Безпека в Windows Server 2008

  1. Що таке безпека
  2. Зміни в самій операційній системі
  3. Менше функціональності - менше проблем
  4. Server Core
  5. брандмауер
  6. мережева безпека
  7. Гранулярність віддалених з'єднань
  8. Network Access Protection
  9. Зміни в Active Directory
  10. Read-Only Domain Controller
  11. Делеговане адміністрування сервера
  12. покращений аудит
  13. Гранулярні політики паролів
  14. Безпечний веб-сервер
  15. Висновок

Дмитро Сотников

Що таке безпека

Зміни в самій операційній системі

Менше функціональності - менше проблем

серверні ролі

Server Core

брандмауер

мережева безпека

Гранулярність віддалених з'єднань

Network Access Protection

Зміни в Active Directory

Read-Only Domain Controller

Делеговане адміністрування сервера

покращений аудит

Гранулярні політики паролів

Безпечний веб-сервер

висновок

Протягом останніх кількох років при створенні компанією Microsoft черговий версії своєї операційної системи або її поновлення першорядне значення надавалося підвищенню її безпеки. Заради безпеки нас закликали переходити з Windows 98 на Windows XP, безпека була головною характеристикою XP Service Pack 2, а потім і Windows Vista. Удосконалення в області безпеки стояли на першому місці в списках змін Windows Server 2003 і Windows Server 2003 SP1. Чи не стане винятком і виходить в ці дні Windows Server 2008. Що це? - казка про пастуха, який кожен день кричав «вовки! вовки! », або серйозні зміни, заради яких варто терміново зайнятися перевстановлення операційної системи своїх серверів? У цій статті ми постараємося відповісти на дане питання, розглянувши основні нововведення Windows Server 2008 в області безпеки.

Що таке безпека

Безпека - надзвичайно широке поняття. У даній статті ми визначимо її як стійкість до потенційних атак: і з боку заражених сайтів у Всесвітній павутині, і вірусів, що потрапили в мережу з знову включеного в неї ноутбука, і зловмисників, які викрадали ваш контролер домену, і багатьох-багатьох інших.

Безпека важлива не тільки агентам спецслужб, але і будь-якому підприємству, дорожить своєю інформаційною інфраструктурою. Павло Нагаєв, один з провідних адміністраторів Каспійського трубопровідного консорціуму (КТК), говорить про безпеку так: «КТК - це нафтопровід з Каспійського моря на Чорне море довжиною 1500 км. Будь простий через проблеми безпеки для нас - це перш за все втрата грошей і репутації. Тому безпека для КТК понад усе. У Windows Server 2008 нас зацікавили нові можливості безпеки: Network Policy and Access Services, Active Directory Rights Management Services і Read Only Domain Controller. Це, безумовно, перспективні технології, які ми вивчаємо і будемо використовувати в недалекому майбутньому ».

Тепер помножимо всі можливі сценарії атак на сценарії застосування сервера і отримаємо непросту задачу забезпечення безпеки нової серверної операційної системи, що стояла перед командою Windows Server.

Перелічимо основні напрямки, в яких проводилася робота щодо поліпшення безпеки в Windows Server 2008:

  • поліпшення у внутрішньому коді операційної системи. Windows Server 2008 - перша серверна ОС Microsoft, яка розроблялася за принципами Secure Development Model. Були піддані ретельному вивченню з точки зору безпеки, а часом і переписані багато внутрішні модулі ОС;
  • модульність - операційна система стала набагато менш монолітною, що дозволяє не встановлювати непотрібні вам (але є потенційними мішенями для атак) компоненти, аж до графічного призначеного для користувача інтерфейсу;
  • мережева безпека - боротьба за нерозповсюдження вірусів і атак всередині мережі від одного комп'ютера до іншого;
  • безпеку корпоративної директорії - можливість установки директорії в режимі захисту від запису і без графічного інтерфейсу;
  • безпеку інтернет-серверів - кардинально перероблений веб-сервер IIS 7, тепер цілком базується на принципах модульності і роботи тільки компонентів, необхідних для його використання в конкретному сценарії.

Зміни в самій операційній системі

Мабуть, до цієї категорії відносяться зміни, які в основному приховані від наших очей. За твердженнями Microsoft, розробники ретельно проаналізували існуючий код операційної системи і переробили його з метою зниження його потенційної уразливості. Наприклад, в Windows Vista і Windows Server 2008 була цілком переписана реалізація всього стека мережевих протоколів.

Для користувачів ці зміни, швидше за все, будуть помітні як змінився (в меншу сторону) рівень доступу багатьох сервісів операційної системи і ... потенційних несовместимостей додатків і драйверів минулих років з новою операційною системою. Останнє, мабуть, є в даному випадку неминучим злом, яке, втім, варто враховувати при прийнятті рішення про перехід на Windows Server 2008: уточніть у виробників використовуваного вами ПО, коли саме вони почнуть підтримувати нову версію, і перед развертиваеніем нового сервера перевірте сумісність в тестової середовищі.

Слід також згадати нові механізми захисту файлової системи. Так, Windows тепер захищає свою цілісність, запам'ятовуючи контрольні суми системних файлів і перевіряючи їх при кожному завантаженні. Якщо система виявляє, що файли були змінені, то Windows повідомляє адміністратора про можливе виявлення діяльності вірусу і процес завантаження припиняється.

Окремо відзначимо, що 64-розрядної версії захищена краще, ніж 32-розрядна, оскільки не дозволяє завантажувати в ядро ​​операційної системи модулі, які не підписані цифровим сертифікатом, якій ви довіряєте. Крім того, групові політики забезпечують заборону додаткових установок пристроїв на сервер, що створює додатковий рубіж захисту від непрошених драйверів.

Нарешті, технологія BitLocker дозволяє використовувати чіп Trusted Platform Module (якщо сервер оснащений таким) або зовнішній накопичувач USB для шифрування системного жорсткого диска сервера, забезпечуючи таким чином додатковий захист самої системи і даних на диску (рис. 1).

1)

Мал. 1. Технологія BitLocker дозволяє зашифрувати жорсткий диск
за допомогою ключа, що зберігається на довіреному платформенном модулі
(TPM) версії 1.2 або на флеш-накопичувачі USB

Менше функціональності - менше проблем

серверні ролі

Найпомітніше зміна операційної системи, пройти повз якого вам не вдасться, - це серверні ролі і Server Manager, що представляє собою адміністративний інтерфейс для їх управління. Ви вибираєте ті ролі, які ваш сервер буде виконувати, і Server Manager встановлює відповідні компоненти (рис. 2).

2)

Мал. 2. Інтерфейс настроювання Server Manager дозволяє
конфігурувати сервер під необхідні вам ролі

Принцип простий: ви вирішуєте, які сценарії застосування належить підтримувати вашого сервера, і вибираєте відповідні ролі і властивості. Server Manager сам встановлює модулі, необхідні для реалізації вашого вибору, залишаючи решту за бортом інсталяції.

Server Core

Граничною формою цього процесу є режим установки Server Core. Це мінімальна конфігурація Windows Server, в яку не включена навіть графічна оболонка провідника.

Принцип модульності для забезпечення дуже проста: чим менше компонентів сервера у вас встановлено і працює, тим менше потенційна поверхня атаки і потенційна кількість вразливостей. Згадаймо, скільки патчів на Windows Server 2000 і 2003 було покликане закрити уразливості Internet Explorer і його компонентів, і відповімо на просте запитання: чи дійсно ми хочемо, щоб наші адміністратори виходили в Інтернет з контролера домену мережі? Думаю, що відповідь очевидна.

За оцінками співробітників компанії Microsoft, 72% «латок», випущених для Windows Server 2003, не знадобилися б, якби у цій версії була опція установки Server Core (рис. 3).

