Методическое пособие 159
.pdfФГБОУ ВПО «Воронежский государственный технический университет»
Кафедра систем информационной безопасности
МЕТОДИЧЕСКИЕ УКАЗАНИЯ
к курсовому проектированию по дисциплине «Безопасность сетей ЭВМ»
для студентов специальности 090303 «Информационная безопасность
автоматизированных систем» очной формы обучения
Воронеж 2014
Составители: канд. мед. наук О.А. Остапенко, аспирант А. И. Мордовин
УДК 004.056
Методические указания к курсовомупроектированиюпо дисциплине «Безопасность сетей ЭВМ» для студентов специальности 090303 «Информационная безопасность автоматизированных систем» очной формы обучения / ФГБОУ ВПО «Воронежский государственный технический университет»; сост. О.А. Остапенко, А.И. Мордовин. Воронеж, 2014. 26 с.
Методические указания посвящены исследованию функций операционной системы WindowsServer 2003.
Методические указания подготовлены в электронном виде в текстовом редакторе MS Word 2013 и содержатся в файле Мордовин_КП_БС ЭВМ.pdf.
Библиогр.: 8 назв.
Рецензент д-р техн. наук, проф. А.Г. Остапенко
Ответственный за выпуск зав. кафедрой д-р техн. наук, проф. А.Г. Остапенко
Издается по решению редакционно-издательского совета Воронежского государственного технического университета
© ФГБОУ ВПО «Воронежский государственный технический университет», 2014
1. ОБЩИЕ ПОЛОЖЕНИЯ
Курсовая работа является важнейшим элементом самостоятельной работы студентов. Основной целью курсовой работы является создание и развитие навыков исследовательской работы, умения работать с научной литературой, делать на основе ее изучения выводы и обобщения.
Курсовая работа является научной разработкой конкретной темы исследования в ходе обучения и овладения студентами определенной специальностью в сфере информационной безопасностью. Являясь небольшой учебной статьей или описанием проекта, курсовая работа должна по содержанию и форме представлять собой научный текст, где обозначены теоретические подходы к поставленной проблеме.
Курсовые работы пишутся на учебных потоках с высшим и средним специальным образованием в сроки, соответствующие учебным планам.
Курсовая работа должна показать умение студента самостоятельно изложить проблему, выявить наиболее приоритетные вопросы, применить элементы исследования, или представить собственные экспериментальные или опытные данные.
Курсовая работа отличается от научных докладов и аудиторных выступлений студентов тем, что ее должен выполнять каждый обучающийся в письменном виде, в согласованной с научным руководителем форме и в строго обозначенные сроки. Между тем, проблематика курсовой работы может быть использована в устном выступлении на семинарском или практическом занятии.
Курсовая работа не может быть простой компиляцией и состоять из фрагментов различных статей и книг. Она должна быть научным, завершенным материалом, иметь факты и данные, раскрывающие взаимосвязь между явлениями, процессами, аргументами, действиями и содержать нечто новое: обобщение обширной литературы, материалов
эмпирических исследований, в которых появляется авторское видение проблемы и ее решение. Этому общетеоретическому положению подчиняется структура курсовой работы, ее цель, задачи, методика исследования и выводы.
Курсовая работа является квалификационным учебнонаучным трудом студента, посвященным самостоятельной разработке избранной проблемы.
1.Четко сформулированы: проблема и исследовательские вопросы.
2.Обоснована их актуальность, степень изученности, состояние исследованности.
3.При ее исследовании используются методологические знания.
4.Выполняется на основе знакомства с теоретическими
ипрактическими подходами к анализируемым проблемам, содержит научные выводы.
5.В завершенном виде представляет целостное, однородное исследование.
2
2. ТЕОРЕТИЧЕСКИЕ СВЕДЕНИЯ
Microsoft Windows Server — самая мощная ОС для ПК.
В ней реализованы совершенно новые средства управления системой и администрирования, впервые появившиеся в Windows 2000. Вот некоторые из них:
Active Directory — расширяемая и масштабируемая служба каталогов, в которой используется пространство имен, основанное на стандартной Интернет-службе именования доменов (Domain Name System, DNS);
IntelliMirror |
— |
средства |
конфигурирования, |
|
поддерживающие |
зеркальное |
отображение |
||
пользовательских данных и параметров среды, а также |
||||
центральное |
администрирование |
установки |
и |
|
обслуживания программного обеспечения; |
|
|||
Terminal Services — службы терминалов,
обеспечивающие удаленный вход в систему и управление другими системами Windows Server 2003;
Windows Script Host — сервер сценариев Windows для автоматизации таких распространенных задач администрирования, как создание учетных записей пользователей и отчетов по журналам событий [2].
