Зміст лекції

Windows XP Professional у порівнянні з попередніми версіями має поліпшений графічний інтерфейс і широкі мультимедийные можливості. При цьому з'явилася можливість роботи в бепровідних мережах, віддалений доступ і підтримка віртуальної приватної мережі (virtual private network, VPN). Розглянемо ці можливості докладніше:

1. Робота в безпровідній мережі: найчастіше мають на увазі безпровідні мережі Ethernet, відомі також як Wi-Fi або 802.11b. За останні роки бездротові мережі одержали широке поширення, тому що вони мають високу функціональність, не вимагають сполучних кабелів 5-ої категорії й надають швидкість передачі даних до 11 Мбіт/с. Більше того, ціна адаптерів для таких мереж знижується, що сприяє появі точок входу в публічних місцях.

Windows XP Professional підтримує ряд адаптерів бездротових мереж без необхідності в інсталяції додаткових драйверів, що дозволяє настроїтися на роботу в мережі за лічені хвилини за допомогою діалогових вікон. Після настроювання роботи бездротової мережі в Windows XP Professional, необхідно виконати конфігурацію відповідних засобів безпеки з метою запобігання мережі від несанкціонованого доступу, тому що Wi-Fi мережі з безкоштовним доступом не мають власних засобів захисту.

2. Робота з віддаленим комп'ютером: Windows XP Professional містить у собі дві нові програми віддаленого доступу - Remote Desktop (Віддалений робочий стіл) і Remote Assistance (Віддалений помічник), які доповнюють один одного.

2.1 Віддалений робочий стіл. Windows XP Professional може виступати в якості хоста, яким можна управляти з іншого комп'ютера, що працює в середовищі Windows, незалежно від установленої на ньому версії Windows. З метою безпеки віддалений робочий стіл не активується при інсталяції за замовчуванням, а запускається тільки з панелі керування системи (Control Panel).

Віддалений робочий стіл використовує стандарт Windows для контролю за доступом користувачів і забезпечення безпеки з поточною реєстрацією на хості. При включенні Remote Desktop на компьютері-хості користувач побачить порожній екран. Інші програми контролю за віддаленим комп'ютером звичайно дозволяють користувачеві, що сидить за хост-машиною, бачити, що відбувається на іншому кінці лінії.

Якщо на хості користувач входить в систему, у той час як віддалений користувач встановлює з'єднання, то користувач хоста буде вилучений з мережі. Це зручно для служби технічної підтримки організації, коли вона повинна розв'язати проблему, пов'язану з персональним комп'ютером. Співробітники цієї служби можуть бачити, що робив користувач на хості до початку сеансу віддаленого зв'язку за умови, що віддалений користувач вводив для входу в систему ту ж інформацію, що й користувач хосту. Тільки один користувач може мати доступ до машини хоста в поточний момент часу. Додаток Remote Desktop (Вилучений робітник стіл) зручно використовувати, якщо користувачеві потрібно ввійти у свій комп'ютер з віддаленого місця.

2.2 Віддалений помічник Remote Assistance . Однією з переваг цієї програми над попередньою є те, що віддалену машину можна контролювати, і обидві сторони можуть переглядати вміст екрана. Але ця функція працює тільки в тому випадку, якщо на обох комп'ютерах установлена Windows XP Professional і не працює з більш ранніми версіями Windows, а також з Windows XP Home Edition.

Віддалений помічник дозволяє IT-відділам і працівникам локальних служб підтримки справлятися з виникаючими в користувачів проблемами або демонструвати нові додатки. Сеанс Віддаленого помічника може бути ініційований за допомогою Windows Messenger або по електронній пошті.

Для запуску сеансу Віддаленого помічника варто виконати наступні дії:

користувач запитує допомогу або за допомогою Windows Messenger, або поштою. У листі повинен перебувати у вигляді вкладення спеціальний "квиток" (ticket). Для відповіді експерт повинен клацнути на квитку або на запиті в Windows Messenger. Обидві сторони погоджуються ініціювати сеанс Віддаленого помічника. Крім цього, експерт може послати пораду користувачеві. Після того як з'єднання встановлене, експерт і користувач можуть обмінюватися між собою текстовими повідомленнями. Існує ряд обмежень. По-перше, якщо користувач і експерт перебувають у різних локальних мережах, то Віддалений помічник не працює. По-друге, якщо один з комп'ютерів захищений брандмауером і блокує порт 3389 або використовує мережну трансляцію адрес (Network Address Translation, NAT), те сеанс може не відбутися. Роботу Віддаленого помічника можна обмежити за допомогою групової політики, що дозволяє роботу Remote Assistance тільки з пристроям, захищеним брандмауером організації, або з комп'ютерам однієї локальної мережі.

