Реферат: Операційна система MS Windows

·     Internet and Microsoft Network;

·     ISDN access to the Internet and MSN.

Тип встановленої служби визначає виключне використання MNN або можливiсть виходу в Internet.

6. Вiддалений доступ.

W97 - це ОС, спецiально спроектована з функцiєю вiддаленого доступу. Вона надає мобiльним користувачам можливiсть приєднуватись, як вузол мережi, в будь-який час. Невелика пропускна здатнiсть каналiв зв’язку заставляє  перекачувати файлову iнформацiю на вiддалений комп’ютер (не завжди можна працювати в оперативному режимi).

Термiнологiя: комп’ютер, який викликається, називається  вiддаленим  сервером (dial-up server), а комп’ютер, що викликає, стає вiддаленим клiєнтом (т.ч. це є з’єднанням мiж двома комп’ютерами, а не повноцiнне пiдключення до мережi).  Вiддалений сервер W97 пiдтримує одночасно тiльки одного вiддаленого клiєнта. WNT пiдтримує одночасно до 256 клiєнтiв. W97 пiдтримує два типи з’єднань: PPP та SLIP використовуються клiєнтами W97, WNT 3.5, 4, RAS - клiєнтами WKG,  WNT 3.1. PPP - багатопротокольний зв’язок. RAS пiдтримує протоколи NETBEUI, SLIP - TCP/IP, NRN (Novell Netware Connect) - IPX/SPX.

Встановлення та налагодження вiддаленого доступу.

Встановлення клiєнта вiдбувається пiд час iнсталяцiї W97. Сервер встановлюється у MPlus! Якщо вiддалений доступ встановлено, то у вiкнi MyComp є папка ‘вiддалений доступ’. Встановлення можна провести через Windows Setup. Компонента вiддаленого доступу має тип мережного адаптера. Це означає, що встановленi мережнi протоколи автоматично прив’язуються до адаптера вiддаленого доступу.

Робота з вiддаленим доступом.

Папка вiдаленого доступу зберiгає заданi з’єднання та має об’єкт ‘нове з’єднання’, вибiр якого дозволяє створити нове з’єднання. При створеннi нового з’єднання вибирається модем, номер вiддаленого сервера, iм’я з’єднання. Властивостi створеного з’єднання можна змiнити, у тому числi вибрати протокол доступу. За замовчуванням встановлюється РРР. Протокол SLIP пiдключається через Windows Setup -> have Disk-> \admin\apptools\dscript\rnaplus.inf. W97 вiдрiзняє мережне з’єднання та з’єднання вiддаленого доступу та використовує спеціальні засоби для боротьби зi зменшенням пропускної здатностi з’єднання вiддаленого доступу.

Налагодження сервера вiддаленого доступу.

Використоваується папка ‘Вiдддалений доступ’- ‘З’єднання’- ‘Сервер вiдаленого доступу’. Вигляд вiкна конфiгурацiї залежить вiд встановленого режиму доступу (щодо ресурсiв або  користувачiв). Проводиться заборона (за замовчуванням) або дозвiл вiддаленого доступу, завдання паролю доступу до ресурсiв або списку користувачiв, що мають право доступу, вибiр типу сервера та протоколiв.

Робота з вiддаленим доступом через МЕ.

МЕ аналiзує наявнiсть  з’єднання та його тип. Якщо з’єднання немає, можливий вибiр одного з трьох варіантiв:

·     вказати сервер пошти в локальній мережi,

·     використати вiддалений доступ для встановлення з’єднання з поштовим сервером; реально з’єднання  буде встановлюватись тiльки при спробi передати данi;

·     не встановлювати з’єднання з поштовим сервером; повiдомлення зберiгаються у черзi i при встановленнi з’єднання з сервером, вiдразу передаються.

Оперативне використання  вiддаленого доступу для роботи з поштою.

Вибiр опцiї ‘Remote Mail’ дозволяє вiдкрити дiалогове вiкно для керування пересиланням пошти вiддаленим доступом. Функцiї: пiд’єднання та вiд’єднання вiд сервера, отримання з поштового сервера заголовків повiдомлень, пересилання пошти, робота зi списком вiдправлень.

Пряме з’єднання.

Два ПК з’єднуються через послiдовний або паралельний порти. Один з ПК стає головним (host), другий - пiд’єднаним(guest). Пiд’єднаний комп’ютер має доступ до ресурсiв головного ПК i через нього - вихiд у локальну мережу (головний ПК дiє, як шлюз в мережу тiльки для мереж IPX/SPX та NETBEUI,  але не TCP/IP). Встановлення прямого з’єднання - через Windows Setup. Налагодження - завдання статусу ПК, можливостi парольного захисту та паролю. При пiд’єднанні кабелiв пряме з’єднання встановлюється.

