- •Тема 1. ЦЕЛИ И ЗАДАЧИ СЕТЕВОГО АДМИНИСТРИРОВАНИЯ
- •Контрольные вопросы
- •Тема 2. ВВЕДЕНИЕ В WINDOWS SERVER
- •2.1. Семейства Microsoft Windows 2000 Server и Windows Server 2003-2008
- •2.2. Характеристики Windows 2000 и Windows Server 2003-2008
- •2.3. Контроллеры домена и рядовые серверы
- •2.3.1. Роли серверов
- •2.4. Архитектура операционной системы
- •2.4.1.1. Внешние подсистемы (подсистемы среды)
- •2.4.1.2. Интегральные (внутренние) подсистемы
- •2.4.2.1. Исполнительная система Windows Server
- •2.4.2.2. Драйверы устройств
- •2.4.2.3. Микроядро
- •2.4.2.4. Аппаратно-зависимый уровень
- •Контрольные вопросы
- •Тема 3. СЛУЖБА КАТАЛОГОВ WINDOWS SERVER
- •3.1. Знакомство со службой каталогов
- •3.2. Рабочие группы и домены
- •3.3. Служба каталогов Active Directory
- •3.3.2.1. Логическая структура
- •3.3.2.2. Физическая структура
- •Контрольные вопросы
- •4.2. Установка и начальная настройка системы
- •4.2.2. Выбор носителя дистрибутива системы
- •4.2.3. Процесс установки системы Windows Server 2003
- •Контрольные вопросы
- •Тема 5. ФАЙЛОВЫЕ СИСТЕМЫ MS WINDOWS SERVER
- •5.1. Обслуживание жестких дисков
- •5.1.1.1. Типы дисков, разделов и томов
- •5.1.1.2. Файловые системы
- •5.1.2. Основные задачи обслуживания дисков
- •5.1.2.1. Работа с простыми томами
- •5.1.2.2. Работа с составными томами
- •5.1.2.3. Работа с чередующимися томами
- •5.1.2.4. Добавление нового диска
- •5.1.2.5. Изменение типа диска
- •5.2. Файловая система FAT
- •5.2.1. Файловая система FAT16
- •5.2.2. Файловая система FAT32
- •5.2.2.1. Структура разделов FAT32
- •5.3. Файловая система NTFS
- •5.3.1. Введение в NTFS
- •5.3.2. Структура NTFS
- •5.3.2.1. Структура тома NTFS
- •5.4. Безопасность файловых систем
- •5.5. Дополнительные файловые системы
- •5.5.1. Распределенная файловая система
- •5.5.1.1. Общие сведения о DFS
- •5.5.1.2. Преимущества DFS
- •5.5.1.3. Ограничения, накладываемые DFS
- •5.5.1.4. Типы корней DFS
- •5.5.1.5. Конфигурирование томов DFS
- •5.5.2. Служба репликации файлов
- •5.5.2.1. Репликация посредством FRS
- •5.5.2.2. Уникальные порядковые номера
- •Контрольные вопросы
- •Тема 6. СЛУЖБА КАТАЛОГОВ ACTIVE DIRECTORY
- •6.1. Обзор Active Directory
- •6.1.1. Введение в Active Directory
- •6.1.1.1. Концепция Active Directory
- •DC=ru/DC=bupk/CN=Users/CN=Ivan Petrov
- •Значение
- •Представляет
- •6.1.2.1. Модель данных
- •6.1.2.2. Схема
- •6.1.2.3. Модель безопасности
- •6.1.2.4. Модель администрирования
- •6.1.2.5. Доступ к Active Directory
- •6.1.2.6. Архитектура службы каталогов
- •6.2. Планирование внедрения Active Directory
- •6.2.1. Планирование пространства имен
- •6.2.1.1. Внутреннее и внешнее пространства имен
- •Преимущества
- •Недостатки
- •Сценарий 2. Внутреннее и внешнее пространства имен различаются
- •Преимущества
- •Недостатки
- •6.2.1.2. Выбор архитектуры пространства имен
- •6.2.2.1. Создание структуры ОП
- •6.2.2.2. Рекомендации по разработке структуры ОП
- •6.2.2.3. Структура иерархии ОП
- •6.2.3. Планирование сайта
- •6.2.3.1. Оптимизация регистрационного трафика
- •6.2.3.2. Оптимизация репликации каталога
- •6.3. Внедрение Active Directory
- •6.4.1. Создание первого контроллера нового домена
- •6.4.2.1. База данных Active Directory
- •6.4.2.2. Общий системный том
- •6.4.3.1. Смешанный режим
- •6.4.3.2. Основной режим
- •6.5. Администрирование Active Directory
- •6.5.1. Создание подразделений и объектов в них
- •6.5.1.1. Создание организационных подразделений (ОП)
- •6.5.1.2. Добавление объектов в ОП
- •6.5.2. Управление объектами Active Directory
- •6.5.2.1. Поиск объектов
- •6.5.2.3. Перемещение объектов
- •6.5.3. Управление доступом к объектам Active Directory
- •6.5.3.1. Управление разрешениями Active Directory
- •6.5.3.2. Наследование разрешений
- •6.5.3.3. Делегирование полномочий по управлению объектами
- •Контрольные вопросы
- •Тема 7. АДМИНИСТРИРОВАНИЕ MS WINDOWS SERVER
- •7.1. Использование Microsoft Management Console (MMC)
- •7.1.1.1. Консоли ММС
- •7.1.2.1. Изолированная оснастка
- •7.1.2.2. Расширение оснастки
- •7.1.3.1. Авторский режим
- •7.1.3.2. Пользовательский режим
- •7.2. Администрирование учетных записей пользователей
- •7.2.2. Планирование новых учетных записей пользователей
- •7.2.2.1. Правила именования
- •7.2.2.2. Требования к паролю
- •7.2.2.3. Параметры учетных записей
- •7.2.4.1. Диалоговое окно свойств
- •7.2.5.1. Профиль пользователя
- •7.2.5.2. Изменение учетных записей пользователей
- •7.2.5.3. Создание домашней папки
- •7.3. Администрирование учетных записей групп
- •7.3.2.1. Типы групп
- •7.3.2.2. Область действия группы
- •7.3.2.3. Участники групп
- •7.3.2.4. Вложенность групп
- •7.3.2.5. Стратегии групп
- •7.3.3. Внедрение групп
- •7.3.3.1. Администрирование групп
- •7.3.4. Внедрение локальных групп
- •7.3.4.1. Создание локальных групп
- •Описание
- •7.3.5. Встроенные группы
- •7.3.5.1. Встроенные глобальные группы
- •7.3.5.2. Встроенная локальная группа домена
- •7.3.5.3. Встроенные локальные группы
- •7.3.5.4. Встроенные системные группы
- •7.4. Администрирование групповой политики
- •7.4.1. Введение в групповые политики
- •7.4.2. Преимущества групповой политики
- •7.4.2.1. Типы групповых политик
- •7.4.2.2. Структура групповой политики
- •7.4.2.3. Применение групповой политики
- •Контрольные вопросы
- •Тема 8. СИСТЕМА БЕЗОПАСНОСТИ WINDOWS
- •8.1. Инфраструктура открытого ключа
- •8.1.2.1. Шифрование с применением открытых ключей
- •8.1.2.2. Секретные ключи
- •8.1.3.1. Иерархия ЦС
- •8.1.4.1. Архитектура служб сертификации
- •8.1.4.2. Обработка запроса сертификата
- •8.1.4.3. Сертификаты ЦС
- •8.1.4.4. Установка служб сертификации
- •8.1.4.5. Администрирование служб сертификации
- •8.2. Технологии открытого ключа
- •8.2.1. Защищенные каналы
- •8.2.2. Смарт-карты
- •8.2.2.1. Вход в систему с помощью смарт-карты
- •8.2.3. Технология Authenticode
- •8.2.4. Шифрованная файловая система
- •8.2.4.1. Защита данных
- •8.2.4.2. Восстановление данных
- •8.2.4.4. Отказоустойчивость
- •8.2.4.5. Шифрование в EFS
- •8.2.4.6. Расшифровка в EFS
- •8.2.4.7. Восстановление EFS
- •8.2.4.8. Утилита командной строки cipher (шифр)
- •8.2.5.1. Политики IPSec
- •8.2.5.2. Компоненты IPSec
- •8.2.5.3. Пример связи по IPSec
- •8.3. Протокол Kerberos в Windows Server
- •8.3.1. Обзор протокола Kerberos
- •8.3.1.1. Термины протокола Kerberos
