Методическое пособие 227
.pdfАдминистрирование доменов
Оснастка Active Directory Sites and Services представляет собой основной инструмент с графическим интерфейсом, посредством которого администратор может управлять физической структурой Active Directory – подсетями, сайтами и соединениями; другие же административные оснастки представляют Active Directory на логическом уровне как единое целое. Оснастка Active Directory Sites and Services
является одним из основных средств администрирования Active Directory в том случае, когда корпоративная сеть реализована в виде нескольких сайтов. В случае, если механизм сайтов не используется при построении службы каталога (т. е. сайт только один – созданный по умолчанию), данная оснастка, скорее всего, останется невостребованной.
Оснастка Active Directory Sites and Services позволяет выполнять следующие операции:
изменение топологии репликации в дереве доменов (создание/удаление сайтов, подсетей и соединений);
определение стоимости для соединений (cost);
изменение расписаний и интервалов для репликации внутри сайта и между сайтами;
определение мостовых серверов (bridgehead server);
инициация процесса репликации внутри сайта и между сайтами;
запуск сервиса Knowledge Consistency Checker (KCC)
для регенерации топологии репликации;
делегирование пользователям или группам прав на управление сайтами, подсетями, серверами и другими контейнерами в разделе конфигурации;
настройка параметров безопасности и аудита для различных объектов, определяющих топологию репликации;
выбор объектов GPO, привязка объектов GPO к сайтам и запуск оснастки Group Policy Object Editor для редактирования объектов GPO;
9
назначение контроллерам домена роли сервера глобального каталога;
назначение политик запросов LDAP.
Использование групповых политик
Перенаправление пользовательских папок
o Настройка основного режима перенаправления папок.
o Настройка расширенного режима перенаправления папок.
Управление приложениями
oПубликация приложений.
oНазначение приложений.
Построение иерархии объектов групповой политики
oБлокировка процесса наследования параметров
объектов групповой политики.
o Запрещение переопределения параметров объектов групповой политики.
o Запрещение применения параметров объекта групповой политики.
o Ограничение действия параметров групповой политики.
o Предоставление полномочий на доступ к объектам групповой политики.
Определение действующих политик
o Оснастка Resultant set of Policies.
Задания
1.Запустите Active Directory Users and Computers:
Пуск Панель управления Администрирование
2.Изучите предоставляемые возможности средствами администрирования операционной системы.
3.Определите, сколько пользователей назначено на данном компьютере (Найдите Службы компонентов).
10
4.Определите, какие роли назначены пользователям (Службы компонентов / Приложения COM+ / Роли).
5.Изучите журнал событий (Администрирование / Просмотр событий). По журналу определите зафиксированные ошибки (Щелчок левой кнопкой мыши по Просмотр событий (Локальный)).
6.Проверьте доступные сетевые подключения:
Пуск (Правой кнопкой мыши) Сетевые подключения Изучите состояние доступной сети (двойной щелчок по
объекту) и свойства (внизу окна кнопка Свойства – рис. 1).
Рис. 1. Состояние доступной сети
7. Сбор данных об информационных ресурсах, поддерживаемых на компьютере.
Перечень предоставляемых в общий доступ папок можно получить с помощью оснастки "Управление компьютером". На рис. 2 представлен пример перечня ресурсов рабочей станции, предоставляемых в общий доступ в служебных целях. Этот список можно также экспортировать в текстовый файл.
Рис. 2. Перечень общих ресурсов рабочей станции
11
8. Получить информацию о доменах, узнать IP адрес компьютера.
Для этого можно использовать утилиту командной строки nslookup или административную оснастку "DNS":
1)Пуск (Правой кнопкой мыши) Выполнить
2)ввести команду nslookup
Появится информация о доменах и IP-адресе. Узнать IPадрес компьютера, например, comp1.mcompany.ru можно с помощью команды nslookup comp1.mcompany.ru Часто действующие настройки в сети таковы, что IP-адреса компьютерам выделяются динамически, с использованием службы dhcp, и могут периодически меняться. Как правило, у серверов IP-адреса постоянные.
Контрольные вопросы
1.Что такое консоль операционной системы?
2.Что такое оснастка консоли?
3.Как можно получить информацию о доменах компьютера и о компьютерах, подключенных к домену?
4.Как узнать IP-адрес компьютера?
12
Тема 4. ИСПОЛЬЗОВАНИЕ MICROSOFT SECURITY ASSESSMENT TOOL (MSAT) ДЛЯ ОЦЕНКИ РИСКОВ,
СВЯЗАННЫХ С БЕЗОПАСНОСТЬЮ
Цель: научиться оценивать риски безопасности средствами эшелонированной защиты
Теоретические сведения
Microsoft Security Assessment Tool (MSAT) – это средство оценки рисков, предоставляющее информацию о системе безопасности ИТ-инфраструктуры и рекомендации по ее улучшению, основанные на передовом опыте [9]. Средство MSAT бесплатно доступно на сайте Microsoft по ссылке http://www.microsoft.com/downloads/details.aspx?displaylang=ru &FamilyID=cd057d9d-86b9-4e35-9733-7acb0b2a3ca1.
Это приложение разработано для организаций с числом сотрудников менее 1000 человек, чтобы содействовать лучшему пониманию потенциальных проблем в сфере безопасности.
Во время процедуры оценки риска будет проверена среда ИТ по основным сферам угроз информационной безопасности. При оценке используется концепция эшелонированной защиты (DiD) для определения эффективности стратегии безопасности. Концепция "эшелонированной защиты" относится к реализации многоуровневой защиты, включающей технический, организационный и рабочий контроль. оценки можно повторять, а также использовать для проверки прогресса в достижении организационных целей безопасности в инфраструктуре ИТ.
Чтобы выявить угрозы безопасности в системе ИТ организации, в рамках определенных областей анализа будут оценены политики в отношении риска для бизнеса, технологий, процессов и персонала. После завершения оценки будут предоставлены рекомендации для управления этими рисками
13
на основе признанных в отрасли передовых методик. Эти рекомендации призваны предоставить предварительные инструкции для помощи вашей организации во внедрении признанных в отрасли ИТ передовых методик.
Оценка риска состоит из двух частей:
-профиля риска для бизнеса (ПРБ);
-оценки (включающей четыре области анализа).
ПРБ представляет собой общие опасности, с которыми сталкивается компания. После выполнения этой оценки она остается неизменной, пока не будут выполнены коренные изменения в системе ИТ компании. Можно выполнить и сохранить несколько оценок. Эти оценки могут и должны изменяться с течением времени при принятии расширенных мер безопасности.
После завершения оценки ее результаты невозможно изменить, однако существует возможность повторно создать отчет на основе этих значений. Если необходимо выполнить повторную оценку, но вы думаете, что изменились только определенные аспекты или разделы, можно скопировать оценку, используя кнопку "Копировать...", на экране управления оценками.
При использовании данного приложения рекомендуется передавать свои данные по имеющемуся соединению. После отправки данных вам будет предоставлен доступ к полному отчету MSAT для вашей компании, который можно сохранить и распечатать. Кроме того, у вас будет возможность сравнить свои результаты с результатами других равноправных участников отрасли, используя самые последние имеющиеся данные. Для осуществления этой задачи необходимо, чтобы все клиенты выгружали свои данные. Компания Microsoft обязуется полностью соблюдать конфиденциальность данных и не предоставлять кому бы то ни было уникальную личную информацию.
В ходе работы пользователь, выполняющий роль аналитика, ответственного за вопросы безопасности, отвечает на две группы вопросов.
14
Первая из них посвящена организационной модели компании, и призвана оценить риск, с которым компания сталкивается в данной отрасли и в условиях выбранной организационной модели. Создается так называемый профиль риска (ПРБ).
Вопросы этого этапа разбиты на 6 групп:
общие сведения о компании (название, число компьютеров, серверов и т.д);
"Безопасность инфраструктуры" (использует ли компания подключение к Интернет, размещаются ли службы, используемые как внешними, так и внутренними клиентами, в одном и том же сегменте и т.д.);
"Безопасность приложений";
"Безопасность операций";
"Безопасность персонала";
"Среда".
Когда проведен первый этап оценки, полученная информация обрабатывается (для этого требуется подключение к Интернет), после чего начинается второй этап анализа.
Второй этап анализа касается используемых в компании политик, средств и механизмов защиты (рис. 3).
Рис. 3. Анализ используемых механизмов защиты
15
Вопросы организованы в соответствии с концепцией многоуровневой (эшелонированной) защиты. Сначала рассматривается защита инфраструктуры (защита периметра, аутентификация…), затем вопросы защиты на уровне приложений, далее проводится анализ безопасности операций (определена ли политика безопасности, политика резервного копирования и т.д.), последняя группа вопросов касается работы с персоналом (обучение, проверка при приеме на работу и т.д.). Во многом тематика вопросов соответствует разделам стандартов ISO 17799 и 27001.
После ответа на все вопросы программа вновь обращается к удаленному серверу и генерирует отчеты.
Задания
1.Подробно опишите реально существующую или вымышленную организацию: сферу деятельности, состав и структуру информационной системы, особенности организации процесса защиты информации, применяемые методы и средства.
2. C помощью программы MSAT проведите оценку рисков для организации.
Контрольные вопросы
1.Что такое эшелонированная защита?
2.Как реализована концепция эшелонированной защиты
вMSAT?
3.В чем заключается оценка риска средством MSAT?
4.Объясните понятие «профиль риска для бизнеса».
5.Перечислите вопросы первого этапа оценки риска
(ПРБ).
6.Перечислите вопросы второго этапа оценки риска
(ПРБ)
16
Тема 5. ИЗУЧЕНИЕ JAVASCRIPT
Цель: научиться создавать исполняемый скрипт.
Теоретические сведения
Как правило, скриптом называется программа или программный файл сценарий [10]. Ну а если быть предельно точным, то скриптом будет называться практически любая исполняемая процедура. Если говорить об Интернеттехнологиях, то понятие "скрипт" уже несколько сужается и его можно охарактеризовать, как исполняемую процедуру, которая запускается на выполнение со стороны сервера по запросу, поступившему с конкретно определенной вебстраницы.
Сфера применения скриптов огромна. Например, при их помощи пользователь получает возможность обращаться к базам данных, наблюдать статистику посещений (счетчики посещаемости), совершать записи в гостевых книгах, оставлять комментарии к понравившимся статьям и т.д.
Местоположение исполняемого скрипта в сети может быть разным. Например, скрипт может располагаться на том же сервере, где расположена вызывающая его страница. Как вариант – скрипт размещается на другом, т.е. удаленном, wwwсервере. Поскольку посредством запуска скрипта "где-то там" происходит совершение какого-либо действия, то надо всегда помнить, что такая процедура может быть не всегда полезной (т.е. это небезопасно для владельца сервера). В частности, по этой причине, не на всех серверах разрешается выполнение скриптов – обычно, провайдеры специально оговаривают условия предоставления такой возможности.
На сегодняшний день скрипты присутствуют почти на всех веб-сайтах.
Конфигурации веб-серверов бывают разными, поэтому название скрипта должно содержать соответствующее расширение. Вдобавок ко всему, скрипт следует поместить в
17
специальный каталог. Классический пример – имя скрипта должно иметь расширения .cgi, а сам он будет находиться в каталоге cgi-bin. Для того, чтобы выполнить настройку до конца, вам возможно потребуется проконсультироваться с техподдержкой вашего хостинг-провайдера или с администратором сервера.
Как только вы полностью разберетесь с требованиями, которые предъявляются к скриптам именно в вашем случае, все проблемы отпадут сами собой и скрипт начнет функционировать. Не забудьте присвоить скрипту атрибут "исполняемый" (скрипт - это программа). Если ваш скрипт пишет поступающую информацию в файл, то файл необходимо сделать доступным для записи. Чаще всего, бесплатные скрипты идут с полным описанием по своей установке – внимательно прочитайте help-файл.
Задания
1. Представьте, что вы работаете web-мастером в фирме, которая занимается продажей пиццы. И ваш начальник попросил вас создать форму заказа пиццы через интернет. При этом начальник четко указал, как должна выглядеть эта форма и что она должна делать. На рис. 4 представлен макет формы, который вам необходимо будет разработать с нашей помощью.
Рис. 4. Форма заказа
18