Джон севілл відповідає на наші запитання. Частина iv

Відео: The Fermi Paradox - Where Are All The Aliens? (1/2)

У Windows недавно були введені комбінації PIN для отримання доступу до пристроїв замість набору постійного пароля. Паролі мають два недоліки:
• відкриті атакам методом перебору (спроба подолання зашиті з реєстрацією перебором імен по словнику або з бази даних вкрадених паролів);
• це «загальний секрет», тобто якщо я, скажімо, підглянуті ваш пароль, я можу використовувати будь-який пристрій.
PIN створюються на кожному пристрої і використовуються для доступу до ключа (паролю), який зберігається на пристрої Windows в сховище Windows Vault. PIN мають наступні характеристики.
• Чи захищені механізмом антівзлома (anti-hammering). Це означає, що після п`яти спроб пристрій блокується. Пам`ятайте, що чотиризначний цифровий набір має 10000 комбінацій, і дається тільки п`ять спроб на те, щоб ввести правильний PIN.
• PIN використовується на конкретному пристрої. Це означає, що, навіть якщо хтось знає PIN, він просто зобов`язаний мати доступ до певних пристроїв.

Той факт, що PIN захищений механізмом антівзлома і використовується тільки на одному пристрої, робить його більш потужним, ніж постійний пароль, у багатьох відношеннях. Втім, для хакера середньої руки навіть такий захист не стане перешкодою. В даному плані набагато більш надійною є "яблучна" техніка: тут при втраті доступу до системи вихід тільки один - похід в сервісний центр apple (https://smartmaster.kz/remont-apple/).

Як зробити паролі Azure AD чинними безстроково?

Використовуючи адміністративний портал Office 365, можна задати паролів нескінченний термін дії. Для цього в області Service Settings - Passwords ( «Налаштування служби - паролі») слід встановити прапорець у параметра Passwords never expire (див. Скріншот вище).

Крім того, можна задати потрібний варіант, використовуючи PowerShell, але це робиться окремо для кожного користувача. У наведеному нижче прикладі я вибрав всіх користувачів, а потім поставив паролів відсутність терміну закінчення дії:



Get-MsolUser I Set-MsolUser -PasswordNeverExpires $ true

Чи існує спосіб інтегрувати Azure АТ без використання локальної служби ADFS?
Microsoft активно тестує і підтримує інтеграцію Azure AD з локальними екземплярами Active Directory через ADFS і, де можливо, застосовує цей підхід. Однак можна задіяти й інші рішення інтеграції, підтримуючих стандарт WS- *, які засновані на ідентифікації провайдерів, таких як WS-Trust і WS-Federation. У Microsoft існує ряд документів, що деталізують даний підхід:
• Office 365-Identity program ( «Програма ідентифікації Office 365»): https://blogs.office.com/2013/09/03/works-with-office-365-identity-program/.
• Third-party identity providers ( «Ідентифікація сторонніх провайдерів»): https://msdn.microsoft.com/en-us/library/azure/jy679342.aspx.




Зверніть увагу, що використання цих рішень може зажадати великого тестування для забезпечення гарантії того, що вони відповідають вимогам різних способів використання Azure AD.

Я використовую інструмент розгортання Office Office Deployment Tool для завантаження Office 365 за схемою click-to-run ( «натисни і працюй») і створення пакета App-V для розгортання через менеджер настройки SCCM. Який існує найпростіший спосіб підтримувати його в оновленому стані?
Це не складно. Використовуючи Office Deployment Tool, можна завантажити виконавчі дані Office 365 для схеми click-to-run, а потім створити пакет App-V 5, який може бути завантажений в SCCM. Щомісяця варіант Office 365 для схеми click-to-run оновлюється на серверах Microsoft, але як розгорнути його локально? Навряд чи ви захочете, щоб ваші корпоративні машини, підготовлені з використанням пакета App-V 5, запускали оновлення прямо з серверів Microsoft, і тому варіант автоматичного оновлення буде блокований. Таким чином, існує два шляхи.

Завантажте пакет App-V в модуль секвенсера, виконайте оновлення до останньої версії через оновлення в Office 365 і збережіть нову версію, яка може бути імпортована в SCCM.

Знову використовуйте Office Deployment Tool для створення нової версії додатка для App-V 5 і завантажте його в SCCM в якості нової версії.

Обидва методи прийнятні, однак перший передбачає додаткову роботу, тоді як другий метод дуже простий. Кожен раз, коли використовується Office Deployment Tool, що виходить пакет App-V буде мати той же самий ідентифікатор GUID пакета з єдиною різницею в версії. Це означає, що клієнти отримають тільки невелика кількість змін і завдання управління для ІТ-адміністратора буде простіше.

Чи існують які-небудь вимоги для отримання прав в Azure, які пов`язані з ліцензією відновлення сайту Azure Site Recovery?

Є два типи ліцензій Azure Site Recovery (ASR): ліцензія для локальних установок по відношенню до себе подібним і ліцензія локальних установок по відношенню до Azure. На даний момент ліцензія для локальних установок по відношенню до Azure включає в себе наступні права для кожної ліцензованої віртуальної машини (пам`ятаєте, що ці дозволи загальні):
• 100 Гбайт сховища Azure Storage;
• 100 Гбайт мережевого графіка;
• 1 млн транзакцій оперативної пам`яті.

Щоб отримати ці дозволи, ви повинні купити ліцензії ASR за своїм корпоративним договором Enterprise Agreement, використовуючи відповідні позиції ASR SKU. Якщо ви купуєте ліцензії ASR через інші канали, такі як прямі канали, то ці права реалізувати буде не можна.