|
Реферат: Оператор присваивания языка FORTRAN (Компьютеры)
Министерство науки, высшей школы и технической политики Российской
Федерации.
Новосибирский Государственный
Технический Университет.
[pic]
Курсовая работа по системному программированию.
Оператор присваивания языка FORTRAN.
Факультет: АВТ.
Кафедра: АСУ.
Группа: А-513.
Студент: Ефименко Денис Владимирович.
Преподаватель: Шорников Юрий Владимирович.
Ассистент: Панова Вера Борисовна.
Дата: 10 июня 1997 года.
Отметка о защите: _______________________________
Новосибирск – 1997.
Язык оператора.
Язык оператора присваивания FORTRAN.
Идентификатор = арифметическое выражение
Арифметическое выражение – выражение, содержащее в себе операции *, /, -,
+, **, а также ( ).
** – возведение в степень.
Грамматика языка.
G[<ОПЕРАТОР>]:
1. <ОПЕРАТОР> ( =
2. ( Т(+Т ( (Т
3. Т ( О (Т(О ( Т/О (Т((О
4. О (() ( (
5. ( Б{Б (Ц}[(]
6. ( Ц{Ц}[.Ц{Ц}][(]
|Т |– |ТЕРМ |
|О |– |ОПЕРАНД |
|Б |– |БУКВА |
|Ц |– |ЦИФРА |
|ДБЗ |– |ДРОБНОЕ БЕЗ ЗНАКА |
|( |– |КОНЕЦ СТРОКИ (пусто) |
|** |– |ВОЗВЕДЕНИЕ В СТЕПЕНЬ |
Классификация грамматики.
Данная грамматика G[<ОПЕРАТОР>], согласно классификации Хомского,
является контекстно-свободной, так как правая часть каждой редукции
начинается либо с терминального символа, либо с нетерминального,
принадлежащего объединённому словарю.
A ( a, A(Vn, a(V(.
Грамматика G[<ОПЕРАТОР>] не является автоматной, так как не все её
редукции начинаются с терминального символа. По этой же причине данная
грамматика не является S - грамматикой.
Метод анализа.
Для данной грамматики реализован разбор методом рекурсивного спуска,
поскольку она относится к классу контекстно-свободных.
Идея метода состоит в том, что каждому нетерминальному символу
ставится в соответствие определённая программная единица (функция), которая
распознаёт цепочку, порождаемую этим нетерминалом.
Эти процедуры и функции вызываются в соответствии с правилами
грамматики и иногда вызывают сами себя.
Данный метод реализован на языке C++, поскольку он обладает
рекурсивными возможностями.
Диагностика и нейтрализация ошибок.
Для данной грамматики производится только диагностика и нейтрализация
ошибок. Исправление ошибок не производится.
Нейтрализация ошибок осуществляется по методу Айронса, то есть,
спускаясь по синтаксическому дереву без возврата по контексту, при
обнаружении тупиковой ситуации отбрасываются те литеры (символы), которые
привели в тупиковую ситуацию и разбор продолжается.
Тестирование.
12=1
Имя идентификатора должно начинаться с буквы.
---------------------------------------------------------
s223=(s)+(((d)))
ОШИБОК НЕТ!!!!!
---------------------------------------------------------
sdsds=skshj**mxnx dc
Пропущена операция или неправильное имя идентификатора.
---------------------------------------------------------
;;=0
Имя идентификатора должно начинаться с буквы.
Идентификатор состоит только из букв или цифр.
---------------------------------------------------------
as=115/3
ОШИБОК НЕТ!!!!!
---------------------------------------------------------
32=-*=
Имя идентификатора должно начинаться с буквы.
Пропущен идентификатор или число.
Пропущен идентификатор или число.
Неизвестная операция или неправильное имя идентификатора.
Пропущен идентификатор или число.
---------------------------------------------------------
sdvsf+gsdf=0
Слевa от '='операций быть не может .
---------------------------------------------------------
jhg=321+321/54*4(s+25)
Пропущена операция или неправильное имя идентификатора.
---------------------------------------------------------
d56gfsdfg=(ld+5
Длина имени идентификатора не должна быть больше 6.
Отсутствует ')'.
---------------------------------------------------------
Листинг программы.
// SP_KURS.CPP:КУРСОВАЯ РАБОТА ПО СИСТЕМНОМУ ПРОГРАММИРОВАНИЮ.
//
// ОПЕРАТОР ПРИСВАИВАНИЯ ЯЗЫКА "ФОРТРАН"
//
// имя файла test
#include
#include
#include
#include
#include
#include
#include
#define UP 72 /* стрелка вверх */
#define DOWN 80 /* стрелка вниз */
#define EXIT '33' /* Esc */
#define END 100
enum LEX{ERROR,CBZ,ID,PLUS,MIN,DIV,MUL,STEP,SKL,SKR,RAV,_EOLN_,_EOF_};
int next,number=0,num=0,temp,line=1,err[80],sum;
int mistake[15][80],ofset=0;
char cordinat[80][80],filename[80];
char* type_mis[]={"ОШИБОК НЕТ!!!!!",
"Имя идентификатора должно начинаться с буквы.",
"Идентификатор состоит только из букв или цифр.",
"Слевa от '='операций быть не может .",
"Неизвестная конструкция (нет '=').",
"Длина имени идентификатора не должна быть больше 6.",
"Отсутствует ')'.",
"Неизвестная операция или неправильное имя идентификатора.",
"Пропущен идентификатор или число.",
"Отсутствует '('.",
"Пропущена операция или неправильное имя идентификатора.",
"Отсутствует выражение (А=?) . ",
"Отсутствует идентификатор(?=B).",
" ",};
const int X1=2,Y1=20,X2=80,Y2=25;
const int YWINDOW=Y2-Y1+1;
void viewwin(int ,int );
void putmistake(int );
int MENU(char *);
void identif();
void ravno();
void expr(void);
void term(void);
void operand(void);
int scaner(void);
void error(int);
void makefile(void);
FILE *in,*out;
void main(void)
{strcpy(cordinat[0],"n");
mistake[0][0]=13;mistake[0][1]=END;
clrscr();
printf("Введите имя обрабатываемого файла:");
gets(filename);
if((in=fopen(filename,"r"))==NULL)
{printf("n ОШИБКА!!! ФАЙЛ С ТАКИМ ИМЕНЕМ НЕ СУЩЕСТВУЕТ!!!");
exit(-1);
}
while(!feof(in))
{ravno();
mistake[line][ofset]=END;
line++;
ofset=0;
}
fcloseall();
makefile();
num=0;
window(1,1,80,25);
clrscr();
gotoxy(1,1);
MENU(" ОПЕРАТОР ПРИСВАИВАНИЯ ЯЗЫКА /""ФОРТРАН/""n");
clrscr();
window(1,1,80,25);
clrscr();
printf("nnnnnnnnnn ВСЕ ОШИБКИ ХРАНЯТЬСЯ В ФАЙЛЕ
/""ERRORS.TXT/""!!!!!");
printf("nnnnnnnnnn НАЖМИТЕ ЛЮБУЮ
КЛАВИШУ!!!!!! ");
fcloseall();
exit(1);
}
void ravno()
{temp=0;
num=0;
sum=0;
next=scaner();
if((next!=_EOLN_)&&(next!=_EOF_))
{if(next==RAV)
{error(12);
err[0]=END;
}
else identif();
if(next!=RAV) error(4);
else
{temp=1;
if(err[0]!=END)
{if(err[0]!=ID) error(1);
for(int i=1;i6) error(5);
}
// НЕТЕРМИНАЛ "O" <Операнд>
void operand()
{if(next==SKL)
{next=scaner();
expr();
if(next!=SKR) error(6);
else next=scaner();
}
else
{if(next==ID){identif();next=scaner();}
else
{if(next!=CBZ)
{if((next!=_EOLN_)&&(next!=_EOF_))
{if(next==ERROR)
{error(7);
next=scaner();
operand();
}
else
{if(next==RAV) error(7);
else error(8);
}
}
else error(8);
}
else next=scaner();
}//else
}//else
}
// НЕТEРМИНАЛ "Е"
void expr(void)
{term();
while((next==PLUS)||(next==MIN))
{next=scaner();
expr();
}
}
// НЕТЕРМИНАЛ "T"
void term(void)
{operand();
while((next==DIV)||(next==MUL)||(next==STEP))
{next=scaner();
term();
}
}
void error(int choice)
{switch(choice)
{case 1:mistake[line][ofset++]=1; break;
case 2:mistake[line][ofset++]=2; break;
case 3:mistake[line][ofset++]=3; break;
case 4:mistake[line][ofset++]=4; break;
case 5:mistake[line][ofset++]=5; break;
case 6:mistake[line][ofset++]=6; break;
case 7:mistake[line][ofset++]=7; break;
case 8:mistake[line][ofset++]=8; break;
case 9:mistake[line][ofset++]=9; break;
case 10:mistake[line][ofset++]=10; break;
case 12:mistake[line][ofset++]=12; break;
case 11:mistake[line][ofset++]=11; break;
default:break;
}
}
void makefile(void)
{char *s;
int num_str=0,oftemp,rep;
if((out=fopen("errors.txt","w"))==NULL)
{printf("n ОШИБКА!!! ФАЙЛ С ТАКИМ ИМЕНЕМ НЕ СУЩЕСТВУЕТ!!!");
exit(-1);
}
if((in=fopen(filename,"r"))==NULL)
{printf("n ОШИБКА!!! ФАЙЛ НЕЛЬЗЯ ОТКРЫТЬ ДЛЯ ЗАПИСИ!!!");
exit(-1);
}
while(num_str++,fgets(s,80,in)!=NULL)
{fputs("---------------------------------------------------------
",out);
fputc('n',out);
fputs(s,out);
fputc('n',out);
rep=strlen(s);
s[rep-1]='0';
strcpy(cordinat[num_str],s);
if((oftemp=mistake[num_str][0])==END)
{fputs(type_mis[0],out);
fputc('n',out);
}
else
{for(int k=0;mistake[num_str][k]!=END;k++)
{oftemp=mistake[num_str][k];
fputs(type_mis[oftemp],out);
fputc('n',out);
}
}
}
fputs("---------------------------------------------------------",out);
fputc('n',out);
fcloseall();
}
// MENU
int MENU(char *s)
{int dy,n;
dy=line-1;
textbackground(WHITE);
textcolor(YELLOW);
window(1,1,80,25);
clrscr();
gotoxy(2,1);
cprintf(" SDenisn ");
gotoxy(2,2);
cputs(s);
gotoxy(2,3);
cprintf("Используйте курсор вверх/вниз для выбора просматриваемой
строки.n");
gotoxy(2,4);
cprintf(" - для просмотра ошибок в строке(строка выделяется). n");
gotoxy(2,5);
cprintf(" - выход.n");
gotoxy(2,6);
textbackground(WHITE);
textcolor(RED);
cprintf("******************** ОШИБКИ В СТРОКАХ
*************************n");
textbackground(WHITE);
textcolor(YELLOW);
gotoxy(2,19);
cprintf("******************* СТРОКИ ВАШЕГО ФАЙЛА
****************************n");
window(X1,Y1,X2,Y2);
textcolor(BLACK);
viewwin(0,YWINDOW);
n = 0;
int Y=1;
while(1)
{char c;
gotoxy(1,Y);
textbackground(GREEN);
cprintf("%s",cordinat[n]);
textbackground(WHITE);
c=(c=getch())==0?c=getch():c;
gotoxy(1,Y);
cprintf("%s",cordinat[n]);
switch (c)
{case EXIT:
return(-1);
case 'r': /*enter*/
window(2,7,80,18);
clrscr();
putmistake(n);
window(X1,Y1,X2,Y2);
break;
case UP:
if (Y==1) viewwin(n>0?n-1:n,YWINDOW);
else Y--;
if(n>0) n--;
break;
case DOWN:
if(Y==YWINDOW) viewwin((n==dy?n:n+1)-YWINDOW+1,YWINDOW);
else Y++;
if(n+1==dy)
{n=0;
Y=1;
viewwin(n,YWINDOW);
}
else n++;
break;
}
}
}
void viewwin(int num,int numline)
{clrscr();
for(int a=0;a have Disk->
adminapptoolsdscriptrnaplus.inf. W97 вiдрiзняє мережне з’єднання та
з’єднання вiддаленого доступу та використовує спеціальні засоби для
боротьби зi зменшенням пропускної здатностi з’єднання вiддаленого доступу.
Налагодження сервера вiддаленого доступу.
Використоваується папка ‘Вiдддалений доступ’- ‘З’єднання’- ‘Сервер
вiдаленого доступу’. Вигляд вiкна конфiгурацiї залежить вiд встановленого
режиму доступу (щодо ресурсiв або користувачiв). Проводиться заборона (за
замовчуванням) або дозвiл вiддаленого доступу, завдання паролю доступу до
ресурсiв або списку користувачiв, що мають право доступу, вибiр типу
сервера та протоколiв.
Робота з вiддаленим доступом через МЕ.
МЕ аналiзує наявнiсть з’єднання та його тип. Якщо з’єднання немає,
можливий вибiр одного з трьох варіантiв:
вказати сервер пошти в локальній мережi,
використати вiддалений доступ для встановлення з’єднання з поштовим
сервером; реально з’єднання буде встановлюватись тiльки при спробi
передати данi;
не встановлювати з’єднання з поштовим сервером; повiдомлення зберiгаються у
черзi i при встановленнi з’єднання з сервером, вiдразу передаються.
Оперативне використання вiддаленого доступу для роботи з поштою.
Вибiр опцiї ‘Remote Mail’ дозволяє вiдкрити дiалогове вiкно для
керування пересиланням пошти вiддаленим доступом. Функцiї: пiд’єднання та
вiд’єднання вiд сервера, отримання з поштового сервера заголовків
повiдомлень, пересилання пошти, робота зi списком вiдправлень.
Пряме з’єднання.
Два ПК з’єднуються через послiдовний або паралельний порти. Один з ПК
стає головним (host), другий - пiд’єднаним(guest). Пiд’єднаний комп’ютер
має доступ до ресурсiв головного ПК i через нього - вихiд у локальну мережу
(головний ПК дiє, як шлюз в мережу тiльки для мереж IPX/SPX та NETBEUI,
але не TCP/IP). Встановлення прямого з’єднання - через Windows Setup.
Налагодження - завдання статусу ПК, можливостi парольного захисту та
паролю. При пiд’єднанні кабелiв пряме з’єднання встановлюється.
Синхронiзацiя файлiв з використанням утiлiти ‘Портфель’.
