- •Тема 1. ЦЕЛИ И ЗАДАЧИ СЕТЕВОГО АДМИНИСТРИРОВАНИЯ
- •Контрольные вопросы
- •Тема 2. ВВЕДЕНИЕ В WINDOWS SERVER
- •2.1. Семейства Microsoft Windows 2000 Server и Windows Server 2003-2008
- •2.2. Характеристики Windows 2000 и Windows Server 2003-2008
- •2.3. Контроллеры домена и рядовые серверы
- •2.3.1. Роли серверов
- •2.4. Архитектура операционной системы
- •2.4.1.1. Внешние подсистемы (подсистемы среды)
- •2.4.1.2. Интегральные (внутренние) подсистемы
- •2.4.2.1. Исполнительная система Windows Server
- •2.4.2.2. Драйверы устройств
- •2.4.2.3. Микроядро
- •2.4.2.4. Аппаратно-зависимый уровень
- •Контрольные вопросы
- •Тема 3. СЛУЖБА КАТАЛОГОВ WINDOWS SERVER
- •3.1. Знакомство со службой каталогов
- •3.2. Рабочие группы и домены
- •3.3. Служба каталогов Active Directory
- •3.3.2.1. Логическая структура
- •3.3.2.2. Физическая структура
- •Контрольные вопросы
- •4.2. Установка и начальная настройка системы
- •4.2.2. Выбор носителя дистрибутива системы
- •4.2.3. Процесс установки системы Windows Server 2003
- •Контрольные вопросы
- •Тема 5. ФАЙЛОВЫЕ СИСТЕМЫ MS WINDOWS SERVER
- •5.1. Обслуживание жестких дисков
- •5.1.1.1. Типы дисков, разделов и томов
- •5.1.1.2. Файловые системы
- •5.1.2. Основные задачи обслуживания дисков
- •5.1.2.1. Работа с простыми томами
- •5.1.2.2. Работа с составными томами
- •5.1.2.3. Работа с чередующимися томами
- •5.1.2.4. Добавление нового диска
- •5.1.2.5. Изменение типа диска
- •5.2. Файловая система FAT
- •5.2.1. Файловая система FAT16
- •5.2.2. Файловая система FAT32
- •5.2.2.1. Структура разделов FAT32
- •5.3. Файловая система NTFS
- •5.3.1. Введение в NTFS
- •5.3.2. Структура NTFS
- •5.3.2.1. Структура тома NTFS
- •5.4. Безопасность файловых систем
- •5.5. Дополнительные файловые системы
- •5.5.1. Распределенная файловая система
- •5.5.1.1. Общие сведения о DFS
- •5.5.1.2. Преимущества DFS
- •5.5.1.3. Ограничения, накладываемые DFS
- •5.5.1.4. Типы корней DFS
- •5.5.1.5. Конфигурирование томов DFS
- •5.5.2. Служба репликации файлов
- •5.5.2.1. Репликация посредством FRS
- •5.5.2.2. Уникальные порядковые номера
- •Контрольные вопросы
- •Тема 6. СЛУЖБА КАТАЛОГОВ ACTIVE DIRECTORY
- •6.1. Обзор Active Directory
- •6.1.1. Введение в Active Directory
- •6.1.1.1. Концепция Active Directory
- •DC=ru/DC=bupk/CN=Users/CN=Ivan Petrov
- •Значение
- •Представляет
- •6.1.2.1. Модель данных
- •6.1.2.2. Схема
- •6.1.2.3. Модель безопасности
- •6.1.2.4. Модель администрирования
- •6.1.2.5. Доступ к Active Directory
- •6.1.2.6. Архитектура службы каталогов
- •6.2. Планирование внедрения Active Directory
- •6.2.1. Планирование пространства имен
- •6.2.1.1. Внутреннее и внешнее пространства имен
- •Преимущества
- •Недостатки
- •Сценарий 2. Внутреннее и внешнее пространства имен различаются
- •Преимущества
- •Недостатки
- •6.2.1.2. Выбор архитектуры пространства имен
- •6.2.2.1. Создание структуры ОП
- •6.2.2.2. Рекомендации по разработке структуры ОП
- •6.2.2.3. Структура иерархии ОП
- •6.2.3. Планирование сайта
- •6.2.3.1. Оптимизация регистрационного трафика
- •6.2.3.2. Оптимизация репликации каталога
- •6.3. Внедрение Active Directory
- •6.4.1. Создание первого контроллера нового домена
- •6.4.2.1. База данных Active Directory
- •6.4.2.2. Общий системный том
- •6.4.3.1. Смешанный режим
- •6.4.3.2. Основной режим
- •6.5. Администрирование Active Directory
- •6.5.1. Создание подразделений и объектов в них
