• Почему я считаю, что WAFL это не файловая система?

    pie-chart_view Костадис Руссос (http://blogs.netapp.com/extensible_netapp/2008/10/why-wafl-is-not.html)
    Мой перевод оригинального авторского текста.

    • System Center Configuration Manager 2007 ENG vs RUS

      vs Итак, пришло время поговорить о моих впечатлениях о локализованной версии Configuration Manager. Рассматривать ее я буду не как системный администратор (хотя требуются знания именно в этой области, чтобы корректно установить и настроить это ПО), а как лингвист-переводчик. Без сомнения, я не претендую на серьезный филологический труд, просто поделюсь наблюдениями. Скажу сразу: для подготовки к этой публикации я 15 минут покликал на пункты главного меню программы и разнообразные диалоги. Результат, увы, неутешительный: за это время обнаружилось более десятка неточностей, причем некоторые весьма сильно влияют на возможность администратора эффективно работать. Перейдем же от слов к скриншотам (если надписи не видны – нажмите на рисунок, он откроется полностью):

      1. Вопросы начинаются уже с самого первого действия, которое администратор совершает с программой. Например, Вы ходите задать адреса. Нажимаете правой кнопкой мышки в соответствующем месте и видите такое меню:

      01 - en 01 - ru

      Хмм… Странно. Но не страшно, многие, думаю, даже не заметят, однако глаз режет.

      2. Зададим границы сайта. Нажимаем Новая граница. И что мы видим, если пытаемся обозначить диапазон IP-адресов?

      02 - en 02 - ru

      Целевой адрес? Так вот в чем дело! Все стремятся иметь IP побольше…
      3. Ладно, пусть мы не используем диапазон IP, а культурно помещаем все компьютеры, которые требуется обслуживать, в рамки какого-нибудь сайта (у меня, не мудрствуя лукаво, остался Default-First-Site-Name). Выбираем соответствующий пункт из выпадающего меню, жмем Обзор. Так, а тут что? Читаем:

      03 - en 03 - ru

      В лесе?! Ну, что ж, не всем доступно правописание, а уж изменить слово по падежам – это вообще высший пилотаж… Для этого диплома переводчика уже не хватает. Хотя, даже интересно, хочется петь:
       
      В темном лесе, в темном лесе
      За лесью, за лесью…
      Распашу ль я, распашу ль я
      Пашенку…

       
      Мда, я отвлекся…

      4. Следующий пункт – весьма неочевидный. Здесь к знанию языка как такового примешивается логика и знание терминов, поэтому сильно переводчиков ругать не буду.
      Просто отмечу: «приоритет относительного адреса» – как-то не по-русски это, коллеги!

      04 - en 04 - ru

      5. Теперь приступаем к моему любимому. А именно, к свойствам того, что по-английски называется Remote Tools Client Agent. Здесь совсем сложно, запутано и не получается перевести без того, чтобы хотя бы одним глазком взглянуть на английский интерфейс. Но где наша не пропадала! Прорвемся!

      05 - en 05 - ru

      Целая плеяда неточностей: "на панели управления удаленного управления"! Мозги аж кипят! "Клиенты, использующие Windows 2000", "… при попытке администратора обратиться к клиентам". Речь произнести, видимо. Тут следует раз и навсегда определиться с вопросом, так клиент – это "кто" или "что", тогда многое прояснится.
       
      6. Следующая вкладка тех же свойств – Безопасность. Здесь наблюдаем классический случай омонимии, которая в принципе допускает двоякое толкование. Поэтому видим такие фразы: "укажите имена пользователей и группы" или "которым разрешено просматривать и управлять клиентскими компьютерами".

      06 - en 06 - ru

      Понимаю, трудно.

      7. Продолжаем изучение. Вкладка Уведомление.

      07 - en 07 - ru

      Текст очень радует: "укажите параметры …, чтобы указать…". Весьма неочевидный подход. И, конечно, орфография – "к удЕленному помощнику" – недостойна корпорации уровня Microsoft.
      8. Последняя вкладка – "Удаленный настольный компьютер"! Как Вам? Мне уже нравится!

      08 - en 08 - ru

      Но, как говорится, и это еще не все. Заметьте – "подключаться через подключение"! Да, там вам не здесь! Живо отучат безобразия нарушать…

      9. Впечатлившись "удаленным настольным компьютером", нажимаем кнопку Справка. Нужно же выяснить, что это такое.

      09 - en 09 - ru

      Интересно, что здесь написано "удаленный рабочий стол", но ровно через 5 строк – "удаленный настольный компьютер".  Слава Богу, справку переводили другие люди. Спасибо им.

      10. Отвлечемся, наконец, от свойств. Перейдем к Методам обнаружения.

      10 - en 10 - ru

      Лично мне здесь нравится "Обнаружение пакета пульса". Гораздо менее очевидно, чем Heartbeat Discovery. Но тут уж, как говорится, мнение переводчика.

      11. Out-of-band Service Point.

      11 - en 11 - ru

      Внешняя точка обслуживания?! Это как? Создается впечатление, что кто-то проникает в мою сетку и обслуживает ее. Даже боязно…
       
      12. А если уж брать права пользователей:

      12 - en 12 - ru

      «Читать, удалить, управление, создать, делегировать, управление папками…» – в глазах рябит!

      13. И на закуску – небольшое сообщение об ошибке:

      013 - en 013 - ru

      Такое повествование очень хотелось бы закончить моралью. Но сделать это сложно. Я так и не смог для себя сделать вывод, кто же переводил эту во всех смыслах полезную программу. Могу сказать вот что: переводчик, все же, был профессионал – видно стремление стандартизировать перевод, подобрать однозначные соответствия (т.е. одному слову в английской версии регулярно соответствует одно слово в русской). Подход весьма неплохой, однако тот конец этой палки, который они не держат в руках, временами бьет по лбу. Также отмечу, что профессионал-переводчик в своей работе пользуется пакетом программ MS Office. И это само по себе хорошо. Но проблема в том, что сознание не может выйти за пределы терминов, используемых в офисе. Поэтому мы видим такой перевод: New -> Новый документ или Create -> Создать.