Портфель - це особливий вид папки, який дозволяє вiдслiдковувати стан
скопiйованих в неї файлiв та папок. Портфелiв може бути багато. Портфелi
можна перемiщувати на iншi ПК та на дискети. Для вiдслiдковування статусу
файлу вiн мусить бути скопiйований, а не перемiщений у портфель. Файл в
портфелi може мати статус синхронiзованого та ‘сироти’. Для будь-якого
синхронiзованого файлу можливо розiрвати зв’язок з оригiналом.
Синхронiзацiя файлiв вiдбувається пiд контролем користувача.
Дистанцiйне керування.
W97 безпосередньо не пiдтримує дистанцiйного керування. Для цього можна
використати продукти третiх фiрм (pcAnywhere, Reachout). Дистанцiйне
керування працює з бiльшою швидкiстю, але для своєї роботи вимагає окремого
ПК в мережi.
Windows NT
Універсальна мережева операційна система Windows NT може виконувати
роль як клієнта, та і сервера мережі. Термін Windows NT відноситься до
двох різних продуктів - Windows NT Workstation і Windows NT Server.
Операційна система Windows NT Workstation оптимізована для
використання в якості високопродуктивного захищеного мережевого клієнта і
корпоративної операційної системи робочих станцій. Її можна
використовувати на автономних комп’ютерах як “персональну” операційну
систему, в одноранговій мережі робочої групи і як робочу станцію в
середовищі домену Windows NT Server.
Основні переваги Windows NT Workstation:
. Продуктивність: підтримка багатозадачності. Windows NT Workstation
забезпечує реальну багатозадачність, підтримуючи кілька процесорів.
. Апаратні профілі: створення і підтримка списку апаратних конфігурацій
даного комп’ютера.
. Microsoft Internet Explorer: Web-броузер для роботи з Web.
. Служба повідомлень (Microsoft Messaging): прийом і відправка
електронної пошти.
. Служби Web (Peer Web Services): персональний Web-сервер, оптимізований
для роботи під управлінням Windows NT Workstation.
. Система безпеки: забезпечення локального захисту файлів, папок,
принтерів та інших ресурсів.
. Надійність операційної системи: виконання кожної програми в окремому
адресному просторі. Це значить, що некоректно працююча програма не зможе
вплинути на роботу інших програм чи операційної системи.
Операційна система Windows NT Server оптимізована для роботи в якості
сервера файлів, друку і аплікацій з широким спектром використання: від
невеликих робочих груп до корпоративних мереж.
Основні переваги Windows NT Server:
. Продуктивність сервера: операційна система Windows NT Server 4.0
оптимізована для досягнення максимальної продуктивності при роботі в
якості сервера файлів, друку і аплікацій. Комерційна версія Windows NT
Server 4.0 підтримує симетричну багатопроцесорну обробку з використанням
до 4 процесорів, а спеціалізовані версії підтримують до 32 процесорів.
. Вбудовані засоби комунікацій: дозволяють підключатися до мережі Windows
NT Server 4.0 через модем за допомогою сервісу віддаленого доступу
(Remote Access Service, RAS). Windows NT підтримує до 256 одночасних
сеансів RAS-під’єднань.
. Засоби управління: Task Manager і Network Monitor спрощують
адміністрування сервера, надаючи детальну інформацію про кожну програму
або процес, що працюють в системі.
. Internet Information Server (IIS): - швидка, потужна і безпечна
платформа підтримки служб HTTP, FTP, Gopher.
. Administrative Wizards (Майстри адміністрування): майстри гранично
спрощують управління сервером.
. Підтримка клієнтів Macintosh: забезпечує доступ до файлів і принтерів
для клієнтів Macintosh.
. Додаткові мережеві сервіси: підтримка багатопротокольної маршрутизації
(Multiprotocol Routing, MPR), доменної системи імен (Domain Name System,
DNS), протоколу динамічної конфігурації хоста (Dynamic Host
Configuration Protocol, DHCP) і служби імен Інтернету Windows (Windows
Internet Name Service, WINS).
. Windows NT Directory Services: база даних домену забезпечує єдину
реєстрацію користувачів, централізоване адміністрування домену і доступ
до його ресурсів.
Мережі на основі Windows NT організуються на основі доменної моделі
або моделі робочої групи. І Windows NT Server і Windows NT Workstation
можуть працювати в будь-якій з цих двох моделей.
Доменна модель (domain model) характеризується наявністю в мережі
мінімум одного комп’ютера, що працює під управлінням Windows NT Server і
виконує роль контролера домену (domain controller). Домен – група
комп’ютерів, об’єднаних загальною базою облікових записів користувачів і
єдиною політикою захисту. Ця інформація зберігається в базі даних домену
(її основна копія знаходиться на комп’ютері – контролері домену).
Модель робочої групи (workgroup model) дозволяє організувати мережу на
основі Windows NT без контролера домену. Цю модель часто називають
одноранговою мережею (peer-to-peer network), так як всі її комп’ютери
мають рівні права на ресурси сумісного використання. Модель робочої групи
не забезпечує централізованого адміністрування облікових записів
користувачів і захисту ресурсів. Кожен сконфігурований як сервер комп’ютер
зберігає інформацію про облікові записи своїх користувачів і захист
ресурсів в локальній базі даних.
Захист ресурсів реалізують декілька процесів на різних рівнях
операційної системи. Перший з них – механізм реєстрації – забезпечує
захист доступу до домену або до комп’ютера. При кожному запуску
комп’ютера під управлінням Windows NT на екрані виникає вікно з проханням
натиснути комбінацію клавіш CTRL+ALT+DELETE для реєстрації в системі. Така
реєстрація забезпечує захист від програм, що працюють за принципом
“Троянського коня”. Така програма працює під управлінням MS-DOS і
дізнається ім’я та пароль користувача, імітуючи вікно Begin Logon. Так як
більшість операційних систем використовують CTRL-ALT-DELETE для
перезавантаження комп’ютера, то програма-імітатор навряд чи залишиться
резидентною при виконанні цієї операції. Для успішної реєстрації в
системі користувач повинен ввести коректні значення User Name, Password і
Domain, в якому зареєстрований даний користувач.
Зареєструвавшись в системі, можна скористатися комбінацією CTRL-ALT-
DELETE для доступу до діалогового вікна Windows NT Security. З його
допомогою можна виконати наступні дії:
. Lock Workstation – дозволяє заблокувати комп’ютер без виходу з системи.
Всі програми при цьому продовжують працювати.
. Change Password – дозволяє користувачу змінити пароль свого облікового
запису.
. Logoff – здійснює вихід користувача з системи.
. Task Manager – містить список програм і процесів, які працюють в даний
момент. Його можна використовувати для переключення між програмами і для
завершення програм, що не реагують на події.
. Shut Down – закриває всі файли, зберігає всі дані операційної системи і
готує комп’ютер до виключення живлення.
. Cancel – закриває діалогове вікно Windows NT Security.
Адміністрування Windows NT передбачає виконання як спеціальних операцій
після встановлення системи, так і рутинних повсякденних дій. Функції
адміністрування можна розділити на п’ять категорій:
1. Адміністрування облікових записів користувачів і груп. Планування,
створення і ведення облікових записів і груп для забезпечення кожному
користувачу можливості реєстрації в мережі і доступу до необхідних
ресурсів.
2. Адміністрування захисту. Планування і реалізація стратегії безпеки для
захисту даних і загальних мережевих ресурсів, в тому числі папок, файлів
і принтерів.
3. Адміністрування принтерів. Настройка локальних і мережевих принтерів для
забезпечення користувачам доступу до ресурсів друку. Усунення проблем
друку.
4. Моніторинг подій і ресурсів мережі. Планування і реалізація стратегії
аудиту подій в мережі з метою виявлення порушень захисту. Управління
ресурсами і контроль їх використання.
5. Резервне копіювання і відновлення даних. Планування і виконання
регулярних операцій резервного копіювання для забезпечення швидкого
відновлення важливих даних.
Засоби адміністрування Windows NT Workstation використовуються тільки
для локального комп’ютера. Засоби адміністрування Windows NT Server
використовуються для всіх комп’ютерів домену.
Засоби адміністрування встановлюються на Windows NT при установці самої
операційної системи:
. Administrative Wizards. Інструментальні засоби Windows NT Server для
виконання адміністрування: створення облікових записів користувача,
створення і зміна облікових записів груп, установка прав доступу до папок
і файлів, настройка мережевих принтерів.
. User Manager for Domains. Диспетчер користувачів домену –
інструментальний засіб Windows NT Server, що дозволяє створювати,
знищувати і тимчасово відключати облікові записи користувачів домену.
Крім того, він дозволяє задавати стратегію захисту для груп і добавляти
до них облікові записи користувачів.
. User Manager. Диспетчер користувачів домену – інструментальний засіб
Windows NT Workstation, що дозволяє створювати, знищувати і тимчасово
відключати локальні облікові записи користувачів і груп.
. Server Manager. Диспетчер сервера - інструментальний засіб Windows NT
Server для відслідковування комп’ютерів і доменів та управління ними.
. Event Viewer. Засіб перегляду подій. Містить відомості про помилки,
попередження, а також інформацію про вдалі і невдалі спроби виконання
різних дій.
. Windows NT Diagnostics. Засоби діагностики, призначені для перегляду і
друку інформації про конфігурацію системи.
. Backup. Засоби архівування даних призначені для резервного копіювання
інформації на локальний носій на магнітній стрічці.
Операційна система Windows NT завжди володіла прекрасними і широко
застосовними на практиці можливостями захисту. Однократна реєстрація в
домені Windows NT надає користувачам доступ до ресурсів всієї корпоративної
мережі.
Повноцінний набір інструментів Windows NT Server полегшує
адміністраторам управління системою захисту і її підтримку. Наприклад,
адміністратор може контролювати коло користувачів, що мають права доступу
до мережевих ресурсів: файлам, каталогам, серверам, принтерам і додаткам.
Правами для кожного ресурсу можна управляти централізовано.
Облікові записи користувачів також справляються централізовано. За
допомогою простих графічних інструментів адміністратор задає приналежність
до груп, допустимий час роботи, термін дії і інші параметри облікового
запису. Адміністратор отримує можливість аудиту всіх подій, пов'язаних із
захистом доступу користувачів до файлів, каталогів, принтерів і інших
ресурсів. Система також здатна блокувати обліковий запис користувача, якщо
число невдалих спроб реєстрації перевищує зазделегідь визначене.
Адміністратори мають право встановлювати термін дії паролів, примушувати
користувачів до періодичної зміни паролів і вибору паролів, що утрудняють
несанкціонований доступ.
З точки зору користувача система захисту Windows NT Server повноцінна і
нескладна в звертанні. Проста процедура реєстрації забезпечує доступ до
відповідних ресурсів. Для користувача невидимі такі процеси, як шифрування
пароля на системному рівні. (Шифрування пароля потрібне, щоб виключити
передачу пароля у відкритому вигляді по мережі і перешкодити його виявленню
при несанкціонованому перегляді мережевих пакетів.) Користувач сам визначає
права доступу до тих ресурсів, якими володіє. Наприклад, щоб дозволити
спільне використання свого документа, він вказує, хто і як може з ним
працювати. Зрозуміло, доступ до ресурсів підприємства контролюється тільки
адміністраторами з відповідними повноваженнями.
Більш глибокий рівень безпеки — те, як Windows NT Server захищає дані,
що знаходяться в фізичній пам'яті комп'ютера. Доступ до них надається
тільки маючим на це право програмам. Так само, якщо дані більше не
містяться на диску, система запобігає несанкціонованому доступу до тієї
області диска, де вони містилися. При такій системі захисту ніяка програма
не «підгляне» у віртуальній пам'яті машини інформацію, з якою оперує в
даний момент інший додаток.
Однак інтрамережі швидко стають найбільш ефективним способом спільного
використання інформації бізнес-партнерами. Сьогодні доступ до закритої
ділової інформації керується створенням облікових записів для нових
зовнішніх членів ділової «сім'ї». Це допомагає встановлювати довірчі
відносини не тільки з співробітниками корпорації, але і з множиною
партнерів.
Віддалений доступ через відкриті мережі і зв'язок підприємств через
Інтернет стимулюють постійний і швидкий розвиток технологій безпеки. Як
приклад можна виділити сертифікати відкритих ключів і динамічні паролі. Але
архітектура безпеки Windows NT однозначно оцінюється як перевершуюча і ці,
і інші майбутні технології. Право на таке твердження дають нові можливості
і удосконалення, що з'явилися в Windows NT 5.0. Частина цих змін відображає
вимоги до захисту великих організацій, інша - дозволяє використати переваги
гнучкої архітектури безпеки Windows NT, об'єднаної з сертифікатами
відкритих ключів Інтернету.
Перерахуємо нові функції безпеки Windows NT.
• Інформація про доменні правила безпеки і облікова інформація
зберігаються в каталозі Active Directory. Служба каталогів Active Directory
забезпечує тиражування і доступність облікової інформації на багатьох
контроллерах домена, а також дозволяє видалене адміністрування.
• У Active Directory підтримується ієрархічний простір імен
користувачів, груп і облікових записів машин. Облікові записи можуть бути
згруповані по організаційних одиницях (що істотно відрізняється від плоскої
структури імен в попередніх версіях Windows NT).
• Адміністративні права на створення і управління групами облікових
записів користувачів можуть бути делеговані на рівень організаційних
одиниць. При цьому встановлюються диференційовані права доступу до окремих
властивостей призначених для користувача об'єктів. Наприклад, група
користувачів може змінювати параметри пароля, але не має доступу до іншої
облікової інформації.
• Тиражування Active Directory дозволяє змінювати облікову інформацію
на будь-якому контроллері домена, а не тільки на первинному. Численні копії
Active Directory, що зберігаються на інших (в попередніх версіях,
резервних) контроллерах домена, оновлюються і синхронізуються автоматично.
• Доменна модель змінена і використовує Active Directory для підтримки
багаторівневого дерева доменів. Управління довірчими відносинами між
доменами спрощене за рахунок транзитивності в межах всього дерева доменів.
• У систему безпеки включені нові механізми аутентификації, такі як
Kerberos v5 і TLS (Transport Layer Security), що базуються на стандартах
безпеки Інтернету,
• Протоколи захищених каналів (SSL 3.0/TLS) забезпечують підтримку
надійної аутентификація клієнта. Вона досягається шляхом зіставлення
мандатів користувачів в формі сертифікатів відкритих ключів з існуючими
обліковими записами Windows NT. Для управління обліковою інформацією і
контролю за доступом застосовуються одні і ті ж засоби адміністрування,
незалежно від того, чи використовується захист з відкритим ключем або із
загальним секретом.
• Додатково до реєстрації за допомогою введення пароля може
підтримуватися аутентификація з використанням смарт-карт. Останні
забезпечують шифрування і надійне зберігання закритих ключів і
сертифікатів, що особливо важливо для надійної аутентификація при вході в
домен з робочої станції.
• До складу нової версії входить Microsoft Certificate Server.
Цей сервер призначений для організацій і дозволяє видавати
співробітникам і партнерам сертифікати Х.509 версії 3. В CryptoAPI включені
інтерфейси і модулі управління сертифікатами відкритих ключів, включаючи
видані комерційним ВУС (Уповноваженим сертифікації), стороннім ВУС або
Microsoft Certificate Server. Системні адміністратори можуть вказувати,
сертифікати яких уповноважених є довіреними в системі і, таким чином,
контролювати аутентификація доступу до ресурсів.
• Зовнішні користувачі, що не мають облікових записів Windows NT,
можуть бути аутентифіковані за допомогою сертифікатів відкритих ключів і
співвіднесені з існуючим обліковим записом. Права доступу, призначені для
цього облікового запису, визначають права зовнішніх користувачів на доступ
до ресурсів.
• У розпорядженні користувачів засоби управління парами закритих
(відкритих) ключів і сертифікатами, що використовуються для доступу до
ресурсів Інтернету.
• Технологія шифрування вбудована в операційну систему і дозволяє
використати цифрові підписи для ідентифікації потоків.
У Windows NT 5.0 вбудований сервер сертифікатів Certificate Server,
який може видавати сертифікати в стандартних форматах (Х.509 версій 1 і 3),
а також додавати розширення по мірі потреби.
Протокол аутентификації Kerberos
Протокол аутентификації Kerberos визначає взаємодію між клієнтом і
мережевим сервісом аутентификації, відомим як KDC (Key Distribution
Center). У Windows NT KDC використовується як сервіс аутентификація на всіх
контроллерах домена. Домен Windows NT еквівалентний області Kerberos, але
до неї звертаються як до домену. Реалізація протоколу Kerberos в Windows NT
заснована на визначенні Kerberos в RFC1510, Клієнт Kerberos реалізований у
вигляді ПФБ (постачальника функцій безпеки) Windows NT, заснованому на
SSPI. Початкова аутентификація Kerberos інтегрована з процедурою WinLogon.
Сервер Kerberos (KDC) інтегрований з існуючими службами безпеки Windows NT,
що виконуються на контроллері домена. Для зберігання інформації про
користувачів і групи він використовує службу каталогів Active Directory.
Протокол Kerberos посилює існуючі функції безпеки Windows NT і додає
нові. Розглянемо останні детальніше.
• Підвищена швидкість аутентификації при встановленні початкового
з'єднання. Сервер додатків не повинен звертатися до контроллера домена для
аутентификація клієнта. Така конфігурація підвищує масштабованість серверів
додатків при обробці запитів на підключення від великого числа клієнтів.
• Делегування аутентификації в багатоярусній архітектурі клієнт-сервер.
При підключенні клієнта до сервера, останньому імперсонує (втілює) клієнта
в цій системі. Але якщо серверу для завершення транзакції треба виконати
мережеве підключення до іншого сервера, протокол Kerberos дозволяє
делегувати аутентификації першого сервера і підключитися до другого від
імені клієнта. При цьому другий сервер також виконує імперсонацію клієнта.
• Транзитивні довірчі відносини для міждоменної аутентификації.
Користувач може бути аутентифікований в будь-якому місці дерева доменів,
оскільки сервіси аутентификації (KDC) в кожному домені довіряють квиткам,
виданим іншими KDC в дереві. Транзитивне довір'я спрощує управління
доменами у великих мережах з декількома доменами.
Аутентификація NTLM
Перед тим, як розглянути процес аутентификації Kerberos, пригадаємо
механізм, діючий в попередніх версіях Windows NT.
Отже, після того, як користувач вводить своє ім'я і пароль, система
аутентифікує його шляхом передачі параметрів, заданих у ввідному
діалоговому вікні, менеджеру захисту облікових записів SAM (Security
Account Manager). SAM порівнює ім'я користувача і зашифрований пароль з
тими, що зберігаються в базі користувачів домена або, при локальній
реєстрації, робочій станції. Якщо ім'я і пароль співпадають, сервер
повідомляє робочу станцію про підтвердження доступу. Крім того, сервер
завантажує і таку інформацію про користувача, як привілей облікового
запису, положення домашнього каталога і т. п. Якщо для користувача
визначений сценарій реєстрації, цей сценарій також завантажується на робочу
станцію для виконання.
Якщо користувач має обліковий запис і привілеї доступу в систему, а
введений ним пароль вірний, підсистема захисту створює об'єкт маркер
доступу, що представляє користувача. Він порівняємо з ключем, що містить
«посвідчення особи» користувача. Маркер доступу зберігає таку інформацію,
як ідентифікатор захисту SID (Security ID), ім'я користувача і імена груп,
до яких він належить.
Маркер доступу або його копія асоціюються з будь-яким процесом, що
виконується користувачем (наприклад, відкриття або друк файла). Комбінація
процес-маркер називається суб'єктом. Суб'єкти оперують над об'єктами
Windows NT шляхом виклику системних сервісів. Коли суб'єкт здійснює доступ
до захищеного об'єкта, (наприклад, файлу або каталогу), вміст маркера
порівнюється з вмістом списку контролю доступу до об'єкта ACL (Access
Control List) шляхом стандартної перевірки. При цьому визначається, чи
можна надати суб'єкту право на виконання операції, що запитується. Ця ж
процедура може при необхідності згенерувати повідомлення аудиту, що
відображають результати спроб доступу.
Створений маркер передається процесу Win32 WinLogon. WinLogon наказує
підсистемі Win32 створити процес для користувача, і маркер доступу
приєднується до цього процесу. Після цього підсистема Win32 ініціює Windows
NT Explorer, і на екрані з'являється відповідне вікно.
Основи Kerberos
Kerberos є протоколом аутентификації з спільним секретом - і
користувачеві, і KDC відомий пароль (KDC зашифрований пароль). Протокол
Kerberos визначає серію обмінів між клієнтами, KDC і серверами для
отримання квитків Kerberos. Коли клієнт починає реєстрацію в Windows NT,
постачальник функцій безпеки Kerberos отримує початковий квиток Kerberos
TGT (Ticket grant ticket), заснований на зашифрованому представленні
пароля. Windows NT зберігає TGT в кеші квитків на робочій станції,
пов'язаній з контекстом реєстрації користувача. При спробі клієнтської
програми звернутися до мережевої служби перевіряється кеш квитків: чи є в
ньому вірний квиток для поточного сеансу роботи з сервером. Якщо такого
квитка немає, на KDC посилається запит з TGT для отримання сеансового
квитка, що дозволяє доступ до сервера.
Сеансовий квиток додається в кеш і може згодом бути використаний
повторно для доступу до того ж самому серверу протягом часу дії квитка. Час
дії квитка встановлюється доменними правилами і звичайно дорівнює восьми
годинам. Якщо час дії квитка закінчується у процесі сеансу, то постачальник
функцій безпеки Kerberos повертає відповідну помилку, що дозволяє клієнту і
серверу оновити квиток, створити новий сеансовий ключ і відновити
підключення.
Сеансовий квиток Kerberos пред'являється видаленій службі в
повідомленні про початок підключення. Частини сеансового квитка зашифровані
секретним ключем, що використовується спільно службою і KDC. Сервер може
швидко аутентифікувати клієнта, перевіривши його сеансовий квиток і не
звертаючись до сервісу аутентификації, оскільки на сервері в кеші
зберігається копія секретного ключа. З'єднання при цьому відбувається
набагато швидше, ніж при аутентификації NTLM, де сервер отримує мандати
користувача, а потім перевіряє їх, підключившись до контроллера домена.
Сеансові квитки Kerberos містять унікальний сеансовий ключ, створений
KDC для симетричного шифрування інформації про аутентификацію, а також
даних, що передається від клієнта до сервера. У моделі Kerberos KDC
використовується як інтерактивна довірена сторона, що генерує сеансовий
ключ.
Інтеграція Kerberos
Протокол Kerberos повністю інтегрований з системою безпеки і контролю
доступу Windows NT. Початкова реєстрація в Windows NT забезпечується
процедурою WinLogon, що використовує ПФБ Kerberos для отримання початкового
квитка TGT. Інші компоненти системи, наприклад, Redirector, застосовують
інтерфейс SSPI до ПФБ Kerberos для отримання сеансового квитка для
видаленого доступу до файлів сервера SMB.
У протоколі Kerberos версії 5 для сеансових квитків визначено поле, що
шифрується. Воно призначене для даних авторизації, однак використання
цього поля визначається конкретними додатками, В Windows NT полі даних
авторизації служить для зберігання ідентифікатора безпеки Security ID, що
однозначно визначає користувача і членство в групі. Постачальник функцій
безпеки Kerberos на серверний стороні використовує поле авторизації для
створення маркера захищеного доступу (security access token), що
представляє користувача в цій системі. Сервер, слідуючи моделі безпеки
Windows NT, використовує цей маркер для доступу до локальних ресурсів,
захищених списками контролю доступу.
Делегування аутентификації підтримується в протоколі Kerberos версії 5
шляхом використання в сеансових квитках прапорів proxy і forwarding. Сервер
Windows NT застосовує делегування для отримання сеансового квитка на доступ
від імені клієнта до іншого сервера.
Взаємодія Kerberos
Протокол Kerberos версії 5 реалізований в різних системах і
використовується для одноманітності аутентификація в розподіленій мережі.
Під взаємодією Kerberos мається на увазі загальний протокол, що
дозволяє обліковим записам аутентифікованих користувачів, що зберігаються в
одній базі (що можливо тиражується) на всіх платформах підприємства,
здійснювати доступ до всіх сервісів в гетерогенного середовищі. Взаємодія
Kerberos засновується на наступних характеристиках:
• загальний протокол аутентификації користувача або сервісу на основне
ім'я при мережевому підключенні;
• можливість визначення довірчих відносин між областями Kerberos і
створення посилальний запитів квитків між областями;
• підтримка певних вимог в RFC 1510 до взаємодії, що відносяться до
алгоритмів шифрування і контрольних сум, взаємної аутентификація і інших
можливостей квитків;
• підтримка форматів маркера безпеки Kerberos версії 5 для встановлення
контексту і обміну повідомленнями так, як це визначене робочою групою
lETFCommon Authentication Technology.
Підтримка Kerberos відкритих ключів
У Windows NT також реалізовані розширення протоколу Kerberos,
підтримуючий додатково до аутентификацію з секретним загальним ключем
використовується аутентификація, засновану на парах відкритого (закритого)
ключа. Підтримка відкритих ключів дозволяє клієнтам запитувати початковий
ключ TGT за допомогою закритого ключа, в той час як KDC перевіряє запит за
допомогою відкритого ключа, отриманого з сертифіката Х.509 (зберігається в
призначеному для користувача об'єкті в каталозі Active Directory),
Сертифікат користувача може бути виданий як стороннім уповноваженим
сертифікації (Certification Authority), так і Microsoft Certificate Server,
що входить в Windows NT. Після початкової аутентификація закритим ключем
використовуються стандартні протоколи Kerberos для отримання сеансових
квитків на доступ до мережевих служб,
Підтримка протоколом Kerberos відкритих ключів - основа аутентификація
в мережі за допомогою смарт-карт. Користувачі Windows NT 5.0 можуть їх
застосовувати для входу в систему.
Сервер сертифікатів Microsoft Certificate Server
Сервер сертифікатів Microsoft Certificate Server надає організаціям
спрощений, без звернення до зовнішніх ВУС (уповноваженим сертифікації),
процес видачі сертифікатів. З його допомогою досягається повний контроль
над правилами видачі, управління і відгуку сертифікатів, а також над
форматом і змістом самих сертифікатів. Реєстрація всіх транзакцій дозволяє
адміністратору відстежувати запити на видачу сертифікатів і управляти ними.
Certificate Server виконується у вигляді сервісу Windows NT і обробляє
всі запити сертифікатів, випадки їх видачі, а також всі списки відгуку.
Статус кожної операції з сертифікатами відстежується за допомогою черги
транзакцій. По завершенні операції інформація про неї заноситься в журнал
транзакцій для подальшої перевірки адміністратором.
Клієнт і вхідний модуль
Запит сертифіката поступає від будь-якого, підтримуючого цифрові
сертифікати, клієнтського додатку. Це можливо, наприклад, програма
перегляду сторінок Web, поштовий клієнт або клієнт електронного магазина.
Точку входу Certificate Server - так званий вхідний модуль можна
настроїти на прийом запитів в багатьох стандартних форматах. Вхідні модулі
виконують дві основні функції: розпізнають протокол або транспортний
механізм, що використовується запитуючим додатком, а також встановлюють
з'єднання з сервером сертифікатів для передачі запитів. Якщо треба
забезпечити так специфічні потреби, що це не під силу вхідним модулям, що
поставляються, можна написати свій власний модуль, використовуючи
інтерфейс СОМ, що надається Certificate Server.
Модуль черг і правил
Вхідний модуль передає запит у виконавчу частину сервера сертифікатів,
де відбувається введення запиту в чергу, а далі передача в модуль правил.
Саме там на основі додаткової інформації, що міститься в запиті
визначається можливість видачі запитаного сертифіката. Так само, як і
вхідний модуль, модуль правил є повністю таким, що настроюється.
У процесі прийняття рішення про видачу сертифіката, модуль правил може
звернутися до зовнішніх баз даних, таких як каталог Active Directory, або
успадкована база даних, або кредитна інформація від стороннього джерела,
щоб перевірити надану інформацію. Також він може посилати адміністраторам
попередження про необхідність видачі їм дозволи.
Після цього інформація упаковується в запит так, як вказана
адміністратором. Модуль правил може бути настроєний на вставку будь-яких
розширень сертифікатів, що зажадалися клієнтським додатком (наприклад, дані
для оцінки купівельних можливостей клієнта).
Коли модуль правил повертає запит на надання сертифіката назад у
виконавчий модуль, оновлюються черга, шифрування і цифровий підпис
сертифіката, а також запис транзакції. У журнал заносяться не тільки всі
запити, але і те, чи були вони задоволені або знехтувані. Там же з метою
подальшого аудиту зберігаються всі видані сертифікати і списки відгуку
сертифікатів.
Certificate Server передає сертифікат у вихідний модуль, який упаковує
його у відповідний транспортний механізм або протокол. Так, сертифікат може
бути переданий поштою, по мережі або вміщений в службі каталогів,
наприклад, Active Directory.
Подібно вхідному модулю, вихідного також повністю настроюємо. Більш
того в одному сервері допустимі декілька вихідних модулів, і один і той же
сертифікат може бути не тільки відправлений клієнту, але і вміщений,
наприклад, в репозитарій сертифікатів для подальшого використання (в тому
числі для перевірки інформації в призначеному для користувача сертифікаті).
Для конфігурування, моніторинга і управління операціями на сервері в
склад Certificate Server включений ряд адміністративних інструментів. Вони
дозволяють модифікувати правила, додавати нові вхідний і вихідний модулі,
переглядати чергу. Переглядаючи чергу, адміністратор може або відкинути
запит про сертифікат або, навпаки, ініціювати його негайну видачу.
Безпека і Active Directory
У всіх попередніх версіях Windows NT інформація про облікові записи
зберігалася в захищених гілках реєстру на контроллерах домена. Довірчі
відносини між доменами і наскрізна аутентификація в дворівневих ієрархіях
доменів дозволяли досить гнучко управляти обліковими записами і серверами
ресурсів. Однак всередині кожного домена простір імен був плоским і не мав
ніякої внутрішньої організації.
Розподілені служби безпеки Windows NT 5.0 використовують Active
Directory як сховище облікової інформації. Active Directory значно
перевершує реєстр по продуктивності і масштабованості. Особливо вражають її
адміністративні можливості.
Розглянемо переваги інтегрованого управління обліковими записами
службою каталогів Active Directory.
• Облікові записи користувачів, груп і машин можуть бути організовані у
вигляді контейнерів каталога, званих, як вже згадувалося, організаційними
одиницями OU. У домені допустиме довільне число OU, організованих у вигляді
деревовидного простору імен у відповідності зі структурою організації
користувача. Також як і OU, облікові записи окремих користувачів є
об'єктами каталога. При зміні співробітниками місця роботи або посади
облікові записи всередині дерева доменів можуть бути легко переміщені, і,
таким чином, приведені у відповідність з новим положенням.
• Каталог Active Directory дозволяє враховувати набагато більше
об'єктів користувачів, ніж реєстр. Розмір одного домена вже не обмежений
продуктивністю сервера, що зберігає облікові записи. Дерево пов'язаних між
собою доменів Windows NT може підтримувати великі і складні організаційні
структури.
• Адміністрування облікової інформації розширене за рахунок графічних
коштів управління Active Directory, а також за рахунок підтримки OLE DS в
мовах сценаріїв. Загальні задачі адміністрування можуть бути вирішені у
вигляді сценаріїв, що дозволяє автоматизувати їх виконання.
• Служба тиражування каталогів дає можливість мати декілька списів
облікової інформації, причому оновлюватися ця інформація може в будь-якій
копії, а не тільки на виділених первинних контроллерах домена. Протокол
LDAP і синхронізація каталогів забезпечують механізми зв'язку каталога
Windows NT з іншими каталогами на підприємстві.
Зберігання облікової інформації в Active Directory означає, що
користувачі і групи представлені там у вигляді об'єктів каталога. Права на
читання і запис можуть бути надані окремим особам, як по відношенню до
всього об'єкта цілком, так і по відношенню до окремих його властивостей.
Адміністратори можуть точно задавати, хто саме правомочний модифікувати
інформацію про користувачів, і яку саме. Наприклад, оператору телефонної
служби дозволяється змінювати інформацію про телефонні номери користувачів,
але при цьому він не володіє привілеями системного оператора або
адміністратора.
Поняття груп спростилося, і місце локальних і глобальних груп тепер
займають просто об'єкти гpynn. З їх допомогою можна управляти як доступом
до ресурсів в масштабі всього домена, так і до локальних ресурсів
контроллера домена.
Між Active Directory і службами безпеки Windows NT існують
фундаментальні відносини. У Active Directory зберігаються правила безпеки
домена, що визначають порядок використання системи (обмеження паролів,
обмеження на доступ до системи і інш.). Об'єкти каталога, що відносяться до
безпеки, повинні бути захищені від несанкціонованого доступу. У Windows NT
реалізована об'єктна модель безпеки і контролю за доступом до всіх об'єктів
в каталозі Active Directory. У кожного об'єкта є свій унікальний дескриптор
захисту, що визначає дозволи на читання або оновлення властивостей об'єкта.
Для визначення прав даного клієнта прочитувати або модифікувати певний
об'єкт в Active Directory служить імперсонація і верифікація доступу
Windows NT. Іншими словами, при надходженні LDAP-запита від клієнта доступ
до об'єктів каталога контролюється операційною системою, а не службою
каталогів Active Directory.
Модель безпеки Windows NT забезпечує однорідний і уніфікований механізм
контролю за доступом до ресурсів домена на основі членства в групах.
Компоненти безпеки Windows NT довіряють інформації, що зберігається в
каталозі про захист. Наприклад, сервіс аутентификація Windows NT зберігає
зашифровані паролі користувачів в безпечній частині каталога об'єктів
користувача. За замовчанням операційна система «вважає», що правила безпеки
захищені і не можуть бути змінені будь-ким несанкціоновано. Загальна
політика безпеки домена також зберігається в каталозі Active Directory.
Довірчі відносини між доменами
У Windows NT 5.0 домени можуть бути організовані у вигляді ієрархічних
дерев. Між доменами встановлюються довірчі відносини, Підтримуються два
види таких відносин:
• явні однонаправлені довірчі відносини з доменами Windows NT 4.0;
• двосторонні транзитивні довірчі відносини між всіма доменами, що
входять в дерево.
Явні відносини довір'я встановлюються не тільки з доменами старого
типу, але і в тому випадку, коли неявні двосторонні відносини не придатні
для використання: наприклад, для домена фінансового відділу або
бухгалтерії. Встановлення явних односторонніх довірчих відносин автоматично
відміняє неявні довірчі відносини Kerberos.
Проте, у великій організації явні односторонні відносини потрібні не
так уже часто. Неявні двосторонні довірчі відносини значно полегшують
управління обліковими записами з декількох доменів, оскільки всі домени в
дереві неявно довіряють один одному.
Делегування адміністративних повноважень
Делегування адміністративних повноважень - гнучкий інструмент обмеження
адміністративної діяльності рамками частини домена. Цей метод дозволяє
надати окремим співробітникам можливість управління користувачами або
групами в заданих межах і, в той же час, не дає їм прав на управління
обліковими записами, що відносяться до інших підрозділів.
Права на визначення нових користувачів або створення груп користувачів
делегуються на рівні OU або контейнера, в якому створений обліковий запис.
Адміністратори груп однієї організаційної одиниці не завжди мають
можливість створювати облікові записи того ж самого домена, що відносяться
до іншої організаційної одиниці або управляти ними. Однак доменні правила і
права доступу, визначені на більш високих рівнях каталога, можуть бути
застосовані по всьому дереву за допомогою механізму успадкування.
Існує три способи делегування адміністративних повноважень:
• на зміну властивостей певного контейнера, наприклад,
LocalDomainPolicies самого домена;
• на створення і видалення дочірніх об'єктів певного типу (користувачі,
групи, принтери і ін.) всередині OU;
• на оновлення певних властивостей деяких дочірніх об'єктів всередині
OU (наприклад, право встановлювати пароль для об'єктів типу User).
Делегувати повноваження просто. Досить вибрати особу, якій будуть
делеговані повноваження, і указати, які саме повноваження передаються.
Інтерфейс програми адміністрування Active Directory дозволяє без ускладнень
переглядати інформацію про делегування, визначену для контейнерів.
Детальне призначення прав доступу
Звичайно у великій організації за забезпечення безпеки і підтримки
інфраструктури мережі відповідають декілька чоловік або груп. Отже, повинна
існувати можливість надавати таким особам або групам права на виконання
певних операцій без права створення додаткових облікових записів і впливу
на властивості інших облікових записів.
