ISBN 978-5-9775-4028-5
© ООО "БХВ", 2019
© Оформление. ООО "БХВ-Петербург", 2019
Оглавление
Предисловие ................................................................................................................... 17
Что нового вы найдете в пятом издании? .................................................................................... 18
Глава 1. Системное администрирование .................................................................. 19
Обязанности системного администратора................................................................................... 19
Выбор операционной системы: Windows vs Linux ..................................................................... 20
Участие в тендерах ........................................................................................................................ 22
Обновление программного обеспечения ..................................................................................... 22
О моральных качествах администратора ..................................................................................... 23
Глава 2. Выбор аппаратных и программных средств ........................................... 25
Требования к оборудованию информационных систем ............................................................. 25
Выбор производителя ............................................................................................................ 25
Гарантия и сервис-центры ..................................................................................................... 27
Выбор процессора ................................................................................................................. 28
Выбор шасси .......................................................................................................................... 29
Выбор материнской платы .................................................................................................... 30
Выбор дисков ......................................................................................................................... 30
Выбор памяти ......................................................................................................................... 32
Дополнительные требования к коммутационному оборудованию.................................... 33
Дополнительные требования к аварийным источникам питания ...................................... 33
Состав программного обеспечения типового предприятия ....................................................... 33
Подсистема аутентификации и контроля доступа .............................................................. 34
Подключение Linux к домену: протокол Kerberos ..................................................... 34
Настройка конфигурации клиента Kerberos ......................................................... 35
Настройка файла
nsswitch.conf
............................................................................... 36
Получение билета Kerberos для учетной записи администратора ...................... 36
Подключение к домену ........................................................................................... 36
Проверка подключения ........................................................................................... 36
Сервер Linux в качестве контроллера домена ............................................................ 37
Совместно используемые ресурсы ....................................................................................... 37
Учетная запись для анонимного доступа .................................................................... 38
Работа с Windows-ресурсами в Linux .......................................................................... 38
4
Оглавление
Установка пакета Samba ......................................................................................... 38
Настройки Samba .................................................................................................... 39
Подключение к общим ресурсам ........................................................................... 40
Браузеры Интернета .............................................................................................................. 40
Защита узлов сети .................................................................................................................. 41
Средства удаленного администрирования ........................................................................... 42
Средства резервного копирования ....................................................................................... 42
Офисный пакет ....................................................................................................................... 44
Электронная почта ................................................................................................................. 46
Свободное программное обеспечение ................................................................................. 49
Базовые сведения о работе в *NIX-системах .............................................................................. 50
Linux-мифы ............................................................................................................................. 51
Надежность Linux и Windows ............................................................................................... 52
Несколько моментов, о которых следует знать пользователям Linux .............................. 52
Ядро и дистрибутивы ................................................................................................... 52
Файловая система ......................................................................................................... 53
Монтирование файловой системы .............................................................................. 55
Консоль и графический режим .................................................................................... 56
Пользователь root.......................................................................................................... 56
Структура папок Linux ................................................................................................. 57
Текстовые редакторы: vi и другие ............................................................................... 58
Выполнение команд с правами другого пользователя .............................................. 61
Прикладные программы в Linux ........................................................................................... 62
Кроссплатформенный запуск программ .............................................................................. 63
Установка Linux ..................................................................................................................... 64
Загрузка нескольких операционных систем ........................................................................ 64
Тестирование Linux на виртуальной машине ...................................................................... 65
Глава 3. Структура сети ............................................................................................... 67
Структурированные кабельные сети ............................................................................................ 67
Категории СКС....................................................................................................................... 69
Волоконно-оптические сети.................................................................................................. 71
Сети 10G, 40G и 100G ........................................................................................................... 72
Схема разъема RJ-45.............................................................................................................. 74
Варианты исполнения СКС ................................................................................................... 75
Удлинение кабеля .................................................................................................................. 75
Прокладка силовых кабелей ................................................................................................. 76
Питание по сети Ethernet (PoE)............................................................................................. 76
Требования пожарной безопасности .................................................................................... 77
Топология сети ....................................................................................................................... 77
Размеры сегментов сети на витой паре ....................................................................... 77
Уровни ядра, распределения и доступа ...................................................................... 78
Топология каналов распределенной сети предприятия ............................................. 79
Сеть управления ............................................................................................................ 80
Документирование структуры каналов связи ............................................................. 80
Качество сетей связи предприятия ....................................................................................... 80
Проверка кабельной системы ...................................................................................... 80
Проверка качества передачи данных .......................................................................... 82
Оглавление
5
Приоритезация трафика ............................................................................................... 82
Варианты приоритезации: QoS, ToS, DiffServ ...................................................... 83
Классификация, маркировка, правила приоритезации ........................................ 85
Как работает приоритезация: очереди ................................................................... 86
Ограничение полосы пропускания трафика (Traffic shaping).............................. 87
Беспроводные сети ........................................................................................................................ 87
Стандарты беспроводной сети .............................................................................................. 90
Проектирование беспроводной сети предприятия .............................................................. 91
Безопасность беспроводной сети ......................................................................................... 94
Шифрование трафика беспроводной сети .................................................................. 94
