Действия при приходе на работу — прием дел, актуализация, документирование, аудит

в 12:06, , рубрики: инфраструктура, системное администрирование windows

С интересом прочел Аудит ИТ-инфраструктуры — как быть новичку, но мне показалось, что список дел при аудите и приеме на работу (особенно, если оттуда уже давно уволились все, кто что-то помнил) гораздо шире.

Если у вас в организации процессы не построены — то этот текст для вас бесполезен. Если построены — то тоже бесполезен. Почти Rifleman's Creed — Without me, my rifle is useless. Without my rifle, I am useless.

Каких-то стандартных пакетов управления всей архитектурой и техникой я не видел — что не удивительно, учитывая постоянное расхождение отчетности по бухгалтерии и техники по факту и общую сложность систем. Хорошо если ведется схема сети, учет паролей и прочее необходимое, есть какой-то учет что когда (сертификаты, оплата домена) истекает, но порой этого нет. Просто одни забыли спросить, другие не волновались насчет этого. У третьих оно было, но они уже уволились, а четвертые забили, вот и имеем что имеем.
Управление жизненным циклом, SCOM/SCSM — это немного другое, а ITIL
Service Asset and Configuration Management — это благие пожелания, не содержащие некий функционал.

Соответственно, первым делом при приходе на работу нужен аудит «для себя»

— Какие устройства где стоят, за что отвечают, есть ли к ним доступ (к web панели управления/ssh/ilo), если нет — то как его восстановить. Живы ли эти устройства, или стоят для учета.

— Кто ответственный за СКУД, общую безопасность, электричество, кондиционирование (обслуживание), водопроводы, пожарную сигнализацию. Когда последний раз проводилось обслуживание тех же кондиционеров. Какова надежность (запас мощности) кондиционеров (N+0, N+1).

— ИБП и батареи. Сколько держат (в часах), когда менялись батареи, когда была калибровка, есть ли извещение о срабатывании и прочем блекауте. Какова надежность (запас мощности) ИБП — (N+0, N+1).

— Как выстроено взаимодействие с соседними отделами и бизнесом как заказчиком сервисов.

— Как работает сервис деск.

— Как работает мониторинг, мониторит ли он все устройства и необходимые параметры оборудования. Возможно что давно умер или избыточен. Или недостаточен.

— Как работает извещение о сбоях, особенно крупных — например, общий блекаут/отключение электричества, протечка водопровода / отопления.

Архивация и восстановление
Надо проверять все — что куда бекапится, какова глубина хранения, есть ли свободное место на системе хранения архивов, мониторится ли свободное место, попадает ли бекап в окно резервного копирования. Как идет восстановление — как выглядит процедура восстановления и вообще восстанавливается ли.
От имени какой УЗ идет архивация (особенно в случае агентов/сервиса бекапа в машинах), не многовато ли у нее прав (в каких группах состоит), есть ли у нее (и от нее) пароль и не стоит ли его сменить. Где она (в системе резервного копирования) прописана.
Есть ли регламент, в котором прописано и утверждено все вышеперечисленное.

Контроль прав, контроль служебных УЗ (учетных записей)
Кроме простой проверки «кто в группе доменных администраторов и почему», необходим контроль служебных УЗ. В том числе контроль какой сервис от какого имени стартует (если не стартует от системы), что со встроенными УЗ, что в какую группу включено и зачем, какие им (группам) делегированы права и куда.

AD
Роли AD — где (на каких серверах) лежат, что в журналах. Кто за какие сетевые сервисы (DHCP, DNS) отвечает. Аудит — есть ли, как устроен. Пересылка логов — каких, куда, и что там с ними происходит.

Готовьтесь изучать новый для вас предмет — инженерная археология / Конструкторско-технологическая археология (1)

Типовые дыры и костыли кривокурих админов локалхоста. Начиная от правленных host
ВНЕЗАПНО для меня выяснилось, что админы локалхоста не только правят файлы etc/host (ну ладно, кто не правил в детстве?), но еще этим и гордятся, и пишут об этом статьи.

Впрочем, с настройками DNS на DC бывает тот же стыд.
Не, ну как можно не прочитать технет?? (2)

ЗАПОМНИТЕ, ГРАЖДАНЕ!
Писать в hostetc в продакшене надо тогда и только тогда, когда ты уже прочитал инструкцию, для Оракла и Veritas netbackup, дожав инструкциями по Veeam.

Вторая очередь проверки
По приходу на работу, кроме аудита физики (начиная от кондиционеров и срока жизни батарей в ИБП и времени работы ИБП от батарей, заканчивая что и как числится по учету — и что из этого есть по факту) — надо проверять три вещи:

— Задачи в Tash scheduler и автозагрузке по серверам
— файлы HOST в частности и настройки DHCP и DNS в целом
— кому, как, куда и какие даны права в AD и Exchange.

Если с первым пунктом понятно, скачиваем Sysinternals Autoruns for Windows и поехали, то с вторым и третьим пунктом все сложней.

Внезапно для многих, в Microsoft Windows server нет кнопки «сделать хорошо». Даже скрипта makegood.ps1 нет — MS WS и AD как сервис не имеет каких-то встроенных готовых графических решений для отображения кому и куда делегированы права в AD, а использование powershell огорчает инфобезопасника и любителя GUI.
С другой стороны, необходимый инструментарий для этого есть —

Для просмотра делегирования прав по organizational unit (OU) — Active Directory OU Permissions Report:
This script generates a report of all Active Directory OU permissions in the domain. I would advise all Active Directory shops to review this report on a quarterly basis to make sure there are no surprise administrators lurking in your domain.
Лежит традиционно на технете.

Для просмотра раздачи прав Exchanhe вот — на том же технете
RBAC Role Group Membership Reporting
This PowerShell script will generate a report of the Role Based Access Control (RBAC) role groups in an Exchange Server organization.

Для начала аудита всего вышеперечисленного должно хватить, но до его проведения переходить к чтению документов «как сделать хорошо» не стоит, потому что скорее всего придется много раз хвататься за голову.

Ссылки:
(1)
Индустриальная археология «Мценского уезда». Часть 1.
Индустриальная археология «Мценского уезда». Часть 2.

Корпоративная память и обратная контрабанда.
Копия этой же статьи со ссылками.
Оригинал в web.archive
Конструкторско-технологическая археология

(2)
Ссылка 1
Ссылка 2
или
Ссылка 3

и наконец собственно:

DNS: DNS servers on should include the loopback address, but not as the first entry
Impact
If the loopback IP address is the first entry in the list of DNS servers, Active Directory might be unable to find its replication partners. См. по ссылке

Вообще с доступностью первого DNS для CSV есть много интересного, но о этом может быть будет позже.

Автор: Scif_yar

Источник

Поделиться

* - обязательные к заполнению поля