دانلود گزارش کارآموزی توسعه و ارتقاء شبکه ارتباطی ساختمان های شماره 1 و 2 استانداری خراسان رضوی

مقدمه :

با گسترش روز افزون استفاده از تکنولوژی اطلاعات برای انجام امور ، استفاده از رایانه و شبکه های رایانه ای به عنوان زیر ساخت این امر اهمیت بیشتری یافته است .شبکه های کامپیوتری به عنوان یکی از مهمترین زیرساختهای تحقق دولت الکترونیک در یک سازمان از اهمیت بسزایی برخوردار است که با توجه به پیشرفت سریع تکنولوژی لزوم بازنگری مداوم شبکه در بازه های مشخص زمانی بیش از پیش احساس می شود .

شبکه رایانه ای استانداری خراسان رضوی بصورت تدریجی از سال 1378 نصب و توسعه یافته است . محور اصلی این شبکه ساختمان جدید برج استانداری خراسان بود که اولین شبکه محلی بزرگ استانداری در این ساختمان بصورت توکار نصب و راه اندازی شد . تجهیزات Active مورد استفاده درآن زمان تجهیزات Accton  بوده است .

در طرح توسعه بعدی تمامی ساختمان های استانداری تحت پوشش شبکه رایانه ای قرار گرفته و به یکدیگر متصل شده اند . در توسعه شبکه از تجهیزات Cisco استفاده شده است .

طرح حاضر با توجه نیاز به ارتقاء و توسعه شبکه استانداری و ساختمان های تابعه تهیه شده و مشتمل بر چهار بخش اهداف ، وضع موجود و چالشها ، وضع مطلوب و مزیتها و تجهیزات و هزینه ( فاز اول و دوم ) می باشد .

نحوه طراحی و اجرا بر مبنای اصول کابل کشی ساخت یافته

طراحی :

شبکه های کامپوتری باید مدل سه لایه داشته باشند . شبمه هایی که دارای سوئیچ های تماماً تک لایه اند ، غیر استاندارد هستند و پیاده سازی Routing و VLAN در آنها دشوار است .

کابل کشی ساخت یافته ، استانداردی برای اجرای درست یک پروژه شبکه کامپیوتری است که بر پایه ی آن چگونگی همبندی کابلها ، خم ها ، فواصل ، اجزای شبکه و ... مشخص می شود . اجرای یک پروژه بر پایه ی اصول کابل کشی به شکل ساخت یافته ، تضمین کننده سلامت اتصالات و در نتیجه بستر فیزیکی مناسب است .

بستر فیزیکی و Back bone

اصول علمی :

بستر فیزیکی یک شبکه کامپیوتری ، خواه مبتنی بر باسیم و یا بی سیم ، باید از قابلیت اطمینان و سرعت و پهنای باند مناسب برخوردار باشد . ( تمام کابلها و سوئیچ های در نظر گرفته شده همگی دارای سرعت 1000Mb/s می باشند )

بستر اصلی شبکه یا Backbone رسانه ای است که تجهیزات فعال شبکه را به یکدیگر پیوند می دهد و امکان انتقال اطلاعات میان آنها را فراهم می آورد . پهنای باند این بستر دست کم 10 برابر پهنای باندی است که برای نقاط دسترسی فرهم است . در این ساختار ، تمام سوئیچ ها ، روترها و سرورهای شبکه با پهنای باند بالاتری با این بستر ارتباط دارند . ( در طرح ارائه شده ارتباط بین سوئیچ ها که جزئی از Backbone می باشد 10Gb/s در نظر گرفته شده است و از کابل فیبر نوری بدین منظور استفاده می شود )

اهداف :

دستیابی به اهداف دولت الکترونیک

افزایش بهره وری از VPN

صرفه جویی در هزینه های جاری سازمان

استفاده بهینه از تجهیزات و امکانات

توسعه و ارتقاء شبکه ارتباطی ساختمان های شماره 1 و 2

وضع موجود و چالشها

وضع موجود :

بستر فیزیکی شبکه LAN در ساختمان شماره 2 مبتنی بر فیبر نوری با سرعت 1Gb/s می باشد . در ساختمان شماره 1 کابل کشی موجود در داخل طبقات مبتنی بر CAT5 با سرعت حداکثر 100Mb/s و ارتباط بین طبقات مبتنی بر CAT6 می باشد که با افزایش ارتباطات شبکه ( VPN وزارت کشور ، استانداریها ، فرمانداریها و بخشداریها ) ارتباط با ساختمان شماره 2 ، پیاده سازس نرم افزارهای کاربردی ( سیستم اتوماسیون اداری ، MIS معاونت پشتیبانی و توسعه منابع انسانی ) ، نرم افزار های انتخابات و ... پاسخگوی نیازهای آتی نخواهد بود . در این خصوص ارتقاء این بستر به سرعت 1Gb/s با بستر فیبر نوری ضروری است . میزان تقریبی فیبر نوری مورد نیاز 3000 متر است . همچنین جهت استقرار Backbone شبکه با سرعت 1Gb/s نیاز به خریداری Manageable با امکانات VLAN و ... می باشد . ارتباط بین ساختمان شماره 1 و 2 با تکنولوژی Wireless و یا ارتباط VPN ( خط دیتا / فیبر نوری ترجیحاً ) نیز نیازمند برقراری ارتباز دیتا ، خرید پهنای باند مناسب ( حداقل 100Mb/s با هزینه سالیانه 40 میلیون تومان ) ، خرید روتر ، مودم و ... میباشد .

