Microsoft Windows for Workgroups представляет собой расширение Windows 3.1, обеспечивающее пользователям, работающим в среде MS Windows, разделяемый доступ к дискам, принтерам, факс-модемам электронную почту и диалог (Chat), динамический обмен данными (сетевой DDE) между приложениями станций. Данная сеть – одноранговая, т.е. каждый компьютер, на котором работает Windows, может выступать как в роли клиента, так и в роли сервера. Каждый компьютер при установке получает свое уникальное имя. Для удобства поиска компьютеры объединяются в рабочие группы (Workgroup), причем каждый компьютер может входить только в одну группу.
Система использует многозадачность, присущую Windows, однако она беззащитна против некорректных приложений, способных захватить процессор и не отдавать управление, что нередко приводит к “зависаниям” сервера (и клиента). Это не позволяет считать Windows for Workgroups высоконадежной системой.
Клиентом сети Microsoft Windows может быть и компьютер без Windows. Из всех сетевых услуг ему будет доступно только использование в качестве сетевых дисков разделяемых каталогов Windows-серверов при предъявлении необходимых паролей.
Для удаленных пользователей в Windows for Workgroups встроена система удаленного доступа к сети (Remote Access), позволяющая подключаться к серверам Windows NT через модем по телефонным каналам или через Х.25.
Удаленный доступ к ресурсам отдельного компьютера (но не всей сети Windows) обеспечивается установкой на нем дополнения Point to Point Server (сервер удаленного доступа).
Подключение пользователя к сети осуществляется после выполнения им процедуры регистрации, т.е. после ввода регистрационного имени пользователя и пароля. С каждым именем пользователя в сети связывается список паролей для подключения к необходимым разделяемым ресурсам. Внесенные в список соединения принтеров и дисков восстанавливаются при каждой регистрации в сети. Список паролей становится доступен только при успешной регистрации, при выходе из сети он блокируется. При попытке соединения с ресурсом, не указанным в списке паролей, требуется ввод пароля с клавиатуры.
Каждый клиент может выделить на своей станции каталоги для коллективного использования, определяя права доступа: Read-Only (только чтение), Full (полноправный) или Depends On Password – Read-Only или Full в зависимости от пароля, предъявленного при подключении. Каждому сетевому каталогу дается символическое имя, однозначно идентифицирующее его вместе с именем машины.
Таким образом, защита от несанкционированного доступа к разделяемым ресурсам обеспечивается регистрацией пользователя в сети в совокупности с установлением паролей доступа к разделяемым ресурсам. Эта модель защиты называется разграничением доступа на уровне ресурсов.
Доступ к сетевым каталогам осуществляется отображением их на логические диски (Disk Map). Диалоговые меню позволяют выбрать нужный каталог через списки групп, машин и их сетевых каталогов. Также осуществляется и доступ к каталогам других сетей (Novell NetWare и др.) с выполнением необходимых процедур регистрации или подключения к серверам.
Типы ресурсов в Windows for Workgroups:
1-я группа. Это локальные ресурсы компьютера, которыми пользователь пользуется единолично, и доступа к ним из других компьютеров нет. К ним относятся дисководы, жесткие диски, каталоги и файлы жесткого диска.
2-я группа. Это разделяемые ресурсы компьютера, с которыми могут работать и другие пользователи сети. Для пользователя данного компьютера эти ресурсы являются локальными.
3-я группа. Это сетевые ресурсы других компьютеров сети. Пользователь может работать с ними, как со своими локальными ресурсами (в соответствии с предоставляемыми правами доступа к ним).
В Windows for Workgroups существует возможность установки следующих сетевых служб:
WinPopup. Используется для обмена сообщениями с клиентами сетей Microsoft.
Групповой планировщик Shedule+. Позволяет составлять расписание собственного дня с учетом расписания других пользователей; при этом имеется возможность их просмотра и внесения изменений.
Групповой ClipBook. Обеспечивает обмен между компьютерами сети графическими и текстовыми данными, записанными в Clipboard.
Электронная почта Mail. Позволяет рассылать сообщения отдельным клиентам и группам, при необходимости доступ к сообщениям может быть защищен индивидуальными паролями абонентов. Почтовый сервис обеспечивает поиск и сортировку сообщений, их можно организовывать в папки, для рассылки используется персональная адресная книга. Почтовые сообщения кроме текста могут содержать и двоичные файлы.
Chat. Обеспечивает диалог в реальном времени с другим пользователем.
Windows предоставляет также возможность совместного использования факс-модема. Для этого создается разделяемый каталог, в который поступают файлы на передачу от клиентов сети и приходящие факсы.
Microsoft Windows 95/98
Microsoft Windows 95 и Microsoft Windows 98 занимают промежуточное положение между Windows for Workgroups и Windows NT/2000. Штатные сетевые средства являются полностью 32-разрядными программами защищенного режима, обеспечивающими существенное повышение производительности по сравнению с Windows for Workgroups. Windows 95 позволяет организовать одноранговую компьютерную сеть Microsoft, аналогичную сети Windows for Workgroups.
Но в отличие от Windows for Workgroups, в Windows 95 используется “универсальный клиент” сети, который обеспечивает единообразие доступа к ресурсам различных сетей и их поддержку из системной оболочки, а не с помощью дополнительных модулей. В Windows 95 нет необходимости отображать сетевой ресурс на локальный диск, чтобы получить доступ к нему. Все ресурсы компьютера (как локальные, так и сетевые) представляются в виде папок, которые объединены в единое “иерархическое дерево”, что упрощает их использование.
По сравнению с NetWare и Windows NT, система безопасности Windows 95 несколько облегчена. Безопасность обеспечивается регистрацией пользователя при подключении к сети и защитой ресурсов.
Ресурсы в Windows 95/98 могут защищаться двумя способами:
1. На уровне ресурсов. Аналогично Windows for Workgroups, защита ресурсов в этом случае реализуется с помощью назначения паролей доступа к разделяемым ресурсам. Применяются три вида доступа к ресурсу: только чтение, полный доступ и доступ с использованием пароля.
2. На уровне пользователей. Обеспечивает возможность указания пользователей и групп, имеющих доступ к разделяемому ресурсу. При этом необходимо, чтобы одноранговая сеть была подключена к серверу Windows NT или NetWare, на котором хранится список зарегистрированных пользователей с указанием их прав.
Сетевая оболочка обеспечивает единообразный (для всех сконфигурированных клиентов) способ отображения сетевых ресурсов (сетевых каталогов, принтеров, факс-модемов) и объектов (серверов, доменов), а также обеспечивает единообразный доступ к ним. Вся сеть, доступная из данного компьютера, представляется в виде иерархической структуры объектов (ресурсов) и контейнеров (объектов, содержащих в себе другие объекты), что облегчает поиск нужных ресурсов.
Типы сетевых объектов в Windows 95/98:
1-я группа. Это локальные ресурсы компьютера, которыми пользователь пользуется единолично, и доступа к ним из других компьютеров нет.
2-я группа. Это разделяемые ресурсы компьютера, с которыми могут работать и другие пользователи сети. Для пользователя данного компьютера эти ресурсы являются локальными.
3-я группа. Это сетевые ресурсы других компьютеров сети. Пользователь может работать с ними, как со своими локальными ресурсами (в соответствии с предоставляемыми правами доступа к ним).
4-я группа. Это отключенные сетевые ресурсы других компьютеров сети. Для пользователя эти ресурсы в данный момент недоступны.
Сетевые приложения (почта, обмен сообщениями, планировщик) по своим возможностям аналогичны прототипам из Windows for Workgroups.
Explorer (Проводник). Использует представление локальных ресурсов компьютера и ресурсов компьютерной сети в виде единого иерархического списка, а также обеспечивает единообразный подход к использованию локальных и сетевых ресурсов.
Microsoft NetMeeting. Обеспечивает диалог в реальном времени с другим пользователем. Возможен обмен как текстовыми сообщениями, так и рисунками, и речевыми сообщениями. Допускается совместное использование приложений несколькими пользователями.
Microsoft Outlook. Представляет собой усовершенствованную версию планировщика работы Microsoft Schedule. Она помогает удобно организовать данные на компьютере, предоставлять их для совместного пользования и поддерживать связь с другими пользователями. Работа в Outlook позволяет использовать перечисленные ниже возможности:
• управлять данными личного и служебного характера, например, сообщениями электронной почты, файлами, информацией о встречах, контактах и задачах, а также следить за ходом работы;
• организовывать коллективное использование данных в рамках группы при помощи электронной почты; планирование работы группы, общих папок и т. п.
Microsoft Outlook входит в пакет Microsoft Office 97.
Microsoft Internet Explorer. Программа доступа к ресурсам Internet включает в себя броузер для доступа к сервисам WWW, электронную почту Internet Mail и доступ к сетевым новостям Internet News. В версии Internet Explorer 4.0 и 5.0 вместо Internet Mail и Internet News входит пакет Outlook Express, который является упрощенной версией Microsoft Outlook.
Кроме этого в новую версию Internet Explorer входят средства организации подписки на каналы и служба автоматической доставки информации.
Сетевые ресурсы Microsoft Windows NT/Windows 2000
Операционные системы Microsoft Windows NT и Microsoft Windows 2000 – это 32-разрядные приоритетные многозадачные операционные системы со встроенными сетевыми возможностями и средствами обеспечения безопасности. Системы могут работать на компьютерах с различными архитектурами: CISC (полный набор команд), RISC (сокращенный набор команд) и с симметричной мультипроцессорной архитектурой. Модульность систем делает их расширяемыми и облегчает их переносимость на другие платформы. Они поддерживают подсистемы OS/2, POSIX и Win32 (собственно Windows NT) и виртуальные DOS-машины (VDM) для запуска приложений DOS и 16-битных Windows. Вытесняющая многозадачность (Preemptive Multitasking) и устойчивое ядро ОС обеспечивают надежность функционирования систем, соответствующую высоким требованиям сетей ответственных применений.
В зависимости от размера и назначения сеть может состоять из рабочих групп (workgroup) и доменов (domain).
Рабочая группа объединяет пользователей, разделяющих информацию и ресурсы. Сеть рабочей группы состоит из сервера и нескольких рабочих станций.
Недостатком защиты на уровне рабочих групп является отсутствие централизованности управления компьютерной сетью, необходимость разработки модели безопасности на каждом компьютере сети (т.е. информация о разделяемых ресурсах компьютеров хранится на всех компьютерах сети).
В связи с этим в Windows NT была предложена доменная организация сети, позволяющая создавать очень сложные (и мощные) сети масштаба предприятия. Домен состоит из нескольких серверов с общей стратегией безопасности и распределенной базой данных пользователей. Один из серверов назначается контроллером домена, но их может быть и несколько. На контроллере домена хранится центральная база данных учетных записей всего домена. Для каждого пользователя создается только одна учетная запись, которая определяет права доступа к любому серверу домена. Благодаря возможности Windows NT Server устанавливать доверительные отношения между доменами (inter-domain trust), права доступа, определенные одной пользовательской учетной записью, могут распространяться на множестве доменов.
Проверка защиты и аутентификация в NT/2000 осуществляются как во время процесса регистрации, так и во время выполнения сетевых операций. Windows NT имеет локальную подсистему безопасности и Security Reference Monitor, призванный соблюдать требования локальной подсистемы безопасности.
Встроенные средства безопасности не гарантируют физической защиты информации, так как не используют кодирование при хранении и передаче информации. Просмотр диска на физическом уровне (под другой ОС) позволяет обойти системные ограничения доступа. Для защиты передаваемой информации применяются дополнительные средства, например, продукт Trusted Network Technology (TNT), обеспечивающий высокий уровень защиты при использовании TCP/IP в сетях на базе Windows NT/2000 Server, Windows NT Workstation и Windows 2000 Professional. С точки зрения управления доступом к ресурсам, возможности системы близки к NetWare 4.1, где для пользователя доступ к ресурсам всей сети обеспечивается однократной регистрацией в сети.
При использовании Microsoft Network администратор сети решает, с помощью какой службы выполнять преобразование имен компьютеров сети. Эта проблема в Windows NT может быть решена тремя способами: с помощью файлов LMHOSTS, службы WINS или службы DNS.
Сервис на основе файлов LMHOSTS (Local Machine Hosts) позволяет преодолеть барьер определения NetBIOS адреса компьютера, находящегося в другом сегменте, но достаточно неудобен, так как предполагается наличие такого файла на каждой рабочей станции. Отсюда – огромные неудобства, возникающие перед сетевым администратором при подключении нового компьютера к сети.
Разработчики Windows NT решили эту проблему с помощью сервера имен WINS (Windows Internet Name Service). Здесь все имена прописываются на одном компьютере, которым является сервер WINS, хотя возникает небольшое неудобство, связанное с тем, что этот сервер должен быть постоянно включенным для обслуживания рабочих станций, определяющих адрес другого компьютера. Но эта проблема выглядит довольно мелкой в сравнении с упомянутой выше.
Служба DNS очень напоминает WINS, за исключением того, что первый является стандартом для сети Internet, и если вы планируете организовать связь с миром сейчас или в будущем, то лучше остановить свой выбор именно на ней.
Из утилит, входящих в стандартную конфигурацию сервера Windows NT/2000, можно выделить Network Monitor, которая позволяет отобразить не только загруженность сетевого интерфейса, но и просмотреть полное содержимое кадров данных, проходящих через этот сегмент сети.
Server Manager, кроме управления локальным компьютером, предоставляет возможность удаленного администрирования.
Утилита User Manager for Domain предоставляет превосходный инструментарий для администрирования пользователей и групп. Ну, а с помощью Administrative Wizards администрирование сети Microsoft Network доступно даже начинающему администратору.
Среди средств защиты можно выделить System Policy, представляющее собой мощное средство управления не только локальным компьютером, но и всеми рабочими станциями, входящими в общий домен. Этот инструмент оперирует на уровне реестров и позволяет управлять возможностями пользователя на его рабочей станции. Например, можно запретить возможность изменять настройки компьютера через Control Panel или запретить доступ к установкам Screen Saver на рабочей станции. Это средство совместимо с одноименным сервисом Windows 95, что позволяет администратору пресекать попытки изменения конфигурации компьютера не только в Windows NT Workstation и Windows 2000 Professional, но и в Windows 95/98.