3)

Мал. 3. Режим Server Core: немає графічної оболонки - немає проблем

Якщо співвідношення кількості оновлень для різних компонентів для Windows Server 2008 залишиться приблизно таким, яким воно було для попередньої серверної версії Windows, це буде означати, що завдяки вибору Server Core ваш сервер стане безпечніше приблизно в 4 рази, і в 4 рази зменшиться кількість оновлень, які вам доведеться на нього встановлювати.

  • Server Core підтримує такі серверні ролі:
  • Active Directory Domain Services (те, що раніше називалося Active Directory або Domain Controller);
  • Active Directory Lightweight Directory Services ( «легкий» аналог Active Directory для додатків);
  • Dynamic Host Configuration Protocol (DHCP);
  • Domain Name System (DNS);
  • файловий сервер;
  • сервер друку;
  • веб-сервер (з істотними обмеженнями у зв'язку з відсутністю в Server Core .NET Framework - фактично підтримуються тільки статичні сторінки).

Установка і настройка ролей в повному варіанті сервера фактично зводиться до розстановці галочок в Server Manager і використанню оснасток Microsoft Management Console (MMC) для подальших налаштувань. У режимі Server Core всю локальну настройку доведеться здійснювати за допомогою утиліт командного рядка.

Коли роль встановлена, подальша віддалена настройка (наприклад, Active Directory, що працює на контролері домену в режимі Server Core) може бути реалізована віддалено з робочої станції адміністратора. Крім того, віддалено можна застосовувати і інші технології, такі як Windows PowerShell (якого, на жаль, поки локально в Server Core немає в зв'язку з його залежністю від .NET Framework).

брандмауер

Server Manager не тільки встановлює потрібні компоненти, а й виконує, наприклад, конфігурацію вбудованого брандмауера, відкриваючи порти, необхідні для роботи компонента. Дуже корисне нововведення, що виключає спокусу вимкнути брандмауер, якщо якийсь компонент сервера не працює (рис. 4).

4)

Мал. 4. Новий інтегрований інтерфейс налаштовує брандмауер
відповідно до настанов IPSec і роллю сервера

До речі, аналогічним чином брандмауер інтегрований тепер і з настройками політик IPSec, що дозволяє уникнути «накладок», при яких політики IPSec і брандмауера виявляються взаємовиключними і сервер «зникає» з вашої мережі.

мережева безпека

Ваші сервери напевно не самотні у вашій мережі. Як би чудово ви їх ні налаштували, як би прекрасно не стежили за тим, щоб на них стояли останні оновлення антивірусних програм та операційної системи, як би прекрасно не захищав з'єднання своєї мережі з Всесвітньою павутиною, для потенційних атак завжди залишається ще одна лазівка ​​- комп'ютери ваших користувачів. Проблема посилюється тим, що користувачі стають більш мобільними: вони їздять зі своїми ноутбуками в відрядження, працюють з дому і інтернет-кафе, підключаються з інших мереж, безпеку яких від вас не залежить.

Windows Server 2008 бореться з цією проблемою в двох основних напрямках:

  • дозволяючи встановлювати більш безпечні віддалені з'єднання, які не потребують повного VPN (Virtual Private Network) доступу;
  • стежачи за дотриманням на клієнтських машинах корпоративних політик безпеки за допомогою Network Access Protection.

Гранулярність віддалених з'єднань

Колись віддалене з'єднання означало автоматичний повний доступ до корпоративної мережі. Яке б додаток і які б дані вам ні були потрібні, відповіддю був повний доступ, так звана віртуальна приватна мережа (Virtual Private Network, VPN).

Поштовий сервер Exchange2003 першим порушив це правило, ввівши можливість встановлювати так звані RPC / HTTPS-з'єднання, коли поштовий клієнт може спілкуватися з сервером віддалено через безпечне HTTP-з'єднання, при цьому не даючи машині клієнта ніякого додаткового доступу в мережу.

