Instalando e Configurando o ForeFront TMG 2010

Depois de muito tempo sem postar artigos “como fazer” vou retomar com o produto Microsoft que sou especialista o ForeFront TMG 2010, sucessor do nosso querido ISA Server que por muito tempo atendeu nossas necessidades no que diz respeito a Firewall de Borda e Web Proxy, o avanço se faz necessário e sem mudança não há avanço então vamos mudar e começar a trabalhar com o ForeFront TMG 2010. Vou fazer uma serie de artigos e irei demonstrar como instalar e configurar o ForeFront TMG 2010 Standard Edition, além é claro de mostrar as novas funcionalidades do produto.

Nesse primeiro vou abordar instalação e configuração do TMG como Firewall de Borda (Edge Firewall) abaixo segue um diagrama da nossa rede que é composta por um controlador de domínio que também é servidor DNS e DHCP. O ForeFront TMG está com duas placas de redes, uma dedicada para a rede interna e outra para a rede externa (Internet) esta por sua vez ligada em um roteador fornecido pelo ISP (Internet Service Provider) nosso provedor de acesso a internet. Temos também outros servidores e dispositivos, como em qualquer rede de uma empresa.

Requisitos de Hardware para a instalação do ForeFront TMG 2010

O diagrama abaixo representa a infraestrutura de rede comum na maioria das empresas. Um servidor controlador de domínio, DNS e DHCP. O TMG irá trabalhar como default gateway e proxy dessa rede, ele está conectado a um modem ADSL que faz a conexão com a internet. Temos também clientes de rede e demais servidores.

Primeiro passo é identificar as nossas placas de rede, renomeando corretamente, qual placa será dedicada para rede interna e para a rede externa.

Agora configure a ordem que as placas serão acessadas pelos serviços de rede, clique em avançado e depois em configurações avançadas.

Altere se for necessário, deixando a rede interna em primeiro.

Agora configure o endereço IPv4 da placa de rede interna.

E o endereço IPv4 da placa de rede externa.

Após configurar corretamente as placas de rede você já esta pronto para instalar o ForeFront TMG 2010, porem é recomendável que você efetue testes de conectividade de rede, verifique por exemplo se você consegue “pingar” endereços IP da rede interna e da rede externa a internet.

Bom agora você já pode colocar o CD do ForeFront TMG 2010 e efetuar a instalação.

Na tela de boas vidas clique em Executar o Windows Update e instale as atualizações necessárias.

Só avance para a etapa seguinte quando todas as atualizações estiverem instaladas

Agora clique em Executar a Ferramenta de Preparação ela instalará os requisitos de software necessários para o ForeFront TMG 2010.

Na tela de Bem-vindo… Clique em Avançar.

Aceite o Contrato de Licença e clique em Avançar.

Na tela Tipo de Instalação selecione Serviços e Gerenciamento do ForeFront TM e clique em Avançar.

O assistente de preparação do sistema será executado.

Após algum tempo a tarefa é finalizada cerifique-se que a opção Iniciar o Assistente de Instalação do Forefront TMG e clique em Concluir.

O Assistente de Instalação do ForeFront TMG 2010 será iniciado.

Na tela de Bem-vindo… Clique em Avançar.

Aceite o Contrato de Licença e clique em Avançar.

Informe os dados necessários como Nome de Usuário, Organização e Número de Série do Produto, após clique em Avançar.

Na tela Cenários de Instalação selecione Serviços e Gerenciamento do ForeFront TMG e clique em Avançar.

Na tela Caminho de Instalação informe o local da instalação do ForeFront TMG 2010 e clique em Avançar.

Na tela Definir Rede Interna clique em Adicionar…

Na tela Endereços clique em Adicionar Adaptador.

Na tela Selecionar Adaptadores de Rede selecione a placa de rede da REDE INTERNA e clique em OK.

Clique em OK até retornar a tela Definir rede Interna depois clique em Avançar.

Leia os Avisos de Serviços e clique em Avançar.

Na tela Pronto para Instalar o Programa clique em Instalar.

A instalação será iniciada.

Decorridos alguns minutos a instalação é finalizada com êxito.

Na tela Assistente para instalação Concluído, marque a opção Iniciar o Gerenciamento do ForeFront TMG quando o assistente fechar e clique em Concluir.

Na tela Assistente para Introdução clique em Definir configurações de rede.

Na tela Bem-vindo… Clique em Avançar.

Na tela Seleção do Modelo de Rede selecione Firewall de borda e clique em Avançar.

