Операційна система MS Windows

Операційна система MS Windows.

Порівняння із іншими ОС.

(Unix, Apple, Linux, BeOS та ін.).

Огляд існуючих ОС.

|NET DIAG |Запускає програму дiагностування мережi. | | |перший РС з запущеною командою якщо | | |дiагностичним сервером. Вiн якщо присилати за | | |запитом iнших станцiй дiагностичну iнформацiю.| |NETy HELP |Допомога. | |NETy PASSWORD|Змiна пароля для вiдкриття сеансу на | | |конкретному серверi чи доменi. | |NETy PRINT |Вiдображення iнформацiї про чергу на друк і | | |керування завданнями на друк. | |NETy TIME |Синхронiзацiя години на локального РС із | | |годинником серверу. | |NETy USE |Вiдображає наявні з'єднання із мережними | | |дисками та принтерами. Встановлює та припиняє | | |такi з'єднання. | |NETy VER |Вiдображення номери версiї програми. | |NETy VIEW |Список серверiв групи та їхнього ресурсiв. |.

Якщо iм’я комп’ютера мiстить пробiл, то команда NETy із ним не працює.

Формат NETy USE:

NETy USE [пристрій:] комп’ютерресурс [пароль |? ] [/SAVEPW:NO] [/YES] [/NO].

SAVEPW:NO означає, що пароль не треба запам’ятовувати у списку паролiв. [/YES] [/NO] - вказання варiантiв автоматичних вiдповiдів на всi запитання. Для вiд'єднання використовується ключ /D.

4. Керування мережею.

4.1. Iдентифiкацiя комп’ютера та механiзми обмеження доступу.

Пiд годину iнсталяцiї вказується мережне iм’я та група, в якої входити комп’ютер. Цi параметри можна змiнити. Робоча група — це лише зручний засiб для групування комп’ютерiв.

У W97 визначено два механiзми керування доступом до ресурсiв. Керування доступом на рiвнi ресурсiв дозволяє призначати паролi довiльному ресурсу. Керування на рiвнi користувачiв дозволяє вказати конкретних користувачiв чи їхнього групи, що мають доступ до шкірного ресурсу. Керування доступом на рiвнi користувачiв допускається тiлькi при пiд'єднанні до серверiв Netware чи WNT. При цьому вiдповiднi права зчитуються із цих серверiв. Якщо доступ дiє на рiвнi ресурсiв, W97 дозволяє задати повний доступ чи доступ для читання. Якщо доступ дiє на рiвнi користувачiв, крiм повного доступу та доступу за читанням, можна ще задати права на: читання файлiв; запис файлiв; створення файлiв та папок; знищення файлiв; змiна атрибутiв файлу; роздрук файлу; змiна керування доступом.

Незважаючи тих, що Netware та WNT дозволяють призначати права доступу до окремих файлiв та каталогiв, W97 дозволяє призначати права тiльки для каталогiв. За замовчуванням дiє керування доступом на рiвнi ресурсiв. Вибiр типу серверу отримання iнформацiї про права доступу користувачiв визначається встановленою службою (Microsoft чи Netware).

4.2. Спiльне використання файлiв та принтерiв.

Комп’ютер можна сконфiгурувати, як файловий сервер чи сервер друку. За замовчуванням сумiсне використання не встановлено. Пiсля його встановлення зробити каталог сумiсним можна в Explorer. Вказується мережне iм’я ресурсу. Якщо треба зробити, щоб iншi користувачi було неможливо переглядати iм’я даного ресурсу, в кiнець iменi додається $ наприклад, public$. Задається тип доступу: тiльки для читання, повний, визначений паролем. У останньому випадку тип доступу якщо визначатися введеним паролем.

Якщо визначений доступ на рiвнi користувачiв, також задається iм’я ресурсу. Крiм того, виводиться список користувачiв та груп, що мають право доступу до ресурсу. При додаванні нових користувачiв можна задати тип доступу (читання, повний чи спецiальний). Режим ‘спецiальний' дозволяє задати права доступу.

Сумiсне використання принтерiв керується аналогiчно до сумісного викоримтання файлів.

4.3. Реєстр W97 та керування мережними параметрами.

Основними об'єктами керування є ‘системний реєстр', ‘користувацькi профiлi', ‘системнi правила'. Кожний користувач може матір власнi налагодження (свiй профiль). У профiль входять конфiгурацiя робочого столу, змiст меню та iн. Користувач може матір доступ до свого профiлю із довiльного комп’ютера. Системний реєстр складається із двох файлiв: USER. DAT (користувацькi налагодження, незалежнi вiд комп’ютера, перемiщуються із користувачем на iншi ПК) та SYSTEM. DAT (системнi та апаратнi параметри залежнi вiд ПК, не перемiщуються). Системнi правила дозволяють адмiнiстратору встановлювати права для користувачiв та системнi параметри для РС.

Системний реєстр W97 — це iєрархiчна база даних для збереження системної iнформацiї. ini-файли використовуються частково для застосувань, якi не взаємодiють із реєстром. За замовчуванням системнi файли містяться в каталозi WindowsSystem, але й можуть бути і в iнших каталогах.

Програму роботи із реєстром — regedit. Основнi папки реєстру: HKEY_LOCAL_MACHINE HKEY_USERS вiдповiдають файлам реєстру. Iншi папки є окремими гiлками цих двох папок:

HKEY_CURRENT_CONFIG вiдповiдає роздiлу config HKEY_LOCAL_MACHINE HKEY_DYN_DATA вказує на областi, що мiстять iнформацiю про пристрої plug and play. HKEY_CLASSES_ROOT — це роздiл HKEY_LOCAL_MACHINESoftwareClasses для асоцiювання файлiв із застосуваннями. HKEY_CURRENT_USER — це роздiл HKEY_USERS, що мiстить iнформацiю про профiль користувача, який використовує ПК в даний момент.

Окремi роздiли HKEY_LOCAL_MACHINE. Config — рiзнi апаратнi конфiгурацiї, можливi для даного комп’ютера. Enum — iнформацiя про пристрої даного комп’ютера. Монiтори, НЖМД, НГМД, мережнi протоколи та iн. Network — iнформація про конфiгурацiю мережi. Security — iнформація про безпечу та дистанцiйне адмiнiстрування. Software — програмне забезпечення, встановлене на комп’ютерi. System — iнформація про встановленi драйвери, служби, назву комп’ютера, параметри файлової системи та iн.

Окремi роздiли HKEY_USERS. Сontrol Panel — користувацькі встановлення панелi керування. InstallLocationMRU — список шляхiв iнсталяцiї W97 та iнших продуктiв. Network — список популярних мережних з'єднань. RunMRU — список застосувань, що використовуються популярними мережними з'єднаннями. RemoteAccess — параметри вiддаленого доступу. Software — програмнi встановлення користувача для застосувань. StreamMRU — документи, що використовувалися останнiм часом.

Операцiї із системним реєстром.

Iмпортування та експортування даних із реєстру.

Можна iмпортувати окрему гiлку реєстра (із усiма вкладеними) чи весь реєстр. Експортований файл має текстовий формат і може змiнюватись текстовим редактором. Експорт та iмпорт можна проводити і із командного рядка.

Iмпорт:

REGEDIT [/L:system] [/R:user] filename.reg.

Якщо iмпортується частина файлу, то вона замiняє вiдповiднi роздiли реєстру.

Експорт:

REGEDIT [/L:system] [/R:user] /E filename. reg [regkey] параметр regkey задає початковий ключ реєстра, із якого вiдбувається експорт.

Якщо треба повнiстю замiнити реєстр, використовується ключ /С.

Користувацькi профiлi.

У користувацьких профiлях зберiгається iнформація про встановлення робочого столу, популярнi мережнi ресурси, з'єднання. Локальнi користувацькi профiлi зберігаються у папцi WindowsProfiles. Для шкірного користувача — окрема папка. У цiй папцi є наступнi папки: 26. Desctop — ярлики на робочому столi; 27. NetHood — iнформація про вiкно мережного оточення; 28. Recent — вмiст пункту ‘Документи' головного меню; 29. Start Menu — змiст меню ‘Старт'; 30. USER. DAT — користувацька частина системного реєстру; 31. USER. DA0 — її копiя.

Розташування каталогу, який мiстить файл зi списком шляхiв знаходження користувацьких профiлів. Розташування каталогу користувацьких профiлів визначене пiд ключем.

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionProfileLis t.

При входi користувача до системи введене ним iм’я служити основою для пошуку файлу користувацьких профiлів. Паролi містяться в каталозі Windows. Файл паролiв Zak.pwl.

А, щоб примусити використовувати профiлі із локальної машини, а не із серверу треба провести встановлення HKEY_LOCAL_MACHINE. Logon. Зробити новий параметр UseHomeDirectory типу DWORD. Такий параметр дiє для даного комп’ютера і для всiх користувачів, що працюють на ньому.

Якщо користувача немає, використовується профiль за замовчуванням.

Користувацькi профiлi в мережному середовищi можуть зберiгатись на серверi. При входi користувача порiвнюються профiлi на серверi та локальний. Вибирається найновiший. Пiсля цого оновлюється серверний профiль. Цей профiль оновлюється і при виходi користувача. Iнформацiя про профiлi може зберiгатись на серверi WNT, NETWARE, W97.

Загальнi умови для роботи із серверним збереженням користувацьких профiлів: винен бути встановлени вiдповiдний 32-розрядний клiєнт; мережний сервер винен пiдтримувати довгi iмена файлiв; на всiх клiєнтах W97 винна бути встановлена в каталозi із однаковою назвою.

Умови роботи із WNT.

Користувач має базовий каталог на серверi. Активiзованi профiлi. Опцiя входу — пiдключення до домену WNT (якщо вибрати швидкий вхiд, зчитування профiлів із серверу не вiдбудеться, активiзується локальний профiль і оновлення профiлів вiдбудеться за локальним профiлем (який може бути застарiлим).

Робота із W97 — сервером.

У HKEY_LOCAL_MACHINENetworkLogon введено значення SharedProfileList та UseHomeDirectory. Перше значення вказує на файл зi списком профiлів. Наприклад, це може бути UNC — *.ini файл із такими рядками:

[Profiles].

Dana=zakpublicdanauser.dat.

