Сегодня я хотел бы рассказать о том, чего удалось добиться за время своей работы. В настоящее время все критические сервера компании переведены на Windows Server 2008, благодаря чему обеспечивается необходимая стабильность и удобство работы. Благодаря нововведению DNS Global Names удалось отказаться от использования сервиса WINS, а также назначить удобные имена для серверов, к которым часто обращаются по простому имени. Новые политики аудита значительно упростили задачу мониторинга доступа к ресурсам домена.
В удаленном офисе установлен доменный контроллер только для чтения, что позволило исключить дополнительный трафик между офисами, в то же время обеспечив необходимую безопасность удаленного сервера. Для повышения безопасности сети, а также возможности шифрования файлов и сообщений электронной почты внедрена двухуровневая инфраструктура открытых ключей на базе Windows Server 2008 Enterprise Edition. Используются шаблоны сертификатов 2 и 3 версий, архивируются закрытые ключи. Все управление выдачей сертификатов осуществляется в автоматическом режиме с помощью групповых политик. С помощью сертификатов, выданных внутренними центрами сертификации, осуществляется проверка подлинности и шифрование протокола RDP, шифрование файлов пользователями, авторизация компьютеров в домене для доступа к ресурсам. При создании PKI для размещения центров сертификации использовались виртуальные машины Hyper-V, что позволило не увеличивать количество физических серверов при соблюдении необходимых условий стабильности работы и безопасности самих ЦС.
Использование Group Policy Preference позволило значительно сократить количество скриптов, используемых для назначения принтеров, сетевых дисков либо внесения тех или иных изменений на рабочие станции пользователей.
Значительно упростился мониторинг событий серверов после внедрения Event Collector`a – теперь события со всех серверов пересылаются на один сервер, с которого, при поступлении той или иной ошибки осуществляется отправка сообщения электронной почты администратору, что значительно облегчает задачу своевременного обнаружения ошибки для её дальнейшего устранения.
Подводя итоги, хочу сказать, что все описанные мною решения помогают в значительной мере повысить безопасность корпоративной сети в целом и её ресурсов в частности, а также значительно способствуют увеличению стабильности работы сервисов. Помимо этого, значительно упрощается администрирование, что позволяет высвободить время для дальнейшего развития инфраструктуры.
В будущем планирую написать ряд статей по проектированию и развертыванию структуры PKI в составе корпоративной среды, следите за постами на блоге.