Documente Academic
Documente Profesional
Documente Cultură
1sisteme de Operare de Retea WIN
1sisteme de Operare de Retea WIN
Proiect cofinanat din Fondul Social European n cadrul POS DRU 2007-2013
str. Spiru Haret nr. 10-12, sector 1, Bucureti-010176, tel. 021-3111162, fax. 021-3125498, vet@tvet.ro
Material de predare I
Domeniul: Informatic
Nivel 3 avansat
2009
AUTOR:
IORDACHE FLORIN
COORDONATOR:
LADISLAU SEICA
CONSULTAN:
Cuprins
I. Introducere.........................................................................................................................................4
I. Documente necesare pentru activitatea de predare............................................................................5
Tema 1. Familia Microsoft Windows Server........................................................................................6
Tema 2 Protocoale de reea.................................................................................................................10
Fisa 1. Protocoale de reea..............................................................................................................10
Tema 3. Servicii de reea.....................................................................................................................15
Fia 1 Servicii de reea....................................................................................................................15
Fia 2. Active directory - Serviciul de catalog................................................................................16
Fia 3. Instalarea serverului DHCP.................................................................................................20
Fia 4 Instalarea serverului DNS....................................................................................................23
Fia 5 Instalarea serviciului file server...........................................................................................24
Tema 4 Instalarea sistemului de operare Windows 2003 server.........................................................26
Fia 1. Operaiuni pregtitoare........................................................................................................26
Fia 2 Instalarea sistemului de operare...........................................................................................28
Tema 5 - Configurarea sistemelor de operare n reea........................................................................31
Fisa 1. Configurarea Active Directory............................................................................................31
Tema 6: Securitatea NOS..................................................................................................................41
Fisa 1. Securizarea sistemului.........................................................................................................41
Fia 2 Utilitare pentru monitorizarea sistemului.............................................................................47
Fia rezumat........................................................................................................................................51
Bibliografie.........................................................................................................................................53
I. Introducere
Competene/Rezultate
Teme Fise suport ale nvrii
Tema 1. Familia Fisa 1.1. Familia Microsoft Windows Server C2, C3, C4
Microsoft Windows
Server
Tema 2 Protocoale Fisa 2.1. Protocoale de reea C2, C3, C4
de reea
1. Standard edition - sistem de operare de reea, care ofer soluii simple i rapide
pentru firme. Windows Standard Server 2003/2008 ofer servicii pentru partajarea
fiierelor i imprimantelor, conectarea securizat la Internet, desfurarea
centralizat a aplicaiilor din spaiul de lucru Windows Standard Server 2003/2008
permite multiprocesare simetric pe 2 ci i pn la 4 GB de memorie.
4. Web edition - Este un server Web orientat pe funcii, optimizat astfel nct s
furnizeze firmelor o platform cuprinztoare i stabil pentru servire i gzduire pe
Web. Uor de instalat i de administrat.
5. For Itanium based systems - Windows Server 2008 pentru sistemele Itanium-
Based este optimizat pentru baze de date mari, linie de afaceri i aplica ii specifice
oferind disponibilitate mare precum i scalabilitate pn la 64 de procesoare.
6. HPC server - Windows HPC Server 2008, reprezint urmtoarea genera ie de high-
performance computing (HPC), oferind unelte enterprise pentru un mediu HPC
extrem de productiv. Construit pe platforma Windows Server 2008, cu tehnologie
64-bit, Windows HPC Server2008, poate scala eficient pn la mii de nuclee de
procesare incluznd console de administrare care v ajuta s monitoriza i proactiv
starea general a sistemului. Programarea opera iunilor, interoperabilitatea i
flexibilitatea v permit integrarea ntre platforme HPC Windows i Linux, suportnd
aplicaii SOA. Productivitate sporit, performan e scalabile, u urin n utilizare, sunt
doar cteva din capacitile care fac din Windows HPC Server 2008 unul din cele
mai reuite sisteme de operare server.
