Сообщений в теме: 206

[Edgar]

народ, к стати, если есть кто еще не решил вопрос с отчетами и мониторингу логов исы, то ProxyInspector for ISA Server 2.6L Enterprise - оно самое. поставил, ненарадуюсь!
кому надо , есть правельный дистриб.

[thcrym]

хотелось б узнать....
какую версию Исы рекомендуете ставить?
Слышал, что, например, Винсервер2к8 чуток с глюками, так что либо 2к, либо 2к3 ставить.

[leonsv]

Кто нибудь зарезал скайп средствами исы? Заранее прошу, без обид, предположений не писать, а только достоверный факт да получилось вот так.
Спасибо и респект тому у кого это получилось.

Средствами прокси это сделать нельзя, это проблема не только исы, но и всех других программных фаерволов. Эта зараза такая хитрая, что бороца с ней не представляеца возможным. Осложняет ситуацию и то, что клиент может выступать в роли сервера, и коннект может происходит без центрального логин-сервера.

Есть несколько проверенных способов отравления жизни скайпоюзателям:

1. в доменной сети использовать запрет через групповую политику с помощью Software Restriction Policies, но есть минус - прийдеца добавлять каждую новую версию.

2. юзер не должен иметь админских прав, чтобы нельзя было установить скайп, но это не спасёт от skype portable.

3. если в сети юзаеца isa firewall client, то можно заблочить по имени приложения: Configuration - General - Define Firewall Client Settings - Аpplication settings - создаем новое правило skype (без расширения), выбираем Disable и значение 1, но это не сработает, если на рабочей станции переименовать ехе-шник.

4. Бесплатная программулька для удаленного уничтожения скайпа http://www.skypekill...ekiller_x86.exe , проверил на себе, точно работает. Она сканирует всю сеть и удаленно деинсталлирует скайп, как будто его и не было никогда.

какую версию Исы рекомендуете ставить?

2006, не ошибешься.

[borec_za_istinu]

1. в доменной сети использовать запрет через групповую политику с помощью Software Restriction Policies, но есть минус - прийдеца добавлять каждую новую версию.

На мой взгляд "чёрные листы" - зло! Изначально они проще в реализации, но гарантии от ушлых юзеров не дадут ниразу А постоянно отслеживать все новинки и заносить их - лишний геморрой. Гораздо результативнее использовать "белые листы".

[Severe_angel]

СОНО кто сделал правила? Сколько портов, какие? Какие на вход? Какие на выход?

[AlexStar]

СОНО кто сделал правила? Сколько портов, какие? Какие на вход? Какие на выход?

Собственно сделал в виде теста два правила на Вход и Выход TCP и UDP на порт 2809. Проверил через telnet, соединилось. (Касательно isa2004)

[Creed]

Люди, помогите плиз!!!!
Есть ISA 2006 Tools там есть скрипт MSDEtoTEXT.vbs(нужен для конвертации Мускульной Десктоп Енджин базы в текстовый лог). Задача вот в следующем!!!
Как описать в батнике переменными или другим способом забор этих баз каждый день и конвертации их в тектовый лог!?

[Creed]

Приконнектиться к базе в автоматическом режиме(выполнять каждый день) через BAT-Скрипт, сконвертить данные из базы и экспортировать их в определённый тектовый лог!
Например текущая дата+каждый день

[Sigurd]

Люди, помогите плиз!!!!
Есть ISA 2006 Tools там есть скрипт MSDEtoTEXT.vbs(нужен для конвертации Мускульной Десктоп Енджин базы в текстовый лог). Задача вот в следующем!!!
Как описать в батнике переменными или другим способом забор этих баз каждый день и конвертации их в тектовый лог!?

А что мешает складывать логи сразу в текстовые файлики?

Типа "..мы не ищем легких путей.."...

[Creed]

Просто в тектовом виде не производится полный сбор данных. А в текстовик нужно для импорта во внешнюю систему отчётов.

[Creed]

СОНО кто сделал правила? Сколько портов, какие? Какие на вход? Какие на выход?

СОНО выкинул за межсетевой экран через FireWall Client (Secure NAT), предварительно прописав java для доступа к определённым портам, указанным в руководстве и всё работает. Народ сидит и не жалуется относительно СОНО))))

[out]

СОНО кто сделал правила? Сколько портов, какие? Какие на вход? Какие на выход?

СОНО выкинул за межсетевой экран через FireWall Client (Secure NAT), предварительно прописав java для доступа к определённым портам, указанным в руководстве и всё работает. Народ сидит и не жалуется относительно СОНО))))

Так ты и скажи человеку прямо, какие порты открыл, тебя же русским языком спрашивают. Зачем загадками отвечать?




p.s.
И определись уже, через FWC их выпустил или всё же через SNAT

p.p.s.
И отсутствие жалоб со стороны населения не означает отсутствие проблем. Может, ты страшный просто, и они к тебе бояться обращаться с просьбами, кто знает

[Creed]

......... то что меня побаиваются это понятно!!!=)))
У меня работает через фаерволл клиент, прописал порты для java следующие: 9100, 2809, 80, 443.
Прописано на сервере в настройках фаерволл клиента.
Пропиши и будет вам счастье!
Только в доверенные адреса не забудь добавить все вариации домена salyk.kz.

[Madz]

Всем привет. На 9 странице, обсуждалось закрытие Магента. Вопрос был решён, Но на днях Магент благополучно заработал. Правила все на месте. В чём может быть дело?

[out]

Всем привет. На 9 странице, обсуждалось закрытие Магента. Вопрос был решён, Но на днях Магент благополучно заработал. Правила все на месте. В чём может быть дело?

Заблокируй в политиках по хэшу. Но не забывай, что юзеры смогут сменить версию исполняемого приложения.


Ну или, если ленью не страдаешь, можешь и дальше блокировать mrim.mail.ru, благо последний сейчас - это всего лишь mrim38.mail.ru



p.s.
А почему разрешаешь софт ставить?

Сообщение отредактировал out: 04.06.2009, 17:17:23

[Severe_angel]

по хешу не получится, так как их версий ой-ёй-ёй, как и скайпов, боролся со скайпом так и не доборолся, уже деинстал при старте сделал 5 версий, новая вышла и всё и не работает.
COHO создал домайн сет, прописал домен.
Создал руль, со всеми выше перечисленными портами вход-выход, уже направил не на wan(нэт) а именно на домайн сет. Страшно просто такая груда портов, пол попы на ружу, скоро выяснится уязвимость по ним))))

Сообщение отредактировал Severe_angel: 04.06.2009, 17:39:52

[Creed]

Клиенты Магента как подключены!?
Аутентификация клиентов на Исе в домене или локально!?
Какой траффик разрешён от клиентов!?

Сообщение отредактировал Creed: 04.06.2009, 17:44:14

[borec_za_istinu]

Цитата1. в доменной сети использовать запрет через групповую политику с помощью Software Restriction Policies, но есть минус - прийдеца добавлять каждую новую версию.

На мой взгляд "чёрные листы" - зло! Изначально они проще в реализации, но гарантии от ушлых юзеров не дадут ниразу А постоянно отслеживать все новинки и заносить их - лишний геморрой. Гораздо результативнее использовать "белые листы".

Мнение не изменилось Можно так же заблокировать установку приложений, но от портабл-версий это всё же не спасёт.

Сообщение отредактировал borec_za_istinu: 04.06.2009, 21:46:40

[Madz]

Аутентификация в домене. FWC не установлен. От клиентов любой, кроме 443 и 2041.

[Creed]

На основе описания протокола маил агента (http://agent.mail.ru...имаю соглашение) создаёшь протокол в ИСА который потом втыкаешь в правило, в дестинэйшен втыкаешь лист ссылок содержащих mrim*.mail.ru.
И распространяешь на всех юзеров.
И юзеры сами удалят у себя агента )))))
только не забудь в правиле сделать проверять корректность запроса в HTTP b HTTPS.
Тогда стопудово агент работать не будет!))))