descrierea si configurarea unei retele cu windows 2003 server
TRANSCRIPT
Descrierea si configurarea unei reţele cu Windows 2003 Server
PROFESOR COORDONATOR ABSOLVENT Prof. Ing. Marin Cristina
2010
CUPRINS
CAP. 1 INTRODUCERE..…………………….………………………….…pag 3
CAP. 2 TIPURI DE RETELE………………………………………….……pag 3 2.1 Retele de tip Client/Server.................................................................pag 4 2.2 Retele de tip Peer-to-Peer..................................................................pag 4
CAP. 3 NIVELURILE UNEI RETELE……………………………………..pag 5 3.1 Nivelul fizic........................................................................................pag 5 3.2 Nivelul logic.......................................................................................pag 5 3.3 Nivelul de retea...................................................................................pag 5 3.4 Nivelul de transport............................................................................pag 5 3.5 Nivelul de aplicatii..............................................................................pag 5
CAP. 4 BAZELE LUCRULUI IN RETELE DE CALCULATOARE...........pag 6 4.1 Componente hardware………………………………………………pag 6
4.1.1 Echipamente de transmisie…………………………………………..pag 7 4.1.2 Dispozitive de acces…………………………………………………pag 7
4.2 Repetoare……………………………………………………………pag 7 4.3 Componente software……………………………………………….pag 8
4.3.1 Protocoale…………………………………………………………....pag 8 4.3.2 Driver de dispozitiv………………………………………………….pag 8 4.3.3 Software pentru comunicatii…………………………………………pag 8
CAP. 5 TOPOLOGII LAN…………………………………………………..pag 9 5.1 Retele de tip magistrala.......................................................................pag 9 5.2 Retele de tip stea.................................................................................pag 9 5.3 Retele de tip ring (inel).......................................................................pag 9 5.4 Retele de tip magistrala in stea...........................................................pag 9
CAP. 6 INSTALAREA A 50 DE COMPUTERE PE WINDOWS XP..........pag 10 6.1 Instalarea Windows XP......................................................................pag 10 6.2 Configurarea retelei in Windows XP..................................................pag 12
CAP. 7 INSTALAREA UNUI SERVER PE WINDOWS 2003 DHCP…….pag 16 7.1 Instalarea unui Server DHCP ……………………………………….pag 17 7.2 Configurarea unui Server DHCP……………………………………pag 22
CAP. 8 SECURIZAREA UNEI RETELE PAS CU PAS……………………pag 23
2
CAP. 9 BIBLIOGRAFIE……………………………………………………..pag53
3
CAP.1 INTRODUCERE
In aceasta epoca a calculului distribuit, reţelele sunt prezentate in aproape toate mediile de lucru. O data cu extinderea domeniilor de aplicare a calculatoarelor, a crescut si numarul utilizatorilor ce doreau sa faca schimb de date sau sa prelucreze informatiile comune.
De exemplu, zeci de angajati ai unei intreprinderi lucreaza impreuna la elaborarea bugetului, fiecare din ei fiind responsabil de un anumit compartiment. In cadrul unei companii de transporturi aeriene biletele la una si aceiasi cursa pot fi vindute de mai multe agentii, care evident, se afla in orase diferite.
Pentru a solutiona astfel de probleme, au fost elaborate mijloace tehnice care permit calculatoarelor sa comunice intre ele. Reţeaua este un mecanism care permite calculatoarelor distincte si utilizatorilor acestora sa comunice si sa partajeze resurse.
Numim retea o multime de calculatoare ce pot schimba informatii prin intermediul unei structuri de comunicatie.
CAP. 2 TIPURI DE RETELE
Urmeaza prezentarea catorva tipuri de retele (atat locale cat si globale). Voi incerca sa fac o trecere in revista a topologiilor de retea, a catorva modalitati de conectare la o retea precum si a catorva protocoale de retea.
Avem in primul rand doua mari categorii de retele: retele de tip LAN (Local Area Network) retele de tip WAN (Wide Area Network).
Reteaua LAN este constituita din mai multe calculatoare care alcatuiesc o retea, de regula reteaua e construita in interiorul unei cladiri sau cel mult pe o distanta de cateva cladiri (din cauza unor restrictii de tip hardware – Exceptie fac LAN-urile cu transmisie de date prin cablu cu fibra optica).
Retelele de acest tip pot fi construite in mai multe feluri ce difera intre ele prin intermediul modului de conectare a calculatoarelor intre ele.
Reteaua WAN este alcatuita din foarte multe calculatoare legate in retea si care este intinsa pe o suprafata intinsa, in cazul Internet-ului pe tot globul. Reteaua este alcatuita din multe servere care in general sunt masini UNIX, care pot asigura intr-adevar un multitasking controlat si un multithreading adevarat, spre deosebire de Windows care doar simuleaza doar (foarte bine intr-adevar)aceste lucruri.
In cadrul acestui tip de retea se folosesc anumite protocoale de retea pentru a putea transmite date in cadrul unui asemenea gigant. Se folosesc de asemenea adrese de locatie numite adrese IP (Internet Protocol) cu ajutorul carora serverele de Internet gasesc mult mai usor calculatoarele din retea.
4
In cadrul acestei retele se foloseste un protocol de transfer de date care de fapt este o denumire colocviala pentru mai mult de 100 de protocoale diferite dar care au fost inglobate sub aceeasi denumire TCP/IP (Transmission Control Protocol/Internet Protocol). Acest protocol cuprinde intre altele si protocoalele de Telnet (Terminal emulation), FTP (File Transfer Protocol), HTTP (Hyper Text Transfer Protocol), SMTP (Simple Mail Transfer Protocol). Acest protocol a fost elaborat de Ministerul Apararii Nationale din SUA in anii ’70 si are si acum cea mai larga arie de utilizare. Principalele avantaje pe care acesta le prezinta ar fi:
Independenta de platforma. Protocolul TCP/IP nu a fost conceput pentru utilizarea intr-un mediu destinat unui anumit tip de hardware sau software. A fost si este utilizat in retele de toate tipurile.
Adresare absoluta. TCP/IP asigura modalitatea de identificare in mod unic a fiecarei masini din Internet.
Standarde deschise. Specificatiile TCP/IP sunt disponibile in mod public utilizatorilor si dezvoltatorilor. Oricine poate sa trimita sugestii de modificare a standardului.
Protocoale de aplicatie. TCP/IP permite comunicatia intre medii diferite. Protocoalele de nivel inalt cum ar fi FTP sau TELNET, au devenit omogenizate in mediile TCP/IP indiferent de platforma.
2.1 Retele de tip Client/Server folosesc un calculator separat (server) care lucreaza la nivel centralizat cu toate fisierele si efectueaza serviciile de tiparire pentru mai multi utilizatori. Clientii din retea sunt statii de lucru (workstations) si sunt conectate la server. Clientii sunt reprezentati in general de calculatoare puternice dar pot aparea si calculatoare mai slabe in timp ce Serverul este in genere un calculator foarte puternic, in comparatie cu calculatoarele care urmeaza a fi legate la el, si care este in asa fel configurat incat sa ofere cele mai rapide raspunsuri pentru clientii retelei si pentru a asigura cea mai buna protectie din retea pentru datele critice.
Din cauza ca Serverul trebuie sa poata rezolva simultan mai multe solicitari este necesar ca el sa ruleze un sistem de operare (SO) care sa fie specific destinat acestui lucru: aici se recomanda in general orice SO de tip *NIX cum ar fi Linux, Unix, FreeBSD, dar si altele cum ar fi OS/2 sau Win NT. Acesta nu este tocmai momentul sa intru in detaliile acestor sisteme de operare dar ele folosesc cel mai bine asa numitele protocoale de retea (Subiect car va fi atacat mai tarziu).
2.2 Retele de tip Peer-to-Peer nu folosesc acel calculator central numit Server, ci dimpotriva ele folosesc impreuna unitatile de disc si imprimantele sau de ce nu chiar fisiere si programe. Insa acest tip de retea are destul de multe defecte: deoarece pe un calculator de birou nu ruleaza calculatoare super-performante cu SO-uri de tip *NIX instalate exista pericolul destul de mare de altfel de a suprasatura statiile de lucru daca mai multi utilizatori acceseaza in acelasi timp resursele aceluiasi calculator.
CAP. 3 NIVELURILE UNEI RETELE
5
Comunicarea in retea are loc in cadrul a doua mari nivele – nivelul fizic si nivelul logic si a inca 3 nivele importante necesare pentru intelegerea modului de functionare a unei retele.
3.1 Nivelul fizicNivelul fizic se costituie din partea hardware a retelei si anume: placile de
interfata ale retelei, cablurile de conectare, HUB-uri (amplificatoare de semnal – folosite in cazul in care calculatoarele se afla la o distanta mai mare decat distanta maxima pe care o poate atinge o placa de retea in transmiterea de date, de regula intre 100m pentru placi pe slot PCI si in jur de 300m pentru placi pe slot ISA), precum si orice alta componenta hardware care foloseste la comunicarea in retea. Deci nivelul fizic este nivelul palpabil al retelei.
3.2 Nivelul logicEste nivelul la care se transforma orice variatie de tensiune electrica in cod binar
pentru a putea fi trimise in nivelul fizic avand astfel loc comunicarea intre calculatoarele din retea.
3.3 Nivelul de reteaAcest nivel este responsabil de identificarea calculatoarelor din retea. Fiecare
calculator din retea foloseste mecanismul de adresare existent in acest nivel pentru a transmite date la statia de lucru dorita.
3.4 Nivelul de transportNivelul de transport asigura receptionarea corecta a tuturor datelor trimise in
retea. Acest nivel mai are si rolul de a restabili structura corecta a datelor a caror structura ar putea fi deteriorata in timpul transmisiei.
3.5 Nivelul de aplicatiiAcesta este de fapt soft-ul utilizat de o statia de lucru. Atunci cand se apeleaza o
litera a unei unitati de disc din retea sau cand se tipareste la o imprimanta partajata in retea, programul respectiv foloseste nivelul de aplicatii pentru a transmite datele in retea.
CAP. 4 BAZELE LUCRULUI IN RETELE DE CALCULATOARE
6
O retea de calculatoare este, in esenta, ceva care permite unui numar de doua sau mai multe calculatoare sa comunice intre ele si/sau cu alte dispozitive. Acest lucru le permite utilizatorilor sa foloseasca retelele si calculatoarele pentru a partaja informatii, pentru a colabora la o lucrare, pentru a tipari si chiar pentru a comunica direct prin mesaje adresate individual.
Retelele au numeroase componente, atat hardware, cat si software. Unele componente pot fi complet intangibile.
Inainte de a explora prea adanc printre componentele elementare ale retelelor, este important sa retineti ca retelele au evoluat in doua categorii distincte:
retele locale (LAN) retele de mare suprafata (WAN).
Diferenta dintre cele doua este destul de simpla. Retelele LAN sunt utilizate pentru interconectarea dispozitivelor care se gasesc
intr-o vecinatate relativ restransa. Retelele WAN sunt necesare pentru a interconecta retelele LAN aflate la distanta
din punt de vedere geografic.
4.1 Componente hardwareComponentele hardware elementare includ trei tipuri de dispozitive:
Echipamente de transmisie Dispozitive de acces Dispozitive ce repeta semnalele transmise
Aceste componente sunt elementare prin faptul ca toate retelele trebuie fie sa le contina, fie cel putin, sa functioneze in preajma lor.
Atenuarea poate fi compensata prin dimensionarea cablurilor la o lungime minima, pentru a garanta ca semnalul este suficient de puternic pentru a ajunge la toate destinatiile din lungul cablului. In cazul in care cablul trebuie sa fie relativ lung, poate fi instalat pe linie un repetor.
Distorsionarea este o problema mai grava in transmiterea semnalelor. Aceasta este diferita de atenuare. Semnalele distorsionate pot altera orice date transportate. Repetoarele sunt incapabile de a face diferenta dintre semnalele corecte si cele distorsionate; ele repeta semnalele fara deosebire. Exista totusi mai multe metode de combatere a distorsiunilor:
Urmati riguros orice instructiuni de instalare care v-au furnizate impreuna cu mediul dumneavoastra de transmisie.
Identificati toate sursele care pot cauza distorsiuni. In continuare, incercati sa indepartati cablurile de sursele respective. De asemenea, poate fi util sa folositi tehnologii speciale de transmisie in retea, precum cablarea prin fibre optice, care pot impiedica aparitia distorsiunilor.
Utilizarea protocoalelor de retea care au capacitatea sa detecteze si sa corecteze automat orice erori de transmisie posibile.
