Практические рекомендации по обеспечению безопасности: ведение журнала и оповещение

Следуйте приведенным ниже рекомендациям по ведению журналов и оповещению в Microsoft ISA Server 2006.

• Регулярно внимательно просматривайте журналы в поисках подозрительного доступа к сетевым ресурсам и их использования.
• Настройте оповещения так, чтобы администраторам посылались уведомления. Реализуйте процедуру быстрого ответа.
• Разумно используйте функцию обслуживания журналов, чтобы избежать заполнения диска, на котором сохраняются данные журналов.
• Настройте определение оповещения Ограничение размера журнала на остановку служб ISA Server 2006. В этом случае разрешается только доступ с надлежащим уровнем контроля.
• При настройке оповещения на запуск EXE-файла или сценария убедитесь в доверенности такого файла или сценария и в наличии соответствующих разрешений. Кроме этого, рекомендуется настроить однократное срабатывание для оповещений, инициированных состоянием сети (например для оповещений, инициированных отправкой пакета по сети). В противном случае злоумышленник может вызывать отказ в обслуживании в результате многократного срабатывания оповещения. Инструкции по настройке частоты срабатывания оповещения см. в разделе Изменение порога оповещения.
• В целях максимальной безопасности храните журналы на отдельном разделе диска с NTFS. К журналам должны иметь доступ только администраторы компьютера ISA Server.
• При сохранении журнальных данных в базе данных SQL используйте проверку подлинности Windows (а не проверку подлинности SQL).
• Если данные журналов регистрируются в удаленной базе данных, настройте шифрование и подпись данных журналов, копируемых в удаленную базу данных.
• В целях максимальной безопасности настройте взаимодействие между данным компьютером ISA Server и SQL Server по протоколу IPsec.
• Если по какой-либо причине не удается сохранить данные журналов, заблокируйте компьютер ISA Server. Для этого настройте определение оповещения для события сбоя журналов, вызывающее остановку службы межсетевого экрана Microsoft. Инструкции см. в разделе Добавить определение оповещения.
• Сетевые проблемы (такие как Flood-атаки или перегрузка) могут вызвать сбой подключения между компьютером ISA Server и сервером журналов. Подобные проблемы подключения вызывают переключение сервера ISA Server в заблокированный режим. Чтобы избежать возникновения таких проблем, выполните следующие действия:
  • Между компьютером ISA Server и сервером журналов используйте частную сеть.
  • Защитите серверы журналов от трафика из ненадежных источников.
  • Настройте взаимодействие между компьютером ISA Server и сервером журналов по протоколу IPsec.
• Включите аудит Windows. Это позволяет отслеживать тех, кто входит в систему на компьютере ISA Server.

---

Получить последнее содержимое ISA Server на веб-узле с рекомендациями для ISA Server. Отправить замечания или отзыв об этой странице.

• Перевести на английский