5W site logo 5W - мой домашний сайт-блог с картинками, кино и плюшками.

priem-del-rabota.txt

https://habrahabr.ru/users/Scif_yar/
Действия при приходе на работу — прием дел, актуализация, документирование, аудит из песочницы
IT-инфраструктура*
С интересом прочел Аудит ИТ-инфраструктуры — как быть новичку, но мне показалось, что список дел при аудите и приеме на работу (особенно, если оттуда уже давно уволились все, кто что-то помнил) гораздо шире.

Если у вас в организации процессы не построены — то этот текст для вас бесполезен. Если построены — то тоже бесполезен. Почти Rifleman's Creed — Without me, my rifle is useless. Without my rifle, I am useless.

Каких-то стандартных пакетов управления всей архитектурой и техникой я не видел — что не удивительно, учитывая постоянное расхождение отчетности по бухгалтерии и техники по факту и общую сложность систем. Хорошо если ведется схема сети, учет паролей и прочее необходимое, есть какой-то учет что когда (сертификаты, оплата домена) истекает, но порой этого нет. Просто одни забыли спросить, другие не волновались насчет этого. У третьих оно было, но они уже уволились, а четвертые забили, вот и имеем что имеем.
Управление жизненным циклом, SCOM/SCSM — это немного другое, а ITIL
Service Asset and Configuration Management — это благие пожелания, не содержащие некий функционал.

Соответственно, первым делом при приходе на работу нужен аудит «для себя»

— Какие устройства где стоят, за что отвечают, есть ли к ним доступ (к web панели управления/ssh/ilo), если нет — то как его восстановить. Живы ли эти устройства, или стоят для учета.

— Кто ответственный за СКУД, общую безопасность, электричество, кондиционирование (обслуживание), водопроводы, пожарную сигнализацию. Когда последний раз проводилось обслуживание тех же кондиционеров. Какова надежность (запас мощности) кондиционеров (N+0, N+1).

— ИБП и батареи. Сколько держат (в часах), когда менялись батареи, когда была калибровка, есть ли извещение о срабатывании и прочем блекауте. Какова надежность (запас мощности) ИБП — (N+0, N+1).

— Как выстроено взаимодействие с соседними отделами и бизнесом как заказчиком сервисов.

— Как работает сервис деск.

— Как работает мониторинг, мониторит ли он все устройства и необходимые параметры оборудования. Возможно что давно умер или избыточен. Или недостаточен.

— Как работает извещение о сбоях, особенно крупных — например, общий блекаут/отключение электричества, протечка водопровода / отопления.

Архивация и восстановление
Надо проверять все — что куда бекапится, какова глубина хранения, есть ли свободное место на системе хранения архивов, мониторится ли свободное место, попадает ли бекап в окно резервного копирования. Как идет восстановление — как выглядит процедура восстановления и вообще восстанавливается ли.
От имени какой УЗ идет архивация (особенно в случае агентов/сервиса бекапа в машинах), не многовато ли у нее прав (в каких группах состоит), есть ли у нее (и от нее) пароль и не стоит ли его сменить. Где она (в системе резервного копирования) прописана.
Есть ли регламент, в котором прописано и утверждено все вышеперечисленное.

Контроль прав, контроль служебных УЗ (учетных записей)
Кроме простой проверки «кто в группе доменных администраторов и почему», необходим контроль служебных УЗ. В том числе контроль какой сервис от какого имени стартует (если не стартует от системы), что со встроенными УЗ, что в какую группу включено и зачем, какие им (группам) делегированы права и куда.

AD
Роли AD — где (на каких серверах) лежат, что в журналах. Кто за какие сетевые сервисы (DHCP, DNS) отвечает. Аудит — есть ли, как устроен. Пересылка логов — каких, куда, и что там с ними происходит.

Готовьтесь изучать новый для вас предмет — инженерная археология / Конструкторско-технологическая археология (1)

Типовые дыры и костыли кривокурих админов локалхоста. Начиная от правленных host
ВНЕЗАПНО для меня выяснилось, что админы локалхоста не только правят файлы etc/host (ну ладно, кто не правил в детстве?), но еще этим и гордятся, и пишут об этом статьи.

Впрочем, с настройками DNS на DC бывает тот же стыд.
Не, ну как можно не прочитать технет?? (2)

ЗАПОМНИТЕ, ГРАЖДАНЕ!
Писать в \host\etc в продакшене надо тогда и только тогда, когда ты уже прочитал инструкцию, для Оракла и Veritas netbackup, дожав инструкциями по Veeam.

Вторая очередь проверки
По приходу на работу, кроме аудита физики (начиная от кондиционеров и срока жизни батарей в ИБП и времени работы ИБП от батарей, заканчивая что и как числится по учету — и что из этого есть по факту) — надо проверять три вещи:

— Задачи в Tash scheduler и автозагрузке по серверам
— файлы HOST в частности и настройки DHCP и DNS в целом
— кому, как, куда и какие даны права в AD и Exchange.

Если с первым пунктом понятно, скачиваем Sysinternals Autoruns for Windows и поехали, то с вторым и третьим пунктом все сложней.

Внезапно для многих, в Microsoft Windows server нет кнопки «сделать хорошо». Даже скрипта makegood.ps1 нет — MS WS и AD как сервис не имеет каких-то встроенных готовых графических решений для отображения кому и куда делегированы права в AD, а использование powershell огорчает инфобезопасника и любителя GUI.
С другой стороны, необходимый инструментарий для этого есть —

Для просмотра делегирования прав по organizational unit (OU) — Active Directory OU Permissions Report:
This script generates a report of all Active Directory OU permissions in the domain. I would advise all Active Directory shops to review this report on a quarterly basis to make sure there are no surprise administrators lurking in your domain.
Лежит традиционно на технете.

Для просмотра раздачи прав Exchanhe вот — на том же технете
RBAC Role Group Membership Reporting
This PowerShell script will generate a report of the Role Based Access Control (RBAC) role groups in an Exchange Server organization.