چالشها :

نیاز به ارتقاء سرورها

تجهیزات پشتیبان گیری

مخاطرات امنیتی و نیاز به بازنگری مستمر آن

مدیریت ، نظارت و سنجش دائمی شبکه

وضع مطلوب و مزیت ها

ارتقاء سرور ، خرید سرور مناسب و تجهیزات پشتیبان گیری :

سرور در واقع مرکزر اطلاعات هر سازمانی است و ایشتگاه های کاری دیگر به آن مرتبط شده و از اطلاعات و سرویس های آن بهره می برند . جهت تهیه سروری مناسب ابتدا باید نوع کاربری ، تعداد کاربران مرتبط با آن و نوع نرم افزارهای کاربردی روی آن مشخص شوند و پس از آن اقدام به تهیه سرور با سخت افزاری متناسب با نیاز نمود . داشتن پشتیبان در قطعات از شرایط دیگر یک سرور خوب است . به عنوان مثال داشتن دو پردازنده یا دو پاور با قابلیت تأمین توان کافی و یا چند دیسک سخت جهت راه اندازی Raid نرم افزاری یا سخت افزاری از مزیت های یک سرور استاندارد می باشد . داشتن امکانات کافی تهیه نسخه پشتیبان از اطلاعات نظیر Tape Backup Driver و یا حتی یک دستگاه DVD Writer از مشخصه های دیگر یک سرور مناسب هستند .

بنابراین با ارتقاء Backbone شبکه به 1Gb/s و برقراری ارتباط دو ساختمان جایگزین نمودن PC های فعلی که به تعداد 7 دستگاه در ساختمان شماره 2 و 3 دستگاه در ساختمان شماره 1 به عنوان سرور استفاده می شوند و اضافه کردن 2 دستگاه سرور جدید برای امور Wsus و آنتی ویروس و ... با مارک های معتبر مانند HP بسیار ضروری و اجتناب ناپذیر است .

پیاده سازی امنیت در سازمان :

امنیت مختص یک یا چند دستگاه کامپیوتری نبوده بلکه کل سازمان را شامل می شود . وجود اصول و اساسنامه جهت ایمن سازی اطلاعات سازمان از درب وروی شروع شده و تا محل قرارگیری اطلاعات ادامه پیدا می کند . تعریفی که برای امنیت می شود مرزها را شکسته و کلیه عوامل تهدید کننده اطلاعات را در سازمان شامل می شود . امکان از بین رفتن اطلاعات در اثر عوامل فیزیکی ( نظیر آتش سوزی ) ، تهدیدات نفوذگران شبکه ، ویروس ها و کرم های اینترنتی ، دزدی رسانه و ... همگی از عوامل تهدید کننده اطلاعات سازمانها هستند لذا داشتن برنامه و استراتژی جامع و کاملی که کلیه موارد تهدید کننده و نحوه برخورد با هر یک را مشخص نماید از اولویت های هر سازمان می باشد . در زیر تنها به برخی از عوامل تهدید کننده اطلاعات شبکه های کامپیوتری اشاره شده است :

الف ) ویروس ها ، کرمها و تروجان ها :

با توجه به گسترش شبکه های کامپیوتری و ارتباط آنها با اینترنت ، امکان ورود نرم افزارهای مخرب کوچک نظیر ویروس ها ، کرمها و تروجان ها به سرورها و ایستگاه های کاری وجود خواهد داشت لذا استفاده از ویروس یابها و ویروس کش های مناسب باید در دستور کار مدیر شبکه قرار گیرد . همچنین وجود Adware و Spyware ، باعث کندی دستگاه های کامپیوتری و سرورها شده و از کارایی شبکه می کاهد .

