Инструменты управления хранением и общим доступом Windows Server 2008

Посетителей: 12579 | Просмотров: 17330 (сегодня 0) Шрифт:

Тема управления хранением и общим доступом может, на первый взгляд, показаться не такой уж интересной. Однако для администраторов Windows, которым часто приходится работать с хранением и общим доступом в своих инфраструктурах Windows, инструмент управления хранением и общим доступом Windows Server 2008 Share and Storage Management является обязательным инструментом, который нужно использовать на ежедневной основе. Позвольте мне объяснить, что делает этот инструмент, чем он может быть полезен и как его использовать.

Цель инструмента управления хранением и общим доступом

Если говорить простым языком, целью этого инструмента является упрощение администрирования хранения и общего доступа Windows Server 2008 для администраторов, таких как вы и я. Как говорят в компании Microsoft, ‘общие ресурсы’ представляют собой отдельные папки или целые дисковые тома, к которым предоставляется доступ по сети. ‘Хранилище’, которым помогает управлять этот инструмент, представляет собой ‘дисковые тома и дисковые системы хранения’.

Одной из лучших функций инструмента Share and Storage Management является Инициализация мастера настройки общих папок (Provision a Shared Folder Wizard). Этот мастер упрощает жизнь ИТ администраторам, задавая вам вопросы, на которые нужно ответить, после чего он выполняет все необходимые шаги. Например, мастер поможет вам выбрать папку или том, к которому вы хотите предоставить общий доступ, задать протокол, предоставляющий доступ, определить NTFS разрешения для ресурса, настроить общие разрешения, опубликовать его в DFS, задать NFS разрешения (если применимо) и применить квоты хранения (если установлен диспетчер управления файловым сервером).

Конечно инструмент управления хранением и общим доступом также позволяет вам настраивать ежедневные аспекты, связанные с общим доступом, включая параметры NTFS / общих разрешений, просмотра того, кто подключен, и запрещения общего доступа или отключения пользователей.

Благодаря аспекту хранения этого инструмента вы сможете даже расширять, форматировать, удалять и изменять тома. Вы также можете использовать инструмент для проверки ошибок, дефрагментации и резервного копирования.

Теперь давайте рассмотрим некоторые из этих возможностей более подробно!

Как создавать общие ресурсы с помощью этого инструмента

Одной из наиболее распространенных задач, которые вы будете выполнять с помощью этого инструмента, является создание новых общих ресурсов. Конечно, это означает, что вы предоставляете к чему-либо общий доступ в сети, чтобы конечные пользователи могли использовать эти ресурсы. Вы, вероятно, догадались, что нужно для выполнения этой задачи ‘ нужно определить ресурс с общим доступом и тех, кому будет предоставлен доступ к нему.

Следует учитывать, что для предоставления доступа к ресурсам, вы должны быть администратором или членом подобной группы со схожим набором прав. Когда вы вошли в инструмент Share and Storage Management, для предоставления общего доступа к ресурсу вам лишь нужно нажать Действия (Actions), затем Предоставить общий доступ (Provision Share), примерно так:

Рисунок 1: Создание нового общего ресурса

Это вызовет мастера Provision a Share Wizard. Здесь вы начинаете с того, что указываете путь создания нового ресурса.

Рисунок 2: Выбор пути ресурса / место расположения

Указываете NTFS разрешения, как показано на рисунке 3.

Рисунок 3: Определение NTFS разрешений

Выбор протокола общего доступа (SMB является единственной опцией, если не установлена служба для NFS), как показано на рисунке 4.

Рисунок 4: Выбор протокола общего доступа

Определяете SMB параметры, такие как лимит пользователей, перечисление доступа и параметры автономного режима’

Рисунок 5: Определение SMB параметров

Далее мастер попросит вас задать SMB разрешения этого нового ресурса. Здесь вам будет предоставлено несколько быстрых опций для облегчения задачи (рисунок 6).

Рисунок 6: Определение SMB разрешений нового ресурса

Если вы используете DFS, то вам нужно будет настроить DFS пространство имен для нового ресурса.

Рисунок 7: Настройка DFS пространства имен

Наконец мастер попросит вас просмотреть все параметры этого ресурса, выбранные ранее, прежде чем вы создадите его. Если все в порядке, просто нажмите Создать.

Рисунок 8: Просмотр всех настроек и конечное подтверждение

В простом ресурсе, как тот, что мы создали в этом примере, для мастера немного работы, поэтому процесс создания ресурса займет пару секунд. На рисунке 9 показано, как выглядит успешное создание ресурса. Если возникнут ошибки, вы сможете посмотреть их в закладке Ошибки .

