É muito importante que seja definido quem será responsável por qual tarefa no ISA Server 2006. Caso usuários não autorizados acessem o console do ISA Server 2006 com uma conta que possua poderes administrativos, toda a comunicação da sua rede poderá ser comprometida. Geralmente, os profissionais que precisam de acesso no ISA Server são:
- Administradores de Redes: o administrador de redes é o responsável pelos servidores, estações de trabalho e a pela comunicação da rede. Como são profissionais com um certo nível de conhecimento e anos de experiência, pode ser interessante que esse cara tenha acesso ao console do ISA Server.
- Administradores de Correio Eletrônico: o administrador do correio eletrônico é responsável pelo envio, recebimento e gerenciamento de mensagens de e-mail da empresa. Caso o servidor de e-mails esteja dentro da rede da empresa, é muito provável que esse servidor seja protegido pelo ISA Server. Portanto, esse cara também poderá ter acesso ao console do ISA.
- Administrador do Firewall: esse é o profissional especialista em firewall, que sabe tudo de protocolos e tráfego de redes. Além disso, devem ser profissionais especializados em segurança.
Uma vez identificados os possíveis usuários que terão acesso ao console do ISA Server, você deverá definir o tipo de acesso que esses usuários terão. Por padrão, o ISA Server 2006 possui três tipos de funções:
- Administrador Pleno do ISA Server: usuários e grupos com essa função terão acesso total ao ISA Server, podendo inclusive criar e excluir regras, aplicar modelos de rede, a assim por diante.
- Auditor de Monitoramento do ISA Server: usuários e grupos com essa função podem realizar as tarefas básicas de monitoramento, porém, não podem visualizar as configurações do ISA Server.
- Auditor do ISA Server: usuários que grupos com essa função poderão realizar todas as tarefas relacionadas com o monitoramento do ISA Server, inclusive configurar os logs e alertas. Podem também visualizar todas as configurações do ISA Server.
Segue abaixo uma tabela que resume as atividades disponíveis em cada uma das funções:
Tabela 1 – Funções x Tarefas
| Atividade |
Auditor de monitoramento do ISA Server |
Auditor do ISA Server |
Administrador Pleno do ISA Server |
| Exibir painel, alertas, conectividade, sessões e serviços |
Permitido |
Permitido |
Permitido |
| Alertas de confirmação |
Permitido |
Permitido |
Permitido |
| Exibir informações de log |
Não permitido |
Permitido |
Permitido |
| Criar definições de alerta |
Não permitido |
Não permitido |
Permitido |
| Criar relatórios |
Não permitido |
Permitido |
Permitido |
| Interromper e iniciar sessões e serviços |
Não permitido |
Permitido |
Permitido |
| Exibir diretiva de firewall |
Não permitido |
Permitido |
Permitido |
| Configurar diretiva de firewall |
Não permitido |
Não permitido |
Permitido |
| Configurar cache |
Não permitido |
Não permitido |
Permitido |
| Configurar uma VPN (rede privada virtual) |
Não permitido |
Não permitido |
Permitido |
Vamos agora para um exemplo prático onde veremos como delegar os poderes administrativos.
Exemplo prático – Delegar Poderes Administrativos
- Efetue logon no ISA Server 2006 com a conta de usuário Administrador.
- Clique em Iniciar -> Todos os Programas -> Microsoft ISA Server -> Gerenciamento do ISA Server.
- Clique duas vezes sobre o nome do servidor ISA para que as opções sejam expandidas.
- Clique em Configuração -> Geral.
- No painel de detalhes clique em Atribuir Funções Administrativas.
- Na tela que será aberta, clique na aba Atribuir Funções.
- Observe que pode padrão apenas os membros do grupo Administradores possui a função Administrador Pleno do ISA Server.
- Para adicionar um novo usuário, clique no botão Adicionar.
- Na tela que será aberta, clique em Procurar, localize e selecione o usuário. Após isso defina a função que será atribuída para o usuário e clique em OK.
Figura 1 – Delegação de Poderes Administrativos
- Na próxima tela clique em OK.
Figura 2 – Delegação de Poderes Administrativos
- No painel de detalhes, clique em Aplicar e em OK.
- Pronto. A partir desse momento, o usuário selecionado já possui a função especificada. Faça um teste. Efetue logon no ISA Server com a conta de usuário que você selecionou durante esse exemplo, abra o console do ISA Server e veja o que o usuário poderá fazer no console do ISA.
- No meu caso, eu selecionei o usuário Fabiano e atribuí para esse usuário a função Auditor de Monitoramento do ISA Server. Ao abrir o console, veja o que aconteceu:
Figura 3 – Console do ISA Server
- Somente a seção Monitorando foi exibida para esse usuário.
Conclusão
É isso pessoal, espero que este artigo seja útil para todos. Em caso de dúvidas sobre o conteúdo deste artigo, ou para enviar sugestões sobre novos tutoriais que você gostaria de ver publicados neste site, entre com contato através do e-mail: fabiano@winsec.org ou vitor@winsec.org
Links Relacionados
http://www.microsoft.com/isaserver/default.mspx
Tire suas dúvidas no site abaixo. Muitos profissionais qualificados tentarão lhe ajudar da melhor forma possível:
http://forums.microsoft.com/technet-br
Fabiano de Santana, trabalha com TI a mais de 7 anos. Bacharelado em Análise de Sistemas e cursando Pós Graduação em Segurança da Informação. Trabalha atualmente na IBM Brasil, membro do time de Intel Security. Realizou vários projetos, entre eles implementação do WSUS, migração de correio eletrônico, implementação do ISA Server 2004, implementação de políticas de segurança, implementação de Lotus Notes, entre outros. Possui as certificações MCP, MCDST, MCSA / MCSE 2000 Security, MCSA/MCSE 2003 Security, ITIL Foundation e IBM Certified System Administrator – Lotus Notes and Domino 7.
Autor de ebooks e artigos em parceria com o Julio Battisti há mais de 2 anos, moderador do Fórum de Windows / Certificações do site www.juliobattisti.com.br e autor de artigos para o Technet. Atua também como professor e autor de cursos para o site iPED.
Líder da comunidade Winsec.org, juntamente com o Vitor Nakano.