      И в заключение – спасибо Microsoft за предоставленный переводчикам шанс приобщиться к миру высоких технологий.

       

      Константин Трещев
      MCP, MCTS,

      http://mcp.saratov.com/treshyov


       

      • О сбалансированности

        Text Document В практике каждого системного интегратора случаются проекты далекие от идеального “проекта мечты”, часто на пути к реализации “идеальный проект” обрастает правками, как днище корабля ракушками, настолько, что к реализации приходит уже совсем иная система, нежели та, что изначально планировалась. К сожалению, далеко не всегда эти изменения идут проекту на пользу. Давайте рассмотрим наиболее частые случаи.

        «Перелет» – система «навырост»

        Достаточно распространенный случай несбалансированной системы это покупка системы «навырост», под дальнюю перспективу, неоправданную на сегодняшний день, либо с переоценкой потребностей. Немалую роль в этом играют и сами системные интеграторы, которые всегда рады «исполнить любой каприз заказчика за его деньги», и, разумеется, поощряющие его на такие дорогостоящие капризы. Чаще всего они пользуются как неадекватной оценкой потребностей клиента (например, отсутствием или неверно выполненным анализом необходимой производительности информационной системы, частью которой становится система хранения, завышением требований), либо путаницей, зачастую преднамеренной, созданной многочисленными маркетинговыми обещаниями.

        «Мы не хотим покупать систему с 2GB FC портами, ведь уже есть 4GB порты, а они вдвое быстрее!».
        «Нам нужна система хранения с самыми быстрыми дисками, на 15K. Ведь когда у нас стояли в сервере два диска SCSI на 10K, все было очень медленно».
        «Мы хотим библиотеку на дисках BluRay, потому что это самая новейшая технология. Библиотеки на магнитных лентах давно устарели!»

        В защиту такого поведения системных интеграторов следует сказать, что зачастую процесс апгрейда имеющейся системы хранения для оборудования большинства вендоров-создателей систем хранения зачастую сопряжен с серьезными временными и денежными затратами (приятным исключением являются системы Network Appliance). Затраты настолько велики, что зачастую выгоднее становится, при малейшем подозрении на перспективы значительного роста (и зачастую невозможности провести адекватный «сайзинг»), потратить сегодня больше, с тем чтобы отодвинуть время необходимости смены системы хранения как можно дальше в будущее, а в идеале передать этот хлопотный и мучительный процесс следующему IT-менеджеру 😉

        «Недолет» – всюду жмет

        Часто приходится сталкиваться и с обратным случаем. В особенности такое происходит в случае «предельно бюджетного» варианта. Недооценка в данном случае также вредна, как и переоценка. Покупка системы, не обеспечивающей решение запланированных задач является, как правило, бессмысленной тратой денег, безрезультатным расходом бюджета IT-отдела, который вместо этого можно было бы пустить на цели, могущие дать в этом случае реальный прирост производительности IT-системы. Ведь, как правило, «узкое место» бывает не одно. Приобретение такой системы бывает следствием мнений:

        «Давайте купим самую дешевую систему, ведь главное, чтобы на нее поместилась наша база данных!»
        «Может быть просто купить 6 дисков SATA для нашего сервера, и этого будет достаточно?»
        «Мне выделили 3 тысячи долларов на покупку системы хранения, надо купить что-нибудь крутое за эти деньги. Например терабайта на два-три».

        Результатом может быть лишь разочарование.
        Впрочем даже не выполняющая свои задачи система хранения увеличивает общую капитализацию компании, и бонусы как продавца, так и покупателя, что в ряде случаев также может оказаться полезным 😉

        Несбалансированная система – «перекосы»

        Обычно это частный случай рассмотренного выше, сочетание первого и второго, когда в системе что-то одно «жмет», а что-то другое «навырост».

        4GB FC ports и диски SATA
        Диски 15Krpm на системе для резервного копирования данных.
        Восьмипроцессорный сервер под 1С:Предприятием 7.7

        При несбалансированности решения вполне можно потратить бездну денег и получить 5% прирост производительности. Хороший пример – недорогая система хранения начального уровня, наполненная дисками 15K. По сравнению с дисками 10K цена вырастает минимум на треть, однако вовсе не факт, что на недорогой системе хранения производительность вырастет в полтора раза, как это могло бы быть на более мощной системе с большим кэшем и более мощным процессоро
        м обработки. Просто возникает эффект «бутылочного горлышка»: как ни дави, сколько ни трать денег, все равно больше, чем просочится через самое узкое место, из системы не выжать. Происходит эффект мотора от Феррари на Жигулях. Много дыму, рева, расхода высококачественного бензина, однако реальная скорость передвижения практически не увеличилась.

        В отличие от выше рассмотренных вариантов, где решение зачастую диктуется самим клиентом (или его финансами), в рассматриваемом случае, без сомнения, вина за продажу несбалансированной системы прежде всего ложится на системного интегратора

        «Недодумали» или «переоценили»

        Достаточно часто встречаются в жизни даже не столько «системные» перекосы, такие как рассмотренные выше, а мелкие, локальные, но имеющие не менее губительные последствия. Наиболее часто встречается несовместимость проданного оборудования и программного обеспечения или разного оборудования между собой.
        В случае «многовендорного» интеграционного проекта, с множеством участников со стороны производителей оборудования и ПО, «матрица совместимости» проекта может расти в геометрической прогрессии. Учесть всю возможную специфику взаимодействия программных и аппаратных компонентов, взаимодействующих «каждый с каждым», бывает достаточно непросто.
        В рассмотренном случае вина за проблемы ложится целиком на системного интегратора.
        Однако зачастую проект начинает перекраиваться по требованию заказчика. Во множестве случаев у интегратора не оказывается достаточно «рычагов» и сил, чтобы воспрепятстсвовать такому вмешательству “специалистов, которые платят деньги и заказывают музыку”.

