Введение Проектирование офисной сети
Скачать 460 Kb.
|
3 Построение локальной вычислительной сети в ОАО «Горизонт»3.1 Постановка задачи для реализации проекта ОАО «ГОРИЗОНТ» создано для управления и/или эксплуатации, технического и санитарного содержания многоквартирных домов. В быту под термином «управляющая компания» подразумевают все виды компаний, не разделяя при этом их по видам деятельности и назначения. То есть деятельность организации связана с использованием и порождением большого объема информации. Малейшее нарушение при ее хранении и обработке скажется на снижении эффективности деятельности ОАО «Горизонт» в целом. Информация является своеобразным предметом труда, а качественно организованный процесс управления информационными ресурсами позволяет предприятию эффективно вести свою деятельность и решать поставленные задачи с меньшой степенью риска. Использование локальной компьютерной сети позволяет избавиться от бумажного документооборота, повышает производительность труда, сокращает время на обработку информации. С внедрением сети произошла персонализация средств вычисления, организованы автоматизированные рабочие места, позволяющие эффективно решать соответствующие задачи. Неудобства при отсутствии ЛВС Отсутствие сети усложнило бы работу сотрудников, вызвало неудобства, повлекло затраты: – перенос информации с одного компьютера на другой осуществлялся бы при помощи съемных носителей памяти, отнимал время; – доступ к глобальной сети производился только с компьютера, имеющего модем; – периферийными устройствами (принтеры) оборудованы не все компьютеры (для использования таким устройством нужен съемный носитель памяти, компьютер, к которому подключено устройство, необходимо освободить на некоторое время); – затраты на приобретение различных устройств для каждого компьютера (жесткий диск, принтер, CD-ROM, модем) и дорогостоящего программного обеспечения. При разработке структуры и логики будущей ЛВС ОАО «Горизонт» автором были поставлены следующие задачи: Структура сети должна соответствовать структуре информационных потоков. В зависимости от сетевого трафика компьютеры в сети могут быть разделены на группы (сегменты сети). Компьютеры объединяются в группу, если большая часть порождаемых ими сообщений, адресована компьютерам этой же группы. Согласование различных протоколов канального уровня для образования единой транспортной системы, объединяющей несколько сетей с различными принципами передачи информации между конечными узлами. Маршрутизация пакетов в сети с выбранной топологией. Разработка двуранговой структуры КС с выделенным сервером; Организация сетевых сервисов (служб): DNS, Active Directory, DHCP, DNS, File Server, Terminal Server; Прежде, чем выбрать оборудование для построения офисной КС, нужно определиться с ее структурой и топологией, а также задачами, которые будут выполнять пользователи сети. Итак, будущая КС будет состоять из 30 рабочих станций. Она разрабатывается на реальном объекте: филиале ООО XXX». В фирме работает 30 человек, у каждого из них есть рабочее место с установленным компьютером. Фирма состоит из нескольких функциональных отделов, которые территориально располагаются на территории одного здания на одном этаже. Права доступа к информации определяются индивидуально к сотрудникам каждого отдела. Какая-то часть информации должна быть общедоступной, а часть должна быть доступна только пользователям определенного отдела. Все пользователи сети должны иметь доступ, как к внутренним информационным ресурсам организации, так и к ресурсам глобальной сети Интернет. Причем в данном случае, права доступа тоже назначаются индивидуально к сотрудникам каждого отдела, в зависимости от функций, возложенных на них в процессе хозяйственной деятельности фирмы. К примеру, часть сотрудников должна иметь доступ ко всем сервисам и ресурсам сети Интернет, а часть должны иметь доступ только к электронной почте, используя для этих целей только определенный набор доступных протоколов. Необходимости в делении сети на виртуальные сегменты нет, сеть строится без использования технологии VLAN. Движение трафика для всех отделов прозрачно, разграничение прав доступа к информационным ресурсам обеспечивается программными средствами на уровне Active Directory (службы каталогов Windows 2008 Server) и ПО Traffic Inspector. Необходимо обеспечить конфиденциальность информации, хранимой в сети, а также ее защиту от различных вредных внутренних и внешних воздействий, таких как несанкционированный доступ, повреждение или искажение информации вследствие действий взломщиков («хакеров») или действия вредоносного кода (программы-вирусы, трояны, черви и т.