"Человек - самое уязвимое место в системе безопасности.."

Управление рабочими станциями

Рабочие станции на сегодня представлены в виде персональных компьютеров. Множество их пользователей не являются профессионалами в сфере информационных технологий. В их случае нужен надежный компьютер с безперебойной работой его приложений, которые могут использовать сетевые ресурсы. Для обычного пользователя сеть должна быть простой (в рамках нормы безопасности), а реализовывать простоту, установку и настройку разных приложений нужно системному или сетевому администратору. В маленьких сетях с маленьким числом узлов, администратор лично может подойти к каждой рабочей станции, и настроить ее на нормальную работу. Однако если сеть имеет сотни и больше количество узлов, администратору может не хватать времени, что бы подойти к каждой станции физически.

Удаленное управление (DMI и WakeUP on LAN)

Методы централизованного управления рабочими станциями создавались многими фирмами-производителями. В 1992 г. компании IBM, Digital, Intel, Hewtell-Packard, Microsoft, Novell создали DMTF — силы для решения задач управления настольными компьютерами. В 1994 году была выпущена первый вид интерфейса DMI, которая была чисто локальной и не предназначена для управления по сети. В 1996 г. модификация DMI 2.0 разрешала такую задачу. Главная задача DMI — контроль и учет.

Настольный компьютер являет собой набор аппаратных методов и набор ПО. Интерфейс DMI разрешает администратору, не подходя к рабочему месту пользователя, узнать о ПК все. Список параметров DMI BIOS от Award:

  • ROM BIOS — название, производитель, версия, дата выпуска и тд
  • Система — серийный номер, название, версия, производитель
  • Системная плата — -//-
  • Корпус — инвентарный и заводской номера, производитель
  • Процессор — Тип, семейство, версия, идентификатор, частота ядра и шины, тип сокета
  • Модули памяти — тип слота, скорость, банки, размер, наличие ошибок и тд
  • Контроллер памяти — напряжение питания, разрешенные типы памяти, методы исправления и обнаружения ошибок
  • Кэш-память — размер,тип, скорость
  • Порты (LPT, COM…) — для каждого порта: тип коннекторов, надпись на шильдике
  • Встроенная периферия
  • Слоты шин расширения (ISA,PCI…) разрядность, частота, напряжение и тд
  • Журнал системных событий

Кроме инвентаризации, DMI разрешает возможность дистанционного запуска на компьютере разных процедур, с помощью протокола RPC. Принудительное дистанционное администрирование удобно реализовывать во время отсутствия пользователя. Для этого не нужно физически нажимать кнопку включения компьютера, можно запустить компьютер с помощью сетевых карт, и реализовывать процедуру пробуждения — Wake-up on lan (WOL), Remote WakeUp. Для этого они имеют дополнительный 3-проводный интерфейс — кабель с коннектором. По этому кабелю системная плата с питанием в стандарте АТХ дает питание (канал +5VSB) даже когда основное питание на плату не подается. Также принудительное администрирование можно реализовывать через планировщик заданий.

Удаленная загрузка

Удаленная загрузка (Remote Boot/Remote Reset) — это загрузка ОС по сети с файл-сервера. для ее реализации в адаптер ставится ПЗу с расширением ROM BIOS, который имеет загрузчик ОС.

При включении питания процедура начального тестирования POST ищет микросхему Boot ROM и передает управление на заключенный в ней код старта. Во время реализации вектор прерывания BIOS Int 19h переопределяется на код, зашитый в Boot ROM, а также создается инициализация адаптера. Если от загрузки с жесткого диска отказаться, то будет загрузка по сети. Такая загрузка может быть реализована с помощью протоколов: Novell NetWare, RPL или TCP/IP. Алгоритм загрузки для всех протоколов примерно один и тот же: станция отправляет широковещательный запрос. По адресу запроса сервер идентифицирует станцию и список пакетов для пересылки. После окончании приема файл-образа станция дает броды управления содержащемуся в нем программному коду ядра ОС. Все файлы-образы должны быть в каталоге SYS:LOGIN, который по чтению доступен всем станциям в сети. Все файлы загрузки должны иметь атрибут разделяемости (S), иначе одновременная загрузка нескольких станций будет невозможной.

Удаленная загрузка в TCP/IP реализуется с помощью протоколов BootP и TFTP. Удаленная загрузка служит нескольким задачам. Сначала она разрешала избавить рабочих станции от дисковой памяти с целью безопасности и дешевизны. Также она облегчает работу сетевого администратора. ЦЕнтрализованное хранение файлов ОС на сервере при прямом администрировании разрешает минимизировать урон, наносимый вирусами или действиями пользователей.

Смотрите также: