litceysel.ru
добавить свой файл
1

1. Анализ структуры сети предприятия


В локальную сеть предприятия ООО «ТК Ресурс» входят 58 машин (23 ноутбука, 30 персональных компьютера и 5 серверов).




Рис. 1 Структура локальной сети ООО «ТК Ресурс»


Пропускная способность локальной сети – 100 Мбит/с, беспроводной сети – 54 Мбит/с.

Также, кроме внутренней локальной сети предприятия, существует сеть салонов (магазинов) кожи и меха “IVAGIO”, которые также нуждаются в удаленном администрировании.

2. Анализ возможных способов удаленного администрирования для данной сети




2.1 Использование средств удаленного администрирования ОС Windows



Лучше всего осуществлять удаленное администрирование с компьютера с той же версией операционной системы, что и у администрируемого компьютера.

Установочный носитель Windows Server 2003 и Windows 2000 содержит средства администрирования с графическим интерфейсом и командной строкой, которые можно использовать для локального и в большинстве случаев удаленного администрирования более ранних и поздних операционных систем с высоким уровнем взаимодействия.

Для удаленного администрирования компьютеров под управлением Windows Server 2003 или Windows 2000 с компьютеров под управлением Windows Server 2003, Windows XP или Windows 2000 можно использовать один из следующих способов:

• Установить и использовать средства администрирования с графическим интерфейсом, входящие в пакет средств администрирования, чтобы удаленно администрировать компьютеры под управлением Windows Server 2003, Windows XP или Windows 2000.

• Используйте службы терминалов для удаленного администрирования компьютеров, на которых локально установлены средства администрирования с поддержкой режимов графического интерфейса и командной строки. Чтобы избежать ограничения в два сеанса, можно использовать режим сервера приложений для установки сервера или службы терминалов на компьютере под управлением Windows Server 2003 или Windows 2000.


• Используйте средства командной строки и сценарии для локального и удаленного администрирования компьютеров под управлением Windows Server 2003, Windows XP или Windows 2000. Эти средства и шрифты включают интерфейсы службы Active Directory (ADSI), команды Windows Net.exe и средства, входящие в пакет Suptools.msi.

2.2 Использование сторонних программ



Более функциональный вариант решения проблемы удаленного администрирования, так как существует много решений (то есть программных продуктов). Основное отличие от встроенных утилит OC Windows - это независимость от операционной системы: с Windows XP можно управлять Windows 2000 и наоборот.

Между собой программы отличаются удобством в использовании, безопасностью, функциональными возможностями, быстроте работы и так далее.

Достаточно ввести в любом поисковике запрос «Программы для удаленного администрирования», чтобы увидеть как много их существует на сегодняшний день: Radmin, Symantec pcAnywhere, UltraVNC и так далее.

3. Обзор программных средств удаленного администрирования



Из всех программ я выбрал две наиболее популярные и удобные в освоении программы: Remote Administrator (Radmin) и DameWare NT Utilities.


3.1 Remote Administrator (Radmin)

3.1.1 О программе



Radmin - это одна из лучших программ удаленного администрирования для платформы Windows, которая позволяет полноценно работать сразу на нескольких удаленных компьютерах с помощью обычного графического интерфейса. Наряду с поддержкой модели безопасности NT и локализацией на любые языки возможна работа в режимах обмена файлами и Telnet, что позволяет рассматривать Radmin как интегрированное решение для удаленного управления организацией любого масштаба.

3.1.2 Возможности Radmin 3




  1. Полная поддержка почти всех операционных систем семейства Windows


Radmin Server поддерживает операционные системы Windows Vista/XP/2008/2003/2000 (32-bit) и Windows Vista/XP/2008/2003 (64-bit).

Radmin Viewer поддерживает операционные системы Windows Vista/XP/2008/2003/2000/ME/98/95/NT4.0 (32-bit) и Windows Vista/XP/2008/2003 (64-bit).

  1. Обеспечение высокого уровня безопасности

Radmin работает в режиме защиты данных, при котором все передаваемые данные, изображения экрана, перемещение курсора и сигналы клавиатуры надёжно защищены по стандарту AES. Секретный ключ генерируется случайным образом для каждого подключения. Для аутентификации пользователей в Radmin может быть использована либо система безопасности Windows с поддержкой активных директорий (Active Directory) и протокола Kerberos, либо собственная система безопасности Radmin с индивидуальными правами доступа для каждого пользователя и защищенной аутентификацией по логину и паролю. Дополнительно таблицы IP-фильтрации позволяют разрешить доступ только для определенных хостов и подсетей.

3. Поддержка текстовых и голосовых чатов

Текстовый чат, Голосовой чат и функция Отправки одиночного сообщения - это принципиально новые возможности, разработанные для версии Radmin 3, которые позволят Вам общаться с человеком, находящимся за удалённым компьютером.

4. Безопасный "Drag and Drop" обмен файлами с функцией "докачки"

Radmin позволяет копировать файлы с одного компьютера на другой. Интерфейс режима обмена файлами аналогичен интерфейсу Проводника Windows, знакомому всем пользователям, что существенно упрощает освоение программы. Реализована "докачка" файлов: в случае сбоя сети можно продолжить передачу файла с момента сбоя, а не с самого начала.

5. Поддержка нескольких одновременных соединений

Radmin поддерживает несколько одновременных подключений к экрану удалённого ПК. Таким образом, Вы можете позволить друзьям или коллегам наблюдать Ваш экран удалённо (очень удобно для проведения конференций) или Вы можете просматривать несколько удалённых экранов или управлять несколькими компьютерами со своего ПК (очень удобно для удаленной технической поддержки или обучения).


6. Выбор режима передачи экрана: 2, 4, 16, 256, 65 тысяч или 16 миллионов цветов.

7. Полная поддержка отображения курсора удалённого ПК: его формы, анимации и прозрачности.

8. Поддержка специальных клавиш и сочетаний клавиш.

9. Возможность отображения экрана удалённого ПК в отдельном окне или в полноэкранном режиме с плавным изменением масштаба и сохранением пропорций.

10. Двусторонняя работа с буфером обмена с поддержкой Unicode.

11. Режим Telnet.

12. Удалённое выключение компьютера.

13. Запуск Radmin Server исключительно как системной службы.

14. Запись в лог файл имени пользователя и DNS расшифровки его адреса.

3.1.3 Как работает Radmin 3




Вы видите экран удаленного компьютера на своем мониторе в отдельном окне или в полноэкранном режиме. Ваши манипуляции мышью или клавиатурой передаются на удаленный компьютер. Таким образом, Вы можете работать за ним так, как будто он находится прямо перед Вами. Вы можете удалённо управлять одним компьютером из нескольких точек доступа и использовать обмен файлами, текстовый и голосовой чаты, удалённое выключение, режим Telnet и другие полезные функции.




Рис. 2 Принцип работы программы Radmin

Radmin 3 состоит из двух модулей: Клиентский модуль (Radmin Viewer) и Серверный модуль (Radmin Server).


Radmin Viewer

В дополнение к своей основной функции, передаче изображения на другой компьютер, Radmin предоставляет администраторам и постоянным пользователям возможность выполнять и другие задачи.

Radmin существенно упрощает процесс копирования файлов с одного компьютера на другой. Используя режим передачи файлов Radmin, Вы можете копировать файлы с/на удаленный компьютер, не относящийся к Вашей сети. Раньше Вы использовали промежуточный сервер или сервер LAN, экспериментировали с e-mail приложениями или записывали файлы вручную на CD-RW или флоппи-диски. Radmin позволяет Вам копировать файлы напрямую.


Другой полезной особенностью Radmin является возможность подключения к удаленному компьютеру в режиме Telnet. Это позволит вам осуществлять перенос текстовых команд на удаленный компьютер с помощью командной строки в виде входящего и исходящего потока. Данная возможность позволит вам работать на удаленном компьютере, не мешая работающему за ним пользователю - это практически терминальный доступ, только ограниченный режимом командной строки. Положительной стороной этого метода является экономия и уменьшение расхода трафика в тысячи раз по сравнению с графическим режимом.


Radmin Server

Серверный модуль Radmin должен быть установлен на тех компьютерах, к которым Вы собираетесь подключиться. Он всегда запускается в качестве сервиса и автоматически загружается при запуске Windows.

Radmin известен своими высочайшими стандартами безопасности. При попытке подключения к удаленному компьютеру, Radmin Server производит безопасную аутентификацию пользователя при помощи пароля. Программа проверяет наличие у пользователей прав доступа и настройки IP-фильтрации. Все данные при передаче по сети надежно защищены по стандарту AES.

