7419
.pdf—политики журнала событий — параметры безопасности, связанные с ведением журнала событий;
—политики ограниченных групп — параметры безопасности, связанные с администрированием локальных групп;
—политики системных служб — параметры безопасности и запуска локальных служб;
—политики файловой системы — параметры безопасности локальной файловой системы;
—политики реестра — параметры, задающие значения ключей реестра, связанных с безопасностью.
Шаблоны безопасности имеются во всех вариантах Windows Server 2008. Их можно импортировать в любую групповую политику. Шаблоны хранятся в папке
%SystemRoot%\Security\Templatesи управляются из оснастки Шаблоны безопасности (Security Templates), показанной на рис. 10. Средствами этой же оснастки создаются и новые шаблоны. В комплект WindowsServer2008 входят следующие стандартные шаблоны:
—dc security — содержит параметры безопасности по умолчанию для контроллеров домена;
—hisecdc — содержит жесткие параметры безопасности для контроллеров домена;
—hisecws — содержит жесткие параметры безопасности для рабочих станций.
—securedc — содержит умеренные параметры безопасности для контроллеров домена;
—securews — содержит умеренные параметры безопасности для рабочих станций;
—setup security — содержит параметры безопасности по умолчанию для рядовых серверов;
Выбрав необходимый шаблон, тщательно проверьте все его параметры и проанализируйте, как они повлияют на работу вашей сети. Если какой-то из параметров в вашей ситуации не нужен, отредактируйте его или совсем удалите. Для применения шаблонов используется оснастка Анализ и настройка безопасности (Security Configuration and Analysis). Ее же средствами можно сравнить значение параметра в шаблоне с тем, что в данный момент используется па компьютере. Чтобы воспользоваться оснастками системы безопасности, выполните следующие действия.
1.Щелкните кнопку Пуск (Start) и выберите команду Выполнить (Run).
2.Введите mmc в поле Открыть (Open) и щелкните ОК.
3.В открывшейся консоли выберите в меню Файл (File) команду Добавить или удалить оснастку (Add/Remove Snap-In).
4.В открывшемся окне перейдите на вкладку Изолированная оснастка (Standalone) и щелкните кнопку Добавить (Add).
5.В диалоговом окне Добавить изолированную оснастку (Add Standalone SnapIn) выделите в списке вариант Шаблоны безопасности (Security Templates) и щелкните Добавить (Add).
6.Выделите вариант Анализ и настройка безопасности (Security Configuration and Analysis) и щелкните Добавить (Add).
7.Щелкните Закрыть (Close), а потом — ОК.
Применение шаблонов безопасности
Как уже говорилось, оснастка Шаблоны безопасности (Security Templates) предназначена для просмотра имеющихся и для создания новых шаблонов. Чтобы настроить и проверить шаблон, выполните следующие действия.
1.Откройте оснастку Анализ и настройка безопасности (Security Configuration and Analysis).
2.Щелкните правой кнопкой узел Анализ и настройка безопасности (Security Configuration and Analysis) и выберите команду Открыть базу данных (Open
Database).
3.Введите в поле Имя файла (File Name) имя новой базы и щелкните Открыт]) (Open). Откроется диапоговос окно Импортировать шаблон (Import Template).
4.Выделите шаблон безопасности, которым хотите воспользоваться, и щелкните Открыть (Open).
5.Щелкните правой кнопкой узел Анализ и настройка безопасности (Security Configuration and Analysis) и выберите команду Анализ компьютера (Analyze
Computer Now). Введите путь к файлу журнала ошибок или сразу щелкните ОК, чтобы использовать путь по умолчанию.
6.Дождитесь завершения анализа шаблона. Затем просмотрите сто результаты и при необходимости отредактируйте шаблон. Для просмотра журнала ошибок щелкните правой кнопкой узел Анализ и настройка безопасности
(Security Configuration and Analysis) и выберите команду Показать файл журнала (View Log File).
7.Подготовившись к применению шаблона, щелкните правой кнопкой узел Анализ и настройка безопасности (Security Configuration and Analysis) и
выберите команду Настроить компьютер (Configure Computer Now). Введите путь к файлу журнала ошибок или сразу щелкните ОК, чтобы использовать путь по умолчанию.
8.Чтобы просмотреть журнал ошибок настройки, щелкните правой кнопкой узел Анализ и настройка безопасности (Security Configuration and Analysis) и
выберите команду Показать файл журнала (View Log File). Отметьте возникшие проблемы и примите меры к их устранению.
Порядок выполнения работы
1.Установить главный контроллер домена
2.Подсоединить компьютер к домену
3.Установить соединение с доменом в качестве пользователя
4.Изменить политику безопасности
ЛАБОРАТОРНАЯ РАБОТА № 5
Тема: Задание и выполнение функций администратора информационной системы.
Цель работы: Изучить средства администрирования информационной системы с применением Active Directory.
Функции администратораWindows2008
Администрированиеподразумевает выполнение как специальных операций после установки системы, так и рутинных каждодневных действий.
Функции администратора можно разделить на пять категорий. Таблица 1. Функции администратора
Категория |
Характерные задачи |
|
|
|
|
|
|
|||||
|
|
|||||||||||
Администрирование |
Планирование, создание и ведение учетных записей |
|||||||||||
учетных записей |
пользователей и групп для обеспечения каждому |
|||||||||||
пользователей и |
пользователю возможности регистрации в сети и |
|||||||||||
групп |
доступа к необходимым ресурсам |
|
|
|
|
|||||||
|
|
|||||||||||
Администрирование |
Планирование и реализация стратегии безопасности |
|||||||||||
для защиты данных и общих сетевых ресурсов, в том |
||||||||||||
защиты |
||||||||||||
числе папок, файлов и принтеров |
|
|
|
|
||||||||
|
|
|
|
|
||||||||
|
|
|
|
|
|
|
||||||
Администрирование |
Настройка |
локальных |
и |
сетевых |
принтеров |
для |
||||||
обеспечения пользователям доступа |
к |
ресурсам |
||||||||||
принтеров |
||||||||||||
печати. Устранение обычных проблем печати |
|
|||||||||||
|
|
|||||||||||
|
|
|
|
|
||||||||
Мониторинг |
Планирование |
и |
реализация стратегии |
аудита |
||||||||
событий |
в |
сети |
с |
целью |
обнаружения нарушений |
|||||||
событий и ресурсов |
||||||||||||
защиты. |
Управление |
ресурсами |
и |
контроль |
их |
|||||||
сети |
||||||||||||
использования |
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
|
|
|
|
Резервное |
Планирование и выполнение регулярных операций |
|||||||||||
копирование и |
||||||||||||
резервного копирования для обеспечения быстрого |
||||||||||||
восстановление |
||||||||||||
восстановления важных данных |
|
|
|
|
||||||||
данных |
|
|
|
|
||||||||
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
|
Средства администратораWindows2008
Средства администрирования входят в составWindows2008 и могут применяться или для администрирования любого компьютера домена, или для администрирования локального компьютера.
Рисунок 1. Средства администрирования
Таблица 2. Средства администрирования
Средство |
Назначение |
|
|
|
|
|
|
||
|
|
|||
|
Администратор кластеров - это основное средство |
|||
|
администрирования |
и конфигурирования объектов |
||
Администратор |
кластера серверов, таких как узлы, группы и другие |
|||
кластеров |
ресурсы. Это позволяет вам управлять кластером |
|||
|
серверов |
без |
необходимости |
физического |
|
присутствия в одном из узлов. |
|
||
|
|
|||
Диспетчер |
Обеспечивает балансирование IP-трафика между |
|||
балансировки |
несколькими серверами. Не обеспечивает переход |
|||
сетевой нагрузки |
по отказу (failover) для приложений и данных. |
|||
|
|
|
|
|
Диспетчер служб |
Позволяет управлять конфигурацией сервера служб |
|||||||||
терминалов |
терминалов |
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|
|
Конфигурация |
|
|
|
|
|
|
|
|
|
|
платформы Microsoft |
Позволяет настраивать среду .NET Framework |
|||||||||
.NETFramework 1.1 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||
Лицензирование |
Утилита, |
позволяющая |
|
управлять |
клиентскими |
|||||
лицензиями в масштабах предприятия |
|
|
||||||||
|
|
|
||||||||
|
|
|||||||||
|
Утилита, позволяющая управлять клиентскими |
|||||||||
Лицензирование |
лицензиями для служб терминалов (Terminal |
|||||||||
сервера терминалов |
Services), работающих в режиме выполнения |
|||||||||
|
приложений |
|
|
|
|
|
|
|||
|
|
|||||||||
Маршрутизация и |
Служит для управления маршрутизацией и |
|||||||||
удалённый доступ |
удаленным доступом |
|
|
|
|
|
||||
|
|
|
|
|||||||
Мастер настройки |
Мастер, |
позволяющий |
администратору настроить |
|||||||
сервер |
в |
соответствии |
с выбранными |
ролями |
||||||
сервера |
||||||||||
(файловый сервер, сервер служб Интернета и т. д.) |
||||||||||
|
||||||||||
|
|
|||||||||
|
Каждый компьютер с Windows Server 2003 содержит |
|||||||||
|
компоненты, мониторинг которых можно выполнять |
|||||||||
|
с |
помощью |
оснастки |
|
Performance |
|||||
|
(Производительность). Это могут быть аппаратные |
|||||||||
Производительность |
или программные компоненты, которые выполняют |
|||||||||
задачи или поддерживают рабочую нагрузку. |
||||||||||
|
||||||||||
|
Многие из этих компонентов имеют показатели, |
|||||||||
|
отражающие |
определенные |
аспекты |
их |
||||||
|
функционирования, которые можно точно измерить |
|||||||||
|
как скорость выполнения задач. |
|
|
|
||||||
|
|
|
|
|
|
|||||
Просмотр событий |
Служит |
для |
просмотра |
и |
управления системным |
|||||
журналом, журналами безопасности и приложений |
||||||||||
|
||||||||||
|
|
|||||||||
Распределенная |
Создает и управляет распределенными файловыми |
|||||||||
файловая |
системами, |
|
объединяющими |
|
совместно |
|||||
системаDFS |
используемые папки на различных компьютерах |
|||||||||
|
|
|||||||||
Службы |
Запускает, останавливает и конфигурирует службы |
|||||||||
(сервисы) Windows |
|
|
|
|
|
|||||
|
|
|
|
|
|
|||||
|
|
|||||||||
Службы |
Конфигурирует и управляет службами компонентов |
|||||||||
компонентов |
СОМ+ |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Удалённые рабочие |
Позволяет |
управлять |
многочисленными сессиями |
|||||||
столы |
терминального доступа к удаленным компьютерам |
|||||||||
|
|
|||||||||
|
Мастер, представляющий собой информационный |
|||||||||
|
центр для управления различными ролями сервера, |
|||||||||
Управление данным |
обращения |
к |
службам |
поддержки |
и |
|||||
сервером |
вспомогательным |
|
инструментам, |
а |
также |
|||||
|
позволяющий быстро находить информацию об |
|||||||||
|
обновлениях, способах решения проблем и т. п. |
|||||||||
|
|
|
|
|
||||||
Управление |
Предоставляет |
функции |
|
администрирования |
||||||
системы. |
Содержит |
|
в |
своем |
составе |
ряд |
||||
компьютером |
|
|||||||||
изолированных оснасток и оснасток расширения |
||||||||||
|
||||||||||
|
|
|
|
|
|
|||||
Центр сертификации |
Позволяет |
работать |
с |
центрами |
сертификации, |
|||||
развернутыми в корпоративной сети |
|
|
||||||||
|
|
|
||||||||
|
|
|
|
|
|
|
||||
Active Directory - |
Служит |
для |
управления |
|
доменами |
и |
||||
домены и доверие |
доверительными отношениями |
|
|
|
||||||
|
|
|
|
|
||||||
Active Directory — |
Определяет |
топологию |
и |
расписание репликации |
||||||
Active Directory. |
Обеспечивает |
изменение служб |
||||||||
сайтыислужбы |
||||||||||
корпоративного уровня |
|
|
|
|
|
|||||
|
|
|
|
|
|
|||||
|
|
|||||||||
|
Служит для управления параметрами безопасности |
|||||||||
Политика |
(представленными в узлеSecurity Settingsобъекта |
|||||||||
безопасности домена |
групповой политики, привязанного к объекту |
|||||||||
|
домена) для всего домена |
|
|
|
|
|
||||
|
|
|||||||||
Политика |
Служит для управления параметрами безопасности |
|||||||||
(представленными |
в |
узлеSecurity |
Settingsобъекта |
|||||||
безопасности |
||||||||||
групповой политики, привязанного к подразделению |
||||||||||
контроллера домена |
||||||||||
Domain Controllers) на контроллерах домена |
|
|||||||||
|
|
|||||||||
|
|
|
|
|
|
|
|
|
|
|
Мониторинг ресурсовСведения о системе
Утилита System Information (Сведения о системе) (Winmsd.exe) представляет исчерпывающую информацию об аппаратном обеспечении компьютера, системных компонентах и программной среде. Системная информация разделена на категории, которым в окне структуры соответствуют следующие узлы (Рисунок 2):System Summary(Сведения о системе),Hardware Resources(Ресурсы
аппаратуры),Components(Компоненты),Software Environment(Программная среда) иInternet Settings(Параметры Интернета).
—УзелSystem Summaryотображает общую информацию о компьютере и операционной системе: версию ОС и номер сборки, тип процессора, объем ОЗУ, версию BIOS, региональные установки, а также информацию об объеме физической и виртуальной памяти на компьютере.
—УзелHardware Resourcesотображает информацию об аппаратных установках, таких как каналы DMA, номера прерываний (IRQ), адреса ввода/вывода (I/O) и адреса памяти. УзелConflicts/Sharing(Конфликты/ Совместное использование) идентифицирует устройства, которые совместно используют ресурсы или конфликтуют с другими ресурсами. Такая информация помогает выявлять проблемы, возникающие с аппаратными устройствами.
—УзелComponentsотображает информацию о конфигурации Windows и используется для определения статуса драйверов устройств, сетевых устройств и программного обеспечения мультимедийных устройств. Кроме того, данный узел содержит обширную информацию об истории драйверов с записью всех изменений, которые производились с компонентами.
—УзелSoftware Environmentотображает "снимок" программного обеспечения, загруженного в память компьютера. Данная информация может быть использована для просмотра списка выполняющихся задач или для выяснения номера версии продукта.
—УзелInternet Settingsсодержит, в частности, информацию о настройках программы Internet Explorer.
Рисунок 2. Внешний вид утилиты "Сведения о системе"
Составление и печать сводки
—Информация, предоставляемая программой System Information (Сведения о системе), нужна не только организации, осуществляющей поддержку, — напечатанная сводка может пригодиться службе инвентаризации. Из сводки можно быстро узнать объем оперативной памяти и дискового пространства на конкретном компьютере, а также, какие устройства на нем установлены.
—Распечатать постранично или всё целиком можно из менюФайл- >Печать.Сохранить общий отчёт можно из менюФайл->Экспорт.
Управление компьютером
Инструмент (и одноименная оснастка)Computer Management(Управление компьютером) (Рисунок 3) является одним из основных средств системного администратора для конфигурирования компьютера. Данную оснастку можно использовать для администрирования, как локальной системы, так и удаленных компьютеров (в том числе систем Windows 2000 и — с некоторыми ограничениями — компьютеров с Windows NT 4.0). Это позволяет администратору со своего рабочего места устранять проблемы и конфигурировать любой компьютер в сети, на котором установлена Windows Server 2008.
Для запуска оснасткиComputer Managementможно пользоваться двумя способами: выбрать соответствующую команду в менюStart | Administrative Toolsили щелкнуть правой кнопкой мыши на командеMy Computer(Мой компьютер) в менюStartи выбрать в контекстном меню пунктManage(Управление).
Рисунок 3. Оснастка "Управление компьютером"
Просмотр пользовательских сеансов
ОснасткаShared Folders(Общие папки) позволяет просматривать информацию о соединениях и использовании ресурсов локального или удаленного компьютеров. Данная оснастка используется вместо программы Server в Control Panel системы ОснасткаShared Foldersсодержит три узла:Shares(Ресурсы),Sessions(Сеансы) иOpen Files(Открытые файлы). При выборе данных узлов в панели результатов отображается содержание соответствующего узла.
Спомощью оснастки можно выполнять следующие задачи:
—создавать, просматривать, изменять свойства и удалять общие ресурсы на локальном или удаленном компьютерах (Windows Server 2008) и устанавливать разрешения на доступ к ним. Кроме того, можно управлять режимом кэширования общих папок (в случае их использования в качестве изолированных папок). В системах Windows ХР и Windows Server 2008 появилась очень удобная новая возможность управления процессом публикации общей папки в каталоге Active Directory— можно сразу после создания общей папки опубликовать ее в каталоге, не прибегая к помощи оснастки Active Directory Users and Computers. Все необходимые действия достаточно очевидны из содержания приведенного примера: в данном случае публикуется общая папка службы факсов, содержащая клиентское программное обеспечение для систем, не имеющих его;
—просматривать список удаленных пользователей, подключенных к компьютеру, и отключать их;
—просматривать список файлов, открытых удаленными пользователями, и закрывать открытые файлы.