        Пример из жизни
        Крупный химический завод хочет создать отказоустойчивую систему управления производством, использующую базу данных Oracle. Для этого создается кластер на базе Veritas Cluster Server из двух серверов SUN, приобретается common storage EMC CLARiiON CX, к которому по FC подключаются два сервера SUN Fire V. Казалось бы, все хорошо: в случае выхода из строя одного из серверов, с помощью служб VCS задача системы управления производством, представляющая собой БД Oracle и написанные вокруг нее приложения, рестартует на резервном сервере. Однако в какой-то момент из спецификации «в целях экономии IT-бюджета» вычеркивается Veritas Storage Foundation с журналируемой файловой системой VxFS для Solaris. И все устанавливается на обычный UFS.

        И теперь в случае выхода из строя первичного сервера, резервный запускается, монтирует на себя common storage на EMC CLARiiON, и… запускает fschk.
        На 20 минут.

        «“Немного недодумали” чаще всего означает, что не думали вообще».

        Romx

        http://blog.aboutnetapp.ru/

        • Представлена новая версия SCCM – SCCM.Next

          • Рубрика: System Center,Новое
          • Автор: Алексей Тараненко
          • Дата: Wednesday 29 Apr 2009

          mms_sccmv.next_0 Появились первые сведения о следующей версии Configuration Manager. На сессии System Center Configuration Manager “State of the Union” Билл Андерсон (Bill Anderson) и Джош Поинтер (Josh Pointer) представили новую версию SCCM, под кодовым названием SCCM.Next

          Новая консоль

          Первое что бросается в глаза – измененная консоль администрирования. Она стала очень похожей на консоль администрирования SCOM. Наконец-то больше не нужно постоянно нажимать F5!

          RBAC – Role Based Access. В демке было показано, что SCCM.next существенный акцент был сделан разработчиками на безопасности. Теперь при запуске консоли SCCM пользователь видит только тот функционал который ему разрешен . В SCCM 2007 сегодня, все пользователи видят все пункты в консоли.

          В консоли вы сможете найти следующие элементы:

          -Администрирование (administration)
          -Ресурсы (resources)
          -Распространение (deployment)
          -Мониторинг (monitoring)
          -Отчеты (reporting);
          -Обновления (software updates);
          -Управление иерархией сайта (site hierarchy management)

          Cистемные требования

          Для SCCM.next теперь нужно:
          -Windows Server x64 bit -  для всех серверов и функции сайта, за исключением:Branch distribution points и стандартной DP для  Windows 2003 32-bit
          -SQL Server 2008 только в 64-битной версии
          SQL Reporting является единственным способом отчетов. Старых отчетов через ISS больше нет.

          Существенные изменения будут в OSD

          Теперь в OSD можно будет делать запланированные обновления образов системы. Образ системы можно поддерживать в актуальном состоянии с помочью всего одного клика.

          Можно создать OEM media disk. Этот диск сможет использовать ваш поставщик оборудования еще на этапе подготовки сборки компьютеров для вашей компании.

          Task sequence, используемые в OSD теперь распространяются с USMT.  Поддержка USMT 4.0, которые смогут работать даже из Windows PE.

          Изменения в Software update

          Загрузку и установку обновлений теперь можно настраивать на зависимость от выполнения ряда требований. Например при вирусной опасности.

          Разное

          Больше контроля над агентами, в том числе авто-восстановление при ошибках.

          В SCCM.next будет свой собственный механизм оповещения. Вы можете создавать сигналы, например,  если статус агент клиента становится критическим или определенное количество компьютеров не смогло установить обновление или программу.

          Mobile Device Manager  будет интегрирован, таким образом получаем единую точку управления клиентскими устройствами.

          SCCM.Next будет иметь возможность ограничивать полосу пропускания на Distribution point. Сейчас такое возможно, только между сайтами Configuration manager.

          Информация о лицензировании будет объявлена в течение 60 дней.

          Дата релиза пока неизвестна.

          Скриншоты

          mms_sccmv.next_2 mms_sccmv.next_3 mms_sccmv.next_4 mms_sccmv.next_5

          Алексей Тараненко

          MCP/MCTS: SCCM 2007

          altaranenco@gmail.com

          • NetApp System Manager

            Netapp-logo Исторически первым интерфейсом администрирования систем хранения NetApp была командная строка в консоли администратора, доступная по телнету или ssh для любой системы NetApp.
            Так как, исторически, главной “целевой аудиторией” для первых систем хранения NetApp были системные администраторы UNIX, было решено сделать консоль администрирования настолько похожей на стандартную UNIX-консоль, насколько это возможно.
            Именно потому, что консоль NetApp настолько “юниксподобна”, это год за годом порождает слухи в “хитро спрятанном линуксе инсайд” хотя внутри NetApp и совершенно не UNIX, или по крайней мере нечто, совсем отличное от известных большинству UNIX-систем. Давным-давно я уже писал, что именно находится внутри, интересующиеся могут сходить в тот пост.

            С расширением “аудитории” NetApp возникла потребность в создании чего-то более GUI-образного и “интуитивно-понятного”, и в 1996 году, 13 лет назад, появился веб-интерфейс FilerView, на тот момент один из первых такого рода на рынке систем хранения.

            filerview

            В тот момент это была прорывная технология, так как позволяла управлять системой хранения, наряду с традиционным методом из командной строки, который по прежнему существует и поныне, и из окна веб-браузера, что облегчило работу для нового поколения сисадминов, не проходивших суровую спартанскую школу командной строки Юникс.
            Важной особенностью веб-интерфейса было то, что в отличие от других аналогичных разработок, она почти полностью позволяла выполнять задачи администрирования системы хранения, не прибегая к командной строке.

            Повторюсь, для 96 года это был прорыв. Однако с той поры прошло уже, страшно подумать, 13 лет, выросло уже, по сути, новое поколение “сисадминов”. Веб-технологии развивались стремительными шагами, и интерфейс FilerView стал выглядеть, деликатно выражаясь, несколько архаично. Да он по прежнему прост и функционален, по прежнему делает все, что необходимо, но уже совсем не “радует глаз”.
            Зачастую это даже стало вызывать определенное отторжение у новичков. Встречают в мире по прежнему по одежке.

