Mackedonsky

Добрый день! Сегодня я хотел бы с вами поделиться кухней IT отдела и рассказать, как все устроено, не вдаваясь в технические моменты. Если вы все и так знаете, рекомендую вам пропустить этот пост или же поправить меня, если я что то не так описал. Надеюсь, вам будет это интересно :)

В своих примерах я буду рассматривать организации в которых работал, со штатом более 1 000 человек.

Сервер

В любой крупной организации есть сервер, он может находиться как во владении организации, либо арендованный в специализированной фирме (Сервер - мощный комп, с много памяти и быстрый, как пуля, процессором и сложными настройками). Чаще всего сервер используется для хостинга(размещения) сайта организации, баз данных, для установки своей корпоративной почты, IP телефонии и создание сетевых дисков для "облачного хранилища".

Операционная система на сервере и ПО

Итак, мы приобретаем сервер, первым делом, мы устанавливаем на него операционную систему, у нас была(и есть) ОС Windows server 2012, выглядит эта винда так же, как обычная, но обладает огромным функционалом для настройки всего выше перечисленного. После установки ОС, устанавливается Active Directory, это такая штука, которая позволяет контролировать учетную запись каждого пользователя windows(она вообще огромным функционалом обладает, но я расскажу вкратце о некоторых из них). Во время установки AD мы создаем домен. Домен - это, скажем так, город, в котором живут и работают все наши пользователи. Все пользователи разбиты по подгруппы с разными правами. Самый простой пример, это админы(депутаты и мэры) и обычные пользователи(простой смертный), админы могут делать с компом все, что вздумается мы работаем за еду и не хотим ничего вам ломать помогите пожалусто и пользователь, к примеру, не может даже установить программу или войти в настройки. Конечно, все настройки сугубо лично зависят от требований организации.

Сеть

Когда мы установили AD, встает вопрос, как же соединить между собой сервер, компьютеры, телефоны, МФУ и т.д. Это является крайне важным моментом, за распределение потока и нагрузки сети отвечают умные(управляемые) свитчи. Что бы корректно все это дело настроить, надо иметь хорошую такую бороду, мозги(которые работают), ящик водки и отсутствие желания жить(в мои 22 из этого набора у меня есть только нихуя :( ). В противном случае, если все пустить на самотек, будут большие проблемы, сетевые диски будут работать очень долго, интернет, соответственно, тоже и многое другое. Это оборудование выдает каждому устройству свой уникальный IP адрес. У каждого типа устройств желательно должен быть свой поддомен (название улицы), в котором назначается свой IP адрес(адрес дома на нашей улице).

Возможности AD

Благодаря Active Directory админы могут с легкостью подключить все принтеры в одной большой сети, а также подключиться к любому пользователю, находящемуся в нашей сети(даже если пользователь еще не в домене :) ), это очень облегчает работу и не требуется бегать в каждый кабинет. Стоит сказать, что если в пользовательский ПК вставить кабель "интернет",  доступ в сеть интернет у него будет доступной(но все зависит от настроек сервера, админ может и не давать доступа).

Настройка рабочего места пользователя

Прежде чем пользователь начнет работать, админ должен создать пользователя в AD и впустить физически в домен(выдать квартиру на улице, где живут сотрудники). Когда пользователя впустили в домен, ему нужно установить принтер и корпоративную почту. Принтер, как правило, получает свой IP адрес по протоколу DHCP(автоматическая выдача адресов), поэтому все что требуется, это ввести его адрес на компе и установить драйвер. С корпоративной почтой так же все просто, как и с AD, добавляем пользователя и всё готово(на самом деле, крайне много ебли мучений при установке почтового клиента сервер).

Защита данных и ОС

Особенной головной болью является защита ОС и данных. Антивирусы, к сожалению, не всегда помогают. С 2016 года особенно много проблем доставляют шифровальщики. Если зашифруются сетевые диски, много кто будет негодовать. Для этого делаются бекапы(бекап - зашифрованная\заархивированная резервная копия данных), у нас они делаются каждый день в 03:00. Стоит отдать должное хорошему программному обеспечению и написанным вручную скриптам, с помощью которых мы можем восстановить любой файл.