Аутентификация пользователей и устройств Wi-Fi ................................................... 95
Безопасность клиента ................................................................................................... 95
Настройка транспортных протоколов .......................................................................................... 96
Протоколы .............................................................................................................................. 96
Модель OSI ............................................................................................................................. 97
Стек протоколов TCP/IP........................................................................................................ 98
Протоколы UPD, TCP, ICMP ................................................................................................ 99
Протокол IPv6 ........................................................................................................................ 99
Параметры TCP/IP-протокола ............................................................................................ 100
IP-адрес ........................................................................................................................ 100
Групповые адреса ....................................................................................................... 100
Распределение IP-адресов сети малого офиса .......................................................... 101
Маска адреса ............................................................................................................... 102
Шлюз (Gateway, default gateway) ............................................................................... 103
Таблицы маршрутизации ........................................................................................... 104
Автоматическое присвоение параметров IP-протокола .......................................... 108
Серверы DHCP ...................................................................................................... 109
Адресация APIPA .................................................................................................. 109
Назначение адресов при совместном использовании подключения
к Интернету ............................................................................................................ 109
Порт ............................................................................................................................. 110
Протокол ARP ............................................................................................................. 111
Имена компьютеров в сети TCP/IP ........................................................................... 112
Доменные имена Интернета ................................................................................. 113
Соотношение доменных имен и IP-адресов компьютеров ................................ 114
Серверы доменных имен (DNS) ........................................................................... 115
WINS ...................................................................................................................... 115
Статическое задание имен .................................................................................... 115
Последовательность разрешения имен ............................................................... 116
Настройка серверов DHCP и DNS ...................................................................................... 117
Настройка DHCP ......................................................................................................... 117
Создание и настройка зоны .................................................................................. 117
Авторизация DHCP-сервера ................................................................................. 119
Настройка параметров области ............................................................................ 119
Фиксированные IP-адреса .................................................................................... 120
Подстройка DHCP под группы клиентов ............................................................ 121
Отказоустойчивость DHCP-сервера .................................................................... 122
Обслуживание DHCP-сервером других сегментов сети .................................... 122
6
Оглавление
Порядок получения IP-адресов клиентами DHCP .............................................. 123
Первичное получение адреса ....................................................................... 123
Продление аренды ........................................................................................ 124
Диагностика и обслуживание DHCP-сервера ..................................................... 124
Интеграция DHCP и DNS .................................................................................................... 125
DNS .............................................................................................................................. 125
Термины DNS ........................................................................................................ 125
Порядок разрешения имен в DNS ........................................................................ 129
Основные типы записей DNS ............................................................................... 129
Установка сервера DNS ........................................................................................ 130
Записи домена Windows ....................................................................................... 132
Разделение DNS .................................................................................................... 132
Настройка DNS в удаленных офисах .................................................................. 134
Обслуживание и диагностика неисправностей DNS-сервера ............................ 134
Перенос записей зон ............................................................................................. 137
Глава 4. Информационные системы предприятия .............................................. 139
SOHO-сети.................................................................................................................................... 139
Одноранговые сети ...................................................................................................................... 141
Сеть с централизованным управлением .................................................................................... 141
Управление локальными ресурсами................................................................................... 141
Возможность добавлять рабочие станции в домен .................................................. 142
Удаление устаревших записей о компьютерах и пользователях ............................ 144
Изменения настроек системы при подключении ее к домену ................................ 144
Локальный администратор против доменного ......................................................... 145
Исключение компьютера из домена .................................................................... 145
Отключение совместного использования административных ресурсов .......... 145
Исключение администратора домена из группы локальных
администраторов ................................................................................................... 146
Блокировка администратора домена на уровне файловой системы ................. 146
Блокирование групповой политики ..................................................................... 146
Проблема аудитора ..................................................................................................... 147
Методы управления локальной системой .......................................................................... 147
Служба каталогов ........................................................................................................................ 149
Служба каталогов Windows (Active Directory) .................................................................. 149
Домены Windows ................................................................................................................. 150
Подразделение ............................................................................................................ 151
Лес ................................................................................................................................ 152
Сайты ........................................................................................................................... 152
DN и RDN .................................................................................................................... 153
Управление структурой домена предприятия ........................................................................... 153
Создание нового домена ..................................................................................................... 154
Функциональный уровень домена ............................................................................. 155
Компоненты Active Directory ..................................................................................... 155
Создание контроллеров домена «только для чтения» ............................................. 156
Удаление контроллера домена .................................................................................. 157
Переименование домена ............................................................................................ 158
LDAP и Active Directory ...................................................................................................... 158
Подключаемся к каталогу по протоколу LDAP ....................................................... 158
Оглавление
7
Синтаксис поисковых запросов LDAP...................................................................... 159
Команда
ldifde
............................................................................................................. 161
Делегирование прав ............................................................................................................. 162
Корзина Active Directory: просмотр и восстановление удаленных объектов
каталога ................................................................................................................................. 164
Учетные записи и права .............................................................................................................. 166
