Поиск

www.samag.ru

Web

0 товаров , сумма 0 руб.

	Журнал "Системный администратор"
	Журнал «БИТ»
	Подписка
	Архив номеров
	Где купить
	Наука и технологии
	Авторам
	Рекламодателям
	Контакты

Опросы

Статьи

Сетевая инфраструктура

Как удаленная работа меняет подход к сетевой инфраструктуре?

С увеличением числа сотрудников, работающих из дома, организации сталкиваются с необходимостью создания

Мониторинг

Какой мониторинг нужен сегодня?

По мнению экспертов ГК InfoWatch, действия сотрудников – самая распространенная причина инцидентов

Книжная полка

Руководство для тех, кто увлечен ИИ, программированием. И дизайном

Накануне лета издательство «БХВ» выпустило книжные новинки, от которых любителям чтения будет

Мобильные приложения

Искусственный интеллект в мобильных приложениях: возможности и перспективы

Обзор современных применений ИИ в мобильных приложениях, анализ перспектив развития этой технологии,

ИТ-образование

Как сделать ИТ-образование эффективным?

Эксперты ИТ-отрасли отвечают на вопросы «СА». Обсуждаем ключевые аспекты для улучшения образовательных

Work-life balance

Как айтишнику найти баланс между работой и личной жизнью?

Обсуждаем инструменты для эффективного управления временем, снижения уровня стресса и достижения гармонии. На

Книжная полка

Всё самое нужное – под одной обложкой

Отличительная черта книжных новинок, выпущенных недавно издательством «БХВ» – это их универсальность. Не просто

ИТ-инфраструктура

Системы мониторинга ИТ-инфраструктуры-2025

Без мониторинга ИТ-инфраструктуры не обходится ни одна компания, хотя бы потому, что

Открытое ПО

Безопасность Open Source: рискуем или контролируем?

Компания «Кросс технолоджис» изучила, как используется ПО с открытым кодом в компаниях

Работа с нейросетью

Скажи, есть ли у тебя AI, и я скажу, кто ты

Недавно сервис по поиску работы SuperJob выяснил, что каждый второй россиянин уже

Опрос

Защита личных и клиентских данных: как мошенники используют ИИ и как защититься?

По данным RED Security, общее число кибератак на российские компании в 2024

Опрос

Облачные инструменты для разработчиков

Эксперты ИТ-отрасли отвечают на вопросы «Системного администратора» > Как с помощью облака сделать

Опрос

Рынок мобильных приложений: что будет актуальным в 2025 году?

Эксперты ИТ-отрасли отвечают на вопросы «Системного администратора» > Ваши прогнозы: чего ожидать от

Рынок труда

Как успешно пройти все этапы собеседования на ИТ-должность?

По оценкам государства, дефицит ИТ-специалистов составляет от 740 тысяч до 1 миллиона

1001 и 1 книга

19.03.2018г.

Комментарии: 0

Машинное обучение с использованием библиотеки Н2О

12.03.2018г.

Комментарии: 0

Особенности киберпреступлений в России: инструменты нападения и защита информации

12.03.2018г.

Комментарии: 0

Глубокое обучение с точки зрения практика

12.03.2018г.

Комментарии: 0

Изучаем pandas

12.03.2018г.

Комментарии: 0

Программирование на языке Rust (Цветное издание)

19.12.2017г.

Комментарии: 0

Глубокое обучение

19.12.2017г.

Комментарии: 0

Анализ социальных медиа на Python

19.12.2017г.

Комментарии: 0

Основы блокчейна

19.12.2017г.

Комментарии: 0

Java 9. Полный обзор нововведений

16.02.2017г.

Комментарии: 0

Опоздавших не бывает, или книга о стеке

17.05.2016г.

Комментарии: 0

Теория вычислений для программистов

30.03.2015г.

Комментарии: 0

От математики к обобщенному программированию

18.02.2014г.

Комментарии: 0

Рецензия на книгу «Читаем Тьюринга»

13.02.2014г.

Комментарии: 0

Читайте, размышляйте, действуйте

12.02.2014г.

Комментарии: 0

Рисуем наши мысли

10.02.2014г.

Комментарии: 4

Страна в цифрах

18.12.2013г.

