SlideShare una empresa de Scribd logo

日本マイクロソフト Forefront tmg_セミナ受講メモ_2011-09-01

Yukio Saito
Yukio Saito

日本マイクロソフト Forefront tmg_セミナ受講メモ_2011-09-01

Desarrollo personal
1 de 18
Descargar para leer sin conexión
Microsoft TMG SP1 製品セミナ ~ネットワーク検査システム(NIS)と Web アクセス保護 オフィスサイトウ 代表 斉藤之雄 http://www.fxfrog.com/ 日本マイクロソフトセミナ受講メモ 【Microsoft TMG SP1 製品セミナ ~ネットワーク検査システム(NIS)と Web アクセス保護】 受講日時 2010 年 9 月 1 日(木) 午後 1 時~ 講師 NRI ラーニングネットワーク髙橋さん 関連サイト⇒ http://www.atmarkit.co.jp/fsecurity/rensai/forefront02/forefront01.html ■Forefront とは? Forefront 製品ファミリー ・Microsoft Forefront とは、エンドツーエンドのセキュリティと情報へのアクセスを提供するため保護、ア クセス、ID管理の製品ラインアップ。 ■Forefront が提供する5つのソリューション 1. メッセージング環境の保護 2. エンドポイントの保護 3. コラボレーション環境の保護 4. 情報保護基盤 5. ID とアクセス管理基盤 なおウィルス対策は2つのアーキテクチャがある。 a. Antigen 社買収により実装 → FOPE, FPE, FSOC, FPSP サーバ向けのマルチウィルススキャンに対応(他社製品対応) b. MSRP, MSDiffender = EndPoint (MS 自社製品)実装 → FPE ■ISA Server (その前は MS Proxy 2.0) から Forefront TMG へ ・2000 年に ISA Server 2000 というマルチレイヤーファイヤーウォールが出荷された。 ・それ以降、マイクロソフトテクノロジーとの親和性や様々な機能を引き継ぎながら、機能強化をしている。 ■Forefront TNG の新機能 統合脅威管理ゲートウェイ ファイアウォール 安全な Web アクセス 電子メールの保護 侵入防止 (社内) リモートアクセス 設定と管理 更新サービス 1
Microsoft TMG SP1 製品セミナ ~ネットワーク検査システム(NIS)と Web アクセス保護 ■セキュアな Web 公開 ・Web サーバをカンタンに、かつ安全にインターネットへ公開する ⇒ WAN to LAN ■ネットワーク検査システム(NIS) ・署名ファイルを使用し、脆弱性を使用した攻撃(エクスプロイト)を検出 ⇒ LAN to WAN, WAN to LAN の両方向で機能 ■Web アクセス保護 ・社内の利用者がインターネットの Web サイトにアクセスする際の脅威からの保護 ⇒ LAN to WAN ■セミナの章構成について シンプルな管理(展開) →エッジでのネットワークアクセスポリシのコントロール(F/W) →企業リソースの RAS (VPN, 社内サーバのセキュアな公開) → クライアント PC とサーバへの侵入防止 → 社外 Web アクセスへの安全なアクセス(Web アクセス保護) → 電子メール脅威からのユーザ保護(電子メール保護) 2
Microsoft TMG SP1 製品セミナ ~ネットワーク検査システム(NIS)と Web アクセス保護 ■システム要件 ・H/W 要件 ・プロセッサ 64bit, 1.86GHz, デュアルコアプロセッサ ・メモリ 4GB ・ハードディスク 2.5GB 以上のディスクの空き容量 (キャッシュ用と一時ファイル用は別に必要) ⇒ 500 人以下 250GB, 1 万人 1TB ⇒単一の TMG で、最大 12,169 人の同時ユーザと 487Mbps の WAN 帯域を無理なくサポート @ 3.33GHz Xeon Core i7 プロセッサ 2 基(各 8 コア)と 12GB RAM の最上位機種が必要(Xeon と i7 は別ではないかと?) ・S/W 要件 ・Windows Server 2008 R2 Standard, Enterprise, Datacenter Windows AD ドメインコントローラへの Forefront TMG は TMG SP1 よりサポート。 ・TMS SP1 の機能拡張 ・レポート強化 ・URL フィルター ・支社のサポート ・Share Point 2010 の公開 詳細は Forefront TMG サイトを見なはれ。 http://www.microsoft.com/japan/forefront/threat-management-gateway/default.mspx 3
Microsoft TMG SP1 製品セミナ ~ネットワーク検査システム(NIS)と Web アクセス保護 ■Forefront TMG のエディションとライセンス ・Standard - プロセッサ - Forefront TMG Standard Edition(L のみ 159,500 円) ・Enterprise - プロセッサ - Forefront TMG Enterprise Edition(L のみ 701,300 円) ・Web Protection Service - サブスクリプション(Select A, 106 円/月) ■インストールの流れ STEP1. 準備ツールの実行 STEP2. インストール ウィザードの実行 STEP3. 開始ウィザードの実行 すべてウィザードで行うため、カンタンに導入できる。 // 無人応答インストールは可能であるが、PowerShell を TMG 上では使えない。 4
Microsoft TMG SP1 製品セミナ ~ネットワーク検査システム(NIS)と Web アクセス保護 ■STEP1. 準備ツールの実行 ・インストールの種類 サービスと管理、管理のみ、EMS アレイの一元管理 (通常は前者2つのどれか) ・必須コンポ―ネントをネットワークからインストールする。 Forefront TMG サービス ・ネットワークポリシとアクセスサービス ・AD LDS インストールフォルダ ADAMDataadmntds.dit ・Windows PowerShell ・Windows Installer 4.5 ・Windows .NET 3.5 Framework SP1 ・Windows Web Service API ・Windows Update Enterprise Management Server (EMS) ・AD LDS ・Windows Installer 4.5 ・Windows .NET 3.5 Framework SP1 ■STEP2. インストール ウィザードの実行 Setup.exe を使用した無人インストールも可能。サンプル応答ファイルは TMG メディアにあり。 5
Microsoft TMG SP1 製品セミナ ~ネットワーク検査システム(NIS)と Web アクセス保護 ■STEP3. 開始ウィザードの実行 Forefront TMS 初期構成。自動的に「開始ウィザード」が管理コンソール初回起動時に実行される。 ① ネットワークのセットアップウィザード ・ネットワークテンプレート 1/2 - エッジファイアウォール・・・(2 枚の NIC 必要)DMZ を構成しないでエクストラネットを持つ - 三脚境界・・・(3 枚以上の NIC 必要) DMZ を構成する ・ネットワークテンプレート 2/2 - バックファイアウォール・・・バック to バック型 F/W (一番安全) - 単一ネットワークアダプタ(キャッシュ専用)・・・Web プロクシと Web 公開のみしか利用できない ※ネットワークオブジェクトとルールが自動構成される STEP である。 ・ネットワークアダプタの選択 - LAN 側、WAN(インターネット)側、DMZ 側、それぞれを選択 ②システム構成ウィザード - ホスト ID (コンピュータ名、所属するドメインまたはワークグループ、プライマリ DNS サフィックス選択) ③展開ウィザード - Forefront TMG 環境の Update 設定(定義ファイル、NIS 署名の更新方法) インストール直後は NIS 署名がないので、定義ファイルダウンロード完了後に使用可能。 WSUS からのアップデートも選択可能。 - NIS と Web 保護ライセンスの有効化(Web 保護ライセンスがサブスクリプションキーを入力) ⇒ Evaluation Key は 90 日間有効 - マルウェア検査と URL フィルターの有効化 - NIS 署名の更新の設定 - カスタマーフィードバックと Microsoft 遠隔測定レポートサービスへの参加 ※セキュリティが強化された Windows ファイアウォールは TMG インストール後に無効、且つ設定 できなくなる。 6
Microsoft TMG SP1 製品セミナ ~ネットワーク検査システム(NIS)と Web アクセス保護 ■Forefront TMG の管理ツール 従来と基本的に同じ。 ■F/W Rule の種類 a. 公開ルール - WAN から LAN への「着信方向」のアクセスを制御 - 社内サーバを WAN 公開するときに作成 b. アクセスルール - LAN から WAN への「発信方向」のアクセスを制御 - 社内のコンピュータからインターネットへのアクセスを許可・拒否するときに作成 ■F/W Rule 種類詳細 a. 公開ルール ・着信方向 ・サーバを公開するときに作成 ・種類 Web サーバ:Exchange 公開ルール、Share Point 公開ルール、Web 公開ルール 非 Web サーバ:サーバ公開ルール、メールサーバ公開ルール b. アクセスルール ・発信方向(LAN→WAN) ※正確には公開以外 ・社内のコンピュータからインターネットアクセスを許可・拒否するときに作成 ・種類 HTTP, HTTPS:Web アクセスポリシー(ルールのセット) HTTP, HTTPS 以外:アクセスルール ■ルールの構造 ・条件に一致した場合、指定された動作を実行する。 条件:(送信元、宛先、ユーザ 名前 動作 プロトコル(IP, TCP, UDP)、 アプリケーションフィルタ(HTTP, FTP 等) スケジュールなど) 実行: 条件に一致したら 7
Microsoft TMG SP1 製品セミナ ~ネットワーク検査システム(NIS)と Web アクセス保護 ■F/W ルールの評価 ・順番制御 - 各ルールには順番がある。 - ファイアウォール ルールは、順番に評価され、条件に一致するルールがあれば、そのルールで指定され た動作(許可・拒否)実行し、以降の順番のルールは評価対象にならない。 ⇒同じルールが構成されていても、順番により動作は異なる。 ・既定のルール - TMG インストール後に既定で作成されるルール - すべての条件に対し、拒否する // Any, Any, Drop だね。 - 順番は最後 - 順番を変更することも、ルールを削除することもできない ⇒既定のルールにより、一致する条件のルールがなかったら、トラフィックはすべて拒否される ※変更の適用ボタンを押すと、構成の変更の説明(変更履歴)を記入できる。 トラブルシューティングで、変更の追跡で、この変更履歴を確認できる。 変更の適用ボタンを押して、構成の状態が【同期済み】になっていることを確認すること! ⇒ 適用ボタンを押しただけでは、TMG 動作は変わらない。 適用ボタンは、変更を AD LDS DB に書き込む。 TMG の動作が変更されるには、DB から TMG のメモリに、 その変更情報が読み込まれる必要がある。 →[監視]ノードの[構成]タブで[同期済み]を確認。 どうしてこんな構成になっているのかは、Enterprise Edition になっており複数 TMG アレイ構成されて いる場合、構成データが保管されているのは全てではなく、データに書き込み、取り込むという処理である。 スタンドアロンにおいてテスト環境でルールを複数書いた場合、すぐに反映されないこともあるので留意 すること 8
Microsoft TMG SP1 製品セミナ ~ネットワーク検査システム(NIS)と Web アクセス保護 ■システムポリシ ・TMG の基本機能の実行や、ネットワーク インフラストラクチャ関連のサービスとの通信を有効にするため のルール群 ・システムポリシは、既定で非表示 ・編集は[システムポリシ エディタ]を使用する。 // 内部的に 50 種ほど ・システムポリシ ルールは、その他のルールよりも先に処理される。 // DNS 通信はシステムポリシで許可されているので、明示的に指定する必要はない。 // ICMP レベルの許可もここで書き込まれているので、ping や trace route など通るのはココ。 // 逆方向の疎通確認として ping は指定されていないので、icmp/ping ルールを作る必要がある。 // ローカルホストから Windows update へ HTTP, HTTPS もシステムポリシで許可されている。 // リモート接続の許可ポリシも定義されている。 注意:1.管理者が作ったファイアウォール ルールよりも優先されていること。 仮に DNS を拒否するルールを作っても、システムポリシが有効なので拒否されない。 → [システムポリシ エディタ]で該当箇所を無効化する必要がある。 2.他のルールと違い、DNS 許可について追加も出来ないし、宛先指定できない。 設定変更できないので、専用メニュー[システムポリシ エディタ]で有効化・無効化を行う。 [システムポリシ エディタ]で表示されない条件は変更できないということ。 ルールをいっぱい作った場合、うまく動作しないルールは「無効化」にすればいい。 「削除」にすると、後から追加が大変。 9
