Хотел написать много и с отвлечениями на заданные темы… Но… Устал и пошел отдыхать домой.
С Новым Годом, друзья. Пусть у Вас будет тысяча мешков желаний, мильён мешков возможностей эти желания реализовать и мильярд мешков здоровья, чтобы все это пережить. =)
Как уже многие отметили, на прошлой неделе вышел DPM SP1. Несмотря на то, что времени прошло совсем чуть-чуть, мне есть уже что рассказать по поводу его эксплуатации. Понятно, что такое быстрое внедрение не все считают оправданным, но обновление принесло с собой некоторые новые функции, в которых мы безумно нуждались и потому мы оценили соотношение риск/выгода как "низкое", провели интенсивное краткосрочное тестирование и - вуаля. Тем не менее, это только мой опыт, возможно не воспроизводимый в Вашем окружении, потому тестируйте тщательно, если есть возможность.
Итак, что нового принесло обновление.
Остальные возможности лично у меня не используются, потому рассказать о них я не смогу пока подробно, но можно почитать про них здесь.
Добрый день, уважаемые радиозретели, телеслушатели и блогочитатели. Несколько подзатянувшееся молчание в эфире, вызванное подготовкой к Платформе, Платформой и прочими не менее увлекательным и поглощающими время событиями заканчивается. Большого оживления ожидать, наверное не стоит, потому что... Но обо всем по порядку =)
Итак, Платформа.
Подготовка к ней прошла относительно успешно, о чем свидетельствует отсутствие ругательных отзывов. Впрочем, хвалебный тоже только один (я не беру здесь в расчет друзей и прочих знакомых - они лица заинтересованные), может, просто всем лень? =) Из-за определенных организационно-технических проблем показать удалось не все, что было запланировано, но зато то, что показали, прошло без осечек. И в свое время уложились, о чем позже. Я попытаюсь сделать все-таки живую демонстрацию с тем, что показать удалось лишь частично, но это уже в следующем году.
Итак, подготовились мы с Алексеем хорошо, выступили тоже неплохо, как мне кажется. Единственное, что именно мне омрачало жизнь - необходимость уложиться в один час. Этого времени мне совершенно недостаточно, чтобы выложить все, что заслуживает внимания по NAP. В первый раз на заседании MCP Клуба я выступал с этой темой более полутора часов. С тех пор тема меньше не стала, напротив, появилось что добавить. Потому пришлось в некоторых местах доклада пренебречь глубиной и детальностью изложения. Совершенно не уверен, что кроме архитектуры и демонстрации там было, за что давать сложность 300. Кстати, архитектура была именно той темой, при изложении которой несколько человек просто покинули зал. То ли я занудно рассказывал, то ли сработал эффект "коалесцентных таймеров" (об этом чуть позже). Но оставшиеся стойко досидели до конца и даже получили несколько призов за свои вопросы.
Покончив с моим выступлением, плавно и незаметно перейдем к моей оценке самой Платформы. Собственно, мне трудно оценивать, потому что
Тем не менее, впечатления есть. Начнем по порядку.
В общем, мне показалась эта Платформа более интересной, чем прошлая. И более организованной (даже сканеры штрих-кодов работали!!! =)). Менее бедной на халяву, но как все говорят, мы туда ходим не за этим. Так что смотрим записи, комментируем и обсуждаем.
А так как для меня Платформа закончена, то я продолжаю свою деятельность. Скоро мы выпустим совместный с Андреем Бешковым вебкаст про FF TMG. Потом я планирую еще пару выступлений на заседаниях Клуба. Возвращение на формы TechNet так же планируется. Ну и блогу зачахнуть не дам.
На правах рекламы, хоть я и не разработчик – публикую:
“BizSpark это инновационная программа, предоставляющая начинающим компаниям-разработчикам ПО в течение 3 лет набор следующих преимуществ:
Доступ к технологиям, в том числе:
· Средства для дизайна, разработки и тестирования. Предоставляются лицензии на Expression Studio (1 лицензия), Visual Studio Team System c MSDN Premium и Team Foundation Server (стандартный выпуск) на всю команду разработки
· Лицензии на промышленное использование для размещения в сети Интернет решений типа SaaS и интернет-сервисов, созданных на базе программного обеспечения. Предоставляются лицензии на Windows Server, SQL Server, SharePoint Portal Server, Systems Center, BizTalk Server без ограничения количества.
Поддержка
· Профессиональная поддержка от Microsoft: 2 инцидента технической поддержки на компанию
· Доступ к MSDN Premium
· Поддержка Партнеров по сообществу BizSpark : консультации, инвестиции, хостинг, и пр.
Продвижение
· Возможность заявить о себе, создав свой профиль в интерактивном каталоге BizsparkDB на сайте Microsoft Startup Zone
· Возможность быть отобранной в BizSparkDB как «Компания недели» BizSpark на сайте Microsoft Startup Zone
Условия предоставления преимущества BizSpark:
1. Компания должна разрабатывать программный продукт или размещаемый интернет-сервис, основанный на программном обеспечении, который будет являться ключевой компонентой собственного бизнеса компании. Если компания развивает одновременно несколько видов бизнеса, то лицензии, полученные в рамках BizSpark могут использоваться в рамках разработки тиражируемых продуктов и сервисов, но не могут – для оказания услуг конечным заказчикам , таких как хостинг, дизайн веб-сайтов, системная интеграция, аутсорсинговая разработка ПО.
