Тема 14. Администрирование сети

Star InactiveStar InactiveStar InactiveStar InactiveStar Inactive
 
Тема 14. Администрирование сети

 

Дополнительные, не связанные с протоколами, административные задачи. Управление конфигурацией сети, отказоустойчивостью сети и устранение помех, производительностью, безопасностью, профилями пользователей.

В нашем курсе рассматривались основные сетевые технологий и сетевые протоколы. Не менее важной задачей является управление компьютерной сетью. Управление (администрирование) состоит из пяти основных направлений:

- управление конфигурацией сети (configuration management);

- устранение возникающих неисправностей (fault management);

- управление производительностью сети (performance management);

- управление безопасностью сети (security management);

- управление учетными записями пользователей (accounting management).

Управление конфигурацией сети

Управление конфигурацией сети включает в себя следующие задачи: отслеживание оборудования и программного обеспечения, управление файловыми архивами, учет сетевых услуг. В результате выполнения этих задач администратор должен владеть детальным списком существовавшей, текущей и прогнозируемой конфигурации сети. В зависимости от масштаба сети, такой список может быть довольно большим.

Список должен содержать общую и конкретную информацию. Например, в качестве общей информации могут учитываться лицензии на программное обеспечение, компьютеры и устройства в сети. А в качестве конкретной информации –версии драйверов и микропрограмм.

Содержание списка конфигурации помогает производить изменения в сети и устранять неполадки. Обычно любая сеть требует регулярной диагностики и обслуживания. Для облегчения этой задачи необходимо графом сети, где вершинами графа будут устройства, а ребрами – сетевой носитель.

Устранение возникающих неисправностей

Для выявления и устранения неисправностей в компьютерной сети используются аппаратные, программные и административные средства. Цель использования этих средств – быстрое выявление и устранение неисправного компонента (или потенциально неисправного компонента) в компьютерной сети. С помощью этих средств решаются следующие задачи:

- быстрое нахождение и устранение неисправностей (по мере возможности предупреждение неисправностей);

- установка приоритета в предупреждении и устранении неисправностей;

- своевременное решение проблем пользователей и удовлетворение их запросов.

В компьютерной сети по мере возможности рекомендуется использовать отказоустойчивые программные и аппаратные средства, которые, как правило, обладают избыточностью. Даже при возникновении неполадки, использование таких средств должно сохранить работоспособность сети.

Рассмотрим некоторые средства выявления и устранения неисправностей.

Сетевая система управления (Network management system). Это комбинация аппаратного и программного обеспечения, которая отслеживает операции компонентов сети. Обычно в состав системы входит компьютер, который должен сигнализировать о проблемах в сети, наглядно указывая на их источник на экране. Также обычно используются средства удаленного оповещения. Сетевые компоненты взаимодействуют с системой управления с помощью протоколов SNMP (Simple Network Management Protocol) и CMIP (Common Management Information Protocol).

Анализатор протокола (Protocol analyzer) – комбинация аппаратного и программного обеспечения, которая проверяет трафик в сети. Анализатор помогает разрешить сложные проблемы в сети, поскольку он может анализировать используемые протоколы в каждом соединении.

Тестер кабеля (Cable tester) – аппаратное устройство, позволяющее находить неисправности кабеля. В зависимости от вида носителя, кабельный тестер позволяет находить неисправный сегмент и указывает место его повреждения.

Системы со встроенной избыточностью (Redundant systems) используют несколько одинаковых частей программного и аппаратного обеспечения, выполняющих одни и те же функции. Например, можно использовать два сервера, осуществляющих дублирование (mirroring) своих файлов. Если один сервер сломается, пользователи станут пользоваться вторым сервером. Администратор далее будет восстанавливать сервер без всякого ущерба работоспособности сети.

Стандартным методом реализации избыточности при хранении файлов является использование RAID (Redundant Array of Inexpensive Drives) – избыточного массива недорогих дисков. RAID позволяет использовать два или больше физических дисков для создания виртуальной дисковой структуры. Эта структура позволяет хранить избыточную файловую информацию. Существует несколько уровней RAID, которые позволяют гибко определять уровень защиты информации. {RAID распределяет данные по дискам на уровне битов, байтов и блоков.} В RAID используется термин «data stripping» (чередование данных) указывает на последовательное чередование дисков при записи данных, группа таких дисков называется «stripe set». Рисунок (1 и 2 блок – 1 диск, 3 и 4 блок – 2 диск, 5 и 6 – 3 диск, 7 и 8 – 4 диск).

Очень важно грамотно выбирать уровень RAID в зависимости от требований сохранности информации. Мы будем рассматривать шесть уровней RAID: 0,1,2,3,4 и 5.

RAID 0. Disk striping without parity. Использует чередование дисков без контроля четности. На данном уровне данные блок за блоком распределяются по всем дискам. При использовании нескольких дисковых контроллеров, такой метод увеличивает скорость доступа к файлу. RAID 0 не обеспечивает избыточности, потеря одного диска приводит к частичной потере информации.

RAID 1. Disk mirroring and duplexing. Использует парное зеркалирование дисков (disk mirroring). Используются два диска на одном контроллере, каждый байт записанный на один диск, дублируется на втором диске. При потере одного диска, данные будут восстановлены со второго. Дублирование дисков (disk duplexing) использует свой контроллер для каждого диска. Такой метод может защитить от сбоев не только диска, но и контроллера. RAID 1 обеспечивает избыточность но является достаточно дорогим методом, так как можно использовать лишь 50% емкости дисков.

RAID 2. Disk striping with ECC. В RAID 2 применяется чередование дисков с записью кода коррекции ошибок. Блоки данных распределяются минимум на три диска, привязанные к одному контроллеру. Одновременно генерируется код коррекции ошибок (ECC, error correction code), который записывается на отдельный диск. Для кода коррекции ошибок требуется больше дискового пространства, чем для метода с контролем четности, поэтому RAID 2 используется редко.

RAID 3. Disk ECC stored as parity. Использует код коррекции ошибок хранимый как контроль четности. RAID 3 похож на RAID 2 за исключением того, что код коррекции ошибок заменен схемой контроля четности. Информация о четности занимает меньший объем по сравнению с ECC. Только один диск используется для хранения данных четности. При потере одного диска, данные будут восстановлены с помощью четности.

RAID 4. Disk striping with large blocks. RAID 4 определяет метод записи целых блоков данных на каждый диск вместо того, чтобы чередовать блоки данных по всем дискам. Используется контроль четности, информация четности записывается на один диск. Каждый раз при записи данных четность должна быть вычислена и записана на диск четности. Такая система хорошо работает с большими фрагментами файлов. Но она все же является неэффективной, так как четность должна записываться одновременно с записью данных (диски находятся на одном контроллере). Windows NT не поддерживает RAID 2,3,4 хотя они могут реализовываться аппаратно.

RAID 5. Disk striping with parity. RAID 5 записывает данные и информацию четности на все диски в наборе с чередованием, гарантируя, что информация четности, связанная с этими данными, находится на отдельном диске. Если выходит из строя отдельный диск, информация четности (вместе с данными, имеющимися на других дисках) может динамически заменить потерянные данные. Однако при повреждении двух дисков, данные будут потеряны. RAID 5 более эффективен чем RAID 2,3,4 и поддерживается Windows NT. Объем информации четности может быть подсчитан по следующей формуле: единица, деленная на количество физических дисков в системе и умноженная на общий объем дисков в системе. Например, если используется 4 диска по 3 Гбайт, общих их объем составит 12 Гбайт, информация четности займет 3 Гб. Если используется шесть дисков по 2 Гбайт, общий их объем составит 12 Гбайт, информация четности займет 2 Гбайт. Все диски должны быть одного размера. Чем больше дисков в системе RAID 5, тем больше можно хранить полезной информации, тем меньше объем информации контроля четности. (рисунок)

Sector sparing (обеспечение запасных секторов) – технология защиты от сбоев, при которой оборудование или операционная система проверяют целостность дисков до выполнения операции записи. Если во время записи обнаруживается плохой сектор, он помечается неиспользуемым, а данные записываются в хороший сектор. Эта технология работает только на дисках SCSI, за исключением случаев когда файловая система поддерживает обеспечение запасных секторов (например, NTFS).

Рассмотрим таблицу требований к оборудованию для организации устойчиво к сбоям системы на базе Windows NT

Уровень RAID Min кол-во дисков Max кол-во дисков Кол-во контроллеров

1 2 2 1

1 2 2 2

5 3 32 1 или больше

0 2 32 1 или больше

Средства архивирования и резервирования данных (Data archiving and backup devices). Хотя эти средства и не предотвращают неисправностей, они позволяют существенно уменьшить ущерб от аварии. При проведении регулярной процедуры резервирования, возможно быстрое восстановление данных после повреждения жесткого диска, деструктивных действий вируса и других ошибок.

Возможно простое копирование файлов на другой диск. Но обычно операционные системы реализуют специальные команды резервирования, облегчающие эту задачу. Например, файл может маркироваться датой и временем его резервирования.

Microsoft выделяет следующие типы резервирования.

Полное резервирование – копирование всех указанных файлов.

Резервирование с приращением (incremental backup) – будут скопированы только те файлы, которые изменились со времени последнего резервирования.

Дифференциальное резервирование (differential backup) – будут скопированы только те файлы, которые изменились со времени последнего копирования. При этом на файл не будет ставиться отметка о текущем резервировании. При проведении последующего дифференциального резервирования или резервирования с приращением, файл будет снова скопирован.

Под резервированием понимается реализация одного из перечисленных методов через некоторые промежутки времени. Обычно производится ежедневное резервирование с приращением и ежемесячное полное резервирование.

Важно хранить список скопированных файлов (log). Обычно программы резервирования сами составляют этот список. Microsoft рекомендует хранить две копии списка: одну - на сервере, другую - вместе с резервными копиями.

Как правило, для резервирования используются накопители на магнитной ленте. Важным моментом резервирования является выбор места хранения магнитных лент. Некоторые компании копируют резервные ленты и вторую копию хранят в другом здании.

Перед использованием системы резервирования необходимо тщательно ее протестировать. Для этого следует произвести тестовое резервирование, восстановить данные с полученных резервных копий и сравнить данные.

Для резервирования, накопитель на магнитных лентах можно подсоединить непосредственно к серверу или использовать сеть для резервирования данных сразу с нескольких серверов. Сетевое резервирование очень удобно для администратора, но оно создает ощутимый сетевой трафик. Его можно уменьшить, если для резервирования выделить отдельные сегменты кабеля и соединить эти сегменты со вторыми сетевыми картами на серверах.

Источники бесперебойного питания (Uninterruptible Power Supply, UPS) – устройства, состоящие из нескольких аккумуляторов и иногда генераторов, способные некоторое время осуществлять электропитание компьютеров при возникающих неполадках в электрической сети. UPS крайне рекомендуется использовать вместе с сетевыми серверами для предотвращения сбоев. При возникновении неисправности, UPS предупредит пользователей сети для того чтобы они смогли завершить сеанс работы. Через некоторое время UPS осуществит завершение работы сервера.

Кроме того, существует большое количество интеллектуальных средств, выявляющих неисправность и предлагающих варианты ее устранения.

Управление производительностью сети

Управление производительностью сети заключается в периодическом отслеживании различных характеристик, поиск «узких мест» (bottlenecks), просчитывание возможного развития событий и выработку рекомендаций по дальнейшему улучшению сети.

Характеристики производительности сети

В сетях на основе Windows NT обычно отслеживаются следующие характеристики.

Количество байт, полученных с сервера и записанных на него позволяет получать информацию о загрузке сервера. Дополнительно можно контролировать количество отказов сервера на запись или чтение информации.

Количество команд в очереди на исполнение также является показателем загрузки сервера. Это число не должно быть большим.

Количество коллизий в секунду (в сетях Ethernet). Высокий уровень коллизий в сетях Ethernet не является хорошим показателем, т.к. при коллизии узлы прекращают работу в сети на случайный промежуток времени. Коллизии и загрузка сети не имеют прямого отношения друг к другу пока загрузка не приближается к пику 56-60%, тогда число коллизий чрезвычайно увеличивается и полностью «замораживает» трафик в сети. Высокий уровень коллизий в секунду обычно указывает на физические дефекты в сети. Например, если сегмент слишком длинный, то устройство при прослушивании кабеля (метод CSMA/CD) может не услышать передачу другого устройства и начать работу с сетью, вызвав коллизию.

Количество ошибок системы безопасности. Высокий уровень неудачных входов в сеть, неудачных доступов к объектам и неудачных изменений настроек безопасности могут указывать на попытки взлома сети. В таком случает рекомендуется поставить аудит на объекты, вызвавшие ошибки, чтобы понять причину проблемы. (Понятие аудита будет рассмотрено в рамках администрирования учетных записей пользователей). Также можно применить анализатор протоколов, чтобы выявить место, откуда исходят ошибки – если например, хакер атакует сеть.

Сеансы соединений с сервером. Особое внимание следует уделить этапу завершения сеансов. Если сеанс завершается в результате ошибки или из-за истечения периода ожидания сервера (time-out), то возможно сервер перегружен и отказывает в соединении, либо не может их быстро обслуживать. Возможно, следует добавить оперативную память на сервере или заменить некоторое оборудование.

Существуют несколько сотен других характеристик, администратор должен сам решать какие из них необходимо отслеживать.

Инструменты отслеживания характеристик производительности сети

Для отслеживания характеристик в Windows NT используются следующие инструменты.

Event viewer является частью основного набора административных инструментов Windows NT. Event Viewer поддерживает три регистрационных списка: один для регистрации событий системы безопасности (security log), второй для системной информации (system log) и третий для сообщений приложений (application log). В рамках производительности сети наиболее интересны первые два списка.

Список событий системы безопасности записывает сообщения на основе фильтров, устанавливаемых в User Manager for Domains (другом административном инструменте). Также при назначении аудита, события аудита записываются в список системы безопасности. С помощью этого списка удобно отслеживать неудачные попытки регистрации в сети и доступа к данным. Список системной информации записывает события, регистрируемые системными компонентами Windows NT и предоставляет наиболее полезную информацию о функционировании сети и исправности оборудования. Например, если вы установили сетевую карту, а она не работает, можно проверить System log чтобы выяснить, не было ли конфликта прерываний. В этот же список заносится время запуска и остановки служб.

Performance monitor. В отличие от event viewer, который регистрирует отдельные события, Performance monitor лучше подходит для записи и отслеживания тенденций изменения параметров системы. Можно установить достаточно большое количество характеристик, которые будет отслеживать Performance Monitor. В зависимости от значения выбранной характеристики, Performance Monitor может посылать предупреждения администратору сети и запускать другую программу, которая вернет систему в приемлемое состояние. Performance Monitor при работе потребляет ресурсы компьютера, поэтому можно осуществлять слежение за сервером удаленно, с другой машины под управлением Windows NT.

Performance monitor и Event viewer в состоянии подготовить данные для хранения долгосрочных записей о производительности и событий в сети. Важно сохранять для длительного хранения только необходимые данные, чтобы потом в них не запутаться.

Network monitor. В отличие от Event Viewer и Performance monitor, программа Network monitor не устанавливается автоматически в процессе установки Windows NT. В дальнейшем ее можно добавить как сетевую службу. Программа Network monitor является весьма мощным программным анализатором протоколов. Она отслеживает поток сетевых данных, записывает адреса отправителя и получателя, заголовки и данные для каждого пакета. Network monitor может захватывать пакеты пока не заполнит объем, равный свободной оперативной памяти минус 8 мегабайт для других программ. Соответственно рекомендуется использовать какой-либо фильтр при перехвате пакетов. Можно фильтровать пакеты основываясь на используемых в них транспортных протоколах, адресам отправителя и получателя, по шаблону данных, искать конкретные шестнадцатеричные или ASCII потоки в данных пакетов. Из соображений безопасности, Network Monitor обнаруживает другие установленные экземпляры агентов Network Monitor в сети, показывая имя компьютера, на которых они запущены, имя пользователя, вид работы Network Monitor в данный момент, адрес адаптера и номер версии. Если между двумя Network Monitor имеется маршрутизатор, не поддерживающий групповую адресацию (multicasting), то они могут не видеть друг друга. Но если вы видите другой Network Monitor, то они видит и вас.

Общесистемное управление

Как ни парадоксально это звучит, на производительность сети влияет не только сеть, но и другое оборудование. Кроме отслеживания работы самой сети, следует большое внимание уделять жестким дискам и оперативной памяти на серверах.

Жесткий диск. Из трех перечисленных выше инструментов, для отслеживания характеристик жесткого диска наиболее полезен Performance Monitor. Обычно отслеживаются следующие характеристики: оставшееся дисковое пространство, скорость обработки запросов (это и средняя пропускная способность, и количество переданных данных), частота занятости диска (как частота его работы, так и среднее количество запросов в очереди диска). При мониторинге необходимо обратить внимание, какой диск отслеживается: физический или логический. Также не все счетчики будут доходить до 100%, так как считывание с многих логических дисков может давать суму свыше 100% для всего физического диска. Иногда требуется использовать средний результат. (Внимание: перед использованием счетчиков дисков следует исполнить команду diskperf).

Оперативная память. Оперативная память сервера требуется для обслуживания входящих запросов. Windows NT спроектирована так, чтобы сбрасывать из памяти на диск (в swap file) не используемые в данный момент данные. Если серверу приходится сбрасывать на диск слишком много данных, имеет смысл установить дополнительную память. Существует два типа ошибок обращения к странице. Программные ошибки происходят, когда данные удалены из рабочего множества (working set) программы и перемещены в другую область физической памяти. Операция по возвращению данных в рабочее множество является очень быстро. Аппаратные ошибки обращения к странице происходят когда данные убраны после того, как долго оставались неиспользованными, или когда имеется такая недостача физической памяти, что данные программ фактически хранятся на диске. Считывание данных с диска занимает на порядок больше времени, чем считывание из памяти. Таким образом, важно измерять частоту появления ошибок обращения к странице памяти.

Управление безопасностью сети

Управление безопасностью сети направлено на защиту данных и оборудования в сети. Оно включает в себя аппаратные, программные и административные средства для уменьшения опасности изнутри или снаружи организации. Можно привести некоторые примеры опасностей:

- несанкционированный внутренний или внешний доступ к документам организации;

- воровство или уничтожение данных;

- воровство, несанкционированное использование или повреждение компьютеров и сетевых устройств.

Управление безопасностью сети решает следующие задачи:

- определение возможных опасностей и их последствий;

- разработка и внедрение политики защиты компьютерной сети;

- администрирование учетных записей пользователей;

- использование различных средств для слежения за деятельностью пользователей и оповещения о сомнительных действиях пользователей.

Для реализации политики защиты необходимо идентифицировать пользователей и ресурсы сети с помощью различных схем сетевого наименования.

Схемы сетевого наименования

Каждому компьютеру в сети должно быть присвоено имя, чтобы он мог взаимодействовать с другими компьютерами в сети. Кроме того, имена нужны пользователям сети для работы с разделенными (shared) ресурсами. Сетевые имена могут быть разделены на следующие категории: учетные записи, компьютеры, ресурсы.

Учетные записи

Учетная запись представляет собой объединение всей информации, относящейся к пользователю или группе пользователей в сети. Обычно она состоит из имени пользователя, пароля, прав пользователя и сведений об участии в группах. Учетные записи создаются администратором. Пользователь не должен предоставлять другим пользователям свой пароль.

Имена компьютеров

Каждый компьютер в сети может иметь много имен в зависимости от того, какой процесс, протокол или устройство взаимодействует с ним в данный момент. Поскольку не все части сети используют одинаковые схемы наименования, необходима система, преобразующая (разрешающая) одни типы имен и адресов в другие. Существует несколько стандартов разрешения имен.

Компьютерные имена NetBIOS

Каждый компьютер в сети Microsoft использует компьютерное имя, длиной до 15 символов (также его называют именем NetBIOS). Эти имена относят к прикладному уровню OSI. Сети, использующие стек TCP/IP должны разрешить имя компьютера в адрес IP, прежде чем сможет произойти сетевое взаимодействие. Windows Internet Name Service (WINS) или Domain Name Service (DNS) могут быть использованы для разрешения компьютерных имен в адреса.

Windows Internet Name Service

WINS – служба, разрешающая компьютерные имена NetBIOS в адреса IP. Эта служба запускается на сервере Windows NT в сети и динамически разрешает имена так, чтобы компьютеры могли взаимодействовать друг с другом. WINS – это служба типа клиент-сервер, клиент регистрирует свое компьютерное имя на сервере WINS в процессе загрузки. Когда клиенту WINS нужно обнаружить компьютер в сети, он может запросить сервер WINS.

Domain Name Service

Служба DNS похожа на WINS в том что она также разрешает компьютерные имена в адреса IP. В DNS эти имена называются именами хостов (host names) или fully qualified domain names (FQDN – полное имя узла). Если компьютерные имена NetBIOS состоят из одной части, то стек TCP/IP опирается на соглашение по наименованию, известное как Domain Name System. FQDN представляет собой иерархическое имя, использующее формат hostname.domainname, например microsoft.com. Windows NT может сочетать компьютерное имя NetBIOS с именем домена DNS для формирования FQDN. В Windows NT 4.0 DNS представляет собой статическую службу, то есть необходимо вручную ввести имена и адреса IP прежде чем сервер DNS сможет их разрешить. Сервер DNS может также запрашивать другие серверы DNS, чтобы получить частичное разрешение для имени компьютера. Например, один сервер может разрешить часть имени kirov.ru, другой – разрешить часть vspu.

В дополнение к WINS и DNS, для разрешения имен в адреса IP могут быть использованы файлы LMHOSTS и HOSTS.

Файлы LMHOSTS и HOSTS

Эти файлы хранятся обычно на клиентском компьютеры. Они должны быть вручную созданы или изменены и помещены в соответствующий каталог (в Windows95 – каталог Windows, в Windows NT - %systemroot%\System32\Drivers\etc). Файл LMHOSTS обычно отвечает за разрешение имен NetBIOS в адреса IP. Файл HOSTS – разрешает имена хостов и имена FQDN в адреса IP.

Имена ресурсов

Каждый ресурс можно идентифицировать по имени. Например, «Принтер, установленный в 411 кабинете». Лучше назначать имена, по которым пользователи легко могут понять, к какому объекту они получают доступ. Обычно именованными ресурсами бывают принтеры, диски и каталоги.

Разработка и внедрение политики защиты компьютерной сети

Планирование политики защиты имеет большое значение в области безопасности. Любую опасность гораздо дешевле предотвратить, чем потом исправлять ее последствия. Разработка политики защиты состоит из трех этапов.

- Выяснение потребности компании.

- Разработка политики защиты (безопасности), соответствующей этим потребностям.

- Реализация политики защиты.

Выяснение потребностей компании

Каждая организация имеет свои отличия от любой другой организации в мире. Она имеет свой уникальный персонал, стиль и идеологию управления. Политика безопасности должна соответствовать стилю организации. Идеи администратора должны поддерживаться руководством компании. Например, требование наличия бездисковых станций в дисплейном классе может не совпадать с мнением руководства организации.

Необходимо ознакомиться со схемой организации фирмы или других сходных по деятельности фирм. Желательно ответить на следующие вопросы: Хотите ли вы быть подключены к Интернету? Хотите ли вы иметь это подключение в будущем? Являются ли ваши данные настолько чувствительными, что должны оставаться абсолютно закрытыми? Хотите ли вы иметь возможность удаленно администрировать свой узел?

Совместно с руководством компании нужно решить, насколько тщательной и всеобъемлющей должна быть защита сети. После этого необходимо сделать вашу систему как можно более легкой в использовании, но без нарушения исходных целей в области безопасности.

Разработка и реализация политики защиты

Администратор отвечает за политику безопасности своей организации (security policy). Она состоит из набора правил и предписаний, определяющих все моменты безопасности в организации. Желательно в точности описать последовательность внедрения защиты, чтобы помощник администратора смог разобраться с политикой защиты при необходимости.

Многие пользователи считают, что правила безопасности являются препятствиями для выполнения ими работы и пытаются обойти эти правила. Не отбрасывайте их идеи немедленно, всегда анализируйте и взвешивайте преимущества удобной работы пользователя и пользу от введения дополнительной защиты. Таким образом администратор может решить, изменить политику или оставить все как есть. Следует объяснить пользователям, почему система была изменена или не была изменена и поблагодарите за предложения.

Нельзя забывать, что пользователи могут случайно и неумышленно повредить данные или саму сеть. Политика безопасности должна позволить пользователям легко и эффективно выполнить их работу, не позволяя им вызвать какие-либо повреждения.

Реализация политики физической защиты

Электронная защита информации может быть очень хорошо организована, но нельзя забывать, что злоумышленник может вынести компьютер за пределы здания. Администратор отвечает за все аспекты безопасности сети, включая ее физическую защиту.

В одноранговых сетях каждый пользователь отвечает за безопасность своего компьютера. Политика безопасности может быть простой: пользователи должны каждый вечер выключать свои компьютеры и запирать двери кабинетов. Некоторые пользователи могут оставлять свои компьютеры на ночь, чтобы получать файлы из дома – администратор должен решить, позволено ли это с точки зрения политики безопасности. Необходимо соблюдать баланс между потребностями пользователей и требованиями безопасности сети.

В сети на основе сервера, каждому пользователю предоставлены конкретные права, основанные на его потребностях и роли в организации. Пользователи такой сети также должны взять на себя часть ответственности за обеспечение защиты своих рабочих станций.

Защита сервера. Администратор должен предотвратить несанкционированный доступ как извне, так и изнутри сети. Хорошо подготовившийся пользователь может вызвать невосстановимую потерю данных, получив доступ к серверному шкафу. Необходимо ограничить физический доступ к серверам, а также число пользователей и групп, имеющих право локальной регистрации на сервере.

Защита маршрутизаторов. Доступ к маршрутизаторам также должен быть ограничен. Пользователь может решить что сеть работает странно, и выключить и включить маршрутизатор, пытаясь решить проблему. Получив доступ к маршрутизатору, пользователь может изменить таблицы маршрутизации, а в крупной сети – добавить свой сегмент, таким образом сделав первый шаг в крупном нарушении безопасности компьютерной сети.

Защита кабелей. Если передаваемые данные имеют крайне важное значение, может потребоваться ограничение количества излучаемых электронных сигналов. Существует возможность, что кто-то подключится к медному кабелю и похитит данные. В середине 70-х г. в США была разработана беспроводная технология, позволявшая прослушивать ЭМ сигнал исходивший от компьютеров и кабелей. В таких случаях необходимо использовать оптоволоконный кабель, не излучающий электрических сигналов. К такому кабелю значительно сложнее подключиться. Также желательно использовать структуру зданий для защиты кабелей, например прокладывать их внутри стен.

Модели безопасности

Существует две модели безопасности учетных записей: защита на уровне ресурсов (share-level security) и защита на уровне пользователей (user-level security).

Защита на уровне ресурсов

Защита на уровне ресурсов представляет собой такую технику защиты, при которой каждый владелец ресурса предоставляет ресурс в совместное пользование под своим контролем и создает пароль для управления доступом к этому ресурсу. Например, пользователь предоставляет цветной принтер для использования в сети. Он может защитить его использования, установив пароль на печать. Знающие пароль пользователи смогут получить доступ к принтеру. Примерами ОС, использующих защиту на уровне ресурсов, являются Windows 3.11 и Windows 95. Они разрешают три вида доступа к ресурсу: только для чтения (read-only), полный доступ (full) и в зависимости от пароля (depends on password).

Доступ только для чтения позволяет пользователю только просматривать файлы в разделяемом каталоге. Они не могут изменять, удалять или добавлять файлы в каталог, но могут их печатать и копировать на свои компьютеры.

Полный доступ позволяет создавать, читать, записывать, удалять и изменять файлы в разделяемом каталоге.

Доступ в зависимости от пароля позволяет предоставлять пользователям права на чтение или на полный доступ в зависимости от введенного пароля. Соответственно, необходимо определить два пароля на ресурс: один на чтение, другой на полный доступ.

Защита на уровне пользователей

При использовании этой модели, каждому пользователю присвоено уникальное имя и пароль. Когда пользователь пытается войти в сеть, ему предлагается ввести свое имя пользователя и пароль, которые сравниваются с базой данных защиты на удаленном сервере. Такой процесс называется идентификацией (authentication). Если имя и пароль верны, сервер регистрирует пользователя в сети. Права и привилегии присваиваются на основе идентификатора пользователя (User ID) и групп, к которым он принадлежит.

В Windows NT эта техника используется для присвоения разрешений. Администратор ограничивает уровень доступа пользователей к ресурсам сети. Существуют следующие типы разрешений:

Read (чтение). Аналогично разрешению read-only в Windows 3.11 или Windows 95, позволяет пользователям просматривать файлы в каталоге с совместным доступом. Они не могут изменять, удалять или добавлять файлы, но могут печатать и копировать файлы на свои компьютеры.

Execute (исполнение). Разрешает пользователям запускать файлы в каталоге с совместным доступом.

Write (запись). Разрешение Write позволяет читать, записывать и изменять файлы в разделенном каталог. Пользователи не могут запускать или удалять файлы.

Delete (удаление). Дает пользователям право удалять файлы из каталога с совместным доступом.

Full control (полный доступ). Позволяет читать, исполнять, создавать, записывать, изменять и удалять файлы в разделенном каталоге.

No access (нет доступа). Пользователи лишены прав получать доступ к каталогу. В сочетании с другими разрешениями No access имеет преимущество. Это означает, что если пользователь имеет к конкретному каталогу доступ Full control и No access, он не получит доступа.

Управление учетными записями

Для отслеживания пользователей и их разрешений, администратор логически делит пользователей и ресурсы на управляемые группы и присваивает разрешения каждой из групп.

Например, организация, состоящая из управления, технического подразделения, отдела маркетинга, бухгалтерии и отдела кадров, легко может быть сгруппировано согласно специализации каждого из отделов. В этом примере администратор может создать группы: Управление, Инженеры, Маркетинг, Бухгалтерия и Кадры. Далее администратор помещает каждого пользователя в соответствующую группу.

Так как каждой группе потребуется доступ к различным ресурсам, администратор мог бы создать группы с разрешениями на доступ к следующим устройствам: высокоскоростной принтер, цветной принтер, принтер, принтер для САПР, круглосуточный принтер, принтер бухгалтерии. Соответственно для этого создаются следующие группы учетных записей: группа высокоскоростной принтер, включающая в себя группы управление и маркетинг, группа цветной принтер с группой маркетинг, группа основной принтер – бухгалтерия, инженеры и кадры, принтер САПР – инженеры, круглосуточный принтер – группа Everyone, принтер бухгалтерии – бухгалтерия.

Дополнительные средства защиты

Существует еще несколько приемов, позволяющих повысить безопасность компьютерной сети. Это аудит (auditing), использование бездисковых рабочих станций (diskless workstation), шифрование (encryption) и защита от вирусов (virus protection).

Аудит (auditing) – это способ отслеживания событий и действий пользователей. Аудит формирует список событий (audit log), в котором хранится информация кто, когда и что делал в сети. Например, большое количество неудачных попыток регистрации за очень короткий период времени может указывать на то, что кто-то пытается получить доступ к сети. Другие функции аудита обеспечивают основу для принятия будущих решений, например, где разместить сетевые ресурсы и какие ресурсы могут понадобиться в будущем. Windows NT имеет мощные средства аудита и позволяет аудит удачного и неудачного выполнения следующих событий

Вход в сеть (logon) и выход из сети (logoff). Пользователь вошел в сеть или вышел из нее, создал или оборвал сетевое соединение с сервером.

Доступ к файлам и объектам (file and object access). Пользователь получил доступ к каталогу, файлу или принтеру, который настроен на проведение аудита (файлы и каталоги – только в NTFS). Должен быть выбран аудит этого события или файловых ресурсов или ресурсов печати.

Использование прав пользователя (Use of user rights). Пользователь использовал свое право (за исключением входа в сеть и выхода из нее).

Управление группами и пользователями (User and group management). Учетная запись пользователя или группы было создана, изменена или удалена. Или учетная запись пользователя была переименована, заблокирована или разблокирована, или пароль был установлен или изменен.

Изменение политики защиты (Security policy changes). Было произведено изменение прав пользователя, политики аудита или доверительных отношений.

Перезапуск (restart), выключение (shutdown) и системные события (system). Пользователь перезагрузил или выключил компьютер, или произошло событие, влияющее на безопасность системы.

Отслеживание процессов (process tracking). Отслеживание детальной информации о различных событиях, например активизации программ, появление повторяющихся дескрипторов, косвенный доступ к объектам и завершение процесса.

Не нужно забывать, что перед отслеживанием файлов, каталогов и принтеров необходимо не только указать свойства аудита на каждом из этих объектов, но и включить аудит file and object access используя User manager for domains.

Бездисковые рабочие станции (diskless workstations) могут быть использованы в условиях повышенной безопасности, где искажение данных недопустимо. С появлением ОС, основанных на Java, бездисковые рабочие станции (сетевые компьютеры) были переработаны и нацелены на привлечение более широкой аудитории. Эти компьютеры могут только запускать приложения, загруженные с сервера, они могут уменьшить эксплуатационные расходы, связанные с обновлением и установкой приложений. До сих пор неясно, смогут ли сетевые компьютеры заменить стандартные PC.

Бездисковые компьютеры имеют загрузочную микросхему ПЗУ, которая позволяет клиенту инициировать сеанс работы с сервером. При запуске бездисковый компьютер запускает по сети широковещательное сообщение с физическим адресом своего оборудования. Сервер RARP (Reverse Address Resolution Protocol – протокол обратного разрешения адресов) выполняет обратный поиск присвоенного клиенту сетевого адреса и посылает загрузочную информацию прямо клиенту. Сервер поручает клиенту идентифицировать пользователя. После того, как пользователь будет правильно идентифицирован, сервер позволит клиенту войти в сеть.

Бездисковые компьютеры являются надежным вложением для высокозащищенных сред. Поскольку у таких компьютеров нет ни гибких, ни жестких дисков, пользователи не могут получить данные и уйти вместе с ними. Однако они бесполезны, если сетевой сервер недоступен.

Шифрование (encryption) – процесс приведения данных к некоторому виду, который могу понимать только отправитель и получатель. Шифрование данных перед их передачей на сетевую карту является наиболее безопасным способом посылки данных.

Существует также оборудование, которое зашифровывает и расшифровывает данные по мере того, как они попадают в компьютер или покидают его.

Защита от вирусов. Большинство вирусов не наносят компьютеру серьезно вреда, но некоторые из них могут вызвать потерю данных. Существует несколько классификаций вредоносных программ, рассмотрим одну из них. Вредоносные программы разделяют на следующие категории.

Вирусы (Viruses) – компьютерные программы, производящие копии самих себя и прицепляющиеся к исполняемому файлу. Прикрепление к файлу данных бессмысленно, так как процессор не исполняет данные.

Черви (worms) – они производят копии самих себя, но не прикрепляются к другим программам.

Троянские кони (Trojan horses). Поступают на компьютеры замаскированные под другие программы. Можно привести в качестве примера Back Orifice, который при запуске устанавливал на компьютер программу удаленного управления, воровал пароли доступа в Интернет и производил другие действия.

Макровирусы (Macro viruses) – используют макроязыки и заражают файлы данных. Хотя сами данные не выполняются, макрокод, связанный с ними, может запуститься на выполнение. Некоторые вирусы могут самостоятельно распространяться по электронной почте. При запуске такого вируса, он отправляется всем людям, занесенным в адресную книгу «жертвы». Примером такого вируса является «Мелисса».

Программы защиты от вирусов не могут предотвратить появление вирусов. Они могут предотвратить активизацию вируса, исправить повреждения, нанесенные вирусом, и удалить вирусы системы. Механизм защиты от вирусов состоит из трех задач.

Предотвращение попадания вирусов в сеть. Необходимо ограничить круг программ, которые можно запускать пользователям. Администратор должен выработать стратегию, при которой все поступающие в организацию диски и вложения электронной почты должны проверяться на вирусы. На сервере электронной почты необходимо установить специальную антивирусную программу, которая будет проверять все входящие сообщения.

Регулярная проверка компьютеров в сети на наличие любых вирусов. Необходимо регулярно (желательно по расписанию) запускать антивирусную программу, которая сможет обнаружить и обезвредить вирусы.

Действия при обнаружении вируса. Администратор должен инструктировать пользователей по действиям в случае обнаружения вирусов. Пользователи должны сообщить сотрудникам информационного подразделения, очистить от вирусов свои жесткие и гибкие диски, информировать всех своих партнеров, которые могли бы получить зараженный диск или сообщение электронной почты.

Необходимо помнить, что вирус, запущенный пользователем, получает права этого пользователя и может повредить все файлы, к которым имеет доступ пользователь.

Управление учетными записями пользователей

Одна из главных задач администрирования состоит в том, чтобы пользователи могли получить доступ к тому, что им нужно, но не могли получить доступ к тому, что им не нужно. Эта простая задача не всегда легко реализуется. Важнейшим инструментом ее решения в Windows NT является User manager for domains.

Существует три главные задачи управления учетными записями пользователей.

Пользователи должны иметь только те права, в которых они нуждаются.

Их учетные записи должны быть защищены.

Администратор должен знать действия пользователей внутри установленных пределов.

Создание учетных записей пользователей

Первым шагом в управлении учетными записями является создание учетной записи компьютера Windows NT Server, который устанавливается с двумя предопределенными учетными записями пользователей: Administrator и Guest. Учетная запись Administrator служит для управления сетью и имеет слишком большие права для обычного пользователя. Учетная запись Guest используется лицами, не имеющими своих учетных записей. Она является полезной в случает если более чем один человек знает ее пароль, что делает ее небезопасной. Перед созданием учетной записи пользователя необходимо ответить на следующие вопросы.

Пароли (passwords). Должны ли пользователи иметь возможность смены пароля? Как часто пароль должен меняться? Сколько букв должно быть в пароле? Могут ли пользователи повторно использовать тот же самый пароль? Должны ли неудачные попытки регистрации приводить к блокировке учетной записи?

Часы входа (logon hours). Должен ли быть запрещен вход пользователей в определенные часы дня или в определенные дни?

Аудит (auditing). Должны ли отслеживаться действия пользователей (регистрация, выход из сети, доступ к объектам и изменения политики)? До какой степени?

Пароли

Из соображений безопасности пользователи должны регулярно менять свои пароли. Однако, с другой стороны, смена не должна быть частой, чтобы пользователи забывали свои пароли.

Если пользователь потеряет свой пароль, необходимо с помощью User manager for domains присвоить новый пароль и изменить настройки так, чтобы пользователь изменил пароль при последующем входе в систему.

Если пароли в организации регулярно изменяются, необходимо запретить ввод использовавшегося ранее пароля. Windows NT может запоминать определенное количество старых паролей и не разрешать их повторное использование. Рекомендуется в пароле использовать буквы разных регистров, числа и знаки пунктуации, чтобы исключить подбор по словарю. Но при использовании чересчур сложных паролей пользователи начинают их записывать на бумаге и прикреплять к мониторам.

Очень полезна блокировка учетной записи пользователя после нескольких попыток неудачной регистрации. Это не позволяет подбирать пароль. Необходимо помнить, что пароль Администратора заблокировать нельзя.

Теоретически Windows NT может использовать пароли до 128 символов, но окна диалога не позволяют ввести больше 14 символов. Чем больше символов в пароле, тем сложнее его подобрать. Рекомендуется указывать минимальное число символов в пароле равное 8.

Часы входа

В некоторых компаниях нежелательно ограничивать время входа пользователей. Но в жестко управляемом офисе данная мера может быть гарантией того, что самозванец не может использовать учетную запись и войти в сеть в нерабочее время. Например, уборщица, даже узнав пароль учетной записи, не сможет вечером ей воспользоваться.

В Windows NT можно ограничить часы регистрации каждого пользователя днями недели, часами дня или тем и другим. Если пользователи работают под Windows NT, то при наступлении запрещенного времени сеанс работы пользователя будет завершен и пользователь не сможет войти в сеть. В других операционных системах, например Windows 95, сеанс работы с пользователем не будет завершен, но при отключении пользователь не сможет вновь зарегистрироваться в сети.

Аудит

Еще один способ отслеживания событий в сети заключается в отслеживании определенных событий. Количество отслеживаемых событий зависит от того, какое количество информации можно хранить и обрабатывать. Часто достаточно записывать неудачные попытки входа, чтобы знать, каким людям не удалось войти в сеть.

Настройка прав пользователей

Администратор должен решить, какие права устанавливать пользователям. Как Windows NT Server так и Windows NT Workstation устанавливаются с предопределенными группами, в которые можно назначать пользователей и таким образом предоставлять права группы без необходимости выбирать их вручную. Ниже представлен список встроенных групп Windows NT Server.

Группа Права

Administrators Полный контроль над компьютером и доменом

Account Operators Могут администрировать локальные учетные записи пользователей и групп в локальном домене

Backup Operators Могут осуществлять резервное копирование и восстанавливать файлы, к которым они обычно не имеют доступа

Guests Разрешенный гостям доступ к ресурса домена

Print Operators Могут добавлять, удалять и управлять принтерами домена

Server Operators Могут администрировать серверы домена

Сюда на вошла группа Replicator, так как это не группа пользователей. Она используется для службы Replicator, позволяющей динамически реплицировать указанные папки по сети.

В дополнение к локальным группам, на сервере домена существует несколько глобальных групп (различие между локальными и глобальными группами будет дано позднее): Domain Administrators, Domain Users и Domain Guests.

Использование предопределенных групп облегчает присвоение прав новым учетным записям пользователям, но ни в коей мере не уменьшает гибкость системы. Кроме прав группы, каждому пользователю можно предоставить индивидуальные права. Например, Васе Иванову можно предоставить право управлять принтерами, хотя он и входит в группу Users. Также можно поместить пользователя сразу в несколько групп. Права пользователя будут совокупными. В случае, если права конфликтуют, используются права группы с наибольшим групповым приоритетом (групповые приоритеты устанавливаются с помощью System Policy Editor). Например, Васю Иванова из группы Users добавили еще и в группу Administrators. На один из файлов были выставлены права: Administrators: Full control, Users: Read. В результате, Вася будет обладать правами Full control. Исключением является право No access. Это право стоит выше групповых приоритетов. Например, если права на файл изменить на Administrators: Full control, Users: No access, то Вася Иванов доступа к файлу не получит.

Также еще существует несколько групп, к которым пользователи добавляются автоматически, и эти группы нельзя удалить. Они перечислены в таблице.

Группа Состав группы

Everyone Каждый, кто зарегистрирован в домене на данный момент

Interactive Каждый, кто локально зарегистрирован в домене

Network Каждый, кто зарегистрирован в домене через сеть

Важно помнить о существовании этих групп. Например, если установить на какой-нибудь объект право группы Everyone на Full control, то такие права будут иметь все лица от администратора до обычных пользователей.

Управление учетными записями групп

Права групп можно добавлять или удалять права групп точно так же, как и пользователей. Можно создавать совершенно новые группы, чтобы предоставлять выбранные администратором права, или добавлять одни группы в другие (ограничения такого добавления описаны ниже). При существовании нескольких доменов, можно использовать группы для того, чтобы дать пользователям одного домена права на доступ к другим доменам.

В Windows NT 4.0 существует концепция локальных и глобальных групп.

Глобальные группы (Global groups) – те группы, которые предназначены для использования более чем в одном домене. Они могут включать отдельных пользователей.

Локальные группы (Local groups) – те группы, которые предназначены для использования в локальном домене. Они могут включать как отдельных пользователей, так и глобальные группы.

Доверительные отношения между доменами

Одной из причин, по которой можно включить глобальную группу в локальную, является междоменное взаимодействие. Сети на базе Windows NT Server организованы в административные единицы, называемые доменами (domain) с целью обеспечения безопасности и для управления из единого центра ресурсами и учетными записями этой сети. По умолчанию ресурсы одного домена недоступны для пользователей других доменов. Но иногда требуется разрешить доступ пользователям других доменов.

В таких случаях используют доверительные отношения (trust relationship). Между доменами можно установить так называемое «доверие», которое может быть односторонним или двухсторонним. Односторонние отношения существуют когда пользователи первого домена используют ресурсы второго домена. Говорят, что второй домен «доверяет» первому домену. При двухсторонних отношениях пользователи любого домена используют ресурсы других доменов, состоящих в двусторонних отношениях.

Чтобы установить отношения доверия, необходимо дать членам домена A учетную запись в домене B. Это можно сделать тремя способами.

1. Добавить каждого пользователя индивидуально в базу данных учетных записей пользователей домена B.

2. Добавить учетные записи каждого пользователя домена A в глобальную группу домена A, затем дать этой группе права в домене B.

3. Добавить учетные записи пользователей домена A в глобальную группу, затем добавить эту группу в локальную группу в домене B.

Первый метод является достаточно трудоемким. При добавлении пользователя в домен A его также необходимо добавить и в домен B, базы учетных записей доменов не взаимосвязаны, и при изменении учетной записи в домене A, необходимо вручную изменять ее и в домене B.

Второй метод более легкий в реализации, но не являющийся самым эффективным.

Третий метод является самым лучшим с точки зрения администрирования. Например, нужно добавить пользователей домена A в глобальную группу Domain Users, а затем добавить эту группу в группу Users в домене B. Тогда любые изменения учетных записей членов группы Domain Users в домене A будут отражены в домене B.

Особенности управления учетными записями

Каждый раз изменения в учетных записях пользователей или групп отражаются в базе данных реестра (Registry) и записываются в две совместно используемые записи, которые образуют информацию о защите в реестре – это Security и SAM. Поэтому важно осуществлять резервное копирование содержимого реестра, желательно совместно с резервным копированием сервера.

Одним из важных аспектов восстановления после сбоев (disaster recovery) в Windows NT является отражение изменений конфигурации на ERD (Emergency Repair Disk), который можно использовать для восстановления установки, если потребуется. ERD создается с помощью утилиты RDISK, но для копирования информации о защите необходимо указать ключ /S.

Контрольные вопросы

1. You are replacing the Windows NT Server computer in the corporate network with a new Pentium Xeon computer. What tools can you use to gather performance data for your new server?

 a. Resource meter

 b. CSU/DSU

 c. Windows NT performance monitor

 d. an oscilloscope

 e. MAU  f. a protocol analyzer (Window NT network monitor)

 g. PAD

 h. a time-domain reflectometer

 i. RAS

2. How can you prevent network data from being accessed by unauthorized individuals?

a. by performing daily backups

b. by implementing disk mirroring on the server that stores the datat

c. by implementing RAID level 5 on the server that stores the data

d. by encrypting the data

3. When will DNS be used instead of WINS to resolve a computer name to an IP address?

a. when there is no HOSTS file

b. when there is no LMHOSTS file

c. when the requested name contains a period (".")

d. when the requested name contains a backslash ("\")

4. A Windows NT Server computer is running slowly, and you suspect that it has insufficient memory. Which of the following Performance Monitor counters should you observe to detect memory bottlenecks?

a. % Processor Time

b. Disk Reads/sec

c. Page Faults/sec

d. Network Reads/sec

5. You have enabled Windows NT auditing for logon activities. Which application should you use to see which users have unsuccessfully attempted to log on?

a. User Manager

b. File Manager

c. Security Manager

d. Event Viewer

6. Which of the following statements best describes RAID level 5?

a. It is also known as sector sparing.

b. It stores data and parity information on different disks.

c. It is a mirrored pair of disks, each of which is attached to a separate controller.

d. It is a form of continual backup because it maintains a fully redundant copy of a partition on another disk.

7. Recently, several power outages occurred in your office building. How can you maintain network server operation during electrical power outages?

a. by installing a UPS for each server

b. by implementing RAID level 1 on each server

c. by implementing RAID level 5 on each server

d. by installing RemoteBoot Manager on each server

8. The Universal Naming Convention (UNC) provides a way for computers to identify network resources. Which of the following are included in a UNC string?

 a. a domain name

 b. a computer name

 c. a workgroup name

 d. a share name

9. Which of the following statements best describes share-level security?

a. Passwords are assigned to resources on a network.

b. Passwords are assigned on a per-user basis.

c. It provides a higher level of security on a network than user-level security.

d. It is also known as access permissions.

10. HOSTS and LMHOSTS files are used under Windows NT to resolve computer names to IP addresses. Which of the following is true?

a. A local HOSTS file can be used as a local DNS equivalent.

b. A remote HOSTS file can be used as a local WINS equivalent.

c. A local LMHOSTS file can be used as a local DNS equivalent.

d. A remote LMHOSTS file can be used as a local WINS equivalent.

11. A network is particularly slow during business reporting periods. Which utility can help the administrator keep track of key network and component activities?

a. Performance Monitor

b. Network Task Manager

c. System Agent

d. System Resource Meter

12. You plan to implement security on an Ethernet network and minimize administration. What security model should you implement?

a. domain-level security

b. share-level security

c. user-level security

d. server-level security

13. Which of the following password policies can be used to protect sensitive data?

 a. implementing a minimum-length requirement for passwords

 b. assigning passwords based on users' birth dates

 c. forcing users to periodically create new, unique passwords

 d. locking accounts after several successive attempts to log on to the network using an incorrect password

14. You administer a corporate Windows NT network. One of the users informs you that she has forgotten her password. What can you do to solve the problem?

a. delete the user's password with User Manager for Domains

b. assign the user to the Administrator group

c. edit the user's profile by using System Policy Editor

d. edit the user's password by using the Password option in the server's Control Panel

15. Which of the following describe user-level security?

 a. It enables passwords to be assigned to individual network resources.

 b. It enables passwords to be assigned on a per-user basis.

 c. It provides a higher level of network security than does share-level security.

 d. It is also known as password-protected shares.

16. The server on the corporate network contains a large amount of data, which is backed up regularly. Which of the following should you implement to minimize downtime in the event of a server disk failure?

a. UPS

b. RAID level 0

c. RAID level 5

d. encryption

17. Which of the following troubleshooting tools enables you to view the contents of network packets?

a. a time-domain reflectometer

b. a protocol analyzer

c. a packet generator

d. an oscilloscope

18. You are implementing fault tolerant disk management systems on the file servers on the corporate network, and you want the fastest possible read speed. Which of the following should you implement?

a. RAID level 0

b. RAID level 1

c. RAID level 5

d. RAID level 7

19. Which of the following methods backs up files that were created or changed since the last non-copy backup and marks the files as having been backed up?

a. normal backup

b. daily backup

c. incremental backup

d. differential backup

20. The file server on the corporate network contains several important databases. How can you ensure that the data on the server is easily and quickly available in the event of a server disk crash?

a. by implementing RAID level 0

b. by implementing disk mirroring

c. by implementing disk encryption

d. by implementing disk striping without parity

21. Suppose the following situation exists: You have been asked to select a TCP/IP naming standard and its related services for a corporation's large internetwork. The computer names should be easy for users to understand and remember.

Required result: Enable users to browse computer names across the company's routed internetwork.

Optional desired results:

Enable users to refer to computers by using both DNS and NetBIOS names when running Windows Sockets applications.

Provide a centralized file or database that eliminates the requirement of maintaining local IP address mappings on each computer.

Proposed solution:

Implement both a HOSTS and an LMHOSTS file on each client workstation.

Which results does the proposed solution produce?

a. The proposed solution produces the required result and produces both of the optional desired results.

b. The proposed solution produces the required result and produces only one of the optional desired results.

c. The proposed solution produces the required result but does not produce any of the optional desired results.

d. The proposed solution does not produce the required result.

22. You are the administrator of a corporate Windows NT network. Becky, a domain user, has been on vacation for the last two weeks. When she returns, she is unable to log on to the network. Which utility could you use to verify Becky's account information?

a. User Manager for Domains

b. Account Manager

c. Profile Manager

d. Network Monitor

23. Which of the following is a TCP/IP protocol that is used to monitor Windows NT Server networks?

a. FTAM

b. SMTP

c. SNMP

d. SMB

24. Which of the following RAID levels defines a stripe set that does not provide data redundancy?

a. level 0

b. level 1

c. level 2

d. level 3

e. level 4

f. level 5 g. level 6

h. level 7

i. level 8

j. level 9

k. level 10

25. Which of the following protocols uses 15-character names to identify computers on a network?

a. TCP/IP

b. IPX/SPX

c. NetBIOS

d. AppleTalk

26. Which of the following should be the primary defense against data loss?

a. daily backups

b. disk mirroring

c. RAID level 5

d. data encryption

27. Which of the following devices can perform sector sparing?

a. SCSI devices

b. AT devices

c. ESDI devices

d. IDE devices

28. On the corporate network, users must provide user names and passwords at logon. Different levels of access are assigned to each user. Which type of network security is being implemented?

a. share-level security

b. account-level security

c. user-level security

d. resource-level security

29. As the MIS manager, you have hired a consultant to optimize performance on the corporate NetWare network. The consultant plans to gather networking performance statistics by examining packets captured on the network. Which of the following devices must the consultant use?

a. an SNMP management interface

b. a protocol analyzer

c. a time-domain reflectometer

d. an advanced cable tester

30. Which of the following is true of TCP/IP subnet masks?

a. They mask a portion of the IP address so that TCP/IP can distinguish the network ID from the host ID.

b. They mask a portion of the IP address so that TCP/IP can distinguish the WINS server address from the default gateway address.

c. They mask a portion of the IP address so that TCP/IP can distinguish the DNS address from the host address.

d. They mask a portion of the IP address so that TCP/IP can distinguish the DNS address from the default gateway address.

31. What users account are already built into Windows NT Workstation or Stand-alone Server?

 a. Administrator

 b. Replicator

 c. Backup Operator

 d. Guest

32. Which of the following are logs maintained by Event Viewer?

 a. Security information

 b. Network information

 c. System information

 d. Application events

33. Where are user accounts created?

a. Server manager

b. Network monitor

c. User manager for Domains

d. System Administrator

34. The easiest and least expensive means to protect data is:

a. Fault tolerance.

b. RAID level 5.

c. Disk mirroring.

d. Scheduled backups.

35. Disk striping without parity requires how many disks to implement?

a. One

b. Two

c. Three

d. RAID 0

36. A company is installing an Internet Web server and is very concerned with how quickly data images can be read from the server and sent to potential clients. What disk management system would you want to enable? The company is not as concerned with losing the data as it is about the speed at which the data can be read.

a. One.

b. RAID level 2- disk striping with ECC.

c. Disk mirroring.

d. Raid level 0 – Disk striping without parity.

Ответы

1. c, f

2. d

3. c

4. c

5. d

6. b

7. a

8. b,d

9. a

10. a

11. a

12. b

13. a,c,d

14. a

15. b,c

16. c

17. b

18. c

19. c

20. b

21. b

22. a

23. c

24. a

25. c

26. a

27. a

28. c

29. b

30. a

31. a,d

32. a,c,d

33. c

34. d

35. b

36. d