Администрирование Windows

Аутентификация клиентов Linux с помощью Active Directory

Windows уже довольно давно поставляется в комплекте с интегрированной системой сетевой проверки подлинности и единого входа. До Windows 2000 контроллеры доменов Windows NT предоставляли клиентам Windows службы проверки подлинности, используя протокол NTLM. Хотя NTLM не был так защищен, как казалось первоначально, он был очень полезен, поскольку давал удобное решение проблеме необходимости поддерживать дубликаты учетных записей пользователя на различных серверах сети.

Возможности веб кэширования брандмауэра ISA

ISA может работать в качестве брандмауэра, в качестве брандмауэра и сервера веб кэширования (лучший вариант), или в качестве выделенного сервера веб кэширования. Можно установить сервер ISA в качестве сервера прямого кэширования (forward caching server) или сервера обратного кэширования (reverse caching server). Веб прокси фильтр является механизмом, который ISA использует для применения функции кэширования.

Защита Microsoft Exchange Server 2007

Разработчики Exchange Server 2007 оснастили этот почтовый сервер более эффективными средствами безопасности, чем были у его предшественников, однако для того, чтобы познакомить читателей со всем, что следует знать об этих средствах, мне пришлось бы написать целую книгу. Ведь концепция защиты Exchange Server 2007 подразумевает выполнение самых разных действий от создания высокоуровневого архитектурного замысла до подстройки десятков малоизвестных параметров, сокрытых в глубинах продукта.

Новые атаки против DNS

Известно, как важно защитить серверы имен DNS, но как быть с клиентами DNS? Две недавно появившиеся угрозы — проблема, связанная с протоколом автообнаружения Web Proxy (WPAD), и атака с перенастройкой распознавателя — нацелены против клиентов DNS. Что представляют собой эти атаки и как противостоять им?

Разделение DNS

Cлужба доменных имен Domain Name System (DNS) — один из важнейших компонентов любой ИТ-среды. От DNS зависят все пользователи Internet. Если вы, как и большинство администраторов, применяете в своей сети службу Active Directory (AD), ваши пользователи тоже задействуют DNS при поиске в сети ресурсов, таких как контроллеры доменов (DC). Если пользователи будут искать контроллер домена без помощи DNS, они не смогут даже зарегистрироваться в сети.

Создание собственного средства инвентаризации программного обеспечения

В этом выпуске статьи, посвященной Windows Power-Shell, я собираюсь продемонстрировать ее крайне практичное применение: будет создано средство, выполняющее инвентаризацию номеров сборки операционных систем (один из лучших способов определения версии операционной системы) и номеров версий пакетов обновлений для некоторого списка компьютеров. Но я не просто собираюсь предоставить готовое решение. Я планирую провести вас по всем этапам процедуры, используемой мною для разработки такого рода сценариев.

Управление всеми USB устройствами с помощью групповой политики

Когда вы учитываете безопасность, защиту сети, защиту корпоративных данных или подобные вопросы в вашей корпоративной сети, вы должны задумываться о том, как контролировать переносные приводы USB и жесткие диски. Если пользователи могут вынести USB накопители за пределы офиса в своих карманах, скопировав практически любой файл на них, затем вставить эти накопители в свой рабочий компьютер и скопировать или выполнить на нем файл с накопителя, то потенциальная подверженность атаке или вирусам значительно возрастает. До настоящего времени контролирование USB приводов было ограниченным, неудобным и в большинстве случаев все USB подвергались влиянию, если вы хотели контролировать USB приводы. Однако компания Microsoft пришла на помощь путем добавления Device Installation Restrictions (ограничения установки устройств) для контролирования USB устройств в Windows Vista. Эти параметры просты в настройке, контролировании и очень мощные, поскольку устанавливаются они с помощью групповой политики.

Краткое руководство по Microsoft PKI

В этой статье, состоящей из трех частей, я кратко расскажу вам, как устанавливать, проектировать и отлаживать PKI (Public Key Infrastructure – инфраструктуру открытого ключа) с помощью служб сертификатов Microsoft Certificate Services в операционной системе Windows Server 2003. Я расскажу вам о наиболее часто встречающихся подводных камнях, а также о лучших рекомендациях по построению и работе с PKI на платформе Microsoft, а также сфокусируюсь на основах построения правильной и гибкой PKI с самого начала.

