Тут просили фоточки. Получите =)
С учетом того, что запись я фатальной судорогой пальцев убил, больше ничего не будет. Но вроде бы все прошло нормально =)
#MCPClub: 4 апреля
4 апреля в офисе Microsoft на крылатском состоится мой очередной доклад. Тема: Dynamic Access Control.
Более подробный анонс тут: http://ineta.ru/moscowmcp/Meeting/2013-04-04-19-00
Регистрация там же.
Так как я тут немного болел, то презентация будет предельно короткая, зато я повторю несколько проагрейженную версию лабы с #RutechEd. А если у кого-то есть конкретные пожалания к показу, то высказывайте: постараюсь исполнить.
Продолжаем искать таланты.
Итак, после того, как я объявил набор себе в группу, в нее влилось уже два человека. Но я решил зохавать мир, потому мне нужно больше золота еще.
Повторюсь: нам нужно наличие бешенного любопытства и желания учиться и ковырять проблемы.
Предпочтительные, но вовсе не обязательные направления:
1) System Center
2) Private Cloud
3) AD
4) Hardware (SAN/Servers)
5) SQL
Ждем-с =)
Легенды и мифы ИТ #3: Как бы дать так, чтобы не дать
Еще одна вечная загадка, встречающаяся мне очень часто: как бы так дать все, чтобы дать не все. Это именно тот вопрос, который я часто вижу на разных форумах. Этот тот самый вопрос, который мне частенько задают лично. Задаётся он в разных формах. Наиболее часто он встречается в следующих формах:
1) Как дать пользователю права локального админа так, чтобы он не мог сделать <придумайте сами, что>?
2) Как мне запретить администратору домена доступ к <очень важной информации>?
Как правило, сразу после этого у меня возникает желание плеваться во все стороны ядовитой слюной, так что во избежание жертв я решил сделать место, куда всех буду посылать 
Для начала: предоставляя пользователю права администратора, Вы даете ему права на управление системой: в этом весь смысл. Что этот пользователь не в состоянии сделать прямо сейчас, на то он может выдать себе права. Точка.
В первом случае, единственная вещь, которую можно сделать, это наладить строгий аудит действий администратора. Причем, собираться и обрабатываться эта информация должна на системе, которая недоступна (я молчу про “управляема”) наблюдаемому пользователю, любой другой вариант типа “я выдам одминские права, но запрещу доступ к подсистеме X” обречен на провал.
Второй случай посложнее, поскольку обсуждаемые системы, как правило, распределенные. И все же, в них можно сделать не сильно больше, чем в предыдущем случае. Снова: жесткий аудит без малейших шансов у администратора поиграться с ним. Есть, конечно, варианты, типа построения изолированной от обсуждаемого администратора системы, которая, скажем, шифрует важные данные. Но это сложно и дорого: ведь система должна быть действительно изолированна: вплоть до отдельного рабочего места для людей, который с этими данными работают. А иначе какой-нибудь pass-the-hash или другой сюрприз и все: данные ушли.
Так что, на самом деле, только аудит может вам помочь против врага в лице администратора. Следовательно, просто не давайте этих прав тем, кто их не заслуживает.
Есть еще идеи?
#RutechEd: Отвечаю на вопросы, часть II
Ну и последние два заданные мне вопроса.
1) Один из участников лабораторной работы прочитал где-то о том, чтотеперь классификацией может заниматься пользователь без полномочий администратора, однако у этого посетителя TechEd ничего не вышло. Вот результаты моих изысканий:
i. Любой пользователь не может менять классификацию удаленно через Explorer. (ну или я не смог этого добиться)
ii. Любой пользователь, имеющий права на файлы и папки, сможет править классификацию локально или через терминальную сессию. Насколько я понял, “неадминистратор может править классификацию” относится к работе инструментария, предназначенного для автоматической классификации файлов: этим инструментам теперь права администратора и впрямь ни к чему.
2) Ну и последний для меня вопрос этого TechEd (кроме не затихающего в twitter уже два месяца “а какие рюкзаки будут?”): можно ли для классификации файлов использовать Orchestrator?
Я задал вопрос Васе Гусеву. Слегка купированный ответ:
“1. Оркестратором можно всё (что можно как то еще ). Это ведь можно делать с помощью PowerShell’а? Тогда просто добавляем активность Run .NET Script, и в неё запихиваем скрипт на пошике.
