Descrierea Si Configurarea Unei Retele Cu Windows 2003 Server PDF

Descrierea si configurarea unei reţele cu
Windows 2003 Server
PROFESOR COORDONATOR ABSOLVENT

Prof. Ing. Marin Cristina
2010
CUPRINS
CAP. 1 INTRODUCERE..…………………….………………………….…pag 3
CAP. 2 TIPURI DE RETELE………………………………………….……pag 3
2.1 Retele de tip Client/Server.................................................................pag 4
2.2 Retele de tip Peer-to-Peer..................................................................pag 4
CAP. 3 NIVELURILE UNEI RETELE……………………………………..pag 5
3.1 Nivelul fizic........................................................................................pag 5
3.2 Nivelul logic.......................................................................................pag 5
3.3 Nivelul de retea...................................................................................pag 5
3.4 Nivelul de transport............................................................................pag 5
3.5 Nivelul de aplicatii..............................................................................pag 5
CAP. 4 BAZELE LUCRULUI IN RETELE DE CALCULATOARE...........pag 6
4.1 Componente hardware………………………………………………pag 6
4.1.1 Echipamente de transmisie…………………………………………..pag 7
4.1.2 Dispozitive de acces…………………………………………………pag 7
4.2 Repetoare……………………………………………………………pag 7
4.3 Componente software……………………………………………….pag 8
4.3.1 Protocoale…………………………………………………………....pag 8
4.3.2 Driver de dispozitiv………………………………………………….pag 8
4.3.3 Software pentru comunicatii…………………………………………pag 8
CAP. 5 TOPOLOGII LAN…………………………………………………..pag 9
5.1 Retele de tip magistrala.......................................................................pag 9
5.2 Retele de tip stea.................................................................................pag 9
5.3 Retele de tip ring (inel).......................................................................pag 9
5.4 Retele de tip magistrala in stea...........................................................pag 9
CAP. 6 INSTALAREA A 50 DE COMPUTERE PE WINDOWS XP..........pag 10
6.1 Instalarea Windows XP......................................................................pag 10
6.2 Configurarea retelei in Windows XP..................................................pag 12
CAP. 7 INSTALAREA UNUI SERVER PE WINDOWS 2003 DHCP…….pag 16
7.1 Instalarea unui Server DHCP ……………………………………….pag 17
7.2 Configurarea unui Server DHCP……………………………………pag 22
CAP. 8 SECURIZAREA UNEI RETELE PAS CU PAS……………………pag 23
CAP. 9 BIBLIOGRAFIE……………………………………………………..pag53
2
CAP.1 INTRODUCERE
In aceasta epoca a calculului distribuit, reţelele sunt prezentate in aproape toate

mediile de lucru. O data cu extinderea domeniilor de aplicare a calculatoarelor, a
crescut si numarul utilizatorilor ce doreau sa faca schimb de date sau sa prelucreze
informatiile comune.
De exemplu, zeci de angajati ai unei intreprinderi lucreaza impreuna la
elaborarea bugetului, fiecare din ei fiind responsabil de un anumit compartiment. In
cadrul unei companii de transporturi aeriene biletele la una si aceiasi cursa pot fi
vindute de mai multe agentii, care evident, se afla in orase diferite.
Pentru a solutiona astfel de probleme, au fost elaborate mijloace tehnice care
permit calculatoarelor sa comunice intre ele. Reţeaua este un mecanism care permite
calculatoarelor distincte si utilizatorilor acestora sa comunice si sa partajeze resurse.
Numim retea o multime de calculatoare ce pot schimba informatii prin
intermediul unei structuri de comunicatie.
CAP. 2 TIPURI DE RETELE
Urmeaza prezentarea catorva tipuri de retele (atat locale cat si globale). Voi
incerca sa fac o trecere in revista a topologiilor de retea, a catorva modalitati de
conectare la o retea precum si a catorva protocoale de retea.
Avem in primul rand doua mari categorii de retele:
• retele de tip LAN (Local Area Network)
• retele de tip WAN (Wide Area Network).
Reteaua LAN este constituita din mai multe calculatoare care alcatuiesc o retea,
de regula reteaua e construita in interiorul unei cladiri sau cel mult pe o distanta de
cateva cladiri (din cauza unor restrictii de tip hardware – Exceptie fac LAN-urile cu
transmisie de date prin cablu cu fibra optica).
Retelele de acest tip pot fi construite in mai multe feluri ce difera intre ele prin
intermediul modului de conectare a calculatoarelor intre ele.
Reteaua WAN este alcatuita din foarte multe calculatoare legate in retea si care
este intinsa pe o suprafata intinsa, in cazul Internet-ului pe tot globul. Reteaua este
alcatuita din multe servere care in general sunt masini UNIX, care pot asigura intr-
adevar un multitasking controlat si un multithreading adevarat, spre deosebire de
Windows care doar simuleaza doar (foarte bine intr-adevar)aceste lucruri.
In cadrul acestui tip de retea se folosesc anumite protocoale de retea pentru a
putea transmite date in cadrul unui asemenea gigant. Se folosesc de asemenea adrese
de locatie numite adrese IP (Internet Protocol) cu ajutorul carora serverele de
Internet gasesc mult mai usor calculatoarele din retea.
3
In cadrul acestei retele se foloseste un protocol de transfer de date care de fapt
este o denumire colocviala pentru mai mult de 100 de protocoale diferite dar care au
fost inglobate sub aceeasi denumire TCP/IP (Transmission Control
Protocol/Internet Protocol). Acest protocol cuprinde intre altele si protocoalele de
Telnet (Terminal emulation), FTP (File Transfer Protocol), HTTP (Hyper Text
Transfer Protocol), SMTP (Simple Mail Transfer Protocol). Acest protocol a fost
elaborat de Ministerul Apararii Nationale din SUA in anii ’70 si are si acum cea mai
larga arie de utilizare. Principalele avantaje pe care acesta le prezinta ar fi:
• Independenta de platforma. Protocolul TCP/IP nu a fost conceput pentru
utilizarea intr-un mediu destinat unui anumit tip de hardware sau software. A
fost si este utilizat in retele de toate tipurile.
• Adresare absoluta. TCP/IP asigura modalitatea de identificare in mod unic a
fiecarei masini din Internet.
• Standarde deschise. Specificatiile TCP/IP sunt disponibile in mod public
utilizatorilor si dezvoltatorilor. Oricine poate sa trimita sugestii de modificare a
standardului.
• Protocoale de aplicatie. TCP/IP permite comunicatia intre medii diferite.
Protocoalele de nivel inalt cum ar fi FTP sau TELNET, au devenit
omogenizate in mediile TCP/IP indiferent de platforma.
2.1 Retele de tip Client/Server folosesc un calculator separat (server) care

lucreaza la nivel centralizat cu toate fisierele si efectueaza serviciile de tiparire pentru
mai multi utilizatori. Clientii din retea sunt statii de lucru (workstations) si sunt
conectate la server. Clientii sunt reprezentati in general de calculatoare puternice dar
pot aparea si calculatoare mai slabe in timp ce Serverul este in genere un calculator
foarte puternic, in comparatie cu calculatoarele care urmeaza a fi legate la el, si care
este in asa fel configurat incat sa ofere cele mai rapide raspunsuri pentru clientii
retelei si pentru a asigura cea mai buna protectie din retea pentru datele critice.
Din cauza ca Serverul trebuie sa poata rezolva simultan mai multe solicitari este
necesar ca el sa ruleze un sistem de operare (SO) care sa fie specific destinat acestui
lucru: aici se recomanda in general orice SO de tip *NIX cum ar fi Linux, Unix,
FreeBSD, dar si altele cum ar fi OS/2 sau Win NT. Acesta nu este tocmai momentul
sa intru in detaliile acestor sisteme de operare dar ele folosesc cel mai bine asa
numitele protocoale de retea (Subiect car va fi atacat mai tarziu).
2.2 Retele de tip Peer-to-Peer nu folosesc acel calculator central numit Server,
ci dimpotriva ele folosesc impreuna unitatile de disc si imprimantele sau de ce nu
chiar fisiere si programe. Insa acest tip de retea are destul de multe defecte: deoarece
pe un calculator de birou nu ruleaza calculatoare super-performante cu SO-uri de tip
*NIX instalate exista pericolul destul de mare de altfel de a suprasatura statiile de
lucru daca mai multi utilizatori acceseaza in acelasi timp resursele aceluiasi
calculator.
CAP. 3 NIVELURILE UNEI RETELE
4
Comunicarea in retea are loc in cadrul a doua mari nivele – nivelul fizic si
nivelul logic si a inca 3 nivele importante necesare pentru intelegerea modului de
functionare a unei retele.
3.1 Nivelul fizic

Nivelul fizic se costituie din partea hardware a retelei si anume: placile de
interfata ale retelei, cablurile de conectare, HUB-uri (amplificatoare de semnal –
folosite in cazul in care calculatoarele se afla la o distanta mai mare decat distanta
maxima pe care o poate atinge o placa de retea in transmiterea de date, de regula intre
100m pentru placi pe slot PCI si in jur de 300m pentru placi pe slot ISA), precum si
orice alta componenta hardware care foloseste la comunicarea in retea. Deci nivelul
fizic este nivelul palpabil al retelei.
3.2 Nivelul logic

Este nivelul la care se transforma orice variatie de tensiune electrica in cod binar
pentru a putea fi trimise in nivelul fizic avand astfel loc comunicarea intre
calculatoarele din retea.
3.3 Nivelul de retea

Acest nivel este responsabil de identificarea calculatoarelor din retea. Fiecare
calculator din retea foloseste mecanismul de adresare existent in acest nivel pentru a
transmite date la statia de lucru dorita.
3.4 Nivelul de transport

Nivelul de transport asigura receptionarea corecta a tuturor datelor trimise in
retea. Acest nivel mai are si rolul de a restabili structura corecta a datelor a caror
structura ar putea fi deteriorata in timpul transmisiei.
3.5 Nivelul de aplicatii

Acesta este de fapt soft-ul utilizat de o statia de lucru. Atunci cand se apeleaza o
litera a unei unitati de disc din retea sau cand se tipareste la o imprimanta partajata in
retea, programul respectiv foloseste nivelul de aplicatii pentru a transmite datele in
retea.
CAP. 4 BAZELE LUCRULUI IN RETELE DE CALCULATOARE

5
O retea de calculatoare este, in esenta, ceva care permite unui numar de doua sau
mai multe calculatoare sa comunice intre ele si/sau cu alte dispozitive. Acest lucru le
permite utilizatorilor sa foloseasca retelele si calculatoarele pentru a partaja
informatii, pentru a colabora la o lucrare, pentru a tipari si chiar pentru a comunica
direct prin mesaje adresate individual.
Retelele au numeroase componente, atat hardware, cat si software. Unele
componente pot fi complet intangibile.
Inainte de a explora prea adanc printre componentele elementare ale retelelor,
este important sa retineti ca retelele au evoluat in doua categorii distincte:
• retele locale (LAN)
• retele de mare suprafata (WAN).
Diferenta dintre cele doua este destul de simpla.
Retelele LAN sunt utilizate pentru interconectarea dispozitivelor care se gasesc
intr-o vecinatate relativ restransa.
Retelele WAN sunt necesare pentru a interconecta retelele LAN aflate la distanta
din punt de vedere geografic.
4.1 Componente hardware

Componentele hardware elementare includ trei tipuri de dispozitive:
• Echipamente de transmisie
• Dispozitive de acces
• Dispozitive ce repeta semnalele transmise
Aceste componente sunt elementare prin faptul ca toate retelele trebuie fie sa le
contina, fie cel putin, sa functioneze in preajma lor.
Atenuarea poate fi compensata prin dimensionarea cablurilor la o lungime
minima, pentru a garanta ca semnalul este suficient de puternic pentru a ajunge la
toate destinatiile din lungul cablului. In cazul in care cablul trebuie sa fie relativ lung,
poate fi instalat pe linie un repetor.
Distorsionarea este o problema mai grava in transmiterea semnalelor. Aceasta
este diferita de atenuare. Semnalele distorsionate pot altera orice date transportate.
Repetoarele sunt incapabile de a face diferenta dintre semnalele corecte si cele
distorsionate; ele repeta semnalele fara deosebire. Exista totusi mai multe metode de
combatere a distorsiunilor:
Urmati riguros orice instructiuni de instalare care v-au furnizate impreuna cu
mediul dumneavoastra de transmisie.
Identificati toate sursele care pot cauza distorsiuni. In continuare, incercati sa
indepartati cablurile de sursele respective. De asemenea, poate fi util sa folositi
tehnologii speciale de transmisie in retea, precum cablarea prin fibre optice, care pot
impiedica aparitia distorsiunilor.
Utilizarea protocoalelor de retea care au capacitatea sa detecteze si sa corecteze
automat orice erori de transmisie posibile.
6
4.1.1 Echipamente de transmisie
Echipamentele de transmisie reprezinta mediul utilizat pentru a transporta
semnalele unei retele catre destinatie. Tipurile de medii includ cabluri coaxiale,
cabluri torsadate si fibre optice.
Tipurile de medii LAN pot fi, de asemenea, intangibile. Ele pot fi semnale
luminoase, radio si microunde, transmise prin aer.
Retelele WAN au, de asemenea, echipamente de transmisie proprii. Astfel de
echipamente sunt descrise de obicei prin viteza de tact si structurile lor de cadre, nu ca
simple medii de transmisie. Mediul lor fizic este irelevant comparativ cu
performantele lor.
4.1.2 Dispozitive de acces

Un dispozitiv de acces raspunde de:
• Formatarea corecta a datelor, astfel incat sa fie acceptate de retea.
• Plasarea datelor in retea
• Acceptarea datelor care ii sunt adresate.
Intr-o retea LAN, dispozitivul de acces este cunoscut ca placa de interfata cu
reteaua (NIC – Network Interface Card). NIC este o placa de circuite instalata intr-
un calculator si ocupa un slot de intrare/iesire de pe placa de baza a acestuia. Reteaua
este cablata apoi la portul pus la dispozitie de aceasta placa. NIC formeaza cadrele de
date care trebuie transmise de aplicatiile calculatorului, pune datele in forma binara si
accepta intrarea cadrelor adresate calculatorului respectiv.
Intr-o retea WAN, dispozitivul de acces este un router. Routerele opereaza la
nivelul 3 al modelului de referinta OSI si includ doua tipuri de protocoale: de rutare
(routing) si rutabile (routable).
Protocoalele rutabile, ca IP, sunt utilizate pentru a transporta datele dincolo de
limitele domeniilor de nivel 2.
Protocoalele de rutare furnizeaza toate functiile necesare realizarii urmatoarelor
operatii:
• Determinarea cailor optime prin reteaua WAN pentru orice adresa de destinatie
data
• Acceptarea si trimiterea pachetelor prin aceste cai la destinatiile lor.
4.2 Repetoare
Repetorul este un dispozitiv care accepta semnalele trimise, le amplifica si le
plaseaza din nou in retea. Intr-un LAN, un repetor – cunoscut mai mult sub numele de
concentrator (hub) – permite conectarea in retea a mai multor dispozitive, prin
furnizarea mai multor puncte de intrare in retea.
Aceasta functie este atat de importanta pentru retelele LAN actuale, incat
adevaratul lor rol – regenerarea semnalului – este adesea uitat.
7
Capacitatea concentratorului de a regenera semnalele este la fel de vitala pentru
succesul unui LAN ca si capacitatea de a asigura mai multe puncte de intrare.
Semnalele electronice trimise printr-un cablu se vor deteriora in mod inevitabil.
Aceasta deteriorare poate lua una din urmatoarele doua forme: atenuare sau
distorsionare.
• Atenuarea este scaderea puterii semnalului.
• Distorsionarea este modificarea nedorita a semnalelor in timpul transferului.
Fiecare dintre aceste forme de deteriorare trebuie sa fie abordata si rectificata
separat.
4.3 Componente software
Componentele software necesare intr-o retea includ urmatoarele elemente:
• Protocoale care definesc si regleaza modul in care comunica doua sau mai
multe dispozitive
• Software la nivel hardware, cunoscut ca microcod sau drivere, care controleaza
modul de functionare al dispozitivelor individuale, precum placile de interfata
cu reteaua.
• Software pentru comunicatii.
4.3.1 Protocoale
Asigurarea conectivitatii fizice pentru o retea reprezinta partea cea mai usoara.
Adevarata greutate consta in dezvoltarea unor mijloace de comunicare standard
pentru calculatoare si alte dispozitive atasate la retea. Aceste mijloace de comunicare
sunt cunoscute oficial ca protocoale.
Protocoalele pentru retele LAN sunt numite frecvent arhitecturi LAN, pentru ca
sunt incluse in NIC. Ele predetermina in mare masura forma, dimensiunea si
mecanica retelei.
4.3.2 Driver de dispozitiv

Un driver de dispozitiv este un program de nivel hardware care controleaza un
anumit dispozitiv. Un driver de dispozitiv poate fi privit ca un sistem de operare in
miniatura pentru o singura componenta hardware. Fiecare driver contine toata logica
si toate datele necesare pentru a asigura functionarea corecta a dispozitivului
respectiv. In cazul unei placi de interfata cu reteaua (NIC), driverul include furnizarea
unei interfete pentru sistemul de operare al gazdei.
4.3.3 Software pentru comunicatii

Componentele hardware si software de retea care au fost descrise anterior nu au
capacitatea de a-i permite unui utilizator sa foloseasca efectiv reteaua. Ele nu fac
decat sa asigure infrastructura si mecanismele care permit utilizarea acesteia.
Sarcina utilizarii efective a retelei cade in seama aplicatiilor software
specializate, care controleaza comunicatiile.
8
Indiferent de tipul sau complexitatea aplicatiilor, software-ul pentru comunicatii
reprezinta mecanismul care face banda de frecventa cu adevarat utilizabila.
CAP. 5 TOPOLOGII LAN
Pentru aranjarea in retea a calculatoarelor se folosesc diferite metode numite

topologii. Fiecare topologie are avantaje si dezavantaje dar totusi fiecare se potriveste
cel mai bine in anumite situatii.
5.1 Retele de tip magistrala

In cadrul acestui tip de retele toate calculatoarele sunt interconectate la cablul
principal al retelei. Calculatoarele conectate in acest tip de retea au acces in mod egal
la toate resursele retelei. Pentru utilizarea cablului nivelul logic trebuie sa astepte pana
se elibereaza cablul pentru a evita coliziunile de date. Acest tip de retea are insa un
defect si anume: daca reteaua este intrerupte intr-un loc fie accidental fie prin
adaugarea unui alt nod de retea atunci intreaga retea este scoasa din functiune. Este
totusi una din cele mai ieftine moduri de a pune la cale o retea.
5.2 Retele de tip stea

Acest tip de retea face legatura intre calculatoare prin intermediul unui
concentrator. Avantajul esential al acetui tip de retea este ca celelalte cabluri sunt
protejate in situatia in care un calculator este avariat sau un cablu este distrus, deci din
puct de vedere al sigurantei transmisiei de date este cea mai sigura solutie in alegerea
configurarii unei retele mari caci prntru o retea mica exista un dezavataj de ordin
finaciar constituit de concentrator care are un pret destul de ridicat.
5.3 Retele de tip ring

Tipul de retea circular face legatura intre calculatoare prin intermediul unui port
de intrare (In Port) si a unui port de iesire (Out Port). In aceasta configuratie fiecare
calculator transmite date catre urmatorul calculator din retea prin portul de iesire al
calculatorului nostru catre portul de intrare al calculatorului adresat. In cadrul acestei
topologii instalarea cablurilor este destul de dificila si atunci se recurge la un
compromis intre acest tip de retea si cel de tip magistrala folosindu-se o unitate
centrala care sa inchida cercul numita Media Acces Unit (MAU – unitate de acces a
mediilor).
5.4 Retele de tip magistrala in stea

La fel ca o retea hibrida stea-cerc reteaua de tip magistrala in stea face apel la o
unitate centrala (MAU) prin care se realizeaza legaturile intre calculatoare.
9
CAP. 6 INSTALAREA A 50 DE COMPUTERE PE WINDOWS XP
6.1 Instalarea Windows XP

Vom instala sistemul de operare Windows XP pe 50 de computere cu
configuratii diferite ca o retea de bloc. Configuratiile diferite ale computerelor nu ne
vor face probleme in instalarea sistemului de operare Windows XP pana in punctul
de instalare a driverilor cand vom aplica pentru fiecare sistem in parte driverele
necesare.
Inainte de a incepe instalarea ne vom asigura ca avem la indemana toate cd-urile
importante primite odata cu achizitionarea calculatorului, mai exact discurile cu
drivere pentru: placa de baza, placa audio, placa video, placa de retea/modem si
pentru S-ATA (daca detinem un astfel de hard disk). Daca instalam un Windows XP
care nu are integrat Service Pack 2, vom scoate cablul de retea din calculator inainte
de inceperea instalarii. De asemenea, daca reinstalam Windows-ul, ne asiguram ca
orice fisier sau director important din directoarele My Documents, Program Files,
Windows sau de pe Desktop a fost mutat intr-o locatie de backup.
Acestea fiind spuse, pornim calculatorul si intram in BIOS (de obicei se face prin
apasarea tastei Delete). Cautam sectiunea de Boot (ar trebui sa fie in meniul principal
sau la Advanced BIOS Features) si verificam ca prima componenta de pe care
calculatorul va boota este CDROM-ul. Acum vom introduce CD-ul de instalare al
Windows XP in unitatea optica si putem iesi din BIOS, salvand schimbarile
bineinteles.
10
Dupa cateva secunde calculatorul ne va cere sa apasam o tasta pentru a boota de
pe CD. (Atentie! Acesta este singurul moment in care calculatorul trebuie sa booteze
de pe CD). Dupa inspectarea configuratiei calculatorului, utilizatorul este rugat sa
apese tasta F6 daca detine o discheta pentru hard disk-ul sau S-ATA. Este foarte
important sa nu sarim sau sa omitem acest pas daca avem un astfel de hard.
Daca am apasat tasta F6, dupa cateva secunde vom fi rugati sa specificam
unitatea de stocare pe S-ATA. Apasam tasta S, introducem discheta cu driver S-ATA
si apasam Enter. Dupa ce isi va copia driverele necesare, vom reveni in ecranul
anterior. Pentru a continua, doar apasam inca o data tasta Enter.
Dupa ce procesul de instalare va termina incarcarea fisierelor necesare, vom avea
de ales intre instalarea Windows-ului, repararea sa si iesirea din instalare. Vom alege
bineinteles instalarea Windows-ului, apasand tasta Enter, ceea ce va avea ca effect
afisarea licentei. O putem citi folosind tastele Page Up si Page Down; daca suntem de
acord, apasam tasta F8, daca nu, tasta Escape (optiune care vom opri procesul de
instalare).
Urmatorul ecran va lista partitiile de pe hard disk, spatiul nefolosit si optiunile
corespunzatoare acestora. Putem crea o partitie apasand tasta C, putem sterge una
apasand tasta D sau folosi tastele directionale pentru a alege partitia pe care sa fie
instalat Windows-ul. Nu va sfatuiesc sa stergeti partitii daca nu stiti exact ce
presupune acest lucru. Daca pe partitia aleasa exista deja instalata o versiune de
Windows, vom fi intrebati daca dorim sa folosim in continuare acea partitie si vechiul
Windows sa fie sters (apasati L) sau sa alegeti alta partitie (apasati Escape). Daca hard
disk-ul nu are creata nici o partitie (contine doar spatiu nefolosit), putem crea una:
apasati C si in ecranul urmator alegeti marimea partitiei. Dupa selectarea unei partitii,
urmeaza formatarea ei. Daca tocmai am creat partitia respectiva sau nu contine nimic
important, o putem formata rapid folosind optiunea "Format the partition using the
NTFS file system (quick)", dar daca partitia exista deja o putem lasa intacta alegand
optiunea "Leave the current file system intact (no changes)".
In continuare vor fi copiate pe hard disk fisierele necesare dupa care calculatorul
se va restarta pentru a instala componentele (interventia utilizatorului nu este necesara
pana in momentul in care vor fi instalate componentele). Cu siguranta ati observat ca
pasul doi al instalarii a inceput intr-o interfata noua, mai prietenoasa, in care va
aparea, la terminarea instalarii componentelor, fereastra cu setarile regionale si de
limba. Pentru a primi informatii corecte de la anumite servicii, putem alege din
meniul "Location" tara in care va aflati. Prin apasarea butonului "Customize" ni se vor
prezenta setarile pentru: numere (gruparea cifrelor, sistemul de masura, semnul de
numar negativ, etc), moneda (simbolul monedei, gruparea cifrelor, etc), ora (formatul
orei, separatorul) si data (formatul prescurtat al datei, separatorul). Pentru a ne
intoarce apoi in fereastra anterioara apasam OK (salvand astfel modificarile facute in
fereastra) sau Cancel (lasand valorile asa cum erau setate initial).
Apasand butonul Next vom ajunge in fereastra de personalizare unde ni se cere
numele si organizatia. Va urma fereastra in care trebuie introdusa cheia de inregistrare
(serial key) primita la achizitionarea Windows-ului.
11
Daca acesta a fost tastat corect, la apasarea butonului Next, va aparea o fereastra
in care se cer numele calculatorului si parola de administrator. Nu este necesara
modificarea acestor campuri, asadar daca nu le cunoasteti scopul, apasam inca o data
butonul Next pentru a va seta data, ora si fusul orar.
Daca avem un modem sau o placa de retea, ulterior va aparea si o fereastra de
configurare, insa nu este neaparat sa introducem toate valorile necesare acum, pentru
ca aceste setari pot fi apoi accesate si din Windows.
Din nou interventia utilizatorului nu va mai fi ceruta decat dupa ce calculatorul
se va restarta.
Am intrat pe ultima suta de metri in cursa pentru instalarea Windows-ului. Pentru
inceput se va incerca ajustarea setarilor grafice pentru imbunatatirea elementelor
vizuale. Daca sistemul intruneste cerintele hardware minime, cu siguranta vom putea
vedea ferestrele aparute, confirmandu-le cu apasarea butonului OK. In continuare va
fi afisat ecranul de "Bun venit in Microsoft Windows" unde in prima faza se va apasa
butonul Next din dreapta jos. Daca avem un modem sau o placa de retea, se va
verifica conexiunea la Internet, dar putem sari peste acest pas fara nici o problema.
Acelasi lucru este valabil si pentru inregistrarea la Microsoft din urmatorul ecran care
poate fi amanata prin bifarea optiunea "No, not at this time".
Daca instalam un Windows care are inclus Service Pack 2, ni se va cere sa setam
modalitatea in care isi va face update Windows-ul; este indicat in general sa alegem
prima optiune, pentru a evita problemele de securitate sau ferestrele care ne vor
aminti ulterior sa activam totusi aceasta optiune. Ultimul pas este introducerea
numelui persoanei sau persoanelor care vor utiliza Windows-ul. Completam
campurile (de fapt doar primul este obligatoriu), dar cu atentie, deoarece cuvinte
precum Administrator sau numele trecut deasupra campului Organizatie in pasul
precedent nu mai sunt permise (instalarea nu va continua daca alegeti unul din aceste
nume).
Dupa urmatorul restart vom instala driverele pentru componentele calculatorului
si update-urile de securitate.
6.2 Configurarea retelei in Windows XP

Vom trece la configurarea retelei pentru obtinerea adresei IP automatic prin
DHCP/dinamic.
• Daca folosim Start Menu standard, dati click pe Start, Control Panel.
12
• Schimbam Control Panel pe Classic View daca nu este deja in acest mod.
• Click pe Network Connections.
13
• Click pe Local Area Connection.
(Daca suntem conectati pe wireless, sau pe alt tip de conexiune, selectam aceasta
conexiune)
• Click pe Properties.
14
• Selectam Internet Protocol (TCP/IP) apoi click pe Properties.
Daca TCP/IP nu este afisat, click pe Install, si alegeti Protocol. Click pe Add.
Selectam TCP/IP. Selectam OK.
• Selectam Obtain IP address automatically si Obtain DNS server address

automatically.
15
• Click pe OK, sau inchidem fereastra daca nu este un buton OK, pina revenim la
desktop-ul normal.
In acest fel vom instala in continuare Sistemul de Operare – Microsoft

Windows XP pe restul de 49 de computere.
CAP. 7 INSTALAREA UNUI SERVER PE WINDOWS 2003 DHCP
Protocolul dinamic de configurare al gazdei - Dynamic Host Configuration

Protocol (DHCP) este un standard IP destinat sa reduca complexitatea admnistrarii
configuratiilor de adrese IP. Un server DHCP ar fi instalat cu setarile
corespunzatoare unei retele anume. Asemenea setari ar include un set de parametri
fundamentali cum ar fi gateway-ul , DNS-ul , subnet mask-urile si o arie de adrese IP.
Folosind DHCP intr-o retea inseamna ca administratorii nu sunt nevoiti sa
configureze aceste setari individual pentru fiecare client din retea. DHCP-ul le va
distribui clientilor singur.
Serverul DHCP aloca unui client o adresa IP luata dintr-o arie predefinita pentru
o anume perioada de timp. Daca o adresa IP este necesara pentru o perioada mai
lunga de timp decat a fost predefinit, clientul trebuie sa ceara o prelungire inainte ca
aceasta perioada predefinita sa se incheie. Daca clientul nu a cerut o prelungire pana
la expirare acea adresa IP va fi considerata libera si ea va putea fi alocata altui client.
Daca utilizatorul vrea sa schimbe adresa IP ei pot face asta prin folosirea
comenzii "ipconfig /renew" in Command prompt. Aceasta comanda va anula adresa
IP si va cere alta noua. Rezervariel pot fi predefinite in serverul DHCP pentru a
permite anumitor clienti sa aiba propriile lor adrese IP. Adresele pot fi rezervate unei
adrese MAC sau unui nume de gazda pentru ca acesti clienti sa aiba o adresa IP fixa
care este configurata automat. Cei mai multi furnizori de sevicii internet folosesc
DHCP pentru a aloca o adresa IP noua computerelor cliente cand un client se
conecteaza la internet. Asta simplifica lucrurile la nivel de utilizator.
Diagrama de deasupra arata o structura simpla constand dintr-un server DHCP si

un numar de computere client intr-o retea.
16
Serverul DHCP contine el insusi o baza de date pentru IP-uri care contine toate
adresele IP disponibile pentru distributie.
Daca clientul ( un membru al retelei cu un sistem de operare Windows 2000
Professional/XP de exemplu) are optiunea "obtain an IP address automatically"
activata in setarile TCP/IP , atunci este capabil sa obtina adrese IP de la serverul
DHCP.
7.1 Instalarea unui Server DHCP
Instalarea serverului DHCP este facuta foarte usor in Windows 2003 . Folosind
wizardul "Manage your server" , este posibila introducerea detaliilor necesare lasand
wizardul sa seteze optiunile de baza.
Se deschide wizardul "Manage your server” , se selecteaza optiunea DHCP
server din lista scopurilor pentru server si se apasa Next. Vi se va cere sa introduceti
numele si descrierea Scope-ului dumneavoastra.
Scope: Un “Scope” este o colectie de adrese IP pentru computere pe un “subnet
mask” care folosesc DHCP.
Urmatoarea fereastra ne va cere sa definim o arie de adrese IP pe care Scope-ul

le va distribui in retea si Subnet mask-ul adresei IP. Introducem detaliile necesare si
apasam Next.
17
Ni se arata o fereastra in care trebuie sa adaugam exceptii in aria de adrese IP pe
care am specificat-o in fereastra percedenta. Daca de exemplu adresa IP 10.0.0.150
apartine routerului companiei nu veti dori ca serverul DHCP sa fie capabil sa
distribuie si acea adresa in retea. In acest exemplu am exclus o arie de adrese IP ,
10.0.0.100 to 10.0.0.110 si o singura adresa 10.0.0.150. In acest caz 11 IP-uri vor fi
rezervate si nu vor fi distribuite clientilor retelei.
18
Acum este timpul sa setam pentru cat timp poate folosi un client o adresa IP
alocata lui din acest “Scope”. Este recomandata adaugarea unui timp mai mare pentru
o retea fixa ( in birou de exemplu) si alocarea unui timp mai scurt pentru conexiuni la
distanta sau computere laptop. In acest exemplu am setat un timp de 12 ore din cauza
ca clientii retelei sunt computere desktop intr-un birou local si timpul obisnuit de
lucru este de 8 ore.
Ne este data optiunea de a configura optiunile DHCP pentru “Scope” acum sau
mai tarziu. Daca alegem Yes urmatoarele poze ne vor fi de ajutor. Alegand No vom
putea configura aceste optiuni mai tarziu.
19
Adresele IP ale router-ului sau gateway-ului pot fi introduse in continuare.
Computerele client vor sti atunci ce router sa foloseasca.
In fereastra urmatoare pot fi introduse setarile DNS si numele domeniului.

Adresa IP a serverului DNS va fi distribuita de serverul DHCP si oferita clientului.
20
Daca avem instalat WINS aici trebuie sa introducem Adresa IP a serverului
WINS. Putem introduce doar numele serverului in casuta corespunzatoare si sa
apasam “Resolve” pentru a ii permite sa gaseasca singur adresa IP.
Ultimul pas este sa activam Scope-ul. Apasam Next cand vedem fereastra de jos.
Serverul DHCP nu va functiona daca nu facem acest lucru.
21
Serverul DHCP a fost acum instalat cu setarile de baza. Urmatorul pas este
pentru a il configura nevoilor structurii retelei noastre.
7.2 Configurarea unui server DHCP
Casuta “Adress pool” arata o lista cu ariile IP alocate pentru distributie si

excluderile de adrese IP. Putem adauga o excludere apasand cu clic dreapta pe textul
Adress pool in partea din stanga a ferestrei Mmc si selectand "new exclusion range".
Asta ne va aduce in fata o fereastra ( cum se vede mai jos) care ne va permite
introducerea unei arii de adrese. Introducerea numai a IP-ului de start va adauga
numai o singura adresa IP.
Serverele DHCP va permit sa rezervati o adresa IP pentru un client. Asta

inseamna ca acel client al retelei va avea acelasi IP pentru cat timp doriti. Pentru a
face asta trebuie sa stim adresa fizica (MAC) a fiecarei placi de retea. Introducem
numele rezervat , adresa IP dorita, adresa MAC si descrierea. Alegem daca vrem sa
fie suportat DHCP sau BOOTP si apasam add. Noua rezervare va fi adaugata in lista.
Ca un exemplu , am rezervat adresa IP 10.0.0.115 pentru un computer client numit
Andrew.
22
Daca apasam clic dreapta pe Scope options si apasam "configure options" va
aparea o fereastra in care putem configura mai multe servere si parametrii lor. Aceste
setari vor fi distribuite de serverul DHCP impreuna cu adresele IP. Optiunile de server
actioneaza ca optiuni de baza pentru toate Scope-urile din serverul DHCP. Totusi,
optiunile Scope-ului sunt preferate in locul optiunilor server-ului.
CAP. 8 SECURIZAREA UNEI RETELE PAS CU PAS
Introducere
Pentru a reduce riscurile de securitate în utilizarea şi administrarea sistemelor IT,
cea mai bună strategie este cea pe ansamblu (security in depth). Trebuie pornit de la
lucrurile elementare: uniformitatea infrastructurii din punct de vedere al sistemelor
folosite, administrarea centralizată, menţinerea la zi a sistemelor din punct de vedere
al patch-urilor şi fix-urilor, aplicarea unor configurări standard de securitate pe toate
serverele şi staţiile de lucru în funcţie de rolul funcţional al acestora, proceduri
standard de utilizare şi administrare.
Fazele securizării. Planuri

Procesul de securizare al unei reţele parcurge de obicei 3 faze:
• identificarea resurselor şi analiza riscurilor
• dezvoltarea şi implementarea planurilor de securitate
• monitorizarea proceselor în operarea de zi cu zi a reţelei.
23
Analiza riscurilor este necesară pentru a putea aloca în mod corect investiţia de
timp şi resurse necesare, în funcţie de importanţa resurselor protejate.
Pe baza listei de riscuri prioritizate se realizează planurile de măsuri necesare.
Acestea pot fi:
• proactive – pentru reducerea expunerii la riscuri (mitigation);
• reactive – planuri ce sunt aplicate după producerea incidentului de securitate şi
care au drept scop minimizarea efectelor (contingency).
Planurile de măsuri proactive sunt implementate după o planificare de timp bine
definită. Măsurile reactive sunt declanşate odată cu producerea incidentului de
securitate.
Securitatea este o preocupare continuă. Chiar şi după aplicarea planului de
măsuri proactive şi atingerea nivelulului de securitate dorit al reţelei, pentru că acest
nivel trebuie menţinut. Din acest motiv, trebuie făcută o reevaluare periodică a
riscurilor de securitate şi modifcate planurile de securitate, dacă este nevoie. Pe tot
parcursul duratei de viaţă a unei infrastructuri IT, perfomanţele acesteia trebuie
monitorizate iar măsurile de securitate trebuie optimizate.
Securizare pas cu pas

În cele ce urmează, vom discuta activităţile tipice care au loc în cadrul unui
proiect de securizare a unei infrastructuri IT. De asemenea, vom discuta care trebuie
să fie rezultatele tipice ale unui astfel de proiect.
Deşi în articol vom discuta despre multe tehnici de securitate, nu trebuie să uităm
că scopul final este securitatea informaţiei. Toate măsurile de securitate luate în cadrul
reţelei trebuie să fie adecvate nivelului de securitate ce trebui atins pentru informaţiile
procesate în cadrul sistemelor IT. Securitatea informaţiei este definită prin nivelele de
confidenţialitate, integritate şi disponibilitate ce trebuie asigurate pentru informaţia
din sistemul IT (triada Availability-Integrity-Confidentiality).
Toate măsurile de securitate trebuie să corespundă nivelului de securitate dorit şi
valorii estimate a infomaţiei pentru organizaţia respectivă. Altfel apare fenomenul
feature creep, în care implementăm tehnologie de dragul tehnologiei şi investim foarte
mult în măsuri de securitate costisitoare, scăpând din vedere resursele cu adevărat
importante sau neţinând cont de strategia securităţii pe ansamblu.
Analiza riscurilor
Primul pas în evaluarea riscurilor de securitate îl reprezintă identificarea
resurselor care trebuie protejate precum şi evaluarea acestora din punct de vedere al
importanţei şi valorii. Metodele de identificare sunt dintre cele mai variate, pornind de
la checklist-uri cu riscuri tipice şi terminând cu şedinţe de brainstorming. Pentru
fiecare din resursele identificate se poate calcula simplu expunerea la risc ca fiind
produsul dintre probabilitatea producerii riscului şi impactul acestuia. Impactul poate
fi estimat în costuri sau conform unei scale de importanţă.
24
Expunere = Probabilitate x Impact
Exprimarea impactului în costuri (bani) este utilă atunci când planificăm

măsurile de securitate proactive. Nu este eficient să investim în măsuri de securitate
sume mai mari decât valoarea impactului asociat resursei repective. Aceste calcule ne
ajută să luăm decizii inteligente în privinţa securizării diverselor tipuri de resurse,
încercând să realizăm o balanţă între expunerea la risc şi costurile de implementare
ale planurilor de securitate.
După identificarea şi prioritizarea riscurilor în funcţie de expunere, trebuie
realizate planurile de securitate. Acestea conţin de obicei măsuri proactive care au
drept scop reducerea expunerii la riscuri (mitigation). În unele cazuri însă nu pot fi
implementate măsuri proactive sau costurile implementării unor astfel de măsuri
depăşesc valoarea impactului. În acest caz, sunt realizate planuri de măsuri reactive
care au drept scop reducerea impactului, odată ce riscul s-a produs.
Planuri de măsuri proactive

Securizarea serverelor şi a staţiilor pentru a reduce suprafaţa de atac
• Managementul patch-urilor de securitate pentru a elimina vulnerabilităţile
cunoscute
• Securizarea perimetrului reţelei
• Implementarea de software antivirus
• Monitorizarea şi auditarea sistemelor critice
• Aplicarea unor politici de securitate cu Group Policy şi Active Directory
• Crearea de politici şi proceduri de securitate pentru utilizatori şi administratori
Planuri de măsuri reactive

• Planul de notificare la producerea incidentelor
• Restaurarea datelor (back-up-ul este proactiv)
• Planuri de continuare a funcţionării sistemelor
• Recuperare în caz de dezastre
Scopul final al securizării reţelei îl reprezintă protecţia informaţiilor şi resurselor
din reţea. În continuare vom examina o serie de activităţi tipice care trebuie realizate
în mai toate proiectele de securizare a unei reţele bazate pe produse şi tehnologii
Microsoft.
Securitatea Active Directory

De ce Active Directory
Active Directory reprezintă inima reţelelor bazate pe sisteme de operare
Windows. Principalele avantaje oferite de implementarea Active Directory în reţea
sunt descrise în continuare.
25
• Autentificarea utilizatorilor – permite identificarea fără echivoc a fiecărui utilizator
al reţelei pe bază de utilizator şi parolă unică.
• Autorizarea accesului la resurse – pentru fiecare resursă din reţea pot fi configurate
liste de acces care specifică explicit permisiunile pe care le au utilizatorii sau
grupurile asupra resursei respective.
• Administrarea centralizată a tuturor serverelor şi staţiilor de lucru din reţea.
• Aplicarea consistentă a unor politici de securitate în cadrul reţelei. Acesta din urmă
este în particular un avantaj foarte important în procesul de securizare al reţelei.
Proiectare. Aplicare
La proiectarea Active Directory trebuie respectate câteva principii de design
pentru a putea aplica uşor măsuri de securitate:
• Minimizarea numărului de domenii. Acestea fiind arii de securitate distincte, un
număr cât mai mic de domenii, preferabil unul singur, permite aplicarea uşoară a
politicilor de securitate
• Aplicarea politicilor generice de securitate la nivelul întregului domeniu şi
completarea acestora cu măsuri specifice la nivele inferioare
Pentru aplicarea politicilor de securitate se foloseşte Group Policy. Deoarece
politicile se aplică la mai multe nivele (domeniu, site, organization unit, local) şi pot fi
blocate sau suprascrise, trebuie realizat un plan detaliat privind utilizarea Group
Policy. De un real ajutor este Group Policy Management Console care permite
evaluarea rezultatului aplicării de politici multiple.
Câteva politici tipice care pot fi aplicate în cadrul unui domeniu:
• dezactivarea stocării parolei ca LMHash
• configurarea nivelului de compatibilitate LanManager pentru autentificare
• blocarea conturilor la introducerea greşită a parolei combinată cu impunerea de
parole cu complexitate sporită
• interzicerea posibilităţii de enumerare a obiectelor din Active Directory pentru
clienţii anonimi
Pentru o listă completă de setări de securitate care pot fi aplicate cu Group
Policy, consultaţi Windows Server 2003 Security Guide.
Active Directory este o condiţie necesară pentru a putea aplica în mod sistematic
politici de securitate în cadrul reţelei şi pentru a putea reduce complexitatea
administrării. Pornim de la principiul simplu că o reţea sigură este una bine proiectată,
configurată şi administrată. Active Directory ne oferă aici un avantaj important.
Securizarea staţiilor Windows

Toate calculatoarele
Abordarea ce mai bună privind politicile de securitate aplicate în cadrul reţelei
este de a aplica un set de politici de bază la nivelul întregului domeniu, politici care să
se aplice tuturor maşinilor (servere şi staţii de lucru) şi tuturor utilizatorilor.
26
Aceste politici vor fi completate diferenţiat cu alte politici suplimentare,
aplicabile anumitor roluri funcţionale pe care le au serverele şi staţiile din reţea.
Această abordare simplifică modul de gestionare al politicilor şi ne asigură că
avem un nivel de securitate de bază (baseline) pentru întreaga reţea.
Două lucruri sunt foarte importante atunci când dorim să asigurăm un nivel de
securitate de bază pentru toate sistemele din reţea:
• Sistemele trebuie să fie menţinute la zi din punct de vedere al patch-urilor şi fix-
urilor de securitate. Despre acest lucru vom discuta mai tîrziu în cadrul acestui
articol.
• Trebuie să aplicăm un set de configurări de securitate de bază pe toate sistemele
din reţea, adică să facem întărirea securităţii sistemelor (hardening). Despre acest
lucru discutăm aici.
Politici pentru toate calculatoarele

Iată câteva setări de securitate care merită luate în considerare pentru securizarea
de bază a sistemelor şi pot fi aplicate cu un Group Policy Template la nivelul
întregului domeniu Active Directory:
• Politici de audit
• Account logon & Management
• Directory Service Access
• Object Access
• System Events
• Privilegiile utilizatorilor
• Allow log-on locally
• Logon cu Terminal Services
• Deny log-on as a batch job
• Deny force shutdown from Remote system
Aplicare cu Active Directory

Cel mai simplu este să pornim de la un template cu măsuri de securitate, pe care
să-l adaptăm la cerinţele noastre şi să-l aplicăm în întreaga reţea. Putem face acest
lucru cu ajutorul lui Security Configuration Manager. Acesta conţine: template-uri
care definesc setările ce trebuie aplicate pentru câteva configuraţii tipice, snap-in-ul
MMC Security Configuration & Analysis, utilitarul linie de comandă secedit cu
ajutorul căruia se poate automatiza procesul de aplicare al politicilor.
27
Consola MMC a Security Configuration & Analysis şi template-urile predefinite
penrtu politicile privitoare la parole.
Template-urile de securitate sunt fişiere text cu extensia .inf ce conţin un set

predefinit de setări de securitate. Aceste setări pot fi adaptate şi aplicate asupra
sistemelor din reţea. Setările de securitate disponibile includ: aplicarea de ACL-uri pe
chei de Registry şi fişiere, aplicarea de politici de conturi şi parole, parametri de start
la servicii, setarea de valori ale unor chei de Registry. Template-urile sunt aditive,
adică se pot aplica succesiv mai multe template-uri. Ordinea de aplicare este
importantă: setările din ultimul template aplicat vor suprascrie setările anterioare.
Template-urile pot fi aplicate global, cu ajutorul Group Policy, sau individual, cu
ajutorul Security Configuration & Analysis.
Template-urile pot fi obţinute din mai multe surse: Windows Server 2003 vine cu
un set predefinit de template-uri, în Windows Server 2003 Security Guide puteţi găsi
template-uri adiţionale, CIAC, SANS, NSA publică propriile recomandări şi
template-uri pentru sistemele de operare Microsoft.
Security Configuration & Analysis este un snap-in MMC cu ajutorul căruia
putem crea o bază de date cu setări de securitate, putem importa template-uri şi putem
aplica setări suplimentare, iar apoi putem compara setările sistemului cu template-ul
creat în baza de date. Comparaţia este non-distructivă, adică sunt raportate doar
diferenţele între starea actuală a sistemului şi template-ul ales. De asemenea, putem
aplica setările respective asupra sistemului curent.
SECEDIT este un utilitar linie de comandă cu ajutorul căruia putem automatiza
operaţiile de aplicare ale template-urilor folosind script-uri.
28
Parametrii programului permit analiza, configurarea, importul, exportul,
validarea sau rollback-ul setărilor de securitate aplicate sistemelor.
Aplicând template-uri de securitate asupra sistemelor obţinem un nivel de
securitate de bază peste care putem clădi suplimentar.
Securizarea serverelor Windows de infrastructură

Serverele de infrastructură sunt cele care asigură servicii de reţea de bază, fără de
care nu ar fi posibilă funcţionarea reţelei. Exemple de astfel de servere şi servicii sunt
serverele de WINS, DNS, DHCP, Domain Controller etc.
Un bun punct de start este de a aplica acestor servere template-ul Member Server
Baseline Policy din Windows Server 2003 Security Guide.
WINS, DHCP şi DNS

Serverele WINS realizează rezoluţia de nume NetBIOS la adrese de IP şi sunt
susceptibile la atacuri de tip Denial of Service (DoS) şi spoofing. Importanţa acestor
servere a scăzut în ultima perioadă datorită reducerii numărului de clienţi downlevel.
Pentru securizarea lor, trebuie să ne asigurăm că sunt aplicate patch-urile, că avem
redundanţă (servere secundare) şi că lista corectă de servere WINS este pasată ca
parametru la DHCP.
Serverele DHCP asignează dinamic adrese de IP maşinilor din reţea. Dacă aceste
servere nu sunt disponibile perioade importante de timp, este pusă în pericol
comunicaţia de TCP/IP în reţea deoarece staţiile nu mai pot închiria adrese de IP.
Pentru protecţie, trebuie să ne asigurăm ca sunt la zi cu patch-urile, putem activa
DHCP logging ca să vedem ce staţii închiriază adrese şi folosim regula 80/20 pentru
ca să putem asigna adrese clienţilor folosind un server din subreţeaua adiacentă.
Serverele DNS fac rezoluţia de nume FQDN la adrese de IP. DNS este un
serviciu critic în reţelele cu Active Directory, deoarece este folosit ca prima metodă
de rezoluţie de nume. Câteva lucruri pe care le putem face pentru a asigura securitatea
DNS sunt: folosirea de zone Active Directory Integrated ce asigură protecţia
împotriva spoofing-ului, replicare multi-master. Configurarea serviciilor DNS pentru
a permite doar Secure Dynamic Update (protecţie împotriva poisoning). Limitarea
transferurilor de zonă către alte servere DNS pentru a preveni dezvăluirea
informaţiilor despre serverele şi staţiile din reţea unor posibili atacatori.
Domain Controller
Domain Controllerele sunt o categorie specială de servere de infrastructură.
Acestea conţin informaţii despre conturile utilizator şi calculatoarele din reţea,
politicile aplicate şi oferă servicii de autentificare pentru clienţii din reţea. Active
Directory poate fi privit ca sistemul de management al securităţii în întreg domeniul.
Din acest motiv securizarea serverelor Domain Controller este critică. Acestea
sunt susceptibile la atacuri de tip Denial of Service sau acces neautorizat la
informaţiile de directory. Dacă un atacator reuşeşte să capete controlul asupra unui
Domain Controller, atunci securitatea întregii reţele este compromisă.
29
Securitatea fizică este prima măsură ce trebuie luată. Apoi trebuie aplicate patch-
urile de securitate la zi. Urmează aplicarea unor template-uri de securitate speciale
pentru Domain Controllere, recomandat fiind HiSecDC.
Este recomandat ca utilizatorii din domeniu să aibă privilegii limitate asupra
serverelor Domain Controller. De exemplu, doar grupul Administrators sa aibă
permisiuni administrative (tabelul de mai jos). Nu se recomandă utilizarea grupului
Power Users.
Tabelul 1 – Restrângerea privilegiilor utilizatorilor pentru servere Domain Controller

Privilegii Cine le deţine
Acces this computer from network Elimină Everyone
Allow log on locally Doar Administrators
Allow log on through Terminal Services Doar Administrators
Add workstations to domain Doar Administrators
Change system time Doar Administrators
Load and Unload device drivers Doar Administrators
Restore files and directories Doar Administrators
Shutdown the system Doar Administrators
Putem folosi de asemenea Group Policy pentru a seta parametrii de start ai

serviciilor ce rulează pe Domain Controllere şi de a dezactiva serviciile inutile. În
reţele medii sau mari, nu este recomandată utilizarea serverelor Domain Controller
pentru alte servicii, de exemplu de fişiere şi imprimare; recomandăm ca acestea să fie
dezactivate.
Securizarea serverelor de fişiere şi imprimante

Serverele de fişire şi imprimante nu diferă foarte mult de alte servere membru
din domeniu, exceptând faptul că folosesc intensiv comunicaţii SMB. O altă
particularitate este că sunt accesate frecvent de un număr mare de clienţi şi
performanţa poate deveni critică.
Din punct de vedere al politicilor de securitate este recomandată aplicarea
template-ului pentru servere membru, completat cu politicile incrementale pentru
servere de fişiere şi imprimante din Windows Server 2003 Security Guide. Acestea
configurează politica de audit, permisiunile utilizatorilor şi setări adiţionale de
securitate.
Serverele de imprimantă rulează în plus serviciul de spooler. Există un template
separat care reflectă acest lucru. Ambele template-uri dezactivează serviciile de DFS
şi FRS.
O altă practică bună este redenumirea contului local Administrator şi utilizarea
de parole puternice.
30
Securizarea serverelor bastion
Serverele bastion sunt amplasate în zona publică a reţelei şi oferă servicii
specifice de reţea: DNS, SMTP (inbound sau relay, cu filtrare de conţinut, antivirus),
FTP, servicii Web, NNTP, servere de VPN sau RRAS precum şi sisteme de intrusion
detection.
Toate aceste servere necesită o securizare agresivă. Fiind situate în zona publică,
nivelul de securitate trebuie să fie foarte ridicat şi nu se pot folosi mecanisme de tip
Group Policy. De obicei, aceste servere nu fac parte din domeniul Active Directory.
Serverele bastion nu oferă servicii de reţea cum ar fi cele de fişiere şi tipărire.
Atenţie la suprafaţa de atac

Reducerea suprafeţei de atac este cel mai important criteriu la serverele bastion,
serviciile de reţea oferite pe interfaţa publică fiind strict securizate.
Pentru securizarea acestor servere se aplică patch-urile manual, pentru că nu ne
putem permite să implementăm un sistem automat cum ar fi Windows Update. Acesta
ar putea fi exploatat prin injectarea de patch-uri false. Apoi se aplică, tot manual,
template-ul de tip High-Security Member Server.
Închideţi serviciile nefolosite

Trebuie dezactivate toate serviciile care nu sunt necesare. Cînd avem dubii,
atunci mai bine dezactivăm serviciul.
În mod special trebuie dezactivate servicii cum ar fi:
• Automatic Updates
• BITS - Background Intelligent Transfer Service
• Browser şi Server
• DHCP Client
• Performance Logs and Alerts
• Remote Registry
• TCP/IP NetBIOS Helper
• Windows Installer
• serviciile de RRAS şi Terminal Services (dacă nu sunt folosite)
Conturi şi login
Dreptul de Log on Locally trebuie permis doar grupului local Administrators. De
asemenea, trebuie interzis accesul din reţea pentru Anonymous,
BUILTIN\Administrators, Support, Guest sau pentru Service Accounts folosite de
către anumite servicii care nu sunt parte a sistemului de operare.
O practică bună, menţionată şi anterior, este redenumirea conturilor de
Administrator şi Guest şi folosirea de parole puternice.
31
Protocoale
Pe interfaţa externă trebuie dezactivate protocoalele care nu sunt necesare şi în
special SMB şi NBT. Dezactivaţi clientul pentru Microsoft Networks and Printer
Sharing la proprietăţile conexiunii de reţea.
Pentru securitate suplimentară se pot folosi filtre IPSec pentru a bloca tot traficul
cu excepţia celui necesar pentru serviciile de reţea oferite de serverul bastion.
Securizarea Internet Information Services

Internet Information Services 6.0 din Windows Server 2003 a fost reproiectat de
la zero pentru a creşte nivelul de securitate oferit aplicaţiilor Web. Toate
funcţionalităţile au fost reproiectate pentru securitate, iar codul sursă a fost supus unei
revizii atente pentru a identifica vulnerabilităţi tipice, cum ar fi buffer overflow.
Accentul a fost pus pe reducerea suprafeţei de atac. Serviciile Web sunt oprite
implicit la majoritatea versiunilor de Windows Server 2003 (cu excepţia Web
Edition). Serviciile Web pot fi dezactivate cu ajutorul politicilor. În momentul în care
IIS este activat, deserveşte doar pagini statice HTML. Pentru a instala aplicaţii Web,
trebuie pornite serviciile corespunzătoare: WebDAV, ASP sau ASP.NET, FrontPage
Server Extensions, activarea execuţiei de conţinut dinamic, Internet Data Connector
etc.
Nucleul HTTP.SYS
Permisiunile de execuţie ale aplicaţiilor au fost reduse. HTTP.SYS rulează cu
privilegiile LocalSystem iar procesele aplicaţiilor rulează cu privilegiile
NetworkService. Aplicaţiile sunt sandboxed; nici una din cererile HTTP nu poate
apela aplicaţii linie de comandă, utilizatorii anonymous nu pot avea acces Write, iar
utilizatorii FTP sunt limitaţi la directorul lor de Home.
HTTP.SYS are o componentă de kernel care face procesarea cererilor şi o
componentă user care controlează cererile. Prin izolarea parser-ului de handler se
obţine un nivel de securitate mai bun. Funcţionalităţile de tip URLScan au fost
înglobate în IIS pentru analiza tuturor cererilor înainte de a fi procesate. Astfel sunt
identificate cererile malformate, acestea fiind ignorate din start, neajungând sa fie
procesate.
Ca o paranteză, site-ul Microsoft.com nu foloseşte un firewall, ci serverele
Windows 2003 sunt conectate direct la Internet şi se foloseşte URLScan pentru a
arunca cererile malformate. O statistică arată ca acest gen de cereri constau în 25%
din trafic, acestea neajungînd însă să fie procesate, optimizând astfel funcţionarea
serverelor.
Application pools
Internet Information Services 6.0 introduce conceptul de Application Pools
pentru izolarea proceselor pe aplicaţii Web diferite găzduite cu acelaşi server.
32
Permisiunile pentru site-uri de Web şi setările pentru Application Pools
Application Pools izolează procesele sub care sunt rulate aplicaţiile Web,
permiţând configurarea procentului de CPU utilizat de procese. Pentru a optimiza
funcţionarea proceselor pentru aplicaţiile Web, sunt incluse facilităţi cum ar fi
restartarea proceselor: după perioadă de timp, după un număr de cereri sau la intervale
definite. De asemenea, se poate configura memoria maxim ocupată de aceste procese
(figura de mai sus). Aceste setări sunt disponibile pentru fiecare Application Pool în
parte.
Autentificare şi autorizare
Asigurarea securităţii accesului la o resursă implică două aspecte: autentificare
pentru identificarea fără echivoc a persoanei care accesează resursa şi autorizare,
adică verificarea permisiunilor de acces (folosind ACL-uri, Access Control Lists).
Aceste două operaţii au loc înainte de a fi permis accesul la resursa în cauză.
Autentificare
Metodele de autentificare a accesului folosite de IIS 6.0 includ: Anonymous,
Basic, Digest, Passport şi Windows (integrată cu Kerberos versiunea 5).
33
Metodele de autentificare pentru site-urile Web găzduite cu IIS 6.0
Accesul Anonymous este şi el o formă de autentificare pentru că, deşi identitatea

persoanei care face accesul este generică, totuşi permisiunile de acces la resurse sunt
ale unui cont special creat în acest scop: IUSR_numeserver.
Autorizare
Internet Information Services foloseşte 2 tipuri de permisiuni de acces: Web şi
NTFS pentru a controla accesul la conţinutul site-urilor de Web. Permisiunile Web
restricţionează accesul la un întreg site şi sunt configurate la proprietăţile site-ului,
caseta permisiuni de execuţie cu opţiunile: None, Scripts only, Scripts and
executables. Mai sunt disponibile setările: Script source access, Read, Write,
Directory Browsing, Log visits, Index this resource.
Permisiunile NTFS sunt configurate pe directoarele şi fişierele care intră în
componenţa fiecărui site, asigurând un nivel suplimentar de securitate. Astfel pot fi
evitate atacurile transversale asupra site-urilor sau atacuri folosind componente
cunoscute, aflate în locaţii predefinite. O bună practică este aplicarea permisiunii
Deny Write pentru toate grupurile care nu ar trebui să aibă acces (inclusiv
anonymous) şi eliminarea permisiunii de Execute pe fişierele care nu sunt
executabile.
Factorul uman din nou

Toate măsurile de securitate descrise mai sus pot fi însă negate de implementări
proaste sau de aplicaţii Web care nu folosesc facilităţile de securitate descrise mai sus,
34
sau necesită dezactivarea lor pentru a putea funcţiona. Aceste aplicaţii sunt de obicei
realizate cu ignorarea practicilor de codare pentru aplicaţii sigure.
Pentru dezvoltarea aplicaţiilor securizate de tip Web (ASP.NET) şi nu numai,
este recomandată cartea Writing Secure Code apărută la Microsoft Press.
Şi bineînţeles, dezvoltatorii de aplicaţii Web ar trebui să utilizeze sistemul de
securitate oferit de IIS 6.0 pentru autentificare şi autorizarea accesului la
componentele aplicaţiilor. Folosind acest model de securitate, IIS face autentificarea
şi pasează un token de securitate la subsistemul ASP.NET unde se poate face
verificarea accesului.
Asigurarea perimetrului cu maşini firewall

Un caz particular de server bastion îl reprezintă firewall-urile. Acestea oferă
securizarea traficului de reţea dinspre şi înspre reţeaua internă a companiei.
Funcţii Internet Security and Acceleration Server

Toate setările prezentate mai sus pentru servere bastion se aplică şi la instalarea
de bază a sistemului de operare pentru firewall. Microsoft ISA Server oferă însă o
serie de funcţionalităţi suplimentare:
• Filtrare la nivel de packet, circuit şi aplicaţie. ISA Server posedă filtre pentru
protocoalele de aplicaţie standard
• Filtrarea pachetelor cu păstrarea stării conexiunii (stateful inspection)
• Suportul integrat pentru Virtual Private Network (VPN). Configurarea
conexiunilor cu ajutorul asistenţilor wizard (mod transport sau tunel)
• Mecanisme de intrusion detection integrate pentru scenarii tipice
• Filtre de aplicaţie inteligente
• Transparent pentru clienţii de reţea atunci când se foloseşte NAT
• Autentificarea clienţilor folosind toate metodele suportate şi de IIS
• Publicare securizată a serverelor
• Securizarea traficului cu Secure Sockets Layer (SSL), permiţând eliberarea
serverelor de Web publicate de încărcarea cauzată de conexiunile SSL
Mai mult...
ISA Server Feature Pack 1, care se poate descărca gratuit de pe site-ul Microsoft
şi instala peste ISA Server 2000, conţine în plus:
• Filtru avansat de SMTP
• Filtru pentru Exchange RPC (RPC encryption şi Outbound RPC)
• URLScan 2.5 pentru ISA Server
• Autentificare cu RSA SecurID
• Delegare pentru autentificarea basic
• Wizard pentru publicarea Outlook Web Access
• Wizard de configurare a filtrelor RPC
35
Scenarii de utilizare
Putem folosi un firewall în mai multe roluri:
• Firewall simplu de perimetru pentru protecţia reţelei interne
• Controlul accesului utilizatorilor către Internet
• Server de VPN - atît client la reţea pentru accesul utilizatorilor la distanţă cât şi
reţea la reţea pentru conectarea altor reţele la distanţă
• Securizarea perimetrului reţelei cu zonă demilitarizată (DMZ)
• Accelerator SSL pentru site-urile de web publicate (de exemplu Outlook Web
Access)
• Proxy/cache în configuraţie forward sau reverse
Serverele de acces la distanţă RRAS

Serverele de Routing & Remote Access (RRAS) asigură accesul la reţea pentru
utilizatorii de la distanţă, pot oferi servicii de tip VPN precum şi alte tipuri de servicii
de securitate.
Funcţii şi protocoale
RRAS combină serviciile de routare IP şi de dial-up/VPN. Pe partea de routare,
RRAS suportă static, RIP v1 şi v2, OSPF, asignarea dinamică a adreselor de IP la
clienţi VPN, conexiuni demand-dial către locaţii la distanţă. Ca server de VPN sunt
oferite protocoalele PPTP – suportat doar de clienţii Windows şi folosit pentru
compatibilitate cu sistemele de operare mai vechi - şi L2TP cu IPSec care este
standardul de facto pentru VPN pe Internet.
RRAS poate funcţiona ca şi client RADIUS în conjuncţie cu un server RADIUS
pentru autentificarea accesului clienţilor la distanţă. Implementarea de server
RADIUS din Windows Server 2003 poartă numele de Internet Authentication
Services (IAS), poate folosi Active Directory pentru autentificarea utilizatorilor şi
suportă EAP (Extensible Authentication Protocol) şi politici de acces.
Metodele de autentificare folosite includ:
• PAP – trimite credenţialele în cleartext şi nu este recomandat a fi folosit.
• CHAP – foloseşte MD5 pentru a genera un hash. Necesită stocarea parolei cu
criptare reversibilă. Nu este recomandat.
• MS-CHAP – este o implementare proprietară Microsoft şi are slăbiciuni cunoscute
ale protocolului. Nu este recomandat.
• MS-CHAP v2 – versiune îmbunătăţită de MS-CHAP, foarte utilizat de sistemele
Windows şi cu suport criptografic mai bun decât protocoalele anterioare. Este
recomandată atunci când nu poate fi folosit EAP-TLS. Este suportat de clienţii
care rulează sistem de operare Windows 98 Second Edition sau mai nou.
36
• EAP – Extensible Authentication Protocol este, aşa cum îi spune şi numele,
extensibil. Suportă mai multe tipuri de autentificare:
o EAP-MD5 de tip challenge-response. Nu este foarte puternic.
o EAP-TLS. Este bazat pe certificate, necesită apartenenţa la domeniu a staţiei
şi serverului şi este proiectat pentru a folosi smartcard-uri pentru stocarea
certificatelor.
o EAP-RADIUS este modul de lucru proxy, în care celelalte tipuri de
autentificare EAP sunt redirectate către un server RADIUS.
• PEAP este o metodă de autentificare ce protejează negocierea de tip EAP,
încriptând conţinutul cu TLS. Este cel mai frecvent folosită în reţelele wireless
802.11. PEAP poate fi folosit în conjuncţie cu EAP-MS-CHAP-v2, care adaugă
autentificare mutuală. Sau EAP-TLS, care este cea mai puternică şi necesită o
infrastructură de chei publice PKI.
Metodele de autentificare folosite pot fi configurate la proprietăţile serverului
RRAS în consola MMC de administrare.
Metodele de autentificare suportate de RRAS - fereastră accesibilă din Microsoft

Management Console (MMC)
Securizare
Pentru a securiza serverele de RRAS trebuie urmaţi trei paşi: hardening la server,
hardening la protocoale şi utilizarea politicilor de remote access.
Hardening
Pentru hardening-ul serverului se recomandă aplicarea unui template de
securitate. Poate fi cel pentru servere standalone (folosită şi la bastion, atenţie însă la
37
aplicarea patch-urilor, acestea trebuie instalate manual) sau cel pentru Enterprise
Member Server (din Windows Server 2003 Security Guide). Redenumiţi conturile
locale de Administrator şi Guest şi folosiţi parole puternice.
Pentru hardening-ul protocoalelor se recomandă utilizarea doar a acelor

protocoale care oferă un nivel bun de securitate. De exemplu, pentru VPN se
recomandă utilizarea EAP-TLS pentru autentificare şi L2TP cu IPSec pentru
securizarea comunicaţiei.
Politici de acces
Politicile de acces oferă controlul centralizat al accesului pentru serviciile de
RRAS chiar şi atunci cînd se folosesc servere multiple. Astfel se pot controla
metodele de autentificare folosite, nivelele de criptare, perioadele de acces sau alte
atribute specifice diverselor tipuri de clienţi.
Politicile de RRAS conţin următoarele elemente:
• condiţia care este verificată la aplicarea politicii
• permisiunea (Alow sau Deny)
• profilul utilizatorului (constrîngeri de timp, setări de IP, setări de multilink,
cerinţe specifice de autentificare şi încriptare care trebuie respectate, cu condiţia să
fie configurate pe serverul la care se conectează).
Carantină
Serviciile de RRAS din Windows Server 2003 oferă şi facilitatea de carantină
prin care se verifică îndeplinirea anumitor cerinţe de securitate pe staţia client, înainte
de a i se permite accesul în reţea. Procesul se desfăşoară astfel:
1. Clientul se conectează la serverul de RRAS folosind o conexiune dial-up sau VPN
2. Clientul se autentifică folosind una din metodele de autentificare descrise mai sus
şi care este suportată atât de client cât şi de serverul de RRAS, în ordine începând
cu cea mai puternică.
3. Clientul obţine acces limitat la reţea
4. Pe client este rulat un script de carantină ce poate conţine diverse verificări (de
exemplu, că antivirusul este instalat şi pornit pe staţie şi are lista cea mai recentă
de semnături).
5. Dacă script-ul se termină cu succes, clientul primeşte acces complet la reţea
6. Dacă scriptul eşuează, conexiunea poate fi întreruptă sau clientul capătă acces
restricţionat (de exemplu, la un site de unde să instaleze antivirusul).
Pentru a putea folosi această facilitate, serverul trebuie să ruleze Windows Server
2003 şi serviciile de RRAS precum şi un listener care recepţionează mesajele
transmise de scriptul care rulează pe client (de exemplu, rqs.exe din Resource Kit sau
poate fi unul adaptat). Clientul trebuie să ruleze Windows 98 Second Edition sau mai
nou şi să aibă instalat Connection Manager configurat cu ajutorul Connection
Manager Admin Kit (CMAK) pentru a rula script-ul de verificare de politică.
38
Securizarea serverelor Exchange
Exchange Server 2000 şi Exchange Server 2003 includ o serie de facilităţi ce
permit securizarea mesajelor de e-mail.
Vom începe cu prezentarea facilităţilor comune de securitate specificând acolo
unde facilităţile de securitate sunt prezente doar la Exchange 2003.
Roluri Exchange Server. Securizare

Exchange Server poate avea mai multe roluri în cadrul unei reţele:
• Server unic – care are toate rolurile: server de mailbox-uri, public foldere,
bridgehead etc.
• Front-end, Back-end – această configuraţie permite separarea serverelor care
găzduiesc mailbox-urile şi public folderele (back-end) de serverele de protocoale
care acceptă conexiunile clienţilor (front-end) pentru a obţine scalabilitate şi un
nivel sporit de securitate.
• Bridgehead – este serverul care deţine conectorii de mesagerie către exteriorul
reţelei şi permite filtrarea mesajelor care circulă în şi dinspre exterior. Aici putem
instala soluţii de antivirus, antispam, content screening, security screning.
• Public folder server – găzduieşte folderele publice la care au acces mai mulţi
utilizatori din reţea. Poate fi folosit la realizarea de soluţii de management de
documente şi flux de lucru.
• Application hosting – servere pe care rulează aplicaţii specializate pentru
Exchange.
La fel ca şi la alte servere, securitatea Exchange depinde de securitatea
sistemului de operare pe care rulează Exchange unde vom aplica măsuri de securitate
asemănătoare cu cele descrise până acum. Există template-uri de securitate specifice
pentru serverele care rulează Exchange ce permit execuţia pentru serviciile
componente.
Exchange depinde foarte mult de infrastructura de DNS şi infrastructura Active
Directory pentru a putea funcţiona corect, acestea fiind cerinţe preliminare la instalare
şi trebuie să fie bine securizate.
Ca măsuri elementare de securitate, serverele Exchange nu trebuie să pemită
relay-ul de e-mail decât de la anumite adrese bine cunoscute sau de la clienţii interni.
Trebuie dezactivată opţiunea SMTP AUTH care este predispusă la atacuri brute force.
Serverele bridgehead (cele care găzduiesc conectorii către exterior) sunt locaţia
cea mai potrivită pentru instalarea de soluţii de antivirus şi antispam pentru a evita
pătrunderea conţinutului potenţial periculos sau deranjant în sistemul de mesagerie
intern. Deoarece soluţiile de tip antivirus sunt mai bine cunoscute, vom insista asupra
soluţiilor de limitare a spam-ului. Un astfel de sistem conţine o serie de filtre care
analizează mesajele după diverse metode cum ar fi verificarea sursei mesajului,
analiza headerului, analiză după cuvinte cheie, analiză euristică, filtrare cu algoritm
bayesian, sau filtre colaborative care comunică cu un server pentru a identifica
39
mesajele raportate drept spam. Microsoft va lansa pe piaţă în 2004 sistemul Intelligent
Message Filter care va folosi tehnologia SmartScreen dezvoltată de Microsoft
Research (şi care e folosită şi în Outlook 2003). Intelligent Message Filter va putea fi
folosit în conjuncţie cu Exchange Server 2003.
Securizarea serverului conform rolului
Securizarea serverelor de mesagerie depinde de scenariul de instalare, după cum
este detaliat mai jos.
Un singur server Exchange în spatele firewall-ului

Este scenariul cel mai simplu şi mai uşor de securizat. Se publică serverul
Exchange cu ajutorul facilităţii de Reverse Proxy (publicare) din ISA Server. Nu este
în general recomandată conectarea serverului Exchange direct la Internet. ISA Server
2000 asigură o securitate foarte bună cu ajutorul filtrelor de SMTP. De exemplu,
ataşamentele executabile pot fi eliminate direct de pe firewall. De asemenea, pot fi
eliminate atacurile de tip Denial-of-Service sau buffer overflow.
Scenariul cu DMZ , Front-end în zona demilitarizată, Back-end în interiorul

reţelei
În această configuraţie trebuie securizate foarte bine serverele Front-end cu
măsurile folosite la serverele bastion şi serverele de Web. Este în continuare
recomandată publicarea acestora cu ajutorul lui ISA Server. Problema cea mai mare
este însă securizarea traficului între serverele Front-End şi Back-end. Răspunsul
simplu este: folosim IPSec (SSL nu este suportat pentru comunicaţie Frontend-
Backend). Totuşi, problema este ceva mai complicată pentru că traficul de
comunicaţie traversează un firewall. Se poate face autentificarea şi încriptarea
comunicaţiei folosind IPSec. Trebuie însă permise mai multe categorii de trafic: RPC,
LDAP etc. Pentru mai multe detalii consultaţi articolul KB 280132 – Exchange 2000
connectivity through firewalls. Este o configuraţie dificil de securizat şi folosită în
scenarii de hosting, unde clienţii sunt externi.
Front-End şi Back-end în interiorul reţelei

Este de fapt similar cu primul scenariu, doar că sunt folosite mai multe servere
Exchange, toate instalate în reţeaua internă. Accesul clienţilor se face foarte simplu
din interiorul reţelei. Pentru clienţii care accesează serverul din exterior se pune
problema securizării comunicaţiei, aceasta putând fi rezolvată în mai multe moduri:
pentru clienţii MAPI se foloseşte RPC-over-HTTP, pentru ceilalţi clienţi metoda
preferată este SSL. Vom discuta scenariile de acces ale clienţilor în continuare.
Securizarea clienţilor
RPC-over-HTTP
Exchange 2003 oferă facilitatea RPC-over-HTTP care poate fi folosită în
conjuncţie cu clienţii MAPI de tip Outlook 2003 şi permite accesul securizat din
exteriorul reţelei peste firewall încapsulând comunicaţia RPC în protocolul HTTP.
40
Astfel, aceşti clienţi nu mai sunt nevoiţi să se conecteze pe VPN şi lucrează ca şi cum
ar fi conectaţi local. Cerinţele software sunt Exchange 2003 instalat pe Windows
Server 2003 pentru partea de server şi Outlook 2003 pe Windows XP SP1 (plus
hotfix) pe partea de client.
Nu trebuie să ne bazăm pe criptarea slabă (mai degrabă obfuscation) oferită de
RPC, ci este recomandat să securizăm conexiunea folosind SSL.
Configurarea RPC-over-HTTP - Exchange Server
Pentru clienţii care folosesc POP3 sau IMAP se recomandă de asemenea

securizarea comunicaţiei folosind SSL.
Outlook Web Access

Utilizatorii pot folosi Outlook Web Access pentru a accesa mailbox-urile, public
folderele, Address Book etc folosind un simplu browser de Web. La Exchange 2003,
OWA oferă funcţionalităţi foarte apropiate în browser de web de cele oferite de
clientul Outlook 2003. Pentru securizarea OWA trebuie să discutăm criptarea
traficului, unde se foloseşte SSL şi metodele de autentificare.
Putem publica OWA prin intermediul ISA Server 2003. Cu Feature Pack 1
instalat, există chiar şi un wizard de publicare a serviciilor OWA. Se foloseşte
obligatoriu SSL pentru criptarea conexiunii între client şi ISA Server, acesta preluând
sarcina de SSL accelerator şi eliberînd serverul Exchange de munca de procesare.
Ca metode de autentificare putem folosi oricare din metodele suportate de
browser (basic, digest, NTLM etc). Deoarece folosim SSL, nu trebuie să ne punem
problema securităţii autentificării folosind metoda basic, unde credenţialele sunt
41
transmise în clar. Putem folosi astfel chiar şi browsere mai vechi. Pot apărea însă
probleme deoarece browserul stochează credenţialele pe durata sesiunii şi acestea pot
fi refolosite dacă uităm să închidem browserul (replay attack).
Este recomandat, dacă avem Exchange 2003, să folosim Form Based

Authentication (FBA). În acest mod de autentificare, utilizatorului îi este prezentat un
formular, credenţialele sunt trimise o singură dată spre server (conexiunea e încriptată
cu SSL). Pentru restul sesiunii, clientul primeşte un cookie, care este inutilizabil
pentru atacuri replay deoarece este valabil doar pe sesiunea curentă. Putem obţine
astfel acelaşi nivel de securitate, indiferent de browserul folosit (trebuie totuşi să
suporte cookies şi SSL).
S/MIME
Adică securizarea mesajelor de e-mail, semnături digitale şi criptarea mesajelor
folosind certificate digitale X.509 v3
Pentru o securitate foarte bună se poate folosi semnarea digitală a e-mail-urilor
pentru a garanta autenticitatea şi integritatea acestora şi se pot cripta ataşamentele
folosind S/MIME.
Pentru semnătura digitală se generează un hash al mesajului iar acesta se
încriptează folosind cheia privată a transmiţătorului. Rezultatul împreună cu cheia
publică se ataşează la e-mail. Un receptor poate folosi cheia publică a transmiţătorului
pentru a verifica faptul că acesta nu a fost modificat şi este autentic.
Pentru criptarea cu S/MIME se foloseşte o cheie simetrică. Această cheie este
apoi criptată cu cheia publică a destinatarului şi ataşată la mesaj. Destinatarul va
folosi cheia sa privată pentru a extrage cheia simetrică şi a decripta mesajul.
Cum obţinem certificatele digitale? Putem folosi certificate obţinute de la o
autoritate de certificare recunoscută internaţional atunci cînd dorim să comunicăm
securizat cu persoane din exteriorul companiei, sau putem instala un server de
certificate local (Windows 2000 Server sau Windows Server 2003) pentru a utiliza
certificate doar în cadrul organizaţiei.
Clienţii de e-mail care suportă securizarea mesajelor cu S/MIME sunt: Outlook
98, Outlook 2000, Outlook XP, Outlook 2003, Outlook 8.1 for Macintosh, Outlook
Express şi Netscape Mail.
Utilizarea IPSec pentru securizarea comunicaţiei

IPSec este o extensie la TCP/IP care permite securizarea comunicaţiei la nivelul
transport, în mod transparent faţă de aplicaţii. IPSec furnizează autentificare şi/sau
criptare.
Arhitectură
IPSec este compus dintr-un set de protocoale pentru autentificarea pachetelor
(AH), criptarea şi/sau autentificarea pachetelor (ESP) şi mecanisme pentru stabilirea
parametrilor conexiunilor (SA-Security Associations) folosind IKE.
42
IPSec foloseşte un algoritm pentru schimbarea cheilor între părţi, numit Internet
Key Exchange (IKE), care permite calculatoarelor să negocieze o cheie de sesiune în
mod securizat, folosind protocoalele ISAKMP pentru crearea de Security
Associations şi OAKLEY bazat pe algoritmul Diffie-Hellman pentru schimbarea
cheilor între cele două părţi. IKE se poate folosi în conjuncţie cu Kerberos, certificate
X.509v3 sau chei preshared.
Authentication Header (AH) este ataşat fiecărei datagrame şi conţine semnătura
sub formă de hash HMAC cu MD5 sau HMAC cu SHA-1.
Encapsulated Security Payload (ESP) criptează conţinutul pachetelor în două
moduri: transport (protejează doar conţinutul pachetului, nu şi header-ul) sau tunel
(întreg pachetul este criptat). ESP foloseşte de asemenea hash-uri HMAC cu MD5 sau
HMAC cu SHA-1 pentru autentificare şi DES-CBC pentru criptare.
Pentru a securiza comunicaţia în reţea cu IPSec între calculatoarele Windows
folosim o colecţie de reguli, politici şi filtre pentru a permite în mod selectiv doar
comunicaţia pentru anumite protocoale.
Politicile de IPSec pot fi create şi aplicate cu Group Policy pentru calculatoarele
din domeniu. Pentru calculatoare care nu sunt în domeniu, de exemplu serverele
bastion, politicile pot fi aplicate cu script-uri linie de comandă.
Regulile de bază pentru securizarea traficului cu IPSec

• Crearea unei hărţi a traficului în reţea ce include traficul care trebuie permis sau
blocat, punctele sursă destinaţie şi informaţiile despre protocoalele folosite.
• Se crează filtre care corespund traficului de reţea identificat anterior
Câteva recomandări
• Windows Server 2003 include un filtru generic block all, care face exact ce îi
spune numele. Într-o reţea uzuală trebuie însă să permitem cel puţin traficul de
Kerberos, LDAP şi DNS. Plus eventual alte protocoale: DHCP, WINS, RPC,
HTTP etc.
• Fiţi pregătiţi pentru nefuncţionarea comunicaţiei în reţea după aplicarea filtrelor
IPSec. De obicei, într-o reţea sunt foarte multe protocoale şi porturi care trebuie
securizate.
• IPSec nu face diferenţa între traficul generat de aplicaţii diferite, dacă acestea
folosesc acelaşi port.
• Folosiţi IPSec pentru a securiza traficul care parcurge reţele publice, sau segmente
cu potenţial de interceptare a comunicaţiei. Nu este în general util a securiza întreg
traficul în interiorul întregii reţele a companiei, decât pentru reţele cu grad mare de
securitate.
43
Securizarea staţiilor de lucru
Securizarea staţiilor de lucru trebuie să se bazeze pe o analiză detaliată a
riscurilor, deoarece trebuie să avem o imagine completă a resurselor pe care le
accesează utilizatorii, a informaţiilor care sunt stocate fie şi temporar pe staţiile de
lucru şi al gradului de confidenţialitate al acestora, a aplicaţiilor folosite de utilizatori
şi a mediului de lucru în care sunt utilizate calculatoarele (gradul de securitate fizică).
Abordare
Oricâte investiţii de securitate s-ar face în celelalte domenii (servere, perimetru,
autentificare, securizarea comunicaţiei etc) acestea pot fi cu uşurinţă negate de o
securitate slabă pentru staţiile de lucru. Să nu uităm că la staţiile de lucru se află
utilizatorii şi nu trebuie să trecem cu vederea utilizatorii potenţial rău intenţionaţi.
Conform studiilor, majoritatea acceselor neautorizate la informaţii au loc din interior.
Din acest punct de vedere, securizarea staţiilor de lucru reprezintă prima barieră
împotriva atacurilor.
Abordarea cea mai bună pentru securizarea staţiilor de lucru este una bazată pe
analiza riscurilor, pe scurt “Threat Modeling”. Pentru asta trebuie să ne întrebăm două
lucruri:
• Mai întâi trebuie să examinăm care sunt ameninţările posibile. Acestea pot consta
în infecţia cu viruşi/viermi/troieni, angajaţi rău intenţionaţi, scurgeri de informaţii,
pierderi de date din cauza defecţiunilor hardware sau software sau erorilor umane
etc. O bună sursă de informaţii este ghidul Threats and Countermeasures, în care
sunt detaliate posibile ameninţări de securitate şi contramăsurile adecvate pentru
minimizarea sau îndepărtarea lor.
• A doua perspectivă este oferită de mediul de lucru existent şi inventarierea
resurselor care trebuie protejate. Trebuie luate în considerare structura reţelei,
securitatea fizică, procedurile operaţionale precum şi numărul de staţii de lucru,
sistemele de operare şi aplicaţiile folosite, categoriile de utilizatori, informaţiile
care sunt accesate de pe staţii, informaţiile care sunt stocate (fie şi temporar) pe
acestea.
Planuri. Setări de securitate. Aplicare

După ce am identificat ameninţările de securitate la care ne expunem şi resursele
pe care dorim să le protejăm, vom crea planuri de măsuri de securitate pentru staţiile
de lucru. Este bine să avem un set de măsuri de securitate uniforme care să fie aplicate
tuturor staţiilor de lucru pentru a asigura un nivel de securitate de bază şi de asemenea
să aplicăm măsuri de securitate suplimentare acolo unde este nevoie. Pentru aceasta,
de un real ajutor sunt Active Directory şi Group Policy. De fapt, aproape toate setările
de securitate ce se pot aplica pe staţiile de lucru, pot fi aplicate cu Group Policy, după
44
cum vom vedea în continuare. Din acest motiv, este necesar un design bun al
infrastructurii de Active Directory, atât din punct de vedere fizic cât şi logic, pentru a
putea aplica cu uşurinţă Group Policy.
Setările ce pot fi aplicate cu ajutorul Group Policy sunt descrise în detaliu în
Windows XP Security Guide. În continuare vom discuta câteva dintre acestea, fără a
avea pretenţia de a le acoperi pe toate. Putem împărţi setările în următoarele categorii:
• Accounts – politica de parole să nu permită parole vide, atât pentru conturile de
domeniu cât şi pentru cele locale, redenumirea conturilor Administrator şi Guest.
• Devices – permisiunea de undock fără a face logon (pentru laptop-uri),
permisiunile de format şi eject la mediile removable, restricţia instalării şi
configurării de drivere de imprimantă, restricţionarea accesului la CD sau floppy
pentru utilizatorii logaţi local, restricţionarea instalării de drivere nesemnate
digital.
• Interactive logon – neafişarea ultimului utilizator logat, solicitarea secvenţei Ctrl-
Alt-Del, banner-ul de log-on, numărul de credenţiale stocate local (permite logon
fără a fi conectat în reţea – necesar pentru laptop-uri), atenţionare înainte de
expirarea parolei, autentificare în domeniu la deblocarea staţiei, comportamentul la
extragerea smartcard-ului (recomandat blocarea staţiei).
• Microsoft network client – semnarea digitală a mesajelor (SMB Signing, if server
agrees), dezactivarea transmiterii parolei în clar către servere SMB third party.
• Microsoft network server - semnarea digitală a mesajelor (SMB Signing, always)
ceea ce va preveni utilizarea clienţilor mai vechi de Windows 2000 pe post de
servere de fişiere, deconectarea clienţilor la expirarea orelor de logon.
• Network access – restricţionarea enumerării Anonymous pentru conturile SAM şi
enumerarea share-urilor, restricţionarea stocării locale a credenţialelor,
restricţionarea accesului Anonymous la Named Pipes.
• Network security – restricţionarea stocării hash-urilor LANManager pentru parole,
forţare logoff la expirarea orelor de logon, nivelul de autentificare LANManager
(preferat NTLMv2).
• Recovery console – restricţionarea accesului administrativ la boot în Recovery
Console.
• Applications and services – setările de securitate pentru zonele Internet Explorer,
dezactivarea Desktop Sharing la NetMeeting şi a Remote Assistance,
restricţionarea planificării de task-uri, restricţionarea redirectării discurilor şi
încriptarea comunicaţiei la Terminal Services, restricţionarea Windows Update sau
redirectarea către un server local SUS, restricţionarea Windows Messenger,
folosirea Software Restriction Policy pentru a permite rularea doar a anumitor
aplicaţii, dezactivarea serviciilor care nu sunt folosite: Alerter, ClipBook, FTP,
IISAdmin, Messenger, Telnet, W3SVC, BITS, Fax service, NetDDE, Remote
Registry.
45
La acestea se adaugă permisiunile NTFS (remove Everyone), restricţionarea
accesului la mediile de stocare detaşabile (dischete, memorii USB, CD-ROM),
restricţiile de transfer prin e-mail şi criptarea cu EFS.
Recomandare
Dacă mai este nevoie să spunem, sistemul de operare recomandat este Windows
XP sau în cel mai rău caz Windows 2000 cu ultimele Service Pack-uri şi fix-uri
precum şi cu un template de măsuri de securitate de bază aplicat de la instalare.
Nu se poate asigura un nivel de securitate de bază folosind sisteme de operare
mai vechi cum ar fi Windows 95, 98 sau Me. Aceste sisteme nu folosesc Group
Policy şi nu posedă măsuri de securitate de bază, cum ar fi securitatea accesului la
logon. Iar permisiunile de acces la resurse pot fi configurate la un nivel rudimentar
(share level versus user level). Aceste sisteme de operare au fost gândite pentru
utilizare acasă şi nu fac faţă cerinţelor de securitate impuse pentru mediul de reţea al
unei companii.
Securizarea suitei Microsoft Office

Microsoft Office a fost în mod tradiţional ţinta atacurilor cu viruşi, viermi, cai
troieni datorită setului bogat de funcţionalităţi ale suitei care puteau fi exploatate:
folosirea de cod macro, automatizarea transmiterii de e-mail-uri, rularea de
componente ActiveX etc. În versiunile noi ale suitei, Office XP şi Office 2003, au fost
introduse un set de măsuri de securitate care practic înlătură aceste probleme.
Mai există însă o componentă care nu poate fi neglijată şi anume utilizatorii. În
ultima perioadă autorii de viruşi se bazează mai mult pe social engineering pentru a
convinge utilizatorii să ruleze executabilele ataşate la e-mail-uri.
Iată câteva dintre setările disponibile:
• Securitatea codului macro
Opţiunea implicită este High, care nu permite decât rularea codului macro
semnat care a fost declarat în lista de surse de încredere. Setarea Medium permite
utilizatorului să aleagă dacă va rula codul macro. Low nu este recomandată. Office
2003 introduce o setare suplimentară: Very High Security.
• Semnături digitale
Pentru verificarea autenticităţii şi integrităţii documentelor, acestea pot fi
semnate digital folosind certificate X.509 v3. Semnăturile sunt stocate în document,
aşa că orice recipient poate verifica autenticitatea şi integritatea acestuia. Implicit la
Office 2003 este activă şi setarea de verificare a revocării certificatului.
46
Protecţia documentelor cu parolă şi semnături digitale
• Surse de încredere
O listă de certificate ale unor producători consideraţi de încredere. Lista poate fi
controlată centralizat cu Group Policy.
• Controale ActiveX
Opţiuni pentru configurarea execuţiei controalelor.
• Protecţia cu parole şi criptarea documentelor
Documentele pot fi protejate la deschidere folosind parole şi criptate folosind
diverşi algoritmi.
47
Protecţia cu parole şi criptarea documentelor. Tipuri de criptare disponibile
• Opţiuni de confidenţialitate
Office permite eliminarea informaţiilor personale la salvarea documentului
pentru a nu permite identificarea autorului.
• Information Rights Management (IRM)
Este un sistem nou introdus în Office 2003 ce permite protecţia la partajarea
accidentală de informaţii prin limitarea acţiunilor pe care recipienţii le pot face asupra
documentului. Se pot configura permisiuni care restricţionează accesul la citire,
tipărire, copierea conţinutului sau se poate configura expirarea documentului după o
anumită perioadă. Pentru a putea folosi acest sistem este necesar ca serviciile IRM să
fie instalate pe un Windows Server 2003 din reţea.
Controlul permisiunilor pentru Information Rights Management (IRM)
48
Managementul patch-urilor
Pentru a elimina riscurile de securitate datorate vulnerabilităţilor cunoscute, va
trebui să aplicăm patch-uri şi fix-uri de securitate pentru sistemele de operare şi
aplicaţii. Eliminarea vulnerabilităţilor cunoscute este de fapt prima măsură de
securitate care trebuie luată într-o reţea, deoarece aceste vulnerabilităţi vor fi primele
încercate de un atacator sau exploatate de către un vierme.
O cursă continuă cere un proces solid

În ultima perioadă a sporit numărul atacurilor de acest tip care exploatează
vulnerabilităţi cunoscute. Fereastra de timp dintre publicarea vulnerabilităţii şi a
patch-ului corespunzător şi apariţia unui atac scade din ce în ce mai mult. În mai toate
cazurile, sistemele afectate nu fuseseră actualizate, deşi exista fix-ul corespunzător.
Este deci foarte important să ne actualizăm la timp sistemele de operare şi aplicaţiile
din punct de vedere al patch-urilor şi fix-urilor de securitate.
Înainte de a da vina pe administratorii de reţea, să ne gândim că există un număr
destul de mare de patch-uri şi fix-uri care sunt publicate periodic şi care trebuie
descărcate, testate şi apoi aplicate în mod sistematic pe toate calculatoare din reţea.
Este evidentă necesitatea unui proces de Patch Management care să permită o
abordare structurată versus reacţia ad-hoc la incidente de securitate.
Acest proces de management al patch-urilor trebuie să se alăture celorlalte
procese operaţionale existente în cadrul unei companii. Patch Management se
integrează de fapt în disciplinele de Change Management şi Configuration
Management, aşa cum sunt descrise de Microsoft Operations Framework (MOF) sau
IT Infrastructure Library (ITIL).
Putem împărţi procesul de management al patch-urilor în mai multe faze: mai
întâi vom face o analiză a vulnerabilităţilor cunoscute asupra sistemelor existente
folosind, de obicei, un instrument automat şi vom inventaria patch-urile necesare
pentru aceste vulnerabilităţi. De asemenea, va trebui să testăm în condiţii de laborator
patch-urile pentru a verifica modul în care afectează funcţionarea sistemelor şi
aplicaţiilor existente. Apoi va urma procesul de instalare a patch-urilor, care pentru
reţele medii-mari trebuie să fie automatizat, şi verificarea instalării cu succes a
acestora.
Analiza vulnerabilităţilor şi inventarierea patch-urilor

Microsoft Baseline Security Analyzer (MBSA) 1.2 poate fi folosit pentru a
analiza sistemele existente şi a inventaria vulnerabilităţile descoperite pentru
sistemele de operare Windows NT 4.0, Windows 2000, Windows XP, Windows
Server 2003 precum şi a altor produse Microsoft: Internet Explorer, Windows Media
Player, IIS, SQL Server, Exchange, Microsoft Office, Microsoft Data Access
Components, Microsoft Virtual Machine, MSXML, BizTalk Server, Commerce
Server, Content Management Server şi Host Integration Server.
49
MBSA adaugă o interfaţă grafică la utilitarul linie de comandă HFNetCheck şi
foloseşte un fişier MSSECURE.XML ce poate fi downloadat de la Microsoft şi
conţine informaţii despre toate patch-urile disponibile în acel moment. Astfel se pot
crea rapoarte pentru sistemele scanate ce afişează patch-urile care nu au fost încă
instalate pe sisteme. MBSA este capabil să identifice de asemenea vulnerabilităţi
cunoscute la servicii şi aplicaţii. MBSA poate scana o singură maşină sau mai multe
folosind un rang de adrese IP sau toate calculatoarele din domeniu, cu condiţia să aibă
permisiuni administrative. MBSA poate face doar analiza sistemelor, nu şi instalarea
propriu-zisă a patch-urilor.
Systems Management Server 2003 este un produs complex pentru inventarierea
hardware-ului şi software-ului, pentru instalarea automată de software precum şi
management al sistemelor. Folosind instrumentele de inventariere de software şi un
pachet numit Software Updates Scanning Tool (bazat pe MBSA 1.2) ce poate fi
downloadat gratuit de pe site-ul Microsoft se pot analiza sistemele şi inventaria
vulnerabilităţile. SMS poate produce rapoarte privind update-urile şi Service Pack-
urile instalate, lista update-urilor disponibile ce trebuie aplicate pe fiecare calculator
etc. În plus, după cum vom vedea în continuare, SMS poate face şi instalarea patch-
urilor folosind facilităţile de distribuţie de software. SMS este foarte util pentru reţele
medii-mari.
Testarea şi instalarea patch-urilor

Cea mai simplă metodă pentru instalarea patch-urilor de securitate pentru
sistemul de operare este cea manuală folosind Windows Update. Aceasta poate fi
folosită însă doar în reţele mici de doar câteva calculatoare. Pentru reţele medii-mari,
trebuie să avem un sistem automat de instalare a patch-urilor de securitate care să
elibereze departamentul de IT de munca de rutină şi să ne asigure că patch-urile sunt
instalate sistematic pe toate calculatoarele din reţea. Microsoft oferă următoarele
opţiuni:
• Software Update Services (SUS)
Software Update Services (SUS) este un serviciu suplimentar ce se poate instala
pe Windows 2000 Server sau Windows Server 2003 şi joacă rolul de server de
Windows Update local pentru calculatoarele din reţea. Cu ajutorul lui SUS, putem
programa pentru descărcare selectivă a patch-urilor de la Microsoft şi aprobarea lor
pentru distribuţie pe calculatoarele client. Interfaţa de administrare este similară cu
cea de la Windows Update. Pentru ca staţiile să folosească serverul SUS local pentru
instalarea patch-urilor, se foloseşte Group Policy cu care se modifică setările de
update (locaţia serverului SUS, download şi instalare obligatorie, opţiunea de restart
dupa instalare, activarea serviciilor BITS pe staţii). SUS poate fi folosit doar pentru
instalarea patch-urilor pentru sistemele de operare Windows 2000, Windows XP şi
Windows Server 2003. SUS nu poate raporta instalarea patch-urilor, pentru aceasta va
trebui să rulăm din nou MBSA sau un alt instrument de analiză.
50
• Systems Management Server 2003
Produsul permite selectarea cu precizie a sistemelor pe care se face instalarea şi a
patch-urilor care trebuie instalate, folosind rezultatele analizei realizate anterior cu
opţiunea de inventariere software şi Software Updates Scanning Tool. SMS 2003
poate actualiza şi sisteme de operare mai vechi şi poate aplica patch-uri şi pentru alte
aplicaţii. În general, SMS 2003 poate distribui actualizări la orice software instalat pe
calculatoarele client, cu condiţia ca aceste actualizări să poată fi împachetate şi
distribuite cu SMS. De asemenea, se poate verifica instalarea patch-urilor folosind din
nou Software Updates Scanning Tool. În tabelul de mai jos puteţi vedea o comparaţie
între metodele de aplicare a patch-urilor prezentate aici.
Windows Update Software Update Systems Management

Services Server 2003
Sisteme de operare şi Windows 2000, Windows 2000, Toate sistemele de
aplicaţii suportate pe Windows Server 2003, Windows Server 2003, operare suportate de
clienţi Windows XP Windows XP SUS plus Windows NT
Professional, Office 4.0 şi Windows 98
(doar pe maşina locală) 2003, Office XP,
Exchange 2003, SQL
Server 2000 şi MSDE
Analiza şi Basic Nu Da
inventarierea patch-
urilor (pe staţia locală) (folosind Software
Inventory)
Controlul distribuţiei Nu e aplicabil Basic Avansat
patch-urilor şi
planificarea instalării (instalarea se face
manual)
Verificarea instalării Manual Nu Avansat
(via Control Panel) (se poate folosi MBSA

separat)
Oferta de servicii de securizare a reţelei

Puteţi crea chiar dumneavoastră un plan de măsuri pentru securizarea
infrastructurii IT a companiei. Aveţi la dispoziţie foarte multe informaţii, pe site-ul
Microsoft, în cadrul cursurilor ţinute la centrele de training sau cărţile publicate la
Microsoft Press. Există de asemenea o mulţime de resurse pe Internet legate de
securitatea IT. Dacă totuşi aveţi nevoie de ajutor, puteţi apela la:
• Microsoft Services
Microsoft Services oferă un set bogat de servicii prin intermediul unor experţi în
domeniul IT şi acoperind tot ciclul de viaţă al implementării unei soluţii. Puteţi conta
pe experienţa în proiecte, metodele şi practicile verificate ale consultanţilor Microsoft
precum şi multitudinea de soluţii oferite pentru a vă transforma viziunea privind
infrastructura dumneavoastră IT în realitate de business.
51
Microsoft Services şi partenerii certificaţi Microsoft lucrează împreună pentru a
vă oferi o gamă cuprinzătoare de servicii.
• Microsoft Certified Partners
Companii independente atestate de Microsoft care vă pot oferi un nivel ridicat de
expertiză şi suport necesare implementării de soluţii complexe bazate pe produsele şi
tehnologiile Microsoft.
Puteţi implica partenerii Microsoft şi Microsoft Services în proiectele
dumneavoastră de securizare a sistemelor IT. Microsoft a construit împreună cu
partenerii săi o ofertă de consultanţă şi servicii pentru implementarea de soluţii bazate
pe produsele şi tehnologiile Microsoft. În mod specific, pentru securizarea
infrastructurii puteţi solicita:
• Microsoft QuickStart for Security
Pentru evaluarea soluţiilor disponibile pentru securizarea reţelei. Aici puteţi
participa la seminariile de securitate organizate de Microsoft şi partenerii săi sub
formă de Security Briefings la centrele de training sau la evenimentele Microsoft. Sau
puteţi solicita întâlniri 1-la-1 cu specialiştii Microsoft sau ai partenerilor pentru a
explora soluţiile disponibile.
• Microsoft QuickPlan for Security
Constă în contracte de consultanţă şi servicii de 2-4 săptămâni, în care se face
colectarea şi analiza cerinţelor, inventarierea resurselor şi analiza riscurilor precum şi
realizarea planurilor de securitate concretizate într-un plan de implementare ce vă este
furnizat la sfârşitul contractului. Puteţi implementa acest plan de măsuri cu forţe
proprii sau puteţi apela în continuare la specialiştii partenerilor sau ai Microsoft
pentru implementare.
Concluzie
Sperăm că după parcurgerea acestui articol v-am convins că securitatea
informaţiei este un domeniu vast care necesită cunoştinţe foarte bune şi depunerea de
eforturi continue pentru a asigura un nivel de securitate adecvat pentru sistemul dvs
informatic. Nu trebuie să uităm că abordarea cea mai bună este cea pe ansamblu, prin
care evaluăm riscurile de securitate la care ne expunem şi aplicăm măsuri de
securitate proporţionale cu valoarea resurselor care trebuie protejate. Securitatea
înseamnă de fapt managementul riscului.
52
Bibliografie
1. Colectia Chip
2. Colectia Chip Special
3. WWW.Microsoft.COM
4. Colectia Xtreme PC
53

Descrierea Si Configurarea Unei Retele Cu Windows 2003 Server PDF

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Descrierea Si Configurarea Unei Retele Cu Windows 2003 Server PDF

Încărcat de

Drepturi de autor:

Formate disponibile

Descrierea si configurarea unei reţele cu

Windows 2003 Server

PROFESOR COORDONATOR ABSOLVENT

In aceasta epoca a calculului distribuit, reţelele sunt prezentate in aproape toate

CAP. 2 TIPURI DE RETELE

2.1 Retele de tip Client/Server folosesc un calculator separat (server) care

3.1 Nivelul fizic

3.2 Nivelul logic

3.3 Nivelul de retea

3.4 Nivelul de transport

3.5 Nivelul de aplicatii

CAP. 4 BAZELE LUCRULUI IN RETELE DE CALCULATOARE

4.1 Componente hardware

4.1.2 Dispozitive de acces

4.3.2 Driver de dispozitiv

4.3.3 Software pentru comunicatii

CAP. 5 TOPOLOGII LAN

Pentru aranjarea in retea a calculatoarelor se folosesc diferite metode numite

5.1 Retele de tip magistrala

5.2 Retele de tip stea

5.3 Retele de tip ring

5.4 Retele de tip magistrala in stea

6.1 Instalarea Windows XP

6.2 Configurarea retelei in Windows XP

• Click pe Network Connections.

• Selectam Obtain IP address automatically si Obtain DNS server address

In acest fel vom instala in continuare Sistemul de Operare – Microsoft

CAP. 7 INSTALAREA UNUI SERVER PE WINDOWS 2003 DHCP

Protocolul dinamic de configurare al gazdei - Dynamic Host Configuration

Diagrama de deasupra arata o structura simpla constand dintr-un server DHCP si

7.1 Instalarea unui Server DHCP

Urmatoarea fereastra ne va cere sa definim o arie de adrese IP pe care Scope-ul

In fereastra urmatoare pot fi introduse setarile DNS si numele domeniului.

7.2 Configurarea unui server DHCP

Casuta “Adress pool” arata o lista cu ariile IP alocate pentru distributie si

Serverele DHCP va permit sa rezervati o adresa IP pentru un client. Asta

CAP. 8 SECURIZAREA UNEI RETELE PAS CU PAS

Fazele securizării. Planuri

Securizare pas cu pas

Exprimarea impactului în costuri (bani) este utilă atunci când planificăm

Planuri de măsuri proactive

Planuri de măsuri reactive

Securitatea Active Directory

Securizarea staţiilor Windows

Politici pentru toate calculatoarele

Aplicare cu Active Directory

Template-urile de securitate sunt fişiere text cu extensia .inf ce conţin un set

Securizarea serverelor Windows de infrastructură

WINS, DHCP şi DNS

Tabelul 1 – Restrângerea privilegiilor utilizatorilor pentru servere Domain Controller

Putem folosi de asemenea Group Policy pentru a seta parametrii de start ai

Securizarea serverelor de fişiere şi imprimante

Atenţie la suprafaţa de atac

Închideţi serviciile nefolosite

Securizarea Internet Information Services

Accesul Anonymous este şi el o formă de autentificare pentru că, deşi identitatea

Factorul uman din nou

Asigurarea perimetrului cu maşini firewall

Funcţii Internet Security and Acceleration Server

Serverele de acces la distanţă RRAS

Metodele de autentificare suportate de RRAS - fereastră accesibilă din Microsoft

Pentru hardening-ul protocoalelor se recomandă utilizarea doar a acelor

Roluri Exchange Server. Securizare