Microsoft Forefront: Protegendo grupos de trabalho

com o Forefront
Voc pode usar o Microsoft Forefront Threat Management Gateway como pretendido com o Active
Directory, ou us-lo para proteger a configurao de um grupo de trabalho.
Brien Posey
A conectividade gera colaborao, mas tambm pode gerar risco e exposio. Voc pode
configurar seus operadores em um grupo de trabalho a ainda proteg-los, assim como os
dados e a rede corporativa, com o Microsoft Forefront Threat Management Gateway
(Forefront TMG) 2010.
Embora geralmente considerado um conjunto de aplicativos de classe empresarial
desenvolvido para ser usado em um ambiente do Active Directory, no absolutamente
necessrio implantar o Forefront no Active Directory. Voc pode efetivamente implantar o
Forefront TMG em algumas topologias diferentes, com vrias finalidades.
Em um ambiente de grupo de trabalho, voc ir configurar o Forefront TMG no permetro
de rede, para que ele possa inspecionar os pacotes HTTP e HTTPS de entrada para verificar
a existncia de contedo malicioso. Ele tambm pode ser usado para filtrar os tipos de sites
visitados pelos seus usurios.
Como o servidor do Forefront TMG estar posicionado no permetro de rede, ele dever ter
no mnimo dois adaptadores de rede. Um adaptador se conectar rede privada, enquanto
o outro se conectar ao mundo externo. A Microsoft recomenda que esses dois
adaptadores sejam configurados com um endereo IP esttico.
A Microsoft desenvolveu o Forefront para ser implantado em um domnio do Windows.
Embora seja possvel utiliz-lo no contexto de um grupo de trabalho empresarial, existem
algumas pequenas limitaes normalmente encontradas em um ambiente de domnio.
Por exemplo, se voc estiver implantando o Forefront em um ambiente de grupo de
trabalho, no poder usar a deteco automtica de proxy da Web. Da mesma forma, sem
um domnio do Active Directory, no ser possvel configurar o Forefront usando
configuraes de Diretiva de Grupo. Em vez disso, ser necessrio usar polticas de
segurana locais em cada computador individual que executar o Forefront.
Outras limitaes garantem uma considerao mais cuidadosa. Por exemplo, os
computadores que executam o Forefront TMG Standard geralmente esto associados a um
Enterprise Management Server. No entanto, no possvel executar replicao do
Enterprise Management Server em um ambiente de grupo de trabalho.
Autoridade de Certificao
Um dos principais requisitos para instalar o Forefront em um ambiente de grupo de
trabalho que voc deve ter um certificado de servidor instalado no servidor do Forefront
TMG. Como esse certificado s ser usado internamente, a Microsoft recomenda que voc
crie a sua prpria Autoridade de Certificao Corporativa como uma maneira de evitar os
custos associados aquisio de um certificado comercial.
O Windows Server possui tudo que voc precisa para configur-lo de forma que ele
funcione como uma Autoridade de Certificao. Devido natureza confidencial dos
certificados de servidor, no entanto, voc deve implantar os servios de certificado em
outro servidor, e no naquele que funcionar como gateway do Forefront no permetro de
rede.
Aps escolher um servidor para funcionar como autoridade de certificao, abra o
Gerenciador do Servidor. V para o continer Funes e clique no link Adicionar Funes. O
Windows iniciar o assistente para Adicionar Funes. Ignore a tela de boas-vindas do
assistente e voc ir para uma tela que solicita que voc escolha as funes que deseja
instalar.
Escolha a funo Servios de Certificados do Active Directory e clique em Avanar. Voc
ver uma mensagem de aviso informando que, aps instalar os servios de certificados do
Active Directory, no ser possvel alterar o nome ou o status de domnio do servidor.
Voc ser solicitado a escolher os servios de funo que deseja implantar. Escolha os
servios Autoridade de Certificao e Registro na Web de Autoridade de Certificao e
clique em Avanar.
Neste ponto, o Windows perguntar se voc deseja implantar uma autoridade de
certificao autnoma ou corporativa. Como voc est configurando para um ambiente de
grupo de trabalho, escolha a opo Autnoma. Clique em Avanar e ser solicitado que
voc escolha o tipo de Autoridade de Certificao. Como esta a primeira autoridade de
certificao da organizao, escolha a opo CA Raiz e clique em Avanar.
O assistente agora perguntar se voc deseja criar uma nova chave privada ou usar uma
chave privada existente. Crie uma nova chave privada e clique em Avanar.
Quando o Windows exibir a tela Criptografia do assistente, clique em Avanar para aceitar
os padres. Em seguida, voc ser solicitado a fornecer um nome comum para a
Autoridade de Certificao. Digite o nome escolhido e anote-o. Voc precisar saber esse
nome posteriormente quando implantar o Forefront.
Ser solicitado que voc selecione um perodo de validade do certificado. Clique em
Avanar para aceitar os padres. O assistente agora solicitar que voc especifique um local
para o banco de dados de certificados. Use qualquer local desejado, mas faa backup
regularmente, seja qual for o local escolhido.
Em seguida, o assistente exibir uma introduo ao IIS. Clique novamente em Avanar e
voc poder instalar servios de funo adicionais para o IIS. Os servios de funo
necessrios j esto selecionados, ento, basta clicar em Avanar e em Instalar para
implantar os servios de funo necessrios. Quando o processo for concludo, clique em
Fechar.
Preparando o servidor
Voc precisar preparar o servidor antes de instalar o Forefront TMG. Comece instalando
todos os patches mais recentes do Windows Server no servidor. Isso importante o
Forefront no foi instalado corretamente quando eu pulei esta etapa sem querer.
Com o servidor atualizado, insira a mdia de instalao do Forefront TMG 2010. Quando o
Windows exibir a tela inicial do Forefront, clique no link Executar Ferramenta de Preparao.
Ao clicar, o Windows iniciar o assistente da Ferramenta de Preparao do Forefront TMG.
Ignore a tela de boas-vindas do assistente e ser solicitado que voc aceite o contrato de
licena. Voc ver a tela mostrada na Figura 1, que pergunta qual tipo de instalao do
Forefront voc executar. Escolha a opo Servios e Gerenciamento do Forefront TMG e
clique em Avanar.

Figura 1 Escolha a opo Servios e Gerenciamento do Forefront TMG para instalao
O Windows instalar todas as ferramentas e os recursos necessrios. Quando o processo
for concludo, verifique se a caixa de seleo Iniciar o Assistente de Instalao do Forefront
TMG est marcada e clique em Concluir.
Instalando o Forefront TMG
O Windows iniciar o Assistente de Instalao do Forefront TMG Enterprise. Depois da tela
de boas-vindas e de aceitar o contrato de licena, clique novamente em Avanar e voc
precisar fornecer a chave do produto (Product Key). Clique mais uma vez em Avanar e o
assistente solicitar que voc confirme o caminho de instalao. Considerando que esteja
tudo certo, clique em Avanar para ir para a tela Definir Rede Interna.
O Forefront TMG foi desenvolvido para ser implantado no permetro de rede, portanto, ele
precisa saber quais endereos IP esto includos na sua rede interna. possvel fornecer o
seu intervalo de endereos internos clicando no boto Adicionar.
Neste ponto, voc ser levado caixa de dilogo Endereos. Clique no boto Adicionar
Adaptador e escolha o adaptador conectado sua rede interna, conforme mostra a Figura
2. Se o adaptador estiver usando um endereo IP dinmico, ser necessrio voltar caixa
de dilogo Endereos e especificar manualmente o intervalo de endereos internos.

Figura 2 Escolha o adaptador conectado sua rede interna
Quando voc tiver especificado o adaptador e todos os intervalos de endereos IP internos,
clique em Avanar. Talvez seja exibida uma mensagem de aviso informando que ser
necessrio reiniciar alguns servios. Nesse caso, basta clicar novamente em Avanar.
Neste ponto, talvez seja exibida uma mensagem informando que o gerenciamento remoto
est sendo habilitado a partir do seu endereo IP. Nesse caso, anote o endereo IP antes de
clicar em Avanar.
Dever ser exibida uma mensagem informando que voc est pronto para instalar o
Forefront. Clique no boto Instalar e o processo de instalao ser iniciado. Como voc
pode ver na Figura 2, o assistente fornece uma estimativa do tempo necessrio para
concluir o processo de instalao. Quando o processo de instalao for concludo, clique
em Concluir.
Configurando o Forefront TMG
Agora que voc instalou o Forefront TMG, abra o console de Gerenciamento do Forefront
TMG e selecione o n superior na rvore de console. Clique no link Iniciar o Assistente para
Introduo, localizado no painel Aes. O Forefront iniciar o Assistente para Introduo,
mostrado na Figura 3.

Figura 3 O Assistente para Introduo orienta voc no processo de configurao
Clique no boto Definir Configuraes de Rede para iniciar o processo de configurao,
mostrado naFigura 3. Isso iniciar o Assistente para Configurao de Rede. Ignore a tela de
boas-vindas do assistente e voc ir para uma tela que solicita que voc selecione o
modelo de rede que melhor representa a sua topologia. Como ns vamos configurar o
servidor do Forefront para fornecer proteo de permetro, selecione Firewall de Borda,
como mostra a Figura 4.

Figura 4 Selecione a opo Firewall de Borda
Voc ser solicitado a selecionar o adaptador de rede conectado sua rede interna. Esse
procedimento tambm permite especificar rotas adicionais, mas isso raramente ser
necessrio em um ambiente de grupo de trabalho.
Depois de fazer a sua seleo, clique em Avanar e voc ver uma tela solicitando que seja
escolhido o adaptador de rede conectado Internet. Faa a sua seleo e clique em
Avanar, e depois em Concluir.
Definindo as configuraes do sistema
Agora hora de definir as configuraes do sistema. Clique no boto Definir Configuraes
do Sistema mostrado na Figura 3. Quando voc clicar, o Windows iniciar o Assistente de
Configurao do Sistema.
Ignore a tela de boas-vindas do assistente e voc ver uma tela semelhante quela
mostrada naFigura 5. Em um ambiente de domnio, voc precisaria fornecer um nome de
domnio e um sufixo DNS. Como estamos configurando o Forefront em um grupo de
trabalho, no necessrio fazer nada. Clique em Avanar e em Concluir para concluir a
configurao do sistema.

Figura 5 Verifique se o Forefront est configurado para uma implantao de grupo de
trabalho
Definir as opes de implantao
A ltima etapa do processo de configurao definir as opes de implantao. Clique no
boto Definir Opes de Implantao mostrado na Figura 3. Quando o Windows iniciar o
Assistente para Implantao, clique em Avanar para ignorar a tela de boas-vindas.
Ser perguntado se voc deseja usar o Microsoft Update para verificar se existem
atualizaes de antivrus. recomendvel selecionar a opo Sim. Clique em Avanar e voc
ser levado para a tela mostrada na Figura 6.

Figura 6 Ativar a licena complementar e habilitar a inspeo de malware
Como voc pode ver na Figura 6, necessrio ativar a licena do Forefront. Habilite o
Sistema de Inspeo de Rede, que procurar cdigo mal-intencionado no nvel de pacote
HTTP/HTTPS. Voc tambm deve marcar a caixa de seleo Habilitar Inspeo de Malware;
tambm pode habilitar a filtragem de URLs, se desejar.
Voc definir uma opo para controlar com que frequncia o Forefront verifica se existem
atualizaes de antivrus. Por padro, a atualizao verificar a cada 15 minutos. Voc
tambm pode configurar uma notificao, se as verificaes de atualizao falharem por
um perodo de tempo prolongado.
Em seguida, o Assistente perguntar se voc deseja participar do Programa de
Aperfeioamento da Experincia do Usurio. Faa sua seleo e clique em Avanar e em
Concluir para concluir o processo de configurao. Clique em Fechar para fechar o
Assistente para Introduo.
O Windows iniciar automaticamente o Assistente de Diretiva de Acesso Web. Esse
assistente permite controlar os tipos de filtragem da Web executadas pelo Forefront. Clique
em Avanar para ignorar a tela de boas-vindas e voc ver uma tela que pergunta se voc
deseja criar uma regra padro que bloqueie as URLs potencialmente maliciosas. Clique em
Sim e em Avanar.
Neste ponto, voc ver uma tela que pergunta sobre os tipos de sites cujo acesso voc
deseja bloquear. Por exemplo, possvel bloquear o acesso a sites que contenham discurso
de dio ou obscenidades. A lista de contedo bloqueado populada automaticamente,
mas voc pode ajust-la conforme necessrio.
Em seguida, o assistente perguntar se voc deseja aplicar as regras de inspeo de
malware Diretiva de Acesso Web. recomendvel escolher a opo Sim, assim como
recomendvel marcar a caixa de seleo para bloquear arquivos ZIP criptografados que
poderiam potencialmente conter arquivos maliciosos.
Ser perguntado se voc deseja permitir que os usurios utilizem sesses HTTP
criptografadas por SSL (HTTPS). recomendvel inspecionar o contedo HTTPS, porm o
Forefront adverte que esse procedimento pode ter consequncias legais. Considere a sua
deciso com cautela.
Se voc optar pelas inspees de HTTPS, ser perguntado se voc deseja ou no notificar
os usurios dessas inspees. Voc tambm ser informado de que necessrio um
certificado para o processo de inspeo.
Voc pode permitir que o Forefront gere um certificado autoassinado ou pode usar um
certificado personalizado. O uso de um certificado autoassinado no nem mesmo uma
opo em um ambiente de grupo de trabalho, ento voc ter que escolher a opo
Certificado Personalizado. Em seguida, ser necessrio fornecer o nome da autoridade de
certificao. Esse o nome amigvel que voc definiu quando criou a autoridade de
certificao, no necessariamente o nome do computador servidor.
Finalmente, voc ver uma tela indicando que voc ser forado a exportar e implantar
manualmente o certificado. Fornea ao assistente uma pasta de destino na qual o
certificado pode ser baixado e clique em Avanar. Quando solicitado, habilite a regra de
cache da Web padro para concluir o processo.
Esse procedimento instala o Forefront TMG de tal forma que voc pode fazer com que ele
inspecione pacotes HTTP/HTTPS medida que eles passarem pelo permetro da sua rede.
No entanto, lembre-se de que o Forefront TMG oferece muitos recursos adicionais, como a
capacidade de inspecionar mensagens de email. Essa uma implantao mais simples,
adequada para proteger grupos de trabalho.
Fonte:
http://technet.microsoft.com/pt-br/magazine/gg547618.aspx