Серверный модуль Radmin обеспечивает полный эффект присутствия за экраном удаленного компьютера. Radmin 3 включает в себя новую технологию DirectScreenTransfer™ на базе Radmin Mirror driver. Данная разработка позволяет Radmin Server считывать данные с экрана удаленного компьютера в обход видеоконтроллеров, снижая тем самым нагрузку на процессор. Radmin использует интеллектуальный алгоритм, позволяющий считывать обновления данных. Данная технология не только обеспечивает возможность максимального увеличения скорости обновления экрана, но и снижает расход сетевого трафика. Это особенно важно при работе с медленным Интернет-соединением или соединением через модем.

Данная часть Radmin работает также в качестве сервера для поддержки возможностей текстового и голосового чата. В системе безопасности используются те же алгоритмы безопасности и аутентификации, что и в режиме Full Control.


Radmin Server поддерживает многие возможности, среди которых точная передача формы и анимации курсора, корректная передача изображения с нескольких мониторов, и многое другое.

3.1.4 Безопасность




Безопасность является важнейшим моментом для программного обеспечения удаленного доступа. Компания Famatech поддерживает высочайший уровень безопасности. Программисты компании прилагают все усилия, чтобы сделать Radmin наиболее стабильным и безопасным продуктом удаленного администрирования.

Ключевые особенности:

* Надёжная защита всех передаваемых данных по стандарту AES.

* Возможность использовать систему безопасности Windows или собственную систему безопасности Radmin.

* Система безопасности Windows позволяет ограничивать удаленный доступ для отдельных пользователей или групп пользователей, включая пользователей локальных компьютеров, первичных и доверенных доменов или Active Directory. Поддерживает автоматическую проверку прав доступа пользователя и протокол Kerberos.

* Использование системы безопасности Radmin позволяет задавать различные права доступа для каждого пользователя отдельно.

* Таблицы IP-фильтрации позволяют разрешить доступ только для определенных хостов и подсетей.

* Запись в лог-файл имени пользователя и DNS расшифровки его адреса.

* Интеллектуальная защита от угадывания пароля.


В основу Radmin положены высочайшие стандарты безопасности:

* Серверная часть Radmin содержит две подсистемы безопасности. Вы можете выбрать использование в Radmin или системы безопасности Windows или системы безопасности Radmin. Radmin поддерживает систему безопасности Windows Vista/XP/2003/2000 (32-bit, 64-bit) с поддержкой NTLMv2 и Kerberos, что позволит вам ограничивать удаленный доступ для отдельных пользователей или групп пользователей, включая пользователей локальных компьютеров, первичных и доверенных доменов или Active Directory. Настройки интерфейса безопасности унифицированы в соответствии со стандартами Windows.


* Используя систему безопасности Radmin, вы можете задавать различные права доступа для каждого пользователя отдельно. Radmin использует аутентификацию с запросом и подтверждением. Этот метод аналогичен применяемому в Windows NT, но использует секретный ключ большей длины.

* Все передаваемые данные надёжно защищены по стандарту AES. Секретный ключ генерируется случайным образом для каждого подключения, что обеспечивает непревзойденную степень защиты.


* При написании алгоритмов безопасности используются самые современные методы.

* Все данные, включая изображения экрана, перемещение курсора и сигналы клавиатуры, передаются только в защищенном виде. Защиту данных невозможно отключить в Radmin 2.x и 3.x.

* Все действия Radmin записываются в лог-файл.

* Таблица IP-фильтрации позволяет ограничивать удаленный доступ к отдельным IP-адресам и сетям.

* В Radmin включены процедуры самотестирования, защищающие программный код от изменений.

* Защита пароля серверной части. Radmin Server активно защищает настройки, хранимые в системном реестре. Доступ к данной ветке реестра имеет только пользователь с правами администратора.

* Интеллектуальная защита от угадывания пароля. Меры защиты включают в себя активацию временных задержек при подозрении на перебор пароля, блокирование подозрительных IP-адресов и т.д.

* Radmin Server запускается только как системная служба. В целях повышения безопасности заблокирована возможность запуска Radmin Server в качестве стандартного приложения в среде Windows Vista/XP/2003/2000 (32-bit, 64-bit).




Рис. 3 Интерфейс программы Radmin 3.0

3.2 DameWare NT Utilities

3.2.1 О программе



DameWare NT Utilities (DNTU) – это средство управления корпоративными системами на платформе Windows NT/2000/XP/2003/Vista, позволяющее администраторам обойти ограничения Microsoft Management Console (MMC). DNTU включает большое количество средств администрирования Microsoft Windows NT, объединенных под одним общим централизованным интерфейсом, и позволяет удаленно управлять серверами и рабочими станциями Windows. Практически все стандартные утилиты, входящие в состав DNTU, доступны через интерфейс в стиле проводника, большинство из них было улучшено для обеспечения высочайшей производительности, дополнительной функциональности и легкости в использовании. DNTU также включает специализированные средства, такие как DameWare Mini Remote Control и Exporter, а также поддерживает стандартные страницы свойств и контекстное меню оболочки.


