日本マイクロソフト Forefront tmg_セミナ受講メモ_2011-09-01

Microsoft TMG SP1 製品セミナ～ネットワーク検査システム（NIS）と Web アクセス保護

1

オフィスサイトウ代表斉藤之雄

http://www.fxfrog.com/

日本マイクロソフトセミナ受講メモ

【Microsoft TMG SP1 製品セミナ～ネットワーク検査システム（NIS）と Web アクセス保護】

受講日時 2010年 9月 1日（木）午後 1時～

講師 NRI ラーニングネットワーク髙橋さん

関連サイト⇒ http://www.atmarkit.co.jp/fsecurity/rensai/forefront02/forefront01.html

■Forefront とは？

Forefront製品ファミリー

・Microsoft Forefront とは、エンドツーエンドのセキュリティと情報へのアクセスを提供するため保護、ア

クセス、ＩＤ管理の製品ラインアップ。

■Forefrontが提供する５つのソリューション

1. メッセージング環境の保護

2. エンドポイントの保護

3. コラボレーション環境の保護

4. 情報保護基盤

5. ID とアクセス管理基盤

なおウィルス対策は２つのアーキテクチャがある。

a. Antigen社買収により実装 → FOPE, FPE, FSOC, FPSP

サーバ向けのマルチウィルススキャンに対応（他社製品対応）

b. MSRP, MSDiffender = EndPoint (MS自社製品)実装 → FPE

■ISA Server (その前は MS Proxy 2.0) から Forefront TMG へ

・2000年に ISA Server 2000 というマルチレイヤーファイヤーウォールが出荷された。

・それ以降、マイクロソフトテクノロジーとの親和性や様々な機能を引き継ぎながら、機能強化をしている。

■Forefront TNG の新機能

統合脅威管理ゲートウェイ

ファイアウォール安全なWeb アクセス電子メールの保護侵入防止

（社内）

リモートアクセス設定と管理更新サービス

http://www.fxfrog.com/

http://www.atmarkit.co.jp/fsecurity/rensai/forefront02/forefront01.html


2

■セキュアなWeb公開

・Webサーバをカンタンに、かつ安全にインターネットへ公開する

⇒ WAN to LAN

■ネットワーク検査システム（ＮＩＳ）

・署名ファイルを使用し、脆弱性を使用した攻撃（エクスプロイト）を検出

⇒ LAN to WAN, WAN to LAN の両方向で機能

■Web アクセス保護

・社内の利用者がインターネットのWebサイトにアクセスする際の脅威からの保護

⇒ LAN to WAN

■セミナの章構成について

シンプルな管理（展開）

→エッジでのネットワークアクセスポリシのコントロール（F/W）

→企業リソースの RAS (VPN, 社内サーバのセキュアな公開)

→ クライアント PC とサーバへの侵入防止

→ 社外Webアクセスへの安全なアクセス（Web アクセス保護）

→ 電子メール脅威からのユーザ保護（電子メール保護）


3

■システム要件

・H/W要件

・プロセッサ

64bit, 1.86GHz, デュアルコアプロセッサ

・メモリ

4GB

・ハードディスク

2.5GB以上のディスクの空き容量

（キャッシュ用と一時ファイル用は別に必要）

⇒ 500人以下 250GB, 1万人 1TB

⇒単一の TMG で、最大 12,169人の同時ユーザと

487Mbps のWAN帯域を無理なくサポート

@ 3.33GHz Xeon Core i7 プロセッサ 2基（各 8 コア）と

12GB RAM の最上位機種が必要（Xeon と i7 は別ではないかと？）

・S/W 要件

・Windows Server 2008 R2

Standard, Enterprise, Datacenter

Windows AD ドメインコントローラへの Forefront TMG は TMG SP1 よりサポート。

・TMS SP1 の機能拡張

・レポート強化

・URL フィルター

・支社のサポート

・Share Point 2010 の公開

詳細は Forefront TMG サイトを見なはれ。

http://www.microsoft.com/japan/forefront/threat-management-gateway/default.mspx

http://www.microsoft.com/japan/forefront/threat-management-gateway/default.mspx


4

■Forefront TMG のエディションとライセンス

・Standard

- プロセッサ

- Forefront TMG Standard Edition（L のみ 159,500円）

・Enterprise

- プロセッサ

- Forefront TMG Enterprise Edition（L のみ 701,300円）

・Web Protection Service

- サブスクリプション（Select A, 106円／月）

■インストールの流れ

STEP1. 準備ツールの実行

STEP2. インストールウィザードの実行

STEP3. 開始ウィザードの実行

すべてウィザードで行うため、カンタンに導入できる。

// 無人応答インストールは可能であるが、PowerShell を TMG上では使えない。


5

■STEP1. 準備ツールの実行

・インストールの種類

サービスと管理、管理のみ、EMS アレイの一元管理（通常は前者２つのどれか）

・必須コンポ―ネントをネットワークからインストールする。

Forefront TMG サービス

・ネットワークポリシとアクセスサービス

・AD LDS

インストールフォルダ \ADAMData\admntds.dit

・Windows PowerShell

・Windows Installer 4.5

・Windows .NET 3.5 Framework SP1

・Windows Web Service API

・Windows Update

Enterprise Management Server (EMS)

・AD LDS

・Windows Installer 4.5

・Windows .NET 3.5 Framework SP1

■STEP2. インストールウィザードの実行

Setup.exe を使用した無人インストールも可能。サンプル応答ファイルは TMG メディアにあり。


6

■STEP3. 開始ウィザードの実行

Forefront TMS初期構成。自動的に「開始ウィザード」が管理コンソール初回起動時に実行される。

① ネットワークのセットアップウィザード

・ネットワークテンプレート 1/2

- エッジファイアウォール・・・（2枚の NIC必要）DMZ を構成しないでエクストラネットを持つ

- 三脚境界・・・(3枚以上の NIC必要) DMZ を構成する

・ネットワークテンプレート 2/2

- バックファイアウォール・・・バック toバック型 F/W （一番安全）

- 単一ネットワークアダプタ（キャッシュ専用）・・・Web プロクシとWeb公開のみしか利用できない

※ネットワークオブジェクトとルールが自動構成される STEP である。

・ネットワークアダプタの選択

- LAN側、WAN（インターネット）側、DMZ側、それぞれを選択

②システム構成ウィザード

- ホスト ID (コンピュータ名、所属するドメインまたはワークグループ、プライマリ DNS サフィックス選択)

