НИЖЕГОРОДСКИЙ ГОСУДАРСТВЕННЫЙ ТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ Программное обеспечение вычислительных сетей. Отчет по лабораторной работе №1 Одноранговые ЛВС Выполнил: студент группы 08-В-2 Дубинин Сергей Принял: доц. Кочешков А. А. Нижний Новгород 2011 г. Цель работы: изучить свойства, методы организации и особенности использования одноранговых компьютерных сетей. Научиться выполнять установку, конфигурирование и управление ЛВС на базе ОС Microsoft Windows XP. Ход работы: 1.Выполнить настройку компонентов сетевых средств Windows. Определить состав и свойства установленных компонентов: - клиент для сетей Microsoft, - клиент для сетей NetWare, - сетевой адаптер, - протокол IPX/SPX, - протокол TCP/IP, - служба доступа к файлам и принтерам сетей Microsoft. Назначить имя рабочей группы, имя компьютера. Сконфигурировать стек протоколов TCP/IP. Проверить работоспособность сети по различным протоколам, меняя привязки сетевого адаптера к протоколам и протоколов к клиентам и службам. Настройка компонентов сетевых средств Windows. Windows использует компоненты сетевых средств следующих типов: 1. Драйверы сетевых адаптеров; 2. Протоколы; 3. Службы; 4. Клиенты. Протокол - определенный набор формализованных правил, определяющих последовательность и формат сообщений, которыми обмениваются сетевые компоненты, лежащие на одном уровне. Программный модуль, реализующий некоторый протокол, часто для краткости также называют «протоколом» (например, один из компонентов сетевых средств Windows). Сетевые службы предназначены для предоставления другим узлам сети доступа к разделяемым ресурсам на узле или для других функций. Сетевые клиенты позволяют текущему узлу использовать ресурсы других узлов сети (например, общие каталоги, принтеры и т.п.). Для настройки сетевых компонентов Windows XP используется апплет панели управления «Сетевые подключения». При его запуске на экране появляется окно, содержащее список существующих сетевых подключений, в том числе подключений ЛВС и подключений удаленного доступа. В контекстном меню каждого из них есть пункт, связанный с настройкой (Свойства). Выведем на экран панель свойств для подключения по локальной сети. При этом появляется окно следующего вида: 2 Здесь отображается используемый сетевой адаптер и другие компоненты сети (протоколы, клиенты, службы). По умолчанию в Windows XP установлены: 1. Клиент для сетей Microsoft (в свойствах доступно изменение поставщика службы имен и сетевой адрес для службы удаленного вызова процедур – RPC. Это будет либо локатор Windows, либо Служба каталогов ячеек DCE, при выборе которой появляется возможность задать сетевой адрес); 2. Планировщик пакетов QoS 3. Служба доступа к файлам и принтерам сетей Microsoft (Свойства для изменения недоступны); 4. Протокол Интернета (TCP/IP) Windows позволяет установить дополнительные компоненты, например: 1. Клиент для сетей NetWare (При активации этого клиента и последующей перезагрузки ОС, после входа в систему необходимо выбрать Основной сервер или Дерево и контекст по умолчанию, но если этого не производить, то через несколько секунд уже можно будет наслаждаться видом рабочего стола. Для нормальной работы этого клиента необходим установленный протокол IPX/SPX, следовательно устанавливать надо сначала его, а удалять – наоборот. Свойства для этого клиента недоступны.); 2. Протокол объявлений служб SAP 3. Microsoft TCP/IP версии 6 – новая версия стека TCP/IP, решающая многие проблемы, например проблему нехватки IP-адресов, резервирования пропускной способности и др. 4. NWLink IPX/SPX/NetBIOS совместимый транспортный протокол – стек протоколов, использующийся в основном в сетях Novell. 5. Драйвер сетевого монитора Также можно установить компоненты третьих фирм, которых нет в дистрибутиве Windows. 3 В этом окне можно также настроить установленные компоненты и удалить ненужные. Последняя операция потребует перезагрузки, а удаленный компонент вновь окажется в списке доступных к установке. Задача: установить что-нибудь из списка предложенных компонентов и найти разницу в работе. Решение: Для экспериментов был выбран компонент «NWLink IPX/SPX/NetBIOS совместимый транспортный протокол» для поддержки стека IPX/SPX. Нажатием кнопки «Установить» и выборе нужного типа компонента (протокола) получаем: После недолгой установки в списке компонентов появляется «NWLink NetBIOS» и «NWLink IPX/SPX/NetBIOS совместимый транспорт». Настройке поддается только последний из них (здесь можно настроить номер внутренней сети IPX и тип используемых пакетов Ethernet: Ethernet 802.2, Ethernet 802.3, Ethernet II, Ethernet SNAP и Автовыбор). Итог: каких-либо отличий в работе сети замечено не было, но в адаптерах и привязках первым стал уже протокол IPX, вместо TCP/IP, что означает, что все пакеты анализируются сначала на соответствие именно первому протоколу, что теоретически должно замедлять скорость обработки TCP/IP пакетов/ Особого внимания заслуживает настройка стека TCP/IP. Здесь доступны следующие параметры: 1. IP-адрес (можно использовать заданный явно или выделенный автоматически сервером DHCP); 2. Маска подсети; 3. Адрес шлюза; 4. Адрес сервера имен DNS; 4 Если в сети отсутствует DHCP-сервер, адреса могут выделяться статически. Для настройки указан в качестве адреса сети адрес: 192.168.1.0 Адреса узлов будут располагаться в младшем байте IP-адреса и, естественно, будут различаться. Для первого узла будет назначен номер 15, для второго – 14 и т.д. Главное, чтобы адреса были уникальны. При нажатии кнопки «Дополнительно» вызываетcя окно расширенной настройки. 5 В этом окне доступны многие параметры, в том числе те же, что и в предыдущем. Например, можно назначить узлу несколько IP-адресов. Это будет полезно в том случае, когда используется несколько сетей IP, а для данного узла требуются различные IP-адреса для связи с каждой логической сетью IP. На соответствующих вкладках располагаются настройки DNS и WINS. В моем случае в сети нет ни тех, ни других серверов, поэтому настройки не будут изменены. На вкладке «Параметры» располагаются дополнительные настройки. В Windows XP доступна только настройка фильтрация трафика TCP/IP. Фильтрация позволяет выбирать порты, через которые трафик будет пропускаться. Эти настройки действуют для всех адаптеров. Невозможно, однако, с помощью этой фильтрации заблокировать трафик ICMP. 6 Сетевой адаптер устанавливается обычным для Windows способом с использованием PnP. Обычно он может быть обнаружен системой автоматически. Как и для многих других устройств, для сетевого адаптера можно настроить используемые аппаратные ресурсы (линию IRQ и диапазоны памяти). Кроме того, каждый сетевой адаптер предоставляет несколько специфических, зависящих от производителя и аппаратуры параметров, которые также присутствуют в окне свойств устройства. Последнее можно вызвать из «Диспетчера устройств» или из окна свойств сетевого подключения. При нажатии в окне свойств подключения кнопки «Настроить», показывается окно свойств устройства: Зависящие от сетевого адаптера параметры располагаются на вкладке «Дополнительно». Например, здесь можно задать используемый режим дуплекса, выбрать используемую скорость передачи (10/100 Mbit, полудуплекс/полный дуплекс). Windows может использовать несколько различных стеков протоколов с одним сетевым подключением, т.к. есть возможность отличить пакеты IP от, например, IPX. При этом полученный пакет по очереди проверяется на принадлежность тому или иному протоколу в том порядке, который определен в привязке сетевого адаптера к протоколам. Правильный порядок позволяет увеличить производительность (например, если пакеты IP встречаются намного чаще IPX, есть смысл сначала проверить, не является ли пришедший пакет IP-пакетом). Привязка протоколов настраивается с помощью пункта меню папки Сетевых подключений «Дополнительно→ Дополнительные параметры→Адаптеры и привязки». При активации этого пункта на экране появляется окно: 7 Видно, что первым в привязке стоит протокол NWLink IPX/SPX/NETBIOS. C помощью соответствующих кнопок запись, соответствующую TCP/IP следует поднять вверх. Таким же образом изменяется и привязка у клиента для сетей Microsoft. После этого пакеты IP будут обрабатываться сразу же, без дополнительных задержек. На вкладке «Порядок служб доступа» аналогичным образом настраивается порядок служб. В одноранговой сети Windows каждый компьютер должен обладать уникальным именем (имя NetBIOS) и принадлежать к некоторой рабочей группе или домену. Если имя не уникально, то с обращением к узлу могут возникнуть проблемы. Например, при загрузке Windows проверяет имя своего узла (и IP) на уникальность. Если проверка выявляет наличие такого имени (и IP) в сети, на экран выдается сообщение об ошибке (еще до входа пользователя в систему). Для удобной идентификации машинам в сети назначаются следующие имена: 8 1. userpc (адрес 192.168.1.14) – Windows XP 2. COB-PC (адрес 192.168.1.16) - Windows 7 3. userpc-virtual (адрес 192.168.1.15) –Windows XP Имя рабочей группы – MSHOME. После смены имени Windows выводит на экран сообщение «Добро пожаловать в рабочую группу MSHOME», а затем запрос о перезагрузке, которая требуется для завершения смены имени. После перезагрузки нужно проверить работоспособность сети. Используем программу ping. Эта программа отправляет через заданные интервалы времени пакеты ICMP-пакеты типа ECHO_REQUEST заданным узлам сети. Если они откликаются (также ICMP-пакетом), программа выводит время передачи пакета и время его жизни. Также выводится доля потерянных пакетов. Задача: проверить работоспособность сети командой ping Решение: C:\Documents and Settings\Администратор>ping userpc-virtual Обмен пакетами с userpc-virtual [192.168.1.15] по 32 байт: Ответ от 192.168.1.76: число байт=32 время<1мс TTL=128 Ответ от 192.168.1.76: число байт=32 время<1мс TTL=128 Ответ от 192.168.1.76: число байт=32 время<1мс TTL=128 Ответ от 192.168.1.76: число байт=32 время<1мс TTL=128 Статистика Ping для 192.168.1.15: Пакетов: отправлено = 4, получено = 4, потеряно = 0 (0% потерь), Приблизительное время приема-передачи в мс: Минимальное = 0мсек, Максимальное = 0 мсек, Среднее = 0 мсек 9 Теперь выключу поддержку TCP/IP в свойствах сетевого подключения; TCP/IP в привязке сетевого адаптера к протоколам отключится автоматически. Оставлю, однако, включенным IPX/SPX. Теперь ping уже не поможет, т.к. ICMP не входит в стек IPX/SPX и не может корректно обрабатываться. В результате при вызове ping получаем: C:\Documents and Settings\->ping userpc При проверке связи не удалось обнаружить узел userpc. Проверьте имя узла и повтори те попытку. Для диагностики IPX и управления маршрутизацией IPX-пакетов используется команда ipxroute. Например, ipxroute config выведет на экран используемые номера сетей IPX и физические адреса адаптеров: C:\Documents and Settings\->ipxroute config Программа управления маршрутизацией NWLink IPX v2.00 Ном Имя Сеть Узел Кадр ================================================================ 1. IpxLoopbackAdapter 1234cdef 000000000002 [802.2] 2. 00000000 0800274df9c3 [802.2] 3. NDISWANIPX 00000000 76c120524153 [EthII] Легенда ======= - отключенная линия глобальной сети 2.Изучение свойств сетевых ресурсов в Windows XP. Пользуясь административной учетной записью, описать разделяемые файловые ресурсы с различным доступом. Изучить и опробовать разные способы подключения сетевых ресурсов других компьютеров. Описать получение информации о сетевом окружении. Опробовать применение административных сетевых ресурсов для удаленного доступа. Свойства сетевых ресурсов в Windows XP Windows позволяет предоставить один или несколько каталогов в совместное использование узлам сети, т.е. сделать их общими (shared). Так же можно поступить и с принтерами. Создать общий ресурс можно с помощью команды net share. Например, создадим два каталога shared1 и shared2 и сделаем первый из них общим: C:\>mkdir shared1 C:\>mkdir shared2 C:\Documents and Settings\Администратор>net share /? C:\>net share Общее имя Ресурс Заметки ------------------------------------------------------------------------------ADMIN$ C:\WINDOWS Удаленный Admin C$ C:\ Стандартный общий ресурс IPC$ Удаленный IPC Команда выполнена успешно. C:\>net share shared1=c:\shared1 shared1 успешно назначен общим. C:\>net share Общее имя Ресурс Заметки ------------------------------------------------------------------------------C$ C:\ Стандартный общий ресурс ADMIN$ C:\WINDOWS Удаленный Admin IPC$ Удаленный IPC shared1 c:\shared1 Команда выполнена успешно. Команда net при создании общих ресурсов дает к ним права полного доступа. При вызове без параметров net share выдает список уже существующих на данном компьютере общих ресурсов. Например, ресурсы, имена которых заканчиваются символом доллара, создаются системой автоматически и предназначены для администрирования (использовать их может только администратор, кроме того, они не отображаются при просмотре ресурсов данного узла – во всяком случае, в Windows, хотя это можно исправить, отредактировав соответствующим образом реестр). 10 Другой, часто более удобный путь создания ресурсов состоит в использовании графического интерфейса. Для этого сначала в Windowx XP отключаем в апплете панели управления «Свойства папки» опцию «Использовать простой общий доступ к файлам», чтобы использовать подробный вариант настройки безопасности и общих ресурсов. Затем открываю страницу свойств каталога, который мне нужно сделать общим (например, только что созданный shared2) и делаю его общим. 11 В этом случае общий ресурс становится доступен из сети только по чтению. Запись запрещена. Чтобы разрешить ее, нужно нажать на «Разрешить изменение файлов по сети. Итак, на узле с именем userpc-virtual появилось два общих ресурса: shared1 с полным доступом и shared2 с доступом только для чтения. Скопирую в каждый из них по текстовому файлу. C:\>echo This is a very small file > shared1\1.txt C:\>echo This is a very small file > shared2\2.txt Затем на другом узле сети пытаемся подключить оба этих ресурса: C:\Documents and Settings\Администратор>net use /? C:\Documents and Settings\Администратор>net use v: \\userpc-virtual\shared1 Команда выполнена успешно. C:\Documents and Settings\Администратор>dir v: Том в устройстве V не имеет метки. Серийный номер тома: B410-123C Содержимое папки V:\ Файл не найден C:\Documents and Settings\Администратор>net use q: \\userpc-virtual\shared2 Команда выполнена успешно.. C:\Documents and Settings\Администратор>type v:1.txt Отказано в доступе. C:\Documents and Settings\Администратор>type q:2.txt Отказано в доступе. Как видно из результата выполнения команд, прочитать файлы не удалось, видимо, что-то с правами у меня было выставлено неправильно. Попытавшись посмотреть разрешения для обеих папок, я был разочарован тем, что никакого окошка с правами на экран не выпрыгнуло, из чего можно предположить, что моя виртуальная машина далека от ее исходного состояния и нуждается в срочном ремонте, который закочится, скорее всего, банальной переустановкой гостевой ОС. C:\Documents and Settings\Администратор>net use Новые подключения будут запомнены. Состояние Локальный Удаленный Сеть ------------------------------------------------------------------------------OK Q: \\userpc-virtual\shared2 Microsoft Windows Network OK V: \\userpc-virtual\shared1 Microsoft Windows Network Нет доступа Y: \\COB-PC\E Microsoft Windows Network Нет доступа Z: \\COB-PC\D Microsoft Windows Network 12 Команда выполнена успешно. Удалю после себя ненужные сетевые диски: C:\Documents and Settings\Администратор>net use q: /delete q: успешно удален. C:\Documents and Settings\Администратор>net use v: /delete v: успешно удален. Сначала оба ресурса были подключены как сетевые диски V: и Q:. Как можно увидеть, прочитать созданные текстовые файлы не удалось в обоих случаях. По умолчанию в Windows XP присутствуют скрытые общие административные сетевые ресурсы C$ и ADMIN$, которые являются скрытыми из-за наличия значка $ в имени сетевого ресурса, что позволяет скрыть любой сетевой ресурс из списка общих папок. Задача: использовать административные ресурсы C$ и ADMIN$ Решение: Для начала стоит проверить наличие и подключенность таких ресурсов используя Администрирование – Управление компьютером – Служебные программы – Общие папки – Общие ресурсы. Проверено: такие ресурсы существуют. Тогда начну использовать консоль: C:\Documents and Settings\Администратор>net use q: \\userpc -virtual\c$ Недействительный пароль для \\userpc-virtual\c$. Введите имя пользователя для 'userpc-virtual': Введите пароль для userpc-virtual: Системная ошибка 5. Отказано в доступе. C:\Documents and Settings\Администратор>net use v: \\userpc -virtual\admin$ Недействительный пароль для \\userpc -virtual\admin$. Введите имя пользователя для ' userpc -virtual': Введите пароль для userpc -virtual: Системная ошибка 5. Отказано в доступе. Такой ответ возникает, очевидно из-за того, что у учетной записи администратора указан пустой пароль. Проверю это предположение, задав пароль для учетной записи администратора. C:\Documents and Settings\Администратор>net use v: \\ userpc-virtual\admin$ Недействительный пароль для \\ userpc -virtual\admin$. Введите имя пользователя для ' userpc -virtual': Введите пароль для userpc -virtual: Команда выполнена успешно. C:\Documents and Settings\Администратор>net use Новые подключения будут запомнены. Состояние Локальный Удаленный Сеть ------------------------------------------------------------------------------OK V: \\userpc -virtual\admin$ Microsoft Windows Network Команда выполнена успешно. ADMIN$ - это папка Windows удаленной машины, соответственно, мне теперь доступно все ее содержимое. Проверю это: C:\Documents and Settings\Администратор>type v:KB911164.log [KB911164.log] 1.282: ============================================= Чтение удалось C:\Documents and Settings\Администратор>del v:KB911164.log Файл удален успешно Итог: даны права полного доступа к системным файлам и папкам удаленного компьютера. Удалю после себя ненужный сетевой диск: C:\Documents and Settings\Администратор>net use v: /delete v: успешно удален. 3. Изучить свойства учетных записей пользователей в Windows XP. Создать в системе непривилегированного пользователя с именем userN и паролем userN, где N - номер рабочего места. 13 Рассмотреть назначение и свойства профиля пользователя, задачу управления каталогами профиля, задачу защиты и восстановления данных пользователя. Свойства учетных записей пользователей в Windows XP Каждый пользователь в системе имеет свою учетную запись и профиль. Профиль пользователя определяет параметры конфигурации рабочей среды. Профили могут быть трех типов: 1. Локальный профиль – создается при первом входе пользователя в систему и хранится на его локальном жестком диске. 2. Перемещаемый профиль – хранится на сервере, создается системным администратором. Он доступен пользователю при входе на любой компьютер сети. Все изменения, вносимые в перемещаемый профиль, также сохраняются на сервере. 3. Обязательный профиль – перемещаемый профиль, в котором можно задавать конкретные параметры для отдельных пользователей или целой группы пользователей. Такой профиль может иметь только системный администратор. Пользователи обычно для удобства администрирования включаются в группы. В Windows есть несколько предопределенных групп («Администраторы», «Опытные пользователи», «Пользователи», «Гости», «Операторы архива», «Операторы настройки сети», «Пользователи удаленного рабочего стола», «Прошедшие проверку», «Все»). Пользователь в любом случае входит в какую-либо группу (хотя бы в группу «Все»). Система тоже имеет свою учетную запись, также учетные записи созданы для локальных и сетевых служб. Домашним путем пользователя на локальном узле является по умолчанию %systemdrive%\Documents and Settings\%username%. Также каждый профиль включает в себя одну из ветвей реестра в HKU, которая хранится в файле ntuser.dat в домашнем каталоге. Профиль (перемещаемый) также может храниться на сервере Windows в каталоге \\logonserver\homedir. При попытке использования общего ресурса одного узла другим узлом запрашивается имя учетной записи (от имени которой будет использоваться ресурс) и соответствующий пароль. Учетная запись должна существовать на узле, который в данном случае играет роль сервера (т.е. предоставляет ресурс). Однако узел-клиент сначала пытается использовать для входа учетную запись активного пользователя. Если она совпадает с какой-либо учетной записью на целевом узле, вход производится автоматически, без запроса пароля. Всякий раз, когда пользователь входит в систему, проходит проверка на наличие локального профиля для этого пользователя под ключом: HKLM\Software\Microsoft\WindowsNT\Current Version\ProfileList. Для моздания на узле userpc-virtual учетных записей двух пользователей user1 и user2. будет использоваться команда net (в принципе, можно использовать и соответствующую оснастку консоли «Управление компьютером» или «Панель управления», но последний вариант менее предпочтителен, т.к. не предоставляет нужных настроек, как то: изменение группы пользователя, отличной от «Пользователь» и «Администратор», указание пути к локальному профилю и домашней папке, что в полной мере может предоставить оснастка «Управление компьютером»). Первый пользователь будет состоять в группе опытных пользователей. C:\>net user Учетные записи пользователей для \\USERPC-VIRTUAL -----------------------------------------------------------------------ASPNET HelpAssistant SUPPORT_388945a0 user1 user2 Гость Команда выполнена успешно. C:\>net user Учетные записи пользователей для \\USERPC-VIRTUAL ------------------------------------------------------------------------ASPNET HelpAssistant SUPPORT_388945a0 user1 user2 Гость Команда выполнена успешно. C:\>net user user1 Имя пользователя user1 14 Полное имя Комментарий Комментарий пользователя Код страны Учетная запись активна Учетная запись просрочена Последний пароль задан Действие пароля завершается Пароль допускает изменение Требуется пароль Пользователь может изменить пароль Разрешенные рабочие станции Сценарий входа Конфигурация пользователя Основной каталог Последний вход Разрешенные часы входа Членство в локальных группах Членство в глобальных группах Команда выполнена успешно. this user should be power user... 000 (Стандартный системный) Yes Никогда 9/30/2011 10:16 PM Никогда 9/30/2011 10:16 PM Yes Yes Все Никогда Все *Опытные пользователи *Пользователи *Отсутствует Затем для проверки управления доступом разрешу к ранее созданному ресурсу shared полный доступ любому пользователю группы «Опытные пользователи» и доступ только для чтения остальным. Теперь на узле userpc выполню следующие команды: C:\Documents and Settings\Администратор>net use v: \\userpc-virtual\shared1 * /use r:user1 Введите пароль для \\userpc-virtual\shared1: Команда выполнена успешно. C:\Documents and Settings\Администратор>echo Also test file > v:\test2.txt C:\Documents and Settings\Администратор>dir v: Том в устройстве V не имеет метки. Серийный номер тома: B410-123C Содержимое папки V:\ 30.09.2011 22:24 <DIR> . 30.09.2011 22:24 <DIR> .. 30.09.2011 20:58 28 1.txt 30.09.2011 22:24 17 test2.txt 2 файлов 45 байт 2 папок 1 072 590 848 байт свободно C:\Documents and Settings\Администратор>net use v: /delete v: успешно удален. C:\Documents and Settings\Администратор>net use v: \\userpc -virtual\shared1 * /use r:user2 Введите пароль для \\userpc-virtual\shared1: Команда выполнена успешно. C:\Documents and Settings\Администратор>echo This is test file too > v:\test3.tx T Очень странный результат. Доступ должен быть запрещен, но у меня нет возможности проверить разрешения на эту папку по причине прихоти системы. C:\Documents and Settings\Администратор>net use v: /delete v: успешно удален. Пользователю user1 был предоставлен доступ на запись, и пользователю user2 – тоже, что очень странно. Удалить учетные записи можно с помощью панели управления или той же команды net: C:\>net Команда C:\>net Команда user user1 /delete выполнена успешно. user user2 /delete выполнена успешно. Управление доступом может строиться по-разному: на уровне пользователей и на уровне ресурсов. В первом случае (который в основном используется в Windows семейства NT) пользователь входит в систему от имени нужной учетной записи и получает доступ к некоторым или всем ресурсам в соответствии со своими привилегиями. При этом пароль ему 15 достаточно ввести один раз – пароль учетной записи. Во втором случае на каждый ресурс устанавливается свой пароль, который нужно ввести для получения доступа к ресурсам (как Windows 9x). 4. Рассмотреть и сравнить методы управления пользователями и ресурсами в одноранговой сети: - полностью децентрализованное управление, - управление от имени одного административного лица, - распределение полномочий. Реализовать доступ различных пользователей userN к сетевым ресурсам с различыми правами. Сравнить с методом доступа от имени общей учетной записи. Сравнить метод сквозной и явной аутентификации пользователя при подключении по сети. Составить и привести в отчете варианты схем сети с указанием конкретных узлов, сетевых ресурсов и учетных записей. Методы управления пользователями и ресурсами 1) Полностью децентрализованное управление: Все компьютеры равноправны (каждый узел может выполнять и клиентские и серверные функции). Нет выделенного компьютера для администрирования – каждый узел содержит часть общественной информации. Примеры: ED2K (eDonkey2000), BitTorrent, Direct Connect, анонимизирующая сеть TOR. 2) Управление от имени одного административного лица – администратор сети имеет полные права, а все остальные пользователи – равные ограниченные 3) Распределение полномочий – у каждого пользователя есть свои собственные права для работы в сети. Рангов может быть более двух. Существуют 2 метода аутентификации пользователей по сети. При явной аутентификации при доступе к чужому ресурсу пользователю требуется ввести явно пароль и имя пользователя. Это может быть не очень удобно, однако повышает защищенность вычислительной системы. Более комфортна для пользователя сквозная аутентификация, при которой пароль и имя вводить не требуется, система сама подставляет нужные параметры, в таком случае на удаленном компьютере должна быть учетная запись с такими же паролем и именем, как у локального пользователя. Доступ к ресурсам различных учетных записей 1) Панели управления - Свойства брандмауэра, и отмечаю чекбокс "Общий доступ к файлам и принтерам". Этим разрешается доступ к портам TCP 139 и 445, а также UDP 137138. Вообще, при открытии сетевого доступа к разделяемым ресурсам, брандмауэр настраивается автоматически. Я проделал эту операцию, дабы совершенно точно знать, что возможные проблемы не связаны с политиками брандмауэра. 16 2) По умолчанию Windows ищет в сети общие папки и принтеры. Можно по-разному относиться к данной возможности, но если необходимо ее задействовать, то лучше воспользоваться компонентом "Одноранговая сеть", который включается через "Установку и удаление программ" - "Компоненты Windows" - "Сетевые службы". Брандмауэр будет настроен автоматически. 3) Необходимо убедиться в том, что задействована "Служба доступа к файлам и принтерам сетей Microsoft". Проверить это можно в свойствах сетевого соединения. По умолчанию данная служба включена, если не используется модемное подключение. 17 4) Теперь необходимо определиться с методом доступа к компьютеру из сети. В Windows XP предусмотрены две модели доступа: "Гостевая" и "Обычная". Гостевой доступ упрощает управление разделяемыми ресурсами, но существенно ограничивает возможности, такие как удаленное администрирование, аудит и разделение ресурса между пользователями по правам доступа т.п. При выборе этой модели, все пользователи, которые пытаются подключиться к компьютеру из сети, автоматически признаются гостями операционной системы. Если никакие из вышеперечисленных функций не используются, то можно ограничиться гостевым доступом. Гостевая модель доступа Чтобы воспользоваться данной моделью доступа, а она активирована в Windows по умолчанию, достаточно просто включить учетную запись "Гость" в оснастке управления компьютером, либо через панель управления и разрешить ему доступ из сети в политике безопасности. 1) Учетная запись «Гость» включается следующим: образом: правый клик по системному значку "Мой компьютер", который, в зависимости от выбранного интерфейса ОС, «классического», либо Windows XP, находится или на «рабочем столе» или в меню "Пуск". В появившемся меню выбираю "Управление". В открывшейся оснастке перехожу к категории «Локальные пользователи и группы», затем выбираю «Пользователей», дважды щелкаю по учетной записи “Гость” и снимаю флажок в чекбоксе "Отключить учетную запись". Затем нажимаю "Применить" и "ОК". Красный крестик у «Гостя» должен исчезнуть. Также в оснастку «Управление компьютером» можно попасть через «Панель управления», выбрав в ней пункт «Администрирование». 18 2) Теперь надо запустить оснастку редактора групповых политик – Win+R ввожу GPEDIT.MSC . В открывшейся оснастке нахожу ветвь "Назначение прав пользователя", затем - пункт "Отказ в доступе к компьютеру по сети", дважды щелкаю по нему, подсвечиваю «Гостя», нажимаем "Удалить", "Применить", "ОК". Гостевой доступ включен, но есть тонкости: 1. Некоторые изменение в политике безопасности применяются через полтора часа (90 мин.) по умолчанию. Принудительно применить параметры можно двумя способами: осуществив перезагрузку ОС, либо используя принудительное обновление групповой политики. Сделать это можно следующим образом: Win+R ввести “gpupdate /force” (без кавычек) 2.Если модель доступа менялась ранее, то нужно вернуть ее назад к гостевой модели. 19 Обычная модель доступа Теперь рассмотрю более правильный с моей точки зрения вариант с “Обычной” моделью доступа, которую еще называют «Классической» (эта модель как раз реализована в аудитории 5426). Сначала требуется отключить простой общий доступ. Это можно сделать двумя способами. Первый и самый простой: открыть диалог «Свойства папки» можно раскрыв любую папку, хотя бы «Мой компьютер» и в меню «Сервис» выбрать «Свойства папки». Достаточно снять галочку на вкладке «Вид» у параметра «Использовать простой общий доступ к файлам (рекомендуется)» и простой общий доступ будет выключен. Второй способ сложнее - через политики безопасности. Win+R ввожу GPEDIT.MSC, попадаю в окно оснастки редактора групповых политик. Далее, следуя по дереву консоли (Конфигурация компьютера – Конфигурация Windows – Параметры безопасности – Локальные политики – Параметры безопасности), нахожу пункт «Сетевой доступ: модель совместного доступа и безопасности для локальных учетных записей». 20 Итак, модель сетевого доступа выбрана «Обычная». Это значит, что все пользователи, пытающиеся попасть на компьютер из сети, перестают автоматически быть гостями. При этом Windows начнет производить проверку их верительных данных на предмет совпадения с хранящимися на локальном компьютере учетными записями, а также проверку полномочий доступа, предоставленных этим пользователям. В этом случае имеется возможность создавать локальных пользователей и задавать им права доступа к папкам и подпапкам. Это пригодится, когда надо открыть доступ к определенной папке одному пользователю, но закрыть другому. При простом общем доступе сделать это невозможно, поскольку все клиенты используют одну учетную запись – «Гость». В политиках безопасности существует пункт, регламентирующий использование пустых паролей. По умолчанию использование пустых паролей допускается только для консольного входа. Если кто-то из пользователей, кроме «Гостя» должен попадать в систему с пустым паролем, то значение данного пункта надо перевести в положение «Отключен». Тем самым разрешается доступ к компьютеру по сети учетным записям, имеющим пустой пароль. Но следует иметь ввиду, что тем самым открывается доступ с пустыми паролями и к так называемым «административным» разделяемым ресурсам, что совсем не безопасно. 21 Есть в «Обычной» модели сетевого доступа и недостаток, но недостаток этот скорее в головах пользователей, которые оставляют пароль администраторов пустым или ставят «12345» или qwerty. Если пустой пароль «Администратора» это принципиально, то тогда надо его либо переименовать, либо отключить (в безопасном режиме «Администратор» включен всегда), либо запретить ему доступ по сети, добавив его к имеющим такой запрет. Авторизация при выбранной «Обычной» модели сетевого доступа происходит следующим образом. Вначале Windows проверяет связку логин - пароль (верительные данные) на предмет совпадения с локальными учетными записями. Если верительные данные совпали и учетная запись имеет соответствующие права, то доступ разрешается. Если совпал только логин, то доступ запрещается и выдается ошибка 5. Если же таких верительных данных нет в локальной базе, то пользователь считается "Гостем" и дальнейшие действия производятся в зависимости от состояния этой учетной записи (включена или отключена) и прав доступа, в т.ч. и доступа по сети. В этом случае, если «Гость» отключен или ему запрещен доступ по сети, а также в случае если происходит попытка авторизоваться с пустым паролем, но подобные действия запрещены политикой безопасности, то тогда Windows пошлет «ident» запрос и пользователь увидит окно с предложением ввести правильные имя пользователя и пароль. 5. Ознакомиться с ролью реестра в конфигурировании сети. С помощью редактора реестра REGEDIT найти ключи реестра, связанные с конфигурацией сетевых средств, описанием установленных пользователей, описанием текущего пользователя. 22 Роль реестра в конфигурировании сети Как и другие системные настройки, конфигурация сети и профилей пользователей хранится в реестре. Например, ключ реестра HKLM\CurrentControlSet\Control\Network содержит довольно много подключей, имена большей части которых представляют собой GUID таких объектов, как сетевые подключения, службы, клиенты и т.д. Эти ключи содержат самую различную информацию об этих объектах: Ключ HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkCards информацию о установленных сетевых адаптерах. содержит Ключ HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\WorkgroupCrawler содержит разделы и ключи с информацией об общих принтерах и ресурсах, которые отображаются в сетевом окружении. Информация о профилях пользователей находится под ключом HKLM\Software\Microsoft\WindowsNT\CurrentVersion\ProfileList. Настройки профилей хранятся в ключе HKU. Кроме того, в реестре наличествует много других настроек, часть из которых даже недоступна из интерфейса Windows. Изменить их можно, используя редактор реестра или специализированные программы, например XP Tweaker RE, Fresh UI, Tweak-XP Pro или WinTools Professional. 23 Например: Windows автоматически создает скрытые общие ресурсы, такие, как ADMIN$, C$, D$ и т.п. Они не «видны» в сетевом окружении, однако могут быть подключены с помощью команды net (только от учетной записи администратора). Эти общие ресурсы можно удалить, используя соответствующую оснастку консоли «Управление компьютером», однако при перезагрузке они создаются снова. Для окончательного удаления создадим в ключе HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters новое значение AutoShareWks (DWORD) со значением 0 (или изменяем его, если уже присутствует). 6. Изучить возможности команды Net для конфигурирования и управления сетью. Использовать команду NET для управления сетевыми соединениями. Возможности команды Net для конфигурирования и управления сетью Net представляет собой по сути целый набор команд для управления сетью. Первый параметр командной строки определяет контекст, в котором будет работать команда: Задача: посмотреть аптайм (время работы компьютера) в Windows. Решение с использованием команды net: С помощью команды “net” можно выполнять различные операции, и одной из них является получение системной статистики рабочей станции или сервера. Находясь в командной строке, выполняю следующую команду net statistics workstation или net stats srv В строке “Статистика после” указано время после загрузки системы, с которого началась собираться статистика: C:\Documents and Settings\Администратор>net statistics workstation Статистика рабочей станции для \\USERPC Статистика после 9/30/2011 11:01 PM Получено байт 9905176 Принятые блоки сообщений сервера SMB 1400 Передано байт 113807 Переданные блоки сообщений сервера SMB 1143 Операции чтения 24 Операции записи 3 Отказано в чтении 0 Отказано в записи 0 Ошибки сети 0 Выполненные подключения 35 Повторные подключения 0 Отключений от сервера 0 Запущенные сеансы 0 Зависание сеансов 0 Сбои в сеансах 0 Сбои в операциях 1 Счетчик использования 43 Счетчик сбоев при использовании 8 Команда выполнена успешно. C:\Documents and Settings\Администратор>net stats srv Статистика сервера для \\USERPC Статистика после 9/30/2011 11:01 AM Принятые сеансы 1 Сеансы с истекшим интервалом 1 Сеансы с ошибками 1 Послано КБ 7 Принято КБ 8 Среднее время отклика (мс) 0 Системные ошибки 0 Нарушение разрешений 0 Нарушение паролей 0 24 Доступ к файлам 9 Доступ к устройствам связи 0 Задания печати в очереди 0 Исчерпанные буферы времени Большие буферы 0 Затребованные буферы 0 Команда выполнена успешно. 7. В Windows XP ознакомиться с назначением и спецификой применения среды команды netsh. Использовать команду для получения статистики работы сетевой подсистемы. Назначение и специфика применения среды команды netsh Программа Netsh позволяет локально или удаленно изменять параметры сети текущего компьютера. Команды netsh вводятся в специальной оболочке, отличной от обычного интерпретатора команд Windows (cmd). Программа поддерживает сценарии и поэтому может быть использована для автоматизированной настройки сети (также есть возможность сохранять сценарии). netsh выполняет большое количество функций в зависимости от контекста использования. Контексты могут быть следующими (их количество может меняться в зависимости от установленных компонентов): C:\Documents and Settings\Администратор>netsh diag show all Почтовая служба Outlook Express (по умолчанию) (Не задан) Служба новостей Outlook Express (по умолчанию) (Не задан) Веб прокси Internet Explorer (Не задан) Замыкание на себя (127.0.0.1) Компьютерная система (USERPC) Операционная система (Microsoft Windows XP Professional) Версия (5.1.2600) Сетевые платы 1. [00000001] Atheros AR8131 PCI-E Gigabit Ethernet Controller 2. [00000013] VirtualBox Host-Only Ethernet Adapter Клиенты сети 1. Службы терминалов Microsoft 2. Microsoft Windows Network 3. Web Client Network Опрос узлов сети и проверка ее работоспособности: C:\Documents and Settings\Администратор>netsh diag show test Почтовая служба Outlook Express (по умолчанию) (Не задан) Служба новостей Outlook Express (по умолчанию) (Не задан) Веб прокси Internet Explorer (Не задан) Замыкание на себя (127.0.0.1) Loopback = 127.0.0.1 Проверка связи 127.0.0.1 с 32 байт данных: Ответ от 127.0.0.1: байт=32 время<1ms TTL=0 Ответ от 127.0.0.1: байт=32 время<1ms TTL=0 Ответ от 127.0.0.1: байт=32 время<1ms TTL=0 Ответ от 127.0.0.1: байт=32 время<1ms TTL=0 Статистика проверки связи 127.0.0.1: Пакеты: Отправлено = 4, Получено = 4, Потеряно = 0 (0% потеря) Приблизительное время приема-передачи (Round Trip) мс: Минимальное = 0мс, Максимальное = 0 мс, Среднее = 0 мс Сетевые платы 1. [00000001] Atheros AR8131 PCI-E Gigabit Ethernet Controller DefaultIPGateway = 192.168.1.1 Та же подсеть Проверка связи 192.168.1.1 с 32 байт данных: Ответ от 192.168.1.1: байт=32 время=1ms TTL=1 Ответ от 192.168.1.1: байт=32 время=1ms TTL=1 Ответ от 192.168.1.1: байт=32 время<1ms TTL=0 Ответ от 192.168.1.1: байт=32 время<1ms TTL=0 Статистика проверки связи 192.168.1.1: Пакеты: Отправлено = 4, Получено = 4, Потеряно = 0 (0% потеря) Приблизительное время приема-передачи (Round Trip) мс: Минимальное = 0мс, Максимальное = 1 мс, Среднее = 0 мс DNSServerSearchOrder = 193.58.251.1 Проверка связи 193.58.251.1 с 32 байт данных: Ответ от 193.58.251.1: байт=32 время=29ms TTL=29 Ответ от 193.58.251.1: байт=32 время=45ms TTL=45 Ответ от 193.58.251.1: байт=32 время=20ms TTL=20 Ответ от 193.58.251.1: байт=32 время=18ms TTL=18 25 Статистика проверки связи 193.58.251.1: Пакеты: Отправлено = 4, Получено = 4, Потеряно = 0 (0% потеря) Приблизительное время приема-передачи (Round Trip) мс: Минимальное = 18мс, Максимальное = 45 мс, Среднее = 28 мс 213.177.97.1 Проверка связи 213.177.97.1 с 32 байт данных: Ответ от 213.177.97.1: байт=32 время=69ms TTL=69 Ответ от 213.177.97.1: байт=32 время=14ms TTL=14 Запрос снят по таймауту. Ответ от 213.177.97.1: байт=32 время=27ms TTL=27 Статистика проверки связи 213.177.97.1: Пакеты: Отправлено = 4, Получено = 3, Потеряно = 1 (25% потеря) Приблизительное время приема-передачи (Round Trip) мс: Минимальное = 14мс, Максимальное = 69 мс, Среднее = 36 мс IPAddress = 192.168.1.15 Проверка связи 192.168.1.77 с 32 байт данных: Ответ от 192.168.1.77: байт=32 время<1ms TTL=0 Ответ от 192.168.1.77: байт=32 время<1ms TTL=0 Ответ от 192.168.1.77: байт=32 время<1ms TTL=0 Ответ от 192.168.1.77: байт=32 время<1ms TTL=0 Статистика проверки связи 192.168.1.77: Пакеты: Отправлено = 4, Получено = 4, Потеряно = 0 (0% потеря) Приблизительное время приема-передачи (Round Trip) мс: Минимальное = 0мс, Максимальное = 0 мс, Среднее = 0 мс 2. [00000013] VirtualBox Host-Only Ethernet Adapter IPAddress = 192.168.56.1 Проверка связи 192.168.56.1 с 32 байт данных: Ответ от 192.168.56.1: байт=32 время<1ms TTL=0 Ответ от 192.168.56.1: байт=32 время<1ms TTL=0 Ответ от 192.168.56.1: байт=32 время<1ms TTL=0 Ответ от 192.168.56.1: байт=32 время<1ms TTL=0 Статистика проверки связи 192.168.56.1: Пакеты: Отправлено = 4, Получено = 4, Потеряно = 0 (0% потер я) Приблизительное время приема-передачи (Round Trip) мс: Минимальное = 0мс, Максимальное = 0 мс, Среднее = 0 мс Вывод списка сетевых адаптеров и соответствующих им IP-адресов: C:\Documents and Settings\Администратор>netsh interface ip show config Настройка интерфейса "Подключение по локальной сети" DHCP разрешен: Нет IP-адрес: 192.168.1.14 Маска подсети: 255.255.255.0 Основной шлюз: 192.168.1.1 Метрика шлюза: 0 Метрика интерфейса: 0 Статически настроенные DNS-серверы: 193.58.251.1 213.177.97.1 Статически настроенные WINS-серверы: Отсутствует Зарегистрировать с суффиксом: Только основной Настройка интерфейса "VirtualBox Host-Only Network" DHCP разрешен: Нет IP-адрес: 192.168.56.1 Маска подсети: 255.255.255.0 Метрика интерфейса: 0 Статически настроенные DNS-серверы: Отсутствует Статически настроенные WINS-серверы: Отсутствует Зарегистрировать с суффиксом: Только основной Выводы: операционная система Windows XP является развитой сетевой ОС, позволяющей строить на ее базе как одноранговые сети, так и сети с доменной организацией. Модульная организация позволяет на лету добавлять дополнительные сетевые компоненты, использовать различные протоколы для доступа к сетевым ресурсам (как TCP/IP, так и IPX). При этом не возникает особенных сложностей в настройке сети, а поддержка средств командной строки (net, netsh и других) позволяет автоматизировать настройку путем создания сценариев. Развитая система безопасности позволяет разграничивать доступ пользователей и групп к сетевым ресурсам. Единственное, что удручает – скрытые настройки в реестре, которые часто бывают недоступны из графических меню. 26 27