Рисунок 9: Успешное создание нового ресурса

Именно так работает мастер Provision a ShareWizard. Он действительно собирает все шаги, которые нужно было выполнять администраторам, в один процесс, благодаря которому вы ничего не забудете. Отличная работа Microsoft!

Когда вы закончите работать с ресурсом, можно нажать на вкладку Общие ресурсы (Shared)и посмотреть свой новый ресурс. На рисунке 10 ниже показан ресурс ‘temp’, который мы только что создали.

Рисунок 10: Просмотр своего нового ресурса в закладке общих ресурсов

Что еще можно сделать с помощью этого инструмента?

Существует гораздо больше задач, которые можно выполнить помимо создания ресурса. Ниже приведены еще 6 задач, которые вы сможете выполнить с помощью этого инструмента:

1. Создать хранилища (Provision storage) ‘ это отличная функция для серверов с большим количеством хранилищ, на которых вы часто изменяете, добавляете и удаляете хранилища сервера. Хранилище, которое вы создаете, может представлять собой либо LUN, либо локальный том. Однако следует учитывать, что невозможно создать хранилище, если у вас нет специально выделенного места под это хранилище.
2. Увеличить том
3. Форматировать том
4. Изменить свойства тома, включая доступ к таким инструментам, как дефрагментация и проверка ошибок
5. Запретить общий доступ к ресурсу
6. И даже управлять общим доступом и хранилищами на других компьютерах

Рисунок 11: Управление хранилищами с помощью инструмента Share and Storage Management

Диагностика Share and Storage Management

И, наконец, этот инструмент может помочь вам в диагностировании управления общим доступом и хранилищами, позволяя вам работать с сеансами и открытыми файлами. Это можно использовать для просмотра того, кто к какому ресурсу подключен, и какие файлы они открывали. При необходимости вы также можете Запретить общий доступ (Stop Sharing) к определенному ресурсу. Следует обратить внимание на то, что отсутствует возможность «Удалить ресурс» (‘Delete a Share’), она просто называется Stop Sharing.

Инструмент Share and Storage Management может также помочь вам решить общие проблемы. На самом деле в руководстве Microsoft TechNet Share and Storage Management приведен список 8 распространенных проблем, связанных с общим доступом и хранением, которые можно решить с помощью данного инструмента.

Заключение

Инструмент управления хранением и общим доступом является отличным дополнением к Windows Server 2008 . Без мастера Share and Storage Management создание новых общих ресурсов может быть сложным, поэтому мне действительно нравится то, как мастер позволяет легко пройти через этот процесс. В целом я считаю, что компания Microsoft проделала отличную работу, создав этот инструмент.

Программы для ограничения доступа к файлам и настройкам ОС

Несмотря на то, что в составе Windows есть инструменты для ограничения доступа, на практике оказывается, что они не слишком удобны, причем в самых заурядных ситуациях. Достаточно упомянуть такие простые примеры, как установка пароля на директорию или запрет на открытие Панели управления.

Можно отметить, что в Windows 8, по сравнению с предшествующей ей Windows 7, был усовершенствован родительский контроль. Сейчас с ним можно ознакомиться в разделе «Семейная безопасность» Панели управления. Фильтр имеет следующие возможности:

• Фильтрация посещения веб-сайтов
• Ограничения по времени
• Ограничения на Магазин Windows и игры
• Ограничения на приложения
• Просмотр статистики активности пользователей

Из перечисленного ясно, что даже эти функции помогут администратору компьютера решить многие частные моменты. Поэтому далее пойдет речь о небольших программах, которые позволяют ограничить доступ к информации и системным разделам в дополнение к стандартным инструментам управления ОС Windows.

Security Administrator

Лицензия: Shareware ($69)

Программа Security Administrator напоминает типичный системный твикер, но только с акцентом на системную безопасность. Каждая из опций отвечает за определенное ограничение, поэтому общее древо настроек так и называется — «Restrictions». Оно делится на 2 раздела: общие (Common Restrictions) и пользовательские ограничения (User Restrictions).

В первой секции — параметры и подразделы, которые касаются всех пользователей системы. К ним относятся загрузка и вход в систему, сеть, Проводник, собственно Интернет, система, Панель управления и другие. Условно их можно разделить на ограничения онлайн- и офлайн-доступа, но разработчики особо сложной разбивки по вкладкам не рассмотрели. По сути, достаточно и того, что каждый «твик» имеет описание: какое влияние на безопасность оказывает та или иная опция.

Во втором разделе, User Restrictions, можно настроить доступ для каждого пользователя Windows индивидуально. В список ограничений входят разделы Панели управления, элементы интерфейса, кнопки, горячие клавиши, съемные носители и др.

