Безопасность компьютерных систем на основе операционных систем Windows 2003/XP
Ложников Павел Сергеевич, Михайлов Евгений Михайлович

Содержание


Лекция 0. Введение

Данный практикум создан для подготовки специалистов (системных администраторов), ответственных за безопасность сетевой инфраструктуры организаций. Операционные системы компании Microsoft являются достаточно распространенными в России платформами как для персональных компьютеров, так и для серверов локальных вычислительных сетей.

Обеспечение безопасности сетевой инфраструктуры – это непрерывная и комплексная работа: от криптографических средств до организационных мероприятий. В данном пособии авторы сделали акцент на программные средства защиты, повышающие безопасность операционных систем Microsoft.

В практических занятиях по данному курсу предлагается реализовать наиболее востребованные и полезные практики для системных администраторов небольших и средних организаций, компьютерный парк которых – от 10 до 100 компьютеров. Для большинства таких организаций могут быть финансово недоступны дорогие программные решения из области защиты информации. Тот набор средств, который предлагается к изучению в этом курсе, с точки зрения авторов, является наиболее оптимальным и востребованным для большинства ИТ-инфраструктур малых и средних компаний. Также следует отметить, что преимущественно в малых и средних компаниях начинают свою карьеру будущие системные администраторы, и данный курс поможет им успешно сделать этот старт. Каждое из семи занятий предлагаемого практикума является логически завершенным и не зависит от других.

Данный курс по своей специфике не может быть законченным и актуальным более чем 2-3 года, так как постоянно происходит выпуск новых версий и обновление программного обеспечения. Вполне может оказаться, что в момент ознакомления с данным пособием какие-то версии программного обеспечения уже устареют. Тем не менее, задачи, решаемые системными администраторами, основные возможности описываемого программного обеспечения и функционал операционных систем Windows в течение нескольких лет меняются незначительно.

Авторы курса: Ложников Павел Сергеевич и Михайлов Евгений Михайлович – авторизованные преподаватели Microsoft IT Academy на факультете "Информационные системы в управлении" Сибирской государственной автомобильно-дорожной академии (http://www.isu.kasib.ru). Авторы получили большой практический опыт по обеспечению поддержки и безопасности сетевой инфраструктуры организации, работая системными администраторами Вычислительного центра СибАДИ. Ложников П.С. (lps@sibadi.org) – к. т. н., MCT, MCSA, победитель конкурса компаний Microsoft, SoftLine и Hewlett-Packard в номинации "Лучший преподаватель Microsoft IT Academy" в 2005 г. Михайлов Е.М. (mikhailov_em@sibadi.org) – к. т. н., MCSA.

Лекция 1. Использование виртуальных машин для изучения операционных систем на примере Microsoft Virtual PC 2007

В связи с тем, что средства для создания виртуальных машин часто применяются, в данной лекции мы поговорим об использовании виртуальных машин для изучения ОС на примере Virtual PC. Данная программа позволяет пользователю одновременно выполнять несколько операционных систем без использования множества компьютеров или необходимости перезагружать основной компьютер

Как указывается в толковом словаре, "виртуальная машина – это совокупность ресурсов, которые эмулируют поведение реальной машины" [[1]]. Это понятие существует не один десяток лет и пришло к нам из эпохи расцвета мэйнфреймов. В последнее время средства для создания виртуальных машин являются одним из часто используемых инструментов в лабораториях и отделах тестирования программного обеспечения, в компаниях, специализирующихся на разработке приложений, в исследовательских отделах компаний-разработчиков, а также в учебных центрах [[2]]. Наиболее известными решениями для создания виртуальных машин являются Microsoft Virtual PC и VMware Workstation. В качестве примера будет рассмотрена Microsoft Virtual PC 2007 (версия 6.0.156.0), выпущенная компанией Microsoft в 2007 году.

Прежде всего

Для изучения материалов этого занятия необходимо:

1.1. Microsoft® Virtual PC 2007

Microsoft® Virtual PC 2007 – это программа, которая позволяет пользователям одновременно работать с двумя или более операционными системами на своем компьютере. Virtual PC так точно эмулирует реальный компьютер, что приложения, установленные в виртуальном компьютере, не отличают виртуальную машину от реальной. Вместо установки операционных систем на множестве дорогостоящих компьютеров или создания громоздких установок с альтернативной загрузкой ОС (multi-boot), вы можете установить операционные системы во множество недорогих виртуальных машин. Изменения, проводимые в виртуальных машинах, никак не влияют на основной компьютер. В табл. 1.1 представлены возможные сценарии использования Virtual PC [[3]].

Таблица 1.1. Возможные сценарии использования Virtual PC
СценарийОписаниеПреимущества
Миграция
  • Запуск старого унаследованного приложения при переходе на новую операционную систему
  • Тестирование новых операционных систем в управляемом, отказоустойчивом окружении
Разрешая сотрудникам временно выполнять критически важные унаследованные приложения, вы можете продолжать переход на новую операционную систему. Virtual PC предоставляет вам экономное и безопасное решение для использования наследуемых приложений во время процесса миграции. Поэтому внедрение новой операционной системы может продолжаться по расписанию, даже если вы обнаружите непредвиденные проблемы совместимости программного обеспечения. Это позволяет клиентам Microsoft воспользоваться преимуществами рентабельности инвестиций и роста производительности от применения современных операционных систем. По сравнению с широко распространенным подходом использования отдельных компьютеров или сетей, предназначенных для каждой тестовой конфигурации, Virtual PC дешевле, быстрее устанавливается, проще в применении и является более гибким решением.
Техническая поддержка пользователей
  • Использование нескольких ОС на одном компьютере без перезагрузки компьютера или покупки дополнительных компьютеров
  • Установка нескольких пользовательских конфигураций на одном компьютере для проверки различных тестовых сценариев в реальном масштабе времени
Virtual PC уменьшает время ответа специалиста службы поддержки, снижает расходы на оборудование и организацию технической поддержки пользователей.
Обеспечение качества
  • Тестирование и документирование программного обеспечения для различных операционных систем на одном компьютере
  • Одновременное сравнение впечатлений и ощущений от использования программы в различных программных условиях
  • Тестирование предварительных версий программного обеспечения в защищенном, изолированном окружении
Virtual PC позволяет ускорить разработку и тестирование программного обеспечения, что приводит к улучшению качества ПО и снижению времени вывода нового изделия на рынок.
Обучение
  • Обучение людей на любой операционной системе для процессоров семейства х86 без приобретения дополнительных компьютеров
  • Значительное снижение времени полного изменения учебного класса к занятию с помощью мгновенного переключения между различными конфигурациями
Вы можете работать с бoльшим количеством пользователей при минимизации стоимости оборудования и времени перенастройки. При использовании Virtual PC преподавателю легче проводить занятия в классе с множеством операционных систем.

Virtual PC 2007, помимо возможностей предыдущей версии (Virtual PC 2004), обладает следующими плюсами [[5]]:

Минимальные требования к компьютеру, на который будет установлена программа Virtual PC [[4]]:

Перечень клиентских операционных систем очень обширен. Поддерживаются Windows 98, Windows Me, Windows NT 4.0 Workstation, Windows 2000 Professional, Windows XP, Windows 2000 Server, Windows Server 2003, OS/2 Warp Version 4 Fix Pack 15, OS/2 Warp Convenience Pack 1 и OS/2 Warp Convenience Pack 2 [[6]]. Как указывается в [[3]], существует возможность установить ОС сторонних фирм, включая Red Hat Linux, Novell NetWare.

В табл. 1.2 представлены минимальные требования различных операционных систем для их выполнения под управлением виртуальных машин [[4], [6]]. К указанным в таблице значениям необходимо прибавить требования основной (хостовой) операционной системы. При использовании нескольких виртуальных машин одновременно их требования необходимо суммировать [[6]].

Таблица 1.2. Минимальные требования для выполнения виртуальных машин
Гостевая операционная системаМинимальная памятьМинимальное пространство на жестком диске
Windows 98, Windows 98 Second Edition64 MB500 MB
Windows Millennium Edition (Windows Me)96 MB2 GB
Windows 2000 Professional96 MB2 GB
Windows XP Home Edition128 MB2 GB
Windows XP Professional128 MB2 GB
Windows Vista Enterprise512 MB15 GB
Windows Vista Business512 MB15 GB
Windows Vista Ultimate512 MB15 GB
OS/2 Warp Version 4 Fix Pack 15, OS/2 Warp Convenience Pack 1, OS/2 Warp Convenience Pack 264 MB500 MB

1.2. Установка Virtual PC

Для установки программы вам необходимы права администратора на локальном компьютере [[3]]. Процесс инсталляции очень прост и после окончания не требует перезагрузки компьютера. Во время процесса установки сетевой адаптер вашего компьютера на некоторое время будет отключен от сети.

Когда установка закончена, для запуска программы достаточно привилегий обычного пользователя.

1.2.1. Шаг 1

Для установки приложения запустите исполняемый файл setup.exe. После запуска установочного файла на экране появляется мастер установки (рис. 1.1).

Мастер установки Virtual PC


Рис. 1.1.  Мастер установки Virtual PC

Нажмите кнопку "Next" для пропуска диалогового окна "Welcome" ("Добро пожаловать").

Если на вашем компьютере уже установлена предыдущая версия Virtual PC, то на экране появится сообщение о необходимости выключить все ваши виртуальные машины (см. рис. 1.x). При установке Virtual PC 2007 все виртуальные машины, находящиеся в сохраненном состоянии (saved state), могут быть повреждены.

Предупреждение


Рис. 1.x.  Предупреждение

1.2.2. Шаг 2

Диалоговое окно "License Agreement" содержит текст лицензионного соглашения. Прочтите его. Если вы согласны с условиями соглашения, выберите "I accept the terms in the license agreement" и нажмите на кнопку "Next" (рис. 1.2).

Лицензионное соглашение


Рис. 1.2.  Лицензионное соглашение

1.2.3. Шаг 3

В следующем диалоговом окне (рис. 1.3) вам будет предложено ввести информацию о себе (имя, наименование организации) и регистрационный ключ (Product Key). Если вы используете дистрибутив, входящий в комплект поставки MSDN Academic Alliance, регистрационный номер вводить не нужно, так как он зафиксирован в программе установки и отображается серым шрифтом. В этом же окне необходимо определить – будет ли Virtual PC доступен всем пользователям, работающим за этим компьютером (Anyone who uses this computer), или только пользователю, с учетной записью которого вы устанавливаете Virtual PC (Only for me). После того, как вся информация введена, нажмите кнопку "Next".

Регистрационная информация


Рис. 1.3.  Регистрационная информация

1.2.4. Шаг 4

В следующем диалоговом окне (рис. 1.4) можно сменить папку, в которую будет устанавливаться Virtual PC (кнопка "Change"). После выбора нужной папки нажмите кнопку "Install". Начнется процесс копирования нужных файлов на ваш компьютер.

Выбор папки для установки


Рис. 1.4.  Выбор папки для установки

Если на вашем компьютере нет сетевого адаптера, то в процессе установки появится предупреждение о невозможности установить драйвер сетевых служб виртуальной машины (рис. 1.5). Этот драйвер устанавливается, только если в вашем компьютере есть Ethernet или беспроводной (wireless) сетевой адаптер. Драйвер позволяет вашим виртуальным машинам подключаться к той же компьютерной сети, что и ваш реальный (physical) компьютер. Без этого драйвера виртуальные машины смогут взаимодействовать только между собой по виртуальной компьютерной сети в пределах вашего компьютера.

Сообщение о невозможности установить драйвер сетевых служб виртуальной машины


Рис. 1.5.  Сообщение о невозможности установить драйвер сетевых служб виртуальной машины

После успешной установки появится соответствующее сообщение (рис. 1.6). Нажмите кнопку "Finish".

Сообщение об успешной установке


Рис. 1.6.  Сообщение об успешной установке

После завершения установки в главном меню Windows вы найдете ярлык. После запуска программы появляется управляющая консоль Virtual PC (рис. 1.7).

Управляющая консоль Virtual PC


Рис. 1.7.  Управляющая консоль Virtual PC

1.3. Настройка Virtual PC

У Virtual PC есть целый ряд настроек, которые определяют, как продукт будет взаимодействовать с физическим компьютером, распределять ресурсы и т.д. [[3]]. Для вызова окна настроек необходимо в управляющей консоли выполнить команду меню "File | Options". На рис. 1.8 показано окно настроек.

Диалоговое окно настроек Virtual PC


Рис. 1.8.  Диалоговое окно настроек Virtual PC

Ниже перечислены имеющиеся группы параметров.

1.3.1. Restore at Start

Вы можете выбрать, нужно ли восстанавливать запущенные виртуальные машины при запуске Virtual PC. Если включить этот параметр, то все виртуальные машины, запущенные во время завершения работы Virtual PC, будут восстановлены при следующем запуске Virtual PC (см. рис. 1.8).

1.3.2. Performance

Вы можете настроить, сколько процессорного времени виртуальные машины получат, когда они работают в фоновом и в активном режиме. Вы также можете настроить производительность всей программы Virtual PC при ее работе в фоновом режиме (рис. 1.9).

Настройка производительности


Рис. 1.9.  Настройка производительности

Первый параметр "CPU Time" содержит три альтернативы:

Второй параметр "When Virtual PC is running in the background" определяет, что будет происходить, когда программа Virtual PC выполняется в фоновом режиме (т. е. не в активном окне):

1.3.3. Hardware Virtualization

Вы можете включить или выключить поддержку технологии аппаратной виртуализации Intel VT и AMD Pacific. Естественно, включить эту возможность можно только при наличии соответствующего аппаратного обеспечения. В противном случае, этот параметр недоступен (рис. 1.10). Подробнее об этой технологии вы можете прочитать в [[6]].

Настройка поддержки аппаратной виртуализации


Рис. 1.10.  Настройка поддержки аппаратной виртуализации

1.3.4. Full-Screen Mode

Вы можете настроить Virtual PC на использование оптимального разрешения и глубины цвета в виртуальных машинах, выполняющихся в полноэкранном режиме. Если включить этот параметр, то разрешение экрана в основной операционной системе будет таким же, как в гостевой операционной системе (рис. 1.11).

Настройка работы во весь экран


Рис. 1.11.  Настройка работы во весь экран

1.3.5. Sound

Вы можете настроить Virtual PC на подавление звука от всех виртуальных машин. По умолчанию звук от всех виртуальных машин, работающих в фоновом режиме, подавляется. Если выключить этот параметр, то звук от всех виртуальных машин будет звучать одновременно. Помимо того, что это может запутать пользователя, может также ухудшиться качество звука при работе нескольких виртуальных машин (рис. 1.12).

Настройка подавления звука от виртуальных машин


Рис. 1.12.  Настройка подавления звука от виртуальных машин

1.3.6. Messages

Вы можете подавить все сообщения, выдаваемые Virtual PC, – для этого необходимо включить параметр "Don’t show any messages" (рис. 1.13). Кроме того, если при появлении сообщений от Virtual PC вы выставили флажок "Don’t show this message again" (Не показывать это сообщение снова), а теперь хотите, чтобы сообщения появлялись вновь, нажмите кнопку "Reset Messages" (рис. 1.13).

Настройка появления сообщений


Рис. 1.13.  Настройка появления сообщений

1.3.7. Keyboard

Здесь вы можете задать клавишу, с помощью которой вы будете возвращать управление мышкой и клавиатурой основному компьютеру после их захвата виртуальным компьютером. В терминологии Virtual PC эта клавиша называется "host key". По умолчанию такой клавишей является правая клавиша "Alt" (рис. 1.14). Кроме того, комбинация клавиш "Alt+Ctrl+Del" будет работать всегда только для операционной системы основного компьютера. Если вы хотите воспользоваться этой комбинацией для виртуального компьютера, то необходимо будет использовать комбинацию клавиш "host key"+Del. Т.е. если в качестве "host key" задана правая клавиша "Alt", то эквивалентом "Alt+Ctrl+Del" для виртуального компьютера будет являться комбинация "правый Alt+Del".

Кроме того, здесь же можно определить, где будет работать клавиша "Windows" (). Существуют следующие варианты:

Настройка параметров клавиатуры


Рис. 1.14.  Настройка параметров клавиатуры

1.3.8. Mouse

Здесь Вы можете настроить, будет ли виртуальная машина захватывать мышь, когда вы щелкаете в окно виртуальной машины ("Clicking in the virtual machine window"), или это будет происходить автоматически, когда вы перемещаете указатель мыши над окном виртуальной машины ("Moving the pointer into the virtual machine window") (рис.1.15).

Настройка захвата мыши виртуальной машиной


Рис. 1.15.  Настройка захвата мыши виртуальной машиной

1.3.9. Security

Здесь вы можете настроить параметры безопасности, которые запретят использование некоторых возможностей Virtual PC пользователям, не входящим в группу локальных администраторов. К таким возможностям относятся "Options" (настройка всех параметров Virtual PC), "Settings" (настройка параметров виртуальных машин), "New Virtual Machine Wizard" (запуск мастера создания новой виртуальной машины) и "Virtual Disk Wizard" (запуск мастера создания виртуальных дисков) (рис. 1.16).

Эти настройки очень полезны в условиях предприятия или учебного заведения, особенно если вы используете Virtual PC как средство миграции на новую операционную систему (см. табл. 1.1).

Настройка параметров безопасности


Рис. 1.16.  Настройка параметров безопасности

1.3.10. Language

Здесь вы можете задать язык интерфейса Virtual PC. В имеющейся у нас версии доступными являются английский, немецкий, французский, японский, итальянский и испанский языки (рис. 1.17). Для того чтобы изменение языка интерфейса вступило в силу, необходимо перезапустить Virtual PC.

Настройка языка интерфейса


Рис. 1.17.  Настройка языка интерфейса

1.4. Создание новой виртуальной машины

Для запуска мастера создания новой виртуальной машины необходимо в меню "File" выбрать команду "New Virtual Machine Wizard" или в окне "Virtual PC Console" нажать кнопку "New…" (рис. 1.18).

Консоль Virtual PC


Рис. 1.18.  Консоль Virtual PC

Мастер создания новой виртуальной машины (New Virtual Machine Wizard) поможет вам создать и настроить новую виртуальную машину или добавить существующую виртуальную машину на консоль Virtual PC [[3]]. В дальнейшем все необходимые изменения параметров вы сможете произвести в диалоговом окне "Settings" ("Настройки"), которое можно вызвать с помощью меню "Action | Settings..." или с помощью кнопки "Settings" на консоли Virtual PC (см. рис. 1.18).

Мастер записывает конфигурацию виртуальной машины в файл с расширением *.vmc (рис. 1.19). Для продолжения нажмите кнопку "Next".

Консоль Virtual PC


Рис. 1.19.  Консоль Virtual PC

В следующем окне (рис. 1.20) вам предлагается три варианта создания виртуальной машины:

  1. Создание виртуальной машины (Create a virtual machine). Этот вариант позволит вам задать основные настройки создаваемой виртуальной машины.
  2. Использование настроек по умолчанию для создания виртуальной машины (Use default settings to create a virtual machine). К созданной виртуальной машине не будет подключен виртуальный диск, поэтому его необходимо будет создать позже и подключить, используя диалоговое окно "Settings".
  3. Добавление существующей виртуальной машины (Add an existing virtual machine). С помощью этого варианта можно добавить на консоль Virtual PC созданную ранее (или скопированную с другого компьютера) виртуальную машину.

Выбор варианта создания виртуальной машины


Рис. 1.20.  Выбор варианта создания виртуальной машины

Выберите первый вариант (Create a virtual machine) и нажмите кнопку "Next". В следующем окне вам будет предложено ввести имя и расположение конфигурационного файла с виртуальной машиной (рис. 1.21). По умолчанию файл будет автоматически сохранен в папку "Мои документы\My Virtual Machines". Для задания другого расположения нажмите кнопку "Browse...". Как показала практика использования программы Virtual PC, удобнее всего сохранять каждую виртуальную машину в свою собственную папку. Это позволит в дальнейшем очень просто переносить виртуальную машину, созданную на одном компьютере, на другой.

Задание имени и расположения виртуальной машины


Рис. 1.21.  Задание имени и расположения виртуальной машины

Введите название виртуальной машины, которое поможет вам в дальнейшем идентифицировать эту машину, ее программную конфигурацию или операционную систему, установленную на нее. Для нашего примера введем в поле "Name and location" имя Windows XP Professional и нажмем кнопку "Next".

В следующем окне вам будет предложено выбрать операционную систему, которую вы планируете установить на создаваемую виртуальную машину (рис. 1.22). Выбор операционной системы позволяет мастеру создания виртуальной машины рекомендовать соответствующие настройки для виртуальной машины. Если нужной операционной системы нет в приведенном списке, выберите операционную систему, которой требуется такое же количество памяти, как и для планируемой к установке. Или выберите вариант "Other" (рис. 1.23). Для нашего примера выберем "Windows XP" и нажмем кнопку "Next".

Выбор операционной системы


Рис. 1.22.  Выбор операционной системы

Список операционных систем


Рис. 1.23.  Список операционных систем

В следующем окне вам будет предложено задать размер оперативной памяти для создаваемой виртуальной машины (рис. 1.24). У вас есть два варианта: либо использовать рекомендуемый мастером размер для указанной ранее вами операционной системы ("Using the recommended RAM"), либо задать размер самостоятельно ("Adjusting the RAM"). Во втором случае внешний вид окна изменится (рис. 1.25).

Для нашего примера согласимся с предлагаемым размером (128 Мб) и нажмем кнопку "Next".

Задание размера ОЗУ для виртуальной машины


Рис. 1.24.  Задание размера ОЗУ для виртуальной машины

Изменение рекомендуемого размера ОЗУ


Рис. 1.25.  Изменение рекомендуемого размера ОЗУ

Для установки операционной системы на виртуальном компьютере должен существовать виртуальный жесткий диск. Виртуальный диск является файлом с расширением *.vhd, который хранится на вашем физическом жестком диске и для виртуального компьютера представляется как отдельный физический жесткий диск. По умолчанию будет создаваться динамически расширяемый диск. Файл, соответствующий такому диску, будет динамически увеличиваться в размерах при записи информации на этот виртуальный диск. Подробнее об этом и других типах виртуальных дисков будет рассказано далее (см. п. 1.7).

В следующем окне вам будет предложено ответить на вопрос: использовать существующий виртуальный диск ("An existing virtual hard disk") или создать новый ("A new virtual hard disk") (рис. 1.26). Для каждой виртуальной машины рекомендуется создавать свой виртуальный диск. Поэтому выберем второй вариант и нажмем кнопку "Next".

Выбор виртуального жесткого диска


Рис. 1.26.  Выбор виртуального жесткого диска

В следующем окне необходимо указать имя, расположение виртуального диска и его максимальный размер. По умолчанию имя виртуального диска составляется из имени виртуальной машины с добавлением строки "Hard Disk" (рис. 1.27). Если необходимо, меняем название виртуального диска, его максимальный размер и нажимаем кнопку "Next". В данном случае создается динамически расширяемый виртуальный жесткий диск. Подробнее о виртуальных жестких дисках будет рассказано далее (см п. 1.7).

Выбор виртуального жесткого диска


Рис. 1.27.  Выбор виртуального жесткого диска

Следующее окно сообщает о завершении работы мастера (рис. 1.28). Нажимаем кнопку "Finish".

Завершение мастера создания новой виртуальной машины


Рис. 1.28.  Завершение мастера создания новой виртуальной машины

После создания виртуальной машины ее название появляется в управляющей консоли Virtual PC (рис. 1.29). Все, что нужно для запуска виртуальной машины, – это дважды щелкнуть по ее имени или выбрать ее левой кнопкой мыши и нажать кнопку "Start".

Управляющая консоль Virtual PC


Рис. 1.29.  Управляющая консоль Virtual PC

1.5. Настройка виртуальной машины

Virtual PC дает вам полный контроль над конфигурацией виртуальных машин [[3]]. Для того чтобы открыть диалоговое окно настроек виртуальной машины (рис. 1.30), вы можете воспользоваться контекстным меню виртуальной машины и выбрать команду "Settings" или выделить в управляющей консоли нужную виртуальную машину (см. рис. 1.29) и выполнить команду меню "Action | Settings".

Диалоговое окно настроек виртуальной машины


Рис. 1.30.  Диалоговое окно настроек виртуальной машины

Рассмотрим некоторые параметры виртуальной машины.

1.5.1. File Name

Здесь вы можете сменить имя для виртуальной машины (рис. 1.30) которое вы задали, используя мастер создания новой виртуальной машины (см. рис. 1.21).

1.5.2. Memory

Здесь вы можете изменить размер ОЗУ для виртуальной машины.

1.5.3. Hard Disk 1, 2, 3

Здесь вы можете подключить до трех виртуальных жестких дисков к вашей виртуальной машине (рис.1.31). Доступно два варианта:

Кроме того, здесь же вы можете вызвать мастер создания виртуального жесткого диска с помощью кнопки "Virtual Disk Wizard".

Параметры подключения виртуальных жестких дисков


Рис. 1.31.  Параметры подключения виртуальных жестких дисков

1.5.4. Undo Disks

Здесь вы можете включить диски отката ("Undo disks"), в которых будут храниться изменения, проведенные в виртуальных жестких дисках во время последнего сеанса работы виртуальной машины (рис. 1.32). Если эта возможность включена, то после выключения виртуальной машины вы можете сохранить все проведенные за последний сеанс изменения или удалить их. Подробнее о виртуальных дисках будет рассказано далее.

Включение дисков отката (undo disks)


Рис. 1.32.  Включение дисков отката (undo disks)

1.5.5. CD/DVD Drive

Здесь вы можете определить, к какому IDE-контроллеру в виртуальной машине необходимо подключить физический CD или DVD привод (рис. 1.33). Если этот параметр включен (по умолчанию), то будет использоваться вторичный контроллер (secondary), иначе – первичный (primary).

Выбор виртуального контроллера для подключения CD или DVD привода


Рис. 1.33.  Выбор виртуального контроллера для подключения CD или DVD привода

1.5.6. Networking

Здесь вы можете определить, сколько виртуальных сетевых адаптеров будет в виртуальной машине (от 0 до 4) и как они будут работать с другими компьютерами (рис. 1.34). Доступны следующие варианты:

Подробнее о сетевом взаимодействии будет рассказано далее (см. п. 1.8).

Настройка виртуальных сетевых адаптеров


Рис. 1.34.  Настройка виртуальных сетевых адаптеров

1.5.7. Close

Здесь вы можете настроить, как будет проходить завершение работы виртуальной машины (рис. 1.35). Вариант по умолчанию предусматривает появление сообщения при попытке закрыть виртуальную машину ("Show message with these options at close") с доступными действиями:

Второй вариант ("Automatically close without a message and") предполагает автоматическое завершение работы виртуального компьютера при закрытии его окна с выполнением одного из выбранных действий. В список входят все вышеперечисленные, а также действие "Turn off and delete changes". По этому действию происходит выключение виртуального компьютера без сохранения изменений, выполненных за последний сеанс работы. Этот вариант доступен, только если включены диски отката (undo disks) (см. п. 1.5.4).

Настройка параметров выключения виртуального компьютера


Рис. 1.35.  Настройка параметров выключения виртуального компьютера

1.6. Дополнения к виртуальной машине (Virtual Machine Additions)

Для лучшей интеграции виртуальных машин с реальным компьютером вы можете установить специальный пакет, который называется Virtual Machine Additions. Он находится на диске с программой Virtual PC. Данный пакет устанавливается в гостевую операционную систему для лучшего взаимодействия гостевой и основной операционных систем. Поддержка полного взаимодействия доступна только для гостевых операционных систем семейства Windows. Для других гостевых ОС возможна только частичная интеграция. Для операционных систем семейства Windows этот пакет добавляет следующие возможности [[3]]:

Для установки Virtual Machine Additions на виртуальный компьютер с операционной системой Windows необходимо:

1.7. Виртуальные жесткие диски

Virtual PC поддерживает виртуальные жесткие диски целым рядом мощных и гибких способов [[3]]. Пользователь может подключить несколько виртуальных жестких дисков к каждой виртуальной машине. Virtual PC поддерживает следующие типы дисков:

Virtual PC также поддерживает две другие возможности виртуальных жестких дисков, которые можно использовать с описанными выше типами дисков:

Таким образом, после создания виртуальной машины и установки операционной системы на виртуальный жесткий диск вы можете распространить этот виртуальный диск другим пользователям. Как было описано выше, у вас есть три варианта. Во-первых, вы можете распространить виртуальный диск в неизменном состоянии. В этом случае пользователи будут изменять свои собственные копии виртуальных дисков. Во-вторых, можно распространить диск или выложить его в сети как разностный виртуальный жесткий диск. В этом случае Virtual PC будет сохранять изменения в локальных разностных файлах вместо изменения оригинального виртуального диска, который вы распространили или выложили в сеть. В-третьих, вы можете настроить виртуальную машину на использование дисков отката. В этом случае пользователи будут иметь возможность уничтожать или сохранять свои изменения, проведенные во время сеанса работы с виртуальной машиной.

1.8. Сетевое взаимодействие

Virtual PC поддерживает четыре режима работы с сетью [[3]]:

Рассмотрим ситуацию, когда на вашем компьютере нет сетевого адаптера, но вам необходимо организовать сетевое взаимодействие между главным компьютером (host computer) и виртуальной машиной. В этом случае вам нужно установить на главный компьютер "Адаптер Microsoft замыкания на себя" и выбрать его в настройках виртуальной машины в разделе "Networking" (см. п. 1.5.6).

Для установки на главном компьютере "Адаптера Microsoft замыкания на себя" выполните следующие действия:

  1. Выполните "Пуск | Панель управления | Установка оборудования". Если в Панели управления отсутствует категория "Установка оборудования", нажмите "Переключение к классическому виду".
  2. На первой странице мастера установки оборудования нажмите кнопку "Далее".
  3. На странице "Устройство подключено?" выберите вариант "Да, устройство уже подсоединено" и нажмите кнопку "Далее".
  4. В поле "Установленное оборудование" выберите "Добавление нового устройства" и нажмите кнопку "Далее".
  5. На следующей странице выберите "Установка оборудования, выбранного из списка вручную" и нажмите кнопку "Далее".
  6. На следующей странице в поле "Стандартные типы оборудования" выберите "Сетевые платы" и нажмите кнопку "Далее".
  7. На следующей странице в поле "Изготовитель" выберите "Microsoft", в поле "Сетевой адаптер" выберите "Адаптер Microsoft замыкания на себя" и нажмите кнопку "Далее".
  8. На странице "Мастер готов к установке нового оборудования" нажмите кнопку "Далее".
  9. После завершения установки нажмите кнопку "Готово".

1.9. Лабораторная работа. Установка и использование Virtual PC

На этой лабораторной работе вы установите Virtual PC 2007, создадите две новых виртуальных машины, установите операционные системы Windows XP Professional и Windows Server 2003 и проверите сетевое взаимодействие созданных виртуальных машин.

1.9.1. Упражнение 1. Установка Virtual PC 2007

Вы выполните установку Virtual PC 2007 SP1 на свой компьютер.

  1. Зарегистрируйтесь в системе как пользователь с правами администратора.
  2. Вставьте установочный компакт-диск Virtual PC 2007 в дисковод.
  3. Запустите с диска программу установки setup.exe из папки \VIRTUALPC_2007.
  4. На первой странице мастера установки Virtual PC нажмите кнопку "Next".
  5. После прочтения лицензионного соглашения выберите "I accept …" и нажмите кнопку "Next".
  6. В окне "Customer Information" введите информацию о себе и, если необходимо, серийный номер. Нажмите кнопку "Next".
  7. В окне "Ready to Install …" нажмите кнопку "Install".
  8. После успешной установки и появления окна "InstallShield Wizard Completed", нажмите кнопку "Finish".
  9. Если необходимо, перезагрузите компьютер.

1.9.2. Упражнение 2. Создание новой виртуальной машины

Вы создадите новую виртуальную машину для рабочей станции.

  1. Войдите в систему под своей учетной записью.
  2. Выберите "Пуск / Программы / Microsoft Virtual PC".
  3. В появившемся окне "Virtual PC Console" нажмите кнопку "New…".
  4. На первой странице мастера создания новой виртуальной машины нажмите кнопку "Next".
  5. В окне "Options" выберите "Create a virtual machine" и нажмите "Next".
  6. В окне "Virtual Machine Name and Location" введите имя виртуальной машины Windows XP и нажмите кнопку "Browse…".
  7. В появившемся диалоговом окне перейдите на диск D: и создайте в корне диска папку "My Virtual Machines". Внутри этой папки создайте еще одну папку "Windows XP", войдите в нее и нажмите кнопку "Сохранить".
  8. Вернувшись в окно "Virtual Machine Name and Location", нажмите кнопку "Next".
  9. В окне "Operating System" в выпадающем списке выберите "Windows XP" и нажмите кнопку "Next".
  10. В окне "Memory" согласитесь с предлагаемым размером 128 Мб и нажмите кнопку "Next".
  11. В окне "Virtual Hard Disk Options" выберите вариант "A new virtual hard disk" и нажмите кнопку "Next".
  12. В окне "Virtual Hard Disk Location" согласитесь с предлагаемым именем и расположением виртуального жесткого диска и нажмите кнопку "Next".
  13. В появившемся окне нажмите кнопку "Finish".

1.9.3. Упражнение 3. Установка гостевой операционной системы

Вы установите операционную систему Windows XP в созданную виртуальную машину.

  1. Войдите в систему под своей учетной записью.
  2. Выберите "Пуск (Start) / Программы (Programs) / Microsoft Virtual PC".
  3. В управляющей консоли Virtual PC дважды щелкните левой кнопкой мыши по названию созданной ранее виртуальной машины (Windows XP).
  4. Вставьте загрузочный компакт-диск Windows XP Professional в дисковод.
  5. В окне виртуальной машины выполните команду меню "CD | Use physical Drive X:", где X: - имя CD-ROM привода с установочным компакт-диском Windows XP.
  6. В окне виртуальной машины выполните команду меню "Action | Reset".
  7. После загрузки виртуальной машины с установочного диска выполните установку операционной системы с параметрами по умолчанию, указав в качестве имени компьютера имя "client01".

1.9.4. Упражнение 4. Установка Virtual Machine Additions

Вы установите дополнения для виртуальной машины.

  1. Войдите в систему под своей учетной записью.
  2. Выберите "Пуск (Start) / Программы (Programs) / Microsoft Virtual PC".
  3. В управляющей консоли Virtual PC дважды щелкните левой кнопкой мыши по названию созданной ранее виртуальной машины (Windows XP).
  4. После загрузки операционной системы в виртуальной машине зарегистрируйтесь как Администратор или член группы Администраторы.
  5. В окне виртуальной машины выполните команду меню "Action | Install or Update Virtual Machine Additions". Если вы не можете переместить указатель мыши в меню "Action", нажмите клавишу "host key" для разблокирования указателя мыши окном виртуальной машины. По умолчанию этой клавишей является правая клавиша "Alt".
  6. После появления запроса на подтверждение установки нажмите кнопку "Continue".
  7. На первой странице мастера установки Virtual Machine Additions нажмите кнопку "Next".
  8. После завершения установки нажмите кнопку "Готово".
  9. Перезагрузите виртуальную машину.

1.9.5. Упражнения 5, 6, 7. Создание виртуальной машины для сервера

Вы создадите новую виртуальную машину для сервера и установите Windows Server 2003. Эти упражнения аналогичны упражнениям 2, 3 и 4. В качестве имени виртуальной машины используйте "Windows Server 2003", а в качестве имени компьютера - "server01".

1.9.6. Упражнение 8. Проверка сетевого взаимодействия

Вы проверите прохождение сетевых пакетов между созданными виртуальными машинами.

1.9.7. Упражнение 9 (дополнительное). Добавление роли "контроллер домена"

Вы добавите роль "Контроллер домена" в виртуальной машине server01 и создадите домен test.local, который будет нужен в следующих занятиях.

