9937

Информационная безопасность при использовании вычислительной сети, построенной на базе ОС Windows 2000 (Windows XP, Windows 2003 Server)

Реферат

Информатика, кибернетика и программирование

Информационная безопасность при использовании вычислительной сети, построенной на базе ОС Windows 2000 (WindowsXP, Windows 2003 Server) Семейство Windows 2000. Работас Active Directory. Решение вопросов безопасности при админи...

Русский

2013-03-18

1.88 MB

14 чел.

 28 -

Информационная безопасность при использовании вычислительной сети, построенной на базе ОС Windows 2000 (Windows XP, Windows 2003 Server)

Семейство Windows 2000. Работа с Active Directory. Решение вопросов безопасности при администрировании Windows 2000. Безопасность работы в сети, построенной на базе Windows 2000. Инфраструктура открытых ключей в Windows 2000. Безопасность IP. Управление политиками безопасности в Windows 2000

Служба каталогов Active Directiry

Назначение службы каталогов

Служба каталогов Active Directory – это средство для именования, хранения и выборки информации в некоторой распределенной среде, доступное для приложений, пользователей и различных клиентов этой среды.

Служба каталогов Active Directory обеспечивает эффективную работу сложной корпоративной среды, предоставляя следующие возможности:

  •  Единая регистрация в сети. Пользователи могут регистрироваться в сети с одним именем и паролем и получать при этом доступ ко всем сетевым ресурсам (серверам, принтерам, приложениям, файлам и т. д.) независимо от их расположения в сети.
  •  Безопасность информации. Средства аутентификации и управления доступом к ресурсам, встроенные в службу Active Directory, обеспечивают централизованную защиту сети. Права доступа можно определять не только для каждого объекта каталога, но и каждого свойства (атрибута) объекта.
  •  Централизованное управление. Администраторы могут централизованно управлять всеми корпоративными ресурсами. Рутинные задачи администрирования не нужно повторять для многочисленных объектов сети.
  •  Администрирование с использованием групповых политик. При загрузке компьютера или регистрации пользователя в системе выполняются требования групповых политик; их настройки хранятся в объектах групповых политик (GPO) и «привязываются» к сайтам, доменам или организационным единицам.
  •  Гибкость изменений. Служба каталогов гибко следует за изменениями структуры компании или организации. При этом реорганизация каталога не усложняется, а может и упроститься.
  •  Интеграция с DNS. Служба Active Directory тесно связана с DNS. Этим достигается единство в именовании ресурсов локальной сети и сети Интернет, в результате чего упрощается подключение пользовательской сети к Интернету.
  •  Расширяемость каталога. Администраторы могут добавлять в схему каталога новые классы объектов или добавлять новые атрибуты к существующим классам.
  •  Масштабируемость. Служба Active Directory может охватывать как один домен, так и множество доменов, один контроллер домена или множество контроллеров домена – т. е. она отвечает требованиям сетей любого масштаба. Несколько доменов можно объединить в дерево доменов, а несколько деревьев доменов можно связать в лес.
  •  Репликация информации. В службе Active Directory используется репликация служебной информации в схеме со многими ведущими (multi-master), что позволяет модифицировать каталог на любом контроллере домена. Наличие в домене нескольких контроллеров обеспечивает отказоустойчивость и возможность распределения сетевой нагрузки.
  •  Гибкость запросов к каталогу. Пользователи и администраторы сети могут быстро находить объекты в сети, используя свойства объекта (например, имя пользователя или адрес его электронной почты, тип принтера или его местоположение и т. п.).
  •  Стандартные интерфейсы. Для разработчиков приложений служба каталогов предоставляют доступ ко всем возможностям (средствам) каталога и поддерживают принятые стандарты и интерфейсы программирования (API). Служба каталогов тесно связана с операционной системой, что позволяет избежать дублирования в прикладных программах функциональных возможностей системы, например, средств безопасности.

Служба каталогов нужна многим приложениям. Требуется она и операционным системам, которым удобно хранить в едином каталоге учетные записи пользователей, информацию о файлах и приложениях, политики безопасности и многое другое.

Если в некоторой распределенной среде отсутствует главный, центральный каталог, то каждому приложению необходимо иметь собственный каталог, в результате чего появляются различные решения и механизмы хранения информации. Гораздо лучше – единственная служба каталогов, доступная всем клиентам и имеющая одну базу данных, общие схему и соглашения об именовании информации, а также возможность централизованного администрирования.

Можно сказать, что служба Active Directory «стоит на трех китах»:

  •  Стандарт Х.500 (служба каталогов)
  •  Служба DNS (Domain Name Service)
  •  Протокол LDAP (Lightweight Directory Access Protocol)

В Active Directory частично реализована модель данных, описываемая стандартом Х.500. Традиционная в сетях TCP/IP служба DNS используется, в частности, для поиска контроллеров домена, а благодаря протоколу LDAP клиенты могут по имени находить в каталоге Active Directory нужные объекты и получать доступ к их атрибутам.

Объекты и объектные классы

Каталог состоит из элементов (entries), представляющих собой информацию, или атрибуты, связанные с некоторым реальным объектом, например компьютером, человеком или организацией.

Каждый объект принадлежит по крайней мере к одному объектному классу, представляющему собой некоторое семейство объектов с определенными общими характеристиками. Класс объектов определяет тип информации, содержащейся в Active Directory для экземпляров (объектов) данного класса. В качестве примера объектных классов можно привести два стандартных класса: person и domain.

Атрибуты и их типы

Каждый элемент каталога имеет атрибуты различных типов, характеризующих информацию, содержащуюся в этих атрибутах. Например, атрибут типа common Name представляет собой имя, идентифицирующее некоторый объект. Каждый атрибут может иметь одно или несколько значений.

Помимо атрибутов стандартных типов можно создавать и использовать дополнительные типы атрибутов.

Контейнер

Контейнер (container) – это специфический объект службы каталогов, который, в отличие от обычных объектов, не имеет какого-либо физического представления, а служит только структурной организации – группировки – других объектов каталога. Типичным примером контейнеров могут служить организационные единицы, или подразделения, используемые для упрощения администрирования отдельных групп ресурсов или пользователей в домене.

Информационное дерево каталога

Элементы каталога организованы в виде иерархического дерева, называемого Directory Information Tree (DIT, Информационное дерево каталога или просто Дерево каталога). Элементы, находящиеся ближе к корню дерева, обычно представляют крупные объекты, например, организации или компании; элементы, располагающиеся на ветвях этого дерева, (листья) представляют более простые объекты – пользователей, устройства, компьютеры.

Схема каталога

Схема каталога (Directory Schema) – это набор правил, описывающих структуру дерева каталога, объявления и синтаксис объектных классов и типы атрибутов, входящих в каталог.