Политика ограничения программного обеспечения Software Restriction Policy (SRP)

Политика ограничения программного обеспечения Software Restriction Policy (SRP) появилась в октябре 2001 года вместе с запуском операционной системы Microsoft Windows XP Professional. Правда тогда она жила достаточно спокойной жизнью – даже слишком спокойной, как вы могли заметить. Цель этой статьи заключается в том, чтобы оживить SRP в реальной жизни, чтобы заставить администраторов во всем мире пересмотреть их политики относительно программного обеспечения (software policies), и может быть, даже реализовать SRP в это самом мощном проявлении – на основе белых списков (Whitelisting).

Защита группы локальных администраторов на каждом компьютере

Если ваша компания схожа с большинством остальных компаний, значит ваши пользователи работают под учетными записями локальных администраторов на своих компьютерах. Существуют решения, способные избавить от такой необходимости, а именно такое направление должны выбрать все компании. Когда пользователи работают от имени учетных записей локальных администраторов, ИТ персонал не контролирует этих пользователей или их компьютеры. Чтобы вы могли защитить группы локальных администраторов на всех компьютерах, вам нужен мощный инструмент. Обычно существует три различных задачи, которые необходимо выполнить для защиты этих групп. Эти задачи мы рассмотрим в данной статье. Windows Server 2008 и Windows Vista SP1 (с установленным RSAT) обладает новыми удивительными органами управления, которые позволяют произвести эти настройки очень быстро!

Безопасность и виртуализация

По мере движения мира виртуализации вперед организации все чаще сталкиваются с необходимостью и преимуществами ее использования: такие факторы, как объединение серверов, высокие счета за оплату электроэнергии, более быстрое оборудование, простота использования и быстрые технологии создания виртуальных систем делают область виртуальных компьютеров все более привлекательной.

Уменьшение уязвимостей учетной записи администратора

Я столкнулся с новой тенденцией, которая стала все чаще встречаться в корпоративных сетях. Сетевые администраторы (Network administrator) желают, чтобы возможности учетных записей администраторов (administrator) стали более ограниченными. Это касается не только администраторов из Active Directory, но также администраторов рабочих станций и серверов во всей корпорации. Существует множество различных конфигураций, которые можно настроить, чтобы помочь защитить и ограничить возможности учетной записи администратора. Однако, очень важно понимать, что именно можно сделать, что означает данная конфигурация, а также чего нельзя делать, когда дело касается учетных записей внутри вашей организации. В этой статье мы ответим на все эти вопросы, чтобы вы смогли настроить правильные конфигурации, а также избежать появления возможных брешей.

Уменьшение уязвимостей учетной записи администратора

Я столкнулся с новой тенденцией, которая стала все чаще встречаться в корпоративных сетях. Сетевые администраторы (Network administrator) желают, чтобы возможности учетных записей администраторов (administrator) стали более ограниченными. Это касается не только администраторов из Active Directory, но также администраторов рабочих станций и серверов во всей корпорации. Существует множество различных конфигураций, которые можно настроить, чтобы помочь защитить и ограничить возможности учетной записи администратора. Однако, очень важно понимать, что именно можно сделать, что означает данная конфигурация, а также чего нельзя делать, когда дело касается учетных записей внутри вашей организации. В этой статье мы ответим на все эти вопросы, чтобы вы смогли настроить правильные конфигурации, а также избежать появления возможных брешей.

Что нового в Windows Server 2003 R2?

Обновлённая редакция Windows Server 2003, Microsoft Windows Server 2003 R2, обеспечивает простые и выгодные коммуникационные возможности, а также управление идентификацией, объектами, данными, и приложениями по всей вашей организации и за её пределами. Windows Server 2003 R2, построенная на базе Windows Server 2003 с Пакетом обновления 1 (Service Pack 1 SP1), наследует все преимущества надёжности и безопасности программной основы, расширяя сферу управления и коммуникационные возможности.

Службы Windows 2000 Server

По умолчанию, Windows 2000 Server в стандартной редакции (без пакетов исправления) инсталлирует 65 служб (другие продукты семейства Windows 2000 Server и Windows 2000 Professional устанавливают иные службы). В первой части статьи я дал определение служб и рассказал об их назначении, инструментах и приемах управления ими. Этого достаточно, чтобы приступить к оценке служб, работающих на машине, и оптимизировать их конфигурацию.

Руководство по настройке Windows 2003 Server как рабочей станции

Да, эта система, имеет заметные отличия от Windows XP Professional, нацеленные, в первую очередь, на максимальное повышение надежности этой ОС. Особенно бросается в глаза то, что теперь по умолчанию отключены многие функции, являющиеся для домашнего юзера практически обязательными, но вроде бы не требующиеся на серверной машине, типа тем Рабочего стола, трехмерного ускорения и даже звука!.

Командная строка Windows 2003

В среде Windows утилиты командной строки никогда не привлекают особенного внимания, в отличие от графических утилит. Хотя утилиты командной строки и обогащаются каждый год многочисленными дополнениями и улучшениями, надо хорошенько покопаться, чтобы отыскать их. Новые утилиты командной строки разрабатываются не только для Windows Server 2003, специалисты Microsoft внесли улучшения и в утилиты из состава Windows 2000 (и даже для Windows NT 4.0). Кроме того, внесены изменения и дополнения во многие утилиты, доступные с Download Center.

Службы сертификации и безопасность почты Windows 2000/2003

Можно ли защитить пересылаемые по электронным каналам документы без дополнительных затрат? Что выбрать: PGP или S/MIME? Нужен ли "необязательный" СА? Что ж, попытаемся найти ответы…Мы уже рассматривали некоторые моменты установки и начала работы электронной почты, основанной на почтовом сервере Microsoft Exchange Server 2000 в среде Active Directory домена Windows 2000. Данная же статья посвящена одной из наиболее раздражающих и огорчающих проблем при организации обработки информации — проблеме безопасности при работе с электронной почтой. А точнее: защите почтовых сообщений от несанкционированного использования.

Типовые задачи администрирования сети Windows 2000

Как известно, в Active Directory реализована репликация в режиме multi-master. В то же время некоторые операции выгоднее проводить в режиме с одним головным сервером, то есть в режиме single-master (с выделенным основным контроллером операций). Этот контроллер отвечает за выполнение конкретных функций, называемых ролями контроллера операций. Поскольку эти роли не имеют жесткой привязки к конкретному серверу в рамках домена или леса, их называют перемещаемыми (FSMO, Flexible Single Master Operations). Таких ролей в сети Windows 2000 пять, и распределяются они по двум различным группам.

Пример настройки Name-сервера

Для тестирования правильности построения зоны используется программа nslookup. Она сообщает IP-адрес по доменному имени, а при запуске без параметров она переходит в командный режим, где проявляет все свои незаурядные качества - читай `man nslookup`.

Domain Name Service

Служба Доменных Имен предназначена для того, чтобы машины, работающие в Internet, могли по доменному имени узнать IP-адрес нужной им машины, а также некоторую другую информацию; а по IP-номеру могли узнать доменное имя машины. Служба Доменных Имен была разработана для именования машин в глобальной сети. Основной особенностью глобальной сети является распределенное администрирование, когда один администратор физически не может уследить за выделением имен. Поэтому Служба Доменных Имен функционирует на принципе делегирования полномочий. Каждая машина либо знает ответ на вопрос, либо знает кого спросить. При правильном функционировании система замкнута, т.е. если запрошенная информация имеется у кого-либо, то она будет найдена и сообщена клиенту, либо, если вопрос не имеет ответа, клиент получит сообщение о невозможности получения ответа на вопрос.

Служба каталогов Active Directory в Windows 2000 Server

В процессе разворачивания сети, даже если создается домен с единственным контроллером, необходимо учитывать некоторые принципы, о которых мы сейчас поговорим, не говоря уже о сложной сети с несколькими доменами (сайтами) и множеством подразделений (организационных единиц).

Организация IP брандмауэра встроенными средствами Windows 2000 и XP

Вряд ли для кого-нибудь секретом является тот факт, что компьютеры нужно защищать. Особенно если вы используете сервер на базе Windows 2000 для выхода в Интернет. Это типично для многих организаций. Windows 2000 намного проще и удобнее в настройке, чем различные версии Unix. А при должной настройке эта система не менее устойчива к взлому и стабильна. Впрочем, многие любители Unix могут с этим не согласиться, но это мое мнение. Обычно к серверу Windows 2000 подключается модем выделенной линии (или любое другое устройство), параллельно с локальной сетью. При этом организуется либо раздача соединения с Интернетом по локальной сети (Internet Connection Sharing, простейший вариант NAT), либо устанавливается прокси-сервер.