ب ) ارتباط به اینترنت :

پیشرفت تکنولوژی و کاهش هزینه ارتباط به اینترنت ، سازمان ها را ترقیب به استفاده بیش ار پیش نموده است . شبکه های زیادی هستند که بطور مستقیم و بدون در نظر گرفتن هر گونه امکان امنیتی ، به اینترنت مرتبط هستند و از آن استفاده می کنند . در اینگونه شبکه ها ، خطر نفوذ به سیستم و سوء استفاده از اطلاعات سازمان و همچنین ورود انواع ویروس ها و کرم ها وجود خواهد داشت . جداسازی سرور ها و سرویس ها ، استفاده از دیواره آتش مناسب ، IPS ، IDS از راه حل های ارتباط امن با اینترنت محسوب می شوند . ساده ترین ساختاری را که در طراحی امنیت سازمان تان می توانید لحاظ کنید تقسیم بندی سرورها و شبکه کامپیوتری به سه ناحیه شبکه داخلی ، شبکه خارجی و ناحیه محافظت شده است . کلیه سرورها و ایستگاه های کاری که تنها باید در شبکه داخل سازمان در دسترس باشند و نیاز به ارتباط خارجی ندارند را در ناحیه شبکه داخلی ، اینترنت و شبکه های مرتبط با آن را در ناحیه شبکه خارجی و سرورهایی از شبکه داخلی که نیاز به ارتباط با اینترنت دارند ، در ناحیه محافظت شده یا DMZ قرار دهید . نمونه این سرورها FTP Server ، Mail Server هستند .

ج ) استفاده از دیواره آتش :

دیواره آتش نرم افزار یا سخت افزاری است که جهت کحافظت و دور از دستری قرار دادن شبکه داخلی از حملات و نفوذهای تحت شبکه مورد استفاده قرار نمی گیرد . با توجه به توضیحاتی که در قسمت قبل داده شد به کمک دیواره آتش سه ناحیه داخلی ، خارجی و محافظت شده را می توان از یکدیگر متمایز نمود و پاکت های در حال تبادل بین نواحی مختلف را مورد سنجش قرار داد و حتی از عبور پاکت های اطلاعاتی غیر ضروری ممانعت نمود .

Content Filtering ، Proxy ، Virus Scaning ، VPN ، SPAM Filter ، Anti Spyware ، Traffic Shaping ، Anti Phishing ، IPS/IDS و Ahthentication از مشخصه های دیگری هستند که باید در هنگام تهیه و انتخاب دیواره آتش ، آنها را مد نظر داشته باشید .

د ) سیاست نامه امنیتی :

تهیه و اجرای اساسنامه امنیت اطلاعات مبتنی بر استانداردهای موجود متناسب با سازمان و نوع کار پایه و اساس پیاده ساری امنیت می باشد . بدون داشتن برنامه و هدف اجرای امنیت در سازمان ، قادر به ایجاد فضایی امن برای اطلاعات نخواهید بود . دامنه این اساسنامه با نظر مدیر سازمان متفائت خواهد بود . دامنه حفاظت شده یا Scope می تواند کلیه بخش های سازمان را در بر گیرد و یا حتی بخش هایی از آن را پوشش دهد . معمولاً برای شروع پیاده سازی امنیت اطلاعات سازمان از واحد و بخش کوچمی آغاز کرده و به مرور آن را به بخش های دیگر تعمیم می دهند .

و ) نصب به موقع  Service Packها و Patch ها :

وجود مشکلات متعدد سیستم عامل ها و نرم افزارهای مختلف ، سازندگان آنها را موظف به رفع مشکل آنها پس از شناسایی نوع مشکل می نماید لذا شرکتهای تهیه کننده نرم افزار اقدام به پخش نرم افزارهای رفع خطا در قالب Patch ها و Service Packها می نمایند . نصب به موقع این بسته های کوچک نرم افزاری رفع خطا ، مشکلات موجود را مرتفع ساخته و از سوء استفاده از نقص های موجود جلوگیری خواهد کرد . به عنوان مثال تاکنون Service Pack 4 برای Win 2000 و Win2003 Server از جانب شرکت مایکروسافت برای استفاده کاربران عرضه شده است که قابل Download بر روی سایت آن شرکت می باشند .

بنابراین یکپارچه نمودن شبکه استانداری خرید دو دستگاه فایروال جدید ، آنتی ویروس های قوی دارای مجوز ، تجهیزات نگهداری داده ها ،  Recovery ، NAS و نرم افزارهای امنیتی ( در مقابل ویروس ها ، دسترسیهای غیر مجاز و ... در سطح بانکهای اطلاعاتی و نرم افزارها ) ضروری و اجتناب ناپذیر است .

مدیریت ، نظارت و سنجش دائمی شبکه :

سنجش دائمی ترافیک شبکه و مانیتورینگ آن توسط ابزارهای مختلف نرم افزاری و سخت افزاری از عواملی مهم پیشگیری قبل از فاجعه هستند که باید در شبکه های کامپیوتری مدنظر قرار گیرند . بدین منظور می توان از سخت افزارها و نرم افزارهای مانیتورینگ نظیر Fluck Tester ، Cisco Works ، Solarwins و هزاران نرم افزار دیگر شبکه خود را مورد بازرسی و بازبینی قرار داده و مشکلات آن را قبل از بروز خطایی غیرقابل جبران ، مرتفع نمایید .

بنابراین خرید تجهیزات مدیریت شبکه و Monitoring از قبیل یک سوئیچ core قدرتمند و ماژولار ، خرید نرم افزار شناسایی نودهای غیر فعال و مشکل دار و تجهیزات عیب یابی شبکه و قطعی ان ضروری است .

فاز اول

تجهیزات و هزینه مربوطه :

با توجه به بررسی انجام شده تجهیزات مورد نیاز به انضمام هزینه خریداری برای توسعه و ارتقاء شبکه های ارتباطی ساختمان های شماره 1 و 2 در دو فاز پیش بینی شده است و تجهیزات مورد نظر برای فاز اول به شرح ذیل می باشد : 

با توجه به بررسي انجام شده تجهيزات مورد نياز به انضمام هزينه خريداري براي توسعه و ارتقاء شبكه هاي ارتباطي ساختمان هاي شماره 1 و 2 در دو فاز پيش بيني شده است و تجهيزات مورد نظر براي فاز اول به شرح ذيل مي باشد :

فاز دوم

در فاز دوم تجهيزات امنيتي ، پشتيبان گيري و برقراري ارتباط مد نظر قرار گرفته و برآورد هزينه بشرح ذيل مي باشد :

گزارش مستندات

پروژه ارتقاي امنيت شبكه

استانداري خراسان رضوي

مقدمه :

پروژه امنيت شبكه استانداري خراسان در سال 1385 تعريف و به اجرا گذاشته شد . استانداري خراسان از حداقل امكانات نرم افزاري شبكه برخوردار بود . عدم وجودActive Directory ، عدم وجود سيستم هاي نرم افزاري مديريت شبكه و عدم وجود FireWall مطمئن از بزرگترين نواقص اين شبكه بود . بنابراين تصميم بر اين شد مه با بودجه تخصيص داده شده به اين پروژه حداقل اين امكانات مديريتي / امنيتي فراهم گردد .

بزرگترين فعاليتي كه صورت گرفت طراحي و پياده سازي Active Directory در شبكه استانداري خراسان بود كه با تلاش كارشناسان شركت AD نصب و تمامي ويندوزهاي ايستگاه هاي كاري شبكه به منظور يك دست سازي از نو نصب و با محدوديتهاي امنيتي جديد تركيب بندي شد .

علاوه بر اين امنيت دسترسي به شبكه دروني استانداري از بيرون سازمان به كمك يك دستگاه Juniper FireWall تأمين گشت . با توجه به بودجه تخصيص داده شده به اين پروژه تأمين امنيت فقط در سطح دسترسي از بيرون سازمان به شبكه تأمين شد .

لازم است در مراحل بعدي كار ساير ملاحظات امنيتي نيز مورد توجه قرار گرفته و اجرا شود . مجموعه پيشنهادات لازم براي ادامه اين كار به شرح ذيل مي باشد :

طراحي و نصب Active Directory جهت متمركز ساختن شبكه

نصب Antivirus تحت شبكه و مديريت آن جهت بروز كردن كلاينت ها

نصب سرويس Wsus در شبكه جهت گرفتن update هاي مايكرو سافت بطور آفيس

تنظيمات تجهيزات ارتباطي استانداري

نصب و راه اندازي كلاينت در شبكه

طريقه گرفتن Backup Active Directory

و ...

فصل يك : تحليل وضعيت موجود در شبكه استانداري

در شبكه استانداري خراسان برنامه هاي كاربردي زير در حال اجرا مي باشد :

شبكه فوق داراي domain نمي باشد و غير متمركز مديريت مي شود .

سرور و كلاينت بصورت workgoup كار مي نمايند .

سروري كه بتواند بصورت offline پچ هاي امنيتي را بگيرد وجود ندارد .

آنتي ويروس غير قابل مديريت و فقط update به روز share مي شود .

نبودن سرويس Wins در شبكه

1 – سرور اتوماسيون اداري گويا :

ملاحظات مربوط به سرور و نرم افزارهاي نصب شده :

نرم افزار اتوماسيون گويا نصب شده بر روي server 2000 Sp4 كه داراي SQL 2004 Sp4 مي باشد .

داراي Antivirus Symantec V.8.0 Server Based

نرم افزار گويا Webbasedو با Active فعال و نرم افزار MDAC مي باشد .

متصل شدن سيستم دبيرخانه بصورت Ftp با user خاص جهت انتقال اطلاعات .

Remot management جهت مديريت از راه دور .

داشتن Ip Valid براي Remot از طريق web

2- سرور روزنامه ها :

سرور فوق جهت ارائه روزنامه ها بطور آفلاين مي باشد كه داراي مشخصات نرم افزاري و سخت افزاري فوق مي باشد .

3- سرور ذيحسابي :

سرور فوق جهت ارائه سروبي حسابداري مي باشد كه داراي مشخصات نرم افزاريو سخت افزاري فوق مي باشد .

4- سرور پورتال :

سرور فوق جهت ارائه پورتال داخلي سازمان كه داراي مشخصات نرم افزاري و سخت افزاري فوق مي باشد .

5- سرور MIS

فصل دو : طراحي و نصب Active Directory و Antivirus & Wsus در شبكه استانداري

تحليل و طراحي ساختار Active Directory :

ساختار OU ها :

بر اساس چارت سازماني استانداري و سلسله مراتبي ساخته شود .

ساختار User Name & PassWord :

ساخت username داراي دو قسمت مي باشد : 1- فاميل كاربر 2- دو حرف اول OU و پسورد به طور تركيبي و كمتر از 8 كاراكتر نباشد .

ساختار اسامي رايانه اي :

نام كامپيوترها برگرفته از اول كلمه كامپيوتر C و نام كاربر همان سيستم و كد مربوطه

ساختار نصب آنتي ويروس در شبكه :

به اين ترتيب بعد از نصب سرور آنتي ويروس همه Client ها از طريق شبكه نصب و به روز شوند كه براي اين منظور Symantec Antivirus در نظر گرفته شد .

ساختار به روز رساني Client درشبكه :

به اين ترتيب كه بعد از نصب سرويس Wsus و استقرار آن در شبكه تمام كلينت ها از طريق اين سرور بدون اتصال به اينترنت بتوانند به روز شوند .

مراحل نصب Active Directory : (سرور 1 )

نصب ويندوز سرور 2003

پارتيشن c:/ با ظرفيت 20G با فايل سيستم NTFS

IP Address : 192.168.100.15

DNS IP Address : 192.168.100.15

Name Server : Galaxy

تنظيم Time Synchronizing با خود DC

Dcpromo نصب AD

Full DNS Name : OstanKH.IR

Domain NetBIOS : OstanKH

نصب DNS همراه AD

مراحل نصب Active Directory : (سرور 2 )

نصب ويندوز سرور 2003

پارتيشن c:/ با ظرفيت 20G با فايل سيستم NTFS

IP Address : 192.168.100.16

DNS IP Address : 192.168.100.16/192.168.100.15

Name Server : Star

تنظيم Time Synchronizing با Galaxy.OstanKH.IR

Dcpromo نصب AD Additional

Full DNS Name : OstanKH.IR

Domain NetBIOS : OstanKH

نصب DNS همراه AD

تعريف Policy بر روي Domain Policy :

تعريف Script جهت نرم افزار Active Alternatiff

تعريف Security Setting

اضافه كردن admin و permission به profile ها جهت تعريف Profile Roaming در دبيرخانه

تنظيم System/Windows times Service با Server AD

Configuration Automatically Update : Every day , Time : 11:00 Am

Software Installation Office 2003 SPI

Internet Explorer Maintenance :

-proxy setting = 192.168.100.2 Port : 80

-URLs/home page : Http://192.168.100.11

8- Screen Saver : Enable 30 min

نصب و راه اندازي سرور Wsus & Antivirus :

نصب Wsus :

پارتيشن NTFS با ظرفيت 20G

نصب ويندوز سرور 2003 با SP1

IP Address : 192.168.100.14

DNS IP Address : 192.168.100.15 ; 192.168.100.16

Name Server : SRV-S

تنظيم Time Synchronizing با Galaxy.OstanKH.IR

Join كردن ويندوز به Domain استانداري

نصب IISV6 از سرويسهاي ويندوز

نصب Wsus جهت گرفتن update مايكروسافت و نصب بر روي client شبكه استانداري

اختصاص دادن Valid IP و Synchronize كردن با سايت مايكروسافت و گرفتن update ويندوز server 2003 , office 2003 sp1 , 2000 , xp

نصب Antivirus Symantec 10.2.1 تحت شبكه :

نصب Antivirus نسخه سروري بر روي سرور SRV-S سپس به روز كردن آن حهت به اشتراك گذاشتن بين كلاينتها و سپس نصب كنسول مديريتي جهت مديريت و نصب clients

فصل سه : مكانيزم تست و استقرار

تعريف OU > IT Test

تعريف Policy جهت تست و اجرا

تعريف user هم نام با كاربران بخش IT

وصل كردن كلاينت ( هم نام با خود كاربر ) بخش IT به سرور AD و انتقال به OU IT

Setup كردن كلاينت اتوماسيون گويا :

نصب و تنظيم اتوماسيون :

منوي Tools گزينه Folder Option تب Security :