Na tela Configurações de LAN (Rede Local) selecione sua placa de REDE INTERNA e clique em Avançar.

Na tela Configurações de Internet confirme as configurações da sua placa de REDE EXTERNA e clique em Avançar.

Revise todas as configurações e certifique-se que estão corretas, depois clique em Concluir.

De volta à tela Assistente para Introdução clique em Definir configurações do sistema.

Na tela de Bem-Vindo… Clique em Avançar.

Cerifique-se de que todas as configurações referentes ao seu domínio estão corretas e clique em Avançar.

Na tela Concluindo… Clique em Concluir.

De volta à tela Assistente para Introdução clique em Definir opções de implantação.

Na tela Bem-vindo… Clique em Avançar.

Na tela Instalação de Atualizações da Microsoft selecione Use o serviço de Atualizações da Microsoft para verificar atualizações (recomendado) e clique em Avançar.

Na tela Configurações de Recurso de Proteção do ForeFront TMG, selecione todas as opções recomendadas para usufruir (mesmo que temporariamente) de todos os novos recursos de proteção do TMG 2010 e clique em Avançar.

Na tela Configurações de Atualizações de Assinaturas NIS selecione todas as opções recomendadas para usufruir do novo recurso de proteção conta Malware e clique em Avançar.

Na tela Comentários de Cliente selecione Sim, desejo participar… e clique em Avançar.

Na tela Serviço de Relatório de Telemetria da Microsoft selecione Avançado. Fique tranquilo seus dados particulares não são enviados. Clique em Avançar.

Na tela Concluindo o Assistente… Certifique-se de que todas as opções estão corretas e clique em Concluir.

De volta a tela Assistente para Introdução cerifique-se que a opção Executar o Assistente para Acesso à Web, está desmarcada e clique em Fechar. Iremos configura-la mais adiante.

Expanda o Nó do seu servidor TMG, clique em Monitorando e depois em Serviços, verifique se todos os serviços estão em execução.

Pronto a instalação e configuração inicial do ForeFront TMG está completa, no próximo post vamos configurar o cache do Forefront TMG 2010

Configurando Cache Forefront TMG 2010

O TMG usa o cache de objetos solicitados frequentemente para aprimorar a velocidade do acesso à Web e o desempenho da rede. Por padrão, após a instalação, nenhum espaço é definido para o cache. Você pode habilitar o cache ao executar o assistente para Acesso à Web ou pode habilitá-lo usando as instruções neste post.

Alguns pontos que devemos levar em consideração para habilitarmos o cache.

1. Mais RAM fornece desempenho mais rápido para atender ao conteúdo em cache. Em implantações grandes, é recomendado que um disco rígido de alto desempenho seja usado. Além do espaço em disco o TMG reserva 10% da memoria RAM para armazenar objetos e “entrega-los” de forma mais rápida.

2. Você deve usar uma partição formatada do sistema de arquivos NTFS para o cache, e a unidade do cache deve ser local. Quando você configura uma unidade de cache, um arquivo de conteúdo de cache, Dir1.cdat, é criado no local: unidade:\urlcache. Nesse post vamos usar a unidade D:\.

3. O tamanho máximo de um arquivo de cache em uma única unidade é de 64 GB. Você pode ter mais arquivos de cache porem terá que armazena-lo em outra unidade, como por exemplo a unidade E:\ e assim por diante.

4. É recomendável colocar o arquivo em um disco físico, sem ser o disco do sistema operacional e onde o Forefront TMG está instalado. Isso reduz a contenção no sistema e no disco de inicialização.

Configurando o cache.

Na árvore do console de Gerenciamento do Forefront TMG, selecione Diretiva de Acesso à Web, e em Tarefas Relacionadas, clique em Configurar Cache da Web.

Na guia Unidades de Cache, selecione a entrada do servidor e clique em Configurar.

Selecione a unidade necessária, no nosso caso a unidade D:\ e, em Tamanho máximo do cache, especifique o tamanho máximo em megabytes que vamos configurar com 1024 MB = 1GB. Clique em Definir para salvar a configuração.

O cache é configurado com sucesso, clique em OK para finalizar a configuração e em Fechar para encerrar o assistente.

Clique em Aplicar.

Na tela de Aviso do Forefront TMG selecione Salvar as alterações e reiniciar os serviços e clique em OK.

Para confirmar as alterações clique em OK.

O Serviço Firewall do Microsoft Forefront TMG será reiniciado.