д. и т.п.). Отталкиваясь от описанных исходных данных, автор разработал техническое задание на разработку и построение сети. Данное техническое задание составлено на разработку и настройку, внедрение и отладку ЛВС в ОАО «Горизонт» . Основные параметры: КС проектируется для 1 этажа здания, в котором необходимо обеспечить взаимодействие для 30 персональных компьютеров. Кабельная инфраструктура строится на базе одного главного коммуникационного центра. Проектируемая сеть должна обеспечить решение следующих задач: - Сетевое хранение файлов и сетевая печать; - Электронная почта; - Высокопроизводительная система коллективной работы с информацией (База данных); - Резервное копирование файлов сервера; - Резервное копирование файлов сетевых приложений (хранилища электронных сообщений, базы данных); - На всю сеть необходимо наличие одного главного коммуникационного центра. Параметры производительности сетевых устройств: - Полоса пропускания канала связи с рабочими станциями должна составлять не менее 100 Мбит/с; - Необходимо выделять эту полосу пропускания для каждой рабочей станции (коммутируемая сеть); - Магистраль должна обеспечивать пропускную способность не менее 33% от максимального трафика коммуникационного центра. -Оборудование должно быть управляемым только в главном коммуникационном центре. Для повышения уровня отказоустойчивости сети необходимо обеспечить: - Резервирование блоков питания для устройств активного сетевого оборудования главного коммуникационного центра. На каждом рабочем месте необходимо установить порты кабельной системы в количестве равном 2. Параметры кабельной системы главного коммуникационного центра. Превышение количества рабочих мест над числом персональных компьютеров должно составлять не менее 30 %; Программное обеспечение должно быть представлено продукцией фирмы Microsoft. Для центральных серверов проекта должно быть выбрано оборудование группы Aquarius. Количество центральных серверов должно равняться 1. Распределение приложений и пользователей по серверам (см. табл.1). Таблица 1- Сервисы и клиенты
Необходимая конфигурация сервера Тип процессора: Обычный Количество процессоров в сервере: 1 Объем оперативной памяти (ОЗУ) сервера (Мб): 4024 Необходимый объем дискового пространства (Гб): 1000 Желаемый тип корпуса: Монтируемый в стойку (RackMount) Требуется обеспечить бесперебойным питанием следующие компоненты компьютерной сети: - Активное сетевое оборудование; - Серверы. Для организации бесперебойного питания активного сетевого оборудования и серверов необходимо использовать распределённую систему бесперебойного питания. Время работы от батарей должно составлять не менее 7 минут. Помимо стандартной конфигурации, необходимо, чтобы источники бесперебойного питания главного коммуникационного центра поддерживали следующие дополнительные функции: управление ИБП через сеть по SNMP/Telnet/HTTP (при помощи любого Web-браузера); штатное завершение работы каждого подключенного к ИБП сервера в случае полного разряда батарей. После проработки технического задания, изучив структуру помещений офиса и исходя из поставленных задач, автор разработал принципиальную схему будущей КС (см. Приложение 3). Критически важной задачей, которая может выполняться на конечном этапе проэктирования, является проведение контрольного опроса на предмет удовлетворенности конечных пользователей. Он позволит выяснить, все ли пользователи участвуют в процессе модернизации систем, приложений и функциональных возможностей, на все ли вопросы были получены ответы, все ли проблемы были устранены, и, что важнее всего, все ли пользователи были уведомлены о преимуществах и достоинствах новой среды. На этом этапе проекта внимание должно уделяться не только непосредственно самому развертыванию технологии, но и общению с пользователями. Пользователи должны обязательно получить навыки и поддержку, необходимые для прохождения данного процесса. Следует подготовиться к тому, что в каждом подразделении или группе пользователей первые несколько дней после модернизации будут обязательно возникать какие-то трудности и вопросы. Кроме того, нужно не забыть об особых пользователях с уникальными требованиями, и о пользователях, работающих удаленно, поскольку они будут нуждаться в дополнительной поддержке. 3.2 Выбор аппаратных средств для ЛВС Теперь, когда основные задачи определены, еще раз кратко вспомним характеристики наиболее распространенного сетевого оборудования и различия между ними. Повторители Ethernet, часто называемые концентраторами или хабами, просто передают полученные пакеты во все свои порты независимо от адресата. Мосты функционируют в соответствии со стандартом IEEE 802.1d. Подобно коммутаторам Ethernet мосты не зависят от протокола и передают пакеты порту, к которому подключен адресат. Однако, в отличие от большинства коммутаторов Ethernet, мосты не передают фрагменты пакетов при возникновении коллизий и пакеты с ошибками, поскольку все пакеты буферизуются перед их пересылкой в порт адресата. Буферизация пакетов (store-and-forward) приводит к возникновению задержки по сравнению с коммутацией на лету13. Мосты могут обеспечивать производительность, равную пропускной способности среды, однако внутренняя блокировка несколько снижает скорость их работы. Работа маршрутизаторов зависит от сетевых протоколов и определяется связанной с протоколом информацией, передаваемой в пакете. Подобно мостам, маршрутизаторы не передают адресату фрагменты пакетов при возникновении коллизий. Маршрутизаторы сохраняют пакет целиком в своей памяти прежде, чем передать его адресату, следовательно, при использовании маршрутизаторов пакеты передаются с задержкой. Маршрутизаторы могут обеспечивать полосу, равную пропускной способности канала, однако для них характерно наличие внутренней блокировки. В отличие от повторителей, мостов и коммутаторов маршрутизаторы изменяют все передаваемые пакеты. Конечное сетевое оборудование является источником и получателем информации, передаваемой по сети. Компьютеры, подключенные к сети, являются самым универсальным узлом. Прикладное использование компьютеров в сети определяется программным обеспечением и установленным дополнительным оборудованием. Установка мультимедийного оборудования может превратить компьютер в IP-телефон, видеотелефон, терминал видеоконференцсвязи. Сетевой интерфейс обеспечивается адаптером локальной сети и программными средствами загружаемой операционной системы. Для дальних коммуникаций используется модем внутренний или внешний. С точки зрения сети, ”лицом” компьютера является его сетевой адаптер. Тип сетевого адаптера должен соответствовать назначению компьютера и его сетевой активности. Сервер является тем же компьютером, но подразумевается его более высокая сетевая активность. Для подключения к сети желательно использовать полнодуплексные высокопроизводительные адаптеры. Серверы желательно подключать к выделенному порту коммутатора в полнодуплексном режиме. При установке двух или более сетевых интерфейсов и соответствующего программного обеспечения сервер может играть роль маршрутизатора или моста14. Серверы могут иметь возможность “горячей” замены дисковых накопителей, резервирование питания, блокировку несанкционированного доступа, средства мониторинга состояния (включая возможность сообщения о критических событиях на пейджер администратора). Серверы, как правило, должны иметь высокопроизводительную дисковую подсистему, в качестве интерфейса которой используют шину SCSI или SATA, SATAII15. Терминалы, алфавитно-цифровые и графические, используются в клиент-серверных системах в качестве рабочих мест пользователя, а также в качестве консолей для управления сетевым оборудованием. Терминал имеет собственную систему команд. Он может эмулироваться и персональным компьютером, при этом в качестве интерфейса может выступать как СОМ – порт, так и сетевой интерфейс. Разделяемые принтеры обеспечивают печать заданий от множества пользователей ЛС. В общем случае для этого требуется принт-сервер – средство выборки заданий из очереди и собственно принтер, логически подключенный к принт-серверу. В роли принт-сервера может выступать обычный компьютер, подключенный к сети, и принтер подключается к его порту. Принт-сервер может встраиваться в собственно принтер или исполняться в виде отдельного сетевого устройства. Использование разделяемых принтеров, особенно лазерных в графическом режиме с высоким разрешением, значительно нагружает сеть. Принт-сервер (сетевой принтер) желательно подключать к выделенному порту, полный дуплекс ему не нужен. Подключение принтера кабелем параллельного интерфейса территориально привязывает принтер к компьютеру, поскольку кабель имеет длину 1,5 – 5 м. Для принтера это не всегда удобно. Сетевые принтеры, в дополнение к локальным, имеют встроенный сетевой интерфейс Ethernet. В этом случае у них должно присутствовать встроенное программное обеспечение, рассчитанное на тот или иной сетевой протокол. Сетевой принтер территориально может располагаться в любом месте помещения, где есть розетка кабельной сети16. Аппаратный принт-сервер представляет собой микроконтроллер, снабженный сетевым интерфейсом и несколькими последовательными и параллельными портами. К портам подключаются обычные принтеры. Встроенное ПО обеспечивает выборку заданий из очереди на файл-сервере. Принт-сервер обычно поддерживает протокол какой-нибудь одной операционной системы, возможность перезаписи встроенного ПО в некоторых случаях позволяет сменить протокол или улучшить предоставляемый сервис. При выборе оборудования для компьютерной сети автором было принято решение выбрать компанию 3Com в качестве производителя. Свой выбор на 3Com он остановил благодаря хорошим отзывам об оборудовании данного производителя, а также благодаря тому, что при производстве своего оборудования они снабжают его дополнительными функциями, технологиями и протоколами собственной разработки. Особенность состоит в том, что если строить сеть исключительно на активном сетевом оборудовании компании 3Com, то надежность и эффективность такой сети значительно возрастает. Происходит это благодаря тому, что оборудование тестирует само себя, а также соседние активные узлы, при этом постоянно поддерживая актуальные связи между собой. В сети с оборудованием 3Com увеличивается скорость благодаря технологии уплотнения трафика. В качестве коммутирующих устройств автором были выбраны концентраторы типа Switch, так как они не только передают пакет на порт адресата, в отличие от хабов, которые всего лишь копируют полученный пакет на все порты, но и усиливают сигнал. Это позволяет избежать эффекта затухания сигнала на отдаленных участках сети. Кроме того, устройства типа Switch позволяют значительно разгрузить сеть от лишнего трафика, так как, в отличие от хабов, полученный сигнал передается строго на порт адресата, а не дублируется во все порты. Оборудование в случае комплексного строительства сети «под ключ» лучше приобретать у одного поставщика, так как: Во-первых, поставки оборудования будут наверняка единовременными; Во-вторых, можно рассчитывать на значительные скидки, приобретая оборудование, что позволит максимально удешевить проект строительства новой сети; В-третьих, можно рассчитывать на оперативную круглосуточную техническую поддержку данного оборудования и увеличенные сроки гарантийного сервисного обслуживания, что позволит значительно снизить совокупную стоимость эксплуатации оборудования. Несмотря на то, что при выборе использовалось оборудование класса выше среднего, достаточно функциональное и качественное, к тому же с запасом из расчета + 30% к существующим рабочим местам, проект получился относительно недорогим даже по меркам сегодняшнего дня. Осталось лишь настроить рабочие станции после монтажа сети и подключения конечного сетевого оборудования. Необходимо скорректировать сетевые параметры компьютеров пользователей следующим образом (см. табл. 2.). Таблица 2 - Сетевые параметры пользователей компьютерной сети филиала ООО XXX»
Основной шлюз – адрес компьютера, который предназначен для организации доступа пользователей компьютерной сети к сети Интернет. В данном случае это ПК с двумя установленными сетевыми адаптерами и инсталлированным на него специализированным программным обеспечением «Traffic Inspector», обеспечивает управление трафиком, статистикой и учетом предоставляемого доступа. Доступ к вешней сети обеспечивается при помощи подключенного протокола NAT. DNS-сервер основной – Центральный сервер с установленной на него операционной системой Microsoft Windows 2008 Server Enterprise Edition, установленными на нем сетевыми службами Active Directory, DNS Server, File Server и т.п. В данном случае указывается в качестве сетевого параметра, так как при входе в систему клиентскому компьютеру необходимо иметь в сети работающий сервер DNS, способный разрешать имена хостов по их сетевым адресам, который также выполняет функции контроллера домена. DNS-сервер дополнительный – в данном случае является одновременно Интернет-шлюзом и прокси-сервером организации. В качестве сетевого параметра пользовательского компьютера прописывается, так как способен разрешить его запросы на разрешение имен к внешним ресурсам, к сети Интернет. После настройки центрального сервера, Интернет-шлюза и клиентских компьютеров сеть готова к работе. 3.3 Защита информации в сети Долгое время термин безопасность Microsoft считался (и, возможно, справедливо) сочетанием несовместимых понятий. Значительные бреши в безопасности и вирусы, пользующиеся особенностями систем Windows NT 4.0 и Windows 2000 Server, часто вынуждали организации с осторожностью относиться к безопасности (или к ее отсутствию), встроенной в технологии компании Microsoft. Прямым результатом такого критического отношения стало то, что безопасность в Windows Server 2003 была объявлена первостепенным, если не наиболее важным приоритетом для разработчиков. В Windows Server 2008 эта тенденция продолжается, с такими усовершенствованиями, как Server Core и встроенный интеллектуальный брандмауэр. Безопасность на серверном уровне — одно из самых важных понятий для сетевой среды. Серверы в инфраструктуре не только выполняют критические сетевые службы наподобие системы доменных имен (DNS), протокола динамического конфигурирования хостов (DHCP), поиска в каталогах и аутентификации, но и являются централизованным местом хранения большинства, а то и всех, критических файлов в сети организации. Поэтому так важно составить план обеспечения безопасности на серверном уровне и полностью разобраться в возможностях защиты Windows Server 2008. Меры безопасности наиболее эффективны, когда они применяются по уровням. Например, ограбить дом значительно труднее, если грабителю нужно не только взломать парадную дверь, но и справиться со сторожевой собакой и отключить домашнюю охранную систему. Это же относится и к безопасности сервера: система безопасности должна состоять из нескольких уровней, чтобы трудность ее взлома возрастала экспоненциально. В Windows Server 2008 органично сочетаются множество необходимых уровней безопасности, в которых используются аутентификация Kerberos, защита файлов NTFS и встроенные средства безопасности, обеспечивая, таким образом готовую систему безопасности. Для применения дополнительных компонентов безопасности необходимо понимать особенности их функционирования и установить и сконфигурировать их элементы. Windows Server 2008 позволяет добавлять дополнительные уровни безопасности и предоставляет организациям усиленную защиту без ущерба для функциональных возможностей17. Один из наиболее часто недооцениваемых, но, возможно, наиболее важных компонентов безопасности сервера — реальная физическая безопасность самого сервера. Самый надежный, не поддающийся взлому веб-сервер бессилен, если злоумышленник может просто отключить его от сети. Еще хуже, если кто-либо, войдя в систему важного файлового сервера, сможет скопировать секретные файлы или вывести компьютер из строя. Физическая безопасность — обязательное условие для любой организации, поскольку именно с ней чаще всего связано появление брешей в системе безопасности. Несмотря на это, во многих организациях уровни физической безопасности важных для производственной деятельности серверов легко преодолимы или вовсе отсутствуют. Значит, непременным условием обеспечения безопасности является понимание того, что требуется для защиты физического и логического доступа к серверу. Серверы должны быть защищены физически, т.е. установлены в запирающемся помещении с контролируемым доступом. Критичные для производственного процесса серверы не стоит помещать у ног администраторов или в других ненадежных местах. Идеальной с точки зрения безопасности сервера средой является специальное помещение или постоянно запертый шкаф. Большинство компаний-изготовителей оборудования снабжают свои изделия механизмами для физической блокировки некоторых или всех компонентов сервера. В зависимости от применения других уровней безопасности может быть целесообразным использовать такие механизмы для защиты среды сервера. В состав Windows Server 2008 входит существенно усовершенствованный встроенный брандмауэр, по умолчанию включенный во всех установках продукта. Этот брандмауэр, администрируемый из оснастки ММС, обеспечивает беспрецедентные возможности по управлению и защите сервера. Брандмауэр с усиленной защитой полностью интегрирован с утилитой Server Manager (Диспетчер сервера) и Server Roles Wizard (Мастер серверных ролей). К примеру, если администратор запустит мастер Server Roles Wizard и укажет, что компьютер должен работать в качестве файлового сервера, то после этого на сервере будут открыты лишь те порты и протоколы, которые нужны для доступа к файловому серверу. Одним из главных недостатков безопасности Windows была трудность своевременно¬го обновления серверов и рабочих станций последними оперативными исправлениями. Например, обновление безопасности на сервере индексирования IIS было доступно более чем за месяц до появления вирусов Code Red и Nimbda. Если бы развернутые веб-серверы вовремя загрузили это обновление, они бы не пострадали. Основная причина того, что подавляющее большинство серверов не было обновлено, заключалась в том, что своевременное обновление серверов и рабочих было абсолютно не автоматизированным и к тому же длительным процессом. Поэтому потребовался упрощенный способ применению обновлений безопасности, который был реализован в очередной версии службы обновления Windows Server (Windows Server Update Services — WSUS). В нашем небезопасном мире сервер безопасен ровно настолько, насколько безопасны выполняемые на нем приложения. Тем не менее, Windows Server 2008 является наиболее безопасной операционной системой Windows и содержит множество встроенных механизмов обеспечения безопасности сервера. Однако необходимо учитывать и дополнительные меры безопасности — антивирусную защиту и резервное копирование — так как они непосредственно влияют на общий уровень безопасности самой операционной системы. Вероятно, вирусы — одна из наиболее серьезных опасностей для сервера. Многие вирусы написаны специально для использования основных уязвимостей в инфраструктуре сервера. Другие заражают файлы, которые могут храниться на сервере, распространяя инфекцию среди клиентов, загружающих эти файлы. Поэтому крайне важно подумать над применением средств антивирусной защиты всех файловых серверов сети предприятия. Все основные производители антивирусных программ включают в свои пакеты надежные сканеры файлового уровня, и эти сканеры следует использовать на всех файловых серверах18. Сама Microsoft выпустила линейку антивирусных продуктов, тесно интегрированных с серией Windows Server. Это линейка продуктов обеспечения безопасности Forefront. Ее преимуществом является то, что в ней одновременно работают пять антивирусных механизмов. Таким образом, если один из этих механизмов не сможет выявить вирус или пользуется не обновленной базой данных, то существует высокая вероятность, что данный вирус будет обнаружен одним из других механизмов. Хотя необходимость стратегии резервного копирования вполне очевидна большинству людей, зачастую можно лишь удивляться, насколько небрежно многие организации относятся к этому важному аспекту. Слишком часто компаниям приходится на собственном горьком опыте убеждаться, что сделать резервную копию сервера очень легко, а вот восстановить его значительно труднее. Часто в организациях пренебрегают не только вопросами аварийного восстановления, но и защитой резервных копий19. Процедура резервного копирования файлового сервера требует, чтобы копирование данных на устройство хранения данных выполнял пользователь, имеющий соответствующие полномочия. Это требование гарантирует, что никто посторонний не сможет скопировать состояние среды и унести с собой магнитную ленту. Поэтому все ленты, содержащие резервные копии серверов, должны охраняться столь же тщательно, как и сам сервер. Слишком часто огромные стопки лент с резервными копиями серверов оставляют без присмотра на рабочих столах, и слишком часто в организациях отсутствует механизм учета, где какие ленты находятся. Поэтому обязательно применение строгой процедуры хранения и проверки архивных лент. В современных взаимосвязанных сетях безопасность транспортного уровня является важным, если не одним из главных, фактором обеспечения безопасности в любой организации. Защита коммуникаций между пользователями и компьютерами в сети — очень важное условие, а в некоторых случаях оно требуется законом. Система Windows Server 2008 построена на надежном фундаменте системы безопасности Windows Server 2003 и Windows Server 2008 и включает в себя поддержку таких механизмов безопасности транспортного уровня, как IPSec и PKI, с помощью технологий наподобие AD CS и AD RMS. Правильное конфигурирование и применение этих средств может эффективно защитить передачу данных в организации и обеспечить их использование только теми, для кого эти данные предназначены. Поскольку даже наиболее защищенные инфраструктуры имеют уязвимые места, ре¬комендуется применять многоуровневую защиту особо важных сетевых данных. В случае взлома одного уровня защиты взломщику для получения доступа к важным данным придется преодолеть второй или даже третий уровень системы безопасности. Например, сложная, "не поддающаяся взлому" 128-битная схема шифрования оказывается бесполезной, если взломщик просто выведает пароль или PIN-код у законного пользователя с помощью социотехнических приемов. Дополнение системы безопасности вторым или третьим уровнем сделает взлом всех уровней значительно более сложной задачей. Средства безопасности транспортного уровня Windows Server 2008 используют несколько уровней аутентификации, шифрования и авторизации для повышения уровня безопасности сети. Возможности конфигурирования, предоставляемые Windows Server 2008, позволяют установить несколько уровней безопасности транспортного уровня20. Даже сразу после установки система Windows Server 2008 является самой безопасной на данный момент системой семейства Windows. Повышенное внимание к вопросам безопасности, выразившееся в инициативе Trustworthy Computing, способствует повышению общего уровня безопасности сервера — с помощью, отключения по умолчанию ненужных служб и блокирования прав доступа на файловом уровне. В дополнение к стандартным воз¬можностям, дополнительные возможности Windows Server 2008, такие как интегрированный интеллектуальный брандмауэр, позволяют администраторам добавлять в серверы несколько уровней безопасности, еще более надежно защищая их от атак и уменьшая их уязвимость. Кроме того, возможности автоматического обновления службой обновления Windows Server (Windows Server Update Services) создают для организаций фундамент защиты серверов и рабочих станций от постоянно появляющихся угроз безопасности. В результате проведённого исследования эффективности сетевых сервисов Windows Server мы определим наиболее активные процессы, и выяснили, как система справляется с рабочей нагрузкой, также в ходе анализа результатов определили базовый уровень производительности системы. Из проанализированной информации можно сделать вывод: - на предприятии имеется 30 рабочих станций, которые объединены группы и образуют корпоративную сеть; - Windows Server 2008 обеспечивает следующие расширенные возможности: постоянные соединения; управление "захоронением"; улучшенная утилита управления; расширенная фильтрация и поиск записей; динамическое стирание записей и множественный выбор; проверка записей и проверка правильности номера версии; функция экспорта; увеличенная отказоустойчивость клиентов; консольный доступ только для чтения к WINS Manager; - для выбранной организационно-штатной структуры предприятия что оптимальным выбором является модель основного домена; - Windows 7 предоставляет возможность защитить зашифрованные файлы и папки на томах NTFS благодаря использованию шифрованной файловой системы EFS (Encrypting File System). Ниже перечислены основные рекомендации по вопросам безопасности сети: - Необходимо фактически серверы, помещая их в помещениях с запирающимися дверями и контролируемым доступом. - Обеспечивать безопасность на нескольких уровнях. - Использовать мастер серверных ролей (Server Roles Wizard) для активизации ролей сервера и их автоматической защиты. - Использовать интегрированный брандмауэр Windows для повышения безопасности; открывайте только необходимые порты и разрешать только необходимые протоколы. - Ограничивать доступность вторжениям скомпрометированного сервера с помощью входящих и исходящих правил брандмауэра. - При необходимости административного доступа использовать команду Run As Administrator (Запуск от имени администратора), а не вход в систему с учетной записью администратора. - Выявлять внутренних (или внешних) злоумышленников прежде, чем им удастся нанести серьезный ущерб, путем создания в сети достоверно выглядящих совместных сетевых ресурсов (прием "Горшок с медом") — например, "Финансовые соглашения", "Информация о корневом каталоге" и иже с ними, и аудита обращений к этим папкам. - Для защиты сетевой среды использовать одну или несколько доступных технологий безопасности транспортного уровня. - Поскольку даже самые надежные инфраструктуры имеют уязвимые места, рекомендуется создать несколько уровней безопасности для особо важных сетевых данных. - Хранить самостоятельный головной сервер СА в физически запертом месте и выключайте его, если он в данный момент не нужен. Этот совет не относится к головным СА предприятия, которые нельзя отключать на длительное время. - Использование надежной антивирусной защиты. |