Главная страница
Навигация по странице:

  • Создание пользователей

  • Добавление папок сервера

  • Настройка удаленного доступа

  • МДК.01.04. эксплуатация автоматизированных (информационных) систем в защищённом исполнении

    		•

    учебная практика 10.02. Рамка (5). Цели и задачи учебной практики


    Скачать 182.58 Kb.
    НазваниеЦели и задачи учебной практики
    Анкоручебная практика 10.02.05
    Дата14.12.2021
    Размер182.58 Kb.
    Формат файлаdocx
    Имя файлаРамка (5).docx
    ТипДокументы
    #302540
    страница3 из 4
    1   2   3   4

    Настройка


    Продукт весьма большой и обширный, здесь будет рассказано о самых базовых возможностях настройки, такие как создание пользователей, настройка удаленного доступа, создание папок, подключение клиентов.

    Вся настройка происходит в панели мониторинга, доступ к ней есть с рабочего стола, панели быстрого запуска и стартового экрана.

    Создание пользователей


    При первом запуске данной панели вам откроется вкладка установка, на которой можно выполнить ряд задач по настройке сервера.

    Начнем с добавления пользователей. Щелкаем ссылку для добавления учетных записей.

    Заполняем поля формы и нажимаем далее

    Выбираем уровень доступа к общим папкам, которые были созданы. На начальном этапе существует лишь одна – организация. В дальнейшем вы можете менять разрешения на доступ как из свойств пользователя, так и из свойств папки.

    Далее устанавливаем, что будет доступно для пользователя удаленно.

    Учетная запись создана. Жмем закрыть.

    Подобным образом можно создать множество учетных записей. Безусловно, вы можете пользоваться и привычным и знакомым для вас интерфейсом active directory users and computers, но в таком случае выдавать разрешения на доступ вам придется ручками.

    Добавление папок сервера


    Для добавления папок существует другой мастер, который поможет и создать папку на диске, и общий доступ для нее настроить, и разрешения выдать. Для его запуска необходимо щелкнуть соответствующую ссылку в панели мониторинга.

    В открывшемся окне мастера вводим название. Можно изменить расположение и добавить описание. Нажимаем далее.

    На следующей странице указываем необходимые разрешения. При необходимости делаем ее недоступной при удаленном доступе.

    С последнего шага данного мастера можно запустить мастер настройки архивации. Нажимаем закрыть.

    Настройка удаленного доступа


    Один, наверное, из самых сложных этапов настройки windows server 2012r2 essentials. Настройка так же происходит с помощью мастера. Мастер традиционно запускается из панели мониторинга.

    Первое что вам необходимо настроить это ваш маршрутизатор – об этом вам сообщает мастер. На самом деле вам необходимо настроить перенаправление портов на маршрутизаторе. Для этого у маршрутизатора должен быть «белый» ip адрес. А на самом сервере лучше настроить статический ip адрес. Перенаправить нужно следующие порты 80, 443, 1723, 987 на ip адрес вашего сервера. В общем то процедуру настройки может выполнить и сам мастер, если ваш маршрутизатор поддерживает upnp.

    После этого открывается новый мастер настройки доменного имени. Нажимаем далее.

    Мастер предложит ввести имя внешнего домена или создать новый. Для собственного домена вам понадобится сертификат, поэтому рассмотрим тут вариант настройки с использованием домена microsoft. Выбираем другое имя домена и щелкаем далее.

    Вариант с доменом компании microsoft.

    Необходимо авторизоваться в microsoft account.

    После авторизации принимаем заявление о конфиденциальности.

    Вводим имя домена и проверяем доступность, жмем настроить.

    С именем домена разобрались. Продолжаем — далее.
    МДК.01.04. эксплуатация автоматизированных (информационных) систем в защищённом исполнении

    4.1 Диагностика состояния подсистемы безопасности, контроль нагрузки и режимов работы сетевой операционной системы

    Для сетевой операционной системы вытесняющая многозадачность представляет особую значимость, так как не позволяет захватить приложению на долгое время процессор и задержать прием или передачу данных в сеть. Примером вытесняющей ос является unix. Настоящая сетевая ос имеет встроенные средства работы с сетью, такая система кроме вышеперечисленных функций позволяет:

    Связывать все компьютеры и периферийные устройства в сеть;

    Координировать функции компьютеров и периферийных устройств в сети;

    Обеспечивать защищенный режим доступа к сетевым ресурсам.

    Компоненты сетевой операционной системы. Сетевая ос состоит из двух основных компонент:

    Спо, устанавливаемого на компьютерах-клиентах;

    Спо, устанавливаемого на компьютерах - серверах

    Клиентское программное обеспечение. В несетевом компьютере ос, имея запросы от пользователя, всегда обращается только к ресурсам своего компьютера. Если речь идет о сетевом компьютере, запрос может быть адресован к локальным ресурсам компьютера или к ресурсам сервера, т.е. Сетевым ресурсам. Для выбора направления адресации запросов в программном обеспечении сетевого компьютера предусмотрена специальная компонента – редиректор (оболочка – shell) или запросчиком (requester). Редиректор принимает запрос от пользователя и определяет направление запроса. Компьютер пользователя называется клиентом, потому что он формирует запрос к серверу. Запрос распознается редиректором и отправляется на сервер. Редиректора выполняет несколько важных задач. Он должен следить за тем, чтобы обозначения устройств соответствовали определенным сетевым ресурсам. Посылать запросы не только к компьютерам, но и к отдельным периферийным устройствам. Благодаря редиректору пользователь может больше не заботиться о реальном местоположении данных или периферийных устройств. Например, для получения доступа к данным на сетевом компьютере, достаточно набрать букву – обозначение диска, присвоенное местонахождению ресурса, и редиректор выполнит все необходимые действия. Если целью запроса является специализированный компьютер – сервер печати, то вам не нужно указывает его местоположение, а достаточно только указать на один из принтеров, подключенных к этому серверу, и редиректор выполнит все остальные действия сам. Соответствие ресурсов сети и условные обозначения для них определяются для каждого пользователя индивидуально. Принципиально возможно, используя оболочку shell создать пользователя «свою» среду, настроенную для решения конкретных задач.

    Серверное программное обеспечение. Собственно, именно оно позволяет всем сетевым компьютерам совместно использовать данные сервера и его периферийные устройства, включая принтеры, плоттеры и диски.

    Существую сетевые ос, у которых все компьютеры содержат программное обеспечение и клиента, и сервера. Примером может служить windows nt и, наоборот, novell - сетевая ос, у которой клиентская часть отделена от серверной.

    Сетевая ос не только предоставляет возможность доступа к совместно используемому ресурсу, но и определяет порядок их совместного использования. При этом имеется в виду следующее возможности по управлению совместно используемым ресурсам:

    Предоставление различным пользователям разного уровня доступа к ресурсам;

    Координацию доступа к ресурсам, - чтобы исключить ситуацию, когда два компьютера пытаются одновременно получить доступ к одному ресурсу.

    другой аспект деятельности сетевой ос связан с управлением правами доступа, т.е. Определять, кто может работать с ресурсами сети. Для этого администратор сети имеет возможность:

    Добавлять в список пользователей сети новых пользователей;

    Предоставлять привилегии отдельным пользователям сети или снимать эти привилегии;

    Удалять определенных пользователей из списка пользователей, поддерживаемой сетевой ос.

    Современные сетевые ос имеют инструментальные средства управления сетью, которые помогают администратору анализировать состояние сети.

    установка windows nt server

    Установка современных операционных систем производиться с помощью специальной программы. На первом этапе с помощью вопросов, которые задает эта программа, уточняются условия установки, затем выбирается нужный набор отдельных компонент (дистрибутив) и генерируется сетевая ос. Точная и правильная формулировка условий работы ос – залог ее правильной и устойчивой работы:

    Размером сети;

    Типом задач, которые сервер будет выполнять в сети;

    Типом файловой системы, которую будет использовать сервер;

    Идентификацией сервера;

    Операционными системами, установленными на сервере;

    Распределение дискового пространства сервера.

    Идентификация сервера. Программа установки запрашивает следующие данные о сервере и сети: имя сегмента сети ( имя домена или рабочей группы); имя сервера.

    Сеть, работающая под управлением windows nt server, разделяется на отдельные области – домены. Домен – это логическое объединение нескольких компьютеров с целью упрощения управления ресурсами и администрированием. В таких сетях сервер домена может выполнять задачи, связанные с ведением файловой системы, управлять сетевой печатью, отвечать за безопасность и хранение важной информации, осуществлять резервное копирование. Другими словами первый установленный в такой сети сервер – это главный контроллер домена (primary domain controller, pdc). Такой контроллер будет содержать важнейшую информацию о домене и его пользователях, проверять их полномочия, и он будет единственным в домене. Другие серверы, устанавливаемые в домене позже, могут выполнять функции резервных контроллеров домена (backup domain controller, bdc). В домене в целях безопасности должен быть хотя бы один bdc. Другие серверы, устанавливаемые в сети, могут выполнять функции серверов файлов, печати и приложений.

    Устанавливая сервер, вы должны указать, является ли он главным сервером (pdc) или это резервный контроллер или простой сервер.

    Разделы на жестких дисках сервера. Перед установкой сетевой ос, необходимо решить, как будет использоваться пространство жестких дисков сервера. В любом случае диск разбивается на разделы (partition). Каждый из разделов может резервироваться для «своих» целей, например, для базы данных или для графических приложений. Очевидно, должен быть раздел для самой сетевой ос. Размеры этих разделов определяются на основании исходных данных, по соответствующей ос или приложению.

    Сетевые адаптеры. Сервер, как обязательный элемент имеет в своем составе, по крайней мере, хотя бы один сетевой адаптер, который обязательно должен быть сконфигурирован и, для него, необходимо установить драйвер. Как обязательный шаг здесь потребуется определить протокол. Для windows nt допускается использование протоколов: tcp/ip; netbeui; ipx/spx. По умолчанию принимается tcp/ip.

    Установка tcp/ip. Для установки протокола необходимо задать: адрес, маску подсети и шлюз по умолчанию.

    Ip - адрес, представляет собой 32 разрядное число. Этот адрес состоит из двух частей: адреса подсети и адреса компьютера (хоста) в подсети.

    Маска подсети служит для упрощения поиска маршрута движения информации от компьютера к компьютеру.

    Шлюз по умолчанию необходим для определения маршрута движения информации при ее передаче компьютеру другой сети. Если этот параметр не задан, то маршруты передачи ограничены локальной сетью.

    Конфигурирование tcp/ip вручную. В этом случае все параметры вы должны определить сами и ввести их в тот момент, когда будет производиться установка драйвера и протокола. Если вы устанавливаете сервер в существующей сети, то при выборе всех этих параметров вы должны проконсультироваться с администратором сети.

    Автоматическое конфигурирование. В этом случае microsoft windows nt server поддерживает динамический протокол конфигурирования (dynamic host configuration protocol, dhcp). Для поддержки этой возможности в сети должен быть сконфигурирован сервер dhcp. При его наличии компьютеры, поддерживающие dhcp, могут запрашивать у него необходимые параметры конфигурации. Если такой сервер вам доступен, то достаточно активировать enable automatic dhcp configuration. Автоматическая конфигурация с использованием dhcp может быть произведено позже с помощью control panel в network.

    Системные требования к серверу. Для нормальной работы сервера необходимо точно знать минимальные требования, которым он должен удовлетворять. Обычно эти требования указаны в технической документации к пакету программ сетевой ос. Все в общем сводиться к определению типа процессора, требуемому дисковому пространству и емкости оперативной памяти.

    Установка сетевых служб windows nt server

    Сетевые службы – это стандартные приложения сетевой ос, которые обеспечивают минимальный набор сервиса (service). Как всегда в таких случаях, минимальный набор этих служб устанавливается при инсталляции системы по умолчанию. В процессе работы могут потребоваться изменения. Установка и удаление служб напоминает операции с драйверами. Все установки осуществляются в окне control panel и network settings. Сетевая служба реализована программно, поэтому при добавлении новой службы нужно установить дополнительное программное обеспечение (add software) в окне add network software. Выберите службу, которую вы хотите установить и щелкните по кнопке continue.

    При включении компьютера некоторые службы запускаются автоматически (по умолчанию). Другие службы могут быть запущены вручную. Для этого необходимо нужно открыть окно services в control panel. Если в столбце status открывшегося окна требуемой службы стоит manual, то для запуска нужно щелкнуть по кнопке start. Для перевода запуска службы в автоматический режим требуется только воспользоваться кнопкой startup.

    Копирование файлов сетевой ос.

    Запустите программу установки сетевой ос.

    Причитав предложенный на экране текст щелкните по кнопке start setup.

    Получив на экране приглашение welcome, нажмите enter.

    Появиться приглашение с предложением о режиме установки, выберите быстрый (express) режим, нажав enter.

    Внимательно читайте все сообщения, появляющиеся на экране и сделайте так как указывает система установки. Появиться сообщение о том, что для этой имитации диск не нужен ( в реальных условиях это может быть не так). Для продолжения установки, нажмите enter.

    В ответ на приглашение вставить диск вновь нажмите enter.

    Появиться новое сообщение о том, что найден контроллер диска фирмы adaptec. Для продолжения процесса нажмите enter.

    На экране появиться новое сообщение о возможности установки ос с компакт-диска или с 3,5” гибких дисков. Установка в лабораторной работе должна производиться с компакт-диска. Для продолжения вновь нажмите enter.

    Для размещения ос система предложит вам создать раздел на жестком диске. Поступайте в соответствии с рекомендациями в help, нажимая enter.

    На следующем шаге вам необходимо выбрать тип файловой системы, сделав выбор нажмите enter.

    Операционная система на диске занимает определенный объем, поэтому на следующем шаге проверяется наличие этого места. Если пространства хватает, процесс установки продолжается. В ответ на ваши действия система сообщит о завершении операции переноса файлов на диск. Первый этап работы завершен.
    4.2. Организация работ с удалёнными хранилищами данных и базами данных.

    Рассмотрим основные операции, осуществляемые при работе с удаленной бд: создание бд и управление ее структурой, использование собы­тий сервера и механизма транзакций, управление привилегиями и манипулиро­вание данными.
    В отличие от локальной бд, являющейся скорее логическим понятием, по­скольку ее таблицы находятся в разных файлах и, возможно, в разных катало­гах, удаленная бд представляет собой физический объект.
    2.3.1 создание и удаление базы данных с использованием программы ibconsole
    2.3.2 sql-запросы для создания и удаления базы данных
    2.3.3 работа с таблицами 2.3.1 создание и удаление базы данных с использованием программы ibconsole
    для создания удаленной бд interbase удобно использовать программу ibconsole, на примере работы с которой мы и изучим операции с бд. Процесс создания бд начинается с вызова команды database/create database, открывающей окно create database.

    Надпись server отображает название сервера interbase, в нашем случае — это локальный сервер (local server).
    Для новой бд необходимо указать ее псевдоним, файлы и параметры. Псевдо­ним, задаваемый в поле редактирования alias, предназначен для идентификации бд при работе внутри сервера interbase и не связан с псевдонимами bde. В списке file(s) перечисляются файлы создаваемой бд и их размеры (в страни­цах), достаточно указать один файл. Для файла необходимо задать его точное расположение, для локального сервера — это каталог.
    Среди параметров наибольший интерес представляет установка набора, исполь­зуемого по умолчанию для кодировки символов. Кодировка важна при выпол­нении таких операций, как сортировка строк. В windows для символов, вклю­чающих русские буквы, применяется вариант windows 1251 кода ansi (win1251).
    После нажатия кнопки ок создается бд с указанными параметрами. Новая база первоначально является пустой и не содержит ни таблиц, ни данных. Ее файлтем не менее имеет размер около 600 кбайт, т. К. Включает в себя разнообраз­ную служебную информацию.
    С вновь созданной бд автоматически устанавливается соединение. Для удаления базы данных следует выполнить команду database\drop database, при этом появляется окно с предупреждением. После подтверждения операции происходит удаление, которое заключается в удалении с диска файлов .gdb, со­держащих всю информацию базы данных.
    Восстановить удаленную бд невозможно.
    Удалить бд имеет право только ее создатель или системный администратор, имеющий имя sysdba.
    sql-запросы для создания и удаления базы данных
    создать и удалить бд можно также, подготовив и выполнив соответствующие запросы. Запрос можно выполнить как в среде программы ibconsole, так и из приложения с помощью компонента query.

    Имя файла бд указывает спецификацию (имя и путь) физического файла, в ко­тором будет храниться информация создаваемой бд. Имя файла является един­ственным обязательным параметром, который должен быть задан для новой бд. Остальные параметры являются факультативными.
    Если данные хранятся более, чем в одном физическом файле, то говорят о мно­гофайловой бд. Такая структура может быть использована при большом объеме данных, когда файл базы (с расширением gdb) достигает значительных разме­ров. При этом первый файл бд называется первичным, а все последующие — вторичными.
    работа с таблицами

    Для изменения структуры таблиц нужно иметь соответствующие права (полномочия) доступа к бд и ее таблицам. Кроме того, изменяемые элементы структуры не должны в этот момент использоваться другими пользователями. Например, нельзя удалить индекс, который в данный момент применяется для поиска записей.
    4.3 Организация защищённой передачи данных в компьютерных сетях

    Каналы защищенной передачи данных - виртуальные защищенные каналы связи, называемые криптозащищенными туннелями, или туннелями vpn.

    Изначально сеть интернет рассматривалась как безопасная среда передачи данных между военными. Безопасность организовывалась на уровне физической изоляции объектов от посторонних лиц, и это было оправдано, когда к сети имело доступ ограниченное число машин. Однако, когда интернет стал открытой информационной средой, не только в плане «свободы информации», но и с точки зрения несанкционированного доступа к этой информации, потребность в обеспечении безопасности передачи данных появилась.

    Защита данных в процессе передачи по открытым каналам основана на построении виртуальных защищенных каналов связи - криптозащищенные туннели. Туннель представляет собой соединение, проведенное через открытую сеть, по которому передаются криптографически защищённые пакеты сообщений.

    К протоколу построения защищённого канала передачи данных на канальном уровне относятся:

    *Протокол pptp (point-to-point tunneling protocol), разработанный microsoft совместно с компаниями ascend communications, 3com/primary access, ecl-telematics и us robotics;

    *Протокол l2tp (layer-2 tunneling protocol), объединивший протокол l2f (layer-2 forwarding) и pptp.

    Вышеназванные протоколы объединяет то, что они являются протоколами туннелирования канального уровня. Определению защищенного канала соответствует лишь протокол pptp, который обеспечивает туннелирование и шифрование данных. Протокол l2tp, по сути, является только протоколом туннелирования, а функции защиты в них не поддерживаются. Существует вероятность использования данного протокола совместно с протоколом ipsec.

    Протокол pptp предполагает создание криптозащищенного туннеля на канальном уровне модели osi для случаев как прямого соединения удалённого компьютера с открытой сетью, так и подсоединения его к открытой сети по телефонной линии через провайдера. В основе протокола pptp лежит протокол канального уровня ppp(point-to-point). Первоначально протокол ppp, расположенный на канальном уровне, был разработан для инкапсуляции данных и их доставки по соединеним типа точка-точка. Этот протокол служит также для организации асинхронных соединений.

    Для доставки конфиденциальных данных из одной точки в другую через сети общего пользования сначала производится инкапсуляция данных с помощью протокола ppp, затем протокол pptp выполняет шифрование данных и собственную инкапсуляцию. После того как туннельный протокол доставляет пакеты из начальной точки туннеля в конечную, выполняется деинкапсуляция. Протокол рртр позволяет создавать защищенные каналы для обмена данными по протоколам ip, ipx или netbeui. Данные этих протоколов упаковываются в кадры ррр и затем инкапсулируются посредством протокола рртр в пакеты протокола ir с помощью которого переносятся в зашифрованном виде через любую сеть tcp/ip

    Протокол l2f был разработан компанией cisco systems для построения защищенных виртуальных сетей на канальном уровне модели osi в качестве замены протоколу рртр. От рртр протокол l2f отличается поддержкой разных сетевых протоколов.

    Для протокола l2f характерны следующие свойства:

    • Гибкость процедур аутентификации, предполагающая отсутствие жесткой привязки к конкретным протоколам проверки подлинности;

    • Прозрачность для конечных систем - рабочим станциям локальной сети и удаленной системе не требуется специального программного обеспечения для использования защитного сервиса;

    • Прозрачность для посредников - авторизация удаленных пользователей выполняется аналогично случаю непосредственного подключения пользователей к серверу удаленного доступа локальной сети;

    • Полнота аудита - регистрация событий доступа к серверу локальной сети осуществляется не только сервером удаленного доступа этой сети, но и сервером провайдера.

    1   2   3   4

    написать администратору сайта