Instalando e Configurando o ForeFront TMG 2010

Depois de muito tempo sem postar artigos como fazer vou retomar com o produto Microsoft que sou especialista o ForeFront TMG 2010, sucessor do nosso querido ISA Server que por muito tempo atendeu nossas necessidades no que diz respeito a Firewall de Borda e Web Proxy, o avano se faz necessrio e sem mudana no h avano ento vamos mudar e comear a trabalhar com o ForeFront TMG 2010. Vou fazer uma serie de artigos e irei demonstrar como instalar e configurar o ForeFront TMG 2010 Standard Edition, alm claro de mostrar as novas funcionalidades do produto. Nesse primeiro vou abordar instalao e configurao do TMG como Firewall de Borda (Edge Firewall) abaixo segue um diagrama da nossa rede que composta por um controlador de domnio que tambm servidor DNS e DHCP. O ForeFront TMG est com duas placas de redes, uma dedicada para a rede interna e outra para a rede externa (Internet) esta por sua vez ligada em um roteador fornecido pelo ISP (Internet Service Provider) nosso provedor de acesso a internet. Temos tambm outros servidores e dispositivos, como em qualquer rede de uma empresa. Requisitos de Hardware para a instalao do ForeFront TMG 2010 O diagrama abaixo representa a infraestrutura de rede comum na maioria das empresas. Um servidor controlador de domnio, DNS e DHCP. O TMG ir trabalhar como default gateway e proxy dessa rede, ele est conectado a um modem ADSL que faz a conexo com a internet. Temos tambm clientes de rede e demais servidores.

Primeiro passo identificar as nossas placas de rede, renomeando corretamente, qual placa ser dedicada para rede interna e para a rede externa.

Agora configure a ordem que as placas sero acessadas pelos servios de rede, clique em avanado e depois em configuraes avanadas.

Altere se for necessrio, deixando a rede interna em primeiro.

Agora configure o endereo IPv4 da placa de rede interna.

E o endereo IPv4 da placa de rede externa.

Aps configurar corretamente as placas de rede voc j esta pronto para instalar o ForeFront TMG 2010, porem recomendvel que voc efetue testes de conectividade de rede, verifique por exemplo se voc consegue pingar endereos IP da rede interna e da rede externa a internet. Bom agora voc j pode colocar o CD do ForeFront TMG 2010 e efetuar a instalao. Na tela de boas vidas clique em Executar o Windows Update e instale as atualizaes necessrias.

S avance para a etapa seguinte quando todas as atualizaes estiverem instaladas Agora clique em Executar a Ferramenta de Preparao ela instalar os requisitos de software necessrios para o ForeFront TMG 2010. Na tela de Bem-vindo Clique em Avanar. Aceite o Contrato de Licena e clique em Avanar. Na tela Tipo de Instalao selecione Servios e Gerenciamento do ForeFront TM e clique em Avanar.

O assistente de preparao do sistema ser executado.

Aps algum tempo a tarefa finalizada cerifique-se que a opo Iniciar o Assistente de Instalao do Forefront TMG e clique em Concluir.

O Assistente de Instalao do ForeFront TMG 2010 ser iniciado. Na tela de Bem-vindo Clique em Avanar. Aceite o Contrato de Licena e clique em Avanar. Informe os dados necessrios como Nome de Usurio, Organizao e Nmero de Srie do Produto, aps clique em Avanar.

Na tela Cenrios de Instalao selecione Servios e Gerenciamento do ForeFront TMG e clique em Avanar.

Na tela Caminho de Instalao informe o local da instalao do ForeFront TMG 2010 e clique em Avanar.

Na tela Definir Rede Interna clique em Adicionar

Na tela Endereos clique em Adicionar Adaptador.

Na tela Selecionar Adaptadores de Rede selecione a placa de rede da REDE INTERNA e clique em OK.

Clique em OK at retornar a tela Definir rede Interna depois clique em Avanar.

Leia os Avisos de Servios e clique em Avanar.

Na tela Pronto para Instalar o Programa clique em Instalar.

A instalao ser iniciada.

Decorridos alguns minutos a instalao finalizada com xito. Na tela Assistente para instalao Concludo, marque a opo Iniciar o Gerenciamento do ForeFront TMG quando o assistente fechar e clique em Concluir.

Na tela Assistente para Introduo clique em Definir configuraes de rede.

Na tela Bem-vindo Clique em Avanar. Na tela Seleo do Modelo de Rede selecione Firewall de borda e clique em Avanar.

