Documente Academic
Documente Profesional
Documente Cultură
2010
CUPRINS
CAP. 1 INTRODUCERE..…………………….………………………….…pag 3
CAP. 2 TIPURI DE RETELE………………………………………….……pag 3
2.1 Retele de tip Client/Server.................................................................pag 4
2.2 Retele de tip Peer-to-Peer..................................................................pag 4
CAP. 3 NIVELURILE UNEI RETELE……………………………………..pag 5
3.1 Nivelul fizic........................................................................................pag 5
3.2 Nivelul logic.......................................................................................pag 5
3.3 Nivelul de retea...................................................................................pag 5
3.4 Nivelul de transport............................................................................pag 5
3.5 Nivelul de aplicatii..............................................................................pag 5
CAP. 4 BAZELE LUCRULUI IN RETELE DE CALCULATOARE...........pag 6
4.1 Componente hardware………………………………………………pag 6
4.1.1 Echipamente de transmisie…………………………………………..pag 7
4.1.2 Dispozitive de acces…………………………………………………pag 7
4.2 Repetoare……………………………………………………………pag 7
4.3 Componente software……………………………………………….pag 8
4.3.1 Protocoale…………………………………………………………....pag 8
4.3.2 Driver de dispozitiv………………………………………………….pag 8
4.3.3 Software pentru comunicatii…………………………………………pag 8
CAP. 5 TOPOLOGII LAN…………………………………………………..pag 9
5.1 Retele de tip magistrala.......................................................................pag 9
5.2 Retele de tip stea.................................................................................pag 9
5.3 Retele de tip ring (inel).......................................................................pag 9
5.4 Retele de tip magistrala in stea...........................................................pag 9
CAP. 6 INSTALAREA A 50 DE COMPUTERE PE WINDOWS XP..........pag 10
6.1 Instalarea Windows XP......................................................................pag 10
6.2 Configurarea retelei in Windows XP..................................................pag 12
CAP. 7 INSTALAREA UNUI SERVER PE WINDOWS 2003 DHCP…….pag 16
7.1 Instalarea unui Server DHCP ……………………………………….pag 17
7.2 Configurarea unui Server DHCP……………………………………pag 22
CAP. 8 SECURIZAREA UNEI RETELE PAS CU PAS……………………pag 23
CAP. 9 BIBLIOGRAFIE……………………………………………………..pag53
2
CAP.1 INTRODUCERE
Urmeaza prezentarea catorva tipuri de retele (atat locale cat si globale). Voi
incerca sa fac o trecere in revista a topologiilor de retea, a catorva modalitati de
conectare la o retea precum si a catorva protocoale de retea.
Avem in primul rand doua mari categorii de retele:
• retele de tip LAN (Local Area Network)
• retele de tip WAN (Wide Area Network).
Reteaua LAN este constituita din mai multe calculatoare care alcatuiesc o retea,
de regula reteaua e construita in interiorul unei cladiri sau cel mult pe o distanta de
cateva cladiri (din cauza unor restrictii de tip hardware – Exceptie fac LAN-urile cu
transmisie de date prin cablu cu fibra optica).
Retelele de acest tip pot fi construite in mai multe feluri ce difera intre ele prin
intermediul modului de conectare a calculatoarelor intre ele.
Reteaua WAN este alcatuita din foarte multe calculatoare legate in retea si care
este intinsa pe o suprafata intinsa, in cazul Internet-ului pe tot globul. Reteaua este
alcatuita din multe servere care in general sunt masini UNIX, care pot asigura intr-
adevar un multitasking controlat si un multithreading adevarat, spre deosebire de
Windows care doar simuleaza doar (foarte bine intr-adevar)aceste lucruri.
In cadrul acestui tip de retea se folosesc anumite protocoale de retea pentru a
putea transmite date in cadrul unui asemenea gigant. Se folosesc de asemenea adrese
de locatie numite adrese IP (Internet Protocol) cu ajutorul carora serverele de
Internet gasesc mult mai usor calculatoarele din retea.
3
In cadrul acestei retele se foloseste un protocol de transfer de date care de fapt
este o denumire colocviala pentru mai mult de 100 de protocoale diferite dar care au
fost inglobate sub aceeasi denumire TCP/IP (Transmission Control
Protocol/Internet Protocol). Acest protocol cuprinde intre altele si protocoalele de
Telnet (Terminal emulation), FTP (File Transfer Protocol), HTTP (Hyper Text
Transfer Protocol), SMTP (Simple Mail Transfer Protocol). Acest protocol a fost
elaborat de Ministerul Apararii Nationale din SUA in anii ’70 si are si acum cea mai
larga arie de utilizare. Principalele avantaje pe care acesta le prezinta ar fi:
• Independenta de platforma. Protocolul TCP/IP nu a fost conceput pentru
utilizarea intr-un mediu destinat unui anumit tip de hardware sau software. A
fost si este utilizat in retele de toate tipurile.
• Adresare absoluta. TCP/IP asigura modalitatea de identificare in mod unic a
fiecarei masini din Internet.
• Standarde deschise. Specificatiile TCP/IP sunt disponibile in mod public
utilizatorilor si dezvoltatorilor. Oricine poate sa trimita sugestii de modificare a
standardului.
• Protocoale de aplicatie. TCP/IP permite comunicatia intre medii diferite.
Protocoalele de nivel inalt cum ar fi FTP sau TELNET, au devenit
omogenizate in mediile TCP/IP indiferent de platforma.
2.2 Retele de tip Peer-to-Peer nu folosesc acel calculator central numit Server,
ci dimpotriva ele folosesc impreuna unitatile de disc si imprimantele sau de ce nu
chiar fisiere si programe. Insa acest tip de retea are destul de multe defecte: deoarece
pe un calculator de birou nu ruleaza calculatoare super-performante cu SO-uri de tip
*NIX instalate exista pericolul destul de mare de altfel de a suprasatura statiile de
lucru daca mai multi utilizatori acceseaza in acelasi timp resursele aceluiasi
calculator.
CAP. 3 NIVELURILE UNEI RETELE
4
Comunicarea in retea are loc in cadrul a doua mari nivele – nivelul fizic si
nivelul logic si a inca 3 nivele importante necesare pentru intelegerea modului de
functionare a unei retele.
6
4.1.1 Echipamente de transmisie
Echipamentele de transmisie reprezinta mediul utilizat pentru a transporta
semnalele unei retele catre destinatie. Tipurile de medii includ cabluri coaxiale,
cabluri torsadate si fibre optice.
Tipurile de medii LAN pot fi, de asemenea, intangibile. Ele pot fi semnale
luminoase, radio si microunde, transmise prin aer.
Retelele WAN au, de asemenea, echipamente de transmisie proprii. Astfel de
echipamente sunt descrise de obicei prin viteza de tact si structurile lor de cadre, nu ca
simple medii de transmisie. Mediul lor fizic este irelevant comparativ cu
performantele lor.
4.2 Repetoare
Repetorul este un dispozitiv care accepta semnalele trimise, le amplifica si le
plaseaza din nou in retea. Intr-un LAN, un repetor – cunoscut mai mult sub numele de
concentrator (hub) – permite conectarea in retea a mai multor dispozitive, prin
furnizarea mai multor puncte de intrare in retea.
Aceasta functie este atat de importanta pentru retelele LAN actuale, incat
adevaratul lor rol – regenerarea semnalului – este adesea uitat.
7
Capacitatea concentratorului de a regenera semnalele este la fel de vitala pentru
succesul unui LAN ca si capacitatea de a asigura mai multe puncte de intrare.
Semnalele electronice trimise printr-un cablu se vor deteriora in mod inevitabil.
Aceasta deteriorare poate lua una din urmatoarele doua forme: atenuare sau
distorsionare.
• Atenuarea este scaderea puterii semnalului.
• Distorsionarea este modificarea nedorita a semnalelor in timpul transferului.
Fiecare dintre aceste forme de deteriorare trebuie sa fie abordata si rectificata
separat.
4.3 Componente software
Componentele software necesare intr-o retea includ urmatoarele elemente:
• Protocoale care definesc si regleaza modul in care comunica doua sau mai
multe dispozitive
• Software la nivel hardware, cunoscut ca microcod sau drivere, care controleaza
modul de functionare al dispozitivelor individuale, precum placile de interfata
cu reteaua.
• Software pentru comunicatii.
4.3.1 Protocoale
Asigurarea conectivitatii fizice pentru o retea reprezinta partea cea mai usoara.
Adevarata greutate consta in dezvoltarea unor mijloace de comunicare standard
pentru calculatoare si alte dispozitive atasate la retea. Aceste mijloace de comunicare
sunt cunoscute oficial ca protocoale.
Protocoalele pentru retele LAN sunt numite frecvent arhitecturi LAN, pentru ca
sunt incluse in NIC. Ele predetermina in mare masura forma, dimensiunea si
mecanica retelei.
8
Indiferent de tipul sau complexitatea aplicatiilor, software-ul pentru comunicatii
reprezinta mecanismul care face banda de frecventa cu adevarat utilizabila.
9
CAP. 6 INSTALAREA A 50 DE COMPUTERE PE WINDOWS XP
10
Dupa cateva secunde calculatorul ne va cere sa apasam o tasta pentru a boota de
pe CD. (Atentie! Acesta este singurul moment in care calculatorul trebuie sa booteze
de pe CD). Dupa inspectarea configuratiei calculatorului, utilizatorul este rugat sa
apese tasta F6 daca detine o discheta pentru hard disk-ul sau S-ATA. Este foarte
important sa nu sarim sau sa omitem acest pas daca avem un astfel de hard.
Daca am apasat tasta F6, dupa cateva secunde vom fi rugati sa specificam
unitatea de stocare pe S-ATA. Apasam tasta S, introducem discheta cu driver S-ATA
si apasam Enter. Dupa ce isi va copia driverele necesare, vom reveni in ecranul
anterior. Pentru a continua, doar apasam inca o data tasta Enter.
Dupa ce procesul de instalare va termina incarcarea fisierelor necesare, vom avea
de ales intre instalarea Windows-ului, repararea sa si iesirea din instalare. Vom alege
bineinteles instalarea Windows-ului, apasand tasta Enter, ceea ce va avea ca effect
afisarea licentei. O putem citi folosind tastele Page Up si Page Down; daca suntem de
acord, apasam tasta F8, daca nu, tasta Escape (optiune care vom opri procesul de
instalare).
Urmatorul ecran va lista partitiile de pe hard disk, spatiul nefolosit si optiunile
corespunzatoare acestora. Putem crea o partitie apasand tasta C, putem sterge una
apasand tasta D sau folosi tastele directionale pentru a alege partitia pe care sa fie
instalat Windows-ul. Nu va sfatuiesc sa stergeti partitii daca nu stiti exact ce
presupune acest lucru. Daca pe partitia aleasa exista deja instalata o versiune de
Windows, vom fi intrebati daca dorim sa folosim in continuare acea partitie si vechiul
Windows sa fie sters (apasati L) sau sa alegeti alta partitie (apasati Escape). Daca hard
disk-ul nu are creata nici o partitie (contine doar spatiu nefolosit), putem crea una:
apasati C si in ecranul urmator alegeti marimea partitiei. Dupa selectarea unei partitii,
urmeaza formatarea ei. Daca tocmai am creat partitia respectiva sau nu contine nimic
important, o putem formata rapid folosind optiunea "Format the partition using the
NTFS file system (quick)", dar daca partitia exista deja o putem lasa intacta alegand
optiunea "Leave the current file system intact (no changes)".
In continuare vor fi copiate pe hard disk fisierele necesare dupa care calculatorul
se va restarta pentru a instala componentele (interventia utilizatorului nu este necesara
pana in momentul in care vor fi instalate componentele). Cu siguranta ati observat ca
pasul doi al instalarii a inceput intr-o interfata noua, mai prietenoasa, in care va
aparea, la terminarea instalarii componentelor, fereastra cu setarile regionale si de
limba. Pentru a primi informatii corecte de la anumite servicii, putem alege din
meniul "Location" tara in care va aflati. Prin apasarea butonului "Customize" ni se vor
prezenta setarile pentru: numere (gruparea cifrelor, sistemul de masura, semnul de
numar negativ, etc), moneda (simbolul monedei, gruparea cifrelor, etc), ora (formatul
orei, separatorul) si data (formatul prescurtat al datei, separatorul). Pentru a ne
intoarce apoi in fereastra anterioara apasam OK (salvand astfel modificarile facute in
fereastra) sau Cancel (lasand valorile asa cum erau setate initial).
Apasand butonul Next vom ajunge in fereastra de personalizare unde ni se cere
numele si organizatia. Va urma fereastra in care trebuie introdusa cheia de inregistrare
(serial key) primita la achizitionarea Windows-ului.
11
Daca acesta a fost tastat corect, la apasarea butonului Next, va aparea o fereastra
in care se cer numele calculatorului si parola de administrator. Nu este necesara
modificarea acestor campuri, asadar daca nu le cunoasteti scopul, apasam inca o data
butonul Next pentru a va seta data, ora si fusul orar.
Daca avem un modem sau o placa de retea, ulterior va aparea si o fereastra de
configurare, insa nu este neaparat sa introducem toate valorile necesare acum, pentru
ca aceste setari pot fi apoi accesate si din Windows.
Din nou interventia utilizatorului nu va mai fi ceruta decat dupa ce calculatorul
se va restarta.
Am intrat pe ultima suta de metri in cursa pentru instalarea Windows-ului. Pentru
inceput se va incerca ajustarea setarilor grafice pentru imbunatatirea elementelor
vizuale. Daca sistemul intruneste cerintele hardware minime, cu siguranta vom putea
vedea ferestrele aparute, confirmandu-le cu apasarea butonului OK. In continuare va
fi afisat ecranul de "Bun venit in Microsoft Windows" unde in prima faza se va apasa
butonul Next din dreapta jos. Daca avem un modem sau o placa de retea, se va
verifica conexiunea la Internet, dar putem sari peste acest pas fara nici o problema.
Acelasi lucru este valabil si pentru inregistrarea la Microsoft din urmatorul ecran care
poate fi amanata prin bifarea optiunea "No, not at this time".
Daca instalam un Windows care are inclus Service Pack 2, ni se va cere sa setam
modalitatea in care isi va face update Windows-ul; este indicat in general sa alegem
prima optiune, pentru a evita problemele de securitate sau ferestrele care ne vor
aminti ulterior sa activam totusi aceasta optiune. Ultimul pas este introducerea
numelui persoanei sau persoanelor care vor utiliza Windows-ul. Completam
campurile (de fapt doar primul este obligatoriu), dar cu atentie, deoarece cuvinte
precum Administrator sau numele trecut deasupra campului Organizatie in pasul
precedent nu mai sunt permise (instalarea nu va continua daca alegeti unul din aceste
nume).
Dupa urmatorul restart vom instala driverele pentru componentele calculatorului
si update-urile de securitate.
12
• Schimbam Control Panel pe Classic View daca nu este deja in acest mod.
13
• Click pe Local Area Connection.
(Daca suntem conectati pe wireless, sau pe alt tip de conexiune, selectam aceasta
conexiune)
• Click pe Properties.
14
• Selectam Internet Protocol (TCP/IP) apoi click pe Properties.
Daca TCP/IP nu este afisat, click pe Install, si alegeti Protocol. Click pe Add.
Selectam TCP/IP. Selectam OK.
15
• Click pe OK, sau inchidem fereastra daca nu este un buton OK, pina revenim la
desktop-ul normal.
16
Serverul DHCP contine el insusi o baza de date pentru IP-uri care contine toate
adresele IP disponibile pentru distributie.
Daca clientul ( un membru al retelei cu un sistem de operare Windows 2000
Professional/XP de exemplu) are optiunea "obtain an IP address automatically"
activata in setarile TCP/IP , atunci este capabil sa obtina adrese IP de la serverul
DHCP.
Instalarea serverului DHCP este facuta foarte usor in Windows 2003 . Folosind
wizardul "Manage your server" , este posibila introducerea detaliilor necesare lasand
wizardul sa seteze optiunile de baza.
Se deschide wizardul "Manage your server” , se selecteaza optiunea DHCP
server din lista scopurilor pentru server si se apasa Next. Vi se va cere sa introduceti
numele si descrierea Scope-ului dumneavoastra.
Scope: Un “Scope” este o colectie de adrese IP pentru computere pe un “subnet
mask” care folosesc DHCP.
17
Ni se arata o fereastra in care trebuie sa adaugam exceptii in aria de adrese IP pe
care am specificat-o in fereastra percedenta. Daca de exemplu adresa IP 10.0.0.150
apartine routerului companiei nu veti dori ca serverul DHCP sa fie capabil sa
distribuie si acea adresa in retea. In acest exemplu am exclus o arie de adrese IP ,
10.0.0.100 to 10.0.0.110 si o singura adresa 10.0.0.150. In acest caz 11 IP-uri vor fi
rezervate si nu vor fi distribuite clientilor retelei.
18
Acum este timpul sa setam pentru cat timp poate folosi un client o adresa IP
alocata lui din acest “Scope”. Este recomandata adaugarea unui timp mai mare pentru
o retea fixa ( in birou de exemplu) si alocarea unui timp mai scurt pentru conexiuni la
distanta sau computere laptop. In acest exemplu am setat un timp de 12 ore din cauza
ca clientii retelei sunt computere desktop intr-un birou local si timpul obisnuit de
lucru este de 8 ore.
Ne este data optiunea de a configura optiunile DHCP pentru “Scope” acum sau
mai tarziu. Daca alegem Yes urmatoarele poze ne vor fi de ajutor. Alegand No vom
putea configura aceste optiuni mai tarziu.
19
Adresele IP ale router-ului sau gateway-ului pot fi introduse in continuare.
Computerele client vor sti atunci ce router sa foloseasca.
20
Daca avem instalat WINS aici trebuie sa introducem Adresa IP a serverului
WINS. Putem introduce doar numele serverului in casuta corespunzatoare si sa
apasam “Resolve” pentru a ii permite sa gaseasca singur adresa IP.
Ultimul pas este sa activam Scope-ul. Apasam Next cand vedem fereastra de jos.
Serverul DHCP nu va functiona daca nu facem acest lucru.
21
Serverul DHCP a fost acum instalat cu setarile de baza. Urmatorul pas este
pentru a il configura nevoilor structurii retelei noastre.
22
Daca apasam clic dreapta pe Scope options si apasam "configure options" va
aparea o fereastra in care putem configura mai multe servere si parametrii lor. Aceste
setari vor fi distribuite de serverul DHCP impreuna cu adresele IP. Optiunile de server
actioneaza ca optiuni de baza pentru toate Scope-urile din serverul DHCP. Totusi,
optiunile Scope-ului sunt preferate in locul optiunilor server-ului.
Introducere
Pentru a reduce riscurile de securitate în utilizarea şi administrarea sistemelor IT,
cea mai bună strategie este cea pe ansamblu (security in depth). Trebuie pornit de la
lucrurile elementare: uniformitatea infrastructurii din punct de vedere al sistemelor
folosite, administrarea centralizată, menţinerea la zi a sistemelor din punct de vedere
al patch-urilor şi fix-urilor, aplicarea unor configurări standard de securitate pe toate
serverele şi staţiile de lucru în funcţie de rolul funcţional al acestora, proceduri
standard de utilizare şi administrare.
23
Analiza riscurilor este necesară pentru a putea aloca în mod corect investiţia de
timp şi resurse necesare, în funcţie de importanţa resurselor protejate.
Pe baza listei de riscuri prioritizate se realizează planurile de măsuri necesare.
Acestea pot fi:
• proactive – pentru reducerea expunerii la riscuri (mitigation);
• reactive – planuri ce sunt aplicate după producerea incidentului de securitate şi
care au drept scop minimizarea efectelor (contingency).
Planurile de măsuri proactive sunt implementate după o planificare de timp bine
definită. Măsurile reactive sunt declanşate odată cu producerea incidentului de
securitate.
Securitatea este o preocupare continuă. Chiar şi după aplicarea planului de
măsuri proactive şi atingerea nivelulului de securitate dorit al reţelei, pentru că acest
nivel trebuie menţinut. Din acest motiv, trebuie făcută o reevaluare periodică a
riscurilor de securitate şi modifcate planurile de securitate, dacă este nevoie. Pe tot
parcursul duratei de viaţă a unei infrastructuri IT, perfomanţele acesteia trebuie
monitorizate iar măsurile de securitate trebuie optimizate.
Analiza riscurilor
Primul pas în evaluarea riscurilor de securitate îl reprezintă identificarea
resurselor care trebuie protejate precum şi evaluarea acestora din punct de vedere al
importanţei şi valorii. Metodele de identificare sunt dintre cele mai variate, pornind de
la checklist-uri cu riscuri tipice şi terminând cu şedinţe de brainstorming. Pentru
fiecare din resursele identificate se poate calcula simplu expunerea la risc ca fiind
produsul dintre probabilitatea producerii riscului şi impactul acestuia. Impactul poate
fi estimat în costuri sau conform unei scale de importanţă.
24
Expunere = Probabilitate x Impact
25
• Autentificarea utilizatorilor – permite identificarea fără echivoc a fiecărui utilizator
al reţelei pe bază de utilizator şi parolă unică.
• Autorizarea accesului la resurse – pentru fiecare resursă din reţea pot fi configurate
liste de acces care specifică explicit permisiunile pe care le au utilizatorii sau
grupurile asupra resursei respective.
• Administrarea centralizată a tuturor serverelor şi staţiilor de lucru din reţea.
• Aplicarea consistentă a unor politici de securitate în cadrul reţelei. Acesta din urmă
este în particular un avantaj foarte important în procesul de securizare al reţelei.
Proiectare. Aplicare
La proiectarea Active Directory trebuie respectate câteva principii de design
pentru a putea aplica uşor măsuri de securitate:
• Minimizarea numărului de domenii. Acestea fiind arii de securitate distincte, un
număr cât mai mic de domenii, preferabil unul singur, permite aplicarea uşoară a
politicilor de securitate
• Aplicarea politicilor generice de securitate la nivelul întregului domeniu şi
completarea acestora cu măsuri specifice la nivele inferioare
Pentru aplicarea politicilor de securitate se foloseşte Group Policy. Deoarece
politicile se aplică la mai multe nivele (domeniu, site, organization unit, local) şi pot fi
blocate sau suprascrise, trebuie realizat un plan detaliat privind utilizarea Group
Policy. De un real ajutor este Group Policy Management Console care permite
evaluarea rezultatului aplicării de politici multiple.
Câteva politici tipice care pot fi aplicate în cadrul unui domeniu:
• dezactivarea stocării parolei ca LMHash
• configurarea nivelului de compatibilitate LanManager pentru autentificare
• blocarea conturilor la introducerea greşită a parolei combinată cu impunerea de
parole cu complexitate sporită
• interzicerea posibilităţii de enumerare a obiectelor din Active Directory pentru
clienţii anonimi
Pentru o listă completă de setări de securitate care pot fi aplicate cu Group
Policy, consultaţi Windows Server 2003 Security Guide.
Active Directory este o condiţie necesară pentru a putea aplica în mod sistematic
politici de securitate în cadrul reţelei şi pentru a putea reduce complexitatea
administrării. Pornim de la principiul simplu că o reţea sigură este una bine proiectată,
configurată şi administrată. Active Directory ne oferă aici un avantaj important.
26
Aceste politici vor fi completate diferenţiat cu alte politici suplimentare,
aplicabile anumitor roluri funcţionale pe care le au serverele şi staţiile din reţea.
Această abordare simplifică modul de gestionare al politicilor şi ne asigură că
avem un nivel de securitate de bază (baseline) pentru întreaga reţea.
Două lucruri sunt foarte importante atunci când dorim să asigurăm un nivel de
securitate de bază pentru toate sistemele din reţea:
• Sistemele trebuie să fie menţinute la zi din punct de vedere al patch-urilor şi fix-
urilor de securitate. Despre acest lucru vom discuta mai tîrziu în cadrul acestui
articol.
• Trebuie să aplicăm un set de configurări de securitate de bază pe toate sistemele
din reţea, adică să facem întărirea securităţii sistemelor (hardening). Despre acest
lucru discutăm aici.
27
Consola MMC a Security Configuration & Analysis şi template-urile predefinite
penrtu politicile privitoare la parole.
Domain Controller
Domain Controllerele sunt o categorie specială de servere de infrastructură.
Acestea conţin informaţii despre conturile utilizator şi calculatoarele din reţea,
politicile aplicate şi oferă servicii de autentificare pentru clienţii din reţea. Active
Directory poate fi privit ca sistemul de management al securităţii în întreg domeniul.
Din acest motiv securizarea serverelor Domain Controller este critică. Acestea
sunt susceptibile la atacuri de tip Denial of Service sau acces neautorizat la
informaţiile de directory. Dacă un atacator reuşeşte să capete controlul asupra unui
Domain Controller, atunci securitatea întregii reţele este compromisă.
29
Securitatea fizică este prima măsură ce trebuie luată. Apoi trebuie aplicate patch-
urile de securitate la zi. Urmează aplicarea unor template-uri de securitate speciale
pentru Domain Controllere, recomandat fiind HiSecDC.
Este recomandat ca utilizatorii din domeniu să aibă privilegii limitate asupra
serverelor Domain Controller. De exemplu, doar grupul Administrators sa aibă
permisiuni administrative (tabelul de mai jos). Nu se recomandă utilizarea grupului
Power Users.
30
Securizarea serverelor bastion
Serverele bastion sunt amplasate în zona publică a reţelei şi oferă servicii
specifice de reţea: DNS, SMTP (inbound sau relay, cu filtrare de conţinut, antivirus),
FTP, servicii Web, NNTP, servere de VPN sau RRAS precum şi sisteme de intrusion
detection.
Toate aceste servere necesită o securizare agresivă. Fiind situate în zona publică,
nivelul de securitate trebuie să fie foarte ridicat şi nu se pot folosi mecanisme de tip
Group Policy. De obicei, aceste servere nu fac parte din domeniul Active Directory.
Serverele bastion nu oferă servicii de reţea cum ar fi cele de fişiere şi tipărire.
Conturi şi login
Dreptul de Log on Locally trebuie permis doar grupului local Administrators. De
asemenea, trebuie interzis accesul din reţea pentru Anonymous,
BUILTIN\Administrators, Support, Guest sau pentru Service Accounts folosite de
către anumite servicii care nu sunt parte a sistemului de operare.
O practică bună, menţionată şi anterior, este redenumirea conturilor de
Administrator şi Guest şi folosirea de parole puternice.
31
Protocoale
Pe interfaţa externă trebuie dezactivate protocoalele care nu sunt necesare şi în
special SMB şi NBT. Dezactivaţi clientul pentru Microsoft Networks and Printer
Sharing la proprietăţile conexiunii de reţea.
Pentru securitate suplimentară se pot folosi filtre IPSec pentru a bloca tot traficul
cu excepţia celui necesar pentru serviciile de reţea oferite de serverul bastion.
Nucleul HTTP.SYS
Permisiunile de execuţie ale aplicaţiilor au fost reduse. HTTP.SYS rulează cu
privilegiile LocalSystem iar procesele aplicaţiilor rulează cu privilegiile
NetworkService. Aplicaţiile sunt sandboxed; nici una din cererile HTTP nu poate
apela aplicaţii linie de comandă, utilizatorii anonymous nu pot avea acces Write, iar
utilizatorii FTP sunt limitaţi la directorul lor de Home.
HTTP.SYS are o componentă de kernel care face procesarea cererilor şi o
componentă user care controlează cererile. Prin izolarea parser-ului de handler se
obţine un nivel de securitate mai bun. Funcţionalităţile de tip URLScan au fost
înglobate în IIS pentru analiza tuturor cererilor înainte de a fi procesate. Astfel sunt
identificate cererile malformate, acestea fiind ignorate din start, neajungând sa fie
procesate.
Ca o paranteză, site-ul Microsoft.com nu foloseşte un firewall, ci serverele
Windows 2003 sunt conectate direct la Internet şi se foloseşte URLScan pentru a
arunca cererile malformate. O statistică arată ca acest gen de cereri constau în 25%
din trafic, acestea neajungînd însă să fie procesate, optimizând astfel funcţionarea
serverelor.
Application pools
Internet Information Services 6.0 introduce conceptul de Application Pools
pentru izolarea proceselor pe aplicaţii Web diferite găzduite cu acelaşi server.
32
Permisiunile pentru site-uri de Web şi setările pentru Application Pools
Application Pools izolează procesele sub care sunt rulate aplicaţiile Web,
permiţând configurarea procentului de CPU utilizat de procese. Pentru a optimiza
funcţionarea proceselor pentru aplicaţiile Web, sunt incluse facilităţi cum ar fi
restartarea proceselor: după perioadă de timp, după un număr de cereri sau la intervale
definite. De asemenea, se poate configura memoria maxim ocupată de aceste procese
(figura de mai sus). Aceste setări sunt disponibile pentru fiecare Application Pool în
parte.
Autentificare şi autorizare
Asigurarea securităţii accesului la o resursă implică două aspecte: autentificare
pentru identificarea fără echivoc a persoanei care accesează resursa şi autorizare,
adică verificarea permisiunilor de acces (folosind ACL-uri, Access Control Lists).
Aceste două operaţii au loc înainte de a fi permis accesul la resursa în cauză.
Autentificare
Metodele de autentificare a accesului folosite de IIS 6.0 includ: Anonymous,
Basic, Digest, Passport şi Windows (integrată cu Kerberos versiunea 5).
33
Metodele de autentificare pentru site-urile Web găzduite cu IIS 6.0
Autorizare
Internet Information Services foloseşte 2 tipuri de permisiuni de acces: Web şi
NTFS pentru a controla accesul la conţinutul site-urilor de Web. Permisiunile Web
restricţionează accesul la un întreg site şi sunt configurate la proprietăţile site-ului,
caseta permisiuni de execuţie cu opţiunile: None, Scripts only, Scripts and
executables. Mai sunt disponibile setările: Script source access, Read, Write,
Directory Browsing, Log visits, Index this resource.
Permisiunile NTFS sunt configurate pe directoarele şi fişierele care intră în
componenţa fiecărui site, asigurând un nivel suplimentar de securitate. Astfel pot fi
evitate atacurile transversale asupra site-urilor sau atacuri folosind componente
cunoscute, aflate în locaţii predefinite. O bună practică este aplicarea permisiunii
Deny Write pentru toate grupurile care nu ar trebui să aibă acces (inclusiv
anonymous) şi eliminarea permisiunii de Execute pe fişierele care nu sunt
executabile.
34
sau necesită dezactivarea lor pentru a putea funcţiona. Aceste aplicaţii sunt de obicei
realizate cu ignorarea practicilor de codare pentru aplicaţii sigure.
Pentru dezvoltarea aplicaţiilor securizate de tip Web (ASP.NET) şi nu numai,
este recomandată cartea Writing Secure Code apărută la Microsoft Press.
Şi bineînţeles, dezvoltatorii de aplicaţii Web ar trebui să utilizeze sistemul de
securitate oferit de IIS 6.0 pentru autentificare şi autorizarea accesului la
componentele aplicaţiilor. Folosind acest model de securitate, IIS face autentificarea
şi pasează un token de securitate la subsistemul ASP.NET unde se poate face
verificarea accesului.
Mai mult...
ISA Server Feature Pack 1, care se poate descărca gratuit de pe site-ul Microsoft
şi instala peste ISA Server 2000, conţine în plus:
• Filtru avansat de SMTP
• Filtru pentru Exchange RPC (RPC encryption şi Outbound RPC)
• URLScan 2.5 pentru ISA Server
• Autentificare cu RSA SecurID
• Delegare pentru autentificarea basic
• Wizard pentru publicarea Outlook Web Access
• Wizard de configurare a filtrelor RPC
35
Scenarii de utilizare
Putem folosi un firewall în mai multe roluri:
• Firewall simplu de perimetru pentru protecţia reţelei interne
• Controlul accesului utilizatorilor către Internet
• Server de VPN - atît client la reţea pentru accesul utilizatorilor la distanţă cât şi
reţea la reţea pentru conectarea altor reţele la distanţă
• Securizarea perimetrului reţelei cu zonă demilitarizată (DMZ)
• Accelerator SSL pentru site-urile de web publicate (de exemplu Outlook Web
Access)
• Proxy/cache în configuraţie forward sau reverse
Funcţii şi protocoale
RRAS combină serviciile de routare IP şi de dial-up/VPN. Pe partea de routare,
RRAS suportă static, RIP v1 şi v2, OSPF, asignarea dinamică a adreselor de IP la
clienţi VPN, conexiuni demand-dial către locaţii la distanţă. Ca server de VPN sunt
oferite protocoalele PPTP – suportat doar de clienţii Windows şi folosit pentru
compatibilitate cu sistemele de operare mai vechi - şi L2TP cu IPSec care este
standardul de facto pentru VPN pe Internet.
RRAS poate funcţiona ca şi client RADIUS în conjuncţie cu un server RADIUS
pentru autentificarea accesului clienţilor la distanţă. Implementarea de server
RADIUS din Windows Server 2003 poartă numele de Internet Authentication
Services (IAS), poate folosi Active Directory pentru autentificarea utilizatorilor şi
suportă EAP (Extensible Authentication Protocol) şi politici de acces.
Metodele de autentificare folosite includ:
• PAP – trimite credenţialele în cleartext şi nu este recomandat a fi folosit.
• CHAP – foloseşte MD5 pentru a genera un hash. Necesită stocarea parolei cu
criptare reversibilă. Nu este recomandat.
• MS-CHAP – este o implementare proprietară Microsoft şi are slăbiciuni cunoscute
ale protocolului. Nu este recomandat.
• MS-CHAP v2 – versiune îmbunătăţită de MS-CHAP, foarte utilizat de sistemele
Windows şi cu suport criptografic mai bun decât protocoalele anterioare. Este
recomandată atunci când nu poate fi folosit EAP-TLS. Este suportat de clienţii
care rulează sistem de operare Windows 98 Second Edition sau mai nou.
36
• EAP – Extensible Authentication Protocol este, aşa cum îi spune şi numele,
extensibil. Suportă mai multe tipuri de autentificare:
o EAP-MD5 de tip challenge-response. Nu este foarte puternic.
o EAP-TLS. Este bazat pe certificate, necesită apartenenţa la domeniu a staţiei
şi serverului şi este proiectat pentru a folosi smartcard-uri pentru stocarea
certificatelor.
o EAP-RADIUS este modul de lucru proxy, în care celelalte tipuri de
autentificare EAP sunt redirectate către un server RADIUS.
• PEAP este o metodă de autentificare ce protejează negocierea de tip EAP,
încriptând conţinutul cu TLS. Este cel mai frecvent folosită în reţelele wireless
802.11. PEAP poate fi folosit în conjuncţie cu EAP-MS-CHAP-v2, care adaugă
autentificare mutuală. Sau EAP-TLS, care este cea mai puternică şi necesită o
infrastructură de chei publice PKI.
Metodele de autentificare folosite pot fi configurate la proprietăţile serverului
RRAS în consola MMC de administrare.
Securizare
Pentru a securiza serverele de RRAS trebuie urmaţi trei paşi: hardening la server,
hardening la protocoale şi utilizarea politicilor de remote access.
Hardening
Pentru hardening-ul serverului se recomandă aplicarea unui template de
securitate. Poate fi cel pentru servere standalone (folosită şi la bastion, atenţie însă la
37
aplicarea patch-urilor, acestea trebuie instalate manual) sau cel pentru Enterprise
Member Server (din Windows Server 2003 Security Guide). Redenumiţi conturile
locale de Administrator şi Guest şi folosiţi parole puternice.
Politici de acces
Politicile de acces oferă controlul centralizat al accesului pentru serviciile de
RRAS chiar şi atunci cînd se folosesc servere multiple. Astfel se pot controla
metodele de autentificare folosite, nivelele de criptare, perioadele de acces sau alte
atribute specifice diverselor tipuri de clienţi.
Politicile de RRAS conţin următoarele elemente:
• condiţia care este verificată la aplicarea politicii
• permisiunea (Alow sau Deny)
• profilul utilizatorului (constrîngeri de timp, setări de IP, setări de multilink,
cerinţe specifice de autentificare şi încriptare care trebuie respectate, cu condiţia să
fie configurate pe serverul la care se conectează).
Carantină
Serviciile de RRAS din Windows Server 2003 oferă şi facilitatea de carantină
prin care se verifică îndeplinirea anumitor cerinţe de securitate pe staţia client, înainte
de a i se permite accesul în reţea. Procesul se desfăşoară astfel:
1. Clientul se conectează la serverul de RRAS folosind o conexiune dial-up sau VPN
2. Clientul se autentifică folosind una din metodele de autentificare descrise mai sus
şi care este suportată atât de client cât şi de serverul de RRAS, în ordine începând
cu cea mai puternică.
3. Clientul obţine acces limitat la reţea
4. Pe client este rulat un script de carantină ce poate conţine diverse verificări (de
exemplu, că antivirusul este instalat şi pornit pe staţie şi are lista cea mai recentă
de semnături).
5. Dacă script-ul se termină cu succes, clientul primeşte acces complet la reţea
6. Dacă scriptul eşuează, conexiunea poate fi întreruptă sau clientul capătă acces
restricţionat (de exemplu, la un site de unde să instaleze antivirusul).
Pentru a putea folosi această facilitate, serverul trebuie să ruleze Windows Server
2003 şi serviciile de RRAS precum şi un listener care recepţionează mesajele
transmise de scriptul care rulează pe client (de exemplu, rqs.exe din Resource Kit sau
poate fi unul adaptat). Clientul trebuie să ruleze Windows 98 Second Edition sau mai
nou şi să aibă instalat Connection Manager configurat cu ajutorul Connection
Manager Admin Kit (CMAK) pentru a rula script-ul de verificare de politică.
38
Securizarea serverelor Exchange
Exchange Server 2000 şi Exchange Server 2003 includ o serie de facilităţi ce
permit securizarea mesajelor de e-mail.
Vom începe cu prezentarea facilităţilor comune de securitate specificând acolo
unde facilităţile de securitate sunt prezente doar la Exchange 2003.
39
mesajele raportate drept spam. Microsoft va lansa pe piaţă în 2004 sistemul Intelligent
Message Filter care va folosi tehnologia SmartScreen dezvoltată de Microsoft
Research (şi care e folosită şi în Outlook 2003). Intelligent Message Filter va putea fi
folosit în conjuncţie cu Exchange Server 2003.
Securizarea serverului conform rolului
Securizarea serverelor de mesagerie depinde de scenariul de instalare, după cum
este detaliat mai jos.
Securizarea clienţilor
RPC-over-HTTP
Exchange 2003 oferă facilitatea RPC-over-HTTP care poate fi folosită în
conjuncţie cu clienţii MAPI de tip Outlook 2003 şi permite accesul securizat din
exteriorul reţelei peste firewall încapsulând comunicaţia RPC în protocolul HTTP.
40
Astfel, aceşti clienţi nu mai sunt nevoiţi să se conecteze pe VPN şi lucrează ca şi cum
ar fi conectaţi local. Cerinţele software sunt Exchange 2003 instalat pe Windows
Server 2003 pentru partea de server şi Outlook 2003 pe Windows XP SP1 (plus
hotfix) pe partea de client.
Nu trebuie să ne bazăm pe criptarea slabă (mai degrabă obfuscation) oferită de
RPC, ci este recomandat să securizăm conexiunea folosind SSL.
S/MIME
Adică securizarea mesajelor de e-mail, semnături digitale şi criptarea mesajelor
folosind certificate digitale X.509 v3
Pentru o securitate foarte bună se poate folosi semnarea digitală a e-mail-urilor
pentru a garanta autenticitatea şi integritatea acestora şi se pot cripta ataşamentele
folosind S/MIME.
Pentru semnătura digitală se generează un hash al mesajului iar acesta se
încriptează folosind cheia privată a transmiţătorului. Rezultatul împreună cu cheia
publică se ataşează la e-mail. Un receptor poate folosi cheia publică a transmiţătorului
pentru a verifica faptul că acesta nu a fost modificat şi este autentic.
Pentru criptarea cu S/MIME se foloseşte o cheie simetrică. Această cheie este
apoi criptată cu cheia publică a destinatarului şi ataşată la mesaj. Destinatarul va
folosi cheia sa privată pentru a extrage cheia simetrică şi a decripta mesajul.
Cum obţinem certificatele digitale? Putem folosi certificate obţinute de la o
autoritate de certificare recunoscută internaţional atunci cînd dorim să comunicăm
securizat cu persoane din exteriorul companiei, sau putem instala un server de
certificate local (Windows 2000 Server sau Windows Server 2003) pentru a utiliza
certificate doar în cadrul organizaţiei.
Clienţii de e-mail care suportă securizarea mesajelor cu S/MIME sunt: Outlook
98, Outlook 2000, Outlook XP, Outlook 2003, Outlook 8.1 for Macintosh, Outlook
Express şi Netscape Mail.
Arhitectură
IPSec este compus dintr-un set de protocoale pentru autentificarea pachetelor
(AH), criptarea şi/sau autentificarea pachetelor (ESP) şi mecanisme pentru stabilirea
parametrilor conexiunilor (SA-Security Associations) folosind IKE.
42
IPSec foloseşte un algoritm pentru schimbarea cheilor între părţi, numit Internet
Key Exchange (IKE), care permite calculatoarelor să negocieze o cheie de sesiune în
mod securizat, folosind protocoalele ISAKMP pentru crearea de Security
Associations şi OAKLEY bazat pe algoritmul Diffie-Hellman pentru schimbarea
cheilor între cele două părţi. IKE se poate folosi în conjuncţie cu Kerberos, certificate
X.509v3 sau chei preshared.
Authentication Header (AH) este ataşat fiecărei datagrame şi conţine semnătura
sub formă de hash HMAC cu MD5 sau HMAC cu SHA-1.
Encapsulated Security Payload (ESP) criptează conţinutul pachetelor în două
moduri: transport (protejează doar conţinutul pachetului, nu şi header-ul) sau tunel
(întreg pachetul este criptat). ESP foloseşte de asemenea hash-uri HMAC cu MD5 sau
HMAC cu SHA-1 pentru autentificare şi DES-CBC pentru criptare.
Pentru a securiza comunicaţia în reţea cu IPSec între calculatoarele Windows
folosim o colecţie de reguli, politici şi filtre pentru a permite în mod selectiv doar
comunicaţia pentru anumite protocoale.
Politicile de IPSec pot fi create şi aplicate cu Group Policy pentru calculatoarele
din domeniu. Pentru calculatoare care nu sunt în domeniu, de exemplu serverele
bastion, politicile pot fi aplicate cu script-uri linie de comandă.
43
Securizarea staţiilor de lucru
Securizarea staţiilor de lucru trebuie să se bazeze pe o analiză detaliată a
riscurilor, deoarece trebuie să avem o imagine completă a resurselor pe care le
accesează utilizatorii, a informaţiilor care sunt stocate fie şi temporar pe staţiile de
lucru şi al gradului de confidenţialitate al acestora, a aplicaţiilor folosite de utilizatori
şi a mediului de lucru în care sunt utilizate calculatoarele (gradul de securitate fizică).
Abordare
Oricâte investiţii de securitate s-ar face în celelalte domenii (servere, perimetru,
autentificare, securizarea comunicaţiei etc) acestea pot fi cu uşurinţă negate de o
securitate slabă pentru staţiile de lucru. Să nu uităm că la staţiile de lucru se află
utilizatorii şi nu trebuie să trecem cu vederea utilizatorii potenţial rău intenţionaţi.
Conform studiilor, majoritatea acceselor neautorizate la informaţii au loc din interior.
Din acest punct de vedere, securizarea staţiilor de lucru reprezintă prima barieră
împotriva atacurilor.
Abordarea cea mai bună pentru securizarea staţiilor de lucru este una bazată pe
analiza riscurilor, pe scurt “Threat Modeling”. Pentru asta trebuie să ne întrebăm două
lucruri:
• Mai întâi trebuie să examinăm care sunt ameninţările posibile. Acestea pot consta
în infecţia cu viruşi/viermi/troieni, angajaţi rău intenţionaţi, scurgeri de informaţii,
pierderi de date din cauza defecţiunilor hardware sau software sau erorilor umane
etc. O bună sursă de informaţii este ghidul Threats and Countermeasures, în care
sunt detaliate posibile ameninţări de securitate şi contramăsurile adecvate pentru
minimizarea sau îndepărtarea lor.
• A doua perspectivă este oferită de mediul de lucru existent şi inventarierea
resurselor care trebuie protejate. Trebuie luate în considerare structura reţelei,
securitatea fizică, procedurile operaţionale precum şi numărul de staţii de lucru,
sistemele de operare şi aplicaţiile folosite, categoriile de utilizatori, informaţiile
care sunt accesate de pe staţii, informaţiile care sunt stocate (fie şi temporar) pe
acestea.
44
cum vom vedea în continuare. Din acest motiv, este necesar un design bun al
infrastructurii de Active Directory, atât din punct de vedere fizic cât şi logic, pentru a
putea aplica cu uşurinţă Group Policy.
Setările ce pot fi aplicate cu ajutorul Group Policy sunt descrise în detaliu în
Windows XP Security Guide. În continuare vom discuta câteva dintre acestea, fără a
avea pretenţia de a le acoperi pe toate. Putem împărţi setările în următoarele categorii:
• Accounts – politica de parole să nu permită parole vide, atât pentru conturile de
domeniu cât şi pentru cele locale, redenumirea conturilor Administrator şi Guest.
• Devices – permisiunea de undock fără a face logon (pentru laptop-uri),
permisiunile de format şi eject la mediile removable, restricţia instalării şi
configurării de drivere de imprimantă, restricţionarea accesului la CD sau floppy
pentru utilizatorii logaţi local, restricţionarea instalării de drivere nesemnate
digital.
• Interactive logon – neafişarea ultimului utilizator logat, solicitarea secvenţei Ctrl-
Alt-Del, banner-ul de log-on, numărul de credenţiale stocate local (permite logon
fără a fi conectat în reţea – necesar pentru laptop-uri), atenţionare înainte de
expirarea parolei, autentificare în domeniu la deblocarea staţiei, comportamentul la
extragerea smartcard-ului (recomandat blocarea staţiei).
• Microsoft network client – semnarea digitală a mesajelor (SMB Signing, if server
agrees), dezactivarea transmiterii parolei în clar către servere SMB third party.
• Microsoft network server - semnarea digitală a mesajelor (SMB Signing, always)
ceea ce va preveni utilizarea clienţilor mai vechi de Windows 2000 pe post de
servere de fişiere, deconectarea clienţilor la expirarea orelor de logon.
• Network access – restricţionarea enumerării Anonymous pentru conturile SAM şi
enumerarea share-urilor, restricţionarea stocării locale a credenţialelor,
restricţionarea accesului Anonymous la Named Pipes.
• Network security – restricţionarea stocării hash-urilor LANManager pentru parole,
forţare logoff la expirarea orelor de logon, nivelul de autentificare LANManager
(preferat NTLMv2).
• Recovery console – restricţionarea accesului administrativ la boot în Recovery
Console.
• Applications and services – setările de securitate pentru zonele Internet Explorer,
dezactivarea Desktop Sharing la NetMeeting şi a Remote Assistance,
restricţionarea planificării de task-uri, restricţionarea redirectării discurilor şi
încriptarea comunicaţiei la Terminal Services, restricţionarea Windows Update sau
redirectarea către un server local SUS, restricţionarea Windows Messenger,
folosirea Software Restriction Policy pentru a permite rularea doar a anumitor
aplicaţii, dezactivarea serviciilor care nu sunt folosite: Alerter, ClipBook, FTP,
IISAdmin, Messenger, Telnet, W3SVC, BITS, Fax service, NetDDE, Remote
Registry.
45
La acestea se adaugă permisiunile NTFS (remove Everyone), restricţionarea
accesului la mediile de stocare detaşabile (dischete, memorii USB, CD-ROM),
restricţiile de transfer prin e-mail şi criptarea cu EFS.
Recomandare
Dacă mai este nevoie să spunem, sistemul de operare recomandat este Windows
XP sau în cel mai rău caz Windows 2000 cu ultimele Service Pack-uri şi fix-uri
precum şi cu un template de măsuri de securitate de bază aplicat de la instalare.
Nu se poate asigura un nivel de securitate de bază folosind sisteme de operare
mai vechi cum ar fi Windows 95, 98 sau Me. Aceste sisteme nu folosesc Group
Policy şi nu posedă măsuri de securitate de bază, cum ar fi securitatea accesului la
logon. Iar permisiunile de acces la resurse pot fi configurate la un nivel rudimentar
(share level versus user level). Aceste sisteme de operare au fost gândite pentru
utilizare acasă şi nu fac faţă cerinţelor de securitate impuse pentru mediul de reţea al
unei companii.
46
Protecţia documentelor cu parolă şi semnături digitale
• Surse de încredere
O listă de certificate ale unor producători consideraţi de încredere. Lista poate fi
controlată centralizat cu Group Policy.
• Controale ActiveX
Opţiuni pentru configurarea execuţiei controalelor.
• Protecţia cu parole şi criptarea documentelor
Documentele pot fi protejate la deschidere folosind parole şi criptate folosind
diverşi algoritmi.
47
Protecţia cu parole şi criptarea documentelor. Tipuri de criptare disponibile
• Opţiuni de confidenţialitate
Office permite eliminarea informaţiilor personale la salvarea documentului
pentru a nu permite identificarea autorului.
• Information Rights Management (IRM)
Este un sistem nou introdus în Office 2003 ce permite protecţia la partajarea
accidentală de informaţii prin limitarea acţiunilor pe care recipienţii le pot face asupra
documentului. Se pot configura permisiuni care restricţionează accesul la citire,
tipărire, copierea conţinutului sau se poate configura expirarea documentului după o
anumită perioadă. Pentru a putea folosi acest sistem este necesar ca serviciile IRM să
fie instalate pe un Windows Server 2003 din reţea.
48
Managementul patch-urilor
Pentru a elimina riscurile de securitate datorate vulnerabilităţilor cunoscute, va
trebui să aplicăm patch-uri şi fix-uri de securitate pentru sistemele de operare şi
aplicaţii. Eliminarea vulnerabilităţilor cunoscute este de fapt prima măsură de
securitate care trebuie luată într-o reţea, deoarece aceste vulnerabilităţi vor fi primele
încercate de un atacator sau exploatate de către un vierme.
49
MBSA adaugă o interfaţă grafică la utilitarul linie de comandă HFNetCheck şi
foloseşte un fişier MSSECURE.XML ce poate fi downloadat de la Microsoft şi
conţine informaţii despre toate patch-urile disponibile în acel moment. Astfel se pot
crea rapoarte pentru sistemele scanate ce afişează patch-urile care nu au fost încă
instalate pe sisteme. MBSA este capabil să identifice de asemenea vulnerabilităţi
cunoscute la servicii şi aplicaţii. MBSA poate scana o singură maşină sau mai multe
folosind un rang de adrese IP sau toate calculatoarele din domeniu, cu condiţia să aibă
permisiuni administrative. MBSA poate face doar analiza sistemelor, nu şi instalarea
propriu-zisă a patch-urilor.
Systems Management Server 2003 este un produs complex pentru inventarierea
hardware-ului şi software-ului, pentru instalarea automată de software precum şi
management al sistemelor. Folosind instrumentele de inventariere de software şi un
pachet numit Software Updates Scanning Tool (bazat pe MBSA 1.2) ce poate fi
downloadat gratuit de pe site-ul Microsoft se pot analiza sistemele şi inventaria
vulnerabilităţile. SMS poate produce rapoarte privind update-urile şi Service Pack-
urile instalate, lista update-urilor disponibile ce trebuie aplicate pe fiecare calculator
etc. În plus, după cum vom vedea în continuare, SMS poate face şi instalarea patch-
urilor folosind facilităţile de distribuţie de software. SMS este foarte util pentru reţele
medii-mari.
50
• Systems Management Server 2003
Produsul permite selectarea cu precizie a sistemelor pe care se face instalarea şi a
patch-urilor care trebuie instalate, folosind rezultatele analizei realizate anterior cu
opţiunea de inventariere software şi Software Updates Scanning Tool. SMS 2003
poate actualiza şi sisteme de operare mai vechi şi poate aplica patch-uri şi pentru alte
aplicaţii. În general, SMS 2003 poate distribui actualizări la orice software instalat pe
calculatoarele client, cu condiţia ca aceste actualizări să poată fi împachetate şi
distribuite cu SMS. De asemenea, se poate verifica instalarea patch-urilor folosind din
nou Software Updates Scanning Tool. În tabelul de mai jos puteţi vedea o comparaţie
între metodele de aplicare a patch-urilor prezentate aici.
51
Microsoft Services şi partenerii certificaţi Microsoft lucrează împreună pentru a
vă oferi o gamă cuprinzătoare de servicii.
• Microsoft Certified Partners
Companii independente atestate de Microsoft care vă pot oferi un nivel ridicat de
expertiză şi suport necesare implementării de soluţii complexe bazate pe produsele şi
tehnologiile Microsoft.
Puteţi implica partenerii Microsoft şi Microsoft Services în proiectele
dumneavoastră de securizare a sistemelor IT. Microsoft a construit împreună cu
partenerii săi o ofertă de consultanţă şi servicii pentru implementarea de soluţii bazate
pe produsele şi tehnologiile Microsoft. În mod specific, pentru securizarea
infrastructurii puteţi solicita:
• Microsoft QuickStart for Security
Pentru evaluarea soluţiilor disponibile pentru securizarea reţelei. Aici puteţi
participa la seminariile de securitate organizate de Microsoft şi partenerii săi sub
formă de Security Briefings la centrele de training sau la evenimentele Microsoft. Sau
puteţi solicita întâlniri 1-la-1 cu specialiştii Microsoft sau ai partenerilor pentru a
explora soluţiile disponibile.
• Microsoft QuickPlan for Security
Constă în contracte de consultanţă şi servicii de 2-4 săptămâni, în care se face
colectarea şi analiza cerinţelor, inventarierea resurselor şi analiza riscurilor precum şi
realizarea planurilor de securitate concretizate într-un plan de implementare ce vă este
furnizat la sfârşitul contractului. Puteţi implementa acest plan de măsuri cu forţe
proprii sau puteţi apela în continuare la specialiştii partenerilor sau ai Microsoft
pentru implementare.
Concluzie
Sperăm că după parcurgerea acestui articol v-am convins că securitatea
informaţiei este un domeniu vast care necesită cunoştinţe foarte bune şi depunerea de
eforturi continue pentru a asigura un nivel de securitate adecvat pentru sistemul dvs
informatic. Nu trebuie să uităm că abordarea cea mai bună este cea pe ansamblu, prin
care evaluăm riscurile de securitate la care ne expunem şi aplicăm măsuri de
securitate proporţionale cu valoarea resurselor care trebuie protejate. Securitatea
înseamnă de fapt managementul riscului.
52
Bibliografie
1. Colectia Chip
2. Colectia Chip Special
3. WWW.Microsoft.COM
4. Colectia Xtreme PC
53