Šta je novo?

Notebook management

Dominator08

Slavan
Učlanjen(a)
25.08.2007
Poruke
438
Poena
320
U firmi se planira da se uzme desetak lap topova za zaposlene, pa me zanima kako najbolje da organizujem upravljanje tim lap topovima pošto to nisam nikada ranije radio? Kad kažem upravljanje mislim na održavanje tih lap topova u životu što je moguće duže, uz držanje bezbednosti na zadovoljavajućem nivou :)

Lap topovi će služiti za bazičan rad u Office paketu, nikakve druge zahtevne aplikacije. Bio bi poželjan udaljen pristup mrežnom serveru (lociran u okviru firme) na kojem se nalaze podaci za razmenu među korisnicima (Windows Server 2012 R2 je u pitanju). Da li ovo realizovati putem OpenVPN-a ili na drugačiji način? Imamo ruter koji poseduje mogućnost L2TP/IPSec servera, mada još uvek nisam uspeo da to pokrenem da radi.
Takođe, OpenVPN koristimo za pristup nekom drugom udaljenom serveru na kojem se nalazi web aplikacija koja je potrebna za svakodnevni rad.

Btw, svaki od korisnika ima svoj desktop računar na poslu, a dakle ubuduće će imati i svoj lap top.

Za email klijent koristimo Mozilla Thunderbird, i za to bih voleo da na nekom serveru imamo centralnu bazu sa email adresama (i ostalim kontakt podacima) svih zaposlenih koja će moći na taj način da se ažurira i da im bude dostupna i na desktop i na lap top računarima.

Korisnicima bih zabranio da instaliraju aplikacije bez dozvole administratora tj. mene. Instalirao bih Chrome Remote Desktop za pristup računarima u slučaju nužde. Promena lozinke na svakih 6 - 12 meseci. Za ovakve stvari pretpostavljam da je najbolje koristiti Group Policy?

Na računarima će biti Windows 10 PRO i Office 2013 za koje imamo licence, pa ništa drugo ne bismo doplaćivali, pogotovo ne nešto sa mesečnom pretplatom za svakog korisnika posebno, jer je budžet ograničen.

Kako preduprediti probleme gubitka podataka u slučaju kvara uređaja i na koji način najjednostavnije povratiti podatke u slučaju kvara?


Ja sam nabacao ovde svoje ideje i zahteve, a pošto ima raznih mogućnosti i pristupa voleo bih da čujem mišljenja i savete iskusnijih.
 
Nemam baš profesionalno iskustvo sa ovime, ali mi je dopao sličan posao kod mene u firmi :D

1. Mislim da je nepotrebno da svaki zaposleni ima 2 računara. Samo komplikuje održavanje i povećava rizik od gubitka podataka (nešto mi je na jednom, nešto na drugom, da li sam i kada poslednji put sinhronizovao to, itd). Ako možete, koristite samo laptopove
2. L2TP/IPSec je ok rešenje, ako možeš da ga namestiš sa postojećim ruterima. Mi koristimo PPTP koji je za izbegavanje. Zašto je tako, ne znam. Da se ja pitam, koristio bih ZeroTier. Besplatan je za 50 uređaja, jednostavan za podešavanje (održavanja u suštini i nema) i siguran.
3. Promenu lozinke izbegavati. To je dokazano loša praksa, pošto zbog toga korisnici biraju jednostavnu šifru na koju stalno dodaju jedan karakter. Može se i to rešiti, ali je komplikovano. Iskreno, jedini zahtev koji bih ja dao je minimum 20 ili 25 karaktera, što bi korisnike navelo da biraju passphrase, ako je tako nešto moguće
4. Obavenzno FDE na svakom laptopu (i Bitlocker je sasvim dovoljan ako ništa drugo)
5. Što se gubitka podataka tiče, ako su vam svi fajlovi na centralnom serveru, a on ima bekap, onda se ništa bitno ne može izgubiti. Ako je disk kriptovan (što je obavenzo) i crkne, onda su podaci izgubljeni. Tako da ako neko čuva bitne fajlove samo na svom računaru (što ne bi trebalo) onda se mora raditi bekap tih računara. Možda da razmislite o cloud servisu umesto lokalnog servera. Syncthing vam takođe možda odgovara. Besplatan je, samo se treba potruditi oko podešavanja svih klijenata
6. Ne znam šta da kažem za centralnu mail bazu. Osim exchange servera, ne znam kako bi se moglo rešiti, ali i ja tražim rešenje za firmu u kojoj radim, samo mi je nisko na listi prioriteta trenutno
7. Za remote je najbolje koristiti Windows RDP. Generalno, svi ti programi su nebezbedni (mada ste verovatno mala meta, da bi neko iskoristio 0-day za vas), a RDP će podrazumevano raditi samo u vašoj mreži (lokal, VPN, ZeroTier...). Kod mene u firmi imamo licence za Teamviewer (zbog klijenata pre svega), a ja koristim AnyDesk po potrebi (besplatan za privatnu upotrebu, 17€ mesečno je biznis verzija). Ali opet, RDP + VPN (ili ZeroTier) je dobra kombinacija, koja ne košta ništa, a radi lepo.
 