③展開ウィザード

- Forefront TMG環境の Update設定（定義ファイル、NIS署名の更新方法）

インストール直後は NIS署名がないので、定義ファイルダウンロード完了後に使用可能。

WSUS からのアップデートも選択可能。

- NIS とWeb保護ライセンスの有効化（Web保護ライセンスがサブスクリプションキーを入力）

⇒ Evaluation Key は 90日間有効

- マルウェア検査と URL フィルターの有効化

- NIS署名の更新の設定

- カスタマーフィードバックとMicrosoft遠隔測定レポートサービスへの参加

※セキュリティが強化された Windows ファイアウォールは TMG インストール後に無効、且つ設定

できなくなる。


7

■Forefront TMGの管理ツール

従来と基本的に同じ。

■F/W Rule の種類

a. 公開ルール

- WANから LANへの「着信方向」のアクセスを制御

- 社内サーバをWAN公開するときに作成

b. アクセスルール

- LANからWANへの「発信方向」のアクセスを制御

- 社内のコンピュータからインターネットへのアクセスを許可・拒否するときに作成

■F/W Rule種類詳細

a. 公開ルール

・着信方向

・サーバを公開するときに作成

・種類

Webサーバ：Exchange公開ルール、Share Point公開ルール、Web公開ルール

非Webサーバ：サーバ公開ルール、メールサーバ公開ルール

b. アクセスルール

・発信方向（LAN→WAN） ※正確には公開以外

・社内のコンピュータからインターネットアクセスを許可・拒否するときに作成

・種類

HTTP, HTTPS：Web アクセスポリシー（ルールのセット）

HTTP, HTTPS以外：アクセスルール

■ルールの構造

・条件に一致した場合、指定された動作を実行する。

条件：（送信元、宛先、ユーザ

名前動作プロトコル(IP, TCP, UDP)、アプリケーションフィルタ（HTTP, FTP等）

スケジュールなど）

実行：条件に一致したら


8

■F/W ルールの評価

・順番制御

- 各ルールには順番がある。

- ファイアウォールルールは、順番に評価され、条件に一致するルールがあれば、そのルールで指定され

た動作（許可・拒否）実行し、以降の順番のルールは評価対象にならない。

⇒同じルールが構成されていても、順番により動作は異なる。

・既定のルール

- TMG インストール後に既定で作成されるルール

- すべての条件に対し、拒否する // Any, Any, Drop だね。

- 順番は最後

- 順番を変更することも、ルールを削除することもできない

⇒既定のルールにより、一致する条件のルールがなかったら、トラフィックはすべて拒否される

※変更の適用ボタンを押すと、構成の変更の説明（変更履歴）を記入できる。

トラブルシューティングで、変更の追跡で、この変更履歴を確認できる。

変更の適用ボタンを押して、構成の状態が【同期済み】になっていることを確認すること！

⇒ 適用ボタンを押しただけでは、TMG動作は変わらない。

適用ボタンは、変更を AD LDS DBに書き込む。

TMG の動作が変更されるには、DB から TMG のメモリに、

その変更情報が読み込まれる必要がある。

→[監視]ノードの[構成]タブで[同期済み]を確認。

どうしてこんな構成になっているのかは、Enterprise Edition になっており複数 TMG アレイ構成されて

いる場合、構成データが保管されているのは全てではなく、データに書き込み、取り込むという処理である。

スタンドアロンにおいてテスト環境でルールを複数書いた場合、すぐに反映されないこともあるので留意

すること


9

■システムポリシ

・TMG の基本機能の実行や、ネットワークインフラストラクチャ関連のサービスとの通信を有効にするため

のルール群

・システムポリシは、既定で非表示

・編集は[システムポリシエディタ]を使用する。 // 内部的に 50種ほど

・システムポリシルールは、その他のルールよりも先に処理される。

// DNS通信はシステムポリシで許可されているので、明示的に指定する必要はない。

// ICMP レベルの許可もここで書き込まれているので、ping や trace route など通るのはココ。

// 逆方向の疎通確認として ping は指定されていないので、icmp/pingルールを作る必要がある。

// ローカルホストから Windows update へ HTTP, HTTPS もシステムポリシで許可されている。

// リモート接続の許可ポリシも定義されている。

注意：１．管理者が作ったファイアウォールルールよりも優先されていること。

仮に DNS を拒否するルールを作っても、システムポリシが有効なので拒否されない。

→ [システムポリシエディタ]で該当箇所を無効化する必要がある。

２．他のルールと違い、DNS 許可について追加も出来ないし、宛先指定できない。

設定変更できないので、専用メニュー[システムポリシエディタ]で有効化・無効化を行う。

[システムポリシエディタ]で表示されない条件は変更できないということ。

ルールをいっぱい作った場合、うまく動作しないルールは「無効化」にすればいい。

「削除」にすると、後から追加が大変。


10

■ダッシュボード

Forefront TMGの管理コンソールのダッシュボードで、TMG の稼働状況サマリーを構成できる

■ログの管理

・TMGのログ

すべてのトラフィックを記録

・ログの格納場所

- SQL Server

- SQL Express (Local only)

- File (Forefront TMG形式、W3C拡張ログファイル形式)

・取得するログのフィールドを指定できる

■ログのフィルタリング表示

■レポートの確認

・ログの要約・分析結果をわかりやすくグラフィカル表示。

- Forefront TMG SP1 で改良された。

-

・様々なレポート

- サマリー、Web の使用、アプリケーションの使用、トラフィックと使用状況、セキュリティ、マルウェア防御、

ＵＲＬフィルタ、ネットワーク検査

・レポート種類

- ワンタイムレポート

- 定期的なレポート

- ユーザアクティヴィティレポート

⇒ 特定したユーザのアクセスしたサイト、URL分類をレポート

⇒ Forefront TMG SP1の新機能

■レポート作成時の注意事項

・ログデータベースからレポートデータベースにログの内容がコピーされるのは 1日１回（深夜午前１時）

なので、この時間に TMG サービスが動作していなければいけない。


11

■セキュアなWeb公開

・Webサーバをカンタンに、かつ安全にインターネットへ公開する

→ インターネットから社内

攻撃を遮断し、カンタンかつ安全にサーバの公開を実現

// SSL 署名失効リストの更新はここでも任意で行えるようにしないとダメだな、と妄想。

■Forefront TMGの公開ルール

・Webサーバの公開ルール

・Exchange 公開ルール OWA, ActiveSync, Outlook Anywhere など Exchange Client

・SharePoint 公開ルール

・Web公開ルール

・Webサーバ以外の公開ルール（基本的にただのポートフォワードだけ）

・メールサーバの公開ルール

・サーバ公開ルール

■Webサーバ公開の手順

STEP1. Web リスナー（着信 IP、着信ポート）の定義

STEP2. Webサーバの公開ルール作成

・公開するサーバの種類ごとに適切なウィザード実行

・転送先Webサーバの内部サイト名、IP アドレスを指定

・Web リスナーの選択

・選択の条件（ユーザ、スケジュール、送信元、HTTP フィルター）

STEP3. ルールのテスト

■Web リスナーの作成

・ネットワークオブジェクトの一つ。Web リスナーウィザードを実行する。

・Forefront TMG が LISTEN する IP アドレス、ポートの定義。

・Web リスナーで構成する項目：

・クライアントとの SSL接続の有無

・着信接続を受ける、TMG外部 NIC の IP アドレス

・SSL接続で使用するサーバ証明書

・クライアントの認証方法

・すべての公開済みWebサイトの SSOの有無


12

■Webサーバの公開ルールの作成

・Web リスナーで着信を受け付けた要求に対して、接続を許可・拒否する条件と転送先 Web サーバを

指定

■HTTP フィルターの構成

■ルールのテスト

■Exchange Server 2010 の５つのサーバの役割

・メールボックス (MBX) ：メールボックスデータベースのホスト

・ハブトランスポート(HUB):メールの配信 // MTA ということか？

・クライアントアクセス(CAS)：クライアントからの接続を受け付ける

・ユニファイドメッセージング(UM):音声システムとの連携

・エッジトランスポート（Edge）：インターネットとメールの送受信

■クライアントアクセスサーバ

・クライアントからの接続をサポートする Exchange サーバ

・他社製の POP3, IMAP4 も許可する

■社内の Exchange 2010 クライアントアクセスサーバの公開

・ドメインに参加しているクライアントアクセスサーバは内部ネットワークに配置

・Exchange公開ルールを作成し、外部の利用者が社内のメールシステムを利用できるように構成

■Exchange公開ルールウィザード

・[サービスの選択]ページ

・公開する Exchange クライアントアクセスサーバのバージョン、公開するクライアントアクセス

サービスの機能を選択

・各サービス毎の設定の多くは、自動構成される。


13

■ネットワーク検査システム (NIS)