- •8.3.1.2. Возможности протокола Kerberos
- •8.3.1.3. Процесс аутентификации с помощью Kerberos
- •8.3.1.4. Делегирование в Kerberos
- •8.3.2.1. Локальный интерактивный вход в систему
- •8.3.2.2. Интерактивный вход в домен
- •8.3.2.3. Поддержка открытого ключа в Kerberos
- •8.4. Средства конфигурации системы безопасности
- •8.4.1.1. Настройка системы безопасности
- •8.4.1.2. Анализ безопасности
- •8.4.3. Оснастка Group Policy (Групповая политика)
- •8.5. Аудит в Microsoft Windows
- •8.5.1. Обзор аудита в Windows
- •8.5.1.1. Использование политики аудита
- •8.5.3.1. Настройка аудита
- •8.5.3.2. Настройка политики аудита
- •8.5.3.3. Аудит доступа к файлам и папкам
- •8.5.3.4. Аудит доступа к объектам Active Directory
- •8.5.3.5. Аудит доступа к принтерам
- •8.5.4.1. Журналы в Windows
- •8.5.4.2. Управление журналами аудита
- •8.5.4.3. Архивация журналов
- •Контрольные вопросы
- •Тема 9. СЕТЕВЫЕ СЛУЖБЫ И ПРОТОКОЛЫ
- •9.1. Основы функционирования протокола TCP/IP
- •9.1.3.1. Разбиение сетей на подсети с помощью маски подсети
- •9.2. Сетевые протоколы
- •9.2.1. Протокол ATM
- •9.2.1.1. LAN Emulation
- •9.2.1.2. IP поверх ATM
- •9.2.1.3. ATM поверх xDSL
- •9.3. Сетевые службы
- •9.3.1. Служба DNS
- •9.3.1.1. Служба DNS: пространство имен, домены
- •9.3.1.2. Служба DNS: домены и зоны
- •9.3.1.3. Зоны прямого и обратного просмотра
- •9.3.1.4. Алгоритмы работы итеративных и рекурсивных запросов DNS
- •9.3.2.1. Введение в DHCP
- •9.3.2.2. Аренда DHCP
- •9.3.3. Служба WINS
- •9.3.3.1. Процесс преобразования имен службой WINS
- •9.3.3.2. Регистрация имени
- •Контрольные вопросы
- •Тема 10. СЛУЖБА РЕЗЕРВНОГО КОПИРОВАНИЯ
- •10.1. Базовые понятия службы резервного копирования
- •10.1.1. Типы резервного копирования
- •10.2. Разработка и реализация стратегии резервного копирования
- •10.2.1. Понятие плана архивации
- •10.2.2. Выбор архивных устройств и носителей
- •10.2.3. Типовые решения архивации
- •10.2.4. Пример создания задания на выполнения архивации данных
- •10.2.5. Пример восстановления данных из резервной копии
- •10.2.6. Теневые копии
- •10.2.7. Использование теневых копий
- •10.3. Архивирование и восстановление состояния системы
- •10.3.1. Архивирование и восстановление состояния системы
- •10.3.2. Автоматическое аварийное восстановление системы
- •10.3.2.2. Восстановление системы с помощью ASR-копии
- •Контрольные вопросы
243
нужные ОП отдела сбыта, могут сильно отличаться от ОП ф и- нансового отдела.
Оснастка Group Policy (Групповая политика) разрешает устанавливать параметры безопасности прямо в хранилище Active Directory. Папка Security Settings (Параметры безопасности) находится в узле Computer Configuration (Конфигурация компьютера) и узле User Configuration (Конфигурация пользо-
вателя). Параметры безопасности разрешают администраторам групповой политики устанавливать политики, которые ограничивают пользователям доступ к файлам и папкам, определяют количество неверных паролей, которое пользователь может вводить до того, как ему будет отказано во входе, управляют правами пользователя, в частности определяют, какие пользователи могут входить на сервер домена.
8.5.Аудит в Microsoft Windows
8.5.1.Обзор аудита в Windows
Аудит в Windows — это процесс отслеживания действий пользователя и действий Windows (называемых событиями). Во время аудита Windows в соответствии с указаниями записывает информацию о событиях в журнал безопасности. В этот журнал записываются попытки входа в систему с правильными и неправильными паролями, а также события, связанные с созданием, открытием, уничтожением файлов или других объектов.
Каждая запись в журнале безопасности содержит:
•сведения о выполненном действии;
•сведения о пользователе, выполнившем это действие;
•сведения о событии, произошедшем при этом, а также о том, было ли оно успешно.
8.5.1.1. Использование политики аудита
Политика аудита определяет, какие типы событий Windows должна записывать в журнал безопасности на каждом компьютере. Этот журнал позволяет отслеживать указанные Вами события.
Windows записывает сведения о событии в журнал безопасности на том компьютере, на котором это событие имело
244
место. Например, можно настроить аудит так, что каждый раз, когда кто-то неудачно пытается войти в домен с какой -то доменной учетной записью, это событие записывалось в журнал безопасности на контроллере домена.
Это событие записывается на контроллере домена, а не на компьютере, на котором была сделана попытка входа в систему, потому что именно контроллер домена пытался и не смог аутентифицировать вход в систему.
Можно настроить политику аудита на компьютере для:
•отслеживания успеха/неудачи событий, таких как попытка входа в систему, попытка определенного пользователя прочесть указанный файл, изменений учетной записи пользователя или членства в группе, а также изменений в Ваших параметрах безопасности;
•устранения или минимизации риска несанкционированного использования ресурсов.
Для просмотра событий, записанных Windows в журнал безопасности, можно использовать оснастку Event Viewer (Просмотр событий). Можно также архивировать журналы для вы-
явления долговременных тенденций — например, для определения интенсивности доступа к принтерам или файлам или для контроля попыток несанкционированного доступа к ресурсам.
8.5.2.Планирование политики аудита
Администратор должен решить, на каких компьютерах вести аудит. По умолчанию аудит отключен.
При определении компьютеров для аудита администратор должен также спланировать, что отслеживать на каждом компьютере. Windows записывает проверяемые события отдельно на каждом компьютере.
Можно вести аудит:
•доступа к файлам и папкам;
•входа в систему и выхода из н ее определенных пользо-
вателей;
•выключения и перезагрузки компьютера с Windows
Server;
•изменений учетных записей пользователей и групп;
•попыток изменения объектов Active Directory.
245
Определив, какие события проверять, необходимо решить, отслеживать ли их успех и/или неудачу. Отслеживание успешных событий расскажет, как часто пользователи Windows или ее службы получают доступ к определенным файлам, принтерам и другим объектам. Это пригодится при планировании использования ресурсов. Отслеживание неудачных событий может предупредить о возможных нарушениях безопасности. Например, многочисленные неудачные попытки входа в систему с определенной учетной записью, особенно если они происходили вне обычного рабочего времени, могут означать, что некто, не имеющий прав доступа, пытается взломать систему.
При определении политики аудита целесообразно руководствоваться следующими принципами:
•решите, нужно ли отслеживать тенденции в использовании ресурсов системы. В этом случае запланируйте архивацию журналов событий. Это позволит увидеть изменения в использовании системных ресурсов и заблаговременно увеличить их;
•чаще просматривайте журнал безопасности. Составьте расписание и регулярно просматривайте этот журнал, поскольку настройка аудита сама по себе не предупредит о нарушениях безопасности;
•сделайте политику аудита полезной и легкой в управлении. Всегда проверяйте уязвимые и конфиденциальные данные. Проверяйте только такие события, чтобы получить содержательную информацию об обстановке в сети. Это минимизирует использование ресурсов сервера и позволит легче находить нужную информацию. Аудит слишком многих событий приведет к замедлению работы Windows;
•проверяйте доступ к ресурсам не пользователей группы Users (Пользователи), а пользователей группы Everyone (Все). Это гарантирует, что Вы отследите любого, кто подсоединился к сети, а не только тех, для кого создана учетная запись.
8.5.3.Внедрение политики аудита
Необходимо продумать требования аудита и настроить его политику. Настроив политику аудита на каком-либо компьютере, можно вести аудит файлов, папок, принтеров и объектов Active Directory.
246
8.5.3.1. Настройка аудита
Можно выполнять политику аудита, основанную на роли данного компьютера в сети Windows. Аудит настраивается поразному для следующих типов компьютеров с Windows:
• для рядового сервера домена, изолированного сервера или рабочих станций с Windows политика аудита настраивается отдельно для каждой машины;
• для контроллеров домена устанавливается одна политика аудита на весь домен; для аудита событий на контроллерах домена, таких как изменения объектов Active Directory, следует настроить групповую политику для домена, которая будет действовать на всех контроллерах.
Требования для выполнения аудита
Настройка и администрирование аудита требуют выполнения следующих условий:
• Вы должны иметь разрешение Manage Auditing And Security Log (Управление аудитом и журналом безопасности) для
компьютера, на котором Вы хотите настроить политику аудита или просмотреть журнал аудита. По умолчанию Windows дает такие права группе Administrators (Администраторы);
• файлы и папки, подвергаемые аудиту, должны находиться на дисках NTFS.
Настройка аудита
Вы должны настроить:
•политику аудита, которая включает режим проверки, но не осуществляет аудит для конкретных объектов;
•аудит для конкретных ресурсов, т,е. указывать определенные отслеживаемые события для файлов, папок, принтеров и
объектов Active Directory. Windows будет отслеживать и записывать в журнал эти события.
8.5.3.2.Настройка политики аудита
Впервую очередь надо выбрать типы отслеживаемых событий. Для каждого события устанавливаются параметры
настройки, показывающие, какие попытки отслеживать: успешные или неудачные. Настраивать политики аудита можно через оснастку Group Policy (Групповая политика).
Типы событий, которые могут проверяться в Windows, представлены в таблице 8.1.
247
Таблица 8.1
Типы событий, которые могут проверяться в Windows
Событие |
Описание |
|
События входа в |
Контроллер домена получил запрос на проверку |
|
систему с |
учет- |
правильности учетной записи пользователя |
ной записью |
|
|
Управление |
Администратор создал, изменил или удалил |
|
учетной |
запи- |
учетную запись или группу. Учетная запись |
сью |
|
пользователя была изменена, включена или вы- |
|
|
ключена, или пароль был установлен или изме- |
|
|
нен |
Доступ к службе |
Пользователь получил доступ к объекту Active |
|
каталогов |
|
Directory . Вы должны указать конкретные объ- |
|
|
екты Active Directory для отслеживания этого |
|
|
типа события |
События входа в |
Пользователь входил в систему и выходил из нее |
|
систему |
|
или подключился/не смог подключиться по сети |
|
|
к данному компьютеру |
Доступ к объе к- |
Пользователь получил доступ к файлу, папке |
|
ту |
|
или принтеру. Вы должны указать файлы, папки |
|
|
или принтеры для проверки. Режим проверки |
|
|
доступа к службе каталогов проверяет доступ |
|
|
пользователя к определенному объекту Active |
|
|
Directory. Режим доступа к объекту проверяет |
|
|
доступ пользователя к файлам, папкам или |
|
|
принтерам |
Изменение |
по- |
Были сделаны изменения в пользовательских |
литики |
|
настройках безопасности, правах пользователя |
|
|
или политиках аудита |
Использование |
Пользователь применил права, например, по из- |
|
привилегий |
менению системного времени. (Сюда не вклю- |
|
|
|
чаются права, связанные с входом в систему и |
|
|
выходом из нее) |
Отслеживание |
Пользователь произвел действие. Эта информа- |
|
процесса |
|
ция полезна программистам, желающим отсле- |
|
|
дить детали выполнения программы |
Системное |
со- |
Пользователь перезагрузил или выключил ком- |
бытие |
|
пьютер, или произошло событие, влияющее на |
|
|
безопасность Windows или на журнал безопас- |
|
|
ности. (Например, журнал аудита переполнен, и |
|
|
Windows не смогла записать новую информа- |
|
|
цию) |