7. (III) Windows 98 i Windows NT- zdalny dostęp
Windows NT:
RAS (Remote Access Services) – usługa zapewniająca zdalny dostęp.
W NT Workstation istnieje ograniczenie do jednego portu, a w wersji “Server” do 256 portów. Każdy port może być skonfigurowany tak aby obsługiwać tylko połączenia wychodzące, przychodzące lub oba rodzaje.
RAS umożliwia dostęp do zasobów za pomocą protokołów TCP/IP, IPX i NetBEUI.
Serwer RAS w Windows NT 3.5x i 4.0 standardowo posługuje się grupą protokołów PPP (Point-to-Point Protocol), możliwe jest również obsługiwanie protokołu “Microsoft RAS protocol”, który wymaga używania NetBEUI jako protokołu sieciowego. W przypadku korzystania z TCP/IP możliwe jest dynamiczne przyznawanie adresów IP poprzez DHCP lub ze statycznie ustalonego zakresu adresów. Do zarządzania serwerem RAS służy program Remote Access Admin, może on nie tylko zarządzać serwerem RAS na komputerze na którym został uruchomiony ale również na dowolnym komputerze w sieci (również na komputerach przyłączonych poprzez RAS).
Remote Access Admin umożliwia: startowanie i zatrzymywanie usług RAS, nadawanie i odbieranie użytkownikom praw do zdalnego dostępu, przerywanie połączeń, wysyłanie komunikatów do przyłączonych użytkowników, monitorowanie aktualnego stanu połączeń RAS, dostarcza szczegółowych informacji na temat połączeń aktywnych w tym: nazwy przyłączonego użytkownika, ilości przesłanych danych, stopnia kompresji danych, adresów sieciowych przyznanych użytkownikowi itp. Możliwa jest konfiguracja sposobu odpowiedzi systemu na połączenie dla każdego użytkownika. Oferuje usługę Call Back, polegającą na tym, że w momencie zgłoszenia się użytkownika poprzez RAS, system rozłącza się a następnie sam nawiązuje połączenie z numerem telefonu przypisanym do danej nazwy użytkownika lub z numerem podanym przez użytkownika (ta ostatnia możliwość może być zablokowana). Od wersji Windows 4.0 możliwe jest korzystanie z nowego protokołu połaczeniowego PPTP (Point-To-Point Tunneling Protocol).
Windows 9x:
Dial-Up Networking – rozszerzenie systemu komunikacyjnego w Windows 9x, które pozwala na zdalny dostęp, pozwala na konfigurowanie komputera jako klienta zdalnego dostępu (dial-up client) lub jako serwera komunikacyjnego (dial-up server).
Komputer, na którym pracują Windows 9x skonfigurowany jako dial-up client, może dokonywać połączenia z innymi serwerami komunikacyjnymi: Windows 9x dial-up server,Windows NT Workstation, Windows NT 3.1 i 3.5, Windows for Workgroups, NetWare Connect, Shiva LanRover,dowolny serwer UNIX-owy operujący protokołem SLIP lub PPP.
Do komunikacji z serwerem komunikacyjnym, dial-up client może wykorzystywać jeden z protokołów połączeniowy: Point-to-Point Protocol (PPP), Novell NetWare Connect, Windows NT 3.1 lub Windows for Workgroups RAS, Serial Line Internet Protocol (SLIP). Po połączeniu się przy pomocy PPP mamy możliwość korzystania z następujących protokołów sieciowych: TCP/IP, IPX/SPX, NetBEUI.
Serwer komunikacyjny stworzony przy użyciu Dial-Up Networking w Windows 9x charakteryzuje się następującymi cechami: nie jest routerem IP, pozwala tylko na jedno, w danej chwili, zdalne połączenie mimo dostępnych kilku modemów, potrafi przyjąć zgłoszenia od następujących klientów zdalnego dostępu: Windows 9x dial-up client, Windows for Workgroups, Windows 3.1 RAS client, dowolnego innego, używającego protokołu PPP.
Weryfikacja dostępu odbywa się w Windows 9x na dwu poziomach, w zależności od używania jednego z nich mamy różne możliwości zabezpieczania danych i nadawania praw do zdalnego dostępu. Pierwszy to: share-level – na tym poziomie zabezpieczeń mamy możliwość ochrony dostępu do Dial-Up servera hasłem. Drugi: user-level – weryfikacja dostępu do Dial-Up server-a odbywa się w oparciu o serwer Windows NT lub NetWare.
(Moduł 12) Windows 2000 – zarzadzanie dyskami:
Typy dysków:
a) dyski„BASIC”: domyślny typ dysku dla Win2k, można go podzielić na 4 partycje „primary” lub na 3 partycje „primary” i jedną typu „extended” (tą z kolei na dyski logiczne). Do partycji wolumeny można przyporządkować literę dysku lub punkt montowania. Ten typ jest kompatybilny z wolumenami , „stripe sets” i RAID-5 z NT 4.0. Nie można utworzyć pod Win2k nowych wolumenów, „stripe sets”, i RAID-5 na dyskach typu „basic”. Trzeba zrobić upgrade do dysku dynamicznego. Mimo upgrade`u do dysku dynamicznego można dalej odczytywać wcześniej istniejące wolumeny , „stripe sets” i RAID-5 z NT 4.0. Gdy tworzy się partycje trzeba pamiętać o pozostawieniu 1MB wolnego by w przyszłości można było zamienić dysk „basic” na dynamiczny.
b) dyski dynamiczne: nie mają partycji ale wolumeny (można do nich przyporządkować literę dysku lub punkt montowania), wolumeny mogą być rozszerzone tak, by zawierały nieciągłe obszary pamięci na wszystkich dostępnych dyskach, nie ma limitu liczby wolumenów na dysku, Win2k przechowuje powielone inf. konfiguracyjne o dyskach na wszystkich dyskach a nie w rejestrach, więc w przypadku awarii dysku pozostałe są nienaruszone. Dyski „wyjmowalne” nie mogą być dyskami dynamicznymi, poniewać muszą mieć partycję „primary”. Nie można zamienić dysku dynamicznego na „basic” bez utraty danych.
Typy wolumenów na dyskach dynamicznych:
– wolumen – obejmuje przestrzeń dyskową z jednego dysku,
– „striped volume” – jest połączeniem wolnej przestrzeni z dwóch lub więcej dysków (do 32) w jeden wolumen. Zapisywane dane są dzielone na bloki 64 KB i po kolei zapisywane na każdym dysku. Zwiększa to wydajność operacji dyskowych ale nie poprawia bezpieczeństwa,
– „spanned volume” – łączy przestrzeń dyskową dwóch lub więcej (do 32) dysków. Dane są zapisywane na pierwszy dysk aż do jego zapełnienia, potem na następny itd. Gdy padnie jeden dysk pada cały wolumen,
– „mirrored volumes” – dwie identyczne kopie wolumenu, każda przechowywana na innym dysku fizycznym, zwiększa bezpieczeństwo,
– RAID-5 – wymaga co najmniej 3 dysków, na 2 jest „striped volume” a na tzrecim przechowywane są bity parzystości
(Moduł 13) Bezpieczeństwo systemu:
1. Dyski (ćw. Z dysków).
2. UPS – wiadomo po co.
3. Backup:
a). Backup pozwala na:
– Backup plików i katalogów oraz danych systemowych,
– Tablicowanie backupu (kalendarz),
– Odtwarzanie plików i katalogów,
– Tworzenie dyskietki ratunkowej (ERD).
b). Backup tworzony na dyskach (logicznych i fizycznych), taśmach, CDR, dyskach optycznych.
c). Backup job – pojedyńczy proces backupu.
d). Prawa do robienia backup ma:
– każdy użytkownik może backupować swoje pliki i katalogi oraz pliki do których ma prawo czytania (read),
– każdy użytkownik może odtwarzać pliki i katalogi do których ma prawo zapisu (write),
– członkowie grup Administrators, Backup operators oraz Server operators mogą backupować i odtwarzać pliki i katalogi niezależnie od ustawionych praw; domyślnie członkowie tych grup mają prawa użytkownika do plików backupu i katalogów oraz plików i katalogów odtwarzania.
e). Typy backupu:
(Backup Markers – BM – znaczniki, które świadczą o tym czy dany plik był zmieniany czy nie;
gdy pli się zmienił od ostatniego backupu to znacznik ustawiony, gdy nie to zerowany)
– Normal – backup wszystkich plików i kataklogów wybranych, BM czyszczone ale nie sprawdzane przy robieniu backupu; przyspiesza odtwarzanie ponieważ pliki backupu są najnowszymi i nie trzeba odtwarzać wielu backupów,
– Copy – backup wszystkich plików i kataklogów wybranych, BM nie czyszczone i nie sprawdzane przy robieniu backupu,
– Differential (różnicowy) – backup tylko plików i kataklogów wybranych, których BM jest ustawione, BM nie jest zerowane; ponieważ BM nie są czyszczone to gdy zrobimy dwa backupy pliku pod rząd a plik nie uległ zmianie to za każdym razem cały plik będzie backupowany,
– Incremental – backup tylko plików i kataklogów wybranych, których BM jest ustawione, BM jest zerowane; ponieważ BM są czyszczone to gdy zrobimy dwa backupy pliku pod rząd a plik nie uległ zmianie to plik nie będzie backupowany za drugim razem,
– Daily – wszystkie pliki i katalogi które zmieniły się podczas dnia, BM nie są czyszczone i sprawdzane podczas robienia backupu.
f). Przykładowe scenariusze backupów:
– Normal potem różnicowy – więcej czasu zajmuje backup niż odtwarzanie ponieważ każdy różnicowy ma zmiany od backupu Normal (normal czyści BM a różnicowy nie), aby odtworzyć należy odtworzyć Z Normal a potem z ostatniego różnicowego,
– Normal potem inkrementalny – mniej czasu zajmuje backup niż odtwarzanie ponieważ aby coś odtworzyć należy odtworzyć z Normal a potem z wszystkich inkrementalnych (inkrementalny czyści BM czyli są tylko pliki zmieniane).
g). Backup danych systemowych:
– registry,
– pliki startowe systemu,
– i wiele innych zależnych od wersji systemu (m. in. Active directory, bazy danych).
4. Startowanie systemu z opcjami specjalnymi (F8):
– safe mode – ładowane podstawowe urządzenia i sterowniki,
– safe mode with networking – ładowane podstawowe urządzenia i sterowniki oraz usługi i sterowniki sieciowe,
– safe mode with command prompt– ładowane podstawowe urządzenia i sterowniki ale startuje command prompt zamiast środowiska graficznego,
– enable boot logging – logi ładowanych i inicjowanych sterowników i usług,
– enable VGA mode – ładuje podstawowy sterownik VGA,
– last known good configuration – nazwa mówi za siebie,
– directory services restore mode – zezwala na odtwarzanie i konserwację active directory i katalogu sysvol,
– debbuging mode – wysyła informacje debuggera do innego komputera.
5. Konsola do naprawy.
6. ERD:
– umożliwia naprawienie registrów, plików systemowych, partition boot sectora i środowiska startowego.
(Moduł 9) Ochrona w Windows 2000 (dot. ćw. Użytkownicy, grupy, prawa…):
1. Dwa sposoby implementacji systemu ochrony:
– przez lokalny system (Local System Policy) na pojedynczym komputerze ochrony (mała ilość komputerów lub te nie używające Active Directory),
– oraz przez grupę (Group Policy) w domenie na wielu komputerach (duża ilość komputerów lub gdy jest wymagany duży poziom ochrony).
(Uwaga: Ustawienia Group Policy są stosowane w następującej kolejności: ustawienia lokalne, domena i potem ustawienia organizacji (Organizational Unit)).
2. Modyfikowanie ustawień ochrony:
a) dla Local i Group:
– ochrona kont (Account Policies)– hasło dla konta, blokada konta oraz protokół dla domeny (Kerberos V5 – pierwszy protokół ochrony dla uwierzytelnienia w domenie),
– ochrona lokalna (Local Policies) – zawiera kontrole, zakładanie ograniczeń na użytkowników i wiele innych,
– (Public Key Policies) – pozwala na konfigurację (Encrypted Data Recovery Agents) i (Trusted Certificate Authorities), Certificate jest programową usługą która dostarcza mechanizmy autentyfikacji włączając w to ochronę poczty i karty inteligentne. Jest to jedyne usługa dostępna dla konfiguracji użytkownika,
– ochrona IP (IP Security Policies) – można skonfigurować IPSec. (IP Security), IPSec jest standardem dla kodowania „ramek” (chyba…) TCP/IP oraz ochrony komunikacji w internecie i w wirtualnych prywatnych sieciach (VPN – Virtual Private Network) dostępnych przez Internet.
c) tylko dla Group:
– logi zdarzeń (Event Log) – pozwala na konfigurację rozmiaru, access i parametrów zatrzymania dla logów programów i logów ochrony,
– grupy ograniczone (Restricted Groups) – chodzi o członków grup wbudowanych których daje się do grup, które są śledzone i zarządzane przez nas jako część ochrony,
– usługi systemowe – konfiguracja ochrony i ustawień startup dla usług uruchamianych na komputerze,
– registry – konfiguracja ochrony dla kluczy registrów,
– System plików – pozwala na konfigurowanie ochrony dla wybranej ścieżki.
3. Standardowe poziomy ochrony w W2k (można ich używać tylko na NTFS):
– basic – domyślny poziom,
– compatible,
– secure,
– High – najlepszy ale czy na pewno,
– Można także stworzyć własny poziom ochrony (używamy MMC).
4. Analizowanie ochrony (analiza pliku .sdb):
Używamy do tego MMC lub z lini komend (program Secedit), po analizie można rekonfigurować ustawienia, po co każdy wie.
Switche Secedit:
– /analyze, /configure, /export,
– /refreshpolicy
– /validate
Można użyć też przełączników obszaru:
– /regkey – ochrona dla lokalnych kluczy,
– /filestore – ochrona dla lokalnego systemu plików,
– /services – ochrona dla wszystkich definiowanych usług,
– /group_mgmt – ustawienia dla grup ograniczonych,
– /user_rights – założenia dotyczące praw użytkowników włączając prawa do logowania,
– /securitypolicy – ograniczenia lokalne i domeny dla systemu, włączając w to konta.
5. Inspekcja użytkowników i zdarzeń:
– wyniki inspekcji zapisywane w logach ochrony (zapisywane – akcje, które się zdarzyły, użytkownicy którzy wykonali jakąś akcję, pomyślne i błędne zdarzenia, dodatkowe informacje jak z którego kompa akcja została wywołana),
– Audit Policy – definiuje typ ochrony zdarzeń.
Zdarzenia do inspekcji:
– Account Logon – kontroler domeny zapisuje logowanie użytkowników,
– Account Management – wszystko co robi Admin na kontach użytkowników (rename, delete, itp.),
– Directory Service Access – otrzymanie dostępu do obiektów Active Directory,
– Logon – logowanie i wylogowanie użytkownika z lokalnego kompa,
– Object Access – otrzymanie dostępu do plików, katalogów lub drukarek,
– Policy Change – zmiany w opcjach ochrony użytkownika, jego prawach ,
– Privilage Use – użytkownik sprawdza prawa, takie jak przejęcie na własność pliku,
– Process Tracking – czy aplikacje wykonały jakąś akcję,
– System – czy użytkownik restartował albo wyłączał system.
