Nachfolger von ISA Server 2006

Produkt wurde zum September 2012 eingestellt. Info hier.

In einem Satz

Microsoft Forefront Threat Management Gateway 2010 (TMG) ist eine umfassende Web-Gateway-Sicherheitslösung, die Unternehmen und seine Mitarbeiter vor webbasierten Bedrohungen schützt (Unternehmensfirewall.

Ausführliche Beschreibung

Microsoft Forefront Thread Management Gateway 2010, der Nachfolger von ISA Server 2006.

Des Weiteren bietet TMG eine vereinheitlichte Perimetersicherheit, die eine integrierte Firewall, VPN, Eindringlingsprävention (Intrusion Detection), Antivirus und URL-Filterung umfasst. Durch die integrierten Sicherheitsfunktionen zur Abwehr webbasierter Gefahren schützt TMG Benutzer sowohl vor Schadsoftware als auch vor gefährlichen Sites.

Es gibt ein deutsches Datenblatt bei Microsoft zum Download.

Preise und Lizenzinfos
auf den amerikanischen Microsoft Seiten.

Wichtigste Funktionen / Features

 

  • Webmalware-Schutz ist Teil eines Webschutzabonnementdiensts für Forefront TMG. Beim Webmalware-Schutz werden Webseiten auf Viren, Malware und andere Bedrohungen überprüft. Es können auch ungemanagete PCs (also z.B. Gast-PCs, die keinen Virenscanner haben und auch nicht dahingehend überprüft werden) auf diese Weise „sauber“ gehalten werden.
  • URL-Filterung gewährt oder verhindert den Zugriff auf Websites anhand von URL-Kategorien (z. B. Pornografie, Drogen, Gewalt oder Shopping). Organisationen können nicht nur verhindern, dass Mitarbeiter Websites mit bekannter Malware aufrufen, sondern auch die Geschäftsproduktivität schützen, indem der Zugriff auf Websites blockiert wird, die von der Produktivität ablenken könnten. Die URL-Filterung ist ebenfalls Teil des Abonnementdiensts für Webschutz.
  • Abonnementdienst für E-Mail-Schutz: Forefront TMG bietet einen Abonnementdienst für E-Mail-Schutz, der auf der Technologie von Forefront Protection 2010 für Exchange Server basiert. Forefront TMG fungiert als Relay für SMTP-Datenverkehr und überprüft E-Mails auf Viren, Malware, Spam und bestimmte Inhalte (wie z.B. ausführbare oder verschlüsselte Dateien), die im Netzwerk übermittelt werden.
  • HTTPS-Überprüfungermöglicht es, HTTPS-verschlüsselte Sitzungen auf Malware oder Sicherheitslücken zu überprüfen. Bestimmte Gruppen von Websites, z. B. von Banken, können aus Datenschutzgründen von der Überprüfung ausgenommen werden. Benutzer des Forefront TMG-Clients können über die Überprüfung benachrichtigt werden.
  • Netzwerküberprüfungssystem (NIS) ermöglicht es, Datenverkehr auf die Ausnutzung von Microsoft-Sicherheitsrisiken zu überprüfen. NIS kann auf der Grundlage von Protokollanalysen Angriffsklassen blockieren und falsch positive Ergebnisse minimieren. Der Schutz kann bei Bedarf aktualisiert werden.
  • Erweiterte Netzwerkadressübersetzung (Network Address Translation, NAT) ermöglicht es, einzelne E-Mail-Server anzugeben, die auf einer 1-zu-1-NAT-Basis veröffentlicht werden können.
  • Verbesserte VoIP-Unterstützung ermöglicht das Einbinden von SIP, sodass die Bereitstellung von VoIP im Netzwerk vereinfacht wird (Damit: Unterstützung für Office Communications Server!).
  • 64-Bit-Unterstützung: TMG wird auf Windows Server 2008 mit 64-Bit-Unterstützung installiert.
  • TMG unterstützt auch NAP, SSTP, BranchCache sowie die verbesserte Veröffentlichung von SharePoint.

Das Service Pack 1 (Juli 2010)  enthält die folgenden neuen Funktionen und Funktionsverbesserungen:

  • Neue Reports: Der neue User Activity-Bericht zeigt die Websites und Websitekategorien, die von Benutzern aufgerufen wurden. Alle Forefront TMG-Berichte haben ein neues Look and Feel.
  • Erweiterungen für URL-Filterung: Benutzer können nun die Zugriffsbeschränkung auf Websites, die durch die URL-Filterung blockiert sind, überschreiben. Benutzer können nun selbst entscheiden, ob er auf eine blockierte Website zugreifen möchten. Zugriff-Verweigerungs-Meldungen können jetzt angepasst werden.
  • Erweiterter Branch Office Support: „Collocation von Forefront TMG und einem Domänencontroller auf dem gleichen Server“: Wenn TMG 2010 SP1 auf einem Computer unter Windows Server 2008 R2 installiert wurde, vereinfacht dies die Bereitstellung von BranchCache in der Zweigstelle, da Forefront TMG als gehosteter Cache Server dient.
  • Forefront TMG SP1 unterstützt sichere Veröffentlichung von SharePoint 2010.

Das Service Pack 2 (10.10.2011) enthält die folgenden neuen Funktionen und Funktionsverbesserungen:

  • Neue Berichte
    • Der neue Siteaktivitätsbericht zeigt für jeden einzelnen Benutzer die Datenübertragungen zwischen dem Benutzer und bestimmten Websites an.
  • Fehlerseiten
    • Fehlerseiten weisen ein neues Aussehen und Verhalten auf.
    • Fehlerseiten lassen sich leichter anpassen und können eingebettete Objekte enthalten.
  • Kerberos-Authentifizierung
    • Sie können jetzt bei der Bereitstellung eines Arrays über Netzwerklastenausgleich (Network Load Balancing, NLB) die Kerberos-Authentifizierung verwenden.

 

TMG 2010 (Standard Edition und Enterprise Edition) hat nun Common Criteria Evaluation Assurance Level 4+ (EAL 4+):

Cross- und Upselling

TMG 2010 lässt sich gut mit der Konsole der Forefront Protection Suite verbinden, so dass Sicheheitskonfigurationen- und meldungen dort zentral auflaufen.

Wichtige Hinweise

Hinweis zu den Editionsunterschieden

Ein eigenständiges Array bedeutet, dass mindestens zwei Forefront TMG-Server miteinander verbunden sind und über die gleiche Konfiguration verfügen. Die Konfiguration wird jeweils auf dem Server gespeichert, der als Array-Manager festgelegt wurde und auf dem alle anderen Server im Array verwaltet werden. Früher wurden für alle im Array befindlichen Server EE benötigt. Nun ist nur der Array-Manager mit einer EE auszustatten!

  • Eigenständiges Array– In einem eigenständigen Array werden die Konfigurationseinstellungen in einem Konfigurationsspeicher auf dem Array-Manager-Server gespeichert. Diese Speichermethode, die auch zum Speichern von Eigenschaften auf einem eigenständigen Forefront TMG-Server verwendet wird, ähnelt dem Konfigurationsspeicherserver (CSS), der in ISA Server 2006 Enterprise Edition für die Speicherung von Konfigurationseinstellungen und Unternehmensrichtlinien verwendet wurde.
  • Von Enterprise Management Server (EMS) verwaltetes Array– In einem Array, das von einem EMS verwaltet wird, werden die Konfigurationseinstellungen auf dem EMS gespeichert.

Forefront TMG Web Protection Service Subscription: Hierüber sind die Aktualisierungen für das URL-Filtering und das Antimalware-Scanning in einer Lizenz abgedeckt. Technisch werden diese Updates und Definitionen/Signaturen nun alle über die WSUS-Technologie bereitgestellt und sind damit auch gut mit dem System Center Configuration Manager verwaltbar.

 

Windows Server 2012 und TMG

Da Forefront TMG ja abgekündigt wurde, wird es also keine auf Windows Server 2012 oder höher) lauffähige Version geben!

Systemanforderungen
  • Ausschließlich in englischer Sprache
  • Ausschließlich 64-Bit
  • Windows Server 2008 oder höher
  • ACHTUNG: ISA 2006 läuft nicht auf Windows Server 2008!
  • TMG 2010 lässt sich virtualisieren, voller Support aber nur für Hyper-V. Unter VMware müsste der Fehler auf physikalischem System nachgestellt werden
Übersicht aller Downloads