- •6.5.1.1. Создание организационных подразделений (ОП)
- •6.5.1.2. Добавление объектов в ОП
- •6.5.2. Управление объектами Active Directory
- •6.5.2.1. Поиск объектов
- •6.5.2.3. Перемещение объектов
- •6.5.3. Управление доступом к объектам Active Directory
- •6.5.3.1. Управление разрешениями Active Directory
- •6.5.3.2. Наследование разрешений
- •6.5.3.3. Делегирование полномочий по управлению объектами
- •Контрольные вопросы
- •Тема 7. АДМИНИСТРИРОВАНИЕ MS WINDOWS SERVER
- •7.1. Использование Microsoft Management Console (MMC)
- •7.1.1.1. Консоли ММС
- •7.1.2.1. Изолированная оснастка
- •7.1.2.2. Расширение оснастки
- •7.1.3.1. Авторский режим
- •7.1.3.2. Пользовательский режим
- •7.2. Администрирование учетных записей пользователей
- •7.2.2. Планирование новых учетных записей пользователей
- •7.2.2.1. Правила именования
- •7.2.2.2. Требования к паролю
- •7.2.2.3. Параметры учетных записей
- •7.2.4.1. Диалоговое окно свойств
- •7.2.5.1. Профиль пользователя
- •7.2.5.2. Изменение учетных записей пользователей
- •7.2.5.3. Создание домашней папки
- •7.3. Администрирование учетных записей групп
- •7.3.2.1. Типы групп
- •7.3.2.2. Область действия группы
- •7.3.2.3. Участники групп
- •7.3.2.4. Вложенность групп
- •7.3.2.5. Стратегии групп
- •7.3.3. Внедрение групп
- •7.3.3.1. Администрирование групп
- •7.3.4. Внедрение локальных групп
- •7.3.4.1. Создание локальных групп
- •Описание
- •7.3.5. Встроенные группы
- •7.3.5.1. Встроенные глобальные группы
- •7.3.5.2. Встроенная локальная группа домена
- •7.3.5.3. Встроенные локальные группы
- •7.3.5.4. Встроенные системные группы
- •7.4. Администрирование групповой политики
- •7.4.1. Введение в групповые политики
- •7.4.2. Преимущества групповой политики
- •7.4.2.1. Типы групповых политик
- •7.4.2.2. Структура групповой политики
- •7.4.2.3. Применение групповой политики
- •Контрольные вопросы
- •Тема 8. СИСТЕМА БЕЗОПАСНОСТИ WINDOWS
- •8.1. Инфраструктура открытого ключа
- •8.1.2.1. Шифрование с применением открытых ключей
- •8.1.2.2. Секретные ключи
- •8.1.3.1. Иерархия ЦС
- •8.1.4.1. Архитектура служб сертификации
- •8.1.4.2. Обработка запроса сертификата
- •8.1.4.3. Сертификаты ЦС
- •8.1.4.4. Установка служб сертификации
- •8.1.4.5. Администрирование служб сертификации
- •8.2. Технологии открытого ключа
- •8.2.1. Защищенные каналы
- •8.2.2. Смарт-карты
- •8.2.2.1. Вход в систему с помощью смарт-карты
- •8.2.3. Технология Authenticode
- •8.2.4. Шифрованная файловая система
- •8.2.4.1. Защита данных
- •8.2.4.2. Восстановление данных
- •8.2.4.4. Отказоустойчивость
- •8.2.4.5. Шифрование в EFS
- •8.2.4.6. Расшифровка в EFS
- •8.2.4.7. Восстановление EFS
- •8.2.4.8. Утилита командной строки cipher (шифр)
- •8.2.5.1. Политики IPSec
- •8.2.5.2. Компоненты IPSec
- •8.2.5.3. Пример связи по IPSec
- •8.3. Протокол Kerberos в Windows Server
- •8.3.1. Обзор протокола Kerberos
- •8.3.1.1. Термины протокола Kerberos
- •8.3.1.2. Возможности протокола Kerberos
- •8.3.1.3. Процесс аутентификации с помощью Kerberos
- •8.3.1.4. Делегирование в Kerberos
- •8.3.2.1. Локальный интерактивный вход в систему
- •8.3.2.2. Интерактивный вход в домен
- •8.3.2.3. Поддержка открытого ключа в Kerberos
- •8.4. Средства конфигурации системы безопасности
- •8.4.1.1. Настройка системы безопасности
- •8.4.1.2. Анализ безопасности
- •8.4.3. Оснастка Group Policy (Групповая политика)
- •8.5. Аудит в Microsoft Windows
- •8.5.1. Обзор аудита в Windows