Хотя у Windows Server 2003 масса других
возможностей, именно эти четыре наиболее важны для выполнения задач администрирования. В максимальной степени это относится к Active Directory, поэтому для успешной работы системному администратору Windows Server 2003 необходимо четко понимать структуру и процедуры этой службы.
Со способами решения административных задач теснейшим образом связана и архитектура системы безопасности Windows Server 2003. Active Directory и
административные шаблоны позволяют применять параметры безопасности ко всем рабочим станциям и серверам вашего учреждения. Иными словами, вы настраиваете защиту данных
3
не каждого конкретного компьютера, а всего предприятия в целом [3].
При установке Windows Server 2003 систему можно конфигурировать как рядовой сервер, контроллер домена или изолированный сервер. Различия между этими типами серверов чрезвычайно важны. Рядовые серверы являются частью домена, но не хранят информацию каталога. Контроллеры домена хранят данные каталога и выполняют службы аутентификации и каталога в рамках домена. Изолированные серверы не являются частью домена и имеют собственную БД пользователей, поэтому изолированный сервер также аутентифицирует запросы на вход.
Windows Server 2003 не различает основные и резервные контроллеры домена, так как поддерживает модель репликации с несколькими хозяевами. В этой модели любой контроллер домена может обрабатывать изменения каталога и затем автоматически реплицирует их на другие контроллеры домена. В модели репликации с одним хозяином в Windows NT все происходит не так: основной контроллер домена хранит главную копию каталога, а резервные — ее копии. Кроме того, Windows NT распространяет только БД диспетчера учетных записей безопасности (security access manager, SAM), a Windows Server 2003 — весь каталог информации, называемый хранилищем данных (data store). В нем есть наборы объектов, представляющие учетные записи пользователей, групп и компьютеров, а также общие ресурсы, например серверы, файлы и принтеры.
Домены, в которых применяются службы Active Directory, называют доменами Active Directory, чтобы отличать их от доменов Windows NT. Хотя Active Directory работает только с одним контроллером домена, в домене можно и нужно создать дополнительные контроллеры. Если один контроллер выходит из строя, для выполнения аутентификации и других важных задач можно задействовать другие [1].
Windows Server 2003 является многозадачной операционной системой, способной централизовано или
4
распределено управлять различными наборами ролей, в зависимости от потребностей пользователей. Некоторые из ролей сервера:
файловый сервер и сервер печати;
веб-сервер и веб-сервер приложений;
почтовый сервер;
сервер терминалов;
сервер удаленного доступа/сервер виртуальной частной сети (VPN);
служба каталогов, система доменных имен (DNS), сервер протокола динамической настройки узлов
(DHCP) и служба Windows Internet Naming Service
(WINS);
сервер потокового мультимедиа-вещания [4].
Windows Server 2003 является наиболее быстрой, надежной и безопасной операционной системой в семействе серверных ОС Windows. Надежность данной системы обусловлена:
интегрированной инфраструктурой, гарантирующей безопасность деловой информации;
надежностью, доступностью и масштабируемостью сетевой инфраструктуры.
Windows Server 2003 предоставляет средства, позволяющие развертывать, управлять и использовать сетевую инфраструктуру с максимальной производительностью [2].
Windows Server 2003 делает это возможным, благодаря:
предоставлению гибких средств, помогающих согласовывать разработку и внедрение с нуждами организации и сети;
помощи в профилактическом управлении сетью, с использованием принудительной политики и автоматизированных задач и упрощенного процесса обновлений;
снижению стоимости поддержки за счет предоставления пользователям большей самостоятельности.
5
Windows Server 2003 может помочь в создании инфраструктуры бизнес-решений для улучшения взаимодействия с сотрудниками, партнерами, системами и заказчиками.
Windows Server 2003 делает это возможным благодаря:
интегрированному веб-серверу и серверу потокового мультимедиа-вещания, которые помогают ускорить, упростить и повысить безопасность создания динамических узлов сети интранет и интернета;
интегрированному серверу приложений, который помогает упростить разработку, внедрение и управление веб-службами XML;
средствам, которые позволяют подключать веб-службы XML к внутренним приложениям, поставщикам и партнерам.
