Spis treści:
Wstęp 5
Internet 6
Charakterystyka poszczególnych sieci 8
Unix 8
Zalety i wady Unix’a. 8
Logowanie się w systemie. 9
Środowisko pracy w systemie Unix. 9
Shelle i system plików w Unix’ie. 10
Dostęp do plików. 14
Niektóre kombinacje klawiszy w systemie. 15
Podstawowe komendy systemu. 16
Novell NetWare 19
Bezpieczeństwo sieci NetWare 4. 19
Prawa dysponenta. 20
Ochrona systemu plików. 23
Przyznawanie praw dysponenta. 24
Ochrona NDS i rejestracji. 25
Prawa dziedziczone w NDS. 25
Równoważność bezpieczeństwa. 27
Protokoły sieciowe dostępne w NetWare 4. 29
Windows NT 31
Zalety i wady systemu. 31
Prawa dostępu w systemie Windows NT. 31
Automatyczne logowanie się do systemu. 32
Narzędzia zarządzające systemem Windows NT. 33
Grupy i użytkownicy w systemie Windows NT. 34
Zarządzanie kontami użytkowników. 38
Przydzielanie praw dostępu do elementów. 39
Połączenia z innymi sieciami. 40
Komunikacja z serwerem. 42
Zarządzanie skryptami. 44
Bezpieczeństwo danych. 45
Protokoły sieciowe obsługiwane przez system Windows NT. 46
Podsumowanie 49
Wykonanie sieci komputerowej w szkole 50
Opis wykonania sieci 50
Schemat instalacji sieci 52
Instalacja na parterze. 53
Instalacja na pierwszym piętrze. 54
Bibliografia 55
Wstęp
Żyjemy w czasach ogromnego postępu technicznego. Praktycznie w każdej dziedzinie życia można spotkać się z zastosowaniem komputera. Od jego pracy zależy dziś prawidłowe działanie wielu instytucji, firm i urządzeń z którymi się na co dzień spotykamy. Służy też do wspomagania procesu nauczania, ułatwia pracę dydaktyczną oraz umożliwia dostęp do nieograniczonych źródeł informacji.
W Polsce komputery rozpowszechniły się stosunkowo późno w porównaniu z krajami wysoko rowiniętymi. Chcąc w jak najkrótszym czasie dołączyć do standardów światowych społeczeństwo zmuszone jest do szybkiego przyswojenia wiedzy z tego zakresu. Odbywa się to często w atmosferze napięcia wynikającego z ogromnego tempa w jakim następują zmiany w tej dziedzinie.
Osoba kończąca edukację, bez podstawowej wiedzy z zakresu informatyki ma ogromne trudności w znalezieniu pracy. Tak jak dawniej analfabetą była osoba nie umiejąca pisać i czytać, tak obecnie postrzegane są osoby nie zaznajomione z obsługą sprzętu komputerowego. Dlatego też każdy młody człowiek powinien w szkole zdobyć odpowiednie przygotowanie do pracy na podstawowych programach komputerowych. Niestety wiele szkół nie potrafi jeszcze sprostać temu zadaniu przeważnie z przyczyn ekonomicznych. Odbija się to niekorzystnie zarówno na randze szkoły jak i na przygotowaniu absolwentów do rywalizacji w zdobywaniu pracy.
Osoby kończące szkołę techniczną będą mogły w przyszłości wykorzystać w swoim zawodzie wiedzę z zakresu podstawowych programów technicznych, przez co podniesie się ich standard pracy. Takim programem jest niewątpliwie AutoCAD – najlepsze według profesjonalistów narzędzie do komputerowego wspomagania projektów mechanicznych i architektonicznych.
Zadaniem niniejszej pracy dyplomowej było wykonanie sali komputerowej, która wchodzi w skład sieci komputerowej w szkole. Służyć ona będzie uczniom do lepszego przyswajania zagadnień związanych z korzystaniem ze sprzętu komputerowego i specjalistycznego oprogramowania. Sieć ta została również podłączona do Internetu w celu umożliwienia użytkownikom stałego dostępu do najnowszych informacji oraz udostępnienia im szeregu nowoczesnych usług, z których korzystanie staje się coraz bardziej powszechne.
Internet
Jeszcze cztery lata temu słowa "Internet" można by próżno poszukiwać w polskiej prasie komputerowej. Ogół użytkowników komputerów - poza wykorzystującymi już od pewnego czasu Internet środowiskami akademickimi - był praktycznie pozbawiony informacji na temat tej największej ogólnoświatowej sieci komputerowej. Co więcej, nikt na polskim rynku komputerowym nie wydawał się być w ogóle zainteresowany jej promocją. Jednakże docierające z uczelni niezwykłe wiadomości o komputerowej poczcie, przesyłającej w ciągu minuty listy z Polski do USA okazały się reklama lepsza, niż mogłaby zapewnić wielka kampania propagandowa. Dziś nie ma w Polsce czasopisma komputerowego, w którym nie pojawiłaby się publikacja dotycząca tej sieci, a liczba tych publikacji rośnie tak szybko, jakby redaktorzy chcieli odrobić wszystkie zaległości. Internet coraz dynamiczniej wychodzi poza uczelniane mury, torując sobie drogę do firm, redakcji, urzędów państwowych, banków; ostatnio - dzięki sponsorom - także do szkół. Nieprędko jeszcze zapewne - przy obecnych wygórowanych cenach za korzystanie z niej - zagości na dobre w prywatnych polskich domach, ale zdaje się być o wiele bliżej niż można by to sądzić np. jeszcze przed rokiem.
Internet to największa na świecie sieć komputerowa. Jej zalążkiem była powstała w 1969r, łącząca cztery komputery eksperymentalna sieć Departamentu Obrony USA o nazwie ARPANET. Obecnie Internet liczy ponad 15 milionów komputerów, przy czym aż milion z nich pojawiło się w sieci w ciągu ostatnich 3 miesięcy od poprzedniego zliczenia (licząc średnio, codziennie przybywało w sieci ponad 19 tys. nowych maszyn). Liczbę zaś użytkowników tej sieci szacuje się aktualnie na ponad 57.5 miliona (chociaż niektóre szacunki mówią nawet o 80 milionach użytkowników). Chyba nikt z twórców nieistniejącego już ARPANET-u w najśmielszych planach nie mógłby przewidzieć takiego sukcesu swojego eksperymentu.
Posiadanie dostępu do sieci Internet oznacza dwie zasadnicze korzyści. Pierwszą z nich jest dostęp do zgromadzonych zasobów informacji. Dziesiątki tysięcy komputerów w Internecie udostępnia praktycznie każdemu użytkownikowi niemożliwy do ogarnięcia ogrom informacji, od katalogów bibliotek, notowań giełdowych, baz danych z rożnych dziedzin nauki, poprzez serwisy agencji prasowych, aktualne wydania czasopism, bieżące mapy pogody i raporty o trzęsieniach ziemi w rożnych punktach globu, po przepisy kucharskie, teksty i nuty piosenek, reprodukcje dzieł sztuki i fragmenty filmów. Korzyść druga to szybka i sprawna komunikacja z dowolnymi użytkownikami tej sieci, a także dziesiątków innych sieci komputerowych na świecie. Za pośrednictwem poczty elektronicznej (e-mail) możemy przesłać wiadomość dowolnemu użytkownikowi sieci w ciągu kilku minut. Wykorzystanie zaś tzw. list dyskusyjnych pozwala odwoływać się do zbiorowej „mądrości” użytkowników sieci - np. z prośba o pomoc w rozwiązaniu naszych problemów możemy zwracać się do ogółu użytkowników interesujących się danym zagadnieniem, nawet nieznanych nam bliżej.
Oczywiście nie samą pracą człowiek żyje i wśród zasobów Internet jest tyleż służących zastosowaniom poważnym, co szeroko pojętej rozrywce. Niektóre usługi Internetu służą wręcz prowadzeniu życia towarzyskiego - przykładowo system o nazwie IRC (Internet Relay Chat) pozwala na prowadzenie za pomocą klawiatury komputera pogawędek z wieloma (nawet kilkudziesięcioma) osobami naraz, mogącymi na dodatek znajdować się na rożnych kontynentach. Są też sieciowe gry, podobne do zwykłych przygodowych gier komputerowych, ale różniące się tym, że nie mamy w nich do czynienia ze "sztucznymi" przeciwnikami, których poczynaniami kieruje komputer, lecz postaciami sterowanymi przez inna żywą, nieznaną nam osobę, co niewątpliwie dodaje grze atrakcyjności i nieprzewidywalności. Są jednak również i gry, w których kontakty z przeciwnikiem przebiegają w sposób bardziej pokojowy - np. szachy na odległość.
Internet nieustannie sie rozwija; wciąż pojawiają się nowe usługi i sposoby ich realizacji. Głośny ostatnio w świecie projekt autostrad informatycznych ma przyczynić się do powiększenia przepustowości informacyjnej sieci (obecnie jej obciążenie jest bliskie technicznym granicom) i upowszechnienia dostępu do niej. Bez wątpienia przyszłość - nie tylko informatyki, ale chyba cywilizacji ludzkiej w ogóle - związana jest z Internetem. Warto zapoznać się z nim już teraz.
