Архив за месяц: Январь 2013

Легенды и мифы ИТ #3: Как бы дать так, чтобы не дать

clip_image001Еще одна вечная загадка, встречающаяся мне очень часто: как бы так дать все, чтобы дать не все. Это именно тот вопрос, который я часто вижу на разных форумах. Этот тот самый вопрос, который мне частенько задают лично. Задаётся он в разных формах. Наиболее часто он встречается в следующих формах:

1) Как дать пользователю права локального админа так, чтобы он не мог сделать <придумайте сами, что>?

2) Как мне запретить администратору домена доступ к <очень важной информации>?

Как правило, сразу после этого у меня возникает желание плеваться во все стороны ядовитой слюной, так что во избежание жертв я решил сделать место, куда всех буду посылать ;)

Для начала: предоставляя пользователю права администратора, Вы даете ему права на управление системой: в этом весь смысл. Что этот пользователь не в состоянии сделать прямо сейчас, на то он может выдать себе права. Точка.

В первом случае, единственная вещь, которую можно сделать, это наладить строгий аудит действий администратора. Причем, собираться и обрабатываться эта информация должна на системе, которая недоступна (я молчу про “управляема”) наблюдаемому пользователю, любой другой вариант типа “я выдам одминские права, но запрещу доступ к подсистеме X” обречен на провал.

Второй случай посложнее, поскольку обсуждаемые системы, как правило, распределенные. И все же, в них можно сделать не сильно больше, чем в предыдущем случае. Снова: жесткий аудит без малейших шансов у администратора поиграться с ним. Есть, конечно, варианты, типа построения изолированной от обсуждаемого администратора системы, которая, скажем, шифрует важные данные. Но это сложно и дорого: ведь система должна быть действительно изолированна: вплоть до отдельного рабочего места для людей, который с этими данными работают. А иначе какой-нибудь pass-the-hash или другой сюрприз и все: данные ушли.

Так что, на самом деле, только аудит может вам помочь против врага в лице администратора. Следовательно, просто не давайте этих прав тем, кто их не заслуживает.

Есть еще идеи?

Реклама

#RutechEd: Отвечаю на вопросы, часть II

imageНу и последние два заданные мне вопроса.

1) Один из участников лабораторной работы прочитал где-то о том, чтотеперь классификацией может заниматься пользователь без полномочий администратора, однако у этого посетителя TechEd ничего не вышло. Вот результаты моих изысканий:

i. Любой пользователь не может менять классификацию удаленно через Explorer. (ну или я не смог этого добиться)

ii. Любой пользователь, имеющий права на файлы и папки, сможет править классификацию локально или через терминальную сессию. Насколько я понял, “неадминистратор может править классификацию” относится к работе инструментария, предназначенного для автоматической классификации файлов: этим инструментам теперь права администратора и впрямь ни к чему.

2) Ну и последний для меня вопрос этого TechEd (кроме не затихающего в twitter уже два месяца “а какие рюкзаки будут?”): можно ли для классификации файлов использовать Orchestrator?

Я задал вопрос Васе Гусеву. Слегка купированный ответ:

“1. Оркестратором можно всё (что можно как то еще ;)). Это ведь можно делать с помощью PowerShell’а? Тогда просто добавляем активность Run .NET Script, и в неё запихиваем скрипт на пошике.

——-

лирика

———
3. А вообще, мне кажется это лучше делать с помощью фичи сервера, которая постоянно мониторит шары, не помню как она там называется. Оркестратор при большом объеме файлов (и даже при среднем) будет очень узким местом в плане производительности и скорости установки этих атрибутов.”

Так что ответ: “да, но нафиг нужно” =)

З.Ы. Фича, которой не помнит Вася, называется Data Classification Toolkit Winking smile

Мы ищем таланты:

clip_image001Ну вот теперь моя очередь для таких публикаций. В подразделение, где я работаю, в этом году потребуется несколько человек.

Кто нам нужен:

1) Либо зубр в технологиях MS и смежных

2) Либо человек, который только недавно начал свою карьеру, но готов в кратчайшие сроки научиться “всему”.

В любом случае, это должен быть человек, который:

  • -жаден до новых знаний
  • -не “практик” (люди, считающие, что знание ролей Exchange 2010 это глухая, никому не нужная теория, потому что “а чо, я поставил эксчангу в одной конторе – почта ходит”, нам не нужны)
  • -умеет общаться и понимает задачи, решаемые сервисами а не функции, выполняемые ими
  • -готов отвечать за свой сервис, развивать его, холить и лелеять без указующего перста руководителя, а иногда вопреки таковому ;)

В первой пачке мне нужен человек, хорошо разбирающийся в AD и имеющий знания в чем-нибудь из набора System Center, Hyper-V, UC, IIS и прилегающих областях. Потом, требования будут расширены на всяческие SQL, так как к набору подключится вторая группа из нашего отдела.

Отдел этот занимается планированием, внедрением, поддержкой и развития сервисов Лаборатории Касперского в той их части, что основывается на платформе Windows, соответственно и успешный кандидат будет заниматься тем же.

Формальное описание этой вакансии можно посмотреть, например, тут:

http://www.kaspersky.ru/job?chapter=207367776&xvacid=204893397

Вот эти тоже мои:

http://hh.ru/vacancy/7116103

http://hh.ru/vacancy/7114822

На всякие требования типа высшего образования и опыта работы можете внимания особо не обращать, если чувствуете, что можете 8) А даже если и не можете, то там рядом есть вакансии на дежурного администратора и куча других.

Чего ждать в процессе найма:

1) Интервью с HR + технический тест

3) Интервью с нашими спецами и будущим руководителем.

Последнее может быть, теоретически разбито на две части, но я очень стараюсь их объединять и до сих пор всегда умудрялся: чего человека лишний раз гонять =)

Чего ждать в случае успешного прохождения:

Ну во-первых того, что написано в позиции и у нас на сайте. Не, правда =)

Во-вторых, у нас тут болото. Точно. За пять с лишним лет из группы, в которой я работаю, ушло 2 человека. Один вернулся clip_image002 Ну то есть, по этому признаку, нам вполне себе неплохо.

В-третьих, мы третья линия: после нас только разработчики и MS. Мне было очень интересно, пока я был админом. Возможностей развиваться хватает, интересных задач тоже. Судя по количеству багов, которые мы находим в разном ПО часть из этих задач уникальны или около того.

В качестве руководителя – я. Потом, возможно, еще мой напарник.

Вот, вроде, и все.

Я готов отвечать на вопросы тут, в твиттере и по почте alexander[dot]trofimov[at]live[dot]com.

P.S. Если у вас в Лаборатории работает приятель, то он может порекомендовать вас, в этом случае после прохождения вами испытательного срока ему капнет маленький, но приятный бонус (так как напрямую я к себе в группу рекомендовать не могу, то 20% мои Winking smile Шутка, мне хватит просто хорошего человека в группе)