Active Directory - szybki start - bezpieczeństwo
Wstęp
Do zagadnień związanych z bezpieczeństwem można podejść na wiele sposobów. Poniżej omówię i dwa podejścia i przećwiczymy dwa tematy z tym związane.
Podział bezpieczeństwa
W moim rozumieniu bezpieczeństwo można podzielić na dwie kategorie. Jedna kategoria mówi o tym, że usługi świadczone przez serwer (dla przykładu), muszą być dostępne w czasie kiedy ktoś z nich korzysta. Czyli jak nam się popsuje serwer to jest to zagrożenie - niebezpieczeństwo dla zachowania procesów biznesowych. Poniżej przykład.
Mamy serwer a na nim mamy bazę danych powiedzmy Firebird, mamy również stanowisko pracownika który ma kasę fiskalną. Na komputerze użytkownika mamy uruchomioną aplikację do fakturowania która korzysta z bazy danych na serwerze - zdejmuje nam ze stanu produkty które sprzedaliśmy, robi wstępne księgowania itd. Nie wdając się w szczegóły, mamy tutaj proces biznesowy sprzedaży produktów w jakimś sklepie. Naszym zadaniem jest zapewnienie działania usług (bazy danych, aplikacji, komputerów, serwera, kabli sieciowych, switchy, prądu itd) od których ten proces jest zależny. Niebezpieczeństwo przy takim podejściu definiuje się szacowaną wysokością strat w złotówkach za każdą godzinę kiedy proces nie może zachodzić - czyli nie sprzedajemy. Wychodzi powiedzmy 300 zł za każdą godzinę. Na tej podstawie możemy określić z ewentualnym serwisem (albo z nami jeżeli jesteśmy zewnętrzną firmą świadczącą takie usługi) czasy w umowie serwisowej.
Teraz drugie podejście. To bezpieczeństwo danych. Zakładamy, że mamy taką samą firmę jak w przykładzie powyżej. Teraz jakiś sprytny gość włamał nam się do naszego WiFi, dobrał się do naszej bazy danych i podgląda co sprzedajemy i w jakich cenach. Otwiera swój biznes obok i sprzedaje tylko takie produkty których nie mamy na stanie oraz te które najlepiej się nam sprzedają ale po cenach niższych o grosze. Dodatkowo widzi ile czego mamy na stanie. My o tym w ogóle nie wiemy. To jest niebezpieczeństwo również wpływające na biznes ale nie w bezpośredni sposób. Musimy więc zadbać o to, żeby nikt nie korzystał z zasobów z których korzystać nie może oraz wtedy kiedy nie może. Aby to zapewnić musimy dbać o poprawność konfiguracji szczegółowych zabezpieczeń o których już była mowa w poprzednich częściach.
Mam nadzieję, że rozumiecie, że bezpieczeństwo jest to zapewnienie, że biznes się po prostu poprawnie kręci.
Zadania na dzisiaj
Przychodzi szef i mówi nam, że Pani Krysia Złotówka może się logować tylko na komputerze PC01 i to tylko w godzinach pracy. Szef również mówi, że dobrze by było gdybyśmy mieli możliwość jakoś w prosty sposób odzyskać pliki z dysku księgowości jak ktoś przypadkiem je usunie albo nadpisze. W ogóle w przypadku awarii sprzętu musimy mieć możliwość odzyskania danych i to w miarę szybko - szef nigdy nie określa jak szybko ale jak to określa szef to oznacza, że natychmiast.
No i zdarzył się incydent w administracji. Ktoś w nocy nadrukował tam jakiś pewnie prywatnych rzeczy aż do wyczerpania toneru. Szef mówi, żeby zrobić tak, żeby można było drukować tylko od 8:00 do 17:00 a w pozostałych godzinach długopis i kartka.
