Шифрованная файловая система (EFS) – это мощная опция для защиты данных, которые хранятся на компьютерах Windows. EFS бесплатна и включается в каждую ОС, начиная с Windows 2000. Повсюду наблюдаются усовершенствования технологии, и EFS в этом смысле не является исключением. С развитием технологии стало значительно проще использовать EFS для большей части среды хранения данных. Однако вам не везде может понадобиться EFS, поэтому вам необходимо сузить границы и контроль до тех рамок, в которых такая файловая система может использоваться. Таким образом, будет отличной идеей воспользоваться преимуществом групповой политики для управления EFS.

Две стадии управления EFS

EFS имеет два уровня настройки. Первый уровень установлен на компьютерном уровне, который определяет, будет ли поддерживаться эта файловая система, и будет ли она доступна. Второй уровень – это уровень папок и файлов, этот уровень выполняет шифрование данных.

Windows 2000 (Server и Professional), Windows XP Professional, Windows Server 2003, Windows Vista и Windows Server 2008 все поддерживают шифрование данных, расположенных на компьютере. По умолчанию все эти компьютеры поддерживают шифрование данных, используя EFS. Конечно, это может быть и отрицательной характеристикой, поскольку некоторые данные или некоторые компьютеры не должны шифровать данные из-за логистики.

Большинство предприятий среднего и большого бизнеса сегодня очень сильно зависят от своих компьютерных сетей. Многие предприятия также имеют приложения, которые являются ключевыми для задач предприятия. В результате многим предприятиям требуется доступ ко многим частям своей сети постоянно. Если какой-то компонент оборудования дает сбой, ключевые приложения могут не работать. Однако пользователям сети до этого нет дела, им все еще нужны их приложения. Поэтому оборудование должно работать, как и ожидалось. В результате сеть должна защищать от вредоносной активности, чтобы обеспечивать высокую надежность.

Я разделил эту статью на две секции, чтобы обсудить два различных аспекта разработки сети высокой надежности. В первом разделе речь пойдет о безопасности. Во втором разделе мы поговорим о кластерах высокой готовности, очень распространенном методе преодоления сбоев сетевого оборудования, который также является дублером всех параметров безопасности, способных дать сбой.

MILS архитектура

Архитектура множественных независимых уровней защиты (Multiple Independent Levels of Security – MILS) является мощной методикой по защите системы, использующей множество приложений с множественными доступами. Суть архитектуры MILS состоит в том, что система разбивается таким образом, что сбой или повреждение одного раздела никак не сказывается на других разделах. Такое деление позволяет сертифицировать и диагностировать на предмет безопасности каждый раздел в отдельности. Ключевым компонентом архитектуры MILS является ядро MILS. Традиционные ядра (kernels) предназначены для обеспечения приложений максимально возможным количеством служб, в то время как сами ядра MILS выполняют всего четыре следующие функции:

• Изоляция данных
• Контролирование информационного потока
• Обработка циклов
• Ограничение ущерба

Существуют несколько вопросов, которые изо дня в день повторяются на доске сообщений сервера ISAServer.org и в списках подписчиков. Эти же самые вопросы задают также в общих новостных лентах брандмауэра ISA. Чтобы сэкономить всем уйму времени, я собрал 12 наиболее часто задаваемых вопросов, а также привел свои ответы на них. Я назвал этот список из двенадцати вопросов, касающихся брандмауэра ISA Firewall, грязной дюжиной. Порядок, в котором я представляю эти вопросы, неважен, просто мне так захотелось.

Грязная дюжина вопросов по брандмауэру ISA Firewall

Запуск Microsoft System Center Mobile Device Manager 2008 открывает замечательные перспективы для специалистов по ИТ, управляющих устройствами Windows Mobile в корпоративных сетях. Предоставляя возможности по управлению устройствами, управлению безопасностью и виртуальную частную сеть (Virtual Private Network – VPN) мобильных устройств

в одном продукте, это новое предложение может помочь в понижении административных нагрузок и способствовать повышению окупаемости (return on investment – ROI) для групп мобильных устройств.

Mobile Device Manager позволяет специалистам по ИТ использовать существующую инфраструктуру Active Directory® и групповых политик для принудительной установки параметров устройств. Возможности по беспроводному (Over-the-air – OTA) управлению устройствами позволяют специалистам по ИТ легко доставлять на устройства обновления и приложения, в то время как беспроводная самоподготовка упрощает развертывание и повышает его масштабируемость. Виртуальная частная сеть мобильных устройств дает конечным пользователям доступ к данным и приложениям за брандмауэром, в то же время предоставляя постоянно работающее подключение для контроля развернутых устройств администраторами. С учетом того, что все эти возможности входят в один расширяемый, настраиваемый и масштабируемый продукт, Mobile Device Manager является важным средством для сегодняшних специалистов по ИТ.

Обидно, что на выпуск первой версии Windows PowerShell отвели так мало времени. Сроки поджимали: мы готовили — ни много ни мало — Exchange Server 2007, а он завязан на Windows PowerShell. В общем, специалистам по Active

Directory работы хватало (параллельно готовили еще одну безделицу — Windows Server® 2008). В итоге функции управления Active Directory® в Windows PowerShell, прямо скажем, оставляют желать лучшего.

Честно говоря, управление Active Directory вообще в Windows PowerShell® есть. Разработчики Windows PowerShell мужественно пытались в последние минуты добавить более или менее пристойную поддержку интерфейса служб Active Directory (ADSI) — технологии, поддерживающей языки создания сценариев и уже известной пользователям VBScript.

Выпустив System Center Essentials 2007 в прошлом июле, корпорация Майкрософт выполнила свои обязательства перед предприятиями среднего бизнеса, заполнив разрыв между дорогостоящими, сложными корпоративными средствами и условно бесплатными решениями, чтобы предоставить единое решение для управления эксплуатацией информационных систем. Пакет Essentials 2007 специально разработан для нужд среднего бизнеса, где специалисты по ИТ часто выполняют широкий набор задач.

Пакет Essentials прост в установке и настройке, что позволяет специалистам по ИТ проводить профилактическое наблюдение за клиентами и серверами и управление ими, а также отслеживать ресурсы оборудования и программ. Он разработан для решения традиционно сложных задач управления, например наблюдения за приложениями и службами ИТ, более простого и эффективного развертывания серверного и клиентского программного обеспечения, а также устранения проблем в настольных системах.

С момента первоначального выпуска корпорация Майкрософт собирала отзывы от пользователей, уже использующих пакет Essentials для управления своей информационной инфраструктурой, и эта информация включена в первый пакет обновления для него. Помимо простого устранения ошибок, в пакет обновления 1 (SP1) введены существенные улучшения, которые делают продукт более гибким при удовлетворении потребности клиентов в различных случаях развертывания. Более того, улучшения в производительности значительно улучшают обслуживание пользователя и упрощают администрирование.

С момента выпуска службы Active Directory в составе Windows 2000 корпорация Майкрософт предоставила пользователям определение базовой схемы для реализации Active Directory.

Выпуск Active Directory® также обозначил изменение процесса написания множества приложений и их реализации в Windows®. До этого такие приложения, как Microsoft® Exchange 5.5, создавались с собственной структурой каталога. После появления Active Directory множество приложений (корпорации Майкрософт и других компаний) начали использовать преимущество предоставляемой базовой структуры вместо создания собственной схемы с нуля.

Первоначально использовалась предоставляемая Active Directory базовая архитектура, которая затем при необходимости расширялась. В Microsoft Exchange 2000, например, служба Active Directory использовалась для реализации систем обмена сообщениями, тем самым определяя будущее архитектуры системы обмена сообщениями Microsoft.

Сегодня работа множества приложений, созданных для работы в среде Active Directory, основывается на ее базовой схеме, во многих приложениях также определяются необходимые собственные изменения схемы. Для этого, разумеется, необходима схема с возможностью расширения, что и будет рассмотрено в данной статье. Более того, поскольку многие приложения зависят от базовых определений в Active Directory, постоянная стабильность основной схемы является исключительно важной. Так как многие приложения должны совместно работать в одной службе Active Directory, изменения одного приложения не должны воздействовать на другие приложения.

На случай возникновения каких-либо проблем, вам просто нужно подготовить все для того, чтобы при необходимости вернуться к Exchange Server 2003. В этой статье мы рассмотрим различные процедуры, которые вам нужно будет выполнять на разных стадиях процесса перехода, а также расскажем о том, как исправлять проблемы в случае их возникновения.

Общие задачи подготовки перед процессом перехода

Прежде чем мы начнем процесс перехода, нужно пересмотреть журналы событий на всех контроллерах доменов на предмет отсутствия каких бы то ни было предупреждений об ошибках. Если таковые имеются, необходимо их исправить, прежде чем продолжать процедуру. Кроме того, нужно убедиться в том, что все обновления Windows установлены. DCDIAG.EXE из Windows Support Tools может помочь вам в этом.

После этого вам нужно создать контрольную точку восстановления системы (резервную копию) на всех контроллерах доменов, чтобы вы смогли восстановить активную директорию в случае сбоя при установке.

Если вы начали глубже изучать Exchange 2007 и SSL, вы уже могли обнаружить, что не все так просто, как это казалось ранее. Вы больше не можете просто взять стандартный сертификат SSL и поставить его на сервер Exchange – если так сделать, все может работать неправильно, особенно если в сети стоит Outlook 2007.

В сети есть различные статьи, описывающие разнообразные способы создания сертификатов SSL для Exchange 2007, однако они часто не учитывают ISA Server. Загвоздка с Exchange 2007 в том, что SSL используется для большого количества разных функций, набор которых зависит от версии Outlook и от того, какая роль сервера установлена на компьютер.

В этой статье мы обсудим распространенный сценарий, где ISA Server используется перед единственным сервером Exchange 2007 в конфигурации с раздельным DNS. Для сервера Exchange мы используем сертификат SSL, созданный внутри сети, а для ISA Server публичный сертификат SSL. Разделение на публичный и частный сертификаты будет более гибким, что поможет в том случае, если внутренние требования Exchange поменяются, а также снизит затраты, так как требования к сертификату для Exchange 2007 означают, что вы можете просто взять любой старый сертификат от вашего любимого провайдера.

Чтобы все это заработало, вам не будет нужна огромная инфраструктура PKI, необходимо лишь, чтобы ISA Server и серверы Exchange доверяли вашему корневому серверу сертификатов! Ваши компьютеры-клиенты не обязательно должны доверять корневому серверу, так как Outlook 2007 НЕ ПРОВЕРЯЕТ «цепочку доверия» сертификата SSL для запросов адресной книги.