Microsoft TMG SP1 製品セミナ ~ネットワーク検査システム(NIS)と Web アクセス保護 ■ダッシュボード Forefront TMG の管理コンソールのダッシュボードで、TMG の稼働状況サマリーを構成できる ■ログの管理 ・TMG のログ すべてのトラフィックを記録 ・ログの格納場所 - SQL Server - SQL Express (Local only) - File (Forefront TMG 形式、W3C 拡張ログファイル形式) ・取得するログのフィールドを指定できる ■ログのフィルタリング表示 ■レポートの確認 ・ログの要約・分析結果をわかりやすくグラフィカル表示。 - Forefront TMG SP1 で改良された。 - ・様々なレポート - サマリー、Web の使用、アプリケーションの使用、トラフィックと使用状況、セキュリティ、マルウェア防御、 URLフィルタ、ネットワーク検査 ・レポート種類 - ワンタイムレポート - 定期的なレポート - ユーザアクティヴィティ レポート ⇒ 特定したユーザのアクセスしたサイト、URL 分類をレポート ⇒ Forefront TMG SP1 の新機能 ■レポート作成時の注意事項 ・ログデータベースからレポートデータベースにログの内容がコピーされるのは 1 日1回(深夜午前1時) なので、この時間に TMG サービスが動作していなければいけない。 10
Microsoft TMG SP1 製品セミナ ~ネットワーク検査システム(NIS)と Web アクセス保護 ■セキュアな Web 公開 ・Web サーバをカンタンに、かつ安全にインターネットへ公開する → インターネットから社内 攻撃を遮断し、カンタンかつ安全にサーバの公開を実現 // SSL 署名失効リストの更新はここでも任意で行えるようにしないとダメだな、と妄想。 ■Forefront TMG の公開ルール ・Web サーバの公開ルール ・Exchange 公開ルール OWA, ActiveSync, Outlook Anywhere など Exchange Client ・SharePoint 公開ルール ・Web 公開ルール ・Web サーバ以外の公開ルール(基本的にただのポートフォワードだけ) ・メールサーバの公開ルール ・サーバ公開ルール ■Web サーバ公開の手順 STEP1. Web リスナー(着信 IP、着信ポート)の定義 STEP2. Web サーバの公開ルール作成 ・公開するサーバの種類ごとに適切なウィザード実行 ・転送先 Web サーバの内部サイト名、IP アドレスを指定 ・Web リスナーの選択 ・選択の条件(ユーザ、スケジュール、送信元、HTTP フィルター) STEP3. ルールのテスト ■Web リスナーの作成 ・ネットワークオブジェクトの一つ。Web リスナーウィザードを実行する。 ・Forefront TMG が LISTEN する IP アドレス、ポートの定義。 ・Web リスナーで構成する項目: ・クライアントとの SSL 接続の有無 ・着信接続を受ける、TMG 外部 NIC の IP アドレス ・SSL 接続で使用するサーバ証明書 ・クライアントの認証方法 ・すべての公開済み Web サイトの SSO の有無 11
Microsoft TMG SP1 製品セミナ ~ネットワーク検査システム(NIS)と Web アクセス保護 ■Web サーバの公開ルールの作成 ・Web リスナーで着信を受け付けた要求に対して、接続を許可・拒否する条件と転送先 Web サーバを 指定 ■HTTP フィルターの構成 ■ルールのテスト ■Exchange Server 2010 の5つのサーバの役割 ・メールボックス (MBX) :メールボックス データベースのホスト ・ハブトランスポート(HUB):メールの配信 // MTA ということか? ・クライアントアクセス(CAS):クライアントからの接続を受け付ける ・ユニファイドメッセージング(UM):音声システムとの連携 ・エッジ トランスポート(Edge):インターネットとメールの送受信 ■クライアントアクセスサーバ ・クライアントからの接続をサポートする Exchange サーバ ・他社製の POP3, IMAP4 も許可する ■社内の Exchange 2010 クライアントアクセスサーバの公開 ・ドメインに参加しているクライアントアクセスサーバは内部ネットワークに配置 ・Exchange 公開ルールを作成し、外部の利用者が社内のメールシステムを利用できるように構成 ■Exchange 公開ルール ウィザード ・[サービスの選択]ページ ・公開する Exchange クライアントアクセスサーバのバージョン、公開するクライアントアクセス サービスの機能を選択 ・各サービス毎の設定の多くは、自動構成される。 12
Microsoft TMG SP1 製品セミナ ~ネットワーク検査システム(NIS)と Web アクセス保護 ■ネットワーク検査システム (NIS) ・署名ファイルを使用し、脆弱性を使用した攻撃(エクスプロイト)を検出する、侵入防止機能 ・ネットワーク経由の攻撃と NIS 署名(シグネチャ)のパターンマッチによる検出 ・NIS 署名はマイクロソフト マルウェア対応センター(MMPC)によって、開発・提供される。 ・サポートされるプロトコル(HTTP 以外も検査できる) ・HTTP, DNS, SMB, SMB2, NetBIOS, MSRPC, SMTP, POP3, IMAP, MIME ■NIS の目的 ・ゼロデイ攻撃の防止 ・常時稼働が求められるシステムで、セキュリティ更新プログラムの即時展開が困難な場合の代替案 ・マイクロソフト マルウェア対応センター(MMPC)では、CVE 番号が付与され公開された後、出来る限り 早く NIS 署名を公開 ■NIS 署名の提供 ・Microsoft NIS(仮想パッチ)のページを参照してください。 CVE バージョンは北米 NPO MITER 社より CVE-西暦-連番 が採用されている。 ・NIS は汎用アプリケーションレベル プロトコルアナライザ(GAPA) のテクノロジを使用 ・GAPA はプロトコル仕様言語(GAPA 言語あるいは GPAL)と分析エンジンから構成される。 MMCP GAPAL (GAPA 言語) コンパイラ NIS 署名 プロトコル・パーサー として公開 Windows Update 署名 13
Microsoft TMG SP1 製品セミナ ~ネットワーク検査システム(NIS)と Web アクセス保護 ■NIS の有効化と署名の更新 ・インストールされている署名の確認と設定 動作確認用テスト署名 応答をカスタマイズした署名などにフラグを設定可能 検出した場合の動作(検出のみ=通過、ブロック) 署名ごとの該当する MS セキュリティ情報 ■NIS の署名情報の設定 ■NIS を仮想パッチとして利用 ・Windows 2000 Server 延長サポート期間終了 (2010 年 7 月) ・セキュリティ更新プログラムが提供されてない。 が、NIS 署名は提供される。 ・常時稼働しているために、 パッチの適用が難しいシステムに効果的(SAPなど?) 対象サーバのみセグメントを切って使う。 ■NIS の仮想パッチで出来ること、出来ないこと。 ・できること ・MSFT で認識している OS、アプリケーションサーバの脆弱性に対するセキュリティ対策 ・リモートから攻撃される可能性のある重要度「高」以上の脆弱性に対する NIS 署名を提供 ・できないこと ・MSFT で認識していない脆弱性を悪用した攻撃に対するセキュリティ対策 ・他社アプリケーション(Adobe 等?) s脆弱性対策 ・ローカルのマルウェア対策 ・ローカルで攻撃される可能性のある脆弱性に対する NIS 署名ファイル提供 NIS を使用すれば、セキュリティ更新プログラムを適用しなくてよい、というわけではない! 14
Microsoft TMG SP1 製品セミナ ~ネットワーク検査システム(NIS)と Web アクセス保護 // Q&A(個別に講師へ問い合わせ) // TMG ログを ODBC で別の SQL Server (MySQL 等)へ発行できないので、 // W3C 拡張形式でテキスト発行したものを別途書き出す SQL ドライバが必要。 // // SCVMM2010(2012)で、管理されている Hyper-V 上の Windows 2000 Server を // TMG で保護下におきたい場合は、SCVMM に TMG をインストールすることは推奨されておらず // 専用の TMG サーバを立てて、しかも外向けとのセグメント構成を意識しなければならない。 // →要検証ですな。 // // PowerShell コマンドは用意されていないので、SSL 署名失効リストを「コマンド一発更新」は // 行えない。 ■Web アクセス保護 ・外部 Web サイトへの安全なアクセス ・①URL フィルター ・②HTTP 検査 ・③マルウェア検査 ■Web アクセスポリシウィザード ・初期設定は Forefront TMG の管理コンソール初期起動時に起動させることも可能。 ■URL フィルターの設定 ・URL フィルターは Web アクセスポリシウィザードで作成 ※例外ユーザに対しては、許可ルールを作成して拒否ルールの前に実行されればよい ■拒否通知メッセージのカスタマイズ ・Web アクセスポリシーで設定 ・Forefront TMG SP1 では、ページ全体のカスタマイズが可能。 ■ユーザによる上書きの許可 ・Web アクセスポリシーで設定 ・Forefront TMG SP1 の新機能 ・URL フィルターがブロックするサイトへのアクセス制限を、ユーザ自身が上書きできる機能。 → セッションクッキーを持っている場合であっても、ブラウザを再読み込みしてもブロックしてしまう。 // 自社がプレイボーイ関連のサイトである場合など、個別で許可指定(理由書くなどして)可能。 15
Microsoft TMG SP1 製品セミナ ~ネットワーク検査システム(NIS)と Web アクセス保護 ■マルウェア検査 ・Forefront Endpoint Protection 2010 (FEP) 旧バージョン:Malware Protection Engine (MPE)を使用 → Forefront Client Security (FCS)や Windows Defender と同じエンジン ・検査から除外できるサイトを指定可能 既定で「マルウェアサイト検査から除外されるサイト」が構成 →動画サイトや巨大ファイルサイトの定義 デフォルトは *.micrsoft.com, *.windows.com, *.windowsupdate.com ・定義ファイルは Microsoft Windows Update からダウンロード ■マルウェア検査の設定 ・マルウェア検査は Web アクセスポリシウィザードで作成 ・ポリシごとの検査設定、既定の構成を上書き ・[定義の更新]タブで、定義ファイルの自動更新と更新カナックなどを設定([更新センター]からも設定 可能) ■コンテンツの配信 ・マルウェア検査によるコンテンツダウンロード遅延に関連する設定 ・トリクルにより、クライアント側タイムアウトを防ぐ ・標準トリクル:10 秒後に最初の 4KB、その後、ファイルが完全に検査されるまで 5 秒ごとに 50 バイト送信 ・高速トリクル:データをできるだけ速く送信するが、最後の部分の送信は保留し、 スキャンが完了してから送信する(オーディオやビデオデータ向け) ・進行状況の通知を行い、クライアント側に進行状況のインジケータを表示する。 ■マルウェア検査 1. http://extersrv.adatum.com/ に IE から接続 2.ログの確認 ・フィルター編集 16
Microsoft TMG SP1 製品セミナ ~ネットワーク検査システム(NIS)と Web アクセス保護 ■HTTPS 検査 ・社内から社外への発信方向の HTTPS トラフィックの検査 ・検査から除外するサイトを指定できる (金銭や健康に関するサイトを社内規則で除外している条件があれば) ・クライアント コンピュータに検査を行っているという通知を表示できる ・TMG クライアントソフトウェアが必要 ・TMG と外部 Web サーバ間、TMG とクライアント間で、異なる2つの HTTP トラフィックを確立 ■HTTP 検査と SSL ブリッジの違い ・HTTP 検査・・・Forefront TNG からサポート → 社内から社外への発信方向の検査 ・SSL ブリッジ・・・ISA Server からサポート → 社外から社内への着信方向で使用できる機能 ■HTTPS 検査の証明書 ・クライアントに新しい証明書を発行するために必要 ・HTTPS 検査の証明書の生成は2つある。 →Forefront TMG による生成 →ローカル証明機関(オレ署名 CA)による発行 ・ドメイン環境の場合は、AD を通じて自動的に各コンピュータの「信頼されたルート証明機関」に 展開できる。 ※トラフィックを検査し、サイト証明書を検証する。 Or トラフィックは検査しないが、サイト証明書を検証する。証明書が無効な場合は HTTPS トラフィックをブ ロックする。のいずれかを指定できる。(が、証明書失効リストを一発更新はできなさそうだ。Orz) ■HTTPS 検査の設定 ・HTTPS 検査は、Web アクセスポリシウィザードで作成する ■クライアントへの通知機能 ・TMG クライアントソフトウェアをインストールする (MS_FWC.msi) ・TMG サーバ、TMG クライアントで、通知機能を有効にする ・HTTPS 検査の証明書をクライアント コンピュータ[信頼されたルート証明機関]ストアに格納する。 ※グループポリシでも出来るやん!・・・その通り。 17
Microsoft TMG SP1 製品セミナ ~ネットワーク検査システム(NIS)と Web アクセス保護 ■Forefront TMG クライアントソフトウェア ・TMG クライアントソフトウェアが提供する機能 ・HTTPS 検査時の通知 ・AD の検索による TMG サーバ自動検出 ・すべての Winsock アプリケーションのサポートとユーザレベル認証 ・C:Microsoft Forefront TMGClientMS_FWC.msi を各コンピュータにインストールする。 以上 18