Charakterystyka poszczególnych sieci
UNIX
Unix jest to wieloużytkownikowy, wielozadaniowy system operacyjny powstały w latach 60./70. w Bell Laboratories. Posiada on bardzo dużą ilość odmian na różne platformy sprzętowe. Oprogramowanie systemu Unix napisano prawie całkowicie w języku wysokiego poziomu – w języku C. Do jego zainstalowania na kolejnym komputerze potrzebne są dwie rzeczy. Kompilator języka C jest niezbędny do przetłumaczenia samego systemu Unix na rodzimy język nowego komputera. Trzeba też zaprogramować kilka podprogramów obsługi wejścia – wyjścia. Muszą one być koniecznie napisane w rodzimym języku nowego komputera.
Zalety i wady UNIX’a
Na ogół podaje się trzy główne zalety tego systemu:
1. Prosty i spójny logicznie język poleceń, służący do komunikowania się użytkownika z systemem; język łatwy do nauczenia i zrozumienia.
2. Duży wybór narzędzi programowych i programów usługowych pozwalających na szybkie tworzenie oprogramowania.
3. Zarówno programy usługowe, jak i programy użytkowe są niezależne od komputera; wszystkie można przenosić na nowe komputery wraz z systemem operacyjnym, a nowo dołączone programy usługowe stają się dostępne praktycznie od razu we wszystkich wersjach Unixa.
System ten nie jest jednak doskonały. Jego zasadniczą wadą jest założenie o przyjacielskiej wspólnocie użytkowników. Jeden użytkownik może spowodować zatrzymanie systemu lub radykalnie spowolnić jego pracę.
Logowanie się w systemie
Standardowo, w Unix'ie na początku wpisujemy swój identyfikator, następnie hasło. Zazwyczaj wygląda to tak:
alpha login: username
password:
gdzie, alpha to nazwa komputera
Przyjęło się, że login składa się tylko z małych liter, zazwyczaj od 3-8 za to hasło jest już kombinacją małych i dużych liter, oraz cyfr znaków specjalnych (3-8) np.: Zs23dU3l. Hasła są kodowane i sprawdzane z hasłami w pliku /etc/passwd i /etc/shadow
Środowisko pracy w systemie UNIX
Po zalogowaniu się zostaje uruchomiona tzw. powłoka systemu, czyli interpretator poleceń, który spełnia podobne funkcje jak np. COMMAND.COM w systemie DOS. Istnieją rożne powłoki dla systemu UNIX. Najbardziej rozpowszechnione są trzy z nich: Bourne Shell (sh, bash), Korn Shell (ksh) i C Shell (csh, tcsh). W naszym systemie każdy użytkownik ma domyślnie przypisany C Shell w jego wersji rozszerzonej (tcsh). Środowisko pracy tej powłoki posiada wiele zmiennych, ale najważniejsze to:
home - bezwzględna ścieżka dostępu do 'home directory'
path - posiada takie samo znaczenie jak np. w systemie DOS
term - typ terminala, na którym pracujesz
Zmienna term ma bardzo duży wpływ na przebieg sesji, ponieważ złe jej ustawienie może spowodować nieprawidłową prace programów pełnoekranowych. W momencie logowania się następuje próba automatycznego rozpoznania terminala, która zazwyczaj wypada pomyślnie. Jeśli jednak tak się nie stanie, to należy samemu ustawić zmienną term na właściwą wartość.
Shelle i system plików w Unix'ie
Po prawidłowym zalogowaniu ukaże nam się, $ lub #, czyli Unix'owski prompt (warto zauważyć, że bardzo często znak $ zarezerwowany jest dla prostego użytkownika, a znak # tylko dla root'a).
Unix składa się z trzech komponentów, tj. kernela, shella i systemu plików.
Kernel jest głównym jądrem systemu, zarządza pamięcią, systemem plików oraz programowymi i sprzętowymi urządzeniami. Zawiera też język niskiego poziomu.
Shell jest to język wysokiego poziomu, który może być używany do wykonywania komend systemu, lub też jako język programowania, do pisania skomplikowanych skryptów. Standardowymi unix'owymi shellami są:
/bin/ash
/bin/bash (Bourne-shell)
/bin/sh (Bourne-shell)
/bin/csh (C-shell)
/bin/ksh (Korn-shell)
/bin/tcsh
/bin/zsh
Hierarchia katalogów w tym systemie ma strukturę drzewiastą podobnie jak np. w systemie DOS, który był częściowo wzorowany na UNIX'ie. Jednak tutaj użytkownik nie musi wiedzieć na którym dysku ulokowany jest dany plik lub katalog, ponieważ każde urządzenie wejścia/wyjścia jest skojarzone z jakimś plikiem, a poszczególne dyski są skojarzone z odpowiednimi katalogami. Nazwy poszczególnych katalogów w ścieżce dostępu są oddzielone znakami '/', a nie '\', jak np. w systemie DOS. Każdy katalog jest plikiem, ale o specjalnej budowie i atrybucie mówiącemu systemowi, ze to nie jest zwykły plik, tylko właśnie katalog. Nazwy plików mogą się składać z liter, cyfr, kropek i jeszcze kilku znaków. Należy pamiętać o tym, ze w systemie UNIX są rozróżniane małe i duże litery. Każdy użytkownik ma przydzielony swój katalog, zwany home directory. Na serwerze są one umieszczone w następujących przykładowych katalogach:
/home/teachers - dla nauczycieli
/home/students/tech - dla uczniów technikum
/home/students/lic - dla uczniów liceum
Jeśli np. użytkownik o identyfikatorze 'qwert' jest uczniem liceum, to jego 'home directory' znajduje się w: /home/students/lic/qwert . Skrócony zapis powyższej ścieżki, to: ~qwert
System Unix pozwala w miarę łatwo zarządzać skomplikowanymi strukturami plików. Łatwość użycia jest głównie wynikiem rozdzielania fizycznej organizacji plików (sposobu zapamiętywania) od ich organizacji logicznej, związanej z zawartością i przeznaczeniem, a zatem bezpośrednio dotyczącej użytkownika.
Istnieją trzy rodzaje plików unixowch:
pliki zwykłe – programy, teksty rękopisów, zbiory danych
pliki specjalne – opisują reguły zarządzania urządzeniami wejścia - wyjścia
katalogi – listy plików wraz z informacją dla systemu operacyjnego o ich położeniu i sposobie dostępu.
Użytkownika interesują zazwyczaj tylko pliki zwykłe. Należą do nich zarówno pliki utworzone przez samych użytkowników, jak i pliki stanowiące część oryginalnego, rozprowadzanego Unixa. Plikom nie narzuca się żadnej specjalnej struktury logicznej, fizyczna struktura pliku musi być jednak określona precyzyjnie – w przeciwnym razie system operacyjny nie mógłby znaleźć plików i nie wiedziałby, jak je przeczytać.
W systemie plików Unix’a można wyróżnić:
/
główny katalog (root directory), podstawa całego drzewa katalogowego. W obrębie tego katalogu, znajdują się wszystkie pliki i katalogi, niezależnie od ich fizycznego położenia na dysku twardym.
/dev
zawiera pliki specjalne dla fizycznych urządzeń (I/O), w niektórych systemach, katalog ten podzielony jest na kilka podkatalogów. Pliki te obsługują takie urządzenia jak drukarka, twardy dysk, cdrom czy karta muzyczna.
/proc
niezbędny dla komendy ps
/etc
zawiera niezbędne (ale nie tylko) pliki konfiguracyjne i administracyjne systemu, katalog może być podzielony na podkatalogi, może też obok plików tekstowych zawierać programy wykonywalne, np. skrypty bootujące.
Ważniejsze pliki tekstowe to min.:
/etc/passwd
/etc/group
/etc/shadow
/bin
wykonywalne narzędzia systemowe dostępne dla wszystkich użytkowników systemu, stanowiące jego integralną część.
/lib
biblioteki run-time różnych języków programowania, min.: C/C++
/home
katalog domowy użytkowników systemu
/mnt
używany jako punkt do przyłączania (mounting) np.: innego dysku, cdrom-u czy też innego systemu plików.
/lost+found
katalog używany przez program fsck. Przechowuje się w nim pliki zgubione.
/usr
narzędzia i aplikacje; katalog przeznaczony do przechowywania plików pocztowych, poleceń użytkowników i innych fragmentów systemu operacyjnego.
/tmp
katalog dla plików tymczasowych, dostępny dla wszystkich.
/root
katalog własny nadzorcy systemu (administratora).