Понятие учетной записи ...................................................................................................... 166
Локальные и доменные учетные записи ............................................................................ 167
Группы пользователей ......................................................................................................... 168
Ролевое управление .................................................................................................... 170
Результирующее право: разрешить или запретить? ................................................ 170
Разрешения общего доступа и разрешения безопасности ....................................... 171
Наследуемые разрешения: будьте внимательны ...................................................... 172
Восстановление доступа к ресурсам ......................................................................... 173
Обход перекрестной проверки................................................................................... 174
Изменение атрибутов объектов при операциях копирования и перемещения ......... 174
Результирующие права и утилиты ............................................................................ 175
Рекомендации по применению разрешений ............................................................. 176
Создание и удаление учетных записей .............................................................................. 177
Права учетной записи .......................................................................................................... 178
Восстановление параметров безопасности по умолчанию ..................................... 178
Автоматически создаваемые учетные записи ................................................................... 181
Встроенные учетные записи пользователей ............................................................. 181
Предопределенные учетные записи пользователя ................................................... 182
Учетная запись
Администратор
......................................................................... 182
Учетная запись
Гость
........................................................................................... 182
Другие встроенные учетные записи пользователей ........................................... 183
Встроенные группы .................................................................................................... 184
Специальные группы .................................................................................................. 186
Рекомендации по использованию операции
Запуск от имени Администратора
......... 186
Глава 5. Работа в глобальной сети .......................................................................... 189
Организация доступа к ресурсам Интернета ............................................................................. 189
Сетевая адресация ................................................................................................................ 189
Введение в IPv6 .................................................................................................................... 192
NAT — трансляция сетевого адреса .................................................................................. 193
Реализация NAT средствами службы маршрутизации Windows Server ................ 193
Аппаратный NAT ........................................................................................................ 197
Реализация NAT средствами Linux ........................................................................... 198
Фильтрация трафика .................................................................................................................... 198
Демилитаризованная зона ................................................................................................... 199
Межсетевой экран (брандмауэр) ........................................................................................ 199
Выбор межсетевого экрана ........................................................................................ 200
Нужен ли прокси-сервер?........................................................................................... 201
Системы обнаружения вторжений ............................................................................ 201
Варианты межсетевых экранов .......................................................................................... 202
Программное решение ............................................................................................... 202
Аппаратные решения .................................................................................................. 203
8
Оглавление
Настройка параметров межсетевого экрана при помощи групповой политики ............ 203
Межсетевой экран Linux ..................................................................................................... 205
Настройки запуска ...................................................................................................... 205
Цепочки и правила ...................................................................................................... 206
Задание правил брандмауэра ..................................................................................... 208
Пример настройки брандмауэра ................................................................................ 211
Оптимизация доступа в Интернет .............................................................................................. 216
Основные мероприятия оптимизации ................................................................................ 216
Прокси-сервер ...................................................................................................................... 217
Прозрачный прокси .................................................................................................... 218
Настройка использования полосы пропускания ...................................................... 219
Блокировка рекламы, сайтов «для взрослых» и т. п. ............................................... 222
Удаленная работа ......................................................................................................................... 225
Виртуальные частные сети.................................................................................................. 225
Удаленное подключение к Linux ........................................................................................ 226
Протокол SSH ............................................................................................................. 226
«Тонкие» клиенты ....................................................................................................... 228
Использование графических утилит для подключения к Linux .............................. 229
Подключение филиалов ...................................................................................................... 229
Контроллер домена «только для чтения» .......................................................................... 229
Решение DirectAccess .......................................................................................................... 231
Терминальный доступ ................................................................................................................. 231
Терминальные серверы от Microsoft .................................................................................. 232
Терминальные клиенты .............................................................................................. 232
Режимы терминальных служб ................................................................................... 233
Лицензирование терминальных служб ..................................................................... 234
Особенности использования приложений на терминальном сервере .................... 234
Безопасность терминальных сессий .......................................................................... 235
Подключение к консоли терминального сервера ..................................................... 236
Подключение администратора к сессии пользователя ............................................ 237
Публикация приложений в терминале ............................................................................... 237
Веб-доступ к терминальному серверу ................................................................................ 239
Шлюз терминалов ................................................................................................................ 240
Создание локальных копий данных ........................................................................................... 240
История файлов .................................................................................................................... 240
Технология BranchCache ..................................................................................................... 242
Доступ из-за межсетевого экрана ............................................................................................... 243
Глава 6. Управление информационной системой ................................................ 245
Состав информационной системы ............................................................................................. 245
Построение топологии существующей СКС ..................................................................... 245
Инвентаризация физических каналов связи ...................................................................... 246
Учет компьютеров и программ........................................................................................... 247
Мониторинг функционирования ПО ......................................................................................... 248
Управление с помощью групповых политик ............................................................................ 248
Порядок применения множественных политик ................................................................ 249
Совместимость версий групповых политик ...................................................................... 249
Места хранения и условия применения групповых политик ........................................... 251
Оглавление
9
Последствия отключений политик ..................................................................................... 252
Редактирование групповых политик .................................................................................. 252
Начальные объекты групповой политики .......................................................................... 255
Расширенное управление групповыми политиками ......................................................... 256
«Обход» параметров пользователя ..................................................................................... 257
Фильтрация объектов при применении групповой политики .......................................... 258
Фильтрация при помощи WMI-запросов .................................................................. 258
Настройка параметров безопасности групповых политик ...................................... 258
Предпочтения групповых политик ............................................................................ 259
Рекомендации по применению политик ............................................................................ 260
Блокирование запуска нежелательных приложений с помощью компонента
AppLocker ............................................................................................................................. 260
Некоторые особенности политики установки программного обеспечения .................... 261
Административные шаблоны ............................................................................................. 263
Утилиты группового управления ............................................................................................... 263
Средства поддержки пользователей ................................................................................... 264
Удаленный помощник ................................................................................................ 264
Утилиты подключения к рабочему столу ................................................................. 265
Средства автоматизации — сценарии ........................................................................................ 267
Использование командной строки ..................................................................................... 267
Сценарии Visual Basic ......................................................................................................... 268
Интерфейс IPMI ................................................................................................................... 268
Интерфейс WMI ................................................................................................................... 269
Язык запросов WMI Query Language ........................................................................ 270
Варианты применения WMI ...................................................................................... 271
Примеры WMI-сценариев .......................................................................................... 271
PowerShell ............................................................................................................................. 272
Утилиты администрирования третьих фирм ............................................................................. 274
Утилиты от компании Sysinternals...................................................................................... 274
Снифферы ............................................................................................................................. 275
Ideal Administrator ................................................................................................................ 275
Hyena ..................................................................................................................................... 276
Автоматизация установки программного обеспечения ............................................................ 276
Развертывание Windows 7 при помощи WAIK ................................................................. 276
Развертывание Windows 8 при помощи Windows ADK ................................................... 276
Развертывание Windows 10 ................................................................................................. 277
Клонирование Windows-систем .......................................................................................... 277
Подводные камни процесса клонирования .............................................................. 277
Утилита sysprep ........................................................................................................... 278
Создание установочного образа системы при помощи утилиты sysprep ......... 279
Подготовка диска для существенно отличающейся системы ........................... 279
Дублирование жесткого диска ................................................................................... 280
Образы клонируемого диска и их модификация ...................................................... 282
Клонирование компьютеров-членов домена ............................................................ 282
Клонирование Linux-систем ............................................................................................... 282
Средства клонирования Linux.................................................................................... 282
Использование Clonezilla ........................................................................................... 283
Подготовка программ для «тихой» установки .................................................................. 290
Файлы ответов (трансформаций) .............................................................................. 290
10
Оглавление
Использование ключей «тихой» установки .............................................................. 292
Переупаковка .............................................................................................................. 293
Административная установка .................................................................................... 294
Развертывание программы в Active Directory ................................................................... 295
Глава 7. Мониторинг информационной системы ................................................. 301
Основные способы мониторинга................................................................................................ 301
Журналы системы и программ ........................................................................................... 301
Протокол SNMP ................................................................................................................... 302
Опрос служб ......................................................................................................................... 302
Мониторинг с использованием агентов ............................................................................. 303
Мониторинг на основе протокола SNMP .................................................................................. 304
Простейшие варианты мониторинга .......................................................................................... 306
Контроль журналов Windows ............................................................................................. 306
Привязка задачи .......................................................................................................... 306
Подписка на события .................................................................................................. 308
Создание собственных событий в журналах Windows ............................................ 308
Настройка журналирования в syslog ......................................................................... 309
Утилиты мониторинга ......................................................................................................... 309
Система мониторинга Nagios ..................................................................................................... 309
Необходимость мониторинга сети ..................................................................................... 309
Установка Nagios ................................................................................................................. 310
Настройка Nagios ................................................................................................................. 311
Мониторинг в Nagios серверов Windows ........................................................................... 315
Мониторинг Windows-систем на основе WMI ......................................................... 318
Мониторинг в Nagios серверов Linux ................................................................................ 319
Мониторинг систем с использованием протокола SNMP ................................................ 319
Сервер протоколов ...................................................................................................................... 321
Постановка задачи ............................................................................................................... 321
Настройка основного (центрального) сервера .................................................................. 322
Настройка остальных серверов сети .................................................................................. 324
Протоколирование системой инициализации в Linux .............................................................. 326
Системы мониторинга трафика .................................................................................................. 328
Простейшая система мониторинга трафика: darkstat ....................................................... 328
Система NeTAMS ................................................................................................................ 331
Мониторинг жестких дисков. Коды S.M.A.R.T. ....................................................................... 335
Глава 8. Виртуализация и «облачные» технологии ............................................. 343
Секрет популярности виртуализации ......................................................................................... 343
Глоссарий ..................................................................................................................................... 344
Вендоры виртуальных решений ................................................................................................. 344
Выбор гипервизора ...................................................................................................................... 345
Программное обеспечение и виртуальная среда....................................................................... 348
Особенности сетевых подключений виртуальных машин ............................................... 348
Лицензирование программного обеспечения виртуальных машин ................................ 349
Создание виртуальных машин .................................................................................................... 350
Создание виртуальной машины путем чистой установки операционной системы........ 350
Клонирование виртуальной машины ................................................................................. 351
Снятие образа физического сервера ................................................................................... 352
Миграция между решениями различных производителей ............................................... 352
Оглавление
11
Некоторые замечания к устройству виртуальных машин ........................................................ 354
Жесткие диски ...................................................................................................................... 354
Типы виртуальных дисков ......................................................................................... 354
Необходимость блочного доступа к виртуальному диску ...................................... 355
Варианты подключения виртуального диска ........................................................... 355
Обслуживание файлов виртуального диска .............................................................. 355
Сохранение состояния виртуальной машины .......................................................... 355
Распределение вычислительных ресурсов ......................................................................... 356
Оперативная память............................................................................................................. 356
Сервисные операции ................................................................................................................... 357
Резервное копирование и антивирусная защита ............................................................... 357
Обмен данными .................................................................................................................... 357
Копирование данных с машины на машину ............................................................. 357
Общие папки ............................................................................................................... 357
Миграция виртуальных машин ........................................................................................... 358
Подключение к виртуальным машинам ............................................................................. 359
Особенности выключения виртуальных машин ............................................................... 360
Виртуальные рабочие станции ................................................................................................... 360
Сравниваем VDI-решения с терминальными клиентами ................................................. 361
Немного об экономике VDI ................................................................................................ 361
Структура VDI-решений ..................................................................................................... 362
Некоторые особенности VDI-решений .............................................................................. 363
KVM и OpenVZ ............................................................................................................................ 364
Разница между KVM и OpenVZ ......................................................................................... 364
Установка ядра OpenVZ ...................................................................................................... 365
Создание и запуск виртуальной машины OpenVZ ............................................................ 365
Virtuozzo ....................................................................................................................................... 367
Как работает Virtuozzo? ...................................................................................................... 368
Установка Virtuozzo............................................................................................................. 369
Выбор шаблона .................................................................................................................... 371
Создание и настройка контейнера ...................................................................................... 371
Управление ресурсами контейнера .................................................................................... 373
Управление контейнерами .................................................................................................. 375
Вход в гостевую операционную систему ........................................................................... 376
Советы по оптимизации виртуальных систем ........................................................................... 377
Виртуализация в сетях передачи данных .................................................................................. 378
Виртуальные частные сети.................................................................................................. 378
Зачем нужны виртуальные сети? ........................................................................................ 379
Маркировка кадров .............................................................................................................. 379
Порты и VLAN ..................................................................................................................... 380
Практика настройки VLAN на коммутаторах Cisco ......................................................... 381
Другие производители оборудования ................................................................................ 383
Настройка VLAN в Linux .................................................................................................... 384
Выбор сервера: физический или виртуальный.......................................................................... 385
Нужен ли вашему проекту сервер? .................................................................................... 385
Стоимость физического сервера......................................................................................... 386
Стоимость виртуального сервера ....................................................................................... 386
Стоимость содержания физического сервера.................................................................... 387
12
Оглавление
Выбор «облачного» провайдера ................................................................................................. 389
Площадка .............................................................................................................................. 389
Сертификация ЦОД .................................................................................................... 389
Где расположен ЦОД: в России или за границей? ................................................... 391
Кому принадлежит ЦОД? Можно ли войти и посмотреть, как все устроено? ......... 391
«Облачная» платформа ........................................................................................................ 391
Как можно подключиться к «облаку»? Есть ли панель управления? ..................... 392
Что представляет собой виртуальное ядро? ............................................................. 392
Какие используются дисковые ресурсы? Соответствует ли скорость ресурсов
заявленной? ................................................................................................................. 393
Есть ли сервис резервного копирования? ................................................................. 393
Какова пропускная способность интернет-соединения и сколько будет стоить
ее расширение? ........................................................................................................... 393
Входит ли в стоимость услуги лицензия на программное обеспечение? .............. 393
Как выполняется тарификация? ................................................................................ 394
Есть ли тестовый режим? ........................................................................................... 394
Сколько стоит собственная VPN-сеть, и какие есть ограничения? ........................ 394
Есть ли какие-либо скрытые платежи — например, за панель управления
сервером и т. п.? .......................................................................................................... 394
Поддержка ............................................................................................................................ 394
Виртуализация физического сервера ......................................................................................... 395
Установка панели управления на виртуальный Linux-сервер .................................................. 397
Настройка терминального Windows-сервера ............................................................................ 403
Создание виртуального сервера ......................................................................................... 403
Оптимальная конфигурация виртуального сервера для бухгалтерской программы
«1C:Предприятие» ............................................................................................................... 405
Установка службы удаленных рабочих столов ................................................................. 406
Настройка сервера лицензирования для удаленных рабочих столов .............................. 412
Установка лицензий службы удаленных рабочих столов ................................................ 420
Безопасный запуск программы «1С:Предприятие» .......................................................... 424
Глава 9. Безопасность ................................................................................................. 427
Безопасность и комфорт ............................................................................................................. 427
Попытаемся разложить по полочкам ......................................................................................... 428
Как будем защищать? .................................................................................................................. 429
Три «кита» безопасности............................................................................................................. 430
Организационное обеспечение информационной безопасности ............................................. 431
План обеспечения непрерывности функционирования информационной системы ......... 432
Безопасность паролей .......................................................................................................... 432
Токены и смарт-карты ................................................................................................ 434
Rainbow-таблицы ........................................................................................................ 435
Блокировка учетной записи пользователя ................................................................ 435
Восстановление пароля администратора .................................................................. 436
Методы социальной инженерии ......................................................................................... 437
Меры защиты от внешних угроз ................................................................................................ 438
Физическая безопасность .................................................................................................... 438
Ограничение доступа к рабочим станциям .............................................................. 438
Межсетевые экраны .................................................................................................... 440
Ограничения подключения нового оборудования ................................................... 440
Оглавление
13
Обеспечение сетевой безопасности информационной системы ...................................... 441
Контроль проходящего трафика ................................................................................ 441
Контроль устройств по MAC-адресам ...................................................................... 441
Протокол 802.1
х
.......................................................................................................... 443
Особенности применения протокола 802.1
х
....................................................... 444
Настройка протокола 802.1
х
................................................................................ 445
Выдача сертификатов компьютерам ........................................................... 445
Настройка службы каталогов....................................................................... 445
Настройка службы RADIUS ........................................................................ 446
Настройка автоматического назначения VLAN для порта
коммутатора .................................................................................................. 447
Настройка клиентского компьютера ........................................................... 448
Настройка коммутатора ............................................................................... 448
Технология NAP .................................................................................................................. 449
Обнаружение нештатной сетевой активности ................................................................... 450
Контроль состояния программной среды серверов и станций ................................................ 450
Индивидуальная настройка серверов ................................................................................. 450
Security Configuration Manager ................................................................................... 451
Security Compliance Manager ...................................................................................... 451
Исключение уязвимостей программного обеспечения .................................................... 452
Уязвимости и эксплойты ............................................................................................ 452
Как узнать об обновлениях? ...................................................................................... 453
Проверка системы на наличие уязвимостей ............................................................. 453
Тестирование обновлений .......................................................................................... 454
Обновления операционных систем Linux ................................................................. 455
Индивидуальные обновления Windows-систем ....................................................... 455
Обновление Windows-систем на предприятии ......................................................... 457
Установка обновлений через групповые политики ................................................. 458
Защита от вредоносных программ ..................................................................................... 459
График обновления антивирусных баз ..................................................................... 461
Внимательность пользователя ................................................................................... 461
Обезвреживание вирусов ........................................................................................... 462
Защита от вторжений ........................................................................................................... 463
Программы-шпионы: «троянские кони» ................................................................... 463
Редактирование списка автоматически загружаемых программ ............................ 467
Безопасность приложений................................................................................................... 468
Основные принципы безопасности приложений ..................................................... 468
Единый фонд дистрибутивов и средства контроля запуска программного
обеспечения ................................................................................................................. 469
Неизменность системы ........................................................................................................ 469
Защита от утечки данных ............................................................................................................ 470
Шифрование данных ........................................................................................................... 470
Шифрование данных на устройствах хранения ....................................................... 470
Шифрование архивов ............................................................................................ 470
Бесплатные программы шифрования данных .................................................... 470
Шифрование дисков: коммерческие программы ............................................... 472
Шифрование в Linux ................................................................................................... 474
Шифрование файловой системы Windows ............................................................... 476
14
Оглавление
Шифрование диска при помощи BitLocker .............................................................. 479
Использование BitLocker на компьютерах без TPM .......................................... 480
Включение шифрования ....................................................................................... 481
Режим восстановления.......................................................................................... 481
Шифрование почты .................................................................................................... 482
Получение открытого ключа для защищенной переписки ................................ 483
Получение цифрового сертификата для защищенной переписки ..................... 483
Работа с подписанными и зашифрованными сообщениями в ОС Android ......... 486
Шифрование в базах данных ..................................................................................... 492
Стеганография ............................................................................................................. 493
Анализ поведения пользователей ....................................................................................... 493
DLP-технологии ................................................................................................................... 494
Анонимность работы в глобальной Сети .................................................................................. 495
Глава 10. Отказоустойчивая информационная система ..................................... 497
Территориальная распределенность .......................................................................................... 497
Центры обработки данных (дата-центры) ................................................................................. 498
Требования к помещениям .................................................................................................. 498
Поддержание в помещении постоянной температуры ..................................................... 499
Резервное электроснабжение .............................................................................................. 499
Системы пожаротушения .................................................................................................... 500
Сетевая инфраструктура ............................................................................................................. 500
Выбор правильной топологии сети передачи данных ...................................................... 500
Построение отказоустойчивой сети на основе протоколов второго уровня
модели OSI .................................................................................................................. 501
Протокол STP ........................................................................................................ 501
Протокол MSTP..................................................................................................... 502
Отказоустойчивая сеть на основе протоколов третьего уровня модели OSI......... 502
Протокол VRRP ..................................................................................................... 502
Агрегированные каналы ....................................................................................... 503
Проприетарные технологии восстановления структуры сети.......................................... 504
Фермы серверов ........................................................................................................................... 504
Отказоустойчивые решения для приложений ........................................................................... 505
DNS-серверы ........................................................................................................................ 505
DHCP-сервер ........................................................................................................................ 506
Кластер Oracle RAC ............................................................................................................. 506
Распределенная информационная база программы «1С:Предприятие» ......................... 507
Дублирование данных ................................................................................................................. 507
