Microsoft Windows Server 2008 R2: Schützen Sie Ihre Windows Server-Infrastruktur
Angesichts der Vielzahl der Optionen kann die Wahl der richtigen Sicherheitsfunktionen und -einstellungen für Ihre Microsoft Windows Server-Infrastruktur eine Herausforderung darstellen.
Brien M. Posey
Microsoft bietet eine Vielzahl von Sicherheitsmechanismen für Windows Server 2008 R2. Mit so vielen Wahlen kann es schwierig zu wissen, welche individuellen Sicherheitsmechanismen und Einstellungen, die Sie verwenden sollten, um Ihre Server ausreichend zu sichern.
Es gibt viele Techniken, um das Beste aus der die verschiedenen Sicherheitsfunktionen von Windows Server 2008 R2. Es gibt keine Möglichkeit, ein einzigen Artikel decken alle Sicherheitsfunktionen der Windows Server 2008 R2 – das würde eine ziemlich große Buch erfordern. Also wollte ich in diesem Artikel einige der Sicherheitsfeatures und Techniken, die wahrscheinlich für die meisten von Ihnen am vorteilhaftesten sind zu markieren.
Wenn es zum Sichern von Windows Server 2008 R2 kommt, gibt es zwei Phasen, die Sie beachten sollten: vor der Bereitstellung und nach der Bereitstellung Sicherheit. Sie können am besten vor der Bereitstellung Sicherheit als Sicherheitsplanung vorstellen. Wenn Sie einen neuen Server einrichten werden, gibt es bestimmte Sicherheitsüberlegungen, die, die Sie berücksichtigen sollten, bevor Sie sogar die Installation zu starten.
Server Rolle Isolation
Eine der primären Aufgaben vor der Bereitstellung Sicherheitsplanung ergreift Maßnahmen zur Verringerung der Angriffsfläche Ihres Servers. Angriff verringern basiert auf dem Konzept enthält mehr Code, der auf einem System, desto größer der Wahrscheinlichkeit, dass Code ausgeführt wird eine Schwachstelle, die ausgenutzt werden könnte. Um die Angriffsfläche auf Ihren Servern zu reduzieren, müssen Sie sicherstellen, dass diese Server nicht ausgeführt wird, keinen unnötigen Code.
Es wird empfohlen, dass Sie einen Schritt weiter, aber ergreifen, um die Effektivität Ihrer Sicherheitslage zu maximieren. Als allgemeine bewährte Methode sollten Sie jeden Server eine bestimmte Aufgabe ausführen konfigurieren. Zum Beispiel, anstatt DNS und Diensten (DHCP = Dynamic Host Configuration Protocol) auf einem Server bereits konfiguriert, als Dateiserver fungieren, ist es besser vom Sicherheitsstandpunkt jede Serverfunktion auf einem dedizierten Server ausgeführt. Nicht nur wird dies dazu beitragen, die Angriffsfläche zu verringern, kann es auch eine erforderliche Problembehandlung einfacher da jeder Server eine weniger komplexe Konfiguration ausgeführt wird.
Es ist verständlich, die manchmal mit einen separaten Server für jede Rolle ist praktisch, wegen der Kosten oder aufgrund der Funktionalitätsanforderungen nicht. Trotzdem ist es eine gute Idee, Serverrollen zu isolieren, wenn Sie können.
Server-Virtualisierung kann helfen, um Kosten weiter zu senken. Windows Server 2008 R2 Enterprise Edition ist beispielsweise für den Einsatz in bis zu vier virtuelle Maschinen (VMs), lizenziert, solange der zugrunde liegenden physische Server, Hyper-V und sonst nichts ausgeführt wird.
Verwenden von Server Core
Eine andere Taktik zur Verringerung der Angriffsfläche des Servers ist Server Core ausführen konfigurieren. Server Core ist eine nackte Knochen-Windows Server 2008 R2-Installation, die die vollständige grafische Benutzeroberfläche nicht enthält.
Da Server Core-Installationen einen minimalen Satz von System-Dienste ausgeführt werden, haben sie eine kleinere Angriffsfläche als eine traditionelle Windows Server-Bereitstellung. Server Core-Installationen auch tendenziell besser als vollständige Installationen von Windows Server ausführen. Der Server hat Umgang mit weniger Overhead, wodurch es ideal für den Einsatz innerhalb von VMs.
Leider können nicht Sie für alle Bereitstellungen für Windows Server 2008 R2, Server Core verwenden, da nur bestimmte Systemdienste und relativ wenige Serveranwendungen auf Server Core-Installationen ausgeführt werden können. Als solcher ist er am besten zu Server Core bereitstellen, wo Sie können, aber die Tatsache akzeptieren, dass nicht Sie es auf allen Ihren Servern nutzen können – zumindest für jetzt.
Gruppe Planung
Vor der Bereitstellung Sicherheitsplanung ist wichtig, aber sobald Sachen unternehmungslustig sind, sollte Ihre bewährte Sicherheitsmethoden laufenden Group Policy Management und Planung. Es ist ratsam zu Gruppenrichtlinieneinstellungen berücksichtigt vor der Bereitstellung von Windows. Du musst auch Richtlinieneinstellungen im Laufe der Zeit einstellen, wie Ihre Sicherheitsanforderungen entwickeln.
Obwohl Sie Gruppenrichtlinieneinstellungen mithilfe der Tools im Lieferumfang von Windows Server 2008 R2 vollständig verwalten können, bietet Microsoft ein kostenloses Dienstprogramm namens Security Compliance Manager (SCM), die den Prozess vereinfachen kann. Download SCM hier. Die Installation ist einfach und verwendet einen einfachen Assistenten. So stellen Sie sicher, dass Sie das Kontrollkästchen aktivieren, das sagt, den Setup-Assistenten auf nach Updates suchen.
