"Изолированные" подсети
Случается, что требования к защите информации создают трудно разрешимые
ситуации. Так например, в одной организации перед администратором была
поставлена следующая задача: группа пользователей (руководители) должна получать
некоторую информацию в виде распечаток на принтере от другой группы
(подчиненные), а также иметь возможность доступа к информации на компьютерах
подчиненной группы. При этом подчиненная группа не должна иметь доступ к
информации в группе руководителей, а также видеть компьютеры этой группы в
сетевом окружении.
Аварийный доступ к диску
Несмотря на надежность современных операционных систем и совершенство
антивирусных программ, случаются ситуации, когда сбой в системе приводит к
невозможности запустить ее. Доступ к диску оказывается закрыт. Восстановление
системы возможно, когда к нему заранее готовились, иначе даже загрузка с помощью
консоли восстановления в Windows XP во многих случаях не приводит к желаемому
результату. В таких случаях возникает огромное желание просто получить доступ к
документам, скопировать их на внешний носитель и переустановить систему.
Бесправные пользователи почты
Настраивая почтовый сервер (см. главу 2), мы выбрали для учетных записей
пользователей почты вариант авторизации по локальным учетным записям Windows. При этом для каждого почтового ящика при его создании учетные записи
с соответствующими правами формируются автоматически. Права этих пользователей
настолько ограничены, что они не могут войти в систему ни локально, ни по сети.
Посмотрев в оснастке Управление компьютером на втором сервере свойства этих
пользователей, вы увидите, что они являются членами одной-единствеиной группы
POP3User. В свойствах локальной политики безопасности Отклонить локальный вход
вы увидите эту группу.
Виртуальная частная сеть
Виртуальная частная сеть (Virtual Private Network, VPN) для большинства
обычных пользователей и начинающих администраторов — область мало известная.
Даже когда услуга по предоставлению виртуальной частной сети обеспечивается
какой-либо фирмой (провайдером), то на стороне пользователя обычно производятся
настройки клиентской части VPN, что не вызывает затруднений (учитывая
рекомендации провайдера). Очень подробное описание настройки VPN для организации
связи двух локальных сетей приводится в статье "Конфигурация VPN в Windows 2000"
Дугласа Тумбса (Издательство "Открытые системы",
http://www.osp.ru/win2000/worknt/630.htm).
Виртуальный компьютер
Существуют средства, позволяющие иметь в своем распоряжении практически
неограниченное число компьютеров для проведения экспериментов. Причем
настроенный "компьютер" можно сохранить в архиве, чтобы при необходимости
включить его, подробно проанализировать его конфигурацию, сравнив с настройками
другого компьютера. Эта роскошь оказывается доступной, если установить на своей
рабочей станции виртуальный компьютер. Для этого существует несколько программ
различных производителей. В среде любителей поэкспериментировать весьма
популярна программа VMware Workstation (http://www.vmware.com).
Виртуальный компьютер и виртуальная сеть
Несколько забегая вперед, рассмотрим вариант доступа к отдельным ресурсам
сети с помощью программ, которые будут описаны в главе 6. Там будет приведено
описание программы Microsoft Virtual PC, которая позволяет организовать на
реальном компьютере еще один — виртуальный; и программы OpenVPN, позволяющей
создать виртуальную сеть. Читая в главе 6 описание названных программ, вы уже
будете представлять, зачем они вам нужны.
Вспомогательные программы на дискетах
В последнее время изготовители компьютеров пытаются продавать машины, не
имеющие приводов для гибких дисков. Во многих случаях это оправдано тем, что
распространение электронной почты позволяет передавать файлы на любое
расстояние, а для временного хранения применяются подключаемые внешние носители,
имеющие компактную конструкцию и существенный объем памяти. Тем не менее не
всегда надежные по современным меркам и не слишком вместительные "флоппики" со
счетов сбрасывать нельзя. Администрируя сеть, приходится сталкиваться с
локальными проблемами, когда сеть не может помочь машине, потерявшей к ней
доступ, и вообще потерявшей возможность самостоятельно загружаться.
Группы уровня доступа
Доступ к информации в сети может контролироваться различными путями, начиная
от ограничений на уровне файловой системы и заканчивая ограничениями на уровне
применяемых приложений. Причем последнее ограничение часто довольно условно.
Если, например, пользователь получает информацию из сетевого приложения,
написанного в среде MS Access, то ограничения на уровне программы не позволят
ему запустить процессы, которые ему не требуются в служебных целях (обычно в таких приложениях доступ к
необходимым функциям определяется паролем). В то же время сама база данных, к
которой обращается клиентское приложение, может быть не защищена. В этом случае
продвинутый пользователь имеет возможность получить из этой базы данных любую
интересующую его информацию.
Доступ к другим сетям
В данном разделе опишем, не углубляясь в отдельные частные вопросы настройки
оборудования, принцип безопасного подключения к некой внешней сети, в которой
работает сервер, поставляющий в нашу сеть данные, необходимые для работы
предприятия. Причем эти данные следует получать лишь на ограниченном числе
рабочих станций. Сама по себе задача подключения к удаленной сети может быть
решена многими способами, описанными в компьютерной литературе и справке
Windows. Но задача, которая стояла перед администратором нашей сети, —
обеспечить простое и безопасное подключение. Оно должно позволять подключиться к
разрешенным ресурсам на сервере во внешней сети, но не допустить вход в нашу
сеть.
Использование ресурсов компьютеров сети и расширение возможностей рабочей станции
Самые интересные изобретения и открытия делались на стыке различных областей
технических знаний. Весьма заманчивые возможности открываются перед
пользователями персональных компьютеров, если попытаться применить сетевые
технологии для работы в локальном режиме. Анализируя практику работы в сети, я
обнаружил, что значительная часть работ не требует наличия настоящей сети. Часто
сеть позволяет лишь усилить вычислительные возможности рабочей станции. Почему
бы не применить некие сетевые технологии для работы на локальном компьютере,
который включен в локальную сеть, но может работать самостоятельно. Компьютер в
этом случае должен быть не совсем обычный.
Клонирование системы, резервный образ
Говоря о клонировании системы (двоичном копировании жестких дисков), следует
сразу сказать о необходимости соблюдения лицензионного соглашения с Microsoft.
Вы не можете делать копии ОС для установки на другие компьютеры, если не имеете
соответствующего числа лицензий. Тем не менее, создать клон системы в качестве
эксперимента вам никто не запретит. Нет запрета и на восстановление системы из
ее копии на том же компьютере, на котором она уже была установлена, но утрачена
в связи с техническими проблемами.
Не стоит забывать о защите
Говоря о доступе к ресурсам сети, не стоит забывать и о возможности доступа к
ним абсолютно посторонних, нежданных гостей. Особенно важно это учитывать при
наличии постоянно работающего подключения к Интернету. Если вы поищете в
поисковой машине Google, например, информацию о несанкционированном доступе к
компьютерам из Интернета, то сможете обнаружить, что эти вопросы очень серьезно
обсуждаются как защищающимися от такого доступа, так и его осуществляющими.
Фактически на просторах Интернета идет постоянная партизанская война. Начинающий
системный администратор может недооценить серьезность существующего положения и
не предусмотреть мер защиты от нападения на его сеть снаружи. Даже защитив
передаваемую через Интернет информацию шифрованием, следует помнить и об общей
защите.
Права помощника администратора
Выполняя работы по администрированию своей сети, вы будете вынуждены иногда
часть задач возлагать на другого человека. Возможно, вы уходите в отпуск или
просто объем работы достаточно велик. Но доверять полный ничем не ограниченный
доступ к серверу и к сети можно только себе (и то не всегда). Поэтому при
организации учетной записи для вашего помощника следует определить тот
необходимый минимум прав, который позволит ему выполнять свои обязанности, но в
значительной степени исключит вероятность возникновения проблем, связанных с
превышением имеющихся полномочий (возможно, и невольным).
Удаленное управление
В наше время существует множество средств для удаленного управления и
администрирования компьютеров сети. Один из вариантов удаленного управления был
рассмотрен в главе 2. Средство Управление компьютером (которое применяется для
управления своим компьютером) может быть подключено и к удаленным машинам для
выполнения достаточно широкого круга задач, но далеко не всех. Очень большой
круг проблем обслуживания, администрирования и управления рабочими станциями
решается только при непосредственном доступе к файловой системе. Тем не менее,
если компьютер работает, подключен к сети, а задача состоит в изменении
каких-либо параметров системы или выполнении обслуживающих операций, то ваше
присутствие около рабочей станции не обязательно.
-
Установка Microsoft Office 2000/XP
-
Учет рабочих станций
-
Как вызвать метод объекта-предка из метода объекта-потомка?
-
Как выполнить поиск в таблице
-
Как выполнить постраничный вывод таблицы
-
Как загрузить все нужные изображения до загрузки содержимого страницы
-
Как определить название и версию Web-обозревателя?
-
Как отключать контекстное меню?
-
Как отследить открытие, активизацию, изменение размеров и закрытие окна?
-
Как перенаправить посетителя на другую Web-страницу?
-
Как получить доступ к нужному элементу таблицы
-
Как создать "горячее" изображение
-
Как создать всплывающие подсказки для гиперссылок
-
Как создать таблицу программно
-
Работа с объектами
-
Работа с функциями
-
Управление внешним видом элементов страницы
-
От графика к формуле
-
Функции двух аргументов
-
Two-step
-
Азы двоичной математики (алгебры)
-
Бионика и Mathcad
-
Булевы кубики
-
Встроенные функции решения дифференциальных уравнений
-
Дифференциальные уравнения в частных производных
-
Еще одна "эпидемия"
-
Трехсторонняя дуэль
-
Цена подержанного автомобиля, или Путь от корреляции к регрессии в среде Mathcad