Размещено на http://www.allbest.ru/

Размещено на http://www.allbest.ru/

1. Распределённые информационные системы. Типы архитектур распределённых информационных систем. Задачи администрирования информационных систем

Распределенная информационная система представляет собой множество баз данных, которые дистанц

ионно удалены друг от друга и имеют ряд общих параметров. Они функционируют по общим правилам, которые определены централизованно одновременно для всех баз данных, включенных в информационную систему. Обмен информацией производится согласно правилам, которые также определены централизованно.

Централизованная архитектура;

Архитектура «файл-сервер»;

Двухзвенная архитектура «клиент-сервер»;

Многозвенная архитектура «клиент-сервер»;

Архитектура распределенных систем;

Архитектура Веб-приложений;

Сервис-ориентированная архитектура.

задачи администратора ИС Администрирование ИС осуществляется лицом, управляющим этой системой. Такое лицо называется администратором.

Если ИС большая, эти обязанности могут выполнять несколько человек (группа администраторов).

Администратор ИС осуществляет её запуск и останов. Он может использовать табличные пространства для:

· управления распределением памяти для объектов ИС;

· установления квот памяти для пользователей ИС;

· управления доступностью данных, включая режимы (состояния) online или offline;

· копирования и восстановления данных;

· распределения данных по устройствам для повышения производительности.

В процессе своей деятельности администратор ИС взаимодействует с другими категориями её пользователей, а также и с внешними специалистами, не являющимися пользователями ИС

2. Стек протоколов tcp/ip, использование протоколов tcp/ip для построения вычислительных сетей. Адресация в сетях tcp/ip. Управление адресацией в сетях ip

Стек протоколов TCP/IP

Рассмотрим каждый уровень более подробно.

Нижний уровень сетевых интерфейсов включает в себя Ethernet, Wi-Fi и DSL (модем). Данные сетевые технологии формально не входят в состав стека, но крайне важны в работе интернета в целом.

Основной протокол сетевого уровня - IP (Internet Protocol). Это маршрутизированный протокол, частью которого является адресация сети (IP-адрес). Здесь также работают такие дополнительные протоколы, как ICMP, ARRP и DHCP. Они обеспечивают работу сетей.

На транспортной уровне расположились TCP - протокол, обеспечивающий передачу данных с гарантией доставки, и UDP - протокол для быстрой передачи данных, но уже без гарантии.

Прикладной уровень - это HTTP (для web), SMTP (передача почты), DNS (назначение IP-адресам понятных доменных имен), FTP (передача файлов). Протоколов на прикладном уровне стека TCP/IP больше, но приведенные можно назвать самыми значимыми для рассмотрения.

Помните, что стек протоколов TCP/IP задает стандарты связи между устройствами и содержит соглашения о межсетевом взаимодействии и маршрутизации.

Стек протоколов TCP/IP предназначен для соединения отдельных подсетей, построенных по разным технологиям канального и физического уровней (Ethernet, Token Ring, FDDI, ATM, X.25 и т.д.) в единую составную сеть. Каждая из технологий нижнего уровня предполагает свою схему адресации. Поэтому на межсетевом уровне требуется единый способ адресации, позволяющий уникально идентифицировать каждый узел, входящий в составную сеть. Таким способом в TCP/IP-сетях является IP-адресация. Узел составной сети, имеющий IP-адрес, называется хост (host). Хороший пример, иллюстрирующий составную сеть, - международная почтовая система адресации. Информация сетевого уровня - это индекс страны, добавленный к адресу письма, написанному на одном из тысяч языков земного шара, например на китайском. И даже если это письмо должно пройти через множество стран, почтовые работники которых не знают китайского, понятный им индекс страныадресата подскажет, через какие промежуточные страны лучше передать письмо, чтобы оно кратчайшим путем попало в Китай. А уже там работники местных почтовых отделений смогут прочитать точный адрес, указывающий город, улицу, дом и человека, и доставить письмо адресату, так как адрес написан на языке и в форме, принятой в данной стране.

Если подсетью интерсети является локальная сеть, то локальный адрес - это МАС-адрес. МАС-адрес назначается сетевым адаптерам и сетевым интерфейсам маршрутизаторов. МАС-адреса назначаются производителями оборудования и являются уникальными, так как управляются централизованно. Для всех существующих технологий локальных сетей МАС-адрес имеет формат 6 байт, например 11-AO-17-3D-BC-01.



3. Маршрутизация в сетях tcp/ip. Подсети. Макска подсети. Основные задачи администрирования маршрутизации сети tcp/ip

Маршрутизация служит для приема пакета от одного устройства и передачи его по сети другому устройству через другие сети. Если в сети нет маршрутизаторов, то не поддерживается маршрутизация. Маршрутизаторы направляют (перенаправляют) трафик во все сети, составляющие объединенную сеть.

Для маршрутизации пакета маршрутизатор должен владеть следующей информацией:

§ Адрес назначения

§ Соседний маршрутизатор, от которого он может узнать об удаленных сетях

§ Доступные пути ко всем удаленным сетям

§ Наилучший путь к каждой удаленной сети

§ Методы обслуживания и проверки информации о маршрутизации

§ Подсеть - это логическое разделение сети IP.

§ IP адрес разделён маской подсети на префикс сети и адрес хоста. Хостом в данном случае является любое сетевое устройство (а именно сетевой интерфейс этого устройства), обладающее IP адресом. Компьютеры, входящие в одну подсеть, принадлежат одному диапазону IP адресов.