الف ) Low شدن Security سه گزينه Internet و Local Internet و Ttusted Sites

ب ) اضافه نمودن 2 آدرس ذيل در Ttusted Sites :

Http://192.168.100.1

Http://192.168.100.20

Http://Alternatiff.com

تب Connection دكمه LAN Setting :

الف ) تيك خوردن فقط چك باكس سوم و چهارم ، آدرس :

Proxy : 192.168.100.2

Port : 8080

ب ) دكمه Advanced : اضافه نمودن آدرسهاي ذيل در قسمت Exceptions :

Http://192.168.100.1

Http://192.168.100.3

Http://192.168.100.20

تب Advanced در قسمت Printing ، تيك گزينه ذيل خورده شود :

Print Background Colors & Image

خاموش نمودن فايروال ( فقط حين نصب نرم افزار اتوماسيون اداري ) موقع وصل كردن Client به Domain

قابليت نصب Mdac 2.8 به صورت جداگانه از طريق آدرس Http://192.168.100.1/officefg.htm

پس از نصب نرم افزار اتوماسيون جهت Client و مدير سيستم و نرم افزار Alternatiff به ترتيب فايلهاي ذيل در شاخه ويندوز كپي خواهند شد :

Gsworkflow.docfrulogo

Gsadmin.docfrulogo

Alternatiff Activex

اين 3 فايل به لحاظ نصب مجدد نرم افزار اتوماسيون ( در صورت شكل دار شدن ) بايد قابليت پاك شدن داشته باشند .

كپي شدن شاخه Imaging در شاخه Windows XP و سپس اجراي xpreyocx.bat و دريافت 4 پيغام Successful

فارسي نمودن صفحه كليد از طريق kbdfa.dll : كپي نمودن dll ابتدا در مسير C:\windows\system32\dllcache و سپس كپي نمودن آن در شاخه system32 . كنسل نمودن پنجره ظاهر شده مبني بر گذاشتن CD ويندوز و تأييد نمودن پنجره مبني بر عدم سازگاري بين dll 2

نصب فونت هاي فارسي fars.font

انجام تنظيمات ذيل در قسمت Regional & Language Option :

الف ) تب Regional Option : Farsi , Iran

ب ) تب Language : تيك خوردن گزينه اول

ج ) تب Advanced : Farsi و سپس تيك خوردن گزينه Apply All ……

Encoding صفحات

ايجاد ميانبرهاي ذيل بر روي صفحه :

نام : اتوماسيون اداري ( جهت كاربران عادي ) آدرس : Http://192.168.100.1

نام : اتوماسيون اداري ( جهت كاربران دبيرخانه ) آدرس : Http://192.168.100.1/new

نام : پورتال آدرس : Http://192.168.100.3

نام : روزنامه ها آدرس : Http://192.168.100.20

فعال نمودن Screen Saver پس از 5 دقيقه ( با حالت Password Protected )

قابليت پاك نمودن پسوند VBD از طريق Folder Option/file type

نصب نرم افزارهاي office و آنتي ويروس Symantec

مرحله آخر آوردن سرورها در Domain و تست آن در شبكه است .

فصل چهار : نصب و راه اندازي كلاينت در استانداري :

روال نصب ويندوز XPSp2 در تمام client ها و نرم افزارهاي مربوطه ( كليات )

مقدمات قبل از نصب

نصب OS

نصب نرم افزارها

بهينه سازي

تحويل

مقدمات قبل از نصب :

الف ) تنظيم تاريخ و ساعت در BOIS SET UP

ب ) غير فعال كردن Virus Warning در BOIS SET UP

ج ) تغيير Boot Sequence در BOIS SET UP

د ) فراهم كردن درايو هاي مورد نياز

ه ) بررسي سيستم كاربري ، اصلاخ شناسنامه سخت افزاري : آيا كسا از چاپگر shared استفاده مي كند ؟

و ) تهيه Backup از اطلاعات كاربر روي شبكه

نصب os :

پارتيشن بندي و نوع File System

( Set Defult >> Farsi ) Language & Time Zone

Administrator Password

CxxUsername = Computer Name

Security Scope(Workgroup-Domain)

تغيير مجدد Boot Sequence در BOIS SETUP به Hard Disk Only

تنظيم Set Password (xxxxxxx)

نصب درايوها ( كليه درايوها )

پيكربندي پروتكل TCP/IP

تنظيم ساعت ايستگاه با سرور

عضويت كامپيوتر در Domain ، تعريف كاربر در Domain ، عضويت موقت كاربر در گروه Domain Admin و Login به نام كاربر

پارتيشن بندي فضاي باقيمانده هاردديسك مطابق دستورالعمل پارتيشن بندي

تعريف كاربرهاي مورد نياز كاربر

نصب نرم افزارها ( با نام كاربر مربوطه كه موقتاً عضو Domain Admins است ) :

IE6 + Last Update ، اجرا

DirectX9.0b ( با دستور Dxding تست شود )

نصب office 2003 به همراه Service Pack آن . اجرا و پيكربندي MST , Policy

نصب فونت فارسي

Obat Reader6 ، اجرا و قبول Agreement

Flash Player و ACD See6

WinRAR3.2

Real بعضي ها

فعال كردن سرويس Automatic Update

مرحله آخر برگرداندن اطلاعات كاربر كه local بوده مي باشد .

بهينه سازي :

حذف Memory Dump

حذف پروفايل هاي اضافه Cache

Disk Clean Up و Defrag و Bootvis

غير فعال كردن سرويسهاي اضافي مطابق دستور العمل مربوطه

غير فعال كردن كنترلرهاي بلااستفاده در BOIS Set Up و انجام برخي از تنظيمات در OIS Set Up

مرتب كردن كابل ها از نظر ظاهر

تحويل :

Restart ، تست كاربر و نرم افزارهاي مربوطه ( تهيه چك ليست تحويل )

تنظيمات شكافهاي امنيتي

در ويندوز

1- امنيت فيزيكي :

واضح است كه جلوگيري از دسترسي فيزيكي افراد غير مجاز به كامپيوتر ضروري است و ناديده گرفتن اين امر واضح ، صحيح نيست . واقعيت اين است كه بيشترين نفوذها به سيستمهاي كامپيوتري از درون سازمانها ، ادارات يا شركتها اتفاق مي افتد . قفل كردن در اتاقي كه كامپيوتر در آن قرار دارد ، استفاده از قفلهاي ويژه براي case ، قرار ندادن كليد قفل در كنار كامپيوتر و ... از جمله مواردي است كه رعايت آنها اولين سطح امنيت را فراهم مي كند .

2- استفاده از قابليت NTFS :

همه درايوهاي سيستم خود را بصورت NTFS در آوريد . سيستم فايل NTFS سريعتر از FAT32 بوده ، امكان مجوزگذاري براي فايلها و پوشه ها را فراهم مي كند . همچنين مي توانيد با امكان EFS اطلاعات خود را به رمز درآوريد . براي تبديل FAT32 به NTFS مي توانيد از دستور convert.exe و يا نرم افزار Partition Magic استفاده نماييد . ( براي استفاده از دستور convert در command prompt بنويسيد convert driveletter: / fs:ntfs

3- غير فعال كردن simple File Sharing :

بطور پيش فرض Windows XP كاربراني را كه مي خواهند از طريق شبكه به كامپيوتر متصل شوند ، مجبور مي كند تا از طريق كاربر Guest وارد شوند . يعني اگر بدون استفاده از اين فايروال امن به اينترنت متصل شويد ، تقريباً هر كسي مي تواند به فايلهاي Share روي كامپيوتر شما دسترسي داشته باشد . براي غير فعال كردن simple File Sharing مراحل زير را دنبال كنيد :

به start > My Computer > Tools > Folder Option مرجعه كنيد .

دكمه View را انتخاب نماييد .

در بخش Advance Setting علامت Use simple File Sharing را برداريد و روي Apply كليك كنيد .

4- براي هم كاربران password بگذاريد .

يك نكته قابل توجه اينكه كاربر Administrator در بخش Control Panel > UserAccount نمايش داده نمي شود و اگر هنگام نصب براي آن password تعيين نكرده باشيم ، هر كسي به راحتي از راه دور يا نزديك مي تواند با مجوز Administrator به دستگاه ها دسترسي داشته باشد . جهت گذاشتن password مي توان از طريق زير عمل كرد :

Control Panel > Administractive ToolS > Computer Mnangment > System Tools > Local Users and Groups > Users

5- استقاده با احتياط از گروه Administrator :

بجز موارد ضروري براي كاربري كه مي خواهد با كامپيوتر شما كار كند اكانتي كه در گروه Administrator باشد درست نكنيد . براي كارهاي معمول با دستگاه خود نيز يك اكانت عادي استفاده كنيد .

6- غير فعال كردن اكانت Guest :

اكانت Guest همواره يك روزنه محبوب به كامپيوتر شما براي نفوذگران به شمار مي آيد . حتي الامكان آنرا غيرفعال كنيد و يا در صورت نياز به وجود آن ، يك password مشكل براي آن انتخاب كنيد .

7- استفاده از فايروال در صورت ارتباط با شبكه :

اگر از شبكه استفاده مي كنيد و خصوصاً اگر اتصال داوم به اينترنت داريد ، حتماً از يك فايروال شخصي استفاده كنيد . به همراه Windows XP يك فايروال بنام ICF وجود دارد ، ولي بطور پيش فرض غير فعال است . براي فعال سازي فايروال ICF مراحل زير را طي كنيد :

به Control Panel > Network Connections مراجعه كنيد .

بر روي Local Area Connention كليك راست كنيد .

در بخش Advanced گزينه

Protect my computer and network by limiting or preventing access to this computer from the internet را انتخاب كنيد .

ICF تنها ترافيك ورودي را ***** كرده و به ترافيك خروجي كاري ندارد . بنابراين نصب فايروالهاي شخصي ديگر پيشنهاد ميشود . فايروالهاي شخصي معروف عبارتند از : ZoneAlarm ، Outpost ، BlackIce ، McAfee و ... البته نمي توان ادعا كرد يك فايروال بهترين است و هيچ ايرادي ندارد . كما اينكه در مورد فايروالهاي فوق نيز گزارشات ضد و نقيضي مبتني بر وجود حفره هاي امنيتي مي رسد . به عنوان مثال در يك گزارش ادعا شده است كه ZoneAlarm براي شركت مايكروسافت جاسوسي مي كند !

8- به روز نگهداري Windows با hotfix ها و service pack ها :

يك روش متداول نفوذگران ، استفاده از آخرين شكافهاي امنيتي گزارش شده است . 99 درصد نفوذها بخاطر سوء استفاده از شكافهاي امنيتي شناخته شده و به روز نگه نداشتن سيستمهاي قرباني و نصب نكردن patch هاي امنيتي است . از امكان windows update و يا Automatic Update براي به روز نگهداري Windows خود استفاده نماييد . براي فعال سازي Automatic Update وارد بخش Control Panel ويندوز خود شويد و در مسير Performance and Maintenance تنظيمات مورد نظر خود را در بخش Automatic Update انجام دهيد .

9- نصب برنامه هاي ضد ويروس :

از ابتدايي ترين گامها در ايمن سازي سيستم ، نصب برنامه هاي ضد ويروس است . البته در صورتي كه آنرا به روز نكنيد ، تقريباً فايده اي براي شما نخواهد داشت . از جمله ضد ويروسهاي معروف Norton و McAfee هستند . نسخه 2002 نرم افزار McAfee و 2003 Norton را مي توان بمدت يكسال بدون نياز به خريد به روز نمود .

10- استفاده از password براي screen saver :

استفاده از password براي screen saver باعث مي شود اگر براي مدتي از ميز كار خود دور شديد ، فرد غيرمجاز ديگري نتواند از كامپيوتر شما سوء استفاده نمايد . براي پسورد گذاري روي screen saver بايد :

بر روي desktop كليك راست كنيد .

گزينه Properties را انتخاب نموده ، بخش screen saver را انتخاب كنيد .

با تنظيم زمان لازم براي فعال شدن screen saver گزينه On resume , display Wellcome screen را انتخاب نماييد .

11- ايمني اطلاعات Backup كامپيوتر :

در برخي مؤسسات و شركتها هزينه زيادي براي بسترسازي امنيت شبكه هاي كامپيوتري خود و رمزكردن داده هاي روي كامپيوترها انجام مي دهند ، ولي با كمال تعجب Backup همان داده هاي رمز شده بر روي CD ها و Tapeهايي كه نه رمز شده اند و نه قفلي دارند و حتي در برخي موارد در مكان امني هم نيستند قرار دارد !

انواع

ديواره هاي

آتش

انواع ديواره هاي آتش :

ديواره آتش به دو شكل سخت افزاري ( خارجي ) و نرم افزاري ( داخلي ) ارائه مي شود :

1- ديواره اتش هاي سخت افزاري :

اين نوع از ديواره آتش ها كه به آنان ديواره آتش هاي شبكه نيز گفته مي شود بين كامپيوترها و كابل و يا خط ADSL قرار خواهند گرفت . تعداد زيادي از توليدكنندگان و برخي از مراكز ISP ، دستگاه هايي با نام Router را ارائه مي دهند كه داراي يك ديواره آتش نيز مي باشند .

ديواره آتش هاي سخت افزاري در مواردي نظير حفاظت چندين كامپيوتر مفيد بوده و يك سطح مناسب حفاظتي را ارائه مي نمايند .

ديواره آتش هاي سخت افزاري ، دستگاه هاي سخت افزاري مجزايي مي باشند كه داراي سيستم عامل اختصاصي خود مي باشد . بنابراين بكارگيري آنان باعث ايجاد يك لايه دفاعي اضافه در مقابل تهاجمات مي گردد .

2- ديواره آتش نرم افزاري :

برخي از سيستم عامل ها داراي يك ديواره آتش تعبيه شده دورن خود مي باشند . بنابراين مي توان ديواره آتش موجود در سيستم عامل را فعال نموده تا يك سطح حفاظتي در خصوص ايمن سازي كامپيوتر و اطلاعات ( به صورت نرم افزاري ) ايجاد گردد .