company_banner

Зачем нужно перезагружать контроллеры домена раз в месяц

Original author: Nirmal Sharma
  • Translation
Для оптимальной производительности и безопасности контроллеров домена службы каталогов Active Directory требуется их регулярное  обслуживание. Наше новое руководство поможет вам максимально эффективно настроить работу ваших контроллеров домена при обслуживании запросов аутентификации и авторизации.



Active Directory предоставляет сервисы аутентификации и авторизации. Работоспособная среда  Active Directory позволяет эффективно работать другим службам.

Ранее в руководстве по проверке работоспособности Active Directory (Active Directory Health Check Server Tutorial)  мы рассмотрели  2 важных вопроса связанных с проверкой надлежащей работы службы каталогов: «Реплицированная топология Active Directory» и «Подсети не связанные с сайтами Active Directory". Мы рассказали о преимуществах использования сетевой топологии по сравнению с «ячеичстой топологией», а также предложили скрипт в PowerShell, который вы можете использовать для получения информации о количестве сайтов, связанных по ссылке AD.

Сегодня мы объясним, для чего нужно перезагружать хотя бы раз в месяц контроллеры доменов и как можно использовать скрипт Power Shell для получения информации об аптайме контроллеров домена. Скрипт будет представлен ниже.

Важно понимать, что контроллеры домена предназначены для обеспечения критически важных сервисов аутентификации и авторизации и постоянно находятся в работе. Поэтому их необходимо перезагружать ежемесячно, либо в специально отведенный для обслуживания временной промежуток согласно вашим стандартам проверки работоспособности системы.

Перед тем как рассмотреть скрипт Power Shell для получения информации об аптайме контроллеров домена, давайте определимся с тем, зачем нам необходимо перезагружать контроллеры домена. Есть две веские причины, которые необходимо учитывать при принятии решения о перезагрузке. Рассмотрим их:

  1. Проблемы утечки памяти:  утечка памяти происходит при запуске  процесса Lsass.exe. Этот процесс осуществляется на контроллере домена и отвечает за предоставление сервисов идентификации клиентам Active Directory. Со временем утечка памяти может повлиять на работоспособность контроллеров домена. Масштабная утечка памяти может привести к неприемлемому временному отклику со стороны процесса  Lsass.exe и высокому потреблению памяти операционной системой. Для того чтобы справиться с проблемами утечки памяти рекомендуется периодически перезагружать доменные контроллеры.

    Несмотря на то, что в новых версиях операционных систем для серверов Windows Server 2012 R2 и Windows Server 2016 функция восстановления памяти  реализована автоматически, всё же  рекомендуется перезагружать доменные контроллеры, что в свою очередь может помочь решить проблемы утечки памяти, которые операционная система не может автоматически решить.

  2. Большинство обновлений для системы безопасности  требуют перезагрузки:  Важно отметить, что Windows  сервер и доменные контроллеры требуют регулярные патчи для установки пакетов обновлений и хотфиксов, а версии патчей системы безопасности должны быть совместимы на всех контроллерах домена. Новые патчи заменяют низкоуровневые Dll файлы в операционной системе, поэтому большинство обновлений систем безопасности требуют перезагрузки, после которой обновления будут успешно применены. Компания Майкрософт ежемесячно выпускает обновления системы безопасности и поэтому крайне важно перезагружать контроллеры, чтобы внести изменения.

Принимая во внимание вышеуказанные причины перезагрузки, предлагаем вам скрипт в Power Shell, который вы можете использовать для получения информации об аптайме контроллера домена. Данный скрипт также поможет вам узнать количество дней, прошедших с последней перезагрузки каждого контроллера домена.

Шаги:

Меняем ITDynamicPacks. Прописываем имя главного домена в AD forest name. Получаем перечень всех доменных контроллеров и главного домена Active Directory, прописав команду, указанную ниже, результат сохраняется в файле C:\Temp\DCList.TXT file:    

DSQuery Server -o rdn > C:\Temp\DCList.TXT

Копируем полный скрипт указанный ниже в файл PS1 и исполняем в PowerShell окне

$CurForestName="ITDynamicPacks.Net"
$TestCSVFile="C:\Temp\DCUpTimeReport.CSV"
$GDCList="C:\Temp\DCList.TXT"
$TotNo=0
$ItemCount=0
$TestText = "Please check result"
$TestStatus="Completed"
$SumVal = "NA"
$ErrorOrNot = "No"
$ThisString="Domain Controller, Up Time, Local Time, Time Zone, Days Not Rebooted, Status"
Add-Content "$TestCSVFile" $ThisString
$TodaysDate = Get-Date
Foreach ($ItemName in Get-Content "$GDCList")
	{
	$operatingSystem = Get-WmiObject Win32_OperatingSystem -ComputerName $ItemName
	IF ($Error.count -ne 0)
		{
		$ThisSTR = $ItemName+",Error Connecting"
		$ErrorOrNot = "Yes"
		Add-Content "$TestCSVFile" $ThisStr
		}
	else
		{
		$RTime=[Management.ManagementDateTimeConverter]::ToDateTime($operatingSystem.LastBootUpTime)
		$LocalTime=[Management.ManagementDateTimeConverter]::ToDateTime($operatingSystem.LocalDateTime)
		$CurTimeZone=$operatingSystem.CurrentTimeZone
		$StatusNow = ""
		$R = $RTime
		$Z = $TodaysDate
		$DayNotRebooted = (New-TimeSpan -Start $R -End $Z).Days
		IF ($DayNotRebooted -ge 30)
			{
			$StatusNow = "WARNING: Not rebooted since last 30 days"
			}
		$ThisStr=$ItemName+","+$RTime+","+$LocalTime+","+$CurTimeZone+","+$DayNotRebooted+","+$StatusNow
		Add-Content "$TestCSVFile" $ThisStr
		}
	}

Когда завершится исполнение скрипта по всем контроллерам домена, будет сформирован отчет в DCUpTimeReport.CSV файле в папке C:Temp folder как показано на следующем скриншоте:


Как можно увидеть из отчета, скрипт даёт возможность получить информацию об аптайме каждого контроллера домена, указанную в  C:\Temp\DCList.TXT файле. А отчет о том, сколько дней доменный контроллер не перезагружался можно увидеть в графе «Days Not Rebooted».

Приведенный выше скрипт является частью  «Теста контроллеров домена на аптайм»  Dynamic Pack,  который доступен для использования с Active Directory Health Profiler. Данный тест может быть проведен как для одного, так и для множества доменов AD и вы можете увидеть результаты теста  в консоли Active Directory Health Profiler как показано на скриншоте ниже:


Вывод


Мы подробно рассмотрели две ключевые причины перезагрузки контроллеров домена. Основной целью данной перезагрузки является своевременное обслуживание контроллерами домена запросов на аутентификацию и авторизацию, а также максимальная безопасность посредством своевременных обновлений систем безопасности.

Предложенный PowerShell скрипт поможет вам поддерживать работоспособность  контроллеров домена на должном уровне, для этого вам раз в месяц их необходимо перезагружать.
RUVDS.com
RUVDS – хостинг VDS/VPS серверов

Comments 147

    0
    [irony]Так вот для чего Microsoft придумал PowerShell![/irony]
      +1
      Вы серьезно, а чего не через posh?
      DSQuery Server -o rdn > C:\Temp\DCList.TXT


        +7
        всё же рекомендуется перезагружать доменные контроллеры


        Угу. А винду на компе раз в год непременно переустанавливать, а то засоряется.

        Компания Майкрософт ежемесячно выпускает обновления системы безопасности и поэтому крайне важно перезагружать контроллеры, чтобы внести изменения.


        Это бессмысленный абзац. Если на КД настроено автообновление — он сам без советов перезагрузится. Если не настроено — перезагрузки сами по себе к установке обновлений не приведут.

        Технология тоже интересна — перед вызовом скрипта отдельно вызвать команду, которой писать текстовый файл, который читать через powershell, вместо того, чтобы вызывать команду в скрипте же (не говоря уж об использовании родного модуля Active Directory). Зачем?

        IF ($Error.count -ne 0)


        Это что, такая своеобразная замена Try/Catch/Finally? Не страшно, что переменная $error не обнуляется, и этот блок будет отрабатывать постоянно после первой же ошибки (причем любой, а не только при выполнении предыдущей команды)?
          +7
          Контроллер домена реализованный на базе Samba 4 не нужно перезагружать раз в месяц :)
            +6
            Друзья мои, я искренне не понимаю за что меня минусуют. Samba 4, на текущий момент, отлично поддерживает весь функционал Windows Server 2008 R2, при этом не страдая болячками оригинала. Я уже много лет разворачиваю AD на linux, зачем тратить деньги и иметь за них геморрой?
              +3
              Samba 4 — это развлечение на любителя. Нужно очень любить ковыряния с самбой, чтобы настроить действительно работоспособную и надёжную конфигурацию. Квалификация администратора такого КД, опять же, должна быть выше, и знания должны быть более специфическими, чем у рядового Windows-администратора. Я горячо люблю и использую опенсорс, но в своё время понял что в случае AD цена на лицензию оправдывает комфорт.
              P.S. Если что, я вам минус не ставил.
                0
                Лично я, скромно, разворачиваю AD на базе Samba 4 и ubuntu server, либо cent os, примерно за 30 минут. Там нет никаких ковыряний, все баги и проблемы давно закрыты.
                  –3
                  А SharePoint, Exchange поднимаете минут за 15?
                  На данный момент вышел уже Server 2016, 2008 малость устарел. И какой там геморрой с виндовым AD?

                  P.S. А минусуют наверно потому, что посты вида — «А вот у меня на убунту/минте/<distrib-name> никаких проблем нет!!» порядком подзадолбали. В виду их бесполезности.
                    –1
                    Sharepoint, exchange и прочий никуда негодный трэш, вообще то, не есть тема обсуждения в рамках данной статьи. Windows server 2008 R2 устарел? Для кого устарел? Чёртова туча компаний сидит, до сих пор, на windows server 2003.
                    Если Вас некие посты «порядком подзадолбали» означает лишь то, что Вы нихрена не разбираетесь в современных IT-решениях, либо, конечно же я в это не верю, имеете денюжку от майкрософт.
                      –4
                      У меня в парке ПК есть и Win 2000, и что?
                      Ах, да Ubuntu, CentOS и Samba 4 к теме этой статьи тоже не особо относятся.

                      P.S. А Вы open-source тут пиарите за автограф Столлмана?
                        –1
                        Если у Вас в парке есть windows 2000, то Вы абсолютно профессионально непригодны. Заводы стоят, друг мой, вперёд, на конвейер, на линию! Вы нужны там.
                          –3
                          Таки Вы предполагаете, что весь такой из себя профнепригодный я (даже чортовы венды не осилил), вот прям смогу поднять завод?
                            +1
                            Про поднять и в мыслях не было, конечно не сможете. На конвейере будете работать, выполнять одну простую рутинную операцию.
                              +1
                              5 компов работают в цеху знакомого малого ООО, под MS DOS и Free DOS, выполняя рутинную функцию управления термопласт-автоматами. Обслуживание железа раз в год наверное, на ночь выключаются. Stuxnet не пройдёт.

                              P.S. про тему статьи — а как тогда сисадминам хвастаться, у кого аптайм длиннее? :)
                            +1
                            И еще, а Вы не поведаете зачем постоянно разворачиваете AD на Samba за 30 минут?
                            Ведь у такого профи, этот процесс явно давно автоматизирован.
                            А раз автоматизирован — значит приходится это часто делать.
                            А раз приходится это часто делать то…
                            30 минут в SLA прописаны?
                              0
                              Просто он еще контейнеры не осилил.
                                0
                                Где я писал, что постоянно разворачиваю AD? Скорее редко. А 30 минут чем не нравится? Развернуть конфиг, таки да — 5 минут, но, как правило ещё надо, ввести самбу в домен, забрать все роли, вывести виндовые контроллеры из домена.
                                  +1
                                  А зачем Вы редко разворачиваете AD на самбе? Раз приходится по новой забирать роли с виндовых контроллеров (то есть какая-то инфраструктура уже есть на этот момент) — значит это явно происходит при смене места работы.
                                  И тогда вопрос — от чего такая забота про стоящие заводы? И как это связано с Вами и самбой?
                                    –1
                                    значит это явно происходит при смене места работы.

                                    Это значит, что аналитика — не Ваша сильная сторона. Я не меняю места работы.
                                    И тогда вопрос — от чего такая забота про стоящие заводы? И как это связано с Вами и самбой?

                                    Некомпетентные люди должны уйти из IT и работать на заводе, очевидно. Со мной и самбой это никак не связано.
                                      –1
                                      Что именно с Вами не связано? Компетентность? или IT?
                                      Если место работы одно — то почему Вам приходится забирать роли с виндовых контролеров?
                                        –1
                                        то почему Вам приходится забирать роли с виндовых контролеров?

                                        Потому что бывают такие заказы, некоторые конторы избавляются от серверных решений MS.
                                          0
                                          Оставляя при этом серверные технологии от них? Это и рыбку съесть и…
                                            –1
                                            Почему бы и нет?
                                            0
                                            del
                                              0
                                              Так вы уже определитесь чтоли нужно или нет.

                                              А с чего Вы взяли, что придя в некую фирму я должен что то делать?
                                                –1
                                                Так вы уже определитесь чтоли нужно или нет.

                                                Кому нужно?
                                        0
                                        И что более интересно — раз Вы настоящий сертифицированый профи по серверным ОС MS, то почему Вы не смогли привести ни одного аргумента по теме статьи? Ну то есть либо аргументировать почему перезагружаться таки ежемесячно надо, или что это бред и это делать ненужно.
                                  0
                                  просто оставлю это тут

                                  А зачем Вы многократно сертифицировались в области серверных ОС Майкрософт?
                                    0
                                    Так там же пересертификация с выходом каждого нового продукта. Я, впрочем, на неё забил. И вообще на MS продукты.
                                    (Но, справедливости ради, от DC на Samba я всё таки стараюсь держаться подальше)
                                  0
                                  Я подыму и то и другое и даже быстрее, лишь бы дали нужную серверную скорострельность. И как в том анекдоте: «и чо?». И там и там кстати давно есть unattended установка, это для любителей все автоматизировать, всяких девопсов и крупных интеграторов.
                                    0
                                    > На данный момент вышел уже Server 2016, 2008 малость устарел

                                    У вас в продакшене режим работы домена и леса — Windows Server 2016?
                                      0
                                      Еще нет, во второй половине 17 года думаю перейдем.
                                        +1
                                        Какие задачи вы решите этим переходом?
                                          –1
                                          Получим набор актуальных GPO для Win 10 Ent (да да, и на эту дрянь мы тоже переходим).
                                          + DNS Policies отсутствующие на 2012R2.
                                            0
                                            О да… Фичи первой необходимости.
                                              0
                                              Ну проявите свой талант аналитики, расскажите что же мне на самом деле стоит менять в имеющейся инфраструктуре?
                                              Не думаю что вам это составит большого труда.
                                                0
                                                Сколько стоит перевод Вашей инфраструктуры с windows server 2012r2 на 2016?
                                                  0
                                                  Я не занимаюсь закупкой ПО. Эти решения принимает мое руководство. Моя часть работы — подготовить и осуществить миграцию.
                                                  Ну хотите можете сами прикинуть стоимость апгрейда по SA 150 лицензий 2012R2 DataCenter на 2016.
                                                  Но если все Ваши аргументы сводятся к «а вот так будет экономия N рублей», то яхз.
                                                    0
                                                    аргументы сводятся к «а вот так будет экономия N рублей»

                                                    Де-факто, это единственный аргумент, который нужно принимать во внимание, при прочих равных условиях. Точнее даже не экономия на конкретном upgrade, а разница в совокупной стоимости владения проектами построенными на разных платформах за расчетное время их жизни.
                                                    Но, если Вы деньги не считаете, то можно сыграть в любую игру.
                                                      0
                                                      Вам же сказали «SA». За лицензии уже заплачено, дальше важно только время.
                                                        0
                                                        Я поэтому и акцентировал внимание на совокупной стоимости владения.
                                                          0
                                                          Ну так что там с фичами первой необходимости? И прочими советами?
                                                            0
                                                            Вы сами сказали, что Ваша работа — что-то там готовить и осуществлять миграцию. Готовьте и осуществляйте. Вам про фичи знать не надо, это решает Ваше руководство.
                                                              0
                                                              Вот как Вы любите решать что кому надо а что нет)))
                                                                0
                                                                Что Вы… вовсе нет, я лишь процитировал Вас. Вы сами написали, что решение о закупке ПО принимает Ваше руководство, соответственно и вопросы фич в его компетенции. Вы, как джуниор-админ, должны сами проявлять некоторую инициативу в изучении сервисов необходимых Вашей компании. Но, заверяю Вас, DNS Policies, так как это реализовано в win server 2016, Вашей компании точно не нужно.
                                                                  0
                                                                  Ну так просветите что с ним не так?
                                                                    0
                                                                    Сравните DNS Policies, например с Bind RPZ и сделайте выводы.
                                              0
                                              Это понятно, списки технических изменений общедоступны. Какую пользу они принесут бизнесу?
                                                0
                                                Ну вот есть ряд причин использовать свежие версии MS`овских продуктов, и есть способы извлечения из этого профита. Больше сказать не могу.

                                                Те пункты которые интересны лично мне — я озвучил выше.
                                                То что я привел в пример 2016 версию — это скорее к случаям если идет построение инфраструктуры с 0, или полная перестройка имеющейся. В случаях как были описаны ниже — когда стоят SQL по 700+ ГБ кэша, или 100500 площадок размазаных по всей территории СНГ — я не призываю резко бежать и апгрейдится.
                                                0
                                                GPO для W10 можно скачать с сайта Майкрософт и установить на любую редакцию, без необходимости обновлять сервер.
                                        0
                                        Это потому что вы знаете как это делать, и как всё это потом обслуживать. Но даже очень хороший Windows-администратор с ходу не разберётся в этой кухне.
                                      +5
                                      К сожалению, на данный момент Samba 4 поддерживает не весь функционал Windows Server 2008 R2.

                                      • Максимальный размер базы данных Samba ограничен 4 Гб
                                      • Не полная реализция доверительных отношений
                                      • Поддержка многодоменной структуры отсутствует
                                      • Отсутствие поддержки протоколов DFS-R и FRS
                                      • Отсутствие полноценной поддержки RODC
                                      • Отсутствие поддержки MIT Kerberos


                                      Более подробно про ограничения можно почитать в этой статье: https://habrahabr.ru/post/272777/
                                        +4
                                        я искренне не понимаю за что меня минусуют.


                                        За троллинг в совокупности с технической безграмотностью.
                                          –1
                                          Не засоряйте ветку, лучше блесните технической грамотностью.
                                            0
                                            Забыл спросить, допустим у нас есть все же есть «никуда негодный трэш» — как под него схему AD на самбе расширять будем?
                                              –1
                                              допустим у нас есть все же есть «никуда негодный трэш»

                                              Вам крайне не повезло, Вы допустили фатальную ошибку при проектировании инфраструктуры.
                                                0
                                                То есть Вы даже не рассматриваете ситуацию когда эта инфраструктура спроектирована за N лет до меня?
                                                Ну вот давайте представим ситуацию — Вы приходите в некую фирму, у нее есть AD на виндах естесно, + «трэш», а возможно еще больший трэш в виду Dynamics CRM\AX. Ваши действия?
                                                  0
                                                  Вы приходите в некую фирму, у нее есть AD на виндах естесно, + «трэш», а возможно еще больший трэш в виду Dynamics CRM\AX. Ваши действия?

                                                  А с чего Вы взяли, что придя в некую фирму я должен что то делать? Что же касается обилия MS-ных поделий, тут всё просто — коготок увяз, всей птичке конец.
                                                    0
                                                    Дружище, можно я Вам объясню? Товарищ занимается аутсорсом за деньги. Ну вот скажите, ему нужно делать так, чтобы без него кто-то в систему мог залезть и разобравшись «за пять минут» сам бы сопровождал её? Конечно не нужно. Весь смысл его работы заключается в переводе денежных потоков из карманов Майкрософт в его собственные карманы. Как Вам такое соображение? :)
                                                      0
                                                      Ну так с этим я спорить и не стану.
                                                      Но тут-то он чего хотел добиться? Еще пару клиентов найти?
                                                      Не спорю я и с тем, что можно построить инфраструктуру с минимумом использования продуктов MS.
                                                      А вот подача самбы как «современного решения в IT» и просто панацеи от всех бед — ну хз.
                                                0
                                                От меня в ветке до этого всего два комментария — первый непосредственно по теме, второй — ответ на ваш прямой вопрос по вашей же просьбе. От вас — с десяток, и ни одного по теме. Подробно отвечать на троллинг я смысла не вижу. Вот если вдруг вы напишите отдельную статью, где будет подробно рассказано о том, как на Самба 4 поднять полный функциональный аналог AD уровня леса 2008 R2, там, возможно, от меня будут какие-то комментарии. Засим позвольте откланяться.
                                              0
                                              О, какой нажористый

                                              «Samba 4, на текущий момент, отлично поддерживает весь функционал Windows Server 2008 R2, при этом не страдая болячками оригинала. Я уже много лет разворачиваю AD на linux, зачем тратить деньги и иметь за них геморрой?»

                                              Вот моя стандартная задачка.

                                              Разверните, пожалуйста, на linux инфраструктуру следующего характера:
                                              — 10000 распределенных объектов, включая сервера, по площади всего СНГ
                                              — У некоторых объектов есть почтовые ящики, в почтовых ящиках есть календарики
                                              — Так же есть внутренний мессенджер и несколько внутренних порталов, которые так же интегрируются в почту и календарики выше.
                                              — Принтеры там и прочая фигня
                                              — Все это должно централизованно и эффективно управляться (политики, обновления, мониторинг и прочее)
                                              — Можно даже без аналогов SCOM
                                              — Так же важна примерная стоимость внедрения и обслуживания всего этого, в сравнении с реализацией от MS

                                              Спасибо!
                                                0
                                                Да что вы (комментаторы) пристали к человеку. Хватит стебаться. Разворачивает AD на Linux много лет и геморроя не знает. Пусть человек еще много лет экономит деньги текущей конторе на калах и стоимости сервачной винды и зарабатывает геморрой своему руководству, когда уйдет. То, что экономия не то, чтобы сомнительная, а вообще дурная — понятно всем, кроме специалиста по самбе.
                                                P.S. Ничего не имею против самбы и прочих линухов. Даже люблю и уважаю. Но только для автономных решений на < 10 воркстейшенов в филиале.
                                                  0
                                                  Ну вот экономит он не только текущей конторе, а еще и каким-то заказчикам а это подталкивает меня к выводу, что руководством его текущей конторы он сам и является, а сама контора — мелкий аутсорсер\интегратор.
                                                  0
                                                  Вы так рассказываете, как будто это ваша компания)
                                                    +1
                                                    Разверните, пожалуйста, на linux инфраструктуру следующего характера:
                                                    — 10000 распределенных объектов, включая сервера, по площади всего СНГ

                                                    Я с Вас только за ТЗ на такое решение возьму много денег, потом за рабочий проект не меньше, затем мы с Вами подпишем договор, далее Вы сделаете предоплату, и после всего этого я с удовольствием разверну Вам инфраструктуру.
                                                    Спасибо!

                                                    Пожалуйста.
                                                      0
                                                      — У некоторых объектов есть почтовые ящики, в почтовых ящиках есть календарики

                                                      Ой, вы вот сами поняли, как это звучит? В отрыве от «логики» MS.

                                                      Кстати, то, что вы назвали, у MS, хоть и есть, но крайне неизящно сделано и в администрировании часто приходит в точку «ой, а по доке все было просто, а что же делать». С юниксовыми решениями, правда, тоже свои засады будут, и серебрянной пули нет, но MS — тоже не «пуля», как ни крутите.
                                                    0
                                                    ctrl+f, oplock, 0 результатов.

                                                    Сразу чувствуется опыт использования самбы в продакшне.

                                                    Ну и по SA серверная винда стоит 15 тысяч в год. Других проблем там много, конечно, но ADDS всё-таки лучше в реализации от MS использовать.
                                                    +4
                                                    Казалось бы, при чем тут КД? Или утечек памяти на других ролях не бывает, или там обновления без перезагрузки применяются…
                                                      +6
                                                      Ребут ради ребута.
                                                      Утечки памяти должен отслеживать мониторинг. Ну а что касается обновлений — так тут как бы есть те же самые GPO (внезапно!) и\или SCCM.
                                                        +1
                                                        Какой-то корявый скрипт, Вы сами то его хоть запускали?
                                                        $StatusNow никогда не напишет «Ok», этого просто нет в скрипте, а на скриншоте есть.
                                                        • UFO just landed and posted this here
                                                            0
                                                            Сейчас проверил — один из контроллеров имеет аптайм 216 дней. (2012R2)
                                                              0
                                                              А если его теперь сканером безопасности проверить?
                                                            0
                                                            1. Понимаю что перевод, но хотелось бы пруф от MS насчет рекомендации периодичности перезагрузки контроллеров доменов.
                                                            2. Также проверил аптайм — некоторые КД тоже по нескольку месяцев, да на виртуалках и ничего. Никаких страшилок с утечками памяти.
                                                            3. Не понятно назначение скрипта аж на PS — почему бы по старому доброму шедулеру просто не перегружать раз в месяц ночью древней как помёт мамонта shutdown /s /f, а не пытаться проанализировать течет lsass.exe или нет, сколько оно простояло в аптайме (systeminfo) и под какой конкретно нагрузкой ему нужно сколько памяти.
                                                            4. lsass.exe внезапно работает не только на контроллерах домена Windows, но боже, он же оказывается течет, что нам теперь делать?
                                                            5. Мы сталкивались с ненормальным поведением поведением lsass.exe из-за воздействия кривого обновления антивируса — что нам делать в этом случае?
                                                            6. Некоторые компании вынуждены тулить вопреки рекомендациям MS на контроллеры домена другое ПО, но кто-ж им доктор…
                                                            7…
                                                              0
                                                              очепятка, конечно же shutdown /r /f
                                                                0
                                                                ДА правильно все)
                                                                Второй КД подхватит)
                                                              –1
                                                              буллшит
                                                                –1
                                                                2008R2 КД
                                                                net statistics server
                                                                Статистика после 09.05.2015 20:43:26
                                                                  +1
                                                                  Безопасность — не ваша забота?
                                                                    0
                                                                    Безопасностью трафика занимается IDS/IPS и он это делает намного лучше чем призрачное спокойствие при установке патчей на сервера, которые все равно остаются дырявыми.
                                                                      0
                                                                      Господи, неужели тут есть хоть один человек, который высказал мысли миллионов админов, а не этих пафосных индюков в комментах… заплатки они ставят на сервера))))), как сказал brainfair, если ваша сеть дырява, то сколько заплаток не ставь на Win СЕРВЕРА — не поможет… меня вообще иногда удивляют люди, которые пытаются фиксами на серверах — заткнуть дыры в своей сети: в безопасности на точках входа в сеть, на компах и девайсах пользователей, в криворукости настройки маршрутизации и политик безопасности и т.д. и т.п., в общем жму руку, а то тут недоадмины порядком надоели флудить всякую туфту…
                                                                        0
                                                                        А сама Microsoft на чём свои сайты держит, кто сканировал или «ронял»? :)
                                                                        Они же раньше с чем-то типа солярисов были.
                                                                        0
                                                                        И внутри сети тоже?
                                                                        Я знавал одну контору которая не ставила апдейты и хвалилась аптаймом. А потом пришёл Conficker.
                                                                          0
                                                                          вы сейчас смеетесь? это шутка? в тот момент, когда появился «конфикер» — не было лекарств от этой заразы, и только спустя время появился фикс, который успешно накатывался политиками или ставился в ручную… КАРЛ, ПОЛИТИКАМИ и как это связано с беспрерывной работы контроллера — ума не приложу, если вы только на DC не разворачиваете еще кучу сторонних сервисов, а на данный момент с такими траблами в сети справляется антивирусное ПО… вы точно к администрированию имеете отношение? давно? месяц? год? и вы считаете себя себя админом? тогда оставьте эту стезю — это не ваше… не губите жизнь работодателю и пользователям…
                                                                            0
                                                                            В тот момент, когда Conficker заразил именно эту организацию, фиксам было уже несколько месяцев.
                                                                              0
                                                                              я не знаю про какую именно ЭТУ, а я говорю как это работает в нормальнонастроенной сети
                                                                                0
                                                                                Ту, про которую я писал в комментарии выше. И вы мне даже ответили на этот комментарий. Вкратце — отсутствие регулярных обновлений вылилось в день простоя предприятия.
                                                                                Что до антивирусного ПО — оно было, на всех машинах. Не спасло.
                                                                                  0
                                                                                  а я вам говорю об общем понимании корпоративной сети… и обновления ну никак не могут повлиять на безопасность, если админы провафлили ситуацию с червем, который уже пустил свои щупальцы внутри сети и да — на тот момент не все антивирусы начали реагировать на эту заразу в то время (но без рекламы и пафоса — топовые антивирусники выкатили утилиты для скана и лечения), но это лишь доказывает, что надо продумывать шаги загодя (в очередной раз повторюсь: политики, железо, софт) и быть «втренде» (в очередной раз повторюсь: политики, железо, софт), а не спать на рабочем месте и перезагружать сервер, когда тот уже завис
                                                                                    0
                                                                                    Какие меры, кроме обновлений, могли бы тогда защитить от червя? Он проник с включенного в LAN рабочего ноутбука, куда он проник побывав в другой сети.
                                                                                      0
                                                                                      т.е. юзверь является админом системы на этом ноуте… класс, дальше можно не продолжать… нафига тогда мы тут об патчах контроллеров говорим и вообще нах нужен AD…

                                                                                      PS
                                                                                      вы сами ответили на свои вопросы… читайте выше, как ваши админы провафлили ситуацию с малварью: «но это лишь доказывает, что надо продумывать шаги загодя (в очередной раз повторюсь: политики, железо, софт) и быть «втренде» (в очередной раз повторюсь: политики, железо, софт), а не спать на рабочем месте и перезагружать сервер, когда тот уже завис» ну и далее по тексту))))
                                                                                        0
                                                                                        нет, юзер не является админом системы на ноуте. с чего вы это взяли?
                                                                                          0
                                                                                          ну с того, чтобы заразить систему надо иметь права доступа соответствующие… ээээ, зачем вы обсуждаете тут администрирование если прописные истины для вас неведомы? видел ваши статьи по астеру — круть, но спрашивать здесь такое… мой вам совет — сверните беседу, пока ненапороли дребени в постах
                                                                                            0
                                                                                            Нет, не надо иметь админских прав чтобы заразить систему. Современные шифровальщики отлично справляются и без этого. Но речь о Conficker, в его случае даже логиниться в систему не надо, он работает в т.ч. через уязвимость CVE-2008-4250
                                                                                              0
                                                                                              для начала определимся с ОС — виста? так там есть UAC или хрюша? но и в том и в другом случае для клиентских машин апдейты никто не отменял!!! а тем более «секьюрити» — об этом писал ранее и как это относится к серверам — неясно… далее, у вас должны быть открыты порты… 139 и еще какой то уже точно не помню, как никак 2008 год — развитие «кидо»… ну и закончиим тем, что работает вся зараза — под админом, какая бы она не была хоть в 2000 году, а хоть и в 2016 — принципы едины для всего ПО — такое надо знать или грех не знать, так что провафлили ваши админы или проспали)))) раз допустили подобное на клиенткой машине, а юзверю поменьше порнуху посоветовал бы качать)))))
                                                                                                0
                                                                                                ОС — Windows XP + Windows Server 2003. Виста тогда была редкостью (к счастью), 2008 только-только появилась.

                                                                                                Для эксплуатации уязвимости MS08-067 под XP / Server 2003 не требуется админская учётка, и не требуется вообще входить в систему.

                                                                                                An attacker could try to exploit the vulnerability by sending a specially crafted message to an affected system. On Microsoft Windows 2000, Windows XP, and Windows Server 2003 systems, any anonymous user with access to the target network could deliver a specially crafted network packet to the affected system in order to exploit this vulnerability.
                                                                                                (Microsoft Security Bulletin MS08-067)

                                                                                                Да, конечно, закрыть порты 139 и 445 можно. Только это сломает или ограничит работоспособность множества служб Windows. На рабочих станциях в вашей организации эти порты закрыты?

                                                                                                Так что мне по прежнему интересно — что должны были сделать админы, помимо обновлений, чтобы не «провафлить ситуацию с червём»
                                                                                                  0
                                                                                                  1) антивирус (свежий) ежесекундно чистит появляющиеся «из ниоткуда» файлы, его карантин и журнал переполнились бы. Пользователь замечает окончание места на диске, сисадмин «чешет репу» и лезет читать бюллетени безопасности.

                                                                                                  2) «надо было ставить линукс» :)
                                                                                                    0
                                                                                                    1) почему-то этого не произошло
                                                                                                    2) это не вариант — перевод всего предприятия на линукс в разы дороже чем даже атака conficker-а
                                                                                                      0
                                                                                                      symantec антивирус постоянно чего-то стирал в таких случаях (кои раз в 10 лет бывают).

                                                                                                      «Антивирус Касперского постоянно обнаруживает и удаляет файлы с произвольными именами и расширениями (например, oufgt.quf) в папке system32. Полная проверка на данной машине ничего не обнаруживает.

                                                                                                      Постоянное появление подобных файлов не свидетельствует о заражении данного компьютера. А свидетельствует о наличии в доменной сети зараженных компьютеров с административными правами (имеющих доступ к ресурсу admin$ на атакуемых компьютерах для копирования файлов в папку system32). Антивирус Касперского блокирует попытки заражения в момент копирования тела вредоносной программы.»
                                                                                                    0
                                                                                                    для кого редкость, а для кого — нет… права админа нужны для распространения заразы, а не для заражения — не путайте теплое с мягким… и да, порты надо сканировать — для этого в сети и должен быть настроен аудит и мониторинг вторжений… далее, обновление по конфикеру было секъюрное, а не на любителя, т.е. проставиться должно было на клиенткие машины в обязательном порядке (но при чем тут сервер епта, уже в который раз спрашиваю вас я?) — ваши админы не делали ничего из вышеперечисленного, раз допустили заразу в сеть через зараженный ноут и после этого вы спрашиваете, как провафлили ваши админы? вы серьезно? а они вообще — админы??? раз не поняли, когда нагрузка на процы машин поднялись в разы? когда по сети пошел мусор? мдааааааа… с каждым вашим постом мне становится все более очевидно, что администрирование и безопасность — точно не ваш конек и при этом вы продолжаете надувать щеки показывая свою важность… ппц вы упертый… может в проектох это и круть, но когда передо мной стоят такие толстолобые — обычно мы с ними расстаемся (слава Богу таких было не много за всю мою жизнь...)

                                                                                                    ЗЫ
                                                                                                    если система, которая должна бороться с заразой пропускает ее — нах она вам нужна? ну или у вас руки из опы, раз у всех она работает как надо, а у вас она для красоты…
                                                                                                      0
                                                                                                      После того как зараза проникла на компьютер через указанную уязвимость, она начинает делать различные вещи, в т.ч. заражать другие компьютеры. Есть у пользователя права админа или нет — никак на это не влияет.

                                                                                                      серверы тут при том, что серверы точно так же заражались как и рабочие станции. Conficker не делает разницы между машиной с Windows Server 2003 и Windows XP.

                                                                                                      а, то есть всё таки нужно было регулярно ставить обновления? ну вот о чём и речь.

                                                                                                      Разумеется, как только по сети пошёл мусор, все всё быстро поняли. Вопрос был изначально такой — что можно было сделать, без установки обновлений, для защиты от этого вируса.

                                                                                                      Вы противоречите сами себе:

                                                                                                      обновление по конфикеру было секъюрное, а не на любителя, т.е. проставиться должно было на клиенткие машины в обязательном порядке

                                                                                                      а выше пишете

                                                                                                      появился фикс, который успешно накатывался политиками или ставился в ручную… КАРЛ, ПОЛИТИКАМИ

                                                                                                      так политиками, вручную, или «в обязательном порядке»?
                                                                                                        0
                                                                                                        уважаемый, вы как то уже начинайте делить котлеты отдельно, а мух отдельно, ок? статья про то, что надо зачем то перезагружать сервера… и многие считают, что НАДО, чтобы ставить обязательные обновления и предугадывать зависание систем, а большинство считает, что при установке «секъюрных» обнов и так машина может уйти в ребут… я же вам говорю В ОЧЕРЕДНОЙ РАЗ, что для тех компаний, которые не приемлют установку обновлений на сервер — для этого создаются правила через политики (чтобы ставить только конкретный фикс, чтобы предовратить полную, как вышло у вас в вашей истории, а для этого админу нужно не спать на работе, а хотя бы начать работать))))), в остальных случая, если поднят элементарный WSUS — все клиентские машины в домене, конечно, должны обновляться — тут разве кто то с этим спорит? где? когда? или это вы в очередной раз выдумали, чтобы не упасть мордой в грязь?! далее, ваши админы, а скорее всего среди них были и вы, раз так хорошо понимаете, как они накосячили — провафлили: раз допустили зараженную машину в сеть — ЭТО УЖЕ ДЫРА В БЕЗОПАСНОСТИ ВАШЕЙ СЕТИ!!! а далее опомнились, когда легло половина вашей сетке и вы тут еще о чем то рассуждаете… о политиках… вам матчасть неплохо бы подучить, прежде чем о высоком рассуждать…
                                                                                                          0
                                                                                                          прошло уже много лет с того момента, но мне по прежнему интересно что должны были сделать админы тогда, чтобы не допустить заражённую машину в сеть. у вас есть идеи на этот счет?
                                                                                                            0
                                                                                                            тут человек artemlight написал, а лучше и не скажешь:
                                                                                                            IDS — нужны на внешнем периметре. Политики — на внутреннем контролируемом. 802.1X всем и каждому. Секурити апдейты — всем и каждому. Аудит — сервера и дмз. PKI для аутентификации, SSTP+EAP для vpn-клиентов. Ну и мультифакторка администраторам.

                                                                                                            Автоматический аудит и мониторинг — добавить по вкусу.
                                                                                                            Сюда же добавить проверку пломб на системниках, мониторинг доступности оборудования, пароли на efi + secureboot. Правильную стратегию бэкапов, исключающую утечку информации через компрометацию носителей. Оценка рисков при компрометации оборудования в бренчах (RODC, ключи PKI, хеши паролей админиистраторов, вот это всё). Использование стойкого шифрования при проектировании site-to-site линков. Ограничение использования нестойких протоколов аутентификации и утечек связанной с ними информации (NTLM Hash leaking, например). И много-много-много ещё чего.

                                                                                                            Вот всё это в комплексе и называется безопасностью.

                                                                                                            А у вас её с такими разговорами нет, походу. Что с апдейтами, что без них.


                                                                                                            ЗЫ
                                                                                                            у меня только один вопрос к вам: вы всегда переспрашиваете по сто раз и получая один и тот же ответ — пытаетесь придумать что то свое, что вам не говорили, но так, чтобы другого опустить? вы всегда читаете по диагонали?

                                                                                                            ЗЗЫ
                                                                                                            у меня масса идей даже сейчас спустя столько времени и это несмотря, что в то время ни одна организация под моим присмотром не была наказана похуизмом и халатностью, при том что работал тогда в гос.учреждении, а конкретно — медицина и исследовательские предприятия, а также консультантом у интегратора (все организации существуют и по сей день и работают на инфраструктуре, которую поднимал лично так что думавайте сами....), и если тут кто то заикается про бабло, которое вам не выделяет шеф-частник, то поверьте, что государство изначально кладет болт на IT… а если вам интересна конкретика, дабы не наступать на грабли, то конечно я готов с вами поделиться этими идеями, но за отдельную плату, так сказать если не дано найти ответы на поверхности… если не умеете слушать и в инете — тогда платите бабки за чужие идеи, мозги и пряміе руки!
                                                                                                              0
                                                                                                              Ничто из перечисленного не поможет при подключении в сеть машины с Conficker-ом, при условии что уязвимость MS08-067 на других машинах сети не закрыта.

                                                                                                              Поэтому я так и не получил ответ на вопрос — что конкретно должны были сделать админы тогда, чтобы предотвратить распространения вируса, кроме апдейтов?

                                                                                                              то конечно я готов с вами поделиться этими идеями, но за отдельную плату, так сказать

                                                                                                              ок, вопросов больше не имею
                                                                                                                0
                                                                                                                ну значит познаете дзен)))))))) когда перестанете читать по диагонали и наконец начнете слушать других, а не только себя
                                                                                                                  0
                                                                                                                  вы дебил*

                                                                                                                  (*) это была оценка ваших умственных способностей, не оскорбление, а медицинская классификация
                                                                                                                    0
                                                                                                                    Ответа на мой вопрос у вас, я так понимаю, нет. Ну и замечательно.
                                                                        +1
                                                                        Пожалуйста, спрячьте статью. Не вводите людей в заблуждение.
                                                                        То, что вы назвали утечкой памяти — это кеширование. И чем больше закешированно, тем больше вероятность, что клиент получит ответ на свой запрос очень быстро.
                                                                          +2
                                                                          … и эти люди продают нам хостинг)
                                                                            0
                                                                            Справедливости ради, это перевод, а хостер не обязан иметь экспертизу в AD (если не на винде хостят, конечно). Более интересно, что в оригинале это, по сути, статья с рекламой компании, которая такие замечательные скрипты за деньги продаёт.
                                                                          –1
                                                                          Была поднята тестовая demo-сеть на AD под ОС Win2003 R2 и около 50-60 машин (устройств и гаджетов) на хрюше, семерках, 8, 10, огрызках и никсах (есть и виртуалки и физика) + законченные устройства (а сейчас еще и IoT шагают вперед — только в путь), в общем, весь зоопарк, чтобы ставить опыты: uptime — 345 дней, будет через пару часов… что с мной не так? а может, многим тут стоить править руки? или вы выбрали не ту профессию и род деятельности?!
                                                                            0
                                                                            ой как больно… у кого то подгорает… а может скрин аптайма выложить, чтобы пятая точка вконец взорвалась))))
                                                                            +1
                                                                            У меня все MS SQL сервера настроены на автоперезагрузку раз в неделю.
                                                                            И не важно что там считают теоретики — это реально помогает.
                                                                              0
                                                                              Отвратительно. Вы убиваете весь кеш (MS SQL + OS) 1 раз в неделю. Почитайте что-ли…
                                                                              Полтора года аптайма (2008r2 + 2012 SQL) были прерваны ребутом только по причине планового отключения электроэнергии. Тупило первые два дня, пока 768 Гб кеша прогревались.
                                                                                0
                                                                                По всей видимости, возможно из-за криворукости разработчиков софта, в кэш попадает не то что нужно.
                                                                                И я, и пользователи, в состоянии сравнить производительность ИС в пятницу (ребут с субботы на воскресенье) и в понедельник.

                                                                                А ваши полтора года аптайма говорят о том, что софт вы не обновляете. А это плохо.
                                                                                  0
                                                                                  Зачем обновлять работающий софт? Как поставил 7-zip 5 лет назад, так и работает.
                                                                                    0
                                                                                      0

                                                                                      Аут оф баундс, когда в файловой системе кто-то испортит long allocation descriptor. Мне кажется, что в этом случае 7zip не более последнего гвоздя и проблема не в нем.


                                                                                      И как всегда главный вопрос, где гарантии что в "новых" версиях не появились более критические уязвимости?

                                                                                  +2
                                                                                  768 ГИГАБАЙТ кэша?
                                                                                  Это какая-то дичь конечно.
                                                                                0
                                                                                Предложенный PowerShell скрипт поможет вам поддерживать работоспособность контроллеров домена на должном уровне, для этого вам раз в месяц их необходимо перезагружать.

                                                                                А как настроено обновление с перезагрузкой раз в месяц? Именно раз, а не по истечению срока установки обновления или по выходу обновления.

                                                                                  +2
                                                                                  Читаю это всё (и статью и каменты) и не понимаю… Не понимаю людей, которые не ставят ежемесячные security update, после которых 100% всегда надо делать ребут.
                                                                                    +1
                                                                                    Согласен с вами. Какой-то зоопарк в комментариях. Еще и самбу каким-то боком приплели. Это в юности прикольно мериться аптаймами, но потом понимаешь, что фиксы несомненно важнее, что на винде, что на линухе. На последнем, кстати, тоже ядро на лету не обновится (и не надо тут всяких костылей). Если для кого-то штатный ребут серверов — проблема, то что-то настроено не так.
                                                                                      0
                                                                                      Я на проде могу ребутнуть любой сервер в любой момент без какого либо урона для работы системы. Потому что всё то, что должно быть доступно круглосуточно — зарезервировано, а что не должно — так и не проблема если оно полежит пару минут.
                                                                                      0
                                                                                      Ну тут примерно так:
                                                                                      Про необходимость ребута после апдейтов и так все в курсе, и это справедливо не только для контроллеров AD.
                                                                                      Так что это просто капитанство какое-то.
                                                                                      Утечку памяти так никто у себя и не обнаружил.
                                                                                      Так что это ооочень сомнительная причина.

                                                                                      Ну а коменты вида «Надо было ставить Linux» — ну кудаже без низ в темах про Win?
                                                                                        0
                                                                                        Как видите, таких людей очень много. Поэтому и новости «заражено 1000000 компьютеров и 100000 серверов корпорации n, похищена информация на 100000000000 долларов» не скоро перестанут появляться.
                                                                                          –1
                                                                                          как это относится к фиксам на МS??? патчи — это панацея от всего и вся? а про антивирусное ПО вы слышали? а политики безопасности, которые ограничивают права юзверей — вы про это слышали? а про фаерволы… — я так понимаю, что не слышали, раз толкаете какую то галиматью про апдейты от мелгомягких(((
                                                                                            0
                                                                                            Я прямо сейчас вижу что сисадмин отстаивает точку зрения на то, что обновления безопасности не нужны?
                                                                                              –1
                                                                                              слышали звон, да походу не в курсе где он… я не утверждаю, что ставить их не надо, я говорю о том, что не надо путать теплое с мягким: чтобы повысить безопасность сети — надо настраивать политики, стороннее железо и софт, а не ограничиваться фиксами и ждать когда у вас накернится сервер, но видимо вам, как недоадмину — виднее
                                                                                                0
                                                                                                А я где-то советовал «ограничиваться фиксами»?
                                                                                                  0
                                                                                                  Да, и ещё. Вы так упорно меня оскорбляете, почти в каждом комментарии. А ведь мы совсем не знакомы. Считаете, что так вести дискуссию корректно?
                                                                                                    –1
                                                                                                    оценка вашего профессионализма и знаний — это оскорбление? понятно — проходите мимо
                                                                                                      0
                                                                                                      вы дебил*

                                                                                                      (*) это была оценка ваших умственных способностей, не оскорбление, а медицинская классификация
                                                                                                        0
                                                                                                        оценивайте, как хотите, о великий гуру апдейтов, но я уверен на 110% что половина из того, что написал человек ниже в комментах — информация вам неизвестна, хотя бы по роду вашей бурной деятельности, в общем перезагружайтесь дальше)))
                                                                                                      0
                                                                                                      Сравниваете тёплое с мягким.
                                                                                                      IDS — нужны на внешнем периметре. Политики — на внутреннем контролируемом. 802.1X всем и каждому. Секурити апдейты — всем и каждому. Аудит — сервера и дмз. PKI для аутентификации, SSTP+EAP для vpn-клиентов. Ну и мультифакторка администраторам.

                                                                                                      Автоматический аудит и мониторинг — добавить по вкусу.
                                                                                                      Сюда же добавить проверку пломб на системниках, мониторинг доступности оборудования, пароли на efi + secureboot. Правильную стратегию бэкапов, исключающую утечку информации через компрометацию носителей. Оценка рисков при компрометации оборудования в бренчах (RODC, ключи PKI, хеши паролей админиистраторов, вот это всё). Использование стойкого шифрования при проектировании site-to-site линков. Ограничение использования нестойких протоколов аутентификации и утечек связанной с ними информации (NTLM Hash leaking, например). И много-много-много ещё чего.

                                                                                                      Вот всё это в комплексе и называется безопасностью.

                                                                                                      А у вас её с такими разговорами нет, походу. Что с апдейтами, что без них.
                                                                                                        0
                                                                                                        А, та самая правильная ИТ-инфраструктура с безопасной безопасностью, я видел её, когда лежал угашеный в курильне опия в Нижнем Ист-Сайде
                                                                                                        Когда доходит до вопроса «И у вас реально так, как вы описали» — начинает действовать мегастрогое NDA, даже название компании озвучить оказывается нельзя.
                                                                                                          0
                                                                                                          У нас всё действительно так. Название компании могу в личку, если нужно. Компания небольшая, кстати, 150 рабочих мест всего.

                                                                                                          А за что платить администратору, если всё как-то иначе? За переустановку windows?
                                                                                                            0
                                                                                                            > А за что платить администратору, если всё как-то иначе?

                                                                                                            Например, за то, что «как-то иначе» часто диктуется владельцами (или топами) компании, а администратору приходится всё-таки обеспечивать работу в тех условиях, которые есть.
                                                                                                              0
                                                                                                              ээээ, а что из того, что приведено в:
                                                                                                              Сравниваете тёплое с мягким.
                                                                                                              IDS — нужны на внешнем периметре. Политики — на внутреннем контролируемом. 802.1X всем и каждому. Секурити апдейты — всем и каждому. Аудит — сервера и дмз. PKI для аутентификации, SSTP+EAP для vpn-клиентов. Ну и мультифакторка администраторам.

                                                                                                              Автоматический аудит и мониторинг — добавить по вкусу.
                                                                                                              Сюда же добавить проверку пломб на системниках, мониторинг доступности оборудования, пароли на efi + secureboot. Правильную стратегию бэкапов, исключающую утечку информации через компрометацию носителей. Оценка рисков при компрометации оборудования в бренчах (RODC, ключи PKI, хеши паролей админиистраторов, вот это всё). Использование стойкого шифрования при проектировании site-to-site линков. Ограничение использования нестойких протоколов аутентификации и утечек связанной с ними информации (NTLM Hash leaking, например). И много-много-много ещё чего.

                                                                                                              Вот всё это в комплексе и называется безопасностью.

                                                                                                              А у вас её с такими разговорами нет, походу. Что с апдейтами, что без них.

                                                                                                              — что здесь требует вложений? или каких то особых приказов свыше? ну если вы конечно АДМИН, а не «эникей», который думает, что он #админвсеясети)))))))))))))))) и добавлю к своему предыдущему посту — а нах вам нужен человек который на бумаге отвечает за вашу сеть, безопасность и пр., а на деле решает все ген.директор, например?! чтобы ЗП платить ему? классно, может вы назовете сами название своей компании, я бы рад был подработать даже вашим эникеем — раз ничего делать на фирме у вас не надо… думаю прийти на пару часов в неделю и поплевать в потолок — я готов к такой тяжелой работе)())))))))
                                                                                                                0
                                                                                                                Нет смысла, вы у нас собеседование не пройдете.
                                                                                                                  0
                                                                                                                  Это куда, в ФСБ или РВСН? :)
                                                                                                                  А зачем там собеседования — персонал должны с дет.сада готовить, в закрытых заведениях. «Выход — только через трубу крематория» (как Резун клеветал про ГРУ).
                                                                                                                0
                                                                                                                Знаю я эти отмазки.
                                                                                                                У вас топы решают, где идс будет стоять?
                                                                                                                Знают, что такое 802.1х?
                                                                                                                Может, у вас топы настройки аудита спускают? Говорят, AES-CBC не используй, хреново параллелится?

                                                                                                                Нет, может быть так где-то и бывает. Но в моей практике 100% кейсов «меня руководство заставило не ставить апдейты» сводились к некомпетентности и лени.

                                                                                                                  0
                                                                                                                  А, вы тоже в остроумии и наездах поупражняться решили? Тогда это не ко мне, простите.
                                                                                                              0
                                                                                                              если у вас не так — сочувствую… поэтому тоже спрошу, а нах платить админу и зачем он вам нужен если у вас все не так?
                                                                                                                0
                                                                                                                Видите ли, платить или не платить, и сколько платить — решает не админ, а человек, у которого несколько иной взгляд на бизнес.
                                                                                                                Во-первых, он считает, что время админа ему что-то стоит, так что IDS, 802.1x и т. д. потребует вложений (этого времени). Время админа ничего не стоит, если он уже получает зарплату, но не озадачен работой. Но в этом случае надо озадачить CIO и кадровиков «оптимизацией ресурсного пула».
                                                                                                                Во-вторых, он не может сам решить, что из перечисленного вами обязательно, что полезно, а что баловство. Вы можете его убеждать в обязательности всего, и он вам даже поверит, возможно. Но если (или когда) он узнает, что вы зря потратили своё время (его ресурс), то ваша карьера может внезапно остановиться.
                                                                                                                В-третьих, он реально может оценить риски. Вы хоть и пишете вскользь про «оценку рисков», но это не всегда получается даже с позиции CIO, не говоря про технаря. Знаете, сколько стоит бизнесу разглашение вот этой информации? А какие штрафы заплатите регулятору за потерю вон той, знаете?..

                                                                                                                По вполне очевидной причине задача охранника на входе в ваше здание — развалить бизнес. © Мосигра
                                                                                                                Вот и с ИБ то же самое.
                                                                                                                Кстати, как ваши измышления соотносятся с BYOD? А это то, что может потребоваться завтра. Будете убеждать генерального, что BYOD не нужен? :D
                                                                                                                  –1
                                                                                                                  ваш ответ смахивает, на «это не мой мопед, я его только продаю» )))))) т.е. так и говорите, что начальство вас наняло, как эникея, а то админ, админ… епта, тут почитать — прям каждый второй гуру-админом стал)))))

                                                                                                                  (решил добавить, что этот ответ не конкретно к вашей записи, а к постам выше, но можете принять и на свой счет)))))))
                                                                                                                    –1
                                                                                                                    хотя и к вам относится этот ответ напрямую, как и к ildarz

                                                                                              Only users with full accounts can post comments. Log in, please.