zeliboba Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Расскажите, плиз, по шагам с чего начать, что читать для того что бы потихоньку разобраться и защитить свой сервер. т.е. групповые политики, антивири, фаерволы и т.д. потому что по незнанию можно такого наворотить. Я не спрашиваю конкретного софта, нужна теория перетекающая в практику. Ну например: 1. Качаем заплатки 2. Настраиваем ГП 2.1. Куда кому можно, куда кому нельзя. 3. Фаервол (закрываем порты № хххх и т.д. К примеру, есть сеть примерно 100 клиентов XP и файл-сервер на 2003. Инет идет через ТрафикИнспектор.   Я думаю найдутся люди которые тоже образно понимаю,что нужно защитить свой сервак, а как конкретно это сделать и по уму, а не просто тупо поставить каспера и курить бамбук в надежде что антивить все сам сделает. Всего записей: 319 | Зарегистр. 16-09-2004 | Отправлено: 10:03 11-09-2008

Mushroomer Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору zeliboba Я бы изначально (если позволяет бизнес-процесс) файловый сервер отключил от Интернета. От греха подальше. Ну или сделать прокси-сервер, отдельный от файлового сервера. Антивирус поставить обязательно. причем не только на сервер, но и на все компьютеры сети. Безопасности сервера (права доступа и прочее), которые получаются при установке сервера имхо за глаза хватает для обеспечения начальной безопасности сервера.   Цитата: 2.1. Куда кому можно, куда кому нельзя.   Ну это правами на расшаренные ресурсы настраивается. Всего записей: 22844 | Зарегистр. 19-01-2002 | Отправлено: 15:52 12-09-2008

niichavo Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору zeliboba Как уже было сказано, нужно отделить файловый сервер, контроллер домена (сервак может выполнять, конечно, сразу несколько ролей) и прокси-/нат-сервер (шлюз). Должно быть как минимум 2 железки: для интернета и для всего остального.   При таком подходе встроенный фаервол на серверах и рабочих станциях локальной сети можно отключить или настроить как тебе необходимо через групповые политики.   Установить на рабочие станции и сервера корпоративный антивирус, которым можно управлять через консоль администрирования. На шлюз можно вообще не устанавливать антивирус. Для рабочих станций - свой антивирус, для серверов - свой. Т.е. не пытаться ставить на сервера антивирусы, предназначенные для рабочих станций.   Как уже рекомендовал Mushroomer, грамотно раздать права на шары на файловом сервере. Не давать пользователям "для простоты и быстроты" больше прав чем им необходимо на самом деле.   Настроить резервное копирование. Можно использовать сторонний софт и/или родной ntbackup. Обязательно сохранять состояние системы с контроллера домена. Можно, конечно, поднять дополнительный контроллер, если есть свободный компьютер. Если имеется железный RAID 1, например, то резервирование .... всё равно лучше делать .   Следить за логами на сервере, своевременно решать проблемы. Обновления устанавливать желательно после резервного копирования.   ВСЁ. Для сервера достаточно. А групповые политики позволяют автоматизировать применение и распространение настроек. Как правило, они нужны в основном для рабочих станций и доменных пользователей. Всего записей: 836 | Зарегистр. 14-09-2005 | Отправлено: 17:32 12-09-2008

Mushroomer Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору niichavo Цитата: бязательно сохранять состояние системы с контроллера домена. А зачем это нужно (хотя у меня это тоже есть, но делал не я) на файловом сервере? Я думаю, что это точно нужно делать на контроллере домена. Всего записей: 22844 | Зарегистр. 19-01-2002 | Отправлено: 12:53 13-09-2008

niichavo Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Mushroomer А я про файловый сервер не говорил . Речь шла о контроллере домена. Но часто бывает, что один сервер выполняет роль файлового сервера и контроллера домена одновременно. Всего записей: 836 | Зарегистр. 14-09-2005 | Отправлено: 13:17 13-09-2008

zeliboba Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Спасибо всем кто откликнулся на мою просьбу! Вот еще вопрос, Где можно почитать про порты, только на русском, какие для чего нужны, какие открыть, какие закрыть. Хотябы не про все а про часто используемые софтом и виндой. Есть желание поставит файервол на сервак и может и на все клиенты, но только как его настроить правильно, т.е. че закрыть че открыть. И по проводу антивирей, они же все равно пропускают Spyware, а тут нарвался на софтину Spyware Terminator, она вроде даже в реальном времени работает. Стоит ее ставить или все таки лучше фаервол настроить нормально? Всего записей: 319 | Зарегистр. 16-09-2004 | Отправлено: 12:11 14-09-2008

veryom Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору zeliboba Цитата: Есть желание поставит файервол на сервак и может и на все клиенты На клиенты Windows XP SP2 (SP3) ставить внешний брандмауэр не нужно, т.к. есть встроенный. Управляется через Групповые политики в AD. Если на клиентах нет ПО, требующего установления входящих подключений, то закройте полностью входящие подключения.   Цитата: И по проводу антивирей, они же все равно пропускают Spyware, а тут нарвался на софтину Spyware Terminator, она вроде даже в реальном времени работает. Не увлекайтесь "софтинами", т.к. установка таких левых "софтин" часто ведет лишь к ослаблению защиты.   Поставьте антивирус на сервера и рабочие станции, настройте Software Restriction Policies (Политики ограниченного использования программ), принудите пользователей работать под ограниченными учетными записями. ---------- Как обойти административные ограничения Всего записей: 1242 | Зарегистр. 24-03-2006 | Отправлено: 14:04 14-09-2008