Предусмотрен экспорт настроек в отдельный файл, чтобы его можно было применить, например, на других системных конфигурациях. В программу встроен агент для слежения за активностью пользователей. Файлы журнала помогут администратору проследить потенциально опасные действия пользователя и принять соответствующие решения. Доступ к Security Administrator можно защитить паролем — в далее рассматриваемых программах это опция также имеется де факто.

Из недостатков — небольшой список программ, для которых можно применить ограничения: Media Player, MS Office и т. п. Популярных и потенциально опасных приложений намного больше. Усложняет работу отсутствие актуальной для Windows 8 версии и локализации — это как раз тот вариант, когда сложно обходиться без начальных знаний английского.

Таким образом, программа предназначена как для ограничения доступа, так и для гибкой настройки параметров безопасности ОС.

WinLock

Лицензия: trialware ($23,95)

В WinLock нет распределения настроек на общие и пользовательские, вместо этого имеются разделы «Общие», «Система», «Интернет». В сумме, возможностей меньше, чем предлагает Security Administrator, но такая логика делает работу с программой более удобной.

К системным настройкам относятся ограничения элементов Рабочего стола, Проводника, меню «Пуск» и им подобных. Также можно установить запрет на определеные горячие клавиши и всевозможные меню. Если интересуют только эти аспекты ограничений — ниже см. программу Deskman.

Ограничения функций Интернета представлены весьма поверхностно. Они заменяют один из компонентов Семейной безопасности: блокировка доступа к сайтам. Безусловно, любой файрволл по этой части будет оптимальным решением. Отсутствие же возможности хотя бы задать маску для веб-узлов делает данный раздел WinLock маловажным для опытного пользователя.

Кроме названных разделов, следует упомянуть «Доступ», где доступно управление приложенями. Любую программу легко занести в черный список по названию либо ручным добавлением.

В разделы «Файлы» и «Папки» можно поместить данные, которые необходимо скрыть от других пользователей. Пожалуй, не хватает парольной защиты доступа (для этого нужно обратиться к помощи других программ, см. ниже).

WinGuard

WinGuard можно использовать для блокировки приложений и разделов Windows, а также для шифрования данных. Программа распространяется в двух редакциях — бесплатной и Advanced. Функциональные отличия между ними невелики — несколько опций в одноименной вкладке «Advanced». Среди них отключение Internet Explorer, Проводника, процесса установки, записи файлов на USB.

Контроль над запуском приложений осуществляется во вкладке «Task Lock». Если нужной программы нет в списке, ее можно добавить самостоятельно, указав название в заголовке либо выбрав из списка открытых в данный момент приложений (аналогично WinLock). Если же сравнивать функцию блокировки с Security Administrator, в случае с WinGuard можно отключить ограничения для администраторского аккаунта. Однако настроить черный список приложений для каждого пользователя нельзя.

Шифрование доступно посредством раздела Encryption. Реализован пользовательский интерфейс неудобно: нельзя составить список для обработки, нет контекстного меню. Все, что нужно сделать — это указать директорию, которая будет являться и исходной, и конечной. Все содержащиеся файлы будут зашифрованы в 128-битный AES (Advanced Encryption Standard). Аналогичным образом производится расшифровка.

Таким образом, функциональность достаточно бедная, даже если взять во внимание платную версию.

Advanced Folder Encryption

Лицензия: shareware ($34,95)

Еще одна программа для AES-шифрования данных, и все же отличие от WinGuard весьма заметно.

Во-первых, выбор файлов для шифрования происходит быстрее. Не нужно выбирать каждую папку по-отдельности, достаточно составить список директорий и файлов. При добавлении Advanced Folder Encryption требует выставить пароль для шифрования.

Вы, в программе нет возможности указать метод защиты, вместо этого позволяется выбрать метод Norman, High или Highest.

Второй удобный момент — шифрование через контекстное меню и расшифровка файлов одним кликом. Нужно понимать, что без установленной Advanced Folder Encryption данные не удастся просмотреть даже зная пароль. В этом отличие от архиваторов, которыми можно запаковать файлы в зашифрованный и всюду доступный exe-архив.

При выборе большого количества файлов для шифрования, как было замечено, не срабатывает кнопка отмены. Поэтому нужно быть осторожным, чтобы не получить результат в виде битого файла.

Deskman

Лицензия: trialware (€39)

Программа для ограничения доступа к элементам интерфейса и системным разделам. Пожалуй, тут ее уместно сравнить с Security Administrator за той разницей, что Deskman более сконцентрирован на Рабочем столе. Системные опции также присутствуют, но это, скорее, то, что не подошло в другие разделы: отключение кнопок перезагрузки, Панели управления и другие смешанные опции.

В разделе Input — отключение горячих клавиш, функциональных кнопок и функций мыши. Помимо имеющегося списка, можно определить сочетания клавиш самостоятельно.