No dobra podsumujmy:
1. możliwość drukowania tylko w godzinach 8:00 - 17:00
2. kzlotowka może logować się tylko na PC01, tylko w godzinach od 8:00 - 16:00
3. musimy zapewnić jakiś mechanizm szybkiego odzyskiwania plików na dysku księgowości
4. musimy zapewnić kopię zapasową serwera
No to zaczynamy!
1. Drukujemy tylko w godzinach 8:00 - 17:00
Jak to osiągnąć? Możemy usuwać i dodawać użytkowników do grup jakimś mechanizmem (harmonogramem zadań), ale nie będzie to działało tak fajnie i dynamicznie jak byśmy chcieli bo użytkownicy będą musieli się przelogowywać itd. Bardzo upierdliwe. Odpada. Koncepcja numer dwa to pomysł, żeby jakoś bardziej dynamicznie wyłączać dostęp do drukarki. Ok zgadza się. Zaglądamy do opcji udostępniania drukarki.
O kurczę! Mamy od razu takie ustawienia, ustawiamy tak jak wyżej. Pierwszy punkt z głowy! Jedziemy dalej!
2. Krystyna Złotówka może logować się tylko na PC01 i tylko w godzinach pracy
Ok wyszukajmy ją w AD UaC (Active Directory Users and Computers), konsolkę odpalamy z Server Manager oczywiście.
W zakładce Account (powyżej), mamy takie przyciski jak Logon Hours oraz Log On To. Ustawiamy tam nasze żądane opcje.
godziny...
oraz komputer...
Zatwierdzamy i zamykamy. Zrobione! Oczywiście powinniśmy sprawdzić czy to działa...
Uruchamiamy PC01 jest godzina 20:00... No i Pani Krysia może się zalogować... Dlatego, że niestety te ustawienia też nie są odświeżane na żywo. Musimy czekać aż "załapią". Dodatkowo po upływie czasu jeżeli Pani Krysia będzie zalogowana to jej z komputera system automatycznie nie wyloguje, będzie mogła pracować dopóki się nie wyloguje sama, natomiast kolejne logowania powinny już zabronione. Tak to wygląda:
No ale zaraz na PC01 dalej może się logować... Ok a na serwerze - jeżeli ustawiamy wszystko na serwerze przez RDP, jaką mamy ustawioną strefę czasową? Zmieńmy strefę na prawidłową i poprawmy godziny. Zadziała napewno. Po weryfikacji...
3. Musimy zapewnić jakiś mechanizm szybkiego odzyskiwania plików na dysku księgowości
Mechanizm który wykorzystamy nazywa się "kopie w tle" lub "shadow copy", no to jedziemy.
Wchodzimy we właściwości dysku w którym mamy udostępniony folder (ustawienia są na dysk/partycję).
No i możemy ustawić tak jak na screen-ach. W pierwszym oknie w ogóle włączamy cały mechanizm przyciskiem Enable, w Settings ustawiamy limit miejsca jaki przeznaczamy na takie kopie. Następnie możemy zdefiniować harmonogram, ja dodałem dwa zadania. Jedno zadanie to kopia o 7 rano codziennie (pamiętajcie o ustawionej strefie czasowej), a drugie zadanie to codzienna kopia o 12:00.
To w zasadzie wszystko... Co z tym możemy zrobić? Zobaczymy... Po czasie po którym harmonogram zrobi nam kopię lub dwie zaglądamy do właściwości folderu i przechodzimy na zakładkę previous versions (poprzednie wersje).
No i widać, że mamy kopię z konkretnej daty. Możemy otworzyć sobie stan tego folderu z konkretnego dnia, możemy również wykonać sobie kopię z danego dnia w inne miejsce oraz przywrócić stan folderu na dany dzień. Pamiętajcie, że to nie jest kopia zapasowa ale podręczne narzędzie do ratowania tyłka. Teraz na tym dysku (u mnie akurat C:\ co jest złe - powinniśmy trzymać udziału na innych dyskach) wszystkie foldery oraz pliki zawierają swoje poprzednie wersje zgodnie z limitem miejsca który ustawiliśmy na te kopie. Polecam poeksperymentować sobie na jakiś nieistotnych danych działanie tego mechanizmu. Pamiętajmy też, że użytkownicy również dostali możliwość przywracania i otwierania kopii (działa im po prostu ta zakładka).
