M 6.76 Avariiplaani koostamine Windowsi süsteemi tõrke puhuks


Algatamise eest vastutavad: IT-juht, IT-turvaosakond
Rakendamise eest vastutavad: IT-juht, administraator

Avariidokumentatsiooni tuleb käsitleda konfidentsiaalse infona
Ühe või mitme Windows-süsteemi avarii võib vastava serverirolli täitmise korral mõjutada tõsiselt IT-keskkonda, kuna kasutaja ei pääse enam serverisüsteemile ligi. Tuleb määratleda, millised on vajalikud abinõud, et vältida avariilaadseid situatsioone, minimeerida avarii tagajärgi ning tagada kiire ja tõhus taaskäivitus. Avarii (serveri avarii) puhul vajalik dokumentatsioon ja tegutsemisjuhised võivad sisaldada konfidentsiaalset infot. Neid tuleb hoida turvalises kohas, et vältida vastava info kuritarvitamist. Konfidentsiaalne info võib olla näiteks:
  • Konfiguratsiooniandmed
  • Litsentsivõtmed, sõltuvalt olukorrast ka hulgilitsentsi andmekandjad
  • (Administratiivsed) kasutajakontod ja paroolid
  • Muu autentimis teave (Windows Vista ja Windows 7 Bitlocker Drive Encryptioni võti)
Samas tuleb aga organisatoorsete meetmetega tagada, et vajalik info oleks avarii korral kättesaadav isikutele, kes vastutavad taastamise eest. Windows-süsteemide avariiplaan tuleb integreerida avariikontseptsiooni (vt B 1.3 Hädaplaanimine ja M 6.96 Serveri avariiplaan) ning see peab olema kooskõlas meetmega M 6.96 Serveri avariiplaan.

Alustage avariiplaani koostamisega juba süsteemi planeerimisel
Avariiplaani koostamisega tuleks alustada juba süsteemi planeerimisel, et saaks juba aegsasti arvestada võimalike spetsiaalsete käideldavusnõuetega, mis võivad nt ette näha serverite varustamise liiasusega (vt M 6.1 Käideldavusnõuete inventuur). Avariiplaan peab sisaldama selgeid kriteeriumeid, mis määraksid, millistele Windows-süsteemidele avariiplaani rakendatakse.

Andmevarundus
Windows-süsteemide avariiplaanis tuleb viidata asjaolule, et avariiolukorraga toimetulekuks peavad moodulis B 1.4 Andmevarunduspoliitika kirjeldatud meetmed olema juba ellu rakendatud. Windows-Server-2003-süsteemidel tuleb jälgida, et meede M 6.99 Windows Serverite tähtsate süsteemikomponentide regulaarne varundus oleks kindlasti ellu rakendatud.

Andmevarunduse dokumenteerimine
Andmevarundust kajastav dokumentatsioon on avariiplaani jaoks väga oluline. Dokumentatsiooni värskust tuleks hooldustööde käigus regulaarselt kontrollida. Ennekõike peab dokumentatsioonist saama välja lugeda, millises mahus andmeid varundati, millal toimus viimane edukas varundamine ning millist tark- ja riistvara andmevarunduseks kasutati. Valitud andmevarundusprotseduur ning rakendatav riist- ja tarkvara peavad suutma täita taastamisnõuetes kehtestatud taastamisaja piiranguid.

Tehniline dokumentatsioon
Süsteemide kohta peab eksisteerima piisav tehniline dokumentatsioon, mida saaks avarii korral kasutada. Dokumentatsioon peaks sisaldama vähemalt järgnevaid punkte:
  • BIOSi ja püsivara versioonid
  • Riistvara
  • Installeeritud Windows-komponendid
  • Installeeritud lisatarkvara
  • Võrgu konfiguratsioon
  • Teenused
  • Kõvaketaste või ühendatud kõvakettasüsteemi partitsioonide jaotumine
  • Kasutajakontod ja volitustega grupid
  • Kasutusload ja kasutuslubade volitused, NTFS volitused
  • Seadistused turvapoliitikates (mallide abil)
Kogu dokumentatsiooni kaasamine avariiplaani koostamisse
Selleks, et avariiolukorras ei selguks, et olulised funktsioonid on jäetud tähelepanuta, tuleb avariiplaani koostamisel arvestada kogu olemasoleva dokumentatsiooniga ning vajadusel seda ka veel täiendada. Dokumentatsiooni tuleb kohandada hooldustööde käigus, pärast riistvaras ja tarkvaras tehtud muudatusi ning samuti süsteemikonfiguratsiooni muutmise järel.

Kogu dokumentatsioon peab olema saadaval offline töörežiimis
Tehnilise dokumentatsiooni ja seega ka avariiplaani värskendamine on osa muudatuste haldusest. Peab olema arusaadav, millised isikud tegid muudatusi ja kes uuendas dokumentatsiooni. Avariiplaani jaoks peab kogu dokumentatsioon, kaasa arvatud tootjapoolne dokumentatsioon eksisteerima trükivormis, kuna avariiolukorras pole elektrooniline juurdepääs alati tagatud.