Dostęp do plików:
r - uprawnienie do odczytania pliku
w - uprawnienie do zapisania (modyfikacji) pliku
x - uprawnienia do wykonania pliku
k - rodzaj kategorii
('-' plik zwykły,
'd' katalog,
'l' łącznik symboliczny,
'b' plik specjalny blokowy,
'c' plik specjalny znakowy,
's' socket,
'p' nazwany potok.)
s - bit SUID (ustawienie go powoduje, że dostęp do pliku może mieć tylko jeden użytkownik)
g - bit SGID (ustawienie dla katalogu powoduje, że pliki tworzone w tym katalogu będą należały do tej samej grupy, do której należy katalog, a nie do grupy do której należy właściciel pliku)
t - bit sticky (ustawienie go powoduje, że program po wykonaniu nie jest usuwany z pamięci)
Uprawnienia dla plików i katalogów ustawiamy za pomocą polecenia 'chmod', którego format: chmod who+, -, =r, w, x, gdzie who, może oznaczać:
u - user (użytkownik, właściciel)
g - group (grupa)
o - other (inni użytkownicy)
a - all (wszyscy)
Przykłady:
chmod g+r plik1 - nadaje grupie, możliwość czytania pliku (kat.) plik1.
chmod u+x plik2 - nadaje właścicielowi, prawa wykonywania pliku plik2
chmod ugo-x plik5 lub chmod a-x plik5 - odbiera wszystkim prawa do wykonywania pliku plik5
Niektóre kombinacje klawiszy w systemie:
Tab - uzupełnienie wpisywanej nazwy pliku.
Ctrl-C - przerwanie aktualnego procesu.
Ctrl-D - znak końca pliku. Jego naciśnięcie w pustej linii polecenia powoduje uruchomienie komendy logout.
Ctrl-H - jeśli nie działa backspace i delete, to można użyć znaku Ctrl-H
Ctrl-S - wstrzymanie wyświetlania znaków na terminalu.
Ctrl-Q - przywrócenie wyświetlania znaków na terminalu.
Ctrl-Z - wstrzymanie pracy aktualnego procesu.
Podstawowe komendy systemu
cat [nazwa_pliku [nazwa_pliku [...]]]
Wyświetla zawartość podanych plików (odpowiednik type w systemie DOS)
cd [nazwa_katalogu]
Zmiana aktualnego katalogu. Bez parametrów przechodzi do 'home dir'
compress
Spakowanie pliku i dodanie do niego przyrostka .Z
cp
Kopiowanie pliku do pliku o podanej nazwie. Jeśli pierwszy parametr będzie lista plików (np. z użyciem znaków uzupełniających), to drugi musi być nazwa katalogu.
grep
Wyszukuje wszystkie linie w podanych plikach zawierające wzorzec
head
Wyświetla początkowe wiersze pliku.
ls [pliki]
Odpowiednik komendy dir w systemie DOS.
man [komenda]
Wyświetla pomoc (ang. mannual page) dla danej komendy.
mkdir
Tworzy katalog o podanej nazwie.
mv
Zmienia nazwę pliku lub przenosi pliki do podanego katalogu.
passwd
Służy do zmiany hasła użytkownika. Na kontach publicznych służących do nauki komenda ta jest zablokowana.
pwd
Wyświetla nazwę katalogu bieżącego.
rm
Usuwa pliki lub katalogi o podanej nazwie.
rmdir
Usuwa katalog o podanej nazwie.
tail
Wyświetla ostatnie wiersze pliku.
who
Wyświetla listę aktualnie zalogowanych użytkowników.
finger [uzytkownik][@pelny.adres.serwera]
Bez parametrów (lub tylko z drugim parametrem) wyświetla listę aktualnie zalogowanych użytkowników. Jeśli podamy parametr [użytkownik], to zostanie wyświetlona informacja o nim. Komenda bez drugiego parametru odnosi się do serwera, na którym sie pracuje.
write
Umożliwia wysłanie komunikatu do zalogowanego użytkownika. Komenda ta działa tylko w obrębie serwera, na którym się pracuje.
talk [@pelny.adres.serwera]
Umożliwia przeprowadzenie rozmowy 'on-line' pomiędzy dwoma użytkownikami sieci. Jeśli nie podamy adresu serwera, to komenda ta odnosi się do serwera, na którym się pracuje. Na początku powoduje ona wysłanie do drugiego użytkownika komunikatu o chęci rozmowy. Może on wtedy odpowiedzieć tą samą komendą.
mesg [y|n]
Włącza lub wyłącza przyjmowanie wiadomości pochodzących z komend talk i write. Domyślnie jest ustawiona wartość y. Jeśli ustawimy wartość n, to pozostali użytkownicy nie będą mogli przysłać komunikatu komenda write lub talk. Bez żadnych parametrów komenda ta wyświetla aktualny stan przyjmowania wiadomości. Wartość n jest dodatkowo sygnalizowana przez wyświetlenie gwiazdki w kolumnie tty w komendzie finger.
ps
Wyświetla listę aktualnie uruchomionych procesów użytkownika
jobs
Wyświetla listę procesów / zadań uruchomionych w tle
fg [numer_zadania]
Przełącza proces uruchomiony w tle (lub zatrzymany kombinacja Ctrl-Z) na pierwszy plan.
bg [numer_zadania]
Przełącza proces uruchomiony w tle (lub zatrzymany kombinacja Ctrl-Z) na drugi plan.
kill [sygnal] [pid] lub kill [sygnal] [%numer_zadania]
Usuwa proces o podanym numerze (pid lub %numer_zadania)
Novell NetWare 4
NetWare 4 jest specjalnym rodzajem sieciowego systemu operacyjnego, nazywanym klient - serwer. W sieci w ten sposób znajdują się dwa rodzaje komputerów:
- serwery, dostarczające usługi
- komputery użytkowników, czyli klienci którzy dzielą zasoby serwera
Typowa mała sieć NetWare 4 posiada tylko jeden serwer. W rzeczywistości NetWare 4 posiada wiele funkcji, które ułatwiają zarządzanie siecią, w której znajduje się wiele serwerów.
Serwer NetWare 4 jest serwerem dedykowanym, pracującym pod sieciowym systemem operacyjnym. Oznacza to, że cały swój czas pracy poświęca innym użytkownikom. Wykorzystywany jest on do uruchamiania aplikacji końcowych użytkowników. Tak więc
NetWare 4 odnosi się do serwerów, drukarek, użytkowników itd. Duże sieci posiadają tysiące obiektów. Klarownym więc staje się zadanie śledzenia i badania obiektów znajdujących się w sieci przez system sieciowy. NetWare 4 przechowuje informacje o tych wszystkich obiektach w Obiektowej Bazie Danych (ang. Directory). Zarządzanie tą bazą dokonuje się poprzez usługi NDS (ang. NetWare Directory Services).
Bezpieczeństwo sieci NetWare 4
Niektóre najbardziej wyrafinowane właściwości NetWare 4 zajmują się bezpieczeństwem sieci. Ich zrozumienie pozwala nadawać użytkownikom prawa dostępu do zasobów sieciowych i utrzymywać ich z dala od obszarów, do których nie powinni mieć wstępu. Możemy wyróżnić nastepujące poziomy bezpieczeństwa:
- ochrona rejestracji - do uzyskania dostępu do sieci wymagana jest znajomość nazwy użytkownika oraz jego hasła. Informacje te są przechowywane w NDS Directory;
- ochrona konsoli - standardowa ochrona konsoli hasłem;
- ochrona systemu plików - umożliwia to kontrolę dostępu do plików na serwerze;
- ochrona NDS - sprawuje kontrolę nad użytkownikami, drukarkami, serwerami. Jednym słowem kontroluje dostęp do obiektów w NDS Directory;
- ochrona komunikacji - szyfrowanie i zabezpieczanie danych hasłem;
- monitorowanie sieci - serwer może obserwować pliki i obiekty NDS, do których przyznano dostęp, które usunięto czy zmieniono;
Prawa dysponenta
Zarządzanie bezpieczeństwem NetWare 4 polega na przypisywaniu praw dysponentom. Dysponentem jest dowolny użytkownik lub inny obiekt, który ma prawa do pliku, katalogu lub obiektu NDS. Obiekty User są najczęstszymi dysponentami, ale naprawdę dowolny obiekt może być dysponentem. Poniżej podano najczęściej spotykane typy obiektów, będących dysponentami w systemie plików lub w NDS:
- obiekt [Root] - do obiektu [Root] są przypisywane prawa dysponenta, ale ta praktyka może być niebezpieczna, ponieważ wszyscy użytkownicy w drzewie Obiektowej Bazy Danych mają nadane te prawa; w małych sieciach przypisanie praw do obiektu [Root] może być prostym sposobem przypisania praw do publicznie dostępnych plików, takich jak w podkatalogu PUBLIC;
- obiekty Container (Organization i Organizational Unit) - ponieważ wzdłuż obiektów Organization idzie główny podział w drzewie Obiektowej Bazy Danych, to samo ostrzeżenie (co dla [Root]) odnosi się do tych obiektów; obiekty Organization powinny posiadać prawa tylko do tych plików, które muszą być dostępne dla całej organizacji; Orgnizational Unit posiada przeważnie lepsze podejście; ponieważ są one przeważnie przypisane do poszczególnych departamentów lub klas użytkowników, można nadawać prawa dla logicznych grup użytkowników; zalety dobrze zaprojektowanego drzewa Obiektowej Bazy Danych są oczywiste, gdy nadajemy prawa tym obiektom;
- obiekty Organizational Role i Group - można używać tych obiektów, gdy pliki nie są wymagane dla wszystkich członków obiektu Container; te typy obiektów umożliwiają utrzymywanie ścisłej kontroli nad dostępem do plików; strategia ta może być użyteczna dla aplikacji, do których chcemy ograniczyć dostęp;
- obiekty User - przyznawanie praw obiektom User może być użyteczne tylko wtedy, kiedy konkretny użytkownik ma mieć dostęp do pliku lub katalogu. Przyjęło się za złą praktykę przypisywanie tych samych praw dla wielu użytkowników, ale może to być najwygodniejszy sposób przypisywania tych praw. Jeżeli wielu użytkowników ma mieć te same prawa, należy rozważyć użycie obiektów Group lub Container;
dysponent [Public] - dysponent ten jest specjalnym obiektem, który nie reprezentuje aktualnego obiektu w drzewie Obiektowej Bazy Danych. W rzeczywistości jest to metoda przyznawania praw wszystkim użytkownikom przyłączonym do sieci, nawet tym, którzy nie są zarejestrowani. Oczywiście może to być bardzo niebezpieczne i należy używać tej metody tylko w specjalnych przypadkach. NetWare 4 przyznaje minimalny zestaw praw tym dysponentom, aby zachęcić użytkowników do rejestracji.