Przejdźmy dalej...
4. Musimy zapewnić kopię zapasową serwera czyli Windows Backup
Żeby w ogóle zacząć zainstalujmy sobie taką funkcjonalność jak Windows Backup. W Server Manager klikamy Add Roles and Features. Wybieramy instalację w oparciu o role, oraz serwer (sdc1) i przechodzimy do ról, tutaj nic nie zaznaczamy, przejdźmy dalej do funkcjonalności, tutaj zaznaczamy Windows Server Backup.
Zatwierdzamy instalację...
Następnie w Server Manager z menu Tools uruchamiamy konsolkę Windows Server Backup.
Jak widać nie wykonujemy kopii serwera. Pewnie wszyscy znacie powiedzenie o kopiach.
"Administratorzy dzielą się na dwie grupy, Ci którzy robią kopie zapasowe i Ci którzy będą robić"
Ok, co teraz? Zastanówmy się co chcemy osiągnąć? Proponuję kopiować cały serwer na dysk który będzie służył tylko na kopie zapasowe. Tak więc zróbmy.
Z menu możemy wybrać Wykonywanie kopii zapasowej w harmonogramie, wykonanie kopii raz, przywracanie kopii oraz ustawienia wydajności. Aby nie przeciągać zróbmy sobie harmonogram kopii. Wybieramy zatem Backup Schedule.
Wybieramy tak jak wyżej pełną kopię zapasową. W następnym kroku określamy kiedy ma się wykonywać, zależnie od naszych potrzeb ustalamy harmonogram. Następnie wybieramy miejsce docelowe dla kopii zapasowej.
Możemy ustawić kopię na dedykowany dysk, na wskazany volumen (partycja) lub na udział sieciowy. Tak naprawdę najlepszą opcją jest udział sieciowy na innym serwerze a najlepiej jeszcze w innej lokalizacji fizycznej tak żeby w przypadku zalania serwerowni lub jakiś zdarzeń z prądem kopia leżała sobie gdzieś bezpieczna. Do nauki jestem zmuszony wybrać tutaj dedykowany dysk, tak też wybieram i przechodzę dalej.
Zaznaczamy dysk który chcemy wykorzystać pod kopie (zostanie sformatowany). Przeglądamy podsumowanie.
Okazuje się, że będziemy mieli w kopii zapasowej Bare metal recovery (czyli możliwość odzyskania systemu operacyjnego na czysty sprzęt), EFI - zawartość nowego "biosu". Oraz inne elementy w tym System state w którym znajduje się aktualny stan systemu - ustawienia itd. Czyli mamy kompletną kopię. Klikamy finish. O godzinie w której ma się wykonać kopia obserwujemy sobie jak się wykonuje. Z naszego serwera korzystają użytkownicy więc nie będziemy nic z nim robić ale tak naprawdę powinniśmy w pierwszej chwili sobie zapewnić taką kopię i opracować sposób postępowania w przypadku awarii. Wypisać sobie krok po kroku co mamy zrobić, żeby odzyskać taki system. Powinniśmy też zapewnić wszystkie niezbędne informacje do odzyskania systemu - ewentualne hasła, ścieżki gdzie są kopie itd. Poświęcę osobny odcinek na pokaz awarii oraz odzyskiwania.
Podsumowanie
Wykonaliśmy wszystkie zalecenia szefa oraz zabezpieczyliśmy sobie serwer cyklicznymi kopiami zapasowymi. Cóż nam pozostaje... Przechodzimy do kolejnej części gdzie mam nadzieję, nauczymy się również czegoś ciekawego. Zapraszam.
Brak komentarzy:
Prześlij komentarz