Схема каталога гарантирует, что все добавления или изменения каталога соответствуют данным правилам, и препятствует появлению некорректных элементов, ошибочных типов атрибутов или классов.

Пространство имен

Любая служба каталога в первую очередь представляет собой некоторое пространство имен . Пространство имен (namespace) – это любая ограниченная область, в которой можно по имени обратиться к атрибутам самого объекта или к информации, связанной с этим именем. Процесс преобразования имени в ссылку на объект называется разрешением имен. (Например, в телефонном справочнике по имени абонента ищется его телефон, адрес и т. п. Файловая система – это пространство имен, в котором по имени файла можно найти сам файл.)

Базовые понятия служб каталогов

Домены и контроллеры доменов

Active Directory обеспечивает хранение любой общедоступной информации. Как и другие службы каталогов, Active Directory обеспечивает некоторый механизм хранения информации и протоколы для доступа к ней.

Домены – это решение для администрирования групп, предоставляющее каждому пользователю учетную запись в конкретном домене. В среде Windows 2000 Server каждый домен должен иметь имя, отвечающее соглашениям именования доменов Domain Name System (DNS). В каждом домене один или несколько компьютеров должны выполнять функции контроллеров домена. Каждый контроллер домена содержит полную копию базы данных Active Directory этого домена. Для поиска контроллера домена клиент обращается к протоколу, описанному в DNS, – «стандартной» службе каталогов, применяемой в настоящее время для сетей TCP/IP. Для доступа к данным в Active Directory клиент использует протокол Lightweight Directory Access Protocol (LDAP) (см. рис. 1).

Службы DNS и Active Directory

В большинстве современных сетей TCP/IP используется служба DNS, главное назначение которой – преобразовывать простые для запоминания имена типа в IP-адреса. Для этого каждый компьютер-сервер DNS имеет набор записей с информацией о ресурсах. Каждый DNS-сервер «знает» свое место в глобальном пространстве DNS-имен, что позволяет передавать неразрешенные запросы другим серверам. Поэтому – пусть и не сразу – почти каждый клиентский запрос находит нужный сервер, хранящий искомую информацию.

Интеграцию служб Active Directory и DNS можно рассматривать в трех аспектах:

  •  Домены Active Directory и домены DNS имеют одинаковую иерархическую структуру и схожее пространство имен.
  •  Зоны (zone) DNS могут храниться в Active Directory. Если используется сервер DNS, входящий в состав Windows 2000 Server, то первичные зоны (primary zone), занесенные в каталог, реплицируются на все контроллеры домена, что обеспечивает лучшую защищенность службы DNS.
  •  Использование клиентами службы DNS при поиске контроллеров домена.

Для Active Directory нужен DNS-сервер, поддерживающий записи типа SRV. Такая запись содержит DNS-имя контроллера этого домена, по которому клиенты Active Directory могут находить IP-адрес компьютера-контроллера домена. После того как нужный контроллер обнаружен, для доступа к данным Active Directory, хранящихся на нем, клиент может использовать протокол LDAP.

Листья и контейнеры LDAP

После того как с помощью DNS нужный контроллер домена обнаружен, для доступа к данным Active Directory используется протокол LDAP. Протокол LDAP работает поверх TCP/IP и – как следует из названия протокола – определяет способы доступа к каталогу со стороны клиентов. Помимо механизма доступа данный протокол реализует соглашения по именованию информации в каталоге, в явном виде описывая структуру этой информации. Для клиента все данные, хранящиеся в базе LDAP, представляются в виде иерархического дерева. Каждый узел дерева (объект или элемент) может быть либо контейнером (container), либо листом (leaf). Различие между ними вполне очевидно: контейнеры могут содержать другие элементы, а листья – нет.

Каждый элемент (контейнер или лист) представляет собой некоторый объектный класс, определяющий атрибуты (называемые также свойствами) данного элемента. Тип информации (объектные классы и типы атрибутов), содержащейся в конкретной базе данных Active Directory, задается схемой, определенной для этого каталога.

Схема Active Directory достаточно сложна и содержит сотни и сотни объектных классов и типов атрибутов. Ниже для примера перечислены некоторые интересные классы:

  •  user – описывает конкретного пользователя домена. Среди атрибутов этого класса: canonicalName (Каноническое имя), userPrincipalName (Полное имя пользователя), homePostalAddress (Домашний почтовый адрес), telephone Number (Номер телефона), thumbnailPhoto (Фотография).
  •  printQueue – позволяет клиенту находить некоторый принтер. Среди атрибутов: location (Местоположение), printStatus (Состояние принтера) и printLanguage (Язык принтера).
  •  computer – идентифицирует некоторый компьютер домена. Среди множества атрибутов этого класса: operatingSystem (Операционная система), operatingSystemServicePack, dNSHostName (DNS-имя хоста) и (Назначение компьютера; этот атрибут указывает, является ли данный компьютер контроллером домена, рядовым сервером или рабочей станцией).
  •  organizationalUnit – описывает подразделения конкретного домена. Самый важный атрибут – ou (Имя организационной единицы). Организационные единицы играют очень важную роль при структурировании информации внутри домена.

Организация доменов: Лес и Деревья

Организация, имеющая в своей сети множество доменов, теперь может объединять их в один домен. Однако в некоторых ситуациях даже одной организации полезно иметь несколько доменов. В подобных случаях Active Directory позволяет различным образом группировать домены (хотя такое решение не является обязательным).

Домены с непрерывными, «смежными» DNS-именами могут быть объединены в дерево доменов (domain tree), или доменное дерево (см. рис. 2).

Какие преимущества дает объединение доменов в подобную иерархию? Появляется возможность поиска в корневом домене, при котором также проверяются элементы в дочерних доменах. Кроме того, наличие автоматически созданных двусторонних доверительных отношений между всеми доменами, входящими в дерево, значительно упрощает администрирование всей сети.

Также можно группировать домены, не имеющие «смежных» DNS-имен. В результате этого возникнет лес (forest), состоящий из нескольких доменов и/или деревьев доменов. Как и в дереве доменов, все домены, входящие в лес, связаны между собой двусторонними доверительными отношениями, используют общую схему, конфигурацию и глобальный каталог.

Доверительные отношения

Домены Windows 2000 связаны между собой транзитивными доверительными отношениями, созданными с использованием протокола Kerberos. Эти отношения устанавливаются по умолчанию, автоматически, и являются двунаправленными. Под транзитивностью подразумевается тот факт, что все домены в дереве доверяют друг другу: т. е. если домен А доверяет домену Б, а домен Б доверяет домену В, то домен А также доверяет домену В. Такой подход упрощает администрирование доменов при сохранении высокого уровня безопасности.

Поиск информации: Индексы и Глобальный каталог

При помощи протокола LDAP несложно получить доступ к некоторому объекту (элементу), если клиенту известно имя домена, к которому этот объект относится, и отличительное имя объекта. Предположим, что клиенту известны значения только некоторых атрибутов объекта. В Active Directory можно осуществлять поиск, зная только значение атрибута. Например, с помощью запроса к каталогу можно найти все объекты класса user со значением Director. Поскольку общее число элементов в каталоге бывает достаточно велико, такой поиск может выполняться медленно. Для ускорения поиска Active Directory позволяет индексировать атрибуты заданных типов.

Предположим, что клиент знает, в каком лесе выполнять поиск, однако ему неизвестно, в каком домене данного леса находится искомый атрибут. Для решения этой проблемы в Active Directory существует глобальный каталог (Global Catalog, GC). Все домены, входящие в некоторое дерево или лес доменов, используют общий, единый глобальный каталог, в котором имеется копия каждого элемента этих доменов. Однако в глобальный каталог входят только некоторые из атрибутов каждого элемента – те, которые могут представлять интерес в «масштабах» леса.

Кроме поиска, глобальный каталог реализует еще одну из основных возможностей Active Directory – единую регистрацию в сети. В доменах, работающих в основном (native) режиме, глобальный каталог хранит информацию об универсальных группах, в которую могут входить члены разных доменов.

Эта информация используется при регистрации в сети клиентов Active Directory.

Репликация

Репликация (replication, дублирование) данных в каталоге (хранение копий каталога на различных компьютерах) повышает производительность и готовность (надежность). Как и все другие службы каталога, Active Directory позволяет реплицировать данные (см. рис. 3).

В Active Directory используется так называемая multi-master replication (дословно – «репликация со многими основными контроллерами доменов»). Каждый контроллер домена имеет полную копию базы данных своего домена с возможностью чтения и записи. Клиент может изменить любую копию, после чего все изменения распространяются по всем другим копиям, хранящимся на других контроллерах данного домена (при этом копируются только измененные атрибуты элементов каталога). Если два клиента одновременно изменят один и тот же атрибут какого-нибудь элемента, то зафиксируется последнее изменение (хотя нужно отметить, что для определения окончательного варианта изменений обычно используются номера версий, version numbers, а не временные отметки, timestamps).

Сайты

Если домен располагается на значительной территории, то такой домен может иметь множество контроллеров доменов, значительно удаленных друг от друга. Клиент, обращаясь к службе каталога, не должен работать с удаленным контроллером, если таковой имеется в непосредственной близости!

Для того чтобы «локализовать» доступ, Active Directory позволяет администраторам делить один домен на несколько сайтов (site) (см. рис. 4).

Сайт – это одна или несколько IP-подсетей, входящих в ту часть сети, где соединения между компьютерами выполняются быстро и надежно. По сути, сайты отображают физическую топологию коммуникационных каналов всей сети.

Репликация Active Directory по сути выполняется между сайтами, а не между доменами. В стандартном случае репликация между компьютерами, входящими в сайт (intra-site replication), выполняется чаще, чем между компьютерами, относящимися к различным сайтам (inter-site replication). Администраторы могут управлять частотой выполнения репликаций, хотя из-за того, что полоса пропускания каналов между сайтами меньше, чем скорость передачи данных внутри сайта, практически всегда репликации между сайтами осуществляются реже.

Основные контроллеры операций

Как уже упоминалось, в Active Directory реализована репликация в режиме multi-master. Однако некоторые изменения в каталоге целесообразнее (эффективнее) выполнять в режиме с одним основным контроллером (single-master), называемым основным контроллером операций (operations master), который и управляет всеми подобными изменениями.

Основной контроллер операций отвечает за выполнение определенных функций, которые называют ролями контроллера операций, которые могут назначаться разным контроллерам домена внутри домена или леса и передаваться от одного контроллера к другому.

Eсли по каким-то причинам некоторый основной контроллер операций становится недоступным, то его роль можно захватить (seize), т. е. принудительно передать другому контроллеру домена.

Проектирование доменов

Планирование структуры доменов

Развертывание сетевой структуры целесообразно начать с создания единственного домена, который легче всего администрировать, и по мере необходимости добавлять новые домены. Достоинством Active Directory является возможность создания в одном домене значительно большего числа объектов (до нескольких миллионов). При этом один домен может содержать несколько географически разнесенных и администрируемых индивидуально сайтов, связанных медленными каналами.

Совсем не нужно создавать дерево из нескольких доменов только для того, чтобы таким образом отобразить структуру организации, ее подразделения или отделы. Для этого достаточно в единственном домене создать соответствующие подразделения (организационные единицы) и назначить для них групповые политики, распределить пользователей, группы и компьютеры.

Для создания нескольких доменов должны быть достаточно веские причины, например:

  •  Различные требования к безопасности для отдельных подразделений.
  •  Очень большое количество объектов.
  •  Различные Интернет-имена для доменов.
  •  Дополнительные требования к репликации.
  •  Децентрализованное администрирование сети. При наличии нескольких доменов совершенно независимые друг от друга системные администраторы могут устанавливать собственные политики безопасности. Кроме того, можно администрировать домены на различных национальных языках

Если внутри домена создать дерево организационных единиц (Organizational Unit, OU), или подразделений, то можно распределить обязанности администраторов отдельных подразделений между различными пользователями и группами. В этом случае уменьшается число сотрудников, которые получают полный контроль над всем доменом.

Планирование организационных единиц (подразделений)

Организационные единицы (OU), или подразделения, могут содержать пользователей, группы, компьютеры, принтеры и общие папки, а также другие OU. OU – это минимальная «единица» администрирования, права управления которой можно делегировать некоторому пользователю или группе. С помощью OU можно обеспечить локальное администрирование пользователей (создание, модификация и удаление учетных записей) или ресурсов. Их основное назначение – группирование объектов каталога с целью передачи административных функций отдельным пользователям.

Дерево OU может отображать реальную структуру организации – административную, функциональную и т. п. При этом учитываются иерархия полномочий ответственных работников и необходимые функции управления. Каждый домен в дереве или лесе может иметь свою, совершенно независящую от других структуру организационных единиц.

Вот рекомендации по выбору решения (организовать ли в сети несколько доменов или делить ее на организационные единицы):

  •  Создавайте несколько доменов, если в организации действует децентрализованное управление, при котором пользователями и ресурсами управляют совершенно независимые администраторы.
  •  Создавайте несколько доменов, если части сети связаны медленным каналом и совершенно нежелательна полная репликация по этому каналу (если репликация возможна хотя бы иногда, то лучше создавать один домен с несколькими сайтами).
  •  Разбивайте домен на организационные единицы, чтобы отразить в них структуру организации.
  •  Разбивайте домен на организационные единицы, если нужно делегировать управление над ограниченными, небольшими группами пользователей и ресурсов; при этом можно делегировать все права администрирования или только некоторые.
  •  Разбивайте домен на организационные единицы, если их структура соответствует будущим изменениям в организации (компании). Домены же, по возможности, нужно конфигурировать так, чтобы перемещать или делить их приходилось как можно реже.

Проектирование структуры сайтов

Создание нового сайта с собственными контроллерами домена имеет смысл в том случае, когда контроллеры домена недостаточно быстро (по вашим субъективным оценкам) реагируют на запросы пользователей. Обычно такое случается при большом территориальном удалении клиентских компьютеров и медленных каналах связи. Создание нового сайта может быть целесообразно с точки зрения обеспечения аутентификации пользователей. Клиент при регистрации пытается найти контроллер домена в своем, локальном сайте. Поэтому топология сайтов должна учитывать то, насколько быстро клиент должен получать доступ к контроллеру домена.

Администрирование доменов

Оснастка Active Directory – домены и доверие (Active Directory Domains and Trusts)

С помощью оснастки Active Directory – домены и доверие (см. рис. 5) администратор может просматривать все деревья доменов в лесу и управлять доменами, а также устанавливать доверительные отношения между доменами и настраивать режим работы домена (смешанный, mixed, или основной, native). Данная оснастка позволяет конфигурировать дополнительные суффиксы основных имен пользователей (User Principal Name, UPN) для всего леса, которые облегчают пользователям процесс регистрации в Active Directory.

Изменение режима работы домена.

Домены Windows 2000 могут работать в одном из двух режимов:

  •  Смешанный режим (mixed mode) предполагает возможность одновременной работы контроллеров домена, основанных как на операционной системе Windows 2000 Server, так и на более ранних версиях Windows NT Server. Этот режим позволяет выполнять некоторые функции, характерные для более ранних версий Windows NT, и запрещает выполнение некоторых функций, характерных для Windows 2000.
  •  Основной режим (native mode) предполагает, что все контроллеры домена работают в операционной системе Windows 2000 Server, при этом все клиентские компьютеры должны иметь поддержку (установленный на них клиент) Active Directory (это касается систем Windows 9x и Windows NT 4.0). В этом режиме можно применять такие новые средства, как универсальные группы, вложенные группы и т. д.

По умолчанию домен Windows 2000 начинает работать в смешанном режиме. При необходимости режим работы домена можно изменить на основной. Однако обратный переход невозможен.

Управление доверительными отношениями.

При создании нескольких доменов в одном дереве Active Directory автоматически устанавливаются междоменные двунаправленные доверительные отношения. Это значит, что пользователь может, зарегистрировавшись только в одном домене, получить доступ ко всем ресурсам всех доменов дерева. При объединении нескольких деревьев в лес между корневыми доменами каждого дерева также устанавливаются двунаправленные доверительные отношения. В этом случае необходимость дополнительной настройки доверительных отношений не возникает.

Конфигурирование доверительных отношений требуется, если:

  •  Необходимо установить однонаправленные доверительные отношения (в случае, когда соображения безопасности заставляют исключить возможность общего использования каких-либо ресурсов компьютерной сети).
  •  Возникла необходимость в установлении доверительных отношений между доменами, находящимися в различных лесах (организациях).
  •  Должны быть установлены доверительные отношения между доменами Windows 2000 и Windows NT 4.0.

Оснастка Active Directory – пользователи и компьютеры (Active Directory Users and Computers)

Оснастка Active Directory – пользователи и компьютеры (см. рис. 6) предназначена для управления пользователями, группами, очередями печати и другими объектами каталога Active Directory. Этот инструмент позволяет создавать объекты, настраивать их атрибуты и выполнять с ними ряд других операций.

Оснастка Active Directory – пользователи и компьютеры работает на контроллере домена под управлением Windows 2000 Server; оснастка не устанавливается на изолированных серверах или рабочих станциях. Отметим, что работа этого инструмента возможна на рядовом сервере (member server), являющемся членом домена, и на компьютере с Windows 2000 Professional, входящем в домен Windows 2000: для этого на них необходимо установить пакет административных оснасток Windows 2000 Administrative Tools.

С помощию оснастки Active Directory – пользователи и компьютеры можно осуществить:

  •  создание подразделения, или организационной единицы (Organizational Unit, OU);
  •  создание в домене учетной записи пользователя;
  •  перемещение учетной записи пользователя из одного подразделения в другое в пределах одного домена или между доменами.
  •  создание групп пользователей

В процессе установки домена Windows 2000 в нем создается несколько встроенных групп, обладающих определенным набором прав. Эти группы служат для назначения разрешений доступа пользователям, на которых возложено выполнение в данном домене каких-либо административных функций.

Локальные группы в домене:

  •  Администраторы (Administrators)
  •  Гости (Guests)
  •  Операторы архива (Backup Operators)
  •  Операторы печати (Print Operators)
  •  Операторы сервера (Server Operators)
  •  Операторы учета (Account Operators)
  •  Пользователи (Users)
  •  Репликатор (Replicator)
  •  Совместимый с пред-Windows 2000 доступ (Pre-Windows 2000 CompatibleAccess)

Глобальные группы:

  •  Администраторы домена (Domain Admins)
  •  Владельцы-создатели групповой политики (Group Policy Creator Owners)
  •  Гости домена (Domain Guests)
  •  Издатели сертификатов (Cert Publishers)
  •  Компьютеры домена (Domain Computers)
  •  Контроллеры домена (Domain Controllers)
  •  Пользователи домена (Domain Users)

Универсальные группы:

  •  Администраторы предприятия (Enterprise Admins)
  •  Администраторы схемы (Schema Admins)

По умолчанию каждая созданная в домене учетная запись автоматически становится членом группы Пользователи домена. Кроме того, группа Пользователи домена является членом локальной в домене группы Пользователи.

Любой объект типа Компьютер (Computer) при создании по умолчанию автоматически включается в группу Компьютеры домена.

Группа Администраторы домена объединяет всех пользователей, имеющих полный административный доступ в домене. По умолчанию Администраторы домена являются членами локальной в домене группы Администраторы.

Группа Гости домена объединяет все учетные записи, с помощью которых можно зарегистрироваться в домене без пароля и получить минимальные права доступа. По умолчанию Гости домена являются членами локальной в домене группы Гости.

Помимо перечисленных выше встроенных групп администратор может создать любое количество групп пользователей и предоставить им необходимый набор прав и разрешений.;

  •  добавление пользователя в группу;
  •  публикацию общей папки:

Любая папка, для которой организован общий доступ может быть опубликована в Active Directory. Публикация заключается в создании в Active Directory объекта типа «общая папка». Сама публикация не подразумевает автоматическое обеспечение общего доступа к папке, поэтому процесс публикации состоит из двух этапов:

Обеспечение общего доступа к папке.

Ее публикация в Active Directory в виде объекта каталога.;

  •  публикацию принтеров:

Принтер, общий доступ к которому осуществляется через компьютер с Windows 2000, публикуется с помощью вкладки Доступ (Sharing) окна свойств принтера. По умолчанию принтер, к которому организуется общий доступ, публикуется автоматически. Он находится в каталоге в соответствующем контейнере компьютера. При обращении к нему нужно указать имя в формате <Имя_сервера>-<Имя_принтера>.

Подсистема печати будет автоматически распространять в Active Directory информацию обо всех изменениях атрибутов принтера (местоположения, описания, загруженной бумаги и т. д.).

  •  работу с объектами типа «компьютер»:

Объект типа «компьютер» автоматически создается при включении компьютера в домен. Этот объект можно также создать заранее.

  •  удаленное управление компьютерами

После создания объекта «компьютер» можно управлять им удаленно, диагностируя службы, работающие на этом компьютере, просматривая события и т. д.

  •  переименование, перемещение и удаление объекты:

Любой объект в Active Directory можно переименовать или удалить. При этом следует соблюдать особую осторожность, чтобы не удалить объекты, необходимые для работы системы. Большинство объектов разрешено перемещать в различные контейнеры.

  •  создание вложенных групп

Одно из важнейших новых свойств Windows 2000 Server, которым можно пользоваться в основном (native) режиме домена, – это вложенные группы (nested groups).

Применяя вложенные группы, можно значительно сократить затраты на управление объектами Active Directory и уменьшить трафик, вызванный репликацией изменений членства в группах. Возможности вложенных групп зависят от режима работы домена.

Если домен работает в основном режиме, то применение вложенных групп подчиняется следующим правилам:

  •  Универсальные группы могут иметь в качестве своих членов учетные записи пользователей и компьютеров, другие универсальные группы и глобальные группы из любого домена.
  •  Глобальные группы могут содержать учетные записи своего домена и глобальные группы своего домена.
  •  Локальные в домене группы могут иметь в качестве своих членов учетные записи пользователей и компьютеров, универсальные группы и глобальные группы (все указанные объекты могут быть из любого домена), а также другие локальные группы своего домена.

В смешанном (mixed) режиме группы безопасности могут быть вложены в соответствии со следующими правилами:

  •  Глобальные группы могут иметь в качестве своих членов только учетные записи пользователей и компьютеров.
  •  Локальные в домене группы могут иметь в качестве своих членов учетные записи пользователей и компьютеров, а также глобальные группы.
  •  делегирование прав администрирования:

Сети на платформе Windows 2000 обладают чрезвычайно разветвленным деревом каталога. Большое количество ветвей, включенных в общее дерево каталога, усложняют управление. Администрирование сети, каталог которой состоит из десятков тысяч объектов, не может безопасно осуществляться одним или несколькими администраторами, имеющими права доступа ко всем объектам.

В подобных случаях следует применять делегирование прав администрирования. Это чрезвычайно мощный инструмент, который в больших организациях позволяет более эффективно сконфигурировать систему безопасного администрирования. С его помощью управление отдельными областями сети смогут осуществлять специально назначенные ответственные лица – администраторы. При делегировании прав администрирования очень важно наделять ответственных лиц полномочиями, позволяющими выполнять функции администратора только в пределах их зоны ответственности, они не должны иметь возможность администрировать объекты каталога, находящиеся в других частях сети организации.

Права на создание новых пользователей или групп предоставляются на уровне подразделения или контейнера, в котором будут создаваться учетные записи. Администраторы групп одного подразделения могут не иметь прав на создание и управление учетными записями другого подразделения в том же домене. Однако, если права доступа и настройки политик получены на более высоком уровне дерева каталога, они могут распространяться вниз по дереву благодаря механизму наследования прав доступа.

Само делегирование прав администрирования также может быть выполнено без затруднений при помощи оснастка Active Directory – пользователи и компьютеры.

  •  осуществлять аудит объектов Active Directory:

Аудит в отношении объектов Active Directory осуществляется так же, как и аудит других объектов операционной системы. Полученная в результате информация просматривается с помощью оснастки Просмотр событий (Event Viewer).

Информация, полученная в результате аудита, позволяет диагностировать потенциальные бреши в системе безопасности и разрешать возникающие проблемы. При настройке аудита нужно определить, какие объекты должны быть отслежены и какие связанные с ними события следует фиксировать в журнале.

При аудите объектов Active Directory информация заносится в журнал событий каждый раз, когда происходит отслеживаемое событие. Данные журнала позволяют определить, какое действие было выполнено, кто его выполнил, дату и время возникновения события и успех или неудачу его завершения.


Как сохранить конфиденциальность информации
Защита встроенных серверов Windows 2003 Server

Основным аргументом противников операционной системы Windows является ее недостаточная безопасность. Посмотрим, какие усилия при разработке новой серверной ОС были приложены фирмой Microsoft и как они повлияли на безопасность.

При разработке Windows Server 2003 особое внимание уделялось вопросам безопасности. С этой точки зре ния одно из самых важных изменение в новой ОС — это изменение настроек сервера, принятых по умолчанию. Теперь по окончании установки сервер будет иметь очень ограниченный набор функций. Для того чтобы запустить, например, веб-сервер, придется дополнительно инсталлировать IIS (Internet Information Service), а затем и настраивать его. Впрочем, об этом мы уже говорили, поэтому давайте перейдем непосредственно к настройке безопасности встроенных серверов, так как электронная почта и доступ к ресурсам веб и FTPсерверов по природе своей являются самыми распространенными лазейками для вирусов и хакеров.

Чтобы не увязнуть в Паутине

Итак, мы решили сделать из нашего свежеустановленного Windows Server 2003 веб-сервер. После завершения первоначальной его установки мы получим веб-сервер, обладающий минимальной функциональностью, при обращении он сможет выдавать только статические странички (рисунок 7.). Чтобы включить потенциально опасные возможности, такие, например, как поддержка технологий SSI (Server Side Include, включения на стороне сервера) и ASP (Active Server Pages, активные серверные страницы), необходимо вручную в приложении IIS Manager найти папку Web Service Extensions (Расширения веб-службы), в которой разрешить работу дополнительных компонентов веб-сервера.

Рисунок 7.

Необходимо убедиться, что у каталога, в котором находятся ASP-скрипты, есть разрешение на запуск этих скриптов. Это разрешение настраивается в свойствах папки из консоли управления IIS (IIS Manager). Если мы хотим ограничить доступ к веб-серверу или к его части в соответствии с учетными записями пользователей или их IP-адресами, то мы можем это сделать в тех же свойствах папки на вкладке <Security>.

Теперь о вирусах. Вирусы используют специальным образом сформированные URL (в текст URL включаются специальные символы, в совокупности образующие скрипт), которые позволяют получить управление сервером и заставить его выполнять команды злоумышленника. Чтобы не допустить этого, необходимо использовать firewall с возможностью фильтрации URL или применять дополнительные средства, интегрирующиеся непосредственно в IIS. Например, у компании Microsoft есть утили та UrlScan, которая позволяет блокировать подозрительные запросы к веб-серверу.

На страже файлов

При создании FTP-сервера (и, соответственно, для последующей настройки его безопасности) необходимо указать каталог Home Directory, к которому пользователь будут иметь доступ по протоколу FTP, а так же права пользователей на закачивание и скачивание файлов. Помимо общих прав на запись или чтение, которые настраиваются там же, на вкладке <Home Directory> в свойствах FTP-сервера, права доступа к конкретному файлу определяются NTFS-правами на локальный доступ к файлу. Ограничивать доступ к серверу можно и по IP-адресам, так же, как и в случае с веб-сервером. Соответствующая вкладка называется <Directory Security>.

Еще один параметр, на который стоит обратить внимание, — это количество одновременных подключений к серверу (ftp site connection). Это число должно определяться шириной вашего канала в Интернете. По умолчанию оно составляет 100 000, но необходимо сократить его на несколько порядков. В противном случае ваш сервер может пасть жертвой DoS- (Denial of Service, отказ в обслуживании) или DDoS-атаки (Distributed DoS, DoS-атака, производимая одновременно с большого числа компьютеров).

Однако FTP-сервер, входящий в состав IIS, отвечает не всем потребностям администраторов. Для тех, кому не хватает возможностей по настройке безопасности встроенного РТР-сервера, можно порекомендовать популярный РТР-сервер Serv-U компании RhinoSoft (www.serv-u.com).

Контора пишет

Все сервисы, предоставляемые операционной системой Windows Server 2003, имеют возможность ведения журнала для статистики использования ресурсов и выявления источников возможных атак на сервер. Например, если ваш веб-сервер стал очень медленно работать или совсем «завис», то имеет смысл заглянуть в журнал обращений к серверу и узнать, нет ли там некорректных запросов. То же самое относится к FTP-, SMTP-, POP- и другим серверам. Некоторые серверы имеют свой собственный лог-файл, формат и расположение которого настраивается в свойствах данного сервера (веб, FTP). Другие записывают необходимую информацию в общий журнал событий Windows, доступный для просмотра из приложения Event Viewer (SMTP, POP). По умолчанию события в лог-файлы таких серверов, как веб и FTP, пишутся в текстовом виде и непригодны для детального изучения. Чтобы получать наглядную картину и статистику, имеет смысл настроить запись событий в базу данных и потом с помощью специальных приложений, например, Crystal Report, строить таблицы и графики посещений сервера. Это позволит получить представление о том, что происходит на сервере, и быстро выявить атаку или просто неполадку в работе.

Надежный почтальон

Говоря о защите почтового сервера (рисунок 8), необходимо вспомнить о том, что авторизация по протоколу РОРЗ может происходить как в обычном, так и в безопасном режиме с использованием технологии SPA (Secure Password Authentication, безопасная аутентификация пароля). Метод SPA передает пароли от клиента к серверу в зашифрованном виде, что позволяет исключить возможность перехвата. Однако способ авторизации на почтовом сервере является единственной настройкой, которой вы можете управлять. Использовать такой сервер в качестве почтового можно лишь внутри небольшой организации. Если вы планируете получать почту из Интернета или разворачивать полноценную систему корпоративной электронной почты, то без установки Exchange-сервера вам не обойтись.

Рисунок 8.

Вирусам — бой!

На сегодняшний день есть три основных способа защиты от почтовых вирусов. Рассмотрим их в порядке увеличения надежности.

Третье место занимает антивирусное программное обеспечение, установленное на локальном компьютере каждого пользователя и проверяющее все приходящие письма. Очевидным недостатком такого подхода является отсутствие централизованного управления защитой. Антивирусное ПО может быть отключено, база данных вирусов может не обновляться, и, наконец, пользователь может просто использовать почтовую программу, в которую это антивирусное ПО не интегрируется.

Решением этих проблем является проверка почты непосредственно на сервере. Есть ПО, которое интегрируется прямо в почтовый сервер, например в Exchange, и наблюдает за почтовыми ящиками пользователей. Основным недостатком этого способа является невозможность обновления почтового сервера без одновременного обновления антивирусного ПО. Например, если компания Microsoft выпускает новый Service Pack для Exchange-сервера, то неизвестно, как поведет себя антивирусное ПО после обновления сервера и будет ли оно работать вообще.

Поэтому оптимальным представляется такой способ, при котором антивирус, установленный на программном или аппаратном firewall, сам сканирует получаемую почту. В этом случае можно порекомендовать запустить два почтовых сервера. Первый, вспомогательный, будет принимать письма, передавать их без изменений антивирусу и, в зависимости от результатов работы антивируса, удалять или передавать основному. Основной почтовый сервер будет в результате получать почту, уже проверенную на наличие вирусов. Соответственно и в ящик пользователей попадет почта, уже очищенная от всякой заразы. Этот способ является не только самым удобным, но и самым безопасным. Даже в случае выхода из строя антивирусного ПО в результате вирусной или хакерской атаки ваша почтовая система останется работоспособной по крайне мере для обмена почтой внутри компании.

Даже стены имеют уши (недоработка в системе защиты)

Электронные письма на пути до адресата проходят через массу почтовых серверов. Администратор каждого их них может при желании прочесть содержимое вашего письма. Более того, существует возможность фильтровать почтовый трафик и вылавливать письма, содержащие заранее определенные сочетания символов, как в служебных полях, так и в самом теле письма. Поэтому свои сообщения необходимо защищать. В почтовом сервере в Windows Server 2003 никаких средств защиты исходящего трафика не предусмотрено. Забота об этом ложится на почтового клиента. При необходимости сохранить послание в тайне можно воспользоваться программами шифрования, например, широко известной PGP или же программами стеганографии. В первом случае вероятность того, что сообщение прочтет только адресат, практически равна единице. Во втором вы сможете скрыть не только содержание сообщения, но и сам факт посылки сообщения. Сервис Messenger, который является просто красивой оболочкой над командой net send, вообще беззащитен. Это означает, что сообщения, посланные при помощи Messenger, могут быть с легкостью получены любым пользователем сети. Никаких средств защиты текста в Messenger не предусмотрено. Отсюда выводы — этим средством передачи сообщений следует пользоваться либо в абсолютно защищенных сетях, либо предварительно шифровать текст, либо не передавать важные сообщения при помощи Messenger. Можно достичь цели и одним ударом — запустить сервис IPSEC, который возьмет на себя задачу шифрования трафика.

