WindowsNT.LV
Вторник, 26 - Июль - 2016 3 комментария
Политики «белых списков» помогают защитить систему от несанкционированных изменений — то есть, законсервировать её. Но полная консервация невозможна: следует ставить обновления операционной системы, иногда требуется менять программы. Как вносить санкционированные изменения?
ЧАСТЬ ЧЕТВЁРТАЯ. ОТКЛЮЧЕНИЕ ПОЛИТИК APPLICATION WHITELISTING
Среда, 13 - Июль - 2016 14 комментариев
ЧАСТЬ ТРЕТЬЯ. КОНФИГУРАЦИЯ БЛОКИРУЮЩИХ ПОЛИТИК.
Какое количество политик (объектов GPO) создать, в каких ситуациях следует создавать дополнительные политики? На это влияют следующие факторы:
Среда, 16 - Декабрь - 2015 15 комментариев
Приняв решение выбрать Политики ограниченного использования программ (Software Restriction Policies, SRP) в качестве инструмента реализации «белых списков» (Application Whitelisting, AWL) и заручившись поддержкой всех ответственных лиц, можно перейти к аудиту используемых на предприятии приложений. Это позволит реализовать AWL с полным знанием того, какие на самом деле программы и откуда запускаются пользователями вручную или операционной системой автоматически (например, сценарии входа, Logon Scripts). Узнав, какие пути реально используются, вы сможете настроить «белые списки», не повредив функционалу компьютера. Разумеется, существует множество конфигураций, в которых рабочая станция стандартизирована и полностью готова к внедрению AWL без дополнительных временных затрат на аудит, но такое случается не столь часто, как хотелось бы.
ЧАСТЬ ВТОРАЯ. АУДИТ ИСПОЛЬЗУЕМЫХ ПРИЛОЖЕНИЙ.
Разрабатывая фреймворк управления политиками SRP, я старался создать систему аудита, позволяющую ответить на следующие вопросы:
Среда, 25 - Ноябрь - 2015 Оставьте комментарий
Некоторые вполне себе удачные ИТ-технологии не внедряются или неверно применяются потому, что у людей нет понимания, как это делать правильно, а заниматься собственными исследованиями не каждый захочет. К таким технологиям в настоящий момент относится и столь важная концепция безопасности, как «белые списки» программ (Application Whitelisting, AWL), которая в Microsoft Windows реализована в виде Политик ограничения программ (Software Restriction Policies, SRP) и AppLocker (SRPv2). Возможно, она непопулярна среди ИТ-администраторов в первую очередь из-за относительной сложности внедрения и диагностики. В этой статье я поделюсь своим опытом внедрения SRP на предприятии, попытавшись сформулировать основные положения правильной конфигурации политик в доменах Active Directory (AD).
Приведённый ниже опыт получен как с нескольких компаний размером порядка 1000 хостов, так и с большого количества маленьких компаний. Некоторые политики было проще реализовать на небольших объёмах, так как в них количество администраторов не превышало двух-трёх; компании побольше дали понимание того, как обычные сотрудники службы техподдержки взаимодействуют с администраторами и другими сотрудниками. Далее я буду описывать свой фреймворк внедрения SRP применительно для компании с парой-тройкой администраторов и десятком сотрудников техподдержки.
Воскресенье, 26 - Апрель - 2015 9 комментариев
Централизованно устанавливать программы в домене Active Directory можно либо средствами групповых политик (Group Policy), либо инструментарием наподобие System Center Configuration Manager. Но SCCM — мероприятие недешёвое, поэтому весомая часть системных администраторов распространяет MSI-пакеты политиками. Однако, установка политиками обладает рядом существенных недостатков:
"%~dp0\cert\VBoxCertUtil.exe" add-trusted-publisher "%~dp0\cert\oracle-vbox.cer"
Для решения этих проблем я написал скрипты распространения и убирания программ. Стандартная схема централизованного распространения может выглядеть так:
Понедельник, 22 - Сентябрь - 2014 20 комментариев
Внедряя Software Restriction Policies (SRP) в очередной компании, регулярно требуется отвечать на вопрос «а как далеко мы продвинулись?» Работая со сравнительно разветвлённой структурой Active Directory, никогда не получится ответить «с наскоку», требуется некий механизм объективного контроля (назовём его SRP Compliance Report). У вас нет SCCM? Не беда, такой контроль можно осуществлять с помощью встроенного механизма Group Policy.
Вторник, 12 - Август - 2014 8 комментариев
Перемещаясь из одной компании в другую, практически везде вижу одну и ту же картину: клонированные с помощью Acronis или Ghost рабочие станции, а также тиражированные на гипервизоре VMWare сервера не распознаются сервером Windows Server Update Services (WSUS). То есть, компьютеры видят WSUS и ставят с него обновления, на самой же консоли управления WSUS их не видно — из 600 рабочих станций распознаются, к примеру, всего 100.
