Zrozumienie podstaw
ochrony systemu

h

Pojęcie systemu ochrony

Bezpieczeństwo i jego znaczenie podczas
projektowania oraz obsługi sieci działają-
cej pod kontrolą systemu operacyjnego
Windows NT. Odpowiedź na pytanie: Co
to jest system ochrony sieci? Wady i zalety
możliwych rozwiązań zabezpieczających.

Wyjaśnienie podstawowego znaczenia pojęcia
ochrony systemów komputerowych i odpowiedź
na pytanie, co ono oznacza w kontekście nowo-
czesnej sieci wykorzystującej Windows NT 4.0,
to główne cele niniejszego rozdziału. Dowiemy
się tu również o najczęściej występujących za-
grożeniach dla komponentów sieci oraz
o właściwych metodach zapobiegawczych.

h

Czynniki zagrażające bezpieczeństwu

Analiza czynników wymuszających wdra-
żanie systemów ochronnych. Dyskusja na
temat różnorodnych zagrożeń sieci oraz
szkód, jakie mogą spowodować.

h

Dziedziny podlegające ochronie

Wymagające ochrony elementy sieciowego
systemu operacyjnego z uwzględnieniem
różnego rodzajów zasobów.

h

Planowanie systemu ochrony

Przegląd podstawowych wytycznych do
planowania wewnętrznego systemu ochro-
ny zarówno nowych, jak i już istniejących
sieci komputerowych. Różne warstwy
układu bezpieczeństwa. Wpływ działań na
poszczególnych poziomach na ochronę
sieci przed szkodami.

h

Odporność na błędy

Wyjaśnienie znaczenia, jakie w procesie
projektowania sieci komputerowych mają
rozwiązania podnoszące odporność na błę-
dy. Wbudowane w systemie komponenty,
które podnoszą odporność na błędy i dają
gwarancję niezawodnego dostępu do zaso-
bów sieci.

Część I Przegląd systemu ochrony Microsoft Windows NT

12

Co to jest system ochrony sieci?

Przed rozpoczęciem nauki ochrony sieci komputerowych, wypada
zdefiniować pojęcie systemu ochrony, mając na uwadze środowisko na
skalę całego przedsiębiorstwa oraz przetwarzanie rozproszone.
Najprościej mówiąc: System ochrony ma za zadanie zabezpieczenie
wszystkich programów, danych i urządzeń przed nieuprawnionym
użyciem lub dostępem.

W rzeczywistości problematyka ochrony sieci wykracza daleko poza
obszar nakreślony tą prostą definicją, obejmując złożone i powikłane
zagadnienia zarządzania systemami. Istotą dobrego systemu ochrony
sieci jest nie tylko zabezpieczenie przed niepowołanym dostępem do jej
elementów i

zasobów. W

gruncie rzeczy chodzi o

ochronę

bezpieczeństwa przedsiębiorstw i obrotu gospodarczego.

Oczywiste jest, że dobry plan ochrony musi gwarantować zabezpieczenie
wszystkich danych, programów, urządzeń i komponentów sieci przed
awariami, kradzieżą i

wykorzystaniem niezgodnym z

przyjętymi

regułami. Z drugiej jednak strony musi umożliwiać dostęp do usług
sieciowych dla potrzebujących ich użytkowników. Zadania te można
realizować dzięki dostępnym w systemie operacyjnym narzędziom,
służącym podnoszeniu bezpieczeństwa, implementacji odpowiedniego
poziomu redundancji oraz zastosowaniu fizycznych barier, które
uniemożliwią niepowołany dostęp do elementów systemu.

Od nowoczesnych rozwiązań przeznaczonych dla przedsiębiorstw
wymaga się, aby umożliwiały grupom ludzi coraz bardziej wydajną
współpracę. Wzrost stopnia złożoności i

wyrafinowania rozwiązań

technologicznych implikuje potrzebę bardziej wyrafinowanych
technicznie metod zabezpieczających. Na dodatek bardziej dopracowany
system operacyjny wymaga włożenia większego wysiłku dla osiągnięcia
pożądanego rezultatu. Dzięki właściwemu planowi i rozwadze przy
implementacji systemu ochrony można zaoszczędzić dużo czasu,
pieniędzy oraz zminimalizować wysiłek niezbędny do zapewnienia
odpowiedniego poziomu bezpieczeństwa i stabilnej pracy sieci.

W miarę realizacji planu ochrony zetkniemy się z drugą stroną problemu,
jaką są ograniczenia dostępu dla użytkowników. Głównym powodem
wdrażania procedur ochronnych jest zagwarantowanie przedsiębiorstwu
niezakłóconego działania. Ważnym celem strategii ochrony powinno być
również zapewnienie użytkownikom dostępu do potrzebnych im
w pracy danych i programów bez zbędnych utrudnień. Celem wysiłków
administratora nie powinno być zabarykadowanie systemu, powodujące
zmniejszenie wydajności pracy, lecz raczej umożliwienie użytkownikom

Zrozumienie podstaw ochrony systemu

13

dostępu do zasobów, do których mają uprawnienia, możliwie prostą
i skuteczną drogą. Jednocześnie należy zapewnić integralność zasobów
w sposób pozwalający na wygodną kontrolę, administrowanie i nadzór.

Ostrzeżenie

Należy pamiętać, że zbyt restrykcyjny system ochrony może spowodować
działania użytkowników, mające na celu okpienie administratora. Najczęstszym
sposobem jest wymiana haseł oraz kopiowanie danych do obszarów, które nie są
chronione.

Jeśli administrator należy do szczęśliwców projektujących nową sieć, to
może w tej fazie położyć solidne podwaliny jej bezpieczeństwa, unikając
pułapek, które posiadają źle zaplanowane systemy ochrony. Osobom
wyznaczonym do uporządkowania już istniejącej struktury dalsza lektu-
ra książki powinna ułatwić pracę.

Kto potrzebuje systemu ochrony

W miarę jak społeczeństwa coraz bardziej zależą od systemów informa-
tycznych, coraz bardziej zależą również od zabezpieczeń chroniących te
systemy. Ochronie podlega nie tylko sieć jako taka, lecz co jest znacznie
ważniejsze - informacje przechowywane i przetwarzane w systemie.
Utrata danych powoduje znacznie większe spustoszenie dla przedsię-
biorstwa, niż przepadek łatwych do odtworzenia komponentów systemu.
Strata kluczowych dla przedsiębiorstwa informacji staje się często przy-
czyną klęski lub przynajmniej znacznych zakłóceń i obniżenia wydajno-
ści.

Komu jest potrzebny system ochrony sieci? Zatrzymajmy się chwilę nad
tym pytaniem. Jeśli w codziennej pracy naszej instytucji niezbędne są
dane przechowywane i przesyłane siecią komputerową, to musimy za-
implementować odpowiedni poziom zabezpieczeń. W istocie rzeczy pro-
blem poufności tych danych jest rzeczą drugorzędną; informacje muszą
być zabezpieczone, aby uchronić przedsiębiorstwo przed ich utratą, ob-
niżeniem stopnia dostępności, kradzieżą lub niewłaściwym wykorzysta-
niem.

Znaczenie bezpieczeństwa informacji rośnie oczywiście wraz ze wzro-
stem ich wartości oraz poufności. Ochrona ich staje się bardzo ważna,
jeśli konieczny jest nieustanny dostęp do danych w czasie rzeczywistym.

Część I Przegląd systemu ochrony Microsoft Windows NT

14

Źródła zagrożeń dla bezpieczeństwa

Jakie są źródła zagrożeń? Zależy to od tego, jakiego rodzaju zagrożenia
bezpieczeństwa sieci mamy na myśli. Dla uproszczenia podzielimy za-
grożenia, mogące mieć wpływ na bezpieczeństwo sieci, na dwie podsta-
wowe grupy, wyznaczone ze względu na źródła ich pochodzenia:

„

Źródła ludzkie. Ten rodzaj zagrożeń wynika z działania człowieka lub
jego zaniechania, którego rezultatem jest modyfikacja, utrata, kradzież
lub niewłaściwe wykorzystanie danych i innych zasobów sieci.

„

Źródła fizyczne. Uszkodzenie ważnego elementu(ów) sieci może spo-
wodować straty wynikające z braku dostępu do danych i innych za-
sobów systemu.

Analiza zagrożeń dla systemów komputerowych ze strony człowieka jest
głównym zadaniem tego podręcznika. MS Windows NT jest bezpieczną
i niezawodną platformą sieciową do przechowywania i przetwarzania
ważnych informacji. Nie wolno jednak zapominać o fizycznym aspekcie
ochrony. Najbardziej perfekcyjna strategia legnie w gruzach, jeśli straci-
my dane na serwerze, nie mając odpowiedniej kopii zapasowej. Hakerzy
będą ostatnim zmartwieniem administratora, jeśli nośniki informacji będą
narażone na rozmagnesowanie.

Zagrożenia ze strony człowieka

Najpoważniejsze zagrożenia dla systemów komputerowych stwarzają
ludzie. Powszechnie mówi się o hakerach czyhających na najgłębsze ta-
jemnice przedsiębiorstw i agencji rządowych. Ta groźba, aczkolwiek re-
alna, nie jest wcale typowym problemem ochrony dla większości przed-
siębiorstw. W rzeczywistości znacznie częściej zagrożenie pochodzi
z wnętrza własnej organizacji.

