Основные экзамены по Windows 2000 за 15 минут в неделю:
 

Отказоустойчивость, анализ и настройка безопасности и IPSec

от Dan DiNicolo

 

Добро пожаловать в статью 12 моей серии. Статья этой недели завершает материал, посвященный серверу Windows 2000 и включает в себя вопросы отказоустойчивости, а также анализа и настройки безопасности. Хорошая новость состоит в том, что статья этой недели короче, чем обычно, так как она охватывает остаток темы «сервер Windows 2000». На следующей недели мы начнем изучать материалы, относящиеся к внедрению и администрированию Active Directory (экзамен 70-217), чему будет посвящено 6-7 статей.

Материалы этой статьи включают в себя:

  • Настройки отказоустойчивости в Windows 2000
  • Анализ и настройка безопасности
  • Обзор шаблонов безопасности
  • Введение в IPSec и связанные с ней политики

Настройки отказоустойчивости в Windows 2000.

Windows 2000, так же как и Windows NT 4.0, поддерживает то, что принято называть программным RAID или Redundant Array of Independent Disks (набор независимых дисковых накопителей с избыточностью). В программном RAID, операционная система выполняет все функции аппаратного RAID и системе не требуется отдельной карты контроллера для RAID. Хотя программный метод менее дорог, он, к сожалению, также менее надежен и быстр, чем традиционный аппаратный RAID. Windows 2000 поддерживает три типа RAID, описанных ниже. Заметьте, что все конфигурации RAID управляются при помощи инструмента Disk Manager (Диспетчер дисков).

RAID 0 – теперь называется striped volume (чередующийся том), который обычно используется для увеличения скорости доступа к данным. В этой конфигурации, которая может поддерживать от 2 до 32 физических дисков, данные распределяются равномерно по всем дискам, действующим как единый логический том. Хотя название предполагает избыточность, фактически RAID 0 не является отказоустойчивой системой. Если один из дисков, входящих в чередующийся том выйдет из строя, доступ ко всем данным на этом томе будет потерян. В Windows 2000 новые чередующиеся тома могут создаваться только на динамических дисках, хотя уже существующие чередующиеся наборы, созданные в Windows NT 4.0, могут продолжать действовать на базовых дисках, после обновления системы до Windows 2000. Это означает, что вы можете продолжать использовать чередующиеся наборы после обновления системы, но не можете создать новый RAID 0 до тех пор, пока не обновите все диски, которые вы хотите включить в новую конфигурацию, до динамических дисков. Заметьте также, что ни системные ни загрузочные разделы не могу находиться на томах RAID 0.

RAID 1 – упоминается как mirrored volume (зеркальный том). В данной конфигурации данные копируются между 2 физическими твердыми дисками для целей избыточности (отказоустойчивости). В этой конфигурации (применение которых распространено для системных и загрузочных разделов) все, что записано на первый том зеркала, также записывается на второй при помощи драйвера отказоустойчивости ftdisk.sys. Если первый том зеркала выходит из строя, доступ к данным сохраняется на втором томе (диске). Как и в случае с RAID 0 в Windows 2000, создание нового зеркала возможно только на динамических дисках. Однако, зеркальный набор, созданный в NT 4.0 может существовать и работать (и даже восстанавливаться), после того, как вы осуществите обновление системы до Windows 2000. Реализация RAID 1 требует двойной затраты средств, так же как и двойного дискового пространства для хранения данных.

RAID 5 – упоминается в Windows 2000 как том RAID 5, также обычно он известен как stripe set with parity (чередующийся набор с четностью). В данной конфигурации, которая может включать в себя от 3 до 32 физических дисков, хранятся не только данные, но также связанная с ними информация четности, которые распределяются по дискам. Данные и связанная с ними информация о четности всегда хранится на разных дисках, что дает уверенность в том, что данные будут восстановлены (и соответственно будет оставаться доступными) в случае выхода из строя одного из дисков. И снова, новые тома RAID 5 могут создаваться только на динамических дисках, хотя чередующиеся наборы с четностью, созданные в NT 4.0 могут продолжать существовать в системе после ее обновления. Как и в случае с чередующимися томами, системный и загрузочный разделы не могут помещаться на томе RAID 5. Также заметьте, что с внедрением тома RAID 5 связаны определенные накладные расходы – 1/Х (где Х – количество дисков в томе) дискового пространства будет использовано для хранения информации четности.

Анализ и настройка безопасности.

Windows 2000 предоставляет вам инструмент-оснастку MMC (Microsoft management console – консоль ММС) для анализа и настройки безопасности системы. Оснастка Security Configuration and Analysis позволяет сравнивать текущую конфигурацию системы и установки, которые предоставляют файлы стандартных шаблонов безопасности Windows, указывая на существующие противоречия в двух настройках. Инструмент Security Configuration and Analysis требует наличия работающей базы данных, в которой храниться информация о системной конфигурации. Этот файл имеет расширение .sdb и должен быть открыт (или создан) перед импортированием шаблона безопасности для целей сравнения. Инструмент анализирует, какие из установок системы соответствуют, не соответствуют или не определены по отношению к шаблону, который вы импортировали. Как показано ниже, политика применения паролей на моей системе не отвечает многим требованиям, которые определены в шаблоне, называемом securews.inf (подробнее о шаблонах далее в статье):

Столбец Database Setting (настройка базы данных) содержит требования шаблона, в то время как столбец Computer Setting (настройка компьютера) показывает текущую конфигурацию компьютера. Зеленая «галочка» указывает на то, что моя система соответствует или превосходит требования, в то время как красный кружок с «Х» в центре говорит о том, что моя система не соответствует требованиям. Если никакой иконки не показано, то это значит, что шаблон не содержит требований к данной настройке. Заметьте, что вы можете импортировать несколько шаблонов, и тогда, если возникнет противоречие настроек, установки каждого нового шаблона будут перекрывать в базе данных настройки предыдущих шаблонов по мере импортирования.

Импортировав несколько шаблонов (это означает фактически, что вы сделали изменения в настройках базы данных) вы можете затем экспортировать эти изменения как новый шаблон. Имея новый шаблон, вы можете затем распространить его на любую систему или несколько систем, используя Групповую Политику в среде Active Directory. Для этого вы импортируете файл шаблона в раздел Security Setting узла Computer Configuration Групповой Политики, которая позволяет вам распространять общую конфигурацию на клиентские системы в централизованном порядке. Шаблоны также могут быть импортированы в Local Security Configuration (локальную настройку безопасности). В обоих случаях инструменты обращаются к файлам шаблонов как к «Import Policy…» (импорту политики).

Как я отмечал ранее, вы можете также использовать этот инструмент для настройки системы. Например, если вы щелкните правой кнопкой мыши на значке Security Configuration and Analysis, как показано ниже, вы вызовете опцию Configure Computer Now (настроить компьютер).

Шаблоны безопасности.

Другая оснастка ММС, Security Templates (шаблоны безопасности), позволяет вам увидеть и настроить установки шаблонов, так же как и создать новые шаблоны. Файлы шаблонов существуют в формате .inf, который может читать любой текстовый редактор. Пример настройки файла шаблона политики паролей приведен ниже:

[System Access]

;----------------------------------------------------------------

;Account Policies - Password Policy

;----------------------------------------------------------------

MinimumPasswordAge = 0

MaximumPasswordAge = 42

MinimumPasswordLength = 0

PasswordComplexity = 0

PasswordHistorySize = 0

RequireLogonToChangePassword = 0

ClearTextPassword = 0

Windows 2000 предоставляет несколько шаблонов по умолчанию. Вы должны понимать, что представляют из себя встроенные файлы шаблонов и почему вы должны использовать их. Название шаблонов должно натолкнуть вас на идею где и как они могут быть использованы. Последние две буквы в имени файла (перед расширением .inf) обычно говорят, для какого типа системы шаблон предназначен – WS для рабочей станции, DS – для контроллера домена, SV – для сервера. Например, файл hisecws.inf обозначает шаблон, который устанавливает повышенные требования безопасности для рабочей станции. Есть пять главных уровней безопасности в стандартных шаблонах, которые описываются ниже:

Basic*.inf – основной. Этот шаблон применяется для настойки безопасности по умолчанию для системы. Это может быть полезным, если вы установили первоначально высокий уровень безопасности для системы, а потом хотите вернуть установки по умолчанию.

Compat*.inf – совместимый. Windows 2000 дает членам группы Users более строгие настройки безопасности, чем в NT 4.0. Как следствие, некоторые приложения (например, сертифицированные для NT 4.0, но не для Windows 2000) могут работать неправильно (или не работать вовсе) в системах с Windows 2000. Когда этот шаблон применяется, приложения работают в контексте уровня привилегий Power User (Опытный пользователь), даже если пользователь, который запускает приложение, не имеет данного уровня доступа.

Secure*.inf – безопасный. Содержит настройки, рекомендованные для безопасности системы, за исключением настроек для файлов, папок и ключей регистра, безопасность которых настраивается по умолчанию.

Hisec*.inf – высоко безопасный. Представляет настройки, предоставляющие более высокий уровень защиты, включая сетевую безопасность. В данной конфигурации система может взаимодействовать только с другими системами, работающими под Windows 2000.

Dedica*.inf – выделенный контроллер домена. Содержит рекомендации настроек безопасности для контроллера домена, который не является одновременно сервером приложений.

Файлы шаблонов по умолчанию хранятся в директории %systemroot%\security\templates.

IPSec.

Windows 2000 поддерживает IPSec, которая обеспечивает безопасное сетевое взаимодействие между клиентами, используя шифрование данных, основанных на протоколе IP, а также протокол Kerberos для аутентификации. Красота технологии IPSec заключается в том, что шифрование (и дешифрование) данных осуществляется не приложениями (что требует, чтобы приложения на обоих – и передающем и принимающем компьютере поддерживали шифрование), а на уровне стека сетевых протоколов. Как следствие этого, любое приложение, базирующееся на протоколах TCP/IP, может использовать IPSec. Поэтому шифрование является полностью независимым от используемых приложений и его механизм прост и понятен для пользователей. Диаграмма, показывающая место IPSec в структуре стека TCP/IP, приведена ниже:

Windows 2000 поддерживает IPSec в двух режимах – transport mode (транспортный режим) и tunnel mode (туннельный режим). В туннельном режиме должны быть определены обе точки входа (IP-адреса) и IPSec шифрует данные (это может быть использовано и только в целях аутентификации), которые передаются по создаваемому туннелю. Этот режим обычно используется для соединения с удаленным офисом при помощи VPN (виртуальной частной сети) через Интернет. Заметьте, что системы, которые осуществляют взаимодействие, вовсе необязательно быть Windows 2000, так как IPSec является открытым стандартом. В транспортном режиме соответствующая политика определяет, когда и как шифрование IPSec будет использоваться в сети. Например, вы можете определить, что только трафик, приходящий от клиента на ТСР порт 80 или 23 сервера должен быть зашифрован, в то время как остальной трафик в шифровании не нуждается. Подобным образом вы можете определить, что клиент должен инициировать шифрованную связь с сервером или сервер не должен ему отвечать. Уровень и степень использования IPSec в вашей сети определяется только вашими собственными нуждами (не забывайте, что любое шифрование данных создает дополнительную загрузку вашего процессора).

На системах с Windows 2000 использование IPSec контролируется через политики безопасности. И опять – они могут настраиваться как локально, так и через групповые политики (настоятельно рекомендуется). В любое заданное время, только одна IPSec-политика может быть назначена для системы. Хотя вы и можете создавать собственные IPSec-политики, три уже готовые предлагаются вам по умолчания (как показано ниже) и вы можете применять их для своих нужд.

Client (Respond Only) (Клиент(только ответ)) – когда назначена это политика, клиент никогда не запрашивает безопасное соединение с сервером, но может использовать IPSec, если сервер предлагает это клиенту.

Secure Server (Require Security) (Безопасный Сервер (требование безопасности)) – когда назначена эта политика, сервер прерывает все попытки соединения, которые делаются без использования IPSec.

Server (Request Security) (Сервер (запрос безопасности)) – когда назначена эта политика, сервер предлагает клиенту использовать при соединении IPSec. Если клиент не может использовать IPSec (например, если на клиенте установлена Windows 98), то сервер позволяет осуществить соединение и без использования IPSec.

Заметьте, что ни одна из политик не назначается по умолчанию и ее необходимо активизировать. Вы также можете создать собственную политику, щелкнув в окне политик правой кнопкой мыши и выбрав “Create IP Security Policy” (создать политику безопасности IP),. Мастер создания политики безопасности IP проведет вас через все стадии создания политики, включая назначение номера порта, который будет использоваться приложениями и т.д.

Заметьте также, что Windows 2000 предлагает вам специальное приложение для выявления неполадок и мониторинга соединений с использованием IPSec – IP Security Monitor (монитор безопасности IP) – ipsecmon.exe который показан ниже:

На этом часть серии статей, которая была посвящена серверу Windows 2000, завершена. Помните, что в целях экономии времени, многие вопросы из материалов по экзамену 70-210 и 70-215, которые встречались ранее, больше не повторяются. Поэтому, если вы готовитесь к каждому экзамену индивидуально, вам все же придется прочитать всю серию статей от первой и до последней, чтобы быть уверенным, что ничего не пропущено. На следующей неделе мы начинаем статьи, посвященные внедрению и администрированию Active Directory (экзамен 70-217).

Я вновь хочу поблагодарить всех, кто поддерживает мою серию – спасибо! Как обычно, присылайте мне письма с комментариями и вопросами. Успехов в учебе на этой неделе.

Дэн

Вернуться к списку статей

Hosted by uCoz