Маска подсети - битовая маска для определения по IP-адресу адреса подсети и адреса узла (хоста, компьютера, устройства) этой подсети. В отличие от IP-адреса маскаподсети не является частью IP-пакета.

Маршрутизация служит для приема пакета от одного устройства и передачи его по сети другому устройству через другие сети. Если в сети нет маршрутизаторов, то не поддерживается маршрутизация. Маршрутизаторы направляют (перенаправляют) трафик во все сети, составляющие объединенную сеть.

Для маршрутизации пакета маршрутизатор должен владеть следующей информацией:

§ Адрес назначения

§ Соседний маршрутизатор, от которого он может узнать об удаленных сетях

§ Доступные пути ко всем удаленным сетям

§ Наилучший путь к каждой удаленной сети

§ Методы обслуживания и проверки информации о маршрутизации

4. Доменная система имени. Зоны DNS, записи DNS. Службы DNS, функции и назначение. Серверы DNS администрирование серверов DNS.

Доменная система имён.

Цифровые адреса - и это стало понятно очень скоро - хороши при общении компьютеров, а для людей предпочтительнее имена. Неудобно говорить, используя цифровые адреса, и ещё труднее запоминать их. Поэтому компьютерам в Internet присвоены имена. Все прикладные программы Internet позволяют использовать имена систем вместо числовых адресов компьютеров.

DNS (англ. Domain Name System «система доменных имён») - компьютерная распределённая система для получения информации о доменах. Чаще всего используется для получения IP-адреса по имени хоста (компьютера или устройства), получения информации о маршрутизации почты и / или обслуживающих узлах для протоколов в домене (SRV-запись).

Записи DNS, или ресурсные записи (англ. resource records, RR), - единицы хранения и передачи информации в DNS. Каждая ресурсная запись состоит из следующих полей^[3]:

· имя (NAME) - доменное имя, к которому привязана или которому «принадлежит» данная ресурсная запись,

· тип (TYPE) ресурсной записи - определяет формат и назначение данной ресурсной записи,

· класс (CLASS) ресурсной записи; теоретически считается, что DNS может использоваться не только с TCP/IP, но и с другими типами сетей, код в поле класс определяет тип сети,

· TTL (Time To Live) - допустимое время хранения данной ресурсной записи в кэше неответственного DNS-сервера,

· длина поля данных (RDLEN),

· поле данных (RDATA), формат и содержание которого зависит от типа записи.

DNS используется для получения IP-адреса по именихоста, получения информации о маршрутизации почты, обслуживающих узлах для протоколов в домене, организации иерархического пространства имен.

DNS, Domain Name System - одна из важнейших служб в сети Интернет. Это распределенная база данных, служащая для получения информации о доменах. Обычно DNS используется с целью получения IP-адреса по имени компьютера или устройства (т.е. хоста), либо с целью определения маршрута следования информации в сетях связи, либо для получения SRV-записи. DNS поддерживает взаимодействующие по определенному протоколу DNS-сервера.

Система доменных имен владеет собственными DNS-серверами. Именно в них содержится вся информация о принадлежности того или иного домена определенному IP-адресу. Подобных серверов большое количество и они выполняют две важных функции:

· хранение списка айпи и соответствующих им доменов;

· кэширование записей из других серверов системы.

Типы DNS-серверов

По выполняемым функциям DNS-серверы делятся на несколько групп; сервер определённой конфигурации может относиться сразу к нескольким типам:

· Авторитативный DNS-сервер - сервер, отвечающий за какую-либо зону.

o Мастер, или первичный сервер (в терминологии BIND) - имеет право на внесение изменений в данные зоны. Обычно зоне соответствует только один мастер-сервер. В случае Microsoft DNS-сервера и его интеграции с Active Directory мастер-серверов может быть несколько (так как репликация изменений осуществляется не средствами DNS-сервера, а средствами Active Directory, за счёт чего обеспечивается равноправность серверов и актуальность данных).

o Слейв (англ. - Slave), или вторичный сервер, не имеющий права на внесение изменений в данные зоны и получающий сообщения об изменениях от мастер-сервера. В отличие от мастер-сервера, их может быть (практически) неограниченное количество. Слейв также является авторитативным сервером (и пользователь не может различить мастер и слейв, разница появляется только на этапе конфигурирования / внесения изменений в настройки зоны).

· Кэширующий DNS-сервер - обслуживает запросы клиентов (получает рекурсивный запрос, выполняет его с помощью нерекурсивных запросов к авторитативным серверам или передаёт рекурсивный запрос вышестоящему DNS-серверу).

· Перенаправляющий DNS-сервер (англ. forwarder, внутренний DNS-сервер) - перенаправляет полученные рекурсивные запросы вышестоящему кэширующему серверу в виде рекурсивных запросов. Используется преимущественно для снижения нагрузки на кэширующий DNS-сервер.

Администрирование DNS-сервера заключается в следующем:

· Начальная настройка DNS-сервера

· Настройка параметров работы DNS-сервера

· Создание и обслуживание зон прямого и обратного просмотра

· Управление кэшем DNS-сервера

5. Основные параметры настройки протоколов tcp/ip в ос windows. Просмотр и подключение (графические утилиты, утилиты командной строки)

В ОС Windows протокол TCP/IP устанавливается автоматически. В сетях протокола TCP/IP каждому клиенту должен быть назначен соответствующий IP-адрес, представляющее собой 32-разрядное число, разделенное точками (например, 192.168.1.255). Кроме того, клиенту может потребоваться служба имен или алгоритм разрешения имен. В комплект протокола TCP/IP входят служебные программы FTP (File Transfer Protocol) и Telnet. FTP - это приложение с текстовым интерфейсом, позволяющее подключаться к FTP-серверам и передавать файлы. Telnet обладает графическим интерфейсом и позволяет входить на удаленный компьютер и выполнять команды так же, как если бы пользователь находился за клавиатурой этого компьютера.

Утилиты командной строки

Сейчас уже найдется не так много пользователей, которым доводилось работать с командной строкой. Большей частью пользователипривыкли к удобным графическим утилитам, с которыми можно работать при помощи одной только мыши. Утилиты командной строкипредставляют собой консольные приложения, в виде черного экрана с белым текстом на нем. Такие утилиты вызываются вместе с параметрами, и находятся в папке BIN сервера InterBase

Работа с графикой для HTML - это отдельная и важнейшая тема веб-дизайна. С деталями этой работы лучше знакомиться, изучая различные руководства по веб-дизайну. Один из наиболее интересных ресурсов, размещенных в сети, - это сайт Артемия Лебедева (http://tema.ru).

Для работы с графикой понадобятся программы обработки графики. Графика бывает точечная и векторная. Файлы точечной графики содержат информацию о цвете и яркости каждой точки на экране. Чаще всего употребляемые форматы - это jpg, gif. Наиболее популярные редакторы - Adobe Photoshop и Macromedia FireWork. Файлы векторной графики содержат информацию о математических формулах графических объектов. Самый употребляемый стандарт векторной графики в интернете - это файлы, сделанные с помощью Macromedia Flash, позволяющего делать динамическую анимирован-ную и интерактивную графику.

6. Команды управления маршрутизацией в ОС Windows. Служба маршрутизации и удаленного доступа, основные задачи администрирования.

Команды управления маршрутизацией в ОС Windows

Ping

Tracert

Pathping

Route

Служба маршрутизации и удаленного доступа (англ. routing and remote access service - RRAS) - интерфейс программирования приложений и серверное программное обеспечение компании Microsoft, которое позволяет создавать приложения, обеспечивающие маршрутизацию в сетях IPv4 и IPv6, а также взаимодействие между удаленными пользователями и сайтами посредством подключений виртуальной частной сети (VPN) или удаленного доступа.^[1] Разработчики также могут использовать RRAS для реализации протоколов маршрутизации.

К обязанностям системного администратора обычно относят следующие задачи:

· подключение и настройка аппаратных устройств;

· установка и обновление программного обеспечения;

· запуск и настройка общесистемных сервисов (конфигурирование системы);

· настройка сетевых протоколов;

· обеспечение печати и отправки почты;

· обеспечение файловых серверов, серверов приложений, web и ftp-серверов;

· управление процессами - изменение их приоритета, принудительное завершение;

· управление общесистемными ресурсами, такими, как дисковые разделы и файловые системы;

· распределение ресурсов;

· определение дисковых квот и управление ими;

· регистрация и управление пользователями;

· настройка групповых политик;

· настройка политики безопасности;

· обеспечение безопасности;

· регистрация и анализ всех инцидентов, связанных с нарушение безопасности;

· резервное копирование информационных ресурсов;

· мониторинг системы в поисках любого возможного системного сбоя, узкого места или уязвимости в защите;

· поиск неисправностей;

· анализ производительности и надежности;

· обеспечение защиты от ошибок пользователей

· мониторинг действий пользователей;

· мониторинг электронной почты;

· мониторинг работы в Internet;

· автоматизация рутинных операций администрирования (командные скрипты управления).



7. Сетевые службы Windows, администрирование служб: запуск, приостановка и остановка служб. Утилиты управления службами. Одноранговые сети Microsoft. Команды NET. Параметры команды, примеры использования

сетевой маршрутизация информационный протокол

Сетевые службы для клиентов Windows

Чтобы конфигурировать клиентов Windows для подсоединения к Windows Server, требуются несколько шагов. Вы должны установить и сконфигурировать клиентское программное обеспечение (ПО), установить один или несколько протоколов на клиентском компьютере и создать учетные записи пользователя и компьютера для работы в сети. В этом разделе описывается клиентское ПО, которое требуется для взаимодействия в сети.

Администратору часто приходится запускать, останавливать или приостанавливать службы Windows Server 2008. Для запуска, остановки или приостановки службы Вам нужно будет выполнить действия описанные в продолжении статьи

1. В окне Диспетчер сервера (Server Manager) разверните узел Конфигурация (Configuration).

2. Выделите узел Службы (Services).

3. Щелкните правой кнопкой мыши нужную службу и выберите команду Запустить (Start), Остановить (Stop) или Приостановить (Pause). Можно также выбрать команду Перезапустить (Restart), чтобы ОС остановила службу и повторно запустила ее после небольшой паузы. Если вы приостановили службу, выберите команду Продолжить (Resume) для восстановления ее нормальной работы.

Easy service optimizer - удобная утилита для управления службами системы Windows, практически аналог инструмента «Службы» в панели управления, но с дополнительными инструментами и более удобным интерфейсом. Устанавливать утилиту не нужно, качали и сразу можно использовать.

В одноранговой сети каждый компьютер может соединиться с любым другим компьютером, к которому он подключен (рис. 2). Фактически каждый компьютер может работать и как клиент, и как сервер; если компьютер предоставляет доступ к принтерам, папкам, дискам и прочим ресурсам другим компьютерам, то в одноранговой сети он является сервером. Именно поэтому в контексте одноранговых сетей упоминаются серверные и клиентские процессы. К такой сети может подключаться от двух компьютеров до нескольких сотен. Хотя не существует теоретического ограничения количества систем, формирующих одноранговую сеть, в сетях, охватывающих более 10 компьютеров, существенно снижается производительность и возникают проблемы безопасности данных.

КОМАНДА NET

Данная утилита является одним из наиболее мощных средств для осуществления деятельности в операционной системе Windows. Её задачей необходимо назвать выполнение контроля над сетевыми ресурсами, а также реализацию определенных мероприятий.

Параметры

/forcelogoff: {минуты| no}

Время ожидания в минутах перед отключением пользователя от сервера в случае, если период действия пользовательского имени закончился или истекло время, выделенное для подключения. Используемое по умолчанию правило noне позволяет пользователям принудительно выходить из системы.

/minpwlen:длина

Минимальная длина пользовательского пароля. Допустимы значения от 0 до 127 знаков, по умолчанию используется значение 6 знаков.

/maxpwage: {дни| unlimited}

Период времени в днях, в течение которого будет действовать пароль пользователя. Значение unlimitedснимает ограничение по времени. Значение параметра /maxpwageдолжно быть больше, чем значение параметра /minpwage. Допустимы значения от 1 до 49 710 дней (т.е. значение unlimitedравно 49 710 дней), по умолчанию используется значение 90 дней.

/minpwage:дни

Минимальное количество дней, которые должны пройти перед сменой пароля пользователем. По умолчанию используется нулевое значение, т.е. ограничение отсутствует. Допустимы значения от 0 до 49 710 дней.

/uniquepw:число

Запрет на повторное использование заданного числапоследних паролей. Допустимы значения от 0 до 24, по умолчанию запрещено использование пяти последних паролей.

/domain

Выполнении операции на основном контроллере текущего домена. В противном случае операция осуществляется на локальном компьютере.

net helpкоманда

Отображение справки для указанной команды net.

8. Организация и использование файлового сервера в сетях Microsoft. Утилиты управления общими файловыми ресурсами (графические утилиты, утилиты командной строки)

В роли файлового сервера устанавливаются следующие функции:

· Управление файловым сервером

Консоль управления файловым сервером - центральное средство управления файловым сервером.

Средства управления файловым сервером обеспечивают создание общих ресурсов и управление ими, настройку пределов квоты, создание отчетов об использовании хранилищ, репликацию данных на файловый сервер и с сервера, управление сетями SAN (Storage Area Network) и совместное использование файлов с системами UNIX и Macintosh.

Службы MSNFS (Microsoft Services for Network File System) - обеспечивают общий доступ к файлам в смешанной среде компьютеров, операционных систем и сетей.

Под файлом обычно понимают набор данных, организованных в виде совокупности записей одинаковой структуры. Для управления этими данными создаются соответствующие системы управления файлами. Возможность иметь дело с логическим уровнем структуры данных и операций, выполняемых над ними в процессе их обработки, предоставляет файловая система. Таким образом, файловая система - это набор спецификаций и соответствующее им программное обеспечение, которые отвечают за создание, уничтожение, организацию, чтение, запись, модификацию и перемещение файловой информации, а также за управление доступом к файлам и за управление ресурсами, которые используются файлами. Именно файловая система определяет способ организации данных на диске или на каком-нибудь ином носителе данных.

9. Управление безопасностью файловых ресурсов. Разграничение доступа к ресурсам файлового сервера (графические утилиты, утилиты командной строки). Шифрование данных

Чтобы создать общую папку или диск

1.	Нажмите кнопку Пуск (Start), выберите пункт Программы (Programs), затем Стандартные (Accessories) и запустите программу Проводник (Windows Explorer). Найдите папку или диск, которые Вы хотите сделать общими.
2.	Правой кнопкой мыши щёлкните по этой папке или диску и выберите пункт Доступ (Sharing).
3.	На вкладке Доступ (Sharing) выберите пункт Открыть общий доступ к этой папке (Share this folder).

Примечание

*	Чтобы изменить имя общей папки или диска, введите новое имя в поле Сетевое имя (Share name). Именно это имя увидят пользователи при подключении к этой общей папке или диску. Фактическое имя папки или диска при этом не изменится.
*	Чтобы добавить комментарий к общей папке или диску, введите соответствующий текст в поле Комментарий (Comment).
*	Чтобы ограничить число пользователей, которые могут одновременно подключаться к общей папке или диску, установите переключатель Предельное число пользователей (User limit) в положение Не более (Allow) и затем введите требуемое число.
*	Чтобы установить разрешения на общую папку или диск, нажмите кнопку Разрешения (Permissions) - в результате откроется окно, показанное ниже.

Разрешения для общего ресурса

Чтение (Read)

Пользователи могут просматривать имена папок, а также имена, содержимое и атрибуты файлов, запускать программы и обращаться к другим папкам внутри общей папки

Изменение (Change)

Пользователи могут создавать папки, добавлять файлы и редактировать их содержимое, изменять атрибуты файлов, удалять файлы и папки и выполнять действия, допустимые разрешением Чтение (Read)

Полный доступ (Full Control)

Пользователи могут изменять разрешения файлов, становится владельцами файлов и выполнять все действия, допустимые разрешением Изменение (Change)

Шифрование - это преобразование информации, делающее ее нечитаемой для посторонних. При этом доверенные лица могут провести дешифрование и прочитать исходную информацию. Существует множество способов шифрования / дешифрования, но секретность данных основана не на тайном алгоритме, а на том, что ключ шифрования (пароль) известен только доверенным лицам.

10. Службы каталогов, функции и назначение. Служба каталогов Active Directory. Компоненты структуры каталога Active Directory

Служба каталогов является как инструментом администрирования, так и инструментом пользователя Пользователи и администраторы зачастую не знают точных имен объектов, которые им в данный момент требуются. Они могут знать один или несколько их признаков или атрибутов (attributes) и могут послать запрос (query) к каталогу, получив в ответ список тех объектов, атрибуты которых совпадают с указанными в запросе.

Active Directory («Активный каталог», AD) - службы каталогов корпорации Microsoft для операционных систем семейства Windows Server. Первоначально создавалась, как LDAP-совместимая реализация службы каталогов, однако, начиная с Windows Server 2008, включает возможности интеграции с другими службами авторизации, выполняя для них интегрирующую и объединяющую роль.

Компоненты Active Directory-Active Directory использует компоненты для построения структуры каталога, отвечающей требованиям вашей организации. Логическую структуру организации представляют следующие компоненты Active Directory: домены, организационные подразделения, деревья, леса. Физическая структура организации представлена узлами (физическими подсетями) и контроллерами доменов. В Active Directory логическая структура полностью отделена от физической.



11. Управление пользователями в операционных системах. Основные задачи администрирования пользователей. Понятие учетной записи. Доменные и локальные учетные записи

Управление пользователями

Как управлять пользователями, которым можно заходить на компьютер:

Как любая NT, XP имеет механизм идентификации пользователей, и каждого пользователя можно ограничить в правах. На этих пользователях и их правах строится вся модель безопасности XP, как на локальной машине, так и в сети. Нельзя защитить что-либо паролем, можно определить какие пользователи имеют право использовать тот или иной ресурс. Пользователей на одной машине может быть множество, и чтобы было проще ими управлять, пользователи разбиты на группы. Управление пользователями и группами осуществляется с помощью апплета Users Accounts в Control Panel или «Пуск - Выполнить» запустить команду control userpasswords. После установки системы образуется только два пользователя, один с правами администратора, который вы создали в процессе установки XP, и Guest, которые показаны в окне (на самом деле есть ещё несколько пользователей, например пользователь Administrator, но его не показывает в списке, и чтобы залогиниться им придётся идти на некоторые ухищрения). Если вы обладаете правами администратора, то можете добавить или удалить пользователя в этом окне, можете поменять пароль пользователя или пиктограмму соответствующую пользователю, поменять метод, который используется для входа в систему.

Администрирование пользователей состоит в создании учетной информации пользователей (определяющей имя пользователя, принадлежность пользователя к различным группам пользователей, пароль пользователя), а также в определении прав доступа пользователя к ресурсам сети - компьютерам, каталогам, файлам, принтерам и т.п.

1) определение группы пользователей

2) определение возможностей пользователей

Понятие учетной записи

Если вы имели опыт работы администрирования и работы с операционными системами Windows 9x, то одной из главных отличительных особенностей профессиональных версий Windows воспринимается повышенное внимание к тому, кто и что делает на компьютере.

Программа, которая исполняется на компьютере с установленной операционной системой Windows NT/200x/XP/Vista, всегда запущена от имени какого-либо пользователя и обладает данными ему правами. Если вы начали работу на компьютере, введя свое имя и пароль, то любая задача: графический редактор или почтовый клиент, дефрагментация диска или установка новой игры - будет выполняться от этого имени. Если запущенная программа вызывает в свою очередь новую задачу, то она также будет выполняться в контексте вашего имени. Даже программы, являющиеся частью операционной системы, например служба, обеспечивающая печать на принтер, или сама программа, которая запрашивает имя и пароль у пользователя, желающего начать работу на компьютере, выполняются от имени определенной учетной записи (Система). И так же, как программы, запускаемые обычным пользователем, эти службы имеют права и ограничения, которые накладываются используемой учетной записью.

Локальные и доменные учетные записи

При работе в компьютерной сети существуют два типа учетных записей. Локальные учетные записи создаются на данном компьютере. Информация о них хранится локально (в локальной базе безопасности компьютера) и локально же выполняется аутентификация такой учетной записи (пользователя).

Доменные учетные записи создаются на контроллерах домена. И именно контроллеры домена проверяют параметры входа такого пользователя в систему.

Чтобы пользователи домена могли иметь доступ к ресурсам локальной системы, при включении компьютера в состав домена Windows производится добавление группы пользователей домена в группу локальных пользователей, а группы администраторов домена- в группу локальных администраторов компьютера. Таким образом, пользователь, аутентифицированный контроллером домена, приобретает права пользователя локального компьютера. А администратор домена получает права локального администратора.

12. Инструменты администрирования пользователей в доменах Microsoft (графические утилиты, утилиты командной строки)

Для запуска основных инструментов администрирования следует открыть вкладку управления. Это можно сделать двумя способами:

· Войти в меню «Пуск» и, кликнув правой кнопкой на пункте «Компьютер», выбрать «управление»;

· Нажав на клавиши «Win» и «R», открыв окно выполнения команд и введя compmgmtlauncher. После первого запуска команда сохранится, и её можно уже не набирать каждый раз, а выбирать из выпадающего списка.

Запуск панели управления компьютером

После этого открывается окно управления системой, где представлены все основные инструменты, которые позволят полностью настроить её для своих нужд.

Эти же программы и службы можно запускать и отдельно (для чего существуют специальные команды) или через пункт «Администрирование».