  1. Запустите на выполнение виртуальную машину server01. Все дальнейшие действия относятся к виртуальной машине.
  2. После загрузки в виртуальной машине операционной системы Windows Server 2003 зарегистрируйтесь в ней как администратор.
  3. При появлении окна "Управление данным сервером" перейдите к пункту 5.
  4. Выполните "Пуск / Программы / Администрирование / Управление данным сервером".
  5. Выполните команду "Добавить или удалить роль".
  6. При появлении окна "Мастер настройки сервера" нажмите кнопку "Далее".
  7. В следующем окне выберите "Типовая настройка для первого сервера" и нажмите кнопку "Далее".
  8. В следующем окне введите имя домена "test.local" и нажмите кнопку "Далее".
  9. В окне "NetBIOS-имя" оставьте NetBIOS-имя домена без изменения и нажмите "Далее".
  10. В окне "Отправка запросов DNS" выберите вариант "Нет, не пересылать запросы" и нажмите "Далее".
  11. В окне "Сводка выбранных параметров" нажмите "Далее".
  12. Далее следуйте указаниям мастера настройки сервера.

1.11. Резюме

Virtual PC позволяет пользователю одновременно выполнять несколько операционных систем без использования множества компьютеров или необходимости перезагружать основной компьютер. Большим преимуществом создаваемых виртуальных машин является не только полная эмуляция реального аппаратного обеспечения компьютера, но и возможность их сетевого взаимодействия, как между собой, так и с другими компьютерами. Создаваемые виртуальные машины легко переносимы и могут применяться не только в обучении, но и в сценариях миграции на новые версии ПО, в тестировании и в обеспечении технической поддержки пользователей.

Лекция 2. Механизмы развертывания сетевой инфраструктуры на основе ОС Windows 2003/XP

Данная лекция посвящена способам развертывания сетевой инфраструктуры на основе ОС Windows 2003/XP. Автоматическое развертывание ОС и клиентских рабочих мест является важной задачей для обеспечения безопасности сетевой инфраструктуры любой организации

В данном пособии далее будем рассматривать компьютерную сеть, серверы которой управляются операционными системами Windows Server 2003, а рабочие станции - Windows XP (SP2), другими словами, сетевую инфраструктуру на основе ОС Windows 2003/XP.

На этом занятии рассмотрим способы развертывания такой сетевой инфраструктуры. Термин "развертывание" (англ. deployment) не следует путать с "установкой" (англ. install) операционных систем. Развертывание подразумевает автоматизацию процесса установки ОС на компьютер. Возможны механизмы развертывания операционных систем Microsoft, когда этот процесс становится полностью автоматическим.

Почему важно уметь обеспечивать быстрое развертывание сетевой инфраструктуры? Любая компьютерная система организации не застрахована от серьезных аварий, вызванных естественными причинами (действиями злоумышленников, халатностью или некомпетентностью сотрудников). В то же время, у каждой организации есть функции, которые руководство считает критически важными, и они должны выполняться несмотря ни на что [[12]]. Сетевая инфраструктура для большинства современных организаций является базисом для выполнения бизнес-процессов. Поэтому очень важно уметь восстанавливать (разворачивать) сетевую инфраструктуру в короткие сроки и с минимальными затратами.

Рассмотрим на этом занятии два основных механизма развертывания, которые применяются для ОС Microsoft:

На практике очень редко прибегают к автоматической установке серверной ОС. Для небольших и средних организаций наиболее важной задачей может являться развертывание ОС для рабочих станций с необходимым прикладным ПО. Поэтому на лабораторных работах рассмотрим указанные выше методы на примере ОС Windows XP Professional.

Прежде всего

Для изучения материалов этой главы необходимы следующие ресурсы:

2.1. Метод дублирования дисков с использованием утилиты Sysprep

Идея метода заключается в том, что если необходимо установить ОС Windows XP Professional сразу на несколько компьютеров с одинаковой конфигурацией оборудования, то на одном из компьютеров создается образ диска, на который устанавливают ОС с необходимым прикладным ПО. Затем этот образ копируется на остальные компьютеры.

Преимущество метода над обычной установкой состоит, прежде всего, в экономии времени. Другой плюс заключается в том, что, создав один раз образ диска, вы получаете базовую точку развертывания рабочего места пользователя, к которой всегда можно вернуться, если на каком-то из компьютеров возникнут проблемы.

Главную роль в реализации метода играет утилита "Подготовка системы" - Sysprep (System Preparation). Она предотвращает проблему, с которой можно столкнуться при копировании образа диска, связанную с уникальным кодом безопасности (SID, Security Identifier). Каждый компьютер в сети должен иметь уникальный код безопасности. Если просто копировать образ диска, то каждый конечный компьютер будет иметь тот же код безопасности, что и основной компьютер. Из-за конфликтов SID сеть не будет работать. Утилита Sysprep помогает решить эту проблему, удаляя уникальный код безопасности на основном компьютере перед копированием образа диска. При запуске копии системы на конечном компьютере Sysprep генерирует новый уникальный код безопасности.

Для использования утилиты Sysprep в процессе дублирования дисков должны выполняться следующие требования [[15]]:

Далее рассмотрим основные шаги выполнения метода дублирования дисков с использованием утилиты Sysprep.

2.1.1. Шаг 1

Установите и настройте Windows XP Professional на тестовом компьютере (если необходимо, то установите драйверы оборудования, не включенные в файл Drivers.cab). Установите необходимое прикладное ПО (архиваторы, антивирусы, офисные пакеты и т. д.), включая пакеты обновлений.

2.1.2. Шаг 2

Создайте файл ответов Sysprep.inf для того, чтобы процесс развертывания был автоматическим. Данный шаг не является обязательным. Если файл ответов не создавать, то после копирования образа диска на целевой компьютер при их последующем включении запустится мастер мини- установки (Mini-Setup Wizard), который будет запрашивать ввод различных параметров (пароль администратора, имя компьютера и т.д.).

Sysprep.inf - это текстовый файл, в котором записывается последовательность ответов, вводимых в диалоговых окнах графического интерфейса пользователя при установке Windows XP Professional. Для создания файла ответов Sysprep.inf, который потом будет использоваться утилитой Sysprep, можно воспользоваться любым текстовым редактором или диспетчером установки (см. п. 2.3.1).

Файл Sysprep.inf должен храниться в папке Sysprep в корневом каталоге диска, на котором установлена ОС Windows XP Professional, или на гибком диске. Программа установки не может использовать папки с другими названиями. Параметра для указания произвольного файла ответов для мастера мини-установки не существует.

2.1.3. Шаг 3

Запустите на тестовом компьютере утилиту Sysprep, файлы которой находятся в архиве \Support\Tools\Deploy.cab на установочном диске Windows XP Professional. На экране появится диалоговое окно "Программа подготовки системы 2.0" (рис. 2.1), предупреждающее, что запуск программы Sysprep может привести к изменению некоторых параметров безопасности. После нажатия кнопки "ОК" утилита Sysprep продолжит работу.

Окно "Программа подготовки системы 2.0", появляющееся при запуске утилиты Sysprep


Рис. 2.1.  Окно "Программа подготовки системы 2.0", появляющееся при запуске утилиты Sysprep

В табл. 2.1 приведен состав и описание файлов утилиты Sysprep.

Таблица 2.1. Состав утилиты Sysprep
ФайлОписание
Sysprep.exeИспользуется для запуска утилиты Sysprep
Setupcl.exeНеобходимая компонента, используется Sysprep.exe для создания SID
Factory.exeВспомогательная программа, используемая вместе с Sysprep.exe для внесения изменений в стандартную конфигурацию перед переносом ее на целевые компьютеры (фабричный режим)
Sysprep.infФайл ответов (необязательный), который может быть использован для полной или частичной автоматизации установки
Winbom.iniФайл ответов (необязательный) для программы Factory.exe

2.1.4. Шаг 4

Скопируйте образ диска на целевые компьютеры. Для этого потребуется специальное ПО для клонирования дисков, предоставляемое сторонними фирмами. Наиболее популярными являются утилиты Ghost фирмы Symantec, Drive Image Pro фирмы PowerQuest и др. [[10]] Все перечисленные утилиты работают примерно одинаково. Компьютер загружается в режиме DOS, потом запускается программа формирования образа диска. Можно получить образ всего диска или единственного раздела и сохранить его на другом разделе, диске или общем сетевом накопителе. Впоследствии сохраненный образ можно восстановить на другом диске. Жесткие диски не обязательно должны иметь одинаковую емкость, но загружаемый образ не должен быть больше целевого диска.

2.1.5. Шаг 5

Включите целевые компьютеры после того, как завершится копирование образа диска с тестового компьютера. Если утилита Sysprep обнаружила файл ответов Sysprep.inf, то появится окно "Установка Windows XP" (рис. 2.2) и через некоторое время загрузится ОС Windows XP Professional. В противном случае запустится мастер мини-установки.

Окно "Установка Windows XP", появляющееся при развертывании образа диска утилитой Sysprep с использованием файла ответов


Рис. 2.2.  Окно "Установка Windows XP", появляющееся при развертывании образа диска утилитой Sysprep с использованием файла ответов

Если приложение Sysprep.exe запускалось из папки %systemdrive%\Sysprep, то после завершения установки Windows XP Professional эта папка и ее содержимое автоматически удаляются!

2.2. Метод удаленной установки

Наиболее эффективным методом развертывания ОС Windows XP Professional является удаленная установка. Ее можно проводить, если сетевая инфраструктура основана на ОС Windows Server 2003, а клиентские компьютеры поддерживают удаленную загрузку [[7]].

Удаленная установка (remote installation) - это процесс установки соединения с сервером, на котором запущена служба RIS (Remote Installation Services), и последующего запуска автоматической установки клиентской ОС, например Windows XP Professional, на целевой компьютер, подключенный к сети.

2.2.1. Предварительные требования для проведения метода

Для выполнения удаленной установки клиентский компьютер должен иметь BIOS и сетевой адаптер, поддерживающие технологию предзагрузочной среды выполнения - РХЕ (Pre-boot execution Environment). Технология РХЕ применяется для установки соединения с сервером RIS. Убедитесь, что на всех клиентских компьютерах в BIOS имеется возможность установить в качестве загрузочного устройства сетевой адаптер. Если такая возможность отсутствует, то необходимо создать загрузочную дискету удаленной установки при помощи утилиты "Генератор дисков удаленной загрузки" - rbfg.exe (Remote Boot Disc Generator). Файл rbfg.exe расположен в папке \RemoteInstall\Admin\i386 на сервере удаленной установки RIS.

Для функционирования сервера RIS в сетевой инфраструктуре необходимо наличие следующих сетевых служб [[15]]:

Перечисленные сетевые службы не обязательно должны быть установлены на том же сервере, что и RIS, но они должны быть доступны в сетевой инфраструктуре.

Метод удаленной установки требует, чтобы RIS был установлен на том, к которому разрешен общий доступ через сеть. Общий том должен отвечать следующим требованиям [[7]]:

2.2.2. Установка и настройка RIS

Развертывание сервера удаленной установки в вашей сетевой инфраструктуре выполняется в два этапа:

При установке ОС Windows Server 2003 на сервер служба RIS по умолчанию не устанавливается. С помощью компонента панели управления "Установка и удаление программ" в разделе "Установка компонентов Windows" необходимо добавить "Службы удаленной установки". После этого в разделе "Администрирование" появляется компонент "Установка служб удаленной установки", позволяющий запустить мастер подготовки сервера RIS. При первом запуске мастера установки служб удаленной установки выбирается диск для размещения RIS, папка для хранения установочных файлов, создается образ для удаленной установки клиентской ОС. После завершения процесса установки службы RIS появится окно, представленное на рис. 2.3.

Завершение установки службы RIS


Рис. 2.3.  Завершение установки службы RIS

Важно, чтобы сервер RIS прошел авторизацию в Active Directory, об этом сигнализирует последний флажок "DHCP-авторизация" (см. рис. 2.1). Если не авторизовать сервер RIS, то он не сможет отвечать на запросы клиентских компьютеров для сетевой загрузки службы [[11]].

Необходимо также создать в Active Directory учетную запись пользователя, которой будет разрешено создавать учетные записи компьютеров в домене. Процесс удаленной установки ОС на клиентском компьютере начинается с ввода имени и пароля пользователя, у которого есть такие разрешения.

Важным аспектом выполнения метода удаленной установки является подготовка образов ОС, которые хранятся на отдельном томе сервера RIS. Используя файл ответов для удаленной установки, можно настроить несколько вариантов автоматической установки, которые будут связаны с одним образом ОС, хранящимся на сервере RIS. Для этого необходимо создать соответствующие файлы ответов, в которых можно настроить параметры ОС, конфигурируемые во время ее установки. Файлы ответов для удаленной установки имеют расширение *.sif и могут быть созданы с помощью диспетчера установки Windows.

Если на сервере RIS хранится более одного образа, то при запуске мастера установки клиентов загрузится экран выбора образов ОС. Если доступен только один образ ОС, то мастер установки клиентов просто попросит пользователя подтвердить установку. Когда один из образов ОС выбран, появляется сообщение о том, что на данный компьютер будет установлена ОС, существующие разделы будут удалены, а жесткий диск будет отформатирован, и все данные, находящиеся на диске, будут стерты [[11]].

Как видим из всего вышеперечисленного, выполнение метода удаленной установки имеет много нюансов и требует большой подготовки для его реализации. Однако, выполнив установку и настройку сервера RIS один раз и проведя его апробацию на тестовом клиентском компьютере, ваша сетевая инфраструктура приобретет незаменимый и очень полезный сервис. Процесс удаленной установки клиентских ОС Windows XP Professional с помощью сервера RIS требует минимум участия пользователя.

2.3. Создание файлов ответов для автоматизации процессов развертывания

Для того чтобы методы развертывания, описанные выше, выполнялись успешно, важно правильно составить файлы ответов. В табл. 2.2 представлен список используемых файлов ответов для различных методов автоматической установки ОС Windows XP Professional.

Таблица 2.2. Файлы ответов
Имя файлаПрименениеМесто расположения
Unattend.txtДля выполнения сценария автоматической установки ОС Windows XP Professional%systemdrive%\Deploy
Winnt.sifДля выполнения сценария автоматической установки ОС Windows XP Professional c компакт-диска. Создается переименованием файла Unattend.txt, в который добавляется секция [Data] с соответствующими разделамиФлоппи-диск A:\
Sysprep.infДля использования утилитой Sysprep (см. п. 2.1.3)%systemdrive%\Sysprep
Winbom.iniЕсли утилита Sysprep используется с параметром -factory, то она работает с данным файлом ответов%systemdrive%\Sysprep
*.sifДля удаленной установки с использованием сервера RISКаждый плоский образ ОС, размещенный на сервере RIS, будет содержать папку \Templates, в которой должны находиться связанные с образом файлы ответов автоматической установки *.sif

2.3.1. Использование диспетчера установки Windows

Диспетчер установки Windows (Windows Setup Manager) упрощает создание файлов ответов и исключает в них возникновение синтаксических ошибок. Диспетчер установки Windows входит в состав компакт-диска с ОС Windows XP Professional (архив \Support\Tools\Deploy.cab), а также в состав пакета Microsoft Windows XP Resource Kit [[8]].

Когда вы запускаете диспетчер установки Windows, на экран выводится первая страница мастера диспетчера установки Windows (рис. 2.4).

Первая страница мастера диспетчера установки Windows


Рис. 2.4.  Первая страница мастера диспетчера установки Windows

Щелкните кнопку "Далее", чтобы перейти к следующей странице, на которой следует сделать выбор:

Если выберете пункт "Создать новый файл ответов", то далее необходимо выбрать тип создаваемого файла ответов. Диспетчер установки Windows может создавать файлы ответов всех типов, представленных в табл. 2.2:

Выбрав нужный вам тип, создайте файл ответов, следуя инструкциям, появляющимся на экране (рис. 2.5).

Создание файла ответов в диспетчере установки Windows


увеличить изображение

Рис. 2.5.  Создание файла ответов в диспетчере установки Windows

2.3.2. Формат и параметры файла ответов

Все типы файлов ответов, используемые для автоматической установки Windows XP Professional, имеют текстовый формат и похожую структуру, которая состоит из секций, содержащих параметры:

[Имя секции]
Параметр1 = Значение
Параметр2 = Значение
...

В табл. 2.3 представлен листинг файла ответов Sysprep.inf с пояснениями всех параметров, который был создан с помощью диспетчера установки Windows.

Таблица 2.3. Содержание файла ответов Sysprep.inf
Листинг файла ответов Sysprep.infПояснения
;SetupMgrTag
[Unattended]
  OemSkipEula=Yes
  InstallFilesPath=C:\sysprep\i386
Настройки для запуска процесса установки
Пропуск вывода окна принятия лицензионного соглашения
Путь к папке с установочными файлами на компьютере
[GuiUnattended]
  AdminPassword=*
  EncryptedAdminPassword=NO
  OEMSkipRegional=1
  TimeZone=201
  OemSkipWelcome=1
Настройки, вводимые через графический пользовательский интерфейс при обычной установке
Пароль администратора остался пустым
Пароль не шифруется в файле ответов
Пропускаем диалог для установки региональных настроек
Часовой пояс - (GTM+06:00 Омск, Новосибирск, ...)
Пропуск окна приветствия при входе в систему
[UserData]
  ProductKey=XXXXX-XXXXX-XXXXX-XXXX
  FullName="User"
  OrgName="SibADI"
  ComputerName=Comp01
Сведения о пользователе
Ключ лицензионного соглашения
Имя пользователя
Название организации
Имя компьютера
[Display]
  BitsPerPel=32
  Xresolution=1024
  YResolution=768
  Vrefresh=60
Параметры экрана
Число бит на пиксель
Разрешение по горизонтали
Разрешение по вертикали
Частота вертикальной развертки
[TapiLocation]
  CountryCode=7
  AreaCode=3812
Настройки телефонной связи (Telephony API)
Код страны - 7 (Россия)
Код города - 3812 (Омск)
[RegionalSettings]
  LanguageGroup=5
  SystemLocale=00000419
  UserLocale=00000419
  InputLocale=0419:00000419
Региональные параметры
Используемая языковая группа - Кириллица
Системная раскладка клавиатуры - Русская
Пользовательская раскладка клавиатуры - Русская
Порядок использования раскладок клавиатуры
[Identification]
  JoinDomain=SibADI
Настройки сетевой идентификации компьютера
Присоединить компьютер к домену "SibADI"
[Networking]
  InstallDefaultComponents=Yes
Настройки сети
Принимаем сетевые настройки по умолчанию

2.4. Решение Microsoft для развертывания настольных бизнес-систем

В последнее время многие компании, имеющие значительный парк компьютеров, сталкиваются с проблемой обновления системного и прикладного ПО. Особенно остро стоит вопрос о целесообразности перехода на новые версии операционных систем и офисных пакетов Microsoft. Ведь помимо финансовых и временных затрат, существуют риски, связанные с несовместимостью используемых приложений с новым базовым ПО, со сбоями в уже налаженном механизме обработки данных и т.д.

Компания Microsoft выпустила комплексное программное решение Business Desktop Deployment (BDD). По своей сути BDD - это набор методических указаний и правил, основанных на концепции Microsoft Solution Framework для планирования, построения, тестирования и развертывания рабочих мест пользователей в рамках корпоративной сетевой инфраструктуры [[9]].

BDD разделяет процесс развертывания настольных бизнес-систем на конкретные задачи


увеличить изображение

Рис. 2.6.  BDD разделяет процесс развертывания настольных бизнес-систем на конкретные задачи

BDD предлагает целостную систему управления развертыванием и обновлением рабочих мест пользователей. Схематично эта система представлена на рис. 2.6. Она включает в себя комплекс документов, описывающих типовые задачи и процессы управления рабочими местами, руководство по совместимости приложений, руководства по устранению неисправностей инфраструктуры, систему создания и поддержки эталонных образов, средства создания основных и вспомогательных пакетов приложений, средства миграции пользователей, настройки защиты рабочих станций, а также рекомендации по организации внедрения, обеспечения доступности и обновления систем [[13]].

Если вы серьезно заинтересовались решением проблем развертывания сетевой инфраструктуры на основе ОС Windows 2003/XP в своей организации, то рекомендуем установить и изучить набор руководств и инструментальных средств BDD от компании Microsoft (доступен для бесплатной загрузки с сайта Microsoft).

2.5. Лабораторная работа № 1. Применение утилиты Sysprep для развертывания Windows XP Professional

На этой лабораторной работе вы подготовите тестовый компьютер для создания образа диска, с которого далее установите ОС Windows XP Professional. Все упражнения данной лабораторной работы № 2А выполняются на виртуальной машине с ОС Windows XP Professional, созданной на предыдущей лабораторной работе.

2.5.1. Упражнение 1. Извлечение инструментальных средств развертывания Windows XP Professional

Вы извлечете инструментальные средства развертывания, используемые для автоматической установки Windows XP Professional, и скопируете их на жесткий диск.

  1. На виртуальной машине загрузите ОС Windows XP Professional.
  2. Зарегистрируйтесь в системе как пользователь с правами администратора.
  3. Вставьте установочный компакт-диск Windows XP Professional в привод CD-ROM.
  4. Закройте окно "Добро пожаловать в Microsoft Windows XP", выводимое при автозапуске.
  5. С помощью Проводника Windows создайте папку C:\Deploy, которая будет использоваться для хранения инструментальных средств развертывания.
  6. С помощью Проводника Windows откройте на установочном компакт-диске Windows XP Professional папку \Support\Tools\.
  7. Дважды щелкните на значке файла-архива Deploy.cab. Проводник Windows отобразит содержимое архива Deploy.cab.
  8. Отметьте все файлы, содержащиеся в Deploy.cab, и извлеките в папку C:\Deploy.

2.5.2. Упражнение 2. Использование диспетчера установки Windows для создания файла ответов Sysprep.inf

  1. Откройте папку C:\Deploy и щелкните дважды на файл Setupmgr.exe. Запустится диспетчер установки.
  2. Появится первая страница мастера диспетчера установки Windows (см. рис. 2.4). Нажмите кнопку "Далее".
  3. В появившемся окне "Новый или существующий файл ответов" установите переключатель "Создать новый файл ответов" и нажмите кнопку "Далее".
  4. Появится окно, где нужно выбрать тип установки. Установите переключатель "Установка Sysprep" и нажмите кнопку "Далее".
  5. Мастер диспетчера установки Windows выводит страницу "Продукт". Убедитесь, что выбран переключатель "Windows XP Professional", и нажмите кнопку "Далее".
  6. Появится окно "Лицензионное соглашение". Чтобы использовать полностью автоматическую установку, необходимо принять условия лицензионного соглашения (End-User License Agreement), выбрав соответствующий переключатель и нажав кнопку "Далее".
  7. Начинается запись данных в файл ответов sysprep.inf. Сначала необходимо ввести имя пользователя и название вашей организации в соответствующих текстовых полях. Введите в полях "Имя" и "Организация" значения "Student" и "Academy" соответственно и нажмите кнопку "Далее".
  8. Оставьте на странице "Параметры экрана" предложенные по умолчанию параметры и нажмите кнопку "Далее".
  9. Далее выберите требуемый часовой пояс и нажмите кнопку "Далее". Откроется страница "Ключ продукта".
  10. Введите ключ продукта и нажмите кнопку "Далее".
  11. Мастер диспетчера установки Windows выводит страницу "Имя компьютера". По умолчанию переключатель установлен на автоматическую генерацию имени компьютера. Выберите переключатель "Использовать следующее имя", назвав компьютер "Client01", затем нажмите кнопку "Далее".
  12. Откроется страница "Пароль администратора", на которой доступен только один переключатель - "Использовать следующий пароль администратора (не более 127 символов)". Не оставляйте пароль администратора пустым! Задайте пароль: Passw0rd и установите флажок "Шифровать пароль администратора в файле ответов". Нажмите кнопку "Далее".
  13. Выводится страница "Сетевые компоненты", на которой доступны два переключателя "Обычные параметры" и "Особые параметры". Оставьте значение по умолчанию "Обычные параметры" и нажмите кнопку "Далее".
  14. На странице "Рабочая группа или домен" также оставьте значение по умолчанию, указывающее, что компьютер входит в рабочую группу с именем "WORKGROUP".
  15. Следующая страница - "Телефония". Введите в поле "Страна" -"Россия", остальные поля оставьте пустыми. Нажмите кнопку "Далее".
  16. Мастер диспетчера установки Windows выводит страницу "Языки и стандарты". По умолчанию выбран переключатель "Выбрать региональные стандарты, используемые по умолчанию для устанавливаемой версии Windows". Нажмите кнопку "Далее", чтобы принять заданные по умолчанию параметры.
  17. Выводится страница "Языки", позволяющая вам установить поддержку других языков. В окне "Языки и языковые группы" выберите щелчком "Кириллица", затем нажмите кнопку "Далее".
  18. Затем последовательно выводятся страницы "Установка принтеров", "Однократное выполнение" и "Дополнительные команды". Везде нажмите кнопку "Далее", не вводя никаких значений.
  19. На последней странице "Строка информации" можно ввести текст, который запишется в реестр на всех дублируемых компьютерах для упрощения идентификации образов Sysprep. Введите "Лабораторная работа 1" и нажмите кнопку "Готово".
  20. Мастер диспетчера установки Windows выводит диалоговое окно, сообщающее, что диспетчер установки успешно создал файл ответов. Нажмите кнопку "ОК", чтобы принять предложенные по умолчанию имя файла и размещение. Закройте диспетчер установки Windows.
  21. Откройте созданный вами файл ответов Sysprep.inf в папке C:\Deploy. Обратите внимание, что пароль администратора не хранится в открытом виде (параметр "AdminPassword"). Убедитесь также, что диспетчер установки Windows создал папку Sysprep в корневом разделе образа диска и поместил в нее копию файла Sysprep.inf.

2.5.3. Упражнение 3. Подготовка системы для создания образа диска

Вы выполните подготовку системы для создания образа диска на виртуальной машине с ОС Windows XP Professional. Перед выполнением этого упражнения можно установить какое-нибудь прикладное программное обеспечение на данной виртуальной машине.

  1. Вы зарегистрированы в системе как пользователь с правами администратора.
  2. Откройте папку C:\Deploy и щелкните дважды на файл Sysprep.exe.
  3. Выводится диалоговое окно "Программа подготовки системы 2.0", предупреждающее, что запуск программы Sysprep может привести к изменению некоторых параметров безопасности. Для продолжения работы нажмите кнопку "OK".
  4. Далее выводится окно, позволяющее вам настроить параметры Sysprep. В группе параметров "Флаги" пометьте флажок "Мини-установка", а затем нажмите кнопку "Запечатать компьютер".
  5. Sysprep выводит окно, сообщающее, что вы выбрали регенерацию дескрипторов безопасности (SID) при следующей перезагрузке компьютера. Нажмите кнопку "ОК".
  6. Откроется окно "Работает Sysprep…". Через некоторое время ваш компьютер завершит работу.
  7. Вы создали образ диска, который теперь можно копировать на другие компьютеры с помощью специального ПО для клонирования дисков. В рамках лабораторной работы для экономии времени пропустим этот шаг.

2.5.4. Упражнение 4. Установка Windows XP Professional с образа диска

В этом упражнении вы будете использовать созданный ранее образ диска для развертывания ОС Windows XP Professional с предустановленным прикладным ПО. Установку образа будем выполнять на тот же компьютер, на котором создавали образ.

  1. Включите компьютер, на котором был создан образ. Программа установки через некоторое время выводит следующее сообщение "Please Wait While Windows Prepares To Start".
  2. Если утилита Sysprep обнаружит созданный вами файл ответов Sysprep.inf в папке C:\Sysprep, то на экране появится окно "Установка Windows XP" (см. рис. 2.2), в котором будет сообщение "Пожалуйста, подождите". В противном случае появится первая страница мастера установки Windows XP Professional, и вам придется выполнить процедуру мини-установки вручную.
  3. Программа установки считывает данные из файла ответов Sysprep.inf. При этом на экране в окне "Установка Windows XP" галочками будут отмечаться выполненные действия.
  4. После окончания установки XP Professional зарегистрируйтесь как Администратор.
  5. Выберите "Пуск", на ярлыке "Мой компьютер" нажмите правую кнопку мыши, в контекстном меню перейдите на "Свойства". В появившемся окне "Свойства системы" на вкладке "Общие" вы увидите, что имя пользователя и название организации установлены из файла ответов: "Student" и "Academy".
  6. Перейдите на следующую вкладку "Имя компьютера" окна "Свойства системы". Убедитесь, что имя компьютера "Client01" и он входит в рабочую группу "WORKGROUP". Закройте окно "Свойства системы".
  7. Выберите "Пуск" / "Выполнить". Запустите программу "Редактор реестра", набрав в поле запуска "regedit".
  8. В левой навигационной панели программы "Редактор реестра" перейдите в раздел "HKEY_LOCAL_MACHINE\SYSTEM\Setup". Убедитесь, что значением параметра "OEMDuplicatorString" является запись из файла ответов "Лабораторная работа 1".

2.5.5. Самостоятельное упражнение. Автоматическая установка Windows XP Professional с компакт-диска

С помощью диспетчера установки Windows создайте файл ответов для автоматической установки Windows XP Professional с компакт-диска. Сравните содержимое вашего файла ответов Winnt.sif с созданным в упражнении № 2 - Sysprep.inf. Скопируйте файл ответов Winnt.sif на дискету и выполните самостоятельно установку ОС Windows XP Professional с компакт-диска.

2.6. Лабораторная работа № 2. Проведение удаленной установки ОС Windows XP Professional

На этой лабораторной работе вы установите службу RIS на компьютер с серверной ОС Windows Server 2003, с помощью которой далее удаленно установите ОС Windows XP Professional на новый компьютер. Упражнения данной лабораторной работы выполняются на виртуальных машинах с ОС Windows Server 2003 и с ОС Windows XP Professional, созданных ранее.

2.6.1. Упражнение 1. Подготовка виртуальной машины с ОС Windows Server 2003 для установки службы RIS

Ознакомьтесь с требованиями для проведения метода удаленной установки (раздел 2.2.1). На созданной в ходе лабораторной работы № 1 виртуальной машине с серверной ОС Windows Server 2003 установлены требуемые сетевые службы: DNS, DHCP и Active Directory. Обязательным условием также является наличие дополнительного общего тома, отформатированного под файловую систему NTFS версии 5 и выше. В данном упражнении создадим этот дополнительный том, на котором потом будут храниться образы устанавливаемых ОС.

  1. Добавьте дополнительный жесткий диск размером 2 Гб к виртуальной машине с Windows Server 2003.
  2. На виртуальной машине загрузите ОС Windows Server 2003.
  3. Зарегистрируйтесь в системе под учетной записью администратора домена Test.
  4. Выберите "Пуск", на ярлыке "Мой компьютер" нажмите правую кнопку мыши, в контекстном меню перейдите на "Управление". В появившемся окне "Управление компьютером" выберите оснастку "Управление дисками".
  5. Запустится мастер инициализации и преобразования дисков. Нажмите кнопку "Далее".
  6. Появится окно "Выбор диска для инициализации", в котором будет отмечен "Диск 1". Нажмите кнопку "Далее".
  7. В следующем окне "Выбор дисков для преобразования" отметьте "Диск 1" и нажмите кнопку "Далее".
  8. В появившемся окне "Завершение мастера инициализации" нажмите кнопку "Готово". В оснастке "Управление дисками" убедитесь, что состояние присоединенного диска "Подключен".
  9. Теперь на подключенном диске необходимо создать новый раздел. Правой клавишей мыши щелкните в нераспределенную область (черного цвета) диска "Диск 1", в появившемся меню выберите "Создать раздел". (Если появится пункт "Создать том", то это означает, что присоединенный диск использует динамическое хранение. Правой клавишей мыши щелкните на иконку "Диск 1" и выберите в меню пункт "Преобразовать в базовый диск". Теперь выполните пункт 9 этого упражнения.)
  10. Запустится мастер создания разделов. Нажмите кнопку "Далее".
  11. В окне "Выбор типа раздела" оставьте вариант "Основной раздел" и нажмите кнопку "Далее".
  12. В появившемся окне "Указание размера раздела" ничего не меняйте, оставьте предложенный размер и нажмите кнопку "Далее".
  13. В следующем окне "Назначение буквы диска или пути" установите переключатель на вариант "Назначить букву диска (A-Z)" и выберите букву "R". Нажмите кнопку "Далее".
  14. Откроется окно "Форматирование раздела". По умолчанию переключатель стоит на варианте "Форматировать данный раздел следующим образом". Выбрана файловая система "NTFS", размер кластера - "По умолчанию". Задайте метку тома "RIS" и установите флажок "Быстрое форматирование". Нажмите кнопку "Далее".
  15. В появившемся окне "Завершение мастера создания раздела" нажмите кнопку "Готово". Вы увидите, что область диска стала синего цвета и "Диск 1" быстро форматируется под файловую систему NTFS.
  16. Закройте окно "Управление компьютером". С помощью проводника Windows убедитесь, что у вас появился диск R с меткой "RIS".

2.6.2. Упражнение 2. Установка службы удаленной RIS

  1. Вставьте установочный компакт-диск Windows Server 2003 в CD-ROM.
  2. В Windows Server 2003 нажмите "Пуск", выберите "Настройка" и перейдите в "Панель Управления".
  3. Откройте элемент "Установка и удаление программ". Слева на панели нажмите на кнопку "Установка компонентов Windows".
  4. Прокрутите список, выберите "Службы удаленной установки" и нажмите кнопку "Далее". Начнется установка службы RIS на ваш сервер.
  5. Нажмите кнопку "Готово" для выхода из мастера компонентов Windows.
  6. Вам будет предложено перезагрузить компьютер. Нажмите кнопку "Да".
  7. После перезагрузки сервера войдите в систему под учетной записью администратора домена.
  8. Выберите "Пуск" / "Программы" / "Администрирование" / "Установка служб удаленной установки". Запустится мастер установки служб удаленной установки. Появится экран приветствия, в котором перечислены некоторые требования для успешной установки службы RIS. Нажмите кнопку "Далее".
  9. В следующем окне вам будет предложено указать диск и папку на сервере, где будут размещены файлы RIS. По умолчанию эта папка размещается на самом большом, несистемном, незагрузочном разделе, отформатированном в файловой системе NTFS. В нашем случае это будет R:\RemoteInstall. Нажмите кнопку "Далее".
  10. Далее появится окно "Исходные параметры", где можно сразу включить обслуживание сервером RIS клиентских компьютеров. Выберите только параметр "Отвечать на запросы клиентских компьютеров" и нажмите кнопку "Далее".
  11. Далее нужно указать местонахождение установочных файлов ОС Windows XP Professional. Вставьте установочный компакт-диск Windows XP Professional в CD-ROM и введите букву CD-привода. Нажмите кнопку "Далее".
  12. Далее вам будет предложено ввести имя папки, в которой будут содержаться установочные файлы ОС Windows XP Professional на сервере. Эта папка будет создана внутри папки R:\RemoteInstall. По умолчанию предлагается имя "WINDOWS". Оставьте имя папки без изменений и нажмите кнопку "Далее".
  13. Далее необходимо ввести понятное описание и текст подсказки для образа установки Windows XP Professional на английском языке (символы кириллицы не поддерживаются мастером установки клиентов). Описание и поясняющий текст будут отображаться в процессе установки на удаленный компьютер. В данном упражнении ничего менять не будем, но на практике подсказка должна быть понятной для пользователей, чтобы они смогли выбрать правильный вариант во время установки. Нажмите кнопку "Далее", чтобы сохранить название по умолчанию "Microsoft Windows XP Professional RU".
  14. В последнем окне отобразятся выбранные вами параметры для сервера удаленной установки. Нажмите кнопку "Готово", чтобы завершить установку сервера RIS.
  15. Дождитесь, пока мастер установит выбранные службы и настройки. Это займет несколько минут. После завершения процесса появится экран, представленный на рис. 2.3. Нажмите кнопку "Готово".

2.6.3. Упражнение 3. Создание загрузочной дискеты

Загрузочная дискета необходима для запуска удаленной установки ОС Windows XP Professional на клиентском компьютере, так как в BIOS Virtual PC нельзя выбрать сетевой адаптер в качестве устройства, с которого можно начать загрузку.

  1. Вставьте в дисковод чистую отформатированную дискету.
  2. С помощью проводника Windows перейдите в папку R:\RemoteInstall\Admin\i386.
  3. Запустите файл rbfg.exe для старта утилиты "Генератор дисков удаленной установки". Прочитайте выведенную в окне информацию и нажмите кнопку "Создать диск".
  4. Далее появится диалоговое окно, предлагающее создать еще одну загрузочную дискету. Нажмите кнопку "Нет".
  5. Нажмите кнопку "Закрыть", чтобы закрыть окно "Дискета удаленной загрузки для Microsoft Windows".

2.6.4. Упражнение 4. Создание файла ответов для автоматической удаленной установки

Будем создавать файл ответов для автоматической удаленной установки на виртуальной машине с ОС Windows XP Professional, использовавшейся в лабораторной работе № 2.

  1. Откройте папку C:\Deploy, куда были извлечены файлы из архива Deploy.cab, и щелкните дважды на файл Setupmgr.exe. Запустится диспетчер установки.
  2. Появится первая страница мастера диспетчера установки Windows. Нажмите кнопку "Далее".
  3. В появившемся окне "Новый или существующий файл ответов" установите переключатель "Создать новый файл ответов" и нажмите кнопку "Далее".
  4. Появится окно, где нужно выбрать тип установки. Установите переключатель "Службы удаленной установки (RIS)" и нажмите кнопку "Далее".
  5. Мастер диспетчера установки Windows выводит страницу "Продукт". Убедитесь, что выбран переключатель "Windows XP Professional", и нажмите кнопку "Далее".
  6. В окне "Взаимодействие с пользователем" выберите вариант "Полностью автоматическая установка" и нажмите кнопку "Далее".
  7. Появится окно "Лицензионное соглашение". Чтобы использовать полностью автоматическую установку, необходимо принять условия лицензионного соглашения (End-User License Agreement), отметив флажок "Я принимаю условия лицензионного соглашения". Нажмите кнопку "Далее".
  8. Начинается запись данных в файл ответов. Сначала необходимо ввести имя пользователя и название вашей организации в соответствующих текстовых полях. Введите в полях "Имя" и "Организация" значения "Student" и "Academy" соответственно и нажмите кнопку "Далее".
  9. Оставьте на странице "Параметры экрана" предложенные по умолчанию параметры и нажмите кнопку "Далее".
  10. Далее выберите требуемый часовой пояс и нажмите кнопку "Далее". Откроется страница "Ключ продукта".
  11. Введите ключ продукта и нажмите кнопку "Далее".
  12. Откроется страница "Пароль администратора", на которой доступен только один переключатель - "Использовать следующий пароль администратора (не более 127 символов)". Не оставляйте пароль администратора пустым! Задайте пароль: Passw0rd и установите флажок "Шифровать пароль администратора в файле ответов". Нажмите кнопку "Далее".
  13. Выводится страница "Сетевые компоненты", на которой доступны два переключателя "Обычные параметры" и "Особые параметры". Оставьте значение по умолчанию "Обычные параметры" и нажмите кнопку "Далее".
  14. Следующая страница - "Телефония". Введите в поле "Страна" -"Россия", остальные поля оставьте пустыми. Нажмите кнопку "Далее".
  15. Мастер диспетчера установки Windows выводит страницу "Языки и стандарты". По умолчанию выбран переключатель "Выбрать региональные стандарты, используемые по умолчанию для устанавливаемой версии Windows". Нажмите кнопку "Далее", чтобы принять заданные по умолчанию параметры.
  16. Выводится страница "Языки", позволяющая вам установить поддержку других языков. В окне "Языки и языковые группы" выберите щелчком "Кириллица", затем нажмите кнопку "Далее".
  17. В окне "Параметры обозревателя и оболочки" оставьте вариант "Использовать для настройки обозревателя параметры по умолчанию" и нажмите кнопку "Далее".
  18. Папку установки оставьте предлагаемую по умолчанию "… с именем Windows", нажмите кнопку "Далее".
  19. Затем последовательно выводятся страницы "Установка принтеров", "Однократное выполнение" и "Дополнительные команды". Везде нажмите кнопку "Далее", не вводя никаких значений.
  20. На последней странице "Текст информационного файла установки" необходимо ввести понятное описание и текст справки для образа установки Windows XP Professional на английском языке (символы кириллицы не поддерживаются мастером установки клиентов). Введите в поле описания - "Windows XP Professional - Lab2", а в поле справки - "Remote installation Windows XP Professional", затем нажмите кнопку "Готово".
  21. Мастер диспетчера установки Windows выводит диалоговое окно, сообщающее, что диспетчер установки успешно создал файл ответов. Нажмите кнопку "ОК", чтобы принять предложенные по умолчанию имя файла и размещение C:\windist\remboot.sif. Закройте диспетчер установки Windows.
  22. Скопируйте файл remboot.sif с виртуальной машины ОС Windows XP Professional из папки C:\windist\ на виртуальную машину ОС Windows Server 2003 в корень на диск C:\.

2.6.5. Упражнение 5. Настройка сервера удаленной установки

В этом упражнении вы проверите авторизацию сервера RIS в Active Directory и создадите пользователя, у которого будет разрешение добавлять учетные записи компьютеров в домен Test. Вы также свяжете созданный в предыдущем упражнении файл ответов remboot.sif с уже имеющимся образом ОС Windows XP Professional для удаленной установки. Упражнение выполняется на виртуальной машине с ОС Windows Server 2003.

  1. Зарегистрируйтесь на сервере как пользователь с правами администратора домена.
  2. Выберите "Пуск" / "Программы" / "Администрирование" / оснастка "DHCP". Запустите оснастку.
  3. Правой кнопкой мыши щелкните по значку "DHCP" в верхнем левом углу оснастки и выберите в контекстном меню пункт "Список авторизованных серверов…". Убедитесь, что ваш сервер авторизован. Если список в окне "Авторизованные DHCP-серверы" пуст, нажмите кнопку справа "Авторизовать" и введите IP-адрес сервера RIS. Нажмите кнопку "Да", когда потребуется подтвердить правильность адреса.
  4. Выберите "Пуск" / "Программы" / "Администрирование" / оснастка "Active Directory - пользователи и компьютеры". Запустите оснастку.
  5. Перейдите в контейнер "Users". В правом окне оснастки появится список пользователей и групп домена Test.local. В меню "Действие" выберите пункт "Создать" / "User".
  6. Откроется окно "Новый объект - User". В полях "Имя" и "Имя входа пользователя" введите "Lab2User", затем нажмите кнопку "Далее".
  7. В следующем окне задайте пароль для пользователя Lab2User - Passw0rd и снимите флажок "Требовать смену пароля при следующем входе в систему". Нажмите кнопку "Далее".
  8. Появится итоговое окно, в котором вы увидите полное имя и имя входа пользователя. Убедитесь, что в именах нет ошибок, и нажмите кнопку "Готово".
  9. Далее пользователю Lab2User нужно дать необходимые разрешения на создание учетных записей компьютеров в домене Test.local. Правой кнопкой мыши щелкните на значок имени домена Test.local в левом окне оснастки, и выберите пункт "Делегирование управления".
  10. Запустится мастер делегирования управления. Нажмите кнопку "Далее".
  11. В появившемся окне "Пользователи или группы" нажмите кнопку "Добавить" для добавления пользователя, которому будет разрешено производить удаленную установку ОС на компьютеры при помощи службы RIS.
  12. В появившемся окне введите имя пользователя - Lab2User и нажмите кнопку "OK".
  13. Убедитесь, что в следующем окне поле "Выбранные пользователи и группы" содержит объект пользователя с именем "Lab2User (Lab2User@Test.local)", и нажмите кнопку "Далее".
  14. В окне "Делегируемые задачи" отметьте пункт "Присоединение компьютера к домену" и нажмите кнопку "Далее".
  15. В последнем окне мастера нажмите кнопку "Готово".
  16. Далее необходимо связать файл ответов remboot.sif, который лежит в корне на диске C:\, с образом ОС Windows XP Professional для удаленной установки. В левом окне открытой ранее оснастки "Active Directory - пользователи и компьютеры" перейдите в контейнер "Domain Controllers".
  17. В правом окне оснастки откроется список контроллеров домена Test.local, состоящий из одного сервера с именем "Server01". Нажмите правой клавишей мыши на значок Server01, в появившемся контекстном меню выберите пункт "Свойства".
  18. Перейдите на вкладку "Удаленная установка". На этой вкладке нажмите кнопку "Дополнительные параметры". Откроется окно "Свойства: Server01-Remote-Installation-Services", вкладка "Новые клиенты".
  19. Перейдите на вкладку "Образы". Вы увидите, что у вас имеется один образ ОС, созданный ранее с описанием "Microsoft Windows XP Professional RU" (см. п. 13 упражнения 2). Нажмите кнопку "Добавить".
  20. В открывшемся окне оставьте вариант "Сопоставить новый файл ответов существующему образу" и нажмите кнопку "Далее".
  21. В окне "Источник файла ответов для автоматической установки" выберите вариант "Иное место" и нажмите кнопку "Далее".
  22. В следующем окне "Выбор образа установки" щелкните левой кнопкой мыши на единственный имеющийся у вас образ и нажмите кнопку "Далее".
  23. В появившемся окне укажите путь к созданному в упражнении 4 файлу ответов - C:\remboot.sif (можно воспользоваться кнопкой "Обзор"). Нажмите кнопку "Далее".
  24. Задайте понятное описание и текст справки для образа установки Windows XP Professional. Помните, что символы кириллицы не поддерживаются мастером установки клиентов. Введите в поле описания - "Windows XP Professional - Lab2", а в качестве поясняющего текста - "Remote installation Windows XP Professional", затем нажмите кнопку "Далее".
  25. Последнее окно "Просмотр параметров" позволяет просмотреть, куда был скопирован ваш файл ответов в поле "Конечный путь". Нажмите кнопку "Готово".
  26. Убедитесь, что добавлен новый образ с описанием "Windows XP Professional - Lab2", и нажмите кнопку "OK" на вкладке "Образы".
  27. В окне "Свойства: Server01" можете нажать кнопку "Проверить сервер", чтобы еще раз удостовериться, что сервер RIS авторизован и запускаются требуемые службы удаленной установки. Убедитесь также, что в области "Поддержка клиентов" включен только флажок "Отвечать клиентским компьютерам, запрашивающим обслуживание". Нажмите кнопку "ОК" и закройте оснастку "Active Directory - пользователи и компьютеры".

2.6.6. Упражнение 6. Выполнение удаленной установки ОС Windows XP Professional на клиентский компьютер

Это упражнение является последним в данной лабораторной работе. Вам предстоит выполнить удаленную установку ОС Windows XP Professional на клиентский компьютер. Вы можете создать новую виртуальную машину и выполнить на нее удаленную установку. Можно взять уже существующую виртуальную машину с ОС Windows XP Professional и, загрузившись с загрузочной дискеты для запуска удаленной установки, выполнить данное упражнение.

  1. Вставьте во флоппи-дисковод загрузочную дискету для запуска удаленной установки, созданную в ходе упражнения 3 данной лабораторной работы.
  2. Запустите виртуальную машину. Установите в BIOS в качестве первого загрузочного устройства флоппи-диск. Сохраните настройки и выйдите из BIOS.
  3. Должна начаться загрузка с дискеты. В случае успешного соединения с DHCP-сервером компьютер получит IP-адрес и вам будет предложено нажать клавишу "F12" для запуска мастера установки клиентов.
  4. Загрузится экран "Client Installation Wizard" в текстовом режиме на синем фоне. Выньте загрузочную дискету из дисковода и нажмите клавишу "Enter" на клавиатуре.
  5. Появится следующий экран, где вам нужно ввести учетную запись и пароль пользователя, которому разрешено производить удаленную установку ОС на компьютеры при помощи службы RIS. Введите в соответствующих полях - Lab2User / Passw0rd и нажмите клавишу "Enter" на клавиатуре.
  6. Далее необходимо выбрать нужный образ операционной системы. Наведите курсор на вариант "Windows XP Professional - Lab2" и нажмите клавишу "Enter" на клавиатуре.
  7. Появится предупреждение о том, что все данные на жестком диске будут удалены. Нажмите клавишу "Enter".
  8. На следующем экране вы увидите имя учетной записи клиентского компьютера, которое генерируется автоматически (по умолчанию на основе имени пользователя), а также уникальный код компьютера GUID. Нажмите клавишу "Enter" на клавиатуре, и начнется удаленная установка ОС Microsoft Windows XP Professional.
  9. Во время удаленной установки никакого участия от вас не потребуется. Все настройки ОС будут выполнены в соответствии с файлом ответов.

2.8. Резюме

Автоматическое развертывание ОС и клиентских рабочих мест является важной задачей для обеспечения безопасности сетевой инфраструктуры любой организации. Предпочтение какого-либо метода развертывания определяется ресурсами, сетевой инфраструктурой или требованиями к времени развертывания. Для автоматизации процесса развертывания создаются файлы ответов с помощью диспетчера установки Windows (Windows Setup Manager). При развертывании с помощью метода дублирования дисков требуется специальное ПО для клонирования дисков. Если в сетевой инфраструктуре компании доступны службы DNS, DHCP, Active Directory, то целесообразно воспользоваться службой удаленной установки - RIS (Remote Installation Services).

Лекция 3. Обеспечение безопасности хранения данных в ОС Microsoft

В этой лекции мы познакомимся с предоставляемыми возможностями ОС Microsoft Windows 2003/XP по обеспечению безопасности хранения данных в целом, несмотря на их степень значимости

На этом занятии рассмотрим один из ключевых моментов информационной безопасности любой организации - обеспечение сохранности данных. Под данными будем понимать различные пользовательские файлы, которые постоянно создаются, редактируются и удаляются в процессе функционирования организации. В этих файлах может храниться информация любой важности: от несущественной, утрата которой никак не скажется на бизнес-процессах, до критичной, потеряв которую компания рискует закончить свое существование.

В рамках этого занятия не будем касаться вопроса классификации данных по степени их важности. По этой тематике есть много литературы из области теории информационной безопасности, управления рисками и т. п. Цель этого занятия - ознакомиться с предоставляемыми возможностями ОС Microsoft Windows 2003/XP по обеспечению безопасности хранения данных в целом, несмотря на их степень значимости.

Из теории информационной безопасности известно, что обеспечение сохранности информации достигается различными решениями: начиная с тиражирования информационных ресурсов (программ и данных) и заканчивая резервированием устройств хранения данных [[18]]. Поэтому на данном занятии рассмотрим интересные и полезные решения, предоставляемые ОС Microsoft Windows 2003/XP в этом диапазоне:

Прежде всего

Для изучения материалов этой главы необходимы следующие ресурсы:

3.1. Технология теневого копирования данных

Суть данной технологии заключается в создании копий выбранных файлов через определенные промежутки времени. Реализована технология в виде отдельной службы теневого копирования тома (VSS). Она используется для управления данными на дисках и может взаимодействовать с различными приложениями. Например, в программах резервного копирования эта служба обеспечивает копирование файлов, занятых во время архивации другими приложениями.

Важной практической функцией технологии теневого копирования является возможность восстановления последних версий случайно удаленных или поврежденных файлов. В ОС Microsoft Windows 2003/XP предоставляется возможность пользователям клиентских компьютеров восстанавливать файлы из теневой копии самостоятельно без вмешательства системных администраторов, что, безусловно, очень удобно с точки зрения экономии времени [[21]].

3.1.1. Ограничения теневого копирования томов

Теневые копии файлов на заданных томах доступны только на серверах под управлением ОС Windows Server 2003. На сервере в каталоге %Systemroot%\System32\Clients\Twclient\x86\ имеется клиентское ПО для инсталляции на компьютеры под управлением Windows XP Professional, установив которое, пользователи смогут получать доступ к теневым копиям через вкладку "Предыдущие версии" окна свойств файлов теневого тома [[19]]. Последняя версия этого клиентского ПО доступна по адресу: http://www.microsoft.com/windowsserver2003/downloads/shadowcopyclient.mspx.

Теневое копирование тома не будет работать для точек подключения, когда второй жесткий диск подключается к первому в виде папки [[16]].

Создавать теневые копии можно только на томах с файловой системой NTFS. Теневое копирование будет выполняться для всех общих папок, хранящихся на этом томе. Возможности выбрать отдельные общие папки на томе, для которых бы создавались теневые копии, - нет! Для хранения теневых копий требуется не менее 100 Мб свободного места на выбранном томе [[23]]. Максимально допустимое значение - 64 теневые копии на один том, независимо от того, сколько свободного места остается в области хранения.

3.1.2. Установка и использование технологии теневого копирования томов

На сервере под управлением ОС Windows Server 2003 желательно разместить общие папки, для которых хотите использовать теневые копии, на отдельном томе. Это убережет от заполнения теневыми копиями дискового пространства и от снижения пропускной способности средств ввода-вывода в результате копирования тех общих папок, для которых функция теневого копирования не нужна [[16]].

Для активизации создания теневых копий на томе в окне его свойств перейдите на вкладку "Теневые копии" (рис. 3.1).

На этой вкладке следует выбрать том, для общих папок которого будут создаваться теневые копии. При большой загрузке файлового сервера целесообразно хранить теневые копии на отдельном томе, который бы размещался на другом жестком диске. Это повысит производительность сервера.

Вкладка "Теневые копии" окна свойств диска


Рис. 3.1.  Вкладка "Теневые копии" окна свойств диска

По умолчанию теневые копии сохраняются на том же диске, где хранятся общие папки. При этом устанавливаются следующие настройки [[16]]:

Для изменения настроек теневых копий тома, отличных от заданных по умолчанию, выберите нужный том из списка и нажмите кнопку "Параметры" (рис 3.2).

Окно настройки параметров теневого копирования тома


Рис. 3.2.  Окно настройки параметров теневого копирования тома

Если вы решили изменить расписание создания теневых копий, нажмите кнопку "Расписание": появится окно, представленное на рис. 3.3, для его настройки.

Окно настройки расписания теневого копирования тома


Рис. 3.3.  Окно настройки расписания теневого копирования тома

После выполненных настроек нажмите кнопку "Включить" - начнут создаваться теневые копии общих папок на заданном томе. Теперь, если обратиться через контекстное меню к свойствам файлов, хранящимся в общих папках, появится специальная вкладка "Предыдущие версии" (рис 3.4). Эта вкладка будет доступна в окне свойств файла, только если вы обратились к общей папке как к сетевому ресурсу (например, UNC-путь)!

Вкладка "Предыдущие версии" в окне свойств общей папки


Рис. 3.4.  Вкладка "Предыдущие версии" в окне свойств общей папки

Внизу вкладки имеются три кнопки, позволяющие совершать различные действия с копиями файла:

Далее рассмотрим случай, когда файл был удален и требуется его восстановление из теневой копии. Так как объект "файл", на котором можно щелкнуть правой кнопкой мыши, в общей папке в этом случае отсутствует, необходимо обратиться к свойствам папки, где имеется такая же вкладка "Предыдущие версии". Нажав кнопку "Показать", можно просмотреть, какие файлы и папки содержались в ней на выбранный момент времени. Отсюда можно восстановить удаленный файл в любое место, в том числе и в прежнюю папку.

Как видим, процедура восстановления файла из теневой копии - достаточно простая и быстрая операция для пользователей. Но следует помнить, что технология теневого копирования не является стопроцентным решением задачи обеспечения сохранности данных. Она решает проблему быстрого восстановления совместно используемых файлов из общих папок.

3.2. Архивация данных

Под архивацией принято понимать обычное копирование данных на резервный носитель информации, чтобы в случае отказа или повреждения основного устройства хранения можно было быстро восстановить имеющиеся на нем данные. Архивация дает наивысшую степень отказоустойчивости по сравнению со всеми другими технологиями хранения данных, обеспечивающих отказоустойчивость, такими как теневое копирование, избыточные массивы независимых дисков, кластерные серверы и т.д. [[19]].

Эффективность применения архивации в сетевой инфраструктуре зависит от правильного выбора специального ПО и планирования. В состав ОС Microsoft Windows 2003/XP входит служебная программа Backup, обеспечивающая основные функции архивации, включая возможности работы по расписанию и взаимодействие со службой теневого копирования тома [[23]].

3.2.1. Работа с программой архивирования Backup

Выполнять архивацию всех данных на компьютере почти никогда не требуется, так как при выходе из строя жесткого диска можно достаточно быстро произвести установку ОС и основного прикладного ПО (см. занятие 2). Поэтому следует архивировать только создаваемые пользователями файлы (документы, базы данных и т. п.) и файлы конфигурации приложений. Разумный выбор объектов для резервного копирования сэкономит общее время и ресурсы архивации.

Первая страница мастера программы архивирования Backup


Рис. 3.5.  Первая страница мастера программы архивирования Backup

При первом запуске программа архивирования Backup ("Пуск" / "Программы" / "Стандартные" / "Служебные" / "Архивация данных") запускается в режиме мастера (рис. 3.5). На этом занятии работа программы Backup Windows в режиме мастера изучаться не будет. Нажмите ссылку "Расширенный режим", а затем перейдите на вкладку "Архивация" (рис. 3.6) - на экране отобразится древовидное меню для выбора архивируемых данных.

Вкладка "Архивация" в окне программы Backup Windows


увеличить изображение

Рис. 3.6.  Вкладка "Архивация" в окне программы Backup Windows

На этой вкладке необходимо выбирать файлы и папки, которые должны быть заархивированы. Когда выбирается определенная папка (диск), Backup автоматически помечает к архивации все файлы или папки внутри нее. При этом флажок отметки будет синего цвета. Если нужно исключить какие-то файлы или папки из уже отмеченных, щелкните на связанный с ними флажок и снимите пометки о включении. При этом у родительской папки флажок отметки изменит цвет с синего на серый, что означает не стопроцентный выбор содержимого внутри папки. Используя папку "Сетевое окружение", можно включить в процесс архивации данные с других компьютеров сети.

Слева в нижней части окна нужно задать имя файла-архива и выбрать место его сохранения. Файлы-архивы, создаваемые программой Backup, могут быть размещены на любых носителях информации, таких как жесткие диски, записываемые компакт-диски в форматах СD и DVD, накопители на сменных картриджах (Zip, Jaz) и на магнитной ленте. При этом размер файла-архива будет ограничиваться емкостью используемого носителя. Поэтому целесообразно в сетевой инфраструктуре выделить специальный сервер с большим объемом дискового пространства для хранения архивов.

После того как заданы носитель и имя архива, выбраны все необходимые файлы и папки для резервного копирования, щелкните кнопку "Архивировать" для задания параметров архивации и запуска самого процесса. Появится окно "Сведения о задании архивации" (рис. 3.7).

Окно "Сведения о задании архивации" программы Backup Windows


Рис. 3.7.  Окно "Сведения о задании архивации" программы Backup Windows

В этом окне можно задать описание архива и метку носителя. Если будет выбран вариант "Дозаписать этот архив к данным носителя" (по умолчанию), то значение из текстового поля, где задается метка носителя, не используется, и она останется прежней. Это окно содержит кнопки "Архивировать", "Дополнительно", "Расписание" и "Отмена". Если нажать кнопку "Архивировать", то запустится процесс архивации. Но до этого можно настроить дополнительные параметры и расписание архивации, нажав соответствующие кнопки.

3.2.2. Стратегии архивации

Программа Backup Windows поддерживает пять стандартных типов архивации, которые в действительности представляют собой комбинации фильтров [[19]]. Для осуществления первых трех типов архивации (табл. 3.1) используются атрибуты файлов. Факт изменения файла определяется по установке атрибута "архивный" (бит архива). Во время архивации этот атрибут сбрасывается [[22]].

Таблица 3.1. Типы архивации
Тип архиваАрхивируемые данныеСостояние бита архива
НормальныйВсе выбранные файлы, независимо от того, архивировались ли они ранееСбрасывается
ДобавочныйТолько файлы, модифицированные с момента последней нормальной или добавочной архивацииСбрасывается
РазностныйТолько файлы, модифицированные с момента последней нормальной архивацииНе сбрасывается
КопирующийВсе выбранные файлыНе используется
ЕжедневныйТолько файлы, созданные или модифицированные за текущие суткиНе используется

Представленные типы архивации в табл. 3.1 могут применяться в различных комбинациях друг с другом, определяющих стратегии архивации (табл. 3.2). При выборе стратегии архивации обычно учитывают два критерия - время, необходимое для архивации и для восстановления данных. Во многих организациях стратегии архивации рассчитаны на недельный цикл.

Таблица 3.2. Стратегии архивации
Стратегия архивацииНеобходимое время для архивацииНеобходимое время для восстановленияОписание
12345
1Полная архивацияМаксимальноеМинимальноеНа практике отдельно полная архивация в еженедельном цикле не используется. Однако при незначительном изменении архивируемых данных на сервере (рабочей станции), она может выполняться один раз в неделю.
2Полная архивация с последующей добавочнойМинимальноеМаксимальноеВ понедельник выполняется обычная архивация, со вторника по пятницу - добавочная. Так как каждая из этих архиваций сбрасывает бит архива, то ежедневно архивируются только измененные файлы. Если произойдет сбой данных в пятницу, то необходимо будет восстановить обычный архив от понедельника и последовательно каждый добавочный архив со вторника по четверг.
3Полная архивация с последующей разностнойПромежуточное между стратегиями 1 и 2Промежуточное между стратегиями 1 и 2В понедельник выполняется обычная архивация, со вторника по пятницу - разностная. Так как разностная архивация не сбрасывает бит архива, то ежедневно архивируются все изменения, произошедшие с понедельника. Если произойдет сбой данных в пятницу, то необходимо будет восстановить обычный архив от понедельника и последний разностный архив от четверга.
4Ежедневная архивацияЗависит от количества созданных и измененных файлов за текущие суткиОпределяется объемом восстанавливаемых данныхЕжедневная архивация использует не атрибут файла "архивный" (бит архива), а его дату изменения. Данную стратегию целесообразно применять, если существует задача восстанавливать файлы из архива с точной датой.

Окно для настройки дополнительных параметров архивации


Рис. 3.8.  Окно для настройки дополнительных параметров архивации

Настроить определенную стратегию архивации можно в дополнительных параметрах архивации (рис. 3.8) и в параметрах запланированного задания (рис. 3.9), которые вызываются нажатием кнопок "Дополнительно" и "Расписание" в окне "Сведения о задании архивации" (см. рис. 3.7).

Вкладка "Расписание" для настройки запланированного задания архивации


Рис. 3.9.  Вкладка "Расписание" для настройки запланированного задания архивации

3.2.3. Восстановление данных

Главная и единственная причина создания резервных копий - это возможность восстановления данных. Успешное восстановление данных возможно, если придерживаться некоторых правил, главные из которых:

В ОС Microsoft Windows 2003/XP восстанавливать папки и файлы из архива могут пользователи, входящие в группу администраторов или операторов архива. Программа Backup Windows позволяет проводить процедуру восстановления данных двумя способами: вручную и с использованием мастера. На данном занятии рассмотрим только первый способ. Настроить параметры и запустить процесс восстановления можно, перейдя на вкладку "Восстановление и управление носителем" в главном окне программы Backup (рис. 3.10).

Вкладка "Восстановление и управление носителем" в окне программы Backup Windows


увеличить изображение

Рис. 3.10.  Вкладка "Восстановление и управление носителем" в окне программы Backup Windows

На этой вкладке необходимо выбрать носитель, с которого будут восстанавливаться данные. В нижней части окна можно выбрать один из следующих параметров восстановления:

При выборе вариантов "Альтернативное размещение" или "Одну папку" необходимо задать папку, в которую будет осуществляться восстановление данных из архива. Выбрав все необходимые файлы и папки, можно запустить процесс восстановления, нажав кнопку "Восстановить". Появится диалоговое окно (рис. 3.11), где можно либо подтвердить восстановление, нажав кнопку "ОК", либо задать еще дополнительные параметры восстановления, нажав кнопку "Дополнительно".

Диалоговое окно перед запуском процесса восстановления


Рис. 3.11.  Диалоговое окно перед запуском процесса восстановления

Процесс восстановления будет отображаться в специальном окне. После его завершения выводится сводная информация об архиве в окне "Ход восстановления" (рис. 3.12).

Окно "Ход восстановления" после завершения процесса восстановления


Рис. 3.12.  Окно "Ход восстановления" после завершения процесса восстановления

Если нажать кнопку "Отчет", то можно посмотреть информацию об ошибках и сбоях, произошедших во время процесса восстановления.

3.3. Создание отказоустойчивых томов для хранения данных

В ОС Windows Server 2003 возможно создание отказоустойчивых томов RAID-1 (зеркальный том) и RAID-5, которые поддерживаются только на динамических дисках. По умолчанию ОС Microsoft Windows 2003/XP используют традиционное базовое хранение. Для эффективности управления хранением данных базовые диски преобразуют в динамические, на которых можно создавать различные типы томов. Более подробную информацию об управлении дисковыми хранилищами в ОС Windows Server 2003 можно узнать из источников [[19], [23]].

3.3.1. Работа с зеркальными томами

Зеркальный том (RAID-1) состоит из двух одинаковых копий тома, расположенных на разных физических дисках. Данные, записываемые на такой том, записываются одновременно на два диска, поэтому зеркальный том обеспечивает отказоустойчивость. Для более высокой отказоустойчивости рекомендуется использовать диски, подключенные к разным контроллерам, что обеспечит наилучшую производительность и позволит справиться с отказами как контроллера, так и диска.

В ОС Windows Server 2003 для работы с дисками существует специальная оснастка "Управление дисками", которая входит в консоль "Управление компьютером". Для создания зеркального тома необходимо сначала с помощью оснастки "Управление дисками" преобразовать тип хранения с базового в динамическое на двух подключенных физических дисках. После этого щелкните на неразмеченную область в графическом представлении диска и в появившемся контекстном меню выберите команду "Действие" / "Все задачи" / "Создать том". Запустится мастер создания томов, который предложит сначала выбрать тип тома (рис. 3.13).

Доступные типы томов в ОС Windows Server 2003


Рис. 3.13.  Доступные типы томов в ОС Windows Server 2003

Доступные типы томов зависят от числа установленных на компьютере дисков, содержащих неразмеченные области. Для создания зеркального тома, как было сказано выше, необходимо два динамических диска, имеющих нераспределенное место. Когда нужный тип тома выбран, мастер создания томов откроет страницу, показанную на рис. 3.14, на которой следует выбрать диски для создания тома [[19]].

Страница выбора дисков для добавления в зеркальный том


Рис. 3.14.  Страница выбора дисков для добавления в зеркальный том

Выбрав диски для создания тома, следует определить еще его размер. Для этого на каждом из дисков необходимо отвести области одинаковых размеров. После выбора дисков для тома укажите в поле "Выберите размер выделяемого пространства (Мб)" максимальный размер области, доступной на каждом из выбранных дисков (он ограничен размером области на диске с минимальным размером свободного места). При изменении размера отведенного места на одном из дисков мастер соответствующим образом изменит размер места, отведенного для нового тома на другом диске. Общий размер зеркального тома равен выделенной области (в Мб), так как диски данного типа тома содержат одинаковые копии данных. После завершения работы мастера создания томов будет создан зеркальный том. Для начала эксплуатации зеркального тома нужно дождаться окончания процессов его форматирования и ресинхронизации (рис. 3.15).

Список дисков в оснастке "Управление дисками"


увеличить изображение

Рис. 3.15.  Список дисков в оснастке "Управление дисками"

Процесс восстановления неисправного диска зеркального тома зависит от типа неисправности. Если на диске возникли одиночные ошибки ввода- вывода, оба диска тома перейдут в состояние "Отказавшая избыточность", диск с ошибками находится в состоянии "Автономный" или "Отсутствует" (рис. 3.16) [[23]].

Зеркальный том в состоянии "Отказавшая избыточность"


Рис. 3.16.  Зеркальный том в состоянии "Отказавшая избыточность"

Устранив источник ошибок ввода-вывода, например, плохое соединение кабеля, необходимо выбрать том сбойного диска или сам диск и в контекстном меню указать пункт "Реактивизировать том" или "Реактивизировать диск" соответственно. Повторная активизация переводит диск или том в оперативный режим. Повторная синхронизация зеркального тома выполняется автоматически.

Удалить зеркальный том можно тремя способами [[19]]:

В случае выхода из строя одного физического диска зеркального тома можно его заменить, а потом пересоздать зеркальный том. Для этого следует сначала разделить зеркальный том, затем удалить неисправный диск. Второй исправный диск станет простым томом. После замены неисправного диска на сервере щелкните правой кнопкой мыши на оставшемся простом томе от прежнего "зеркала" и при помощи команды "Добавить зеркальный том" создайте новый зеркальный том на основе добавленного диска [[23]].

3.3.2. Работа с томами RAID-5

Том RAID-5 состоит как минимум из трех дисков (максимум из 32). По сравнению с зеркальными томами, он обеспечивает лучшую производительность операции чтения данных и эффективность использования дискового пространства. В минимальном томе RAID-5 из трех дисков, только одна треть дискового пространства используется для обеспечения отказоустойчивости (для хранения данных четности), в отличие от зеркального тома, где этот показатель равен одной второй. Отказоустойчивость зеркальных томов и RAID-5 защищает только от одиночных сбоев одного диска!

Создается том RAID-5 аналогично зеркальному через оснастку "Управление дисками", за исключением того, что изначально требуется минимум три свободных диска. При отказе одного из дисков в томе RAID-5 данные все равно будут доступны. Общая производительность тома снизится, так как при чтении отсутствующие данные будут вычисляться из оставшихся данных и информации о четности [[23]].

После восстановления или замены отказавшего диска, возможно, придется воспользоваться командой "Повторить сканирование" оснастки "Управление дисками" и реактивировать том на восстановленном диске. При этом система восстановит отсутствующие данные по значениям четности и заново заполнит диск, в результате том восстановит функциональность и отказоустойчивость [[19]].

3.4. Лабораторная работа. Обеспечение безопасности хранения данных в ОС Microsoft Windows 2003/XP

На этой лабораторной работе вы опробуете описанные выше способы обеспечения безопасности хранения данных в ОС Microsoft Windows 2003/XP. Упражнения выполняются на виртуальных машинах с ОС Windows Server 2003 и Windows XP Professional.

3.4.1. Упражнение 1. Подготовка виртуальной машины с ОС Windows 2003 Server для выполнения лабораторной работы

Упражнение выполняется на виртуальной машине с ОС Windows Server 2003.

  1. Перед запуском виртуальной машины с ОС Windows Server 2003 создайте три жестких диска емкостью по 2 Гб и подключите их (удалите устройство CD-ROM).
  2. Запустите виртуальную машину с ОС Windows Server 2003.
  3. Зарегистрируйтесь в системе как пользователь с правами администратора.
  4. Выберите "Пуск", на ярлыке "Мой компьютер" нажмите правую кнопку мыши, в контекстном меню перейдите на "Управление". В появившемся окне "Управление компьютером" выберите оснастку "Управление дисками".
  5. Запустится мастер инициализации и преобразования дисков. Нажмите кнопку "Далее".
  6. Появится окно "Выбор диска для инициализации", где будут отмечены диски, которые вы добавили (если все три, то будут доступны "Диск 1", "Диск 2" и "Диск 3"). Нажмите кнопку "Далее".
  7. В следующем окне "Выбор дисков для преобразования" отметьте все доступные диски и нажмите кнопку "Далее".
  8. В появившемся окне "Завершение мастера инициализации" нажмите кнопку "Готово". В оснастке "Управление дисками" убедитесь, что все три присоединенных диска находятся в состоянии "Подключен".
  9. Теперь на подключенных дисках необходимо создать разделы. Правой клавишей мыши поочередно щелкайте в нераспределенную область (черного цвета) дисков и в появившемся меню выбирайте "Создать раздел". (Если появится пункт "Создать том", то это означает, что присоединенный диск использует динамическое хранение. Правой клавишей мыши щелкните на иконку "Диск 1" и выберите в меню пункт "Преобразовать в базовый диск". Теперь выполните пункт 9 этого упражнения). Рассмотрим процесс создания раздела на примере одного диска.
  10. Запустится мастер создания разделов. Нажмите кнопку "Далее".
  11. В окне "Выбор типа раздела" оставьте вариант "Основной раздел" и нажмите кнопку "Далее".
  12. В появившемся окне "Указание размера раздела" ничего не меняйте, оставьте предложенный размер и нажмите кнопку "Далее".
  13. В следующем окне "Назначение буквы диска или пути" установите переключатель на вариант "Назначить букву диска (A-Z)" и выберите первую доступную по алфавиту букву. Нажмите кнопку "Далее".
  14. Откроется окно "Форматирование раздела". По умолчанию переключатель стоит на варианте "Форматировать данный раздел следующим образом". Выбрана файловая система "NTFS", размер кластера - "По умолчанию". Установите флажок "Быстрое форматирование" и нажмите кнопку "Далее".
  15. В появившемся окне "Завершение мастера создания раздела" нажмите кнопку "Готово". Вы увидите, что область диска стала синего цвета и "Диск 1" быстро форматируется под файловую систему NTFS. Повторите пункты 9-15 этого упражнения для остальных подключенных дисков.
  16. Закройте окно "Управление компьютером". С помощью проводника Windows убедитесь, что у вас четыре диска, включая системный - диск C:\.

