Сетевое администрирование

Симметрия взаимодействия по протоколу telnet позволяет в течении одной сессии программе-"user" и программе-"server" меняться местами. Это принципиально отличает взаимодействие в рамках telnet от традиционной схемы "клиент-сервер". Симметрия взаимодействия тесно связана с процессом согласования формы обмена данными между участниками telnet-соединения. Когда речь идет о работе на удаленной машине в режиме терминала, то возможности ввода и отображения информации определяются только конкретным физическим терминалом и договорной процесс сводится к заказу терминальной программой характеристик этого терминала.

Концепция сетевого виртуального терминала позволяет обеспечить доступ к ресурсам удаленной машины с любого терминального устройства. Под терминальным устройством понимают любую комбинацию физических устройств, позволяющих вводить и отображать информацию.

 

Интерфейс пользователя (telnet) и демон (telnetd)

Для того, чтобы протокол стал реально шествующим стандартом, нужна программа, его реализующая, такими программами являются telnet и telnetd в Unix-системах.

Telnetd - это сервер, который обслуживает протокол telnet. Обычно telnetd запускается через сервис Internet (inetd), в некоторых системах может быть запущен и вручную. Telnetd обслуживает TCP-порт 23, но может быть запущен и на другой порт.

Принцип работы сервера заключается в том, что он "слушает" порт TCP. В случае поступления запроса на обслуживание, telnetd назначает каждому удаленному клиенту псевдотерминал (pty) в качестве стандартного файла ввода (stdin), стандартного файла вывода (stdout) и стандартного файла ошибок (stderr).

При установке взаимодействия с удаленным клиентом telnetd обменивается командами настройки (эхо, обмен двоичной информацией, тип терминала, скорость обмена, переменные окружения).

Программа-клиент (telnet) – это интерфейс пользователя для работы по протоколу telnet. Программа работает в двух режимах: в режиме командной строки (command mode) и в режиме удаленного терминала (input mode).

При работе в режиме удаленного терминала telnet позволяет работать с буферизацией (line-by-line) или без нее (character-at-a-time). При работе без буферизации каждый введенный символ немедленно отправляется на удаленную машину, откуда приходит "эхо". При буферизованном обмене введенные символы накапливаются в локальном буфере и отправляются на удаленную машину пакетом. "Эхо" в последнем случае также локальное.

 

9. Обмен файлами. Служба FTP

 

Технология FTP была разработана в рамках проекта ARPA и предназначена для обмена большими объемами информации между машинами с различной архитектурой. Главным в проекте было обеспечение надежной передачи. Стержень технологии составляет FTP-протокол.

FTP (File Transfer Protocol или "Протокол Передачи Файлов") обеспечивает обмен данными по TCP-каналу. Построен обмен по технологии "клиент-сервер". На рисунке изображена модель протокола.

В протоколе FTP соединение инициируется интерпретатором протокола пользователя. Управление обменом осуществляется по каналу управления в стандарте протокола telnet. Команды FTP генерируются интерпретатором протокола пользователя и передаются на сервер. Ответы сервера отправляются пользователю также по каналу управления.

 

 

Рисунок. Диаграмма протокола FTP

 

Команды FTP определяют параметры канала передачи данных и самого процесса передачи. Они также определяют и характер работы с удаленной и локальной файловыми системами.

Сессия управления инициализирует канал передачи данных. При организации канала передачи данных последовательность действий другая, отличная от организации канала управления. В этом случае сервер инициирует обмен данными в соответствии с согласованными в сессии управления параметрами. При этом канал данных может быть использован как для приема, так и для передачи данных.

Часть 2. Администрирование сетей

 

Тема 1. Учетные записи и группы безопасности

 

1. Понятие пользовательской учетной  записи

 

Для каждого пользователя в системе создается защищенная паролем учетная запись. Сущность учетной записи заключается в следующем.

Каждый пользователь, приступающий к работе в системе Windows 2000/XP, должен зарегистрироваться, т.е. подтвердить свою идентичность. Процесс подтверждения реализован путем проверки имени пользователя и пароля. После успешной регистрации пользователя Windows обращается к защищенной информации из учетной записи, определяющей перечень доступных/запрещенных ресурсов. При этом используются разрешения, определяющие доступ к совместно используемым файлам, папкам и сетевым ресурсам.

Информация о пользовательских учетных записях хранится в защищенной базе данных Security Accounts Manager (SAM). С целью отслеживания каждой записи и связанных с нею прав и разрешений применяется значение переменной длины, называемое идентификатором безопасности (SID). В момент создания пользовательской учетной записи ей присваивается уникальный идентификатор SID. В Windows 2000/XP все значения SID начинаются с сокращения S-1. Затем следует ряд чисел, уникальным образом идентифицирующих каждую учетную запись. Доступ к этим идентификаторам осуществляется с помощью системного реестра.

Если пользователь работает в корпоративной сети, то могут использоваться доменные учетные записи. Доменные учетные записи хранятся на центральном компьютере, который называется доменным контроллером. При этом в процессе регистрации в поле Log On To (Регистрация) в окне Log On To Windows (Регистрация в Windows) указывается имя компьютера (при регистрации с применением локальной учетной записи) или название домена (в случае регистрации с использованием доменной учетной записи).

Каждая доменная пользовательская учетная запись имеет собственный уникальный идентификатор SID. Эта запись хранится в каталоге домена, который управляется доменным контроллером. Каждый участник домена может связываться с этой базой данных и использовать находящийся там список учетных записей. Поэтому пользователь индивидуального компьютера, указав название доменной группы безопасности, может передавать право доступа к ресурсам общего пользования.

 

Встроенные пользовательские учетные записи Windows 2000/XP

После завершения установки Windows 2000/XP создаются несколько встроенных пользовательских учетных записей, которым назначены определенные привилегии и ограничения:

• Администратор (Administrator). Данная учетная запись предоставляет полный набор прав доступа для всего компьютера. Являясь постоянным членом группы Administrators, эта учетная запись позволяет реализовать неограниченный доступ ко всем файлам и ключам системного реестра. Учетная запись Administrator может создавать другие учетные записи пользователей.
• Гость (Guest). Учетная запись Guest предназначена для случайных пользователей или же тех, кто обращается к данной системе однократно. Заданные по умолчанию привилегии для этой учетной записи довольно ограниченны. Пользователи-гости могут только выполнять программы и сохранять документы, управлять ресурсами ЭВМ они не имеют права.
• HelpAssistant. Учетная запись HelpAssistant, используемая для сеансов Remote Assistance, по умолчанию отключена (и защищена строгим паролем). Она устанавливается на компьютере начинающего пользователя и предназначена для регистрации удаленного эксперта.
• SUPPORT_xxxxxxxx. Windows XP может содержать одну или несколько учетных записей, которые предназначены для реализации интерактивной поддержки и обслуживания поставщиками, например компанией Microsoft либо производителем вашего компьютера. Здесь ххххххххх представляет номер, определяемый поставщиком.

 

2. Группы безопасности

 

Для облегчения администрирования несколько учетных записей можно объединить в одну группу и назначать унифицированные права доступа всем ее членам, а не каждому пользователю в отдельности. Такая группа будет называться группой безопасности.

Группы безопасности позволяют организовать пользовательские учетные записи в соответствии с требованиями к уровню безопасности. Можно создать группу безопасности дома, в офисе, можно сформировать группу, объединяющую всех бухгалтеров и т.д. При этом разрешения, определяющие уровень безопасности, можно присваивать всей группе или отдельным пользователям. Пользовательская учетная запись может относиться к одной группе, к нескольким группам либо вообще не быть связанной ни с одной из групп.

Несмотря на то, что привилегии можно передавать каждой пользовательской учетной записи, этот путь достаточно утомителен и часто приводит к ошибкам. Передача привилегий отдельным пользовательским учетным записям свидетельствует о недостаточной практической подготовке администратора. Лучше присваивать разрешения и права доступа группам, а затем добавлять пользовательские учетные записи в группу, имеющую соответствующие привилегии.

 

Типы учетных записей

Для Windows XP характерен термин тип учетной записи. Обычно этот термин имеет значение при обращении к инструменту User Accounts (Пользовательские учетные записи) в панели управления. Тип учетной записи позволяет описать членство в группе безопасности. И хотя допускается произвольное количество групп безопасности, Windows XP относит каждую пользовательскую учетную запись к одному из четырех указанных типов:

• Computer administrator (администраторы компьютера). Члены указанной группы Administrators (Администраторы) классифицируются в качестве учетных записей администраторов компьютера.
• Limited (ограничения). Члены группы Users (Пользователи) классифицируются с помощью учетных записей с ограничениями.
• Guest (Гости). Члены группы Guests (Гости) ассоциируются с гостевыми учетными записями.
• Unknown (неизвестные). Учетная пользовательская запись, не включенная в группы Administrators, Users или Guests, относится к категории неизвестных учетных записей. Поскольку учетные записи, создаваемые с помощью утилиты User Accounts из панели управления, присваиваются группе Administrators или группе Users, неизвестные учетные записи встречаются только при обновлении ранних версий Windows, а также при обращении к, консоли Local Users And Groups или к команде Net Localgroup при контроле членства в группах.

 

Встроенные группы безопасности

В состав Windows входит несколько встроенных групп безопасности. Каждая из них имеет заранее определенный набор прав доступа, разрешений и ограничений. Ниже приводится краткое описание этих групп.

Администраторы - Наиболее мощная группа, обеспечивающая полный контроль над системой. Администратор имеет право выполнять следующие операции:

• установка операционной системы и ее компонентов;
• установка пакетов обновления;
• обновление операционной системы;
• восстановление операционной системы;
• настройка главных параметров операционной системы (политики паролей, управления доступом, политики аудита, настройки драйверов в режиме ядра и так далее);
• вступление во владение файлами, ставшими недоступными;
• управление журналами безопасности и аудита;
• архивирование и восстановление системы.

Опытные пользователи (Power Users) - Включает многие, но не все привилегии, присущие группе администраторов. Опытный пользователь имеет право выполнять следующие операции:

• выполнять приложения, сертифицированные для Windows 2000 и Windows XP Professional, а также устаревшие приложения;
• устанавливать программы, не изменяющие файлы операционной системы, и системные службы;
• настраивать ресурсы на уровне системы, включая принтеры, дату и время, параметры электропитания и другие ресурсы панели управления;
• создавать и управлять локальными учетными записями пользователей и групп;
• останавливать и запускать системные службы, не запущенные по умолчанию.

Пользователи  (Users) - Ограниченный набор привилегий для пользователей, которые не нуждаются в администрировании системы. Пользователь имеет право выполнять следующие операции:

• запускать только сертифицированные для Windows приложения;
• создавать локальные группы и управлять ими;
• создавать и изменять свои файлы;

Гости (Guests) - Поддержка ограниченного доступа для случайных пользователей и гостей.

Операторы архива (Backup Operators) - Предоставление привилегий, требуемых для восстановления файлов и папок. Члены этой группы могут архивировать и восстанавливать файлы на компьютере независимо от всех разрешений, которыми защищены эти файлы.

Репликаторы (Replicator) - Обеспечение возможности управления репликацией, присущей доменным сетям.

Операторы настройки сети (Network) - Члены этой группы допускаются к установке, конфигурированию сетевых компонентов.

Пользователи удаленного рабочего стола (Remote) -  Обеспечение доступа к компьютеру посредством удаленного рабочего стола (Remote Desktop). Позволяет специалистам в удаленном режиме просматривать действия, происходящие на экране компьютера или брать на себя управление рабочей станцией в случае возникновения проблем.

HelpServices - Предоставление возможности техническому персоналу подключаться к вашему компьютеру.

 

Для обеспечения высокой степени безопасности в процессе текущей работы рекомендуется не регистрироваться сотрудникам (даже самим администраторам) с правами доступа администратора. Вместо этого при ежедневной работе надо воспользоваться учетной записью с несколько меньшими системными привилегиями. Регистрироваться в роли администратора следует только в тех случаях, когда требуется выполнять именно административные задания. Подобный подход позволит избежать нарушений в системной конфигурации, инфицирования операционной системы вирусом, а также создаст заслоны для внедрения «троянских коней». В Windows 2000 свои ежедневные обязанности можно выполнять в рамках группы Power Users.