Recomendados

被遮蔽的歷史
被遮蔽的歷史被遮蔽的歷史
被遮蔽的歷史kepomalaysia
 
Mautic DBのバックアップとリストア(Windows+Bitnami Mautic Stack)
Mautic DBのバックアップとリストア(Windows+Bitnami Mautic Stack)Mautic DBのバックアップとリストア(Windows+Bitnami Mautic Stack)
Mautic DBのバックアップとリストア(Windows+Bitnami Mautic Stack)Jun Katayama
 
Mautic導入ポイントと初期設定(Windows+Bitnami Mautic Stack)
Mautic導入ポイントと初期設定(Windows+Bitnami Mautic Stack)Mautic導入ポイントと初期設定(Windows+Bitnami Mautic Stack)
Mautic導入ポイントと初期設定(Windows+Bitnami Mautic Stack)Jun Katayama
 
“見てわかる” ファイバーチャネルSAN基礎講座(第5弾)~さあ、いよいよ、運用です!~
“見てわかる” ファイバーチャネルSAN基礎講座(第5弾)~さあ、いよいよ、運用です!~“見てわかる” ファイバーチャネルSAN基礎講座(第5弾)~さあ、いよいよ、運用です!~
“見てわかる” ファイバーチャネルSAN基礎講座(第5弾)~さあ、いよいよ、運用です!~Brocade
 
少しでもセキュリティを向上させたい! Mauticの運用方法
少しでもセキュリティを向上させたい! Mauticの運用方法少しでもセキュリティを向上させたい! Mauticの運用方法
少しでもセキュリティを向上させたい! Mauticの運用方法Jun Katayama
 
SELinuxによる攻撃防止の例
SELinuxによる攻撃防止の例SELinuxによる攻撃防止の例
SELinuxによる攻撃防止の例Hiroki Ishikawa
 
ブロケード FC ファブリックスイッチ オペレーション講座(後編)
ブロケード FC ファブリックスイッチ オペレーション講座(後編)ブロケード FC ファブリックスイッチ オペレーション講座(後編)
ブロケード FC ファブリックスイッチ オペレーション講座(後編)Brocade
 
“見てわかる” ファイバーチャネルSAN基礎講座(第4弾)~続・間違わない!FC SAN導入のヒントとコツ~
“見てわかる” ファイバーチャネルSAN基礎講座(第4弾)~続・間違わない!FC SAN導入のヒントとコツ~“見てわかる” ファイバーチャネルSAN基礎講座(第4弾)~続・間違わない!FC SAN導入のヒントとコツ~
“見てわかる” ファイバーチャネルSAN基礎講座(第4弾)~続・間違わない!FC SAN導入のヒントとコツ~Brocade
 

Recomendados

被遮蔽的歷史
被遮蔽的歷史被遮蔽的歷史
被遮蔽的歷史kepomalaysia
 
Mautic DBのバックアップとリストア(Windows+Bitnami Mautic Stack)
Mautic DBのバックアップとリストア(Windows+Bitnami Mautic Stack)Mautic DBのバックアップとリストア(Windows+Bitnami Mautic Stack)
Mautic DBのバックアップとリストア(Windows+Bitnami Mautic Stack)Jun Katayama
 
Mautic導入ポイントと初期設定(Windows+Bitnami Mautic Stack)
Mautic導入ポイントと初期設定(Windows+Bitnami Mautic Stack)Mautic導入ポイントと初期設定(Windows+Bitnami Mautic Stack)
Mautic導入ポイントと初期設定(Windows+Bitnami Mautic Stack)Jun Katayama
 
“見てわかる” ファイバーチャネルSAN基礎講座(第5弾)~さあ、いよいよ、運用です!~
“見てわかる” ファイバーチャネルSAN基礎講座(第5弾)~さあ、いよいよ、運用です!~“見てわかる” ファイバーチャネルSAN基礎講座(第5弾)~さあ、いよいよ、運用です!~
“見てわかる” ファイバーチャネルSAN基礎講座(第5弾)~さあ、いよいよ、運用です!~Brocade
 
少しでもセキュリティを向上させたい! Mauticの運用方法
少しでもセキュリティを向上させたい! Mauticの運用方法少しでもセキュリティを向上させたい! Mauticの運用方法
少しでもセキュリティを向上させたい! Mauticの運用方法Jun Katayama
 
SELinuxによる攻撃防止の例
SELinuxによる攻撃防止の例SELinuxによる攻撃防止の例
SELinuxによる攻撃防止の例Hiroki Ishikawa
 
ブロケード FC ファブリックスイッチ オペレーション講座(後編)
ブロケード FC ファブリックスイッチ オペレーション講座(後編)ブロケード FC ファブリックスイッチ オペレーション講座(後編)
ブロケード FC ファブリックスイッチ オペレーション講座(後編)Brocade
 
“見てわかる” ファイバーチャネルSAN基礎講座(第4弾)~続・間違わない!FC SAN導入のヒントとコツ~
“見てわかる” ファイバーチャネルSAN基礎講座(第4弾)~続・間違わない!FC SAN導入のヒントとコツ~“見てわかる” ファイバーチャネルSAN基礎講座(第4弾)~続・間違わない!FC SAN導入のヒントとコツ~
“見てわかる” ファイバーチャネルSAN基礎講座(第4弾)~続・間違わない!FC SAN導入のヒントとコツ~Brocade
 
“見てわかる” ファイバーチャネルSAN基礎講座(第3弾)~間違わない!FC SAN導入のヒントとコツ~
“見てわかる” ファイバーチャネルSAN基礎講座(第3弾)~間違わない!FC SAN導入のヒントとコツ~“見てわかる” ファイバーチャネルSAN基礎講座(第3弾)~間違わない!FC SAN導入のヒントとコツ~
“見てわかる” ファイバーチャネルSAN基礎講座(第3弾)~間違わない!FC SAN導入のヒントとコツ~Brocade
 
ブロケード FC ファブリックスイッチオペレーション講座(前編)
ブロケード FC ファブリックスイッチオペレーション講座(前編)ブロケード FC ファブリックスイッチオペレーション講座(前編)
ブロケード FC ファブリックスイッチオペレーション講座(前編)Brocade
 
ここまできた! ”第6世代”ファイバーチャネルがもたらす ストレージ・ネットワークの 新たな可能性とは?
ここまできた! ”第6世代”ファイバーチャネルがもたらす ストレージ・ネットワークの 新たな可能性とは?ここまできた! ”第6世代”ファイバーチャネルがもたらす ストレージ・ネットワークの 新たな可能性とは?
ここまできた! ”第6世代”ファイバーチャネルがもたらす ストレージ・ネットワークの 新たな可能性とは?Brocade
 
Opensolaris ipfilter 20090710
Opensolaris ipfilter 20090710Opensolaris ipfilter 20090710
Opensolaris ipfilter 20090710Kazuyuki Sato
 
Security workshop 20131213
Security workshop 20131213Security workshop 20131213
Security workshop 20131213Yuuki Takano
 
hbstudy# 28 SELinux HandsOn 公開版
hbstudy# 28 SELinux HandsOn 公開版hbstudy# 28 SELinux HandsOn 公開版
hbstudy# 28 SELinux HandsOn 公開版Hiroki Ishikawa
 
Pandora FMS
Pandora FMSPandora FMS
Pandora FMSPandora FMS
 
Cld015 linux ベースでここまで
Cld015 linux ベースでここまでCld015 linux ベースでここまで
Cld015 linux ベースでここまでTech Summit 2016
 
Cld015 linux ベースでここまで
Cld015 linux ベースでここまでCld015 linux ベースでここまで
Cld015 linux ベースでここまでTech Summit 2016
 
“見てわかる”ファイバーチャネルSAN基礎講座(第6弾: 最終回)~困った時もこれで安心(?)、FC SANにおけるトラブルシューティングのコツとは??~
“見てわかる”ファイバーチャネルSAN基礎講座(第6弾: 最終回)~困った時もこれで安心(?)、FC SANにおけるトラブルシューティングのコツとは??~“見てわかる”ファイバーチャネルSAN基礎講座(第6弾: 最終回)~困った時もこれで安心(?)、FC SANにおけるトラブルシューティングのコツとは??~
“見てわかる”ファイバーチャネルSAN基礎講座(第6弾: 最終回)~困った時もこれで安心(?)、FC SANにおけるトラブルシューティングのコツとは??~Brocade
 
運用ドキュメントから見たシステム運用を考える Vol.2.2 ベンチマーク計測
運用ドキュメントから見たシステム運用を考える Vol.2.2 ベンチマーク計測運用ドキュメントから見たシステム運用を考える Vol.2.2 ベンチマーク計測
運用ドキュメントから見たシステム運用を考える Vol.2.2 ベンチマーク計測Naoya Hashimoto
 
ストレージネットワーク基礎講座
ストレージネットワーク基礎講座ストレージネットワーク基礎講座
ストレージネットワーク基礎講座Brocade
 
Juniper MX80入門
Juniper MX80入門Juniper MX80入門
Juniper MX80入門ZenSekibe
 
VMware vSphereとプラットフォーム・セキュリティー
VMware vSphereとプラットフォーム・セキュリティーVMware vSphereとプラットフォーム・セキュリティー
VMware vSphereとプラットフォーム・セキュリティーNaruhide Tonesaku
 
OpenStack & SELinux
OpenStack & SELinuxOpenStack & SELinux
OpenStack & SELinuxHiroki Ishikawa
 