3.4.2. Упражнение 2. Работа с теневыми копиями для общих папок

В этом упражнении вы запустите и настроите поддержку теневых копий на томах ОС Windows Server 2003. Вы также восстановите из теневой копии удаленные файлы в общей папке на сервере. Упражнение выполняется на виртуальной машине с ОС Windows Server 2003.

  1. На диске D:\ создайте папку "Документы" и откройте ее для общего доступа с тем же именем и разрешением "Полный доступ" для всех пользователей.
  2. Выберите "Пуск" / "Мой компьютер". Нажмите правую кнопку мыши на ярлыке диска D:\, в контекстном меню перейдите на "Свойства". В появившемся окне перейдите на вкладку "Теневые копии" (рис. 3.1).
  3. В списке томов выберите диск D:\ и нажмите кнопку "Параметры".
  4. В выпадающем списке "Расположено на томе" выберите диск E:\, на котором будут храниться данные теневых копий. В поле "Максимальный размер области хранения" оставьте установки по умолчанию. Нажмите кнопку "OK".
  5. Нажмите кнопку "Включить". Появится диалоговое окно "Включение теневого копирования", которое проинформирует вас о том, что будут применены настройки по умолчанию и будет создана первая теневая копия. Нажмите кнопку "Да".
  6. Внизу в области "Теневые копии выбранного тома" появится запись о создании первой теневой копии. Не закрывайте окно "Свойства" диска D:\.
  7. Откройте проводник Windows. В адресной строке введите UNC-путь к вашему серверу - \\Server01 и нажмите клавишу "Enter". Отобразятся общие ресурсы сервера.
  8. Нажмите правую кнопку мыши на общей папке "Документы", в контекстном меню перейдите на "Свойства". Убедитесь, что в появившемся окне стала доступна вкладка "Предыдущие версии" (см. рис. 3.4). Закройте окно "Свойства" общей папки "Документы", нажав кнопку "ОК".
  9. Создайте в папке "Документы" текстовый файл - Отчет.txt. В первой строке этого файла введите текст - Запись 1. Сохраните изменения в текстовом документе.
  10. Перейдите на вкладку "Теневые копии" окна свойств диска D:\. Следующая теневая копия будет создана согласно установленному по умолчанию расписанию. Для демонстрации работы теневых копий общих папок ускорим процесс их создания.
  11. Нажмите кнопку "Создать" внизу вкладки "Теневые копии". Через несколько секунд в списке появится запись о новой копии с текущим временем.
  12. Перейдите в папку "Документы", откройте текстовый файл Отчет.txt и во второй строке этого файла введите текст - Ошибочная запись 2. Сохраните изменения в текстовом документе.
  13. Теперь восстановим документ Отчет.txt на тот момент, когда в нем не было ошибочной записи. Откройте проводник Windows. В адресной строке введите UNC-путь к общей папке - \\Server01\Документы и нажмите клавишу "Enter".
  14. Нажмите правой кнопкой мыши на файл Отчет.txt, в контекстном меню выберите "Свойства". Перейдите на вкладку "Предыдущие версии".
  15. В поле "Версии файлов" будет доступна и выделена одна копия, которая была создана вами ранее (см. п. 11) до внесения ошибочной записи в текстовый документ. Нажмите кнопку "Восстановить".
  16. Появится диалоговое окно, предупреждающее вас о том, что вы решили вернуться к предыдущей версии файла. Нажмите кнопку "Да".
  17. Откройте текстовый файл Отчет.txt и убедитесь, что строка "Ошибочная запись 2" отсутствует. Закройте документ, не внося в него никаких изменений. Далее рассмотрим случай, когда требуется восстановить по ошибке удаленный файл из теневой копии. Удалите файл Отчет.txt (Можно даже удалить его, минуя "Корзину". Для этого нажмите клавиши "Shift" + "Del".)
  18. Откройте проводник Windows. В адресной строке введите UNC-путь к вашему серверу - \\Server01 и нажмите клавишу "Enter". Нажмите правую кнопку мыши на общей папке "Документы", в контекстном меню выберите "Свойства". На вкладке "Предыдущие версии" выберите самую позднюю по времени копию и нажмите кнопку "Показать".
  19. Откроется проводник, в котором отобразится содержимое папки "Документы" на момент времени создания текущей копии. В нашем случае папка содержит лишь один файл Отчет.txt. В реальной практике в общей папке могут быть другие файлы и вложенные папки. Вам необходимо выбрать нужный для восстановления файл и скопировать его в нужное место (можно в эту же общую папку). Если бы вы нажали кнопку "Восстановить" вместо "Просмотр" на предыдущем шаге упражнения, то произошло бы восстановление всего содержимого данной папки. Таким образом, вы бы могли перезаписать файлы, измененные после указанного на копии времени, что привело бы к нарушению целостности данных! Поэтому не рекомендуется пользоваться вариантом "Восстановить" для папки из теневой копии.
  20. Скопируйте файл Отчет.txt в прежнюю папку \\Server01\Документы. Таким образом, вы восстановили удаленный файл из теневой копии.

3.4.3. Самостоятельное упражнение 1. Восстановление файлов из теневой копии на клиентском компьютере с ОС Windows XP Professional

Запустите виртуальную машину с ОС Windows XP Professional и установите сетевое подключение с сервером, на котором выполнялись предыдущие упражнения. С клиентского компьютера под управлением ОС Windows XP Professional подключитесь к общей папке \\Server01\Документы. Внесите изменения в файл Отчет.txt, создайте принудительно на сервере теневую копию тома, а затем на клиентском компьютере восстановите прежнюю версию файла. Если вкладка "Предыдущие версии" будет недоступна в свойствах файла Отчет.txt, находящегося в общей папке \\Server01\Документы, то установите специальное клиентское ПО (находится в папке %systemroot%\System32\Clients\Twclient\X86 на сервере с ОС Windows Server 2003).

3.4.4. Упражнение 3. Выполнение архивации

В этом упражнении с помощью программы Backup вы выполните полную, а затем добавочную архивацию. Вы также научитесь создавать задания для программы архивации, которые будут выполняться по расписанию. Упражнение выполняется на виртуальной машине с ОС Windows Server 2003.

  1. В папке D:\Документы, где содержится файл Отчет.txt, создайте еще два текстовых документа с произвольным содержимым, например, Планы.txt и Заказы.txt.
  2. В проводнике Windows выберите режим просмотра содержимого папки D:\Документы в виде таблицы (Меню "Вид" / "Таблица"). Обратите внимание, что в столбце "Атрибуты" у всех трех файлов установлен атрибут "архивный" (бит архива обозначается буквой "А").
  3. Выберите "Пуск" / "Программы" / "Стандартные" / "Служебные" / "Архивация данных". Программа Backup Windows первый раз запускается в режиме мастера. На первой странице мастера (см. рис. 3.5) снимите флажок "Всегда запускать в режиме мастера" и нажмите на ссылку "Расширенный режим".
  4. Запустится программа архивации. Перейдите на вкладку "Архивация".
  5. В меню "Задание" выберите команду "Создать".
  6. Раскройте узел "Мой компьютер", диск D:\, папка "Документы". Установите флажок напротив папки "Документы".
  7. Внизу в поле "Носитель архива или имя файла" введите имя будущего архива - E:\doc-normal.bkf.
  8. Нажмите кнопку "Архивировать". Откроется окно "Сведения о задании архивации".
  9. В разделе "Если носитель уже содержит архивы" оставьте переключатель "Дозаписать этот архив к данным носителя".
  10. Нажмите кнопку "Дополнительно". Убедитесь, что выбран тип архива "Обычный", и установите флажок "Проверка данных после архивации". Нажмите кнопку "OK", а затем "Архивировать".
  11. Откроется диалоговое окно "Ход архивации", и начнется процесс архивации. По завершении создания архива нажмите кнопку "Отчет" и посмотрите отчет. В нем не должно быть ошибок архивации.
  12. Закройте отчет и окно "Ход архивации". Не закрывайте программу Backup Windows.
  13. Обратите внимание, что в папке D:\Документы теперь у всех файлов снят атрибут "архивный".
  14. Откройте файл Планы.txt и добавьте новую строку с текущей датой. Сохраните и закройте файл. Обратите внимание, что после внесения изменений в файл атрибут "архивный" автоматически устанавливается операционной системой.
  15. Вернитесь к программе Backup Windows на вкладку "Архивация".
  16. В меню "Задание" выберите команду "Создать".
  17. Раскройте узел "Мой компьютер", диск D:\, папка "Документы". Установите флажок напротив папки "Документы".
  18. Внизу в поле "Носитель архива или имя файла" введите имя добавочного архива - E:\doc-inc.bkf.
  19. Нажмите кнопку "Архивировать". Откроется окно "Сведения о задании архивации".
  20. Нажмите кнопку "Дополнительно". Выберите тип архива "Добавочный" и установите флажок "Проверка данных после архивации". Нажмите кнопку "OK".
  21. Теперь нажмите кнопку "Расписание". Появится диалоговое окно, которое предложит вам сохранить заданные параметры перед установкой архивации по расписанию. Нажмите кнопку "Да".
  22. Сохраните набор ваших файлов под именем documents.bks.
  23. В окне "Указание учетной записи" введите свой пароль и нажмите кнопку "OK".
  24. В появившемся окне "Параметры запланированного задания" введите имя задания - "Ежедневный добавочный архив". Затем нажмите кнопку "Свойства".
  25. Откроется окно "Запланированное задание", вкладка "Расписание". В выпадающем списке "Назначить задание" выберите вариант "ежедневно" и установите время начала на три минуты вперед от текущего времени, чтобы увидеть результат выполнения задания. Нажмите кнопку "ОК".
  26. Введите повторно свой пароль и нажмите кнопку "OK".
  27. В окне "Параметры запланированного задания" также нажмите "OK".
  28. Перейдите на вкладку "Запланированные задания" программы архивации Backup и убедитесь, что ваше задание "Ежедневный добавочный архив" появилось в расписании ("Каждый день, начиная с текущего").
  29. Закройте программу Backup. Дождитесь наступления времени, установленного вами на запуск задания архивации. Вы увидите, как запустится по расписанию программа Backup. После ее выполнения на диске E:\ появится добавочный архив doc-inc.bkf.
  30. Запустите программу Backup. В меню "Сервис" выберите "Отчет". Появится окно со списком отчетов архивации. Выберите последний и откройте его.
  31. Сравните полученный отчет с предыдущим. Закройте все окна программы Backup. Обратите внимание, что в папке D:\Документы опять у всех файлов снят атрибут "архивный".
  32. Удалите папку "Документы" со всеми файлами.

3.4.5. Упражнение 4. Восстановление данных

В этом упражнении с помощью программы Backup вы восстановите данные, ранее заархивированные. Упражнение выполняется на виртуальной машине с ОС Windows Server 2003.

  1. Запустите программу Backup и перейдите на вкладку "Восстановление и управление носителем".
  2. В левом окне щелкните на узел "Файлы", чтобы раскрыть его. Выберите архив doc-normal.bkf.
  3. Раскройте архив doc-normal.bkf и установите флажок напротив папки "Документы". Восстановим эту папку в ее исходное размещение. По умолчанию задан такой параметр снизу в выпадающем списке "Восстановить файлы в".
  4. Нажмите кнопку "Восстановить". В диалоговом окне "Подтверждение восстановления" нажмите кнопку "ОК".
  5. В окне "Проверка расположения архивного файла" также нажмите кнопку "ОК".
  6. После завершения восстановления закройте окно "Ход восстановления", нажав кнопку "Закрыть". Не закрывайте программу Backup Windows.
  7. Убедитесь, что папка "Документы" со всеми файлами восстановлена на прежнее место на диск D:\. Откройте файл Планы.txt и убедитесь, что он не содержит последнюю строку текста с текущей датой.
  8. Вернитесь в программу Backup на вкладку "Восстановление и управление носителем".
  9. В левом окне щелкните и раскройте архив doc-inc.bkf и установите флажок напротив папки "Документы", в которой содержится один файл Планы.txt. По умолчанию программа Backup не заменяет существующие файлы с одинаковым именем. Поэтому необходимо сделать следующую настройку.
  10. В меню "Сервис" выберите пункт "Параметры" и перейдите на вкладку "Восстановление". На этой вкладке переключитесь на вариант "Заменять файл на компьютере, только если он старее" и нажмите кнопку "OK".
  11. Нажмите кнопку "Восстановить". В диалоговом окне "Подтверждение восстановления" нажмите кнопку "ОК".
  12. Если появится окно "Проверка расположения архивного файла", то также нажмите кнопку "ОК".
  13. После завершения восстановления закройте окно "Ход восстановления", нажав кнопку "Закрыть". Закройте программу Backup Windows.
  14. Убедитесь, что восстановлена последняя версия файла Планы.txt.

3.4.6. Самостоятельное упражнение 2. Архивация и восстановление данных при использовании другой стратегии

На основе сценариев упражнений 3 и 4 выполните самостоятельно упражнение, используя стратегию полной архивации с последующей разностной. Особо обратите внимание на процедуру восстановления файлов при использовании данной стратегии.

3.4.7. Упражнение 5. Использование зеркальных томов в ОС Windows Server 2003.

В этом упражнении вы создадите на сервере с ОС Windows Server 2003 отказоустойчивый зеркальный том, искусственно сделаете сбой одного из дисков тома, а затем восстановите данные. Перед выполнением данного упражнения выполните самостоятельные упражнения 1 и 2, так как данные на диске D:\ будут утрачены.

  1. На сервере временно скопируйте папку "Документы" на диск C:\.
  2. Выберите "Пуск", на ярлыке "Мой компьютер" нажмите правую кнопку мыши, в контекстном меню перейдите на "Управление". В появившемся окне "Управление компьютером" выберите оснастку "Управление дисками".
  3. Правой клавишей мыши щелкните на графическое представление "Диск 1" (основной раздел - синего цвета) и в появившемся меню выберите "Удалить раздел".
  4. Появится диалоговое окно с предупреждением о том, что все данные на томе будут потеряны. Нажмите кнопку "Да".
  5. Повторите пункты 3-4 для "Диск 2" и "Диск 3".
  6. Правой клавишей мыши щелкните на значок "Диск 1", в появившемся меню выберите "Преобразовать в динамический диск".
  7. В появившемся окне со списком отметьте Диск 1, Диск 2 и Диск 3. Нажмите кнопку "OK".
  8. Правой клавишей мыши щелкните на графическое представление "Диск 1" (нераспределенная область - черного цвета), и в появившемся меню выберите "Создать том".
  9. Запустится мастер создания тома. На первой странице нажмите кнопку "Далее".
  10. На следующей странице "Выбор типа тома" выберите вариант "Зеркальный том" и нажмите кнопку "Далее".
  11. Откроется окно, где следует выбрать два диска для создания зеркального тома. Справа в поле "Выбраны" уже помещен Диск 1. Слева в поле "Доступны" имеется два возможных к добавлению Диск 2 и Диск 3. Щелкните левой кнопкой мыши на "Диск 2", а затем нажмите кнопку "Добавить".
  12. После добавления Диска 2 отобразится общий размер тома и активируется кнопка "Далее". Нажмите на нее.
  13. В следующем окне вам будет предложено назначить букву диска. Выберите первую доступную по алфавиту, начиная с "D", и нажмите "Далее".
  14. Появится страница мастера "Форматирование тома". Задайте метку тома "Mirror", установите флажок "Быстрое форматирование", затем нажмите кнопку "Далее".
  15. На последней странице мастера создания тома нажмите кнопку "Готово".
  16. Через несколько секунд будет создан зеркальный том (в графическом представлении - темно-малинового цвета), затем начнется его форматирование и ресинхронизация.
  17. Скопируйте обратно папку "Документы" с диска C:\ на D:\.
  18. Выключите виртуальную машину с ОС Windows Server 2003.
  19. Для демонстрации отказоустойчивости зеркального тома искусственно создадим отказ одного из двух жестких дисков. Для этого в настройках конфигурации оборудования виртуальной машины удалите жесткий диск, входящий в зеркальный том (Hard Disk 2). Затем опять запустите виртуальную машину с ОС Windows Server 2003.
  20. Дождитесь загрузки ОС, зарегистрируйтесь как пользователь с правами администратора.
  21. С помощью проводника Windows откройте "Мой компьютер". Вы увидите, что диск D:\ доступен. Вы можете обратиться к папке "Документы", находящейся этом диске.
  22. Запустите оснастку "Управление дисками". Вы увидите, что оба диска зеркального тома находятся в состоянии "Отказавшая избыточность", а один из динамических дисков тома находится в состоянии "Отсутствует".
  23. Выключите виртуальную машину с ОС Windows Server 2003. В настройках конфигурации оборудования виртуальной машины добавьте тот же самый диск в ее состав.
  24. Запустите виртуальную машину с ОС Windows Server 2003. Дождитесь загрузки ОС и зарегистрируйтесь как пользователь с правами администратора.
  25. Запустите оснастку "Управление дисками". Вы увидите, что диски зеркального тома по-прежнему находятся в состоянии "Отказавшая избыточность", однако "Диск 1", на котором установлен знак, предупреждающий о сбое, теперь "Подключен".
  26. Щелкните правой кнопкой мыши на значок "Диск 1" и в появившемся меню выберите "Реактивизировать диск".
  27. Запустится процесс ресинхронизации, по окончании которого зеркальный том перейдет в состояние "Исправен".

3.4.8. Самостоятельное упражнение 3. Восстановление зеркального тома

В предыдущем упражнении вы создали искусственный сбой зеркального тома, временно удалив, а потом вернув на место один из двух дисков. Предположим, что вам не удалось бы вернуть на место тот же самый диск, который находился в зеркальном томе, из-за его поломки. Выключите виртуальную машину и еще раз удалите из ее состава "Диск 1". На виртуальной машине с ОС Windows Server 2003 у вас имеется свободный неиспользуемый "Диск 3". Самостоятельно создайте зеркальный том на исправных дисках "Диск 2" и "Диск 3". Воспользуйтесь командами "Удалить зеркало", а затем "Добавить зеркало" контекстного меню на отказавшем зеркальном томе.

3.4.9. Упражнение 5. Использование томов RAID-5 в ОС Windows Server 2003

В этом упражнении вы создадите на сервере с ОС Windows Server 2003 отказоустойчивый том RAID-5, искусственно сделаете сбой одного из дисков тома для демонстрации отказоустойчивости.

  1. Выключите виртуальную машину с ОС Windows Server 2003. В настройках конфигурации оборудования виртуальной машины верните изъятый диск ("Диск 1") в ее состав (если вы выполняли самостоятельное упражнение 3). Запустите виртуальную машину.
  2. Дождитесь загрузки ОС, зарегистрируйтесь как пользователь с правами администратора.
  3. На сервере временно скопируйте папку "Документы" с диска D:\ на диск C:\.
  4. Запустите оснастку "Управление дисками". Вы увидите, что у вас появился "Диск 1", на котором установлен знак, предупреждающий о сбое в состоянии - "Инородный". Если вы выполняли самостоятельное упражнение 3, то вами был удален зеркальный том, в который ранее входил "Диск 1". Теперь для ОС он "инородный". Такая же ситуация возникает, когда вы переносите с другого компьютера жесткий диск, использующий динамическое хранение. Чтобы получить доступ к такому динамическому диску, необходимо щелкнуть правой кнопкой мыши на значок "инородного" диска и в появившемся контекстном меню выбрать команду "Импорт чужих дисков". После этого диск будет импортирован в текущую систему. Задав ему букву диска, можно будет получить доступ к его данным.
  5. Удалите все тома, находящиеся на дисках: "Диск 1", "Диск 2" и "Диск 3". Для этого поочередно щелкайте правой кнопкой мыши на графическое представление дисков и выбирайте команду "Удалить том". В итоге вы должны получить три диска с нераспределенными областями.
  6. Правой клавишей мыши щелкните на графическое представление "Диск 1" и в появившемся меню выберите "Создать том".
  7. Запустится мастер создания тома. На первой странице нажмите кнопку "Далее".
  8. На следующей странице "Выбор типа тома" выберите вариант "Том RAID-5" и нажмите кнопку "Далее".
  9. Откроется окно, где следует выбрать три диска для создания зеркального тома. Справа в поле "Выбраны" уже помещен "Диск 1". Слева в поле "Доступны" имеется два возможных к добавлению "Диск 2" и "Диск 3". Добавьте оба диска.
  10. После того как вы выберете три диска, отобразится общий размер тома RAID-5 и активируется кнопка "Далее". Нажмите на нее.
  11. В следующем окне вам будет предложено назначить букву диска. Выберите первую доступную по алфавиту, начиная с "D", и нажмите "Далее".
  12. Появится страница мастера "Форматирование тома". Задайте метку тома "RAID5", установите флажок "Быстрое форматирование", затем нажмите кнопку "Далее".
  13. На последней странице мастера создания тома нажмите кнопку "Готово".
  14. Через несколько секунд будет создан том RAID-5 (в графическом представлении - цвета морской волны), затем начнется его форматирование и ресинхронизация.
  15. Скопируйте папку "Документы" с диска C:\ обратно на D:\.
  16. Выключите виртуальную машину с ОС Windows Server 2003.
  17. Для демонстрации отказоустойчивости тома RAID-5 аналогично, как и в предыдущем упражнении, удалите один жесткий диск, входящий в том RAID-5. Затем опять запустите виртуальную машину с ОС Windows Server 2003.
  18. Дождитесь загрузки ОС, зарегистрируйтесь как пользователь с правами администратора.
  19. С помощью проводника Windows откройте "Мой компьютер". Вы увидите, что диск D:\ доступен и можно обратиться к папке "Документы", находящейся этом диске.
  20. Запустите оснастку "Управление дисками". Вы увидите, что диски тома RAID-5 находятся в состоянии "Отказавшая избыточность". Если вышедший из строя диск будет утрачен, то том RAID-5 необходимо будет пересоздавать. Без переноса данных добавить новый диск вместо отказавшего в томе RAID-5 нельзя. Вы можете вернуть отказавший диск и реактивизировать том RAID-5.

3.6. Резюме

В ОС Microsoft Windows 2003/XP имеются различные решения для обеспечения безопасности хранения данных, правильное использование и настройка которых позволяет администраторам решать большой спектр задач в этой области.

Включение теневого копирования томов обеспечивает пользователям доступ к копиям файлов в общих папках на сервере, которые были случайно повреждены или удалены по ошибке. Данная технология позволяет максимально быстро восстанавливать потерянные данные.

Архивация дает наивысшую степень отказоустойчивости по сравнению со всеми другими технологиями хранения данных, обеспечивающих отказоустойчивость. В составе ОС Microsoft Windows 2003/XP есть штатная программа Backup, обслуживающая основные функции архивации.

Серверная ОС Windows Server 2003 позволяет создавать отказоустойчивые дисковые хранилища. При использовании динамического хранения данных в этой ОС, можно создавать зеркальные тома, состоящие из двух дисков с идентичными копиями данных, а также тома RAID-5 с контролем четности, в которых данные распределены порциями по нескольким дискам. Отказ одного из дисков таких отказоустойчивых томов не приводит к потере данных, хранящихся на томе.

Лекция 4. Центр обеспечения безопасности (Windows Security Center) в операционной системе Windows XP SP2

В этой лекции будет рассмотрен "Центр обеспечения безопасности Windows" (Windows Security Center), входящий в состав Windows XP SP2. Он разработан компанией Microsoft для автоматической проверки состояния трех основных компонентов ОС (брандмауэр, антивирус, система автоматического обновления). С помощью этого инструмента пользователь имеет возможность не только контролировать состояние перечисленных выше компонентов, но и получать рекомендации по устранению возникающих с этими компонентами проблем

В этом занятии будет рассмотрен "Центр обеспечения безопасности Windows" (Windows Security Center), входящий в состав Windows XP SP2. Он разработан компанией Microsoft для автоматической проверки состояния трех основных компонентов ОС (брандмауэр, антивирус, система автоматического обновления). С помощью этого инструмента пользователь имеет возможность не только контролировать состояние перечисленных выше компонентов, но и получать рекомендации по устранению возникающих с этими компонентами проблем [[24]].

Прежде всего

Для изучения материалов этого занятия необходим один компьютер под управлением операционной системы Windows XP Professional SP2 с настройками по умолчанию.

Для выполнения лабораторных работ необходимо два компьютера под управлением операционной системы Windows XP Professional SP2 с настройками по умолчанию.

4.1. Введение

Если ваш компьютер подключен к компьютерной сети (неважно, Интернет это или Интранет), то он уязвим для вирусов, атак злоумышленников и других вторжений. Для защиты компьютера от этих опасностей необходимо, чтобы на нем постоянно работали межсетевой экран (брандмауэр) и антивирусное ПО (с последними обновлениями) [[25]]. Кроме того, необходимо, чтобы все последние обновления были также установлены на вашем компьютере.

Не каждый пользователь может постоянно следить за этим. Не каждый пользователь знает, как это осуществить. И даже если пользователь компетентен в этих вопросах, у него просто может не хватать времени на такие проверки. Компания Microsoft позаботилась обо всех этих пользователях, включив в состав SP2 для Windows XP такой инструмент. Он называется "Центр обеспечения безопасности Windows" (Windows Security Center) (рис. 4.1).

Центр обеспечения безопасности Windows


увеличить изображение

Рис. 4.1.  Центр обеспечения безопасности Windows

Основное назначение этого инструмента - информировать и направлять пользователя в нужном направлении. Во-первых, он постоянно контролирует состояния трех основных компонентов ОС (брандмауэр, антивирус, система автоматического обновления). Если параметры любого из этих компонентов не будут удовлетворять требованиям безопасности компьютера, то пользователь получит соответствующее уведомление. Например, на рис. 4.2 представлено одно из таких уведомлений.

Оповещение


Рис. 4.2.  Оповещение

Во-вторых, при открытии "Центра обеспечения безопасности Windows" пользователь может не только получить конкретные рекомендации о том, как исправить сложившуюся ситуацию, но также узнать, где находятся другие настройки, связанные с безопасностью компьютера, и где на сайте Microsoft можно прочитать дополнительную информацию по обеспечению безопасности.

Необходимо сразу отметить, что при подключении компьютера к домену в "Центре обеспечения безопасности Windows" не отображаются сведения о состоянии безопасности компьютера (рис. 4.3) и не выполняется отправка сообщений безопасности. Считается, что в этом случае параметрами безопасности должен управлять администратор домена [[26]].

Чтобы включить "Центр для обеспечения безопасности Windows" для компьютера, входящего в состав домена, необходимо в групповой политике домена включить параметр "Конфигурация компьютера, Административные шаблоны, Компоненты Windows, Центр обеспечения безопасности, Включить "Центр обеспечения безопасности" (только для компьютеров в домене)".

Центр обеспечения безопасности Windows


увеличить изображение

Рис. 4.3.  Центр обеспечения безопасности Windows

4.2. Параметры безопасности Windows

Чтобы открыть "Центр обеспечения безопасности Windows", нажмите кнопку "Пуск", выберите команду "Панель управления", затем дважды щелкните на значок "Центр обеспечения безопасности" (рис. 4.4).

Значок


Рис. 4.4.  Значок

Окно Центра обеспечения безопасности Windows можно условно разделить на три части (рис. 4.5):

Центр обеспечения безопасности


увеличить изображение

Рис. 4.5.  Центр обеспечения безопасности

  1. Ресурсы. Здесь располагаются ссылки для перехода к Интернет-ресурсам, ко встроенной в Windows справочной службе и к окну настройки параметров оповещений.
  2. Компоненты безопасности. Здесь располагаются информационные элементы трех основных компонентов безопасности: брандмауэр, автоматическое обновление, антивирусная защита.
  3. Параметры безопасности. Здесь располагаются кнопки перехода к настройкам безопасности следующих компонентов: обозреватель Internet Explorer, автоматическое обновление, брандмауэр Windows.

Рассмотрим эти части более подробно.

4.2.1. Ресурсы

В разделе 1 (см. рис. 4.5-1) первые три ссылки предназначены для перехода на соответствующие страницы на сайте Microsoft. Предпоследняя ссылка предназначена для открытия справочной службы Windows на странице "Общие сведения о центре обеспечения безопасности Windows". Последняя ссылка предназначена для открытия окна "Параметры оповещений" (рис. 4.6).

Параметры оповещений


Рис. 4.6.  Параметры оповещений

Если на компьютере установлен брандмауэр и антивирусное ПО, не определяемое Центром обеспечения безопасности, вы можете отключить соответствующие оповещения (см. рис. 4.6).

4.2.2. Компоненты безопасности

В разделе 2 (см. рис. 4.5-2) каждое информационное табло сообщает о состоянии соответствующего компонента. На рис. 4.7 представлены возможные состояния.

Состояния информационных табло


Рис. 4.7.  Состояния информационных табло

Состояния A-C понятны без комментариев. Состояние D - "Не найдено" - соответствует невозможности определить присутствие соответствующего ПО (например, антивирус или брандмауэр). Состояние E - "Срок истек" - возможно для антивирусной защиты, когда обновления антивирусных баз устарели. Состояние F - "Не наблюдается" - соответствует отключенному контролю над соответствующим компонентом.

Как указано в [[24]], Центром обеспечения безопасности применяется двухуровневый подход к определению состояния компонентов:

  1. Проверка содержимого реестра и файлов со сведениями о состоянии ПО (Microsoft получает перечень файлов и параметров реестра от производителей ПО).
  2. Сведения о состоянии ПО передаются от установленных программ средствами инструментария WMI (Windows Management Instrumentation - Инструментарий управления Windows).

На рис. 4.8 представлено одно из возможных состояний компонента "Брандмауэр". Нажав кнопку "Рекомендации…", вы получите возможность либо включить брандмауэр (рис. 4.9, кнопка "Включить сейчас"), либо отключить наблюдение за состоянием этого компонента (рис. 4.9, параметр "Я самостоятельно устанавливаю и слежу за брандмауэром").

Состояние "Брандмауэра"


Рис. 4.8.  Состояние "Брандмауэра"

Рекомендация


Рис. 4.9.  Рекомендация

После нажатия кнопки "Включить сейчас" (см. рис. 4.9), если брандмауэр Windows будет успешно запущен, на экране появится соответствующее сообщение (рис. 4.10).

Сообщение


Рис. 4.10.  Сообщение

На рис. 4.11 представлено одно из возможных состояний компонента "Автоматическое обновление". Нажав кнопку "Включить автоматическое обновление", вы задействуете рекомендуемый компанией Microsoft режим работы системы "Автоматическое обновление" (рис. 4.12). Подробнее о настройках "Автоматического обновления" вы можете прочитать в разделе 4.4.

Состояние "Автоматического обновления"


Рис. 4.11.  Состояние "Автоматического обновления"

Автоматическое обновление


Рис. 4.12.  Автоматическое обновление

Обратите внимание, что в зависимости от выставленного режима работы "Автоматического обновления" (см. рис. 4.12) в окне "Центра обеспечения безопасности" указывается краткое описание этого режима.

На рис. 4.13 представлено одно из возможных состояний компонента "Защита от вирусов". Нажав кнопку "Рекомендации…", вы получите лаконичные указания (рис. 4.14): "включить антивирусную программу" (если она выключена), "установить другую антивирусную программу". В этом окне вы можете отключить наблюдение за состоянием этого компонента (параметр "Я самостоятельно устанавливаю и слежу за антивирусом").

Состояние "Защиты от вирусов"


Рис. 4.13.  Состояние "Защиты от вирусов"

Рекомендация


Рис. 4.14.  Рекомендация

4.2.3. Параметры безопасности

Как уже было указано ранее, в разделе 3 (см. рис. 4.5-3) расположены кнопки перехода к настройкам безопасности следующих компонентов: обозреватель Internet Explorer, автоматическое обновление, брандмауэр Windows.

Нажав кнопку, вы попадете на закладку "Безопасность" в окне настроек обозревателя Internet Explorer (рис. 4.15). Подробнее об этих параметрах вы можете прочитать в разделе 4.3.

Настройки Internet Explorer


Рис. 4.15.  Настройки Internet Explorer

Нажав кнопку, вы откроете окно настроек "Автоматического обновления" (см. рис. 4.12). Подробнее о них вы можете прочитать в разделе 4.4.

Нажав кнопку, вы попадете в соответствующее окно настроек (рис. 4.16). Подробнее об этих настройках вы можете прочитать в разделе 4.5.

Настройки Брандмауэра Windows


Рис. 4.16.  Настройки Брандмауэра Windows

В Windows XP SP2 для обозначения настроек, касающихся безопасности (см. например, рис. 4.16), а также при оповещениях о состоянии безопасности компьютера (см. например, рис. 4.2) используются следующие значки [[26]]:

  1. - Означает важные сведения и параметры безопасности.
  2. - Оповещает о потенциальном риске нарушения безопасности.
  3. - Ситуация более безопасна. На компьютере используются рекомендуемые настройки безопасности.
  4. - Предупреждение: ситуация потенциально опасна. Измените настройки параметров безопасности, чтобы повысить безопасность компьютера.
  5. - Использовать текущие настройки параметров безопасности не рекомендуется.

4.3. Свойства обозревателя

Как уже указывалось ранее, нажав кнопкув "Центре обеспечения безопасности Windows", вы попадете в окно настроек обозревателя Internet Explorer на закладку "Безопасность" (рис. 4.17).

Настройки безопасности Internet Explorer


Рис. 4.17.  Настройки безопасности Internet Explorer

Рассмотрим параметры, доступные на этой закладке. В верхней части расположены четыре зоны: Интернет, Местная интрасеть, Надежные узлы, Ограниченные узлы. В табл. 4.1 дано описание для каждой зоны.

Таблица 4.1. Описание зон
ЗонаКакие узлы может содержать зона
ИнтернетСодержит все веб-узлы, которые не помещены в другие зоны
Местная интрасетьМожет содержать указанные вами узлы. Может содержать все узлы интрасети, не перечисленные в других зонах, все узлы, подключаемые минуя прокси-сервер, все сетевые пути (UNC)
Надежные узлыМожет содержать указанные вами узлы
Ограниченные узлыМожет содержать указанные вами узлы

Для всех зон, кроме зоны "Интернет", вы можете определить входящие в зону узлы. Для этого необходимо выбрать нужную зону (см. рис. 4.17) и нажать кнопку "Узлы...". Для зоны "Местная интрасеть" в этом случае откроется окно, представленное на рис. 4.18. Если вы хотите указать конкретные узлы, нажмите кнопку "Дополнительно…". В результате появится окно, представленное на рис. 4.19. Аналогичное окно будет открыто, если вы будете определять узлы, входящие в зоны "Надежные узлы" и "Ограниченные узлы". Только для зоны "Ограниченные узлы" будет отсутствовать параметр "Для всех узлов этой зоны требуется проверка серверов (https:)".

Местная интрасеть


Рис. 4.18.  Местная интрасеть

Задание конкретных узлов


Рис. 4.19.  Задание конкретных узлов

Каждой зоне можно присвоить нужный уровень безопасности: высокий, средний, ниже среднего, низкий. Низкий уровень безопасности соответствует минимальной защите и применяется для узлов, которым вы полностью доверяете.

Выберите нужную зону (см. рис. 4.17) и нажмите кнопку "По умолчанию". Закладка "Безопасность" изменит свой вид (рис. 4.20). В нижней части окна вы можете определить нужный уровень безопасности. Если вы не хотите использовать предлагаемые уровни безопасности, вы можете нажать кнопку "Другой…" и определить все параметры безопасности самостоятельно (рис. 4.21).

Настройки безопасности Internet Explorer


Рис. 4.20.  Настройки безопасности Internet Explorer

Параметры безопасности


Рис. 4.21.  Параметры безопасности

Описанные выше настройки безопасности обозревателя Internet Explorer также доступны через групповую политику (Конфигурация компьютера, Административные шаблоны, Компоненты Windows, Internet Explorer, Панель управления обозревателем, Страница безопасности).

4.4. Автоматическое обновление

Как уже указывалось ранее, нажав кнопкув "Центре обеспечения безопасности Windows", вы откроете окно настроек "Автоматического обновления" (рис. 4.22).

Параметры автоматического обновления


Рис. 4.22.  Параметры автоматического обновления

Встроенная в Windows XP справочная система очень подробно описывает систему автоматического обновления. Для того чтобы воспользоваться этой справкой, щелкните по надписи "Как работает автоматическое обновление?" (см. рис. 4.22). Остановимся только на некоторых моментах.

Во-первых, необходимо различать понятия "загрузка" и "установка" обновлений. Загрузка означает процесс передачи файлов обновлений с сервера Microsoft (или с внутреннего сервера обновлений в организации) на компьютер пользователя. Установка обозначает собственно процесс инсталляции обновлений на компьютере пользователя. Возможна ситуация, когда обновления загружены на пользовательский компьютер, но еще не установлены.

Во-вторых, если вы выбрали вариант "Автоматически" (см. рис. 4.22), то обновления будут загружаться и устанавливаться в указанное вами время. Если компьютер в указанное время всегда выключен, то установка обновлений никогда не выполнится. При регистрации на компьютере пользователь с правами локального администратора может запустить установку вручную, не дожидаясь запланированного времени. При наступлении запланированного времени пользователю будет выдано соответствующее предупреждение о начале установки обновлений. Если в этот момент в системе работает администратор, у него будет возможность отложить установку до следующего запланированного времени. У других пользователей (без прав администратора) возможности отменить запланированную установку обновлений не будет [[23]].

Во всех остальных случаях (кроме варианта "отключить автоматическое обновление") уведомления о существующих обновлениях для вашего компьютера (готовых к загрузке или к установке) будут появляться только при регистрации на вашем компьютере пользователя с правами локального администратора. Таким образом, если на компьютере вы постоянно работаете с учетной записью, не входящей в группу локальных администраторов, то установка обновлений никогда не выполнится.

Описанные выше настройки автоматического обновления также доступны для настройки через групповую политику (Конфигурация компьютера, Административные шаблоны, Компоненты Windows, Windows Update). Кроме того, только через групповую политику можно задать дополнительные параметры. Например, можно указать адрес внутреннего сервера обновлений, который централизованно получает обновления с серверов Microsoft и отдает их внутренним компьютерам организации. В качестве примера такого сервера можно привести Microsoft Windows Server Update Services (WSUS).

4.5. Брандмауэр Windows

Как уже указывалось ранее, нажав кнопкув "Центре обеспечения безопасности Windows", вы откроете окно настроек "Брандмауэра Windows" (рис. 4.23).

Настройки Брандмауэра Windows


Рис. 4.23.  Настройки Брандмауэра Windows

Если вы щелкните по надписи "Подробнее о брандмауэре Windows" (см. рис. 4.23), то сможете прочитать краткую информацию о возможностях брандмауэра (межсетевого экрана), входящего в состав Windows XP SP2. Нет необходимости повторять эту информацию здесь.

Отметим лишь, что, в отличие от продуктов других производителей, встроенный брандмауэр Windows предназначен только для контроля входящего трафика, т.е. он защищает компьютер только от внешних вторжений. Он не контролирует исходящий трафик вашего компьютера. Таким образом, если на ваш компьютер уже попал троянский конь или вирус, которые сами устанавливают соединения с другими компьютерами, брандмауэр Windows не будет блокировать их сетевую активность.

Кроме того, по умолчанию брандмауэр защищает все сетевые соединения, и запрос входящего эха по протоколу ICMP запрещен. Это означает, что если на компьютере включен брандмауэр Windows, то проверять наличие такого компьютера в сети с помощью команды PING - бессмысленное занятие.

Очень часто в организациях, где используется программное обеспечение, требующее разрешения входящих соединений на пользовательские компьютеры, возникает необходимость открыть некоторые порты на компьютерах с установленной Windows XP SP2. Для решения этой задачи необходимо задать исключения в настройках брандмауэра Windows. Существует два способа решить эту задачу [[27]]:

  1. Можно задать исключение, указав программу, требующую входящие соединения. В этом случае брандмауэр сам определит, какие порты необходимо открыть, и откроет их только на время выполнения указанной программы (точнее, на время, когда программа будет прослушивать этот порт).
  2. Можно задать исключение, указав конкретный порт, по которому программа ожидает входящие соединения. В этом случае порт будет открыт всегда, даже когда эта программа не будет запущена. С точки зрения безопасности этот вариант менее предпочтителен.

Существует несколько способов задать исключение в настройках брандмауэра Windows [[28]]. Можно воспользоваться графическим интерфейсом (рис. 4.24). Этот вариант достаточно подробно освещен в Центре справки и поддержки Windows XP SP2. Можно использовать доменную групповую политику. Этот вариант предпочтителен при большом количестве компьютеров в организации. Рассмотрим его более подробно.

Закладка Исключения


Рис. 4.24.  Закладка Исключения

Параметры Брандмауэра Windows в групповой политике размещаются в узле "Конфигурация компьютера, Административные шаблоны, Сеть, Сетевые подключения, Брандмауэр Windows".

При настройке через групповую политику вам необходимо настроить два профиля [[28]]:

  1. Профиль домена. Настройки этого профиля используются, когда компьютер подключен к сети, содержащей контроллер домена организации.
  2. Стандартный профиль. Настройки этого профиля применяются, когда компьютер не подключен к сети, содержащей контроллер домена организации. Например, если ноутбук организации используется в командировке и подсоединен к Интернету через Интернет-провайдера. В этом случае настройки брандмауэра должны быть более строгими по сравнению с настройками доменного профиля, так как компьютер подключается к публичной сети, минуя межсетевые экраны своей организации.

Рассмотрим, как задать исключения для программы и для заданного порта. В качестве конкретного примера возьмем обращение Сервера администрирования Kaspersky Administration Kit к компьютеру, на котором установлен Агент администрирования, для получения информации о состоянии антивирусной защиты (подробнее см. лекцию 5). В этом случае необходимо, чтобы на клиентском компьютере был открыт порт UDP 15000 или разрешен прием входящих сообщений программой "C:\Program Files\Kaspersky Lab\NetworkAgent\klnagent.exe".

4.5.1. Создание исключения для программы

Настроим параметры групповой политики так, чтобы брандмауэр всегда работал, но пропускал входящие соединения для программы "C:\Program Files\Kaspersky Lab\NetworkAgent\klnagent.exe". Укажем также, что эта программа будет принимать входящие соединения только с адреса 192.168.0.1.

Для этого необходимо изменить параметры (табл. 4.2), расположенные в узле "Конфигурация компьютера, Административные шаблоны, Сеть, Сетевые подключения, Брандмауэр Windows, Профиль домена". Параметры, не указанные в этой таблице, могут иметь состояние "Не задана".

Таблица 4.2. Параметры групповой политики
ПараметрСостояние
Брандмауэр Windows: Защитить все сетевые подключенияВключена
Брандмауэр Windows: Не разрешать исключенияОтключена
Брандмауэр Windows: Задать исключения для программВключена. %programfiles%\Kaspersky Lab\NetworkAgent\klnagent.exe:192.168.0.1:enabled:KasperskyAgent

Формат задания исключения для программ следующий [[28]]:

ProgramPath : Scope :Enabled | Disabled: ApplicationName

где ProgramPath - путь к программе и имя файла,

Scope - один или несколько адресов, разделенных запятыми (например, "*" - все сети (кавычки не указываются); 192.168.0.1 - один адрес; 192.168.10.0/24 - подсеть; "localsubnet" - локальная подсеть),

Enabled | Disabled - состояние исключения (включено или выключено),

ApplicationName - описание исключения (текстовая строка).

После применения этих параметров (см. табл. 4.2) окно настроек брандмауэра будет выглядеть так (рис. 4.25). Обратите внимание на надпись "Некоторые параметры управляются групповой политикой".

Закладка "Общие"


Рис. 4.25.  Закладка "Общие"

Как видно на рисунке, настройки брандмауэра теперь закрыты для изменения локальным пользователям (в том числе с правами администратора). На рис. 4.26 представлена закладка "Исключения", на которой отмечено значение, добавленное групповой политикой домена.

Закладка "Исключения"


Рис. 4.26.  Закладка "Исключения"

4.5.2. Создание исключения для порта

Настроим параметры групповой политики так, чтобы брандмауэр всегда работал, но пропускал входящие соединения с адреса 192.168.0.1 на порт UDP 15000.

Для этого необходимо изменить параметры (табл. 4.3), расположенные в узле "Конфигурация компьютера, Административные шаблоны, Сеть, Сетевые подключения, Брандмауэр Windows, Профиль домена". Параметры, не указанные в этой таблице, могут иметь состояние "Не задана".

Таблица 4.3. Параметры групповой политики
ПараметрСостояние
Брандмауэр Windows: Защитить все сетевые подключенияВключена
Брандмауэр Windows: Не разрешать исключенияОтключена
Брандмауэр Windows: Задать исключения для портовВключена. 15000:UDP:192.168.0.1:enabled:Kaspersky Agent Port

Формат задания исключения для программ следующий [[28]]:

Port# :TCP | UDP: Scope: Enabled | Disabled: PortName

где Port# -номер открываемого порта,

TCP | UDP - тип порта,

Scope - один или несколько адресов, разделенных запятыми (например, "*" - все сети (кавычки не указываются); 192.168.0.1 - один адрес; 192.168.10.0/24 - подсеть; "localsubnet" - локальная подсеть),

Enabled | Disabled - состояние исключения (включено или выключено),

PortName - описание исключения (текстовая строка).

4.6. Лабораторная работа. Настройка брандмауэра

В этой лабораторной работе вы выполните настройку брандмауэра с помощью групповой политики и проверите его работу. В целях минимизации предварительных требований для выполнения работ будет использоваться групповая политика "Локальный компьютер". Компьютер client02 входит в рабочую группу (т. е. не введен в домен). Компьютер client01 может входить в рабочую группу или быть включенным в домен.

Предварительные требования

Для выполнения данной работы необходимо наличие двух (можно виртуальных) компьютеров под управлением Windows XP SP2 с настройками по умолчанию (в том числе - "брандмауэр Windows включен"). Один компьютер - client01 (IP=192.168.0.11/255.255.255.0). Второй компьютер - client02 (IP=192.168.0.12/255.255.255.0). Учетная запись администратора на обоих компьютерах - "Administrator", пароль - "P@ssw0rd".

Лабораторная работа 1 выполняется на компьютерах client01 (установка тестовых подключений с компьютером client02) и client02 (настройка брандмауэра, службы Telnet).

4.6.1. Упражнение 1. Проверка межсетевого взаимодействия

Вы проверите прохождение пакетов ICMP между компьютерами до и после отключения брандмауэра.

  1. Зарегистрируйтесь на компьютере client01 под учетной записью Administrator с паролем P@ssw0rd.
  2. Откройте командную строку. Для этого выполните команду "Пуск | Выполнить", введите cmd и нажмите OK.
  3. Выполните команду ping 192.168.0.12. Статистика обмена пакетами должна сообщить о 100%-ной потере пакетов. (Почему?)
  4. Зарегистрируйтесь на компьютере client02 под учетной записью Administrator с паролем P@ssw0rd.
  5. Выключите брандмауэр. Для этого выполните "Пуск | Панель управления | Центр обеспечения безопасности | Брандмауэр Windows". В окне настроек брандмауэра выберите вариант "Выключить" и нажмите OK. Вы сразу увидите уведомление Центра обеспечения безопасности "Безопасность компьютера может быть под угрозой. Брандмауэр не включен".
  6. Переключитесь на компьютер client01. Вернитесь в окно с командной строкой.
  7. Выполните команду ping 192.168.0.12. Статистика обмена пакетами должна сообщить об отсутствии потерь пакетов. (Почему?)

4.6.2. Упражнение 2. Включение службы Telnet

Вы включите службу Telnet на компьютере client02, создадите учетную запись для подключения к ней. Проверите подключение к службе Telnet с компьютера client01.

  1. Зарегистрируйтесь на компьютере client02 под учетной записью Administrator с паролем P@ssw0rd.
  2. Создайте учетную запись user3 с паролем P@ssw0rd. Для этого выполните команду "Пуск | Выполнить", введите compmgmt.msc, нажмите OK. Разверните узел "Локальные пользователи и группы". Откройте контекстное меню элемента "Пользователи" и выполните команду "Новый пользователь...". В поле "Пользователь" введите user3. Укажите пароль - "P@ssw0rd". Отключите параметр "Потребовать смену пароля при следующем входе в систему" и нажмите кнопку "Создать".
  3. Создайте группу TelnetClients и добавьте в эту группу учетную запись user3. Для этого откройте контекстное меню элемента "Группы" и выполните команду "Создать группу...quot;. В поле "Имя группы" введите TelnetClients. Нажмите кнопку "Добавить". В появившемся окне в поле "Введите имена выбираемых объектов" введите user3 и нажмите кнопку "OK". Нажмите кнопку "Создать".
  4. Изменим тип запуска службы Telnet с "Отключено" на "Вручную" и запустим ее. Для этого выполните команду "Пуск | Выполнить", введите services.msc, нажмите OK. В правой части окна найдите службу Telnet и дважды щелкните по ней левой кнопкой мыши. В появившемся окне выберите Тип запуска "Вручную". Нажмите кнопку "Применить". Нажмите кнопку "Пуск". Запомните значение параметра "Исполняемый файл" ( C:\WINDOWS\system32\tlntsvr.exe ). Это значение нам понадобится при настройке исключения в брандмауэре. Нажмите кнопку "OK".
  5. Переключитесь на компьютер client01. Вернитесь в окно с командной строкой.
  6. Выполните команду telnet 192.168.0.12. Должно появиться приветствие программы-клиента Microsoft Telnet. На вопрос "Вы намерены передать информацию … … Послать в любом случае (y/n)" введите n и нажмите "Enter". На запрос "login" введите user3. На запрос "password" введите P@ssw0rd. После появления сообщения "Вас приветствует Telnet-сервер…" введите команду exit. Нам удалось подключиться к Telnet-серверу.
  7. Переключитесь на компьютер client02.
  8. Включите брандмауэр. Для этого выполните "Пуск | Панель управления | Центр обеспечения безопасности | Брандмауэр Windows". В окне настроек брандмауэра выберите вариант "Включить" и нажмите OK.
  9. Выполните команду telnet 192.168.0.12. Должно появиться сообщение: "Подключение к 192.168.0.12… Не удалось открыть подключение к этому узлу, на порт 23: Сбой подключения". (Почему?)

4.6.3. Упражнение 3. Настройка исключения для порта

На компьютере client02 с помощью групповой политики "Локальный компьютер" вы настроите исключение для порта TCP 23 (разрешим входящие подключения на этот порт из локальной подсети) и проверите подключение к службе Telnet с компьютера client01.

  1. Зарегистрируйтесь на компьютере client02 под учетной записью Administrator с паролем P@ssw0rd.
  2. Откройте редактор групповой политики "Локальный компьютер". Для этого выполните команду "Пуск | Выполнить", введите gpedit.msc, нажмите OK.
  3. Откройте узел "Конфигурация компьютера, Административные шаблоны, Сеть, Сетевые подключения, Брандмауэр Windows, Стандартный профиль".
  4. Включите параметр "Брандмауэр Windows: Защитить все сетевые подключения". Для этого дважды щелкните левой кнопкой мыши по этому параметру. В открывшемся окне выберите вариант "Включен" и нажмите кнопку "OK".
  5. Отключите параметр "Брандмауэр Windows: Не разрешать исключения". Для этого дважды щелкните левой кнопкой мыши по этому параметру. В открывшемся окне выберите вариант "Отключен" и нажмите кнопку "OK".
  6. Включите параметр "Брандмауэр Windows: Задать исключения для портов". Для этого дважды щелкните левой кнопкой мыши по этому параметру. В открывшемся окне выберите вариант "Включен" и нажмите кнопку "Показать…". Нажмите кнопку "Добавить…". В появившемся окне введите строку "23:TCP:localsubnet:enabled:Telnet Port". Нажмите кнопку "OK". Нажмите кнопку "OK".
  7. Применим групповую политику. Для этого выполните команду "Пуск | Выполнить", введите gpupdate, нажмите OK.
  8. Просмотрите параметры брандмауэра. Для этого выполните "Пуск | Панель управления | Центр обеспечения безопасности | Брандмауэр Windows". В окне настроек брандмауэра на закладке "Общие" должно быть отображено "Некоторые параметры управляются групповой политикой", и все параметры должны быть заблокированы для изменения. На закладке "Исключения" должно появиться исключение "Telnet Port".
  9. Откройте командную строку. Для этого выполните команду "Пуск | Выполнить", введите cmd и нажмите OK.
  10. Проверим состояние службы Telnet и порт, который эта служба прослушивает. Для этого выполните команду tlntadmn. На экран будут выведены параметры службы Telnet. Обратите внимание на параметр "Порт Telnet" и "Состояние". Они должны быть равны 23 и Stopped соответственно.
  11. Запустим службу Telnet. Для этого выполните команду tlntadmn start. В случае успешного запуска на экран будет выведено "The service was started successfully".
  12. Переключитесь на компьютер client01. Вернитесь в окно с командной строкой.
  13. Выполните команду telnet 192.168.0.12. Должно появиться приветствие программы-клиента Microsoft Telnet. На вопрос "Вы намерены передать информацию ... ... Послать в любом случае (y/n)" введите n и нажмите "Enter". На запрос "login" введите user3. На запрос "password" введите P@ssw0rd. После появления сообщения "Вас приветствует Telnet-сервер…" введите команду exit. Нам удалось подключиться к Telnet-серверу.

4.6.4. Упражнение 4. Настройка исключения для программы

Как вы видели в упражнении 2, службе Telnet соответствует исполняемый файл " C:\WINDOWS\system32\tlntsvr.exe ".

На компьютере client02 с помощью групповой политики "Локальный компьютер" вы настроите исключение для этого исполняемого файла (разрешим входящие подключения для этой программы из локальной подсети) и проверите подключение к службе Telnet с компьютера client01. После этого вы измените номер порта для службы Telnet на 1000 и проверите, что подключение к службе Telnet все еще возможно (брандмауэр сам определяет порт, по которому работает указанный исполняемый файл, и разрешает открытые им входящие подключения).

  1. Зарегистрируйтесь на компьютере client02 под учетной записью Administrator с паролем P@ssw0rd.
  2. Откройте редактор групповой политики "Локальный компьютер". Для этого выполните команду "Пуск | Выполнить", введите gpedit.msc, нажмите OK.
  3. Откройте узел "Конфигурация компьютера, Административные шаблоны, Сеть, Сетевые подключения, Брандмауэр Windows, Стандартный профиль".
  4. Включите параметр "Брандмауэр Windows: Защитить все сетевые подключения". Для этого дважды щелкните левой кнопкой мыши по этому параметру. В открывшемся окне выберите вариант "Включен" и нажмите кнопку "OK".
  5. Отключите параметр "Брандмауэр Windows: Не разрешать исключения". Для этого дважды щелкните левой кнопкой мыши по этому параметру. В открывшемся окне выберите вариант "Отключен" и нажмите кнопку "OK".
  6. Отключите параметр "Брандмауэр Windows: Задать исключения для портов". Для этого дважды щелкните левой кнопкой мыши по этому параметру. В открывшемся окне выберите вариант "Отключен" и нажмите кнопку "OK".
  7. Включите параметр "Брандмауэр Windows: Задать исключения для программ". Для этого дважды щелкните левой кнопкой мыши по этому параметру. В открывшемся окне выберите вариант "Включен" и нажмите кнопку "Показать…". Нажмите кнопку "Добавить…". В появившемся окне введите строку "%windir%\system32\tlntsvr.exe:localsubnet:enabled: Telnet server". Нажмите кнопку "OK". Нажмите кнопку "OK".
  8. Применим групповую политику. Для этого выполните команду "Пуск | Выполнить", введите gpupdate, нажмите OK.
  9. Просмотрите параметры брандмауэра. Для этого выполните "Пуск | Панель управления | Центр обеспечения безопасности | Брандмауэр Windows". В окне настроек брандмауэра на закладке "Общие" должно быть отображено "Некоторые параметры управляются групповой политикой", и все параметры должны быть заблокированы для изменения. На закладке "Исключения" должно появиться исключение "Telnet Server".
  10. Откройте командную строку. Для этого выполните команду "Пуск | Выполнить", введите cmd и нажмите OK.
  11. Проверим состояние службы Telnet и порт, который эта служба прослушивает. Для этого выполните команду tlntadmn. На экран будут выведены параметры службы Telnet. Обратите внимание на параметр "Порт Telnet". Он должен быть равен 23.
  12. Если параметр "Состояние" равен "Stopped", то запустите службу Telnet. Для этого выполните команду tlntadmn start. В случае успешного запуска на экран будет выведено "The service was started successfully".
  13. Переключитесь на компьютер client01. Вернитесь в окно с командной строкой.
  14. Выполните команду telnet 192.168.0.12. Должно появиться приветствие программы-клиента Microsoft Telnet. На вопрос "Вы намерены передать информацию ... ... Послать в любом случае (y/n)" введите n и нажмите "Enter". На запрос "login" введите user3. На запрос "password" введите P@ssw0rd. После появления сообщения "Вас приветствует Telnet-сервер..." введите команду exit. Нам удалось подключиться к Telnet-серверу.
  15. Переключитесь на компьютер client02. Вернитесь в окно с командной строкой.
  16. Изменим порт для службы Telnet на значение 1000. Для этого выполните команду tlntadmn config port=1000. На экране должно появиться сообщение "Параметры успешно обновлены".
  17. Переключитесь на компьютер client01. Вернитесь в окно с командной строкой.
  18. Выполните команду telnet 192.168.0.12 1000. Должно появиться приветствие программы-клиента Microsoft Telnet. На вопрос "Вы намерены передать информацию ... ... Послать в любом случае (y/n)" введите n и нажмите "Enter". На запрос "login" введите user3. На запрос "password" введите P@ssw0rd. После появления сообщения "Вас приветствует Telnet-сервер..." введите команду exit. Нам удалось подключиться к Telnet-серверу на порт 1000, не меняя настроек брандмауэра.

4.8. Резюме

"Центр обеспечения безопасности Windows" является прекрасным примером дружественного интерфейса для контроля функционирования таких важных для безопасности компьютера компонентов, как "брандмауэр", "система автоматического обновления" и антивирусное ПО. Он информирует пользователя о состоянии этих компонентов и рекомендует пользователям, как выполнить их правильную настройку.

При подключении компьютера к домену "Центр обеспечения безопасности Windows" перестает уведомлять пользователя о проблемах с безопасностью Windows. Считается, что в этом случае параметрами безопасности должен управлять администратор домена [[26]] - например, через групповую политику.

Лекция 5. Защита от вредоносного программного обеспечения на примере Windows Defender

В этой лекции будет рассмотрена технология безопасности, защищающая компьютер от программ-шпионов и других видов нежелательных программ, Windows Defender

В этом занятии будет рассмотрен "Защитник Windows" (Windows Defender). Этот продукт предлагается Microsoft как технология безопасности, защищающая компьютер от программ-шпионов и других видов нежелательных программ [[29]]. Этот программный продукт интегрирован в Windows Vista, а для пользователей Windows XP он доступен в виде отдельного дополнения [[30]]. На момент создания данного занятия на сайте Microsoft доступна версия 1.1.1593.0 этого продукта. Все дальнейшее описание базируется на возможностях этой версии для Windows XP.

Версия Защитника Windows, входящая в состав Windows Vista, предоставляет дополнительные улучшения в производительности и безопасности (проверка только изменившихся файлов, проверка файлов при их запуске и т. д.). При использовании Internet Explorer 7 Защитник Windows также позволяет сканировать загружаемые файлы [[44]].

На момент создания этого занятия (октябрь 2007 г.) на сайте Microsoft большая часть статей на русском языке о Защитнике Windows все еще содержит информацию о бета-версии 2, хотя загрузить можно уже окончательную русскую версию.

Прежде всего

Для изучения материалов этого занятия необходимо:

5.1. Введение

Microsoft предлагает следующее определение для "шпионского" ПО [[32]].

"Шпионскими" называются программы, выполняющие определенные действия (например, показ рекламы, сбор личной информации или изменение настроек компьютера) без ведома и контроля пользователя.

Как указывается в [[32], [33]], вероятными признаками наличия на вашем компьютере "шпионского" либо иного нежелательного программного обеспечения являются:

Как указывается в [[33]], некоторые из программ-шпионов могут также выполнять следующее:

Все формы программ-шпионов обладают одним общим признаком: они устанавливаются без ведома пользователя и не предоставляют ему сведений о своих действиях [[33]].

Для защиты от программ-шпионов и вирусов компания Microsoft предлагает следующие технологии [[29], [30]]:

В табл. 5.1 приведены сравнительные характеристики перечисленных выше технологий защиты Microsoft от программ-шпионов и вирусов [[29]].

Таблица 5.1. Сравнение технологий защиты Microsoft от программ-шпионов и вирусов
Название продукта и целевые пользователиСдерживание программ-шпионов и других нежелательных программСдерживание вирусов и вредоносного ПОСканирование по расписаниюПредоставляется без дополнительной платы
Сканирование и удалениеЗащитаСканирование и удалениеЗащита
Защитник Windows (клиенты)vvvv
Windows Live Safety Center (клиенты)vvv
Malicious Software Removal Tool (клиенты и предприятия)vv
Windows Live OneCare (клиенты)vvvvv
Microsoft Client Protection (предприятия)vvvvv

5.2. Установка Windows Defender

Для установки программы вам необходимы права администратора на локальном компьютере. Процесс инсталляции очень прост и после окончания не требует перезагрузки компьютера.

После установки для запуска программы достаточно привилегий обычного пользователя, но некоторые действия могут требовать привилегий администратора.

5.2.1. Требования к системе

Как указывается в [[34]], минимальными требованиями для установки являются:

5.2.2. Шаг 1. Загрузка Защитника Windows

Для установки приложения необходимо загрузить установщик с веб-узла центра загрузки Microsoft [[35]]. Для этого на "Домашней странице Защитника Windows" [[31]] щелкните по надписи "Загрузить здесь" (рис. 5.1).

Фрагмент домашней страницы Защитника Windows


увеличить изображение

Рис. 5.1.  Фрагмент домашней страницы Защитника Windows

На появившейся странице выберите русский язык и нажмите кнопку "Change" (рис. 5.2).

Фрагмент страницы загрузки Защитника Windows


Рис. 5.2.  Фрагмент страницы загрузки Защитника Windows

Защитник Windows является бесплатной программой для владельцев подлинной версии Windows. Поэтому на появившейся странице перед загрузкой установщика вам предлагается проверить подлинность вашей версии Windows. Об этом свидетельствует надпись "Требуется проверка" ("Validation Required") на странице загрузки (рис. 5.3) [[35]].

Фрагмент страницы загрузки Защитника Windows


увеличить изображение

Рис. 5.3.  Фрагмент страницы загрузки Защитника Windows

Нажмите кнопку "Продолжить" для проверки операционной системы вашего компьютера. После этого вы перейдете на страницу установки компонента проверки подлинности Windows (the Genuine Windows Validation Component) (рис. 5.4). Этот компонент является элементом управления ActiveX под названием "Windows Genuine Advantage". В соответствии с настройками по умолчанию, в Internet Explorer (версия, входящая в состав Windows XP SP2) запрещена автоматическая установка элементов ActiveX. Об этом свидетельствует появившаяся панель информации со значком. Для продолжения установки необходимо выполнить щелчок левой кнопкой мыши по этой панели (см. рис. 5.4). В появившемся меню (рис. 5.5) выберите команду "Установить элемент управления ActiveX...".

Страница установки компонента проверки подлинности Windows


увеличить изображение

Рис. 5.4.  Страница установки компонента проверки подлинности Windows

Меню панели информации


Рис. 5.5.  Меню панели информации

После появления предупреждения системы безопасности об установке ActiveX компонента нажмите кнопку "Установить" (рис. 5.6).

Предупреждение системы безопасности


Рис. 5.6.  Предупреждение системы безопасности

После успешной проверки вашей операционной системы вы вернетесь на страницу загрузки Защитника Windows. Но внешний вид этой страницы теперь будет другой. Вместо кнопки "Continue" (см. рис. 5.3) будет кнопка "Download" (рис. 5.7). Нажмите ее.

Страница загрузки Защитника Windows после проверки ОС


увеличить изображение

Рис. 5.7.  Страница загрузки Защитника Windows после проверки ОС

После появления предупреждения системы безопасности нажмите кнопку "Сохранить" (рис. 5.8) и выберите место для сохранения файла WindowsDefender.msi. В случае возникновения ошибок во время установки Защитника Windows, вы всегда сможете запустить установку повторно, если сохраните установщик на диск.

Предупреждение системы безопасности


Рис. 5.8.  Предупреждение системы безопасности

5.2.3. Шаг 2. Запуск установщика Защитника Windows

После того как вы загрузили на свой компьютер установщик Защитника Windows, можно приступать к собственно установке. Запустите файл WindowsDefender.msi. Если после запуска вы увидите окно приветствия мастера установки (рис. 5.9), то перейдите к шагу 5 (пункт 5.2.6). Если вы увидите сообщение об отсутствии Windows Installer 3.1, представленное на рис. 5.10, то перейдите к пункту 5.2.4. Если вы увидите сообщение о необходимости обновления службы Windows Update, представленное на рис. 5.11, то перейдите к пункту 5.2.5.

Приветствие мастера установки


Рис. 5.9.  Приветствие мастера установки

Сообщение об отсутствии установщика Windows 3.1


Рис. 5.10.  Сообщение об отсутствии установщика Windows 3.1

Сообщение о необходимости обновить службу Windows Update


Рис. 5.11.  Сообщение о необходимости обновить службу Windows Update

5.2.4. Шаг 3. Установка Windows Installer 3.1

Как указано на рис. 5.10, для установки Защитника Windows необходимо наличие на компьютере приложения Windows Installer версии 3.1 или выше. Чтобы получить подробные требования к установке, необходимо посетить сайт http://go.microsoft.com/fwlink/?LinkId=63848 (рис. 5.12). Кроме описанных ранее системных требований, на этой странице есть также ссылка на Microsoft Download Center (см. рис. 5.12). Перейдя по этой ссылке, вы получите возможность скачать на свой компьютер Windows Installer последней версии (рис. 5.13).

Системные требования


Рис. 5.12.  Системные требования

Страница загрузки Windows Installer 3.1


Рис. 5.13.  Страница загрузки Windows Installer 3.1

Как вы видите на рис. 5.13, для загрузки Windows Installer 3.1 уже не требуется проверка подлинности операционной системы. Загрузите файл WindowsInstaller-KB893803-v2-x86.exe и запустите его. Следуйте инструкциям мастера установки. По окончании установки не забудьте перезагрузить компьютер.

Вернитесь к шагу 2 (п. 5.2.3) и попробуйте повторно начать установку Защитника Windows.

5.2.5. Шаг 4. Обновление службы Windows Update

Как указано на рис. 5.11, для установки Защитника Windows необходимо обновить на вашем компьютере службу Windows Update. Для этого запустите Internet Explorer и выполните команду меню "Сервис | Windows Update" или перейдите по адресу http://windowsupdate.microsoft.com/. Через несколько секунд вы увидите предупреждение системы безопасности с предложением установить приложение Windows Update (рис. 5.14). Нажмите кнопку "Установить". Если после установки потребуется перезагрузка – выполните ее. Вернитесь к шагу 2 (п. 5.2.3) и попробуйте повторно начать установку Защитника Windows.

Предупреждение системы безопасности


Рис. 5.14.  Предупреждение системы безопасности

5.2.6. Шаг 5. Мастер установки Защитника Windows

После появления на экране окна приветствия мастера установки (см. рис. 5.9) нажмите кнопку "Далее"("Next"). Перед началом установки Защитника Windows необходимо проверить подлинность используемой копии Microsoft Windows (рис. 5.15). Нажмите кнопку "Проверить".

Проверка подлинности Windows


Рис. 5.15.  Проверка подлинности Windows

Если проверка прошла успешно, на экране появится окно "Лицензионное соглашение для "Windows Defender"". Прочтите его. Если вы его принимаете, то выберите "Принимаю условия лицензионного соглашения" ("I accept the terms in the license agreement") и нажмите кнопку "Далее" ("Next").

На следующей странице вам будет предложено вступить в Интернет-сообщество Microsoft SpyNet (рис. 5.16). Microsoft рекомендует выбрать первый вариант ("Использовать рекомендованные настройки", "Use recommended settings") [[37]]. В этом случае вы будете автоматически получать обновления информации о "шпионских" программах и вступите в Интернет-сообщество Microsoft SpyNet.

Предложение вступить в сообщество Microsoft SpyNet


Рис. 5.16.  Предложение вступить в сообщество Microsoft SpyNet

Интернет-сообщество Microsoft SpyNet (или сеть голосования) позволяет входящим в нее пользователям получать информацию о программах, которые были запрещены, удалены или разрешены другими пользователями при работе с Защитником Windows. Кроме того, ваши решения по этому вопросу также будут доступны другим пользователям. Данные о решениях пользователей отображаются в Защитнике Windows в виде графика, который содержит информацию о процентном соотношении людей, разрешивших, запретивших или удаливших конкретную программу [[38]].

Если вы не хотите вступать сообщество Microsoft SpyNet, но желаете получать обновления информации о "шпионских" программах, то выберите вариант "Установить только обновления определений" ("Install definition updates only").

При выборе варианта "Отложить"("Ask me later") вы не будете получать обновления и вступать в сообщество Microsoft SpyNet.

Выберите первый вариант и нажмите кнопку "Далее" ("Next"). На следующей странице вам будет предложено выбрать тип установки: "Полная" ("Complete") или "Выборочная" ("Custom") (рис. 5.17). Выберите вариант "Полная" ("Complete") и нажмите кнопку "Далее"("Next").

Выбор типа установки


Рис. 5.17.  Выбор типа установки

На следующем экране вам будет сообщено о готовности к установке Защитника Windows (рис. 5.18). Нажмите кнопку "Установить" ("Install").

Готовность к установке


Рис. 5.18.  Готовность к установке

После завершения установки появится соответствующая страница с предложением проверить наличие обновлений информации о "шпионских" программах и запустить быстрое сканирование вашего компьютера (рис. 5.19). Нажмите кнопку "Готово" ("Finish").

Успешное завершение установки


Рис. 5.19.  Успешное завершение установки

Для запуска Защитника Windows в меню "Пуск" выберите пункт "Все программы", а затем – пункт "Windows Defender" (Защитник Windows) (рис. 5.20).

Главное окно Защитника Windows


увеличить изображение

Рис. 5.20.  Главное окно Защитника Windows

5.3. Настройки Windows Defender

Для просмотра и изменения параметров работы Защитника Windows на панели инструментов выберите "Программы" ("Tools") (см. рис. 5.20) и в появившейся странице (рис. 5.21) выберите пункт "Параметры" ("Options").

Страница "Tools" (Сервис)


увеличить изображение

Рис. 5.21.  Страница "Tools" (Сервис)

Настройки Защитника Windows состоят из пяти разделов:

Если вы измените любой из параметров, то для сохранения этих изменений необходимо нажать кнопку "Сохранить" ("Save") внизу экрана.

Рассмотрим каждый из этих разделов более подробно.

5.3.1. Автоматическая проверка (Automatic scanning)

В этом разделе сосредоточены настройки планирования проверки компьютера на наличие программ-шпионов и других потенциально нежелательных программ. Параметр "Автоматически проверять компьютер (рекомендуется)" ("Automatically scan my computer [recommended]") позволяет запланировать проведение периодических проверок компьютера (см. рис. 5.22).

Настройки автоматического сканирования


Рис. 5.22.  Настройки автоматического сканирования

Параметр "Частота" ("Scan frequency") позволяет задать периодичность автоматического сканирования. Доступны варианты: "ежедневно" ("Daily"), "понедельник", "вторник", …, "воскресенье".

Параметр "Примерное время" ("Time of day") определяет время начала сканирования.

Параметр "Тип" ("Type of scan") позволяет выбрать, какая проверка будет выполняться: "Быстрая проверка" ("Quick scan") или "Полная проверка системы" ("Full system scan"). При быстрой проверке проверяются те области компьютера, которые наиболее подвержены воздействию нежелательного программного обеспечения. При полной проверке системы проверяются все файлы на жестком диске и все выполняемые в данный момент программы. При этом возможно замедление работы компьютера до завершения сканирования. Microsoft рекомендует запланировать ежедневную быструю проверку, а в случае подозрения на заражение компьютера программами-шпионами – выполнять полную проверку системы [[39]].

Параметр "Проверить наличие обновленных определений перед проверкой" ("Check for updated definitions before scanning") позволяет перед сканированием компьютера проверить наличие обновлений информации о нежелательных программах на сервере обновлений Windows.

Параметр "Применить действия по умолчанию к обнаруженным при проверке программам" ("Apply default actions to items detected during a scan") позволяет при обнаружении нежелательного программного обеспечения выполнять действия по умолчанию, заданные в следующем разделе (см. след. пункт). Если этот параметр выключен, то при обнаружении программ-шпионов и других потенциально нежелательных программ Защитник Windows будет запрашивать у пользователя, что необходимо сделать с обнаруженным подозрительным объектом.

5.3.2. Действия по умолчанию (Default actions)

В этом разделе вы можете определить, какие действия необходимо выполнять при обнаружении подозрительных объектов (см. рис. 5.23). Для различных типов предупреждений (высокий – high, средний – medium, низкий – low) вы можете задать свой вариант реагирования. Доступны следующие варианты:

Действия по умолчанию


увеличить изображение

Рис. 5.23.  Действия по умолчанию

5.3.3. Параметры защиты в режиме реального времени (Real-time protection options)

В этом разделе находятся настройки, связанные с защитой в реальном времени (см. рис. 5.24).

Настройки защиты в реальном времени


Рис. 5.24.  Настройки защиты в реальном времени

Защита в режиме реального времени (постоянная защита) контролирует состояние важнейших компонентов операционной системы (ОС). Когда посторонние программы производят изменения в настройках ОС или пытаются установиться на компьютер, постоянная защита фиксирует эти действия и уведомляет об этом пользователя [[38]].

Параметр "Использовать защиту в режиме реального времени (рекомендуется)" ("Use real-time protection [recommended] ") позволяет включить или выключить постоянную защиту.

Ниже перечислены агенты безопасности, контролирующие различные компоненты ОС. Вы можете включить или выключить нужные вам компоненты, но Microsoft рекомендует не выключать защиту в реальном времени и использовать все существующие агенты безопасности. В табл. 5.2 представлено назначение каждого агента, взятое из встроенной помощи Защитника Windows.

Таблица 5.2. Агенты безопасности защиты в реальном времени
АгентНазначение
Автозапуск (Auto Start)Контроль списка программ, автоматически запускающихся при старте компьютера
Настройка системы (параметры) [System Configuration (settings)]Контроль настроек, связанных с безопасностью Windows
Надстройки Internet Explorer (Internet Explorer Add-ons)Контроль программ, которые автоматически запускаются при старте Internet Explorer
Настройка Internet Explorer (параметры) [Internet Explorer Configurations (settings)]Контроль настроек безопасности Internet Explorer
Загруженные из Интернета (Internet Explorer Downloads)Контроль файлов и программ, которые спроектированы для работы с Internet Explorer (например, элементы управления ActiveX и программы установки программного обеспечения из Интернета)
Службы и драйверы (Services and Drivers)Контроль служб и драйверов
Выполнение приложения (Application Execution)Контроль запускающихся программ и действий, которые они выполняют
Регистрация приложения (Application Registration)Контроль утилит и файлов операционной системы, предназначенных для запуска программ (например, по расписанию)
Надстройки Windows (Windows Add-ons)Контроль дополнений (также известных как программные утилиты) для Windows

Следующие два параметра определяют, будет ли Защитник Windows уведомлять пользователя:

Следующий параметр ("Укажите, когда следует отображать значок Защитника Windows в области уведомлений" ["Choose when the Windows Defender icon appears in the notification area"]) определяет, когда будет появляться значок Защитника Windows в области уведомления (правая нижняя часть экрана). Вариант "Всегда" ("Always") соответствует постоянному наличию значка. Вариант "Только когда "Защитник Windows" обнаруживает, что нужно действие" ("Only if Windows Defender detects an action to take") соответствует отображению значка только в случае возникновения какого-либо события - например, когда Защитник Windows давно не соединялся с сервером обновлений Windows и не скачивал новые описания нежелательных программ.

5.3.4. Дополнительные параметры (Advanced options)

В этом разделе (см. рис. 5.25) находятся следующие параметры, название которых говорит само за себя.

Расширенные настройки


Рис. 5.25.  Расширенные настройки

5.3.5. Административные параметры (Administrator options)

В этом разделе (см. рис. 5.26) находятся следующие настройки:

Настройки Администратора


Рис. 5.26.  Настройки Администратора

5.4. Обновление Windows Defender

Защитник Windows работает тем эффективнее, чем большей информацией о существующих в мире шпионских и прочих нежелательных программах он обладает. Эту информацию Windows Defender получает с сервера обновлений Windows (Windows Update). Соответственно, если ваш компьютер настроен на автоматическое обновление ("Пуск", "Панель управления", "Центр обеспечения безопасности", рис. 5.27) и периодически получает обновления с сервера Windows Update, то Защитник Windows будет также получать свои обновления.

Автоматическое обновление включено


увеличить изображение

Рис. 5.27.  Автоматическое обновление включено

Информация о том, какая версия информационных баз сейчас используется Защитником Windows, отображается на главной странице (рис. 5.28). Если Защитник Windows считает, что базы устарели, то на главной странице появляется предупреждение (см. рис. 5.28).

Главная страница Защитника Windows


увеличить изображение

Рис. 5.28.  Главная страница Защитника Windows

Для того чтобы скачать свежие обновления с сервера Microsoft, нажмите кнопку "Проверить наличие обновлений" ("Check Now"). В области уведомления (правая часть панели задач) появится значок с сообщением "Защитник Windows выполняет поиск обновлений" ("Windows Defender is connecting to the Internet to acquire new definitions and engine upgrades") (рис. 5.29).

Сообщение о соединении с сервером обновлений


Рис. 5.29.  Сообщение о соединении с сервером обновлений

Примечание. На самом деле, если в вашей организации развернут внутренний сервер обновлений (например, Microsoft Windows Server Update Services, WSUS) и ваш компьютер для получения обновлений настроен на соединение с этим сервером, то Защитник Windows будет соединяться не с Интернетом, а с внутренним сервером обновлений. Настройка внутреннего сервера обновлений не входит в тему данного занятия. Однако отметим, что сервер WSUS по умолчанию не скачивает из Интернета обновления определений для Защитника Windows, и его необходимо соответствующим образом настраивать.

После успешного получения последних обновлений появится соответствующее сообщение в области уведомления (рис. 5.30).

Сообщение об успешности получения обновлений


Рис. 5.30.  Сообщение об успешности получения обновлений

После этого главная страница изменит свое содержание (рис. 5.31).

Главная страница Защитника Windows


увеличить изображение

Рис. 5.31.  Главная страница Защитника Windows

Если вы хотите выполнить обновление Защитника Windows, вы всегда можете нажатьрядом со значкомна панели задач Защитника Windows и выбрать команду "Проверить наличие обновлений" ("Check for Updates").

5.5. Проверка компьютера

Как было сказано выше, чтобы проверить ваш компьютер на наличие шпионского и другого нежелательного ПО, необходимо выполнить сканирование с помощью Защитника Windows. Существует три типа сканирования:

При быстрой проверке проверяются те области на жестком диске, заражение которых программами-шпионами наиболее вероятно [[39]]. В этом режиме проверяются не только системные папки Windows, но и важные для безопасности ветки реестра. В режиме полной проверки проверяются не только все файлы на жестком диске, но и все выполняемые в данный момент программы. Как указывается в [[39]], при выполнении полной проверки компьютера возможно замедление работы системы. Поэтому рекомендуется настроить Защитник Windows на ежедневную быструю проверку, а при подозрении на заражение компьютера программами- шпионами - выполнять полную проверку системы.

Выборочное сканирование позволяет провести сканирование только выбранных дисков и папок.

Для выбора нужного вам режима сканирования компьютера нажмите треугольник () рядом с кнопкой "Проверить" ("Scan") на панели задач Защитника Windows. Если сразу нажать кнопку "Проверить" ("Scan"), то будет выполнена быстрая проверка компьютера (рис. 5.32).

Быстрая проверка компьютера


увеличить изображение

Рис. 5.32.  Быстрая проверка компьютера

После ее выполнения на экран будет выведена статистка проверки. На рис. 5.33 представлен результат проверки, не обнаружившей подозрительных объектов.

Результат быстрой проверки


увеличить изображение

Рис. 5.33.  Результат быстрой проверки

5.5.1. Обнаружение подозрительных действий

Чтобы получать уведомления обо всех подозрительных действиях, совершаемых на вашем компьютере, необходимо в разделе "Укажите, нужны ли оповещения Защитника Windows" ("Choose if Windows Defender should notify you about") включить параметр "Программы, не классифицированные на предмет возможного риска" ("Software that has not yet been classified for risks") (см. п. 5.3.3). В этом случае Защитник Windows будет предупреждать вас обо всех подозрительных действиях. Иначе (по умолчанию этот параметр выключен) он будет предупреждать вас только о тех действиях (и тех программах), информация о которых входит в определения (definitions), созданные разработчиками Защитника Windows.

На рис. 5.34 представлено сообщение об обнаруженных подозрительных действиях. Для того чтобы узнать, что обнаружил Защитник Windows, необходимо щелкнуть по этому сообщению или дважды щелкнуть левой кнопкой мыши по значку Защитника Windows. На экране появится окно с указанием обнаруженных событий (рис. 5.35).

Обнаружены подозрительные действия


Рис. 5.34.  Обнаружены подозрительные действия

Выбор действия


увеличить изображение

Рис. 5.35.  Выбор действия

Обнаруженные события перечислены в виде таблицы в средней части экрана. В нижней части экрана для выделенного в данный момент события отображается более подробная информация (рис. 5.36). В разделе "Сводка" ("Summary") отображается общая информация по событию. Далее идет более подробное описание. В разделе "Путь" ("Path") указывается расположение файла, вызвавшего данное событие. В разделе "Обнаруженные изменения" ("Detected changes") - зафиксированные в системе изменения. В разделе "Совет" ("Advice") дается рекомендация, что в данном случае следует предпринять.

Подробное описание подозрительного события


увеличить изображение

Рис. 5.36.  Подробное описание подозрительного события

Если вы доверяете разработчику той программы, которая вызвала это событие, то в столбце "Действие" ("Action") выберите вариант "Разрешить" ("Allow") (см. рис. 5.35). Иначе - выберите вариант "Запретить" ("Block"). В последнем случае действия, которые были выполнены указанной программой, будут отменены. После выбора нужных действий для всех событий нажмите кнопку "Применить действия" ("Apply Actions"). Если указанное вами действие удалось выполнить, в столбце "Состояние" ("Status") будет выведено "Успешно" ("Succeeded") (рис. 5.37).

Ваши действия были применены


увеличить изображение

Рис. 5.37.  Ваши действия были применены

5.5.2. Обнаружение программ-шпионов

В предыдущем пункте был описан пример обнаружения так называемого "не классифицируемого события". У такого события в разделе " Категория " (" Category ") отображается "Нет классификации" ("Not Yet Classified") (см. рис. 5.36). По умолчанию пользователю о таких событиях не сообщается (см. п. 5.5.1), но они фиксируются в окне "Журнал" ("History"). Если информация о приложении или событии существует в информационных базах (определениях) Защитника Windows, то предупреждение о таком событии выглядит иначе (рис. 5.38).

Сообщение с уровнем "Medium"


Рис. 5.38.  Сообщение с уровнем "Medium"

В данном случае Защитник Windows зафиксировал событие со средним (Medium) уровнем оповещения (Alert level) (см. рис. 5.38). Как указывается в справке, уровни оповещения (alert levels) помогают пользователю принять правильное решение о том, как реагировать на обнаруженное шпионское или нежелательное ПО. Несмотря на то, что Защитник Windows будет рекомендовать вам удалить (кнопка "Удалить все" ["Remove All"]) программу, не все обнаруженные программы являются опасными или нежелательными. В табл. 5.3 представлена информация, помогающая вам решить, что делать, если Защитник Windows обнаружил нежелательное ПО на вашем компьютере.

Таблица 5.3. Уровни предупреждения
Уровень предупрежденияЧто означаетЧто делать
Severe (Критический)Широко распространенные или исключительно опасные программы (например, вирусы или черви), которые наносят ущерб вашей личной информации и защите вашего компьютера. Эти программы могут повредить ваш компьютер.Немедленно удалите эту программу.
High (Высокий)Программы, которые могут собирать вашу личную информацию и повредить ваш компьютер. Например, без вашего ведома или согласия собирают информацию или меняют настройки вашего компьютера.Немедленно удалите эту программу.
Medium (Средний)Программы, которые могут влиять на вашу личную информацию или выполнять изменения на вашем компьютере.Просмотрите подробности этого предупреждения, чтобы выяснить, почему это программа была обнаружена. Если вам не нравятся те действия, которые выполняет эта программа или вы не доверяете разработчику этой программы, решите, заблокировать или удалить эту программу.
Low (Низкий)Потенциально нежелательные программы, которые могут собирать информацию о вас, вашем компьютере или изменять настройки вашего компьютера, но об этих действиях сообщается в лицензионном соглашении при их установке.Такие программы обычно не опасны при выполнении на вашем компьютере, если только они не были установлены без вашего ведома. Если вы не уверены, разрешать ли работу такой программы, просмотрите подробности этого предупреждения и определите, доверяете ли вы разработчику этой программы.
Not yet classified (не классифицирован)Обычно неопасные программы, если только они не были установлены без вашего ведома.Если вы знаете эту программу и доверяете ее разработчику, разрешите ее выполнение. Иначе - просмотрите подробности этого предупреждения, для того чтобы принять обоснованное решение. Если вы вступили в сообщество Microsoft SpyNet, проверьте рейтинг сети голосования, чтобы узнать, доверяют ли этой программе другие пользователи.

Для того чтобы просмотреть подробности этого события, подведите курсор к строке с названием обнаруженной программы. Появится всплывающее сообщение с описанием обнаруженной программы и советом от разработчиков Защитника Windows (рис. 5.39). Если вы нажмете кнопку "Удалить все" ("Remove All"), то Защитник Windows попытается удалить обнаруженную программу. Об успешности этого действия можно будет судить, просмотрев окно "Журнал" ("History"). Если вы нажмете кнопку "Игнорировать" ("Ignore"), Защитник Windows ничего не будет делать с обнаруженной программой, о чем также появится сообщение в окне "Журнал" ("History").

Описание обнаруженной программы


Рис. 5.39.  Описание обнаруженной программы

Описанный выше пример показывает реакцию Защитника Windows на операцию записи на диск программы установщика. В случае обнаружения реально работающей в данный момент (т. е. уже установленной на вашем компьютере) программы окно с предупреждением будет иметь дополнительную кнопку "Проверить" ("Review") (рис. 5.40). При нажатии на эту кнопку появится главное окно Защитника Windows с возможностью не только удалить обнаруженную программу (кнопка "Remove All"), но и просмотреть подробности обнаруженного события (рис. 5.41). Для этого необходимо щелкнуть по надписи "Просмотр объектов, обнаруженных защитой в режиме реального времени" ("Review items detected by real-time protection"). В результате на экране появится окно с подробным описанием события и с возможностью выбора нужного действия (рис. 5.42).

Обнаружение исполняемой программы


Рис. 5.40.  Обнаружение исполняемой программы

Сообщение об обнаруженном событии


увеличить изображение

Рис. 5.41.  Сообщение об обнаруженном событии

Выберите нужное действие


увеличить изображение

Рис. 5.42.  Выберите нужное действие

Возможны следующие действия:

Кроме того, в конце списка с описанием этого объекта, есть ссылка "Показать дополнительные сведения об этом элементе из Интернета", которая позволяет просмотреть дополнительную информацию об этом объекте на сайте Microsoft.

5.5.3. Работа с карантином

При перемещении подозрительной программы на карантин Защитник Windows перемещает ее в другое место на компьютере и препятствует ее работе до тех пор, пока вы не решите удалить или восстановить ее [[40]].

Для просмотра объектов, находящихся на карантине, необходимо на панели инструментов выбрать "Программы" ("Tools") (см. рис. 5.20) и в появившейся странице (см. рис. 5.21) выбрать пункт "Объекты в карантине" ("Quarantined items") (рис. 5.43).

Список объектов на карантине


увеличить изображение

Рис. 5.43.  Список объектов на карантине

Для того чтобы удалить все объекты, находящиеся на карантине, необходимо просто нажать внизу кнопку "Удалить все" ("Remove All"). Для того чтобы удалить или восстановить только некоторые объекты, находящиеся на карантине, необходимо выделить их (т.е. отметить их галочками) и нажать одну из кнопок:

5.5.4. Работа со списком разрешенных объектов

При выборе действия "Всегда разрешать" ("Always allow") обнаруженный объект заносится в список разрешенных программ (allowed list). Для просмотра этого списка необходимо на панели инструментов выбрать "Программы" ("Tools") (см. рис. 5.20) и в появившейся странице (см. рис. 5.21) выбрать пункт "Разрешенные объекты" ("Allowed items") (рис. 5.44).

Список разрешенных объектов


увеличить изображение

Рис. 5.44.  Список разрешенных объектов

Если вы удалите программу из этого списка, то Защитник Windows снова начнет контролировать действия, выполняемые ею. Для удаления программы из списка необходимо выделить ее (поставить галочку) и нажать внизу кнопку "Удалить из списка" ("Clear").

5.5.5. Использование Проводника программного обеспечения (Software Explorer)

На странице "Программы" ("Tools") (см. рис. 5.21) кроме уже рассмотренных средств присутствует утилита "Проводник программного обеспечения" ("Software Explorer"), которая позволяет просматривать подробную информацию о запущенных на компьютере программах. Эта утилита (рис. 5.45) помогает контролировать следующие элементы [[41]]:

Обозреватель программ


увеличить изображение

Рис. 5.45.  Обозреватель программ

Примечание. Чтобы воспользоваться некоторыми функциями обозревателя программ, нужно обладать правами Администратора.

В зависимости от выбранной категории, по каждой программе в "Проводнике программного обеспечения" ("Software Explorer") можно просмотреть следующие сведения (табл. 5.4).

Таблица 5.4. Сведения, отображаемые в обозревателе программ
ПараметрОписание
Автозапуск (Auto Start)Показывает, зарегистрирована ли программа для автоматического запуска при запуске операционной системы
Тип запуска (Startup Type)Адрес регистрации программы для автоматического запуска (реестр или папка автозагрузки)
Поставка с операционной системой (Ship with OS)Показывает, была ли данная программа установлена в ходе установки операционной системы Windows
Классификация (Classification)Показывает, представляет ли программа угрозу конфиденциальным сведениям или безопасности компьютера
Цифровая подпись (Digitally Signed By)Имеет ли программное обеспечение цифровую подпись, если да, то принадлежит ли эта подпись производителю, указанному в списке. Если нет, то не рекомендуется доверять сведениям о производителе, предоставляемым с программным обеспечением, и следует просмотреть дополнительную информацию, прежде чем признать данное программное обеспечение надежным

5.6. Лабораторная работа. Установка и использование Защитника Windows.

В этой лабораторной работе вы установите Защитника Windows, проверите дату последнего обновления, проведете проверку компьютера и обнаружите подозрительные действия.

5.6.1. Упражнение 1. Подготовительные действия

Вы скопируете потенциально нежелательное программное обеспечение Home Key Logger (клавиатурный шпион) на свой компьютер и создадите командный файл с подозрительными действиями (он регистрирует себя в реестре для автоматического запуска при каждом старте операционной системы).

  1. Зарегистрируйтесь в системе как пользователь с правами администратора.
  2. Скопируйте на рабочий стол архив с программой Home Key Logger (http://www.spyarsenal.com/cgi-bin/load.pl?family-keylogger--webroot--otherproducts282).
  3. С помощью проводника в корневой папке диска С: создайте папку "Test".
  4. Выполните "Пуск" – "Выполнить" – "cmd".
  5. Для создания командного файла c:\test\risk.bat, в командной строке выполните следующие действия:
    c:
    cd \test
    copy con risk.bat
    {Ctrl+Z}{Enter}
    Exit
  6. С помощью проводника откройте папку C:\Test. На файле risk.bat нажмите правую кнопку мыши. В появившемся контекстном меню выберите команду "Изменить".
  7. После открытия Блокнота наберите следующую команду (в одну строку): reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Run" /v risk.bat /t REG_SZ /d "C:\Test\risk.bat"
  8. Сохраните изменения (команда меню "Файл | Сохранить") и закройте Блокнот.

5.6.2. Упражнение 2. Установка Защитника Windows

Вы выполните установку Защитника Windows на свой компьютер.

  1. Зарегистрируйтесь в системе как пользователь с правами администратора и подключитесь к Интернету (если это еще не сделано).
  2. С помощью Internet Explorer откройте "Домашнюю страницу Защитника Windows" (http://www.microsoft.com/rus/athome/security/spyware/software/default.mspx) и щелкните по надписи "Загрузить здесь".
  3. На появившейся странице смените язык на русский (Поле "Change language") и нажмите кнопку "Change".
  4. При появлении на странице надписи "Требуется проверка" ("Validation Required") нажмите кнопку "Продолжить" ("Continue").
  5. При появлении в Internet Explorer панели информации со значком, сообщающим о необходимости установки элемента управления ActiveX "Windows Genuine Advantage", щелкните левой кнопкой мыши по этой панели и выберите команду "Установить элемент управления ActiveX...".
  6. При появлении предупреждения системы безопасности об установке ActiveX компонента нажмите кнопку "Установить".
  7. После появления предупреждения системы безопасности нажмите кнопку "Сохранить" (см. рис. 5.8) и выберите место для сохранения файла WindowsDefender.msi. В случае возникновения ошибок во время установки Защитника Windows, вы всегда сможете запустить установку повторно, если сохраните установщик на диск.
  8. Запустите файл WindowsDefender.msi. Если после запуска вы увидите окно приветствия мастера установки, то перейдите к пункту 11. Если вы увидите сообщение об отсутствии Windows Installer 3.1, то перейдите к пункту 9. Если вы увидите сообщение о необходимости обновления службы Windows Update, то перейдите к пункту 10.
  9. Установите приложение Windows Installer 3.1. Для этого посетите сайт http://go.microsoft.com/fwlink/?LinkId=63848, описывающий требования к установке Защитника Windows. Как указывается на этой странице, посетите Центр загрузки Microsoft, чтобы установить Windows Installer. Для этого перейдите по ссылке "Microsoft Download Center" и следуйте инструкциям по загрузке и установке Windows Installer. Если необходимо, перезагрузите компьютер и вернитесь к п. 8.
  10. Обновите на вашем компьютере службу Windows Update. Для этого воспользуйтесь либо внутренним сервером обновлений в вашей организации (если он существует), либо в Internet Explorer выполните команду меню "Сервис | Windows Update". Следуйте инструкциям на экране для обновления службы Windows Update. Если необходимо, перезагрузите компьютер и вернитесь к п. 8.
  11. После появления на экране окна приветствия мастера установки нажмите кнопку "Далее"("Next").
  12. Проверьте подлинность вашей копии Microsoft Windows, нажав кнопку "Проверить".
  13. Прочтите лицензионное соглашение, и если вы его принимаете, то выберите "Принимаю условия лицензионного соглашения" ("I accept the terms in the license agreement") и нажмите кнопку "Далее" ("Next").
  14. На следующей странице выберите вариант "Использовать рекомендованные настройки" ("Use recommended settings") и нажмите кнопку "Далее" ("Next").
  15. На следующей странице выберите вариант полной установки "Полная" ("Complete") и нажмите кнопку "Далее" ("Next").
  16. При появлении сообщения о готовности к установке Защитника Windows нажмите кнопку "Установить" ("Install").
  17. После успешной установки отключите параметр "Проверить наличие обновленных определений и сразу запустить быструю проверку" ("Check for updated definitions and run a quick scan now") и нажмите кнопку "Готово" ("Finish").

5.6.3. Упражнение 3. Обновление определений Защитника Windows

Вы выполните обновление определений Защитника Windows.

  1. Зарегистрируйтесь в системе как пользователь с правами администратора и подключитесь к Интернету (если это еще не сделано).
  2. Запустите Защитник Windows ("Пуск – Все программы – Windows Defender").
  3. В разделе "Состояние" ("Status") проверьте версию установленных обновлений и дату их создания. См. параметр "Версия определений" ("Definition version").
  4. Щелкните по треугольнику () рядом со знаком помощи (). В появившемся списке выберите команду "Проверить наличие обновлений" ("Check for Updates").
  5. Дождитесь появления сообщения "Все новые определения и обновления рабочего модуля Защитника Windows уже установлены" ("Windows Defender is up-to-date with definitions and engine upgrades").
  6. На главной странице (возникает по нажатию кнопки "Домой" ["Home"]) проверьте версию установленных обновлений и дату их создания.

5.6.4. Упражнение 4. Быстрое сканирование компьютера

Вы выполните быструю проверку вашего компьютера с помощью Защитника Windows и удалите обнаруженное нежелательное ПО.

  1. Зарегистрируйтесь в системе как пользователь с правами администратора.
  2. Запустите Защитник Windows ("Пуск – Все программы – Windows Defender").
  3. Щелкните по треугольнику () рядом с надписью "Проверить" ("Scan"). В появившемся списке выберите команду "Быстрая проверка" ("Quick Scan").
  4. После окончания сканирования при появлении раздела "Review potentially unwanted items" щелкните по надписи "Просмотреть объекты, обнаруженные при проверке" ("Review items detected by scanning").
  5. На странице "Результаты проверки" ("Scan Results") просмотрите все обнаруженные объекты и для каждого выберите желаемое действие.
  6. Посмотрите расположение обнаруженного объекта "Home Key Logger" (раздел "Ресурсы" ["Resources"]). Для этого объекта выберите действие "Удалить" ("Remove") и нажмите внизу кнопку "Применить действия" ("Apply Actions").
  7. После появления в столбце "Состояние" ("Status") сообщения "Успешно" ("Succeeded") проверьте, что объект действительно удален с диска.

5.6.5. Упражнение 5. Обнаружение подозрительных действий

Вы включите получение уведомлений обо всех подозрительных событиях и посмотрите реагирование Защитника Windows на некоторые из них.

  1. Зарегистрируйтесь в системе как пользователь с правами администратора.
  2. Для того чтобы получать уведомления обо всех подозрительных действиях, совершаемых на вашем компьютере, необходимо в разделе "Укажите, нужны ли оповещения Защитника Windows" ("Choose if Windows Defender should notify you about") включить параметр "Программы, не классифицированные на предмет возможного риска" ("Software that has not yet been classified for risks"). Для этого на странице "Программы" ("Tools") выберите раздел "Параметры" ("Options") и там включите указанный выше параметр.
  3. Запустите редактор реестра для контроля происходящих действий. Для этого выполните "Пуск" – "Выполнить" – "regedit". Откройте ключ "Мой компьютер\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run".
  4. С помощью Проводника запустите на выполнение командный файл "C:\Test\risk.bat".
  5. При появлении в области уведомлений (правый нижний угол экрана) сообщения "Защитник Windows обнаружил изменения" ("Windows Defender detected changes") щелкните по нему левой кнопкой мыши.
  6. В открывшемся окне Защитника Windows просмотрите описание обнаруженного события.
  7. С помощью редактора реестра проверьте появление значения "risk.bat".
  8. В столбце "Действие" ("Action") выберите "Запретить" ("Block") и нажмите кнопку "Применить действия" ("Apply Actions").
  9. После отображения статуса "Успешно" ("Succeeded") проверьте в редакторе реестра, что значение "risk.bat" действительно удалено (если необходимо, выполните команду "Вид | Обновить" в редакторе реестра).
  10. Закройте все открытые окна.

5.8. Резюме

"Шпионские" программы – одна из самых неприятных проблем, с которыми сейчас сталкиваются пользователи компьютеров. Во всем мире программы-шпионы считаются серьезной проблемой, которая угрожает подорвать доверие общества к компьютерным технологиям [[42]].

Одним из решений, предлагаемых компанией Microsoft для защиты компьютера от программ-шпионов и других нежелательных программ, является Защитник Windows (Windows Defender). Этот продукт интегрирован в Windows Vista, а для пользователей Windows XP доступен в виде отдельного бесплатного дополнения [[30]].

Защитник Windows помогает пользователям обнаружить, а затем отключить или удалить с компьютера известные программы-шпионы и другие потенциально нежелательные программы [[42]].

В то же время Windows Defender не является антивирусной программой и обеспечивает защиту только от одного из подмножеств существующих вредоносных программ. Он не защищает компьютер от вирусов, троянских программ, червей и т. д. Для защиты от этих угроз пользователь может выбрать решение как от самой Microsoft (например, Microsoft OneCare), так и от стороннего производителя [[43]].

Лекция 6. Системы анализа защищенности корпоративной сети (обнаружения уязвимостей) на примере продуктов: Microsoft Baseline Security Analyzer и XSpider

От эффективности защиты операционных систем напрямую зависит уровень безопасности сетевой инфраструктуры организации в целом. Системы анализа защищенности способны обнаруживать уязвимости в сетевой инфраструктуре, анализировать и выдавать рекомендации по их устранению, а также создавать различного рода отчеты. В данной лекции мы познакомимся с такими программными средствами для анализа защищенности ОС, как Microsoft Baseline Security Analyzer и сканер безопасности XSpider 7.0

Одними из главных элементов информационной безопасности сетевой инфраструктуры являются операционные системы компьютеров, так как в них аккумулируется подавляющая часть используемых механизмов защиты: средства разграничения доступа к ресурсам, аутентификация пользователей, аудит событий и др. От эффективности защиты операционных систем напрямую зависит уровень безопасности сетевой инфраструктуры организации в целом.

На этом занятии будут рассмотрены программные средства для анализа защищенности операционных систем Microsoft, такие как:

Прежде всего

Для выполнения лабораторных работ данного занятия необходимо иметь два компьютера (можно виртуальные машины). На одном компьютере под управлением ОС Windows XP Professional необходимо установить следующие программные продукты:

Последние два программных продукта устанавливаются для обнаружения в них уязвимостей и не являются обязательными. На втором компьютере (сервере) под управлением ОС Windows 2003 Server необходимо добавить роли файлового сервера и WINS-сервера.

6.1. Принципы работы систем анализа защищенности

Для понимания принципов работы систем анализа защищенности необходимо обозначить некоторые термины и определения. Ключевое понятие данного занятия – это " уязвимость ". Под уязвимостью защиты ОС понимается такое ее свойство (недостаток), которое может быть использовано злоумышленником для осуществления несанкционированного доступа (НСД) к информации. Системы анализа защищенности способны обнаруживать уязвимости в сетевой инфраструктуре, анализировать и выдавать рекомендации по их устранению, а также создавать различного рода отчеты. К типичным уязвимостям можно отнести:

Большинство систем анализа защищенности (XSpider, Internet Scanner, LanGuard, Nessus) обнаруживают уязвимости не только в операционных системах, но и в наиболее распространенном прикладном ПО. Существуют два основных подхода, при помощи которых системы анализа защищенности обнаруживают уязвимости: сканирование и зондирование [[48]]. Из-за первого подхода системы анализа защищенности еще называют "сканерами безопасности" или просто "сканерами".

При сканировании система анализа защищенности пытается определить наличие уязвимости по косвенным признакам, т.е. без фактического подтверждения ее наличия – это пассивный анализ. Данный подход является наиболее быстрым и простым в реализации. При зондировании система анализа защищенности имитирует ту атаку, которая использует проверяемую уязвимость, т.е. происходит активный анализ. Данный подход медленнее сканирования, но позволяет убедиться, присутствует или нет на анализируемом компьютере уязвимость.

На практике эти два подхода реализуются в сканерах безопасности через следующие методы проверки [[48]]:

  1. Проверка заголовков (Banner check);
  2. Активные зондирующие проверки (Active probing check);
  3. Имитация атак (Exploit check).

Первый метод основан на подходе "сканирование" и позволяет делать вывод об уязвимостях, опираясь на информацию в заголовке ответа на запрос сканера безопасности. Примером такой проверки может быть анализ заголовков почтовой программы Sendmail, в результате которого можно узнать ее версию и сделать вывод о наличии в ней уязвимости.

Активные зондирующие проверки также основаны на подходе "сканирование". Данный метод сравнивает фрагменты сканируемого программного обеспечения с сигнатурой известной уязвимости, хранящейся в базе данных системы анализа защищенности. Разновидностями этого метода являются, например, проверки контрольных сумм или даты сканируемого программного обеспечения.

Метод имитации атак основан на использовании различных дефектов в программном обеспечении и реализует подход зондирования. Существуют уязвимости, которые не могут быть обнаружены без блокирования или нарушения функционирования сервисов операционной системы в процессе сканирования. При сканировании критичных серверов корпоративной сети нежелательно применение данного метода, т. к. он может вывести их из строя – и в таком случае сканер безопасности успешно реализует атаку "Denial of service" (отказ в обслуживании). Поэтому в большинстве систем анализа защищенности по умолчанию такие проверки, основанные на имитации атак, выключены. При их включении в процесс сканирования обычно выдается предупредительное сообщение (рис. 6.1).

Предупредительное сообщение сканера безопасности XSpider 7.0 о включении опасных проверок в процесс сканирования


Рис. 6.1.  Предупредительное сообщение сканера безопасности XSpider 7.0 о включении опасных проверок в процесс сканирования

6.2. Microsoft Baseline Security Analyzer

Microsoft Baseline Security Analyzer (MBSA) – свободно распространяемое средство анализа защищенности операционных систем Windows и ряда программных продуктов компании Microsoft (Internet Information Services, SQL Server, Internet Explorer и др.). Термин " Baseline " в названии MBSA следует понимать как некоторый эталонный уровень, при котором безопасность ОС можно считать удовлетворительной. MBSA позволяет сканировать компьютеры под управлением операционных систем Windows на предмет обнаружения основных уязвимостей и наличия рекомендованных к установке обновлений системы безопасности. Критически важно знать, какие обновления установлены, а какие еще следует установить на вашей ОС. MBSA обеспечивает подобную проверку, обращаясь к постоянно пополняемой Microsoft базе данных в формате XML, которая содержит информацию об обновлениях, выпущенных для каждого из программных продуктов Microsoft [[52]]. Работать с программой MBSA можно через графический интерфейс и командную строку. На данном занятии будет рассмотрен только первый вариант работы.

Интерфейс MBSA выполнен на основе браузера Internet Explorer. Главное окно программы разбито на две области (рис. 6.2). Так как сеанс работы с MBSA настраивается с помощью мастера, то в левой области представлены шаги мастера, а в правой – основное окно с описанием действий каждого шага.

Главное окно программы Microsoft Baseline Security Analyzer 2.0


увеличить изображение

Рис. 6.2.  Главное окно программы Microsoft Baseline Security Analyzer 2.0

На первом шаге "Welcome" необходимо выбрать одно из действий (см. рис. 6.2):

При первом запуске MBSA необходимо выбрать первый или второй вариант. На следующем шаге мастера в основном окне нужно задать параметры сканирования компьютера(ов) под управлением ОС Windows (рис. 6.3). Можно ввести имя или IP-адрес сканируемого компьютера (по умолчанию выбирается компьютер, на котором был запущен MBSA).

Пользователь, запустивший MBSA, должен обладать правами администратора данного компьютера или входить в группу администраторов системы. В случае сканирования нескольких компьютеров пользователь должен обладать правами администратора на каждом из компьютеров, а лучше – правами администратора домена.

Выбор компьютера и опций сканирования в программе MBSA 2.0


Рис. 6.3.  Выбор компьютера и опций сканирования в программе MBSA 2.0

Выбрав компьютер(ы) для сканирования, необходимо задать опции сканирования:

Более подробную информацию о проверках MBSA можно получить на официальном сайте Microsoft [[45]]. Например, когда задана опция "проверка паролей", MBSA проверяет на компьютере учетные записи локальных пользователей, которые используют пустые или простые пароли (эта проверка не выполняется на серверах, выступающих в роли контроллеров домена) из следующих комбинаций:

Данная проверка также выводит сообщения о заблокированных учетных записях.

После того как все опции будут заданы, необходимо нажать на ссылку внизу "Start scan" (см. рис. 6.3). При первом сканировании MBSA необходимо подключение к Интернету, чтобы скачать с сайта Microsoft Download Center (http://www.microsoft.com/downloads) XML-файл, содержащий текущую справочную базу уязвимостей. MBSA сначала скачивает этот файл в архивированном cab-файле, затем, проверив его подпись, разархивирует его на компьютер, с которого будет запускаться.

Возможна также работа MBSA без подключения к Интернету в автономном режиме. Для этого нужно скачать выше описанный файл и разместить в соответствующем каталоге. Более подробную информацию об этой процедуре смотрите в Упражнении 1 Лабораторной работы № 1.

После того как cab-файл будет разархивирован, MBSA начнет сканировать заданный компьютер(ы) на предмет определения операционной системы, наборов обновлений и используемых программ. Затем MBSA анализирует XML-файл и определяет обновления системы безопасности, которые доступны для установленного ПО [[53]]. Для того чтобы MBSA определил, какое обновление установлено на сканируемом компьютере, ему необходимо знать три пункта: ключ реестра, версию файла и контрольную сумму для каждого файла, установленного с обновлением.

В случае если какие-либо данные на сканируемом компьютере не совпадут с соответствующими пунктами в XML-файле, MBSA определит соответствующее обновление как отсутствующее, что будет отражено в итоговом отчете.

После сканирования единственного компьютера MBSA автоматически запустит окно "View security report" и отобразит результаты сканирования. Если было выполнено сканирование нескольких компьютеров, то следует выбрать режим "Pick a security report to view", чтобы увидеть результаты сканирования. Создаваемый MBSA отчет разбивается на пять секций:

Некоторые секции разбиваются еще на разделы, посвященные определенным проблемам безопасности компьютера, и предоставляют системную информацию по каждой из проверок, указанных в таблице 6.1. Описание каждой проверки операционной системы отражается в отчете вместе с инструкцией по устранению обнаруженных уязвимостей.

Таблица 6.1. Описание проверок, выполняемых MBSA
ПроверкаОписание
AdministratorsВыводит список учетных записей локальных администраторов компьютера
AuditingВыводит настройки аудита на локальном компьютере
AutologonПроверяет, включена ли функция Autologon
Domain Controller TestПроверяет, не запущена ли служба IIS на контроллере домена (DC)
Exchange Server Security UpdatesПроверяет пропущенные исправления для системы безопасности Exchange Server
File SystemПроверяет тип файловой системы (например, NTFS)
Guest AccountПроверяет, не активирована ли учетная запись Guest
IE ZonesВыводит зоны безопасности IE для каждого пользователя
IIS Admin Virtual DirectoryПросматривает виртуальный каталог IISADMPWD
IIS Lockdown ToolПроверяет, проведена ли процедура защиты IIS Lockdown
IIS Logging EnabledВыдает рекомендации по журналированию сайтов HTTP и FTP
IIS Security UpdatesПроверяет пропущенные исправления для системы безопасности IIS
Local Account Password TestПроверяет наличие пустых или слабых паролей для локальных учетных записей
Macro SecurityВыводит установки для макросов Office по пользователям
Msadc and Scripts Virtual DirectoriesПросматривает виртуальный каталог MSADC и Scripts
Outlook ZonesВыводит зоны безопасности Outlook для каждого пользователя
Parent PathsВыводит информацию о наличии ссылок на каталоги верхнего уровня от Web-узлов или виртуальных каталогов
Password ExpirationВыводит учетные записи с неограниченным сроком действия паролей, не перечисленные в NoExpireOk.txt
Restrict AnonymousВыводит настройки реестра, запрещающие анонимным пользователям просмотр списка учетных записей
Sample ApplicationsВыводит установленные примеры приложений для IIS (например, Default Web Site, IISHelp)
ServicesВыводит список несущественных служб (например, FTP, SMTP, Telnet, WWW), которые могут ослабить безопасность
SharesПроверяет и выводит список общих ресурсов, а также их списки ACL
SQL Server Security UpdatesПроверяет пропущенные исправления для системы безопасности SQL Server
SQL: CmdExec roleПроверяет ограничение на запуск CmdExec только для SysAdmin
SQL: Domain Controller TestПроверяет, не запущен ли SQL Server на DC
SQL: Exposed SQL PasswordПроверяет, не присутсвует ли пароль администратора (SA) в текством файле (например, setup.iss или sqlstp.log)
SQL: Folder PermissionsПроверяет разрешения файлов в каталоге установки SQL Server
SQL: Guest AccountВыводит базы данных с активной учетной записью гостя
SQL: Registry PermissionsПроверяет разрешения реестра на разделы SQL Server
SQL: Service AccountsПроверяет членство в группах учетных записей SQL Server и SQL Server agent
SQL: SQL Account Password TestПроверяет на пустые или слабые пароли локальных учетных записей SQL
SQL: SQL Server Security ModeПроверяет, запущен SQL Server в режиме Windows Only или Mixed
SQL: SysAdmin Role MembersВыводит членов роли SysAdmin
SQL: SysAdminsВыводит количество SysAdmins
Windows Media Player Security UpdatesПроверяет пропущенные исправления для системы безопасности WMP
Windows Security UpdatesПроверяет пропущенные исправления для системы безопасности Windows
Windows VersionВыводит версию Windows

6.3. Сканер безопасности XSpider

В последнее время в России все большую популярность среди специалистов по защите информации набирает сканер безопасности XSpider версии 7.0, выпускаемый отечественной компанией Positive Technologies.

Есть ряд особенностей, которые дают преимущества сканеру XSpider как системе анализа защищенности над другими продуктами данного класса. Как подчеркивают сами разработчики, главная особенность XSpider 7 - это его сканирующее ядро, которое способно имитировать сценарий поведения потенциального злоумышленника. Также следует отметить мощную "интеллектуальную начинку" XSpider 7, которая реализуется во встроенных эвристических алгоритмах, позволяющих надежно идентифицировать еще не опубликованные новые уязвимости.

Надежные и исчерпывающие проверки XSpider 7 базируются, в частности, на следующих интеллектуальных подходах [[49]]:

С момента выхода первой версии сканера XSpider прошло уже более 6 лет. Версия 7.0, с которой мы познакомимся на этом занятии, является коммерческой в отличие от предыдущих свободно распространяемых версий (6.5 и ранее). У компании Positive Technologies существует гибкая система лицензирования сканера XSider 7. Стоимость лицензии зависит от количества проверяемых IP-адресов, количества рабочих мест, с которых проводится сканирование, и срока действия подписки на обновления. Более подробную информацию по приобретению продукта можно получить на странице компании: http://www.ptsecurity.ru/xs7rates.asp.

Для изучения возможностей сканера XSider 7 достаточно приобрести версию XSpider 7 Professional Edition с числом сканируемых IP-адресов от 4 до 16. Устанавливается XSpider 7 на любую операционную систему Microsoft Windows в режиме мастера.

При запуске XSpider 7 на экран будет выведено главное окно программы (рис. 6.4), в котором отобразится информация о текущей версии сканера и лицензии.

Главное окно сканера XSpider 7.0, появляющееся при его запуске


увеличить изображение

Рис. 6.4.  Главное окно сканера XSpider 7.0, появляющееся при его запуске

В нижней части главного окна, в разделе "Документация" имеются ссылки на встроенные учебник и справочник по продукту XSpider. Данные разделы документации тоже можно отнести к важным преимуществам XSpider. Во-первых, учебник и справочник написаны на русском языке, что имеется далеко не во всех подобных системах. Во-вторых, автор учебника - директор по развитию Positive Technologies Евгений Киреев - изложил достаточно интересно и понятно весь материал, с расчетом на обычных пользователей-непрофессионалов в области информационной безопасности.

Далее, чтобы не дублировать содержимое встроенного учебника, будут изложены основные концепции, на которых базируется организация работы сканера безопасности XSpider 7.

XSpider 7 имеет многооконный интерфейс. Важно отметить, что каждое окно служит интерфейсом определенной задаче XSpider. Понятие "задача" является центральной концепцией сканера безопасности XSpider 7, она позволяет организовать и систематизировать процесс сканирования сети. Любое сканирование хостов всегда происходит в рамках определенной задачи, даже если для этого ничего специально не делалось: при первоначальном запуске XSpider всегда создается пустая задача.

Любая задача в XSpider определяется следующими атрибутами:

Задача может быть сохранена в виде файла (по умолчанию каталог Program Files\Positive Technologies\XSpider 7.0\Tasks), и первые два атрибута - список хостов и журнал истории сканирований - будут записаны в ее структуру данных.

Профиль сканирования - это еще одна концепция сканера XSpider, представляющая набор настроек, которые определяют параметры сканирования хостов. Профиль можно назначить задаче, как только она сформирована. Если этого не сделать, то будет использоваться профиль по умолчанию (Default - Стандартный). После установки сканера безопасности XSpider 7 пользователю доступны 14 базовых профилей (рис. 6.5). Важно понимать, что с профилями можно работать независимо от задач, их можно редактировать, создавать новые и сохранять в отдельные файлы (по умолчанию каталог Program Files\Positive Technologies\XSpider 7.0\Profiles). В задаче хранится ссылка только на тот профиль, из которого ей нужно брать параметры сканирования.

Базовые профили, доступные в XSPider 7.0


Рис. 6.5.  Базовые профили, доступные в XSPider 7.0

6.4. Лабораторная работа 1. Работа с Microsoft Baseline Security Analyzer 2.0

На этой лабораторной работе вы научитесь работать со средством анализа защищенности MBSA 2.0. Сначала вы выполните настройки на компьютере под управлением ОС Windows XP Professional, позволяющие работать MBSA без подключения к Интернету, а затем выполните сканирование и сгенерируете отчет о проделанной работе.

6.4.1. Упражнение 1. Подготовка компьютера под управлением ОС Windows XP Professional для работы MBSA в автономном режиме

Упражнение выполняется на виртуальной машине с ОС Windows XP Professional. Цель этого упражнения - обеспечить решение последующих задач по работе с MBSA 2.0 в автономном режиме, поэтому нам необходимо подключение к Интернету. Более подробную информацию о настройке MBSA в автономном режиме смотрите в источнике [[46]].

  1. Запустите виртуальную машину с ОС Windows XP Professional.
  2. Зарегистрируйтесь в системе как пользователь с правами администратора.
  3. Запустите Internet Explorer и наберите следующий адрес в адресной строке: http://download.windowsupdate.com/v6/windowsupdate/redist/standalone/windowsupdateagent20-x86.exe.
  4. Скачайте автономный установщик обновленного агента обновления Windows и установите его на компьютер с ОС Windows XP Professional.
  5. Далее необходимо скачать базу уязвимостей Wsusscn2.cab, доступную по адресу: http://go.microsoft.com/fwlink/?LinkID=74689.
  6. Сохраните скачанный файл в следующую папку: C:\Documents and Settings\<username>\Local Settings\Application Data\Microsoft\MBSA \2.0\ Cache\wsusscn2.cab. В указанном пути под папкой <username> имеется в виду имя папки, содержащей профиль пользователя с администраторскими правами, под которым вы зарегистрировались в системе.
  7. Установите средство MBSA 2.0. Ссылки на текущие версии MBSA содержатся на странице: http://www.microsoft.com/technet/security/tools/mbsahome.mspx.
  8. На рабочем столе должен появиться ярлык программы Microsoft Baseline Security Analyzer 2.0

6.4.2. Упражнение 2. Проверка локального компьютера с помощью MBSA 2.0

Упражнение выполняется на виртуальной машине с ОС Windows XP Professional.

  1. Зарегистрируйтесь в системе как пользователь с правами администратора.
  2. На рабочем столе щелкните дважды на ярлык программы MBSA 2.0.
  3. MBSA запустится в графическом режиме в режиме мастера, и появится первое окно "Welcome to the Microsoft Baseline Security Analyzer". Нажмите на ссылку "Scan a computer".
  4. Загрузится следующее окно мастера MBSA, где необходимо задать опции сканирования. По умолчанию в поле "Computer name" отобразится имя текущего компьютера, на котором вы запустили MBSA. В опциях сканирования снимите флажок "Check for IIS administrative vulnerabilities" (проверка служб IIS).
  5. Нажмите ссылку внизу "Start scan".
  6. Так как соединение с Интернетом отсутствует, то под индикатором процесса выполнения сканирования сначала появится надпись "Filed to download security update database". Через несколько секунд MBSA начнет процесс сканирования в автономном режиме, при этом изменится надпись "Curently scanning <Имя компьютера>".
  7. После окончания сканирования загрузится отчет с результатами.
  8. Внимательно изучите отчет.

6.5. Лабораторная работа 2. Работа с системой анализа защищенности XSpider 7.0.

На этой лабораторной работе вы научитесь работать с XSpider 7.0. Сначала вы создадите профиль для сканирования уязвимостей ОС Windows XP Professional, затем выполните сканирование и сгенерируете отчет о выполненной работе. Перед выполнением данной работы обязательно обновите базу уязвимостей XSpider 7.0.

6.5.1. Упражнение 1. Создание профиля для сканирования уязвимостей ОС Windows XP Professional

Упражнение выполняется на виртуальной машине с ОС Windows XP Professional с предустановленным ПО (см. п. "Прежде всего").

  1. Запустите виртуальную машину с ОС Windows XP Professional.
  2. Зарегистрируйтесь в системе как пользователь с правами администратора.
  3. Запустите программу XSpider 7.0.
  4. В меню "Профиль" выберите пункт "Редактировать текущий". Откроется окно для настройки профиля Default (базовый профиль).
  5. Слева в дереве настроек выберите пункт "Сканер портов", и в правой области окна появятся соответствующие настройки. По умолчанию выбран файл портов default.prt.
  6. Нажмите кнопку. Откроется окно со списком файлов портов.
  7. В верхней части открывшегося окна на панели инструментов нажмите кнопку "Новый".
  8. В появившемся окне оставьте вариант "Пустой файл" и нажмите кнопку "Выбрать".
  9. Откроется окно "Новый файл портов". В области для комментария напишите "LabWork ports".
  10. В нижней части окна в строке для ввода "Добавить порт(ы)" введите следующие значения портов: 80, 123, 135, 137, 139, 3306. После ввода каждого номера порта нажимайте кнопку справа "Добавить".
  11. Нажмите кнопку "Сохранить как" и назовите файл LabWork.prt.
  12. В окне со списком файлов портов выберите только что созданный файл портов.
  13. Далее в дереве настроек выберите "Определение уязвимостей". В правой области настроек отметьте самый нижний флажок "проверять на новые Dos-атаки (эвристический метод)".
  14. Найдите в дереве настроек пункт "Анализатор скриптов". Выбрав эту настройку, отметьте в ней флажок "Сложная проверка прикладных скриптов".
  15. Далее нажмите кнопку "Сохранить как" и назовите файл LabWork.prf. Таким образом, вы создали профиль для последующего сканирования.

6.5.2. Упражнение 2. Поиск уязвимостей ОС Windows XP Professional

В этом упражнении с помощью XSpider 7.0 вы выполните сканирование хоста с ОС Windows XP Professional для обнаружения имеющихся уязвимостей.

  1. Запустите программу XSpider 7.0.
  2. Находясь на вкладке "Сканирование", добавьте хост для сканирования. Для этого в панели инструментов нажмите соответствующую графическую кнопку "Добавить хост".
  3. В появившемся окне введите IP-адрес или DNS-имя компьютера, на котором вы работаете, например: Client01.
  4. С помощью меню "Профиль" / "Выбрать существующий" откройте окно выбора профиля для сканирования.
  5. Пользовательские профили отображаются синим цветом. Щелкните два раза левой кнопкой мыши на профиль LabWork.prf.
  6. В панели инструментов нажмите соответствующую графическую кнопку "Начать сканирование выделенных хостов".
  7. Появится окно с предупреждением об использовании проверок DoS-атаками. Нажмите кнопку "Продолжить".
  8. Начнется процесс сканирования. В правой области главного окна программы XSpider 7.0 содержится информация о сканируемом хосте. Убедитесь, что имя хоста, полученное при обратном DNS-запросе, такое же, как вы указали на шаге 3 этого упражнения, а также, что в параметрах сканирования используется ваш профиль LabWork.prf.
  9. Внизу в строке статуса синей полосой отображается степень общей завершенности процесса. Дождитесь окончания сканирования.

6.5.3. Упражнение 3. Просмотр и исправление обнаруженных уязвимостей

В этом упражнении вы просмотрите результаты сканирования хоста программой XSpider 7.0 и исправите некоторые обнаруженные уязвимости.

  1. Перейдите на вкладку "Уязвимости" главного окна программы XSPider 7.0. Вы увидите, что по умолчанию обнаруженные уязвимости упорядочены по степени их опасности. Серьезные уязвимости находятся вверху списка (красные), предупреждения - внизу (зеленые). Рассмотрим и примем меры к устранению некоторых обнаруженных уязвимостей.
  2. Нажмите на заголовок столбца "Порт", чтобы упорядочить соответствующим образом все найденные уязвимости. Рассмотрим уязвимости сервиса NetBIOS, который работает через порт 139 / TCP.
  3. Найдите в списке уязвимость (оранжевая) "Неочищаемая виртуальная память". Щелкните два раза левой кнопкой мыши на нее.
  4. Откроется окно с описанием уязвимости. Выполните действия по устранению данной уязвимости, описанные в области "Решение".
  5. Повторите шаги 3, 4 для уязвимости "Слабое шифрование" (оранжевая) и "Scheduler Service" (зеленая).
  6. Далее найдите в списке уязвимость (красная) "Обновления Windows". Щелкните по ней два раза левой кнопкой мыши.
  7. Откроется окно с описанием уязвимости. Вы увидите список обновлений, которые следует установить на данный компьютер. Если какие-то обновления из списка вам доступны для установки, то выйдите из программы XSpider 7.0 и установите их.
  8. После установки некоторых обновлений компьютер требует перезагрузки. Установив обновления, снова запустите программу XSpider 7.0.
  9. Повторите операцию сканирования хоста с использованием профиля LabWork.prf.
  10. Убедитесь, что исправленные вами уязвимости более не присутствуют в списке обнаруженных.

6.5.4. Упражнение 4. Сканирование удаленного хоста с ОС Windows 2003 Server

В этом упражнении с помощью XSpider 7.0 вы выполните сканирование удаленного хоста с ОС Windows 2003 Server для обнаружения имеющихся уязвимостей. Для выполнения данного упражнения необходим второй компьютер (виртуальная машина) с ОС Windows 2003 Server. Между компьютерами должно быть установлено сетевое подключение.

  1. Включите компьютер с ОС Windows 2003 Server. Дождитесь его загрузки.
  2. Перейдите на компьютер с ОС Windows XP Professional и убедитесь, что запущенный сервер доступен по сети (с помощью команды ping).
  3. В программе XSpider 7.0 перейдите на вкладку "Сканирование" и добавьте новый хост для сканирования.
  4. В появившемся окне введите IP-адрес или DNS-имя сервера, например Server01.
  5. С помощью меню "Профиль" / "Выбрать существующий" откройте окно выбора профиля для сканирования.
  6. Выберите профиль Default.
  7. Убедитесь, что в дереве сканирования (левая область главного окна) курсор установлен на удаленном хосте, который вы добавили на шаге 4. В панели инструментов нажмите кнопку "Начать сканирование выделенных хостов".
  8. Появится окно с предупреждением об использовании проверок DoS-атаками. Нажмите кнопку "Продолжить".
  9. Начнется процесс сканирования.
  10. Дождитесь окончания сканирования.
  11. Перейдите на вкладку "Уязвимости" главного окна программы XSpider 7.0.
  12. Нажмите на заголовок столбца "Хост", чтобы упорядочить соответствующим образом все найденные уязвимости. Обратите внимание, что количество уязвимостей, обнаруженных на удаленном хосте, значительно меньше, чем на том, где установлен сканер XSpider 7.0.
  13. Найдите в списке уязвимость (красная) "Удаленное выполнение команд (ms04-012)" - порт 135/tcp, относящуюся к удаленному хосту. Щелкните два раза левой кнопкой мыши на нее. Откроется окно с описанием уязвимости. Для устранения этой уязвимости необходимо установить обновление ms04-012.mspx. Если обновление недоступно, то отключите службу DCOM на сервере. Для этого выполните следующие шаги с 14 по 19.
  14. Зарегистрируйтесь на сервере под учетной записью администратора.
  15. Выберите "Пуск" / "Администрирование" / "Службы компонентов". Откроется соответствующая консоль.
  16. Убедитесь, что выделена оснастка "Служба компонентов", и нажмите кнопку "Настройка моего компьютера"на панели инструментов.
  17. В открывшемся окне "Мой компьютер" перейдите на вкладку "Свойства по умолчанию".
  18. Снимите флажок "Разрешить использование DCOM на этом компьютере" и нажмите кнопку "OK".
  19. Вернитесь на компьютер с Windows XP Professional к программе XSpider 7.0.
  20. Найдите в списке уязвимость (красная) "Удаленное выполнение команд (ms04-045)" - порт 42/tcp, также относящуюся к удаленному хосту. Щелкните два раза левой кнопкой мыши на нее. Откроется окно с описанием уязвимости. Для устранения этой уязвимости необходимо установить обновление ms04-045.mspx. Если обновление недоступно, то остановите WINS-сервер. Для этого выполните следующие шаги с 21 по 23.
  21. На сервере выберите "Пуск" / "Администрирование" / "WINS". Откроется соответствующая консоль.
  22. В левом окне выберите ваш сервер WINS, например, Server01.
  23. Выберите меню "Действие" / "Все задачи" / "Остановить".
  24. Вернитесь на компьютер с Windows XP Professional к программе XSpider 7.0 и перейдите на вкладку "Сканирование".
  25. Убедитесь, что в дереве сканирования выделен удаленный хост. Просканируйте его повторно. Для этого нажмите кнопку "Начать сканирование выделенных хостов".
  26. После окончания сканирования перейдите на вкладку "Уязвимости" главного окна программы XSpider 7.0.
  27. Убедитесь, что устраненные вами уязвимости на сервере отсутствуют в списке.
  28. Не закрывайте окно программы XSpider 7.0.

6.5.5. Упражнение 5. Создание отчетов и расписаний сканирования.

В этом упражнении средствами программы XSpider 7.0 вы создадите отчет о результатах сканирования хостов, а также научитесь задавать расписание сканирования задач с помощью встроенной утилиты "Планировщик".

  1. После выполнения Упражнения 4, у вас были просканированы два хоста: локальный и удаленный сервер.
  2. В главном меню программы XSpider 7.0 выберите "Сервис" / "Создать отчет".
  3. Откроется первое окно диалога мастера создания отчета. Выберите степень детализации "Для системного администратора" и нажмите кнопку "Далее".
  4. На следующем шаге необходимо указать результаты сканирований, которые будут добавлены в отчет. Нажмите кнопку "Добавить текущее сканирование".
  5. В окно "Результаты сканирования..." добавится задача, в которую входят локальный и удаленный хост. Нажмите кнопку "Далее".
  6. Далее мастер создания отчета предложит вам просмотреть, распечатать или сохранить отчет. Выберите вариант "сохранить", нажав соответствующую кнопку. Назовите отчет LabWork.
  7. Далее нажмите кнопку "Закрыть", чтобы завершить работу мастера.
  8. Просмотреть сохраненные отчеты в XSpider можно через меню "Сервис" / "Открыть отчет".
  9. Далее зададим расписание сканирования хостов с помощью встроенной в XSpider утилиты "Планировщик". Для этого выберите меню "Сервис" / "Планировщик".
  10. В окне "Планировщика" выберите меню "Расписание" / "Создать". Запустится мастер создания расписаний.
  11. На первом шаге необходимо выбрать задачу, которая будет выполняться по расписанию. Выберите "Задача1" и нажмите кнопку "Далее".
  12. В следующем окне мастера в поле комментария введите "Лабораторная работа" и установите переключатель "Выполнять выбранную задачу" в положение "Еженедельно". Нажмите кнопку "Далее".
  13. Далее мастер предложит настроить детально расписание сканирования. Задайте время запуска на 5 минут позже от текущего времени. Даты начала и окончания расписания не меняйте (по умолчанию установлена текущая с разницей в год). Оставьте без изменения вариант сканирования каждую 1-ю неделю. Установите флажок только на текущий день недели и нажмите кнопку "Далее".
  14. На последнем шаге необходимо настроить параметры создаваемого отчета. На вкладке "Создать отчет" выберите тип "Для системного администратора".
  15. Ниже установите условие создания отчета - "Минимальная уязвимость" и выберите вариант "Уязвимость". Флажок "Сохранять отчет" должен быть включен. Путь сохранения файла-отчета оставьте без изменений. Нажмите кнопку "Готово".
  16. В главном окне "Планировщика" появится строка "Задача1 Лабораторная работа". При наступлении времени, которое вы установили на шаге 13, начнет выполняться задача сканирования. При этом изменится значок задачи в строке "Планировщика".
  17. Дождитесь когда Задача1 выполнится, после этого закройте "Планировщик".
  18. В меню "Сервис" / "Открыть отчет" вы увидите, что после выполнения сканирования задачи был создан файл-отчет "Задача1 (текущая дата / время)".

6.7. Резюме

От эффективности защиты операционных систем напрямую зависит уровень безопасности сетевой инфраструктуры организации в целом. В процессе эксплуатации операционных систем выявляются уязвимости их защиты, которые потенциально могут быть использованы злоумышленниками для осуществления несанкционированного доступа (НСД) к информации. Системы анализа защищенности способны обнаруживать уязвимости в сетевой инфраструктуре, анализировать и выдавать рекомендации по их устранению, а также создавать различного рода отчеты.

Microsoft Baseline Security Analyzer (MBSA) - свободно распространяемое средство анализа защищенности операционных систем Windows и ряда программных продуктов компании Microsoft. MBSA позволяет обнаружить основные уязвимости и проверяет наличие рекомендованных к установке обновлений системы безопасности. Работать с программой MBSA можно через графический интерфейс и командную строку.

Сканер безопасности XSpider 7.0 - мощное средство анализа защищенности, выпускаемое отечественной компанией Positive Technologies. XSpider 7.0 базируется на применении концепций задач и профилей, имеет гибкий планировщик заданий для автоматизации работы, менеджер обновлений, встроенный учебник на русском языке. XSpider 7.0 позволяет генерировать отчеты с различными уровнями детализации. Сканер безопасности XSpider работает под управлением операционных систем Microsoft Windows, но он может проверять уязвимости на узлах, имеющих другую программную или аппаратную платформы.

Лекция 7. Управление электропитанием рабочих станций и серверов (на продуктах APC)

В этой лекции будут рассмотрены примеры практического применения продукции компании APC для защиты рабочих станций и серверов под управлением операционных систем Microsoft Windows XP/2000/2003 с помощью ПО APC PowerChute Business Edition

Ни для кого не секрет, что проблемы с электропитанием компьютеров могут привести не только к потере информации, но и к повреждению оборудования. Чтобы защитить оборудование компании от таких проблем, необходимо использование источников бесперебойного питания (ИБП, или UPS - Uninterruptible Power Source). На этом занятии будут рассмотрены примеры практического применения продукции компании APC для защиты рабочих станций и серверов под управлением операционных систем Microsoft Windows XP/2000/2003 с помощью ПО APC PowerChute Business Edition. Версия "Basic" для централизованного управления 5 ИБП поставляется бесплатно. Существует платная версия "Deluxe" для централизованного управления 25 ИБП.

Прежде всего

Для изучения материалов этого занятия необходимо:

7.1. Введение

Основная задача данного занятия - рассмотреть установку и настройку программы APC PowerChute Business Edition для централизованного управления работой ИБП. Но прежде кратко остановимся на основных терминах, связанных с работой ИБП.

7.1.1. Типы ИБП

Существует пять основных типов ИБП [[54]]:

  1. Резервные.
  2. Линейно-интерактивные.
  3. Резервные с ферромагнитами.
  4. Оперативные с двойным преобразованием.
  5. Оперативные с дельта-преобразованием.

Каждый из этих типов имеет свои достоинства и недостатки и потому - свою область применения. Чтобы не нарушать авторские права компании APC, не будем приводить здесь полное описание этих типов. Подробнее об этом вы можете прочитать сами в [[54]].

Отметим только, что ИБП APC Back-UPS соответствуют типу 1, APC Smart-UPS - типу 2, BEST Ferrups - типу 3, APC Symmetra - типу 4 и APC Silcon - типу 5 [[54]].

7.1.2. Мощность ИБП

Цифры, указываемые в названии ИБП, соответствуют полной мощности этого источника, измеряемой в вольт-амперах (ВА, VA). Соответствующее ему значение в Вт обычно указывается в спецификации устройства. Мощность импульсного блока питания компьютера в Вт соответствует мощности в ВА с коэффициентом 0,6-0,8. Кроме того, производители рекомендуют использовать ИБП с 20%-ным запасом по мощности нагрузки [[55]].

Например, модель APC Smart-UPS 620 рассчитана на максимальную мощность 390 Вт, а модель APC Smart-UPS 1500 - на 980 Вт [[56]].

Время автономной работы для ИБП зависит от подключенной к нему нагрузки и обычно указывается в спецификации устройства. Например, типичное время работы с нагрузкой 260 Вт (400 ВА) для модели APC Smart-UPS 620 составляет 9 мин., а для модели APC Smart-UPS 1500 - 58 мин [[56]].

На сайте APC (http://www.apcc.com/sizing) существует возможность выбрать ИБП в зависимости от подключаемой к нему нагрузки [[56]]. Здесь вы можете выполнить расчет не только для отдельного компьютера (указав его конфигурацию), но и для серверной комнаты (указав тип, количество и др. параметры серверов).

7.1.3. Программное управление ИБП

Защита компьютеров с помощью ИБП является только частью решения задачи предотвращения потери данных в случае возникновения проблем с энергоснабжением. В случае продолжительного отсутствия электропитания необходимо наличие программного обеспечения для корректного выключения компьютера. Каждый производитель ИБП предлагает свое программное обеспечение для этой задачи. Кроме того, в Windows 2000/XP/2003 входит встроенная поддержка ИБП, которая была разработана компанией APC [[57]].

Существует несколько конфигураций для программного обеспечения ИБП [[58]]:

В зависимости от используемой конфигурации применяют различные способы взаимодействия ИБП с компьютером (последовательное, USB-, Ethernet-подключение). Подробнее об этих конфигурациях вы можете прочитать в [[58]].

Существует несколько типов завершения работы операционной системы [[58]]:

Подробнее об этом вы также можете прочитать в [[58]].

7.2. ИБП APC Smart-UPS 620

В качестве примера будет рассмотрен ИБП APC Smart-UPS 620. Как уже было указано выше, эта модель рассчитана на максимальную мощность 390 Вт. С полным описанием этого устройства вы можете ознакомиться в [[59]]. Нет необходимости повторять его здесь.

7.3. APC PowerChute Business Edition

Все дальнейшее описание базируется на возможностях PowerChute Business Edition for Windows версии 7.0.5.

Основные возможности этого продукта:

7.3.1. Компоненты

Пакет PowerChute Business Edition состоит из трех компонентов [[60]]:

На рис. 7.1 представлена общая схема использования PowerChute Business Edition.

Схема использования PowerChute (R)  Business Edition


Рис. 7.1.  Схема использования PowerChute (R) Business Edition

Агент PowerChute предназначен для контроля состояния ИБП. В случае длительного выключения электропитания именно Агент PowerChute выполняет завершение работы системы и дает команду ИБП на выключение. Агент PowerChute должен быть установлен на каждый компьютер, к которому непосредственно подключен ИБП.

Сервер PowerChute используется для централизованной настройки и отслеживания состояния агентов PowerChute. Именно сервер осуществляет отправку уведомлений о возникающих событиях на компьютерах с установленными агентами PowerChute. Сервер PowerChute должен быть установлен на одном компьютере, у которого есть возможность установления соединения с Агентами PowerChute.

Консоль PowerChute предназначена для установления соединения с Сервером PowerChute и управления подключенными к нему Агентами PowerChute. Консоль PowerChute может быть установлена на любой рабочей станции либо на нескольких.

7.3.2. Системные требования

Любой компонент PowerChute Business Edition может быть установлен на компьютер с ОС Windows 2000/XP/2003. Для некоторых ОС (например, Red Hat, Turbolinux, SUSE Linux, Novell NetWare, Solaris) поддерживается установка только Агента PowerChute. Подробнее об этом вы можете прочитать в [[61]].

Минимальные требования к компьютеру, на который будет установлен Агент PowerChute [[61]]:

Минимальные требования к компьютеру, на который будет установлен Сервер PowerChute [[61]]:

Минимальные требования к компьютеру, на который будет установлена Консоль PowerChute [[61]]:

Со списком поддерживаемых моделей ИБП вы можете ознакомиться в [[61]]. Для управления ИБП должен быть подключен с помощью коммуникационного кабеля к компьютеру с установленным Агентом PowerChute. Соответствующий кабель поставляется вместе с ИБП.

7.3.3. Установка ПО PowerChute Business Edition

Для установки программы вам необходимы права администратора на локальном компьютере. Рассмотрим процесс установки всех компонентов PowerChute Business Edition на одном компьютере.

Для установки приложения запустите исполняемый файл setup.exe. После запуска установочного файла на экране появляется следующее окно (рис. 7.2). Нажмите кнопку "Install Product".

Окно приветствия


увеличить изображение

Рис. 7.2.  Окно приветствия

В следующем окне отображены отличия в возможностях версий "Deluxe" и "Basic" (рис. 7.3). Нажмите кнопку "Install Basic Version".

Приглашение купить версию "Deluxe"


увеличить изображение

Рис. 7.3.  Приглашение купить версию "Deluxe"

На следующей странице вам предлагается выбрать компонент для установки (рис. 7.4). Здесь также отображается, установлен компонент (надпись "Installed") или нет (надпись "Not Installed"). Для установки Агента PowerChute Business Edition нажмите кнопку "Install" рядом с надписью "Windows Agent".

Выбор устанавливаемого компонента


увеличить изображение

Рис. 7.4.  Выбор устанавливаемого компонента

7.3.3.1 Установка Агента PowerChute Business Edition

На рис. 7.5 представлено окно приветствия мастера установки Агента PowerChute Business Edition, которое появляется после нажатия на предыдущей странице (см. рис. 7.4) кнопки "Install" рядом с надписью "Windows Agent". Нажмите кнопку "Next".

Окно приветствия


Рис. 7.5.  Окно приветствия

Диалоговое окно "License Agreement" содержит текст лицензионного соглашения. Прочтите его. Если вы согласны с условиями соглашения, нажмите кнопку "Yes" (рис. 7.6).

Лицензионное соглашение


Рис. 7.6.  Лицензионное соглашение

При появлении на экране запроса на запуск службы "Messenger" (рис. 7.7) нажмите "Да", если вы планируете рассылать уведомления средствами NET SEND, или "Нет", если вы не планируете широковещательную рассылку сообщений. Вместо нее можно использовать отправку сообщений по электронной почте.

Запрос на включение службы "Messenger"


увеличить изображение

Рис. 7.7.  Запрос на включение службы "Messenger"

В следующем диалоговом окне (рис. 7.8) можно сменить папку, в которую будет устанавливаться Агент (кнопка "Browse…"). После выбора нужной папки нажмите кнопку "Next".

Выбор папки для установки


Рис. 7.8.  Выбор папки для установки

При появлении запроса с предложением автоматически обнаружить подключенный ИБП нажмите "Да" (рис. 7.9).

Запрос на автоматический поиск ИБП


Рис. 7.9.  Запрос на автоматический поиск ИБП

В следующем окне необходимо ввести имя и пароль для использования PowerChute Business Edition (рис. 7.10). Эти данные должны быть одинаковыми для Агента, Сервера и Консоли PowerChute Business Edition. Введите нужную информацию и нажмите кнопку "Next".

Ввод имени и пароля


Рис. 7.10.  Ввод имени и пароля

Если на вашем компьютере функционирует брандмауэр Windows, на экране появится сообщение о необходимости добавить исключение для Агента PowerChute в его правила (рис. 7.11). Это необходимо для того, чтобы Агент PowerChute мог принимать входящие подключения от Сервера PowerChute. Нажмите кнопку "Да", чтобы мастер установки внес соответствующие изменения в настройку брандмауэра Windows. В этом случае будет добавлено исключение для программы "%путь% \agent\pbeagent.exe" (где "%путь%" - это папка, которую вы выбрали для установки Агента (см. рис. 7.8)) с указанием области "Любой компьютер". Если вы знаете адрес компьютера, на котором будет установлен Сервер PowerChute, вы можете внести его адрес в настройки брандмауэра. Подробнее о настройках брандмауэра Windows вы могли узнать в лекции 6 настоящего пособия.

Запрос на создание исключения


Рис. 7.11.  Запрос на создание исключения

После успешного завершения установки появится соответствующее сообщение (рис. 7.12). Нажмите кнопку "Finish".

Сообщение об успешной установке


Рис. 7.12.  Сообщение об успешной установке

Вы вернетесь в окно выбора компонентов для установки (рис. 7.13).

Выбор устанавливаемого компонента


увеличить изображение

Рис. 7.13.  Выбор устанавливаемого компонента

Нажмите кнопку "Install" рядом с надписью "Windows Server".

7.3.3.2 Установка Сервера PowerChute Business Edition

На рис. 7.14 представлено окно приветствия мастера установки Агента PowerChute Business Edition, которое появляется после нажатия на предыдущей странице (см. рис. 7.13) кнопки "Install" рядом с надписью "Windows Server". Нажмите кнопку "Next".

Окно приветствия


Рис. 7.14.  Окно приветствия

Диалоговое окно "License Agreement" содержит текст лицензионного соглашения. Прочтите его. Если вы согласны с условиями соглашения, нажмите кнопку "Yes" (рис. 7.15).

Лицензионное соглашение


Рис. 7.15.  Лицензионное соглашение

В следующем окне необходимо ввести имя и пароль для использования PowerChute Business Edition (рис. 7.16). Эти данные должны быть одинаковыми для Агента, Сервера и Консоли PowerChute Business Edition. Введите те же данные, что вы ввели при установке Агента PowerChute Business Edition, и нажмите кнопку "Next".

Ввод имени и пароля


Рис. 7.16.  Ввод имени и пароля

На следующей странице вам предлагается включить периодическую проверку сервера компании APC на наличие обновлений для программ, входящих в состав PowerChute Business Edition (параметр "Automatically check for product updates") (рис. 7.17). Нажмите кнопку "Next".

Включение автоматической проверки обновлений


Рис. 7.17.  Включение автоматической проверки обновлений

Если на вашем компьютере функционирует брандмауэр Windows, на экране появится сообщение о необходимости добавить исключение для Сервера PowerChute в его правила (рис. 7.18). Это необходимо для того, чтобы Сервер PowerChute мог принимать входящие подключения от Консоли PowerChute. Нажмите кнопку "Да", чтобы мастер установки внес соответствующие изменения в настройку брандмауэра Windows. В этом случае будет добавлено исключение для программы "%путь%\server\pbeserver.exe" (где "%путь%" - это папка, которую вы выбрали для установки Агента (см. рис. 7.8)) с указанием области "Любой компьютер". Подробнее о настройках брандмауэра Windows вы могли узнать на занятии 6 настоящего пособия.

Запрос на создание исключения


Рис. 7.18.  Запрос на создание исключения

После успешного завершения установки появится соответствующее сообщение (рис. 7.19). Нажмите кнопку "Finish".

Сообщение об успешной установке


Рис. 7.19.  Сообщение об успешной установке

Запустится мастер создания конфигурационного профиля (рис. 7.20). Настройки этого профиля можно будет позже изменить с помощью Консоли PowerChute. Нажмите кнопку "Next".

Окно приветствия


Рис. 7.20.  Окно приветствия

Выберите методы рассылки уведомлений (рис. 7.21). Доступны варианты:

Задав нужные методы, нажмите кнопку "Next".

Методы уведомления


Рис. 7.21.  Методы уведомления

Если вы задали отправку уведомлений по электронной почте, то на экране появится запрос (рис. 7.22) на ввод адреса почтового сервера (SMTP Mail Server Address), учетной записи отправителя сообщений (SMTP User Name) и учетных записей получателей сообщений (Destination E-Mail Address). Для того чтобы задать адрес получателя, нажмите кнопку "Add…" и в появившемся окне введите адрес получателя. Для того чтобы проверить заданные параметры, вы можете нажать кнопку "Test". Если отправка сообщений прошла удачно (почтовый сервер принял сообщение), то в поле "Test Result" появится соответствующее сообщение (рис. 7.23).

Параметры отправки уведомлений по электронной почте


Рис. 7.22.  Параметры отправки уведомлений по электронной почте

Отправка тестового сообщения прошла удачно


Рис. 7.23.  Отправка тестового сообщения прошла удачно

Нажмите кнопку "Next". На следующей странице вам будет предложено задать стратегию защиты по электропитанию (рис. 7.24). В дальнейшем с помощью Консоли PowerChute вы сможете задать эти настройки для каждого устройства, управляемого Агентом, индивидуально. Доступны два варианта:

Выберите нужный вам вариант и нажмите кнопку "Next".

Стратегия защиты по электропитанию


Рис. 7.24.  Стратегия защиты по электропитанию

На следующей странице вам будет сообщено о том, как в дальнейшем задать параметры выключения компьютера через Консоль PowerChute (рис. 7.25). Нажмите кнопку "Next".

Сообщение о настройке параметров выключения ОС


Рис. 7.25.  Сообщение о настройке параметров выключения ОС

На следующей странице будут кратко перечислены все ранее выбранные вами параметры (рис. 7.26). Нажмите кнопку "Next".

Сводка настроек


Рис. 7.26.  Сводка настроек

После создания конфигурационного профиля на экране появится соответствующее сообщение (рис. 7.27). Нажмите кнопку "Finish".

Завершение создания конфигурационного профиля


Рис. 7.27.  Завершение создания конфигурационного профиля

В следующем окне вам будет предложено выбрать компьютеры, которые будут управляться установленным Сервером PowerChute (рис. 7.28). Слева будут перечислены обнаруженные в сети Агенты PowerChute. Бесплатная версия "Basic" поддерживает управление одновременно максимум 5 Агентами, платная версия "Deluxe" - максимум 25. Выберите нужные вам компьютеры слева и нажмите кнопку "Add -->". После этого нажмите кнопку "Apply".

Выбор Агентов для управления Сервером


Рис. 7.28.  Выбор Агентов для управления Сервером

После завершения добавления Агента в список Сервера на экране появится следующее окно (рис. 7.29). Нажмите кнопку "Close".

Успешное добавление Агента


Рис. 7.29.  Успешное добавление Агента

В следующем окне вам будет предложено зарегистрироваться на сайте APC (рис. 7.30).

Предложение зарегистрироваться


Рис. 7.30.  Предложение зарегистрироваться

Если вы откажетесь от регистрации, то вернетесь в окно выбора компонентов для установки (рис. 7.31).

Выбор устанавливаемого компонента


увеличить изображение

Рис. 7.31.  Выбор устанавливаемого компонента

Нажмите кнопку "Install" рядом с надписью "Windows Console".

7.3.3.3 Установка Консоли PowerChute Business Edition

На рис. 7.32 представлено окно приветствия мастера установки Консоли PowerChute Business Edition, которое появляется после нажатия на предыдущей странице (см. рис. 7.31) кнопки "Install" рядом с надписью "Windows Console". Нажмите кнопку "Next".

Окно приветствия


Рис. 7.32.  Окно приветствия

Диалоговое окно "License Agreement" содержит текст лицензионного соглашения. Прочтите его. Если вы согласны с условиями соглашения, нажмите кнопку "Yes" (рис. 7.33).

Лицензионное соглашение


Рис. 7.33.  Лицензионное соглашение

На следующей странице вам будет сообщено о завершении мастера (рис. 7.34). Включите параметр "Launch PowerChute Business Edition Console", если вы хотите запустить Консоль после завершения установки, и нажмите кнопку "Next".

Завершение установки


Рис. 7.34.  Завершение установки

Вы вернетесь в окно выбора компонентов для установки (рис. 7.35). Нажмите кнопку "Exit".

Выбор устанавливаемого компонента


увеличить изображение

Рис. 7.35.  Выбор устанавливаемого компонента

После завершения установки Консоли на рабочем столе появится ярлык для ее запуска (рис. 7.36).

Ярлык для запуска Консоли PowerChute


Рис. 7.36.  Ярлык для запуска Консоли PowerChute

7.3.4. Практическое использование Консоли PowerChute

Для запуска Консоли PowerChute дважды щелкните по ярлыку на рабочем столе (см. рис.7.36) или выполните "Пуск | Все программы | APC PowerChute Business Edition | Console". При первом запуске Консоли появится запрос (рис. 7.37) на включение периодической отправки в APC информации о том, какие возможности Консоли наиболее часто используются и т. д. Если вы хотите включить эту возможность - нажмите кнопку "Yes". Кроме того, эту возможность всегда можно включить или выключить с помощью меню "View | Preferences".

Запрос


увеличить изображение

Рис. 7.37.  Запрос

При каждом запуске Консоли на экране появляется окно, представленное на рис. 7.38.

Диалоговое окно регистрации


Рис. 7.38.  Диалоговое окно регистрации

Введите имя и пароль, которые вы указывали на этапе установки Агента и Сервера. Укажите адрес Сервера (поле "Server"). Если Сервер расположен на том же сервере, что и Консоль, то в поле "Server" можно ввести локальный адрес (127.0.0.1). Введите необходимые данные и нажмите кнопку "Connect".

На экране появится главное окно программы (рис. 7.39).

Главное окно программы


увеличить изображение

Рис. 7.39.  Главное окно программы

Рассмотрим основные части этого окна (см. рис. 7.39). В левой части окна (рис. 7.39-1) расположена навигационная панель. Выбирая элемент на этой панели, вы меняете отображение правой части окна (рис. 7.39-2 и 7.39-3).

Если выбран элемент "Status", то в правой части выводится список управляемых Сервером ИБП (рис. 7.39-2), а ниже (рис. 7.39-3) отображается информационное окно выбранного устройства с кратким описанием его состояния.

Если выбран элемент "Power Event Summary", то в правой части окна вы можете просмотреть график количества событий, возникших: за последний день (Параметр Graph Period=Last Day), за последние 7 дней (Last 7 Days), за последние 30 дней (Last 30 Days) или за последний год (Last Year) (рис. 7.40). Отображаемые события:

Сводка событий


увеличить изображение

Рис. 7.40.  Сводка событий

Если выбран элемент "Voltage Analysis", то в правой части окна вы можете просмотреть график входного напряжения (рис. 7.41) за последние 30 минут, 1 час, 6 часов, 12 часов или сутки.

График входного напряжения


увеличить изображение

Рис. 7.41.  График входного напряжения

Если выбран элемент "Risk Assessment", то в правой части окна вы можете просмотреть оценку рисков (рис. 7.42) по различным параметрам. Описание этих параметров вы можете прочитать во встроенной справке к Консоли PowerChute.

Оценка рисков


увеличить изображение

Рис. 7.42.  Оценка рисков

7.3.5. Управление ИБП

Для настройки каждого ИБП индивидуально вам необходимо на навигационной панели выбрать элемент "Status" и в правой части окна дважды щелкнуть левой кнопкой мыши по интересующей вас системе (см. рис. 7.39-2). В появившемся окне вы можете просмотреть параметры ИБП и выполнить его настройку (рис. 7.43). Возможны два варианта просмотра параметров: обычный (по умолчанию) и расширенный. Для выбора расширенного варианта просмотра включите параметр "Show advanced items".

Свойства ИБП


Рис. 7.43.  Свойства ИБП

В расширенном режиме просмотра окно выглядит следующим образом (рис. 7.44).

Расширенный режим просмотра свойств ИБП


Рис. 7.44.  Расширенный режим просмотра свойств ИБП

Для того чтобы обновить отображаемую информацию, нажмите по надписи "Refresh Data". Для применения внесенных изменений нажмите кнопку "Apply". Для просмотра интересующей вас страницы свойств выберите ее название слева. В зависимости от используемого ИБП содержимое страниц может быть различно. Рассмотрим некоторые из них.

На странице Admin Information (административная информация) расположены текстовые строки, описывающие расположение ИБП (Location), контактную информацию (Contact) и примечания (Notes) (рис. 7.45). Эти данные используются в том числе при отправке сообщений по электронной почте.

Административная информация


Рис. 7.45.  Административная информация

На странице UPS Status (информация о ИБП) расположены следующие параметры (рис. 7.46):

Статус ИБП


Рис. 7.46.  Статус ИБП

На странице Battery Status (информация об аккумуляторе) расположены следующие параметры (рис. 7.47):

Статус аккумулятора


Рис. 7.47.  Статус аккумулятора

На странице Power Parameters (параметры электропитания) расположены следующие параметры (рис. 7.48):

Параметры электропитания


Рис. 7.48.  Параметры электропитания

На странице Power Failure (отключение электропитания) в верхней части находится параметр, определяющий, когда необходимо начинать процедуру завершения работы ОС при отключении электричества (рис. 7.49):

В нижней части находится параметр, который определяет условия для включения нагрузки, подсоединенной к ИБП, при возобновлении электропитания:

Отключение электропитания


Рис. 7.49.  Отключение электропитания

На странице Shutdown Type (Тип выключения) можно определить, как завершать работу ОС (рис. 7.50):

Тип завершения ОС


Рис. 7.50.  Тип завершения ОС

На странице Self-Test (Самотестирование) можно увидеть дату последнего самотестирования и его результат (рис. 7.51). Кроме того, можно запустить самотестирование вручную (кнопка "Self-Test").

Самотестирование


Рис. 7.51.  Самотестирование

На странице UPS Calibration (Калибрование ИБП) можно увидеть дату последнего калибрования и его результат (рис. 7.52). Кроме того, можно запустить или остановить калибрование (кнопки "Start", "Stop"). При калибровании ИБП переходит на аккумуляторную батарею и начинает питать от нее подключенную нагрузку. При этом замеряется время разрядки аккумулятора при текущей нагрузке.

Компания APC рекомендует проводить калибрование не чаще одного-двух раз в год. При калибровании ИБП должен быть подключен к типичной для него нагрузке.

Калибрование ИБП


Рис. 7.52.  Калибрование ИБП

На странице Data Log (Журнал регистрации данных) можно просмотреть зафиксированные значения всех параметров ИБП (рис. 7.53).

Журнал регистрации данных


Рис. 7.53.  Журнал регистрации данных

На странице Event Log (Журнал регистрации событий) можно просмотреть зафиксированные в работе ИБП события (рис. 7.54).

Журнал регистрации событий


Рис. 7.54.  Журнал регистрации событий

На странице Log Options (Настройки журналов регистрации) можно задать параметры вышеописанных журналов либо вообще отключить их (рис. 7.55).

Настройки журналов регистрации


Рис. 7.55.  Настройки журналов регистрации

7.3.6. Конфигурационный профиль

Перед тем как Сервер PowerChute сможет контролировать систему с установленным Агентом PowerChute, эта система должна быть добавлена в список устройств (см. рис. 7.39-2). Для этого используется команда меню "Tools | Configure Device List... ". Настройка списка устройств аналогична описанной в установке Сервера PowerChute (см. рис. 7.28). При добавлении устройства в список к нему применяется конфигурационный профиль, который определяет:

Для изменения конфигурационного профиля выполните команду меню "Tools | Change Configuration Profile…" (рис. 7.56).

Меню "Tools"


увеличить изображение

Рис. 7.56.  Меню "Tools"

Диалоговое окно настройки конфигурационного профиля представлено на рис. 7.57, 7.58, 7.59. Изменение этих настроек интуитивно понятно и было описано в п. 7.3.3.2 "Установка Сервера PowerChute Business Edition".

Параметры отправки сообщений по электронной почте


Рис. 7.57.  Параметры отправки сообщений по электронной почте

Параметры отправки широковещательных сообщений


Рис. 7.58.  Параметры отправки широковещательных сообщений

Стратегия защиты по электропитанию


Рис. 7.59.  Стратегия защиты по электропитанию

После изменения конфигурационного профиля его необходимо применить к устройствам из списка устройств (Device List). Для этого нужно выполнить команду "Reapply Configuration Profile" контекстного меню устройства (рис. 7.60).

Контекстное меню устройства


Рис. 7.60.  Контекстное меню устройства

7.4. Лабораторная работа. Установка и использование PowerChute Business Edition

На этой лабораторной работе вы установите PowerChute Business Edition, выполните настройку параметров конфигурационного профиля и проверите получение уведомлений по электронной почте. В целях минимизации предварительных требований для выполнения работы будет использоваться один компьютер с непосредственно подключенным к нему через последовательный порт ИБП APC Smart UPS 620. Этот компьютер может входить в рабочую группу или быть включенным в домен.

Предварительные требования

Для выполнения данной работы необходимо наличие одного (можно виртуального) компьютера client01 под управлением Windows XP SP2 с настройками по умолчанию (в том числе - брандмауэр Windows включен). Учетная запись администратора - "Administrator", пароль "P@ssw0rd". Необходимо наличие учетной записи электронной почты (в качестве примера будет использоваться адрес user@test.local) и адрес SMTP почтового сервера (в качестве примера будет использоваться адрес server01). Также необходим компакт-диск с дистрибутивом PowerChute Business Edition.

7.4.1. Упражнение 1. Установка Агента

Вы выполните установку Агента PowerChute Business Edition на свой компьютер.

  1. Зарегистрируйтесь в системе как пользователь с правами администратора.
  2. Вставьте компакт-диск с дистрибутивом PowerChute Business Edition и запустите файл setup.exe.
  3. При появлении окна "APC PowerChute Business Edition Setup" нажмите кнопку "Install Product".
  4. В следующем окне нажмите кнопку "Install Basic Version".
  5. На странице "Product Installation" нажмите кнопку "Install" рядом с надписью "Windows Agent".
  6. При появлении окна приветствия мастера установки Агента PowerChute Business Edition нажмите кнопку "Next".
  7. В окне "License Agreement" нажмите кнопку "Yes".
  8. При появлении на экране запроса на запуск службы "Messenger" нажмите "Нет".
  9. В окне "Choose Destination Location" нажмите кнопку "Next".
  10. При появлении запроса с предложением автоматически обнаружить подключенный ИБП (Would you like to automatically search all communication ports for an APC UPS?) нажмите "Да".
  11. В следующем окне введите имя user_apc, пароль P@ssw0rd и нажмите кнопку "Next".
  12. При появлении вопроса, представленного на рис. 7.61, нажмите кнопку "Да", чтобы автоматически добавить исключение для Агента в настройку брандмауэра Windows.

    Запрос на создание исключения


    Рис. 7.61.  Запрос на создание исключения

  13. После появления окна "InstallShield Wizard Complete" нажмите кнопку "Finish".
  14. Вы вернетесь в окно выбора компонентов для установки. Оно должно выглядеть следующим образом (рис. 7.62).

    Выбор устанавливаемого компонента


    увеличить изображение

    Рис. 7.62.  Выбор устанавливаемого компонента

7.4.2. Упражнение 2. Установка Сервера

Вы выполните установку Сервера PowerChute Business Edition на свой компьютер.

  1. В окне "Product Installation" (см. рис. 7.62), нажмите кнопку "Install" рядом с надписью "Windows Server".
  2. При появлении окна приветствия мастера установки Агента PowerChute Business Edition нажмите кнопку "Next".
  3. На странице "License Agreement" нажмите кнопку "Yes".
  4. В следующем окне введите имя user_apc, пароль P@ssw0rd и нажмите кнопку "Next".
  5. На следующей странице выключите параметр "Automatically check for product updates" и нажмите кнопку "Next".
  6. При появлении запроса на автоматическое добавление исключения для Сервера в настройках брандмауэра Windows нажмите кнопку "Да".
  7. После появления окна "InstallShield Wizard Complete" нажмите кнопку "Finish".
  8. Запустится мастер создания конфигурационного профиля. Нажмите кнопку "Next".
  9. Включите методы рассылки уведомлений "E-Mail Notification". Нажмите кнопку "Next".
  10. На следующей странице в поле "SMTP Mail Server Address" введите значение server01. В поле "SMTP User Name" введите user@test.local. Нажмите кнопку "Add…" и в появившемся окне введите user@test.local. Нажмите "OK".
  11. Проверьте корректность настроек путем нажатия кнопки "Test". Рядом с кнопкой должна появиться надпись "Message sent". Нажмите кнопку "Next".
  12. На следующей странице выберите вариант "Preserve battery power" и нажмите кнопку "Next".
  13. На странице "System Shutdown" нажмите кнопку "Next".
  14. На странице "Configuration Summary" нажмите кнопку "Next".
  15. При появлении страницы "Changes Complete" нажмите кнопку "Finish".
  16. В следующем окне вам будет предложено выбрать компьютеры, которые будут управляться установленным Сервером PowerChute. Слева будут перечислены обнаруженные в сети Агенты PowerChute. Бесплатная версия "Basic" поддерживает управление одновременно максимум 5 Агентами, платная версия "Deluxe" - максимум 25. Выберите нужные вам компьютеры слева и нажмите кнопку "Add -->". После этого нажмите кнопку "Apply".
  17. В окне "Device List Configuration" выберите слева ваш компьютер client01 и нажмите кнопку "Add -->". После этого нажмите кнопку "Apply".
  18. При появлении в окне надписи "Successfully added client01" нажмите кнопку "Close".
  19. При появлении запроса "Would you like to register online?" нажмите кнопку "Нет".
  20. Вы вернетесь в окно выбора компонентов для установки. Оно должно выглядеть следующим образом (рис. 7.63).

    Выбор устанавливаемого компонента


    увеличить изображение

    Рис. 7.63.  Выбор устанавливаемого компонента

7.4.3. Упражнение 3. Установка Консоли

Вы выполните установку Консоли PowerChute Business Edition на свой компьютер.

  1. В окне "Product Installation" (см. рис. 7.63) нажмите кнопку "Install" рядом с надписью "Windows Console".
  2. При появлении окна приветствия мастера установки Агента PowerChute Business Edition нажмите кнопку "Next".
  3. На странице "License Agreement" нажмите кнопку "Yes".
  4. На странице "InstallShield Wizard Complete" выключите параметр "Launch PowerChute Business Edition Console" и нажмите кнопку "Next".
  5. Вы вернетесь в окно выбора компонентов для установки. Оно должно выглядеть следующим образом (рис. 7.64).

    Выбор устанавливаемого компонента


    увеличить изображение

    Рис. 7.64.  Выбор устанавливаемого компонента

  6. Нажмите кнопку "Exit".

7.4.4. Упражнение 4. Настройка Конфигурационного профиля

Вы выполните настройку конфигурационного профиля и проверите применение профиля на клиентские компьютеры.

  1. Запустите Консоль PowerChute. Для этого выполните "Пуск | Все программы | APC PowerChute Business Edition | Console".
  2. При первом запуске Консоли появится запрос на включение периодической отправки в APC информации о том, какие возможности Консоли наиболее часто используются и т. д. Нажмите кнопку "No".
  3. При появлении окна Login введите имя user_apc, пароль P@ssw0rd. В поле Server оставьте значение 127.0.0.1 и нажмите кнопку "Connect".
  4. На навигационной панели выберите элемент "Status". Дважды щелкните левой кнопкой мыши по устройству client01.
  5. В окне "Device Properties" включите параметр "Show advanced items".
  6. Разверните узел "Shutdown" и откройте страницу параметров "Power Failure". Результат должен выглядеть, как указано на рис. 7.65. (Т. е. завершение работы ОС будет начинаться по прошествии 1 минуты после отключения электричества; а возобновление питания нагрузки будет выполняться после восстановления входного электропитания и зарядки аккумулятора до 90 %.)

    Параметры "Power Failure"


    Рис. 7.65.  Параметры "Power Failure"

  7. Внесем изменения в конфигурационный профиль. Для этого выполните команду меню "Tools | Change Configuration Profile…".
  8. Проверьте, что на закладке "E-Mail/Paging Settings" включен параметр "Enable E-Mail/Paging". Проверьте, что следующие параметры "SMTP Server", "User Name", "Destination E-Mail" равны соответственно "server01", "user@test.local" и "user@test.local". Если это не так, выполните необходимые изменения.
  9. Перейдите на закладку "Power-Protection Strategy". Выберите вариант "Keep computer on as long as possible" и нажмите кнопку "Apply".
  10. При появлении вопроса, представленного на рис. 7.66, нажмите кнопку "Yes".

    Запрос на подтверждение действия


    увеличить изображение

    Рис. 7.66.  Запрос на подтверждение действия

  11. При появлении сообщения "The UPS Configuration Profile was successfully updated" нажмите кнопку "OK".
  12. При появлении окна "Applying Configuration Profile" дождитесь завершения обновления Агента PowerChute (появится сообщение "Successfully applied the profile to …") и нажмите кнопку "Close".
  13. Проверим, что новый конфигурационный профиль применен. Для этого в Консоли PowerChute на навигационной панели выберите элемент "Status". Дважды щелкните левой кнопкой мыши по устройству client01.
  14. В окне "Device Properties" включите параметр "Show advanced items".
  15. Разверните узел "Shutdown" и откройте страницу параметров "Power Failure". Результат должен выглядеть, как указано на рис. 7.67. (Т. е. завершение работы ОС будет начинаться, как только заряда аккумулятора останется только на корректное завершение ОС; а возобновление питания нагрузки будет выполняться после восстановления входного электропитания и зарядки аккумулятора до 15 %.)

    Параметры "Power Failure"


    Рис. 7.67.  Параметры "Power Failure"

7.4.5. Упражнение 5. Проверка получения уведомлений

Проверим реакцию программы PowerChute на отключение входного электропитания.

  1. Запустите Консоль PowerChute. Для этого выполните "Пуск | Все программы | APC PowerChute Business Edition | Console".
  2. При появлении окна Login введите имя user_apc, пароль P@ssw0rd. В поле Server оставьте значение 127.0.0.1 и нажмите кнопку "Connect".
  3. Отключите входное электропитание от ИБП. Для этого выдерните вилку со шнуром, питающим ИБП, из розетки. Если вы не уверены, какой ИБП подключен к вашему компьютеру, выполните команду контекстного меню "Locate UPS (Alarm Test)", чтобы идентифицировать ИБП.
  4. Значок компьютера client01 должен измениться сна, и в информационной части Консоли должно появиться событие "Power Failed". ИБП должен подавать звуковые сигналы.
  5. Включите входное электропитание у ИБП. Для этого вставьте вилку со шнуром, питающим ИБП, в розетку.
  6. Проверьте содержимое электронного почтового ящика user@test.local.
  7. В нем должно появиться два новых сообщения. Первое - с темой "client01 : Power Failed on Agent client01". Второе - с темой "client01 : Power Restored on Agent client01".

7.6. Резюме

Источник бесперебойного питания предназначен для корректного завершения работы ОС в случае длительного снижения входного электропитания ниже определенного значения (вплоть до полного отключения) или длительного повышения входного электропитания выше определенного значения. Время автономной работы для ИБП зависит от мощности ИБП и подключенной к нему нагрузки. Для различных ИБП оно может варьироваться от нескольких минут до нескольких часов. Без использования ИБП возможна не только потеря данных, но также и выход из строя оборудования.

Компания APC поставляет со своими ИБП пакет PowerChute Business Edition. Бесплатная версия "Basic" этого продукта позволяет централизованно управлять 5 ИБП и выполнять:

Дополнения


Литература

  1. В. Иллингуорт и др, Толковый словарь по вычислительным системам, М.: Машиностроение, 1991. - 560 с
  2. Елманова Н, Виртуальные машины и средства их создания. Часть 1. Microsoft Virtual PC 2004, КомпьютерПресс. №8. 2004. С. 158-160
  3. Jerry Honeycutt, Microsoft Virtual PC 2004 Technical Overview, Microsoft, November 2003. - 28 p
  4. , Microsoft Virtual PC 2007 System Requirements, Microsoft, 2007
  5. , Virtual PC 2007 Technical Overview, Microsoft, 2007
  6. Елманова Н., Пахомов С, Виртуальные машины 2007, КомпьютерПресс. №9. 2007. С.29-41
  7. , Microsoft Windows XP Professional. Учебный курс MCSA/MCSE, М.: Русская редакция, 2003. - 1008 с
  8. , Автоматизация процесса развертывания Windows XP с помощью средства Sysprep, База знаний Microsoft: статья № 302577
  9. Безмалый А, Централизованная замена системного ПО с помощью Microsoft BDD,
  10. Бейкер Дон, Автоматическое развертывание систем Windows 2000,
  11. Васьков А, Пошаговое руководство по удаленной установке ОС,
  12. Галатенко В.А, Основы информационной безопасности, М.: Изд-во ИНТУИТ.ру, 2005. - 208 с
  13. Гапанович А, Платформа 2005: использование Business Desktop Deployment для автоматизации типовых задач администрирования, Изд-во Открытые системы
  14. Дуглас Стин, Использование решения для развертывания настольных бизнес-систем в малых и средних организациях,
  15. Карпюк В.В, Microsoft Windows XP Professional. Опыт сдачи сертификационного экзамена 70-270, Спб.: БХВ-Петербург, 2004. - 528 с
  16. Ауберт Майкл, Shadow Copies of Shared Folders,
  17. , Восстановление файлов и папок с помощью программы "Архивация данных" в Windows XP, База знаний Microsoft: статья № 309340
  18. Галатенко В.А, Основы информационной безопасности, М.: Изд-во ИНТУИТ.ру, 2005. - 208 с
  19. Закер Крейг, Официальный учебный курс Microsoft: Управление и поддержка Microsoft Windows Server 2003 (70-290), М.: ЭКОМ; БИНОМ. Лаборатория знаний, 2006. - 447 с
  20. , Использование программы "Архивация данных" в Microsoft Windows XP, База знаний Microsoft: статья № 308422
  21. , Новые возможности управления хранилищами, Официальный сайт Microsoft
  22. , Резервное копирование и восстановление информации, Курс "Системный администратор компьютерной сети"
  23. Холме Дэн, Томас Орин, Управление и поддержка Microsoft Windows Server 2003. Учебный курс MCSA/MCSE, М.: Русская редакция, 2004. - 448 с
  24. , Вопросы и ответы о центре обеспечения безопасности Windows, Microsoft, 11 июля 2005
  25. , Безопасность в Интернете, Microsoft, 2007
  26. , Управление настройками безопасности, Microsoft, 2007
  27. , Understanding Windows Firewall, Microsoft, August 4, 2004
  28. , Deploying Windows Firewall Settings for Microsoft Windows XP with Service Pack 2, Microsoft, April, 2005. - 59 c
  29. , Сравнение Защитника Windows (бета-версия 2) с другими антишпионскими программами корпорации Майкрософт и технологиями защиты от вирусов, Microsoft, 13 февраля 2006 г
  30. Елманова Н, Инструменты Microsoft для защиты от вредоносного ПО: ближайшее будущее, КомпьютерПресс. №5. 2006. С. 162–164
  31. , Домашняя страница Защитника Windows, Microsoft, 2006
  32. , Что делать для защиты от "шпионских" и иных нежелательных программ, Microsoft, 5 января 2005 г
  33. , Стратегия корпорации Майкрософт по защите от программ-шпионов, Microsoft, 13 февраля 2006 г
  34. , Windows Defender: System requirements, Microsoft, October 23, 2006
  35. , Сведения о загружаемом файле: Защитник Windows, Microsoft, 30 мая 2007 г
  36. , Windows Defender (Beta 2): System requirements, Microsoft, 29 August 2006
  37. , Установка и настройка Защитника Windows (бета-версия 2), Microsoft, 13 февраля 2006 г
  38. , Часто задаваемые вопросы о Защитнике Windows (бета-версия 2), Microsoft, 13 февраля 2006 г
  39. , Проверка компьютера на наличие программ-шпионов с помощью Защитника Windows (бета-версия 2), Microsoft, 13 февраля 2006 г
  40. , Как удалять или восстанавливать элементы на карантине с помощью Защитника Windows (бета-версия 2), Microsoft, 13 февраля 2006 г
  41. , Использование обозревателя программ Защитника Windows (бета-версия 2), Microsoft, 13 февраля 2006 г
  42. , Стратегия корпорации Майкрософт по защите от программ-шпионов, Microsoft, 13 февраля 2006 г
  43. Касперская Н, Безопасность от Microsoft: шаг к обновленному миру?, Лаборатория Касперского, 2006
  44. , Frequently asked questions about Windows Defender, Microsoft, October 23, 2006
  45. , Microsoft Baseline Security Analyzer, Официальный сайт Microsoft
  46. , Доступна новая версия файла автономной проверки обновления Windows, База знаний Microsoft: статья № 926464
  47. , Изменения в файле WSUSScan.cab, База знаний Microsoft: статья № 924513
  48. Лукацкий А.В, Как работает сканер безопасности?, BugTraq.ru
  49. , О продукте XSpider 7, Сайт "Проверь здоровье своей сети" Freescan.ru
  50. Семёнов В, Сканер уязвимостей XSpider 7,
  51. , Средство Microsoft Baseline Security Analyzer (MBSA) версии 1.2.1, База знаний Microsoft: статья № 320454
  52. Феллинг Д, Microsoft Baseline Security Analyzer, Windows IT Pro/RE. №3. 2005
  53. Хоуи Д, Обеспечение безопасности с помощью MBSA 2.0, Windows IT Pro/RE. №4. 2006. - С. 36-39
  54. Нил Расмуссен, Различные типы систем ИБП, Информационная статья № 1. - Редакция 5. American Power Conversion, 2005. - 12 с.
  55. Татарников О, Источник автономного питания, КомпьютерПресс. №6. 2005. С. 60-62
  56. , Решения для защиты электропитания серверов и локальных сетей. ИБП Smart-UPS®. Качественная защита электропитания серверов и сетевого оборудования, American Power Conversion, 2003. 20 с
  57. , Application note №35. Microsoft Windows Built-In Serial and USB UPS Support, American Power Conversion, 2005. - 9 p
  58. Тэд Айвс, Предотвращение повреждения данных в случае длительного перерыва в энергоснабжении, Информационная статья № 10. - Редакция 1. American Power Conversion, 2005. - 10 с
  59. , APC Smart-UPS® SC 420/620 ВА 120/230 В. Источник бесперебойного питания в вертикальном исполнении, American Power Conversion, 2004. - 14 с
  60. , PowerChute® Business Edition. Приступая к работе, American Power Conversion, 2006. - 11 с
  61. , PowerChute Business Edition. Release Notes, American Power Conversion, 2006. - 28 p