Безопасность компьютерных систем

1. Лекция: Использование виртуальных машин для изучения операционных систем на примере Microsoft Virtual PC 2007: версия для печати и PDA
В связи с тем, что средства для создания виртуальных машин часто применяются, в данной лекции мы поговорим об использовании виртуальных машин для изучения ОС на примере Virtual PC. Данная программа позволяет пользователю одновременно выполнять несколько операционных систем без использования множества компьютеров или необходимости перезагружать основной компьютер

Как указывается в толковом словаре, "виртуальная машина – это совокупность ресурсов, которые эмулируют поведение реальной машины" [[1]]. Это понятие существует не один десяток лет и пришло к нам из эпохи расцвета мэйнфреймов. В последнее время средства для создания виртуальных машин являются одним из часто используемых инструментов в лабораториях и отделах тестирования программного обеспечения, в компаниях, специализирующихся на разработке приложений, в исследовательских отделах компаний-разработчиков, а также в учебных центрах [[2]]. Наиболее известными решениями для создания виртуальных машин являются Microsoft® Virtual PC и VMware Workstation. В качестве примера будет рассмотрена Microsoft® Virtual PC 2007 (версия 6.0.156.0), выпущенная компанией Microsoft в 2007 году.

Прежде всего

Для изучения материалов этого занятия необходимо:

Компьютер под управлением операционной системы Windows XP Professional с параметрами по умолчанию, объемом оперативной памяти не менее 1 Гб и сетевой картой. Свободное место на жестком диске не менее 6 Гб. CD-ROM диск с дистрибутивом Virtual PC. Загрузочный CD-ROM с дистрибутивом Windows XP Professional. Загрузочный CD-ROM с дистрибутивом Windows Server 2003.

1.1. Microsoft® Virtual PC 2007

Microsoft® Virtual PC 2007 – это программа, которая позволяет пользователям одновременно работать с двумя или более операционными системами на своем компьютере. Virtual PC так точно эмулирует реальный компьютер, что приложения, установленные в виртуальном компьютере, не отличают виртуальную машину от реальной. Вместо установки операционных систем на множестве дорогостоящих компьютеров или создания громоздких установок с альтернативной загрузкой ОС (multi-boot), вы можете установить операционные системы во множество недорогих виртуальных машин. Изменения, проводимые в виртуальных машинах, никак не влияют на основной компьютер. В табл. 1.1 представлены возможные сценарии использования Virtual PC [[3]].

Virtual PC 2007, помимо возможностей предыдущей версии (Virtual PC 2004), обладает следующими плюсами [[5]]:

Оптимизация для Windows Vista. Произведены улучшения в производительности, использовании системных ресурсов и стабильности. Поддержка 64-битных версий ОС основного компьютера. Теперь Virtual PC можно установить на компьютер с 64-битной версией Windows Vista. Поддержка звуковых устройств в гостевых ОС Windows Vista. Теперь виртуальная машина с Windows Vista может проигрывать звуки через звуковые устройства основного компьютера. Загрузка с использованием PXE. Добавлена поддержка загрузки виртуальной машины с использованием сетевой карты.

Минимальные требования к компьютеру, на который будет установлена программа Virtual PC [[4]]:

Процессор – семейства AMD Athlon/Duron или семейства Intel Celeron, Pentium II, III, 4 с частотой минимум 400 МГц. Рекомендуется 1.0 ГГц или выше. При использовании многопроцессорного компьютера, Virtual PC будет загружать только один процессор. CD-ROM или DVD-привод. Монитор с разрешением 800x600 или выше. Клавиатура, мышь. Операционная система: Windows Vista Business, Windows Vista Enterprise, Windows Vista Ultimate, Windows Server 2003 Standard Edition, Windows Server 2003 Standard x64 Edition, Windows XP Professional или Windows XP Tablet PC Edition.

Перечень клиентских операционных систем очень обширен. Поддерживаются Windows 98, Windows Me, Windows NT 4.0 Workstation, Windows 2000 Professional, Windows XP, Windows 2000 Server, Windows Server 2003, OS/2 Warp Version 4 Fix Pack 15, OS/2 Warp Convenience Pack 1 и OS/2 Warp Convenience Pack 2 [[6]]. Как указывается в [[3]], существует возможность установить ОС сторонних фирм, включая Red Hat Linux, Novell NetWare.

В табл. 1.2 представлены минимальные требования различных операционных систем для их выполнения под управлением виртуальных машин [[4], [6]]. К указанным в таблице значениям необходимо прибавить требования основной (хостовой) операционной системы. При использовании нескольких виртуальных машин одновременно их требования необходимо суммировать [[6]].

1.2. Установка Virtual PC

Для установки программы вам необходимы права администратора на локальном компьютере [[3]]. Процесс инсталляции очень прост и после окончания не требует перезагрузки компьютера. Во время процесса установки сетевой адаптер вашего компьютера на некоторое время будет отключен от сети.

Когда установка закончена, для запуска программы достаточно привилегий обычного пользователя.

1.2.1. Шаг 1

Для установки приложения запустите исполняемый файл setup. exe. После запуска установочного файла на экране появляется мастер установки (рис. 1.1).

Рис. 1.1.  Мастер установки Virtual PC

Нажмите кнопку "Next" для пропуска диалогового окна "Welcome" ("Добро пожаловать").

Если на вашем компьютере уже установлена предыдущая версия Virtual PC, то на экране появится сообщение о необходимости выключить все ваши виртуальные машины (см. рис. 1.x). При установке Virtual PC 2007 все виртуальные машины, находящиеся в сохраненном состоянии (saved state), могут быть повреждены.

Рис. 1.x.  Предупреждение

1.2.2. Шаг 2

Диалоговое окно "License Agreement" содержит текст лицензионного соглашения. Прочтите его. Если вы согласны с условиями соглашения, выберите "I accept the terms in the license agreement" и нажмите на кнопку "Next" (рис. 1.2).

Рис. 1.2.  Лицензионное соглашение

1.2.3. Шаг 3

В следующем диалоговом окне (рис. 1.3) вам будет предложено ввести информацию о себе (имя, наименование организации) и регистрационный ключ (Product Key). Если вы используете дистрибутив, входящий в комплект поставки MSDN Academic Alliance, регистрационный номер вводить не нужно, так как он зафиксирован в программе установки и отображается серым шрифтом. В этом же окне необходимо определить – будет ли Virtual PC доступен всем пользователям, работающим за этим компьютером (Anyone who uses this computer), или только пользователю, с учетной записью которого вы устанавливаете Virtual PC (Only for me). После того, как вся информация введена, нажмите кнопку "Next".

Рис. 1.3.  Регистрационная информация

1.2.4. Шаг 4

В следующем диалоговом окне (рис. 1.4) можно сменить папку, в которую будет устанавливаться Virtual PC (кнопка "Change"). После выбора нужной папки нажмите кнопку "Install". Начнется процесс копирования нужных файлов на ваш компьютер.

Рис. 1.4.  Выбор папки для установки

Если на вашем компьютере нет сетевого адаптера, то в процессе установки появится предупреждение о невозможности установить драйвер сетевых служб виртуальной машины (рис. 1.5). Этот драйвер устанавливается, только если в вашем компьютере есть Ethernet или беспроводной (wireless) сетевой адаптер. Драйвер позволяет вашим виртуальным машинам подключаться к той же компьютерной сети, что и ваш реальный (physical) компьютер. Без этого драйвера виртуальные машины смогут взаимодействовать только между собой по виртуальной компьютерной сети в пределах вашего компьютера.

Рис. 1.5.  Сообщение о невозможности установить драйвер сетевых служб виртуальной машины

После успешной установки появится соответствующее сообщение (рис. 1.6). Нажмите кнопку "Finish".

Рис. 1.6.  Сообщение об успешной установке

После завершения установки в главном меню Windows вы найдете ярлык . После запуска программы появляется управляющая консоль Virtual PC (рис. 1.7).

Рис. 1.7.  Управляющая консоль Virtual PC

1.3. Настройка Virtual PC

У Virtual PC есть целый ряд настроек, которые определяют, как продукт будет взаимодействовать с физическим компьютером, распределять ресурсы и т. д. [[3]]. Для вызова окна настроек необходимо в управляющей консоли выполнить команду меню "File | Options". На рис. 1.8 показано окно настроек.

Рис. 1.8.  Диалоговое окно настроек Virtual PC

Ниже перечислены имеющиеся группы параметров.

1.3.1. Restore at Start

Вы можете выбрать, нужно ли восстанавливать запущенные виртуальные машины при запуске Virtual PC. Если включить этот параметр, то все виртуальные машины, запущенные во время завершения работы Virtual PC, будут восстановлены при следующем запуске Virtual PC (см. рис. 1.8).

1.3.2. Performance

Вы можете настроить, сколько процессорного времени виртуальные машины получат, когда они работают в фоновом и в активном режиме. Вы также можете настроить производительность всей программы Virtual PC при ее работе в фоновом режиме (рис. 1.9).

Рис. 1.9.  Настройка производительности

Первый параметр "CPU Time" содержит три альтернативы:

All running virtual machines get equal CPU time (все запущенные виртуальные машины получают одинаковое процессорное время). Allocate more CPU time to the virtual machine in the active window (выделить больше процессорного времени виртуальной машине в активном окне). Pause virtual machines in inactive windows (приостанавливать виртуальные машины, работающие в неактивных окнах).

Второй параметр "When Virtual PC is running in the background" определяет, что будет происходить, когда программа Virtual PC выполняется в фоновом режиме (т. е. не в активном окне):

Give processes on the host operating system priority (приоритет отдается процессам, выполняющимся в основной операционной системе, т. е. Virtual PC работает с более низким приоритетом, чем остальные программы на вашем компьютере). Run Virtual PC at maximum speed (выполнять Virtual PC на максимальной скорости).

1.3.3. Hardware Virtualization

Вы можете включить или выключить поддержку технологии аппаратной виртуализации Intel VT и AMD Pacific. Естественно, включить эту возможность можно только при наличии соответствующего аппаратного обеспечения. В противном случае, этот параметр недоступен (рис. 1.10). Подробнее об этой технологии вы можете прочитать в [[6]].

Рис. 1.10.  Настройка поддержки аппаратной виртуализации

1.3.4. Full-Screen Mode

Вы можете настроить Virtual PC на использование оптимального разрешения и глубины цвета в виртуальных машинах, выполняющихся в полноэкранном режиме. Если включить этот параметр, то разрешение экрана в основной операционной системе будет таким же, как в гостевой операционной системе (рис. 1.11).

Рис. 1.11.  Настройка работы во весь экран

1.3.5. Sound

Вы можете настроить Virtual PC на подавление звука от всех виртуальных машин. По умолчанию звук от всех виртуальных машин, работающих в фоновом режиме, подавляется. Если выключить этот параметр, то звук от всех виртуальных машин будет звучать одновременно. Помимо того, что это может запутать пользователя, может также ухудшиться качество звука при работе нескольких виртуальных машин (рис. 1.12).

Рис. 1.12.  Настройка подавления звука от виртуальных машин

1.3.6. Messages

Вы можете подавить все сообщения, выдаваемые Virtual PC, – для этого необходимо включить параметр "Don’t show any messages" (рис. 1.13). Кроме того, если при появлении сообщений от Virtual PC вы выставили флажок "Don’t show this message again" (Не показывать это сообщение снова), а теперь хотите, чтобы сообщения появлялись вновь, нажмите кнопку "Reset Messages" (рис. 1.13).

Рис. 1.13.  Настройка появления сообщений

1.3.7. Keyboard

Здесь вы можете задать клавишу, с помощью которой вы будете возвращать управление мышкой и клавиатурой основному компьютеру после их захвата виртуальным компьютером. В терминологии Virtual PC эта клавиша называется "host key". По умолчанию такой клавишей является правая клавиша "Alt" (рис. 1.14). Кроме того, комбинация клавиш "Alt+Ctrl+Del" будет работать всегда только для операционной системы основного компьютера. Если вы хотите воспользоваться этой комбинацией для виртуального компьютера, то необходимо будет использовать комбинацию клавиш "host key"+Del. Т. е. если в качестве "host key" задана правая клавиша "Alt", то эквивалентом "Alt+Ctrl+Del" для виртуального компьютера будет являться комбинация "правый Alt+Del".

Кроме того, здесь же можно определить, где будет работать клавиша "Windows" (). Существуют следующие варианты:

On guest operating system (в гостевой операционной системе); On host operating system (в основной операционной системе); In full-screen mode on guest operating system (в гостевой операционной системе только в полноэкранном режиме).

Рис. 1.14.  Настройка параметров клавиатуры

1.3.8. Mouse

Здесь Вы можете настроить, будет ли виртуальная машина захватывать мышь, когда вы щелкаете в окно виртуальной машины ("Clicking in the virtual machine window"), или это будет происходить автоматически, когда вы перемещаете указатель мыши над окном виртуальной машины ("Moving the pointer into the virtual machine window") (рис.1.15).

Рис. 1.15.  Настройка захвата мыши виртуальной машиной

1.3.9. Security

Здесь вы можете настроить параметры безопасности, которые запретят использование некоторых возможностей Virtual PC пользователям, не входящим в группу локальных администраторов. К таким возможностям относятся "Options" (настройка всех параметров Virtual PC), "Settings" (настройка параметров виртуальных машин), "New Virtual Machine Wizard" (запуск мастера создания новой виртуальной машины) и "Virtual Disk Wizard" (запуск мастера создания виртуальных дисков) (рис. 1.16).

Эти настройки очень полезны в условиях предприятия или учебного заведения, особенно если вы используете Virtual PC как средство миграции на новую операционную систему (см. табл. 1.1).

Рис. 1.16.  Настройка параметров безопасности

1.3.10. Language

Здесь вы можете задать язык интерфейса Virtual PC. В имеющейся у нас версии доступными являются английский, немецкий, французский, японский, итальянский и испанский языки (рис. 1.17). Для того чтобы изменение языка интерфейса вступило в силу, необходимо перезапустить Virtual PC.

Рис. 1.17.  Настройка языка интерфейса

1.4. Создание новой виртуальной машины

Для запуска мастера создания новой виртуальной машины необходимо в меню "File" выбрать команду "New Virtual Machine Wizard" или в окне "Virtual PC Console" нажать кнопку "New…" (рис. 1.18).

Рис. 1.18.  Консоль Virtual PC

Мастер создания новой виртуальной машины (New Virtual Machine Wizard) поможет вам создать и настроить новую виртуальную машину или добавить существующую виртуальную машину на консоль Virtual PC [[3]]. В дальнейшем все необходимые изменения параметров вы сможете произвести в диалоговом окне "Settings" ("Настройки"), которое можно вызвать с помощью меню "Action | Settings..." или с помощью кнопки "Settings" на консоли Virtual PC (см. рис. 1.18).

Мастер записывает конфигурацию виртуальной машины в файл с расширением *.vmc (рис. 1.19). Для продолжения нажмите кнопку "Next".

Рис. 1.19.  Консоль Virtual PC

В следующем окне (рис. 1.20) вам предлагается три варианта создания виртуальной машины:

Рис. 1.20.  Выбор варианта создания виртуальной машины

Выберите первый вариант (Create a virtual machine) и нажмите кнопку "Next". В следующем окне вам будет предложено ввести имя и расположение конфигурационного файла с виртуальной машиной (рис. 1.21). По умолчанию файл будет автоматически сохранен в папку "Мои документы\My Virtual Machines". Для задания другого расположения нажмите кнопку "Browse...". Как показала практика использования программы Virtual PC, удобнее всего сохранять каждую виртуальную машину в свою собственную папку. Это позволит в дальнейшем очень просто переносить виртуальную машину, созданную на одном компьютере, на другой.

Рис. 1.21.  Задание имени и расположения виртуальной машины

Введите название виртуальной машины, которое поможет вам в дальнейшем идентифицировать эту машину, ее программную конфигурацию или операционную систему, установленную на нее. Для нашего примера введем в поле "Name and location" имя Windows XP Professional и нажмем кнопку "Next".

В следующем окне вам будет предложено выбрать операционную систему, которую вы планируете установить на создаваемую виртуальную машину (рис. 1.22). Выбор операционной системы позволяет мастеру создания виртуальной машины рекомендовать соответствующие настройки для виртуальной машины. Если нужной операционной системы нет в приведенном списке, выберите операционную систему, которой требуется такое же количество памяти, как и для планируемой к установке. Или выберите вариант "Other" (рис. 1.23). Для нашего примера выберем "Windows XP" и нажмем кнопку "Next".

Рис. 1.22.  Выбор операционной системы

Рис. 1.23.  Список операционных систем

В следующем окне вам будет предложено задать размер оперативной памяти для создаваемой виртуальной машины (рис. 1.24). У вас есть два варианта: либо использовать рекомендуемый мастером размер для указанной ранее вами операционной системы ("Using the recommended RAM"), либо задать размер самостоятельно ("Adjusting the RAM"). Во втором случае внешний вид окна изменится (рис. 1.25).

Для нашего примера согласимся с предлагаемым размером (128 Мб) и нажмем кнопку "Next".

Рис. 1.24.  Задание размера ОЗУ для виртуальной машины

Рис. 1.25.  Изменение рекомендуемого размера ОЗУ

Для установки операционной системы на виртуальном компьютере должен существовать виртуальный жесткий диск. Виртуальный диск является файлом с расширением *.vhd, который хранится на вашем физическом жестком диске и для виртуального компьютера представляется как отдельный физический жесткий диск. По умолчанию будет создаваться динамически расширяемый диск. Файл, соответствующий такому диску, будет динамически увеличиваться в размерах при записи информации на этот виртуальный диск. Подробнее об этом и других типах виртуальных дисков будет рассказано далее (см. п. 1.7).

В следующем окне вам будет предложено ответить на вопрос: использовать существующий виртуальный диск ("An existing virtual hard disk") или создать новый ("A new virtual hard disk") (рис. 1.26). Для каждой виртуальной машины рекомендуется создавать свой виртуальный диск. Поэтому выберем второй вариант и нажмем кнопку "Next".

Рис. 1.26.  Выбор виртуального жесткого диска

В следующем окне необходимо указать имя, расположение виртуального диска и его максимальный размер. По умолчанию имя виртуального диска составляется из имени виртуальной машины с добавлением строки "Hard Disk" (рис. 1.27). Если необходимо, меняем название виртуального диска, его максимальный размер и нажимаем кнопку "Next". В данном случае создается динамически расширяемый виртуальный жесткий диск. Подробнее о виртуальных жестких дисках будет рассказано далее (см п. 1.7).

Рис. 1.27.  Выбор виртуального жесткого диска

Следующее окно сообщает о завершении работы мастера (рис. 1.28). Нажимаем кнопку "Finish".

Рис. 1.28.  Завершение мастера создания новой виртуальной машины

После создания виртуальной машины ее название появляется в управляющей консоли Virtual PC (рис. 1.29). Все, что нужно для запуска виртуальной машины, – это дважды щелкнуть по ее имени или выбрать ее левой кнопкой мыши и нажать кнопку "Start".

Рис. 1.29.  Управляющая консоль Virtual PC

1.5. Настройка виртуальной машины

Virtual PC дает вам полный контроль над конфигурацией виртуальных машин [[3]]. Для того чтобы открыть диалоговое окно настроек виртуальной машины (рис. 1.30), вы можете воспользоваться контекстным меню виртуальной машины и выбрать команду "Settings" или выделить в управляющей консоли нужную виртуальную машину (см. рис. 1.29) и выполнить команду меню "Action | Settings".

Рис. 1.30.  Диалоговое окно настроек виртуальной машины

Рассмотрим некоторые параметры виртуальной машины.

1.5.1. File Name

Здесь вы можете сменить имя для виртуальной машины (рис. 1.30) которое вы задали, используя мастер создания новой виртуальной машины (см. рис. 1.21).

1.5.2. Memory

Здесь вы можете изменить размер ОЗУ для виртуальной машины.

1.5.3. Hard Disk 1, 2, 3

Здесь вы можете подключить до трех виртуальных жестких дисков к вашей виртуальной машине (рис.1.31). Доступно два варианта:

None (диск отсутствует); Virtual hard disk file (укажите файл с виртуальным жестким диском с помощью кнопки "Browse…").

Кроме того, здесь же вы можете вызвать мастер создания виртуального жесткого диска с помощью кнопки "Virtual Disk Wizard".

Рис. 1.31.  Параметры подключения виртуальных жестких дисков

1.5.4. Undo Disks

Здесь вы можете включить диски отката ("Undo disks"), в которых будут храниться изменения, проведенные в виртуальных жестких дисках во время последнего сеанса работы виртуальной машины (рис. 1.32). Если эта возможность включена, то после выключения виртуальной машины вы можете сохранить все проведенные за последний сеанс изменения или удалить их. Подробнее о виртуальных дисках будет рассказано далее.

Рис. 1.32.  Включение дисков отката (undo disks)

1.5.5. CD/DVD Drive

Здесь вы можете определить, к какому IDE-контроллеру в виртуальной машине необходимо подключить физический CD или DVD привод (рис. 1.33). Если этот параметр включен (по умолчанию), то будет использоваться вторичный контроллер (secondary), иначе – первичный (primary).

Рис. 1.33.  Выбор виртуального контроллера для подключения CD или DVD привода

working

Здесь вы можете определить, сколько виртуальных сетевых адаптеров будет в виртуальной машине (от 0 до 4) и как они будут работать с другими компьютерами (рис. 1.34). Доступны следующие варианты:

Not connected (сетевой адаптер присутствует, но не подключен к сети); Local only (сетевой адаптер подключен к виртуальной локальной сети для взаимодействия с другими виртуальными машинами); Network adapter on the physical computer (сетевой адаптер виртуальной машины подключен к той же компьютерной сети, что и физический компьютер); Shared networking (NAT) (сетевой адаптер подключен к той же сети, что и основной компьютер, с помощью службы трансляции адресов).

Подробнее о сетевом взаимодействии будет рассказано далее (см. п. 1.8).

Рис. 1.34.  Настройка виртуальных сетевых адаптеров

1.5.7. Close

Здесь вы можете настроить, как будет проходить завершение работы виртуальной машины (рис. 1.35). Вариант по умолчанию предусматривает появление сообщения при попытке закрыть виртуальную машину ("Show message with these options at close") с доступными действиями:

Save state - сохранение состояния виртуальной машины и завершение ее работы. В этом случае при следующем включении виртуальной машины вы сможете продолжить работу с ней с этого состояния; Shut down - запускает процедуру завершения работы операционной системы в виртуальной машине. После этого виртуальный компьютер будет выключен. Этот вариант будет доступен, только если на виртуальный компьютер установлена программа "Virtual Machine Additions". Подробнее об этой программе будет рассказано далее (см. п. 1.6); Turn off - выключение виртуальной машины. Аналогично прекращению подачи электропитания для реального компьютера. Предупреждение: данные, хранящиеся в виртуальных жестких дисках, могут быть повреждены при выполнении этого действия.

Второй вариант ("Automatically close without a message and") предполагает автоматическое завершение работы виртуального компьютера при закрытии его окна с выполнением одного из выбранных действий. В список входят все вышеперечисленные, а также действие "Turn off and delete changes". По этому действию происходит выключение виртуального компьютера без сохранения изменений, выполненных за последний сеанс работы. Этот вариант доступен, только если включены диски отката (undo disks) (см. п. 1.5.4).

Рис. 1.35.  Настройка параметров выключения виртуального компьютера

1.6. Дополнения к виртуальной машине (Virtual Machine Additions)

Для лучшей интеграции виртуальных машин с реальным компьютером вы можете установить специальный пакет, который называется Virtual Machine Additions. Он находится на диске с программой Virtual PC. Данный пакет устанавливается в гостевую операционную систему для лучшего взаимодействия гостевой и основной операционных систем. Поддержка полного взаимодействия доступна только для гостевых операционных систем семейства Windows. Для других гостевых ОС возможна только частичная интеграция. Для операционных систем семейства Windows этот пакет добавляет следующие возможности [[3]]:

Поддержка CD-ROM с DOS-драйверами. Оптимизированный драйвер виртуального видеоадаптера. Синхронизация времени между основным и виртуальным компьютерами. Совместное использование буфера обмена между основным и виртуальным компьютерами. Улучшение производительности гостевой операционной системы. Динамическое изменение размеров окна виртуальной машины, которое автоматически настроит размер рабочего стола гостевой операционной системы.

Для установки Virtual Machine Additions на виртуальный компьютер с операционной системой Windows необходимо:

В виртуальной машине зарегистрируйтесь как Администратор или член группы Администраторы. В окне виртуальной машины выполните команду меню "Action | Install or Update Virtual Machine Additions". Если вы не можете переместить указатель мыши в меню "Action", нажмите клавишу "host key" для разблокирования указателя мыши окном виртуальной машины. По умолчанию этой клавишей является правая клавиша "Alt". Подробнее о клавише "host key" см. п. 1.3.6. При запросе подтверждения на установку (рис. 1.36) прочитайте информацию и нажмите кнопку "Continue".

Рис. 1.36.  Подтверждение установки Virtual Machine Additions

При запуске мастера установки Virtual Machine Additions нажмите кнопку "Next" (рис. 1.37).

Рис. 1.37.  Мастер установки Virtual Machine Additions

После завершения установки (рис. 1.38) нажмите кнопку "Готово".

Рис. 1.38.  Завершение установки Virtual Machine Additions

При запросе подтверждения на перезагрузку (рис. 1.39) нажмите кнопку "Да".

Рис. 1.39.  Подтверждение перезагрузки

1.7. Виртуальные жесткие диски

Virtual PC поддерживает виртуальные жесткие диски целым рядом мощных и гибких способов [[3]]. Пользователь может подключить несколько виртуальных жестких дисков к каждой виртуальной машине. Virtual PC поддерживает следующие типы дисков:

Dynamically expanding virtual hard disks (динамически увеличивающиеся виртуальные жесткие диски). Диск такого типа представляет собой файл на жестком диске физического компьютера. Этот файл будет динамически увеличиваться при записи информации в него. Первоначально этот файл занимает мало места и увеличивается по мере заполнения виртуального диска до своего максимального размера. Fixed-size virtual hard disks (виртуальные жесткие диски фиксированного размера). Как и динамически увеличивающийся, такой виртуальный диск представляет собой файл на жестком диске физического компьютера. Размер этого файла приблизительно того же размера, что и виртуальный жесткий диск. Этот файл не увеличивается и не уменьшается в размере. Например, если вы создаете виртуальный жесткий диск размером в 2 Гб, то соответствующий ему файл будет тоже 2 Гб. Linked virtual hard disks (связанные виртуальные жесткие диски). Virtual PC поддерживает связанные виртуальные жесткие диски, которые связаны напрямую с диском физического компьютера. Это позволяет вам использовать уже существующие на жестком диске конфигурации для построения виртуальной машины.

Virtual PC также поддерживает две другие возможности виртуальных жестких дисков, которые можно использовать с описанными выше типами дисков:

Differencing virtual hard disks (разностные виртуальные жесткие диски). Такие диски позволяют множеству пользователей и множеству виртуальных машин использовать одновременно один и тот же родительский виртуальный жесткий диск. Virtual PC сохраняет любые изменения информации родительского диска в разностном виртуальном жестком диске. Например, вы можете хранить родительский виртуальный жесткий диск в сети и предоставить доступ к нему множеству пользователей. Virtual PC сохраняет любые изменения, производимые пользователями в локальных разностных виртуальных жестких дисках. Undo disks (диски отката). Диски отката позволяют пользователям отменять (удалять) любые изменения, которые произошли во время последнего сеанса (сеанс длится со времени запуска виртуальной машины до ее закрытия). Virtual PC сохраняет эти изменения в отдельном временном файле. В конце сеанса пользователь может сохранить или отменить эти изменения. Диски отката позволяют пользователю запускать виртуальную машину всегда с одного и того же состояния. Например, вы можете использовать диски отката для тестирования сценария установки программного обеспечения в безопасной среде и удалять все изменения в конце сеанса. При следующем старте виртуальной машины, она будет готова к другому тестированию снова в первоначальном состоянии.

Таким образом, после создания виртуальной машины и установки операционной системы на виртуальный жесткий диск вы можете распространить этот виртуальный диск другим пользователям. Как было описано выше, у вас есть три варианта. Во-первых, вы можете распространить виртуальный диск в неизменном состоянии. В этом случае пользователи будут изменять свои собственные копии виртуальных дисков. Во-вторых, можно распространить диск или выложить его в сети как разностный виртуальный жесткий диск. В этом случае Virtual PC будет сохранять изменения в локальных разностных файлах вместо изменения оригинального виртуального диска, который вы распространили или выложили в сеть. В-третьих, вы можете настроить виртуальную машину на использование дисков отката. В этом случае пользователи будут иметь возможность уничтожать или сохранять свои изменения, проведенные во время сеанса работы с виртуальной машиной.

1.8. Сетевое взаимодействие

Virtual PC поддерживает четыре режима работы с сетью [[3]]:

Not connected (без соединения). Виртуальная машина не соединяется с компьютерными сетями. Local Only (только локальная сеть). Виртуальная машина взаимодействует с другими виртуальными машинами, подсоединенными к сети "Local only". Сетевой трафик не передается по проводам в другие сети, и не происходит сетевой обмен с операционной системой физического компьютера. Virtual networking (виртуальное сетевое взаимодействие). В этом режиме (рис. 1.40) каждая виртуальная машина выглядит как отдельный компьютер в той же сети, что и физический компьютер. В этом случае существует возможность передавать пакеты другим компьютерам, подсоединенным к сети, включая операционную систему главного компьютера (host operating system) и другие виртуальные компьютеры.

Рис. 1.40.  Виртуальное сетевое взаимодействие

Shared networking (NAT) (совместно используемое сетевое взаимодействие, преобразование сетевых адресов). Этот режим особенно полезен при использовании модемного доступа в Интернет. Virtual PC предоставляет возможность гостевой операционной системе получить IP-адрес динамически, без повторного запроса у Интернет-провайдера (рис. 1.41). Несколько виртуальных машин совместно используют единственный внешний IP-адрес для доступа во внешнюю сеть. Это достигается с помощью интегрированных в Virtual PC службы преобразования сетевых адресов (NAT) и DHCP-сервера.

Рис. 1.41.  Виртуальное сетевое взаимодействие

Рассмотрим ситуацию, когда на вашем компьютере нет сетевого адаптера, но вам необходимо организовать сетевое взаимодействие между главным компьютером (host computer) и виртуальной машиной. В этом случае вам нужно установить на главный компьютер "Адаптер Microsoft замыкания на себя" и выбрать его в настройках виртуальной машины в разделе "Networking" (см. п. 1.5.6).

Для установки на главном компьютере "Адаптера Microsoft замыкания на себя" выполните следующие действия:

1.9. Лабораторная работа. Установка и использование Virtual PC

На этой лабораторной работе вы установите Virtual PC 2007, создадите две новых виртуальных машины, установите операционные системы Windows XP Professional и Windows Server 2003 и проверите сетевое взаимодействие созданных виртуальных машин.

1.9.1. Упражнение 1. Установка Virtual PC 2007

Вы выполните установку Virtual PC 2007 SP1 на свой компьютер.

1.9.2. Упражнение 2. Создание новой виртуальной машины

Вы создадите новую виртуальную машину для рабочей станции.

1.9.3. Упражнение 3. Установка гостевой операционной системы

Вы установите операционную систему Windows XP в созданную виртуальную машину.

1.9.4. Упражнение 4. Установка Virtual Machine Additions

Вы установите дополнения для виртуальной машины.

1.9.5. Упражнения 5, 6, 7. Создание виртуальной машины для сервера

Вы создадите новую виртуальную машину для сервера и установите Windows Server 2003. Эти упражнения аналогичны упражнениям 2, 3 и 4. В качестве имени виртуальной машины используйте "Windows Server 2003", а в качестве имени компьютера - "server01".

1.9.6. Упражнение 8. Проверка сетевого взаимодействия

Вы проверите прохождение сетевых пакетов между созданными виртуальными машинами.

Войдите в систему под своей учетной записью. Выберите "Пуск (Start) / Программы (Programs) / Microsoft Virtual PC". В управляющей консоли Virtual PC нажмите правую кнопку мыши на названии созданной ранее виртуальной машины (Windows XP) и выберите команду "Settings". В появившемся окне "Settings for Windows XP" выберите слева категорию "Networking" и установите справа для параметра "Adapter 1" значение "Local only". Нажмите кнопку "OK". Выполните пункты 3 и 4 для виртуальной машины "Windows Server 2003". Запустите на выполнение обе виртуальные машины, для чего дважды щелкните левой клавишей мыши в управляющей консоли Virtual PC по названиям "Windows XP" и "Windows Server 2003". После загрузки операционной системы в виртуальной машине Windows XP зарегистрируйтесь в ней как обычный пользователь. Дождитесь завершения загрузки операционной системы в виртуальной машине Windows Server 2003. В виртуальной машине Windows XP выберите "Пуск / Программы / Стандартные / Командная строка". В появившейся командной строке выполните команду "ping server01", где "server01" - имя, которое вы указали при установке операционной системы Windows Server 2003 (см. упражнение 6). Вы должны успешно получить эхо-ответ.

1.9.7. Упражнение 9 (дополнительное). Добавление роли "контроллер домена"

Вы добавите роль "Контроллер домена" в виртуальной машине server01 и создадите домен test. local, который будет нужен в следующих занятиях.

1.11. Резюме

Virtual PC позволяет пользователю одновременно выполнять несколько операционных систем без использования множества компьютеров или необходимости перезагружать основной компьютер. Большим преимуществом создаваемых виртуальных машин является не только полная эмуляция реального аппаратного обеспечения компьютера, но и возможность их сетевого взаимодействия, как между собой, так и с другими компьютерами. Создаваемые виртуальные машины легко переносимы и могут применяться не только в обучении, но и в сценариях миграции на новые версии ПО, в тестировании и в обеспечении технической поддержки пользователей.

2. Лекция: Механизмы развертывания сетевой инфраструктуры на основе ОС Windows 2003/XP: версия для печати и PDA
Данная лекция посвящена способам развертывания сетевой инфраструктуры на основе ОС Windows 2003/XP. Автоматическое развертывание ОС и клиентских рабочих мест является важной задачей для обеспечения безопасности сетевой инфраструктуры любой организации

В данном пособии далее будем рассматривать компьютерную сеть, серверы которой управляются операционными системами Windows Server 2003, а рабочие станции - Windows XP (SP2), другими словами, сетевую инфраструктуру на основе ОС Windows 2003/XP.

На этом занятии рассмотрим способы развертывания такой сетевой инфраструктуры. Термин "развертывание" (англ. deployment) не следует путать с "установкой" (англ. install) операционных систем. Развертывание подразумевает автоматизацию процесса установки ОС на компьютер. Возможны механизмы развертывания операционных систем Microsoft, когда этот процесс становится полностью автоматическим.

Почему важно уметь обеспечивать быстрое развертывание сетевой инфраструктуры? Любая компьютерная система организации не застрахована от серьезных аварий, вызванных естественными причинами (действиями злоумышленников, халатностью или некомпетентностью сотрудников). В то же время, у каждой организации есть функции, которые руководство считает критически важными, и они должны выполняться несмотря ни на что [[12]]. Сетевая инфраструктура для большинства современных организаций является базисом для выполнения бизнес-процессов. Поэтому очень важно уметь восстанавливать (разворачивать) сетевую инфраструктуру в короткие сроки и с минимальными затратами.

Рассмотрим на этом занятии два основных механизма развертывания, которые применяются для ОС Microsoft:

метод дублирования дисков с использованием утилиты Sysprep; метод удаленной установки с использованием сервера удаленной установки (RIS).

На практике очень редко прибегают к автоматической установке серверной ОС. Для небольших и средних организаций наиболее важной задачей может являться развертывание ОС для рабочих станций с необходимым прикладным ПО. Поэтому на лабораторных работах рассмотрим указанные выше методы на примере ОС Windows XP Professional.

Прежде всего

Для изучения материалов этой главы необходимы следующие ресурсы:

Компьютер под управлением операционной системы Windows XP Professional с параметрами по умолчанию, объемом оперативной памяти не менее 1 Гб и сетевой картой. Свободное место на жестком диске не менее 6 Гб. Загрузочный компакт-диск с дистрибутивом Windows XP Professional. Загрузочный компакт-диск с дистрибутивом Windows Server 2003.

2.1. Метод дублирования дисков с использованием утилиты Sysprep

Идея метода заключается в том, что если необходимо установить ОС Windows XP Professional сразу на несколько компьютеров с одинаковой конфигурацией оборудования, то на одном из компьютеров создается образ диска, на который устанавливают ОС с необходимым прикладным ПО. Затем этот образ копируется на остальные компьютеры.

Преимущество метода над обычной установкой состоит, прежде всего, в экономии времени. Другой плюс заключается в том, что, создав один раз образ диска, вы получаете базовую точку развертывания рабочего места пользователя, к которой всегда можно вернуться, если на каком-то из компьютеров возникнут проблемы.

Главную роль в реализации метода играет утилита "Подготовка системы" - Sysprep (System Preparation). Она предотвращает проблему, с которой можно столкнуться при копировании образа диска, связанную с уникальным кодом безопасности (SID, Security Identifier). Каждый компьютер в сети должен иметь уникальный код безопасности. Если просто копировать образ диска, то каждый конечный компьютер будет иметь тот же код безопасности, что и основной компьютер. Из-за конфликтов SID сеть не будет работать. Утилита Sysprep помогает решить эту проблему, удаляя уникальный код безопасности на основном компьютере перед копированием образа диска. При запуске копии системы на конечном компьютере Sysprep генерирует новый уникальный код безопасности.

Для использования утилиты Sysprep в процессе дублирования дисков должны выполняться следующие требования [[15]]:

основной и конечные компьютеры должны иметь совместимые файлы уровня аппаратных абстракций (HAL, Hardware Abstraction Layer); контроллеры жестких дисков на основном и конечных компьютерах должны быть одинаковыми; устройства Plug and Play, такие как модемы, звуковые карты, сетевые карты, видеокарты и т. д., могут быть различными. Тем не менее, все драйверы устройств, не включенные в файл Drivers. cab, должны быть перенесены в основной компьютер перед запуском Sysprep. Следует убедиться, что драйверы доступны на конечном компьютере при первом запуске, чтобы технология Plug and Play могла обнаружить и установить устройства; объем жесткого диска на конечном компьютере должен быть не меньше объема жесткого диска на основном компьютере; если версии BIOS (Basic Input-Output System - базовая система ввода-вывода) на основном и конечных компьютерах различаются, рекомендуется предварительно протестировать процесс установки.

Далее рассмотрим основные шаги выполнения метода дублирования дисков с использованием утилиты Sysprep.

2.1.1. Шаг 1

Установите и настройте Windows XP Professional на тестовом компьютере (если необходимо, то установите драйверы оборудования, не включенные в файл Drivers. cab). Установите необходимое прикладное ПО (архиваторы, антивирусы, офисные пакеты и т. д.), включая пакеты обновлений.

2.1.2. Шаг 2

Создайте файл ответов Sysprep. inf для того, чтобы процесс развертывания был автоматическим. Данный шаг не является обязательным. Если файл ответов не создавать, то после копирования образа диска на целевой компьютер при их последующем включении запустится мастер мини - установки (Mini-Setup Wizard), который будет запрашивать ввод различных параметров (пароль администратора, имя компьютера и т. д.).

Sysprep. inf - это текстовый файл, в котором записывается последовательность ответов, вводимых в диалоговых окнах графического интерфейса пользователя при установке Windows XP Professional. Для создания файла ответов Sysprep. inf, который потом будет использоваться утилитой Sysprep, можно воспользоваться любым текстовым редактором или диспетчером установки (см. п. 2.3.1).

Файл Sysprep. inf должен храниться в папке Sysprep в корневом каталоге диска, на котором установлена ОС Windows XP Professional, или на гибком диске. Программа установки не может использовать папки с другими названиями. Параметра для указания произвольного файла ответов для мастера мини-установки не существует.

2.1.3. Шаг 3

Запустите на тестовом компьютере утилиту Sysprep, файлы которой находятся в архиве \Support\Tools\Deploy. cab на установочном диске Windows XP Professional. На экране появится диалоговое окно "Программа подготовки системы 2.0" (рис. 2.1), предупреждающее, что запуск программы Sysprep может привести к изменению некоторых параметров безопасности. После нажатия кнопки "ОК" утилита Sysprep продолжит работу.

Рис. 2.1.  Окно "Программа подготовки системы 2.0", появляющееся при запуске утилиты Sysprep

В табл. 2.1 приведен состав и описание файлов утилиты Sysprep.

2.1.4. Шаг 4

Скопируйте образ диска на целевые компьютеры. Для этого потребуется специальное ПО для клонирования дисков, предоставляемое сторонними фирмами. Наиболее популярными являются утилиты Ghost фирмы Symantec, Drive Image Pro фирмы PowerQuest и др. [[10]] Все перечисленные утилиты работают примерно одинаково. Компьютер загружается в режиме DOS, потом запускается программа формирования образа диска. Можно получить образ всего диска или единственного раздела и сохранить его на другом разделе, диске или общем сетевом накопителе. Впоследствии сохраненный образ можно восстановить на другом диске. Жесткие диски не обязательно должны иметь одинаковую емкость, но загружаемый образ не должен быть больше целевого диска.

2.1.5. Шаг 5

Включите целевые компьютеры после того, как завершится копирование образа диска с тестового компьютера. Если утилита Sysprep обнаружила файл ответов Sysprep. inf, то появится окно "Установка Windows XP" (рис. 2.2) и через некоторое время загрузится ОС Windows XP Professional. В противном случае запустится мастер мини-установки.

Рис. 2.2.  Окно "Установка Windows XP", появляющееся при развертывании образа диска утилитой Sysprep с использованием файла ответов

Если приложение Sysprep. exe запускалось из папки %systemdrive%\Sysprep, то после завершения установки Windows XP Professional эта папка и ее содержимое автоматически удаляются!

2.2. Метод удаленной установки

Наиболее эффективным методом развертывания ОС Windows XP Professional является удаленная установка. Ее можно проводить, если сетевая инфраструктура основана на ОС Windows Server 2003, а клиентские компьютеры поддерживают удаленную загрузку [[7]].

Удаленная установка (remote installation) - это процесс установки соединения с сервером, на котором запущена служба RIS (Remote Installation Services), и последующего запуска автоматической установки клиентской ОС, например Windows XP Professional, на целевой компьютер, подключенный к сети.

2.2.1. Предварительные требования для проведения метода

Для выполнения удаленной установки клиентский компьютер должен иметь BIOS и сетевой адаптер, поддерживающие технологию предзагрузочной среды выполнения - РХЕ (Pre-boot execution Environment). Технология РХЕ применяется для установки соединения с сервером RIS. Убедитесь, что на всех клиентских компьютерах в BIOS имеется возможность установить в качестве загрузочного устройства сетевой адаптер. Если такая возможность отсутствует, то необходимо создать загрузочную дискету удаленной установки при помощи утилиты "Генератор дисков удаленной загрузки" - rbfg. exe (Remote Boot Disc Generator). Файл rbfg. exe расположен в папке \RemoteInstall\Admin\i386 на сервере удаленной установки RIS.

Для функционирования сервера RIS в сетевой инфраструктуре необходимо наличие следующих сетевых служб [[15]]:

Служба DNS. Требуется для поиска в сети серверов RIS. Клиент RIS запрашивает у сервера DNS имя и IP-адрес сервера RIS. Служба DHCP. Для установки сетевого соединения клиент RIS должен иметь IP-адрес. Но так как на клиентском компьютере еще нет операционной системы, назначить статический IP-адрес невозможно, поэтому необходимо использовать динамическую адресацию. Для этого в сети должен работать сервер DHCP. Служба Active Directory. RIS использует групповую политику Active Directory для определения разрешений учетных записей пользователей и компьютеров. Учетной записи пользователя, которая будет использоваться для проведения удаленной установки, должно быть назначено право "Вход в качестве пакетного задания" ("Log On as a Batch Job") и разрешение на создание учетных записей в домене. Прежде чем сервер RIS сможет обслуживать запросы клиентских компьютеров, он должен быть авторизован в Active Directory. Также Active Directory применяется для того, чтобы определить, какой сервер RIS должен использоваться для удаленной установки, если таких серверов в сети несколько.

Перечисленные сетевые службы не обязательно должны быть установлены на том же сервере, что и RIS, но они должны быть доступны в сетевой инфраструктуре.

Метод удаленной установки требует, чтобы RIS был установлен на том, к которому разрешен общий доступ через сеть. Общий том должен отвечать следующим требованиям [[7]]:

он не является тем же самым диском, с которого запускается Windows Server 2003; на нем имеется достаточно свободного места для хранения программного обеспечения RIS и различных образов Windows XP Professional; он отформатирован с использованием файловой системы NTFS версии 5 или выше.

2.2.2. Установка и настройка RIS

Развертывание сервера удаленной установки в вашей сетевой инфраструктуре выполняется в два этапа:

установка RIS-сервера; настройка RIS-сервера.

При установке ОС Windows Server 2003 на сервер служба RIS по умолчанию не устанавливается. С помощью компонента панели управления "Установка и удаление программ" в разделе "Установка компонентов Windows" необходимо добавить "Службы удаленной установки". После этого в разделе "Администрирование" появляется компонент "Установка служб удаленной установки", позволяющий запустить мастер подготовки сервера RIS. При первом запуске мастера установки служб удаленной установки выбирается диск для размещения RIS, папка для хранения установочных файлов, создается образ для удаленной установки клиентской ОС. После завершения процесса установки службы RIS появится окно, представленное на рис. 2.3.

Рис. 2.3.  Завершение установки службы RIS

Важно, чтобы сервер RIS прошел авторизацию в Active Directory, об этом сигнализирует последний флажок "DHCP-авторизация" (см. рис. 2.1). Если не авторизовать сервер RIS, то он не сможет отвечать на запросы клиентских компьютеров для сетевой загрузки службы [[11]].

Необходимо также создать в Active Directory учетную запись пользователя, которой будет разрешено создавать учетные записи компьютеров в домене. Процесс удаленной установки ОС на клиентском компьютере начинается с ввода имени и пароля пользователя, у которого есть такие разрешения.

Важным аспектом выполнения метода удаленной установки является подготовка образов ОС, которые хранятся на отдельном томе сервера RIS. Используя файл ответов для удаленной установки, можно настроить несколько вариантов автоматической установки, которые будут связаны с одним образом ОС, хранящимся на сервере RIS. Для этого необходимо создать соответствующие файлы ответов, в которых можно настроить параметры ОС, конфигурируемые во время ее установки. Файлы ответов для удаленной установки имеют расширение *.sif и могут быть созданы с помощью диспетчера установки Windows.

Если на сервере RIS хранится более одного образа, то при запуске мастера установки клиентов загрузится экран выбора образов ОС. Если доступен только один образ ОС, то мастер установки клиентов просто попросит пользователя подтвердить установку. Когда один из образов ОС выбран, появляется сообщение о том, что на данный компьютер будет установлена ОС, существующие разделы будут удалены, а жесткий диск будет отформатирован, и все данные, находящиеся на диске, будут стерты [[11]].

Как видим из всего вышеперечисленного, выполнение метода удаленной установки имеет много нюансов и требует большой подготовки для его реализации. Однако, выполнив установку и настройку сервера RIS один раз и проведя его апробацию на тестовом клиентском компьютере, ваша сетевая инфраструктура приобретет незаменимый и очень полезный сервис. Процесс удаленной установки клиентских ОС Windows XP Professional с помощью сервера RIS требует минимум участия пользователя.

2.3. Создание файлов ответов для автоматизации процессов развертывания

Для того чтобы методы развертывания, описанные выше, выполнялись успешно, важно правильно составить файлы ответов. В табл. 2.2 представлен список используемых файлов ответов для различных методов автоматической установки ОС Windows XP Professional.

2.3.1. Использование диспетчера установки Windows

Диспетчер установки Windows (Windows Setup Manager) упрощает создание файлов ответов и исключает в них возникновение синтаксических ошибок. Диспетчер установки Windows входит в состав компакт-диска с ОС Windows XP Professional (архив \Support\Tools\Deploy. cab), а также в состав пакета Microsoft Windows XP Resource Kit [[8]].

Когда вы запускаете диспетчер установки Windows, на экран выводится первая страница мастера диспетчера установки Windows (рис. 2.4).

Рис. 2.4.  Первая страница мастера диспетчера установки Windows

Щелкните кнопку "Далее", чтобы перейти к следующей странице, на которой следует сделать выбор:

создать новый файл ответов; изменить существующий файл ответов.

Если выберете пункт "Создать новый файл ответов", то далее необходимо выбрать тип создаваемого файла ответов. Диспетчер установки Windows может создавать файлы ответов всех типов, представленных в табл. 2.2:

Для автоматической установки Windows; Для установки Sysprep; Для служб удаленной установки.

Выбрав нужный вам тип, создайте файл ответов, следуя инструкциям, появляющимся на экране (рис. 2.5).

увеличить изображение
Рис. 2.5.  Создание файла ответов в диспетчере установки Windows

2.3.2. Формат и параметры файла ответов

Все типы файлов ответов, используемые для автоматической установки Windows XP Professional, имеют текстовый формат и похожую структуру, которая состоит из секций, содержащих параметры:

[Имя секции]

Параметр1 = Значение

Параметр2 = Значение

...

В табл. 2.3 представлен листинг файла ответов Sysprep. inf с пояснениями всех параметров, который был создан с помощью диспетчера установки Windows.

2.4. Решение Microsoft для развертывания настольных бизнес-систем

В последнее время многие компании, имеющие значительный парк компьютеров, сталкиваются с проблемой обновления системного и прикладного ПО. Особенно остро стоит вопрос о целесообразности перехода на новые версии операционных систем и офисных пакетов Microsoft. Ведь помимо финансовых и временных затрат, существуют риски, связанные с несовместимостью используемых приложений с новым базовым ПО, со сбоями в уже налаженном механизме обработки данных и т. д.

Компания Microsoft выпустила комплексное программное решение Business Desktop Deployment (BDD). По своей сути BDD - это набор методических указаний и правил, основанных на концепции Microsoft Solution Framework для планирования, построения, тестирования и развертывания рабочих мест пользователей в рамках корпоративной сетевой инфраструктуры [[9]].

увеличить изображение
Рис. 2.6.  BDD разделяет процесс развертывания настольных бизнес-систем на конкретные задачи

BDD предлагает целостную систему управления развертыванием и обновлением рабочих мест пользователей. Схематично эта система представлена на рис. 2.6. Она включает в себя комплекс документов, описывающих типовые задачи и процессы управления рабочими местами, руководство по совместимости приложений, руководства по устранению неисправностей инфраструктуры, систему создания и поддержки эталонных образов, средства создания основных и вспомогательных пакетов приложений, средства миграции пользователей, настройки защиты рабочих станций, а также рекомендации по организации внедрения, обеспечения доступности и обновления систем [[13]].

Если вы серьезно заинтересовались решением проблем развертывания сетевой инфраструктуры на основе ОС Windows 2003/XP в своей организации, то рекомендуем установить и изучить набор руководств и инструментальных средств BDD от компании Microsoft (доступен для бесплатной загрузки с сайта Microsoft).

2.5. Лабораторная работа № 1. Применение утилиты Sysprep для развертывания Windows XP Professional

На этой лабораторной работе вы подготовите тестовый компьютер для создания образа диска, с которого далее установите ОС Windows XP Professional. Все упражнения данной лабораторной работы № 2А выполняются на виртуальной машине с ОС Windows XP Professional, созданной на предыдущей лабораторной работе.

2.5.1. Упражнение 1. Извлечение инструментальных средств развертывания Windows XP Professional

Вы извлечете инструментальные средства развертывания, используемые для автоматической установки Windows XP Professional, и скопируете их на жесткий диск.

2.5.2. Упражнение 2. Использование диспетчера установки Windows для создания файла ответов Sysprep. inf

2.5.3. Упражнение 3. Подготовка системы для создания образа диска

Вы выполните подготовку системы для создания образа диска на виртуальной машине с ОС Windows XP Professional. Перед выполнением этого упражнения можно установить какое-нибудь прикладное программное обеспечение на данной виртуальной машине.

2.5.4. Упражнение 4. Установка Windows XP Professional с образа диска

В этом упражнении вы будете использовать созданный ранее образ диска для развертывания ОС Windows XP Professional с предустановленным прикладным ПО. Установку образа будем выполнять на тот же компьютер, на котором создавали образ.

2.5.5. Самостоятельное упражнение. Автоматическая установка Windows XP Professional с компакт-диска

С помощью диспетчера установки Windows создайте файл ответов для автоматической установки Windows XP Professional с компакт-диска. Сравните содержимое вашего файла ответов Winnt. sif с созданным в упражнении № 2 - Sysprep. inf. Скопируйте файл ответов Winnt. sif на дискету и выполните самостоятельно установку ОС Windows XP Professional с компакт-диска.

2.6. Лабораторная работа № 2. Проведение удаленной установки ОС Windows XP Professional

На этой лабораторной работе вы установите службу RIS на компьютер с серверной ОС Windows Server 2003, с помощью которой далее удаленно установите ОС Windows XP Professional на новый компьютер. Упражнения данной лабораторной работы выполняются на виртуальных машинах с ОС Windows Server 2003 и с ОС Windows XP Professional, созданных ранее.

2.6.1. Упражнение 1. Подготовка виртуальной машины с ОС Windows Server 2003 для установки службы RIS

Ознакомьтесь с требованиями для проведения метода удаленной установки (раздел 2.2.1). На созданной в ходе лабораторной работы № 1 виртуальной машине с серверной ОС Windows Server 2003 установлены требуемые сетевые службы: DNS, DHCP и Active Directory. Обязательным условием также является наличие дополнительного общего тома, отформатированного под файловую систему NTFS версии 5 и выше. В данном упражнении создадим этот дополнительный том, на котором потом будут храниться образы устанавливаемых ОС.

2.6.2. Упражнение 2. Установка службы удаленной RIS

2.6.3. Упражнение 3. Создание загрузочной дискеты

Загрузочная дискета необходима для запуска удаленной установки ОС Windows XP Professional на клиентском компьютере, так как в BIOS Virtual PC нельзя выбрать сетевой адаптер в качестве устройства, с которого можно начать загрузку.

2.6.4. Упражнение 4. Создание файла ответов для автоматической удаленной установки

Будем создавать файл ответов для автоматической удаленной установки на виртуальной машине с ОС Windows XP Professional, использовавшейся в лабораторной работе № 2.

2.6.5. Упражнение 5. Настройка сервера удаленной установки

В этом упражнении вы проверите авторизацию сервера RIS в Active Directory и создадите пользователя, у которого будет разрешение добавлять учетные записи компьютеров в домен Test. Вы также свяжете созданный в предыдущем упражнении файл ответов remboot. sif с уже имеющимся образом ОС Windows XP Professional для удаленной установки. Упражнение выполняется на виртуальной машине с ОС Windows Server 2003.

2.6.6. Упражнение 6. Выполнение удаленной установки ОС Windows XP Professional на клиентский компьютер

Это упражнение является последним в данной лабораторной работе. Вам предстоит выполнить удаленную установку ОС Windows XP Professional на клиентский компьютер. Вы можете создать новую виртуальную машину и выполнить на нее удаленную установку. Можно взять уже существующую виртуальную машину с ОС Windows XP Professional и, загрузившись с загрузочной дискеты для запуска удаленной установки, выполнить данное упражнение.

2.8. Резюме

Автоматическое развертывание ОС и клиентских рабочих мест является важной задачей для обеспечения безопасности сетевой инфраструктуры любой организации. Предпочтение какого-либо метода развертывания определяется ресурсами, сетевой инфраструктурой или требованиями к времени развертывания. Для автоматизации процесса развертывания создаются файлы ответов с помощью диспетчера установки Windows (Windows Setup Manager). При развертывании с помощью метода дублирования дисков требуется специальное ПО для клонирования дисков. Если в сетевой инфраструктуре компании доступны службы DNS, DHCP, Active Directory, то целесообразно воспользоваться службой удаленной установки - RIS (Remote Installation Services).

3. Лекция: Обеспечение безопасности хранения данных в ОС Microsoft: версия для печати и PDA
В этой лекции мы познакомимся с предоставляемыми возможностями ОС Microsoft Windows 2003/XP по обеспечению безопасности хранения данных в целом, несмотря на их степень значимости

На этом занятии рассмотрим один из ключевых моментов информационной безопасности любой организации - обеспечение сохранности данных. Под данными будем понимать различные пользовательские файлы, которые постоянно создаются, редактируются и удаляются в процессе функционирования организации. В этих файлах может храниться информация любой важности: от несущественной, утрата которой никак не скажется на бизнес-процессах, до критичной, потеряв которую компания рискует закончить свое существование.

В рамках этого занятия не будем касаться вопроса классификации данных по степени их важности. По этой тематике есть много литературы из области теории информационной безопасности, управления рисками и т. п. Цель этого занятия - ознакомиться с предоставляемыми возможностями ОС Microsoft Windows 2003/XP по обеспечению безопасности хранения данных в целом, несмотря на их степень значимости.

Из теории информационной безопасности известно, что обеспечение сохранности информации достигается различными решениями: начиная с тиражирования информационных ресурсов (программ и данных) и заканчивая резервированием устройств хранения данных [[18]]. Поэтому на данном занятии рассмотрим интересные и полезные решения, предоставляемые ОС Microsoft Windows 2003/XP в этом диапазоне:

технология теневого копирования данных; архивация данных; создание отказоустойчивых томов для хранения данных.

Прежде всего

Для изучения материалов этой главы необходимы следующие ресурсы:

Компьютер под управлением операционной системы Windows XP Professional с параметрами по умолчанию, объемом оперативной памяти не менее 1 Гб и сетевой картой. Свободное место на жестком диске не менее 8 Гб.

3.1. Технология теневого копирования данных

Суть данной технологии заключается в создании копий выбранных файлов через определенные промежутки времени. Реализована технология в виде отдельной службы теневого копирования тома (VSS). Она используется для управления данными на дисках и может взаимодействовать с различными приложениями. Например, в программах резервного копирования эта служба обеспечивает копирование файлов, занятых во время архивации другими приложениями.

Важной практической функцией технологии теневого копирования является возможность восстановления последних версий случайно удаленных или поврежденных файлов. В ОС Microsoft Windows 2003/XP предоставляется возможность пользователям клиентских компьютеров восстанавливать файлы из теневой копии самостоятельно без вмешательства системных администраторов, что, безусловно, очень удобно с точки зрения экономии времени [[21]].

3.1.1. Ограничения теневого копирования томов

Теневые копии файлов на заданных томах доступны только на серверах под управлением ОС Windows Server 2003. На сервере в каталоге %Systemroot%\System32\Clients\Twclient\x86\ имеется клиентское ПО для инсталляции на компьютеры под управлением Windows XP Professional, установив которое, пользователи смогут получать доступ к теневым копиям через вкладку "Предыдущие версии" окна свойств файлов теневого тома [[19]]. Последняя версия этого клиентского ПО доступна по адресу: http://www. /windowsserver2003/downloads/shadowcopyclient. mspx.

Теневое копирование тома не будет работать для точек подключения, когда второй жесткий диск подключается к первому в виде папки [[16]].

Создавать теневые копии можно только на томах с файловой системой NTFS. Теневое копирование будет выполняться для всех общих папок, хранящихся на этом томе. Возможности выбрать отдельные общие папки на томе, для которых бы создавались теневые копии, - нет! Для хранения теневых копий требуется не менее 100 Мб свободного места на выбранном томе [[23]]. Максимально допустимое значение - 64 теневые копии на один том, независимо от того, сколько свободного места остается в области хранения.

3.1.2. Установка и использование технологии теневого копирования томов

На сервере под управлением ОС Windows Server 2003 желательно разместить общие папки, для которых хотите использовать теневые копии, на отдельном томе. Это убережет от заполнения теневыми копиями дискового пространства и от снижения пропускной способности средств ввода-вывода в результате копирования тех общих папок, для которых функция теневого копирования не нужна [[16]].

Для активизации создания теневых копий на томе в окне его свойств перейдите на вкладку "Теневые копии" (рис. 3.1).

На этой вкладке следует выбрать том, для общих папок которого будут создаваться теневые копии. При большой загрузке файлового сервера целесообразно хранить теневые копии на отдельном томе, который бы размещался на другом жестком диске. Это повысит производительность сервера.

Рис. 3.1.  Вкладка "Теневые копии" окна свойств диска

По умолчанию теневые копии сохраняются на том же диске, где хранятся общие папки. При этом устанавливаются следующие настройки [[16]]:

максимальный размер места для хранения теневых копий равен 10% от общего пространства диска; автоматически проводить копирование с понедельника по пятницу в 7 утра и в 12 ночи; создается первая теневая копия.

Для изменения настроек теневых копий тома, отличных от заданных по умолчанию, выберите нужный том из списка и нажмите кнопку "Параметры" (рис 3.2).

Рис. 3.2.  Окно настройки параметров теневого копирования тома

Если вы решили изменить расписание создания теневых копий, нажмите кнопку "Расписание": появится окно, представленное на рис. 3.3, для его настройки.

Рис. 3.3.  Окно настройки расписания теневого копирования тома

После выполненных настроек нажмите кнопку "Включить" - начнут создаваться теневые копии общих папок на заданном томе. Теперь, если обратиться через контекстное меню к свойствам файлов, хранящимся в общих папках, появится специальная вкладка "Предыдущие версии" (рис 3.4). Эта вкладка будет доступна в окне свойств файла, только если вы обратились к общей папке как к сетевому ресурсу (например, UNC-путь)!

Рис. 3.4.  Вкладка "Предыдущие версии" в окне свойств общей папки

Внизу вкладки имеются три кнопки, позволяющие совершать различные действия с копиями файла:

"Показать" - позволяет просмотреть выбранную копию файла; "Копировать" - позволяет копировать выбранную копию файла в новое расположение; "Восстановить" - позволяет восстанавливать выбранную копию файла поверх текущей версии файла.

Далее рассмотрим случай, когда файл был удален и требуется его восстановление из теневой копии. Так как объект "файл", на котором можно щелкнуть правой кнопкой мыши, в общей папке в этом случае отсутствует, необходимо обратиться к свойствам папки, где имеется такая же вкладка "Предыдущие версии". Нажав кнопку "Показать", можно просмотреть, какие файлы и папки содержались в ней на выбранный момент времени. Отсюда можно восстановить удаленный файл в любое место, в том числе и в прежнюю папку.

Как видим, процедура восстановления файла из теневой копии - достаточно простая и быстрая операция для пользователей. Но следует помнить, что технология теневого копирования не является стопроцентным решением задачи обеспечения сохранности данных. Она решает проблему быстрого восстановления совместно используемых файлов из общих папок.

3.2. Архивация данных

Под архивацией принято понимать обычное копирование данных на резервный носитель информации, чтобы в случае отказа или повреждения основного устройства хранения можно было быстро восстановить имеющиеся на нем данные. Архивация дает наивысшую степень отказоустойчивости по сравнению со всеми другими технологиями хранения данных, обеспечивающих отказоустойчивость, такими как теневое копирование, избыточные массивы независимых дисков, кластерные серверы и т. д. [[19]].

Эффективность применения архивации в сетевой инфраструктуре зависит от правильного выбора специального ПО и планирования. В состав ОС Microsoft Windows 2003/XP входит служебная программа Backup, обеспечивающая основные функции архивации, включая возможности работы по расписанию и взаимодействие со службой теневого копирования тома [[23]].

3.2.1. Работа с программой архивирования Backup

Выполнять архивацию всех данных на компьютере почти никогда не требуется, так как при выходе из строя жесткого диска можно достаточно быстро произвести установку ОС и основного прикладного ПО (см. занятие 2). Поэтому следует архивировать только создаваемые пользователями файлы (документы, базы данных и т. п.) и файлы конфигурации приложений. Разумный выбор объектов для резервного копирования сэкономит общее время и ресурсы архивации.

Рис. 3.5.  Первая страница мастера программы архивирования Backup

При первом запуске программа архивирования Backup ("Пуск" / "Программы" / "Стандартные" / "Служебные" / "Архивация данных") запускается в режиме мастера (рис. 3.5). На этом занятии работа программы Backup Windows в режиме мастера изучаться не будет. Нажмите ссылку "Расширенный режим", а затем перейдите на вкладку "Архивация" (рис. 3.6) - на экране отобразится древовидное меню для выбора архивируемых данных.

увеличить изображение
Рис. 3.6.  Вкладка "Архивация" в окне программы Backup Windows

На этой вкладке необходимо выбирать файлы и папки, которые должны быть заархивированы. Когда выбирается определенная папка (диск), Backup автоматически помечает к архивации все файлы или папки внутри нее. При этом флажок отметки будет синего цвета. Если нужно исключить какие-то файлы или папки из уже отмеченных, щелкните на связанный с ними флажок и снимите пометки о включении. При этом у родительской папки флажок отметки изменит цвет с синего на серый, что означает не стопроцентный выбор содержимого внутри папки. Используя папку "Сетевое окружение", можно включить в процесс архивации данные с других компьютеров сети.

Слева в нижней части окна нужно задать имя файла-архива и выбрать место его сохранения. Файлы-архивы, создаваемые программой Backup, могут быть размещены на любых носителях информации, таких как жесткие диски, записываемые компакт-диски в форматах СD и DVD, накопители на сменных картриджах (Zip, Jaz) и на магнитной ленте. При этом размер файла-архива будет ограничиваться емкостью используемого носителя. Поэтому целесообразно в сетевой инфраструктуре выделить специальный сервер с большим объемом дискового пространства для хранения архивов.

После того как заданы носитель и имя архива, выбраны все необходимые файлы и папки для резервного копирования, щелкните кнопку "Архивировать" для задания параметров архивации и запуска самого процесса. Появится окно "Сведения о задании архивации" (рис. 3.7).

Рис. 3.7.  Окно "Сведения о задании архивации" программы Backup Windows

В этом окне можно задать описание архива и метку носителя. Если будет выбран вариант "Дозаписать этот архив к данным носителя" (по умолчанию), то значение из текстового поля, где задается метка носителя, не используется, и она останется прежней. Это окно содержит кнопки "Архивировать", "Дополнительно", "Расписание" и "Отмена". Если нажать кнопку "Архивировать", то запустится процесс архивации. Но до этого можно настроить дополнительные параметры и расписание архивации, нажав соответствующие кнопки.

3.2.2. Стратегии архивации

Программа Backup Windows поддерживает пять стандартных типов архивации, которые в действительности представляют собой комбинации фильтров [[19]]. Для осуществления первых трех типов архивации (табл. 3.1) используются атрибуты файлов. Факт изменения файла определяется по установке атрибута "архивный" (бит архива). Во время архивации этот атрибут сбрасывается [[22]].

Представленные типы архивации в табл. 3.1 могут применяться в различных комбинациях друг с другом, определяющих стратегии архивации (табл. 3.2). При выборе стратегии архивации обычно учитывают два критерия - время, необходимое для архивации и для восстановления данных. Во многих организациях стратегии архивации рассчитаны на недельный цикл.

Рис. 3.8.  Окно для настройки дополнительных параметров архивации

Настроить определенную стратегию архивации можно в дополнительных параметрах архивации (рис. 3.8) и в параметрах запланированного задания (рис. 3.9), которые вызываются нажатием кнопок "Дополнительно" и "Расписание" в окне "Сведения о задании архивации" (см. рис. 3.7).

Рис. 3.9.  Вкладка "Расписание" для настройки запланированного задания архивации

3.2.3. Восстановление данных

Главная и единственная причина создания резервных копий - это возможность восстановления данных. Успешное восстановление данных возможно, если придерживаться некоторых правил, главные из которых:

полное документирование всех мероприятий по архивации, периодическое проведение тестовых восстановлений данных с архивных носителей.

В ОС Microsoft Windows 2003/XP восстанавливать папки и файлы из архива могут пользователи, входящие в группу администраторов или операторов архива. Программа Backup Windows позволяет проводить процедуру восстановления данных двумя способами: вручную и с использованием мастера. На данном занятии рассмотрим только первый способ. Настроить параметры и запустить процесс восстановления можно, перейдя на вкладку "Восстановление и управление носителем" в главном окне программы Backup (рис. 3.10).

увеличить изображение
Рис. 3.10.  Вкладка "Восстановление и управление носителем" в окне программы Backup Windows

На этой вкладке необходимо выбрать носитель, с которого будут восстанавливаться данные. В нижней части окна можно выбрать один из следующих параметров восстановления:

"Исходное размещение" - восстановление файлов и папок из архива в то же месторасположение, где они находились до архивации. "Альтернативное размещение" - восстановление файлов и папок из архива в заданную папку. Этот вариант восстановления позволяет сохранить структуру папок архивных данных. "Одну папку" - восстановление файлов и папок из архива в заданную папку без сохранения исходной структуры папок и подпапок. При этом в заданной папке будут восстановлены только файлы.

При выборе вариантов "Альтернативное размещение" или "Одну папку" необходимо задать папку, в которую будет осуществляться восстановление данных из архива. Выбрав все необходимые файлы и папки, можно запустить процесс восстановления, нажав кнопку "Восстановить". Появится диалоговое окно (рис. 3.11), где можно либо подтвердить восстановление, нажав кнопку "ОК", либо задать еще дополнительные параметры восстановления, нажав кнопку "Дополнительно".

Рис. 3.11.  Диалоговое окно перед запуском процесса восстановления

Процесс восстановления будет отображаться в специальном окне. После его завершения выводится сводная информация об архиве в окне "Ход восстановления" (рис. 3.12).

Рис. 3.12.  Окно "Ход восстановления" после завершения процесса восстановления

Если нажать кнопку "Отчет", то можно посмотреть информацию об ошибках и сбоях, произошедших во время процесса восстановления.

3.3. Создание отказоустойчивых томов для хранения данных

В ОС Windows Server 2003 возможно создание отказоустойчивых томов RAID-1 (зеркальный том) и RAID-5, которые поддерживаются только на динамических дисках. По умолчанию ОС Microsoft Windows 2003/XP используют традиционное базовое хранение. Для эффективности управления хранением данных базовые диски преобразуют в динамические, на которых можно создавать различные типы томов. Более подробную информацию об управлении дисковыми хранилищами в ОС Windows Server 2003 можно узнать из источников [[19], [23]].

3.3.1. Работа с зеркальными томами

Зеркальный том (RAID-1) состоит из двух одинаковых копий тома, расположенных на разных физических дисках. Данные, записываемые на такой том, записываются одновременно на два диска, поэтому зеркальный том обеспечивает отказоустойчивость. Для более высокой отказоустойчивости рекомендуется использовать диски, подключенные к разным контроллерам, что обеспечит наилучшую производительность и позволит справиться с отказами как контроллера, так и диска.

В ОС Windows Server 2003 для работы с дисками существует специальная оснастка "Управление дисками", которая входит в консоль "Управление компьютером". Для создания зеркального тома необходимо сначала с помощью оснастки "Управление дисками" преобразовать тип хранения с базового в динамическое на двух подключенных физических дисках. После этого щелкните на неразмеченную область в графическом представлении диска и в появившемся контекстном меню выберите команду "Действие" / "Все задачи" / "Создать том". Запустится мастер создания томов, который предложит сначала выбрать тип тома (рис. 3.13).

Рис. 3.13.  Доступные типы томов в ОС Windows Server 2003

Доступные типы томов зависят от числа установленных на компьютере дисков, содержащих неразмеченные области. Для создания зеркального тома, как было сказано выше, необходимо два динамических диска, имеющих нераспределенное место. Когда нужный тип тома выбран, мастер создания томов откроет страницу, показанную на рис. 3.14, на которой следует выбрать диски для создания тома [[19]].

Рис. 3.14.  Страница выбора дисков для добавления в зеркальный том

Выбрав диски для создания тома, следует определить еще его размер. Для этого на каждом из дисков необходимо отвести области одинаковых размеров. После выбора дисков для тома укажите в поле "Выберите размер выделяемого пространства (Мб)" максимальный размер области, доступной на каждом из выбранных дисков (он ограничен размером области на диске с минимальным размером свободного места). При изменении размера отведенного места на одном из дисков мастер соответствующим образом изменит размер места, отведенного для нового тома на другом диске. Общий размер зеркального тома равен выделенной области (в Мб), так как диски данного типа тома содержат одинаковые копии данных. После завершения работы мастера создания томов будет создан зеркальный том. Для начала эксплуатации зеркального тома нужно дождаться окончания процессов его форматирования и ресинхронизации (рис. 3.15).

увеличить изображение
Рис. 3.15.  Список дисков в оснастке "Управление дисками"

Процесс восстановления неисправного диска зеркального тома зависит от типа неисправности. Если на диске возникли одиночные ошибки ввода - вывода, оба диска тома перейдут в состояние "Отказавшая избыточность", диск с ошибками находится в состоянии "Автономный" или "Отсутствует" (рис. 3.16) [[23]].

Рис. 3.16.  Зеркальный том в состоянии "Отказавшая избыточность"

Устранив источник ошибок ввода-вывода, например, плохое соединение кабеля, необходимо выбрать том сбойного диска или сам диск и в контекстном меню указать пункт "Реактивизировать том" или "Реактивизировать диск" соответственно. Повторная активизация переводит диск или том в оперативный режим. Повторная синхронизация зеркального тома выполняется автоматически.

Удалить зеркальный том можно тремя способами [[19]]:

Удалить том полностью со всеми данными. Удалить один из дисков зеркального тома. При этом на одном из дисков остается неразмеченная область, а содержимое зеркального тома сохраняется на другом диске. Разделить зеркальный том. При этом остаются два диска с идентичными копиями данных.

В случае выхода из строя одного физического диска зеркального тома можно его заменить, а потом пересоздать зеркальный том. Для этого следует сначала разделить зеркальный том, затем удалить неисправный диск. Второй исправный диск станет простым томом. После замены неисправного диска на сервере щелкните правой кнопкой мыши на оставшемся простом томе от прежнего "зеркала" и при помощи команды "Добавить зеркальный том" создайте новый зеркальный том на основе добавленного диска [[23]].

3.3.2. Работа с томами RAID-5

Том RAID-5 состоит как минимум из трех дисков (максимум из 32). По сравнению с зеркальными томами, он обеспечивает лучшую производительность операции чтения данных и эффективность использования дискового пространства. В минимальном томе RAID-5 из трех дисков, только одна треть дискового пространства используется для обеспечения отказоустойчивости (для хранения данных четности), в отличие от зеркального тома, где этот показатель равен одной второй. Отказоустойчивость зеркальных томов и RAID-5 защищает только от одиночных сбоев одного диска!

Создается том RAID-5 аналогично зеркальному через оснастку "Управление дисками", за исключением того, что изначально требуется минимум три свободных диска. При отказе одного из дисков в томе RAID-5 данные все равно будут доступны. Общая производительность тома снизится, так как при чтении отсутствующие данные будут вычисляться из оставшихся данных и информации о четности [[23]].

После восстановления или замены отказавшего диска, возможно, придется воспользоваться командой "Повторить сканирование" оснастки "Управление дисками" и реактивировать том на восстановленном диске. При этом система восстановит отсутствующие данные по значениям четности и заново заполнит диск, в результате том восстановит функциональность и отказоустойчивость [[19]].

3.4. Лабораторная работа. Обеспечение безопасности хранения данных в ОС Microsoft Windows 2003/XP

На этой лабораторной работе вы опробуете описанные выше способы обеспечения безопасности хранения данных в ОС Microsoft Windows 2003/XP. Упражнения выполняются на виртуальных машинах с ОС Windows Server 2003 и Windows XP Professional.

3.4.1. Упражнение 1. Подготовка виртуальной машины с ОС Windows 2003 Server для выполнения лабораторной работы

Упражнение выполняется на виртуальной машине с ОС Windows Server 2003.

3.4.2. Упражнение 2. Работа с теневыми копиями для общих папок

В этом упражнении вы запустите и настроите поддержку теневых копий на томах ОС Windows Server 2003. Вы также восстановите из теневой копии удаленные файлы в общей папке на сервере. Упражнение выполняется на виртуальной машине с ОС Windows Server 2003.

3.4.3. Самостоятельное упражнение 1. Восстановление файлов из теневой копии на клиентском компьютере с ОС Windows XP Professional

Запустите виртуальную машину с ОС Windows XP Professional и установите сетевое подключение с сервером, на котором выполнялись предыдущие упражнения. С клиентского компьютера под управлением ОС Windows XP Professional подключитесь к общей папке \\Server01\Документы. Внесите изменения в файл Отчет. txt, создайте принудительно на сервере теневую копию тома, а затем на клиентском компьютере восстановите прежнюю версию файла. Если вкладка "Предыдущие версии" будет недоступна в свойствах файла Отчет. txt, находящегося в общей папке \\Server01\Документы, то установите специальное клиентское ПО (находится в папке %systemroot%\System32\Clients\Twclient\X86 на сервере с ОС Windows Server 2003).

3.4.4. Упражнение 3. Выполнение архивации

В этом упражнении с помощью программы Backup вы выполните полную, а затем добавочную архивацию. Вы также научитесь создавать задания для программы архивации, которые будут выполняться по расписанию. Упражнение выполняется на виртуальной машине с ОС Windows Server 2003.

3.4.5. Упражнение 4. Восстановление данных

В этом упражнении с помощью программы Backup вы восстановите данные, ранее заархивированные. Упражнение выполняется на виртуальной машине с ОС Windows Server 2003.

3.4.6. Самостоятельное упражнение 2. Архивация и восстановление данных при использовании другой стратегии

На основе сценариев упражнений 3 и 4 выполните самостоятельно упражнение, используя стратегию полной архивации с последующей разностной. Особо обратите внимание на процедуру восстановления файлов при использовании данной стратегии.

3.4.7. Упражнение 5. Использование зеркальных томов в ОС Windows Server 2003.

В этом упражнении вы создадите на сервере с ОС Windows Server 2003 отказоустойчивый зеркальный том, искусственно сделаете сбой одного из дисков тома, а затем восстановите данные. Перед выполнением данного упражнения выполните самостоятельные упражнения 1 и 2, так как данные на диске D:\ будут утрачены.

3.4.8. Самостоятельное упражнение 3. Восстановление зеркального тома

В предыдущем упражнении вы создали искусственный сбой зеркального тома, временно удалив, а потом вернув на место один из двух дисков. Предположим, что вам не удалось бы вернуть на место тот же самый диск, который находился в зеркальном томе, из-за его поломки. Выключите виртуальную машину и еще раз удалите из ее состава "Диск 1". На виртуальной машине с ОС Windows Server 2003 у вас имеется свободный неиспользуемый "Диск 3". Самостоятельно создайте зеркальный том на исправных дисках "Диск 2" и "Диск 3". Воспользуйтесь командами "Удалить зеркало", а затем "Добавить зеркало" контекстного меню на отказавшем зеркальном томе.

3.4.9. Упражнение 5. Использование томов RAID-5 в ОС Windows Server 2003

В этом упражнении вы создадите на сервере с ОС Windows Server 2003 отказоустойчивый том RAID-5, искусственно сделаете сбой одного из дисков тома для демонстрации отказоустойчивости.

3.6. Резюме

В ОС Microsoft Windows 2003/XP имеются различные решения для обеспечения безопасности хранения данных, правильное использование и настройка которых позволяет администраторам решать большой спектр задач в этой области.

Включение теневого копирования томов обеспечивает пользователям доступ к копиям файлов в общих папках на сервере, которые были случайно повреждены или удалены по ошибке. Данная технология позволяет максимально быстро восстанавливать потерянные данные.

Архивация дает наивысшую степень отказоустойчивости по сравнению со всеми другими технологиями хранения данных, обеспечивающих отказоустойчивость. В составе ОС Microsoft Windows 2003/XP есть штатная программа Backup, обслуживающая основные функции архивации.

Серверная ОС Windows Server 2003 позволяет создавать отказоустойчивые дисковые хранилища. При использовании динамического хранения данных в этой ОС, можно создавать зеркальные тома, состоящие из двух дисков с идентичными копиями данных, а также тома RAID-5 с контролем четности, в которых данные распределены порциями по нескольким дискам. Отказ одного из дисков таких отказоустойчивых томов не приводит к потере данных, хранящихся на томе.

4. Лекция: Центр обеспечения безопасности (Windows Security Center) в операционной системе Windows XP SP2: версия для печати и PDA
В этой лекции будет рассмотрен "Центр обеспечения безопасности Windows" (Windows Security Center), входящий в состав Windows XP SP2. Он разработан компанией Microsoft для автоматической проверки состояния трех основных компонентов ОС (брандмауэр, антивирус, система автоматического обновления). С помощью этого инструмента пользователь имеет возможность не только контролировать состояние перечисленных выше компонентов, но и получать рекомендации по устранению возникающих с этими компонентами проблем

В этом занятии будет рассмотрен "Центр обеспечения безопасности Windows" (Windows Security Center), входящий в состав Windows XP SP2. Он разработан компанией Microsoft для автоматической проверки состояния трех основных компонентов ОС (брандмауэр, антивирус, система автоматического обновления). С помощью этого инструмента пользователь имеет возможность не только контролировать состояние перечисленных выше компонентов, но и получать рекомендации по устранению возникающих с этими компонентами проблем [[24]].

Прежде всего

Для изучения материалов этого занятия необходим один компьютер под управлением операционной системы Windows XP Professional SP2 с настройками по умолчанию.

Для выполнения лабораторных работ необходимо два компьютера под управлением операционной системы Windows XP Professional SP2 с настройками по умолчанию.

4.1. Введение

Если ваш компьютер подключен к компьютерной сети (неважно, Интернет это или Интранет), то он уязвим для вирусов, атак злоумышленников и других вторжений. Для защиты компьютера от этих опасностей необходимо, чтобы на нем постоянно работали межсетевой экран (брандмауэр) и антивирусное ПО (с последними обновлениями) [[25]]. Кроме того, необходимо, чтобы все последние обновления были также установлены на вашем компьютере.

Не каждый пользователь может постоянно следить за этим. Не каждый пользователь знает, как это осуществить. И даже если пользователь компетентен в этих вопросах, у него просто может не хватать времени на такие проверки. Компания Microsoft позаботилась обо всех этих пользователях, включив в состав SP2 для Windows XP такой инструмент. Он называется "Центр обеспечения безопасности Windows" (Windows Security Center) (рис. 4.1).

увеличить изображение
Рис. 4.1.  Центр обеспечения безопасности Windows

Основное назначение этого инструмента - информировать и направлять пользователя в нужном направлении. Во-первых, он постоянно контролирует состояния трех основных компонентов ОС (брандмауэр, антивирус, система автоматического обновления). Если параметры любого из этих компонентов не будут удовлетворять требованиям безопасности компьютера, то пользователь получит соответствующее уведомление. Например, на рис. 4.2 представлено одно из таких уведомлений.

Рис. 4.2.  Оповещение

Во-вторых, при открытии "Центра обеспечения безопасности Windows" пользователь может не только получить конкретные рекомендации о том, как исправить сложившуюся ситуацию, но также узнать, где находятся другие настройки, связанные с безопасностью компьютера, и где на сайте Microsoft можно прочитать дополнительную информацию по обеспечению безопасности.

Необходимо сразу отметить, что при подключении компьютера к домену в "Центре обеспечения безопасности Windows" не отображаются сведения о состоянии безопасности компьютера (рис. 4.3) и не выполняется отправка сообщений безопасности. Считается, что в этом случае параметрами безопасности должен управлять администратор домена [[26]].

Чтобы включить "Центр для обеспечения безопасности Windows" для компьютера, входящего в состав домена, необходимо в групповой политике домена включить параметр "Конфигурация компьютера, Административные шаблоны, Компоненты Windows, Центр обеспечения безопасности, Включить "Центр обеспечения безопасности" (только для компьютеров в домене)".

увеличить изображение
Рис. 4.3.  Центр обеспечения безопасности Windows

4.2. Параметры безопасности Windows

Чтобы открыть "Центр обеспечения безопасности Windows", нажмите кнопку "Пуск", выберите команду "Панель управления", затем дважды щелкните на значок "Центр обеспечения безопасности" (рис. 4.4).

Рис. 4.4.  Значок

Окно Центра обеспечения безопасности Windows можно условно разделить на три части (рис. 4.5):

увеличить изображение
Рис. 4.5.  Центр обеспечения безопасности

Рассмотрим эти части более подробно.

4.2.1. Ресурсы

В разделе 1 (см. рис. 4.5-1) первые три ссылки предназначены для перехода на соответствующие страницы на сайте Microsoft. Предпоследняя ссылка предназначена для открытия справочной службы Windows на странице "Общие сведения о центре обеспечения безопасности Windows". Последняя ссылка предназначена для открытия окна "Параметры оповещений" (рис. 4.6).

Рис. 4.6.  Параметры оповещений

Если на компьютере установлен брандмауэр и антивирусное ПО, не определяемое Центром обеспечения безопасности, вы можете отключить соответствующие оповещения (см. рис. 4.6).

4.2.2. Компоненты безопасности

В разделе 2 (см. рис. 4.5-2) каждое информационное табло сообщает о состоянии соответствующего компонента. На рис. 4.7 представлены возможные состояния.

Рис. 4.7.  Состояния информационных табло

Состояния A-C понятны без комментариев. Состояние D - "Не найдено" - соответствует невозможности определить присутствие соответствующего ПО (например, антивирус или брандмауэр). Состояние E - "Срок истек" - возможно для антивирусной защиты, когда обновления антивирусных баз устарели. Состояние F - "Не наблюдается" - соответствует отключенному контролю над соответствующим компонентом.

Как указано в [[24]], Центром обеспечения безопасности применяется двухуровневый подход к определению состояния компонентов:

На рис. 4.8 представлено одно из возможных состояний компонента "Брандмауэр". Нажав кнопку "Рекомендации…", вы получите возможность либо включить брандмауэр (рис. 4.9, кнопка "Включить сейчас"), либо отключить наблюдение за состоянием этого компонента (рис. 4.9, параметр "Я самостоятельно устанавливаю и слежу за брандмауэром").

Рис. 4.8.  Состояние "Брандмауэра"

Рис. 4.9.  Рекомендация

После нажатия кнопки "Включить сейчас" (см. рис. 4.9), если брандмауэр Windows будет успешно запущен, на экране появится соответствующее сообщение (рис. 4.10).

Рис. 4.10.  Сообщение

На рис. 4.11 представлено одно из возможных состояний компонента "Автоматическое обновление". Нажав кнопку "Включить автоматическое обновление", вы задействуете рекомендуемый компанией Microsoft режим работы системы "Автоматическое обновление" (рис. 4.12). Подробнее о настройках "Автоматического обновления" вы можете прочитать в разделе 4.4.

Рис. 4.11.  Состояние "Автоматического обновления"

Рис. 4.12.  Автоматическое обновление

Обратите внимание, что в зависимости от выставленного режима работы "Автоматического обновления" (см. рис. 4.12) в окне "Центра обеспечения безопасности" указывается краткое описание этого режима.

На рис. 4.13 представлено одно из возможных состояний компонента "Защита от вирусов". Нажав кнопку "Рекомендации…", вы получите лаконичные указания (рис. 4.14): "включить антивирусную программу" (если она выключена), "установить другую антивирусную программу". В этом окне вы можете отключить наблюдение за состоянием этого компонента (параметр "Я самостоятельно устанавливаю и слежу за антивирусом").

Рис. 4.13.  Состояние "Защиты от вирусов"

Рис. 4.14.  Рекомендация

4.2.3. Параметры безопасности

Как уже было указано ранее, в разделе 3 (см. рис. 4.5-3) расположены кнопки перехода к настройкам безопасности следующих компонентов: обозреватель Internet Explorer, автоматическое обновление, брандмауэр Windows.

Нажав кнопку , вы попадете на закладку "Безопасность" в окне настроек обозревателя Internet Explorer (рис. 4.15). Подробнее об этих параметрах вы можете прочитать в разделе 4.3.

Рис. 4.15.  Настройки Internet Explorer

Нажав кнопку , вы откроете окно настроек "Автоматического обновления" (см. рис. 4.12). Подробнее о них вы можете прочитать в разделе 4.4.

Нажав кнопку , вы попадете в соответствующее окно настроек (рис. 4.16). Подробнее об этих настройках вы можете прочитать в разделе 4.5.

Рис. 4.16.  Настройки Брандмауэра Windows

В Windows XP SP2 для обозначения настроек, касающихся безопасности (см. например, рис. 4.16), а также при оповещениях о состоянии безопасности компьютера (см. например, рис. 4.2) используются следующие значки [[26]]:

4.3. Свойства обозревателя

Как уже указывалось ранее, нажав кнопку в "Центре обеспечения безопасности Windows", вы попадете в окно настроек обозревателя Internet Explorer на закладку "Безопасность" (рис. 4.17).

Рис. 4.17.  Настройки безопасности Internet Explorer

Рассмотрим параметры, доступные на этой закладке. В верхней части расположены четыре зоны: Интернет, Местная интрасеть, Надежные узлы, Ограниченные узлы. В табл. 4.1 дано описание для каждой зоны.

Для всех зон, кроме зоны "Интернет", вы можете определить входящие в зону узлы. Для этого необходимо выбрать нужную зону (см. рис. 4.17) и нажать кнопку "Узлы...". Для зоны "Местная интрасеть" в этом случае откроется окно, представленное на рис. 4.18. Если вы хотите указать конкретные узлы, нажмите кнопку "Дополнительно…". В результате появится окно, представленное на рис. 4.19. Аналогичное окно будет открыто, если вы будете определять узлы, входящие в зоны "Надежные узлы" и "Ограниченные узлы". Только для зоны "Ограниченные узлы" будет отсутствовать параметр "Для всех узлов этой зоны требуется проверка серверов (https:)".

Рис. 4.18.  Местная интрасеть

Рис. 4.19.  Задание конкретных узлов

Каждой зоне можно присвоить нужный уровень безопасности: высокий, средний, ниже среднего, низкий. Низкий уровень безопасности соответствует минимальной защите и применяется для узлов, которым вы полностью доверяете.

Выберите нужную зону (см. рис. 4.17) и нажмите кнопку "По умолчанию". Закладка "Безопасность" изменит свой вид (рис. 4.20). В нижней части окна вы можете определить нужный уровень безопасности. Если вы не хотите использовать предлагаемые уровни безопасности, вы можете нажать кнопку "Другой…" и определить все параметры безопасности самостоятельно (рис. 4.21).

Рис. 4.20.  Настройки безопасности Internet Explorer

Рис. 4.21.  Параметры безопасности

Описанные выше настройки безопасности обозревателя Internet Explorer также доступны через групповую политику (Конфигурация компьютера, Административные шаблоны, Компоненты Windows, Internet Explorer, Панель управления обозревателем, Страница безопасности).

4.4. Автоматическое обновление

Как уже указывалось ранее, нажав кнопку в "Центре обеспечения безопасности Windows", вы откроете окно настроек "Автоматического обновления" (рис. 4.22).

Рис. 4.22.  Параметры автоматического обновления

Встроенная в Windows XP справочная система очень подробно описывает систему автоматического обновления. Для того чтобы воспользоваться этой справкой, щелкните по надписи "Как работает автоматическое обновление?" (см. рис. 4.22). Остановимся только на некоторых моментах.

Во-первых, необходимо различать понятия "загрузка" и "установка" обновлений. Загрузка означает процесс передачи файлов обновлений с сервера Microsoft (или с внутреннего сервера обновлений в организации) на компьютер пользователя. Установка обозначает собственно процесс инсталляции обновлений на компьютере пользователя. Возможна ситуация, когда обновления загружены на пользовательский компьютер, но еще не установлены.

Во-вторых, если вы выбрали вариант "Автоматически" (см. рис. 4.22), то обновления будут загружаться и устанавливаться в указанное вами время. Если компьютер в указанное время всегда выключен, то установка обновлений никогда не выполнится. При регистрации на компьютере пользователь с правами локального администратора может запустить установку вручную, не дожидаясь запланированного времени. При наступлении запланированного времени пользователю будет выдано соответствующее предупреждение о начале установки обновлений. Если в этот момент в системе работает администратор, у него будет возможность отложить установку до следующего запланированного времени. У других пользователей (без прав администратора) возможности отменить запланированную установку обновлений не будет [[23]].

Во всех остальных случаях (кроме варианта "отключить автоматическое обновление") уведомления о существующих обновлениях для вашего компьютера (готовых к загрузке или к установке) будут появляться только при регистрации на вашем компьютере пользователя с правами локального администратора. Таким образом, если на компьютере вы постоянно работаете с учетной записью, не входящей в группу локальных администраторов, то установка обновлений никогда не выполнится.

Описанные выше настройки автоматического обновления также доступны для настройки через групповую политику (Конфигурация компьютера, Административные шаблоны, Компоненты Windows, Windows Update). Кроме того, только через групповую политику можно задать дополнительные параметры. Например, можно указать адрес внутреннего сервера обновлений, который централизованно получает обновления с серверов Microsoft и отдает их внутренним компьютерам организации. В качестве примера такого сервера можно привести Microsoft® Windows Server™ Update Services (WSUS).

4.5. Брандмауэр Windows

Как уже указывалось ранее, нажав кнопку в "Центре обеспечения безопасности Windows", вы откроете окно настроек "Брандмауэра Windows" (рис. 4.23).

Рис. 4.23.  Настройки Брандмауэра Windows

Если вы щелкните по надписи "Подробнее о брандмауэре Windows" (см. рис. 4.23), то сможете прочитать краткую информацию о возможностях брандмауэра (межсетевого экрана), входящего в состав Windows XP SP2. Нет необходимости повторять эту информацию здесь.

Отметим лишь, что, в отличие от продуктов других производителей, встроенный брандмауэр Windows предназначен только для контроля входящего трафика, т. е. он защищает компьютер только от внешних вторжений. Он не контролирует исходящий трафик вашего компьютера. Таким образом, если на ваш компьютер уже попал троянский конь или вирус, которые сами устанавливают соединения с другими компьютерами, брандмауэр Windows не будет блокировать их сетевую активность.

Кроме того, по умолчанию брандмауэр защищает все сетевые соединения, и запрос входящего эха по протоколу ICMP запрещен. Это означает, что если на компьютере включен брандмауэр Windows, то проверять наличие такого компьютера в сети с помощью команды PING - бессмысленное занятие.

Очень часто в организациях, где используется программное обеспечение, требующее разрешения входящих соединений на пользовательские компьютеры, возникает необходимость открыть некоторые порты на компьютерах с установленной Windows XP SP2. Для решения этой задачи необходимо задать исключения в настройках брандмауэра Windows. Существует два способа решить эту задачу [[27]]:

Существует несколько способов задать исключение в настройках брандмауэра Windows [[28]]. Можно воспользоваться графическим интерфейсом (рис. 4.24). Этот вариант достаточно подробно освещен в Центре справки и поддержки Windows XP SP2. Можно использовать доменную групповую политику. Этот вариант предпочтителен при большом количестве компьютеров в организации. Рассмотрим его более подробно.

Рис. 4.24.  Закладка Исключения

Параметры Брандмауэра Windows в групповой политике размещаются в узле "Конфигурация компьютера, Административные шаблоны, Сеть, Сетевые подключения, Брандмауэр Windows".

При настройке через групповую политику вам необходимо настроить два профиля [[28]]:

Рассмотрим, как задать исключения для программы и для заданного порта. В качестве конкретного примера возьмем обращение Сервера администрирования Kaspersky Administration Kit к компьютеру, на котором установлен Агент администрирования, для получения информации о состоянии антивирусной защиты (подробнее см. лекцию 5). В этом случае необходимо, чтобы на клиентском компьютере был открыт порт UDP 15000 или разрешен прием входящих сообщений программой "C:\Program Files\Kaspersky Lab\NetworkAgent\klnagent. exe".

4.5.1. Создание исключения для программы

Настроим параметры групповой политики так, чтобы брандмауэр всегда работал, но пропускал входящие соединения для программы "C:\Program Files\Kaspersky Lab\NetworkAgent\klnagent. exe". Укажем также, что эта программа будет принимать входящие соединения только с адреса 192.168.0.1.

Для этого необходимо изменить параметры (табл. 4.2), расположенные в узле "Конфигурация компьютера, Административные шаблоны, Сеть, Сетевые подключения, Брандмауэр Windows, Профиль домена". Параметры, не указанные в этой таблице, могут иметь состояние "Не задана".

Формат задания исключения для программ следующий [[28]]:

ProgramPath:Scope:Enabled|Disabled:ApplicationName

где ProgramPath - путь к программе и имя файла,

Scope - один или несколько адресов, разделенных запятыми (например, "*" - все сети (кавычки не указываются); 192.168.0.1 - один адрес; 192.168.10.0/24 - подсеть; "localsubnet" - локальная подсеть),

Enabled|Disabled - состояние исключения (включено или выключено),

ApplicationName - описание исключения (текстовая строка).

После применения этих параметров (см. табл. 4.2) окно настроек брандмауэра будет выглядеть так (рис. 4.25). Обратите внимание на надпись "Некоторые параметры управляются групповой политикой".

Рис. 4.25.  Закладка "Общие"

Как видно на рисунке, настройки брандмауэра теперь закрыты для изменения локальным пользователям (в том числе с правами администратора). На рис. 4.26 представлена закладка "Исключения", на которой отмечено значение, добавленное групповой политикой домена.

Рис. 4.26.  Закладка "Исключения"

4.5.2. Создание исключения для порта

Настроим параметры групповой политики так, чтобы брандмауэр всегда работал, но пропускал входящие соединения с адреса 192.168.0.1 на порт UDP 15000.

Для этого необходимо изменить параметры (табл. 4.3), расположенные в узле "Конфигурация компьютера, Административные шаблоны, Сеть, Сетевые подключения, Брандмауэр Windows, Профиль домена". Параметры, не указанные в этой таблице, могут иметь состояние "Не задана".

Формат задания исключения для программ следующий [[28]]:

Port#:TCP|UDP:Scope:Enabled|Disabled:PortName

где Port# - номер открываемого порта,

TCP|UDP - тип порта,

Scope - один или несколько адресов, разделенных запятыми (например, "*" - все сети (кавычки не указываются); 192.168.0.1 - один адрес; 192.168.10.0/24 - подсеть; "localsubnet" - локальная подсеть),

Enabled|Disabled - состояние исключения (включено или выключено),

PortName - описание исключения (текстовая строка).

4.6. Лабораторная работа. Настройка брандмауэра

В этой лабораторной работе вы выполните настройку брандмауэра с помощью групповой политики и проверите его работу. В целях минимизации предварительных требований для выполнения работ будет использоваться групповая политика "Локальный компьютер". Компьютер client02 входит в рабочую группу (т. е. не введен в домен). Компьютер client01 может входить в рабочую группу или быть включенным в домен.

Предварительные требования

Для выполнения данной работы необходимо наличие двух (можно виртуальных) компьютеров под управлением Windows XP SP2 с настройками по умолчанию (в том числе - "брандмауэр Windows включен"). Один компьютер - client01 (IP=192.168.0.11/255.255.255.0). Второй компьютер - client02 (IP=192.168.0.12/255.255.255.0). Учетная запись администратора на обоих компьютерах - "Administrator", пароль - "P@ssw0rd".

Лабораторная работа 1 выполняется на компьютерах client01 (установка тестовых подключений с компьютером client02) и client02 (настройка брандмауэра, службы Telnet).

4.6.1. Упражнение 1. Проверка межсетевого взаимодействия

Вы проверите прохождение пакетов ICMP между компьютерами до и после отключения брандмауэра.

4.6.2. Упражнение 2. Включение службы Telnet

Вы включите службу Telnet на компьютере client02, создадите учетную запись для подключения к ней. Проверите подключение к службе Telnet с компьютера client01.

4.6.3. Упражнение 3. Настройка исключения для порта

На компьютере client02 с помощью групповой политики "Локальный компьютер" вы настроите исключение для порта TCP 23 (разрешим входящие подключения на этот порт из локальной подсети) и проверите подключение к службе Telnet с компьютера client01.

4.6.4. Упражнение 4. Настройка исключения для программы

Как вы видели в упражнении 2, службе Telnet соответствует исполняемый файл "C:\WINDOWS\system32\tlntsvr. exe".

На компьютере client02 с помощью групповой политики "Локальный компьютер" вы настроите исключение для этого исполняемого файла (разрешим входящие подключения для этой программы из локальной подсети) и проверите подключение к службе Telnet с компьютера client01. После этого вы измените номер порта для службы Telnet на 1000 и проверите, что подключение к службе Telnet все еще возможно (брандмауэр сам определяет порт, по которому работает указанный исполняемый файл, и разрешает открытые им входящие подключения).

4.8. Резюме

"Центр обеспечения безопасности Windows" является прекрасным примером дружественного интерфейса для контроля функционирования таких важных для безопасности компьютера компонентов, как "брандмауэр", "система автоматического обновления" и антивирусное ПО. Он информирует пользователя о состоянии этих компонентов и рекомендует пользователям, как выполнить их правильную настройку.

При подключении компьютера к домену "Центр обеспечения безопасности Windows" перестает уведомлять пользователя о проблемах с безопасностью Windows. Считается, что в этом случае параметрами безопасности должен управлять администратор домена [[26]] - например, через групповую политику.

5. Лекция: Защита от вредоносного программного обеспечения на примере Windows Defender: версия для печати и PDA
В этой лекции будет рассмотрена технология безопасности, защищающая компьютер от программ-шпионов и других видов нежелательных программ, Windows Defender

В этом занятии будет рассмотрен "Защитник Windows" (Windows Defender). Этот продукт предлагается Microsoft как технология безопасности, защищающая компьютер от программ-шпионов и других видов нежелательных программ [[29]]. Этот программный продукт интегрирован в Windows Vista, а для пользователей Windows XP он доступен в виде отдельного дополнения [[30]]. На момент создания данного занятия на сайте Microsoft доступна версия 1.1.1593.0 этого продукта. Все дальнейшее описание базируется на возможностях этой версии для Windows XP.

Версия Защитника Windows, входящая в состав Windows Vista, предоставляет дополнительные улучшения в производительности и безопасности (проверка только изменившихся файлов, проверка файлов при их запуске и т. д.). При использовании Internet Explorer 7 Защитник Windows также позволяет сканировать загружаемые файлы [[44]].

На момент создания этого занятия (октябрь 2007 г.) на сайте Microsoft большая часть статей на русском языке о Защитнике Windows все еще содержит информацию о бета-версии 2, хотя загрузить можно уже окончательную русскую версию.

Прежде всего

Для изучения материалов этого занятия необходимо:

компьютер под управлением операционной системы Windows XP Professional с настройками по умолчанию; выход в Интернет.

5.1. Введение

Microsoft предлагает следующее определение для "шпионского" ПО [[32]].

"Шпионскими" называются программы, выполняющие определенные действия (например, показ рекламы, сбор личной информации или изменение настроек компьютера) без ведома и контроля пользователя.

Как указывается в [[32], [33]], вероятными признаками наличия на вашем компьютере "шпионского" либо иного нежелательного программного обеспечения являются:

появление всплывающей рекламы, даже когда вы не находитесь в Интернете; домашняя страница или настройки поиска в обозревателе изменились без вашего ведома; появление в обозревателе новых ненужных панелей инструментов, от которых трудно избавиться; неожиданное значительное снижение производительности; количество сбоев в работе компьютера неожиданно увеличилось.

Как указывается в [[33]], некоторые из программ-шпионов могут также выполнять следующее:

регистрировать нажатия клавиш, что позволяет программам-шпионам перехватывать пароли и данные для входа в систему; собирать личные данные, такие как идентификационные номера, номера социального страхования (в США) или информация о банковских счетах, и пересылать их третьим лицам; позволять удаленно управлять компьютером для получения доступа к файлам, установки и изменения программного обеспечения, а также использования компьютера для распространения вирусов и других действий.

Все формы программ-шпионов обладают одним общим признаком: они устанавливаются без ведома пользователя и не предоставляют ему сведений о своих действиях [[33]].

Для защиты от программ-шпионов и вирусов компания Microsoft предлагает следующие технологии [[29], [30]]:

Защитник Windows (Windows Defender) – инструмент защиты от "шпионского" ПО. Осуществляет не только поиск и удаление "шпионского" ПО, но и постоянный мониторинг действий пользователя и приложений с целью обнаружения попыток установки на компьютер нежелательного ПО. Основан на технологиях компании GIANT Company Software Inc., приобретенной Microsoft в декабре 2004 года [[30], [33]]. Windows Live Safety Center – веб-служба, обеспечивающая нормальную работу компьютера благодаря средствам сканирования и удаления нежелательных программ. Также позволяет выполнять резервное копирование файлов и дефрагментацию жестких дисков. Средство удаления вредоносных программ (Malicious Software Removal Tool) – средство безопасности, которое проверяет компьютер и удаляет обнаруженные вирусы и другие вредоносные программы. Основано на технологиях приобретенной Microsoft в июне 2003 года румынской антивирусной компании GeCAD. Windows Live OneCare – набор средств безопасности, которые почти не требуют вашего вмешательства в своей работе. Помимо антивирусной защиты, осуществляет на компьютере пользователя действия, необходимые для повышения производительности и для обеспечения сохранности данных (управление брандмауэром, резервное копирование, дефрагментация жестких дисков). Microsoft Client Protection – средство защиты рабочих, переносных компьютеров и файловых серверов от таких угроз, как программы-шпионы и rootkit, а также от вирусов и других традиционных способов атаки. В отличие от OneCare, данный продукт не содержит брандмауэра, средств мониторинга производительности и инструментов резервного копирования.

В табл. 5.1 приведены сравнительные характеристики перечисленных выше технологий защиты Microsoft от программ-шпионов и вирусов [[29]].

5.2. Установка Windows Defender

Для установки программы вам необходимы права администратора на локальном компьютере. Процесс инсталляции очень прост и после окончания не требует перезагрузки компьютера.

После установки для запуска программы достаточно привилегий обычного пользователя, но некоторые действия могут требовать привилегий администратора.

5.2.1. Требования к системе

Как указывается в [[34]], минимальными требованиями для установки являются:

Процессор: Intel Pentium с частотой не менее 233 МГц. Рекомендуется Pentium III. Операционная система: Windows XP с пакетом обновления 2 (SP2) или более поздним, Windows Server 2003 с пакетом обновления 1 (SP1) или более поздним. ОЗУ: не менее 64 МБ; рекомендуется 128 МБ. 20 МБ свободного места на жестком диске. Microsoft Internet Explorer 6.0 или выше. Подключение к Интернету со скоростью не менее 28,8 Кбит/с. Windows Installer версии 3.1 или выше.

5.2.2. Шаг 1. Загрузка Защитника Windows

Для установки приложения необходимо загрузить установщик с веб-узла центра загрузки Microsoft [[35]]. Для этого на "Домашней странице Защитника Windows" [[31]] щелкните по надписи "Загрузить здесь" (рис. 5.1).

увеличить изображение
Рис. 5.1.  Фрагмент домашней страницы Защитника Windows

На появившейся странице выберите русский язык и нажмите кнопку "Change" (рис. 5.2).

Рис. 5.2.  Фрагмент страницы загрузки Защитника Windows

Защитник Windows является бесплатной программой для владельцев подлинной версии Windows. Поэтому на появившейся странице перед загрузкой установщика вам предлагается проверить подлинность вашей версии Windows. Об этом свидетельствует надпись "Требуется проверка" ("Validation Required") на странице загрузки (рис. 5.3) [[35]].

увеличить изображение
Рис. 5.3.  Фрагмент страницы загрузки Защитника Windows

Нажмите кнопку "Продолжить" для проверки операционной системы вашего компьютера. После этого вы перейдете на страницу установки компонента проверки подлинности Windows (the Genuine Windows Validation Component) (рис. 5.4). Этот компонент является элементом управления ActiveX под названием "Windows Genuine Advantage". В соответствии с настройками по умолчанию, в Internet Explorer (версия, входящая в состав Windows XP SP2) запрещена автоматическая установка элементов ActiveX. Об этом свидетельствует появившаяся панель информации со значком . Для продолжения установки необходимо выполнить щелчок левой кнопкой мыши по этой панели (см. рис. 5.4). В появившемся меню (рис. 5.5) выберите команду "Установить элемент управления ActiveX...".

увеличить изображение
Рис. 5.4.  Страница установки компонента проверки подлинности Windows

Рис. 5.5.  Меню панели информации

После появления предупреждения системы безопасности об установке ActiveX компонента нажмите кнопку "Установить" (рис. 5.6).

Рис. 5.6.  Предупреждение системы безопасности

После успешной проверки вашей операционной системы вы вернетесь на страницу загрузки Защитника Windows. Но внешний вид этой страницы теперь будет другой. Вместо кнопки "Continue" (см. рис. 5.3) будет кнопка "Download" (рис. 5.7). Нажмите ее.

увеличить изображение
Рис. 5.7.  Страница загрузки Защитника Windows после проверки ОС

После появления предупреждения системы безопасности нажмите кнопку "Сохранить" (рис. 5.8) и выберите место для сохранения файла WindowsDefender. msi. В случае возникновения ошибок во время установки Защитника Windows, вы всегда сможете запустить установку повторно, если сохраните установщик на диск.

Рис. 5.8.  Предупреждение системы безопасности

5.2.3. Шаг 2. Запуск установщика Защитника Windows

После того как вы загрузили на свой компьютер установщик Защитника Windows, можно приступать к собственно установке. Запустите файл WindowsDefender. msi. Если после запуска вы увидите окно приветствия мастера установки (рис. 5.9), то перейдите к шагу 5 (пункт 5.2.6). Если вы увидите сообщение об отсутствии Windows Installer 3.1, представленное на рис. 5.10, то перейдите к пункту 5.2.4. Если вы увидите сообщение о необходимости обновления службы Windows Update, представленное на рис. 5.11, то перейдите к пункту 5.2.5.

Рис. 5.9.  Приветствие мастера установки

Рис. 5.10.  Сообщение об отсутствии установщика Windows 3.1

Рис. 5.11.  Сообщение о необходимости обновить службу Windows Update

5.2.4. Шаг 3. Установка Windows Installer 3.1

Как указано на рис. 5.10, для установки Защитника Windows необходимо наличие на компьютере приложения Windows Installer версии 3.1 или выше. Чтобы получить подробные требования к установке, необходимо посетить сайт http://go. /fwlink/?LinkId=63848 (рис. 5.12). Кроме описанных ранее системных требований, на этой странице есть также ссылка на Microsoft Download Center (см. рис. 5.12). Перейдя по этой ссылке, вы получите возможность скачать на свой компьютер Windows Installer последней версии (рис. 5.13).

Рис. 5.12.  Системные требования

Рис. 5.13.  Страница загрузки Windows Installer 3.1

Как вы видите на рис. 5.13, для загрузки Windows Installer 3.1 уже не требуется проверка подлинности операционной системы. Загрузите файл WindowsInstaller-KB893803-v2-x86.exe и запустите его. Следуйте инструкциям мастера установки. По окончании установки не забудьте перезагрузить компьютер.

Вернитесь к шагу 2 (п. 5.2.3) и попробуйте повторно начать установку Защитника Windows.

5.2.5. Шаг 4. Обновление службы Windows Update

Как указано на рис. 5.11, для установки Защитника Windows необходимо обновить на вашем компьютере службу Windows Update. Для этого запустите Internet Explorer и выполните команду меню "Сервис | Windows Update" или перейдите по адресу http://windowsupdate. /. Через несколько секунд вы увидите предупреждение системы безопасности с предложением установить приложение Windows Update (рис. 5.14). Нажмите кнопку "Установить". Если после установки потребуется перезагрузка – выполните ее. Вернитесь к шагу 2 (п. 5.2.3) и попробуйте повторно начать установку Защитника Windows.

Рис. 5.14.  Предупреждение системы безопасности

5.2.6. Шаг 5. Мастер установки Защитника Windows

После появления на экране окна приветствия мастера установки (см. рис. 5.9) нажмите кнопку "Далее"("Next"). Перед началом установки Защитника Windows необходимо проверить подлинность используемой копии Microsoft Windows (рис. 5.15). Нажмите кнопку "Проверить".

Рис. 5.15.  Проверка подлинности Windows

Если проверка прошла успешно, на экране появится окно "Лицензионное соглашение для "Windows Defender"". Прочтите его. Если вы его принимаете, то выберите "Принимаю условия лицензионного соглашения" ("I accept the terms in the license agreement") и нажмите кнопку "Далее" ("Next").

На следующей странице вам будет предложено вступить в Интернет-сообщество Microsoft SpyNet (рис. 5.16). Microsoft рекомендует выбрать первый вариант ("Использовать рекомендованные настройки", "Use recommended settings") [[37]]. В этом случае вы будете автоматически получать обновления информации о "шпионских" программах и вступите в Интернет-сообщество Microsoft SpyNet.

Рис. 5.16.  Предложение вступить в сообщество Microsoft SpyNet

Интернет-сообщество Microsoft SpyNet (или сеть голосования) позволяет входящим в нее пользователям получать информацию о программах, которые были запрещены, удалены или разрешены другими пользователями при работе с Защитником Windows. Кроме того, ваши решения по этому вопросу также будут доступны другим пользователям. Данные о решениях пользователей отображаются в Защитнике Windows в виде графика, который содержит информацию о процентном соотношении людей, разрешивших, запретивших или удаливших конкретную программу [[38]].

Если вы не хотите вступать сообщество Microsoft SpyNet, но желаете получать обновления информации о "шпионских" программах, то выберите вариант "Установить только обновления определений" ("Install definition updates only").

При выборе варианта "Отложить"("Ask me later") вы не будете получать обновления и вступать в сообщество Microsoft SpyNet.

Выберите первый вариант и нажмите кнопку "Далее" ("Next"). На следующей странице вам будет предложено выбрать тип установки: "Полная" ("Complete") или "Выборочная" ("Custom") (рис. 5.17). Выберите вариант "Полная" ("Complete") и нажмите кнопку "Далее"("Next").

Рис. 5.17.  Выбор типа установки

На следующем экране вам будет сообщено о готовности к установке Защитника Windows (рис. 5.18). Нажмите кнопку "Установить" ("Install").

Рис. 5.18.  Готовность к установке

После завершения установки появится соответствующая страница с предложением проверить наличие обновлений информации о "шпионских" программах и запустить быстрое сканирование вашего компьютера (рис. 5.19). Нажмите кнопку "Готово" ("Finish").

Рис. 5.19.  Успешное завершение установки

Для запуска Защитника Windows в меню "Пуск" выберите пункт "Все программы", а затем – пункт "Windows Defender" (Защитник Windows) (рис. 5.20).

увеличить изображение
Рис. 5.20.  Главное окно Защитника Windows

5.3. Настройки Windows Defender

Для просмотра и изменения параметров работы Защитника Windows на панели инструментов выберите "Программы" ("Tools") (см. рис. 5.20) и в появившейся странице (рис. 5.21) выберите пункт "Параметры" ("Options").

увеличить изображение
Рис. 5.21.  Страница "Tools" (Сервис)

Настройки Защитника Windows состоят из пяти разделов:

Автоматическая проверка (Automatic scanning) (рис. 5.22). Действия по умолчанию (Default actions) (рис. 5.23). Параметры защиты в режиме реального времени (Real-time protection options) (рис. 5.24). Дополнительные параметры (Advanced options) (рис. 5.25). Административные параметры (Administrator options) (рис. 5.26).

Если вы измените любой из параметров, то для сохранения этих изменений необходимо нажать кнопку "Сохранить" ("Save") внизу экрана.

Рассмотрим каждый из этих разделов более подробно.

5.3.1. Автоматическая проверка (Automatic scanning)

В этом разделе сосредоточены настройки планирования проверки компьютера на наличие программ-шпионов и других потенциально нежелательных программ. Параметр "Автоматически проверять компьютер (рекомендуется)" ("Automatically scan my computer [recommended]") позволяет запланировать проведение периодических проверок компьютера (см. рис. 5.22).

Рис. 5.22.  Настройки автоматического сканирования

Параметр "Частота" ("Scan frequency") позволяет задать периодичность автоматического сканирования. Доступны варианты: "ежедневно" ("Daily"), "понедельник", "вторник", …, "воскресенье".

Параметр "Примерное время" ("Time of day") определяет время начала сканирования.

Параметр "Тип" ("Type of scan") позволяет выбрать, какая проверка будет выполняться: "Быстрая проверка" ("Quick scan") или "Полная проверка системы" ("Full system scan"). При быстрой проверке проверяются те области компьютера, которые наиболее подвержены воздействию нежелательного программного обеспечения. При полной проверке системы проверяются все файлы на жестком диске и все выполняемые в данный момент программы. При этом возможно замедление работы компьютера до завершения сканирования. Microsoft рекомендует запланировать ежедневную быструю проверку, а в случае подозрения на заражение компьютера программами-шпионами – выполнять полную проверку системы [[39]].

Параметр "Проверить наличие обновленных определений перед проверкой" ("Check for updated definitions before scanning") позволяет перед сканированием компьютера проверить наличие обновлений информации о нежелательных программах на сервере обновлений Windows.

Параметр "Применить действия по умолчанию к обнаруженным при проверке программам" ("Apply default actions to items detected during a scan") позволяет при обнаружении нежелательного программного обеспечения выполнять действия по умолчанию, заданные в следующем разделе (см. след. пункт). Если этот параметр выключен, то при обнаружении программ-шпионов и других потенциально нежелательных программ Защитник Windows будет запрашивать у пользователя, что необходимо сделать с обнаруженным подозрительным объектом.

5.3.2. Действия по умолчанию (Default actions)

В этом разделе вы можете определить, какие действия необходимо выполнять при обнаружении подозрительных объектов (см. рис. 5.23). Для различных типов предупреждений (высокий – high, средний – medium, низкий – low) вы можете задать свой вариант реагирования. Доступны следующие варианты:

Действие по умолчанию (Definition recommended action). Игнорировать (Ignore) (игнорировать подозрительный объект и разрешить ему выполняться). Удалить (Remove) (удалить объект и не допустить его выполнение). Карантин (поместить объект в другое место на компьютере и блокировать его запуск до тех пор, пока вы не восстановите или не удалите его).

увеличить изображение
Рис. 5.23.  Действия по умолчанию

5.3.3. Параметры защиты в режиме реального времени (Real-time protection options)

В этом разделе находятся настройки, связанные с защитой в реальном времени (см. рис. 5.24).

Рис. 5.24.  Настройки защиты в реальном времени

Защита в режиме реального времени (постоянная защита) контролирует состояние важнейших компонентов операционной системы (ОС). Когда посторонние программы производят изменения в настройках ОС или пытаются установиться на компьютер, постоянная защита фиксирует эти действия и уведомляет об этом пользователя [[38]].

Параметр "Использовать защиту в режиме реального времени (рекомендуется)" ("Use real-time protection [recommended] ") позволяет включить или выключить постоянную защиту.

Ниже перечислены агенты безопасности, контролирующие различные компоненты ОС. Вы можете включить или выключить нужные вам компоненты, но Microsoft рекомендует не выключать защиту в реальном времени и использовать все существующие агенты безопасности. В табл. 5.2 представлено назначение каждого агента, взятое из встроенной помощи Защитника Windows.

Следующие два параметра определяют, будет ли Защитник Windows уведомлять пользователя:

о программном обеспечении, которое еще не было классифицировано по степени риска от его использования (параметр "Программы, не классифицированные на предмет возможного риска" ["Software that has not yet been classified for risks"]); об изменениях, выполненных на вашем компьютере разрешенным программным обеспечением (параметр "Изменения, внесенные программами, выполнение которых разрешено" ["Changes made to you computer by software that is allowed to run"]).

Следующий параметр ("Укажите, когда следует отображать значок Защитника Windows в области уведомлений" ["Choose when the Windows Defender icon appears in the notification area"]) определяет, когда будет появляться значок Защитника Windows в области уведомления (правая нижняя часть экрана). Вариант "Всегда" ("Always") соответствует постоянному наличию значка. Вариант "Только когда "Защитник Windows" обнаруживает, что нужно действие" ("Only if Windows Defender detects an action to take") соответствует отображению значка только в случае возникновения какого-либо события - например, когда Защитник Windows давно не соединялся с сервером обновлений Windows и не скачивал новые описания нежелательных программ.

5.3.4. Дополнительные параметры (Advanced options)

В этом разделе (см. рис. 5.25) находятся следующие параметры, название которых говорит само за себя.

"Проверять содержимое архивных файлов и папок" ("Scan the contents of archived files and folders for potential threats"). К сожалению, в справке Защитника Windows отсутствует информация о типах поддерживаемых архивов. "Использовать эвристические методы для обнаружения опасных или нежелательных программ среди еще не классифицированных программ" ("Use heuristics to detect potentially harmful or unwanted behavior by software that hasn’t been analyzed for risks"). "Создать точку восстановления перед выполнением действий для обнаруженных объектов". "Не проверять следующие файлы и папки" ("Do not scan these files or location") (не сканировать указанные файлы или папки). Для задания списка файлов или папок, не подлежащих проверке, нажмите кнопку "Добавить…" ("Add…"). Кнопка "Удалить" ("Remove") позволяет удалить из этого списка ранее указанные файлы или папки.

Рис. 5.25.  Расширенные настройки

5.3.5. Административные параметры (Administrator options)

В этом разделе (см. рис. 5.26) находятся следующие настройки:

"Использовать "Защитника Windows"" ("Use Windows Defender"). Если этот параметр включен - все пользователи будут получать предупреждения в случае обнаружения шпионского ПО или выполнения нежелательных действий. Защитник Windows будет периодически проверять наличие обновлений на сервере обновлений Windows, регулярно проверять ваш компьютер и автоматически удалять нежелательное ПО, обнаруженное при сканировании. "Разрешить всем использовать Защитник Windows" ("Allow users to use Windows Defender"). Если этот параметр включен, пользователи, не обладающие административными привилегиями, смогут взаимодействовать с Защитником Windows.

Рис. 5.26.  Настройки Администратора

5.4. Обновление Windows Defender

Защитник Windows работает тем эффективнее, чем большей информацией о существующих в мире шпионских и прочих нежелательных программах он обладает. Эту информацию Windows Defender получает с сервера обновлений Windows (Windows Update). Соответственно, если ваш компьютер настроен на автоматическое обновление ("Пуск", "Панель управления", "Центр обеспечения безопасности", рис. 5.27) и периодически получает обновления с сервера Windows Update, то Защитник Windows будет также получать свои обновления.

увеличить изображение
Рис. 5.27.  Автоматическое обновление включено

Информация о том, какая версия информационных баз сейчас используется Защитником Windows, отображается на главной странице (рис. 5.28). Если Защитник Windows считает, что базы устарели, то на главной странице появляется предупреждение (см. рис. 5.28).

увеличить изображение
Рис. 5.28.  Главная страница Защитника Windows

Для того чтобы скачать свежие обновления с сервера Microsoft, нажмите кнопку "Проверить наличие обновлений" ("Check Now"). В области уведомления (правая часть панели задач) появится значок с сообщением "Защитник Windows выполняет поиск обновлений" ("Windows Defender is connecting to the Internet to acquire new definitions and engine upgrades") (рис. 5.29).

Рис. 5.29.  Сообщение о соединении с сервером обновлений

Примечание. На самом деле, если в вашей организации развернут внутренний сервер обновлений (например, Microsoft Windows Server Update Services, WSUS) и ваш компьютер для получения обновлений настроен на соединение с этим сервером, то Защитник Windows будет соединяться не с Интернетом, а с внутренним сервером обновлений. Настройка внутреннего сервера обновлений не входит в тему данного занятия. Однако отметим, что сервер WSUS по умолчанию не скачивает из Интернета обновления определений для Защитника Windows, и его необходимо соответствующим образом настраивать.

После успешного получения последних обновлений появится соответствующее сообщение в области уведомления (рис. 5.30).

Рис. 5.30.  Сообщение об успешности получения обновлений

После этого главная страница изменит свое содержание (рис. 5.31).

увеличить изображение
Рис. 5.31.  Главная страница Защитника Windows

Если вы хотите выполнить обновление Защитника Windows, вы всегда можете нажать рядом со значком на панели задач Защитника Windows и выбрать команду "Проверить наличие обновлений" ("Check for Updates").

5.5. Проверка компьютера

Как было сказано выше, чтобы проверить ваш компьютер на наличие шпионского и другого нежелательного ПО, необходимо выполнить сканирование с помощью Защитника Windows. Существует три типа сканирования:

Быстрая проверка (Quick Scan). Полная проверка (Full Scan). Выборочная проверка (Custom Scan...).

При быстрой проверке проверяются те области на жестком диске, заражение которых программами-шпионами наиболее вероятно [[39]]. В этом режиме проверяются не только системные папки Windows, но и важные для безопасности ветки реестра. В режиме полной проверки проверяются не только все файлы на жестком диске, но и все выполняемые в данный момент программы. Как указывается в [[39]], при выполнении полной проверки компьютера возможно замедление работы системы. Поэтому рекомендуется настроить Защитник Windows на ежедневную быструю проверку, а при подозрении на заражение компьютера программами - шпионами - выполнять полную проверку системы.

Выборочное сканирование позволяет провести сканирование только выбранных дисков и папок.

Для выбора нужного вам режима сканирования компьютера нажмите треугольник () рядом с кнопкой "Проверить" ("Scan") на панели задач Защитника Windows. Если сразу нажать кнопку "Проверить" ("Scan"), то будет выполнена быстрая проверка компьютера (рис. 5.32).

увеличить изображение
Рис. 5.32.  Быстрая проверка компьютера

После ее выполнения на экран будет выведена статистка проверки. На рис. 5.33 представлен результат проверки, не обнаружившей подозрительных объектов.

увеличить изображение
Рис. 5.33.  Результат быстрой проверки

5.5.1. Обнаружение подозрительных действий

Чтобы получать уведомления обо всех подозрительных действиях, совершаемых на вашем компьютере, необходимо в разделе "Укажите, нужны ли оповещения Защитника Windows" ("Choose if Windows Defender should notify you about") включить параметр "Программы, не классифицированные на предмет возможного риска" ("Software that has not yet been classified for risks") (см. п. 5.3.3). В этом случае Защитник Windows будет предупреждать вас обо всех подозрительных действиях. Иначе (по умолчанию этот параметр выключен) он будет предупреждать вас только о тех действиях (и тех программах), информация о которых входит в определения (definitions), созданные разработчиками Защитника Windows.

На рис. 5.34 представлено сообщение об обнаруженных подозрительных действиях. Для того чтобы узнать, что обнаружил Защитник Windows, необходимо щелкнуть по этому сообщению или дважды щелкнуть левой кнопкой мыши по значку Защитника Windows. На экране появится окно с указанием обнаруженных событий (рис. 5.35).

Рис. 5.34.  Обнаружены подозрительные действия

увеличить изображение
Рис. 5.35.  Выбор действия

Обнаруженные события перечислены в виде таблицы в средней части экрана. В нижней части экрана для выделенного в данный момент события отображается более подробная информация (рис. 5.36). В разделе "Сводка" ("Summary") отображается общая информация по событию. Далее идет более подробное описание. В разделе "Путь" ("Path") указывается расположение файла, вызвавшего данное событие. В разделе "Обнаруженные изменения" ("Detected changes") - зафиксированные в системе изменения. В разделе "Совет" ("Advice") дается рекомендация, что в данном случае следует предпринять.

увеличить изображение
Рис. 5.36.  Подробное описание подозрительного события

Если вы доверяете разработчику той программы, которая вызвала это событие, то в столбце "Действие" ("Action") выберите вариант "Разрешить" ("Allow") (см. рис. 5.35). Иначе - выберите вариант "Запретить" ("Block"). В последнем случае действия, которые были выполнены указанной программой, будут отменены. После выбора нужных действий для всех событий нажмите кнопку "Применить действия" ("Apply Actions"). Если указанное вами действие удалось выполнить, в столбце "Состояние" ("Status") будет выведено "Успешно" ("Succeeded") (рис. 5.37).

увеличить изображение
Рис. 5.37.  Ваши действия были применены

5.5.2. Обнаружение программ-шпионов

В предыдущем пункте был описан пример обнаружения так называемого "не классифицируемого события". У такого события в разделе "Категория" ("Category") отображается "Нет классификации" ("Not Yet Classified") (см. рис. 5.36). По умолчанию пользователю о таких событиях не сообщается (см. п. 5.5.1), но они фиксируются в окне "Журнал" ("History"). Если информация о приложении или событии существует в информационных базах (определениях) Защитника Windows, то предупреждение о таком событии выглядит иначе (рис. 5.38).

Рис. 5.38.  Сообщение с уровнем "Medium"

В данном случае Защитник Windows зафиксировал событие со средним (Medium) уровнем оповещения (Alert level) (см. рис. 5.38). Как указывается в справке, уровни оповещения (alert levels) помогают пользователю принять правильное решение о том, как реагировать на обнаруженное шпионское или нежелательное ПО. Несмотря на то, что Защитник Windows будет рекомендовать вам удалить (кнопка "Удалить все" ["Remove All"]) программу, не все обнаруженные программы являются опасными или нежелательными. В табл. 5.3 представлена информация, помогающая вам решить, что делать, если Защитник Windows обнаружил нежелательное ПО на вашем компьютере.

Для того чтобы просмотреть подробности этого события, подведите курсор к строке с названием обнаруженной программы. Появится всплывающее сообщение с описанием обнаруженной программы и советом от разработчиков Защитника Windows (рис. 5.39). Если вы нажмете кнопку "Удалить все" ("Remove All"), то Защитник Windows попытается удалить обнаруженную программу. Об успешности этого действия можно будет судить, просмотрев окно "Журнал" ("History"). Если вы нажмете кнопку "Игнорировать" ("Ignore"), Защитник Windows ничего не будет делать с обнаруженной программой, о чем также появится сообщение в окне "Журнал" ("History").

Рис. 5.39.  Описание обнаруженной программы

Описанный выше пример показывает реакцию Защитника Windows на операцию записи на диск программы установщика. В случае обнаружения реально работающей в данный момент (т. е. уже установленной на вашем компьютере) программы окно с предупреждением будет иметь дополнительную кнопку "Проверить" ("Review") (рис. 5.40). При нажатии на эту кнопку появится главное окно Защитника Windows с возможностью не только удалить обнаруженную программу (кнопка "Remove All"), но и просмотреть подробности обнаруженного события (рис. 5.41). Для этого необходимо щелкнуть по надписи "Просмотр объектов, обнаруженных защитой в режиме реального времени" ("Review items detected by real-time protection"). В результате на экране появится окно с подробным описанием события и с возможностью выбора нужного действия (рис. 5.42).

Рис. 5.40.  Обнаружение исполняемой программы

увеличить изображение
Рис. 5.41.  Сообщение об обнаруженном событии

увеличить изображение
Рис. 5.42.  Выберите нужное действие

Возможны следующие действия:

Игнорировать (Ignore) - игнорировать подозрительный объект и разрешить ему выполняться. Карантин (Quarantine) - переместить подозрительный объект на карантин. Удалить (Remove) - удалить подозрительный объект и не допустить его выполнение. Всегда разрешать (Always allow) - разрешить подозрительному объекту выполняться и занести его в список разрешенных объектов (allowed list).

Кроме того, в конце списка с описанием этого объекта, есть ссылка "Показать дополнительные сведения об этом элементе из Интернета", которая позволяет просмотреть дополнительную информацию об этом объекте на сайте Microsoft.

5.5.3. Работа с карантином

При перемещении подозрительной программы на карантин Защитник Windows перемещает ее в другое место на компьютере и препятствует ее работе до тех пор, пока вы не решите удалить или восстановить ее [[40]].

Для просмотра объектов, находящихся на карантине, необходимо на панели инструментов выбрать "Программы" ("Tools") (см. рис. 5.20) и в появившейся странице (см. рис. 5.21) выбрать пункт "Объекты в карантине" ("Quarantined items") (рис. 5.43).

увеличить изображение
Рис. 5.43.  Список объектов на карантине

Для того чтобы удалить все объекты, находящиеся на карантине, необходимо просто нажать внизу кнопку "Удалить все" ("Remove All"). Для того чтобы удалить или восстановить только некоторые объекты, находящиеся на карантине, необходимо выделить их (т. е. отметить их галочками) и нажать одну из кнопок:

Удалить (Remove) - удаление с компьютера выделенных объектов; Восстановить (Restore) - восстановление в первоначальное местоположение выделенных объектов.

5.5.4. Работа со списком разрешенных объектов

При выборе действия "Всегда разрешать" ("Always allow") обнаруженный объект заносится в список разрешенных программ (allowed list). Для просмотра этого списка необходимо на панели инструментов выбрать "Программы" ("Tools") (см. рис. 5.20) и в появившейся странице (см. рис. 5.21) выбрать пункт "Разрешенные объекты" ("Allowed items") (рис. 5.44).

увеличить изображение
Рис. 5.44.  Список разрешенных объектов

Если вы удалите программу из этого списка, то Защитник Windows снова начнет контролировать действия, выполняемые ею. Для удаления программы из списка необходимо выделить ее (поставить галочку) и нажать внизу кнопку "Удалить из списка" ("Clear").

5.5.5. Использование Проводника программного обеспечения (Software Explorer)

На странице "Программы" ("Tools") (см. рис. 5.21) кроме уже рассмотренных средств присутствует утилита "Проводник программного обеспечения" ("Software Explorer"), которая позволяет просматривать подробную информацию о запущенных на компьютере программах. Эта утилита (рис. 5.45) помогает контролировать следующие элементы [[41]]:

увеличить изображение
Рис. 5.45.  Обозреватель программ

Автоматически загружаемые программы (Startup Programs). Программы, запускаемые одновременно с началом работы системы Windows. Для программ в этой категории доступны следующие действия: "Удалить" ("Remove"), "Отключить" ("Disable") и "Включить" ("Enable"). Текущие выполняемые программы (Currently Running Programs). Программы, выполняемые в данный момент (отображаются на экране или работают в фоновом режиме). Для некоторых программ в этой категории доступна операция "Завершить процесс" ("End Process"). Кроме того, существует возможность запустить диспетчер задач с помощью кнопки "Диспетчер задач" ("Task Manager"). Программы с подключением к сети (Network Connected Programs). Программы или процессы, которые могут устанавливать соединение с Интернетом или другой сетью. Для программ в этой категории доступны следующие действия: "Завершить процесс" ("End Process"), "Блокировать входящие подключения" ("Block Connection"). Поставщики службы Winsock (Winsock Service Provider). Это программы, которые обеспечивают низкоуровневые сетевые службы и службы связи для систем Windows и программ, работающих с Windows [[41]].

Примечание. Чтобы воспользоваться некоторыми функциями обозревателя программ, нужно обладать правами Администратора.

В зависимости от выбранной категории, по каждой программе в "Проводнике программного обеспечения" ("Software Explorer") можно просмотреть следующие сведения (табл. 5.4).

5.6. Лабораторная работа. Установка и использование Защитника Windows.

В этой лабораторной работе вы установите Защитника Windows, проверите дату последнего обновления, проведете проверку компьютера и обнаружите подозрительные действия.

5.6.1. Упражнение 1. Подготовительные действия

Вы скопируете потенциально нежелательное программное обеспечение Home Key Logger (клавиатурный шпион) на свой компьютер и создадите командный файл с подозрительными действиями (он регистрирует себя в реестре для автоматического запуска при каждом старте операционной системы).

6.  c:

7.  cd \test

8.  copy con risk. bat

9.  {Ctrl+Z}{Enter}

10.  Exit

5.6.2. Упражнение 2. Установка Защитника Windows

Вы выполните установку Защитника Windows на свой компьютер.

5.6.3. Упражнение 3. Обновление определений Защитника Windows

Вы выполните обновление определений Защитника Windows.

5.6.4. Упражнение 4. Быстрое сканирование компьютера

Вы выполните быструю проверку вашего компьютера с помощью Защитника Windows и удалите обнаруженное нежелательное ПО.

5.6.5. Упражнение 5. Обнаружение подозрительных действий

Вы включите получение уведомлений обо всех подозрительных событиях и посмотрите реагирование Защитника Windows на некоторые из них.

5.8. Резюме

"Шпионские" программы – одна из самых неприятных проблем, с которыми сейчас сталкиваются пользователи компьютеров. Во всем мире программы-шпионы считаются серьезной проблемой, которая угрожает подорвать доверие общества к компьютерным технологиям [[42]].

Одним из решений, предлагаемых компанией Microsoft для защиты компьютера от программ-шпионов и других нежелательных программ, является Защитник Windows (Windows Defender). Этот продукт интегрирован в Windows Vista, а для пользователей Windows XP доступен в виде отдельного бесплатного дополнения [[30]].

Защитник Windows помогает пользователям обнаружить, а затем отключить или удалить с компьютера известные программы-шпионы и другие потенциально нежелательные программы [[42]].

В то же время Windows Defender не является антивирусной программой и обеспечивает защиту только от одного из подмножеств существующих вредоносных программ. Он не защищает компьютер от вирусов, троянских программ, червей и т. д. Для защиты от этих угроз пользователь может выбрать решение как от самой Microsoft (например, Microsoft OneCare), так и от стороннего производителя [[43]].

6. Лекция: Системы анализа защищенности корпоративной сети (обнаружения уязвимостей) на примере продуктов: Microsoft Baseline Security Analyzer и XSpider: версия для печати и PDA
От эффективности защиты операционных систем напрямую зависит уровень безопасности сетевой инфраструктуры организации в целом. Системы анализа защищенности способны обнаруживать уязвимости в сетевой инфраструктуре, анализировать и выдавать рекомендации по их устранению, а также создавать различного рода отчеты. В данной лекции мы познакомимся с такими программными средствами для анализа защищенности ОС, как Microsoft Baseline Security Analyzer и сканер безопасности XSpider 7.0

Одними из главных элементов информационной безопасности сетевой инфраструктуры являются операционные системы компьютеров, так как в них аккумулируется подавляющая часть используемых механизмов защиты: средства разграничения доступа к ресурсам, аутентификация пользователей, аудит событий и др. От эффективности защиты операционных систем напрямую зависит уровень безопасности сетевой инфраструктуры организации в целом.

На этом занятии будут рассмотрены программные средства для анализа защищенности операционных систем Microsoft, такие как:

Microsoft Baseline Security Analyzer (MBSA); Сканер безопасности XSpider 7.0 (производитель ООО "Позитив Технолоджиз", Россия).

Прежде всего

Для выполнения лабораторных работ данного занятия необходимо иметь два компьютера (можно виртуальные машины). На одном компьютере под управлением ОС Windows XP Professional необходимо установить следующие программные продукты:

Microsoft Baseline Security Analyzer (MBSA); XSpider 7.0; Microsoft SQL Server 2000; Программный комплекс Magnum v. 1.0.4, состоящий из следующих программ: сервер MySQL, Web-сервер Apache, среда разработки Web-приложений PHP.

Последние два программных продукта устанавливаются для обнаружения в них уязвимостей и не являются обязательными. На втором компьютере (сервере) под управлением ОС Windows 2003 Server необходимо добавить роли файлового сервера и WINS-сервера.

6.1. Принципы работы систем анализа защищенности

Для понимания принципов работы систем анализа защищенности необходимо обозначить некоторые термины и определения. Ключевое понятие данного занятия – это "уязвимость". Под уязвимостью защиты ОС понимается такое ее свойство (недостаток), которое может быть использовано злоумышленником для осуществления несанкционированного доступа (НСД) к информации. Системы анализа защищенности способны обнаруживать уязвимости в сетевой инфраструктуре, анализировать и выдавать рекомендации по их устранению, а также создавать различного рода отчеты. К типичным уязвимостям можно отнести:

отсутствие обновлений системы безопасности ОС; неправильные настройки систем безопасности ОС; несоответствующие пароли; восприимчивость к проникновению из внешних систем; программные закладки; неправильные настройки системного и прикладного ПО, установленного на ОС.

Большинство систем анализа защищенности (XSpider, Internet Scanner, LanGuard, Nessus) обнаруживают уязвимости не только в операционных системах, но и в наиболее распространенном прикладном ПО. Существуют два основных подхода, при помощи которых системы анализа защищенности обнаруживают уязвимости: сканирование и зондирование [[48]]. Из-за первого подхода системы анализа защищенности еще называют "сканерами безопасности" или просто "сканерами".

При сканировании система анализа защищенности пытается определить наличие уязвимости по косвенным признакам, т. е. без фактического подтверждения ее наличия – это пассивный анализ. Данный подход является наиболее быстрым и простым в реализации. При зондировании система анализа защищенности имитирует ту атаку, которая использует проверяемую уязвимость, т. е. происходит активный анализ. Данный подход медленнее сканирования, но позволяет убедиться, присутствует или нет на анализируемом компьютере уязвимость.

На практике эти два подхода реализуются в сканерах безопасности через следующие методы проверки [[48]]:

Первый метод основан на подходе "сканирование" и позволяет делать вывод об уязвимостях, опираясь на информацию в заголовке ответа на запрос сканера безопасности. Примером такой проверки может быть анализ заголовков почтовой программы Sendmail, в результате которого можно узнать ее версию и сделать вывод о наличии в ней уязвимости.

Активные зондирующие проверки также основаны на подходе "сканирование". Данный метод сравнивает фрагменты сканируемого программного обеспечения с сигнатурой известной уязвимости, хранящейся в базе данных системы анализа защищенности. Разновидностями этого метода являются, например, проверки контрольных сумм или даты сканируемого программного обеспечения.

Метод имитации атак основан на использовании различных дефектов в программном обеспечении и реализует подход зондирования. Существуют уязвимости, которые не могут быть обнаружены без блокирования или нарушения функционирования сервисов операционной системы в процессе сканирования. При сканировании критичных серверов корпоративной сети нежелательно применение данного метода, т. к. он может вывести их из строя – и в таком случае сканер безопасности успешно реализует атаку "Denial of service" (отказ в обслуживании). Поэтому в большинстве систем анализа защищенности по умолчанию такие проверки, основанные на имитации атак, выключены. При их включении в процесс сканирования обычно выдается предупредительное сообщение (рис. 6.1).

Рис. 6.1.  Предупредительное сообщение сканера безопасности XSpider 7.0 о включении опасных проверок в процесс сканирования

6.2. Microsoft Baseline Security Analyzer

Microsoft Baseline Security Analyzer (MBSA) – свободно распространяемое средство анализа защищенности операционных систем Windows и ряда программных продуктов компании Microsoft (Internet Information Services, SQL Server, Internet Explorer и др.). Термин "Baseline" в названии MBSA следует понимать как некоторый эталонный уровень, при котором безопасность ОС можно считать удовлетворительной. MBSA позволяет сканировать компьютеры под управлением операционных систем Windows на предмет обнаружения основных уязвимостей и наличия рекомендованных к установке обновлений системы безопасности. Критически важно знать, какие обновления установлены, а какие еще следует установить на вашей ОС. MBSA обеспечивает подобную проверку, обращаясь к постоянно пополняемой Microsoft базе данных в формате XML, которая содержит информацию об обновлениях, выпущенных для каждого из программных продуктов Microsoft [[52]]. Работать с программой MBSA можно через графический интерфейс и командную строку. На данном занятии будет рассмотрен только первый вариант работы.

Интерфейс MBSA выполнен на основе браузера Internet Explorer. Главное окно программы разбито на две области (рис. 6.2). Так как сеанс работы с MBSA настраивается с помощью мастера, то в левой области представлены шаги мастера, а в правой – основное окно с описанием действий каждого шага.

увеличить изображение
Рис. 6.2.  Главное окно программы Microsoft Baseline Security Analyzer 2.0

На первом шаге "Welcome" необходимо выбрать одно из действий (см. рис. 6.2):

Сканировать данный компьютер (Scan a computer); Сканировать несколько компьютеров (Scan more than one computer); Просмотреть существующие отчеты, сделанные MBSA ранее (View existing security reports).

При первом запуске MBSA необходимо выбрать первый или второй вариант. На следующем шаге мастера в основном окне нужно задать параметры сканирования компьютера(ов) под управлением ОС Windows (рис. 6.3). Можно ввести имя или IP-адрес сканируемого компьютера (по умолчанию выбирается компьютер, на котором был запущен MBSA).

Пользователь, запустивший MBSA, должен обладать правами администратора данного компьютера или входить в группу администраторов системы. В случае сканирования нескольких компьютеров пользователь должен обладать правами администратора на каждом из компьютеров, а лучше – правами администратора домена.

Рис. 6.3.  Выбор компьютера и опций сканирования в программе MBSA 2.0

Выбрав компьютер(ы) для сканирования, необходимо задать опции сканирования:

проверка ОС Windows; проверка паролей; проверка служб IIS; проверка сервера SQL; проверка установленных обновлений безопасности.

Более подробную информацию о проверках MBSA можно получить на официальном сайте Microsoft [[45]]. Например, когда задана опция "проверка паролей", MBSA проверяет на компьютере учетные записи локальных пользователей, которые используют пустые или простые пароли (эта проверка не выполняется на серверах, выступающих в роли контроллеров домена) из следующих комбинаций:

пароль пустой; пароль совпадает с именем учетной записи пользователя; пароль совпадает с именем компьютера; паролем служит слово "password"; паролем служат слова "admin" или "administrator".

Данная проверка также выводит сообщения о заблокированных учетных записях.

После того как все опции будут заданы, необходимо нажать на ссылку внизу "Start scan" (см. рис. 6.3). При первом сканировании MBSA необходимо подключение к Интернету, чтобы скачать с сайта Microsoft Download Center (http://www. /downloads) XML-файл, содержащий текущую справочную базу уязвимостей. MBSA сначала скачивает этот файл в архивированном cab-файле, затем, проверив его подпись, разархивирует его на компьютер, с которого будет запускаться.

Возможна также работа MBSA без подключения к Интернету в автономном режиме. Для этого нужно скачать выше описанный файл и разместить в соответствующем каталоге. Более подробную информацию об этой процедуре смотрите в Упражнении 1 Лабораторной работы № 1.

После того как cab-файл будет разархивирован, MBSA начнет сканировать заданный компьютер(ы) на предмет определения операционной системы, наборов обновлений и используемых программ. Затем MBSA анализирует XML-файл и определяет обновления системы безопасности, которые доступны для установленного ПО [[53]]. Для того чтобы MBSA определил, какое обновление установлено на сканируемом компьютере, ему необходимо знать три пункта: ключ реестра, версию файла и контрольную сумму для каждого файла, установленного с обновлением.

В случае если какие-либо данные на сканируемом компьютере не совпадут с соответствующими пунктами в XML-файле, MBSA определит соответствующее обновление как отсутствующее, что будет отражено в итоговом отчете.

После сканирования единственного компьютера MBSA автоматически запустит окно "View security report" и отобразит результаты сканирования. Если было выполнено сканирование нескольких компьютеров, то следует выбрать режим "Pick a security report to view", чтобы увидеть результаты сканирования. Создаваемый MBSA отчет разбивается на пять секций:

Security Update Scan Results, Windows Scan Results, Internet Information Services (IIS) Scan Results, SQL Server Scan Results, Desktop Application Scan Results.

Некоторые секции разбиваются еще на разделы, посвященные определенным проблемам безопасности компьютера, и предоставляют системную информацию по каждой из проверок, указанных в таблице 6.1. Описание каждой проверки операционной системы отражается в отчете вместе с инструкцией по устранению обнаруженных уязвимостей.

6.3. Сканер безопасности XSpider

В последнее время в России все большую популярность среди специалистов по защите информации набирает сканер безопасности XSpider версии 7.0, выпускаемый отечественной компанией Positive Technologies.

Есть ряд особенностей, которые дают преимущества сканеру XSpider как системе анализа защищенности над другими продуктами данного класса. Как подчеркивают сами разработчики, главная особенность XSpider 7 - это его сканирующее ядро, которое способно имитировать сценарий поведения потенциального злоумышленника. Также следует отметить мощную "интеллектуальную начинку" XSpider 7, которая реализуется во встроенных эвристических алгоритмах, позволяющих надежно идентифицировать еще не опубликованные новые уязвимости.

Надежные и исчерпывающие проверки XSpider 7 базируются, в частности, на следующих интеллектуальных подходах [[49]]:

полная идентификация сервисов на случайных портах; эвристический метод определения типов и имен серверов (HTTP, FTP, SMTP, POP3, DNS, SSH) вне зависимости от их ответа на стандартные запросы; обработка RPC-сервисов с их полной идентификацией; проведение проверок на нестандартные DoS-атаки.

С момента выхода первой версии сканера XSpider прошло уже более 6 лет. Версия 7.0, с которой мы познакомимся на этом занятии, является коммерческой в отличие от предыдущих свободно распространяемых версий (6.5 и ранее). У компании Positive Technologies существует гибкая система лицензирования сканера XSider 7. Стоимость лицензии зависит от количества проверяемых IP-адресов, количества рабочих мест, с которых проводится сканирование, и срока действия подписки на обновления. Более подробную информацию по приобретению продукта можно получить на странице компании: http://www. *****/xs7rates. asp.

Для изучения возможностей сканера XSider 7 достаточно приобрести версию XSpider 7 Professional Edition с числом сканируемых IP-адресов от 4 до 16. Устанавливается XSpider 7 на любую операционную систему Microsoft Windows в режиме мастера.

При запуске XSpider 7 на экран будет выведено главное окно программы (рис. 6.4), в котором отобразится информация о текущей версии сканера и лицензии.

увеличить изображение
Рис. 6.4.  Главное окно сканера XSpider 7.0, появляющееся при его запуске

В нижней части главного окна, в разделе "Документация" имеются ссылки на встроенные учебник и справочник по продукту XSpider. Данные разделы документации тоже можно отнести к важным преимуществам XSpider. Во-первых, учебник и справочник написаны на русском языке, что имеется далеко не во всех подобных системах. Во-вторых, автор учебника - директор по развитию Positive Technologies Евгений Киреев - изложил достаточно интересно и понятно весь материал, с расчетом на обычных пользователей-непрофессионалов в области информационной безопасности.

Далее, чтобы не дублировать содержимое встроенного учебника, будут изложены основные концепции, на которых базируется организация работы сканера безопасности XSpider 7.

XSpider 7 имеет многооконный интерфейс. Важно отметить, что каждое окно служит интерфейсом определенной задаче XSpider. Понятие "задача" является центральной концепцией сканера безопасности XSpider 7, она позволяет организовать и систематизировать процесс сканирования сети. Любое сканирование хостов всегда происходит в рамках определенной задачи, даже если для этого ничего специально не делалось: при первоначальном запуске XSpider всегда создается пустая задача.

Любая задача в XSpider определяется следующими атрибутами:

список проверяемых хостов (в задачу объединяют хосты, которые планируется проверять сходным образом); журнал историй сканирований данной задачи; профиль сканирования.

Задача может быть сохранена в виде файла (по умолчанию каталог Program Files\Positive Technologies\XSpider 7.0\Tasks), и первые два атрибута - список хостов и журнал истории сканирований - будут записаны в ее структуру данных.

Профиль сканирования - это еще одна концепция сканера XSpider, представляющая набор настроек, которые определяют параметры сканирования хостов. Профиль можно назначить задаче, как только она сформирована. Если этого не сделать, то будет использоваться профиль по умолчанию (Default - Стандартный). После установки сканера безопасности XSpider 7 пользователю доступны 14 базовых профилей (рис. 6.5). Важно понимать, что с профилями можно работать независимо от задач, их можно редактировать, создавать новые и сохранять в отдельные файлы (по умолчанию каталог Program Files\Positive Technologies\XSpider 7.0\Profiles). В задаче хранится ссылка только на тот профиль, из которого ей нужно брать параметры сканирования.

Рис. 6.5.  Базовые профили, доступные в XSPider 7.0

6.4. Лабораторная работа 1. Работа с Microsoft Baseline Security Analyzer 2.0

На этой лабораторной работе вы научитесь работать со средством анализа защищенности MBSA 2.0. Сначала вы выполните настройки на компьютере под управлением ОС Windows XP Professional, позволяющие работать MBSA без подключения к Интернету, а затем выполните сканирование и сгенерируете отчет о проделанной работе.

6.4.1. Упражнение 1. Подготовка компьютера под управлением ОС Windows XP Professional для работы MBSA в автономном режиме

Упражнение выполняется на виртуальной машине с ОС Windows XP Professional. Цель этого упражнения - обеспечить решение последующих задач по работе с MBSA 2.0 в автономном режиме, поэтому нам необходимо подключение к Интернету. Более подробную информацию о настройке MBSA в автономном режиме смотрите в источнике [[46]].

6.4.2. Упражнение 2. Проверка локального компьютера с помощью MBSA 2.0

Упражнение выполняется на виртуальной машине с ОС Windows XP Professional.

6.5. Лабораторная работа 2. Работа с системой анализа защищенности XSpider 7.0.

На этой лабораторной работе вы научитесь работать с XSpider 7.0. Сначала вы создадите профиль для сканирования уязвимостей ОС Windows XP Professional, затем выполните сканирование и сгенерируете отчет о выполненной работе. Перед выполнением данной работы обязательно обновите базу уязвимостей XSpider 7.0.

6.5.1. Упражнение 1. Создание профиля для сканирования уязвимостей ОС Windows XP Professional

Упражнение выполняется на виртуальной машине с ОС Windows XP Professional с предустановленным ПО (см. п. "Прежде всего").

6.5.2. Упражнение 2. Поиск уязвимостей ОС Windows XP Professional

В этом упражнении с помощью XSpider 7.0 вы выполните сканирование хоста с ОС Windows XP Professional для обнаружения имеющихся уязвимостей.

6.5.3. Упражнение 3. Просмотр и исправление обнаруженных уязвимостей

В этом упражнении вы просмотрите результаты сканирования хоста программой XSpider 7.0 и исправите некоторые обнаруженные уязвимости.

6.5.4. Упражнение 4. Сканирование удаленного хоста с ОС Windows 2003 Server

В этом упражнении с помощью XSpider 7.0 вы выполните сканирование удаленного хоста с ОС Windows 2003 Server для обнаружения имеющихся уязвимостей. Для выполнения данного упражнения необходим второй компьютер (виртуальная машина) с ОС Windows 2003 Server. Между компьютерами должно быть установлено сетевое подключение.

6.5.5. Упражнение 5. Создание отчетов и расписаний сканирования.

В этом упражнении средствами программы XSpider 7.0 вы создадите отчет о результатах сканирования хостов, а также научитесь задавать расписание сканирования задач с помощью встроенной утилиты "Планировщик".

6.7. Резюме

От эффективности защиты операционных систем напрямую зависит уровень безопасности сетевой инфраструктуры организации в целом. В процессе эксплуатации операционных систем выявляются уязвимости их защиты, которые потенциально могут быть использованы злоумышленниками для осуществления несанкционированного доступа (НСД) к информации. Системы анализа защищенности способны обнаруживать уязвимости в сетевой инфраструктуре, анализировать и выдавать рекомендации по их устранению, а также создавать различного рода отчеты.

Microsoft Baseline Security Analyzer (MBSA) - свободно распространяемое средство анализа защищенности операционных систем Windows и ряда программных продуктов компании Microsoft. MBSA позволяет обнаружить основные уязвимости и проверяет наличие рекомендованных к установке обновлений системы безопасности. Работать с программой MBSA можно через графический интерфейс и командную строку.

Сканер безопасности XSpider 7.0 - мощное средство анализа защищенности, выпускаемое отечественной компанией Positive Technologies. XSpider 7.0 базируется на применении концепций задач и профилей, имеет гибкий планировщик заданий для автоматизации работы, менеджер обновлений, встроенный учебник на русском языке. XSpider 7.0 позволяет генерировать отчеты с различными уровнями детализации. Сканер безопасности XSpider работает под управлением операционных систем Microsoft Windows, но он может проверять уязвимости на узлах, имеющих другую программную или аппаратную платформы.

7. Лекция: Управление электропитанием рабочих станций и серверов (на продуктах APC): версия для печати и PDA
В этой лекции будут рассмотрены примеры практического применения продукции компании APC для защиты рабочих станций и серверов под управлением операционных систем Microsoft Windows XP/2000/2003 с помощью ПО APC PowerChute Business Edition

Ни для кого не секрет, что проблемы с электропитанием компьютеров могут привести не только к потере информации, но и к повреждению оборудования. Чтобы защитить оборудование компании от таких проблем, необходимо использование источников бесперебойного питания (ИБП, или UPS - Uninterruptible Power Source). На этом занятии будут рассмотрены примеры практического применения продукции компании APC для защиты рабочих станций и серверов под управлением операционных систем Microsoft Windows XP/2000/2003 с помощью ПО APC PowerChute Business Edition. Версия "Basic" для централизованного управления 5 ИБП поставляется бесплатно. Существует платная версия "Deluxe" для централизованного управления 25 ИБП.

Прежде всего

Для изучения материалов этого занятия необходимо:

Общие требования:
Почтовый сервер внутри организации и учетная запись на нем для каждого студента.
Для каждого студента:
Компьютер под управлением операционной системы Windows XP Professional с параметрами по умолчанию, с процессором не ниже Pentium III 700 MHz, объемом оперативной памяти не менее 256 Мб и сетевой картой. Свободное место на жестком диске не менее 100 Мб. CD-ROM диск с дистрибутивом PowerChute Business Edition for Windows версии не ниже 7.0.2. Настроенный почтовый клиент для получения электронной почты с указанного выше почтового сервера. Источник бесперебойного питания APC Smart-UPS 620 (в зависимости от конфигурации используемого компьютера это может быть другая модель из серии Smart).

7.1. Введение

Основная задача данного занятия - рассмотреть установку и настройку программы APC PowerChute Business Edition для централизованного управления работой ИБП. Но прежде кратко остановимся на основных терминах, связанных с работой ИБП.

7.1.1. Типы ИБП

Существует пять основных типов ИБП [[54]]:

Каждый из этих типов имеет свои достоинства и недостатки и потому - свою область применения. Чтобы не нарушать авторские права компании APC, не будем приводить здесь полное описание этих типов. Подробнее об этом вы можете прочитать сами в [[54]].

Отметим только, что ИБП APC Back-UPS соответствуют типу 1, APC Smart-UPS - типу 2, BEST Ferrups - типу 3, APC Symmetra - типу 4 и APC Silcon - типу 5 [[54]].

7.1.2. Мощность ИБП

Цифры, указываемые в названии ИБП, соответствуют полной мощности этого источника, измеряемой в вольт-амперах (ВА, VA). Соответствующее ему значение в Вт обычно указывается в спецификации устройства. Мощность импульсного блока питания компьютера в Вт соответствует мощности в ВА с коэффициентом 0,6-0,8. Кроме того, производители рекомендуют использовать ИБП с 20%-ным запасом по мощности нагрузки [[55]].

Например, модель APC Smart-UPS 620 рассчитана на максимальную мощность 390 Вт, а модель APC Smart-UPS 1500 - на 980 Вт [[56]].

Время автономной работы для ИБП зависит от подключенной к нему нагрузки и обычно указывается в спецификации устройства. Например, типичное время работы с нагрузкой 260 Вт (400 ВА) для модели APC Smart-UPS 620 составляет 9 мин., а для модели APC Smart-UPS 1мин [[56]].

На сайте APC (http://www. /sizing) существует возможность выбрать ИБП в зависимости от подключаемой к нему нагрузки [[56]]. Здесь вы можете выполнить расчет не только для отдельного компьютера (указав его конфигурацию), но и для серверной комнаты (указав тип, количество и др. параметры серверов).

7.1.3. Программное управление ИБП

Защита компьютеров с помощью ИБП является только частью решения задачи предотвращения потери данных в случае возникновения проблем с энергоснабжением. В случае продолжительного отсутствия электропитания необходимо наличие программного обеспечения для корректного выключения компьютера. Каждый производитель ИБП предлагает свое программное обеспечение для этой задачи. Кроме того, в Windows 2000/XP/2003 входит встроенная поддержка ИБП, которая была разработана компанией APC [[57]].

Существует несколько конфигураций для программного обеспечения ИБП [[58]]:

один компьютер - один ИБП; два или три компьютера - один ИБП; три и более компьютера - один ИБП.

В зависимости от используемой конфигурации применяют различные способы взаимодействия ИБП с компьютером (последовательное, USB-, Ethernet-подключение). Подробнее об этих конфигурациях вы можете прочитать в [[58]].

Существует несколько типов завершения работы операционной системы [[58]]:

выключение; выключение и полное отключение; "спящий" режим; режим ожидания.

Подробнее об этом вы также можете прочитать в [[58]].

7.2. ИБП APC Smart-UPS 620

В качестве примера будет рассмотрен ИБП APC Smart-UPS 620. Как уже было указано выше, эта модель рассчитана на максимальную мощность 390 Вт. С полным описанием этого устройства вы можете ознакомиться в [[59]]. Нет необходимости повторять его здесь.

7.3. APC PowerChute Business Edition

Все дальнейшее описание базируется на возможностях PowerChute Business Edition for Windows версии 7.0.5.

Основные возможности этого продукта:

Корректное автоматическое завершение работы системы. Мониторинг состояния ИБП. Рассылка уведомлений по электронной почте, на пейджер или средствами NET SEND. Настройка параметров работы ИБП (чувствительность к колебаниям напряжения; минимальный заряд батареи, позволяющий возобновить питание; верхняя и нижняя границы напряжения для перехода в режим питания от батарей и т. п.).

7.3.1. Компоненты

Пакет PowerChute® Business Edition состоит из трех компонентов [[60]]:

Агент PowerChute; Сервер PowerChute; Консоль PowerChute.

На рис. 7.1 представлена общая схема использования PowerChute® Business Edition.

Рис. 7.1.  Схема использования PowerChute® Business Edition

Агент PowerChute предназначен для контроля состояния ИБП. В случае длительного выключения электропитания именно Агент PowerChute выполняет завершение работы системы и дает команду ИБП на выключение. Агент PowerChute должен быть установлен на каждый компьютер, к которому непосредственно подключен ИБП.

Сервер PowerChute используется для централизованной настройки и отслеживания состояния агентов PowerChute. Именно сервер осуществляет отправку уведомлений о возникающих событиях на компьютерах с установленными агентами PowerChute. Сервер PowerChute должен быть установлен на одном компьютере, у которого есть возможность установления соединения с Агентами PowerChute.

Консоль PowerChute предназначена для установления соединения с Сервером PowerChute и управления подключенными к нему Агентами PowerChute. Консоль PowerChute может быть установлена на любой рабочей станции либо на нескольких.

7.3.2. Системные требования

Любой компонент PowerChute Business Edition может быть установлен на компьютер с ОС Windows 2000/XP/2003. Для некоторых ОС (например, Red Hat, Turbolinux, SUSE Linux, Novell NetWare, Solaris) поддерживается установка только Агента PowerChute. Подробнее об этом вы можете прочитать в [[61]].

Минимальные требования к компьютеру, на который будет установлен Агент PowerChute [[61]]:

Процессор: Pentium III 500 МГц. Рекомендуется Pentium III 600 МГц. ОЗУ: 128 Мб.

Минимальные требования к компьютеру, на который будет установлен Сервер PowerChute [[61]]:

Процессор: Pentium III 600 МГц. Рекомендуется Pentium III 700 МГц. ОЗУ: 256 Мб.

Минимальные требования к компьютеру, на который будет установлена Консоль PowerChute [[61]]:

Процессор: Pentium III 500 МГц. Рекомендуется Pentium III 600 МГц. ОЗУ: 128 Мб. Монитор с разрешением 800?бит цвет). Рекомендуется 1024?768 или выше (24-бит цвет).

Со списком поддерживаемых моделей ИБП вы можете ознакомиться в [[61]]. Для управления ИБП должен быть подключен с помощью коммуникационного кабеля к компьютеру с установленным Агентом PowerChute. Соответствующий кабель поставляется вместе с ИБП.

7.3.3. Установка ПО PowerChute Business Edition

Для установки программы вам необходимы права администратора на локальном компьютере. Рассмотрим процесс установки всех компонентов PowerChute Business Edition на одном компьютере.

Для установки приложения запустите исполняемый файл setup. exe. После запуска установочного файла на экране появляется следующее окно (рис. 7.2). Нажмите кнопку "Install Product".

увеличить изображение
Рис. 7.2.  Окно приветствия

В следующем окне отображены отличия в возможностях версий "Deluxe" и "Basic" (рис. 7.3). Нажмите кнопку "Install Basic Version".

увеличить изображение
Рис. 7.3.  Приглашение купить версию "Deluxe"

На следующей странице вам предлагается выбрать компонент для установки (рис. 7.4). Здесь также отображается, установлен компонент (надпись "Installed") или нет (надпись "Not Installed"). Для установки Агента PowerChute Business Edition нажмите кнопку "Install" рядом с надписью "Windows Agent".

увеличить изображение
Рис. 7.4.  Выбор устанавливаемого компонента

7.3.3.1 Установка Агента PowerChute Business Edition

На рис. 7.5 представлено окно приветствия мастера установки Агента PowerChute Business Edition, которое появляется после нажатия на предыдущей странице (см. рис. 7.4) кнопки "Install" рядом с надписью "Windows Agent". Нажмите кнопку "Next".

Рис. 7.5.  Окно приветствия

Диалоговое окно "License Agreement" содержит текст лицензионного соглашения. Прочтите его. Если вы согласны с условиями соглашения, нажмите кнопку "Yes" (рис. 7.6).

Рис. 7.6.  Лицензионное соглашение

При появлении на экране запроса на запуск службы "Messenger" (рис. 7.7) нажмите "Да", если вы планируете рассылать уведомления средствами NET SEND, или "Нет", если вы не планируете широковещательную рассылку сообщений. Вместо нее можно использовать отправку сообщений по электронной почте.

увеличить изображение
Рис. 7.7.  Запрос на включение службы "Messenger"

В следующем диалоговом окне (рис. 7.8) можно сменить папку, в которую будет устанавливаться Агент (кнопка "Browse…"). После выбора нужной папки нажмите кнопку "Next".

Рис. 7.8.  Выбор папки для установки

При появлении запроса с предложением автоматически обнаружить подключенный ИБП нажмите "Да" (рис. 7.9).

Рис. 7.9.  Запрос на автоматический поиск ИБП

В следующем окне необходимо ввести имя и пароль для использования PowerChute Business Edition (рис. 7.10). Эти данные должны быть одинаковыми для Агента, Сервера и Консоли PowerChute Business Edition. Введите нужную информацию и нажмите кнопку "Next".

Рис. 7.10.  Ввод имени и пароля

Если на вашем компьютере функционирует брандмауэр Windows, на экране появится сообщение о необходимости добавить исключение для Агента PowerChute в его правила (рис. 7.11). Это необходимо для того, чтобы Агент PowerChute мог принимать входящие подключения от Сервера PowerChute. Нажмите кнопку "Да", чтобы мастер установки внес соответствующие изменения в настройку брандмауэра Windows. В этом случае будет добавлено исключение для программы "%путь% \agent\pbeagent. exe" (где "%путь%" - это папка, которую вы выбрали для установки Агента (см. рис. 7.8)) с указанием области "Любой компьютер". Если вы знаете адрес компьютера, на котором будет установлен Сервер PowerChute, вы можете внести его адрес в настройки брандмауэра. Подробнее о настройках брандмауэра Windows вы могли узнать в лекции 6 настоящего пособия.

Рис. 7.11.  Запрос на создание исключения

После успешного завершения установки появится соответствующее сообщение (рис. 7.12). Нажмите кнопку "Finish".

Рис. 7.12.  Сообщение об успешной установке

Вы вернетесь в окно выбора компонентов для установки (рис. 7.13).

увеличить изображение
Рис. 7.13.  Выбор устанавливаемого компонента

Нажмите кнопку "Install" рядом с надписью "Windows Server".

7.3.3.2 Установка Сервера PowerChute Business Edition

На рис. 7.14 представлено окно приветствия мастера установки Агента PowerChute Business Edition, которое появляется после нажатия на предыдущей странице (см. рис. 7.13) кнопки "Install" рядом с надписью "Windows Server". Нажмите кнопку "Next".

Рис. 7.14.  Окно приветствия

Диалоговое окно "License Agreement" содержит текст лицензионного соглашения. Прочтите его. Если вы согласны с условиями соглашения, нажмите кнопку "Yes" (рис. 7.15).

Рис. 7.15.  Лицензионное соглашение

В следующем окне необходимо ввести имя и пароль для использования PowerChute Business Edition (рис. 7.16). Эти данные должны быть одинаковыми для Агента, Сервера и Консоли PowerChute Business Edition. Введите те же данные, что вы ввели при установке Агента PowerChute Business Edition, и нажмите кнопку "Next".

Рис. 7.16.  Ввод имени и пароля

На следующей странице вам предлагается включить периодическую проверку сервера компании APC на наличие обновлений для программ, входящих в состав PowerChute Business Edition (параметр "Automatically check for product updates") (рис. 7.17). Нажмите кнопку "Next".

Рис. 7.17.  Включение автоматической проверки обновлений

Если на вашем компьютере функционирует брандмауэр Windows, на экране появится сообщение о необходимости добавить исключение для Сервера PowerChute в его правила (рис. 7.18). Это необходимо для того, чтобы Сервер PowerChute мог принимать входящие подключения от Консоли PowerChute. Нажмите кнопку "Да", чтобы мастер установки внес соответствующие изменения в настройку брандмауэра Windows. В этом случае будет добавлено исключение для программы "%путь%\server\pbeserver. exe" (где "%путь%" - это папка, которую вы выбрали для установки Агента (см. рис. 7.8)) с указанием области "Любой компьютер". Подробнее о настройках брандмауэра Windows вы могли узнать на занятии 6 настоящего пособия.

Рис. 7.18.  Запрос на создание исключения

После успешного завершения установки появится соответствующее сообщение (рис. 7.19). Нажмите кнопку "Finish".

Рис. 7.19.  Сообщение об успешной установке

Запустится мастер создания конфигурационного профиля (рис. 7.20). Настройки этого профиля можно будет позже изменить с помощью Консоли PowerChute. Нажмите кнопку "Next".

Рис. 7.20.  Окно приветствия

Выберите методы рассылки уведомлений (рис. 7.21). Доступны варианты:

Paging (отправка сообщения на пейджер); E-Mail Notification (уведомление по электронной почте); Broadcast Messages (рассылка широковещательных сообщений).

Задав нужные методы, нажмите кнопку "Next".

Рис. 7.21.  Методы уведомления

Если вы задали отправку уведомлений по электронной почте, то на экране появится запрос (рис. 7.22) на ввод адреса почтового сервера (SMTP Mail Server Address), учетной записи отправителя сообщений (SMTP User Name) и учетных записей получателей сообщений (Destination E-Mail Address). Для того чтобы задать адрес получателя, нажмите кнопку "Add…" и в появившемся окне введите адрес получателя. Для того чтобы проверить заданные параметры, вы можете нажать кнопку "Test". Если отправка сообщений прошла удачно (почтовый сервер принял сообщение), то в поле "Test Result" появится соответствующее сообщение (рис. 7.23).

Рис. 7.22.  Параметры отправки уведомлений по электронной почте

Рис. 7.23.  Отправка тестового сообщения прошла удачно

Нажмите кнопку "Next". На следующей странице вам будет предложено задать стратегию защиты по электропитанию (рис. 7.24). В дальнейшем с помощью Консоли PowerChute вы сможете задать эти настройки для каждого устройства, управляемого Агентом, индивидуально. Доступны два варианта:

Keep computer on as long as possible (при отключении электричества - использовать аккумуляторную батарею, сколько это возможно, для корректного завершения работы ОС; при включении электричества - выдавать электропитание на нагрузку после зарядки батареи на 15 % от ее емкости); Preserve Battery Power (при отключении электричества - сразу начинать процедуру корректного завершения работы ОС; при включении электричества - выдавать электропитание на нагрузку после зарядки батареи на 90 % от ее емкости).

Выберите нужный вам вариант и нажмите кнопку "Next".

Рис. 7.24.  Стратегия защиты по электропитанию

На следующей странице вам будет сообщено о том, как в дальнейшем задать параметры выключения компьютера через Консоль PowerChute (рис. 7.25). Нажмите кнопку "Next".

Рис. 7.25.  Сообщение о настройке параметров выключения ОС

На следующей странице будут кратко перечислены все ранее выбранные вами параметры (рис. 7.26). Нажмите кнопку "Next".

Рис. 7.26.  Сводка настроек

После создания конфигурационного профиля на экране появится соответствующее сообщение (рис. 7.27). Нажмите кнопку "Finish".

Рис. 7.27.  Завершение создания конфигурационного профиля

В следующем окне вам будет предложено выбрать компьютеры, которые будут управляться установленным Сервером PowerChute (рис. 7.28). Слева будут перечислены обнаруженные в сети Агенты PowerChute. Бесплатная версия "Basic" поддерживает управление одновременно максимум 5 Агентами, платная версия "Deluxe" - максимум 25. Выберите нужные вам компьютеры слева и нажмите кнопку "Add -->". После этого нажмите кнопку "Apply".

Рис. 7.28.  Выбор Агентов для управления Сервером

После завершения добавления Агента в список Сервера на экране появится следующее окно (рис. 7.29). Нажмите кнопку "Close".

Рис. 7.29.  Успешное добавление Агента

В следующем окне вам будет предложено зарегистрироваться на сайте APC (рис. 7.30).

Рис. 7.30.  Предложение зарегистрироваться

Если вы откажетесь от регистрации, то вернетесь в окно выбора компонентов для установки (рис. 7.31).

увеличить изображение
Рис. 7.31.  Выбор устанавливаемого компонента

Нажмите кнопку "Install" рядом с надписью "Windows Console".

7.3.3.3 Установка Консоли PowerChute Business Edition

На рис. 7.32 представлено окно приветствия мастера установки Консоли PowerChute Business Edition, которое появляется после нажатия на предыдущей странице (см. рис. 7.31) кнопки "Install" рядом с надписью "Windows Console". Нажмите кнопку "Next".

Рис. 7.32.  Окно приветствия

Диалоговое окно "License Agreement" содержит текст лицензионного соглашения. Прочтите его. Если вы согласны с условиями соглашения, нажмите кнопку "Yes" (рис. 7.33).

Рис. 7.33.  Лицензионное соглашение

На следующей странице вам будет сообщено о завершении мастера (рис. 7.34). Включите параметр "Launch PowerChute Business Edition Console", если вы хотите запустить Консоль после завершения установки, и нажмите кнопку "Next".

Рис. 7.34.  Завершение установки

Вы вернетесь в окно выбора компонентов для установки (рис. 7.35). Нажмите кнопку "Exit".

увеличить изображение
Рис. 7.35.  Выбор устанавливаемого компонента

После завершения установки Консоли на рабочем столе появится ярлык для ее запуска (рис. 7.36).

Рис. 7.36.  Ярлык для запуска Консоли PowerChute

7.3.4. Практическое использование Консоли PowerChute

Для запуска Консоли PowerChute дважды щелкните по ярлыку на рабочем столе (см. рис.7.36) или выполните "Пуск | Все программы | APC PowerChute Business Edition | Console". При первом запуске Консоли появится запрос (рис. 7.37) на включение периодической отправки в APC информации о том, какие возможности Консоли наиболее часто используются и т. д. Если вы хотите включить эту возможность - нажмите кнопку "Yes". Кроме того, эту возможность всегда можно включить или выключить с помощью меню "View | Preferences".

увеличить изображение
Рис. 7.37.  Запрос

При каждом запуске Консоли на экране появляется окно, представленное на рис. 7.38.

Рис. 7.38.  Диалоговое окно регистрации

Введите имя и пароль, которые вы указывали на этапе установки Агента и Сервера. Укажите адрес Сервера (поле "Server"). Если Сервер расположен на том же сервере, что и Консоль, то в поле "Server" можно ввести локальный адрес (127.0.0.1). Введите необходимые данные и нажмите кнопку "Connect".

На экране появится главное окно программы (рис. 7.39).

увеличить изображение
Рис. 7.39.  Главное окно программы

Рассмотрим основные части этого окна (см. рис. 7.39). В левой части окна (рис. 7.39-1) расположена навигационная панель. Выбирая элемент на этой панели, вы меняете отображение правой части окна (рис. 7.39-2 и 7.39-3).

Если выбран элемент "Status", то в правой части выводится список управляемых Сервером ИБП (рис. 7.39-2), а ниже (рис. 7.39-3) отображается информационное окно выбранного устройства с кратким описанием его состояния.

Если выбран элемент "Power Event Summary", то в правой части окна вы можете просмотреть график количества событий, возникших: за последний день (Параметр Graph Period=Last Day), за последние 7 дней (Last 7 Days), за последние 30 дней (Last 30 Days) или за последний год (Last Year) (рис. 7.40). Отображаемые события:

Power Failed (ИБП перешел на питание от батареи, т. к. входное питание невозможно использовать для подключенного оборудования); Low Battery (батарея разрядилась настолько, что ее заряда осталось только для корректного завершения ОС); Extended Undervoltage (ИБП использует технологию AVR Boost для повышения уровня выходного напряжения не менее 1 часа); Extended Overvoltage (ИБП использует технологию AVR Trim для понижения уровня выходного напряжения не менее 1 часа); Frequent Undervoltage (ИБП использует технологию AVR Boost для повышения уровня выходного напряжения чаще, чем 15 раз за 7 дней); Frequent Overvoltage (ИБП использует технологию AVR Trim для понижения уровня выходного напряжения чаще, чем 5 раз за 24 часа).

увеличить изображение
Рис. 7.40.  Сводка событий

Если выбран элемент "Voltage Analysis", то в правой части окна вы можете просмотреть график входного напряжения (рис. 7.41) за последние 30 минут, 1 час, 6 часов, 12 часов или сутки.

увеличить изображение
Рис. 7.41.  График входного напряжения

Если выбран элемент "Risk Assessment", то в правой части окна вы можете просмотреть оценку рисков (рис. 7.42) по различным параметрам. Описание этих параметров вы можете прочитать во встроенной справке к Консоли PowerChute.

увеличить изображение
Рис. 7.42.  Оценка рисков

7.3.5. Управление ИБП

Для настройки каждого ИБП индивидуально вам необходимо на навигационной панели выбрать элемент "Status" и в правой части окна дважды щелкнуть левой кнопкой мыши по интересующей вас системе (см. рис. 7.39-2). В появившемся окне вы можете просмотреть параметры ИБП и выполнить его настройку (рис. 7.43). Возможны два варианта просмотра параметров: обычный (по умолчанию) и расширенный. Для выбора расширенного варианта просмотра включите параметр "Show advanced items".

Рис. 7.43.  Свойства ИБП

В расширенном режиме просмотра окно выглядит следующим образом (рис. 7.44).

Рис. 7.44.  Расширенный режим просмотра свойств ИБП

Для того чтобы обновить отображаемую информацию, нажмите по надписи "Refresh Data". Для применения внесенных изменений нажмите кнопку "Apply". Для просмотра интересующей вас страницы свойств выберите ее название слева. В зависимости от используемого ИБП содержимое страниц может быть различно. Рассмотрим некоторые из них.

На странице Admin Information (административная информация) расположены текстовые строки, описывающие расположение ИБП (Location), контактную информацию (Contact) и примечания (Notes) (рис. 7.45). Эти данные используются в том числе при отправке сообщений по электронной почте.

Рис. 7.45.  Административная информация

На странице UPS Status (информация о ИБП) расположены следующие параметры (рис. 7.46):

UPS Load (Нагрузка ИБП). UPS Status (Состояние ИБП); Internal Temperature (Внутренняя температура); Output Voltage (Выходное напряжение); Input Voltage (Входное напряжение); Output Frequency (Выходная частота).

Рис. 7.46.  Статус ИБП

На странице Battery Status (информация об аккумуляторе) расположены следующие параметры (рис. 7.47):

Capacity (Емкость аккумулятора); Battery Status (Состояние аккумулятора); Battery Voltage (Напряжение аккумулятора); Runtime Remaining (Оставшееся время работы аккумулятора при неизменной нагрузке); Battery Replaced (Дата замены аккумулятора).

Рис. 7.47.  Статус аккумулятора

На странице Power Parameters (параметры электропитания) расположены следующие параметры (рис. 7.48):

High-Transfer Voltage (верхняя граница напряжения для переключения на аккумулятор); Low-Transfer Voltage (нижняя граница напряжения для переключения на аккумулятор); Sensitivity (Чувствительность); Nominal Output Voltage (Номинальное выходное напряжение); Audible Warning (Состояние для звукового сигнала).

Рис. 7.48.  Параметры электропитания

На странице Power Failure (отключение электропитания) в верхней части находится параметр, определяющий, когда необходимо начинать процедуру завершения работы ОС при отключении электричества (рис. 7.49):

Immediately (немедленно); After UPS has been on battery for X minute(s) (после работы на аккумуляторе в течении X минут); At runtime limit (поддерживать нагрузку на батареи, сколько это возможно, для корректного завершения работы ОС).

В нижней части находится параметр, который определяет условия для включения нагрузки, подсоединенной к ИБП, при возобновлении электропитания:

Immediately (немедленно); After the following occur (после возникновения следующих событий):
Battery charges to X % (после зарядки аккумулятора до X %); And the elapsed time is Y seconds (и прошло Y секунд);
Never (Никогда. Только вручную).

Рис. 7.49.  Отключение электропитания

На странице Shutdown Type (Тип выключения) можно определить, как завершать работу ОС (рис. 7.50):

Shutdown (До появления надписи "Теперь компьютер можно безопасно выключить"); Shutdown and Off (Завершение работы ОС и выключение компьютера); Hibernation (Спящий режим). Этот вариант доступен, если этот режим разрешен в ОС.

Рис. 7.50.  Тип завершения ОС

На странице Self-Test (Самотестирование) можно увидеть дату последнего самотестирования и его результат (рис. 7.51). Кроме того, можно запустить самотестирование вручную (кнопка "Self-Test").

Рис. 7.51.  Самотестирование

На странице UPS Calibration (Калибрование ИБП) можно увидеть дату последнего калибрования и его результат (рис. 7.52). Кроме того, можно запустить или остановить калибрование (кнопки "Start", "Stop"). При калибровании ИБП переходит на аккумуляторную батарею и начинает питать от нее подключенную нагрузку. При этом замеряется время разрядки аккумулятора при текущей нагрузке.

Компания APC рекомендует проводить калибрование не чаще одного-двух раз в год. При калибровании ИБП должен быть подключен к типичной для него нагрузке.

Рис. 7.52.  Калибрование ИБП

На странице Data Log (Журнал регистрации данных) можно просмотреть зафиксированные значения всех параметров ИБП (рис. 7.53).

Рис. 7.53.  Журнал регистрации данных

На странице Event Log (Журнал регистрации событий) можно просмотреть зафиксированные в работе ИБП события (рис. 7.54).

Рис. 7.54.  Журнал регистрации событий

На странице Log Options (Настройки журналов регистрации) можно задать параметры вышеописанных журналов либо вообще отключить их (рис. 7.55).

Рис. 7.55.  Настройки журналов регистрации

7.3.6. Конфигурационный профиль

Перед тем как Сервер PowerChute сможет контролировать систему с установленным Агентом PowerChute, эта система должна быть добавлена в список устройств (см. рис. 7.39-2). Для этого используется команда меню "Tools | Configure Device List... ". Настройка списка устройств аналогична описанной в установке Сервера PowerChute (см. рис. 7.28). При добавлении устройства в список к нему применяется конфигурационный профиль, который определяет:

стратегию защиты по электропитанию; методы отправки уведомлений Сервером PowerChute при возникновении событий в работе устройств.

Для изменения конфигурационного профиля выполните команду меню "Tools | Change Configuration Profile…" (рис. 7.56).

увеличить изображение
Рис. 7.56.  Меню "Tools"

Диалоговое окно настройки конфигурационного профиля представлено на рис. 7.57, 7.58, 7.59. Изменение этих настроек интуитивно понятно и было описано в п. 7.3.3.2 "Установка Сервера PowerChute Business Edition".

Рис. 7.57.  Параметры отправки сообщений по электронной почте

Рис. 7.58.  Параметры отправки широковещательных сообщений

Рис. 7.59.  Стратегия защиты по электропитанию

После изменения конфигурационного профиля его необходимо применить к устройствам из списка устройств (Device List). Для этого нужно выполнить команду "Reapply Configuration Profile" контекстного меню устройства (рис. 7.60).

Рис. 7.60.  Контекстное меню устройства

7.4. Лабораторная работа. Установка и использование PowerChute Business Edition

На этой лабораторной работе вы установите PowerChute Business Edition, выполните настройку параметров конфигурационного профиля и проверите получение уведомлений по электронной почте. В целях минимизации предварительных требований для выполнения работы будет использоваться один компьютер с непосредственно подключенным к нему через последовательный порт ИБП APC Smart UPS 620. Этот компьютер может входить в рабочую группу или быть включенным в домен.

Предварительные требования

Для выполнения данной работы необходимо наличие одного (можно виртуального) компьютера client01 под управлением Windows XP SP2 с настройками по умолчанию (в том числе - брандмауэр Windows включен). Учетная запись администратора - "Administrator", пароль "P@ssw0rd". Необходимо наличие учетной записи электронной почты (в качестве примера будет использоваться адрес *****@***local) и адрес SMTP почтового сервера (в качестве примера будет использоваться адрес server01). Также необходим компакт-диск с дистрибутивом PowerChute Business Edition.

7.4.1. Упражнение 1. Установка Агента

Вы выполните установку Агента PowerChute Business Edition на свой компьютер.

Рис. 7.61.  Запрос на создание исключения

увеличить изображение
Рис. 7.62.  Выбор устанавливаемого компонента

7.4.2. Упражнение 2. Установка Сервера

Вы выполните установку Сервера PowerChute Business Edition на свой компьютер.

увеличить изображение
Рис. 7.63.  Выбор устанавливаемого компонента

7.4.3. Упражнение 3. Установка Консоли

Вы выполните установку Консоли PowerChute Business Edition на свой компьютер.

увеличить изображение
Рис. 7.64.  Выбор устанавливаемого компонента

7.4.4. Упражнение 4. Настройка Конфигурационного профиля

Вы выполните настройку конфигурационного профиля и проверите применение профиля на клиентские компьютеры.

Рис. 7.65.  Параметры "Power Failure"

увеличить изображение
Рис. 7.66.  Запрос на подтверждение действия

Рис. 7.67.  Параметры "Power Failure"

7.4.5. Упражнение 5. Проверка получения уведомлений

Проверим реакцию программы PowerChute на отключение входного электропитания.

7.6. Резюме

Источник бесперебойного питания предназначен для корректного завершения работы ОС в случае длительного снижения входного электропитания ниже определенного значения (вплоть до полного отключения) или длительного повышения входного электропитания выше определенного значения. Время автономной работы для ИБП зависит от мощности ИБП и подключенной к нему нагрузки. Для различных ИБП оно может варьироваться от нескольких минут до нескольких часов. Без использования ИБП возможна не только потеря данных, но также и выход из строя оборудования.

Компания APC поставляет со своими ИБП пакет PowerChute Business Edition. Бесплатная версия "Basic" этого продукта позволяет централизованно управлять 5 ИБП и выполнять:

Корректное автоматическое завершение работы системы. Мониторинг состояния ИБП. Рассылку уведомлений по электронной почте, на пейджер или средствами NET SEND. Настройку параметров работы ИБП (чувствительность к колебаниям напряжения; минимальный заряд батареи, позволяющий возобновить питание; верхняя и нижняя границы напряжения для перехода в режим питания от батарей и т. п.).