Методическое пособие 349
.pdfФГБОУ ВПО «Воронежский государственный технический университет»
Кафедра систем информационной безопасности
МЕТОДИЧЕСКИЕ УКАЗАНИЯ
к практическим занятиям по дисциплине «Безопасность сетей ЭВМ»
для студентов специальности 090303 «Информационная безопасность
автоматизированных систем» очной формы обучения
Воронеж 2014
Составители: д-р техн. наук А. Г. Остапенко, аспирант А. И. Мордовин
УДК: 004.056
Методические указания к практическим занятиям по дисциплине «Безопасность сетей ЭВМ» для студентов специальности 090303 «Информационная безопасность автоматизированных систем» очной формы обучения / ФГБОУ ВПО «Воронежский государственный технический университет»; сост. А. Г. Остапенко, А. И. Мордовин. Воронеж,
2014. 31 с.
Методические указания посвящены исследованию функций операционной системы WindowsServer 2003.
Методические указания подготовлены в электронном виде в текстовом редакторе MS Word 2013 и содержатся в файле Мордовин_ПЗ_БС ЭВМ.pdf.
Ил. 20. Библиогр.: 8 назв.
Рецензент д-р техн. наук, проф. О.Н. Чопоров
Ответственный за выпуск зав. кафедрой д-р техн. наук, проф. А.Г. Остапенко
Издается по решению редакционно-издательского совета Воронежского государственного технического университета
© ФГБОУ ВПО «Воронежский государственный технический университет», 2014
Практическая работа №1 Обеспечение информационной безопасности в сети
с использованием службы каталогов
Цель практической работы заключается в исследовании управления доступом к конфиденциальной информации.
Задачи практической работы:
понять концепцию работы службы каталогов;
изучить контроллер домена в операционной системе WindowsServer 2003;
рассмотреть понятие и назначение различных контроллеров домена.
Теоретические сведения
Служба каталогов в компьютерном понимании - это программный комплекс, позволяющий администратору сети работать с упорядоченным по ряду признаков массивом информации о сетевых ресурсах (общие папки, серверы печати, принтеры, пользователи и т. д.), хранящимся в едином месте, что обеспечивает централизованное управление как самими ресурсами, так и информацией о них, а также позволяющий контролировать использование их третьими лицами. Служба каталогов в понимании информационной безопасности - это инструмент, позволяющий прежде всего гибко организовывать разграничение доступа пользователей как к информации ограниченного доступа так и к информационным системам, ресурсам и информационным сервисам, причем это все можно делать централизовано с рабочего места администратора сети или администратора информационной безопасности. Службу каталогов в локальной сети организации можно развернуть на операционных системах MS Windows, Linux, BSD, Novel и т.п.
Задание на практическ ую работ у
Для организации службы каталогов в сети на операционной системеMS Windows необходимо развернуть на серверной операционной системе MS WindowsServer 2000 или выше программный комплекс MS ActiveDirectory.
Для установки службы каталогов MS ActiveDirectory выберете в меню Пуск оснастку «Управление данным сервером» и выберете пункт «Добавить удалить роль» (рис.1).
Рис. 1. Установка службы каталогов
Затем нажмите кнопку «Далее», выберете роль сервера «Контроллер домена (ActiveDirectory)» и нажмите еще раз «Далее» (рис. 2). В операционной системе MS WindowsServer роль службы каталогов выполняют контроллеры домена, которые сохраняют и хранят данные каталогов, управляют взаимодействием пользователей с доменом, включая процесс входа в домен, проверку подлинности и поиска в каталогах.
2
Рис. 2. Выбор роли сервера
После нажатия кнопки «Далее» запустится мастер установки ActiveDirectory (рис. 3).
3
Рис. 3. Установка ActiveDirectory
В первых двух диалогах мастера установки и настройки ActiveDirectory нажмите кнопку «Далее». В диалоговом окне «Тип контроллера домена» можно указать роль на которую предназначается данный сервер. Если вы поднимаете домен в локальной сети впервые, то выберете «Контроллер домена в новом домене» и нажмите кнопку «Далее». Если в вашей сети уже развернут домен, и вы хотите поднять резервный контроллер домена или необходимо подключить пользователей удаленного офиса к вашему домену с разворачиванием дополнительного контроллера домена в данном удаленном офисе (это нужно для того, чтобы пользователи не занимали канал передачи данных для аутентификации и авторизации на сетевых ресурсах и на случай обрыва канала, чтобы можно было бы аутентифицироваться в сети, т.е. обеспечить надежность и отказоустойчивость сети) выберете «Добавочный контроллер
4
домена в существующем домене» и нажмите кнопку далее
(рис. 4).
Рис. 4. Выбор типа контроллера домена
При выборе установки нового контроллера домена в новом домене далее будет предложено выбрать один из трех вариантов:
1.Новый домен в новом лесу – Выберете этот вариант, если вы поднимаете новый домен в локальной сети вашей организации;
2.Новый дочерний домен в существующем доменном дереве – этот вариант нужно выбрать, если создаваемый домен должен быть дочерним для существующего домена, например, домен головного офиса имеет имя testoffice.ru а вам нужно создать дочерний домен какого-то регионального представительства moscow.testoffice.ru. При этом домен moscow.testoffice.ru
будет |
полностью |
самостоятельным |
в |
плане |
5
администрирования и управления пользователями в своем домене, но для заведения такого домена необходима связь с родительским доменом, и обладать учетной записью администратора в нем.
3. Третий вариант позволяет создать дополнительный домен в лесу доменов, например, когда есть большая корпорация, у которой должно быть несколько разных доменов но при это они должны быть не дочерними по отношению друг к другу.
Выберем, соответственно, вариант первый и нажмем кнопку «Далее» (рис. 5).
Рис. 5. Создание нового домена
В следующем окне будет предложено ввести полное DNS имя создаваемого домена. На данном этапе необходимо тщательно продумать и выбрать данное имя т.к. в случае необходимости его смены вы столкнетесь с кучей проблем по его изменению. Если у вас уже имеется, например, вебсайт или
6
свой почтовый домен то DNS имя лучше ввести в
соответствии с уже имеющимся доменным именем сайта или почтового домена. Если вы планируете разворачивать у себя в сети внешние сервисы, такие как почта или вебсайт то сначала желательно зарегистрировать домен у регистратора, а потом поднимать уже зарегистрированный домен у себя в сети. В данных случаях, не важно, есть ли у вас уже публичный адрес в сети Интернет. Если вы не планируете разворачивать электронную свою почту или вебсайт и все ваши пользователи пользуются почтовым сервисом, например, mail.ru, то DNS имя будущего домена можно выбрать любое, например test.loc
или home.ru (рис. 6).
Рис. 6. Создание нового имени домена
Для поддержки устаревших операционных систем старого поколения необходимо ввести NetBIOS имя домена. Мастер установки автоматически предложит данное имя на основе введенного DNS имени. Данное NetBIOS имя должно
7
быть не более 15 символов, и оно будет доступно только в вашей локальной сети.
В последующих окнах мастера будет предложено ввести каталоги расположения базы данных и журнала ActiveDirectory, а также папки общих файлов домена, которые будут реплицироваться на другие контроллеры домена. Если для вас это не критично, то можно оставить расположение папок предложенных мастером установки. После всех подготовительных действий будет произведена диагностика регистрации DNS. В случае, если DNS сервер у вас еще не развернут, будет предложено создать его на данном контроллере домена (рис. 7).
Рис. 7. Введение пароля для восстановления режима
В конце будет выведена информация обо всех предыдущих ваших выборах и будет предложено для начала установки нажать кнопку «Далее».
8