Название какого устройства необходимо вписать в пустой блок общей схемы компьютера
Обновлено: 24.11.2024
Чтобы построить надежную сеть и защитить ее, вам необходимо понимать устройства, входящие в ее состав.
Что такое сетевые устройства?
Сетевые устройства или сетевое оборудование — это физические устройства, необходимые для связи и взаимодействия между оборудованием в компьютерной сети.
Типы сетевых устройств
Вот общий список сетевых устройств:
- Центр
- Переключиться
- Маршрутизатор
- Мост
- Шлюз
- Модем
- Повторитель
- Точка доступа
Концентраторы соединяют несколько компьютерных сетевых устройств вместе. Концентратор также действует как повторитель, поскольку он усиливает сигналы, которые ухудшаются после прохождения больших расстояний по соединительным кабелям. Концентратор является самым простым в семействе сетевых устройств, поскольку он соединяет компоненты локальной сети с одинаковыми протоколами.
Концентратор можно использовать как с цифровыми, так и с аналоговыми данными, при условии, что его настройки настроены для подготовки к форматированию входящих данных. Например, если входящие данные имеют цифровой формат, концентратор должен передавать их в виде пакетов; однако, если входящие данные являются аналоговыми, то концентратор передает их в форме сигнала.
Концентраторы не выполняют функции фильтрации или адресации пакетов; они просто отправляют пакеты данных на все подключенные устройства. Концентраторы работают на физическом уровне модели взаимодействия открытых систем (OSI). Существует два типа концентраторов: простые и многопортовые.
Переключить
Коммутаторы обычно играют более интеллектуальную роль, чем концентраторы. Коммутатор — это многопортовое устройство, повышающее эффективность сети. Коммутатор поддерживает ограниченную маршрутную информацию об узлах внутренней сети и позволяет подключаться к таким системам, как концентраторы или маршрутизаторы. Нити локальных сетей обычно подключаются с помощью коммутаторов. Как правило, коммутаторы могут считывать аппаратные адреса входящих пакетов, чтобы передавать их соответствующему адресату.
Использование коммутаторов повышает эффективность сети по сравнению с концентраторами или маршрутизаторами благодаря возможности виртуальных каналов. Коммутаторы также улучшают сетевую безопасность, поскольку виртуальные каналы труднее исследовать с помощью сетевых мониторов. Вы можете думать о коммутаторе как об устройстве, которое сочетает в себе лучшие возможности маршрутизаторов и концентраторов. Коммутатор может работать либо на канальном уровне, либо на сетевом уровне модели OSI. Многоуровневый коммутатор может работать на обоих уровнях, что означает, что он может работать и как коммутатор, и как маршрутизатор. Многоуровневый коммутатор — это высокопроизводительное устройство, поддерживающее те же протоколы маршрутизации, что и маршрутизаторы.
Коммутаторы могут подвергаться распределенным атакам типа "отказ в обслуживании" (DDoS); защита от наводнений используется для предотвращения остановки коммутатора вредоносным трафиком. Безопасность портов коммутатора важна, поэтому обязательно защитите коммутаторы: отключите все неиспользуемые порты и используйте отслеживание DHCP, проверку ARP и фильтрацию MAC-адресов.
Маршрутизатор
Маршрутизаторы помогают передавать пакеты к месту назначения, прокладывая путь через море взаимосвязанных сетевых устройств, использующих различные сетевые топологии. Маршрутизаторы — это интеллектуальные устройства, и они хранят информацию о сетях, к которым они подключены. Большинство маршрутизаторов можно настроить для работы в качестве брандмауэров с фильтрацией пакетов и использования списков контроля доступа (ACL). Маршрутизаторы в сочетании с блоком обслуживания канала/блоком обслуживания данных (CSU/DSU) также используются для перевода из кадрирования LAN в кадрирование WAN. Это необходимо, поскольку локальные и глобальные сети используют разные сетевые протоколы. Такие маршрутизаторы называются граничными маршрутизаторами. Они служат внешним соединением локальной сети с глобальной сетью и работают на границе вашей сети.
Маршрутизатор также используется для разделения внутренних сетей на две или более подсети. Маршрутизаторы также можно внутренне подключать к другим маршрутизаторам, создавая зоны, работающие независимо. Маршрутизаторы устанавливают связь, поддерживая таблицы о пунктах назначения и локальных соединениях. Маршрутизатор содержит информацию о подключенных к нему системах и о том, куда отправлять запросы, если пункт назначения неизвестен. Маршрутизаторы обычно передают маршрутную и другую информацию, используя один из трех стандартных протоколов: протокол маршрутной информации (RIP), протокол пограничного шлюза (BGP) или протокол открытия кратчайшего пути (OSPF).
Маршрутизаторы — это ваша первая линия защиты, и они должны быть настроены так, чтобы пропускать только тот трафик, который разрешен сетевыми администраторами. Сами маршруты могут быть настроены как статические или динамические. Если они статичны, их можно настроить только вручную, и они останутся такими до тех пор, пока не будут изменены. Если они динамические, они узнают о других маршрутизаторах вокруг них и используют информацию об этих маршрутизаторах для построения своих таблиц маршрутизации.
Маршрутизаторы – это устройства общего назначения, которые соединяют две или более разнородных сетей.Обычно они предназначены для компьютеров специального назначения с отдельными входными и выходными сетевыми интерфейсами для каждой подключенной сети. Поскольку маршрутизаторы и шлюзы являются основой больших компьютерных сетей, таких как Интернет, у них есть специальные функции, которые обеспечивают им гибкость и способность справляться с различными схемами сетевой адресации и размерами кадров посредством сегментации больших пакетов на более мелкие пакеты, соответствующие новой сети. компоненты. Каждый интерфейс маршрутизатора имеет собственный модуль протокола разрешения адресов (ARP), собственный адрес локальной сети (адрес сетевой карты) и собственный адрес интернет-протокола (IP). Маршрутизатор с помощью таблицы маршрутизации знает маршруты, по которым пакет может пройти от источника к месту назначения. Таблица маршрутизации, как и в мосте и коммутаторе, динамично растет. При получении пакета маршрутизатор удаляет заголовки и трейлеры пакета и анализирует заголовок IP, определяя адреса источника и получателя и тип данных, а также отмечая время прибытия. Он также обновляет таблицу маршрутизаторов новыми адресами, которых еще нет в таблице. Информация о заголовке IP и времени прибытия вводится в таблицу маршрутизации. Маршрутизаторы обычно работают на сетевом уровне модели OSI.
Мост
Мосты используются для соединения двух или более хостов или сегментов сети вместе. Основная роль мостов в сетевой архитектуре заключается в хранении и пересылке кадров между различными сегментами, которые соединяет мост. Они используют адреса аппаратного управления доступом к среде (MAC) для передачи кадров. Просматривая MAC-адреса устройств, подключенных к каждому сегменту, мосты могут пересылать данные или блокировать их передачу. Мосты также можно использовать для соединения двух физических локальных сетей в более крупную логическую локальную сеть.
Мосты работают только на физическом уровне и уровне канала данных модели OSI. Мосты используются для разделения больших сетей на более мелкие участки, располагаясь между двумя физическими сегментами сети и управляя потоком данных между ними.