Причина весьма проста — после первого же визита на Windows Update служба WUAUServ генерирует уникальный идентификатор SusClientId, затем администратор сохраняет образ уже обновленной операционной системы. У всех растиражированных с данного образа копии ОС этот идентификатор будет одинаков.
Вторник, 08 - Апрель - 2014 4 комментария
Система блокировки учётных записей Windows при неоднократном введении неправильного пароля существует с самой первой редакции ОС Windows (Windows NT 3.1 Advanced Server, 1993), но новички продолжают прокалываться на элементарных вещах. В данной статье я попробую разобрать основные ошибки начинающих администраторов. Ну и на кусочек Тайного Знания можете рассчитывать тоже.
Среда, 12 - Февраль - 2014 10 комментариев
Некоторое время тому назад в компанию, где я сейчас работаю, пришёл новый директор ИТ-департамента. Как оказалось, завзятый линуксоид, поросший мхом линуксмифов и имеющий соответствующее отношение к Windows-системам: «Windows глючит и небезопасен; а вот Linux, напротив, разработан быть надёжным, отказоустойчивым и безопасным». Только вот незадача, у нас практически всё на Windows, за исключением некоторых бизнес-решений и специфических Appliances типа антиспама. Мы быстро узнали, что «Windows говно, потому что его нужно перезагружать после инсталляции обновлений, а вот Linux можно обновлять без перезагрузок, имея аптаймы по нескольку лет». Настаивая на регулярных рестартах и установке обновлений, я даже услышал вопрос «а можно ли какие-то сервера перевести на Linux, чтобы рестартов не было?»
Потом я понял, что вижу в нём себя, но в несколько другом ракурсе. Я уже три сезона откатал на мотоцикле и понимаю, что серьёзно к нему могут относиться только фанаты. Вождение мотоцикла — это тяжёлая работа, в которой нельзя расслабиться ни на секунду, любая осечка может привести к падению и тяжёлым травмам. Обычному человеку это нафиг не нужно, поэтому люди выбирают «не шашечки, а чтобы ехать». Несмотря на всё моё положительное отношение к мототранспорту, следует признать его серьёзные проблемы, которые не присущи автомобилям:
Всё это в целом объясняет, почему мотоциклов на дороге гораздо меньше, чем автомобилей. Людям нормально передвигаться нужно, без ебатории. То же самое с компьютерами — оставьте Linux фрикам, людям же дайте нормально работать с приложениями, бизнес-задачами. Попытки приблизить Linux по уровню usability к Windows зачастую ничуть выглядят не лучше, чем трицикл — устройство, обладающее всеми недостатками мотоцикла и автомобиля одновременно, поэтому число его пользователей ещё ниже.
Представьте картину, когда вы пришли на авторынок, выбираете модель автомобиля. К вам подходит молодой красноглазый человек с длинными волосами и начинает втирать: «машина — говно, она постоянно ломается и неспособна наклоняться в поворотах. Берите мотоцикл! Вот я — байкер уже 10 лет, у меня дома три байка, я классно катаюсь с друзьями, везде могу ездить». Сам будучи байкером, я его прекрасно понимаю. Но всё это вовсе не означает, что мотоцикл отвечает моим текущим нуждам. Это также не доказывает, что мотоцикл лучше машины.
Как и у мотоцикла, у Linux есть свои, узко ограниченные, области применения. В это смысле не помогут ни идеологические («Linux — это свобода»), ни исторические («Windows начинал разрабатываться на основе Unix с интерфейсом Apple») отсылки линукс-тамплиеров. На мотоцикле ты свободен не более, чем на другом виде транспорта. А факт, что история автомобилестроения началась именно с мотоцикла, вообще ничего не означает!
То, что Linux для нормальных людей гораздо хуже, чем Windows, — однозначный факт, иначе Linux давно был бы установлен на всех компьютерах. Недостатков масса: это и ограниченная поддержка аппаратуры, и несовместимость бизнес-приложений, и даже все корявости управления. Корячиться с Linux — удел фанатов. Но их личные симпатии не являются техническим обоснованием для пропихивания системы везде подряд, где работают люди.
В области серверных задач дискуссия вообще может перейти за рамки реального мира:
Прицепленная к мотоциклу коляска с надписью «Samba» даже близко не делает её похожей на грузовик марки Active Directory. Если водителя пугает высокая кабина с большим количеством кнопок, пусть идёт учиться вождению и сдаёт на права; но подменять понятия, выдавая коляску за полуприцеп фуры, совершенно не следует.
Окончательная линукспобеда произойдёт не раньше, чем весь мир пересядет на двухколёсный транспорт. То есть, этого не произойдёт никогда.
Понедельник, 02 - Сентябрь - 2013 4 комментария
Много раз уже писалось, что задавать пароли через Group Policy Preferences небезопасно, так как они хоть и сохраняются в зашифрованном виде, но ключ шифрования всем известен. Интересно, что в Windows Server 2012 редактор групповых политик даже предупреждение выдаёт соответствующее:
Но так ли просто достать пароль из политик? Думаю, лучше один раз увидеть, чем сто раз услышать.
Peter Gubarevich 