Töötamine alternatiivsüsteemidel
Kui organisatsiooni seisukohast on talutavad on ainult lühiajalised tööseisakud, tuleb tagada alternatiivsete süsteemide kasutusvõimalus. Süsteemide koguvõimsus peaks olema planeeritud selliselt, et üksiku süsteemi avarii korral suudaksid asutuse ülejäänud süsteemid avariilise süsteemi rollid ja funktsioonid võimalikult suures mahus enda peale võtta. Siinkohal tuleb arvestada meetmega M 4.276 Windows Server 2003 kasutamise plaanimine, M 4.418 Windows Server 2008 kasutamise planeerimine või M 4.420 Windows 7 tegevuskeskuse turvaline kasutamine.

Varuseadmed
Windows-serverite puhul tuleks kaaluda varuseadmete soetamist, mis võimaldaks jätkata Windows-serveri ja teatud rakenduste käitamist ka neil juhtudel, mil avarii võib esineda korraga mitmes serveris. Ümberlülitusaja minimeerimiseks peavad need seadmed olema eelnevalt installeeritud ning neid tuleb regulaarselt käivitada ja hooldada. See kehtib Windows Vista, Windows 7 ja Windows Server 2008 kasutamisel ka neis seadmetes, milles rakendatakse KMS-i (Key Management Service) või MAK-proksit (Multi Activation Key Proxy), juhul kui neid aktiveerimisliike kasutatakse hulgilitsentside jaoks. Alternatiivsüsteemide kasutusprotseduuride väljatöötamine võib olla väga töömahukas. Seetõttu on alternatiivsüsteemide kasutusprotseduuride väljatöötamisega soovitatav alustada juba serverikasutuse planeerimisel. Alternatiivsüsteemide kasutuselevõtu jaoks peavad olema koostatud konkreetsed tegevusjuhised.

Konkreetsed tegutsemisjuhised alternatiivsüsteemidega töötamiseks
Alternatiivsüsteemide kasutamisprotseduuride väljatöötamine võib olla väga töömahukas. Seetõttu on alternatiivsüsteemide kasutamisprotseduuride väljatöötamisega soovitatav alustada juba serverikasutuse planeerimisfaasis. Alternatiivsüsteemide käikuvõtmise jaoks peavad eksisteerima konkreetsed tegutsemisjuhised.

Taasteplaan
Sõltuvalt serveri rollist ja IT-keskkonna eripärast kehtestatakse Windows-süsteemide avariijärgsele taaskäivitusele erinevaid nõudeid. Siinkohal tuleb lisaks vaatluse all olevale serverile arvestada ka ühendatud IT-keskkonna (nt marsruuteri, teiste serverite, asukoha konnektorite) käivitusaegadega. Käivitusplaan on seda keerukam, mida suurem on IT-süsteem ning see tuleb koostada kooskõlas domeeni struktuuri ja rakendatavate serverirollidega. Liikmesserverit tuleks uuesti käivitada alles siis, kui eelnevalt on käivitatud vähemalt üks globaalse kataloogiga domeenikontroller, üks sertifikaatide server sertifikaatide keelunimekirjade päringuteks (kui on olemas) ja kõik infrastruktuuriserverid.

Avariiplaani testimine
Hooldusplaani raames tuleks avariiplaani regulaarselt (nt kord kvartalis) testida testimiskeskkonnas, mõnikord siiski ka tootmiskeskkonnas, mis nõuab aga loomulikult erilist hoolt. Mida sagedasemad on konfiguratsioonis tehtavad muudatused, seda sagedamini tuleb avariiplaani selle värskuse tagamiseks testida. Tulemused tuleb dokumenteerida ja vajadusel sellest lähtuvalt olemasolevat avariiplaani muuta. Taastamisstsenaariumeid tuleb kontrollida ja tulemused dokumenteerida.

Taastamine
Avariiplaanis peavad olema kirjas reinstalleerimistööde abil tehtavaks taastamiseks vajalikud eeldused. Tuleb arvestada ettevalmistamise kontseptsiooniga või olemasolevate installeerimiskontseptsioonidega (Windows-Server-2003-süsteemi puhul meetmega M 4.281 Windows Server 2003 turvaline installeerimine ja ettevalmistus). Kriitilise tähtsusega on nt kasutatav riistvara ja vajalikud draiverid. Teatud RAID-kontrollerite puhul võib osutuda vajalikuks paigaldada draivereid installeerimise käigus. Tavaliselt annab tootja draiverid eraldi andmekandjal koos tootega kaasa või tagab nende kättesaadavuse internetis. Andmekandjal peab olema vastava draiveri hetkel kasutuses olev versioon.

