Active Directory предоставляет сервисы аутентификации и авторизации. Работоспособная среда Active Directory позволяет эффективно работать другим службам.
Ранее в руководстве по проверке работоспособности Active Directory (Active Directory Health Check Server Tutorial) мы рассмотрели 2 важных вопроса связанных с проверкой надлежащей работы службы каталогов: «Реплицированная топология Active Directory» и «Подсети не связанные с сайтами Active Directory". Мы рассказали о преимуществах использования сетевой топологии по сравнению с «ячеичстой топологией», а также предложили скрипт в PowerShell, который вы можете использовать для получения информации о количестве сайтов, связанных по ссылке AD.
Сегодня мы объясним, для чего нужно перезагружать хотя бы раз в месяц контроллеры доменов и как можно использовать скрипт Power Shell для получения информации об аптайме контроллеров домена. Скрипт будет представлен ниже.
Важно понимать, что контроллеры домена предназначены для обеспечения критически важных сервисов аутентификации и авторизации и постоянно находятся в работе. Поэтому их необходимо перезагружать ежемесячно, либо в специально отведенный для обслуживания временной промежуток согласно вашим стандартам проверки работоспособности системы.
Перед тем как рассмотреть скрипт Power Shell для получения информации об аптайме контроллеров домена, давайте определимся с тем, зачем нам необходимо перезагружать контроллеры домена. Есть две веские причины, которые необходимо учитывать при принятии решения о перезагрузке. Рассмотрим их:
- Проблемы утечки памяти: утечка памяти происходит при запуске процесса Lsass.exe. Этот процесс осуществляется на контроллере домена и отвечает за предоставление сервисов идентификации клиентам Active Directory. Со временем утечка памяти может повлиять на работоспособность контроллеров домена. Масштабная утечка памяти может привести к неприемлемому временному отклику со стороны процесса Lsass.exe и высокому потреблению памяти операционной системой. Для того чтобы справиться с проблемами утечки памяти рекомендуется периодически перезагружать доменные контроллеры.
Несмотря на то, что в новых версиях операционных систем для серверов Windows Server 2012 R2 и Windows Server 2016 функция восстановления памяти реализована автоматически, всё же рекомендуется перезагружать доменные контроллеры, что в свою очередь может помочь решить проблемы утечки памяти, которые операционная система не может автоматически решить.
- Большинство обновлений для системы безопасности требуют перезагрузки: Важно отметить, что Windows сервер и доменные контроллеры требуют регулярные патчи для установки пакетов обновлений и хотфиксов, а версии патчей системы безопасности должны быть совместимы на всех контроллерах домена. Новые патчи заменяют низкоуровневые Dll файлы в операционной системе, поэтому большинство обновлений систем безопасности требуют перезагрузки, после которой обновления будут успешно применены. Компания Майкрософт ежемесячно выпускает обновления системы безопасности и поэтому крайне важно перезагружать контроллеры, чтобы внести изменения.
Принимая во внимание вышеуказанные причины перезагрузки, предлагаем вам скрипт в Power Shell, который вы можете использовать для получения информации об аптайме контроллера домена. Данный скрипт также поможет вам узнать количество дней, прошедших с последней перезагрузки каждого контроллера домена.
Шаги:
Меняем ITDynamicPacks. Прописываем имя главного домена в AD forest name. Получаем перечень всех доменных контроллеров и главного домена Active Directory, прописав команду, указанную ниже, результат сохраняется в файле C:\Temp\DCList.TXT file:
DSQuery Server -o rdn > C:\Temp\DCList.TXTКопируем полный скрипт указанный ниже в файл PS1 и исполняем в PowerShell окне
$CurForestName="ITDynamicPacks.Net"
$TestCSVFile="C:\Temp\DCUpTimeReport.CSV"
$GDCList="C:\Temp\DCList.TXT"
$TotNo=0
$ItemCount=0
$TestText = "Please check result"
$TestStatus="Completed"
$SumVal = "NA"
$ErrorOrNot = "No"
$ThisString="Domain Controller, Up Time, Local Time, Time Zone, Days Not Rebooted, Status"
Add-Content "$TestCSVFile" $ThisString
$TodaysDate = Get-Date
Foreach ($ItemName in Get-Content "$GDCList")
{
$operatingSystem = Get-WmiObject Win32_OperatingSystem -ComputerName $ItemName
IF ($Error.count -ne 0)
{
$ThisSTR = $ItemName+",Error Connecting"
$ErrorOrNot = "Yes"
Add-Content "$TestCSVFile" $ThisStr
}
else
{
$RTime=[Management.ManagementDateTimeConverter]::ToDateTime($operatingSystem.LastBootUpTime)
$LocalTime=[Management.ManagementDateTimeConverter]::ToDateTime($operatingSystem.LocalDateTime)
$CurTimeZone=$operatingSystem.CurrentTimeZone
$StatusNow = ""
$R = $RTime
$Z = $TodaysDate
$DayNotRebooted = (New-TimeSpan -Start $R -End $Z).Days
IF ($DayNotRebooted -ge 30)
{
$StatusNow = "WARNING: Not rebooted since last 30 days"
}
$ThisStr=$ItemName+","+$RTime+","+$LocalTime+","+$CurTimeZone+","+$DayNotRebooted+","+$StatusNow
Add-Content "$TestCSVFile" $ThisStr
}
}
Когда завершится исполнение скрипта по всем контроллерам домена, будет сформирован отчет в DCUpTimeReport.CSV файле в папке C:Temp folder как показано на следующем скриншоте:
Как можно увидеть из отчета, скрипт даёт возможность получить информацию об аптайме каждого контроллера домена, указанную в C:\Temp\DCList.TXT файле. А отчет о том, сколько дней доменный контроллер не перезагружался можно увидеть в графе «Days Not Rebooted».
Приведенный выше скрипт является частью «Теста контроллеров домена на аптайм» Dynamic Pack, который доступен для использования с Active Directory Health Profiler. Данный тест может быть проведен как для одного, так и для множества доменов AD и вы можете увидеть результаты теста в консоли Active Directory Health Profiler как показано на скриншоте ниже:
Вывод
Мы подробно рассмотрели две ключевые причины перезагрузки контроллеров домена. Основной целью данной перезагрузки является своевременное обслуживание контроллерами домена запросов на аутентификацию и авторизацию, а также максимальная безопасность посредством своевременных обновлений систем безопасности.
Предложенный PowerShell скрипт поможет вам поддерживать работоспособность контроллеров домена на должном уровне, для этого вам раз в месяц их необходимо перезагружать.
