Практические рекомендации по обеспечению безопасности: ведение журнала и оповещение
Следуйте приведенным ниже рекомендациям по ведению журналов и
оповещению в Microsoft ISA Server 2006.
Регулярно внимательно просматривайте журналы в поисках
подозрительного доступа к сетевым ресурсам и их использования.
Настройте оповещения так, чтобы администраторам посылались
уведомления. Реализуйте процедуру быстрого ответа.
Разумно используйте функцию обслуживания журналов, чтобы
избежать заполнения диска, на котором сохраняются данные
журналов.
Настройте определение оповещения Ограничение размера
журнала на остановку служб ISA Server 2006. В этом случае
разрешается только доступ с надлежащим уровнем контроля.
При настройке оповещения на запуск EXE-файла или сценария
убедитесь в доверенности такого файла или сценария и в наличии
соответствующих разрешений. Кроме этого, рекомендуется настроить
однократное срабатывание для оповещений, инициированных состоянием
сети (например для оповещений, инициированных отправкой пакета по
сети). В противном случае злоумышленник может вызывать отказ в
обслуживании в результате многократного срабатывания оповещения.
Инструкции по настройке частоты срабатывания оповещения см. в
разделе Изменение порога оповещения.
В целях максимальной безопасности храните журналы на отдельном
разделе диска с NTFS. К журналам должны иметь доступ только
администраторы компьютера ISA Server.
При сохранении журнальных данных в базе данных SQL используйте
проверку подлинности Windows (а не проверку подлинности SQL).
Если данные журналов регистрируются в удаленной базе данных,
настройте шифрование и подпись данных журналов, копируемых в
удаленную базу данных.
В целях максимальной безопасности настройте взаимодействие
между данным компьютером ISA Server и SQL Server по протоколу
IPsec.
Если по какой-либо причине не удается сохранить данные
журналов, заблокируйте компьютер ISA Server. Для этого настройте
определение оповещения для события сбоя журналов, вызывающее
остановку службы межсетевого экрана Microsoft. Инструкции см. в
разделе Добавить определение оповещения.
Сетевые проблемы (такие как Flood-атаки или перегрузка) могут
вызвать сбой подключения между компьютером ISA Server и сервером
журналов. Подобные проблемы подключения вызывают переключение
сервера ISA Server в заблокированный режим. Чтобы избежать
возникновения таких проблем, выполните следующие действия:
Между компьютером ISA Server и сервером журналов используйте
частную сеть.
Защитите серверы журналов от трафика из ненадежных
источников.
Настройте взаимодействие между компьютером ISA Server и
сервером журналов по протоколу IPsec.
Включите аудит Windows. Это позволяет отслеживать тех, кто
входит в систему на компьютере ISA Server.