Podobnie do systemu plików zabezpieczenie NDS przypisuje prawa użytkowania dysponentom. Dysponent obiekt jest dowolnym użytkownikiem (lub innym obiektem), któremu nadano prawa do tego obiektu. Lista dysponentów obiektu jest nazywana ACL (ang. Acccess Control List), czyli Listą Kontroli Dostępu. Każdy obiekt posiada właściwość zawierającą ACL.
Podczas gdy system plików posiada listę praw, które może otrzymać dysponent, zabezpieczenie NDS dostarcza dwóch kategorii praw:
1. prawa do obiektu
2. prawa do właściwości.
Prawa do obiektu są zadaniami, które dysponent może wykonać na obiekcie. Wyróżnia się 5 takich praw:
Prawo
Opis
Supervisor (nadzorcy) Dysponentowi są przydzielane wszystkie prawa opisane poniżej. W przeciwieństwie do analogicznego prawa w systemie plików. Prawo nadzorcy w NDS może być blokowane przez IRF (ang. Inherited Rights Filter).
Browse (przeglądania) Dysponent może znaleźć obiekt w drzewie Obiektowej Bazy Danych. Jeżeli prawo przeglądania nie jest przydzielone, obiekt nie jest widoczny na liście.
Create (tworzenia) Dysponent może utworzyć obiekt podrzędny pod obiektem. Prawo to jest dostępne jedynie dla obiektów Container.
Delete (usuwania) Dysponent może usunąć obiekt z Obiektowej Bazy Danych. Aby tego dokonać, trzeba jeszcze posiadać prawo zapisu (Write) wszystkich właściwości obiektu (All Properties).
Rename (zmiany nazwy) Dysponent może zmienić nazwę obiektu.
Prawa do właściwości są zadaniami, które dysponent może wykonać na właściwościach obiektu. Prawa te pozwalają dysponentowi czytać lub modyfikować wartości właściwości obiektu. Wyróżnia się 5 typów praw do właściwości:
Prawo
Opis
Supervisor
(nadzorcy) Dysponent otrzymuje prawa do wszystkich właściwości opisanych poniżej. Ponownie IRF może zablokować to prawo. Dysponent posiadający prawo nadzorcy do obiektu otrzymuje automatycznie prawa nadzorcy do wszystkich właściwości obiektu.
Compare
(porównania) Dysponent może porównywać wartości właściwości z podaną wartością. Umożliwia to dysponentowi poszukiwanie żądanej wartości, ale nie wgląd do tej wartości
Read
(czytania) Dysponent może czytać wartości właściwości. Prawo to jest automatycznie przydzielane.
Write
(zapisu) Dysponent może modyfikować, dodawać lub usuwać wartości właściwości.
Add Self (dodawania lub usuwania swoich właściwości) Dysponent może dodawać lub usuwać siebie jako wartość właściwości. Przykładowo użytkownicy posiadający to prawo do grupy mogą dodać siebie do tej grupy. Prawo zapisu (Write) ,jest automatycznie przydzielane do właściwości Add Self.
Nie są one takie same, jak prawa do obiektu. Prawa do właściwości mogą być przydzielane na dwa sposoby: All Properties (Wszystkie Właściwości) lub Selected Properties (Wybrane Właściwości). Wybór metody odbywa się w oknie dialogowym Rights to Other Objects w NWADMIN.
Zaleca się unikania przyznawania praw All Properties dla obiektu, ponieważ ACL jest jedną z właściwości obiektu, przyznanie prawa All Properties powoduje, że dysponent może dodawać lub usuwać dysponentów z listy. Ponieważ jest to niebezpieczne, zaleca się użycia Selected Properties dla wszystkich użytkowników z wyjątkiem administratorów.
Przy przyznawaniu praw Selected Properties można uaktywnić lub wyłączyć każde prawa do właściwości dla właściwości tego obiektu. Opcja ta pozwala przydzielać prawa bardziej precyzyjnie.
Dysponent obiektu może posiadać prawa All Properties i Selected Properties dla tego samego obiektu. Selected Properties mają wyższy priorytet dla tej właściwości niż All Properties. Przykładowo można przyznać prawo Supervisor do All Properties dla dysponenta obiektu, a następnie użyć Selected Properties i zawęzić zakres praw do pewnych właściwości. Prawa nie ograniczone przez Selected Properties będą wciąż All Properties.
Ochrona systemu plików
Poprzez kontrolowanie dostępu do systemu plików, zabezpiecza się dane przed użytkownikami, którzy nie powinni mieć do nich dostępu. Dodatkowo przyjęło się nadawać użytkownikom dostęp do tych katalogów i plików, których potrzebują, a jednocześnie ochraniać te pliki.
Prawa do systemu plików:
Użytkownik ma kilka typów praw do pliku lub katalogu. Prawa te określają czynności, które dysponent może wykonywać na pliku lub katalogu. Jeżeli użytkownik ma przypisane prawa do katalogu, to prawa te są prawami bezpośrednimi (ang. explicite rights) lub dysponenta (ang. trustee rights). Użytkownicy mogą również posiadać prawa grupy (ang. group rights) z grupy, do której należą.
I tak możemy wyróżnić poszczególne prawa:
[R] READ - Odczyt danych z istniejącego pliku
[W] WRITE - Zapis danych do istniejącego pliku
[C] CREATE - Tworzenie nowego pliku lub podkatalogu
[E] ERASE - Usunięcie istniejącego pliku lub katalogu
[M] MODIFY - Zmiana nazwy i zmiana atrybutów plików
[F] FILE SCAN - Wykonanie listy zawartości katalogu
[A] ACCESS CONTROL - Kontroluje prawa użytkowników do plików lub katalogów
[S] SUPERVISOR - Przyznaje wszystkie inne prawa
Jeżeli użytkownik jest dysponentem katalogu, to prawa te są dziedziczone (ang. Inherited) do podkatalogów tego katalogu. Filtr praw dziedziczonych IRF (ang. Inherited Rights Filter) określa, które prawa mogą być dziedziczone. Nie można używać IRF do przyznawania praw. Może on jedynie blokować lub udostępniać prawa, które były dane w katalogu nadrzędnym.
IRF jest prostą listą praw użytkownika lub innych dysponentów, które mogą być dziedziczone w tym katalogu lub pliku. Jeżeli prawo znajduje się w IRF, to może być dziedziczone. Jeżeli pozostawimy prawo poza IRF, żaden użytkownik nie będzie mógł dziedziczyć tego prawa dla tego katalogu lub pliku.
Prawa użytkowników do katalogu mogą być im przyznane bezpośrednio, mogą przynależeć do grupy, do której należą lub mogą być dziedziczone z katalogu nadrzędnego. IRF filtruje potem prawa dziedziczone i w rezultacie użytkownik uzyskuje efektywne prawa (ang. effective rights) do katalogu. Na te prawa NetWare zwraca uwagę podczas kontrolowania dostępu użytkownika.
Zarządzanie ochroną systemu plików:
Do zarządzania plikami służy NWADMIN, pozwala on również zarządzać ochroną systemu plików. Dodatkowo program narzędziowy FILER posiada te same możliwości Trzeba jednak nadmienić, że chociaż NETADMIN jest alternatywą dla DOS’a w stosunku do NWADMIN, to nie może on zarządzać ochroną plików lub systemu plików. Jeżeli musimy zarządzać bezpieczeństwem z DOS’a, używamy wtedy programu narzędziowego FILER.
Przyznawanie praw dysponenta
Można przypisać dysponenta do pliku lub katalogu, albo przypisać pliki do użytkownika lub innego dysponenta.
Aby przypisać prawa za pomocą FILER, wystarczy wcisnąć
W NWADMIN można przypisać dysponenta do pliku lub katalogu odnajdując obiekt Volume w Obiektowej Bazie Danych, zapoznając się z jego strukturą katalogów. Wybieramy plik lub katalog, a następnie Object | Details. Na pojawiającym się ekranie Details wystarczy kliknąć przycisk Trustees of this Directory wyświetlając w ten sposób informacje dysponenta dotyczące katalogu. Po wyborze dysponenta dodajemy lub usuwamy prawa zmieniając pola wyboru. Dodawanie nowego użytkownika odbywa się poprzez kliknięcie przycisku Add Trustee.
Alternatywną metodą przyznawania praw do systemu pliku jest rozpoczęcie od użytkownika. Ta metoda również dotyczy innych obiektów, takich jak Group lub Container. Wystarczy w drzewie NDS podświetlić użytkownika (lub inny obiekt), któremu chcemy nadać prawa dysponenta i dalej postępować analogicznie jak w przypadku postępowania z NWADMIN tzn. wybrać Object | Details, a na pojawiającym się ekranie Details kliknąć przycisk Rights to Files and Directories.
Ochrona NDS i rejestracji
Podczas gdy zabezpieczenie systemu plików pozwala kontrolować dostęp do wolumenów, plików i katalogów na serwerze, NDS kontroluje dostęp do obiektów w Obiektowej Bazie Danych NDS: użytkowników, grupy, drukarki i całą organizację. Można kontrolować zdolność użytkowników do modyfikacji i dodawania obiektów, a także do przeglądania lub modyfikacji ich właściwości. Rozumiejąc ochronę NDS, można przypisywać użytkownikom prawa, których potrzebują w Obiektowej Bazie Danych i jednocześnie dbać o bezpieczeństwo sieci.
NDS chroni sieć podczas rejestracji. Użytkownik, który potrzebuje dostępu do sieci musi zarejestrować się i wprowadzić hasło. Hasło jest zaszyfrowane. Jest ono porównywane z zaszyfrowaną wersją właściwości Password w obiekcie User. Ponieważ używane są hasła zaszyfrowane, istnieje mała szansa, że będą przez kogoś przechwycone w sieci.
Oczywiście żadne zabezpieczenie nie spełni swojej roli, gdy użytkownik korzysta z prostego hasła lub rezygnuje z niego. Zaleca się stosowania hasła w sieci i nie korzystania z prostych słów lub nazw.
Prawa dziedziczone w NDS
Podobnie do systemu plików, NDS używa systemu praw dziedziczonych. Kiedy dysponent obiektu otrzymuje prawa do obiektu Container, dysponent uzyskuje również te same prawa do wszystkich obiektów podrzędnych (tzn. do wszystkich “dzieci” obiektu). Dziedziczenie dotyczy zarówno praw do obiektu, jak i praw do właściwości.
Prawa do obiektu są dziedziczone w ten sam sposób, jak prawa w systemie plików. Kiedy dysponent otrzymuje prawa do obiektu, prawa te są dziedziczone przez obiekty podrzędne (tzn. dzieci). Dysponent uzyskuje te prawa pod warunkiem, że nie są one zablokowane.
Prawa do właściwości mogą być dziedziczone w ten sam sposób, co prawa do obiektu, ale z jednym wyjątkiem: dziedziczone mogą być tylko prawa nadane przez opcję All Properties. Jeżeli dysponent otrzymuje prawa Selected Properties, obiekty podrzędne (tzn. dzieci) nie dziedziczą tych praw. Przyczyną tego jest to, że różne typy obiektów (np. User i Organizational Unit) mają inną listę właściwości.
Kiedy dysponent otrzymuje prawa do obiektu Container, prawa przepływają wzdłuż drzewa Obiektowej Bazy Danych tak długo, aż zostaną zablokowane. Prawa dziedziczone mogą być blokowane dwojako:
a)poprzez nowe przyporządkowanie dysponenta
b) poprzez IRF.
Można blokować dziedziczenie praw dysponenta dla konkretnego obiektu, nadając dysponentowi nowe prawa bezpośrednie do obiektu.
Nowe przyporządkowanie dysponenta może służyć do blokowania praw, a także do dodawania nowych praw. To nowe przyporządkowanie (zwane bezpośrednim) zastępuje dotychczasowe prawa dziedziczone. Ponieważ prawa bezpośrednie blokują prawa dziedziczone, nie musimy wtedy rozważać praw dziedziczonych. Każdy obiekt NDS posiada IRF (ang. Inherited Rights Filter) dla praw obiektu. IRF jest listą praw, które użytkownik może dziedziczyć dla obiektu.
Każdy obiekt posiada również IRF dla praw do właściwości. IRF może być ustawiony na All Properties i Selected Properties. Można także ustawić IRF na All Properties, a dać różne IRF dla niektórych Selected Properties. Pamiętać jednak należy, że prawa są dziedziczone tylko wtedy, gdy zostały przypisane All Properties dla obiektu nadrzędnego (tzn. ojca).
Równoważność bezpieczeństwa
W niektórych przypadkach w NDS, dysponent uzyskuje automatycznie wszystkie prawa nadane innemu dysponentowi. Jest to równoważność bezpieczeństwa (ang. securty eqeuvalence). Zrozumienie tej równoważności ułatwia nadawanie praw użytkownikom z zachowaniem bezpieczeństwa. Wyróżnia się dwa typy równoważności: niejawny i jawny.
Kiedy nadajemy prawa do obiektu Container, wszystkie obiekty w Container otrzymują te same prawa ze względu na równoważność bezpieczeństwa. Jeżeli jednym z tych obiektów jest obiekt Container, obiekty pod nim również otrzymują te same prawa. Jest to tzw. niejawna równoważność bezpieczeństwa (ang. Implied Security Eqcrivalence).
Ponieważ prawa przepływają z obiektów Container do ich dzieci, można mieć pokusę opisywania tego procesu jako dziedziczenie. Jednak nie jest to dziedziczenie zgodne z definicją NetWare. Dziedziczenie oznacza, że prawa nadane dysponentowi do obiektu Container są nadane temu samemu dysponentowi do obiektów dzieci.
Ważne jest zrozumienie rozróżnienia pomiędzy dziedziczeniem a niejawną równoważnością bezpieczeństwa, gdyż IRF nie wpływa na równoważność bezpieczeństwa. Jest to jedno z najbardziej skomplikowanych rozróżnień w ochronie NDS. Można uniknąć zamieszania, pamiętając dwie reguły:
- obiekt dziedziczy przypisanie dysponenta do swoich obiektów nadrzędnych (tzn. ojca), IRF może blokować te prawa;
- dysponent jest równoważnikiem bezpieczeństwa dla swoich obiektów nadrzędnych (tzn. ojca), IRF nie może blokować tych praw.
Drugą, prostszą równoważnością jest jawna (bezpośrednia) równoważność bezpieczeństwa (ang. Explicit Security Equivnlence). Ta równoważność jest bezpośrednio nadawana użytkownikowi. Można tego dokonać na trzy różne sposoby:
- każdy użytkownik ma właściwość Security Equal To, można dodać do listy użytkowników lub inne obiekty; użytkownik uzyskuje prawa do tych obiektów;
- jeżeli użytkownik jest przypisany do listy obiektu Group, użytkownik staje się równoważnikiem bezpieczeństwa dla obiektu Group;
- jeżeli użytkownik należy do obiektu Organizational Role, użytkownik staje się równoważnikiem bezpieczeństwa dla obiektu Organizational Role.
Wszystkie jawne równoważności bezpieczeństwa są wymienione we właściwości Security Equal To. Równoważność tę otrzymuje użytkownik bezpośrednio poprzez członkostwo w Organizational Role i Group. Należy przy tym zaznaczyć, że równoważność bezpieczeństwa nie może być łączona ani zagnieżdżona.
Zarządzanie ochroną NDS za pomocą NWADMIN
NWADMIN służy również do zarządzania bezpieczeństwem NDS. Można rozpocząć od dysponenta lub od obiektów, a następnie dodawać dysponentów, usuwać ich, modyfikować ich prawa lub przeglądać prawa bieżące.
Przeglądanie praw dysponenta w NWADMIN w NetWare może odbywać się różnymi sposobami. Dostęp do tych opcji uzyskuje się z menu Object lub klikając prawym przyciskiem myszy (po podświetleniu obiektu) i wybierając z menu podręcznego:
- Trustees of This Object - opcja ta umożliwia przejrzenie listy dysponentów wybranego obiektu następnie można wybrać dysponenta i przejrzeć szczegółowo dotyczące go informacje;
- Rights to Other Objects - opcja ta umożliwia przeglądanie listy obiektów, dla których zaznaczony obiekt jest dysponentem. Wykonując tę opcję najpierw wprowadzamy kontekst poszukiwań, a potem wybieramy obiekt z listy, aby przejrzeć prawa dysponenta do obiektu.
Każdy z tych ekranów zawiera wszystkie możliwe prawa do obiektu. Pola wyboru z lewej strony opcji określają, czy prawa są przydzielone, a także umożliwiają nadanie lub cofnięcie prawa.
Podobnie można dodawać dysponentów. Pierwszy sposób polega na dodaniu dysponentów do obiektu, drugi sposób dodania dysponenta polega na dodaniu obiektów do dysponenta.
Obiekt jest dodawany do listy obiektów, do których ma prawo dysponent. Przy wyświetlonym oknie dialogowym Rights to Other Objects lub Trustees of This Object można zmienić prawa do obiektu dane dysponentowi. Wystarczy zaznaczyć dysponenta lub obiekt i kliknąć pole wyboru z lewej strony typu praw, które mogą być przydzielone lub cofnięte.
Można również zmienić prawa do właściwości w obu tych oknach dialogowych. Można przypisać prawa do wszystkich właściwości wybierając All Properties, a potem zaznaczając lub odznaczając pole z lewej strony praw do właściwości.
Protokoły sieciowe dostępne w NetWare 4
NetWare 4 domyślnie podtrzymuje protokoły IPX i SPX. Podczas instalacji NetWare’a na serwerze dostępna jest również opcja instalacji dodatkowych protokołów, np. AppleTalk, TCP/IP lub NLSP.
Protokół IPX
IPX (ang. Internetwork Packet Exchange) jest domyślnym protokołem podtrzymywanym przez NetWare. Jest to protokół bez połączenia. Oznacza to, że dane są przesyłane "na ślepo" przez kabel, zakładając, że otrzymam je odpowiednie urządzenie. Adresowanie w IPX jest zarządzane poprzez numery sieciowe:
- zewnętrzny numer sieciowy IPX jest ustalany dla wszystkich serwerów, które dzielą wspólny kabel sieciowy lub segment. Wiele serwerów w tym samym segmencie sieci używa tego samego numeru;
- wewnętrzny numer sieciowy IPX jest ustawiany dla każdego serwera. Numer ten jest używany do lokalizacji serwera w sieci i musi być on unikalny;
- każda stacja robocza lub serwer posiada adres sieciowy, zwany również adresem MAC (ang. Media Access Control). Adres ten jest używany do lokalizacji określonego urządzenia w sieci. Adresy sieciowe są zwykle ustawiane sprzętowo w kartach sieciowych i nie mogą być zmieniane. Każda karta sieciowa w serwerze również posiada unikalny adres sieciowy.
Protokół TCP/IP
TCP/IP - jest protokołem używanym w systemach UNIX oraz przez Internet. Jest to protokół zawierający kilka protokołów. Jego nazwa bierze się z dwóch protokołów: TCP (ang. Transmission Control Protocol) i IP (aną. Integral Protocol). Model OSI dzieli procesy w sieci NetWare na siedem warstw. Zestaw TCP/IPjest zorganizowany w oparciu o inny model, model sieci DOD. Ten model jest podzielony na cztery warstwy:
- warstwa dostępu sieci (ang. Network Access Layer) - określa protokoły dla podstawowych połączeń sieciowych;
- warstwa Internet (aną. Internet Layer) - zawiera protokoły używane przy Intersieciowości i routingu;
- warstwa host-to-host (ang. Host-to-Host Layer) - zawiera protokoły dla komunikacji między węzłami głównymi;
- warstwa aplikacji (ang. Application Layer) -jest używana przez aktualne aplikacje.
Windows NT
Microsoft Windows NT jest zaawansowanym, wielozadaniowym systemem operacyjnym. Łatwość jego użycia, elastyczność, rozszerzone usługi komunikacyjne sieci Internet i intranet spełniają wszystkie wymagania dzisiejszych zastosowań biznesowych, a przy tym zapewniają solidny fundament sieciowy na przyszłość.
Zalety i wady systemu
Zalety:
- doskonała integracja z sieciami opartymi na MS DOS, Windows 3.xx, 95, Novell
- łatwość obsługi i administracji
- szerokie wsparcie intranetu
- możliwość integracji z istniejącymi bazami danych SQL
- łatwe tworzenie korporacyjnego WWW
- skalowalność i obsługa SMP ( standardowo do 4 procesorów )
- user friendly - przyjazny interface użytkownika wzorowany na MS Windows 95
Wady :
- wysokie wymagania dotyczące wydajności serwera
- wysoki koszt oprogramowania
Prawa dostępu w systemie Windows NT
Po uruchomieniu Windows NT w procesie logowania system zostaje poinformowany, kto zamierza z niego korzystać. Każdy użytkownik posiada prawa, określające na przykład dostęp do poszczególnych obiektów.
W ten prosty sposób można zablokować "normalnemu" użytkownikowi dostęp do danych systemowych. Problem, którego nie można było rozwiązać we wcześniejszych wersjach Windows, gdyż każdy miał dostęp do niechronionych plików CONFIG.SYS i AUTOEXEC.BAT.
Zarządzanie użytkownikami można porównać do wielkiego kompleksu budynków, w którym znajduje się kilka rodzajów kluczy. Istnieje jeden klucz uniwersalny umożliwiający otwieranie wszystkich drzwi we wszystkich budynkach. Następnie istnieją klucze służące do otwierania wszystkich drzwi, lecz już tylko w obrębie jednego budynku. Na końcu tego łańcucha znajdują się klucze z najbardziej ograniczonymi .,prawami". Za ich pomocą można na przykład otwierać tylko jedne, określone drzwi.
Klucz uniwersalny w Windows NT posiada użytkownik o nazwie "Administrator". Ma on dostęp do wszystkich obiektów i może je dowolnie zmieniać Również on może określać, jakie prawa dostępu mają inni użytkownicy.
Sądząc, że ochrona danych jest istotna tylko w dużych sieciach, mamy tylko częściowo racje. Kontrola dostępu do plików nie ma raczej sensu, gdy na danym komputerze pracuje tylko jedna osoba. W tej sytuacji można nawet za pomocą pewnego triku ominąć pytanie o hasło.
Jeśli jednak na jednym komputerze pracuje dwóch użytkowników, sensowne staje się zabezpieczenie określonych danych. Można więc przydzielać jednemu z nich nazwę użytkownika i hasło, tak aby musiał logować się do systemu i miał dostęp tylko do określonych katalogów i plików. Istnieje nawet możliwość sprawdzenia, kto i kiedy dokonywał zmian w danym obiekcie.
Automatyczne logowanie się do systemu
Jeżeli użytkownik sam korzysta z komputera i nie posiada danych, które trzeba szczególnie chronić może spokojnie wyłączyć opcje zapytania o hasło. Logowanie będzie następowało automatycznie po podaniu nazwy użytkownika.
Proces ten nie jest jednak łatwy, gdyż wymaga dokonania pewnych zmian w Rejestrze systemu. Należy wykonywać tylko czynności opisane poniżej, gdyż w innym przypadku może dojść do utraty ważnych danych. Mimo wszystko przed dokonaniem opisanych zmian trzeba utworzyć kopię zapasową Rejestru.
Pierwszą czynnością jest uruchomienie Edytora Rejestru, czyli pliku regedit.exe. Najprościej wykonać to poprzez wybór w menu Start opcji Uruchom. Spowoduje to otwarcie kilku okien dialogowych. Jedno z nich nosi nazwę HKEY LOCAL MACHINE. Wyciągamy je na plan pierwszy i przechodzimy do klucza SOFTWARE\ Microsoft\ Windows NT\Current. Version\ Winlogon. W wierszu DefauItUserName wpisujemy nazwę użytkownika, pod którą chcemy się automatycznie logować na przykład "Administrator". Te samą czynność wykonujemy w wierszu DefaultUserPassword. Jeżeli podczas instalowania Windows NT nie zostało podane hasło, należy najpierw taki zapis wprowadzić W menu Edycja znajduje się podpunkt Dodaj wartość Wybieramy te opcje i$jako nazwę wartości wpisujemy DerauItUserPassword, a jako typ danych wybieramy REG SZ. Teraz trzeba wprowadzić dane hasło Ponieważ nie zamierzamy wykorzystywać hasła naciskamy tylko klawisz [Enter]. W innym przypadku trzeba wprowadzić hasło użytkownika. Podobna operacja jest konieczna również w przypadku AutoadminLogon: ponownie wybieramy jako tryb danych REG SZ, a w przypadku automatycznego startu jako wartość wprowadzamy "1". Po zamknięciu Edytora rejestru, należy ponownie uruchomić komputer.
Narzędzia zarządzające systemem Windows NT
Podobnie jak w innych systemach operacyjnych przeznaczonych dla wielu użytkowników, jak na przykład w UNIX-ie, również w Windows NT można utworzyć grupy użytkowników. Pod pojęciem ”grupa” rozumiemy zbiór pewnej liczby użytkowników. Każdy użytkownik ma swoje konto użytkownika. Poszczególne konta (a więc i sam użytkownik) mogą przynależeć do jednej lub też do kilku grup. Przyczyna wykorzystywania grup jest oczywista. Jeżeli dla każdego obiektu przydzielano by prawa dostępu na przykład do odczytu, edycji itp oddzielnie każdemu użytkownikowi, to w sieciach liczących kilkaset użytkowników i dziesiątki tysięcy obiektów byłoby to raczej skomplikowanym zadaniem, przy realizacji którego już po krótkim czasie straciliby oni orientacje.
Przy tworzeniu nowego konta użytkownika nie ma potrzeby zmiany praw dostępu do określonego pliku, lecz można nowego użytkownika przyporządkować do danej grupy. Grupie wystarczy tylko raz przydzielić prawa dostępu do danego obiektu. Każdy członek grupy ma dostęp do danego obiektu na prawach dostępu obowiązujących dla tej grupy.
Aby jednak można było zastosować mechanizmy zabezpieczania danych oferowane przez Windows NT, partycje dysku twardego, na której znajdują się dane, należy sformatować dla systemu plików NTFS. Tylko ten system plików oferuje możliwość wykorzystania opisanych poniżej mechanizmów. Takich możliwości nie posiadają ani znany z DOS-a system FAT, ani też nowszy VFAT z Windows 95.
Grupy i użytkownicy w systemie Windows NT
Windows NT rozróżnia grupy lokalne i globalne. Do grup lokalnych zalicza się te, które występują tylko na komputerze użytkownika. lecz nie występują w ewentualnie działającej sieci. Można tworzyć dowolną liczbę grup lokalnych oraz zmieniać już istniejące. Jeżeli w sieci połączona jest. większa liczba komputerów, mamy do czynienia z grupami globalnymi, dostępnymi dla wszystkich komputerów. W celu utworzenia nowych kont użytkownika oraz nowych grup lub dokonania zmian w już istniejących, należy uruchomić Menedżera użytkowników. Znajduje się on w menu Start I Programy I Narzędzia administracyjne (wspólne) I Menedżer użytkowników. W górnej części okna znajdują się użytkownicy, a w dolnej grupy. Domyślnie utworzone są grupy "Administratorzy", "Goście". "Operatorzy kopii zapasowych", "Replikator", "Użytkownicy", "Użytkownicy zaawansowani". Administratorzy mają najwięcej uprawnień, goście natomiast znajdują się na końcu tej hierarchii i mają bardzo ograniczone możliwości dokonywania zmian w obiektach. W tabeli poniżej znajdują się uprawnienia poszczególnych grup.
Prawa AD UZ U Goście Wszyscy OKZ
Zmiana czasu systemowego • •
Zdalne zamykanie systemu • •
Ładowanie i usuwanie sterowników urządzeń •
Logowanie lokalne • • • • • •
Zabezpieczanie plików i katalogów •
Zamykanie systemu • • • • •
Przejmowanie w posiadanie plików i obiektów •
Zarządzanie protokołami kontroli i bezpieczeństwa •
Ponowne odtwarzanie plików i katalogów • •
Dostęp do danego komputera z sieci • •
Tworzenie i administrowanie kontami użytkowników • • •
Tworzenie i zarządzanie grupami • • •
Przydzielanie praw dostępu użytkownikom • •
Blokowanie stacji roboczych • •
Znoszenie blokady stacji roboczych •
Formatowanie dysku twardego •
Tworzenie ogólnych grup programów • •
Zachowywanie profilu lokalnego • • •
Przydzielanie i odbieranie praw dostępu do katalogów • •
Przydzielanie i odbieranie praw dostępu do drukarek • •
AD = Administrator, UZ = Użytkownicy zawansowani, U = Użytkownicy,
OKZ = Operatorzy kopii zapasowych
Oprócz wyżej wymienionych istnieją jeszcze systemowe grupy wewnętrzne: "Wszyscy", "INTERAKTYWNA", "SYSTEM", "SIEĆ", "TWÓRCA WŁAŚCICIEL". Tymi grupami nie można manipulować, gdyż są zintegrowane na stałe z systemem.
Nową grupę tworzy się w bardzo prosty sposób. W menu Użytkownik znajduje się opcja Nowa grupa Lokalna umożliwiająca. utworzenie nowej grupy. Trzeba podać tylko jej nazwę W polu Opis należy krótko opisać, jaką funkcje ma pełnia dana grupa Podczas późniejszej edycji grup ułatwia to przypomnienie, w jakim celu została założona dana grupa Grupy utworzone przez użytkownika można usunąć z systemu za pomocą opcji menu Użytkownik I Usuń lub za pomocą klawisza [Del]. Ale należy pamiętać że usunięte grupy nie mogą być jednak reaktywowane.
Podobnie łatwo jak tworzenie nowych grup przebiega zakładanie kont użytkownika. W tym celu wybieramy w Menedżerze użytkowników w menu Użytkownik opcje Nowy użytkownik. Najpierw trzeba podać nazwę użytkownika: najlepiej słowo, które ułatwia identyfikacje użytkownika, na przykład nazwisko. Nazwa może zawierać maksymalnie do 20 znaków oraz dowolne znaki oprócz * + ; . , < > \ / " [ ] . Jest to jedyny zapis jaki trzeba obligatoryjnie wprowadzić; wszystkie inne zapisy można dołączać opcjonalnie. Aby jednak zachować czytelność, należy je również podać, gdyż informacje te można wywołać w każdej chwili.
Niekoniecznie trzeba podawać hasło, jeżeli jednak ktoś się na to zdecyduje musi pamiętać, że nie może być ono dłuższe niż czternaście znaków. Trzeba też zwrócić uwagę na fakt, iż Windows NT rozróżnia pisownie małymi i wielkimi literami. Przy podawaniu hasła należy wprowadzić je dwukrotnie, dzięki czemu unikniemy błędów Obie wersje muszą być oczywiście identyczne. Wprowadzane litery nie są wyświetlane, aby osoba niepowołana przypadkowo nie podglądnęła wpisywanego hasła.
Następnie można określić, czy użytkownik musi zmieniać hasło przy kolejnym logowaniu. Jest to sensowne, gdyż zmusza użytkownika do ustalenia indywidualnego hasła, a i samo hasło przynajmniej raz zostanie zmienione.
Hasła powinny być oczywiście trudne do odgadnięcia. Nie powinno się stosować na przykład imion członków rodziny czy też dat ich urodzenia. Optymalnym rozwiązaniem jest zestaw przypadkowo wybranych liter i znaków specjalnych. Aby jednak hasło można było zapamiętać, najczęściej stosowaną metodą jest hasło składające się z jakiegoś pojęcia łatwego do zapamiętania i znaku specjalnego, na przykład: .,topscore&ą" lub "mari#a". Ponadto hasło należy zmieniać w pewnych odstępach czasu. Ponieważ jednak rzadko kto tak robi, można "zobowiązać" system do tego, aby nakazywał użytkownikowi zmianę hasła po upływie pewnego określonego terminu.
Dalszą możliwością jest odebranie użytkownikowi prawa do zmiany hasła. Stosuje się to tylko w sytuacjach wyjątkowych. W "normalnych" warunkach każdy użytkownik powinien posiadać możliwość zmiany swojego hasła.
W większych sieciach zdarza się, że prawa dostępu przydzielane są tylko na pewien okres. Jeżeli nie jest zaznaczone pole wyboru hasło nie wygasa nigdy po określonym czasie użytkownik utraci prawo dostępu i ewentualnie otrzyma je ponownie od Administratora lub zostanie mu ono całkowicie odebrane. Podobnie Administrator może wyłączać konto użytkownika.
Po dokonaniu ogólnych ustawień można określać grupę, do której będzie przynależał nowy użytkownik W tym celu klikamy przycisk Grupa. W prawej części okna znajdują się wszystkie grupy istniejące w systemie, a w lewej te, do których nowy użytkownik przynależy. Dodatkowe grupy, do których może ewentualnie należeć, wybiera się w prawym oknie i dołącza do lewego za pomocą przycisku Dodaj. Analogicznie można usunąć użytkownika z danej grupy.
Opcjonalnie da się utworzyć dla każdego użytkownika tzw. profil środowiska użytkownika. W ten sposób można przykładowo uruchomić podczas logowaniu skrypt, który będzie wykonywał automatycznie operacje indywidualnie zdefiniowane przez użytkownika, jak m.in. uruchamianie określonego programu, zastosowanie zmiennych środowiskowych itp. Ponadto można zdefiniować katalog macierzysty, który podczas operacji na plikach takich jak "Otwórz" czy też "Zapisz" będzie wybierany jako katalog domyślny. Jeżeli zostanie podana nazwa katalogu, którego nie ma na dysku, to w takim przypadku będzie on utworzony automatycznie (przy czym trzeba podać literę dysku sieciowego). Zaleca się utworzenie dla każdego użytkownika odrębnego katalogu, na przykład "\Users\
Zarządzanie kontami użytkowników
W menu Założenia znajdują się opcje umożliwiające nadzorowanie kont użytkownika. Najpierw można zdefiniować ogólne zasady używania kont i haseł.
Pierwsze zapisy umożliwiają określenie parametrów haseł dla wszystkich użytkowników. Hasła mogą nie wygasać nigdy lub też nie mogą wygasnąć przed upływem pewnego terminu. Oznacza to, że po określonej w polu dialogowym liczbie dni użytkownik będzie musiał zmieniać swoje hasło. Po zmianie hasła można określać czas jego obowiązywania aż do następnej zmiany hasła.
W polu wyboru Minimalna długość hasła możemy "zmusić" użytkownika do podawania haseł o liczbie znaków nie mniejszej niż zdefiniowana (lecz maksymalnie 14 znaków!).
W polu wyboru Minimalny okres ważności hasła można określać czas, przez jaki hasło musi być aktualne, zanim użytkownik będzie mógł je zmieniać. Jeżeli mogą być dopuszczalne hasła z "zerową" liczbą znaków należy zaznaczyć przycisk wyboru Prawo do “pustego” hasła.
W celu zwiększenia bezpieczeństwa systemu możemy określić po ilu błędnych próbach zalogowania zostanie zablokowane konto użytkownika. Istnieją programy łamiące, które potrafią automatycznie przetestować tysiące haseł. Oczywiście mogą złamać hasło w przypadku, gdy testują je z jednego konta użytkownika. Jeżeli jednak konto zostanie zablokowane po pewnej liczbie niepomyślnych prób wprowadzenia hasła, wtedy nie poradzą sobie z zabezpieczeniem.
W punkcie Wyzeruj licznik należy wpisać liczbę minut, które muszą upłynąć miedzy dwiema próbami logowania, aby nie nastąpiła blokada konta. Ponadto można określić, czy konto zablokowane automatycznie może być udostępnione po upływie określonego czasu. W menu Założenia I Prawa użytkownika można dokonywać zmian uprawnień dla poszczególnych grup.
Ostatnim punktem menu Założenia jest opcja Inspekcja. Można tutaj określić, które zdarzenia mają być kontrolowane. Są one następnie wyświetlane w Podglądzie zdarzeń znajdującym się w menu Start I Programy I Narzędzia administracyjne (wspólne) I Monitor zdarzeń Wszystkie wybrane zdarzenia są tam tymczasowo zapisywane i po wywołaniu można otrzymać informacje o szczegółach; na przykład można dowiedzieć się, kto zapisał w dniu RR-MM-DD o godzinie GG:MM:SS plik "XYZ".
Przydzielanie praw dostępu do elementów
Na nośniku danych sformatowanym w systemie NTFS można indywidualnie przydzielić i określić danemu użytkownikowi rodzaj uprawnień do korzystania z danego elementu. W menu kontekstowym elementu znajduje się w opcji Właściwości karta Zabezpieczenia, umożliwiająca określenie wszystkich szczegółów dotyczących uprawnień do tego obiektu. Poprzez opcje Uprawnienia: Plik Lub Uprawnienia: Katalog dla wszystkich plików i katalogów można określić użytkowników posiadających do nich dostęp. Każdemu obiektowi można przydzielać prawa dostępu podane w tabeli.
Domyślnie system operacyjny przypisuje każdemu obiektowi uprawnienia "Wszyscy" oraz "Pełna kontrola", tak więc każdy użytkownik ma możliwość dostępu do takiego obiektu i może go dowolnie edytować. Jeżeli prawa te chcemy ograniczyć, powinniśmy w opcji typ dostępu precyzyjnie ustalić prawa dostępu do zaznaczonego obiektu. Jeśli natomiast obiekt ma być udostępniony tylko określonym osobom lub grupom, trzeba posłużyć się przyciskiem Dodaj, który wywołuje listę wszystkich grup, a po kliknięciu przycisku Pokaż użytkowników, wyświetlona zostanie stosowna lista, z której poszczególnych użytkowników można wybierać poprzez dwukrotne kliknięcie lewym przyciskiem myszy. W oknie dialogowym Typ dostępu można wybrać typy operacji, jakie użytkownik będzie mógł przeprowadzać na danym obiekcie. Rodzaj dostępu określa się osobno dla każdego zapisu. W przypadku folderów każdy użytkownik otrzymuje analogiczne prawa dostępu do wszystkich obiektów podporządkowanych danemu folderowi.
Dostępne operacje:
R – odczyt
W – zapis
X – uruchamianie programu
D – usuwanie obiektu
P – zmiana praw dostępu
O – przejmowanie w posiadanie
Nadzorowanie obiektów:
Oprócz przydzielania praw dostępu do obiektów można też nadzorować dostęp do nich. W pliku zapisywane jest, kto i o której godzinie korzystał z danego obiektu. Do tego celu służy znajdujący się na karcie Zabezpieczanie przycisk Inspekcja.
Za pomocą przycisku Dodaj można dołączać do specjalnej listy kontrolnej poszczególne grupy lub użytkowników. Dla każdego użytkownika określa się indywidualnie, jakie zdarzenia będą nadzorowane. Operacje do nadzoru wybiera się kliknięciem myszką. Można poza tym określić czy nadzorowane mają być zdarzenia zakończone sukcesem czy również (lub tylko) zakończone porażką. Należy także pamiętać, że odpowiednie opcje zostały wybrane w Menedżerze użytkowników w menu Założenia I Inspekcja.
Przejmowanie obiektu:
Użytkownik tworzący określony obiekt jest zawsze jednocześnie właścicielem tego obiektu. Właściciele mogą zmieniać atrybuty takiego pliku i mogą odmówić nawet przydzielenia praw dostępu Administratorowi. Z drugiej strony jednak Administratorzy mogą przejąć dany plik w swoje posiadanie i anulować te operacje. W zakładce Zabezpieczenia można przejąć w posiadanie dany obiekt za pomocą przycisku Własność.
Połączenia z innymi sieciami
Dzięki programowi Dial-Up Networking możliwe jest zasymulowanie połączenia komputera do sieci z wykorzystaniem modemu.
Komputer może służyć nie tylko jako terminal do zdalnej pracy na serwerze (jak ma to miejsce przy wykorzystaniu programu Hyper Terminal. Przy pomocy protokołów PPP i SLIP możliwe jest utworzenie bezpośredniego podłączenia do Internetu, co pozwala na komfortowe korzystanie z prawie wszystkich usług sieci Internet. PPP i SLIP są dwoma różnymi protokołami umożliwiającymi korzystanie z protokołu TCP/IP (podstawowego protokołu Internetu) przy użyciu modemu lub Karty ISDN i programu Dial-Up Networking. Jeżeli podczas instalacji systemu Windows NT program Dial-Up Networking nie został zainstalowany, należy zrobić to teraz wybierając z menu Start opcje Programy I Akcesoria I Dial-Up Networking.
Pierwsze wybranie tej opcji powoduje uruchomienie programu instalacyjnego aplikacji Dial-Up Networking. Następnie system Windows otwiera okno, w którym należy wybrać modem wykorzystywany do komunikacji z Siecią.
Jeżeli w systemie nie jest jeszcze zainstalowany żaden modem, można doinstalować go teraz dokonując niezbędnych połączeń i klikając przycisk Zainstaluj modem. Poprawnie zainstalowany modem wybieramy później z listy.
Jeżeli komputer podłączony jest do sieci X.25 za pomocą urządzenia PAD (Packet Assembler-Disassembler), można je zainstalować i skonfigurować odpowiednio do własnych potrzeb klikając przycisk Zainstaluj X25 Pad. Po kliknięciu przycisku Dalej system Windows NT automatycznie utworzy wszystkie pliki konfiguracyjne niezbędne do korzystania z sieci. Po ponownym uruchomieniu komputera użytkownik będzie już dysponował funkcjonującym programem Dial-Up Networking. Ponowne uruchomienie opcji Start I Programy I Akcesoria I Dial-Up Networking umożliwiającego konfiguracje i określenie wszystkich parametrów połączeń
Ponieważ nie została jeszcze utworzona książka adresowa automatycznie uruchomiony zostanie odpowiedni Kreator ułatwiający dokonanie pierwszego wpisu do niej. Aby wpisać do książki następne połączenia należy kliknąć przycisk Nowy, a uruchomiony w ten sposób Kreator umożliwi łatwe określenie wszystkich parametrów nowego połączenia. Jeżeli nie chcemy korzystać z Kreatora i pragniemy ręcznie ustalić konfiguracje połączenia, należy kliknąć przycisk Więcej, wybrać opcje Preferencje użytkownika i na karcie Wygląd odznaczyć opcje Użyj Kreatora do tworzenia nowych wpisów książki telefonicznej.
Opisując parametry nowego połączenia przede wszystkim należy podać jego nazwę. Musi być ona unikatowa, aby później możliwe było jednoznaczne zidentyfikowanie połączenia. W następnym oknie znajdują się opcje opisujące obsługę połączenia. Pierwsza z nich określa, czy komputer ma być połączony z inną stacją pracującą w sieci Internet. Drugą trzeba uaktywniać w przypadku, gdy komputer z którym chcemy się połączyć, nie umożliwia szyfrowania przesyłanych informacji i hasło ma zostać przesłane w formie nie zakodowanej. Trzecia opcja pozwala określić, czy po zestawieniu połączenia mają zostać przekazane informacje dotyczące logowania. czy też przed nawiązaniem połączenia stacje wymienią swoje adresy TCP/IP. Jest to niezbędne przy współpracy z serwerami pracującymi pod kontrolą innych systemów operacyjnych niż Windows. W przypadku komputerów pracujących pod kontrolą systemu Windows nie ma potrzeby wyboru którejkolwiek z tych opcji. Kolejnym krokiem jest podanie numeru telefonu komputera, z którym chcemy się połączyć Jeżeli numerów tych jest kilka, każdy z nich trzeba kolejno dodać za pomocą przycisku Alternatywny. W następnym oknie dialogowym wystarczy tylko kliknąć przycisk Zakończ, co spowoduje zapamiętanie parametrów nowego połączenia i umieszczenie go na liście. W przypadku łączenia z komputerem pracującym pod kontrolą systemu innego niż Windows, należy w pojawiającym się oknie dialogowym Protokół szeregowy wybrać protokół jaki będzie wykorzystywany podczas transmisji danych (PPP lub SLIP) oraz określić wszelkie inne parametry.
Ustawienia te można oczywiście zmieniać później w oknie dialogowym Dial-Up Networking przy pomocy przycisku Więcej I Edytuj wpis i właściwości modemu.... Najczęściej dane zawarte na karcie Informacje podstawowe są uzupełnione przez Kreatora wartościami domyślnymi (takimi jak np. aktualna lokalizacja, aktywny modem). Pole Komentarz umożliwia zapamiętanie dodatkowych informacji opisujących połączenie.
Komunikacja z serw