Exportovat (0) Tisk
Rozbalit vše
Expand Minimize

Průvodce konfigurací zabezpečení v aktualizaci Service Pack 1 serveru Windows Server 2003

K čemu slouží Průvodce konfigurací zabezpečení?

Průvodce konfigurací zabezpečení je nová funkce serveru Windows Server 2003 s aktualizací Service Pack 1, pomocí které můžete snížit riziko útoku u serverů. Tento průvodce je důrazně doporučen pro vytváření zásad zabezpečení pro servery na základě jejich rolí. Průvodce konfigurací zabezpečení obsahuje následující funkce:

  • vzdálené nebo místní uzamčení založené na roli zajišťuje, že všechny nezbytné služby jsou zapnuty, což minimalizuje riziko prolomení,
  • všechny služby, které nejsou specificky vyžadovány rolemi prováděnými cílovým systémem, lze zakázat,
  • konfigurace brány firewall a protokolu IPsec zajišťuje, že na základě potřeb vybraných rolí poskytuje server minimální možnosti pro útok,
  • automatizovaný výběr klíčových nastavení zabezpečení na základě průvodce umožňuje minimalizovat potíže s kompatibilitou a maximalizovat zabezpečení,
  • výběr příslušného nastavení auditu,
  • zahrnutí standardních šablon zabezpečení pro podrobné přizpůsobení zásad zabezpečení,
  • integrace se zásadami skupiny pro nasazení zásad zabezpečení na základě služby Active Directory,
  • plně funkční rozhraní příkazového řádku s možností skriptování pro automatizované nasazení na více serverů v síti,
  • možnost vrácení zásad pro účely testování a řešení potíží,
  • deklarativní rozšiřitelnost znalostní báze rolí umožňující tvorbu nových rolí.

Při spuštění se Průvodce konfigurací zabezpečení zeptá na řadu otázek, pomocí kterých určí funkční požadavky serveru. Veškeré funkce, které nejsou požadovány na základě provedeného výběru, lze automaticky zakázat.

Koho se tato funkce týká?

Průvodce konfigurací zabezpečení lze použít u libovolného počítače se systémem Windows Server 2003 s aktualizací Service Pack 1 a u libovolné konfigurace sítě. Průvodce konfigurací zabezpečení budou používat především tyto skupiny uživatelů:

  • odborníci zodpovědní za vytváření podnikových zásad zabezpečení,
  • odborníci z oblasti IT zodpovědní za zavádění, konfiguraci a správu serverů,
  • vývojáři serverových aplikací, kteří chtějí své aplikace spravovat pomocí Průvodce konfigurací zabezpečení.

Jaké nové funkce byly přidány k této funkci v aktualizaci Service Pack 1 pro systém Windows Server 2003?

Průvodce konfigurací zabezpečení

Podrobný popis

Průvodce konfigurací zabezpečení používá princip přiřazení rolí řízený pomocí rozsáhlé znalostní báze XML, která definuje služby, porty a další funkční požadavky pro více než 200 různých systémových rolí včetně rolí pro aplikace systému Windows Server, jako je například Microsoft ISA Server a SQL Server.

S využitím této rozsáhlé znalostní báze XML průvodce zjistí požadovanou roli, vyžádá informace od uživatele a vytvoří zásady zabezpečení, pomocí kterých zakáže služby, zablokuje porty, upraví hodnoty registru a provede konfiguraci auditování. Porty, které zůstanou otevřené, lze omezit na specifické podsítě nebo systémy pomocí protokolu IPSec (Internet Protocol security). Průvodce konfigurací zabezpečení umožňuje rovněž vrátit zpět dříve použité nastavení zásad. Obsahuje nástroj příkazového řádku, s jehož využitím můžete pomocí skriptů a jiných nástrojů pro správu použít konfiguraci zabezpečení a analýzu vhodnosti na skupiny serverů v organizaci. Díky integraci Průvodce konfigurací zabezpečení se službou Active Directory lze nastavení zásad generované průvodcem nasazovat prostřednictvím zásad skupiny.

Souhrn možností Průvodce konfigurací zabezpečení

Průvodce konfigurací zabezpečení uživatelům umožňuje:

  • zakázat nepotřebné služby,
  • Zabezpečit Internetovou informační službu (IIS).
notePoznámka
Zásady služby IIS nelze nasadit pomocí zásad skupiny, protože v současné době se ke konfiguraci služby IIS zásady skupiny nepoužívají. Pokud jsou zásady obsahující nastavení služby IIS převedeny na objekt zásad skupiny, je nastavení služby IIS ztraceno.
  • blokovat nepoužité porty včetně podpory scénářů s více adresami,
  • zabezpečit otevřené porty pomocí protokolu IPSec,
  • snížit vystavení protokolu LDAP (Lightweight Directory Access Protocol), LAN Manager a SMB (server message block),
  • konfigurovat nastavení auditu s vysokou výtěžností informací,
  • importovat šablony zabezpečení systému Windows za účelem zabezpečení nastavení, která nejsou konfigurována pomocí průvodce.

Souhrn funkcí Průvodce konfigurací zabezpečení

Kromě vytváření zásad zabezpečení na základě rolí podporuje Průvodce konfigurací zabezpečení také následující funkce:

  • Vrácení změn: Umožňuje vrátit server do stavu, ve kterém se nacházel před použitím zásad zabezpečení průvodce.
  • Analýza: Umožňuje zkontrolovat, zda servery vyhovují očekávaným zásadám.
  • Podpora vzdálené konfigurace a analýzy: Veškeré funkce Průvodce konfigurací zabezpečení lze používat na místních i vzdálených systémech.
  • Podpora příkazového řádku: Pro použití skriptů je k dispozici nástroj příkazového řádku.
  • Integrace se službou Active Directory: Podporuje zavádění zásad vytvořených průvodcem pomocí zásad skupiny.
  • Úpravy: Zásady zabezpečení vytvořené pomocí Průvodce konfigurací zabezpečení lze v případě potřeby upravit, například pokud dojde ke změně účelu počítačů, nebo pokud se systém konfigurovaný pomocí konkrétních zásad nechová podle očekávání.
  • Sestavy: Umožňuje zobrazit data uložená ve znalostní bázi, zásady a soubory XML s výsledky analýzy.

Proč je tato změna důležitá?

Snížení rizika útoku je základním doporučeným postupem zabezpečení, přesto je pro správce serverů často obtížné získat čas pro řádné zabezpečení, vyzkoušení a zavedení serveru se systémem Windows, aniž by došlo k porušení požadované funkčnosti, což může vést ke zranitelnosti serverů v organizaci.

Příručky pro konfiguraci zabezpečení (například Příručka zabezpečení systému Windows Server 2003 na webu společnosti Microsoft na adrese http://go.microsoft.com/fwlink/?LinkId=14845) poskytují obecné nastavení, které podporuje širokou řadu systémů, ale neposkytuje optimální kompromis mezi zabezpečením a funkčností pro specifickou třídu systémů. Průvodce konfigurací zabezpečení automatizuje proces uzamčení a je společností Microsoft plně testován a podporován. Snížením rizika útoku u serverů se systémem Windows lze minimalizovat počet serverů, na které je při odhalení chyby zabezpečení nutné okamžitě nainstalovat opravu, protože daná chyba zabezpečení nemusí být obsažená nebo zneužitelná ve všech konfiguracích.

Co funguje jinak?

V současnosti správci systémů Windows obvykle definují zásady zabezpečení pomocí Editoru konfigurace zabezpečení dle svého uvážení s využitím dokumentovaných postupů, nebo pomocí existujících šablon zabezpečení navržených pro konkrétní scénáře. Průvodce konfigurací zabezpečení je naproti tomu nástroj, pomocí kterého můžete vytvořit vlastní zásady zabezpečení zodpovězením řady dotazů. U nastavení, která nejsou konfigurována tímto průvodcem, lze do průvodce naimportovat existující šablony zabezpečení.

Je nutné změnit kód, aby bylo možné pracovat s aktualizací Service Pack 1 systému Windows Server 2003?

Není, ale Průvodce konfigurací zabezpečení je rozšiřitelný, takže vývojáři mohou pro své aplikace vytvářet vlastní definice rolí pro průvodce. Informace o rozšíření znalostní báze Průvodce konfigurací zabezpečení budou k dispozici při vydání aktualizace Windows Server 2003 Service Pack 1.

Co je nutné změnit v prostředí, aby bylo možné zavést systém Windows Server 2003 s aktualizací Service Pack 1?

Nejsou nutné žádné změny, pomocí Průvodce konfigurací zabezpečení lze však během zavádění zabezpečit, aby byly do serverů implementovány požadované zásady zabezpečení.

Při použití bezobslužné instalace k zavedení serverů je třeba vzít do úvahy následující skutečnosti:

  • Přidáním následující položky do oddílu [Components] v souboru unattend.txt nainstalujte automaticky volitelnou součást s Průvodcem konfigurací zabezpečení během bezobslužné instalace: SCW = On.
  • Chcete-li při bezobslužné instalaci použít zásadu Průvodce konfigurací zabezpečení, proveďte také následující kroky:
    • Vytvořte soubor zásady na serveru, na němž je již Průvodce konfigurací zabezpečení nainstalován.
    • Vytvořte soubor Cmdlines.txt nebo upravte existující soubor tak, aby oddíl [Commands] obsahoval následující položku: scwcmd configure /p:SCWPolicy.xml
    • Zkopírujte soubor Cmdlines.txt a dříve vytvořený soubor zásady (v tomto případě SCWPolicy.xml) do adresáře $OEM$.
  • Pokud k nasazení serverů používáte bitové kopie, můžete před vytvořením bitové kopie použít Průvodce konfigurací zabezpečení na referenčním počítači, na který bude bitová kopie nainstalována.

Další informace o Průvodci konfigurací zabezpečení získáte na webu společnosti Microsoft na adrese http://go.microsoft.com/fwlink/?LinkId=45503.

Byl tento obsah pro vás užitečný?
(Zbývající počet znaků: 1500)
Děkujeme za váš názor.

Obsah vytvořený komunitou

Přidat
Zobrazit:
© 2014 Microsoft