Standard Enterprise
Caracteristic Web Server Data Center
Server Server
Tehnologii de clustere
Echilibrarea ncrcrii reelei (NLB) da da da da
Protecie la defeciuni n cluster nu nu da da
Communicaii i servicii de reea
Suport pentru Reea privat virtual da da da
parial
(VPN)
Serviciul Protocol de iniiere a sesiunii nu da da da
(SIP)
Serviciul de autorizare Internet (IAS) nu da da da
Network Bridge nu da da nu
Partajare conexiune la Internet (ICS) nu da da nu
Directory Services
Active Directory nu da da da
Suport pentru servicii Metadirector nu da da
nu
(MMS)
Servicii de fiiere i imprimare
Sistem de fiiere distribuite (DFS) da da da da
Sistem de criptare fiiere (EFS) da da da da
Shadow Copy Restore nu da da da
SharePoint Team Services nu da da da
Suport stocare la distan nu da da da
Serviciul de fax nu da da da
Servicii pentru Macintosh nu nu da da
Servicii de management
IntelliMirror nu da da da
Resultant Set of Policy (RSoP) nu da da da
Windows Management Instrumentation nu da da da
(WMI) Command Line
Servicii de instalare la distan (RIS) nu da da da
Servicii de securitate
Internet Conection Firewall nu da da nu
Certificate Services nu parial da da
Servicii de terminal
Spaiu de lucru la distan pentru da da da
da
administrare
Terminal Server nu da da da
Sesiuni Terminal Server nu nu da da
Servicii multimedia
Servicii Windows MediaT nu da da nu
Scalabilitate
Suport de 64 bii pentru computere nu nu da da
bazate pe IntelR ItaniumT
Hot add memory.1 nu nu da da
Acces neuniform la memorie (NUMA)1 nu nu da da
Control procese nu nu da da
Suport nu nu nu da
Servicii pentru Web i aplicaii
.NET Framework da da da da
Internet Information Services (IIS) 6.0 da da da da
ASP.NET da da da da
1
Poate s fie limitat datorit lipsei de suport hardware OEM.
Mijloace utilizate: Materiale suport ce conin noiunile de baz, fie de lucru, prezentri
media,
World Wide Web este alctuit din documente care folosesc un limbaj de
formatare denumit HTML, abreviere de la Hypertext Markup Language (limbaj de marcare
prin hipertext). Aceste documente sunt compuse din text de afiat, imagini grafice, comenzi
de formatare i hiperlegturi spre alte documente situate altundeva n Web. Documentele
HTML sunt afiate cel mai frecvent folosind browsere Web, precum Internet Explorer,
Safari sau Mozilla Firefox.
Cererile unui client Web ctre un server Web sunt orientate spre conexiune,
deci sunt persistente. Odat ce clientul a primit coninutul unei pagini HTML, conexiunea
nu mai este activ. Executarea unui clic n documentul HTML reactiveaz legtura fie ctre
serverul original (dac ntr-acolo indic hiperlegtura), fie ctre un alt server, situat
altundeva.
Sugestii metodologice
Mijloace utilizate: Materiale suport ce conin noiunile de baz, fie de lucru, prezentri
media,
De asemenea dac baza de date este mare sau foarte mare, respectiv dac
cerinele de proiectare ale domeniului o cer
putem avea situaii n care vom avea arbori
Cercetare.domeniu.ro Sta
Staiiii de
de lucru
lucru
Cercetare.domeniu.ro (fig. 2) sau pduri de domenii (fig. 3).
Sta
Staiiii de
de lucru
lucru
Domeniu.ro
Domeniu.ro Sta
Staiiii de
de lucru
lucru
Cercetare.domeniu.ro
Cercetare.domeniu.ro
Contabilitate.domeniu.ro Secretariat.domeniu.ro
Contabilitate.domeniu.ro Secretariat.domeniu.ro
Sta
Staiiii de
de lucru
lucru
Fig. 2 Domeniunou.ro Domeniu.ro Secretariat.domeniu.ro
Domeniunou.ro Domeniu.ro Secretariat.domeniu.ro
Sta
Staiiii de
de lucru
lucru
Sta
Staiiii de
de lucru
lucru
Contabilitate.domeniu.ro
Contabilitate.domeniu.ro Fig. 3
Instalarea Active Directory n sistemul de operare Winows 2003 server se realizeaz uor
i intuitiv cu ajutorul vrjitorului existent
n fereastra Manage Your Server
alegnd opiunea Add a role, apoi Active
Directory. Dac este prima dat cnd
instalai un controller de domeniu cel
mai bine e s lsai vrjitorul s v
ndrume n instalare i s instalai att
Active Directory, ct i serverul DNS i
serverul DHCP.
n continuare vom face prezentarea celei mai importante componente din Active Directory
i anume Active Directory Users and Computers
Builtin - care
conine un set de utilizatori
predefinii cu diferite roluri n
cadrul domeniului d-voastr.
Computers -
conine toate staiile incluse n domeniul curent.
Domain Controllers - include toate serverele din domeniul curent care au
instalat i configurat serviciul Active Directory.
Mijloace utilizate: Materiale suport ce conin noiunile de baz, fie de lucru, prezentri
media,
cum este implicat serviciul DHCP n actualizarea nregistrrilor DNS pentru clienii DHCP;
Opiuni:
ruter;
server DNS;
server WINS;
n plus, clienii DHCP Windows 2000 accept i configurarea opiunilor Perform Router
Discovery i Static Route. Toate celelalte setri ale configuraiei vor fi ignorate de ctre
clienii Microsoft.
Se pot configura anumite calculatoare care s obin anumite adrese atunci cnd
cer o adres de la serverul DHCP. Aceste alocri de adrese se numesc rezervri.
Printr-o rezervare se realizeaz o coresponden ntre adresa MAC a unei plci de
reea i o adres TCP/IP. Aceasta are ca efect crearea unei configuraii statice, fr a fi
necesar, de fapt, modificarea proprietilor TCP/IP de pe client. Rezervrile de adrese
sunt utile n mai multe situaii. De exemplu, dac avei o imprimant de reea, care obine
adresa TCP/IP prin intermediul unui server DHCP, dar trebuie s aib ntotdeauna aceeai
adres, atunci putei utiliza o rezervare. n plus, dac dorii s stabilii explicit adresa
TCP/IP a unui calculator, deoarece acesta are instalat un anumit serviciu, dar
dumneavoastr dorii s beneficiai de parametrii de configurare oferii de serverul DHCP,
atunci putei utiliza de asemenea o rezervare.
Pentru a crea o rezervare, este necesar adresa hardware (MAC) a plcii de reea pen tru
care dorii s rezervai adresa. Aceasta este uor de obinut; adresa TCP/IP poate fi
obinut fie local, pe calculatorul cu placa de reea, fie de la distan. n ambele cazuri,
calculatorul trebuie s aib instalat protocolul TCP/IP i trebuie s aib o adres TCP/IP.
Local, dac lansai comanda IPCONFIG/all de la un prompt de comand, va fi afiat o
linie cu eticheta Physical Address i un numr de tipul 00-60-97-D5-22-CA asociat
acesteia. Aceasta este adresa MAC i, dac tergei liniuele, obinei numrul pe care
serverul DHCP l dorete asociat cu rezervarea.
Dac nu putei accesa local calculatorul, atunci putei determina adresa de la distana,
folosind comanda PING i utilitarul ARP. Utilitarul ARP descoper i pstreaz adresa
hardware asociat unei adrese TCP/IP contactate de ctre calculatorul local. Dac lansai
comanda PING pentru calculatorul pe care ncercai s-l configurai i apoi verificai
memoria cache pentru utilitarul ARP, atunci vei descoperi adresa MAC.
