- •Тема 1. ЦЕЛИ И ЗАДАЧИ СЕТЕВОГО АДМИНИСТРИРОВАНИЯ
- •Контрольные вопросы
- •Тема 2. ВВЕДЕНИЕ В WINDOWS SERVER
- •2.1. Семейства Microsoft Windows 2000 Server и Windows Server 2003-2008
- •2.2. Характеристики Windows 2000 и Windows Server 2003-2008
- •2.3. Контроллеры домена и рядовые серверы
- •2.3.1. Роли серверов
- •2.4. Архитектура операционной системы
- •2.4.1.1. Внешние подсистемы (подсистемы среды)
- •2.4.1.2. Интегральные (внутренние) подсистемы
- •2.4.2.1. Исполнительная система Windows Server
- •2.4.2.2. Драйверы устройств
- •2.4.2.3. Микроядро
- •2.4.2.4. Аппаратно-зависимый уровень
- •Контрольные вопросы
- •Тема 3. СЛУЖБА КАТАЛОГОВ WINDOWS SERVER
- •3.1. Знакомство со службой каталогов
- •3.2. Рабочие группы и домены
- •3.3. Служба каталогов Active Directory
- •3.3.2.1. Логическая структура
- •3.3.2.2. Физическая структура
- •Контрольные вопросы
- •4.2. Установка и начальная настройка системы
- •4.2.2. Выбор носителя дистрибутива системы
- •4.2.3. Процесс установки системы Windows Server 2003
- •Контрольные вопросы
- •Тема 5. ФАЙЛОВЫЕ СИСТЕМЫ MS WINDOWS SERVER
- •5.1. Обслуживание жестких дисков
- •5.1.1.1. Типы дисков, разделов и томов
- •5.1.1.2. Файловые системы
- •5.1.2. Основные задачи обслуживания дисков
- •5.1.2.1. Работа с простыми томами
- •5.1.2.2. Работа с составными томами
- •5.1.2.3. Работа с чередующимися томами
- •5.1.2.4. Добавление нового диска
- •5.1.2.5. Изменение типа диска
- •5.2. Файловая система FAT
- •5.2.1. Файловая система FAT16
- •5.2.2. Файловая система FAT32
- •5.2.2.1. Структура разделов FAT32
- •5.3. Файловая система NTFS
- •5.3.1. Введение в NTFS
- •5.3.2. Структура NTFS
- •5.3.2.1. Структура тома NTFS
- •5.4. Безопасность файловых систем
- •5.5. Дополнительные файловые системы
- •5.5.1. Распределенная файловая система
- •5.5.1.1. Общие сведения о DFS
- •5.5.1.2. Преимущества DFS
- •5.5.1.3. Ограничения, накладываемые DFS
- •5.5.1.4. Типы корней DFS
- •5.5.1.5. Конфигурирование томов DFS
- •5.5.2. Служба репликации файлов
- •5.5.2.1. Репликация посредством FRS
- •5.5.2.2. Уникальные порядковые номера
- •Контрольные вопросы
- •Тема 6. СЛУЖБА КАТАЛОГОВ ACTIVE DIRECTORY
- •6.1. Обзор Active Directory
- •6.1.1. Введение в Active Directory
- •6.1.1.1. Концепция Active Directory
- •DC=ru/DC=bupk/CN=Users/CN=Ivan Petrov
- •Значение
- •Представляет
- •6.1.2.1. Модель данных
- •6.1.2.2. Схема
- •6.1.2.3. Модель безопасности
- •6.1.2.4. Модель администрирования
- •6.1.2.5. Доступ к Active Directory
- •6.1.2.6. Архитектура службы каталогов
- •6.2. Планирование внедрения Active Directory
- •6.2.1. Планирование пространства имен
- •6.2.1.1. Внутреннее и внешнее пространства имен
- •Преимущества
- •Недостатки
- •Сценарий 2. Внутреннее и внешнее пространства имен различаются
- •Преимущества
- •Недостатки
- •6.2.1.2. Выбор архитектуры пространства имен
- •6.2.2.1. Создание структуры ОП
- •6.2.2.2. Рекомендации по разработке структуры ОП
- •6.2.2.3. Структура иерархии ОП
- •6.2.3. Планирование сайта
- •6.2.3.1. Оптимизация регистрационного трафика
- •6.2.3.2. Оптимизация репликации каталога
- •6.3. Внедрение Active Directory
- •6.4.1. Создание первого контроллера нового домена
- •6.4.2.1. База данных Active Directory
- •6.4.2.2. Общий системный том
- •6.4.3.1. Смешанный режим
- •6.4.3.2. Основной режим
- •6.5. Администрирование Active Directory
- •6.5.1. Создание подразделений и объектов в них
- •6.5.1.1. Создание организационных подразделений (ОП)
- •6.5.1.2. Добавление объектов в ОП
- •6.5.2. Управление объектами Active Directory
- •6.5.2.1. Поиск объектов
- •6.5.2.3. Перемещение объектов
- •6.5.3. Управление доступом к объектам Active Directory
- •6.5.3.1. Управление разрешениями Active Directory
- •6.5.3.2. Наследование разрешений
- •6.5.3.3. Делегирование полномочий по управлению объектами
- •Контрольные вопросы
- •Тема 7. АДМИНИСТРИРОВАНИЕ MS WINDOWS SERVER
- •7.1. Использование Microsoft Management Console (MMC)
- •7.1.1.1. Консоли ММС
- •7.1.2.1. Изолированная оснастка
- •7.1.2.2. Расширение оснастки
- •7.1.3.1. Авторский режим
- •7.1.3.2. Пользовательский режим
- •7.2. Администрирование учетных записей пользователей
- •7.2.2. Планирование новых учетных записей пользователей
- •7.2.2.1. Правила именования
- •7.2.2.2. Требования к паролю
- •7.2.2.3. Параметры учетных записей
- •7.2.4.1. Диалоговое окно свойств
- •7.2.5.1. Профиль пользователя
- •7.2.5.2. Изменение учетных записей пользователей
- •7.2.5.3. Создание домашней папки
- •7.3. Администрирование учетных записей групп
- •7.3.2.1. Типы групп
- •7.3.2.2. Область действия группы
- •7.3.2.3. Участники групп
- •7.3.2.4. Вложенность групп
- •7.3.2.5. Стратегии групп
- •7.3.3. Внедрение групп
- •7.3.3.1. Администрирование групп
- •7.3.4. Внедрение локальных групп
- •7.3.4.1. Создание локальных групп
- •Описание
- •7.3.5. Встроенные группы
- •7.3.5.1. Встроенные глобальные группы
- •7.3.5.2. Встроенная локальная группа домена
- •7.3.5.3. Встроенные локальные группы
- •7.3.5.4. Встроенные системные группы
- •7.4. Администрирование групповой политики
- •7.4.1. Введение в групповые политики
- •7.4.2. Преимущества групповой политики
- •7.4.2.1. Типы групповых политик
- •7.4.2.2. Структура групповой политики
- •7.4.2.3. Применение групповой политики
- •Контрольные вопросы
- •Тема 8. СИСТЕМА БЕЗОПАСНОСТИ WINDOWS
- •8.1. Инфраструктура открытого ключа
- •8.1.2.1. Шифрование с применением открытых ключей
- •8.1.2.2. Секретные ключи
- •8.1.3.1. Иерархия ЦС
- •8.1.4.1. Архитектура служб сертификации
- •8.1.4.2. Обработка запроса сертификата
- •8.1.4.3. Сертификаты ЦС
- •8.1.4.4. Установка служб сертификации
- •8.1.4.5. Администрирование служб сертификации
- •8.2. Технологии открытого ключа
- •8.2.1. Защищенные каналы
- •8.2.2. Смарт-карты
- •8.2.2.1. Вход в систему с помощью смарт-карты
- •8.2.3. Технология Authenticode
- •8.2.4. Шифрованная файловая система
- •8.2.4.1. Защита данных
- •8.2.4.2. Восстановление данных
- •8.2.4.4. Отказоустойчивость
- •8.2.4.5. Шифрование в EFS
- •8.2.4.6. Расшифровка в EFS
- •8.2.4.7. Восстановление EFS
- •8.2.4.8. Утилита командной строки cipher (шифр)
- •8.2.5.1. Политики IPSec
- •8.2.5.2. Компоненты IPSec
- •8.2.5.3. Пример связи по IPSec
- •8.3. Протокол Kerberos в Windows Server
- •8.3.1. Обзор протокола Kerberos
- •8.3.1.1. Термины протокола Kerberos
- •8.3.1.2. Возможности протокола Kerberos
- •8.3.1.3. Процесс аутентификации с помощью Kerberos
- •8.3.1.4. Делегирование в Kerberos
- •8.3.2.1. Локальный интерактивный вход в систему
- •8.3.2.2. Интерактивный вход в домен
- •8.3.2.3. Поддержка открытого ключа в Kerberos
- •8.4. Средства конфигурации системы безопасности
- •8.4.1.1. Настройка системы безопасности
- •8.4.1.2. Анализ безопасности
- •8.4.3. Оснастка Group Policy (Групповая политика)
- •8.5. Аудит в Microsoft Windows
- •8.5.1. Обзор аудита в Windows
- •8.5.1.1. Использование политики аудита
- •8.5.3.1. Настройка аудита
- •8.5.3.2. Настройка политики аудита
- •8.5.3.3. Аудит доступа к файлам и папкам
- •8.5.3.4. Аудит доступа к объектам Active Directory
- •8.5.3.5. Аудит доступа к принтерам
- •8.5.4.1. Журналы в Windows
- •8.5.4.2. Управление журналами аудита
- •8.5.4.3. Архивация журналов
- •Контрольные вопросы
- •Тема 9. СЕТЕВЫЕ СЛУЖБЫ И ПРОТОКОЛЫ
- •9.1. Основы функционирования протокола TCP/IP
- •9.1.3.1. Разбиение сетей на подсети с помощью маски подсети
- •9.2. Сетевые протоколы
- •9.2.1. Протокол ATM
- •9.2.1.1. LAN Emulation
- •9.2.1.2. IP поверх ATM
- •9.2.1.3. ATM поверх xDSL
- •9.3. Сетевые службы
- •9.3.1. Служба DNS
- •9.3.1.1. Служба DNS: пространство имен, домены
- •9.3.1.2. Служба DNS: домены и зоны
- •9.3.1.3. Зоны прямого и обратного просмотра
- •9.3.1.4. Алгоритмы работы итеративных и рекурсивных запросов DNS
- •9.3.2.1. Введение в DHCP
- •9.3.2.2. Аренда DHCP
- •9.3.3. Служба WINS
- •9.3.3.1. Процесс преобразования имен службой WINS
- •9.3.3.2. Регистрация имени
- •Контрольные вопросы
- •Тема 10. СЛУЖБА РЕЗЕРВНОГО КОПИРОВАНИЯ
- •10.1. Базовые понятия службы резервного копирования
- •10.1.1. Типы резервного копирования
- •10.2. Разработка и реализация стратегии резервного копирования
- •10.2.1. Понятие плана архивации
- •10.2.2. Выбор архивных устройств и носителей
- •10.2.3. Типовые решения архивации
- •10.2.4. Пример создания задания на выполнения архивации данных
- •10.2.5. Пример восстановления данных из резервной копии
- •10.2.6. Теневые копии
- •10.2.7. Использование теневых копий
- •10.3. Архивирование и восстановление состояния системы
- •10.3.1. Архивирование и восстановление состояния системы
- •10.3.2. Автоматическое аварийное восстановление системы
- •10.3.2.2. Восстановление системы с помощью ASR-копии
- •Контрольные вопросы
228
1. User 1 запускает программу, которая соединяется по сети, используя TCP/IP для пересылки данных User 2. Политики безопасности, установленные на Computer А и Computer В определяют уровень безопасности сетевой связи.
2.Служба IPSec Policy Agent получает политики и передает их протоколам 1SAKMP/ Oakley и драйверу IPSec.
3.Протоколы ISAKMP/Oakley на каждом компьютере используют политики согласования, соответствующие установ-
ленной политике SA. Результаты согласования передаются между двумя компьютерами на драйвер IPSec, использующий полученный ключ для шифрования данных.
4. Наконец, драйвер IPSec посылает зашифрованные данные на Computer В. Драйвер IPSec на Computer В расшифровывает данные и пересылает их принимающей программе.
Рис. 8.9. Пример процесса связи с применением IPSec
8.3. Протокол Kerberos в Windows Server
Стандартный процесс обеспечения безопасности означает включение в систему функции, заставляющей пользователя доказывать, что он именно тот, за кого себя выдает. Эта проверка подлинности выполняется, когда пользователь вводит правильный
229
пароль для данной учетной записи. Например, когда User 1 пытается соединиться с некоторым сервером для доступа к какомулибо файлу, этот сервер должен убедиться, что посылает запрос действительно User 1. Обычно сервер предполагает, что это User 1, если при установлении связи вводится правильный пароль.
Более надежный вариант обеспечивается доверенной третьей стороной, проверяющей идентичность пользователя. Такой стороной является протокол аутентификации Kerberos.
8.3.1.Обзор протокола Kerberos
ВWindows протокол Kerberos является службой аутентификации по умолчанию и основным протоколом безопасности. Он позволяет пользователю получить доступ ко всем ресурсам сети после однократной регистрации. Kerberos проверяет как подлинность пользователя, так и целостность данных во время сеанса связи. Это обусловлено тем, что служба Kerberos устанавливается на каждом контроллере домена, а клиент Kerberos – на все компьютеры с Windows.
При наличии протокола аутентификации Kerberos служба Kerberos на сервере проверяет подлинность пользователя. Прежде чем связаться с сервером, пользователь запрашивает билет от службы Kerberos — центра распространения ключей
(Key Distribution Centre, KDC) — для подтверждения своей лич-
ности. Затем пользователь посылает этот билет на целевой сервер. Так как сервер доверяет Kerberos, ручающейся за личность пользователя, он принимает пропуск как доказательство подлинности пользователя. Протокол Kerberos не дает пользовате-
лям входить в систему и получать доступ к ресурсам п ростым введением правильного имени и пароля. Вместо того чтобы верить введенным данным, ресурс должен войти в контакт со службой Kerberos и получить пропуск, удостоверяющий пользователя. Kerberos выступает как доверяемая третья сторона, генерирующая сеансовый ключ и предоставляющая пропуск для данной сессии клиент-сервер.
Выпускаемый службой Kerberos билет включает:
•сеансовый ключ;
•имя пользователя, для которого выдан сеансовый ключ;
•срок действия билета;
230
• любые дополнительные требуемые поля данных или параметры.
Срок действия билета определяется системными правилами домена. Если срок действия билета закончился во время сеанса, служба Kerberos извещает клиента и сервер о необходимости восстановления билета. Затем Kerberos генерирует новый сеансовый ключ, и сеанс продолжается.
8.3.1.1. Термины протокола Kerberos
Чтобы лучше понять протокол Kerberos, ознакомимся с его терминологией.
Участник безопасности
Участник безопасности (principal) — это имеющий уникальное имя пользователь, клиент или сервер, участвующий в сеансе связи.
Сфера
Сфера (realm) – это граница аутентификации, которую можно сравнить с доменом Windows. Каждая организация, использующая сервер Kerberos, создает собственную сферу. Домен Windows – это на самом деле сфера Kerberos, она называется доменом только для совместимости с терминологией Windows NT.
Секретный ключ
Используется совместно клиентом или сервером и третьей стороной для шифрования передаваемой между ними информации. В случае Kerberos доверяемой третьей стороной является служба Kerberos. В случае участника безопасности секретный ключ обычно основан на случайных данных или шифровании паролем участника. Секретный ключ никогда не передается по сети; передается только зашифрованная информация.
231
Сеансовый ключ
Этот временный ключ шифрования используется двумя участниками безопасности ограниченное время в течение единственного сетевого соединения. Связывающиеся партнеры обмениваются сеансовым ключом, поэтому он называется общим секретом. Сеансовый ключ всегда посылают в зашифрованном виде.
Аутентификатор
Это запись, используемая для проверки того, что запрос действительно исходит от данного участника безопасности. Аутентификатор содержит информацию, проверяющую идентичность отправителя и время посылки запроса. Эта информация зашифрована с помощью общего сеансового ключа, известного только связывающимся участникам безопасности.
Аутентификатор обычно посылают с билетом, чтобы дать возможность получателю удостовериться, что именно данный клиент инициализировал запрос.
Центр распространения ключей
Выполняет две роли: сервера аутентификации (authentication server, AS) и службы предоставления билета (ticket granting service, TGS). TGS рассылает билеты клиентам, подключающимся к сетевым службам. Но прежде чем клиент воспользуется службой TGS для получения билета, он должен получить специальный билет для получения билета (ticket granting ticket, TGT)
от AS.
Сертификат атрибута привилегий
Сертификат атрибута привилегий (privilege attribute certificate, РАС) содержит идентификатор безопасности (security ID, SID) пользователя.
Билет
Клиент связывается со службой предоставления билета (TGS) и запрашивает билет для сервера, с которым он соединяется, до контакта с ним. Билет (ticket) — это запись, позволяющая клиенту аутентифицировать себя для сервера; этот просто сертификат, выдаваемый службой Kerberos. Билет зашифрован так, что только сервер-адресат способен расшифровать и прочи-