微软Forefront TMG 2010安全配置向导试用手记

在Windows Server 2008和2008 R2中均提供了一则增值型工具：SCW (Security Configuration Wizard)，它便于系统发布微软Forefront Threat Management Gateway (TMG) 2010 防火墙。网络工程师可通过SCW生成有关服务配置、审计方面的策略，并完成相应的注册表设置。本文将详细介绍如何利用SCW针对TMG防火墙系统安全策略的安装与配置以及进一步利用活动目录组策略发布该安全策略。
一、如何为SCW生成Forefront TMG Roles
    在系统默认下SCW并不支持TMG 2010 role以及TMG Enterprise Management Server (EMS) role，为此需下载TMGRolesForSCW.exe，该程序来自TMG 2010 Tools and Software Development Kit (SDK)，下载链接如下：
http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=8809cfda-2ee1-4e67-b993-6f9a20e08607
   下载后，执行TMGRolesForSCW.exe，开始安装TMG Roles for SCW；安装毕，需为SCW修改注册表，旨在注册这些roles，然后需将文件复制到文件夹%systemroot%\security\ msscw\kbs，这里分几种情形：（1）对于TMG on Windows Server 2008 SP2，复制文件copy scw_tmg_w2k8_sp2.xml；（2）对于TMG on Windows Server 2008 R2，复制文件scw_tmg_w2k8r2_sp0.xml；（3）TMG EMS on Windows Server 2008 SP2，复制scw_tmgems_w2k8_sp2.xml；（4）对于TMG EMS on Windows Server 2008 R2，复制scw_tmgems_w2k8r2_sp0.xml。
    上述任务也可采用另一种方式，同样分几种模式，都是在命令行转入文件夹%systemroot%\security\msscw\kbs：（1）对于TMG on Windows Server 2008 SP2，输入命令：scwcmd register /kbname:TMG /kbfile:scw_tmg_w2k8_sp2.xml；（2）对于TMG EMS on Windows Server 2008 SP2，执行命令：scwcmd register /kbname:TMG /kbfile: scw_tmgems_w2k8_sp2.xml；（3）对于TMG on Windows Server 2008 R2，执行：scwcmd register /kbname:TMG /kbfile:scw_tmg_w2k8r2_sp0.xml；（4）对于TMG EMS on Windows Server 2008 R2，执行：scwcmd register /kbname:TMG /kbfile:scw_tmgems_w2k8r2_sp0.xml
二、用SCW如何生成安全策略
    打开SCW的方式为：选择“开始/管理员工具”，然后点击图标Security Configuration Wizard，在这里可选择希望执行的行动，具体到这里当然是选Create a new security policy，完成后可进行编辑和应用。SCW可用于本地或远程机，比如我们打算要对本地机进行策略配置，需设置主机名称（图一.jpg），然后SCW就会开始处理安全配置数据库Security Configuration Database。完成后再点击View Configuration Database就可确认将Forefront TMG服务器角色加入到数据库中。对于出现的警告信息窗口Windows Security Warning，可点击Yes查看数据库配置信息。此时，点击Server Roles旁的加号进行扩展，就会在列表中看到有“Microsoft Forefront Threat Management Gateway (TMG)”，然后再关闭该窗口，返回到SCW。

 图一
三、用SCW设置角色、性能、选项和服务
    经过以上工作，我们现在就能用SCW开始基于角色的服务配置。在默认时会选择多个已安装的角色，此时点击角色旁边箭头符号可获得该角色相关信息，这里我们选取Microsoft Forefront Threat Management Gateway (TMG) role，如果TMG firewall来自×××服务，则确认选取角色Remote access/××× server(图二.jpg)。
     在默认时会选中多项已安装性能，可根据具体安全要求加以调整，比如可以取消Microsoft Networking Client或勾选WINS client（图三.jpg）。同样，默认时也有多个已安装选项被选，此时需要注意的是，如果连接TMG防火墙采用了RDP (Remote Desktop Services)方式，则应勾选远程桌面Remote Desktop（图四.jpg）。

四、用SCW如何配置网络安全
    SCW可配置有关与其它机器通讯的协议控制的主要注册设置。建议采用域帐户（domain accounts），并且TMG要求所通讯的其它机器的运行系统最低版本需要达到Windows NT 4.0 SP6A，此时如果客户系统与TMG时钟同步，可在此勾选相应选项，但默认时该选项为空，因为多数同步型系统采用的是活动目录域控制器。
    另外，SCW也提供了可配置审计策略的选项，该选项在默认时包括了安全模板文件SCWaudit.inf，它通过设置System Access Control Lists (SACLS)控制文件系统访问的审计。我们可以将安全策略保存，如果配置单一系统，可以选择一种安全策略立即应用；如果系统中有多项TMG防火墙，那么采用活动目录组策略布署安全策略更为适宜。
    域成员发布TMG优势之一是能够利用Group Policy管理安全配置，但SCW在配置和发布安全策略时一次只能针对一台机器（虽然可以是本地，也可以是远程）。我们可以利用SCW的命令行工具scwcmd.exe将安全策略转换为Group Policy Object (GPO)，然后利用Active Directory Group Policy将策略发布到多部机器，命令格式如下：
scwcmd  transform /p: PathandPolciyFileName /g: GPODisplayName
    这里的PathandPolciyFileName，系指此前生成的策略；GPODisplayName指的是在GPMC (Group Policy Management Console)中显示的GPO (Group Policy Object)名称。

 图二
 
图三
 
图四