zeliboba Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Вот реальная ситуация: Есть рабочий комп, он в инете, на нем стоит dreamweaver для управления сайтом. Недавно мне сказали что что то залез именно через сайт (сайт не на нашем компе, а на сервере на платном домене) залезли в нашу локальную сеть и спокойно лазили по компам. Как мне прекратить этот бардак и защитить свой ком и сеть? Всего записей: 319 | Зарегистр. 16-09-2004 | Отправлено: 09:47 15-09-2008

veryom Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору zeliboba Цитата: Как мне прекратить этот бардак и защитить свой ком и сеть? Привлеките специалиста или стороннюю организацию для проведения аудита и настройки системы безопасности. Либо, если компрометация вашей организации не столь критична - разбирайтесь сами (опыта у вас в таких делах, я вижу, нет). Пишите сюда конкретные вопросы - мы вам поможем. ---------- Как обойти административные ограничения Всего записей: 1242 | Зарегистр. 24-03-2006 | Отправлено: 10:11 15-09-2008

zeliboba Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Помаленьку начинаю вникать. А по поводу портов вопрос так и остался открытым. Если даже фаервол ставить (Аутпост например) какие закрыть, как открыть? Всего записей: 319 | Зарегистр. 16-09-2004 | Отправлено: 11:30 15-09-2008

niichavo Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору zeliboba Цитата: Если даже фаервол ставить (Аутпост например) какие закрыть, как открыть?   По моему скромному мнению фаервол нужен только один, на шлюзе. И всё. На компьютерах локальной сети фаервол не нужен. Ну а если такой вариант приводит тебя в ужас, то удачи тебе в нелёгком деле по "файерволизации" всего без исключения.   Встроенного брандмауэра вполне достаточно. Узнай какие порты нужно отрыть для программ/служб на компьютере, добавь порты/программы в исключения. Для распространения настроек на компьютеры локальной сети используй групповые политики. Всего записей: 836 | Зарегистр. 14-09-2005 | Отправлено: 11:53 15-09-2008 | Исправлено: niichavo, 11:55 15-09-2008

651901 Newbie Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору У тебя ТрафикИнспектор стоит же. Включи "Сетевой экран" на внешнюю сеть. А какая сеть будет внешней задай сам в “Конфигураторе” по интерфейсам. Всего записей: 10 | Зарегистр. 21-06-2008 | Отправлено: 16:42 15-09-2008

slay1212 Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору zeliboba  Еще пару слов из собственного опыта. На шлюз во внешку ставь или что-либо из линухов (достаточно старенького пня 2-3), или аппаратный файрволл ( сейчас стоят копейки). Не ставь лишнего на контроллер (терминальный сервер, почту). Шлюз на виндах недолго проживет у тебя (у меня в свое время макс рекорд - 1 месяц ) Всего записей: 336 | Зарегистр. 28-05-2008 | Отправлено: 17:06 15-09-2008

veryom Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору slay1212 Цитата: Шлюз на виндах недолго проживет у тебя (у меня в свое время макс рекорд - 1 месяц Это всего лишь характеризует вас как плохого специалиста. У меня в качестве шлюза - ISA Server 2004, работает около трех лет (с момента первоначальной установки).     zeliboba Не слушайте "добрых" советов, типа "Windows - сакс, Linux - рулит!" Так говорят пионэры. Работайте с той системой, в которой вы умеете (вам удобно) работать. Умеете работать с Windows-системами - работайте с ними. ---------- Как обойти административные ограничения Всего записей: 1242 | Зарегистр. 24-03-2006 | Отправлено: 17:21 15-09-2008 | Исправлено: veryom, 17:22 15-09-2008

veryom Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору xReaper   Очень не хотелось бы разводить холивар, но я бы не сказал, что та же ISA уступает по безопасности *nix-решениям. А по критерию интеграции в Windows-окружение ISA, что очевидно, намного превосходит *nix. Я знаю, что и *nix можно настроить на взаимодействие с AD, но, во-первых, считаю, что не стоит городить гетерогенную сеть без достаточных на то оснований, а во-вторых, при неопытном админе как раз более безопасно и функционально будет ПО, которое ему ближе. Как мне кажется, ближе топикстартеру как раз Windows-решения. ---------- Как обойти административные ограничения Всего записей: 1242 | Зарегистр. 24-03-2006 | Отправлено: 09:16 16-09-2008

vovney Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору isa ессно уступает freebsd по безопасности в качестве шлюза. да ее еще и изнутри обойти легче Всего записей: 114 | Зарегистр. 13-12-2007 | Отправлено: 10:46 16-09-2008

Страницы: 1 2 3

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Безопасность сервера для чайников

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование