Porovnat verze

Version Stará verze 9 Nová verze 10
Změny provedené

Robert Čížek (Unlicensed)

Tomáš Koubek (Unlicensed)

Uloženo na

Klíč

  • Tento řádek byl přidán.
  • Tento řádek byl odstraněn.
  • Formátování bylo změněno.


Výňatek
V tomto článku si společně vysvětlíme a popíšeme důvody proč je vhodné počítače a uživatele přidat do Active Directory (AD).

Cílem tohoto článku je zvýšit povědomí a důvěru uživatelů v centralizovanou správu. Čtenář bude postupně seznámen s:

  • Fungováním Active DirecotryDirectory
  • Provozem AD na PEF MENDELU
  • Nástroji, které pro správu používáme
  • Důvody proč se snažíme o zařazení koncových stanic
Informace
iconfalse
titleFrank Herbert (1920-1986)

„Technologie je nástrojem pro pomoc lidem i pro jejich zničení. To je paradox naší doby, kterému jsme nuceni čelit.“


Obsah
maxLevel2

Co to doména a Active Directory (AD) vlastně je?

Active Directory je hierarchický systém objektů a nástrojů společnosti Microsoft, řízený jedním nebo více doménovými řadiči, což jsou servery, které pro klientskou část poskytují veškeré nezbytné služby. Do systému také patří množina uživatelských počítačů, různých uživatelských prostředků, systémových zdrojů a nastavení a v neposlední řadě samozřejmě uživatelů a samotných počítačů.

Pojem doména v kontextu k adresářovým službám je ve skutečnosti jen slangový výraz pro velice komplexní systémvyznačuje skupinu počítačů nebo uživatelů, které mají něco společného (např. umístění, část firmy atp.). Často bývá tento termín používán i jako synonymum pro technologii Active Directory jako takovou. Toto pojmenování postupně vzniklo zejména proto, že tento systém je identifikován právě svým doménovým jménem a je mnohem rychlejší a stejně jednoznačné mluvit o doméně ABC, než o adresářových službách Active Directory v doméně ABC.Doména je ve skutečnosti systém řízený jedním nebo více doménovými řadiči, což jsou servery, které pro klientskou část poskytují veškeré nezbytné služby. Do systému také patří množina uživatelských počítačů, různých uživatelských prostředků, systémových zdrojů a nastavení a v neposlední řadě samozřejmě uživatelů.

Tento systém umožňuje seskupovat podobné a vztažené objekty pomocí několika různých mechanik a aplikovat na ně potřebná nastavení naráz, díky čemuž je možné efektivně řešit opakující se problémy a nastavení pro cílovou oblast tak, aby se předešlo dalším. Společnost Microsoft v současnosti poskytuje dva modely pro poskytování adresářových služeb:

  • on premises -premise (provozováno na vlastní serverové infrastruktuře)
  • cloud (služba běží v cloudu Microsoft Azure) 

Obě tyto řešení v zásadě dělají to stejné s tím rozdílem, že současná doba je aktuálně zaměřená více do té cloudové části, kterou na Mendelově univerzitě spravuje Odbor Informačních Technologií (OIT). PEF v současné době využívá vlastní řešení, do kterého je zabudována synchronizace s UIS, a díky tomu můžeme efektivně spravovat uživatele a zdroje na naší fakultě tak, abyste mohli čerpat následujících výhod:

  • automaticky připojené síťové uložiště

    • výhody, které zařazení do AD přináší. 

    Tip
    Active Directory a doména jsou technologické prostředky, který usnadňují práci na pracovních počítačích.

    Jaké výhody zařazení do AD přináší?