Zagrożenia wewnętrzne

Zaniedbaniem w procesie projektowania systemu ochrony jest pominięcie
analizy stosunków międzyludzkich wśród pracowników przedsiębior-
stwa. Powszechnie wiadomo, ile problemów pojawia się z chwilą, gdy
rozżaleni ludzie szukają zemsty; skutkiem może być zamierzone posłu-
żenie się systemem komputerowym niezgodnie z przeznaczeniem. Taka
sytuacja jest szczególnie niebezpieczna, gdy pracownicy mają uprawnie-
nia do poufnych informacji i dostęp do ważnych zasobów systemu. In-
nymi słowy: rozeźlony i rozżalony użytkownik może być powodem wie-
lu szkód. Dodatkowym problemem jest trudność wykrycia takiej osoby,

Zrozumienie podstaw ochrony systemu

15

jeśli nie zostały wcześniej zaprojektowane odpowiednie środki zapobie-
gawcze.

Wskazówka

Wielu administratorów wyznaje pogląd, że jeśli jakaś osoba składa rezygnację
z pracy, to najlepiej natychmiast pozbawić ją uprawnień dostępu do sieci. Jeśli
informacja o dymisji pracownika nie jest znana, to uprawnienia dostępu
powinny być odebrane w czasie lub natychmiast po rozmowie w sprawie
zwolnienia z pracy. Jednocześnie powinny być przerwane wszelkie sesje tej
osoby w systemie. Takie postępowanie może się wydać okrutne, ale służy ono
nie tylko ochronie. Jest to informacja dla pracownika, że jest zwolniony
z odpowiedzialności za wszystko, co może wyniknąć od tej chwili do czasu
opuszczenia przedsiębiorstwa. Jeżeli jakaś praca wymaga dokończenia przez
odchodzącego, należy zweryfikować jego prawa dostępu lub wyznaczyć osobę
do nadzoru pracownika w okresie przejściowym.

Wewnętrzne zagrożenia bezpieczeństwa nie ograniczają się do działań
celowych. Rozważmy przykład administratora systemu odchodzącego
od konsoli, na której zarejestrował się ze swoimi uprawnieniami. Od tej
chwili wszystkie powierzone mu przywileje są dostępne dla każdego, kto
zbliży się do stanowiska. Tego typu działanie, choć nieumyślne, może
być przyczyną poważnych problemów. Nie tylko szeregowi użytkownicy
sieci muszą czuć się odpowiedzialni za jej bezpieczeństwo.

Wewnętrznym źródłom zagrożeń sprzyja przede wszystkim rozluźnienie
polityki ochrony, a nawet całkowity brak nawyków przestrzegania jej
zasad. Wiele instytucji nie stosuje w praktyce reguł ochrony z następu-
jących powodów:

1. Instytucja lub organizacja nigdy nie miała poważnych problemów,

związanych z utratą danych albo przerwami w dostępności usług sie-
ciowych, co sprzyja uśpieniu czujności.

2. Dbałość o bezpieczeństwo wymaga pewnego wysiłku związanego

z projektowaniem, obsługą i implementacją strategii ochrony. Zazwy-
czaj wiąże się to z pewnymi kosztami, które musi ponieść instytucja.

3. Użytkownicy przeciwstawiają się nowej strategii ochrony, która ogra-

nicza im dostęp do sieci i mogą uchylać się od przestrzegania narzu-
conych im procedur. Zdarza się niestety, że ograniczeniom opiera się
również kierownictwo instytucji.

Świadomość niezbędności dobrego systemu ochrony dociera do zaintere-
sowanych z chwilą wystąpienia pierwszych poważnych szkód. Przed
wdrożeniem planu ochrony administrator powinien uzyskać pełne
wsparcie kierownictwa instytucji. Bez spełnienia tego warunku cała praca
jest stratą czasu.

Część I Przegląd systemu ochrony Microsoft Windows NT

16

Od momentu, gdy idea bezpiecznej sieci jest zaakceptowana przez kie-
rownictwo organizacji, można zacząć tworzyć zwięzły plan ochrony,
zawierający wytyczne zarówno dla użytkowników, jak i administra-
torów. Zaprojektowane kryteria muszą uwzględniać zasoby powiązane
z siecią wraz z określeniem praw dostępu do każdego z nich. Strategia
powinna obejmować standardowe zasady postępowania zarówno użyt-
kowników, jak i administratorów, gdyż wiele zadań administracyjnych
„niższego poziomu” zostanie delegowanych na indywidualnych użyt-
kowników lub ich grupy. Uważna lektura tej książki powinna umożliwić
czytelnikowi stworzenie skutecznej strategii ochrony tak dla nowej, jak
i już istniejącej sieci Windows NT.

Po opracowaniu strategii należy przeszkolić wszystkich użytkowników
systemu, jak efektywnie korzystać z zasobów sieci oraz wyjaśnić, dlacze-
go wprowadzono określone zasady i wymagania związane z ochroną.
Administratorowi musi wystarczyć sił, by wymusić respektowanie pro-
cedur ochronnych oraz wdrożyć czytelne zasady postępowania wobec
użytkowników, którzy próbują świadomie omijać narzucone wymogi.
Pamiętajmy, że najczęstszym powodem naruszania zasad ochrony nie
jest wcale chęć wyrządzenia szkody, lecz naturalna ciekawość i nieod-
parta pokusa buszowania po sieci.

Ostrzeżenie

Liczne organizacje kultywują sztukę „ochrony przez zaciemnienie”. Jej idea
polega na przekonaniu, że ukrycie jakiegoś elementu przed użytkownikami
zabezpiecza go przed uszkodzeniem. Być może, w początkowych latach informa-
tyzacji, kiedy użytkownicy byli onieśmieleni komputerami, a co dopiero siecią,
taki pogląd miał racjonalne podstawy. Obecnie jest całkowicie błędny. Użyt-
kownicy komputerów są coraz bardziej oczytani w literaturze informatycznej
i uwielbiają wyszukiwać ukryte przed nimi zasoby. Wszyscy przecież kochamy
wtykać nos do sieci, nieprawdaż?
Zasadę „bezpieczne co ukryte” należy odłożyć do lamusa. Zamiast chować jakieś
zasoby i narażać je na przypadkowe odkrycie, lepiej po prostu przyznać do nich
odpowiednie prawa dostępu.

Zagrożenia zewnętrzne

Zagrożenia zewnętrzne są z założenia brane pod rozwagę w trakcie pro-
jektowania sieci. Zagrożenia tego typu mają wiele źródeł i przybierają
różnorodne formy. Najbardziej oczywistym przykładem jest nieupraw-
niony dostęp do sieci i w konsekwencji uszkodzenie lub kradzież jej ele-
mentów. Nieco mniej oczywistą formą wtargnięcia jest wykorzystanie
wyrafinowanego oprzyrządowania do czytania danych bezpośrednio
z linii komunikacyjnych, a nawet zdalne śledzenie monitorów wykorzy-

Zrozumienie podstaw ochrony systemu

17

stywanych przez użytkowników sieci. Szpiegostwo przemysłowe istnieje
naprawdę!

Oto niekompletna lista zewnętrznych zagrożeń systemów sieciowych:
„

Kradzież poufnych informacji

„

Ujawnienie poufnych danych osobom postronnym

„

Nieuprawniony dostęp do usług i zasobów sieci

„

Uniemożliwienie działania normalnych usług sieciowych

„

Fałszowanie, modyfikacja lub zniszczenie danych

„

Kradzież lub uszkodzenie oprogramowania

„

Kradzież lub uszkodzenie fizycznych elementów sieci

Na szczęście istnieje wiele rozwiązań, pozwalających odizolować sieć od
zagrożeń zewnętrznych. Ich szeroki wachlarz rozciąga się od kodowania
danych podczas transmisji, poprzez filtrowania protokołów, do tworze-
nia zapór (firewall) i segmentacji sieci. Wszystkie powinny być i są bar-
dzo wydajne.

Windows NT 4.0 wzbogaca listę narzędzi sterowania ochroną, umożli-
wiając dostosowanie rozwiązań zarówno do wysokich, jak i niskich
warstw pakietu protokołów TCP/IP. Umożliwia to wyznaczenie, które
konkretnie porty są zdolne do przyjmowania ramek sieciowych
w warstwach TCP, UDP czy IP.

Fizyczne zagrożenia bezpieczeństwa

Mówiąc o zagrożeniach fizycznych, należy mieć na uwadze kilka ich
źródeł. Musimy ocenić związane z każdym z nich ryzyko utraty integral-
ności sieci.

„

Uszkodzenie sprzętu. Uszkodzenie sprzętu jest bodaj najczęstszym po-
wodem utraty dostępności danych lub ich zniszczenia. Straty czasu
oraz kosztów związanych z tym problemem można uniknąć projektu-
jąc odpowiednią redundancję systemu.

„

Włamanie. Nieuprawniony dostęp do elementów sieci może zostać
zrealizowany poprzez fizyczne włamanie do systemu. Przed tym za-
grożeniem chroni umieszczenie wszystkich ważnych komponentów
sieci (w szczególności serwerów danych i pamięci masowych) w od-
powiednio chronionym miejscu.

„

Brak planu odtwarzania danych. Chcąc uniknąć ryzyka utraty istotnych
danych, choćby z powodu normalnie zdarzających się awarii tech-
nicznych, należy zaimplementować odpowiedni plan odtwarzania

Część I Przegląd systemu ochrony Microsoft Windows NT

18

danych. Posiadanie procedur odzyskiwania informacji wydaje się luk-
susem tylko do czasu, kiedy trzeba z nich skorzystać.

