Author Archives: Kagarlickij Dmitriy

Настройка AppLocker

unnamedКогда в очередной раз, начинаются разговоры про информационную безопасность, начинаться они могу с host hardening.

Microsoft достаточно активно рекламировала AppLocker как простую и эффективную технологию.

С одной стороны это так, работа с AppLocker достаточно проста, но с другой стороны, организационная подготовка и оперативное обслуживание могут быть фактически невыполнимыми для многих компаний.

Думаю вы уже догадались что после согласования списка ПО (с руководителями отделов и т.п.) разумно будет сделать эталонные машины, создать политики на них и применить к рабочим станциям.

Подробнее о подготовке  можете почитать в моей статье “Информационная безопасность“. В этой статье остановимся на технической стороне вопроса.

Continue reading

Информационная безопасность

comic-strip-5-copyЗа последний год меня радует возрастающий интерес к информационной безопасности, но огорчает что представители ИТ часто не понимают даже основ этой области.

Для начала, предлагаю определить информацию как некое уникальное знание, обладание которым обеспечивает работу бизнеса.

“Классическое” определение информационной безопасности – конфиденциальность, целостность и доступность информации.

Обычно как риск ИБ понимают только конфиденциальность, хотя по статистике, риски целостности менее вероятны чем риски конфиденциальности, а вот риски доступности наиболее вероятны.

Кроме этих рисков, часто не рассматривают больше никаких, допуская серьёзную ошибку в самом начале.

Всего можно перечислить больше десятка, но давайте возьмём несколько, которые подойдут всем:

Continue reading

Group Managed Service Accounts в Windows Server

ManagedServicesСитуации, когда службы и приложения во всей компании работают от имени одной учётной записи с паролём Qwerty123, который, к тому же, знают все эникейщики “на всякий случай”, к сожалению, встречаются до сих пор.

А ведь Managed Service Accounts (MSA) впервые были представлены в Windows Server 2008R2, а в 2012 получили логическое развитие “превратившись” в Group Managed Service Accounts (gMSA) и стали уже в действительно годными для применения.

MSA, кстати, были переименованы в sMSA – Standalone Manager Service Accounts.

MSA/gMSA нужны для технической реализации принципа использования минимально необходимых прав, формально говоря.

Преимущества MSA/gMSA :

  • Надёжный пароль из 120 знаков;
  • Пароль не известен никому;
  • Пароль автоматически меняется по расписанию (по-умолчанию раз в 30 дней);
  • Смена пароля “подхватывается” приложениями которые используют gMSA автоматически;

Continue reading

Cross-forest Миграция Active Directory

moving

Миграция Active Directory – относительно редкая задача, которая чаще всего возникает в связи с реструктуризацией бизнеса.

В статье будет рассмотрена Cross-forest миграция, как более комплексная задача, разобравшись с которой миграция между доменами одного леса (более распространенный сценарий) не вызовет затруднений.

Переносить будем основные объекты Active Directory – Пользователей, Группы и Компьютеры, кроме того, рассмотрим миграцию почтовых ящиков Exchange.

В своей статье я сделаю акцент на выполнении массовых операций.

Основное условие – со стороны пользователя миграция должна пройти максимально предсказуемо и с минимальными потерями рабочего времени.

Вернувшись за рабочее место пользователь сможет ввести свой существующий логин и пароль и использовать существующей профиль со всеми данными и индивидуальными настройками.

Доступ ко всем корпоративным ресурсам (ERP, Fileshare, Email, Printers) останется без изменений вне зависимости от того «переехали» эти ресурсы в новый лес или остаются в старом.

Единственное что будет изменено – это имя домена, но можно предложить использование в качестве логина Email адреса в новом лесу – это достаточно удобно с точки зрения пользователя который привык вводить личный Email в качестве логина в социальных сетях и т.п.

Continue reading

Windows Server Core: Setup

icon_wserver

Server Core можно рассматривать как ответ на современную ситуацию, когда администратор управляет большим количеством серверов (с внедрением виртуализации количество ОС значительно увеличилось), а сервера эти могут находится как в частном, так и в публичном облаке, и, как следствие, должны быть как можно меньше.

Режим Server Core стал доступен  начиная с Windows Server 2008 стал доступен режим Server Core, преимуществами которого являются снижение времени простоя сервиса (например, по причине установки Windows Updates и последующей перезагрузки) а также снижение площади потенциальных атак (львиная доля которых приходится на Explorer и т.п).

Идея здравая – зачем на сервере Internet Explorer, Windows Media Player и т.п. понять было сложно.

Кроме того, все это счастье потребляет дисковое пространство – размер ОС, обслуживающей сервис мог на порядок превосходить размер сервиса (например AD DS, AD CS, RRAS, etc). Это приводило не только к перерасходам на закупке накопителей, но и увеличивало время простоя при миграциях виртуальных машин, восстановлении из резервных копий и т.п.

С растущей популярностью IaaS провайдеров которые взывают плату в зависимости от количества потребленных ресурсов, актуальность Core тоже возрастает.

В Windows Server 2008 в режиме Server Core было доступно совсем немного ролей: AD DS, AD LDS, DNS, DHCP, File Server, Print Server, IIS, Hyper-V.

Основной проблемой являлось отсутствие .NET, а значит установка Exchange, SharePoint, Dynamics и пр. на Core-сервера была невозможной.

И вот, в Windows Server 2012 Core mode был значительно улучшен и теперь является рекомендованным режимом эксплуатации. Тем не менее, еще остались еще роли,  управлять которыми через GUI невозможно через RSAT – например, AD FS.

В этой статье я расскажу о Server Core на примере Windows Server 10, но материал применим и к предыдущим версиям.

Continue reading

Выбор редакции Windows Server 2012 R2 для малого бизнеса

Good Better Best ChoicesВ среднем и крупном бизнесе разобраться с лицензированием Windows Server не составляет труда, поговорим о специфике редакций с точки зрения малого бизнеса (от 5 до 100 сотрудников).

Начиная с Windows Server 2012 Microsoft сделал долгожданный шаг в плане лицензирования – упрощение и выравнивание позволяет не только быстро сделать выбор, но и сделать его правильно.

Редакции Storage Server, как и Multipoint Server (которого, кстати, Вы не увидите в таблице) нерелевантны – не стану даже задерживаться на них.

Hyper-V Server отлично подходит для датацентра, но для одного или нескольких серверов малого бизнеса все его преимущества превращаются в тыкву – за сим его также не станем рассматривать.

Редакция Foundation поставляется в OEM варианте, и представить организацию, которая покупает брендовую “железку” и ОС  урезанную настолько, что адекватный сценарий ее применения даже сложно навскидку предложить у меня не получается, так что ее тоже пропустим.

Итак, у нас осталось три редакции: Essentials, Standard и Datacenter, а значит как раз пора определиться с тем, для чего будем использовать новый сервер.

Continue reading

Управление настройками сети с помощью PowerShell

ps
Несмотря на то, что PowerShell доступен уже более пяти лет, для многих он все еще остается “синей командной строкой” – это и послужило основной причиной выбрать в качестве темы ежедневные сценарии администратора Windows Server.

Почему стоит обратить внимание на PowerShell, а не использовать привычный cmd?  PowerShell мощный инструмент автоматизации, и в ряде сценариев он просто незаменим.

Не стоит забывать, что PowerShell также доступен и через веб а это значит что в случае необходимости Вы сможете работать с iOS, OS X, Windows Phone и Android устройств.

Continue reading