Na tela Configuraes de LAN (Rede Local) selecione sua placa de REDE INTERNA e clique em Avanar.

Na tela Configuraes de Internet confirme as configuraes da sua placa de REDE EXTERNA e clique em Avanar.

Revise todas as configuraes e certifique-se que esto corretas, depois clique em Concluir.

De volta tela Assistente para Introduo clique em Definir configuraes do sistema.

Na tela de Bem-Vindo Clique em Avanar. Cerifique-se de que todas as configuraes referentes ao seu domnio esto corretas e clique em Avanar.

Na tela Concluindo Clique em Concluir. De volta tela Assistente para Introduo clique em Definir opes de implantao.

Na tela Bem-vindo Clique em Avanar. Na tela Instalao de Atualizaes da Microsoft selecione Use o servio de Atualizaes da Microsoft para verificar atualizaes (recomendado) e clique em Avanar.

Na tela Configuraes de Recurso de Proteo do ForeFront TMG, selecione todas as opes recomendadas para usufruir (mesmo que temporariamente) de todos os novos recursos de proteo do TMG 2010 e clique em Avanar.

Na tela Configuraes de Atualizaes de Assinaturas NIS selecione todas as opes recomendadas para usufruir do novo recurso de proteo conta Malware e clique em Avanar.

Na tela Comentrios de Cliente selecione Sim, desejo participar e clique em Avanar.

Na tela Servio de Relatrio de Telemetria da Microsoft selecione Avanado. Fique tranquilo seus dados particulares no so enviados. Clique em Avanar.

Na tela Concluindo o Assistente Certifique-se de que todas as opes esto corretas e clique em Concluir. De volta a tela Assistente para Introduo cerifique-se que a opo Executar o Assistente para Acesso Web, est desmarcada e clique em Fechar. Iremos configura-la mais adiante.

Expanda o N do seu servidor TMG, clique em Monitorando e depois em Servios, verifique se todos os servios esto em execuo.

Pronto a instalao e configurao inicial do ForeFront TMG est completa, no prximo post vamos configurar o cache do Forefront TMG 2010

Configurando Cache Forefront TMG 2010

O TMG usa o cache de objetos solicitados frequentemente para aprimorar a velocidade do acesso Web e o desempenho da rede. Por padro, aps a instalao, nenhum espao definido para o cache. Voc pode habilitar o cache ao executar o assistente para Acesso Web ou pode habilit-lo usando as instrues neste post. Alguns pontos que devemos levar em considerao para habilitarmos o cache. 1. Mais RAM fornece desempenho mais rpido para atender ao contedo em cache. Em implantaes grandes, recomendado que um disco rgido de alto desempenho seja usado. Alm do espao em disco o TMG reserva 10% da memoria RAM para armazenar objetos e entrega-los de forma mais rpida. Voc deve usar uma partio formatada do sistema de arquivos NTFS para o cache, e a unidade do cache deve ser local. Quando voc configura uma unidade de cache, um arquivo de contedo de cache, Dir1.cdat, criado no local: unidade:\urlcache. Nesse post vamos usar a unidade D:\. O tamanho mximo de um arquivo de cache em uma nica unidade de 64 GB. Voc pode ter mais arquivos de cache porem ter que armazena-lo em outra unidade, como por exemplo a unidade E:\ e assim por diante. recomendvel colocar o arquivo em um disco fsico, sem ser o disco do sistema operacional e onde o Forefront TMG est instalado. Isso reduz a conteno no sistema e no disco de inicializao.

2.

3. 4.

Configurando o cache. Na rvore do console de Gerenciamento do Forefront TMG, selecione Diretiva de Acesso Web, e em Tarefas Relacionadas, clique em Configurar Cache da Web.

Na guia Unidades de Cache, selecione a entrada do servidor e clique em Configurar.

Selecione a unidade necessria, no nosso caso a unidade D:\ e, em Tamanho mximo do cache, especifique o tamanho mximo em megabytes que vamos configurar com 1024 MB = 1GB. Clique em Definir para salvar a configurao.

O cache configurado com sucesso, clique em OK para finalizar a configurao e em Fechar para encerrar o assistente.

Clique em Aplicar.

Na tela de Aviso do Forefront TMG selecione Salvar as alteraes e reiniciar os servios e clique em OK.

Para confirmar as alteraes clique em OK.

O Servio Firewall do Microsoft Forefront TMG ser reiniciado.

O arquivo de cache Dir1.cdat criado com sucesso.

