Администратирование Windows 2000 Администрирование доменов Средства безопасности Вычислить объем Вычислить площадь фигуры Пересечение сферы фронтально — проецирующей плоскостью Исследование функции Пределы Производная График функции Векторная алгебра Линейные уравнения Матрицы Математический анализ Задачи на интеграл Интегральное исчисление Кратные интегралы Курсовые расчеты Инсталляции системы Запуск ОС Поддержка Plug and Play Интерфейс Панель управления Консоль управления Файловые системы FAT и FAT32 Информационные источники Сервер Web Работа в сетях Windows и Novell Интернет и почта Периферия и мультимедиа Работа с файлами Дополнительная конфигурация Конфигурирование X Windows Дистрибутив Служба удаленного доступа На главную Общая архитектура Windows NT Ссылка в качестве возвращаемого значения МатематикаСпособы декодирования Исследование функции Задачи на пределы Задачи на производную График функцииСоздание и редактирование стилей Векторная алгебра Линейные уравнения Задачи на матрицы Задачи на интегралМетоды расчета Интегральное исчислениеСборник задач по ядерной физикеВекторный анализ Кратные интегралы Математический анализ Курсовые расчеты Администрирование Windows 2000 Инсталляции системы Запуск ОС Поддержка Plug and Play Передача дискретных данных по линиям связи Интерфейс Панель управления Импрессионизм Консоль управленияГлобальные радиоактивные осадки Файловые системы FAT и FAT32 Сетевые службы и сервера AutoCAD LT и аналогичные продукты Служба удаленного доступа Цифро-аналоговое преобразование Введение в маршрутизацию Пересечение прямой линии с конусом Службы Internet Information Services Службы каталогов Учебник Microsoft Access Профессиональное использование Microsoft Access Разработка и сопровождение приложений Оснастка Activ Directory Групповые политики Операционная система Linux Дистрибутив Конфигурирование X Windows Дополнительная конфигурация Работа с файлами Периферия и мультимедиа Интернет и почта Работа в сетях Windows и Novell Сервер Web Информационные источники Оснастка Activ Directory -доверие (Active Directory Domains and Trusts) С помощью оснастки Active Directory — домены и доверие администратор может просматривать все деревья доменов в лесу и управлять доменами, а также устанавливать доверительные отношения между доменами и настраивать режим работы домена (смешанный, mixed, или основной, native). ; Данная оснастка позволяет конфигурировать дополнительные суффиксы основных имен пользователей (User Principal Name, UPN) для всего леса, которые облегчают пользователям процесс регистрации в Active Directory. Суффиксы основных имен пользователей соответствуют стандарту RFC 822, принятому в Интернете. Иногда их называют почтовыми адресами. По умолчанию суффикс леса совпадает с его DNS-именем. Изменение режима работы домена Управление доверительными отношениями Доверительные отношения, применявшиеся в сетях Windows NT 4.0, полностью поддерживаются в сетях Windows 2000. Они могут быть использованы для создания однонаправленного доверия между доменами Windows 2000 в дереве каталога и другими доменами, находящимися за границей вашего леса, которые могут быть образованы серверами Windows 2000, Windows NT 4.0 или более ранних версий. Это поможет вам поддерживать существующую инфраструктуру при переходе на сеть, полностью основанную на Active Directory. При создании нескольких доменов в одном дереве Active Directory автоматически устанавливаются междоменные двунаправленные доверительные отношения. Это значит, что пользователь может, зарегистрировавшись только в одном домене, получить доступ ко всем ресурсам всех доменов дерева. При объединении нескольких деревьев в лес между корневыми доменами каждого дерева также устанавливаются двунаправленные доверительные отношения. В этом случае необходимость дополнительной настройки доверительных отношений не возникает. Оснастка Active Directory — пользователи и компьютеры (Active Directory Users and Computers) Создание подразделения (организационной единицы) Создание учетной записи пользователя Премещение учетной записи пользователя Создание группы Добавление пользователя в группу Публикация общей папки Публикация общего ресурса в виде объекта каталога Для публикации общего ресурса в виде объекта каталога: 1. В оснастке Active Directory — пользователи и компьютеры укажите подразделения, где необходимо опубликовать общую папку, и нажмите правую кнопку мыши. В появившемся меню выберите команду Создать | Общую папку (New | Shared Folder). 2. В открывшемся окне в поле Имя (Name) введите с клавиатуры имя, которое получит опубликованная папка. 3. Введите значение в формате <имя_компьютера>\имя_оещего_ресурса в поле Сетевой путь к общему ресурсу (\\сервер\ресурс) (Network Path (\\server \share)). Публикация принтеров Принтеры, подключение к системам Windows 2000 Принтеры, работающие в других системах В каталоге Active Directory могут быть опубликованы общие принтеры, работающие в системах, отличных от Windows 2000 (например, Windows NT или Windows 9x). Такие принтеры проще всего опубликовать с помощью сценария pubprn, который публикует все общие принтеры, находящиеся на указанном сервере. Сценарий расположен в каталоге %SystemRoot%\System32. Работа с объектами типа «компьютер» Удаленное управление компьютерами Переименование, перемещение и удаление объектов Вложенные группы Делегирование прав администрирования Делегирование прав администрирования Проверка правельности выполнения передачи прав администрирования Аудит объектов Active Directory Аудит в отношении объектов Active Directory осуществляется так же, как и аудит других объектов операционной системы. Полученная в результате информация просматривается с помощью оснастки. Просмотр событий (Event Viewer). Активизируется аудит с помощью оснастки Групповая политика (Group Policy) (см. главу 27). Информация, полученная в результате аудита, позволяет диагностировать потенциальные бреши в системе безопасности и разрешать возникающие проблемы. При настройке аудита нужно определить, какие объекты должны быть отслежены и какие связанные с ними события следует фиксировать в журнале. Средства безопасности Windows 2000 Общие понятия и терминология Рассмотрим сначала некоторые общие понятия и термины, относящиеся к защите данных и методам шифрования, без которых невозможно описывать средства безопасности Windows 2000. Характеристики безопасности Шифрование с открытым ключом Криптография — это наука о защите данных. Алгоритмы криптографии с помощью математических методов комбинируют входной открытый текст и ключ шифрования, в результате чего получаются зашифрованные данные. Применение криптографии обеспечивает надежную передачу данных и предотвращение их получения несанкционированной стороной. Применяя хороший алгоритм шифрования, можно сделать практически невозможным, с точки зрения необходимых вычислительных и временных ресурсов, взлом защиты и получения открытого текста подбором ключа. Для быстрого выполнения подобного преобразования необходим расшифровывающий ключ. Цифровые (электронные) подписи Распределенная аутентификация Соглашение о секретном ключе, достигаемое с помощью открытого ключа Шифрование больших объемов данных Обеспечение истинности открытых ключей Что такое сертификат Центр сертификации Доверие и проверка Получив подписанное сообщение, следует решить: насколько можно доверять данной подписи? Действительно ли подпись была поставлена тем, кого она представляет? Математическую верность подписи можно проверить по получении подписанного сообщения. Для этого применяется открытый ключ. Но при этом нет полной уверенности в том, что используемый открытый ключ действительно принадлежит корреспонденту, от которого получено подписанное сообщение. Возникает необходимость проверки принадлежности открытого ключа. Она может быть проведена с помощью сертификата, созданного центром авторизации, пользующимся доверием у стороны, получившей подписанное сообщение. Применение алгоритмов шифрования с открытым ключом в Windows 2000 Компоненты Windows 2000, обеспечивающие шифрование Политики безопасности Протокол аутентификации Kerberos Основы протокола Kerberos Kerberos представляет собой набор методов идентификации и проверки истинности партнеров по обмену информацией (рабочих станций, пользователей или серверов) в открытой (незащищенной) сети. Процесс идентификации не зависит от аутентификации, выполняемой сетевой операционной системой, не основывается в принятии решений на адресах хостов и не предполагает обязательную организацию физической безопасности всех хостов сети. Кроме того, допускается, что пакеты информации, передаваемые по сети, могут быть изменены, прочитаны и переданы в любой момент времени. Следует, однако, отметить, что большинство приложений использует функции протокола Kerberos только при создании сеансов передачи потоков информации. При этом предполагается, что последующее несанкционированное разрушение потока данных невозможно. Поэтому применяется прямое доверие, основанное на адресе хоста. Kerberos выполняет аутентификацию как доверенная служба третьей стороны, используя шифрование с помощью общего секретного ключа (shared secret key). Взаимодействие с удаленными владениями Требования к рабочему окружению Флаги, используемые в запросах Протоколы обмена сообщениями Протокол службы аутентификации. Протокол службы аутентификации предназначен для обмена информацией между клиентом и сервером аутентификации (AS) Kerberos. Обычно обмен инициируется клиентом при попытке получения на сервере некоторой информации для идентификации. Для шифрования и дешифрования используется секретный ключ клиента! Этот протокол обычно применяется при инициализации сеанса входа в систему для получения информации идентификаций на TGS-сервере, который впоследствии будет использован для получения идентификационной информации других серверов без применения секретного ключа клиента. Также протокол службы аутентификации может быть использован для запроса идентификационной информации у служб, доступ к которым не может быть получен с помощью службы выдачи билетов, а требует применения секретного ключа партнера по обмену данными. К таким службам относится, например, служба изменения пароля. Запрос на изменение пароля не может быть удовлетворен до тех пор, пока клиент не сообщит свой старый пароль — текущий секретный пароль пользователя, — иначе любой пользователь мог бы сменить чужой пароль. База данных Kerberos Аутентификация Kerberos в доменах Windows 2000 Модель распределенной безопасности Windows 2000 Интегрированная аутентификация Kerberos Протокол Kerberos и авторизация Windows 2000 Применение Kerberos в сетях Windows 2000 Совместная работа средств обеспечения безопасности сети Взаимодействие Windows 2000 КDС и UNIX Шифрующая файловая система EFS Архитектура EFS Технологии шифрования EFS Принципы шифрования Операция шифрования Операция дешифрования Процесс восстановления файла после утраты секретной части ключа Место EFS в Windows 2000 EPS тесно взаимодействует с NTFS 5.0. Временные файлы, создаваемые приложениями, наследуют атрибуты оригинальных файлов (если файлы находятся в разделе NTFS). Вместе с файлом шифруются также и его временные копии. EPS находится в ядре Windows 2000 и использует для хранения ключей специальный пул, не выгружаемый на жесткий диск. Поэтому ключи никогда не попадают в файл подкачки. Работа с EFS Управление сертификатами пользователей Утилита cipher Шифрование файлов и каталогов Дешифрование файлов и каталогов Копирование, перемещение, переименование и уничтожение зашифрованных файлов и папок Архивация зашифрованных файлов Восстановление зашифрованных файлов на другом компьютере Часто возникает необходимость восстановить зашифрованную информацию не на том компьютере, на котором она была заархивирована. Это можно выполнить с помощью утилиты архивации. Однако необходимо позаботиться о переносе на новый компьютер соответствующего сертификата и личного ключа пользователя с помощью перемещаемого профиля либо вручную. На любом компьютере, где зарегистрировался пользователь, обладающий перемещаемым профилем, будут применяться одни и те же ключи шифрования. Восстановление данных, зашифрованных с помощью неизвестного личного ключа Безопасность IР Достоинства безопасности IP Базовые механизмы и концепции Алгоритмы шифрования Ключи Протоколы безопасности Архитектура безопасности IP Разработка плана безопасности Перед тем как реализовать безопасность IP в Windows 2000, полезно разработать и задокументировать план безопасности, охватывающий всю корпоративную сеть. Администрирование безопасности IP Поиск неисправностей Взаимодействие безопасности IP с различными программными продуктами Сертификаты Использование сертификатов для обеспечения безопасности Аутентификация Конфиденциальность Центры сертификации Использование сертификатов в Интернете Хранилища сертификатов Запрос сертификата Просмотр сертификатов С помощью оснастки Сертификаты можно просматривать информацию о выпущенных сертификатах. Для этого дважды щелкните на названии сертификата. Откроется диалоговое окно Сертификат (Certificate) с тремя вкладками: Общие (General), Состав (Details) и Путь сертификации (Certification Path). На вкладке Общие приведена обзорная информация о сертификате: тип сертификата, выдавший сертификат ЦС, пользователь или ЦС, для которого выдан сертификат, и период действия сертификата. Импорт и экспорт сертификатов Обновление сертификатов Установка центра сертификации Центр сертификации (ЦС, СА) — важный элемент в системе безопасности организации, поэтому в большинстве организаций имеется собственный ЦС. В системе Windows 2000 есть два модуля политик, которые обеспечивают следующие два класса ЦС: ЦС предприятия (Enterprise СА) и изолированный ЦС (Stand-alone СА). Внутри каждого класса могут быть два типа ЦС: корневой (root) и подчиненный (subordinate). Модули политик определяют действия, которые должен выполнить ЦС при поступлении запроса на получение сертификата. Запуск оснастки Центр сертификации (Certification Authority) Закон Кирхгофа ; Гипербола Ethernet драйверы пользовательского режима Первый способ задания функции: табличный Степенная функция Обратные тригонометрические функции Определение непрерывности функции Оценки ошибок в формулах приближённого дифференцирования Производные функции, заданной параметрически Примеры исследования функций и построения графиков Приближённое нахождение корней уравнений и точек экстремума Тригонометрическая форма комплексного числа Изменить порядок интегрирования Вычислить двойной интеграл Вычисление тройных интегралов Сферические координаты Два основных метода интегрирования Замена переменных в двойном интеграле Дифференцирование интегралов, зависящих от параметра