Комментарии (146)
osipov_dv
28.11.2016 16:56+1Вы серьезно, а чего не через posh?
DSQuery Server -o rdn > C:\Temp\DCList.TXT
ildarz
28.11.2016 17:40+7всё же рекомендуется перезагружать доменные контроллеры
Угу. А винду на компе раз в год непременно переустанавливать, а то засоряется.
Компания Майкрософт ежемесячно выпускает обновления системы безопасности и поэтому крайне важно перезагружать контроллеры, чтобы внести изменения.
Это бессмысленный абзац. Если на КД настроено автообновление — он сам без советов перезагрузится. Если не настроено — перезагрузки сами по себе к установке обновлений не приведут.
Технология тоже интересна — перед вызовом скрипта отдельно вызвать команду, которой писать текстовый файл, который читать через powershell, вместо того, чтобы вызывать команду в скрипте же (не говоря уж об использовании родного модуля Active Directory). Зачем?
IF ($Error.count -ne 0)
Это что, такая своеобразная замена Try/Catch/Finally? Не страшно, что переменная $error не обнуляется, и этот блок будет отрабатывать постоянно после первой же ошибки (причем любой, а не только при выполнении предыдущей команды)?
Zonzen
28.11.2016 18:28+7Контроллер домена реализованный на базе Samba 4 не нужно перезагружать раз в месяц :)
Zonzen
28.11.2016 19:32+6Друзья мои, я искренне не понимаю за что меня минусуют. Samba 4, на текущий момент, отлично поддерживает весь функционал Windows Server 2008 R2, при этом не страдая болячками оригинала. Я уже много лет разворачиваю AD на linux, зачем тратить деньги и иметь за них геморрой?
k0ldbl00d
28.11.2016 20:14+3Samba 4 — это развлечение на любителя. Нужно очень любить ковыряния с самбой, чтобы настроить действительно работоспособную и надёжную конфигурацию. Квалификация администратора такого КД, опять же, должна быть выше, и знания должны быть более специфическими, чем у рядового Windows-администратора. Я горячо люблю и использую опенсорс, но в своё время понял что в случае AD цена на лицензию оправдывает комфорт.
P.S. Если что, я вам минус не ставил.Zonzen
28.11.2016 21:15Лично я, скромно, разворачиваю AD на базе Samba 4 и ubuntu server, либо cent os, примерно за 30 минут. Там нет никаких ковыряний, все баги и проблемы давно закрыты.
Shaz
28.11.2016 22:42-3А SharePoint, Exchange поднимаете минут за 15?
На данный момент вышел уже Server 2016, 2008 малость устарел. И какой там геморрой с виндовым AD?
P.S. А минусуют наверно потому, что посты вида — «А вот у меня на убунту/минте/<distrib-name> никаких проблем нет!!» порядком подзадолбали. В виду их бесполезности.Zonzen
28.11.2016 22:56-1Sharepoint, exchange и прочий никуда негодный трэш, вообще то, не есть тема обсуждения в рамках данной статьи. Windows server 2008 R2 устарел? Для кого устарел? Чёртова туча компаний сидит, до сих пор, на windows server 2003.
Если Вас некие посты «порядком подзадолбали» означает лишь то, что Вы нихрена не разбираетесь в современных IT-решениях, либо, конечно же я в это не верю, имеете денюжку от майкрософт.Shaz
28.11.2016 23:02-4У меня в парке ПК есть и Win 2000, и что?
Ах, да Ubuntu, CentOS и Samba 4 к теме этой статьи тоже не особо относятся.
P.S. А Вы open-source тут пиарите за автограф Столлмана?Zonzen
28.11.2016 23:05-1Если у Вас в парке есть windows 2000, то Вы абсолютно профессионально непригодны. Заводы стоят, друг мой, вперёд, на конвейер, на линию! Вы нужны там.
Shaz
28.11.2016 23:21-3Таки Вы предполагаете, что весь такой из себя профнепригодный я (даже чортовы венды не осилил), вот прям смогу поднять завод?
Zonzen
29.11.2016 07:47+1Про поднять и в мыслях не было, конечно не сможете. На конвейере будете работать, выполнять одну простую рутинную операцию.
user343
29.11.2016 16:45+15 компов работают в цеху знакомого малого ООО, под MS DOS и Free DOS, выполняя рутинную функцию управления термопласт-автоматами. Обслуживание железа раз в год наверное, на ночь выключаются. Stuxnet не пройдёт.
P.S. про тему статьи — а как тогда сисадминам хвастаться, у кого аптайм длиннее? :)
Shaz
28.11.2016 23:27+1И еще, а Вы не поведаете зачем постоянно разворачиваете AD на Samba за 30 минут?
Ведь у такого профи, этот процесс явно давно автоматизирован.
А раз автоматизирован — значит приходится это часто делать.
А раз приходится это часто делать то…
30 минут в SLA прописаны?Zonzen
29.11.2016 07:54Где я писал, что постоянно разворачиваю AD? Скорее редко. А 30 минут чем не нравится? Развернуть конфиг, таки да — 5 минут, но, как правило ещё надо, ввести самбу в домен, забрать все роли, вывести виндовые контроллеры из домена.
Shaz
29.11.2016 09:08+1А зачем Вы редко разворачиваете AD на самбе? Раз приходится по новой забирать роли с виндовых контроллеров (то есть какая-то инфраструктура уже есть на этот момент) — значит это явно происходит при смене места работы.
И тогда вопрос — от чего такая забота про стоящие заводы? И как это связано с Вами и самбой?Zonzen
29.11.2016 10:13-1значит это явно происходит при смене места работы.
Это значит, что аналитика — не Ваша сильная сторона. Я не меняю места работы.
И тогда вопрос — от чего такая забота про стоящие заводы? И как это связано с Вами и самбой?
Некомпетентные люди должны уйти из IT и работать на заводе, очевидно. Со мной и самбой это никак не связано.Shaz
29.11.2016 10:29-1Что именно с Вами не связано? Компетентность? или IT?
Если место работы одно — то почему Вам приходится забирать роли с виндовых контролеров?Zonzen
29.11.2016 10:48-1то почему Вам приходится забирать роли с виндовых контролеров?
Потому что бывают такие заказы, некоторые конторы избавляются от серверных решений MS.
Shaz
29.11.2016 09:14И что более интересно — раз Вы настоящий сертифицированый профи по серверным ОС MS, то почему Вы не смогли привести ни одного аргумента по теме статьи? Ну то есть либо аргументировать почему перезагружаться таки ежемесячно надо, или что это бред и это делать ненужно.
Shaz
29.11.2016 00:06просто оставлю это тут
А зачем Вы многократно сертифицировались в области серверных ОС Майкрософт?varnav
29.11.2016 11:40Так там же пересертификация с выходом каждого нового продукта. Я, впрочем, на неё забил. И вообще на MS продукты.
(Но, справедливости ради, от DC на Samba я всё таки стараюсь держаться подальше)
AllanStark
28.11.2016 23:43Я подыму и то и другое и даже быстрее, лишь бы дали нужную серверную скорострельность. И как в том анекдоте: «и чо?». И там и там кстати давно есть unattended установка, это для любителей все автоматизировать, всяких девопсов и крупных интеграторов.
muon
29.11.2016 05:40> На данный момент вышел уже Server 2016, 2008 малость устарел
У вас в продакшене режим работы домена и леса — Windows Server 2016?Shaz
29.11.2016 09:04Еще нет, во второй половине 17 года думаю перейдем.
muon
29.11.2016 10:26+1Какие задачи вы решите этим переходом?
Shaz
29.11.2016 14:39-1Получим набор актуальных GPO для Win 10 Ent (да да, и на эту дрянь мы тоже переходим).
+ DNS Policies отсутствующие на 2012R2.Zonzen
29.11.2016 14:47О да… Фичи первой необходимости.
Shaz
29.11.2016 15:09Ну проявите свой талант аналитики, расскажите что же мне на самом деле стоит менять в имеющейся инфраструктуре?
Не думаю что вам это составит большого труда.Zonzen
29.11.2016 15:12Сколько стоит перевод Вашей инфраструктуры с windows server 2012r2 на 2016?
Shaz
29.11.2016 15:26Я не занимаюсь закупкой ПО. Эти решения принимает мое руководство. Моя часть работы — подготовить и осуществить миграцию.
Ну хотите можете сами прикинуть стоимость апгрейда по SA 150 лицензий 2012R2 DataCenter на 2016.
Но если все Ваши аргументы сводятся к «а вот так будет экономия N рублей», то яхз.Zonzen
29.11.2016 15:34аргументы сводятся к «а вот так будет экономия N рублей»
Де-факто, это единственный аргумент, который нужно принимать во внимание, при прочих равных условиях. Точнее даже не экономия на конкретном upgrade, а разница в совокупной стоимости владения проектами построенными на разных платформах за расчетное время их жизни.
Но, если Вы деньги не считаете, то можно сыграть в любую игру.DaemonGloom
29.11.2016 15:54Вам же сказали «SA». За лицензии уже заплачено, дальше важно только время.
Zonzen
29.11.2016 16:14Я поэтому и акцентировал внимание на совокупной стоимости владения.
Shaz
29.11.2016 18:14Ну так что там с фичами первой необходимости? И прочими советами?
Zonzen
29.11.2016 18:25Вы сами сказали, что Ваша работа — что-то там готовить и осуществлять миграцию. Готовьте и осуществляйте. Вам про фичи знать не надо, это решает Ваше руководство.
Shaz
29.11.2016 19:42Вот как Вы любите решать что кому надо а что нет)))
Zonzen
29.11.2016 19:55Что Вы… вовсе нет, я лишь процитировал Вас. Вы сами написали, что решение о закупке ПО принимает Ваше руководство, соответственно и вопросы фич в его компетенции. Вы, как джуниор-админ, должны сами проявлять некоторую инициативу в изучении сервисов необходимых Вашей компании. Но, заверяю Вас, DNS Policies, так как это реализовано в win server 2016, Вашей компании точно не нужно.
muon
30.11.2016 04:34Это понятно, списки технических изменений общедоступны. Какую пользу они принесут бизнесу?
Shaz
30.11.2016 10:29Ну вот есть ряд причин использовать свежие версии MS`овских продуктов, и есть способы извлечения из этого профита. Больше сказать не могу.
Те пункты которые интересны лично мне — я озвучил выше.
То что я привел в пример 2016 версию — это скорее к случаям если идет построение инфраструктуры с 0, или полная перестройка имеющейся. В случаях как были описаны ниже — когда стоят SQL по 700+ ГБ кэша, или 100500 площадок размазаных по всей территории СНГ — я не призываю резко бежать и апгрейдится.
Mako_357
30.11.2016 11:32GPO для W10 можно скачать с сайта Майкрософт и установить на любую редакцию, без необходимости обновлять сервер.
k0ldbl00d
29.11.2016 11:52Это потому что вы знаете как это делать, и как всё это потом обслуживать. Но даже очень хороший Windows-администратор с ходу не разберётся в этой кухне.
Ti_Fix
29.11.2016 09:22+5К сожалению, на данный момент Samba 4 поддерживает не весь функционал Windows Server 2008 R2.
- Максимальный размер базы данных Samba ограничен 4 Гб
- Не полная реализция доверительных отношений
- Поддержка многодоменной структуры отсутствует
- Отсутствие поддержки протоколов DFS-R и FRS
- Отсутствие полноценной поддержки RODC
- Отсутствие поддержки MIT Kerberos
Более подробно про ограничения можно почитать в этой статье: https://habrahabr.ru/post/272777/
ildarz
29.11.2016 09:59+4я искренне не понимаю за что меня минусуют.
За троллинг в совокупности с технической безграмотностью.Zonzen
29.11.2016 10:06-1Не засоряйте ветку, лучше блесните технической грамотностью.
Shaz
29.11.2016 10:15Забыл спросить, допустим у нас есть все же есть «никуда негодный трэш» — как под него схему AD на самбе расширять будем?
Zonzen
29.11.2016 10:21-1допустим у нас есть все же есть «никуда негодный трэш»
Вам крайне не повезло, Вы допустили фатальную ошибку при проектировании инфраструктуры.Shaz
29.11.2016 10:26То есть Вы даже не рассматриваете ситуацию когда эта инфраструктура спроектирована за N лет до меня?
Ну вот давайте представим ситуацию — Вы приходите в некую фирму, у нее есть AD на виндах естесно, + «трэш», а возможно еще больший трэш в виду Dynamics CRM\AX. Ваши действия?Zonzen
29.11.2016 10:33Вы приходите в некую фирму, у нее есть AD на виндах естесно, + «трэш», а возможно еще больший трэш в виду Dynamics CRM\AX. Ваши действия?
А с чего Вы взяли, что придя в некую фирму я должен что то делать? Что же касается обилия MS-ных поделий, тут всё просто — коготок увяз, всей птичке конец.
kvinn
30.11.2016 18:48Дружище, можно я Вам объясню? Товарищ занимается аутсорсом за деньги. Ну вот скажите, ему нужно делать так, чтобы без него кто-то в систему мог залезть и разобравшись «за пять минут» сам бы сопровождал её? Конечно не нужно. Весь смысл его работы заключается в переводе денежных потоков из карманов Майкрософт в его собственные карманы. Как Вам такое соображение? :)
Shaz
30.11.2016 20:34Ну так с этим я спорить и не стану.
Но тут-то он чего хотел добиться? Еще пару клиентов найти?
Не спорю я и с тем, что можно построить инфраструктуру с минимумом использования продуктов MS.
А вот подача самбы как «современного решения в IT» и просто панацеи от всех бед — ну хз.
ildarz
29.11.2016 10:44От меня в ветке до этого всего два комментария — первый непосредственно по теме, второй — ответ на ваш прямой вопрос по вашей же просьбе. От вас — с десяток, и ни одного по теме. Подробно отвечать на троллинг я смысла не вижу. Вот если вдруг вы напишите отдельную статью, где будет подробно рассказано о том, как на Самба 4 поднять полный функциональный аналог AD уровня леса 2008 R2, там, возможно, от меня будут какие-то комментарии. Засим позвольте откланяться.
whiplash
29.11.2016 23:18О, какой нажористый
«Samba 4, на текущий момент, отлично поддерживает весь функционал Windows Server 2008 R2, при этом не страдая болячками оригинала. Я уже много лет разворачиваю AD на linux, зачем тратить деньги и иметь за них геморрой?»
Вот моя стандартная задачка.
Разверните, пожалуйста, на linux инфраструктуру следующего характера:
— 10000 распределенных объектов, включая сервера, по площади всего СНГ
— У некоторых объектов есть почтовые ящики, в почтовых ящиках есть календарики
— Так же есть внутренний мессенджер и несколько внутренних порталов, которые так же интегрируются в почту и календарики выше.
— Принтеры там и прочая фигня
— Все это должно централизованно и эффективно управляться (политики, обновления, мониторинг и прочее)
— Можно даже без аналогов SCOM
— Так же важна примерная стоимость внедрения и обслуживания всего этого, в сравнении с реализацией от MS
Спасибо!yosemity
30.11.2016 02:29Да что вы (комментаторы) пристали к человеку. Хватит стебаться. Разворачивает AD на Linux много лет и геморроя не знает. Пусть человек еще много лет экономит деньги текущей конторе на калах и стоимости сервачной винды и зарабатывает геморрой своему руководству, когда уйдет. То, что экономия не то, чтобы сомнительная, а вообще дурная — понятно всем, кроме специалиста по самбе.
P.S. Ничего не имею против самбы и прочих линухов. Даже люблю и уважаю. Но только для автономных решений на < 10 воркстейшенов в филиале.Shaz
30.11.2016 10:11Ну вот экономит он не только текущей конторе, а еще и каким-то заказчикам а это подталкивает меня к выводу, что руководством его текущей конторы он сам и является, а сама контора — мелкий аутсорсер\интегратор.
Zonzen
30.11.2016 10:29+1Разверните, пожалуйста, на linux инфраструктуру следующего характера:
— 10000 распределенных объектов, включая сервера, по площади всего СНГ
Я с Вас только за ТЗ на такое решение возьму много денег, потом за рабочий проект не меньше, затем мы с Вами подпишем договор, далее Вы сделаете предоплату, и после всего этого я с удовольствием разверну Вам инфраструктуру.
Спасибо!
Пожалуйста.
artemlight
01.12.2016 15:42ctrl+f, oplock, 0 результатов.
Сразу чувствуется опыт использования самбы в продакшне.
Ну и по SA серверная винда стоит 15 тысяч в год. Других проблем там много, конечно, но ADDS всё-таки лучше в реализации от MS использовать.
yosemity
28.11.2016 18:58+4Казалось бы, при чем тут КД? Или утечек памяти на других ролях не бывает, или там обновления без перезагрузки применяются…
Shaz
28.11.2016 19:28+6Ребут ради ребута.
Утечки памяти должен отслеживать мониторинг. Ну а что касается обновлений — так тут как бы есть те же самые GPO (внезапно!) и\или SCCM.
Sleuthhound
28.11.2016 20:31+1Какой-то корявый скрипт, Вы сами то его хоть запускали?
$StatusNow никогда не напишет «Ok», этого просто нет в скрипте, а на скриншоте есть.
AllanStark
28.11.2016 23:371. Понимаю что перевод, но хотелось бы пруф от MS насчет рекомендации периодичности перезагрузки контроллеров доменов.
2. Также проверил аптайм — некоторые КД тоже по нескольку месяцев, да на виртуалках и ничего. Никаких страшилок с утечками памяти.
3. Не понятно назначение скрипта аж на PS — почему бы по старому доброму шедулеру просто не перегружать раз в месяц ночью древней как помёт мамонта shutdown /s /f, а не пытаться проанализировать течет lsass.exe или нет, сколько оно простояло в аптайме (systeminfo) и под какой конкретно нагрузкой ему нужно сколько памяти.
4. lsass.exe внезапно работает не только на контроллерах домена Windows, но боже, он же оказывается течет, что нам теперь делать?
5. Мы сталкивались с ненормальным поведением поведением lsass.exe из-за воздействия кривого обновления антивируса — что нам делать в этом случае?
6. Некоторые компании вынуждены тулить вопреки рекомендациям MS на контроллеры домена другое ПО, но кто-ж им доктор…
7…
brainfair
29.11.2016 07:54-12008R2 КД
net statistics server
Статистика после 09.05.2015 20:43:26varnav
29.11.2016 12:10+1Безопасность — не ваша забота?
brainfair
30.11.2016 07:04Безопасностью трафика занимается IDS/IPS и он это делает намного лучше чем призрачное спокойствие при установке патчей на сервера, которые все равно остаются дырявыми.
CmpeJ1ok
30.11.2016 10:49Господи, неужели тут есть хоть один человек, который высказал мысли миллионов админов, а не этих пафосных индюков в комментах… заплатки они ставят на сервера))))), как сказал brainfair, если ваша сеть дырява, то сколько заплаток не ставь на Win СЕРВЕРА — не поможет… меня вообще иногда удивляют люди, которые пытаются фиксами на серверах — заткнуть дыры в своей сети: в безопасности на точках входа в сеть, на компах и девайсах пользователей, в криворукости настройки маршрутизации и политик безопасности и т.д. и т.п., в общем жму руку, а то тут недоадмины порядком надоели флудить всякую туфту…
user343
30.11.2016 11:43А сама Microsoft на чём свои сайты держит, кто сканировал или «ронял»? :)
Они же раньше с чем-то типа солярисов были.
varnav
30.11.2016 17:59И внутри сети тоже?
Я знавал одну контору которая не ставила апдейты и хвалилась аптаймом. А потом пришёл Conficker.CmpeJ1ok
01.12.2016 11:01вы сейчас смеетесь? это шутка? в тот момент, когда появился «конфикер» — не было лекарств от этой заразы, и только спустя время появился фикс, который успешно накатывался политиками или ставился в ручную… КАРЛ, ПОЛИТИКАМИ и как это связано с беспрерывной работы контроллера — ума не приложу, если вы только на DC не разворачиваете еще кучу сторонних сервисов, а на данный момент с такими траблами в сети справляется антивирусное ПО… вы точно к администрированию имеете отношение? давно? месяц? год? и вы считаете себя себя админом? тогда оставьте эту стезю — это не ваше… не губите жизнь работодателю и пользователям…
varnav
01.12.2016 14:15В тот момент, когда Conficker заразил именно эту организацию, фиксам было уже несколько месяцев.
CmpeJ1ok
01.12.2016 15:03я не знаю про какую именно ЭТУ, а я говорю как это работает в нормальнонастроенной сети
varnav
01.12.2016 15:05Ту, про которую я писал в комментарии выше. И вы мне даже ответили на этот комментарий. Вкратце — отсутствие регулярных обновлений вылилось в день простоя предприятия.
Что до антивирусного ПО — оно было, на всех машинах. Не спасло.CmpeJ1ok
01.12.2016 16:05а я вам говорю об общем понимании корпоративной сети… и обновления ну никак не могут повлиять на безопасность, если админы провафлили ситуацию с червем, который уже пустил свои щупальцы внутри сети и да — на тот момент не все антивирусы начали реагировать на эту заразу в то время (но без рекламы и пафоса — топовые антивирусники выкатили утилиты для скана и лечения), но это лишь доказывает, что надо продумывать шаги загодя (в очередной раз повторюсь: политики, железо, софт) и быть «втренде» (в очередной раз повторюсь: политики, железо, софт), а не спать на рабочем месте и перезагружать сервер, когда тот уже завис
varnav
01.12.2016 16:07Какие меры, кроме обновлений, могли бы тогда защитить от червя? Он проник с включенного в LAN рабочего ноутбука, куда он проник побывав в другой сети.
CmpeJ1ok
01.12.2016 16:15т.е. юзверь является админом системы на этом ноуте… класс, дальше можно не продолжать… нафига тогда мы тут об патчах контроллеров говорим и вообще нах нужен AD…
PS
вы сами ответили на свои вопросы… читайте выше, как ваши админы провафлили ситуацию с малварью: «но это лишь доказывает, что надо продумывать шаги загодя (в очередной раз повторюсь: политики, железо, софт) и быть «втренде» (в очередной раз повторюсь: политики, железо, софт), а не спать на рабочем месте и перезагружать сервер, когда тот уже завис» ну и далее по тексту))))varnav
01.12.2016 16:29нет, юзер не является админом системы на ноуте. с чего вы это взяли?
CmpeJ1ok
01.12.2016 17:04ну с того, чтобы заразить систему надо иметь права доступа соответствующие… ээээ, зачем вы обсуждаете тут администрирование если прописные истины для вас неведомы? видел ваши статьи по астеру — круть, но спрашивать здесь такое… мой вам совет — сверните беседу, пока ненапороли дребени в постах
varnav
01.12.2016 17:08Нет, не надо иметь админских прав чтобы заразить систему. Современные шифровальщики отлично справляются и без этого. Но речь о Conficker, в его случае даже логиниться в систему не надо, он работает в т.ч. через уязвимость CVE-2008-4250
CmpeJ1ok
01.12.2016 21:49для начала определимся с ОС — виста? так там есть UAC или хрюша? но и в том и в другом случае для клиентских машин апдейты никто не отменял!!! а тем более «секьюрити» — об этом писал ранее и как это относится к серверам — неясно… далее, у вас должны быть открыты порты… 139 и еще какой то уже точно не помню, как никак 2008 год — развитие «кидо»… ну и закончиим тем, что работает вся зараза — под админом, какая бы она не была хоть в 2000 году, а хоть и в 2016 — принципы едины для всего ПО — такое надо знать или грех не знать, так что провафлили ваши админы или проспали)))) раз допустили подобное на клиенткой машине, а юзверю поменьше порнуху посоветовал бы качать)))))
varnav
02.12.2016 12:37ОС — Windows XP + Windows Server 2003. Виста тогда была редкостью (к счастью), 2008 только-только появилась.
Для эксплуатации уязвимости MS08-067 под XP / Server 2003 не требуется админская учётка, и не требуется вообще входить в систему.
An attacker could try to exploit the vulnerability by sending a specially crafted message to an affected system. On Microsoft Windows 2000, Windows XP, and Windows Server 2003 systems, any anonymous user with access to the target network could deliver a specially crafted network packet to the affected system in order to exploit this vulnerability.
(Microsoft Security Bulletin MS08-067)
Да, конечно, закрыть порты 139 и 445 можно. Только это сломает или ограничит работоспособность множества служб Windows. На рабочих станциях в вашей организации эти порты закрыты?
Так что мне по прежнему интересно — что должны были сделать админы, помимо обновлений, чтобы не «провафлить ситуацию с червём»user343
02.12.2016 12:571) антивирус (свежий) ежесекундно чистит появляющиеся «из ниоткуда» файлы, его карантин и журнал переполнились бы. Пользователь замечает окончание места на диске, сисадмин «чешет репу» и лезет читать бюллетени безопасности.
2) «надо было ставить линукс» :)varnav
02.12.2016 16:031) почему-то этого не произошло
2) это не вариант — перевод всего предприятия на линукс в разы дороже чем даже атака conficker-аuser343
05.12.2016 15:10symantec антивирус постоянно чего-то стирал в таких случаях (кои раз в 10 лет бывают).
«Антивирус Касперского постоянно обнаруживает и удаляет файлы с произвольными именами и расширениями (например, oufgt.quf) в папке system32. Полная проверка на данной машине ничего не обнаруживает.
Постоянное появление подобных файлов не свидетельствует о заражении данного компьютера. А свидетельствует о наличии в доменной сети зараженных компьютеров с административными правами (имеющих доступ к ресурсу admin$ на атакуемых компьютерах для копирования файлов в папку system32). Антивирус Касперского блокирует попытки заражения в момент копирования тела вредоносной программы.»
CmpeJ1ok
02.12.2016 13:35для кого редкость, а для кого — нет… права админа нужны для распространения заразы, а не для заражения — не путайте теплое с мягким… и да, порты надо сканировать — для этого в сети и должен быть настроен аудит и мониторинг вторжений… далее, обновление по конфикеру было секъюрное, а не на любителя, т.е. проставиться должно было на клиенткие машины в обязательном порядке (но при чем тут сервер епта, уже в который раз спрашиваю вас я?) — ваши админы не делали ничего из вышеперечисленного, раз допустили заразу в сеть через зараженный ноут и после этого вы спрашиваете, как провафлили ваши админы? вы серьезно? а они вообще — админы??? раз не поняли, когда нагрузка на процы машин поднялись в разы? когда по сети пошел мусор? мдааааааа… с каждым вашим постом мне становится все более очевидно, что администрирование и безопасность — точно не ваш конек и при этом вы продолжаете надувать щеки показывая свою важность… ппц вы упертый… может в проектох это и круть, но когда передо мной стоят такие толстолобые — обычно мы с ними расстаемся (слава Богу таких было не много за всю мою жизнь...)
ЗЫ
если система, которая должна бороться с заразой пропускает ее — нах она вам нужна? ну или у вас руки из опы, раз у всех она работает как надо, а у вас она для красоты…varnav
02.12.2016 16:09После того как зараза проникла на компьютер через указанную уязвимость, она начинает делать различные вещи, в т.ч. заражать другие компьютеры. Есть у пользователя права админа или нет — никак на это не влияет.
серверы тут при том, что серверы точно так же заражались как и рабочие станции. Conficker не делает разницы между машиной с Windows Server 2003 и Windows XP.
а, то есть всё таки нужно было регулярно ставить обновления? ну вот о чём и речь.
Разумеется, как только по сети пошёл мусор, все всё быстро поняли. Вопрос был изначально такой — что можно было сделать, без установки обновлений, для защиты от этого вируса.
Вы противоречите сами себе:
обновление по конфикеру было секъюрное, а не на любителя, т.е. проставиться должно было на клиенткие машины в обязательном порядке
а выше пишете
появился фикс, который успешно накатывался политиками или ставился в ручную… КАРЛ, ПОЛИТИКАМИ
так политиками, вручную, или «в обязательном порядке»?CmpeJ1ok
05.12.2016 10:56уважаемый, вы как то уже начинайте делить котлеты отдельно, а мух отдельно, ок? статья про то, что надо зачем то перезагружать сервера… и многие считают, что НАДО, чтобы ставить обязательные обновления и предугадывать зависание систем, а большинство считает, что при установке «секъюрных» обнов и так машина может уйти в ребут… я же вам говорю В ОЧЕРЕДНОЙ РАЗ, что для тех компаний, которые не приемлют установку обновлений на сервер — для этого создаются правила через политики (чтобы ставить только конкретный фикс, чтобы предовратить полную, как вышло у вас в вашей истории, а для этого админу нужно не спать на работе, а хотя бы начать работать))))), в остальных случая, если поднят элементарный WSUS — все клиентские машины в домене, конечно, должны обновляться — тут разве кто то с этим спорит? где? когда? или это вы в очередной раз выдумали, чтобы не упасть мордой в грязь?! далее, ваши админы, а скорее всего среди них были и вы, раз так хорошо понимаете, как они накосячили — провафлили: раз допустили зараженную машину в сеть — ЭТО УЖЕ ДЫРА В БЕЗОПАСНОСТИ ВАШЕЙ СЕТИ!!! а далее опомнились, когда легло половина вашей сетке и вы тут еще о чем то рассуждаете… о политиках… вам матчасть неплохо бы подучить, прежде чем о высоком рассуждать…
varnav
05.12.2016 12:14прошло уже много лет с того момента, но мне по прежнему интересно что должны были сделать админы тогда, чтобы не допустить заражённую машину в сеть. у вас есть идеи на этот счет?
CmpeJ1ok
05.12.2016 13:54тут человек artemlight написал, а лучше и не скажешь:
IDS — нужны на внешнем периметре. Политики — на внутреннем контролируемом. 802.1X всем и каждому. Секурити апдейты — всем и каждому. Аудит — сервера и дмз. PKI для аутентификации, SSTP+EAP для vpn-клиентов. Ну и мультифакторка администраторам.
Автоматический аудит и мониторинг — добавить по вкусу.
Сюда же добавить проверку пломб на системниках, мониторинг доступности оборудования, пароли на efi + secureboot. Правильную стратегию бэкапов, исключающую утечку информации через компрометацию носителей. Оценка рисков при компрометации оборудования в бренчах (RODC, ключи PKI, хеши паролей админиистраторов, вот это всё). Использование стойкого шифрования при проектировании site-to-site линков. Ограничение использования нестойких протоколов аутентификации и утечек связанной с ними информации (NTLM Hash leaking, например). И много-много-много ещё чего.
Вот всё это в комплексе и называется безопасностью.
А у вас её с такими разговорами нет, походу. Что с апдейтами, что без них.
ЗЫ
у меня только один вопрос к вам: вы всегда переспрашиваете по сто раз и получая один и тот же ответ — пытаетесь придумать что то свое, что вам не говорили, но так, чтобы другого опустить? вы всегда читаете по диагонали?
ЗЗЫ
у меня масса идей даже сейчас спустя столько времени и это несмотря, что в то время ни одна организация под моим присмотром не была наказана похуизмом и халатностью, при том что работал тогда в гос.учреждении, а конкретно — медицина и исследовательские предприятия, а также консультантом у интегратора (все организации существуют и по сей день и работают на инфраструктуре, которую поднимал лично так что думавайте сами....), и если тут кто то заикается про бабло, которое вам не выделяет шеф-частник, то поверьте, что государство изначально кладет болт на IT… а если вам интересна конкретика, дабы не наступать на грабли, то конечно я готов с вами поделиться этими идеями, но за отдельную плату, так сказать если не дано найти ответы на поверхности… если не умеете слушать и в инете — тогда платите бабки за чужие идеи, мозги и пряміе руки!varnav
05.12.2016 13:59Ничто из перечисленного не поможет при подключении в сеть машины с Conficker-ом, при условии что уязвимость MS08-067 на других машинах сети не закрыта.