O arquivo de cache Dir1.cdat é criado com sucesso.

Finalizamos a configuração do cache do Forefront TMG 2010, no próximo post vamos criar nossa primeira Regra de Firewall.

Liberando Tráfego DNS Forefront TMG 2010

Seguindo a configuração do ForeFront TMG 2010, após a instalação do TMG e configuração do Cache você já pode criar a sua Diretiva de Firewall que é liberar o trafego DNS para consultas externas assim seus clientes poderão acessar sites da internet.

Considerando que você já tenha um Encaminhador (Foward) configurado no seu servidor DNS, como na imagem abaixo:

Reparem que ao efetuarmos um teste de consulta recursiva ele falha:

Vamos solucionar esta questão criando uma Diretiva de Firewall que libera trafego DNS.

Primeiro passo é criar um objeto computador que representa os nossos servidores DNS interno e externo.

Na árvore do console de Gerenciamento do Forefront TMG, clique no nó Diretiva de Firewall.

No painel Ferramentas, selecione Objetos de Rede clique em Novo e selecione Computador.

Clique em Procurar…

Informe o nome de host do seu servidor e clique em Localizar.

Será retornado o endereço IP do seu servidor DNS

Clique em OK e em OK novamente para confirmar a criação do objeto computador.

Clique novamente em Novo e selecione Computador.

Informe o nome e o endereço IP do seu servidor DNS Externo (Encaminhador) e clique em OK.

Os objetos Computadores são criados com sucesso.

Clique em Aplicar.

Para confirmar as alterações clique em OK.

Selecione Tarefas e clique em Criar Regra de Acesso.

Informe um nome amigável para sua regra e clique em Avançar.

Em Ação da Regra selecione Permitir e clique em Avançar.

Em Protocolos clique em Adicionar.

Expanda Protocolos Comuns e selecione DNS, clique em Adicionar e depois em Fechar.

Em Protocolos clique em Avançar.

Em Origens da Regra de Acesso clique em Adicionar…

Expanda Computadores e selecione o objeto Computador BABOODC criado anteriormente, clique em Adicionar e depois em Fechar.

Em Origens da Regra de Acesso clique em Avançar.

Em Destinos da Regra de Acesso clique em Adicionar…

Expanda Computadores e selecione o objeto Computador DNS Externo criado anteriormente, clique em Adicionar e depois em Fechar.

Em Destinos da Regra de Acesso clique em Avançar.

Em Conjuntos de Usuários clique em Avançar.

Verifique as configurações da Diretiva e clique em Concluir.

Clique em Aplicar.

Para confirmar as alterações clique em OK.

Vejam como fica a Regra de Acesso.

Agora vá até as propriedades do seu servidor DNS na aba Monitoramento verifique novamente o status de uma consulta recursiva é Aprovado.

É isso pessoal nossa próxima regra será uma regra de acesso web utilizando a categorização de url.

Filtragem de URL no ForeFront TMG 2010

Nesse post vamos conhecer o novo recurso do ForeFront TMG 2010 que é a filtragem de URLs. A filtragem de URLs concede ou nega acesso a sites de acordo com categorias de URL (como pornografia, drogas, ódio ou compras). A categorização padrão de um site específico é determinada pelo MRS (Serviço de Reputação da Microsoft) e pode ser editada pelo administrador de sistema do Forefront TMG. Quando uma solicitação para acessar um site é recebida, o Forefront TMG consulta o MRS para determinar a categorização do site. Se o site tiver sido categorizado como uma categoria ou um conjunto de categorias de URL bloqueadas, o Forefront TMG bloqueará a solicitação.

Acesse o portal do MRS (Serviço de Reputação da Microsoft)

Benefícios da aplicação da filtragem de URL

Os benefícios da aplicação da filtragem de URL incluem:

1. Aprimoramento da sua segurança impedindo o acesso a sites mal-intencionados, como sites de phishing. 2. Redução dos riscos de responsabilidade impedindo o acesso a sites que exibem materiais impróprios, como

sites de racismo, atividades criminosas ou pornográficos. 3. Aprimoramento da produtividade da sua organização, impedindo o acesso a sites não produtivos, como jogos

ou mensagens instantâneas. 4. Uso de relatórios relacionados à filtragem de URL e entradas de log para conhecer o uso da Web na sua

organização, como as categorias de URL mais procuradas. 5. Exclusão de sites de inspeção pelos HTTPS e mecanismos de inspeção de malware, por exemplo, exclusão de

sites financeiros de inspeção HTTPS devido a considerações de privacidade.

