MASTER MANAGEMENTUL PROIECTELOR TEHNICE SI TEHNOLOGICE [307604]

UNIVERSITATEA HYPERION DIN BUCURESTI

FACULTATEA DE ȘTIINȚE EXACTE ȘI INGINEREȘTI

MASTER MANAGEMENTUL PROIECTELOR TEHNICE SI TEHNOLOGICE

LUCRARE DE DIZERTAȚIE

Coord. stiintific:

Conf. Univ. Dr.Ing. EUGENIE POSDĂRĂSCU

ABSOLVENT: [anonimizat] 2016

MANAGEMENTUL SECURITĂȚII UNEI REȚELE WINDOWS

PRIN SERVICIUL ACTIVE DIRECTORY

Cuprins

Capitolul I

Introducere

Considerații generale asupra lucrării. Obiectivul lucrării

Considerații manageriale

Planificarea proiectului

Elemente utilizate de manageri si specialisti pentru definitivarea si implementarea proiectului

Indicatori utilizati pentru evaluarea eficientei

Capitolul II

1.Managementul securității unei retele

Legislație

Chestii generale

Capitolul III

2.[anonimizat], fct, tipuri, descriere cum funcționează si ce facilitati ofera.

Capitolul IV

3.Serviciul AD implementare cu poze exemplu practic.

Beneficii

Capitolul V

4.Concluzii

Concluzii si propuneri

Bibliografie

Introducere

Traim intr-o [anonimizat].

[anonimizat] a individului. [anonimizat], generand deopotriva oportunitati de dezvoltare a [anonimizat].

[anonimizat], sofware, internet, telecomunicatii, servicii IT fuzioneaza si converg in directii volatile greu de prezis.

Obiectiv – [anonimizat] a furniza elementele necesare procesului de luare a deciziei, [anonimizat] a datelor cat si informarea factorilor decizionali.

Prezentul proiect isi propune o serie de masuri concrete pe termen mediu si lung pentru optimizarea si dezvoltarea activitatii. Se doreste asigurarea functionarii permanente a serviciilor si echipamenteleor si integrarea noutatilor tehnologice in domeniu in scopul cresterii calitatii cunoasterii strategice.

In primul capitol….

In al doilea capitol…

In al treilea capitol…

Lucrarea se încheie cu concluzii și propuneri privind operaționalizarea proiectului precum și

CONSIDERAȚII GENERALE ASUPRA LUCRĂRII

Obiectivul lucrării

Obiectivul lucrării este relizarea securității unei rețele dintr-o organizare prin utilizarea serviciului (rolului/ funcției) Active Directory.

De asemenea obiectul lucrării este de a prezenta capacitatea tehnică de a [anonimizat] a proteja datele unei companii.

Active Directory este o bază de date care ține evidența tuturor conturilor de utilizator și parole dintr-o organizație. Acest serviciu permite stocarea conturilor de utilizator și parolele într-o [anonimizat].

[anonimizat]. Un domeniu este o limită de securitate. Fiecare domeniu este găzduit de un calculator/server numit un controler de domeniu (DC). Un controler de domeniu gestionează toate conturile de utilizator și parole pentru un domeniu.

[anonimizat]…….

Active Directory a fost creat în anul 1996 și este cunostcut sub denumirea prescurtată AD. Acesta a fost integrat pentru prima data cu Windows 2000 Server, ca un serviciu director pentru rețele de domeniu Windows.

Active Directory este o bază de date centrală, utilizată pentru autentificarea și autorizare tuturor utilizatorilor și a calculatoarelor într-o rețea. Active Directory utilizează protocolul de aplicație Lightweight Directory Access Protocol (LDAP), un protocol de aplicație utilizat pentru accesarea și menținerea informațiilor de director distribuite printr-o rețea IP.

Partea de MANAGEMENT

ETAPELE DE CONCEPȚIE ȘI DEZVOLTARE ALE PROIECTULUI

MANAGEMENTUL PROIECTELOR CURS C.S.I. Dr. Ing. Ștefan Kovacs

În vederea eliminării vulnerabilitaților compania x doreste să implementeze un mecanism de securitate pentru a impiedica scurgerea de informații.

În compania X se constată faptul că

persoanele între 40-50 de ani care provin din foste unități industriale dezafectate nu-și găsesc foarte ușor de lucru. În acest sens, răspunzând unei necesități sociale, se va dezvolta un proiect care urmărește realizarea unei rețele de micro-întreprinderi- cu producție artizanală- a cărei produse să fie vândute atât în orașul de reședință al județului X- centru turistic cât și să fie furnizate la export. În acest fel se satisface o necesitate socială.

În consecință acesta apelează la o companie de consultanță, proiectare și implementare ce va elabora variante mai mult sau mai puțin costisitoare in vederea indeplinirii cerintelor clientului.

Succesul implementării unui proiect este determinat de maniera în care sunt parcurși urmatorii pași:

Este scris de la bun început un plan care definește rezultatul final, modul în care acesta este obținut și momentul în care acesta va fi livrat.

Sunt formulate în scris criterii măsurabile de acceptanță a proiectului de către utilizator și discutate împreună cu acesta-astfel încât să poată constitui un set de criterii de performanță definit.

se monitorizează continuu-pentru a se urmări respectarea planificării.

Utilizatorul este satisfăcut pentru că i-a fost livrat un produs așa cum a fost promis.Costul acestuia se apropie de costul preconizat.

Trebuie să solicităm beneficiarului să-și exprime cerințele în raport cu obiectivul principal urmărit, cu resursele existente și cu restricțiile legale, de timp, etc. Dacă beneficiarul nu poate face singur aceste lucruri- el trebuie ajutat de către inițiator, de către echipa de management și de cea de implementare. Acest ajutor va conduce la o definire mult mai clară a specificațiilor și până la urmă la succesul proiectului.

Analiza problemei

Analiza oricărei probleme este bine să se facă plecând de la următoarea schemă:

-Intrări- ce date de intrare asigură respectiva activitate

-Prelucrări- ce operații se execută- sunt ele de rutină, există personal calificat, etc.

-Rezultate- de obicei aici apar solicitările. Sunt rezultatele mulțumitoare ? (Dacă da și dacă nu există probleme specifice pentru primele 2 puncte- de exemplu date insuficiente sau risc la prelucrări atunci poate că nu există nici problema sau poate că trebuie realizate modificări minore). Sunt rezultatele satisfăcătoare ? Unde dorește beneficiarul îmbunătățiri ? Pot fi aduse îmbunătățirile ?

Propunerea de proiect trebuie să atingă următoarele aspecte:

Natura problemei, din punct de vedere funcțional și soluția tehnică pentru rezolvarea ei;

Planul de implementare al proiectului – cuprinde estimarea timpului de desfășurare a proiectului, a bugetului și a resurselor (inclusiv umane, cu pregătire corespunzătoare) care vor fi utilizate.;

Entitățile implicate în proiect;

Referate de specialitate – în funcție de aria de cuprindere și de valoarea proiectului, se vor realiza referate privind posibilitățile de finanțare, implicațiile juridice, dependențele de alte soluții existente, resursele disponibile, constrângeri tehnologice. Din aceste referate trebuie să rezulte clar aria de cuprindere a proiectului, dependențele, resursele umane, logistice și tehnice implicate.

Client

Furnizor/Manager de proiect – Managerul de proiect are ca atribuțiune principală planificarea si managementul eficient al proiectului, pentru ca acesta sa furnizeze rezultatele asteptate si să isi atinga obiectivele.

Echipa manageriala

Echipa de implementare

Primul pas in alcatuirea echipei de proiect este crearea unui plan de resurse, asa cum rezulta el din planul de proiect. Managerul de proiect trebuie sa identifice activitatile care trebuie executate si resursele necesare pentru realizarea lor. Inainte de inceperea proiectului, planul de resurse nu poate sa identifice decat ariile functionale care trebuie sa aloce resurse si efortul aproximativ necesar.

Managerul de proiect conduce proiectul și răspunde în fața beneficiarilor/ finanțatorilor.

Managerul de proiect este persoana desemnată sa coordoneze, verifice, coreleze activitatea intregii echipe de proiect, in cadrul tuturor activitaților desfasurate, pe toata perioada de implementare si chiar in perioada ex-post a proiectului.

Principalele atributii ale unui manager de proiect sunt urmatoarele: sa planifice, sa organizeze, sa coordoneze, sa controleze, sa conduca. Sunt cele 5 functii ale managementului care trebuie aplicate in orice proiect, indiferent de anvergura, de valoare, de durata.

Domnul manager Ionescu are trecută în fișa

postului:

-planificarea activităților necesare pentru desfășurarea în bune condiții a proiectului, ținând seama de restricțiile specificate în contract, restricții referitoare la termeni și buget;

-organizarea întâlnirilor periodice cu factorii de decizie ai beneficiarului;

-coordonarea activităților desfășurate în cadrul proiectului;

-conducerea ședințelor de analiză și validare a rezultatelor parțiale și finale;

Managerul economic se ocupă de toate problemele economico-financiare.

Managerul de implementare este de fapt șeful echipei de implementare.

Echipa de implementare va fi alcătuită din persoane care vor lucra efectiv și care pot să rezolve problema propusă.

Metode si practici de management

În etapa de inițiere, managerul Ion Ionescu

le dă colegilor lui din echipa de implementare să citească materiale similare pentru a-și putea forma o impresie despre sarcina pe care trebuie să o îndeplinească. Stabilind în mare un punctaj asupra subiectului el cere colegilor să ofere fiecare o posibilă soluție referitoare la subiect. Aceste soluții sunt discutate într-o ședință de brainstorming de tip Delphi, alegându-se trei variante de acțiune care vor fi analizate în etapele viitoare. Managerul Ionescu pune accent pe experiența individuală- astfel încât rezultatele să nu derive doar de la managerul echipei ci de la echipă în sine.

Despre management

Metode de estimare costurilor si a duratelor

Estimarea costurilor si a duratelor activitatilor proiectului suporta mai multe abordari care nu se exclud reciproc. Dintre metodele de estimare cunoscute putem aborda:

-estimarea bazata pe experienta, capacitatea de judecata a celui care o ntocmeste (aici responsabilul de proiect);

-estimarea bazata pe metoda defalcarii in componente a unei activitati;

-estimarea bazata pe proiecte similare;

-estimarea standardizata;

-estimarea bazata pe metoda istorica.

In proiectul nostru, estimarea costurilor si duratelor, s-a bazat pe combinarea metodelor prezentate mai sus. Vechimea si experienta conducatorului de proiect au facut ca metoda bazata pe capacitatea lui de judecata, metoda istorica si cea a unor proiecte similare anterior executate sa contribuie foarte mult la elaborarea acestei estimari. In functie de tipul de activitate avut in vedere, estimarea facuta a tinut cont si de defalcarea pe componente precum si de standardizarile (normele) din cercetare.

Estimarea costurilor si duratelor din etapa 1 s-a bazat pe defalcarea acestei pe 4 subetape, alegerea unui numar de ore de cercetare pentru fiecare subetapa procedeu estimat de experienta si, in final, de standardizarea orei de cercetare membrilor echipei.

Cum planifică ? –

Utilizand metode cat mai realiste si mai clare de estimare a activitatilor, a duratei lor, a interdependentei dintre activitati, de alocare a resurselor necesare etc. Dintre metodele de planificare disponibile putem enunta Metoda PERT, Metoda Structurii pe Baza de Elemente (Work Breakdown Structure), Graficul GANTT

Planificarea temporală a proiectelor

Diagrama Gantt

Diagrama Gant este o diagramă de timp sub formă de bară.Plecând de la sarcinile definite, diagrama Gantt realizează optimizarea temporală a proiectului.

O diagramă Gantt este prezentată în figura următoare. Se poate observa că diagrama începe cu identificatorul și numele sarcinilor, continuă cu datele de început, datele de sfârșit, durata exprimată în săptămâni urmată de graficele propriu-zise reprezentate prin bare

Folosindu-ne si de diagrama Gantt, in tabelul alaturat sunt prezentate sugestiv momentele de incepere, incheiere si costurile (de personal) prevazute in buget, actualizate in RON, pentru fiecare activitate programata in parte.

Cum coordonează? –

Delegând atributii, organizând intalniri de lucru constante cu echipa si alte persoane implicate in implementarea proiectului, stabilind un mecanism de monitorizare periodica foarte bine pus la punct, oferind si primind feedback permanent referitor la stadiul proiectului.

Cum controlează? – Stabilind un sistem clar si coerent de raportare si monitorizare, alocand responsabilitati individuale si de grup, aplicand un sistem echilibrat de urmarire a proiectului.

-Cum conduce? – In prima faza suntem tentati sa credem ca suma celorlalte 4 functii ar asigura acoperirea acestei functii. Cu toate acestea, conducerea vizeaza mai mult decat atat. Un manager de proiect trebuie sa utilizeze mecanisme de motivare a echipei corelat cu instrumente de control si responsabilizare, trebuie sa isi asume leadership-ul proiectului si al echipei, sa isi asume responsabilitatea atingerii scopului proiectului si sa aloce toate resursele sale acestui scop. Functia de conducere aduce la un loc atributiile managerului de proiect, aptitudinile si know-how-ul sau si poate influenta decisiv calitatea implementarii unui proiect.

Activitatea de management a unui proiect este concentrată în primele sale faze, în special în ceea ce privește componenta de planificare, urmând ca, în fazele ulterioare să se insiste mai ales pe componentele de monitorizare și control.

Împărțirea în etape și faze mai ales în ceea ce privește managementul proiectului poate fi în general destul de subiectivă-baza pentru această împărțire a fost în acest caz o sursă anglo-saxonă, respectiv documentul RANK intitulat „ 10 Minute Guide to Project Management ”.

Riscuri

Urmatorii pasi in desfasurarea proiectului au fost:

identificarea si analiza riscurilor, precum si managementul riscurilor. Pentru evitarea pe cat posibil a unor situatii

neprevazute care sa afecteze proiectul, echipa de management de proiect a recurs la

realizarea urmatoarelor etape:

–

identificarea (definirea) riscurilor si a modalitatilor de abordare;

–

analiza riscurilor in ceea ce priveste impactul asupra: performantelor, costurilor,

programarii etapelor lucrarii si a calitatii produsului;

–

estimarea probabilitatii producerii riscului in timpul desfasurarii proiectului din

care a rezultat gradul de expunere a proiectului;

–

stabilirea ordinii de prioritati in functie de gradul de expunere, efectul potential si

problemele pe care le pot genera;

–

monitorizarea factorilor de risc si adoptarea masurilor adecvate.

Se poate aprecia ca, in general, procesul de management al riscului a decurs bine,

nefiind intarzieri la termenele de livrare, calitate scazuta a rezultatelor ori depasiri ale

bugetului aloca

MANAGEMENTUL RISCULUI

Este recomandabil ca acest subiect să fie abordat încă din prima fază a proiectului, ținând seama de faptul că tratarea riscurilor posibile încă din fazele timpurii poate conduce mai eficient la eliminarea sau minimizarea acestora. Managementul riscurilor este un proces care se întinde pe toată durata proiectului și care, gestionat corespunzător poate fi cheia succesului pentru respectivul proiect.

Fazele managementului riscurilor

-Pasul 1:Anticiparea riscului;

-Pasul 2:Eliminarea riscurilor acolo unde este posibil

;

-Pasul 3:Reducerea impactului riscurilor;

-Pasul 4:Menținerea controlului atunci când se produc evenimente neprevăzute

Figura…… Evaluarea și controlul riscurilor

La nivelul superior riscurile legate de proiecte pot fi împărțite în 3 categorii distincte:

-riscuri legate de costuri-reprezintă nivelul de incertitudine asociat bugetelor precum și impactul acestora asupra proiectelor;

-riscuri legate de performanță-reprezintă posibilitatea ca un sistem să nu poată oferi toate sau unele din funcțiile anticipate sau posibilitatea că acel sistem să nu funcționeze conform specificațiilor;

Considerând riscurile legate de performanță- un exemplu este un sistem informatic care a fost conceput și dezvoltat să funcționeze doar cu interfețe grafice de la Windows 8.1 în sus. Din păcate beneficiarul are puține echipamente de tip tabletă- iar majoritatea calculatoarelor lui rulează Windows 7.

-riscuri legate de planificare-reprezintă gradul de incertitudine asociat cu planificarea proiectelor sau abilitatea acestora de a respecta anumite puncte cheie;

Una din cele mai frecvente greșeli legată de riscurile de planificare o constituie planificarea termenelor de predare în apropiere de sărbători oficiale

Dacă un proiect depinde de componente externe-furnizate de client sau procurate de pe piață-există riscul ca aceste componente să nu fie disponibile la momentul necesar.De asemenea, o problemă o reprezintă calitatea acestor componente sau incompatibilitatea acestora cu componente interne ale proiectului.Dacă proiectul se bazează pe tehnologii informatice care nu sunt bine dezvoltate el poate eșua.

FAZA DE PROIECTARE(DESIGN)

Designul presupune doi pași majori:

-împărțirea sistemului în componente funcționale;

-interconectarea acestor componente;

Fiecare din aceste componente funcționale presupune una sau mai multe activități- cu planificarea și resursele umane specifice. Este bine ca activitățile să fie definite corect în această fază de proiectare tocmai pentru a nu se ”re-proiecta” mai târziu, eventualele modificări aduse proiectului în faze ulterioare proiectării nefiind decât cârpeli.

Evaluarea se concentreaza asupra a patru aspecte principale:

– Resurse investite;

– Obiective realizate;

– Rezultate obținute;

– Impactul realizat.

Asociația pentru Managementul Proiectelor (Association for Project Management) din Anglia a formulat următoarea definiție: "Managementul calității în proiecte este disciplina care este aplicată pentru a asigura că atât rezultatele proiectului cât și procesele prin care rezultatele sunt livrate satisfac necesitățile părților interesate. Calitatea este definită în sens larg ca fiind "corespunzător pentru utilizare" (fitness for purpose) și mai restrâns ca gradul de conformitate al rezultatelor și procesului. In contextul managementului proiectelor, calitatea este definită de client și reprezintă gradul în care proiectul și livrabilele acestuia ajung să satisfacă cerințele și așteptările clientului. Echipa proiectului trebuie să-și asume cerințele și așteptările clientului, pentru a le satisface.

Managementul calității în proiecte se extinde asupra tuturor fazelor proiectului, de la definirea inițială a proiectului, la procesele proiectului, managementul echipei proiectului, rezultatele proiectului și până la finalizarea proiectului.

Managementul sistemelor informatice

Managementul sistemelor informatice se referă la modul în care se administrează resursele informatice precum și strategiile legate de implicarea și utilizarea tehnologiei informației la diferite niveluri: utilizator final, organizațieși global.

În perioada contemporană se remarcă existența necesității utilizării de manageri a sistemelor informatice și a tehnologiei informației. Tehnologia informației oferă posibilitatea managerilor de a gestiona mai bine interdependența organizațională într-un cadru global.

Gestionarea resurselor de sisteme informatice ale unui business nu mai este sarcina unui specialist, ci o responsabilitate majoră a managerului.

În cadrul noii economii globale, la nivelul managementului, dimensiunea internațională a business-ului devine din ce în ce mai importantă. În acest sens, toate activitățile sistemelor informatice de la nivel global trebuie astfel dimensionate în relație cu mediul cultural, politic și geografic care se manifestă în comunitatea comercială internațională. Caracteristicile sistemelor informatice se referă la strategiile de afaceri, la managementul datelor, aplicațiile folosite precum și la dezvoltarea de sisteme și platforme tehnologice.

În cazul business-ului internațional, managerii trebuie să țină seama de diferențele culturale, politice și geografice care există.

De asemenea, deosebit de importante sunt aspectele politice și economice. Din aceste motive, trebuie avute în vedere următoarele aspecte:

Multe țări au o legislație proprie care reglementează sau chiar interzic transferul de date dincolo de granițele naționale;

Taxe, restricții sau chiar interzicerea importului de hardware și software;

Legi locale care reglementează nivelul valorii adăugate dacă produsul se vinde acolo;

Acordurile comerciale bilaterale care specifică nivelul profitului care trebuie cheltuit în țara în care a fost obținut

Costul muncii și chiar costul vieții;

În unele țări se face simțită lipsa facilităților din domeniul telecomunicațiilor, precum și a specialiștilor.

Aspectele culturale se referă la diferențele între limbaje, manifestări culturale, obiceiuri, atitudini sociale sau deosebiri între stiluri de muncă, relațiile de afaceri etc.

În afara acestor aspecte, mai trebuie avute în vedere și aspectele geografice legate de distanțele mari și diferențele de fus orar

Capitolul II

1.Securitatea unei retele

Considerații asupra securității unei rețele

Securitatea datelor reprezintă o preocupare importantă , atat pentru organizațiile care au conectivitate la Internet, cat si pentru cele care dispun de sisteme Intranet sau Extranet. Proliferarea tehnicilor de transfer electronic de fonduri sau titlui de valoare (acțiuni, bonuri de tezaur, certificate, documente semnate electronic), precum și a comerțului electronic are ca efect intensificarea acțiunilor de protecție și securizare a tranzacțiilor de acest tip. Astfel apar noi metode teoretice, algoritmi și standarde de criptare și cifrare, precum și tot mai numeroase implementări hardware și software.

Metodologia de securizare ade deja un fundament teoretic cât și practic.

De regulă prin termenii de securitate a unei rețele ințelegem integritatea, accesibilitatea, încrederea și protecția resurselor. De cele mai multe ori nu există soluții totale de protecție, fiecare implementare a securității rețelelor fiind un compromis între eficiență , cost și operații tranzacționale.

Un sistem se difinește ca fiind un grup de elemente interdependente ce lucrează împreună pentru atingerea unui scop comun cu acceptarea mărimilor de intrare și generarea mărimilor de ieșire printr+un proces de transformare organizat.

Un sistem foarte bine securizat poate îngreuna foarte mult traficul operațiunilor curente și este costisitor.

Abordarea securității în sistemele distribuite pleacă de la conceptul de sistem deschis, al cărui obiectiv îl constituie interconectarea unor calculatoare eterogene, astfel încât să se poată realiza comunicații sigure și fiabile între aplicațiile existente la distanță.din punct de vedere al securității/securizării aceasta înseamnă integritatea și protecția resurselor și implementarea unor servicii și protocoale sigure de securitate.

Cu cat crește gradul de securitate a rețelei , cu atât se diminuează accesul liber la resurse, inchizând și restricțiorând sistemele deschise si disponibilitatea informației. În cadrul sistemelor distribuite obiectul măsurilor de secuitate îl constituie utilizatorii, datele și informațiile, serviciile rețelei și echipamentele componente.

Componentele de securitate dintr+un sistem distribuit pot fi structurate (clasificate) ierarhic conform figurii următoare:

Figura ….Structura ierarhnică a componentelor de securitate într+un sistem distribuit

Active Directory este o bază de date care ține evidența tuturor conturilor de utilizator și parole dintr-o organizație. Acest serviciu permite stocarea conturilor de utilizator și parolele într-o singură locație protejată, ceea ce duce la îmbunătățirea securității unei organizații.

Active Directory este împărțit într-unul sau mai multe domenii. Un domeniu este o limită de securitate. Fiecare domeniu este găzduit de un calculator/server numit un controler de domeniu (DC). Un controler de domeniu gestionează toate conturile de utilizator și parole pentru un domeniu.

Domenii și Domain Name System (DNS)

Domeniile sunt denumite folosind Domain Name System (DNS). În cazul în care o companie, să presupunem că aceasta se numește Rosenberg, utilizează aceaste servicii, numele DNS al acesteia va fi rosenberg.com. Acesta este numele de domeniu de la cel mai înalt nivel pentru companie. Domeniul de securitate în Active Directory se va referi direct la numele de domeniu DNS.
Pentru organizațiile mai mari se pot subdiviza în Active Directory, in functie de dispunerea geografica de exemplu, sau de compartimentarea organizației, în domenii copii – „child domains”. În cazul în care Rosenberg are trei divizii numite de Marketing, Logistics și Management, sub-domenii pot avea nume DNS: marketing.rosenberg.com, logistics.rosenberg.com și management.rosenberg.com.
Fiecare domeniu necesită un computer server. În scenariul de mai sus, este nevoie de cel puțin patru servere pentru a găzdui Active Directory, după cum urmează:

rosenberg.com

marketing.rosenberg.com,

logistics.rosenberg.com,

management.rosenberg.com

Active Directory a fost creat în anul 1996 și este cunostcut sub denumirea prescurtată AD. Acesta a fost integrat pentru prima data cu Windows 2000 Server, ca un serviciu director pentru rețele de domeniu Windows.

Active Directory este o bază de date centrală, utilizată pentru autentificarea și autorizarea tuturor utilizatorilor și a calculatoarelor într-o rețea. Active Directory utilizează protocolul de aplicație Lightweight Directory Access Protocol (LDAP), un protocol de aplicație utilizat pentru accesarea și menținerea informațiilor de director distribuite printr-o rețea IP.
(Active Directory utilizează pe lângă Lightweight Directory Access Protocol (LDAP) versiunea 2 și 3, versiunea Microsoft a Kerberos, and DNS)

3.2. "Ce este LDAP?"

Active Directory este o implementare a serviciilor de directoare LDAP, folosită de Microsoft în cadrul sistemelor de operare Windows. Astfel „Active Directory” pune la dispoziția administratorilor un mediu flexibil cu efect global pentru: asignarea permisiunilor, instalarea programelor, înnoirea securității. Toate aceste operațiuni pot fi aplicate atât la rețele mici, cât și la rețele complexe.

Lightweight Directory Access Protocol (LDAP) este un protocol folosit pentru interogarea și modificarea serviciilor de directoare prin intermediul TCP/IP.

Un arbore director LDAP de cele mai multe ori reflectă limite politice, geografice sau alte organizații, depinzând de modelul ales. Utilizatorii de LDAP din momentul de fata prefera folosirea DNS pentru structurarea nivelelor unei ierarhii. Înăuntrul directorului pot apărea mai multe intrări reprezentând persoane, organizații, imprimante, documente, grupuri sau orice altceva care reprezinta o intrare arborescenta.

Autentificarea pe baza LDAP se va realiza prin verificarea perechii nume+parolă adică cu informatiile dintr-un server LDAP.

Autorizarea LDAP se referă la permisiunile pe care la are o persoana X la nivelul serverului, astfel faptul ca 'persoana X' are sau nu are voie sa faca Y este stabilit de conținutul unor atribute din inregistrarea sa din LDAP și/sau de faptul ca 'persoana X' este (nu este) membru al unor grupuri definite tot în LDAP.

LDAP este "Lightweight Directory Access Protocol", adică, un program destinat căutării în baze de date concepute special pentru a fi cautate.

Un exemplu este cel cu agenda telefonica: server-ul LDAP stie agenda pe de rost, iar un administrator interoghează baza de date astfel: "arata-mi telefonul și orașul de la toate persoanele cu numele Brad" iar server-ul va returna toate inregistrarile care satisfac acest criteriu.
În acest exemplu "nume", "oras" si "telefon" sunt atribute in terminologie LDAP; "toate persoanele cu numele Brad" este un filtru de cautare iar "persoanele cu numele Brad" returnate (de fapt doar orasul si telefonul fiecaruia) sunt setul de rezultate.

Pentru a folosi un astfel de server, ai in mod normal nevoie de urmatoarele date: IP/Hostname, port (de obicei 389), baza de cautare (Base DN). Ca optiuni general valabile se intalnesc scopul de cautare (Search scope) care poate fi "acelasi nivel", "un nivel sub", "tot arborele" precum si procesarea automata a referintelor (da sau nu).
Daca natura integrarii presupune efectuarea de catre aplicatia noastra de modificari in server-ul de LDAP la care ne conectam, atunci s-ar putea sa avem credentiale diferite pentru cautare (read-only) si modificare (read-write).

Mergand mai departe cu ideea de "autentificare cu LDAP", vom mai avea nevoie de cativa parametri si anume numele atributelor de interes (parola, grupuri etc.) ca sa stim cum vom cauta spre verificare contul dat in server-ul de LDAP.

O autentificare cu LDAP functioneaza, astfel:

Aplicatia noastra primeste spre verificare perechea "Brad" "123456".

Aplicatia se conecteaza la LDAP (IP și port cunoscute) și se autentifică fie anonim (daca acest lucru este permis), fie cu credențialele de cautare (read-only). In terminologie LDAP, aceasta operatie se numeste "bind"

Aplicatia formuleaza un filtru de cautare de forma "arata-mi conturile care se cheama Brad" si il trimite server-ului de LDAP. Aceasta operatiune se numeste "search"

Server-ul de LDAP proceseaza si executa cautarea si intoarce aplicatiei un pachet care contine doua informatii esentiale: (1) cautarea a decurs cu succes si (2) exista N rezultate

Aplicatia ia la cunostinta ca totul e ok – adica succes la cautare si exista un singur rezultat si apoi citeste rezultatele trimise succesiv de server

In cadrul setului de rezultate, primul element al fiecarei inregistrari este DN-ul acesteia. In acest moment, aplicatia noastra cunoaste DN-ul lui Brad pentru server-ul de LDAP aflat in discutie

Aplicatia se deconecteaza de la server-ul de LDAP (unbind – unele servere suporta chiar bind cu alte credentiale in aceeasi sesiune) si reia operatiunea bind, de aceasta data folosind DN-ul lui Brad si parola sa

Daca operatiunea decurge cu succes, atunci credentialele lui Brad sunt corecte iar Brad tocmai a fost autentificat

3.3. Structura Active Directory

Structura internă de bază a Active Directory este formată dintr-un aranjament ierarhic de obiecte care pot fi clasificate în linii mari în resurse și principii de securitate. Unele dintre exemplele de obiecte Active Directory sunt utilizatori, calculatoare, grupuri, site-uri, servicii, imprimante, etc. Fiecare obiect este considerat ca o singură entitate, cu un anumit set specific de atribute. Atributele obiectelor, împreună cu tipul de obiecte care pot fi stocate în AD sunt definite printr-o schemă.

Cadrul intrinsec al Active Directory este împărțit în mai multe niveluri, pe baza de vizibilitate a obiectelor.

O rețea AD poate fi organizată în patru tipuri de structuri de containere și anume

Forest/Păduri,

Domenii,

Unități organizaționale (OU),

Site-uri.

Structura inerentă a Active Directory este în continuare clasificata într-un număr de niveluri care, de fapt depinde de vizibilitatea obiectelor. O rețea AD poate fi organizata în patru forme diferite de structuri recipiente speciale: Paduri, Domenii, Unități Organizatoriale și Site-uri.

Pădurile/Forest: Acesta este un set de obiecte Active Directory atributele lor și un set de sintaxă atribut.

Domeniul: Este mai mult ca o colecție de calculatoare obiecte în AD care împărtășesc un set comun de politici, un nume și o bază de date a membrilor lor.

Unitățile organizaționale: OU sunt containerele în care sunt grupate obiectele conținute de domenii. Funcția lor cheie este de a crea o ierarhie de domeniu să semene cu structura companiei Active Directory în termeni de organizare.

Site-urile: Site-urile nu sunt dependente de domenii și structura OU și, prin urmare, sunt mai mult considerate ca grupuri fizice care sunt definite de către una dintre subrețele IP. Rolul lor esențial este de a distinge între locatii conectate prin conexiuni de mica și de mare viteză.

Active Directory (AD) – este o ierarhie de câteva obiecte, unde obiectele se împart în trei categorii: resurse (ex: imprimantă), servicii (ex: poșta electronică), resurse umane (ex: utilizatori, grupe de utilizatori). Scopul tehnologiei Active Directory este de a pune la dispoziție informații despre aceste obiecte, organizarea obiectelor, controlul accesului, setarea securității.

Fiecare obiect indiferent de categorie reprezintă o entitate și atributele ei, unde ‘entitate’ poate fi – „Utilizator”, „Calculator”, „Imprimantă”, „Aplicație” sau „Resursă Partajată”. Mai mult decât atât, un obiect poate să conțină și alte obiecte. Atributele obiectului (structura de bază a obiectului în sine) sunt definite de o „schemă”, care la rîndul ei definește și tipul obiectelor care pot fi stocate ca subobiecte în obiectul dat.

Totul pare complicat, însă în realitate e mai simplu decât pare. Aceste reguli au fost inventate numai cu scopul ca să poată cumva să reflecte situațiile întâlnite de noi în fiecare zi. Pentru a le înțelege, e mai bine să ne închipuim o situație care trebuie cumva reflectată în lumea IT, și printr-o metodă de pseudo-inducție vom ajunge exact la ceea ce a fost expus mai sus.

O „schemă” e compusă din două tipuri de obiecte (sau meta-datele schemei): „clasa” și „atributele”. Aceste metadate există cu scopul de a extinde sau modifica schema. Din motiv ce metadatele schemei sunt parte din obiectul pe care-l descriu (parte din obiectul la care a fost aplicată schemă), odata ce am modificat schema, efectele se raspândesc pe toate obiectele din Active Directory la care a fost aplicata schema dată – prin această caracteristică „Active Directory” este foarte puternic dar și foarte periculos – o modificare nechibzuită poate duce la efecte nedorite de nivel global (cum ar fi: scăderi din salariu de nivel esențial, imposibilitatea îndeplinirii lucrului oamenilor care sunt dependenți de efectele modificării). O schemă creată poate fi numai deactivată, nu și ștearsă – deoarece crearea sau modificarea unei scheme este bazată pe motive serioase.

Servicii de domeniu Active Directory

Active Directory Domain Services (AD DS), cunoscut anterior ca servicii de domeniu Active Directory, este locația centrală pentru informații de configurare, cererile de autentificare și informații despre toate obiectele care sunt stocate în pădure/forest.

Cu ajutorul Active Directory, se pot administra eficient utilizatori, calculatoare, grupuri, imprimante, aplicații și alte obiecte de director dintr-o singură locație activată sigură, centralizată.

Servicii Active Directory Rights Management Services (AD RMS),

Este o componentă a Windows Server 2008 R2 disponibilă pentru a se asigura că doar acele persoane care au dreptul de a vizualiza un fișier poate face acest lucru. AD RMS poate proteja un fișier prin identificarea drepturilor pe care un utilizator le are la dosar. Drepturile pot fi configurate pentru a permite unui utilizator să deschidă, să modifice, de imprimare, sau să întreprindă alte acțiuni.. Cu AD RMS, se pot proteja datele care sunt distribuite în afara rețelei.

Active Directory Federation Services

Federația Active Directory Services este o soluție extrem de sigură, extensibilă, care permite organizațiilor să acorde drepturi de autentificare a utilizatorilor din partea organizațiilor partenere. Folosind AD FS în Windows Server 2008 R2, acorda utilizatorilor externi acces la resursele de pe domeniul organizației.

AD FS poate simplifica, de asemenea, de integrare între anumite resurse și resursele de domeniu în cadrul unei organizații.

Active Directory Services Certificate

Cele mai multe organizații folosesc certificate pentru a dovedi identitatea utilizatorilor sau a calculatoarelor, precum și pentru criptarea datelor în timpul transmisiei între conexiuni de rețea nesecurizată. Serviciile de Certificate Active Directory (AD CS) îmbunătățește sau sporește securitatea prin legarea identității unei persoane, dispozitiv sau serviciu de cheia proprie privată.

Stocarea certificatului și a cheii private în Active Directory ajută la protejarea și siguranța rețelei , la asigurarea identității fiecărui utilizator iar Active Directory devine locația centrală pentru furnizarea si compararea informațiilor corespunzătoare atunci când o aplicație solicită o cerere de identificare a unui utilizator.

Active Directory Lightweight Directory Services –-_de completat

Directory Service Active Directory Lightweight (AD LDS), cunoscut anterior ca Active Directory Aplication Mode, poate fi folosit pentru a furniza servicii de director pentru aplicații. Sunt două componente care funcționează în combinație pentru a oferi o locație centrală pentru conturile de securitate (AD DS) și o altă locație pentru a sprijini configurarea și datele aplicației Directory (AD LDS).

Avantajele Active Directory pentru administrarea conturilor de utilizator:

1. Se asigură pe deplin securitatea, integrată sub forma conectării și autentificării unice a utilizatorului.
2. Administrarea se realizează facil sub forma implementării unor politici și permisiuni de grup.
3. Identificarea resurselor se realizează foarte rapid.
4. Acest serviciu oferă scalabilitate, flexibilitate și extensibilitate.
5. Serviciul este strâns legat și integrat cu serviciile DNS în toate operațiunile sale.
6. Oferă servicii de replicare automată a informațiilor între controlere de domeniu.
7. Susține, de asemenea integrarea altor servicii de director.
8. Acesta suportă mai multe protocoale de autentificare.

Figura …Grupul de Utilizatorii

Există o mulțime de grupuri built-in, care sunt utilizate pentru administrarea Active Directory, administrarea serviciilor, administrarea serviciilor asociate serviciilor director AD. Aceste grupuri sunt situate în containerul/directorul utilizatorilor, așa cum se arată în figura de mai sus.

Aceste grupe includ: Cert Publisher, DNS Admins, Domain Admins, DHCP Admins, Enterprise Admins, Group Policy Creator Owners, Schema Admins.

Aceste grupuri sunt esențiale pentru Active Directory și trebuie să fie utilizate pentru a asigura un control administrativ asupra acestor zone, si pentru menținerea controlului aceste funcții nu se recomandă a se delega.
O altă categorie de grup încorporat/builtin ce este creat implicit în Active Directory, se află în containerul/directorul denumit Builtin, așa cum se prezintă în Figura următoare.

Această grupă include: Administratorii, Operatorii de cont, Operatorii de rezervă, Operatorii de servere, Operatorii de imprimare.

Administrators

Account Operators

Backup Operators

Server Operators

Print Operators

Figura …Grupul/containerul de Utilizatorii builtin (contruiți implicit)

Grupul builtin are un scop distins. El a fost construit pentru a fi utilizat numai pe controllerul de domeniu. Acest lucru se stie deoarece toate aceste grupuri de useri au fost constituite ca Domain Local si au privilegii de administratori pentru îndeplinirea de diferite taskuri pe contrullerul de domeniu.

Este important de stiut nu numai scopul pentru care au fost construite aceste grupuri de useri si administratori ci si capabilitațile acestora reliefate in tabelul următor.

Table 1: Privilegiile grupurilor built-in în Active Directory

Este foarte important să se cunoscă de la bun început și să se delege activitățile în mod corespunzător, astfel încat să nu se producă incidente de securitate nedorite.

Ca exemplu,daca se urmărește delegarea de respunsabilități, pentru un junior administrator sau personal helpdesk pentru resetare de parole ale userilor de domeniu, userii anume desemnați, pot fi incluși în grupul Account Operators. Insa în acest moment trebuie să urmărim si ale privilegii pe care le primesc acești useri odata ce au fost adaugați in acest grup, pentru ca ei pot face și următoarele sarcini.

Create, delete, and manage user accounts

Create, delete, and manage group accounts

Log on locally

Shut down the system

După cum se poate vedea aceste privilegii adiționale extind influența respectivilor administratori față de ceea ce s-a dorit inițial, astfel încât acești pot de asemenea reseta parolele următorilor useri..administratorului de conturi, pentru tot personalului IT, dar și pentru alte categorii de useri administratori sau nu.

3.4. Securitatea prin Active Directory

Securitatea Rețelelor bazate pe sisteme de operare Windows se realizează prin serviciul Active Directory.

Principalele avantaje oferite de implementarea Active Directory în rețea sunt descrise în continuare.

• Autentificarea utilizatorilor – permite identificarea fara echivoc a fiecarui utilizator al retelei pe baza de utilizator și parolă unică.
• Autorizarea accesului la resurse – pentru fiecare resursa din rețea pot fi configurate liste de acces care specifica explicit permisiunile pe care le au utilizatorii sau grupurile asupra resursei respective.
• Administrarea centralizată a tuturor serverelor și stațiilor de lucru din rețea.
• Aplicarea consistentă a unor politici de securitate în cadrul rețelei. Acesta din urmă este în particular un avantaj foarte important în procesul de securizare al retelei.

La proiectarea Active Directory trebuie respectate câteva principii de design pentru a putea aplica usor masuri de securitate:

• Minimizarea numarului de domenii. Acestea fiind arii de securitate distincte, un numar cât mai mic de domenii, preferabil unul singur, permite aplicarea usoară a politicilor de securitate.
• Aplicarea politicilor generice de securitate la nivelul întregului domeniu si completarea acestora cu masuri specifice la nivele inferioare.

Pentru aplicarea politicilor de securitate se foloseste Group Policy. Deoarece politicile se aplica la mai multe nivele (domeniu, site, organization unit, local) si pot fi blocate sau suprascrise, trebuie realizat un plan detaliat privind utilizarea Group Policy.

De un real ajutor este Group Policy Management Console care permite evaluarea rezultatului aplicarii de politici multiple.

Câteva politici tipice care pot fi aplicate în cadrul unui domeniu:

• dezactivarea stocarii parolei ca LMHash,
• configurarea nivelului de compatibilitate LanManager pentru autentificare,
• blocarea conturilor la introducerea gresita a parolei combinata cu impunerea de parole cu complexitate sporita,
• interzicerea posibilitatii de enumerare a obiectelor din Active Directory pentru clientii anonimi,

Active Directory este o condiție necesară pentru a putea aplica în mod sistematic politici de securitate în cadrul rețelei și pentru a putea reduce complexitatea administrării. Pornim de la principiul simplu ca o rețea sigură este una bine proiectată, configurată si administrată. Active Directory ne ofera aici un avantaj important.

De introdus versiunile de windows server pt retea

Facilitați ale windows server 2012

Funcționalitatea WS 2008 este modularizată și împărțiă între “roles” și “features“.

Funcționalitățile serverului sunt complet modularizate, opționale și inactive .

Este disponibil in diferite versiuni (Standard, Enterprise, Data Center, etc) În funcție de resursele hardware și serviciile oferite Interfata “Server Manager”, bazată pe MMC (Microsoft Management Console) reprezintă acum o interfață unică de configurare și monitorizare

Permite:

Configurarea datei, orei, numelui serverului, domeniul în care acesta este membru

Configurarea interfețelor de rețea

Instalarea ultimelor update-uri

Configurarea administrării de la distanță

Configurarea regulilor firewallului

Adăugarea de noi funcții serverului

Un Rol reprezintă un serviciu ce permite unui server să efectueze o anumită funcție pentru utilizatorii din rețea:

Principalele caracteristici ale unui rol:

Descriu funcția și scopul principal al utilizarii unui server, un server poate să ruleze un singur rol ce oferă un serviciu cu un grad mare de utilizare în rețea sau mai multe roluri/servicii utilizate sporadic,

Ofera utilizatorilor acces la resursele de orice tip ale unui server: spațiu de stocare, timp de procesare, informații de configurare, autentificare.

Funcționează în propriul lor proces, folosind baze de date proprii, pentru a stoca date necesare pentru funcționare, implementează mecanisme proprii pentru cozi de mesaje/cereri.

Se consideră că după o configurare corectă trebuie să funcționeze independent și cu efort minim din partea administratorului.

Active Directory reprezintă o tehnologie ce înglobează o multitudine de facilități, servicii și protocoale ce servesc monitorizării, securizării și

managementului unui domeniu.

Windows server implementează AD prin 5 module distincte:

AD Domain Services (AD DS)

AD Lightweight Directory Services (AD LDS)

AD Rights Management Services (AD RMS)

AD Federation Services (AD FS)

AD Certificate Services (AD CS)

AD oferă:

Funcționalitate pe baza de DNS

Suport complet TCP/IP

Compatibilitate cu LADP

Securitate: IPSec, SSL, Kerberos, CA.

AD construieste o structură ierarhică bazată pe obiecte: resurse (stații, servere,imprimante), servicii (e-mail, DNS, autentificare) și utilizatori;

Fiecare obiect poate fi adresat individual și reprezintă o singură entitate, împreună

cu atributele și capabilitățile sale.

Structura ierarhică a AD este stratificată pe mai multe nivelurila nivelul superior se află un forest, o colectie a tuturor obiectelor AD și a proprietăților lor.

Un forest unifica mai mulți „trees”, ce ]n final vor con’ine domeniile.

Obiectele conținute de către domenii pot fi grupate în OU (Organizational Units), folosite pentru a permite administratorilor să le aplice diferite politici, ce includ drepturi de acces, de utilizare a resurselor.

Figura …..

Distribuția Active Directory

Managementul rețelei Windows prin soluția de administrare si monitorizare centralizata

Servicii configurare director

Soluția privind managementul administrării si monitorizării rețelei Windows

se bazează pe următoarele elemente:

Instalare mașini virtulae

Va fi creat un spațiu virtual in care se vor crea masinile virtuale ce vor gazdui ca sisteme de operare Windows server, provizionându-se spațiul necesar pentru partiția destinată sistemului de operare

De introdus o poza din V Sphere client

Se va instala sistemul de operare windows server 2008/2012

Se selecteaza versiunea care se doreste instalata “Windows Server 2012 R2 Standard with a GUI” si se selecteaza Next

De vazut de ce e asa

Cerinte hardware si software domain controller (Windows Server 2012 R2)

Procesor: Minim 2 core 2.4 GHz, Recomandat: 4 core 3.0 GHz

x64 architecture-based computer with Intel processor that supports Intel 64 architecture (formerly known as Intel EM64T)

AMD processor that supports the AMD64 platform

Intel Itanium IA64 processors not supported

Memorie RAM: Minim: 8 GB

Recomandat: 24 GB

Instalat: 32 GB

HDD: Minim: 60 GB

Recomandat: 120 GB

Utilizat: 500 GB

Network: un adaptor virtual de retea – 1 GB LAN

Sistem de operare: Windows Server 2012 R2

Procedura de instalare domain controller (Windows Server 2012 R2)

Arhitectura Active Directory cuprinde 3 servere: DC1, DC2 si DC3.

DC1 tine rolul de Primary Domain Controller, instalarea active directory se va face pe acest server in prima etapa.

Se selecteaza Add Roles and Features Wizard pe serverul DC1 si se selecteaza Next:

Se selecteaza serverul pe care se va face instalarea si se selecteaza Next:

Se selecteaza butonul Add Features:

Se selecteaza Group Policy Management:

Pentru pornirea instalarii se selecteaza Next si Install:

In urma confirmarii, rolurile vor fi instalate:

Configurarea incepe prin accesarea link-ului “Promote this server to a domain controller” in Server Manager:

Se selecteaza numele domeniului sii.ro:

Se introduce o parola care va folosi pentru restore si se selecteaza Next:

Se verifica numele NetBios pentru domeniu:

Se selecteaza directoarele in care vor fi stocate logurile si politicile de domeniu:

Se revad optiunile selectate si se selecteaza Next:

Se verifica logurile in Event Viewer pentru a verifica o instalare reusita:

Se reia aceeasi procedura pentru serverele DC2 si DC3 si se selecteaza domeniul existent SII.RO.

Politici de Securitate IT applicate in Active Directory

Securitatea electronica este definita prin politici, recomandari si actiuni necesare minimizarii riscului aferent efectuarii tranzactiilor electronice, risc ce se refera la brese in sistem, intruziuni sau furt.

Securitatea IT se concentreaza pe crearea unei platforme de calcul unde persoane sau programe nu pot desfasura actiuni pentru care nu au drepturi alocate.

Cerintele de securitate ce pot fi indeplinite de catre Active Directory in Windows Server 2012 R2 sunt:

Identificarea – reprezinta procesele si procedurile necesare pentru stabilirea unei identitati unice pentru un utilizator sau o entitate in cadrul unui sistem informatic. Identificarea permite contabilizarea tuturor operatiunilor individuale si previne accesul neautorizat.

Autentificarea – este procedura pentru verificarea identitatii entitatii care solicita acces la un sistem, procesul prin care sistemul valideaza informatiile de conectare oferite de entitatea utilizatoare.

Controlul accesului – determina actiunile premise unei anumite entitati de a se autentificata in sistem, avand in vedere: controlul accesului la sistem, controlul accesului la retea, clasificarea informatiei, privilegiile.

Integritatea sistemului – pentru a se mentine integritatea sistemului se iau urmatoarele masuri:

separarea proceselor si datelor utilizatorilor

separarea proceselor si datelor sistemului

protejarea aplicatiilor si a datelor fie ca acestea sunt voite sau accidentale

controlul actiunilor si operatiilor de intretinere

Integritatea informatiilor – presupune mecanisme de protectie a datelor impotriva distrugerii sau accesului neautorizat si mecanisme de inregistrare a modificarilor survenite.

Fiabilitatea serviciilor – se refera la cat de usor si sigur un utilizator autentificat poate accesa si utiliza resursele unui sistem.

Politicile de securitate formale dicteaza cerintele de baza si obiectivele pe care trebuie sa le indeplineasca o tehnologie. Politica de securitate este o componenta a politicilor de dezvoltare a companiei prin care se garanteaza continuitatea functionarii proceselor, serviciilor si a aplicatiilor.

Utilizand politicile de grup la nivelul Active Directory, se pot manipula urmatoarele procedee de securizare a intregului domeniu:

Politici pentru parola utilizatorilor:

Fortarea istoriei parolei

Vechimea maxima a parolei

Numarul minim de caractere

Complexitatea parolei

Stocarea parolei utilizand criptarea reversibila

Politici de audit:

Autentificarea si administrarea conturilor

Directory Service Access

Object Access

Evenimente ale sistemelor

Privilegiile utilizatorilor:

Permiterea autentificarii locale

Autentificarea folosind Terminal Services

Restrictia autentificarii ca fiind un batch job

Restrictia inchiderii sistemului folosind un sistem la distanta

Active Directory prezinta urmatoarele mecanisme in subsistemul de securitate:

Mecanise de autentificare:

NTLM

Utilizat pentru autentificare prin Windows NT LAN Manager.

Kerberos and Key Distribution Center

Folosit pentru autentificarea prin Kerberos V5.

SSL

Folosit pentru autentificarea prin Secure Sockets Layer.

Authentication provider

Folosit pentru administrarea autentificarii.

Mecanisme de control acces:

NET LOGON

Utilizat pentru autentificarea interactiva prin NTLM. Pentru autentificarea prin NTLM, NET LOGON transmite credentialele de autentificare catre modulul de serviciu director apoi returneaza SID-ul pentru obiecte aflate in solicitarile clientului.

LSA Server

Utilizat pentru a forta politicile de securitate si SSL. Pentru autentificarea prin Kerberos si SSL, LSA Server transmite credentialele catre modulul serviciului director si returneaza SID-ul pentru obiecte aflate in solicitarile clientului.

Security Accounts Manager

Folosit pentru a impune politicile de securitate NTLM.

Directory service component: Directory service

Utilizat in provizionarea serviciilor director in Windows Server 2012 R2. Acesta este modulul care permite exragerea informatiilor.

Actualizarea sistemelor de operare in mod offline

Pentru operatia de update offline a serverelor se foloseste aplicatia Wsus Offline Update.

Se lanseaza aplicatia pe o statie de lucru care este conectata la internet

Se selecteaza optiunea de 64 de biti pentru Windows Server 2012 R2

Se selecteaza folderul unde se doreste sa fie salvate actualizarile sistemului de operare selectat

Se apasa butonul Start si se asteapta finalizarea descarcarii update-urilor selectate

Se copiaza folderul selectat la pasii anteriori pe serverul care trebuie actualizat

Se ruleaza aplicatia Update.cmd

Sistemul de operare se va actualiza cu toate patch-urile necesare

Pe parcursul procesului de actualizare este posibil sa fie solicitata restartarea serverului de mai multe ori.

Prezentare Distributed File System (DFS)

Majoritatea serverelor de rețea ofera servicii de partajare fișiere; astfel, acestea oferă un spatiu de stocare centralizat care permite utilizatorilor partajarea cu ușurință a fișierelor. Serverele de fișiere pot stoca de multe ori date private, precum și fișierele partajate cu alti utilizatori, ele oferind astfel un punct unic de backup pentru ambele.

Serverele de fișiere permit utilizatorilor sa-si acceseze datele lor chiar si atunci când se mută la diferite stații de lucru. Windows Server introduce servicii noi și îmbunătățite de partajare, inclusiv modificări de gestionare partitionarii in retea rețea, al utilizatorilor și al sistemului de fișiere NTFS.

Rolul Windows Server DFS (distributed file system – sistemul distribuit de fisiere) extinde capabilitatile de baza a partajarii. Acesta oferă ceea ce utilizatorii ar descrie, un sistem ierarhic unificat de fișiere, deși datele sunt stocate de fapt, pe diferite servere din rețea.

Administratorii de rețea instaleaza aceste servere, a caror rol principal este sa ofere servicii de fisiere, ca servere membre si nu cu rolul de domain controllere.

Rolul DFS este un spatiu de stocare fizic distribuit, care face usoara administrarea si gasirea datelor in retea. Acesta apare utilizatorilor ca un sistem de fisiere unificat, desi in realitate datele sunt distribuite in mai multe locatii. De exemplu se poate folosi DFS in cazul unor fisiere stocate pe mai multe servere, ce vor fi afisate utilizatorilor intr-un singur folder, eliminand astfel nevoia utilizatorilor de a deschide mai multe locatii pentru a gasi informatia necesara. Acest rol poate conecta toate fisierele partajate intr-un singur sistem logic.

Implementarea de DFS este recomandata pentru a beneficia de urmatoarele avantaje:

• Utilizatorii pot accesa datele centralizate din mai multe locatii;

• Majoritatea utilizatorilor vor avea nevoie de acces pe serverele de fisiere;

• Performantele pentru Network load balancing pot fi imbunatatite redistribuind resursele partajate.

Procedura de instalare file server si DFS (Windows Server 2012 R2)

Dupa accesarea utilitarului Server Manager, se alege optiunea pentru adaugarea unui nou rol – “Add Roles and Features Wizard”, apoi se apasa Next:

In panoul urmator, se apasa Next pentru a alege serverul pe care rolul va fi instalat

Se selecteaza serverul pe care urmeaza ca rolul dorit sa fie instalat

Se selecteaza rourile File Server, DNS Namespaces si DFS Replication, apoi se apasa Next

Se apasa Next, nu sunt necesare caracteristici suplimentare

In urmatorul panou, se selecteaza Install pentru a initia procesul de instalare

In captura urmatoare este evidentiat statusul rolurilor in urma instalarii complete

Procesul de administrare poate fi initiat accesand sectiunea Tools din aplicatia Server Manager, apoi DFS Management

Procedura de configurare Namespace (Windows Server 2012 R2)

Pentru configurarea unui nou Namespace, se selecteaza “New Namespace…”:

Namespace-ul va fi stocat initial de catre serverul pe care se efectueaza configurarea. Introduceti in camp numele serverului:

Se alege numele dosarului (se va configura calea \\sii.ro\Home si \\sii.ro\Public):

Se selecteaza calea pentru dosarul si fisierele ce vor fi replicate (D:\DFS\Home)

In panoul urmator, se selecteaza Domain-based namespace pentru ca acesta sa fie stocat in Active Directory DS pentru a fi accesibil domeniului prin orice server DFS aflat in acelasi nod. Apoi se selecteaza Next pana la finalizarea wizard-ului:

Procedura de configurare grup de replicare DFS (Windows Server 2012 R2)

Pentru configurarea grupului de replicare, se selecteaza “New Replication Group…”

Se selecteaza “Multipurpose replication group”:

Se introduce numele grupului de replicare (Home), apoi numele domeniului (sii.ro), apoi se selecteaza Next:

Se adauga serverele member in grupul de replicare (FS1, FS2), apoi se selecteaza Next:

Se alege modul de replicare “Full”:

Se selecteaza membrul principal (FS1), apoi se apasa Next:

Se verifica calea catre directorul replicat, apoi se apasa Next:

Se adauga calea catre directorul replicat pentru fiecare membru in grupul de replicare, apoi se activeaza fiecare membru:

In urmatoarea captura este evidentiata selectia directorului Home pe serverul FS2:

Se verifica setarile, apoi in urma confirmarii, se va aplica noua configuratie:

In captura de mai jos este evidentiata starea pasilor de configurare:

In atentionarea de mai jos, se specifica faptul ca replicarea nu este initializata pana in momentul in care configuratia va fi transmisa in Active Directory:

In aplicatia DFS Management, in tab-ul Connections sunt evidentiati membrii grupului de replicare si programul de replicare definit:

Replicarea poate fi modificata accesand functia “Replicate Now…”:

Modelele de replicare ce pot fi asignate sunt: “Override schedule” sau “Usre normal schedule”:

Cerinte hardware si software server de fisiere si DFS (Windows Server 2012 R2)

Procesor: Minim 2 core 2.4 GHz, Recomandat: 6 core 3.0 GHz

x64 architecture-based computer with Intel processor that supports Intel 64 architecture (formerly known as Intel EM64T)

AMD processor that supports the AMD64 platform

Intel Itanium IA64 processors not supported

Memorie RAM: Minim: 8 GB

Recomandat: 16 GB

HDD: Recomandat: 10 TB

Network: un adaptor virtual de retea – 1 GB LAN

Sistem de operare: Windows Server 2012 R2

Limitari la nivelul replicarii datelor prin DFS (Windows Server 2012 R2)

Limita caracterelor ce formeaza calea fisierelor replicate: 32.000 caractere;

Dimensiune totala a fisierelor replicate de catre un server: 100 TB;

Numar de fisiere replicate pe un singur volum: 70 milioane;

Dimensiune fisier replicat: 250 GB.

Permisiuni configurabile

Control complet: acordand acest nivel de permisiuni, se va permite utilizatorilor accesul catre folder, oferind privilegii de administrare;

Modificare: acordand acest nivel de permisiuni se va permite actiunea de a edita fisiere;

Citire si executare: acordand acest nivel de permisiuni, se va permite utilizatorilor actiunea de a executa programe si scripturi;

Listare continut folder: acordand acest nivel de permisiuni, se va permite utilizatorilor actiunea de a vizualiza continutul directoarelor si a subdirectoarelor;

Citire: acordand acest nivel de permisiuni, se va permite utilizatorilor actiunea de a deschide documente;

Scriere: acordand acest nivel de permisiuni, se va permite utilizatorilor actiunea de a crea si sterge documente, directoare si subdirectoare.

Confirmarea functionalitatii prin testarea solutiilor implementate

Pentru confirmarea functionalitatii fiecari solutii implementate, au fost efectuate urmatoarele teste:

Functionalitatea masinilor virtuale in urma configurarii

Modificarea disk-urilor virtuale

Introducerea sistemelor in domeniul sii.ro

Eliminarea sistemelor din domeniu sii.ro, verificarea inregistrarilor in DNS si a obiectelor din Active Directory

Verificarea erorilor de replicare intre servere cu rolul de Domain Controller

Autentificarea utilizatorilor de domeniu

Verificarea accesibilitatii namespace-ului Home si a namespace-ului Public

Verificarea replicarii dosarelor \\sii.ro\Home pe serverele FS1 si FS2

Manuale de utilizare si administrare a solutiilor implementate

Active Directory

Solutia Active Directory se utilizeaza si administreaza conform recomandarilor producatorului: https://technet.microsoft.com/en-us/library/cc757170(v=ws.10).aspx

Distributed File System

Solutia Distributed File System se utilizeaza si administreaza conform recomandarilor producatorului: https://technet.microsoft.com/en-us/library/jj127250.aspx

Configuratia adaptoarelor de retea:

Servere Active Directory:

DC1:

DC2:

DC3:

Servere de fisiere:

FS1:

FS2:

FS3:

CONCLUZII

Prezentare Active Directory

Active Directory este un serviciu director de informații despre obiecte care sunt în legătură într-o rețea. Un director este un set de obiecte cu atribute organizate intr-o structura ierarhica.

Active Directory pune la dispoziția administratorilor prin implementarea serviciilor de directoare LDAP un mediu flexibil cu efect global pentru: asignarea permisiunilor, instalarea programelor, înnoirea securității

Lightweight Directory Access Protocol, sau LDAP, este un protocol aplicatie folosit pentru interogarea si modificarea serviciilor de directoare prin intermediul TCP/IP.

Active Directory prezinta o ierarhie de mai multe obiecte, unde obiectele se împart în trei categorii: resurse (ex: imprimantă), servicii (ex: poșta electronică), resurse umane (ex: utilizatori, grupe de utilizatori). Scopul tehnologiei Active Directory este de a pune la dispoziție informații despre aceste obiecte, organizarea obiectelor, controlul accesului, setarea securității etc.

Fiecare obiect indiferent de categorie reprezintă o entitate și atributele ei, unde 'entitate' poate fi – "Utilizator", "Calculator", "Imprimantă", "Aplicație" sau "Resursă Partajată". Mai mult decât atât, un obiect poate să conțină și alte obiecte. Atributele obiectului (structura de bază a obiectului în sine) sunt definite de o "schemă", care la rîndul ei definește și tipul obiectelor care pot fi stocate ca subobiecte în obiectul dat.

O "schemă" e compusă din două tipuri de obiecte (sau meta-datele schemei): "clasa" și „atributele". Aceste metadate există cu scopul de a extinde sau modifica schema. Din motiv ce metadatele schemei sunt parte din obiectul pe care-l descriu (parte din obiectul la care a fost aplicată schemă), odata ce am modificat schema, efectele se raspândesc pe toate obiectele din Active Directory la care a fost aplicata schema dată – prin această caracteristică "Active Directory" este foarte puternic dar și foarte periculos – o modificare nechibzuită poate duce la efecte nedorite de nivel global (cum ar fi: scăderi din salariu de nivel esențial, imposibilitatea îndeplinirii lucrului oamenilor care sunt dependenți de efectele modificării). O schemă creată poate fi numai deactivată, nu și ștearsă – deoarece crearea sau modificarea unei scheme este bazată pe motive serioase.

Active Directory grupeaza toate serviciile asigurand o administrare centralizata. Informatiile din Active Directory apartin obiectelor care sunt grupate in campuri de informatii. Diferenta dintre o baza de date si Active Directory consta in modul ierarhic de organizare a campurilor de obiecte pentru o cautare facila.