Finalizamos a configurao do cache do Forefront TMG 2010, no prximo post vamos criar nossa primeira Regra de Firewall.

Liberando Trfego DNS Forefront TMG 2010

Seguindo a configurao do ForeFront TMG 2010, aps a instalao do TMG e configurao do Cache voc j pode criar a sua Diretiva de Firewall que liberar o trafego DNS para consultas externas assim seus clientes podero acessar sites da internet. Considerando que voc j tenha um Encaminhador (Foward) configurado no seu servidor DNS, como na imagem abaixo:

Reparem que ao efetuarmos um teste de consulta recursiva ele falha:

Vamos solucionar esta questo criando uma Diretiva de Firewall que libera trafego DNS. Primeiro passo criar um objeto computador que representa os nossos servidores DNS interno e externo. Na rvore do console de Gerenciamento do Forefront TMG, clique no n Diretiva de Firewall.

No painel Ferramentas, selecione Objetos de Rede clique em Novo e selecione Computador.

Clique em Procurar

Informe o nome de host do seu servidor e clique em Localizar.

Ser retornado o endereo IP do seu servidor DNS

Clique em OK e em OK novamente para confirmar a criao do objeto computador. Clique novamente em Novo e selecione Computador.

Informe o nome e o endereo IP do seu servidor DNS Externo (Encaminhador) e clique em OK.

Os objetos Computadores so criados com sucesso.

Clique em Aplicar.

Para confirmar as alteraes clique em OK.

Selecione Tarefas e clique em Criar Regra de Acesso.

Informe um nome amigvel para sua regra e clique em Avanar.

Em Ao da Regra selecione Permitir e clique em Avanar.

Em Protocolos clique em Adicionar.

Expanda Protocolos Comuns e selecione DNS, clique em Adicionar e depois em Fechar.

Em Protocolos clique em Avanar.

Em Origens da Regra de Acesso clique em Adicionar

Expanda Computadores e selecione o objeto Computador BABOODC criado anteriormente, clique em Adicionar e depois em Fechar.

Em Origens da Regra de Acesso clique em Avanar.

Em Destinos da Regra de Acesso clique em Adicionar

Expanda Computadores e selecione o objeto Computador DNS Externo criado anteriormente, clique em Adicionar e depois em Fechar.

Em Destinos da Regra de Acesso clique em Avanar.

Em Conjuntos de Usurios clique em Avanar.

Verifique as configuraes da Diretiva e clique em Concluir.

Clique em Aplicar.

Para confirmar as alteraes clique em OK. Vejam como fica a Regra de Acesso.

Agora v at as propriedades do seu servidor DNS na aba Monitoramento verifique novamente o status de uma consulta recursiva Aprovado.

 isso pessoal nossa prxima regra ser uma regra de acesso web utilizando a categorizao de url.

Filtragem de URL no ForeFront TMG 2010

Nesse post vamos conhecer o novo recurso do ForeFront TMG 2010 que a filtragem de URLs. A filtragem de URLs concede ou nega acesso a sites de acordo com categorias de URL (como pornografia, drogas, dio ou compras). A categorizao padro de um site especfico determinada pelo MRS (Servio de Reputao da Microsoft) e pode ser editada pelo administrador de sistema do Forefront TMG. Quando uma solicitao para acessar um site recebida, o Forefront TMG consulta o MRS para determinar a categorizao do site. Se o site tiver sido categorizado como uma categoria ou um conjunto de categorias de URL bloqueadas, o Forefront TMG bloquear a solicitao. Acesse o portal do MRS (Servio de Reputao da Microsoft) Benefcios da aplicao da filtragem de URL Os benefcios da aplicao da filtragem de URL incluem: 1. 2. 3. 4. 5. Aprimoramento da sua segurana impedindo o acesso a sites mal-intencionados, como sites de phishing. Reduo dos riscos de responsabilidade impedindo o acesso a sites que exibem materiais imprprios, como sites de racismo, atividades criminosas ou pornogrficos. Aprimoramento da produtividade da sua organizao, impedindo o acesso a sites no produtivos, como jogos ou mensagens instantneas. Uso de relatrios relacionados filtragem de URL e entradas de log para conhecer o uso da Web na sua organizao, como as categorias de URL mais procuradas. Excluso de sites de inspeo pelos HTTPS e mecanismos de inspeo de malware, por exemplo, excluso de sites financeiros de inspeo HTTPS devido a consideraes de privacidade.