Jak widać, zagrożenie ze strony człowieka wyłania się znowu w związku
z możliwością włamania. Niebezpieczeństwo może kryć się zarówno
wewnątrz, jak i na zewnątrz instytucji. Pod pewnym jednak względem
lekarstwo na ten problem jest najprostsze. Kontrola fizycznego dostępu
do najważniejszych elementów sieci sprowadza się bowiem do umiesz-
czenia ich w odpowiednio zabezpieczonych pomieszczeniach.

Fizyczna ochrona urządzeń może przybierać różne formy: od zamknięcia
pracowni komputerowej, do zainstalowania wyrafinowanych rozwiązań
z pełnym monitoringiem i systemem alarmowym. Rzeczywiste zabezpie-
czenie będzie się oczywiście mieścić między tymi ekstremalnymi propo-
zycjami. Przed decyzją o wyborze konkretnego rozwiązania trzeba wziąć
pod uwagę rzeczywistą wartość sprzętu i przechowywanych danych
oraz możliwości finansowe instytucji. Od takich rozmyślań może się
przyśnić wielka kłódka.

Co należy chronić?

Po przemyśleniu powodów konieczności ustanowienia strategii ochrony,
należy zastanowić się nad określeniem jej przedmiotu. Twierdzimy, że
chronić należy dwa podstawowe elementy sieci:
„

Zasoby sieciowe

„

Komponenty fizyczne

Jeśli popatrzymy na zabezpieczenie sieci jako na strukturę zapór, to łatwo
możemy sobie wyobrazić warstwy ochronne, otaczające rdzeń zasobów
systemu sieciowego. (Por. rysunek 1.1.)

Zrozumienie podstaw ochrony systemu

19

Rysunek 1.1

Warstwy ochronne
sieci zapewniające
bezpieczeństwo
systemu.

Oto lista warstw ochronnych:

„

Warstwa fizyczna jest pierwszą barierą chroniącą system przed utratą
zasobów.

„

Mechanizmy sieciowego systemu operacyjnego tworzą drugą war-
stwę ochronną.

„

Strategie i procedury administracyjne to warstwa trzecia.

„

Konta i identyfikatory użytkowników stanowią czwarty poziom za-
bezpieczeń.

„

Piątą barierą są uprawnienia do zasobów.

„

Warstwę szóstą zapewnia redundancja.

Rozpoczniemy od analizy fizycznego bezpieczeństwa sieci oraz wskaże-
my najsłabsze punkty konieczne do rozważenia przy planowaniu ochro-
ny sprzętu.

Warstwa ochrony fizycznej

Sercem każdej sieci jest sprzęt komputerowy. Bez niego nawet najlepsze
oprogramowanie nie jest warte funta kłaków. Co zatem należy zrobić,
aby właściwie chronić swój sprzęt? Ponadto, co konkretnie wymaga za-
bezpieczenia?

Największe zagrożenia dla sprzętu są związane z warunkami, w jakich
pracują. Uszkodzenia licznych urządzeń wynikają z nieodpowiednich

Część I Przegląd systemu ochrony Microsoft Windows NT

20

warunków panujących w miejscu, gdzie się znajdują. Przykładowo: wy-
obraźmy sobie dwanaście serwerów umieszczonych w

nieklimaty-

zowanym pokoju, gdzieś w tropiku. Pokój może być zabezpieczony
i zamknięty, a po dziesięciu minutach dla administratora stanie się jasne,
że jego największym problemem wcale nie są złodzieje.

Przede wszystkim należy zabezpieczyć wyposażenie przed szkodliwymi
wpływami środowiska, typu wysoka temperatura, nadmierna wilgotność
lub ekspozycja innych szkodliwych czynników, takich jak wyładowania
elektrostatyczne oraz zakłócenia właściwych parametrów zasilania elek-
trycznego.

Kolejnym etapem jest zapewnienie ochrony systemu przed wtargnięciem
osób nieupoważnionych. Należy stworzyć fizyczne bariery między siecią
a światem zewnętrznym. Jak już było powiedziane, stopień odporności
przyjętych zabezpieczeń zależy od specyficznych uwarunkowań sieci.
Szczególnej ochronie powinny podlegać masowe składnice informacji, na
przykład serwery i systemy magazynowania danych. Nie można zapo-
mnieć o koncentratorach i wszystkich urządzeniach komunikacyjnych,
umożliwiających użytkownikowi podłączenie do zasobów sieci.

Zabezpieczeniu powinny podlegać także stacje robocze, wykorzystywane
przez użytkowników do połączeń z siecią. Ponieważ stacje robocze są
trudniejsze do ochrony niż serwery, należy je zabezpieczać różnymi me-
todami. Lista możliwych rozwiązań zaczyna się na zwykłej inwentaryza-
cji jednostek, a kończy na stacjach roboczych nie posiadających dysków,
ładujących system wyłącznie poprzez kartę sieciową. Szczegóły plano-
wania fizycznych zabezpieczeń serwerów, stacji roboczych i kom-
ponentów sieci zostaną omówione w dalszej części rozdziału.

Zabezpieczenia dostępne poprzez system operacyjny

Dzięki dobremu projektowi, Microsoft Windows NT Server 4.0 stanowi
ze swej istoty doskonałą bazę do tworzenia bezpiecznych rozwiązań sie-
ciowych. Aspekt bezpieczeństwa był najważniejszym założeniem projek-
tantów linii Windows NT. Środki ochrony wbudowane do systemu, sta-
wiają go na czele współczesnych produktów sieciowych.

Ponieważ ta warstwa ochrony budowana jest dzięki cechom systemu
operacyjnego, to jesteśmy w posiadaniu dodatkowej korzyści, polegającej
na możliwości monitorowania pracy wszystkich obiektów, będących
częścią serwera lub sterowanych przez niego. Stopień szczegółowości
monitoringu można regulować, aczkolwiek najistotniejsze cechy elemen-
tów systemu są rejestrowane bez przerwy. Nie można zatrzymać zapisu

Zrozumienie podstaw ochrony systemu

21

informacji o zdarzeniach systemowych. Można jednak oczyścić dzienniki
z zapisami informacji pochodzących z monitorowania.

Jest to pierwszy poziom zabezpieczeń skupiający się na ochronie zaso-
bów sieci, a nie na urządzeniach fizycznych. Od tego miejsca projekto-
wanie i implementacja zabezpieczeń odbywa się poprzez wykorzystanie
narzędzi systemu operacyjnego.

Strategie administracyjne

Zanim zostaną określone jakiekolwiek identyfikatory, administratorzy
powinni zaprojektować, jak wykorzystać narzędzia dostępne w Windows
NT do konfiguracji wielu reguł dostępu wspólnych dla wszystkich użyt-
kowników. Przyjęte rozwiązania mogą określać specyficzne działanie
systemu w czasie procedury rejestracji. W szczególności mogą ograniczać
dostęp użytkownika do konkretnych stacji roboczych, regulować prze-
działy czasowe, w których użytkownik ma dostęp do sieci, lub limitować
rozmiar dostępnej mu przestrzeni dyskowej. Wykorzystując obowiązko-
we profile użytkownika (Mandatory User Profiles), administrator może
nawet ograniczyć opcje systemu dostępne poprzez interfejs i to niezależ-
nie od stacji, na której użytkownik rejestruje się w sieci. Ten typ profilu
jest niczym więcej niż profilem użytkownika. Różnica polega na tym, że
to administrator określa rodzaj upoważnień, dostępnych poprzez profil
użytkownikowi rejestrującemu się w systemie. Jeśli z jakichkolwiek po-
wodów ten profil jest niedostępny w procesie rejestracji, to użytkownik
nie ma dostępu do sieci.

Mówimy teraz o drugim poziomie ochrony zasobów, ale jest to pierwsza
faza, w której przyjęte założenia projektowe zaczynają odgrywać ważną
rolę. Na tym poziomie modelu zabezpieczeń, należy się skupić na do-
stępności narzędzi administracyjnych typu Server Manager i User Mana-
ger for Domain. Istotą jest ograniczenie dostępu jedynie do elementów,
za które odpowiedzialny jest administrator systemu lub ich części.

Przydział kont sieciowych

Kolejny poziom ochrony jest realizowany w procesie identyfikacji użyt-
kownika przez system bezpieczeństwa Windows NT. Żaden klient sieci
nie ma dostępu do żadnych, przeznaczonych do wspólnego użytkowania
zasobów, jeśli nie otrzymał konta w systemie. Zanim nabędzie prawo
korzystania z dobrodziejstw sieci, musi jeszcze pomyślnie przejść proces
rejestracji i przedstawić właściwe jego kontu hasło.

Część I Przegląd systemu ochrony Microsoft Windows NT

22

Wyjątkiem od tej reguły jest możliwość dostępu do sieci za pośrednic-
twem specjalnego konta gościa (guest), które jest wbudowane w Windows
NT. Dostępność tego konta jest domyślnie wyłączona w czasie instalacji
Windows NT Server. Z wielu powodów taki stan konta „gość” lepiej
pozostawić na zawsze.

Najważniejszą sprawą na tym etapie jest ochrona identyfikatorów i haseł
użytkowników. Każdy użytkownik powinien zostać pouczony o konsek-
wencjach ujawnienia innym osobom swoich danych identyfikacyjnych.
Wszyscy muszą zrozumieć, że bezpieczeństwo sieci zależy od ich współ-
udziału w procesie ochrony. Ponadto osoba, która ujawniła swoje hasło,
musi być świadoma, że będzie ponosić odpowiedzialność za ewentualne
działania innych ludzi, którzy zarejestrowali się na jej rachunek.

Uprawnienia do zasobów

Sieciową dostępność dla uprawnionych użytkowników, zasobów prze-
znaczonych do wspólnego użytkowania (rozpoznawanych poprzez iden-
tyfikator ID), regulują prawa dostępu. Uprawnienia do zasobów można
przydzielać kontom indywidualnym lub grupom użytkowników wyróż-
nianych identyfikatorami jej członków.

Z drugiej strony, można wykorzystać prawa dostępu do zbiorów, które
stosuje się bezpośrednio do plików i katalogów utworzonych na partycji
NTFS (New Technology File System). Stosowanie tego rodzaju uprawnień
uwidacznia swoją przewagę, przy ograniczaniu dostępu do zbiorów
znajdujących się na serwerze NT, osobom zarejestrowanym na serwerze
plików, korzystającym z interfejsu Windows. Ponieważ użytkownicy
zarejestrowani na serwerze mają możliwość bezpośredniego dostępu do
jego fizycznych napędów, uprawnienia do zbiorów współdzielonych nie
są potrzebne, aby uzyskać dostęp do danych składowanych na serwerze.
Uprawnienia dostępu do zasobów współdzielonych mogą być omijane
i użytkownik, mogący rejestrować się na serwerze, posiada wgląd do
ważnych danych.

Rozwiązaniem problemu jest uniemożliwienie rejestracji na serwerze
albo poprzez fizyczne zamknięcie serwera (dobry pomysł!), albo odebra-
nie uprawnień do lokalnego rejestrowania się na serwerze. Jeżeli serwer
musi być wykorzystywany bezpośrednio przez użytkownika, pozostaje
wykorzystać uprawnienia NTFS, które ograniczają dostęp do wymagają-
cych ochrony plików, znajdujących się na napędzie serwera.

Zrozumienie podstaw ochrony systemu

23

Redundancje w systemie

O bezpieczeństwie sieci stanowi nie tylko odporność na zagrożenia ze
strony czynników fizycznych czy ludzkich, ale również możliwość prze-
trwania najczęściej spotykanej katastrofy - awarii urządzeń. Typowym
kandydatem, zawsze gotowym się zepsuć, jest napęd twardego dysku.

Lekarstwem na uszkodzenie się ważnego urządzenia jest zapewnienie
odpowiedniej nadmiarowości systemu. Jest to najczęściej stosowane roz-
wiązanie przy projektowaniu zarówno sieci jak i jej komponentów - ser-
werów. Przykładowo: aby zapewnić działanie sieci mimo awarii twarde-
go dysku, stosuje się mirroring danych na kilku urządzeniach. Aby
uchronić się przed szkodami wynikłymi z zanikiem zasilania, można
stosować wiele zasilaczy awaryjnych dla kluczowych urządzeń siecio-
wych.

Wymienione wyżej rozwiązania dotyczą fizycznych elementów systemu.
Nadmiarowość należy również wykorzystywać przy projektowaniu lo-
gicznej struktury sieci. Oznacza to, że przyjęte procedury administracyjne
muszą być wspierane odpowiednią redundancją. Przykładem może być
reguła: „Jeżeli automatyczny proces nocnej archiwizacji nie zakończył się
pomyślnie, administrator osobiście tworzy kopie zapasową serwera”.
Nadmiarowość wynika tu z założenia, że kopie zapasowe muszą być
tworzone codziennie. Jeśli zapis dziennika poinformuje administratora, iż
nocna archiwizacja „nie wyszła”, to musi on natychmiast wykonać ją
osobiście. Jeśli zawiedzie jeden z systemów, to powinien być natychmiast
zastąpiony innym, zawsze gotowym do podjęcia pracy.

Stopień, w jakim redundancja zbliża się do odporności na błędy, może
być mierzony czasem niezbędnym do podjęcia działania przez system
alternatywny lub zapasowy. Przykładowo: nadmiarowość danych może
być osiągnięta przez tworzenie kopii zapasowych, ale również przez
mirroring napędów. Chociaż pierwszy sposób zapewnia pełną redun-
dancję informacji, to całkowicie przegrywa pod względem długości prze-
rwy w pracy. W drugim przypadku jest ona praktycznie niemierzalna..

Planowanie ochrony sieci: dwa scenariusze

Przy planowaniu systemu ochrony sieci, należy wyróżnić dwa ogólne
scenariusze:

„

Tworzenie nowej instalacji sieciowej.

„

Modyfikacja systemu ochrony już istniejącej sieci.

Część I Przegląd systemu ochrony Microsoft Windows NT

24

Oba scenariusze stawiają podobne wymagania. Każda warstwa ochronna
musi być przeanalizowana i wprowadzona do systemu. Największa róż-
nica polega na konieczności gruntownego przemyślenia i udokumen-
towania zastanych rozwiązań przed wprowadzeniem jakichkolwiek
zmian do już istniejącej sieci.

Planowanie nowej instalacji

Nowa instalacja sieciowa stwarza dogodną okazję do zaprojektowania
solidnych rozwiązań ochronnych, zanim pierwszy użytkownik zareje-
struje się w systemie. Wykorzystując ideę warstw ochronnych, przedsta-
wioną we wcześniejszej części rozdziału, można dla każdej z nich zapro-
jektować formularz określający metody, zapewniające odpowiedni po-
ziom ochrony każdego elementu.

Planowanie rozwiązań ochronnych przed zagrożeniami fizycznymi.
Tworzymy formularz zawierający trzy pola. W pierwszym umieszczamy
listę wszystkich fizycznych komponentów systemu. Powinna ona zawie-
rać zarówno serwery jak i kluczowe dla działania systemu elementy sie-
ciowe. Z każdym urządzeniem lub komponentem kojarzymy spis zagra-
żających mu czynników. Obok, w trzeciej rubryce wpiszemy rozwiązania
niezbędne do obniżenia ryzyka lub jego eliminacji. Przykład formularza
zawiera tablica 1.1, opisująca źródła zagrożeń i metody ich eliminacji
związane z serwerem plików.

Tabela 1.1 Ochrona fizycznych elementów sieci

Komponenty

Źródła zagrożeń Metody

zabezpieczania

Sieciowe serwery
plików

Wpływ czynników
środowiska

Zapewnić urządzeniom warunki pracy
chroniące je przed wpływem wysokiej
temperatury, zimna i wilgoci

Niewłaściwe parametry

zasilania

Zainstalować bezpieczniki
przepięciowe, stabilizatory i zasilacze
awaryjne (ups) w celu filtrowania
i oczyszczania z zakłóceń prądu
zasilania.

Brak

zasilania

Zainstalować ups, bezprzerwowy
zasilacz sieciowy do rezerwowego
zasilania urządzeń, zaimplementować
możliwość automatycznego,
bezpiecznego wygaszania systemu.
Zamknąć jednostki by ograniczyć
dostęp do wyłącznika sieciowego.

Nieuprawniony

dostęp Przechowywać urządzenia

w zamkniętych pomieszczeniach.

Zrozumienie podstaw ochrony systemu

25

Komponenty

Źródła zagrożeń Metody

zabezpieczania

Infekcje

wirusowe

Odłączyć urządzenia obsługujące
wymienne nośniki lub przechowywać
jednostki w zamkniętych
pomieszczeniach.

Uszkodzenia

fizyczne

Przechowywać urządzenia
w zamkniętych pomieszczeniach.

Kradzież Systematycznie

inwentaryzować

wszystkie elementy, sprawdzając
numery seryjne. Przechowywać
urządzenia w zamkniętych
pomieszczeniach.

W podobny sposób należy opracować plan ochrony wszystkich części
wyposażenia służących do składowania, transmisji i przetwarzania da-
nych. Każdy element sieci, odgrywający kluczową rolę dla jej prawidło-
wego działania, musi być chroniony w takim samym stopniu.

Stosowanie systemu operacyjnego o wysokim stopniu ochrony

Przy wyborze sieciowego systemu operacyjnego, należy wykorzystać
podobny formularz. System operacyjny jest czynnikiem decydującym
o bezpieczeństwie danych przechowywanych i przetwarzanych w syste-
mie komputerowym. Windows NT 4.0 wyposażony jest bogaty zbiór
narzędzi ochrony zintegrowanych z systemem już w fazie projektowania.
Rozwiązania zaimplementowane w produktach serii MS Windows NT
umożliwiają dużą elastyczność bez utraty nadrzędnej wartości - całkowi-
tej ochrony systemu.

Poniższa lista przedstawia kilka rozwiązań przyjętych w Windows NT
Server:

„

Precyzyjna ochrona dostępu. Steruje dostępem konkretnych użytkowni-
ków do odpowiednich obiektów. Lista kontroli dostępu (ACL - Access
Control List) zapewnia mechanizm nadzoru, czy określony użytkow-
nik systemu ma uprawnienia do danego obiektu.

„

Identyfikacja i autoryzacja kont. Zanim użytkownik otrzyma pozwolenie
dostępu do jakichkolwiek zasobów systemu, musi posiadać w nim
konto. W procesie rejestracji sprawdzana jest tożsamość użytkownika
konta (identyfikator), którą następnie system weryfikuje poprzez
sprawdzenie hasła

„

Bezpieczna architektura systemu. Kody i struktury danych przetwarzane
w systemie muszą być zabezpieczone przed zewnętrznymi zmianami.

