В продукте ISA Server 2006 SP1 добавили функционал Change Tracking. Куда пишутся все изменения, которые происходят в ISA сервере. Вещь, достаточно удобная, но нет возможности настроить оповещение по электронной почте. Хотя было бы логичным, вот алерты же можно настроить. А изменения нельзя.
По этой причине пришлось дописывать самому
такой функционал.
Для начала изучил
материалы по данному направлению, и был найдет скрипт с похожим функционалом.
Но написан он был не на Powershell. Вот он.
Из его материалов стало понятно, что данные хранятся вVPS (Vendor Parameter
Set).
User
-----
INADMIN\bakanov
Time
-----
2010-12-19T17:35:10Z
Server
------
srvisa
Description:
------------
I`m Change settings for send email
Change Summary
--------------
Policy Rule [SendEmail] added
Change Extended
---------------
Policy Rule [SendEmail] [Name] is [SendEmail]
Policy Rule [SendEmail] [Order] is [8]
Policy Rule [SendEmail] [Action] is [fpcPolicyRuleActionAllow]
Policy Rule [SendEmail] From added reference to Network [Local Host]
Policy Rule [SendEmail] [ProtocolSelectionMethod] is [fpcSpecifiedProtocols]
Policy Rule [SendEmail] To added reference to Computer [SRV010]
Policy Rule [SendEmail] added reference to Protocol Definition [SMTP]
Policy Rule [SendEmail] added reference to User Set [All Users]
Краткое описание работы скрипта. В шапке – ничего интересного, просто задаем переменные. Интересным параметром является $RegPath, связанный с ISAChangeTrackingCount. Он описывает где в реестре будем хранить количество записей в БД VPS. От этого значения и будем отталкиваться. Просто так записи нельзя удалить, поэтому будем считать, что оно не меняется в сторону уменьшения. Поэтому этот случай я не рассматривал. А факт его увеличения говорит нам о том, что произошли какие-то изменения и их необходимо отправить на почту.
Во время первого запуска проверяется наличие нужных ключей в реестре, и если их нету, то считается, что запуск был первым и текущее количество записей Change Tracking будет первым. Оно запоминается в ISAChangeTrackingCount. Если же данная переменная содержит данные, то она сравнивается с текущим значением. Если в данный момент записей больше, то они отправляются на почту. Учтен тот вариант, что скрипт мог не запускаться какое-то время и в случае его удачного запуска на почту будет отправлено столько писем, сколько было изменений.
Хочется еще добавить, что данные в VPS добавляет сама оснастка MMC, которая была обновлена в SP1. К чему это приводит? К тому, что если вредитель получит доступ к серверу и исправит данные используя оснастку от простой ISA 2006 или напрямую, к примеру на ISA STD версии, через реестр. То обновления не будут записаны в VPS. И мы не узнаем об их изменениях. Конечно, это не самая удачная реализация. По этой причине можно запретить удаленное управлений через оснастку, и необходимо будет ходить через RDP на сервер с ISA сервером, где будет установлена оснастка от ISA SP1.
Подведу итог. Да это мониторинг в каком-то смысле, но не защита от изменения настроек. При сильной хотелке можно изменить параметры так, что бы они не отразились в VPS. Для полной защиты нужно парсить реестр на слежение изменений.
Комментариев нет:
Отправить комментарий