13. Группы безопасностей в сетях Microsoft. Типы групп безопасностей, их назначение. Встроенные группы безопасности, их назначение

Группы безопасности - каждая группа данного типа, так же как и каждая учетная запись пользователя, имеет идентификатор безопасности (Security Identifier, или SID), поэтому группы безопасности используются для назначения разрешений при определении прав доступа к различным сетевым ресурсам.

В ActiveDirectory есть два типа групп:

· Группы рассылки Используется для создания списков рассылки электронной почты.

· Группы безопасности Используется для назначения разрешений общим ресурсам.

В свою очередь, группа распространения изначально используется приложениями электронной почты, и она не может быть принципалом безопасности. Другими словами, этот тип группы не является субъектом безопасности. Так как эту группу нельзя использовать для назначения доступа к ресурсам, она чаще всего используется при установке Microsoft Exchange Server в том случае, когда пользователей необходимо объединить в группу с целью отправки электронной почты сразу всей группе.

Ввиду того, что именно группы безопасности вы можете использовать как с целью назначения доступа к ресурсам, так и с целью распространения электронной почты, многие организации используют только этот тип группы. В домене с функциональным уровнем не ниже Windows 2000 вы можете преобразовывать группы безопасности в группы распространения и наоборот.



Администраторы	Могут выполнять все административные задачи на данном компьютере. Встроенная учетная запись Администратор, которая создается при установке системы, является членом этой группы. Если компьютер является членом домена, то в эту группу включается глобальная группа Администраторы домена.
Операторы резервного копирования	Члены группы могут выполнять вход на данный компьютер, выполнять резервное копирование и восстановление данных на этом компьютере, а также завершать работу этого компьютера.
Администраторы DHCP (создается при установке службы DHCP Server)	Члены этой группы могут администрировать службу DHCP Server.

14. Инструменты администрирования группами безопасности (графические утилиты, утилиты командной строки, программный интерфейс)

Инструменты администрирования

В операционной системе необходимо решать ряд задач, которые относят к задачам системного администрирования. К ним можно отнести: добавлением, удалением и назначением прав пользователей, установку и удаление прикладных программ; добавление и конфигурирование новых устройств; настройку графического интерфейса; настройку сетевых подключений; обеспечение достаточного уровня защиты от несанкционированных действий и т.п. Для этих целей используется ряд программ, называемых утилитами системного администрирования.

В системной области диска хранятся служебные данные о том, в каком месте диска записан тот или иной файл. Формат служебных данных определяется конкретной файловой системой, которая предназначена для хранения данных на дисках и обеспечения доступа к ним. Нарушение целостности данных в системной области диска приводи к невозможности воспользоваться данными, записанными на диске. Целостность, непротиворечивость и надежность этих данных регулярно контролируется средствами ОС.

15. Обеспечение информационной безопасности в сетях Microsoft: аутентификация, разграничение доступа, групповые политики. Инструменты анализа и управления безопасностью в сетях Microsoft

Процесс обеспечения безопасности относится к оперативным процессам и, в соответствии с библиотекой ITIL, входит в блок процессов поддержки ИТ-сервисов. Нарушение безопасности информационной системы предприятия может привести к ряду негативных последствий, влияющих на уровень предоставления ИТ-сервисов:

· снижение уровня доступности вследствие отсутствия доступа или низкой скорости доступа к данным, приложениям или службам;

· полная или частичная потеря данных;

· несанкционированная модификация данных;

· получение доступа посторонних пользователей к конфиденциальной информации.

Анализ причин нарушения информационной безопасности показывает, что основными являются следующие:

· ошибки конфигурирования программных и аппаратных средств ИС;

· случайные или умышленные действия конечных пользователей и сотрудников ИТ-службы;

· сбои в работе программного и аппаратного обеспечения ИС;

· злоумышленные действия посторонних по отношению к информационной системе лиц.

Компания Microsoft разрабатывает стратегию построения защищенных информационных систем (Trustworthy Computing) - это долгосрочная стратегия, направленная на обеспечение более безопасной, защищенной и надежной работы с компьютерами для всех пользователей.

Концепция защищенных компьютерных систем построена на четырех принципах:

· безопасность, которая предполагает создание максимально защищенных ИТ-инфраструктур;

· конфиденциальность, которая подразумевает внедрение в состав и технологий и продуктов средств защиты конфиденциальности на протяжении всего периода их эксплуатации;

· надежность, которая требует повышения уровня надежности процессов и технологий разработки программного обеспечения информационных систем;

· целостность деловых подходов для укрепления доверия клиентов, партнеров, государственных учреждений.

Данные принципы реализуются в программных продуктах Microsoft. Компания Microsoft предлагает обеспечивать безопасностьоперационных систем семейства Windows с помощью технологии единого каталога (Active Directory) и групповых политик. Использование групповой политики и Active Directory позволяет централизовано управлять параметрами безопасности как для одного пользователя или компьютера, так и для группы пользователей, управлять безопасностью серверов и рабочих станций.

Для решения вопросов обеспечения информационной безопасности компания Microsoft предоставляет следующие технологии:

· Active Directory - единый каталог, позволяющий сократить число паролей, которые должен вводить пользователь;

· двухэтапная аутентификация на основе открытых / закрытых ключей и смарт-карт;

· шифрование трафика на базе встроенных средств операционной системы IPSec (IP Security - это комплект протоколов, касающихся вопросов шифрования, аутентификации и обеспечения защиты при транспортировке IP-пакетов);

· создание защищенных беспроводных сетей на основе стандарта IEEE 802.1x;

· шифрование файловой системы;

· защита от вредоносного кода;

· организация безопасного доступа мобильных и удаленных пользователей;

· защита данных на основе кластеризации, резервного копирования и ограничения несанкционированного доступа;

· служба сбора событий из системных журналов безопасности.

Групповые политики

Управление групповыми политиками в Microsoft Windows Server 2003 позволяет администраторам задавать конфигурацию операционных систем серверов и клиентских компьютеров. Реализуется эта функциональность с помощью оснастки «Редактор объектов групповой политики», общий вид которой приведен на

Для компьютеров, входящих в домен Active Directory, используются групповые политики, определяющие политики безопасности, используемые в рамках сайта, домена или набора организационных единиц (OU - organizational units).

Групповые политики и Active Directory позволяют:

· централизованно управлять пользователями и компьютерами в масштабах предприятия;

· автоматически применять политики информационной безопасности;

· понижать сложность административных задач (например, обновление операционных систем, установка приложений);

· унифицировать параметры безопасности в масштабах предприятия;

· обеспечить эффективную реализацию стандартных вычислительных средств для групп пользователей.

Существуют тысячи инструментов, как коммерческих, так и бесплатных, предназначенных для специалистов, которым приходится оценивать систему безопасности сети. Сложность заключается в выборе подходящего для конкретного случая инструмента, которому можно доверять. Чтобы сузить круг поиска, в данной статье я предлагаю вниманию читателей 10 превосходных бесплатных инструментов для анализа уровня безопасности сети.

Процесс оценки безопасности сети состоит из четырех основных этапов: сбор данных, привязка, оценка и проникновение. На стадии сбора данных проводится поиск сетевых устройств с помощью сканирования в реальном времени с применением протоколов Internet Control Message Protocol (ICMP) или TCP. На стадиях привязки и оценки определяется конкретная машина, на которой работает служба или приложение, и оцениваются потенциально уязвимые места. На этапе проникновения одно или несколько уязвимых мест используются для привилегированного доступа к системе с последующим расширением полномочий на данном компьютере либо во всей сети или домене.

16. Аутентификация в распределенных системах. Схема Kerberos, применение схемы Kerberos в доменах Windows

Технологии аутентификации

Несмотря на обилие публикаций, в последнее время участились случаи непонимания сути явлений идентификации и аутентификации даже среди специалистов по защите информации. Поэтому для начала договоримся о некоторых терминах.

В данной статье под термином аутентификация понимается процесс подтверждения (проверки) идентичности человека или объекта. В рамках электронных информационных систем процесс аутентификации - единый метод, используемый для управления доступом к учетным записям пользователя и его личной информации. Аутентификация, как правило, предусматривает представление пользователями в информационную систему своих действительных идентификационных данных, сопровождаемых одним или более аутентифицирующими факторами для подтверждения их подлинности.

Kerberos /k??rb?r?s/ - сетевой протокол аутентификации, который предлагает механизм взаимной аутентификации клиента и сервера перед установлением связи между ними, причём в протоколе учтён тот факт, что начальный обмен информацией между клиентом и сервером происходит в незащищенной среде, а передаваемые пакеты могут быть перехвачены и модифицированы.

Протокол Kerberos был разработан в Массачусетском технологическом институте в середине 1980-х годов и сейчас является фактическим стандартом системы централизованной аутентификации и распределения ключей симметричного шифрования. Поддерживается операционными системами семейства Unix, Windows (начиная с Windows'2000), есть реализации для Mac OS.

В сетях Windows (начиная с Windows'2000 Serv.) аутентификация по протоколу Kerberos v. 5 (RFC 1510) реализована на уровне доменов. Kerberos является основным протоколом аутентификации в домене, но в целях обеспечения совместимости c с предыдущими версиями, также поддерживается протокол NTLM.

17. Управление доступом к данным. Списки прав доступа к объектам операционной системы, управление доступом к файлам и каталогам (графические утилиты, утилиты командной строки)

Управление данными не сводится только к их рациональному хранению и обработке - актуальными остаются и вопросы информационной безопасности. Перевод информации в электронную форму делает ее более чувствительной к внешним и внутренним угрозам. В первом случае необходимо защищать информацию от вторжения извне (из-за периметра корпоративной сети). Во втором случае важным аспектом является управление доступом к данным со стороны сотрудников собственной компании.

Современное программное обеспечение предоставляет множество возможностей по регламентации прав пользователей компьютеров, начиная от начальной авторизации, на стадии которой пользователи могут быть сильно ограничены в действиях, до управления правами в прикладных программах. Системы управления базами данных со своей стороны обеспечивают управление доступом к информации, предоставляя конкретным пользователям разные возможности: читать, изменять, добавлять и удалять информацию.

Существует много стратегий управления доступом к данным. Приведем некоторые из них:

* избирательное управление;

* мандатное управление;

* ролевое.

Наиболее распространённый способ доступа пользователей к данным - доступ к общим файловым ресурсам в сети. Управление доступом к файлам и папкам осуществляется с помощью прав доступа к общему файловому ресурсу и доступа к NTFS. Для обеспечения безопасности ваших файлов важно понимать, как действуют права доступа.

Права доступа к файловой системе NTFS позволяют определять уровень доступа пользователей к размещённым в сети, или локально на вашем компьютере Windows 7 файлам.

18. Групповые политики, функции и назначения. Объекты групповой политики. Использование групповых политик для задач администрирования

Групповая политика - это набор правил, в соответствии с которыми производится настройка рабочей среды Windows. Групповые политики создаются в домене и реплицируются в рамках домена. Объект групповой политики (Group Policy Object, GPO) состоит из двух физически раздельных составляющих: контейнера групповой политики (Group Policy Container, GPC) и шаблона групповой политики (Group Policy Template, GPT). Эти два компонента содержат в себе всю информацию о параметрах рабочей среды, которая включается в состав объекта групповой политики. Продуманное применение объектов GPO к объектам каталога Active Directory позволяет создавать эффективную и легко управляемую компьютерную рабочую среду на базе ОС Windows. Политики применяются сверху вниз по иерархии каталогаActive Directory.

Создание групповых политик

По умолчанию в иерархии каталога Active Directory создаются две групповые политики с чрезвычайно выразительными именами: Default Domain Policy (политика домена по умолчанию) и Default Domain Controller's Policy (политика контроллера домена по умолчанию). Первая из них назначается домену, а вторая - контейнеру, в состав которого входит контроллер домена. Если вы хотите создать свой собственный объект GPO, вы должны обладать необходимыми полномочиями. По умолчанию правом создания новых GPO обладают группы Enterprise Administrators (Администратор предприятия) и Domain Administrators (Администраторы домена).

Применение групповых политик

Работая с групповыми политиками, следует учитывать, что:

· объекты GPO применяются в отношении контейнеров, а не замыкающих объектов;

· дин контейнер может быть связан с несколькими объектами GPO;

· объекты GPO, связанные с одним и тем же контейнером, применяются в отношении этого контейнера в том порядке, в котором они были назначены;

· объект GPO включает в себя две составляющие: параметры, относящиеся к компьютеру, и параметры, относящиеся к пользователю;

· обработку любой из этих составляющих можно отключить;

· наследование объектов GPO можно блокировать;

· наследование объектов GPO можно форсировать;

· применение объектов GPO можно фильтровать при помощи списков ACL.

19. Создание и редактирование объектов групповой политики. Инструменты управления групповыми политиками

Создание и редактирование объектов групповой политики

Используя оснастку «Управление групповой политикой» вы можете создавать и редактировать объекты групповой политики, а также комментарии к ним для упрощения их мониторинга, удалять объекты групповых политик и проводить поиск среди существующих объектов. Рассмотрим подробно каждое из вышеперечисленных действий:

Создание объекта групповой политики с комментарием

Один или несколько параметров групповой политики, который применяется к одному или нескольким пользователям или компьютерам, обеспечивая конкретную конфигурацию, называется объектом групповой политики. Для того чтобы создать новый объект групповой политики, выполните следующие действия:

1. В оснастке «Управление групповой политикой» разверните узел лес, домен, название вашего домена и выберите контейнер «Объекты групповой политики». Именно в этом контейнере будут храниться все объекты групповой политики, которые вы будете создавать;

2. Щелкните правой кнопкой мыши на данном контейнере и из контекстного меню выберите команду «Создать»

Редактирование объекта групповой политики

После того как объект групповой политики будет создан, для того чтобы настроить определенную конфигурацию данного объекта, вам нужно указать параметры групповой политики при помощи оснастки «Редактор управления групповыми политиками». Допустим, нужно отключить Windows Media Center, средство звукозаписи, а также ссылку «Игры» в меню «Пуск». Для этого выполните следующие действия:

1. Выберите созданный ранее объект групповой политики, нажмите на нем правой кнопкой мыши и из контекстного меню выберите команду «Изменить»;

2. Разверните узел Конфигурация пользователя / Политики / Административные шаблоны / Компоненты Windows/Windows Media Center;

3. Откройте свойства параметра политики «Не запускать Windows Media Center» и установите переключатель на опцию «Включить». В поле комментарий введите свой комментарий, например, «В связи с корпоративными требованиями не разрешается данным пользователям использовать текущее приложение» и нажмите на кнопку «ОК».

20. Шаблоны безопасности в ОС Windows, их назначение. Инструменты управления шаблонами безопасности (графические утилиты, утилиты командной строки)

Готовые шаблоны безопасности в Windows Server 2003

· Настройки безопасности по умолчанию (шаблон Setup security.inf)

·

· Шаблон Setup security.inf создается во время установки, и он является подходящим для каждого компьютера. Это зависит от компьютера к компьютеру, в зависимости от того, была ли установка новой копии или обновление. Setup Security.inf содержит параметры безопасности по умолчанию, применяемые во время установки операционной системы, включая разрешения для корневого каталога системного диска. Он может использоваться на серверах и клиентских компьютерах; его нельзя применять к контроллерам домена. Можно применить части этого шаблона для целей аварийного восстановления.

· Не применяйте шаблон Setup security.inf с помощью групповой политики. Если это сделать, может наблюдаться уменьшение производительности.

· Примечание. В Microsoft Windows 2000 существует две различные шаблоны, ocfiless (для файловых серверов) и ocfilesw (для рабочих станций). В Windows Server 2003 эти файлы были заменены security.inf файл установки.

· По умолчанию безопасность контроллера домена (DC security.inf):

· Данный шаблон создается при сервера повышается до контроллера домена. Он отражает файлов, реестра и системных параметров безопасности службы по умолчанию. Если применить этот шаблон, то эти параметры устанавливаются в значения по умолчанию. Однако шаблон может перезаписать разрешения для новых файлов, разделов реестра и системных служб, созданные в других приложениях.

· Совместимый (Compatws.inf)

...