O Forefront TMG tem mais de 70 categorias de URL. Uma categoria de URL é uma coleção de URLs que correspondem a um critério predefinido, por exemplo, mal-intencionado, anonimato ou drogas ilegais. As categorias são agrupadas por conjuntos de categorias, que podem ser usados para simplificar a configuração de diretivas do Forefront TMG.

Vamos a nossa regra:

Na árvore do console de Gerenciamento do Forefront TMG, selecione Diretiva de Acesso à Web, e em Tarefas, clique em Criar Regra de Acesso.

Informe um nome amigável para a sua Regra de Acesso e clique em Avançar.

Em Ação da Regra selecione Permitir e clique em Avançar.

Em Protocolos verifique se estão adicionados os protocolos HTTP e HTTPS e clique em Avançar.

Em Inspeção de Malware vamos deixar desabilitado para o momento, pois iremos explorar este novo do FroFront TMG 2010 mais adiante, selecione Não Habilitar a inspeção de malware para esta regra e clique em Avançar.

Em Origens de Regra de Acesso clique em Adicionar…

Expanda Redes, selecione o objeto Interno clique em Adicionar e em Fechar.

De volta à Origens de Regra de Acesso, clique em Avançar.

Em Destinos de Regra de Acesso clique em Adicionar…

Expanda Redes, selecione o objeto Externo, clique em Adicionar e em Fechar.

De volta à Origens de Regra de Acesso clique em Avançar.

Em Conjuntos de Usuários selecione Todos os Usuários e clique em Remover.

Em Conjuntos de Usuários clique em Adicionar…

Selecione o objeto Todos os Usuários Autenticados, clique em Adicionar e em Fechar.

De volta à Conjuntos de Usuários, clique em Avançar.

Revise as configurações da Diretiva de Acesso e clique em Concluir.

Antes de aplicar as alterações clique com o botão direito na Diretiva de Acesso recém-criada e selecione Propriedades.

Nas Propriedades de Acesso Web (Nome da Regra) selecione a tab Para e clique em Adicionar…

Expanda Categorias de URL, e adicione as categorias que deverão ser bloqueadas de acordo com a sua necessidade, no nosso caso vamos bloquear as categorias Chat, Nudez e Pornografia. Clique em Adicionar e ao termino em Fechar.

De volta à Propriedade de Acesso Web clique em OK.

Clique em Aplicar.

Para confirmar as alterações clique em OK.

Resultado da Diretiva de Acesso.

Ela está permitindo os protocolos HTTP e HTTPS da rede Interna para a rede Externa (Internet) para todos os usuários que são autenticados, porém está bloqueando sites de Chat, Nudez e Pornografia baseado na categorização de URL feita pelo MRS (Serviço de Reputação da Microsoft).

Você pode consultar uma URL para saber em qual categoria ela se encaixa. Clique em Consultar Categoria de URL.

Digite a URL que deseja consultar e clique em Consulta.

Porem pode haver raríssimos casos em que a categoria não corresponde ao critério desejado, como é o caso da URL batepapo.uol.com.br que é categorizada como Blogs/Wiki.

Para estes casos específicos você pode substituir a categoria de URL. Clique em Configurar Substituições de Categoria de URL.

Na tab Substituições de Categoria de URL, clique em Adicionar…

Digite a URL a ser substituída seguida de * selecione a Categoria de URL, nesse caso Chat e clique em OK.

Verifique se a URL foi substituída e clique em OK.

Clique em Aplicar.

Para confirmar as alterações clique em OK.

Após alguns minutos se fizermos a Consulta de Categoria novamente da URL batepapo.uol.com.br, verificamos que ela se encontra na categoria Chat que foi substituída pelo Administrador do ForeFront TMG 2010.

Ao tentar acessar qualquer URL categorizada como Chat, Nudez ou Pornografia o usuário receberá a pagina de bloqueio erro 502.

Vejam como ficou a Diretiva de Acesso, reparem que as categorias ficaram “cortadas” isso significa que elas estao nas excessões de acessso, ou seja, estão sendo usada para bloqueio.

Você pode usar as categorias para liberar acesso somente a determinados conteúdos, como por exemplo, sites de noticias, veja como ficaria a Diretiva.

Então é isso pessoal, vimos como controlar o acesso Web usando o novo recurso de Filtragem de URL do ForeFront TMG 2010 e também vimos como consultar e substituir uma categoria de URL, fico devendo a Inspeção de Malware que será abordada no próximo post.

Inspeção de Malware no ForeFront TMG 2010 Olá Pessoal,

Todo administrador de sistemas sabe que o trafego Web pode trazer alguns malefícios como spywares, vírus e malwares. O Forefront TMG usa definições de vírus conhecidos, worms e outros malwares que baixa do Microsoft Update ou WSUS (Windows Server Update Services), para inspeção de malware. O Filtro de Inspeção de Malware do Forefront TMG verifica páginas da Web e arquivos solicitados por computadores cliente, e limpa o conteúdo HTTP prejudicial ou bloqueia sua entrada na rede interna. Ao habilitar a inspeção de malware em regras de acesso à Web, o Filtro de Inspeção de Malware examina páginas da Web e arquivos solicitados por computadores cliente, e limpa o conteúdo HTTP prejudicial ou bloqueia sua entrada. Embora seja recomendável que você mantenha as configurações padrão, você poderá definir opções de inspeção de malware para uma regra que sejam diferentes daquelas definidas globalmente.

Vamos definir a inspeção de Malware para a regra Acesso Web

Na árvore do console de Gerenciamento do Forefront TMG, selecione Diretiva de Acesso à Web a qual deseja habilitar a inspeção de malware clique com o botão direito e selecione Propriedades.

Selecione a tab Inspeção de Malware e marque a box Inspecionar conteúdo baixado de servidores Web para clientes, e clique em OK.

Clique em Aplicar.

Para confirmar as alterações clique em OK.

Pronto a inspeção de Malware já está habilitada, quando um cliente fizer download de arquivo da internet, o arquivo será recuperado como na imagem abaixo.

Inspecionado, baseado nas definições baixadas do Microsoft Update ou WSUS (Windows Server Update Services).

Ao termino da verificação o arquivo será liberado para download.

É possível habilitar a inspeção de Malware no momento de criação de uma Diretiva de Acesso à Web, basta selecionar Habilitar inspeção de malware para esta regra no Assistente de criação.

Também é possível configurar exceções tanto de Destino como de Origem que não irão passar pela inspeção de Malware.

Na Central de Atualizações é possível verificar o status de atualização das definições de inspeção de Malware.

Bom nesse post vimos como funciona o novo recurso de inspeção de Malware do ForeFront TMG 2010 que traz maior segurança ao ambiente corporativo , combatendo pragas e ameaças online de forma eficaz.

Criando Grupos de Acesso no ForeFront TMG 2010 Olá pessoal!

Um dos grandes benefícios do ISA Server e agora do ForeFront TMG 2010 é a capacidade de integração com o Active Directory, esse recurso permite que você gerencie melhor o acesso web baseado nos grupos de segurança ou contas de usuários do AD por exemplo.

Na imagem abaixo temos dois grupos de segurança do AD, vamos “importar” o grupo ACESSO LIBERADO para o Conjunto de Usuários do ForeFront TMG 2010.

Na árvore do console de Gerenciamento do Forefront TMG, selecione Diretiva de Firewall, selecione Ferramentas, expanda Usuários e clique em Novo.

Informe o nome que deseja dar ao objeto, recomendo que seja o mesmo usado no Active Directory.

Em Usuários clique em Adicionar…

Selecione Usuários e grupos do Windows…

Em Selecionar Usuários ou Grupos clique em Locais…

Altere o local para a árvore do seu domínio e clique em OK.

Informe o nome do seu grupo de segurança e clique me verificar nomes, após o nome ser retornado corretamente clique em OK.

De volta a Usuarios clique em Avançar.

Revise se as configurações estão corretas e clique em Concluir.

Clique em Aplicar.

Para confirmar as alterações clique em OK.

O grupo será adicionado aos Usuários do ForeFront TMG 2010.

E você poderá usa-lo nas suas Diretivas de Acesso Web para gerenciar de maneira simplificada os acessos à internet da sua rede corporativa.

Nesse post vimos como importar grupos de segurança do Active Directory para o ForeFront TMG 2010, você pode importar também contas de usuários diretamente no lugar de grupos de segurança

Configurando VPN no ForeFront TMG 2010 Olá pessoal!

Nesse post vamos ver como configurar o acesso VPN no ForeFront TMG 2010. No nosso cenário um cliente externo irá se conectar a rede corporativa de forma segura através do ForeFront TMG 2010, veja o exemplo no diagrama abaixo:

Primeiro passo é criar a conta de usuário e o grupo de segurança que serão usados para acesso VPN, como na imagem abaixo:

A conta de usuário deve ter o Acesso de discagem permitido.

E ser membro do Grupo de segurança que terá direito de acesso no ForeFront TMG.

Na árvore do console de Gerenciamento do Forefront TMG, selecione Diretiva de Acesso Remoto (VPN) clique em Configurar o Método de Atribuição de Endereço.

Selecione Protocolo DHCP e clique em OK.

De volta a Console de Gerenciamento clique em Habilitar Acesso a Cliente VPN.

De volta a Console de Gerenciamento clique em Especifique Usuários do Windows.

Na tab Grupos clique em Adicionar…

Em Selecionar Usuários ou Grupos clique em Locais…

Altere o local para a árvore do seu domínio e clique em OK.

Informe o nome do grupo de segurança e clique em OK.

De volta a tab Grupos clique em Aplicar.

Na tab Geral você pode definir o numero máximo de conexões VPN simultâneas que o ForeFront TMG 2010 irá aceitar, clique em OK.

Clique em Aplicar.

Para confirmar as alterações clique em OK.

Na árvore do console de Gerenciamento do Forefront TMG, selecione Monitorando e clique em Serviços, aguarde o Serviço de Acesso Remoto iniciar.

Para que os clientes VPN tenham acesso a recursos da sua rede interna como compartilhamentos de rede, você deve criar uma Diretiva de Firewall que permita esse tipo de acesso tome como exemplo a regra criada no post anterior alterando as opções para que fique igual à imagem abaixo:

Configurando VPN no Windows 7 Abra a Central de redes e compartilhamento e clique em Configurar uma nova conexão ou rede.

Em Escolher uma opção de conexão clique em Conectar a um local de trabalho e clique em Avançar..

Em Como deseja se conectar? Clique em Usar minha conexão com Internet (VPN).

Em Digite o endereço da Internet com o qual se conectar informe os dados públicos da sua infraestrutura de rede e clique em Avançar.

Em Digite o seu nome de usuário e a senha forneça os dados necessários e clique em conectar.

O assistente irá iniciar a conexão VPN.

E a conexão VPN será estabelecida com sucesso.

Defina o Local de rede como Rede Corporativa.

Para verificar as conexões VPN no ForeFront TMG clique em Monitorando, selecione Sessões e clique em Editar Filtro.

Edite o filtro com o Tipo de Sessão igual a Cliente VPN e clique em Adicionar à Lista.

E clique em Iniciar Consulta.

Serão exibidas as conexões VPN ativas.

Nesse post vimos como liberar o acesso VPN de clientes externos para a rede interna de forma segura com o ForeFront TMG 2010

Erro 502/12156 ISA Server e ForeFront TMG 2010 Olá Pessoal!

Para quem administra um servidor ISA ou TMG e os clientes estão recebendo a seguinte mensagem: Error Code: 502 Proxy Error. The HTTP message includes an unsupported header or an unsupported combination of headers. (12156)

Código de erro: erro 502 de proxy: A mensagem HTTP inclui um cabeçalho sem suporte ou uma combinação sem suporte de cabeçalhos. (12156)

Esse problema ocorre se uma resposta do servidor da Web contém um cabeçalho HTTP que começa com um espaço ou com um caractere TAB.

Para resolver esse problema salve o código abaixo como um arquivo .reg, execute no servidor ISA/TMG e reinicie a maquina:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RAT\Stingray\Debug\Web Filters]

“DROP_CONTINUATION_LINES”=dword:00000001

Maiores detalhes você encontra em http://support.microsoft.com/kb/935693

Limpando Cache no ForeFront TMG 2010 Olá pessoal,

O Forefront TMG fornece cache de objetos solicitados frequentemente para aprimorar a velocidade do acesso à Web e o desempenho da rede, mas em alguns casos pode ser necessário “limpar” ou “excluir” o cache para atualizar o conteúdo. Vamos ver duas maneiras de executar esse procedimento.

Limpando todo Cache

Este procedimento é bastante simples e consiste em parar o serviço de Firewall do TMG, excluir o arquivo Dir1.cdat.

Na árvore do console de Gerenciamento do Forefront TMG, selecione Monitorando, no painel central selecione Serviços, selecione o serviço Firewall do Microsoft Forefront TMG e no painel direito clique em Parar o Serviço Selecionado.

Certifique-se de que o serviço é parado com sucesso.

Localize a pasta Urlcache.

Na pasta Urlcache, localize o arquivo que possui a extensão de nome de arquivo .cdat.

Clique com o botão direito no arquivo .cdat e, em seguida, clique em Excluir .

Quando você for solicitado para confirmar a remoção do arquivo .cdat, clique em Sim .

Se você for solicitado para excluir o arquivo .cdat porque ele é muito grande para a Lixeira, clique em Sim.

Retorne a Console do Forefront TMG e selecione o serviço Firewall do Microsoft Forefront TMG e clique em Iniciar Serviço Selecionado.

Com esse procedimento todo o cache do Forefront TMG é excluído.

Limpando cache especifico

Para limpar um cache especifico como de um único site, por exemplo, é necessário utilizar a ferramenta Cachedir.exe, faça download do pacote CacheDirPack.exe execute a instalação, esse processo irá extrair o arquivo CacheDir.exe por padrão na pasta C:\Program Files (x86)\Microsoft Forefront TMG Tools\CacheDir. Você deve copiar o arquivo CacheDir.exe para a pasta C:\Program Files\Microsoft Forefront Threat Management Gateway.

Execute a ferramenta CacheDir, localize a URL que deseja remover do cache

Clique com o botão direito sobre a URL e selecione Mark as Obsolete.

Para confirmar clique em Sim.

A URL será removida do cache do Forefront TMG 2010.

Nesse post vimos duas maneiras para excluir conteúdos do cache do Forefront TMG 2010

Habilitando o WPAD Forefront TMG 2010 Você pode usar o servidor do Forefront TMG como o servidor de WPAD no qual os arquivos de configuração Wpad.dat e Wspad.dat estão localizados. Neste post vamos configurar a rede na qual os clientes estão localizados para publicar informações de descoberta automática e como especificar a porta na qual o computador do Forefront TMG deve disponibilizar as informações de descoberta automática.

Para configurar o servidor de WPAD

Na árvore do console de Gerenciamento do Forefront TMG, clique em Sistema de Rede. No painel de detalhes, clique na guia Redes e selecione a rede na qual você deseja escutar as solicitações WPAD dos clientes (geralmente a rede interna padrão).

Na guia Tarefas, clique em Editar Rede Selecionada.

Na guia Descoberta Automática, selecione Publicar informações de descoberta automática desta rede.

Em Usar esta porta para solicitações de descoberta automática, especifique a porta na qual o servidor de WPAD do Forefront TMG deverá escutar as solicitações WPAD dos clientes.

Clique em Aplicar.

Para confirmar as alterações clique em OK.

Bom, agora o Forefront TMG já está com o WPAD habilitado, no próximo post vamos ver como configurar a entrada WPAD no servidor DNS.

Configurando entrada WPAD no DNS É possível configurar uma entrada DNS no servidor DNS do controlador de domínio da rede, da qual as solicitações de descoberta automáticas dos clientes serão recebidas (geralmente a rede interna) dessa maneira ao efetuar uma consulta DNS os clientes conseguiram acessar automaticamente o script de configuração do WPAD.

Para configurar um alias para a entrada WPAD

Clique em Iniciar, digite dnsmgmt.msc e abra a snap-in de gerenciamento do servidor DNS.

Na árvore de console, clique com o botão direito do mouse na zona de pesquisa direta do domínio e clique em Novo Alias (CNAME).

Em Nome do alias, digite WPAD.

Em Nome totalmente qualificado para host de destino, clique em Procurar para pesquisar o namespace DNS do nome do servidor do Forefront TMG.

Clique em OK e o resultado deve ser o seguinte:

Clique em OK e verifique o se o registro foi criado com sucesso.

Verifique se o servidor está respondendo as consultas corretamente, executando o comando “nslookup wpad” a resposta deve ser a seguinte:

É extremamente importante que esta consulta funcione corretamente.

A função Servidor DNS no Windows Server 2008 apresenta uma lista global de consultas não autorizadas para reduzir a vulnerabilidade associada às atualizações do DNS, descrito em 962238. Isso pode afetar a implantação WPAD. Nesse caso pode haver problemas de resolução de nomes do WPAD.

Para corrigir esse problema abra o editor de registro.

Navegue até HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\DNS\Parameters

Abra o valor GlobalQueryBlockList e remova a entrada wpad. Repare que há um caractere após a entrada isatap, recomendo não remove-lo. Clique em OK.

Pode ser necessário reiniciar o servidor após esse procedimento. A boa noticia é que se você já possuía a entrada WPAD no DNS antes de instalar o 2008 server esse problema não ocorre.

