Certificação e Registro na Web de Autoridade de Certificação e clique em Avançar.

Neste ponto, o Windows perguntará se você deseja implantar uma autoridade de certificação autônoma ou corporativa. Como você está configurando para um ambiente de grupo de trabalho, escolha a opção Autônoma. Clique em Avançar e será solicitado que você escolha o tipo de Autoridade de Certificação. Como esta é a primeira autoridade de certificação da organização, escolha a opção CA Raiz e clique em Avançar.

O assistente agora perguntará se você deseja criar uma nova chave privada ou usar uma chave privada existente. Crie uma nova chave privada e clique em Avançar.

Quando o Windows exibir a tela Criptografia do assistente, clique em Avançar para aceitar os padrões. Em seguida, você será solicitado a fornecer um nome comum para a Autoridade de Certificação. Digite o nome escolhido e anote-o. Você precisará saber esse nome posteriormente quando implantar o Forefront.

Será solicitado que você selecione um período de validade do certificado. Clique em Avançar para aceitar os padrões. O assistente agora solicitará que você especifique um local para o banco de dados de certificados. Use qualquer local desejado, mas faça backup regularmente, seja qual for o local escolhido.

Em seguida, o assistente exibirá uma introdução ao IIS. Clique novamente em Avançar e você poderá instalar serviços de função adicionais para o IIS. Os serviços de função necessários já estão selecionados, então, basta clicar em Avançar e em Instalar para implantar os serviços de função necessários. Quando o processo for concluído, clique em Fechar.

Preparando o servidor

Você precisará preparar o servidor antes de instalar o Forefront TMG. Comece instalando todos os patches mais recentes do Windows Server no servidor. Isso é importante — o Forefront não foi instalado corretamente quando eu pulei esta etapa sem querer.

Com o servidor atualizado, insira a mídia de instalação do Forefront TMG 2010. Quando o Windows exibir a tela inicial do Forefront, clique no link Executar Ferramenta de Preparação. Ao clicar, o Windows iniciará o assistente da Ferramenta de Preparação do Forefront TMG.

Ignore a tela de boas-vindas do assistente e será solicitado que você aceite o contrato de licença. Você verá a tela mostrada na Figura 1, que pergunta qual tipo de instalação do Forefront você executará. Escolha a opção Serviços e Gerenciamento do Forefront TMG e clique em Avançar.

gg547618.Figure_1_Choose_the_ForeFront_TMG_Services_and_Management_option_for_installation(en-us,MSDN.10) Figura 1 Escolha a opção Serviços e Gerenciamento do Forefront TMG para instalação

O Windows instalará todas as ferramentas e os recursos necessários. Quando o processo for concluído, verifique se a caixa de seleção Iniciar o Assistente de Instalação do Forefront TMG está marcada e clique em Concluir.

Instalando o Forefront TMG

O Windows iniciará o Assistente de Instalação do Forefront TMG Enterprise. Depois da tela de boas-vindas e de aceitar o contrato de licença, clique novamente em Avançar e você precisará fornecer a chave do produto (Product Key). Clique mais uma vez em Avançar e o assistente solicitará que você confirme o caminho de instalação. Considerando que esteja tudo certo, clique em Avançar para ir para a tela Definir Rede Interna.

O Forefront TMG foi desenvolvido para ser implantado no perímetro de rede, portanto, ele precisa saber quais endereços IP estão incluídos na sua rede interna. É possível fornecer o seu intervalo de endereços internos clicando no botão Adicionar.

Neste ponto, você será levado à caixa de diálogo Endereços. Clique no botão Adicionar Adaptador e escolha o adaptador conectado à sua rede interna, conforme mostra a Figura 2. Se o adaptador estiver usando um endereço IP dinâmico, será necessário voltar à caixa de diálogo Endereços e especificar manualmente o intervalo de endereços internos.

gg547618.Figure_2_Choose_the_adapter_connected_to_your_internal_network(en-us,MSDN.10)

Figura 2 Escolha o adaptador conectado à sua rede interna

Quando você tiver especificado o adaptador e todos os intervalos de endereços IP internos, clique em Avançar. Talvez seja exibida uma mensagem de aviso informando que será necessário reiniciar alguns serviços. Nesse caso, basta clicar novamente em Avançar.

Neste ponto, talvez seja exibida uma mensagem informando que o gerenciamento remoto está sendo habilitado a partir do seu endereço IP. Nesse caso, anote o endereço IP antes de clicar em Avançar.

Deverá ser exibida uma mensagem informando que você está pronto para instalar o Forefront. Clique no botão Instalar e o processo de instalação será iniciado. Como você pode ver na Figura 2, o assistente fornece uma estimativa do tempo necessário para concluir o processo de instalação. Quando o processo de instalação for concluído, clique em Concluir.

Configurando o Forefront TMG

Agora que você instalou o Forefront TMG, abra o console de Gerenciamento do Forefront TMG e selecione o nó superior na árvore de console. Clique no link Iniciar o Assistente para Introdução, localizado no painel Ações. O Forefront iniciará o Assistente para Introdução, mostrado na Figura 3.

gg547618.Figure_3_The_Getting_Started_Wizard_walks_you_through_the_configuration_process(en-us,MSDN.10) Figura 3 O Assistente para Introdução orienta você no processo de configuração

Clique no botão Definir Configurações de Rede para iniciar o processo de configuração, mostrado na Figura 3. Isso iniciará o Assistente para Configuração de Rede. Ignore a tela de boas-vindas do assistente e você irá para uma tela que solicita que você selecione o modelo de rede que melhor representa a sua topologia. Como nós vamos configurar o servidor do Forefront para fornecer proteção de perímetro, selecione Firewall de Borda, como mostra a Figura 4.

gg547618.Figure_4_Select_the_Edge_Firewall_option(en-us,MSDN.10) Figura 4 Selecione a opção Firewall de Borda

Você será solicitado a selecionar o adaptador de rede conectado à sua rede interna. Esse procedimento também permite especificar rotas adicionais, mas isso raramente será necessário em um ambiente de grupo de trabalho.

