- •Федеральное агентство по образованию
- •Редактор м.Е. Цветкова
- •390005, Рязань, ул. Гагарина, 59/1.
- •Введение
- •1. Функции, процедуры и объекты администрирования ис
- •1.1. Элементы ис, подвергаемые администрированию
- •1.2. Функции администрирования в сетевых ис
- •1.3. Задачи, решаемые при администрировании ис
- •1.4. Планирование и реализация эффективной рабочей среды
- •1.5. Технические и организационные службы администрирования
- •1.6. Администрирование ис на основе сетевых ос
- •2. Сетевые и коммуникационные службы
- •2.1. Основы протокола tcp/ip
- •2.1.2. Маска подсети
- •2.2. Служба dhcp
- •2.2.1. Назначение службы dhcp
- •2.2.2. Выделение ip-адреса
- •2.2.3. Компоненты dhcp
- •2.2.4. Процесс выдачи ip-адреса
- •2.2.5. Алгоритм выбора адреса
- •2.2.6. Обнаружение конфликтов ip-адресации
- •2.2.7. Обновление ip-адреса
- •2.2.8. Отклонение обновления и негативное подтверждение
- •2.2.9. Установка и настройка dhcp-сервера
- •2.2.10. Авторизация серверов dhcp
- •2.2.11. Создание области действий dhcp
- •2.2.12. Настройка конфигурационных параметров службы dhcp
- •2.2.13. Активация и деактивация dhcp
- •2.2.14. Документирование информации в журнале
- •2.2.15. Проверка и обновление конфигурации клиентов dhcp
- •2.3. Домены и разрешение имен
- •2.3.1. Система доменных имен
- •2.3.2. Dns и разрешение имен
- •2.3.3. Зоны dns
- •2.3.4. Серверы dns
- •2.3.5. Отказоустойчивость и распределение нагрузки
- •2.3.6. Установка первичного, вторичного и кэширующего серверов dns
- •2.3.7. Создание и трансферты зоны
- •2.3.8. Записи о ресурсах
- •3. Службы аудита и управления безопасностью
- •3.1. Необходимость защиты
- •3.2. Причины существования угроз
- •3.3. Каналы утечки информации
- •3.4. Способы защиты информации
- •3.5. Работа протокола Kerberos
- •3.6. Организация безопасности сети
- •4. Служба учета
- •4.1. Настройка аудита в зависимости от событий, для которых настройка аудита необходима, она может быть одно- или двухэтапным процессом.
- •4.2. Проверка отчетов, полученных при аудите
- •4.3. Управление аудитом
- •5. Службы контроля характеристик
- •5.1. Счетчики производительности
- •5.2. Мониторинг системы
- •5.3. Накладные расходы мониторинга
- •6. Архивирование и восстановление данных
- •6.1. Архивирование и его виды
- •6.2. Восстановление данных
- •6.3. Требования к архивированию и восстановлению
- •Библиографический список
- •Оглавление
3.6. Организация безопасности сети
Вход и проверка подлинности. Доступ к сетевым ресурсам реализуется рядом функций, образующих службу входа в систему. Вход в сеть еще не означает, что клиенту одновременно разрешается доступ к ресурсам сети. При этом он как бы находится в некоторой пограничной зоне, предназначенной для проверки его подлинности.
Вход в сеть представляет собой двухфазный процесс, при котором пользователи или устройства должны предоставить два фактора проверки подлинности: идентификатор (учетную запись) и пароль. Но сама система не может определить, кто ввел пароль, - сам пользователь или человек, который украл пароль и выдает себя за пользователя. Помимо имени и пароля, в качестве средств двухфакторной проверки можно привести смарт- и магнитные карты. Однако они так же, как и пароли не обеспечивают 100 % защиты, так как карты могут быть украдены, а пароли взломаны. Большой уровень безопасности и удобства обеспечивает однофакторная проверка подлинности. Ее идея состоит в том, что для проверки подлинности используются не имя и пароль, а физические характеристики самого пользователя (отпечатки пальцев, снимок сетчатки глаза).
Доверительные отношения между доменами. Домены – это контейнеры сети, контролирующие доступ ко всем ресурсам, находящимся в ведении домена. Работой доменов управляют контроллеры доменов. Они отвечают за ведение баз данных, которые используются при проверке подлинности клиентов. В ряде случаев пользователю приходится иметь дело одновременно с несколькими доменами. При этом необходимо обеспечить доступ к ресурсам одного домена из другого. Для этого между доменами должны существовать доверительные отношения. Домен, которому доверяет другой, называют доверительным доменом, а домен, который доверяет другому домену, - доверяющим доменом. Если доверительные отношения односторонние, они называются доверительными однонаправленными отношениями. При таком отношении домен А доверяет домену Б, но Б не доверяет А. Когда доверие становится взаимным, доверительные отношения переходят в двунаправленные или двусторонние. Домен А доверяет Б, а Б доверяет А. Такие отношения позволяют пользователям или устройствам из одного домена обращаться к ресурсам другого. Существуют переходные и непереходные доверительные отношения между несколькими доменами. При переходных отношениях домен А доверяет доменам Б и В, Б доверяет А и В, В доверяет А и Б. Вход в любой из доменов разрешает пользователю доступ к ресурсам всех доменов. При непереходных отношениях доступ к ресурсам домена, с которым нет доверительных отношений, возможен только через домен, с которым имеются доверительные отношения.
4. Служба учета
Аудит – это отслеживание всех событий по контролю доступа к системе и обеспечения ее безопасности. Microsoft определяет событие как любой значительный случай в ОС и ее приложениях, о которых требуется оповестить пользователей (особенно администратора). События фиксируются в журнале событий. Аудит дает возможность отслеживания успеха или отказа определенных событий. Например, можно проводить аудит попыток зарегистрироваться, отслеживая, кто удачно зарегистрировался и когда, а чья попытка была неудачной. Можно также отслеживать доступ к определенной папке или файлу, наблюдая, кто из пользователей ими пользуются и какие задачи с ними выполняют.
Существует несколько категорий событий, по которым проводится аудит.
-
Регистрация события с помощью учетных записей – отслеживание регистрации, подключения и отсоединения пользователей.
-
Управление учетными записями – отслеживание, когда учетная запись создается, изменяется или аннулируется, устраняется или изменяется пароль.
-
Событие регистрации - отслеживание событий регистрации и предъявления полномочий, таких как сетевое использование ресурсов или регистрация подключений к удаленной службе с помощью учетной записи локальной системы.
-
Доступ к объектам – отслеживание доступа к объектам и типы этого доступа. Например, использования папок, файла, принтера.
-
Изменение политики – отслеживание изменений прав пользователей или политики аудита.
-
Использование полномочий – отслеживание событий, когда пользователь применил право, которое не связано с регистрацией и отключением.
-
Отслеживание процессов – отслеживание событий, связанных с выполнением процессов, например выполнением программ.
-
Системные события – отслеживание таких системных событий, как перезапуск, запуск, выключение или событий, которые воздействуют на безопасность системы.