Installeerimisallikad ja litsentsid
Taastamine nõuab originaaltarkvara olemasolu originaalandmekandjatel koos tootevõtmete ja litsentsiinfoga. Kui hulgilitsentsiprogrammi ei kasutada, tuleb Windows-süsteemide võimaliku aktiveerimisvajaduse korral juhtida tähelepanu sellele, et Interneti kaudu toimuv mitmekordne aktiveerimine ühe ja sama tootevõtmega erinevatel kõvaketastel võib ebaõnnestuda. Selle tagajärjel võib olla vajalik võtta otse telefoni teel ühendust Microsoftiga. Microsofti tuleb teavitada süsteemi avariist. Windows Vista ja Windows 7 kliendid tuleb reaktiveerida ka siis, kui kasutatakse Windows Vista ja Windows 7 hulgilitsentse. Windows Vista ja Windows 7 kasutamisel tuleb muu hulgas pöörata tähelepanu sellele, et alati oleks olemas piisav arv litsentse. Uuesti installimise korral ja juhtudel, kus aktiveerimine leiab aset automaatselt kas MAK-proksi või KMS-iga, küsivad Windows Vista ja Windows 7 kliendid litsentse. Litsentsihaldus peab tagama, et aktiveerimiseks oleks olemas piisav hulk litsentse. Lisateavet aktiveerimise kohta leiate meetmetest M 4.336 Hulgilitsentslepinguga Windows süsteemide aktiveerimine alates Windows Vistast või Windows Server 2008-st ja M 4.343 Hulgilitsentsilepinguga Windowsi süsteemide reaktiveerimine alates Windows Vistast või Windows Server 2008-st. BitLocker Drive Encryptioniga varundatud Windowsi süsteemide puhul (alates Vistast ja Server 2008-st) tuleb tagada, et taastamisvõtmeid oleks vajaduse korral võimalik lühikeseks ajaks kättesaadavaks teha. Edastamisel peab volitamata tutvumine olema välistatud. Süsteemide uuesti installimise korral muutuvad seni kasutatud autentimislahendused ja BitLocker Drive Encryptioni taastamisvõtmed kehtetuks. Uute, st äsja koostatud autentimis- ja taastamisvõtmete puhul tuleb tagada, et neile pääsevad juurde üksnes volitatud isikud (vt M 4.337 BitLockeri Drive Encryption kasutamine).

Replikaatide varu hoidmine
Luues olulisest infost ja failidest replikaate erinevatele serveritele, saab üksikute serverite avariide korral kasutada vastavaid replikaate. Seeläbi saab kasutajatele kiirelt kättesaadavaks teha andmetest loodud koopiaid. Avariiplaani raames tuleks kontrollida, kas ja milliste andmete jaoks on see vajalik. Windows-Serverid pakuvad selleks replikeerimisteenust FRS (File Replication Service), mida saab kasutada ka koos DFSiga ( Distributed File Service ). Varasematele versioonidele kui Windows Server 2003 R2 sobivad need teenused avariikontseptsiooni jaoks ainult piiratud määral ja on tavaliselt seotud suure töömahuga testimise ja hooldamise vallas.

Avariiplaani koostamisel tuleb täiemahulise taastamise eesmärgil eristada Windows-süsteemide teatud rolle nagu nt DNS-server ja sertifikaadiserver. Selle juurde kuulub rollipõhiste süsteemikomponentide (nt DNS-teenuse või sertifitseerimisüksuse andmebaaside) varundamine, samuti põhjalik dokumentatsioon vastavate rollidega seotud seadistuste kohta.

Kontrollküsimused:
  • Kas isikutel, kes vastutavad taastamise eest, on IT-süsteemi rikke korral juurdepääs kõikidele vajalikele andmetele, nagu konfigureerimisandmed, litsentsivõtmed, administratiivsed kasutajakontod ja paroolid?
  • Kas on olemas hädaolukorraks valmisoleku plaan ja kas see on asutuse hädaolukorra kontseptsiooni osa?
  • Varusüsteemide kasutamine: Kas süsteemide koguvõimsus on rollide ja funktsioonide võimaliku ülevõtmise korral piisav, et asendada rivist välja langenud süsteeme?
  • Kas hädaolukorraks valmisoleku plaani ajakohasus on tagatud ka pärast konfiguratsioonimuudatusi?
  • Kas hädaolukorraks valmisoleku plaanis peetakse kinni reinstalleerimistööde abil tehtavaks taastamiseks vajalikest eeldustest?
  • Kas süsteemi taastamisel võetakse arvesse olemasolevat kasutusse andmise ja installeerimise kontseptsiooni?
  • Kas on tagatud rollipõhiste süsteemikomponentide täielik taastamine ja kas rollidega seotud seadistused on dokumenteeritud?
  • Kas hädaolukorraks valmisoleku plaanis on asjakohaselt arvesse võetud krüptograafilisi võtmeid ja sertifikaate, eriti salvestamise korral TPM-is ja kõvakettakrüpteeringu kasutamise korral?
  • Kas on olemas uuesti installeerimiseks vajalikud installeerimise andmekandjad ja tootevõtmed?
  • Kas vajalikud dokumendid ja tegevusjuhised on kaitstud lubamatu juurdepääsu eest?
  • Kas on olemas andmevarunduse ajakohane dokumentatsioon?
  • Kas valitud andmevarundusprotseduur ning rakendatav riist- ja tarkvara vastavad nõuetele, mis puudutavad taastamist kehtestatud taastamisaja piires?