Поэтому я так и не получил ответ на вопрос — что конкретно должны были сделать админы тогда, чтобы предотвратить распространения вируса, кроме апдейтов?
то конечно я готов с вами поделиться этими идеями, но за отдельную плату, так сказать
ок, вопросов больше не имеюCmpeJ1ok
05.12.2016 14:17ну значит познаете дзен)))))))) когда перестанете читать по диагонали и наконец начнете слушать других, а не только себя
HyperMe
29.11.2016 07:55+1Пожалуйста, спрячьте статью. Не вводите людей в заблуждение.
То, что вы назвали утечкой памяти — это кеширование. И чем больше закешированно, тем больше вероятность, что клиент получит ответ на свой запрос очень быстро.
IgoreHa
29.11.2016 08:50+2… и эти люди продают нам хостинг)
ildarz
29.11.2016 14:28Справедливости ради, это перевод, а хостер не обязан иметь экспертизу в AD (если не на винде хостят, конечно). Более интересно, что в оригинале это, по сути, статья с рекламой компании, которая такие замечательные скрипты за деньги продаёт.
CmpeJ1ok
29.11.2016 11:04-1Была поднята тестовая demo-сеть на AD под ОС Win2003 R2 и около 50-60 машин (устройств и гаджетов) на хрюше, семерках, 8, 10, огрызках и никсах (есть и виртуалки и физика) + законченные устройства (а сейчас еще и IoT шагают вперед — только в путь), в общем, весь зоопарк, чтобы ставить опыты: uptime — 345 дней, будет через пару часов… что с мной не так? а может, многим тут стоить править руки? или вы выбрали не ту профессию и род деятельности?!
CmpeJ1ok
29.11.2016 23:29ой как больно… у кого то подгорает… а может скрин аптайма выложить, чтобы пятая точка вконец взорвалась))))
varnav
29.11.2016 11:34+1У меня все MS SQL сервера настроены на автоперезагрузку раз в неделю.
И не важно что там считают теоретики — это реально помогает.kolu4iy
29.11.2016 12:26Отвратительно. Вы убиваете весь кеш (MS SQL + OS) 1 раз в неделю. Почитайте что-ли…
Полтора года аптайма (2008r2 + 2012 SQL) были прерваны ребутом только по причине планового отключения электроэнергии. Тупило первые два дня, пока 768 Гб кеша прогревались.varnav
29.11.2016 14:21По всей видимости, возможно из-за криворукости разработчиков софта, в кэш попадает не то что нужно.
И я, и пользователи, в состоянии сравнить производительность ИС в пятницу (ребут с субботы на воскресенье) и в понедельник.
А ваши полтора года аптайма говорят о том, что софт вы не обновляете. А это плохо.philya
30.11.2016 18:48Зачем обновлять работающий софт? Как поставил 7-zip 5 лет назад, так и работает.
varnav
30.11.2016 18:51philya
01.12.2016 10:45Аут оф баундс, когда в файловой системе кто-то испортит long allocation descriptor. Мне кажется, что в этом случае 7zip не более последнего гвоздя и проблема не в нем.
И как всегда главный вопрос, где гарантии что в "новых" версиях не появились более критические уязвимости?
pnetmon
29.11.2016 16:23Предложенный PowerShell скрипт поможет вам поддерживать работоспособность контроллеров домена на должном уровне, для этого вам раз в месяц их необходимо перезагружать.
А как настроено обновление с перезагрузкой раз в месяц? Именно раз, а не по истечению срока установки обновления или по выходу обновления.
AlexeevEugene
29.11.2016 17:08+2Читаю это всё (и статью и каменты) и не понимаю… Не понимаю людей, которые не ставят ежемесячные security update, после которых 100% всегда надо делать ребут.
yosemity
29.11.2016 18:59+1Согласен с вами. Какой-то зоопарк в комментариях. Еще и самбу каким-то боком приплели. Это в юности прикольно мериться аптаймами, но потом понимаешь, что фиксы несомненно важнее, что на винде, что на линухе. На последнем, кстати, тоже ядро на лету не обновится (и не надо тут всяких костылей). Если для кого-то штатный ребут серверов — проблема, то что-то настроено не так.
varnav
30.11.2016 18:04Я на проде могу ребутнуть любой сервер в любой момент без какого либо урона для работы системы. Потому что всё то, что должно быть доступно круглосуточно — зарезервировано, а что не должно — так и не проблема если оно полежит пару минут.
Shaz
29.11.2016 20:57Ну тут примерно так:
Про необходимость ребута после апдейтов и так все в курсе, и это справедливо не только для контроллеров AD.
Так что это просто капитанство какое-то.
Утечку памяти так никто у себя и не обнаружил.
Так что это ооочень сомнительная причина.
Ну а коменты вида «Надо было ставить Linux» — ну кудаже без низ в темах про Win?
varnav
30.11.2016 18:02Как видите, таких людей очень много. Поэтому и новости «заражено 1000000 компьютеров и 100000 серверов корпорации n, похищена информация на 100000000000 долларов» не скоро перестанут появляться.
CmpeJ1ok
01.12.2016 11:07-1как это относится к фиксам на МS??? патчи — это панацея от всего и вся? а про антивирусное ПО вы слышали? а политики безопасности, которые ограничивают права юзверей — вы про это слышали? а про фаерволы… — я так понимаю, что не слышали, раз толкаете какую то галиматью про апдейты от мелгомягких(((
varnav
01.12.2016 14:14Я прямо сейчас вижу что сисадмин отстаивает точку зрения на то, что обновления безопасности не нужны?
CmpeJ1ok
01.12.2016 15:08-1слышали звон, да походу не в курсе где он… я не утверждаю, что ставить их не надо, я говорю о том, что не надо путать теплое с мягким: чтобы повысить безопасность сети — надо настраивать политики, стороннее железо и софт, а не ограничиваться фиксами и ждать когда у вас накернится сервер, но видимо вам, как недоадмину — виднее
varnav
01.12.2016 15:09Да, и ещё. Вы так упорно меня оскорбляете, почти в каждом комментарии. А ведь мы совсем не знакомы. Считаете, что так вести дискуссию корректно?
CmpeJ1ok
01.12.2016 15:54-1оценка вашего профессионализма и знаний — это оскорбление? понятно — проходите мимо
varnav
01.12.2016 15:56вы дебил*
(*) это была оценка ваших умственных способностей, не оскорбление, а медицинская классификацияCmpeJ1ok
01.12.2016 16:10оценивайте, как хотите, о великий гуру апдейтов, но я уверен на 110% что половина из того, что написал человек ниже в комментах — информация вам неизвестна, хотя бы по роду вашей бурной деятельности, в общем перезагружайтесь дальше)))
artemlight
01.12.2016 15:59Сравниваете тёплое с мягким.
IDS — нужны на внешнем периметре. Политики — на внутреннем контролируемом. 802.1X всем и каждому. Секурити апдейты — всем и каждому. Аудит — сервера и дмз. PKI для аутентификации, SSTP+EAP для vpn-клиентов. Ну и мультифакторка администраторам.
Автоматический аудит и мониторинг — добавить по вкусу.
Сюда же добавить проверку пломб на системниках, мониторинг доступности оборудования, пароли на efi + secureboot. Правильную стратегию бэкапов, исключающую утечку информации через компрометацию носителей. Оценка рисков при компрометации оборудования в бренчах (RODC, ключи PKI, хеши паролей админиистраторов, вот это всё). Использование стойкого шифрования при проектировании site-to-site линков. Ограничение использования нестойких протоколов аутентификации и утечек связанной с ними информации (NTLM Hash leaking, например). И много-много-много ещё чего.
Вот всё это в комплексе и называется безопасностью.
А у вас её с такими разговорами нет, походу. Что с апдейтами, что без них.muon
02.12.2016 07:58А, та самая правильная ИТ-инфраструктура с безопасной безопасностью, я видел её, когда лежал угашеный в курильне опия в Нижнем Ист-Сайде
Когда доходит до вопроса «И у вас реально так, как вы описали» — начинает действовать мегастрогое NDA, даже название компании озвучить оказывается нельзя.artemlight
02.12.2016 13:21У нас всё действительно так. Название компании могу в личку, если нужно. Компания небольшая, кстати, 150 рабочих мест всего.
А за что платить администратору, если всё как-то иначе? За переустановку windows?ildarz
02.12.2016 13:39> А за что платить администратору, если всё как-то иначе?
Например, за то, что «как-то иначе» часто диктуется владельцами (или топами) компании, а администратору приходится всё-таки обеспечивать работу в тех условиях, которые есть.CmpeJ1ok
02.12.2016 13:47ээээ, а что из того, что приведено в:
Сравниваете тёплое с мягким.
IDS — нужны на внешнем периметре. Политики — на внутреннем контролируемом. 802.1X всем и каждому. Секурити апдейты — всем и каждому. Аудит — сервера и дмз. PKI для аутентификации, SSTP+EAP для vpn-клиентов. Ну и мультифакторка администраторам.
Автоматический аудит и мониторинг — добавить по вкусу.
Сюда же добавить проверку пломб на системниках, мониторинг доступности оборудования, пароли на efi + secureboot. Правильную стратегию бэкапов, исключающую утечку информации через компрометацию носителей. Оценка рисков при компрометации оборудования в бренчах (RODC, ключи PKI, хеши паролей админиистраторов, вот это всё). Использование стойкого шифрования при проектировании site-to-site линков. Ограничение использования нестойких протоколов аутентификации и утечек связанной с ними информации (NTLM Hash leaking, например). И много-много-много ещё чего.
Вот всё это в комплексе и называется безопасностью.
А у вас её с такими разговорами нет, походу. Что с апдейтами, что без них.
— что здесь требует вложений? или каких то особых приказов свыше? ну если вы конечно АДМИН, а не «эникей», который думает, что он #админвсеясети)))))))))))))))) и добавлю к своему предыдущему посту — а нах вам нужен человек который на бумаге отвечает за вашу сеть, безопасность и пр., а на деле решает все ген.директор, например?! чтобы ЗП платить ему? классно, может вы назовете сами название своей компании, я бы рад был подработать даже вашим эникеем — раз ничего делать на фирме у вас не надо… думаю прийти на пару часов в неделю и поплевать в потолок — я готов к такой тяжелой работе)())))))))
artemlight
02.12.2016 15:53Знаю я эти отмазки.
У вас топы решают, где идс будет стоять?
Знают, что такое 802.1х?
Может, у вас топы настройки аудита спускают? Говорят, AES-CBC не используй, хреново параллелится?
Нет, может быть так где-то и бывает. Но в моей практике 100% кейсов «меня руководство заставило не ставить апдейты» сводились к некомпетентности и лени.
ildarz
02.12.2016 17:15А, вы тоже в остроумии и наездах поупражняться решили? Тогда это не ко мне, простите.
CmpeJ1ok
02.12.2016 13:41если у вас не так — сочувствую… поэтому тоже спрошу, а нах платить админу и зачем он вам нужен если у вас все не так?
muon
04.12.2016 12:40Видите ли, платить или не платить, и сколько платить — решает не админ, а человек, у которого несколько иной взгляд на бизнес.
Во-первых, он считает, что время админа ему что-то стоит, так что IDS, 802.1x и т. д. потребует вложений (этого времени). Время админа ничего не стоит, если он уже получает зарплату, но не озадачен работой. Но в этом случае надо озадачить CIO и кадровиков «оптимизацией ресурсного пула».
Во-вторых, он не может сам решить, что из перечисленного вами обязательно, что полезно, а что баловство. Вы можете его убеждать в обязательности всего, и он вам даже поверит, возможно. Но если (или когда) он узнает, что вы зря потратили своё время (его ресурс), то ваша карьера может внезапно остановиться.
В-третьих, он реально может оценить риски. Вы хоть и пишете вскользь про «оценку рисков», но это не всегда получается даже с позиции CIO, не говоря про технаря. Знаете, сколько стоит бизнесу разглашение вот этой информации? А какие штрафы заплатите регулятору за потерю вон той, знаете?..
По вполне очевидной причине задача охранника на входе в ваше здание — развалить бизнес. © Мосигра
Вот и с ИБ то же самое.
Кстати, как ваши измышления соотносятся с BYOD? А это то, что может потребоваться завтра. Будете убеждать генерального, что BYOD не нужен? :DCmpeJ1ok
05.12.2016 11:02-1ваш ответ смахивает, на «это не мой мопед, я его только продаю» )))))) т.е. так и говорите, что начальство вас наняло, как эникея, а то админ, админ… епта, тут почитать — прям каждый второй гуру-админом стал)))))
(решил добавить, что этот ответ не конкретно к вашей записи, а к постам выше, но можете принять и на свой счет)))))))
symbix
[irony]Так вот для чего Microsoft придумал PowerShell![/irony]