Мосты во многом похожи на концентраторы, включая тот факт, что они соединяют компоненты локальной сети с одинаковыми протоколами. Однако мосты фильтруют входящие пакеты данных, известные как кадры, по адресам перед их пересылкой. Поскольку он фильтрует пакеты данных, мост не вносит изменений в формат или содержимое входящих данных. Мост фильтрует и пересылает кадры по сети с помощью таблицы динамического моста. Таблица мостов, которая изначально пуста, содержит адреса LAN для каждого компьютера в LAN и адреса каждого интерфейса моста, который соединяет LAN с другими LAN. Мосты, как и концентраторы, могут быть простыми или многопортовыми.
В последние годы мосты в основном потеряли популярность и были заменены коммутаторами, которые предлагают больше функций. На самом деле коммутаторы иногда называют «многопортовыми мостами» из-за того, как они работают.
Шлюз
Шлюзы обычно работают на транспортном и сеансовом уровнях модели OSI. На транспортном уровне и выше существует множество протоколов и стандартов от разных поставщиков; шлюзы используются для борьбы с ними. Шлюзы обеспечивают преобразование между сетевыми технологиями, такими как Open System Interconnection (OSI) и протокол управления передачей/Интернет-протокол (TCP/IP). По этой причине шлюзы соединяют две или более автономные сети, каждая со своими алгоритмами маршрутизации, протоколами, топологией, службой доменных имен, а также процедурами и политиками сетевого администрирования.
Шлюзы выполняют все функции маршрутизаторов и даже больше. По сути, маршрутизатор с добавленным функционалом трансляции является шлюзом. Функция, выполняющая преобразование между различными сетевыми технологиями, называется преобразователем протоколов.
Модем
Модемы (модуляторы-демодуляторы) используются для передачи цифровых сигналов по аналоговым телефонным линиям. Таким образом, цифровые сигналы преобразуются модемом в аналоговые сигналы различных частот и передаются на модем в месте приема. Принимающий модем выполняет обратное преобразование и предоставляет цифровой выход устройству, подключенному к модему, обычно компьютеру. Цифровые данные обычно передаются на модем или с него по последовательной линии через стандартный промышленный интерфейс RS-232. Многие телефонные компании предлагают услуги DSL, а многие кабельные операторы используют модемы в качестве оконечных терминалов для идентификации и распознавания домашних и личных пользователей. Модемы работают как на физическом уровне, так и на канальном уровне.
Повторитель
Ретранслятор – это электронное устройство, усиливающее принимаемый сигнал. Вы можете думать о повторителе как об устройстве, которое принимает сигнал и ретранслирует его на более высоком уровне или с большей мощностью, так что сигнал может покрывать большие расстояния, более 100 метров для стандартных кабелей LAN. Повторители работают на физическом уровне.
Точка доступа
Хотя точка доступа (AP) технически может включать проводное или беспроводное соединение, обычно это беспроводное устройство. Точка доступа работает на втором уровне OSI, уровне канала передачи данных, и может работать либо как мост, соединяющий стандартную проводную сеть с беспроводными устройствами, либо как маршрутизатор, передающий данные от одной точки доступа к другой.
Точки беспроводного доступа (WAP) состоят из передатчика и приемника (приемопередатчика), используемых для создания беспроводной локальной сети (WLAN). Точки доступа обычно представляют собой отдельные сетевые устройства со встроенной антенной, передатчиком и адаптером. Точки доступа используют сетевой режим беспроводной инфраструктуры для обеспечения точки соединения между WLAN и проводной локальной сетью Ethernet. У них также есть несколько портов, что дает вам возможность расширить сеть для поддержки дополнительных клиентов. В зависимости от размера сети для обеспечения полного покрытия может потребоваться одна или несколько точек доступа. Дополнительные точки доступа используются для обеспечения доступа к большему количеству беспроводных клиентов и расширения диапазона беспроводной сети. Каждая точка доступа ограничена своим диапазоном передачи — расстоянием, на котором клиент может находиться от точки доступа и при этом получать пригодную для использования скорость обработки сигнала и данных. Фактическое расстояние зависит от стандарта беспроводной связи, препятствий и условий окружающей среды между клиентом и точкой доступа. Точки доступа более высокого класса оснащены мощными антеннами, что позволяет им увеличить дальность распространения беспроводного сигнала.
Точки доступа также могут предоставлять множество портов, которые можно использовать для увеличения размера сети, возможностей брандмауэра и службы протокола динамической конфигурации хоста (DHCP). Таким образом, мы получаем точки доступа, которые являются коммутатором, DHCP-сервером, маршрутизатором и брандмауэром.
Для подключения к беспроводной точке доступа вам потребуется имя идентификатора набора услуг (SSID). Беспроводные сети 802.11 используют SSID для идентификации всех систем, принадлежащих к одной сети, и клиентские станции должны быть настроены с использованием SSID для аутентификации в точке доступа. Точка доступа может транслировать SSID, позволяя всем беспроводным клиентам в зоне видеть SSID точки доступа. Однако из соображений безопасности точки доступа можно настроить так, чтобы они не транслировали SSID, а это означает, что администратору необходимо предоставить клиентским системам SSID, а не разрешить его автоматическое обнаружение. Беспроводные устройства поставляются с SSID по умолчанию, настройками безопасности, каналами, паролями и именами пользователей. Из соображений безопасности настоятельно рекомендуется изменить эти настройки по умолчанию как можно скорее, поскольку на многих интернет-сайтах указаны настройки по умолчанию, используемые производителями.
Точки доступа могут быть толстыми или тонкими. Толстые точки доступа, иногда еще называемые автономными точками доступа, необходимо вручную настраивать сетевыми параметрами и параметрами безопасности; затем их, по сути, оставляют в покое для обслуживания клиентов до тех пор, пока они не перестанут функционировать. Тонкие точки доступа допускают удаленную настройку с помощью контроллера. Поскольку тонкие клиенты не нужно настраивать вручную, их можно легко перенастроить и контролировать. Точки доступа также могут быть на основе контроллера или автономными.
Заключение
Понимание типов доступных сетевых устройств может помочь вам спроектировать и построить безопасную сеть, которая будет хорошо служить вашей организации. Однако, чтобы обеспечить постоянную безопасность и доступность вашей сети, вам следует внимательно следить за своими сетевыми устройствами и активностью вокруг них, чтобы вы могли быстро обнаруживать проблемы с оборудованием, проблемы с конфигурацией и атаки.
Джефф — бывший директор по разработке глобальных решений в Netwrix. Он давний блогер Netwrix, спикер и ведущий. В блоге Netwrix Джефф делится лайфхаками, советами и рекомендациями, которые могут значительно улучшить ваш опыт системного администрирования.
В этой статье описываются соглашения об именовании учетных записей компьютеров в Windows, доменных имен NetBIOS, доменных имен DNS, сайтов Active Directory и организационных единиц (OU), определенных в службе каталогов Active Directory.
Применимо к: Windows Server 2012 R2
Исходный номер базы знаний: 909264
Обзор
В этой статье обсуждаются следующие темы:
- Допустимые символы для имен
- Минимальная и максимальная длина имени
- Зарезервированные имена
- Имена, которые мы не рекомендуем
- Общие рекомендации, основанные на поддержке Active Directory в малых, средних и крупных развертываниях.