“見てわかる” ファイバーチャネルSAN基礎講座(第2弾)~FC SAN設計における勘所とは?~
“見てわかる” ファイバーチャネルSAN基礎講座(第2弾)~FC SAN設計における勘所とは?~“見てわかる” ファイバーチャネルSAN基礎講座(第2弾)~FC SAN設計における勘所とは?~
“見てわかる” ファイバーチャネルSAN基礎講座(第2弾)~FC SAN設計における勘所とは?~Brocade
 
Janogia20120921 hasegawahirokazu
Janogia20120921 hasegawahirokazuJanogia20120921 hasegawahirokazu
Janogia20120921 hasegawahirokazuKeisuke Ishibashi
 
u2u1
u2u1u2u1
u2u1Runt1111
 
Glusterfsを用いた静的コンテンツ配信サーバ冗長化 20130723
Glusterfsを用いた静的コンテンツ配信サーバ冗長化 20130723Glusterfsを用いた静的コンテンツ配信サーバ冗長化 20130723
Glusterfsを用いた静的コンテンツ配信サーバ冗長化 20130723Takaki Kawamura
 
Utmをつくってみた202001
Utmをつくってみた202001Utmをつくってみた202001
Utmをつくってみた202001Takamune Konishi
 
CMSホスティングサービス for MTCMS
CMSホスティングサービス for MTCMSCMSホスティングサービス for MTCMS
CMSホスティングサービス for MTCMSShinya Kobayashi
 
IT エンジニアのための 流し読み Microsoft 365 - 入門!Microsoft Defender for Endpoint クロスプラットフ...
IT エンジニアのための 流し読み Microsoft 365 - 入門!Microsoft Defender for Endpoint クロスプラットフ...IT エンジニアのための 流し読み Microsoft 365 - 入門!Microsoft Defender for Endpoint クロスプラットフ...
IT エンジニアのための 流し読み Microsoft 365 - 入門!Microsoft Defender for Endpoint クロスプラットフ...TAKUYA OHTA
 

Más contenido relacionado

La actualidad más candente

“見てわかる” ファイバーチャネルSAN基礎講座(第3弾)~間違わない!FC SAN導入のヒントとコツ~
“見てわかる” ファイバーチャネルSAN基礎講座(第3弾)~間違わない!FC SAN導入のヒントとコツ~“見てわかる” ファイバーチャネルSAN基礎講座(第3弾)~間違わない!FC SAN導入のヒントとコツ~
“見てわかる” ファイバーチャネルSAN基礎講座(第3弾)~間違わない!FC SAN導入のヒントとコツ~Brocade
 
ブロケード FC ファブリックスイッチオペレーション講座(前編)
ブロケード FC ファブリックスイッチオペレーション講座(前編)ブロケード FC ファブリックスイッチオペレーション講座(前編)
ブロケード FC ファブリックスイッチオペレーション講座(前編)Brocade
 
ここまできた! ”第6世代”ファイバーチャネルがもたらす ストレージ・ネットワークの 新たな可能性とは?
ここまできた! ”第6世代”ファイバーチャネルがもたらす ストレージ・ネットワークの 新たな可能性とは?ここまできた! ”第6世代”ファイバーチャネルがもたらす ストレージ・ネットワークの 新たな可能性とは?
ここまできた! ”第6世代”ファイバーチャネルがもたらす ストレージ・ネットワークの 新たな可能性とは?Brocade
 
Opensolaris ipfilter 20090710
Opensolaris ipfilter 20090710Opensolaris ipfilter 20090710
Opensolaris ipfilter 20090710Kazuyuki Sato
 
Security workshop 20131213
Security workshop 20131213Security workshop 20131213
Security workshop 20131213Yuuki Takano
 
hbstudy# 28 SELinux HandsOn 公開版
hbstudy# 28 SELinux HandsOn 公開版hbstudy# 28 SELinux HandsOn 公開版
hbstudy# 28 SELinux HandsOn 公開版Hiroki Ishikawa
 
Cld015 linux ベースでここまで
Cld015 linux ベースでここまでCld015 linux ベースでここまで
Cld015 linux ベースでここまでTech Summit 2016
 
Cld015 linux ベースでここまで
Cld015 linux ベースでここまでCld015 linux ベースでここまで
Cld015 linux ベースでここまでTech Summit 2016
 
“見てわかる”ファイバーチャネルSAN基礎講座(第6弾: 最終回)~困った時もこれで安心(?)、FC SANにおけるトラブルシューティングのコツとは??~
“見てわかる”ファイバーチャネルSAN基礎講座(第6弾: 最終回)~困った時もこれで安心(?)、FC SANにおけるトラブルシューティングのコツとは??~“見てわかる”ファイバーチャネルSAN基礎講座(第6弾: 最終回)~困った時もこれで安心(?)、FC SANにおけるトラブルシューティングのコツとは??~
“見てわかる”ファイバーチャネルSAN基礎講座(第6弾: 最終回)~困った時もこれで安心(?)、FC SANにおけるトラブルシューティングのコツとは??~Brocade
 
運用ドキュメントから見たシステム運用を考える Vol.2.2 ベンチマーク計測
運用ドキュメントから見たシステム運用を考える Vol.2.2 ベンチマーク計測運用ドキュメントから見たシステム運用を考える Vol.2.2 ベンチマーク計測
運用ドキュメントから見たシステム運用を考える Vol.2.2 ベンチマーク計測Naoya Hashimoto
 
ストレージネットワーク基礎講座
ストレージネットワーク基礎講座ストレージネットワーク基礎講座
ストレージネットワーク基礎講座Brocade
 
Juniper MX80入門
Juniper MX80入門Juniper MX80入門
Juniper MX80入門ZenSekibe
 
VMware vSphereとプラットフォーム・セキュリティー
VMware vSphereとプラットフォーム・セキュリティーVMware vSphereとプラットフォーム・セキュリティー
VMware vSphereとプラットフォーム・セキュリティーNaruhide Tonesaku
 
“見てわかる” ファイバーチャネルSAN基礎講座(第2弾)~FC SAN設計における勘所とは?~
“見てわかる” ファイバーチャネルSAN基礎講座(第2弾)~FC SAN設計における勘所とは?~“見てわかる” ファイバーチャネルSAN基礎講座(第2弾)~FC SAN設計における勘所とは?~
“見てわかる” ファイバーチャネルSAN基礎講座(第2弾)~FC SAN設計における勘所とは?~Brocade
 
Janogia20120921 hasegawahirokazu
Janogia20120921 hasegawahirokazuJanogia20120921 hasegawahirokazu
Janogia20120921 hasegawahirokazuKeisuke Ishibashi
 
Glusterfsを用いた静的コンテンツ配信サーバ冗長化 20130723
Glusterfsを用いた静的コンテンツ配信サーバ冗長化 20130723Glusterfsを用いた静的コンテンツ配信サーバ冗長化 20130723
Glusterfsを用いた静的コンテンツ配信サーバ冗長化 20130723Takaki Kawamura
 
Utmをつくってみた202001
Utmをつくってみた202001Utmをつくってみた202001
Utmをつくってみた202001Takamune Konishi
 

La actualidad más candente (20)

“見てわかる” ファイバーチャネルSAN基礎講座(第3弾)~間違わない!FC SAN導入のヒントとコツ~
“見てわかる” ファイバーチャネルSAN基礎講座(第3弾)~間違わない!FC SAN導入のヒントとコツ~“見てわかる” ファイバーチャネルSAN基礎講座(第3弾)~間違わない!FC SAN導入のヒントとコツ~
“見てわかる” ファイバーチャネルSAN基礎講座(第3弾)~間違わない!FC SAN導入のヒントとコツ~
 
ブロケード FC ファブリックスイッチオペレーション講座(前編)
ブロケード FC ファブリックスイッチオペレーション講座(前編)ブロケード FC ファブリックスイッチオペレーション講座(前編)
ブロケード FC ファブリックスイッチオペレーション講座(前編)
 
ここまできた! ”第6世代”ファイバーチャネルがもたらす ストレージ・ネットワークの 新たな可能性とは?
ここまできた! ”第6世代”ファイバーチャネルがもたらす ストレージ・ネットワークの 新たな可能性とは?ここまできた! ”第6世代”ファイバーチャネルがもたらす ストレージ・ネットワークの 新たな可能性とは?
ここまできた! ”第6世代”ファイバーチャネルがもたらす ストレージ・ネットワークの 新たな可能性とは?
 
Opensolaris ipfilter 20090710
Opensolaris ipfilter 20090710Opensolaris ipfilter 20090710
Opensolaris ipfilter 20090710
 
Security workshop 20131213
Security workshop 20131213Security workshop 20131213
Security workshop 20131213
 
hbstudy# 28 SELinux HandsOn 公開版
hbstudy# 28 SELinux HandsOn 公開版hbstudy# 28 SELinux HandsOn 公開版
hbstudy# 28 SELinux HandsOn 公開版
 
Pandora FMS
Pandora FMSPandora FMS
Pandora FMS
 
Cld015 linux ベースでここまで
Cld015 linux ベースでここまでCld015 linux ベースでここまで
Cld015 linux ベースでここまで
 
Cld015 linux ベースでここまで
Cld015 linux ベースでここまでCld015 linux ベースでここまで
Cld015 linux ベースでここまで
 
“見てわかる”ファイバーチャネルSAN基礎講座(第6弾: 最終回)~困った時もこれで安心(?)、FC SANにおけるトラブルシューティングのコツとは??~
“見てわかる”ファイバーチャネルSAN基礎講座(第6弾: 最終回)~困った時もこれで安心(?)、FC SANにおけるトラブルシューティングのコツとは??~“見てわかる”ファイバーチャネルSAN基礎講座(第6弾: 最終回)~困った時もこれで安心(?)、FC SANにおけるトラブルシューティングのコツとは??~
“見てわかる”ファイバーチャネルSAN基礎講座(第6弾: 最終回)~困った時もこれで安心(?)、FC SANにおけるトラブルシューティングのコツとは??~
 
運用ドキュメントから見たシステム運用を考える Vol.2.2 ベンチマーク計測
運用ドキュメントから見たシステム運用を考える Vol.2.2 ベンチマーク計測運用ドキュメントから見たシステム運用を考える Vol.2.2 ベンチマーク計測
運用ドキュメントから見たシステム運用を考える Vol.2.2 ベンチマーク計測
 
ストレージネットワーク基礎講座
ストレージネットワーク基礎講座ストレージネットワーク基礎講座
ストレージネットワーク基礎講座
 
Juniper MX80入門
Juniper MX80入門Juniper MX80入門
Juniper MX80入門
 
VMware vSphereとプラットフォーム・セキュリティー
VMware vSphereとプラットフォーム・セキュリティーVMware vSphereとプラットフォーム・セキュリティー
VMware vSphereとプラットフォーム・セキュリティー
 
OpenStack & SELinux
OpenStack & SELinuxOpenStack & SELinux
OpenStack & SELinux
 
“見てわかる” ファイバーチャネルSAN基礎講座(第2弾)~FC SAN設計における勘所とは?~
“見てわかる” ファイバーチャネルSAN基礎講座(第2弾)~FC SAN設計における勘所とは?~“見てわかる” ファイバーチャネルSAN基礎講座(第2弾)~FC SAN設計における勘所とは?~
“見てわかる” ファイバーチャネルSAN基礎講座(第2弾)~FC SAN設計における勘所とは?~
 
Janogia20120921 hasegawahirokazu
Janogia20120921 hasegawahirokazuJanogia20120921 hasegawahirokazu
Janogia20120921 hasegawahirokazu
 
u2u1
u2u1u2u1
u2u1
 
Glusterfsを用いた静的コンテンツ配信サーバ冗長化 20130723
Glusterfsを用いた静的コンテンツ配信サーバ冗長化 20130723Glusterfsを用いた静的コンテンツ配信サーバ冗長化 20130723
Glusterfsを用いた静的コンテンツ配信サーバ冗長化 20130723
 
Utmをつくってみた202001
Utmをつくってみた202001Utmをつくってみた202001
Utmをつくってみた202001
 

Similar a 日本マイクロソフト Forefront tmg_セミナ受講メモ_2011-09-01

CMSホスティングサービス for MTCMS
CMSホスティングサービス for MTCMSCMSホスティングサービス for MTCMS
CMSホスティングサービス for MTCMSShinya Kobayashi
 
IT エンジニアのための 流し読み Microsoft 365 - 入門!Microsoft Defender for Endpoint クロスプラットフ...
IT エンジニアのための 流し読み Microsoft 365 - 入門!Microsoft Defender for Endpoint クロスプラットフ...IT エンジニアのための 流し読み Microsoft 365 - 入門!Microsoft Defender for Endpoint クロスプラットフ...
IT エンジニアのための 流し読み Microsoft 365 - 入門!Microsoft Defender for Endpoint クロスプラットフ...TAKUYA OHTA
 
実際に流れているデータを見てみよう
実際に流れているデータを見てみよう実際に流れているデータを見てみよう
実際に流れているデータを見てみよう彰 村地
 
第1回『いまさら聞けない!システム運用・管理のコツ』 『クラウド管理・運用サービス「E.C.O」のご紹介』
第1回『いまさら聞けない!システム運用・管理のコツ』 『クラウド管理・運用サービス「E.C.O」のご紹介』第1回『いまさら聞けない!システム運用・管理のコツ』 『クラウド管理・運用サービス「E.C.O」のご紹介』
第1回『いまさら聞けない!システム運用・管理のコツ』 『クラウド管理・運用サービス「E.C.O」のご紹介』Naoya Hashimoto
 
HeapStats: Introduction and Technical Preview
HeapStats: Introduction and Technical PreviewHeapStats: Introduction and Technical Preview
HeapStats: Introduction and Technical PreviewYuji Kubota
 
フロー技術によるネットワーク管理
フロー技術によるネットワーク管理フロー技術によるネットワーク管理
フロー技術によるネットワーク管理Motonori Shindo
 
AWSマイスターシリーズReloaded(AWS Beanstalk)
AWSマイスターシリーズReloaded(AWS Beanstalk)AWSマイスターシリーズReloaded(AWS Beanstalk)
AWSマイスターシリーズReloaded(AWS Beanstalk)Akio Katayama
 
20120416 aws meister-reloaded-aws-elasticbeanstalk-public
20120416 aws meister-reloaded-aws-elasticbeanstalk-public20120416 aws meister-reloaded-aws-elasticbeanstalk-public
20120416 aws meister-reloaded-aws-elasticbeanstalk-publicAmazon Web Services Japan
 
IT エンジニアのための 流し読み Windows 10 - 入門!System Center Configration Manager
IT エンジニアのための 流し読み Windows 10 - 入門!System Center Configration ManagerIT エンジニアのための 流し読み Windows 10 - 入門!System Center Configration Manager
IT エンジニアのための 流し読み Windows 10 - 入門!System Center Configration ManagerTAKUYA OHTA
 
Armored core vのオンラインサービスにおけるクラウドサーバー活用事例
Armored core vのオンラインサービスにおけるクラウドサーバー活用事例Armored core vのオンラインサービスにおけるクラウドサーバー活用事例
Armored core vのオンラインサービスにおけるクラウドサーバー活用事例erakazu
 
Internet Explorer 11 概要
Internet Explorer 11 概要Internet Explorer 11 概要
Internet Explorer 11 概要Yoshihisa Ozaki
 
Cld002 windows server_2016_で作るシンプ
Cld002 windows server_2016_で作るシンプCld002 windows server_2016_で作るシンプ
Cld002 windows server_2016_で作るシンプTech Summit 2016
 
Prometheus超基礎公開用.pdf
Prometheus超基礎公開用.pdfPrometheus超基礎公開用.pdf
Prometheus超基礎公開用.pdf勇 黒沢
 
単なるキャッシュじゃないよ!?infinispanの紹介
単なるキャッシュじゃないよ!?infinispanの紹介単なるキャッシュじゃないよ!?infinispanの紹介
単なるキャッシュじゃないよ!?infinispanの紹介AdvancedTechNight
 
Dep006 クラウド的オンプ
Dep006 クラウド的オンプDep006 クラウド的オンプ
Dep006 クラウド的オンプTech Summit 2016
 
【de:code 2020】 リモートワークの端末を安全に使ってもらおう どこがパワフル Microsoft Endpoint Manager の Wi...
【de:code 2020】 リモートワークの端末を安全に使ってもらおう どこがパワフル Microsoft Endpoint Manager の Wi...【de:code 2020】 リモートワークの端末を安全に使ってもらおう どこがパワフル Microsoft Endpoint Manager の Wi...
【de:code 2020】 リモートワークの端末を安全に使ってもらおう どこがパワフル Microsoft Endpoint Manager の Wi...日本マイクロソフト株式会社
 
20160625 cloud samuai_final
20160625 cloud samuai_final20160625 cloud samuai_final
20160625 cloud samuai_finalTakano Masaru
 
講演資料: コスト最適なプライベートCDNを「NGINX」で実現するWeb最適化セミナー
講演資料: コスト最適なプライベートCDNを「NGINX」で実現するWeb最適化セミナー講演資料: コスト最適なプライベートCDNを「NGINX」で実現するWeb最適化セミナー
講演資料: コスト最適なプライベートCDNを「NGINX」で実現するWeb最適化セミナーNGINX, Inc.
 

Similar a 日本マイクロソフト Forefront tmg_セミナ受講メモ_2011-09-01 (20)

CMSホスティングサービス for MTCMS
CMSホスティングサービス for MTCMSCMSホスティングサービス for MTCMS
CMSホスティングサービス for MTCMS
 
IT エンジニアのための 流し読み Microsoft 365 - 入門!Microsoft Defender for Endpoint クロスプラットフ...
IT エンジニアのための 流し読み Microsoft 365 - 入門!Microsoft Defender for Endpoint クロスプラットフ...IT エンジニアのための 流し読み Microsoft 365 - 入門!Microsoft Defender for Endpoint クロスプラットフ...
IT エンジニアのための 流し読み Microsoft 365 - 入門!Microsoft Defender for Endpoint クロスプラットフ...
 
実際に流れているデータを見てみよう
実際に流れているデータを見てみよう実際に流れているデータを見てみよう
実際に流れているデータを見てみよう
 
第1回『いまさら聞けない!システム運用・管理のコツ』 『クラウド管理・運用サービス「E.C.O」のご紹介』
第1回『いまさら聞けない!システム運用・管理のコツ』 『クラウド管理・運用サービス「E.C.O」のご紹介』第1回『いまさら聞けない!システム運用・管理のコツ』 『クラウド管理・運用サービス「E.C.O」のご紹介』
第1回『いまさら聞けない!システム運用・管理のコツ』 『クラウド管理・運用サービス「E.C.O」のご紹介』
 
HeapStats: Introduction and Technical Preview
HeapStats: Introduction and Technical PreviewHeapStats: Introduction and Technical Preview
HeapStats: Introduction and Technical Preview
 
フロー技術によるネットワーク管理
フロー技術によるネットワーク管理フロー技術によるネットワーク管理
フロー技術によるネットワーク管理
 
hbstudy#06
hbstudy#06hbstudy#06
hbstudy#06
 
AWSマイスターシリーズReloaded(AWS Beanstalk)
AWSマイスターシリーズReloaded(AWS Beanstalk)AWSマイスターシリーズReloaded(AWS Beanstalk)
AWSマイスターシリーズReloaded(AWS Beanstalk)
 
20120416 aws meister-reloaded-aws-elasticbeanstalk-public
20120416 aws meister-reloaded-aws-elasticbeanstalk-public20120416 aws meister-reloaded-aws-elasticbeanstalk-public
20120416 aws meister-reloaded-aws-elasticbeanstalk-public
 
Snapdragon-SCORER
Snapdragon-SCORERSnapdragon-SCORER
Snapdragon-SCORER
 
IT エンジニアのための 流し読み Windows 10 - 入門!System Center Configration Manager
IT エンジニアのための 流し読み Windows 10 - 入門!System Center Configration ManagerIT エンジニアのための 流し読み Windows 10 - 入門!System Center Configration Manager
IT エンジニアのための 流し読み Windows 10 - 入門!System Center Configration Manager
 
Armored core vのオンラインサービスにおけるクラウドサーバー活用事例
Armored core vのオンラインサービスにおけるクラウドサーバー活用事例Armored core vのオンラインサービスにおけるクラウドサーバー活用事例
Armored core vのオンラインサービスにおけるクラウドサーバー活用事例
 
Internet Explorer 11 概要
Internet Explorer 11 概要Internet Explorer 11 概要
Internet Explorer 11 概要
 
Cld002 windows server_2016_で作るシンプ
Cld002 windows server_2016_で作るシンプCld002 windows server_2016_で作るシンプ
Cld002 windows server_2016_で作るシンプ
 
Prometheus超基礎公開用.pdf
Prometheus超基礎公開用.pdfPrometheus超基礎公開用.pdf
Prometheus超基礎公開用.pdf
 
単なるキャッシュじゃないよ!?infinispanの紹介
単なるキャッシュじゃないよ!?infinispanの紹介単なるキャッシュじゃないよ!?infinispanの紹介
単なるキャッシュじゃないよ!?infinispanの紹介
 
Dep006 クラウド的オンプ
Dep006 クラウド的オンプDep006 クラウド的オンプ
Dep006 クラウド的オンプ
 
【de:code 2020】 リモートワークの端末を安全に使ってもらおう どこがパワフル Microsoft Endpoint Manager の Wi...
【de:code 2020】 リモートワークの端末を安全に使ってもらおう どこがパワフル Microsoft Endpoint Manager の Wi...【de:code 2020】 リモートワークの端末を安全に使ってもらおう どこがパワフル Microsoft Endpoint Manager の Wi...
【de:code 2020】 リモートワークの端末を安全に使ってもらおう どこがパワフル Microsoft Endpoint Manager の Wi...
 
20160625 cloud samuai_final
20160625 cloud samuai_final20160625 cloud samuai_final
20160625 cloud samuai_final
 
講演資料: コスト最適なプライベートCDNを「NGINX」で実現するWeb最適化セミナー
講演資料: コスト最適なプライベートCDNを「NGINX」で実現するWeb最適化セミナー講演資料: コスト最適なプライベートCDNを「NGINX」で実現するWeb最適化セミナー
講演資料: コスト最適なプライベートCDNを「NGINX」で実現するWeb最適化セミナー
 

Más de Yukio Saito

東京2020ボランティア参加メモ(簡易)
東京2020ボランティア参加メモ(簡易)東京2020ボランティア参加メモ(簡易)
東京2020ボランティア参加メモ(簡易)Yukio Saito
 
Exam prep microsoft_ai900_japanese_210428
Exam prep microsoft_ai900_japanese_210428Exam prep microsoft_ai900_japanese_210428
Exam prep microsoft_ai900_japanese_210428Yukio Saito
 
Simple know how to creating agenda notes and daily reports
Simple know how to creating agenda notes and daily reportsSimple know how to creating agenda notes and daily reports
Simple know how to creating agenda notes and daily reportsYukio Saito
 
Aws 転送時間計測(手順付き参考例)
Aws 転送時間計測(手順付き参考例)Aws 転送時間計測(手順付き参考例)
Aws 転送時間計測(手順付き参考例)Yukio Saito
 
異業種から福祉業界ジョブチェンジして10か月後
異業種から福祉業界ジョブチェンジして10か月後異業種から福祉業界ジョブチェンジして10か月後
異業種から福祉業界ジョブチェンジして10か月後Yukio Saito
 
異業種から福祉介護ジョブチェンジ検討
異業種から福祉介護ジョブチェンジ検討異業種から福祉介護ジョブチェンジ検討
異業種から福祉介護ジョブチェンジ検討Yukio Saito
 
オンデマンド学習スタイル例 NFU
オンデマンド学習スタイル例 NFUオンデマンド学習スタイル例 NFU
オンデマンド学習スタイル例 NFUYukio Saito
 
Engadget電子工作部 健康ガジェットを作ろう ドS!コーチ発表最終版
Engadget電子工作部 健康ガジェットを作ろう ドS!コーチ発表最終版Engadget電子工作部 健康ガジェットを作ろう ドS!コーチ発表最終版
Engadget電子工作部 健康ガジェットを作ろう ドS!コーチ発表最終版Yukio Saito
 
Tobii eye x controller で遊ぶ
Tobii eye x controller で遊ぶTobii eye x controller で遊ぶ
Tobii eye x controller で遊ぶYukio Saito
 
斉藤之雄 が 公立大学 産業技術大学院大学 で獲得したこと。
斉藤之雄 が 公立大学 産業技術大学院大学 で獲得したこと。斉藤之雄 が 公立大学 産業技術大学院大学 で獲得したこと。
斉藤之雄 が 公立大学 産業技術大学院大学 で獲得したこと。Yukio Saito
 
Microsoft windows phone_激安購入方法
Microsoft windows phone_激安購入方法Microsoft windows phone_激安購入方法
Microsoft windows phone_激安購入方法Yukio Saito
 
PBLでは先行学習は大事だぜ、シラバスは参考程度で主体的に楽しもうぜ
PBLでは先行学習は大事だぜ、シラバスは参考程度で主体的に楽しもうぜPBLでは先行学習は大事だぜ、シラバスは参考程度で主体的に楽しもうぜ
PBLでは先行学習は大事だぜ、シラバスは参考程度で主体的に楽しもうぜYukio Saito
 
CentOS7をインストールして遊ぶのだ
CentOS7をインストールして遊ぶのだCentOS7をインストールして遊ぶのだ
CentOS7をインストールして遊ぶのだYukio Saito
 
Androidエミュレータをちょっと速くするintel haxm(ハッサム)
Androidエミュレータをちょっと速くするintel haxm(ハッサム)Androidエミュレータをちょっと速くするintel haxm(ハッサム)
Androidエミュレータをちょっと速くするintel haxm(ハッサム)Yukio Saito
 
Winodws7のruby2でrails4を遊ぶ環境を作るのだ。
Winodws7のruby2でrails4を遊ぶ環境を作るのだ。Winodws7のruby2でrails4を遊ぶ環境を作るのだ。
Winodws7のruby2でrails4を遊ぶ環境を作るのだ。Yukio Saito
 
Astah plugin 実行方法とSysML要求図のサンプル
Astah plugin 実行方法とSysML要求図のサンプルAstah plugin 実行方法とSysML要求図のサンプル
Astah plugin 実行方法とSysML要求図のサンプルYukio Saito
 
Windows8でOpenCVを使ったAndroid(MOVERIO)開発体験したい
Windows8でOpenCVを使ったAndroid(MOVERIO)開発体験したいWindows8でOpenCVを使ったAndroid(MOVERIO)開発体験したい
Windows8でOpenCVを使ったAndroid(MOVERIO)開発体験したいYukio Saito
 
NTTcom cloud n にサービス追加の適当な手順
NTTcom cloud n にサービス追加の適当な手順NTTcom cloud n にサービス追加の適当な手順
NTTcom cloud n にサービス追加の適当な手順Yukio Saito
 
Intel xdk導入とhtml5サンプルビルド手順書
Intel xdk導入とhtml5サンプルビルド手順書Intel xdk導入とhtml5サンプルビルド手順書
Intel xdk導入とhtml5サンプルビルド手順書Yukio Saito
 
圏央道ウォーキング日記
圏央道ウォーキング日記圏央道ウォーキング日記
圏央道ウォーキング日記Yukio Saito
 

Más de Yukio Saito (20)

東京2020ボランティア参加メモ(簡易)
東京2020ボランティア参加メモ(簡易)東京2020ボランティア参加メモ(簡易)
東京2020ボランティア参加メモ(簡易)
 
Exam prep microsoft_ai900_japanese_210428
Exam prep microsoft_ai900_japanese_210428Exam prep microsoft_ai900_japanese_210428
Exam prep microsoft_ai900_japanese_210428
 
Simple know how to creating agenda notes and daily reports
Simple know how to creating agenda notes and daily reportsSimple know how to creating agenda notes and daily reports
Simple know how to creating agenda notes and daily reports
 
Aws 転送時間計測(手順付き参考例)
Aws 転送時間計測(手順付き参考例)Aws 転送時間計測(手順付き参考例)
Aws 転送時間計測(手順付き参考例)
 
異業種から福祉業界ジョブチェンジして10か月後
異業種から福祉業界ジョブチェンジして10か月後異業種から福祉業界ジョブチェンジして10か月後
異業種から福祉業界ジョブチェンジして10か月後
 
異業種から福祉介護ジョブチェンジ検討
異業種から福祉介護ジョブチェンジ検討異業種から福祉介護ジョブチェンジ検討
異業種から福祉介護ジョブチェンジ検討
 
オンデマンド学習スタイル例 NFU
オンデマンド学習スタイル例 NFUオンデマンド学習スタイル例 NFU
オンデマンド学習スタイル例 NFU
 
Engadget電子工作部 健康ガジェットを作ろう ドS!コーチ発表最終版
Engadget電子工作部 健康ガジェットを作ろう ドS!コーチ発表最終版Engadget電子工作部 健康ガジェットを作ろう ドS!コーチ発表最終版
Engadget電子工作部 健康ガジェットを作ろう ドS!コーチ発表最終版
 
Tobii eye x controller で遊ぶ
Tobii eye x controller で遊ぶTobii eye x controller で遊ぶ
Tobii eye x controller で遊ぶ
 
斉藤之雄 が 公立大学 産業技術大学院大学 で獲得したこと。
斉藤之雄 が 公立大学 産業技術大学院大学 で獲得したこと。斉藤之雄 が 公立大学 産業技術大学院大学 で獲得したこと。
斉藤之雄 が 公立大学 産業技術大学院大学 で獲得したこと。
 
Microsoft windows phone_激安購入方法
Microsoft windows phone_激安購入方法Microsoft windows phone_激安購入方法
Microsoft windows phone_激安購入方法
 
PBLでは先行学習は大事だぜ、シラバスは参考程度で主体的に楽しもうぜ
PBLでは先行学習は大事だぜ、シラバスは参考程度で主体的に楽しもうぜPBLでは先行学習は大事だぜ、シラバスは参考程度で主体的に楽しもうぜ
PBLでは先行学習は大事だぜ、シラバスは参考程度で主体的に楽しもうぜ
 
CentOS7をインストールして遊ぶのだ
CentOS7をインストールして遊ぶのだCentOS7をインストールして遊ぶのだ
CentOS7をインストールして遊ぶのだ
 
Androidエミュレータをちょっと速くするintel haxm(ハッサム)
Androidエミュレータをちょっと速くするintel haxm(ハッサム)Androidエミュレータをちょっと速くするintel haxm(ハッサム)
Androidエミュレータをちょっと速くするintel haxm(ハッサム)
 
Winodws7のruby2でrails4を遊ぶ環境を作るのだ。
Winodws7のruby2でrails4を遊ぶ環境を作るのだ。Winodws7のruby2でrails4を遊ぶ環境を作るのだ。
Winodws7のruby2でrails4を遊ぶ環境を作るのだ。
 
Astah plugin 実行方法とSysML要求図のサンプル
Astah plugin 実行方法とSysML要求図のサンプルAstah plugin 実行方法とSysML要求図のサンプル
Astah plugin 実行方法とSysML要求図のサンプル
 
Windows8でOpenCVを使ったAndroid(MOVERIO)開発体験したい
Windows8でOpenCVを使ったAndroid(MOVERIO)開発体験したいWindows8でOpenCVを使ったAndroid(MOVERIO)開発体験したい
Windows8でOpenCVを使ったAndroid(MOVERIO)開発体験したい
 
NTTcom cloud n にサービス追加の適当な手順
NTTcom cloud n にサービス追加の適当な手順NTTcom cloud n にサービス追加の適当な手順
NTTcom cloud n にサービス追加の適当な手順
 
Intel xdk導入とhtml5サンプルビルド手順書
Intel xdk導入とhtml5サンプルビルド手順書Intel xdk導入とhtml5サンプルビルド手順書
Intel xdk導入とhtml5サンプルビルド手順書
 
圏央道ウォーキング日記
圏央道ウォーキング日記圏央道ウォーキング日記
圏央道ウォーキング日記
 

日本マイクロソフト Forefront tmg_セミナ受講メモ_2011-09-01

  • 1. Microsoft TMG SP1 製品セミナ ~ネットワーク検査システム(NIS)と Web アクセス保護 オフィスサイトウ 代表 斉藤之雄 http://www.fxfrog.com/ 日本マイクロソフトセミナ受講メモ 【Microsoft TMG SP1 製品セミナ ~ネットワーク検査システム(NIS)と Web アクセス保護】 受講日時 2010 年 9 月 1 日(木) 午後 1 時~ 講師 NRI ラーニングネットワーク髙橋さん 関連サイト⇒ http://www.atmarkit.co.jp/fsecurity/rensai/forefront02/forefront01.html ■Forefront とは? Forefront 製品ファミリー ・Microsoft Forefront とは、エンドツーエンドのセキュリティと情報へのアクセスを提供するため保護、ア クセス、ID管理の製品ラインアップ。 ■Forefront が提供する5つのソリューション 1. メッセージング環境の保護 2. エンドポイントの保護 3. コラボレーション環境の保護 4. 情報保護基盤 5. ID とアクセス管理基盤 なおウィルス対策は2つのアーキテクチャがある。 a. Antigen 社買収により実装 → FOPE, FPE, FSOC, FPSP サーバ向けのマルチウィルススキャンに対応(他社製品対応) b. MSRP, MSDiffender = EndPoint (MS 自社製品)実装 → FPE ■ISA Server (その前は MS Proxy 2.0) から Forefront TMG へ ・2000 年に ISA Server 2000 というマルチレイヤーファイヤーウォールが出荷された。 ・それ以降、マイクロソフトテクノロジーとの親和性や様々な機能を引き継ぎながら、機能強化をしている。 ■Forefront TNG の新機能 統合脅威管理ゲートウェイ ファイアウォール 安全な Web アクセス 電子メールの保護 侵入防止 (社内) リモートアクセス 設定と管理 更新サービス 1
  • 2. Microsoft TMG SP1 製品セミナ ~ネットワーク検査システム(NIS)と Web アクセス保護 ■セキュアな Web 公開 ・Web サーバをカンタンに、かつ安全にインターネットへ公開する ⇒ WAN to LAN ■ネットワーク検査システム(NIS) ・署名ファイルを使用し、脆弱性を使用した攻撃(エクスプロイト)を検出 ⇒ LAN to WAN, WAN to LAN の両方向で機能 ■Web アクセス保護 ・社内の利用者がインターネットの Web サイトにアクセスする際の脅威からの保護 ⇒ LAN to WAN ■セミナの章構成について シンプルな管理(展開) →エッジでのネットワークアクセスポリシのコントロール(F/W) →企業リソースの RAS (VPN, 社内サーバのセキュアな公開) → クライアント PC とサーバへの侵入防止 → 社外 Web アクセスへの安全なアクセス(Web アクセス保護) → 電子メール脅威からのユーザ保護(電子メール保護) 2
  • 3. Microsoft TMG SP1 製品セミナ ~ネットワーク検査システム(NIS)と Web アクセス保護 ■システム要件 ・H/W 要件 ・プロセッサ 64bit, 1.86GHz, デュアルコアプロセッサ ・メモリ 4GB ・ハードディスク 2.5GB 以上のディスクの空き容量 (キャッシュ用と一時ファイル用は別に必要) ⇒ 500 人以下 250GB, 1 万人 1TB ⇒単一の TMG で、最大 12,169 人の同時ユーザと 487Mbps の WAN 帯域を無理なくサポート @ 3.33GHz Xeon Core i7 プロセッサ 2 基(各 8 コア)と 12GB RAM の最上位機種が必要(Xeon と i7 は別ではないかと?) ・S/W 要件 ・Windows Server 2008 R2 Standard, Enterprise, Datacenter Windows AD ドメインコントローラへの Forefront TMG は TMG SP1 よりサポート。 ・TMS SP1 の機能拡張 ・レポート強化 ・URL フィルター ・支社のサポート ・Share Point 2010 の公開 詳細は Forefront TMG サイトを見なはれ。 http://www.microsoft.com/japan/forefront/threat-management-gateway/default.mspx 3
  • 4. Microsoft TMG SP1 製品セミナ ~ネットワーク検査システム(NIS)と Web アクセス保護 ■Forefront TMG のエディションとライセンス ・Standard - プロセッサ - Forefront TMG Standard Edition(L のみ 159,500 円) ・Enterprise - プロセッサ - Forefront TMG Enterprise Edition(L のみ 701,300 円) ・Web Protection Service - サブスクリプション(Select A, 106 円/月) ■インストールの流れ STEP1. 準備ツールの実行 STEP2. インストール ウィザードの実行 STEP3. 開始ウィザードの実行 すべてウィザードで行うため、カンタンに導入できる。 // 無人応答インストールは可能であるが、PowerShell を TMG 上では使えない。 4
  • 5. Microsoft TMG SP1 製品セミナ ~ネットワーク検査システム(NIS)と Web アクセス保護 ■STEP1. 準備ツールの実行 ・インストールの種類 サービスと管理、管理のみ、EMS アレイの一元管理 (通常は前者2つのどれか) ・必須コンポ―ネントをネットワークからインストールする。 Forefront TMG サービス ・ネットワークポリシとアクセスサービス ・AD LDS インストールフォルダ ADAMDataadmntds.dit ・Windows PowerShell ・Windows Installer 4.5 ・Windows .NET 3.5 Framework SP1 ・Windows Web Service API ・Windows Update Enterprise Management Server (EMS) ・AD LDS ・Windows Installer 4.5 ・Windows .NET 3.5 Framework SP1 ■STEP2. インストール ウィザードの実行 Setup.exe を使用した無人インストールも可能。サンプル応答ファイルは TMG メディアにあり。 5
  • 6. Microsoft TMG SP1 製品セミナ ~ネットワーク検査システム(NIS)と Web アクセス保護 ■STEP3. 開始ウィザードの実行 Forefront TMS 初期構成。自動的に「開始ウィザード」が管理コンソール初回起動時に実行される。 ① ネットワークのセットアップウィザード ・ネットワークテンプレート 1/2 - エッジファイアウォール・・・(2 枚の NIC 必要)DMZ を構成しないでエクストラネットを持つ - 三脚境界・・・(3 枚以上の NIC 必要) DMZ を構成する ・ネットワークテンプレート 2/2 - バックファイアウォール・・・バック to バック型 F/W (一番安全) - 単一ネットワークアダプタ(キャッシュ専用)・・・Web プロクシと Web 公開のみしか利用できない ※ネットワークオブジェクトとルールが自動構成される STEP である。 ・ネットワークアダプタの選択 - LAN 側、WAN(インターネット)側、DMZ 側、それぞれを選択 ②システム構成ウィザード - ホスト ID (コンピュータ名、所属するドメインまたはワークグループ、プライマリ DNS サフィックス選択) ③展開ウィザード - Forefront TMG 環境の Update 設定(定義ファイル、NIS 署名の更新方法) インストール直後は NIS 署名がないので、定義ファイルダウンロード完了後に使用可能。 WSUS からのアップデートも選択可能。 - NIS と Web 保護ライセンスの有効化(Web 保護ライセンスがサブスクリプションキーを入力) ⇒ Evaluation Key は 90 日間有効 - マルウェア検査と URL フィルターの有効化 - NIS 署名の更新の設定 - カスタマーフィードバックと Microsoft 遠隔測定レポートサービスへの参加 ※セキュリティが強化された Windows ファイアウォールは TMG インストール後に無効、且つ設定 できなくなる。 6
  • 7. Microsoft TMG SP1 製品セミナ ~ネットワーク検査システム(NIS)と Web アクセス保護 ■Forefront TMG の管理ツール 従来と基本的に同じ。 ■F/W Rule の種類 a. 公開ルール - WAN から LAN への「着信方向」のアクセスを制御 - 社内サーバを WAN 公開するときに作成 b. アクセスルール - LAN から WAN への「発信方向」のアクセスを制御 - 社内のコンピュータからインターネットへのアクセスを許可・拒否するときに作成 ■F/W Rule 種類詳細 a. 公開ルール ・着信方向 ・サーバを公開するときに作成 ・種類 Web サーバ:Exchange 公開ルール、Share Point 公開ルール、Web 公開ルール 非 Web サーバ:サーバ公開ルール、メールサーバ公開ルール b. アクセスルール ・発信方向(LAN→WAN) ※正確には公開以外 ・社内のコンピュータからインターネットアクセスを許可・拒否するときに作成 ・種類 HTTP, HTTPS:Web アクセスポリシー(ルールのセット) HTTP, HTTPS 以外:アクセスルール ■ルールの構造 ・条件に一致した場合、指定された動作を実行する。 条件:(送信元、宛先、ユーザ 名前 動作 プロトコル(IP, TCP, UDP)、 アプリケーションフィルタ(HTTP, FTP 等) スケジュールなど) 実行: 条件に一致したら 7
  • 8. Microsoft TMG SP1 製品セミナ ~ネットワーク検査システム(NIS)と Web アクセス保護 ■F/W ルールの評価 ・順番制御 - 各ルールには順番がある。 - ファイアウォール ルールは、順番に評価され、条件に一致するルールがあれば、そのルールで指定され た動作(許可・拒否)実行し、以降の順番のルールは評価対象にならない。 ⇒同じルールが構成されていても、順番により動作は異なる。 ・既定のルール - TMG インストール後に既定で作成されるルール - すべての条件に対し、拒否する // Any, Any, Drop だね。 - 順番は最後 - 順番を変更することも、ルールを削除することもできない ⇒既定のルールにより、一致する条件のルールがなかったら、トラフィックはすべて拒否される ※変更の適用ボタンを押すと、構成の変更の説明(変更履歴)を記入できる。 トラブルシューティングで、変更の追跡で、この変更履歴を確認できる。 変更の適用ボタンを押して、構成の状態が【同期済み】になっていることを確認すること! ⇒ 適用ボタンを押しただけでは、TMG 動作は変わらない。 適用ボタンは、変更を AD LDS DB に書き込む。 TMG の動作が変更されるには、DB から TMG のメモリに、 その変更情報が読み込まれる必要がある。 →[監視]ノードの[構成]タブで[同期済み]を確認。 どうしてこんな構成になっているのかは、Enterprise Edition になっており複数 TMG アレイ構成されて いる場合、構成データが保管されているのは全てではなく、データに書き込み、取り込むという処理である。 スタンドアロンにおいてテスト環境でルールを複数書いた場合、すぐに反映されないこともあるので留意 すること 8
  • 9. Microsoft TMG SP1 製品セミナ ~ネットワーク検査システム(NIS)と Web アクセス保護 ■システムポリシ ・TMG の基本機能の実行や、ネットワーク インフラストラクチャ関連のサービスとの通信を有効にするため のルール群 ・システムポリシは、既定で非表示 ・編集は[システムポリシ エディタ]を使用する。 // 内部的に 50 種ほど ・システムポリシ ルールは、その他のルールよりも先に処理される。 // DNS 通信はシステムポリシで許可されているので、明示的に指定する必要はない。 // ICMP レベルの許可もここで書き込まれているので、ping や trace route など通るのはココ。 // 逆方向の疎通確認として ping は指定されていないので、icmp/ping ルールを作る必要がある。 // ローカルホストから Windows update へ HTTP, HTTPS もシステムポリシで許可されている。 // リモート接続の許可ポリシも定義されている。 注意:1.管理者が作ったファイアウォール ルールよりも優先されていること。 仮に DNS を拒否するルールを作っても、システムポリシが有効なので拒否されない。 → [システムポリシ エディタ]で該当箇所を無効化する必要がある。 2.他のルールと違い、DNS 許可について追加も出来ないし、宛先指定できない。 設定変更できないので、専用メニュー[システムポリシ エディタ]で有効化・無効化を行う。 [システムポリシ エディタ]で表示されない条件は変更できないということ。 ルールをいっぱい作った場合、うまく動作しないルールは「無効化」にすればいい。 「削除」にすると、後から追加が大変。 9
  • 10. Microsoft TMG SP1 製品セミナ ~ネットワーク検査システム(NIS)と Web アクセス保護 ■ダッシュボード Forefront TMG の管理コンソールのダッシュボードで、TMG の稼働状況サマリーを構成できる ■ログの管理 ・TMG のログ すべてのトラフィックを記録 ・ログの格納場所 - SQL Server - SQL Express (Local only) - File (Forefront TMG 形式、W3C 拡張ログファイル形式) ・取得するログのフィールドを指定できる ■ログのフィルタリング表示 ■レポートの確認 ・ログの要約・分析結果をわかりやすくグラフィカル表示。 - Forefront TMG SP1 で改良された。 - ・様々なレポート - サマリー、Web の使用、アプリケーションの使用、トラフィックと使用状況、セキュリティ、マルウェア防御、 URLフィルタ、ネットワーク検査 ・レポート種類 - ワンタイムレポート - 定期的なレポート - ユーザアクティヴィティ レポート ⇒ 特定したユーザのアクセスしたサイト、URL 分類をレポート ⇒ Forefront TMG SP1 の新機能 ■レポート作成時の注意事項 ・ログデータベースからレポートデータベースにログの内容がコピーされるのは 1 日1回(深夜午前1時) なので、この時間に TMG サービスが動作していなければいけない。 10
  • 11. Microsoft TMG SP1 製品セミナ ~ネットワーク検査システム(NIS)と Web アクセス保護 ■セキュアな Web 公開 ・Web サーバをカンタンに、かつ安全にインターネットへ公開する → インターネットから社内 攻撃を遮断し、カンタンかつ安全にサーバの公開を実現 // SSL 署名失効リストの更新はここでも任意で行えるようにしないとダメだな、と妄想。 ■Forefront TMG の公開ルール ・Web サーバの公開ルール ・Exchange 公開ルール OWA, ActiveSync, Outlook Anywhere など Exchange Client ・SharePoint 公開ルール ・Web 公開ルール ・Web サーバ以外の公開ルール(基本的にただのポートフォワードだけ) ・メールサーバの公開ルール ・サーバ公開ルール ■Web サーバ公開の手順 STEP1. Web リスナー(着信 IP、着信ポート)の定義 STEP2. Web サーバの公開ルール作成 ・公開するサーバの種類ごとに適切なウィザード実行 ・転送先 Web サーバの内部サイト名、IP アドレスを指定 ・Web リスナーの選択 ・選択の条件(ユーザ、スケジュール、送信元、HTTP フィルター) STEP3. ルールのテスト ■Web リスナーの作成 ・ネットワークオブジェクトの一つ。Web リスナーウィザードを実行する。 ・Forefront TMG が LISTEN する IP アドレス、ポートの定義。 ・Web リスナーで構成する項目: ・クライアントとの SSL 接続の有無 ・着信接続を受ける、TMG 外部 NIC の IP アドレス ・SSL 接続で使用するサーバ証明書 ・クライアントの認証方法 ・すべての公開済み Web サイトの SSO の有無 11
  • 12. Microsoft TMG SP1 製品セミナ ~ネットワーク検査システム(NIS)と Web アクセス保護 ■Web サーバの公開ルールの作成 ・Web リスナーで着信を受け付けた要求に対して、接続を許可・拒否する条件と転送先 Web サーバを 指定 ■HTTP フィルターの構成 ■ルールのテスト ■Exchange Server 2010 の5つのサーバの役割 ・メールボックス (MBX) :メールボックス データベースのホスト ・ハブトランスポート(HUB):メールの配信 // MTA ということか? ・クライアントアクセス(CAS):クライアントからの接続を受け付ける ・ユニファイドメッセージング(UM):音声システムとの連携 ・エッジ トランスポート(Edge):インターネットとメールの送受信 ■クライアントアクセスサーバ ・クライアントからの接続をサポートする Exchange サーバ ・他社製の POP3, IMAP4 も許可する ■社内の Exchange 2010 クライアントアクセスサーバの公開 ・ドメインに参加しているクライアントアクセスサーバは内部ネットワークに配置 ・Exchange 公開ルールを作成し、外部の利用者が社内のメールシステムを利用できるように構成 ■Exchange 公開ルール ウィザード ・[サービスの選択]ページ ・公開する Exchange クライアントアクセスサーバのバージョン、公開するクライアントアクセス サービスの機能を選択 ・各サービス毎の設定の多くは、自動構成される。 12
  • 13. Microsoft TMG SP1 製品セミナ ~ネットワーク検査システム(NIS)と Web アクセス保護 ■ネットワーク検査システム (NIS) ・署名ファイルを使用し、脆弱性を使用した攻撃(エクスプロイト)を検出する、侵入防止機能 ・ネットワーク経由の攻撃と NIS 署名(シグネチャ)のパターンマッチによる検出 ・NIS 署名はマイクロソフト マルウェア対応センター(MMPC)によって、開発・提供される。 ・サポートされるプロトコル(HTTP 以外も検査できる) ・HTTP, DNS, SMB, SMB2, NetBIOS, MSRPC, SMTP, POP3, IMAP, MIME ■NIS の目的 ・ゼロデイ攻撃の防止 ・常時稼働が求められるシステムで、セキュリティ更新プログラムの即時展開が困難な場合の代替案 ・マイクロソフト マルウェア対応センター(MMPC)では、CVE 番号が付与され公開された後、出来る限り 早く NIS 署名を公開 ■NIS 署名の提供 ・Microsoft NIS(仮想パッチ)のページを参照してください。 CVE バージョンは北米 NPO MITER 社より CVE-西暦-連番 が採用されている。 ・NIS は汎用アプリケーションレベル プロトコルアナライザ(GAPA) のテクノロジを使用 ・GAPA はプロトコル仕様言語(GAPA 言語あるいは GPAL)と分析エンジンから構成される。 MMCP GAPAL (GAPA 言語) コンパイラ NIS 署名 プロトコル・パーサー として公開 Windows Update 署名 13
  • 14. Microsoft TMG SP1 製品セミナ ~ネットワーク検査システム(NIS)と Web アクセス保護 ■NIS の有効化と署名の更新 ・インストールされている署名の確認と設定 動作確認用テスト署名 応答をカスタマイズした署名などにフラグを設定可能 検出した場合の動作(検出のみ=通過、ブロック) 署名ごとの該当する MS セキュリティ情報 ■NIS の署名情報の設定 ■NIS を仮想パッチとして利用 ・Windows 2000 Server 延長サポート期間終了 (2010 年 7 月) ・セキュリティ更新プログラムが提供されてない。 が、NIS 署名は提供される。 ・常時稼働しているために、 パッチの適用が難しいシステムに効果的(SAPなど?) 対象サーバのみセグメントを切って使う。 ■NIS の仮想パッチで出来ること、出来ないこと。 ・できること ・MSFT で認識している OS、アプリケーションサーバの脆弱性に対するセキュリティ対策 ・リモートから攻撃される可能性のある重要度「高」以上の脆弱性に対する NIS 署名を提供 ・できないこと ・MSFT で認識していない脆弱性を悪用した攻撃に対するセキュリティ対策 ・他社アプリケーション(Adobe 等?) s脆弱性対策 ・ローカルのマルウェア対策 ・ローカルで攻撃される可能性のある脆弱性に対する NIS 署名ファイル提供 NIS を使用すれば、セキュリティ更新プログラムを適用しなくてよい、というわけではない! 14
  • 15. Microsoft TMG SP1 製品セミナ ~ネットワーク検査システム(NIS)と Web アクセス保護 // Q&A(個別に講師へ問い合わせ) // TMG ログを ODBC で別の SQL Server (MySQL 等)へ発行できないので、 // W3C 拡張形式でテキスト発行したものを別途書き出す SQL ドライバが必要。 // // SCVMM2010(2012)で、管理されている Hyper-V 上の Windows 2000 Server を // TMG で保護下におきたい場合は、SCVMM に TMG をインストールすることは推奨されておらず // 専用の TMG サーバを立てて、しかも外向けとのセグメント構成を意識しなければならない。 // →要検証ですな。 // // PowerShell コマンドは用意されていないので、SSL 署名失効リストを「コマンド一発更新」は // 行えない。 ■Web アクセス保護 ・外部 Web サイトへの安全なアクセス ・①URL フィルター ・②HTTP 検査 ・③マルウェア検査 ■Web アクセスポリシウィザード ・初期設定は Forefront TMG の管理コンソール初期起動時に起動させることも可能。 ■URL フィルターの設定 ・URL フィルターは Web アクセスポリシウィザードで作成 ※例外ユーザに対しては、許可ルールを作成して拒否ルールの前に実行されればよい ■拒否通知メッセージのカスタマイズ ・Web アクセスポリシーで設定 ・Forefront TMG SP1 では、ページ全体のカスタマイズが可能。 ■ユーザによる上書きの許可 ・Web アクセスポリシーで設定 ・Forefront TMG SP1 の新機能 ・URL フィルターがブロックするサイトへのアクセス制限を、ユーザ自身が上書きできる機能。 → セッションクッキーを持っている場合であっても、ブラウザを再読み込みしてもブロックしてしまう。 // 自社がプレイボーイ関連のサイトである場合など、個別で許可指定(理由書くなどして)可能。 15
  • 16. Microsoft TMG SP1 製品セミナ ~ネットワーク検査システム(NIS)と Web アクセス保護 ■マルウェア検査 ・Forefront Endpoint Protection 2010 (FEP) 旧バージョン:Malware Protection Engine (MPE)を使用 → Forefront Client Security (FCS)や Windows Defender と同じエンジン ・検査から除外できるサイトを指定可能 既定で「マルウェアサイト検査から除外されるサイト」が構成 →動画サイトや巨大ファイルサイトの定義 デフォルトは *.micrsoft.com, *.windows.com, *.windowsupdate.com ・定義ファイルは Microsoft Windows Update からダウンロード ■マルウェア検査の設定 ・マルウェア検査は Web アクセスポリシウィザードで作成 ・ポリシごとの検査設定、既定の構成を上書き ・[定義の更新]タブで、定義ファイルの自動更新と更新カナックなどを設定([更新センター]からも設定 可能) ■コンテンツの配信 ・マルウェア検査によるコンテンツダウンロード遅延に関連する設定 ・トリクルにより、クライアント側タイムアウトを防ぐ ・標準トリクル:10 秒後に最初の 4KB、その後、ファイルが完全に検査されるまで 5 秒ごとに 50 バイト送信 ・高速トリクル:データをできるだけ速く送信するが、最後の部分の送信は保留し、 スキャンが完了してから送信する(オーディオやビデオデータ向け) ・進行状況の通知を行い、クライアント側に進行状況のインジケータを表示する。 ■マルウェア検査 1. http://extersrv.adatum.com/ に IE から接続 2.ログの確認 ・フィルター編集 16
  • 17. Microsoft TMG SP1 製品セミナ ~ネットワーク検査システム(NIS)と Web アクセス保護 ■HTTPS 検査 ・社内から社外への発信方向の HTTPS トラフィックの検査 ・検査から除外するサイトを指定できる (金銭や健康に関するサイトを社内規則で除外している条件があれば) ・クライアント コンピュータに検査を行っているという通知を表示できる ・TMG クライアントソフトウェアが必要 ・TMG と外部 Web サーバ間、TMG とクライアント間で、異なる2つの HTTP トラフィックを確立 ■HTTP 検査と SSL ブリッジの違い ・HTTP 検査・・・Forefront TNG からサポート → 社内から社外への発信方向の検査 ・SSL ブリッジ・・・ISA Server からサポート → 社外から社内への着信方向で使用できる機能 ■HTTPS 検査の証明書 ・クライアントに新しい証明書を発行するために必要 ・HTTPS 検査の証明書の生成は2つある。 →Forefront TMG による生成 →ローカル証明機関(オレ署名 CA)による発行 ・ドメイン環境の場合は、AD を通じて自動的に各コンピュータの「信頼されたルート証明機関」に 展開できる。 ※トラフィックを検査し、サイト証明書を検証する。 Or トラフィックは検査しないが、サイト証明書を検証する。証明書が無効な場合は HTTPS トラフィックをブ ロックする。のいずれかを指定できる。(が、証明書失効リストを一発更新はできなさそうだ。Orz) ■HTTPS 検査の設定 ・HTTPS 検査は、Web アクセスポリシウィザードで作成する ■クライアントへの通知機能 ・TMG クライアントソフトウェアをインストールする (MS_FWC.msi) ・TMG サーバ、TMG クライアントで、通知機能を有効にする ・HTTPS 検査の証明書をクライアント コンピュータ[信頼されたルート証明機関]ストアに格納する。 ※グループポリシでも出来るやん!・・・その通り。 17
  • 18. Microsoft TMG SP1 製品セミナ ~ネットワーク検査システム(NIS)と Web アクセス保護 ■Forefront TMG クライアントソフトウェア ・TMG クライアントソフトウェアが提供する機能 ・HTTPS 検査時の通知 ・AD の検索による TMG サーバ自動検出 ・すべての Winsock アプリケーションのサポートとユーザレベル認証 ・C:Microsoft Forefront TMGClientMS_FWC.msi を各コンピュータにインストールする。 以上 18