Poslednja izmena:
1. VPN mozes da odradis sa openVPN ili wireguardom recimo,sta je tebi lakse. OpenVPN u vecini slucajeva dobro radi.
2. Sinhronizaciju mozes da odradis sa NAS serverom sa Duplicati-jem, na obe masine svakom korisniku i da to radi lepo(povratak pogotovo).
3. Ne znam sta je centralna baza email korisnika,verovatno neki web-based listing? Nisam nikada imao takav neki zahtev.
4.Ukoliko su na VPNu,onda mozes i tightvnc server i klijent za free pristup,a ako bas moras nekako ne-vpn pristup onda teamviewer(koji naravno nije free).
5. Mozes da dignes Zentyal server kao AD zamenu ako zelis GPO da koristis za nesto, pa i za administraciju.

6. I na kraju za taj gubitak definitivno Duplicati,podesis da se radi bekap jednom dnevno,mozes i na mail da dobijas kada nekome ne prodje, pa da gledas sta i kako. Dosta se brzo vracaju podaci, ja recimo imam praksu da bekapujem samo desktop i documents. I onda kazes korisnicima tu drzite podatke(ili neki specifican folder) i to bekapujes. Pretpostavljam da ti je to tako najlakse. Nisam siguran da li ti traze enkripciju i jos nesto tako ozbiljnijie.
 
1. Ako su identični modeli lap topova, instaliraš na jednom sve što je potrebno od softverskih alata i paketa. Full update operativnog sistema, drajvera i po mogućstvu firmware-a. Napraviš system image tog lap topa i posle samo spuštaš na ostale, menjaš imena i IP adrese. Ako nekada nekome otkaže računar ili HDD, samo uradiš reimage i uz neka sitna podešavanja korisnik ima lap top nazad za vrlo kratko vreme. Pogledaj šta se nudi od rešenja za image-ing, možeš da biraš šta ćeš koristiti.
2. Ako imate AD, obavezno konfiguriši kroz globalne polise (GPO) da se na svakom lap topu osim lokalnih particija vidi i mapirani mrežni deljeni disk na udaljenom stordižu. Tako će korisnici imati uvid u deljene diskove i ujedno će im biti podsetnik da tu treba da razmenjuju/čuvaju važne fajlove.
3. Update operativnog sistema možeš takođe da forsiraš da bude automatski kroz GPO, a ako baš želiš punu kontrolu razmotri implementaciju WSUS-a.
4. Obavezno koristiti neku enkripciju podataka na lap topovima kao što rekoše iznad (BitLocker je ok).
5. Antivirus obavezno na svim lap topovima
6. Uvesti forsiranje promene lozinke obavezno, bar na 3 meseca. Minimum 8 slova, specijalni karakter i broj. Podesiti polisu da ne može ista reč da se koristi kako bi izbegao da korisnici menjaju samo broj i specijalni karakter, već forsiraj da menjaju ceo password. Buniće se malo ali će se navići :) "safety first"
7. Kao što rekoše, windows-ov RDP je sasvim ok za udaljeni pristup, radi odlično.
8. Preporuka je da lokalni Administratorski nalog renejmuješ i staviš mu baš kompleksnu lozinku koju ćeš samo ti znati.
9. Korisnicima zabraniti da bilo šta instaliraju na lap topovima. Uvedi standard koji će se softverski alati koristiti, koji browser itd... i samo njih instaliraj na računarima. Ako im treba neki poseban alat neka te zovu da im instaliraš.

Zaposleni su odgovorni za svoje podatke, edukuj ih da praktikuju da ih čuvaju na deljenim diskovima (serveru) i da redovno rade backup na lokalne eksterne diskove ako vam to bezbednosne politike dozvoljavaju. Backup servera za razmenu i čuvanje podataka je tvoja odgovornost (i tu razmotri čuvanje rezervnih kopija na neki eksterni HDD ili čak na cloud ako security polisa to dozvoljava).

Pozdrav!
 
Ja bih izbegavao SMB da se koristi,tj deljeni diskovi, posto je to prvi udar za ransomware. BOlje je koristiti nextcloud ili slicno resenje, recimo da je veca sigurnost.
 
Hvala svima na konkretnim i dobrim savetima!

Kasnim sa odgovorom jer sam istraživao i razmišljao u međuvremenu o potencijalnim rešenjima analizirajući vaše preporuke i s obzirom da ima mnogo rešenja, tražio ono optimalno. Uputili ste me u neke opcije za koje nisam ranije čuo - Zentyal, Duplicati (@SpaceBeer dao si mi preporuku za ZeroTier na drugoj temi i hvala još jednom, jer mi je rešilo problem).

Windows RDP i BitLocker će onda i biti. Za Imaging koristim Acronis True Image. Nešto od ovoga što ste pisali već praktikujemo i sa nekim stvarima sam upoznat, pa mi to olakšava situaciju. Za bezbednosnu politiku i sve što se tiče toga sam ja zadužen i odgovoran, tako da mogu da kreiram kako smatram da je najbolje.

Slažem se da bi bolje bilo da svi zaposleni imaju samo jedan računar, ali pošto su od samog starta (pre 15 godina) radili na desktopovima, a lap topove tek sada nabavljamo (biće svi isti modeli) onda ćemo morati definitivno da napravimo takvu kombinaciju da koriste i desktop i lap top, jer bi se teško navikli da nose lap topove sa sobom svaki dan kući i nazad na posao, bilo bi tu svega i svačega već vidim unapred. Da ne dužim, ovo je trenutno jedino rešenje i zbog toga bismo morali da radimo sinhronizaciju njihovih uređaja. Možda bi u nekom narednom periodu mogli da ih prebacimo samo na lap topove sa docking station uređajima, ali o tom potom.

Pa kada sam spomenuo sinhronizaciju da krenem od toga - video sam da Microsoft nudi relativno povoljne mesečne pretplate za za OneDrive (i gomilu drugih servisa od kojih bismo možda još neki iskoristili) u šta ulazi i Office 365 pa sam krenuo da razmišljam u tom pravcu, jer bi OneDrive rešio pitanje sinhronizacije, backup-a i kolaboracije na zajedničkim Office fajlovima na kojima više ljudi istovremeno treba da radi. Nema tih Office fajlova puno na kojima bi se istovremeno radilo, ali bi bilo zgodno da se zaposlenima uvede i ta mogućnost pa bi verovatno krenuli da je koriste i više.

