НОУ ИНТУИТ | Технологии и продукты Microsoft в обеспечении информационной безопасности. Лекция 9: Мониторинг, оповещения и логирование на ISA Server 2006

Учитесь и получайте официальные документы БЕСПЛАТНО. Вы можете поддержать наш проект.

Твой путь к знаниям!

Опубликован: 25.06.2010 | Уровень: специалист | Доступ: свободно

Аннотация: В рамках лабораторной работы рассматриваются такие практические вопросы, как применение функций мониторинга Microsoft ISA Server 2006 и систе6мы оповещений для управления средой безопасности

Цель занятия

Приобрести навыки практического использования ПО Microsoft ISA Server 2006, который позволяет защитить ИТ-среду от угроз, поступающих через Интернет, одновременно обеспечивая пользователям быстрый и безопасный удаленный доступ к приложениям и данным.

Сценарий

На примере разработке системы DinnerNow для заказа блюд из различных ресторанов показано, каким образом платформа Microsoft может использоваться для построения комплексного решения, включающего общедоступный Web -сайт, внутреннюю систему для поддержки бизнес-процессов и мобильное приложение. Используются разнообразные технологии, в т.ч. Microsoft Internet Information Services 7, Atlas, Linq, Windows Communication Foundation, Windows Workflow Foundation, Windows Presentation Foundation, Windows PowerShell, и the .NET Compact Framework. Основной упор делается на применение в описанном контексте технологии Windows Cardspace

Имена компьютеров, используемых в рамках этой лабораторной работы:

Краткие итоги

В результате выполнения лабораторной работы студенты научились осуществлять текущий контроль Microsoft ISA Server 2006, проверять способность к взаимодействию и регистрировать доступ к клиентским компьютерам

Упражнение 1 Мониторинг ISA Server

Сценарий

В этом упражнении вы изучите возможности мониторинга программного продукта ISA Server.