O Forefront TMG tem mais de 70 categorias de URL. Uma categoria de URL uma coleo de URLs que correspondem a um critrio predefinido, por exemplo, mal-intencionado, anonimato ou drogas ilegais. As categorias so agrupadas por conjuntos de categorias, que podem ser usados para simplificar a configurao de diretivas do Forefront TMG. Vamos a nossa regra: Na rvore do console de Gerenciamento do Forefront TMG, selecione Diretiva de Acesso Web, e em Tarefas, clique em Criar Regra de Acesso.

Informe um nome amigvel para a sua Regra de Acesso e clique em Avanar.

Em Ao da Regra selecione Permitir e clique em Avanar.

Em Protocolos verifique se esto adicionados os protocolos HTTP e HTTPS e clique em Avanar.

Em Inspeo de Malware vamos deixar desabilitado para o momento, pois iremos explorar este novo do FroFront TMG 2010 mais adiante, selecione No Habilitar a inspeo de malware para esta regra e clique em Avanar.

Em Origens de Regra de Acesso clique em Adicionar

Expanda Redes, selecione o objeto Interno clique em Adicionar e em Fechar.

De volta Origens de Regra de Acesso, clique em Avanar.

Em Destinos de Regra de Acesso clique em Adicionar

Expanda Redes, selecione o objeto Externo, clique em Adicionar e em Fechar.

De volta Origens de Regra de Acesso clique em Avanar.

Em Conjuntos de Usurios selecione Todos os Usurios e clique em Remover.

Em Conjuntos de Usurios clique em Adicionar

Selecione o objeto Todos os Usurios Autenticados, clique em Adicionar e em Fechar.

De volta Conjuntos de Usurios, clique em Avanar.

Revise as configuraes da Diretiva de Acesso e clique em Concluir.

Antes de aplicar as alteraes clique com o boto direito na Diretiva de Acesso recm-criada e selecione Propriedades.

Nas Propriedades de Acesso Web (Nome da Regra) selecione a tab Para e clique em Adicionar

Expanda Categorias de URL, e adicione as categorias que devero ser bloqueadas de acordo com a sua necessidade, no nosso caso vamos bloquear as categorias Chat, Nudez e Pornografia. Clique em Adicionar e ao termino em Fechar.

De volta Propriedade de Acesso Web clique em OK.

Clique em Aplicar.

Para confirmar as alteraes clique em OK.

Resultado da Diretiva de Acesso.

Ela est permitindo os protocolos HTTP e HTTPS da rede Interna para a rede Externa (Internet) para todos os usurios que so autenticados, porm est bloqueando sites de Chat, Nudez e Pornografia baseado na categorizao de URL feita pelo MRS (Servio de Reputao da Microsoft).

Voc pode consultar uma URL para saber em qual categoria ela se encaixa. Clique em Consultar Categoria de URL.

Digite a URL que deseja consultar e clique em Consulta.

Porem pode haver rarssimos casos em que a categoria no corresponde ao critrio desejado, como o caso da URL batepapo.uol.com.br que categorizada como Blogs/Wiki.

Para estes casos especficos voc pode substituir a categoria de URL. Clique em Configurar Substituies de Categoria de URL.

Na tab Substituies de Categoria de URL, clique em Adicionar

Digite a URL a ser substituda seguida de * selecione a Categoria de URL, nesse caso Chat e clique em OK.

Verifique se a URL foi substituda e clique em OK.

Clique em Aplicar.

Para confirmar as alteraes clique em OK.

Aps alguns minutos se fizermos a Consulta de Categoria novamente da URL batepapo.uol.com.br, verificamos que ela se encontra na categoria Chat que foi substituda pelo Administrador do ForeFront TMG 2010.

Ao tentar acessar qualquer URL categorizada como Chat, Nudez ou Pornografia o usurio receber a pagina de bloqueio erro 502.

Vejam como ficou a Diretiva de Acesso, reparem que as categorias ficaram cortadas isso significa que elas estao nas excesses de acessso, ou seja, esto sendo usada para bloqueio.

Voc pode usar as categorias para liberar acesso somente a determinados contedos, como por exemplo, sites de noticias, veja como ficaria a Diretiva.

Ento isso pessoal, vimos como controlar o acesso Web usando o novo recurso de Filtragem de URL do ForeFront TMG 2010 e tambm vimos como consultar e substituir uma categoria de URL, fico devendo a Inspeo de Malware que ser abordada no prximo post.