Sledeća stvar je AD sa kojim bih voleo da se više upoznam i da krenem da ga koristim u administraciji računara jer mislim da je to neminovno u bližoj ili daljoj budućnosti - imamo pored ovih desetak i još neke druge računare kojima je potrebno podešavati Group Policy, a koje sam do sada sređivao preko Local GPO, što mi je smaranje. Pomenuh da imamo i Windows 2012 R2 server na jednom HP micro server-u (koji se trenunto koristi za file share) pa bih mogao čak i njega da iskoristim za pokretanje AD. Međutim, tu se pojavljuje drugi problem - server odnosno njegov HDD je riknjavao već bukvalno pet puta u poslednjih nekoliko godina i uopšte se nije pokazao pouzdanim. Uzrok toga je verovatno bio svaki put nestanak struje, u međuvremenu smo nabavili UPS, ali još uvek nisam stigao da se pozabavim sa Network UPS Tools jer imamo više uređaja koje je potrebno automatski pogasiti u slučaju nestanka struje. Ali to je druga tema, a ono što mi se ovde javlja kao pitanje je licenca za Windows Server - posedujemo WinSvrStd 2012R2 SNGL OLP NL 2Proc i ne znam da li je moguće da nju prenesem na drugi server? Nabavili bismo neki drugi (polovan pošto su novi preskupi) server koji bi na sebi imao više virtuelnih mašina pa bih na jednu instalirao Windows Server koji bi poslužio samo za AD ili i za file share koji trenutno koristimo ili biste preporučili posebnu VM sa nekim od besplatnih NAS rešenja? File share nam funkcioniše vrlo prosto, na sledeći način - računari na sebi imaju mapiran mrežni hard disk sa jednim od tri naloga koji su kreirani na Windows serveru u zavisnosti od privilegija odnosno potrebe za pristupima podacima, jedni mogu da pišu i čitaju drugi samo čitaju i to samo određene foldere.

Trenutno imamo tri uređaja koja bih redukovao na jedan server i tri / četiri virtuelne mašine - jedna nam treba za VoIP, druga za AD, treća za neku Ubuntu web aplikaciju i četvrta za NAS (ili bez četvrte ako Windows server sa AD može da služi i za file share). Ništa od ovoga nije zahtevno - ovaj HP Microserver je do sada radio bez ikakvih problema a ima Celeron G1610T 2.3 GHz i samo 4GB rama. Razmišljali bismo o nekom Xeon 2x X5670 ili sličnom sa 64GB ili više RAM memorije, eto za svaki slučaj.

File share u lokalnoj mreži bismo zadržali pošto nam je internet link relativno spor (50/8) pa bih da iskoristimo brzinu lokalne mreže i ne opterećujemo internet link.

Ako imate još nekih komentara ili sugestija na ovo moje slobodno pišite..
 
Winserver licenciranje je haos za virtualizaciju,tako da bih ti preporucio da ako imas fizicku masinu sa licencom, onda da na njoj vrtis sve potrebne WIN aplikacije. Sve ostalo mozes da virtualizaciju.
 
Pa kada sam spomenuo sinhronizaciju da krenem od toga - video sam da Microsoft nudi relativno povoljne mesečne pretplate za za OneDrive (i gomilu drugih servisa od kojih bismo možda još neki iskoristili) u šta ulazi i Office 365 pa sam krenuo da razmišljam u tom pravcu, jer bi OneDrive rešio pitanje sinhronizacije, backup-a i kolaboracije na zajedničkim Office fajlovima na kojima više ljudi istovremeno treba da radi. Nema tih Office fajlova puno na kojima bi se istovremeno radilo, ali bi bilo zgodno da se zaposlenima uvede i ta mogućnost pa bi verovatno krenuli da je koriste i više.
Ako već uzimaš najjeftiniji o365 plan Microsoft 365 Business Basic (a pretpostavljam da ti je taj interesantan), onda si u paketu rešio i mail i deljenje dokumenata.
Imaš webmail koji je odličan, nema potrebe za klijent aplikacijom uz malo navike, nema arhiviranja mejla ako se uklapaš u tričavih 50gb.
Kako ti paket obuhvata i sharepoint online, uz malo edukacije možeš prebaciti klijenta na njega. Tamo mogu da čuvaju svoje ali i deljena dokumenta, mogu paralelno da rade na njima, imaš neku skrnavu online verziju worda/excela, što opet pokriva osnovne potrebe. Ovo ti je mnogo ozbiljnije rešenje za kolaboraciju od onedrive-a, možeš me iscimati na pm za detalje ako te nešto zanima.
 
Nazad
Vrh Dno