3. Віртуальні приватні мережі VPN. Інформація, що пересилається через Інтернет, звичайно не захищена від зловмисників. Однак можна захистити дані організації, убезпечивши лінії зв'язку й поширивши свою приватну мережу в Інтернеті за допомогою технології, відомої за назвою віртуальної приватної мережі (VPN).

VPN використовує технологічний прийом, який називається туннелювання для пересилання приватних даних по відкритій мережі (типу Інтернет) до віддаленого сервера в локальній мережі організації. З'єднання за допомогою протоколу туннелювання "точка-точка" (Point-to-Point Tunneling Protocol, PPTP) є зашифрованим і безпечним. Протоколи аутентификации й шифрування реалізуються віддаленим сервером вхідної інформації.

Створити VPN-з'єднання можна двома способами.

1) За допомогою дзвінка Інтернет-провайдеру (ISP). Користувач з'єднується із провайдером по телефону. Провайдер з'єднується з віддаленим сервером локальної мережі для установки тунелю за допомогою протоколів PPTP або L2TP (Layer 2 Tunneling Protocol - протокол туннелювання другого рівня). Після аутентифікації користувач одержує доступ до локальної мережі.

2) За допомогою Інтернет-з'єднання. Якщо користувач уже підключений до Інтернету (за допомогою LAN, кабельного модему або DSL-з'єднання), то він може створити тунель і прямо з'єднатися з віддаленим сервером. Після цього він проходить процедуру аутентифікації та одержує доступ до приватної мережі.

Крім розглянутих вище засобів, Windows XP Professional також має ряд інших якостей, що підвищують надійність і працездатність системи, наприклад, властивість відновлення системи.

Якщо відбувся збій і комп'ютер переходить в Safe Mode (Безпечний режим), операційна система пропонує можливість „відкату” за назвою System Restore (Відновлення системи). Це дозволяє користувачеві повернутися до тих установок, які були в комп'ютері до інциденту. Так звані точки відновлення (restore points) можуть бути створені користувачем у будь-який час, крім того, операційна система періодично створює свої власні точки відновлення й при кожній інсталяції нової програми. При „відкаті” комп'ютера до точки відновлення, ОС використовує установчі дані, що були на той час, коли система працювала нормально.

Мережні елементи Windows XP Professional.

1.Спільне використання Інтернет-з'єднання. Функція Internet Connection Sharing (ICS) (Спільне використання інтернет-з'єднання) дозволяє Windows-комп'ютеру ділитися Інтернет-з'єднанням з іншими комп'ютерами локальної мережі й, у порівнянні з попередніми версіями, ICS полегшало набудовувати: немає додаткової програми інсталяції, і до мережі не додаються нові компоненти й протоколи. При цьому нова версія має ряд обмежень: не можна відключити DHCP-сервер, змінити IP-адресу або змінити діапазон адрес, призначуваних DHCP-сервером. Тому при використанні спільного інтернет-з'єднання необхідно пам'ятати про наступне:

- мережному адаптеру, підключеному до локальної мережі, приписується статична IP-адреса 192.168.0.1;

- комп'ютерам-клієнтам приписуються інші IP-адреси в діапазоні від 192.168.0.2 до 192.168.0.254. Ці адреси можуть бути несумісні з існуючою мережею;

- не слід застосовувати ICS, якщо який-небудь комп'ютер мережі має конфігурацію контролера домена, DHCP-сервера або DNS-сервера. Також не використовуйте ICS, якщо інший комп'ютер використовує ICS або NAT.

2. Система забезпечення безпеки

2.1 Internet Connection Firewall. Даний вид захисту ідеально підходить для користувачів, що мають кабельний або DSL-доступ в Інтернет. Ці типи з'єднань є вразливими, тому що постійно перебувають у робочому стані. ICF робить комп'ютер невидимим з Інтернету, що заважає хакерам вибрати його як мішень. Деякі фахівці називають даний захист застарілим й пропонують доповнити його іншими засобами.

2.2 Блокування вірусів. Атакам вірусів протистоїть нова обмежувальна політика. Вона дозволяє адміністраторам блокувати виконуваний код, який може видалити файли або привести до інших пошкоджень при необачному відкритті файлу, зараженого вірусом. Разом із цим інструментом компанія McAfee, що спеціалізується на захисті від вірусів, оптимізувала свою антивірусну програму VirusScan Online спеціально для Windows XP Professional. Ця програма автоматично обновляється через Інтернет при додаванні нового вірусу в базу даних McAfee.

На жаль, Windows XP Professional має свої слабкі місця. Деякі її властивості можуть бути використані хакерами для проникнення в систему. Наприклад, ця ОС автоматично пересилає інформацію від комп'ютера до Microsoft, що стосується реєстрації продуктів, помилок і відновлення програм. Більше того, властивість віддаленого керування дозволяє групі підтримки в організації або адміністраторові управляти комп'ютером зі своєї машини. В обох випадках може відбутися атака хакерів.

Windows XP Professional є ще одним кроком Microsoft на шляху від робочого стола до веб-сервісу. Програма Microsoft .Net зберігає додатки й інформацію на серверах, з'єднаних з Інтернетом і доступних з будь-якого місця. Хоча це й зручно в рамках .Net-ініціативи, але це створює точку для атаки хакера.

Windows XP Professional є набагато більш безпечною системою, чим більш ранні версії Windows, але все-таки вона недосконала, тому що містить безліч місць для небажаного проникнення в мережу. Система забезпечення безпеки в Windows XP Professional складається із противірусного захисту, міжмережного екрана й загальної системи забезпечення безпеки користувачів.

2.3 Протокол Kerberos. Мірою для забезпечення безпеки, запозиченої в Windows 2000 є Kerberos v.5, що надає засоби для взаємної аутентификации клієнта (користувача, комп'ютера або сервісу) і сервера.

Робота протоколу заснована на припущенні, що спершу транзакції між клієнтом і сервером відбуваються в незахищеній мережі, тобто неавторизований користувач може представитися клієнтом або сервером і перехопити або підробити повідомлення для аутентификации.

Kerberos використовує секретний ключ шифрування для захисту мандатів користувача в процесі їхнього переміщення по мережі. Той же самий ключ може потім використатися для розшифровки мандата користувача на приймаючій станції. Посвідчення особи (аутентифікатор) - це фрагмент інформації, що щораз генерується по-новому. Аутентифікатор використається в кожному зашифрованому реєстраційному повідомленні для гарантії того, що колишнє зареєстроване посвідчення особи не використалося повторно.

Способи установки Windows XP Professional

1. SysPrep. Інструмент System Preparation (SYSPREP.EXE) дозволяє зробити "моментальну фотографію" конфігурації клієнта й потім розіслати її численним клієнтам, використовуючи інструмент Symantec Ghost Corporate Edition 7.5. Цей процес також називається клонуванням. Переваги клонування полягають у наступному: зменшення часу експлуатації, тому що кожний компонент (OС, додатка, установки й т.д.) конфігурується тільки один раз, а потім установлюється на машини клієнтів без участі користувачів; образ можна скопіювати на компакт-диск і поширити серед користувачів без входу в мережу.

Використання клону дозволяє стандартизувати робочі столи, адміністративну політику й обмеження. У цього методу є кілька недоліків: SysPrep не може обновляти більш ранні версії OС і резервна копія даних і користувальницьких установок повинні бути створені до інсталяції, потім вони відновлюються після інсталяції.

2. Завантажувальний компакт-диск. Компакт- диск із образом можна передати будь-якому користувачеві, що не має доступу в мережу, або бажає обновляти свою систему самостійно. Завантажувальний компакт-диск має наступні переваги:

- це найшвидший спосіб установки, він заощаджує час, оскільки не завантажує системні файли по мережі;

- установка операційної системи спрощується для комп'ютерів, що не мають швидкісних з'єднань;

- клієнтів можна повністю сконфігурувати для роботи в мережі, навіть якщо вони до неї не підключені.

До недоліків можна віднести наступне:потрібна ручна інсталяція на кожному комп'ютері й компакт-диск не підходить для дуже більших образів (більше 650 Мб).

3. Сервіси вилученої інсталяції (Remote Installation Services, RIS). RIS дозволяють чисту інсталяцію Windows XP Professional і дозволяє клієнтам завантажуватися з мережної карти. Після завантаження RIS-образ скачується через мережне з'єднання. Інсталяція є гнучкої, завантаження RIS-образа буває повністю автоматичним, або користувач вводить спеціальну інформацію - пароль або ім'я комп'ютера. RIS можна використати тільки разом з Active Directory. Для комп'ютерів, що не містять PXE-based remote ROM, сервіси вилученої інсталяції містять у собі інструмент Remote Boot Floppy (RBFG.EXE) для створення завантажувального диска, який потрібно використати паралельно з RIS. Сервіси вилученої інсталяції мають наступні переваги:

- пропонують легкий спосіб заміни операційної системи комп'ютера;

- дозволяють стандартизувати інсталяції Windows XP Professional;

- реалізують модифікацію й контроль за інсталяцією на комп'ютері кінцевого користувача;

- немає необхідності в поширенні фізичного носія; розмір образа не обмежений можливостями фізичного носія.

До недоліків можна віднести наступне:

- RIS можна використати тільки на клієнтських комп'ютерах, з'єднаних з мережею, у якій працює будь-яка поточна версія Windows Server з настроєною службою Active Directory;

- RIS можна використати на клієнтських комп'ютерах, обладнаних мережними адаптерами PCI;

- RIS працює тільки з образами, створеними на диску С ;

- RIS не підходить для відновлення користувальницьких операційних систем, а використається тільки для чистої інсталяції.

Примітка. Active Directory - це база даних, за допомогою якої можна знаходити об'єкти в мережі. Вона дуже зручна, тому що з її допомогою адміністратор може застосувати політики (policies) до цілої групи користувачів у декількох доменах одним натисканням кнопки миші.

4. Systems Management Server. SMS є убудованим набором інструментів для керування роботою Windows у мережі, що складається з тисяч комп'ютерів. SMS містить у собі інструменти керування робочим столом і поширення програмного забезпечення, полегшуючи процес відновлення. SMS використається тільки для відновлення, а не для чистої інсталяції. Зручність відновлення за допомогою SMS полягає в тому, що адміністратор може контролювати весь процес із центрального комп'ютера. Адміністратори можуть вирішувати, коли проводити відновлення, на яких комп'ютерах, а також як застосовувати ту або іншу політику.

SMS має наступні переваги:

- відновлення може проводитися в умовах блокування або на машині з низькими правами доступу;

- відкладене відновлення може проводитися без введення пароля користувачем;

- автоматичний баланс завантаження між крапками розподілу полегшує проведення ряду одночасних відновлень.

До недоліків можна віднести те, що SMS повинен бути залучений у роботу вашої мережі. До того ж, навчитися працювати з SMS не просто.

Лекція 3 (2 години)

Тема : Протокол TCP/IP та інші протоколи

Мета: ознайомити студентів з застосуванням протоколів передачі даних в мережах, що працюють під керівництвом ОС Windows XP Professional .

Література:

1. Елсенпітер Р., Тобі Дж. Велт Адміністрування мереж Microsoft Windows XP Professional , Еком, 2006р.

2. Курячий Г.В. Адміністрування мереж Windows XP Professional ІНТУІТ. Ру 2007

Хід заняття

1. Організаційна частина

а) готовність групи до заняття;

б) психоемоційний настрій;

в) перевірка присутніх;

2. Актуалізація опорних знань студентів:

а) повідомлення теми та мети;

б) повідомлення основних тез теми.

3. Викладення нового матеріалу:

План лекції:

1. Суть протоколу TCP/IP

2. Поняття дейтаграми

3. Формат ІР-дейтаграми

4. Поняття та формат ІР - адресації

5. Приватні ІР - адреси

6. TCP/IP –адресація в Windows XP Professional

4. Узагальнення та систематизація знань.

5. Підведення підсумків заняття.

6. Домашнє завдання: вивчити матеріал лекції.

7. Самостійне вивчення: опрацювати теми „Протоколи передачі даних UDP та FTP та мережні служби, що їх використовують” з Методичного посібника для самостійної роботи або з будь-якого іншого джерела (наприклад, мережі Інтернет).