7
4.1.1 Echipamente de transmisieEchipamentele de transmisie reprezinta mediul utilizat pentru a transporta
semnalele unei retele catre destinatie. Tipurile de medii includ cabluri coaxiale, cabluri torsadate si fibre optice.
Tipurile de medii LAN pot fi, de asemenea, intangibile. Ele pot fi semnale luminoase, radio si microunde, transmise prin aer.
Retelele WAN au, de asemenea, echipamente de transmisie proprii. Astfel de echipamente sunt descrise de obicei prin viteza de tact si structurile lor de cadre, nu ca simple medii de transmisie. Mediul lor fizic este irelevant comparativ cu performantele lor.
4.1.2 Dispozitive de accesUn dispozitiv de acces raspunde de:
Formatarea corecta a datelor, astfel incat sa fie acceptate de retea. Plasarea datelor in retea Acceptarea datelor care ii sunt adresate.
Intr-o retea LAN, dispozitivul de acces este cunoscut ca placa de interfata cu reteaua (NIC – Network Interface Card). NIC este o placa de circuite instalata intr-un calculator si ocupa un slot de intrare/iesire de pe placa de baza a acestuia. Reteaua este cablata apoi la portul pus la dispozitie de aceasta placa. NIC formeaza cadrele de date care trebuie transmise de aplicatiile calculatorului, pune datele in forma binara si accepta intrarea cadrelor adresate calculatorului respectiv.
Intr-o retea WAN, dispozitivul de acces este un router. Routerele opereaza la nivelul 3 al modelului de referinta OSI si includ doua tipuri de protocoale: de rutare (routing) si rutabile (routable).
Protocoalele rutabile, ca IP, sunt utilizate pentru a transporta datele dincolo de limitele domeniilor de nivel 2.
Protocoalele de rutare furnizeaza toate functiile necesare realizarii urmatoarelor operatii:
Determinarea cailor optime prin reteaua WAN pentru orice adresa de destinatie data
Acceptarea si trimiterea pachetelor prin aceste cai la destinatiile lor.
4.2 RepetoareRepetorul este un dispozitiv care accepta semnalele trimise, le amplifica si le
plaseaza din nou in retea. Intr-un LAN, un repetor – cunoscut mai mult sub numele de concentrator (hub) – permite conectarea in retea a mai multor dispozitive, prin furnizarea mai multor puncte de intrare in retea.
Aceasta functie este atat de importanta pentru retelele LAN actuale, incat adevaratul lor rol – regenerarea semnalului – este adesea uitat.
Capacitatea concentratorului de a regenera semnalele este la fel de vitala pentru succesul unui LAN ca si capacitatea de a asigura mai multe puncte de intrare. Semnalele electronice trimise printr-un cablu se vor deteriora in mod inevitabil.
8
Aceasta deteriorare poate lua una din urmatoarele doua forme: atenuare sau distorsionare.
Atenuarea este scaderea puterii semnalului. Distorsionarea este modificarea nedorita a semnalelor in timpul transferului.
Fiecare dintre aceste forme de deteriorare trebuie sa fie abordata si rectificata separat.
4.3 Componente softwareComponentele software necesare intr-o retea includ urmatoarele elemente:
Protocoale care definesc si regleaza modul in care comunica doua sau mai multe dispozitive
Software la nivel hardware, cunoscut ca microcod sau drivere, care controleaza modul de functionare al dispozitivelor individuale, precum placile de interfata cu reteaua.
Software pentru comunicatii.
4.3.1 ProtocoaleAsigurarea conectivitatii fizice pentru o retea reprezinta partea cea mai usoara.
Adevarata greutate consta in dezvoltarea unor mijloace de comunicare standard pentru calculatoare si alte dispozitive atasate la retea. Aceste mijloace de comunicare sunt cunoscute oficial ca protocoale.
Protocoalele pentru retele LAN sunt numite frecvent arhitecturi LAN, pentru ca sunt incluse in NIC. Ele predetermina in mare masura forma, dimensiunea si mecanica retelei.
4.3.2 Driver de dispozitivUn driver de dispozitiv este un program de nivel hardware care controleaza un
anumit dispozitiv. Un driver de dispozitiv poate fi privit ca un sistem de operare in miniatura pentru o singura componenta hardware. Fiecare driver contine toata logica si toate datele necesare pentru a asigura functionarea corecta a dispozitivului respectiv. In cazul unei placi de interfata cu reteaua (NIC), driverul include furnizarea unei interfete pentru sistemul de operare al gazdei.
4.3.3 Software pentru comunicatiiComponentele hardware si software de retea care au fost descrise anterior nu au
capacitatea de a-i permite unui utilizator sa foloseasca efectiv reteaua. Ele nu fac decat sa asigure infrastructura si mecanismele care permit utilizarea acesteia.
Sarcina utilizarii efective a retelei cade in seama aplicatiilor software specializate, care controleaza comunicatiile.
Indiferent de tipul sau complexitatea aplicatiilor, software-ul pentru comunicatii reprezinta mecanismul care face banda de frecventa cu adevarat utilizabila.
CAP. 5 TOPOLOGII LAN
9
Pentru aranjarea in retea a calculatoarelor se folosesc diferite metode numite topologii. Fiecare topologie are avantaje si dezavantaje dar totusi fiecare se potriveste cel mai bine in anumite situatii.
5.1 Retele de tip magistralaIn cadrul acestui tip de retele toate calculatoarele sunt interconectate la cablul
principal al retelei. Calculatoarele conectate in acest tip de retea au acces in mod egal la toate resursele retelei. Pentru utilizarea cablului nivelul logic trebuie sa astepte pana se elibereaza cablul pentru a evita coliziunile de date. Acest tip de retea are insa un defect si anume: daca reteaua este intrerupte intr-un loc fie accidental fie prin adaugarea unui alt nod de retea atunci intreaga retea este scoasa din functiune. Este totusi una din cele mai ieftine moduri de a pune la cale o retea.
5.2 Retele de tip steaAcest tip de retea face legatura intre calculatoare prin intermediul unui
concentrator. Avantajul esential al acetui tip de retea este ca celelalte cabluri sunt protejate in situatia in care un calculator este avariat sau un cablu este distrus, deci din puct de vedere al sigurantei transmisiei de date este cea mai sigura solutie in alegerea configurarii unei retele mari caci prntru o retea mica exista un dezavataj de ordin finaciar constituit de concentrator care are un pret destul de ridicat.
5.3 Retele de tip ringTipul de retea circular face legatura intre calculatoare prin intermediul unui port
de intrare (In Port) si a unui port de iesire (Out Port). In aceasta configuratie fiecare calculator transmite date catre urmatorul calculator din retea prin portul de iesire al calculatorului nostru catre portul de intrare al calculatorului adresat. In cadrul acestei topologii instalarea cablurilor este destul de dificila si atunci se recurge la un compromis intre acest tip de retea si cel de tip magistrala folosindu-se o unitate centrala care sa inchida cercul numita Media Acces Unit (MAU – unitate de acces a mediilor).
5.4 Retele de tip magistrala in steaLa fel ca o retea hibrida stea-cerc reteaua de tip magistrala in stea face apel la o
unitate centrala (MAU) prin care se realizeaza legaturile intre calculatoare.
10
CAP. 6 INSTALAREA A 50 DE COMPUTERE PE WINDOWS XP
6.1 Instalarea Windows XPVom instala sistemul de operare Windows XP pe 50 de computere cu
configuratii diferite ca o retea de bloc. Configuratiile diferite ale computerelor nu ne vor face probleme in instalarea sistemului de operare Windows XP pana in punctul de instalare a driverilor cand vom aplica pentru fiecare sistem in parte driverele necesare.
Inainte de a incepe instalarea ne vom asigura ca avem la indemana toate cd-urile importante primite odata cu achizitionarea calculatorului, mai exact discurile cu drivere pentru: placa de baza, placa audio, placa video, placa de retea/modem si pentru S-ATA (daca detinem un astfel de hard disk). Daca instalam un Windows XP care nu are integrat Service Pack 2, vom scoate cablul de retea din calculator inainte de inceperea instalarii. De asemenea, daca reinstalam Windows-ul, ne asiguram ca orice fisier sau director important din directoarele My Documents, Program Files, Windows sau de pe Desktop a fost mutat intr-o locatie de backup.
Acestea fiind spuse, pornim calculatorul si intram in BIOS (de obicei se face prin apasarea tastei Delete). Cautam sectiunea de Boot (ar trebui sa fie in meniul principal sau la Advanced BIOS Features) si verificam ca prima componenta de pe care calculatorul va boota este CDROM-ul. Acum vom introduce CD-ul de instalare al Windows XP in unitatea optica si putem iesi din BIOS, salvand schimbarile bineinteles.
11
Dupa cateva secunde calculatorul ne va cere sa apasam o tasta pentru a boota de pe CD. (Atentie! Acesta este singurul moment in care calculatorul trebuie sa booteze de pe CD). Dupa inspectarea configuratiei calculatorului, utilizatorul este rugat sa apese tasta F6 daca detine o discheta pentru hard disk-ul sau S-ATA. Este foarte important sa nu sarim sau sa omitem acest pas daca avem un astfel de hard.
Daca am apasat tasta F6, dupa cateva secunde vom fi rugati sa specificam unitatea de stocare pe S-ATA. Apasam tasta S, introducem discheta cu driver S-ATA si apasam Enter. Dupa ce isi va copia driverele necesare, vom reveni in ecranul anterior. Pentru a continua, doar apasam inca o data tasta Enter.
Dupa ce procesul de instalare va termina incarcarea fisierelor necesare, vom avea de ales intre instalarea Windows-ului, repararea sa si iesirea din instalare. Vom alege bineinteles instalarea Windows-ului, apasand tasta Enter, ceea ce va avea ca effect afisarea licentei. O putem citi folosind tastele Page Up si Page Down; daca suntem de acord, apasam tasta F8, daca nu, tasta Escape (optiune care vom opri procesul de instalare).
Urmatorul ecran va lista partitiile de pe hard disk, spatiul nefolosit si optiunile corespunzatoare acestora. Putem crea o partitie apasand tasta C, putem sterge una apasand tasta D sau folosi tastele directionale pentru a alege partitia pe care sa fie instalat Windows-ul. Nu va sfatuiesc sa stergeti partitii daca nu stiti exact ce presupune acest lucru. Daca pe partitia aleasa exista deja instalata o versiune de Windows, vom fi intrebati daca dorim sa folosim in continuare acea partitie si vechiul Windows sa fie sters (apasati L) sau sa alegeti alta partitie (apasati Escape). Daca hard disk-ul nu are creata nici o partitie (contine doar spatiu nefolosit), putem crea una: apasati C si in ecranul urmator alegeti marimea partitiei. Dupa selectarea unei partitii, urmeaza formatarea ei. Daca tocmai am creat partitia respectiva sau nu contine nimic important, o putem formata rapid folosind optiunea "Format the partition using the NTFS file system (quick)", dar daca partitia exista deja o putem lasa intacta alegand optiunea "Leave the current file system intact (no changes)".
In continuare vor fi copiate pe hard disk fisierele necesare dupa care calculatorul se va restarta pentru a instala componentele (interventia utilizatorului nu este necesara pana in momentul in care vor fi instalate componentele). Cu siguranta ati observat ca pasul doi al instalarii a inceput intr-o interfata noua, mai prietenoasa, in care va aparea, la terminarea instalarii componentelor, fereastra cu setarile regionale si de limba. Pentru a primi informatii corecte de la anumite servicii, putem alege din meniul "Location" tara in care va aflati. Prin apasarea butonului "Customize" ni se vor prezenta setarile pentru: numere (gruparea cifrelor, sistemul de masura, semnul de numar negativ, etc), moneda (simbolul monedei, gruparea cifrelor, etc), ora (formatul orei, separatorul) si data (formatul prescurtat al datei, separatorul). Pentru a ne intoarce apoi in fereastra anterioara apasam OK (salvand astfel modificarile facute in fereastra) sau Cancel (lasand valorile asa cum erau setate initial).
Apasand butonul Next vom ajunge in fereastra de personalizare unde ni se cere numele si organizatia. Va urma fereastra in care trebuie introdusa cheia de inregistrare (serial key) primita la achizitionarea Windows-ului.
12
Daca acesta a fost tastat corect, la apasarea butonului Next, va aparea o fereastra in care se cer numele calculatorului si parola de administrator. Nu este necesara modificarea acestor campuri, asadar daca nu le cunoasteti scopul, apasam inca o data butonul Next pentru a va seta data, ora si fusul orar.
Daca avem un modem sau o placa de retea, ulterior va aparea si o fereastra de configurare, insa nu este neaparat sa introducem toate valorile necesare acum, pentru ca aceste setari pot fi apoi accesate si din Windows.
Din nou interventia utilizatorului nu va mai fi ceruta decat dupa ce calculatorul se va restarta.
Am intrat pe ultima suta de metri in cursa pentru instalarea Windows-ului. Pentru inceput se va incerca ajustarea setarilor grafice pentru imbunatatirea elementelor vizuale. Daca sistemul intruneste cerintele hardware minime, cu siguranta vom putea vedea ferestrele aparute, confirmandu-le cu apasarea butonului OK. In continuare va fi afisat ecranul de "Bun venit in Microsoft Windows" unde in prima faza se va apasa butonul Next din dreapta jos. Daca avem un modem sau o placa de retea, se va verifica conexiunea la Internet, dar putem sari peste acest pas fara nici o problema. Acelasi lucru este valabil si pentru inregistrarea la Microsoft din urmatorul ecran care poate fi amanata prin bifarea optiunea "No, not at this time".
Daca instalam un Windows care are inclus Service Pack 2, ni se va cere sa setam modalitatea in care isi va face update Windows-ul; este indicat in general sa alegem prima optiune, pentru a evita problemele de securitate sau ferestrele care ne vor aminti ulterior sa activam totusi aceasta optiune. Ultimul pas este introducerea numelui persoanei sau persoanelor care vor utiliza Windows-ul. Completam campurile (de fapt doar primul este obligatoriu), dar cu atentie, deoarece cuvinte precum Administrator sau numele trecut deasupra campului Organizatie in pasul precedent nu mai sunt permise (instalarea nu va continua daca alegeti unul din aceste nume).
Dupa urmatorul restart vom instala driverele pentru componentele calculatorului si update-urile de securitate.
6.2 Configurarea retelei in Windows XPVom trece la configurarea retelei pentru obtinerea adresei IP automatic prin
DHCP/dinamic. Daca folosim Start Menu standard, dati click pe Start, Control Panel.
13
Schimbam Control Panel pe Classic View daca nu este deja in acest mod.
Click pe Network Connections.
Click pe Local Area Connection.
14
(Daca suntem conectati pe wireless, sau pe alt tip de conexiune, selectam aceasta conexiune)
Click pe Properties.
Selectam Internet Protocol (TCP/IP) apoi click pe Properties.
15
Daca TCP/IP nu este afisat, click pe Install, si alegeti Protocol. Click pe Add. Selectam TCP/IP. Selectam OK.
Selectam Obtain IP address automatically si Obtain DNS server address automatically.
16
Click pe OK, sau inchidem fereastra daca nu este un buton OK, pina revenim la desktop-ul normal.
In acest fel vom instala in continuare Sistemul de Operare – Microsoft Windows XP pe restul de 49 de computere.
CAP. 7 INSTALAREA UNUI SERVER PE WINDOWS 2003 DHCP
Protocolul dinamic de configurare al gazdei - Dynamic Host Configuration Protocol (DHCP) este un standard IP destinat sa reduca complexitatea admnistrarii configuratiilor de adrese IP. Un server DHCP ar fi instalat cu setarile corespunzatoare unei retele anume. Asemenea setari ar include un set de parametri fundamentali cum ar fi gateway-ul , DNS-ul , subnet mask-urile si o arie de adrese IP.
Folosind DHCP intr-o retea inseamna ca administratorii nu sunt nevoiti sa configureze aceste setari individual pentru fiecare client din retea. DHCP-ul le va distribui clientilor singur.
Serverul DHCP aloca unui client o adresa IP luata dintr-o arie predefinita pentru o anume perioada de timp. Daca o adresa IP este necesara pentru o perioada mai lunga de timp decat a fost predefinit, clientul trebuie sa ceara o prelungire inainte ca aceasta perioada predefinita sa se incheie. Daca clientul nu a cerut o prelungire pana la expirare acea adresa IP va fi considerata libera si ea va putea fi alocata altui client.
Daca utilizatorul vrea sa schimbe adresa IP ei pot face asta prin folosirea comenzii "ipconfig /renew" in Command prompt. Aceasta comanda va anula adresa IP si va cere alta noua. Rezervariel pot fi predefinite in serverul DHCP pentru a permite anumitor clienti sa aiba propriile lor adrese IP. Adresele pot fi rezervate unei adrese MAC sau unui nume de gazda pentru ca acesti clienti sa aiba o adresa IP fixa care este configurata automat. Cei mai multi furnizori de sevicii internet folosesc DHCP pentru a aloca o adresa IP noua computerelor cliente cand un client se conecteaza la internet. Asta simplifica lucrurile la nivel de utilizator.
Diagrama de deasupra arata o structura simpla constand dintr-un server DHCP si un numar de computere client intr-o retea.
17
Serverul DHCP contine el insusi o baza de date pentru IP-uri care contine toate adresele IP disponibile pentru distributie.
Daca clientul ( un membru al retelei cu un sistem de operare Windows 2000 Professional/XP de exemplu) are optiunea "obtain an IP address automatically" activata in setarile TCP/IP , atunci este capabil sa obtina adrese IP de la serverul DHCP.
7.1 Instalarea unui Server DHCP
Instalarea serverului DHCP este facuta foarte usor in Windows 2003 . Folosind wizardul "Manage your server" , este posibila introducerea detaliilor necesare lasand wizardul sa seteze optiunile de baza.
Se deschide wizardul "Manage your server” , se selecteaza optiunea DHCP server din lista scopurilor pentru server si se apasa Next. Vi se va cere sa introduceti numele si descrierea Scope-ului dumneavoastra.
Scope: Un “Scope” este o colectie de adrese IP pentru computere pe un “subnet mask” care folosesc DHCP.
Urmatoarea fereastra ne va cere sa definim o arie de adrese IP pe care Scope-ul le va distribui in retea si Subnet mask-ul adresei IP. Introducem detaliile necesare si apasam Next.
18
Ni se arata o fereastra in care trebuie sa adaugam exceptii in aria de adrese IP pe care am specificat-o in fereastra percedenta. Daca de exemplu adresa IP 10.0.0.150 apartine routerului companiei nu veti dori ca serverul DHCP sa fie capabil sa distribuie si acea adresa in retea. In acest exemplu am exclus o arie de adrese IP , 10.0.0.100 to 10.0.0.110 si o singura adresa 10.0.0.150. In acest caz 11 IP-uri vor fi rezervate si nu vor fi distribuite clientilor retelei.
19
Acum este timpul sa setam pentru cat timp poate folosi un client o adresa IP alocata lui din acest “Scope”. Este recomandata adaugarea unui timp mai mare pentru o retea fixa ( in birou de exemplu) si alocarea unui timp mai scurt pentru conexiuni la distanta sau computere laptop. In acest exemplu am setat un timp de 12 ore din cauza ca clientii retelei sunt computere desktop intr-un birou local si timpul obisnuit de lucru este de 8 ore.
Ne este data optiunea de a configura optiunile DHCP pentru “Scope” acum sau mai tarziu. Daca alegem Yes urmatoarele poze ne vor fi de ajutor. Alegand No vom putea configura aceste optiuni mai tarziu.
20
Adresele IP ale router-ului sau gateway-ului pot fi introduse in continuare. Computerele client vor sti atunci ce router sa foloseasca.
In fereastra urmatoare pot fi introduse setarile DNS si numele domeniului. Adresa IP a serverului DNS va fi distribuita de serverul DHCP si oferita clientului.
21
Daca avem instalat WINS aici trebuie sa introducem Adresa IP a serverului WINS. Putem introduce doar numele serverului in casuta corespunzatoare si sa apasam “Resolve” pentru a ii permite sa gaseasca singur adresa IP.
Ultimul pas este sa activam Scope-ul. Apasam Next cand vedem fereastra de jos. Serverul DHCP nu va functiona daca nu facem acest lucru.
22
Serverul DHCP a fost acum instalat cu setarile de baza. Urmatorul pas este pentru a il configura nevoilor structurii retelei noastre.
7.2 Configurarea unui server DHCP
Casuta “Adress pool” arata o lista cu ariile IP alocate pentru distributie si excluderile de adrese IP. Putem adauga o excludere apasand cu clic dreapta pe textul Adress pool in partea din stanga a ferestrei Mmc si selectand "new exclusion range". Asta ne va aduce in fata o fereastra ( cum se vede mai jos) care ne va permite introducerea unei arii de adrese. Introducerea numai a IP-ului de start va adauga numai o singura adresa IP.
Serverele DHCP va permit sa rezervati o adresa IP pentru un client. Asta inseamna ca acel client al retelei va avea acelasi IP pentru cat timp doriti. Pentru a face asta trebuie sa stim adresa fizica (MAC) a fiecarei placi de retea. Introducem numele rezervat , adresa IP dorita, adresa MAC si descrierea. Alegem daca vrem sa fie suportat DHCP sau BOOTP si apasam add. Noua rezervare va fi adaugata in lista. Ca un exemplu , am rezervat adresa IP 10.0.0.115 pentru un computer client numit Andrew.
23
Daca apasam clic dreapta pe Scope options si apasam "configure options" va aparea o fereastra in care putem configura mai multe servere si parametrii lor. Aceste setari vor fi distribuite de serverul DHCP impreuna cu adresele IP. Optiunile de server actioneaza ca optiuni de baza pentru toate Scope-urile din serverul DHCP. Totusi, optiunile Scope-ului sunt preferate in locul optiunilor server-ului.
CAP. 8 SECURIZAREA UNEI RETELE PAS CU PAS
IntroducerePentru a reduce riscurile de securitate în utilizarea şi administrarea sistemelor IT,
cea mai bună strategie este cea pe ansamblu (security in depth). Trebuie pornit de la lucrurile elementare: uniformitatea infrastructurii din punct de vedere al sistemelor folosite, administrarea centralizată, menţinerea la zi a sistemelor din punct de vedere al patch-urilor şi fix-urilor, aplicarea unor configurări standard de securitate pe toate serverele şi staţiile de lucru în funcţie de rolul funcţional al acestora, proceduri standard de utilizare şi administrare.
Fazele securizării. PlanuriProcesul de securizare al unei reţele parcurge de obicei 3 faze:
identificarea resurselor şi analiza riscurilor dezvoltarea şi implementarea planurilor de securitate monitorizarea proceselor în operarea de zi cu zi a reţelei.
24
Analiza riscurilor este necesară pentru a putea aloca în mod corect investiţia de timp şi resurse necesare, în funcţie de importanţa resurselor protejate.
Pe baza listei de riscuri prioritizate se realizează planurile de măsuri necesare. Acestea pot fi: proactive – pentru reducerea expunerii la riscuri (mitigation); reactive – planuri ce sunt aplicate după producerea incidentului de securitate şi
care au drept scop minimizarea efectelor (contingency).Planurile de măsuri proactive sunt implementate după o planificare de timp bine
definită. Măsurile reactive sunt declanşate odată cu producerea incidentului de securitate.
Securitatea este o preocupare continuă. Chiar şi după aplicarea planului de măsuri proactive şi atingerea nivelulului de securitate dorit al reţelei, pentru că acest nivel trebuie menţinut. Din acest motiv, trebuie făcută o reevaluare periodică a riscurilor de securitate şi modifcate planurile de securitate, dacă este nevoie. Pe tot parcursul duratei de viaţă a unei infrastructuri IT, perfomanţele acesteia trebuie monitorizate iar măsurile de securitate trebuie optimizate.
Securizare pas cu pasÎn cele ce urmează, vom discuta activităţile tipice care au loc în cadrul unui
proiect de securizare a unei infrastructuri IT. De asemenea, vom discuta care trebuie să fie rezultatele tipice ale unui astfel de proiect.
Deşi în articol vom discuta despre multe tehnici de securitate, nu trebuie să uităm că scopul final este securitatea informaţiei. Toate măsurile de securitate luate în cadrul reţelei trebuie să fie adecvate nivelului de securitate ce trebui atins pentru informaţiile procesate în cadrul sistemelor IT. Securitatea informaţiei este definită prin nivelele de confidenţialitate, integritate şi disponibilitate ce trebuie asigurate pentru informaţia din sistemul IT (triada Availability-Integrity-Confidentiality).
Toate măsurile de securitate trebuie să corespundă nivelului de securitate dorit şi valorii estimate a infomaţiei pentru organizaţia respectivă. Altfel apare fenomenul feature creep, în care implementăm tehnologie de dragul tehnologiei şi investim foarte mult în măsuri de securitate costisitoare, scăpând din vedere resursele cu adevărat importante sau neţinând cont de strategia securităţii pe ansamblu.
Analiza riscurilorPrimul pas în evaluarea riscurilor de securitate îl reprezintă identificarea
resurselor care trebuie protejate precum şi evaluarea acestora din punct de vedere al importanţei şi valorii. Metodele de identificare sunt dintre cele mai variate, pornind de la checklist-uri cu riscuri tipice şi terminând cu şedinţe de brainstorming. Pentru fiecare din resursele identificate se poate calcula simplu expunerea la risc ca fiind produsul dintre probabilitatea producerii riscului şi impactul acestuia. Impactul poate fi estimat în costuri sau conform unei scale de importanţă.
25
Expunere = Probabilitate x Impact
Exprimarea impactului în costuri (bani) este utilă atunci când planificăm măsurile de securitate proactive. Nu este eficient să investim în măsuri de securitate sume mai mari decât valoarea impactului asociat resursei repective. Aceste calcule ne ajută să luăm decizii inteligente în privinţa securizării diverselor tipuri de resurse, încercând să realizăm o balanţă între expunerea la risc şi costurile de implementare ale planurilor de securitate.
După identificarea şi prioritizarea riscurilor în funcţie de expunere, trebuie realizate planurile de securitate. Acestea conţin de obicei măsuri proactive care au drept scop reducerea expunerii la riscuri (mitigation). În unele cazuri însă nu pot fi implementate măsuri proactive sau costurile implementării unor astfel de măsuri depăşesc valoarea impactului. În acest caz, sunt realizate planuri de măsuri reactive care au drept scop reducerea impactului, odată ce riscul s-a produs.
Planuri de măsuri proactiveSecurizarea serverelor şi a staţiilor pentru a reduce suprafaţa de atac
Managementul patch-urilor de securitate pentru a elimina vulnerabilităţile cunoscute
Securizarea perimetrului reţelei Implementarea de software antivirus Monitorizarea şi auditarea sistemelor critice Aplicarea unor politici de securitate cu Group Policy şi Active Directory Crearea de politici şi proceduri de securitate pentru utilizatori şi administratori
Planuri de măsuri reactive Planul de notificare la producerea incidentelor Restaurarea datelor (back-up-ul este proactiv) Planuri de continuare a funcţionării sistemelor Recuperare în caz de dezastre
Scopul final al securizării reţelei îl reprezintă protecţia informaţiilor şi resurselor din reţea. În continuare vom examina o serie de activităţi tipice care trebuie realizate în mai toate proiectele de securizare a unei reţele bazate pe produse şi tehnologii Microsoft.
Securitatea Active DirectoryDe ce Active DirectoryActive Directory reprezintă inima reţelelor bazate pe sisteme de operare
Windows. Principalele avantaje oferite de implementarea Active Directory în reţea sunt descrise în continuare.
26
Autentificarea utilizatorilor – permite identificarea fără echivoc a fiecărui utilizator al reţelei pe bază de utilizator şi parolă unică.
Autorizarea accesului la resurse – pentru fiecare resursă din reţea pot fi configurate liste de acces care specifică explicit permisiunile pe care le au utilizatorii sau grupurile asupra resursei respective.
Administrarea centralizată a tuturor serverelor şi staţiilor de lucru din reţea. Aplicarea consistentă a unor politici de securitate în cadrul reţelei. Acesta din urmă
este în particular un avantaj foarte important în procesul de securizare al reţelei.
Proiectare. AplicareLa proiectarea Active Directory trebuie respectate câteva principii de design
pentru a putea aplica uşor măsuri de securitate: Minimizarea numărului de domenii. Acestea fiind arii de securitate distincte, un
număr cât mai mic de domenii, preferabil unul singur, permite aplicarea uşoară a politicilor de securitate
Aplicarea politicilor generice de securitate la nivelul întregului domeniu şi completarea acestora cu măsuri specifice la nivele inferioare
Pentru aplicarea politicilor de securitate se foloseşte Group Policy. Deoarece politicile se aplică la mai multe nivele (domeniu, site, organization unit, local) şi pot fi blocate sau suprascrise, trebuie realizat un plan detaliat privind utilizarea Group Policy. De un real ajutor este Group Policy Management Console care permite evaluarea rezultatului aplicării de politici multiple.
Câteva politici tipice care pot fi aplicate în cadrul unui domeniu: dezactivarea stocării parolei ca LMHash configurarea nivelului de compatibilitate LanManager pentru autentificare blocarea conturilor la introducerea greşită a parolei combinată cu impunerea de
parole cu complexitate sporită interzicerea posibilităţii de enumerare a obiectelor din Active Directory pentru
clienţii anonimiPentru o listă completă de setări de securitate care pot fi aplicate cu Group
Policy, consultaţi Windows Server 2003 Security Guide.Active Directory este o condiţie necesară pentru a putea aplica în mod sistematic
politici de securitate în cadrul reţelei şi pentru a putea reduce complexitatea administrării. Pornim de la principiul simplu că o reţea sigură este una bine proiectată, configurată şi administrată. Active Directory ne oferă aici un avantaj important.
Securizarea staţiilor WindowsToate calculatoareleAbordarea ce mai bună privind politicile de securitate aplicate în cadrul reţelei
este de a aplica un set de politici de bază la nivelul întregului domeniu, politici care să se aplice tuturor maşinilor (servere şi staţii de lucru) şi tuturor utilizatorilor.
27
Aceste politici vor fi completate diferenţiat cu alte politici suplimentare, aplicabile anumitor roluri funcţionale pe care le au serverele şi staţiile din reţea.
Această abordare simplifică modul de gestionare al politicilor şi ne asigură că avem un nivel de securitate de bază (baseline) pentru întreaga reţea.
Două lucruri sunt foarte importante atunci când dorim să asigurăm un nivel de securitate de bază pentru toate sistemele din reţea: Sistemele trebuie să fie menţinute la zi din punct de vedere al patch-urilor şi fix-
urilor de securitate. Despre acest lucru vom discuta mai tîrziu în cadrul acestui articol.
Trebuie să aplicăm un set de configurări de securitate de bază pe toate sistemele din reţea, adică să facem întărirea securităţii sistemelor (hardening). Despre acest lucru discutăm aici.
Politici pentru toate calculatoareleIată câteva setări de securitate care merită luate în considerare pentru securizarea
de bază a sistemelor şi pot fi aplicate cu un Group Policy Template la nivelul întregului domeniu Active Directory: Politici de audit Account logon & Management Directory Service Access Object Access System Events Privilegiile utilizatorilor Allow log-on locally Logon cu Terminal Services Deny log-on as a batch job Deny force shutdown from Remote system
Aplicare cu Active DirectoryCel mai simplu este să pornim de la un template cu măsuri de securitate, pe care
să-l adaptăm la cerinţele noastre şi să-l aplicăm în întreaga reţea. Putem face acest lucru cu ajutorul lui Security Configuration Manager. Acesta conţine: template-uri care definesc setările ce trebuie aplicate pentru câteva configuraţii tipice, snap-in-ul MMC Security Configuration & Analysis, utilitarul linie de comandă secedit cu ajutorul căruia se poate automatiza procesul de aplicare al politicilor.
28
Consola MMC a Security Configuration & Analysis şi template-urile predefinite penrtu politicile privitoare la parole.
Template-urile de securitate sunt fişiere text cu extensia .inf ce conţin un set predefinit de setări de securitate. Aceste setări pot fi adaptate şi aplicate asupra sistemelor din reţea. Setările de securitate disponibile includ: aplicarea de ACL-uri pe chei de Registry şi fişiere, aplicarea de politici de conturi şi parole, parametri de start la servicii, setarea de valori ale unor chei de Registry. Template-urile sunt aditive, adică se pot aplica succesiv mai multe template-uri. Ordinea de aplicare este importantă: setările din ultimul template aplicat vor suprascrie setările anterioare. Template-urile pot fi aplicate global, cu ajutorul Group Policy, sau individual, cu ajutorul Security Configuration & Analysis.
Template-urile pot fi obţinute din mai multe surse: Windows Server 2003 vine cu un set predefinit de template-uri, în Windows Server 2003 Security Guide puteţi găsi template-uri adiţionale, CIAC, SANS, NSA publică propriile recomandări şi template-uri pentru sistemele de operare Microsoft.
Security Configuration & Analysis este un snap-in MMC cu ajutorul căruia putem crea o bază de date cu setări de securitate, putem importa template-uri şi putem aplica setări suplimentare, iar apoi putem compara setările sistemului cu template-ul creat în baza de date. Comparaţia este non-distructivă, adică sunt raportate doar diferenţele între starea actuală a sistemului şi template-ul ales. De asemenea, putem aplica setările respective asupra sistemului curent.
SECEDIT este un utilitar linie de comandă cu ajutorul căruia putem automatiza operaţiile de aplicare ale template-urilor folosind script-uri.
29
Parametrii programului permit analiza, configurarea, importul, exportul, validarea sau rollback-ul setărilor de securitate aplicate sistemelor.
Aplicând template-uri de securitate asupra sistemelor obţinem un nivel de securitate de bază peste care putem clădi suplimentar.
Securizarea serverelor Windows de infrastructurăServerele de infrastructură sunt cele care asigură servicii de reţea de bază, fără de
care nu ar fi posibilă funcţionarea reţelei. Exemple de astfel de servere şi servicii sunt serverele de WINS, DNS, DHCP, Domain Controller etc.
Un bun punct de start este de a aplica acestor servere template-ul Member Server Baseline Policy din Windows Server 2003 Security Guide.
WINS, DHCP şi DNSServerele WINS realizează rezoluţia de nume NetBIOS la adrese de IP şi sunt
susceptibile la atacuri de tip Denial of Service (DoS) şi spoofing. Importanţa acestor servere a scăzut în ultima perioadă datorită reducerii numărului de clienţi downlevel. Pentru securizarea lor, trebuie să ne asigurăm că sunt aplicate patch-urile, că avem redundanţă (servere secundare) şi că lista corectă de servere WINS este pasată ca parametru la DHCP.
Serverele DHCP asignează dinamic adrese de IP maşinilor din reţea. Dacă aceste servere nu sunt disponibile perioade importante de timp, este pusă în pericol comunicaţia de TCP/IP în reţea deoarece staţiile nu mai pot închiria adrese de IP. Pentru protecţie, trebuie să ne asigurăm ca sunt la zi cu patch-urile, putem activa DHCP logging ca să vedem ce staţii închiriază adrese şi folosim regula 80/20 pentru ca să putem asigna adrese clienţilor folosind un server din subreţeaua adiacentă.
Serverele DNS fac rezoluţia de nume FQDN la adrese de IP. DNS este un serviciu critic în reţelele cu Active Directory, deoarece este folosit ca prima metodă de rezoluţie de nume. Câteva lucruri pe care le putem face pentru a asigura securitatea DNS sunt: folosirea de zone Active Directory Integrated ce asigură protecţia împotriva spoofing-ului, replicare multi-master. Configurarea serviciilor DNS pentru a permite doar Secure Dynamic Update (protecţie împotriva poisoning). Limitarea transferurilor de zonă către alte servere DNS pentru a preveni dezvăluirea informaţiilor despre serverele şi staţiile din reţea unor posibili atacatori.
Domain ControllerDomain Controllerele sunt o categorie specială de servere de infrastructură.
Acestea conţin informaţii despre conturile utilizator şi calculatoarele din reţea, politicile aplicate şi oferă servicii de autentificare pentru clienţii din reţea. Active Directory poate fi privit ca sistemul de management al securităţii în întreg domeniul.
Din acest motiv securizarea serverelor Domain Controller este critică. Acestea sunt susceptibile la atacuri de tip Denial of Service sau acces neautorizat la informaţiile de directory. Dacă un atacator reuşeşte să capete controlul asupra unui Domain Controller, atunci securitatea întregii reţele este compromisă.
30
Securitatea fizică este prima măsură ce trebuie luată. Apoi trebuie aplicate patch-urile de securitate la zi. Urmează aplicarea unor template-uri de securitate speciale pentru Domain Controllere, recomandat fiind HiSecDC.
Este recomandat ca utilizatorii din domeniu să aibă privilegii limitate asupra serverelor Domain Controller. De exemplu, doar grupul Administrators sa aibă permisiuni administrative (tabelul de mai jos). Nu se recomandă utilizarea grupului Power Users.
Tabelul 1 – Restrângerea privilegiilor utilizatorilor pentru servere Domain ControllerPrivilegii Cine le deţineAcces this computer from network Elimină EveryoneAllow log on locally Doar AdministratorsAllow log on through Terminal Services Doar AdministratorsAdd workstations to domain Doar AdministratorsChange system time Doar AdministratorsLoad and Unload device drivers Doar AdministratorsRestore files and directories Doar AdministratorsShutdown the system Doar Administrators
Putem folosi de asemenea Group Policy pentru a seta parametrii de start ai serviciilor ce rulează pe Domain Controllere şi de a dezactiva serviciile inutile. În reţele medii sau mari, nu este recomandată utilizarea serverelor Domain Controller pentru alte servicii, de exemplu de fişiere şi imprimare; recomandăm ca acestea să fie dezactivate.
Securizarea serverelor de fişiere şi imprimanteServerele de fişire şi imprimante nu diferă foarte mult de alte servere membru
din domeniu, exceptând faptul că folosesc intensiv comunicaţii SMB. O altă particularitate este că sunt accesate frecvent de un număr mare de clienţi şi performanţa poate deveni critică.
Din punct de vedere al politicilor de securitate este recomandată aplicarea template-ului pentru servere membru, completat cu politicile incrementale pentru servere de fişiere şi imprimante din Windows Server 2003 Security Guide. Acestea configurează politica de audit, permisiunile utilizatorilor şi setări adiţionale de securitate.
Serverele de imprimantă rulează în plus serviciul de spooler. Există un template separat care reflectă acest lucru. Ambele template-uri dezactivează serviciile de DFS şi FRS.
O altă practică bună este redenumirea contului local Administrator şi utilizarea de parole puternice.
31
Securizarea serverelor bastionServerele bastion sunt amplasate în zona publică a reţelei şi oferă servicii
specifice de reţea: DNS, SMTP (inbound sau relay, cu filtrare de conţinut, antivirus), FTP, servicii Web, NNTP, servere de VPN sau RRAS precum şi sisteme de intrusion detection.
Toate aceste servere necesită o securizare agresivă. Fiind situate în zona publică, nivelul de securitate trebuie să fie foarte ridicat şi nu se pot folosi mecanisme de tip Group Policy. De obicei, aceste servere nu fac parte din domeniul Active Directory. Serverele bastion nu oferă servicii de reţea cum ar fi cele de fişiere şi tipărire.
Atenţie la suprafaţa de atacReducerea suprafeţei de atac este cel mai important criteriu la serverele bastion,
serviciile de reţea oferite pe interfaţa publică fiind strict securizate.Pentru securizarea acestor servere se aplică patch-urile manual, pentru că nu ne
putem permite să implementăm un sistem automat cum ar fi Windows Update. Acesta ar putea fi exploatat prin injectarea de patch-uri false. Apoi se aplică, tot manual, template-ul de tip High-Security Member Server.
Închideţi serviciile nefolositeTrebuie dezactivate toate serviciile care nu sunt necesare. Cînd avem dubii,
atunci mai bine dezactivăm serviciul.În mod special trebuie dezactivate servicii cum ar fi:
Automatic Updates BITS - Background Intelligent Transfer Service Browser şi Server DHCP Client Performance Logs and Alerts Remote Registry TCP/IP NetBIOS Helper Windows Installer serviciile de RRAS şi Terminal Services (dacă nu sunt folosite)
Conturi şi loginDreptul de Log on Locally trebuie permis doar grupului local Administrators. De
asemenea, trebuie interzis accesul din reţea pentru Anonymous, BUILTIN\Administrators, Support, Guest sau pentru Service Accounts folosite de către anumite servicii care nu sunt parte a sistemului de operare.
O practică bună, menţionată şi anterior, este redenumirea conturilor de Administrator şi Guest şi folosirea de parole puternice.
Protocoale
32
Pe interfaţa externă trebuie dezactivate protocoalele care nu sunt necesare şi în special SMB şi NBT. Dezactivaţi clientul pentru Microsoft Networks and Printer Sharing la proprietăţile conexiunii de reţea.
Pentru securitate suplimentară se pot folosi filtre IPSec pentru a bloca tot traficul cu excepţia celui necesar pentru serviciile de reţea oferite de serverul bastion.
Securizarea Internet Information ServicesInternet Information Services 6.0 din Windows Server 2003 a fost reproiectat de
la zero pentru a creşte nivelul de securitate oferit aplicaţiilor Web. Toate funcţionalităţile au fost reproiectate pentru securitate, iar codul sursă a fost supus unei revizii atente pentru a identifica vulnerabilităţi tipice, cum ar fi buffer overflow.
Accentul a fost pus pe reducerea suprafeţei de atac. Serviciile Web sunt oprite implicit la majoritatea versiunilor de Windows Server 2003 (cu excepţia Web Edition). Serviciile Web pot fi dezactivate cu ajutorul politicilor. În momentul în care IIS este activat, deserveşte doar pagini statice HTML. Pentru a instala aplicaţii Web, trebuie pornite serviciile corespunzătoare: WebDAV, ASP sau ASP.NET, FrontPage Server Extensions, activarea execuţiei de conţinut dinamic, Internet Data Connector etc.
Nucleul HTTP.SYSPermisiunile de execuţie ale aplicaţiilor au fost reduse. HTTP.SYS rulează cu
privilegiile LocalSystem iar procesele aplicaţiilor rulează cu privilegiile NetworkService. Aplicaţiile sunt sandboxed; nici una din cererile HTTP nu poate apela aplicaţii linie de comandă, utilizatorii anonymous nu pot avea acces Write, iar utilizatorii FTP sunt limitaţi la directorul lor de Home.
HTTP.SYS are o componentă de kernel care face procesarea cererilor şi o componentă user care controlează cererile. Prin izolarea parser-ului de handler se obţine un nivel de securitate mai bun. Funcţionalităţile de tip URLScan au fost înglobate în IIS pentru analiza tuturor cererilor înainte de a fi procesate. Astfel sunt identificate cererile malformate, acestea fiind ignorate din start, neajungând sa fie procesate.
Ca o paranteză, site-ul Microsoft.com nu foloseşte un firewall, ci serverele Windows 2003 sunt conectate direct la Internet şi se foloseşte URLScan pentru a arunca cererile malformate. O statistică arată ca acest gen de cereri constau în 25% din trafic, acestea neajungînd însă să fie procesate, optimizând astfel funcţionarea serverelor.
Application poolsInternet Information Services 6.0 introduce conceptul de Application Pools
pentru izolarea proceselor pe aplicaţii Web diferite găzduite cu acelaşi server.
33
Permisiunile pentru site-uri de Web şi setările pentru Application Pools
Application Pools izolează procesele sub care sunt rulate aplicaţiile Web, permiţând configurarea procentului de CPU utilizat de procese. Pentru a optimiza funcţionarea proceselor pentru aplicaţiile Web, sunt incluse facilităţi cum ar fi restartarea proceselor: după perioadă de timp, după un număr de cereri sau la intervale definite. De asemenea, se poate configura memoria maxim ocupată de aceste procese (figura de mai sus). Aceste setări sunt disponibile pentru fiecare Application Pool în parte.
Autentificare şi autorizareAsigurarea securităţii accesului la o resursă implică două aspecte: autentificare
pentru identificarea fără echivoc a persoanei care accesează resursa şi autorizare, adică verificarea permisiunilor de acces (folosind ACL-uri, Access Control Lists). Aceste două operaţii au loc înainte de a fi permis accesul la resursa în cauză.
AutentificareMetodele de autentificare a accesului folosite de IIS 6.0 includ: Anonymous,
Basic, Digest, Passport şi Windows (integrată cu Kerberos versiunea 5).
34
Metodele de autentificare pentru site-urile Web găzduite cu IIS 6.0
Accesul Anonymous este şi el o formă de autentificare pentru că, deşi identitatea persoanei care face accesul este generică, totuşi permisiunile de acces la resurse sunt ale unui cont special creat în acest scop: IUSR_numeserver.
AutorizareInternet Information Services foloseşte 2 tipuri de permisiuni de acces: Web şi
NTFS pentru a controla accesul la conţinutul site-urilor de Web. Permisiunile Web restricţionează accesul la un întreg site şi sunt configurate la proprietăţile site-ului, caseta permisiuni de execuţie cu opţiunile: None, Scripts only, Scripts and executables. Mai sunt disponibile setările: Script source access, Read, Write, Directory Browsing, Log visits, Index this resource.
Permisiunile NTFS sunt configurate pe directoarele şi fişierele care intră în componenţa fiecărui site, asigurând un nivel suplimentar de securitate. Astfel pot fi evitate atacurile transversale asupra site-urilor sau atacuri folosind componente cunoscute, aflate în locaţii predefinite. O bună practică este aplicarea permisiunii Deny Write pentru toate grupurile care nu ar trebui să aibă acces (inclusiv anonymous) şi eliminarea permisiunii de Execute pe fişierele care nu sunt executabile.
Factorul uman din nouToate măsurile de securitate descrise mai sus pot fi însă negate de implementări
proaste sau de aplicaţii Web care nu folosesc facilităţile de securitate descrise mai sus,
35
sau necesită dezactivarea lor pentru a putea funcţiona. Aceste aplicaţii sunt de obicei realizate cu ignorarea practicilor de codare pentru aplicaţii sigure.
Pentru dezvoltarea aplicaţiilor securizate de tip Web (ASP.NET) şi nu numai, este recomandată cartea Writing Secure Code apărută la Microsoft Press.
Şi bineînţeles, dezvoltatorii de aplicaţii Web ar trebui să utilizeze sistemul de securitate oferit de IIS 6.0 pentru autentificare şi autorizarea accesului la componentele aplicaţiilor. Folosind acest model de securitate, IIS face autentificarea şi pasează un token de securitate la subsistemul ASP.NET unde se poate face verificarea accesului.
Asigurarea perimetrului cu maşini firewallUn caz particular de server bastion îl reprezintă firewall-urile. Acestea oferă
securizarea traficului de reţea dinspre şi înspre reţeaua internă a companiei.
Funcţii Internet Security and Acceleration ServerToate setările prezentate mai sus pentru servere bastion se aplică şi la instalarea
de bază a sistemului de operare pentru firewall. Microsoft ISA Server oferă însă o serie de funcţionalităţi suplimentare: Filtrare la nivel de packet, circuit şi aplicaţie. ISA Server posedă filtre pentru
protocoalele de aplicaţie standard Filtrarea pachetelor cu păstrarea stării conexiunii (stateful inspection) Suportul integrat pentru Virtual Private Network (VPN). Configurarea
conexiunilor cu ajutorul asistenţilor wizard (mod transport sau tunel) Mecanisme de intrusion detection integrate pentru scenarii tipice Filtre de aplicaţie inteligente Transparent pentru clienţii de reţea atunci când se foloseşte NAT Autentificarea clienţilor folosind toate metodele suportate şi de IIS Publicare securizată a serverelor Securizarea traficului cu Secure Sockets Layer (SSL), permiţând eliberarea
serverelor de Web publicate de încărcarea cauzată de conexiunile SSL
Mai mult...ISA Server Feature Pack 1, care se poate descărca gratuit de pe site-ul Microsoft
şi instala peste ISA Server 2000, conţine în plus: Filtru avansat de SMTP Filtru pentru Exchange RPC (RPC encryption şi Outbound RPC) URLScan 2.5 pentru ISA Server Autentificare cu RSA SecurID Delegare pentru autentificarea basic Wizard pentru publicarea Outlook Web Access Wizard de configurare a filtrelor RPC
36
Scenarii de utilizarePutem folosi un firewall în mai multe roluri:
Firewall simplu de perimetru pentru protecţia reţelei interne Controlul accesului utilizatorilor către Internet Server de VPN - atît client la reţea pentru accesul utilizatorilor la distanţă cât şi
reţea la reţea pentru conectarea altor reţele la distanţă Securizarea perimetrului reţelei cu zonă demilitarizată (DMZ) Accelerator SSL pentru site-urile de web publicate (de exemplu Outlook Web
Access) Proxy/cache în configuraţie forward sau reverse
Serverele de acces la distanţă RRASServerele de Routing & Remote Access (RRAS) asigură accesul la reţea pentru
utilizatorii de la distanţă, pot oferi servicii de tip VPN precum şi alte tipuri de servicii de securitate.
Funcţii şi protocoaleRRAS combină serviciile de routare IP şi de dial-up/VPN. Pe partea de routare,
RRAS suportă static, RIP v1 şi v2, OSPF, asignarea dinamică a adreselor de IP la clienţi VPN, conexiuni demand-dial către locaţii la distanţă. Ca server de VPN sunt oferite protocoalele PPTP – suportat doar de clienţii Windows şi folosit pentru compatibilitate cu sistemele de operare mai vechi - şi L2TP cu IPSec care este standardul de facto pentru VPN pe Internet.
RRAS poate funcţiona ca şi client RADIUS în conjuncţie cu un server RADIUS pentru autentificarea accesului clienţilor la distanţă. Implementarea de server RADIUS din Windows Server 2003 poartă numele de Internet Authentication Services (IAS), poate folosi Active Directory pentru autentificarea utilizatorilor şi suportă EAP (Extensible Authentication Protocol) şi politici de acces.
