Transcript III Konferencja w Twardogórze - DKATI 2010 Dolno*l*ska

Prowadzący: inż. Rafał Matelski
Porady zostały utworzone w oparciu o
instalację Microsoft Small Business
Server
2003
R2
(DVD kolekcja jesień 2007/wiosna
2008) oraz wersje niemodyfikowaną.
Instalacja
SBS2003 razem
z wszystkimi
usługami i
składnikami
Tworzenie
struktury
dyskowej
Instalacja
dodatkowego
oprogramowania
MS SBS2003 kolekcja jesien2007 / wiosna 2008 jest systemem,
który można porównać do obrazu dysku. To znaczy, że na
serwerze instalowany jest pełny system razem z wszystkimi
usługami oraz składnikami, które są skonfigurowane. Ma to swoje
wady i zalety. Zaletą jest to, że dostajemy pełny system gotowy do
pracy, co zaoszczędza nam czasu, lecz po co nam usługi z których
nie korzystamy lub dla naszego użytku konfiguracja usługi powinna
wyglądać inaczej?
Przykładowo:
• pierwszą wadą instalacji SBS 2003 z kolekcji jest ilość
zajętego miejsca dysku. Instalowany system, aż z czterech
płyty DVD zajmuję ponad 17 GB miejsca na dysku serwera.
Razem z tym wydłuża się czas instalacji, który w skrajnych
przypadkach może dojść do 16 godzin.
• jeśli korzystamy z usługi DHCP i DNS wbudowanej w router
sprzętowy, to nie potrzebny nam ten składnik instalowany
domyślnie na serwerze kolekcji SBS 2003.
• Baza SQL Server 2003 w pełnej wersji nie zawsze jest
potrzebna administratorowi, która jest narzucana w kolekcji, a
można ją zastąpić lżejszą wersją SQL Server 2003 Express.
• Grupy użytkowników są potworzone, nadane są im prawa
łącznie z wyglądem pulpitu oraz przydzielonym miejscem na
dysku serwerowym. Taka uogólniona standaryzacja nie będzie
sprawdzać się w każdym środowisku.
• Usługa
WSUS
domyślnie
pobiera
wszystkie
aktualizacje(krytyczne, zabezpieczeń, dodatki service pack i
opcjonalne) dla wszystkich systemów operacyjnych i aplikacji
rodziny Windows. Bardzo wątpliwe jest to, że na stacjach
roboczych w pracowni komputerowej będzie instalowana pełna
gama produktów Microsoft.
• Oprócz usług i składników podczas instalacji narzucona jest
cała struktura dyskowa serwera. Doinstalowywane są również
aplikacje, takie jak programy antywirusowe, pakiety biurowe,
drukarki. Nie zawsze muszą się zgadzać z wyborem opiekuna
pracowni
• Dodatkowo na dyski serwera kopiowane są obrazy systemów
operacyjnych dla stacji roboczych gotowych do instalacji przez
sieć. Wymaga to oczywiście dużej ilości wolnego miejsca, które
można wykorzystać w innym celu, np. na tworzenie kopii
bezpieczeństwa.
Proces instalacji świeżej kopii systemu serwera przy użyciu płyty
MS SBS 2008 bez modyfikacji zawiera się na jednej płycie DVD.
Mamy władzę nad każdym szczegółem w całym procesie.
Wybieramy tylko te usługi i składniki, które nas interesują. Razem
z tym skraca się czas instalacji oraz miejsce zajmowanego przez
system miejsca na dysku serwera.
SBS 2003 kolekcja jesień2007/wiosna 2008
jest rozprowadzany tylko w wersji 32-bitowej,
czyli pozwala zaadresować tylko 3,25 GB
pamięci operacyjnej RAM. SBS 2003 bez
modyfikacji sprzedawany jest wersjach
zarówno 32 i 64 bit. Czyli serwery,
posiadające więcej niż 3,25 GB pamięci RAM
powinny pracować na serwerach 64bitowych, które wykorzystają całą pamięć
zainstalowaną w systemie.
W edycji SBS 2003 pracowni wiosna/jesień 2007 istnieje problem z
nierozpoznaniem chpsetów kart sieciowych. Należy stosować karty
sieciowe z chipsetem Realtek 8139D.
Należy również pamiętać o tym, że podłączając kabel sieciowy do
switcha przed rozpoczęciem instalacji, należy z niego wypiąć
pozostałe komputery oraz inne urządzenia sieciowe. W
szczególności router z włączoną usługą DHCP.