Sugestii metodologice
Mijloace utilizate: Materiale suport ce conin noiunile de baz, fie de lucru, prezentri
media,
Sugestii metodologice
Mijloace utilizate: Materiale suport ce conin noiunile de baz, fie de lucru, prezentri
media,
- Q
u
ot
a
Mijloace utilizate: Materiale suport ce conin noiunile de baz, fie de lucru, prezentri
media,
Sugestii metodologice
Dac un grup organizaional conine numai utilizatori sau numai calculatoare, cealalt
opiune poate fi blocat din fereastra de proprieti a politicii de securitate.
n momentul n care activai una dintre cele 2 opiuni, va aprea pe ecranul d-voastr o
fereastr de atenionare cu privire la consecinele care pot fi generate n urma acestei
operaiuni, respectiv faptul c staiilor de lucru din acest grup organizaional le va fi aplicat
politica de securitate local. V recomandm s creai o politic de securitate cu
preponderen orientat spre utilizator, pentru c pe aceeai staie se pot conecta diferite
categorii de utilizatori care pot avea diferite niveluri de acces la aceasta, anumite operaiuni
fiindu-le private de o eventual politic de securitate eronat specificat.
O prim subcategorie ntlnit la ambele categorii este Software Settings ce conine
opiunea Software installation, care presupune instalarea automat a unor aplicaii
mpachetate n prealabil n mod administrativ. Pachetele utilizate n acest scop snt
recunoscute sub extensia MSI. Aceste pachete se salveaz ntr-un director pus la
dispoziie n reea. Instrumentele respective se bazeaz pe crearea unei imagini (snapshot)
a regitrilor sistemului de operare, instalarea i configurarea aplicaiilor, repornirea
sistemului, mpachetarea aplicaiei prin preluarea fiierelor de pe disc, precum i a cheilor
introduse n regitri.
Indisponibil (Disabled).
n continuare, vom ncerca s explicm cteva dintre opiunile politicii uzuale de securitate,
valorile aferente i, nainte de toate, calea de a ajunge la opiunea respectiv.
Account lockout duration (timpul de blocare a unui cont) - specific durata de blocare a
unui cont care a fost blocat automat prin opiunea anterioar. Intervalul de valori este
cuprins ntre 1 i 99999 minute, valoarea implicit fiind de 30 de minute, configurabil
automat n momentul n care se configureaz opiunea anterioar.
Change the systern time (schimbarea timpului din sistem) - n mod implicit, fiecare
utilizator poate s schimbe data i ora sistemului, dar nu recomandm acest lucru pentru
c poate duce la nregistrarea greit din punctul de vedere al timpului a unor evenimente
din reea. Schimbai asemntor exemplului anterior aceast opiune, definind dreptul de
acces grupurilor administrative la nivel de domeniu.
Automatically log off users when logon time expires (Deconectarea automat de la reea
n momentul expirrii timpului de lucru). Pentru anumite categorii de utilizatori sau n mod
individual poate fi configurat un interval orar de acces n reea. n momentul n care
utilizatorul depete timpul alocat, acesta este deconectat automat de la resursele
reelelor. De asemenea, i versiunea urmtoare (local) trebuie activat pentru ca sistemul
s deconecteze automat utilizatorul.
Do not display last user name in logon screen (Neafiarea numelui ultimului utilizator
conectat pe staia curent). n cazul reelelor cu muli utilizatori, activarea acestei opiuni
aduce un spor de siguran la conectarea n reea, muli utilizatori nefiind destul de ateni la
ultimul User Name scris n fereastra de Log On. n cazul n care ntr-o reea acelai
utilizator lucreaz cu preponderen pe aceeai staie, activarea acestei opiuni nu este
recomandat.
Message text for users attempting to log on (Mesajul pentru utilizatorii care doresc s se
conecteze n reea). Aici se poate trece un mesaj de informare a utilizatorilor care se
conecteaz n reea. Opiunea Message title for users attempting to log on specific tipul
ferestrei de mesaj (de exemplu, Bun venit n cadrul reelei TOTC).
Number of previous logons to cache (in case domain controller is not available) (Numrul
conectrilor anterioare salvate local n cazul n care serverul de domeniu nu este
disponibil) - permite conectarea pe staii folosind utilizatorii de domeniu chiar i n cazul n
care serverul de autentificare este temporar indisponibil. Aceast opiune este
recomandabil numai n cazul n care domeniul conine puini utilizatori, i acetia se
conecteaz cu precdere pe aceeai staie. n cazul domeniilor cu muli utilizatori, crearea
profilurilor de utilizatori locali duce la o diminuare a spaiului disponibil pe disc. Valoarea 0
este corespondent cazului al doilea.
Prompt user to change password before expiration (Atenionarea utilizatorului pentru a-i
schimba parola cu un anumit timp nainte de expirare). Se exprim n zile, valoarea
implicit fiind 14. V recomandm ns o valoare mai mic, 5 sau 7, pentru a nu deranja
utilizatorul la fiecare conectare. Schimbarea parolei acestuia duce la anularea apariiei
mesajului de avertizare pn la urmtorul termen.
Restrict CD-ROM access to locally logged-on user only (Blocarea accesului la CD-ROM
utilizatorilor autentificai de staie i nu de serverul de domeniu). Se utilizeaz pentru
prevenirea instalrii unor aplicaii, copierii de fiiere etc. de ali utilizatori dect cei
autentificai n domeniu. De asemenea, se poate interzice accesul ctre unitatea de
dischet prin urmtoarea opiune : Restrict floppy access to locally logged-on user only.
Atenie la modul de pornire a anumitor servicii. Testai n prealabil pe o staie obinuit care
dintre servicii v pot asigura o funcionalitate optim i care pot fi oprite. Este bine
cunoscut c un numr mai mic de servicii aduce cu sine i o memorie RAM suplimentar.
n cazul n care avei mai multe servere de autentificare pentru domeniu, propagarea
schimbrilor care se efectueaz pe acestea poate fi configurat din: Computer
Configuration\ Administrative Templates\ System\ Group Policy\ Group Policy refresh
interval for domain controllers. Valoarea implicit este de 5 minute.
Ascunderea opiunii Folder Option din meniul Tools din Windows Explorer cu scopul de a
nu permite utilizatorilor vizualizarea unor fiiere ascunse, sau fiiere sistem, n scop
distructiv, sau a eliminrii lor din necunotin de cauz: User Configuration\ Administrative
Templates\ Windows Components\ Windows Explorer\ Removes the Folder Option menu
item from the Tools menu. Opiunea ascunderii fiierelor i eliminarea posibilitii de
dezascundere poate fi depit cu utilitarul Command Prompt, comanda attrib.
Eliminarea iconiei My Network Places din Windows Explorer pentru a preveni accesul
neautorizat n reea: User Configuration\ Administrative Templates\ Windows Components
Windows Explorer\ No Entire Network" in My Network Places.
Eliminarea opiunii Run din meniul Start: User Configuration\ Administrative Templates\
Start Menu & Taskbar\ Remove Run Menu from Start Menu.
Dac dorii n schimb s pstrai numai anumite componente n Control Panel, putei
alege opiunea Show only specified control panel applets i specificai numele
componentelor pe care le dorii. Componentele pe care le putei folosi le gsii n directorul
n care a fost instalat sistemul de operare, subdirectorul System32, sub forma unor fiiere
cu extensia CPL. Pot exista n schimb i neclariti n legtur cu aceste componente
pentru c, de exemplu, nu exist nici un CPL care s deschid fereastra de configurare a
tastaturii, i nici a imprimantelor.
Interzicerea accesului ctre anumite aplicaii: Do not run specified Windows applications
Limitarea accesului la aplicaia de gestiune a proceselor (Task Manager): User
Configuratori Administrative Templates\ System\ Logon\ Logoff\ Disable Task Manager;
recomandm aceast opiune n momentul n care rulai aplicaii de monitorizare pe staiile
de lucru sub form de servicii, pentru a preveni oprirea neautorizat a acestora de ctre
utilizatori.
Sugestii metodologice
Mijloace utilizate: Materiale suport ce conin noiunile de baz, fie de lucru, prezentri
media,
Un server este supus permanent riscurilor unor atacuri de diferite feluri, aceste
provenind de la distan sau chiar de pe propria main. Atacurile pot fi:
Serverul (sau serverele, n unele cazuri) de mail care a transmis mesajul poate fi
determinat prin analiza antetului mesajului. Se recomand contactarea administra
torului serverului respectiv i solicitarea de informaii privind originea mesajului
(acestea pot fi obinute din fiierele jurnal ale sistemului)'.
Reprezint nscrierea unei adrese e-mail pe una sau mai multe liste de discuii
fr ca persoana creia i aparine adresa s fi cerut explicit acest lucru. Nu exist
soluii rapide pentru stoparea acestor atacuri, ci doar trimiterea de cereri de dez-
abonare. :
Prevenirea atacurilor de tip DoS se poate face prin instalarea de firewalluri (care s
filtreze pachetele ctre porturi care trebuie protejate, precum i pachetele ICMP) instalarea
de conexiuni de siguran (backup) i dezactivarea serviciilor care n necesare (pentru a
diminua expunerea acestora la potenialele atacuri).
Acest tip de atac nu poate veni ns din afara mainii, ci din interiorul i nu poate fi
prevenit. Pe msur ce asemenea erori sunt descoperite, sunt generate actualizri ale
programelor.
Un asemenea atac se poate preveni doar din interiorul reelei locale. Pentru a
preveni, este bine s utilizm, cel puin pentru transmiterea parolelor din protocoale sigure,
criptate, cum ar fi SSH.
9. Ui ascunse
Uile ascunse sunt cazuri particulare de cai troieni. Un asemenea program
creeaz o poart" (de exemplu, un utilizator nou) care s permit accesul ulterior la
calculatorul n cauz sau s acorde unui anumit utilizator privilegii speciale. Spre exemplu,
un cal troian poate nlocui fiierul /bin/login, care are rolul de a autentifica utilizatorii, pentru
a salva parolele tastate de acetia ntr-un fiier ascuns;
10. Virui
Viruii sunt programe care pot efectua operaiuni nedorite, de obicei distructive, i
care au capacitatea de a se multiplica", adic de a infecta i alte programe. Viruii rezid
n general n cadrul fiierelor executabile. Sistemele UNIX nu sunt vulnerabile la virui,
datorit gestiunii stricte a memoriei i a proceselor care se execut. Este recomandat, n
orice caz, s nu se execute ca root nici un fiier executabil despre care nu se cunoate ce
face.
Acest tip de atac se refer la folosirea unui program pentru a determina parolele
prost alese, denumit n genere sprgtor de parole (cracker). Un astfel de program poate
determina, printr-o analiz comparativ, o coresponden ntre variantele de presupuse
parole criptate.
Competene Evaluare
Activiti efectuate i
care trebuie Data Satis-
comentarii Bine Refacere
dobndite activitatii fctor
Identific Activitate 1
dispozitive i
circuite electronice
analogice i
digitale utilizate n
realizarea Activitate2
echipamentelor de
telecomunicaii
Interpreteaz
parametrii ce
caracterizeaz
funcionarea
circuitelor
electronice din
echipamentele de
telecomunicaii
Citete scheme cu
circuite electronice
din echipamentele
de telecomunicaii
Depaneaz
subansamble
electronice din
echipamentele de
telecomunicaii
Resurse necesare
Aici se pot nscrie orice fel de resurse speciale solicitate:manuale tehnice, reete,
seturi de instruciuni i orice fel de fie de lucru care ar putea reprezenta o surs de
informare suplimentar pentru un elev care nu a dobndit competenele cerute.