Część I Przegląd systemu ochrony Microsoft Windows NT

26

W Windows NT osiągnięto ten cel, całkowicie zabezpieczając obsługę
jądra systemu operacyjnego przed wpływem aplikacji użytkowników.

„

Powtórne wykorzystanie obiektów. Zanim dowolny obiekt zostanie zwol-
niony systemowi do ponownego wykorzystania, wszystkie prawa do-
stępu, jakie zostały do niego przydzielone wcześniej, zostają skasowa-
ne.

„

Możliwość nadzoru. Windows NT umożliwia śledzenie dostępu do
wszystkich obiektów systemu. System monitoringu może zapisywać
w dziennikach następujące zdarzenia: rejestracje w systemie, korzy-
stanie ze zbiorów, usuwanie obiektów, próby nieuprawnionego do-
stępu i wiele innych.

Kolejnym argumentem przemawiającym za wyborem Microsoft Win-
dows NT Server jest łatwość integracji z innymi sieciowymi systemami
operacyjnymi, na przykład: NetWare. W wielu środowiskach systemy te
już działają i muszą współpracować z nową instalacją. Zapewnienie od-
powiedniego poziomu bezpieczeństwa w środowisku hybrydowym jest
bardzo trudne, jeśli stosowane systemy nie posiadają mechanizmów za-
pewniających współpracę.

Windows NT wyposażony jest w narzędzia ułatwiające, jeśli zajdzie taka
potrzeba, przechodzenie użytkowników ze starego systemu do nowego.

Określenie strategii bezpiecznej administracji

Zanim wprowadzimy do systemu pierwszego użytkownika, muszą być
określone zasady zarządzania siecią. Należy zdefiniować strukturę ad-
ministrowania w relacji do idei domeny wykorzystywanej w systemach
sieciowych opartych o Windows NT. Należy również określić zasady
nazewnictwa domen, serwerów, użytkowników i zasobów sieci.

Jeśli wykorzystujemy kilka domen, musimy określić relacje upoważnie-
nia między nimi, co ułatwi pracę administracyjną. Problematyka domen,
wykorzystujących relacje upoważnienia, będzie szczegółowo opisana
w rozdziale 2. Przegląd systemu ochrony Microsoft Windows NT
i rozdziale 4. Koncepcja domen Windows NT. Na bieżącym etapie musi-
my jedynie określić, jakie lokalne i globalne grupy użytkowników należy
dołączyć do grup, domyślnie utworzonych przez Windows NT. Rodzaj
i liczba grup zależy od potrzeb konkretnej instytucji.

Kolejnym krokiem jest określenie członków każdej z predefiniowanych
grup Windows NT. Przykładami są: Administrators - administratorzy lub
Backup Operators - operatorzy archiwizacji. Przynależność do każdej
predefiniowanej grupy uprawnia do wykonywania pewnych działań
administracyjnych, których wpływ na stopień bezpieczeństwa systemu

Zrozumienie podstaw ochrony systemu

27

jest wyższy od możliwości zwykłego użytkownika sieci. W trakcie pla-
nowania na tym poziomie, należy skompletować zespół odpowiedzialny
za opiekę nad siecią. Trzeba zdecydować, które z domyślnych grup Win-
dows będą wykorzystane, a jakie są ewentualnie zbędne. Później zostanie
określony zakres indywidualnej odpowiedzialności każdego administra-
tora. Konta administratorów mogą być skojarzone z odpowiednimi gru-
pami.

Na przykład: Można zaplanować, że użytkownicy pracujący w Wydziale
Kadr będą mieli uprawnienia do zakładania i usuwania kont użytkowni-
ka. Można uprawnić członków zespołu nadzorującego sieć do wykony-
wania archiwizacji serwera.

Określenie reguł dotyczących kont użytkowników oraz ich
atrybutów

Przyjęte zasady dotyczące kont oraz ich atrybutów umożliwiają sterowa-
nie zakresem uprawnień użytkowników do współpracy z systemem.
Obejmują reguły tworzenia haseł, na przykład poprzez ograniczenie ich
najmniejszej długości. Mogą ograniczać użytkownikowi dostępność sieci
jedynie poprzez wybrane stacje robocze lub limitować czas korzystania
z sieci do określonych przedziałów czasowych. Wszystkie te atrybuty
można ustawiać poprzez odpowiednią konfigurację parametrów ochrony
systemu.

Możliwe do konfiguracji reguły, dotyczące użytkowników, dzielą się na
trzy główne kategorie:

„

Reguły dotyczące kont. Za ich pomocą określamy opcje dotyczące sto-
sowania haseł. Możemy spowodować, aby użytkownicy byli zmusze-
ni do stosowania haseł, by hasła były odpowiednio długie oraz zmie-
niane z wymaganą częstotliwością. Można również określić okolicz-
ności powodujące zamknięcie dostępności konta, co zapobiega pró-
bom nieuprawnionego dostępu do systemu metodą zgadywania ha-
sła.

„

Reguły dotyczące praw dostępu. Dzięki nim sterujemy różnorodnymi
przywilejami poszczególnych użytkowników i grup. Windows NT
zawiera predefiniowane grupy użytkowników, posiadające upraw-
nienia do typowych prac administracyjnych koniecznych do wyko-
nywania w sieci. Na przykład: grupa operatorów archiwizacji (Backup
Operators) ma prawa do omijania systemu ochrony i archiwizowania
dysków serwera. Konta usług mają zdolność do uruchamiania pro-
gramów usługowych, dostępnych na platformie Windows NT. Jeśli
predefiniowane grupy Windows NT nie zapewniają odpowiedniej
kombinacji przywilejów, użytkownikom mogą być przyznane indy-

Część I Przegląd systemu ochrony Microsoft Windows NT

28

widualne pozwolenia. Można również utworzyć grupę
o odpowiednich przywilejach, a następnie wyznaczyć użytkowników,
którzy będą członkami tych grup.

„

Zasady nadzoru. Posługując się odpowiednią parametryzacją systemu
można określić poziom monitorowania aktywności użytkowników.
Dzięki wartościowym, z

punktu widzenia ochrony, zapisom

w dziennikach możemy śledzić różnorodne aspekty działania. Można
na przykład ustawić system nadzoru do zapisywania zdarzeń
o rejestracji i opuszczeniu systemu, o wykorzystaniu obiektów, praw
dostępu do plików itp.

Do odrębnej grupy zagadnień należą parametry indywidualnych kont
użytkowników, które również można konfigurować przy pomocy Win-
dows NT. Zbiór specyficznych własności obejmuje: listę grup, do których
należy użytkownik, w jakich godzinach użytkownikowi wolno rejestro-
wać się w systemie, czy konto ma wyznaczoną datę, po której wygasa,
czy użytkownik ma uprawnienia do zdalnej rejestracji w systemie. Inne
przykłady możliwych do zdefiniowania parametrów użytkownika to:
„

Zdolność do zmiany własnego hasła.

„

Określenie czy konto jest lokalne, czy globalne.

„

Wyznaczenie prywatnego katalogu użytkownika (home directory).

„

Wyznaczenie skryptu rejestracyjnego (log-on script).

„

Określenie profilu użytkownika.

„

Określenie profilu obowiązkowego.

„

Przydzielenie użytkownika do grup predefiniowanych.

Ustawianie dostępności zasobów

Kolejnym obowiązkiem administratora jest zinwentaryzowanie wszyst-
kich zasobów sieci. Każdy element zasobów musi być możliwy do iden-
tyfikacji, a plan ochrony musi zapewniać dostępność do niego jedynie
przez uprawnionych użytkowników.

Zasobami określamy zazwyczaj zbiór wszystkich usług dostępnych
w systemie. Przykładem może być usługa dostępu do katalogów znajdu-
jących się na napędzie serwera plików. Inne to możliwość korzystania
z drukarek, modemów lub baz danych. Windows NT wymaga, że aby
uczynić katalog lub drukarkę dostępną w sieci, należy wyznaczyć je do
wspólnego użytkowania. Wyznaczone do wspólnego użytkowania ele-
menty będą dalej nazywane zasobami współdzielonymi lub krócej
wspólnymi (network share). Określanie pozwoleń dostępu do zasobów
wspólnych dla grup lub pojedynczych użytkowników będzie omówione
później.

Zrozumienie podstaw ochrony systemu

29

Poprzez identyfikację niezbędnych do pracy zasobów, należy określić,
jakie dane będą składowane na serwerze. Kolejno trzeba wskazać miejsce
ich umieszczenia oraz użytkowników mających prawa z nich korzystać.

Oto przykład: Przypuśćmy, że grupa użytkowników musi korzystać ze
wspólnego zbioru danych księgowych. Prawo dostępu do tych informacji
mają jedynie pracownicy działu księgowości. Jedynie kilku osobom tego
działu wolno modyfikować dane. Pozostali mogą je jedynie przeglądać.
W oparciu o powyższe założenia stwierdzamy:

„

Miejscem składowania danych księgowych będzie serwer plików

„

Wykorzystując prawa dostępu, należy przydzielić katalog, w którym
będziemy przechowywać dane do wspólnego, wyłącznego użytko-
wania przez personel działu księgowości.

„

Należy utworzyć grupę lokalną, zawierającą personel działu księgo-
wego. Cała grupa powinna mieć pozwolenie na czytanie (read) da-
nych księgowych zawartych w wydzielonym katalogu.

„

Należy utworzyć kolejną grupę lokalną, której członkami zostaną
użytkownicy mający uprawnienia do przetwarzania danych księgo-
wych. Jedynie tej grupie przyznane zostaną prawa modyfikacji da-
nych, zawartych w wydzielonym katalogu.

„

Jeśli serwer znajduje się w miejscu dostępnym, dane muszą być za-
bezpieczone poprzez ograniczenie praw lokalnej rejestracji na serwe-
rze lub należy wykorzystać system plików NTFS i odpowiednio usta-
wić pozwolenia dostępu do katalogu zawierającego interesujące nas
dane.

Powyższy schemat rozciąga się na wszystkie dostępne w systemie zasoby
współdzielone. Kolejno definiujemy zasoby i uprawnienia dostępu, jakie
do nich przysługują.

Ochrona istniejącej sieci

Zabezpieczenie działającej sieci jest zazwyczaj trudniejsze od implemen-
tacji mechanizmów ochrony nowej instalacji. Główną przyczyną jest ko-
nieczność analizy aktualnego stanu. Wszystkie zasoby muszą być zin-
wentaryzowane, a uprawnienia do nich zweryfikowane. Kolejna trud-
ność wynika z obowiązku liczenia się z pracą użytkowników. Wszystkie
działania zabezpieczające nie mogą spowodować ograniczenia dostępno-
ści do zasobów osobom uprawnionym. Istotą działań ma być poprawa
bezpieczeństwa systemu, a nie komplikowanie pracy użytkownikom.

Pamiętając o powyższych uwagach, należy stosować te same procedury,
co przy planowaniu nowej sieci. Zasadnicza różnica czeka na starcie.

Część I Przegląd systemu ochrony Microsoft Windows NT

30

Należy najpierw zweryfikować aktualny stan wszystkich warstw modelu
ochrony. Rozpoczniemy od warstwy fizycznej, postępując kolejno we-
dług następującej procedury:

„

Przeanalizować fizyczne bezpieczeństwo wszystkich komponentów
sieci.

„

Sprawdzić, czy sieciowy system operacyjny posiada wystarczające
mechanizmy ochrony.

„

Przejrzeć strategię administracyjną i aktualnie stosowane procedury.

„

Zweryfikować zarówno reguły dotyczące kont użytkowników, jak
i przysługujące im atrybuty.

„

Sprawdzić dostępność zasobów oraz pozwolenia dostępu przyznane
użytkownikom.

„

Pamiętać, że zmiany wymagają gwarancji dostępności zasobów
i wsparcia administratora dla użytkowników sieci.

Po zweryfikowaniu wszystkich warstw, należy sformułować plan nie-
zbędnych zmian. Innowacje wdrażamy stopniowo. W tym samym czasie
można dokonywać zmian tylko na jednym poziomie, aby uniknąć nawar-
stwiania się różnorodnych problemów. Działania na każdym etapie win-
ny być zaplanowane, wdrożone, a następnie skontrolowane pod kątem
ewentualnych skutków ubocznych. Po upewnieniu się, że zmiany przy-
niosły satysfakcjonujący rezultat, należy zaplanować kolejny krok.

Idea polega na wykonywaniu tylko jednej rzeczy naraz. W razie proble-
mów łatwo jest wtedy znaleźć przyczynę trudności i zrobić odpowiednią
modyfikację. Dokonanie kilku zmian w tym samym czasie rodzi niebez-
pieczeństwo dużych trudności w identyfikacji źródła ewentualnych kło-
potów. Jeśli problem wyniknął ze zmiany jednego parametru, to wystar-
czy wrócić do pierwotnego ustawienia. Zidentyfikowanie przyczyny
problemu odkrytego po zmianie pięciu parametrów jest o wiele trudniej-
sze.

Planowanie ochrony fizycznej

Fizyczne zagrożenia bezpieczeństwa sieci mogą mieć wiele różnorodnych
źródeł. Należy je wszystkie zidentyfikować i określić możliwość ich
wpływu na system. Konieczne jest sprawdzenie fizycznej ochrony
wszystkich komponentów instalacji, takich jak serwery i routery. Jak już
wzmiankowano, najpierw należy zinwentaryzować wszystkie elementy
oraz związane z nimi zagrożenia. Kolejnym etapem jest wdrożenie roz-
wiązań zabezpieczających wyposażenie i zapewnienie mu odpowiednich

Zrozumienie podstaw ochrony systemu

31

warunków pracy. Tabela 1.2 ilustruje środki zaradcze przeciw najczęściej
występującym zagrożeniom sieci.

Tabela 1.2 Ochrona fizycznej struktury sieci

Czynniki
zagrażające
bezpieczeństwu

Przyczyna utraty zasobów Rozwiązanie

Czynniki grożące
utratą zasobów
sieciowych

Wpływ czynników
środowiska, takich jak zła
wentylacja, wysoka
temperatura, nadmierna
wilgotność zagrażająca
wrażliwym elementom
elektronicznym.

Zapewnić wszystkim elementom
warunki pracy zgodne
z wymaganiami zawartymi
w dokumentacji fabrycznej.

Niewłaściwe parametry

zasilania, grożące
uszkodzeniem elementów.

Zainstalować bezpieczniki
przepięciowe, stabilizatory
i zasilacze awaryjne (UPS).

Brak zasilania zagrażający
dostępności do kluczowych
elementów sieci.

Zainstalować UPS - bezprzerwowy
zasilacz sieciowy do rezerwowego
zasilania urządzeń,
zaimplementować możliwość
automatycznego, bezpiecznego
wygaszania systemu. Zamknąć
jednostki, by ograniczyć dostęp do
wyłącznika sieciowego.

Fizyczne

uszkodzenia

mogące spowodować utratę
zasobów.

Przechowywać urządzenia
w zamkniętych pomieszczeniach.

Kradzież Systematycznie

inwentaryzować

wszystkie elementy, sprawdzając
numery seryjne. Przechowywać
urządzenia w zamkniętych
pomieszczeniach.

Naturalne,

losowe

uszkodzenia sprzętu.

Zapewnić odpowiednią
redundancję systemu dla
wszystkich kluczowych elementów
sieci. Posiadać sprzęt i części
zamienne niezbędne do
natychmiastowego użycia.
Standaryzacja wyposażenia.

Zagrożenia związane

z wystąpieniem sił natury,
powodujących rozległe
zniszczenia.

Szczegółowy plan działania na
wypadek klęsk żywiołowych,
zawierający opis metod
odtwarzania sprzętu,
oprogramowania i danych.
Przechowywanie kopii zapasowych
w zewnętrznej, bezpiecznej

Część I Przegląd systemu ochrony Microsoft Windows NT

32

Czynniki
zagrażające
bezpieczeństwu

Przyczyna utraty zasobów Rozwiązanie

składnicy danych.

Nieuprawniony,
fizyczny dostęp do
elementów sieci.

Brak fizycznej ochrony
komponentów.

Przechowywać urządzenia
w zamkniętych pomieszczeniach

Nieuprawniony
dostęp do danych lub
zasobów sieciowych.

Systemy zdalnego dostępu
za pośrednictwem
Internetu.

Wyłączyć ruch za pośrednictwem
protokołów IP (IP routing),
odpowiednio zabezpieczyć karty
sieciowe. W przypadku korzystania
z dostępu poprzez sieci zewnętrzne
zaimplementować odpowiednie
zapory (firewalls)

Wyposażenie do podsłuchu

okablowania
wykorzystywane do
przechwycenia danych
transmitowanych siecią.

Zabezpieczyć drogi transmisji
przed nieupoważnionym dostępem
lub korzystać z okablowania
światłowodowego, co zabezpiecza
je przed większością urządzeń
podsłuchowych. Zaimplementować
kodowanie danych
transmitowanych przez
niechronione obszary. Usuwać
adaptery sieciowe, które nie będą
już wykorzystywane.

Uszkodzenia
spowodowane
wirusami
oprogramowania.

Infekcje ze strony zasobów
sieciowych.

Przeszkolić użytkowników
w zakresie wykorzystania
oprogramowania antywirusowego.
Egzekwować stosowania procedur
antywirusowych przed użyciem
jakichkolwiek nowych programów
pochodzących z uaktualnień drogą
poczty elektronicznej lub z innych
źródeł sieciowych.

Infekcje

pochodzące

z wymiennych nośników
pamięci, w szczególności
z dysków elastycznych.

Odłączyć urządzenia obsługujące
wymienne nośniki lub
przechowywać jednostki
w zamkniętych pomieszczeniach.
Stosować stacje robocze
pozbawione napędów wymiennych
nośników pamięci. Wykorzystywać
komercyjne oprogramowanie
antywirusowe.

Powyższa tabela demonstruje ideę działań, mających na celu zabezpie-
czenie sieci metodami fizycznymi. Jak widać, podstawowe zabezpiecze-
nie systemu jest długim procesem, a przecież to dopiero początek pełne-
go planu ochrony. W następnej części rozdziału przedstawimy inny

Zrozumienie podstaw ochrony systemu

33

aspekt fizycznej ochrony sieci związany ze stosowaniem rozwiązań okre-
ślanych jako odporne na błędy.

Wykorzystanie rozwiązań odpornych na błędy

Termin odporność na błędy oznacza rozwiązania ochronne, wykorzystu-
jące fizyczną redundancję komponentów systemu jako zabezpieczenie na
wypadek awarii jednego lub więcej krytycznych elementów sieci. Nowo-
czesne konfiguracje sprzętowe umożliwiają elastyczność w stosowaniu
różnorodnych systemów nadmiarowych. Zazwyczaj możemy korzystać
z różnych typów sprzętowej implementacji redundancji dysków.

