Dobre praktyki cz.2. Bezpieczna i profesjonalna sieć komputerowa w biurze

Ten artykuł dedykuję początkującym informatykom, który nie będzie  stricte przewodnikiem a jedynie krótkim poradnikiem na temat dobrych praktyk z zakresu bezpieczeństwa i wydajności systemów informatycznych, w małym i średnim przedsiębiorstwie.

 

  1. Antywirus komercyjny czy darmowy?

Wyobraźmy sobie następujący scenariusz:

Zostajesz zatrudniony w średniej firmie, jako pierwszy i jedyny informatyk i to od Ciebie będzie zależało czy będziesz miał spokój i czas na testy nowych rozwiązań, czy po prostu będziesz mieć trochę czasu dla siebie, czy też będziesz żyć w ciągłym stresie. Do pokoju twojego jedno-osobowego działu IT będziesz przemykać po kryjomu by nie zauważył cię żaden z użytkowników a twoja skrzynka mailowa będzie pękać w szwach od zgłoszeń awarii, próśb i gróźb wymierzonych w twoją osobę.

Jeśli interesuje Cię scenariusz numer 1, to tak powiem wprost, płatny antywirus oszczędzi wiele czasu, nerwów i zagwarantuje bezpieczeństwo, na co najmniej akceptowalnym poziomie. Jeżeli mamy pod naszą opieką od 5 do 10 komputerów, warto pomyśleć o rozwiązaniu, które zawiera również centralne zarządzanie antywirusami zainstalowanymi na komputerach użytkowników. W czym miałaby nam pomóc konsola centralnego zarządzania? Użytkownicy nie zawsze poinformują nas natychmiast, że pojawił im się komunikat o wykryciu próby infekcji lub  z jakiegoś powodu nie pobrały się nowe definicje wirusów. W wypadku centralnego zarządzania, każda instancja antywirusa działająca w firmie może być skonfigurowana tak, aby była pod stałym nadzorem usługi centralnego zarządzania, która jest np. zainstalowana na serwerze, maszynie wirtualnej, czy też w ostateczności na twoim komputerze. Oprócz tego, że możesz w każdej chwili sprawdzić, w jakiej kondycji jest bezpieczeństwo stacji roboczych, to również mamy też możliwość skonfigurować ową usługę tak, aby w wypadku każdego niepokojącego zdarzenia był wysyłany do nas e-mail, dzięki temu można powiedzieć bezpieczeństwo samo się pilnuje J. Niewątpliwą zaletą płatnego oprogramowania antywirusowego, jest też często możliwość stworzenia zautomatyzowanej i w pełni skonfigurowanej instalacji dla każdego komputera, co ogranicza nas tylko do uruchomienia pliku instalacyjnego na każdej stacji roboczej, po raz kolejny oszczędność czasu. Pojawia się jeden problem, jak przekonać właściciela czy managera/dyrektora do zakupu często kosztownego oprogramowania. Argumenty są dość solidne:

  1. Wyższa skuteczność – tutaj możemy pokazać wykres skuteczności wykrywania szkodliwych programów, często takie wykresy możemy pobrać ze strony producenta danego antywirusa, który nam najbardziej odpowiada. Na takich wykresach często rozwiązania darmowe są wręcz miażdżone przez rozwiązanie, które nas interesuje.
  2. Licencja – nie każdy darmowy antywirus jest przeznaczony do użytku komercyjnego(a my chcemy działać w pełni legalnie).
  3. Wizerunek firmy – profesjonalny poziom bezpieczeństwa również dobrze świadczy o firmie, dodatkowo, jeżeli konieczne będzie przeprowadzenie audytu zewnętrznego, to posiadając już profesjonalne rozwiązanie antywirusowe zyskamy kilka dodatnich punktów.
  4. Dane są najcenniejsze, jeżeli zapytamy się naszego przełożonego, lub osoby, która jest decyzyjna w kwestii zakupu owego rozwiązania, ile czasu firma może pracować, bez:

 

  • Dostępu do danych.
  • Dostępu do kluczowych aplikacji.
  • Może nawet bez działających komputerów.

Odpowiedź raczej będzie brzmiała „Ani chwili!”

 

  1. Oprogramowanie do backupu, czy jest nam do czegoś potrzebne?

W swojej wieloletniej karierze widywałem różne strategie kopii zapasowej, jedne oparte były o skrypty, które wykonywały kopię danych na np. udział sieciowy udostępniany przez inny serwer lub na serwer itp. Inne rozwiązania oparte były o oprogramowanie, które odpowiednio skonfigurowane przenosiło dane w bezpieczne miejsce. Często oprócz udziałów sieciowych nośnikiem docelowym mogła być taśma magnetyczna umieszczona w napędzie taśmowym. Widywałem też rozwiązania oparte o nośnik zewnętrzny podpinany przez użytkownika na czas wykonania kopi krytycznych danych. Rozwiązanie takie ma wiele wad i raczej starałem się takie rozwiązania eliminować jak najszybciej. Najgorszym z możliwych, z jakimi miałem do czynienia to rozwiązanie oparte o Dysk zewnętrzny na stałe podłączony do maszyny, która wykonuje na ten dysk kopię danych. Jeżeli mamy w warunkach firmowych taką kopię, to można powiedzieć, że nie mamy jej wcale. „Czemu?” Zapytacie, Odpowiedź jest prosta, jeżeli taka maszyna np. ulegnie infekcji wirusem typu Ransomware, to dane zostaną zaszyfrowane również na dysku zewnętrznym, który to miał przechowywać kopię bezpieczeństwa naszych danych. Najlepszą strategią backupu jest tak zwane Bare Metal Backup & Recovery (krótka definicja znajduje się pod tym linkiem: http://kb.arubacloud.pl/pl/backup/bare-metal-restore/co-to-jest-bare-metal-restore.aspx). Stosując Bare Metal Backup dokonujemy kopii zapasowej całego systemu w oparciu o tak zwane migawki, dzięki czemu możemy wrócić do dowolnego momentu przechowywanego w naszej kopii. Tak momentu, gdyż to taki trochę wehikuł czasu, co ciekawe, migawki takie najczęściej wykonywane są przyrostowo i zawierają tylko informacje o zmianach, jakie nastąpiły od ostatniego backupu. Chcąc zachować 14 kopii wstecz nie musimy przechowywać 14 kopii tych samych danych, ale przechowujemy plik pełnej kopii, która została wykonana za pierwszym razem. Przy każdej następnej operacji backupu, wykonywana jest migawka czyli w rzeczywistości posiadamy jedną kopię, która jest uzupełniana o zmiany w plikach i systemie. Co zyskujemy w wypadku Bare Metal? Zyskujemy czas, ale nie tylko nasz, ale całej firmy, gdyż przywrócenie stacji roboczej po dowolnej awarii zajmie stosunkowo mało czasu. W jednym z poprzednich artykułów proponowałem rozwiązanie firmy Veeam (wtedy to oprogramowanie nosiło nazwę Veeam Endpoint Backup). Obecnie zostało przemianowane na Veeam Agent for Windows(instalacja i konfiguracja nie różni się praktycznie niczym od Endpoint) a pod tym linkiem znajduje się krótki przewodnik po instalacji i konfiguracji tego znakomitego i darmowego rozwiązania: http://techpomocit.pl/index.php/2016/09/04/kopia-zapasowa-komputera-cz-1/ ).

 

  1. Maszyny wirtualne? A co to?

Tak mamy XXI wiek a sporo osób często, co gorsza związanych bezpośrednio z IT nie używała maszyn wirtualnych. Czasem jak się okazuje często nie wie, co to te magiczne maszyny wirtualne. Częsta wątpliwość, „A jak na tej maszynie zainstaluje coś, to nie stanie się nic z moim systemem?”. „A mogę tam postawić inny system i nie skasuje mi mojego?” To są najczęstsze wątpliwości. Odpowiadam wszystkim zlęknionym o swojego Windowsa, że nic się takiego nie stanie gdyż tzw. Hypervisor wirtualizacji tworzy osobne wyizolowane środowisko, które jedynie korzysta z zasobów na twoim komputerze. Dysk twardy dla takiej maszyny to najczęściej po prostu plik przechowywany na twoim fizycznym dysku, który oprócz zajęcia pewnej ilości miejsca na tym dysku nie wchodzi z nim w żadną inną interakcję. A co da nam wirtualizacja? Po pierwsze możliwość stworzenia sobie środowiska testowego i sprawdzimy sobie dzięki temu czy planowane rozwiązanie zadziała tak jak powinno lub czy dany program/skrypt wykona to, co faktycznie chcieliśmy by wykonał. Daje nam to również możliwość testowania i nauki innych systemów operacyjnych niż tylko ten obecnie nam znany. Możemy tworzyć sobie wirtualne laboratoria, w których będziemy wszystko testować zanim wdrożymy to w środowisku produkcyjnym. Ale to nie wszystko. Wirtualizacja spodoba się również pracodawcy, gdyż ta technologia redukuje koszty infrastruktury informatycznej. Padnie zapewne pytanie „a w jaki sposób?”. Otóż wyobraźmy sobie sytuację, w której potrzebujemy jedną maszynę z systemem Windows Server, jako Kontroler Domeny Active Directory i serwer plików. Oprócz tego potrzebujemy kolejnego Windows Server, który będzie wykorzystywać rolę IIS oraz będzie miał zainstalowany Serwer baz danych SQL. Okazuje się jeszcze, że chcemy uruchomić witrynę WWW, która będzie działać pod kontrolą systemu Linux. Bez użycia usługi wirtualizacji potrzebujemy trzech osobnych serwerów, gdyż nie jest zalecane(ze względu na bezpieczeństwo oraz stabilność i niezawodność systemu) by kontroler domeny, serwer aplikacji oraz baz danych to była jedna i ta sama instalacja systemu Windows Server. Dobrze. A co z Linuxem? To kolejna maszyna. W wypadku zastosowania wirtualizacji wystarczy nam jedna wydajna maszyna klasy serwerowej, do tego Windows Server 2012 R2 lub 2016 Standard. Dostajemy licencję na instalację systemu dla maszyny fizycznej i dwóch maszyn wirtualnych w obrębie tej samej maszyny fizycznej. A to wszystko dzięki wprowadzonej przez Microsoft Usługi Hyper-V, która dostępna jest od Windows Server 2008 R2 w wydaniach Serwerowych oraz od Windows 8.1 Pro w wydaniach Desktop. Krótko mówiąc to jeden zakup a w rzeczywistości możemy uruchomić dwa serwery czyli Windows Server(nie licząc instalacji na maszynie fizycznej, która świadczy nam usługę wirtualizacji poprzez rolę Hyper-V). Dodatkowo możemy też zainstalować w ramach tej samej maszyny fizycznej inne systemy operacyjne i używać ich równolegle. Istnieje też darmowy Wariant Serwera Hyper-V. Znajdziemy ten produkt pod nazwą Microsoft Hyper-V Server. Jest to w rzeczywistości Windows bez środowiska graficznego. W tym wypadku, jeżeli potrzebujemy zainstalować na maszynie wirtualnej w celach innych niż dla testów(przez 30 dni) system Microsoft Windows, konieczna jest już licencja na każdą instalację. Jeżeli posiadamy Windows 8.1 PRO lub Windows 10 PRO to również będziemy mieć dostęp do pełnej i nieograniczonej usługi Hyper-V.

 

4. Automatyzuj i pisz skrypty

Dla tych, którzy w minimalnym stopniu interesowali się programowaniem i znają dostatecznie choćby jeden język programowania, to przesiadka na dowolny inny i pisanie w nim skryptów nie powinno być trudne. W gorszej sytuacji są osoby, które unikały programowania jak ognia twierdząc, że nie wiążą swojej przyszłości z programowaniem. Te osoby będą mieć nieco „pod górkę”, ale nic straconego, gdyż człowiek jest w stanie nauczyć się wszystkiego. Czemu automatyzowanie pewnych działań i pisanie skryptów jest takie ważne? Oszczędzi nam to wiele czasu, ponieważ dobry skrypt raz napisany, latami może oszczędzać nam pracy i czasu. Backup baz danych, mapowanie dysków sieciowych, sprawdzanie stanu połączenia, ilości procesów, stanu macierzy dyskowej, powiadamianie o wszelkich nieprawidłowościach, automatyczna dystrybucja plików, to tylko kilka zastosowań skryptów automatyzujących. Poza tym nawet amatorskie programowanie to ciekawe i rozwijające hobby.