• konfiguracja sprzętowa serwera
• płyta sterowników serwera
Komponent
Wymagania
Procesor
2.00 GHz (x64)
Pamięć RAM
4 GB (zalecane: 4 GB;
maksymalnie: 32 GB)
Dysk HDD
60 GB
Napęd optyczny
Napęd DVD
Urządzenia sieciowe
Router wspierający
technologię IPv4 NAT lub
IPv6
Karta graficzna
Standardowa karta graficzna
obsługująca rozdzielczość
1024 x 768 lub wyższe
Do każdego serwera (w tym przypadku firmy DELL)
dołączana jest płyta DVD, na której znajdują się wszystkie
sterowniki urządzenia. Przed instalacją SBS 2008 należy
włożyć płytkę serwera do napędu DVD wybrać jaki system
będziemy stawiać, określić konfiguracje macierzy i odpalić
program instalacyjny z płyty SBS2008. Instalator SBS 2008
będzie korzystał z załadowanych sterowników podczas
instalowania systemu i nie będzie potrzeby późniejszego ich
ręcznego dodawania.
• Wspieranie Windows Vista i Windows 7.
• Nowoczesny system serwerowy.
• wprowadzenie codziennych lub cotygodniowych raportów w
celu uzyskiwania aktualnych informacji na temat stanu i
bezpieczeństwa sieci.
• nowa
udoskonalona
konsola
administracyjna
do
monitorowania serwerów i komputerów służąca w celu
szybkiego rozwiązywania problemów i zarządzania siecią.
Instalacja Server Core, jest instalacją, która pozwala
zainstalować system w minimalnej wersji, która umożliwia
użycie tylko wybranych ról serwera. Jest to bardzo bezpieczne
z punktu widzenia bezpieczeństwa. Ponieważ nie powstaje
ogromny obszar potencjalnego ataku na stworzony przez
wszystkie wymagania usług.
Po instalacji Server Core poprzez Menadżer Serwera
należy dodać pozostałe dostępne role np.:
• serwery aplikacji,
• serwer DHCP,
• serwer DNS,
• usługa Acitve Directory i usługi domenowe,
•Sieciowy Program antywirusowy integrujący się z systemem .
Narzędzie do tworzenia i przywracania kopii
bezpieczeństwa w systemie Windows Small Bisuiness Server
2008 różni się sposobem zarządzania od tego, co prezentował
system w wersji 2003. W SBS 2008 tworzenie kopii
bezpieczeństwa odbywa się na podstawie harmonogramu:
• Dzienne kopia przyrostowa, wymieniana, co tydzień: 4 lub
więcej.
• Tygodniowa kopia pełna wymieniana co miesiąc: 12 lub
więcej.
• Miesięczna kopia pełna, wymieniana co roku: 12 lub więcej.
Wygoda w zarządzaniu aktualizacjami stacji poprzez ustawienie GPO
np.:
• Czasu w którym się może ona wykonać,
• Graficzne przedstawienie postępów aktualizacji stacji ,
• Jednokrotne pobieranie aktualizacji – następnie są one dostarczane z
lokalnego serwera,
• Bez dotykowa instalacja aktualizacji ,
• Zabiera dosyć dużo miejsca na dysku lokalnym serwera – należy
okresowo czyści folder z pobranymi danymi.
Należy wybrać tylko
to oprogramowanie
które posiadamy w
swoich pracowniach
Najlepszym rozwiązaniem jest instalacja klientów programu
antywirusowego na każdej stacji osobno oraz konsole do
zarządzania klientami, aktualizacjami, przeglądania raportów itp.
Ma to swoją zalety:
• agenci odciążają serwer od obliczeń, wszystkie prace
wykonywane są na stacji roboczej,
• aktualizacje bazy wirusów i programów są zlecane przez konsolę
automatycznie. Mamy pewność, że włączona stacja ma aktualne
bazy wirusów, bez ingerencji użytkownika,
•widzimy dokładnie lokalizację ewentualnego wirusa (w plikach
użytkownika).
Antuwirusy siecowe
Połączenie
pomiędzy
serwerem
administracyjnym
i
oprogramowaniem
antywirusowym
zainstalowanym
na
komputerach klienckich w sieci logicznej wymaga zainstalowania
agenta sieciowego na stacjach.
Najprostszym sposobem instalacji agenta jest zadanie zdalnego
rozsyłania. Jednak istnieją przypadki, gdy instalacja lokalna jest
preferowana lub wymagana jako jedyna możliwa.
Na przykład, podczas instalowania agenta sieciowego na
komputerze znajdującym się w odległym biurze, czasami prościej
jest przesłać do tego biura folder z przygotowanym "cichym"
pakietem instalacyjnym. Lokalna instalacja jest również jedynym
możliwym sposobem zainstalowania agenta sieciowego na
komputerze klienckim działającym pod kontrolą Microsoft
Windows XP Home lub Microsoft Windows Vista Home
Edition.
• uruchomienie pliku instalacyjnego agenta sieciowego lokalnie.
Ten typ instalacji wymaga odpowiedzi na pytania Kreatora instalacji
(określenia
adresu
serwera
administracyjnego).
• cicha instalacja lokalna. Typ ten odbywa się bez wiedzy i
ingerencji użytkownika w proces. Taki tryb cichy można wywołać na
końcówkach sieciowych zdalnie różnymi narzędziami do zdalnej
administracji
Po lewej
stronie widać
wszystkie
komputery na
których jest
zainstalowany
klient, po
prawej raport z
ochrony
antywirusowej
całej sieci
lokalnej.
SBS 2008 korzysta z Microsoft SQL Server 2008. Podłączyć się
do baz danych można się na dwa sposoby:
• Windows Authentication (uwierzytelnianie Windows)
• SQL Server Authentication (uwierzytelnianie serwera SQL)
Uwierzytelnianie Windows
Podłączenie do bazy jest dostępne tylko dla tych kont
użytkowników, na które pozwoli administrator serwera.
Uwierzytelnianie serwera SQL
Podłączenie do bazy jest dostępne dla konta Superadmin. Takie
konto trzeba stworzyć.
Oprogramowanie zainstalowane na SBS 2008 korzystające z
bazy danych w przeważającej większości korzysta z
uwierzytelniana Windows. Wyjątkiem jest na przykład
OPROGRAMOWANIE OPTIVIUM. Które przy zakładaniu bazy
danych wymaga konta sa. Należy je założyć, korzystając z
autoryzacji Windows nadając odpowiednie uprawnienia. Np. do
zakładania baz danych. Warto również nadmienić, że MOL nawet
w najnowszej wersji (oprogramowanie dla bibliotek) wchodzący w
skład pakietu OPTIVIUM, nie współpracuje z SQL 2008 !!
Skrypt najprościej napisać otwierając notatnik, wpisać treść skryptu
np.:
net use k: \\DYSK_NAS\wszyscy_nas
net use w: %logonserver%\wszyscy
Zapisać plik i zmienić jego rozszerzenie na .bat.
Dany skrypt odpowiada za udostępnienie partycji dysku
sieciowego. Taki zasób zauważany jest w zawartości komputera,
jako zmapowany dysk sieciowy.
Konfiguracja
komputera
(lub
użytkownika)
Szablony
administracyjne - System - Logowanie - Uruchom te programy
podczas logowania użytkownika > Włączone > Pokaż > Dodaj.
Działanie skryptu widać na zrzucie ekranu.
Skrypty można przypisać użytkownikom bądź
grupom tak, aby ładowały się razem z
zalogowaniem się użytkownika.
GPO (Group Policy), jest to składnik systemu SBS 2008, w którym
tworzy się zasady dla grup, użytkowników i komputerów, które
pracują w danej DOMENIE! (Żeby móc korzystać z GPO, sieć
lokalna musi pracować w domenie). Inaczej mówiąc z poziomu
serwera administrator sieci ma wpływ na ustawienia użytkowników,
konfiguracje aplikacji i systemów operacyjnych instalowanych na
stacjach roboczych.
Dla sieci zawierającej do 50 komputerów z komputerami administracji
wystarcza łącze o prędkości 4MB/512kB DSL ze stałym IP
przydatnym do zdalnej pracy na serwerze.
Dyski sieciowe są idealnym rozwiązaniem dla serwerów i sieci
lokalnych dla przechowywaniem danych i kopii zapasowych. Takie
dyski podłącza się bezpośrednio do sieci komputerowych, a dane
z poszczególnych stacji roboczych są magazynowane w osobnym
Dysk sieciowey
X-RAID
i ISCASI
urządzeniu
niezależnym
od podłączonych
komputerów.
W obsłudze dyski sieciowe są identyczne dla użytkowników, jak
lokalne dyski. Oczywiście tak są widziany jest w systemie i
użytkownik nie wie gdzie się ten dysk fizycznie znajduje.
Dysk sieciowe jest zarządzany przez administratora lub prawa są
dziedziczone z AD.
Dyski sieciowe konfiguruje się poprzez interfejs
internetowej w pasek adresu wpisując adres IP dysku.
przeglądarki
Źródło: http://www.nexitel.pl
Technologia ta sprawia, że urządzenia ReadyNAS zostawiają w tyle
konkurencję pod względem niezawodności oraz bezpieczeństwa
przechowywania danych. Technologia X-RAID niweluje wszelkie ułomności
związane z standardowym RAID całkowicie automatyzując wszystkie
zadania związane z RAID. X-RAID umożliwia wymianę dysków na dyski o
większej pojemności dynamicznie bez obowiązku archiwizacji danych oraz
ponownego tworzenia wolumenu.
1. Załóżmy, że kończy nam się miejsce na sieciowym banku danych:
1. Załóżmy, że kończy nam się miejsce na sieciowym banku danych:
2. I chcielibyśmy wymienić dyski na inne o większej
pojemności. Zanim wymienimy dyski musimy przenieść
wszystkie składowane dane na inne urządzenie
posiadające tą samą pojemność.
Źródło: http://www.nexitel.pl
3. Dopiero po archiwizacji danych możemy wymienić dyski na większe.
4. Jak łatwo zauważyć operacja ta musi zostać wykonana po godzinach
pracy. Budowa nowego wolumenu również zajmie kilka godzin zanim
będziemy mogli przegrać zarchiwizowane dane na macierz roboczą.
Źródło: http://www.nexitel.pl
X-Raid rozwiązuje ten problem
W momencie, kiedy kończy nam się miejsce na dyskach.
Wystarczy wyciągnąć dysk, który chcemy
wymienić i po
prostu zainstalować nowy, większy.
Operację tą wykonujemy w godzinach pracy a macierz jest cały czas
dostępna dla użytkowników.
Ponadto, X-RAID umożliwia również rozbudowę
pojemności systemu w miarę potrzeb. Można
zainstalować jeden twardy dysk i dodawać kolejne dla
zapewnienia nadmiarowości lub większej pojemności
Powyższa konfiguracja z jednym dyskiem nie zapewnia
zabezpieczenia danych, ale wystarczy dołożyć kolejny
dysk aby stworzyć RAID 1 czyli mirroring i kolejny aby
stworzyć RAID 5.
Cała
procedura
nie
wymaga
przenoszenia
danych
w
celu
przebudowy RAID. Rodzina ReadyNAS
obsługuje
również
standardowe
konfiguracje RAID 0, 1, 5 i 6.
Dodatkowo system hotswap umożliwia
wymianę
dysków
podczas
pracy
urządzenia.
Źródło: http://www.nexitel.pl
Sam interfejs, konfiguracja i obsługa serwerów DNS i DHCP w niczym
nie różni
się iod
tej zaimplantowanej w SBS 2003. Różnica pojawia się
DHCP
DNS
w samym kreatorze połączenia internetowego. Jedną z różnic jest to,
że kreator SBS 2008 tworzy wirtualną kartę sieciową.
Dzierżawy
adresów w
serwerze
DHCP
Na podstawie opracowania p. Mirka ze strony KOPI.edu.pl
Zalety:
1. Szybka odbudowa systemu wraz z całym oprogramowaniem
wielu stacji
2. Tworzenie wzorcowych obrazów dysków
3. Ochrona i przywracanie dysków stacji lokalnych
4. Automatyczne identyfikowanie i dodawanie do domeny
kopiowanych obrazów
5. Tworzenie pakietów przyrostowych
6. Uruchamianie i zamykanie systemów stacji roboczych
7. Informacje konfiguracyjne serwera i stacji roboczych
Wady:
1. Znaczne spowolnienie startu i działania systemu serwera i stacji
roboczych.
2. Obniżenie wydolności procesów serwera a szczególnie usługi SQL
3. Mozolne i wymagające wielu restartów wyłączanie ochrony dysków
4. Utrata integralności dysków z obrazem na serwerze przy każdym
wyłączeniu ochrony
5. Brak kompatybilności z usługą WSUS
6. Niedopracowany system tworzenia pakietów przyrostowych
7. Niezrozumiały i zawiły system dodawania licencji
8. Ograniczenia licencyjne skutkujące zablokowaniem możliwości
aktywacji przez Internet
9. Niejednolity i niespójny system zabezpieczeń
10. Skromne wsparcie polskich oddziałów firmy Intel
Warto zadać sobie pytanie, jakich mechanizmów potrzebujemy do
sprawnego zarządzania siecią lokalną. Czy usługi RIS, WDS albo
dodatkowe moduły disk recovery nie załatwią tego w równie skuteczny
sposób. No i dlaczego administratorzy dużych instytucji nie traktują
tego
produktu
poważnie.
Aplikacja do
tworzenia płyt
instalacyjnych
systemów Windows
z własnymi
ustawieniami
Narzędzie do
tworzenia i
przywracania systemu
z obrazu dysku
twardego.
Zdalne instalowanie
systemów operacyjnych
Pozwala
dostosować
instalacje
systemu
do
własnych potrzeb. Możliwe
jest zintegrowanie do plików
instalacyjnych dodatkowych
aplikacji,
ustawień,
komponentów, takich jak:
• Service Packi
• Aktualizacje
• Sterowniki
(zalecane
drivery PNP)
• wstawienie
klucza
licencyjnego do instalatora
• dodatkowych
własnych
aplikacji użytkowych
Narzędzie również pozwala na zarządzanie standardowymi
komponentami Windows, które mają być zainstalowane. Dzięki
temu możemy:
• pozbyć się np. Windows Media Player, Internet Explorer,
Outlook Express, MSN Explorer, Messenger itp.
• spersonalizować pulpit, ustawić domyślną rozdzielczość,
głębie kolorów,
• dodać użytkowników i nadać im prawa,
• włączyć lub wyłączyć protokoły TCP/IP, IPX/SPX,
I wiele innych. Opcji konfiguracji jest tyle, co komponentów
Windows.
Kompatybilność
• Windows 2000 x86 i x64
• Windows 2003 x86 i x64
• Windows Xp x86 i x64
Dla Windows Vista została przygotowana osobna
wersja programu o nazwie
.
DO TEJ PORY NIE POTWIERDZONO
OFICIALNE KOMPATYBLINOŚCI Z
WINDOWS 7 !
Ważną opcją jest włączenie instalacji nienadzorowanej. Dzięki
temu, cały proces instalowania stacji roboczej zostaje
zautomatyzowany i po zbootowaniu komputera z napędu CD
lub sieci Ethernet (w zależności, skąd chcemy instalować
system) nie potrzebna jest ingerencja opiekuna pracowni.
Jeśli chcemy wymusić
tryb instalacji
nienadzorowanej
zaznaczamy opcję „ukryj
strony”
Narzędzie pozwala na
szybkie zarchiwizowanie
partycji systemowej razem
ze
sterownikami
i
programami, z których
korzystamy w postaci
obrazu
dysku,
który
możemy zapisać np. na
innym HDD, pamięci NAS,
bądź płycie DVD. Taki
obraz w przypadku awarii
stacji roboczej można
przywrócić.
Jednak, aby odzyskany system zachowywał „świeżość”,
obraz dysku powinien być wykonany zaraz po
zainstalowaniu systemu i oprogramowania dodatkowego
(sterowniki, programy) z których będziemy korzystać. To
tylko gwarantuje, że odzyskany system nie będzie posiadał
przepełnionych bibliotek .dll, zaśmieconego rejestru itp.,
czyli będzie pracował szybko i sprawnie.
RISsystemu SBS 2008, która pozwala na zdalne
Usługa
instalowanie systemów Windows na klientach. Działanie
RIS polega na instalacji systemów operacyjnych Windows
poprzez sieć. Źródłem instalacji są obrazy systemów
przechowywane na jednym lub wielu serwerach usługi.
Rozpoczęcie instalacji polega na uaktywnieniu w klientach
rozruchu z karty sieciowej - wtedy serwer RIS w odpowiedzi
na rozruch komputera-klienta rozpoczyna instalację
sieciową. Warto również wiedzieć, że instalację RIS można
połączyć z instalacją nienadzorowaną.
nLite
Norton Ghost
Wady
• Koniczność aktualizacji obrazu
(dodawanie SP, baz
antywirusowych)
• Przeprowadzanie pełnej instalacji
stacji (z Office około 2 H)
• Długi czas
wykonywania obrazu
• W celu poprawy
komfortu pracy częste
wykonywanie
obrazów (zawsze
najświeższy)
Zalety
• Zawsze gotowa płyta dopasowana
do stacji roboczej
• Bezdotykowa instalacja stacji
• Możliwość instalacji obrazu z sieci
• Szybki czas
przywracania stacji
(około 20 mi z Office)
• Prosty proces
odtwarzania stacji
• brak konieczności
instalowania
Windowsa
Najprostszym sposobem przyspieszenia pracy stacji
roboczej jest zainstalowanie stacji dodatkowej kości
pamięci RAM. Jednak, aby pamięć współpracowała ze
stacją, trzeba pamiętać o kilku rzeczach:
• płyta główna musi posiadać wolne sloty
przeznaczone na pamięć RAM. Obecnie
produkowane płyty główne posiadają
przeważnie 4 sloty przeznaczone dla
pamięci RAM
• trzeba wiedzieć, jaki typ pamięci
obsługuje dana płyta główna. Obecie
produkowane płyty główne pracują na
pamięciach DDR2 lub DDR3.
•trzeba wiedzieć ile pamięci może obsłużyć
płyta główna.
Rozbudowa stacji roboczej o dodatkowy dysk twardy jest
procedurą, która pozwala zwiększyć wydajność stacji. Jednak
aby zainstalowany dodatkowy napęd, powodował wzrost
wydajności, trzeba zastosować MACIERZ DYSKOWĄ
(RAID). Istnieje wiele odmian techniki RAID. RAID 0
powoduje wzrost przepustowości całego podsystemu
dyskowego.
Do zastosowania RAID 0 potrzebne są minimum dwa nośniki
danych. Komputer widzi sumę wszystkich dysków
połączonych w macierz, jako jeden. Odczyt i zapis informacji
jest dokonywany jednocześnie przez wszystkie dyski, co
zapewnia istotny wzrost wydajności nawet do 50%. Wadą
takiego rozwiązania jest 50% wzrost ryzyka awarii.
Uszkodzenie jednego dysku powoduje utratę danych całej
macierzy jednak jeżeli dane przechowujemy na serwerze
ryzyko ich utraty jest minimalne.
Dysk 1
Dysk 2
Blok 1
Blok 2
Blok 3
Blok 4
Blok 5
Blok 6
Blok 7
Blok 8
Do zastosowania macierzy potrzebny jest
odpowiedni kontroler:
• zintegrowany na płycie głównej
• karta PCI
Przykładowy ekran
konfiguracji RAID 0
w biosie z chipsetem
nVidii
Należy pamiętać, że dyski, które łączymy
w macierz powinny być jednakowej
pojemności. Przeciwnym razie kontroler
zaniży wartość dysków do najniższej w tej
konfiguracji. Całość konfiguracji dokonuje
się w BIOS-ie komputera.
Źródło: http://opiekunucznia.pl/
OpiekunNET jest pierwszym na polskim rynku systemem filtrującym
nowej generacji. Jako program w pełni sieciowy oferuje funkcje
wcześniej niedostępne dla programów kontrolujących dostęp do
Internetu. Nie tylko chroni przed otwieraniem niepożądanych stron
Internetowych, lecz także oszczędza czas poświęcany na
administrowanie pracownią komputerową.
Źródło: http://opiekunucznia.pl/
Wygląd pracowni w której zainstalowany jest OpiekunNET. Program
ten posiada specjalny moduł – Konsole Administratora – która
komunikuje się ze wszystkimi komputerami uczniowskimi, przekazując
im polecenia nauczyciela. Obrazuje to rysunek poniżej.
Źródło: http://opiekunucznia.pl/
Konsola Administratora (może być zainstalowana na dowolnym
komputerze nie koniecznie na serwerze i nie musi być tylko jedna w
sieci)
komunikuje
się
z
niewielkimi
programami,
zwanymi Agentami, zainstalowanymi na stanowiskach uczniowskich.
To Agenci wykonują rzeczywiste filtrowanie, natomiast Konsola
Administratora udziela im tylko instrukcji co powinno być filtrowane.
Dzięki takiej architekturze, Konsola Administratora może być
zainstalowana
na
dowolnym
komputerze,
udostępnionym
nauczycielowi bez względu na sposób podłączenia pracowni do
Internetu.
