В пятницу Ваш покорный слуга завершил проект по внедрению службы Active Directory Rights Management Services (AD RMS) в компании ЗАО «ВебЗавод».
Целью проекта явилась организация защиты информационных активов компании посредством внедрения инструмента управления правами доступа к конфиденциальной информации. В качестве такого инструмента выступила технология Rights Management Services компании Microsoft, а точнее реализация этой технологии в роли AD RMS сервера Windows Server 2008.
Читать далее…
Сегодня мы поговорим о службе управления правами Microsoft Rights Management Services (RMS). Надо сказать, что эта несомненно достойная внимания служба не пользуется большой популярностью. Cовершенно незаслуженно, я считаю. Отчасти поэтому этот блог посвящен и службе RMS в том числе. В основном я буду освещать работу службы Active Directory Rights Management Services (AD RMS), реализацию RMS на платформе Windows Server 2008, но и её предшественнице Windows Rights Management Services (WRMS) будет уделено достаточно внимания.
В рамках сегодняшней нашей встречи мы коснемся процесса развертывания первого (и единственного в нашем случае) сервера в Root RMS Cluster. Этот процесс на самом деле не слишком сложен, но и в нем можно наткнуться на невероятное и необъяснимое. Читать далее…
В наше время вряд ли кому-то стоит объяснять, что такое DoS (DDoS)-атаки. Согласно сообщению Stefaan Pouseele в его блоге, подавляющее большинство атак подобного рода можно предотвратить, создав всего пять правил фильтрации в конфигурации пограничного маршрутизатора. Первые два правила блокируют spoofing-пакеты, приходящие как из внешней, так и из внутренней сети. Следующее правило отвечает за фильтрацию пакетов частных адресных пространств и пространства адресов APIPA. Четвертое блокирует source-routed трафик. Последнее же «спасает» от фрагментированных пакетов.
Однозначно рекомендовать создавать пятое правило я бы не стал, так как при фильтрации фрагментированных пакетов станет невозможно использовать IPSec VPN. IPSec использует протокол IKE (Internet Key Exchange) для согласования параметров безопасности (Security Associations) между конечными точками туннеля. В свою очередь IKE-пакеты всегда фрагментируются по причине большой длины (равной длине ключей).
В майском выпуске журнала Windows IT Pro/RE была опубликована первая часть статьи Дэна Холма «Управляем данными и настройками пользователей», описывающая процесс планирования инфраструктуры для эффективного управления пользовательскими данными и настройками.
Статья содержит рекомендации по проектированию инфраструктуры, детальное описание процесса создания физического пространства имен папок и пространства имен SMB общих папок для хранилищ данных и настроек. Также описываются проблемы, возникающие при миграции хранилищ данных и настроек между серверами, и их решение посредством использования пространства имен DFS для абстрагирования и представления хранилищ данных каждого пользователя.
Отдельный акцент сделан на предпочтении полностью перечислимого пространства имен DFS, позволяющего избежать жесткой зависимости от физического пространства имен.
В рамках ежемесячных выпусков статей на тему безопасности за авторством обладателей звания Security MVP июнь порадовал нас совместным трудом Alberto Oliveira, Microsoft Forefront MVP и Yuri Diogenes, Security Support Engineer, Microsoft ISA and IAG Team. Статья Defense in Depth Using Microsoft Security Products and Solutions освещает основные принципы стратегии эшелонированной защиты. Выделяются наиболее важные уровни безопасности, а также продукты и технологии компании Microsoft, призванные обеспечить защиту на этих уровнях.
Интересный труд с точки зрения систематизации знаний о линейке продуктов безопасности компании Microsoft.
Последние комментарии