Evropský sociální fond Praha & EU: Investujeme do vaší budoucnosti 7. Implementace síťových a bezpečnostních služeb v prostředí Windows Administrace OS Windows 1Miroslav Prágl
2 Implementace síťových a bezpečnostních služeb v prostředí Windows OSI model Windows Networking MS Net Domény AD Server, redirector Síťové komponenty Server, redirector MPR, TDI Miroslav Prágl
3 OSI Model and Windows Networking Application (7) Presentation (6) Session (5) Transport (4) Network (3) Data Link (2) Physical (1) File I/O, Named Pipes, or Mailslots Environment Subsystem Redirector Ethernet, Token Ring,... Provider Interface TDI NetBIOSWindows Sockets NDIS Environment and Drivers NDIS 5.0 Interface TCP/IPNetBEUI SMB protocol Various transport protocols NDIS protocol Server Transmission medium Client MachineServer Machine Miroslav Prágl
4 Síťová API Windows I/O API Open, close, read, write s UNC názvy vzdálených souborů Windows network (WNet) API Procházení souborových systémů přes standardy LAN Manager, NetWare, VINES, nfs,... Windows named pipe and mailslot APIs Předávání zpráv mezi aplikacemi,, broadcasting NetBIOS API Zpětná kompatibilita pro aplikace MS-DOS, 16-bit Windows, OS/2 Windows Sockets API 16/32-bit UNIXový síťový interface Remote Procedure Call (RPC) facility Kompatibilní s Distributed Computing Environment (DCE) RPC Miroslav Prágl
5 Windows Networking MS-DOS 3.1 Podpora file-locking a record-locking pro FAT filesystem Microsoft Networks (MS-NET; 1984) Uniform naming convention (UNC): NET USE X: \\SERVER\SHARE MS-NET Redirector zpracovává I/O požadavky na vzdálené soubory, složky, tiskárny a posílá je vzdálenému serveru NT networking - podpora více redirektorů Server Message Block protocol (poprvé v in MS-NET) NetBIOS interface (API) – předávání I/O požadavků ve formátu SMB Network Server Přijímá a zpracovává SMB požadavky; peer-to-peer networking LAN Manager Domény; sdílení informací o účtech / zabezpečení Miroslav Prágl
6 Windows domény Umožňují sdílení security database mezi skupinou počítačů Kopie na každém doménovém řadiči (DC) Členské stanice používají pro autentikaci doménové řadiče Dva styly domén: Historické NT 4 Domény Security database je uložena v registry (SAM & SECURITY hives) Omezená podpora vztahů mezi doménami Služba Netlogon pro autentikaci Windows 2000 Active Directory Domény Security database je uložena v Active Directory Domény Win2000/XP/2003 podporují forests – doménové hierarchie – pro lepší škálovatelnost ve velkých firmách Autentikace protokolem Kerberos Miroslav Prágl
7 Active Directory Miroslav Prágl
8 Síťové komponenty Redirector a network server Nástup s MS-NET(assembler) Kompletně přepsaný kód (c) pro Windows NT/2000 Implementován jako ovladače souborových systémů Může koexistopvat s redirectory / servery jiných dodavatelů (netware) Implementace v podobě ovladačů znamená Jsou součástí Windows executive Přístup k ovladačům interface I/O manageru Možnost přímého využívání funkcí cache manageru Vrstvený model I/O manageru odpovídá vrstvám síťových protokolů Redirector / server mohou pracovat modulárně - nad libovolným síťovým protokolem Miroslav Prágl
9 Vlastnosti Redirector / Server Kompatibilita: Kompatibilita s existujícími MS-NET a LAN Manager servery (MS-DOS, OS/2, Windows) Přístup k vzdáleným souborům, tiskárnám, named pipes Inicializace: Inicializace ovladač – vytvoření objektu \Device\Redirector Registrace rutin pro operace ovladače operations (open, close, read,..) Spolehlivost: Obnova konexí k serveru, možnost „maskování“ chyb přenosu pokud je možná oprava Tabulka otevřených souborů, automatické znovuotevření souboru po obnovení spojení Asynchronní operace: Rychlý návrat k user-space procesu Multithreading Miroslav Prágl
10 Named Pipes API původně vyvinuty firmou Microsoft pro OS/2 LAN Manager Obousměrná, reliable connection-oriented komunikace Messaging mode pro posílání a příjem celých zpráv Ve Windows plně implementovány, omezení Win9x (pouze klient) \\Server\Pipe\AppPipe Server Application Client Application Named Pipe InstancesClient Named Pipe Endpoint Miroslav Prágl
11 Network I/O Client Application Kernel32.Dll User mode Kernel mode Rdbss.Sys Protocol Driver (TDI Server) Cache Manager User mode Kernel mode Server File System Driver Protocol Driver (TDI Server) Cache Manager Network Local File System Driver (NTFS, FAT) Disk File Data Ntdll.Dll Miroslav Prágl
12 Sockets DLL NetBIOS DLL Routes to the Network Application Process Windows Subsystem I/O API Workstation Service Server Service User mode Kernel mode Built-in Redirector Windows Sockets Driver NetBIOS Driver Network Transports Network Server NTFS CDFS I/O Manager Network File I/O Network browsing WNet DLL Application Process Transport Driver Interface (TDI) User-space Services Miroslav Prágl
13 Resolving síťového názvu Rozšížení I/O operací o vzdálené (síťové) zdroje Všechny tyto zdroje jsou OBJEKTY Práci se soubory zprostředkuje Object manager 1.User assigns drive letter NET USE T: \\TOOLSERV\TOOLS; workstation service creates symbolic link 2.Windows app. opens file T:\editor.exe 3.Windows subsyst. Translates name to NT object \DosDevices\T:\editor.exe; calls NT executive to open file 4.Object manager substitutes symbolic link to \Device\Redirector \ DosDevicesDevice Floppy0...RedirectorA:T:... \Device\Redirector\toolserv\tools Miroslav Prágl
14 Multiple Provider Router (MPR) User mode Kernel mode System Services Built-In WNet Provider DLL Built-in Redirector File System Alternative Redirector File System Network Transports I/O Manager Network browsing WNet DLL Application Process Alternative Redirector File System Transport Driver Interface (TDI) Multiple Provider Router (MPR) DLL WNet Provider DLLs (Novell, Banyan,...) Provider Interface RPC Workstation Service Miroslav Prágl
15 Multiple UNC Provider (MUP) System Services Windows Subsystem I/O API Built-in Redirector File System I/O Manager Network File I/O Multiple UNC Provider Router Built-in Redirector File System Alternative Redirector File Systems Transport Driver Interface (TDI) Network Transports User mode Kernel mode MUP driver je aktivován při prvním přístupu aplikace k souboru / zařízení pomocí UNC (místo mapovaného disku) I/O manager otevírá soubor s prefixem \Device\Mup\server\sharename MUP driver přijímá požadavek a posílá IRPs asynchronně každému registrovanému ovladači Miroslav Prágl
16 Transport Driver Interface Transportní protokoly jsou implementovány jako ovladače Windows poskytují společný programovací interface for pro redirektory a ostatní síťové ovladače vyšších úrovní Transport Driver Interface – TDI – umožňuje redirectorům a serverům nezávislost na na transportní vrstvě Jediná verze redirectoru nebo serveru může používat libovolný dostupný transportní mechanismus TDI je asynchronní, Implementuje obecný mechanismus adresování Podpora množství služeb a knihoven Miroslav Prágl
17 Protokoly podporované TDI NetBEUI NetBIOS Extended User Interface – Jednoduchý síťový protokol vyvinutý firmou IBM pro přímou podporu NetBIOS. TCP/IP Transmission Control Protocol/Internet Protocol – standardní síťový protokol heterogenních systémů (Windows, Unix…) IPX/SPX Internet Packet Exchange/Sequenced Packet Exchange – protocoly používané Novell NetWare AppleTalk Miroslav Prágl
18 RPC Remote procedure call (RPC) je standard pro síťové programování vyvinutý počátkem 80. let Open Software Foundation (Open Group) začlenila RPC do Distributed Computing Environment (DCE). MS implementace RPC je kompatibilní s OSF/DCE RPC je postaven nad dalšími síťovými API(named pipes, Winsock) a poskytuje vývojářům prostředí nezávislé na konkrétních síťových technologiích RPC používají např.: Remote Registry service Tiskové služby Messenger … Miroslav Prágl
19 Nastavení služby Server Miroslav Prágl
20 Nastavení služby Server a Workstation Net.exe config server /autodisconnect:xx Net.exe config workstation Administrative shares (C$ D$ E$ ADMIN$ PRINT$): HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\lanmanserver\parameters AutoShareServer AutoShareWks Null session shares HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\lanmanserver\parameters NullSessionShares Miroslav Prágl
21 Nastavení služby Server a Workstation GP Computer settings/Security settings/Local Policies/Security Options Microsoft Network Client Microsoft Network Server Network Access Network Security Synchronizace účtů pro síť bez centrální správy účtů Simple file sharing Miroslav Prágl
22 Nastavení služby Server a Workstation Soubor lmhosts C:\WINDOWS\system32\drivers\etc Resoving NetBIOS názvů – použití např. na pomalých linkách Direktivy: #PRE – preload do NetBIOS cache #DOM: - záznam pro DC #INCLUDE - centralizovaný soubor rhino #PRE #DOM:networking Miroslav Prágl
23 Windows Firewall Základní aplikační firewall / packetový filtr Windows XP, 2003 – jednosměrný (Windows 2003 RRAS vylučuje použití Windows Firewallu) Windows Vista – obousměrný Konfigurace pomocí GP Miroslav Prágl
24 Windows Firewall Miroslav Prágl
25 Zdroje: Tato přednáška vychází ze zdrojů programu “Windows ® Academic Program”: sing/windowsacademic.mspx sing/windowsacademic.mspx Doporučené odkazy: news://list.vyvojar.cz/cz.vyvojar.list.win news://list.vyvojar.cz/cz.vyvojar.list.win Miroslav Prágl