Exporteren (0) Afdrukken
Alles uitvouwen

De wizard Beveiliging configureren in Windows Server 2003 Service Pack 1

Wat doet de wizard Beveiliging configureren?

De wizard Beveiliging configureren is een nieuwe functie in Windows Server 2003 met Service Pack 1 waarmee u het risico dat uw servers worden aangevallen kunt verkleinen. Het is raadzaam de wizard Beveiliging configureren te gebruiken voor het maken van beveiligingsbeleid voor servers op basis van hun functies. De wizard Beveiliging configureren beschikt over de volgende functies:

  • Doordat de instellingen extern of lokaal kunnen worden vergrendeld op basis van de serverfunctie, wordt ervoor gezorgd dat alle noodzakelijke services zijn ingeschakeld en kan het risico van breuk worden beperkt.
  • Services die niet specifiek noodzakelijk zijn voor de functies die door het doelsysteem worden uitgevoerd, kunnen worden uitgeschakeld.
  • Dankzij configuratie van de firewall en IPsec kan de kwetsbaarheid van de server op basis van de geselecteerde functies tot het minimum worden beperkt.
  • De voornaamste beveiligingsinstellingen kunnen automatisch worden geselecteerd aan de hand van een stapsgewijze wizard, waardoor compatibiliteitsproblemen worden beperkt en de beveiliging wordt geoptimaliseerd.
  • De juiste controle-instellingen worden geselecteerd.
  • Door middel van de standaardbeveiligingssjablonen kan het beveiligingsbeleid tot in detail worden aangepast.
  • De wizard is geïntegreerd met Groepsbeleid waardoor beveiligingsbeleid op basis van Active Directory kan worden toegepast.
  • Dankzij de veelzijdige opdrachtregelinterface met ondersteuning voor scripts kunnen beveiligingsinstellingen automatisch worden toegepast op meerdere servers via het netwerk.
  • Voor test- en probleemoplossingsdoeleinden kunnen beleidsregels worden teruggedraaid.
  • Dankzij de mogelijkheid de Knowledge Base van functies door middel van declaraties uit te breiden kunnen nieuwe rollen worden gedefinieerd.

Als u de wizard Beveiliging configureren uitvoert, moet u een aantal vragen beantwoorden om de functionele eisen van uw server vast te stellen. Alle overbodige functionaliteit kan automatisch worden uitgeschakeld op basis van uw selecties.

Op wie is deze functie van toepassing?

De wizard Beveiliging configureren kan worden uitgevoerd op elk systeem met Windows Server 2003 met Service Pack 1 en in elke netwerkconfiguratie. De wizard Beveiliging configureren is van belang voor:

  • Beveiligingspecialisten die verantwoordelijk zijn voor het opstellen van het beveiligingsbeleid van een bedrijf.
  • IT-professionals die verantwoordelijk zijn voor implementatie, configuratie en beheer van servers.
  • Ontwikkelaars van servertoepassingen die hun toepassingen via de wizard Beveiliging configureren willen beheren.

Welke nieuwe functionaliteit is aan deze functie toegevoegd in Windows Server 2003 Service Pack 1?

Wizard Beveiliging configureren

Gedetailleerde beschrijving

De wizard Beveiliging configureren maakt gebruik van een op functies gebaseerde metafoor op basis van een uitbreidbare XML Knowledge Base, waarin de services, poorten en overige functionele vereisten worden gedefinieerd voor bijna 200 verschillende systeemfuncties, waaronder functies voor systeemtoepassingen van Windows Server zoals Microsoft Exchange Server en SQL Server.

In de wizard Beveiliging configureren wordt deze uitbreidbare XML Knowledge Base gebruikt om functies te herkennen, te vragen om invoer door de gebruiker en beveiligingsbeleid te definiëren waarmee services kunnen worden uitgeschakeld, poorten kunnen worden geblokkeerd, registerwaarden kunnen worden gewijzigd en controle-instellingen kunnen worden geconfigureerd. De toegang tot poorten die niet worden geblokkeerd, kan worden beperkt tot bepaalde gebruikers of worden beveiligd via IPSec (Internet Protocol Security). U kunt met de wizard Beveiliging configureren ook eerder toegepaste beleidsinstellingen terugdraaien. Bij de wizard wordt een opdrachtregelprogramma geleverd waarmee u een beveiligingsconfiguratie kunt toepassen en kunt controleren of groepen servers in uw organisatie aan de eisen voldoen door middel van beheerscripts en andere hulpmiddelen voor beheer. Daarnaast is de wizard Beveiliging configureren geïntegreerd in Active Directory zodat beleidsinstellingen die via de wizard Beveiliging configureren zijn gegenereerd, via Groepsbeleid kunnen worden toegepast.

Beveiligingsoverzicht van de wizard Beveiliging configureren

De wizard Beveiliging configureren stelt de gebruiker in staat om het volgende te doen:

  • Onnodige services uitschakelen.
  • IIS (Internet Information Services) beschermen.
noteOpmerking
IIS-beleid kan niet via Groepsbeleid worden toegepast aangezien IIS momenteel niet via Groepsbeleid kan worden geconfigureerd. Als een beleidsregel met IIS-instellingen wordt geconverteerd naar een groepsbeleidsobject, gaan de IIS-instellingen verloren.
  • Ongebruikte poorten blokkeren, inclusief ondersteuning van multihomed scenario's.
  • Geopende poorten beveiligen met IPSec.
  • Beveiligingsrisico's verlagen bij LDAP (Lightweight Directory Access Protocol), LAN Manager en SMB (Server Message Block).
  • Controle-instellingen met een hoge signaal-ruis-verhouding configureren.
  • Windows-beveiligingssjablonen importeren ter dekking van instellingen die niet door de wizard worden geconfigureerd.

Overzicht van de bedieningsfuncties van de wizard Beveiliging configureren

Naast de functie voor het opstellen van beveiligingsregels op basis van functies biedt de wizard Beveiliging configureren ook de volgende mogelijkheden:

  • Terugdraaien. Hiermee kunt u de toestand herstellen die gold voordat u het beveiligingsbeleid van de wizard Beveiliging configureren toepaste op de server.
  • Analyseren. Hiermee kunt u controleren of servers voldoen aan het verwachte beleid.
  • Ondersteuning voor externe configuratie en analyse. Alle functies van de wizard Beveiliging configureren kunnen zowel op lokale als op externe systemen worden uitgevoerd.
  • Ondersteuning voor opdrachtregelprogramma. Voor het uitvoeren van scripts kunt u gebruikmaken van een opdrachtregelprogramma.
  • Integratie met Active Directory. Ondersteunt implementatie van beveiligingsbeleid met behulp van Groepsbeleid.
  • Bewerken. U kunt beveiligingsbeleid dat met de wizard Beveiliging configureren is gemaakt, zo nodig aanpassen, bijvoorbeeld wanneer computers een andere bestemming krijgen of wanneer een systeem waarvoor een bepaald beleid is geconfigureerd zich anders gedraagt dan verwacht.
  • Rapporten. Biedt de mogelijkheid om de gegevens te bekijken die zijn opgeslagen in de Knowledge Base, in beleid en in analyseresultaten in XML-bestanden.

Wat is het belang van deze wijziging?

Verkleining van het aanvalsgebied is onderdeel van een fundamentele beveiliging. Serverbeheerders hebben echter vaak onvoldoende tijd om een Windows-server naar behoren te beveiligen, te testen en te implementeren zonder verstoring van de vereiste functionaliteit. Hierdoor zijn servers in een organisatie vaak kwetsbaar.

In de configuratiehandleidingen voor beveiliging (zoals de beveiligingshandleiding voor Windows Server 2003 op de website van Microsoft op http://go.microsoft.com/fwlink/?LinkId=14845) kunt u meer lezen over de algemene instellingen voor tal van systemen. Deze bieden echter geen optimale balans tussen beveiliging en functionaliteit voor een specifieke klasse systemen. De wizard Beveiliging configureren maakt het mogelijk systemen die bepaalde functionaliteit leveren automatisch te vergrendelen, is volledig getest en wordt ondersteund door Microsoft. Doordat de kwetsbaarheid van Windows-servers wordt verkleind, wordt het aantal servers verminderd waarop een patch moet worden toegepast wanneer een lek in de beveiliging is ontdekt. Het lek hoeft namelijk niet in alle configuraties voor te komen of tot beveiligingsproblemen te leiden.

Wat werkt er anders?

Tegenwoordig definieert de Windows-beheerder doorgaans zelf het beveiligingsbeleid met de Beveiligingsconfiguratie-editor, aan de hand van instructies in de handleiding(en) of op basis van bestaande beveiligingssjablonen die voor bepaalde scenario's zijn ontwikkeld. Daarentegen biedt de wizard Beveiliging configureren een hulpprogramma waarmee u een aangepast beveiligingsbeleid kunt opstellen door een reeks vragen te beantwoorden. Voor instellingen die niet door de wizard worden geconfigureerd, biedt de wizard de mogelijkheid om bestaande beveiligingssjablonen te importeren.

Moet ik mijn programmacode wijzigen als ik Windows Server 2003 Service Pack 1 wil gebruiken?

Nee, maar de wizard Beveiliging configureren is uitbreidbaar, zodat ontwikkelaars voor eigen toepassingen eigen functiedefinities kunnen maken. Bij de release van Windows Server 2003 Service Pack 1 is een whitepaper beschikbaar over uitbreiding van de Knowledge Base voor de wizard Beveiliging configureren.

Moet ik mijn omgeving wijzigen als ik Windows Server 2003 Service Pack 1 wil gebruiken?

U hoeft niets te wijzigen. De wizard kan echter tijdens het implementatieproces worden gebruikt om ervoor te zorgen dat servers worden geïmplementeerd met het verwachte beveiligingsbeleid.

Houd rekening met het volgende als voor implementatie van servers Setup zonder toezicht wordt gebruikt:

  • Zorg ervoor dat het optionele onderdeel Beveiliging configureren tijdens Setup zonder toezicht automatisch wordt geïnstalleerd door de volgende vermelding toe te voegen aan het gedeelte [Components] van het bestand unattend.txt: SCW = On.
  • Als u een beleid dat is gemaakt met de wizard Beveiliging configureren, wilt toepassen tijdens de installatie zonder toezicht, voert u tevens de volgende stappen uit.
    • Maak een bestand met beleidsinstellingen op een server waarop de wizard Beveiliging configureren al is geïnstalleerd.
    • Maak het bestand Cmdlines.txt of pas het bestaande bestand zo aan dat de sectie [Commands] de volgende regel bevat: scwcmd configure /p:SCWPolicy.xml
    • Kopieer het bestand Cmdlines.txt en het eerder gemaakte beleidsbestand (SCWPolicy.xml in dit geval) naar de map $OEM$.
  • Als u een oplossing voor het maken van installatiekopieën gebruikt bij het inrichten van servers, kunt u een beveilingsbeleid dat met de wizard Beveiliging configureren is gemaakt toepassen op de referentiecomputer waarvan u de installatiekopie maakt voordat u de installatiekopie maakt.

Ga naar de website van Microsoft op http://go.microsoft.com/fwlink/?LinkId=45503 voor meer informatie over de wizard Beveiliging configureren.

Vindt u dit nuttig?
(1500 tekens resterend)
Bedankt voor uw feedback

Community-inhoud

Weergeven:
© 2014 Microsoft