Зеркалирование серверов баз данных ................................................................................ 507
Зеркалирование (репликация) данных SQL-серверов ............................................. 507
Снимки баз данных ..................................................................................................... 508
Настройка клиентских подключений ........................................................................ 508
Распределенная файловая система ..................................................................................... 509
Создание DFS .............................................................................................................. 509
Репликация DFS .......................................................................................................... 510
Поддержка DFS в Linux-системах ............................................................................. 512
Кластеры ....................................................................................................................................... 512
Кластер Microsoft ................................................................................................................. 513
Кластер openMosix ............................................................................................................... 515
Оглавление
15
Распределенные каталоги ........................................................................................................... 516
Репликация данных каталогов ............................................................................................ 516
Хозяева операций ....................................................................................................... 516
Смена хозяев операций .............................................................................................. 517
Сервер глобального каталога (GC) ............................................................................ 518
Отказоустойчивые решения и виртуальные системы ............................................................... 519
Глава 11. Порядок выявления неисправностей и их устранения ..................... 521
Если отказ уже произошел... ....................................................................................................... 521
Максимальный аптайм ........................................................................................................ 522
Восстановление с нуля, или полное фиаско ...................................................................... 522
Запасные детали ................................................................................................................... 523
Где получить помощь? ................................................................................................................ 524
Сбор информации об отказе ....................................................................................................... 524
Анализ журналов системы .................................................................................................. 525
Средства просмотра журналов системы ............................................................................ 525
Журналы в Linux: демон syslogd ........................................................................................ 527
Централизованное ведение журналов ................................................................................ 531
Установка триггеров на события протоколов ................................................................... 532
Настройка аудита событий безопасности .......................................................................... 532
Утилиты от Sysinternals ....................................................................................................... 533
Особенности отказов различных компонентов ......................................................................... 534
Мониторинг отказоустойчивой структуры ........................................................................ 534
Неисправности подсистемы передачи данных .................................................................. 535
Обнаружение неисправностей сетевой инфраструктуры ........................................ 535
Диагностика IP-протокола ......................................................................................... 535
Проверка параметров настройки IP-протокола .................................................. 536
Проверка достижимости ближайших компьютеров сети .................................. 538
Проверка функционирования серверов имен ..................................................... 540
Проверка доступности приложений на удаленном компьютере ....................... 540
Проверка качества канала связи ................................................................................ 541
Объективные показатели качества канала связи ...................................................... 542
Программа Observer .............................................................................................. 543
Утилита pathping ................................................................................................... 544
Неисправности аппаратной части компьютера ................................................................. 545
Контроль жестких дисков .......................................................................................... 546
Восстановление данных с жестких дисков ............................................................... 547
Проверка оперативной памяти .................................................................................. 548
Контроль теплового режима работы системы.......................................................... 550
Ошибки программного обеспечения .................................................................................. 551
Восстановление «упавших» систем ............................................................................................ 551
Восстановление из резервной копии .................................................................................. 551
Восстановление загрузчика системы ................................................................................. 552
Восстановление загрузки Windows 8 ........................................................................ 552
Восстановление загрузки Windows 10 ...................................................................... 557
Восстановление загрузки Linux-систем .................................................................... 560
Если опции восстановления недоступны... ............................................................... 561
Загрузка в специальных режимах ....................................................................................... 561
Загрузка Windows в безопасном режиме .................................................................. 561
Загрузка *NIX-систем в однопользовательском режиме ........................................ 561
16
Оглавление
Откат к предыдущим состояниям системы ....................................................................... 562
Загрузка последней удачной конфигурации Windows ............................................. 562
Загрузка конфигурации из точек восстановления Windows .................................... 562
Восстановление Windows путем переустановки ............................................................... 564
Восстановление удаленных данных ................................................................................... 565
Корзины ....................................................................................................................... 565
Восстановление из теневых копий ............................................................................ 566
История файлов........................................................................................................... 567
Оптимизация настроек компьютера ........................................................................................... 573
Что такое «медленно»? ........................................................................................................ 573
Основные «узкие места» системы ...................................................................................... 573
Оценка производительности процессора .................................................................. 575
Оценка использования оперативной памяти ............................................................ 577
Оценка дисковой подсистемы ................................................................................... 577
Показатели производительности дисков ............................................................. 577
Пути оптимизации дисковой подсистемы ........................................................... 580
Оценка работы сетевого адаптера и пути оптимизации системы передачи
данных ......................................................................................................................... 581
Некоторые советы по анализу показаний производительности ...................................... 582
Оптимизация приложений .................................................................................................. 583
Диагностика службы каталогов и обнаружение ее неисправностей ............................... 584
Средства тестирования AD ........................................................................................ 585
Проверка разрешения имен ....................................................................................... 586
Глава 12. Плановые задачи обслуживания ............................................................ 589
Ежедневные задачи ...................................................................................................................... 589
Еженедельные задачи .................................................................................................................. 590
Прочие плановые операции ........................................................................................................ 591
Предметный указатель .............................................................................................. 593
Предисловие
Эта книга пригодится всем, кто занимается созданием и эксплуатацией информа-
ционных систем. Главное внимание в ней уделено оценке различных технологий,
на которых эти системы основаны: в большей степени с учетом практического
опыта авторов и в меньшей — с точки зрения менеджера по продажам.
Многолетняя практика администрирования, развития компьютерных систем и ока-
зания технической поддержки пользователям и специалистам показывает, что про-
блемы и вопросы у них возникают, как правило, однотипные. Именно поэтому
в книге простыми и доходчивыми словами объяснены основы, на которых построе-
на современная информационная система, и понимая которые можно успешно кон-
тролировать ситуацию.
Цель книги заключается в том, чтобы пользователь выработал собственную пози-
цию, а не шел на поводу у рекламных материалов и заказных статей.
В большинстве книг подобной тематики материал излагается по принципу: зада-
ча — решение. Возможно, в них приводится несколько вариантов решения, но
в любом случае предлагается точная последовательность действий. Наша книга
организована несколько в ином ключе. Последовательность действий описана
в технической документации и ознакомиться с ней — не проблема. Здесь же пред-
ставлено наше видение решения той или иной задачи. Мы указываем различные
направления ее решения, не предлагая конкретной последовательности действий, а
также описываем основные технологии, чтобы вы, как системный администратор,
получили общее представление об их использовании. При этом предполагается, что
наш читатель знаком с основами компьютерных технологий.
Если вас больше интересуют практические советы, то их можно найти в книге
А. Кенина «Практическое руководство системного администратора, 2-е изд.» изда-
тельства «БХВ-Петербург»
1
. Обе книги хорошо дополняют друг друга.
В случае возникновения вопросов обращайтесь на форум сайта
http://dkws.org.ua
,
где вам будет оказана посильная помощь.
1
См.
http://www.bhv.ru/books/book.php?id=190774
.
18
Предисловие
Что нового вы найдете в пятом издании?
Во-первых, переработан и обновлен весь материал книги — в ходу давно Windows
Server 2016, а предыдущее издание опиралось на версию 2012 и иногда даже упо-
миналась версия 2008. Кроме того, многих описанных в нем утилит и программ
уже просто не существует. Так что весь неактуальный и устаревший материал из
книги удален.
Во-вторых, особое внимание уделяется виртуализации и облачным технологиям.
Мы поговорим о выборе монитора виртуальных машин — гипервизора, будет пока-
зано, как установить на физический компьютер систему Virtuozzo — решение для
виртуализации на уровне операционной системы, как развернуть виртуальный сер-
вер терминалов на базе Windows Server и как установить панель управления
VestaCP на виртуальный Linux-сервер.
В-третьих, в книге появилось еще больше практических примеров. Теория — это,
несомненно, хорошо, но без практики толку от нее мало. В первых изданиях книги
теории было очень много, но, начиная с четвертого издания, в книгу добавляется
все больше и больше практических примеров.
А теперь самое время перейти от слов к делу.
Г Л А В А
1
Системное администрирование
Так кто же такой системный администратор? Ответить на этот вопрос мы сейчас
и постараемся. Коротко говоря, системный администратор — это специалист, объ-
единивший в сеть все компьютеры предприятия и поддерживающий работоспособ-
ность созданной системы. Однако часто на системного администратора возлагают-
ся и некоторые дополнительные обязанности. И тут уже не знаешь, как все это
понимать: или перед нами не системный администратор, или все же он, но с «рас-
ширенными» функциями.
Обязанности системного администратора
К огромному сожалению, в нашей стране отсутствует понимание задач и обязанно-
стей системного администратора. В большинстве случаев под системным админи-
стратором имеют в виду универсального IT-специалиста, выполняющего (часто
в одиночку) обязанности по обслуживанию компьютерного парка предприятия.
Сеть создать и настроить, установить/переустановить программу или операцион-
ную систему, отремонтировать/модернизировать компьютер, заправить картридж
принтера, участвовать в закупке нового оборудования и т. п. Считается, что сис-
темный администратор должен заниматься всем этим. Хотя здесь, как минимум,
нам видится должность «специалист по обслуживанию компьютерного парка», но
никак не системный администратор.
В более «продвинутых» случаях (в крупных компаниях, например) системным ад-
министратором считается специалист по сопровождению рабочих мест пользовате-
лей. Он же, кроме того, отвечает за функционирование тех или иных отдельных
информационных систем предприятия (сервер Active Directory, сетевые хранилища
и принтеры, сервер баз данных, сетевое оборудование). Однако выделенного тех-
нического специалиста, отвечающего за работу информационной системы пред-
приятия в целом, как правило, нет и здесь. Обычно эти обязанности возлагают на
руководителя IT-отдела (IT-директора), что в корне неправильно. Руководство под-
Do'stlaringiz bilan baham: |