Введение.
В настоящее время компания Microsoft продолжает сотрудничать в области сертификации с ФСТЭК России и ФСБ России.
Федеральная служба по техническому и экспортному контролю (ФСТЭК России) — федеральный орган исполнительной власти России, осуществляющий реализацию государственной политики, организацию межведомственной координации и взаи
модействия, специальные и контрольные функции в области государственной безопасности.
На сайте ФСТЭК Росс
ии есть интересная статистика по количеству уязвимостей
в ПО различных производителей ( bdu.fstec.ru).
Уязвимость — недостаток (слабость) программного (программно-технического) средства или информационной системы в целом, который (которая) может быть использована для реализации угроз безопасности информации. ГОСТ Р 56545-2015
В настоящее время ФСТЭК сертифицированы следующие продукты Microsoft:
- клиентская операционная система Microsoft Windows XP Professional, русская версия (включая ОЕМ-производство);
- клиентская операционная система Microsoft Windows Vista (Business, Enterprise, Ultimate), русская версия (включая ОЕМ производство);
- серверная операционная система Microsoft Windows Server 2003 (Standard Edition и Enterprise Edition), русские версии;
- серверная операционная система Microsoft Windows Server 2003 R2 (Standard Edition и Enterprise Edition), русские версии;
- система управления базами данных Microsoft SQL Server 2005 (Standard Edition и Enterprise Edition), русские версии;
- платформа офисных приложений Microsoft Office 2003 Professional, русская версия, включая встроенную технологию управления цифровыми правами документов, работающую с серверной технологией RMS, встроенную в Microsoft Windows Server 2003;
- платформа офисных приложений Microsoft Office 2007 Professional, русская версия, включая встроенную технологию управления цифровыми правами документов, работающую с серверной технологией RMS, встроенную в Windows Server 2003;
- межсетевой экран Microsoft ISA Server 2006 (Standard Edition), русская версия — на соответствие как общим критериям, так и руководящим документам «СВТ. Межсетевые экраны…» по третьему классу защищенности;
- антивирусные продукты Microsoft Forefront для серверов и рабочих станций (Forefront для Exchange Server, Forefront для SharePoint Server, и Forefront Client);
- сервер управления почтовыми сообщениями Microsoft Exchange Server 2007;
- сервер для управления бизнес-процессами Microsoft BizTalk Server 2006 R2;
- серверная операционная система Microsoft Windows Server 2008 (все издания), включая сервер виртуализации Hyper-V, русские версии;
- система управления базами данных Microsoft SQL Server 2008 (все издания), русские версии;
- платформа офисных приложений Microsoft Office Professional Plus 2007, русская версия;
- система управления операциями в информационных системах Microsoft System Center Operations Manager 2007;
- система управления конфигурациями в информационных системах Microsoft System Center Configuration Manager 2007;
- система управления защитой данных в информационных системах Microsoft System Center Data Protection Manager 2007;
- система управления виртуальными машинами в информационных системах Microsoft System Center Virtual Machine Manager 2008;
- система управления отношениями с клиентами Microsoft Dynamics CRM 4.0;
- система управления предприятием Microsoft Dynamics AX 2009;
- система управления предприятием Microsoft Dynamics AX 4.0;
- система управления предприятием Microsoft Dynamics NAV 5.0;
- клиентская операционная система Windows 7 (все издания), русская и английская версии;
- серверная операционная система Windows Server 2008 R2 (все издания), русская и английская версии;
- сервер для управления бизнес процессами Microsoft BizTalk Server 2009 (все издания), русская версия;
- сервер управления идентификацией в гетерогенных системах Microsoft Forefront Identity Manager 2010, русская и английская версии;
- сервер управления почтовыми сообщениями Microsoft Exchange Server 2010 (все издания), русская и английская версии;
- система управления сервисами в информационных системах Microsoft System Center Service Manager 2010, русская и английская версии;
- система управления отношениями с клиентами Microsoft Dynamics CRM 2011, русская версия;
- система управления предприятием Microsoft Dynamics NAV 2009 R2, русская версия;
- платформа офисных приложений Microsoft Office Professional Plus 2010, русская и английская версии;
- система антивирусной защиты Microsoft Forefront Endpoint Protection 2010, русская и английская версии;
- сервер документооборота Microsoft SharePoint Server 2010 (все издания), русская и английская версии;
- сервер коммуникаций Microsoft Lync Server 2010 Enterprise, русская и английская версии;
- система управления предприятием Microsoft Dynamics AX 2012 R2;
- клиентская операционная система Microsoft Windows 8 (версии Windows 8, Windows 8 Профессиональная, Windows 8 Корпоративная);
- серверная операционная система Microsoft Windows Server 2012 (версии Windows Server Standard 2012, Windows Server Datacenter 2012, Windows Storage Server 2012 Standard, Windows Storage Server 2012 Workgroup, Windows server Essentials 2012, Windows Server Foundation 2012);
- система управления информационной структурой Microsoft System Center 2012 (версии Standard и Datacenter);
- система управления базами данных Microsoft SQL Server 2012 (версии Standard, Enterprise, Business Intelligence, Web);
- платформа офисных приложений Office Professional Plus 2013;
- сервер управления виртуальными структурами Microsoft Hyper-V Server 2012;
- система управления информационной структурой Microsoft System Center 2012 R2 (версии Standard и Datacenter);
- система управления отношениями с клиентами Microsoft Dynamics CRM 2013;
- сервер управления почтовыми сообщениями Microsoft Exchange Server 2013 (версии Standard и Enterprise);
- сервер документооборота Microsoft SharePoint Server 2013;
- системы управления базами данных Microsoft SQL Server 2014 в редакциях Enterprise Edition (EE), Business Intelligence (BI), Standard (Std), Web, Express, Express with tools;
- система управления отношениями с клиентами Microsoft Dynamics CRM Server 2015.
В соответствии с полученными сертификатами ФСТЭК, указанные сертифицированные продукты позволяют строить автоматизированные системы до класса защищенности 1Г включительно. Кроме того, те из них, которые вышли после принятия ФЗ-152 «О персональных данных», сертифицированы и на соответствие законодательству о персональных данных.
Следующие продукты Microsoft сертифицированы ФСБ:
- клиентская операционная система Microsoft Windows XP Professional, русская версия;
- серверная операционная система Microsoft Windows Server 2003 Enterprise Edition, русская версия;
- сервер документооборота Microsoft SharePoint Server 2007;
- система управления базами данных Microsoft SQL Server 2008;
- Microsoft Windows 7 Professional, Enterprise и Максимальная все с SP1;
- Microsoft Windows 8 Professional и Enterprise;
- Microsoft Windows 8.1 Professional и Enterprise;
- Microsoft Windows Server 2008 Standard R2 и Enterprise R2 обе c SP1;
- Microsoft Windows Server 2012 Standard c SP1;
- Microsoft Windows Server 2012 R2 c SP1.
Сертификаты удостоверяют, что указанные продукты соответствуют требованиям уполномоченных органов России к защите информации, не содержащей сведений, составляющих государственную тайну, защите от несанкционированного доступа в автоматизированных информационных системах класса АК2 (некоторые продукты сертифицированы и на уровень АК3).
Кроме того, уполномоченные органы сделали положительное заключение по результатам сертификационных испытаний удостоверяющего центра, входящего в состав Windows Server 2003, на соответствие его уровню КС2 в соответствии с национальными требованиями.
Недавно получены положительные заключения по результатам проведенных сертификационных испытаний следующих продуктов: Microsoft Exchange Server 2010.
Как указано в документах, эти продукты могут использоваться для защиты конфиденциальной информации и персональных данных.
Полученные результаты сертификации позволяют создавать системы защищенного документооборота для органов государственной власти и системы «электронного правительства», построенные на платформе Microsoft.
Актуальную информацию по сертифицированным продуктам можно найти на сайте http://www.microsoft.com/ru-ru/securitycertification.
В 2002 году корпорация Microsoft разработала программу Government Security Program (GSP).
