На самом деле таких ТЗ 90% из 100.
Беда в том, что составлением этих ТЗ занимаются не специалисты, а «ойти-менеджеры», которые в большинстве к технологиям имеют весьма посредственное отношение.
По факту 70% тут адекватно, остальное бред, заточенное, как правильно сказали, под конкретный бренд и скорее всего под конкретного продавца.
Автор, забей на комментарии и минуса.
Большинство аудитории хабра не понимают большинство терминов, поэтому и минусуют.
Вот если бы тема была бы «Винда — куйня, а линукс — круто' тогда тема была бы в плюсе. Это же Хабр.
«Вообще, я просто не понимаю, почему многие комментирующие настроены так резко против антивируса на сервере, но предлагают выполнить гораздо больший по времени, сложности и ограничению удобства пользователей объём работ»
«Ну да, AD, управление через административные шары (которые c $ ), сразу идут лесом»
Вот это прокомментируйте, ничего не понял.
Какое управление через административные шары на терминальном сервере?
Кому оно нужно и главное зачем? Если вам так принципиально копирование файлов по сети на C$ и т.д, настройте брандумауэр, разрешив трафик только с вашего ПК администратора. Хотя я не знаю зачем оно нужно, учитывая, что тот же буфер обмена позволяет копировать файлы в рамках RDP сессии.
Кроме того, обращение с терминального сервера к общим ресурсам никто не запрещает. Не видите разницы?
«Вообще, я просто не понимаю, почему многие комментирующие настроены так резко против антивируса на сервере, но предлагают выполнить гораздо больший по времени, сложности и ограничению удобства пользователей объём работ»
Потому что надо думать головой, а не пытаться в установке AV на сервер видеть решение проблемы аля панацея. О рисках и проблемах я уже подробно расписал. Как раз из-за подобного подхода как ваш как раз и формируются NEXT-администраторы.
Ваш вопрос некорректен, поскольку не указано выполняется ли регулярная установка критических обновлений Windows Update, а также какое установлено на нем прикладное ПО.
Теперь давайте разбираться с каждым сервером по отдельности.
1. Терминальный сервер.
Возвращаясь к вопросу о регулярном обновлении — ситуаций, при которых сервер не выполняет обновления сплошь и рядом. И причин тому может быть очень много — например несовместимость старого ПО на терминальном сервере с одним из критических обновлений Windows. Точно также может быть и с любым антивирусным ПО.
Поэтому нестись и ставить очередной AV на терминальный сервер без анализа ситуации нельзя. Вы можете банально остановить бизнес компании, когда ваше приложение начнет падать на терминальном сервере из-за установленного антивируса. Про добавления в исключения писать не надо, это далеко не панацея.
Рекоммендации:
1) Настроить встроенный брандмауэр, запретив обращения к серверу по порту отличному от TCP 3389. Терминальным пользователям больше и не нужно, а от сетевой эпидемии червя это защитит.
2) Убедиться в том что пользователи работают в с номинальными правами на сервере.
3) Запретить через GPO подключение носителей в терминальной сессии.
4) Ограничить через GPO список ПО, разрешенного к запуску в терминальной сессии.
5) Настроить дисковые квоты для терминальных пользователей
6) Запретить пользователям выход в Интернет с терминального сервера
7) Обеспечить работу пользователей с файловыми данными таким образом, чтобы все файлы располагались на файловом сервере, на котором установлен AV.
8) Проанализировать используемое ПО на предмет совместимости с критическим набором обновлений, а также возможной совместимостью с Windows 2008/2012.
В случае отсутствия проблем и согласования бюджета — выполнить обновления на более современную версию серверной ОС и прикладного ПО.
2. С Exchange также вопрос не корректно поставлен, поскольку Windows 2003 не поддерживает установку Exhange 2010. Соответственно на данном сервере операционная система на нем уже минимум Windows 2008.
При условии, что на данном сервере только роль Exchange 2010, выполнять установку критических обновлений никто не мешает.
Никто из пользователей не работает с данным сервером напрямую по RDP, за исключением группы администраторов.
Соответственно, угрозы заражения со стороны пользователей не существует. Существует угроза заражения через распространение сетевого червя. К сожалению, закрыть порты здесь уже не получится, поскольку тот же механизм распространения адресной книги в Exchange требует открытого общего ресурса. Поэтому уязвимые порты 137, 139, 445 будут открыты в любом случае. По этой причине необходимо отслеживать актуальность критических обновлений и вовремя их устанавливать дабы избежать заражения по сети через уязвимы сервис.
Администратором же убедиться в наличии установленного AV на рабочей станции, избегать работы с привилегированными правами, пользоваться средствами удаленного администрирования на базе MMC, PowerShell, работать в RDP сессии с минимальными правами, благо механизм UAC это обеспечивает.
Если же несмотря на эти меры все равно есть дикое желание установить AV на Exchange — устанавливайте, но соблюдая требования MS, которые всегда очень подробно описаны в Technet. technet.microsoft.com/en-us/library/bb332342(v=exchg.150).aspx
3. Самым критичным сервером в этой ситуации и наиболее уязвимым является контроллер домена на Windows 2003.
Поскольку в случае его заражения проблем будет более чем достаточно, вплоть до остановки бизнеса компании, поскольку ни авторизация, ни разрешение имен работать не будут.
Брандмауэром его не закроешь. Система снята с поддержки (только через Custom Support за $), Здесь рекомендация только одна — обновляйтесь как можно скорее до актуальной версии серверной ОС. А до момента обновления убедитесь в наличии актуального SystemState и резервного контроллера.
Прочитал. Ни в одной из ссылок нет примеров разбирательств с приставками. Так что ваше утверждение до сих пор является голословным. В следующий раз добавляйте ИМХО.
Оставить в ядре только Ext3 это проблема? Кроме того, я что-то не вижу патентных разбирательств между MS, Nintendo и Sony по поводу приставок.
Кроме того, если я не ошибаюсь, отчисления производителей смартфонов на базе Android в сторону MS обусловлены запатентованными элементами пользовательского интерфейса.
У вас манера отвечать вопросом на вопрос?
Это я ВАС спросил за ЧТО будет платить Valve MS, поскольку ваше убеждение «Ничего, Microsoft заставит и с линукса отчисления платить» попахивает голословностью.
Скорее HL3 будет эксклюзивом для valve-консоли, внутри которой будет linux.
Valve не из простого любопытства пилят steam-игры под linux. ОС под свою консоль с нуля разрабатывать дорого, а за win-embedded придется платить отчисления с продаж консоли.
// 1. А вот он работал-работал, потом запахло дымком. Ладно тогда на //той работе серверная и мой кабинет — это было одно и то же.
Фото приложите «расплавленного» ключа, отправим в 1с. Пускай там тоже посмеются.
//2. А вы попробуйте ради интереса. Возьмите блок питания, внутри флешки замкните два провода.
Это тут причем? А вы для интереса суньте 2 пальца в розетку и проверьте не расплавится ли рука.
//Или, по-вашему, возможность расплавления пластмассы с какого вольтажа и тока начинается?
Можно дальше не писать.
Это не исключение ситуации, а выдуманная проблема.
Поскольку:
1. Если вы так беспокоитесь о защите сервера — включите сначала ваш пресловутый USB ключ в другую машину и проверьте 'не расплавится ли он". Хотя таких фильмов ужасов за несколько лет работы в интеграторе 1с я ни разу не видел.
2. Как и что может там «расплавится», если напряжение на USB-порту +5 V при силе 500 ma.
C такой теорией точно также опасно втыкать в порт сервера VGA кабель или например USB-мышь/клаву или USB кабель то KVM'а, или кабель питания в БП. А вдруг от перекоса напряжения он сгорит? Ая-яй.
С вашим подходом самое безопасное это купить сервер и оставить его в коробке на складе.
В серверную также придется ходить чтобы воткнуть ключ в USB-коммутатор.
Или у вас он будет прямо на рабочем столе установлен? Это круто, особенно в плане сохранности и безопасности например аппаратных USB-ключей защиты.
У Vmware нет проблем с миграцией ВМ с хоста на хост с подключенным USB-устройством. Устройство остается подключенным через сеть. Разумеется, если выходит из строя физический сервер, устройство будет недоступно.
USB over TCP/IP не снимает большинство вопросов по причинам:
1. На рынке крайне скудно представлены аппаратные решения. Из того, что можно купить в России относительно быстро — Digi Anywhere. Китайское глючное поделие, у которого регулярно отваливаюся рандомно порты. Кроме того, модель которая умеет выборочно подключать порты к разным серверам, а именно AnywhereUSB®/14 стоит от 1500$
Сами пользуемся и плюемся.
2. Софтовые решения требуют отдельной хостовой машины + затраты на само ПО. Кроме того, со стабильностью там все еще хуже. Регулярно приходилось передергивать сервис, чтобы устройство было доступно.
Тактико-техническое задание на разработку многоразовой космической системы выдано Главным управлением космических средств Министерства обороны СССР и утверждено Д. Ф. Устиновым 8 ноября 1976 года
Первый запуск 15 ноября 1988 года
Всего-то на 10 лет больше…
Беда в том, что составлением этих ТЗ занимаются не специалисты, а «ойти-менеджеры», которые в большинстве к технологиям имеют весьма посредственное отношение.
По факту 70% тут адекватно, остальное бред, заточенное, как правильно сказали, под конкретный бренд и скорее всего под конкретного продавца.
Автор, забей на комментарии и минуса.
Большинство аудитории хабра не понимают большинство терминов, поэтому и минусуют.
Вот если бы тема была бы «Винда — куйня, а линукс — круто' тогда тема была бы в плюсе. Это же Хабр.
Вот это прокомментируйте, ничего не понял.
Какое управление через административные шары на терминальном сервере?
Кому оно нужно и главное зачем? Если вам так принципиально копирование файлов по сети на C$ и т.д, настройте брандумауэр, разрешив трафик только с вашего ПК администратора. Хотя я не знаю зачем оно нужно, учитывая, что тот же буфер обмена позволяет копировать файлы в рамках RDP сессии.
Кроме того, обращение с терминального сервера к общим ресурсам никто не запрещает. Не видите разницы?
«Вообще, я просто не понимаю, почему многие комментирующие настроены так резко против антивируса на сервере, но предлагают выполнить гораздо больший по времени, сложности и ограничению удобства пользователей объём работ»
Потому что надо думать головой, а не пытаться в установке AV на сервер видеть решение проблемы аля панацея. О рисках и проблемах я уже подробно расписал. Как раз из-за подобного подхода как ваш как раз и формируются NEXT-администраторы.
Теперь давайте разбираться с каждым сервером по отдельности.
1. Терминальный сервер.
Возвращаясь к вопросу о регулярном обновлении — ситуаций, при которых сервер не выполняет обновления сплошь и рядом. И причин тому может быть очень много — например несовместимость старого ПО на терминальном сервере с одним из критических обновлений Windows. Точно также может быть и с любым антивирусным ПО.
Поэтому нестись и ставить очередной AV на терминальный сервер без анализа ситуации нельзя. Вы можете банально остановить бизнес компании, когда ваше приложение начнет падать на терминальном сервере из-за установленного антивируса. Про добавления в исключения писать не надо, это далеко не панацея.
Рекоммендации:
1) Настроить встроенный брандмауэр, запретив обращения к серверу по порту отличному от TCP 3389. Терминальным пользователям больше и не нужно, а от сетевой эпидемии червя это защитит.
2) Убедиться в том что пользователи работают в с номинальными правами на сервере.
3) Запретить через GPO подключение носителей в терминальной сессии.
4) Ограничить через GPO список ПО, разрешенного к запуску в терминальной сессии.
5) Настроить дисковые квоты для терминальных пользователей
6) Запретить пользователям выход в Интернет с терминального сервера
7) Обеспечить работу пользователей с файловыми данными таким образом, чтобы все файлы располагались на файловом сервере, на котором установлен AV.
8) Проанализировать используемое ПО на предмет совместимости с критическим набором обновлений, а также возможной совместимостью с Windows 2008/2012.
В случае отсутствия проблем и согласования бюджета — выполнить обновления на более современную версию серверной ОС и прикладного ПО.
2. С Exchange также вопрос не корректно поставлен, поскольку Windows 2003 не поддерживает установку Exhange 2010. Соответственно на данном сервере операционная система на нем уже минимум Windows 2008.
При условии, что на данном сервере только роль Exchange 2010, выполнять установку критических обновлений никто не мешает.
Никто из пользователей не работает с данным сервером напрямую по RDP, за исключением группы администраторов.
Соответственно, угрозы заражения со стороны пользователей не существует. Существует угроза заражения через распространение сетевого червя. К сожалению, закрыть порты здесь уже не получится, поскольку тот же механизм распространения адресной книги в Exchange требует открытого общего ресурса. Поэтому уязвимые порты 137, 139, 445 будут открыты в любом случае. По этой причине необходимо отслеживать актуальность критических обновлений и вовремя их устанавливать дабы избежать заражения по сети через уязвимы сервис.
Администратором же убедиться в наличии установленного AV на рабочей станции, избегать работы с привилегированными правами, пользоваться средствами удаленного администрирования на базе MMC, PowerShell, работать в RDP сессии с минимальными правами, благо механизм UAC это обеспечивает.
Если же несмотря на эти меры все равно есть дикое желание установить AV на Exchange — устанавливайте, но соблюдая требования MS, которые всегда очень подробно описаны в Technet.
technet.microsoft.com/en-us/library/bb332342(v=exchg.150).aspx
3. Самым критичным сервером в этой ситуации и наиболее уязвимым является контроллер домена на Windows 2003.
Поскольку в случае его заражения проблем будет более чем достаточно, вплоть до остановки бизнеса компании, поскольку ни авторизация, ни разрешение имен работать не будут.
Брандмауэром его не закроешь. Система снята с поддержки (только через Custom Support за $), Здесь рекомендация только одна — обновляйтесь как можно скорее до актуальной версии серверной ОС. А до момента обновления убедитесь в наличии актуального SystemState и резервного контроллера.
При этом эксклюзивных игры под PS3 более чем достаточно.
Кроме того, если я не ошибаюсь, отчисления производителей смартфонов на базе Android в сторону MS обусловлены запатентованными элементами пользовательского интерфейса.
Это я ВАС спросил за ЧТО будет платить Valve MS, поскольку ваше убеждение «Ничего, Microsoft заставит и с линукса отчисления платить» попахивает голословностью.
Valve не из простого любопытства пилят steam-игры под linux. ОС под свою консоль с нуля разрабатывать дорого, а за win-embedded придется платить отчисления с продаж консоли.
Фото приложите «расплавленного» ключа, отправим в 1с. Пускай там тоже посмеются.
//2. А вы попробуйте ради интереса. Возьмите блок питания, внутри флешки замкните два провода.
Это тут причем? А вы для интереса суньте 2 пальца в розетку и проверьте не расплавится ли рука.
//Или, по-вашему, возможность расплавления пластмассы с какого вольтажа и тока начинается?
Можно дальше не писать.
Поскольку:
1. Если вы так беспокоитесь о защите сервера — включите сначала ваш пресловутый USB ключ в другую машину и проверьте 'не расплавится ли он". Хотя таких фильмов ужасов за несколько лет работы в интеграторе 1с я ни разу не видел.
2. Как и что может там «расплавится», если напряжение на USB-порту +5 V при силе 500 ma.
С вашим подходом самое безопасное это купить сервер и оставить его в коробке на складе.
Или у вас он будет прямо на рабочем столе установлен? Это круто, особенно в плане сохранности и безопасности например аппаратных USB-ключей защиты.
USB over TCP/IP не снимает большинство вопросов по причинам:
1. На рынке крайне скудно представлены аппаратные решения. Из того, что можно купить в России относительно быстро — Digi Anywhere. Китайское глючное поделие, у которого регулярно отваливаюся рандомно порты. Кроме того, модель которая умеет выборочно подключать порты к разным серверам, а именно AnywhereUSB®/14 стоит от 1500$
Сами пользуемся и плюемся.
2. Софтовые решения требуют отдельной хостовой машины + затраты на само ПО. Кроме того, со стабильностью там все еще хуже. Регулярно приходилось передергивать сервис, чтобы устройство было доступно.
Автор, хоть бы в Википедию заглянул.
ru.wikipedia.org/wiki/%D0%91%D1%83%D1%80%D0%B0%D0%BD_%28%D0%BA%D0%BE%D1%81%D0%BC%D0%B8%D1%87%D0%B5%D1%81%D0%BA%D0%B8%D0%B9_%D0%BA%D0%BE%D1%80%D0%B0%D0%B1%D0%BB%D1%8C%29
Тактико-техническое задание на разработку многоразовой космической системы выдано Главным управлением космических средств Министерства обороны СССР и утверждено Д. Ф. Устиновым 8 ноября 1976 года
Первый запуск 15 ноября 1988 года
Всего-то на 10 лет больше…