- •Глава 1: Введение в Windows Server 2003 Terminal Services
- •Роли сервера
- •Технология Terminal Services
- •Новые ответы на старые вопросы
- •Режимы совместимости
- •Улучшения в протоколе rdp 5.2
- •Клиент Remote Desktop Connection
- •Конфигурация через групповые политики
- •Доступ к параметрам пользователя через adsi
- •Каталог сеансов
- •Лицензирование терминальных служб
- •Компоненты лицензирования Terminal Server
- •Типы лицензий
- •Инсталляция Terminal Server Licensing
- •Обнаружение сервера лицензирования
- •Назначение лицензий
- •Групповые политики для сервера лицензирования
- •Глава 2: Установка и настройка терминального сервера Сценарии развертывания терминальных служб
- •Замена рабочего стола
- •Удаленный доступ
- •Установка роли терминального сервера
- •Настройка роли терминального сервера
- •Совместимость разрешений (Permission Compatibility)
- •Лицензирование (Licensing)
- •Ограничить пользователя одним сеансом (Restrict Each User to One Session)
- •Основная настройка групповых политик
- •Дополнительные параметры
- •Установка и настройка клиента Remote Desktop Connection
- •Клиент Remote Desktop Connection
- •Клиент Remote Desktop Web Connection
- •Глава 3. Каталог сеансов и распределение нагрузки
- •Конфигурация аппаратного обеспечения терминального сервера
- •Конфигурация жесткого диска
- •Процессор
- •Нижняя граница
- •Отказоустойчивость
- •Распределение нагрузки
- •Настройка nlb
- •Другие балансировщики нагрузки
- •Каталог Сеансов (Session Directory)
- •Настройка каталога сеансов
- •Как работает каталог сеансов
- •Глава 4. Администрирование терминального сервера
- •Требования для доступа к терминальному серверу
- •Разрешения для rdp
- •Уровни доступа rdp
- •Настройка учетных записей пользователей
- •Домашний каталог и каталог профиля
- •Путь к профилю Terminal Services
- •Домашние каталоги
- •Настройка свойств пользователей через интерфейсы Active Directory Service
- •Групповые политики
- •Управление терминальными серверами в среде ad
- •Настройка терминальных серверов при помощи групповых политик
- •Настройки интерфейса пользователя
- •Ограниченные группы
- •Порядок обработки политик
- •Обратный порядок обработки политик
- •Разрешение обратного порядка
- •Результирующая политика
- •Управление сеансами пользователей
- •Удаленное управление
- •Редактирование реестра
- •Утилиты командной строки
- •Глава 5. Установка приложений и совместимость
- •Механизмы совместимости приложений
- •Скрипты входа
- •Пример 1
- •Пример 2
- •Дополнительные административные скрипты
- •Инсталляция приложений
- •Отображение реестра
- •Отображение файлов ini
- •Режимы инсталляции и исполнения
- •Скрипты совместимости приложений
- •Примеры инсталляции приложений на терминальном сервере
- •Простая инсталляция
- •Заказная инсталляция
- •Инсталляция с использованием скриптов совместимости
- •Установка недокументированных приложений
- •Пример из реального мира
- •Флаги совместимости Terminal Services
- •Инсталляция приложений с помощью групповых политик
- •Создание папки общего доступа
- •Создание административных инсталляций
- •Добавление пакетов в gpo
- •Фильтрация приложений
- •Перезагрузка терминальных серверов
- •Развертывание приложений для конечных пользователей
- •Глава 6: Безопасность и защита от вирусов
- •Вирусы, черви, трояны...
- •Настройка безопасности в Internet Explorer
- •Изменения, вносимые Internet Explorer Enhanced Security Configuration
- •Управление разрешенными элементами ActiveX
- •Реализация Windows Automatic Updates
- •Использование sus
- •Развертывание сервис-паков и заплат
- •Использование групповых политик для развертывания пакетов обновлений
- •Развертывание заплат
- •Использование файла zap
- •Использование скрипта остановки
- •Практика защиты от вирусов
- •Все вместе
- •Пример 1: Небольшая среда (театр)
- •Пример 2: BigBusiness, Inc.
- •Прложение a: Клиенты Terminal Services
- •Приложение b: Важные ссылки
- •Приложение с: Изменения в реестре
- •Приложение d: Скрипты
- •Скрипт перезагрузки
- •Приложние e: Командные утилиты Terminal Services
- •Параметры командной строки клиента Remote Desktop Client
Развертывание приложений для конечных пользователей
Если вы используете Terminal Services для замены рабочих столов, развертывание приложений для ваших пользователей состоит просто в добавлении иконки программ в All Users в меню Start на терминальном сервере. Если же вы хотите развернуть единственное приложение в модели Application Service Provider (ASP), тип развертывания будет зависеть от типа используемого клиента.
