Администрирование информационных систем Программа подготовки бакалавров по направлению «Информационные системы и технологии»
Тема 1. Основы администрирования информационных систем.
Функции и процедуры администрирования.
Функции и процедуры администрирования.
Функции и процедуры администрирования.
Функции и процедуры администрирования.
Функции и процедуры администрирования.
Функции и процедуры администрирования.
Функции и процедуры администрирования.
Управление конфигурацией
Управление конфигурацией
Управление конфигурацией
Управление конфигурацией
Управление конфигурацией
Управление конфигурацией
Инсталляция информационных систем.
Планирование инсталляционных работ
Выбор аппаратно-программных средств
Выбор аппаратно-программных средств
Выбор аппаратно-программных средств
Выбор аппаратно-программных средств
Выбор аппаратно-программных средств
Администрирование ОС
Администрирование ОС
Администрирование ОС
Администрирование ОС
Администрирование ОС
Администрирование ОС
Администрирование ОС
Администрирование ОС
Администрирование ОС
Администрирование ОС
Администрирование ОС
Администрирование ОС
Администрирование ОС
Администрирование ОС
Администрирование ОС
Тема 3. Базовые средства администрирования Windows 2003 Server. Администрирование сетей передачи данных. Сетевые службы и
Сетевые службы
Сетевые службы
Сетевые службы
Сетевые службы
Сетевые службы
Сетевые службы
Сетевые службы
Сетевые службы
Сетевые службы
Сетевые службы
Сетевые службы
Сетевые службы
Сетевые службы
Запуск и остановка служб
Сетевые службы
Сетевые службы
Мониторинг служб
Управление службами
Администрирование ЛВС
Администрирование ЛВС
Администрирование ЛВС
Понятие сети
Организация сети
Преимущества сетевых технологий
Локальные сети
Глобальные сети
Сетевые стандарты
Модель взаимодействия открытых систем (OSI)
Семь уровней эталонной модели OSI
Модель OSI
Цель разработки эталонной модели
Семь уровней эталонной модели OSI
Семь уровней эталонной модели OSI
Семь уровней эталонной модели OSI
Семь уровней эталонной модели OSI
Семь уровней эталонной модели OSI
Семь уровней эталонной модели OSI
Одноранговая модель взаимодействия
Тема 4. Администрирование дисковых ресурсов. Файловые системы Windows 2003 Server.
Администрирование баз данных.
Администрирование данных
Администрирование данных
Администрирование данных
Администрирование данных
Администрирование данных
Администрирование данных
Администрирование данных
Тема 5. Служба каталогов ActiveDirectory. Механизм групповой политики.
Код безопасности
Использование учетных записей
Управление пользователями
Графический интерфейс управления пользователями
Командный интерфейс управления пользователями
Командный интерфейс управления пользователями
Командный интерфейс управления пользователями
Управление группами
Группы безопасности
Создание группа в Active Directory
Командный интерфейс управления группами
Управление подразделениями
Управление учетными записями компьютера
Внесение пактеных изменений
Безопасность в Active Directory
Защита Active Directory
Методы обеспечения безопасности
Списки контроля доступа
Управление доступом
Групповые политики
Анализ и настройка безопасности
Шаблоны безопасности
Примеры шаблонов безопасности
Стандартные шаблоны безопасности
Стандартные шаблоны безопасности
Стандартные шаблоны безопасности
Стандартные шаблоны безопасности
Графический интерфейс работы с шаблонами безопасности
Анализ и настройка безопасности
Службы каталогов
Службы каталогов
Пространство имен X.500 и протокол LDAP
Протокол LDAP
Доменная модель службы каталогов
Иерархия доменов
Доверительные отношения
Контроллеры домена
Разделы каталога
Раздел глобального каталога
Другие разделы
Организационные единицы
Управление службой Active Directory
Управление службой Active Directory
Службы ИНТЕРНЕТ в Windows Server 2003
Возможности служб IIS
Повышенная надежность служб IIS 6.0
Режимы работы
Группы приложений
Обеспечение безопасности
Проверка подлинности
Управление доступом
Схема управление доступом
Шифрование
Шифрование с открытым ключом
Сертификаты
Аудит
Администрирование IIS
Неформатированная метабаза
Сценарии администрирования
Создание веб-узлов
Удаление веб-узлов
Запуск, приостановка и остановка веб-узлов
Управление ftp-узлом
Создание, удаление, запуск и остановка ftp-узла
Виртуальные каталоги
Управление конфигурациями IIS
Управление резервными копиями
Копирование конфигураций
Установка дополнительных компонентов
Диспетчер служб IIS
Тема 7. Администрирование сервера баз данных. Планирование инфраструктуры сервера баз данных и выбор версий WindowsSQLServer
Безопасность в SQL Server 2000
Безопасность в SQL Server 2000
Безопасность в SQL Server 2000
Безопасность в SQL Server 2000
Безопасность в SQL Server 2000
Безопасность в SQL Server 2000
Безопасность в SQL Server 2000
Безопасность в SQL Server 2000
Безопасность в SQL Server 2000
Безопасность в SQL Server 2000
Аутентификация Windows
Аутентификация Windows
Аутентификация Windows
Аутентификация SQL Server
Учетные записи
Учетные записи
Учетные записи
Учетные записи
Управление пользователями
Управление пользователями
Роли
Роли
Роли сервера
Роли сервера SQL Server 2000
Роли сервера SQL Server 2000
Роли базы данных
Роли баз данных
Фиксированные роли базы данных
Фиксированные роли базы данных
Роли баз данных
Роли баз данных
Права доступа
Права доступа
Права доступа к данным
Права доступа к данным
Права на выполнение отдельных процедур и функций
Права на выполнение команд Transact-SQL
Права на выполнение команд Transact-SQL
Управление разрешениями средствами Enterprise Manager
Права на выполнение команд Transact-SQL
Управление правами доступа
Создание учетной записи средствами Enterprise Manager
Выбор ролей сервера для учетной записи
Предоставление доступа к БД
Создание пользовательской роли БД
Создание пользовательской роли БД
Административные задачи (обязанности администратора)
Ограничения целостности в MS SQL Server
Ограничения целостности в MS SQL Server
Ограничения целостности в MS SQL Server
Ограничения целостности в MS SQL Server
Ограничения целостности в MS SQL Server
Ограничения целостности в MS SQL Server
Ограничения целостности в MS SQL Server
Тема 9. Системы безопасности и администрирование SQLServer. Проектирование защиты баз данных (проектирование схем и
Безопасность ИС
Безопасность ИС
Управление системой безопасности
Управление системой безопасности
Управление системой безопасности
Управление общим доступом
Управление общим доступом
Управление общим доступом
Управление общим доступом
Управление общим доступом
Управление общим доступом
Управление общим доступом
Управление общим доступом
Управление общим доступом
Классы безопасности
Управление общим доступом
Управление общим доступом
Тема 5 Эксплуатация и сопровождение информационных систем
Управление пользователями
Оперативное управление и регламентные работы
Команды обслуживания сети
Диагностика сети
Диагностика сети
Устранение неполадок
Устранение неполадок
Конфигурирование сети
Конфигурирование сети
Аудит ИС
Аудит. Первая прична
Аудит. Вторая причина
Аудит. Составные части
Виды аудитов
Виды аудитов
Виды аудитов
Аудит
Аудит
Аудит
Аудит
Аудит
Тестирование ИС
Эксплуатация и сопровождение ИС
Эксплуатация и сопровождение ИС
Управление рисками и инцидентами
Управление рисками и инцидентами
Управление рисками и инцидентами
Риски администрирования
Риски
ISO 12207
Аудит
Решения проблем
2.57M
Категория: ИнформатикаИнформатика

Основы администрирования информационных систем. Тема 1

1. Администрирование информационных систем Программа подготовки бакалавров по направлению «Информационные системы и технологии»

КАФЕДРА ИНФОРМАЦИОННЫХ СИСТЕМ
Администрирование
информационных систем
Программа подготовки бакалавров по направлению
«Информационные системы и технологии»
Гавриленко Андрей Васильевич
Денисов Денис Владимирович

2.

Основная литература:
Беленькая М. Н., Малиновский С. Т., Яковенко Н. В.
Администрирование в информационных системах. 2-е
изд., испр. и доп., 408 c. - М.: Горячая линия - Телеком,
2014.
2

3. Тема 1. Основы администрирования информационных систем.

• Управление конфигурацией информационной
системы.
• Управление
системой
безопасности.
Управление общим доступом.
• Выявление и контроль сбойных и ошибочных
ситуаций.
• Необходимость процедур администрирования
в ИС.

4. Функции и процедуры администрирования.

• Администрирование (административные механизмы) –
это процедуры управления, регламентирующие
некоторые процессы или их часть.
• К таковым процессам относят планирование работ,
построение, эксплуатацию и поддержку эффективной ИТинфраструктуры, интегрированной в общую архитектуру
информационной системы – один из критических
факторов успешной реализации стратегических бизнесцелей организации.

5. Функции и процедуры администрирования.

• Инфраструктура включает решения по
программному обеспечению, аппаратному
комплексу и организационному
обеспечению ИС, что соответствует
пониманию системы в современных
стандартах типа ISO/IEC 15288.

6. Функции и процедуры администрирования.

В инфраструктуру ИТ входят:
• вычислительное и телекоммуникационное оборудование;
• каналы связи;
• инженерно-техническое оборудование, обеспечивающее работу
вычислительных и телекоммуникационных средств;
• программные приложения, реализующие функциональность ИТсистем (прикладное программное обеспечение) и обеспечивающие
функционирование оборудования (системное программное
обеспечение);
• администрация и персонал, осуществляющие эксплуатацию ИС;
• внутренние положения и инструкции, регламентирующие работу
персонала с ИТ-системами;
• исходные тексты программных приложений, входящих в ИТ-систему
(прикладное и системное ПО);
• системная и пользовательская документация программных
приложений и аппаратных комплексов и др.

7. Функции и процедуры администрирования.

• ИС и инфраструктура ИТ требуют
организационной, программной и технической
поддержки. Это реализуется через работу
системного администратора.
• Действия, выполняемые администратором, могут
изменяться в зависимости от рабочей среды и
приложений, с которыми приходится работать. Но
независимо от среды необходимо иметь
системную политику и строго следовать ей, а
также ознакомить с данной политикой всех
пользователей.

8. Функции и процедуры администрирования.

• основной задачей системного администратора
является поддержка работы компьютеров. При
работе с системой необходимо ее запускать и
останавливать работу. При этом необходимо
проверять, работает ли система, есть ли на дисках
свободное место и корректно ли работают
необходимые сервисы.
• Т.е. необходимы упреждающие действия

9. Функции и процедуры администрирования.

• Упреждающие действия (процедуры)
• центральный процессор (ЦП) — здесь фиксируется
использование ЦП, обычно по средней нагрузке, и
определяется производительность системы;
• память — сбор данных для ее мониторинга
осуществляется перемещением на жесткий диск блоков
памяти (страниц памяти), в том числе и блоков с
оперативной памятью, и, наоборот, восстановлением в
оперативной памяти страниц, хранящихся на диске. При
интенсивном обмене информацией между памятью и
диском происходит «пробуксовывание» системы;

10. Функции и процедуры администрирования.

• файлы журналов — они служат документальным
подтверждением ошибок и отказов сервисов, работающих
в системе;
• диски — на них хранятся файлы операционных систем
(ОС) и БД. Команды ОС прежде всего задействуются с
дисков;
• пользователи — их мониторинг распространяется как на
авторизованных регистрацией пользователей, так и на
законных. Обе эти группы могут быть источниками
проблем, возникающих при функционировании системы.

11. Управление конфигурацией

• При создании проектов сложных ИС, состоящих из многих
компонентов, каждый из которых может иметь разновидности или
версии, возникает проблема учёта их связей и функций, создания
унифицированной структуры и обеспечения развития всей
системы.
• Управление конфигурацией позволяет организовать,
систематически учитывать и контролировать внесение изменений
в ПО на всех стадиях ЖЦ.
• Общие принципы и рекомендации конфигурационного учёта,
планирования и управления конфигурациями ПО отражены в
проекте стандарта ISO/IEC 12207.
К управлению конфигурацией следует отнести функции анализа
производительности и оптимизации системы.

12. Управление конфигурацией

• Управление конфигурацией – один из
вспомогательных процессов,
поддерживающих основные процессы
жизненного цикла ПО, прежде всего
процессы разработки и сопровождения ПО
ИС.

13. Управление конфигурацией

Процесс управления конфигурацией
включает следующие действия:
• подготовительную работу;
• идентификацию конфигурации;
• контроль конфигурации;
• учет состояния конфигурации;
• оценку конфигурации;
• управление выпуском и поставку.

14. Управление конфигурацией

• Подготовительная работа заключается в планировании
управления конфигурацией.
• Идентификация конфигурации устанавливает правила, с
помощью которых можно однозначно идентифицировать
и различать компоненты ПО и их версии. Кроме того,
каждому компоненту и его версиям соответствует
однозначно обозначаемый комплект документации. В
результате создается база для однозначного выбора и
манипулирования версиями компонентов ПО,
использующая ограниченную и упорядоченную систему
символов, идентифицирующих различные версии ПО.

15. Управление конфигурацией

• Контроль конфигурации предназначен для
систематической оценки предполагаемых модификаций
ПО и координированной их реализации с учетом
эффективности каждой модификации и затрат на ее
выполнение. Он обеспечивает контроль состояния и
развития компонентов ПО и их версий, а также
адекватность реально изменяющихся компонентов и их
комплектной документации.
• Учет состояния конфигурации представляет собой
регистрацию состояния компонентов ПО, подготовку
отчетов обо всех реализованных и отвергнутых
модификациях версий компонентов ПО. Совокупность
отчетов обеспечивает однозначное отражение текущего
состояния системы и ее компонентов, а также ведение
истории модификаций.

16. Управление конфигурацией

• Оценка конфигурации заключается в оценке
функциональной полноты компонентов ПО, а
также соответствия их физического состояния
текущему техническому описанию.
• Управление выпуском и поставка охватывают
изготовление эталонных копий программ и
документации, их хранение и поставку пользователям в соответствии с порядком, принятым в
организации.

17. Инсталляция информационных систем.

• Планирование инсталляционных работ.
Выбор аппаратно-программных средств.
Инсталляция информационной системы на
примере Windows 2008 Server. Настройка
информационной системы.

18. Планирование инсталляционных работ

• Планирование инсталляционных работ
является одним из составляющих
Управления конфигурации.
• Планирование инсталляционных работ
сводиться к выбору программноаппаратных средств.

19. Выбор аппаратно-программных средств

20. Выбор аппаратно-программных средств

21. Выбор аппаратно-программных средств

22. Выбор аппаратно-программных средств

23. Выбор аппаратно-программных средств

24.

Тема 2. Администрирование серверов
Windows.

25. Администрирование ОС

26. Администрирование ОС

27. Администрирование ОС

28. Администрирование ОС

29. Администрирование ОС

30. Администрирование ОС

31. Администрирование ОС

32. Администрирование ОС

33. Администрирование ОС

34. Администрирование ОС

35. Администрирование ОС

36. Администрирование ОС

37. Администрирование ОС

38. Администрирование ОС

39. Администрирование ОС

40. Тема 3. Базовые средства администрирования Windows 2003 Server. Администрирование сетей передачи данных. Сетевые службы и

протоколы.
• Службы управления конфигурацией.
• Службы управления безопасностью.
• Службы управления общего пользования.
Службы регистрации, сбора и обработки
информации.
• Службы контроля характеристик, ошибочных
ситуаций.
• Информационные службы.
• Интеллектуальные службы.
• Службы планирования и развития.

41. Сетевые службы

• В основе серверных функций операционной системы
Windows лежат специальные службы. Служба –
программа, выполняющая некоторую базовую задачу в
фоновом режиме.
• Примеры служб Windows









Alerter (оповещатель)
Browser (обозреватель)
Clipbook (сервер папки обмена)
Dhcp client
Messenger
Netlogon
Server
Workstation
Spooler

42. Сетевые службы

• Оповещатель (Alerter) – отображает для
выбранных пользователей и компьютеров
административные сообщения. При отключении
этой службы программы, использующие функции
API NetAlertRaise или NetAlertRaiseEx, не смогут
уведомить пользователя или компьютер
(посредством окна Службы сообщений
(Messenger service)) о поступлении
административного сообщения.

43. Сетевые службы

• Сервер папки обмена (ClipBook) – позволяет программе
просмотра страниц папок обмена создавать страницы
данных и предоставлять к ним общий доступ для
просмотра с удаленных компьютеров. Эта служба зависит
от Службы сетевого DDE (Network Dynamic Data Exchange,
NetDDE) – динамического обмена данными по сети, с
помощью которой создаются общие файлы, к которым
могут подключиться другие компьютеры, в то время как
служба и приложение сервера папки обмена позволяют
пользователям предоставлять страницы данных для
общего доступа.

44. Сетевые службы

• Обозреватель компьютеров (Computer Browser) –
отвечает за актуальность списка компьютеров Вашей сети
и поставляет этот список программам, которые его
запрашивают. Эта служба используется Windowsсистемами для просмотра доменов и ресурсов сети.
Компьютеры, определенные как обозреватели, создают
списки обзора, в которых отображаются все общие
ресурсы сети. Ранние версии Windows-приложений, таких
как Мое сетевое окружение (My Network Places), команда
NET VIEW и Проводник Windows NT®, требуют
возможности обзора сети. Например, при запуске
компонента Мое сетевое окружение на компьютере под
управлением Windows 95 отображается полный список
доменов и компьютеров, который является копией списка
обзора компьютера, выступающего в роли обозревателя.

45. Сетевые службы

• DHCP-клиент (DHCP Client) – управляет
конфигурацией сети, регистрируя и выдавая IPадреса и имена DNS. Вам не придется вручную
менять настройки IP в тех случаях, когда клиент –
например, перемещаемый пользователь, - входит
в сеть с разных компьютеров. Клиент
автоматически получит новый IP-адрес
независимо от того, к какой подсети он
подключается, пока DHCP-сервер доступен для
каждой из этих подсетей.

46. Сетевые службы

• DHCP-сервер (DHCP Server) – используя
протокол DHCP, эта служба распределяет IPадреса и позволяет DHCP-клиентам
автоматически получать параметры сетевых
настроек, такие как DNS- и WINS-серверы и
т.д. Если эта служба отключена, DHCPклиенты не смогут автоматически получить
IP-адреса или сетевые параметры

47. Сетевые службы

• Служба IIS Admin (IIS Admin) – позволяет администрировать службы
Internet Information Services (IIS). Если эта служба не запущена, Вы не
сможете запустить службы Web, FTP, NNTP и SMTP или настроить IIS.
• Служба индексирования (Indexing Service) – индексирует
содержимое и свойства файлов на локальном и удаленном
компьютерах и обеспечивает быстрый доступ к файлам посредством
гибкого языка запросов. Также включает в себя быстрый поиск
документов на локальном или удаленных компьютерах и поиск
индексируемого содержимого интернета. Служба индексирования
создает индексы всей текстовой информации в файлах и документах.
После того как первоначальное построение индекса завершено,
служба поддерживает индексы в актуальном состоянии, отслеживая
создание, изменение или удаление файлов.

48. Сетевые службы

• Служба проверки подлинности в Интернете (Internet Authentication
Service, IAS) – выполняет централизованную проверку подлинности,
авторизацию, аудит и учет пользователей, подключающихся к сети с
использованием виртуальных частных сетей (Virtual Private Network,
VPN), службы удаленного доступа (Remote Access Service, RAS) или
беспроводных (802.1x Wireless) и Ethernet/Switch точек доступа. IAS
включает поддержку протокола удаленной проверки подлинности
пользователей RADIUS (Remote Authentication Dial-In User Service)
стандарта IETF, который позволяет использовать разнородное
оборудование сетевого доступа. Если эта служба остановлена или
отключена, запросы проверки подлинности будут переданы
дополнительному IAS-серверу. Если ни один из дополнительных IASсерверов недоступен, пользователи не смогут подключиться.

49. Сетевые службы

• Служба сообщений (Messenger) – отправляет и
принимает сообщения для пользователей и
компьютеров, а также сообщения, переданные
администратором или службой Оповещатель
(Alerter). При отключении Службы сообщений
уведомления не могут быть отправлены или
получены компьютером или пользователем,
работающим в данный момент в системе;
команды NET SEND и NET NAME перестают
функционировать.

50. Сетевые службы

• Сетевой вход в систему (Net Logon) – поддерживает сквозную
идентификацию событий входа учетной записи для
компьютеров в домене. Эта служба запускается автоматически,
если компьютер является членом домена. Она используется
для поддержки безопасного канала к контроллеру домена,
необходимого компьютеру для идентификации пользователей
и запускаемых на компьютере служб. На контроллере домена
эта служба производит регистрацию DNS-имен компьютеров,
определенных локатором обнаружения контроллера домена, а
также разрешает сквозную идентификацию с другого
контроллера домена с запущенной службой Сетевого входа в
систему, которая перенаправляет идентификацию на
контроллер домена, предназначенный для проверки учетных
данных. Если эта служба отключена, компьютер не будет
правильно работать в домене. Прежде всего он может
отвергать запросы проверки подлинности NTLM, а в случае
контроллера домена – он не будет обнаруживаться
клиентскими компьютерами.

51. Сетевые службы

• Сервер (Server) – обеспечивает поддержку RPC (Удаленный вызов
процедур (Remote Procedure Call, RPC) и общий доступ к файлам,
принтерам и именованным каналам. Служба сервера разрешает
общий доступ к Вашим локальным ресурсам (таким как диски и
принтеры), для других пользователей в сети. Она также разрешает
связь по именованным каналам между приложениями, запущенными
на других компьютерах, и Вашим компьютером (используется для
RPC).
• Результатами отключения данной службы являются:
• •Невозможность предоставлять общий доступ к файлам и принтерам
на Вашем компьютере для других компьютеров в
сети••Невозможность обслуживания Вашим компьютером запросов
RPC••Невозможность связи по именованным каналам между
компьютерами

52. Сетевые службы

• Служба workstation позволяет
организовать доступ компьютеров к
информации и данным, расположенным на
других компьютерах сети

53. Сетевые службы

• Диспетчер очереди печати (Print Spooler) – ставит
в очередь задания на печать и управляет ими
локально и удаленно. Диспетчер очереди печати
– основа подсистемы печати Windows, он
контролирует все задания на печать. Данная
служба управляет очередью печати в системе и
взаимодействует с драйверами печатных
устройств и компонентами ввода-вывода –
такими как USB-порты, TCP/IP и т.д. При ее
отключении Вы не сможете отправить задания на
печать.

54. Запуск и остановка служб

• Для запуск и остановки служб в Windows
используются команды:
– net start <служба>
– net stop <служба>
– net pause <служба>
– net continue <служба>

55. Сетевые службы

• Служба Workstation позволяет организовать доступ
компьютеров к информации и данным, расположенным
на других компьютерах сети.
• Возможности службы workstation могут быть настроены с
помощью команды net config workstation
• net config workstation /charwait:<sec> - задает время,
которое должно пройти прежде, чем будет превышен
лимит времени для устройства и оно не будет больше
признаваться сетью.

56. Сетевые службы

• Служба Server другим системам, подключенным к сети, получать
доступ к данным компьютера. Серверные платформы запускают
данную службу автоматически, для операционных систем Windows
2000/XP Professional служба запускается, если установлена служба File
and Printer Sharing.
• Конфигурирование службы выполняется с помощью команды net
config server:
– Net config server /autodisconnect:<min> - задает количество времени, в
течение которого соединение может не использоваться, прежде чем
прекратить текущий сеанс (по умолчанию 15 мин)
– Net config server /hidden:yes|no – удаляет имя системы из списка сервера
– Net config server /srvcomment:”text” – выводит текстовое сообщение или
описание с именем компьютера

57. Мониторинг служб

• Для мониторинга служб Workstation и Server
используются команды:
– Net statistics workstation – выводит статистику соединений, работы в сети и
сеансов для службы со времени ее последнего запуска
– Net statistics server – выводит статистику сеансов, нарушения безопасности
и информацию о доступе к устройствам сервера со времени ее последнего
запуска
– Net session – используется для определения соединений с текущим
сервером, а также управления соединениями
• Net session – отображает все текущие подключения к серверу
• Net session \\<компьютер> /delete – завершает подключения между
сервером и указанным компьютером
– Net file – показывает список открытых файлов на сервере. Для
принудительного закрытия файла используется команда
• Net file <code file>\close

58. Управление службами


Для управления службами можно использовать GUI интерфейс.

59. Администрирование ЛВС

• Управление сетями — это прежде всего
мониторинг, контроль и их оптимизация по
функционированию. Это формирует
следующие задачи:

60. Администрирование ЛВС

• • поиск неисправностей в сетях, шлюзах и важных
серверах;
• • разработка схем уведомления администратора о
наличии проблем;
• • общий мониторинг сети в целях распределения нагрузки
в ней и планирования ее дальнейшего расширения;
• • документирование и визуализация работы сети;
• • управление сетевыми устройствами с центральной
станции

61. Администрирование ЛВС

• По мере роста сети процедуры управления должны становиться более
систематизированными.
• В сети, где несколько подсетей объединяются посредством мостов
или маршрутизаторов, решение управленческих задач можно
автоматизировать с помощью командных сценариев и простейших
программ.
• Если в организации задействованы протоколы глобальных сетей или
сложные ЛВС, то рассмотрите вопрос приобретения выделенных
станций управления сетью со специальным программным
обеспечением.

62. Понятие сети

• Сеть (network) – группа компьютеров, принтеров,
маршрутизаторов, сетевых устройств, которые обмениваются
информацией через некоторую среду передачи данных.
– Локальные сети (Local Area Networks) – позволяют
объединить информационные ресурсы предприятия (файлы,
принтеры, БД) для повышения эффективности применения
вычислительной техники.
– Городские сети (Metropolitan Area Networks) – позволяют
организовать обмен данными между отдельными
компьютерами и сетями отдельного региона, города.
– Глобальные сети (Wide Area Networks) – позволяют
обмениваться данными между отдельными сетями
предприятий, удаленными на значительные расстояния.

63. Организация сети

• Организацией
сети
называется
обеспечение
взаимодействия между рабочими станциями,
периферийным
оборудованием
и
другими
устройствами.
• Важной задачей является согласование различных
типов компьютеров (Macintosh, IBM-совместимые,
мэйнфреймы).
• Для обеспечения совместимости обмена данными
используются сетевые протоколы – формальное
описание набора правил о том, как устройства
выполняют обмен информацией.

64. Преимущества сетевых технологий

• Первые вычислительные системы представляли
собой автономные системы.
• Для повышения эффективности использования
компьютерных систем используется их
объединение в вычислительную сеть.
• Такой подход позволяет:
– Устранить дублирование оборудование и ресурсов;
– Обеспечить эффективный обмен данными между
устройствами;
– Обеспечить разделение процессов хранения и обработки
информации.

65. Локальные сети

• Локальные сети служат для объединения
рабочих станций, периферийных устройств,
терминалов и других устройств.
• Характерные особенности локальной сети:
– Ограниченные географические пределы;
– Обеспечение пользователям доступа к среде с
высокой пропускной способностью;
– Постоянное подключение к локальным сервисам;
– Физическое соединение рядом стоящих устройств.

66. Глобальные сети

• Глобальные сети служат для объединения
локальных сетей и обеспечивают связь
между компьютерами, находящимися в
локальных сетях.
• Глобальные сети охватывают значительные
географические пространства и
обеспечивают возможность связать
устройства на большом удалении друг от
друга.

67. Сетевые стандарты

• Для решения проблемы совместимости
различных систем Международная организация
по стандартизации (International Organization for
Standardization, ISO) в 1984 году выпустила
эталонную модель взаимодействия открытых
систем (OSI).
• Эталонная модель OSI является основной
архитектурной моделью взаимодействия между
компьютерами.

68. Модель взаимодействия открытых систем (OSI)

• Эталонная модель OSI – концептуальная
схема сети, определяющая сетевые
функции, реализуемые на каждом уровне.
• Эталонная модель OSI делит задачу
перемещения информации между
компьютерами через сетевую среду на
семь подзадач.
– Разделение на уровни называется
иерархическим представлением.

69. Семь уровней эталонной модели OSI

7 Уровень
Сетевые процессы с
приложений
прикладными программами
6 Уровень
Представление данных
представлений
5 Сеансовый уровень Связь между хостами
4 Транспортный
уровень
3 Сетевой уровень
Связь между конечными
устройствами
Адрес и маршрутизация
2 Канальный уровень Доступ к среде передачи
данных
1 Физический
Двоичная передача

70. Модель OSI

• Нижние уровни (с 1 по 3)
модели OSI управляют
физической доставкой
сообщений и их называют
уровнями среды передачи
данных (media layers).
• Верхние уровни (с 4 по 7)
модели OSI призваны
обеспечить точную доставку
данных между компьютерами в
сети и их называют уровнями
хост-машины (host layers).
• Модель OSI не является схемой
реализации сети, она только
определяет функции каждого
уровня.

71. Цель разработки эталонной модели

• Деление функциональных задач сети на семь
уровней в рамках модели OSI обеспечивает
следующие преимущества:
– Делит аспекты межсетевого взаимодействия на ряд менее
сложных элементов;
– Определяет стандартные интерфейсы для автоматического
интегрирования в систему новых устройств и обеспечения
совместимости сетевых продуктов разных поставщиков;
– Позволяет закладывать в различные модульные функции
межсетевого взаимодействия симметрию;
– Изменения в одной области не требует изменений в других
областях;
– Делит сложную межсетевую структуру на дискретные, более
простые для изучения подмножества операций.

72. Семь уровней эталонной модели OSI

• Уровень 7 (уровень приложений)
– Уровень приложений – самый близкий к
пользователю уровень модели OSI. Данный
уровень не предоставляет услуги другим уровням, а
только обслуживает прикладные процессы вне
пределов модели OSI.
– Уровень приложений идентифицирует и
устанавливает доступность синхронизирует
совместно работающие прикладные программы, а
также устанавливает договоренности о процедурах
восстановления после ошибок и контроля
целостности данных.

73. Семь уровней эталонной модели OSI

• Уровень 6 (уровень представлений)
– Уровень представлений отвечает за то, чтобы
информация, посылаемая из уровня приложений
одной системы, была читаемой для уровня
приложений другой системы.
– При необходимости уровень представлений
преобразовывает форматы данных путем
использования общего формата представления
информации.

74. Семь уровней эталонной модели OSI

• Уровень 5 (сеансовый)
– Сеансовый уровень устанавливает, управляет и
завершает сеансы взаимодействия приложений.
– Сеансы включают диалог между двумя или более
объектами представления. Сеансовый уровень
синхронизирует диалог между объектами уровня
представлений и управляет обменом информации
между ними.
– Сеансовый уровень обеспечивает класс услуг и
средства формирования отчетов для формирования
отчетов об особых ситуациях.

75. Семь уровней эталонной модели OSI

• Уровень 4 (транспортный)
– Транспортный уровень сегментирует и повторно
собирает данные в один поток.
– Транспортный уровень обеспечивает
транспортировку данных, изолируя верхние уровни
от деталей ее реализации.
– Транспортный уровень обеспечивает механизмы
для установки, поддержания и упорядоченного
завершения действий виртуальных каналов,
обнаружения и устранения неисправностей
транспортировки, а также управления
информационным потоком.

76. Семь уровней эталонной модели OSI

• Уровень 3 (сетевой)
– Сетевой уровень – комплексный уровень,
обеспечивающий соединение и выбор маршрута
между конечными системами, которые могут
располагаться географически в разных сетях.
• Уровень 2 (канальный)
– Канальный уровень обеспечивает надежный
транзит данных через физический канал.
– Канальный уровень решает вопросы физической
адресации, топологии сети, уведомления об
ошибках, упорядоченной доставки кадров, а также
управления потоком данных.

77. Семь уровней эталонной модели OSI

• Уровень 1 (физический)
– Физический уровень определяет
электротехнические, механические, процедурные и
функциональные характеристики активизации,
поддержания и деактивизации физического канала
между конечными системами.
– Спецификации физического уровня определяют
такие характеристики, как уровни напряжений,
временные параметры изменения напряжений,
скорости физической передачи данных и т.п.

78. Одноранговая модель взаимодействия

• Многоуровневая модель OSI исключает прямую
связь между равными по положению уровнями в
разных компьютерных системах.
• Каждый уровень решает свои задачи. Для
выполнения своих задач, он должен общаться с
соответствующим уровнем в другой системе.
• Обмен сообщениями (блоками данных
протокола – protocol data units, PDU)
осуществляется с помощью протокола
соответствующего уровня.
• Обмен данными достигается за счет
использования услуг уровней, лежащих на более
низких уровнях.

79. Тема 4. Администрирование дисковых ресурсов. Файловые системы Windows 2003 Server.

• Администрирование баз данных.
• Администрирование операционных систем.
• Администрирование локальных
вычислительных сетей.
• Администрирование почтовых и Internet
серверов.

80. Администрирование баз данных.

• Администрирование базой данных – это её
инсталляция (установка), управление
доступом к ней, обеспечение целостности
базы данных и др.
• Выделяют три основные категории
пользователей баз данных (пользователей
ИС): разработчики, администраторы баз
данных и собственно пользователи.

81. Администрирование данных

1.Организация администрирования БД. Администраторы и
пользователи БД, их задачи, права и обязанности.
2. Методы администрирования. Конфигурирование БД. Методы
планирования работ. Создание групп пользователей БД и
распределение пользователей по группам в соответствии с их
категориями.
3. Управление конфигурацией. Идентификация и контроль
конфигураций. Аудит и тестирование БД.
4. Сетевое и системное администрирование.
5. Аппаратно-программные платформы администрирования. Выбор
технической платформы и ОС. Распределение дискового
пространства. Инсталяция БД. Совсместимость, расширяемость и
масштабируемость.
6. Управление и обслуживание технических средств. Эксплуатация и
сопровождение БД.
7. Резервное копирование и восстановление данных. Журнализация.
Регистрация событий и сбоев, контроль условий функционирования
оборудования.
8. Управление безопасностью.

82. Администрирование данных

В обязанности разработчика входит:
• проектирование и разработка базы данных;
• проектирование структуры базы данных в соответствии с
установленными требованиями;
• оценка требований необходимой памяти;
• формулирование модификаций структуры базы данных;
• передача этой информации администратору базы данных
(инструкция администратору), а также создание иных
инструктивных документов (инструкции оператору,
пользователю и т.п.);
• установка мер по защите базы данных в процессе её
разработки и эксплуатации и др.

83. Администрирование данных

В обязанности администратора могут входить:
• инсталляция БД и обновление версий СУБД;
• распределение дисковой памяти и планирование требований
системы к памяти;
• создание структур памяти в базе данных (табличных пространств);
• создание первичных объектов (таблиц, индексов);
• модификация структуры базы данных;
• отслеживание и оптимизация производительности базы данных;
• соблюдение лицензионных соглашений;
• зачисление пользователей и поддержание защиты системы;
• управление и отслеживание доступа пользователей к базе данных;
• планирование резервного копирования и восстановления;
• поддержание архивных данных на устройствах хранения
информации;
• осуществление резервного копирования и восстановления.

84. Администрирование данных

• Очень велик объем служебной информации:
описание схем баз данных, индексы, временные
таблицы, пространство для сортировки, файлы
журнала, архивы и др.
• Для такой информации требуется объем,
превосходящий объем собственно данных.
• Файлы журналов транзакций, архивов
целесообразно размещать на других физических
дисках.

85. Администрирование данных

• Рациональный способ – обеспечение
основных задач обработки данных одним
или несколькими дисками.
• Один диск – ОС, второй диск – данные,
третий – журнал транзакций, четвертый –
индексы.

86. Администрирование данных

• С целью обеспечения достоверности и постоянной
работоспособности БД периодически вручную или
автоматически осуществляется копирование базы данных.
Основными причинами, побуждающими выполнение
процедур копирования, являются различные структурные
изменения базы данных:
• создание или удаление табличного пространства;
• добавление или переименование (перемещение) файла
данных в существующем табличном пространстве;
• добавление, переименование (перемещение) или
удаление журнала повторения и др.

87.

• 1. Непротиворечивое (холодное) резервное копирование,
когда копии создаются, в случае закрытой для
пользователей БД (close). Копия базы данных, созданной в
автономном режиме, содержит: все файлы данных,
журналы повторов и управляющие файлы. После
остановки БД, все файлы базы копируются на один из
backup дисков. По окончании копирования
осуществляется перезагрузка базы данных.
• 2. Резервное (горячее) копирование в оперативном
режиме, к примеру, когда БД всё время находиться в
оперативном режиме и доступна пользователям.

88. Администрирование данных

• Добавление нового пользователя,
предоставление ему прав доступа;
• Создание групп пользователей, ролей
• Защита баз данных
• Безопасность Microsoft SQL Server

89. Тема 5. Служба каталогов ActiveDirectory. Механизм групповой политики.

• Для управления пользователями в MS Windows используется понятие
учетной записи.
• Учетная запись в Active Directory — объект, содержащий все сведения,
позволяющие определить пользователя домена.
• К таким сведениям относятся:
– имя пользователя,
– пароль
– группы, членом которых является его учетная запись.
• Учетные записи пользователей хранятся либо в Active Directory, либо на
локальном компьютере.
– На компьютерах с Windows XP Professional и рядовых серверах с
Windows Server 2003 управление локальными учетными записями
пользователей осуществляется с помощью компонента «Локальные
пользователи и группы».
– На контроллерах домена под управлением Windows Server 2003 для
этого используется компонент «Active Directory — пользователи и
компьютеры».

90. Код безопасности

• Учетные записи пользователей и компьютеров (а
также группы) называются участниками
безопасности. Участники безопасности являются
объектами каталогов, которые автоматически
назначают коды безопасности (SID) для доступа к
ресурсам домена.
• Код безопасности – структура данных
переменной длины, определяющая учетные
записи пользователей, групп и компьютеров. Код
безопасности присваивается учетной записи при
ее создании. Внутренние процессы Windows
обращаются к учетным записям по их кодам
безопасности, а не по именам пользователей или
групп.

91. Использование учетных записей


Учетная запись пользователя или компьютера используется для следующих
целей:
– Проверка подлинности пользователя или компьютера. Учетная запись
пользователя дает право войти в компьютеры и в домен с подлинностью,
проверяемой доменом. Каждый входящий в сеть пользователь должен иметь
собственную учетную запись и пароль. Для обеспечения максимальной
безопасности следует запретить пользователям использовать одну и ту же учетную
запись.
– Разрешение или запрещение доступа к ресурсам домена. Как только проверка
подлинности пользователя завершена, он получает или не получает доступ к
ресурсам домена в соответствии с явными разрешениями, назначенными данному
пользователю на ресурсе.
– Администрирование других участников безопасности. Active Directory создает
объект «Участник внешней безопасности» в локальном домене для представления
каждого участника безопасности из внешнего доверенного домена.
– Аудит действий, выполняемых с использованием учетной записи пользователя или
компьютера.

92. Управление пользователями

• Управление пользователями включает такие
функции:




Создание учетной записи для пользователя;
Изменение пароля;
Отключение/включение учетной записи;
Удаление учетной записи пользователя.
• Для управления учетными записями в домене
Windows 2003 можно использовать оснастку
Active Directory — пользователи и компьютеры
или команду dsadd user.

93. Графический интерфейс управления пользователями

94. Командный интерфейс управления пользователями

• Добавление пользователя в домен Windows
осуществляется командой
– dsadd user
– dsadd user "CN=Иван Петров, CN=Users, DC=UFO, DC=ROSNOU, DC=RU"
– Опциями команды являются:
• - pwd – устанавливает новый пароль пользователя;
• - mail – устанавливает адрес электронной почты
• - mustchpwd yes|no – определяет должен ли пользователь поменять пароль
при следующем входе
• - canchpwd yes|no – определяет может ли пользователь изменить пароль
• - disabled yes|no – определяет может ли пользователь войти в домен

95. Командный интерфейс управления пользователями

• Другие команды управления
пользователями через командную
строку:
– dsmod user – внесение изменений в учетную запись
пользователя
– dsrm user – удаляет пользователя из Active Directory
– dsmove user – перемещает учетную запись
– dsquery user – запрашивает в Active Directory список
пользователей по заданным критериям поиска
– dsget user – показывает атрибуты заданного объекта

96. Командный интерфейс управления пользователями

• Команды, позволяющие удаленно управлять
пользователями через сеть, являются:
– net user /domain – вывод списка пользователей домена
– net user <name> <pwd> /add /domain – добавление пользователя в
домен
– net user <name> <pwd> /domain – изменение пароля пользователя
– net user <name> /delete /domain – удаление пользователя
– net accounts – настройка свойств учетной записи (мин. длина
пароля и т.д.)

97. Управление группами

• Другая задача администрирования – управление
группами. Управление группами включает в себя:
– создание группы;
– добавление пользователей в группу;
– удаление группы.
• В Active Directory определены следующие типы
групп безопасности:
– локальные группы;
– глобальные группы;
– универсальные группы.

98. Группы безопасности

• Локальная группа – группа, права членства и доступа
которой не распространяются на другие домены.
• Глобальная группа – определяет область действия как
все деревья в лесе домена. Глобальная группа привязана
к конкретному домену и в нее могут входить только
объекты и другие группы, принадлежащие к данному
домену.
• Универсальная группа – определяет область действия
все домены в рамках того леса, в котором они
определены. Универсальная группа может включать в
себя объекты, ассоциированные с учетными записями
пользователей, компьютеров и групп, принадлежащих
любому домену леса.

99. Создание группа в Active Directory


Для создания группы с помощью
графического интерфейса
используется оснастка Active
Directory — пользователи и
компьютеры. Необходимо открыть
контейнер Users и создать новую
группу.
В нижнем левом углу определяется
область действия группы.
Группы распространения
применяются только в электронной
почте.
Группы безопасности используются
как для управления доступом, так и
в качестве списков рассылки.

100. Командный интерфейс управления группами

• Для управления группами можно использовать и
команды управления объектами Active Directory:




dsadd group – добавляет группу
dsmod group – внесение изменений в учетную запись пользователя
dsrm – удаляет объект из Active Directory
dsquery group – запрашивает в Active Directory список групп по заданным
критериям поиска
– dsget group – показывает атрибуты заданного объекта
• Другой вариант – применение команды net:




net group <grp> /add /domain
net group <grp> /delete /domain
net localgroup <grp> /add /domain
net localgroup <grp> /delete /domain

101. Управление подразделениями


Использование подразделений
(организационных единиц – OU)
представляет способ упрощения задач
управления пользователями и
компьютерами предприятия.
Управление подразделениями включает
в себя задачи создания и удаления
организационных единиц.
Для создания нового подразделения
необходимо воспользоваться командой
контекстного меню оснастка Active
Directory — пользователи и
компьютеры.
Для управления подразделением, как
объектом службы каталогов Active
Directory применяется условное
обозначение OU, например:
– dsadd ou ou=434,dc=ufo,dc=rosnou, dc=ru

102. Управление учетными записями компьютера


Учетная запись, хранящаяся в Active
Directory и однозначно
определяющая компьютер в домене.
Учетная запись компьютера
соответствует имени компьютера в
домене.
Для добавления, изменения учетной
записи компьютера можно
использовать, как графический
интерфейс оснастки Active Directory
— пользователи и компьютеры, так
и командный интерфейс.
Например, команды:
– net computer \\comp /add
– net computer \\comp /delete
Компьютеры могут участвовать в
группах безопасности.

103. Внесение пактеных изменений

• Команды службы каталогов полезны при работе с несколькими
пользователями, компьютерами или подразделениями.
• Для повышения эффективности работы с сотнями объектов Active
Directory можно использовать команды пакетных изменений:
– csvde – Импорт и экспорт данных из Active Directory с помощью файлов,
хранящих данные в формате CSV (comma-separated value). Кроме того,
возможна поддержка пакетных операций на основе файлового стандарта
CSV.
– ldifde – Служебный инструмент, позволяющий производить пакетные
изменения. Создает, изменяет и удаляет объекты папок на компьютерах с
операционной системой Windows Server 2003 или Windows XP
Professional. Пользователь может также использовать Ldifde для
расширения схемы, экспорта сведений Active Directory о пользователе и
группе в другие приложения или службы и для заполнения Active
Directory данными из других служб каталогов.

104. Безопасность в Active Directory

• Спецификации каталогов X.500 были определены в одели
OSI в 1988 г. Протокол службы каталогов является
основным коммуникационным протоколом,
использующимся для организации запросов к каталогу
X.500.
• Lightweight Directory Access Protocol (LDAP) – основной
протокол, используемый для доступа к Active Directory.
• Для того, чтобы X.500-клиент мог организовать запрос к
каталогу, необходимо установить сеанс связи с сервером
каталога. Для установления связи необходимо пройти
операцию связывания, требующую аутентификации.

105. Защита Active Directory

• Для обеспечения безопасности хранимой
информации в Active Directory необходимо
решить вопросы:
– Каким образом разрешается доступ для
зарегистрированных пользователей?
– Каким образом запрещается доступ к
конфиденциальным данным для
незарегистрированных пользователей?
– Каким образом разделяется доступ к
информационным объектам для различных
пользователей?

106. Методы обеспечения безопасности

• Аутентификация – проверка подлинности
пользователя, входящего в сеть Windows,
• Доступ к объектам – для управления доступом к
объектам каталога используются списки контроля
доступа (ACL).
• Групповые политики – Active Directory позволяет
использовать политики, которые разрешают и
запрещают доступ к ресурсам и участкам сети.

107. Списки контроля доступа

• Список средств защиты, которые применяются для всего
объекта, набора его свойств или для его отдельного
свойства. Существует два типа таблиц управления
доступом:
– избирательные (DACL) – часть дескриптора безопасности
объекта, предоставляющая или запрещающая доступ к объекту
для конкретных пользователей или групп. Изменять разрешения
управления в избирательной таблице доступом может только
владелец объекта;
– системные (SACL) – часть дескриптора безопасности объекта,
определяющая перечень проверяемых событий для пользователя
или группы. Примерами таких событий являются: доступ к
файлам, вход в систему, выключение системы .

108. Управление доступом


Управление
доступом
Для управления доступом к объектам
в Windows используется список
контроля доступа, для получения
данного списка используется закладка
Безопасность в контекстном меню
объекта
Добавляя пользователей и задавая им
разрешения в нижней части окна,
определяются права доступа
пользователя или группы к
выбранному объекту.
В качестве объектов могут выступать
файлы, папки, разделы реестра
Windows и другие объекты.
Для файлов и папок необходимо,
чтобы данный раздел был
отформатирован в виде файловой
системы NTFS.

109. Групповые политики


Инфраструктура в рамках службы каталогов Active Directory, обеспечивающая
изменение и настройку параметров пользователей и компьютеров, включая
безопасность и данные пользователя, на основе каталогов.
Групповая политика используется для определения конфигураций для групп
пользователей и компьютеров. С помощью групповой политики можно
задавать параметры политик на основе реестра, безопасности, установки
программного обеспечения, сценариев, перенаправления папки, служб
удаленного доступа и Internet Explorer.
Параметры созданной пользователем групповой политики содержатся в
объекте групповой политики (GPO). Связав GPO с выбранными контейнерами
Active Directory; сайтами, доменами и подразделениями; можно применить
параметры политики этого GPO к пользователям и компьютерам в
соответствующих контейнерах Active Directory.
Для создания GPO используется редактор объектов групповой политики. Для
управления объектами групповой политики на предприятии можно
использовать консоль управления групповой политикой (GPMC).

110. Анализ и настройка безопасности

• Оснастка «Анализ и настройка безопасности» используется для
анализа и настройки безопасности локального компьютера.
Средство управления
настройкой безопасности
Описание
Шаблоны безопасности
Определение политики безопасности в шаблоне.
Эти шаблоны могут применяться к групповой
политике или к локальному компьютеру.
Расширение «Параметры
безопасности» для
групповой политики
Изменение отдельных параметров безопасности
домена, узла или подразделения
Локальная политика
безопасности
Изменение отдельных параметров безопасности
локального компьютера.
Secedit
Автоматизация выполнения задач по настройке
безопасности с помощью командной строки.

111. Шаблоны безопасности

• Шаблоны безопасности (Security Templates) – файл, содержащий
параметры безопасности. Шаблоны безопасности могут быть
применены на локальном компьютере, импортированы в объект
групповой политики или использованы для анализа безопасности.
• Для управления шаблонами используется изолированная оснастка
mmc, позволяющая создавать текстовые файла шаблонов, которые
содержат параметры настройки безопасности.
• Конфигурации безопасности может быть применена к локальному
компьютеру или импортирована в объект групповой политики (GPO)
Active Directory.
• При импорте шаблона безопасности в GPO групповая политика
обрабатывает шаблон и соответствующим образом изменяет члены
GPO, которыми могут являться пользователи или компьютеры.

112. Примеры шаблонов безопасности

• В Windows 2003 существует несколько готовых шаблонов безопасности:
– Setup security и DC security – шаблоны по умолчанию для рядового
сервера и контроллера домена
– Compatws – используется, чтобы устранить необходимость вхождения
пользователей в группу «Опытные пользователи»
– Securews повышает безопасность путем удаления всех членов группы
«Опытные пользователи» на компьютерах работающих под
управлением Windows 2000 и XP.
– Hisecws и HisecDC используется для работы в однородном домене
Windows 2000, 2003.
• Готовые шаблоны безопасности представляют собой отправную точку в
создании политик безопасности, которые настраиваются, чтобы
удовлетворять организационным требованиям.
• По умолчанию готовые шаблоны безопасности сохранены в расположении:
– системный_корневой_каталог\Security\Templates

113. Стандартные шаблоны безопасности

• Безопасность по умолчанию (Setup security.inf)
• Шаблон Setup security.inf создается во время установки для каждого
компьютера. Шаблон может различаться на разных компьютерах, в
зависимости от того, производилась ли новая установка или
обновление.
• Шаблон Setup security.inf содержит параметры безопасности,
используемые по умолчанию, которые применяются во время
установки операционной системы, включая разрешения для файлов
корневого каталога системного диска. Он может быть использован на
компьютерах-серверах и компьютерах-клиентах, но не на
контроллерах домена. Части этого шаблона могут быть использованы
для восстановления системы после сбоя.
• Шаблон Setup security.inf нельзя применять при помощи оснастки
«Групповая политика». Данный шаблон имеет большой объем, при
его применении с помощью оснастки «Групповая политика»
возможно серьезное снижение производительности в связи с
периодическим
обновлением
политики
и
перемещением
значительного объема данных в домене.
• Шаблон рекомендуется применять по частям. Рекомендуется
использование средства командной строки Secedit, дающего такую
возможность.

114. Стандартные шаблоны безопасности

Безопасность по умолчанию для контроллеров домена (DC
security.inf)
Данный шаблон создается при назначении сервера
контроллером домена. Он отражает настройки безопасности,
используемые по умолчанию для файлов, реестра и
системных служб.
Применение этого шаблона приводит к установке значений
по умолчанию в данных областях, но может перезаписать
разрешения для новых файлов, ключей реестра и системных
служб, созданных другими приложениями.
Шаблон может быть применен с помощью оснастки «Анализ
и настройка безопасности» или средства командной строки
Secedit.

115. Стандартные шаблоны безопасности


Совместимый (Compatws.inf)
Разрешения по умолчанию для рабочих станций и серверов сначала создаются для
их локальных групп: «Администраторы», «Опытные пользователи» и
«Пользователи». Члены группы «Администраторы» обладают наибольшими
правами, тогда как члены группы «Пользователи» — наименьшими, можно
значительно повысить безопасность, надежность и снизить общую стоимость
владения системой, если придерживаться следующих правил:
– убедиться, что конечные пользователи являются членами группы
«Пользователи»;
– внедрить приложения, которые могут успешно запускаться и выполняться
членами группы «Пользователи».
Лица, обладающие правами группы «Пользователи» могут работать с
сертифицированными приложениями
Члены группы «Опытные пользователи» обладают наследуемыми возможностями,
такими как создание пользователей, групп, принтеров и общих ресурсов, некоторые
администраторы предпочитают предоставить дополнительные разрешения группе
«Пользователи», вместо зачисления конечных пользователей в группу «Опытные
пользователи». Для этих целей служит «Совместимый» шаблон.
При помощи шаблона «Совместимый» можно изменить разрешения для файлов и
реестра, используемые по умолчанию для группы «Пользователи», и
соответствующие требованиям большинства приложений, не входящих в число
сертифицированных.

116. Стандартные шаблоны безопасности


Защита (Secure*.inf)
В шаблоне «Защита» определяются параметры повышенной безопасности.
Наименее вероятно, что они оказывают влияние на совместимость.
Например, в шаблоне «Защита» определяются параметры надежных
паролей, блокировки и аудита.
Помимо этого, шаблоном «Защита» ограничивается использование
LAN Manager и протоколов проверки подлинности NTLM путем настройки
клиентов на отправку ответов в формате NTLMv2, а также настройки
серверов на откз от ответов в этом формате.
Шаблоны безопасности также определяют дополнительные ограничения
для анонимных пользователей. Анонимные пользователи (такие как
пользователи доменов, с которыми не установлены доверительные
отношения) не могут выполнять следующие действия.


Ввод имен учетных записей и общих ресурсов.
Выполнение перевода SID-имя или имя-SID.
Шаблоны безопасности включают подпись пакетов SMB на сервере, которая
по умолчанию отключена для серверов. Поскольку подпись пакетов SMB на
стороне клиента включена по умолчанию, она выполняется, если рабочие
станции и серверы работают на безопасном уровне.

117. Графический интерфейс работы с шаблонами безопасности

118. Анализ и настройка безопасности

• Для тестирования шаблонов безопасности в Windows может быть
использован графический интерфейс оснасти «Анализ и настройка
безопасности».
• При выполнении прогнозов безопасности данный инструмент анализирует
параметры настройки безопасности на локальном компьютере и
сравнивает ее с тем шаблоном, что вы собираетесь применить. Данная
операция производится путем импорта шаблона (.inf-файла) в файл базы
данных(.sdb-файл).
• Командный интерфейс для выполнения анализа шаблонов задается
командой:
– secedit
secedit /analyze
secedit /configure
secedit /export
secedit /import
secedit /validate
secedit /GenerateRollback

119. Службы каталогов

• Основная цель объединения компьютеров в вычислительную сеть –
обеспечение совместного использования ресурсов.
• Одна из основных решаемых задач – реализация оптимального метода
организации общих ресурсов.
• В крупной организации речь идет о множестве ресурсов и множестве
потребителей данных ресурсов. Для эффективного управления такими
списками применяются разные методы. Один из методов – развертывание
службы каталогов.
• Служба каталогов – сетевая служба позволяющая пользователям получить
доступ к ресурсу без знания точного месторасположения ресурса.
• При использовании службы каталогов вся информация об объектах сети
объединяется в каталог (directory).
• Внутри каталога объекты организуются в соответствии с физической или
логической структурой сети.

120. Службы каталогов

• Службы каталогов решают следующие задачи:
– Управление сетевыми ресурсами. Служба каталогов облегчает
пользователям поиск необходимых ресурсов, скрывая подробности
реализации механизма поиска.
– Управление пользователями. Каждый пользователь в сети
идентифицируется набором реквизитов. Это позволяет осуществлять
управление доступом к сетевым ресурсам.
– Управление приложениями. В крупных вычислительных сетях
возникает задача централизованного управления программным
обеспечением, включая развертывание новых приложений и
обновление существующих.
– Обеспечение функционирования сети. Использование службы
каталогов позволяет решить вопросы выделения IP-адресов, других
параметров сети.
• Сети Microsoft организуются с использованием службы
каталогов Active Directory.

121. Пространство имен X.500 и протокол LDAP

• Пространство имен (в соответствии со стандартом X.500)
представляет собой иерархическую структуру имен,
которая идентифицирует уникальный путь к контейнеру
службы каталога.
• Это пространство имен определяется в числовой
(точечной) нотации или в строковой.
• В строковой нотации пользовательский объект
представляемый как:
– cn=Dmitry, cn=Users, dc=Rosnou, dc=ru
– Для удовлетворения требованию уникальности в пространстве
имен X.500 в домене Rosnou.ru в контейнере Users может быть
единственное имя Dmitry.

122. Протокол LDAP

• Протокол LDAP (облегченный протокол службы каталогов) является
протоколом доступа. В данном протоколе для именования объектов
используется система характерных имен (Distinguish Name),
предоставляющая информацию обо всех узлах дерева каталогов.
• Представление иерархии имен LDAP имеет вид:
– LDAP: // cn=Dmitry, cn=Users, ou=faculty, dc=Rosnou, dc=ru
– При записи характерного имени используются специальные ключевые
слова:
• DC – составная часть доменного имени;
• OU – организационная единица;
• CN – общее имя.
– Имя, идентифицирующее сам объект, согласно терминологии LDAP,
выступает в качестве относительного характерного имени. Относительное
имя может быть не уникальным в рамках всего дерево, но должно быть
уникальным в пределах контейнера.
– Каноническое имя подобно характерному имени, за исключением того,
что опускаются сокращения, обозначающие тип контейнера:
• Rosnou.ru/faculty/Users/Dmitry

123. Доменная модель службы каталогов

• В рамках каталога Active Directory одним из основных понятий
является понятие домена – совокупность компьютеров,
характеризующихся наличием общей базы учетных записей
пользователей и единой политики безопасности.
• Использование доменов позволяет разделить пространство имен на
несколько фрагментов. Каждый объект может принадлежать только
одному домену.
• Цели создания доменов:
– Разграничение административных полномочий.
– Создание единой политики безопасности.
– Разделение доменного контекста имен.
• Центральным компонентом домена выступают серверы, хранящие
фрагменты каталогов. Такие серверы называются контроллерами
домена.

124. Иерархия доменов

• Windows позволяет
организовать разные типа
иерархии доменов.
– Отношение между
доменами по схеме
«родитель-потомок». Имя
дочернего домена включает
в себя имя родительского
домена.
– Отношения, включающие
несколько связанных
деревьев – лес доменов
(forest).
Дерево доменов
rosnou.ru
office.rosnou.ru
stud.rosnou.ru
Лес доменов
rosnou.ru
office.rosnou.ru
rnu.ua
kiev.rnu.ua

125. Доверительные отношения

• Для объединения объектов, хранящихся в разных
доменов должны существовать определенные
связи – доверительные отношения.
• Механизм установленных доверительных
отношений позволяет организовать процесс
аутентификации объектов и субъектов системы.
• Выделяют два типа доверительных отношений:
– Односторонние доверительные отношения
– Двусторонние доверительные отношения

126. Контроллеры домена

• Контроллеры домена в доменах Windows отвечают за
аутентификацию пользователей и содержат фрагмент каталога.
• Некоторые операции могут выполняться только одним контроллером.
Эти операции называются операции с одним исполнителем (flexible
single-master operations – FSMO).
• Контроллеры доменов могут выполнять специализированные роли:
– Роли, требующие уникальности в пределах всего леса доменов:
• Исполнитель роли владельца доменных имен
• Исполнитель роли владельца схемы
– Роли, требующие уникальности в пределах домена:
• Исполнитель роли владельца идентификаторов
• Исполнитель роли эмулятора основного контроллера домена
• Исполнитель роли владельца инфраструктуры каталога.
• По умолчанию все данные роли возлагаются на первый контроллер
домена, установленный в лесе.
• Процесс принудительной передачи функций специализированной
роли другому контроллеру называется захватом роли.

127. Разделы каталога

• В рамках каталога Active Directory выделяется
несколько крупных фрагментов каталога –
разделов каталога, представляющих
законченные непрерывные поддеревья
(контексты имен):





Доменный раздел каталога
Раздел схемы каталога
Раздел конфигурации
Разделы приложений
Раздел глобального каталога

128. Раздел глобального каталога

• Глобальный каталог – специализированная база данных,
содержащая фрагменты всех доменных контекстов имен.
• Для исключения чрезмерного разрастания базы данных в нее
включены значения только наиболее часто используемых атрибутов.
• Контроллер домена, выступающий в качестве носителя такой базы
данных, называется сервером глобального каталога. Он выполняется
следующие функции:
– Предоставление пользователям возможности поиска объектов в лесу
доменов по атрибутам
– Разрешение основного имени пользователя
– Предоставление информации о членстве пользователя в различных
группах с универсальной областью действия.
• В лесу доменов присутствует по крайней мере один сервер
глобального каталога. По умолчанию это первый контроллер
созданный в домене.

129. Другие разделы

• Раздел конфигурации – используется для размещения
сведений о структуре системы: список всех доменов и деревьев
леса, перечень существующих контроллеров домена и
серверов глобального каталога.
• Доменный раздел – используется для размещения объектов,
являющихся непосредственно частью домена. Здесь хранятся
объекты, ассоциированные с пользователями, компьютерами,
общими ресурсами. Данный раздел передается в рамках
домена.
• Разделы приложений – могут быть созданы для различных
сетевых приложений. Разделы могут быть созданы
администратором вручную или самими приложениями при
помощи интерфейса программирования ADSI (Active Directory
Service Interfaces). Создание таких разделов позволяет
обращаться к приложениям используя общий подход доменных
имен.

130. Организационные единицы

• В структуре службы каталога можно использовать
специальные объекты контейнерного типа, позволяющие
группировать объекты. Такими объектами являются
организационные единицы, позволяющие объединять
объекты в логическую структуру. Используются для
упрощения управления входящими в них объектами.
• Иерархия организационных единиц образуется только в
пределах домена. Организационные единицы
принадлежащие разным доменам леса не связаны друг
сдругом.

131. Управление службой Active Directory

• Для управления службой каталогов Active Directory используются
специальные средства администрирования.
Утилиты
администрирования
службы каталогов:
. Active Directory –
пользователи и
компьютеры
Active Directory –
домены и доверие
Active Directory –
сайты и службы

132. Управление службой Active Directory


Оснастка «Active Directory —
сайты и службы» является
консолью управления
Microsoft Management Console,
которую можно использовать
для администрирования
репликации данных каталога.
Другими средствами
управления Active Directory
являются программы
командной строки.
Программа Ntdsutil
используется для
обслуживания базы данных
Active Directory, управления
действиями одиночного
хозяина операций и удаления
метаданных, оставленных
контроллерами домена,
которые были удалены из сети
без выполнения
соответствующих операций

133. Службы ИНТЕРНЕТ в Windows Server 2003

Тема 6. Администрирование информационных
систем. Администрирование интранетсервера IIS, корпоративный сайт и
виртуальный каталог.
Службы ИНТЕРНЕТ в Windows Server 2003
• Информационные службы Интернета (IIS) вместе с продуктами
семейства Microsoft Windows Server 2003 обеспечивают
комплексные, надежные, масштабируемые, безопасные и
регулируемые возможности веб-сервера при работе с
внутренними и внешними сетями, а также с Интернетом.
• IIS
является
инструментом
для
создания
мощных
коммуникационных
платформ
динамических
сетевых
приложений.
• Различные организации используют IIS для поддержки и
управления веб-страниц в Интернете или во внутренней сети, для
поддержки и управления FTP-узлами, для маршрутизации
новостей и почты, которые используют протоколы NNTP и SMTP.

134. Возможности служб IIS

• IIS 6.0 поддерживает последние веб-стандарты, такие как
Microsoft ASP.NET, XML и протокол SOAP, для разработки,
реализации и управления веб-приложениями.
• IIS 6.0 включает новые возможности для достижения
высокой производительности, надежности,
масштабируемости и безопасности большого числа вебузлов на одном или нескольких серверах IIS.

135. Повышенная надежность служб IIS 6.0

• IIS 6.0 обладает повышенной надежностью по
сравнению с предыдущими версиями благодаря
новой архитектуре обработки запросов, которая
обеспечивает изолированную среду для
выполнения приложений.
• Это позволяет отдельным веб-приложениям
работать независимо друг от друга в виде
независимых рабочих процессов.

136. Режимы работы

• IIS 6.0 можно настроить либо для работы в режиме изоляции рабочих
процессов, в котором любой процесс запускается в изолированной
среде, либо в режиме изоляции IIS 5.0, в котором можно запускать
веб-приложения, несовместимые с режимом изоляции рабочих
процессов.
• В режиме изоляции рабочих процессов можно изолировать любой
объект или процесс — от отдельного веб-приложения до нескольких
узлов, обеспечив их работу в виде самостоятельного независимого
рабочего процесса службы веб-публикации.
• Это позволит исключить возможность сбоя в работе одного
приложения или узла из-за сбоя другого. Изоляция приложений или
узлов в отдельные процессы упрощает ряд задач по управлению.

137. Группы приложений

• Режим изоляции рабочих процессов позволяет клиентам создавать
несколько групп приложений, где каждая группа приложений может
иметь уникальную конфигурацию.
• При этом повышается производительность и надежность, поскольку
эти группы приложений получают ответы на запросы
непосредственно из ядра, а не от службы Интернета.
• Группа приложений может быть настроена в режиме изоляции
рабочих процессов для обслуживания любых объектов — от одного
веб-приложения до нескольких веб-приложений и узлов.
• Назначение приложения группе приложений позволяет еще глубже
изолировать приложения и выполняется так же просто, как
назначение этому приложению группы в метабазе, к которой оно
должно маршрутизироваться.
• Узлы по умолчанию считаются обычным приложением, где корневое
пространство имен "/" настраивается в качестве приложения.

138. Обеспечение безопасности

• IIS 6.0 предоставляет набор средств и технологий
обеспечения безопасности, гарантирующих
согласованность содержимого веб- и FTP-узлов, а также
передаваемых через эти узлы данных.
• Функции обеспечения безопасности IIS решают следующие
связанные с безопасностью задачи:





проверка подлинности клиента и сервера,
управление доступом,
шифрование потока данных,
использование цифровых сертификатов,
аудит.

139. Проверка подлинности

Метод
Уровень
безопасности
Способ
Отправки
паролей
Использование с прокси-серверами и
брандмауэрами
Требования к клиенту
Анонимная проверка
подлинности
Отсутствует
Не применяется
Доступно
Любой обозреватель
Обычная проверка
подлинности
Низкий
Открытый текст
в кодировке
Base64
Доступно, но отправка пароля
незащищенным текстом через проксисервер или брандмауэр рискованна,
поскольку кодировка Base64 не
зашифрована и легко декодируется
Большинство обозревателей
Краткая проверка
подлинности
Средний
Хешированная
Доступно
Internet Explorer 5 или более поздней
версии
Расширенная краткая
проверка подлинности
Средний
Хешированная
Доступно
Internet Explorer 5 или более поздней
версии
Встроенная проверка
подлинности Windows
Высокий
Хешированная
при использовании NTLM.
Билет Kerberos
при использовании Kerberos
Недоступно, за исключением
использования через подключение PPTP
Internet Explorer 2.0 или более поздние
версии для NTLM; Windows 2000 или
более поздние версии с Internet Explorer
5 или более поздними версиями для
Kerberos
Проверка подлинности
сертификатов
Высокий
Отсутствует
Доступно при использовании подключения
SSL
Internet Explorer и Netscape
Проверка подлинности
.NET Passport
Высокий
Зашифрована
Доступно при использовании подключения
SSL
Internet Explorer и Netscape

140. Управление доступом

• Правильное управление доступом к содержимому веб- и
FTP-узлов является основным элементом организации
защищенного веб-сервера.
• Используя возможности Windows и системы безопасности
IIS, можно эффективно управлять доступом пользователей
к содержимому веб- и FTP-узлов. Управление доступом
может быть организовано на нескольких уровнях, от всего
веб- или FTP-узла до отдельных файлов.
• Каждой учетной записи предоставляются права
пользователя и разрешения.
– Права пользователя являются правами на выполнение
определенных действий на компьютере или в сети.
– Разрешения представляют правила, связанные с объектом,
таким как файл или папка, которые определяют, какие
учетные записи могут получить доступ к объекту.

141. Схема управление доступом

– Клиент запрашивает ресурс на сервере.
– IP-адрес клиента проверяется на ограничения IP-адресов, заложенные в IIS. Если IPадресу отказано в доступе, запрос отклоняется и пользователю возвращается
сообщение «403 Доступ запрещен».
– Сервер, если это задано в настройке, запрашивает у клиента информацию для
проверки подлинности. Обозреватель либо приглашает пользователя указать имя и
пароль, либо предоставляет эту информацию автоматически.
– IIS проверяет допустимость учетной записи пользователя. Если учетная запись
пользователя не является допустимой, запрос отклоняется и пользователю
возвращается сообщение «401 Отказано в доступе».
– IIS проверяет наличие у пользователя веб-разрешений для запрашиваемого
ресурса. Если таких разрешений нет, запрос отклоняется и пользователю
возвращается сообщение «403 Доступ запрещен».
– Добавляются любые модули безопасности, такие как олицетворение Microsoft
ASP.NET.
– IIS проверяет для ресурса разрешения NTFS на статические файлы, ASP-страницы и
CGI-файлы. Если у пользователя нет разрешений NTFS, запрос отклоняется и
пользователю возвращается сообщение «401 Отказано в доступе».
– Если у пользователя имеются разрешения NTFS, запрос выполняется.

142. Шифрование


Шифрованием называют преобразование элементов информации с помощью
математической функции, после которого восстановление исходной информации
становится исключительно трудным для всех, кроме лица, которому адресована
информация. Основой этого процесса является математическое значение, которое
называют ключом, используемое функцией для однозначного сложного
преобразования информации.
Веб-сервер использует для защиты связи с пользователями в значительной степени
один и тот же процесс шифрования. После установления защищенной связи
специальный ключ сеанса используется и веб-сервером, и веб-обозревателем
пользователя как для шифрования, так и для расшифровки информации. Например,
когда правомочный пользователь пытается загрузить файл с веб-узла, для которого
требуется безопасный канал связи, веб-сервер использует ключ сеанса для шифрования
файла и относящихся к нему заголовков HTTP. После получения зашифрованного файла
веб-обозреватель использует копию того же ключа сеанса для восстановления файла.
Этот метод шифрования, несмотря на защиту, имеет существенный недостаток: при
создании защищенного канала по незащищенной сети может передаваться копия
ключа сеанса. Это означает, что компьютерному взломщику, желающему нарушить
систему безопасности подключения, достаточно перехватить ключ сеанса. Для
предотвращения таких ситуаций на веб-сервере применяется дополнительный способ
шифрования.

143. Шифрование с открытым ключом


Средство безопасности веб-сервера, работающее по протоколу SSL,
использует метод шифрования, известный под именем шифрования с
открытым ключом для защиты ключа сеанса от перехвата при передаче.
Шифрование с открытым ключом, в котором используются два
дополнительных ключа, закрытый и общий, выполняется следующим
образом:
– Веб-обозреватель пользователя устанавливает защищенную связь (https://) с вебсервером.
– Веб-обозреватель пользователя и сервер вступают в диалог, чтобы определить
уровень шифрования, который должен использоваться для защиты подключений.
– Веб-сервер отправляет обозревателю его открытый ключ.
– Веб-обозреватель шифрует сведения, используемые при создании ключа сеанса, с
помощью открытого ключа и отправляет их на сервер.
– С помощью закрытого ключа сервер расшифровывает сообщение, создает ключ
сеанса, шифрует его с помощью открытого ключа и отправляет обозревателю.
– Ключ сеанса используется как сервером, так и веб-обозревателем для шифрования
и расшифровывания передаваемых данных.

144. Сертификаты


Сертификаты содержат сведения, используемые для проверки подлинности
пользователей сети. Как и обычные формы установления подлинности,
сертификаты позволяют веб-серверам и пользователям проверить
подлинность друг друга перед установлением соединения.
Сертификаты содержат также значения для шифрования, или ключи, которые
используются для установления соединения по протоколу SSL между
клиентом и сервером. При использовании соединения SSL такие данные, как
номера банковских карт, передаются по сети в зашифрованном виде, поэтому
не могут быть перехвачены и использованы неавторизованными лицами.
Существуют два типа сертификатов, используемых протоколом SLL, —
серверные и клиентские сертификаты. Каждый из них имеет свой формат и
назначение.
– Серверные сертификаты содержат сведения о сервере, что позволяет клиенту
однозначно идентифицировать сервер до передачи важной информации.
– Клиентские сертификаты содержат личные данные клиентов, запрашивающих
доступ к узлу, и позволяют идентифицировать пользователей перед
предоставлением доступа к ресурсам узла.

145. Аудит

• Для отслеживания действий пользователей и
обнаружения попыток несанкционированного
доступа к каталогам и файлам в системе NTFS
можно использовать средства аудита.
• В журнал аудита могут быть записаны следующие
события:
– успешные и неуспешные попытки входа пользователей
в систему;
– попытки доступа пользователей к запрещенным
учетным записям;
– попытки выполнения пользователями запрещенных
команд.

146. Администрирование IIS

• Для удовлетворения потребностей различных групп
пользователей IIS предоставляет широкий спектр средств
управления и администрирования.
• Администраторы могут настроить сервер, на котором
работает IIS 6.0, с помощью:
– Диспетчера IIS
– Административных сценариев
– Редактируя неформатированный файл конфигураций
IIS
– Удаленного доступа.

147. Неформатированная метабаза

• Метабаза является хранилищем для большинства
значений конфигурации IIS. Ее модернизация привела к
значительному ускорению процессов запуска и
завершения работы сервера, а также к увеличению общей
производительности и удобства использования самой
метабазы. Данная версия IIS включает в себя
редактируемый вручную или программно
неформатированный файл конфигураций метабазы .XML.
Для хранения метабазы используются два
неформатированных файла формата .XML:
– файл MetaBase.xml содержит значения конфигурации IIS;
– файл MBSchema.xml хранит схему метабазы XML и следит за
правильностью ее настройки.
• Поскольку оба файла являются неформатированными, то
их можно прочитать только с помощью соответствующего
редактора.

148. Сценарии администрирования

• Администрирование из командной строки
позволяет выполнять задачи управления более
эффективно.
• IIS предоставляет сценарии для следующих задач:
– создание, удаление, запуск, остановка и регистрация
веб-узлов;
– создание, удаление, запуск, остановка и регистрация
FTP-узлов;
– создание и удаление виртуальных веб-каталогов;
– создание и удаление приложений;
– экспорт и импорт конфигурации IIS;
– создание резервных копий и восстановление
конфигурации IIS.

149. Создание веб-узлов

• Сценарий для командной строки iisweb.vbs, хранящийся в
папке корневой_каталог_системы\system32,
используется для создания конфигураций веб-узлов на
локальных и удаленных компьютерах под управлением
операционной системы из семейства Windows Server 2003
с установленной службой версией IIS 6.0.
• Команда не создает и не удаляет содержимое, она
настраивает структуру каталога и некоторые файлы
конфигурации IIS.
• Синтаксис
– iisweb /create путь имя_узла [/b порт] [/i IP-адрес]
[/d заголовок_узла] [/dontstart] [/s компьютер [/u
[домен\]пользователь/p пароль]]

150. Удаление веб-узлов

• Синтаксис
– iisweb /delete веб_узел [веб_узел...] [/s компьютер [/u
[домен\]пользователь/p пароль]]
• Пример
• В следующем примере удаляются несколько
конфигураций веб-узлов на удаленном компьютере.
• Веб-узлы «Finance», «Work Group» и «Logo» расположены
на сервере SRV01. В команде первые два узла
определяются по имени, а веб-узел «Logo» — по пути к
метабазе, «W3SVC/79116006». К тому же в команде
используется параметр /s для ввода имени удаленного
компьютера, а также параметры /u и /p для запуска
команды с разрешениями пользовательской учетной
записи «Администратор».
• iisweb /delete Finance "Work Group" W3SVC/79116006 /s
SRV01 /u Alice /p [email protected]##word

151. Запуск, приостановка и остановка веб-узлов

• Запуск веб-узла выполняется командой
– iisweb/start веб_узел [веб_узел...] [/s компьютер [/u
[домен\]пользователь/p пароль]]
• Остановка веб-узла выполняется командой
– iisweb/stop веб_узел [веб_узел...] [/s компьютер [/u
[домен\]пользователь/p пароль]]
• Приостановка веб-узла выполняется командой
– iisweb/pause веб_узел [веб_узел...] [/s компьютер [/u
[домен\]пользователь/p пароль]]

152. Управление ftp-узлом

• Сценарий для командной строки iisftp.vbs, хранящийся в папке
корневой_каталог_системы\system32, используется для создания
конфигураций FTP-узлов (File Transfer Protocol) на локальных и
удаленных компьютерах под управлением одной из операционных
систем семейства Windows Server 2003 с установленной версией
IIS 6.0.
• Данная команда не создает и не удаляет содержимое, а производит
настройку структуры каталога и файлов конфигурации IIS.
• При использовании сценария iisftp.vbs для создания нового FTP-узла
задаются только основные свойства, необходимые для создания узла
и определения его содержимого.
• Сценарий iisftp.vbs использует те же свойства по умолчанию, которые
диспетчер IIS использует при создании новых FTP-узлов, и следует тем
же правилам наследования свойств. Для настройки дополнительных
свойств FTP-узла следует использовать диспетчер IIS.

153. Создание, удаление, запуск и остановка ftp-узла

Создание, удаление, запуск и остановка ftpузла
• Для создания, запуска, остановки и удаления ftp-узла используются
команды подобные командам управления веб-узлами:
– Создание:
• iisftp /create путь имя_узла [/b порт] [/i IP_адрес] [/dontstart] [/isolation
{AD|локальный} [/domain имя_домена /Admin
[домен\]пользователь /AdminPwdпароль]] [/s компьютер [/u
[домен\]пользователь/p пароль]]
– Запуск
• iisftp/start FTP_узел [FTP_узел...] [/s компьютер [/u
[домен\]пользователь/p пароль]]
– Остановка
• iisftp/stop FTP_узел [FTP_узел...] [/s компьютер [/u
[домен\]пользователь/p пароль]]
– Удаление
• iisftp /delete FTP_узел [FTP_узел...] [/s компьютер [/u
[домен\]пользователь/p пароль]]

154. Виртуальные каталоги


Сценарий для командной строки iisvdir.vbs, хранящийся в папке
корневой_каталог_системы\system32, используется для создания
виртуальных веб-каталогов на локальных и удаленных компьютерах под
управлением операционной системы из семейства Windows Server 2003 с
установленной версией IIS 6.0.
Команда не создает и не удаляет содержимое, она настраивает структуру
виртуального каталога и файлы конфигурации IIS.
При использовании сценария iisvdir.vbs для создания нового виртуального
веб-каталога задаются только основные свойства, необходимые для создания
узла и определения его содержимого.
Сценарий iisvdir.vbs использует те же свойства по умолчанию, которые
диспетчер IIS использует при создании новых виртуальных каталогов, и
следует тем же правилам наследования свойств.
Для настройки дополнительных свойств каталога следует использовать
диспетчер IIS.
Например, для создания виртуального каталога используется команда:
– iisvdir /create веб_узел[/виртуальный_путь] имя физический_путь
[/s компьютер [/u [домен\]пользователь/p пароль]]

155. Управление конфигурациями IIS

• Для создания и управления файлами конфигурации IIS на
компьютерах под управлением операционной системы из
семейства Windows Server 2003 с установленной версией
IIS 6.0, используются два сценария для командной строки,
хранящихся в папке
корневой_каталог_системы\System32.
• Сценарий iisback.vbs создает архивные копии
конфигурации IIS (метабазы и схемы) локального или
удаленного компьютера и управляет ими.
• Сценарий iiscnfg.vbs импортирует и экспортирует все или
выбранные элементы метабазы IIS на локальном или
удаленном компьютере, или полностью копирует
конфигурацию IIS (метабазу и схему) на другой
компьютер.

156. Управление резервными копиями


При каждой операции архивирования (/backup) создается два файла: файл .MDx для
хранения метабазы и файл .SCx для хранения схемы, где x является номером версии
резервной копии. Служба IIS и сценарий iisback.vbs сохраняют файлы резервных копий в
папке корневой_каталог_системы\System32\inetsrv\MetaBack.
Метабаза и схема конфигурации IIS включают свойства системы и свойства сеанса.
Не следует выполнять копирование или импорт метабазы или схемы одного сервера IIS
на другой сервер IIS, не внося изменений.
Для полного или частичного копирования конфигурации метабазы с одного сервера на
другой используйте сценарий iiscnfg.vbs.
Создание резервной копии:

Восстановление из резервной копии

iisback /restore/b имя_резервной_копии [/v {целое | HIGHEST_VERSION}]
[/e пароль_шифрования]
[/s компьютер [/u [домен\]пользователь/p пароль]]
Удаление архивной конфигурации

iisback /backup [/b имя_резервной_копии] [/v {Integer | HIGHEST_VERSION | NEXT_VERSION}]
[/overwrite] [/e пароль_шифрования] [/s компьютер [/u [домен\]пользователь/p пароль]]
iisback /delete [/bимя_резервной_копии] [/v {целое | HIGHEST_VERSION}] [/sкомпьютер [/u
[домен\]пользователь/pпароль]]
Вывод списка резервных копий

iisback /list [/s компьютер [/u [домен\]пользователь/p пароль]]

157. Копирование конфигураций


Сценарий для командной строки iiscnfg.vbs, хранящийся в папке
корневой_каталог_системы\system32, используется для копирования
метабазы и схемы IIS с одного компьютера на другой. Оба компьютера
должны работать под управлением одной из операционных систем семейства
Windows Server 2003 с установленной версией IIS 6.0.
Операция копирования (/copy) сценария iisback.vbs используется для
создания резервной копии исходной метабазы и схемы. Затем резервные
копии файлов (.MDx и .SCx) копируются на конечный компьютер, при этом
сценарий iisback.vbs заменяет метабазу и схему конечного компьютера
резервной копией.
Все эти операции можно выполнить вручную, однако операция /copy
представляет собой удобный одношаговый способ репликации конфигурации
IIS. Операция /copy обладает возможностями сценария iissync.exe, средства,
ранее включавшегося в Windows.
Операция /copy не копирует содержимое сервера, например веб-страницы и
файлы FTP, связанное с конфигурацией IIS. Вместо этого операция /copy
изменяет свойства метабазы, связанные с компьютером и системой, таким
образом, что они становятся применимы на конечном компьютере. Однако
настройка путей к каталогам и файлам при этом не производится. В
результате пути конфигурации могут оказаться недействительными на
конечном компьютере.

158. Установка дополнительных компонентов

159. Диспетчер служб IIS

160. Тема 7. Администрирование сервера баз данных. Планирование инфраструктуры сервера баз данных и выбор версий WindowsSQLServer

• Средства администрирования операционной системы (на примере
Windows 2008 Server). Администрирование учетных записей.
Администрирование дисковых массивов.
• Средства администрирования баз данных (на примере SQL Server
2008).
• Средства администрирования локальных вычислительных сетей (на
примере домена Windows 2008 Server).
• Средства администрирования службы каталога (на примере домена
Windows 2008 Server).
• Разработка структуры подразделений и групповых политик
безопасности. Применение политик безопасности на примере
Windows 2008 Server.
• Средства администрирования интернет-служб WWW, FTP, SMTP,
NNTP в глобальных сетях (на примере служб Microsoft IIS).
• Средства администрирования служб маршрутизации и удаленного
доступа на примере Microsoft RRAS.

161. Безопасность в SQL Server 2000

• SQL Server 2000 является системой,
удовлетворяющей самым жестким
требованиям к безопасности информации.
Условно система безопасности может быть
разделена на два уровня:
• • уровень сервера;
• • уровень базы данных.

162. Безопасность в SQL Server 2000

• На уровне сервера разрешается или отклоняется
доступ пользователей к самому серверу.
• На уровне базы данных пользователи, имеющие
доступ на уровне сервера, получают доступ к
объектам базы данных.
• Такой подход позволяет более гибко управлять
доступом пользователей к базам данных.

163. Безопасность в SQL Server 2000

• На уровне сервера система безопасности
оперирует следующими понятиями:
• • аутентификация (authentication);
• • учетная запись (login);
• • встроенные роли сервера (fixed server
roles).

164. Безопасность в SQL Server 2000

• На уровне базы данных используются
понятия:
• пользователь базы данных (database user);
• фиксированная роль базы данных (fixed
database role);
• пользовательская роль базы данных (users
database role);
• роль приложения (application role).

165. Безопасность в SQL Server 2000

• Каждый пользователь, прежде чем получить право совершать какиелибо действия в системе, должен идентифицировать себя.
• Обычный способ идентификации — ввод имени пользователя при
входе в систему.
• В свою очередь система должна убедиться, что пользователь,
пытающийся получить доступ, действительно является тем, за кого
себя выдает. Для этого предназначена аутентификация.
• Аутентификация — это проверка подлинности пользователя.
Стандартное средство аутентификации — ввод пароля.
• Такой метод регистрации применяется повсеместно, в т. ч. в Windows
и в SQL Server 2000.

166. Безопасность в SQL Server 2000

SQL Server 2000 поддерживает два метода
аутентификации (Authentication Modes):
• средствами Windows (Windows
Authentication);
• средствами SQL Server 2000 (SQL Server
Authentication).

167. Безопасность в SQL Server 2000

• Оба метода обладают своими недостатками
и преимуществами.
• Администратор должен сам решить, какой
из них более подходит в том или ином
случае.
• SQL Server 2000 способен по разному
использовать эти способы.

168. Безопасность в SQL Server 2000

Система безопасности SQL Server 2000 может
работать в одном из двух режимов:
• Mixed Mode
• Windows Authentication Mode

169. Безопасность в SQL Server 2000

• Mixed Mode (режим смешанной аутентификации).
• При работе в этом режиме SQL Server 2000 поддерживает проверку
подлинности пользователей как с применением аутентификации
Windows , так и аутентификации SQL Server.
• Данный режим предлагает некоторые удобства по сравнению со
следующим режимом (режим Windows).
• В частности, когда пользователь не имеет учетной записи в домене
Windows, он не может получить доступа к серверу баз данных, если
разрешена аутентификация только средствами домена Windows.
• Смешанный режим аутентификации позволяет избежать этой
проблемы;

170. Безопасность в SQL Server 2000

• Windows Authentication Mode (режим
аутентификации Windows).
• При работе системы безопасности в этом режиме
пользователи смогут получить доступ к серверу
только с помощью аутентификации Windows.
• Режим является более защищенным по
сравнению с предыдущим. Это, в первую очередь,
связано с тем, что аутентификация Windows
является гораздо более защищенной, чем
аутентификация SQL Server.

171. Аутентификация Windows

• При аутентификации Windows подлинность пользователя
проверяется операционной системой. Регистрируясь в
домене Windows, пользователь должен ввести свое
доменное имя и пароль.
• SQL Server 2000 предполагает, что процесс регистрации
пользователей в сети достаточно защищен, и поэтому не
выполняет никаких дополнительных проверок.
• Пользователь автоматически получает соответствующие
права доступа к данным SQL Server 2000 сразу же после
регистрации в домене.

172. Аутентификация Windows

• При аутентификации средствами Windows необходимо
следить за доверительными отношениями (trusted
relationships) между доменами.
• Если серверы SQL Server 2000 находятся в разных доменах,
то для предоставления доступа к серверу пользователям
"чужого" домена необходимо настроить доверительные
отношения.
• Если пользователь пытается подключиться к SQL Server
2000, установленному в домене, с которым не
сконфигурированы доверительные отношения, то ему
будет предложено идентифицировать себя с помощью
аутентификации SQL Server.

173. Аутентификация Windows

• Если в сети имеется небольшое количество пользователей,
то будет не обременительным предоставление доступа
каждому из них персонально.
• Однако, в больших сетях с сотнями пользователей
подобный подход не оправдывает себя.
• Гораздо более удобным и эффективным является подход,
когда доступ к SQL Server 2000 предоставляется целым
группам пользователей.
• На уровне домена создается несколько групп, каждая из
которых будет предназначена для решения
специфических задач.

174. Аутентификация SQL Server

• Этот тип аутентификации реализуется на
самом SQL Server 2000.
• Вся информация о пользователях хранится
в системной базе Master.
• Для каждого пользователя указывается имя
учетной записи, уникальный
идентификатор SQL Server, пароль и другая
информация.

175. Учетные записи

• доступ к серверу SQL Server 2000 предоставляется
пользователю на основе информации,
называемой учетной записью (account или login)
пользователя.
• Если пользователь успешно прошел регистрацию
в сети Windows NT, он получает набор
идентификаторов, включающий идентификатор
самой учетной записи и идентификаторы всех
групп, в которые включена учетная запись.

176. Учетные записи

• Информация об учетных записях как SQL
Server 2000, так и Windows хранится в
таблице sysxlogins системной базы данных
Master. Каждая строка этой таблицы
соответствует одной учетной записи.

177. Учетные записи

• процессе инсталляции SQL Server 2000
мастер установки создает две специальные
учетные записи:

178. Учетные записи

• sa (system administrator).
• BUILTIN\Administrators

179. Управление пользователями

• Пользователь базы данных (user) — это
административная единица системы
безопасности, через которую предоставляется
доступ учетной записи к объектам базы данных.
• Через права, выданные пользователю базы
данных, администратор может контролировать
действия, которые станет выполнять владелец
учетной записи в той или иной базе данных.

180. Управление пользователями

Специальные пользователи
В любой базе данных автоматически создаются два пользователя:
• dbo (database owner). Это специальный пользователь базы данных,
являющийся ее владельцем. Владелец базы данных имеет абсолютные права
по управлению ею. Пользователя dbo нельзя удалить. По умолчанию в
пользователя dbo отображается учетная запись sa, которой тем самым
предоставляются максимальные права в базе данных. Кроме того, все члены
роли базы данных dbowner также считаются владельцами базы данных.
Пользователь dbo включен в роль db_owner и не может быть удален из нее;
guest. Если учетной записи явно не предоставлен доступ к базе данных, то она
автоматически отображается сервером в пользователя guest. С помощью
этого пользователя можно предоставлять разрешения на доступ к объектам
базы данных, необходимые любому пользователю. Разрешив доступ
пользователю guest, вы, тем самым, даете аналогичные права доступа всем
учетным записям, сконфигурированным на SQL Server 2000. Для повышения
безопасности хранящейся информации рекомендуется удалять пользователя
guest из базы данных.

181. Роли

• В SQL Server 7.0 был добавлен новый
механизм — роли (roles), которые пришли
на смену группам SQL Server 6.x.
• В SQL Server 2000 доступны как роли, так и
группы.

182. Роли

• РОЛИ СЕРВЕРА
• РОЛИ БАЗ ДАННЫХ

183. Роли сервера

• Набор ролей сервера строго ограничен.
Никто, включая администратора сервера,
не может создать новую или удалить
существующую роль сервера. Поэтому
• они называются фиксированными ролями
(fixed server roles).

184. Роли сервера SQL Server 2000

Роль сервера
Права члена роли
Sysadmin
Может выполнять любую задачу в любой БД SQL Server.
По умолчанию учетная запись sa и все члены группы
Windows Administrator являются членами данной роли
Serveradmin
Конфигурировать SQL Server с помощью системной
хранимой процедуры sp_configure и перезапускать службы
SQL Server
Setupadmin
Устанавливать и изменять параметры конфигурации
удаленных и связанных сервисов и параметры
репликации. Могут включать некоторые хранимые
процедуры в число исполняемых при запуске системы
Securityadmin
Выполнять все операции, связанные с защитой, контроль
над учетными записями сервера и чтение журнала ошибок
SQL Server

185. Роли сервера SQL Server 2000

Роль сервера
Права члена роли
Processadmin
Управлять процессами в системе SQL Server, удалять
пользовательские процессы, применяющие некорректные
запросы
Dbcreator
Создавать, изменять и удалять БД
Diskadmin
Управлять файлами и устройствами резервного
копирования
Bulkadmin
Выполнять операторы BULK INSERT (распределять задачи
резервного копирования и восстановления данных)

186. Роли базы данных

В базе данных SQL Server 2000 имеются три
следующих типа ролей:
• фиксированные роли базы данных (fixed
database role);
• пользовательские роли базы данных (user
database role);
• роли приложений (application role).

187. Роли баз данных

Фиксированные роли баз данных
• Фиксированные роли делают возможным
предоставление пользователям набора прав,
которые нельзя организовать никаким другим
способом.
• Количество и назначение фиксированных ролей
стандартно и не может быть изменено.
• Кроме того, нельзя управлять правами доступа
фиксированных ролей к объектам базы данных.

188. Фиксированные роли базы данных

Роль БД
Права участника роли
Db_owner
Может выполнять любые задачи в БД
Db_accessadmin
Может добавлять в БД и удалять из нее
пользователей (с помощью процедуры
sp_grantdbaccess)
Db_securityadmin
Может управлять разрешениями, ролями,
записями участников ролей (используя
операторы GRANT, REVOKE, DENY)
Db_ddladmin
Может добавлять, изменять и удалять объекты
(CREATE, ALTER, DROP)
Db_backupoperator
Может выполнять команды DBCC, инициировать
процессы фиксации транзакций, создавать
резервные копии

189. Фиксированные роли базы данных

Роль БД
Права участника роли
Db_datareader
Может считывать данные из
пользовательских таблиц и представлений в
БД
Db_datawriter
Может изменять или удалять данные из
пользовательских таблиц и представлений
Db_denydatareader Не может считывать данные из
пользовательских таблиц представлений в
БД
Db_denydatawriter
Не может изменять или удалять данные из
пользовательских таблиц в БД

190. Роли баз данных

Пользовательские роли баз данных
• Если фиксированные роли предназначены
для наделения пользователей
специальными правами в базе данных, то
пользовательские роли служат лишь для
группировки пользователей с целью
облегчения управления их правами доступа
к объектам.

191. Роли баз данных

Пользовательские роли баз данных
• Если в базе данных существуют
пользователи, которым необходимы
одинаковые права доступа, то лучше
объединить их в единую
административную единицу, чем управлять
каждым из них по отдельности.

192. Права доступа

• Для того чтобы пользователь имел
возможность выполнять те или иные
действия с объектами базы данных, он
должен предварительно получить
необходимые права доступа.

193. Права доступа

• права доступа к данным;
• права на выполнение хранимых процедур;
• права на выполнение команд Transact-SQL.

194. Права доступа к данным

Доступ к данным можно разделить на несколько категорий:
• INSERT. Это право позволяет вставлять в таблицу или представление
новые строки. Как следствие, право INSERT может быть выдано только
на уровне таблицы или представления и не может быть выдано на
уровне столбца.
• UPDATE. Данное право выдается либо на уровне таблицы, что
позволяет изменять все данные в таблице, либо на уровне отдельного
столбца, что разрешает изменять данные только в пределах
конкретного столбца.
• DELETE. Право позволяет удалять строки из таблицы или
представления. Как и право INSERT, право DELETE может быть выдано
только на уровне таблицы или представления и не может быть
выдано на уровне столбца.

195. Права доступа к данным

Доступ к данным можно разделить на несколько категорий:
• SELECT. Разрешает выборку данных. Может
выдаваться как на уровне таблицы, так и на
уровне отдельного столбца.
• REFERENCES. Возможность ссылаться на
указанный объект. Применительно к таблицам
разрешает пользователю создавать внешние
ключи, ссылающиеся на первичный ключ или
уникальный столбец этой таблицы

196. Права на выполнение отдельных процедур и функций

• Единственное право доступа, которое
может быть предоставлено для хранимой
процедуры — это право на ее выполнение
(EXECUTE).
• Владелец хранимой процедуры может
просматривать и изменять ее код.

197. Права на выполнение команд Transact-SQL

Права на выполнение команд TransactSQL
• Предназначены для управления
возможностями пользователя по созданию
новых объектов базы данных.

198. Права на выполнение команд Transact-SQL

Права на выполнение команд TransactSQL
CREATE DATABASE. Право создания базы данных. Выдается учетной записи.
CREATE TABLE. Право на создание таблицы.
CREATE VIEW. Право на создание представления.
CREATE PROCEDURE. Право на создание хранимой процедуры.
CREATE FUNCTION. Право на создание пользовательской функции.
CREATE RULE. Право на создание правила.
CREATE DEFAULT. Право на создание умолчания.
BACKUP DATABASE. Право на создание резервной копии базы данных.
BACKUP LOG. Право на создание резервной копии журнала транзакций.
ALL. С помощью этого права предоставляются все вышеперечисленные права.

199. Управление разрешениями средствами Enterprise Manager

• Enterprise Manager
предоставляет простой
интерфейс для управления
разрешениями: их просмотра
предоставления, блокирования и
отзыва.
• Для доступа к управлению
необходимо выбрать БД и в
меню Свойства выбрать закладку
Permissions.

200. Права на выполнение команд Transact-SQL

Права на выполнение команд TransactSQL
• Члены фиксированной роли сервера
sysadmin и фиксированной роли базы
данных dbowner автоматически имеют
право ALL. Члены других фиксированных
ролей имеют набор прав, соответствующих
функциям роли.

201. Управление правами доступа

• новый пользователь автоматически является
членом фиксированной роли базы данных public,
он автоматически получает набор прав, выданный
для этой роли.
• Если же такого набора прав не достаточно, то
необходимо явно предоставить доступ (allow
access) к тому или иному объекту базы данных.
• Права доступа могут быть выданы пользователю
непосредственно или как члену роли базы
данных.

202. Создание учетной записи средствами Enterprise Manager

203. Выбор ролей сервера для учетной записи

204. Предоставление доступа к БД

205. Создание пользовательской роли БД

• Для создания
пользовательской роли базы
данных, выберите
необходимую базу данных.
• Раскройте список объектов и
выберите объект Roles.
• С помощью контекстного
меню вызывается команда
New Database Role.

206. Создание пользовательской роли БД

• После создания роли, установка разрешений выполняется с
помощью команды Permissions в свойствах роли.

207. Административные задачи (обязанности администратора)

• Администрирование сервера и баз данных имеет
мало общих задач. Тем не менее, некоторые из
них могут решаться как на уровне сервера, так и
на уровне базы данных.
• Например, изменение размера и создание
резервных копий базы данных способен
выполнять как администратор сервера, так и
администратор базы данных.

208. Ограничения целостности в MS SQL Server

Тема 8. Администрирование информационных
систем. Проектирование и архивирование баз
данных для Windows SQL Server.
Ограничения целостности в
MS SQL Server
• Ограничения целостности – constraints
• Ограничения целостности Check были введены в
SQL Server 7.0. В более ранних версиях для
контроля значений в столбцах использовались
правила (rules). В SQL Server 2000 правила были
оставлены для обеспечения совместимости с
предыдущими версиями.

209. Ограничения целостности в MS SQL Server

• Ограничение целостности Check
предназначено для создания ограничений
на значения, которые могут храниться в
поле строки.
• Ограничение целостности NULL – запрет на
неопределенные значения.
• Ограничение целостности Default –
значение по умолчанию (с версии 7.0)

210. Ограничения целостности в MS SQL Server

• Ограничение целостности Unique
обеспечивает уникальность значений в
столбце таблицы. Кроме того, уникальность
может контролироваться на основе
значений более чем одного столбца.

211. Ограничения целостности в MS SQL Server

• В основе ограничения целостности Primary Key
лежит применение уникального индекса
(Unique Index), который, как и ограничение
целостности Unique, обеспечивает
уникальность хранящихся в столбце (или
столбцах) данных. Использование уникального
индекса, а не ограничения целостности Unique
позволяет повысить скорость доступа к
данным первичного ключа.

212. Ограничения целостности в MS SQL Server

• Для создания внешнего ключа в таблице
SQL Server 2000 используется ограничение
целостности Foreign Key. Таким образом
обеспечивается ссылочная целостность
данных.

213. Ограничения целостности в MS SQL Server

• В SQL Server 2000 реализованы механизмы,
позволяющие переложить на сервер
выполнение сопутствующих действий —
удаление (или обновление) строк во всех
зависимых таблицах.
• No Action и Cascade - эти ограничения
целостности определяются не в главной, а в
зависимой таблице.

214. Ограничения целостности в MS SQL Server

• No Action предписывает не выполнять
никаких действий в зависимой таблице при
изменении данных в главной таблице.
• Cascade – выполнять соответствующие
действия в зависимой таблице.

215. Тема 9. Системы безопасности и администрирование SQLServer. Проектирование защиты баз данных (проектирование схем и

шифрование).
• Законодательный уровень политики безопасности,
определяемый нормативно-правовой информационной
базой страны.
• Административный уровень - определяется рядом
организационно-управленческих мероприятий,
предпринимаемых на каждом предприятии или фирме. Он
обеспечивается совокупностью документированных
управленческих решений, направленных на защиту
информации.

216. Безопасность ИС

• Процедурный уровень - меры безопасности, реализуемы
на низшем (операционном) уровне управления
(управление персоналом, физическая защита,
реагирование на нарушения режима безопасности,
планирование восстановительных работ).
• Программно-технологический уровень включает меры
безопасности, реализуемые за счет программнотехнических средств. Этот уровень можно считать уровнем
реализации, в то время как остальные уровни - уровни
организации.

217. Безопасность ИС

Для обеспечения
технологической
безопасности в
информационных
системах используют
“зеркальные” серверы,
двойные жёсткие диски,
надёжные системы
бесперебойного питания и
др.
Логическая
безопасность
заключается в
использовании
программных средств
борьбы с
компьютерными
вирусами, защиты от
несанкционированного
доступа,
идентификации и
кодирования
информации.
Физическая
безопасность
включает персонал,
меры и преграды,
препятствующие
проникновению
несанкционированных
лиц на недоступные
для них объекты.

218. Управление системой безопасности

• Администрирование сетевой безопасности, как и
всякий процесс регулирования, начинается с
планирования.
• При планировании сети необходимо внедрить
технологии безопасности, причем это следует
сделать на стадии планирования установки
операционной системы Windows, Unix и т.д.).
Таким образом можно обеспечить безопасную
работу в сети.

219. Управление системой безопасности

• Основные этапы планирования стратегий сетевой безопасности могут
быть представлены в следующем виде:
• 1) составление плана развертывания стратегии безопасности;
• 2) создание границ безопасности;
• 3) анализ стратегий сетевой безопасности;
• 4) внедрение стратегий безопасности для всех пользователей;
• 5) внедрение стратегий для пользователей корпоративных приложений;
• 6) внедрение стратегий для персонала организации;
• 7) внедрение стратегий для партнеров;
• 8) мониторинг реализации плана.

220. Управление системой безопасности

По мере разработки плана сетевой безопасности следует:
• • выявить ситуации, когда возможен риск снижения сетевой
безопасности;
• • определить размер сервера и требования размещения;
• • подготовить персонал;
• • создать и опубликовать политики и процедуры безопасности;
• • использовать формальную методологию для создания плана
безопасности;
• • определить группы пользователей, их нужды и риски сниже-ния
безопасности.

221. Управление общим доступом

Важным аспектом моделей безопасности
является управление доступом. Существует
два подхода:
• добровольное управление доступом;
• принудительное управление доступом.

222. Управление общим доступом

• При добровольном управлении доступом вводится так
называемое владение объектами.
• Как правило, владельцами объектов являются те субъекты
базы данных, процессы которых создали соответствующие
объекты.
• Добровольное управление доступом заключается в том,
что права на доступ к объектам определяют их
владельцы.
• В результате при добровольном управлении доступом
реализуется полностью децентрализованный принцип
организации и управления процессом разграничения
доступа.

223. Управление общим доступом

• Такой подход обеспечивает гибкость
настраивания системы разграничения
доступа в базе данных на конкретную
совокупность пользователей и ресурсов,
• Но затрудняет общий контроль и аудит
состояния безопасности данных в системе.

224. Управление общим доступом

• Принудительный подход к управлению доступом
предусматривает введение единого
централизованного администрирования доступом.
• Принудительный способ обеспечивает более
жесткое централизованное управление доступом.
• На практике может применяться комбинированный
способ управления доступом, когда определенная
часть полномочий на доступ к объектам
устанавливается администратором, а другая часть
владельцами объектов.

225. Управление общим доступом

• Cанкционированный доступ – это доступ к
объектам, программам и данным
пользователей, имеющих право выполнять
определённые действия (чтение,
копирование и др.), а также полномочия и
права пользователей на использование
ресурсов и услуг, определённых
администратором вычислительной
системы.

226. Управление общим доступом

Аутентификация – это метод независимого от источника
информации установления подлинности информации на
основе проверки подлинности её внутренней структуры (“это
тот, кем назвался?”).
Авторизация – в информационных технологиях это
предоставление определённых полномочий лицу или группе
лиц на выполнение некоторых действий в системе обработки
данных. (“имеет ли право выполнять данную
деятельность?”). Посредством авторизации устанавливаются
и реализуются права доступа к ресурсам.
Идентификация – это метод сравнения предметов или лиц по их
характеристикам, путём опознавания по предметам или
документам, определения полномочий, связанных с доступом
лиц в помещения, к документам и т. д. (“это тот, кем
назвался и имеет право выполнять данную деятельность?”).

227. Управление общим доступом

По принципу разграничения доступа модель
безопасности бывает:
• Одноуровневая
• Многоуровневая

228. Управление общим доступом

• Простейшая (одноуровневая) модель безопасности
данных строится на основе дискреционного
(избирательного) принципа разграничения доступа, при
котором доступ к объектам осуществляется на основе
множества разрешенных отношений доступа в виде
троек — «субъект доступа– тип доступа– объект доступа».
Наглядным и распространенным способом
формализованного представления дискреционного
доступа является матрица доступа, устанавливающая
перечень пользователей (субъектов) и перечень
разрешенных операций (процессов) по отношению к
каждому объекту базы данных (таблицы, запросы, формы,
отчеты).

229. Управление общим доступом

• Многоуровневая безопасность означает, что в БД
хранится информация, относящаяся к разным
классам безопасности, и, что часть пользователей
не имеет доступа к информации, относящейся к
высшему классу безопасности. То есть
пользователь, имеющий низший уровень доступа,
может выполнять свою работу с БД, содержащей
совершенно секретные данные, но он не имеет
прав доступа к ним.

230. Классы безопасности

• В частности традиционные подходы используют
категорирование информационных ресурсов по уровню
конфиденциальности (совершенно секретно — СС, секретно
— С, конфиденциально — К, и т. п.).
• Понятие допуска определяет мандатный (полномочный)
принцип разграничения доступа к информации.
• Соответственно субъекты доступа к ним (сотрудники) также
категорируются по соответствующим уровням доверия,
получая так называемого допуска (допуск степени 1, допуск
степени 2 и т. д.).

231. Управление общим доступом

232. Управление общим доступом

• В модели Белл —ЛаПадула устанавливаются и
поддерживаются два основных ограничения политики
безопасности:
• • запрет чтения вверх (no read up — NRU);
• • запрет записи вниз (no write down — NWD).
• Ограничение NRU является логическим следствием мандатного принципа разграничения доступа, запрещая
субъектам читать данные из объектов более высокой степени
конфиденциальности, чем позволяет их допуск.
• Ограничение NWD предотвращает перенос (утечку) конфиденциальной информации путем ее копирования из объектов с высоким уровнем конфиденциальности в
неконфиденциальные объекты или в объекты с меньшим
уровнем конфиденциальности.

233. Тема 5 Эксплуатация и сопровождение информационных систем

• Ведение статистики использования ресурсов ИС.
Управление пользователями ИС. Выявление и
устранение проблемных мест информационной
системы.
• Оперативное управление и регламентные
работы. Методы выявления неполадок в работе
информационной системы. Устранение
неполадок в системе.
• Технические средства в информационных
системах. Управление и обслуживание
технических средств. Методы тестирования
технических средств.

234. Управление пользователями


Для управления пользователями в MS Windows используется понятие учетной
записи.
Учетная запись в Active Directory — объект, содержащий все сведения,
позволяющие определить пользователя домена.
К таким сведениям относятся:
– имя пользователя,
– пароль
– группы, членом которых является его учетная запись.
Учетные записи пользователей хранятся либо в Active Directory, либо на
локальном компьютере.
– На компьютерах с Windows XP Professional и рядовых серверах с Windows
Server 2003 управление локальными учетными записями пользователей
осуществляется с помощью компонента «Локальные пользователи и группы».
– На контроллерах домена под управлением Windows Server 2003 для этого
используется компонент «Active Directory — пользователи и компьютеры».

235. Оперативное управление и регламентные работы

• Для корректной работы КИС необходимы
средства, позволяющие вовремя
диагностировать состояние сети, выявлять
неполадки и их устранять.
• Команды обслуживания сети

236. Команды обслуживания сети

• При работе с сетевым окружением
администратору необходимо иметь
инструменты управления и обслуживания
сети. Команды работы с сетью разделяются
на категории:
– Диагностика
– Устранение неполадок
– Конфигурирование

237. Диагностика сети

• Команды диагностики в реальном времени
предоставляют информацию о работе сети и сетевых
подключений. К числу команд диагностики сети относятся
команды
– netstat (команда выводит статистику протокола и
текущие сетевые подключения TCP/IP)
– Синтаксис
• netstat [-a] [-e] [-n] [-o] [-p протокол] [-r] [-s]
[интервал]

238.

– Параметры
• -a Вывод всех активных подключений TCP и прослушиваемых компьютером
портов TCP и UDP.
• -e Вывод статистики Ethernet, например количества отправленных и принятых
байтов и пакетов. Этот параметр может комбинироваться с ключом -s.
• -n Вывод активных подключений TCP с отображением адресов и номеров
портов в числовом формате без попыток определения имен.
• -o вывод активных подключений TCP и включение кода процесса (PID) для
каждого подключения. Код процесса позволяет найти приложение на вкладке
Процессы диспетчера задач Windows. Этот параметр может комбинироваться
с ключами -a, -n и -p.
• -p протокол Вывод подключений для протокола, указанного параметром
протокол. В этом случае параметр протокол может принимать значения tcp,
udp, tcpv6 или udpv6. Если данный параметр используется с ключом -s для
вывода статистики по протоколу, параметр протокол может иметь значение
tcp, udp, icmp, ip, tcpv6, udpv6, icmpv6 или ipv6.
• -s Вывод статистики по протоколу. По умолчанию выводится статистика для
протоколов TCP, UDP, ICMP и IP. Если установлен протокол IPv6 для Windows XP,
отображается статистика для протоколов TCP через IPv6, UDP через IPv6,
ICMPv6 и IPv6. Параметр -p может использоваться для указания набора
протоколов.
• -r Вывод содержимого таблицы маршрутизации IP. Эта команда эквивалентна
команде route print.
• интервал Обновление выбранных данных с интервалом, определенным
параметром интервал (в секундах). Нажатие клавиш CTRL+C останавливает
обновление. Если этот параметр пропущен, netstat выводит выбранные
данные только один раз.
• /? Отображение справки в командной строке.

239. Диагностика сети

• Команда netdiag позволяет выводить статистику и выполнять
диагностику сетевого интерфейса.
– Синтаксис: netdiag [/опции]
– Опции:
/q - Quiet output (errors only)
/v - Verbose output
/l - Log output to NetDiag.log
/debug - Even more verbose.
/d:<DomainName> - Find a DC in the specified domain.
/fix - fix trivial problems.
/DcAccountEnum - Enumerate DC machine accounts.
/test:<test name>
/? вызов подсказки
– netdiag /test:server выводит статистику и запускает диагностику сетевой
карты

240. Устранение неполадок


Для выявления участков в сети TCP/IP,на которых присутствуют неполадки имеется
несколько команд





ping
Синтаксис ping [-t] [-a] [-n число] [-l размер] [-f] [-i TTL] [-v T
[-r число] [-s число] [[-j списокУзлов] | [-k списокУзлов
[-w таймаут] конечноеИмя
Параметры:
-t
Отправка пакетов на указанный узел до команды преры
Для вывода статистики и продолжения нажмите
<Ctrl>+<Break>, для прекращения - <Ctrl>+<C>.
-a
Определение адресов по именам узлов.
-n число
Число отправляемых запросов.
-l размер
Размер буфера отправки.
-f
Установка флага, запрещающего фрагментацию пакета.
-i TTL
Задание срока жизни пакета (поле "Time To Live").
-v TOS
Задание типа службы (поле "Type Of Service").
-r число
Запись маршрута для указанного числа переходов.
-s число
Штамп времени для указанного числа переходов.
-j списокУзлов Свободный выбор маршрута по списку узлов.
-k списокУзлов Жесткий выбор маршрута по списку узлов.
-w таймаут
Таймаут каждого ответа в миллисекундах.
/?
Вызов справки

241. Устранение неполадок


Другими командами устанавливающими наличие соединения с удаленным ip-узлом являются
команды:
– tracert – выводит имена и ip-адреса всех маршрутизаторов,через которые проходит пакет

Параметры:
-d
Без разрешения в имена узлов.
-h максЧисло
Максимальное число прыжков при поиске узла.
-j списокУзлов Свободный выбор маршрута по списку узлов.
-w интервал
Интервал ожидания каждого ответа в миллисекундах.

pathping – выводит сетевую статистику при каждом переходе пакета через маршрутизатор

Параметры:
-g Список
При прохождении по элементам списка узлов игнорировать предыдущий маршрут.
-h Число_прыжков Максимальное число прыжков при поиске узла.
-i Адрес
Использовать указанный адрес источника.
-n
Не разрешать адреса в имена узлов.
-p Пауза
Пауза между отправками (мсек).
-q Число_запросов Число запросов при каждом прыжке.
-w Таймаут
Время ожидания каждого ответа (мсек).
-P
Тестировать на связность пути полученного с помощью RSVP.
-R
Тестировать, если каждый прыжок резервируется с помощью RSVP.
-T
Тестировать возможность взаимодействия для каждого
-4
Принудительно использовать IPv4.
-6
Принудительно использовать IPv6.

242. Конфигурирование сети


Для просмотра конфигурации сетевых интерфейсов используется команда
ipconfig
– Синтаксис:
ipconfig [/? | /all | /release [адаптер] | /renew [адаптер] |
/flushdns | /displaydns /registerdns |
/showclassid адаптер |
/setclassid адаптер [устанавливаемый_код_класса_dhcp] ]
– ключи:
/?
Отобразить это справочное сообщение.
/all
Отобразить полную информацию о настройке параметров.
/release Освободить IP-адрес для указанного адаптера.
/renew
Обновить IP-адрес для указанного адаптера.
/flushdns Очистить кэш разрешений DNS.
/registerdns Обновить все DHCP-аренды и перерегистрировать DNS-имена
/displaydns Отобразить содержимое кэша разрешений DNS.
/showclassid Отобразить все допустимые для этого адаптера коды (IDs) ыDHCP-классов.
/setclassid Изменить код (ID) DHCP-класса.

243. Конфигурирование сети


Для конфигурирования сети может быть использована команда route. Данная
команда управляет таблицами маршрутов.
– ROUTE [-f] [-p] [команда [узел] [MASK маска] [шлюз] [METRIC метрика] [IFинтерфейс]
-f
Очистка таблиц маршрутов от записей для всех шлюзов. При указании одной из
команд, таблицы очищаются до выполнения команды.
• -p
При использовании с командой ADD задает сохранение маршрута при
перезагрузке системы. По умолчанию маршруты не сохраняются при перезагрузке.
Игнорируется для остальных команд изменяющих соответствующие постоянные
маршруты.
• команда:




PRINT Печать маршрута
ADD
Добавление маршрута
DELETE Удаление маршрута
CHANGE Изменение существующего маршрута
узел
Адресуемый узел.
MASK
Если вводится ключевое слово MASK, то следующий параметр
интерпретируется как параметр "маска".
• маска
Значение маски подсети, связываемое с записью для данного маршрута. Если
этот параметр не задан, по умолчанию подразумевается 255.255.255.255.
• шлюз
Шлюз.
• METRIC
Определение параметра метрика/цена для адресуемого узла.

244. Аудит ИС

• Информационный аудит – это проверка и
оценка практики использования ИТ-систем
в организации, осуществляемая
специализированной независимой
организацией.

245. Аудит. Первая прична


Первая причина – информационным технологиям большинства Российских
компаний свойственен эволюционный путь создания и дальнейшего их
развития. Он характеризуется тем, что информационные системы включаются
в инфраструктуру ИТ или модернизируются по мере возникновения
необходимости и (или) по мере возможности (в том числе и финансовой). В
итоге в ИТ-инфраструктуре формируется сложная (порой разнородная) и
поэтому плохо управляемая совокупность программно-технических и
системных платформ. Даже если ИС прошла все стадии создания,
последующие изменения бизнес-процессов или введение новых приложений
могут привести к тому, что параметры её программно-аппаратных платформ
перестанут соответствовать требованиям бизнеса.

246. Аудит. Вторая причина

• Вторая причина связана с зависимостью
успешности бизнеса от способности
управленцев вовремя получать и быстро
обрабатывать нужную информацию.

247. Аудит. Составные части

• внутренний контроль, осуществляемый
организацией, эксплуатирующей ИС;
• внешний контроль, осуществляемый внешней
организацией в рамках разделения полномочий
организации, эксплуатирующей ИС, и
вышестоящего ведомства или организации;
• независимый информационный аудит.

248. Виды аудитов


процессов управления службой ИТ,
структуры службы ИТ,
информационной системы,
ТЗ и проектной документации на создание
ИС,
• систем резервирования данных.

249. Виды аудитов

• Аудит процессов управления службой ИТ
включает ряд специализированных
аудитов, среди которых выделим аудиты
процесса управления инцидентами,
изменениями и конфигурациями, а также
управления доступностью и
информационной безопасностью.

250. Виды аудитов

• Аудит информационной системы используется для
определения (оценки степени) соответствия сервисов
текущим и планируемым в будущем потребностям
бизнеса организации и услугам, предоставляемым
информационной системой сотрудникам организации.
• Результатом такого аудита являются предварительные
рекомендации по совершенствованию (модернизации) и
предложения по структуре проекта совершенствования
(модернизации) ИС.

251. Аудит

• В процессе проведения информационного
аудита предполагается получить ответы на
вопросы, связанные с полезностью,
доступностью, целостностью и
конфиденциальностью аудируемой
системы.

252. Аудит

• Полезность выявляется путём
определения как и на сколько
используемая система способствует
достижению целей, стоящих перед
аудируемым лицом и в интересах
указанных заинтересованных лиц, а также
соответствия издержек создания и
эксплуатации системы приобретаемым
выгодам.

253. Аудит

• Доступность определяется
установлением возможности системы
обеспечивать её использование
(доступность) уполномоченными лицами в
требуемые моменты с получением
необходимой информации вовремя и в
адекватных форматах.

254. Аудит

• Целостность системы устанавливается в
процессе выявления возможностей
пользователей получать точную,
непротиворечивую и своевременную
информацию с соблюдением принципов
транзакционности обработки данных и
журналирования изменений в данных.

255. Аудит

• Конфиденциальность системы
определяется путём установления
доступности к информации в системе
только её авторизованных пользователей.

256. Тестирование ИС

• Под тестированием понимается процесс
исполнения программы с целью
обнаружения ошибок

257. Эксплуатация и сопровождение ИС

• Эксплуатация включает работы по внедрению
компонентов ПО в эксплуатацию, в том числе
конфигурирование БД и рабочих мест пользователей,
обеспечение эксплуатационной документацией,
проведение обучения персонала и т.д., и непосредственно
эксплуатацию, в том числе локализацию проблем и
устранение причин их возникновения, модификацию ПО в
рамках установленного регламента, подготовку
предложений по совершенствованию, развитию и
модернизации системы.

258. Эксплуатация и сопровождение ИС

• Важным вопросом сопровождения ИС является
мониторинг работы сетевого и иного
вычислительного оборудования. Эту задачу
оперативного управления ИС выполняет
администратор системы.
• В первую очередь принято обращать внимание на
критически важные инциденты. Затем
рекомендуется осуществлять контроль сроков
исполнения, оптимизировать контролируемы
параметры и др.

259. Управление рисками и инцидентами

• Определение рисков является сложной
задачей. Некоторые специалисты полагают,
что мы ещё не на такой стадии, когда
можем оценить все риски. При этом
успешное выявление и ликвидация рисков
зависит от умения их распознавать.

260. Управление рисками и инцидентами

• 1) недостаточное внимание к проекту со стороны
руководства заказчика (компании) и неостаточное
в нём участие;
• 2) неконкретная постановка задачи или
непонимание сторонами конечных целей
проекта;
• 3) изменения, вносимые заказчиком в процессе
реализации проекта;
• 4) недостаточная квалификация работников;

261. Управление рисками и инцидентами

• 5) отсутствия мотивации сотрудников
заказчика, противодействие персонала;
• 6) срыв сроков;
• 7) технические проблемы;
• 8) недостаточное или нестабильное
финансирование.

262. Риски администрирования

• ● сокращение установленных в соответствующих планах (графиках)
сроков выполнения работ;
• ● увеличение стоимости сопровождения, эксплуатации и
администрирования ИС из-за системных и иных ошибок,
недостаточного уровня поддержки со стороны руководства и
администраторов ИС;
• ● сложность эксплуатации системы;
• ● несоблюдение условий безопасности ИС и хранящихся в ней
данных;
• ● сбои;
• ● увольнение администраторов и специалистов, осуществляющих
эксплуатацию и поддержку ИС и др.

263. Риски

• Риски надо постоянно анализировать и
актуализировать как в ходе
проектирования, так и в ходе эксплуатации
ИС. Существует мнение, что если
вероятность наступления какого-либо
события превышает 50%, то следует быть
готовым, что оно действительно
произойдёт, а если она составляет 90%, то
это уже серьёзная угроза.

264. ISO 12207

• Вспомогательные процессы:
• Процесс аудита
• Процесс решения проблем

265. Аудит

• Процесс аудита является процессом
определения соответствия требованиям,
планам и условиям договора. Данный
процесс может выполняться двумя любыми
сторонами, участвующими в договоре,
когда одна сторона (ревизующая)
проверяет другую сторону (ревизуемую).

266. Решения проблем

• Процесс решения проблем является процессом анализа и
решения проблем (включая обнаруженные
несоответствия), независимо от их происхождения или
источника, которые обнаружены в ходе выполнения
разработки, эксплуатации, сопровождения или других
процессов.
• Целью данного процесса является обеспечение способов
своевременного, ответственного и документируемого
анализа и решения всех обнаруженных проблем и
определения причин их возникновения.
English     Русский Правила