- •8.5.1.1. Использование политики аудита
- •8.5.3.1. Настройка аудита
- •8.5.3.2. Настройка политики аудита
- •8.5.3.3. Аудит доступа к файлам и папкам
- •8.5.3.4. Аудит доступа к объектам Active Directory
- •8.5.3.5. Аудит доступа к принтерам
- •8.5.4.1. Журналы в Windows
- •8.5.4.2. Управление журналами аудита
- •8.5.4.3. Архивация журналов
- •Контрольные вопросы
- •Тема 9. СЕТЕВЫЕ СЛУЖБЫ И ПРОТОКОЛЫ
- •9.1. Основы функционирования протокола TCP/IP
- •9.1.3.1. Разбиение сетей на подсети с помощью маски подсети
- •9.2. Сетевые протоколы
- •9.2.1. Протокол ATM
- •9.2.1.1. LAN Emulation
- •9.2.1.2. IP поверх ATM
- •9.2.1.3. ATM поверх xDSL
- •9.3. Сетевые службы
- •9.3.1. Служба DNS
- •9.3.1.1. Служба DNS: пространство имен, домены
- •9.3.1.2. Служба DNS: домены и зоны
- •9.3.1.3. Зоны прямого и обратного просмотра
- •9.3.1.4. Алгоритмы работы итеративных и рекурсивных запросов DNS
- •9.3.2.1. Введение в DHCP
- •9.3.2.2. Аренда DHCP
- •9.3.3. Служба WINS
- •9.3.3.1. Процесс преобразования имен службой WINS
- •9.3.3.2. Регистрация имени
- •Контрольные вопросы
- •Тема 10. СЛУЖБА РЕЗЕРВНОГО КОПИРОВАНИЯ
- •10.1. Базовые понятия службы резервного копирования
- •10.1.1. Типы резервного копирования
- •10.2. Разработка и реализация стратегии резервного копирования
- •10.2.1. Понятие плана архивации
- •10.2.2. Выбор архивных устройств и носителей
- •10.2.3. Типовые решения архивации
- •10.2.4. Пример создания задания на выполнения архивации данных
- •10.2.5. Пример восстановления данных из резервной копии
- •10.2.6. Теневые копии
- •10.2.7. Использование теневых копий
- •10.3. Архивирование и восстановление состояния системы
- •10.3.1. Архивирование и восстановление состояния системы
- •10.3.2. Автоматическое аварийное восстановление системы
- •10.3.2.2. Восстановление системы с помощью ASR-копии
- •Контрольные вопросы
211
Обработчики расширений
Работают в тандеме с модулем политики для настройки пользовательских расширений сертификата. Каждый такой обработчик выступает как шаблон для расширения, которое должно быть отражено в сертификате. При необходимости модуль политики подгружает соответствующий обработчик.
Модули выхода
Публикуют готовый сертификат и CRL, используя любые транспорты и протоколы. По умолчанию при выпуске сертификата или CRL информация выдается на каждый модуль выхода, установленный на сервере.
Службы сертификации поддерживают интерфейс СОМ для создания дополнительных модулей выхода, адаптированных под разные транспорты и протоколы или иные способы доставки. Например, модуль выхода LDAP может быть использован для опубликования в службе каталогов только сертификатов клиентов, но не сертификатов сервера. При этом модуль выхода может использовать СОМ-интерфейс для определения типа сертификата, выпускаемого сервером, и отфильтровывать все неподходящие (серверные) сертификаты.
8.1.4.2. Обработка запроса сертификата
Службы сертификации включают средства обработки запросов сертификатов и выпуска цифровых сертификатов
(рис. 8.4).
При обработке запроса службы сертификации выполняют следующие действия.
1.Клиент направляет запрос сертификата приложениюпосреднику. Это приложение транслирует его в формат PKCS #10 и пересылает в ядро.
2.Ядро вызывает модуль политики, который определяет свойства запроса, авторизован он или нет, и настраивает необязательные свойства сертификата.
3.Если запрос утвержден, ядро обрабатывает запрос и генерирует сертификат.