    Zařazení počítače s Windows do AD umožňuje:

    • Použít stejný login napříč učebnami a kancelářemi
    • automatické nastavení síťových tiskáren na osobních počítačích
    • vyzkoušené a otestované aktualizace
    • jednotná uživatelská .
    • Jednoduše instalovat software, který máme na na univerzitě k dispozici z Centra Softwaru.
    • Automaticky připojit Vaše síťové úložiště (disk.mendelu.cz) - máte tedy k dispozici svoje data na tomto disku u sebe v kanceláři i na učebnách. 
    • Automaticky nastavit všechny dostupné síťové tiskárny - nemusíte tedy připojovat a instalovat ovladače na tu, kterou právě používáte.
    • Automaticky se instalují vyzkoušené a otestované aktualizace - nemusíte tedy řešit, kterou aktualizaci musíte instalovat.
    • Mít jednotné uživatelské nastavení na učebnách (klávesnice, obrázky pozadí, systémová oznámení, nabídka startu, zamykání, zvuk a další).
    • Využívat nastavení zabezpečení (politiky, nastavení AV a konfigurací počítačů)vzdálená podpora řešení problémů, které členové Tech@PEF připravují pro učebny, včetně rychlých reakcí na aktuální problémy.
    • Využívat vzdálenou podporu při řešení problémů s ICT. 

    Někdo by mohl namítat, že je uživatelem znalým, a tudíž si všechny tyto věci chce a může nastavit sám, nebo že ho tato společná nastavení nezajímají a chce si počítač nastavit dle svého. Ani takovému požadavku zapojení počítače do adresářových služeb domény neodporuje. Počítač může být organizačně zařazen tak, aby na něj nebyla aplikována žádná doménová nastavení a zodpovědnému uživateli bude předána plná kontrola nad systémem počítače. Zde je výhodou, že uživateli zůstane možnost přihlašovat se jednotným loginem, ovšem s vyššími oprávněními se pojí také určitá zodpovědnost, a to udržovat minimálně stejně vysoký standard nastavení a zabezpečení PC jako mají ostatní doménové počítače.

    Tip

    Zařazení do AD umožňuje bezpečnější provoz, sjednocení nastavení, bezešvé využití některých síťových prostředků a snazší používání pracovních zařízení.


    Filtrovat podle štítku (obsah podle štítku)
    showLabelsfalse
    max5
    showSpacefalse
    sortmodified
    titleDalší informace
    excludeCurrenttrue
    cqllabel = "active-directory" and space = "TECH" and type = "page"

    Monitoring: dohled nad počítači?

    Tohle téma je pro některé, možná pro většinu čtenářů, zahaleno rouškou stínu a nejasností. V rámci osvěty se pokusíme vnést do něj světlo a řád tak, aby bylo jasné, co monitoring znamená.

    Jak systém pozná, že byl požadavek na klientské straně správně vykonán? Ano je to tak, sledováním stavu. Zpětná vazba je tedy ve většině automatizovaných systémů nutností. Takový systém sleduje pouze stav úkolů, který mu byl zadán. Pokud tedy zadám systému MECM úkol nainstalovat aplikaci na učebnu, tak bude do odstranění úkolu sledovat, zda je tato aplikace nainstalována na cíli. 

    Toto je jenom jeden příklad z mnoha, ale všechny jsou obdobné. Aby mohly všechny výše zmiňované nástroje správně fungovat, tak je potřeba některá data na pracovních stanicích sledovat. Sledují se informace, na jejichž základě potom uživatelům měníme PC nebo spouštíme čistící procedury systému, atp. Mezi takové sledované ukazatele patří například HW konfigurace, což je ukazatel pro volbu vhodných PC k výměně nebo procentuální zaplnění systémového disku, který Vám pak můžeme vyměnit za větší. Spousta z Vás dostává počítače nakupované v rámci projektů z učeben a zadávací dokumentaci jsme schopni sestavit přesně na základě těchto dat.

    Za naši kariéru jsme několikrát zažili situaci, při níž některé státní orgány prošetřovali situaci, ve které došlo ke zneužití techniky a požadovali poskytnutí součinnosti v důsledku protiprávního jednání. Je to jeden z důvodů proč je ve směrnici rektora o využívání ICT skloňováno téma jednoznačné identifikace uživatele a také jeden z důvodů, proč se ptáme na přesný čas výskytu problému, když vám něco nefunguje. Díky takto posbíraným diagnostickým datům jsme schopni rekonstruovat, co se na počítači stalo a případnou chybu napravit. V závažných případech je nutné ohodnotit tento incident a z důvodu bezpečnosti na něj preventivně reagovat v rámci celé domény. 

    Je činnost zaměstnanců na počítači sledována?

