Как настроить распределённую сеть Active Directory и вытекающие?

Даня Джен,

Во первых кто-нибудь кроме Microsoft'a использует azure ad?, а во вторых, чего бояться то?

У меня статистики нет, но думаю да, с помощью azure ad можно сделать доменную авторизацию облачных сервисов, в гибридных инфраструктурах это актуально.

И так планируем делать VPN, для программ нужен!

Ну тогда на этом варианте и остановитесь. Только учите, что штатно тоннель поднимается после логина пользователя.

Он и пришёл первый на ум, но как его реализовать?

Насколько я понимаю он не рекомендуется Microsoft. Если очень нужно MS рекомендует развернуть AD LDS на периметре.

По третьему варианту от MS есть решение DirectAccess. Машина как только цепляется к сети сразу сама строит туннель. Таким образом машина даже без активного сеанса и без действий пользователя сам подключается к локальным ресурсам.

Как настроить работу профилей пользователей AD по такому принципу?

Даня Джен,
Если после выключения компьютер ничего никому не скидывает, то с другой машины эти данные доступны не будут.
30 минут, 10 минут. Это не очень важно. Компьютер вылетел в процессе копирования и усе, приехали, коммутатор завис, провод плохо обжат и т.д.

Как настроить работу профилей пользователей AD по такому принципу?

1. Автономные папки в любом их вырианте. Например Folder Redirection. Это для папок с моими документами
2. Настройки программ это перемещаемые профили. Но честно говоря больше геморроя чем профита, только если пользователь постоянно между машинами прыгает.
3. Защита файлов очень абстрактный термин, что и от кого защищать и в какой степени, может у вас там вообще гостайна. Но предложенные методы ничем не хуже в этом плане по сравнению с vhd.
4. Открывать доступ в вашем сценарии пользователь не сможет. Если вам нужна настройка доступа пользователем, то это уже общий ресурс. Можно даже на веб базе сделать. Например в том же onedrive. Но учтите, один раз дав пользователям такой инструмент, вы потом пожизненно обретаете свалку в сети.

Как подтвердить участие в проекте?

cup_of_sugar, руководитель первый должен быть в курсе.
Если он не должен быть в курсе, то или контора не сильно адекватная, а значит про подтверждение участи можете забыть или вы.

Mikrotik и настройка QoS для Transmission, как реализовать?

Если трафик udp,
ПО не использует собственных механизмов управления пропускной способностью,
источники имеют скорость вышего вашего шэйпера.

Да. В таком случае канал будет занят.

И даже если ПО само управляет скорость отдачи на источнике трафика, учитывая как работает торрент, в случае с 100500 источников канал тоже будет занят, поскольку они не будут успевать согласовывать скорость. Но думаю в торрент протоколе такого функционал а нет.

Mikrotik и настройка QoS для Transmission, как реализовать?

theurs, да, но никак не влияет на канал. Трафик к вам все равно приходит и канал занят, просто вы его отбрасываете ( если речь о udp трафике ).

Как правильнее организовать перемещаемые профили для разных версий Windows?

xmurus, вполне вероятно, что ограничения на хранения данного кэша нет. Он храниться пока его не удалят.

Как правильнее организовать перемещаемые профили для разных версий Windows?

xmurus, насколько я помню, данные файлы доступны как автономные, т.е. при недоступности сети они будут доступны на тех машинах, на которых они синхронизированы. Единственное нужно учитывать возможные конфликты синхронизации, но они есть в любых вариантах с кэшированием.
Если по умолчанию такого поведения нет, то его точно можно настроить, у нас работает именно так.

BranchCache это вообще не про то и он доступен только на windows enterprise.

В любом случае, внедрение новой технологии должно проходит через тестирование, ничто не мешает вам проверить работу кэширования, благо займет это примерно 5 минут.

Есть ли базы данных, хранилища, бэкенды для конфиденциальных данных?

Ярослав Поляков,

Идея не в том, чтобы "давайте не будем фиксить SQL Injection'ы

Их не надо фиксить. Современные подходы не подразумевают их наличия, чтобы они были, их надо делать специально.

Поэтому, могут быть разного рода уязвимости. Мы не можем исключать никакую. И в API, так же может быть уязвимость, согласен. Но в отличие от приложения с его кучей "декоративного" функционала и тоннами кода, отладить API более реально. Я бы скорее положился на "бездырочность" API с кодом из 500 строчек (и списком URLов из 10 строчек), чем на "бездырочность" всего приложения, с кодом на из 50 000 строк. Вероятность уязвимости ниже все таки.

1. Составьте модель угроз. Любая безопасность начинается с этого.
2. Увеличение кода и слоев ведет к увеличению кол-ва уязвимостей, а не к их уменьшению. Т.е. добавляя дополнительный слой, вы можете только добавить уязвимости, но не можете их сократить. Ничто не мешает ровно те же меры реализовать слоем выше.

Безопасность ведь в том и состоит, чтобы эшелонировать оборону, и следующий уровень защищал от фейлов на предыдущих. Зачем были бы нужны файрволы, если бы все сетевые демоны были без уязвимостей в коде и настройках?

Нет, безопасность в это не состоит. Эшелонированная, почитайте определение, нужна для замедления продвижения противника. Безопасности она не добавляет. Файрволы не защищают от уязвимостей сетевых демонов, они сокращают площадь атаки.
Если упрощенно смотреть на модель угроз, то мы пишем, злоумышленник может атаковать наш сервер по 22 порту. И тут вас спрашивают, а как же 123 порт, там же у вас может висеть сервис времени, а вы негде не прописали, что мы его отключаем, и проверяем что он отключен и предпринимаем меры чтобы его нельзя было включить. А вы в ответ, а нам все равно, мы от этой угрозы прикрылись фаерволом.

Если обобщить. Все меры вы можете реализовать на уровне приложения и спускаться на уровень базы не обязательно. Права приложения на уровне базы минимизируются, не с целью защиты, а с целью минимизации потенциального ущерба, поскольку это самый простой способ его минимизировать( минимизация привилегий на любом уроне ). Реализация те же мер на уровне приложения будет дороже.
Спускаясь на уровне базы с сложной логикой вы размазываете зоны ответственности и усложняете архитектуру, это усложняет тестирование и разработку и может добавить уязвимостей.
Такой подход тоже можно реализовать. Но не следует смешивать одну зону ответственности в разных слоях. Т.е. если безопасность у нас реализуется на уровне базы, а это как правило будут хранимые процедуры, то вся безопасность будет именно там, и на уроне приложения ее нигде быть не должно.
Но следует понимать какие издержки вы при этом понесете. Вам потребуется значительно более широкие компетенции, большее кол-во специалистов и появятся точки "синхронизации" которые будут сильно тормозить разработку и усложнять управление проектами. По этому так обычно не делают. Плюс реализовывать такие механизмы на уровне базы сложно, просто в следствии меньшего кол-ва специалистов с нужными навыками и менее продвинутого инструментария( да я знаю, что есть весь необходимый инструментарии, но им реально мало кто умеет пользоваться, хотя бы для того же тестирования хранимых процедур ).

Если вы хотите повысить безопасность путем сокращения кодовой базы отвечающий за этот участок, просто выделите уязвимы в соответствии с вашей моделью угроз участки в отельный проект, и предоставьте остальному проекту доступ к нему по средствам api.

Они все сводятся к тому, что субъект либо имеет доступ к объекту (файлу, записи), либо не имеет, и это не меняется динамически.

Это не совсем так, поскольку есть динамические роли, например владелец. В общем динамический подход реализуется в attribute based security.
Если брать, то о чем вы пишите( 20 клиентов ), то такое обычно реализуют иначе. Через мониторинг и блокировку учетной записи по событию мониторинга.
Поскольку в данном случае речь идет или о злонамеренных действиях пользователя, а значит с ним нужно разбираться и просто запретить действие не достаточно или о компрометации учетной записи, а значит ее в любом случае сначала блокируют( или используют как "ханейпорт" ).

Начните с модели угроз.

Есть ли базы данных, хранилища, бэкенды для конфиденциальных данных?

Ярослав Поляков, вы не корректно подходите к безопасности. Составьте модель угроз и поймете, что ваша идея не походит для закрытия каких либо угроз из модели.

Каким образом через приложение можно исполнить произвольный SQL код?
1. Уязвимость в ПО на котором хостится ваш код.
2. SQL инъекций. Если у вас эксплуатируется код подверженный SQL инъекциям, то ваших разработчиков нужно гнать поганой метлой, такое .... уже давно сложении написать, чем не написать.

Если вы защищаете от первого, то надо понимать, что подобные уязвимости могут быть и в коде СУБД. А скомпрометированный сервер приложений позволит злоумышленнику собрать через ваше api все необходимы данные, включая и логины пароли всех пользователей.
Если от второго, то нужно проводить аудит кода, поскольку в 2019 году писать код уязвимый к SQL инъекциям может только жутко дремучий джун которого к самостоятельно работе допускать нельзя и SQL инъекции будут только самой маленькой из ваших проблем.

Тут два варианта. Код вашего приложения доверенный и вы реализуете необходимую логику безопасности в нем. Или код вашего приложения не доверенный, а тогда вам нужно реализовать api для api, т.е. еще один api более низкого уровня. На чем его реализовывать не важно, можно и на хранимых процедурах, только вот кода у вас будет уже в два раза больше, и доверенность второго api, как и любого последующего будет вызвать сомнения в рамках модели угроз в которой такой шаг имеет смысл реализовывать.

Сделать доступ к записи пользователя только после его аутентификации - возможно

Пользователь при аутентификаций получает auth token, в котором есть id или пользователя или сессии, после чего запрос в базу идет через хранимую процедуру в которую это id передается.

А лимитировать "дать не более 100 записей из табл. customers" за день

Хранимая процедура или триггер записывает в отдельную таблицу дату и кол-во полученных записей каждым пользователем по его id, перед вызовом запроса выполняет сверку с этой таблицей, если данных больше чем можно возвращает ошибку или пустое множество.

Но как я уже сказал, это все не имеет особого смысла. Почитайте про модели безопасности их не так много и есть вполне конкретные практики как они реализуется. Вы изобретаете велосипед.

Какую версию Windows Server лучше купить для юр. организации?

VladVasilchenko, перечисленные вами проблема нет от 2003 server.
Вообще используемая вами терминология говорит от том, что вы решили спихнуть все на то, что мол старая версия сервера, что вы от нее хотите. 2003 вполне успешно выполняет функции контроллера домена и файлового сервера, и никаких "багов" и отвалов дисков, не разваливающихся групповых политик и всего прочего не будет.
60 устройств и 30 единиц офисной техники( вообще странно, что у вас всего по два компьютера на одну единицу сетевого офисного оборудования ) не создадут запредельную нагрузку на NAS( хотя конечно с WD не имел дело ) если нет никаких очень специфических сервисов.
Вероятно у вас проблема где-то еще.

Пропадают ли метаданные фотографий, если скачать их из мессенджера?

АртемЪ, то что вы связываете обработку изображения и удаление метаданных, что не верно, второе не следует из первого. Из этого пользователь может сделать ложный вывод, если изображение обрабатывается ( преобразуется или перекодируется ), то метаданных в нем нет. Что так же не верно.

Пропадают ли метаданные фотографий, если скачать их из мессенджера?

АртемЪ, нет не естественно.
Метаданные это данные о данных. Исходные данные из себя представляют изображение( не файл, а именно объекты на изображении, файл это лишь формат сохранения, а не сами данные ), у самого изображения ничего не поменялось, ни дата съемки, ни координаторы съемки, ни автор и т.д.
По этому как раз "естественным" поведением в данном случае является сохранение метаданных.
Именно исходя из этого, поведение в данном случае ничем не гарантированно и не следует опираться на "естественность" удаление метаданных. И если вам нужно обеспечить их сохранность или их удаление, то следует сделать это на своей стороне не рассчитывая на поведение сервиса.

Пропадают ли метаданные фотографий, если скачать их из мессенджера?

АртемЪ, вам указывают на формальную ошибку, нет никакой связи между тем, что сервисы "изменяют" изображение и потерей метаданных, никто не мешает сервисам менять изображение с сохранением метаданных или передавать исходное изображение с удалением таких данных.

Построен Site to site между офисами на микротике, на главном офисе стоит сервер Астериск проблема в том что телефоны на другом офисе нет регистраци?

Дмитрий, нат на регистрацию не влияет.

Какой язык программирования выбрать для преподавания студентам 1го курса?

evgeniy_lm, наверно таким бедолагам в итоге не стоит быть разработчиками.

VoIP. при переходе на резервный канал слетает регистрация.почему?

Дмитрий Трейсеров, что именно? Регистрация это сообщение серверу куда ему слать входящий звонок. Если у вашей атс изменился адрес, то пока не пройдет перерегистрация атс провайдера будет слать вызов на старый ip.
Если вопрос как реализовать конфигурации с переходом на резервный канал, нужно смотреть какие конкретно настройки у вас и у провайдера, как организованна сеть( что находится между вашей атс и атс поставщика ), разбираться почему не работает( легче всего это делать вооружившись дампом ).

На ноуте была вин8 Хоум. Поставил 10 про и ключ с ебея. Законно ли?

АртемЪ,

Если я приобрел лицензию (право на использование) экземпляра программы, то я могу его использовать.

Вы приобретаете не абстрактное право на использование программы. А строго то право которое оговорено в лицензионном соглашении.

В лицензии может быть указано количество экземпляров, например лицензия на использование пяти экземпляров.
Соответственно я имею право использовать указанное в лицензии количество экземпляров продукта.

В лицензии указанно еще множество других условии и кол-во экземпляров( что вообще не всегда применимо ), ничем от них не отличается. Я вам уже приводил простейший примеры с Windows Server. Покупая один экземпляр, вы получаете право использовать три экземпляра, но не любым образом, а именно тем который прописан в лиц.соглашении.
Лицензионное соглашение содержит полное описание того права которое вы получили, можно сказать спецификацию. Если вы используете продукт не так как описано в лицензионном соглашении, то это другой продукт, который вы не покупали. Вы покупаете не экземпляры программы, а право. И именно право вы и используете. И если вы себе прав мимо лицензионного соглашения докинули, то использовать вы их не можете, вне зависимости, что при использовании права используется тоже самое ПО. И использование этих самых прав регулируется законом, так что ответственность у вас наступает и перед владельцем ПО и перед гос-вом.

На ноуте была вин8 Хоум. Поставил 10 про и ключ с ебея. Законно ли?

АртемЪ,

При чем тут договорные обязательства? Нарушением является не выплата зарплаты.

Потому как заработная плата это предмет договора между работодателем и сотрудником. Но он, как и в случае с правами на интеллектуальную собственность, дополнительно регулируется гос-во.

Речь идет о незаконном использовании. А незаконным является использование с нарушением закона РФ, но никак не EULA.

Законно использовать объект интеллектуальной собственности может только правообладатель. Он вам передает строго определенные права, не все, и тем более не передает вам сам объект интеллектуальной собственности. Какие именно права он вам передает описано в лицензионном соглашении. Лицензионное соглашение это форма лицензионного договора( как правило в форме присоединения ). Другие права правообладатель вам не передавал. И вы не может законно их использовать. Например если я с вами заключил договор аренды, вы можете законно находиться на территории которую арендовали, но это не значит, что вы можете законно находиться на любой территории которая мне принадлежит.

На ноуте была вин8 Хоум. Поставил 10 про и ключ с ебея. Законно ли?

АртемЪ,

Все нарушения договорных обязательств рассматриваются только в суде, по заявлению одной из сторон. Государство в это никак не лезет.

Нет не все. Есть случаи когда нарушение договорных обязательств является правонарушением. Яркий пример не выплата заработной платы УК РФ Статья 145.1.

Но нарушением закона это не является!

Является, поскольку лицензия вам предоставлена только в некоторых рамках, которые оговорены лицензионным соглашением. Все что за приделами данных рамок лицензией не покрывается и является не лицензированным использованием.

Что значит неразрешенным способом? А бывают разрешенные? Где в законе такое сказано?

ГК РФ Статья 1235
"Лицензиат может использовать результат интеллектуальной деятельности или средство индивидуализации только в пределах тех прав и теми способами, которые предусмотрены лицензионным договором."

Так вот лицензии на право использования софта как правило выдают в виде публичной оферты.

Нет, это не оферта, а договор присоединения. Лицензионный договор может быть или в письменной форме, или в форме договора присоединения.

Вот это ваша основная ошибка. Лицензия у вас есть с того момента как вам ее выдали, до того момента как ее отозвали(или кончился срок действия).
Если вы нарушаете - ее могут отозвать, но пока не отозвали - она у вас есть, она действует.
Нарушение условий лицензии не может отнять у вас лицензию.

Вы вводите некоторое абстрактное понятие лицензия не погружаясь в его смысл, ограничивая его исключительно количественным показателем. Количественный показатель лицензии( если он вообще есть ) имеет такой же вес как и все остальные. Более того, количественный показатель вообще часто не проистекает из каких либо финансовых документов. Как пример покупая одну копию windows server standart в большинстве случаев вы законно можете использовать три копии( строго оговоренным в соглашении способами ). А такая шутка как Windows Server External Connector вообще не оговаривает кол-во подключений, в отличии от Windows Server CAL, хотя по сути отвечают они за одно и тоже и их различия обуславливаются способом использования.
Лицензия действует строго в рамках оговоренного соглашения, все что за рамками, не важно, это количество, способ использования, срок использования или любой другой показатель, является правонарушением подпадающим под ук и гк. Т.е. вы можете использовать ПО только так как написано EULA, если вы используете ПО иным способом, то лицензии у вас на этот способ нет и вы подпадаете, при крупном размере, под УК РФ Статья 146.