none
недочет SP1 на 2006 RRS feed

  • Вопрос

  • Добрый день!

    Наиболее полезная функция - Change Tracking. Насколько я понимаю, предназначена для того, чтобы "дисциплинировать" администраторов, ведя все записи изменений. Так вот, если на удаленную консоль не накатывать sp1, то комментарии на изменения мало того что не будут запрашиваться, так и сами изменения не будут фиксироваться на сервере.Естественно можно запретить в системной политике подключение с консолей, оставив только rdp на сам сервер, но это не очень удобно. Итого, установка sp1 на рабочей станции администратора остается на совести этого администратора. Проблема естественно актуальна только в больших компаниях.

    3 августа 2008 г. 10:32

Ответы

  • Ну это, мягко скажем, не новость, и вряд ли это можно считать "недочетом". Лично я не видел ни одного заявления компании Microsoft, что данная фукнция является панацеей от подмены логфайлов или полноценным средством контроля за обязательным сохранением истории изменений и её описания.
    Помимо того что функция Change Tracking не работает в консоли ISA Server Management PreSP1, существует возможность обхода данной функции посредством внесения изменений в конфигурацию ISA Server через прямые обращения в реестру ОС (в случае использования Standard Edition) или посредством правки БД ADAM с помощью утилиты ADSIEdit или внесения изменений посредством использования COM-скриптов. И это не все возможные способы.
    Не позже чем через дней 10 после выхода ISA Server 2006 SP1
    Jonathan Barner (ISA Sustained Engineering Team) в блоге Forefront TMG (ISA Server) Product Team Blog подробно описал ответы на вопросы, связанные с безопасностью функции Change Tracking:
    Change Tracking - How secure is it?
    Change Tracking is a Client-Side Feature - Implications on Deployment
    Также Jonathan Barner опубликовал пример скрипта, полностью очищающего историю изменений Change Tracking:
    Change Tracking - Log Management via Scripts
    Резюмируя, использование функции Change Tracking не освобождает администратора организации ISA Server от детального планирования конфигурации ISA Server, а также модели делегирования административных прав. Именно Вам решать, до какого уровня конфигурация Вашей организации ISA Server и политика безопасности Вашей компании позволяет считать функцию Change Tracking средством аудита.
    3 августа 2008 г. 11:31

Все ответы

  • Ну это, мягко скажем, не новость, и вряд ли это можно считать "недочетом". Лично я не видел ни одного заявления компании Microsoft, что данная фукнция является панацеей от подмены логфайлов или полноценным средством контроля за обязательным сохранением истории изменений и её описания.
    Помимо того что функция Change Tracking не работает в консоли ISA Server Management PreSP1, существует возможность обхода данной функции посредством внесения изменений в конфигурацию ISA Server через прямые обращения в реестру ОС (в случае использования Standard Edition) или посредством правки БД ADAM с помощью утилиты ADSIEdit или внесения изменений посредством использования COM-скриптов. И это не все возможные способы.
    Не позже чем через дней 10 после выхода ISA Server 2006 SP1
    Jonathan Barner (ISA Sustained Engineering Team) в блоге Forefront TMG (ISA Server) Product Team Blog подробно описал ответы на вопросы, связанные с безопасностью функции Change Tracking:
    Change Tracking - How secure is it?
    Change Tracking is a Client-Side Feature - Implications on Deployment
    Также Jonathan Barner опубликовал пример скрипта, полностью очищающего историю изменений Change Tracking:
    Change Tracking - Log Management via Scripts
    Резюмируя, использование функции Change Tracking не освобождает администратора организации ISA Server от детального планирования конфигурации ISA Server, а также модели делегирования административных прав. Именно Вам решать, до какого уровня конфигурация Вашей организации ISA Server и политика безопасности Вашей компании позволяет считать функцию Change Tracking средством аудита.
    3 августа 2008 г. 11:31
  • Согласен.

    Спасибо! Скрипт будем иметь ввиду.

     

    3 августа 2008 г. 12:15