Monday, December 11th, 2017

ISA Server 2004 Best Practice Analyzer

Published on Февраль 13, 2009 by   ·   Комментариев нет

В настоящей статье я расскажу Вам о том, каким образом устанавливать и использовать программу ISA Best Practice Analyzer (ISABPA). Вы можете использовать ISABPA для сканирования среды сервера ISA 2004 на наличие дыр в системе безопасности, проблем в производительности и неправильного подбора конфигурации системы.

Итак, начнем!

ISA Server Best Practices Analyzer является, по своей сути, инструментом для проведения диагностики, подобно широко известному EXBPA (Exchange Best Practice Analyzer Tool), который автоматически выполняет специальные тесты данных о конфигурации, собранных в компьютере локального сервера ISA 2004 в иерархичном порядке административных объектов СОМ сервера ISA, в классах Инструментальных средств управления средой Windows (WMI), системном реестре, файлах на диске и в установках Службы имен доменов (DNS). Вы можете использовать ISABPA как для ISA Server 2004 Standard, так и для ISA Server 2004 Enterprise.

Результирующий отчет содержит данные о компонентах критической конфигурации системы, возможных проблемах, а также информацию о Сервере ISA 2004.

Первым делом нам необходимо загрузить ISA Server 2004 Best Practice Analyzer (ISABPA). После завершения процесса загрузки, Вы можете установить ISABPA, используя нижеприведенные указания Мастера установки.

Помните:
ISABPA требует и устанавливает .NET Framework 1.1.

Установка

Следуйте установочным инструкциям Установщика Microsoft ISA Server Best Practice Analyzer.

Анализатор шыф ыукмук

Рисунок 1: Установка ISABPA

Процесс установки занимает всего несколько минут.

Best practice analyzer

Рисунок 2: Процесс установки

После завершения процесса установки ISABPA автоматически запускается, если только Вы не оставите пустой соответствующую флаговую кнопку.

Пример правильной конфигурации isa

Рисунок 3: Запуск ISABPA после установки

Обновление ISABPA

После установки ISABPA Вы можете начать сканирование Best Practice. Если Вы не пользовались программой ISA Best Practice Analyzer в течение длительного периода времени, то рекомендуется найти обновленную конфигурацию ISABPA. Для обновления ISABPA нажмите Обновить ISA Server Best Practice Analyzer (Update the ISA Server Best Practice Analyzer) в части Смотри также (See also).

Пример правильной конфигурации isa

Рисунок 4: Обновление ISABPA

ISABPA ищет онлайновые обновления на сайте Microsoft. Если новые обновления найдены, то ISABPA проведет автообновление и будет перезапущен.

После завершения процесса обновления ISABPA Вы можете начать новый процесс сканирования Best Practice, нажав кнопку Начать новое сканирование Best Practices (Start a new Best Practices Scan).

Как открыть файл xml?

Рисунок 5: Начало сканирования Best Practice

Вы можете выбрать один из указанных ниже типов сканирования:

  • Health Check + ISAInfo
  • Health Check
  • Run ISAInfo

ISABPA health check выполняет диагностирование Сервера ISA 2004, основывающееся на конфигурационном файле, загруженном с сайта Microsoft.

Isainfo представляет собою довольно известный инструмент, служащий для сбора информации о конфигурации Сервера ISA Server и отображения установок конфигурации. Вы можете загрузить ISAInfo для его независимой установки отсюда. ISAInfo включен в ISA Server Best Practice Analyzer.

Анализатор шыф ыукмук

Рисунок 6: Начало сканирования

Сканирование при помощи ISABPA требует всего лишь несколько минут. После сбора данных, Вы можете просмотреть отчет сканирования Best Practices.

Нажмите Показать отчет данного сканирования Best Practice (View the report of this Best Practice scan).

Анализатор шыф ыукмук

Рисунок 7: Просмотр отчета о сканировании best practice

В данном примере я использовал Сервер ISA 2004 без SP1, на Microsoft Virtual Server 2005 R2. ISABPA выдал отчет о том, что Сервер ISA 2004 находится на Microsoft Virtual OC, что содержит ошибку.

Best practice analyzer

Рисунок 8: Анализ собранной информации

Если Вы используете ISABPA в первый раз или, если Вы новичок в использовании ISA, то необходимо потратить некоторое время на чтение файла помощи ISABPA, который содержит достаточное количество информации о Сервере ISA, процессе анализа ISABPA и о рекомендациях по best Practice.

Пример правильной конфигурации isa

Рисунок 9: файл помощи ISABPA

После выполнения ISABPA Health Check Вы также можете теоретически выполнить ISAINFO в ISABPA. Я пытался открыть ISAINFO в версии ISABPA Version 2.5.3439.50 с конфигурационным файлом 4.0.3440.277, однако все мои попытки завершились безрезультатно. ISAInfo НЕ отображал информацию, созданную ISABPA. Я также пробовал открыть опцию ISAINFO из ISABPA с различных серверов ISA Server 2004 Enterprise и ISA Server 2004 Standard (на немецком и английском языках), однако и это не принесло успеха.

Пример правильной конфигурации isa

Рисунок 10: ISABPA – Запуск ISAInfo

ISABPA правильно использует инструмент ISAINFO. ISAINFO создает файл ISAINFO XML, однако информация не отображается в ISABPA. Я думаю, что это программный сбой ISABPA.

Для устранения этого недостатка, Вы можете запустить ISAINFO вручную и открыть файл XML, созданный ISABPA. Файл ISAINFO XML можно найти в установочной директории ISABPA.

Как открыть файл xml?

Рисунок 11: Ручное управление ISAINFO

Возможно, также автоматизировать процесс выполнения сканирования с помощью ISABPA. Для запуска распределенного сканирования нажмите Распределить сканирование (Shedule a scan) и произведите распределение сканирования, время начала процесса и его частоту.

Анализатор шыф ыукмук

Рисунок 12: Распределение сканирования, производимого ISABPA

Ошибки

  • ISABPA сообщает, что ISA установлен на Виртуальном сервере Virtual Server 2005 R2 как Виртуальный PC.
  • Невозможно выполнить автоматическое создание Отчета ISAInfo. ISAInfo устанавливается вместе с ISABPA, но Вы, все же, должны вручную оперировать ISAInfo вместе с файлом XML, созданным ISABPA.
  • Один парень написал на сервере немецкой группы новостей ISA, что ISABPA не создает список установленных сертификатов, несмотря на то, что они установлены.
  • Ссылка на Руководство по укреплению безопасности Сервера ISA 2004 неверна. Правильная ссылка: http://www.microsoft.com/technet/prodtechnol/isa/2004/plan/securityhardeningguide.mspx

Я общался с членами рабочей группы по разработке Сервера ISA, и они сообщили мне, что первые недоработки (неправильное сообщение о Виртуальном PC) и неверная ссылка будут устранены в следующей обновленной версии ISABPA.

ISABPA обращается к недостающим сертификатам только в том случае, если отсутствует соответствующий секретный ключ к данному сертификату.

Для запуска ISAINFO на ISABPA Вам необходимо установить ISAINFO XML Parser, который не включен в ISABPA.

Заключение

В настоящей статье я показал Вам, каким образом используется ISABPA – ISA Server 2004 Best Practice Analyzer для анализа конфигурации Вашего текущего сервера ISA с целью выявления дыр в системе безопасности, недоработок в исполнении и ошибок в конфигурировании.

www.isaserver.org



Смотрите также:

Tags: , , , , ,

Readers Comments (Комментариев нет)




Да человек я, человек! =)

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]