записки ремесленника

АЛЕКСАНДР ПРИХОДЬКО

Спецвыпуск: Хакер, номер #065, стр. 065-096-1

(SANPRIH@MAIL.RU)

ДЛЯ ДРУГИХ МЫ СОЗДАЕМ ПРАВИЛА, ДЛЯ СЕБЯ — ИСКЛЮЧЕНИЯ (ШАРЛЬ ЛЕМЕЛЬ)

КОГДА ДОСТОПОЧТЕННЫЙ ШАРЛЬ ЛЕМЕЛЬ ПРОИЗВЕЛ НА СВЕТ СВОЙ АФОРИЗМ, ВРЯД ЛИ ОН ДУМАЛ, ЧТО ЕГО ПРОИЗВЕДЕНИЕ ЛУЧШЕ ВСЕГО ОТРАЗИТ СУЩНОСТЬ И СМЫСЛ СУЩЕСТВОВАНИЯ СИСТЕМНОГО АДМИНИСТРАТОРА, ТО ЕСТЬ ТЕБЯ, ВЕЛИКОГО И МОГУЧЕГО.

СЕГОДНЯ МЫ ПОГОВОРИМ О ЖИЗНЕННЫХ ДЛЯ ЛЮБОГО АДМИНА ВЕЩАХ — О ПОЛИТИКАХ БЕЗОПАСНОСТИ. ПОЛИТИКАМ БЕЗОПАСНОСТИ, НАСТРОЙКЕ ПОЛИТИК И ДРУГИМ ИНТЕРЕСНЫМ ВЕЩАМ ПОСВЯЩЕНО МОРЕ КНИГ, СОЗДАНО МНОЖЕСТВО ФОРУМОВ. МЫ ЖЕ БУДЕМ РАССМАТРИВАТЬ ЭТУ СЛОЖНУЮ НАУКУ В ПЕРВОМ ПРИБЛИЖЕНИИ

понятие доменной политики безопасности

Для начала вспомним, что мы уже было сотворено с нашим доменом. Как ты знаешь, было создано несколько пользователей, групп, продумана примерная структура домена.

Повторим пройденный материал. Для начала посмотрим на список пользователей и групп домена, который уже есть.

Значит, так. Разбросаем пользователей по группам. Открыть оснастку Active Directory Users and Computers, выбрать группу Head, двойной клик мыши на ней, перейти на закладку Members, надавить на кнопку Add, в открывшемся окне — Select Users, Contacts or Computers, нажать кнопку Advanced... В следующем окне — кнопку Find Now. В открывшемся списке выбрать наших пользователей этой группы: «Иванов», «Петров», «Сидоров». Так же жестоко поступаем и с группами «Экономисты» и «Бухгалтерия».

В принципе, ты проделывал это все уже не раз, поэтому не будем вдаваться в подробности, но… Маленькое отступление. Во втором модуле мы чуть рассмотрели теневое копирование. Возвращаясь к этой теме, поговорим о стратегии разработки правил защиты информации в работе домена (на предприятии любого уровня). Я не беру в расчет доменные печи (не те печи, в которых сжигают контроллеры доменов, а те, в которых плавят металл). Так вот, наверное, в работе с доменными печами потеря информации не играет важной роли. Однако нам с тобой деньги платят как раз за сохранность информации. В этом вопросе нет никакой надежды на пользователей, поэтому такой тяжкий труд и возложен на наши плечи.

Тебе, как админу, придется взять на себя полную ответственность за сохранность всей информации, не полагаясь на сознательность и компетентность подопечных пользователей. Для обеспечения достаточно серьезной защиты информации необходимо следующее.

Во-первых, полностью обезопасить домен и его информационные ресурсы от всяких некорректных действий любых пользователей. Во-вторых, сделать компьютеры максимально устойчивыми к любым разрушительным действиям со стороны тех, кто работает на этих компьютерах.

Пользователи как несмышленые дети — нужно защищать их от них же. Разобьем эту большую и сложную задачу на маленькие и простые:

— ГРАМОТНОЕ ПОСТРОЕНИЕ ПОЛИТИКИ РАЗГРАНИЧЕНИЯ ПРАВ ДОСТУПА ЛЮБЫМИ СРЕДСТВАМИ, ИМЕЮЩИМИСЯ В РАСПОРЯЖЕНИИ, НА ВСЕХ ИНФОРМАЦИОННЫХ РЕСУРСАХ;

— ОГРАНИЧЕНИЕ ПРАВ ПОЛЬЗОВАТЕЛЕЙ ПОЛИТИКОЙ БЕЗОПАСНОСТИ;

— ПРИНУДИТЕЛЬНОЕ АРХИВИРОВАНИЕ ИНФОРМАЦИИ;

— АВТОМАТИЧЕСКОЕ ПОДКЛЮЧЕНИЕ-ОТКЛЮЧЕНИЕ ИНФОРМАЦИОННЫХ РЕСУРСОВ ПРИ ПОМОЩИ СКРИПТОВ;

— МАКСИМАЛЬНАЯ ЗАЩИТА ПЕРСОНАЛЬНЫХ КОМПЬЮТЕРОВ ОТ УСТАНОВКИ ПРОГРАММ ПОЛЬЗОВАТЕЛЯМИ;