авы. Введение Исследовательская часть

Название	Введение Исследовательская часть
Дата	13.06.2022
Размер	280.34 Kb.
Формат файла
Имя файла	авы.doc
Тип	Протокол #587378
страница	4 из 5

1 2 3 4 5

Политика блокировки учетной записи. Групповые политики безопасности Windows могут противостоять таким действиям, используя набор политик узла «Политика блокировки учетной записи». При помощи данного набора политик, у вас есть возможность ограничения количества некорректных попыток входа пользователя в систему. Для этого узла доступны только три политики, которые рассматриваются ниже.
[pic]
Рис. 10 «Политика блокировки учетной записи»

Время до сброса счетчиков блокировки. Active Directory и групповые политики позволяют автоматически разблокировать учетную запись, количество попыток входа в которую превышает установленное вами пороговое значение. При помощи этой политики устанавливается количество минут, которые должны пройти после неудачной попытки для автоматической разблокировки. Вы можете установить значение от одной минуты до 99999. Это значение должно быть меньше значения политики «Продолжительность блокировки учетной записи».
Пороговое значение блокировки. Используя эту политику, вы можете указатьколичество некорректных попыток входа, после чего учетная запись будет заблокирована. Окончание периода блокировки учетной записи задается политикой «Продолжительность блокировки учетной записи» или администратор может разблокировать учетную запись вручную. Количество неудачных попыток входа может варьироваться от 0 до 999. Я рекомендую устанавливать допустимое количество от трех до семи попыток.
Продолжительность блокировки учетной записи. При помощи этого параметра вы можете указать время, в течение которого учетная запись будет заблокирована до ее автоматической разблокировки. Вы можете установить значение от 0 до 99999 минут. В том случае, если значение этой политики будет равно 0, учетная запись будет заблокирована до тех пор, пока администратор не разблокирует ее вручную.

Резервное копирование данных.
  Смоделируем самый простой случай: на нашем компьютере_1 на диске «С» есть сетевая папка «Share» с общим доступом (на чтение и запись).
  В ней содержатся "важные" для организации данные.
  Нам надо все эти файлы и папки "забекапить" - скопировать, на компьютер_2. Для этого создаем на втором компьютере папку, где будут храниться наши резервные копии. Называем ее как-то незамысловато - «backup».
  Предлагаю сначала подключить общий сетевой ресурс компьютера_1 к компьютеру_2 в виде сетевого диска. Для этого на компьютере_2 открываем окно проводника Windows и в верхнем меню выбираем пункт «сервис» и - «Подключить сетевой диск».
  На мониторе отобразится окно, в котором необходимо будет указать букву для нашего подключаемого диска (буква должна быть не занята дисками, уже установленными в системе). Указываем, к примеру, «Z». Нажимаем кнопку «Обзор» и выбираем в нашем сетевом окружении компьютер_1 и его общую сетевую папку «Share». Если оставить галочку рядом с надписью "Восстанавливать при входе в систему" то после перезагрузки компьютера_2 сетевой диск «Z» будем смонтирован (присоединен) автоматически.
  Дальше выбираем нужный нам общий ресурс инажимаем кнопку «Готово». Проверяем, что у нас получилось. Заходим на компьютере_2 в "Мой компьютер" - появился сетевой диск «Z», который на самом деле находится на компьютере_1, но работать мы с ним можем как будто это локальный диск нашего компьютера_2.
Планирование и реализация аудита. Настройка аудита позволяет выбрать типы событий, подлежащих регистрации, и их регистрируемые результаты — успех или отказ. Перед тем как развертывать аудит, необходимо принять решение относительно перечисленных ниже параметров аудита. Типы событий, которые должны регистрироваться в Вашей сети.

Таблица 1. Параметры аудита
|Чтобы отслеживать... |Включите аудит следующих событии |
|попытки несанкционированной регистрации |вход в систему и выход из нее |
|попытки несанкционированного использования ресурсов |использование ресурсов папки и файла |
|системные задачи, выполняемые пользователем |использование привилегий |
|изменения в учетных записях пользователей и групп |управление пользователями и группами |
|изменения привилегий пользователей или стратегии аудита |изменение политики безопасности |
|попытки манипулирования сервером |перезагрузка или выключение системы |
|программы, используемые пользователями |отслеживание процессов |

Какой результат события должен регистрироваться: успех, отказ или оба.
Регистрация успехов поможет определить, насколько часто пользователи обращаются к определенным файлам или принтерам. Это, в частности, поможет в планировании использования ресурсов.Регистрация отказов будет сигнализировать о попытках нарушения защиты.
Реализация аудита. Аудит реализуют на том компьютере, события которого собираются отслеживать. Для отслеживания событий на любом другом компьютере домена (например, доступа к файлу на сервере) необходимо настроить аудит на этом компьютере.
Аудит производится в два этапа.
• Определение стратегии путем выбора событий, подлежащих аудиту, в программе User Manager for Domains. На компьютерах под управлением Windows NT Workstation или на серверах используйте программу User Manager (Диспетчер пользователей).
• Выбор файлов, папок и принтеров, для которых необходим аудит, а также пользователей и групп, действия которых Вы хотите отслеживать. Для установки аудита папок и файлов пользуйтесь программой Windows NT Explorer (Проводник); аудит принтеров устанавливается в окне Printers (Принтеры).
Первый этап разработки стратегии аудита — выбор событий, подлежащих аудиту, в диалоговом окне Audit Policy (Политика аудита) программы User Manager for Domains (Диспетчер пользователей доменов). Это окно открывается командой Audit (Аудит) меню Policies (Политика).
В приведенной ниже таблице описаны типы событий, которые могут регистрироваться.
Таблица 2. Выбор событий
|Тип событий |Что позволяет отслеживать |
|Logon and Logoff |Регистрацию пользователя в системе или выход из нее, а также установку и разрыв |
|(Вход и выход) |сетевого соединения |
|File and Object Access |Доступ пользователей к папкам, файлам и принтерам, подлежащих аудиту. Чтобы |
|(Доступ к файлам и объектам) |выполнять аудит файлов и принтеров, установите этот флажок |
|Use of User Rights |Использование привилегий пользователей (за исключением привилегий, связанных с |
|(Применение привилегий)|регистрацией в системе и выходом из нее) |
|User and Group Management |Создание, изменение (переименование, отключение, изменение пароля и т.д.) и |
|(Управление пользователями и |удаление учетных записей пользователей и групп, а также изменения в ограничениях |
|группами) |учетной записи (время работы и рабочие станции, на которых разрешена регистрация) |
|Security Policy Changes |Изменения в привилегиях пользователей, стратегии аудита и политике доверительных |
|(Изменение политики безопасности) |отношений |
|Restart, Shutdown and System |Перезапуск или выключение компьютера пользователем, либо возникновение ситуации, |
|(Перезагрузка, выключение и |влияющей на безопасность системы (например, когда журнал аудита переполняется и |
|системные события) |информация о событиях утрачивается) |
|Process Tracking |События, которые вызывают запуск программ, например выбор программы в меню Start |
|(Отслеживание процессов) |(Пуск) или щелчок ссылки на Web-странице, повлекший запуск программы установки |

Поэтапная реализация аудита:
1. Зарегистрируйтесь в системе по учетной записи Administrator.
2. В меню Start (Пуск) последовательно выберите пункты Programs (Программы), Administrative Tools (Администрирование) и щелкните пункт User Manager for Domains (Диспетчер пользователей доменов).
3. В меню Policies (Политика) выберите пункт Audit (Аудит). Появится диалоговое окно Audit Policy (Политика аудита).
4. Щелкните переключатель Audit These Events (Аудит событий).
5. На основании своего плана установите для требуемых событий соответствующие флажки — Success (Успех), Failure (Отказ) или оба.
6. Щелкните кнопку ОК.
7. Закройте User Manager for Domains.
Аудитфайлов и папок
После того как стратегия аудита определена, остается выбрать папки и файлы, подлежащие аудиту, указать, какие события этих файлов и папок должны регистрироваться, а также пользователей и группы, действия которых с этими объектами должны отслеживаться. Чтобы вызвать диалоговое окно Directory Auditing (Аудит каталога) или File Auditing (Аудит файла), щелкните правой кнопкой мыши папку или файл в Windows NT Explorer (Проводник), выберите из появившегося меню пункт Properties (Свойства), щелкните вкладку Security (Безопасность), а затем — кнопку Auditing (Аудит).
В приведенной ниже таблице описаны параметры аудита папок. При настройке аудита файлов эти параметры не появляются на экране.

Таблица 3. Аудит папок
|Действие |Его описание |
|Установка флажка Replace Auditing on |Изменения параметров аудита распространятся на все папки, вложенные в данную. |
|Subdirectories |По умолчанию изменение параметров аудита сказывается только на выбранной папке|
|(Изменить режим аудита для вложенных |и содержащихся в ней файлах |
|папок) | |
|Сброс флажка Replace Auditing on |Изменения параметров аудита распространятся только на папку. По умолчанию этот|
|Existing Files |флажок установлен. Сброс флажка означает неизменность параметров аудита файлов|
|(Изменить режим аудита для |данной папки |
|существующих файлов) | |

В следующей таблице описаны события, аудит которых возможен и для папок, и для файлов.

Таблица 4. Аудит папок и файлов
|Событие |Что позволяет отслеживать|
|Read |Открытие и копирование файла; просмотр его атрибутов, прав доступа или владельца; |
|(Чтение) |просмотр содержимого, атрибутов, прав доступа или владельца папки. Включайте аудит |
| |чтения для всей важной информации |
|Write |Изменение содержимого или атрибутов файла; просмотр прав доступа к нему; создание или |
|(Запись) |копирование файла; создание папки, изменение ее атрибутов, просмотр прав доступа к ней|
| |или сведений о ее владельце. Включайте аудит записи для всей важной информации |
|Execute |Просмотр атрибутов файла, прав доступа к нему или имени его владельца, а также запуск |
|(Выполнение) |программы; изменение папки, просмотр ее атрибутов, прав доступа или имени владельца. |
| |Включайте аудит выполнения в сетях с высокими требованиями к безопасности |
|Delete |Удаление папок и файлов, копирование файлов. Включайте аудит удаления для всех важных |
|(Удаление) |данных в сетях со средними и высокими требованиями к безопасности |
|Change Permissions |Изменение прав доступа к файлам или папкам. Включайте аудит смены разрешений в сетях |
|(Смена разрешений) |со средними и высокими требованиями к безопасности |
|Take Ownership |Смену владельца файлов или папок. Включайте аудит смены владельца в сетях со средними |
|(Смена владельца) |и высокими требованиями к безопасности |

План восстановления работы Домена после сбоя. Служба Active Directory (AD) недаром считается краеугольным камнем новых технологий, реализованных в Windows 2000. AD служит центральным хранилищем иточкой доступа к огромным объемам информации, поэтому безупречное состояние и постоянная готовность этой службы являются непременным условием бесперебойной работы сети. Если каталог AD выйдет из строя, то, скорее всего, от всей инфраструктуры служб IT не будет никакого толку. Отсюда вывод: тщательно продуманный план восстановления службы AD просто необходим.
Для успешного проведения операции восстановления нужно знать, какие именно данные следует копировать. Как известно, каталог AD хранится на контроллерах доменов сети, поэтому полное восстановление AD предполагает наличие полных резервных копий каждого контроллера домена. И уж во всяком случае для всех доменов леса нужно иметь резервные копии всех серверов глобальных каталогов (Global Catalog, GC) и всех контроллеров, отвечающих за исполнение операций (Operations Masters). В идеале требуется полное резервирование этих машин, однако нужно иметь в виду, что все данные, необходимые для резервирования каждого DC, содержатся на системном разделе диска и в сведениях о состоянии системы System State. Эта информация для контроллера домена включает данные AD, а также файлы для работы взаимодействующих с AD служб (например, файлы реестра, загрузочные файлы, файлы каталога Sysvol, базы данных службы сертификатов Certificate Services и службы Microsoft Cluster). Как известно, служба DNS имеет большое значение для функционирования AD, поэтому в данные состояния System State включаются только зоны, интегрированные с AD. Это одна из причин необходимости резервирования системного раздела, где и расположены стандартные зоны.
Подробный план восстановления данных после сбоя системы предусматривает не только меры по обеспечению резервного копирования, но и предоставление обновленных данных, которые позволяют контроллерам доменов выступать в роли серверов GC и Operations Masters. Каждый сервер GC содержит копию каждого объекта леса, и это обстоятельство обеспечивает возможность поиска по AD без обращения к контроллерам доменов в каждом домене. Определить,на каком контроллере домена хранится глобальный каталог, можно с помощью оснастки Active Directory Sites and Services консоли управления Microsoft Management Console (MMC). Активизировав консоль, нужно щелкнуть правой кнопкой мыши на объекте Ntds интересующего сервера и выбрать пункт Properties. Если данный сервер является сервером GC, в открывшемся диалоговом окне будет выставлен флажок Global Catalog.
Исполнители ролей Operations Masters — это контроллеры доменов, выполняющие в своих доменах или лесах особые задачи по обслуживанию важнейших функций AD, которые не используют применяемый в AD метод репликации с несколькими владельцами. К примеру, схема AD определяет, какие типы объектов могут создавать пользователи, а контроллер — исполнитель роли владельца схемы (Schema Master) — является единственным на весь лес контроллером домена, уполномоченным принимать изменения в схеме. Определить, какие контроллеры доменов выступают в качестве Operations Masters, можно с помощью оснастки Active Directory Users and Computers консоли MMC. Это касается контроллеров, исполняющих любые роли, кроме роли мастера схемы Schema Master; в этом случае следует обратиться к оснастке Schema Manager консоли MMC. Чтобы выяснить, какие контроллеры доменов играют роль Operations Masters, нужно запустить оснастку Active Directory Users and Computers, щелкнуть правой кнопкой мыши на имени домена в левой панели консоли и в контекстном меню выбрать пункт Operations Masters. Кроме того, можно использовать утилиту командной строки Ntdsutil.
Теперь, когда известно, какие именно данные требуется резервировать на контроллере домена и какие контроллеры доменов сети нужно резервировать в любом случае, можно переходить к выбору метода восстановления. В зависимости от ситуации восстановление службы AD и возвращение в строй отказавшего контроллера домена можно осуществлять с помощью повторной установки или восстановления с резервной копии непринудительным (nonauthoritative) или принудительным (authoritative) методом.Восстановление AD посредством повторной установки
Если на одном из контроллеров домена сети нарушена целостность файлов или базы данных, для восстановления службы AD проще всего переустановить Windows 2000 и затем запустить мастер Active Directory Installation Wizard (DCPromo). В процессе выполнения DCPromo система связывается с другим контроллером в рамках того же домена и получает от него новейшую копию каталога AD.
Восстановление AD с помощью резервной копии
В некоторых случаях восстановление каталога службы AD с помощью повторной установки Windows 2000 вполне допустимо, но бывают ситуации, когда приходится прибегнуть к помощи резервных копий содержимого контроллера домена. К примеру, при работе с узлом, располагающим всего одним контроллером домена, и использовании глобальных каналов связи WAN передача данных в процессе репликации с помощью мастера DCPromo невозможна. Лучше всего, не прибегая к переустановке Windows 2000, восстановить AD с резервной копии. В этой ситуации следует выбрать непринудительный метод восстановления. Ну а при попытке восстановить информацию, которая была по ошибке удалена из AD (и, следовательно, не может быть извлечена из других контроллеров данного домена), придется выполнить принудительное восстановление каталога службы AD.

5. Задание № 5

Постановка задачи:
1. Определение физической и логической структуризации сети.
2. Коммуникационные устройства: концентратор, коммутатор, мост, маршрутизатор. Характеристики, достоинства и недостатки.
3. Установка и настройка концентратора.
Выполнение:
Под физической топологией понимается конфигурация связей, образованных отдельными частями кабеля, а под логической – конфигурация информационных потоков между компьютерами сети. Во многих случаях физическая и логическая топологии совпадают, но есть примеры несовпадения физической и логической топологий. Например, концентратор Ethernet поддерживает в сети физическую топологию звезда, однако логическая топология – общая шина.Концентратор 100VG AnyLAN поддерживает в сети физическую топологию звезда, однако логическая топология – кольцо. Концентратор используется в сети для соединения различных сегментов кабеля с целью увеличения общей длины сети. Этот процесс называется физической структуризацией сети. Физическая структуризация сети необходима и полезна во многих случаях, но в сетях больших и среднего размера необходима логическая структуризация сети.
Сети, где все сегменты рассматриваются в качестве одной разделяемой среды, оказывается неадекватной структуре информационных потоков в большой сети. Например, в сети с общей шиной взаимодействие любой пары компьютеров занимает её на всё время обмена, поэтому при увеличении числа компьютеров шина становится узким местом. Компьютеры одного отдела на предприятии вынуждены ждать, когда кончит обмен пара компьютеров другого отдела, и это при том, что необходимость в связи между компьютерами разных отделов возникает гораздо реже и требует небольшой пропускной способности. Решение проблемы состоит в отказе от идеи единой разделяемой среды. Это значит, что в сеть каждого из отделов должны попадать те и только те кадры, которые адресованы узлам этой сети. При такой организации сети её производительность существенно повысится, так как компьютеры одного отдела не будут простаивать в то время, когда обмениваются данными компьютеры других отделов. Такая организация сети называется логической структуризацией. Под логической структуризацией сети понимается разбиение общей разделяемой среды на логические сегменты, которые представляют самостоятельные разделяемые среды с меньшим количеством узлов. Взаимодействие между логическими сегментами организуется с помощью мостов, коммутаторов и маршрутизаторов. Перечисленные устройства передают кадры с одного своего порта на другой, анализируя адрес назначения, помещённый в этих кадрах. Мосты и коммутаторы выполняют операцию передачи кадров на основе плоских адресов канального уровня, т. е. МАС , а маршрутизаторы на основе номера сети. При этомединая разделяемая среда, созданная концентраторами (или в предельном случае – одним сегментом кабеля) делится на несколько частей, каждая из которых присоединена к порту моста, коммутатора или маршрутизатора. Логический сегмент представляет собой единую разделяемую среду.

1 2 3 4 5