            В недрах NetApp довольно давно велись работы в этом направлении, так, standalone GUI под названием StorVault Manager получило семейство StorVault (S-Series), выходили специальные “мастера” начальной устрановки систем FAS под Windows (QuickSetup Wizard и FAS Easy Start Wizard), а также продукты Protection/Provisioning Manager, “гуизирующие” определенные фрагменты общего процесса.

            2

            3

            4

            И вот, наконец, все вместе, в новом продукте для управления вашими системами FAS: NetApp System Manager.

            Важно понимать, что, также как появление FilerView в 1996 году не убило командную строку, так и появление System Manager не означает конец жизни FilerView или командной строки. Вы можете по прежнему пользоваться тем, что вам более удобно, и их разработка будет продолжена. Но появились и будут появляться впредь новые инструменты. Давайте посмотрим что ж нам приготовили.

            Скачивается дистрибутив NetApp System Manager, размером 4 MB с вебсайта NOW, там же, где и все остальное ПО NetApp, и доступен без оплат и лицензий.
            Он представляет собой надстройку для стандартной Microsoft Management Console (MMC).

            Сначала нам предлагается найти и подключить в консоль наши системы. Можно либо автоматически найти их в определенной подсети, так и указать конкретные адреса. Также можно задать community для получения данных SNMP, если вы меняли public, заданную по умолчанию.

            5

            Затем нам предлагают осуществить подключение, которое мы выберем по SSL.

            6

            Будет спрошено имя администратора системы храненя, и – все. Система подключена.

            7

            Выберем ее, и увидим вот такую красоту:

            8

            Это стандартный дашборд, показывающий определенный набор “оперативных данных”.
            Выберем слева в дереве объектов нас интересующее:

            Например вывод syslog системы:

            9

            Или настройку CIFS:

            10

            Настройки сетевых интерфейсов:

            11

            Или создание и настройку LUN-ов:

            12

            В также настройки томов и состояние дисков:

            13

            14

            В целом система мне показалась безусловным мастхэвом, и если вы администрируете системы NetApp сидя под Windows (SysMan это MMC-надстройка), то имеет смысл посмотреть System Manager повнимательнее.

            Romx

            http://blog.aboutnetapp.ru/

            • Удаление обновлений

              • Рубрика: System Center,Новое
              • Автор: Алексей Тараненко
              • Дата: Sunday 26 Apr 2009

              editdelete Обновления программного обеспечения один из краеугольных камней компьютерной безопасности. Очень важно правильно подходить к процессу управления обновлениями. К сожалению, иногда установка того или иного обновления может приводить к ошибкам в работе системы или в работе сторонних программ. Если это произошло, необходимо удалить обновление вызывающее ошибку. При удалении обновлений очень важно соблюдать правильную последовательность. При откате обновления, обновленные файлы заменяются на архивные копии. Таким образом, мы можем нарушить работоспособность системы, если проведем удаление обновлений в неправильном порядке.

              Пример:

              Update1 (KB 100001) – обновляет файл targed.dll с версии 5.25 до версии 5.77. Файл targed.dll (5.25) будет сохранен в %systemdrive%\Windows\$NTUninstallKB100001$\

              Update2 (KB100002) – обновляет файл targed.dll (5.77) до targed.dll (6.0), оригинальный файл сохраняется в архиве. Также это обновление обновляет файл bad.dll с версии 0.1 до версии .02

              Update3 (KB100003) – обновляет файл targed.dll с версии 6.0 до версии 6.5.

              Допустим, мы выяснили, что обновленный файл bad.dll (0.2) вызывает ошибки в работе бизнес-приложения. При этом bad.dll(0.1) таких ошибок не вызывал. Мы принимаем решение об откате обновления Update2, чтобы восстановить нормальную работу. Но при этом удаление обновления update2 вызовет замену рабочего файла targed.dll (6.5) на архивную версию targed.dll(5.77). Соответственно мы потеряем изменения сделанные обновлением Update3. Естественно такая ситуация может вызвать трудно диагностируемые сбои в работе системы.

              Подробнее в статье «Removing Windows software updates in the wrong order may cause the operating system to stop functioning»

              Поэтому в данной ситуации правильным будет следующий сценарий:

              · удаление обновления Update3;

              · удаление обновления Update2;

              · установка обновления Update3.

              Для того чтобы узнать какие файлы исправляет обновление, или какие версии обновлений оно заменяет, обратитесь к описанию обновления на сайте Microsoft

              Например: http://www.microsoft.com/technet/security/Bulletin/MS08-065.mspx

              System Center Configuration Manager не может самостоятельно удалять обновления. Для удаления обновлений вы можете воспользоваться одним из вариантов:

              1)ручное удаление обновление с каждого компьютера, через оснастку «Установка и удаление программ» – имеет смысл, если проблемных компьютеров один-два;

              clip_image002

              Рисунок 1 Установка и удаление программ – действия на обновлениями

              2)удаление обновления через WSUS. Для этого в консоли администрирования WSUS найдите необходимое обновление и одобрите его для удаления

              clip_image004

              Рисунок 2 Одобрение для удаления обновления во WSUS

              3)Использование программы установки обновлений. Для удаления обновления запустите %systemdrive%\Windows\$NTUninstallKBnumber$\spuninst\spuninst.exe

              Подробнее: http://support.microsoft.com/default.aspx/kb/832475/ru

              Если у вас проблемное обновление установлено на несколько компьютеров, то проблем с его поиском и удалением быть не должно. Как быть если обновление установлено на несколько десятков или даже сотен компьютеров? Использовать SCCM для удаления обновления.

              Для начала давайте определимся со списком компьютеров, на которых установлено это обновление. Список компьютеров с установленным обновлением вы можете получить через отчет: Software Updates – A. Compliance – Compliance 9 – Computers in a specific compliance state for an update

              Отчет это очень красиво, но он не поможет нам удалить обновления. Для удаления обновления создадим коллекцию UninstallUpdate. На странице правил членства в коллекции выбираем «Query rule». Задаем имя правила и нажимаем кнопку «Edit Query Statement».

              clip_image005

              Рисунок 3 Создание запроса членства компьютеров

              В появившемся окне выбираем «Attribute class – Add\Remove programs» и «Attribute – Display Name»

              clip_image006

              Рисунок 4 Указание, что выборка производится из установленных программ

              Теперь нажимаем кнопку «Value».

              clip_image007

              Рисунок 5 Задание удаляемой программы

              Нам выводиться список всех программ установленных на всех компьютерах сайта. Прокручиваем список и находим записи об установленных обновлениях. Выбираем обновление которое вызывает ошибки.

              clip_image008

              Рисунок 6 Список установленных программ в сайте

              Несколько нажатий кнопок OK и мы получаем сформированный критерий членства в коллекции.

              clip_image009

              Рисунок 7 Критерий членства в коллекции

              Хочу заметить, что вы можете создавать несколько критериев одновременно. Равно как и искать обновления с помощью подстановочных знаков. Например, запись вида %KB95% сформирует вам коллекцию из машин, на которых установлено любое из обновлений, номер статьи которого начинается с 95.

              clip_image010

              Рисунок 8 Итоговое окно

              После создания коллекции – распространяем на нее через Software Distribution скрипт, который удалит наши обновления. В данном случае скриптом будет обычный bat-файл, в который будет последовательно удалять обновления с помощью spuninst.exe.

              Помните, что правильную последовательность удаления обновлений вы должны задать самостоятельно!

              Алексей Тараненко

              MCP/MCTS: SCCM 2007

              altaranenco@gmail.com

              • Управление обновлениями в System Center Configuration Manager 2007 (Часть 3)

                • Рубрика: System Center,Новое
                • Автор: Алексей Тараненко
                • Дата: Sunday 19 Apr 2009

                Green_Atom В предыдущих статья мы поговорили об общем подходе к управлению обновлениями и о механизме взаимодействия Windows Software Update Services (WSUS) и System Center Configuration Manager (SCCM). Пришла пора рассказать о том, «как и какие кнопки нажимать» в Configuration Manager  для распространения обновлений.

                • Шифрование информации на мобильных компьютерах

                  • Рубрика: Security,Новое
                  • Автор: Владимир Безмалый
                  • Дата: Thursday 16 Apr 2009

                  decrypted Сегодня в организациях все чаще применяется шифрование мобильных устройств. Ведь именно эта мера послужит последней линией обороны в случае, если ноутбук попадет в руки злоумышленников. Но при внедрении шифрования в организации возникает масса вопросов, как правильно организовать данный технологический процесс. В предлагаемой статье я остановлюсь на тех процессах, которые необходимо осуществлять для правильного внедрения шифрования с использованием технологии BitLocker, реализованной в некоторых редакциях Windows Vista, как составной части организации защиты информации в компании.

                   

                  Краткий обзор технологии BitLocker

                  BitLocker – важная новая технология защиты информации, появившаяся в операционной системе Windows Vista, обеспечивающая шифрование данных на компьютере. С помощью этой технологии вы сможете зашифровать весь жесткий диск и обеспечить его защиту в случае, если ноутбук попадет в руки злоумышленника. Наиболее эффективно применение данной технологии для портативных компьютеров, оборудованных модулем Trusted Platform Module (TPM) версии 1.2 и выше, так как в таком случае вы получите расширенную поддержку и проверку целостности всей системы при загрузке. Кроме того, в случае если компьютер не оборудован TPM, вы сможете использовать в качестве ключа внешний USB-накопитель в качестве устройства для хранения ключа доступа.

                  Планирование развертывания

                  Для того чтобы грамотно провести развертывание инструментальных средств шифрования в организации, нужно четко представлять себе все потенциальные проблемы, которые могут при этом возникнуть. Для внедрения BitLocker вы должны рассмотреть следующее:

                  1. Оценить готовность аппаратных средств к BitLocker;
                  2. Определить возможность развертывания;
                  3. Выбрать конфигурацию BitLocker;
                  4. Создать план восстановления данных в случае чрезвычайной ситуации.

                  Постараемся рассмотреть эти вопросы подробнее.

                  Оцените готовность аппаратных средств к применению BitLocker

                  Для того чтобы вы могли использовать BitLocker, компьютеры компании должны удовлетворять перечисленным ниже требованиям.

                  • Операционная система Windows Vista Enterprise или Windows Vista Ultimate;
                  • Если вы хотите использовать BitLocker вместе с модулем TPM, материнские платы компьютеров должны быть TPM-совместимы, т.е. оборудованы модулями TPM, соответствующими спецификации Trusted Computing Group TPM v.1.2 или более новыми;
                  • Жесткий диск должен содержать два раздела с файловой системой NTFS. Раздел, на который BitLocker будет записывать загрузочные компоненты, должен быть первым и содержать не менее 1,5 Гбайт чистого пространства. Кроме того, это должен быть активный раздел.

                  Для того чтобы узнать, удовлетворяют ли ваши компьютеры указанным требованиям, можно использовать сценарии Windows Management Instrumentation (WMI) или PowerShell. Однако гораздо предпочтительнее задействовать Microsoft Systems Management Server (SMS) или аналогичные утилиты от независимых производителей.

                  Аппаратные требования BitLocker

                  Фактически аппаратные требования для использования BitLocker аналогичны тем требованиям, которые предъявляются к компьютерам для установки Windows Vista.

                  Однако если вы решите использовать расширенные возможности, связанные с поддержкой ТРМ, потребуются компьютеры, оборудованные TPM-модулем версии 1.2 или более новым. На сегодняшний день уже многие переносные компьютеры оборудованы соответствующими модулями, однако стоит помнить, что установить эти модули на уже имеющиеся компьютеры невозможно.

                  На компьютерах, не оборудованных ТРМ, можно использовать ключи шифрования, размещаемые на USB-дисках. Но такой способ размещения ключей шифрования значительно менее надежен, ведь в данном случае шифрование будет зависеть только от того, как пользователи будут хранить соответствующие USB-устройства. А если учесть, что многие из них будут хранить USB-диски в тех же сумках, в которых хранят ноутбуки, то такой способ хранения ключей шифрования не выдерживает никакой критики.

                  Стоит учесть, что для некоторых компьютеров, уже оборудованных ТРМ версии 1.2 может потребоваться обновление BIOS. Как правило, это в первую очередь актуально для компьютеров, выпущенных до 1 января 2007 года.

                  Стоит обратить внимание на то, что некоторые BIOS могут загружать систему с USB-дисков. Если вы хотите использовать BitLocker, то эту возможность нужно отключить. Жесткий диск должен быть первым устройством в списке загрузки.

                  Каждый компьютер, на котором будет использоваться BitLocker, должен содержать два раздела. Один – для операционной системы и данных, а второй, поменьше, используется только когда компьютер загружен, или для обновлений операционной системы. Оба раздела должны использовать файловую систему NTFS, при этом Microsoft рекомендует, чтобы загрузочный раздел (меньший) содержал не менее 1,5 Гбайт свободного пространства.

                  Пользователи Windows Vista Ultimate могут использовать BitLocker Drive Preparation Tool для создания раздела (чтобы использовать BitLocker). Этот инструмент описан в статье Microsoft Knowledge Base номер 930063 «Description of the BitLocker Drive Preparation Tool» (http://support.microsoft.com/kb/930063). Microsoft не рекомендует вручную создавать или изменять размеры разделов, в соответствии с требованиямя BitLocker, хотя в моей практике пришлось создавать разделы именно вручную при помощи программы fdisk из операционной системы Windows 9x.

                  Вы можете использовать чистую установку Windows Vista (ведь создание разделов – это составная часть процедуры установки) или задействовать Drive Preparation Tool.

                  Trusted Platform Module

                  Понимание предназначения этого аппаратного обеспечения является важнейшей частью настройки BitLocker. Для того чтобы больше узнать о технологии TPM и о самой группе Trusted Computing Group, следует прочесть статью Trusted Platform Module (TPM) Specifications https://www.trustedcomputinggroup.org/specs/TPM.

                  Доверенный платформенный модуль, так дословно переводится название ТРМ, – это микросхема, установленная на материнской плате, предназначенная в первую очередь для хранения ключей шифрования.

                  Фактически компьютеры, на которых установлен ТРМ, создают ключи шифрования таким образом, что они могут быть расшифрованы только с помощью ТРМ. Этот процесс часто называется «сокрытием» (wrapping) или «привязкой» (binding) ключа, что помогает защитить ключ от компрометации. В каждом модуле ТРМ есть так называемый главный ключ (master key), или основной ключ (Storage Root Key, SRK), который никогда не будет доступен другому компоненту системы и который всегда хранится в ТРМ.

                  Кроме того, компьютеры, оснащенные ТРМ, также обладают возможностью создавать ключи, которые будут не только зашифрованы, но и привязаны к определенной системной конфигурации. То есть ключи могут быть расшифрованы только в том случае, если платформа, на которой их пытаются расшифровать, будет полностью совпадать с той, на которой эти ключи создавались. Данный процесс называется «запечатыванием» ключа в модуле ТРМ. Т.е. используя такую технологию и BitLocker Drive Encription, можно сделать так, чтобы ваши данные были разблокированы только в том случае, если они будут считываться с компьютера с подходящей аппаратно-программной конфигурацией.

                  Стоит также отметить, что, так как модуль ТРМ не зависит от операционной системы и имеет собственное программное обеспечение, он фактически защищен от возможных ошибок операционной системы.

                  Системные требования для установки BitLocker

                  Windows Vista поставляется в нескольких редакциях, однако только Enterprise и Ultimate поддерживают технологию BitLocker. Вместе с тем стоит помнить, что Microsoft включает средство обновления Windows Anytime Upgrade, описанное в оперативной подсказке к Windows Vista. Например, вы можете обновить Windows Vista Business Edition до Windows Vista Ultimate Edition с помощью средства Anytime Upgrade. Однако в некоторых случаях вам потребуется повторная установка, например, превращение 32-разрядной версии в 64-разрядную потребует повторной установки 64-разрядной версии Windows Vista.

                  Развертывание Windows Vista

                  Программное руководство Solution Accelerator for Business Desktop Deployment http://go.microsoft.com/fwlink/?LinkId=91187 обеспечит всесторонний набор руководств и инструментов для внедрения Windows Vista на предприятии. Если вы планируете развертывание Windows Vista, помните, что BitLocker не может быть установлен и настроен удаленно, так как ТРМ не может быть инициализирован удаленно. А кроме того, может потребоваться обновление системы BIOS для полного удовлетворения требованиям установки BitLocker.

                  Поскольку BitLocker недоступен пока вы не установите Windows Vista, вы должны решить, хотите ли вы обновлять компьютеры с Windows XP до Windows Vista или предпочтете чистую установку новой операционной системы. Для установки BitLocker нужно разметить жесткий диск особым образом (эти требования описаны в Windows BitLocker Drive Encryption Step-by-Step Guide http://go.microsoft.com/fwlink/?LinkId=83223), и если вы планируете обновить существующие операционные системы Windows XP, то должны запланировать изменение логической структуры жестких дисков компьютеров.

                  Вместе с тем инструментальные средства Windows Vista Business Desktop Deployment (BDD) поддерживают автоматическое развертывание BitLocker при некоторых обстоятельствах. В Lite Touch Installation Guide http://go.microsoft.com/fwlink/?LinkId=78607 описано развертывание BitLocker как части операционной системы.

