iordache florin sisteme de operare de retea tirt totc win partea i-1

7/27/2019 Iordache Florin Sisteme de Operare de Retea TIRT TOTC WIN Partea I-1

1/53

nvmntul profesional i tehnic n domeniul TIC

Proiect cofinanat din Fondul Social European n cadrul POS DRU 2007-2013

Beneficiar Centrul Naional de Dezvoltare a nvmntului Profesional i Tehnic

str. Spiru Haret nr. 10-12, sector 1, Bucureti-010176, tel. 021-3111162, fax. 021-3125498, [email protected]

SISTEME DE OPERARE N REEA

Material de predare I

Familia Microsoft Windows Server

Domeniul: Informatic

Calificarea: Tehnician infrastructur reele de telecomunicaii

Nivel 3 avansat

2009
mailto:[email protected]:[email protected]


2/53

AUTOR:

IORDACHE FLORIN

COORDONATOR:

LADISLAU SEICA

CONSULTAN:

IOANA CRSTEA expert CNDIPT

ZOICA VLDU expert CNDIPT

ANGELA POPESCU expert CNDIPT

DANA STROIE expert CNDIPT

Acest material a fost elaborat n cadrul proiectului nvmntul profesional i tehnic

domeniul TIC, proiect cofinanat din Fondul Social European n cadrul POS DRU 2007-2013


3/53

Cuprins

I. Introducere.........................................................................................................................................4I. Documente necesare pentru activitatea de predare............................................................................5Tema 1. Familia Microsoft Windows Server .......................................................................................6

Fisa 1.1. Familia Microsoft Windows Server....................................................................................6Tema 2 Protocoale de reea.................................................................................................................10

Fisa 2.1. Protocoale de re ea ............................................................................................................10Tema 3. Servicii de re ea .....................................................................................................................15

Fi a 3.1 Servicii de reea .................................................................................................................15Fi a 3.2. Active directory - Serviciul de catalog .............................................................................16Fi a 3.3. Instalarea serverului DHCP ..............................................................................................20Fi a 3.4 Instalarea serverului DNS .................................................................................................24Fi a 3.5 Instalarea serviciului file server. .......................................................................................26

Tema 4 Instalarea sistemului de operare Windows 2003 server.........................................................28Fi a 4.1. Opera iuni pregtitoare .....................................................................................................28Fi a 4.2 Instalarea sistemului de operare .........................................................................................31

Tema 5 - Configurarea sistemelor de operare n re ea ........................................................................34Fisa 5.1. Configurarea Active Directory........................................................................................34

Tema 6: Securitatea NOS..................................................................................................................44Fisa 6.1. Securizarea sistemului......................................................................................................44

Fia rezumat........................................................................................................................................50Bibliografie..........................................................................................................................................53


4/53

I. Introducere

Materialele de predare reprezint o resurs suport pentru activitatea de predare,instrumente auxiliare care includ un mesaj sau o informaie didactic.

Prezentul material de predare, se adreseaz cadrelor didactice care predau n cadrul

colilor postliceale, domeniul Informatic, calificarea Tehnician infrastructur reele de

telecomunicaii

El a fost elaborat pentru modulul Sisteme de operare n reea, ce se desfoar n 93

ore, din care laborator tehnologic 31

Teme Fise suportCompetene/Rezultate

ale nvrii

Tema 1. FamiliaMicrosoft WindowsServer

Fisa 1.1. Familia Microsoft Windows Server C2, C3, C4

Tema 2 Protocoalede reea

Fisa 2.1. Protocoale de re ea C2, C3, C4

Tema 3: Serviciide reea Fi a 3.1 Servicii de reeaFi a 3.2. Active directory - Serviciul decatalogFi a 3.3. Instalarea serverului DHCPFi a 3.4 Instalarea serverului DNSFi a 3.5 Instalarea serviciului file server

C1, C2, C3, C4

Tema 4:InstalareaWIN2003/WIN2008 server

Fi a 4.1. Opera iuni pregtitoare Fi a 4.2 Instalarea sistemului de operare

C1, C2, C3

Tema 5:

Configurareasistemelor deoperare in retea

Fisa 5.1. Configurarea Active Directory C3, C4

Tema 6:Securitatea NOS

Fisa 6.1. Securizarea sistemului C2, C3, C4

C1. Pregateste sistemul de calcul pentru instalare


5/53

C2. Analizeaz sistemele de operare de reea.

C3. Utilizeaz sistemele de operare n reea

C4. Administreaz sistemele de operare n reea

I. Documente necesare pentru activitatea de predare

Pentru predarea coninuturilor abordate n cadrul materialului de predare cadrul didactic

are obligaia de a studia urmtoarele documente:

Standardul de Pregtire Profesional pentru calificarea Tehnician echipamente decalcul, nivelul 3 avansat www.tvet.ro, seciunea SPP sau www.edu.ro , seciunea

nvmnt preuniversitar

Curriculum pentru calificarea Tehnician echipamente de calcul, nivelul 3 avansat www.tvet.ro, seciunea Curriculum sau www.edu.ro , seciunea nvmntpreuniversitar
http://www.tvet.ro/http://www.edu.ro/http://www.tvet.ro/http://www.edu.ro/http://www.tvet.ro/http://www.edu.ro/http://www.tvet.ro/http://www.edu.ro/


6/53

Tema 1. Familia Microsoft Windows Server

Fisa 1.1. Familia Microsoft Windows ServerFamilia de sisteme de operare Windows 2003/2008 server ofer o

gam variat de servicii care poate acoperi majoritatea cerin elor n

materie de servere de pe pia a IT. Are n componen urmtoarele sisteme de operare:

1. Standard edition - sistem de operare de reea, care ofer soluii simple i rapide

pentru firme. Windows Standard Server 2003/2008 ofer servicii pentru partajarea

fiierelor i imprimantelor, conectarea securizat la Internet, desfurarea

centralizat a aplicaiilor din spaiul de lucru Windows Standard Server 2003/2008permite multiprocesare simetric pe 2 ci i pn la 4 GB de memorie.

2. Enterprise edition sistem de operare de re ea destinat re elelor mari de

calculatoare. Ofer funcionalitatea necesar pentru infrastructura ntreprinderii,

aplicaiile tip linie de afaceri i tranzaciile de comer electronic. Windows Enterprise

Server 2003/2008 este un sistem de operare complet, care accept pn la 8

procesoare, cluster cu 4 noduri i pn la 32 GB de memorie. Este disponibil i

pentru platformele de calcul pe 64 de bii.

3. Datacenter edition - Conceput pentru activitile care necesit un nivel ridicat de

scalabilitate i disponibilitate, Windows Datacenter Server 2003/2008 ofer o baz

solid pentru construirea soluiilor critice de baze de date, software de planificare a

resurselor ntreprinderii (ERP), prelucrarea n timp real a volumelor mari de

tranzacii i consolidarea serverelor. Este cel mai puternic i mai funcional sistem

de operare pentru server din familia windows 2003/2008 server, permind

multiprocesare simetric cu pn la 32 de ci (SMP), avnd drept caracteristic

standard att clusterul cu 8 noduri ct i serviciile de load-balancing. Windows

Datacenter Server 2003 este disponibil i pentru platforme de calcul pe 64 de bii.


7/53

4. Web edition - Este un server Web orientat pe funcii, optimizat astfel nct s

furnizeze firmelor o platform cuprinztoare i stabil pentru servire i gzduire pe

Web. Uor de instalat i de administrat.

5. For Itanium based systems - Windows Server 2008 pentru sistemele Itanium-

Based este optimizat pentru baze de date mari, linie de afaceri i aplica ii specifice

oferind disponibilitate mare precum i scalabilitate pn la 64 de procesoare.

6. HPC server - Windows HPC Server 2008, reprezint urmtoarea genera ie de high-

performance computing (HPC), oferind unelte enterprise pentru un mediu HPC

extrem de productiv. Construit pe platforma Windows Server 2008, cu tehnologie

64-bit, Windows HPC Server2008, poate scala eficient pn la mii de nuclee de

procesare incluznd console de administrare care v ajuta s monitoriza i proactiv

starea general a sistemului. Programarea opera iunilor, interoperabilitatea i

flexibilitatea v permit integrarea ntre platforme HPC Windows i Linux, suportnd

aplica ii SOA. Productivitate sporit, performan e scalabile, u urin n utilizare, sunt

doar cteva din capacit ile care fac din Windows HPC Server 2008 unul din cele

mai reu ite sisteme de operare server.

O analiz comparativ a sistemelor de operare din familia Windows 2003/2008

Server este dat n tabelul de mai jos:

Caracteristic Web Server StandardServerEnterprise

Server Data Center

Tehnologii de clustereEchilibrarea ncrcrii reelei (NLB) da da da daProtecie la defeciuni n cluster nu nu da daCommunicaii i servicii de reeaSuport pentru Reea privat virtual(VPN) par ial

da da da

Serviciul Protocol de iniiere a sesiunii(SIP)

nu da da da

Serviciul de autorizare Internet (IAS) nu da da daNetwork Bridge nu da da nuPartajare conexiune la Internet (ICS) nu da da nuDirectory ServicesActive Directory nu da da daSuport pentru servicii Metadirector(MMS)

nu nu da da

Servicii de fiiere i imprimareSistem de fiiere distribuite (DFS) da da da daSistem de criptare fiiere (EFS) da da da daShadow Copy Restore nu da da da


8/53

SharePoint Team Services nu da da daSuport stocare la distan nu da da daServiciul de fax nu da da daServicii pentru Macintosh nu nu da daServicii de managementIntelliMirror nu da da daResultant Set of Policy (RSoP) nu da da da

Windows Management Instrumentation(WMI) Command Line nu da da daServicii de instalare la distan (RIS) nu da da daServicii de securitateInternet Conection Firewall nu da da nuCertificate Services nu par ial da daServicii de terminalSpaiu de lucru la distan pentruadministrare da

da da da

Terminal Server nu da da daSesiuni Terminal Server nu nu da daServicii multimediaServicii Windows MediaT nu da da nu

ScalabilitateSuport de 64 bii pentru computerebazate pe IntelR ItaniumT

nu nu da da

Hot add memory.1 nu nu da daAcces neuniform la memorie (NUMA)1 nu nu da daControl procese nu nu da daSuport nu nu nu daServicii pentru Web i aplicaii.NET Framework da da da daInternet Information Services (IIS) 6.0 da da da daASP.NET da da da da

1 Poate s fie limitat datorit lipsei de suport hardware OEM.

Familia windows 2008 server aduce facilit i suplimentare:

Facilit i noi / mbunt ite EnterpriseServerDatacenter

ServerStandard

ServerWeb

ServerItaniumServer

HPCServer

AD Rights Management Services (RMS) da da da nu nu nuCriptare a datelor (CNG) da da da da da daOp iuni suplimentare pentru politica degrup (Group Policy)

da da da da da da

Virtualizare - Hyper-V da da da nu nu daInternet Information Services (IIS) 7.0 da da da da da daNEW: Protec ia accesului la re ea (NAP) da da da nu nu nuControllere de domeniu read only (RODC) da da da da nu daServer Core da da da da nu nuServer Manager da da da da da daServicii de terminal i aplica ii la distan da da da nu nu nuServicii de instalare n re ea - (WDS) da da da nu nu da


9/53

Sugestii metodologice

Unde predm ? Coninutul poate fi predat n cabinetul de specialitate, laboratorul de

informatic sau ntr-o sal dotat cu videoproiector. Locaiile vor fi dotate cu calculator.

Cum predm ? Ca metode de predare nvare se recomand utilizarea combinat a

explicaiei cu dialogul dirijat, exemplificarea i exemplul practic.

Mijloace utilizate: Materiale suport ce conin noiunile de baz, fie de lucru, prezentri

media,

Organizarea clasei: Pregtirea practic se va realiza cu clasa mprit n grupe de

10-15 elevi.

Evaluarea: Teste de evaluare cu itemi, chestionare frontal.


10/53

Tema 2 Protocoale de reea

Fisa 2.1. Protocoale de re ea

n Internet se folosesc protocoale care fie se bazeaz pe TCP/IP, fie utilizeazprotocolul TCP/IP. Vom prezenta n continuare cele mai folosite protocoale utilizate n

mediul Internet.

Protocolul ARP protocol de rezolu ie a adresei

Pentru ca dou sisteme de calcul s poat comunica ntr-o re ea este necesar

cunoa terea att a adresei MAC, ct i a adresei IP. n cazul n care numai una dintre

adrese este disponibil se apeleaz la un protocol dedicat care pe baza acesteia vadetermina cealalt adres.

Stiva de protocoale TCP/IP con ine dou protocoale de nivel re ea pentru a servi

acest scop: ARP (Address Resolution Protocol) i RARP (Reverse Address Resolution

Protocol). ARP este protocolul ce va oferi adresa MAC a unui dispozitiv de re ea, dat fiind

adresa sa IP. ARP se bazeaz pe construirea i men inerea unei tabele ARP. O tabela

ARP are rolul de a oferi o coresponden ntre adresele IP i cele MAC. Acestea sunt

construite dinamic i sunt stocate n memoria RAM. De i exist mecanisme pentru adugarea sau eliminarea unei intrri ntr-o tabel ARP acestea sunt rareori folosite.

Fiecare computer sau dispozitiv de re ea i pstreaz propria sa tabel ARP.

Protocolul ICMP protocolul mesajelor de control

Arhitectura internetului implic o serie de probleme atunci cnd o main anume

nu funcioneaz. Dac funcioneaz, totul e bine. Dac nu, intervine ICMP: Internet Control

Message Protocol.

ICMP este protocolul responsabil cu determinarea eventualelor probleme

datorate "cderii" unei maini. Nu-i aa c a i folosit comanda ping? Aa trimite i un pachet.

inta va rspunde - n cazul n care va primi pachetul. Dac totul e n ordine, rezultatul este

un pachet identic. Dac nu, ve i primi un pachet ICMP. Acesta conine, n header-ul su,

informaiile de care are nevoie pentru a determina o eventual problem.


11/53

Protocolul ICMP este unul de mare importan, n primul rnd pentru

administratori. Ei i pot da seama dac cineva a scos din uz o main n mod intenionat -

spre exemplu dac o main funcioneaz perfect, dar portul 80 (HTTPD) nu este

accesibil, avem un indiciu al unui eventual atac.

DHCP protocol pentru alocarea dinamic a adreselor IP

n primele zile ale reelelor TCP/IP, administratorii defineau adresa fiecrui

dispozitiv ntr-un fiier text sau ntr-o caset de dialog. Din acel moment, adresa rmnea

fixat pn cnd cineva o modifica. Problema era c administratorii, ocazional, atribuiau

din gre al adrese contradictorii altor dispozitive din re ea, provocnd multe i mari

neplceri. Pentru a rezolva aceast problem i pentru a facilita atribuirea adreselor

TCP/IP a inventat un serviciu numit Dynamic Host Configuration Protocol (DHCP).

Serviciile DHCP ruleaz pe un server DHCP, unde controleaz un domeniu de

IP, denumite domeniu de acoperire. Cnd dispozitivele se conecteaz la o reea

contacteaz serverul DHCP pentru a obine o adres atribuit pe care s o poat folosi. Se

spune c adresele de la un server DHCP sunt nchiriate clientului care le folose te, cea ce

nseamn c rmn atribuite unui anumit dispozitiv pentru un interval de timp nainte de a

expira i devin disponibile pentru utilizare de ctre un alt dispozitiv. Perioadele de nchiriere

sunt de numai cteva zile, dar administratorii de reea pot folosi orice perioad de timpdoresc.

HTTP - Hypertext Transfer Protocol

World Wide Web este alctuit din documente care folosesc un limbaj de

formatare denumit HTML, abreviere de la Hypertext Markup Language (limbaj de marcare

prin hipertext). Aceste documente sunt compuse din text de afiat, imagini grafice, comenzi

de formatare i hiperlegturi spre alte documente situate altundeva n Web. Documentele

HTML sunt afiate cel mai frecvent folosind browsere Web, precum Internet Explorer,

Safari sau Mozilla Firefox.