3.2.2 Возможности DameWare



1. Поддержка работы с Active Directory.

DNTU включает мощный браузер объектов Active Directory, а также расширенный функционал по извлечению, поиску и фильтрации объектов и атрибутов Active Directory. Поддерживается управление объектами, такими как OU (Organizational Units), Контейнеры, Пользователи, Группы, Контакты, Компьютеры, Общие ресурсы, а также всеми атрибутами, не доступными из стандартной консоли Microsoft MMC (например, Фотографии, Логотипы, идентификаторы работников и т.д.).

2. Кроме Active Directory DNTU также поддерживает управление следующими ресурсами: Домены, Рабочие станции, Диски, Журналы, Локальные Группы, Глобальные Группы, пользователи Домена, Открытые Файлы, Принтеры, Процессы, Свойства, Реестр, Службы, Сессии, Общие ресурсы, Выключение/Перезагрузка, Программы, Терминальные Службы/RDP, Пользователи, Wake-on-LAN и многим другим.

3. Поддержка устаревших (не-AD) сетей Microsoft Windows с помощью динамического древовидного браузера "Microsoft Windows Network". Контроллеры домена, серверы и рабочие станции, а также «невидимые» компьютеры (машины, которые по умолчанию не показываются в сетевом окружении браузера Microsoft Windows Network) могут управляться удаленно после добавления в дерево через имя машины или IP-адрес. DNTU по сути обеспечивает возможность управления сетью через интерфейс в стиле Проводника.




Рис. 4 Интерфейс программы DameWare NT Utilities

4. DNTU также включает программу DameWare Mini Remote Control для быстрого и легкого развертывания и отладки любого программного обеспечения, проще говоря, это дает администраторам уникальную возможность получить управление любой удаленной машиной в LAN или WAN (в пределах города, страны или по всему миру) за считанные секунды.


5. Автоматическая настройка Windows Firewall

6. Поддержка быстрого переключения пользователей XP & Vista, а также RDP

7. DameWare Mirror Driver для улучшенной скорости и производительности

8. Аутентификация, интегрированная с системой безопасности операционной системы

9. Внедрение клиентов на лету без необходимости перезагрузки

10. Ограничения доступа с использованием IP-фильтрации

11. Ограничение доступа на базе членства в локальной или глобальной группе

12. Общие сессии

13. Простая передача файлов (Simple File Transfer)

3.2.3 Безопасность



DameWare NT включает расширенные возможности в области безопасности и шифрования, включая несколько методов аутентификации, изначально ориентируясь на встроенные средства безопасности операционной системы. Также имеется опциональная возможность шифровать весь трафик между локальной и удаленной машинами. При любом методе шифрования DameWareNT (а точнее Mini remote Control) использует криптопровайдеры Microsoft (CSPs) & CryptoAPI, получая все преимущества современных стандартов шифрования, хеширования и обмена ключами.

Версия 5.5 и выше программы DameWare Mini Remote Control также является единственным средством удаленного управления от стороннего разработчика, поддерживающим интерактивный вход в систему с помощью смарт-карт, а также удаленную аутентификацию, используя смарт-карт и PIN с вашей локальной машины. При этом не требуется никакого промежуточного программного обеспечения для работы со смарт-картами, и даже нет необходимости иметь кардридер на удаленной машине.

4. Сравнение средств удаленного администрирования


  

Параметр сравнения

DameWare NT Utilities 6.0.1.5


Radmin 3.0

Системные требования

Server: Windows NT 4.0, Service Pack 1 or greater (including Windows 2000, XP, 2003, or Vista

Agent: Win 95, 98, Me, NT4.0, 2000, 2003, XP, Vista

Radmin Server 3.0 : Windows Vista/XP/2003/2000 (32bit).

Radmin Viewer 3.0: Windows Vista/XP/2003/2000/ME/98/95/NT4.0 (32bit).

Поддержка Vista 32-bit

+

+

Поддержка Vista 64-bit

+

-

Быстрое переключение пользователей

+

+

Поддержка нескольких одновременных соединений

+

+

Возможность выбора режима полного доступа или просмотра при нескольких одновременных подключениях

+

-

Поддержка установки "обратного" соединения

+

-

Блокировка удаленной клавиатуры и мыши


+

-

Отключение удаленного экрана

+

-

Бесплатная техническая поддержка

+

+

Поддержка переключения сессий пользователей в Windows Vista и Windows XP

да, без необходимости перехода к окну переключения пользователей

+

Отображение удаленного курсора

+

+

Поддержка колеса прокрутки мыши и дополнительных кнопок.

+

+

Поддержка высоких разрешений (ограничение на максимальное разрешение дисплея отсутствует).

+

+

Полноэкранный режим с масштабированием.

+

+

Поддержка нескольких мониторов.

+


+

Поддержка буфера обмена

+

+

Режим передачи экрана

16, 256, 32000, 16 млн, 4 млрд

2, 4, 16, 256, 65 тысяч или 16 млн цветов

Поддержка специальных клавиш и сочетаний клавиш (Alt-Tab, клавиша Windows, и т.д.).

+

+

Встроенная справочная система.

+

+

Режим Telnet.

+

+

Удаленная перезагрузка системы

+

+

Защита от угадывания пароля с задержкой после пяти последовательных неудачных попыток.

-

+

Автоматическая настройка Windows Firewall

+

-

Работа через "прокси"-машину для перенаправления трафика к нескольким управляемым машинам через одну шлюзовую


+

+

Работа на 64-битных системах (XP, 2003, Vista)

+

-

Предупреждающий бордюр вокруг окна с удаленным экраном

+

-

Возможность выбора темы внешнего вида

+

-

Режим передачи файлов

+

+

Текстовый чат

-

+

Отправка простого текстового сообщения

+

+

Голосовой чат

-

+

Возможность использования стандартного стиля подключения RDP

+

-

Хост может инициировать соединение

+

-


Размер дистрибутива

24,8

18,2

Временное отключение визуальных эффектов рабочего стола

+

-

Методы установки агентов

Ручная установка
Пакетом MSI
Установка "налету"
Через пункт меню
Через удаленную установку службы
Пакетная установка

Ручная установка
Пакетом MSI

Настройка текста уведомления пользователя о подключении

+

-

Возможность отключения уведомления о подключении

+

-

Добавление компьютера в адресную книгу из Active Directory

+

-

Низкоуровневый драйвер

+

да, технология DirectScreenTransfer™

Оптимизация для каналов с низкой пропускной способностью

+


+

Шифрация передаваемых данных

да, CryptoAPI

да, AES




Варианты аутентификации

Windows NT Challenge/Response
Encripted Windows Logon
Собственная система безопасности
Вход по смарт-картам

система безопасности Windows с поддержкой активных директорий (Active Directory) и протокола Kerberos, либо собственная система безопасности Radmin с индивидуальными правами доступа для каждого пользователя и защищенной аутентификацией по логину и паролю

Аутентификация по смарт-карте

+

-

Интерактивный логин по смарт-карте

+

-

IP-фильтрация

+

+

Поддержка протокола аутентификации Kerberos.

-

+

Различные права доступа для каждого пользователя отдельно.


Права для групп

+

Журналирование подключений

Запись в локальный лог-файл или в Application Event Log

Запись в локальный лог-файл или в Application Event Log

Установка дополнительного Shared Secret

+

-

Браузер Active Directory

+

-

Удаленное управление дисками

+

-

Удаленный просмотр журналов

+

-

Удаленный просмотр групп

+

-

Добавление/удаление машин в домен

+

-

Удаленный просмотр открытых файлов

+

-

Удаленный просмотр принтеров


+

-

Удаленный просмотр процессов

+

-

Удаленный просмотр основных свойств системы

+

-

Удаленная настройка RAS

+

-

Удаленный просмотр реестра

+

-

Удаленное выполнение команд

+

-

Удаленная настройка планировщика

+

-

Удаленное управление службами

+

-

Удаленный просмотр сессий

+

-

Удаленное управление разделяемыми ресурсами (Shares)

+

-


Встроенные TCP/IP утилиты (ping, tracrt, mx test и др.)

+

-

Удаленное управление пользователями

+

-

Удаленная настройка Wake On Lan

+

-

Лицензирование по управляемым машинам

-

+

Лицензирование по администраторам

+

-

Стоимость лицензии на 100 машин и 2 администраторов

$578,00

$2 442,00



5. Установка средств удаленного администрирования


Для начала установки необходимо скачать программное обеспечение с сайта производителя http://www.dameware.com/downloads/ . Сохранив программу на компьютере, с которого будет осуществляться удаленное администрирование, запускаем файл DNTU6x.msi.