Professional Documents
Culture Documents
2009
CONSULTAN: IOANA CRSTEA expert CNDIPT ZOICA VLDU expert CNDIPT ANGELA POPESCU expert CNDIPT DANA STROIE expert CNDIPT
Acest material a fost elaborat n cadrul proiectului nvmntul profesional i tehnic n domeniul TIC, proiect cofinanat din Fondul Social European n cadrul POS DRU 2007-2013
Cuprins
I. Introducere.............................................................................................................................................4 I. Documente necesare pentru activitatea de predare................................................................................5 Tema 1. Familia Microsoft Windows Server ...........................................................................................6 Activitatea de nvare 1.1 ...................................................................................................................9 Activitatea de nvare 1.2..................................................................................................................11 Tema 2. Protocoale de reea....................................................................................................................13 Activitatea de nvare 2.1 .................................................................................................................17 Activitatea de nvare 2.2 .................................................................................................................19 Activitatea de nvare 2.3 .................................................................................................................21 Activitatea de nvare 2.4 .................................................................................................................23 Tema 3 Servicii de reea.........................................................................................................................25 Activitatea de nvare 3.1 .................................................................................................................29 Activitatea de nvare 3.2 .................................................................................................................31 Activitatea de nvare 3.3 .................................................................................................................32 Activitatea de nvare 3.4 .................................................................................................................33 Activitatea de nvare 3.5..................................................................................................................35 Activitatea de nvare 3.6..................................................................................................................37 Activitatea de nvare 3.7..................................................................................................................38 Anexa la activitatea de nvare 3.1 ...................................................................................................39 Anexa la activitatea de nvare 3.2....................................................................................................41 Anexa la activitatea de nvare 3.3....................................................................................................44 Anexa la activitatea de nvare 3.4....................................................................................................48 Anexa la activitatea de nvare 3.5....................................................................................................48 Anexa la activitatea de nvare 3.6....................................................................................................49 Anexa la activitatea de nvare 3.7....................................................................................................50 Tema 4. Instalarea sistemului de operare Windows 2003 server...........................................................52 Fia 4.1. Operaiuni pregtitoare.........................................................................................................52 Fia 4.2 Instalarea sistemului de operare............................................................................................53 Activitatea de nvare 4.1 .................................................................................................................55 Activitatea de nvare 4.2 .................................................................................................................56 Activitatea de nvare 4.3 .................................................................................................................58 Anexa la activitatea de nvare 4.2....................................................................................................59 Tema 5. Configurarea Active Directory................................................................................................60 Activitatea de invare 5.1..................................................................................................................65 Activitatea de nvare 5.2..................................................................................................................66 Anexa la activitatea de nvare 5.1....................................................................................................67 Anexa la activitatea de nvare 5.2....................................................................................................71 Tema 6: Securitatea NOS......................................................................................................................74 Fisa 1. Securizarea sistemului.............................................................................................................74 Activitatea de nvare 6.1..................................................................................................................79 Anexa la activitatea de nvare 6.1....................................................................................................80
I. Introducere
Materialele de predare reprezint o resurs suport pentru activitatea de predare, instrumente auxiliare care includ un mesaj sau o informaie didactic. Prezentul material de predare, se adreseaz cadrelor didactice care predau n cadrul colilor postliceale, domeniul Electronic - automatizri, calificarea Tehnician operator tehnic de calcul El a fost elaborat pentru modulul Sisteme de operare n reea , ce se desfoar n 93 ore, din care laborator tehnologic 31 Competene/Rezu ltate ale nvrii C1, C2, C1, C2, C3, C4
Teme
Activiti de nvare
Tema 1. Familia Microsoft Activitatea de nvare 1.1 Windows Server Activitatea de nvare 1.2 Tema 2 Protocoale de reea Activitatea de nvare 2.1 Activitatea de nvare 2.2 Activitatea de nvare 2.3 Activitatea de nvare 2.4 Tema 3: Servicii de reea Activitatea de nvare 3.1 Activitatea de nvare 3.2 Activitatea de nvare 3.3 Activitatea de nvare 3.4 Activitatea de nvare 3.5 Activitatea de nvare 3.6 Activitatea de nvare 3.7 Tema 4: Instalarea WIN2003/ Activitatea de nvare 4.1 WIN2008 server Activitatea de nvare 4.2 Activitatea de nvare 4.3 Tema 5: Configurarea Activitatea de nvare 5.1 sistemelor de operare in reea Activitatea de nvare 5.2 Tema 6: Securitatea NOS Activitatea de nvare 6.1
C1. Pregtete sistemul de calcul pentru instalare C2. Analizeaz sistemele de operare de reea. C3. Utilizeaz sistemele de operare n reea C4. Administreaz sistemele de operare n reea
5. For Itanium based systems - Windows Server 2008 pentru sistemele Itanium-Based este optimizat pentru baze de date mari, linie de afaceri i aplica ii specifice oferind disponibilitate mare precum i scalabilitate pn la 64 de procesoare. 6. HPC server - Windows HPC Server 2008, reprezint urmtoarea genera ie de highperformance computing (HPC), oferind unelte enterprise pentru un mediu HPC extrem de productiv. Construit pe platforma Windows Server 2008, cu tehnologie 64-bit, Windows HPC Server2008, poate scala eficient pn la mii de nuclee de procesare incluznd console de administrare care v ajuta s monitoriza i proactiv starea general a sistemului. Programarea opera iunilor, interoperabilitatea i flexibilitatea v permit integrarea ntre platforme HPC Windows i Linux, suportnd aplica ii SOA. Productivitate sporit, performane scalabile, u urin n utilizare, sunt doar cteva din capacitile care fac din Windows HPC Server 2008 unul din cele mai reu ite sisteme de operare server. O analiz comparativ a sistemelor de operare din familia Windows 2003/2008 Server este dat n tabelul de mai jos:
Caracteristic Tehnologii de clustere Echilibrarea ncrcrii reelei (NLB) Protecie la defeciuni n cluster Communicaii i servicii de reea Suport pentru Reea privat virtual (VPN) Serviciul Protocol de iniiere a sesiunii (SIP) Serviciul de autorizare Internet (IAS) Network Bridge Partajare conexiune la Internet (ICS) Directory Services Active Directory Suport pentru servicii Metadirector (MMS) Servicii de fiiere i imprimare Sistem de fiiere distribuite (DFS) Sistem de criptare fiiere (EFS) Shadow Copy Restore SharePoint Team Services Suport stocare la distan Serviciul de fax Servicii pentru Macintosh Servicii de management IntelliMirror Resultant Set of Policy (RSoP) Windows Management Instrumentation (WMI) Command Line Web Server da nu parial nu nu nu nu nu nu da da nu nu nu nu nu nu nu nu Standard Server da nu da da da da da da nu da da da da da da nu da da da Enterprise Server da da da da da da da da da da da da da da da da da da da Data Center da da da da da nu nu da da da da da da da da da da da da
Servicii de instalare la distan (RIS) Servicii de securitate Internet Conection Firewall Certificate Services Servicii de terminal Spaiu de lucru la distan pentru administrare Terminal Server Sesiuni Terminal Server Servicii multimedia Servicii Windows MediaT Scalabilitate Suport de 64 bii pentru computere bazate pe IntelR ItaniumT Hot add memory.1 Acces neuniform la memorie (NUMA)1 Control procese Suport Servicii pentru Web i aplicaii .NET Framework Internet Information Services (IIS) 6.0 ASP.NET
1
nu nu nu da nu nu nu nu nu nu nu nu da da da
da da parial da da nu da nu nu nu nu nu da da da
da da da da da da da da da da da nu da da da
da nu da da da da nu da da da da da da da da
Obiective. Aceast activitate v va ajuta s aprofundai i s sintetizai informaiile referitoare caracteristicile i facilitile familiei sistemelor de operare Microsoft Windows Server. Dup parcurgerea activitii elevii vor fi capabili: Sa determine cerinele hardware pentru fiecare sistem de operare din familie
Tipul activitii: Harta pianjen Enun: Folosind diverse surse (internet, reviste de specialitate, caietul de notie, etc.) obinei informaii despre cerinele hardware minime i cerinele hardware recomandate pentru instalarea sistemelor de operare de reea din familia Microsoft Windows Server (Standard, Enterprise, Datacenter, Web, for Itanium, HPC)i organizai-le dup modelul urmtor:
Sugestii: elevii se pot organiza n grupe mici (2 3 elevi) sau lucreaz individual
timp de lucru 30 minute Coninutul: Cerine hardware minime i recomandate necesare pentru instalarea diferitelor variante ale familiei Windows Server. Desfurarea lucrrii: Studierea materialelor de nvare i alte surse de documentare, extragerea termenilor, definiilor, conceptelor i imaginilor necesare completrii diagramei. Completarea diagramei i prezentarea concluziilor, opiniilor personale i ale grupului. Observaiile i concluziile elevilor: Evaluare: Punctajul se acord n funcie de calitatea, cantitatea i corectitudinea informaiilor sintetizate precum i a calitii prezentrii.