Любопытна опция Freeze, которая доступна на панели инструментов. По ее нажатию формируется «белый список» из приложений, запущенных в данный момент. Соответственно, не входящие во whitelist программы недоступны до того момента, пока функция Freeze не будет отключена.

Еще одна возможность, связанная с уже онлайн, — защищенный веб-серфинг. Суть «защищенного» метода заключается в том, что доступны будут только те страницы, которые содержат в заголовке определенные ключевые слова. Эту функцию можно назвать разве что экспериментальной. Вдобавок, акцент делается на Internet Explorer, который, безусловно, является стандартным браузером, но явно не единственным.

Следует отметить удобное управление программой. Для применения всех установленных ограничений достаточно нажать кнопку «Secure» на панели, либо босс-клавишу для снятия ограничений. Второй момент — поддерживается удаленный доступ к программе посредством веб-интерфейса. После предварительной настройки он доступен по адресу http://localhost:2288/deskman в виде панели управления. Это позволяет следить за пользовательской активностью (просмотр журналов), запускать программы, перезагружать компьютер/выходить из системы — как на одной, так и на нескольких машинах.

Password for Drive (Secure NTFS)

Лицензия: shareware ($21)

Программа работает только с файловой системой NTFS и использует ее возможности для хранения информации в скрытой области.

Для создания хранилища необходимо запустить Password for Drive с администраторскими правами и выбрать диск для создания хранилища. После этого файлы можно копировать в защищенную область с помощью виртуального диска. Для доступа к данным с другого компьютера не требуются администраторские права.

В качестве хранилища можно использовать также съемный носитель. Для этого предварительно нужно отформатировать диск, например, штатными инструментами Windows, в NTFS и установить Password for Drive в редакции portable.

Программа не отличается интуитивным и удобным интерфейсом, фактически управление осуществляется минимальным набором кнопок — «Открыть»/»Удалить хранилище» и «Активировать диск». В демонстрационном режиме возможно лишь протестировать функциональность программы, так как количество открытий хранилища ограничено сотней.

USB Security

Лицензия: shareware ($19,95)

Программа предназначена для установки парольной данных на съемные носители.

В отличие от Secure NTFS, диалог настройки значительно более интуитивен, благодаря мастеру настройки. Так, для применения защиты необходимо подсоединить к компьютеру устройство, выбрать его в списке и следовать мастеру установки. После данной процедуры пользователь получает в свое распоряжение диск, защищенный паролем. Для разблокировки достаточно запустить exe-файл в корне диска и ввести пароль.

Зашифрованный диск при открытии доступен как виртуальный диск, с которым можно производить те же операции, что и с исходным. Не стоит забывать, что на компьютерах, где запрещен запуск сторонних программ (не находящихся в «белом» списке), доступ к содержимому будет закрыт.

Также на сайте разработчиков можно скачать другие программы для защиты данных, в том числе:

• Shared Folder Protector — защита файлов внутри сети;
• Folder Protector — защита файлов на съемных носителях.

AccessEnum

Небольшая утилита, которая позволяет контролировать доступ пользователей к Реестру и файлам, находить уязвимости в выданных правах. Другими словами, программа будет полезна в том случае, если права доступа выставляются средствами Windows.

Удобство утилиты состоит в том, что ОС попросту не предоставляет средств для просмотра прав доступа к директориям в виде детального списка. Кроме файлов, также можно проверить доступ к веткам реестра.

Для проверки прав доступа необходимо указать директорию или раздел Реестра для сканирования и начать процесс сканирования. Результаты отображаются в виде колонок «Read»/»Write»/»Deny», соответствующих адресам. В свойства каждого из элементов списка можно зайти через контекстное меню.

Программа работает под всеми ОС семейства Windows NT.

Резюме

Утилиты, рассмотренные в обзоре, можно использовать в дополнение к базовому инструментарию Windows, комплексно и в довесок друг к другу. Их нельзя отнести в категорию «родительский контроль»: некоторые функции в чем-то схожи, но по большей части не совпадают.

Security Administrator и WinLock — утилиты-твикеры настроек безопасности, которые также можно использовать для отключения элементов Рабочего стола, системных разделов и др. В WinLock, кроме того, встроен интернет-фильтр и есть возможность блокировки файлов и папок.

В функции Deskman входит ограничение доступа к интерфейсу (превосходящее по гибкости Security Administrator и WinLock), управление запуском приложений, интернет-фильтр.

WinGuard сочетает в себе функции шифровальщика и ограничителя доступа к программам и устройствам. Advanced Folder Encryption имеет смысл рассматривать как замену WinGuard по части шифрования.

Password for Drive и USB Security ограничивают доступ к данным на съемных носителях.

AccessEnum — бесплатная удобная оболочка для проверки прав доступа пользователей к файлам и Реестру.