Inspeo de Malware no ForeFront TMG 2010

Ol Pessoal,

Todo administrador de sistemas sabe que o trafego Web pode trazer alguns malefcios como spywares, vrus e malwares. O Forefront TMG usa definies de vrus conhecidos, worms e outros malwares que baixa do Microsoft Update ou WSUS (Windows Server Update Services), para inspeo de malware. O Filtro de Inspeo de Malware do Forefront TMG verifica pginas da Web e arquivos solicitados por computadores cliente, e limpa o contedo HTTP prejudicial ou bloqueia sua entrada na rede interna. Ao habilitar a inspeo de malware em regras de acesso Web, o Filtro de Inspeo de Malware examina pginas da Web e arquivos solicitados por computadores cliente, e limpa o contedo HTTP prejudicial ou bloqueia sua entrada. Embora seja recomendvel que voc mantenha as configuraes padro, voc poder definir opes de inspeo de malware para uma regra que sejam diferentes daquelas definidas globalmente.

Vamos definir a inspeo de Malware para a regra Acesso Web

Na rvore do console de Gerenciamento do Forefront TMG, selecione Diretiva de Acesso Web a qual deseja habilitar a inspeo de malware clique com o boto direito e selecione Propriedades.

Selecione a tab Inspeo de Malware e marque a box Inspecionar contedo baixado de servidores Web para clientes, e clique em OK.

Clique em Aplicar.

Para confirmar as alteraes clique em OK.

Pronto a inspeo de Malware j est habilitada, quando um cliente fizer download de arquivo da internet, o arquivo ser recuperado como na imagem abaixo.

Inspecionado, baseado nas definies baixadas do Microsoft Update ou WSUS (Windows Server Update Services).

Ao termino da verificao o arquivo ser liberado para download.

 possvel habilitar a inspeo de Malware no momento de criao de uma Diretiva de Acesso Web, basta selecionar Habilitar inspeo de malware para esta regra no Assistente de criao.

Tambm possvel configurar excees tanto de Destino como de Origem que no iro passar pela inspeo de Malware.

Na Central de Atualizaes possvel verificar o status de atualizao das definies de inspeo de Malware.

Bom nesse post vimos como funciona o novo recurso de inspeo de Malware do ForeFront TMG 2010 que traz maior segurana ao ambiente corporativo , combatendo pragas e ameaas online de forma eficaz.

Criando Grupos de Acesso no ForeFront TMG 2010

Ol pessoal!

Um dos grandes benefcios do ISA Server e agora do ForeFront TMG 2010 a capacidade de integrao com o Active Directory, esse recurso permite que voc gerencie melhor o acesso web baseado nos grupos de segurana ou contas de usurios do AD por exemplo.

Na imagem abaixo temos dois grupos de segurana do AD, vamos importar o grupo ACESSO LIBERADO para o Conjunto de Usurios do ForeFront TMG 2010.

Na rvore do console de Gerenciamento do Forefront TMG, selecione Diretiva de Firewall, selecione Ferramentas, expanda Usurios e clique em Novo.

Informe o nome que deseja dar ao objeto, recomendo que seja o mesmo usado no Active Directory.

Em Usurios clique em Adicionar

Selecione Usurios e grupos do Windows

Em Selecionar Usurios ou Grupos clique em Locais

Altere o local para a rvore do seu domnio e clique em OK.

Informe o nome do seu grupo de segurana e clique me verificar nomes, aps o nome ser retornado corretamente clique em OK.

De volta a Usuarios clique em Avanar.

Revise se as configuraes esto corretas e clique em Concluir.

Clique em Aplicar.

Para confirmar as alteraes clique em OK.

O grupo ser adicionado aos Usurios do ForeFront TMG 2010.

E voc poder usa-lo nas suas Diretivas de Acesso Web para gerenciar de maneira simplificada os acessos internet da sua rede corporativa.

Nesse post vimos como importar grupos de segurana do Active Directory para o ForeFront TMG 2010, voc pode importar tambm contas de usurios diretamente no lugar de grupos de segurana

Configurando VPN no ForeFront TMG 2010

Ol pessoal!

Nesse post vamos ver como configurar o acesso VPN no ForeFront TMG 2010. No nosso cenrio um cliente externo ir se conectar a rede corporativa de forma segura atravs do ForeFront TMG 2010, veja o exemplo no diagrama abaixo:

Primeiro passo criar a conta de usurio e o grupo de segurana que sero usados para acesso VPN, como na imagem abaixo:

A conta de usurio deve ter o Acesso de discagem permitido.