Ochrona urządzeń do składowania danych

Windows NT dostarcza możliwości korzystania z różnorodnych metod
ochrony napędów pamięci. Jedne z nich implementowane są na poziomie
sprzętu, inne na bazie oprogramowania. Optymalnym rozwiązaniem jest
najczęściej metoda kombinowana, wykorzystująca obie drogi implemen-
tacji.

Śledzenie transakcji w Windows NT 4.0 Jedna z metod zabezpieczania
danych polega na wykorzystaniu dziennika śledzenia transakcji na wo-
lumenie NTFS. Plik dziennika zawiera informacje, umożliwiające syste-
mowi operacyjnemu odtworzenie - w razie awarii układu - danych za-
wartych na dysku, do ostatniego dobrze znanego stanu. Do tworzenia
pliku, który zawiera wszystkie informacje niezbędne systemowi, służy
usługa dziennika plików (Log File Service). Poniższa lista zawiera spis
zdarzeń związanych z normalnym procesem operacji wejścia/wyjścia:

1. Inicjacja operacji I/O związanej z zapisem pliku na dysk.

2. W trakcie przebiegu operacji, Windows NT zapisuje związane z nią

czynności. W dzienniku transakcji są odnotowywane informacje ko-
nieczne do powtórzenia operacji, jeśli zajdzie taka potrzeba (redo).

3. W tym samym czasie system zapisuje informacje niezbędne do przy-

wrócenia poprzedniego stanu transakcji (undo). Będą one wykorzysta-
ne, gdy zajdzie potrzeba odtworzenia sytuacji, w razie błędnego za-
kończenia operacji

4. Jeśli operacja I/O zakończy się pomyślnie, zmiany zostają zapisane.

Jeśli transakcja zawierała błąd lub była niekompletna, system wyko-
rzysta informacje zapisane w dzienniku (undo) do odtworzenia po-
przedniego stanu.

Część I Przegląd systemu ochrony Microsoft Windows NT

34

Na przykład: przypuśćmy, że system doznał awarii w trakcie zapisu na
dysk. W czasie ponownego inicjowania systemu zajdzie następująca se-
kwencja zdarzeń:

1. System, porównując dane zapisane na dysku z zapisami w dzienniku,

przeanalizuje stan napędu dysku i dokładnie określi, które klastery
muszą być odtworzone.

2. Wszystkie transakcje odnotowane w poprzednim punkcie zostaną

powtórnie przetworzone dzięki zapisom w dzienniku plików (redo).

3. W kolejnym kroku, nazywanym etapem undo system przywróci stan

przed awarią wszystkim niezakończonym transakcjom. Również
w tym celu zostaną wykorzystane informacje zawarte w dzienniku
(tym razem undo).

Zamienność sektorów. Podobnie jak inne systemy operacyjne, w trakcie
formatowania twardego dysku, Windows NT oznacza wszystkie uszko-
dzone sektory. Zapis do nich jakichkolwiek informacji jest niemożliwy.
Ponadto NT wykrywa błędy zapisu związane z uszkodzeniem sektorów.
System oznacza sektor jako uszkodzony i przeadresowuje go do dobrego.
Wszystkie informacje, które miały być zapisane w złym sektorze zostają
przepisane do nowego.

Mirroring i dupleksing dysków

Mirroring i dupleksing dysków należą do najlepszych metod zapewnie-
nia integralność i niezawodność dostępu do danych. Mirroring polega na
połączeniu dwóch twardych dysków o tej samej pojemności całkowitej,
które są zainstalowane na tym samym serwerze. Informacje zapisane na
jednym dysku są lustrzaną kopią zapisów na drugiej jednostce.
W przypadku awarii jednego z napędów, drugi przejmuje rolę jedynej
składnicy danych. Oba urządzenia są nieustannie synchronizowane
w celu zapewnienia wzajemnej identyczności.

Nieco wyższym stopniem mirroringu jest dupleksing. W gruncie rzeczy
różni się od poprzedniego rozwiązania dodaniem jednego zabezpiecze-
nia, polegającego na zastosowaniu odrębnych kontrolerów dla każdego
dysku. W ten sposób usuwa się groźbę postoju systemu, spowodowaną
awarią wspólnego kontrolera.

Zalety mirroringu i dupleksingu polegają na niewielkiej cenie, łatwej
metodzie odzyskiwania danych i szybszemu dostępowi do informacji.
Wiele czasu oszczędza zdolność systemu do dzielonego odczytu (split-
reads), co oznacza, że czytanie danych odbywa się z tego dysku, który je
pierwszy zlokalizuje (dzięki korzystniejszemu położeniu głowicy). Wadą
rozwiązań jest konieczność poświęcania podwójnej ilości miejsca na prze-

Zrozumienie podstaw ochrony systemu

35

chowywanie informacji. Ponieważ jednak ceny twardych dysków syste-
matycznie spadają, czynnik ten ma mniejsze znaczenie przy podejmowa-
niu decyzji o ochronie danych jedną z opisywanych tu metod.

Mirroring i dupleksing może być zastosowany dzięki rozwiązaniom
sprzętowym oferowanym przez dostawców. Taka metoda implementacji
oznacza, że czynności związane z działaniem układu nie są sterowane
przez system operacyjny, lecz na poziomie sprzętowym. Windows NT
widzi lustrzane dyski po prostu jako jedno fizyczne urządzenie. Układ
może być stosowany jak normalny dysk, bez wykorzystywania jakich-
kolwiek opcji odporności na błędy, dostępnych w programie do admini-
strowania dyskami Windows NT. Zaletą rozwiązania jest łatwość usu-
wania awarii. Aby wymienić uszkodzony dysk, nie trzeba odłączać zasi-
lania systemu. W czasie naprawy system może normalnie pracować. Złą
stroną takiej implementacji jest wysoka cena.

Windows NT Server umożliwia mirroring i dupleksing oddzielnych fi-
zycznie dysków za pomocą programu do administrowania dyskami.
Takie rozwiązanie nie pozwala na wymianę nośników „w locie”, gdyż
naprawa wymaga wyłączenia systemu. Zapewniona jest jednak integral-
ność danych i dostępność informacji do czasu zaplanowanej przerwy
konserwacyjnej.

Uwaga

Odnotujmy, że mirroring na platformie programowej możliwy jest jedynie
w systemie NT Server. Windows NT Workstation nie posiada takiej opcji.

Systemy RAID

Macierze dyskowe RAID (Redundant Array Inexpensive Disks - nadmiaro-
wa macierz niedrogich dysków) stają się standardem zabezpieczania
danych dla masowych składnic informacji. Rozwiązanie sprowadza się
do zapewnienia odpowiedniej redundancji i dostępności danych, poprzez
zastosowanie kilku napędów dyskowych. Różnica między systemami
RAID a mirroringiem czy dupleksingiem polega na sposobie zapewnie-
nia redundancji oraz ceną.

Technicznie, RAID obejmuje mirroring napędów (wyjaśniony wcześniej)
jako uzupełnienie zwykłego rozkładania danych pomiędzy kilka napę-
dów. Wyższe poziomy RAID wykorzystują pomysłowy sposób zapew-
nienia dostępności i nadmiarowości danych bez kosztów związanych
z mirroringiem. Idea polega na zapisywaniu informacji o parzystości
liczonej algorytmem sum kontrolnych. Dodatkowe informacje składowa-
ne są na oddzielnych dyskach (poziom 3 i 4) lub są rozkładane na całej

Część I Przegląd systemu ochrony Microsoft Windows NT

36

macierzy (poziom 5). Informacja o sumie kontrolnej pozwala systemowi
odtworzyć dane, utracone wskutek awarii jednego z dysków macierzy.

Istnieje kilka różnych poziomów RAID, które zostały zdefiniowane oraz
mają zastosowanie praktyczne. Poniższa lista zawiera definicje macierzy
RAID poziomu 0-5:

RAID - poziom 0. Oznacza po prostu, że dane są rozłożone na kilku
twardych dyskach. Przyśpiesza to zazwyczaj dostęp do informacji, ale nie
zapewnia żadnej redundancji danych, a co za tym idzie nie podnosi bez-
pieczeństwa układu.

„

RAID - poziom 1. Właściwa definicja tego poziomu obejmuje mirro-
ring i dupleksing połączony z rozkładem danych. Mimo to Microsoft
zdefiniował poziom pierwszy jedynie jako mirroring lub dupleksing
fizycznych napędów.

„

RAID - poziom 2. Dane rozkładane są równolegle na wszystkich dys-
kach według zasady, że kolejne bity zapisywane są na kolejnych dys-
kach. Jeden z dysków jest zarezerwowany do zapisywania sum kon-
trolnych. Odnotujmy, że omawiana metoda nie jest zazwyczaj wyko-
rzystywana w mikrokomputerach.

„

RAID - poziom 3. Na macierzy tego poziomu dane są rozłożone baj-
tami, równolegle na wszystkich dyskach. Podobnie jak poprzednio je-
den dysk przechowuje wyłącznie sumy kontrolne wykorzystywane
w razie potrzeby odtworzenia danych. Wyróżniony napęd nazywany
jest dyskiem parzystości.

„

RAID - poziom 4. Wykorzystuje analogiczną do poprzednio omawia-
nej metodę rozkładu, ale dane dzielone są blokami zamiast bajtami.
Informacje nadmiarowe są również przechowywane na oddzielnym
dysku.

„

RAID - poziom 5. Dane są rozkładane analogicznie jak w poziomie
czwartym. Różnica polega na tym, że informacje nadmiarowe trakto-
wane są tak jak pozostałe i rozkładane równomiernie na wszystkich
dyskach. Dzięki temu rozwiązaniu, wyeliminowano wąskie gardło
macierzy dyskowych, jakim był dostęp do dysku parzystości.

Jak odtwarza się dane, wykorzystując informacje o parzystości?

Zasada pozwalająca odtworzyć dane z uszkodzonego dysku za pomocą
sum kontrolnych jest szczególnie prosta w przypadku macierzy poziomu
3. Zrozumienie tego przypadku pozwala łatwiej przeanalizować pozosta-
łe.

Tajemnica redundancji kryje się w algorytmie liczenia sum kontrolnych.
Dane o parzystości to po prostu XOR - suma kontrolna bajtów otrzymana

Zrozumienie podstaw ochrony systemu

37

przez dodanie do siebie odpowiednich bajtów z oddzielnych dysków.
Przypomnijmy sobie jeszcze, jak się wykonuje operację XOR (dodawanie
modulo 2): 0+1=1, 0+0=0, 1+1=0.

Rozważmy macierz dyskową, która wykorzystuje trzy dyski. Na każdym
z nich przechowywane są informacje podzielone na bajty. W przykładzie
wykorzystujemy po jednym bajcie z każdego nośnika. Tabela 1.3 ilustruje
wartości binarne każdego z tych bajtów.

Tabela 1.3 Wartość bajtu na dysku parzystości

Numer dysku

Wartość bajtu

dysk 1 (danych)

10001101

dysk 2 (danych)

10101010

dysk 3 (parzystości) 00100111XOR

Przyjmijmy teraz, że dysk numer dwa uległ awarii. Musimy odtworzyć
dane, wykorzystując informację o parzystości zawartą na dysku trzecim.
W tym celu wystarczy dodać (XOR) wartości bajtów z dysku pierwszego
do odpowiednich wartości dysku parzystości.

Tabela 1.4 Rekonstrukcja utraconego bajtu

Numer dysku

Wartość bajtu

dysk 3 (parzystości) 00100111XOR
dysk 1 (danych)

10001101

dysk 2 (danych)

10101010 (odtworzone dane)

W przypadku czwartego poziomu RAID wystarczy zamiast do bajtu
zastosować algorytm do całego bloku. RAID na poziomie 5 działa analo-
gicznie, a różnica polega na tym, że informacje o parzystości zapisywane
są równomiernie na wszystkich dyskach macierzy.

Aktualnie Windows NT oferuje możliwość podniesienia poziomu ochro-
ny poprzez trzy, implementowane programowo, poziomy macierzy
RAID. Macierze poziomu 0, 1 i 5 można konfigurować za pomocą narzę-
dzia systemowego Disk Administrator (Administrator dysku). W prze-
ciwieństwie do mirroringu, który wymaga dodatkowo 100% pojemności
dysku - w macierzy poziomu 5 dane nadmiarowe zajmują 33% prze-
strzeni dyskowej (lub mniej, w zależności od liczby napędów).

Podobnie jak w przypadku mirroringu, macierze dyskowe RAID są im-
plementowane sprzętowo. Zapewnia to możliwość usuwania awarii bez
wyłączania systemu. Tak jak poprzednio barierą jest wysoka cena ofero-
wanych na rynku rozwiązań.

Część I Przegląd systemu ochrony Microsoft Windows NT

38

Ochrona okablowania

Zapewnienie odporności na błędy okablowania polega na zarezerwowa-
niu dodatkowych dróg komunikacyjnych, na wypadek przerwania poje-
dynczego kierunku lub kanału. Liczne topologie sieciowe mają wbudo-
wane połączenia nadmiarowe. Token ring, ze swej natury, umożliwia
utrzymanie łączności w sieci, w przypadku wystąpienia przerwy oka-
blowania, jako pętla obejmująca wielostanowiskowe jednostki dostępu
(MSAu - Multistation Accses Units). Systemy oparte o interfejs światłowo-
dowy FDDI (Fiber Distributed Data Interface) używają okablowania świa-
tłowodowego i zapewniają redundancję, dzięki topologii podwójnego
pierścienia, realizując podwójny przeciwbieżny obieg danych.

W miarę możliwości, należy stosować rozdzielone fizycznie drogi prze-
biegu kabli nadmiarowych, aby uniknąć oddziaływania tych samych
czynników na obie ścieżki. Kładąc okablowanie światłowodowe nowej
instalacji, należy pozostawić jedno lub dwa dodatkowe włókna w każdej
wiązce. Pozostawia to zapasową drogę transmisji na wypadek problemu
z działaniem jakiegoś włókna. W przypadku awarii oszczędzamy czas,
niezbędny na położenie nowej wiązki i skracamy przymusową przerwę
w pracy systemu.

Systemy zabezpieczające parametry zasilania

Parametry energii elektrycznej dostarczanej przez większość dystrybuto-
rów nie odpowiadają standardom jakości wymaganym przez komputery.
Napięcie prądu podlega fluktuacjom, występują zarówno przepięcia jak
i chwilowe zaniki prądu, które mogą doprowadzić do ruiny systemy
komputerowe i pozostałe wyposażenie sieci. Problem rozwiązuje się sto-
sując odpowiednie zabezpieczenia przepięciowe, filtry lub zasilacze awa-
ryjne (UPS). Wybór zabezpieczeń zależy od wyposażenia oraz wymaga-
nego poziomu ochrony. Oto podstawowe różnice między wymienionymi
rodzajami zabezpieczeń.

„

Zabezpieczenia przepięciowe. Urządzenia z tej grupy chronią komponen-
ty sieci przed przepięciami występującymi w instalacji elektrycznej.
Przepięcia, zwłaszcza wywołane wyładowaniem atmosferycznym,
mogą być powodem poważnych uszkodzeń. Zabezpieczenia przepię-
ciowe nie filtrują dopływającej energii, ani nie są lekarstwem na chwi-
lowy zanik lub przerwę zasilania. W stosunku do następnych rozwią-
zań dają znacznie mniejszą ochronę i stanowią minimalny poziom za-
bezpieczeń elektrycznych.

„

Filtry sieciowe. Urządzenia filtrujące wygładzają przebieg sinusoidalny
dopływającego prądu, zabezpieczając w szczególności przed przepię-

Zrozumienie podstaw ochrony systemu

39

ciami i chwilowymi zanikami zasilania. Nie podtrzymują zasilania
w przypadku przerw w dopływie lub wyłączenia prądu.

„

Bezprzerwowe zasilacze sieciowe (UPS). Zasilacze awaryjne dają zabez-
pieczenie przepięciowe i poprawiają parametry zasilania. Dodatkowo
stanowią alternatywne źródło energii w przypadku konieczności pod-
trzymania zasilania wskutek przerwy w dopływie lub wyłączenia
prądu. Wszystkie kluczowe dla działania sieci elementy powinny być
chronione odpowiednimi zasilaczami awaryjnymi.

Systemy z rezerwowymi serwerami

Jednym z nowych rozwiązań podnoszących odporność na błędy jest sto-
sowanie rezerwowych systemów lustrzanych. Zamiast prostego mirro-
ringu napędów stosuje się rezerwę w postaci pełnego systemu, pracują-
cego w sposób lustrzany na identycznej platformie. Zapewnia to nadmia-
rowość na poziomie całego układu, a nie pojedynczych elementów.
W razie awarii jakiegokolwiek składnika, rezerwa gwarantuje nieprze-
rwany dostęp do zasobów systemu lustrzanego.

W innych rozdziałach...

Niniejszy rozdział omawiał podstawowe problemy związane z ochroną.
Rozważania odnosiły się do większości instalacji sieciowych, niezależnie
od rodzaju stosowanego systemu operacyjnego. Treść kolejnych rozdzia-
łów skupiona będzie na rozwiązaniach specyficznych dla Windows NT
Server:

„

Rozdział 2 - Przegląd systemu ochrony Microsoft Windows NT - analizuje
model ochrony Windows NT Server. Zobaczymy, jak działają konta
użytkowników oraz wyjaśnimy sobie, co to jest domena.

„

Rozdział 3 - Architektura systemu operacyjnego Windows NT - przedsta-
wi podstawowe rozwiązania ochrony wewnętrznej oraz ich działanie.
Wyjaśnimy istotę procesu rejestracji w systemie oraz jak są wykorzy-
stywane obiekty.

„

Rozdział 4 - Pojęcie domen Windows NT - szczegółowo analizuje wyko-
rzystanie domen. Nauczymy się jak tworzyć lub łączyć domeny.
Przyjrzymy się, jak działają grupy użytkowników wewnątrz domen
Windows NT.

Nazwa pliku:

rozdz01

Katalog:

C:\Moje dokumenty\Ntserwerochrona\Na Pdeefy

Szablon: D:\MSoffice\Szablony\Prywatne\Win

98.dot

Tytuł: Rozdział 1
Temat:
Autor: Monika

Fleszar

Słowa kluczowe:

Komentarze:
Data utworzenia:

01-10-30 12:53

Numer edycji:

6

Ostatnio zapisany:

01-10-31 14:53

Ostatnio zapisany przez:

Grzegorz Słotwiński

Całkowity czas edycji: 35 minut
Ostatnio drukowany: 01-10-31 14:53
Po ostatnim całkowitym wydruku
Liczba

stron:

29

Liczba wyrazów: 8 879 (około)

Liczba znaków:

50 615 (około)