Архітектурою безпеки об'єктів Active Directory використовуються
дескриптори захисту Windows NT для контролю за доступом до об'єктів. Кожний
об'єкт в каталозі має унікальний дескриптор захисту. Вхідний в дескриптор
список контролю доступу ACL (Access Control List), містить рядки, що
визначають дозвіл або заборону на певні види доступу для окремих осіб або
груп. Права доступу можуть бути надані або заборонені в різній мірі.
Існують рівні прав доступу, що розрізнюються застосуванням до:
• об'єкту загалом (при цьому зачіпаються всі властивості об'єкта);
• групі властивостей, визначеній наборами властивостей всередині
об'єкта;
• окремій властивості об'єкта.
За умовчанням доступ для читання і запису до всіх властивостей об'єкта
отримує творець об'єкта.
Заборона або надання доступу до групи властивостей зручна для
визначення родинних властивостей. Групування властивостей виконується
відповідним атрибутом властивості в схемі. Взаємовідносини наборів
властивостей можна змінювати, модифікуючи схему.
Нарешті, призначення прав доступу до окремих властивостей являє собою
найвищий рівень деталізування, застосовний до всіх об'єктів Active
Directory.
Контейнерні об'єкти в каталозі також підтримують детализація доступу,
регламентуючи, хто має право створювати дочірні об'єкти і якого типу.
Наприклад, правило доступу, визначене на рівні організаційної одиниці, може
визначати, хто має право створювати об'єкти типу User (користувачі) в цьому
контейнері. Інше правило в цієї ж OU може визначати, хто має право
створювати об'єкти типу Printer.
Успадкування прав доступу
Успадкування прав доступу означає, що інформація про управління
доступом, визначена у вищих шарах контейнерів в каталозі, розповсюджується
нижче на вкладені контейнери і об'єкти-листя. Існують дві моделі
успадкування прав доступу: динамічна і статична. При динамічному
успадкуванні права визначаються шляхом оцінки дозволів на доступ,
призначених безпосередньо для об'єкта, а також для всіх батьківських
об'єктів в каталозі. Це дозволяє ефективно управляти доступом до частини
дерева каталога, вносячи зміни в контейнер, що впливає на всі вкладені
контейнери і об'єкти-листя. Зворотна сторона такої гнучкості недостатньо
висока продуктивність через час визначення ефективних прав доступу при
запиті користувача.
У Windows NT реалізована статична форма успадкування прав доступу,
іноді також звана успадкуванням в момент створення. Інформація про
управління доступом до контейнера розповсюджується на всі вкладені об'єкти
контейнера. При створенні нового об'єкта успадковані права зливаються з
правами доступу, що призначаються за умовчанням. Будь-які зміни
успадкованих прав доступу, дерева, що виконуються надалі на вищих рівнях,
повинні розповсюджуватися на всі дочірні об'єкти. Нові успадковані права
доступу розповсюджуються на об'єкти Active Directory відповідно до того, як
ці нові права визначені. Статична модель успадкування дозволяє збільшити
продуктивність.
Аудит
Аудит одне з засобів захисту мережі Windows NT. З його допомогою
можна відстежувати дії користувачів і ряд системних подій в мережі.
Фіксуються наступні параметри, що стосуються дій, що здійснюються
користувачами:
1. виконана дія;
2. ім'я користувача, що виконав дію;
3. дата і час виконання.
Аудит, реалізований на одному контроллері домена, розповсюджується
на всі контроллери домена. Настройка аудиту дозволяє вибрати типи подій,
що підлягають реєстрації, і визначити, які саме параметри будуть
реєструватися.
У мережах з мінімальним вимогам до безпеки піддавайте аудиту:
4. успішне використання ресурсів, тільки в тому випадку, якщо ця інформація
вам необхідна для планування;
5. успішне використання важливої і конфіденційної інформації.
У мережах зі середніми вимогами до безпеки піддавайте аудиту:
6. успішне використання важливих ресурсів;
7. вдалі і невдалі спроби зміни стратегії безпеки і адміністративної
політики;
8. успішне використання важливої і конфіденційної інформації.
У мережах з високими вимогами до безпеки піддавайте аудиту:
9. вдалі і невдалі спроби реєстрації користувачів;
10. вдале і невдале використання будь-яких ресурсів;
11. вдалі і невдалі спроби зміни стратегії безпеки і адміністративної
політики.
Аудит приводить до додаткового навантаження на систему, тому
реєструйте лише події, що дійсно представляють інтерес.
Windows NT записує події в три журнали:
12. Системний журнал (system log) містить повідомлення про помилки,
попередження і іншу інформацію, вихідну від операційної системи і
компонентів сторонніх виробників. Список подій, що реєструються в цьому
журналі, приречений операційною системою і компонентами сторонніх
виробників і не може бути змінений користувачем. Журнал знаходиться в
файлі Sysevent.evt.
13. Журнал безпеки (Security Log) містить інформацію про успішні і невдалі
спроби виконання дій, що реєструються засобами аудиту. Події, що
реєструються в цьому журналі, визначаються заданою вами стратегією
аудиту. Журнал знаходиться в файлі Secevent.evt.
14. Журнал додатків (Application Log) містить повідомлення про помилки,
попередження і іншу інформацію, що видається різними додатками. Список
подій, що реєструються в цьому журналі, визначається розробниками
додатків. Журнал знаходиться в файлі Appevent.evt.
Всі журнали розміщені в папці %Systemroot%System32Config
ЕЛЕМЕНТИ БЕЗПЕКИ СИСТЕМИ Windows NT
Облікові записи користувачів і груп
Будь-який користувач Windows NT характеризується певним обліковим
записом. Під обліковим записом розуміється сукупність прав і додаткових
параметрів, асоційованих з певним користувачем. Крім того, користувач
належить до однієї або декільком групам. Приналежність до групи дозволяє
швидко і ефективно призначати права доступу і повноваження.
Так само, як і в попередніх версіях Windows NT, у версії 5.0 є
декілька вбудованих облікових записів користувачів і груп. Ці облікові
записи наділені певними повноваженнями і можуть використовуватися як основа
для нових облікових записів,
До вбудованих облікових записів користувачів відносяться:
• Guest обліковий запис, фіксуючий мінімальні привілеї гостя;
• Administrator вбудований обліковий запис для користувачів,
наділених максимальними привілеями;
• Krbtgt вбудований обліковий запис, що використовується при початковій
аутентификація Kerberos.
Крім них є два приховані вбудовані облікові записи:
• System обліковий запис, що використовується операційною системою;
• Creator owner творець (файла або каталога).
Перерахуємо вбудовані групи:
• локальні (залишені для сумісності)
Account operators;
Administrators;
Backup operators;
Guests;
Print operators;
Replicator;
Server operators;
Users;
• і глобальні
Domain guests гості домена;
Domain Users користувачі домена;
Domain Admins адміністратори домена.
Крім цих вбудованих груп є ще ряд спеціальних груп:
• Everyone в цю групу за умовчанням включаються взагалі всі
користувачі в системі;
• Authenticated users в цю групу включаються тільки
аутентифицированние користувачі домена;
• Self сам об'єкт.
Домени Windows NT
Управління доменами здійснюється за допомогою адміністративної консолі
DNS. Ви можете визначити зони, прописати повністю певні імена, включити в
домени комп'ютери і т. п.
Як вже вказувалося, домени об'єднуються в дерева. Для перегляду дерева
доменів використовується спеціальний зліпок консо | |