E ser membro do Grupo de segurana que ter direito de acesso no ForeFront TMG.

Na rvore do console de Gerenciamento do Forefront TMG, selecione Diretiva de Acesso Remoto (VPN) clique em Configurar o Mtodo de Atribuio de Endereo.

Selecione Protocolo DHCP e clique em OK.

De volta a Console de Gerenciamento clique em Habilitar Acesso a Cliente VPN.

De volta a Console de Gerenciamento clique em Especifique Usurios do Windows.

Na tab Grupos clique em Adicionar

Em Selecionar Usurios ou Grupos clique em Locais

Altere o local para a rvore do seu domnio e clique em OK.

Informe o nome do grupo de segurana e clique em OK.

De volta a tab Grupos clique em Aplicar.

Na tab Geral voc pode definir o numero mximo de conexes VPN simultneas que o ForeFront TMG 2010 ir aceitar, clique em OK.

Clique em Aplicar.

Para confirmar as alteraes clique em OK.

Na rvore do console de Gerenciamento do Forefront TMG, selecione Monitorando e clique em Servios, aguarde o Servio de Acesso Remoto iniciar.

Para que os clientes VPN tenham acesso a recursos da sua rede interna como compartilhamentos de rede, voc deve criar uma Diretiva de Firewall que permita esse tipo de acesso tome como exemplo a regra criada no post anterior alterando as opes para que fique igual imagem abaixo:

Configurando VPN no Windows 7

Abra a Central de redes e compartilhamento e clique em Configurar uma nova conexo ou rede.

Em Escolher uma opo de conexo clique em Conectar a um local de trabalho e clique em Avanar..

Em Como deseja se conectar? Clique em Usar minha conexo com Internet (VPN).

Em Digite o endereo da Internet com o qual se conectar informe os dados pblicos da sua infraestrutura de rede e clique em Avanar.

Em Digite o seu nome de usurio e a senha fornea os dados necessrios e clique em conectar.

O assistente ir iniciar a conexo VPN.

E a conexo VPN ser estabelecida com sucesso.

Defina o Local de rede como Rede Corporativa.

Para verificar as conexes VPN no ForeFront TMG clique em Monitorando, selecione Sesses e clique em Editar Filtro.

Edite o filtro com o Tipo de Sesso igual a Cliente VPN e clique em Adicionar Lista.

E clique em Iniciar Consulta.

Sero exibidas as conexes VPN ativas.

Nesse post vimos como liberar o acesso VPN de clientes externos para a rede interna de forma segura com o ForeFront TMG 2010

Erro 502/12156 ISA Server e ForeFront TMG 2010

Ol Pessoal!

Para quem administra um servidor ISA ou TMG e os clientes esto recebendo a seguinte mensagem: Error

Code: 502 Proxy Error. The HTTP message includes an unsupported header or an unsupported combination of headers. (12156) Cdigo de erro: erro 502 de proxy: A mensagem HTTP inclui um cabealho sem suporte ou uma combinao sem suporte de cabealhos. (12156)

Esse problema ocorre se uma resposta do servidor da Web contm um cabealho HTTP que comea com um espao ou com um caractere TAB.

Para resolver esse problema salve o cdigo abaixo como um arquivo .reg, execute no servidor ISA/TMG e reinicie a maquina:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RAT\Stingray\Debug\Web Filters]

DROP_CONTINUATION_LINES=dword:00000001

Maiores detalhes voc encontra em http://support.microsoft.com/kb/935693

Limpando Cache no ForeFront TMG 2010

Ol pessoal,

O Forefront TMG fornece cache de objetos solicitados frequentemente para aprimorar a velocidade do acesso Web e o desempenho da rede, mas em alguns casos pode ser necessrio limpar ou excluir o cache para atualizar o contedo. Vamos ver duas maneiras de executar esse procedimento.

Limpando todo Cache

Este procedimento bastante simples e consiste em parar o servio de Firewall do TMG, excluir o arquivo Dir1.cdat.

Na rvore do console de Gerenciamento do Forefront TMG, selecione Monitorando, no painel central selecione Servios, selecione o servio Firewall do Microsoft Forefront TMG e no painel direito clique em Parar o Servio Selecionado.

Certifique-se de que o servio parado com sucesso.

Localize a pasta Urlcache.

Na pasta Urlcache, localize o arquivo que possui a extenso de nome de arquivo .cdat.