Примечание: в этом упражнении используется компьютер Paris

Задача	Инструкции
Следующие задания выполняются на компьютере 1. На компьютере Paris изучите условие вывода предупреждения о событии Service Shutdown	Примечание: выполните описанные ниже шаги на компьютере Paris a.На компьютере Paris выберите меню Start -> All Programs-> Microsoft ISA Server -> ISA Server Management b.В консоли ISA Server разверните узел Paris и выберите мониторинг на левой панели c.На правой панели выберите вкладку Dashboard Примечание: узел Monitoring имеет несколько вкладок, позволяющих осуществлять мониторинг, контроль, расследование, устранение ошибок и планирование поведения брандмауэра Примечание: на первой вкладке (Dashboard) пять других доступных вкладок представлены в виде сводных таблиц. При необходимости более детального изучения какого-либо события или ошибки можно переключиться на соответствующую вкладку. d. Выберите вкладку Alerts Примечание: на вкладке Alerts отображаются события, которые настолько важны, что при их возникновении выводятся предупреждения e. На вкладке Tasks панели задач выберите Configure Alert Definitions. f. В диалоговом окне Alert Properties выберите строчку Service Shutdown и, не сбрасывая флаг в поле Service Shutdown, нажмите Edit Примечание: обратите внимание, что на вкладке General в выпадающем списке Severity событие Service Shutdown рассматривается как триггер для отображения сообщения типа Information g.В диалоговом окне Service Shutdown Properties выберите вкладку Events Примечание: на вкладке Events вы можете указать порог, при прохождении которого триггерится вывод сообщения при возникновении события. В этом примере событием является останов любого из сервисов ISA Server h. Выберите вкладку Actions Примечание: на вкладке Actions вы можете указать действие, которое должно быть выполнено при возникновении события (помимо вывода предупреждения на вкладке Alerts ). В этом примере единственное действие заключается в записи информации о предупреждении в журнал событий Windows (Application log). i.Чтобы закрыть диалоговое окно Service Shutdown Properties, нажмите Cancel j.Чтобы закрыть диалоговое окно Alerts Properties, нажмите Cancel Примечание: обратите внимание, что информация о текущем состоянии сервисов ISA Server считается настолько важной, что для ее отображения выделена специальная вкладка Services
2. С использованием консоли Services остановите сервис Microsoft ISA Server Job Scheduler, чтобы промоделировать возникновение события неожиданного останова сервиса	a.Выберите пункт меню Start -> Administrative Tools -> Services. b.На правой панели консоли Services правой кнопкой мыши щелкните на сервисе Примечание: это приведет к остановке сервиса Microsoft ISA Server Job Scheduler и симуляции возникновения события неожиданного останова сервисов ISA Server c.Закройте консоль Services
3. Посмотрите, как предупреждение появляется на вкладках Alerts и Dashboard	a.Перейдите на вкладку Alerts консоли ISA Server и подождите около 30 секунд, чтобы появилось новое предупреждение ( Service Shutdown ), или на панели Tasks нажмите Refresh Now. Примечание: появится новое предупреждение типа Information о событии Service Shutdown b.Перейдите на вкладку Dashboard консоли ISA Server и подождите около 30 секунд, чтобы появилось новое предупреждение ( Service Shutdown ), или на панели Tasks нажмите Refresh Now. Примечание: в сводной таблице Alerts также появится новое предупреждение Service Shutdown Information. Обратите внимание на столбец, показывающий число новых (еще не подтвержденных) предупреждений Примечание: иконка в левом верхнем углу сводных таблиц показывает уровень самой серьезного предупреждения (например, при отсутствии исключений в работе ISA Server иконка выглядит так:. Свернуть таблицу позволяет иконка, расположенная в правом верхнем углу:
4. Изучите, как работать с содержащейся в предупреждении информацией, и исправьте обнаруженную проблему путем запуска сервиса ISA Server Job Scheduler с использованием вкладки Services	a.На вкладке Dashboard кликните по заголовку сводной таблицы Alerts,чтобыперейти на вкладку Alerts. b.На вкладке Alerts выберите и разверните предупреждение Service Shutdown Примечание: область Messages отображает информацию с общим описанием события ("The service was stopped gracefully") c.Выберите вторую строчку Service Shutdown Примечание: в области Messages отображается более детальное описание события area shows a more specific description of the event. ("The ISA Server Job Scheduled service was stopped gracefully".) Примечание: При возникновении нескольких предупреждений происходит группировка по общему полю - описанию. d.В панели задач на вкладке Tasks выберите Acknowledge Selected Alerts. Примечание: поле Status предупреждения Service Shutdown изменится с New на Acknowledged, показывая, что вы увидели и приняли к сведению это предупреждение. Примечание: предупреждения в статусеAcknowledged исчезают из сводной таблицы Alerts на вкладке Dashboard . e.Выберите вкладку Services, затем в панели задач на вкладке Tasks нажмите Refresh Now. f.На правой панели выберите Microsoft ISA Server Job Schedule, затем в панели задач на вкладке Tasks нажмите Start Selected Service. Примечание: Будет перезапущен сервис ISA Server Job Scheduler. g.На вкладке Alerts выберите вторую строчку "подтвержденного" предупреждения Service Shutdown. h.В панели задач на вкладке Tasks выберите Reset Selected Alerts. i.Нажмите Yes,чтобы подтвердить, что вы собираетесь сбросить флаг Service Shutdown. Примечание: Предупреждения Service Shutdownбудет удалено с вкладки Alerts: это означает, что вы разрешили проблему. В Windows Event Application информация о предупреждении сохранится. Примечание: Для разрешения проблемы, вызвавшей появление предупреждения о событии Service Shutdown в нашем простом примере оказалось достаточно перезапустить сервис, однако в реальной жизни это, как правило, требует более глубокого анализа. is used as an example in this exercise. You would normally investigate a Service Shutdown alert on the ISA Server computer more extensively, than just start up the service again.
5. Изучите возможности по обнаружению вторжений	a.На левой панели консоли ISA Server разверните Configuration и выберите General. b.На правой панели выберите Enable Intrusion Detection and DNS Attack Detection. Примечание: В диалоговом окне вы можете активировать обнаружение известных типов атак. Обнаружение попытки атаки будет приводить к появлению предупреждения об обнаружении вторжения. Примечание: По умолчанию опция обнаружения вторжений включена c. Чтобы закрыть диалоговое окно,нажмите Cancel
6. Изучите возможности по отслеживанию производительности	a.Выберите меню Start -> All Programs-> Microsoft ISA Server -> ISA Server Performance Monitor. Примечание: Появится консоль System Monitor с заданной конфигурацией для ISA Server. Примечание: В ISA Server 260 предопределено 5 объектов System Monitor и около 170 индикаторов для отслеживания производительности ISA Server. b.Закройте консоль ISA Server Performance Monitor. c.В случае появления диалогового окна нажмите No,чтобы подтвердить, что вы не хотите сохранять установки для консоли в файле msisaprf.msc.