Aceesarea datelor n reea

Date prelucrate de Emil Dendyuk DGTI ANAF

Pentru a accesa resurse de pe un calculator (staie de lucru) cu NT (fiiere, foldere, printere etc) prezint principalele aspecte care trebuie cunoscute i avute n vedere de ctre utilizatori.
Windows NT este o familie de sisteme de operare produse de Microsoft ( vezi ANEXA) Windows NT suport multitasking preemptiv i threading-ul, precum gama celor mai mari sisteme. Sistemul de fiiere NTFS are caracteristici puternice de securitate i multiuser, cu nume lungi de fiiere i posibilitatea de a adresa discuri de mare capacitate.

Accesarea datelor n reea pe sisteme NT presupune ndeplinirea a 3 condiii absolut necesare: 1. conectarea staiilor de lucru ntre ele; 2. partajarea resurselor (share); 3. acordarea permisiunilor de acces (de securitate).

1. Conectarea staiilor n reea

Prima condiie ca dou staii s comunice n reea este relizarea unei conexiuni fizice ...adic s existe conectivitate n reea ntre cele dou calculatoare, ceea ce presupune: - staiile de lucru s fie pornite i s fie configurate corespunztor pentru lucrul n reea (s aib o adres IP, subnet mask, adres Gateway i eventual DNS i/sau adres WINS); - s fie conectate prin cablu de reea la o priz de reea, abilitat (conectat la echipamente de comunicare n reea). a) Verificarea configurrii unei staii de lucru se face din fereastra Command Prompt, care se poate deschide prin: Start / Run

Se deschide fereastra Run, se introduce comanda cmd i Enter sau click pe butonul OK

Pe linia de comanda se tasteaz comanda: ipconfig/all

Sistemul de operare afieaz datele de configurare. Dac nu exist conectare la reea, nu sunt afiate informaiile de configurare. b) Verificarea conectivitii Cea mai simpl verificare se poate face din fereastra cmd. Pe linia prompt-ului dai comanda Ping 10.250.10.150 unde 10.250.10.150 este adresa IP a staiei la care vreau s m conectez Sau Ping MFP315 unde MFP315 - este numele staiei la care vreau s m conectez. Pentru ca s existe comunicare ntre staii, prin apelarea numelui lor, este necesar ca ele s fie nregistrate la un server WINS (nregistrarea se face automat, la accesarea reelei, dac n configurare a fost specificat adresa unui server WINS).
WINS (Windows Internet Naming Service) este o implementare Microsoft a NetBIOS Namer Server (NBNS) in Windows, un serviciu i un server de nume pentru nume de calculatoare NetBIOS. NetBIOS este un acronim pentru Network Basic Input/Output System i este un API al NetBIOS care permite aplicaiilor de pe calculatoare diferite s comunice printr-o reea local LAN (Local Area Network).

2. Partajarea resurselor staiei de lucru

n continuare toate explicaiile i exemplele sunt valabile pentru staiile de lucru cu sistemul de operare Windows XP. Partajarea resurselor n reea pe un PC, poate fi fcut numai de ctre utilizatori care fac parte din grupul de administratori (administrators group). Utilizatorii cu drepturi limitate (users) NU pot desemna resurse ale PC-ului, care s fie partajate n reea, cu ali utilizatori. Amnunte, la punctul 2.3.

2.1. Despre conturile utilizatorilor (Accounts)

Un utilizator poate accesa resursele unui PC, n 2 variante: n calitate de GUEST sau de USER. a) GUEST Dac contul Guest este activat (on), persoanele care nu au un cont local, pot folosi acest cont (de oaspete - guest -) pentru a se conecta la calculator. NOT: Dac contul Guest este dezactivat (off sau disabled), din reea se pot conecta numai utilizatorii care au cont de user pe calculator. Astfel se mpiedic accesul altor utilizatori din reea (ceea ce este recomandabil). Un utilizator guest se poate conecta att prin logare de la consol (din faa PC-ului), ct i din reea, cu User name= Guest i fr parol. Acest cont permite altor persoane s foloseasc uor calculatorul, fr a fi necesar s li se creeze un

cont anume (de user). Contul de guest ofer un acces limitat, astfel nct setrile i fiierele de pe calculator sunt ntr-o mai mare siguran. Contul de guest trebuie s fie activat de ctre un administrator al PC-ului, nainte de a putea fi utilizat. Activarea contului guest (care implicit este dezactivat disabled) se poate face din click dreapta pe My Computer opiunea Manage, dublu click pe Local Users and Groups, click pe Users Click dreapta pe Guest apoi Properties i se debifeaz Account is disabled

Contul de Guest nu are setat parol i se folosete ca atare att la accesul local ct i din reea. Oricum, pentru buna funcionare a partajrii i a acesului distant, contul Guest e bine s fie on. b) USER Accesul n calitate de user presupune crearea de ctre administratorul local, a unui cont specific (ex. Gabi) avnd obligatoriu o parol (ex. mama). Autentificarea oricrui utilizator autorizat s acceseze resursele locale, se face prin verificarea credenialelor sale (user name i parol). Dac la logarea de la consol, sistemul permite unui user s aib o parol vid, la verificarea credenialelor pentru accesul din reea, este obligatorie prezentarea i a unei parole. (fr parol, sistemul nu poate realiza autentificarea nici unui user) La crearea unui cont de user, deci cu drepturi limitate, (nu cont de administrator), automat acesta este ataat grupului USERS Crearea unui cont nou se face cu click dreapta pe My Computer opiunea Manage, dublu click pe Local Users and Groups. Click dreapta pe Users opiunea New User

Se completeaz datele solicitate:

User name numele cu care se va loga local sau din reea noul utilizator (OBLIGATORIU); Full name: - se completeaz opional pentru identificarea uoar a noului utilizator; Description: - se completeaz opional i poate fi o scurt descriere privind scopul pentru care a fost creat noul cont de utilizator; Password: parola cu care se va autentifica noul utilizator (OBLIGATORIU); Confirm password: - se reintroduce parola pentru confirmare (OBLIGATORIU).

Cele 4 check boxuri se completeaz n funcie de nevoi, fiind destul de explicite. - User must change password at next logon la prima logare a noului utilizator, dup autentificare, sistemul solicit schimbarea obligatorie a parolei cu care s-a fcut prima autentificare; noua parol va fi cea valid pentru urmtoarele autentificri; Rmne disponibil doar opiunea Account is disabled; - User cannot change password utilizatorul nu poate modifica parola care i-a fost atribuit; n acest caz, opiunea anterioar devine inaccesibil; - Password never expires parola atribuit de administrator nu expir niciodat i are ca efect anularea politicii de grup, de pe calculator, care stabilete durata maxim de valabilitate a unei parole (dup care trebuie modificat implicit este de 42 de zile); - Account is disabled la bifare, contul devine inactiv temporar; la debifare se reactiveaz contul i utilizatorul poate accesa resursele care i se pun la dispoziie.

2.2 Setarea politicilor de securitate

Dou dintre politicile de securitate locale care controleaz accesul din reea la un calculator sunt: - Access this computer from the network Acceseaz acest calculator din reea - Deny access to this computer from the network Refuz accesul la acest calculator din reea. Prin click dreapta pe fiecare din aceste opiuni i click pe Properties se pot aduga sau terge grupuri de utilizatori care pot accesa din reea calculatorul. NOT:
Este mai comod gestionarea acceselor (a politicilor n general) la nivel de grupuri de utilizatori, dect individual.

n timp, se pot aduna multe setri de politici i drepturi individuale, care se uit, iar sistemul devine vulnerabil, din punct de vedere al securitii. La tergerea unui utilizator, din Users, acesta este automat ters de ctre Windows, din toate grupurile de utilizatori din care fcea parte. Astfel, sunt terse toate drepturile care i-au fost conferite pe calculator, de-a lungul timpului. Trebuie verificat dac grupul Users are setat dreptul de a accesa calculatorul din reea. Implicit are acest drept, dar o verificare elimin erorile posibile.

Click pe Start, Run, introduceti secpol.msc, iar n fereastra Local Security Settings, dublu click pe Local Policies i apoi click pe User Rights Assignment. Accesarea acestei ferestre se poate face i din Start, Programs, Administrative Tools, Local Security Policy

Cu click dreapta pe Access this computer from the network i apoi Properties se gestioneaz utilizatorii care s aib dreptul de a accesa calculatorul din reea. Cu butonul Add User or Group se pot aduga utilizatori sau grupuri de utilizatori.

Se deschide fereastra:

Se d click pe Advanced i din fereastra urmtoare se d click pe butonul Find Now. Cu click de mouse selectm utilizatorul Guest, dm OK i OK,iar Guest apare n lista utilizatorilor

care acceseaz acest calculator din reea. Similar, poate fi adugat orice grup sau utilizator care are un cont pe acest calculator. Cu butonul Remove din fereastra: Acces this computer from the network Properies poate fi scos din list orice utilizator sau grup de utilizatori pentru care se anuleaz accesul din reea. Cea de-a doua opiune Deny access to this computer from the network, interzice unui utilizator sau unui grup de utilizatori accesul din reea.

Prin metoda descris anterior, pot fi adugai sau scoi din list utilizatorii vizai. Trebuie reinut faptul c DENY are prioritate asupra primei opiuni de ACCESS.

Exemplu: Utilizatorii Gabi, Mihai i Dorel fac parte din grupul Colegi, iar grupul a primit dreptul de acces din reea. Dac se dorete ca Dorel s nu mai aib acest drept temporar, singura modificare fcut const n adugarea lui la Deny access to this computer from the network. Aa cum s-a observat din imaginile de mai sus, contul Guest, n mod implicit, nu are acces din reea pe calculator. Pentru a asigura accesul i utilizatorului Guest din reea, acesta va fi scos din lista de la Deny access to this computer from the network.

5. Operaiunea de partajare a resurselor

Fiind un utilizator cu drepturi administrative (din grupul Administrators) pot face acum SHARE (s partajez resurse) cu ali utilizatori din reea. De regul, drepturile de partajare se dau la nivelul unui folder sau fiier. Procedura este similar, cu observaia c pentru fiier totul este singular (un obiect), pe cnd pentru foldere, implicit, prin motenire, se transmit drepturile la toate fiierele i subfolderele coninute de folderul partajat. Partajarea unui folder se realizeaz din Windows Explorer, prin poziionarea cursorului pe folderul vizat, click dreapta i din meniul contextual se alege prin clik, opiunea Sharing and Security.

n fereastra cu proprietile de partajare, se apas butonul Share this folder se las numele folderului sau se poate atribui un alt nume sub care s fie vzut folderul n reea de ctre cei car au permisiunea de a accesa calculatorul din reea. Se tasteaz un nume dorit n cmpul Share name

Tab Sharing

Tab Security

Se apas butonul Permissions. Implicit, utilizatorul Everyone (oricine) este n permisiunile de partajare. Pentru un control riguros, acest utilizator poate fi ters i se pot aduga utilizatorii sau grupurile de utilizatori dorii.

Dac permisiunea de partajare vizeaz orice utilizator desemnat n politicile locale de acces, acest utilizator generic, Everyone, poate fi pstrat.

De obicei, se definesc grupurile dorite: Users i /sau Guests, sau utilizatori individuali, cu cont creat pe acest PC. SHARE adic partajarea, asigur numai vizibilitatea obiectelor partajate n reea celor desemnai, dar nu i modificarea lor. SECURITY este componenta care permite exercitarea unei aciuni asupra obiectului partajat. Pentru a avea acces la tab Security este necesar ca opiunea Use simple file sharing s nu fie activat. Pentru Windows XP din My Computer sau Windows Eplorer, se alege din meniu Tools, Folder Options i apoi View.

Se debifeaz ultima opiune Use simple file sharing (Recommended). Cu un click pe tab Security se deschide fereastra care permite acordarea permisinilor (aciuni permise) asupra obiectelor locale partajate , dinspre reea. Implicit, exist grupurile principale de utilizatori, la cere se verific drepturile pe care le au, se restricioneaz sau se adaug alte permisiuni.

Aceast list de permisiuni se numete ACL - Access Control List. Lista are dou coloane, una permite selectarea aciunilor permise (Allow), iar a doua coloan permite definirea aciunilor refuzate (deny). Principalele aciuni sunt: - List Folder Contents - Read - Read &Execute

Aceste trei aciuni apar la adugarea unui nou grup de utilizatori n lista ACL. Alte permisiuni sunt: - Modify - Write - Full Control NOT: Pentru a verifica cu ce drepturi intr cineva din reea pe propriul PC, din Start, Run, se introduce comanda: fsmgmt.msc i la SESSIONS exist un tab n dreapta USER ... unde se vd credenialele pentru cel conectat ...

ANEXA

Windows NT Releases
NT Ver. NT 3.1 NT 3.5 NT 3.51 NT 4.0 Marketing Name Windows NT 3.1 Windows NT 3.5 Windows NT 3.51 Windows NT 4.0 Editions Release Workstation (named just Windows NT), Advanced Server Workstation, Server Workstation, Server Workstation, Server, Server Enterprise Edition, Terminal Server, Embedded Professional, Server, Advanced Server, Datacenter Server Home, Professional, IA64, Media Center (2002, 2003, 2004 & 2005), Tablet PC, Starter, Embedded, N Standard, Enterprise, Datacenter, Web, Small Business Server Professional x64 Edition Starter, Home Basic, Home Premium, Business, Enterprise, Ultimate Business: Unknown Date July 27, 1993 September 21, 1994 May 30, 1995 July 29, 1996 Build 528 807 1057 1381

NT 5.0 NT 5.1

Windows 2000 Windows XP

February 17, 2000 October 25, 2001

2195 2600

NT 5.2 NT 5.2 NT 6.0

Windows Server 2003 Windows XP (x64) Windows Vista

April 24, 2003 April 25, 2005 November 2006 Consumer: January 2007 2007 (expected)

3790 3790 Unknown

NT 6.0

Windows Server "Longhorn" (codename)

Unknown

Grupuri de utilizatori
Un calculator PC, numit i staie de lucru, poate fi independent sau poate s fac parte dintr-un domeniu. Un domeniu reprezint o reunire de resurse hard i soft gestionate centralizat, asigurnd accesul securizat, partajarea controlat a resurselor i o administrare centralizat. Nu face obiectul acestui material. Gestionarea resurselor unui PC este realizat de utilizatori, care primesc anumite drepturi de administrare din partea sistemului de operare, n funcie de tipul contului creat i grupul de utilizatori din care fac parte. Fiecare cont de utilizator face parte dintr-un grup local de utilizatori de pe acel PC. Un grup de utilizatori este alctuit dintr-un set de utilizatori care au un anumit grad de control asupra PC-ului. Principalele 4 grupuri de utilizatori sunt: - administratorii (administartors) - utilizatorii puternici (power useri) - utilizatorii (users) - oaspetii (guests) Conturile locale pot fi create i pot face parte din orice grup, de pe acel PC. ADMINISTRATORS Membrii grupului de administratori au un control total asupra calculatorului. Utilizatorul numit Administrator este membru implicit al acestui grup. Administratorii pot: - s creeze, s modifice i s acceseze contul unui utilizator local; - s instaleze hardware i software nou; - s upgradeze sistemul de operare; - s fac un backup de sistem i de fiiere;

s pretind posesia asupra fiierelor stricate; s fac orice din ceea ce pot face utilizatorii puternici.

POWER USERS Categoria utilizatorilor puternici pot realiza orice sarcin, cu excepia celor rezervate administratorilor. Au alocate funcii care nu afecteaz direct sistemul de operare sau nu reprezint un risc de securitate. Toate conturile de domeniu fac parte din acest grup. Power users pot: - crea conturi de utilizatori locali; - modifica conturile de utilizatori pe care ei le-au creat; - modifica drepturile de utilizare pentru users, power users i guests; - instala i rula aplicaii care nu afecteaz sistemul de operare; - individualiza setri i resurse din Control Panel, cum ar fi imprimante, data/timpul, opiuni de alimentare ale PC-ului; - face orice din ceea ce fac utilizatorii (users). Power users NU POT: - accesa datele altor utilizatori fr permisiune; - terge sau modifica contul unui utilizator pe care nu l-au creat ei. Utilizatorii users pot efectua sarcini obinuite, dar au slabe posibiliti de a afecta calculatorul n afara contului propriu. Grupul de users este cel mai sigur mediu de rulare a programelor, deoarece un user nu poate afecta sistemul de operare sau un fiier program. Users pot: - crea, modifica sau terge propriile fiiere de date; - rula aplicaiile sistem sau instalate pentru ei personal; - modifica setrile proprii; - instala programe doar pentru uzul lor personal; - accesa reeaua: - tipri la o imprimant local sau din reea; - orice din ceea ce poate face un guest. Users NU pot: - modifica setrile sistemului, fiierele sistemului de operare; afecta datele altor utilizatori sau setrile lor de desktop; - instalala aplicaii care s poat fi rulate de ali utilizatori; - adauge imprimante; - s configureze sistemul pentru partajarea de fiiere Grupului de utilizatori guests oaspei i se acord acces limitat, ocazional. Odat ce un oaspete - guest prsete accesul acordat (log out), toate fiierele create de acesta sunt terse. Guests pot: - face log in i log out (accede sau prsi); - rula aplicaii; - naviga printre fiierele sistemului; - s opreasc sistemul (shut down). Guests nu pot face nimic altceva.

USERS

GUESTS