Konsola Administratora dzięki komunikacji z komputerami
uczniowskimi, pozwala na odzwierciedlenie sytuacji w pracowni na
ekranie komputera nauczycielskiego. Program tworzy listę komputerów
znajdujących się w pracowni na których możemy wykonywać
różnorakie operacje. Zarówno na pojedynczych komputerach jak i na
wielu stanowiskach jednocześnie.
Zrzut ekranu
przedstawiający
wszystkie
komputery w
sieci, na których
są
zainstalowane
są programy
agenta
Opiekuna
Zrzut ekranu
komputerów na
których są
zainstalowane
programy
agenta,
przedstawiający
raporty o
odwiedzanych
stronach
internetowych
wszystkich
stacji.
Istnieją różne sposoby na ominiecie opiekuna ucznia. Jednym z nich
jest skracanie linków. Istnieją strony internetowe, jak np.:
• tnij.org
• tinyurl.pl
• skocz.pl
• utnij.to
Jeśli adres strony internetowej, którą Opiekun domyślnie blokuje
skrócimy za pomocą stron do skracania linków opiekun „puszcza” taką
stronę. Takie strony działają za pomocą wirtualnych serwerów Proxy.
Lekarstwem na takie działania, jest dodawanie stron do skracania
linków do bazy blokowanych stron Opiekuna.
www.opiekun.xt.pl
Opis z powyższej strony zawiera instrukcję, jak złamać hasło do konta
Nauczyciel w programie Opiekun.
Hasło
do
konta
'Nauczyciel'
programu:
Opiekun
Ucznia przechowywane jest w pliku: users.dat. Znajduje się on w
katalogu: DB, w miejscu gdzie Opiekun Ucznia został zainstalowany.
Domyślna
ścieżka
do
tego
pliku
to:
C:\Program Files\Opiekun\DB\users.dat.
W dalszym postępowaniu wysyłamy plik users.dat i skrypt PHP łamie
hasło.
W najnowszych wersjach programu, ta luka w programie
została usunięta.
Istnieją programy, które obchodzą
OpiekunNET np. AntyOpiekun.
zabezpieczenia
programu
Niestety nie były one jeszcze przez nas „testowane”.
Aby zabezpieczyć się przed urządzeniami podłączającymi się do sieci
zabierających dużą część pasma, trzeba pamiętać o nakładaniu
ograniczenia pasma dla urządzeń podłączających się do sieci.
• Zaszyfrowanie WPA2-PSK(AES) v2 , czyli aby uzyskać dostęp do sieci
trzeba uzyskać od administratora hasło dostępu.
• Filtracja adresu MAC na access pointach. Dostęp do sieci WiFi uzyskuje
się, jeśli adres MAC naszej karty sieciowej zostanie dodany do bazy
adresów MAC access pointa.
Access Point – (punkt dostępu) łączy sieć bezprzewodową z zasobami
siec za pomocą radiowego kanału transmisyjnego.
Rodzaje sieci bezprzewodowych. Ważne
żeby router WiFi obsługiwał siec radiowe w
standardach 802.11.a/g/n
W zależności od wybranego standardu
trzeba dobrać odpowiedni anteny.
Mikrotik
Routerboard
433, 3x LAN,
3x MiniPCI,
OS: level 4
Antena bazowa – służy do komunikacji urządzeń bezprzewodowych z
access pointem. W sieciach bezprzewodowych stosuje się przeważnie
anteny kierunkowe pokrywające sygnałem120 ̊ powierzchni.
Ubiquiti
Networks AirMax
2.4GHz,
2x15dBi/120
Sektor
Aby zapewnić maksymalne bezpieczeństwo sieci radiowej
można logicznie oddzielić ją fizycznie od sieci lokalnej.
Poprzez zaadresowanie innym zakresem IP odpowiednich
portów na switchu zarządzanym. Można także uruchomić
serwer radiusa i wprowadzić autoryzacje PPPOE jednak w
wymaga to od administratora większej ilości pracy przy
zezwalaniu na dostęp do sieci radiowej, gdyż należy każdemu
nadać indywidualnie adres i hasło które będą połączone z
adresem MAC urządzenia dostępowego.
Inne zagadnienia:
- strona www oparta na CMS joomla bądź systemu CMS THEA firmy ZETO
- polityka bezpieczeństwa danych
- obowiązki ABI (Administratora Bezpieczeństwa Informacji)
Prezentację opracował: inż. Krzysztof Czukiewski – stażysta w Miejskim Zespole Szkół
[email protected]
Świeradów-Zdrój październik 2010