Metodele de autentificare folosite includ: PAP – trimite credenţialele în cleartext şi nu este recomandat a fi folosit. CHAP – foloseşte MD5 pentru a genera un hash. Necesită stocarea parolei cu
criptare reversibilă. Nu este recomandat. MS-CHAP – este o implementare proprietară Microsoft şi are slăbiciuni cunoscute
ale protocolului. Nu este recomandat. MS-CHAP v2 – versiune îmbunătăţită de MS-CHAP, foarte utilizat de sistemele
Windows şi cu suport criptografic mai bun decât protocoalele anterioare. Este recomandată atunci când nu poate fi folosit EAP-TLS. Este suportat de clienţii care rulează sistem de operare Windows 98 Second Edition sau mai nou.
EAP – Extensible Authentication Protocol este, aşa cum îi spune şi numele, extensibil. Suportă mai multe tipuri de autentificare:
37
o EAP-MD5 de tip challenge-response. Nu este foarte puternic.o EAP-TLS. Este bazat pe certificate, necesită apartenenţa la domeniu a staţiei
şi serverului şi este proiectat pentru a folosi smartcard-uri pentru stocarea certificatelor.
o EAP-RADIUS este modul de lucru proxy, în care celelalte tipuri de autentificare EAP sunt redirectate către un server RADIUS.
PEAP este o metodă de autentificare ce protejează negocierea de tip EAP, încriptând conţinutul cu TLS. Este cel mai frecvent folosită în reţelele wireless 802.11. PEAP poate fi folosit în conjuncţie cu EAP-MS-CHAP-v2, care adaugă autentificare mutuală. Sau EAP-TLS, care este cea mai puternică şi necesită o infrastructură de chei publice PKI.
Metodele de autentificare folosite pot fi configurate la proprietăţile serverului RRAS în consola MMC de administrare.
Metodele de autentificare suportate de RRAS - fereastră accesibilă din Microsoft Management Console (MMC)
SecurizarePentru a securiza serverele de RRAS trebuie urmaţi trei paşi: hardening la server,
hardening la protocoale şi utilizarea politicilor de remote access.
HardeningPentru hardening-ul serverului se recomandă aplicarea unui template de
securitate. Poate fi cel pentru servere standalone (folosită şi la bastion, atenţie însă la aplicarea patch-urilor, acestea trebuie instalate manual) sau cel pentru Enterprise
38
Member Server (din Windows Server 2003 Security Guide). Redenumiţi conturile locale de Administrator şi Guest şi folosiţi parole puternice.
Pentru hardening-ul protocoalelor se recomandă utilizarea doar a acelor protocoale care oferă un nivel bun de securitate. De exemplu, pentru VPN se recomandă utilizarea EAP-TLS pentru autentificare şi L2TP cu IPSec pentru securizarea comunicaţiei.
Politici de accesPoliticile de acces oferă controlul centralizat al accesului pentru serviciile de
RRAS chiar şi atunci cînd se folosesc servere multiple. Astfel se pot controla metodele de autentificare folosite, nivelele de criptare, perioadele de acces sau alte atribute specifice diverselor tipuri de clienţi.
Politicile de RRAS conţin următoarele elemente: condiţia care este verificată la aplicarea politicii permisiunea (Alow sau Deny) profilul utilizatorului (constrîngeri de timp, setări de IP, setări de multilink, cerinţe
specifice de autentificare şi încriptare care trebuie respectate, cu condiţia să fie configurate pe serverul la care se conectează).
CarantinăServiciile de RRAS din Windows Server 2003 oferă şi facilitatea de carantină
prin care se verifică îndeplinirea anumitor cerinţe de securitate pe staţia client, înainte de a i se permite accesul în reţea. Procesul se desfăşoară astfel:1. Clientul se conectează la serverul de RRAS folosind o conexiune dial-up sau VPN2. Clientul se autentifică folosind una din metodele de autentificare descrise mai sus
şi care este suportată atât de client cât şi de serverul de RRAS, în ordine începând cu cea mai puternică.
3. Clientul obţine acces limitat la reţea4. Pe client este rulat un script de carantină ce poate conţine diverse verificări (de
exemplu, că antivirusul este instalat şi pornit pe staţie şi are lista cea mai recentă de semnături).
5. Dacă script-ul se termină cu succes, clientul primeşte acces complet la reţea6. Dacă scriptul eşuează, conexiunea poate fi întreruptă sau clientul capătă acces
restricţionat (de exemplu, la un site de unde să instaleze antivirusul).Pentru a putea folosi această facilitate, serverul trebuie să ruleze Windows Server
2003 şi serviciile de RRAS precum şi un listener care recepţionează mesajele transmise de scriptul care rulează pe client (de exemplu, rqs.exe din Resource Kit sau poate fi unul adaptat). Clientul trebuie să ruleze Windows 98 Second Edition sau mai nou şi să aibă instalat Connection Manager configurat cu ajutorul Connection Manager Admin Kit (CMAK) pentru a rula script-ul de verificare de politică.
Securizarea serverelor Exchange
39
Exchange Server 2000 şi Exchange Server 2003 includ o serie de facilităţi ce permit securizarea mesajelor de e-mail.
Vom începe cu prezentarea facilităţilor comune de securitate specificând acolo unde facilităţile de securitate sunt prezente doar la Exchange 2003.
Roluri Exchange Server. SecurizareExchange Server poate avea mai multe roluri în cadrul unei reţele:
Server unic – care are toate rolurile: server de mailbox-uri, public foldere, bridgehead etc.
Front-end, Back-end – această configuraţie permite separarea serverelor care găzduiesc mailbox-urile şi public folderele (back-end) de serverele de protocoale care acceptă conexiunile clienţilor (front-end) pentru a obţine scalabilitate şi un nivel sporit de securitate.
Bridgehead – este serverul care deţine conectorii de mesagerie către exteriorul reţelei şi permite filtrarea mesajelor care circulă în şi dinspre exterior. Aici putem instala soluţii de antivirus, antispam, content screening, security screning.
Public folder server – găzduieşte folderele publice la care au acces mai mulţi utilizatori din reţea. Poate fi folosit la realizarea de soluţii de management de documente şi flux de lucru.
Application hosting – servere pe care rulează aplicaţii specializate pentru Exchange.
La fel ca şi la alte servere, securitatea Exchange depinde de securitatea sistemului de operare pe care rulează Exchange unde vom aplica măsuri de securitate asemănătoare cu cele descrise până acum. Există template-uri de securitate specifice pentru serverele care rulează Exchange ce permit execuţia pentru serviciile componente.
Exchange depinde foarte mult de infrastructura de DNS şi infrastructura Active Directory pentru a putea funcţiona corect, acestea fiind cerinţe preliminare la instalare şi trebuie să fie bine securizate.
Ca măsuri elementare de securitate, serverele Exchange nu trebuie să pemită relay-ul de e-mail decât de la anumite adrese bine cunoscute sau de la clienţii interni. Trebuie dezactivată opţiunea SMTP AUTH care este predispusă la atacuri brute force.
Serverele bridgehead (cele care găzduiesc conectorii către exterior) sunt locaţia cea mai potrivită pentru instalarea de soluţii de antivirus şi antispam pentru a evita pătrunderea conţinutului potenţial periculos sau deranjant în sistemul de mesagerie intern. Deoarece soluţiile de tip antivirus sunt mai bine cunoscute, vom insista asupra soluţiilor de limitare a spam-ului. Un astfel de sistem conţine o serie de filtre care analizează mesajele după diverse metode cum ar fi verificarea sursei mesajului, analiza headerului, analiză după cuvinte cheie, analiză euristică, filtrare cu algoritm bayesian, sau filtre colaborative care comunică cu un server pentru a identifica mesajele raportate drept spam. Microsoft va lansa pe piaţă în 2004 sistemul Intelligent Message Filter care va folosi tehnologia SmartScreen dezvoltată de Microsoft
40
Research (şi care e folosită şi în Outlook 2003). Intelligent Message Filter va putea fi folosit în conjuncţie cu Exchange Server 2003.
Securizarea serverului conform roluluiSecurizarea serverelor de mesagerie depinde de scenariul de instalare, după cum
este detaliat mai jos.
Un singur server Exchange în spatele firewall-uluiEste scenariul cel mai simplu şi mai uşor de securizat. Se publică serverul
Exchange cu ajutorul facilităţii de Reverse Proxy (publicare) din ISA Server. Nu este în general recomandată conectarea serverului Exchange direct la Internet. ISA Server 2000 asigură o securitate foarte bună cu ajutorul filtrelor de SMTP. De exemplu, ataşamentele executabile pot fi eliminate direct de pe firewall. De asemenea, pot fi eliminate atacurile de tip Denial-of-Service sau buffer overflow.
Scenariul cu DMZ , Front-end în zona demilitarizată, Back-end în interiorul reţelei
În această configuraţie trebuie securizate foarte bine serverele Front-end cu măsurile folosite la serverele bastion şi serverele de Web. Este în continuare recomandată publicarea acestora cu ajutorul lui ISA Server. Problema cea mai mare este însă securizarea traficului între serverele Front-End şi Back-end. Răspunsul simplu este: folosim IPSec (SSL nu este suportat pentru comunicaţie Frontend-Backend). Totuşi, problema este ceva mai complicată pentru că traficul de comunicaţie traversează un firewall. Se poate face autentificarea şi încriptarea comunicaţiei folosind IPSec. Trebuie însă permise mai multe categorii de trafic: RPC, LDAP etc. Pentru mai multe detalii consultaţi articolul KB 280132 – Exchange 2000 connectivity through firewalls. Este o configuraţie dificil de securizat şi folosită în scenarii de hosting, unde clienţii sunt externi.
Front-End şi Back-end în interiorul reţeleiEste de fapt similar cu primul scenariu, doar că sunt folosite mai multe servere
Exchange, toate instalate în reţeaua internă. Accesul clienţilor se face foarte simplu din interiorul reţelei. Pentru clienţii care accesează serverul din exterior se pune problema securizării comunicaţiei, aceasta putând fi rezolvată în mai multe moduri: pentru clienţii MAPI se foloseşte RPC-over-HTTP, pentru ceilalţi clienţi metoda preferată este SSL. Vom discuta scenariile de acces ale clienţilor în continuare.
Securizarea clienţilorRPC-over-HTTPExchange 2003 oferă facilitatea RPC-over-HTTP care poate fi folosită în
conjuncţie cu clienţii MAPI de tip Outlook 2003 şi permite accesul securizat din exteriorul reţelei peste firewall încapsulând comunicaţia RPC în protocolul HTTP. Astfel, aceşti clienţi nu mai sunt nevoiţi să se conecteze pe VPN şi lucrează ca şi cum ar fi conectaţi local. Cerinţele software sunt Exchange 2003 instalat pe Windows
41
Server 2003 pentru partea de server şi Outlook 2003 pe Windows XP SP1 (plus hotfix) pe partea de client.
Nu trebuie să ne bazăm pe criptarea slabă (mai degrabă obfuscation) oferită de RPC, ci este recomandat să securizăm conexiunea folosind SSL.
Configurarea RPC-over-HTTP - Exchange Server
Pentru clienţii care folosesc POP3 sau IMAP se recomandă de asemenea securizarea comunicaţiei folosind SSL.
Outlook Web AccessUtilizatorii pot folosi Outlook Web Access pentru a accesa mailbox-urile, public
folderele, Address Book etc folosind un simplu browser de Web. La Exchange 2003, OWA oferă funcţionalităţi foarte apropiate în browser de web de cele oferite de clientul Outlook 2003. Pentru securizarea OWA trebuie să discutăm criptarea traficului, unde se foloseşte SSL şi metodele de autentificare.
Putem publica OWA prin intermediul ISA Server 2003. Cu Feature Pack 1 instalat, există chiar şi un wizard de publicare a serviciilor OWA. Se foloseşte obligatoriu SSL pentru criptarea conexiunii între client şi ISA Server, acesta preluând sarcina de SSL accelerator şi eliberînd serverul Exchange de munca de procesare.
Ca metode de autentificare putem folosi oricare din metodele suportate de browser (basic, digest, NTLM etc). Deoarece folosim SSL, nu trebuie să ne punem problema securităţii autentificării folosind metoda basic, unde credenţialele sunt transmise în clar. Putem folosi astfel chiar şi browsere mai vechi. Pot apărea însă
42
probleme deoarece browserul stochează credenţialele pe durata sesiunii şi acestea pot fi refolosite dacă uităm să închidem browserul (replay attack).
Este recomandat, dacă avem Exchange 2003, să folosim Form Based Authentication (FBA). În acest mod de autentificare, utilizatorului îi este prezentat un formular, credenţialele sunt trimise o singură dată spre server (conexiunea e încriptată cu SSL). Pentru restul sesiunii, clientul primeşte un cookie, care este inutilizabil pentru atacuri replay deoarece este valabil doar pe sesiunea curentă. Putem obţine astfel acelaşi nivel de securitate, indiferent de browserul folosit (trebuie totuşi să suporte cookies şi SSL).
S/MIMEAdică securizarea mesajelor de e-mail, semnături digitale şi criptarea mesajelor
folosind certificate digitale X.509 v3Pentru o securitate foarte bună se poate folosi semnarea digitală a e-mail-urilor
pentru a garanta autenticitatea şi integritatea acestora şi se pot cripta ataşamentele folosind S/MIME.
Pentru semnătura digitală se generează un hash al mesajului iar acesta se încriptează folosind cheia privată a transmiţătorului. Rezultatul împreună cu cheia publică se ataşează la e-mail. Un receptor poate folosi cheia publică a transmiţătorului pentru a verifica faptul că acesta nu a fost modificat şi este autentic.
Pentru criptarea cu S/MIME se foloseşte o cheie simetrică. Această cheie este apoi criptată cu cheia publică a destinatarului şi ataşată la mesaj. Destinatarul va folosi cheia sa privată pentru a extrage cheia simetrică şi a decripta mesajul.
Cum obţinem certificatele digitale? Putem folosi certificate obţinute de la o autoritate de certificare recunoscută internaţional atunci cînd dorim să comunicăm securizat cu persoane din exteriorul companiei, sau putem instala un server de certificate local (Windows 2000 Server sau Windows Server 2003) pentru a utiliza certificate doar în cadrul organizaţiei.
Clienţii de e-mail care suportă securizarea mesajelor cu S/MIME sunt: Outlook 98, Outlook 2000, Outlook XP, Outlook 2003, Outlook 8.1 for Macintosh, Outlook Express şi Netscape Mail.
Utilizarea IPSec pentru securizarea comunicaţieiIPSec este o extensie la TCP/IP care permite securizarea comunicaţiei la nivelul
transport, în mod transparent faţă de aplicaţii. IPSec furnizează autentificare şi/sau criptare.
ArhitecturăIPSec este compus dintr-un set de protocoale pentru autentificarea pachetelor
(AH), criptarea şi/sau autentificarea pachetelor (ESP) şi mecanisme pentru stabilirea parametrilor conexiunilor (SA-Security Associations) folosind IKE.
43
IPSec foloseşte un algoritm pentru schimbarea cheilor între părţi, numit Internet Key Exchange (IKE), care permite calculatoarelor să negocieze o cheie de sesiune în mod securizat, folosind protocoalele ISAKMP pentru crearea de Security Associations şi OAKLEY bazat pe algoritmul Diffie-Hellman pentru schimbarea cheilor între cele două părţi. IKE se poate folosi în conjuncţie cu Kerberos, certificate X.509v3 sau chei preshared.
Authentication Header (AH) este ataşat fiecărei datagrame şi conţine semnătura sub formă de hash HMAC cu MD5 sau HMAC cu SHA-1.
Encapsulated Security Payload (ESP) criptează conţinutul pachetelor în două moduri: transport (protejează doar conţinutul pachetului, nu şi header-ul) sau tunel (întreg pachetul este criptat). ESP foloseşte de asemenea hash-uri HMAC cu MD5 sau HMAC cu SHA-1 pentru autentificare şi DES-CBC pentru criptare.
Pentru a securiza comunicaţia în reţea cu IPSec între calculatoarele Windows folosim o colecţie de reguli, politici şi filtre pentru a permite în mod selectiv doar comunicaţia pentru anumite protocoale.
Politicile de IPSec pot fi create şi aplicate cu Group Policy pentru calculatoarele din domeniu. Pentru calculatoare care nu sunt în domeniu, de exemplu serverele bastion, politicile pot fi aplicate cu script-uri linie de comandă.
Regulile de bază pentru securizarea traficului cu IPSec Crearea unei hărţi a traficului în reţea ce include traficul care trebuie permis sau
blocat, punctele sursă destinaţie şi informaţiile despre protocoalele folosite. Se crează filtre care corespund traficului de reţea identificat anterior
Câteva recomandări Windows Server 2003 include un filtru generic block all, care face exact ce îi
spune numele. Într-o reţea uzuală trebuie însă să permitem cel puţin traficul de Kerberos, LDAP şi DNS. Plus eventual alte protocoale: DHCP, WINS, RPC, HTTP etc.
Fiţi pregătiţi pentru nefuncţionarea comunicaţiei în reţea după aplicarea filtrelor IPSec. De obicei, într-o reţea sunt foarte multe protocoale şi porturi care trebuie securizate.
IPSec nu face diferenţa între traficul generat de aplicaţii diferite, dacă acestea folosesc acelaşi port.
Folosiţi IPSec pentru a securiza traficul care parcurge reţele publice, sau segmente cu potenţial de interceptare a comunicaţiei. Nu este în general util a securiza întreg traficul în interiorul întregii reţele a companiei, decât pentru reţele cu grad mare de securitate.
44
Securizarea staţiilor de lucruSecurizarea staţiilor de lucru trebuie să se bazeze pe o analiză detaliată a
riscurilor, deoarece trebuie să avem o imagine completă a resurselor pe care le accesează utilizatorii, a informaţiilor care sunt stocate fie şi temporar pe staţiile de lucru şi al gradului de confidenţialitate al acestora, a aplicaţiilor folosite de utilizatori şi a mediului de lucru în care sunt utilizate calculatoarele (gradul de securitate fizică).
AbordareOricâte investiţii de securitate s-ar face în celelalte domenii (servere, perimetru,
autentificare, securizarea comunicaţiei etc) acestea pot fi cu uşurinţă negate de o securitate slabă pentru staţiile de lucru. Să nu uităm că la staţiile de lucru se află utilizatorii şi nu trebuie să trecem cu vederea utilizatorii potenţial rău intenţionaţi. Conform studiilor, majoritatea acceselor neautorizate la informaţii au loc din interior. Din acest punct de vedere, securizarea staţiilor de lucru reprezintă prima barieră împotriva atacurilor.
Abordarea cea mai bună pentru securizarea staţiilor de lucru este una bazată pe analiza riscurilor, pe scurt “Threat Modeling”. Pentru asta trebuie să ne întrebăm două lucruri: Mai întâi trebuie să examinăm care sunt ameninţările posibile. Acestea pot consta
în infecţia cu viruşi/viermi/troieni, angajaţi rău intenţionaţi, scurgeri de informaţii, pierderi de date din cauza defecţiunilor hardware sau software sau erorilor umane etc. O bună sursă de informaţii este ghidul Threats and Countermeasures, în care sunt detaliate posibile ameninţări de securitate şi contramăsurile adecvate pentru minimizarea sau îndepărtarea lor.
A doua perspectivă este oferită de mediul de lucru existent şi inventarierea resurselor care trebuie protejate. Trebuie luate în considerare structura reţelei, securitatea fizică, procedurile operaţionale precum şi numărul de staţii de lucru, sistemele de operare şi aplicaţiile folosite, categoriile de utilizatori, informaţiile care sunt accesate de pe staţii, informaţiile care sunt stocate (fie şi temporar) pe acestea.
Planuri. Setări de securitate. AplicareDupă ce am identificat ameninţările de securitate la care ne expunem şi resursele
pe care dorim să le protejăm, vom crea planuri de măsuri de securitate pentru staţiile de lucru. Este bine să avem un set de măsuri de securitate uniforme care să fie aplicate tuturor staţiilor de lucru pentru a asigura un nivel de securitate de bază şi de asemenea să aplicăm măsuri de securitate suplimentare acolo unde este nevoie. Pentru aceasta, de un real ajutor sunt Active Directory şi Group Policy. De fapt, aproape toate setările de securitate ce se pot aplica pe staţiile de lucru, pot fi aplicate cu Group Policy, după cum vom vedea în continuare. Din acest motiv, este necesar un design bun al infrastructurii de Active Directory, atât din punct de vedere fizic cât şi logic, pentru a putea aplica cu uşurinţă Group Policy.
45
Setările ce pot fi aplicate cu ajutorul Group Policy sunt descrise în detaliu în Windows XP Security Guide. În continuare vom discuta câteva dintre acestea, fără a avea pretenţia de a le acoperi pe toate. Putem împărţi setările în următoarele categorii: Accounts – politica de parole să nu permită parole vide, atât pentru conturile de
domeniu cât şi pentru cele locale, redenumirea conturilor Administrator şi Guest. Devices – permisiunea de undock fără a face logon (pentru laptop-uri),
permisiunile de format şi eject la mediile removable, restricţia instalării şi configurării de drivere de imprimantă, restricţionarea accesului la CD sau floppy pentru utilizatorii logaţi local, restricţionarea instalării de drivere nesemnate digital.
Interactive logon – neafişarea ultimului utilizator logat, solicitarea secvenţei Ctrl-Alt-Del, banner-ul de log-on, numărul de credenţiale stocate local (permite logon fără a fi conectat în reţea – necesar pentru laptop-uri), atenţionare înainte de expirarea parolei, autentificare în domeniu la deblocarea staţiei, comportamentul la extragerea smartcard-ului (recomandat blocarea staţiei).
Microsoft network client – semnarea digitală a mesajelor (SMB Signing, if server agrees), dezactivarea transmiterii parolei în clar către servere SMB third party.
Microsoft network server - semnarea digitală a mesajelor (SMB Signing, always) ceea ce va preveni utilizarea clienţilor mai vechi de Windows 2000 pe post de servere de fişiere, deconectarea clienţilor la expirarea orelor de logon.
Network access – restricţionarea enumerării Anonymous pentru conturile SAM şi enumerarea share-urilor, restricţionarea stocării locale a credenţialelor, restricţionarea accesului Anonymous la Named Pipes.
Network security – restricţionarea stocării hash-urilor LANManager pentru parole, forţare logoff la expirarea orelor de logon, nivelul de autentificare LANManager (preferat NTLMv2).
Recovery console – restricţionarea accesului administrativ la boot în Recovery Console.
Applications and services – setările de securitate pentru zonele Internet Explorer, dezactivarea Desktop Sharing la NetMeeting şi a Remote Assistance, restricţionarea planificării de task-uri, restricţionarea redirectării discurilor şi încriptarea comunicaţiei la Terminal Services, restricţionarea Windows Update sau redirectarea către un server local SUS, restricţionarea Windows Messenger, folosirea Software Restriction Policy pentru a permite rularea doar a anumitor aplicaţii, dezactivarea serviciilor care nu sunt folosite: Alerter, ClipBook, FTP, IISAdmin, Messenger, Telnet, W3SVC, BITS, Fax service, NetDDE, Remote Registry.
La acestea se adaugă permisiunile NTFS (remove Everyone), restricţionarea accesului la mediile de stocare detaşabile (dischete, memorii USB, CD-ROM), restricţiile de transfer prin e-mail şi criptarea cu EFS.
Recomandare
46
Dacă mai este nevoie să spunem, sistemul de operare recomandat este Windows XP sau în cel mai rău caz Windows 2000 cu ultimele Service Pack-uri şi fix-uri precum şi cu un template de măsuri de securitate de bază aplicat de la instalare.
Nu se poate asigura un nivel de securitate de bază folosind sisteme de operare mai vechi cum ar fi Windows 95, 98 sau Me. Aceste sisteme nu folosesc Group Policy şi nu posedă măsuri de securitate de bază, cum ar fi securitatea accesului la logon. Iar permisiunile de acces la resurse pot fi configurate la un nivel rudimentar (share level versus user level). Aceste sisteme de operare au fost gândite pentru utilizare acasă şi nu fac faţă cerinţelor de securitate impuse pentru mediul de reţea al unei companii.
Securizarea suitei Microsoft OfficeMicrosoft Office a fost în mod tradiţional ţinta atacurilor cu viruşi, viermi, cai
troieni datorită setului bogat de funcţionalităţi ale suitei care puteau fi exploatate: folosirea de cod macro, automatizarea transmiterii de e-mail-uri, rularea de componente ActiveX etc. În versiunile noi ale suitei, Office XP şi Office 2003, au fost introduse un set de măsuri de securitate care practic înlătură aceste probleme.
Mai există însă o componentă care nu poate fi neglijată şi anume utilizatorii. În ultima perioadă autorii de viruşi se bazează mai mult pe social engineering pentru a convinge utilizatorii să ruleze executabilele ataşate la e-mail-uri.
Iată câteva dintre setările disponibile: Securitatea codului macro
Opţiunea implicită este High, care nu permite decât rularea codului macro semnat care a fost declarat în lista de surse de încredere. Setarea Medium permite utilizatorului să aleagă dacă va rula codul macro. Low nu este recomandată. Office 2003 introduce o setare suplimentară: Very High Security. Semnături digitale
Pentru verificarea autenticităţii şi integrităţii documentelor, acestea pot fi semnate digital folosind certificate X.509 v3. Semnăturile sunt stocate în document, aşa că orice recipient poate verifica autenticitatea şi integritatea acestuia. Implicit la Office 2003 este activă şi setarea de verificare a revocării certificatului.
47
Protecţia documentelor cu parolă şi semnături digitale
Surse de încredereO listă de certificate ale unor producători consideraţi de încredere. Lista poate fi
controlată centralizat cu Group Policy. Controale ActiveX
Opţiuni pentru configurarea execuţiei controalelor. Protecţia cu parole şi criptarea documentelor
Documentele pot fi protejate la deschidere folosind parole şi criptate folosind diverşi algoritmi.
48
Protecţia cu parole şi criptarea documentelor. Tipuri de criptare disponibile
Opţiuni de confidenţialitateOffice permite eliminarea informaţiilor personale la salvarea documentului
pentru a nu permite identificarea autorului. Information Rights Management (IRM)
Este un sistem nou introdus în Office 2003 ce permite protecţia la partajarea accidentală de informaţii prin limitarea acţiunilor pe care recipienţii le pot face asupra documentului. Se pot configura permisiuni care restricţionează accesul la citire, tipărire, copierea conţinutului sau se poate configura expirarea documentului după o anumită perioadă. Pentru a putea folosi acest sistem este necesar ca serviciile IRM să fie instalate pe un Windows Server 2003 din reţea.
Controlul permisiunilor pentru Information Rights Management (IRM)
49
Managementul patch-urilorPentru a elimina riscurile de securitate datorate vulnerabilităţilor cunoscute, va
trebui să aplicăm patch-uri şi fix-uri de securitate pentru sistemele de operare şi aplicaţii. Eliminarea vulnerabilităţilor cunoscute este de fapt prima măsură de securitate care trebuie luată într-o reţea, deoarece aceste vulnerabilităţi vor fi primele încercate de un atacator sau exploatate de către un vierme.
O cursă continuă cere un proces solidÎn ultima perioadă a sporit numărul atacurilor de acest tip care exploatează
vulnerabilităţi cunoscute. Fereastra de timp dintre publicarea vulnerabilităţii şi a patch-ului corespunzător şi apariţia unui atac scade din ce în ce mai mult. În mai toate cazurile, sistemele afectate nu fuseseră actualizate, deşi exista fix-ul corespunzător. Este deci foarte important să ne actualizăm la timp sistemele de operare şi aplicaţiile din punct de vedere al patch-urilor şi fix-urilor de securitate.
Înainte de a da vina pe administratorii de reţea, să ne gândim că există un număr destul de mare de patch-uri şi fix-uri care sunt publicate periodic şi care trebuie descărcate, testate şi apoi aplicate în mod sistematic pe toate calculatoare din reţea. Este evidentă necesitatea unui proces de Patch Management care să permită o abordare structurată versus reacţia ad-hoc la incidente de securitate.
Acest proces de management al patch-urilor trebuie să se alăture celorlalte procese operaţionale existente în cadrul unei companii. Patch Management se integrează de fapt în disciplinele de Change Management şi Configuration Management, aşa cum sunt descrise de Microsoft Operations Framework (MOF) sau IT Infrastructure Library (ITIL).
Putem împărţi procesul de management al patch-urilor în mai multe faze: mai întâi vom face o analiză a vulnerabilităţilor cunoscute asupra sistemelor existente folosind, de obicei, un instrument automat şi vom inventaria patch-urile necesare pentru aceste vulnerabilităţi. De asemenea, va trebui să testăm în condiţii de laborator patch-urile pentru a verifica modul în care afectează funcţionarea sistemelor şi aplicaţiilor existente. Apoi va urma procesul de instalare a patch-urilor, care pentru reţele medii-mari trebuie să fie automatizat, şi verificarea instalării cu succes a acestora.
Analiza vulnerabilităţilor şi inventarierea patch-urilorMicrosoft Baseline Security Analyzer (MBSA) 1.2 poate fi folosit pentru a
analiza sistemele existente şi a inventaria vulnerabilităţile descoperite pentru sistemele de operare Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003 precum şi a altor produse Microsoft: Internet Explorer, Windows Media Player, IIS, SQL Server, Exchange, Microsoft Office, Microsoft Data Access Components, Microsoft Virtual Machine, MSXML, BizTalk Server, Commerce Server, Content Management Server şi Host Integration Server.
50
MBSA adaugă o interfaţă grafică la utilitarul linie de comandă HFNetCheck şi foloseşte un fişier MSSECURE.XML ce poate fi downloadat de la Microsoft şi conţine informaţii despre toate patch-urile disponibile în acel moment. Astfel se pot crea rapoarte pentru sistemele scanate ce afişează patch-urile care nu au fost încă instalate pe sisteme. MBSA este capabil să identifice de asemenea vulnerabilităţi cunoscute la servicii şi aplicaţii. MBSA poate scana o singură maşină sau mai multe folosind un rang de adrese IP sau toate calculatoarele din domeniu, cu condiţia să aibă permisiuni administrative. MBSA poate face doar analiza sistemelor, nu şi instalarea propriu-zisă a patch-urilor.
Systems Management Server 2003 este un produs complex pentru inventarierea hardware-ului şi software-ului, pentru instalarea automată de software precum şi management al sistemelor. Folosind instrumentele de inventariere de software şi un pachet numit Software Updates Scanning Tool (bazat pe MBSA 1.2) ce poate fi downloadat gratuit de pe site-ul Microsoft se pot analiza sistemele şi inventaria vulnerabilităţile. SMS poate produce rapoarte privind update-urile şi Service Pack-urile instalate, lista update-urilor disponibile ce trebuie aplicate pe fiecare calculator etc. În plus, după cum vom vedea în continuare, SMS poate face şi instalarea patch-urilor folosind facilităţile de distribuţie de software. SMS este foarte util pentru reţele medii-mari.
Testarea şi instalarea patch-urilorCea mai simplă metodă pentru instalarea patch-urilor de securitate pentru
sistemul de operare este cea manuală folosind Windows Update. Aceasta poate fi folosită însă doar în reţele mici de doar câteva calculatoare. Pentru reţele medii-mari, trebuie să avem un sistem automat de instalare a patch-urilor de securitate care să elibereze departamentul de IT de munca de rutină şi să ne asigure că patch-urile sunt instalate sistematic pe toate calculatoarele din reţea. Microsoft oferă următoarele opţiuni: Software Update Services (SUS)
Software Update Services (SUS) este un serviciu suplimentar ce se poate instala pe Windows 2000 Server sau Windows Server 2003 şi joacă rolul de server de Windows Update local pentru calculatoarele din reţea. Cu ajutorul lui SUS, putem programa pentru descărcare selectivă a patch-urilor de la Microsoft şi aprobarea lor pentru distribuţie pe calculatoarele client. Interfaţa de administrare este similară cu cea de la Windows Update. Pentru ca staţiile să folosească serverul SUS local pentru instalarea patch-urilor, se foloseşte Group Policy cu care se modifică setările de update (locaţia serverului SUS, download şi instalare obligatorie, opţiunea de restart dupa instalare, activarea serviciilor BITS pe staţii). SUS poate fi folosit doar pentru instalarea patch-urilor pentru sistemele de operare Windows 2000, Windows XP şi Windows Server 2003. SUS nu poate raporta instalarea patch-urilor, pentru aceasta va trebui să rulăm din nou MBSA sau un alt instrument de analiză.
Systems Management Server 2003
51
Produsul permite selectarea cu precizie a sistemelor pe care se face instalarea şi a patch-urilor care trebuie instalate, folosind rezultatele analizei realizate anterior cu opţiunea de inventariere software şi Software Updates Scanning Tool. SMS 2003 poate actualiza şi sisteme de operare mai vechi şi poate aplica patch-uri şi pentru alte aplicaţii. În general, SMS 2003 poate distribui actualizări la orice software instalat pe calculatoarele client, cu condiţia ca aceste actualizări să poată fi împachetate şi distribuite cu SMS. De asemenea, se poate verifica instalarea patch-urilor folosind din nou Software Updates Scanning Tool. În tabelul de mai jos puteţi vedea o comparaţie între metodele de aplicare a patch-urilor prezentate aici.
Windows Update Software Update Services
Systems Management Server 2003
Sisteme de operare şi aplicaţii suportate pe clienţi
Windows 2000, Windows Server 2003, Windows XP
(doar pe maşina locală)
Windows 2000, Windows Server 2003, Windows XP Professional, Office 2003, Office XP, Exchange 2003, SQL Server 2000 şi MSDE
Toate sistemele de operare suportate de SUS plus Windows NT 4.0 şi Windows 98
Analiza şi inventarierea patch-urilor
Basic
(pe staţia locală)
Nu Da
(folosind Software Inventory)
Controlul distribuţiei patch-urilor şi planificarea instalării
Nu e aplicabil
(instalarea se face manual)
Basic Avansat
Verificarea instalării Manual
(via Control Panel)
Nu
(se poate folosi MBSA separat)
Avansat
Oferta de servicii de securizare a reţeleiPuteţi crea chiar dumneavoastră un plan de măsuri pentru securizarea
infrastructurii IT a companiei. Aveţi la dispoziţie foarte multe informaţii, pe site-ul Microsoft, în cadrul cursurilor ţinute la centrele de training sau cărţile publicate la Microsoft Press. Există de asemenea o mulţime de resurse pe Internet legate de securitatea IT. Dacă totuşi aveţi nevoie de ajutor, puteţi apela la: Microsoft Services
Microsoft Services oferă un set bogat de servicii prin intermediul unor experţi în domeniul IT şi acoperind tot ciclul de viaţă al implementării unei soluţii. Puteţi conta pe experienţa în proiecte, metodele şi practicile verificate ale consultanţilor Microsoft precum şi multitudinea de soluţii oferite pentru a vă transforma viziunea privind infrastructura dumneavoastră IT în realitate de business.
52
Microsoft Services şi partenerii certificaţi Microsoft lucrează împreună pentru a vă oferi o gamă cuprinzătoare de servicii. Microsoft Certified Partners
Companii independente atestate de Microsoft care vă pot oferi un nivel ridicat de expertiză şi suport necesare implementării de soluţii complexe bazate pe produsele şi tehnologiile Microsoft.
Puteţi implica partenerii Microsoft şi Microsoft Services în proiectele dumneavoastră de securizare a sistemelor IT. Microsoft a construit împreună cu partenerii săi o ofertă de consultanţă şi servicii pentru implementarea de soluţii bazate pe produsele şi tehnologiile Microsoft. În mod specific, pentru securizarea infrastructurii puteţi solicita: Microsoft QuickStart for Security
Pentru evaluarea soluţiilor disponibile pentru securizarea reţelei. Aici puteţi participa la seminariile de securitate organizate de Microsoft şi partenerii săi sub formă de Security Briefings la centrele de training sau la evenimentele Microsoft. Sau puteţi solicita întâlniri 1-la-1 cu specialiştii Microsoft sau ai partenerilor pentru a explora soluţiile disponibile. Microsoft QuickPlan for Security
Constă în contracte de consultanţă şi servicii de 2-4 săptămâni, în care se face colectarea şi analiza cerinţelor, inventarierea resurselor şi analiza riscurilor precum şi realizarea planurilor de securitate concretizate într-un plan de implementare ce vă este furnizat la sfârşitul contractului. Puteţi implementa acest plan de măsuri cu forţe proprii sau puteţi apela în continuare la specialiştii partenerilor sau ai Microsoft pentru implementare.
ConcluzieSperăm că după parcurgerea acestui articol v-am convins că securitatea
informaţiei este un domeniu vast care necesită cunoştinţe foarte bune şi depunerea de eforturi continue pentru a asigura un nivel de securitate adecvat pentru sistemul dvs informatic. Nu trebuie să uităm că abordarea cea mai bună este cea pe ansamblu, prin care evaluăm riscurile de securitate la care ne expunem şi aplicăm măsuri de securitate proporţionale cu valoarea resurselor care trebuie protejate. Securitatea înseamnă de fapt managementul riscului.
53
Bibliografie
1. Colectia Chip2. Colectia Chip Special3. WWW.Microsoft.COM4. Colectia Xtreme PC
54