                  Определите возможность развертывания BitLocker

                  После того, как вы определите наличие аппаратных средств и программного обеспечения, которые поддерживают один или более режимов функционирования BitLocker, следующим шагом будет определение тех компьютеров, на которых будет разворачиваться BitLocker. Для этого вам потребуется ответить на следующие вопросы:

                  • Какие компьютеры в вашей организации нуждаются в защите?
                  • Нужно ли защищать все ваши мобильные и настольные компьютеры?
                  • Какие данные в вашей организации нуждаются в криптографической защите?

                  Какие компьютеры нуждаются в защите?

                  Как правило, технологии защиты воплощают некий компромисс между защитой и стоимостью, и BitLocker не является исключением. Казалось бы, наилучшее решение – развернуть Windows Vista на предприятии и запустить BitLocker. Однако большинство организаций должно синхронизировать широкое внедрение Windows Vista (и, соответственно, BitLocker) с полным планом развертывания ИТ-технологий.

                  Windows Vista и BitLocker необходимо устанавливать на компьютеры, которые подвергаются наибольшему риску. Это такие компьютеры, как:

                  • компьютеры, используемые топ-менеджерами, работающими с наиболее важной конфиденциальной информацией;
                  • Компьютеры, используемые служащими, которые могут иметь доступ к личным или финансовым данным клиентов, служащих или деловых партнеров;
                  • Компьютеры, на которых обрабатывается персональная информация клиентов или служащих;
                  • Компьютеры, используемые в тех областях, где они особенно уязвимы (воровство);
                  • Портативные компьютеры, используемые служащими вне пределов офиса;
                  • Домашние компьютеры служащих, используемые для удаленной работы в сети компании.

                  Наиболее простым способом определения компьютеров, которые нуждаются в шифровании, будет использование базы данных компьютеров. Не забудьте перепроверить эти данные из разных источников, чтобы быть уверенным в достоверности полученной информации.

                  Какие данные нуждаются в защите с помощью шифрования?

                  Примечательно в данной технологии то, что она позволяет шифровать весь системный том, что дает пользователю возможность без особых затрат и раздумий шифровать все файлы и папки. Тем не менее, весьма важно определить данные, которые нуждаются в шифровании. Зная эти данные намного легче определить те компьютеры и тех пользователей, чья информация нуждается в шифровании. Это позволит сэкономить, поскольку не придется шифровать все системные тома всех пользователей. Давайте приведем пример тех данных, которые, прежде всего, будут нуждаться в защите:

                  • Конфиденциальная информация, защищаемая законом, включая финансовую, банковскую, кредитную информацию, а также стратегические планы предприятия;
                  • Личные данные служащих, уволенных служащих или клиентов (информация, отнесенная к категории персональных данных);
                  • Исходные тексты программного обеспечения, базы данных и другая интеллектуальная собственность;
                  • Лицензионные материалы, принадлежащие деловым партнерам или клиентам.

                  Выбор конфигурации BitLocker

                  На данном этапе планирования вы сможете определить, какие конфигурации наиболее соответствуют вашей организации. Доступны следующие режимы BitLocker:

                  • BitLocker с TPM;
                  • BitLocker с TPM и PIN-кодом;
                  • BitLocker с ТРМ и USB устройством;
                  • BitLocker без ТРМ (с USB устройством).

                  Таблица 1. Конфигурация BitLocker

                  tabl

                  BitLocker с режимом TPM (без PIN-кода).

                  Данный режим обеспечивает защиту без вмешательства пользователя. При загрузке системы все работает автоматически и прозрачно для пользователя. Данный режим не обеспечивает максимальную защищенность, однако может применяться в следующих ситуациях:

                  • В случае если вы не нуждаетесь в мультифакторной аутентификации;
                  • Если данные, хранящиеся на вашем компьютере, не требуют усиленной аутентификации.

                  Внедрение BitLocker с TPM

                  Внедрение данной технологии потребует выполнения следующих действий:

                  • создание перечня компьютеров в организации и оборудованных ТРМ-модулями;
                  • описание цикла обновления (замены) аппаратных средств;
                  • определение, существуют ли в организации компьютеры, требующие автоматического запуска, ведь BitLocker с TPM, в отличие от BitLocker с TPM и PIN-кодом, BitLocker с ТРМ и USB устройством, BitLocker без ТРМ (с USB-устройством), позволяет автоматический запуск, остальные режимы требуют физического присутствия пользователя;
                  • описание процедур замены жесткого диска, ремонта и списания для защищенных ТРМ-систем, при условии, что зашифрованный с помощью BitLocker диск не может использоваться в качестве срочной замены.

                  BitLocker c TPM и PIN-кодом

                  BitLocker c TPM и PIN-кодом является наиболее защищенным, так как использует мультифакторную аутентификацию и по существу является последней линией обороны в случае кражи компьютера. А, кроме того, позволяет предотвратить нападения, возможные в случае загрузки системы и до появления окна регистрации. На стадии планирования необходимо изучить, способны ли ваши пользователи запомнить дополнительный PIN-код.

                  Внедрение BitLocker с TPM и PIN-кодом

                  В случае внедрения этого способа шифрования важно обратить внимание на создание инструкции для пользователей, которая будет предназначена для:

                  • обучения пользователей процедуре выбора устойчивого к взлому PIN-кода, удовлетворяющего требованиям политики безопасности организации;
                  • рассмотрения процедуры доступа к компьютеру и восстановления данных в случае, если пользователь забыл свой PIN-код;
                  • рассмотрения процедуры сброса PIN-кода.

                  BitLocker с USB-устройством

                  Данный режим шифрования может быть внедрен на тех компьютерах, которые не содержат модуль ТРМ. Этот режим поддерживает основные функциональные возможности, однако не обеспечивает разовую начальную проверку целостности и является менее устойчивым к взлому, так как не обеспечивает мультифакторную аутентификацию. Чаще всего при использовании данного режима на ноутбуках пользователи будут носить ключевое USB-устройство в той же самой сумке, что и ноутбук, и в случае хищения ноутбука вместе с сумкой злоумышленник сможет беспрепятственно прочесть данные.

                  Внедрение BitLocker с USB-устройством

                  Если же вы все же планируете использовать BitLocker с USB-ключом, то предусмотрите следующие шаги:

                  • проверьте компьютеры, на которых собираетесь использовать BitLocker с USB-ключом, чтобы убедиться в том, что они могут распознать USB-ключ во время загрузки;
                  • создайте план перемещения данных и приложений с этих компьютеров на компьютеры с поддержкой ТРМ, в случае обновления аппаратного обеспечения.

                  BitLocker с ТРМ и USB-устройством

                  Если вы примете подобный режим работы, то получите гибрид режимов TPM-ONLY и USB-ONLY, в связи с чем вы должны быть уверены, что ваши компьютеры поддерживают оба названных режима.

                  Внедрение BitLocker с ТРМ и USB-устройством

                  Внедрение подобного режима потребует от вас рассмотрения вышеизложенных шагов для обоих названных режимов.

                  Восстановление данных

                  Следует помнить, что шифрование BitLocker является достаточно устойчивым и не имеет никаких «люков». Т.е. нельзя возвратить данные, зашифрованные BitLocker, если не знать пароля восстановления. Это резко усиливает важность планирования процесса восстановления. Стоит помнить, что если у вас нет пароля восстановления, вы не сможете вернуть ваши данные.

                  Существуют следующие методики хранения пароля восстановления:

                  • Хранение пароля в распечатанном на бумаге виде;
                  • Хранение пароля на сменных носителях;
                  • Хранение пароля на сетевом носителе;
                  • Хранение пароля в Active Directory.

                  Не следует останавливаться только на одном методе хранения пароля, так как его утрата повлечет за собой отказ восстановления зашифрованных данных на всех компьютерах.

                  Active Directory

                  Microsoft рекомендует планировать и разворачивать каталог паролей восстановления BitLocker с использованием Active Directory (AD). Данный метод восстановления имеет следующие преимущества:

                  • Процесс хранения автоматизирован и не требует вовлечения пользователя;
                  • Информация, необходимая для восстановления, не может быть утеряна или изменена пользователем;
                  • AD обеспечивает централизованное управление и хранение информации для восстановления;
                  • Информация для восстановления защищена вместе с другими данными AD.

                  Вместе с тем, использование AD для хранения паролей восстановления BitLocker выдвигает новые требования:

                  • Организация должна иметь устойчивую, хорошо управляемую инфраструктуру AD;
                  • AD на базе Windows Server 2003 должна быть расширена для включения атрибутов BitLocker. Подробнее об этом рассказано в статье Extending Your Active Directory Schema in Windows Server 2003 R2;
                  • Необходимо иметь политику безопасности для обеспечения безопасного хранения паролей восстановления в AD.

                  Печать пароля восстановления (сохранение его в текстовом файле)

                  Данный процесс, несмотря на его простоту, имеет важные преимущества:

                  • процесс легко осуществим;
                  • требуется небольшая инфраструктура;
                  • легко осуществим для технически неподготовленных пользователей.

                  Наряду с этим имеется целый ряд недостатков:

                  • процесс создания и хранения пароля восстановления зависит от пользователя;
                  • хранение пароля данным способом не обеспечивает централизованного управления;
                  • не существует гарантированной защиты от компрометации (хищения, несанкционированного ознакомления, утраты или повреждения);

                  Сохранение пароля восстановления на USB-устройстве

                  Данный метод имеет следующие преимущества:

                  • вы можете хранить большое количество паролей восстановления на одном USB-устройстве, так как все они хранятся в виде текстовых файлов;
                  • легче обеспечить физическую защиту устройства, его безопасное хранение.

                  Однако данный способ хранения имеет и недостатки:

                  • далеко не все компьютеры на сегодня поддерживают обращение к USB-устройству в процессе загрузки;
                  • сбор паролей восстановления для последующего хранения – выполняемый вручную процесс, который не может быть автоматизирован;
                  • USB-устройство может быть потеряно или повреждено, и в таком случае все пароли восстановления будут утрачены.

                  Политика восстановления

                  Для безопасного восстановления данных чрезвычайно важно определить, кто именно будет заниматься их восстановлением. Восстановление данных, зашифрованных с помощью BitLocker, будет требовать физического доступа к восстанавливаемому компьютеру для ввода пароля восстановления. Это требование существенно влияет на процесс восстановления, так как вполне вероятно, что восстановление понадобится в случае, когда пользователь находится вне офиса.

                  По умолчанию все администраторы домена могут читать пароли восстановления BitLocker, хранящиеся в AD. Точно так же они могут делегировать эту возможность другим пользователям. Однако порядок этого должен быть описан в политике безопасности.

                  Прежде чем начинать процесс восстановления, необходимо гарантировать, что вы предусмотрели любые неожиданности, которые могут возникнуть. Например:

                  • в случае восстановления с помощью ключа USB вы должны убедиться, что целевая система может читать данные с USB-устройства во время начальной загрузки. Убедитесь, что ваше USB-устройство работает вместе с целевым компьютером;
                  • При использовании дополнительных (сетевых и т.д.) мест хранения паролей восстановления убедитесь до начала процесса восстановления, что они доступны пользователю. Нельзя использовать для восстановления файл, расположенный на жестком диске того же компьютера, так как он будет недоступен пользователю во время загрузки. Не следует использовать сетевые ресурсы, которые вы не можете надежно защитить от доступа ненадежных лиц.
                  • В случае если вы хотите распечатать пароль восстановления, при его генерации убедитесь, что сетевой принтер доступен, и вы знаете, как будете хранить напечатанный пароль.

                  Как мы видим, внедрение процесса шифрования BitLocker в организации – задача, требующая предварительного создания целого набора политик, процедур и инструкций. Надеюсь, что данная статья поможет вам в этом.

                   

                  Владимир Безмалый (Vladimir_Bezmaly@ec.bmsconsulting.com)

                  http://osp.ru/win2000/2008/03/5184328/