——-
лирика
———
3. А вообще, мне кажется это лучше делать с помощью фичи сервера, которая постоянно мониторит шары, не помню как она там называется. Оркестратор при большом объеме файлов (и даже при среднем) будет очень узким местом в плане производительности и скорости установки этих атрибутов.”
Так что ответ: “да, но нафиг нужно” =)
З.Ы. Фича, которой не помнит Вася, называется Data Classification Toolkit 
Мы ищем таланты:
Ну вот теперь моя очередь для таких публикаций. В подразделение, где я работаю, в этом году потребуется несколько человек.
Кто нам нужен:
1) Либо зубр в технологиях MS и смежных
2) Либо человек, который только недавно начал свою карьеру, но готов в кратчайшие сроки научиться “всему”.
В любом случае, это должен быть человек, который:
- -жаден до новых знаний
- -не “практик” (люди, считающие, что знание ролей Exchange 2010 это глухая, никому не нужная теория, потому что “а чо, я поставил эксчангу в одной конторе – почта ходит”, нам не нужны)
- -умеет общаться и понимает задачи, решаемые сервисами а не функции, выполняемые ими
- -готов отвечать за свой сервис, развивать его, холить и лелеять без указующего перста руководителя, а иногда вопреки таковому
В первой пачке мне нужен человек, хорошо разбирающийся в AD и имеющий знания в чем-нибудь из набора System Center, Hyper-V, UC, IIS и прилегающих областях. Потом, требования будут расширены на всяческие SQL, так как к набору подключится вторая группа из нашего отдела.
Отдел этот занимается планированием, внедрением, поддержкой и развития сервисов Лаборатории Касперского в той их части, что основывается на платформе Windows, соответственно и успешный кандидат будет заниматься тем же.
Формальное описание этой вакансии можно посмотреть, например, тут:
http://www.kaspersky.ru/job?chapter=207367776&xvacid=204893397
Вот эти тоже мои:
На всякие требования типа высшего образования и опыта работы можете внимания особо не обращать, если чувствуете, что можете 8) А даже если и не можете, то там рядом есть вакансии на дежурного администратора и куча других.
Чего ждать в процессе найма:
1) Интервью с HR + технический тест
3) Интервью с нашими спецами и будущим руководителем.
Последнее может быть, теоретически разбито на две части, но я очень стараюсь их объединять и до сих пор всегда умудрялся: чего человека лишний раз гонять =)
Чего ждать в случае успешного прохождения:
Ну во-первых того, что написано в позиции и у нас на сайте. Не, правда =)
Во-вторых, у нас тут болото. Точно. За пять с лишним лет из группы, в которой я работаю, ушло 2 человека. Один вернулся 
Ну то есть, по этому признаку, нам вполне себе неплохо.
В-третьих, мы третья линия: после нас только разработчики и MS. Мне было очень интересно, пока я был админом. Возможностей развиваться хватает, интересных задач тоже. Судя по количеству багов, которые мы находим в разном ПО часть из этих задач уникальны или около того.
В качестве руководителя – я. Потом, возможно, еще мой напарник.
Вот, вроде, и все.
Я готов отвечать на вопросы тут, в твиттере и по почте alexander[dot]trofimov[at]live[dot]com.
P.S. Если у вас в Лаборатории работает приятель, то он может порекомендовать вас, в этом случае после прохождения вами испытательного срока ему капнет маленький, но приятный бонус (так как напрямую я к себе в группу рекомендовать не могу, то 20% мои 
Шутка, мне хватит просто хорошего человека в группе)
#RuTeched: Отвечаю на вопросы. Будет ли работать Dynamic Access Control при использовании репликации?
Как я уже сказал, мои лабы на TechEd вполне удались, но все же я не смог ответить на ряд вопросов и пообещал сделать это позже, когда разберусь. Что ж, время пришло. Один из посетителей сказал мне, что в его опыте был случай, когда какое-то свойство файла не было отреплицировано через DFSR и поинтересовался, не поломается ли от репликации DAC. Я, разумеется мог поставить эксперимент (и сделаю это, на самом деле), но он только ответил бы на вопрос: “да” или “нет”. Ну или “возможно”. Но вряд ли бы он дал мне ответ на вопрос “почему?”. Так как я вовсе не на короткой ноге с репликацией файлов, мне пришлось просить помощи и я знал точное место, где ее можно было найти: блог AskDS.
Ответ пришел весьма быстро. Вкратце: “все будет супер”. Длинный ответ (в моем переводе) идет дальше:
“Позвольте мне уточнить некоторые аспекты вашего вопроса и ответить на каждую часть
При включении Dynamic Access Control для папок и файлов, следует рассматривать несколько аспектов.
Resource Properties
- Resource Properties определены в AD и используются в качестве шаблонов, чтобы проставить на файлы и папки дополнительные метаданные, которые могут использоваться в принятии решений об авторизации доступа. Эта информация хранится в дополнительных потоках данных (alternate data stream) папки или файла. И эта информация будет отреплицирована так же, как и дескриптор безопасности.
Security Descriptor
Как уже было сказано, они реплицируются вместе с файлом, так что все условия будут отреплицированы вместе с ними.
Все это никак не привязано к Dynamic Access Control—это просто результат репликации, к примеру, в случае репликации DFSR DAC не имеет никакого отношения к этим результатам.
Central Access Policy
Central Access Policy это способ распространить разрешения без внедрения их нпрямую в DACL дескриптора безопасности. Так что, когда Central Access Policy развернута на сервере, администратор должен прилинковать политику к папке на файловой системе. Это линкование осуществляется вставлением специального ACE в часть дескриптора безопасности, отвечающую за аудит и говорит Windows, что этот файл или папка защищены с помощью Central Access Policy. Вследствии этого разрешения в Central Access Policy комбинируются с разрешениями Share и NTFS, чтобы получить итоговые разрешения.
Если файл или папка реплицируются на файловый сервер, который не имеет развернутой Central Access Policy, то DAC, очевидно, не применяется и разрешения так же не будут применяться.
Спасибо ребятам из этого блога: они лучшие 
#RutechEd: Результаты лабораторных работ.
Я только что получил результаты опроса по своим лабораторным работам с TechEd Russia. И результаты меня даже не удивили, они меня шокировали! Обе мои лабы в Топ5, а одна просто первая!
«Очуметь!!!» (с) =)
Так что огромное спасибо за такие высокие оценки посетителям. Вы мне задали такую высокую планку на следующий год, что я уже начинаю готовиться =)
Не меньшее спасибо организаторам и людям, которые создавали сами лабораторные работы: одна из двух оценок, формирующих мою итоговую – ваша. Мои оценки за мастерство:
DirectAccess: 9 из 9
Dynamic Access Control: 8.55 из 9
MCPClub: послевстречие
13 декабря мы завершили сезон года в Московском MCP-Клубе моим выступлением. Передо мной Олег Ржевский рассказал о том, почему прекращается производство TMG, а находившийся там же Алексей Голбергс о том, “как это было”.
Потом уже настала моя пора, и я на почти два часа увел аудиторию в обуждение DirectAccess 2012, и почему стоит теперь задуматься о внедрении, даже если предыдущая версия Вас не заинтересовала.
Аудитория, как всегда, была великолепна: они прощали мне мои маленькие ошибки, местами знали о предмете больше меня (зачем онии вообще в таком раскладе приходят? Видимо, это все-таки стало Клубом 
), и все такое. В общем, мне понравилось, надеюсь, что им тоже.
А сейчас я обрабатываю запись (увы, потерялось видео демонстрации, я выбрал неправильный режим записи. Надеюсь, что сможем восстановить). Ждите.
MCP-Клуб 13 декабря: DirectAccess 2012
Олег Ржевский уговорил меня на авантюру: выступить на MCP-в Москве практически без подготовки. К счастью, я вел лабораторную работу на TechEd по этой теме, так что хоть что-то рассказать да смогу, ну и блокнот возьму с собой: записывать вопросы, на которые не знаю ответа 
Координаты и анонс тут и еще в куче мест.
Ну и тут на всякий случай:
Точный адрес: Microsoft Россия, Бизнес-центр Крылатские холмы (Москва, ул. Крылатская, д. 17, корп. 1, ближайшая ст. метро – Крылатское)
13 декабря в 19.00. Я постараюсь не опаздывать 8)