Então é isso pessoal, nesse post vimos configurar corretamente a entrada WPAD no servidor DNS

Instalando o Cliente TMG via GPO Olá Pessoal,

Nos dois últimos post vimos como configurar a descoberta automática do Forefront TMG na nossa infraestrutura de rede, neste post veremos como distribuir e instalar o software Cliente do Forefront TMG nos computadores clientes do Forefront TMG. O software Cliente do Forefront TMG inclui o arquivo ms_fwc.msi do Windows Installer e está disponível no DVD do Forefront TMG, nas edições Standard e Enterprise. A instalação do Cliente do Forefront TMG é permitida em sistemas operacionais de 32 e 64 bits.

Existem apenas algumas configurações no servidor Forefront TMG, que são responsáveis por configurar o comportamento do cliente Forefront TMG. Primeiro de tudo, é possível habilitar o suporte ao cliente TMG para a definição da rede interna no servidor TMG como você pode ver na imagem seguinte.

Abra o DVD de instalação do Forefront TMG 2010 navegue até a pasta \client e copie o arquivo MS_FWC.msi.

Cole em um compartilhamento de rede. Com permissão de leitura para o grupo Todos.

Abra o gpmc.msc Editor de Objeto de Diretiva de Grupo.

Crie ou edite uma GPO que afete as contas de computadores que deverão ter o TMG Client instalado.

Expanda Configurações do Computador / Diretivas / Configurações de Software / Instalação de Software clique com o botão direito, Novo e selecione Pacote…

Localize o compartilhamento de rede em que o pacote MS_FWC.msi foi copiado, selecione o pacote e clique em Abrir.

Na tela Implantar Software, selecione Atribuído e clique em OK.

O resultado deve ser semelhante:

Na mesma GPO configure o Windows Installer para “Sempre instalar com alto privilegio“.

Feche o Editor de diretiva de grupo. Após a aplicação da GPO nos estações o TMG Client será instalado na próxima inicialização.

Verifique se a GPO foi aplicada executando o comando “gpresult /Z” na estação cliente.

Verificando o Visualizador de eventos da estação é possível encontrar o log de instalação do TMG Cliente.

O ícone do TMG Client, irá aparecer na systray.

Para verificar as configurações do Client TMG, clique com o botão direito no ícone, selecione propriedades e clique em Configurações.

Clicando em Avançado… você pode observar que o Client TMG primeiro consulta o registro do AD Marker para depois consultar o DNS e DHCP no processo de descoberta automática.

Nesse post vimos como distribuir o Client TMG via Group Policy, esta é uma excelente pratica, pois você pode remover o Client TMG usando essa GPO. No próximo post vamos explorar os benefícios do Client TMG e desmistifica-lo.

Desmistificando o Cliente TMG Olá Pessoal,

Neste post eu vou tentar esclarecer para vocês o que realmente é o Cliente TMG ou nas versões do ISA Server o Cliente de Firewall. Tenho visto em muitos cenários que os administradores de sistemas não implantam o Cliente TMG por temerem que ele funcione como o Firewall do Windows ou que ele possa fechar/bloquear portas na maquina cliente, essa não é a função do Cliente TMG. O cliente do Forefront TMG fornece notificações da inspeção HTTPS, a descoberta automática, segurança avançada, suporte a aplicativos e controle de acesso para computadores cliente. Quando um computador cliente executando o Cliente TMG faz uma requisição de Firewall, o pedido é direcionado para o servidor Forefront TMG 2010 para processamento. Nenhum encaminhamento infra-estrutura específica é necessária devido ao processo de Winsock. O Cliente TMG envia as credenciais do usuário de forma transparente com cada solicitação, permitindo que você crie uma política de firewall no TMG Forefront 2010 computador com as regras que usam as credenciais de autenticação fornecidas pelo cliente, mas apenas com base no tráfego TCP e UDP.

Na imagem abaixo temos o log de uma maquina que executa o Cliente TMG e está fazendo uma conexão com cliente RDP (mstsc) em um servidor da internet (201.XXX.XXX.XXX). Perceba que em todo momento o trafego é autenticado.

Dessa forma eu posso definir uma regra de acesso RDP somente para usuários autenticados. Sem o Cliente TMG instalado isso não seria possível.

Caso o Cliente TMG seja removido ou não esteja em execução na maquina, o acesso será negado, pois não é autenticado.

Acho que agora não existem mais motivos para continuar com maquinas sem o Client TMG/Firewall instalado, certo?