・署名ファイルを使用し、脆弱性を使用した攻撃（エクスプロイト）を検出する、侵入防止機能

・ネットワーク経由の攻撃と NIS署名(シグネチャ)のパターンマッチによる検出

・NIS署名はマイクロソフトマルウェア対応センター(MMPC)によって、開発・提供される。

・サポートされるプロトコル（HTTP以外も検査できる）

・HTTP, DNS, SMB, SMB2, NetBIOS, MSRPC, SMTP, POP3, IMAP, MIME

■NIS の目的

・ゼロデイ攻撃の防止

・常時稼働が求められるシステムで、セキュリティ更新プログラムの即時展開が困難な場合の代替案

・マイクロソフトマルウェア対応センター(MMPC)では、CVE 番号が付与され公開された後、出来る限り

早く NIS署名を公開

■NIS署名の提供

・Microsoft NIS(仮想パッチ)のページを参照してください。

CVEバージョンは北米 NPO MITER社より CVE-西暦-連番が採用されている。

・NISは汎用アプリケーションレベルプロトコルアナライザ（GAPA）のテクノロジを使用

・GAPAはプロトコル仕様言語(GAPA言語あるいは GPAL)と分析エンジンから構成される。

MMCP

GAPAL (GAPA言語)

コンパイラ NIS署名

プロトコル・パーサーとして公開

Windows Update

署名


14

■NIS の有効化と署名の更新

・インストールされている署名の確認と設定

動作確認用テスト署名

応答をカスタマイズした署名などにフラグを設定可能

検出した場合の動作（検出のみ＝通過、ブロック）

署名ごとの該当するMS セキュリティ情報

■NIS の署名情報の設定

■NIS を仮想パッチとして利用

・Windows 2000 Server 延長サポート期間終了 (2010年 7月)

・セキュリティ更新プログラムが提供されてない。

が、NIS 署名は提供される。

・常時稼働しているために、

パッチの適用が難しいシステムに効果的（ＳＡＰなど？）

対象サーバのみセグメントを切って使う。

■NIS の仮想パッチで出来ること、出来ないこと。

・できること

・MSFT で認識している OS、アプリケーションサーバの脆弱性に対するセキュリティ対策

・リモートから攻撃される可能性のある重要度「高」以上の脆弱性に対する NIS署名を提供

・できないこと

・MSFT で認識していない脆弱性を悪用した攻撃に対するセキュリティ対策

・他社アプリケーション(Adobe等？) ｓ脆弱性対策

・ローカルのマルウェア対策

・ローカルで攻撃される可能性のある脆弱性に対する NIS署名ファイル提供

NIS を使用すれば、セキュリティ更新プログラムを適用しなくてよい、というわけではない！


15

// Ｑ＆Ａ（個別に講師へ問い合わせ）

// TMG ログを ODBC で別の SQL Server (MySQL等)へ発行できないので、

// W3C拡張形式でテキスト発行したものを別途書き出す SQL ドライバが必要。

//

// SCVMM2010(2012)で、管理されている Hyper-V 上のWindows 2000 Server を

// TMG で保護下におきたい場合は、SCVMMに TMG をインストールすることは推奨されておらず

// 専用の TMG サーバを立てて、しかも外向けとのセグメント構成を意識しなければならない。

// →要検証ですな。

//

// PowerShell コマンドは用意されていないので、SSL署名失効リストを「コマンド一発更新」は

// 行えない。

■Web アクセス保護

・外部Web サイトへの安全なアクセス

・①URL フィルター

・②HTTP検査

・③マルウェア検査

■Web アクセスポリシウィザード

・初期設定は Forefront TMGの管理コンソール初期起動時に起動させることも可能。

■URL フィルターの設定

・URL フィルターはWeb アクセスポリシウィザードで作成

※例外ユーザに対しては、許可ルールを作成して拒否ルールの前に実行されればよい

■拒否通知メッセージのカスタマイズ

・Webアクセスポリシーで設定

・Forefront TMG SP1 では、ページ全体のカスタマイズが可能。

■ユーザによる上書きの許可

・Webアクセスポリシーで設定

・Forefront TMG SP1 の新機能

・URL フィルターがブロックするサイトへのアクセス制限を、ユーザ自身が上書きできる機能。

→ セッションクッキーを持っている場合であっても、ブラウザを再読み込みしてもブロックしてしまう。

// 自社がプレイボーイ関連のサイトである場合など、個別で許可指定（理由書くなどして）可能。


16

■マルウェア検査

・Forefront Endpoint Protection 2010 (FEP)

旧バージョン：Malware Protection Engine (MPE)を使用

→ Forefront Client Security (FCS)や Windows Defender と同じエンジン

・検査から除外できるサイトを指定可能

既定で「マルウェアサイト検査から除外されるサイト」が構成

→動画サイトや巨大ファイルサイトの定義

デフォルトは *.micrsoft.com, *.windows.com, *.windowsupdate.com

・定義ファイルは Microsoft Windows Update からダウンロード

■マルウェア検査の設定

・マルウェア検査はWeb アクセスポリシウィザードで作成

・ポリシごとの検査設定、既定の構成を上書き

・[定義の更新]タブで、定義ファイルの自動更新と更新カナックなどを設定（[更新センター]からも設定

可能）

■コンテンツの配信

・マルウェア検査によるコンテンツダウンロード遅延に関連する設定

・トリクルにより、クライアント側タイムアウトを防ぐ

・標準トリクル：10秒後に最初の 4KB、その後、ファイルが完全に検査されるまで

5秒ごとに 50バイト送信

・高速トリクル：データをできるだけ速く送信するが、最後の部分の送信は保留し、

スキャンが完了してから送信する（オーディオやビデオデータ向け）

・進行状況の通知を行い、クライアント側に進行状況のインジケータを表示する。

■マルウェア検査

１． http://extersrv.adatum.com/ に IE から接続

２．ログの確認

・フィルター編集

http://extersrv.adatum.com/


17

■HTTPS検査

・社内から社外への発信方向の HTTPS トラフィックの検査

・検査から除外するサイトを指定できる

（金銭や健康に関するサイトを社内規則で除外している条件があれば）

・クライアントコンピュータに検査を行っているという通知を表示できる

・TMG クライアントソフトウェアが必要

・TMG と外部Webサーバ間、TMG とクライアント間で、異なる２つの HTTP トラフィックを確立

■HTTP検査と SSL ブリッジの違い

・HTTP検査・・・Forefront TNGからサポート

→ 社内から社外への発信方向の検査

・SSL ブリッジ・・・ISA Server からサポート

→ 社外から社内への着信方向で使用できる機能

■HTTPS検査の証明書

・クライアントに新しい証明書を発行するために必要

・HTTPS検査の証明書の生成は２つある。

→Forefront TMGによる生成

→ローカル証明機関（オレ署名 CA）による発行

・ドメイン環境の場合は、AD を通じて自動的に各コンピュータの「信頼されたルート証明機関」に

展開できる。

※トラフィックを検査し、サイト証明書を検証する。 Or

トラフィックは検査しないが、サイト証明書を検証する。証明書が無効な場合はHTTPSトラフィックをブ

ロックする。のいずれかを指定できる。（が、証明書失効リストを一発更新はできなさそうだ。Orz）

■HTTPS検査の設定

・HTTPS検査は、Webアクセスポリシウィザードで作成する

■クライアントへの通知機能

・TMG クライアントソフトウェアをインストールする (MS_FWC.msi)

・TMGサーバ、TMG クライアントで、通知機能を有効にする

・HTTPS検査の証明書をクライアントコンピュータ[信頼されたルート証明機関]ストアに格納する。

※グループポリシでも出来るやん！・・・その通り。


18

■Forefront TMG クライアントソフトウェア

・TMG クライアントソフトウェアが提供する機能

・HTTPS検査時の通知

・AD の検索による TMG サーバ自動検出

・すべてのWinsock アプリケーションのサポートとユーザレベル認証

・C:\Microsoft Forefront TMG\Client\MS_FWC.msi を各コンピュータにインストールする。

以上

Self Improvement

日本マイクロソフト Forefront tmg_セミナ受講メモ_2011-09-01