Katie=zakpublickatieuser.dat.

У ОС W97 можливе застосування обов’язкових користувацьких профiлiв. Це обов’язковi користувацькi профiлi, якi зберiгаються на серверi. Цi профiлi не можуть бути змiненi користувачем. Файл USER. DAT на серверi переiменовується на USER.MAN.

Системнi правила.

Системнi правила дозволяють гнучіше адмiнiструвати роботу окремих користувачiв та їхні груп. Основні функцiї та положення: 35. системнi правила можуть використовуватись окремо для користувацької та системної частини реєстру; 36. можна використовувати iндивiдуальнi та груповi правила із перекриттям; 37. можливе використання обов’язкових профiлів та системних правил одночасно.

Умови використання системних правил: для реалiзації користувацьких правил — активiзованi профiлi; на серверi WNT чи NETWARE зберiгається файл системних правил CONFIG. POL; якщо використовується iнший сервер — мусять бути проведенi встановлення в реєстрi.

Для створення системних правил використовується редактор POLEDIT.EXE. Цей редактор комплектується файлом-шаблоном ADMIN. ADM, який вказує, якi параметри системного реєстру доступнi у редакторi. Файл-шаблон можна редагувати та додавати в нього новi параметри. Файл системних правил мiстить правила ‘Стандартний комп’ютер' та ‘Стандартний користувач'.

Кожний елемент в редакторi можна відмiтити як реалiзований, нереалiзований, незмiнний. Першi два змiнюють вiдповiдний параметр у системному реєстрi. Реалiзований — встановлює, нереалiзований — скидає. Незмiнний — залишає встановлене користувачем значення.

Схема застосування правил.

Колі користувач вiдкриває сеанс, то тут для цого користувача iснують певнi правила, смердоті використовуються. Якщо користувач не має персональних правил, але й входити у групи, застосовуються правила груп. Завантаження правил йде вiд найменшого пріоритету до найбiльшого. Якщо для користувача не iснує правил, застосовуються правила ‘Стандартний користувач'. Правила застосування комп’ютерних правил — аналогiчнi.

Окремо встановлюється редактор системних правил та групових правил ADMINAPPTOOLSPOLEDIT окремо, із диску. Груповi правила встановлюються на всiх ПК, де використовуються групи. Редактор системних правил працює в двох режимах — режимi файла правил (змiна файлу правил) та режимi реєстру (змiна параметрiв реєстру із використанням шаблонiв правил). При створеннi нового файла правил автоматично створюються об'єкти ‘Стандартний користувач' та ‘Стандапртний комп’ютер'. Новi правила при створеннi iдентичнi стандартним, а потiм змiнюються вручну. Використовуючи редактор правил, можна модифiкувати правила на вiддаленому комп’ютерi.

Розмiщення config. pol:

WNT: server_namenetlogon.

Netware: server_namesyspublic.

Встановлення.

Користувацькі: 41. панель керування:

42. екран, мережа, паролi, принтери, система; робочий стiл:

44. фон, кольорова схема; мережа:

46. доступ; оболонка:

48. власнi папки, обмеження; система:

50. обмеження.

Системнi: мережа:

52. керування доступом, вхiд у мережу, клiєнт Microsoft, клiєнт.

Netware, сумiсний доступ до файлiв та принтерiв, паролi, вiддалений доступ до мережi, доступ, SNMP, оновлення; система:

54. Дозволити створення конфiгурацiй для користувачiв, мережний шлях для встановлення. Windows, мережний шлях до пiдручника, завантажувати при запуску, запускати служби.

Шаблони системних правил. Шаблони — це текстовi файли із певною структурою.

Вiддалене керування.

W97 має засоби, що дозволяють проводити вiддалене керування комп’ютером із W97 із iншого комп’ютера. Основнi функцiї вiддаленого керування: перегляд та модифiкацiя вiддаленого системного реєстру, перегляд завантаження та бiжучої мережної активностi вiддаленого комп’ютера із використанням ‘інспектора мережi', перегляд параметрiв роботи вiддаленого комп’ютера із використанням системного монiтора, доступ до диску вiддаленого комп’ютера із використанням ‘мережного оточення'. Крiм того, W97 має ряд системних агентiв, якi пристосованi для виконання функцiй керування, архiвування.

Для роботи із вiддаленим керуванням на обох комп’ютерах мусить бути активiзоване вiддалене керування. Дозвiл на проведення керування отримують адмiнiстратори мережi (якщо встановлено доступ на рiвнi користувачiв; список адмiнiстраторiв керування можна змiнити) чи фiксується пароль доступу (якщо доступ встановлено на рiвнi ресурсiв).

Для вiддаленого керування бажано встановити доступ на рiвнi користувачiв. Якщо встановлено доступ на рiвнi ресурсiв, деякi утiлiти (редактор реєстру та системних правил, системний монiтор) не будуть доступнi. На обох комп’ютерах мусить бути однаковий тип доступу до ресурсiв. При встановленнi вiддаленого керування створюються два спiльних каталоги: ADMIN$, IPC$. перший із них надає доступ до файлової системи на вiддаленому комп’ютерi, другий — забезпечує зв’язок мiж процесами на двох комп’ютерах.

Iнсталляцiя та робота із вiддаленим реєстром.

Вiддалений реєстр — це окрема служба, що встановлюється окремо: d: adminnettoolsremotreg.

Вiддалений реєстр працює тiльки в мережах із серверами NT чи NETWARE.

Пiсля встановлення служби редагування реєстру операцiї редагування можна проводити засобами редактора системного реєстру та в редакторi системних правил.

Використання ‘інспектора мережi'.

Утiлiта Netwatch дозволяє керувати використанням вiддалених комп’ютерiв, дозволяє бачити хто працює із вiддаленим комп’ютером, скiльки вiдкритих файлiв в сеансi. На ПК мусить бути встановлена служба доступу до файлiв. Адмiнiстратор може вiд'єднати користувача вiд вiддаленого комп’ютера, створювати та знищувати каталоги спiльного використання, переглядати список та закривати вiдкритi файли.

Використання системного монiтору.

Встановлене вiддалене керування та служба ‘вiддалений реєстр'. Використовується стандартна програма SYSMON із усiма її можливостями.

Використання ‘мережного оточення'.

Вибiр вiддаленого комп’ютера: Властивостi — СервiсКерування. Пiдключення жорсткого диску вiддаленого комп’ютера як C$.

Агенти W97. Агент мережного монiтора Microsoft. Працює як служба. Передає всю iнфомацiю про роботу системи у програму Network monitor WNT. Використовується програма netmon. Агент MIcrosoft SNMP. дозволяє використовувати засоби керування третiх фiрм. Агенти отримання резервних копiй.

5. Електронна пошта. Microsoft Exchange та Microsoft Fax.

У W97 можна видiлити наступну iєрархiю поштових служб. Для органiзацiї електронної пошти у межах локальної мережi використовується служба Microsoft Mail. Для роботи пошти у конфiгурацiї із кiлькох локальних мереж із серверами WNT необхiдно встановити на серверi WNT продукт ‘Microsoft Mail Server'. Для виходу в глобальнi мережi можна використати ПЗ пiдключення до MSN (Microsoft Network) чи напряму до Internet.

Унiверсальним клiєнтом електронної пошти є Microsoft Exchange (ME). Вiн дозволяє пiдключатись до Compuserve, Microsoft Mail, Internet Mail, MSN. МЕ реалiзується як служба. Крiм МЕ, iснує друга, аналогiчна служба ‘Microsoft Fax'. Особливiстю встановлення цих служб є ті, що спочатку встановлюється одна із них. Iнша iнсталюється, як додаткова служба.

Встановлення поштового вiддiлення Microsoft Mail.

Для роботи електронної пошти Microsoft Mail необхiдно спочатку створити поштове вiддiлення (центральне сховище пошти).

Спочатку встановлюється Microsoft Exchange без вказання адреси поштового вiдділення. МЕ встановлюється як продукт у складi W97. Створюється папка Inbox. Вибирається ‘ручне налагодження служб'. Iм’я конфiгурацiї - за замовчуванням. У панелi керування з’являються двi пiктограми — Mail and fax, Microsoft Mail Postoffice.

Розглянемо створення поштового вiдділення. Вказується мiсце розмiщення поштового вiдділення Це — наявний каталог чи диск. За визначеною адресою створюєть поштове вiдділення у виглядi папки WGPO0000. Ця папка якщо мiстити свої каталоги. Введення iнформацiї про адмiнiстратора (iм'я, поштова скринька, пароль). Адмiнiстратор зможе додавати нових користувачiв та виконувати iншi адміністративні функцiї. Перед початком роботи пошти каталог поштового вiддiлення треба визначити, як спiльний ресурс повного використання.

Пiсля створення поштового вiдділення для шкірного користувача, який планує користуватись поштою, треба створити облiковий файл.

Встановлення служби Microsoft Mail. Знову встановлюється Microsoft Exchange. Алі вказується опцiя ‘вибрати iнформацiйнi служби'. Вказується адреси поштового вiддiлення. Вибирається iм’я зi списку зареєстрованих у поштовому вiддiленнi та пароль. Пiсля цого поштова служба даного користувача вважається встановленою. (iншого користувача можна включити через вiдповiднi профiлi).

Використання Microsoft Exchange.

Запуск МЕ відбувається за пiктограмою Inbox. Запитується пароль доступу до поштового вiддiлення. Якщо користувач ‘кочує' мiж комп’ютерами, то і свiжа пошта при кожному сеансi пересилається на ПК, із якого входив користувач. Пiсля перемiщення користувача на новий ПК стара пошта не знищується, а залишається ‘хвiст' із листiв, до які мають доступ iншi користувачi. Для зняття проблеми треба задати свою Personal Folder на певному мiсцi.

Пiсля входження виводиться список нових листiв. Пункти меню наступні.

Файл. — копiювання та перемiщення повiдомлень мiж папками. Перегляд файлових властивостей повiдомлення. Iмпорт особистих поштових книжок та адресних книг.

Редагування помiчених елементiв списку, як прочитаних чи непрочитаних.

Вигляд. Створення нових форм екрану. Перегляд всiх папок, вхiдних, вихiдних, вiдправлених та знищених документiв.

Сервiс. Модифiкацiя та конфiгурування функцiй МЕ. Вибiр поштової служби (Microsoft Mail, Microsoft Fax), робота із адресними книгами.

Повiдомлення. Команди щодо роботи із новим повiдомленням. Створення та пересилання.

Для вiдслiдковування зчитування повiдомлення із поштового серверу використовується лiчильник, який декрементується при зчитуванні повiдомлення наступним користувачем. Якщо лiчильник містить 0 — повiдомлення знищується.

Встановлення Microsoft Fax.

Microsoft Fax (MF) дозволяє вiдправляти факси із комп’ютера, а також сумiсно користуватися факсом. Є можливiсть використовувати факс-модеми для вiдправлення та приймання файлiв із використанням технологiї BFT (Binary File Transfer), котра використовується в W97, WKG та iнших системах, що пiдтримують стандарт Microsoft At Work. Використання MF передбачає попереднє встановлення ME. MF встановлюється як продукт у складi W97.

W97 не дозволяє встановлювати MF, якщо встановлена Microsoft Mail та навпаки, але й тiльки пiд годину встановлення ME. При цьому Microsoft Fax вибирається як iнформацiйна служба. Вказується факс-модем зi списку встановлених. Через опцiю ‘додати' тут можна вказати чи iнший модем, чи модем сумiсного використання на iншому ПК (мережний факс-сервер). У випадку звертання до мережного факс-сервера треба вказати UNC-адресу спiльного каталогу факсу. Крiм того, модем мусить бути визначений, як спiльний. При цьому вказується iм’я користувача, код країни, номер факсу. Якщо МЕ попередньо встановлено, MF додається як нова служба.

Властивості MF.

Повiдомлення. Час вiдправлення (якнайскорiше, в конкретний годину, за пiльговим тарифом). Формат повiдомлення (із можливiстю редагувати чи нi). Титульна сторiнка.

Набирання номери. Кiлькiсть повторень набирання та iнтервал мiж ними. Властивостi з'єднання (список мiсць із набором властивостей з'єднання для шкірного вигiдний для мобiльних користувачiв).

Модем. Вибiр модему та встановлення його спiльного використання. Встановлення кiлькох факс-модемiв та вибiр активного (дiючого в даний момент). Режими набору номери та вiдповiдi.

Користувач. Iнформацiя, що якщо з’являтися на титульнiй сторiнцi факса.

Використання Microsoft Fax.

Якщо встановлена служба MF, то можна скласти повiдомлення в МЕ і передати його за адресою, що мiстить номер факсу. При цьому можна приєднувати файли, передавати їхні в форматi, що редагується. Можна використовувати факс-сервери. При вказаннi номери можна змiнити параметри модему. Якщо файл посилається над редактованому форматi, треба вказати його розширення. Тодi вiн вiдсилається у виглядi роздруку свого застосування (наприклад, у форматі Word).

3.6.5. Використання особистої адресної книги.

При створеннi особистої адресної книжки можна копiювати в неї фрагменти із загальної поштової книжки, а також створювати свої записи. Кiлька користувачiв можуть створити спiльну адресну книжку. Кожний користувач може створити довiльну кiлькiсть спискiв розсилання.

3.6.6. Використання Microsoft Network (MNN).

MNN — це оперативна служба Microsoft. Вона надає послуги електоронної пошти, пiд'єднання до Internet та використання WWW. Вихiд в цю мережу можливий тiльки із W97.

Встановлення MNN.

Запуск — із пiктограми. Двiчi вiдбувається встановлення зв’зку. У перший раз вам передають список бiжучих номерiв доступу. У другий раз — для завершення встановлення і створення облiкового файлу в мережi. Якщо встановлення вiдбувається із мережi, то перший етап вiдбувається тiльки при пiд'єднанні Першого ПК. Вказуються телефонні номери. Існує можливiсть вибору параметрiв модему.

Робота із мережею вiдбувається пiд годину роботи користувача із Провiдником та МЕ. Завантажується адресна книга MNN.

Через MNN можна отимати доступ і до Internet. Мережа МNN виступає при цьому, як провайдер послуг Internet. Встановлюється Internet Explorer. У ходi встановлення MNN є можливiсть вибрати одну із трьох служб: Microsoft Network; Internet and Microsoft Network; ISDN access to the Internet and MSN.

Тип установленої служби визначає виключне використання MNN чи можливiсть виходу в Internet.

6. Вiддалений доступ.

W97 — це ОС, спецiально спроектована із функцiєю вiддаленого доступу. Вона надає мобiльним користувачам можливiсть приєднуватись, як вузол мережi, за годину. Невелика пропускна здатнiсть каналiв зв’язку заставляє перекачувати файлову iнформацiю на вiддалений комп’ютер (не завжди можна працювати в оперативному режимi).

Термiнологiя: комп’ютер, який викликається, називається вiддаленим сервером (dial-up server), а комп’ютер, що викликає, стає вiддаленим клiєнтом (т.ч. це є з'єднанням мiж двома комп’ютерами, а чи не повноцiнне пiдключення до мережi). Вiддалений сервер W97 пiдтримує одночасно тiльки одного вiддаленого клiєнта. WNT пiдтримує одночасно до 256 клiєнтiв. W97 пiдтримує два типи з'єднань: PPP та SLIP використовуються клiєнтами W97, WNT 3.5, 4, RAS — клiєнтами WKG, WNT 3.1. PPP — багатопротокольний зв’язок. RAS пiдтримує протоколи NETBEUI, SLIP — TCP/IP, NRN (Novell Netware Connect) — IPX/SPX.

Встановлення та налагодження вiддаленого доступу.

Встановлення клiєнта вiдбувається пiд годину iнсталяцiї W97. Сервер встановлюється у MPlus! Якщо вiддалений доступ встановлено, те в вiкнi MyComp є папка ‘вiддалений доступ'. Встановлення можна провести через Windows Setup. Компонента вiддаленого доступу має тип мережного адаптера. Це означає, що встановленi мережнi протоколи автоматично прив’язуються до адаптера вiддаленого доступу.

Робота із вiддаленим доступом.

Папка вiдаленого доступу зберiгає заданi з'єднання та має об'єкт ‘нове з'єднання', вибiр якого дозволяє створити нове з'єднання. При створеннi нового з'єднання вибирається модем, номер вiддаленого серверу, iм’я з'єднання. Властивостi створеного з'єднання можна змiнити, у тому числi вибрати протокол доступу. За замовчуванням встановлюється РРР. Протокол SLIP пiдключається через Windows Setup -> have Disk-> adminapptoolsdscriptrnaplus.inf. W97 вiдрiзняє мережне з'єднання та з'єднання вiддаленого доступу та використовує спеціальні засоби для боротьби зi зменшенням пропускної здатностi з'єднання вiддаленого доступу.

Налагодження серверу вiддаленого доступу.

Використоваується папка ‘Вiдддалений доступ'- ‘З'єднання'- ‘Сервер вiдаленого доступу'. Вигляд вiкна конфiгурацiї залежить вiд встановленого режиму доступу (щодо ресурсiв чи користувачiв). Проводиться заборона (за замовчуванням) чи дозвiл вiддаленого доступу, заподіяння паролю доступу до ресурсiв чи списку користувачiв, що мають право доступу, вибiр типу серверу та протоколiв.

Робота із вiддаленим доступом через МЕ.

МЕ аналiзує наявнiсть з'єднання та його тип. Якщо з'єднання немає, можливий вибiр одного із трьох варіантiв: вказати сервер пошти в локальній мережi, використати вiддалений доступ для встановлення з'єднання із поштовим сервером; реально з'єднання якщо встановлюватись тiльки при спробi передати данi; не встановлювати з'єднання із поштовим сервером; повiдомлення зберiгаються у черзi і при встановленнi з'єднання із сервером, вiдразу передаються.

Оперативне використання вiддаленого доступу для роботи із поштою.

Вибiр опцiї ‘Remote Mail' дозволяє вiдкрити дiалогове вiкно для керування пересиланням пошти вiддаленим доступом. Функцiї: пiд'єднання та вiд'єднання вiд серверу, отримання із поштового серверу заголовків повiдомлень, пересилання пошти, робота зi списком вiдправлень.

Пряме з'єднання.

Два ПК з'єднуються через послiдовний чи паралельний порти. Один із ПК стає головним (host), другий — пiд'єднаним (guest). Пiд'єднаний комп’ютер має доступ до ресурсiв головного ПК і через нього — вихiд у локальну мережу (головний ПК дiє, як шлюз в мережу тiльки для мереж IPX/SPX та NETBEUI, але й не TCP/IP). Встановлення прямого з'єднання — через Windows Setup. Налагодження — заподіяння статусу ПК, можливостi парольного захисту та паролю. При пiд'єднанні кабелiв пряме з'єднання встановлюється.

Синхронiзацiя файлiв із використанням утiлiти ‘Портфель'.

Портфель — це особливий вид папки, який дозволяє вiдслiдковувати стан скопiйованих в неї файлiв та папок. Портфелiв може бути багато. Портфелi можна перемiщувати на iншi ПК та на дискети. Для вiдслiдковування статусу файлу вiн мусить бути скопiйований, а чи не перемiщений у портфель. Файл в портфелi може матір статус синхронiзованого та ‘сироти'. Для будь-якого синхронiзованого файлу можливо розiрвати зв’язок із оригiналом. Синхронiзацiя файлiв вiдбувається пiд контролем користувача.

Дистанцiйне керування.

W97 безпосередньо не пiдтримує дистанцiйного керування. Для цого можна використати продукти третiх фiрм (pcAnywhere, Reachout). Дистанцiйне керування працює із бiльшою швидкiстю, але й для своєї роботи вимагає окремого ПК в мережi.

Windows NT.

Універсальна мережева операційна система Windows NT може виконувати роль як клієнта, та й серверу мережі. Термін Windows NT відноситься до двох різних продуктів — Windows NT Workstation й Windows NT Server.

Операційна система Windows NT Workstation оптимізована для використання в якості високопродуктивного захищеного мережевого клієнта й корпоративної операційної системи робочих станцій. Її можна використовувати на автономних комп’ютерах як «персональну» операційну систему, в одноранговій мережі робочої групи й як робочу станцію в середовищі домену Windows NT Server.

Основні переваги Windows NT Workstation:. Продуктивність: підтримка багатозадачності. Windows NT Workstation забезпечує реальну багатозадачність, підтримуючи кілька процесорів.. Апаратні профілі: створення й підтримка списку апаратних конфігурацій даного комп’ютера.. Microsoft Internet Explorer: Web-броузер для роботи із Web.. Служба повідомлень (Microsoft Messaging): прийом й відправка електронної пошти.. Служби Web (Peer Web Services): персональний Web-сервер, оптимізований для роботи под Управлінням Windows NT Workstation.. Система безпеки: забезпечення локального захисту файлів, папок, принтерів та інших ресурсів.. Надійність операційної системи: виконання кожної програми в окремому адресне просторі. Це означати, що некоректно працююча програма не зможе вплинути на роботу інших програм чи операційної системи.

Операційна система Windows NT Server оптимізована для роботи в якості серверу файлів, друку й аплікацій із широкий спектр використання: від невеликих робочих груп до корпоративних мереж.

Основні переваги Windows NT Server:. Продуктивність серверу: операційна система Windows NT Server 4.0 оптимізована для досягнення максимальної продуктивності при роботі в якості серверу файлів, друку й аплікацій. Комерційна версія Windows NT.

Server 4.0 підтримує симетричну багатопроцесорну обробку із використанням до запланованих 4 процесорів, а спеціалізовані версії підтримують до 32 процесорів.. Вбудовані засоби комунікацій: дозволяють підключатися до мережі Windows.

NT Server 4.0 через модем за допомогою сервісу віддаленого доступу.

(Remote Access Service, RAS). Windows NT підтримує до 256 одночасних сеансів RAS-під'єднань.. Засоби управління: Task Manager й Network Monitor спрощують адміністрування серверу, надаючи детальну інформацію про кожну програму чи процес, що працюють в системі.. Internet Information Server (IIS): — швидка, потужна й безпечна платформа підтримки служб HTTP, FTP, Gopher.. Administrative Wizards (Майстри адміністрування): майстри гранично спрощують управління сервером.. Підтримка клієнтів Macintosh: забезпечує доступ до файлів й принтерів для клієнтів Macintosh.. Додаткові мережеві сервіси: підтримка багатопротокольної маршрутизації.

(Multiprotocol Routing, MPR), доменної системи імен (Domain Name System,.

DNS), протоколу динамічної конфігурації хоста (Dynamic Host.

Configuration Protocol, DHCP) й служби імен Інтернету Windows (Windows.

Internet Name Service, WINS).. Windows NT Directory Services: база даних домену забезпечує єдину реєстрацію користувачів, централізоване адміністрування домену й доступ до його ресурсів.

Мережі на основі Windows NT організуються на основі доменної моделі чи моделі робочої групи. І Windows NT Server й Windows NT Workstation можуть працювати в будь-якій із цих двох моделей.

Доменна модель (domain model) характеризується наявністю в мережі мінімум одного комп’ютера, що працює под Управлінням Windows NT Server й виконує роль контролера домену (domain controller). Домен — група комп’ютерів, об'єднаних загальною базою облікових записів користувачів й єдиною політикою захисту. Ця інформація зберігається в базі даних домену (її основна копія знаходиться на комп’ютері - контролері домену).

Модель робочої групи (workgroup model) дозволяє організувати мережу на основі Windows NT без контролера домену. Цю модель часто називають одноранговою мережею (peer-to-peer network), так як усі її комп’ютери мають рівні права на ресурси сумісного використання. Модель робочої групи не забезпечує централізованого адміністрування облікових записів користувачів й захисту ресурсів. Кожен сконфігурований як сервер комп’ютер зберігає інформацію про облікові записи своїх користувачів й захист ресурсів в локальній базі даних.

Захист ресурсів реалізують декілька процесів на різних рівнях операційної системи. перший із них — механізм реєстрації - забезпечує захист доступу до домену чи до комп’ютера. При кожному запуску комп’ютера под Управлінням Windows NT на екрані виникає вікно із проханням натиснути комбінацію клавіш CTRL+ALT+DELETE для реєстрації в системі. Така реєстрація забезпечує захист від програм, що працюють за принципом «Троянського коня». Така програма працює под Управлінням MS-DOS й дізнається ім'я та пароль користувача, імітуючи вікно Begin Logon. Так як більшість операційних систем використовують CTRL-ALT-DELETE для перезавантаження комп’ютера, то програма-імітатор навряд чи залишиться резидентною при виконанні цієї операції. Для успішної реєстрації в системі користувач винен запровадити коректні значення User Name, Password й Domain, в якому зареєстрований даний користувач.

Зареєструвавшись в системі, можна скористатися комбінацією CTRL-ALTDELETE для доступу до діалогового вікна Windows NT Security. З його допомогою можна виконати наступні дії:. Lock Workstation — дозволяє заблокувати комп’ютер без виходу із системи.

Всі програми при цьому продовжують працювати.. Change Password — дозволяє користувачу змінити пароль свого облікового запису.. Logoff — здійснює вихід користувача із системи.. Task Manager — містить список програм й процесів, котрі працюють в даний момент. Його можна використовувати для переключення між програмами й для завершення програм, що не реагують на події.. Shut Down — закриває усі файли, зберігає усі дані операційної системи й готує комп’ютер до виключення живлення.. Cancel — закриває діалогове вікно Windows NT Security.

Адміністрування Windows NT передбачає виконання як спеціальних операцій после встановлення системи, то й рутинних повсякденних дій. Функції адміністрування можна розділити на п’ять категорій: 1. Адміністрування облікових записів користувачів й груп. Планування, створення й ведення облікових записів й груп для забезпечення кожному користувачу можливості реєстрації в мережі й доступу до необходимых ресурсів. 2. Адміністрування захисту. Планування й реалізація стратегії безпеки для захисту даних й загальних мережевих ресурсів, до того числі папок, файлів й принтерів. 3. Адміністрування принтерів. Налаштування локальних й мережевих принтерів для забезпечення користувачам доступу до ресурсів друку. Усунення проблем друку. 4. Моніторинг подій й ресурсів мережі. Планування й реалізація стратегії аудиту подій в мережі із метою виявлення порушень захисту. Управління ресурсами й контроль їхнього використання. 5. Резервне копіювання й відновлення даних. Планування й виконання регулярних операцій резервного копіювання для забезпечення швидкого відновлення важливих даних.

Засоби адміністрування Windows NT Workstation використовуються лише для локального комп’ютера. Засоби адміністрування Windows NT Server використовуються для всіх комп’ютерів домену.

Засоби адміністрування встановлюються на Windows NT при установці самої операційної системи:. Administrative Wizards. Інструментальні засоби Windows NT Server для виконання адміністрування: створення облікових записів користувача, створення й зміну облікових записів груп, установка прав доступу до папок й файлів, настроювання мережевих принтерів.. User Manager for Domains. Диспетчер користувачів домену — інструментальний засіб Windows NT Server, що дозволяє створювати, знищувати й тимчасово відключати облікові записи користувачів домену.

Крім того, він дозволяє задавати стратегію захисту для груп й добавляти перед тим облікові записи користувачів.. User Manager. Диспетчер користувачів домену — інструментальний засіб.

Windows NT Workstation, що дозволяє створювати, знищувати й тимчасово відключати локальні облікові записи користувачів й груп.. Server Manager. Диспетчер серверу — інструментальний засіб Windows NT.

Server для відслідковування комп’ютерів й доменів та управління ними.. Event Viewer. Засіб перегляду подій. Містить відомості про помилки, попередження, а також інформацію про вдалі й невдалі спроби виконання різних дій.. Windows NT Diagnostics. Засоби діагностики, призначені для перегляду й друку інформації про конфігурацію системи.. Backup. Засоби архівування даних призначені для резервного копіювання інформації на локальний носій на магнітній стрічці.

Операційна система Windows NT завжди володіла прекрасними й широко застосовними на практиці можливостями захисту. Однократна реєстрація в домені Windows NT надає користувачам доступ до ресурсів всієї корпоративної мережі.

Повноцінний набір інструментів Windows NT Server полегшує адміністраторам управління системою захисту й її підтримку. Наприклад, адміністратор може контролювати коло користувачів, що мають права доступу до мережевих ресурсів: файлам, каталогам, серверам, принтерам й додаткам. Правами для шкірного ресурсу можна управляти централізовано.

Облікові записи користувачів також справляються централізовано. За допомогою простих графічних інструментів адміністратор задає приналежність до груп, допустимий годину роботи, термін дії й інші параметри облікового запису. Адміністратор отримує можливість аудиту всіх подій, заговорили українською у «язаних з захистом доступу користувачів до файлів, каталогів, принтерів й інших ресурсів. Система також здатна блокувати обліковий запис користувача, якщо число невдалих спроб реєстрації перевищує зазделегідь визначене. Адміністратори мають право встановлювати термін дії паролів, примушувати користувачів до періодичної зміни паролів й вибору паролів, що утрудняють несанкціонований доступ.

З точки зору користувача система захисту Windows NT Server повноцінна й нескладна в звертанні. Проста процедура реєстрації забезпечує доступ до відповідних ресурсів. Для користувача невидимі такі процеси, як шифрування пароля на системному рівні. (Шифрування пароля потрібне, щоб виключити передачу пароля у відкритому вигляді по мережі й перешкодити його виявленню при несанкціонованому перегляді мережевих пакетів.) Користувач сам визначає права доступу до тихий ресурсів, якими володіє. Наприклад, щоб Дозволити спільне використання свого документа, він вказує, хто й як може із ним працювати. Зрозуміло, доступ до ресурсів підприємства контролюється лише адміністраторами із відповідними повноваженнями.

Більш глибокий рівень безпеки — ті, як Windows NT Server захищає дані, що знаходяться в фізичній пам «яті комп «ютера. Доступ перед тим надається лише маючим на це право програмам. Так саме, якщо дані понад не містяться на диску, система запобігає несанкціонованому доступу до тієї області диска, де смердоті містилися. При такій системі захисту ніяка програма не «підгляне» у віртуальній пам «яті машини інформацію, із якою оперує в даний момент інший додаток.

Однак інтрамережі швидко стають найбільш ефективним способом спільного використання інформації бізнес-партнерами. Сьогодні доступ до закритої ділової інформації керується створенням облікових записів для нових зовнішніх членів ділової «сім «ї». Це допомагає встановлювати довірчі відносини не лише із співробітниками корпорації, але й й із множиною партнерів.

Віддалений доступ через відкриті мережі й зв «язок підприємств через Інтернет стимулюють постійна й швидкий розвиток технологій безпеки. як приклад можна виділити сертифікати відкритих ключів й динамічні паролі. Алі архітектура безпеки Windows NT однозначно оцінюється як перевершуюча й ці, й інші майбутні технології. Право на таке твердження дають нові можливості й удосконалення, що із «явилися в Windows NT 5.0. Частина цих змін відображає вимоги до захисту великих організацій, інша — дозволяє використати переваги гнучкої архітектури безпеки Windows NT, про «єднаної із сертифікатами відкритих ключів Інтернету.

Перерахуємо нові функції безпеки Windows NT.

• Інформація про доменні правила безпеки й облікова інформація зберігаються в каталозі Active Directory. Служба каталогів Active Directory забезпечує тиражування й доступність облікової інформації на багатьох контроллерах домену, а також дозволяє видалене адміністрування.

• У Active Directory підтримується ієрархічний простір імен користувачів, груп й облікових записів машин. Облікові записи можуть бути згруповані по організаційних одиницях (що істотно відрізняється від плоскої структури імен в попередніх версіях Windows NT).

• Адміністративні права на створення й управління групами облікових записів користувачів можуть бути делеговані на рівень організаційних одиниць. При цьому встановлюються диференційовані права доступу до окремих властивостей призначених для користувача про «єктів. Наприклад, група користувачів може змінювати параметри пароля, але й не має доступу до іншої облікової інформації.

• Тиражування Active Directory дозволяє змінювати облікову інформацію на будь-якому контроллері домену, а чи не лише на первинному. Численні копії Active Directory, що зберігаються на інших (в попередніх версіях, резервних) контроллерах домену, оновлюються й синхронізуються автоматично.

• Доменна модель змінена й використовує Active Directory для підтримки багаторівневого дерева доменів. Управління довірчими відносинами між доменами спрощене за рахунок транзитивності в межах всього дерева доменів.

• У систему безпеки включені нові механізми аутентификації, такі як Kerberos v5 й TLS (Transport Layer Security), що базуються на стандартах безпеки Інтернету,.

• Протоколи захищених каналів (SSL 3.0/TLS) забезпечують підтримку надійної аутентификація клієнта. Вона досягається шляхом зіставлення мандатів користувачів в формі сертифікатів відкритих ключів із існуючими обліковими записами Windows NT. Для управління обліковою інформацією й контролю за доступом застосовуються самі й тих ж засоби адміністрування, незалежно від того, чи використовується захист із відкритим ключем чи з загальним секретом.

• Додатково до реєстрації за допомогою введення пароля може підтримуватися аутентификація із використанням смарт-карт. Останні забезпечують шифрування й надійне зберігання закритих ключів й сертифікатів, що особливо важливо для надійної аутентификація при вході в домен із робочої станції.

• До складу нової версії входити Microsoft Certificate Server.

Цей сервер призначений для організацій й дозволяє видавати співробітникам й партнерам сертифікати Х.509 версії 3. У CryptoAPI включені інтерфейси й модулі управління сертифікатами відкритих ключів, включаючи видані комерційним ВУС (Уповноваженим сертифікації), стороннім ВУС чи Microsoft Certificate Server. Системні адміністратори можуть вказувати, сертифікати які уповноважених є довіреними в системі й, таким чином, контролювати аутентификація доступу до ресурсів.

• Зовнішні користувачі, що не мають облікових записів Windows NT, можуть бути аутентифіковані за допомогою сертифікатів відкритих ключів й співвіднесені із існуючим обліковим записом. Права доступу, призначені для цого облікового запису, визначають права зовнішніх користувачів на доступ до ресурсів.

• У розпорядженні користувачів засоби управління парами закритих (відкритих) ключів й сертифікатами, що використовуються для доступу до ресурсів Інтернету.

• Технологія шифрування вбудована в операційну систему й дозволяє використати цифрові підписи для ідентифікації потоків.

У Windows NT 5.0 вбудований сервер сертифікатів Certificate Server, який може видавати сертифікати в стандартних форматах (Х.509 версій 1 й 3), а також додавати розширення в міру потреби.

Протокол аутентификації Kerberos.

Протокол аутентификації Kerberos визначає взаємодію між клієнтом й мережевим сервісом аутентификації, відомим як KDC (Key Distribution Center). У Windows NT KDC використовується як сервіс аутентификація на всіх контроллерах домену. Домен Windows NT еквівалентний області Kerberos, але й до неї звертаються як до домену. Реалізація протоколу Kerberos в Windows NT заснована на визначенні Kerberos в RFC1510, Клієнт Kerberos реалізований у вигляді ПФБ (постачальника функцій безпеки) Windows NT, заснованому на SSPI. Початкова аутентификація Kerberos інтегрована із процедурою WinLogon. Сервер Kerberos (KDC) інтегрований із існуючими службами безпеки Windows NT, що виконуються на контроллері домену. Для зберігання інформації про користувачів й групи він використовує службу каталогів Active Directory.

Протокол Kerberos посилює існуючі функції безпеки Windows NT й додає нові. Розглянемо останні детальніше.

• Підвищена швидкість аутентификації при встановленні початкового із «єднання. Сервер додатків не винен звертатися до контролера домену для аутентификація клієнта. Така конфігурація підвищує масштабованість серверів додатків при обробці запитів на підключення від великого числа клієнтів.

• Делегування аутентификації в багатоярусній архітектурі клієнт-сервер. При підключенні клієнта до серверу, останньому імперсонує (втілює) клієнта в цій системі. Алі якщо серверу для завершення транзакції треба виконати мережеве підключення до іншого серверу, протокол Kerberos дозволяє делегувати аутентификації Першого серверу й підключитися до іншого від імені клієнта. При цьому другий сервер також виконує імперсонацію клієнта.

• Транзитивні довірчі відносини для міждоменної аутентификації. Користувач може бути аутентифікований в будь-якому місці дерева доменів, оскільки сервіси аутентификації (KDC) в кожному домені довіряють квиткам, виданим іншими KDC в дереві. Транзитивне довір «я спрощує управління доменами великі мережах із декількома доменами.

Аутентификація NTLM.

Перед тім, як розглянути процес аутентификації Kerberos, пригадаємо механізм, діючий в попередніх версіях Windows NT.

Отже, после того, як користувач вводити своє ім «я й пароль, система аутентифікує його шляхом передачі параметрів, заданих у ввідному діалоговому вікні, менеджеру захисту облікових записів SAM (Security Account Manager). SAM порівнює ім «я користувача й зашифрований пароль із тими, що зберігаються в базі користувачів домену чи, при локальній реєстрації, робочій станції. Якщо ім «я й пароль співпадають, сервер повідомляє робочу станцію про підтвердження доступу. Крім того, сервер завантажує й таку інформацію про користувача, як привілей облікового запису, положення домашнього каталогу й т. п. Якщо для користувача визначений сценарій реєстрації, цей сценарій також завантажується на робочу станцію для виконання.

Якщо користувач має обліковий запис й привілеї доступу до системи, а уведень ним пароль вірна, підсистема захисту створює про «єкт маркер доступу, що представляє користувача. Він порівняємо із ключем, що містить «посвідчення особини» користувача. Маркер доступу зберігає таку інформацію, як ідентифікатор захисту SID (Security ID), ім «я користувача й імена груп, до які він належить.

Маркер доступу чи його копія асоціюються із будь-яким процесом, що виконується користувачем (наприклад, відкриття чи друк файла). Комбінація процес-маркер називається суб «єктом. Суб «єкти оперують над про «єктами Windows NT шляхом виклику системних сервісів. Колі суб «єкт здійснює доступ до захищеного про «єкта, (наприклад, файлу чи каталогу), вміст маркера порівнюється із вмістом списку контролю доступу до про «єкта ACL (Access Control List) шляхом стандартної перевірки. При цьому визначається, чи можна надати суб «єкту декларація про виконання операції, що запитується. Ця ж процедура може при необхідності згенерувати повідомлення аудиту, що відображають результати спроб доступу.

Створений маркер передається процесу Win32 WinLogon. WinLogon наказує підсистемі Win32 створити процес для користувача, й маркер доступу приєднується до цого процесу. Після цого підсистема Win32 ініціює Windows NT Explorer, й на екрані із «являється відповідне вікно.

Основи Kerberos.

Kerberos є протоколом аутентификації із спільним секретом — й користувачеві, й KDC відомий пароль (KDC зашифрований пароль). Протокол Kerberos визначає серію обмінів між клієнтами, KDC й серверами для отримання квитків Kerberos. Колі клієнт починає реєстрацію в Windows NT, постачальник функцій безпеки Kerberos отримує початковий квиток Kerberos TGT (Ticket grant ticket), заснований на зашифрованому представленні пароля. Windows NT зберігає TGT в кеші квитків на робочій станції, заговорили українською у «язаній із контекстом реєстрації користувача. При спробі клієнтської програми звернутися до мережевої служби перевіряється кеші квитків: чи є в ньому вірна квиток для поточного сеансу роботи із сервером. Якщо такого квітко немає, на KDC посилається запит із TGT для отримання сеансового квітко, що дозволяє доступ до сервера.

Сеансовий квиток додається в кеші й може згодом бути використаний повторно для доступу доти ж самому серверу протягом години дії квітко. Час дії квітко встановлюється доменними правилами й звичайно дорівнює восьми годинам. Якщо годину дії квітко закінчується у процесі сеансу, то постачальник функцій безпеки Kerberos повертає відповідну помилку, що дозволяє клієнту й серверу оновити квиток, створити новий сеансовий ключ й відновити підключення.

Сеансовий квиток Kerberos перед «являється видаленій службі в повідомленні про вухо підключення. Частини сеансового квітко зашифровані секретним ключем, що використовується спільно службою й KDC. Сервер може швидко аутентифікувати клієнта, перевіривши його сеансовий квиток й не звертаючись до сервісу аутентификації, оскільки на сервері в кеші зберігається копія секретного ключа. З «єднання при цьому відбувається набагато швидше, ніж при аутентификації NTLM, де сервер отримує мандати користувача, а потім перевіряє їхнього, підключившись до контролера домена.

