Evropský sociální fond Praha & EU: Investujeme do vaší budoucnosti 7. Implementace síťových a bezpečnostních služeb v prostředí Windows Administrace OS Windows 1Miroslav Prágl

2 Implementace síťových a bezpečnostních služeb v prostředí Windows OSI model Windows Networking  MS Net  Domény  AD  Server, redirector Síťové komponenty  Server, redirector  MPR, TDI Miroslav Prágl

3 OSI Model and Windows Networking Application (7) Presentation (6) Session (5) Transport (4) Network (3) Data Link (2) Physical (1) File I/O, Named Pipes, or Mailslots Environment Subsystem Redirector Ethernet, Token Ring,... Provider Interface TDI NetBIOSWindows Sockets NDIS Environment and Drivers NDIS 5.0 Interface TCP/IPNetBEUI SMB protocol Various transport protocols NDIS protocol Server Transmission medium Client MachineServer Machine Miroslav Prágl

4 Síťová API Windows I/O API  Open, close, read, write s UNC názvy vzdálených souborů Windows network (WNet) API  Procházení souborových systémů přes standardy LAN Manager, NetWare, VINES, nfs,... Windows named pipe and mailslot APIs  Předávání zpráv mezi aplikacemi,, broadcasting NetBIOS API  Zpětná kompatibilita pro aplikace MS-DOS, 16-bit Windows, OS/2 Windows Sockets API  16/32-bit UNIXový síťový interface Remote Procedure Call (RPC) facility  Kompatibilní s Distributed Computing Environment (DCE) RPC Miroslav Prágl

5 Windows Networking MS-DOS 3.1  Podpora file-locking a record-locking pro FAT filesystem  Microsoft Networks (MS-NET; 1984)  Uniform naming convention (UNC): NET USE X: \\SERVER\SHARE MS-NET  Redirector zpracovává I/O požadavky na vzdálené soubory, složky, tiskárny a posílá je vzdálenému serveru  NT networking - podpora více redirektorů Server Message Block protocol (poprvé v in MS-NET)  NetBIOS interface (API) – předávání I/O požadavků ve formátu SMB Network Server  Přijímá a zpracovává SMB požadavky; peer-to-peer networking LAN Manager  Domény; sdílení informací o účtech / zabezpečení Miroslav Prágl

6 Windows domény Umožňují sdílení security database mezi skupinou počítačů  Kopie na každém doménovém řadiči (DC)  Členské stanice používají pro autentikaci doménové řadiče Dva styly domén:  Historické NT 4 Domény Security database je uložena v registry (SAM & SECURITY hives) Omezená podpora vztahů mezi doménami Služba Netlogon pro autentikaci  Windows 2000 Active Directory Domény Security database je uložena v Active Directory Domény Win2000/XP/2003 podporují forests – doménové hierarchie – pro lepší škálovatelnost ve velkých firmách Autentikace protokolem Kerberos Miroslav Prágl

7 Active Directory Miroslav Prágl

8 Síťové komponenty Redirector a network server  Nástup s MS-NET(assembler)  Kompletně přepsaný kód (c) pro Windows NT/2000  Implementován jako ovladače souborových systémů  Může koexistopvat s redirectory / servery jiných dodavatelů (netware) Implementace v podobě ovladačů znamená  Jsou součástí Windows executive  Přístup k ovladačům interface I/O manageru  Možnost přímého využívání funkcí cache manageru  Vrstvený model I/O manageru odpovídá vrstvám síťových protokolů  Redirector / server mohou pracovat modulárně - nad libovolným síťovým protokolem Miroslav Prágl

9 Vlastnosti Redirector / Server Kompatibilita:  Kompatibilita s existujícími MS-NET a LAN Manager servery (MS-DOS, OS/2, Windows)  Přístup k vzdáleným souborům, tiskárnám, named pipes Inicializace:  Inicializace ovladač – vytvoření objektu \Device\Redirector  Registrace rutin pro operace ovladače operations (open, close, read,..) Spolehlivost:  Obnova konexí k serveru, možnost „maskování“ chyb přenosu pokud je možná oprava  Tabulka otevřených souborů, automatické znovuotevření souboru po obnovení spojení Asynchronní operace:  Rychlý návrat k user-space procesu  Multithreading Miroslav Prágl

10 Named Pipes API původně vyvinuty firmou Microsoft pro OS/2 LAN Manager Obousměrná, reliable connection-oriented komunikace  Messaging mode pro posílání a příjem celých zpráv  Ve Windows plně implementovány, omezení Win9x (pouze klient) \\Server\Pipe\AppPipe Server Application Client Application Named Pipe InstancesClient Named Pipe Endpoint Miroslav Prágl

11 Network I/O Client Application Kernel32.Dll User mode Kernel mode Rdbss.Sys Protocol Driver (TDI Server) Cache Manager User mode Kernel mode Server File System Driver Protocol Driver (TDI Server) Cache Manager Network Local File System Driver (NTFS, FAT) Disk File Data Ntdll.Dll Miroslav Prágl

12 Sockets DLL NetBIOS DLL Routes to the Network Application Process Windows Subsystem I/O API Workstation Service Server Service User mode Kernel mode Built-in Redirector Windows Sockets Driver NetBIOS Driver Network Transports Network Server NTFS CDFS I/O Manager Network File I/O Network browsing WNet DLL Application Process Transport Driver Interface (TDI) User-space Services Miroslav Prágl

13 Resolving síťového názvu Rozšížení I/O operací o vzdálené (síťové) zdroje Všechny tyto zdroje jsou OBJEKTY Práci se soubory zprostředkuje Object manager 1.User assigns drive letter NET USE T: \\TOOLSERV\TOOLS; workstation service creates symbolic link 2.Windows app. opens file T:\editor.exe 3.Windows subsyst. Translates name to NT object \DosDevices\T:\editor.exe; calls NT executive to open file 4.Object manager substitutes symbolic link to \Device\Redirector \ DosDevicesDevice Floppy0...RedirectorA:T:... \Device\Redirector\toolserv\tools Miroslav Prágl

14 Multiple Provider Router (MPR) User mode Kernel mode System Services Built-In WNet Provider DLL Built-in Redirector File System Alternative Redirector File System Network Transports I/O Manager Network browsing WNet DLL Application Process Alternative Redirector File System Transport Driver Interface (TDI) Multiple Provider Router (MPR) DLL WNet Provider DLLs (Novell, Banyan,...) Provider Interface RPC Workstation Service Miroslav Prágl

15 Multiple UNC Provider (MUP) System Services Windows Subsystem I/O API Built-in Redirector File System I/O Manager Network File I/O Multiple UNC Provider Router Built-in Redirector File System Alternative Redirector File Systems Transport Driver Interface (TDI) Network Transports User mode Kernel mode MUP driver je aktivován při prvním přístupu aplikace k souboru / zařízení pomocí UNC (místo mapovaného disku) I/O manager otevírá soubor s prefixem \Device\Mup\server\sharename MUP driver přijímá požadavek a posílá IRPs asynchronně každému registrovanému ovladači Miroslav Prágl

16 Transport Driver Interface Transportní protokoly jsou implementovány jako ovladače Windows poskytují společný programovací interface for pro redirektory a ostatní síťové ovladače vyšších úrovní  Transport Driver Interface – TDI – umožňuje redirectorům a serverům nezávislost na na transportní vrstvě Jediná verze redirectoru nebo serveru může používat libovolný dostupný transportní mechanismus TDI je asynchronní,  Implementuje obecný mechanismus adresování  Podpora množství služeb a knihoven Miroslav Prágl

17 Protokoly podporované TDI NetBEUI  NetBIOS Extended User Interface – Jednoduchý síťový protokol vyvinutý firmou IBM pro přímou podporu NetBIOS. TCP/IP  Transmission Control Protocol/Internet Protocol – standardní síťový protokol heterogenních systémů (Windows, Unix…) IPX/SPX  Internet Packet Exchange/Sequenced Packet Exchange – protocoly používané Novell NetWare AppleTalk Miroslav Prágl

18 RPC Remote procedure call (RPC) je standard pro síťové programování vyvinutý počátkem 80. let  Open Software Foundation (Open Group) začlenila RPC do Distributed Computing Environment (DCE). MS implementace RPC je kompatibilní s OSF/DCE RPC je postaven nad dalšími síťovými API(named pipes, Winsock) a poskytuje vývojářům prostředí nezávislé na konkrétních síťových technologiích RPC používají např.:  Remote Registry service  Tiskové služby  Messenger  … Miroslav Prágl

19 Nastavení služby Server Miroslav Prágl

20 Nastavení služby Server a Workstation Net.exe config server /autodisconnect:xx Net.exe config workstation Administrative shares (C$ D$ E$ ADMIN$ PRINT$):  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\lanmanserver\parameters AutoShareServer AutoShareWks Null session shares  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\lanmanserver\parameters NullSessionShares Miroslav Prágl

21 Nastavení služby Server a Workstation GP  Computer settings/Security settings/Local Policies/Security Options Microsoft Network Client Microsoft Network Server Network Access Network Security Synchronizace účtů pro síť bez centrální správy účtů  Simple file sharing Miroslav Prágl

22 Nastavení služby Server a Workstation Soubor lmhosts  C:\WINDOWS\system32\drivers\etc  Resoving NetBIOS názvů – použití např. na pomalých linkách  Direktivy: #PRE – preload do NetBIOS cache #DOM: - záznam pro DC #INCLUDE - centralizovaný soubor rhino #PRE #DOM:networking Miroslav Prágl

23 Windows Firewall Základní aplikační firewall / packetový filtr Windows XP, 2003 – jednosměrný (Windows 2003 RRAS vylučuje použití Windows Firewallu) Windows Vista – obousměrný Konfigurace pomocí GP Miroslav Prágl

24 Windows Firewall Miroslav Prágl

25 Zdroje: Tato přednáška vychází ze zdrojů programu “Windows ® Academic Program”: sing/windowsacademic.mspx sing/windowsacademic.mspx Doporučené odkazy:   news://list.vyvojar.cz/cz.vyvojar.list.win news://list.vyvojar.cz/cz.vyvojar.list.win Miroslav Prágl