Blog of Khlebalin Dmitriy

(Дорогу осилит идущий…)

Трабл после установки TMG 2010.

Сегодня устанавливая TMG 2010, накатил все обновления и после установки обнаружил следующий БАГ:

При запуске TMG 2010 «не найден член группы»  проблема решается следующим образом:

Можно просто снести IE9

или сделать вот так:

Описание.
После установки IE 9.0 при запуске консоли TMG 2010 выдает сообщение об ошибке в сценарии «Не найден член группы».

Решение.
— Открыть файл «C:\Program Files\Microsoft Forefront Threat Management Gateway\UI_HTMLs\TabsHandler\TabsHandler.htc»
— Найти три строчки с параметром  «paddingTop»,  и закоментировать их // (вначале строки)
— Не забудте сохранить внесенные изменения.

Пример изменения.
было: m_aPages [niPage].m_tdMain.style.paddingTop = ((m_nBoostUp < 0) ? -m_nBoostUp : 0) ;
стало: // m_aPages [niPage].m_tdMain.style.paddingTop = ((m_nBoostUp < 0) ? -m_nBoostUp : 0) ;

UPD:
Решается путем установки на TMG сервис пака 2.

Всем удачной работы!!!

Реклама

28.02.2012 Posted by | ms tmg 2010 (isa 2010) | Комментарии к записи Трабл после установки TMG 2010. отключены

Установка клиента TMG.

На днях озадачились, и решили пересадить всех юзеров на проксю в TMG. Решил на виртуалке опробовать данный процесс.

Стандартные функции TMG клиента

  • Политика брандмауэра на базе пользователей или групп для Web- и non-Web proxy по TCP и UDP протоколу (только для этих протоколов)
  • Поддержка комплексных протоколов без необходимости использования прикладного фильтра TMG
  • Упрощенная настройка маршрутизации в больших организациях
  • Автоматическое обнаружение (Auto Discovery) информации TMG на базе настроек DNS и DHCP сервера.

Системные требования

TMG клиент имеет некоторые системные требования:

Поддерживаемые ОС

  • Windows 7
  • Windows Server 2003
  • Windows Server 2008
  • Windows Vista
  • Windows XP

Поддерживаемые версии ISA Server и Forefront TMG

  • ISA Server 2004 Standard Edition
  • ISA Server 2004 Enterprise Edition
  • ISA Server 2006 Standard Edition
  • ISA Server 2006 Enterprise Edition
  • Forefront TMG MBE (Medium Business Edition)
  • Forefront TMG 2010 Standard Edition
  • Forefront TMG 2010 Enterprise Edition

Настройки TMG клиента на TMG сервере

Есть лишь несколько параметров на сервере Forefront TMG, которые отвечают за настройку поведения Forefront TMG клиента. Прежде всего, можно включить поддержку TMG клиента для дефиниции внутренней сети на сервере TMG, как показано на рисунке ниже.

Рисунок 1: Параметры TMG клиента на TMG

После того, как поддержка TMG клиента включена (это умолчание при обычной установке TMG), можно также автоматизировать конфигурацию веб браузера на клиентских компьютерах. Во время нормальных интервалов обновления TMG клиента или во время запуска служб, браузер получает параметры, настроенные в консоли управления TMG.

В параметрах «Приложения» на TMG клиенте в консоли TMG можно включить или отключить некоторые настройки зависимости приложений.

AD Marker

Microsoft Forefront TMG предоставляет новую функцию автоматического определения TMG сервера для TMG клиента. В отличие от предыдущих версий Firewall клиентов, Forefront TMG клиент теперь может использовать маркер в Active Directory для поиска соответствующего TMG сервера. TMG клиент использует LDAP для поиска требуемой информации в Active Directory.

Примечание: если TMG клиент не нашел AD маркер, он не перейдет на классическую схему автоматического обнаружения через DHCP и DNS по соображениям безопасности. Это сделано для снижения риска возникновения ситуации, в которой взломщик пытается заставить клиента использовать менее безопасный способ. Если подключение к Active Directory удалось создать, но невозможно найти AD Marker, клиенты TMG переходят к DHCP и DNS.

Инструмент TMGADConfig

Для создания конфигурации маркера AD Marker в Active Directory вы можете загрузить TMG AD Config инструмент из центра загрузки Microsoft Download Center (вам нужно найти AdConfigPack.EXE). После загрузки и установки инструмента на TMG вам нужно выполнить следующую команду в интерпретаторе, чтобы внести ключ маркера AD в раздел реестра:

Tmgadconfig add ‘default ‘type winsock ‘url http://nameoftmgserver.domain.tld:8080/wspad.dat

Можно также удалить AD маркер с помощью инструмента tmgadconfig, если вы решите не использовать поддержку AD Marker.

Установка TMG клиента

Самую последнюю версию TMG клиента можно загрузить с веб-сайта компании Microsoft.

Начните процесс установки и следуйте указаниям мастера.

Рисунок 3: Установка TMG клиента

Можно указать месторасположение TMG сервера вручную, или автоматически во время процесса установки TMG клиента. После установки можно перенастроить параметры механизма определения в TMG клиенте с помощью инструмента настройки TMG клиента, который расположен в панели задач вашего клиента.

Рисунок 4: Выбор компьютера для установки TMG клиента

Расширенное автоматическое определение

Если вы хотите изменить поведение процесса автоматического определения, в клиенте TMG теперь есть новая опция для настройки метода автоматического определения.

Рисунок 5: Расширенное автоматическое определение

Уведомления HTTPS осмотра

Microsoft Forefront TMG обладает новой функцией осмотра HTTPS трафика для исходящих клиентских соединений. Для информирования пользователей об этом процессе новый TMG клиент может использоваться, чтобы информировать пользователей о том, что исходящие HTTPS подключения подвергаются проверке, если вам это нужно. У администраторов TMG также есть возможность отключения процесса уведомления централизованно с сервера TMG, или вручную на каждом Forefront TMG клиенте.

Рисунок 6: Осмотр защищенных подключений

Если осмотр исходящих HTTPS подключений включен и параметр уведомления пользователей об этом процессе также включен, пользователи, на компьютерах которых установлен Forefront TMG клиент, будут получать сообщение подобное тому, что показано на рисунке ниже.

Вот наверно и вся настройка. Дополнительную информацию по настройке можно почерпнуть здесь:

http://technet.microsoft.com/ru-ru/library/cc441450.aspx

Всем удачной работы!

 

15.11.2011 Posted by | ms tmg 2010 (isa 2010) | Комментарии к записи Установка клиента TMG. отключены

Настройка функций защиты от вредоносного ПО в Microsoft Forefront TMG.

Определение вредоносного ПО

Википедия определяет вредоносные программы следующим образом: «Вредоносная программа (буквальный перевод англоязычного термина Malware, malicious — злонамеренный и software — программное обеспечение, жаргонное название — «малварь») — злонамеренная программа, то есть программа, созданная со злым умыслом и/или злыми намерениями». Этот термин используется компьютерными профессионалами для обозначения различных видов враждебных, несанкционированно проникающих, раздражающих программ и частей программного кода. Иногда применяется термин «компьютерный вирус» для обозначения всех видов вредоносности, включая собственно вирусы. ПО определяется как вредоносное скорее не по отдельным функциям кода, а по намерениям создателя. Вредоносное ПО включает в себя вирусы, червей, трояны, руткиты, шпионские программы, нелегальные рекламные программы и другие вредоносные и нежелательные программы.

Защита от вредоносного ПО

Пользуясь Microsoft Forefront TMG, можно защитить вашу сеть от вредоносных программ до того, как вредоносное содержимое проникнет внутрь сети, так как TMG проверяет весь HTTP-трафик на вредоносность.

Функция защиты от вредоносного ПО в Microsoft Forefront TMG использует тот же механизм защиты, который используется в Microsoft Forefront Client Security (FCS), Live One Care и в Windows Defender.

Некоторые настройки защиты задаются глобально, но для некоторых можно создать и конкретные правила. Также существует возможность включать и отключать функцию проверки на вредоносность на основании правил политики брандмауэра.

Общие настройки

Общие настройки по вредоносным программам устанавливаются в новом узле в TMG под названием Web Access Policy.

Щелкните Configure Malware Inspection в правой панели задач для установки глобальных настроек. Настройки в первой регистрационной форме позволяют вам включать и отключать фильтр Malware Inspection. Также, если вы хотите пользоваться функциями защиты от вредоносного ПО, вам нужно включить Malware в правиле политики в брандмауэре.

Стандартные настройки позволяют блокировать весь сетевой трафик при активированной проверке на вредоносность, но TMG не будет искать обновлений для Malware Inspection. Такое поведение можно изменить, но это повлечет за собой уменьшение безопасности.

Исключения среди назначений

Существует возможность отключить некоторые вебсайты из проверок на вредоносность. Некоторые сайты, например, сайт Microsoft, исключены автоматически. Этот список вы можете расширить.

 

Исключения среди источников

Как и в предыдущем пункте, можно исключить некоторые внутренние клиенты и серверы из проверки на вредоносность, когда они пытаются открыть вебсайты.

Настройки проверки

Настройки проверки функции защиты от вредоносного ПО позволяют уточнить и подстроить некоторые возможности. Можно уточнить различные настройки блокировки, когда функции защиты нужно блокировать зараженные или подозрительные файлы, или файлы, которые невозможно просканировать. По умолчанию TMG блокирует зашифрованные файлы.

Также можно при проверке блокировать файлы, когда время сканирования превышает некоторое предельное значение, или если загружаемые файлы превышают определенный размер и т.п..

Доставка содержимого

Вкладка Content Delivery позволяет администратору TMG настроить функциональность для пользователя, когда TMG сканирует сетевой трафик на наличие вредоносностей. Поскольку загрузка больших файлов может занять достаточно длительное время, и пользователь при этом получает сообщение «без статуса» о загрузке, а сама загрузка может выйти за временные границы, вы можете настроить отображение прогресса загрузки Forefront TMG отправляет HTML-страницу клиенту. Эта страница информирует пользователя о том, что запрошенное содержимое проверяется и показывается индикатор загрузки и прогресс проверки загружаемого файла.

Для отправки запрошенного содержимого используется стандартная передача с медленного скоростью клиенту, запросившему содержимое. TMG кэширует содержимое на время проверки. Быстрая передача используется для определения баланса между производительностью у конечного пользователя в процессе загрузки файлов и желанием администратора TMG уменьшить буферизацию файла для TMG и других сканирований. Если в файле, передаваемом пользователю, найдено заражение, Microsoft Forefront TMG сбрасывает соединение, а файл пользователю не доставляется.

Хранилище

Настройка Storage позволяет администратору TMG указать расположение локального временного хранилища, куда будет временно отправляться загруженное содержимое, которое затем будет просканировано. Если сервер TMG перегружен, вам необходимо указывать другой путь для временного хранения.

Обновление конфигурации

Функция защиты от вредоносного ПО в TMG работает эффективно только в том случае, если эта функция своевременно обновляется данными о новых вредоносных программах. По умолчанию в TMG каждые 15 минут проверяется наличие обновлений на серверах Microsoft. Поэтому для работы с данной функцией вам необходима действительная подписка.

Подробности о лицензии

Функция защиты от вредоносного ПО в TMG лицензируется на определенный период времени. Лицензионные подробности можно просмотреть на этом окне.

Центр обновлений

Постоянное обновление функции защиты от вредоносного ПО абсолютно необходимо, если вам нужна качественная защита от новейших приемов злоумышленников. Update Center (Центр обновлений) позволяет вам настраивать различные аспекты обновлений в Microsoft Forefront TMG

Защита от вредоносного ПО настраивается глобально, но может быть включена или отключена для каждого правила брандмауэра.

Центр обновлений

Постоянное обновление функции защиты от вредоносного ПО абсолютно необходимо, если вам нужна качественная защита от новейших приемов злоумышленников. Update Center (Центр обновлений) позволяет вам настраивать различные аспекты обновлений в Microsoft Forefront TMG

Защита от вредоносного ПО настраивается глобально, но может быть включена или отключена для каждого правила брандмауэра.

Однако также существует возможность настраивать функцию защиты для каждого отдельного правила.

Настройка защиты для отдельных правил проводится точно так же, как и в случае глобальной настройки.

Оповещения пользователя

Если функция защиты от вредоносного ПО находит подозрительное содержимое и блокирует его, пользователь получает оповещение, похожее на то, что вы видите на следующем рисунке.

На этом в принципе настройка данной части закончена.

Всем удачи!

06.07.2010 Posted by | ms tmg 2010 (isa 2010) | Комментарии к записи Настройка функций защиты от вредоносного ПО в Microsoft Forefront TMG. отключены