locked
Imaging-Software auf ISA2006 bzw. TMG RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo zusammen,

    ich administriere mehrere ISA2006(SP1)-Server. Ein funktionierendes disaster Recovery gehört ebenso zu meinen Aufgaben wie die Erstellung neuer Firewallregeln und die Überwachung der ISA-Server.

    Bei den produktiven Server setzten wir für die Sicherung und Wiederherstellung die Imaging-Software ABR10 (Acronis Backup and Restore / Advanced Server ein). Bei der damaligen Einrichtung der ISA-Server wurde mir von der Firma gesagt, dass auf den ISA-Servern keine Software (außer Windows2003 und ISA2006) installiert werden sollte um Sicherheitsrisiken zu vermeiden.

    Ich würde auch gerne unsere ISA-Server mit ABR10 imagen. Ich habe im Internet versucht herauszufinden ob die Installation von ABR10 auf einem ISA-Server ein Sicherheitsrisko darstellt. Ich konnte nichts entsprechendes finden... Nach meinem jetzigen Wissensstand würde ich bedenkenlos die Imaging-Software auf einem ISA-Server installieren.

    Um wirklich sicher zu sein möchte ich einfach mal in die Runde fragen: Sind Euch Gründe bekannt die eine Installation von Imaging-Software auf einem ISA-Server verbieten würden? Oder wie sichert ihr Eure ISA-Server?


    Schon mal vielen Dank für Eure Antworten

    Gruss
    Werner

    Freitag, 9. Juli 2010 22:58

Antworten

  • Question
    Anmelden
    0
    Anmelden

    moin werner,

    ich schließe mich hier marcs meinung an. bin mir aber durchaus bewußt das man diese denke häufig nicht in die bestehenden strukturen einbauen kann. letzte woche war ich z.b. bei einem kunden, der ein tmg-array in eine dmz stellt. weil domainmember wird trotzdem erstemal ein lokaler av-client und eine tsm-backup draufgebaut. kann man jetzt so oder so sehen.

    bei av gibt es eine eigene betrachtungsweise:
    http://technet.microsoft.com/en-us/library/cc707727.aspx

    backup-software würde ich unkritischer sehen, wenn die agents nicht buggy oder sicherheitskritisch sind (bugfixing!).

    wieder grüsse ans polyproton werner und bis bald vlt.

    gruss, jens mander aka karsten hentrup - www.aixperts.de - www.forefront-tmg.de - www.hentrup.net |<-|
    • Als Antwort markiert Marc.Grote Montag, 12. Juli 2010 20:17
    Samstag, 10. Juli 2010 07:31
  • Question
    Anmelden
    0
    Anmelden

    Hallo Marc,

    vielen Dank fuer Deine Antwort.

    Wie erstellst Du das gesamte Backup? Fährst Du die Firewall herunter und bedienst Dich einer Software wie Gohst? Oder gibt es da noch eine andere Möglichkeit?

    Gruss

    Werner

    PS: Sorry für meine verzögerte Reaktion, aber ich ziehe gerade (privat) um und bin voll im Umzugsstress...

    Montag, 12. Juli 2010 16:21
  • Question
    Anmelden
    0
    Anmelden

    Hi,

    ich erstelle ein Volume Shadow Copy Backup der Maschine im laufenden Betrieb und ab und an sichere ich die ISA/TMG Config in ein XML File und sichere die SQL DB weg!

    regards Marc Grote aka Jens Baier - www.nt-faq.de - www.it-training-grote.de - www.forefront-tmg.de
    • Als Antwort markiert Marc.Grote Montag, 12. Juli 2010 20:17
    Montag, 12. Juli 2010 16:25
  • Question
    Anmelden
    0
    Anmelden

    Hallo Jens,

    av will ich auf unseren Firewalls nicht installieren. Das unsere Firewalls von Viren befallen werden ist äußerst unwahrscheinlich.

    Gruss

    Werner

    PS: Wie ich Marc schon geschrieben habe => Sorry für meine verzögerte Reaktion, aber ich ziehe gerade (privat) um und bin voll im Umzugsstress... Polyproton werde ich grüßen.

    Montag, 12. Juli 2010 16:27
  • Question
    Anmelden
    0
    Anmelden

    Hallo Marc,

    nochmals danke. Ist eine gute Idee die Firewalls so zu sichern. Ich werde mal darüber nachdenken.

     

    Gruß

    Werner

    Montag, 12. Juli 2010 16:32

Alle Antworten

  • Question
    Anmelden
    1
    Anmelden

    Hi,

    meine generelle Sicherheitsempfehlung fuer Firewalls, ist, dass eine Firewall eine Firewall ist und kein Anwendungsserver und man somit so weniig Anwendungssoftware auf einer Firewall installieren sollte wie moeglich um die Angriffsflaeche zu reduzieren. Bei einer Backup Software / Image Software sehe ich jedoch weniger ein Problem, so dass ich diese auch bedenkungslos auf dem ISA / TMG installieren wuerde.
    Aber: Da sich am ISA / TMG ja wenige Aenderungen im laufenden Betrieb ergeben sind meine Best Practices so, dass ich bei Kunden einen permanenten ISA Backup / TMG Backup Job der ISA / TMG Konfiguration (XML) einrichte und nur einmal in einem  gewissen Zeitabstand ein Backup des gesamten Servers zur DSR Zwecken einrichte (Speziell fuer Logs aus datenschutzrechtlichen Gruenden. in einem DSR Fall muss ich somit nur Windows / ISA neu installieren und die ISA Konfig zureuckspielen.

    regards Marc Grote aka Jens Baier - www.nt-faq.de - www.it-training-grote.de - www.forefront-tmg.de
    Samstag, 10. Juli 2010 03:26
  • Question
    Anmelden
    0
    Anmelden

    moin werner,

    ich schließe mich hier marcs meinung an. bin mir aber durchaus bewußt das man diese denke häufig nicht in die bestehenden strukturen einbauen kann. letzte woche war ich z.b. bei einem kunden, der ein tmg-array in eine dmz stellt. weil domainmember wird trotzdem erstemal ein lokaler av-client und eine tsm-backup draufgebaut. kann man jetzt so oder so sehen.

    bei av gibt es eine eigene betrachtungsweise:
    http://technet.microsoft.com/en-us/library/cc707727.aspx

    backup-software würde ich unkritischer sehen, wenn die agents nicht buggy oder sicherheitskritisch sind (bugfixing!).

    wieder grüsse ans polyproton werner und bis bald vlt.

    gruss, jens mander aka karsten hentrup - www.aixperts.de - www.forefront-tmg.de - www.hentrup.net |<-|
    • Als Antwort markiert Marc.Grote Montag, 12. Juli 2010 20:17
    Samstag, 10. Juli 2010 07:31
  • Question
    Anmelden
    0
    Anmelden

    Hallo Marc,

    vielen Dank fuer Deine Antwort.

    Wie erstellst Du das gesamte Backup? Fährst Du die Firewall herunter und bedienst Dich einer Software wie Gohst? Oder gibt es da noch eine andere Möglichkeit?

    Gruss

    Werner

    PS: Sorry für meine verzögerte Reaktion, aber ich ziehe gerade (privat) um und bin voll im Umzugsstress...

    Montag, 12. Juli 2010 16:21
  • Question
    Anmelden
    0
    Anmelden

    Hi,

    ich erstelle ein Volume Shadow Copy Backup der Maschine im laufenden Betrieb und ab und an sichere ich die ISA/TMG Config in ein XML File und sichere die SQL DB weg!

    regards Marc Grote aka Jens Baier - www.nt-faq.de - www.it-training-grote.de - www.forefront-tmg.de
    • Als Antwort markiert Marc.Grote Montag, 12. Juli 2010 20:17
    Montag, 12. Juli 2010 16:25
  • Question
    Anmelden
    0
    Anmelden

    Hallo Jens,

    av will ich auf unseren Firewalls nicht installieren. Das unsere Firewalls von Viren befallen werden ist äußerst unwahrscheinlich.

    Gruss

    Werner

    PS: Wie ich Marc schon geschrieben habe => Sorry für meine verzögerte Reaktion, aber ich ziehe gerade (privat) um und bin voll im Umzugsstress... Polyproton werde ich grüßen.

    Montag, 12. Juli 2010 16:27
  • Question
    Anmelden
    0
    Anmelden

    Hallo Marc,

    nochmals danke. Ist eine gute Idee die Firewalls so zu sichern. Ich werde mal darüber nachdenken.

     

    Gruß

    Werner

    Montag, 12. Juli 2010 16:32
  • Question
    Anmelden
    0
    Anmelden

    moin werner,

    dann hau mal rein - vlt. graden wir ja in der 2ten jahreshälfte up?!

    viel spaß beim umzug (*uh*)...

    gruss, jens mander aka karsten hentrup - www.aixperts.de - www.forefront-tmg.de - www.hentrup.net |<-|
    Montag, 12. Juli 2010 17:09