Комментарии: 0

Большие данные меняют нашу жизнь

18.12.2013г.

Комментарии: 0

Компьютерные технологии – корень зла для точки роста

04.12.2013г.

Комментарии: 0

Паутина в облаках

03.12.2013г.

Комментарии: 1

Рецензия на книгу «MongoDB в действии»

Друзья сайта

Защита от «дурака». Тонкие клиенты для построения безопасных сетей

Архив номеров / 2010 / Выпуск №2 (2) / Защита от «дурака». Тонкие клиенты для построения безопасных сетей

Рубрика: Безопасность / Безопасное «Железо»

ЭРИК ПАЛВАНОВ, генеральный директор ООО «Удаленные системы» (http://www.remotesystems.ru). Профессиональные интересы: построение безопасной и надежной ИТ-инфраструктуры для современного бизнеса

Защита от «дурака»
Тонкие клиенты для построения безопасных сетей^*

Как построить безопасную сеть? Ответить на этот вопрос можно, соблюдая системный и последовательный подход. Построить полностью безопасную сеть нельзя – можно лишь снизить риски по различным направлениям потенциальных угроз

В этой статье я расскажу вам о защите пользовательских рабочих мест – казалось бы, незатейливой, однако самой значительной части любой информационной корпоративной сети.

Исходные данные

Заказчик – оптово-розничная сеть продажи станочного инструмента. Заказчик имеет в своем активе:

1 шлюзовой интернет-сервер и контроллер Active Directory;
1 терминальный сервер для работы с бухгалтерией;
1 терминальный сервер для работы с офисными документами, электронной почтой и CRM;
примерно 50 постоянных пользователей;
примерно 10 со «своими» ноутбуками;
3 удаленных рабочих места (склад).

Задача

Максимально снизить риски инсайдерских повреждений/взломов и вирусных опасностей при повседневной работе персонала компании.

После рекогносцировки на местности заказчика делаем неутешительный вывод, что ситуация, как обычно, стандартная: достаточно грамотный администратор, построив единожды хорошую сетевую инфраструктуру, со временем потерял контроль над ситуацией из-за того, что руководство загрузило его смежными задачами. Руководство в условиях кризиса, естественно, старалось сэкономить на всем на чем можно.

В результате информация пользователей в компании размазалась вместо общего сетевого ресурса и перемещаемых/перенаправленных профилей по локальным компьютерам. Часть баз открывалась с компьютеров бухгалтеров, резервные копии не охватывали полностью всей наработанной пользователями информации.

Ко всему прочему, как и везде, персонал норовил при отсутствии постоянного контроля тратить время на всяческие онлайн-сервисы вроде социальных сетей, флеш-игр и портабельных программ для развлечений.

Само собой разумеется, что все это было хорошо приправлено периодическими эпидемиями вирусов.

После очередного увольнения менеджера произошла утечка коммерческой информации, и терпение руководства кончилось – было решило обратиться в стороннюю организацию. А именно – к нам.

Реализация

Поскольку серверная часть была отстроена хорошо, а проблемы связаны со сложностью контроля рабочих мест, было решено использовать в организации рабочих мест тонких клиентов, которые могли решить множество проблем:

вирусы;
локальное использование компьютеров не по назначению;
постоянные перенастройки локальных программ;
несанкционированный внос/вынос данных с рабочего места;
установка легальных программных средств на каждом рабочем месте (локальные лицензии на тонкие клиенты);
готовность к использованию «из коробки»;
дистанционный контроль и настройки рабочего места;
унификация рабочего места;
эргономика рабочего пространства пользователей;
снижение уровня шума и энергопотребления.

После анализа представленных на рынке тонких клиентов и пассивных сетевых компьютеров было решено использовать продукцию компании «ТОНК» (http://www.tonk.ru) по следующим причинам: широкий выбор как ОС (MS Windows Compact, MS Windows Standard, LinuxEmbedded), так и платформ, вплоть до производительности «продвинутых неттопов» при форм-факторе компактного терминала.

Все эти факторы при примерно одинаковой цене на аналогичные, но менее производительные продукты других вендоров склонили чашу весов в пользу ТОНКих.

В линейке производителя были выбраны модели:

ТОНК 1207 (AMD Geode LX800 с предустановленной MS WinCE6) – для большинства рабочих мест;
ТОНК 1411 (Intel Dothan 1 ГГц c предустановленной MS WinXPe) – для рабочих мест, где стояли МФУ и сканеры;
ТОНК 1611 (Intel Atom N270 1,6 ГГц c предустановленной MS WinXPe) – для замены рабочих ноутбуков.

Быстрее всего процесс установки прошел для 43 самых маленьких терминалов ТОНК 1207 – их все подключили за день.

Выяснилась особенность – нет возможности скопировать файл на все тонкие клиенты с настройками подключений. Однако имеется встроенный VNC-сервер, благодаря которому бегать после подключения к каждому ТОНКу уже не приходилось.

На рис. 1 предcтавлен снимок экрана ТОНК 1207 с MS WinCE6. Запуск VNC-сервера обеспечивается в приложении Others, сами настройки VNC-сервера легко изменяются через утилиту, доступную в Control Panel тонкого клиента.

Рисунок 1. Снимок экрана тонкого клиента ТОНК 1207 (AMD Geode LX800 с предустановленной MS WinCE6)

С тремя терминалами на Дотане (ТОНК 1411) и семью моноблоками в 19-тидюймовых ЖК на Атоме (ТОНК 1611) пришлось повозиться подольше – там все, как и с обычной Windows XP. Пришлось установить драйверы МФУ и крипто-систем банк-клиентов. В процессе настроек явственно ощущалась полезность функции Enhanced Write Filter (расширенного фильтра на запись).

Работает она очень просто: установив все необходимое программное обеспечение и настроив терминал, необходимо запустить команду ewfmgr c: -commit для сохранения настроек, в противном случае все останется таким, какми было на момент включения.

Иными словами, все изменения за время сеанса работы с момента включения (например, сохраненный портабельный софт и испорченные настройки программ) отменятся, все вернется к исходному настроенному состоянию! Замечательная защита от «дурака».

Можно работать не с командной строкой, а через приложение Disk manager, доступное из панели управления системы, – так, как это показано на рис. 2.

Рисунок 2. Снимок экрана тонкого клиента ТОНК 1411 (Intel Dothan 1 ГГц c предустановленной MS WinXPe)

Отдельно скажем про трех кладовщиков. Там тоже установили модели с MS Windows Compact, причем подключение осуществлялось по VPN – благо имеется встроенный клиент PPTP. Для раздачи Интернета использовался недорогой роутер, в котором был задан единственный маршрут – к IP-адресу главного офиса. Это избавило кладовщиков от ненужного им Интернета, оставив их наедине с работой. Сканеры штрих-кода пришлось заменить на включаемые в разрыв клавиатуры, т.к. те, что были с USB-интерфейсом, отказались работать с WinCE6, а ставить более дорогие терминалы с MS Windows Standard на склад не хотелось.

Полученный результат полностью оправдал ожидания. Весь рабочий документооборот стал проходить только в терминальных сессиях, возможности «растащить» информацию с серверов исчезли – на ТОНК с MS WinCE6 ее нельзя использовать, а на моделях тонких клиентов с MS Windows Standard она не сохраняется локально после перезагрузки. Эпидемии вирусов стали невозможны, а контроль оставшихся трех ноутбуков уже не доставлял никаких проблем. Возможности встроенных браузеров Интернета не позволяли использовать интерактивные онлайн-сервисы, что заставило менеджеров не отвлекаться от работы, а также снизило потребление интернет-трафика.

К тому же у всех расчистилось жизненное пространство под ногами и на столах. Отдельно порадовала тишина – действительно, никаких движущихся частей в терминалах нет, как и было заявлено производителем.

***

Наша цель была достигнута. Избавив рабочие места от присущих им «болячек», мы подняли безопасность сети на качественно иной уровень. Руководство было удовлетворено, системный администратор, поняв, что ему осталось лишь лелеять серверы и уделять внимание только «директорским» ноутбукам, с удовольствием принял работу. Правда, ворчал персонал на существенное ограничение «свобод», но что поделать, всем не угодишь.

* На правах рекламы

Комментарии отсутствуют

Добавить комментарий

Комментарии могут оставлять только зарегистрированные пользователи

Tel.: (499) 277-12-45
E-mail: sa@samag.ru