Все объекты, названные в Active Directory или в AD/AM и LDS, подлежат сопоставлению имен на основе алгоритма, описанного в следующей статье:
В этой статье это соглашение об именовании применяется к именам компьютеров, подразделений и сайтов.
Имена компьютеров
Имена компьютеров NetBIOS
Имена компьютеров NetBIOS могут содержать все буквенно-цифровые символы, кроме расширенных символов, перечисленных в списке запрещенных символов. Имена могут содержать точку, но имена не могут начинаться с точки.
Имена компьютеров NetBIOS не могут содержать следующие символы:
Имена могут содержать точку (.). Но имя не может начинаться с точки. Использование не DNS-имен с точками разрешено в Microsoft Windows NT. Точки не должны использоваться в Microsoft Windows 2000 или более поздних версиях Windows. Если вы обновляете компьютер, NetBIOS-имя которого содержит точку, измените имя компьютера. Дополнительные сведения см. в разделе Специальные символы.
В Windows 2000 и более поздних версиях Windows компьютеры, являющиеся членами домена Active Directory, не могут иметь имена, полностью состоящие из цифр. Это ограничение связано с ограничениями DNS.
Дополнительную информацию о синтаксисе имен NetBIOS см. в разделе Синтаксис имен NetBIOS.
Минимальная длина имени: 1 символ
Максимальная длина имени: 15 символов
16-й символ зарезервирован для обозначения функций, установленных на зарегистрированном сетевом устройстве.
Специальные символы: точка (.)
Точка разделяет имя на идентификатор области NetBIOS и имя компьютера. Идентификатор области NetBIOS — это необязательная строка символов, идентифицирующая логические сети NetBIOS, работающие в одной и той же физической сети TCP/IP. Чтобы NetBIOS работал между компьютерами, компьютеры должны иметь одинаковый идентификатор области действия NetBIOS и уникальные имена компьютеров.
Использование областей NetBIOS в именах является устаревшей конфигурацией. Его не следует использовать с лесами Active Directory. Дополнительные сведения об областях NetBIOS см. на следующих веб-сайтах:
Имена узлов DNS
DNS-имена могут содержать только буквы (A–Z), цифры (0–9), знак минус (-) и точку (.). Символы точки допускаются только в том случае, если они используются для разделения компонентов имен доменного стиля.
В системе доменных имен (DNS) Windows 2000 и DNS Windows Server 2003 поддерживаются символы Unicode. Другие реализации DNS не поддерживают символы Unicode. Избегайте использования символов Unicode, если запросы будут передаваться на серверы, использующие реализации DNS сторонних производителей.
Для получения дополнительной информации посетите следующие веб-сайты:
Имена узлов DNS не могут содержать следующие символы:
пробел (пусто)
Подчеркивание играет особую роль. Это разрешено для первого символа в записях SRV по определению RFC. Но новые DNS-серверы также могут разрешать это в любом месте имени. Дополнительную информацию см. в разделе Соответствие ограничениям имен для хостов и доменов.
Все символы сохраняют форматирование регистра, кроме символов американского стандартного кода для обмена информацией (ASCII).
Первый символ должен быть буквенным или цифровым.
Последний символ не должен быть знаком минус или точкой.
Двухсимвольные пользовательские строки SDDL, перечисленные в списке известных SID, использовать нельзя. В противном случае операции импорта, экспорта и принятия контроля завершатся сбоем.
В Windows 2000 и более поздних версиях Windows компьютеры, являющиеся членами домена Active Directory, не могут иметь имена, полностью состоящие из цифр. Это ограничение связано с ограничениями DNS.
При регистрации имени хоста DNS недопустимые символы заменяются символом дефиса (-).
Минимальная длина имени: 2 символа
Максимальная длина имени: 63 символа
Максимальная длина имени хоста и полного доменного имени (FQDN) составляет 63 байта на метку и 255 байтов на полное доменное имя.
Windows не разрешает имена компьютеров, длина которых превышает 15 символов, и вы не можете указать имя хоста DNS, отличное от имени хоста NETBIOS. Однако вы можете создать заголовки хоста для веб-сайта, размещенного на компьютере, который затем подпадает под действие этой рекомендации.
В Windows 2000 и Windows Server 2003 максимальное имя хоста и полное доменное имя используют стандартные ограничения длины, упомянутые ранее, с добавлением поддержки UTF-8 (Unicode). Поскольку длина некоторых символов UTF-8 превышает один октет, вы не можете определить размер путем подсчета символов.
Контроллеры домена должны иметь полное доменное имя менее 155 байт.
Зарезервированные имена в соответствии с RFC 952
Для получения дополнительной информации см. rfc952.
Зарезервированные имена в Windows
При создании имен для DNS-компьютеров в новой инфраструктуре DNS Windows Server 2003 руководствуйтесь следующими рекомендациями:
- Выбирайте имена компьютеров, которые пользователям легко запомнить.
- Указать владельца компьютера в имени компьютера.
- Выберите имя, описывающее назначение компьютера.
- Для символов ASCII не используйте регистр, чтобы указать владельца или назначение компьютера. Для символов ASCII DNS не учитывает регистр, Windows и приложения Windows не сохраняют регистр во всех местах.
- Сопоставьте доменное имя Active Directory с основным DNS-суффиксом имени компьютера. Дополнительную информацию см. в разделе "Разрозненные пространства имен" ниже.
- Используйте уникальное имя для каждого компьютера в вашей организации.Избегайте одинаковых имен компьютеров для компьютеров в разных доменах DNS.
- Используйте символы ASCII. Это гарантирует совместимость с компьютерами, на которых установлены более ранние версии Windows, чем Windows 2000.
- В именах компьютеров DNS используйте только символы, перечисленные в RFC 1123. Эти символы включают A-Z, a-z, 0-9 и дефис (-). В Windows Server 2003 DNS допускает использование большинства символов UTF-8 в именах. Не используйте расширенные символы ASCII или UTF-8, если только все DNS-серверы в вашей среде не поддерживают их.
Доменные имена
Вот подробная информация о доменных именах NetBIOS и доменных именах DNS.
Доменные имена NetBIOS
Доменные имена NetBIOS могут содержать все буквенно-цифровые символы, за исключением расширенных символов, перечисленных в разделе Запрещенные символы. Имена могут содержать точку, но имена не могут начинаться с точки.
Имена компьютеров NetBIOS не могут содержать следующие символы:
Имена могут содержать точку (.). Но имя не может начинаться с точки. Использование не DNS-имен с точками разрешено в Microsoft Windows NT. Точки не должны использоваться в доменах Active Directory. Если вы обновляете домен, NetBIOS-имя которого содержит точку, измените имя, перенеся домен в новую структуру домена. Не используйте точки в новых доменных именах NetBIOS.
В Windows 2000 и более поздних версиях Windows компьютеры, являющиеся членами домена Active Directory, не могут иметь имена, полностью состоящие из цифр. Это ограничение связано с ограничениями DNS.
Минимальная длина имени: 1 символ
Максимальная длина имени: 15 символов.
16-й символ зарезервирован для обозначения функций, установленных на зарегистрированном сетевом устройстве.