Синхронiзацiя файлiв з використанням утiлiти ‘Портфель’.

Портфель - це особливий вид папки, який дозволяє вiдслiдковувати стан скопiйованих в неї файлiв та папок. Портфелiв може бути багато. Портфелi можна перемiщувати на iншi ПК та на дискети. Для вiдслiдковування статусу файлу вiн мусить бути скопiйований, а не перемiщений у портфель. Файл в портфелi може мати статус синхронiзованого та ‘сироти’. Для будь-якого синхронiзованого файлу можливо розiрвати зв’язок з оригiналом. Синхронiзацiя файлiв вiдбувається пiд контролем користувача.

 Дистанцiйне   керування.

W97 безпосередньо не пiдтримує дистанцiйного керування. Для цього можна використати продукти третiх фiрм (pcAnywhere, Reachout). Дистанцiйне керування працює з бiльшою швидкiстю, але для своєї роботи вимагає окремого ПК в мережi.

Windows NT

Універсальна мережева операційна система Windows NT може виконувати роль як клієнта, та і сервера мережі. Термін Windows NT відноситься   до двох різних продуктів - Windows NT Workstation і Windows NT Server.

Операційна система Windows NT Workstation оптимізована  для використання в якості високопродуктивного захищеного мережевого клієнта і корпоративної операційної системи робочих станцій. Її можна використовувати на автономних комп’ютерах як “персональну” операційну систему, в одноранговій мережі робочої групи і як робочу станцію в середовищі домену Windows NT Server.

Основні переваги Windows NT Workstation:

·             Продуктивність: підтримка багатозадачності. Windows NT Workstation забезпечує реальну багатозадачність, підтримуючи кілька процесорів.

·             Апаратні профілі: створення і підтримка списку апаратних конфігурацій даного комп’ютера.

·             Microsoft Internet Explorer: Web-броузер для роботи з Web.

·              Служба повідомлень (Microsoft Messaging):  прийом і відправка електронної пошти.

·             Служби Web (Peer Web Services): персональний Web-сервер, оптимізований для роботи під управлінням Windows NT Workstation.

·             Система безпеки:  забезпечення локального захисту файлів, папок, принтерів та інших ресурсів.

·             Надійність операційної системи:  виконання кожної програми в окремому адресному просторі. Це значить, що некоректно працююча програма не зможе вплинути на роботу інших програм чи операційної системи.

Операційна система Windows NT Server  оптимізована для роботи в якості сервера файлів, друку і аплікацій з широким спектром використання: від невеликих робочих груп до корпоративних мереж.

 Основні переваги Windows NT Server:

·      Продуктивність сервера: операційна система Windows NT Server 4.0 оптимізована для досягнення максимальної продуктивності при роботі в якості сервера файлів, друку і аплікацій. Комерційна версія Windows NT Server 4.0 підтримує симетричну багатопроцесорну обробку з використанням до 4 процесорів, а спеціалізовані версії підтримують до 32 процесорів.

·      Вбудовані засоби комунікацій: дозволяють підключатися до мережі Windows NT Server 4.0 через модем за допомогою сервісу віддаленого доступу (Remote Access Service, RAS). Windows NT підтримує до 256 одночасних сеансів RAS-під’єднань.

·      Засоби управління:  Task Manager і Network Monitor  спрощують адміністрування сервера, надаючи детальну інформацію про кожну програму або процес, що працюють в системі.

·      Internet Information Server (IIS): - швидка, потужна і безпечна платформа підтримки служб HTTP, FTP, Gopher.

·      Administrative Wizards (Майстри адміністрування): майстри гранично спрощують управління сервером.

·      Підтримка клієнтів Macintosh: забезпечує доступ до файлів і принтерів для клієнтів Macintosh.

·      Додаткові мережеві сервіси:  підтримка багатопротокольної маршрутизації (Multiprotocol Routing, MPR), доменної системи імен (Domain Name System, DNS), протоколу динамічної конфігурації хоста (Dynamic  Host Configuration Protocol, DHCP) і служби імен Інтернету Windows (Windows Internet Name Service, WINS).

·      Windows NT Directory Services: база даних домену забезпечує єдину реєстрацію користувачів, централізоване адміністрування домену і доступ до його ресурсів.

Мережі на основі Windows NT організуються на основі доменної моделі або моделі робочої групи. І Windows NT Server і Windows NT Workstation можуть працювати в будь-якій з цих двох моделей.

Доменна модель (domain model) характеризується наявністю в мережі мінімум одного комп’ютера, що працює під управлінням Windows NT Server і виконує роль контролера  домену (domain controller). Домен – група комп’ютерів, об’єднаних загальною базою облікових записів користувачів і єдиною політикою захисту. Ця інформація зберігається в базі даних домену (її основна копія знаходиться на комп’ютері – контролері домену). 

Модель робочої групи (workgroup model) дозволяє організувати мережу на основі Windows NT без контролера домену. Цю модель часто називають одноранговою мережею (peer-to-peer network), так як всі її комп’ютери мають рівні права на ресурси сумісного використання. Модель робочої групи не забезпечує централізованого адміністрування облікових записів користувачів і захисту ресурсів. Кожен сконфігурований як сервер комп’ютер зберігає інформацію про облікові записи  своїх користувачів і захист ресурсів в локальній базі даних.

Захист ресурсів реалізують декілька процесів на різних рівнях операційної системи. Перший з них – механізм реєстрації – забезпечує захист доступу до домену або  до комп’ютера. При кожному запуску комп’ютера під управлінням Windows NT на екрані виникає вікно з проханням натиснути комбінацію клавіш CTRL+ALT+DELETE для реєстрації в системі. Така реєстрація забезпечує захист від програм, що працюють за принципом “Троянського коня”. Така програма працює під управлінням MS-DOS  і дізнається ім’я та пароль користувача, імітуючи вікно Begin Logon. Так як більшість операційних систем використовують CTRL-ALT-DELETE для перезавантаження комп’ютера, то програма-імітатор навряд чи залишиться резидентною при виконанні цієї операції.  Для успішної реєстрації в системі користувач повинен ввести коректні значення User Name, Password і Domain, в якому зареєстрований даний користувач.

 Зареєструвавшись в системі, можна скористатися комбінацією CTRL-ALT-DELETE для доступу до  діалогового вікна Windows NT Security. З його допомогою можна виконати наступні дії:

·    Lock Workstation – дозволяє заблокувати комп’ютер без виходу з системи. Всі програми при цьому продовжують працювати.

·    Change Password – дозволяє користувачу змінити пароль свого облікового запису.

·    Logoff – здійснює вихід користувача з системи.

·    Task Manager – містить список програм і процесів, які працюють в даний момент. Його можна використовувати для переключення між програмами і для завершення програм, що не реагують на події.

·    Shut Down – закриває всі файли, зберігає всі дані операційної системи і готує комп’ютер до виключення живлення.

·    Cancel – закриває діалогове вікно Windows NT Security.

Адміністрування Windows NT передбачає виконання як спеціальних операцій після встановлення системи, так і рутинних повсякденних дій. Функції адміністрування можна розділити на п’ять категорій:

1.           Адміністрування облікових записів користувачів і груп. Планування, створення і ведення облікових записів і груп для забезпечення кожному користувачу можливості реєстрації  в мережі і доступу до необхідних ресурсів.

2.           Адміністрування захисту. Планування і реалізація стратегії безпеки для захисту даних і загальних мережевих ресурсів, в тому числі папок, файлів і принтерів.

3.           Адміністрування принтерів. Настройка локальних і мережевих принтерів для забезпечення користувачам доступу до ресурсів друку. Усунення проблем друку.

4.           Моніторинг подій і ресурсів мережі. Планування і реалізація стратегії аудиту подій в мережі з метою виявлення порушень захисту. Управління ресурсами і контроль їх використання.

5.           Резервне копіювання і відновлення даних. Планування і виконання регулярних операцій резервного копіювання для забезпечення швидкого відновлення важливих даних.

Засоби адміністрування  Windows NT Workstation використовуються тільки для локального комп’ютера. Засоби адміністрування Windows NT Server використовуються для всіх комп’ютерів домену.

Засоби адміністрування встановлюються на Windows NT при установці самої операційної системи:

·             Administrative Wizards. Інструментальні засоби Windows NT Server для виконання адміністрування: створення облікових записів користувача, створення і зміна облікових записів груп, установка прав доступу до папок і файлів, настройка мережевих принтерів.

·             User Manager for Domains. Диспетчер користувачів домену – інструментальний засіб Windows NT Server, що дозволяє створювати, знищувати і тимчасово відключати облікові записи користувачів домену. Крім того, він дозволяє задавати стратегію захисту для груп і добавляти до них облікові записи користувачів.

·             User Manager. Диспетчер користувачів домену – інструментальний засіб Windows NT Workstation, що дозволяє створювати, знищувати і тимчасово відключати локальні облікові записи користувачів і груп.

·             Server Manager. Диспетчер сервера - інструментальний засіб Windows NT Server для відслідковування комп’ютерів і доменів та управління ними.

·             Event Viewer. Засіб перегляду подій. Містить відомості про помилки, попередження, а також інформацію про вдалі і невдалі спроби виконання різних дій.

·             Windows NT Diagnostics. Засоби діагностики, призначені для перегляду і друку інформації про конфігурацію системи.

·             Backup. Засоби архівування даних призначені для резервного копіювання інформації на локальний носій на магнітній стрічці.

Операційна система Windows NT завжди володіла прекрасними і широко застосовними на практиці можливостями захисту. Однократна реєстрація в домені Windows NT надає користувачам доступ до ресурсів всієї корпоративної мережі.

Повноцінний набір інструментів Windows NT Server полегшує адміністраторам управління системою захисту і її підтримку. Наприклад, адміністратор може контролювати коло користувачів, що мають права доступу до мережевих ресурсів: файлам, каталогам, серверам, принтерам і додаткам. Правами для кожного ресурсу можна управляти централізовано.

Облікові записи користувачів також справляються централізовано. За допомогою простих графічних інструментів адміністратор задає приналежність до груп, допустимий час роботи, термін дії і інші параметри облікового запису. Адміністратор отримує можливість аудиту всіх подій, пов'язаних із захистом доступу користувачів до файлів, каталогів, принтерів і інших ресурсів. Система також здатна блокувати обліковий запис користувача, якщо число невдалих спроб реєстрації перевищує зазделегідь визначене. Адміністратори мають право встановлювати термін дії паролів, примушувати користувачів до періодичної зміни паролів і вибору паролів, що утрудняють несанкціонований доступ.

З точки зору користувача система захисту Windows NT Server повноцінна і нескладна в звертанні. Проста процедура реєстрації забезпечує доступ до відповідних ресурсів. Для користувача невидимі такі процеси, як шифрування пароля на системному рівні. (Шифрування пароля потрібне, щоб виключити передачу пароля у відкритому вигляді по мережі і перешкодити його виявленню при несанкціонованому перегляді мережевих пакетів.) Користувач сам визначає права доступу до тих ресурсів, якими володіє. Наприклад, щоб дозволити спільне використання свого документа, він вказує, хто і як може з ним працювати. Зрозуміло, доступ до ресурсів підприємства контролюється тільки адміністраторами з відповідними повноваженнями.

Більш глибокий рівень безпеки  — те, як Windows NT Server захищає дані, що знаходяться в фізичній пам'яті комп'ютера. Доступ до них надається тільки маючим на це право програмам. Так само, якщо дані більше не містяться на диску, система запобігає несанкціонованому доступу до тієї області диска, де вони містилися. При такій системі захисту ніяка програма не «підгляне» у віртуальній пам'яті машини інформацію, з якою оперує в даний момент інший додаток.

Однак інтрамережі швидко стають найбільш ефективним способом спільного використання інформації бізнес-партнерами. Сьогодні доступ до закритої ділової інформації керується створенням облікових записів для нових зовнішніх членів ділової «сім'ї». Це допомагає встановлювати довірчі відносини не тільки з співробітниками корпорації, але і з множиною партнерів.

Віддалений доступ через відкриті мережі і зв'язок підприємств через Інтернет стимулюють постійний і швидкий розвиток технологій безпеки. Як приклад можна виділити сертифікати відкритих ключів і динамічні паролі. Але архітектура безпеки Windows NT однозначно оцінюється як перевершуюча і ці, і інші майбутні технології. Право на таке твердження дають нові можливості і удосконалення, що з'явилися в Windows NT 5.0. Частина цих змін відображає вимоги до захисту великих організацій, інша - дозволяє використати переваги гнучкої архітектури безпеки Windows NT,  об'єднаної з сертифікатами відкритих ключів Інтернету.

Перерахуємо нові функції безпеки Windows NT.

• Інформація про доменні правила безпеки і облікова інформація зберігаються в каталозі Active Directory. Служба каталогів Active Directory забезпечує тиражування і доступність облікової інформації на багатьох контроллерах домена, а також дозволяє видалене адміністрування.

• У Active Directory підтримується ієрархічний простір імен користувачів, груп і облікових записів машин. Облікові записи можуть бути згруповані по організаційних одиницях (що істотно відрізняється від плоскої структури імен в попередніх версіях Windows NT).

• Адміністративні права на створення і управління групами облікових записів користувачів можуть бути делеговані на рівень організаційних одиниць. При цьому встановлюються диференційовані права доступу до окремих властивостей призначених для користувача об'єктів. Наприклад, група користувачів може змінювати параметри пароля, але не має доступу до іншої облікової інформації.

• Тиражування Active Directory дозволяє змінювати облікову інформацію на будь-якому контроллері домена, а не тільки на первинному. Численні копії Active Directory,  що зберігаються на інших (в попередніх версіях, резервних) контроллерах домена, оновлюються і синхронізуються автоматично.

• Доменна модель змінена і використовує Active Directory для підтримки багаторівневого дерева доменів. Управління довірчими відносинами між доменами спрощене за рахунок транзитивності в межах всього дерева доменів.

• У систему безпеки включені нові механізми аутентификації, такі як Kerberos v5 і TLS (Transport Layer Security), що базуються на стандартах безпеки Інтернету,

• Протоколи захищених каналів (SSL 3.0/TLS) забезпечують підтримку надійної аутентификація клієнта. Вона досягається шляхом зіставлення мандатів користувачів в формі сертифікатів відкритих ключів з існуючими обліковими записами Windows NT. Для управління обліковою інформацією і контролю за доступом застосовуються одні і ті ж засоби адміністрування, незалежно від того, чи використовується захист з відкритим ключем або із загальним секретом.

• Додатково до реєстрації за допомогою введення пароля може підтримуватися аутентификація з використанням смарт-карт. Останні забезпечують шифрування і надійне зберігання закритих ключів і сертифікатів, що особливо важливо для надійної аутентификація при вході в домен з робочої станції.

• До складу нової версії входить Microsoft Certificate Server.

Цей сервер призначений для організацій і дозволяє видавати співробітникам і партнерам сертифікати Х.509 версії 3. В CryptoAPI включені інтерфейси і модулі управління сертифікатами відкритих ключів, включаючи видані комерційним ВУС (Уповноваженим сертифікації), стороннім ВУС або Microsoft Certificate Server. Системні адміністратори можуть вказувати, сертифікати яких уповноважених є довіреними в системі і, таким чином, контролювати аутентификація доступу до ресурсів.

• Зовнішні користувачі, що не мають облікових записів Windows NT, можуть бути аутентифіковані за допомогою сертифікатів відкритих ключів і співвіднесені з існуючим обліковим записом. Права доступу, призначені для цього облікового запису, визначають права зовнішніх користувачів на доступ до ресурсів.

• У розпорядженні користувачів засоби управління парами закритих (відкритих) ключів і сертифікатами, що використовуються для доступу до ресурсів Інтернету.

• Технологія шифрування вбудована в операційну систему і дозволяє використати цифрові підписи для ідентифікації потоків.

 У Windows NT 5.0 вбудований сервер сертифікатів Certificate Server,  який може видавати сертифікати в стандартних форматах (Х.509 версій 1 і 3), а також додавати розширення по мірі потреби.

Протокол аутентификації Kerberos

Протокол аутентификації Kerberos визначає взаємодію між клієнтом і мережевим сервісом аутентификації, відомим як KDC (Key Distribution Center). У Windows NT KDC використовується як сервіс аутентификація на всіх контроллерах домена. Домен Windows NT еквівалентний області Kerberos, але до неї звертаються як до домену. Реалізація протоколу Kerberos в Windows NT заснована на визначенні Kerberos в RFC1510, Клієнт Kerberos реалізований у вигляді ПФБ (постачальника функцій безпеки) Windows NT,  заснованому на SSPI. Початкова аутентификація Kerberos інтегрована з процедурою WinLogon. Сервер Kerberos (KDC) інтегрований з існуючими службами безпеки Windows NT,  що виконуються на контроллері домена. Для зберігання інформації про користувачів і групи він використовує службу каталогів Active Directory.

Протокол Kerberos посилює існуючі функції безпеки Windows NT і додає нові. Розглянемо останні детальніше.

• Підвищена швидкість аутентификації при встановленні початкового з'єднання. Сервер додатків не повинен звертатися до контроллера домена для аутентификація клієнта. Така конфігурація підвищує масштабованість серверів додатків при обробці запитів на підключення від великого числа клієнтів.

Страницы: 1, 2, 3, 4