Сеансові квитки Kerberos містять унікальний сеансовий ключ, створений KDC для симетричного шифрування інформації про аутентификацію, а також даних, що передається від клієнта до серверу. У моделі Kerberos KDC використовується як інтерактивна довірена сторона, що генерує сеансовий ключ.

Інтеграція Kerberos.

Протокол Kerberos повністю інтегрований із системою безпеки й контролю доступу Windows NT. Початкова реєстрація в Windows NT забезпечується процедурою WinLogon, що використовує ПФБ Kerberos для отримання початкового квітко TGT. Інші компоненти системи, наприклад, Redirector, застосовують інтерфейс SSPI до ПФБ Kerberos для отримання сеансового квітко для видаленого доступу до файлів серверу SMB.

У протоколі Kerberos версії 5 для сеансових квитків визначено полі, що шифрується. Воно призначене для даних авторизації, однак використання цого поля визначається конкретними додатками, У Windows NT полі даних авторизації для зберігання ідентифікатора безпеки Security ID, що однозначно визначає користувача й членство в групі. Постачальник функцій безпеки Kerberos на серверний стороні використовує полі авторизації для створення маркера захищеного доступу (security access token), що представляє користувача в цій системі. Сервер, слідуючи моделі безпеки Windows NT, використовує цей маркер для доступу до локальних ресурсів, захищених списками контролю доступу.

Делегування аутентификації підтримується в протоколі Kerberos версії 5 шляхом використання в сеансових квитках прапорів proxy й forwarding. Сервер Windows NT застосовує делегування для отримання сеансового квітко на доступ від імені клієнта до іншого сервера.

Взаємодія Kerberos.

Протокол Kerberos версії 5 реалізований в різних системах й використовується для одноманітності аутентификація в розподіленій мережі.

Під взаємодією Kerberos мається на увазі загальний протокол, що дозволяє обліковим записам аутентифікованих користувачів, що зберігаються в одній базі (що можливо тиражується) на всіх платформах підприємства, здійснювати доступ до всіх сервісів в гетерогенного середовищі. Взаємодія Kerberos засновується на наступних характеристиках:

• загальний протокол аутентификації користувача чи сервісу на основне ім «я при мережевому підключенні;

• можливість визначення довірчих відносин між областями Kerberos й створення посилальний запитів квитків між областями;

• підтримка певних вимог в RFC 1510 до взаємодії, що відносяться до алгоритмів шифрування й контрольних торб, взаємної аутентификація й інших можливостей квитків;

• підтримка форматів маркера безпеки Kerberos версії 5 для встановлення контексту й обміну повідомленнями так, як це визначене робочою групою lETFCommon Authentication Technology.

Підтримка Kerberos відкритих ключів.

У Windows NT також реалізовані розширення протоколу Kerberos, підтримуючий додатково до аутентификацію із секретним загальним ключем використовується аутентификація, засновану на парах відкритого (закритого) ключа. Підтримка відкритих ключів дозволяє клієнтам запитувати початковий ключ TGT за допомогою закритого ключа, у тому годину як KDC перевіряє запит за допомогою відкритого ключа, отриманого із сертифіката Х.509 (зберігається в призначеному для користувача про «єкті в каталозі Active Directory), Сертифікат користувача може бути виданий як стороннім уповноваженим сертифікації (Certification Authority), то й Microsoft Certificate Server, що укладати Windows NT. Після початкової аутентификація закритим ключем використовуються стандартні протоколи Kerberos для отримання сеансових квитків на доступ до мережевих служб,.

Підтримка протоколом Kerberos відкритих ключів — основа аутентификація в мережі за допомогою смарт-карт. Користувачі Windows NT 5.0 можуть їхні застосовувати для входу в систему.

Сервер сертифікатів Microsoft Certificate Server.

Сервер сертифікатів Microsoft Certificate Server надає організаціям спрощений, без звернення до зовнішніх ВУС (уповноваженим сертифікації), процес видачі сертифікатів. З його допомогою досягається повний контроль над правилами видачі, управління й відгуку сертифікатів, а також над форматом й змістом самих сертифікатів. Реєстрація всіх транзакцій дозволяє адміністратору відстежувати запити на видачу сертифікатів й управляти ними.

Certificate Server виконується у вигляді сервісу Windows NT й обробляє усі запити сертифікатів, випадки їхні видачі, а також усі списки відгуку. Статус кожної операції із сертифікатами відстежується за допомогою черги транзакцій. По завершенні операції інформація про неї заноситися до наукового журналу транзакцій для подальшої перевірки адміністратором.

Клієнт й вхідний модуль.

Запит сертифіката поступає від будь-якого, підтримуючого цифрові сертифікати, клієнтського додатку. Це можливо, наприклад, програма перегляду сторінок Web, поштовий клієнт чи клієнт електронного магазину. Крапку входу Certificate Server — так звань вхідний модуль можна настроїти на прийом запитів в багатьох стандартних форматах. Вхідні модулі виконують дві основні функції: розпізнають протокол чи транспортний механізм, що використовується запитуючим додатком, а також встановлюють із «єднання із сервером сертифікатів для передачі запитів. Якщо треба забезпечити так специфічні потреби, що це не под силу вхідним модулями, що поставляються, можна написати свій власний модуль, використовуючи інтерфейс СОМ, що надається Certificate Server.

Модуль черг й правил.

Вхідний модуль передає запит у виконавчу частину серверу сертифікатів, де відбувається введення запиту в чергу, а далі передача в модуль правил. Саме там на основі додаткової інформації, що міститься в запиті визначається можливість видачі запитаного сертифіката. Так саме, як й вхідний модуль, модуль правил є повністю таким, що настроюється.

У процесі прийняття рішення про видачу сертифіката, модуль правил може звернутися до зовнішніх баз даних, таких як каталог Active Directory, чи успадкована база даних, чи кредитна інформація від стороннього джерела, щоб перевірити надану інформацію. Також він може посилати адміністраторам попередження про необхідність видачі їм дозволи.

Після цого інформація упаковується в запит так, як вказана адміністратором. Модуль правил може бути настроєний на вставку будь-яких розширень сертифікатів, що зажадалися клієнтським додатком (наприклад, дані для оцінки купівельних можливостей клієнта).

Колі модуль правил повертає запит на надання сертифіката тому в виконавчий модуль, оновлюються черга, шифрування й цифровий підпис сертифіката, а також запис транзакції. У журнал заносяться не лише усі запити, але й й ті, чи були смердоті задоволені чи знехтувані. Саме там із метою подальшого аудиту зберігаються усі видані сертифікати й списки відгуку сертифікатів.

Certificate Server передає сертифікат у вихідний модуль, який упаковує його у відповідний транспортний механізм чи протокол. Так, сертифікат може бути переданий поштою, по мережі чи вміщений в службі каталогів, наприклад, Active Directory.

Подібно вхідному модулю, вихідного також повністю настроюємо. Більш цього у одному сервері допустимі декілька вихідних модулів, й один й тієї ж сертифікат може бути не лише відправлений клієнту, але й й вміщений, наприклад, в репозитарій сертифікатів для подальшого використання (до того числі для перевірки інформації в призначеному для користувача сертифікаті).

Для конфігурування, моніторинга й управління операціями на сервері в склад Certificate Server включень ряд адміністративних інструментів. Вони дозволяють модифікувати правила, додавати нові вхідний й вихідний модулі, переглядати чергу. Переглядаючи чергу, адміністратор може чи відкинути запит про сертифікат чи, навпаки, ініціювати його негайну видачу.

Безпека й Active Directory.

У всіх попередніх версіях Windows NT інформація про облікові записи зберігалася в захищених гілках реєстру на контроллерах домену. Довірчі відносини між доменами й наскрізна аутентификація в дворівневих ієрархіях доменів дозволяли досить гнучко управляти обліковими записами й серверами ресурсів. Однак всередині шкірного домену простір імен був пласким й не мав ніякої внутрішньої організації.

Розподілені служби безпеки Windows NT 5.0 використовують Active Directory як сховище облікової інформації. Active Directory значно перевершує реєстр по продуктивності й масштабованості. Особливо вражають її адміністративні можливості.

Розглянемо переваги інтегрованого управління обліковими записами службою каталогів Active Directory.

• Облікові записи користувачів, груп й машин можуть бути організовані у вигляді контейнерів каталогу, званих, як уже згадувалося, організаційними одиницями OU. У домені допустиме довільне число OU, організованих у вигляді деревовидного простору імен у відповідності зі структурою організації користувача. Також як й OU, облікові записи окремих користувачів є про «єктами каталогу. При зміні співробітниками місця роботи чи посади облікові записи всередині дерева доменів можуть бути легко переміщені, й, таким чином, приведені у відповідність із новим положенням.

• Каталог Active Directory дозволяє враховувати набагато понад про «єктів користувачів, ніж реєстр. Розмір одного домену уже не обмежений продуктивністю серверу, що зберігає облікові записи. Дерево заговорили українською у «язаних між собою доменів Windows NT може підгримувати великі й складні організаційні структури.

• Адміністрування облікової інформації розширене за рахунок графічних коштів управління Active Directory, а й за рахунок підтримки OLE DS в мовах сценаріїв. Загальні задачі адміністрування можуть бути вирішені у вигляді сценаріїв, що дозволяє автоматизувати їхнього виконання.

• Служба тиражування каталогів дає можливість матір декілька списів облікової інформації, причому оновлюватися ця інформація може в будь-якій копії, а чи не лише на виділених первинних контроллерах домену. Протокол LDAP й синхронізація каталогів забезпечують механізми зв «язку каталогу Windows NT із іншими каталоги на підприємстві.

Зберігання облікової інформації в Active Directory означає, що користувачі й групи представлені у вигляді про «єктів каталогу. Права на читання й запис можуть бути наданіі окремим особам, як по відношенню до всього про «єкта цілком, то й по відношенню до окремих його властивостей. Адміністратори можуть точно задавати, хто саме правомочний модифікувати інформацію про користувачів, й якої саме. Наприклад, оператору телефонної служби дозволяється змінювати інформацію про телефонні номери користувачів, але й при цьому він не володіє привілеями системного оператора чи адміністратора.

Поняття груп спростилося, й місце локальних й глобальних груп тепер займають просто про «єкти гpynn. З їхнього допомогою можна управляти як доступом до ресурсів в масштабі всього домену, то й до локальних ресурсів контролера домена.

Між Active Directory й службами безпеки Windows NT існують фундаментальні відносини. У Active Directory зберігаються правила безпеки домену, що визначають порядок використання системи (обмеження паролів, обмеження на доступ до системи й інш.). Про «єкти каталогу, що відносяться до безпеки, повинні бути захищені від несанкціонованого доступу. У Windows NT реалізована про «єктна модель безпеки й контролю за доступом до всіх про «єктів в каталозі Active Directory. У шкірного про «єкта є свій унікальний дескриптор захисту, що визначає дозволи на читання чи оновлення властивостей про «єкта.

Для визначення прав даного клієнта прочитувати чи модифікувати певний про «єкт в Active Directory служити імперсонація й верифікація доступу Windows NT. Іншими словами, при надходженні LDAP-запита від клієнта доступ до про «єктів каталогу контролюється операційною системою, а чи не службою каталогів Active Directory.

Модель безпеки Windows NT забезпечує однорідний й уніфікований механізм контролю за доступом до ресурсів домену на основі членством групах. Компоненти безпеки Windows NT довіряють інформації, що зберігається в каталозі про захист. Наприклад, сервіс аутентификація Windows NT зберігає зашифровані паролі користувачів в безпечній частині каталогу про «єктів користувача. За замовчанням операційна система «вважає», що правила безпеки захищені й не можуть бути змінені будь-ким несанкціоновано. Загальна політика безпеки домену також зберігається в каталозі Active Directory.

Довірчі відносини між доменами.

У Windows NT 5.0 домени можуть бути організовані у вигляді ієрархічних дерев. Між доменами встановлюються довірчі відносини, Підтримуються два види таких відносин:

• явні однонаправлені довірчі відносини із доменами Windows NT 4.0;

• двосторонні транзитивні довірчі відносини між всіма доменами, що входять в дерево.

Явні відносини довір «я встановлюються не лише із доменами старого типу, але й й до того випадку, коли неявні двосторонні відносини не придатні для використання: наприклад, для домену фінансового відділення чи бухгалтерії. Встановлення явних односторонніх довірчих відносин автоматично відміняє неявні довірчі відносини Kerberos.

Проте, у великій організації явні односторонні відносини потрібні не це теж часто. Неявні двосторонні довірчі відносини значно полегшують управління обліковими записами із декількох доменів, оскільки усі домени в дереві неявно довіряють один одному.

Делегування адміністративних повноважень.

Делегування адміністративних повноважень — гнучкий інструмент обмеження адміністративної діяльності рамками частини домену. Цей метод дозволяє надати окремим співробітникам можливість управління користувачами чи групами в заданих межах й, у тій годину, не дає їм прав на управління обліковими записами, що відносяться до інших підрозділів.

Права на визначення нових користувачів чи створення груп користувачів делегуються на рівні OU чи контейнера, в якому створений обліковий запис. Адміністратори груп однієї організаційної одиниці не завжди мають можливість створювати облікові записи саме його домену, що відносяться до іншої організаційної одиниці чи управляти ними. Однак доменні правила й права доступу, визначені на более високих рівнях каталогу, можуть бути застосовані з дерева за допомогою механізму успадкування.

Існує три способи делегування адміністративних повноважень:

• на зміну властивостей певного контейнера, наприклад, LocalDomainPolicies самого домена;

• на створення й видалення дочірніх про «єктів певного типу (користувачі, групи, принтери й ін.) всередині OU;

• на оновлення певних властивостей деяких дочірніх про «єктів всередині OU (наприклад, право встановлювати пароль для про «єктів типу User).

Делегувати повноваження просто. Досить вибрати особу, якій будуть делеговані повноваження, й указати, котрі саме повноваження передаються. Інтерфейс програми адміністрування Active Directory дозволяє без ускладнень переглядати інформацію про делегування, визначену для контейнерів.

Детальне призначення прав доступу.

Звичайно у великій організації за забезпечення безпеки й підтримки інфраструктури мережі відповідають декілька Чоловік чи груп. Отже, винна існувати можливість надавати таким особам чи групам права на виконання певних операцій без права створення додаткових облікових записів й впливу на властивості інших облікових записів.

Архітектурою безпеки про «єктів Active Directory використовуються дескриптори захисту Windows NT для контролю за доступом до про «єктів. Кожний про «єкт в каталозі має унікальний дескриптор захисту. Вхідний в дескриптор список контролю доступу ACL (Access Control List), містить рядки, що визначають дозвіл чи заборону на певні види доступу для окремих осіб чи груп. Права доступу можуть бути наданіі чи заборонені в різній мірі. Існують рівні прав доступу, що розрізнюються застосуванням до:

• про «єкту загалом (при цьому зачіпаються усі властивості про «єкта);

• групі властивостей, визначеній наборами властивостей всередині про «єкта;

• окремій властивості про «єкта.

За умовчанням доступ для читання й запису до всіх властивостей про «єкта отримує творець про «єкта.

Заборона чи надання доступу до групи властивостей зручна для визначення родинних властивостей. Групування властивостей виконується відповідним атрибутом властивості в схемі. Взаємовідносини наборів властивостей можна змінювати, модифікуючи схему.

Нарешті, призначення прав доступу до окремих властивостей являє собою найвищий рівень деталізування, застосовний до всіх про «єктів Active Directory.

Контейнерні про «єкти в каталозі також підтримують детализація доступу, регламентуючи, хто має право створювати дочірні про «єкти й якого типу. Наприклад, правило доступу, визначене на рівні організаційної одиниці, може визначати, хто має право створювати про «єкти типу User (користувачі) в цьому контейнері. Інше правило в цієї ж OU може визначати, хто має право створювати про «єкти типу Printer.

Успадкування прав доступу.

Успадкування прав доступу означає, що інформація про управління доступом, визначена у вищих кулях контейнерів в каталозі, розповсюджується нижче на вкладені контейнери й про «єкти-листя. Існують дві моделі успадкування прав доступу: динамічна й статична. При динамічному успадкуванні права визначаються шляхом оцінки дозволів на доступ, призначених безпосередньо для про «єкта, а всіх батьківських про «єктів в каталозі. Це дозволяє ефективно управляти доступом до частини дерева каталогу, вносячи зміни в контейнер, що впливає на усі вкладені контейнери й про «єкти-листя. Зворотна сторона такої гнучкості недостатньо висока продуктивність за годину визначення ефективних прав доступу при запиті користувача.

У Windows NT реалізована статична форма успадкування прав доступу, іноді також кликана успадкуванням в останній момент створення. Інформація про управління доступом до контейнера розповсюджується на усі вкладені про «єкти контейнера. При створенні нового про «єкта успадковані права зливаються із правами доступу, що призначаються за умовчанням. Будь-які зміни успадкованих прав доступу, дерева, що виконуються надалі на вищих рівнях, повинні розповсюджуватися на усі дочірні про «єкти. Нові успадковані права доступу розповсюджуються на про «єкти Active Directory відповідно доти, як ці нові права визначені. Статична модель успадкування дозволяє збільшити продуктивність.

Аудит.

Аудит одне із засобів захисту мережі Windows NT. З його допомогою можна відстежувати дії користувачів й ряд системних подій в мережі. Фіксуються наступні параметри, що стосуються дій, що здійснюються користувачами: 1. виконана дія; 2. ім «я користувача, що виконав дію; 3. дата й годину виконання.

Аудит, реалізований на одному контроллері домену, розповсюджується на усі контроллери домену. Налаштування аудиту дозволяє вибрати типи подій, що підлягають реєстрації, й визначити, котрі саме параметри будуть реєструватися.

У мережах із мінімальним вимогам до безпеки піддавайте аудиту: 4. успішне використання ресурсів, лише до того випадку, якщо ця інформація вам необхідна для планування; 5. успішне використання важливої й конфіденційної інформації.

У мережах зі середніми вимогами до безпеки піддавайте аудиту: 6. успішне використання важливих ресурсів; 7. вдалі й невдалі спроби зміни стратегії безпеки й адміністративної політики; 8. успішне використання важливої й конфіденційної інформації.

У мережах із високими вимогами до безпеки піддавайте аудиту: 9. вдалі й невдалі спроби реєстрації користувачів; 10. вдале й невдале використання будь-яких ресурсів; 11. вдалі й невдалі спроби зміни стратегії безпеки й адміністративної політики.

Аудит приводити до додаткового навантаження на систему, тому реєструйте лише події, що дійсно представляють інтерес.

Windows NT записує події у трьох журнали: 12. Системний журнал (system log) містить повідомлення про помилки, попередження й іншу інформацію, вихідну від операційної системи й компонентів сторонніх виробників. Список подій, що реєструються в цьому журналі, приречений операційною системою й компонентами сторонніх виробників й не може бути змінений користувачем. Журнал знаходиться в файлі Sysevent.evt. 13. Журнал безпеки (Security Log) містить інформацію про успішні й невдалі спроби виконання дій, що реєструються засобами аудиту. Події, що реєструються в цьому журналі, визначаються заданою вами стратегією аудиту. Журнал знаходиться в файлі Secevent.evt. 14. Журнал додатків (Application Log) містить повідомлення про помилки, попередження й іншу інформацію, що видається різними додатками. Список подій, що реєструються в цьому журналі, визначається розробниками додатків. Журнал знаходиться в файлі Appevent.evt.

Всі журнали розміщені в папці %Systemroot%System32Config.

ЕЛЕМЕНТИ БЕЗПЕКИ СИСТЕМИ Windows NT.

Облікові записи користувачів й груп.

Будь-який користувач Windows NT характеризується певним обліковим записом. Під обліковим записом розуміється сукупність прав й додаткових параметрів, асоційованих із певним користувачем. Крім того, користувач належить до однієї чи декільком групам. Приналежність до групи дозволяє швидко й ефективно призначати права доступу й повноваження.

Так саме, як й в попередніх версіях Windows NT, у версії 5.0 є декілька вбудованих облікових записів користувачів й груп. Ці облікові записи наділені певними повноваженнями й можуть використовуватися як основа для нових облікових записів,.

До вбудованих облікових записів користувачів відносяться:

• Guest обліковий запис, фіксуючий мінімальні привілеї гостя;

• Administrator вбудований обліковий запис для користувачів, наділених максимальними привілеями;

• Krbtgt вбудований обліковий запис, що використовується при початковій аутентификація Kerberos.

Крім них є два приховані вбудовані облікові записи:

• System обліковий запис, що використовується операційною системою;

• Creator owner творець (файла чи каталога).

Перерахуємо вбудовані групи:

• локальні (залишені для сумісності).

Account operators;

Administrators;

Backup operators;

Guests;

Print operators;

Replicator;

Server operators;

Users;

• й глобальні.

Domain guests гості домена;

Domain Users користувачі домена;

Domain Admins адміністратори домена.

Крім цих вбудованих груп є ще ряд спеціальних груп:

• Everyone в цю групу за умовчанням включаються взагалі усі користувачі в системі;

• Authenticated users в цю групу включаються лише аутентифицированние користувачі домена;

• Self сам про «єкт.

Домени Windows NT.

Управління доменами здійснюється за допомогою адміністративної консолі DNS. Ві можете визначити зони, прописати повністю певні імена, включити в домени комп «ютери й т. п.

як уже вказувалося, домени про «єднуються в дерева. Для перегляду дерева доменів використовується спеціальний зліпок консолі управління (domain.msc), звань Domain Tree Management.

Встановлення довірчих відносин явного типу нічим не відрізняється від того, що застосовувався в попередніх версіях: у верхній список заносяться імена доменів, яким довіряє даний домен; а нижній імена доменів, котрі можуть йому довіряти.

як уже вказувалося, ці довірчі відносини є значення задавати лише тоді, коли двостороннє транзитивне довір «я Kerberos, що встановлюється за умовчанням, не відповідає безпеці; а й у разі зв «язку між кореневими доменами дерев в лісі.

Домени можуть працювати в двох режимах: «рідному» (native) й змішаному (mixed). При роботі в змішаному режимі в домен можуть входити як контроллери доменів, на які встановлена версія Windows NT 5.0, то й із более ранніми версіями.

«Рідний» режим роботи допускає включення в домен лише контроллерів домену із Windows NT 5.0. У цьому режимі із «являється можливість створення вложенных груп, а також междоменного членством групі.

Інформація про домені являє собою набір властивостей доменного про «єкта. Серед властивостей є обов «язкові, наприклад, ім «я домену. А вісь інформація про адміністратора домену — необов «язкова. З точки зору забезпечення працездатності вон не має ніякого значення й тому цілком може бути опущене. Однак передбачимо, що Ві бажаєте знайти в дереві всю домени, якими управляє адміністратор Петров. Якщо інформація, показано на малюнку, не був введена завчасно, то поставили завдання зможе бути виправлена лише шляхом особистого звернення до адміністратора Петрову.

Ос-кільки домен є контейнерним про «єктом каталогу Active Directory, до нього застосовні тих ж сам види доступу, що й до будь-якого контейнера: повний доступ, читання, запис, створення й видалення дочірніх про «єктів.

Локальна політика безпеки.

Локальна політика безпеки регламентує правила безпеки на локального комп «ютері. З її допомогою можна розподілити адміністративні ролі, конкретизувати привілеї користувачів, призначити правила аудиту.

У порівнянні із можливостями аудиту, що були в Windows NT 4.0, в нової версії ОС доданий аудит ще двох категорій подій. Це специфічні події, заговорили українською у «язані із доступом до служби каталогів Active Directory, й події, що відносяться до аутентификація Kerberos. Доступний роздільний аудит успішних й неуспішних подій.

Доменна політика.

Доменна політика встановлює правила для всіх облікових записів в домені, торкаючись такі сфери, як правила паролів, блокування облікових записів, вибір уповноважених безпеці, Kerberos-правила й т. буд. У першої бети-версії реалізовані лише правила паролів й блокування облікових записів. По своїх можливостях смердоті практично не відрізняються від правил попередньої версії Windows NT.

Якщо пароль користувача довгий годину незмінний, захищеність системи від несанкціонованого доступу значно знижується. Саме тому система винна примушувати користувача до періодичної зміни пароля. Політика ведення облікових записів дозволяє задати певний термін дії пароля в межах від 1 до 999 днів чи призначити пароль постійним. За умовчанням тривалість дії пароля 42 дні.

Якщо адміністратор поставивши параметр Password never expires для конкретного користувача, тієї може не міняти пароль. Алі така практика рекомендується лише для службових облікових записів, від імені які виконуються сервіси в системі.

За умовчанням довжина пароля користувача варіюється від 0 до 14 символів. Зрозуміло, що при підвищених вимогах до захищеності системи пустий пароль неприпустимо. У цьому випадку адміністратор системи призначає мінімальну довжину пароля. Створюючи новий обліковий запис для користувача, адміністратор може указати пароль довільної довжини, незалежно від обмеження, заданого політикою ведення облікових записів. Однак якщо пароль змінюється користувачем после реєстрації в системі, то параметри нового пароля повинні точно відповідати політиці ведення облікових записів.

Обмеження мінімально можливого терміну зміни пароля користувачем доцільне, наприклад, якщо в системі працює багато починаючих користувачів. По-перше, певний термін дає користувачам, що недавно познайомилися із Windows NT, можливість звикнути до особливостей захищеної роботи й пересвідчитися в необхідності пам «ятати свій пароль. По-друге, починаючий користувач, змінивши после закінчення терміну дії пароль, може захотіти повернутися до колишнього. Алі зробити це й ослабити таким чином захищеність системи не дозволити примусова затримка. Це особливо ефективного, якщо встановити параметр відстеження унікальності пароля.

Мінімальний період для дозволу зміни пароля варіюється в межах від 1 до 999 днів. За умовчанням він не обмежується. Звичайно, досить встановити 14 днів.

Редактор конфігурацій безпеки.

Однак при автоматичній установці операційних систем на велике число комп «ютерів, при адмініструванні великих корпоративних мереж усі ці інструменти, Незважаючи зважується на власну корисність, стають недостатньо ефективними, що загалом приводити до підвищення вартості адміністрування. Для роботи в таких умовах необхідний принципово інший метод, що про «єднує в собі можливості всіх згаданих інструментів. Тільки так можна гарантувати ефективну політику безпеки й контроль захисту в масштабах великого підприємства.

У ролі такого інструмента успішно виступає редактор конфігурацій безпеки. Питання, заговорили українською у «язані з забезпеченням безпеки, можна умовно розділити на декілька областей. Microsoft ідентифікував й представивши в редакторі конфігурацій безпеки лише деякі області, що ані в якій мірі не обмежує Вас в ідентифікації й доданні в редактор нових областей.

За замовченням підтримуються наступні області безпеки:

• політика безпеки заподіяння різних атрибутів безпеки на локального й доменному рівнях; так саме охоплює деякі установки на машинному рівні;

• управління групами із обмеженнями дозволяє управляти членством в групах, котрі, на думку адміністратора, «чутливі» із точки зору безпеки системи;

• управління правами й привілеями дозволяє редагувати список користувачів й їхнього специфічних прав й привілеїв;

• дерева про «єктів включають три області захисту: про «єкти каталогу Active Directory, ключі реєстру, локальну файлову систему; для шкірного про «єкта в дереві шаблони безпеки дозволяють конфігурувати й аналізувати характеристики дескрипторів захисту, включаючи власників про «єкта, списки контролю доступу й параметри аудиту;

• системні служби (мережеві чи локальні) побудовані відповідним чином дають можливість незалежним виробникам програмного забезпечення розширювати редактор конфігурацій безпеки для усунення специфічних проблем.

Функції редактора конфігурацій безпеки.

Редактор конфігурацій безпеки зліпок консолі управління ММС. Розглянемо його основні функції.

• Визначення шаблонів конфігурацій безпеки. Якщо Ві прагнете забезпечити безпечу в масштабах підприємства, що нараховує сотні чи тисячі комп «ютерів, найкраще скористатися шаблонами замість індивідуальної настройки кожної машини. Передбачимо, що усі комп «ютери можуть матір десять різних варіантів настройки параметрів захисту. У такому випадку, зручно зробити десять шаблонів, кожний із які якщо відповідати своєму варіанту захисту, й застосовувати ці шаблони відповідно до потреб. Колі Ві застосовуєте шаблон, в реєстр комп «ютера вносяться зміни, котрі й визначають настройки системи безпеки. Шаблони безпеки в Windows NT це текстові файли, формат які схожий на формат inf-файлів. У окремих секціях описуються різні параметри безпеки. При завантаженні файла в редактор конфігурацій ці параметри відображаються в зручному для аналізу й редагування вигляді. Редактор також дозволяє створювати нові файли-шаблони.

• Конфігурування системної безпеки. Для конфігурування параметрів системної безпеки можна чи вибрати відповідну команду в меню завантаженого зліпка (що приведе до запису параметрів із шаблону в реєстр), чи скористатися версією редактора, що виконується із командного рядка. При іншому варіанті виклик редактора можна вбудувати в адміністративний сценарій, який якщо виконаний чи негайний, чи в будь-який зручний для Вас час.

• Аналіз системної безпеки. Аналіз параметрів, порівняння їхнього з заданими, що забезпечують певний рівень захисту, не менш важливий, ніж власне настроювання. Так було в Windows NT Resource Kit 4.0 входити утиліта, що дозволяє на основі аналізу настройок системи робити висновок про відповідність захисту рівню С2. Редактор конфігурацій безпеки дає можливість порівнювати настройки із шаблоном. Виконується ця операція чи за допомогою відповідної команди меню редактора, чи запуском із командного рядка.

• Перегляд результатів аналізу. Редактор дозволяє переглядати результати порівняння існуючої конфігурації із шаблонною, до того числі із використанням виразних графічних коштів.

———————————;

NETBEUI.

Клiєнт Microsoft.

IPX/SPX.

Клiєнт Novell.

розмiщення системних файлiв назва файлу, що iмпортується.