Depois de fazer a sua seleção, clique em Avançar e você verá uma tela solicitando que seja escolhido o adaptador de rede conectado à Internet. Faça a sua seleção e clique em Avançar, e depois em Concluir.

Definindo as configurações do sistema

Agora é hora de definir as configurações do sistema. Clique no botão Definir Configurações do Sistema mostrado na Figura 3. Quando você clicar, o Windows iniciará o Assistente de Configuração do Sistema.

Ignore a tela de boas-vindas do assistente e você verá uma tela semelhante àquela mostrada na Figura 5. Em um ambiente de domínio, você precisaria fornecer um nome de domínio e um sufixo DNS. Como estamos configurando o Forefront em um grupo de trabalho, não é necessário fazer nada. Clique em Avançar e em Concluir para concluir a configuração do sistema.

gg547618.Figure_5_Verify_that_Forefront_is_configured_for_a_workgroup_deployment(en-us,MSDN.10) Figura 5 Verifique se o Forefront está configurado para uma implantação de grupo de trabalho

 
Definir as opções de implantação

A última etapa do processo de configuração é definir as opções de implantação. Clique no botão Definir Opções de Implantação mostrado na Figura 3. Quando o Windows iniciar o Assistente para Implantação, clique em Avançar para ignorar a tela de boas-vindas.

Será perguntado se você deseja usar o Microsoft Update para verificar se existem atualizações de antivírus. É recomendável selecionar a opção Sim. Clique em Avançar e você será levado para a tela mostrada na Figura 6.

gg547618.Figure_6_Activate_the_complimentary_license_and_enable_malware_inspection(en-us,MSDN.10) Figura 6 Ativar a licença complementar e habilitar a inspeção de malware

Como você pode ver na Figura 6, é necessário ativar a licença do Forefront. Habilite o Sistema de Inspeção de Rede, que procurará código mal-intencionado no nível de pacote HTTP/HTTPS. Você também deve marcar a caixa de seleção Habilitar Inspeção de Malware; também pode habilitar a filtragem de URLs, se desejar.

Você definirá uma opção para controlar com que frequência o Forefront verifica se existem atualizações de antivírus. Por padrão, a atualização verificará a cada 15 minutos. Você também pode configurar uma notificação, se as verificações de atualização falharem por um período de tempo prolongado.

Em seguida, o Assistente perguntará se você deseja participar do Programa de Aperfeiçoamento da Experiência do Usuário. Faça sua seleção e clique em Avançar e em Concluir para concluir o processo de configuração. Clique em Fechar para fechar o Assistente para Introdução.

O Windows iniciará automaticamente o Assistente de Diretiva de Acesso à Web. Esse assistente permite controlar os tipos de filtragem da Web executadas pelo Forefront. Clique em Avançar para ignorar a tela de boas-vindas e você verá uma tela que pergunta se você deseja criar uma regra padrão que bloqueie as URLs potencialmente maliciosas. Clique em Sim e em Avançar.

Neste ponto, você verá uma tela que pergunta sobre os tipos de sites cujo acesso você deseja bloquear. Por exemplo, é possível bloquear o acesso a sites que contenham discurso de ódio ou obscenidades. A lista de conteúdo bloqueado é populada automaticamente, mas você pode ajustá-la conforme necessário.

Em seguida, o assistente perguntará se você deseja aplicar as regras de inspeção de malware à Diretiva de Acesso à Web. É recomendável escolher a opção Sim, assim como é recomendável marcar a caixa de seleção para bloquear arquivos ZIP criptografados que poderiam potencialmente conter arquivos maliciosos.

Será perguntado se você deseja permitir que os usuários utilizem sessões HTTP criptografadas por SSL (HTTPS). É recomendável inspecionar o conteúdo HTTPS, porém o Forefront adverte que esse procedimento pode ter consequências legais. Considere a sua decisão com cautela.

Se você optar pelas inspeções de HTTPS, será perguntado se você deseja ou não notificar os usuários dessas inspeções. Você também será informado de que é necessário um certificado para o processo de inspeção.

Você pode permitir que o Forefront gere um certificado autoassinado ou pode usar um certificado personalizado. O uso de um certificado autoassinado não é nem mesmo uma opção em um ambiente de grupo de trabalho, então você terá que escolher a opção Certificado Personalizado. Em seguida, será necessário fornecer o nome da autoridade de certificação. Esse é o nome amigável que você definiu quando criou a autoridade de certificação, não necessariamente o nome do computador servidor.

Finalmente, você verá uma tela indicando que você será forçado a exportar e implantar manualmente o certificado. Forneça ao assistente uma pasta de destino na qual o certificado pode ser baixado e clique em Avançar. Quando solicitado, habilite a regra de cache da Web padrão para concluir o processo.

Esse procedimento instala o Forefront TMG de tal forma que você pode fazer com que ele inspecione pacotes HTTP/HTTPS à medida que eles passarem pelo perímetro da sua rede. No entanto, lembre-se de que o Forefront TMG oferece muitos recursos adicionais, como a capacidade de inspecionar mensagens de email. Essa é uma implantação mais simples, adequada para proteger grupos de trabalho.

Fonte:Desmonta&CIA

Anúncios

Tags:

About Desmonta&CIA

Somos um blog que busca informar aos apaixonados por tecnologia tudo sobre o mundo de TI.

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s

%d blogueiros gostam disto: