Rozdział

2

Przegląd systemu
ochrony Windows NT

h

Model ochrony Windows NT
Działanie systemu zabezpieczeń Windows
NT. Zbudowany w poprzednim rozdziale
model ochrony w zderzeniu z środkami
dostępnymi w Windows NT.

h

Konta użytkowników

Zagadnienia opisane w rozdziale skupiają się na
problemach ochrony sieci pod kątem rozwiązań
zawartych w Windows NT. Zobaczymy, jak
system plików NTFS (New Technology File
System) realizuje dodatkowe środki
zabezpieczeń plików i

katalogów.

Nieograniczony dostęp do informacji serwera
poprzez wspólną sieć, nie zawsze jest
bezpieczny. NTFS dostarcza dodatkowych
metod ochrony przed zagrożeniami
wynikającymi z

bezpośredniego dostępu do

serwera.

Coraz więcej instytucji docenia wygodę
stosowania serwera zdalnego dostępu
(Remote Access Server), będącego częścią
Windows NT Server. W niniejszym rozdziale
odpowiemy na pytanie, jak Windows NT
pomaga chronić zdalny dostęp do zasobów
sieci?

Bardzo popularne staje się również
korzystanie z

dostępu do zasobów za

pośrednictwem Internetu. Nauczymy się
sposobów zabezpieczania usług serwera
przed niebezpieczeństwami, nieodłącznie
związanymi z

połączeniami internetowymi.

Dokonamy przeglądu narzędzi dostępnych
administratorowi do konfiguracji różnych
aspektów systemu ochrony.

Pojęcie konta użytkownika i

jego

zastosowanie w

schemacie ochrony

Windows NT. Metody dostosowywania
różnych parametrów kont do przyjętej
strategii ochrony.

h

Domeny Windows NT
Pojęcie domeny i

jej zastosowanie do

ułatwienia administrowania siecią.
Przykład wykorzystania domen, do
uproszczenia procesu ustanawiania
właściwych praw dostępu dla kont.

h

Relacje upoważnienia
Ogólne pojęcie relacji upoważnienia
między domenami oraz powody ich
wprowadzenia. Uproszczenie prac
administracyjnych, związane ze
stosowaniem relacji upoważnienia.
Klasyfikacja relacji upoważnienia w zależ-
ności od konfiguracji grup komputerów.
Definicja modeli relacji upoważnienia.
Zastosowanie modeli relacji upoważnienia.

42

Część I Przegląd systemu ochrony Microsoft Windows NT

Model ochrony Windows NT

Bardzo ważne jest spojrzenie na bezpieczeństwo sieci z perspektywy
Windows NT Serwer. W

rozdziale pierwszym poznaliśmy różne

warstwy modelu ochrony, konieczne do zabezpieczenia systemu
sieciowego. Przypomnijmy je jeszcze raz:

„

Warstwa 1: Bariery fizyczne

„

Warstwa 2: Mechanizmy sieciowego systemu operacyjnego

„

Warstwa 3: Strategie i procedury administracyjne.

„

Warstwa 4: Konta i identyfikatory użytkowników.

„

Warstwa 5: Uprawnienia do zasobów.

„

Warstwa 6: Redundancje.

W bieżącym rozdziale skupimy uwagę na warstwach od drugiej do
piątej, oraz na praktycznych rozwiązaniach związanych z modelem
ochrony Windows NT. Wymagania wymienionych warstw zostaną
zderzone ze specyficznymi środkami ochrony dostępnymi w Windows
NT. Poniższa tabela ilustruje właściwe dla Windows NT rozwiązania
zabezpieczeń, odpowiadające poszczególnym warstwom modelu:

Tabela 2.1 Środki ochrony Windows NT

Warstwa ochronna

Rozwiązania ochronne dostępne w Windows NT

Warstwa 2: Mechanizmy
i rozwiązania sieciowego
systemu operacyjnego

Bezpieczna architektura systemu. Kody i struktury danych
przetwarzane w systemie muszą być zabezpieczone przed
zewnętrznymi zmianami. W Windows NT osiągnięto ten
cel, przez całkowite zabezpieczenie obsługi jądra systemu
operacyjnego przed wpływem aplikacji użytkowników
Precyzyjna ochrona dostępu. Steruje dostępem konkretnych
użytkowników do odpowiednich obiektów. Lista kontroli
dostępu (ACL - Access Control List) zapewnia mechanizm
kontroli, czy określony użytkownik systemu ma uprawnienia
do danego obiektu.
Powtórne wykorzystanie obiektów. Zanim dowolny obiekt
zostanie zwolniony systemowi do ponownego
wykorzystania, wszystkie prawa dostępu, jakie wcześniej
zostały do niego przydzielone, zostają skasowane.
Możliwość nadzoru. Windows NT umożliwia śledzenie
dostępu do wszystkich obiektów systemu. System
monitoringu może zapisywać w dziennikach następujące
zdarzenia: rejestracje w systemie, korzystanie ze zbiorów,
usuwanie obiektów, próby nieuprawnionego dostępu i wiele
innych.
Identyfikacja i autoryzacja kont. Zanim użytkownik otrzyma

Przegląd systemu ochrony Windows NT

43

Warstwa ochronna

Rozwiązania ochronne dostępne w Windows NT
pozwolenie dostępu do jakichkolwiek zasobów systemu,
musi posiadać w nim konto. W procesie rejestracji
sprawdzana jest tożsamość użytkownika konta
(identyfikator), którą następnie system weryfikuje poprzez
sprawdzenie hasła
Narzędzia kodujące. System automatycznie koduje hasło
użytkownika. Hasło jest przesyłane siecią w zaszyfrowanej,
bezpiecznej postaci.
Filtrowanie protokołów. System posiada możliwość
filtrowania protokołów sieciowych (TCP, UDP oraz IP) na
poziomie portów.
Oprogramowanie archiwizujące. Windows NT jest
wyposażony w oprogramowanie archiwizujące, które jest
kompatybilne z większością napędów taśmowych.
Zamienność sektorów. System oznacza uszkodzone sektory,
zabezpieczając je przed próbami wykorzystania.
Mirroring i macierze dyskowe RAID. Oprogramowanie
systemowe umożliwia implementację redundancji danych.
Napędy różnych typów (SCSI oraz IDE) mogą być łączone
logicznie w odporne na błędy systemy lustrzane lub
macierze.

Warstwa 3 Strategie
i procedury
administracyjne

Domeny. Administrator ma możliwość stosowania
elastycznych strategii i procedur, dzięki łączeniu serwerów
i stacji roboczych w logiczne grupy, które są łatwiejsze do
zarządzania.
Reguły tworzenia kont. Umożliwiają określenie ograniczeń
dotyczących haseł oraz ustawienie parametrów związanych
z przymusowym wyłączeniem konta.
Parametry kont. Pozwalają na określenie systemu
uprawnień przysługujących poszczególnym użytkownikom
i ich grupom.
Relacje zaufania. Służą ustanowieniu bezpiecznych
związków między dwiema lub więcej logicznymi grupami
komputerów (domenami).
Profile użytkowników. Pozwalają określić specyficzne dla
każdego użytkownika zmienne środowiskowe.
Skrypty rejestracyjne (Log-On Scripts) Wykorzystuje się je
do uruchomienia aplikacji lub ustawienia odpowiednich
zmiennych środowiskowych z chwilą rejestracji
użytkownika w systemie).
Prywatne katalogi użytkowników. Możliwość wyznaczania
prywatnych katalogów oraz profili pozwala dostosować
środowisko do potrzeb użytkownika.
Możliwość automatycznej, planowej archiwizacji.
W połączeniu z rozwiązaniami podnoszącymi odporność na

44

Część I Przegląd systemu ochrony Microsoft Windows NT

Warstwa ochronna

Rozwiązania ochronne dostępne w Windows NT
błędy zapewnia bezpieczeństwo danych.

Warstwa 4. Konta
i identyfikatory
użytkowników

Identyfikatory i hasła użytkowników. Wszyscy użytkownicy
systemu muszą posiadać konta; Zanim otrzymają
pozwolenie na dostęp do sieci muszą, w procesie rejestracji,
przedstawić identyfikator i potwierdzić hasłem swoją
tożsamość.
Grupy użytkowników. Dla grup użytkowników
o jednakowych pełnomocnictwach do wybranych zasobów
mogą być tworzone odpowiednie grupy lokalnych
i globalnych klientów.
Konta globalne i lokalne. Pozwalają na określenie
uprawnień konta użytkownika do sposobu interaktywnego
korzystania z sieci.
Ochrona zdalnego dostępu. NT jest wyposażony
w narzędzia umożliwiające indywidualizację metod
zdalnego dostępu do zasobów. Na poziomie użytkownika
można określić sposób potwierdzania tożsamości oraz
wymusić połączenie za pośrednictwem zwrotnego
oddzwonienia przez system.

Warstwa 5. Uprawnienia
do zasobów

Ochrona na poziomie zasobów współdzielonych. Pozwala
na ustawienie parametrów określających sposoby dostępu
użytkownika do współdzielonych zasobów sieci.
Ochrona zbiorów na poziomie systemu plików NTFS.
Dostarcza dodatkowych środków zabezpieczających
uzupełniających ograniczenia dostępu zarówno do plików
jak i katalogów na partycjach NTFS.

Pamiętajmy, że rozwiązania zgrupowane w tabeli, nie wyczerpują całości
środków ochronnych, dostępnych w systemie Windows NT. W kolejnych
rozdziałach wszystkie elementy systemu oraz metody ich wykorzystania
zostaną omówione bardziej szczegółowo. Analizę rozpoczniemy od kont
użytkowników.

Konta użytkowników w środowisku Windows NT

Jeden z

głównych filarów ochrony Windows NT stanowią konta

użytkownika (UA - user account). Zanim ktokolwiek otrzyma prawo
dostępu do dowolnych zasobów sieci, powinien zostać zidentyfikowany
przez system. W

trakcie rejestracji każdy musi przedstawić swój

identyfikator oraz potwierdzić hasłem swoją tożsamość.

Konta użytkowników mogą być utworzone lokalnie, na konkretnym ser-
werze lub jako konto wewnątrz domeny. Mimo to należy pamiętać, że
rodzaj konta jest określony rolą serwera Windows NT. Może on być ser-

Przegląd systemu ochrony Windows NT

45

werem elementarnym albo kontrolerem domeny. Serwer elementarny
utrzymuje własną bazę danych systemu ochrony (SAM - Security
Accounts DataBases), natomiast kontroler domeny współdzieli bazę SAM
z innymi serwerami. Oznacza to, że serwery elementarne posiadają lo-
kalną wersję bazy SAM, natomiast główne kontrolery domeny (PDC)
utrzymują wersję bazy SAM, która jest kopiowana na zapasowe kontrole-
ry domeny BDC - Backup Domain Controllers. W następnej części rozdziału
wyjaśnimy zagadnienia związane z kontrolerami domeny oraz synchro-
nizacją baz danych SAM.

Niezależnie od rodzaju utworzonego konta można określić jego różne
parametry. Dla przypomnienia przedstawiamy kilka atrybutów, o któ-
rych była mowa w rozdziale pierwszym:
„

Możliwość zmiany własnego hasła.

„

Określenie czy konto jest lokalne, czy globalne.

„

Wyznaczenie prywatnego katalogu użytkownika (home directory).

„

Wyznaczenie skryptu rejestracyjnego (Log-On script).

„

Określenie profilu użytkownika.

„

Określenie profilu obowiązkowego.

„

Przydzielenie użytkownika do grup predefiniowanych.

Własności konta użytkownika powinny być określone natychmiast po
jego utworzeniu. Można je oczywiście zmieniać, w miarę potrzeby,
w dowolnym momencie. Konto użytkownika powstaje przez dodanie
nowego elementu do bazy danych systemu ochrony (SAM) lub przez
skopiowanie własności wcześniej utworzonego użytkownika. Parametry
mogą być skopiowane z systemów działających na innej platformie
operacyjnej, poprzez wykorzystanie odpowiednich narzędzi migracji
zawartych w Windows NT 4.0.

Rozwiązania ochronne, omawiane w dalszej części rozdziału, dotyczą
kont użytkowników w środowisku domeny. Domeny pozwalają na
administrowanie zasobami całej grupy serwerów.

Definicja domeny Windows NT

Domena jest niczym więcej, niż grupą serwerów użytkujących wspólną
bazę danych systemu ochrony SAM. Zasoby każdego serwera mogą
zostać udostępnione użytkownikom (lub grupom), których konta należą
do bazy. Dzięki takiemu rozwiązaniu, zbędne jest tworzenie odrębnych
kont użytkownika na każdym serwerze lub stacji roboczej, które
zawierają przydatne zasoby.

46

Część I Przegląd systemu ochrony Microsoft Windows NT

Rozważmy na przykład dwa oddzielne serwery, z których każdy jest
wyposażony w drukarkę. Chcemy umożliwić sieciowy dostęp do obu
urządzeń. W środowisku bez domen, należy na obu serwerach utworzyć
konta wyposażone w

odpowiednie pełnomocnictwa. Podwaja to

czynności administracyjne oraz zmusza użytkownika do zbędnego
wysiłku.

„

Nazwa użytkownika musi zostać wprowadzona do baz danych
dwukrotnie zamiast po prostu jeden raz. Najpierw na pierwszym
serwerze, aby umożliwić użytkownikowi dostęp do jego drukarki,
potem na drugim serwerze w tym samym celu.

„

Użytkownik, aby mieć dostęp do obu drukarek, zmuszony jest
dwukrotnie przechodzić procedurę rejestracji, osobną na każdym
serwerze.

Domeny eliminują potrzebę tworzenia oddzielnych kont użytkownika.
Serwery mają wspólną bazę ochrony SAM, a przyznane kontu prawa
dostępu obowiązują w całej grupie. Gdyby w powyższym przykładzie
zastosowano domeny, administrator wprowadzałby informacje o koncie
tylko jeden raz. Dostęp do drukarek mógłby być przydzielony poprzez
wykorzystanie bazy ochrony SAM. Użytkownik mógłby korzystać z obu
drukarek, po zalogowaniu się na dowolnym serwerze domeny.

Wskazówka

Wykorzystanie domen zmniejsza wysiłek administratora związany
z tworzeniem kont użytkowników. Z drugiej strony upraszcza również ich
usuwanie. Jeżeli użytkownik opuszcza instytucję, wystarczy usunąć jego konto
z jednej bazy ochrony. Uproszczenie obsługi i nadzoru systemu podnosi również
jego ochronę.

Na platformie Windows NT 4.0 (jak również we wcześniejszych wersjach
Windows NT) domena zostaje utworzona z chwilą instalacji systemu na
pierwszym serwerze wyznaczonym do grupy. Dodatkowe serwery mogą
być dołączane do domeny w procesie instalacji serwera i tylko w ten
sposób. Oryginalny serwer, który jest zainstalowany jako pierwszy,
nazywa się głównym kontrolerem domeny (PDC - Primary Domain
Controller). Przechowuje on oryginalną bazę ochrony zawierającą konta
użytkowników. Inne serwery, dołączone do domeny później, są
nazywane zapasowymi kontrolerami domeny (BDC - Backup Domain
Controller). Kontrolery zapasowe przechowują kopię bazy ochrony, której
nie można edytować. Tożsamość użytkownika potwierdza w procesie
rejestracji dowolny kontroler domeny (główny lub jeden z zapasowych).

Przegląd systemu ochrony Windows NT

47

Uwaga

Tożsamość użytkownika może potwierdzić dowolny kontroler domeny
(zarówno główny jak i jeden z zapasowych). Zazwyczaj jest to kontroler, który
pierwszy odpowie na żądanie rejestracji w systemie.

Odnotujmy bardzo ważny wniosek: Serwer raz podłączony do domeny
staje się jej elementem „na całe życie”. Czy nam się to podoba, czy nie-
taka jest prawda. Jedynym sposobem na podłączenie serwera do innej
domeny jest jego całkowita reinstalacja. Nie istnieje możliwość zmiany
przynależności do domeny. Niemożliwe jest również podniesienie
samodzielnego serwera do rangi kontrolera ani głównego, ani
zapasowego. Trzeba o tym pamiętać podczas planowania instalacji sieci
na platformie Windows NT.

Uwaga

W rozdziale trzecim zobaczymy, w jaki sposób zostaje przyznany serwerowi
identyfikator bezpieczeństwa (SID - Security ID), w chwili przyłączania go do
domeny (lub ustanawiania głównym kontrolerem domeny). SID jest zasad-
niczym powodem, dla którego nie można zmieniać przynależności do domeny.
Identyfikator jest unikatowym oznaczeniem serwera, utworzonym w procesie
instalacji. Wyznacza on między innymi przynależność do określonej domeny.
Raz zdefiniowany SID nie może być zmieniony.

Jeśli konto użytkownika jest dodane do domeny, to zmiany w bazie
danych użytkowników są możliwe jedynie na głównym kontrolerze.
Kopie bazy umieszczonej na głównym kontrolerze są rozsyłane
synchronicznie na kontrolery zapasowe. Gwarantuje to bezpieczeństwo
bazy danych, nawet w przypadku uszkodzenia kontrolera głównego.
W

takim przypadku, jeden z

kontrolerów zapasowych może być

ustanowiony głównym i przejąć jego zadania. Od tej chwili wszelkie
modyfikacje bazy użytkowników możliwe są jedynie na nowym
kontrolerze głównym. Nie można zmieniać zawartości bazy danych
o użytkownikach, jeżeli główny kontroler domeny nie jest dostępny
w sieci. Rejestracja w systemie jest w takiej sytuacji oczywiście możliwa.

Pojęcie relacji upoważnienia między domenami

Coraz częściej spotyka się bardzo duże sieci z zasobami rozproszonymi
na wielu serwerach. Relacje upoważnienia stosuje się, jeśli w sieci istnieje
więcej niż jedna domena, a użytkownicy jednej domeny potrzebują
dostępu do zasobów innej. Klientowi potrzebującemu dostępu do
zasobów domeny, można odpowiednie pozwolenia jedną z dwóch
metod:

48

Część I Przegląd systemu ochrony Microsoft Windows NT

„

Użytkownikowi można założyć konto w domenie, w której znajdują
się potrzebne mu zasoby. Odpowiednie pełnomocnictwa mogą być
udzielone wewnątrz tej samej domeny.

„

Użytkownik może mieć założone konto w domenie upoważnionej
(trusted domain). Dostęp do zasobów domeny upoważniającej (trusting
domain) może być przydzielony kontu domeny upoważnionej.

Pierwszy sposób udzielania pełnomocnictwa jest prosty. Użytkownik jest
wyposażony w prawa dostępu do zasobów znajdujących się na tej samej
domenie, na której ma założone konto.

Aby zobrazować nasze rozważania, wyobraźmy sobie użytkownika
o imieniu Ed (wkrótce wyjaśni się ukryte znaczenie imienia). Ed
potrzebuje dostępu do drukarki laserowej przedsiębiorstwa. Kolejka
drukarki jest zasobem współdzielonym serwera, który jest zapasowym
serwerem domeny o nazwie KONTA. Drukarka jest oczywiście zasobem
dostępnym w domenie KONTA. Administrator tej domeny może po
prostu przyznać Edowi prawa dostępu do drukarki. Od tego momentu,
z chwilą kiedy Ed zarejestruje się na domenie KONTA, otrzyma
automatycznie prawa korzystania z drukarki.

Przypuśćmy dalej, że instytucja, w której pracuje Ed rozrosła się i zaszła
potrzeba utworzenia nowej domeny o nazwie ZASOBY. Postanowiono,
że wszystkie zasoby (w

szczególności nasza drukarka) zostają

przeniesione do nowej domeny, gdzie będą zarządzane przez odrębnego
administratora. Nasza drukarka stała się zasobem rezerwowego
kontrolera domeny ZASOBY. Od tej chwili stała się niedostępna
z poziomu domeny KONTA. Powstaje pytanie: Czy dla zapewnienia
Edowi dostępu do jego ulubionej drukarki, trzeba mu koniecznie założyć
konto w nowej domenie?

Odpowiedź na pytanie brzmi: nie. Ustanowienie odpowiednich relacji
upoważnienia między domenami umożliwia Edowi, który ma konto
w domenie KONTA, dostęp do kolejki drukarki będącej zasobem
domeny ZASOBY. Oto proste wyjaśnienie idei upoważnienia:

1. Ustanowiono jednokierunkową relację upoważnienia między

domenami KONTA i ZASOBY. Domena KONTA stała się domeną
upoważnioną. (Wyjaśnia się tajemnica imienia; w

trudnej do

przetłumaczenia grze słów: upoważniony to trustED, czyli godzien
zaufania ED). Ed posiada konto jedynie na domenie KONTA. Domena
ZASOBY jest w naszym przykładzie domeną upoważniającą.

2. Administrator domeny ZASOBY (upoważniającej) może przyznać

dostęp do swoich zasobów (w tym drukarki) członkom domeny upo-

Przegląd systemu ochrony Windows NT

49

ważnionej KONTA. Jeśli przyzna pełnomocnictwa Edowi, będzie
mógł znowu korzystać ze swej ulubionej drukarki.

Morał z naszej historyjki polega na tym, że domena upoważniona
zawiera konta użytkowników, a

domena upoważniająca zawiera

potrzebne im zasoby. Domena zawierająca zasoby może nadawać
uprawnienia dostępu użytkownikom domeny upoważnionej.

Zwróćmy uwagę na słowo „jednokierunkowy” zawarte w pierwszym
akapicie wyjaśnienia. Co się stanie, jeśli domena ZASOBY będzie
posiadała użytkowników, mających ochotę korzystać z zasobów domeny
KONTA? Czy istnieje możliwość zaspokojenia ich potrzeb?

Nie, z wyjątkiem użytkowników mających konta na obu domenach.
Udostępnienie zasobów poprzez ustanowioną relację upoważnienia nie
jest możliwe, gdyż działa ona tylko w jednym kierunku. By to wyjaśnić,
wróćmy na chwilę do naszego przyjaciela Eda.

Ed awansował, co wiąże się z przeniesieniem do innego działu. Z tego
powodu zlikwidowano mu konto w domenie KONTA i założono nowe
w domenie ZASOBY. Tymczasem, w jego starej domenie dostępna jest
nowa, kolorowa drukarka. Będąc członkiem domeny KONTA, Ed mógł
korzystać z obu drukarek: z kolorowej, wewnątrz tej samej domeny i
z laserowej dzięki relacji upoważnienia.

Ed objął nowe stanowisko. Administrator domeny ZASOBY przyznał mu
odpowiednie pełnomocnictwa, w tym prawo korzystania z jego ulubionej
drukarki laserowej. Ed zwrócił się do administratora domeny KONTA
o umożliwienie mu korzystania z kolorowej drukarki. Administrator nie
mógł zrealizować prośby Eda, gdyż relacja upoważnienia działa tylko
w jedną stronę. Czy jest jakieś wyjście z tej sytuacji? Tak, możliwe są dwa
sposoby przywrócenia Edowi możliwości korzystania z

kolorowej

drukarki:

1. Utworzyć Edowi konto użytkownika w

domenie KONTA.

Wykorzystać ten sam identyfikator i hasło, aby uchronić Eda przed
koniecznością przechodzenia procedury powtórnej rejestracji przy
próbach dostępu do kolejki kolorowej drukarki.

2. Utworzyć nową jednokierunkową relację upoważnienia między

domenami ZASOBY i KONTA. Tym razem ZASOBY musi być
wyznaczona, jako upoważniona (trustED), a KONTA jako domena
upoważniająca.

Wykonanie opcji drugiej spowoduje ustanowienie dwustronnej relacji
upoważnienia. Relacja dwustronna jest niczym innym, jak dwiema rela-
cjami jednostronnymi ustanowionymi w przeciwnych kierunkach. Jeśli
domeny są w dwustronnej relacji upoważnienia, administratorzy każdej

50

Część I Przegląd systemu ochrony Microsoft Windows NT

z nich mogą udzielać pełnomocnictw do swoich zasobów użytkownikom
z drugiej domeny. W takim przypadku, administrator domeny KONTA
może przyznać Edowi prawo korzystania z kolorowej drukarki.

Jak łatwo zauważyć, utworzenie właściwych relacji upoważnienia, jeśli
zostanie źle zaplanowane, może prowadzić do komplikacji. Konieczność
ustanawiania wielu relacji upoważnienia jest spowodowana
rozproszeniem kont użytkowników na różnych domenach i wynikającą
stąd potrzebą ułatwienia administracji siecią. Relacje upoważnienia
pozwalają uniknąć powielania kont na różnych domenach.

Właściwie zaplanowane relacje upoważnienia redukują pracę
administratorom. Umożliwiają również dostosowanie sieci do zakresu
odpowiedzialności jej administratorów. Oto prosta reguła, którą należy
stosować podczas planowania środowisk z wieloma domenami:

Umieścić konta użytkowników na jednej domenie kont!

To jest to! Można umieścić pewne zasoby na domenie KONTA, ale
większość powinna być zawarta w domenie ZASOBY. Jedynymi kontami
domeny zasobów, powinny być nieliczne konta administracyjne.
Utworzenie jednostronnej relacji upoważnienia pozwoli użytkownikom
domeny KONTA korzystać z

usług domeny ZASOBY. Domeną

upoważniającą powinna być domena zasobów, a domeną upoważnioną
domena kont (trustED). Dostęp do dowolnych zasobów może być łatwo
przyznawany przez administratora domeny zasobów.

Omówione właśnie rozwiązanie nosi nazwę modelu z domeną główną.
Schemat wyróżnia jedną domenę, tę z kontami użytkowników. Model
można stosować nawet w sieciach do 10 000 użytkowników. W rozdziale
czwartym pokażemy kilka innych przykładów rozwiązań
wykorzystujących Windows NT Server. Każdy z modeli ma swoje wady
i zalety, zależne od rozmiaru i poziomu skomplikowania sieci. Inne
modele to:

„

Model z wieloma domenami głównymi - wykorzystywany w organi-
zacjach mających ponad 10 000 użytkowników sieci.

„

Model z pojedynczą domeną - przeznaczony dla małych instalacji.

„

Model z pełnym upoważnieniem domen - stosowany dla zapewnienia
nieograniczonego dostępu dla użytkowników wszystkich domen.

Na tym etapie lektury powinniśmy rozumieć, jak wiąże się domeny rela-
cjami upoważnienia, jakie są ogólne powody stosowania tych relacji,
pojęcie jednokierunkowej i dwustronnej relacji upoważnienia oraz zasady
dostępu w każdym z tych rozwiązań. Jeśli tak jest w istocie, możemy
przejść do kolejnych zagadnień ochrony. W kolejnej części rozdziału

Przegląd systemu ochrony Windows NT

51

omówimy zastosowanie uprawnień do plików i katalogów w systemie
plików NTFS (New Technology File System), jako dopełnienie do upraw-
nień konfigurowanych na poziomie zasobów współdzielonych.

Wykorzystanie NTFS do ochrony danych

Zasoby sieci na platformie Windows NT Server są dostępne dla
użytkowników, dzięki wydzieleniu ich do wspólnego korzystania.
Poprawia to ochronę, gdyż umożliwia współdzielony dostęp do
obiektów jedynie tym użytkownikom, którzy posiadają odpowiednie
uprawnienia. Co się jednak dzieje, jeśli użytkownik sięga do zasobów
bezpośrednio z serwera, a nie za pośrednictwem sieci? Oto przykład
ilustrujący problem:

Przypuśćmy, że administrator domeny KONTA wyznaczył do
wspólnego użytku katalog na serwerze o nazwie CORP1. Kartoteka
zawiera plany podróży komiwojażera pracującego w przedsiębiorstwie;
znajduje się na napędzie C: i nosi nazwę \travel. Dla uproszczenia.
wydzielono do współużytkowania katalog pod nazwą travel.
Użytkowniczka o nazwie Janina posiada do tego zasobu uprawnienie
read. Po sieciowym zarejestrowaniu się w systemie, Janina może jedynie
czytać informacje zawarte we współdzielonym katalogu, ale nie może
niczego modyfikować. Janinie uszkodził się komputer i został odesłany
do naprawy, zalogowała się więc bezpośrednio na serwerze CORP1, aby
wykonać swoje codzienne obowiązki. Po uruchomienia Eksploratora
odkryła ze zdziwieniem, że ma dostęp do głównego katalogu napędu C:
serwera plików i

wszystkich katalogów potomnych. Zamiast

dotychczasowego uprawnienia read-only do katalogu c:\travel,
nieoczekiwanie nabyła wszystkie, łącznie z prawem do modyfikacji
i usuwania danych. Czy da się zapobiec takiej sytuacji bez odbierania
możliwości bezpośredniej rejestracji na serwerze? Oczywiście tak,
wykorzystując pozwolenia dostępu na poziomie NTFS, celem
ograniczenia dostępności plików i

katalogów. Jeśli zastosujemy

uprawnienie read-only systemu NTFS do odpowiedniego katalogu, to
Janina nie będzie mogła dokonywać zmian w kartotece c:\travel.

Zapamiętajmy, że uprawnienia NTFS działają bardziej restrykcyjnie niż
uprawnienia do zasobów współdzielonych. Ograniczenia na poziomie
NTFS biorą zawsze górę nad uprawnieniami przyznanymi do zasobów
wspólnych.

Przykładowo: Jeśli wydzielimy do współużytkowania katalog c:\travel
i przyznamy do niego uprawnienie write (prawo do zapisywania) grupie
Everyone (wszyscy), to dowolny użytkownik będzie mógł modyfikować

52

Część I Przegląd systemu ochrony Microsoft Windows NT

zawartość katalogu dopóty, dopóki katalog spełnia jeden z poniższych
warunków:

1. Znajduje się na partycji FAT.

2. Na poziomie systemu NTFS, grupie Everyone przyznane jest

uprawnienie pełnej kontroli (full control) lub przynajmniej prawo do
zapisu (write). Domyślnie, grupa Everyone posiada uprawnienia
pełnej kontroli do wszystkich plików i katalogów NTFS.

Jeżeli z jakiegoś powodu ograniczymy grupie Everyone uprawnienia
NTFS do katalogu C:\travel do poziomu read-only, to użytkownikom
mającym wcześniej prawo zapisu w

zasobie „travel” zostaną

zredukowane prawa dostępu do tego poziomu. Dzieje się tak ze względu
na nadrzędność ograniczeń NTFS. Wyjątkiem od tej zasady jest sytuacja,
kiedy użytkownik posiada indywidualne uprawnienie NTFS do pełnej
kontroli lub zapisu w katalogu (lub zasobie współdzielonym). Z innego
rodzaju wyjątkiem będziemy mieli do czynienia w

przypadku

użytkownika, którego konto będzie posiadało ograniczenie no access
(żadnego dostępu), co skutkuje zarówno na jego uprawnienia
indywidualne jak i grupowe.

Chociaż w pierwszej chwili takie rozwiązanie wydaje się skomplikowane,
to stanowi dobrą metodę dodatkowej ochrony plików i katalogów
umieszczonych na serwerze. Wadą stosowania uprawnień NTFS jest
konieczność poświęcenia dużej ilości czasu na ich wdrożenie. Inną
słabością są dodatkowe komplikacje, jakich dostarczają przy
diagnozowaniu powodów zakłóceń w

dostępie do danych.

Alternatywnym rozwiązaniem jest odebranie użytkownikom prawa do
lokalnej rejestracji na serwerze lub fizyczne zamknięcie serwera
i uczynienie go niedostępnym. W obu przypadkach dostęp do plików
i katalogów będzie sterowany poprzez działające na poziomie sieci
uprawnienia do zasobów współdzielonych, przyznanych użytkownikom
i grupom.

Szczegółowej analizie uprawnień NTFS oraz metodom ich stosowania
poświęcony jest rozdział siódmy podręcznika. Jeżeli użytkownicy sieci
muszą korzystać ze zdalnego dostępu, konieczne jest wykorzystanie
wbudowanego w system NT narzędzia o nazwie RAS (Remote Access
Server). Na problemach związanych z jego użyciem skupimy się
w następnej części rozdziału.

Przegląd systemu ochrony Windows NT

53

Zdalny dostęp do sieci a bezpieczeństwo

Pracownicy, którzy wykonują obowiązki poza siedzibą instytucji, powin-
ni mieć możliwość korzystania z zasobów sieci NT. Najczęstszym sposo-
bem rozwiązania problemów komunikacyjnych jest zastosowanie serwe-
ra zdalnego dostępu (RAS). Dostęp do sieci dla mobilnych użytkowni-
ków wymaga od nich jedynie modemu. Prędkość połączeń z siecią wyno-
si zazwyczaj 14- 33 kbit/s. Standard dla modemów asynchronicznych to
600 bit/s. W miarę coraz szerszego udostępniania przez operatorów tele-
komunikacyjnych rozwiązań ISDN (Integrated Services Digital Network-
zintegrowane usługi w sieciach cyfrowych) wzrasta możliwość znaczne-
go przyśpieszenia zdalnych połączeń. Windows NT Server posiada nie-
zbędne rozwiązania, które umożliwiają wykorzystanie modemów ISDN
do dwustronnej komunikacji z siecią.

Pomijając problemy z szybkością transmisji, po uzyskaniu połączenia,
użytkownik powinien uzyskać możliwość zarejestrowania się w sieci
analogicznie jak w przypadku łączenia się z biura. Po przejściu procesu
identyfikacji, winien mięć dostęp (być może wolniejszy) do tych samych
zasobów co normalnie. W trakcie zdalnego korzystania z sieci rejestracja
zaczyna się od sprawdzenia, czy użytkownik posiada odpowiednie
uprawnienia do odległych połączeń za pośrednictwem serwera RAS. Jeśli
nie, zdalne połączenie jest zabronione. Z drugiej strony, przy właściwych
pełnomocnictwach, proces rejestracji jest kontynuowany według zasad
przyjętych w domenie użytkownika.

Narzędzia administracyjne serwera zdalnego dostępu umożliwiają na
zezwolenie lub zabronienie połączeń poprzez łącza telekomunikacyjne.
Można również skonfigurować serwer, aby połączenia z uprawnionymi
użytkownikami wymagały zwrotnego oddzwonienia przez serwer.
Przyjęcie takiego rozwiązania podnosi poziom ochrony systemu.
Szczegóły dotyczące konfigurowania serwera zdalnego dostępu są
omówione w rozdziale 8.

Realizacja coraz popularniejszych połączeń za pośrednictwem Internetu
wymaga innych środków. Połączenia internetowe mają własną specyfikę
i wiążą się z odrębnymi zagrożeniami dla bezpieczeństwa.

Rozważania o bezpieczeństwie Internetu

Internet rozrasta się w ciągu ostatnich lat w olbrzymim tempie. Coraz
więcej instytucji podejmuje każdego dnia decyzję o przyłączeniu się do
internetowych zasobów. Zagrożenia związane z Internetem są po-
wszechnie znane i udokumentowane. Należą do najbardziej niszczyciel-
skich czynników czyhających na poufne informacje rynkowe zawarte

54

Część I Przegląd systemu ochrony Microsoft Windows NT

w większości systemów. Dane składowane i przetwarzane w sieci nara-
żone są na nieuprawniony dostęp, kradzież, uszkodzenie, niezgodne
z przeznaczeniem wykorzystanie lub sprzedaż co może spowodować
znaczne szkody zarówno dla użytkownika osobiście jak i dla prowadzo-
nych przez niego interesów. Źródłem ataku są osoby, które kierując się
specyficznym poczuciem humoru czerpią zadowolenie z poczynionych
szkód.

Nie zważając na ewentualne ryzyko, liczne instytucje nie uważają za
możliwe prowadzenie handlu bez obecności w

Internecie. Wiele

przedsiębiorstw traktuje go jako dogodne miejsce reklamowania
i sprzedaży swoich produktów. Inne wykorzystują go do świadczenia
usług instruktażowo - wspierających. Jest oczywiste, że łączność ze
światem zewnętrznym jest nieunikniona. Cały wysiłek należy zwrócić na
obmyślanie metod zabezpieczających przed działalnością pozbawionych
skrupułów indywiduów, pragnących zaszkodzić naszej egzystencji.

Administrator sieci dysponuje licznymi środkami, pomagającymi
zapewnić bezpieczeństwo środowiska połączonego z Internetem. Przede
wszystkim, musi wyznaczyć najbezpieczniejszą drogę komunikacji,
wykorzystując różnorodne, dostępne mu opcje i metody zabezpieczające.
Jednym z takich rozwiązań jest zastosowanie zapór sieciowych (firewall)
zapobiegających przed bezpośrednim dostępem do wewnętrznych
segmentów sieci lokalnej (LAN) z

poziomu Internetu. Najczęściej

stosowana metoda udostępniania użytkownikom Internetu polega na
wykorzystaniu serwera pośredniczącego (proxy server) (na przykład MS
Catapult Proxy Server)

Zapory sieciowe i serwery pośredniczące

Obie metody zabezpieczania wewnętrznych segmentów sieci lokalnych
przed bezpośrednim dostępem do Internetu wykorzystują komputer
podwójnego przeznaczenia (dual-homed). Takie urządzenie wyposażone jest
w dwie karty sieciowe, zainstalowane na pojedynczym komputerze
(por. rysunek 2.1). Jeden z adapterów służy do połączenia z segmentem
sieci A, zazwyczaj wewnętrznym (określanym jako czysta (clean) strona
sieci). Drugi łączy z segmentem sieci B, odpowiednio zewnętrznym
(określanym jako brudna (dirty) strona sieci).

Dzięki jednemu z rozwiązań przyjętych przy projektowaniu systemu NT
4.0 server może pełnić rolę routera i sterować ruchem sieci między dwo-
ma odizolowanymi fizycznie segmentami sieci lokalnej. Przy domyślnych
ustawieniach funkcja routingu jest wyłączona. Ruch w segmencie A jest

Przegląd systemu ochrony Windows NT

55

odizolowany od segmentu B i nie ma możliwości przejścia informacji
z jednej części sieci do drugiej.

Rysunek 2.1

Serwer Windows NT
podwójnego przeznacze-
nia{ XE "serwer podwój-
nego przeznaczenia" }{
XE "Windows NT:serwer
podwójnego przeznacze-
nia" } z zainstalowanymi
dwiema kartami siecio-
wymi.

Zatrzymajmy się chwile nad przykładem: Serwer Windows NT o nazwie
Corp1 ma zainstalowane dwie karty sieciowe. Adapter nr 1 jest połączo-
ny do segmentu A, adapter nr 2 jest połączony z segmentem B.

Wyłączenie funkcji routingu oznacza, że komputery zlokalizowane
w „czystej” części sieci (segment A) widzą serwer podwójnego przezna-
czenia CORP1. Widzą go również stacje po „brudnej” stronie sieci (seg-
ment B). Tym niemniej, nie istnieje sposób bezpośredniej komunikacji
miedzy komputerami leżącymi po różnych stronach serwera. (por. rysu-
nek 2.2)

Rysunek 2.2

Zabezpieczenie przed
dostępem z Internetu do
wewnętrznej sieci lokal-
nej.

Mówiąc krótko, internetowi hakerzy nie mają możliwości bezpośrednie-
go połączenia z komputerami „czystej” strony sieci.

Zapory sieciowe i serwery pośredniczące wykorzystują różnorodne me-
tody filtrowania i routingu pakietów sieciowych, między adapterami
zainstalowanymi na serwerach podwójnego przeznaczenia. Dzięki tym
rozwiązaniom, komputery wewnętrznej strefy sieci mogą korzystać
z dostępu do Internetu, bez narażania na szwank swojego bezpieczeń-

56

Część I Przegląd systemu ochrony Microsoft Windows NT

stwa. Aby to zobrazować, rozważmy przykład, w którym serwer pośred-
niczący ma zadanie umożliwić użytkownikom bezpieczny dostęp do
Internetu.

Zaprzyjaźniony z nami, choć czasem uciążliwy użytkownik Ed otrzymał
zadanie, wyszukiwania w Internecie pewnych informacji, niezbędnych
dla jego szefa. Stacja robocza Eda nie ma co prawda bezpośredniego po-
łączenia z pajęczyną, ale wyposażona jest w przeglądarkę umożliwiającą
skonfigurowanie do współpracy z serwerem pośredniczącym (na przy-
kład: Internet Explorer 3.01). Jeden z adapterów serwera pośredniczącego
jest połączony z tą samą, „czystą” stroną sieci, w której pracuje komputer
Eda. Druga karta sieciowa serwera podwójnego działania połączona jest
z segmentem sieci mającym bezpośredni dostęp do Internetu. Sytuację
ilustruje rysunek 2.3.

Rysunek 2.3

Wykorzystanie serwera
pośredniczącego jako
bariery przed bezpośred-
nim dostępem z Internetu.

Z chwilą kiedy Ed uruchomi przeglądarkę i zgłosi żądanie dostępu do
Internetu, oprogramowanie prześle komendy do serwera pośredniczące-
go poprzez „czystą” część sieci. Serwer przejmie zlecenie i odeśle je do
internetowego adresata drugą częścią sieci, zastępując przy okazji adres
stacji roboczej swoim własnym. Odpowiedź z Internetu nadejdzie pod
adres serwera. Ten przejmie informację i wyśle ją Edowi „czystym” seg-
mentem sieci. Mimo bariery uniemożliwiającej bezpośredni dostęp do
Internetu użytkownicy mogą żeglować po jego zasobach.

Wykorzystanie protokołów nie nadających się do routingu

Inny sposób zabezpieczania sieci wykorzystuje zdolność serwera Win-
dows NT do współpracy z wieloma protokołami transmisji. Aby unie-
możliwić łączność między większością serwerów i stacjami roboczymi,
można posłużyć się protokołami, które nie nadają się do routingu (na
przykład NetBEUI). Zarówno serwery, jak i stacje robocze wymagające

Przegląd systemu ochrony Windows NT

57

łączności z Internetem, powinny mieć możliwość korzystania zarówno
z protokołu podlegającego routingowi (na przykład TCP/IP), jak
i dostępnego dla pozostałych urządzeń protokołu NetBEUI. W ten sposób
można umożliwić części użytkowników korzystanie z Internetu bez po-
trzeby dzielenia sieci na segmenty oraz stosowania zapór. Opisaną meto-
dę ilustruje rysunek 2.4

Rysunek 2.4

Ograniczenia dostępu
poprzez zastosowanie
protokołu nie nadającego
się do routingu.

Omówione rozwiązanie spełnia swoją rolę w

małych instalacjach.

W sieciach z dużą liczbą urządzeń jest zmorą administratorów, ze
względu na trudność zabezpieczenia przed możliwością korzystania
z protokołu TCP/IP.

Uwaga

Znajdujemy się w dobrym miejscu aby poruszyć zagadnienie, które jest
niezwykle ważne dla bezpieczeństwa sieci. Podczas planowania wszelkich
rozwiązań, nie wolno zapominać, że stacje robocze użytkowników (zazwyczaj
PeCety) mogą być konfigurowane przez ich użytkowników. Oznacza to
w szczególności możliwość zmiany ustawień, instalacji oprogramowania,
protokołów i stosowania analizatorów oprogramowania. Dzięki takim zmianom
użytkownicy mogą uzyskać możliwości daleko wykraczające poza przysługujące
im normalnie uprawnienia. Aby ominąć system ochrony, użytkownicy mogą
nawet uruchomić swoją stację pod innym systemem operacyjnym.

58

Część I Przegląd systemu ochrony Microsoft Windows NT

Jedyną realną drogą zapobieżenia takim ekscesom jest wyłączenie napędów
elastycznych na wszystkich stacjach roboczych. Najłatwiej to zrealizować
poprzez fizyczne wyjęcie urządzeń oraz ograniczenie dostępu do zasobów
wspólnych, zawierających sterowniki protokołów lub inne „niebezpieczne”
oprogramowanie.

Zaawansowane metody filtracji protokołów

Inną metodą zabezpieczeń dostępną na platformie Windows NT jest fil-
tracja na poziomie portów. Możliwość takiej konfiguracji protokołu
TCP/IP dostępna jest dopiero w wersji 4.0. Dzięki niej możemy sterować
zdolnością portów sieciowych do odbierania wezwań. Dowolne lub
wszystkie porty zdolne do obsługi protokołów TCP, IP lub UDP mogą
być wyłączone przy pomocy panelu sterowania siecią Windows NT 4.0.
Mamy zatem możliwość efektywnego wyłączenia wszelkiej komunikacji
za pośrednictwem protokołów na różnych poziomach - od niskiego do
średniego.

Rozdział czternasty omawia szczegółowe zagadnienia związane
z zabezpieczaniem zasobów sieciowych przed zagrożeniami z Internetu.
W dalszej części rozdziału omówimy niektóre narzędzia administracyjne
służące do konfiguracji systemu ochrony Windows NT 4.0 Server.

Narzędzia do działań ochronnych w Windows NT

Windows NT wyposaża administratora w liczne narzędzia, które umoż-
liwiają realizację skutecznej strategii ochronnej poprzez odpowiednią
konfigurację oraz monitorowanie bezpieczeństwa sieci. W zależności od
przeznaczenia można je podzielić na klika grup. Przedstawia je pokrótce
poniższa lista:

Narzędzia do zarządzania

„

User Manager for Domains. Jest to narzędzie przeznaczone do doda-
wania i usuwania kont użytkowników domeny Windows NT. Przy je-
go pomocy można konfigurować zarówno atrybuty kont (User Proper-
ties) jak i reguły posługiwania się kontami (User Policy). Służy wresz-
cie do ustanawiania relacji upoważnienia między domenami.

„

Server Manager steruje serwerem lub stacją roboczą należącą do do-
meny. Przy jego pomocy można podnieść status serwera do głównego
kontrolera domeny, synchronizować kontrolery w domenie oraz ste-
rować dostępnością specyficznych zasobów współdzielonych serwera.

Przegląd systemu ochrony Windows NT

59

Dodatkowo program steruje lokalnym i odległym uruchamianiem
usług Windows NT.

„

Remote Access Server Administration Utility - narzędzie do sterowa-
nia i nadzorowania dostępnych na serwerze (serwerach) usług zdal-
nego dostępu. Za jego pośrednictwem możemy również monitorować
zarówno lokalne jak zdalne uruchamianie usług serwera RAS.

„

Registry Editor - silne narzędzie do bezpośredniej modyfikacji usta-
wień konfiguracyjnych, zapisywanych w rejestrach Windows NT.
Edytor można wykorzystać do pracy zarówno z rejestrami lokalnymi,
jak i tymi na oddalonych serwerach. W wersji Windows NT 4.0 Server
dodano możliwość sterowania uprawnieniami dostępu do gałęzi reje-
strów na poziomie grup i użytkowników.

„

Windows NT Explorer znany interfejs służący do wprowadzania za-
sad strategii ochrony na poziomie plików i katalogów, dostępnych ja-
ko zasoby w domenie. Przy jego pomocy wydziela się katalogi do
wspólnego użytkowania oraz nadaje się do nich odpowiednie pozwo-
lenia dostępu. Eksplorer umożliwia administratorom i właścicielom
zasobów wprowadzanie uprawnień na poziomie NTFS. Te same
funkcje są dostępne także w narzędziu Windows NT 4.0 - My Compu-
ter.

„

Server Policy Editor umożliwia administratorowi określenie strategii
ustalającej współoddziaływanie użytkowników i sieci za pośrednic-
twem interfejsów Windows NT oraz Windows 95. Strategia może być
definiowana na poziomie grup kont, pojedynczego użytkownika lub
jako domyślne ustawienia dla wszystkich użytkowników. Przyjęte
ustalenia decydują, w jakim stopniu użytkownik może korzystać
z funkcji systemu operacyjnego.

„

Windows NT Diagnostic Utility - narzędzia te dostarczają administra-
torom sieci szczegółowych informacji o konfiguracji i statusie zarówno
lokalnych, jak i odległych serwerów. Przy ich pomocy można otrzy-
mać dane o sieci, systemie, środowisku, napędach i zasobach serwera.
Są nieocenione w razie konieczności zidentyfikowania źródła proble-
mów występujących na serwerze lub w sieci.

„

License Manager umożliwia kontrolę uprawnień licencyjnych do
oprogramowania firmy Microsoft. Program współpracując z wbudo-
wanymi do systemu narzędziami nadzoru, notuje czy nie są naruszo-
ne ograniczenia lub zasady wynikające z ustaleń licencyjnych.

60

Część I Przegląd systemu ochrony Microsoft Windows NT

Narzędzia do nadzoru

Elementy tej grupy dają administratorowi możliwość monitorowania
różnych parametrów związanych z działaniem sieci. Przy ich pomocy
można uważnie śledzić zarówno korzystanie użytkowników z upraw-
nień, jak i działanie systemu.

„

Event Viewer podstawowe narzędzie nadzoru nad aktywnością
w sieci. Pozwala śledzić wykorzystywanie systemu, naruszanie zasad
ochrony, błędy systemu, działanie aplikacji i wiele innych elementów.

„

Perfomance Monitor umożliwia nadzorowanie i zapisywanie infor-
macji o setkach parametrów działania systemu. Można go skonfigu-
rować w sposób umożliwiający ostrzeganie i alarmowanie o niepra-
widłowym działaniu urządzeń i innych anomaliach systemu.

Narzędzia zwiększające odporność na błędy i archiwizery

Środki tej grupy sterują programami i usługami zabezpieczającymi ser-
wer przed skutkami awarii zasilania lub uszkodzeń sprzętu.

„

Backup Utility - systemowe narzędzie archiwizacyjne Windows NT,
współpracujące z wieloma popularnymi napędami taśmowymi. Two-
rzenie kopii zapasowych chroni integralność informacji składowanych
w sieci.

„

Uninteruptable Power Supply Utility umożliwia komunikację poprzez
złącze szeregowe lub kartę sieciowa między systemem operacyjnym
a zasilaczem awaryjnym. Przy jego pomocy administrator może skon-
figurować parametry wygaszania systemu. Zdolność komunikacji
z zasilaczem UPS pozwala systemowi - w razie awarii zasilania - na
automatyczne ostrzeganie oraz łagodne wygaszanie systemu według
scenariusza określonego przez administratora.

„

Disk Administration Utility pozwalają konfigurować napędy pamięci
masowych serwerów i tworzyć logiczne systemy dyskowe odporne na
błędy (mirroring lub macierze RAID).

Narzędzia do konfigurowania Windows NT

Rozwiązania z

tej grupy pozwalają konfigurować współdziałanie

urządzeń z siecią i jej otoczeniem.

„

Network Configuration Utility pozwala konfigurować aktywność
protokołów i usług na określonych serwerach. Przy pomocy tych na-

Przegląd systemu ochrony Windows NT

61

rzędzi ustawia się lub odłącza adaptery sieciowe (NICs - Network Interfa-
ce Cards) oraz inne urządzenia serwera.

„

DHCP (Dinamic Host Configuration Protocol) - w przypadku korzysta-
nia z protokołu TCP/IP należy wyznaczyć jeden lub więcej serwerów
do udostępniania stacjom roboczym (klientom DHCP) adresów
TCP/IP. Menedżer umożliwia konfigurowanie parametrów protokołu
TCP/IP przysługującym klientom, takim jak okres dzierżawy lub wy-
korzystywania adresu TCP/IP.

W miarę lektury podręcznika dowiemy się, jak wykorzystać wymienione
programy i narzędzia do realizacji planu ochrony systemu, w ramach
przyjętego modelu ochrony. Wszystkie opisane rozwiązania zawarte są
w pakiecie Windows NT 4.0 Server i nie wymagają do uruchomienia
zakupu żadnego dodatkowego oprogramowania. Dla większości instala-
cji stanowią wystarczający zbiór narzędzi do zapewnienia pełnej kontroli
nad bezpieczeństwem zasobów sieci działającej na platformie Windows
NT.

W innych rozdziałach...

W tym rozdziale rozważaliśmy aspekty ochrony związane bezpośrednio
z systemem operacyjnym Windows NT 4.0 server. W następnych przyj-
rzymy się z bliska każdemu z nich. Następnie nauczymy się konfiguro-
wać model domeny działający w wyimaginowanej instytucji. Poniżej
przedstawiamy przegląd niektórych zagadnień analizowanych w kolej-
nych rozdziałach:

„

Rozdział 3 - Architektura systemu operacyjnego Windows NT - rozpoczy-
na szczegółowy przegląd rozwiązań ochrony, dostępnych dzięki sys-
temowi operacyjnemu. Wyodrębnimy wszystkie komponenty
i wyjaśnimy ich rolę w systemie.

„

Rozdział 4 - Pojęcie domen Windows NT - rozszerza informacje
z niniejszego rozdziału i szczegółowo pokazuje proces tworzenia
i administrowania domeną. Przeanalizujemy i

wyjaśnimy, jak

korzystać z narzędzi i rozwiązań systemowych, umożliwiających ste-
rowanie różnorodnymi elementami środowiska domen Windows NT

„

Rozdział 5 - Rola relacji upoważnienia między domenami w

systemie

ochrony - ukazuje jak wykorzystać relacje upoważnienia między
domenami do uproszczenia procedur administracyjnych. Następnie
poznamy różne modele domen oraz warunki jakie powinny być za-
implementowane łącznie z nimi.

62

Część I Przegląd systemu ochrony Microsoft Windows NT

„

Rozdział 10 - Planowanie domeny głównej - stanowi trening praktyczne-
go stosowania procedur ochronnych za pomocą informacji zdobytych
we wcześniejszych rozdziałach. Przejdziemy go, projektując ochronę
sieci w wyimaginowanej instalacji.