В этой части поговорим о том, как не впускать «гостей» в вашу сеть и компьютеры: почему нельзя жить на общих паролях, что даёт Active Directory и как можно сэкономить с помощью решений на базе Linux.
Типичная картина в небольших компаниях
Во многих организациях всё выглядит примерно так:
В небольших компаниях очень часто можно увидеть такую картину: На всех компьютерах установлено одинаковое имя для входа с правами администратора, с одинаковым (чаще всего простейшим) паролем, или вообще без него. Каждый компьютер в сети имеет доступ ко всем другим компьютерам (например, к общим папкам). Да и загружаются такие компьютеры часто без запроса пароля.
Теперь представьте: на один из таких компьютеров попадает вредоносная программа. С этого момента злоумышленник может увидеть и зашифровать всё, к чему есть доступ у этой учётной записи — по сути, всю сеть.
Поэтому первое правило:
В компании всегда должна быть четкая, структурированная система авторизации пользователей и разграничения доступа к ресурсам.
Для систем на базе MS Windows это Active Directory (сокращенно — AD)- база данных пользователей и система централизованного управления всеми компьютерами на Windows, подключенными к сети. Эта система позволяет удобно, надежно и централизовано назначать пользователям полномочия и доступы к информационным ресурсам (к программам, файловым ресурсам, веб-ресурсам, доступ в интернет и т.п.), о чем я уже писал в части 2.
Как это работает:
Для каждого сотрудника заводится учетная запись в централизованной базе данных (AD). Далее эту учетную запись администратор сети добавляет в группы доступа к ресурсам (программам, папкам и т.п.). После добавления в группу учетная запись сотрудника автоматически получает доступ к нужному ресурсу.
Если сотруднику больше не нужен этот доступ, то отобрать его можно очень легко, просто исключив его из группы. Если сотрудник уволился — его учетная запись блокируется и доступ ко всем ресурсам у него отбирается буквально одним щелчком мыши.
Но возможности AD не ограничиваются только управлением доступов сотрудников. Это еще и система централизованного управления компьютерами на основе Windows. Возможности здесь огромны:
- определение вида рабочего стола пользователя;
- централизованное размещение профиля пользователя, что позволяет пользователю работать в одной среде на разных компьютерах;
- централизованные политики для установки программ, что исключает использование пользователями нелицензионного программного обеспечения;
- централизованное управление поведением Windows: можно включать и отключать компоненты операционной системы, устанавливать браузер по умолчанию и т.п.
- многое другое
Изначально для развертывания AD нужен был сервер под управлением Windows Server (а для больших сетей таких серверов нужно было несколько). И стоило это недешево (оборудование + лицензии на программное обеспечение). Но в настоящее время существуют надежные и проверенные решения на основе Linux. Это Samba 4 — бесплатное (open-source) решение для Linux, которое позволит создать надежную систему аутентификации и авторизации пользователей, и обеспечить тем достаточно высокий уровень контроля доступа к информации. Причем не надо платить тысячи евро за лицензии.
Для сетей, в которых на рабочих местах используется только Linux, тоже есть подобные, полностью бесплатные решения
Финансы:
Для небольших компаний достаточно обычного компьютера, даже не очень нового (желательно, конечно, небольшой сервер начального уровня). В качестве программного обеспечения можно использовать операционные системы семейства Linux (например, Debian или Ubuntu) с пакетом для Samba 4. Это, как уже говорилось выше, бесплатное (open-source) программное обеспечение.
Кратко:
Во многих небольших компаниях всё выглядит примерно так:
- на всех компьютерах один и тот же логин с правами администратора;
- пароль простой, известен всем (или его нет вообще);
- каждый компьютер видит все общие папки в сети;
- загрузка компьютера — без запроса пароля.
Проблема: огромный риск потери всей информации
Решение:
- у каждого сотрудника — своя учётная запись;
- пароли — индивидуальные и сложные;
- доступ к файлам, программам и сервисам — по роли и должности;
- при увольнении доступы блокируются сразу и полностью.
- достаточно простого компьютера и бесплатного программного обеспечения
Active Directory: что это и зачем бизнесу
Если говорить простыми словами, Active Directory (AD) — это база пользователей и система централизованного управления компьютерами и доступами в домене Windows.
- Хранит всех пользователей и их права.
- Позволяет управлять компьютерами централизованно (политики, настройки, программы).
- Упрощает разграничение доступа к папкам, приложениям, веб-ресурсам.
- При увольнении сотрудника доступы отзываются в один клик.
- Это не стоит больших денег.
Мини-чеклист: есть ли «непрошенные гости» в вашей сети?
- На всех компьютерах нет общих учётных записей администратора.
- У каждого сотрудника — свой логин и пароль.
- Права доступа настроены по ролям, а не «всем всё можно».
- При увольнении доступы отключаются централизованно.
- Используется Active Directory или Samba 4 (или аналогичная система).
- К серверам и важным ресурсам можно подключиться только по учётным данным с ограниченными правами.
Не уверены, что в вашей сети нет «общего админа» для всех?
Мы поможем навести порядок в учётных записях и доступах: настроим домен, роли и права так, чтобы данные компании были под контролем.