ИТ-архитектура от А до Я: Комплексное решение. Первое издание - стр. 44

4781 Имя пользовательской учетной записи изменено;

4798 A user’s local group membership was enumerated

4799 Изменения в группе администраторов (A security-enabled local group membership (BUILTIN\Administrators) was enumerated)

4800 Компьютер заблокирован

4801 Компьютер разблокирован

Средства мониторинга и контроля

Штатные средства мониторинга системы и/или специализированные средства (SCOM). Помимо базовых событий сервера, необходимо мониторить события (ошибки и предупреждения) следующих источников: DFS Replication, Directory Service и File Replication Service.

Управление

Настройка серверов происходит через консоль выделенной рабочей станции управления (Dedicated Administration Workstation DAW), подключенную в сегмент «Управления». Административные задачи, такие как создание пользователей, смена членство в группах и т п, должны быть делегированы соответствующим группам.

Отчетность по сервису

Отчеты по сервису могут включать в себя такие метрики как количество пользователей и их статус, количество отказов и простоя сервиса, работы, проводимые по улучшению сервису, инциденты информационной безопасности и т п.

Рекомендации

Следующие правила и настройки позволяют повысить уровень безопасности сервиса:

•Не устанавливать дополнительные сервисы;

•Использовать установку Server Core;

•Для физических серверов установить пароль на BIOS;

•Для физических серверов установить загрузку с диска;

•Не устанавливать DHCP сервис на контроллеры домена;

•Использовать только Security update only для DNS сервиса;

•Указывать только IP адреса участвующие в репликации;

•Использование шаблонов безопасности;

•Желательно отключать физический сервер последним, а включать первым, так как он содержит все FSMO роли;

•Желательно исключить из регулярного антивирусного сканирования следующие папки:

D:\NTDSDB\ntds. dit

D:\NTDSDB\EDB.chk

E:\NTDSLOG\EDB*.log

E:\NTDSLOG\EDB. log

E:\NTDSLOG\Edbres*.jrs

D:\NTDSDB\TEMP. edb

D:\NTDSDB\*.pat

D:\SYSVOL\domain

D:\SYSVOL\domain\DO_NOT_REMOVE_NtFrs_PreInstall_Directory

D:\SYSVOL\staging

D:\SYSVOL\staging areas

D:\SYSVOL\sysvol

•Желательно иметь документ по обработке дублированных имен объектов активного каталога (в основном имена и фамилии пользователей).

Назначение

Центр сертификации предназначен для выдачи и проверки сертификатов. Центр сертификации используется для всех внутренних сервисов, а также для ряда публичных сервисов. Он повышает защищенность инфраструктуры в целом и является ключевым ИТ сервисом. Для публичных сервисов, таких, например, как веб сайт, используется инфраструктура внешних доверенных центров сертификации.

Требования

Можно сформулировать основные требования к сервису:

•Высокая производительность

•Высокая отказоустойчивость

•Высокая масштабируемость

•Низкая стоимость владения

•Обслуживание порядка 1000 пользователей

•Обслуживание порядка 1000 устройств

Архитектура

Центр сертификации строится на платформе Microsoft Windows 2016 Server Standard. Служба «Центр Сертификации» CA PKI. Сервис разворачивается в дата центре. Служба строится по классической «двух узловой» схеме.

Сервер «Offline Root CA» физический сервер, не в домене, физически установлен в дата центре. Большую часть времени выключен. Его задача выдавать сертификаты для «Subordinate Issue CA».