Un protocol denumit Hypertext Transfer Protocol (protocol de transfer prin

hipertext) controleaz tranzaciile dintre un client Web i un server Web. HTTP este un

protocol destinat stratului aplicaie. Protocolul HTTP face uz n mod transparent de DNS i


12/53

de alte protocoale Internet pentru a forma conexiuni ntre clientul i serverul Web astfel

nct utilizatorul cunoate numai numele domeniului i numele documentului nsui.

HTTP este, n esen, un protocol nesigur. Informaiile pe suport text sunt

transmise n clar", ntre client i server. Pentru a satisface necesitatea unor reele Web

sigure exist alternative precum Secure HTTP (S-HTTP) sau Secure Sockets Layer (SSL).

Cererile unui client Web ctre un server Web sunt orientate spre conexiune,

deci sunt persistente. Odat ce clientul a primit coninutul unei pagini HTML, conexiunea

nu mai este activ. Executarea unui clic n documentul HTML reactiveaz legtura fie ctre

serverul original (dac ntr-acolo indic hiperlegtura), fie ctre un alt server, situat

altundeva.

FTP protocol pentru transferul fi ierelor

Abrevierea FTP simbolizeaz dou lucruri: File Transfer Protocol (protocol de

transfer al fiierelor) i File Transfer Program (program de transfer al fiierelor).

FTP este un protocol de nivel aplicaie folosit pentru trimiterea i recepionarea

fiierelor ntre un client FTP i un server FTP. De regul, aceasta se realizeaz cu

programul FTP sau cu un alt program care poate de asemenea folosi protocolul.

Transferurile FTP pot fi bazate pe text sau sunt binare i pot manipula fiiere de orice dimensiune. Cnd v conectai la un server FTP pentru a transfera un fiier, v conectai la

serverul FTP folosind un nume de utilizator i o parol valabile. Totui, multe site-uri sunt

configurate s permit ceea ce se numete FTP anonim, cnd se introduce numele de

utilizatoranonymous i apoi introducei i adresa dumneavoastr de e-mail ca parol.

Telnet protocol pentru stabilirea de conexiuni la distan

Telnet definete un protocol care permite stabilirea unei sesiuni terminal de la

distan la o gazd din Internet, astfel ca utilizatorii de la distan s aib acces ca i cum

ar sta la un terminal conectat direct la calculatorul gazd. Folosind Telnet, utilizatorii pot

controla sistemul gazd aflat la distan, executnd operaii precum gestiunea fi ierelor,

rularea aplicaiilor sau chiar (cu permisiuni corespunztoare) administrarea sistemui aflat la

distan.


13/53

SMTP protocol simplu de transfer de po t

Pota electronic a avut un nceput cam nesigur pe Internet; primele programede e-mail partajau puine standarde cu alte programe de e-mail, mai ales n ceea ce

privete manipularea datelor binare ataate. n ziua de azi, toate programele curente de e-

mail recunosc toate standardele acceptate pe scar larg.

Simple Mail Transfer Protocol (SMTP) este folosit pentru trimiterea i

recepionarea mesajelor de e-mail de la un server e-mail la cellalt. Detalii despre SMTP

se pot gsi n RFC 821. Protocolul SMTP definete un dialog ntre un sistem emitor i

unul receptor. Un dialog SMTP ncepe cnd un sistem emitor se conecteaz la portul 25al unui sistem receptor. Dup stabilirea conexiunii, sistemul emitor trimite o comand

HELO, urmat de adresa sa. Sistemul receptor confirm comanda HELO, alturi de adresa

sa proprie. Apoi, dialogul continu; sistemul emitor trimite o comand prin care se arat

c sistemul dorete s trimit un mesaj i se indic destinatarul cruia i este destinat

mesajul. Dac sistemul receptor cunoate destinatarul, confirm cererea i apoi sistemul

emitor transmite corpul mesajului, alturi de eventualele fiiere ataate. n final,

conexiunea dintre cele dou sisteme este ncheiat odat ce sistemul receptor confirm

recepionarea ntregului mesaj.

POP3 protocol de po t electronic

Post Office Protocol, pe scurt, POP, este primul protocol de po t electronic i

nc este folosit n zilele noastre. Pentru utilizatorii ce folosesc sisteme care fie nu sunt

capabile s ruleze un server complet de tipul Simple Mail Transfer Protocol (SMTP) fie nu

sunt conectate permanent, este utilizat o main de tip Post Office". Aceast main

Post Office este conectat permanent la Internet i primete e-mail-urile destinateutilizatorului prin SMTP. Mesajele sunt trimise ntr-o csu electronic de pe maina Post

Office ca i cum ar fi fost maina folosit de utilizator din modelul vechi. Cndva, mai

trziu, utilizatorul se conecteaz de pe staia de pe care opereaz cu ajutorul unui client de

e-mail la serverul POP existent pe maina Post Office i face transferul mesajelor care

ateapt pe staie. Din acest moment, utilizatorul i poate citi sau procesa dup cum


14/53

dorete mesajele n staia local. Acest sistem foarte simplu a servit i servete foarte bine

utilizatorii de ceva timp ncoace.

IMAP protocol interactiv de po t electronic

Internet Message Access Protocol, pe scurt, IMAP, a fost proiectat pentru adepi cteva dintre limitrile protocolului POP. n loc s transfere toate mesajele pe staia

clientului, IMAP reine aceste mesaje pe server. Metoda folosit de POP este denumit

cteodat offline" deoarece, dup ce v-ai transferat mesajele, teoretic, putei s v

deconectai n timp ce v citii e-mail-ul. Metoda principal folosit de ctre IMAP este

considerat a fi online" deoarece presupune conectarea pe toat perioada ct v citii

mesajele. Atunci cnd v conectai la un server IMAP, iniial doar anteturile noilor mesaje

sunt descrcate n clientul de e-mail pentru vizualizare i n momentul selectrii unui mesaj

este descrcat i coninutul acestuia. La final, sunt trimise napoi la server mesaje pentru

setarea unor flaguri ce determin starea mesajelor (citit / necitit).







media,

Organizarea clasei: Pregtirea practic se va realiza cu clasa mprit n grupe de

10-15 elevi.



15/53

Tema 3. Servicii de re ea

Fi a 3.1 Servicii de reea

Un sistem de operare de re ea trebuie s constituie o platform puternic, o baz pentru serviciile care pot rula ntr-o re ea de calculatoare. Principalele servicii de care

este nevoie ntr-o re ea sunt:

Servicii de catalog (autentificare a utilizatorilor) - active directory

Servicii de suport pentru utilizatorii mobili remote access

Servicii de mesagerie - mail server

Servicii de tiprire - print server,

Servicii de fi iere - file server:

Servicii de infrastructur - DNS, DHCP


16/53

Contabilitate.domeniu.roContabilitate.domeniu.ro

Secretariat.domeniu.roSecretariat.domeniu.ro

Cercetare.domeniu.roCercetare.domeniu.ro

Domeniu.roDomeniu.ro

Sta ii de lucru

Sta ii de lucru

Sta ii de lucru

Fig. 2Domeniunou.ro

Domeniunou.ro

Contabilitate.domeniu.roContabilitate.domeniu.ro

Secretariat.domeniu.roSecretariat.domeniu.ro

Cercetare.domeniu.roCercetare.domeniu.ro


Sta ii de lucru

Sta ii de lucru

Fig. 3

Sta ii de lucru

Fi a 3.2. Active directory - Serviciul de catalog

Utilizarea unei re ele include i utilizarea resurselor unei re ele. Deoarece

resursele unei re ele pot fi extrem de variate (autentificare, redirec ionare cereri, securitate,

partajare resurse) s-a sim it nevoia unei centralizri a acestor resurse. Aici apar a a

numitele servicii de catalog.

Catalogul este de fapt o baz de date ce con ine:

- Lista cu utilizatorii ce au permisiunea de a se conecta n sistem

- Lista cu permisiuni pentru fiecare utilizator / resurs

- Lista cu dispozitivele din re ea care au acces la resursele re elei

Deoarece o asemenea baz de date

poate ajunge la milioane de nregistrri s-a sim it

nevoia unei ierarhizri. Aceast ierarhizare

presupune existen a unui domeniu i a unui

controller de domeniu (fig 1).

De asemenea dac baza de date este mare sau foarte mare, respectiv dac

cerin ele de proiectare ale domeniului o cer

putem avea situa ii n care vom avea arbori

(fig. 2) sau pduri de domenii (fig. 3).


Sta ii delucru

Fig. 1


17/53

Instalarea Active Directory n sistemul de operare Winows 2003 server se realizeaz uor

i intuitiv cu ajutorul vrjitorului existent

n fereastra Manage Your Server

alegnd opiunea Add a role, apoi

Active Directory. Dac este prima dat

cnd instalai un controller de domeniu

cel mai bine e s lsai vrjitorul s v

ndrume n instalare i s instalai att

Active Directory, ct i serverul DNS i

serverul DHCP.

Pe msur ce instalarea avanseaz vor

fi cerute informaii vitale pentru organizarea i buna funcionare a controllerului de

domeniu:

- Numele de domeniu: poate fi .local dac dorim ca domeniul creat s fie

local (s fie separat de domeniul de internet)

- Numele din DNS al domeniului i numele din Netbios pentru clienii non

windows

n continuare vom face prezentarea celei mai importante componente din Active Directory

i anume Active Directory Users and Computers

Active Directory Users and

Computers pentru domeniul

curent conine, n mod implicit,

5 categorii:

Builtin - care

conine un set de utilizatori

predefinii cu diferite roluri n

cadrul domeniului d-voastr.


18/53

Computers - conine toate staiile incluse n domeniul curent.

Domain Controllers - include toate serverele din domeniul curent care au

instalat i configurat serviciul Active Directory.

ForeignSecurityPrincipals - conine identificatorii de securitate (security identi-fiers - SIDs) asociai obiectelor Active Directory din alte domenii dect cel curent.

Users - conine informaii despre toi utilizatorii i grupurile de utilizatori

implicite.

Active Directory Users and Computers poate gestiona informaii despre

calculatoare, grupuri de utilizatori, grupuri organizaionale, imprimante, utilizatori i

directoare puse la dispoziie n reea (shared folder).

Recomandabil este ca nainte de crearea unui utilizator s creai nti un nou

grup organizaional care poate include i staii de lucru, i asupra cruia se poate crea o

politic de securitate centralizat.

La proprietile unui grup organiza ional putem specifica urmtoarele informaii:

informaii generale (General). Conine informaii privind descrierea grupului i

adresa la care poate fi localizat acesta;

informaii despre persoana / utilizatorul care gestioneaz grupul respectiv

(Managed By).

politicile de securitate aplicate grupului respectiv (Group Policy) unde avem

posibilitatea de creare a unei noi politici de securitate sau importul unei politici deja

existente. Nu activai opiunea Block Policy inheritance pentru c aceasta nu se va mai

propaga automat asupra altor subsisteme organizaionale din grupul respectiv.


19/53







media,

Organizarea clasei: Pregtirea practic se va realiza cu clasa mprit n grupe de 2-

3 elevi.



20/53

Fi a 3.3. Instalarea serverului DHCP

Instalarea i configurarea de principiu a

serverului DHCP se realizeaz cu

ajutorul vrjitorului care poate fi rulat

din fereastra Manage my computer,

Add remove roles.

Vrjitorul ne va ajuta printr-o serie de

pai simpli s configurm un server

DHCP funcional i foarte util n

dezvoltarea i managementul reelei.

Ce informaii trebuie dumneavoastr s-i dai vrjitorului:

1. Numele rezervorului de adrese i o scurt descriere a acestuia (ex. adrese pentru

laboratorul de informatic)

2. Apoi trebuie s tim adresa de nceput, adresa de sfrit i masca de subreea.

Dac n aceast gam de adrese avem adrese pe care dintr-un motiv sau altul nu

dorim s le alocm dinamic, la pasul urmtor vom fi ntrebai care sunt acestea.

3. nchirierea de adrese de IP se face pe perioad determinat (8 zile implicit).

4. Deoarece un server DHCP trebuie s lucreze mpreun cu un server DNS vom fi

ntrebai de adresa sau numele serverului DNS respectiv.

n ceea ce privete proprietile generale ale serverului, este deosebit de important s

cunoatei urmtoarele trei lucruri:

cum se activeaz jurnalul pentru serviciul DHCP;

cum este implicat serviciul DHCP n actualizarea nregistrrilor DNS pentru clienii DHCP;

cum se configureaz detectarea conflictelor.


21/53

Pe pagina de proprieti Advanced putei activa proprietatea Conflict Detection Attempts.

Aceast configurare definete de cte ori serverul DHCP lanseaz n reea

comanda PING pentru a obine un rspuns la o adres pe care urmeaz s o aloce

unui client. Dac este detectat un rspuns, atunci serverul DHCP tie c un alt client uti-

lizeaz adresa i ncearc s aloce alta. Prin opiune prestabilit, aceast proprietate nueste activat (este stabilit la valoarea 0), dar dumneavoastr putei s mrii aceast va-

loare pentru a verifica adresele. ntr-o reea LAN, o singur ncercare trebuie s fie

suficient pentru a controla existena unei adrese duplicat n reea.

Pentru a configura opiunile Server TCP/IP, efectuai clic dreapta pe linia Server Options i

selectai opiunea Configure Options din meniul care apare.

Opiuni:

ruter;

server DNS;

numele domeniului DNS;

server WINS;

tipul de nod NetBIOS.

n plus, clienii DHCP Windows 2000 accept i configurarea opiunilor Perform Router

Discovery i Static Route. Toate celelalte setri ale configuraiei vor fi ignorate de ctre

clienii Microsoft.

Se pot configura anumite calculatoare care s obin anumite adrese atunci cnd

cer o adres de la serverul DHCP. Aceste alocri de adrese se numesc rezervri.

Printr-o rezervare se realizeaz o coresponden ntre adresa MAC a unei plci de

reea i o adres TCP/IP. Aceasta are ca efect crearea unei configuraii statice, fr a fi

necesar, de fapt, modificarea proprietilor TCP/IP de pe client. Rezervrile de adrese

sunt utile n mai multe situaii. De exemplu, dac avei o imprimant de reea, care obine

adresa TCP/IP prin intermediul unui server DHCP, dar trebuie s aib ntotdeauna aceeai

adres, atunci putei utiliza o rezervare. n plus, dac dorii s stabilii explicit adresa

TCP/IP a unui calculator, deoarece acesta are instalat un anumit serviciu, dar


22/53

dumneavoastr dorii s beneficiai de parametrii de configurare oferii de serverul DHCP,

atunci putei utiliza de asemenea o rezervare.

Pentru a crea o rezervare, este necesar adresa hardware (MAC) a plcii de reea pentru

care dorii s rezervai adresa. Aceasta este uor de obinut; adresa TCP/IP poate fi

obinut fie local, pe calculatorul cu placa de reea, fie de la distan. n ambele cazuri,

calculatorul trebuie s aib instalat protocolul TCP/IP i trebuie s aib o adres TCP/IP.

Local, dac lansai comanda IPCONFIG/all de la un prompt de comand, va fi afiat o

linie cu eticheta Physical Address i un numr de tipul 00-60-97-D5-22-CA asociat

acesteia. Aceasta este adresa MAC i, dac tergei liniuele, obinei numrul pe care

serverul DHCP l dorete asociat cu rezervarea.

Dac nu putei accesa local calculatorul, atunci putei determina adresa de la distana,

folosind comanda PING i utilitarul ARP. Utilitarul ARP descoper i pstreaz adresa

hardware asociat unei adrese TCP/IP contactate de ctre calculatorul local. Dac lansai

comanda PING pentru calculatorul pe care ncercai s-l configurai i apoi verificai

memoria cache pentru utilitarul ARP, atunci vei descoperi adresa MAC.







media,


3 elevi.


23/53



24/53

Fi a 3.4 Instalarea serverului DNS

Serverul DNS este unul din cele mai importante servere, server fr de care internetul i

reelele de calculatoare, aa cum le tii

dumneavoastr, ar fi un comar.

nchipuii-v doar c ar trebui s inei

minte toate numerele de telefon din

memoria telefonului dumneavoastr

mobil! Acelai lucru se ntmpl i n

calculatoare: nchipuii-v c ar trebui

s inei minte cte o adres IP pentru

fiecare site care v place! Instalareapreliminar a unui server DNS se

realizeaz relativ simplu n Windows 2003 Server urmnd ca setrile de finee s fie fcute

ulterior. Aa cum v-ai obinuit adugarea rolului de server DNS se realizeaz tot din

fereastra Manage Your Server.







media,


3 elevi.


25/53



26/53

Fi a 3.5 Instalarea serviciului file server.

n principiu, orice calculator care ofer partajare de fi iere poate fi considerat un server de

fi iere. Problema se pune n situa ia n care avem mul i utilizatori i multe fi iere. n acest

caz, se impune existen a unui server special creat pentru a a ceva. ncepnd cu edi ia R2

a windows

2003 server au

fost introduse

concepte noi

legate de

stocarea de

fi iere:

- Q

u

ot

a

Management facilitate destinat limitrii spa iului de stocare utiliyat de unul

sau mai mul i utilizatori / grupuri de utilizatori pe discurile serverului de fi iere

- File screening facilitate care ofer posibilitatea administratorilor s blocheze

depozitarea anumitor tipuri de fi iere pe discurile serverului de fi iere. Implicit

serverul vine cu cteva templateuri predefinite care acoper o mare parte din

nevoile unui administrator. Dar exist i posibilitatea foarte simpl a creerii de

noi template-uri n func ie de necesit i.

- DFS permite crearea de resurse partajate centralizate folosind suportul de

stocare a diferitelor componente fizice din re eaua de date. Acest serviciu

ofer un acces mai rapid la resurse precum i o utilizare mai eficient a

spa iului de stocare.


27/53







media,


3 elevi.



28/53

Tema 4 Instalarea sistemului de operare Windows 2003 server

Fi a 4.1. Opera iuni pregtitoare Windows Server 2003 solicit n cazul minimal un hardware relativ modest.

Pentru prioritatea ediiilor, l putei instala la calculatoarele pe care altfel nu le-

ai putea utiliza ca staie de lucru. Pentru un server folosit efectiv n producie

ar fi mai bine s utilizai un calculator destinat s fie folosit ca server.

Calculatoarele de clasa server sunt proiectate i construite astfel nct s fie

mai fiabile i mai serviabile dect calculatoarele desktop.

Pentru Web Edition a Windows Server 2003, iat configuraia minimal

recomandat pentru hardware:

- Procesor de clas Pentium (doar) cu frecvena minim de lucru de 133 MHz

(Microsoft recomand 550 MHz).

- Cel puin 128MB de RAM. (Microsoft recomand cel puin 256MB)

- Cel puin 1,5GB de spaiu liber pe disc.

Pentru Standard Edition:

- Procesor de clas Pentium (doar) cu frecvena minim de lucru de 133 MHz

(Microsoft recomand 550 MHz). Ediia standard poate utiliza pn la 4

procesoare de clas Pentium.

- Cel puin 128MB de RAM. (Microsoft recomand cel puin 256MB i

personaj recomand cel puin 512MB.) Ediia standard poate utiliza pn la

4GB de RAM instalat.


29/53

- Cel puin 1,5GB pn la 2GB de spaiu liber pe disc.

Pentru Enterprise Edition:

- Procesor de clas Pentium (doar) cu frecvena minim de lucru de 133 Mhz

(Microsoft recomand 550 MHz). Ediia Enterprise poate utiliza pn la opt

calculatoare echipate procesoare de clas Pentium sau Itanium.

- Cel puin 128MB de RAM. Ediia Enterprise poate utiliza pn la 32GB de

RAM instalat.

- Cel puin 1,5GB pentru calculatoarele echipate cu procesoare de clas

Pentium i 2GB de spaiu liber pe disc pentru calculatoarele echipate cuprocesoare de clas Itanium.

Dup ce ai verificat c echipamentul hardware corespunde cerinelor

minimale, ar trebui s v asigurai de asemenea c acel hardware pe care

intenionai s-l utilizai este atestat a fi utilizat pentru Windows Server 2003.

Putei face acest lucru fie adresndu-v productorului echipamentului

hardware pe care intenionai s-l utilizai, fie cutnd n Microsoft Hardware

Compatibility List, la adresa http:// www.microsoft.com/hcl.

Pregtirea calculatorului server

Pentru un server folosit efectiv n producie, este important s acordai o

atenie special n pregtirea echipamentului hardware. Acest proces

presupune urmtoarele etape:

- Testarea riguroas a calculatorului, utiliznd programe de

diagnoz furnizate de fabricant.

- Existen a unei liste a tuturor componentelor utilizate pe server
http://www.microsoft.com/hclhttp://www.microsoft.com/hcl


30/53

- Existen a driverelor pentru componente


31/53

Fi a 4.2 Instalarea sistemului de operare

Pentru nceput trebuie s intra i n BIOS-ul sistemului de calcul i s l

configura i astfel nct s booteze de de CD/DVD. Apoi introduceti CD-ul de

instalare Windows 2003 Server in unitatea CD ROM. Cand sistemul porneste,

urmariti mesajul Press any key to boot from CD.. (Apasati orice tasta pentru

a boot-a de pe CD)

Daca mesajul apare, apsa i orice tasta de pe tastatur pentru ca sistemul sa

booteze de pe CD. Sistemul va ncepe acum sa inspecteze configura ia

hardware. Daca mesajul nu

apare, unitatea de hard disk

este goala i sistemul va ncepe

sa inspecteze configura ia

hardware. Va trebui s fim de

acord cu termenii de licen iere

i apoi dac totul este n regul

vom avea acces la programul de parti ionare i vom realiza parti iile necesare.

Datorit avantajelor evidente formatarea parti iei se va realiza n sistemul de

fi iere NTFS. Va ncepe apoi procesul de copiere al fi ierelor, sisstemul se va

restarta i procesul de instalare va continua n mod grafic:


32/53

Vor trebui apoi configurate

setrile regionale, modul de

licen iere (pe server sau pe

sta ie de lucru), numele

calculatorului i setrile de

re ea.

Cu aceasta s-a ncheiat prima

parte a procesului de instalare.

Dac dori i s instala i

Windows 2003 server R2, procesul de instalare va continua cu cererea celui

de-al 2-lea CD. Dup ce instalarea celui de-al 2-lea CD s-a ncheiat va apare

ecranul binecunoscut







33/53


media,

Organizarea clasei: Pregtirea practic se va realiza cu clasa mprit n grupe de 2-3 elevi.



34/53

Tema 5 - Configurarea sistemelor de operare n re ea

Fisa 5.1. Configurarea Active Directory

Deoarece securitatea i

managementul securitii este un

element cheie n ceea ce

nseamn Active Directory pentru

un domeniu, vom prezenta n

continuare, pe scurt, cteva

noiuni i opiuni pe care trebuie

s le cunoatei atunci cnd

abordai un server Windows

2003.

Fereastra Group Policy este mprit n dou mari categorii:

Computer Configuration (politica staiilor de lucru i a serverelor din domeniu);

User Configuration (politica de securitate pentru utilizatorii din grupul organizaional

respectiv).

Dac un grup organizaional conine numai utilizatori sau numai calculatoare, cealalt

opiune poate fi blocat din fereastra de proprieti a politicii de securitate.

n momentul n care activai una dintre cele 2 opiuni, va aprea pe ecranul d-voastr o

fereastr de atenionare cu privire la consecinele care pot fi generate n urma acestei

operaiuni, respectiv faptul c staiilor de lucru din acest grup organizaional le va fi aplicat

politica de securitate local. V recomandm s creai o politic de securitate cu

preponderen orientat spre utilizator, pentru c pe aceeai staie se pot conecta diferite


35/53

categorii de utilizatori care pot avea diferite niveluri de acces la aceasta, anumite operaiuni

fiindu-le private de o eventual politic de securitate eronat specificat.

O prim subcategorie ntlnit la ambele categorii este Software Settings ce conine

opiunea Software installation, care presupune instalarea automat a unor aplicaii

mpachetate n prealabil n mod administrativ. Pachetele utilizate n acest scop snt

recunoscute sub extensia MSI. Aceste pachete se salveaz ntr-un director pus la

dispoziie n reea. Instrumentele respective se bazeaz pe crearea unei imagini (snapshot)

a regitrilor sistemului de operare, instalarea i configurarea aplicaiilor, repornirea

sistemului, mpachetarea aplicaiei prin preluarea fiierelor de pe disc, precum i a cheilor

introduse n regitri.

n subcategoria Windows Settings exist opiunea Scripts care, pentru Computer

Configuration, include opiunile Startup i Shutdown, iar la User Configuration include Log

on i Log off. Aici se pot specifica diferite script-uri care s se declaneze n momentul n

care staia sau utilizatorul se autentific n reea.

O opiune din politica de securitate poate avea 3 stri:

Nedefinit/neconfigurat (not defined/not configured);

Definit/Activ (specificarea unei valori/Enabled);

Indisponibil (Disabled).

n continuare, vom ncerca s explicm cteva dintre opiunile politicii uzuale de securitate,

valorile aferente i, nainte de toate, calea de a ajunge la opiunea respectiv.

Computer Configuration\ Windows Settings\ Security Settings\ Account Policies\

Password Policies:

Maximum password age (durata maxim de valabilitate a unei parole) - foreaz

utilizatorul ca dup un anumit numr de zile (implicit 70) s-i schimbe parola. Este n

strns legtur cu Minimum Password age (durata minim de valabilitate a unei parole)

(implicit 30 de zile).


36/53


37/53

din reea. Schimbai asemntor exemplului anterior aceast opiune, definind dreptul de

acces grupurilor administrative la nivel de domeniu.

Computer Configuration\ Windows Settings\ Security Settings\ Local Policies\

Security Options:

Additional restrictions for anonymous access (Acces limitat conexiunilor anonime). Orice

utilizator din domeniul curent sau din alte domenii poate vedea, n mod implicit, resursele

puse la dispoziie n reea. Pentru a oferi o mai bun protecie domeniului recomandm

opiunea Do not allow enumeration of SAM accounts and shares, care nlocuiete grupul

de utilizatori Everyone cu Authenticated Users n definirea politicilor locale de acces la

diferite resurse. n acest fel, numai utilizatorii din Active Directory pot avea acces la

resursele domeniului: share-uri, imprimante etc.

Automatically log off users when logon time expires (Deconectarea automat de la reea

n momentul expirrii timpului de lucru). Pentru anumite categorii de utilizatori sau n mod

individual poate fi configurat un interval orar de acces n reea. n momentul n care

utilizatorul depete timpul alocat, acesta este deconectat automat de la resursele

reelelor. De asemenea, i versiunea urmtoare (local) trebuie activat pentru ca sistemul

s deconecteze automat utilizatorul.

Do not display last user name in logon screen (Neafiarea numelui ultimului utilizator

conectat pe staia curent). n cazul reelelor cu muli utilizatori, activarea acestei opiuni

aduce un spor de siguran la conectarea n reea, muli utilizatori nefiind destul de ateni la

ultimul User Name scris n fereastra de Log On. n cazul n care ntr-o reea acelai

utilizator lucreaz cu preponderen pe aceeai staie, activarea acestei opiuni nu este

recomandat.

Message text for users attempting to log on (Mesajul pentru utilizatorii care doresc s se

conecteze n reea). Aici se poate trece un mesaj de informare a utilizatorilor care se

conecteaz n reea. Opiunea Message title for users attempting to log on specific tipul

ferestrei de mesaj (de exemplu, Bun venit n cadrul reelei TOTC).

Number of previous logons to cache (in case domain controller is not available) (Numrul

conectrilor anterioare salvate local n cazul n care serverul de domeniu nu este


38/53

disponibil) - permite conectarea pe staii folosind utilizatorii de domeniu chiar i n cazul n

care serverul de autentificare este temporar indisponibil. Aceast opiune este

recomandabil numai n cazul n care domeniul conine puini utilizatori, i acetia se

conecteaz cu precdere pe aceeai staie. n cazul domeniilor cu muli utilizatori, crearea

profilurilor de utilizatori locali duce la o diminuare a spaiului disponibil pe disc. Valoarea 0este corespondent cazului al doilea.

Prompt user to change password before expiration (Atenionarea utilizatorului pentru a-i

schimba parola cu un anumit timp nainte de expirare). Se exprim n zile, valoarea

implicit fiind 14. V recomandm ns o valoare mai mic, 5 sau 7, pentru a nu deranja

utilizatorul la fiecare conectare. Schimbarea parolei acestuia duce la anularea apariiei

mesajului de avertizare pn la urmtorul termen.

Restrict CD-ROM access to locally logged-on user only (Blocarea accesului la CD-ROM

utilizatorilor autentificai de staie i nu de serverul de domeniu). Se utilizeaz pentru

prevenirea instalrii unor aplicaii, copierii de fiiere etc. de ali utilizatori dect cei

autentificai n domeniu. De asemenea, se poate interzice accesul ctre unitatea de

dischet prin urmtoarea opiune : Restrict floppy access to locally logged-on user only.

Computer Configuration\ Windows Settings\ Security Settings\ Restricted Groups

este destinat limitrii drepturilor anumitor grupuri de utilizatori, prin adugarea acestora naceast categorie

Computer Configuratiom Windows Settings\ Security Settings\ System Services este

destinat configurrii serviciilor care vor rula pe staiile de lucru din domeniu. Se pot defini

modul de pornire a serviciului, precum i grupurile de utilizatori care au dreptul de pornire a

respectivului serviciu.

Atenie la modul de pornire a anumitor servicii. Testai n prealabil pe o staie obinuit

care dintre servicii v pot asigura o funcionalitate optim i care pot fi oprite. Este bine

cunoscut c un numr mai mic de servicii aduce cu sine i o memorie RAM suplimentar.

Computer Configuration\ Windows Settings\ Security Settings\ Registry este opiunea

prin intermediul creia administratorii pot defini permisiuni de acces utilizatorilor pe anumite

seciuni din regitrii sistemului de operare de pe staiile de lucru.


39/53

Computer Configuration\ Windows Settings\ Security Settings\ File System permite

administratorilor adugarea i definirea politicii de securitate la nivelul directoarelor i

fiierelor de pe staiile de lucru.

Computer Configuration\ Administrative Templates conine o serie de abloane de

opiuni predefinite configurabile. abloanele implicite snt conf, inetres, system.

ncetarea apariiei ferestrei de bun venit la conectarea n reea: Computer Configuratori

Administrative Templates\ System\ Don't display welcome screen at logo.

Blocarea rulrii automate a unui CD n momentul introducerii acestuia n unitatea de CD-

ROM : Computer Configuration\ Administrative Templates\ System\ Disable Autoplay.

n cazul n care avei mai multe servere de autentificare pentru domeniu, propagareaschimbrilor care se efectueaz pe acestea poate fi configurat din: Computer

Configuration\ Administrative Templates\ System\ Group Policy\ Group Policy refresh

interval for domain controllers. Valoarea implicit este de 5 minute.

Prezentarea principalelor categorii din User Configuration

Personalizarea titlului pentru Internet Explorer i a imaginii de pe bara cu instrumente:

User Configuration\ Windows Settings\ Internet Explorer Maintenance\ Browser User

Interface\ Browser Title

Specificarea unui proxy pentru comunicarea pe Internet: User Configuration\ Windows

Settings\ Internet Explorer Maintenance\ Connection\ Proxy Settings

Personalizarea paginii de start (home page), a paginii de cutare i a paginii pentru

asistena tehnic: User Configuration\ Windows Settings\ Internet Explorer Maintenance\

URLs\ Important URLs Aceast opiune este foarte important pentru configurarea unei

pagini HTML drept desktop al staiilor din domeniu.

Pentru specificarea altei locaii directorului My Documents: User Configuration\ Windows

Settings\ Folder Redirection\My Documents. n lista Settings exist opiunea Basic -

Redirect everyone 's folder to the same location (redirecionarea tuturor utilizatorilor ctre


40/53

aceeai locaie), iar la Target folder location trecei adresa la care va fi redirecionat

automat directorul My Documents pentru fiecare utilizator n parte.

Interzicerea schimbrii paginii de start (home page): User Configuration\ Administrative

Templates\ Windows Components\ Internet Explorer\ Disable changing home page

settings.

Ascunderea opiunii Folder Option din meniul Tools din Windows Explorer cu scopul de a

nu permite utilizatorilor vizualizarea unor fiiere ascunse, sau fiiere sistem, n scop

distructiv, sau a eliminrii lor din necunotin de cauz: User Configuration\ Administrative

Templates\ Windows Components\ Windows Explorer\ Removes the Folder Option menu

item from the Tools menu. Opiunea ascunderii fiierelor i eliminarea posibilitii de

dezascundere poate fi depit cu utilitarul Command Prompt, comanda attrib.

Ascunderea anumitor discuri n My Computer, pentru a restriciona accesul la acestea:

User Configuration\ Administrative Templates\ Windows Components\ Windows Explorer\

Hide these specified drives in My Computer. Foarte multe erori care se ntmpl la

utilizarea calculatoarelor sunt cauzate de mutarea accidental prin drag-and-drop a

directoarelor dintr-o locaie n alta. Pentru protejarea sistemului de operare, dar i pentru a

pstra o ordine n organizarea fiierelor de pe discul C:, v recomandm s activai

opiunea Restrict C drive only. De asemenea, putei bloca accesul la discurile A: sau B:pentru a v proteja i prin aceast cale de utilizatorii care pot transporta virui pe dischete

(Restrict A, B and C drives only). n cazul n care dorii blocarea accesului la CD-ROM,

trebuie s activai opiunea Restrict D drive only, cu specificarea faptului c trebuie s v

configurai partiiile de pe staiile de lucru (Administrative Tools\ Computer Management\

Disk Management) n aa fel nct discul de CD-ROM s aib asignat litera D. Dac staia

d-voastr face parte dintr-un domeniu public, gen i-cafe, putei ascunde toate discurile de

pe staie, prin activarea opiunii Restrict all drives. Chiar dac activai aceast politic de

securitate, accesul la discuri este posibil din Command Prompt numai dac nu ai

dezactivat aceast opiune.

Eliminarea iconiei My Network Places din Windows Explorer pentru a preveni accesul

neautorizat n reea: User Configuration\ Administrative Templates\ Windows Components

Windows Explorer\ No Entire Network" in My Network Places.


41/53

Specificarea numrului maxim de documente stocate n lista documentelor recent

apelate: User Configuration\ Administrative Templates\ Windows ComponentsX Windows

ExplorerX Maximum number of recent documents (valoare implicit: 15).:

Eliminarea opiunii Run din meniul Start: User Configuration\ Administrative Templates\

Start Menu & Taskbar\ Remove Run Menu from Start Menu.

Ascunderea iconiei de acces la reea de pe Desktop : User Configuration\ Administrative

Templates\ Desktop\ Hide My Network Places icon on desktop.

Interzicerea schimbrii destinaiei directorului sistem My Documents: User Configuration\

Administrative Templates\ Desktop\ Prohibit user from changing My Documents path.

Ascunderea resursei Active Directory n reea: User Configuratori AdministrativeTemplates\ Desktop\ Active Directory\ Hide Active Directory folder.

Interzicerea accesului la tabloul de bord al calculatorului (Control Panel): User

Configuratori Administrative Templates\ Control Panel\ Disable Control Panel.

Dac dorii n schimb s pstrai numai anumite componente n Control Panel, putei

alege opiunea Show only specified control panel applets i specificai numele

componentelor pe care le dorii. Componentele pe care le putei folosi le gsii n directorul

n care a fost instalat sistemul de operare, subdirectorul System32, sub forma unor fiiere

cu extensia CPL. Pot exista n schimb i neclariti n legtur cu aceste componente

pentru c, de exemplu, nu exist nici un CPL care s deschid fereastra de configurare a

tastaturii, i nici a imprimantelor.

Interzicerea modificrii setrilor pentru display : User Configuration\Administrative

Templates\ Control Panel\ Display\ Disable Display n Control Panel. Aceast regul poate

fi considerat una dintre cele mai drastice pentru utilizatorul final. Folosirea acestei politici

de securitate diminueaz posibilitatea de apariie a unor cazuri de acest gen, pentru c n

utilitarul Paint exist nc posibilitatea de setare a unei imagini drept fundal al desktop-ului

d-voastr.


42/53

Interzicerea modificrii parametrilor TCP/IP : User Configuratori Administrative

Templates\ Network\ Network and Dial-up Connections\ Allow TCP/IP advanced

configuration

Blocarea accesului la utilitarul pentru comenzi (Command Prompt): User Configuratori

Administrative Templates\ System\ Disable the command prompt. n aceast seciune, la

opiunea Enabled foarte important este modul n care se vor executa script-urile. Dac la

procesul de autentificare de reea avei script-uri de tip BAT pentru diferite operaiuni,

alegei din lista Disable the command prompt script processing also opiunea No.

Interzicerea accesului la regitrii sistemului de operare, activai opiunea Disable registry

editing tools.

Interzicerea accesului ctre anumite aplicaii: Do not run specified Windows applications

Limitarea accesului la aplicaia de gestiune a proceselor (Task Manager): User

Configuratori Administrative Templates\ System\ Logon\ Logoff\ Disable Task Manager;

recomandm aceast opiune n momentul n care rulai aplicaii de monitorizare pe staiile

de lucru sub form de servicii, pentru a preveni oprirea neautorizat a acestora de ctre

utilizatori.







media,


3 elevi.


43/53



44/53

Tema 6: Securitatea NOS

Fisa 6.1. Securizarea sistemului

Securitatea se refer la meninerea sistemului n stare de funcionare n regi

continuu i la parametri normali. Securitatea nu se refer doar la protejarea mpotriva

diferitelor tipuri de atacuri, ci i la protecia mpotriva cderilor hardware (a harddisk-urilor),

a tergerii accidentale a datelor.

Un server este supus permanent riscurilor unor atacuri de diferite feluri, aceste

provenind de la distan sau chiar de pe propria main. Atacurile pot fi:

atacuri de refuz al serviciilor (Denial of Service), care degradeaz sau defecteas

anumite servicii ale programului;

atacuri n vederea obinerii de privilegii asupra sistemului;

atacuri n vederea copierii sau distrugerii de informaii.

Principalele tipuri de atacuri:

Poate fi stopat prin introducerea n fiierele de configurare a accesului din cadrul

MTA a unei directive de refuzare a mesajelor provenind de pe maina sau de la utilizatorul

respectiv. Aceast soluie nu rezolva ns problema traficului prin reea.

2. Spam (e-mail spamming)

De obicei, adresa expeditorului este fals (pentru a nu putea fi descoperit), astfel

c acest tip de

atac poate fi prevenit configurnd serviciul de e-mail pentru a respinge e-mail-urile

provenite de pe domenii care nu pot fi rezolvate.

3. Falsificarea adresei expeditorului (E-mail spoofing)

Serverul (sau serverele, n unele cazuri) de mail care a transmis mesajul poate fi

determinat prin analiza antetului mesajului. Se recomand contactarea administra


45/53

torului serverului respectiv i solicitarea de informaii privind originea mesajului

(acestea pot fi obinute din fiierele jurnal ale sistemului)'.

4. Abonarea nesolicitat la liste de discuii

Reprezint nscrierea unei adrese e-mail pe una sau mai multe liste de discuiifr ca persoana creia i aparine adresa s fi cerut explicit acest lucru. Nu exist

soluii rapide pentru stoparea acestor atacuri, ci doar trimiterea de cereri de dez-

abonare. :

5. Atacuri pentru refuzul serviciilor (Denial of Service) '

Prevenirea atacurilor de tip DoS se poate face prin instalarea de firewalluri (care s

filtreze pachetele ctre porturi care trebuie protejate, precum i pachetele ICMP) instalareade conexiuni de siguran (backup) i dezactivarea serviciilor care n necesare (pentru a

diminua expunerea acestora la potenialele atacuri).

6. Depirea zonelor tampon

Acest tip de atac nu poate veni ns din afara mainii, ci din interiorul i nu poate fi

prevenit. Pe msur ce asemenea erori sunt descoperite, sunt generate actualizri ale

programelor.

7. Interceptarea reelei (IP sniffing)

Un asemenea atac se poate preveni doar din interiorul reelei locale. Pentru a

preveni, este bine s utilizm, cel puin pentru transmiterea parolelor din protocoale sigure,

criptate, cum ar fi SSH.

8. Cai troieni (Trojan horses)

Toate fiierele executabile sau arhivele coninnd programe descrcate de pe

Internet (chiar i de pe iturile oficiale) trebuie verificate nainte de a fi instalate i

executate. De asemenea, se recomand realizarea periodic de copii de siguran a

sistemelor de fiiere, pentru a putea restaura fiierele executabile originale n alterrii

acestora de ctre cai troieni.


46/53

9. Ui ascunse

Uile ascunse sunt cazuri particulare de cai troieni. Un asemenea program

creeaz o poart" (de exemplu, un utilizator nou) care s permit accesul ulterior la

calculatorul n cauz sau s acorde unui anumit utilizator privilegii speciale. Spre exemplu,

un cal troian poate nlocui fiierul /bin/login, care are rolul de a autentifica utilizatorii, pentru

a salva parolele tastate de acetia ntr-un fiier ascuns;

10. Virui

Viruii sunt programe care pot efectua operaiuni nedorite, de obicei distructive, i

care au capacitatea de a se multiplica", adic de a infecta i alte programe. Viruii rezid

n general n cadrul fiierelor executabile. Sistemele UNIX nu sunt vulnerabile la virui,

datorit gestiunii stricte a memoriei i a proceselor care se execut. Este recomandat, norice caz, s nu se execute ca root nici un fiier executabil despre care nu se cunoate ce

face.

11. Viermi (Worms)

Viermii sunt programe de sine stttoare, capabile s se multiplice, s se transfere

pe alte calculatoare i, eventual, s efectueze operaii distructive. Sistemele FreeBSD nu

sunt afectate de viermi.

12. Ghicirea parolelor (password guessing)

Acest tip de atac se refer la folosirea unui program pentru a determina parolele

prost alese, denumit n genere sprgtor de parole (cracker). Un astfel de program poate

determina, printr-o analiz comparativ, o coresponden ntre variantele de presupuse

parole criptate.

13. Folosirea de anumite vulnerabiliti (bugs) a programelor / serviciilor existente

pe server

De obicei, problema securitii nu se pune la nivel de nucleu al sistemului de

operare, ci la nivelul aplicaiilor. La anumite perioade de timp sunt descoperite


47/53

vulnerabiliti n aplicaiile instalate n sistem, n servicii, unele dintre ele putnd fi folosite

pentru a obine accesul n sistem.

Reuita atacurilor este de cele mai multe ori cauzat de configurri slabe ale

sistemului sau de neglijarea erorilor (bugs) de securitate descoperite i de lipsa update-uui

la timp a programelor ce prezint vulnerabiliti. De aceea trebuie acordat o importan

mare configurrilor de dup instalare.

Ac iuni ce trebuie ntreprinse pentru a se asigura securizarea unui sistem de

operare n re ea:

Sigurana fizic a sistemului - Instalarea mainii trebuie

realizat ntr-un loc sigur, s nu fie expus contactului cu persoane

neautorizate. Acestea nu trebuie s aib posibilitatea sau timpul necesar dea nltura carcasa, de a modific configuraia hardware, de a opri i apo

reporni maina (eventual n modul single), de a nlocui sau copia informaiile

discuri sau de a inocula programe ruvoitoare (cai troieni). De asemenea,

mediile de stocare a salvrilor de siguran trebuie s fie pstrate ntr-un loc

nchis, fr posibilitate de acces (e.g., un seif).

Salvrile de siguran - Se recomand salvarea periodic cel

puin a fiierelor importante i, dac este posibil a ntregului coninut al

sistemelor de fiiere.

Drepturile de acces Ia fiierele importante - Trebuie acordat o

atenie sporit drepturilor de acces la fiierele importante: fiierele de

configurare ale diverselor servicii instalate n sistem, fiierele jurnal (log-

uri), executabilele care nu trebuie s poat fi apelate de ctre utilizatorii

obinuii, precum i alte fiiere importante (spre exemplu, baze de dateMySQL, PostreSQL etc.), executabilele i scripturile de iniializare ale

sistemului nu trebuie s poat fi modificate dect de root / administrator.

Execuia daemonilor / proceselor - Se recomand ca numai

daemonii / procesele utilizai(te) curent s ruleze pe sistem. Mai muli(te)

daemoni / servicii nseamn o ncrcare mai mare a sistemului, precum i


48/53


49/53

Cum predm ? Ca metode de predare nvare se recomand utilizarea

combinat a explicaiei cu dialogul dirijat, exemplificarea i exemplul practic.

Mijloace utilizate: Materiale suport ce conin noiunile de baz, fie de

lucru, prezentri media,

Organizarea clasei: Pregtirea practic se va realiza cu clasa mprit

n grupe de 2-3 elevi.



50/53

Fia rezumat

Numele elevului: _________________________

Numele profesorului:_________________________

Competenecare trebuiedobndite

Activiti efectuate icomentarii Dataactivitatii

Evaluare

Bine Satis-fctor Refacere

Identificdispozi tive icircuite electroniceanalogice idigitale utilizate nrealizareaechipamentelor detelecomunicaii

Activitate 1

Activitate2

Interpreteazparametrii cecaracterizeazfuncionareacircuitelorelectronice dinechipamentele de

telecomunicaii

Citete scheme cucircuite electronicedin echipamentelede telecomunicaii

Depaneazsubansambleelectronice dinechipamentele detelecomunicaii

Comentarii Prioriti de dezvoltare


51/53

Competene care urmeaz s fiedobndite (pentru fia urmtoare)

Resurse necesare

Competene care trebuie dobnditeAceast fi de nregistrare este fcut pentru a evalua, n mod separat, evolui

legat de diferite competene. Acest lucru nseamn specificarea competenelor tehnic

generale i competenelor pentru abiliti cheie, care trebuie dezvoltate i evaluate

Profesorul poate utiliza fiele de lucru prezentate n auxiliar i/sau poate elabora alt

lucrri n conformitate cu criteriile de performan ale competenei vizate i d

specializarea clasei.

Activiti efectuate i comentariiAici ar trebui s se poat nregistra tipurile de activiti efectuate de elev

materialele utilizate i orice alte comentarii suplimentare care ar putea fi relevante pentr

planificare sau feed-back.

Prioriti pentru dezvoltarePartea inferioar a fiei este conceput pentru a meniona activitile pe car

elevul trebuie s le efectueze n perioada urmtoare ca parte a viitoarelor module

Aceste informaii ar trebui s permit profesorilor implicai s pregteasc elevul pentr

ceea ce va urma.

Competenele care urmeaz s fie dobnditen aceast csu, profesorii trebuie s nscrie competenele care urmeaz a

dobndite. Acest lucru poate implica continuarea lucrului pentru aceleai competene sa

identificarea altora care trebuie avute in vedere.

Resurse necesareAici se pot nscrie orice fel de resurse speciale solicitate:manuale tehnice, reete

seturi de instruciuni i orice fel de fie de lucru care ar putea reprezenta o surs d

informare suplimentar pentru un elev care nu a dobndit competenele cerute.


52/53


53/53

Bibliografie

Drago Acostchioaie - FreeBSD Utilizare, Administrare, Configurare

Adrian Munteanu Re ele locale de calculatoare proiectare i administrare

Adrian Munteanu Re ele windows Servere i clien i. Exemple practice

Damir Bersinic Windows 2000 Directory Services Infrastructure

Michael Turner Administrarea RedHat Linux, Cuno tin e esen iale

Radu Mr anu Calculatoare personale elemente arhitecturale