微软Forefront TMG 2010安全配置向导试用手记

在Windows Server 2008和2008 R2中均提供了一则增值型工具：SCW (Security Configuration Wizard)，它便于系统发布微软Forefront Threat Management Gateway (TMG) 2010 防火墙。网络工程师可经过SCW生成有关服务配置、审计方面的策略，并完成相应的注册表设置。本文将详细介绍如何利用SCW针对TMG防火墙系统安全策略的安装与配置以及进一步利用活动目录组策略发布该安全策略。
1、如何为SCW生成Forefront TMG Roles
    在系统默认下SCW并不支持TMG 2010 role以及TMG Enterprise Management Server (EMS) role，为此需下载TMGRolesForSCW.exe，该程序来自TMG 2010 Tools and Software Development Kit (SDK)，下载连接以下：
http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=8809cfda-2ee1-4e67-b993-6f9a20e08607
   下载后，执行TMGRolesForSCW.exe，开始安装TMG Roles for SCW；安装毕，需为SCW修改注册表，旨在注册这些roles，而后需将文件复制到文件夹%systemroot%\security\ msscw\kbs，这里分几种情形：（1）对于TMG on Windows Server 2008 SP2，复制文件copy scw_tmg_w2k8_sp2.xml；（2）对于TMG on Windows Server 2008 R2，复制文件scw_tmg_w2k8r2_sp0.xml；（3）TMG EMS on Windows Server 2008 SP2，复制scw_tmgems_w2k8_sp2.xml；（4）对于TMG EMS on Windows Server 2008 R2，复制scw_tmgems_w2k8r2_sp0.xml。
    上述任务也可采用另外一种方式，一样分几种模式，都是在命令行转入文件夹%systemroot%\security\msscw\kbs：（1）对于TMG on Windows Server 2008 SP2，输入命令：scwcmd register /kbname:TMG /kbfile:scw_tmg_w2k8_sp2.xml；（2）对于TMG EMS on Windows Server 2008 SP2，执行命令：scwcmd register /kbname:TMG /kbfile: scw_tmgems_w2k8_sp2.xml；（3）对于TMG on Windows Server 2008 R2，执行：scwcmd register /kbname:TMG /kbfile:scw_tmg_w2k8r2_sp0.xml；（4）对于TMG EMS on Windows Server 2008 R2，执行：scwcmd register /kbname:TMG /kbfile:scw_tmgems_w2k8r2_sp0.xml
2、用SCW如何生成安全策略
    打开SCW的方式为：选择“开始/管理员工具”，而后点击图标Security Configuration Wizard，在这里可选择但愿执行的行动，具体到这里固然是选Create a new security policy，完成后可进行编辑和应用。SCW可用于本地或远程机，好比咱们打算要对本地机进行策略配置，需设置主机名称（图一.jpg），而后SCW就会开始处理安全配置数据库Security Configuration Database。完成后再点击View Configuration Database就可确认将Forefront TMG服务器角色加入到数据库中。对于出现的警告信息窗口Windows Security Warning，可点击Yes查看数据库配置信息。此时，点击Server Roles旁的加号进行扩展，就会在列表中看到有“Microsoft Forefront Threat Management Gateway (TMG)”，而后再关闭该窗口，返回到SCW。

 图一
3、用SCW设置角色、性能、选项和服务
    通过以上工做，咱们如今就能用SCW开始基于角色的服务配置。在默认时会选择多个已安装的角色，此时点击角色旁边箭头符号可得到该角色相关信息，这里咱们选取Microsoft Forefront Threat Management Gateway (TMG) role，若是TMG firewall来自×××服务，则确认选取角色Remote access/××× server(图二.jpg)。
     在默认时会选中多项已安装性能，可根据具体安全要求加以调整，好比能够取消Microsoft Networking Client或勾选WINS client（图三.jpg）。一样，默认时也有多个已安装选项被选，此时须要注意的是，若是链接TMG防火墙采用了RDP (Remote Desktop Services)方式，则应勾选远程桌面Remote Desktop（图四.jpg）。

4、用SCW如何配置网络安全
    SCW可配置有关与其它机器通信的协议控制的主要注册设置。建议采用域账户（domain accounts），而且TMG要求所通信的其它机器的运行系统最低版本须要达到Windows NT 4.0 SP6A，此时若是客户系统与TMG时钟同步，可在此勾选相应选项，但默认时该选项为空，由于多数同步型系统采用的是活动目录域控制器。
    另外，SCW也提供了可配置审计策略的选项，该选项在默认时包括了安全模板文件SCWaudit.inf，它经过设置System Access Control Lists (SACLS)控制文件系统访问的审计。咱们能够将安全策略保存，若是配置单一系统，能够选择一种安全策略当即应用；若是系统中有多项TMG防火墙，那么采用活动目录组策略布署安全策略更为适宜。
    域成员发布TMG优点之一是可以利用Group Policy管理安全配置，但SCW在配置和发布安全策略时一次只能针对一台机器（虽然能够是本地，也能够是远程）。咱们能够利用SCW的命令行工具scwcmd.exe将安全策略转换为Group Policy Object (GPO)，而后利用Active Directory Group Policy将策略发布到多部机器，命令格式以下：
scwcmd  transform /p: PathandPolciyFileName /g: GPODisplayName
    这里的PathandPolciyFileName，系指此前生成的策略；GPODisplayName指的是在GPMC (Group Policy Management Console)中显示的GPO (Group Policy Object)名称。

 图二
 
图三
 
图四