Если пользователи подключаются к приложениям на терминальном сервере с помощью локального клиента Remote Desktop Connection, вам необходимо создать файл RDP, который содержит имя сервера и начальное приложение, а затем раздать этот файл пользователям.
Если вы хотите предоставлять доступ к приложениям через клиент Remote Desktop Web Connection, чтобы пользователи запускали программы по ссылке URL, вы должны обратиться к документации, которую предлагает Microsoft вместе с клиентом, чтобы создать веб-страницы для хостинга приложений. Клиент Web Connection Client очень мощный и настраиваемый, поэтому при небольшом знании HTML и ActiveX вы можете создать мощный портал для ваших приложений
Глава 6: Безопасность и защита от вирусов
Blaster, Love Bug, Nimda, Melissa - это компьютерные вирусы, распространенные в наши дни, поэтому инфраструктура Windows должна их учитывать. Анитивирусное ПО, брэндмауэры и управление заплатами должно быть частью крохотных вычислительных сред. Если пользователи на терминальном сервере пользуются почтой или выходят в интернет, вы должны быть бдительными и содержать сервер в безопасности. К счастью, ограничительные разрешения на терминальном сервере затрудняют занесение вирусов в систему, тем не менее вы должны быть готовы ко всему.
В этой главе мы рассмотрим доступные варианты содержания сервера в безопасности с использованием технологий Microsoft Automatic Updates и Software Update Services, а также практику применения этих вариантов.
Вирусы, черви, трояны...
Существует несколько типов вредоносного кода, от которого необходимо защищать систему. Хотя такой код обобщенно называют "вирусами", существует разница между вирусами, троянами и червями.
Вирус - это небольшая программа, которая написана с целью изменения - без ведома пользователя - функционирования компьютера. Вирусы имеют исполняемый код либо в виде смостоятельной программы, либо в виде макроса, содержащегося в другом файле, и он дожен иметь возможность копировать самого себя, чтобы продолжать работу после завершения начальной программы или макроса. Примеры вирусов:
Загрузочные вирусы, например, Michelangelo и Disk Killer, устанавливают себя в загрузочный сектор жесткого диска, чтобы выполняться перед запуском операционной системы.
Макровирусы, например, Melissa и Nice Day, которые находятся внутри документов Office. Эти вирусы запускаются при открытии документа и пытаются инфицировать другие документы Office или шаблоны, чтобы новые создаваемые документы также оказались зараженными.
Червь - это программа, которая использует ошибки в проектировании или брешь в безопасности ОС. Черви способны распространяться с одного компьютера на другой без помощи файла, хотя некоторые могут распространяться посредством копирования зараженного файла с одного компьютера на другой. Типичный пример такого червя - это Blaster, который использует брешь в RPC и позволяет удаленно исполнять код на других компьютерах сети для саморазмножения.
Троян - это программа, которая содержится внутри другой внешне безобидной программы. При запуске такой программы (например, хранителя экрана, поздравительной открытки, shareware-программы) в систему инсталлируется троян. Трояны могут выполнять роль spyware (шпионских программ), отправляя конфиденциальную информацию третьей стороне или могут использоваться для атак типа DoS. Основное отличие троянов от вирусов состоит в том, что трояны сами не размножаются - для инфицирования системы они должны быть запущены вручную.
Атака DoS посылает большое количество запросов на некоторый сервер или URL, вызывая сильную загрузку сервера и предотвращая обслуживанием им других запросов. Распределенная атака DoS использует вирусы, трояны или червей для подчинения нескольких компьютеров в Интернет, приказывая им одновременно атаковать некоторый сервер.
Вы должны защищать сервер от любого вредного кода. Вы можете это делать с помощью комбинации разрешений файловой системы, настроек групповых политик, антивирусного ПО, заплат безопасности, распространяемых Microsoft.
Если вы используете разрешения по умолчанию и храните пользователей в группе Users (не в Power Users), то ваша система защищена от большей части вирусов и троянов, которые пытяются заразить системные файлы или файлы в каталоге Program Files. Кроме того, вы можете использовать групповые политики для дополнительных ограничений, например, ограничить пользователей процессами и приложениями, которые они могут выполнять, запретить запись на диск С сервера и т.п.
Даже с улучшенной безпасностью файловой системы WS2K3 и дополнительными ограничениями, которые могут быть наложены групповыми политиками, полезно установить антивирусное ПО и систему управленяи патчами - авторы вирусов постоянно изобретают новые способы навредить вашей системе.