Отчет по преддипломной практике в ФГБОУ ВПО Челябинском государственном педагогическом университете

 

В системах Windows XP и Windows Server 2003 имеется функция Remote Assistance, позволяющая пользователю инициировать доступ к своему компьютеру и получать помощь в сложных ситуациях. Для её использования обе системы должны работать под управлением Windows ХР или Windows Server 2003. При включении Remote Assistance по умолчанию разрешено и удалённое управление компьютером. При этом для управления компьютером всегда требуется дополнительное, явное разрешение со стороны “хозяина” этого компьютера во время сеанса работы удалённого помощника. Если на компьютере под управлением Windows XP или Windows Server 2003 установлен веб-сервер в составе служб Internet Information Services (IIS), то через этот компьютер можно осуществлять удалённый доступ к любой системе Windows XP или Windows Server 2003, находящейся в той же локальной сети, из веб-браузера Internet Explorer, работающего в любой ОС. Такая возможность позволяет, например, на маломощном компьютере под управлением Windows 95 запустить браузер и, введя имя удалённой системы Windows Server 2003 на базе какого-нибудь мощного процессора, работать на ней в полноэкранном режиме. Все сессии удалённого доступа шифруются, чтобы исключить несанкционированный доступ к данным и системам. Для управления средой пользователя предназначены средства систем Windows 2000/XP и Windows Server 2003.

 

Профили пользователей. В профиле пользователя хранятся все, определённые им, настройки  рабочей среды системы, например, настройки экрана и соединения с  сетью. Они автоматически сохраняются  в папке.

 

Сценарий  входа в систему (сценарий регистрации) представляет командный файл с расширением  “bat” или “cmd”, исполняемый файл с расширением “ехе” или сценарий “VBScript”, запускающийся при каждой регистрации пользователя в системе или выходе из неё. Он может содержать команды ОС, предназначенные, например, для создания соединения с сетью или для запуска приложения. С его помощью можно устанавливать значения переменных среды, указывающих пути поиска, каталоги для временных файлов и другую подобную информацию. Сервер сценариев Windows предназначен для выполнения сценариев прямо на рабочем столе Windows или в окне консоли команд. При этом сценарии ненужно встраивать в документ HTML. Сервер сценариев позволяет применять в ОС Windows простые мощные и гибкие сценарии. Раньше единственным языком сценариев, поддерживаемым ОС Windows, был язык команд MS-DOS (командный файл). Этот быстрый и компактный язык по сравнению с языками VBScript и JScript, обладает ограниченными возможностями. Архитектура сценариев ActiveX позволяет использовать все средства таких языков сценариев, как VBScript и JScript, одновременно сохраняя совместимость с набором команд MS-DOS. Для конфигурирования, поиска, выделения памяти определённым программам и управления приложениями ОС Windows Server 2003 и прикладные программы требуют определённой информации, называемой переменными среды (environment variables) системы и пользователя. Эти переменные похожи на устанавливаемые в ОС MS-DOS, например PATH и TEMP.

 

Системные переменные среды определяются в  Windows Server 2003 независимо от того, кто зарегистрировался на компьютере. Если зарегистрировался член группы Administrators, то он может добавить новые переменные или изменить их значения. Переменные среды пользователя устанавливаются индивидуально для каждого пользователя одного и того же компьютера. После изменения переменных среды их новые величины сохранятся в реестре. Полный путь в командной строке команды path создаётся присоединением путей, устанавливаемых в файле Autoexec.bat, к путям, определённым в окне Environment Variables.

 

Аудит –  процесс фиксирования событий, происходящих в ОС и имеющих отношение к  безопасности: например, регистрация  в системе или попытки создания объекта файловой системы, получения  к нему доступа или удаления. Информация о подобных событиях заносится в  файл журнала событий ОС. Полученную в результате информацию (журнал Security) можно просмотреть с помощью Event Viewer (Просмотр событий). В процессе настройки аудита указывают, какие события должны быть отслежены. Информация о них помещается в журнал событий. Каждая запись журнала хранит данные о типе выполненного действия, пользователе, выполнившем его, о дате и моменте времени выполнения данного действия. Аудит позволяет отслеживать любые попытки выполнения определённого действия. В журнале событий отражаются все попытки выполнения, в том числе неразрешённых действий. Для настройки аудита необходимо иметь права администратора.

 

С помощью  планировщика заданий (Task Scheduler) можно составить расписание запуска командных файлов, документов, обычных приложений или различных утилит для обслуживания системы. Программы могут запускаться однократно, ежедневно, еженедельно или ежемесячно в заданные дни, при загрузке системы или регистрации в ней, а также при бездействии системы (idle state). Планировщик позволяет задавать сложное расписание для выполнения заданий, включающее продолжительность задания, время его окончания, количество повторов, зависимость от состояния источника питания (работа от сети или от батарей) и т. п. Задание сохраняется как файл с расширением “job”, который можно перемещать с одного компьютера на другой. Администраторы могут создавать файлы заданий для обслуживания систем и переносить их в нужное место. К папке заданий можно обращаться удалённо, кроме того, задания можно пересылать по электронной почте. При перемещении файла “*.job” в другую систему необходимо восстановить разрешения на его использование, поскольку эти полномочия хранятся в системе безопасности Windows. При создании задания указывают имя и пароль пользователя, определяющие контекст безопасности, в котором выполняется задание. Это позволяет запускать на одном компьютере несколько заданий с различными правами в отношении безопасности, т. е. несколько пользователей могут одновременно иметь индивидуальные, независимые расписания запланированных заданий.

 

 

 

АДМИНИСТРИРОВАНИЕ В СРЕДЕ UNIX/LINUX

 

После того как физическая сеть собрана, администратор  должен собственноручно назначить  на каждой машине адреса интерфейсам. Обычно это делается с консоли  того компьютера, который настраивается  для работы в сети. Существует возможность  динамической настройки с одного рабочего места всех машин сети. Однако, кроме явных преимуществ, к такого подхода есть срытые недостатки. Главный из них – это учёт статистики работы с каждой из машин системы. При динамическом назначении адресов машина может в разное время получать разные адреса, что не позволяет по адресу проидентифицировать машину. Многие же системы анализа трафика основываются на том, что соответствие между адресом и компьютером неизменно. Именно на этом принципе построены многие системы защиты от несанкционированного доступа.

 

Другой  причиной, заставляющей жёстко назначать  адреса компьютерам сети, является необходимость организации информационных сервисов на серверах сети. TCP/IP не имеет  механизма оповещения рабочих мест о месте нахождения сервиса. Широковещание  вообще не очень распространено в  сетях TCP/IP, в отличие от сетей  Novell или Microsoft. Каждый хост знает о наличии того или иного сервиса из файла своей настройки (например, указываются шлюз в другие сети или сервер доменных имен), или из файлов настроек прикладного ПО. Так, например, сервер WWW не посылает никакого широковещательного сообщения о том, что он установлен на данном компьютере в данной сети. Преимущество такого подхода заключается в низком трафике, порождаемом сетью TCP/IP. Этот трафик иногда значительно отличается, например, от трафика Novell. Кроме этого практически любое оборудование позволяет фильтровать трафик TCP/IP, что сильно облегчает сегментацию сети и делает её легко структурируемой. Для монтирования удалённой файловой системы нет необходимости в использовать межсетевой протокол для доставки протоколов локальной сети, так как стек TCP/IP сам реализует этот межсетевой обмен.

 

В рамках организации сети TCP/IP уделяется  внимание организации удалённых  рабочих мест программистов и  других сотрудников, использующих электронную  связь для оперативного обмена информацией, доступа к информационным ресурсам, обмена электронной почтой и др. Организовать такие рабочие места  в рамках сетей TCP/IP можно без особых проблем.

 

Подключение локальной сети TCP/IP к Интернет осуществляется через местного провайдера. Обычно это та же организация, у которой был получен блок адресов для локальной сети.

 

 

 

НАЗНАЧЕНИЕ  И ФУНКЦИОНИРОВАНИЕ БРАНДМАУЭРА 

 

При всех достоинствах сети TCP/IP имеют один врожденный недостаток – в них отсутствуют  встроенные способы защиты информации от несанкционированного доступа, поскольку  информация при способе доступа  – удалённый терминал – передаётся по сети открыто. Это означает, что  кто-то может найти способ просмотреть  передаваемые по сети пакеты, а значит получить коллекцию идентификаторов  и паролей пользователей TCP/IP сети. Способов совершить подобные действия множество. Сходные проблемы возникают  при организации доступа к  архивам FTP и серверам WWW. Поэтому  одним из основных принципов администрирования TCP/IP сетей является выработка общей  политики безопасности: администратор  определяет правила типа “кто, куда и откуда имеет право использовать те или иные информационные ресурсы”.

 

Эти проблемы в сетях обычно решаются путём  установления специальных защитных программных и программно-технических  средств – брандмауэров (FireWall – межсетевых фильтров, “стен”).

 

Управление  безопасностью начинается с управления таблицей маршрутов. При статическом  администрировании маршрутов включение  и удаление последних производится вручную, в случае динамической маршрутизации  эту работу выполняют программы  поддержки динамической маршрутизации. Следующий этап – управление системой доменных имен, определение разрешений на копирование описания домена и  контроля запросов на получение IP-адресов. Следующий барьер – системы фильтрации TCP/IP трафика. Наиболее распространённым средством такой борьбы являются системы FireWall. Используя эти программы можно определить номер протокола и номер порта, по которым можно принимать пакеты с определённых адресов и отправлять пакеты на определённые адреса. Наконец, последнее средство защиты – шифрация трафика. Для этой цели используется различное программное обеспечение, разработанное для организации защищённого обмена через общественные сети.

 

 

НАЗНАЧЕНИЕ PROXY-СЕРВЕРА 

 

Прокси-сервер (Proxy server) – специальный Интернет-сервер, управляющий входящим и исходящим трафиком Интернета в локальной сети. Прокси-сервер:

определяет  безопасность передачи сообщений или  файлов в сеть организации;

управляет доступом к сети;

фильтрует и отклоняет запросы согласно заданным параметрам.

 

Прокси-сервер собирает данные из Интернета и передаёт их по запросам браузерам в локальной  сети. Эти данные хранятся в разделяемом (общедоступном) кэше. Если эта информация запрашивается вновь, то она берётся из кэша. Поскольку кэш находится внутри ЛВС, передача данных происходит гораздо быстрее, чем в Интернете. В основном, кэш увеличивает скорость доступа в Интернет путём локального предоставления данных с уже посещённых сайтов, позволяя таким образом получать данные из Интернета только из ещё не посещённых мест. Результатом является улучшение производительности без изменения коммуникационных ресурсов.

 

Управление  доступом позволяет ограничивать права  доступа пользователей WWW-сервера. Прокси-сервер может использоваться для управления доступом к ресурсам Интернета. Например, можно ограничить доступ некоторым  пользователям к определённым Web-сайтам. Запрет может касаться отдельных  пользователей, групп пользователей  или отдельных URL. У каждого запрещённого URLа есть ассоциированный с ним список пользователей и групп, имеющих доступ к этому URL. Для получения доступа они должны вводить имя и пароль по подсказке браузера. При этом запрещенные URLы всегда доступны членам группы Администраторов.

3. Стратегии и планирование работ по развитию информационной структуры предприятия.

Внедрение ИТ системы может дать значительную эффективность по нескольким направлениям даже в одном бизнес процессе. Комплексная автоматизация учета добавит к эффектам задействованных бизнес-процессов эффект автоматизированной интеграции и консолидированной отчетности.

Однако, основная проблема большинства ИТ проектов, заключается в нечеткости целей проекта и как следствие отсутсвии стратегии их достижения. Причиной является незнание всех потенциальных эффектов автоматизации предприятия и способа их достижения. Следствием является несоответствие вложенных ресурсов и полученного эффекта от внедрения новой технологии, а также невнимание к структурным проблемам ИТ предприятия.

 

Документ  «Стратегия развития Информационных технологий (ИТ стратеия) предприятия» служит прежде всего для четкого определения целей и эффектов развития ИТ на предприятии. Он позволяет донести до руководства суть возможных перспектив, последовательность, длительность и стоимость шагов для их достижения. Это способствует адекватной реакции руководства на необходимые потребности ИТ для движения к обозначенным целям.

 

Невнятная, или неграмотная ИТ стратегия не достигает обозначенных целей и возвращает предприятию описанные проблемы.

 

Опыт  показывает, что методологически-правильная ИТ стратегия часто оказывается невыполнимой на данном предприятии. По этому, мы здесь дополняем методологию элементами позволяющими получить не только результат условно эффективного развития ИТ, но и стратегию, которая имеет реальные шансы быть реализованной в большом объеме.

Статья  разработана с точки зрения исполнителя  проекта. Это значит, что результатом  проекта является удовлетворенность  Заказчика разработанными документами. Сверхзадачей проекта будет эффективная  и органично реализуемая на предприятии  ИТ стратегия.