- •1. Консоль управления ммс. Назначение и возможности.
- •2. Использование функции rdp для удаленного администрирования ос.
- •Rdp в режиме администрирования
- •Rdp в режиме доступа к серверу терминалов
- •Принцип работы rdp
- •Обеспечение безопасности при использовании rdp
- •Аутентификация
- •Шифрование
- •Целостность
- •3. Управление оборудованием и драйверами. Отображение скрытых устройств в диспетчере устройств.
- •4. Настройка разрешений файловой системы ntfs
- •7. Аудит доступа к файловой системе и разделам реестра.
- •Аудита раздела реестра
- •Задание значения
- •Создание подраздела
- •Как использовать шаблон безопасности для аудита раздела реестра
- •Создание шаблона безопасности
- •Применение шаблона безопасности
- •8. Службы обновления по (wsus).
- •Классы обновлений
- •9. Службы удаленной установки (ris, wds)
- •Преимущества
- •10. Разрешение имен. Служба dns. Архитектура и принцип работы.
- •11. Разрешение имен. Сравнение методов распределения имен в dns и wins.
- •Маска подсети
- •Шлюз по умолчанию
- •13. Протокол dhcp. Назначение и возможности. Преимущества протокола dhcp.
- •14. Основные сведения о маршрутизации. Статические маршруты и протоколы маршрутизации. Общие сведения о маршрутизации
- •15. Служба общего доступ к подключению Интернета ics в Windows. Использование общего доступа к подключению к интернету (Internet Connection Sharing)
- •Параметры ics
- •Установка ics
- •Конфигурация ics-сервера
- •16. Трансляция сетевых адресов nat.
- •Функционирование
- •17. Удаленный доступ в сеть. Технология vpn.
- •Что такое виртуальные частные сети
- •18. Служба архивации в Windows Server. Типы заданий архивации. Определение стратегии архивации.
- •Общее представление об оперативной и автономной архивации
- •19. Управление дисковой памятью. Базовые и динамические диски.
- •20. Управление дисковой памятью. Программа Chkdsk.
- •21. Отказоустойчивые дисковые массивы raid . Уровни raid.
- •22. Отказоустойчивые дисковые массивы raid . Аппаратная и программная реализация, сравнение.
- •Программный raid
- •23. Распределенная файловая система (dfs). Назначение и принцип работы.
- •Основные понятия
- •Принцип работы Dfs
- •24. Служба каталогов Active Directory. Концепция службы каталогов. Архитектура ad.
- •25. Служба каталогов Active Directory. Групповые политики. Порядок применения групповых политик.
- •Применение групповых политик
- •26. Технология Microsoft SharePoint.
Аутентификация
Аутентификация сервера выполняется следующим образом:
При старте системы генерируется пара RSA- ключей
Создается сертификат (Proprietary Certificate) открытого ключа
Сертификат подписывается RSA- ключом, зашитым в операционную систему (любой RDP -клиент содержит открытый ключ данного встроенного RSA- ключа). [12]
Клиент подключается к серверу терминалов и получает Proprietary Certificate
Клиент проверяет сертификат и получает открытый ключ сервера (данный ключ используется в дальнейшем для согласования параметров шифрования)
Аутентификация клиента проводится при вводе имени пользователя и пароля.
Шифрование
В качестве алгоритма шифрования выбран потоковый шифр RC4. В зависимости от версии операционной системы доступны различные длины ключа от 40 до 168 бит.
Максимальная длина ключа для операционных систем Winodws:
Windows 2000 Server – 56 бит
Windows XP, Windows 2003 Server – 128 бит
Windows Vista, Windows 2008 Server – 168 бит
При установке соединения после согласования длины генерируется два различных ключа: для шифрования данных от клиента и от сервера.
Целостность
Целостность сообщения достигается применением алгоритма генерации MAC (Message Authentication Code) на базе алгоритмов MD5 и SHA1.
Начиная с Windows 2003 Server, для обеспечения совместимости с требованиями стандарта FIPS (Federal Information Processing Standard) 140-1 возможно использование алгоритма 3DES для шифрования сообщений и алгоритма генерации MAC, использующего только SHA1, для обеспечения целостности. [15]
Enhanced RDP Security
В данном подходе используются внешние модули обеспечения безопасности:
TLS 1.0
CredSSP
Протокол TLS можно использовать, начиная с версии Windows 2003 Server, но только если его поддерживает RDP- клиент. Поддержка TLS добавлена, начиная с RDP -клиента версии 6.0.
При использовании TLS сертификат сервера можно генерировать средствами Terminal Sercives или выбирать существующий сертификат из хранилища Windows. [13][16]
Протокол CredSSP представляет собой совмещение функционала TLS, Kerberos и NTLM.
Рассмотрим основные достоинства протокола CredSSP:
Проверка разрешения на вход в удаленную систему до установки полноценного RDP- соединения, что позволяет экономить ресурсы сервера терминалов при большом количестве подключений
Надежная аутентификация и шифрование по протоколу TLS
Использование однократного входа в систему (Single Sign On ) при помощи Kerberos или NTLM
Возможности CredSSP можно использовать только в операционных системах Windows Vista и Windows 2008 Server. Данный протокол включается флагом Use Network Level Authentication в настройках сервера терминалов (Windows 2008 Server) или в настройках удаленного доступа (Windows Vista). [14]
3. Управление оборудованием и драйверами. Отображение скрытых устройств в диспетчере устройств.
Заставить Диспетчер устройств показывать принтеры, драйверы и прочие устройства, не поддерживающие Plug and Play, довольно легко. Чтобы запустить Диспетчер, наберите в командной строке devmgmt.msc и нажмите [Enter], а затем выберите пункт меню «Вид | Показать скрытые устройства» (View | Display Hidden Devices).
Включить отображение «призрачных» или отсутствующих устройств несколько сложнее. Для этого нужно задать системную переменную среды, которая заставит Диспетчер устройств показывать такое оборудование. Чтобы это сделать, нажмите правой кнопкой мыши на значке «Мой компьютер» (My Computer) и выберите пункт меню «Свойства | Дополнительно | Переменные среды» (Properties | Advanced | Environment Variables). Появится диалоговое окно «Переменные среды» (Environment Variable), в котором можно создавать переменные среды для всей системы и для отдельных ее пользователей. Переменные среды определяют различные параметры операционной системы – например, размещение каталогов Windows и TEMP, а также имя файла и адрес командного процессора, который запускается при вызове командной строки.
Диалоговое окно «Переменные среды» разделено на две части: «Переменные среды пользователя» (User variables) и «Системные переменные» (System variables). Чтобы создать переменную среды для отдельного пользователя, используйте диалоговое окно «Переменные среды пользователя»; для создания системной переменной обратитесь к диалоговому окну «Системные переменные». В нашем случае необходимо создать переменную среды для всей системы, поэтому кнопку «Создать» (New) следует нажимать в разделе «Системные переменные». При нажатии на эту кнопку появится диалоговое окно «Новая системная переменная» (New System Variable). В поле «Имя переменной» (Variable name) введите devmgr_show_nonpresent_devices. Кроме имени, переменной нужно присвоить еще и значение. Чтобы включить отображение отсутствующего оборудования в Диспетчере устройств, укажите в поле «Значение переменной» (Variable value) цифру 1. Заполненное диалоговое окно показано на рис. 13-3. После этого нажмите «OK», чтобы завершить создание новой переменной, и «OK», чтобы закрыть диалоговое окно «Переменные среды».