В общих чертах все выглядит как то так, надеюсь было интересно. Если будет кому то интересно про что то конкретное, могу рассказать. Ну и заядлые сисадмины, не бейте, пожалуйста, палками я ведь в общих чертах описал основную работу :(

В России зафиксирован первый известный случай отъёма квартиры путём фальсификации электронной цифровой подписи.

Владелец квартиры на Тверской улице г. Москва по имени Роман обнаружил, что в очередной квитанции за коммунальные услуги у квартиры указан уже новый владелец. Гражданин обратился в Росреестр и выяснил, что осенью он подарил свою квартиру некоему жителю Уфы. Причём сделал это дистанционно, подписав документы своей электронной цифровой подписью.

Электронная подпись

Согласно Гражданскому кодексу РФ, квалифицированная электронная подпись является аналогом собственноручной подписи в случаях, предусмотренных законом.
По статье 434 ГК РФ, договор может быть заключён в любой форме, предусмотренной для совершения сделок, если законом для договоров данного вида не установлена определённая форма. Алгоритмы формирования и проверки электронной цифровой подписи описывает российский стандарт «ГОСТ Р 34.10-2012. Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи», вступивший в действие в 2012 году.

Сертификат электронной подписи выдаёт удостоверяющий центр. Правовые условия использования электронной цифровой подписи в электронных документах регламентирует Федеральный закон Российской Федерации от 6 апреля 2011 года № 63-ФЗ «Об электронной подписи». Он определяет три вида электронных подписей: простая, усиленная неквалифицированная и усиленная квалифицированная.

С 1 января 2013 года гражданам выдавалась универсальная электронная карта, в которую была встроена усиленная квалифицированная электронная подпись, но выпуск таких карт прекращён с 1 января 2017 года.

Схема с квартирой

Москвич Роман говорит, что сам недавно оформил квартиру в свою собственность по дарственной от отца, который там и проживает. Но он никогда не оформлял электронную подпись и не получал физический носитель (флэшка с пин-кодом).

Однако это не помешало мошеннику каким-то образом официально зарегистрировать сделку: «Он может теперь (он или кто-то другой), как мне сказали, сейчас опять продавать мою квартиру через интернет. Заказал справки, вот эта выписка из ЕГРН, в которой указано, что 22 октября 2018 года я подарил квартиру этому господину», — говорит Роман.

В Росреестре официально подтвердили: квартиру действительно подарили в октябре прошлого года. Документы подавались в электронном виде с цифровой подписью. Это полностью законно.

Более подробно схему с мошенничеством описала коллега пострадавшего, журналист Светлана Колосова в сообществе «Соседи. Белорусская-Новослободская-Маяковская» на Facebook.
Она пишет, что электронная подпись «была получена через личный кабинет» на портале «Госуслуги». Роман помнит, что осенью его личный кабинет пытались взломать, он написал в техподдержку, и ему ответили, что у них не зафиксировано никаких «аномальных действий».
Переход собственности осуществлён не как купля-продажа, а как «дар» без участия нотариуса. Договор дарения подписан с двух сторон электронными подписями. Что интересно, участник сделки из Уфы утверждает, что тоже не получал ЭЦП и ничего не знает о «подаренной» ему московской квартире.

В полицию подано заявление о мошенничестве. Делом занимается отдел по квартирным мошенничествам московской полиции.

Чтобы не попасть в такую ситуацию, Светлана советует всем сходить в МФЦ и написать заявление, что они запрещают любые действия с их недвижимостью без личного присутствия.