4.Ядро сохраняет сертификат в хранилище и передает сведения о состоянии запроса приложению-посреднику. Если
212
при этом требуется модуль выхода, ядро сообщает ему о выпуске сертификата. Это разрешает модулю выхода выполнить дальнейшие операции, например, опубликовать сертификат в службе каталогов.
Приложение-посредник получает выпущенный сертификат из хранилища сертификатов и пересылает его клиенту.
Рис. 8.4. Обработка запроса сертификата
Установка цифрового сертификата
Этот процесс начинается с клиентского запроса сертификата и заканчивается установкой выпущенного сертификата в приложение клиента. Для установки сертификата на клиентской системе используется Web-страница http://имя_сервера/certsrv.
8.1.4.3.Сертификаты ЦС
Впроцессе выпуска цифрового сертификата ЦС подтверждает подлинность лица, запрашивающего сертификат, и затем подписывает этот сертификат собственным закрытым ключом.
Клиентское приложение, например Microsoft Internet Explorer, проверяет подпись ЦС перед принятием сертификата. Ес-
213
ли подпись ЦС недействительна или поступила из неизвестного источника, Internet Explorer выводит предупреждение и позволяет отказаться от сомнительного сертификата.
Кроме сертификатов, подтверждающих подлинность сервера и клиента, существуют сертификаты, идентифицирующие сами ЦС.
Сертификат ЦС содержит открытый ключ для проверки цифровых подписей и идентифицирует ЦС, выпустивший сертификаты для запросивших их серверов и клиентов. Клиенты используют сертификат ЦС для проверки сертификата сервера и наоборот.
Сертификат, выданный ЦС самому себе, называется корневым, так как является сертификатом для корневого ЦС. Последний заверяет собственный сертификат, поскольку по определению для него не существует вышестоящего центра сертификации.
Распространение и установка сертификатов ЦС
Сертификаты ЦС запрашиваются и выпускаются иначе, чем сертификаты для серверов или клиентов. Сертификаты сервера или клиента уникальны для каждого их заказчика и не поступают в общее пользование — они должны генерироваться и выпускаться ЦС по требованию. Сертификат ЦС, напротив, не требует выпуска по запросу. Он создается однократно и потом предоставляется для доступа всем серверам или клиентам, запрашивающим сертификаты у ЦС.
Обычно сертификаты ЦС хранятся в месте, известном и доступном всем заказчикам сертификатов.
8.1.4.4. Установка служб сертификации
Для установки служб сертификации дважды щелкните значок Add/Remove Programs (Установка и удаление программ) на панели управления Windows или выберите соот-
ветствующий необязательный компонент на этапе установки Windows Server. Дополнительные параметры можно настроить при установке Certificate Services.
Тип ЦС
Тип ЦС определяет, как ЦС будет использоваться в иерархии и будет ли он обращаться к Active Directory.
214
Существуют следующие типы центров сертификации:
•корневой ЦС предприятия. Корневой ЦС для иерархии, требует для своей работы Active Directory;
•подчиненный ЦС предприятия. Подчиненный корневого ЦС предприятия, также требует Active Directory. Этот ЦС будет запрашивать сертификаты у своего корневого ЦС;
•изолированный корневой ЦС – это корневой ЦС для иерархии, не требующий Active Directory;
•изолированный подчиненный ЦС – это подчиненный корневого ЦС, не требующий Active Directory. Этот ЦС будет запрашивать сертификаты у своего отдельного корневого ЦС.
Службы сертификации, установленные в качестве ЦС предприятия, будут публиковать сертификаты в Active Directory. Поставщики безопасности, например Kerberos, могут запрашивать Active Directory для получения сертификата, содержащего открытый ключ.
Информация о ЦС
Необходимо предоставить сведения об исходном ЦС, со-
зданном при установке служб сертификации, например имя ЦС. Информацию об установленном ЦС изменить нельзя.
Дополнительные настройки
Эти настройки позволяют выбрать тип алгоритмов шифрования, которые будет использовать новый ЦС. Можно также задать имя поставщика службы шифрования, алгоритм хеширования, длину ключа и возможность применения имеющихся открытых и закрытых ключей.
8.1.4.5. Администрирование служб сертификации
Основным инструментом администрирования служб сертификации является оснастка Certification Authority (Центр сер-
тификации).
Эта оснастка позволяет администратору:
•запускать и останавливать службы сертификации;
•настраивать разрешения и делегировать управление ЦС;
•просматривать сертификат ЦС;
•выполнять резервное копирование ЦС;
•восстанавливать ЦС из резервной копии;