Monday, October 16th, 2017

Системный администратор: друг или враг?

Published on Январь 29, 2009 by   ·   Комментариев нет

Системный администратор – это первая, а иногда и последняя линия обороны сети. Но что происходит, если этот рубеж обороны становится обузой?

Обычно, системный администратор является первой линией обороны почти в любой организации. Это человек, который активно и ежедневно поддерживает сеть компании и, как следствие, обладает о ней глубокими знаниями. То есть можно предположить, что это человек, который, скорее всего, самый первый замечает любые возможные нарушения? К сожалению, это не всегда так. Происходит это то ли от недостатка опыта, то ли от самоуспокоения, то ли от лени – кто знает!

Я работал с компаниями, у которых существовали такие проблемы – их сети уже долгое время были местом обитания вредных программ. Другими словами, заплатки для защиты от этих программ уже вышли и были доступны. Почему же тогда их системный администратор не скачал и не установил их? Вряд ли по незнанию. Системный администратор – это хорошо осведомленный в своей области человек. И если администраторы могут успешно управлять большой локальной сетью из сотен пользователей и десятка серверов, то в чем тогда проблема?

Я очень занят!

Одна из возможных проблем – администратор просто слишком занят. Хотя я уверен, что администраторы признают, что проще зайти на сайт поставщика и скачать заплатку, чем восстановить весь компьютер. Тем более, если этот компьютер является одним из важных серверов. Сразу встает другой вопрос: регулярно ли администратор проверяет резервные копии? Если случится самое худшее и сеть будет взломана, содержится ли в резервных копиях действительно необходимая информация? Нет ничего хуже, чем знать, что резервное копирование на самом деле не работает. Я абсолютно уверен, что нужно проверять целостность носителей резервных данных. На моей практике я редко встречал администраторов, которые действительно проверяют резервные копии. Их немного, но, однако, такие есть.

Главное, что я хочу здесь сказать, это то, что на плечи администратора взвалено очень много ответственности. И слишком часто по разным причинам он оказывается необходимым. Что нужно сделать для исправления такой ситуации? Для меня все просто. Как насчет включения ответственности в договор с администратором? Мне это кажется самым простым решением, поскольку это усилит влияние на него. Тогда не только вы будете стоять над администратором в случае ненадлежащего выполнения им своих обязанностей.  В конце концов, это не детский сад, у нас у всех есть обязанности, которые нужно исполнять с надлежащим уровнем профессионализма.

Виноват ли администратор на самом деле?

Итак, у нас есть проблема, и мы доказали, что виноват администратор. И учитывая, что это именно его работа, эта вина просто поражает воображение. Почему он не скачал заплатку от производителя! Каждый может твердить о проблеме, однако лучше было бы, если кто-нибудь объяснил, как ее решить. Вот что я учитываю, когда хочу гарантировать, что моя передняя линия обороны выполняет свою работу правильно. В конце концов, обновление операционных систем – это непосредственная работа системного администратора.

Когда на вакантную должность системного администратора найдена подходящая кандидатура, вы должны обсудить список обязанностей. Они должны быть написаны на бумаге, чтобы в дальнейшем не возникало никаких вопросов. В описание работы внесите обязанность ежедневно проверять сайты производителя на предмет выпуска заплаток или иной информации о системах. То же самое следует включить в вопрос о поддержке приложений стороннего производителя. Все обговорить и сделать – вот отличная политика, которой руководствуется множество компаний. Но тогда почему все еще существуют компании, у которых в сети находятся старые вредные программы? Человеческий фактор, лень и долго не проверявшийся сайт производителя. Компьютер восстановлен, не установив заплаток, администратор подключает его в сеть, и вредные программы устанавливают сами себя за пару секунд.

Знал бы прикуп…

Я не знаю, сколько раз я слышал это от администраторов при расследовании инцидентов. «Так он в сети-то был только пару минут!» Никто не думает, что администратор – это гуру безопасности, однако определенные базовые принципы следует учитывать. Один из них состоит в том, что все заплатки должны находиться на отдельном CD-диске для возможности восстановления компьютера без подключения к сети. Другой – ежедневная проверка новых системных заплаток. Это просто хорошее выполнение своей работы.

Чтобы закончить все вышесказанное: что нужно сделать, чтобы гарантировать, что администратор постоянно следит за заплатками? В двух словах, у меня есть листок, на котором стоит подпись администратора. Эта подпись подтверждает, что он каждый день проверяет сайт производителя на предмет выхода новых заплаток. И теперь не только я заставляю его ежедневно проверять списки рассылки. Это поможет знать текущую ситуацию, что повлияет и на администратора, и на его сеть. Тогда, если администратор подписал бумагу, а компания подверглась атаке старых вредных программ, ответ прост. Ты уволен!

Заключение

Многие системные администраторы сочтут это достаточно суровым. Но дело в том, что для администраторов почти не существует ответственности. Если не обязать администратора подписать трудовые обязанности, для управления остается слишком мало возможностей для наказания. Во многих компаниях это только лишь угроза увольнения за то, что администратор забыл или пренебрег установкой заплаток на серверы компании. Сегодня есть много хороших администраторов, но гораздо больше тех, которые должны быть более активны при исполнении своих обязанностей, и одна из самых важных из них – это установка последних заплаток на программное обеспечение.


Смотрите также:

Readers Comments (Комментариев нет)




Да человек я, человек! =)

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]