Зарезервированные имена в Windows
Имена обновленного домена могут содержать зарезервированное слово. Однако в этой ситуации не удается установить доверительные отношения с другими доменами.
Специальные символы: точка (.).
Точка разделяет имя на идентификатор области NetBIOS и имя компьютера. Идентификатор области NetBIOS — это необязательная строка символов, идентифицирующая логические сети NetBIOS, работающие в одной и той же физической сети TCP/IP. Чтобы NetBIOS работал между компьютерами, компьютеры должны иметь одинаковый идентификатор области действия NetBIOS и уникальные имена компьютеров.
Использование областей NetBIOS в именах является устаревшей конфигурацией. Его не следует использовать с лесами Active Directory. В этом нет внутренней проблемы, но могут быть приложения, которые фильтруют имя и предполагают имя DNS при обнаружении точки.
Доменные имена DNS
DNS-имена могут содержать только буквы (A–Z), цифры (0–9), знак минус (-) и точку (.). Символы точки допускаются только в том случае, если они используются для разделения компонентов имен доменного стиля.
В системе доменных имен (DNS) Windows 2000 и DNS Windows Server 2003 поддерживаются символы Unicode. Другие реализации DNS не поддерживают символы Unicode. Избегайте использования символов Unicode, если запросы будут передаваться на серверы, использующие реализации DNS сторонних производителей.
Для получения дополнительной информации посетите следующие веб-сайты:
Имена доменов DNS не могут содержать следующие символы:
пробел (пусто)
Подчеркивание играет особую роль. Это разрешено для первого символа в записях SRV по определению RFC. Но новые DNS-серверы также могут разрешать это в любом месте имени. Дополнительную информацию см. в разделе Соответствие ограничениям имен для хостов и доменов.
При продвижении нового домена вы получаете предупреждение о том, что символ подчеркивания может вызвать проблемы с некоторыми DNS-серверами. Но он по-прежнему позволяет вам создать домен.
Все символы сохраняют форматирование регистра, кроме символов ASCII.
Первый символ должен быть буквенным или цифровым.
Последний символ не должен быть знаком минус или точкой.
Минимальная длина имени: 2 символа
Максимальная длина имени: 255 символов
Максимальная длина имени хоста и полного доменного имени (FQDN) составляет 63 байта на метку и 255 символов на полное доменное имя. Последнее основано на максимально возможной длине пути для имени домена Active Directory с путями, необходимыми в SYSVOL , и должно соответствовать ограничению 260 символов MAX_PATH.
Пример пути в SYSVOL содержит:
Может содержать пользовательский ввод, например имя файла сценария входа, поэтому он также может достигать значительной длины.
Доменное имя AD FQDN появляется в пути дважды, так как длина доменного имени AD FQDN ограничена 64 символами.
В Windows 2000 и Windows Server 2003 максимальное имя хоста и полное доменное имя используют стандартные ограничения длины, упомянутые ранее, с добавлением поддержки UTF-8 (Unicode).Поскольку длина некоторых символов UTF-8 превышает один октет, вы не можете определить размер путем подсчета символов.
Пространства доменных имен с одним ярлыком
Проблемы, связанные с однокомпонентными пространствами имен, включают:
DNS-имена с одной меткой нельзя зарегистрировать с помощью интернет-регистратора.
Домены с однокомпонентными DNS-именами требуют дополнительной настройки.
Службу DNS-сервера нельзя использовать для обнаружения контроллеров домена в доменах с однокомпонентными DNS-именами.
По умолчанию члены домена под управлением Windows Server 2003, члены домена под управлением Windows XP и члены домена под управлением Windows 2000 не выполняют динамические обновления однокомпонентных зон DNS.
Разрозненные пространства имен
Как возникают несвязанные пространства имен:
Первичный контроллер домена Windows NT 4.0 обновляется до контроллера домена Windows 2000 с использованием исходной версии Windows 2000. В элементе "Сеть" на панели управления определяется несколько суффиксов DNS.
Домен переименовывается, когда лес находится на функциональном уровне леса Windows Server 2003. И основной суффикс DNS не изменяется, чтобы отразить новое доменное имя DNS.
Последствия разрозненного пространства имен:
Контроллер домена динамически регистрирует свои записи местоположения службы (SRV) в зоне DNS, соответствующей его доменному имени DNS. Однако контроллер домена регистрирует свои записи узлов в зоне DNS, которая соответствует его основному суффиксу DNS.
Дополнительную информацию о непересекающихся пространствах имен см. в следующих статьях:
Другие факторы
Леса, подключенные к Интернету
Пространство имен DNS, подключенное к Интернету, должно быть поддоменом домена верхнего или второго уровня пространства имен DNS Интернета.
Максимальное количество доменов в лесу
В Windows 2000 максимальное количество доменов в лесу — 800. В Windows Server 2003 и более поздних версиях максимальное количество доменов на функциональном уровне леса 2 — 1200. Это ограничение является ограничением многозначных несвязанных атрибутов. в Windows Server 2003.
Имена DNS всех узлов, для которых требуется разрешение имен, включают имя домена DNS в Интернете для организации. Итак, выберите доменное имя DNS в Интернете, которое будет коротким и легко запоминающимся. Поскольку DNS является иерархическим, имена доменов DNS увеличиваются, когда вы добавляете субдомены в свою организацию. Короткие доменные имена облегчают запоминание имен компьютеров.
Не используйте в качестве доменного имени название существующей корпорации или продукта. Позже вы можете столкнуться с конфликтом имен.
Избегайте использования общего имени, например, domain.localhost. Другая компания, с которой вы объединитесь через несколько лет, может последовать тому же принципу.
Не используйте аббревиатуру или аббревиатуру в качестве имени домена. Пользователи могут испытывать трудности с распознаванием бизнес-подразделения, которое представляет аббревиатура.
Избегайте использования символов подчеркивания (_) в именах доменов. Приложения могут быть очень послушны RFC и отвергать имя, а также не будут устанавливаться или работать в вашем домене. Кроме того, у вас могут возникнуть проблемы со старыми DNS-серверами.
Не используйте название бизнес-подразделения или подразделения в качестве имени домена. Бизнес-подразделения и другие подразделения будут меняться, и эти доменные имена могут вводить в заблуждение или устареть.
Не используйте географические названия, которые сложно написать и запомнить.
Избегайте расширения иерархии доменных имен DNS более чем на пять уровней от корневого домена. Вы можете сократить административные расходы, ограничив пределы иерархии доменных имен.
Если вы развертываете DNS в частной сети и не планируете создавать внешнее пространство имен, зарегистрируйте доменное имя DNS, созданное для внутреннего домена. В противном случае вы можете обнаружить, что это имя недоступно, если вы попытаетесь использовать его в Интернете или подключитесь к сети, которая подключена к Интернету.
Названия сайтов
Мы рекомендуем использовать действительное DNS-имя при создании нового имени сайта. В противном случае ваш сайт будет доступен только там, где используется DNS-сервер Microsoft. Дополнительную информацию о допустимых DNS-именах см. в разделе DNS-имена хостов.
DNS-имена могут содержать только буквы (A–Z), цифры (0–9), знак минус (-) и точку (.). Символы точки допускаются только в том случае, если они используются для разделения компонентов имен доменного стиля.
