Описание функционирования системы

 

    Так как серверы должны работать под управлением ОС Windows Server 2003, то настройки этой системы имеют большую важность. Кроме того, в данном разделе описаны функции применяемых аппаратных и программных средств безомпасности.

 

 

6.1 Настройки и функционирование ОС

Управление системными службами.

Службы предоставляют ключевые функции системам Windows Server 2003. Для управления системными службами предназначена программа Службы (Services) из консоли Управление компьютером (Computer Management).

Основные поля окна узела Службы:

- Имя (Name) — имя службы. Здесь перечислены только службы, установленные в системе.

- Описание (Description) — краткое описание службы и ее назначения;

- Состояние (Status) — состояние службы: работает, приостановлена или остановлена (для остановленных служб этот столбец пуст);

- Тип запуска (Startup Type) — параметры запуска службы. Автоматические службы запускаются при загрузке системы. Ручные службы запускаются пользователями или другими службами. Отключенные службы не запускаются, пока не будут включены.

- Вход от имени (Log On As) — учетная запись, под которой служба входит в систему. Обычно по умолчанию используется локальная учетная запись системы.

В расширенном представлении помимо списка служб приводятся также гиперссылки для управления ими: Запустить (Start), Перезапустить (Restart), Остановить (Stop).

Настройка входа службы в систему. Службу Windows Server 2003 можно настроить на вход в систему с учетной записью системы или конкретного пользователя. Администратор должен пристально следить завсеми учетными записями, которые используются службами.При неправильном конфигурировании эти учетные записимогут стать источником серьезных проблем с безопасностью. Учетным записям служб следует назначать лишь те права, которыенеобходимы им для работы; во всем остальном их следуетограничить строжайшим образом.

Настройка восстановления службы. В Windows Server 2003 можно задать действие, которое будет выполняться в случае сбоя службы, например запуск приложения или попытку перезапуска службы. Возможны следующие варианты восстановления:

- Не выполнять никаких действий (Take No Action) — при сбое ОС не будет делать ничего, но это не означает, что при последующих или предыдущих сбоях также не были или не будут предприняты какие-либо действия;

- Перезапуск службы (Restart the Service) — служба будет остановлена, а затем после небольшой паузы запущена снова;

- Запуск программы (Run a File) — в случае неудачного запуска службы будет запущена программа, командный файл или сценарий Windows.

- Перезагрузка компьютера (Reboot the Computer) — компьютер будет выключен и включен снова.

Управление приложениями и процессами.

При запуске приложения или вводе команды в командной строке Windows Server 2003 начинает один или несколько процессов. Обычно процессы, запускаемые таким образом (с помощью клавиатуры или мыши), называются интерактивными (interactive). Интерактивный процесс, соответствующий приложению или программе, управляет клавиатурой и мышью, пока работа приложения не будет завершена. Процесс, осуществляющий такое управление, называется активным (foreground). Процессы могут быть фоновыми (background). Для процесса, запущенного пользователем, это означает, что он продолжает работу, но, как правило, не обладает тем же приоритетом, что активный процесс. Фоновые процессы можно настроить на работу независимо от сеанса пользователя; такие процессы обычно запускает ОС независимо от того, какой пользователь авторизовался в системе.

Диспетчер задач (Task Manager). Это основной инструмент управления системными процессами и приложениями. На вкладке Приложения (Applications) показан статус программ, работающих в данный момент в системе. Кнопки в нижней части вкладки предназначены для выполнения следующих действий.

Остановка работы приложения — кнопка «Снять задачу» (End Task).

Переход к приложению – кнопка «Переключится» (Switch To).

Запуск новой программы — кнопка Новая задача(New Task). (функционально аналогична команде Выполнить (Run)).