Манипуляции с электронными подписями

За те годы, что в России действует законодательство по электронной цифровой подписи, зарегистрировано несколько способов мошенничества:

1. Незаконные действия через центры сертификации РФ, в том числе оформление документов без участия гражданина. Выявлены случаи массовой фальсификации ЭЦП путём повторного использования удостоверяющим центром электронной подписи клиента;

2. Дистанционный выпуск квалифицированного сертификата без личного контакта заявителя и сотрудника регистрационного отдела удостоверяющего центра. В этом случае оформление электронной подписи производится на основании документов заявителя, представленных центру сертификации через интернет. По мнению специалистов правовой системы «Гарант», в этом случае «IT-функции в деятельности УЦ преобладают над его юридической сущностью», а электронная подпись может быть использована недобросовестными третьими лицами.

Возможно, в истории с московской квартирой как раз имел место дистанционный выпуск квалифицированного сертификата, хотя юристы «Гаранта» подчёркивают незаконность такой процедуры. Они пишут, что согласно Закону № 63-ФЗ при выдаче квалифицированного сертификата УЦ обязан (ст. 18 Закона № 63-ФЗ):

1. Установить личность заявителя — физического лица, обратившегося за получением квалифицированного сертификата;

2. Получить от заявителя, обратившегося в УЦ от имени другого лица, подтверждение права действовать от его имени.

Для этого заявитель представляет основной документ, удостоверяющий его личность — паспорт гражданина РФ (надлежащим образом заверенную копию), а также доверенность (иной документ), если он действует от имени других физических или юридических лиц.
Поскольку ЭЦП можно получить по доверенности, то мошенник мог использовать и такой вариант.

«Теоретически можно допустить, что там произошёл какой-то сговор с сотрудниками какого-то удостоверяющего центра, их достаточно много, их сотни по России, и что они мошенническим путем как-то завладели копией паспорта на его имя, выдали документы, то тогда эта сделка могла бы произойти», — считает Максим Эмм, эксперт в области информационной безопасности и технологий.

Но если ЭЦП получена, то провести сделку уже не составляет труда: «При электронной регистрации в Росреестр сдаются документы в отсканированном виде, причём скан не содержит фотографии синей подписи, которая ставится рукой. Сканированный файл выглядит как вордовский файл, просто в PDF. То есть подписи там не видно. При этом в Росреестр отправляется ещё электронная цифровая подпись», — прокомментировала ситуацию Мариана Чилиндришвили, руководитель юридического департамента компании «Метриум».

Поскольку сейчас квартира официально принадлежит другому лицу, тот может её легально продать. Судя по всему, в случае рассмотрения в суде такая сделка может быть признана «добросовестной покупкой», то есть к покупателю нельзя будет предъявить претензий, потому что он не знал о мошенничестве. Впрочем, старший партнёр московской коллегии адвокатов «Легис Групп» Сергей Никитенков считает, что шансы вернуть квартиру велики: «Сроки не прошли, обнаружено это практически сразу. Если мы говорим о том, что он не выдавал никаких доверенностей, не совершал действий при покупке, то есть нарушена была воля, квартира будет возвращена. Да, может быть, перепродадут, может быть, будут оспорены последующие сделки, но это просто судебная деятельность.

Что касается уголовного дела, это будет ускорять судебный процесс, поскольку там схожие предметы доказывания будут, экспертизы».
На сегодняшний день в России работает около 500 удостоверяющих центров. Некоторые из них действительно готовы за определённую плату оформить электронную подпись через интернет, без личного присутствия, на что ранее обращали внимание специалисты правовой системы «Гарант». Например, в своей рекламе удостоверяющие центры обещают оформить квалифицированную цифровую подпись за 30 минут.

Мы обратились в один из таких УЦ с вопросом, как можно оформить цифровую подпись за 30 минут: «На самом деле, выпустить электронную подпись можно не за 30, а за 5 минут, если вы зарегистрированы в нашей системе, — ответил представитель компании. — В среднем, для новичка, регистрация занимает около 30 минут, поэтому и указана данная временная шкала. Это первый этап получения подписи. Вторым этапом является удостоверение личности гражданина или полномочий для юридического лица. Третьим — оплата, четвёртой ступенькой — непосредственно выпуск сертификата электронной подписи. Никто не может получить электронную подпись, не пройдя этих шагов».

Удостоверяющие центры пользуются лазейкой в законодательстве. Хотя в 63-ФЗ указано, что для оформления ЭЦП гражданин обязан предъявить паспорт, но там не указан способ представления заявителем в УЦ документов: «Возникает неясность, которую можно толковать как отсутствие законодательного запрета на выпуск и выдачу квалифицированного сертификата дистанционно, — пишет «Гарант». — Электронная подпись может попасть к лицу, которое на самом деле заявителем не является, что повлечет для заявителя – номинального владельца юридические, финансовые, налоговые риски и другие негативные последствия… К сожалению, зачастую люди сами небрежно относятся к своим персональным данным. Ну и конечно никто не отменяет вину УЦ, выдавшего данную подпись. Проверить сертификат (кем и когда выдан) герой репортажа может, обратившись в полицию».

Что самое печальное для Романа, «использование электронной подписи другими лицами без ведома номинального владельца не освобождает его от ответственности за неблагоприятные последствия, наступившие в результате такого использования»

Источник: https://habr.com/ru/news/t/452292/

Небольшой набор случаев, который происходил в последний период на моей работе.

П - пострадавший от обновлений ПО, злых сисадминов с кнопкой "СЛОМАТЬ ВСЕ К ХУЯМ У МАРЬИ ИВАННЫ" и лично от рук Путина.

С - Сисадмин


П: После обновления конфигурации 1С начало некорректно считать НДС! Вы специально это делаете, да?
С:  *подключаюсь к компу бухгалтера* У Вас все верно считает.
П: *вбивает сумму в строку номер 15, НДС смотрит в строке номер 16(сумма и ндс одного товара на одной строке)* Вы издеваетесь?! Тут все не правильно!
С: *выделяю всю строчку, отключаюсь от компа*

______________________________________________________________________________________________________

В офис вбегает глав бух, на повышенных тонах пытается одного из сисадминов обвинить непонятно в чём.

П: Твоё дело нормально настраивать технику, а ты даже этого сделать не можешь, ты тут прохлаждаться пришел?!
С: *Вообще не понимает, в чем его обвиняют* В чем, собственно, дело?
П: К нам вчера пришел %username%, поставил всё оборудование, все хорошо работало, а потом пришел ты и после тебя ничего не включается!

Идём вместе смотреть, что же там так настроил наш коллега, что всё не включается.

П: ВОТ ВИДИШЬ, ЧЕРНЫЙ ЭКРАН И НЕ ВКЛЮЧАЕТСЯ! ВСЁ ПОСЛЕ ТВОИХ НАСТРОЕК!

Кто то выдернул кабель питания моника, вставил зарядку и после этого во всём виноваты криворукие сисадмины.

С:  Не выдергивайте из этого сетевого фильтра ничего, здесь всё нужное.

П: А СРАЗУ НЕ МОГ ОБЪЯСНИТЬ?!

С: *молча уходит*

______________________________________________________________________________________________________

В одном из удаленных зданий был скачек напряжения и перезагрузилось оборудование. Звонок.

П: ЧТО ВЫ НАТВОРИЛИ?! У МЕНЯ ЭКРАН МОРГНУЛ И КОМП ПЕРЕЗАГРУЗИЛСЯ!
С: *объясняет ситуацию*
П: Я на вас за это служебку напишу!
С: Но мы ведь не виноваты, электрика вовсе к нам не относится, мы не можем в таких ситуациях ничего поделать, плюс у вас должны в ворде бекапы сохраниться, а если на сайтах не успели внести информацию на сервер, то придется заполнить заново.

На следующий день шеф приходит выяснять, почему написана служебная жалоба на ВЕСЬ отдел ИТ. (благо шеф мужик нормальный, понял ситуацию)

______________________________________________________________________________________________________

Звонок.

П: Как же вы меня достали, может хватит всё менять?
С: Простите, а что, собственно, Вас не устраивает?
П: Всё! *бросает трубку*

______________________________________________________________________________________________________

Прихожу на работу, на встречу идет сотрудник фирмы, менеджер, назовем его Ваней. Ваня рассказывает мне следующую историю:

(стоит сказать, что он из тех людей, которые всегда всё знают и пытаются общаться на "сленге")

У вас там сисадмин новенький, который всего месяц работает, тупо ну ваще, попросил его по человечески "вятую пару" обжать, метра три, а он мне херово всё обжал, по итогу "кабло" не работает и "сетку не пингануть ни через цмдху, ни через спидтест".

Захожу в офис, спрашиваю у новенького, что да как, а он мне рассказывает:

Звонит этот придурок, говорит, кабель ему нужен интернетовский, 3 метра, ну я ему обжал, дал. Потом он мне звонит и говорит, что херово я обжал и коннектор не подходит и не работает ничего.

Иду в офис менеджера и смотрю как он пытается вставить RJ-45 в гнездо телефона с разъемом RJ-11.

До сих пор интересно, как бы он хотел пингануть аналоговый телефон в консоли винды.

______________________________________________________________________________________________________

У нас переехал сервер на новое железо, было много звонков с одним и тем же вопросом, "Почему не работает сетевой диск?", фиксилось это просто, надо было перезагрузить комп. Но тут же появлялись люди, у которых "ИЗ-ЗА ВАШИХ ОБНОВЛЕНИЙ СНОВА ВСЕ ПЕРЕСТАЛО РАБОТАТЬ".

Стоит сказать, что следующий кадр работает более 6 лет с документами.

П: После вашего переезда все перестало работать, полный хаос!
С:*коннекчусь удалнке, уточняю, в чем заключается хаос*
П: ВОТ ВИДИТЕ, ПОСЛЕ ВАШИХ ИЗМЕНЕНИЙ ВСЕ В ПЕРЕМЕШКУ!
С: Знакомлю человека, который работает с тысячами папок и документов, с сортировкой файлов и папок по "Дате", "Имени" и т.д.
П: Сделали бы сразу по нормальному, может и зарплату больше получали бы!

Действительно...

Семь часов назад выкатили пост с наименованием "Пароль администратора домена.": https://pikabu.ru/story/parol_administratora_domena_6596623

Имхо, считаю я это пиздежом выдуманной историей. Объясню я почему:

1) Рассказывает нам юный эникейщик, что ему не выдали пароль от домена. Для людей незнающих, расскажу - сис админ без такого пароля может от силы настроить вам софт. Ни установить драйвер, ни прогу или изменить системные настройки он не может. Конечно можно установить такой уровень безопасности, что можно будет все это менять и без пароля, но тогда это становится бессмыслицей, т.к. домен и ставится, что бы контролировать действия пользователей, дабы они своими клешнями лапками чего не сломали.

2) Руководитель звонит ночью и говорит ля-ля, неси комп, пароли не дам и т.д.. А не судьба начальнику по удаленке подключиться через тот же тимвьювер и ввести пароль? Даже если комп не в домене, в нормальной структуре локалка дает интернет и без входа в домен, зайти под локальным пользователем, думаю, не составит нашему "эникейщику" труда. Да и как правило на больших организация более нормальная удаленка у прошаренных сис админов домой прокинута, что бы такие ситуации фиксить в пару минут.

3)

Минуту! Вспоминаю, что у Великого Руководителя пунктик есть, все фиксировать и записывать. Лезу на тот самый диск с документацией и мануалами, закрытый для всех, кроме админов, нахожу папки с документами, 5 минут поисков и - есть! Вижу файл с названием «Зфыыцщквы» (Passwords на русской раскладке, оцените уровень безопасности, блин!), а там искомое!

Сис админ может забыть что угодно, но не админский пароль. На большом предприятии этот пароль вводится по 100500 раз за рабочую смену. Да и вообще, что за бред, видит файл с ноунейм названием и этот Шерлок мигом осознает, что это админский пароль! У нас, к примеру,  на серваке с лопатой не разгребешь, что за файл от чего и для чего он, если не знать.