Это программа обеспечения безопасности правительств – представляет собой инициативу по передаче правительственным структурам различных стран исходных кодов программных продуктов (главным образом, операционных систем) для того, чтобы у специалистов и экспертов была возможность убедиться в отсутствии существенных изъянов в этом программном обеспечении. Такой анализ должен дать основания для признания этих программных продуктов надежными с точки зрения информационной безопасности и, таким образом, расширить возможности их применения различными организациями (как правительственными, так и частными). Также предполагается, что эта программа должна помочь устранить имеющиеся недоработки в программном обеспечении и расширить партнерство между Microsoft и правительствами различных стран в сфере защиты информации. В рамках программы участвующим в ней экспертам также предоставляется доступ к документации, справочные материалы, специальные средства для работы с исходными кодами, и поддержка со стороны специалистов Microsoft. В данную программу включены около 60 стран (в том числе, и Россия в лице Гостехкомиссии РФ – ФСТЭК), отвечающих определенным требованиям к защите прав на интеллектуальную собственность.
Одной из возможных причин начала реализации этой программы явилось то, что некоторые правительства (например, Германии) заявили о возможном переходе правительственных и муниципальных учреждений на альтернативные операционные системы (такие как, например, Linux), для которых доступны исходные коды. Развитие этой тенденции в перспективе могло привести (и отчасти уже привело) к определенной потере рынков сбыта продукции Microsoft.
Стратегия Microsoft области безопасности.
Компания Microsoft разрабатывает стратегию построения защищенных информационных систем (Trustworthy Computing) — это долгосрочная стратегия, направленная на обеспечение более безопасной, защищенной и надежной работы с компьютерами для всех пользователей.
Концепция защищенных компьютерных систем построена на четырех принципах:
- безопасность, которая предполагает создание максимально защищенных ИТ-инфраструктур;
- конфиденциальность, которая подразумевает внедрение в состав и технологий, и продуктов средств защиты конфиденциальности на протяжении всего периода их эксплуатации;
- надежность, которая требует повышения уровня надежности процессов и технологий разработки программного обеспечения информационных систем;
- целостность деловых подходов для укрепления доверия клиентов, партнеров, государственных учреждений.
Данные принципы реализуются в программных продуктах Microsoft. Компания Microsoft предлагает обеспечивать безопасность операционных систем семейства Windows с помощью технологии единого каталога (Active Directory) и групповых политик. Использование групповой политики и Active Directory позволяет централизовано управлять параметрами безопасности как для одного пользователя или компьютера, так и для группы пользователей, управлять безопасностью серверов и рабочих станций.
Для решения вопросов обеспечения информационной безопасности компания Microsoft предоставляет следующие технологии:
- Active Directory – единый каталог, позволяющий сократить число паролей, которые должен вводить пользователь;
- двухэтапная аутентификация на основе открытых/закрытых ключей и смарт-карт;
- шифрование трафика на базе встроенных средств операционной системы IPSec (IP Security — это комплект протоколов, касающихся вопросов шифрования, аутентификации и обеспечения защиты при транспортировке IP-пакетов);
- создание защищенных беспроводных сетей на основе стандарта IEEE 802.1x;
- шифрование файловой системы;
- защита от вредоносного кода;
- организация безопасного доступа мобильных и удаленных пользователей;
- защита данных на основе кластеризации, резервного копирования и ограничения несанкционированного доступа;
- служба сбора событий из системных журналов безопасности.
Учебные вопросы (основная часть):
Вопрос 1. Основные термины и понятия (лес, дерево, домен, организационное подразделение). Планирование пространства имен AD. Установка контроллеров доменов.
Современные сети часто состоят из множества различных программных платформ, большого разнообразия оборудования и программного обеспечения. Пользователи зачастую вынуждены запоминать большое количество паролей для доступа к различным сетевым ресурсам. Права доступа могут быть различными для одного и того же сотрудника в зависимости от того, с какими ресурсами он работает. Все это множество взаимосвязей требует от администратора и пользователя огромного количества времени на анализ, запоминание и обучение.
Решение проблемы управления такой разнородной сетью было найдено с разработкой службы каталога. Службы каталога предоставляют возможности управления любыми ресурсами и сервисами из любой точки независимо от размеров сети, используемых операционных систем и сложности оборудования. Информация о пользователе, заносится единожды в службу каталога, и после этого становится доступной в пределах всей сети. Адреса электронной почты, принадлежность к группам, необходимые права доступа и учетные записи для работы с различными операционными системами — все это создается и поддерживается в актуальном виде автоматически. Любые изменения, занесенные в службу каталога администратором, сразу обновляются по всей сети. Администраторам уже не нужно беспокоиться об уволенных сотрудниках — просто удалив учетную запись пользователя из службы каталога, он сможет гарантировать автоматическое удаление всех прав доступа на ресурсы сети, предоставленные ранее этому сотруднику.
В настоящее время большинство служб каталогов различных фирм базируются на стандарте X.500.
X.500 — серия стандартов ITU-T (International Telecommunication Union — Telecommunication sector) для службы распределенного каталога сети. Каталоги X.500 предоставляют централизованную информацию обо всех именованных объектах сети (ресурсах, приложениях и пользователях).
Для доступа к информации, хранящейся в службах каталогов, обычно используется протокол Lightweight Directory Access Protocol ( LDAP ). В связи со стремительным развитием сетей TCP/IP, протокол LDAP становится стандартом для служб каталогов и приложений, ориентированных на использование службы каталога.
Служба каталогов Active Directory является основой логической структуры корпоративных сетей, базирующихся на системе Windows. Термин «Каталог» в самом широком смысле означает «Справочник «, а служба каталогов корпоративной сети — это централизованный корпоративный справочник. Корпоративный каталог может содержать информацию об объектах различных типов. Служба каталогов Active Directory содержит в первую очередь объекты, на которых базируется система безопасности сетей Windows, — учетные записи пользователей, групп и компьютеров. Учетные записи организованы в логические структуры: домен, дерево, лес, организационные подразделения.
Основное назначение служб каталогов — управление сетевой безопасностью. Основа сетевой безопасности — база данных учетных записей (accounts) пользователей, групп пользователей и компьютеров, с помощью которой осуществляется управление доступом к сетевым ресурсам. Прежде чем говорить о службе каталогов Active Directory, сравним две модели построения базы данных служб каталогов и управления доступом к ресурсам.
Модель «Рабочая группа».
Данная модель управления безопасностью корпоративной сети — самая примитивная. Она предназначена для использования в небольших одноранговых сетях (3–10 компьютеров) и основана на том, что каждый компьютер в сети с операционными системами Windows имеет свою собственную локальную базу данных учетных записей и с помощью этой локальной БД осуществляется управление доступом к ресурсам данного компьютера. Локальная БД учетных записей называется база данных SAM (Security Account Manager) и хранится в реестре операционной системы.
База данных SAM хранится в реестре (в ключе HKEY_LOCAL_MACHINE\SAM\SAM), доступ к которому запрещен по умолчанию даже администраторам. SAM-сервер реализован в виде DLL-библиотеки samsrv.dll, загружаемой lsass.exe. Программный интерфейс для доступа клиентов к серверу реализован в виде функций, содержащихся в DLL-библиотеке samlib.dll.
Базы данных отдельных компьютеров полностью изолированы друг от друга и никак не связаны между собой.
Пример управления доступом при использовании такой модели изображен на следующем рисунке.
В данном примере изображены два сервера (SRV-1 и SRV-2) и две рабочие станции (WS-1 и WS-2). Их базы данных SAM обозначены соответственно SAM-1, SAM-2, SAM-3 и SAM-4 (на рисунке базы SAM изображены в виде овала). В каждой БД есть учетные записи пользователей User1 и User2. Полное имя пользователя User1 на сервере SRV-1 будет выглядеть как «SRV-1\User1», а полное имя пользователя User1 на рабочей станции WS-1 будет выглядеть как «WS-1\User1». Представим, что на сервере SRV-1 создана папка Folder, к которой предоставлен доступ по сети пользователям User1 — на чтение (R), User2 — чтение и запись (RW). Главный момент в этой модели заключается в том, что компьютер SRV-1 ничего «не знает» об учетных записях компьютеров SRV-2, WS-1, WS-2, а также всех остальных компьютеров сети. Если пользователь с именем User1 локально зарегистрируется в системе на компьютере, например, WS-2 (или, как еще говорят, «войдет в систему с локальным именем User1 на компьютере WS-2»), то при попытке получить доступ с этого компьютера по сети к папке Folder на сервере SRV-1 сервер запросит пользователя ввести имя и пароль (исключение составляет тот случай, если у пользователей с одинаковыми именами одинаковые пароли).
При использовании в сети с большим количеством компьютеров и сетевых ресурсов становится очень сложным управлять именами пользователей и их паролями — приходится на каждом компьютере (который предоставляет свои ресурсы для совместного использования в сети) вручную создавать одни и те же учетные записи с одинаковыми паролями, что очень трудоемко, либо делать одну учетную запись на всех пользователей с одним на всех паролем (или вообще без пароля), что сильно снижает уровень защиты информации. Поэтому модель «Рабочая группа» рекомендуется только для сетей с числом компьютеров от 3 до 10, при условии что среди всех компьютеров нет ни одного с системой Windows Server.
Доменная модель.
В доменной модели существует единая база данных служб каталогов, доступная всем компьютерам сети. Для этого в сети устанавливаются специализированные серверы, называемые контроллерами домена, которые хранят на своих жестких дисках эту базу. На рис. представленном ниже, изображена схема доменной модели.
Серверы DC-1 и DC-2 — контроллеры домена, они хранят доменную базу данных учетных записей (каждый контроллер хранит у себя свою собственную копию БД, но все изменения, производимые в БД на одном из серверов, реплицируются на остальные контроллеры).
В такой модели, если, например, на сервере SRV-1, являющемся членом домена, предоставлен общий доступ к папке Folder, то права доступа к данному ресурсу можно назначать не только для учетных записей локальной базы SAM данного сервера, но, самое главное, учетным записям, хранящимся в доменной БД. На рисунке для доступа к папке Folder даны права доступа одной локальной учетной записи компьютера SRV-1 и нескольким учетным записям домена (пользователя и группам пользователей). В доменной модели управления безопасностью пользователь регистрируется на компьютере («входит в систему») со своей доменной учетной записью и, независимо от компьютера, на котором была выполнена регистрация, получает доступ к необходимым сетевым ресурсам. И нет необходимости на каждом компьютере создавать большое количество локальных учетных записей, все записи созданы однократно в доменной БД. И с помощью доменной базы данных осуществляется централизованное управление доступом к сетевым ресурсам независимо от количества компьютеров в сети.
Назначение службы каталогов Active Directory.
Каталог (справочник) может хранить различную информацию, относящуюся к пользователям, группам, компьютерам, сетевым принтерам, общим файловым ресурсам и так далее — будем называть все это объектами. Каталог хранит также информацию о самом объекте, или его свойства, называемые атрибутами. Например, атрибутами, хранимыми в каталоге о пользователе, может быть имя его руководителя, номер телефона, адрес, имя для входа в систему, пароль, группы, в которые он входит, и многое другое. Для того чтобы сделать хранилище каталога полезным для пользователей, должны существовать службы, которые будут взаимодействовать с каталогом. Например, можно использовать каталог как хранилище информации, по которой можно аутентифицировать пользователя, или как место, куда можно послать запрос для того, чтобы найти информацию об объекте.
Active Directory отвечает не только за создание и организацию этих небольших объектов, но также и за большие объекты, такие как домены, OU (организационные подразделения) и сайты.
Об основных терминах, используемых в контексте службы каталогов Active Directory, читайте ниже.
Служба каталогов Active Directory (сокращенно — AD) обеспечивает эффективную работу сложной корпоративной среды, предоставляя следующие возможности:
- Единая регистрация в сети. Пользователи могут регистрироваться в сети с одним именем и паролем и получать при этом доступ ко всем сетевым ресурсам и службам (службы сетевой инфраструктуры, службы файлов и печати, серверы приложений и баз данных и т. д.);
- Безопасность информации. Средства аутентификации и управления доступом к ресурсам, встроенные в службу Active Directory, обеспечивают централизованную защиту сети;
- Централизованное управление. Администраторы могут централизованно управлять всеми корпоративными ресурсами;
- Администрирование с использованием групповых политик. При загрузке компьютера или регистрации пользователя в системе выполняются требования групповых политик; их настройки хранятся в объектах групповых политик (GPO) и применяются ко всем учетным записям пользователей и компьютеров, расположенных в сайтах, доменах или организационных подразделениях;
- Интеграция с DNS. Функционирование служб каталогов полностью зависит от работы службы DNS. В свою очередь серверы DNS могут хранить информацию о зонах в базе данных Active Directory;
- Расширяемость каталога. Администраторы могут добавлять в схему каталога новые классы объектов или добавлять новые атрибуты к существующим классам;
- Масштабируемость. Служба Active Directory может охватывать как один домен, так и множество доменов, объединенных в дерево доменов, а из нескольких деревьев доменов может быть построен лес;
- Репликация информации. В службе Active Directory используется репликация служебной информации в схеме со многими ведущими ( multi-master ), что позволяет модифицировать БД Active Directory на любом контроллере домена. Наличие в домене нескольких контроллеров обеспечивает отказоустойчивость и возможность распределения сетевой нагрузки;
- Гибкость запросов к каталогу. БД Active Directory может использоваться для быстрого поиска любого объекта AD, используя его свойства (например, имя пользователя или адрес его электронной почты, тип принтера или его местоположение и т. п.);
- Стандартные интерфейсы программирования. Для разработчиков программного обеспечения служба каталогов предоставляет доступ ко всем возможностям (средствам) каталога и поддерживает принятые стандарты и интерфейсы программирования (API).
В Active Directory может быть создан широкий круг различных объектов. Объект представляет собой уникальную сущность внутри Каталога и обычно обладает многими атрибутами, которые помогают описывать и распознавать его. Учетная запись пользователя является примером объекта. Этот тип объекта может иметь множество атрибутов, таких как имя, фамилия, пароль, номер телефона, адрес и многие другие. Таким же образом общий принтер тоже может быть объектом в Active Directory и его атрибутами являются его имя, местоположение и т.д. Атрибуты объекта не только помогают определить объект, но также позволяют вам искать объекты внутри Каталога.
Терминология
Служба каталогов системы Windows Server построена на общепринятых технологических стандартах. Изначально для служб каталогов был разработан стандарт X.500, который предназначался для построения иерархических древовидных масштабируемых справочников с возможностью расширения как классов объектов, так и наборов атрибутов (свойств) каждого отдельного класса. Однако практическая реализация этого стандарта оказалась неэффективной с точки зрения производительности. Тогда на базе стандарта X.500 была разработана упрощенная (облегченная) версия стандарта построения каталогов, получившая название LDAP (Lightweight Directory Access Protocol). Протокол LDAP сохраняет все основные свойства X.500 (иерархическая система построения справочника, масштабируемость, расширяемость), но при этом позволяет достаточно эффективно реализовать данный стандарт на практике. Термин «lightweight» («облегченный«) в названии LDAP отражает основную цель разработки протокола: создать инструментарий для построения службы каталогов, которая обладает достаточной функциональной мощью для решения базовых задач, но не перегружена сложными технологиями, делающими реализацию служб каталогов неэффективной. В настоящее время LDAP является стандартным методом доступа к информации сетевых каталогов и играет роль фундамента во множестве продуктов, таких как системы аутентификации, почтовые программы и приложения электронной коммерции. Сегодня на рынке присутствует более 60 коммерческих серверов LDAP, причем около 90% из них представляют собой самостоятельные серверы каталогов LDAP, а остальные предлагаются в качестве компонентов других приложений.
Протокол LDAP четко определяет круг операций над каталогами, которые может выполнять клиентское приложение. Эти операции распадаются на пять групп:
- установление связи с каталогом;
- поиск в нем информации;
- модификация его содержимого;
- добавление объекта;
- удаление объекта.
Кроме протокола LDAP служба каталогов Active Directory использует также протокол аутентификации Kerberos и службу DNS для поиска в сети компонент служб каталогов (контроллеры доменов, серверы глобального каталога, службу Kerberos и др.).
Домен
Основной единицей системы безопасности Active Directory является домен. Домен формирует область административной ответственности. База данных домена содержит учетные записи пользователей, групп и компьютеров. Большая часть функций по управлению службой каталогов работает на уровне домена (аутентификация пользователей, управление доступом к ресурсам, управление службами, управление репликацией, политики безопасности).
Имена доменов Active Directory формируются по той же схеме, что и имена в пространстве имен DNS. И это не случайно. Служба DNS является средством поиска компонент домена — в первую очередь контроллеров домена.
Контроллеры домена — специальные серверы, которые хранят соответствующую данному домену часть базы данных Active Directory. Основные функции контроллеров домена:
- хранение БД Active Directory (организация доступа к информации, содержащейся в каталоге, включая управление этой информацией и ее модификацию);
- синхронизация изменений в AD (изменения в базу данных AD могут быть внесены на любом из контроллеров домена, любые изменения, осуществляемые на одном из контроллеров, будут синхронизированы c копиями, хранящимися на других контроллерах);
- аутентификация пользователей (любой из контроллеров домена осуществляет проверку полномочий пользователей, регистрирующихся на клиентских системах).
Настоятельно рекомендуется в каждом домене устанавливать не менее двух контроллеров домена — во-первых, для защиты от потери БД Active Directory в случае выхода из строя какого-либо контроллера, во-вторых, для распределения нагрузки между контроллерами.
Дерево
Дерево является набором доменов, которые используют единое связанное пространство имен. В этом случае «дочерний» домен наследует свое имя от «родительского» домена. Дочерний домен автоматически устанавливает двухсторонние транзитивные доверительные отношения с родительским доменом. Доверительные отношения означают, что ресурсы одного из доменов могут быть доступны пользователям других доменов.
Пример дерева Active Directory изображен на рисунке, представленном ниже. В данном примере домен company.ru является доменом Active Directory верхнего уровня. От корневого домена отходят дочерние домены it.company.ru и fin.company.ru. Эти домены могут относиться соответственно к ИТ-службе компании и финансовой службе. У домена it.company.ru есть поддомен dev.it.company.ru, созданный для отдела разработчиков ПО ИТ-службы.
Корпорация Microsoft рекомендует строить Active Directory в виде одного домена. Построение дерева, состоящего из многих доменов необходимо в следующих случаях:
- для децентрализации администрирования служб каталогов (например, в случае, когда компания имеет филиалы, географически удаленные друг от друга, и централизованное управление затруднено по техническим причинам);
- для повышения производительности (для компаний с большим количеством пользователей и серверов актуален вопрос повышения производительности работы контроллеров домена);
- для более эффективного управления репликацией (если контроллеры доменов удалены друг от друга, то репликация в одном может потребовать больше времени и создавать проблемы с использованием несинхронизированных данных);
- для применения различных политик безопасности для различных подразделений компании;
- при большом количестве объектов в БД Active Directory.
Лес
Наиболее крупная структура в Active Directory. Лес объединяет деревья, которые поддерживают единую схему ( схема Active Directory — набор определений типов, или классов, объектов в БД Active Directory). В лесу между всеми доменами установлены двухсторонние транзитивные доверительные отношения, что позволяет пользователям любого домена получать доступ к ресурсам всех остальных доменов, если они имеют соответствующие разрешения на доступ. По умолчанию, первый домен, создаваемый в лесу, считается его корневым доменом, в корневом домене хранится схема AD.
Новые деревья в лесу создаются в том случае, когда необходимо построить иерархию доменов с пространством имен, отличным от других пространств леса. В примере на рис. российская компания могла открыть офис за рубежом и для своего зарубежного отделения создать дерево с доменом верхнего уровня company.com. При этом оба дерева являются частями одного леса с общим «виртуальным» корнем.
Организационные подразделения (ОП).
Организационные подразделения (Organizational Units, OU) — контейнеры внутри AD, которые создаются для объединения объектов в целях делегирования административных прав и применения групповых политик в домене. ОП существуют только внутри доменов и могут объединять только объекты из своего домена. ОП могут быть вложенными друг в друга, что позволяет строить внутри домена сложную древовидную иерархию из контейнеров и осуществлять более гибкий административный контроль. Кроме того, ОП могут создаваться для отражения административной иерархии и организационной структуры компании.
На рис. Отражена оснастка Active Directory Users and Computers. Отдел продаж (OU Sales) разделен на два подразделения Sales Group 1 и Sales Group 2. В Sales Group 1 и Sales Group 2 созданы контейнеры для пользователей Users и компьютеров Computers. Это сделано для удобства создания групповых политик GPO.
Вопрос 2. Групповые политики
Управление групповыми политиками в Microsoft Windows Server 2008 R2 позволяет администраторам задавать конфигурацию операционных систем серверов и клиентских компьютеров. Реализуется эта функциональность с помощью оснастки «Управление групповой политикой», общий вид которой приведен на рисунке ниже.
Групповая политика настраивается через оснастку «Редактор управления групповыми политиками»
На рис. Открыта Default Domain Policy. Выбран элемент «Политика паролей».
На рис. Представлена Политика блокировки учетной записи.
Для компьютеров, входящих в домен Active Directory, используются групповые политики, определяющие политики безопасности, используемые в рамках сайта, домена или набора организационных единиц (OU – organizational units).
Групповые политики и Active Directory позволяют:
- централизованно управлять пользователями и компьютерами в масштабах предприятия;
- автоматически применять политики информационной безопасности;
- понижать сложность административных задач (например, обновление операционных систем, установка приложений);
- унифицировать параметры безопасности в масштабах предприятия;
- обеспечить эффективную реализацию стандартных вычислительных средств для групп пользователей.
При управлении безопасностью информационной системы предприятия групповая политика позволяет управлять контроллерами доменов и серверами, определять наборы параметров для конкретной группы пользователей, параметры защиты, сетевой конфигурации и ряд других параметров, применяемых к определенной группе компьютеров.
Active Directory позволяет управлять через групповые политики любыми службами и компонентами на платформе Windows.
Групповые политики Active Directory позволяют администраторам централизованно управлять ИТ-инфраструктурой предприятия. С помощью групповой политики можно создавать управляемую ИТ-инфраструктуру информационной системы. Эти возможности позволяют снизить уровень ошибок пользователей при модификации параметров операционных систем и приложений, а также совокупную стоимость владения информационной системы, связанную с администрированием распределенных сетей.
Групповая политика позволяет создать ИТ-инфраструктуру предприятия, ориентированную на потребности пользователей, сформированных в строгом соответствии с их должностными обязанностями и уровнем квалификации.
При администрировании ИТ-инфраструктуры предприятия администраторы посредством механизма групповой политики могут производить настройку приложений, операционных систем, безопасность рабочей среды пользователей и информационных систем в целом. Для этого используются следующие возможности:
- политика на основе реестра. С помощью редактора объектов групповой политики можно задать параметры в реестре для приложений, операционной системы и её компонентов (например, администратор может удалить из главного меню значок «Моя музыка», что представлено на рис.);
- параметры безопасности. Администраторы могут указывать параметры локальной, доменной и сетевой защиты для компьютеров и пользователей в области действия GPO, используя шаблоны безопасности.
- ограничения на использование программ. Данные ограничения предназначены для защиты от вирусов, выполнения нежелательных программ и атак на компьютеры;
- распространение и установка программ. Обеспечивается возможность централизованного управления установкой, обновлением и удалением приложений;
- сценарии для компьютеров и пользователей. Данные средства позволяют автоматизировать операции, выполняемые при запуске и выключении компьютера, при входе и выходе пользователя;
- мобильные пользовательские профили и перенаправление папок. Профили хранятся на сервере и позволяют загружаться на тот компьютер, где пользователь входит в систему. Перенаправление папок позволяет размещать важные для пользователя папки на сервере;
- автономные папки. Данный механизм позволяет создавать копии сетевых папок, синхронизировать их с сетью и работать с ними при отключении сети;
- поддержка Internet Explorer. Эта возможность позволяет администраторам проводить управление конфигурацией Microsoft Internet Explorer на компьютерах с поддержкой групповой политики.
Применение механизма групповой политики для ИТ-инфраструктуры предприятия способствует снижению сложности решения задач развертывания обновлений, установки приложений, настройки профилей пользователей и, в целом, администрирования информационной системы. Применение групповой политики в информационной системе предприятия дает следующие преимущества:
- повышение эффективности использования инфраструктуры Active Directory;
- повышение гибкости выбора области администрирования для предприятий, различающихся по размеру и отраслевой принадлежности, при происходящих изменениях в бизнесе;
- наличие интегрированного средства управления групповой политикой на основе консоли GPMC;
- простота в использовании, которая обеспечивается удобным и понятным пользовательским интерфейсом консоли GPMC, что приводит к сокращению расходов на обучение и повышает эффективность труда администраторов;
- надежность и безопасность действий администраторов за счет автоматизации процесса ввода групповых политик в действие;
- централизованное управление конфигурациями на основе стандартизации пользовательских вычислительных сред.