На вкладке «Приложения» (Applications) отображается статус программ, работающих системе. Статус «Не отвечает» (Not Responding) свидетельствует, что приложение, вероятно, «зависло» и нужно завершить связанные с ним процессы. Однако некоторые приложения не отвечают на запросы ОС в ходе выполнения интенсивных расчетов. Поэтому, прежде чем закрыть приложение, следует убедиться, что оно действительно «зависло». Контекстное меню списка приложений позволяет:

• переходить к приложению и делать его активным;

• переводить приложение на передний план;

• сворачивать и восстанавливать приложение;

• изменять расположение окон приложений;

• закрывать приложение;

• выделять на вкладке Процессы (Processes) процесс, связанный с этим приложением. Команда «Перейти к процессу» (Go to process) полезна, когда требуется найти основной процесс для приложения, запустившего несколько процессов.

Подробная информация о выполняемых процессах отображается на

вкладке «Процессы» (Processes). По умолчанию там перечислены только процессы, запущенные ОС, локальными службами, сетевыми службами и интерактивным пользователем. Чтобы увидеть процессы, запущенные удаленными пользователями, например подключившимися с помощью удаленного рабочего стола, нужно установить флажок «Отображать процессы всех пользователей» (Show processes from all users). В полях на вкладке Процессы (Processes) содержится информация о выполняемых процессах. Она позволяет выявить те из них, что поглощают системные ресурсы, например процессорное время и память. По умолчанию отображаются следующие поля:

- Имя образа (Image Name) — имя процесса или исполняемого файла, запустившего процесс;

- Имя пользователя (User Name) — имя пользователя или системной службы, запустившей процесс;

- ЦП (CPU) — доля ресурсов ЦП, занимаемая данным процессом;

- Память (Mem Usage) - объем памяти, занятой процессом в данный момент. Кроме этого, можно добавить и другую информацию:

- Базовый приоритет (Base Priority) — мера объема системных ресурсов, выделенных процессу. Приоритеты: Низкий (Low), Ниже среднего (Below Normal), Средний (Normal), Выше среднего (Above Normal), Высокий (High) и Реального времени (Real-Time). Большинству процессов по умолчанию назначен средний приоритет. Наивысший приоритет назначается процессам реального времени.

- Время ЦП (CPU Time) — процессорное время, затраченное на выполнение процесса с момента его запуска. Позволяет найти процессы, на выполнение которых расходуется больше всего времени.

- Память — максимум (Peak Memory Usage) — максимальный объем памяти, использованной процессом. На разницу между этим параметром и текущим объемом памяти, занятой процессом, тоже следует обращать внимание. Некоторым приложениям в моменты пиковых нагрузок требуется гораздо больше памяти, чем при обычной работе.

 

 

6.1.1 Сетевые настройки

 

Типы сетевых подключений:

Тип подключения	Технология связи	Пример
Подключение к локальной сети (Local area connection)	Ethernet, xDSL, FDDI, IP no ATM, системы беспроводной связи, Е1/Т1 и т. п.	Типичный корпоративный пользователь
Телефонное, или коммутируемое, подключение (Dial-up connection)	Модем, ISDN, X.25	Соединение с корпоративной сетью или Интернетом с использованием модемного подключения
Подключение в рамках виртуальной частной сети (Virtual Private Network connection)	Виртуальные частные сети по протоколам РРТР или L2TP, объединяющие или Подключающие к корпоративным сетям через Интернет или другую сеть общего пользования (public network)	Защищенное соединение удаленных филиалов корпорации через Интернет
Прямое подключение (Direct Connection)	Соединение нуль-модемным кабелем через последовательный порт (СОМ-порт), инфракрасная связь, параллельный кабель (DirectParallel)	Соединение двух ноутбуков через интерфейсы инфракрасной связи
Входящее подключение (Incoming connection)	Коммутируемая связь, VPN или прямое подключение	Подключение к удаленному компьютеру или корпоративному серверу удаленного доступа

Из всех перечисленных в таблице типов только подключение к локальной сети создается системой автоматически. В процессе загрузки Windows Server 2003 автоматически обнаруживает установленные сетевые адаптеры и для каждого сетевого адаптера создает соответствующее сетевое подключение. В случае если на компьютере установлено более одного сетевого адаптера, администратор может устранить возможный беспорядок в именах подключений, переименовав каждое локальное подключение в соответствии с функциональным назначением или расположением сети, с которой это соединение связывает компьютер.

 

6.1.2 Группы пользователей

Учетные записи групп позволяют управлять привилегиями для нескольких пользователей. Можно создавать глобальные учетные записи групп в консоли Active Directory — пользователи и компьютеры (Active Directory Users and Computers), а локальные — в консоли Локальные пользователи и группы (Local Users and Groups).

Можно выделить следующие типы групп:

- Группы по отделам организации. Сотрудникам одного отдела обычно требуется доступ к одним и тем же ресурсам. Поэтому можно создавать группы для отделов.

- Группы по приложениям. Зачастую пользователям нужен доступ к одному приложению и ресурсам для этого приложения. Если берется за основу построения групп этот признак, нужно убедиться, что пользователи получают доступ к необходимым ресурсам и файлам приложения.

- Группы по должностям в организации. Группы можно организовать по должностям пользователей в организации. Так, руководству, вероятно, требуются ресурсы, к которым не обращаются простые пользователи.

Для настройки членства служит консоль Active Directory - пользователи и компьютеры (Active Directory Users and Computers).

Работая с группами, следует помнить, что:

- для всех новых пользователей домена основной является группа Пользователи домена (Domain Users), членами которой они становятся при создании их учетной записи;

- для всех новых рабочих станций и серверов домена основной является группа Компьютеры домена (Domain Computers), членами которой они становятся при создании их учетной записи;

- для всех новых контроллеров домена основной является группа Контроллеры домена (Domain Controllers), членами которой они становятся при создании их учетной записи.

Консоль Active Directory — пользователи и компьютеры

(Active Directory Users and Computers) позволяет:

- включать в группу индивидуальную учетную запись;

- включать в группу сразу несколько учетных записей;

- назначать основную группу для отдельных пользователей и компьютеров.

 

    В данном проекте используется три группы пользователей:

- администраторы – стандартная группа в Windows 2003 Server. Членом этой группы является администратор сети банка.

- кассиры – группа для кассиров банка. Кассиры имеют доступ к файловому серверу, серверу приложения и к части общих ресурсов. Кассиры не имеют доступа в глобальную сеть и не имеют прав на изменение настроек сети и серверов.

- сотрудники – учетная запись для обычных работников. Члены этой группы имеют доступ ко всем ресурсам в сети (приложению, файлам, глобальной сети), но не имеют прав на настройку.

 

6.1.3 Учетные записи пользователей

 

Учетная запись пользователя имеет отображаемое (или полное) имя (display name) и имя для входа (logon name). Первое видно на экране и применяется в сеансах пользователя. Второе необходимо для входа в домен.

Для учетных записей домена отображаемое имя обычно составляется из имени и фамилии пользователя. При этом должны соблюдаться следующие правила:

- локальное отображаемое имя должно быть уникальным на индивидуальном компьютере;

- доменные отображаемые имена должны быть уникальными во всем домене;

- отображаемые имена должны содержать не более 64 символов;

- отображаемые имена могут содержать буквенно-цифровые и специальные символы.

Имена для входа назначаются по таким правилам:

- Локальные имена для входа должны быть уникальными на индивидуальном компьютере, а глобальные имена для входа - во всем домене.

- Имена для входа могут содержать до 256 символов

- Имена для входа не могут содержать символов: = + * ? < >

Имена для входа могут содержать все другие специальные символы, включая пробелы, точки, тире и символы подчеркивания. Но вообще применение пробелов в именах учетных записей не рекомендуется.

Пароль — это чувствительная к регистру строка до 127 символов длиной для службы каталогов Active Directory и до 14 — для диспетчера безопасности Windows NT. В паролях можно применять буквы, цифры и спецсимволы, Windows Server 2003 сохраняет пароль в зашифрованном виде в базе данных учетных записей.

Политики паролей управляют безопасностью паролей и позволяют задать следующие параметры:

- Требовать неповторяемости паролей (Enforce password history);

- Максимальный срок действия пароля (Maximum password age);

- Минимальный срок действия пароля (Minimum password age);

- Минимальная длина пароля (Minimum password length);

- Пароль должен отвечать требованиям сложности (Password must meet complexity requirements);

- Хранить пароль, используя обратимое шифрование (Store password using reversible encryption).

 

В данном проекте применяется следующая политика именования учетных записей: имя учетной записи должно состоять из фамилии и инициалов сотрудника, разделенных знаком «_».

Для паролей действуют следующие настройки:

- неповторяемость

- минимальная длина пароля – 8 символов

- пароль должен отвечать требованиям сложности

Для каждого пользователя вместе с учетной записью на сервере создается домашняя папка, доступ к ней имеет только владелец этой учетной записи. Это необходимо для того, чтобы обеспечить хранение всех важных данных в одном месте – на сервере.

 

6.1.4 Управление файлами и папками.

 

Windows Server 2003 предоставляет мощные средства для работы с файлами и папками. В основе этих средств - файловая система Windows NT (Windows NT file system, NTFS) версий 4.0 и 5.0.

NTFS предлагает мощные средства для работы с файламии папками. Существуют две версии NTFS.

- NTFS 4.0 используется в Windows NT 4.0. Полностью поддерживает управление локальным и удаленным доступом к файлам и папкам, а также технологии сжатия Windows. Не поддерживает большую часть возможностей файловой системы Windows 2000 и Windows Server 2003.

- NTFS 5.0 применяется в Windows 2000 и Windows Server

2003. Полностью поддерживает такие возможности, как служба каталогов Active Directory, дисковые квоты, сжатие, шифрование и др. Эта система поддерживается полностью в Windows 2000 и Windows Server 2003 и частично — в Windows NT 4.0 SP4 или более поздних выпусках.

Соглашения Windows Server 2003 об именах применяются и к файлам, и к папкам. Допускается, чтобы имена файлов в Windows Server 2003 содержали и прописные, и строчные буквы, но это влияет только на их отображение. С точки зрения системы имена от регистра не зависят. И NTFS, и FAT32 поддерживают длинные имена файлов — до 255 символов. Допустимо в названиях файлов применять

почти все символы, включая пробелы, кроме: ? * / \ : - < > |. Однако пробелы в именах файлов иногда вызывают проблемы с доступом к ним. При ссылке на такой файл может понадобиться взять его имя в кавычки.

Windows Server 2003 создает сокращенное имя файла из длин-

ного по следующим правилам:

- все пробелы в имени файла удаляются;

- удаляются все точки в имени файла, кроме точки, отделяющей имя файла от его расширения;

- недопустимые по правилам именования файлов в MS-DOS символы заменяются символом подчеркивания;

- все оставшиеся символы переводятся в верхний регистр;

Затем применяются правила сокращения для создания стандартного имени файла MS-DOS. Для приведения к виду «8.3» имя файла и его расширение сокращаются, если это необходимо:

- расширение файла сокращается до первых трех символов;

- имя файла сокращается до первых 6 символов (это корневое имя файла), и добавляется уникальный указатель вида ~n, где n — номер файла с 6-символьным именем;

 

6.1.5 Общий доступ к данным

 

Общий доступ к данным позволяет удаленным пользователям обращаться к сетевым ресурсам: файлам, папкам и дискам. Управлять доступом к определенным файлам и вложенным папкам в общей папке можно только на разделах файловой системы NTFS. Разрешения безопасности относятся ко всем ресурсам разделов NTFS — файлам, папкам и объектам службы каталогов Active Directory. Обычно только администраторы имеют право управлять объектами Active Directory, но есть возможность делегировать эти полномочия другим пользователям, открыв им доступ к информации в Active Directory для просмотра и изменения. Разрешения для пользователей задаются в списках управления доступом.

Общие ресурсы открыты для доступа удаленных пользователей. Разрешения для общих папок не распространяются на пользователей, регистрирующихся локально на сервере или на рабочей станции, где расположены эти общие папки.

- Для предоставления удаленным пользователям доступа к файлам в своей сети служат стандартные разрешения доступа к папкам.

- Для предоставления удаленным пользователям доступа к файлам из Web применяется Web-доступ, реализуемый, только если на системе установлены службы Internet Information Services.

Просмотреть общие папки на локальном или удаленном компьютере можно с помощью консоли Управление компьютером (Computer Management). В панели сведений содержится следующая информация:

- Общий ресурс (Share Name) — имя общей папки;

- Путь к папке (Folder Path) — полный путь к папке на локальной системе;

- Тип (Туре) — тип компьютера, который может использовать этот ресурс;

- Количество клиентских подключений (# Client Connections)

— Количество клиентов, имеющих доступ к ресурсу в данный момент;

Создание общих папок. В Microsoft Windows Server 2003 предусмотрено два способа предоставления общего доступа: к локальным папкам через Проводник (Windows Explorer) или к локальным и удаленным папкамчерез консоль Управление компьютером (Computer Management).Консоль Управление компьютером (Computer Management)позволяет управлять общими ресурсами с любого компьютера сети. Для создания общих папок на Windows Server2003 необходимо быть членом группы Администраторы(Administrators) или Операторы сервера (Server Operators).

Windows Server 2003 позволяет настраивать параметры вновь созданных общих ресурсов:

- У всех пользователей доступ только для чтения (All users have read-only access) — пользователи могут только просматривать файлы. Создавать, изменять или удалять файлы и папки им не разрешается;

- Администраторы имеют полный доступ, остальные — доступ только для чтения (Administrators have full access; other users have read-only access) — администраторы могут создавать, изменять и удалять файлы и папки, а на томах NTFS также назначать разрешения и становиться владельцами файлов и папок. Другие пользователи могут только просматривать файлы. Создавать, изменять или удалять файлы и папки им не разрешается;

- Администраторы имеют полный доступ, остальные — доступ для чтения и записи (Administrators have full access; other users have read and write access) - администраторам доступны все возможные действия с файлами и папками. Другие пользователи имеют право создавать, изменять или удалять файлы и папки;

- Использовать особые права доступа к обшей папке (Use custom share and folder permissions) — позволяет настраивать доступ для конкретных пользователей и групп.

Создав общий ресурс, предназначенный для всех пользователей сети, его следует опубликовать в Active Directory. Это облегчит пользователям поиск ресурса.

Отдельным папкам можно сопоставить несколько ресурсов общего доступа, причем каждый может иметь свое имя и набор разрешений доступа.

Файловая система NTFS позволяет настраивать разрешения доступа к общим ресурсам пользователям и группам. Возможные права для пользователей:

- Нет доступа (No Access) — доступ к ресурсу запрещен.

- Чтение (Read) — с этим разрешением пользователь может:

- видеть имена файлов и папок;

- иметь доступ к подпапкам общего ресурса;

- читать данные и атрибуты файлов;

- запускать на выполнение программы.

- Изменение (Change) — пользователям разрешено читать данные из папки, а также:

- создавать файлы и подпапки;

- изменять файлы;

- изменять атрибуты файлов и подпапок;

- удалять файлы и подпапки.

- Полный доступ (Full Control) — пользователи имеют разрешения на чтение и изменение, а также дополнительно получают возможность: изменять разрешения доступа к файлам и папкам; становиться владельцами файлов и папок.

Управление специальными ресурсами. ОС автоматически создает специальные ресурсы. Их также называют административными (administrative) и скрытыми (hidden). Эти ресурсы облегчают системное администрирование. Невозможно настроить разрешения доступа к автоматически создаваемым специальным ресурсам — ОС назначает их сама. Но эти ресурсы можно удалить, если какие-то из них не нужны.

Специальные ресурсы нужно смонтировать с помощью подключения сетевого диска, для этого понадобится учетная запись администратора.

Просмотр сеансов пользователей и компьютеров. Консоль Управление компьютером (Computer Management)помогает отследить все подключения к общим ресурсам в системе Windows Server 2003. Узел Сеансы (Sessions) дает важную информацию о подключениях пользователей и компьютеров:

- Пользователь (User) — имена пользователей/компьютеров, подключенных к общим ресурсам; имена компьютеров показаны с суффиксом «$», чтобы отличить их от имен пользователей;

- Компьютер (Computer) — имя компьютера;

- Тип (Туре) — тип используемого сетевого подключения;

- Количество открытых файлов (Open Files) — количество файлов, с которыми пользователь активно работает;

- Время подсоединения (Connected Time) — время, прошедшее с начала соединения;

- Время простоя (Idle Time) — время, прошедшее с момента, когда соединение использовалось в последний раз;

- Гость (Guest) — регистрировался ли пользователь как гость.

В нашей сети должна быть создана одна общая папка. Пользователи имеют право читать и изменять файлы в этой папке. Общая папка сделана для обмена информацией между сотрудниками.

 

6.2 Описание работы средств безопасности

 

Основным аппаратным средством безопасности является аппаратный файервол, встроенный в ADSL-модем фирмы ZyXel.

Еще одним важным средством безопасности от сбоев является аппаратный RAID-массив, т. е. избыточный массив независимых дисков (redundant array of independent disks, RAID) позволяет защитить данные, а порой и увеличить производительность дисков. Можно настроить RAID-массивы для работы с дисками следующих типов — зеркальными, чередующимися и чередующимися с контролем четности.

Важные данные требуют повышенной защиты от сбоев дисков.

Для этого можно использовать технологию RAID, которая повышает отказоустойчивость системы за счет создания избыточных копий данных, а также позволяет увеличить производительность дисков.

Доступны разные реализации технологии RAID, описываемые уровнями. В настоящее время определены уровни от 0 до 5. Каждый обладает своими особенностями. В Windows Server 2003 поддерживаются уровни 0, 1 и 5:

• RAID 0 позволяет увеличить производительность дисков;

• RAID 1 и 5 повышают отказоустойчивость.

RAID 0 - Чередование дисков. Два или более томов, каждый на отдельном накопителе, сконфигурированы как чередующийся набор. Данные разбиваются на блоки, называемые полосами, и последовательно записываются на все диски набора. Главные преимущества – скорость и производительность.

RAID 1 - Зеркальное отображение дисков. Два тома на двух дисках идентичны. Данные записываются на оба диска. Если один из накопителей отказывает, данные не теряются, так как второй диск содержит их копию. Главное преимущество – отказоустойчивость.

RAID 5 – Чередование дисков с использованием контроля четности. Использует три или более томов, каждый на отдельном накопителе, для создания чередующегося набора с контролем ошибок но четности. При сбое данные могут быть восстановлены. Главные преимущества - отказоустойчивость с меньшими затратами, чем при зеркальном отображении, быстрое чтение по сравнению с зеркальным отображением.

В данном проекте планируется применение зеркалиных RAID-массивов.

Заключение

 

В данной работе разработана малая локальная сеть, сильными сторонами которой являются высокая степень безопасности от вторжений, а также от сбоев. Для этого были реализованы следующие решения:

- резервный сервер

- зеркальное копирование данных

- средства шифрования

 

Из стандартных задач, выполнены следующие:

- построен сервер приложения

- построен файловый сервер

- обеспечена возможность доступа в Internet