ћерион Ќетворкс

»нтернет может быть опасным. —просите любого хорошего IT-специалиста, и он вам об€зательно расскажет о важности обеспечени€ безопасности и компактности систем, чтобы можно было гарантировать, что новые системы смогут безопасно предоставл€ть требуемые услуги. » хот€ автоматизаци€ этого процесса имеет большое значение дл€ сокращени€ времени адаптации, насто€щим испытанием дл€ системы €вл€етс€ способность предоставл€ть услуги стабильно и без каких-либо пауз на посто€нной основе.

DevOps

—уществуют автоматизированные средства, которые могут гарантировать, то ваши сервисы Windows будут такими же безопасными и будут безотказно работать также, как и в день их установки. ќднако, поскольку все организации имеют разные потребности и разные бюджеты, то дл€ них некоторые инструменты могут быть недоступны, например, такие как Microsoft System Center Configuration Manager. Ќо это не должно мешать IT-отделу использовать свою инфраструктуру дл€ обеспечени€ правильной работы систем.

Ќиже приведены несколько принципов управлени€, которые можно легко реализовать при любом уровне квалификации и любом бюджете, чтобы помочь вашему IT-отделу контролировать свои серверы Windows и убедитьс€, что они управл€ютс€ эффективно и безопасно, а также что они оптимизированы дл€ обеспечени€ максимально возможной производительности.

јудит политики авторизации

¬се серверы должны быть закрыты дл€ всех локальных и интерактивных входов в систему. Ёто означает, что никто не должен входить на сервер физически и использовать его, как если бы это был рабочий стол, независимо от его уровн€ доступа. “акое поведение в какой-то момент в будущем может привести к катастрофе. ѕомимо контрол€ интерактивных входов в систему, IT-отдел должен иметь политику аудита и других типов доступа к своим серверам, включа€, помимо прочего, доступ к объектам, права доступа и другие изменени€, которые могут быть внесены в сервер с авторизаций и без нее.

÷ентрализаци€ журналов событий

—ерверы Windows имеет множество возможностей ведени€ журналов, которые доступны по умолчанию. —уществуют настройки, с помощью которых можно расширить или ограничить эти возможности ведени€ журналов, включа€ увеличение размеров файлов журналов, независимо от того, перезаписываютс€ ли они или нет, даже в, казалось бы, свойственных дл€ них моментах. ÷ентрализаци€ всех этих различных журналов в одном месте упрощает доступ к ним и их просмотр дл€ IT-персонала. ћожно воспользоватьс€ каким-либо сервером системных журналов и упростить эти журналы, обозначив категории дл€ определенных записей, например, пометить все неудачные попытки авторизации. “акже полезным может быть доступность поиска по журналу и возможность дл€ сервера системного журнала иметь интеграцию с инструментами исправлени€ дл€ устранени€ любых обнаруженных проблем.

 онтрольные и базовые показатели производительности

ћы все знаем, как определить, когда сервер или сервис совсем не работают. Ќо как ваш IT-отдел определ€ет, работает ли сервер или сервис должным образом? ¬от почему полезно получить контрольные показатели ваших серверов и определить базовые показатели их работы с различными интервалами (пиковые и непиковые). »ме€ такую информацию, можно определить, как оптимизировать параметры программного и аппаратного обеспечени€, как это вли€ет на работу сервисов в течение дн€ и какие ресурсы нужно добавить, удалить или просто переместить, чтобы обеспечить минимальный уровень обслуживани€. Ёто также помогает определить веро€тное направление атак или индикаторы компрометации при обнаружении аномалий, которые могут негативно отразитьс€ на производительности.

ќграничение удаленного доступа

 ак администраторы, все мы любим удаленный доступ, не так ли? я это знаю, поскольку сам почти каждый день использовал протокол удаленного рабочего стола (RDP – remote desktop protocol) дл€ устранени€ проблем в удаленных системах на прот€жении дес€тков лет своей карьеры. » несмотр€ на то, что был пройден долгий путь по усилению безопасности за счет усиленного шифровани€, факт остаетс€ фактом: RDP (как и любые другие приложени€ удаленного доступа), если их не контролировать, могут позволить злоумышленникам проникнуть на ваши серверы и, что еще хуже, на сеть компании.   счастью, доступ к серверам можно ограничить несколькими способами, например, настроить правила брандмауэра дл€ ограничени€ доступа к серверам из удаленных подключений, установить требовани€ дл€ использовани€ VPN-туннелировани€ дл€ защиты св€зи между сетевыми ресурсами или настроить проверку подлинности на основе сертификатов с целью проверки того, что подключаема€ система – как к, так и от – отвергнута или ей можно довер€ть.

Ќастройка сервисов

ѕрошло уже много времени с тех пор, как большинство ролей и сервисов были включены в Windows Server по умолчанию, независимо от того, нужны они организации или нет. Ёто, очевидно, представл€ет собой грубейшую ошибку безопасности и до сих пор остаетс€ проблемой, хот€ и более контролируемой в современных верси€х серверов. “ем не менее, ограничение поверхности атаки ваших серверов служит дл€ устранени€ потенциальных направлений компрометации, и это хорошо. ќцените потребности вашей среды и зависимостей программного обеспечени€ и сервисов. Ёто может помочь разработать план по отключению или удалению ненужных сервисов.

ѕериодический контроль

ѕериодический контроль тесно св€зан с вашей сетью и угрозами безопасности. ¬ы должны следить за состо€нием своего сервера, чтобы вы€вл€ть любые потенциальные проблемы до того, как они перерастут в серьезную угрозу дл€ производительности устройств и услуг, которые они предоставл€ют. “акой контроль помогает IT-специалистам заранее определ€ть, нуждаютс€ ли какие-либо серверы в обновлении или ресурсах, или же отдел должен приобрести дополнительные серверы дл€ добавлени€ в кластер, чтобы, оп€ть же, поддерживать работу сервисов.

”правление Patch-файлами

Ёта рекомендаци€ должна быть элементарной дл€ всех, кто занимаетс€ IT, независимо от опыта и навыков. ≈сли в этом списке и есть что-то, что нужно всем серверам, так это именно управление patch-файлами, или исправлени€ми. Ќастройка процесса обновлени€ операционной системы и программного обеспечени€ имеет первостепенное значение, от простых обновлений, устран€ющих ошибки, до корректирующих исправлений, закрывающих бреши в безопасности. Ёто на самом деле важно, поскольку в интегрированных средах, где используетс€ несколько продуктов Microsoft, некоторые версии ѕќ и сервисов просто не будут работать до тех пор, пока базова€ ќ— Windows Server не будет обновлена до минимального уровн€. “ак что, имейте это в виду, когда будете планировать цикл тестировани€ и обновлений.

“ехнические средства контрол€

Ќезависимо от того, внедр€ете ли вы устройства безопасности, такие как система предотвращени€ вторжений в сеть, или вашим кластерным серверам нужны балансировщики нагрузки, используйте данные, полученные в ходе мониторинга, и базовые показатели дл€ оценки потребностей различных серверов и предоставл€емых ими услуг. Ёто поможет определить, какие системы требуют дополнительных элементов управлени€, таких как веб-сервер, на котором будет запущено корпоративное веб-приложение дл€ HR-записи. ”становка брандмауэра веб-доступа (WAF – web access firewall) предназначена дл€ вы€влени€ известных веб-атак, таких как межсайтовый скриптинг (XSS-атаки) или атаки с использованием структурированного €зыка запросов (SQL-инъекции) на серверную часть базы данных SQL, котора€ обеспечивает ее работу.

Ѕлокировка физического доступа

ѕо личному опыту знаю, что большинство организаций, от средних до крупных, осознают, что свои серверы необходимо изолировать из соображений безопасности и ќ¬ . » это здорово! ќднако нехорошо получаетс€, когда небольшие компании просто оставл€ют свои серверы открытыми вместе с обычными рабочими столами. Ёто действительно ужасно, потому что в таком случае сервер и св€зи со сторонними устройствами могут быть подвержены множеству потенциальных атак и угроз. Ѕольша€ просьба – размещайте серверы в хорошо охран€емых помещени€х с достаточной вентил€цией и ограничьте доступ в это помещение, разрешите его только тем, кому это действительно необходимо.

јварийное восстановление

–езервные копии… резервные копии… резервные копии! Ёта тема уже настолько избита, но все же мы здесь. ћы по-прежнему знаем, что некоторые организации не принимают никаких надлежащих шагов дл€ правильного и безопасного резервного копировани€ своих ценных данных. ј когда происходит неизбежное – сервер падает, данные тер€ютс€, а помочь некому. Ќо помочь можно было бы, если бы существовал план аварийного восстановлени€, который бы определ€л, какие данные нужно защитить, как, когда и где следует создавать резервные копии, а также документированные шаги по их восстановлению. ѕо сути это очень простой процесс: 3-2-1 – три резервные копии, два отдельных носител€ и, по крайней мере, одна копи€ за пределами рабочего места.

Ётот список ни в коем случае не позиционируетс€ как исчерпывающий, и IT-специалисты должны самосто€тельно изучить каждый пункт, чтобы определить, какие решени€ лучше всего подход€т дл€ их конкретных потребностей. ѕомимо этого, крайне желательно, чтобы IT-отдел советовалс€ с высшим руководством по разработке политики проведени€ регул€рных оценок рисков. Ёто поможет IT-отделу определить, где лучше всего размещать ресурсы (финансовые, технические и аппаратное/программное обеспечение), чтобы они использовались максимально эффективно.


—кидки 50% в Merion Academy

¬ыбрать курс