В системе доменных имен (DNS) Windows 2000 и DNS Windows Server 2003 поддерживаются символы Unicode. Другие реализации DNS не поддерживают символы Unicode. Избегайте использования символов Unicode, если запросы будут передаваться на серверы, использующие реализации DNS сторонних производителей.
Из этого введения в работу с сетями вы узнаете, как работают компьютерные сети, какая архитектура используется для проектирования сетей и как обеспечить их безопасность.
Что такое компьютерная сеть?
Компьютерная сеть состоит из двух или более компьютеров, соединенных между собой кабелями (проводными) или WiFi (беспроводными) с целью передачи, обмена или совместного использования данных и ресурсов. Вы строите компьютерную сеть, используя оборудование (например, маршрутизаторы, коммутаторы, точки доступа и кабели) и программное обеспечение (например, операционные системы или бизнес-приложения).
Географическое расположение часто определяет компьютерную сеть. Например, LAN (локальная сеть) соединяет компьютеры в определенном физическом пространстве, например, в офисном здании, тогда как WAN (глобальная сеть) может соединять компьютеры на разных континентах. Интернет — крупнейший пример глобальной сети, соединяющей миллиарды компьютеров по всему миру.
Вы можете дополнительно определить компьютерную сеть по протоколам, которые она использует для связи, физическому расположению ее компонентов, способу управления трафиком и ее назначению.
Компьютерные сети позволяют общаться в любых деловых, развлекательных и исследовательских целях. Интернет, онлайн-поиск, электронная почта, обмен аудио и видео, онлайн-торговля, прямые трансляции и социальные сети — все это существует благодаря компьютерным сетям.
Типы компьютерных сетей
По мере развития сетевых потребностей менялись и типы компьютерных сетей, отвечающие этим потребностям. Вот наиболее распространенные и широко используемые типы компьютерных сетей:
Локальная сеть (локальная сеть). Локальная сеть соединяет компьютеры на относительно небольшом расстоянии, позволяя им обмениваться данными, файлами и ресурсами. Например, локальная сеть может соединять все компьютеры в офисном здании, школе или больнице. Как правило, локальные сети находятся в частной собственности и под управлением.
WLAN (беспроводная локальная сеть). WLAN похожа на локальную сеть, но соединения между устройствами в сети осуществляются по беспроводной сети.
WAN (глобальная сеть). Как видно из названия, глобальная сеть соединяет компьютеры на большой территории, например, из региона в регион или даже из одного континента в другой. Интернет — это крупнейшая глобальная сеть, соединяющая миллиарды компьютеров по всему миру. Обычно для управления глобальной сетью используются модели коллективного или распределенного владения.
MAN (городская сеть): MAN обычно больше, чем LAN, но меньше, чем WAN. Города и государственные учреждения обычно владеют и управляют MAN.
PAN (персональная сеть): PAN обслуживает одного человека. Например, если у вас есть iPhone и Mac, вполне вероятно, что вы настроили сеть PAN, которая позволяет обмениваться и синхронизировать контент — текстовые сообщения, электронные письма, фотографии и многое другое — на обоих устройствах.
SAN (сеть хранения данных). SAN – это специализированная сеть, предоставляющая доступ к хранилищу на уровне блоков — общей сети или облачному хранилищу, которое для пользователя выглядит и работает как накопитель, физически подключенный к компьютеру. (Дополнительную информацию о том, как SAN работает с блочным хранилищем, см. в разделе «Блочное хранилище: полное руководство».)
CAN (сеть кампуса). CAN также известен как корпоративная сеть. CAN больше, чем LAN, но меньше, чем WAN. CAN обслуживают такие объекты, как колледжи, университеты и бизнес-кампусы.
VPN (виртуальная частная сеть). VPN – это безопасное двухточечное соединение между двумя конечными точками сети (см. раздел "Узлы" ниже). VPN устанавливает зашифрованный канал, который сохраняет личность пользователя и учетные данные для доступа, а также любые передаваемые данные, недоступные для хакеров.
Важные термины и понятия
Ниже приведены некоторые общие термины, которые следует знать при обсуждении компьютерных сетей:
IP-адрес: IP-адрес — это уникальный номер, присваиваемый каждому устройству, подключенному к сети, которая использует для связи Интернет-протокол. Каждый IP-адрес идентифицирует хост-сеть устройства и местоположение устройства в хост-сети. Когда одно устройство отправляет данные другому, данные включают «заголовок», который включает IP-адрес отправляющего устройства и IP-адрес устройства-получателя.
Узлы. Узел — это точка подключения внутри сети, которая может получать, отправлять, создавать или хранить данные. Каждый узел требует, чтобы вы предоставили некоторую форму идентификации для получения доступа, например IP-адрес. Несколько примеров узлов включают компьютеры, принтеры, модемы, мосты и коммутаторы. Узел — это, по сути, любое сетевое устройство, которое может распознавать, обрабатывать и передавать информацию любому другому сетевому узлу.
Маршрутизаторы. Маршрутизатор — это физическое или виртуальное устройство, которое отправляет информацию, содержащуюся в пакетах данных, между сетями. Маршрутизаторы анализируют данные в пакетах, чтобы определить наилучший способ доставки информации к конечному получателю. Маршрутизаторы пересылают пакеты данных до тех пор, пока они не достигнут узла назначения.
Коммутаторы. Коммутатор – это устройство, которое соединяет другие устройства и управляет обменом данными между узлами в сети, обеспечивая доставку пакетов данных к конечному пункту назначения. В то время как маршрутизатор отправляет информацию между сетями, коммутатор отправляет информацию между узлами в одной сети. При обсуждении компьютерных сетей «коммутация» относится к тому, как данные передаются между устройствами в сети.Три основных типа переключения следующие:
Коммутация каналов, которая устанавливает выделенный канал связи между узлами в сети. Этот выделенный путь гарантирует, что во время передачи будет доступна вся полоса пропускания, что означает, что никакой другой трафик не может проходить по этому пути.
Коммутация пакетов предполагает разбиение данных на независимые компоненты, называемые пакетами, которые из-за своего небольшого размера предъявляют меньшие требования к сети. Пакеты проходят через сеть к конечному пункту назначения.
Переключение сообщений отправляет сообщение целиком с исходного узла, перемещаясь от коммутатора к коммутатору, пока не достигнет узла назначения.
Порты. Порт определяет конкретное соединение между сетевыми устройствами. Каждый порт идентифицируется номером. Если вы считаете IP-адрес сопоставимым с адресом отеля, то порты — это номера люксов или комнат в этом отеле. Компьютеры используют номера портов, чтобы определить, какое приложение, служба или процесс должны получать определенные сообщения.
Типы сетевых кабелей. Наиболее распространенными типами сетевых кабелей являются витая пара Ethernet, коаксиальный и оптоволоконный кабель. Выбор типа кабеля зависит от размера сети, расположения сетевых элементов и физического расстояния между устройствами.
Примеры компьютерных сетей
Проводное или беспроводное соединение двух или более компьютеров с целью обмена данными и ресурсами образует компьютерную сеть. Сегодня почти каждое цифровое устройство принадлежит к компьютерной сети.
В офисе вы и ваши коллеги можете совместно использовать принтер или систему группового обмена сообщениями. Вычислительная сеть, которая позволяет это, скорее всего, представляет собой локальную сеть или локальную сеть, которая позволяет вашему отделу совместно использовать ресурсы.
Городские власти могут управлять общегородской сетью камер наблюдения, которые отслеживают транспортный поток и происшествия. Эта сеть будет частью MAN или городской сети, которая позволит городским службам экстренной помощи реагировать на дорожно-транспортные происшествия, советовать водителям альтернативные маршруты движения и даже отправлять дорожные билеты водителям, проезжающим на красный свет.
The Weather Company работала над созданием одноранговой ячеистой сети, которая позволяет мобильным устройствам напрямую взаимодействовать с другими мобильными устройствами, не требуя подключения к Wi-Fi или сотовой связи. Проект Mesh Network Alerts позволяет доставлять жизненно важную информацию о погоде миллиардам людей даже без подключения к Интернету.
Компьютерные сети и Интернет
Провайдеры интернет-услуг (ISP) и поставщики сетевых услуг (NSP) предоставляют инфраструктуру, позволяющую передавать пакеты данных или информации через Интернет. Каждый бит информации, отправленной через Интернет, не поступает на каждое устройство, подключенное к Интернету. Это комбинация протоколов и инфраструктуры, которая точно указывает, куда направить информацию.
Как они работают?
Компьютерные сети соединяют такие узлы, как компьютеры, маршрутизаторы и коммутаторы, с помощью кабелей, оптоволокна или беспроводных сигналов. Эти соединения позволяют устройствам в сети взаимодействовать и обмениваться информацией и ресурсами.
Сети следуют протоколам, которые определяют способ отправки и получения сообщений. Эти протоколы позволяют устройствам обмениваться данными. Каждое устройство в сети использует интернет-протокол или IP-адрес, строку чисел, которая однозначно идентифицирует устройство и позволяет другим устройствам распознавать его.
Маршрутизаторы – это виртуальные или физические устройства, облегчающие обмен данными между различными сетями. Маршрутизаторы анализируют информацию, чтобы определить наилучший способ доставки данных к конечному пункту назначения. Коммутаторы соединяют устройства и управляют связью между узлами внутри сети, гарантируя, что пакеты информации, перемещающиеся по сети, достигают конечного пункта назначения.
Архитектура
Архитектура компьютерной сети определяет физическую и логическую структуру компьютерной сети. В нем описывается, как компьютеры организованы в сети и какие задачи возлагаются на эти компьютеры. Компоненты сетевой архитектуры включают оборудование, программное обеспечение, средства передачи (проводные или беспроводные), топологию сети и протоколы связи.
Основные типы сетевой архитектуры
В сети клиент/сервер центральный сервер или группа серверов управляет ресурсами и предоставляет услуги клиентским устройствам в сети. Клиенты в сети общаются с другими клиентами через сервер. В отличие от модели P2P, клиенты в архитектуре клиент/сервер не делятся своими ресурсами. Этот тип архитектуры иногда называют многоуровневой моделью, поскольку он разработан с несколькими уровнями или уровнями.
Топология сети
Топология сети — это то, как устроены узлы и каналы в сети. Сетевой узел — это устройство, которое может отправлять, получать, хранить или пересылать данные. Сетевой канал соединяет узлы и может быть как кабельным, так и беспроводным.
Понимание типов топологии обеспечивает основу для построения успешной сети. Существует несколько топологий, но наиболее распространенными являются шина, кольцо, звезда и сетка:
При топологии шинной сети каждый сетевой узел напрямую подключен к основному кабелю.
В кольцевой топологии узлы соединены в петлю, поэтому каждое устройство имеет ровно двух соседей. Соседние пары соединяются напрямую; несмежные пары связаны косвенно через несколько узлов.
В топологии звездообразной сети все узлы подключены к одному центральному концентратору, и каждый узел косвенно подключен через этот концентратор.
сетчатая топология определяется перекрывающимися соединениями между узлами. Вы можете создать полносвязную топологию, в которой каждый узел в сети соединен со всеми остальными узлами. Вы также можете создать топологию частичной сетки, в которой только некоторые узлы соединены друг с другом, а некоторые связаны с узлами, с которыми они обмениваются наибольшим количеством данных. Полноячеистая топология может быть дорогостоящей и трудоемкой для выполнения, поэтому ее часто используют для сетей, требующих высокой избыточности. Частичная сетка обеспечивает меньшую избыточность, но является более экономичной и простой в реализации.
Безопасность
Безопасность компьютерной сети защищает целостность информации, содержащейся в сети, и контролирует доступ к этой информации. Политики сетевой безопасности уравновешивают необходимость предоставления услуг пользователям с необходимостью контроля доступа к информации.
Существует много точек входа в сеть. Эти точки входа включают аппаратное и программное обеспечение, из которых состоит сама сеть, а также устройства, используемые для доступа к сети, такие как компьютеры, смартфоны и планшеты. Из-за этих точек входа сетевая безопасность требует использования нескольких методов защиты. Средства защиты могут включать брандмауэры — устройства, которые отслеживают сетевой трафик и предотвращают доступ к частям сети на основе правил безопасности.
Процессы аутентификации пользователей с помощью идентификаторов пользователей и паролей обеспечивают еще один уровень безопасности. Безопасность включает в себя изоляцию сетевых данных, чтобы доступ к служебной или личной информации был сложнее, чем к менее важной информации. Другие меры сетевой безопасности включают обеспечение регулярного обновления и исправления аппаратного и программного обеспечения, информирование пользователей сети об их роли в процессах безопасности и информирование о внешних угрозах, осуществляемых хакерами и другими злоумышленниками. Сетевые угрозы постоянно развиваются, что делает сетевую безопасность бесконечным процессом.
Использование общедоступного облака также требует обновления процедур безопасности для обеспечения постоянной безопасности и доступа. Для безопасного облака требуется безопасная базовая сеть.
Ознакомьтесь с пятью основными соображениями (PDF, 298 КБ) по обеспечению безопасности общедоступного облака.
Ячеистые сети
Как отмечалось выше, ячеистая сеть — это тип топологии, в котором узлы компьютерной сети подключаются к как можно большему количеству других узлов. В этой топологии узлы взаимодействуют друг с другом, чтобы эффективно направлять данные к месту назначения. Эта топология обеспечивает большую отказоустойчивость, поскольку в случае отказа одного узла существует множество других узлов, которые могут передавать данные. Ячеистые сети самонастраиваются и самоорганизуются в поисках самого быстрого и надежного пути для отправки информации.
Тип ячеистых сетей
Существует два типа ячеистых сетей — полная и частичная:
- В полной ячеистой топологии каждый сетевой узел соединяется со всеми остальными сетевыми узлами, обеспечивая высочайший уровень отказоустойчивости. Однако его выполнение обходится дороже. В топологии с частичной сеткой подключаются только некоторые узлы, обычно те, которые чаще всего обмениваются данными.
- беспроводная ячеистая сеть может состоять из десятков и сотен узлов. Этот тип сети подключается к пользователям через точки доступа, разбросанные по большой территории.
