Ресурсы windows server 2008 обеспечение безопасности

Windows Server 2008 R2: Защитите свой Windows-сервер

Существует масса методов получения максимальной отдачи от различных функций безопасности Windows Server 2008 R2. Тему безопасности Windows Server 2008 R2 невозможно охватить одной статьей — для требуется объемная книга. Поэтому в этой статье я расскажу только о функциях и методах защиты, которые в первую очередь могут быть полезными вам.

При анализе безопасности в Windows Server 2008 R2 нужно учитывать две фазы: этапы предшествующие и следующие за развертыванием. Предварительный этап можно считать этапом планирования безопасности. Если вы планируете создать новый сервер, вы должны учесть ряд обстоятельств, которые надо рассмотреть до начала какого бы то ни было процесса установки.

Изоляция серверных ролей

Одна из главных задач планирования безопасности перед развертыванием — сокращение контактной зоны сервера. Принцип сокращения контактной зоны основывается на том предположении, что чем больше кода работает в системе, тем больше вероятность, что в нем найдется уязвимость, которой может воспользоваться хакер. Поэтому для сокращения контактной зоны нужно обеспечить, чтобы на сервера выполнялся только необходимый код.

Однако для максимизации защиты рекомендуется зайти немного дальше. В общем случае рекомендуется конфигурировать каждый сервер на выполнение одной конкретной задачи. Например, вместо того, чтобы запускать службы DNS и DHCP на машине, уже выполняющей роль файлового сервера, с точки зрения безопасности лучше устанавливать каждую роль на выделенном сервере. Это не только позволяет сократить контактную зону, но также упрощает устранение неполадок, потому что конфигурация серверов значительно проще.

Понятно, что иногда использования отдельных серверов для каждой роли непрактично из соображений экономии или функциональных требований. Но даже в таких обстоятельствах, всегда лучше по возможности изолировать серверные роли.

Дополнительную экономию средств на серверы можно получить за счет виртуализации серверов. Например, лицензия на редакцию Windows Server 2008 R2 Enterprise предусматривает возможность размещения до четырех виртуальных машин при условии, что на сервере установлена только роль Hyper-V.

Используйте ядро сервера

Другой тактикой сокращения контактной зоны сервера является установка ядра сервера. Ядро сервера представляет собой сильно сокращенный вариант Windows Server 2008 R2, который не содержит пользовательского графического интерфейса.

Так как на ядре сервера работает минимальное число системных служб, у него намного меньше контактная зона, чем у обычных экземпляров Windows-серверов. Ядро сервера также демонстрирует лучшую производительность. У ядра сервера минимальные затраты вычислительных ресурсов, что делает его идеальным для размещения в виде виртуальной машины.

К сожалению ядро сервера нельзя использовать для всех случаев, в которых используется нормальная версия Windows Server 2008 R2, потому что оно поддерживает только ограниченное число системных служб и серверных приложений. Таким образом использовать ядро сервера следует во всех случаях, когда это возможно, но нужно смириться с тем фактом, что оно сгодится не для всех ваших серверных задач — по крайней мере не сейчас.

Планирование групповых политик

Предшествующее развертыванию планирование безопасности важно, но после развертывания и запуска серверов процедуры по управлению безопасностью должны предусматривать планирование и управление групповыми политиками. Рекомендуется подумать о параметрах групповых политик до развертывания Windows. Политики также потребуется корректировать со временем вместе с развитием требований по безопасности.

Управлять параметрами групповых политик можно средствами, входящими в состав Windows Server 2008 R2, но Microsoft еще предлагает бесплатную утилиту, которая называется Security Compliance Manager (SCM) и позволяет упростить процесс управления. Процесс установки прост и предусматривает использование одного мастера. Просто не забудьте установить флажок, который заставит мастера проверить наличие обновлений.

После установки SCM его можно запустить из меню Пуск. При первом запуске утилита импортирует несколько пакетов с планами безопасности. Это может занять какое-то время.

После загрузки планов безопасности в дереве консоли вы увидите несколько категорий планов. Разверните контейнер Windows Server 2008 R2 SP1, чтобы увидеть планы для Windows Server 2008 R2. Microsoft предоставляет планы безопасности для нескольких серверных ролей (рис. 1).

Рис. 1. Security Compliance Manager предоставляет ряд планов безопасности для Windows Server 2008 R2

План безопасности представляет собой набор параметров групповых политик, которые считаются оптимальными для той или иной роли. Хотя планы безопасности соответствую рекомендациям Microsoft в области безопасности, слепо следовать им не стоит. В вашей организации могут быть совершенно иные, уникальные требования к безопасности. В общем случае, Microsoft рекомендует расширять стандартные планы безопасности в соответствии с этими требованиями.

Первым делом надо выбрать план безопасности, который соответствует конфигурируемой серверной роли. Затем щелкните ссылку Duplicate в панели Actions, чтобы скопировать план безопасности. Так вы сможете менять параметры, не опасаясь внести необратимые изменения в исходный план безопасности.

В открывшемся окне задайте имя своего нестандартного плана безопасности и щелкните Save. После этого вновь созданный план безопасности появится в разделе Custom Baselines в верху дерева консоли.

Выбрав свой план безопасности в дереве консоли, вы увидите все параметры безопасности в центральной панели консоли. Здесь перечислены рекомендуемые компанией Microsoft параметры по умолчанию, а также ваши пользовательские параметры (рис. 2). В исходном состоянии пользовательские параметры совпадают с заданными Microsoft. При внесении изменений они будут отображаться в столбце Customized.

Рис. 2. Выберите пользовательский план безопасности, чтобы увидеть его параметры.

Изменять отдельные параметры политик можно, дважды щелкнув нужную политики и задав новое значение (рис. 3). После внесения изменений щелкните ссылку Collapse, чтобы сохранить изменения. При этом измененные параметры будут выделены полужирным.

Рис. 3. Двойным щелчком параметр безопасности открывается для редактирования

По завершении настройки параметров безопасности и внесения необходимых изменений в планы безопасности нужно экспортировать получившийся план безопасности. Панель Actions содержит несколько вариантов экспорта.

Можно экспортировать план безопасности в электронную таблицу Excel. Это позволяет сохранить задокументированную копию параметров вашего плана безопасности независимо от SCM. Нужно также экспортировать параметры в резервную копию объекта групповой политики (GPO). Эту резервную копию можно использовать для импорта параметров плана безопасности в редактор групповых политик.

Для этого в редакторе групповых политик откройте политику безопасности, которую нужно изменить, щелкните правой кнопкой контейнер Security Settings и выберите Import Policy (рис. 4).

Рис. 4. Импорт параметров безопасности в редакторе групповых политик

Мастер настройки безопасности

Мастер настройки безопасности — также удобное средство защиты серверов под управлением Windows 2008 R2. Он по умолчанию устанавливается в составе Windows Server 2008 R2 и доступен в меню Administrative Tools. Как и SCM, мастер настройки безопасности предназначен для создания политик безопасности для различных серверных ролей, которые можно экспортировать на серверы вашей сети.

При запуске мастера вы увидите вводную страницу. Щелкните Next, чтобы открыть страницу, на которой предлагается указать, какое действие вы собираетесь выполнить. Можно открыть, редактировать или применить политику безопасности, также можно откатиться до последней политики безопасности.

Если вы хотите создать новую политику, мастер предложит указать имя или IP-адрес сервера, настройку которого следует использовать в качестве плана безопасности.

Щелкните Next несколько раз, чтобы перейти к странице, где нужно указать, какие роли будет выполнять сервер (рис. 5). Список ролей автоматически заполняется ролями, установленными на сервере, на основе которого вы собираетесь создавать новую политику. После этого можно вручную изменять список ролей.

Важно, чтобы список ролей содержал именно те роли, параметры которых вы собираетесь переносить на другие серверы. Параметры групповых политик, реестра и конфигурация брандмауэра будут копироваться с выбранных ролей.

Рис. 5. Выберите роли, которые будут установлены на целевых серверах

Щелкните Next, чтобы увидеть аналогичный список компонентов, установленных на сервере. И на этот раз важно, чтобы список компонентов был точным. Важно также заметить, что мастер настройки безопасности не устанавливает роли и компоненты, а только создает политики указанных вами установленных ролей и компонентов.

Формат следующих двух страниц похож на формат страниц для ролей и компонентов. На одной странице предлагается выбрать установленные компоненты (Installed Options), такие как удаленный рабочий стол (Remote Desktop) или удаленное управление томами (Remote Volume Management). На следующей странице спрашивается, не установлены ли дополнительные службы, такие как слуба дефрагментации дисков или Adobe Acrobat Update. В списке можно увидеть некоторые службы, не разработанные Microsoft, — их состав зависит от установленного на сервере ПО.

На следующей странице предлагается указать, что должно происходить, если при загрузке встретится не указанная в политике служба. Можно оставить тип запуска службы без изменений или заблокировать службу. На следующей странице вы увидите список служб, тип запуска которых будет изменен, — здесь нужно убедиться, что ни она из важных служб не будет отключена.

Далее мастер переходит к разделу безопасности сети. При необходимости можно пропустить этот шаг. Он предназначен для настройки брандмауэра Windows в соответствии с тем, как планируется использовать сервер. Этот раздел позволяет пересмотреть существующие правила брандмауэра или удалить ненужные правила.

Далее следует раздел реестра. В этом разделе мастер предлагает указать, должны ли операционная система компьютеров, подключающиеся к серверу, удовлетворять определенным минимальным требованиям. Здесь также проверяется, есть ли на сервере избыток вычислительных мощностей. Эти параметры конфигурации определяют, нужно ли включать сигнатуры безопасности SMB.

На других страницах предлагается указать, какие типы учетных записей используются, а также какие типы контроллеров домена имеются в сети. После получения всех ответов мастер показывает все изменения, которые предполагается внести в реестр.

Последний раздел перед сохранением политики безопасности — раздел аудита политики. Здесь предлагается ответить на один вопрос, касающийся общего отношении к аудиту. В частности предлагается указать, какие события должны подвергаться аудиту: успешные, успешные и неуспешные или никакие. Параметры политики аудита будут определены на основе этого выбора.

В конце работы мастера предлагается сохранить новую политику как XML-файл. Применить новую политику безопасности можно сразу или позже. Если вы решите применять ее не сразу, ее можно будет применить, повторно запустим мастер управления безопасностью и выбрав вариант Apply an Existing Security Policy (рис. 6).

Рис. 6. Средствами мастера управления безопасностью можно применить ранее созданную политику безопасности

В одной статье невозможно рассказать о всех возможностях безопасности Windows Server, но я описал самые важные. Основными средствами, которые позволяют организовать безопасность серверов, не прибегая к индивидуальной настройке отдельных параметров безопасности, являются мастер управления безопасностью и Security Compliance Manager.

Источник

Безопасность в Windows Server 2008

В течение последних нескольких лет при создании компанией Microsoft очередной версии своей операционной системы или ее обновления первостепенное значение придавалось повышению ее безопасности. Ради безопасности нас призывали переходить с Windows 98 на Windows XP, безопасность была главной характеристикой XP Service Pack 2, а затем и Windows Vista. Усовершенствования в области безопасности стояли на первом месте в списках изменений Windows Server 2003 и Windows Server 2003 SP1. Не станет исключением и выходящая в эти дни Windows Server 2008. Что это? — сказка про пастуха, который каждый день кричал «волки! волки!», или серьезные изменения, ради которых стоит срочно заняться переустановкой операционной системы своих серверов? В настоящей статье мы постараемся ответить на данный вопрос, рассмотрев основные нововведения Windows Server 2008 в области безопасности.

Что такое безопасность

Безопасность — чрезвычайно широкое понятие. В данной статье мы определим ее как устойчивость к потенциальным атакам: и со стороны зараженных сайтов во Всемирной паутине, и вирусов, попавших в сеть с вновь включенного в нее ноутбука, и злоумышленников, выкравших ваш контроллер домена, и многих-многих других.

Безопасность важна не только агентам спецслужб, но и любому предприятию, дорожащему своей информационной инфраструктурой. Павел Нагаев, один из ведущих администраторов Каспийского трубопроводного консорциума (КТК), говорит о безопасности так: «КТК — это нефтепровод с Каспийского моря на Черное море длиной 1500 км. Любой простой из-за проблем безопасности для нас — это прежде всего потеря денег и репутации. Поэтому безопасность для КТК превыше всего. В Windows Server 2008 нас заинтересовали новые возможности безопасности: Network Policy and Access Services, Active Directory Rights Management Services и Read Only Domain Controller. Это, безусловно, перспективные технологии, которые мы изучаем и будем использовать в скором будущем».

Теперь умножим все возможные сценарии атак на сценарии применения сервера и получим непростую задачу обеспечения безопасности новой серверной операционной системы, стоявшую перед командой Windows Server.

Перечислим основные направления, в которых производилась работа по улучшению безопасности в Windows Server 2008:

улучшения во внутреннем коде операционной системы. Windows Server 2008 — первая серверная ОС Microsoft, которая разрабатывалась по принципам Secure Development Model. Были подвергнуты тщательному изучению с точки зрения безопасности, а подчас и переписаны многие внутренние модули ОС;
модульность — операционная система стала гораздо менее монолитной, что позволяет не устанавливать ненужные вам (но являющиеся потенциальными мишенями для атак) компоненты, вплоть до графического пользовательского интерфейса;
сетевая безопасность — борьба за нераспространение вирусов и атак внутри сети от одного компьютера к другому;
безопасность корпоративной директории — возможность установки директории в режиме защиты от записи и без графического интерфейса;
безопасность интернет-серверов — кардинально переработанный веб-сервер IIS 7, теперь целиком базирующийся на принципах модульности и работы только компонентов, необходимых для его использования в конкретном сценарии.

Изменения в самой операционной системе

Пожалуй, к этой категории относятся изменения, которые в основном скрыты от наших глаз. По утверждениям Microsoft, разработчики тщательно проанализировали существующий код операционной системы и переработали его с целью снижения его потенциальной уязвимости. Например, в Windows Vista и Windows Server 2008 была целиком переписана реализация всего стека сетевых протоколов.

Для пользователей эти изменения, скорее всего, будут заметны как изменившийся (в меньшую сторону) уровень доступа многих сервисов операционной системы и. потенциальных несовместимостей приложений и драйверов прошлых лет с новой операционной системой. Последнее, видимо, является в данном случае неизбежным злом, которое, впрочем, стоит учитывать при принятии решения о переходе на Windows Server 2008: уточните у производителей используемого вами ПО, когда именно они начнут поддерживать новую версию, и перед развертываением нового сервера проверьте совместимость в тестовой среде.

Следует также упомянуть новые механизмы защиты файловой системы. Так, Windows теперь защищает свою целостность, запоминая контрольные суммы системных файлов и проверяя их при каждой загрузке. Если система обнаруживает, что файлы были изменены, то Windows сообщает администратору о возможном обнаружении деятельности вируса и процесс загрузки приостанавливается.

Отдельно отметим, что 64-разрядная версия защищена лучше, чем 32-разрядная, поскольку не позволяет загружать в ядро операционной системы модули, не подписанные цифровым сертификатом, которому вы доверяете. Кроме того, групповые политики обеспечивают запрет дополнительных установок устройств на сервер, что создает дополнительный рубеж защиты от непрошенных драйверов.

Наконец, технология BitLocker позволяет использовать чип Trusted Platform Module (если сервер оснащен таковым) или внешний накопитель USB для шифрования системного жесткого диска сервера, обеспечивая таким образом дополнительную защиту самой системы и данных на диске (рис. 1).

Рис. 1. Технология BitLocker позволяет зашифровать жесткий диск
с помощью ключа, хранящегося на доверенном платформенном модуле
(TPM) версии 1.2 или на флэш-накопителе USB

Меньше функциональности — меньше проблем

Серверные роли

Самое заметное изменение операционной системы, пройти мимо которого вам не удастся, — это серверные роли и Server Manager, представляющий собой административный интерфейс для их управления. Вы выбираете те роли, которые ваш сервер будет выполнять, и Server Manager устанавливает соответствующие компоненты (рис. 2).

Рис. 2. Интерфейс настройки Server Manager позволяет
сконфигурировать сервер под требуемые вам роли

Принцип прост: вы решаете, какие сценарии применения предстоит поддерживать вашему серверу, и выбираете соответствующие роли и свойства. Server Manager сам устанавливает модули, необходимые для реализации вашего выбора, оставляя остальные за бортом инсталляции.

Server Core

Предельной формой этого процесса является режим установки Server Core. Это минимальная конфигурация Windows Server, в которую не включена даже графическая оболочка проводника.

Принцип модульности для обеспечения очень прост: чем меньше компонентов сервера у вас установлено и работает, тем меньше потенциальная поверхность атаки и потенциальное количество уязвимостей. Вспомним, какое количество патчей на Windows Server 2000 и 2003 было призвано закрыть уязвимости Internet Explorer и его компонентов, и ответим на простой вопрос: действительно ли мы хотим, чтобы наши администраторы выходили в Интернет с контроллера домена сети? Думаю, что ответ очевиден.

По оценкам сотрудников компании Microsoft, 72% «заплаток», выпущенных для Windows Server 2003, не понадобились бы, если бы у этой версии была опция установки Server Core (рис. 3).

Рис. 3. Режим Server Core: нет графической оболочки — нет проблем

Если соотношение количества обновлений для различных компонентов для Windows Server 2008 останется примерно таким, каким оно было для предыдущей серверной версии Windows, это будет означать, что благодаря выбору Server Core ваш сервер станет безопаснее примерно в 4 раза, и в 4 раза уменьшится количество обновлений, которые вам придется на него устанавливать.

Server Core поддерживает следующие серверные роли:
Active Directory Domain Services (то, что раньше называлось Active Directory или Domain Controller);
Active Directory Lightweight Directory Services («легкий» аналог Active Directory для приложений);
Dynamic Host Configuration Protocol (DHCP);
Domain Name System (DNS);
файловый сервер;
сервер печати;
веб-сервер (с существенными ограничениями в связи с отсутствием в Server Core .NET Framework — фактически поддерживаются только статические страницы).

Установка и настройка ролей в полном варианте сервера фактически сводится к расстановке галочек в Server Manager и использованию оснасток Microsoft Management Console (MMC) для дальнейших настроек. В режиме Server Core всю локальную настройку придется осуществлять с помощью утилит командной строки.

Когда роль установлена, дальнейшая удаленная настройка (например, Active Directory, работающего на контроллере домена в режиме Server Core) может быть реализована удаленно с рабочей станции администратора. Кроме того, удаленно можно применять и другие технологии, такие как Windows PowerShell (которого, к сожалению, пока локально в Server Core нет в связи с его зависимостью от .NET Framework).

Брандмауэр

Server Manager не только устанавливает нужные компоненты, но и выполняет, к примеру, конфигурацию встроенного брандмауэра, открывая порты, необходимые для работы компонента. Очень полезное нововведение, исключающее искушение выключить брандмауэр, если какой-то компонент сервера не работает (рис. 4).

Рис. 4. Новый интегрированный интерфейс настраивает брандмауэр
в соответствии с установками IPSec и ролью сервера

Кстати, аналогичным образом брандмауэр интегрирован теперь и с настройками политик IPSec, что позволяет избежать «накладок», при которых политики IPSec и брандмауэра оказываются взаимоисключающими и сервер «исчезает» из вашей сети.

Сетевая безопасность

Ваши серверы наверняка не одиноки в вашей сети. Как бы замечательно вы их ни настроили, как бы прекрасно ни следили за тем, чтобы на них стояли последние обновления антивирусных программ и операционной системы, как бы прекрасно ни защищали соединение своей сети со Всемирной паутиной, для потенциальных атак всегда остается еще одна лазейка — компьютеры ваших пользователей. Проблема усугубляется тем, что пользователи становятся более мобильными: они ездят со своими ноутбуками в командировки, работают из дома и интернет-кафе, подключаются из других сетей, безопасность которых от вас не зависит.

Windows Server 2008 борется с данной проблемой в двух основных направлениях:

позволяя устанавливать более безопасные удаленные соединения, не требующие полного VPN (Virtual Private Network) доступа;
следя за соблюдением на клиентских машинах корпоративных политик безопасности с помощью Network Access Protection.

Гранулярность удаленных соединений

Когда-то удаленное соединение означало автоматический полный доступ к корпоративной сети. Какое бы приложение и какие бы данные вам ни требовались, ответом был полный доступ, так называемая виртуальная частная сеть (Virtual Private Network, VPN).

Почтовый сервер Exchange2003 первым нарушил это правило, введя возможность устанавливать так называемые RPC/HTTPS-соединения, когда почтовый клиент может общаться с сервером удаленно через безопасное HTTP-соединение, при этом не давая машине клиента никакого дополнительного доступа в сеть.

Windows Server 2008 позволяет шагнуть еще дальше и настроить терминальный HTTPS-доступ к любому приложению вашей сети без установления полного VPN-соединения. Для этого необходимо настроить на Windows Server 2008 терминальный сервер и убедиться, что на клиентских машинах установлена последняя версия клиента RDP (Remote Desktop Protocol) — 6.1. Этот клиент входит в состав Windows Server 2008, Windows Vista SP1 и Windows XP SP3 (рис. 5).

Рис. 5. Удаленный доступ к терминальным приложениям теперь возможен
через безопасное интернет-соединение

Network Access Protection

Даже если вы смогли избавиться от VPN-соединений, остается вторая проблема, о которой мы уже упоминали, — ноутбуки, возвращающиеся в вашу сеть из чужих сетей. А коль скоро эти компьютеры на какое-то время уходили из-под вашего контроля, то как убедиться, что они не представляют для вашей сети угрозу?

Для этого в Windows Server 2008 предусмотрен новый компонент — система защиты сетевого доступа NAP (Network Access Protection). Заключается она в том, что при установлении сетевого соединения сервер может заставить компонент NAP, находящийся на клиенте, отчитаться о состоянии компьютера, например о наличии последних обновлений операционной системы и антивирусных программ. Дальше сервер политик проверяет отчет и сопоставляет его с текущими требованиями. Если требования выполнены, компьютер попадает в сеть, а если нет — отправляется в карантинную зону, где может поставить последние обновления и попробовать войти в сеть снова (рис. 6).

Рис. 6. Технология NAP позволяет выделить сегмент сети,
в который не допускаются компьютеры,
не соответствующие корпоративным стандартам
безопасности

NAP может работать со следующими типами соединений:

DHCP — политики проверяются при выдаче динамического IP-адреса;
802.1x — беспроводные соединения;
VPN — удаленные соединения;
IPSec — при наличии у вас сконфигурированной доменной политики.

IPSec — наиболее безопасный и полноценный способ установления NAP, но при этом и наиболее сложный в настройке (требуется тщательная настройка и проверка множества индивидуальных политик).

Следует также обратить внимание на то, что проверка состояния клиента осуществляется установленным на нем клиентом NAP, из чего можно сделать два важных вывода:

этот NAP-клиент должен там быть. В данный момент он существует только для Windows Vista, но вскоре, начиная с версии SP3, появится и для Windows XP;
потенциально может быть создан злобный вирус, способный притвориться хорошим клиентом и обмануть сервер политик.

Из последнего утверждения следует еще один важный вывод: NAP — один из компонентов системы безопасности, позволяющий установить у вас в сети единые политики и стандарты конфигурации, но он не обеспечивает защиту от всех бед. NAP призван действовать в сочетании с другими мерами, такими как наличие на всех клиентских машинах антивирусов и брандмауэров, использование пользователями обычных, а не привилегированных учетных записей и т.д.

Изменения в Active Directory

Начиная с Windows Server 2000 компонент Active Directory является главным в системе корпоративной безопасности Windows-сетей. Это корпоративная директория учетных записей пользователей, авторизующая доступ, дающая информацию о членстве пользователя в группах безопасности и т.д. Учитывая это, отрадно видеть, что большое количество улучшений в Windows Server 2008 коснулось именно Active Directory:

в удаленных офисах теперь можно ставить контроллеры доменов в режиме доступа только на чтение;
можно делегировать права на поддержание этих серверов, не давая при этом дополнительного административного доступа в самом домене;
улучшен аудит изменений в домене;
появилась возможность задания гранулярных политик паролей пользователей;
контроллер домена можно установить и в безопасном режиме Server Core.

О Server Core мы уже рассказали, а теперь подробнее рассмотрим первые четыре изменения.

Read-Only Domain Controller

Если вам знакома аббревиатура BDC, то, вероятно, вы, как и я, начинали свою работу с сетями Windows в славные 90-е годы господства Windows NT. В те времена в доменах был только один контроллер, на котором можно было вносить изменения, — Primary Domain Controller (PDC), а остальные — Backup Domain Controllers (BDC) — служили лишь для обеспечения балансирования нагрузки и отказоустойчивости.

Windows Server 2000 и Active Directory перешли к куда более масштабируемой системе, при которой изменения могут вноситься на любом контроллере домена, но при этом очевидной стала проблема безопасности удаленных офисов.

К примеру, у вас есть удаленный офис, в котором вы не можете гарантировать стопроцентную безопасность вашего контроллера домена — физическую или административную. Если в таком офисе контроллер домена не ставить, то пользователи будут страдать от крайне медленного процесса аутентификации их компьютеров в сети и применения групповых политик. Если ставить — то атака на такой контроллер домена автоматически превращается в атаку на всю вашу сеть.

Read-Only Domain Controller (RODC) — это специальный режим работы контроллера домена Active Directory для таких сценариев. Безопасность контроллера обеспечивается с помощью следующих мер:

контроллер не принимает запросов на изменения — они перенаправляются на обычные контроллеры основного офиса. Таким образом, он становится просто кэшем для эффективной локальной работы сети;
репликация данных осуществляется только в одну сторону — на RODC. Даже если злоумышленники смогут модифицировать базу сервера, эти изменения не распространятся на всю сеть;
вы определяете, следует ли RODC иметь в своей базе хэши паролей, а если следует, то для каких пользователей. Это защищает от потенциального использования контроллера удаленного офиса для подбора административных и пользовательских паролей ваших пользователей (рис. 7).

Рис. 7. Контроллер домена только для чтения позволяет обеспечить
эффективную работу удаленного офиса, не ставя под угрозу
безопасность сети

Что особенно приятно, для применения RODC вам вовсе не надо переводить все ваши контроллеры домена на Windows Server 2008. Последняя версия Windows нужна лишь на самом RODC и на полноценном контроллере, куда RODC будет перенаправлять запросы на запись и аутентификацию.

Делегированное администрирование сервера

Делегирование администрирования сервера контроллера домена — второй важный компонент развертывания инфраструктуры удаленного офиса. В предыдущих версиях Windows, если вы хотели наделить сотрудника правом поддержания самого сервера, на котором работал контроллер домена, вы должны были сделать его администратором домена. Теперь вы можете дать пользователю только права на операционную систему (установку драйверов и другие задачи), но не на директорию.

Добавьте к этому возможность установить данный контроллер домена в режиме Server Core Read-Only Domain Controller и включить его шифрование с помощью системы BitLocker — и вы получите куда более высокий уровень защиты вашего домена по сравнению с тем, что был доступен в предыдущих версиях Windows.

Улучшенный аудит

Улучшился и аудит изменений в директории. Раньше журнал событий директории не содержал полезных сведений о сути изменений, которые производили в ней администраторы. Начиная с Windows Server 2008 вы, к примеру, можете узнавать не просто о том, что учетная запись пользователя изменилась, но что такой-то администратор поменял такой-то атрибут с такого-то на такое-то значение.

Учитывая дополнительные улучшения системы работы с журналами событий в Windows Vista и Windows Server 2008 — такие, как агрегирование, пересылка и подписки на события, — можно сделать вывод, что аудит изменений директории становится куда более полезным.

Гранулярные политики паролей

Гранулярные политики паролей — еще одно важное улучшение безопасности директории. Политика паролей определяет, к примеру, то, как часто должен пользователь менять свой пароль, какова должна быть минимальная длина пароля и его сложность и т.д. Проблема в предыдущих версиях Windows Server заключалась в том, что на всех пользователей домена можно было определить только одну такую политику. Соответственно, если у вас в сети часть учетных записей пользователей должна была отвечать более серьезным требованиям безопасности, перед вами вставал нелегкий выбор: либо применять более строгую политику ко всем пользователям, неоправданно усложняя жизнь простым сотрудникам и увеличивая нагрузку на ваших администраторов по сбрасыванию забытых паролей, либо ставить безопасность под угрозу чрезмерно мягкими политиками.

В Windows Server 2008 эта дилемма больше не стоит. Вы можете определять любое количество политик паролей в вашем домене, устанавливая их на группы и отдельные учетные записи пользователей.

Следует иметь в виду, что в Windows Server 2008 пока не входит интерфейс по настройке таких политик и поэтому требуется использовать утилиту ADSIEdit для ручного редактирования атрибутов Active Directory. Существуют альтернативные способы управления этими политиками, например с помощью командной строки PowerShell (библиотеки AD cmdlets) и графического интерфейса PowerGUI — бесплатных утилит, в создании которых принимал участие и автор данной статьи.

Безопасный веб-сервер

Урок безопасности, полученный когда-то командой Internet Information Services (IIS), был суровым и запоминающимся. В 2000 году IIS был сделан устанавливаемой по умолчанию частью Windows Server 2000. Статистика по распространенности сервера пошла стремительно вверх. IIS по своей распространенности стал наконец конкурировать с Apache. Но эйфория длилась недолго: 13 июля 2001 года вирус Code Red использовал брешь в IIS, а стало быть в Windows Server, и начал распространяться по Интернету со скоростью лесного пожара.

Урок был учтен. IIS 7 — новая версия веб-сервера компании Microsoft и часть Windows Server 2008 — не только не устанавливается по умолчанию, но и требует выбора соответствующей роли сервера, а также дает возможность опциональной установки только компонентов, реально необходимых вашему серверу. Соблюдается все тот же принцип: чем меньше сервисов запущено, тем меньше потенциальных мишеней доступно злоумышленникам.

Кроме того, все настройки сервера можно хранить в XML-файлах, что позволяет вам легко обеспечивать единообразие настроек среди всех ваших веб-серверов. А значит, снижается риск случайной ошибки настройки защиты одного сервера.

Заключение

Безопасность не пункт назначения, а путь к нему. Windows Server 2008 несет в себе множество улучшений и инструментов, позволяющих продвинуться по этому пути дальше. Некоторые из них, такие как внутренние архитектурные изменения, являются просто частью операционной системы, а какие-то, например Network Access Protection, требуют тщательной настройки во всей вашей сети и обновления клиентских компьютеров.

Как обычно, необходимость перехода на последние версии продуктов зависит от конкретной сети и задач, стоящих перед вами и вашей организацией. Но если безопасность сети является для вас важным приоритетом, то, похоже, Windows Server 2008 — это операционная система, на которую вам следует обратить внимание.