Дополнительно к первичным и резервным контроллерам домена, работающим под управлением Windows 2000 Server, есть другой тип серверов. Во время установки Windows 2000 они определяются, как “серверы”, а не контроллеры домена. Сервер, который входит в домен, не получает копию базы данных пользователей домена. [12]
5.5.5. Выбор модели организации сети
Проанализировав организационно-штатную структуру предприятия, можно заключить, что оптимальным выбором является модель основного домена. Ее достоинства и недостатки сведены в табл. 5.1.
Таблица 5.2
Преимущества и недостатки модели основного домена. |Преимущества |Недостатки | |Учетные карточки пользователей могут |Ухудшение | |управляться централизовано. |производительности в | | |случае, если домен будет | | |дополнен большим числом | | |пользователей и групп. | |Ресурсы сгруппированы логически. Что |Локальные группы должны | |актуально в связи с территориальной |быть определены в каждом | |разбросанностью рабочих станций |домене, где они будут | |предприятия. |использоваться. | |Домены отделений могут иметь своих | | |собственных администраторов, которые | | |управляют ресурсами в отделе. Что является | | |актуальным для предприятия так как в | | |компьютерных классах обязательно должно | | |быть администрирование сети. | | |Глобальные группы должны быть определены | | |только один раз (в основном домене). | |
5.6. Служба Routing and Remote Access
Служба Routing and Remote Access (Маршрутизация и удаленный доступ) — это фактически полноценный многофункциональный маршрутизатор, поддерживающий множество протоколов. Используйтся Routing and Remote Access для поддержки маршрутизации в частных сетях и между разными сегментами сети.
Функции, обеспечиваемые службой Routing and Remote Access: поддержка множества протоколов, в том числе IP, IPX и AppleTalk; V одноадресная (unicast) IP-маршрутизация средствами протоколов:
1. Open Shortest Path First (OSPF);
2. Routing Information Protocol (RIP) версий 1 и 2, протокол маршрутизации IP;
V многоадресная (multicast) IP-маршрутизация средствами маршрутизатора
IGMP (Internet Group Membership Protocol), в том числе при работе в режиме прокси-сервера;
V маршрутизация вызова по требованию по коммутируемым WAN-подключениям;
V поддержка VPN-сетей по туннельному протоколу Point-to-Point Tunneling
Protocol (PPTP);
V поддержка VPN-сетей по туннельному протоколу Layer Two Tunneling
Protocol (L2TP);
V фильтрация IP- и IPX-пакетов;
V агент ретрансляции DHCP (DHCP Relay Agent) для IP;
V поддержка носителей, в том числе Ethernet, Token Ring, Fiber
Distributed Data Interface (FDDI), ATM (Asynchronous Transfer Mode),
Integrated Services Digital Network (ISDN), T-Carrier, Frame Relay, xDSL, кабельных модемов, Х.25 и аналоговых модемов.
5.7. Измерение сетевого трафика
Наблюдение за сетевой активностью включает:
V наблюдение за производительностью сервера;
V измерение общего сетевого трафика.
С сетевой активностью связано большое количество счетчиков. Все сетевые компоненты - Server, Redirector, протоколы NetBIOS, NWLink, TCP/IP - генерируют набор статистических параметров. Ненормальное значение сетевого счетчика часто говорит о проблемах с памятью, процессором или диском сервера. Следовательно, наилучший способ наблюдения за сервером состоит в наблюдении за сетевыми счетчиками в сочетании с наблюдением за такими счетчиками, как %Processor Time, %Disk Time и Pages/sec.
Например, если сервер показывает резкое увеличение счетчика Pages/sec одновременно с падением счетчика Total bytes/sec, то это может говорить о том, что компьютеру не хватает физической памяти для сетевых операций.
Расчет сетевой нагрузки
[pic] где : n – количество запросов;
[pic] - продолжительность передачи ед.объема информации
Т – время работы сети
А=0.25
Во время работы пользователя в среднем за один диалоговый шаг передается 1,5 - 2,0 Кб данных, а одна операция требует в среднем прохода по 3 - 4 экранам, поэтому средний объем операции принимается равным 16000 байт. Для того, чтобы обеспечить требуемое время ответа (response time) утилизация сети не должна превышать 50%. Оптимальной считает нагрузка 30% , в нашей сети получена нагрузка 25%, что свидетельствует об оптимальной работе сети.
6. Защита информации в сети
Исследование и анализ многочисленных случаев воздействий на информацию и несанкционированного доступа к ней показывают, что их можно разделить на случайные и преднамеренные.
Для создания средств защиты информации необходимо определить природу угроз, формы и пути их возможного проявления и осуществления в автоматизированной системе. Для решения поставленной задачи все многообразие угроз и путей их воздействия приводится к простейшим видам и формам, которые были бы адекватны их множеству в автоматизированной системе.
Исследование опыта проектирования, изготовления, испытаний и эксплуатации автоматизированных систем говорят о том, что информация в процессе ввода, хранения, обработки и передачи подвергается различным случайным воздействиям.
Причинами таких воздействий могут быть:
- отказы и сбои аппаратуры;
- помехи на линии связи от воздействий внешней среды;
- ошибки человека как звена системы;
- системные и системотехнические ошибки разработчиков;
- структурные, алгоритмические и программные ошибки;
- аварийные ситуации;
- другие воздействия.
Преднамеренные угрозы связаны с действиями человека, причинами которых могут быть определенное недовольство своей жизненной ситуацией, сугубо материальный интерес или простое развлечение с самоутверждением своих способностей, как у хакеров, и т.д.[12]
Нет никаких сомнений, что на предприятии произойдут случайные или преднамеренные попытки взлома сети извне. В связи с этим обстоятельством требуется тщательно предусмотреть защитные мероприятия.
Для вычислительных систем характерны следующие штатные каналы доступа к информации:
- терминалы пользователей, самые доступные из которых это рабочие станции в компьютерных классах;
- терминал администратора системы;
- терминал оператора функционального контроля;
- средства отображения информации;
- средства загрузки программного обеспечения;
- средства документирования информации;
- носители информации;
- внешние каналы связи.
Принято различать пять основных средств защиты информации:
- технические;
- программные;
- криптографические;
- организационные;
- законодательные.
6.1. Анализ возможностей системы разграничения доступа Windows 2000 Advanced Server
Windows 2000 Advanced Server имеет средства обеспечения безопасности, встроенные в операционную систему. Ниже рассмотрены наиболее значимые из них.
6.1.1. Слежение за деятельностью сети
Windows 2000 Server дает много инструментальных средств для слежения за сетевой деятельностью и использованием сети. ОС позволяет просмотреть сервер и увидеть, какие ресурсы он использует; увидеть пользователей, подключенных к настоящему времени к серверу и увидеть, какие файлы у них открыты; проверить данные в журнале безопасности; записи в журнале событий; и указать, о каких ошибках администратор должен быть предупрежден, если они произойдут. [3]
6.1.2. Начало сеанса на рабочей станции
Всякий раз, когда пользователь начинает сеанс на рабочей станции Windows 98, экран начала сеанса запрашивает имя пользователя, пароль и домен. Затем рабочая станция посылает имя пользователя и пароль в домен для идентификации. Сервер в домене проверяет имя пользователя и пароль в базе данных учетных карточек пользователей домена. Если имя пользователя и пароль идентичны данным в учетной карточке, сервер уведомляет рабочую станцию о начале сеанса. Сервер также загружает другую информацию при начале сеанса пользователя, как например установки пользователя, свой каталог и переменные среды.
По умолчанию не все учетные карточки в домене позволяют входить в систему. Только карточкам групп администраторов, операторов сервера, операторов управления печатью, операторов управления учетными карточками и операторов управления резервным копированием разрешено это делать.
Для всех пользователей сети предприятия предусмотрено свое имя и пароль.
6.1.3. Учетные карточки пользователей
Каждый клиент, который использует сеть, должен иметь учетную карточку пользователя в домене сети. Учетная карточка пользователя содержит информацию о пользователе, включающую имя, пароль и ограничения по использованию сети, налагаемые на него. Имеется возможность также сгруппировать пользователей, которые имеют аналогичные ресурсы, в группы; группы облегчают предоставление прав и разрешений на ресурсы, достаточно сделать только одно действие, дающее права или разрешения всей группе.
Таблица 6.1 показывает содержимое учетной карточки пользователя.
Таблица 6.1
Содержимое учетной карточки. |Учетная карточка |Элемент учетной |Комментарии. | |пользователя. |карточки. | | |Username |Имя пользователя |Уникальное имя пользователя, | | | |выбирается при регистрации. | | | | | |Password |Пароль |Пароль пользователя. | | | | | |Full name |Полное имя |Полное имя пользователя. | | | | | |Logon hours |Часы начала |Часы, в течение которых | | |сеанса |пользователю позволяется входить в| | | |систему. Они влияют на вход в | | | |систему сети и доступ к серверу. | | | |Так или иначе, пользователь | | | |вынужден будет выйти из системы, | | | |когда | | | |его часы сеанса, определенные | | | |политикой безопасности, истекут | |Logon workstations|Рабочие станции |Имена рабочих станций, на которых | | | |пользователю позволяется работать.| | | |По умолчанию пользователь может | | | |использовать любую рабочую | | | |станцию, но возможно введение | | | |ограничений. | | |Дата истечения | | |Expiration date |срока |Дата в будущем, когда учетную | | | |карточку автоматически исключают | | | |из базы, полезна при принятии на | | | |работу временных служащих | |Учетная карточка |Элемент учетной |Комментарии. | |пользователя. |карточки. | | |Home directory |Собственный |Каталог на сервере, который | | |каталог |принадлежит пользователю; | | | |пользователь управляет доступом к | | | |этому каталогу. | | | | | |Logon script |Сценарий начала |Пакетный или исполняемый файл, | | |сеанса |который запускается автоматически,| | | |когда пользователя начинает сеанс.| | | | | |Profile |Установки | | | |(параметры) |Файл, содержащий запись о | | | |параметрах среды рабочего стола | | | |(Desktop) пользователя, о таких, | | | |например, как сетевые соединения, | | | |цвета экрана и установочные | | | |параметры, определяющие, какие | | | |аспекты среды, пользователь может | |Account type |Тип учетной |изменить. | | |карточки | | | | |Тип учетной карточки - глобальный | | | |или локальный. |
Страницы: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13