Как самому не стать спамером

Еще одним бедствием, имеющим отношение к электронной почте, является спам, то есть рассылка рекламных сообщений по множеству адресов. Некоторые спамеры ищут в Интернете незащищенные почтовые сервера и используют их для массовой рассылки писем. Чтобы не оказаться в неприятной ситуации, убедитесь, что ваш почтовый сервер не может работать в качестве Relay-сервера, то есть он принимает почту только для пользователей своего домена и отправляет почту также только от пользователей своего домена. Не все почтовые сервера имеют такую установку по умолчанию.

Если же вы окажетесь жертвой спамеров, то вас могут поджидать две крупные неприятности. Во-первых, ждите от вашего провайдера счет на крупную сумму (если вы платите за трафик). Во-вторых, у вас могут возникнуть неприятности с законом, так как борьба со спамерами в настоящее время переходит из области технической в область юридическую.

Посторонним воспрещен!

Предоставление удаленного доступа для сотрудников компаний подвергает вашу сеть дополнительному риску. Для того чтобы попасть в локальную сеть изнутри, нужно не только указать логин и пароль, но и как минимум пройти мимо пункта охраны. В случае же удаленного доступа вам придется доверять только технике и программному обеспечению.

Персональная идентификация

Одной из самых надежных является система одноразовых паролей. В такой системе каждый желающий получить удаленный доступ имеет жетончик с дисплеем, на котором высвечивается некоторое число, меняющееся через определенные промежутки времени и по определенному алгоритму. По такому же алгоритму меняются числа на самом сервере, отвечающем за предоставление доступа. При авторизации через удаленный доступ пользователь должен ввести свой PIN и это число. Пароль составляется из этих двух компонентов. Одновременная компрометация PIN и утрата пользователем своего жетона, разумеется, маловероятны. Даже если злоумышленник, зная ваш PIN, подглядит цифры на жетоне, то через пару минут этот пароль уже устареет и воспользоваться им будет нельзя.


Защита корпоративных ресурсов

Впрочем, можно ограничиться обычной авторизацией с помощью стандартного имени пользователя и пароля. Для того чтобы сделать из Windows Server 2003 сервер удаленного доступа, необходимо добавить ему роль, которая так и называется — сервер удаленного доступа.

После установки этой роли сервер сможет выполнять следующие основные функции (рисунок 9).

  •  Создавать VPN-сервер для подключения удаленных клиентов через Интернет.
  •  Предоставлять удаленный доступ для подключения клиентов по модему.
  •  Осуществлять маршрутизацию по требованию (demand-dial connections). Если сервер работает в качестве маршрутизатора и подключается к провайдеру по модему, то поддерживать соединение постоянно не обязательно, особенно если вы платите за время подключения. Когда кто-нибудь из пользователей решит, например, почитать новости на сайте или отослать письмо, то сервер получит запрос, требующий получения доступа к внешним ресурсам, и сам дозвонится до провайдера. По истечении тайм-аута в случае отсутствия внешнего трафика произойдет отключение модема.

Рисунок 9

  •  Осуществлять трансляцию адресов (NAT) и фильтрацию трафика (firewall) (рисунок 10).

Рисунок 10

  •   Настраивать сервер в качестве маршрутизатора. Поддерживаются протоколы динамической маршрутизации RIP и OSPF.

После настройки сервера управление и конфигурация осуществляются через консоль Routing and Remote Access. Авторизация пользователей на сервере удаленного доступа может происходить с использованием учетных записей самого Windows Server 2003 и с использованием специального протокола RADIUS.

Этот протокол является протоколом авторизации, и существуют его реализации для всех известных платформ. Сервер, на котором хранится база пользователей, работающий по этому протоколу, называется RADIUS-сервером. Его использование оправданно в тех случаях, когда в сети есть несколько серверов доступа и необходимо иметь единую централизованную базу пользователей.

RADIUS-сервер можно установить и на Windows Server 2003. Однако
по каким-то причинам в
Windows Server 2003 он называется Internet Authentication Service (рисунок 11). Установка его производится через через консоль Add or Remove Programs.

Рисунок 11

RADIUS-сервер может оказаться очень полезным при развертывании беспроводных сетей. Любой человек с ноутбуком или наладонником, в котором установлена карта радиодоступа, может перехватить гуляющую в радиосети информацию, близко подойдя к ней. Для борьбы с этой проблемой используются различные протоколы шифрования трафика, которые де лают процесс декодирования весьма трудоемким. Однако эта задача является проблемой точек доступа и сетевых беспроводных карт и сам Windows Server 2003 тут вряд ли чем-то поможет.

Однако беспроводные сети таят в себе и другую опасность. Если не используется никакой механизм авторизации доступа к сети, то любой желающий может стать ее частью и использовать ее ресурсы, то есть получить бесплатный доступ к Интернету и к конфиденциальным ресурсам организации. Для предотвращения подобных случаев был разработан протокол 802.1х. На сегодняшний день он поддерживается практически всеми коммутаторами и точками радиодоступа и реализован в Windows ХР и Windows Server 2003. В свойствах сетевого подключения есть вкладка <Authentication>, в которой можно настроить доступ к сети в том случае, если для этого требуется авторизация 802.1х (рисунок 12).

Сам протокол работает следующим образом. Точка радиодоступа получает запрос от нового клиента на доступ в сеть и запрашивает его пароль. Клиентский компьютер посылает в ответ имя и пароль учетной записи. По умолчанию посылаются имя и пароль учетной записи работающего в данный момент пользователя. Точка радиодоступа, получив ответ, пересылает его на RADIUS-сервер, который проверяет, есть ли у него такая запись в своей базе. Если RADIUS-сервер дает добро, то точка доступа разрешает данному клиенту работать в сети.

Рисунок 12.

Заделываем щели

По мере роста числа компьютеров управление сетью становится все более трудоемкой задачей. Каждому компьютеру надо присвоить IP-адрес, сообщить адрес шлюза по умолчанию и DNS-сервера. Для того чтобы избавить себя от беготни к каждому компьютеру в случае изменения адреса DNS-сервера, можно раздавать все эти настройки централизованно, используя для этого сервер DHCP. При загрузке операционной системы она пытается найти в сети этот сервер и, в случае успеха, просит сообщить всю интересующую ее информацию.

Но авторизовать DHCP-сервер, к сожалению, невозможно. Если кто-то внутри локальной сети установит и запустит свой DHCP-сервер, то клиентский компьютер может получить неправильный IP-адрес со всеми вытекающими отсюда последствиями. Если вдруг вы обнаружите, что компьютер получил какой-то странный адрес, то вам придется искать в вашей сети «левый» DHCP-сервер.

Команда ipconfig /all поможет узнать адрес DHCP-сервера, с которого компьютер получает свои настройки. Если сервер является частью Active Directory, то запустить DHCP-сервер уже не получится, однако можно установить Windows Server 2003 в режиме Standalone и дальше делать что хотите.

DNS-сервер отвечает за привязку имен компьютеров к IP-адресам. Если вы владеете собственным доменным именем, то записи о компьютерах в вашем домене будут храниться на DNS-сервере, который может располагаться либо у провайдера, либо непосредственно в вашей локальной сети. Если вы решите установить свой собственный DNS-сервер, то будьте крайне осторожны и внимательны при его настройке (рисунок 13). Реализация этого сервера в Windows Server 2003 поддерживает динамическое обновление записей. Однако если вы не уверены, что вам это нужно, то лучше данную функцию отключить. Но динамическое обновление необходимо в случае установки на сервере контроллера домена.

Рисунок 13.

Прочитал буквы, но не понял слова

Операционная система Windows Server 2003 обладает богатым набором функций всевозможного шифрования. В частности, вы можете шифровать трафик между сетями или между компьютерами Настройка шифрования трафика по протоколу IPSEC в среде серверов Windows не является очень сложной задачей, поэтому после настройки сервера стоит подумать, для защиты какой категории данных следует приложить дополнительные усилия.

Некоторые серверы, такие как почтовый или веб-сервер, имеют собственные механизмы шифрования трафика. Для веб-серверов этот механизм называется SSL (Secure Socket Layer). Однако для его настройки вам придется ознакомиться с технологией цифровых сертификатов, что потребует значительных усилий, так как тема эта достаточно сложна и объемна. После этого вам придется разворачивать сервер выдачи сертификатов либо на базе собственного Windows Server 2003, либо заказывать такой сертификат у других организаций, предоставляющих подобные услуги, например у компании VeriSign (www.verisign.com). Выданный сертификат должен пользоваться доверием как отправителя, так и получателя сообщения. На рынке существует много продуктов, позволяющих контролировать входящий трафик. Эти системы называются IDS (Intrusion Detection System, системы обнаружения вторжения). Такие системь помимо стандартных функций firewall позволяют контролировать трафик на соответствие стандартам различных протоколов (HTTP, SMTR FTP и другие), и если встроенные в операционную систему средства защиты окажутся недостаточными, то всегда можно построить «пуленепробиваемую стену» вокруг вашей сети.


 

А также другие работы, которые могут Вас заинтересовать

43388. Определение реакций опор твердого тела 2.53 MB
  Составим уравнения моментов сил относительно точки С и А.3 Составим уравнение равновесия для тела CD: ∑ Fkx = 0 отсюда RD = 0 Для всей конструкции: ∑ Fkx = 0; Q – P1∙cos60 – XB – P2 = 0 откуда XB = 2 кН Составим уравнение моментов сил относительно точки А: ∑ MА= 0 Q∙2 M P1∙sin60∙2 – P1∙cos60∙4 – P2∙2 – RD∙7 – YB∙4 = 0 откуда YB = 7196 кН Подставляя найденные значения ХB и YB в уравнение 1 найдем: Итак при шарнирном соединении в точке С модуль реакции B меньше чем при соединении скользящей заделкой. Составим уравнение моментов...
43389. История развития социальной помощи в России 208 KB
  Это было выражено в более расширенной системе помощи которая охватывала и устоявшиеся группы населения и новые формы призрения и воспитания детей предупреждения обнищания населения. В России до начала XVIII века вообще не существовало какойлибо узаконенной формы общественного призрения детей. Первым проявил инициативу митрополит Иов организовавший в 1707 году на собственные средства в Холмовской Успенской обители заведение для призрения сирот и зазорнорожденных незаконнорожденных детей. После смерти Петра I за...
43390. Анализ основных аспектов и проблемных моментов обеспечения конкурентоспособности ООО «Основание» 454 KB
  Важным элементом конкурентоспособности фирмы является конкурентоспособность товара. Это такой уровень его экономических, технических и эксплуатационных параметров, который позволяет выдержать соперничество (конкуренцию) с другими аналогичными товарами на рынке. Кроме того, конкурентоспособность - сравнительная характеристика товара, содержащая комплексную оценку всей совокупности производственных, коммерческих, организационных и экономических показателей относительно она определяется совокупностью потребительских свойств данного товара-конкурента по степени соответствия общественным потребностям с учетом затрат на их удовлетворение, цен, условий поставки и эксплуатации в процессе производительного и (или) личного потребления.
43391. Эстетические аспекты и принципы ведения электронного маркетинга 324.5 KB
  Электронный маркетинг интернет магазин сбор данных обработка данных рекламные компании экономическая эффективность. В курсовой работе проводится оценка эффективности маркетинговой деятельности в сети Интернет проектируется и анализируется интернет-магазин рассматриваются эстетические аспекты и принципы ведения электронного маркетинга.2 Кодекс использования Интернета для маркетинговых целей Американской маркетинговой ассоциации. ПРОЕКТИРОВАНИЕ И АНАЛИЗ ИНТЕРНЕТМАГАЗИНА ООО...
43392. Механизм формирования валютного курса 187 KB
  Особенности национальной валюты Республики Беларусь. Таким инструментом выступают банковские операции по обмену иностранной валюты. Среди главных задач валютного регулирования в нашей республике выделяется проблема устранения разрыва котировок между курсами белорусского рубля на внутреннем и внешнем рынках и перехода к единому обменному курсу национальной валюты. Далее мировыми деньгами стали национальные валюты ведущих мировых держав кредитные деньги.
43393. Анализ основных аспектов и проблемных моментов обеспечения конкурентоспособности ООО «Бремен» 609.5 KB
  Цель работы определить основные аспекты и проблемные моменты обеспечения конкурентоспособности торговых организаций в Республике Беларусь. В процессе работы были изучены теоретические материалы по обеспечению конкурентоспособности торговых организаций определена сущность и содержание концепции конкурентоспособности приведены методы оценки и определены пути повышения конкурентоспособности торговой...
43394. Построение схемы Делитель частоты на 10 на JK-триггерах 79 KB
  Поставленная задача: Изучить как работает JKтриггеры и построить схему Делитель частоты на 10 на JKтриггерах. В остальных случаях он функционирует в соответствии с таблицей истинности RSтриггера при этом вход J эквивалентен входу S а вход K входу R. JKтриггер относится к разряду универсальных триггеров поскольку на его основе можно построить RS D и Tтриггера.
43395. Разработка информационно-поискового справочника «Шеф-повар» 1.14 MB
  В реальных задачах информация, которую требуется обрабатывать, может иметь достаточно сложную структуру. Для ее адекватного представления используются типы данных, построенные на основе базовых типов данных, массивов и указателей. Языки высокого уровня позволяют программисту определять свои типы данных и правила работы с ними, т.е. типы, определяемые пользователем. В языке Си к ним относятся структуры, объединения и перечисления. Рассмотрим их более подробно.