Windows Server 2008 дозволяє зробити крок ще далі і налаштувати термінальний HTTPS-доступ до будь-якого з додатком вашої мережі без встановлення повного VPN-з'єднання. Для цього необхідно налаштувати на Windows Server 2008 термінальний сервер і переконатися, що на клієнтських машинах встановлена ​​остання версія клієнта RDP (Remote Desktop Protocol) - 6.1. Цей клієнт входить до складу Windows Server 2008, Windows Vista SP1 і Windows XP SP3 (рис. 5).

5)

Мал. 5. Віддалений доступ до термінальних додатків тепер можливий
через безпечне інтернет-з'єднання

Network Access Protection

Навіть якщо ви змогли позбутися від VPN-з'єднань, залишається друга проблема, про яку ми вже згадували, - ноутбуки, що повертаються в вашу мережу з чужих мереж. А якщо ці комп'ютери на якийсь час йшли з-під вашого контролю, то як переконатися, що вони не представляють для вашої мережі загрозу?

Для цього в Windows Server 2008 передбачено новий компонент - система захисту мережевого доступу NAP (Network Access Protection). Полягає вона в тому, що при встановленні з'єднання з мережею сервер може змусити компонент NAP, що знаходиться на клієнті, відзвітувати про стан комп'ютера, наприклад отримання останніх версій операційної системи і антивірусних програм. Далі сервер політик перевіряє звіт і зіставляє його з поточними вимогами. Якщо вимоги виконані, комп'ютер потрапляє в мережу, а якщо немає - відправляється в карантинну зону, де може поставити останні оновлення і спробувати увійти в мережу знову (рис. 6).

Мал. 6. Технологія NAP дозволяє виділити сегмент мережі,
в який не допускаються комп'ютери,
не відповідають корпоративним стандартам
безпеки

NAP може працювати з наступними типами з'єднань:

  • DHCP - політики перевіряються при видачі динамічного IP-адреси;
  • 802.1x - бездротові з'єднання;
  • VPN - віддалені з'єднання;
  • IPSec - при наявності у вас сконфигурированной доменної політики.

IPSec - найбільш безпечний і повноцінний спосіб встановлення NAP, але при цьому і найбільш складний в налаштуванні (потрібна ретельна настройка і перевірка безлічі індивідуальних політик).

Слід також звернути увагу на те, що перевірка стану клієнта здійснюється встановленим на ньому клієнтом NAP, з чого можна зробити два важливих висновки:

  • цей NAP-клієнт повинен там бути. В даний момент він існує тільки для Windows Vista, але незабаром, починаючи з версії SP3, з'явиться і для Windows XP;
  • потенційно може бути створений злісний вірус, здатний прикинутися добрим клієнтом і обдурити сервер політик.

З останнього твердження випливає ще один важливий висновок: NAP - один з компонентів системи безпеки, що дозволяє встановити у вас в мережі єдині політики і стандарти конфігурації, але він не забезпечує захист від всіх бід. NAP покликаний діяти в поєднанні з іншими заходами, такими як наявність на всіх клієнтських машинах антивірусів і брандмауерів, використання користувачами звичайних, а не привілейованих облікових записів і т.д.

Зміни в Active Directory

Починаючи з Windows Server 2000 компонент Active Directory є головним в системі корпоративної безпеки Windows-мереж. Це корпоративна директорія облікових записів користувачів, авторизуйтесь доступ, що дає інформацію про членство користувача в групах безпеки і т.д. З огляду на це, відрадно бачити, що велика кількість поліпшень в Windows Server 2008 торкнулося саме Active Directory:

  • у віддалених офісах тепер можна ставити контролери доменів в режимі доступу тільки на читання;
  • можна делегувати права на підтримку цих серверів, не даючи при цьому додаткового адміністративного доступу в самому домені;
  • поліпшений аудит змін в домені;
  • з'явилася можливість завдання гранулярних політик паролів користувачів;
  • контролер домену можна встановити і в безпечному режимі Server Core.

Про Server Core ми вже розповіли, а тепер докладніше розглянемо перші чотири зміни.

Read-Only Domain Controller

Якщо вам знайома абревіатура BDC, то, ймовірно, ви, як і я, починали свою роботу з мережами Windows в славні 90-ті роки панування Windows NT. У ті часи в доменах був тільки один контролер, на якому можна було вносити зміни, - Primary Domain Controller (PDC), а решта - Backup Domain Controllers (BDC) - служили лише для забезпечення балансування навантаження і відмовостійкості.

Windows Server 2000 і Active Directory перейшли до куди більш масштабованої системі, при якій зміни можуть вноситися на будь-якому контролері домена, але при цьому очевидною стала проблема безпеки віддалених офісів.

Наприклад, у вас є віддалений офіс, в якому ви не можете гарантувати стовідсоткову безпеку вашого контролера домену - фізичну або адміністративну. Якщо в такому офісі контролер домену не ставити, то користувачі будуть страждати від вкрай повільного процесу аутентифікації їх комп'ютерів в мережі і застосування групових політик. Якщо ставити - то атака на такий контролер домену автоматично перетворюється в атаку на всю вашу мережу.

Read-Only Domain Controller (RODC) - це спеціальний режим роботи контролера домену Active Directory для таких сценаріїв. Безпека контролера забезпечується за допомогою таких заходів:

  • контролер не приймає запитів на зміни - вони перенаправляються на звичайні контролери основного офісу. Таким чином, він стає просто кешем для ефективної локальної роботи мережі;
  • реплікація даних здійснюється тільки в одну сторону - на RODC. Навіть якщо зловмисники зможуть модифікувати базу сервера, ці зміни не поширяться на всю мережу;
  • ви визначаєте, чи слід RODC мати в своїй базі хеші паролів, а якщо треба, то для яких користувачів. Це захищає від потенційного використання контролера віддаленого офісу для підбору адміністративних і призначених для користувача паролів ваших користувачів (рис. 7).

Мал. 7. Контролер домену тільки для читання дозволяє забезпечити
ефективну роботу віддаленого офісу, не ставлячи під загрозу
безпеку мережі

Що особливо приємно, для застосування RODC вам зовсім не треба переводити всі ваші контролери домену на Windows Server 2008. Остання версія Windows потрібна лише на самому RODC і на повноцінному контролері, куди RODC буде перенаправляти запити на запис і аутентифікацію.

Делеговане адміністрування сервера

Делегування адміністрування сервера контролера домену - другий важлівій компонент розгортання інфраструктурі віддаленого офісу. У попередніх версіях Windows, якщо ви хотіли наділити співробітника правом підтримки самого сервера, на якому працював контролер домену, ви повинні були зробити його адміністратором домену. Тепер ви можете дати користувачеві тільки права на операційну систему (установку драйверів і інші завдання), але не на директорію.

Додайте до цього можливість встановити даний контролер домену в режимі Server Core Read-Only Domain Controller і включити його шифрування за допомогою системи BitLocker - і ви отримаєте куди більш високий рівень захисту вашого домену в порівнянні з тим, що був доступний в попередніх версіях Windows.

покращений аудит

Покращився і аудит змін у директорії. Раніше журнал подій директорії не містив корисних відомостей про суть змін, які виробляли в ній адміністратори. Починаючи з Windows Server 2008 ви, наприклад, можете дізнаватися не просто про те, що обліковий запис користувача змінилася, але що такий-то адміністратор змінив такий-то атрибут з такого-то на таке-то значення.

З огляду на додаткові поліпшення системи роботи з журналами подій в Windows Vista і Windows Server 2008 - такі, як агрегування, пересилання і підписки на події, - можна зробити висновок, що аудит змін директорії стає куди більш корисним.

Гранулярні політики паролів

Гранулярні політики паролів - ще одна важлива поліпшення безпеки директорії. Політика паролів визначає, наприклад, то, як часто повинен користувач змінювати свій пароль, яка повинна бути мінімальна довжина пароля і його складність і т.д. Проблема в попередніх версіях Windows Server полягала в тому, що на всіх користувачів домену можна було визначити тільки одну таку політику. Відповідно, якщо у вас в мережі частина облікових записів користувачів повинна була відповідати більш суворим вимогам безпеки, перед вами вставав нелегкий вибір: або застосовувати більш сувору політику до всіх користувачів, невиправдано ускладнюючи життя простим співробітникам і збільшуючи навантаження на ваших адміністраторів зі скидання забутих паролів, або ставити безпеку під загрозу надмірно м'якими політиками.

У Windows Server 2008 ця дилема більше не варто. Ви можете визначати будь-яку кількість політик паролів у вашому домені, встановлюючи їх на групи і окремі облікові записи користувачів.

Слід мати на увазі, що в Windows Server 2008 поки не входить інтерфейс з налаштування таких політик і тому потрібно використовувати утиліту ADSIEdit для ручного редагування атрибутів Active Directory. Існують альтернативні способи управління цими політиками, наприклад за допомогою командного рядка PowerShell (бібліотеки AD cmdlets) і графічного інтерфейсу PowerGUI - безкоштовних утиліт, у створенні яких брав участь і автор даної статті.

Безпечний веб-сервер

Урок безпеки, отриманий колись командою Internet Information Services (IIS), був суворим і таким, що запам'ятовується. У 2000 році IIS був зроблений встановлюється за умовчанням частиною Windows Server 2000. Статистика за поширеністю сервера пішла стрімко вгору. IIS за своєю поширеністю став нарешті конкурувати з Apache. Але ейфорія тривала недовго: 13 июля 2001 року вірус Code Red використовував пролом в IIS, а отже в Windows Server, і почав поширюватися по Інтернету зі швидкістю лісової пожежі.

Урок був врахований. IIS 7 - нова версія веб-сервера компанії Microsoft і частина Windows Server 2008 - не тільки не встановлюється за умовчанням, але і вимагає вибору відповідної ролі сервера, а також дає можливість опціональною установки тільки компонентів, реально необхідних вашого сервера. Дотримується все той же принцип: чим менше сервісів запущено, тим менше потенційних мішеней є зловмисникам.

Крім того, всі настройки сервера можна зберігати в XML-файлах, що дозволяє вам легко забезпечувати однаковість налаштувань серед всіх ваших веб-серверів. А значить, знижується ризик випадкової помилки настройки захисту одного сервера.

Висновок

Безпека не пункт призначення, а шлях до нього. Windows Server 2008 несе в собі безліч поліпшень і інструментів, що дозволяють просунутися цим шляхом далі. Деякі з них, такі як внутрішні архітектурні зміни, є просто частиною операційної системи, а якісь, наприклад Network Access Protection, вимагають ретельної настройки у всій вашій мережі і оновлення клієнтських комп'ютерів.

Як завжди, необхідність переходу на останні версії продуктів залежить від конкретної мережі і завдань, що стоять перед вами і вашою організацією. Але якщо безпеку мережі є для вас важливим пріоритетом, то, схоже, Windows Server 2008 - це операційна система, на яку вам слід звернути увагу.

КомпьютерПресс 3'2008


2008. Що це?
», або серйозні зміни, заради яких варто терміново зайнятися перевстановлення операційної системи своїх серверів?
А якщо ці комп'ютери на якийсь час йшли з-під вашого контролю, то як переконатися, що вони не представляють для вашої мережі загрозу?

Уважаемые партнеры, если Вас заинтересовала наша продукция, мы готовы с Вами сотрудничать. Вам необходимо заполнить эту форму и отправить нам. Наши менеджеры в оперативном режиме обработают Вашу заявку, свяжутся с Вами и ответят на все интересующее Вас вопросы.

Или позвоните нам по телефонам: (048) 823-25-64

Организация (обязательно) *

Адрес доставки

Объем

Как с вами связаться:

Имя

Телефон (обязательно) *

Мобильный телефон

Ваш E-Mail

Дополнительная информация: