Obsah Pod?kování 27 Úvod 29 ást 1: Pochopení automatizace Windows Základy automatizace Windows Automatizace a bezpe:nost 43

Obsah Pod?kování Úvod ást 1: Pochopení automatizace Windows

27 29

Kapitola 1

Základy automatizace Windows 1.1 Automatizace správy Windows 1.2 VBScript a nástroj Windows Script Host WScript CScript Modul WSH a bezpe:nost Skripty WSF Prohlížení, úpravy a testování skriptS 1.3 Nástroje pdíkazového dádku 1.4 Shrnutí

37 38 39 39 40 40 40 41 41 42

Kapitola 2

Automatizace a bezpe:nost 2.1 Bezpe:nost modulu Windows Script Host

43 44

6

Obsah

eho se vyvarovat Pochopení dSv?ry Digitální podpisování skriptu Konfigurace zásady dSv?ryhodnosti Windows Script Host Zásada dSv?ryhodnosti WSH v praxi

2.2 Vzdálené používání skriptS a bezpe:nost Základní skripty Skripty WMI Brány firewall 2.3 Shrnutí

44 45 46 47 49

49 50 50 51 52

Kapitola 3

Práce s jazykem VBScript 3.1 Formát souborS Vzorový soubor WSF Analýza vzorového souboru WSF 3.2 Spoušt?ní souborS WSF 3.3 Sou:ásti WSC 3.4 Upravování souborS VBScript 3.5 Shrnutí

53 54 54 57 61 61 62 63

Kapitola 4

Nejlepší bezpe:nostní praktiky 4.1 Princip nejmenšího možného oprávn?ní (nebo pdístupu) 4.2 Alternativní pov?dení 4.3 Bezpe:nost: Co je tdeba ud?lat 4.4 Bezpe:nost: eho se vyvarovat 4.5 Shrnutí

65 66 67 67 68 69

ást 2: Správa po:íta:e Kapitola 5

Správa klienta 5.1 Nastavení bodu obnovení systému Popis Ru:ní provedení této úlohy Pdíklad Syntaxe Pod pokli:kou ešení problémS Další informace 5.2 Obnovení bodu obnovení systému Popis Ru:ní provedení této úlohy

73 74 74 75 75 75 76 77 77 77 77 78

7

Obsah

Pdíklad Syntaxe Pod pokli:kou ešení problémS Další informace

5.3 Zapnutí nebo vypnutí nástroje Obnovení systému Popis Ru:ní provedení této úlohy Pdíklad Syntaxe Pod pokli:kou ešení problémS Další informace 5.4 Výpis bodS obnovení systému Popis Ru:ní provedení této úlohy Pdíklad Syntaxe Pod pokli:kou ešení problémS Další informace 5.5 Nastavení domény po:íta:e Popis Ru:ní provedení této úlohy Pdíklad Syntaxe Pod pokli:kou ešení problémS Další informace 5.6 Zm?na názvu po:íta:e Popis Ru:ní provedení této úlohy Pdíklad Syntaxe Pod pokli:kou ešení problémS Další informace 5.7 Výpis :asového pásma po:íta:e Popis Ru:ní provedení této úlohy Pdíklad Syntaxe Pod pokli:kou ešení problémS Další informace

78 78 79 79 80

80 80 81 81 82 82 83 83 83 83 84 84 84 85 85 86 86 86 86 87 87 87 88 88 88 88 89 89 89 89 90 90 90 90 91 91 92 92 93 93

8

Obsah

Kapitola 6

Správa serveru 6.1 Povolení stínové kopie Popis Ru:ní provedení této úlohy Pdíklad Syntaxe Pod pokli:kou ešení problémS Další informace 6.2 Soupis informací o stínové kopii Popis Ru:ní provedení této úlohy Pdíklad Syntaxe Pod pokli:kou ešení problémS Další informace

95 96 96 96 97 97 98 99 99 99 99 100 100 100 101 102 103

Kapitola 7

Tvorba soupisS a oznamování 7.1 Výpis nainstalovaných oprav Hotfix Popis Ru:ní provedení této úlohy Pdíklad Syntaxe Pod pokli:kou ešení problémS Další informace 7.2 Výpis položek protokolu událostí Popis Ru:ní provedení této úlohy Pdíklad Syntaxe Pod pokli:kou ešení problémS Další informace 7.3 Výpis nainstalovaného hardwaru Popis Ru:ní provedení této úlohy Pdíklad Syntaxe Pod pokli:kou ešení problémS

105 106 106 107 107 107 108 109 109 109 109 110 110 111 111 112 112 113 113 113 113 114 115 115

9

Obsah

Další informace 7.4 Výpis nastavení programu Internet Explorer Popis Ru:ní provedení této úlohy Pdíklad Syntaxe Pod pokli:kou ešení problémS Další informace 7.5 Výpis konfigurace síPového adaptéru Popis Ru:ní provedení této úlohy Pdíklad Syntaxe Pod pokli:kou ešení problémS Další informace 7.6 Výpis nainstalovaných aktualizací Service Pack Popis Ru:ní provedení této úlohy Pdíklad Syntaxe Pod pokli:kou ešení problémS Další informace 7.7 Výpis naplánovaných úloh Popis Ru:ní provedení této úlohy Pdíklad Syntaxe Pod pokli:kou ešení problémS Další informace 7.8 Výpis nainstalovaného softwaru Popis Ru:ní provedení této úlohy Pdíklad Syntaxe Pod pokli:kou ešení problémS Další informace

116 116 116 116 116 117 118 118 119 119 119 119 119 120 121 121 122 122 122 122 123 123 124 124 125 125 125 125 126 126 127 127 128 128 128 128 129 129 130 130 131

10

Obsah

Kapitola 8

Správa registru 8.1 Vytvodení klí:e nebo hodnoty registru Popis Ru:ní provedení této úlohy Pdíklad Syntaxe Pod pokli:kou ešení problémS Další informace 8.2 Výpis oprávn?ní k registru Popis Ru:ní provedení této úlohy Pdíklad Syntaxe Pod pokli:kou ešení problémS Další informace 8.3 Výpis hodnot registru Popis Ru:ní provedení této úlohy Pdíklad Syntaxe Pod pokli:kou ešení problémS Další informace

133 134 134 135 135 136 136 137 137

137 137 138 138 139 139 140 140

140 141 141 141 142 143 143 143

Kapitola 9

Jiné úlohy pro správu po:íta:S 9.1 Zm?na hesel k místním ú:tSm Popis Ru:ní provedení této úlohy Pdíklad Syntaxe Pod pokli:kou ešení problémS Další informace 9.2 Vyprázdn?ní tiskových front Popis Ru:ní provedení této úlohy Pdíklad Syntaxe Pod pokli:kou ešení problémS

145 146 146 147 147 148 148 149 149 149 150 150 150 151 151 152

11

Obsah

Další informace 9.3 Tisk zkušebních stránek Popis Ru:ní provedení této úlohy Pdíklad Syntaxe Pod pokli:kou ešení problémS Další informace 9.4 Výpis spušt?ných procesS Popis Ru:ní provedení této úlohy Pdíklad Syntaxe Pod pokli:kou ešení problémS Další informace 9.5 Spušt?ní procesu Popis Ru:ní provedení této úlohy Pdíklad Syntaxe Pod pokli:kou ešení problémS Další informace 9.6 Ukon:ení procesu Popis Ru:ní provedení této úlohy Pdíklad Syntaxe Pod pokli:kou ešení problémS Další informace 9.7 Výpis stránkovacích souborS Popis Ru:ní provedení této úlohy Pdíklad Syntaxe Pod pokli:kou ešení problémS Další informace 9.8 Zm?na nastavení stránkovacího souboru Popis Ru:ní provedení této úlohy

152

152 153 153 153 154 155 155 156

156 156 156 157 157 158 158 159

159 159 160 160 160 161 162 162

162 162 163 163 163 164 165 165 165 166 166 166 167 167 168 168 168 169 169

12

Obsah

Pdíklad Syntaxe Pod pokli:kou ešení problémS Další informace

9.9 Vypnutí nebo restartování po:íta:S Popis Ru:ní provedení této úlohy Pdíklad Syntaxe Pod pokli:kou ešení problémS Další informace 9.10 Úprava souborS Boot.ini Popis Ru:ní provedení této úlohy Pdíklad Syntaxe Pod pokli:kou ešení problémS Další informace

169 170 170 171 172

172 172 172 172 173 174 174 175 175 175 175 176 176 177 177 178

ást 3: Správa diskS a souborS Kapitola 10

Správa souborS, diskS a svazkS 10.1 Pdevzetí vlastnictví souborS Popis Ru:ní provedení této úlohy Pdíklad Syntaxe Pod pokli:kou ešení problémS Další informace 10.2 Komprimace nebo dekomprimace souborS a složek Popis Ru:ní provedení této úlohy Pdíklad Syntaxe Pod pokli:kou ešení problémS Další informace 10.3 Výpis volného místa na disku Popis Ru:ní provedení této úlohy

181 182 182 182 183 184 184 185 185

185 186 186 186 187 187 188 188 189 189 189

13

Obsah

Pdíklad Syntaxe Pod pokli:kou ešení problémS Další informace

10.4 Soupis diskS Popis Ru:ní provedení této úlohy Pdíklad Syntaxe Pod pokli:kou ešení problémS Další informace 10.5 Soupis logických jednotek Popis Ru:ní provedení této úlohy Pdíklad Syntaxe Pod pokli:kou ešení problémS Další informace 10.6 Defragmentace diskS Popis Ru:ní provedení této úlohy Pdíklad Syntaxe Pod pokli:kou ešení problémS Další informace 10.7 Plánování defragmentace disku Popis Ru:ní provedení této úlohy Pdíklad Syntaxe Pod pokli:kou ešení problémS Další informace

189 190 190 191 191

191 191 192 192 192 193 194 194

194 194 195 195 195 196 196 197 197 197 197 197 198 199 199 200 200 200 200 200 201 202 202 203

Kapitola 11

Správa souborového serveru 11.1 Výpis využití disku Popis Ru:ní provedení této úlohy Pdíklad

205 206 206 207 207

14

Obsah

Syntaxe Pod pokli:kou ešení problémS Další informace

11.2 Výpis uživatelS otevdených souborS Popis Ru:ní provedení této úlohy Pdíklad Syntaxe Pod pokli:kou ešení problémS Další informace 11.3 Výpis diskových kvót Popis Ru:ní provedení této úlohy Pdíklad Syntaxe Pod pokli:kou ešení problémS Další informace 11.4 Povolení nebo zakázání diskových kvót Popis Ru:ní provedení této úlohy Pdíklad Syntaxe Pod pokli:kou ešení problémS Další informace 11.5 Vytvádení sdílených složek Popis Ru:ní provedení této úlohy Pdíklad Syntaxe Pod pokli:kou ešení problémS Další informace 11.6 Kopírování oprávn?ní ke sdíleným složkám Popis Ru:ní provedení této úlohy Pdíklad Syntaxe Pod pokli:kou ešení problémS Další informace

207 208 209 209

209 209 210 210 210 210 211 211 211 212 212 212 213 213 214 214 214 215 215 215 216 216 217 217 218 218 218 218 219 220 220 220 221 221 221 221 221 222 222 222

15

Obsah

11.7 Správa oprávn?ní ke sdíleným složkám a odebírání sdílených složek Popis Ru:ní provedení této úlohy Pdíklad Syntaxe Pod pokli:kou ešení problémS Další informace 11.8 Zm?na oprávn?ní k souborSm a složkám Popis Ru:ní provedení této úlohy Pdíklad Syntaxe Pod pokli:kou ešení problémS Další informace

222 223 223 223 224 224 225 225 225 225 225 226 226 227 227 227

ást 4: Správa zabezpe:ení a sítí Kapitola 12

Obecné úlohy pro správu sít? a serveru 12.1 Výpis držitelS rolí FSMO Popis Ru:ní provedení této úlohy Pdíklad Syntaxe Pod pokli:kou ešení problémS Další informace 12.2 Vytvádení oboru DHCP Popis Ru:ní provedení této úlohy Pdíklad Syntaxe Pod pokli:kou ešení problémS Další informace 12.3 Úprava voleb DHCP Popis Ru:ní provedení této úlohy Pdíklad Syntaxe Pod pokli:kou ešení problémS Další informace

231 232 232 232 233 233 233 234 234

234 235 235 235 236 236 237 237 237 238 238 238 239 239 239 240

16

Obsah

12.4 Vytvádení záznamS hostitele DNS Popis Ru:ní provedení této úlohy Pdíklad Syntaxe Pod pokli:kou ešení problémS Další informace 12.5 Vytvádení tiskových front Popis Ru:ní provedení této úlohy Pdíklad Syntaxe Pod pokli:kou ešení problémS Další informace

240 240 241 241 241 242 242 243 243 243 244 244 244 245 246 246

Kapitola 13

Úlohy správy zabezpe:ení 13.1 Archivace a mazání protokolS zabezpe:ení Popis Ru:ní provedení této služby Pdíklad Syntaxe Pod pokli:kou OdstraGování potíží Další informace 13.2 Zálohování klí:S Popis Ru:ní provedení této služby Pdíklad Syntaxe Pod pokli:kou OdstraGování potíží Další informace 13.3 Obnova klí:S Popis Ru:ní provedení této služby Pdíklad Syntaxe Pod pokli:kou OdstraGování potíží Další informace

247 248 249 249 249 250 250 251 252 252 252 252 252 253 253 253 254 254 254 254 255 255 255 256 256

17

Obsah

13.4 Zálohování certifika:ního údadu nebo databáze certifika:ního údadu Popis Ru:ní provedení této služby Pdíklad Syntaxe Pod pokli:kou OdstraGování potíží Další informace 13.5 Obnova certifika:ního údadu nebo databáze certifika:ního údadu Popis Ru:ní provedení této služby Pdíklad Syntaxe Pod pokli:kou OdstraGování potíží Další informace 13.6 Publikování seznamu odvolaných certifikátS Popis Ru:ní provedení této služby Pdíklad Syntaxe Pod pokli:kou OdstraGování potíží Další informace 13.7 Požadavek na obnovu certifikátu certifika:ního údadu Popis Ru:ní provedení této služby Pdíklad Syntaxe Pod pokli:kou OdstraGování potíží Další informace

256 256 257 257 257 258 258 258 259 259 259 259 260 260 260 261 261 261 261 261 262 262 262 263 263 263 263 264 264 264 265 265

Kapitola 14

Úlohy správy služeb 14.1 Zm?na pdihlašovacího ú:tu služby Popis Ru:ní provedení této služby Pdíklad Syntaxe Pod pokli:kou ešení problémS Další informace

267 268 268 269 269 270 270 271 271

18

Obsah

14.2 Zm?na pdihlašovacího hesla služby Popis Ru:ní provedení této služby Pdíklad Syntaxe Pod pokli:kou ešení problémS Další informace 14.3 Zm?na typu spoušt?ní služby Popis Ru:ní provedení této služby Pdíklad Syntaxe Pod pokli:kou ešení problémS Další informace 14.4 Seznam po:íta:S používajících danou službu Popis Ru:ní provedení této služby Pdíklad Syntaxe Pod pokli:kou ešení problémS Další informace 14.5 Seznam služeb používajících daný ú:et Popis Ru:ní provedení této služby Pdíklad Syntaxe Pod pokli:kou ešení problémS Další informace 14.6 Odstran?ní služeb Popis Ru:ní provedení této služby Pdíklad Syntaxe Pod pokli:kou ešení problémS Další informace 14.7 Zastavování a zákaz služeb Popis Ru:ní provedení této služby Pdíklad

271 271 272 272 273 273 274 274

274 275 275 275 276 276 277 277 277 278 278 278 279 279 280 280 280 281 281 281 282 282 283 283 283 284 284 284 284 285 286 286 286 287 287 287

19

Obsah

Syntaxe Pod pokli:kou ešení problémS Další informace

288 288 289 289

Kapitola 15

Úlohy správy uživatelských ú:tS 15.1 Pdidávání uživatelS z databáze Popis Ru:ní provedení této služby Pdíklad Syntaxe Pod pokli:kou ešení problémS Další informace 15.2 Pdidávání kontaktS z databáze Popis Ru:ní provedení této služby Pdíklad Syntaxe Pod pokli:kou ešení problémS Další informace 15.3 Zm?na atributu u více uživatelS Popis Ru:ní provedení této služby Pdíklad Syntaxe Pod pokli:kou ešení problémS Další informace 15.4 Zákaz starých uživatelských ú:tS Popis Ru:ní provedení této služby Pdíklad Syntaxe Pod pokli:kou ešení problémS Další informace 15.5 Odstran?ní publikovaných uživatelských certifikátS Popis Ru:ní provedení této služby Pdíklad Syntaxe

291 292 292 293 293 294 294 296 296 296 297 297 297 298 298 300 300 300 301 301 301 302 302 303 303 303 303 304 304 304 305 305 306 306 306 306 306 307

20

Obsah

Pod pokli:kou ešení problémS Další informace

15.6 Ukon:ení platnosti hesel Popis Ru:ní provedení této služby Pdíklad Syntaxe Pod pokli:kou ešení problémS Další informace 15.7 Ukon:ení platnosti uživatelských ú:tS Popis Ru:ní provedení této služby Pdíklad Syntaxe Pod pokli:kou ešení problémS Další informace 15.8 Seznam ú:tS se starými hesly Popis Ru:ní provedení této služby Pdíklad Syntaxe Pod pokli:kou ešení problémS Další informace 15.9 Odem:ení uzam:ených uživatelských ú:tS Popis Ru:ní provedení této služby Pdíklad Syntaxe Pod pokli:kou ešení problémS Další informace

307 307 307

307 308 308 308 308 309 309 310 310 310 310 310 311 311 312 312 312 312 312 313 313 313 313 314 314 314 314 314 315 315 315 315

Kapitola 16

Úlohy pdihlašovacích skriptS 16.1 Kontrola :lenství ve skupin? Popis Pdíklad Syntaxe Pod pokli:kou ešení problémS

317 318 318 318 319 319 319

21

Obsah

16.2 Zápis záznamu do protokolu událostí Popis Pdíklad Syntaxe Pod pokli:kou ešení problémS 16.3 Pozastavení skriptu Popis Pdíklad Syntaxe ešení problémS 16.4 Zobrazení zprávy Popis Pdíklad Syntaxe Pod pokli:kou ešení problémS 16.5 Vyhledání informací o uživateli Popis Pdíklad Syntaxe Pod pokli:kou ešení problémS 16.6 Mapování disku Popis Pdíklad Syntaxe Pod pokli:kou ešení problémS 16.7 Mapování tiskárny Popis Pdíklad Syntaxe Pod pokli:kou ešení problémS 16.8 Nastavení výchozí tiskárny Popis Pdíklad Syntaxe Pod pokli:kou ešení problémS

320 320 320 320 320 321 321 321 321 321 322 322 322 322 323 323 323 324 324 324 324 324 325 325 325 325 325 325 326 326 326 326 326 327 327 327 327 327 327 328 328

22

Obsah

ást 5: IIS 6.0 Kapitola 17

Úlohy správy webových serverS IIS 17.1 Vytvádení webových serverS Popis Pdíklad Syntaxe Pod pokli:kou ešení problémS 17.2 Vytvádení virtuálních adresádS FTP Popis Pdíklad Syntaxe Pod pokli:kou ešení problémS 17.3 Zm?na nastavení webového serveru Popis Pdíklad Syntaxe Pod pokli:kou ešení problémS 17.4 Replikace obsahu webového serveru Popis Pdíklad Syntaxe Pod pokli:kou ešení problémS 17.5 Kopírování nastavení webového serveru Popis Pdíklad Syntaxe Pod pokli:kou ešení problémS 17.6 Virtuální adresáde s oprávn?ními pro spoušt?ní skriptS a programS Popis Pdíklad Syntaxe Pod pokli:kou ešení problémS

331 332 332 332 332 333 333

333 333 334 334 334 335

335 335 335 336 336 338 338 338 338 339 339 340 340 340 340 340 341 341 341 341 341 342 342 343

Kapitola 18

Úlohy správy serverS FTP a SMTP 18.1 Vytvádení serverS FTP

345 346

23

Obsah

Popis Pdíklad Syntaxe Pod pokli:kou ešení problémS

18.2 Vytvádení virtuálních adresádS FTP Popis Pdíklad Syntaxe Pod pokli:kou ešení problémS 18.3 Zm?na doménového nastavení SMTP Popis Pdíklad Syntaxe Pod pokli:kou ešení problémS

346 346 346 347 347

347 348 348 348 348 349 349 349 349 350 351 352

Kapitola 19

Obecné úlohy správy serveru IIS 19.1 Spušt?ní pdíkazS správy IIS na více serverech Popis Pdíklad Syntaxe Pod pokli:kou ešení problémS 19.2 Zálohování metabáze serveru IIS Popis Pdíklad Syntaxe Pod pokli:kou ešení problémS 19.3 Pozastavení skriptu Popis Pdíklad Syntaxe Pod pokli:kou ešení problémS 19.4 Dávkové vytvodení poštovních schránek služby POP3 Popis Pdíklad Syntaxe Pod pokli:kou ešení problémS

353 354 354 355 355 355 356 356 356 356 357 357 357 357 358 358 358 358 358 358 359 359 359 359 360

24

Obsah

ást 6: Pokro:ilé skriptovací nástroje Kapitola 20

Uživatelské rozhraní a databáze 20.1 Zobrazení zpráv ve formátu HTML Popis Pdíklad Syntaxe Pod pokli:kou ešení problémS 20.2 Pdipojení k databázi Popis Pdíklad Syntaxe Pod pokli:kou ešení problémS 20.3 Dotaz na databázi Popis Pdíklad Syntaxe Pod pokli:kou ešení problémS 20.4 Zm?na informací v databázi Popis Pdíklad Syntaxe Pod pokli:kou ešení problémS 20.5 Vkládání informací do databáze Popis Pdíklad Syntaxe Pod pokli:kou ešení problémS

363 364 364 364 365 365 365 366 366 366 366 367 367 368 368 368 370 370 370 371 371 371 371 371 372 372 372 372 373 373 373

Kapitola 21

Obálka skriptu 21.1 Pdehled 21.2 Funkce Dotazy rozhraní WMI Dotazy rozhraní ADSI Zápis do souboru s protokolem Záznam nezdadených pokusS o pdipojení do protokolu Podrobný výpis

375 376 384 384 385 385 386 386

25

Obsah

Pdíloha A

Odkazy na materiály na webu

387

Pdíloha B

ešení obvyklých problémS Rejstdík

389 393

Obsah Pdedmluva

Úvod O knize Konvence použité v této knize Pdiložené CD Zásady podpory Systémové požadavky

19

21 21 23 23 24

24

ást 1: Za:ínáme se zásadami skupiny Kapitola 1

Úvod do zásad skupiny 1.1 Základy zásad skupiny Co to d?lá Jak to funguje 1.2 Použití a implementace zásad skupiny Použití zásad skupiny v doménách a pracovních skupinách Práce s objekty zásad skupiny 1.3 Za:ínáme se zásadami skupiny Nastavení a možnosti skupinových zásad

27 28 28 29 30 30 30 31 32

6

Obsah

Využití zásad skupiny pdi správ? 1.4 Struktura zásad skupiny Systém DNS a služba Active Directory Struktura služby Active Directory a d?di:nost 1.5 Pohled na vazby objektS GPO a výchozí objekty GPO Úvod do vazeb objektS GPO Práce s propojenými objekty GPO a výchozí zásadou 1.6 Shrnutí

32 34 34 35 36 36 37 42

Kapitola 2

Práce se zásadami skupiny 2.1 Objekty a nastavení zásad skupiny Práce s objekty GPO a pdipojování se k nim Aplikace zásad skupiny a použití množiny RSoP Pdedstavení množiny RSoP 2.2 Správa objektS zásad skupiny Správa místních zásad skupiny Správa zásad skupiny služby Active Directory 2.3 Vytvádení a propojování objektS GPO Vytvádení a propojování objektS GPO v rámci sít? Vytvádení a propojování objektS GPO v rámci domény Vytvádení a propojování objektS GPO organiza:ních jednotek 2.4 Delegování pravomocí pro správu zásad skupiny Ur:ování a pdidazování práv pro vytvádení objektS GPO Ur:ování práv pro správu zásad skupiny Delegování dízení pro práci s objekty GPO Delegování autorit pro správu propojení a množiny RsoP 2.5 OdstraGování propojení a mazání objektS GPO Odstran?ní propojení s objektem GPO Permanentní odstran?ní objektu GPO 2.6 Shrnutí

43 44 45 45 48 50 51 53 59 60 62 63 65 66 67 69 70 71 71 71 71

Kapitola 3

Pokro:ilá správa zásad skupiny 3.1 Prohledávání a filtrování zásad skupiny Filtrování nastavení zásady Hledání objektS, spojení a nastavení zásad Filtrování podle bezpe:nostní skupiny, uživatele :i po:íta:e 3.2 Správa d?di:nosti zásad skupiny Zm?na priority a podadí spojení Pdetížení d?di:nosti Blokování d?di:nosti Vynucování d?di:nosti 3.3 Správa zpracování a aktualizace zásad skupiny

73 74 74 77 79 81 82 83 84 85 88

7

Obsah

Zm?na aktualiza:ního intervalu Povolování a blokování zpracování objektS GPO Zm?na parametrS pro zpracování zásady Konfigurujeme detekci pomalého pdipojení Manuální aktualizace zásad skupiny

3.4 Modelování a údržba zásad skupiny Modelování zásad skupiny pro ú:ely plánování Kopírování a import objektS zásad Zálohování objektS GPO Obnova objektS zásad 3.5 ZjišPování nastavení zásad a doby poslední aktualizace 3.6 Shrnutí

89 91 92 93 98

99 99 103 106 108 110 112

ást 2: Implementace a scénáde zásad skupiny Kapitola 4

Implementace zásady skupiny 4.1 Problematika návrhu zásady skupiny Problematika návrhu služby Active Directory Problematika fyzického návrhu Problematika návrhu pdipojení pro vzdálený pdístup Problematika návrhu použití objektS GPO Další hlediska návrhu objektS GPO 4.2 ízení výkonnosti zpracování objektS GPO B?žné pdí:iny výkonnostních problémS Jak vylepšit výkon 4.3 Doporu:ení pro nasazování objektS GPO Volba úrovn? pro pdipojení objektS GPO Zdroje používané organiza:ními jednotkami Instalace softwaru Návrh objektS GPO podle kategorií objektS GPO Omezte vynucování a blokování zásad Použití bezpe:nostních filtrS Použití filtrS rozhraní WMI Hlediska síPové topologie Potla:ení správcovských oprávn?ní Názvy objektS GPO 4.4 Testování objektS GPO pded jejich nasazením Migrace objektS GPO z testovacího do produk:ního prostdedí Migrace objektS GPO mezi produk:ními prostdedími Použití pdevodních tabulek 4.5 Shrnutí

115 116 116 120 121 122 128

129 130 131 135 135 137 138 138 139 139 140 140 141 142 142 143 143 143 146

8

Obsah

Kapitola 5

ZpdísGování režimu klientS a serverS 5.1 Základy bezpe:nostních šablon Výchozí bezpe:nostní šablony ásti bezpe:nostní šablony Nástroje pro tvorbu, úpravy a pdístup k bezpe:nostním šablonám Práce s prSvodcem Security Configuration Wizard 5.2 Zavád?ní bezpe:nostních šablon Import Šablon zabezpe:ení do objektS GPO Použití nástroje Konfigurace a analýza zabezpe:ení Použití nástroje pdíkazového dádku Secedit.exe Použití prSvodce Security Configuration Wizard a pdíkazu scwcmd 5.3 Obecné techniky zpdísGování režimu Uzavdení nepotdebných portS Zakázání nepotdebných služeb Nástroje pro zpdísGování režimu po:íta:S 5.4 ZpdísGování režimu na serveru lenské servery Doménové dadi:e Souborové a tiskové servery Webové servery 5.5 ZpdísGování režimu na klientu Porty potdebné pro klienty Klientské skupiny s omezením Klientské po:íta:e pro správce a zam?stnance odd?lení IT Klientské po:íta:e pracovníkS odborné pomoci 5.6 ešení problémS Oblasti zabezpe:ení a potenciální problémy Nástroje 5.7 Shrnutí

147 148 149 153 162 163 171 171 172 172 172 174 174 175 176 177 177 196 199 200 201 215 215 216 218 220 220 223 224

Kapitola 6

Správa a údržba základních komponent systému Windows 6.1 Konfigurace nastavení kompatibility aplikací Optimalizace kompatibility aplikací prostdednictvím zásad skupiny Konfigurace dodate:ných nastavení kompatibility aplikací 6.2 Konfigurace nastavení správce pdíloh Práce se správcem pdíloh Konfigurace úrovní nebezpe:í a vztahS dSv?ry v zásadách skupiny 6.3 Konfigurace požadavkS na informace prohlíže:e událostí Použití požadavkS na informace prohlíže:e událostí PdizpSsobení podrobností pro události prostdednictvím zásad skupiny

225 226 227 228 229 229 230 233 233 234

9

Obsah

6.4 ízení instalace serveru IIS 234 6.5 Konfigurace pdístupu do konzoly MMC a její použití 235 Blokování autorského režimu konzoly MMC 236 Ur:ování zakázaných a povolených modulS snap-in 236 Vyžadování explicitních oprávn?ní pro všechny moduly snap-in 237 6.6 Optimalizace zabezpe:ení a funkcí programu NetMeeting 238 Konfigurace programu NetMeeting prostdednictvím zásad skupiny 238 6.7 Použití centra zabezpe:ení v doménách 239 6.8 Správa pdístupu k naplánovaným úlohám a do plánova:e úloh 240 6.9 Správa možností souborového systému, disku a prSzkumníka Windows 241 Skrývání jednotek a souvisejících náhledS PrSzkumníka Windows 241 Blokování pdístupu k jednotkám a souvisejícím náhledSm PrSzkumníka Windows 242 Odstran?ní funkcí pro pálení diskS CD a DVD z PrSzkumníka Windows a ze souvisejících náhledS 243 Odstran?ní karty Zabezpe:ení z PrSzkumníka Windows a souvisejících náhledS 244 Omezení maximální povolené velikosti obsahu koše 245 6.10 Optimalizace konfigurace instala:ní služby systému Windows 246 ízení bodS obnovy nástroje Obnovení systému pro instalace software 246 Konfigurace použití souborové mezipam?ti 247 ízení tvorby souboru pro návrat do pdedchozího stavu 248 Zvýšení uživatelských oprávn?ní pro instalaci 249 ízení uživatelské instalace a fungování programS 249 Zablokování instalace z disket, diskS CD, diskS DVD a dalších pdenosných médií 251 Konfigurace protokolování instala:ní služby systému Windows 251 6.11 Optimalizace automatických aktualizací pomocí Windows Update 253 Zapnutí a konfigurace automatických aktualizací 253 ízení automatického stahování a upozorn?ní na instalaci 256 Blokování pdístupu k automatickým aktualizacím 259 Ur:ení aktualiza:ního serveru 259 6.12 Shrnutí 261

Kapitola 7

Správa uživatelských nastavení a dat 7.1 Základy uživatelských profilS a zásad skupiny 7.2 Konfigurace cestovních profilS Konfigurace síPové sdílené složky pro cestovní profily Konfigurace uživatelských ú:tS pro cestovní profily 7.3 Optimalizace konfigurací uživatelských profilS Zm?na zpSsobu použití místních a cestovních profilS Zm?ny ve zpSsobu aktualizace a upravování dat profilu Zm?ny v pdístupu k datSm uživatelského profilu Omezení velikosti profilu a obsažených složek 7.4 Pdesm?rování složek a dat uživatelských profilS Princip fungování pdesm?rování složek

263 264 268 268 269 270 271 276 277 279 281 282

10

Obsah

Konfigurace pdesm?rování složek 7.5 Správa uživatelských a po:íta:ových skriptS Práce s po:íta:ovými a uživatelskými skripty Konfigurace skriptS vykonávaných pdi spušt?ní a vypnutí po:íta:e Konfigurace pdihlašovacích skriptS a skriptS vykonávaných pdi odhlašování ízení viditelnosti skriptu ízení :asového limitu skriptu ízení b?hu skriptu a zpSsobu jeho provád?ní 7.6 Shrnutí

284 290 291 292 293 295 295 296 296

Kapitola 8

Správa konfigurací aplikace Internet Explorer 8.1 PdizpSsobení rozhraní aplikace Internet Explorer PdizpSsobení textu záhlaví PdizpSsobení loga PdizpSsobení tla:ítek a panelS nástrojS 8.2 PdizpSsobení adres URL, Oblíbených a OdkazS PdizpSsobení odkazS na domovskou stránku, hledání a odbornou pomoc PdizpSsobení oblíbených položek a odkazS 8.3 Konfigurace globálních výchozích programS 8.4 Optimalizace pdipojení a nastavení serveru proxy Nastavení pdipojení pomocí zásad skupiny Zavád?ní nastavení serveru proxy prostdednictvím zásad skupiny 8.5 Zpdísn?ní zabezpe:ení aplikace Internet Explorer Práce se zónami zabezpe:ení a nastaveními ízení pdístupu ke konfiguraci zón zabezpe:ení Zavád?ní zón zabezpe:ení Import a zavád?ní nastavení zón zabezpe:ení 8.6 Konfigurace dodate:ných zásad možností Internetu 8.7 Shrnutí

299 300 300 301 303 305 305 307 309 311 311 313 316 316 317 319 323 323 326

Kapitola 9

Zavád?ní a správa softwaru prostdednictvím zásad skupiny Související informace

9.1 Základy instalace softwaru prostdednictvím zásad skupiny Jak probíhá instalace software Co potdebujete v?d?t pded instalací Jak nastavit zdroj instalace Jaká jsou omezení 9.2 Plánování zavád?ní softwaru Tvorba objektS GPO pro zavád?ní softwaru Konfigurace zavád?ní softwaru

327 328

328 329 330 331 331 332 333 334

11

Obsah

9.3 Zavád?ní softwaru prostdednictvím zásad skupiny 9.4 Konfigurace pokro:ilých a obecných možností instalace softwaru Prohlížení a nastavování obecných možností zavád?ní Zm?na druhu zavád?ní a instala:ních možností Definování kategorií aplikací Pdidávání, úprava a odstraGování kategorií aplikací Pdidazení aplikace do kategorie PdizpSsobení instala:ního balí:ku pomocí transforma:ních souborS ízení zavád?ní pomocí bezpe:nostní skupiny Nastavení výchozích možností zavád?ní 9.5 Zavád?ní sady Microsoft Office a aktualizací Zavád?ní sady Microsoft Office prostdednictvím zásad Zavád?ní aktualizací systému Windows prostdednictvím zásad 9.6 Správa zavedených aplikací OdstraGování zavedených aplikací Op?tovné zavád?ní aplikací Konfigurace zásad Software Restriction Policies ešení problémS se zásadami Software Installation Policy 9.7 Shrnutí

336 343 344 345 348 348 349 353 353 355 357 357 362 363 363 364 364 373 376

Kapitola 10

Správa konfigurací sady Microsoft Office 10.1 Základy správy konfigurace sady Microsoft Office 10.2 PdizpSsobování konfigurací sady Microsoft Office Stahování a instalování nástrojS Práce s prSvodcem Custom Installation Wizard Práce s prSvodcem Custom Maintenance Wizard Pdíprava prostdedí pro použití zásad Zavád?ní souborS šablon pro správu sady Microsoft Office Tvorba objektS GPO pro konfiguraci sady Microsoft Office Správa více verzí konfigurace sady Microsoft Office 10.3 Správa zásad souvisejících se sadou Microsoft Office Práce s zásadami pro správu sady Microsoft Office Nastavení jednotlivých aplikací a obecná nastavení Konfigurace nastavení zásad pro správu sady Microsoft Office Ochrana konfigurací sady Microsoft Office pded uživateli ízení výchozího umíst?ní souborS a složek Konfigurace možností zabezpe:ení aplikace Microsoft Outlook ízení jazykových nastavení sady Microsoft Office ešení problémS se zásadami šablon pro správu sady Microsoft Office 10.4 Shrnutí

377 378 379 379 381 383 385 386 388 389 391 392 392 393 394 398 400 401 401 403

12

Obsah

Kapitola 11

Správa bezpe:né síPové komunikace 11.1 Úvod do zásad protokolu IPSec Princip fungování protokolu IPSec Zavád?ní zásad protokolu IPSec Pdípady použití protokolu IPSec a zásad protokolu IPSec 11.2 Správa zásad protokolu IPSec Aktivace a deaktivace zásad protokolu IPSec Tvorba dalších zásad protokolu IPSec Sledování zásad protokolu IPSec 11.3 Zavád?ní zásad vedejných klí:S Princip fungování certifikátS vedejných klí:S Použití zásad pro správu vedejných klí:S Správa zásad vedejných klí:S 11.4 Úvod do zásad pro správu brány firewall systému Windows Princip fungování brány firewall systému Windows Použití zásad pro správu brány firewall systému Windows 11.5 Správa zásad brány firewall systému Windows Konfigurace obcházení brány firewall systému Windows Povolování a zakazování brány firewall systému Windows prostdednictvím zásad skupiny Správa výjimek brány firewall pomocí zásad skupiny Konfigurování upozorn?ní, protokolování a požadavkS na odezvu 11.6 Shrnutí

405 406 406 407 408 409 409 410 422 422 423 424 426 428 428 429 431 432 433 434 443

444

Kapitola 12

Tvorba vlastních prostdedí 12.1 Zpracování ve zp?tné smy:ce Režim nahrazení Režim slou:ení ešení problémS se zp?tnou smy:kou 12.2 Terminálová služba ízení terminálové služby na konkrétním po:íta:i prostdednictvím zásad skupiny ízení terminálové služby v domén? prostdednictvím zásad skupiny Konfigurování podadí pdednosti Konfigurování uživatelských nastavení terminálové služby Konfigurování licen:ního serveru pomocí nastavení zásad skupiny Konfigurování pdipojení terminálové služby Správa pdidazených jednotek, tiskáren a dalších zadízení ízení profilS terminálové služby 12.3 Zásady skupiny a pomalá pdipojení Výchozí použití zásad na pomalých pdipojeních Chování pro pomalá pdipojení služby RAS Nastavení zásad skupiny pro detekci pomalého pdipojení

445 447 447 448 449 450 451 452 452 452 453 454 462 465 468 468 469 470

13

Obsah

Dodate:ná nastavení detekce pomalého pdipojení pro klientská rozšídení 12.4 Shrnutí

473 475

ást 3: Úpravy zásad skupiny Kapitola 13

Struktura a zpracování zásad skupiny 13.1 Procházení logické struktury zásad skupiny Použití kontejnerS zásad skupiny Prohlížení atributS objektS tdídy groupPolicyContainer Prohlížení zabezpe:ení objektS tdídy groupPolicyContainer Prohlížení oprávn?ní pro tvorbu objektS GPO Prohlížení a nastavování výchozího zabezpe:ení nových objektS GPO 13.2 Procházení fyzické struktury zásad skupiny Práce se šablonami zásad skupiny Základy verzování zásad skupiny Zabezpe:ení šablon zásad skupiny 13.3 Procházení struktury propojení zásad skupiny Prohlížení propojení zásad skupiny Blokování d?di:nosti na pdipojeních Princip pdipojení a zabezpe:ení zásad skupiny 13.4 Princip zpracování zásad skupiny Seznámení se zpracováním klientských rozšídení Seznámení se zpracováním serverových rozšídení Události související se zpracováním zásad Asynchronní vs. synchronní zpracování zásad Sledování aplikace zásad Sledování detekce pomalého pdipojení Úpravy zpracování zásad zabezpe:ení Historie a stavová data zásad skupiny 13.5 Procházení struktury místního objektu GPO Vytvádení a použití objektu LGPO Struktura objektu LGPO Správa a údržba objektS LGPO ízení pdístupu k objektu LGPO 13.6 Shrnutí

479 480 480 482 483 485 486 489 489 492 493 494 494 497 497 497 497 499 505 507 508 510 511 512 516 516 517 517 518 519

Kapitola 14

Úpravy šablon pro správu 14.1 Co je šablona pro správu? Výchozí soubory .adm Práce se soubory .adm Standardn? instalované soubory .adm Tipy pro importování souborS .adm

521 522 523 524 524 526

14

Obsah

Pdidávání souborS .adm OdstraGování souborS .adm Správa souborS .adm Zásady a pdedvolby

14.2 Vytvádení vlastních souborS .adm 14.3 Pdíklad jednoduchého souboru .adm 14.4 Jazyk souborS .adm Struktura souboru .adm #if version Syntaxe pro aktualizaci registru Syntaxe pro aktualizaci rozhraní modulu Group Policy Object Editor (Editor objektS Zásady skupiny) Další výrazy používané v souborech .adm Omezení délek det?zcS definovaných v souboru .adm 14.5 Doporu:ené postupy 14.6 Shrnutí

526 527 528 531

532 533 534 534 536 536 540 552 555

555 557

Kapitola 15

Šablony zabezpe:ení 15.1 Struktura šablon zabezpe:ení Zásady ú:tS Místní zásady Protokol událostí Skupiny s omezeným :lenstvím Systémové služby Registr Systém souborS 15.2 Pdekrývání šablon zabezpe:ení s objekty zásad skupin 15.3 Práce se šablonami zabezpe:ení Modul snap-in Šablony zabezpe:ení INF soubory šablon zabezpe:ení 15.4 Úpravy šablon zabezpe:ení Kopírování šablon Vytvádení nových šablon zabezpe:ení 15.5 Úpravy možností zabezpe:ení Struktura souboru Sceregvl.inf Úpravy souboru Sceregvl.inf Zobrazení vlastního záznamu 15.6 Nastavování služeb v šablonách zabezpe:ení Nastavení požadovaných služeb tak, aby se zobrazily automaticky Získání syntaxe služeb používané v souborech šablon zabezpe:ení Ru:ní úpravy služeb v souboru šablony zabezpe:ení 15.7 ešení firmy Microsoft pro nastavení zabezpe:ení 15.8 Shrnutí

559 560 560 562 563 563 564 565 566 567 568 568 569 569 570 570 571 571 577 577 578 578 579 580 580 583

15

Obsah

ást 4: ešení problémS se zásadami skupin Kapitola 16

ešení problémS se zásadami skupin Další informace:

16.1 Základy dešení problémS se zásadami skupin Kontrola základní konfigurace Kontrola klí:ových komponent infrastruktury Kontrola oboru správy 16.2 Základní nástroje pro dešení problémS Práce s výslednými sadami zásad skupiny Zobrazení výsledných sad zásad v pdíkazovém dádku Kontrola stavu objektS zásad skupin na stran? serveru Centrální správa protokolS výsledných sad zásad 16.3 Protokolování zásad skupin Protokol aplikací ízení protokolování do souboru Userenv.log ízení úrovn? protokolování jednotlivých rozšídení na stran? klienta 16.4 Shrnutí

587 588

588 589 592 593

598 599 604 606 610 615 616 620 624 631

Kapitola 17

asté problémy se zásadami skupin a jejich dešení

633

17.1 ešení problémS se správou objektS zásad skupin 634 adi: domény vykonávající funkci emulátoru PDC není dostupný 635 V editoru zásad skupin nejsou zobrazena všechna nastavení 636 Restrikce oprávn?ní v Group Policy Management Console 640 17.2 Nastavení zásad skupin nejsou použita kvSli problémSm s infrastrukturou647 adi:e domény nejsou pdístupné 648 Databáze služby Active Directory je poškozena 649 Místní pdihlášení a pdihlášení pomocí Active Directory 650 Pdí:inou problémS se zpracováním objektS zásad jsou soubory ve složce SYSVOL 651 Problémy s replikací a shodou databáze Active Directory a složky SYSVOL 653 Problémy se službou DNS, jejichž následkem jsou problémy se zpracováním objektS zásad skupin 655 17.3 ešení problémS s implementací 656 Vyhledání nesprávných nastavení objektS zásad 656 Propojení objektS zásad vedoucí k problémSm s jejich použitím 660 Ú:ty nejsou umíst?ny ve správné organiza:ní jednotce 661 Snaha o použití zásad skupin pro ú:ty skupin 662 Konfliktní nastavení ve dvou objektech zásad 663 Zm?na standardního d?d?ní objektS zásad skupin 664 17.4 Shrnutí 667

16

Obsah

ást 5: Pdílohy Pdíloha A

Pdehled zásad skupiny Pdehled informací o uzlu Computer Configuration (Konfigurace po:íta:e) Pdehled informací o uzlu User Configuration (Konfigurace uživatele)

671 671 676

Pdíloha B

Nové funkce v systému Windows Server 2003 Service Pack 1 Adprep Nástroje pro správu Nastavení funkcí prohlíže:e Internet Explorer Správa nastavení funkcí zabezpe:ení Konfigurace zásad a pdedvoleb Sada Internet Explorer Administration Kit Zabezpe:ení akcí odkazS URL v prohlíže:i Internet Explorer Zm?ny v nastavení zabezpe:ení akcí odkazS URL Výsledná sada zásad Zm?ny v nástroji Resultant Set of Policy (Výsledná sada zásad), které jsou sou:ástí aktualizace Service Pack 1 Správa výsledných sad zásad vzdálených po:íta:S pomocí konzoly GPMC (Správa zásad skupiny) s SP1 Delegování pdístupu k výsledkSm zásad skupin Aktualizace zabezpe:ení po instalaci PrSvodce konfigurací zabezpe:ení Brána firewall systému Windows Zm?ny ve firewallu systému Windows Zm?ny v protokolování auditování Zm?ny v nástroji Netsh Helper Nové zásady skupiny podporující firewall systému Windows

681 683 683 685 685 686 686 687 687 688 689 691 691

692 693 694 694 695 696 696

Pdíloha C

Práce se skripty v Group Policy Management Console Rozhraní konzoly Group Policy Management Console pro práci se skripty Objektový model skriptování konzoly Group Policy Management Console Vytvodení po:áte:ního objektu GPM Vytvodení reference na spravovanou doménu Vytvádení a propojování objektS zásad skupin Automatizace správy zabezpe:ení objektS zásad skupin Využití standardních skriptS Group Policy Management Console Vytvádení objektS zásad skupin

703 704 704 705 706 706 710 712 713

17

Obsah

Výmaz objektS zásad skupin Vyhledání zakázaných objektS zásad skupin Vyhledání objektS zásad skupin podle skupiny zabezpe:ení Vyhledání objektS zásad skupin bez aktivních propojení Nastavení oprávn?ní pro vytvádení objektS zásad skupin Nastavení dalších oprávn?ní k objektSm zásad skupin Zálohování všech objektS zásad skupin Zálohování jednotlivých objektS zásad skupin Kopírování objektS zásad skupin Importování objektS zásad skupin Generování reportS výsledných sad zásad Zrcadlení produktivního prostdedí Další standardní skripty Group Policy Management Console

713 713 714 714 714 715 715 715 716 717 717 718 719

Pdíloha D

Základní informace o šablonách pro správu sady Office 2003 Microsoft Access 2003 Microsoft Excel 2003 Microsoft FrontPage 2003 Microsoft Clip Organizer 2003 Microsoft InfoPath 2003 Microsoft Office 2003 Microsoft OneNote 2003 Microsoft Outlook 2003 Microsoft PowerPoint 2003 Microsoft Project 2003 Microsoft Publisher 2003 Microsoft Visio 2003 Microsoft Word 2003

Rejstdík

723 724 725 727 727 728 728 733 734 738 739 740 741 743

745

Obsah Úvod

Doprovodné CD

11 12

Kapitola 1

Pdehled sledování výkonu 1.1 Co obnáší sledování výkonu N?co o sledování výkonu Aktivní sledování výkonu Diagnostika výkonnostních potíží Škálovatelnost 1.2 Principy sledování výkonu Definice Úzká místa Zákon využití Doba fronty a využití LittlSv zákon Záv?ry 1.3 Architektura systému Práce s nástrojem pro sledování výkonu Opera:ní systémy

15

17

17 17 19 21

25 25 33 37 38 42 44

45 46 48

6

Obsah

Procesory Pam?P a stránkování Subsystém I/O SíPová rozhraní

1.4 Souhrn

50 67 92 99

121

Kapitola 2

Nástroje pro sledování výkonu

2.1 Pdehled nástrojS pro sledování Výkonnostní statistiky Trasování událostí Generování zát?že a testování Nástroje pro správce Požadované zabezpe:ení pro používání nástrojS 2.2 Statistiky sledování výkonu Výkonnostní objekty Výkonnostní :íta:e 2.3 Sledování systému Zobrazování grafu v reálném :ase Zm?na vzorkovacího intervalu Vytvodení vlastní monitorovací konfigurace Ukládání dat reálného :asu Úprava zobrazování dat Tipy pro práci s nástrojem System Monitor 2.4 Správce úloh Práce se Správcem úloh Sledování aplikací Sledování procesS Sledování výkonu Sledování sít? Sledování uživatelS 2.5 Automatizované sledování výkonu Výstrahy a protokolování výkonu Protokoly :íta:S Tipy pro práci s prvkem Výstrahy a protokolování výkonu Vytvádení protokolS výkonu pomocí nástroje Logman 2.6 Správa protokolS výkonu Práce s nástrojem Relog Použití dotazS nástroje Typeperf 2.7 Architektura sledování výkonu systému Windows Knihovny DLL výkonu Textové det?zcové soubory výkonnostních :íta:S Zpracování Performance Data Helper Deaktivace výkonnostních :íta:S

123

125

125 125 126 127 127

131 132 139

142 143 144 145 145 146 149 152 153 154 155 159 161 165 165 166 166 174 175 187 187 194 200 201 202 202 203

7

Obsah

Vzdálené monitorování 2.8 Trasování událostí pro Windows Pdehled trasování událostí Vytvádení protokolS trasování nástrojem Log Manager Zprávy trasování událostí 2.9 Výstrahy Konfigurace výstrah Konfigurace upozorn?ní na výstrahu 2.10 Správce prostdedkS systému Windows 2.11 Sledování sít?

204 204 206 210 218 218 219 221 225 225

Kapitola 3

M?dení výkonu serveru

3.1 Efektivní použití m?dení výkonu Odhalení úzkých míst Správa podle výjimek 3.2 Klí:ové indikátory výkonu Dostupnost systému a aplikací Využití procesoru Monitorování pam?ti a rychlosti stránkování Monitorování diskových operací Správa síPového provozu Správa serverových aplikací Terminálové služby

227

229 229 230 232 232 234 245 266 279 283 295

Kapitola 4

Postupy pdi sledování výkonu

4.1 Jaké :íta:e protokolovat Sledování výkonu na pozadí Hlášení pro správu Plánování kapacity 4.2 Postupy denního sledování serverS Denní protokoly :íta:S Efektivní využívání výstrah Denní hlášení pro správu Historická data pro plánování kapacity Automatizované zpracování protokolS :íta:S 4.3 Práce s repozitádem SQL Serveru Použití konzoly Sledování systému s SQL Serverem Jak nakonfigurovat Sledování systému na protokolování do SQL Serveru Schéma databáze protokolu :íta:S Dotazování výkonnostní databáze SQL 4.4 Plánování kapacity a trendy Uspodádání dat pro plánování kapacity

299

301 301 301 302 302 303 319 325 335 344 358 359 361 362 366 371 372

8

Obsah

Techniky pdedpovídání 4.5 Scénáde protokolování :íta:S Protokolování místních :íta:S Monitorování vzdálených serverS v reálném :ase 4.6 ešení potíží se sb?rem :íta:S Chyb?jící výkonnostní :íta:e 4.7 Obnovení poškozených výkonnostních :íta:S

374 378 379 382 385 385 388

Kapitola 5

ešení potíží s výkonem

5.1 Analýza úzkých míst Základní data Aktuální úrovn? výkonu Využití prostdedku a délka fronty Rozklad 5.2 Procedury analýzy Pochopení problému Analýza protokolovaných výkonnostních dat Interaktivní analyzování výkonnostních dat Nástroje detailní analýzy Co v podniku dále prov?dit 5.3 ešení potíží s procesorem Využití prostdedku a délka fronty Rozklad Odhalení poškozeného procesu pomocí Správce úloh Odhalení narušeného procesu pomocí protokolS :íta:S 5.4 ešení potíží s pam?tí íta:e vyhodnocované pdi dešení potíží s výkonem pam?ti Co dále prov?dit pdi dešení potíží s výkonem pam?ti Nadm?rné stránkování Nedostatek virtuální pam?ti Omezení 32bitového adresování virtuální pam?ti 5.5 ešení potíží s diskem O:ekávaný výkon disku Diagnostikování výkonnostních potíží s diskem 5.6 ešení potíží se sítí íta:e protokolované pdi dešení potíží s výkonem sít? íta:e vyhodnocované pdi dešení výkonnostních potíží sít? Výkon LAN Výkon WAN

389

390 391 391 392 392 392 392 392 393 393 393 394 394 396 400 402 415 416 418 420 431 438 444 446 466 487 487 489 491 501

9

Obsah

Kapitola 6

Pokro:ilá témata k výkonu

6.1 Výkon procesoru Propustnost vykonávání instrukcí Návrat k :asovým slotSm Víceprocesorové systémy 6.2 Výkon pam?ti Rozšídené virtuální adresování na 32bitových po:íta:ích 64bitová virtuální pam?P Pdedpovídání pam?Pových požadavkS 6.3 Automatiza:ní rozhraní Sledování systému Pdidání ovládacího prvku ActiveX Sledování systému do webové stránky PdizpSsobení ovládacího prvku ActiveX Sledování systému Nastavení typu zobrazení ovládacího prvku ActiveX Sledování systému Konfigurace vzorkovací frekvence ovládacího prvku ActiveX Sledování systému Manuální pdejímání výkonnostních údajS Nastavení vzhledu ovládacího prvku ActiveX Sledování systému Nastavení barevných schémat ovládacího prvku ActiveX Sledování systému Nastavení stylS písem ovládacího prvku ActiveX Sledování systému Pdidávání výkonnostních :íta:S do ovládacího prvku ActiveX Sledování systému Konfigurace výkonnostních :íta:S ovládacího prvku ActiveX Sledování systému Odstran?ní výkonnostních :íta:S z ovládacího prvku ActiveX Sledování systému Sledování jednotlivých výkonnostních :íta:S jejich cestami Vytvodení webové stránky pro monitorování výkonu Podpora pdetahování pomocí myši

Slovní:ek pojmS Rejstdík

511

512

513 518 521

569 570 580 581 586 587 588 589 591 591 593 594 596 596 597 598 599 600 602

605 637

Obsah Pod?kování ást 1: Základy registru

19

Kapitola 1

Základy registru 1.1 Jádro systému Windows Pro zkušené uživatele Pro IT profesionály 1.2 Varování a mýty o registru 1.3 DSležité principy Identifikátory zabezpe:ení Jedine:né identifikátory Hexadecimální soustava Bity a bitové masky Malý endián a Velký endián Kódování ANSI a Unicode Nulové a prázdné det?zce 1.4 Struktura registru Klí:e

23 24 25 25 27 28 28 31 31 33 34 34 35 35 36

6

Obsah

Hodnoty Typy

1.5 Uspodádání registru HKEY_USERS HKEY_CURRENT_USER HKEY_LOCAL_MACHINE HKEY_CLASSES_ROOT HKEY_CURRENT_CONFIG 1.6 Nástroje pro správu registru 1.7 Soubory podregistrS Podregistry v HKLM Podregistry v HKU

37 38

40 41 43 44 45 45 46 46 47 48

Kapitola 2

Používání editoru registru 2.1 Spušt?ní nástroje Regedit 2.2 Nástroj Regedit Podokno klí:S Podokno hodnot 2.3 Vyhledávání dat PdírSstkové vyhledávání Vyhledávání binárních hodnot Vytvádení záložek pro oblíbené klí:e Používání vhodn?jších metod 2.4 Úprava registru Zm?na hodnot Pdidávání klí:S nebo hodnot OdstraGování klí:S a hodnot Pdejmenování klí:S nebo hodnot 2.5 Tisk z registru 2.6 Export nastavení do souborS Registra:ní soubory Registra:ní soubory Win9x/NT4 Soubory podregistrS Textové soubory 2.7 Práce se soubory podregistrS 2.8 Pokro:ilá práce s registrem

49 51 52 53 54 55 56 56 57 58 59 59 62 63 64 64 65 67 68 69 69 70 71

Kapitola 3

Zálohování registru 3.1 Bezpe:né úpravy registru Kopírování jednoduchých hodnot Zálohování do souborS REG Zálohování do souborS podregistrS

73 74 75 76 77

7

Obsah

3.2 Použití funkce Obnovení systému Vytvodení snímkS konfigurace Nahlédnutí do funkce Obnovení systému Správa funkce Obnovení systému Úprava funkce Obnovení systému Skriptování funkce Obnovení systému 3.3 Pravidelné zálohování registru Plánování strategie zálohování Zálohování dat stavu systému Obnovení dat stavu systému 3.4 Zálohování uživatelských nastavení

79 80 81 83 84 85 86 87 88 90 91

Kapitola 4

Triky s registrem 4.1 Pdesm?rování speciálních složek 4.2 Úprava složek Shell Pdejmenování ikon na pracovní ploše Vlastní obrázky ikon Pdidávání ikon na pracovní plochu Skrytí ikon na pracovní ploše 4.3 Zm?na uspodádání ovládacích panelS 4.4 Úprava pdidazení souborS Spoušt?ní programS ze složky Tento po:íta: Otevdení pdíkazových dádkS pro cílové složky Otevdení cílové složky v programu Windows Explorer Pdidání tipS InfoTips do tdíd programS 4.5 Pdidání šablon souborS 4.6 Jak zabránit spoušt?ní programu Messenger 4.7 PdizpSsobení nabídky Start Konfigurace obsahu nabídky Uspodádání seznamu :asto používaných programS Obnovení pSvodního uspodádání 4.8 Vypnutí funkce Prohlídka systému Windows 4.9 Vytvádení aliasS programS 4.10 Úprava prohlíže:e Internet Explorer Rozšídení místních nabídek Zm?na pozadí panelu nástrojS Úprava vyhledávacích adres URL Maximální po:et soub?žných stahování 4.11 Vyprázdn?ní seznamS historie 4.12 Pdidání programS do složky Po spušt?ní 4.13 Ovládání editoru registru Výchozí akce pro soubory REG Uložení pozice a velikosti okna

93 94 97 100 100 101 102 103 104 105 107 108 109 111 112 113 113 115 116 117 117 118 118 119 119 122 122 123 124 124 124

8

Obsah

4.14 Automatické pdihlašování 4.15 Zm?na informací o uživateli 4.16 Kde najdete další možnosti zásahS do registru

125 125 126

Kapitola 5

Možnosti nástroje Tweak UI 5.1 Kategorie General Focus Alt+Tab 5.2 Kategorie Mouse Kategorie Hover Kategorie Wheel Kategorie X-Mouse 5.3 Kategorie Explorer Kategorie Shortcut Kategorie Colors Kategorie Thumbnails Kategorie Command Keys Úpravy Prezentace 5.4 Kategorie Common Dialogs Kategorie Places Bar 5.5 Kategorie Taskbar and Start menu Kategorie Grouping Nabídka Start 5.6 Kategorie Desktop Kategorie First Icon 5.7 Kategorie Tento po:íta: Jednotky Speciální složky Kategorie AutoPlay Kategorie Drive Letters 5.8 Kategorie Control Panel 5.9 Kategorie Templates 5.10 Kategorie Internet Explorer Pozadí panelS nástrojS Kategorie Search Kategorie View Source Kategorie Small Animation Kategorie Large Animation Kategorie Image Toolbar 5.11 Kategorie Command Prompt 5.12 Kategorie Logon Kategorie Autologon

127 129 131 132 132 133 134 134 135 136 137 137 138 139 139 139 140 141 141 142 143 144 144 145 145 146 148 148 149 149 150 150 151 151 152 152 152 153 153

9

Obsah

Kategorie Settings Kategorie Screen Saver

153 154

Kapitola 6

Konfigurace serverS 6.1 Úpravy serveru Pdidání komentádS do hlášení serverS Optimalizace služby Server 6.2 Ov?dování Konfigurace ov?dování Kerberos Zakázání požadavku globálního katalogu Povolení stavových zpráv pdi pdihlašování k Windows 6.3 Služby IIS Konfigurace Http.sys PdírSstková :ísla identifikátoru serverové lokality 6.4 SíPová pdipojení Povolení pdeposílání IP Zm?na nastavení MTU 6.5 Funkce Shutdown Event Tracker

155 156 156 156

156 157 160 161 161 161 163 163 164 164 165

ást 2: Registr ve správ? Kapitola 7

Použití zásad založených na registru 7.1 Úprava místních zásad Rozšídení Zásad skupiny Zásady založené na registru Úložišt? Zásady skupiny 7.2 Rozšídení zásad založených na registru Komentáde et?zce Klí:ové slovo CLASS Klí:ové slovo CATEGORY Klí:ové slovo KEYNAME Klí:ové slovo POLICY Klí:ové slovo EXPLAIN Klí:ové slovo VALUENAME Klí:ová slova VALUEON a VALUEOFF Klí:ové slovo ACTIONLIST Klí:ové slovo PART Klí:ové slovo CHECKBOX Klí:ové slovo COMBOBOX Klí:ové slovo DROPDOWNLIST Klí:ové slovo EDITTEXT Klí:ové slovo LISTBOX

169 170 173 174 176 177 179 180 180 181 182 182 184 185 185 185 186 188 190 192 193 194

10

Obsah

Klí:ové slovo NUMERIC Klí:ové slovo TEXT

7.3 Zavedení zásad založených na registru Sít? Windows 2000 založené na serveru Sít? založené na Windows NT a jiné sít? 7.4 Úprava systému Windows 7.5 Nástroje Zásad skupiny Gpresult Gpupdate Centrum pro nápov?du a odbornou pomoc Výsledná množina zásad 7.6 Nástroj PolicyMaker spole:nosti DesktopStandard Další zdroje informací

196 198

198 199 200 201 204 204 205 206 206 208 209

Kapitola 8

Konfigurace zabezpe:ení systému Windows 8.1 Nastavení oprávn?ní pro klí:e Pdidání uživatelS do seznamS ACL Odebrání uživatelS ze seznamS ACL Pdid?lení speciálních oprávn?ní 8.2 Mapování výchozích oprávn?ní 8.3 Pdevzetí vlastnictví klí:S 8.4 Auditování pdístupu k registru 8.5 Zamezení místnímu pdístupu k registru 8.6 Zamezení vzdálenému pdístupu k registru 8.7 Zavedení šablon zabezpe:ení Vytvodení konzoly pro správu zabezpe:ení Výb?r pdeddefinované šablony zabezpe:ení Vytvodení vlastní šablony zabezpe:ení Analýza konfigurace po:íta:e Úprava konfigurace po:íta:e Zavedení šablon zabezpe:ení v síti 8.8 Konfigurace nových funkcí zabezpe:ení Výstrahy nástroje Security Center Windows Firewall 8.9 Nastavení utajení osobních údajS v prohlíže:i Internet Explorer 8.10 Zóny zabezpe:ení v prohlíže:i Internet Explorer TemplatePolicies ZoneMap Zones

211 213 214 215 215

217 222 222 224 224 225 226 226 228 230 231 231 232 233 233 234 235 235 235 236

Kapitola 9

ešení problémS 9.1 Oprava poškozených nastavení

241 242

11

Obsah

Jak povolit systému Windows, aby opravoval chyby Oprava nastavení aplikace Odebrání programS z registru Použití nastavení z jiného po:íta:e

9.2 Zotavení po selhání Možnosti spušt?ní systému Konzola pro zotavení systému Windows Automatické obnovení systému Windows 9.3 Diagnostika poškození registru Chyba napájení Poškození souboru a chyba hardwaru Pdi vypnutí po:íta:e dochází k zápisu do registru 9.4 Oprava poškozeného registru Fáze 1 Fáze 2 Fáze 3 Fáze 4

243 244 245 246

247 247 249 251 252 253 254 254 254 255 256 257 258

Kapitola 10

Vyhledávání nastavení v registru 10.1 Porovnání souborS REG Nástroj WinDiff Použití aplikace Word 2003 10.2 Porovnání pomocí nástroje Reg.exe 10.3 Auditování registru Nastavení zásady Audit Policy Auditování klí:S registru Analýza výsledkS 10.4 Sledování registru Použití nástroje Regmon Filtrování pro získání lepších výsledkS

259 260 262 263 264 266 266 267 268 268 269 269

Kapitola 11

Skriptování zm?n v registru

273

11.1 Volba metody 11.2 Instalace souborS INF Vytvodení šablony Spojování sekcí Pdidání klí:S a hodnot Odstran?ní klí:S a hodnot Nastavení a vymazání bitS et?zce v souborech INF 11.3 Nastavení hodnot pomocí souborS REG Export nastavení do souborS REG

274 275 277 279 280 282 283 284 285 287

12

Obsah

Ru:ní vytvádení souborS REG Šifrování speciálních znakS OdstraGování klí:S pomocí souboru REG

11.4 Úpravy z pdíkazového dádku Pdidání klí:S a hodnot Dotazování na hodnoty OdstraGování klí:S a hodnot Porovnání klí:S a hodnot Kopírování klí:S a hodnot Export klí:S do souborS REG Import souborS REG Ukládání klí:S do souborS podregistrS Obnovení souborS podregistrS do klí:S Na:ítání souborS podregistru Uvoln?ní souborS podregistrS 11.5 Skriptování pomocí Windows Script Host Vytvodení souboru skriptu Spušt?ní souborS skriptS Formátování názvS klí:S a hodnot Pdidávání a aktualizace hodnot Odstran?ní klí:S a hodnot Dotazování na hodnoty registru 11.6 Windows Installer

288 289 289

290 291 292 293 293 294 295 295 296 296 296 297 297 298 300 301 302 303 303 304

ást 3: Registr pdi nasazování Kapitola 12

Zavedení uživatelských profilS 12.1 Uživatelské profily Podregistry profilu Složky profilS Speciální profily 12.2 Získání uživatelských profilS Místní profily Cestovní profily 12.3 Využití cestovních uživatelských profilS Správa cestovních uživatelských profilS Rychlé pdihlašování k síti PrSb?h nového slou:ení 12.4 Zavedení výchozích uživatelských profilS Úprava uživatelských nastavení Vy:išt?ní uživatelských profilS Vytvodení výchozích uživatelských složek Zavedení výchozích uživatelských složek 12.5 Koexistence se staršími verzemi systému Windows

309 310 313 314 316 318 318 319 319 322 324 325 326 327 329 330 331 332

13

Obsah

12.6 Migrace uživatelských nastavení do systému Windows PrSvodce Files And Settings Transfer Wizard Nástroj User State Migration Tool

332 333 334

Kapitola 13

Poznáváme Windows Installer 13.1 Oprava nastavení registru 13.2 Správa sou:ásti Windows Installer pomocí zásad Instalace s rozšídenými oprávn?ními Ukládání transforma:ních souborS do mezipam?ti Uzam:ení sou:ásti Windows Installer 13.3 Odstran?ní dat Windows Installer Msizap.exe Msicuu.exe 13.4 Inventarizace aplikací

335 336 338 340 341 341 342 343 344 344

Kapitola 14

Nasazení systému pomocí souborS odpov?dí 14.1 Vytvodení distribu:ních složek 14.2 Úprava souborS odpov?dí Správce Setup Manager Notepad a další textové editory 14.3 Pdidání nastavení do souboru Unattend.txt [GuiRunOnce] Cmdlines.txt 14.4 Pdidání více nastavení prostdednictvím jednoho skriptu 14.5 Automatické pdihlášení po instalaci

347 349 351 354 357 359 359 361 361 365

Kapitola 15

Klonování diskS pomocí nástroje Sysprep 15.1 Klonování systému Windows Nástroje systému Windows Omezení nástroje Sysprep 15.2 Vytvodení obrazu disku Úprava prSvodce Mini-Setup Wizard Pdíprava na duplikaci Klonování obrazu disku 15.3 Snížení po:tu obrazS diskS Ru:ní vypln?ní sekce SysprepMassStorage Automatické vypln?ní sekce SysprepMassStorage Úklid po použití nástroje Sysprep 15.4 Odstran?ní stránkovacího souboru 15.5 Možnosti nastavení nástroje Sysprep 15.6 Bu
367 369 370 371 372 373 375 376 378 379 380 380 381 381 383

14

Obsah

Kapitola 16

Konfigurace prostdedí Windows PE 16.1 Prostdedí Windows PE Schopnosti Omezení 16.2 Windows PE jako instala:ní platforma Spušt?ní po:íta:e Konfigurace pevných diskS Instalace systému Windows 16.3 Úprava prostdedí Windows PE Nástroje pdíkazového dádku Volitelné sou:ásti SíPové ovlada:e Ovlada:e hromadných úložišP Jazyky 16.4 Spušt?ní prostdedí Windows PE Instalace z CD Instalace ze serveru RIS Instalace z disku 16.5 Automatizace instalací

385 386 387 388 389 390 392 393 393 395 396 397 398 398 399 399 400 401 401

Kapitola 17

Konfigurace sady Office 2003 17.1 PrSvodce Profile Wizard PdizpSsobení prSvodce Zachycení nastavení Konfigurace 17.2 PrSvodce Custom Installation Wizard Pdidání a odebrání položek registru Úprava výchozích nastavení aplikace Zm?na uživatelských nastavení sady Office Pdidání instalací a spoušt?ní programS 17.3 PrSvodce Custom Maintenance Wizard 17.4 Zásady skupin a systému

403 404 406 415 415 416 417 418 419 420 421 422

Kapitola 18

ešení obvyklých problémS IT 18.1 ízení na:asované instalace Outlook Express Windows Media Player Motivy pozadí pracovní plochy Další zástupci 18.2 Odebrání sou:ástí

425 426 427 428 428 429 430

15

Obsah

Sekce [Components] v souboru odpov?dí Rozšídení prSvodce Windows Components Wizard Jak skrýt neodebratelné sou:ásti

18.3 Odebrání trvalých zásad z registru 18.4 Rozšídení oprávn?ní procesS Zásady Group Policy Funkce Secondary Logon Plánování úloh Automatické pdihlašování 18.5 Zrušení pdidazení souborS 18.6 Používání dSv?ryhodných zdrojS Office 18.7 Povolení funkce Remote Desktop 18.8 Úprava pdihlašování k systému Windows 18.9 Obnovení sdílených položek pro správu 18.10 Zm?na zdrojového umíst?ní

431 436 438

440 442 442 443 443 445 446 447 448 449 449 450

ást 4: Pdílohy Pdíloha A

Pdidazení souborS Algoritmus slou:ení Klí:e pdípon souborS OpenWithList PerceivedType ShellNew Klí:e tdíd programS DefaultIcon EditFlags Shell Specializované klí:e Applications SystemFileAssociations Unknown Klí:e tdídy COM

453 454 454 456 456 456 457 458 458 459 461 462 462 462 462

Pdíloha B

SíPová nastavení HKCU\Network HKLM\SYSTEM\CurrentControlSet\Services LanmanServer LanmanWorkstation Tcpip\Parameters Tcpip\Interfaces

465 466 466 467 470 472 479

16

Obsah

Pdíloha C

Uživatelská nastavení AppEvents Console Control Panel Desktop Desktop\WindowMetrics Mouse Environment Keyboard Layout Network Printers SessionInformation Software Classes Microsoft\Command Processor Microsoft\Internet Connection Wizard Microsoft\Internet Explorer Microsoft\Internet Explorer\MenuExt Microsoft\Internet Explorer\SearchURL Microsoft\MessengerService Microsoft\Office Microsoft\Search Assistant Microsoft\VBA\Trusted Policies Software\Microsoft\Windows\CurrentVersion Explorer\Advanced Explorer\AutoComplete Explorer\ComDlg32 Explorer\HideDesktopIcons Explorer\HideMyComputerIcons Explorer\MenuOrder Explorer\RecentDocs Explorer\RunMRU Explorer\User Shell Folders

481 482 483 484 485 489 491 492 492 493 493 493 493 494 494 496 496 497 498 499 500 501 502 503 503 504 507 507 507 507 508 508 508 508

Pdíloha D

Systémová nastavení HARDWARE DESCRIPTION DEVICEMAP SAM SECURITY

511 512 513 513

514 514

17

Obsah

SOFTWARE Classes Clients Microsoft\Active Setup Microsoft\Command Processor Microsoft\Drive Signing Microsoft\DrWatson Microsoft\Internet Explorer Microsoft\Sysprep Microsoft\Windows NT\CurrentVersion Microsoft\Windows NT\CurrentVersion\Winlogon Policies SOFTWARE\Microsoft\Windows\CurrentVersion App Paths Applets Explorer Explorer\AutoplayHandlers Explorer\Desktop\NameSpace Explorer\FindExtensions Explorer\HideDesktopIcons Explorer\HideMyComputerIcons Explorer\MyComputer Explorer\NetworkNeighborhood\NameSpace Explorer\RemoteComputer\NameSpace Explorer\StartMenu Explorer\User Shell Folders Explorer\VisualEffects Policies Run RunOnce Uninstall SYSTEM CurrentControlSet\Control CurrentControlSet\Enum CurrentControlSet\Hardware Profiles CurrentControlSet\Services

Rejstdík O autorovi

515 515 515 516 517 518 518 521 521 521 521 524

525 526 526 526 526 527 527 528 528 528 528 528 529 529 529 530 530 530 530

530 531 532 532 533

535 547

8

Obsah

Úvod ást 1: Klí:ové principy zabezpe:ení

27

Kapitola 1

Klí:ové principy zabezpe:ení 1.1 Principy dízení rizika U:íme se dídit riziko Strategie dízení rizik 1.2 Principy zabezpe:ení Ud?lení minimálních potdebných oprávn?ní DSkladná ochrana Omezení plochy útoku Vyhýbání se pdedpokladSm Ochrana, zjišt?ní a reakce Zabezpe:ení pdi vývoji, pdi výchozím nastavení a pdi implementaci Deset nem?nných zákonS zabezpe:ení Deset nem?nných zákonS bezpe:né správy

33 34 34 36 38 38 38 38 39 39 39 39 41

Kapitola 2

Poznejte svého protivníka 2.1 V?domosti o vlastní síti Pdesné ohodnocení vlastních odborných znalostí 2.2 Udržování podrobné dokumentace o síti organizace 2.3 Zjišt?ní úrovn? poskytované organiza:ní podpory 2.4 Identifikace úto:níka Poznání vn?jších úto:níkS Poznání vnitdních úto:níkS 2.5 Motivace úto:níkS Proslulost, pdijetí a ego Finan:ní zisk Výzva Aktivismus Pomsta Špionáž Informa:ní válka 2.6 Pro: je obrana sítí složitá Úto:níci mají neomezené prostdedky Úto:níci musí zvládnout pouze jediný útok Obránci nemohou pdejít do útoku Obránci musí plnit obchodní cíle Obránci musí vždy zvít?zit

43 44 44 45 45 46 47 48 48 49 50 51 52 52 52 53 53 53 54 54 54 55

9

Obsah

ást 2: Zabezpe:ení služby Active Directory Kapitola 3

Konfigurace zabezpe:ení uživatelských ú:tS a hesel 3.1 Zabezpe:ení ú:tS Principy identifikátorS zabezpe:ení Principy pdístupových tokenS Konfigurace možností zabezpe:ení ú:tu Zabezpe:ení ú:tS pro správu Implementace zabezpe:ení hesla ú:tu 3.2 Pdid?lování práv a oprávn?ní prostdednictvím skupin Uživatelská práva a oprávn?ní Oprávn?ní ke služb? Active Directory, k souborSm a k registrSm Typy skupin a jejich rozsah Implementace zabezpe:ení podle rolí 3.3 Doporu:ené postupy 3.4 Další informace

59 60 60 69 70 72 74 80 81 87 87 90 92 93

Kapitola 4

Konfigurace ov?dování systémS Microsoft Windows 4.1 Uchování a pdenos pov?dení LAN Manager NTLM NTLMv2 Kerberos 4.2 Ukládání utajovaných informací v systému Windows Utajovaná data místního údadu zabezpe:ení Rozhraní Data Protection API Pov?dení uložená v mezipam?ti Správce pov?dení 4.3 Doporu:ené postupy 4.4 Další informace

95 96 97 100 100 102 107 107 109 109 110 111 111

Kapitola 5

Konfigurace zabezpe:ení služby Active Directory 5.1 Principy schématu služby Active Directory Atributy Tdídy

113 114 114 115

10

Obsah

5.2 Konfigurace seznamS DACL pro zabezpe:ení objektS služby Active Directory Co jsou to seznamy DACL? Funkce seznamS DACL 5.3 Zabezpe:ení objektS a atributS služby Active Directory Konfigurace výchozích seznamS DACL u objektS a atributS Zabezpe:ení objektS po vytvodení Konfigurace seznamS DACL z pdíkazového dádku 5.4 Doporu:ené postupy 5.5 Další informace

116 117 119 120 121 121 123 124 125

Kapitola 6

Implementace zásad skupiny s ohledem na bezpe:nost 6.1 Principy zásad skupiny Zásady skupiny související s po:íta:em Zásady související s uživateli Použití objektS zásad skupiny 6.2 Zpracování objektS zásad skupiny Po:áte:ní použití zásad skupiny Aktualizace zásad skupiny Vyžádané zpracování 6.3 Úpravy použití zásad skupiny Blokování d?di:nosti Potla:ení pdepisování nastavení Filtrování objektS zásad skupiny Režim zp?tné smy:ky 6.4 Správa zásad skupiny Výchozí oprávn?ní k zásadám skupiny Delegování správy zásad skupiny 6.5 Doporu:ené postupy 6.6 Další informace

127 128 129 131 132

134 134 135 135 136 136 136 137 137 138 138 139 140 140

Kapitola 7

Návrhy domén a doménových struktur s ohledem na bezpe:nost

143

7.1 Autonomie a izolace ve služb? Active Directory 7.2 Návrh doménových struktur pro služby Active Directory Hranice správy rozlehlé sít? a izolace správy ízení výchozích oprávn?ní a schématu Hranice globálního katalogu Požadavky na dSv?ryhodnost domén Izolace dadi:S domén

144 145 145 146 146 147 148

11

Obsah

Ochrana kodenové domény doménové struktury 7.3 Návrh domén pro zabezpe:ení služby Active Directory 7.4 Návrh služby DNS pro zabezpe:ení služby Active Directory Jeden obor názvS Delegovaný obor názvS Interní obor názvS Rozd?lený obor názvS 7.5 Návrh delegování oprávn?ní 7.6 Doporu:ené postupy 7.7 Další informace

149

151 152 153 153 154 154 155 156 158

ást 3: Zabezpe:ení jádra opera:ního systému Kapitola 8

ízení pdístupu k datSm 8.1 Jak zabezpe:it oprávn?ní k souborSm a složkám Jak fungují diskrétní seznamy dízení pdístupu (DACL) Pdidazení DACL v okamžiku vytvodení Co se d?je s DACL pdi kopírování a pdesunu souborS a složek Nástroje pdíkazového dádku Zabezpe:ení pdístupu k souborSm a složkám pomocí oprávn?ní ke sdílení 8.2 Souborový systém EFS Jak EFS funguje Nástroje pdíkazového dádku pro systém EFS Další funkce EFS v systémech Windows 2003 Server a Windows XP Úvod do návrhu zásad pro Agenta obnovení dat 8.3 Jak zabezpe:it oprávn?ní k systémovému registru Konfigurace oprávn?ní k registru 8.4 Doporu:ené postupy 8.5 Další informace

161 162 165 167 167 169 173 174 174 176 179 180 183 184 185 185

Kapitola 9

Správa zabezpe:ení systémových služeb 9.1 Správa oprávn?ní ke službám Konfigurace spoušt?cí hodnoty služby Zastavení, spušt?ní, pozastavení a obnovení služby Konfigurace kontextu zabezpe:ení služeb Konfigurace diskrétního pdístupového seznamu služby DACL 9.2 Výchozí služby ve Windows 2003 Server, Windows 2000 a Windows XP 9.3 Doporu:ené postupy 9.4 Další informace

187 188 189 190 191 192

194 213 215

12

Obsah

Kapitola 10

Implementace zabezpe:ení protokolu TCP/IP 10.1 Zabezpe:ení protokolu TCP/IP Protokoly internetové vrstvy Protokoly pdenosové vrstvy Nejb?žn?jší hrozby vS:i protokolu TCP/IP Konfigurace zabezpe:ení TCP/IP ve Windows 10.2 Protokol IPSec Zabezpe:ení pdenosu dat pomocí protokolS IPSec Výb?r režimu :innosti IPSec Výb?r metody ov?dování IPSec Vytvodení zásady IPSec Jak protokol IPSec funguje Monitorování protokolu IPSec 10.3 Doporu:ené postupy 10.4 Další informace

217 218 218 221 223 226 237 237 240 240 241 245 247 250 251

Kapitola 11

Tvorba a konfigurace šablon zabezpe:ení 11.1 Nastavení šablon zabezpe:ení Zásady ú:tS Místní zásady Protokoly událostí Skupiny s omezeným :lenstvím Systémové služby Nastavení registru Nastavení souborového systému Zásady pro bezdrátovou síP (IEEE 802.11) Zásady vedejného klí:e Zásady omezení softwaru Zásady zabezpe:ení protokolu IP 11.2 Jak fungují šablony zabezpe:ení Aplikace šablon zabezpe:ení na místní po:íta: Aplikace šablon zabezpe:ení pomocí zásady skupiny 11.3 Výchozí šablony zabezpe:ení 11.4 Vytvodení vlastní šablony zabezpe:ení Pdidání položek registru do možností zabezpe:ení Pdidání služeb, hodnot registru a souborS do šablony zabezpe:ení 11.5 Doporu:ené postupy 11.6 Další informace

253 254 255 257 275 277 277 277 277 277 278 279 281 282 282 285 286 287 287 290 290 290

13

Obsah

Kapitola 12

Správa zabezpe:ení a soukromí v Microsoft Internet Exploreru 12.1 Nastavení zabezpe:ení v Internet Exploreru Nastavení soukromí Blokování automaticky otevíraných oken Zóny zabezpe:ení Globální nastavení zabezpe:ení Rozšídená konfigurace zabezpe:ení ve Windows Serveru 2003 Konfigurace nastavení soukromí a zabezpe:ení v Internet Exploreru 12.2 Doporu:ené postupy 12.3 Další informace

293 294 294 297 298 313 314 315 316 317

Kapitola 13

Správa zabezpe:ení a soukromí v Microsoft Office XP 13.1 Konfigurace zabezpe:ení ovládacích prvkS ActiveX a maker 13.2 Ochrana dokumentS v Office XP Ochrana dokumentu pro :tení Ochrana metadat v dokumentu Chrán?ní obsahu dokumentu 13.3 Konfigurace zabezpe:ení v Outlooku 2002 Zabezpe:ení pdíloh Ochrana zpráv ve formátu HTML 13.4 Doporu:ené postupy 13.5 Další informace

319 320 321 322 322 323 324 324 325 325 325

Kapitola 14

Správa zabezpe:ení a soukromí v Microsoft Office System 2003 14.1 Konfigurace zabezpe:ení ovládacích prvkS ActiveX a maker 14.2 Ochrana dokumentS v Microsoft Office System 2003 Ochrana dokumentu pro :tení Ochrana metadat v dokumentu Chrán?ní obsahu dokumentu 14.3 Konfigurace zabezpe:ení v Outlooku 2003 Zabezpe:ení pdíloh Ochrana zpráv ve formátu HTML 14.4 Doporu:ené postupy 14.5 Další informace

327 328 330 330 331 332 332 333 333 334 334

14

Obsah

Kapitola 15

Auditování událostí zabezpe:ení Microsoft Windows 15.1 Které události budou podléhat auditu 15.2 Práce s Prohlíže:em událostí Stanovení místa pro ukládání protokolu Stanovení maximální velikosti souboru protokolu Konfigurace chování pdi pdepisování 15.3 Konfigurace zásad auditování Auditování událostí pdihlášení k ú:tu Auditování událostí správy ú:tu Auditování událostí pdístupu k adresádové služb? Auditování událostí pdihlášení Auditování pdístupu k objektSm Auditování zm?ny zásad Auditování používání oprávn?ní Auditování sledování procesS Auditování systémových událostí Jak povolit zásady auditování 15.4 Monitorování auditovaných událostí Práce s Prohlíže:em událostí Vlastní skripty Nástroj Event Comb 15.5 Doporu:ené postupy 15.6 Další informace

337 338 339 340 341 341 342 343 346 348 349 351 354 355 356 357 357 359 359 360 360 362 363

Kapitola 16

Implementace zabezpe:ení pdenosných po:íta:S 16.1 Vlastnosti pdenosných po:íta:S Zvýšené riziko ztráty a krádeže Obtížná aplikace bezpe:nostních aktualizací Vystavení rizikovému prostdedí nedSv?ryhodných sítí Riziko odposlechu v bezdrátové síti 16.2 Implementace doplGkového zabezpe:ení pdenosných po:íta:S Ochrana hardwaru Ochrana spušt?ní systému Ochrana dat Školení uživatelS 16.3 Zabezpe:ení bezdrátových sítí ve Windows XP Služba Wireless Zero Configuration ve Windows XP Konfigurace zabezpe:ení pdipojení bezdrátové sít? 802.11 16.4 Doporu:ené postupy

365 366 366 368 369 369 370 370 371 373 375 375 375 376 379

15

Obsah

16.5 Další informace

379

ást 4: Zabezpe:ení obvyklých služeb Kapitola 17

Implementace zabezpe:ení dadi:S domén 17.1 Jakým hrozbám jsou dadi:e domén vystaveny Modifikace nebo pdidávání objektS služby Active Directory Útoky na heslo Útoky s odepdením služeb (DoS) Útoky s vydazením replikací Zneužití známých zranitelných míst 17.2 Implementace zabezpe:ení na dadi:ích domény Zajišt?ní fyzické bezpe:nosti Zvýšení bezpe:nosti uložených hesel Vypnutí nepotdebných služeb Aplikace bezpe:nostních nastavení pomocí zásad skupiny Ochrana proti výpadku dadi:e domény Implementace systémového klí:e Syskey Zabezpe:ení vestav?ných ú:tS a skupin Zapnutí auditování Zabezpe:ení komunikace ve služb? Active Directory Omezení množiny uživatelS, ktedí smí být ov?deni na konzole dadi:e domény 17.3 Doporu:ené postupy 17.4 Další informace

383 384 384 384 384 385 385 385 386 386 387 393 394 394 395 396 396 399 399 402

Kapitola 18

Implementace zabezpe:ení serveru DNS 18.1 Jakým hrozbám jsou servery DNS vystaveny Zm?ny v záznamech služby DNS Pdenosy zón s daty DNS do neoprávn?ného serveru Prozrazení vnitdního schématu adresování IP Útoky s odepdením služeb (DoS) proti službám DNS Vydazení pdístupu k záznamSm prostdedkS DNS v kodenové domén? struktury 18.2 Zabezpe:ení serveru DNS Implementace zón integrovaných se službou Active Directory Implementace samostatného vnitdního a vn?jšího názvového serveru DNS Omezení pdenosu zón Implementace protokolu IPSec mezi klienty DNS a servery DNS Omezení provozu DNS ve firewallu Omezení správy DNS Ochrana mezipam?ti služby DNS 18.3 Doporu:ené postupy 18.4 Další informace

405 407 407 408 408 408 408 409 409 411 412 413 414 414 414 415 416

16

Obsah

Kapitola 19

Implementace zabezpe:ení terminálových služeb 19.1 Jakým hrozbám jsou terminálové služby vystaveny Ud?lování nadm?rných oprávn?ní uživatelSm Obcházení firewallového zabezpe:ení Nutnost mít uživatelské právo Pdihlásit se místn? Úto:ník získá plný pdístup k ploše Windows 19.2 Zabezpe:ení terminálových služeb Výb?r správného režimu :innosti terminálových služeb Omezení množiny uživatelS a skupin, kterým je ud?leno právo pdipojení k terminálovému serveru Omezení množiny spoušt?ných aplikací Implementace nejsiln?jšího možného šifrování Posílení bezpe:nostní konfigurace terminálového serveru Vyšší zabezpe:ení pdi ov?dování ve Windows 2003 Server SP1 19.3 Doporu:ené postupy 19.4 Další informace

419 420 421 421 421 422 422 422 424 424 426 427 428

430 432

Kapitola 20

Implementace zabezpe:ení serveru DHCP 20.1 Jakým hrozbám jsou vystaveny servery DHCP Neoprávn?né servery DHCP Když server DHCP pdepíše platné záznamy prostdedkS ve služb? DNS Když server DHCP nepdebírá vlastnictví záznamS prostdedkS ve služb? DNS Neoprávn?ný klient DHCP 20.2 Zabezpe:ení serveru DHCP Ponechání výchozího chování pdi registraci názvS Které ú:ty budou :lenem skupiny DnsUpdateProxy Kontrola položek BAD_ADDRESS v databázi DHCP Sledování :lenství ve skupin? DHCP Administrators Povolení auditování DHCP 20.3 Doporu:ené postupy 20.4 Další informace

433 434 435 435 436 436 436 437 437 438 439 439 439 441

Kapitola 21

Implementace zabezpe:ení serveru WINS 21.1 Jakým hrozbám jsou servery WINS vystaveny Vydazení replikací mezi servery WINS Registrace falešných záznamS služby NetBIOS Nesprávná registrace záznamS WINS Zásahy do konfigurace služby WINS Útoky s odepdením služeb (DoS) proti serveru WINS

443 445 445 445 445 446 446

17

Obsah

21.2 Zabezpe:ení serveru WINS Sledování :lenství ve skupinách pro správu Ov?dování konfigurace replikací ve služb? WINS Implementace statických položek WINS pro kriticky dSležité aplikace NetBIOS Vydazení aplikací NetBIOS z provozu Implementace podrobného záznamu služby WINS do protokolu událostí 21.3 Doporu:ené postupy 21.4 Další informace

446 446 447 447 447 448 448 450

Kapitola 22

Implementace bezpe:nosti pdi sm?rování a vzdáleném pdístupu 22.1 Sou:ásti dešení vzdáleného pdístupu Ov?dovací protokoly Protokoly sítí VPN Klientský software Serverové služby a software Karanténní služby 22.2 Jakým hrozbám je vzdálený pdístup vystaven Odposlech ov?dování Odposlech dat Obcházení firewallu pdi vstupu do privátní sít? Nestandardní uplatn?ní zásad Rozšídení obvodu sít? o místo pdipojení vytá:eného uživatele Odepdení služeb (DoS) vzniklé nadm?rným po:tem pokusS o zadání hesla Krádež pdenosného po:íta:e s uloženým pov?dením Pdipojení vzdáleného klienta, který nevyhovuje bezpe:nostním požadavkSm platným ve firemní síti 22.3 Zabezpe:ení serverS pro vzdálený pdístup Implementace ov?dování a ú:tování s protokolem RADIUS Zabezpe:ení provozu pdi ov?dování RADIUS mezi serverem vzdáleného pdístupu a serverem RADIUS Konfigurace zásad vzdáleného pdístupu Zavedení povinných certifikátS v protokolu L2TP/IPSec Omezení množiny serverS, které smí spoušt?t a zastavovat službu RRAS Implementace uzam:ení ú:tS pdi vzdáleném pdístupu Implementace karanténního dešení 22.4 Zabezpe:ení klientS se vzdáleným pdístupem Konfigurace balíkS CMAK Implementace silného ov?dování Zavedení povinných certifikátS 22.5 Doporu:ené postupy 22.6 Další informace

451 452 452 454 454 455 455 456 456 457 457 458 458 458 459 459

460 460 461 461 463 465 466 466

471 471 472 472 473 474

18

Obsah

Kapitola 23

Implementace zabezpe:ení certifika:ní služby 477 23.1 Jakým hrozbám je certifika:ní služba vystavena Ohrožení páru klí:S certifika:ního údadu Útoky proti serverSm, na kterých jsou uloženy seznamy odvolaných certifikátS (CRL) Pokus o zm?nu konfigurace certifika:ního údadu Pokus o zm?nu šablony certifikátS Útoky, které vydazují z :innosti kontrolu odvolaných certifikátS ze seznamu CRL Pdidání nedSv?ryhodného certifika:ního údadu do dSv?ryhodného kodenového úložišt? CÚ Vydání falešných certifikátS Publikování falešných certifikátS do služby Active Directory Ohrožení certifika:ního údadu jediným správcem Neoprávn?né obnovení soukromého klí:e uživatele z databáze certifika:ního údadu 23.2 Zabezpe:ení certifika:ní služby Implementace fyzických bezpe:nostních opatdení Implementace logických bezpe:nostních opatdení Zm?na míst publikace seznamu odvolaných certifikátS (CRL) a certifikátS CÚ Kontrola seznamu odvolaných certifikátS (CRL) ve všech aplikacích Správa oprávn?ní k šablonám certifikátS Odd?lení rolí 23.3 Doporu:ené postupy 23.4 Další informace

478 478 479 479 479 480 480 480 481 481 481

482 482 483 486 486 487 487 488 489

Kapitola 24

Implementace zabezpe:ení Microsoft IIS 24.1 Implementace zabezpe:ení Windows Provozování minimální množiny potdebných služeb Definice uživatelských ú:tS pro anonymní pdístup Zabezpe:ení souborového systému Aplikování konkrétních nastavení v registru 24.2 Spole:ná bezpe:nostní nastavení IIS ve Windows 2000 a 2003 Server Ov?dování Oprávn?ní k webSm Komunika:ní kanály 24.3 Implementace dalších bezpe:nostních opatdení ve verzi IIS 5.0 Nástroj IIS Lockdown Filtr URLScan Instalace filtru URLScan 24.4 Implementace dalších bezpe:nostních opatdení ve verzi IIS 6.0 Snížení okruhu požadovaných oprávn?ní Automatické monitorování provozního stavu systému Izolace aplikací

491 492 493 493 494 495 496 496 501 502 506 506 511 511 515 516 517 518

19

Obsah

Zlepšené zabezpe:ení sou:ástí Http.sys Podpora zabezpe:ení služby ASP.NET Zabezpe:ení výchozích nastavení Ochrana proti známým útokSm

24.5 Konfigurace služby FTP 24.6 Doporu:ené postupy 24.7 Další informace

519 519 520 521

522 523 525

Kapitola 25

Návrh infrastruktury pro ov?dování v sítích 802.1x 25.1 Jak funguje ov?dování v sítích 802.1x 25.2 Jakým hrozbám je vystaveno síPové prostdedí 25.3 Typy ov?dování v síti 802.1x Ov?dování EAP-TLS Ov?dování PEAP 25.4 Ochrana komunikací Ochrana bezdrátové komunikace Ochrana komunikace v pevné síti 25.5 Pdíprava certifikátS pro ov?dování 802.1x Certifikáty po:íta:S u serverS RADIUS Uživatelské certifikáty pro klienty Certifikáty po:íta:S pro klienty 25.6 Zavedení certifikátS pro uživatele a po:íta:e Server RADIUS Klientské po:íta:e Uživatelé 25.7 Implementace ov?dování 802.1x Konfigurace serveru RADIUS Konfigurace bezdrátového pdístupového bodu nebo pdepína:e Konfigurace pdepína:e Pdipojení k bezdrátové síti Pdipojení k pevné síti 25.8 Doporu:ené postupy 25.9 Další informace

527 528 530 532 532 533 533 533 535 536 536 536 537 537 537 538 539 540 540 546 546 547 549 551 552

ást 5: Správa bezpe:nostních aktualizací Kapitola 26

ízení opravných aktualizací 26.1 Typy oprav 26.2 Vývoj bezpe:nostních aktualizací 26.3 ízení oprav v šesti krocích

557 558 560 562

20

Obsah

Krok 1: oznámení Krok 2: posouzení Krok 3: získání Krok 4: pdezkoušení Krok 5: nasazení Krok 6: ov?dení

26.4 Doporu:ené postupy 26.5 Další informace

562 563 564 567 568 570

571 571

Kapitola 27

Nástroje pro dízení oprav 27.1 Katalog oprav Security Patch Bulletin Catalog 27.2 Služba Windows Update 27.3 Automatické aktualizace 27.4 Služba Microsoft Software Update Services Jak služba SUS funguje Konfigurace serveru SUS Konfigurace klientS SUS 27.5 Aktualizace sady Office 27.6 Služba Windows Update Services Nové funkce služby Windows Update Services Lepší hospodadení se šídkou pásma Pdechod ze služby Software Update Services 27.7 Nástroj Microsoft Baseline Security Analyzer Hledání aktualizací v grafickém režimu Kontrola aktualizací v textové verzi nástroje MBSA z pdíkazového dádku 27.8 SMS 2.0 Software Update Services Feature Pack 27.9 Microsoft System Management Server 2003 Jednodušší správa Jednodušší práce koncových uživatelS 27.10 Doporu:ené postupy 27.11 Další informace

573 575 577 580 581 581 582 585 587 588 588 590 591 592 593 594 596 598 598 599 600 601

ást 6: Plánování a posuzování bezpe:nosti a reakce na incidenty Kapitola 28

Posuzování zabezpe:ení sít? 28.1 Typy bezpe:nostních posudkS Hledání zranitelných míst Penetra:ní testy Audit bezpe:nosti IT 28.2 Jak provád?t posouzení bezpe:nosti

605 606 606 608 609 609

21

Obsah

Pdíprava na posouzení bezpe:nosti Provedení bezpe:nostního posudku ešení problémS nalezených pdi posuzování bezpe:nosti

28.3 Provád?ní penetra:ních testS Krok 1: sb?r informací Krok 2: zkoumání zranitelných míst Krok 3: zám?rné napadení cílové aplikace nebo sít? 28.4 Doporu:ené postupy 28.5 Další informace

610 610 611

612 613 615 616 617 617

Kapitola 29

Nástroje pro posuzování bezpe:nosti 29.1 Definice základního zabezpe:ení Instalace prSvodce Security Configuration Wizard innosti prSvodce Security Configuration Wizard Možnosti prSvodce Security Configuration Wizard 29.2 Posouzení konfigurace zabezpe:ení Konzola Security Configuration and Analysis Utilita pdíkazového dádku Secedit.exe 29.3 Provedení bezpe:nostního posudku Nástroj Microsoft Baseline Security Analyzer Skenování portS 29.4 Doporu:ené postupy 29.5 Další informace

619 620 621 622 623 624 625 627 627 628 637 641 642

Kapitola 30

Pdíprava na bezpe:nostní události 30.1 Vytvodení týmu pro reakci na incidenty Výb?r osobního garanta opatdení Vymezení ú:astníkS Kdo tým povede 30.2 Definice politiky reakce na incidenty Rozd?lení incidentS do kategorií Návrh proaktivních a reaktivních opatdení Vytvodení zásad pro podporu reakcí na incidenty 30.3 Vytvodení plánu komunikací Interní komunikace pded incidentem Komunikace v prSb?hu incidentu Kontakt s úto:níkem Spolupráce s tiskem 30.4 Doporu:ené postupy 30.5 Další informace

645 646 646 647 648 649 649 650 652 655 655 657 659 660 661 661

22

Obsah

Kapitola 31

Reakce na bezpe:nostní události 31.1 Nej:ast?jší projevy bezpe:nostního incidentu Neobvyklý provoz TCP/IP nebo UDP Pdítomnost jistých událostí v souboru systémového protokolu Nedostupnost síPových prostdedkS Nadm?rné zatížení procesoru Nepravidelný výkon služeb Nepravidelné aktivity souborového systému Zm?ny v oprávn?ních 31.2 Analýza bezpe:nostního incidentu Stanovení pdí:iny Jak zabránit dalšímu zneužívání systému Jak zabránit šídení útoku a dalším incidentSm Obnova :innosti služeb Dopln?ní bezpe:nostní politiky o pou:ení z incidentu Sledování úto:níka 31.3 Provád?ní bezpe:nostního šetdení Vyvolání právního postihu Shromaž
Rejstdík

663 665 665 666 668 668 669 669 670 670 670 671 671 671 672 672 673 673 675 679 680 680 681 681 682 683 683

685

Obsah Úvod Používané konvence Doprovodné CD

19 20 20

Kapitola 1

Klí:ové pojmy a strategie dešení problémS 1.1 Architektura systému Windows Server 2003 Sou:ásti režimu jádra Sou:ásti uživatelského režimu Výjimky 1.2 Pdehled odstraGování problémS 1.3 Zjišt?ní problému Zaznamenání chybových zpráv Zachycení stavu systému a informací o konfiguraci Kontrola verzí firmwaru Kontrola protokolS chyb Zaznamenání :asu a souvisejících událostí 1.4 PrSzkum situace Identifikace posledních zm?n Testování problémS za jiných podmínek

23 24 25 26 27 28 30 30 31 32 34 34 35 35 35

6

Obsah

Kontrola hardwaru Identifikace nekonzistencí Identifikace zastaralého softwaru

1.5 Identifikace možných pdístupS Kontrola zdrojS odborných informací Analýza problSmS online 1.6 Implementace nejpravd?podobn?ji úsp?šného pdístupu ešení problémS s hardwarem a ovlada:i ešení problémS se softwarem 1.7 Kontrola úsp?šnosti 1.8 Záv?re:né dopracování Dokumentace a vyhodnocení výsledkS Sestavení ak:ního plánu Analýza pSvodních pdí:in 1.9 Pdijetí aktivních opatdení Konzistentní zálohování systémových dat a konfigura:ních nastavení Rychlé vyhodnocení a zavedení aktualizací Používání antivirového softwaru Zlepšení výpo:etního prostdedí Sledování protokolS o výkonu a protokolS událostí Dokumentace hardwarových a softwarových zm?n Plán pro upgrady hardwaru a softwaru Používání kompatibilního a otestovaného hardwaru Používání kompatibilního softwaru 1.10 Shrnutí a kontrolní seznamy 1.11 Další zdroje informací

39 39 40

40 41 43 43 43 44 45 45 45 46 46 47 47 48 48 48 48 49 49 49 51 52 55

Kapitola 2

Nástroje pro dešení problémS 2.1 Úlohy spojené s dešením problémS 2.2 Vyhledání a instalace nástrojS pro dešení problémS Nástroje pro opera:ní systémy Nástroje v okn? Help and Support Center Nástroje pro podporu Ladicí nástroje ke stažení Nástroje sady Windows Resource Kit 2.3 Okno Help and Support Center 2.4 Nástroje pro dešení problémS s aplikacemi a službami Dependency Walker Eventtriggers Event Viewer Gpresult Openfiles Performance Logs and Alerts

57 58 59 60 60 60 61 61 61 62 63 64 65 66 67 69

7

Obsah

Program Compatibility Wizard RSop Run as (funkce grafického rozhraní GUI) Runas Sc 74 Taskkill Tasklist Task Manager

2.5 Nástroje pro dešení problémS s opera:ním systémem a ovlada:i Boot Logging Device Manager Driver Verifier Manager Error Reporting Service File Signature Verification Ladicí programy jádra Memory Pool Monitor My Computer Information Web Online Crash Analysis Recovery Console Shutdown Event Tracker System Configuration Utility Systeminfo System Information WMIC Windows Update 2.6 Nástroje pro dešení problémS s disky Chkdsk Disk Cleanup 2.7 Nástroje pro dešení problémS v síti Arp107 Ipconfig Nbtstat Net111 Netdiag Netstat Network Monitor Nslookup Pathping Portqry Telnet Client 2.8 Nástroje pro vzdálenou správu Computer Management Emergency Management Services Remote Desktop Telnet server

71 72 73 74 75 76 77

79 81 82 83 84 85 87 87 89 90 90 90 94 97 98 101 102 103 103 104 106 108 110 112 113 114 116 118 122 124

125 125 126 126 127

8

Obsah

Kapitola 3

ešení problémS se spušt?ním 3.1 Procedury pdi spoušt?ní Spoušt?cí fáze 32bitových verzí systému Windows Server 2003 Spoušt?cí fáze po:íta:S se systémem Windows Server 2003 a procesory Itanium Porovnání spoušt?cích procedur 3.2 Pdipravenost na chyby pdi spoušt?ní Uložení systémových souborS a nastavení pomocí nástroje ASR Použití konzoly pro zotavení systému 3.3 ešení chyb spoušt?ní vyskytujících se pded zobrazením loga Windows Oprava souboru Boot.ini u 32bitových po:íta:S Oprava spoušt?cích nastavení v pam?ti NVRAM u po:íta:S s procesory Itanium Oprava spoušt?cího sektoru a hlavního spoušt?cího záznamu Nahrazení spoušt?cích souborS 32bitové verze systému Windows Nahrazení spoušt?cích souborS systému Windows Server 2003 pro platformu Itanium 3.4 ešení chyb spoušt?ní vyskytujících se po zobrazení loga Windows Obnovení poslední funk:ní konfigurace Zapnutí protokolování pdi spoušt?ní Spušt?ní po:íta:e v nouzovém režimu Identifikace problémových ovlada:S a služeb Návrat k pdedchozím verzím ovlada:S Do:asné zakázání služeb 3.5 ešení problémS se spoušt?ním vyskytujících se po pdihlášení Do:asné zakázání aplikací a programS spoušt?ných pdi spušt?ní systému 3.6 Další postupy pro dešení problémS se spoušt?ním Oprava systémových souborS Obnovení dat pomocí nové instalace 3.7 Zotavení z problémS pdi spoušt?ní spojených s hardwarem Kontrola hardwaru Zjednodušení konfigurace hardwaru Kontrola hardwarové konfigurace ze systému Windows Diagnostika problémS spojených s disky ešení problémS pdi vypnutí 3.8 Další zdroje informací

129 130 130 144 148

150 151 151 153 155 164 165 166 167 167 169 170 171 172 176 177 180 180 189 189 190 191 191 195 196 197 198 199

Kapitola 4

ešení chyb Stop 4.1 Pdehled chyb Stop Identifikace chyby Stop ZjišPování údajS potdebných k dešení problémS Zprávy Stop 4.2 Soubory s výpisem stavu pam?ti

201 202 202 203 205 207

9

Obsah

Konfigurace souborS s výpisem stavu pam?ti Zajišt?ní uložení souborS s výpisem stavu pam?ti Analýza chyb Stop pomocí souborS s výpisem stavu pam?ti

4.3 Chyby Stop zaznamenané v systémovém protokolu 4.4 Pdipravenost na chyby Stop Zamezení restartu systému po chyb? Stop Zaznamenání a uložení údajS obsažených ve zpráv? Stop Kontrola požadavkS softwaru na volné místo na disku 4.5 B?žné zprávy Stop Zpráva Stop 0xA neboli IRQL_NOT_LESS_OR_EQUAL Chyba Stop 0x1E neboli KMODE_EXCEPTION_NOT_HANDLED Chyba Stop 0x24 neboli NTFS_FILE_SYSTEM Chyba Stop 0x2E neboli DATA_BUS_ERROR Chyba Stop 0x31 neboli PHASE0_INITIALIZATION_FAILED Chyba Stop 0x32 neboli PHASE1_INITIALIZATION_FAILED Chyba Stop 0x3F neboli NO_MORE_SYSTEM_PTES Chyba Stop 0x50 neboli PAGE_FAULT_IN_NONPAGED_AREA Chyba Stop 0x6B neboli PROCESS1_INITIALIZATION_FAILED Chyba Stop 0x77 neboli KERNEL_STACK_INPAGE_ERROR Chyba Stop 0x79 neboli MISMATCHED_HAL Chyba Stop 0x7A neboli KERNEL_DATA_INPAGE_ERROR Chyba Stop 0x7B neboli INACCESSIBLE_BOOT_DEVICE Chyba Stop 0x7F neboli UNEXPECTED_KERNEL_MODE_TRAP Chyba Stop 0x9F neboli DRIVER_POWER_STATE_FAILURE Chyba Stop 0xBE neboli ATTEMPTED_WRITE_TO_READONLY_MEMORY Chyba Stop 0xC2 neboli BAD_POOL_CALLER Chyba Stop 0xCE neboli DRIVER_UNLOADED_WITHOUT_ CANCELLING_PENDING_OPERATIONS Chyba Stop 0xD1 neboli DRIVER_IRQL_NOT_LESS_OR_EQUAL Chyba Stop 0xD8 neboli DRIVER_USED_EXCESSIVE_PTES Chyba Stop 0xEA neboli THREAD_STUCK_IN_DEVICE_DRIVER Chyba Stop 0xED neboli UNMOUNTABLE_BOOT_VOLUME 4.6 Další zdroje informací

207 211 213

218 218 218 219 220 221 221 223 225 226 227 228 229 231 232 232 234 236 238 240 242 243 244 246 247 248 248 249

250

Kapitola 5

ešení problémS s disky a systémy souborS

253

5.1 Disky, svazky a systémy souborS Diskové sektory na discích MBR Diskové sektory na discích GPT 5.2 Pdíprava na selhání diskS 5.3 Nástroje pro dešení problémS s disky a svazky Zdokonalené možnosti dešení problémS v systému Windows Server 2003 Chkdsk Disk Defragmenter

254 255 275 283 284 284 286 299

10

Obsah

DiskPart DiskProbe Dmdiag Recovery Console

5.4 Postupy dešení problémS s disky a svazky ešení problémS na základ? stavu disku a svazku ešení problémS se spoušt?ním, které souvisí s disky Obnovení redundance svazkS odolných proti chybám Obnovení dat z vadného disku Vým?na vadného disku ešení jiných problémS s disky 5.5 Další zdroje

304 305 306 307

307 308 313 313 316 317 318 319

Kapitola 6

ešení problémS s protokolem TCP/IP 6.1 Pdehled komunika:ních procesS protokolu TCP/IP Komunika:ní proces protokolu TCP/IP Pdeklad názvu na adresu IP Ur:ení adresy IP a rozhraní dalšího sm?rování 6.2 Pdehled dešení problémS Nelze se pdipojit k adrese IP Testování pdekladu adres IP na adresy MAC pomocí ARP Ov?dení trvalých položek tabulky sm?rování Použití nástrojS Tracert a Pathping Ov?dení serverových služeb ve vzdáleném po:íta:i Kontrola protokolu IPSec v hostiteli, který zahajuje komunikaci Kontrola filtrování paketS 6.3 Nelze se pdipojit k hostiteli nebo názvu NetBIOS Error 53 Nelze se pdipojit ke vzdáleným systémSm pomocí názvu hostitele 6.4 ešení problémS se sm?rováním IP Nelze se pdipojit k zadanému serveru ešení problémS s branami ešení problémS s ARP pdes server proxy ešení problémS pdemost?ní s pdekladem 6.5 ešení problémS služeb Nelze odeslat pdíkaz ping pdes sm?rova: jako klient vzdáleného pdístupu ešení problémS s databázomi soubory TCP/IP 6.6 Další zdroje

321 322 323 323 324 329 330 341 343 344 344 344 346 347 347 348 352 353 354 355 356 359 359 360 360

Kapitola 7

Správa systémových služeb 7.1 Pdehled služeb Aplika:ní model klient/server

361 362 362

11

Obsah

Architektura služeb 7.2 Komponenty služeb Položky služeb v registru Procesy služeb Skupiny služeb Závislosti služeb 7.3 Funkce správce SCM Spušt?ní služeb Spušt?ní procesS služeb Potvrzení spoušt?cí a poslední známé funk:ní konfigurace Úloha správce SCM pdi vypnutí systému Popisova:e SCM Registrace služby u správce SCM 7.4 Ú:ty zabezpe:ení služeb Ú:et LocalSystem Ú:et NetworkService Ú:et LocalService Ú:et Domain User Ú:et Local User 7.5 Správa a konfigurace služeb Komunikace mezi programy dízení služeb a správcem SCM Spušt?ní, zastavení, zakázání a obnovení služeb Konfigurace obecných vlastností Správa a konfigurace služeb pomocí nástrojS pro pdíkazový dádek Nastavení možností obnovení služby Správa zabezpe:ení služeb 7.6 Sledování služeb Sledování dostupnosti služby Sledování spolehlivosti služby Sledování výkonu služby 7.7 ešení problémS se službami Nástroje pro dešení problémS se službami Chyby spoušt?ní služeb Detekce služeb, které pdestaly reagovat Analýza chyb služeb Pokro:ilé metody dešení problémS 7.8 Chybové zprávy služeb 7.9 Další zdroje

363 366 366 369 370 372 373 373 374 381 381 383 383 384 385 392 393 393 394 394 395 396 397 397 398 399 403 404 406 410 412 413 415 415 417 429 430 440

Pdíloha A

Pdehled systémových služeb Popis systémových služeb Alerter Application Layer Gateway Service

443 443 445 446

12

Obsah

Application Management ASP.NET State Service Automatic Updates Background Intelligent Transfer Service Certificate Services Client Service for NetWare ClipBook Cluster Service COM+ Event System COM+ System Application Computer Browser Cryptographic Services DHCP Client DHCP Server Distributed File System Distributed Link Tracking Client Distributed Link Tracking Server Distributed Transaction Coordinator DNS Client DNS Server Error Reporting Service Event Log Fax Services File Replication File Server for Macintosh FTP Publishing Service Help and Support HTTP SSL Human Interface Device Access IAS Jet Database Access IIS Admin Service IMAPI CD-Burning COM Service Indexing Service Infrared Monitor Internet Authentication Service Internet Connection Firewall (ICF)/Internet Connection Sharing (ICS) Intersite Messaging IPv6 Helper Service IPSEC Services Kerberos Key Distribution Center Licence Logging Logical Disk Manager Logical Disk Manager Administrative Service Message Queuing Message Queuing Down Level Clients Support

447 448 448 449 451 451 452 452 454 455 455 457 458 459 461 461 463 464 464 466 467 468 470 470 471 472 473 473 474 475 477 478 479 480 481 482 483 484 485 486 487 487 488 489 490

13

Obsah

Message Queuing Triggers Messenger Microsoft POP3 Service Microsoft Software Shadow Copy Provider MSSQL$UDDI MSSQLServerADHelper Net Logon NetMeeting Remote Desktop Sharing Network Connections Network DDE Network DDE DSDM Network Location Awareness (NLA) Network News Transfer Protocol (NNTP) NT LM Security Support Provider Performance Logs and Alerts Plug and Play Portable Media Serial Number Print Server for Macintosh Print Spooler Protected Storage Remote Access Auto Connection Manager Remote Access Connection Manager Remote Administration Service Remote Desktop Help Session Manager Remote Installation Services Remote Procedure Call (RPC) Remote Procedure Call (RPC) Locator Remote Registry Remote Server Manager Remote Storage Server Removable Storage Resultant Set of Policy Provider Routing and Remote Access SAP Agent Secondary Logon Security Accounts Manager Server Shell Hardware Detection Simple Mail Transfer Protocol (SMTP) Simple TCP/IP Services Single Instance Storage Groveler Smart Card SNMP SNMP Trap Service Special Administration Console Helper

491 492 493 494 495 496 497 497 498 499 500 501 502 503 504 505 506 506 507 508 509 510 510 511 512 513 515 516 516 517 518 519 520 521 522 523 524 525 526 527 528 529 530 532 532

14

Obsah

SQLAgent$ UDDI System Event Notification Task Scheduler TCP/IP NetBIOS Helper TCP/IP Print Server Telephony Telnet Terminal Server Licensing Terminal Services Terminal Services Session Directory Themes Trivial FTP Daemon Uninterruptible Power Supply Upload Manager Virtual Disk Service Volume Shadow Copy WebClient Web Element Manager Windows Audio Windows Image Acquisition (WIA) Windows Installer Windows Internet Name Service (WINS) Windows Management Instrumentation Windows Management Instrumentation Driver Extensions Windows Media Services Windows System Resource Manager Windows Time WinHTTP Web Proxy Auto-Discovery Service Wireless Configuration WMI Performance Adapter Workstation World Wide Web Publishing Service

Slovní:ek pojmS Rejstdík

533 534 535 536 537 537 538 539 540 541 542 542 543 544 545 546 547 548 549 550 551 552 553 554 555 556 557 558 559 560 561 562

565 597

Obsah Pohled do historie Pdedmluva Úvod Od autorS Od nakladatelství Od :eského vydavatele

17 21 23 25 26 26

Kapitola 1

Principy a nástroje

1.1 Verze opera:ních systémS Windows 1.2 Základní principy a pojmy Rozhraní API systému Windows Služby, funkce a rutiny Procesy, vlákna a úlohy Virtuální pam?P Režim jádra versus uživatelský režim Terminálové služby a více relací Objekty a manipulátory Zabezpe:ení

27

28 29 29 30 32 39 41 46 47 47

6

Obsah

Registr Sada Unicode

1.3 Cesta do nitra systému Windows Nástroj Performance (Výkon) Sada Windows Support Tools Sady Windows Resource Kit Lad?ní jádra Sada Platform Software Development Kit (SDK) Sada Device Driver Kit (DDK) Nástroje sídla Sysinternals 1.4 Záv?r

48 49

50 51 52 52 52 57 58 58 59

Kapitola 2

Architektura systému

2.1 Požadavky a cíle návrhu 2.2 Model opera:ního systému 2.3 Pdehled architektury Pdenositelnost Symetrický multiprocesing Škálovatelnost Rozdíly mezi klientskými a serverovými verzemi Ov?dovací sestavení 2.4 Klí:ové komponenty systému Subsystémy prostdedí a knihovny DLL subsystémS Ntdll.dll Výkonná :ást Jádro Vrstva abstrakce hardwaru Ovlada:e zadízení Procesy systému 2.5 Záv?r

61

62 63 64 66 67 72 73 75 77 78 87 88 90 92 94 98 108

Kapitola 3

Mechanismy systému

3.1 Odesílání zachycení Odesílání pderušení Odesílání výjimek Odesílání systémových služeb 3.2 Správce objektS Objekty výkonné :ásti Struktura objektS 3.3 Synchronizace Synchronizace pdi vysoké úrovni IRQL Synchronizace pdi nízké úrovni IRQL

109

110 112 133 142 146 149 150 171 172 176

7

Obsah

3.4 Pracovní vlákna systému 3.5 Globální pdíznaky Windows 3.6 Lokální volání procedur 3.7 Trasování událostí jádra 3.8 Wow64 Rozvržení adresového prostoru procesS Wow64 Systémová volání Odesílání výjimek Uživatelská zp?tná volání Pdesm?rování systému souborS Pdesm?rování a zrcadlení registru Požadavky na dízení I/O Aplikace s 16bitovým instalátorem Tisk Omezení 3.9 Záv?r

186 188 191 194 197 198 198 198 198 199 199 200 201 201 201 201

Kapitola 4

Mechanismy správy

4.1 Registr Zobrazení a úpravy registru Používání registru Datové typy registru Logická struktura registru ešení potíží s registrem Vnitdní fungování registru 4.2 Služby Aplikace služeb Ú:ty služeb Správce dízení služeb Spoušt?ní služeb Chyby pdi spoušt?ní Pdijetí spušt?ní a poslední známé dobré verze Selhání služeb Vypnutí služeb Sdílené procesy služeb Programy dízení služeb 4.3 Windows Management Instrumentation Architektura WMI Poskytovatelé Spole:ný informa:ní model (CIM) a jazyk formátu spravovaných objektS (MOF) Obor názvS WMI Pdidazování tdíd Implementace WMI

203

204 204 205 205 207 212 217 232 232 237 243 245 249 250 251 252 253 255 256 257 258 259 262 264 265

8

Obsah

Zabezpe:ení WMI 4.4 Záv?r

267 268

Kapitola 5

Spoušt?ní a vypínání

5.1 Proces spoušt?ní Po:áte:ní fáze spoušt?ní na x86 a x64 Spoušt?cí sektor a Ntldr na systémech x86/x64 Proces spoušt?ní na architektude IA64 Inicializace jádra a subsystémS výkonné :ásti SMSS, CSRSS a Winlogon Automaticky spoušt?né obrazy 5.2 ešení potíží se startem a spoušt?ním Poslední známá dobrá konfigurace Stav nouze Konzola pro zotavení ešení obvyklých potíží se spoušt?ním 5.3 Vypnutí 5.4 Záv?r

269

270 270 274 283 284 288 291 292 292 293 297 299 304 306

Kapitola 6

Procesy, vlákna a úlohy

6.1 Vnitdní fungování procesS Datové struktury Prom?nné jádra Výkonnostní :íta:e Pdíslušné funkce 6.2 Tok funkce CreateProcess Fáze 1: Otevdení obrazu, který se má vykonat Fáze 2: Tvorba objektu procesu výkonné :ásti Windows Fáze 3: Vytvodení po:áte:ního vlákna a jeho zásobníku a kontextu Fáze 4: Upozorn?ní subsystému Windows na nový proces Fáze 5: Spušt?ní vykonávání po:áte:ního vlákna Fáze 6: Vykonání inicializace procesu v kontextu nového procesu 6.3 Vnitdní fungování vláken Datové struktury Prom?nné jádra Výkonnostní :íta:e Související funkce Zrození vlákna 6.4 PrSzkum :innosti vláken 6.5 Plánování vláken Pdehled plánování Windows Úrovn? priorit

307

308 308 315 315 316 318 320 322 326 327 328 328 330 330 337 337 338 339 339 342 342 344

9

Obsah

Rozhraní API plánování v systému Windows Pdíslušné nástroje Priority reálného :asu Stavy vláken Databáze odesílatele Kvantum Scénáde plánování Pdepínání kontextu Ne:inné vlákno Zvyšování priority Víceprocesorové systémy Algoritmy plánování vláken na víceprocesorových systémech

6.6 Objekty úloh 6.7 Záv?r

346 347 349 350 353 355 359 362 362 363 371 380

382 387

Kapitola 7

Správa pam?ti

7.1 Úvod do správce pam?ti Sou:ásti správce pam?ti Interní synchronizace Konfigurování správce pam?ti Kontrola využití pam?ti 7.2 Služby poskytované správcem pam?ti Velké a malé stránky Rezervování a sv?dování stránek Uzamykání pam?ti Granularita alokování Sdílená pam?P a mapované soubory Chrán?ní pam?ti Ochrana stránky pomocí zákazu provád?ní Kopírování pdi zápisu Správce haldy Rozšídení adresování pomocí okna 7.3 Pam?Pové fondy systému Konfigurování velikostí fondS Sledování využití fondu Vedlejší seznamy Nástroj pro ov?dování ovlada:S 7.4 len?ní virtuálního adresového prostoru Rozložení uživatelského adresového prostoru na platform? x86 Rozložení systémového adresového prostoru na platform? x86 Prostor relace na platform? x86 Položky systémové stránkovací tabulky len?ní 64bitových adresových prostorS

389

390 390 392 392 393 396 397 398 399 400 400 402 403 407 408 413 415 416 419 422 424 428 430 431 432 436 436

10

Obsah

7.5 Pdekládání adres Pdeklad virtuálních adres na platform? x86 Vedlejší pdekladová vyrovnávací pam?P Rozšídení fyzické adresy (PAE) Pdeklad virtuálních adres na platform? IA-64 Pdeklad virtuálních adres na platform? x64 7.6 Obsluha chyb stránky Neplatné položky PTE Prototypové položky PTE V/V operace pdi stránkování Kolizní výpadky stránek Stránkovací soubory 7.7 Deskriptory virtuální adresy 7.8 Objekty úseku 7.9 Pracovní sady Stránkování na žádost 7.10 Logický systém pdedb?žného na:ítání Strategie umisPování ízení pracovní sady Správce vyvážení a vlákno odkládacího mechanismu Pracovní sada systému 7.11 Databáze :ísel rámcS stránek Dynamika seznamS stránek Zapisova: modifikovaných stránek Datová struktura PFN Upozorn?ní pdi nízkém a vysokém stavu pam?ti 7.12 Záv?r

437 437 448 449 450 451 452 454 455 456 457 458 462 464 470 471 471 475 476 479 480 482 485 487 488 492 495

Kapitola 8

Bezpe:nost

8.1 Sou:ásti bezpe:nostního systému 8.2 Ochrana objektS Kontroly pdístupu Bezpe:nostní deskriptory a kontrola pdístupu 8.3 Práva ú:tu a oprávn?ní Práva ú:tu Oprávn?ní Super oprávn?ní 8.4 Bezpe:nostní audit 8.5 Pdihlášení Inicializace procesu Winlogon Postup pdihlašování uživatele 8.6 Zásady pro omezení softwaru 8.7 Záv?r

497

501 505 506 519 529 530 531 537 538 541 542 543 547 549

11

Obsah

Kapitola 9

V/V systém

9.1 Sou:ásti V/V systému Správce V/V Obvyklé zpracování V/V 9.2 Ovlada:e zadízení Druhy ovlada:S zadízení Struktura ovlada:e Objekty ovlada:e a objekty zadízení Otevírání zadízení 9.3 Zpracování vstupu a výstupu Typy V/V Synchronní a asynchronní V/V Pakety V/V požadavkS V/V požadavky pro jednovrstvý ovlada: V/V požadavky pro vrstvené ovlada:e Porty ukon:ení V/V Nástroj pro ov?dování ovlada:S 9.4 Správce Plug and Play (PnP) Úrovn? podpory Plug and Play Ovlada: a podpora Plug and Play Zavedení, inicializace a instalace ovlada:e Instalace ovlada:e 9.5 Správce napájení innost správce napájení Jak ovlada: dídí napájení zadízení 9.6 Záv?r

551

552

554 555

556 556 562 564 569 574 575 575 578 584 590 598 602 603 604 605 607 616 620 622 626 626

Kapitola 10

Správa úložišP

10.1 Terminologie 10.2 Diskové ovlada:e Zavad?: Ntldr Ovlada:e tdídy disk, port a miniport Ovlada:e iSCSI Ovlada:e vícecestného V/V (MPIO) Objekty zadízení typu disk Správce oddílS 10.3 Správa svazkS Základní disky Dynamické disky Správa víceoddílových svazkS Jmenný prostor svazku

629

630 630 631 631 633 633 635 636 637 638 641 647 653

12

Obsah

Pdípojné body V/V operace ve svazku Služba virtuálního disku Služba stínové kopie svazku

10.4 Záv?r

654 660 661 663

668

Kapitola 11

Správce mezipam?ti

11.1 Klí:ové vlastnosti správce mezipam?ti Jedna centralizovaná mezipam?P systému Správce pam?ti Soudržnost (koherence) mezipam?ti Odkládání virtuálních blokS Odkládání na bázi proudu Podpora zotavitelných souborových systémS 11.2 Správa virtuální pam?ti pro mezipam?P 11.3 Velikost mezipam?ti LargeSystemCache Virtuální velikost mezipam?ti Velikost pracovní sady mezipam?ti Fyzická velikost mezipam?ti 11.4 Datové struktury mezipam?ti Celosystémové datové struktury mezipam?ti Datové struktury mezipam?ti pro jednotlivé soubory 11.5 Rozhraní souborového systému Kopírování dat do mezipam?ti a nazp?t Odkládání do mezipam?ti s využitím mapovacího a zachycovacího rozhraní Odkládání do mezipam?ti pomocí rozhraní pro pdímý pdístup do pam?ti 11.6 Rychlý V/V 11.7 Dopdedné :tení a zápis na pozadí Inteligentní dopdedné :tení Zpožd?ný zápis z mezipam?ti a lenivé zapisování Omezení zápisu Systémová vlákna 11.8 Záv?r

669

670 670 671 671 673 673 673 674 676 677 678 679 681 683 683 685 689 690 691 694 694 697 697 699 702 703 704

Kapitola 12

Souborové systémy

12.1 Formáty souborových systémS Windows CDFS UDF FAT12, FAT16 a FAT32 NTFS 12.2 Architektura ovlada:e souborového systému

705

707 707 707 708 711 711

13

Obsah

Lokální ovlada:e FSD Vzdálené ovlada:e FSD Fungování souborového systému Explicitní souborová V/V operace Ovlada:e filtru souborového systému

12.3 ešení potíží se souborovým systémem Základní versus pokro:ilý režim programu Filemon Program Filemon a techniky dešení potíží 12.4 Vlastnosti a cíle návrhu systému NTFS Požadavky na špi:kový souborový systém Pokro:ilé vlastnosti systému NTFS 12.5 Ovlada: souborového systému NTFS 12.6 Struktura disku NTFS Svazky Clustery Hlavní souborová tabulka Referen:ní :ísla souborS Souborové záznamy Jména souborS Rezidentní a nerezidentní atributy Komprese dat a dídké soubory Soubor výkazS zm?n Indexování Identifikátory objektS Sledování kvót Spole:né zabezpe:ení Body zm?ny zpracování 12.7 Podpora obnovy v systému NTFS Evoluce návrhu souborového systému Protokolování Služba protokolového souboru (LFS) Obnovení Obnova vadných clusterS systémem NTFS 12.8 Bezpe:nost šifrovacího souborového systému První šifrování souboru Proces dešifrování Zálohování šifrovaných souborS 12.9 Záv?r

712 713 716 717 722

728 729 729 735 735 736 747 749 750 750 751 757 758 760 763 766 770 771 773 774 775 777 777 778 780 781 786 790 794 797 802 803 804

Kapitola 13

Práce v síti

13.1 SíPová architektura Windows Referen:ní model OSI SíPové komponenty Windows

805

806 806 807

14

Obsah

13.2 SíPová rozhraní API Sokety Windows Vzdálené volání procedury Rozhraní API pro pdístup k webu Pojmenovaná propojení a poštovní pdihrádky NetBIOS Další síPová rozhraní API 13.3 Podpora vícenásobných redirektorS Sm?rova: pro více síPových prostdedí Vícenásobný poskytovatel UNC 13.4 Rozklad jmen Systém doménových jmen (DNS) Internetová jmenná služba Windows (WINS) Rozšídení TCP/IP 13.5 Ovlada:e NDIS Variace ovlada:e miniportu NDIS Ovlada:e NDIS orientované na spojení Vzdálené rozhraní NDIS QOS 13.6 Vazby 13.7 Vrstvené síPové služby Vzdálený pdístup Služba Active Directory Vyrovnávání zatížení sít? Služba replikování souborS Distribuovaný souborový systém 13.8 Záv?r

809 810 816 821 823 830 833 834 835 838 839 839 840 844 847 852 852 854 856 857 858 859 859 860 861 862 864

Kapitola 14

Analýza výpisu pam?ti pdi havárii

14.1 Co zpSsobuje havárie Windows? 14.2 Modrá obrazovka 14.3 Soubory s výpisem pam?ti pdi havárii Generování výpisu pam?ti pdi havárii 14.4 Hlášení o chybách systému Windows 14.5 Pdímá analýza havárie 14.6 Základní analýza výpisu pam?ti pdi havárii Program Notmyfault Základní analýza výpisu pam?ti pdi havárii Podrobná analýza 14.7 Použití nástrojS pro dešení havárií Pdete:ení vyrovnávací pam?ti a speciální fond Pdepsání kódu a ochrana systémového kódu pded zápisem 14.8 Pokro:ilá analýza výpisu pam?ti pdi havárii

865

866 867 870 873 873 875 876 876 877 879 881 881 884 886

15

Obsah

Poškození zásobníku Zamrzlý nebo nereagující systém Když se žádný výpis pdi havárii nevytvodí

Slovní:ek pojmS Rejstdík

886 887 891

893 925