Балансировщики нагрузки и сети
Балансировщики нагрузки эффективно распределяют задачи, рабочие нагрузки и сетевой трафик между доступными серверами. Думайте о балансировщиках нагрузки как об управлении воздушным движением в аэропорту. Балансировщик нагрузки отслеживает весь трафик, поступающий в сеть, и направляет его на маршрутизатор или сервер, которые лучше всего подходят для управления им. Цели балансировки нагрузки — избежать перегрузки ресурсов, оптимизировать доступные ресурсы, сократить время отклика и максимально увеличить пропускную способность.
Полный обзор балансировщиков нагрузки см. в разделе Балансировка нагрузки: полное руководство.
Сети доставки контента
Сеть доставки контента (CDN) – это сеть с распределенными серверами, которая доставляет пользователям временно сохраненные или кэшированные копии контента веб-сайта в зависимости от их географического положения. CDN хранит этот контент в распределенных местах и предоставляет его пользователям, чтобы сократить расстояние между посетителями вашего сайта и сервером вашего сайта. Кэширование контента ближе к вашим конечным пользователям позволяет вам быстрее обслуживать контент и помогает веб-сайтам лучше охватить глобальную аудиторию.Сети CDN защищают от всплесков трафика, сокращают задержки, снижают потребление полосы пропускания, ускоряют время загрузки и уменьшают влияние взломов и атак, создавая слой между конечным пользователем и инфраструктурой вашего веб-сайта.
Прямые трансляции мультимедиа, мультимедиа по запросу, игровые компании, создатели приложений, сайты электронной коммерции — по мере роста цифрового потребления все больше владельцев контента обращаются к CDN, чтобы лучше обслуживать потребителей контента.
Компьютерные сетевые решения и IBM
Компьютерные сетевые решения помогают предприятиям увеличить трафик, сделать пользователей счастливыми, защитить сеть и упростить предоставление услуг. Лучшее решение для компьютерной сети, как правило, представляет собой уникальную конфигурацию, основанную на вашем конкретном типе бизнеса и потребностях.
Сети доставки контента (CDN), балансировщики нагрузки и сетевая безопасность — все это упомянуто выше — это примеры технологий, которые могут помочь компаниям создавать оптимальные компьютерные сетевые решения. IBM предлагает дополнительные сетевые решения, в том числе:
-
— это устройства, которые дают вам улучшенный контроль над сетевым трафиком, позволяют повысить производительность вашей сети и повысить ее безопасность. Управляйте своими физическими и виртуальными сетями для маршрутизации нескольких VLAN, для брандмауэров, VPN, формирования трафика и многого другого. обеспечивает безопасность и ускоряет передачу данных между частной инфраструктурой, мультиоблачными средами и IBM Cloud. — это возможности безопасности и производительности, предназначенные для защиты общедоступного веб-контента и приложений до того, как они попадут в облако. Получите защиту от DDoS, глобальную балансировку нагрузки и набор функций безопасности, надежности и производительности, предназначенных для защиты общедоступного веб-контента и приложений до того, как они попадут в облако.
Сетевые службы в IBM Cloud предоставляют вам сетевые решения для увеличения трафика, обеспечения удовлетворенности ваших пользователей и легкого предоставления ресурсов по мере необходимости.
Развить навыки работы в сети и получить профессиональную сертификацию IBM, пройдя курсы в рамках учебной программы Cloud Site Reliability Engineers (SRE) Professional.
Целью настоящего руководства является информирование студентов, преподавателей и сотрудников Университета Карнеги-Меллона («Университет») о характеристиках надежного пароля, а также предоставление рекомендаций по безопасному хранению паролей и управлению ими.
Применимо к
Это руководство распространяется на всех студентов, преподавателей и сотрудников, у которых есть имя пользователя и пароль хотя бы для одной университетской системы или приложения, независимо от того, являетесь ли вы конечным пользователем или системным администратором этой системы или приложения.
Определения
Надежный пароль — это пароль, который достаточно сложно угадать за короткий промежуток времени либо с помощью подбора человеком, либо с помощью специального программного обеспечения.
Рекомендации
Ниже приведены общие рекомендации по созданию надежного пароля:
Ниже приведены несколько рекомендаций по использованию надежного пароля:
-
Никому и ни при каких обстоятельствах не сообщайте свой пароль
Не следует сообщать пароли никому, в том числе студентам, преподавателям или сотрудникам. В ситуациях, когда кому-то требуется доступ к защищенным ресурсам другого человека, следует изучить варианты делегирования разрешений. Например, календарь Microsoft Exchange позволит пользователю делегировать управление своим календарем другому пользователю, не сообщая никаких паролей. Такой тип решения приветствуется. Пароли не должны разглашаться даже с целью ремонта компьютера. Альтернативой этому является создание новой учетной записи с соответствующим уровнем доступа для ремонтника.
Если вы подозреваете, что кто-то взломал вашу учетную запись, немедленно измените пароль. Обязательно смените пароль на компьютере, который вы обычно не используете (например, на университетском кластере). После сброса пароля сообщите об инциденте администратору местного отдела и/или в отдел информационной безопасности по адресу iso-ir@andrew.cmu.edu.
Парольная фраза – это пароль, состоящий из последовательности слов, в которые вставлены цифровые и/или символьные символы. Парольной фразой может быть текст песни или любимая цитата. Парольные фразы обычно имеют дополнительные преимущества, например, они длиннее и их легче запомнить. Например, парольная фраза «Мой пароль $superstr0ng!» имеет длину 28 символов и включает в себя буквенные, цифровые и специальные символы. Это также относительно легко запомнить. Важно отметить размещение числовых и символьных символов в этом примере, поскольку они предотвращают поиск нескольких слов в стандартном словаре. Использование пробелов также затрудняет подбор пароля.
Как правило, вам не следует записывать свой пароль. В случаях, когда необходимо записать пароль, этот пароль следует хранить в безопасном месте и должным образом уничтожить, когда он больше не нужен (см. Рекомендации по защите данных).Использование диспетчера паролей для хранения ваших паролей не рекомендуется, если диспетчер паролей не использует надежное шифрование и не требует аутентификации перед использованием. ISO проверил некоторые менеджеры паролей, которые соответствуют этим требованиям.
При смене пароля учетной записи следует избегать повторного использования предыдущего пароля. Если учетная запись пользователя была ранее скомпрометирована сознательно или неосознанно, повторное использование пароля может привести к повторной компрометации этой учетной записи пользователя. Точно так же, если по какой-то причине был предоставлен общий доступ к паролю, повторное использование этого пароля может привести к несанкционированному доступу к вашему аккаунту.
Несмотря на то, что использование одного и того же пароля для нескольких учетных записей облегчает запоминание ваших паролей, это также может иметь цепной эффект, позволяющий злоумышленнику получить несанкционированный доступ к нескольким системам. Это особенно важно при работе с более конфиденциальными учетными записями, такими как учетная запись Эндрю или учетная запись онлайн-банкинга. Эти пароли должны отличаться от паролей, которые вы используете для обмена мгновенными сообщениями, веб-почты и других учетных записей в Интернете.