2. Компания должна быть частной, находиться в бизнесе не более 3 лет и иметь годовой доход не более 500 тыс. долл. США (цифра дохода приведена для России). Предприниматели, которые только находятся в процессе регистрации юр. лица, также могут участвовать в программе.
Регистрация в программе бесплатна. По окончании членства в программе, начинающая компания должна оплатить Microsoft взнос за участие в программе в размере 100 долл. США.
Подробное описание программы может быть найдено здесь: http://ms-start.ru/Programs/BizSpark.aspx ”
Вот уткнулся тут в микропроблемку, решившуюся за минуту, но вдруг кто еще не знает. смотрите ролик =)))
Обратите внимание на адреса. Внимание, вопрос: как такое может быть? =)
Приза не будет. разве что кто-то из посетителей клуба или платформы знает ответ ;)
З.Ы. Сорри за качество – торопился =)
Поэтому Олег Ржевский уже планирует следующую встречу MCP Клуба в Москве. Он хочет выяснить, что обчественности будет интереснее услышать в первую очередь. Вариантов пока два.
1) Доклад самого Олега: Обзор Microsoft Application Virtualization 4.5
2) Мой доклад про TMG (новая ISA)
Сражу скажу, что мой доклад мы запишем в любом случае с Андреем Бешковым в виде вебкаста, потому с ним можно не торопиться… В общем, голосуйте, желательно до конца Платформы проголосовать =)))
Если есть еще предложения – в комментарии или почту.
UPD: в голосовании ошибка – первый доклад читать так: foreFront Threat Management Gateway. Спасибо Васе Гусеву за внимательность =)
Итак, определилось расписание Платформы 2009.
Я буду помогать Алексею Голдбергсу рассказывать про NAP. Посетители Московского MCP клуба уже видели мое выступление на эту тему. Могу сказать, что новое в моем выступлении будет, но, в основном, в области демонстраций. NAP как-то умудрился за несколько месяцев не измениться ;)
Мой второй заявленный доклад (про ForeFront TMG) с большой вероятностью на платформе не состоится, но тогда мы с Андреем Бешковым сделаем вебкаст, а поом я еще и на заседании Клуба выступлю.
Тем же, кто хочет посмотреть, как мы с Алексеем будем расказывать про NAP – добро 
ожаловать пятого декабря в 17.30 в Красный Зал. Наше выступление для посетивших его будет финальным на платформе, потому мы постараемся его сделать интересным. Надеюсь это нам удастся несмотря на то, что времени мало (1 час всего), а потом на вопросы уже будет не ответить… =)
Ждем Вас.
Так как начинается горячая пора, связанная с подготовкой к Платформе, то я вынужден буду на этот месяц несколько сократить объем публикаций. Собственно, хорошо, если они вообще будут. Чтобы читатель не скучал, дам ссылки на последнее, что остановило мой взгляд за последние несколько дней и заставило что-то почитать, отличное от Design Guide по технологиям, которые я буду представлять на Платформе =)
Вторая часть переведенной мной статьи про свободное место на диске и NTFS:
http://blogs.msdn.com/ntdebugging/archive/2008/10/31/ntfs-misreporting-free-space-part-2.aspx
Переведен на русский язык Windows Server 2008 Security Guide: http://blogs.technet.com/iwalker/archive/2008/10/26/windows-server-2008-wssg.aspx
Выпущен Windows Server 2008 R2 Reviewers Giode: http://download.microsoft.com/download/F/2/1/F2146213-4AC0-4C50-B69A-12428FF0B077/Windows_Server_2008_R2_Reviewers_Guide_(BETA).doc
Началась (а не закончилась ли уже) конференция PDC, на которой представлены Azure, Windows 7 и еще много всего интересного:
Пока хватит, благо, до Платформы осталось не так уж и много времени ;)
Я вернусь. Обязательно. Но пока ждут меня виртуальные машины, Design Guide и Architecture всяких вкусностей. До встречи.
UAC
Один из моментов, в которых я коснусь конкретной технологии. Просто потому, что это та самая технология, шумиха вокруг которой поднята из-за неверного понимания ее предназначения, ее возможностей и сценариев ее использования. Непонимание это, как мы полностью согласились с Вадимсом Подансом, вина целиком и полностью компании Microsoft. Они не смогли донести до общественности простые достаточно истины. Впрочем, и обчественность хороша. Лишь бы обгадить светлое дело коммунизма защиты информации. =) Потому на данный момент сложились два радикальных мнения на UAC:
1) UAC это то, что необходимо выключить немедля.
2) UAC защищает от взломов, хулиганов, тайфунов, землетрясений и бородавок, а так же помогает в любви.
Я постараюсь, как всегда, плюнуть посередине, так что получайте мой взгляд. Данный функционал не защищает Ваш компьютер. У него нет такого назначения. Так же, как нет такого назначения у NAP – он не несет с собой никакой активной защиты. Наличие UAC просто-напросто позволяет наиболее удобным пока способом из всех, мне известных, реализовать принцип наименьших привилегий. Плюс к этому даже администратору оно по умолчанию обрезает привилегии (что вовсе не является оправданием работы из-под оного администратора). Плюс к этому наблюдаются некоторые побочные эффекты. Например, на момент публикации вот этого моего сообщения не было известно ни одного руткита, который устанавливался бы при включенном UAC. А если посмотреть на последний бюллетень по безопасности от MS, то выяснится еще такая картинка (кликабельно):
Как видим, уязвимость везде, кроме Vista и Server 2008 оценена как Critical. При чем, если почитать оный бюллетень внимательно, то выяснится, что именно UAC’у Vista и Server 2008 обязаны снижением уровня опасности до Important. Так что штука достаточно полезная и сама по себе.
Однако, в этой серии я взял за правило ругать технологии, а не хвалить их. Продолжаем в том же духе. Итак, недостатки.
1) если его отключить, он не будет работать. «так это… того… если антивирус отключить, то он тоже не будет работать»,- возразите Вы. Да так-то оно так. Только когда я гуглю название антивируса, то первым выскакивает сайт компании, а в случае с UAC первым идет
дадада, первыми идут разные “взломщики UAC”. На втором месте UAC Step By Step Guide от Microsoft, на третьем информация о том, что UAC создан для того, чтобы раздражать пользователей. На 4м почетном месте та самая моя статья. А дальше в перемешку советы как эту функцию отключить и почему этого делать вроде бы как и нельзя. Учитывая, сколько пользователей попало ко мне на блог по различным сочетаниям слов “Vista”, “UAC” и “отключить”…
Мало того, ативирусы научились быть практически незаметными, а UAC нет. Потому неподготовленному пользователю он якобы мешает, отчего он и начинает попадать на мой блог ;)
2) в случае, когда UAC работает по стандартной схеме, а не так как предложил Артем Проничкин в одном из комментариев к моему прошлому сообщению на тему UAC, то есть у пользователя есть доступ к учетной записи с административными привилегиями… короче, в этом случае именно пользователь определяет, что разрешить запускать, а что не разрешать. А пользователь, как мы давно уже выяснили, это обычно слабое звено. То есть вполне может решить, что вот именно эту музыкальную открытку в формате .exe ему следует запустить.
3) Если вредоносная программа уже на компьютере и работает, то, насколько я понял из объяснений того же Артема, ей ничего не стоит влезть в административную сессию с повышенными привилегиями, когда пользователь ее начнет.
Итак, я пока закончил свою серию публикаций про недостаточность многих технических и прочих средств обеспечения безопасности самих по себе. Вроде бы ничего не забыл. Если забыл – дайте знать – исправлюсь. =)
Ссылки на публикации серии:
Часть 6: процедуры и регламенты + принцип наименьших полномочий
Часть 7: резервное копирование
Шифрование данных.
Предположим, что Ваши данные все-таки украли. После этого, если Вас волнует, конечно, конфиденциальность данных больше, чем их доступность, возможны два варианта:
1) Вы зашифровали данные
2) Эти данные перестали быть конфиденциальны.
Есть, правда третий вариант – украденный носитель вору интереснее, чем то, что на нем записано. Но нам этот вариант неинтересен, в этом случае потери минимальны.
В данный момент я бы различал три типа средств шифрования:
1) Шифрование отдельных файлов/папок (а-ля EFS).
2) Шифрование всего диска/раздела (BitLocker).
3) Создание зашифрованного виртуального диска внутри ОС (SafeDisk).
В принципе, все три метода имеют свои преимущества и недостатки. Давайте на них взглянем пристальнее.
1) Наши файлы шифруются на индивидуальной основе.
a. +
i. Файлы, которые не являются конфиденциальными, не подвергаются шифрованию, потому производительность системы затронута по минимуму.
ii. В случае утери ключа данные можно восстановить при помощи агента восстановления (это про EFS, но у других производителей также реализованы свои методы восстановления)
iii. Можно предоставлять общий доступ к данным нескольким пользователям.
iv. Файл от копирования на другой носитель не перестает быть зашифрованным (UPD: В случае EFS это не так, если мы копируем на другую файловую систему. Скажем, FAT. За примечание спасибо Вадимсу Подансу =) ).
v. Если повреждена часть файла, то поврежден только этот файл.
b. –
i. Пользователю необходимо решать, какие данные нуждаются в шифровании. Не всегда он способен это решить правильно.
ii. Если не задан агент восстановления (стандартный случай при отсутствии домена, скажем), то многие простые, казалось бы, ситуации (переустановка Windows, удаление профиля, etc…), грозят утерей данных.
iii. Любой из пользователей, которым предоставлен доступ, может им злоупотребить.
2) Шифрование раздела
a. +
i. Шифруется все. То есть подлезть к конфиденциальным данным путем
изменения неконфиденциальной части и/или ОС не получится.
ii. Так же есть способы резервирования ключей шифрования. Потеря оных не страшна, если задуматься над ней заранее.
iii. Некоторые технологии позволяют контролировать целостность данных на Вашем винчестере и, в случае попыток подделки просто не дадут Вашему компьютеру загрузиться.
iv. При повреждении кластера на диске пропадет только тот файл, который там записан. Все остальное останется неизменным.
b. –
i. Так как шифруется все, то есть некоторое падение производительности. На деле, с тем же самым BitLocker – обычно не более 5%.
ii. Если не побеспокоиться заранее, то разрушение ключевой информации будет фатальным. Не сможете восстановить ничего.
iii. Файлы, скопированные с такого компьютера на любой носитель, будут расшифрованы.
iv. Требует определенной культуры поведения. Например, Ваш ноутбук должен быть настроен как минимум на режим гибернации при закрытии крышки. И на уход в него же при длительном простое. Просто потому, что защита срабатывает только в том случае, если компьютер выключен.
3) Виртуальный зашифрованный диск
a. +
i. Шифруется только то, что нужно – падение производительности так же, как и в первом случае, минимальное.
ii. Обычно бывают какие-то решения по хранению ключей, но сказать подробнее не могу, потому виртуально запишем в плюс =)
iii. В некоторых случаях позволяет переносить с одного компьютера на другой весь контейнер целиком.
iv. Не требует особых навыков от пользователя.
b. –
i. В случае повреждения файла контейнера обычно теряется вся информация, содержащаяся в нем.
ii. Пользователь опять же должен решать, что нужно, а что не нужно шифровать.
Плюс к этому есть еще пара общих факторов, влияющих на эффективность шифрования: если пользователь ушел и оставил рабочее место незалоченным, а виртуальный шифрованный диск еще и не размонтированным… Что ж. То же касается вирусов на Вашем компьютере. Если Вы расшифровали файл и используете его, то вирус тоже может его использовать.
Ссылки на публикации серии.
Часть 1: вводная
Часть 2: антивирус
Часть 3: Firewall
Часть 4: SSL
Часть 5: VPN + обновления
Часть 6: процедуры и регламенты + принцип наименьших полномочий
Часть 7: резервное копирование
Часть 8: контроль доступа и биометрия
Часть 9: шифрование
Часть 10: UAC
Иногда просматриваю поисковые запросы, приводящие на мой блог. Иногда там есть подсказки на небольшие новые темы. Так было и вчера. Поисковый запрос выглядел так: “подсчитать размер всех файлов powershell”.
Собственно, задачка совсем простая и не стал бы я особо даже заморачиваться с написанием статей. Однако, когда я просто интереса ради дописал строчку
Get-ChildItem C:\test -recurse | Measure-Object -property length -sum
я немного задумался и понял, что такой простой вопрос не мог не возникать у кучи людей. И потому вполне может быть (и даже должно) решение давным давно выложено там, где я всегда искал ответы на заре той эпохи, когда я только начинал писать скрипты (я все еще учусь, но уже не по каждому поводу прибегаю к чьей-то помощи. Так… Через раз… Прогресс =) ). Таким местом для меня всегда был и остается Microsoft Script Center, который не подвел и в этот раз, выдав целую статью по искомому поводу.
Почему я решил написать об этом так много букв? Да потому, что до сих пор очень часто вижу запросы на написание каких-то мелких скриптов, когда для их написания достаточно того самого Script Center и спинного мозга. А иногда и просто можно найти ответ прямо там. То есть смело гуглим по сайту http://www.microsoft.com/technet/scriptcenter и находим то, что нужно первой строчкой:
Хотел развернуть эту тему дальше – на то, как собирать скрипты из кусочков (точнее, как это делаю я), но передумал и решил предложить Васе Гусеву развить эту тему. А моралью данной статьи будем считать просто необходимость сначала искать примеры или куски скриптов в наиболее крупных репозиториях, а потом уже по всему интернету =)
Контроль доступа.
«Мы установили лучшую систему контроля доступа, самую дорогую систему видеонаблюдения и наняли лучшее охранное агентство для обеспечения физической безопасности»
Вау!!! Круто. Нет, правда. Я тоже хочу такие. Только что толку? Карточки доступа оставляются на рабочих местах, потому что заботливая душа подперла уже давно дверь кирпичом. Охранник курит каждые 10 минут (а курение в офисе запрещено, потому он, как законопослушный гражданин бегает через все здание на улицу…).
А система видеонаблюдения ничего никуда не пишет, увы. И даже не просматривается. Вывод: в лучшем молоке оборудовании не всегда таится лучшая защита.
Биометрия
Сканеры отпечатков пальцев, сетчатки глаза и прочие средства биоаутентификации
являются, увы, так же малым утешением. Да, их все труднее и труднее обмануть, но… Есть одно маленькое но. Трудно это сделать, имея крайне ограниченные сроки, нежелание разломать ноутбук, на котором хранятся защищенные данным средством данные и не хочется, чтобы кто-то догадался, что произошел взлом. Короче, от любопытных домочадцев или еще более любопытных сослуживцев. На худой конец, от случайного воришки, для которого ценность самого ноутбука неизмеримо выше, чем стоимость данных на нем. Но от злоумышленника, который целенаправленно «увел» именно Ваш ноутбук (а потому уже давно владеет Вашими отпечатками пальцев – это несложно, если оно ему нужно), обладает определенными временными, финансовыми и техническими ресурсами, а главное – головой…. От такого вора эти технологии не спасут. Просто потому, что ему не нужно будет сохранять целостность устройства, а потому он может обманывать не датчик, который обмануть моет быть и впрямь не просто, а те 
устройства и программы, которые сверяют полученный от устройства сигнал с зашитым образцом. И это уже будет, возможно, намного проще. Я уже не говорю о возможности просто подключиться к винчестеру, если он не зашифрован и просто удалить эту систему защиты нафиг… Или даже просто прочитать данные.
Остается, правда, одна область, в которой биометрия очень даже поможет и указанные мной «уязвимости» ни на что в этой ситуации не влияют – стационарные пункты доступа к информации и/или пропускные пункты – тут уже особо не поразбираешь ничего.
Ссылки на публикации серии.
Часть 1: вводная
Часть 2: антивирус
Часть 3: Firewall
Часть 4: SSL
Часть 5: VPN + обновления
Часть 6: процедуры и регламенты + принцип наименьших полномочий
Часть 7: резервное копирование
Часть 8: контроль доступа и биометрия
Часть 9: шифрование
Часть 10: UAC
Сегодня ходил на пилотный экзамен 70-113. Можно не бросаться искать в каталоге – там его нет (то ли пока, то ли вообще). Реально это 70-640 с измененным способом тестирования. И это именно пилотный экзамен. Не бета. На деле за этот экзамен не выдадут сертификата, его цель просто понять, как и что нужно делать в Performance Based Testing (PBT), чтобы экзамен действительно оценивал уровень специалиста его сдающего.
Что представлял из себя сам экзамен и каковы мои ощущения от него? Сейчас расскажу. Только прошу учесть, что то, что я видел даже не бета версия, потому и цифры и прочие факты могут в последствии без всяких предупреждений измениться в любую сторону.
Экзамен делится на две части: лабораторные работы и стандартный multiple-choice тест. Про multiple-choice и сказать нечего – абсолютно все стандартно. Стандартный экзамен 70-640 (наверное ;) ) и стандратные “Вопрос - ответы”. А вот лабы… Лабы это то новое, чем собираются пугать дамперов и прочую нечисть… Лабы представляют из себя не привычные многим “симуляшки”, в которых зачастую можно было что-то сделать тольоко одним способом, а виртуальные машины, с созданной предварительно инфраструктурой, сетью, доменами и прочим барахлом. А ко всему этому хозяйству Вам дается несколько заданий. И Вы должны их выполнить, задания эти.
По моим ощущениям я бы предпочел сдавать экзамен, полностью состоящий из такого PBT. Почему? Отвечаю: в этих виртуалках доступен Help And Support Center!!! Нет, Вы только подумайте, есть задание, которое Вы не знаете как делать или забыли, куда конкретно лезть. Проблема? Отнюдь – спокойно идете в помощь, ищете, что нужно и читаете. Времени на это предостаточно, если большинство заданий сделано быстро. По моим наблюдениям, если знать ответы на все задания, что предложены этими лабами, то лаба выполняется за 20-30 минут. Остальное время можно потратить на самоусовершентсвование. В частности, из 18ти заданий лаб я с ходу не смог пройти 3. Итого, на решение двух задач у меня было около получаса, а на решение одной – почти сорок минут. Что не плохо, согласитесь (хотя если бы там еще библиотека TechNet была подмаунчена… Хых… Мечты… =)))) ) В общем, я не знаю, есть ли на свете идиоты, которые имея базовые знания по сдаваемой теме завалят всю лабу. Совсем дамперы без мозгов, наверное, поймаются. Более менее внятные люди должны пройти.
По поводу глюков: хоть происходило все это действие в софте Prometric глюков отмечено решительно не было. Возможно, повезло, возможно, ситуация меняется к лучшему.
И еще немного статистики. Я точно знаю, что она не помогает готовиться, но так же точно знаю, что некоторым помогает просто эмоционально настриться на экзамен:
1) Было две лабы и 37 вопросов в стандартной части теста.
2) На каждую часть выделялось по часу. Итого – три часа. Хватило с лихвой, потратил чуть больше полутора часов и то только потому, что в одном вопросе очень долго не был уверен. 
3) Заданий в первой лабе было 10, во второй – 8.
И последнее. Есть возможность испытать то, о чем я рассказываю самим. Регистрация на пилотную серию открыта до 17 декабря. Для этого нужно просто зарегистрироваться на экзамен 70-113 с промо-кодом H640. Зачем Вам это нужно? Ну, во-первых, интересно. А во вторых – первые 3000 кандидатов получат по три ваучера на бесплатные экзамены ;) На сей раз нормальные. Так что торопитесь =)
P.S. исходную информацию забыл: http://blogs.technet.com/mslcommunity/archive/2008/10/25/braindumps-schmaindumps.aspx
Многие, думаю, знают, что такое зеркалирование в MS SQL Server. Я тоже в курсе, мало того, часто приходится с этой технологией работать. Спасает она меня регулярно, но и подводные камни иной раз подставляет такие, что мама не горюй.
Например, в какой-то момент случилась такая вот оказия:
Перестает отвечать сервер principal. Мы его перезагрузили, но переключение зеркала не произошло, хотя и присутствовал witness. Мало того, после перезагрузки основного сервера у меня на руках оказалось два Principal… Да-да. Именно так мне и писалось. Увы, скриншот снять не догадался – не до того было ;)
Но на одном хосте состояние всех баз было “Principal, Disconnected”, а на втором “Principal, Disconnected/In Recovery” , по-моему.
Ужасная ситуация. Я начал с одной самой маленькой базы – удалил ее с основного хоста и стал восстанавливать зеркало. Восстановил базу на сервер с NORECOVERY и попытался запустить зеркало. Мастер Configure Security отработал на ура, но при попытке запустить зеркалирование я получил ошибку…
Опа… Какие-такие endpoints… Не брал. И Астрахань-то с Казанью вместе не брал, а уж endpoints… И вовсе не трогал. Начинаем ковыряться и находим статейку, с помощью которой видим, что все отлично работает:
Совсем упс… Пинговаться все пингуется, никаких внезапных файрволлов между узлами за те несколько минут, что все лежит тоже не появилось… Ужас. Совершенно непонятная ситуация, а время идет. Дальнейшее расследование нужного результата не давала. Даже нужный порт слушался на обоих серверах. Все было бессмысленным, надежда на премию таяла… И тут где-то промелькнула мысль, что, о ужас, строка, показанная на предыдущем скриншоте, может выдавать неверную информацию не только в случае, указанном в разделе Using The Error Log File For Diagnosis в последней ссылке. Итак, срочно запускаем
alter endpoint mirror state = started
на обоих серверах и – вуаля! Как только я это сделал, все старые базы просто-напросто заработали в штатном режиме зеркала, а та, где я успел убить зеркало дала его восстановить.
Глубинные причины происшедшего мне непонятны пока – расследование все еще ведется, но сам результат уже почти устраивает ;)
Резервное копирование.
Как говорится – последняя надежда. Да, если Вас взломали, уничтожили серверную или просто пользователь легким движением руки отправил важные для бизнеса документы в утиль («совершенно случайно нажал shift и delete одновременно сразу после ctrl+A…» (c)), то остается один шанс – резервная копия, она же уже прочно вошедшее в нашу лексику слово бекап. Казалось бы, чего проще, залил раз в неделю (в месяц, в день, в час, в 15 минут…) резервную копию на ленту, CD, DVD, винчестер и живи спокойно. Однако и тут выясняется, что есть над чем подумать – неправильная стратегия может привести к тому, что последняя надежда может оказаться кладбищем самой себя. Прямо таки скажем, могилой. Как? Легко!
Пример 1: Вы просто заливаете бекапы, не проверяя их, и забываете на своем рабочем столе. В итоге, в момент, когда приходит час «Ч» Ваши носители оказываются залиты кофе или потеряны. А еще на них нет меток что и на чем записано, и, пока Вы перетряхиваете их содержимое, Ваш бизнес медленно, но верно умирает вместе с надеждами встретить старость на этом теплом месте. =(
Пример 2: Вы ни разу не пытались произвести тестовое восстановление систем. А когда пришло время восстанавливать их «в бою» выяснилось, что:
1) нужной копии нет под рукой, и никто не знает, как ее найти.
2) Когда копия находится, Вы понимаете, что никогда не читали «disaster recovery guide» к этой системе и уж точно никто не написал инструкцию.
3) И как только нужный документ проштудирован (а время идет…) становится ясно, что именно нужная копия либо испорчена кофе, или имеет ошибки записи, или бекап производился по схеме, которая не дает возможности отката на нужное время.
Пример 3: Ваши бекапы украдены (ага, с того самого стола). И только после обнаружения пропажи выясняется, что копирование производилось без шифрования. А то и вовсе пропажа не обнаружится. А что может сделать злоумышленник с резервной копией Вашего контроллера домена, рассказать может Саша Станкевич.
Ссылки на публикации серии.
Часть 1: вводная
Часть 2: антивирус
Часть 3: Firewall
Часть 4: SSL
Часть 5: VPN + обновления
Часть 6: процедуры и регламенты + принцип наименьших полномочий
Часть 7: резервное копирование
Часть 8: контроль доступа и биометрия
Часть 9: шифрование
Часть 10: UAC
Очередное продолжение нескончаемой серии…
Процедуры и регламенты.
"если запретить пользователям все плохое, то сеть станет неуязвимой". Ага. Прямо сразу. Вот только носки погладит... Что, Ваша сеть не умеет гладить носки? Ну так и неуязвимой она тоже быть не умеет. И в любом случае, запреты сами по себе ничего не решают. У нас запрещено нарушать правила дорожного движения, и что? =(
Правила, запреты, регламенты и прочая бумажная белибердень очень важны. Без них не может быть безопасности. Пусть они не всегда оформлены в виде документов (что на самом деле хорошо бы), но там где нет правил - там нет безопасности. Однако и сказать, что наличие правил от чего-то защищает само по себе - тоже ерунда. Правила нужно:
Вот после этого комплекса мероприятий политика безопасности, если она была написана разумно, будет работать на благо безопасности Ваших данных.
Принцип наименьших полномочий.
"А вот мы пользователю админских прав не дадим и можно антивирус даже не ставить"... Защититься от дурака - можно. От изобретательного дурака - тоже, но на порядки сложнее. Защиты от пользователя, имеющего полный физический доступ к своему компьютеру задачи
архисложная. И лучше уж и права ограничить и антивирус поставить и вообще не расслабляться. Для компьютеров, на которых обрабатывается суперважная информация, можно и нужно еще и отдельный контроль надо всем и вся, а вот за обычными порой так пристально не следят.
Ссылки на публикации серии.
Часть 6: процедуры и регламенты + принцип наименьших полномочий
Часть 7: резервное копирование
Еще одна мегаполезная штука. Обеспечивает защиту данных при транзите. Отличная вещь и, при правильной реализации почти наверняка не подкопаешься. Однако, защищает только от того, чо я уже сказал: от перехвата и подделки данных в транзите. Если у Вас скомпрометирован один из узлов, участвующих в обмене, то в транзите данные будут в безопасности, но, как только они придут в пункт назначения, то тут же уйдут дальше - куда не надо. А еще, если лежит или заDOSен канал, то данные просто не передать, так что вопросы доступности эта технология так же не решает.
обратное мнение, что, мол, ставьте обновления сразу, как только они выходят и никто Вас не взломает... Увы, это тоже очевидная ересь и глупость. Во-первых, установка обновлений без тестирования на хоть сколько-нибудь значимое число компьютеров рано или поздно приведет к вполне предсказуемым (и неприятным, если кто не понял) последствиям. А во-вторых цикл разработки обновлений безопасности начинается (Вы не поверите) с того, что кто-то нашел уязвимость. И совсем не факт, что этот кто-то не ломает сейчас чью-то запатченную по самое не былуйся систему. Впрочем, таких талантов немного, к счастью для пользователей, потому обновления все-таки существенно снижают шансы на взлом. Ссылки на публикации серии.
Часть 6: процедуры и регламенты + принцип наименьших полномочий
Часть 7: резервное копирование
Продолжаем разговор.
SSL
Обалденно нужная вещь, но мало кто представляет, что она реально из себя представляет. Мы видим сверху в браузере адрес, высвеченный зеленым и мы в безопасности.
Ага. Щаз. Аж три раза. Валидность сертификата для пользователя означает только четыре вещи:
1) Срок действия сертификата не истек
2) Сертификат или выдан доверенным СА (коих по умолчанию настроено несколько) или помещен в список доверенных.
3) Имя, на которое выписан сертификат, совпадает с именем сайта, на который пользовтель зашел.
4) Трафик между пользователем и сайтом шифруется.
"Здорово!", скажете Вы, "чего еще желать?". И будете неправы. Видно ли хоть одно указание на то, что этот сайт именно тот, на который Вы желали попасть? Чтобы было яснее, приведу пример. Допустим, купил я сертификат у какого-нибудь VerySign на имя sitybank.com (имею право? имею. А правильное имя: Citybank). Забабахал сайт один в один как у Ситибанка и... Что происходит дальше? Правильно, при попадании на мой сайт Вы обнаружите, что ССЛ обеспечит только безопасную передачу Ваших "очень важных данных" данных мне.
Ну и не стоит забывать, что даже если сайт тот, что надо и сертификат виден, то это не отменяет вероятности того, что сайт был взломан и его контента или времен или ворует данные. Но это, к счастью, происходит относительно редко.
Ссылки на публикации серии.
Часть 6: процедуры и регламенты + принцип наименьших полномочий
Часть 7: резервное копирование
Что-то я совсем в “мысли вслух” и прочее балабольство ударился… Давайте разбавим это дело техническими мелочами… Ну и просто забавным =)
Представляете, ставите Вы Vista на VMWare. Ну поставили и поставили. По-умолчанию, без всяких изысков. А через некоторое время видите, что она в состоянии Suspended.
Хммм… Обойдя всех, что мог это сделать и получив в ответ “сам дурак – нам делать больше нечего, как туда ходить” Вы начинаете подозревать всех в мировом заговоре (Нет? Вы умнее? Вы давно про эту фишку знаете??? Ну… А я только сегодня сподобился. =) ), строить планы изощренной мести и… В общем, когда Вас, собравшись всем скопом все-таки убеждают, что никто никаких гадостей Вам не делал остается только думать – что же происходит в системе… Логи просто говорят, что вот, мол, перевожу в Suspended режим.
Мдя… Пренеприятнейшая ситуация и, похоже, что, если это и есть чья-то злая воля, то отнюдь не сослуживцев. Впору начинать верить в высшие силы. =)
А разгадка оказалась достаточно простой. Дело в том, что Vista по-умолчанию уходит через некоторое время в спячку. При этом VMWare отлавливает это событие и делает виртуалке Suspend. Так что, когда я пошел в котрольную панель и включил режим High Performance в Power Options… Что ж… Расследование могло занять и больше 20 минут =)
Итог: если Ваша виртуальная машина самостоятельно уходит в режим Suspended, то проверьте настройки электропитания гостевой системы.
Перейдем теперь к….
FireWall, Brandmauer, межсетевой экран.
При этих словах любой безопасник млеет и пускает слюну потирает руки: «сейчас я тут понастраиваю!!!». Увы, совсем не каждый умеет это делать. А неправильно настроенный файрволл это распахнутые врата в Вашу систему. Впрочем, это касается не только сетевых экранов. По статистике до 95% всех внешних проникновений в системы являются следствием неправильных настроек систем безопасности. И лишь 5% это различные уязвимости, не устраненные на момент взлома и прочие факторы. Вернемся тем временем к файрволлам: они должны быть настроены. Есть файрволлы, которые достаточно правильно настроены по-умолчанию, то есть допускают все (или только от соответствующих приложений) соединения наружу и никаких - внутрь. Здорово, если бы можно было оставить их в таком состоянии, но… мы ставим программы, которые нуждаются в сетевом доступе и мы работаем под администратором, позволяя установиться различным вредоносам… А зараженный компьютер не спасти экраном. Так же как не защитит нас и firewall, больше похожий на маасдам, чем на китайскую неприступную стену.
Кстати, а Ваш файрволл защищает от атак уровня приложений? А то ведь просто позакрывать порты – не выход. А разные умные вещи типа stateful inspection он умеет? А это реально честный inspection или он просто придуривается, отслеживая соединение только по паре сокетов? А IDS у Вас есть, или Вы узнаете, что Вас атакуют только по звонкам пользователей, у которых «интернет кончился»? В общем, сам по себе сетевой экран не панацея.
Ссылки на публикации серии.
Часть 6: процедуры и регламенты + принцип наименьших полномочий
Часть 7: резервное копирование
Те из Вас, мои читатели, кто сертифицирован, наверняка знают, что бывает такое явление, как Second Shot – бесплатная пересдача, если в первый раз провалился. И те, кто регистрировались на него, наверняка испытывали то же чувство, что где-то нам что-то недодали, в случае, если экзамен сдавался с первого раза. Ну как же… Вот те, кто не сдал – получают аж целую бесплатную попытку сдать еще раз, а я, такой умный и красивый, сдавший с первого раза на 1000 баллов – и не получил никакого бонуса. ОБМАН!!! =)
Корпорация Microsoft, видимо, телепатически догадалась о такой этической и психологической проблеме и предприняла шаги для исправления. Теперь это выглядит так (кликабельно):
Для еще большей наглядностью распишу словами:
1) Вы регистрируетесь на Second Shot до 31 декабря 2008.
2) Если Вы проваливаете свой экзамен, то можете сдать его бесплатно второй раз до 30 Июня 2009.
3) Если же Вы его сдали, то имеете 25% скидку на следующий экзамен, только использовать этот шанс нужно до 28 Февраля 2009.
Источник здесь.
Продолжаем разговор…
Антивирус (сюда же отнесем различные antimalware и иже с ними).
О, да, мне ли говорить о том, что антивирус не панацея… Тем не менее, антивирус не является абсолютной защитой даже от вирусов, не говоря уже о том, что он просто даже теоретически не может защитить от других угроз. Почему он может оказаться неэффективным против вирусов? Да потому что антивирус до сих пор защищает в основном от уже известных вредоносов. От новых он спасает крайне слабо (иначе уже давно бы закончились вирусные эпидемии) или вовсе не спасает. Потому что современные эвристические алгоритмы вынуждены балансировать между определением как можно большего числа неизвестных вирусов и минимальным числом ложных срабатываний. Больше ловим кода, который не вшит напрямую в базу данных => больше ловим ложных срабатываний. Из сказанного следует, что вероятность поймать что-то новенькое или эксклюзивное существует и она не так уж и мала. Я иногда наблюдаю вирусы, еще не опознанные ни одним из ряда широко известных антивирусов. Вывод: даже если открытка в исполняемом формате, пришедшая из неизвестного источника не вызывает немедленной вирусной тревоги, это не означает, что можно расслабиться – дайте ей вылежаться пару дней или отошлите подозрительное тело на e-mail, который отвечает за сбор всякой мрази в компании, антивирусом которой Вы пользуетесь (например, newvirus[at]Kaspersky[dot]com).
Кстати, а еще я много где видел, что пользователи имеют возможность отключать или деинсталлировать свои антивирусы…
Ссылки на публикации серии.
Часть 6: процедуры и регламенты + принцип наименьших полномочий
Часть 7: резервное копирование