Tipul activitii: Proiect Enun: Folosind diverse surse (internet, reviste de specialitate, caietul de notie, etc.) obinei informaii despre facilitile oferite de fiecare reprezentant al familiei Microsoft Windows Server. Realizai o prezentare multimedia cu facilitile gsite i cu domeniul de aplicabilitate. Explorai faciliti precum: Active directory, DNS, DHCP, Terminal server, IIS, Exchange server, IIS, Sharepoint, RIS, DFS. Un punct de pornire este afiat n continuare:
Reprezint Reprezint inima inima sisteme sisteme de de operare operare avantaje avantaje oferite oferite de de Directory Directory n n reea: reea: reelelor reelelor bazate bazate pe pe Windows. Windows. Principalele Principalele implementarea implementarea Active Active
Active directory
resurse resurse Administrarea Administrarea centralizat centralizat. . Aplicarea Aplicarea consistent consistent a a unor unor
Aplicabilitate: Aplicabilitate: Implementarea unui Implementarea unui management management centralizat al centralizat al resurselor, al resurselor, al utilizatorilor i al utilizatorilor i al politicilor politicilor de de securitate securitate
politici Nu poate fi instalat pe: politici W2K3 web server W2K8 web server W2K8 Itanium server W2K8 HPC server
Sugestii:
elevii se vor lucra individual, iar rezultatele se vor prezenta ntregii clase
timp de lucru recomandat 1 sptmn Coninutul: Faciliti oferite de familia de sisteme de operare Windows Server Evaluare: Punctajul se acord n funcie de calitatea, cantitatea i corectitudinea informaiilor sintetizate precum i a calitii prezentrii.
adresele de la un server DHCP sunt nchiriate clientului care le folose te, cea ce nseamn c rmn atribuite unui anumit dispozitiv pentru un interval de timp nainte de a expira i devin disponibile pentru utilizare de ctre un alt dispozitiv. Perioadele de nchiriere sunt de numai cteva zile, dar administratorii de reea pot folosi orice perioad de timp doresc. HTTP - Hypertext Transfer Protocol World Wide Web este alctuit din documente care folosesc un limbaj de formatare denumit HTML, abreviere de la Hypertext Markup Language (limbaj de marcare prin hipertext). Aceste documente sunt compuse din text de afiat, imagini grafice, comenzi de formatare i hiperlegturi spre alte documente situate altundeva n Web. Documentele HTML sunt afiate cel mai frecvent folosind browsere Web, precum Internet Explorer, Safari sau Mozilla Firefox. Un protocol denumit Hypertext Transfer Protocol (protocol de transfer prin hipertext) controleaz tranzaciile dintre un client Web i un server Web. HTTP este un protocol destinat stratului aplicaie. Protocolul HTTP face uz n mod transparent de DNS i de alte protocoale Internet pentru a forma conexiuni ntre clientul i serverul Web astfel nct utilizatorul cunoate numai numele domeniului i numele documentului nsui. FTP protocol pentru transferul fiierelor Abrevierea FTP simbolizeaz dou lucruri: File Transfer Protocol (protocol de transfer al fiierelor) i File Transfer Program (program de transfer al fiierelor). FTP este un protocol de nivel aplicaie folosit pentru trimiterea i recepionarea fiierelor ntre un client FTP i un server FTP. De regul, aceasta se realizeaz cu programul FTP sau cu un alt program care poate de asemenea folosi protocolul. Transferurile FTP pot fi bazate pe text sau sunt binare i pot manipula fiiere de orice dimensiune. Cnd v conectai la un server FTP pentru a transfera un fiier, v conectai la serverul FTP folosind un nume de utilizator i o parol valabile. Totui, multe site-uri sunt configurate s permit ceea ce se numete FTP anonim, cnd se introduce numele de utilizator anonymous i apoi introducei i adresa dumneavoastr de e-mail ca parol. Telnet protocol pentru stabilirea de conexiuni la distan
Telnet definete un protocol care permite stabilirea unei sesiuni terminal de la distan la o gazd din Internet, astfel ca utilizatorii de la distan s aib acces ca i cum ar sta la un terminal conectat direct la calculatorul gazd. Folosind Telnet, utilizatorii pot controla sistemul gazd aflat la distan, executnd operaii precum gestiunea fi ierelor, rularea aplicaiilor sau chiar (cu permisiuni corespunztoare) administrarea sistemui aflat la distan. SMTP protocol simplu de transfer de pot
Simple Mail Transfer Protocol (SMTP) este folosit pentru trimiterea i recepionarea mesajelor de e-mail de la un server e-mail la cellalt.. Protocolul SMTP definete un dialog ntre un sistem emitor i unul receptor. Un dialog SMTP ncepe cnd un sistem emitor se conecteaz la portul 25 al unui sistem receptor. Dup stabilirea conexiunii, sistemul emitor trimite o comand HELO, urmat de adresa sa. Sistemul receptor confirm comanda HELO, alturi de adresa sa proprie. Apoi, dialogul continu; sistemul emitor trimite o comand prin care se arat c sistemul dorete s trimit un mesaj i se indic destinatarul cruia i este destinat mesajul. Dac sistemul receptor cunoate destinatarul, confirm cererea i apoi sistemul emitor transmite corpul mesajului, alturi de eventualele fiiere ataate. n final, conexiunea dintre cele dou sisteme este ncheiat odat ce sistemul receptor confirm recepionarea ntregului mesaj. POP3 protocol de pot electronic Post Office Protocol, pe scurt, POP, este primul protocol de po t electronic i nc este folosit n zilele noastre. Pentru utilizatorii ce folosesc sisteme care fie nu sunt capabile s ruleze un server complet de tipul Simple Mail Transfer Protocol (SMTP) fie nu sunt conectate permanent, este utilizat o main de tip Post Office". Aceast main Post Office este conectat permanent la Internet i primete e-mail-urile destinate utilizatorului prin SMTP. Mesajele sunt trimise ntr-o csu electronic de pe maina Post Office ca i cum ar fi fost maina folosit de utilizator din modelul vechi. Cndva, mai trziu, utilizatorul se conecteaz de pe staia de pe care opereaz cu ajutorul unui client de e-mail la serverul POP existent pe maina Post Office i face transferul mesajelor care ateapt pe staie. Din acest moment, utilizatorul i poate citi sau procesa dup cum dorete mesajele n staia
local. Acest sistem foarte simplu a servit i servete foarte bine utilizatorii de ceva timp ncoace. IMAP protocol interactiv de pot electronic Internet Message Access Protocol, pe scurt, IMAP, a fost proiectat pentru a depi cteva dintre limitrile protocolului POP. n loc s transfere toate mesajele pe staia clientului, IMAP reine aceste mesaje pe server. Metoda folosit de POP este denumit cteodat offline" deoarece, dup ce v-ai transferat mesajele, teoretic, putei s v deconectai n timp ce v citii e-mail-ul. Metoda principal folosit de ctre IMAP este considerat a fi online" deoarece presupune conectarea pe toat perioada ct v citii mesajele. Atunci cnd v conectai la un server IMAP, iniial doar anteturile noilor mesaje sunt descrcate n clientul de e-mail pentru vizualizare i n momentul selectrii unui mesaj este descrcat i coninutul acestuia. La final, sunt trimise napoi la server mesaje pentru setarea unor flaguri ce determin starea mesajelor (citit / necitit).
3. n command prompt/ terminal utilizati comanda ping pentru adresele IP descoperite anterior. Ce rspuns obinei? 4. Deconectai fizic un calculator din reea. Utilizai iari comanda ping pentru calculatorul deconectat. Ce rspuns obinei? 5. Dac utilizai din nou comanda arp ce observai? 6. Completai a. Protocolul arp este utilzat pentru b. Protocolul ICMP este utilizat pentru .. Sugestii: elevii vor lucra individual
Sugestii : elevii se vor mpari n 4 grupe Enun : Avei nevoie de 4 clieni de mail Outlook Express, Windows Mail, Outlook 2003/2007, Mozilla Thunderbird, instalai pe 4 calculatoare.De asemenea avei nevoie de 4 conturi de mail pe un server care s tie POP3, IMAP, SMTP. Fiecare grup va primi un calculator pe care va configura un client de mail. Sarcina se consider ndeplinit n momentul n care grupa va putea trimite un mail ctre celelalte 3 grupe i va primi mail din partea lor (mesajul va fi vizualizat att n contul configurat s foloseasc protocolul IMAP ct i n contul configurat s foloseasc protocolul POP3).
timp de lucru recomandat 15 min Apoi se vor reorganiza grupele astfel nct n grupele nou formate s existe cel puin o persoan din fiecare grup iniial. Timp de 15 minute, elevii vor mprti cu ceilali colegi din grupa nou format cunotinele dobndite n pasul anterior. Alte sugestii si recomandri
1. Facei o paralel ntre modul de configurare a celor 4 clieni de mail. Care clent se configureaz cel mai uor? Dar cel mai greu? 2. De ce este preferabil ca protocolul SMTP s fie configurat pentru a cere autentificare? 3. Cnd este preferabil s se foloseasc protocolul IMAP i cnd POP3? 4. Ce faciliti suplimentare ofer utilizarea clienilor de mail fa de utilizarea browserului pentru verificarea potei electronice? 5. De ce ar trebui o companie s utilizeze propriul server de mail i nu un server public?
Sugestii Activitatea se poate face individual cu cte un elev la un calculator folosind aceeai fi de lucru Timp de lucru recomandat 30 min Coninut: Executarea operaiunilor de baz cu ajutorul liniei de comand i a interfeei grafice. Enun. 1. Dup modelul de mai jos creai un tabel cu principalele comenzi folosite de protocolul FTP. Pentru acest lucru avei nevoie de un calculator cu acces la linia de comand, de un server de FTP i de un cont pe acel server de FTP. Pentru a afla ce comenzi suporta un server FTP putei urmri modelul de mai jos:
Funcie Afieaz comenzile suportale de serverul FTP Copie fisiere de pe calculatorul propriu pe serverul FTP
2. Configurai un client FTP n interfa grafic. Putei configura un client specializat (FileZilla)sau chiar sistemul de operare windows pentru a face transferuri din/ spre un server de FTP (cu ajutorul vrajitorului Add Network location).
Sugestii Activitatea se poate face individual cu cte un elev la un calculator folosind aceeai fi de lucru Timp de lucru recomandat 20 min
Sugestii Activitatea se poate face individual cu cte un elev la un calculator folosind aceeai fi de lucru Timp de lucru recomandat 30 min Coninut: Executarea operaiunilor de baz cu ajutorul liniei de comand. Enun. Utilitarul telnet poate fi un instrument la ndemna pentru verificarea iniial a funcionarii serviciilor pe servere. Vorbii cu administratorul de sistem sa v indice unul sau mai multe calculatoare care ruleaz servicii de pot electronic i/ sau internet. Protocolul telnet este un protocol simplu de utilizat. Pentru a-i vedea opiunile n command prompt tastati: telnet /?
Cu ajutorul comenzii telnet verificai ce servicii sunt active pe serverele indicate de administratorul de sistem / profesor. Ex: telnet www.edu.ro 80. Dac dupa executarea comenzii nu ni se rspunde cu Could not open connection to the host on port 80: Connect failed. nseamn c acel server are respectivul port / serviciu deschis / funcional. Comanda FTP (21) telnet www.edu.ro 80 telnet www.edu.ro 21 nu SMTP (25) Protocoale HTTP POP3 (80) (110) da
IMAP (143)
n continuare vom face prezentarea celei mai importante componente din Active Directory i anume Active Directory Users and Computers Active Directory Users and Computers pentru domeniul curent conine, n mod implicit, 5 categorii: Builtin - care conine un set de utilizatori predefinii cu diferite roluri n cadrul domeniului d-voastr. Computers - conine toate staiile incluse n domeniul curent. Domain Controllers - include toate serverele din domeniul curent care au instalat i configurat serviciul Active Directory. ForeignSecurityPrincipals - conine identificatorii de securitate (security identifiers SIDs) asociai obiectelor Active Directory din alte domenii dect cel curent. Users - conine informaii despre toi utilizatorii i grupurile de utilizatori implicite.
Serverul DHCP Un server DHCP atribuie adrese IP la computerele client. Acest lucru este foarte des utilizat n reelele mari de calculatoare pentru a reduce eforturile de configurare. Toate adresele IP de toate computerele sunt stocate ntr-o baz de date care are reedina pe un server. Instalarea i configurarea de principiu a serverului DHCP se realizeaz cu ajutorul vrjitorului care poate fi rulat din fereastra Manage my computer, Add remove roles. Vrjitorul ne va ajuta printr-o serie de pai simpli s configurm un server DHCP funcional i foarte util n dezvoltarea i managementul reelei. Ce informaii trebuie dumneavoastr s-i dai vrjitorului: 1. Numele rezervorului de adrese i o scurt descriere a acestuia (ex. adrese pentru laboratorul de informatic) 2. Apoi trebuie s tim adresa de nceput, adresa de sfrit i masca de subreea. Dac n aceast gam de adrese avem adrese pe care dintr-un motiv sau altul nu dorim s le alocm dinamic, la pasul urmtor vom fi ntrebai care sunt acestea. 3. nchirierea de adrese de IP se face pe perioad determinat (8 zile implicit). 4. Deoarece un server DHCP trebuie s lucreze mpreun cu un server DNS vom fi ntrebai de adresa sau numele serverului DNS respectiv. Serverul DNS DNS este un serviciu de registru Internet distribuit. DNS translateaz ("mapeaz") din nume de domeniu (sau nume ale mainilor de calcul) n adrese IP i din adrese IP n nume. Translatarea numelui n adresa IP se numete "rezolvarea numelui de domeniu". Cele mai multe servicii Internet se bazeaz pe DNS i dac acesta cade, siturile web nu pot fi gsite iar livrarea mail se blocheaz. Numele de domenii sunt mult mai uor de reinut dect adresele IP, dar nu ofer nici o indicaie despre cum s gsii situl pe internet. Acest lucru este fcut de ctre sistemul DNS, care rezolv domeniile n adevratele lor adrese - adresele IP. O mapare este o simpl
asociere ntre dou lucruri, n acest caz un nume de main, ca ftp.ctcnvk.ro, i IP-ul mainii (sau adresa) 94.177.29.1. Un calculator se identific printr-o adres, unic n Internet, numit adresa IP a calculatorului respectiv. Totodat calculatorul poate avea asociat i un nume. Astfel, adresa IP este utilizat la nivelul programelor de prelucrare n reea. n schimb, la nivelul utilizatorilor cu acces la mediul Internet, identificarea calculatoarelor se face printr-un nume de calculator host gestionat de sistemul DNS. Structura DNS realizeaz administrarea unor nume prin care se acord diferite responsabiliti de grup, fiecare nivel reprezentnd un domeniu. Fiecare calculator trebuie s 'tie' de existena a cel puin un server DNS pentru a rezolva corelaia ntre un nume calificat de domeniu (FQDN, sau nume de domeniu DNS), adic o adres literal (gen www.google.com, sau www.ctcnvk.ro) i adresa sa numeric (IP address, de tipul 94.177.29.4); aceasta pentru c o conexiune TCP/IP ntre 2 calculatoare n Internet se face la nivel de adrese numerice IP. Dac procesul 'resolver' din calculatorul propriu nu reuete s fac o cutare valid DNS (acel DNS lookup), atunci vei primi o eroare pentru orice pagin web sau server mail, apelate prin numele lor de domeniu. V putei convinge c exist o problem DNS - nu neaprat la nivel central - dac primind o eroare pentru www.ctcnvk.ro putei totui aduce homepage-ul Universitii cu adresa IP echivalent: 94.177.29.4. Domeniile i DNS-ul: Sistemul de nume din Internet este structurat pe domenii i subdomenii. n Internet exist domenii dedicate (standardizate). Iat cteva dintre ele: com desemneaz domeniul comercial, edu desemneaz domeniul educaional, gov domeniul guvernamental, mil domeniul militar, org alte organizaii, net resurse de reea, int resurse internaionale, etc. Extinderea Internet-ului n diferite ri a dus la crearea de domenii pentru fiecare ar. Cteva: ro Romnia, fr Frana, it Italia, uk Marea Britanie, us USA, etc. n Internet exist servere (servere DNS) care in tabele de coresponden ntre numele cunoscute de fiecare i adresele fizice corespunztoare. Fiecare server DNS are un server DNS superior cu care face periodic schimb de informaie. Sigur, trebuie s existe un sistem
care s se asigure c serverele DNS de pretutindeni au acces la aceeai informaie privind adresele IP ale siturilor i domeniilor web. De aceea exist sistemul de name servere autoritare i servere rdcin. Servere DNS Autoritare: fiecare domeniu trebuie s aib 2 servere DNS ce funcioneaz ca Autoritar i Primar. Acestea sunt serverele ce pastreaz cea mai corect i adus la zi informaie privind adresa IP a unui domeniu. De obicei, aceste servere DNS sunt operate de ctre deintorii domeniilor n cauz. Alte servere DNS de pe internet se vor ncrede n name serverele autoritare de a le furniza adresa corect pentru domeniu pe web. Servere DNS Rdcin: urmtoarea parte a unui sistem DNS, sunt cele 13 servere DNS ce dein informaia 'top level' pentru ntregul sistem DNS. Aceste 13 sisteme, operate de ctre mai multe companii private, instituii academice i laboratoare militare, au sarcina de a propaga informaia privind adresele IP a fiecrui server autoritar al unui domeniu, ctre alte servere DNS de pe Internet. Dac utilizatorul dorete s acceseze www.microsoft.ro Utilizatorul introduce 'www.microsoft.com' n bara de adrese a browserului
- Browserul trimite un mesaj serverului DNS al Furnizorului de Servicii Internet (D.C.D.). Serverul se uit n nregistrrile sale pentru a vedea dac are adresa sitului www.microsoft.com - Vznd c nu are adresa sitului www.microsoft.com, trebuie s o solicite unui server rdcin. Microsoft.com face parte din .com TLD [top-level-domain], aa c ntreab un server rdcin responsabil cu .com TLD [serverul rdcin are o list cu toate domeniile .com cunoscute, precum i cu serverele autoritare ale fiecrui domeniu] - Serverul rdcin se conecteaz la adresa IP 131.107.1.240, serverul autoritar pentru microsoft.com, de unde primete adresa IP pentru www.microsoft.com Serverul rdcin d napoi serverului DNS al Furnizorului de Servicii Internet (D.C.D.) aceast adres, care la rndul lui o va pasa napoi browserului utilizatorului. Browserul se conecteaz la adresa IP i primete paginile de la www.microsoft.com. - Serverul DNS al ISP-ului utilizatorului pstreaz adresa www.microsoft.com n cache-ul DNS propriu. Data viitoare cnd cineva conectat la acelai ISP dorete s se conecteze la microsoft.com, va avea adresa stocat local i o poate rezolva mult mai rapid.
