Архив рубрики: TechEd

#RutechEd: Отвечаю на вопросы, часть II

imageНу и последние два заданные мне вопроса.

1) Один из участников лабораторной работы прочитал где-то о том, чтотеперь классификацией может заниматься пользователь без полномочий администратора, однако у этого посетителя TechEd ничего не вышло. Вот результаты моих изысканий:

i. Любой пользователь не может менять классификацию удаленно через Explorer. (ну или я не смог этого добиться)

ii. Любой пользователь, имеющий права на файлы и папки, сможет править классификацию локально или через терминальную сессию. Насколько я понял, “неадминистратор может править классификацию” относится к работе инструментария, предназначенного для автоматической классификации файлов: этим инструментам теперь права администратора и впрямь ни к чему.

2) Ну и последний для меня вопрос этого TechEd (кроме не затихающего в twitter уже два месяца “а какие рюкзаки будут?”): можно ли для классификации файлов использовать Orchestrator?

Я задал вопрос Васе Гусеву. Слегка купированный ответ:

“1. Оркестратором можно всё (что можно как то еще ;)). Это ведь можно делать с помощью PowerShell’а? Тогда просто добавляем активность Run .NET Script, и в неё запихиваем скрипт на пошике.

——-

лирика

———
3. А вообще, мне кажется это лучше делать с помощью фичи сервера, которая постоянно мониторит шары, не помню как она там называется. Оркестратор при большом объеме файлов (и даже при среднем) будет очень узким местом в плане производительности и скорости установки этих атрибутов.”

Так что ответ: “да, но нафиг нужно” =)

З.Ы. Фича, которой не помнит Вася, называется Data Classification Toolkit Winking smile

#RuTeched: Отвечаю на вопросы. Будет ли работать Dynamic Access Control при использовании репликации?

imageКак я уже сказал, мои лабы на TechEd вполне удались, но все же я не смог ответить на ряд вопросов и пообещал сделать это позже, когда разберусь. Что ж, время пришло. Один из посетителей сказал мне, что в его опыте был случай, когда какое-то свойство файла не было отреплицировано через DFSR и поинтересовался, не поломается ли от репликации DAC. Я, разумеется мог поставить эксперимент (и сделаю это, на самом деле), но он только ответил бы на вопрос: “да” или “нет”. Ну или “возможно”. Но вряд ли бы он дал мне ответ на вопрос “почему?”. Так как я вовсе не на короткой ноге с репликацией файлов, мне пришлось просить помощи и я знал точное место, где ее можно было найти: блог AskDS.

Ответ пришел весьма быстро. Вкратце: “все будет супер”. Длинный ответ (в моем переводе) идет дальше:

“Позвольте мне уточнить некоторые аспекты вашего вопроса и ответить на каждую часть

При включении Dynamic Access Control для папок и файлов, следует рассматривать несколько аспектов.

Resource Properties

— Resource Properties определены в AD и используются в качестве шаблонов, чтобы проставить на файлы и папки дополнительные метаданные, которые могут использоваться в принятии решений об авторизации доступа. Эта информация хранится в дополнительных потоках данных (alternate data stream) папки или файла. И эта информация будет отреплицирована так же, как и дескриптор безопасности.

Security Descriptor

Как уже было сказано, они реплицируются вместе с файлом, так что все условия будут отреплицированы вместе с ними.

Все это никак не привязано к Dynamic Access Control—это просто результат репликации, к примеру, в случае репликации DFSR DAC не имеет никакого отношения к этим результатам.

Central Access Policy

Central Access Policy это способ распространить разрешения без внедрения их нпрямую в DACL дескриптора безопасности. Так что, когда Central Access Policy развернута на сервере, администратор должен прилинковать политику к папке на файловой системе. Это линкование осуществляется вставлением специального ACE в часть дескриптора безопасности, отвечающую за аудит и говорит Windows, что этот файл или папка защищены с помощью Central Access Policy.  Вследствии этого разрешения в Central Access Policy комбинируются с разрешениями Share и NTFS, чтобы получить итоговые разрешения.

Если файл или папка реплицируются на файловый сервер, который не имеет развернутой Central Access Policy, то DAC, очевидно, не применяется и разрешения так же не будут применяться.

Спасибо ребятам из этого блога: они лучшие Winking smile

#RutechEd: Результаты лабораторных работ.

techEdHeaderLogo

Я только что получил результаты опроса по своим лабораторным работам с TechEd Russia. И результаты меня даже не удивили, они меня шокировали! Обе мои лабы в Топ5, а одна просто первая!

«Очуметь!!!» (с) =)

Так что огромное спасибо за такие высокие оценки посетителям. Вы мне задали такую высокую планку на следующий год, что я уже начинаю готовиться =)

Не меньшее спасибо организаторам и людям, которые создавали сами лабораторные работы: одна из двух оценок, формирующих мою итоговую – ваша. Мои оценки за мастерство:

DirectAccess: 9 из 9

Dynamic Access Control: 8.55 из 9

#RuTechEd закончился

IMG_6100

TechEd Russia завершил свою работу. На этот раз я был слишком занят, чтобы побыть нормальным посетителем: в первый день мы с Андреем Бешковым готовили свою презентацию и демонстрации, а во второй я значала проверял лабораторный работы, потом проводил их, а потом… Потом TechEd закончился =)

Чем я занимался? А вот чем:

1) Презентация. За кулисами Advanced Persistent Threat. К сожалению я не очень доволен своей частью выступления, Буду исправляться. Хотя я надеюсь, что посетители не заметили, тем более, что демонстрации, в общем-то прошли без проблем.

2) Лабораторная работа по Dynamic Access Control. Достаточно простая, хотя и содержащая множество мелких деталей. Мне кажется все удалось, все проблемы у “студентов” мы решили мгновенно. 

3) Вторая лабораторная работа была по DirectAccess. На этот раз без проблем не обошлось, но в конечном счете почти все справились с ней.

В целом, я собой почти доволен, хотя и сильно завидую тем, кто мог позволить себе просто походить послушать докладчиков =)

Жду оценок посетителей, возможно, там будет о чем еще подумать.

Немного фото:

IMG_0393

Мой первый завтрак на этом TechEd. То ли чем-то недоволен, то ли опечалован… что неудивительно, потому что я его вскоре съел Winking smile

IMG_6136

MS MVPs обсуждают захват мира. Слева направо: Илья Сазонов, Олег Ржевский, Игорь Лейко.

IMG_6123

Докладческая перед началом времен.

TechEd. Я иду.

Да, в этот раз я не являюсь активным участником секции “спроси эксперта”, зато читаю доклад про Advanced Persistent Threat с Андреем Бешковым и веду две лабораторные работы: про DirectAccess и Dynamic Access Control.

Приглашаю, должно быть круто Winking smile

>#RuTeched: результаты

>

imageНесколько дней назад руководитель трека информационной безопасности на TechEd Russia поделился со мной результатами анкетирования посетителей моего доклада. Что ж… Результаты хуже, чем мне хотелось бы. Разумеется, частично это случилось оттого, что моему выступлению был дан не совсем корректный анонс (то описание, которое я сам придумал, так и не добралось до сайта, увы). В общем, у меня 7.5 баллов из 9, что, в общем-то, близко к моей обычной оценке, но существенно ниже, чем у многих. Я не особенно растраиваюсь, что меня не оценили, но жаль времени и настроения людей, которые не получили того, что желали, так что я получил очередной стимул становиться лучше.

Большая часть негативных комментариев (про положительные я рассказывать не буду – они очень приятны, но мало кому, кроме меня интересны =) ) происходит от упомянутых выше обманутых ожиданий. Однако некоторая их часть подала мне новые идеи для моего блога, а, может, и выступлений. Спасибо, ребята. И спасибо всем, что не встали и не ушли посреди доклада – это дорогого стоит (Том Шиндер вот не досидел Подмигивающая рожица )

>TechEd — всё

>

imageЧто ж, как ни обидно, а конференция и впрямь закончилась. Мне понравилось:

1) Я встретил множество друзей и приятелей (MVP и не только)

2) Я ответил на небольшую кучку вопросов от посетителей и получил часть из них на “домашнее задание”

3) Я таки прочитал свой доклад не забыв ничего существенного. Пока еще не известны результаты анкетирования, но я надеюсь, присутствующим понравилось (хотя единственным отзывом пока было “ну может это и круто, но я уже это всё знаю” =))) )

4) Я встретил Томаса Шиндера и он… взял у меня интервью для “from end to edge and beyond”. Это было КРУТО: я даже не уверен, что мой английский был хоть сколько нибудь приличен (это вряд ли – слишком волновался =) ) и что я вообще не нёс чушь… Когда будет запись – буду плакать =)

Так что я постановляю, что TechEd удался (несмотря на некоторые вполне очевидные огрехи в организации. Впрочем, моментов, которые были безупречны тоже было более, чем достаточно). Я уже жду следующего TechEd Подмигивающая рожица