    Podle zákoníku práce, § 316 odst. 1, 2 a 3 zákoníku práce může zaměstnavatel kontrolovat činnost zaměstnance. Pokud Vás problematika zajímá, i s výkladem je k naleznutí např. na https://www.epravo.cz/top/clanky/monitoring-a-sledovani-zamestnancu-112902.html.

    Nicméně na počítačích PEF MENDELU, které jsou spravovány techniky z Tech@PEF není kontrolována činnost zaměstnanců ani jejich data a to ani z požadavku zaměstnavatele, ani z vlastních pohnutek. Je to otázka odpovědnosti (která vždy narůstá s vysokým oprávněním), platných předpisů (které nám nic takového nenařizují) a zároveň profesní cti. Chceme si s vámi budovat vztah důvěry a nemůžeme si dovolit jej poškodit (nehledě na to, že jde o závažné porušení pracovních povinností). 

    Tip

    Činnost zaměstnanců ani uživatelská data na pracovních zařízeních nejsou pod dohledem.

    Správná funkčnost počítačů sledována je.


    Filtrovat podle štítku (obsah podle štítku)
    showLabelsfalse
    max5
    showSpacefalse
    sortmodified
    titleDoménové nástroje
    excludeCurrenttrue
    cqllabel in ("sccm","dns","wsus","mecm","gpo") and space = "TECH" and type = "page"

    Nástroje, které pro správu používáme

    Adresářové služby Active Directory samozřejmě mohou využívat i další podpůrné služby pro uživatele. Jako celek tvoří nástroje pro správu a poskytování služeb IT podniku. V této části se dozvíte, jakým způsobem se zabezpečuje hladký běh počítačů a proč je systémové řešení lepší. Tyto nástroje ulehčují správcům řešit požadavky uživatelů a to nejen tím, že lze nějaké nastavení naklikat v nějakém ovládacím okně, ale také tím, že jakmile je jednou nastavení připravené, tak jej lze libovolně rozšiřovat na další stejné objekty, aniž by musel administrátor celé řešení zase ručně provádět. Výhody spočívají jak v ušetření času, tak v zastupitelnosti při aplikaci nastavení na další objekty. Typickým příkladem je instalace nové ústavní tiskárny. Jeden z pracovníků připraví instalaci ovladačů a provede nastavení zařízení a připraví pravidla pro přidělování a nastavování tiskárny na uživatelských PC. Další pracovníci už mohou pouze do skupiny další PC přidávat nebo odebírat sami, aniž by museli proces přidání tiskárny na tiskový server provést znovu. Mezi další takové případy patří příprava programů a aplikací do Centra SW, testování a vydávání aktualizací pomocí WSUS nebo jednotné přihlašování do webových nástrojů a portálů.

    Zóna pro obsah
    locationtop
    typeflat

    Doménové politiky

    V originálním znění Group Policy Object je nástroj umožňující provádět nastavení vašeho počítače. Prostřednictvím tohoto nástroje řešíme různé případy jako je například nastavení vzhledu přihlašovací obrazovky, povolení klávesových zkratek, časované zamykání obrazovky a další. Politiky dokáží v počítači změnit libovolné nastavení, ať už se jedná o kosmetickou záležitost jako je zapnutý CapsLock při startu PC nebo vypnutý zvuk po přihlášení na učebně, až po úpravu oprávnění uživatelů provádět na PC určité akce. Při používání tohoto nástroje vycházíme ze zkušeností a aplikujeme takzvané best practices dle dekora, jak by se uživatel měl chovat v IT prostředí (viz série školení na spam, phishing, sociální inženýrství a další hrozby, které na nás číhají).

    Politiky týkající se bezpečnosti jsou výhradně prohibiční, tedy spíše věci zakazují. Základní instalace Windows, která není upravena vhodnými politikami z domény má povoleno poměrně dost potenciálně zneužitelných funkcí, které může neopatrný uživatel neúmyslně otevřít a doslova tak pozvat nechtěného hosta do svého počítače. Politiky mohou také obsahovat informace, které uživatel potřebuje, nastavuje se jimi například aktivace produktů Microsoft pomocí univerzitního KMS serveru.

    DNS

    Toto je obecná a velmi dobře známá služba překladu doménového jména na IP adresu. Doménové řadiče mají každý svou repliku záznamů DNS. Tato služba umožňuje přeložit doménový název počítače na směrovatelnou adresu IP protokolu. Doménové jméno stroje se vždy skládá z jeho názvu a apendixu ve formě kompletního názvu domény. Při zařazení stroje do domény předají adresářové služby Active Directory informaci DNS službě o nalezení nového stroje s konkrétním názvem a IP adresou. Přestože by v síti mohla už jiná DNS služba být aktivní, tak je i přesto přítomnost DNS služby na doménových řadičích nezbytná. DNS totiž neudržuje pouze A záznamy pro překlad doménového jména na IPv4 adresu, ale udržují se zde také SRV záznamy tedy záznamy služeb a na jakých strojích se nacházejí. SRV záznam poskytuje klientům informaci o tom, kde se nachází služba, kterou potřebuje například klient

    SCCM

    MECM nebo operační systém pro ověření certifikátu.

    WSUS

    Jak jistě víte, tak Microsoft pravidelně vydává velké množství různých aktualizací. Ne všechny jsou však nezbytné a některé mohou způsobit i problémy v systému. Proto je tu nástroj WSUS, který slouží administrátorům jako prostředek k filtraci a selektivní aplikaci jednotlivých aktualizací. Tento nástroj umožňuje například pozdržet problémové aktualizace a vyzkoušet je před nasazením nebo vybrat nejčerstvější bezpečnostní záplaty a okamžitě je aplikovat po jejich vydání Microsoftem. Je to jakýsi prostředník mezi servery aktualizační služby Microsoft a vaším počítačem. Jednotlivé počítače pak mají nastavena pravidla pro aplikaci schválených a vyžadovaných aktualizací a uživatel může s těmito volbami do určité míry interagovat a upravovat je.

    SCCM

    Microsoft Endpoint Configuration Manager (MECM)

    Jedná se o programové vybavení na bázi server-klient, které poskytuje správcům domény nástroje pro hromadnou a kontrolovanou distribuci aplikací na pracovní stanice. Díky tomu můžeme váš nový počítač připravit ihned po vybalení z krabice, přeinstalovat OS na více než 200 stanicích během několika málo hodin a doručit aplikaci a její aktualizace na dosah jediného kliknutí od uživatele. Aplikace je potřeba do tohoto systému nejdříve připravit. Jejich distribuce pak už probíhá automaticky na základě pravidel vytvořených administrátory. Aplikace lze na danou skupinu nasadit jako volitelné nebo povinné. K dispozici je také mnoho možností filtrace z hlediska vhodnosti a aplikovatelnosti software na konkrétní stroj, například dostatek místa na disku nebo typ síťové karty.

    Administrátoři jsou díky tomuto SW schopni pružně reagovat na požadavky a upozornění, které přichází na univerzitu prostřednictvím informačních kanálů například z OIT, NUKIB, abuse@mendelu.cz, CESNET, nařízení rektora a dalších.

    Filtrovat podle štítku (obsah podle štítku)
    showLabelsfalse
    max5
    showSpacefalse
    sortmodified
    titleDoménové nástroje
    excludeCurrenttrue
    cqllabel in ("sccm","dns","wsus","gp") and space = "TECH" and type = "page"


    Monitoring

    Tohle téma je pro některé, možná pro většinu čtenářů, zahaleno rouškou stínu a nejasností. V rámci osvěty se pokusíme vnést do něj světlo a řád tak, aby bylo jasné, co monitoring znamená.

    Jak jistě víte, tak zpětná vazba je ve většině případů automatizovaných systémů nutností. Jak jinak totiž systém pozná, že byl požadavek na klientské straně správně vykonán? Ano je to tak, sledováním stavu. Avšak je veliký rozdíl mezi tím, co takový systém sleduje, a nějakým špehováním. Takový systém totiž sleduje pouze stav úkolů, který mu byl zadán. Pokud tedy zadám systému SCCM úkol nainstalovat aplikaci na učebnu, tak bude do odstranění úkolu sledovat, zda je tato aplikace nainstalována na cíli.

    Toto je jenom jeden příklad z mnoha, ale všechny budou stejné. Aby mohly všechny výše zmiňované nástroje správně fungovat, tak je potřeba některá data na pracovních stanicích sledovat. Sledují se informace, na jejichž základě potom uživatelům měníme PC nebo spouštíme čistící procedury systému, atp. Mezi takové sledované ukazatele patří například průměrné vytížení procesoru, což je ukazatel pro volbu vhodných PC k výměně a jejich vyřazení nebo procentuální zaplnění systémového disku, který pak bude vyměněn za větší, aby nemohlo dojít k poškození uživatelského profilu. Spousta z Vás dostává počítače nakupované v rámci projektů z učeben a zadávací dokumentaci jsme schopni sestavit přesně na základě těchto dat.

    Za naši kariéru jsme tu několikrát zažili obálku s modrým pruhem, kdy došlo k zneužití techniky a žádost o poskytnutí součinnosti v důsledku protiprávního jednání. Je to jeden z důvodů proč je ve směrnici rektora skloňováno ožehavé téma jednoznačné identifikace uživatele a také jeden z důvodů, proč se ptáme na přesný čas výskytu problému, když vám něco nefunguje. Díky takto posbíraným diagnostickým datům jsme schopni rekonstruovat, co se na počítači stalo a případnou chybu napravit. V závažných případech je nutné ohodnotit tento incident a případně na něj preventivně reagovat v rámci celé domény.

    Můžu být sledován na svém počítači?

    Mnoho uživatelů se bojí, že ve chvíli, kdy jsou v doméně, jsou sledováni. Jak to vlastně je? Pojďme se na to podívat.

    Článků na internetu je nespočet ale vyberme jeden opravdu pěkný https://www.epravo.cz/top/clanky/monitoring-a-sledovani-zamestnancu-112902.html

    Podle § 316 odst. 1, 2 a 3 zákoníku práce na to právo máme a to i v situacích, kdy si spravujete techniku sami, viz. výše odkazovaný článek. Nicméně na PEF MENDELU toto NENÍ realizováno hned z několika důvodů:

    • snažíme se s vámi budovat vztah důvěry
    • není zde obecné nařízení (děkana/rektora), které by uživatelům dávalo na vědomí, že jejich práce je monitorována
    • jsme součástí akademické půdy
    • ve chvíli, kdyby někdo poškodil jméno oddělení, velice špatně by se tento vztah napravoval
    • jsme technici, ne právníci, a proto jakákoliv polemika nad tím, kdo co může a nemůže, jde ruku v ruce s důvěrou a respektem

    Slovo na závěr

    Na závěr slovo o bezpečnosti

    Za oddělení Tech@PEF Vám děkujeme za důvěru vloženou v rozvoj infrastruktury a elektronizace , kterou do nás s rozvojem ICT PEF MENDELU vkládáte. Pravdou je, že se snažíme obstát proti bezpečnostním hrozbám v dnešním světě a snažíme se o unifikované nastavení bezpečnosti s maximálním komfortem pro uživatele, který jsme schopni mu dát.

    Je také dobré si uvědomit, že na některé naše univerzitní systémy se vztahuje zákon o kybernetické ochraně (https://www.zakonyprolidi.cz/cs/2014-181) a my se tomu musíme postavit čelem, což bez Vaši spolupráce, bude téměř nebude možné pouze obtížně. Lze se v zásadě ubírat pouze několika směry. Ten první je založen na domluvě a hledání řešení a ten druhý je založen na síle. Řetěz je ovšem pouze a jenom tak silný, jako je jeho nejslabší článek a v bezpečnosti to platí na 100%. A o to nám jde. Útočník má na přípravu neomezený čas, my máme na obranu pouze prevenci. Nejhorší Nejproblematičtější situace , co pro nás může nastat, je uživatel, který je neznalý problematiky. Spustí jsou ty, ve kterých uživatel neznalý problematiky spustí něco, co bude mít fatální následek nejen pro něj, ale i pro nás všechny, viz kauzy nemocnic a dalších zařízení, které proběhly mediálními kanály. Hledejme proto prosím společné cesty, jak naši infrastrukturu co nejvíce zabezpečit. 

    Zajímavé odkazy