n funcie de cum a configurat Furnizorul de Servicii Internet (D.C.D.) serverele DNS proprii, adresa poate fi pstrat n cache pentru cteva ore sau cteva zile. Acest lucru este important de tiut, deoarece, dac adresa IP a microsoft.com [sau a oricrui domeniu] se schimb n intervalul respectiv, serverul DNS nu o va mai solicita serverelor rdcin pn cnd nu expir cache-ul.
Obiective. Aceast activitate v va ajuta s v familiarizai cu 1. utilizarea interfeei grafice n lucrul cu sistemelle de operare de reea 2. configurarea sistemelor de operare de reea 3. utilizarea protocoalelor i serviciilor de reea Dup parcurgerea activitii elevii vor fi capabili: S instaleze servicile Active Directory, DNS i DHCP. Tipul activitii : Experimentul
Sugestii Activitatea face individual cu cte un elev la un calculator folosind aceeai fi de lucru Timp de lucru recomandat 20 min Coninut: Executarea operaiunilor de baz cu ajutorul interfeei grafice. Enun. Configurai un sistem de calcul cu sistemul de operare win 2003 server controller de domeniu pentru domeniul totc.local.
Obiective. Aceast activitate v va ajuta s v familiarizai cu 1. utilizarea interfeei grafice n lucrul cu sistemelle de operare de reea 2. configurarea sistemelor de operare de reea 3. utilizarea protocoalelor i serviciilor de reea Dup parcurgerea activitii elevii vor fi capabili: S instaleze serviciul DHCP. Tipul activitii : Experimentul
Sugestii Activitatea face individual cu cte un elev la un calculator folosind aceeai fi de lucru Timp de lucru recomandat 20 min Coninut: Executarea operaiunilor de baz cu ajutorul interfeei grafice. Enun. Configurai un serviciu DHCP pe un sistem de calcul avnd sistemul de operare win 2003 server instalat, avnd urmatoarrea configuraie: Numr de adrese de alocat: 192.168.1.2 - 192.168.1.254 Adrese rezervate: 192.168.1.2 192.168.1.50 Adresa IP 192.168.1.51 s fie alocat automat gazdei cu adresa mac
Obiective. Aceast activitate v va ajuta s v familiarizai cu 1. utilizarea interfeei grafice n lucrul cu sistemelle de operare de reea 2. configurarea sistemelor de operare de reea 3. utilizarea protocoalelor i serviciilor de reea Dup parcurgerea activitii elevii vor fi capabili: S instaleze serviciul DNS. Tipul activitii : Experimentul Sugestii Activitatea face individual cu cte un elev la un calculator folosind aceeai fi de lucru Timp de lucru recomandat 20 min Coninut: Executarea operaiunilor de baz cu ajutorul interfeei grafice. Enun. Configurai un serviciu DNS pe un sistem de calcul avnd sistemul de operare win 2003 server instalat, avnd urmatoarea configuraie: Creai zona forward pentru domeniul totc.local Zona este autoritativ pentru domeniu. Nu acceptai updateuri dinamice naintai cererile ctre 62.231.96.4 Adugai urmtoarele nregistrri n serverul DNS creat: Tip nregistrare A CNAME MX Nume nregistrare PC01 SERVER MAIL Adresa IP / FQDN 192.168.1.3 PC01.totc.local 192.168.1.5
Obiective. Aceast activitate v va ajuta s v familiarizai cu 1. configurarea sistemelor de operare de reea 2. utilizarea protocoalelor i serviciilor de reea Dup parcurgerea activitii elevii vor fi capabili: S neleag serviciile DNS i DHCP. Tipul activitii : Studiu de caz Sugestii Activitatea se va face pe grupe de elevi Timp de lucru recomandat 20 min Enun. Adrian este un administrator al unui domeniu W2K3. El a configurat sistemele de calcul cu Windows XP professional ale unui laborator de informatic s utilize serviciul DHCP pentru a configura protocolul TCP/IP instalat pentru a realiza conectarea n reea a sistemelor de calcul. Domeniul de adrese utilizate n cadrul liceului este de la 10.10.10.0 la 10.10.10.100. Fr ca Adrian s tie Marius, cellalt administrator a pus serverul DHCP n stare de funcionare off-line pentru ziua respectiv. Cnd sistemele de calcul din laborator vor fi aduse online, care va fi starea protocolului TCP/IP pe acele sisteme i cu cine vor putea comunica ele? a. Nu vor putea obine adrese IP de la serverul DHCP, astfel nct nu vor putea comunica prin reea b. Nu vor putea obine adrese IP de la serverul DHCP, astfel nct vor apela la protocolul NetBEUI care este un protocol ascuns. Sistemele vor putea comunica numai ntre ele.
c. Nu vor putea obine adrese IP de la serverul DHCP, astfel nct vor alege reeaua, vor detecta domeniul curent de adrese utilizate i se vor autoconfigura. Ele vor putea comunica prin reea cu toate celelalte sisteme de calcul d. Nu vor putea obine adrese IP de la serverul DHCP, astfel nct se vor autoconfigura folosind adrese din domeniul 169.254.x.x. Vor putea comunica numai ntre ele.
Dup parcurgerea activitii elevii vor fi capabili: S neleag legturile i cooperarea ntre serviciile Active Directory, DNS i DHCP Tipul activitii : Jocul de rol Sugestii Activitatea se va face cu 4 grupe de elevi astfel: o o grup reprezint serviciul Active directory o o grup reprezint serviciul DNS o o grup reprezint serviciul DHCP o o grup (fiecare elev din aceast grup reprezint cte un sistem de calcul) care va apela la serviciile oferite de sistemul de calcul format din primele 3 grupe La fiecare 10 min fiecare grup va prelua un alt rol astfel nct la sfritul timpului de lucru fiecare grup i va asuma pe rnd toate cele 4 roluri Timp de lucru recomandat 40 min Enun. Cu ajutorul jocului de rol simulai funcionarea unui controller de domeniu avnd serviciile Active Directory, DNS i DHCP i a unei reele de calculatoare. a. Conectarea la sistemul de calcul, adugarea sistemului de calcul dotat cu sistemul de operare WinXp / Vista la domeniu b. Accesarea unui director partajat de reea n situaia n care ambele sisteme de operare sunt nregistrate n domeniu n situaiile: unui utilizator local, a unui utilizator de domeniu cu drepturi restricionate, a unui utilizator de domeniu cu drepturi de administrare
Situaii posibile:
c. Accesarea unui director partajat de reea n situaia n care unul din sisteme de operare nu este nregistrat n domeniu n situaiile: unui utilizator local, a unui utilizator de domeniu cu drepturi restricionate, a unui utilizator de domeniu cu drepturi de administrare
Dup parcurgerea activitii elevii vor fi capabili: S neleag funcionarea serviciului DNS. Tipul activitii : Harta de tip traseu Sugestii Timp de lucru recomandat 20 min Enun. Un browser de internet (client DNS) dorete s afle adresa ip a domeniului www.domeniu.ro. Realizai o diagram logic cu paii care se vor realiza pentru a se rezolva cererea respectiv.
Obiective. Aceast activitate v va ajuta s v familiarizai cu 3. configurarea sistemelor de operare de reea 4. utilizarea protocoalelor i serviciilor de reea
Dup parcurgerea activitii elevii vor fi capabili: S instaleze serviciului File server i s realizeze accesul discreionar la resurse . Tipul activitii : experiment Sugestii Timp de lucru recomandat 50 min Enun. Se dorete instalarea serviciului de partajare de fi iere astfel nct s existe un director documente partajat n reea la care utilizatorul director s aib acces total la fiiere, utilizatorul profesor s aib acces doar de citire iar utilizatorul elev s nu aib acces. De asemenea se cere s se impun o limit de 500MB pentru fiecare utilizator.
Fig 3.1.1
Fig 3.1.2
Pasul 2. Deoarece instalm primul server din domeniu alegem TYPICAL CONFIGURATION FOR A FIRST SERVER (FIG 3.1.2). Pasul 3. Alegei numele pentru arborele de domenii - totc.local (dac alegem
Fig 3.1.3
Fig 3.1.4
Pasul 4. Dac dorim s ajutm serverul DNS care va fi creat s rezolve i alte nume n afar de numele din reeaua noastr intern trebuie s i indicm adresa IP a unui alt server DNS care s rezolve numele pe care serverul nostru DNS nu le poate rezolva. Chiar dac nu i indicm serverul DNS spre care s-i ndrepte cererile serverul nostru tot va ncerca s ne rezolve numele apelnd la serverele de nume rdcin din lume (root server). Dac tim sigur c serverul nostru DNS, respectiv domeniul nostru nu se conecteaz la internet putem s-i spunem s nu trimit mai departe cererile nerezolvate. (FIG 3.1.4) Pasul 5. Confirmai alegerile fcute (FIG 3.1.5). Vrjitorul va face apoi toate setarile necesare i va restarta sistemul de calcul. (FIG 3.1.6)
Fig 3.1.5
Fig 3.1.6
Fig 3.2.1
Fig 3.1.2
Pasul 2 Alegei Custom configuration. (Fig 3.2.2). DHCP server (Fig 3.2.3)
Fig 3.2.3
Fig 3.2.4
Pasul 3. Alegei un nume pentru scopul propus (TOTC) (FIG 3.2.4). Pasul 4. Alegei gama de adrese IP pe care le poate aloca serverul dvs DHCP (192.168.1.2 192.168.1.254) i masca de subreea (FIG 3.2.5) Pasul 5. Alegei gama de adrese IP pe care serverul s nu le aloce (192.168.1.2 192.168.2.50)
Fig 3.2.5
Fig 3.2.6
Pasul 6. Implicit timpul de nchiriere a adreselor este de 8 zile. Dac suntem ntr-un domeniu cu clieni statici atunci putem prelungi intervalul de nchiriere. Dac avem o reea cu clieni mobili care vin i pleac este mai bine ca acest timp s fie mic (FIG 3.2.7)
Fig 3.2.7 Fig 3.2.8 Pasul 7. Configurai apoi opiuni suplimentare alegnd opiunea yes, I want to configure these options now (FIG 3.2.8). Pasul 8. Adaugai adresa porii (192.168.1.1) (FIG 3.2.9) i a serverului DNS (192.168.1.2).
Fig 3.2.9
Fig 3.2.10
Fig 3.2.11 Pasul 10. Pentru a putea face o rezervare, trebuie s deschidei consola de manageriere a serviciului DHCP, (FIG 3.2.13) alegei din arborele deschis tagul Reservations, din bara de meniuri Action alegei New Reservation (FIG 3.2.14)
Fig 3.2.12
Fig 3.2.13
Fig 3.3.1
Fig 3.3.2
Pasul 2 Alegei Custom configuration. (Fig 3.3.2). DNS server (Fig 3.3.3)
Fig 3.3.3
Fig 3.3.4
Pasul 3. Alegei opiunea Create a forward lookup zone (Fig 3.3.4) Pasul 4. Deoarece trebuie creat un server autoritativ de zon alegei opiunea This server mantains the zone (FIG 3.3.5). Adugai apoi numele zonei TOTC.LOCAL (FIG 3.3.6)
Fig 3.3.5 Fig 3.3.6 Pasul 5 Zona netrebuind updatat dinamic alegei opiunea Do not allow dynamic updates (FIG 3.3.7). Pasul 6. Adugai apoi adresa IP a serverului ctre care trebuie naintate cererile (62.231.96.4) (FIG 3.3.8).
Fig 3.3.7
Fig 3.3.8
de
Fig 3.3.9
Fig 3.3.10
manageriere a serviciului DNS, (FIG 3.3.9) alegei din arborele domeniul totc.local, din bara de meniuri Action alegei New Host (FIG 3.3.10) Pasul 8. Pentru a putea aduga o nregistrare de tip CNAME (alias), trebuie s deschidei consola manageriere a serviciului DNS, (FIG 3.3.9) alegei din arborele domeniul totc.local, din bara de meniuri Action alegei New alias (FIG 3.3.11)
Fig 3.3.11
Fig 3.3.12
Pasul 9. Pentru a putea aduga o nregistrare de tip MX (mail exchanger), trebuie s deschidei consola manageriere a serviciului DNS, (FIG 3.3.9) alegei din arborele domeniul totc.local, din bara de meniuri Action alegei New host (pe care l putei intitula de ex mail.totc.local i aloca adresa de IP 192.168.1.5), apoi bara de meniuri Action alegei New mail exchanger (FIG 3.3.12).
controllerul de domeniu ele stabilesc relaii de ncredere ntre ele aa nct nu este nevoie de autentificri suplimentare dect dac este specificat explicit acest lucru n proprietile directorului partajat, sau dac utilizatorul care doreste s ia informaia din reea are drepturile necesare conform politicilor de securitate din domeniu. Dac utilizatorul este conectat local la sistemul de oprare i nu este autentificat de domeniu, chiar daca sistemul este recunoscut de domeniu, utilizatorul nu poate accesa resursele de domeniu dect dac se va autentifica cu un cont de domeniu, altfel accesul i va fi refuzat.
domeniului www.domeniu.ro
DA
NU
Server DNS al ISP
Am informat ia in cache?
DA
NU
2 1
Care este adresa NS (name serverului) autoritar pentru zona domeniu.ro? Server DNS TLD (top level domain) Care este adresa IP a www.domeniu.ro?
Adresa IP a NS
Pasul 1. n fereastra MANAGE YOUR SERVER alegei ADD OR REMOVE A ROLE, apsai NEXT (FIG 3.7.1),
Fig 3.7.1
Fig 3.7.2
Pasul 2. Deoarece instalm un server de fiiere alegem File server (FIG 3.7.2). Pasul 3. Punem limita de 500MB pt utilizatori(FIG 3.7.3).
Fig 3.7.3
Fig 3.7.4
Pasul 4. Serviciul de indexare ocup destul de mult timp de procesor. Dac tim c vor fi multe cutri de fiiere e mai bine s activm serviciul (FIG 3.7.4) Pasul 5. Vrjitorul ne va ghida apoi n procesul de partajare a directoarelor (FIG 3.7.5)
Fig 3.7.5 Pasul 6. Adugm utilizatorii si le dm drepturile corespunztoare (FIG 3.7.6). Atenie! Pentru a avea acces acei utilizatori trebuie s verifica i n tagul de security c aceti utilizatori au drepturi (Ex. daca utiliyatorul director are n tagul de security drepturi de read i n tagul share drepturi full, drepturile lui vor fi de fapt READ!!! ntotdeauna Deny are prioritate n fa a lui Allow)
Fig 3.7.6
Pentru Enterprise Edition: - Procesor de clas Pentium (doar) cu frecvena minim de lucru de 133 Mhz (Microsoft recomand 550 MHz). Ediia Enterprise poate utiliza pn la opt calculatoare echipate procesoare de clas Pentium sau Itanium. - Cel puin 128MB de RAM. Ediia Enterprise poate utiliza pn la 32GB de RAM instalat. - Cel puin 1,5GB pentru calculatoarele echipate cu procesoare de clas Pentium i 2GB de spaiu liber pe disc pentru calculatoarele echipate cu procesoare de clas Itanium. Fia 4.2 Instalarea sistemului de operare Pentru nceput trebuie s intrai n BIOS-ul sistemului de calcul i s l configurai astfel nct s booteze de de CD/DVD. Apoi introduceti CD-ul de instalare Windows 2003 Server in unitatea CD ROM. Cand sistemul porneste, urmariti mesajul Press any key to boot from CD.. (Apasati orice tasta pentru a boot-a de pe CD)
Daca mesajul apare, apsai orice tasta de pe tastatur pentru ca sistemul sa booteze de pe CD. Sistemul va ncepe acum sa inspecteze configura ia hardware. Daca mesajul nu apare, unitatea de hard disk este goala i sistemul va ncepe sa inspecteze configuraia hardware. Va trebui s fim de acord cu
termenii de liceniere i apoi dac totul este n regul vom avea acces la programul de partiionare i vom realiza partiiile necesare. Datorit avantajelor evidente formatarea partiiei se va realiza n sistemul de fi iere NTFS. Va ncepe apoi procesul de copiere al fiierelor, sistemul se va restarta i procesul de instalare va continua n mod grafic: Vor trebui apoi configurate setrile staie reea. Cu aceasta s-a ncheiat prima parte a procesului de instalare. Dac dorii s instalai Windows 2003 server R2, procesul de instalare va continua cu cererea celui de-al 2-lea CD. Dup ce instalarea celui de-al 2-lea CD s-a ncheiat va apare ecranul binecunoscut regionale, de lucru), i modul de liceniere (pe server sau pe numele de calculatorului setrile
Obiective. Aceast activitate v va ajuta s v familiarizai cu 1. utilizarea interfeei grafice n lucrul cu sistemele de operare de reea 2. configurarea sistemelor de operare de reea 3. utilizarea protocoalelor i serviciilor de reea
Dup parcurgerea activitii elevii vor fi capabili: S instaleze sistemul de operare win 2003 server Tipul activitii : Experimentul
Sugestii Activitatea face individual cu cte un elev la un calculator folosind aceeai fi de lucru Timp de lucru recomandat 40 min Coninut: Executarea operaiunilor de baz cu ajutorul interfeei text i a interfeei grafice. Enun. Instalai pe un sistem de calcul sistemul de operare win 2003 server enterprise edition
Obiective. Aceast activitate v va ajuta s v familiarizai cu 1. configurarea sistemelor de operare de reea 2. utilizarea protocoalelor i serviciilor de reea
Dup parcurgerea activitii elevii vor fi capabili: S aleag varianta de sistem de operare potrivit n funcie de necesiti Tipul activitii : metoda celor 6 plrii gnditoare
Sugestii Clasa de elevi este mprit n 6 grupe. Fiecare grup este poziionat sub o plrie metaforic avnd una dintre culorile: alb, rou, negru, galben, verde sau albastru. n funcie de culoarea plriei sub care se afl, fiecare grup va avea ca sarcin analiza situaiei i identificarea unor soluii dintr-o perspectiv dat, astfel: Plria alb analiza obiectiv a situaiei-problem; Plria roie analiza intuitiv-emoional; Plria neagr analiza pesimist; Plria galben analiza optimist; Plria verde analiza creativ (ipoteze neobinuite, posibiliti de aciune inovatoare, etc.); Plria albastr coordoneaz grupurile de sub celelalte plrii i formuleaz observaii asupra celor exprimate de ele. Timp de lucru recomandat 40 min Enun. La un liceu s-au adus 20 de staii de lucru avnd preinstalat sistemul de operare Windows Vista. De asemenea liceul mai dispune de inca 25 de staii de lucru avnd
instalat sistemul de operare Win XP Professional i Win XP Home Edition, . Se dorete implementarea unui solutii care s permit: autentificarea cu cont i parol de domeniu, acces discreionar la resursele reelei (fiiere, imprimante) alocare automat de adrese IP realizarea i ntreinerea simpl a unui site web Posibilitatea de modificare rapid a politicilor de securitate Management centralizat
Dup parcurgerea activitii elevii vor fi capabili: S aleag varianta de sistem de operare potrivit n funcie de necesiti Tipul activitii : jocul de rol
Sugestii Clasa de elevi este mprit n 2 grupe: o grup care reprezint cumprtorii i cealalt grup care o reprezint vnztorii. Timp de lucru recomandat 40 min Enun. O echip de ageni de vnzri vin la o firm s propun unei firme realizarea unui sistem integrat de calcul avnd la baz modelul client/server. Vnztorii vor avea n portofoliul lor familia de server Win 2003R2 i Win 2008R2. Analiza care se va face va trebui s ating urmtoarele puncte: costuri, eficien, uurina de implementare, uurina de utilizare, necesitatea de a utiliza o anumit versiune sistem de operare sau alta.
managementul securitii este un element cheie n ceea ce nseamn Active Directory pentru un domeniu, vom prezenta n continuare, pe scurt, cteva noiuni i opiuni pe care trebuie s le cunoatei atunci cnd abordai un server Windows 2003.
Fereastra Group Policy este mprit n dou mari categorii: Computer Configuration (politica staiilor de lucru i a serverelor din domeniu); User Configuration (politica de securitate pentru utilizatorii din grupul organizaional respectiv). Dac un grup organizaional conine numai utilizatori sau numai calculatoare, cealalt opiune poate fi blocat din fereastra de proprieti a politicii de securitate. n subcategoria Windows Settings exist opiunea Scripts care, pentru Computer Configuration, include opiunile Startup i Shutdown, iar la User Configuration include Log on i Log off. Aici se pot specifica diferite script-uri care s se declaneze n momentul n care staia sau utilizatorul se autentific n reea. n continuare, vom ncerca s explicm cteva dintre opiunile politicii uzuale de securitate, valorile aferente i, nainte de toate, calea de a ajunge la opiunea respectiv. Computer Configuration\ Windows Settings\ Security Settings\ Account Policies\ Password Policies:
Maximum password age (durata maxim de valabilitate a unei parole) - foreaz utilizatorul ca dup un anumit numr de zile (implicit 70) s-i schimbe parola. Este n strns legtur cu Minimum Password age (durata minim de valabilitate a unei parole) (implicit 30 de zile). Passwords must meet complexity requirements (parola trebuie s aib un format complex) - care nseamn c aceasta nu trebuie s conin o parte sau tot numele de utilizator; s nu fie mai mic de 6 caractere; s conin caractere mari, mici, numere i caractere nonalfanumerice (de exemplu, !, $>, %). De asemenea, se recomand folosirea caracterelor speciale sau a caracterului spaiu n crearea parolelor. Activarea acestei opiuni foreaz utilizatorul s nu mai foloseasc data naterii, numrul de la main sau nume familiare n crearea parolelor. Computer Configuration\ Windows Settings\ Security Settings\ Account Policies\ Account Lockout Policy: Account lockout threshold (blocarea contului de utilizator) - se configureaz pentru a preveni ncercrile repetate de conectare la reea n condiiile de necunoatere a parolei. Valorile pe care le poate lua snt de la 1 la 999. Implicit aceast opiune nu este configurat, iar valoarea 0 elimin posibilitatea de blocare a contului. Recomandm valoarea 3 pentru aceast opiune. Account lockout duration (timpul de blocare a unui cont) - specific durata de blocare a unui cont care a fost blocat automat prin opiunea anterioar. Intervalul de valori este cuprins ntre 1 i 99999 minute, valoarea implicit fiind de 30 de minute, configurabil automat n momentul n care se configureaz opiunea anterioar. Computer Configuration\ Windows Settings\ Security Settings\ Local PoIicies\ User Rights Assignment: Add workstations to domain (adugarea de staii n domeniu) - se configureaz pentru a permite utilizatorilor sau unui grup de utilizatori s adauge staii de lucru n domeniu. Implicit, grupul de utilizatori care poate aduga staii n domeniu este Authenticated Users, dar n aceast categorie pot intra toi utilizatorii creai n Active Directory, ceea ce diminueaz controlul asupra staiilor din domeniul respectiv.
Change the systern time (schimbarea timpului din sistem) - n mod implicit, fiecare utilizator poate s schimbe data i ora sistemului, dar nu recomandm acest lucru pentru c poate duce la nregistrarea greit din punctul de vedere al timpului a unor evenimente din reea. Schimbai asemntor exemplului anterior aceast opiune, definind dreptul de acces grupurilor administrative la nivel de domeniu. Computer Configuration\ Windows Settings\ Security Settings\ Local Policies\ Security Options: Additional restrictions for anonymous access (Acces limitat conexiunilor anonime). Orice utilizator din domeniul curent sau din alte domenii poate vedea, n mod implicit, resursele puse la dispoziie n reea. Pentru a oferi o mai bun protecie domeniului recomandm opiunea Do not allow enumeration of SAM accounts and shares, care nlocuiete grupul de utilizatori Everyone cu Authenticated Users n definirea politicilor locale de acces la diferite resurse. n acest fel, numai utilizatorii din Active Directory pot avea acces la resursele domeniului: share-uri, imprimante etc. Automatically log off users when logon time expires (Deconectarea automat de la reea n momentul expirrii timpului de lucru). Pentru anumite categorii de utilizatori sau n mod individual poate fi configurat un interval orar de acces n reea. n momentul n care utilizatorul depete timpul alocat, acesta este deconectat automat de la resursele reelelor. De asemenea, i versiunea urmtoare (local) trebuie activat pentru ca sistemul s deconecteze automat utilizatorul. Do not display last user name in logon screen (Neafiarea numelui ultimului utilizator conectat pe staia curent). n cazul reelelor cu muli utilizatori, activarea acestei opiuni aduce un spor de siguran la conectarea n reea, muli utilizatori nefiind destul de ateni la ultimul User Name scris n fereastra de Log On. n cazul n care ntr-o reea acelai utilizator lucreaz cu preponderen pe aceeai staie, activarea acestei opiuni nu este recomandat. Prompt user to change password before expiration (Atenionarea utilizatorului pentru a-i schimba parola cu un anumit timp nainte de expirare). Se exprim n zile, valoarea implicit fiind 14. V recomandm ns o valoare mai mic, 5 sau 7, pentru a nu deranja utilizatorul la fiecare conectare. Schimbarea parolei acestuia duce la anularea apariiei mesajului de avertizare pn la urmtorul termen.
Prezentarea principalelor categorii din User Configuration Specificarea unui proxy pentru comunicarea pe Internet: User Configuration\ Windows Settings\ Internet Explorer Maintenance\ Connection\ Proxy Settings Personalizarea paginii de start (home page), a paginii de cutare i a paginii pentru asistena tehnic: User Configuration\ Windows Settings\ Internet Explorer Maintenance\ URLs\ Important URLs Aceast opiune este foarte important pentru configurarea unei pagini HTML drept desktop al staiilor din domeniu. Pentru specificarea altei locaii directorului My Documents: User Configuration\ Windows Settings\ Folder Redirection\My Documents. n lista Settings exist opiunea Basic - Redirect everyone 's folder to the same location (redirecionarea tuturor utilizatorilor ctre aceeai locaie), iar la Target folder location trecei adresa la care va fi redirecionat automat directorul My Documents pentru fiecare utilizator n parte. Interzicerea schimbrii paginii de start (home page): User Configuration\ Administrative Templates\ Windows Components\ Internet Explorer\ Disable changing home page settings. Ascunderea opiunii Folder Option din meniul Tools din Windows Explorer cu scopul de a nu permite utilizatorilor vizualizarea unor fiiere ascunse, sau fiiere sistem, n scop distructiv, sau a eliminrii lor din necunotin de cauz: User Configuration\ Administrative Templates\ Windows Components\ Windows Explorer\ Removes the Folder Option menu item from the Tools menu. Opiunea ascunderii fiierelor i eliminarea posibilitii de dezascundere poate fi depit cu utilitarul Command Prompt, comanda attrib. Ascunderea anumitor discuri n My Computer, pentru a restriciona accesul la acestea: User Configuration\ Administrative Templates\ Windows Components\ Windows Explorer\ Hide these specified drives in My Computer. Dac staia d-voastr face parte dintr-un domeniu public, gen i-cafe, putei ascunde toate discurile de pe staie, prin activarea opiunii Restrict all drives. Chiar dac activai aceast politic de securitate, accesul la discuri este posibil din Command Prompt numai dac nu ai dezactivat aceast opiune. Eliminarea iconiei My Network Places din Windows Explorer pentru a preveni accesul neautorizat n reea: User Configuration\ Administrative Templates\ Windows Components Windows Explorer\ No Entire Network" in My Network Places.
Eliminarea opiunii Run din meniul Start: User Configuration\ Administrative Templates\ Start Menu & Taskbar\ Remove Run Menu from Start Menu. Ascunderea iconiei de acces la reea de pe Desktop : User Configuration\ Administrative Templates\ Desktop\ Hide My Network Places icon on desktop. Interzicerea schimbrii destinaiei directorului sistem My Documents: User Configuration\ Administrative Templates\ Desktop\ Prohibit user from changing My Documents path. Ascunderea resursei Active Directory n reea: User Configuratori Administrative Templates\ Desktop\ Active Directory\ Hide Active Directory folder. Interzicerea accesului la tabloul de bord al calculatorului (Control Panel): User Configuratori Administrative Templates\ Control Panel\ Disable Control Panel. Interzicerea modificrii parametrilor TCP/IP : User Configuratori Administrative Templates\ Network\ Network and Dial-up Connections\ Allow TCP/IP advanced configuration Blocarea accesului la utilitarul pentru comenzi (Command Prompt): User Configuratori Administrative Templates\ System\ Disable the command prompt. n aceast seciune, la opiunea Enabled foarte important este modul n care se vor executa script-urile. Dac la procesul de autentificare de reea avei script-uri de tip BAT pentru diferite operaiuni, alegei din lista Disable the command prompt script processing also opiunea No. Interzicerea accesului la regitrii sistemului de operare, activai opiunea Disable registry editing tools. Interzicerea accesului ctre anumite aplicaii: Do not run specified Windows applications Limitarea accesului la aplicaia de gestiune a proceselor (Task Manager): User Configuratori Administrative Templates\ System\ Logon\ Logoff\ Disable Task Manager; recomandm aceast opiune n momentul n care rulai aplicaii de monitorizare pe staiile de lucru sub form de servicii, pentru a preveni oprirea neautorizat a acestora de ctre utilizatori.
Obiective. Aceast activitate v va ajuta s v familiarizai cu 1. configurarea sistemelor de operare de reea 2. utilizarea protocoalelor i serviciilor de reea
Dup parcurgerea activitii elevii vor fi capabili: S creeze o unitate organizaional S creeze un utilizator de domeniu S configureze o politic de securitate pe un un controller de domeniu Tipul activitii : experimentul Timp de lucru recomandat 30 min Enun. Se dorete crearea unei uniti organizaionale denumite Elevi pentru elevii unui colegiu, crora s li se aplice o politic unic. De asemenea se dore te crearea unui utilizator de domeniu elev .Politica de securitate va urmri s restricioneze o parte din drepturile utilizatorilor unitii organizaionale elevi: o Redirecionarea My Documents i Desktop-urilor grupului de utilizatori elevi ctre o resurs de reea \\server\elev\documente respectiv \\server\elev\desktop o Ascunderea discurilor n explorer o Dezactivarea accesului la command prompt o Oprirea accesului la jocurile din windows (hearts, solitaire)
Obiective. Aceast activitate v va ajuta s v familiarizai cu 1. configurarea sistemelor de operare de reea 2. utilizarea protocoalelor i serviciilor de reea
Dup parcurgerea activitii elevii vor fi capabili: S adauge un calculator la un domeniu. Tipul activitii : experimentul Timp de lucru recomandat 10 min Enun. Se dorete adugarea unui calculator la domeniul totc.local
Fig 5.1.1
Pasul 2 Pentru crearea unei uniti organizaionale, selecta i entitatea creia s i se subordoneze (n cazul nostru totc.local), apoi alegei din bara de meniuri (sau click dreapta pe totc.local) Action > New > Organizational Unit (Fig 5.1.2)
Fig 5.1.2
Pasul 2 Pentru crearea unui utilizator n cadrul unit i organiza ionale, selecta i entitatea creia s i se subordoneze (n cazul nostru elevi), apoi alegei din bara de meniuri (sau click dreapta pe elevi) Action > New > User(Fig 5.1.3)
Fig 5.1.4 Pasul 4. Politica de securitate se aplic pe unitate organizaional. Pentru a crea o politic de securitate alegei unitatea organiza ional ( elevi) apoi alegei din bara de meniuri Action > Properties > New apoi Edit (Fig 5.1.5)
Fig 5.1.5 Pasul 5 Pentru specificarea altei locaii directorului My Documents: User Configuration\ Windows Settings\ Folder Redirection\My Documents. (FIG 5.1.6)
Fig 5.1.6
Pasul 7 Interzicerea accesului ctre anumite aplicaii: Do not run specified Windows applications. (fig 5.1.7) Blocarea accesului la utilitarul pentru comenzi (Command Prompt). (fig 5.1.8) Fig 5.1.8
Fig 5.1.7
Fig 5.2.1
Fig 5.2.2
Pasul 2 Alegei prima opiune This computer is part of a business network (FIG 5.2.2). Fig 5.2.2 Pasul 3. Deoarece scopul nostru este s adugm staia de lucru la domeniu, vom alege My company uses a network with a domain (FIG 5.2.3)
Fig 5.2.3
Pasul 4. Pentru a aduga un calculator la un domeniu trebuie s fim utilizatori cu drepturi depline pe staia respectiv. Trebuie deci s ne autentificm cu un utilizator care are dreptul s modifice apartenena staiei de lucru la grupul din care face parte (FIG 5.2.4)
Fig 5.2.5
Pasul 5. ntr-o reea de calculatoare pot fi mai multe domenii aa c vom fi ntrebai la
Pasul 6. Pentru a aduga un calculator la un domeniu trebuie s fim utilizatori care au acest drept pe domeniul la care vrem s ne conectm. Trebuie deci s ne autentificm cu un utilizator care are dreptul s adauge staia de lucru la domeniu (FIG 5.2.6)
Fig 5.2.6
Fig 5.2.7
Pasul 7. Putem s adugm de asemenea un utilizator local pe staia pe care tocmai o adugm unui domeniu (Nu este obligatoriu acest lucru v vei putea oricum conecta cu utilizatorii de domeniu. Un asemenea utilizator este util doar n situaia n care controllerul de domeniu nu este funcional i nu v putei altfel autentifica pe staie )(FIG 5.2.7) Dac hotri c este necesar un asemenea utilizator i hotri s l creati trebuie de asemenea s i stabilii ce drepturi va avea. (FIG 5.2.8)
Fig 5.2.7
Fig 5.2.8
Pasul 8. Sistemul va cere restart iar apoi vei putea observa c fereastra de autentificare s-a schimbat. De asemenea au aprut modificri i la nivelul controllerului de domeniu n sensul c staia a fost adugat n baza de date a Active Directory i DNS
De obicei, adresa expeditorului este fals (pentru a nu putea fi descoperit), astfel c acest tip de atac poate fi prevenit configurnd serviciul de e-mail pentru a respinge e-mailurile provenite de pe domenii care nu pot fi rezolvate. 3. Falsificarea adresei expeditorului (E-mail spoofing)
Serverul (sau serverele, n unele cazuri) de mail care a transmis mesajul poate fi determinat prin analiza antetului mesajului. Se recomand contactarea administra
torului
serverului
respectiv
solicitarea
de
informaii
privind
originea
mesajului
(acestea pot fi obinute din fiierele jurnal ale sistemului)'. 4. Abonarea nesolicitat la liste de discuii
Reprezint nscrierea unei adrese e-mail pe una sau mai multe liste de discuii fr ca persoana creia i aparine adresa s fi cerut explicit acest lucru. Nu exist soluii rapide pentru stoparea acestor atacuri, ci doar trimiterea de cereri de dezabonare. 5. Atacuri pentru refuzul serviciilor (Denial of Service)
Prevenirea atacurilor de tip DoS se poate face prin instalarea de firewalluri (care s filtreze pachetele ctre porturi care trebuie protejate, precum i pachetele ICMP) instalarea de conexiuni de siguran (backup) i dezactivarea serviciilor care n necesare (pentru a diminua expunerea acestora la potenialele atacuri). 6. Depirea zonelor tampon
Acest tip de atac nu poate veni ns din afara mainii, ci din interiorul i nu poate fi prevenit. Pe msur ce asemenea erori sunt descoperite, sunt generate actualizri ale programelor. 7. Interceptarea reelei (IP sniffing)
Un asemenea atac se poate preveni doar din interiorul reelei locale. Pentru a preveni, este bine s utilizm, cel puin pentru transmiterea parolelor din protocoale sigure, criptate, cum ar fi SSH. 8. Cai troieni (Trojan horses)
Toate fiierele executabile sau arhivele coninnd programe descrcate de pe Internet (chiar i de pe siturile oficiale) trebuie verificate nainte de a fi instalate i executate. De asemenea, se recomand realizarea periodic de copii de siguran a sistemelor de fiiere, pentru a putea restaura fiierele executabile originale n alterrii acestora de ctre cai troieni. 9. Ui ascunse
Uile ascunse sunt cazuri particulare de cai troieni. Un asemenea program creeaz o poart" (de exemplu, un utilizator nou) care s permit accesul ulterior la calculatorul n cauz sau s acorde unui anumit utilizator privilegii speciale. Spre exemplu, un cal troian poate nlocui fiierul /bin/login, care are rolul de a autentifica utilizatorii, pentru a salva parolele tastate de acetia ntr-un fiier ascuns; 10. Virui Viruii sunt programe care pot efectua operaiuni nedorite, de obicei distructive, i care au capacitatea de a se multiplica", adic de a infecta i alte programe. Viruii rezid n general n cadrul fiierelor executabile. Sistemele UNIX nu sunt vulnerabile la virui, datorit gestiunii stricte a memoriei i a proceselor care se execut. Este recomandat, n orice caz, s nu se execute ca root nici un fiier executabil despre care nu se cunoate ce face. 11. Viermi (Worms)
Viermii sunt programe de sine stttoare, capabile s se multiplice, s se transfere pe alte calculatoare i, eventual, s efectueze operaii distructive. Sistemele FreeBSD nu sunt afectate de viermi. 12. Ghicirea parolelor (password guessing)
Acest tip de atac se refer la folosirea unui program pentru a determina parolele prost alese, denumit n genere sprgtor de parole (cracker). Un astfel de program poate determina, printr-o analiz comparativ, o coresponden ntre variantele de presupuse parole criptate. 13. pe server De obicei, problema securitii nu se pune la nivel de nucleu al sistemului de operare, ci la nivelul aplicaiilor. La anumite perioade de timp sunt descoperite vulnerabiliti n aplicaiile instalate n sistem, n servicii, unele dintre ele putnd fi folosite pentru a obine accesul n sistem. Reuita atacurilor este de cele mai multe ori cauzat de configurri slabe ale sistemului sau de neglijarea erorilor (bugs) de securitate descoperite i de lipsa update-uui la Folosirea de anumite vulnerabiliti (bugs) a programelor / serviciilor existente
timp a programelor ce prezint vulnerabiliti. De aceea trebuie acordat o importan mare configurrilor de dup instalare. Aciuni ce trebuie ntreprinse pentru a se asigura securizarea unui sistem de operare n reea: Sigurana fizic a sistemului - Instalarea mainii trebuie realizat
ntr-un loc sigur, s nu fie expus contactului cu persoane neautorizate. Acestea nu trebuie s aib posibilitatea sau timpul necesar de a nltura carcasa, de a modific configuraia hardware, de a opri i apo reporni maina (eventual n modul single), de a nlocui sau copia informaiile discuri sau de a inocula programe ruvoitoare (cai troieni). De asemenea, mediile de stocare a salvrilor de siguran trebuie s fie pstrate ntr-un loc nchis, fr posibilitate de acces (e.g., un seif). Salvrile de siguran - Se recomand salvarea periodic cel
puin a fiierelor importante i, dac este posibil a ntregului coninut al sistemelor de fiiere. Drepturile de acces Ia fiierele importante - Trebuie acordat o
atenie sporit drepturilor de acces la fiierele importante: fiierele de configurare ale diverselor servicii instalate n sistem, fiierele jurnal (log-uri), executabilele care nu trebuie s poat fi apelate de ctre utilizatorii obinuii, precum i alte fiiere importante (spre exemplu, baze de date MySQL, PostreSQL etc.), executabilele i scripturile de iniializare ale sistemului nu trebuie s poat fi modificate dect de root / administrator. Execuia daemonilor / proceselor - Se recomand ca numai
daemonii / procesele utilizai(te) curent s ruleze pe sistem. Mai muli(te) daemoni / servicii nseamn o ncrcare mai mare a sistemului, precum i un nivel de vulnerabilitate mai mare. De asemenea, o mare parte a daemonilor / serviciilor (care ofer diverse servicii) nu trebuie executai sub root / administrator, ci sub utilizatorii speciali (de exemplu, daemonul HTTP ruleaz sub utilizatorul www).
Acestea trebuie plasate ntr-un singur director, n care nu se va permite accesul utilizatorilor, iar modificrile asupra scripturilor trebuie monitorizate. Porturile - Anumite servicii pot fi accesate prin reea, de pe alte
maini. Pentru aceasta, ele ateapt conexiuni pe anumite porturi (e.g., serverul HTTP pe portul 80). Aceste porturi pot constitui puncte vulnerabile ale sistemului (datorit vulnerabilitilor care pot exista n aceste programe), putnd fi detectate de la distan cu ajutorul scanerelor. Aceste porturi trebuie protejate fie prin configurarea respectivelor servicii s accepte conexiuni doar de pe o anumit interfa de reea, considerat sigur (e.g., reeaua local), fie prin configurarea unui firewall care s nu permit accesarea din exterior a porturilor n cauz. Accesul utilizatorului root / administrator n sistem - Din principiu,
nu se recomand permiterea accesului cu root / administrator dect de la consolele sistemului. Accesul de la distan (cu SSH) va fi fcut cu un utilizator obinuit, iar apoi va fi folosit comanda su. Sistemul FreeBSD nu permite accesul la distan prin SSH folosind autentificarea ca root i, de asemenea, nu permite su dect din contul utilizatorilor ce aparin grupului wheel.
Obiective. Aceast activitate v va ajuta s v familiarizai cu 2. configurarea sistemelor de operare de reea 3. utilizarea protocoalelor i serviciilor de reea
Dup parcurgerea activitii elevii vor fi capabili: S configureze firewall-ul pentru un server
Tipul activitii : experimentul Timp de lucru recomandat 30 min Enun. La o firm exist un sistem de calcul pe care este instalat sistemul de operare Win2003R2. Adrian cellalt administrator de sistem a instalat pe acest sistem de calcul urmtoarele servicii: email (POP3 i SMTP), web (IIS), DNS, DHCP i FTP. Rmne n sarcina dumneavoastr ca pe acest server s crea i firewall-ul corespunztor. n plus se tie c exist n reea utilizatori care utilizeaz atacuri de tip DoS cu ajutorul unui volum foarte mare de pachete ICMP.
Fig 6.1.1 Pasul 3. Pentru porturile indicate la pasul 1 configurm firewallul (FIG 6.1.2):
Fig 6.1.2
Fig 6.1.3
Observaie! O mare parte din serviciile (porturile) care le dorim sunt preconfigurate n firewall. Ele nu trebuie dect bifate pentru a permite accesul altor calculatoare la ele. Dac totui dorim servicii suplimentare le putem aduga cu ajutorul op iunii Add (FIG 6.1.3) Pasul 4. Pentru a preveni atacurile DoS cu ajutorul pachetelor ICMP, alegem tagul ICMP i verificm s nu fie bifate opiunile (FIG 6.1.4)
Fig 6.1.4