Использование функции автоматического входа в систему сводит на нет большую часть ценности использования пароля. Если злоумышленник сможет получить физический доступ к системе, в которой настроен автоматический вход в систему, он или она сможет получить контроль над системой и получить доступ к потенциально конфиденциальной информации.
Ниже приведены рекомендации для лиц, ответственных за предоставление и поддержку учетных записей пользователей:
Многие системы и приложения включают функции, которые не позволяют пользователю установить пароль, не соответствующий определенным критериям. Подобную функциональность следует использовать, чтобы гарантировать установку только надежных паролей.
Принуждение пользователя к смене исходного пароля помогает гарантировать, что только этот пользователь знает свой пароль. В зависимости от того, какой процесс используется для создания и передачи пароля пользователю, эта практика также может помочь снизить риск угадывания или перехвата первоначального пароля во время передачи пользователю. Это руководство также относится к ситуациям, когда пароль необходимо сбросить вручную.
В определенных ситуациях пользователю может быть выдана новая учетная запись, и он не может получить доступ к этой учетной записи в течение определенного периода времени. Как упоминалось ранее, исходные пароли имеют более высокий риск угадывания или перехвата в зависимости от того, какой процесс используется для создания и распространения паролей. Принудительное истечение срока действия первоначального пароля через определенный период времени (например, 72 часа) помогает снизить этот риск. Это также может быть признаком того, что учетная запись не нужна.
Руководство по классификации данных определяет данные с ограниченным доступом в своей схеме классификации данных. Данные с ограниченным доступом включают, помимо прочего, номер социального страхования, имя, дату рождения и т. д. Этот тип данных не следует использовать полностью или частично для составления первоначального пароля. Более полный список типов данных см. в Приложении A.
Прежде чем сбрасывать пароль, всегда следует подтверждать личность пользователя. Если запрос подается лично, для этого достаточно удостоверения личности с фотографией. Если запрос по телефону, подтвердить личность будет намного сложнее. Один из способов сделать это — запросить видеоконференцию с пользователем (например, Skype), чтобы сопоставить человека с его удостоверением личности с фотографией. Однако это может быть обременительным процессом. Другой вариант — позвонить менеджеру человека и подтвердить запрос. По понятным причинам это не сработает для студенческих запросов. Решение для самостоятельного сброса пароля, если оно доступно, предлагает пользователю ряд настраиваемых вопросов и является эффективным подходом к решению проблемы сброса пароля.
Как указано выше, пароли отдельных учетных записей пользователей не должны передаваться по какой-либо причине. Естественная корреляция с этим руководством — никогда не спрашивать у других их пароли. Опять же, делегирование разрешения — это одна из альтернатив запросу пароля у пользователя. Некоторые приложения включают функции, которые позволяют администратору выдавать себя за другого пользователя, не вводя пароль этого пользователя, при этом привязывая действия к учетной записи пользователя администратора. Это тоже приемлемая альтернатива. В случае ремонта компьютера одной из альтернатив является запрос на создание пользователем временной учетной записи в своей системе.
Ниже приведены несколько дополнительных рекомендаций для лиц, ответственных за разработку и внедрение систем и приложений:
-
Изменить пароли учетных записей по умолчанию
Учетные записи по умолчанию часто являются источником несанкционированного доступа злоумышленника. По возможности их следует полностью отключить. Если учетную запись невозможно отключить, пароли по умолчанию следует изменить сразу после установки и настройки системы или приложения.
Общие сервисные аккаунты обычно предоставляют повышенный уровень доступа к системе. Учетные записи системного уровня, такие как root и Administrator, обеспечивают полный контроль над системой.Это делает эти типы учетных записей очень уязвимыми для вредоносных действий. В результате должен быть реализован более длинный и сложный пароль. Системные учетные записи и учетные записи общих служб обычно имеют решающее значение для работы системы или приложения. Из-за этого эти пароли часто известны более чем одному администратору. Пароли следует менять каждый раз, когда кто-либо, знающий пароль, меняет должностные обязанности или увольняется. Использование таких учетных записей, как root и Administrator, также должно быть максимально ограничено. Следует изучить альтернативы, такие как использование sudo вместо root и создание уникальных учетных записей для администрирования Windows вместо использования учетных записей по умолчанию.
Использование одного и того же пароля для нескольких учетных записей может упростить администрирование систем и приложений. Однако эта практика также может иметь цепной эффект, позволяющий злоумышленнику проникнуть в несколько систем в результате компрометации пароля одной учетной записи.
Пароли не должны храниться или передаваться с использованием слабых алгоритмов шифрования или хеширования. Например, и алгоритм шифрования DES, и алгоритм хеширования MD-4 имеют известные недостатки в системе безопасности, которые могут позволить расшифровать защищенные данные. Алгоритмы шифрования, такие как 3DES или AES, и алгоритмы хэширования, такие как SHA-1 или SHA-256, являются более надежными альтернативами ранее упомянутым алгоритмам. Свяжитесь с отделом информационной безопасности по адресу iso@andrew.cmu.edu, если у вас есть вопросы, связанные с использованием определенного алгоритма шифрования и хеширования.
При изменении или сбросе пароля владельцу учетной записи этого пользователя должно автоматически отправляться электронное письмо. Это предоставляет пользователю подтверждение того, что изменение или сброс были успешными, а также предупреждает пользователя, если его пароль был изменен или сброшен по незнанию.
Ниже приведены дополнительные рекомендации для системных или сервисных учетных записей, которые не предназначены для использования людьми:
- По возможности сервисные аккаунты должны создаваться случайным образом, иметь длину (>= 15 символов) и соответствовать тем же требованиям сложности для надежных паролей, которые указаны выше.
- Служебные учетные записи в Microsoft Active Directory с именем участника-службы (SPN) должны создаваться случайным образом, иметь длину (>= 28 символов) и соответствовать тем же требованиям сложности для надежных паролей, которые указаны выше. Большая длина снижает эффективность слабых шифровальных шифров. Если совместимость программного обеспечения требует установки более короткого пароля, свяжитесь с отделом информационной безопасности (iso@andrew.cmu.edu), чтобы обсудить меры компенсации.
Дополнительная информация
Если у вас есть какие-либо вопросы или комментарии, связанные с этим Руководством, отправьте электронное письмо в отдел информационной безопасности университета по адресу iso@andrew.cmu.edu.
Дополнительную информацию также можно найти на следующих ресурсах:
История изменений
Версия | Дата Опубликовано | Автор | Описание |
1.0< /td> | 01.12.2007 | Дуг Маркевич | Оригинальная публикация. Заменяет рекомендации по надежности паролей и рекомендации по совместному использованию паролей. |
1.1 | 14/05/2008 | Дуг Маркевич | Обновлена неработающая ссылка в дополнительной информации. |
1.2 | 12.09.2012 | Дуг Маркевич | Обновлены устаревшие ссылки на дополнительные ресурсы. |
1.3 | 24/03/2014 | Wiam Younes | Обновлена информация о процедуре компрометации пароля и пример проверки личности пользователя. |
1.4 | 14.09.2017 | Лаура Радерман | Обновлены ссылки на новый сайт Computing Services и отформатированы для новых шаблонов CMS |
1.5 | < td>18/02/2022Лаура Радерман | Добавлено руководство для сервисных аккаунтов. |
< table border="0">
Читайте также: