Обеспечение информационной безопасности в сети организации с использование службы каталогов. Создание домена в локальной сети

Доброго времени суток уважаемые читатели моего блога по информационной безопасности. В предыдущий статьях я упоминал о том, что для обеспечения безопасности конфиденциальной информации необходимо прежде всего ограничить к ней доступ. Если информация хранится на одном или нескольких компьютерах то можно разграничить доступ к ней на основе списков доступа ACL непосредственно на персональных компьютерах пользователей. А если в сети вашей организации есть гораздо больше компьютеров пользователей 20, 50, 100 или даже тысячи, да еще есть и компьютеры или серверы на которых имеются папки с файлами открытыми в общий доступ определенным группам сотрудников.

В таком случае управлять разграничением доступа к информации ограниченного доступа непосредственно на компьютерах пользователей и серверах становится довольно неудобно, т.к. при например добавлении нового пользователя, вам придется обойти все компьютеры и серверы к которым он должен будет иметь доступ. В данной ситуации вам на помощь может придти служба каталогов.

Служба каталогов в компьютерном понимании это программный комплекс, позволяющий администратору сети работать с упорядоченным по ряду признаков массивом информации о сетевых ресурсах (общие папки, серверы печати, принтеры, пользователи и т. д.), хранящимся в едином месте, что обеспечивает централизованное управление как самими ресурсами, так и информацией о них, а также позволяющий контролировать использование их третьими лицами. Служба каталогов в понимании информационной безопасности это инструмент позволяющий прежде всего гибко организовывать разграничение доступа пользователей как к информации ограниченного доступа так и к информационным системам, ресурсам и информационным сервисам, причем это все можно делать централизовано с рабочего места администратора сети или администратора информационной безопасности. Службу каталогов в локальной сети организации можно развернуть на операционных системах MS Windows, Linux, BSD, Novel и т.п. В данной статье я расскажу как создать домен и организовать службу каталогов в локальной сети организации на базе операционной системы  MS Windows.

Для организации службы каталогов в сети на операционной системе  MS Windows необходимо развернуть на серверной операционной системе MS Windows Server 2000 или выше программный комплекс MS Active Directory. Для примера я буду разворачивать на серверной платформе MS Windows Server 2003. Для установки службы каталогов MS Active Directory выберете в меню Пуск оснастку "Управление данным сервером" и выберете пункт "Добавить удалить роль".

Затем нажмите кнопку "Далее", выберете роль сервера "Контроллер домена (Active Directory)" и нажмите еще раз далее. В операционной системе MS Windows Server роль службы каталогов выполняют контроллеры домена которые сохраняют и хранят данные каталогов, управляют взаимодействием пользователей с доменом, включая процесс входа в домен, проверку подлинности и поиска в каталогах.

После нажатии кнопки "Далее" запустится мастер установки Active Directory.

В первых двух диалогах мастера установки и настройки Active Directory нажмите кнопку "Далее" . В диалоговом окне Тип контроллера домена можно указать роль на которую предназначается данный сервер. Если вы поднимаете домен в локальной сети в первые то выберете "Контроллер домена в новом домене" и нажмите кнопку "Далее". Если в вашей сети уже развернут домен и вы хотите поднять резервный контроллер домена или необходимо подключить пользователей удаленного офиса к вашему домену с разворачиванием дополнительного контроллера домена в данном удаленном офисе (это нужно для того, чтобы пользователи не занимали канал передачи данных для аутентификации и авторизации на сетевых ресурсах и на случай обрыва канала чтобы можно было бы аутентифицироваться в сети, т.е. обеспечить надежность и отказоустойчивость сети) выберете "Добавочный контроллер домена в существующем домене" и нажмите кнопку далее.

При выборе установки нового контроллера домена в новом домене далее будет предложено выбрать один из трех вариантов:

1. Новый домен в новом лесу - Выберете этот вариант, если вы поднимаете новый домен в локальной сети вашей организации;

2. Новый дочерний домен в существующем доменном дереве - этот вариант нужно выбрать если создаваемый домен должен быть дочерним для существующего домена, например домен головного офиса имеет имя testoffice.ru а вам нужно создать дочерний домен какого-то регионального представительства moscow.testoffice.ru. При этом домен moscow.testoffice.ru будет полностью самостоятельным в плане администрирования и управления пользователями в своем домене, но для заведения такого домена необходима связь с родительским доменом и обладать учетной записью администратора в нем.

3. Третий вариант позволяет создать дополнительный домен в лесу доменов, например когда есть большая корпорация у которой должно быть несколько разных доменов но при это они должны быть не дочерними по отношению друг к другу.

Т.к. в данном посте я рассказываю как поднимать совершенно новый домен выберем соответственно вариант первый и нажмем кнопку "Далее". В последующих своих статьях я обязательно расскажу как поднять дочерний домен и дерево доменов но сейчас у меня поставлена цель уяснить принцип создания службы каталогов на основе контроллера домена для обеспечения информационной безопасности в сети организации. Все остальные случаи поддоменов и лесов соответственно являются аналогичными случаями с точки зрения обеспечения безопасности информации и отличаются только организационной составляющей (разделение и делегирование полномочий между обслуживающим персоналом сети - администраторами).

В следующем окне будет предложено ввести полное DNS имя создаваемого домена. На данном этапе необходимо тщательно продумать и выбрать данное имя т.к. в случае необходимости его смены вы столкнетесь с кучей проблем по его изменению. Если у вас уже имеется например вебсайт или свой почтовый домен то DNS имя лучше ввести в соответствии с уже имеющимся доменным именем сайта или почтового домена. Если вы планируете разворачивать у себя в сети внешние сервисы такие как почта или вебсайт то сначала желательно зарегистрировать домен у регистратора а потом поднимать уже зарегистрированный домен у себя в сети. В данных случаях не важно есть ли у вас уже публичный адрес в сети Интернет. Если вы не планируете разворачивать электронную свою почту или вебсайт и все ваши пользователи пользуются почтовым сервисом например mail.ru, то DNS имя будущего домена можно выбрать любое, например test.loc или home.ru. Для своего случая я выберу имя домена соответствующее моему блогу sec-it.ru.

Для поддержки устаревших операционных систем старого поколения необходимо ввести NetBIOS имя домена. Мастер установки автоматически предложит данное имя на основе введенного DNS имени. Данное NetBIOS имя должно быть не более 15 символов и оно будет доступно только в вашей локальной сети.

В последующих окнах мастера будет предложено ввести каталоги расположения базы данных и журнала Active Directory, а также папки общих файлов домена которые будут реплицироваться на другие контроллеры домена. Если для вас это не критично то можно оставить расположение папок предложенных мастером установки. После всех подготовительных действий будет произведена диагностика регистрации DNS. В случае если DNS сервер у вас еще не развернут будет предложено создать его на данном контроллере домена. В следующем окне будет предложено ввести пароль восстановления службы каталогов. Этот пароль необходимо запомнить и использовать только в случае восстановления резервной копии состояния данного контроллера домена.

В заключении будет выведена информация обо всех предыдущих ваших выборах и будет предложено для начала установки нажать кнопку "Далее".

При нажатии кнопки "Далее" будет начат процесс установки и настройки контроллера домена, DNS и службы каталогов.

По завершении установки, если не возникло никаких ошибок в процессе установки будет выведено сообщение об успешном окончании установки и необходимости перезагрузки сервера.

На этом процесс создания службы каталогов в локальной сети и создания контроллера домена завершен. Теперь для централизованного управления информационной безопасностью вашей сети вы должны подключить все ваши компьютеры и сервера к данному домену, создать пользователей и группы безопасности, политики безопасности и т.п., но об этом в следующей моей статье. Также для повышения уровня безопасности информации при аутентификации пользователей в операционной системы вы можете развернуть в домене корпоративной центр сертификации и использовать внешние средства хранения атрибутов доступа пользователей для аутентификации их в сети т.е. eToken или смарт-карты, но об этом также в одной из следующих моих статей.

Ссылки по теме

• Каталог программ Антивирусы. Безопастность. Восстановление данных
• Купить программное обеспечение на ITShop.ru
• Подписаться на рассылку "Безопасность компьютерных сетей и защита информации"
• Задать вопрос ONLine по покупке программ в интернет магазине ITShop
• Microsoft: Windows Server + CAL + терминальные подключения по супер ценам