Windows Server 2008

Bezpieczeństwo w systemie Windows Server 2008 - przegląd Udostępnij na: Facebook

Opublikowano: 15 października 2007

Zawartość strony
 Zapora systemu Windows z zabezpieczeniami zaawansowanymi   Zapora systemu Windows z zabezpieczeniami zaawansowanymi
 Szyfrowanie dysków za pomocą funkcji BitLocker   Szyfrowanie dysków za pomocą funkcji BitLocker
 Active Directory Federation Services   Active Directory Federation Services
 Usługi domenowe Active Directory   Usługi domenowe Active Directory
 Przeglądarka migawek usług domenowych Active Directory   Przeglądarka migawek usług domenowych Active Directory
 Kontrolery domeny tylko do odczytu   Kontrolery domeny tylko do odczytu
 Izolacja serwera i domeny   Izolacja serwera i domeny

Zapora systemu Windows z zabezpieczeniami zaawansowanymi

Zapora Windows z zabezpieczeniami zaawansowanymi w Windows Server 2008 to zapora hosta z analizą stanu połączeń. Pozwala ona na zezwalanie na ruch w sieci lub blokowanie go zależnie od konfiguracji i aktualnie działających aplikacji, w celu zabezpieczenia przed złośliwymi użytkownikami i szkodliwym oprogramowaniem. Do zaawansowanych funkcji zabezpieczeń zapory systemu Windows należą:

  • Obsługa zarówno ruchu przychodzącego, jak i wychodzącego
  • Nowa przystawka Microsoft Management Console (MMC) do lokalnej i zdalnej konfiguracji zapory
  • Zintegrowane ustawienia filtrowania zapory oraz ochrony Internet Protocol Security (IPSec)
  • Wiele nowych sposobów konfiguracji wyjątków zapory

Obsługa ruchu przychodzącego i wychodzącego

Obecnie zapora systemu Windows umożliwia przechwytywanie ruchu przychodzącego, blokowanie niechcianego ruchu nie będącego ani ruchem wysyłanym w odpowiedzi na żądanie (ruch pożądany), ani ruchem określonym jako dozwolony przez użytkownika (ruch objęty wyjątkiem). Jest to niezbędny komponent funkcjonalności zapory, jako że pozwala on zapobiec infekcji komputerów przez wirusy i robaki sieciowe, rozprzestrzeniające się za pośrednictwem niechcianego ruchu przychodzącego.

Zaawansowaną funkcją zabezpieczeń zapory w Windows Server 2008 jest obsługa przechwytywania przez nią zarówno ruchu przychodzącego, jak i wychodzącego. Administrator sieci może na przykład skonfigurować w nowej zaporze zestaw wyjątków, aby zablokować wszelki ruch wysyłany do określonych portów, takich jak znane porty używane przez wirusy lub do określonych adresów zawierających niechciane treści. Domyślne zachowanie zapory systemu Windows w Windows Server 2008 to:

  • Blokowanie ruchu przychodzącego, chyba że jest on pożądany lub pasuje do skonfigurowanego wyjątku;

  • Zezwalanie na ruch wychodzący, chyba że pasuje do skonfigurowanego wyjątku;

    Pomaga to również chronić sieć i inne systemy przed komputerami zainfekowanymi przez wirusy.

Zintegrowane ustawienia zapory i IPSec

IPSec to zestaw standardów internetowych dających ochronę kryptograficzną ruchowi IP. We wcześniejszych wersjach Windows Server zapora systemu Windows i IPSec były konfigurowane osobno. Jako że zarówno zapora hosta, jak i IPSec w Windows mogą blokować ruch przychodzący lub na niego zezwalać, możliwe jest utworzenie nadmiarowych lub sprzecznych wyjątków zapory i reguł IPSec. W nowej wersji zapory systemu Windows połączono konfigurację obu usług sieciowych przy użyciu pojedynczego interfejsu graficznego i wiersza poleceń. Ta integracja ustawień zapory i IPSec upraszcza również konfigurację ustawień IPSec.

Kilka sposobów konfiguracji wyjątków zapory

Zaawansowane funkcje zabezpieczeń w Windows Server 2008 pozwalają administratorom na konfigurację wyjątków zapory na kilka nowych sposobów.

  • Możliwa jest konfiguracja wyjątków dla numerów IP. Nowa wersja zapory systemu Windows pozwala administratorom na wybranie nazwy protokołu lub ręczne wpisanie wartości pól IPv4 Protocol lub IPv6 dla pożądanego ruchu.
  • Można skonfigurować wyjątki dla źródła i celu. Administratorzy mogą skonfigurować porty TCP lub UDP zarówno źródła, jak i celu dla ruchu przychodzącego i wychodzącego, co pozwala na dokładniejsze zdefiniowanie rodzaju dopuszczanego lub blokowanego ruchu TCP i UDP.
  • Wyjątki można skonfigurować dla wybranych lub wszystkich portów. Administratorzy mogą również określić wszystkie porty TCP lub UDP (dla całego ruchu TCP lub UDP) lub rozdzieloną przecinkami listę portów.
  • Wyjątki można skonfigurować dla określonego rodzaju interfejsu. Administratorzy mogą określić, że wyjątek stosuje się do wszystkich interfejsów lub określonych interfejsów, w tym interfejsów LAN, dostępu zdalnego lub sieci bezprzewodowej.
  • Wyjątki można skonfigurować dla ruchu ICMP i ICMPv6 (ping) według typu i kodu. W zaporze systemu Windows w Windows Server 2008 istnieje predefiniowany zestaw standardowych wyjątków dla komunikatów ICMP i ICMPv6 i administratorzy mogą dodać nowe komunikaty ICMP lub ICMPv6, określając wartości typu i kodu komunikatu ICMP lub ICMPv6. Jeśli na przykład administrator chciałby utworzyć wyjątek dla komunikatu o zbyt dużym pakiecie ICMPv6, może ręcznie utworzyć wyjątek dla wartości Type 2 i Code 0 ICMPv6.
  • Można skonfigurować wyjątki dla usług. Administratorzy mogą określić, że wyjątek stosuje się do każdego procesu, jedynie do usług, do usługi o określonej nazwie; mogą również wpisać krótką nazwę usługi. Jeśli na przykład administrator chciałby skonfigurować wyjątek jedynie dla usługi
  • przeglądarki komputera, może on wybrać tę usługę z listy usług działających na komputerze.

Nowa wersja zapory systemu Windows w Windows Server 2008 przechwytuje ruch wychodzący przez znane porty używane przez oprogramowanie wirusowe lub do określonych adresów zawierających niepożądane treści, pomagając zabezpieczyć organizację przed rozprzestrzenieniem wirusa oraz chroniąc kluczowe systemy. Nowa wersja zapory systemu Windows z przystawką zabezpieczeń zaawansowanych MMC ułatwia administratorom konfigurację ustawień zarówno zapory systemu Windows, jak i IPSec w lokalnych i zdalnych systemach. Wprowadzono również kilka nowych sposobów konfiguracji wyjątków zapory systemu Windows, co daje administratorom elastyczność przy reagowaniu na nowe zagrożenia dla bezpieczeństwa.

 Do początku strony Do początku strony

Szyfrowanie dysków za pomocą funkcji BitLocker

BitLocker to nowa, kluczowa funkcja zabezpieczeń w Windows Server 2008, pomagająca chronić serwery, stacje robocze i komputery przenośne. Jest również dostępna w edycjach Windows Vista™ Enterprise oraz Windows Vista™ Ultimate, gdzie chroni komputery klienckie oraz komputery przenośne. BitLocker szyfruje zawartość dysku twardego. Zapobiega to złamaniu zabezpieczeń plików i systemu lub przejrzenia plików przechowywanych na zabezpieczonym dysku w trybie offline przez kogoś, kto uruchomi inny system operacyjny lub złośliwe oprogramowanie.

BitLocker podnosi poziom ochrony danych dzięki połączeniu dwóch głównych funkcji składowych: szyfrowaniu woluminu systemowego oraz sprawdzaniu integralności przez komponenty uruchamiania systemu. Cały wolumin systemowy jest szyfrowany, łącznie z plikami wymiany i hibernacji, co zwiększa bezpieczeństwo serwerów zdalnych w oddziałach firmy. BitLocker chroni przed kradzieżą danych oraz problemami ze zgubionymi, skradzionymi i wyrzuconymi komputerami. BitLocker pomaga również organizacjom w spełnianiu wymagań rządowych, takich jak np. amerykańskie ustawy Sarbanes-Oxley i HIPAA, które wymagają bardzo wysokich standardów zabezpieczeń i ochrony danych.

 Do początku strony Do początku strony

Active Directory Federation Services

Active Directory Federation Services (AD FS) to rola serwera w Windows Server 2008 dostarczająca wysoce rozszerzalne i bezpieczne rozwiązanie dostępu tożsamości, które może działać na wielu platformach.

AD FS daje klientom używającym przeglądarek, zarówno wewnątrz, jak i na zewnątrz sieci, dostęp do chronionych aplikacji internetowych, nawet jeśli konta użytkowników i aplikacje położone są w innych sieciach lub organizacjach.

W typowym scenariuszu aplikacja zlokalizowana jest w jednej sieci, a konto użytkownika w innej. Użytkownik musi wprowadzić inne poświadczenia, kiedy próbuje uzyskać dostęp do aplikacji. Jednakże dzięki AD FS drugie konto nie jest już potrzebne. Zamiast tego można użyć relacji zaufania, aby przekazać tożsamość cyfrową i prawa dostępu zaufanym partnerom. W środowisku federacyjnym każda organizacja nadal zarządza swoimi tożsamościami, ale każda z nich może udostępniać i przyjmować tożsamości z innych organizacji.

Dzięki wdrożeniu serwerów federacyjnych w wielu organizacjach, transakcje business-to-business (B2B) między zaufanymi organizacjami partnerskimi mogą być łatwiejsze. Organizacje posiadające zasoby dostępne w Internecie i zarządzające nimi mogą wdrożyć serwery federacyjne AD FS i serwery sieci Web z włączoną obsługą AD FS, zarządzające dostępem do chronionych zasobów jedynie dla zaufanych partnerów.

AD FS zawiera funkcję importu/eksportu zasad, ułatwiającą ustanowienie relacji zaufania między partnerami w federacji. Dostawca członkostwa pozwala użytkownikom partnera federacyjnego na opartą na rolach autoryzację w Windows SharePoint Services (WSS) i RMS.

Administratorzy mają możliwość kontrolowania wdrożenia usługi federacyjnej przez Zasady Grupy. Dostępna jest też obsługa różnych ustawień sprawdzania wycofania certyfikatu.

Oprócz tego, organizacje posiadające konta użytkowników i zarządzające nimi mogą wdrożyć serwery federacji AD FS uwierzytelniające lokalnych użytkowników i utworzyć tokeny zabezpieczające. Serwery federacyjne w organizacji mogą użyć tych tokenów zabezpieczających do podejmowania decyzji o autoryzacji.

 Do początku strony Do początku strony

Usługi domenowe Active Directory

W Windows Server 2008 usługi domenowe Active Directory działają jako usługa, co oznacza, że mogą zostać zatrzymane i rozpoczęte za pomocą przystawek Microsoft Management Console (MMC) lub z wiersza poleceń. Ten sposób udostępniania usług domenowych Active Directory upraszcza zarządzanie, skracając czas wymagany do wykonania operacji offline, takich jak defragmentacja lub przywrócenie systemu. Zwiększa także dostępność innych usług działających na kontrolerze domeny, utrzymując ich aktywność podczas wykonywania konserwacji usług domenowych. Każdy klient, który przypisany jest do zatrzymanego kontrolera domeny, może po prostu skontaktować się z innym kontrolerem domeny, używając metody odnajdywania.

 Do początku strony Do początku strony

Przeglądarka migawek usług domenowych Active Directory

Windows Server 2008 zawiera ulepszone polecenie ntdsutil, którego można użyć do utworzenia migawki usług domenowych. Migawki te przechwytują kompletny stan Active Directory w czasie ich tworzenia. Istniejące migawki Active Directory mogą zostać zainstalowane jako równoległe wystąpienia Active Directory tylko do odczytu, bez uruchamiania kontrolera domeny w trybie przywracania. Instalacji migawki Actice Directory można użyć do odzyskania usuniętych lub zmodyfikowanych obiektów usług domenowych.

Przeglądarka migawek w Windows Server 2008 pomaga administratorom w identyfikacji przypadkowo usuniętych obiektów, wyświetlając chronologicznie informacje o obiektach w utworzonych migawkach. Dzięki porównaniu stanów obiektów w różnych migawkach, administratorzy mogą łatwo zdecydować, której z nich użyć, aby przywrócić usunięte obiekty.

 Do początku strony Do początku strony

Kontrolery domeny tylko do odczytu

Kontroler domeny tylko do odczytu (RODC) to nowy rodzaj kontrolera domeny dostępny w systemie operacyjnym Windows Server 2008, zaprojektowany przede wszystkim do wdrożenia w oddziałach firm, gdzie wymagane są lokalne usługi uwierzytelniania, ale nie można zagwarantować fizycznego bezpieczeństwa. Kontroler domeny tylko do odczytu zawiera wszystkie obiekty i atrybuty usług domenowych Microsoft Active Directory oprócz haseł kont, które zawiera zapisywalny kontroler domeny. Komputery klienckie nie mogą zapisywać zmian bezpośrednio w kontrolerze tylko do odczytu. Daje to większe bezpieczeństwo, ponieważ w przypadku naruszenia bezpieczeństwa fizycznego i uzyskania dostępu do kontrolera przez przestępców, nie będą oni mogli zmodyfikować danych w kontrolerze domeny.

Kontrolery domeny tylko do odczytu obsługują również separację ról administratorskich. Pozwala to na przydzielenie uprawnień lokalnego administratora kontrolera domeny tylko do odczytu każdemu użytkownikowi, np. użytkownikom lokalnym w oddziale firmy, bez przydzielania dodatkowych uprawnień administracyjnych w samej domenie lub na innych kontrolerach domeny. Pozwala to lokalnemu personelowi na wykonywanie rutynowych zadań związanych z zarządzaniem, takich jak aktualizacja sterowników, bez naruszania bezpieczeństwa.

 Do początku strony Do początku strony

Izolacja serwera i domeny

W sieci opartej na Microsoft Windows administratorzy mogą logicznie odizolować zasoby serwera i domeny, aby ograniczyć dostęp do komputerów uwierzytelnionych i autoryzowanych. Można na przykład utworzyć sieć logiczną wewnątrz istniejącej sieci fizycznej, gdzie komputery współdzielić będą jednolity zestaw wymagań do bezpiecznej komunikacji. Każdy komputer w tej logicznie odizolowanej sieci musi dostarczyć poświadczeń uwierzytelniania innym komputerom w sieci odizolowanej, aby nawiązać połączenie. Izolacja ta zapobiega uzyskaniu dostępu do zasobów nieautoryzowanym komputerom i programom. Żądania z komputerów, które nie są częścią sieci odizolowanej, są ignorowane.

Do ochrony sieci można użyć dwóch rodzajów izolacji:

  • Izolacja serwera. W scenariuszu izolacji serwera, określone serwery skonfigurowane są przy użyciu zasady IPSec tak, aby przyjmowały jedynie uwierzytelnioną komunikację od innych komputerów. Na przykład serwer bazodanowy może zostać skonfigurowany tak, aby przyjmował połączenia jedynie od serwerów aplikacyjnych sieci Web.
  • Izolacja domeny. Aby odizolować domenę, administratorzy mogą użyć członkostwa domeny Active Directory aby upewnić się, że należące do niej komputery przyjmować będą jedynie uwierzytelnioną i zabezpieczoną komunikację od innych komputerów należących do tej domeny. Izolacja domeny używa zasady IPSec aby chronić ruch pomiędzy członkami domeny, włączając w to wszystkie serwery oraz klientów.

Izolacja serwera i domeny może pomóc w ochronie określonych, cennych serwerów i danych, a także w ochronie zarządzanych komputerów przed niezarządzanymi lub złośliwymi komputerami i użytkownikami.

 Do początku strony Do początku strony

Windows Server 2008