ITインフラストラクチャ監査-初心者になる方法を興味深く読みましたが、to-doリスト(特に何かを覚えている人がずっと前に辞めた場合)のほうがずっと広いように思えました。
組織内にプロセスが構築されていない場合、このテキストは役に立ちません。 構築された場合-その後も役に立たない。 ほとんどライフルマンの信条-私なしでは、私のライフルは役に立たない。 ライフルがなければ、私は役に立たない。
アーキテクチャとテクノロジー全体の標準管理パッケージは見当たりませんでした。実際には、アカウンティングとテクノロジーのレポートとシステムの全体的な複雑さの不一致を考えると、驚くことではありません。 ネットワークのスキーム、パスワードアカウンティング、およびその他の必要なものが保持されていれば、(証明書、ドメイン支払い)が期限切れになるような何らかのアカウンティングがあればよいのですが、そうでない場合もあります。 質問するのを忘れた人もいれば、これについて心配していなかった人もいました。 3番目にそれがありましたが、彼らはすでに終了し、4番目に得点がありました。
ライフサイクル管理、SCOM / SCSMは少し異なり、ITIL
サービス資産と構成管理は、 機能が含まれていないことを願っています。
したがって、あなたが仕事に来るとき最初にあなたは「あなた自身のために」監査を必要とします
-どのデバイスがどこにあるのか、何に責任があるのか、それらにアクセスできるのか(Webコントロールパネル/ ssh / iloに)、そうでない場合は、それを復元する方法。 これらのデバイスは生きていますか、またはアカウンティングの略です。
-ACS、一般的なセキュリティ、電気、空調(メンテナンス)、水道管、火災警報器の責任者。 同じエアコンが最後に保守されたのはいつですか。 エアコンの信頼性(パワーリザーブ)とは(N + 0、N + 1)。
-UPSおよびバッテリー。 バッテリーが交換されたとき、キャリブレーションが行われたとき、動作やその他の停電について通知があります(時間単位)。 UPSの信頼性(パワーリザーブ)とは-(N + 0、N + 1)。
-サービスの顧客としての近隣の部門やビジネスとの相互作用の構築方法。
-デスクサービスの仕組み。
-すべてのデバイスと必要な機器パラメータを監視するかどうか、監視の仕組み。 彼が長い間亡くなっているか、冗長である可能性があります。 または不十分。
-障害の通知、特に大きな障害の通知の仕組み-たとえば、一般的な停電/停電、給水/加熱の漏れ。
バックアップと復元
バックアップするもの、ストレージの深さ、アーカイブストレージシステムに空き領域があるか、監視されている空き領域があるか、バックアップウィンドウにバックアップが入っているか、すべてを確認する必要があります。 リカバリーの進行状況-リカバリー手順がどのように見えるか、およびそれがまったく復元されるかどうか。
KMがアーカイブしていることに代わって(特にバックアップエージェント/マシンのサービスの場合)、多くの権利(所属するグループ)を持っているか、それから(そしてそこから)パスワードを持っているか、それを変更する価値があります。 (バックアップシステム内で)登録されている場所。
上記のすべてを綴り、承認する規則がありますか。
権利管理、公式KM(アカウント)の管理
「誰がドメイン管理者のグループに属しているのか」という簡単なチェックに加えて、公式のKMの制御が必要です。 開始するサービス(システムから開始しない場合)、組み込みKMの内容、含まれるグループとその理由、それらに委任される権限(グループ)、および場所の制御を含む。
AD
ADの役割-ログ内の場所(サーバー)。 誰がどのネットワークサービス(DHCP、DNS)を担当します。 監査-動作するかどうか、動作する方法。 ログの転送-そこに何が、どこで、何が起こるか。
あなたのために新しい主題を学ぶ準備をしてください-工学考古学/設計および技術考古学(1)
ローカルホストの曲線美的な管理者の典型的な穴と松葉杖。 ホストから開始
突然、ローカルホストの管理者がetc / hostファイルを編集するだけでなく(子供時代に支配しなかったのは誰ですか?)、それを誇りに思って記事を書いていることがわかりました。
ただし、DCのDNS設定でも同じ問題が発生します。
いや、まあ、どうしてテクネットを読めないの? (2)
市民を覚えて!
Veeamの手順を絞って、OracleおよびVeritasのnetbackupの手順をすでに読んでいる場合に限り、実稼働環境で\ host \などに書き込む必要があります。
検証の第二段階
作業に到着すると、物理監査に加えて(エアコン、UPSのバッテリー寿命、UPSのバッテリー寿命から始まり、何がどのようにカウントされるか、そして実際にどれがカウントされるか)-3つのことを確認する必要があります:
-Tashスケジューラーのタスクとサーバーの起動
-特にHOSTファイル、およびDHCPとDNS設定全般
-ADおよびExchangeで誰に、どのように、どこで、どのような権利が与えられているか。
最初の段落が明確な場合は、 Sysinternals Autoruns for Windowsをダウンロードして実行すると、2番目と3番目の段落はより複雑になります。
突然多くの人にとって、Microsoft Windowsサーバーには「うまくいく」ボタンがありません。 makegood.ps1スクリプトはありません-MS WSおよびAD as a serviceには、ADに権限が委任されているユーザーと場所を表示する組み込みの既製のグラフィカルソリューションがなく、powershellを使用すると情報セキュリティとGUIの恋人が混乱します。
一方、これに必要なツールは-
組織単位(OU)ごとの権限の委任を表示するには-Active Directory OUのアクセス許可レポート:
このスクリプトは、ドメイン内のすべてのActive Directory OUアクセス許可のレポートを生成します。 すべてのActive Directoryショップは、四半期ごとにこのレポートを確認して、ドメインに潜む管理者がいないことを確認することをお勧めします。
伝統的にテクネテにあります。
Exchanheの権利の分布を表示するには、同じtechnetで
RBAC役割グループメンバーシップレポート
このPowerShellスクリプトは、Exchange Server組織の役割ベースのアクセス制御(RBAC)役割グループのレポートを生成します。
監査を開始するには、上記のすべてで十分ですが、実行する前に、「うまくやる方法」のドキュメントを読む価値はありません。ほとんどの場合、何度も頭を抱える必要があるからです。
参照:
(1)
ムツェンスクウエズドの産業考古学。 パート1
ムツェンスクウエズドの産業考古学。 パート2
企業の記憶と逆密輸。
リンク付きの同じ記事のコピー。
web.archiveのオリジナル
設計および技術考古学
(2)
リンク1
リンク2
または
リンク3
そして最後に実際に:
DNS:最初のエントリとしてではなく、DNSサーバー上のループバックアドレスを含める必要があります
インパクト
ループバックIPアドレスがDNSサーバーのリストの最初のエントリである場合、Active Directoryはその複製パートナーを見つけることができない場合があります。 リンクを見る
一般に、CSV用の最初のDNSが利用可能になると、多くの興味深いことがありますが、これは後で可能になります。
職場への到着時のアクション-ケースの受け取り、更新、文書化、監査
All Articles