Clique com o boto direito no arquivo .cdat e, em seguida, clique em Excluir .

Quando voc for solicitado para confirmar a remoo do arquivo .cdat, clique em Sim .

Se voc for solicitado para excluir o arquivo .cdat porque ele muito grande para a Lixeira, clique em Sim.
Retorne a Console do Forefront TMG e selecione o servio Firewall do Microsoft Forefront TMG e clique em Iniciar Servio Selecionado.

Com esse procedimento todo o cache do Forefront TMG excludo.

Limpando cache especifico

Para limpar um cache especifico como de um nico site, por exemplo, necessrio utilizar a ferramenta Cachedir.exe, faa download do pacote CacheDirPack.exe execute a instalao, esse processo ir extrair o arquivo CacheDir.exe por padro na pasta C:\Program Files (x86)\Microsoft Forefront TMG Tools\CacheDir. Voc deve copiar o arquivo CacheDir.exe para a pasta C:\Program Files\Microsoft Forefront Threat Management Gateway.

Execute a ferramenta CacheDir, localize a URL que deseja remover do cache

Clique com o boto direito sobre a URL e selecione Mark as Obsolete.

Para confirmar clique em Sim.

A URL ser removida do cache do Forefront TMG 2010.

Nesse post vimos duas maneiras para excluir contedos do cache do Forefront TMG 2010

Habilitando o WPAD Forefront TMG 2010

Voc pode usar o servidor do Forefront TMG como o servidor de WPAD no qual os arquivos de configurao Wpad.dat e Wspad.dat esto localizados. Neste post vamos configurar a rede na qual os clientes esto localizados para publicar informaes de descoberta automtica e como especificar a porta na qual o computador do Forefront TMG deve disponibilizar as informaes de descoberta automtica.

Para configurar o servidor de WPAD

Na rvore do console de Gerenciamento do Forefront TMG, clique em Sistema de Rede. No painel de detalhes, clique na guia Redes e selecione a rede na qual voc deseja escutar as solicitaes WPAD dos clientes (geralmente a rede interna padro).

Na guia Tarefas, clique em Editar Rede Selecionada.

Na guia Descoberta Automtica, selecione Publicar informaes de descoberta automtica desta rede.

Em Usar esta porta para solicitaes de descoberta automtica, especifique a porta na qual o servidor de WPAD do Forefront TMG dever escutar as solicitaes WPAD dos clientes.

Clique em Aplicar.

Para confirmar as alteraes clique em OK.

Bom, agora o Forefront TMG j est com o WPAD habilitado, no prximo post vamos ver como configurar a entrada WPAD no servidor DNS.

Configurando entrada WPAD no DNS

possvel configurar uma entrada DNS no servidor DNS do controlador de domnio da rede, da qual as solicitaes de descoberta automticas dos clientes sero recebidas (geralmente a rede interna) dessa maneira ao efetuar uma consulta DNS os clientes conseguiram acessar automaticamente o script de configurao do WPAD.

Para configurar um alias para a entrada WPAD

Clique em Iniciar, digite dnsmgmt.msc e abra a snap-in de gerenciamento do servidor DNS.

Na rvore de console, clique com o boto direito do mouse na zona de pesquisa direta do domnio e clique em Novo Alias (CNAME).

Em Nome do alias, digite WPAD.

Em Nome totalmente qualificado para host de destino, clique em Procurar para pesquisar o namespace DNS do nome do servidor do Forefront TMG.

Clique em OK e o resultado deve ser o seguinte:

Clique em OK e verifique o se o registro foi criado com sucesso.

Verifique se o servidor est respondendo as consultas corretamente, executando o comando nslookup wpad a resposta deve ser a seguinte:

extremamente importante que esta consulta funcione corretamente.

A funo Servidor DNS no Windows Server 2008 apresenta uma lista global de consultas no autorizadas para reduzir a vulnerabilidade associada s atualizaes do DNS, descrito em 962238. Isso pode afetar a implantao WPAD. Nesse caso pode haver problemas de resoluo de nomes do WPAD.

Para corrigir esse problema abra o editor de registro.

Navegue at HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\DNS\Parameters

Abra o valor GlobalQueryBlockList e remova a entrada wpad. Repare que h um caractere aps a entrada isatap, recomendo no remove-lo. Clique em OK.

Pode ser necessrio reiniciar o servidor aps esse procedimento. A boa noticia que se voc j possua a entrada WPAD no DNS antes de instalar o 2008 server esse problema no ocorre.

Ento isso pessoal, nesse post vimos configurar corretamente a entrada WPAD no servidor DNS

Instalando o Cliente TMG via GPO

Ol Pessoal,

Nos dois ltimos post vimos como configurar a descoberta automtica do Forefront TMG na nossa infraestrutura de rede, neste post veremos como distribuir e instalar o software Cliente do Forefront TMG nos computadores clientes do Forefront TMG. O software Cliente do Forefront TMG inclui o arquivo ms_fwc.msi do Windows Installer e est disponvel no DVD do Forefront TMG, nas edies Standard e Enterprise. A instalao do Cliente do Forefront TMG permitida em sistemas operacionais de 32 e 64 bits.

Existem apenas algumas configuraes no servidor Forefront TMG, que so responsveis por configurar o comportamento do cliente Forefront TMG. Primeiro de tudo, possvel habilitar o suporte ao cliente TMG para a definio da rede interna no servidor TMG como voc pode ver na imagem seguinte.

Abra o DVD de instalao do Forefront TMG 2010 navegue at a pasta \client e copie o arquivo MS_FWC.msi.

Cole em um compartilhamento de rede. Com permisso de leitura para o grupo Todos.

Abra o gpmc.msc Editor de Objeto de Diretiva de Grupo.

Crie ou edite uma GPO que afete as contas de computadores que devero ter o TMG Client instalado.

Expanda Configuraes do Computador / Diretivas / Configuraes de Software / Instalao de Software clique com o boto direito, Novo e selecione Pacote

Localize o compartilhamento de rede em que o pacote MS_FWC.msi foi copiado, selecione o pacote e clique em Abrir.

Na tela Implantar Software, selecione Atribudo e clique em OK.

O resultado deve ser semelhante:

Na mesma GPO configure o Windows Installer para Sempre instalar com alto privilegio.

Feche o Editor de diretiva de grupo. Aps a aplicao da GPO nos estaes o TMG Client ser instalado na prxima inicializao.

Verifique se a GPO foi aplicada executando o comando gpresult /Z na estao cliente.

Verificando o Visualizador de eventos da estao possvel encontrar o log de instalao do TMG Cliente.

O cone do TMG Client, ir aparecer na systray.

Para verificar as configuraes do Client TMG, clique com o boto direito no cone, selecione propriedades e clique em Configuraes.

Clicando em Avanado voc pode observar que o Client TMG primeiro consulta o registro do AD Marker para depois consultar o DNS e DHCP no processo de descoberta automtica.

Nesse post vimos como distribuir o Client TMG via Group Policy, esta uma excelente pratica, pois voc pode remover o Client TMG usando essa GPO. No prximo post vamos explorar os benefcios do Client TMG e desmistifica-lo.

Desmistificando o Cliente TMG

Ol Pessoal,

Neste post eu vou tentar esclarecer para vocs o que realmente o Cliente TMG ou nas verses do ISA Server o Cliente de Firewall. Tenho visto em muitos cenrios que os administradores de sistemas no implantam o Cliente TMG por temerem que ele funcione como o Firewall do Windows ou que ele possa fechar/bloquear portas na maquina cliente, essa no a funo do Cliente TMG. O cliente do Forefront TMG fornece notificaes da inspeo HTTPS, a descoberta automtica, segurana avanada, suporte a aplicativos e controle de acesso para computadores cliente. Quando um computador cliente executando o Cliente TMG faz uma requisio de Firewall, o pedido direcionado para o servidor Forefront TMG 2010 para processamento. Nenhum encaminhamento infraestrutura especfica necessria devido ao processo de Winsock. O Cliente TMG envia as credenciais do usurio de forma transparente com cada solicitao, permitindo que voc crie uma poltica de firewall no TMG Forefront 2010 computador com as regras que usam as credenciais de autenticao fornecidas pelo cliente, mas apenas com base no trfego TCP e UDP.

Na imagem abaixo temos o log de uma maquina que executa o Cliente TMG e est fazendo uma conexo com cliente RDP (mstsc) em um servidor da internet (201.XXX.XXX.XXX). Perceba que em todo momento o trafego autenticado.

Dessa forma eu posso definir uma regra de acesso RDP somente para usurios autenticados. Sem o Cliente TMG instalado isso no seria possvel.

Caso o Cliente TMG seja removido ou no esteja em execuo na maquina, o acesso ser negado, pois no autenticado.

Acho que agora no existem mais motivos para continuar com maquinas sem o Client TMG/Firewall instalado, certo?