Zabezpieczenia serwera. (wersja 3)

Po zainstalowaniu NT4 Serwera widoczne sa tylko 2 shares - "Printers" (drukarki) i "Netlogon" (miejsce gdzie przechowywany jest login skrypt). Shares te sa widoczne w "Network Neiborhood" po otworzeniu serwera.

Do zadan administratora nalezy dodanie dodatkowych shares w zaleznosci od wymagan firmy, ktora bedzie serwer wykorzystywala.

Serwer powinien byc miejscem do przechowywania instalacyjnych plikow dla roznych programow. Dobra nazwa takiego share moze byc "Programy". W tym share powinny byc utworzone nowe foldery, jeden na kazdy program np. "Microsoft Office 97", "Microsoft Office 2000", "Word Perfect", "WinZip 7", "Norton Commander", i tak dalej. Share powinien byc utworzony jako read-only dla wszystkich. Administrator moze zmieniac zawartosc tego share innymi sposobami (np. przez uzycie ukrytych shares, lub bezposrednio z serwera). Dostep do tego share moga miec wszyscy uzytkownicy. NTFS nie jest wymagany do tego share. Nie musi byc mapowany do logicznego dysku (litery).

Nastepnym share moze byc folder do przechowywania instalacyjnych plikow dla programow administracyjnych, drivers, dokumentacji networkowej. Moze byc nazwany "Admin" albo "ProgAdmin". Tu moga byc przechowyane pliki instalacyjne do WinNT, service packs do NT, drivery do roznych komputerow na networku, instrukcje instalacyjne, pliki instalacyjne do programow, ktore powinny byc instalowane przez administratora. Share powinnien byc rowniez zrobiony jako read-only, z dostepem tylko dla administratorow lub zaawansowanych uzytkownikow (np. programistow). Administrator moze zmieniac zawartosc tego share innymi sposobami (np. przez uzycie ukrytych shares, lub bezposrednio z serwera). NTFS nie jest wymagany do tego share. Nie musi byc mapowany do logicznego dysku (litery).

Nastepnym share moze byc "Wszystko", "Ogolny" lub z podobna nazwa. Wszyscy uzytkownicy maja pelny dostep do tego share (read/write). Kazdy moze otworzyc (i wykasowac) wszystko. Zeby ten share nie rozrosl sie zbyt bardzo, administrator moze poinformowac uzytkownikow, ze pliki starsze niz 3 miesiace beda kasowane (jesli to nie wystarczy mozna zmienic ten czas do 1 miesiaca). NTFS nie jest wymagany do tego share. Share ten powinien byc mapowany do logicznego dysku (litery) - uzywajac login skryptu.

Nastepnym share moze by "Osobiste", "Domowe" lub z podobna nazwa. Kazdy uzytkownik bedzie mial w tym share swoj folder (z nazwa taka sama jak uzytkownika ID). Dostep do kazdego foldera ma tylko jeden uzytkownik (nawet administrator nie moze tu nic otworzyc). Jest to miejsce na prywatne (ale oczywiscie zwiazane z praca) rzeczy kazdego uzytkownika. Uzytkownicy powinni byc zachecani (lub zmuszani) do przechowywania tu waznych rzeczy, poniewaz serwery sa zwykle bakapowane. W wypadku awarii twardego dysku na komputerze wazne dane moga byc zniszczone, jesli sa w tym share moga byc odtworzone z bakapu. Do tego share jest wymagane NTFS. Share ten powinien byc mapowany do logicznego dysku (litery) - uzywajac login skryptu. Foldery tego typu moga byc utworzone automatycznie przez Windows NT, do tego celu administrator powinien uzyc User Manager/Profile/Home Directory.

Nastepnym share moze byc "Oddzialy", "Departamenty" lub z podobna nazwa. W tym share moga byc foldery - po jednym dla kazdego departamentu (oddzialu). Do poszczegolnych folderow dostep read/write beda mialy tylko osoby, ktore naleza do danego departamentu. Osoby z innych departamentow nie powinny miec mozliwosci otworzenia tych folderow. Efekt taki uzyskamy przez utworzenie grup departamentowych i nastepnie nadaniu tym grupom (i tylko tym grupom) dostepu read/write do folderow. Do niektorych folderow dostepu nie powinni miec rowniez administratorzy. Do tego share jest wymagane NTFS. Share ten powinien byc mapowany do logicznego dysku (litery) - uzywajac login skryptu. Zeby odebrac dostep administratorom do folderow, nalezy zrobic wlascicielem danego folderu kogos z dywizji/odzialu, i wtedy ta osoba moze odebrac dostep administratorowi systemu.

Nastepnym share moze byc "Projekty" (bardzo podobny do powyzszego). W tym share moga byc foldery do roznych projektow. Nad poszczegolnymi projektami moga pracowac osoby z roznych departamentow - stad moze wynikac potrzeba takiego share. Osoby pracujace nad projektem powinny miec dostep read/write do tego folderu. Do niektorych folderow dostepu nie powinni miec rowniez administratorzy. Do tego share jest wymagane NTFS. Share ten powinien byc mapowany do logicznego dysku (litery) - uzywajac login skryptu.

Na temat roznych share dodam cos jeszcze a teraz cos innego.

DRUKARKI: Dostep do networkowych drukarek zwykle jest ogolnodostepny, czyli kazdy moze drukowac do kazdej drukarki. Uzytkownicy zwykle wybieraja drukarke najblizsza. Jesli jednak jest w firmie potrzeba drukowania poufnych informacji , wtedy nalezy ograniczyc dostep do danej drukarki i pozwolic drukowac na danej drukarce tylko okreslonym osobom. W takim przypadku wazne jest tez umiejscowieniu drukarki. Nie powinna byc w miejscu otwartym, ale w miejscu, gdzie nikt nieupowazniony nie przebywa bez okreslonego powodu (np. gabinet szefa oddzialu).

Jesli na serwerze zainstalowany jest jakis networkowy duzy program (np. baza danych jak Oracle, Sybase, albo Microsoft SQL), wtedy ten program bardzo czesto uzywa swojego wewnetrznego systemu bezpieczenstwa (uzytkownika ID i hasla). Wtedy uzycie WinNT security (bezpieczenstwa) jest niepotrzebne. Programy networkowe (te, ktore instaluje sie na serwerach) czesto tworza shary dla wlasnego uzytku. Dostepu do tych sharow (SHARE security i NTFS security) nie nalezy manualnie zmieniac. Czasami programy te tworza tez grupy uzytkownikow. Wtedy zeby przyznac komus dostep, nalezy danego uzytkownika dodac do tej grupy. Shary tworzone przez programy czesto sa ukryte (niewidoczne w Network Neighborhood). Zeby share byl niewidoczny do nazwy na koniec nalezy dodac symbol "$". Ukryte shary sa tez uzyteczne dla administratora sieci. Moze on utworzyc shary niewidoczne w Network Neighborhood. Zwiekszy to bezpieczenstwo networku, poniewaz zeby nawet probowac otworzyc ten share - trzeba znac jego nazwe. Dodanie symbolu "$" na koniec nazwy drukarki spowoduje rowniez, ze bedzie ona niewidoczna. Zeby z niej korzystac trzeba znac dokladna nazwe tej drukarki.

Zeby uzywac systemu zabezpieczen wskazane jest uzycie systemu plikowego NTFS na wszystkich dyskach. Oprocz wzrostu bezpieczenstwa, serwer bedzie bardziej stabilny (bedzie mniej sie zawieszal).

Waznym elementem bezpieczenstwa systemu jest umiejscowienie serwerow. Powinny byc one zlokalizowane w oddzielnym zamykanym pomieszczeniu z limitowanym dostepem. Dostep do tego pomieszczenia powinni miec tylko administratorzy sieci i operatorzy networku. W czasie kiedy biuro nie funkcjonuje (popoludnia, noce, soboty, niedziela, swieta) pomieszczenie z serwerami powinno byc zamkniete na klucz. Wazne jest by osoby sprzatajace biura (robiace to czesto poza godzinami urzedowania) nie mialy dostepu do tego pomieszczenia.

Nalezy rowniez zadbac o bezpieczenstwo komputerow administratorow sieci. Screen saver powinien wlaczac sie automatycznie po 10-30 minutach braku aktywnosci. Screen saver powinien wlaczac sie rowniez dla wszystkich uzytkownikow systemu sieciowego.

W celu unikniecia zarazeniem komputerow wirusami, mozna wylaczyc na wszystkich komputerach opcje startowania komputera z dyskietki lub CD-ROMu. Ochroni to komputery przed wirusami atakujacymi sektor twardego dysku (jedne z najgrozniejszych wirusow). Zeby miec mozliwosc wystartowania komputera z dyskietki lub CD-ROMu nalezy zrestartowac komputer, wejsc do BIOSu i zmienic odpowiednia opcje. BIOS komputerow moze byc rowniez zabezpieczony haslem.

Jesli chcemy miec dobrze zabezpieczone serwery, powinnismy miec dobra strategie bakapowania serwerow. Bakap powinien byc robiony codziennie. Rekomendowana metoda moze byc pelen bakap (Full Backup). przy uzyciu drajwow DLT. Zaletami tych drajwow sa bardzo wysoka szybkosc transferu danych i bardzo duza trwalosc tasm do bakapu. Wada jest wysoka cena tych urzadzen. Rekomendowana metoda rotacji tasm moze byc: Dzien-Tydzien-Miesiac. Do tego celu potrzebne sa tasmy: -na dni tygodnia: Poniedzialek, Wtorek, Sroda, Czwartek -na kolejne piatki: Piatek 1, Piatek 2, Piatek 3, Piatek 4 -na kolejne miesiace: tyle ile miesiecy w tyl chcemy miec bakup w archiwum Uzywajac tej metody bedziemy mieli bakap z pieciu ostatnich dni roboczych, z 4 ostatnich piatkow, oraz z ostatniego dnia miesiaca dla tylu miesiecy, na ile mamy tasm.

Hasla uzytkownikow powinny miec co najmniej 8 symboli. Wsrod nich powinny byc male litery, duze litery, cyfry i specjalne symbole. Uzywajac WinNT mozemy zmusic uzytkownikow do uzywania takich "wymyslnych" hasel.