Documente Academic
Documente Profesional
Documente Cultură
Material de predare I
Familia Microsoft Windows Server
Domeniul: Informatic
Calificarea: Tehnician infrastructur reele de telecomunicaii
Nivel 3 avansat
2009
AUTOR:
IORDACHE FLORIN
COORDONATOR:
LADISLAU SEICA
CONSULTAN:
IOANA CRSTEA expert CNDIPT
ZOICA VLDU expert CNDIPT
ANGELA POPESCU expert CNDIPT
DANA STROIE expert CNDIPT
Cuprins
I. Introducere ........................................................................................................................................ 4
I. Documente necesare pentru activitatea de predare ........................................................................... 5
Tema 1. Familia Microsoft Windows Server ....................................................................................... 6
Tema 2 Protocoale de reea .................................................................................................................. 9
Fisa 1. Protocoale de reea................................................................................................................ 9
Tema 3. Servicii de reea .................................................................................................................... 13
Fia 1 Servicii de reea ................................................................................................................... 13
Fia 2. Active directory - Serviciul de catalog ............................................................................... 14
Fia 3. Instalarea serverului DHCP ................................................................................................ 17
Fia 4 Instalarea serverului DNS ................................................................................................... 19
Fia 5 Instalarea serviciului file server. ......................................................................................... 20
Tema 4 Instalarea sistemului de operare Windows 2003 server ........................................................ 21
Fia 1. Operaiuni pregtitoare ....................................................................................................... 21
Fia 2 Instalarea sistemului de operare .......................................................................................... 23
Tema 5 - Configurarea sistemelor de operare n reea ....................................................................... 25
Fisa 1. Configurarea Active Directory ........................................................................................... 25
Tema 6: Securitatea NOS ................................................................................................................. 33
Fisa 1. Securizarea sistemului ........................................................................................................ 33
Fia 2 Utilitare pentru monitorizarea sistemului. ............. Eroare! Marcaj n document nedefinit.
Fia rezumat ....................................................................................................................................... 38
Bibliografie........................................................................... Eroare! Marcaj n document nedefinit.
I. Introducere
Materialele de predare reprezint o resurs suport pentru activitatea de predare,
instrumente auxiliare care includ un mesaj sau o informaie didactic.
Prezentul material de predare, se adreseaz cadrelor didactice care predau n cadrul
colilor postliceale, domeniul Informatic, calificarea Tehnician infrastructur reele de
telecomunicaii
El a fost elaborat pentru modulul Sisteme de operare n reea, ce se desfoar n 93
ore, din care laborator tehnologic 31
Teme
Fise suport
Competene/Rezultate
ale nvrii
C2, C3, C4
Tema
6: Fisa 6.1. Securizarea sistemului
Securitatea NOS
C2, C3, C4
Tema 3:
de reea
C2, C3, C4
C1, C2, C3
C3, C4
4. Web edition - Este un server Web orientat pe funcii, optimizat astfel nct s
furnizeze firmelor o platform cuprinztoare i stabil pentru servire i gzduire pe
Web. Uor de instalat i de administrat.
5. For Itanium based systems - Windows Server 2008 pentru sistemele ItaniumBased este optimizat pentru baze de date mari, linie de afaceri i aplicaii specifice
oferind disponibilitate mare precum i scalabilitate pn la 64 de procesoare.
6. HPC server - Windows HPC Server 2008, reprezint urmtoarea generaie de highperformance computing (HPC), oferind unelte enterprise pentru un mediu HPC
extrem de productiv. Construit pe platforma Windows Server 2008, cu tehnologie
64-bit, Windows HPC Server2008, poate scala eficient pn la mii de nuclee de
procesare incluznd console de administrare care v ajuta s monitorizai proactiv
starea general a sistemului. Programarea operaiunilor, interoperabilitatea i
flexibilitatea v permit integrarea ntre platforme HPC Windows i Linux, suportnd
aplicaii SOA. Productivitate sporit, performane scalabile, uurin n utilizare, sunt
doar cteva din capacitile care fac din Windows HPC Server 2008 unul din cele
mai reuite sisteme de operare server.
O analiz comparativ a sistemelor de operare din familia Windows 2003/2008
Server este dat n tabelul de mai jos:
Caracteristic
Tehnologii de clustere
Echilibrarea ncrcrii reelei (NLB)
Protecie la defeciuni n cluster
Communicaii i servicii de reea
Suport pentru Reea privat virtual
(VPN)
Serviciul Protocol de iniiere a sesiunii
(SIP)
Serviciul de autorizare Internet (IAS)
Network Bridge
Partajare conexiune la Internet (ICS)
Directory Services
Active Directory
Suport pentru servicii Metadirector
(MMS)
Servicii de fiiere i imprimare
Sistem de fiiere distribuite (DFS)
Sistem de criptare fiiere (EFS)
Web Server
Standard
Server
Enterprise
Server
Data Center
da
nu
da
nu
da
da
da
da
da
da
da
nu
da
da
da
nu
nu
nu
da
da
da
da
da
da
da
nu
nu
nu
nu
da
da
da
da
da
da
da
da
da
da
da
da
da
parial
nu
nu
nu
nu
nu
nu
da
da
da
da
nu
da
da
da
da
da
da
da
da
da
da
nu
nu
nu
da
da
da
da
da
da
da
da
da
nu
da
da
da
nu
nu
da
parial
da
da
nu
da
da
da
da
nu
nu
da
nu
da
da
da
da
nu
da
da
nu
nu
nu
da
da
nu
nu
nu
nu
nu
nu
nu
nu
da
da
da
nu
da
da
da
da
da
da
da
da
da
da
da
da
da
da
da
da
da
un pachet identic. Dac nu, vei primi un pachet ICMP. Acesta conine, n header-ul su,
informaiile de care are nevoie pentru a determina o eventual problem.
Protocolul ICMP este unul de mare importan, n primul rnd pentru
administratori. Ei i pot da seama dac cineva a scos din uz o main n mod intenionat spre exemplu dac o main funcioneaz perfect, dar portul 80 (HTTPD) nu este
accesibil, avem un indiciu al unui eventual atac.
DHCP protocol pentru alocarea dinamic a adreselor IP
n primele zile ale reelelor TCP/IP, administratorii defineau adresa fiecrui
dispozitiv ntr-un fiier text sau ntr-o caset de dialog. Din acel moment, adresa rmnea
fixat pn cnd cineva o modifica. Problema era c administratorii, ocazional, atribuiau
din greal adrese contradictorii altor dispozitive din reea, provocnd multe i mari
neplceri. Pentru a rezolva aceast problem i pentru a facilita atribuirea adreselor
TCP/IP a inventat un serviciu numit Dynamic Host Configuration Protocol (DHCP).
Serviciile DHCP ruleaz pe un server DHCP, unde controleaz un domeniu de
IP, denumite domeniu de acoperire. Cnd dispozitivele se conecteaz la o reea
contacteaz serverul DHCP pentru a obine o adres atribuit pe care s o poat folosi. Se
spune c adresele de la un server DHCP sunt nchiriate clientului care le folosete, cea ce
nseamn c rmn atribuite unui anumit dispozitiv pentru un interval de timp nainte de a
expira i devin disponibile pentru utilizare de ctre un alt dispozitiv. Perioadele de nchiriere
sunt de numai cteva zile, dar administratorii de reea pot folosi orice perioad de timp
doresc.
HTTP - Hypertext Transfer Protocol
World Wide Web este alctuit din documente care folosesc un limbaj de
formatare denumit HTML, abreviere de la Hypertext Markup Language (limbaj de marcare
prin hipertext). Aceste documente sunt compuse din text de afiat, imagini grafice, comenzi
de formatare i hiperlegturi spre alte documente situate altundeva n Web. Documentele
HTML sunt afiate cel mai frecvent folosind browsere Web, precum Internet Explorer,
Safari sau Mozilla Firefox.
rularea aplicaiilor sau chiar (cu permisiuni corespunztoare) administrarea sistemui aflat la
distan.
ateapt pe staie. Din acest moment, utilizatorul i poate citi sau procesa dup cum
dorete mesajele n staia local. Acest sistem foarte simplu a servit i servete foarte bine
utilizatorii de ceva timp ncoace.
IMAP protocol interactiv de pot electronic
Internet Message Access Protocol, pe scurt, IMAP, a fost proiectat pentru a
depi cteva dintre limitrile protocolului POP. n loc s transfere toate mesajele pe staia
clientului, IMAP reine aceste mesaje pe server. Metoda folosit de POP este denumit
cteodat offline" deoarece, dup ce v-ai transferat mesajele, teoretic, putei s v
deconectai n timp ce v citii e-mail-ul. Metoda principal folosit de ctre IMAP este
considerat a fi online" deoarece presupune conectarea pe toat perioada ct v citii
mesajele. Atunci cnd v conectai la un server IMAP, iniial doar anteturile noilor mesaje
sunt descrcate n clientul de e-mail pentru vizualizare i n momentul selectrii unui mesaj
este descrcat i coninutul acestuia. La final, sunt trimise napoi la server mesaje pentru
setarea unor flaguri ce determin starea mesajelor (citit / necitit).
Domeniu.ro
unei
ierarhizri.
Aceast
ierarhizare
Staii de lucru
Domeniu.ro
Cercetare.domeniu.ro
Contabilitate.domeniu.ro
Staii de lucru
Secretariat.domeniu.ro
Staii de lucru
Fig. 2
Domeniunou.ro
Domeniu.ro
Secretariat.domeniu.ro
Staii de lucru
Staii de lucru
Contabilitate.domeniu.ro
Fig. 3
Instalarea Active Directory n sistemul de operare Winows 2003 server se realizeaz uor
i intuitiv cu ajutorul vrjitorului existent n fereastra Manage Your Server alegnd opiunea
Add a role, apoi Active Directory. Dac
este prima dat cnd instalai un
controller de domeniu cel mai bine e s
lsai vrjitorul s v ndrume n
instalare i s instalai att Active
Directory, ct i serverul DNS i
serverul DHCP.
Pe msur ce instalarea avanseaz vor
fi
cerute
organizarea
informaii
i
vitale
buna
pentru
funcionare
controllerului de domeniu:
-
Numele
de
domeniu:
poate fi .local dac dorim ca domeniul creat s fie local (s fie separat de
domeniul de internet)
-
Numele din DNS al domeniului i numele din Netbios pentru clienii non
windows
n continuare vom face prezentarea celei mai importante componente din Active Directory
i
anume
Active
Directory
pentru
domeniul
Builtin
care
ForeignSecurityPrincipals - conine identificatorii de securitate (security identifiers - SIDs) asociai obiectelor Active Directory din alte domenii dect cel curent.
Users - conine informaii despre toi utilizatorii i grupurile de utilizatori
implicite.
Active Directory Users and Computers poate gestiona informaii despre
calculatoare, grupuri de utilizatori, grupuri organizaionale, imprimante, utilizatori i
directoare puse la dispoziie n reea (shared folder).
Recomandabil este ca nainte de crearea unui utilizator s creai nti un nou
grup organizaional care poate include i staii de lucru, i asupra cruia se poate crea o
politic de securitate centralizat.
La proprietile unui grup organizaional putem specifica urmtoarele informaii:
informaii generale (General). Conine informaii privind descrierea grupului i
adresa la care poate fi localizat acesta;
informaii despre persoana / utilizatorul care gestioneaz grupul respectiv
(Managed By).
politicile de securitate aplicate grupului respectiv (Group Policy) unde avem
posibilitatea de creare a unei noi politici de securitate sau importul unei politici deja
existente. Nu activai opiunea Block Policy inheritance pentru c aceasta nu se va mai
propaga automat asupra altor subsisteme organizaionale din grupul respectiv.
funcional
foarte
util
reea comanda PING pentru a obine un rspuns la o adres pe care urmeaz s o aloce
unui client. Dac este detectat un rspuns, atunci serverul DHCP tie c un alt client utilizeaz adresa i ncearc s aloce alta. Prin opiune prestabilit, aceast proprietate nu
este activat (este stabilit la valoarea 0), dar dumneavoastr putei s mrii aceast valoare pentru a verifica adresele. ntr-o reea LAN, o singur ncercare trebuie s fie
suficient pentru a controla existena unei adrese duplicat n reea.
Pentru a configura opiunile Server TCP/IP, efectuai clic dreapta pe linia Server Options i
selectai opiunea Configure Options din meniul care apare.
Opiuni:
ruter;
server DNS;
numele domeniului DNS;
server WINS;
tipul de nod NetBIOS.
n plus, clienii DHCP Windows 2000 accept i configurarea opiunilor Perform Router
Discovery i Static Route. Toate celelalte setri ale configuraiei vor fi ignorate de ctre
clienii Microsoft.
Se pot configura anumite calculatoare care s obin anumite adrese atunci cnd
cer o adres de la serverul DHCP. Aceste alocri de adrese se numesc rezervri.
Printr-o rezervare se realizeaz o coresponden ntre adresa MAC a unei plci de
reea i o adres TCP/IP. Aceasta are ca efect crearea unei configuraii statice, fr a fi
necesar, de fapt, modificarea proprietilor TCP/IP de pe client. Rezervrile de adrese
sunt utile n mai multe situaii. De exemplu, dac avei o imprimant de reea, care obine
adresa TCP/IP prin intermediul unui server DHCP, dar trebuie s aib ntotdeauna aceeai
adres, atunci putei utiliza o rezervare. n plus, dac dorii s stabilii explicit adresa
TCP/IP a unui calculator, deoarece acesta are instalat un anumit serviciu, dar
dumneavoastr dorii s beneficiai de parametrii de configurare oferii de serverul DHCP,
atunci putei utiliza de asemenea o rezervare.
Pentru a crea o rezervare, este necesar adresa hardware (MAC) a plcii de reea pentru
care dorii s rezervai adresa. Aceasta este uor de obinut; adresa TCP/IP poate fi
obinut fie local, pe calculatorul cu placa de reea, fie de la distan. n ambele cazuri,
calculatorul trebuie s aib instalat protocolul TCP/IP i trebuie s aib o adres TCP/IP.
Local, dac lansai comanda IPCONFIG/all de la un prompt de comand, va fi afiat o
linie cu eticheta Physical Address i un numr de tipul 00-60-97-D5-22-CA asociat
acesteia. Aceasta este adresa MAC i, dac tergei liniuele, obinei numrul pe care
serverul DHCP l dorete asociat cu rezervarea.
Dac nu putei accesa local calculatorul, atunci putei determina adresa de la distana,
folosind comanda PING i utilitarul ARP. Utilitarul ARP descoper i pstreaz adresa
hardware asociat unei adrese TCP/IP contactate de ctre calculatorul local. Dac lansai
comanda PING pentru calculatorul pe care ncercai s-l configurai i apoi verificai
memoria cache pentru utilitarul ARP, atunci vei descoperi adresa MAC.
din
memoria
telefonului
unui
server
special
creat
pentru
aa
ceva.
ncepnd
ediia
cu
R2
windows 2003
server au fost
introduse
concepte
noi
legate
de
stocarea
de
fiiere:
-
inspecteze
configuraia
de
lucru),
numele
calculatorului i setrile de
reea.
Cu aceasta s-a ncheiat prima
parte a procesului de instalare.
Dac
dorii
instalai
securitatea
cheie
ceea
ce
pe
scurt,
cteva
server Windows
2003.
categorii de utilizatori care pot avea diferite niveluri de acces la aceasta, anumite operaiuni
fiindu-le private de o eventual politic de securitate eronat specificat.
O prim subcategorie ntlnit la ambele categorii este Software Settings ce conine
opiunea Software installation, care presupune instalarea automat a unor aplicaii
mpachetate n prealabil n mod administrativ. Pachetele utilizate n acest scop snt
recunoscute sub extensia MSI. Aceste pachete se salveaz ntr-un director pus la
dispoziie n reea. Instrumentele respective se bazeaz pe crearea unei imagini (snapshot)
a regitrilor sistemului de operare, instalarea i configurarea aplicaiilor, repornirea
sistemului, mpachetarea aplicaiei prin preluarea fiierelor de pe disc, precum i a cheilor
introduse n regitri.
n subcategoria Windows Settings exist opiunea Scripts care, pentru Computer
Configuration, include opiunile Startup i Shutdown, iar la User Configuration include Log
on i Log off. Aici se pot specifica diferite script-uri care s se declaneze n momentul n
care staia sau utilizatorul se autentific n reea.
O opiune din politica de securitate poate avea 3 stri:
Nedefinit/neconfigurat (not defined/not configured);
Definit/Activ (specificarea unei valori/Enabled);
Indisponibil (Disabled).
n continuare, vom ncerca s explicm cteva dintre opiunile politicii uzuale de securitate,
valorile aferente i, nainte de toate, calea de a ajunge la opiunea respectiv.
Computer Configuration\ Windows Settings\ Security Settings\ Account Policies\
Password Policies:
Maximum password age (durata maxim de valabilitate a unei parole) - foreaz
utilizatorul ca dup un anumit numr de zile (implicit 70) s-i schimbe parola. Este n
strns legtur cu Minimum Password age (durata minim de valabilitate a unei parole)
(implicit 30 de zile).
din reea. Schimbai asemntor exemplului anterior aceast opiune, definind dreptul de
acces grupurilor administrative la nivel de domeniu.
Computer Configuration\ Windows Settings\ Security Settings\ Local Policies\
Security Options:
Additional restrictions for anonymous access (Acces limitat conexiunilor anonime). Orice
utilizator din domeniul curent sau din alte domenii poate vedea, n mod implicit, resursele
puse la dispoziie n reea. Pentru a oferi o mai bun protecie domeniului recomandm
opiunea Do not allow enumeration of SAM accounts and shares, care nlocuiete grupul
de utilizatori Everyone cu Authenticated Users n definirea politicilor locale de acces la
diferite resurse. n acest fel, numai utilizatorii din Active Directory pot avea acces la
resursele domeniului: share-uri, imprimante etc.
Automatically log off users when logon time expires (Deconectarea automat de la reea
n momentul expirrii timpului de lucru). Pentru anumite categorii de utilizatori sau n mod
individual poate fi configurat un interval orar de acces n reea. n momentul n care
utilizatorul depete timpul alocat, acesta este deconectat automat de la resursele
reelelor. De asemenea, i versiunea urmtoare (local) trebuie activat pentru ca sistemul
s deconecteze automat utilizatorul.
Do not display last user name in logon screen (Neafiarea numelui ultimului utilizator
conectat pe staia curent). n cazul reelelor cu muli utilizatori, activarea acestei opiuni
aduce un spor de siguran la conectarea n reea, muli utilizatori nefiind destul de ateni la
ultimul User Name scris n fereastra de Log On. n cazul n care ntr-o reea acelai
utilizator lucreaz cu preponderen pe aceeai staie, activarea acestei opiuni nu este
recomandat.
Message text for users attempting to log on (Mesajul pentru utilizatorii care doresc s se
conecteze n reea). Aici se poate trece un mesaj de informare a utilizatorilor care se
conecteaz n reea. Opiunea Message title for users attempting to log on specific tipul
ferestrei de mesaj (de exemplu, Bun venit n cadrul reelei TOTC).
Number of previous logons to cache (in case domain controller is not available) (Numrul
conectrilor anterioare salvate local n cazul n care serverul de domeniu nu este
aceeai locaie), iar la Target folder location trecei adresa la care va fi redirecionat
automat directorul My Documents pentru fiecare utilizator n parte.
Interzicerea schimbrii paginii de start (home page): User Configuration\ Administrative
Templates\ Windows Components\ Internet Explorer\ Disable changing home page
settings.
Ascunderea opiunii Folder Option din meniul Tools din Windows Explorer cu scopul de a
nu permite utilizatorilor vizualizarea unor fiiere ascunse, sau fiiere sistem, n scop
distructiv, sau a eliminrii lor din necunotin de cauz: User Configuration\ Administrative
Templates\ Windows Components\ Windows Explorer\ Removes the Folder Option menu
item from the Tools menu. Opiunea ascunderii fiierelor i eliminarea posibilitii de
dezascundere poate fi depit cu utilitarul Command Prompt, comanda attrib.
Ascunderea anumitor discuri n My Computer, pentru a restriciona accesul la acestea:
User Configuration\ Administrative Templates\ Windows Components\ Windows Explorer\
Hide these specified drives in My Computer.
acest
tip
de
Serverul (sau serverele, n unele cazuri) de mail care a transmis mesajul poate fi
determinat prin analiza antetului mesajului. Se recomand contactarea administra
torului serverului respectiv i solicitarea de informaii privind originea mesajului
(acestea pot fi obinute din fiierele jurnal ale sistemului)'.
4.
Reprezint nscrierea unei adrese e-mail pe una sau mai multe liste de discuii
fr ca persoana creia i aparine adresa s fi cerut explicit acest lucru. Nu exist
soluii rapide pentru stoparea acestor atacuri, ci doar trimiterea de cereri de dezabonare.
5.
:
Atacuri pentru refuzul serviciilor (Denial of Service)
'
Prevenirea atacurilor de tip DoS se poate face prin instalarea de firewalluri (care s
filtreze pachetele ctre porturi care trebuie protejate, precum i pachetele ICMP) instalarea
Acest tip de atac nu poate veni ns din afara mainii, ci din interiorul i nu poate fi
prevenit. Pe msur ce asemenea erori sunt descoperite, sunt generate actualizri ale
programelor.
7.
Un asemenea atac se poate preveni doar din interiorul reelei locale. Pentru a
preveni, este bine s utilizm, cel puin pentru transmiterea parolelor din protocoale sigure,
criptate, cum ar fi SSH.
8.
orice caz, s nu se execute ca root nici un fiier executabil despre care nu se cunoate ce
face.
11.
Viermi (Worms)
Acest tip de atac se refer la folosirea unui program pentru a determina parolele
prost alese, denumit n genere sprgtor de parole (cracker). Un astfel de program poate
determina, printr-o analiz comparativ, o coresponden ntre variantele de presupuse
parole criptate.
13.
pe server
De obicei, problema securitii nu se pune la nivel de nucleu al sistemului de
operare, ci la nivelul aplicaiilor. La anumite perioade de timp sunt descoperite
vulnerabiliti n aplicaiile instalate n sistem, n servicii, unele dintre ele putnd fi folosite
pentru a obine accesul n sistem.
Reuita atacurilor este de cele mai multe ori cauzat de configurri slabe ale
sistemului sau de neglijarea erorilor (bugs) de securitate descoperite i de lipsa update-uui
la timp a programelor ce prezint vulnerabiliti. De aceea trebuie acordat o importan
mare configurrilor de dup instalare.
Aciuni ce trebuie ntreprinse pentru a se asigura securizarea unui sistem de
operare n reea:
Fia rezumat
Competene
care trebuie
dobndite
Identific
dispozitive
i
circuite electronice
analogice
i
digitale utilizate n
realizarea
echipamentelor de
telecomunicaii
Interpreteaz
parametrii
ce
caracterizeaz
funcionarea
circuitelor
electronice
din
echipamentele de
telecomunicaii
Citete scheme cu
circuite electronice
din echipamentele
de telecomunicaii
Activiti efectuate i
comentarii
Activitate 1
Activitate2
Data
activitatii
Bine
Evaluare
SatisRefacere
fctor
Depaneaz
subansamble
electronice
din
echipamentele de
telecomunicaii
Comentarii
Prioriti de dezvoltare
Resurse necesare
Resurse necesare
Aici se pot nscrie orice fel de resurse speciale solicitate:manuale tehnice, reete,
seturi de instruciuni i orice fel de fie de lucru care ar putea reprezenta o surs de
informare suplimentar pentru un elev care nu a dobndit competenele cerute.
timp
furniznd
informaii
relevante
pentru
analiz.