ОС Windows Server 2003 в сочетании с продуктами и услугами партнеров корпорации Microsoft по оборудованию, программному обеспечению и каналам позволяет получить наибольшую прибыль от сделанных в ИТ-инфраструктуру инвестиций [1].
Windows Server 2003 делает это возможным благодаря:
простым в использовании схемам создания законченных решений, которые позволяют быстро начать использовать имеющиеся технологии;
помощи в объединении серверов, за счет использования самого последнего аппаратного и программного обеспечения и методологий для оптимизации развертывания сервера;
снижению общей стоимости владения (TCO) для быстрого возврата инвестиций.
Операционные системы Windows 2000 и Windows Server
2003 обладают развитыми средствами шифрования данных с открытым ключом. На данный момент эти системы располагают интегрированным набором служб и инструментов администрирования, предназначенных для создания, реализации и управления приложениями, использующими
6
алгоритмы шифрования с открытым ключом. Это позволит независимым разработчикам программного обеспечения интенсивно применять в своих продуктах технологию общего ключа (shared key).
Поддержка прикладных средств шифрования информации с открытым ключом включена в состав программного обеспечения всех операционных систем
Windows [4].
Основой архитектуры поддержки прикладных программ шифрования информации с открытым ключом является библиотека CryptoAPI. Она позволяет работать со всеми устанавливаемыми поставщиками услуг шифрования
(Cryptographic Service Providers, CSP) через стандартный интерфейс. CSP могут быть реализованы на программном уровне или с помощью специального оборудования. Они поддерживают различные длины ключей и алгоритмы шифрования. Один из CSP поддерживает смарт-карты. Услугами служб шифрования пользуются службы управления сертификатами. Они соответствуют стандарту Х.509 v3 и позволяют организовывать принудительное хранение, службы подсчета и дешифрования. Кроме того, эти службы предназначены для работы с различными отраслевыми стандартами сообщений. В основном они поддерживают стандарты PKCS и разработанный в IETF (Internet Engineering Task Force) набор предварительных стандартов PKIX (Public
Key Infrastructure, X.509). Остальные службы используют
CryptoAPI для придания дополнительной функциональности прикладным программам. Защищенный канал (Secure Channel) поддерживает сетевую аутентификацию и шифрование в соответствии со стандартными протоколами TLS и SSL, обращение к которым может быть выполнено с помощью интерфейсов Microsoft Winlnet и SSPI. Служба Authenticode
предназначена для проверки и подписи объектов и в основном используется при получении информации через Интернет.
Политики безопасности действуют в рамках сайта, домена или контейнера (подразделения, или организационной
7
единицы, OU) и распространяются на группы, компьютеры и пользователей — т. е. на все объекты администрирования. Безопасность шифрования с открытым ключом является одним из аспектов общей политики безопасности Windows 2000/Server 2003 и интегрирована в ее структуру. Это механизм, с помощью которого можно посредством объектов политики безопасности централизованно осуществлять настройку и управление глобальной политикой работы с открытым ключом [3].
С помощью политики открытого ключа можно определять следующие аспекты безопасности Windows
2000/Server 2003:
доверенные корни ЦС;
процесс регистрации и обновления сертификатов;
регистрация в системе с помощью смарт-карты.
По мере роста и усложнения компьютерных сетей предприятия, построенных на основе систем Windows, становится необходимым применение протокола, обеспечивающего более совершенную и надежную аутентификацию пользователей при доступе к распределенным ресурсам. В операционных системах Windows 2000 для этих целей начат применяться протокол аутентификации Kerberos версии 5, входящий в систему безопасности доменов Windows 2000, тесно интегрированную с Active Directory. Реализация протокола Kerberos версии 5 в Windows 2000 основана на RFC 1510. Этот документ широко обсуждался и корректировался многими организациями, работающими в области создания и применения защищенных средств передачи информации по компьютерным сетям. Аутентификация Kerberos полностью отвечает требованиям к протоколам подобного назначения и позволяет создать высокопроизводительную и защищенную сеть предприятия. Программное обеспечение Kerberos, созданное Microsoft, поддерживает всех клиентов, удовлетворяющих RFC 1510. Однако полную поддержку сетей Windows 2000 осуществляет только клиент Kerberos,
8