Wenn Sie SCM installiert haben, können Sie es durch den Server-Start-Menü starten. Wenn Sie es zum ersten Mal ausführen, müssen die Software eine Reihe von verschiedenen Sicherheitspakete Konfigurationsbasislinie importieren. Dieser Vorgang kann mehrere Minuten in Anspruch nehmen.
Sobald Sie die Sicherheitsbaselines importiert haben, sehen Sie eine Liste der geplanten Kategorien innerhalb der Konsolenstruktur. Erweitern Sie den Windows Server 2008 R2 SP1-Container zum Anzeigen der verfügbaren Basispläne für Windows Server 2008 R2. Microsoft bietet Sicherheitsbaselines für eine Reihe von verschiedenen Serverrollen (siehe Abbildung 1).
.jpg)
Abbildung 1 Security Compliance Manager bietet eine Reihe von verschiedenen Sicherheitsbaselines für Windows Server 2008 R2.
Die Basislinien, die Microsoft jedes bietet stellen eine Sammlung von Gruppenrichtlinien-Einstellungen als optimal für die einzelnen Server-Rolle. Obwohl die Basispläne Microsofts Security best Practices einhalten, ist blind akzeptieren einer Sicherheitsbaseline eine schlechte Praxis betrachtet. Ihrer Organisation haben ihre eigenen einzigartigen Sicherheitsanforderungen. Microsoft empfiehlt generell, dass Sie die Standard-Sicherheitsbaselines auf diese Bedürfnisse ergänzen.
Der erste Schritt dabei ist also zu eine Sicherheitsbaseline wählen, die die Serverrolle entspricht, die Sie konfigurieren möchten. Klicken Sie den doppelte Link gefunden im Aktionsbereich. Auf diese Weise können Sie eine Kopie der Sicherheitsbaseline machen. Auf diese Weise Sie die Kopie ändern können, ohne sich Sorgen darum, irreversible Änderungen an der ursprünglichen Sicherheitsbaseline.
Wenn Sie aufgefordert werden, geben Sie einen Namen für Ihre benutzerdefinierte Sicherheitsbaseline und klicken Sie dann auf speichern. Wenn Sie dies tun, sehen Sie Ihre neu erstellte Sicherheitsbaseline im Abschnitt benutzerdefinierte Baselines an der Spitze der Konsolenstruktur angezeigt.
Wenn Sie Ihre benutzerdefinierten Sicherheitsbaseline auswählen, sehen Sie alle Sicherheitseinstellungen, die in der Konsole der mittleren Spalte angezeigt. Die Konsole listet die Standardeinstellung, Microsofts empfohlene Einstellung und die benutzerdefinierte Einstellung (siehe Abbildung 2). Zunächst werden die benutzerdefinierten Einstellungen für die Microsoft-Einstellungen übereinstimmen. Wenn Sie Änderungen vornehmen, werden die in der Spalte Customized wiedergegeben.
.jpg)
Abbildung 2 eine benutzerdefinierte Baseline auswählen und Sie sehen alle Einstellungen.
Sie können einzelne Richtlinieneinstellungen durch Doppelklick auf eine Einstellung, und wählen Sie dann einen neuen Wert ändern (siehe Abbildung 3). Klicken Sie nach jeder Einstellung zu ändern auf den Zusammenbruch-Link, um Ihre Änderungen zu speichern. Wenn Sie dies tun, wird die Richtlinieneinstellung angezeigt werden, in der Konsole in fetter Schrift um anzugeben, dass die Einstellungen geändert wurden.
.jpg)
Abbildung 3 Sie können Doppelklicken Sie auf eine Richtlinieneinstellung Sicherheitsgruppe, um seine Eigenschaften zu ändern.
Wenn Sie fertig sind die verschiedenen Einstellungen überprüfen und notwendige Änderungen an der Sicherheitsbaselines, exportieren Sie Ihre Sicherheitsbaseline. Der Aktionsbereich enthält eine Reihe von verschiedenen Exportoptionen.
Sie sollten zunächst der Sicherheitsbaseline in eine Excel-Kalkulationstabelle exportieren. Auf diese Weise können Sie eine dokumentierte Kopie Ihre Sicherheitseinstellungen unabhängig von SCM Basisplan speichern. Auch sollten Sie die Einstellungen in einem Gruppenrichtlinienobjekt (GPO) Backup exportieren. Die GPO-Sicherung können Sie die Baseline-Sicherheitseinstellungen in Gruppenrichtlinien-Editor importieren.
Sie können importieren eine Baseline in den Gruppenrichtlinienobjekt-Editor durch die Sicherheitsrichtlinie, die Sie ändern möchten, öffnen mit der rechten Maustaste auf den Container Security-Einstellungen und wählen Sie die Option importieren Sie Politik (siehe Abbildung 4).
.jpg)
Abbildung 4 können Sie Ihre Sicherheitseinstellungen in Gruppenrichtlinien-Editor importieren.
Der Sicherheitskonfigurations-Assistent
Der Sicherheitskonfigurations-Assistent ist ein ebenso praktisches Tool, die, das Sie verwenden können, um Ihre Windows 2008 R2 Server zu sichern. Dies ist standardmäßig in Windows Server 2008 R2 installiert und kann über den Server im Menü Verwaltung zugegriffen werden. Wie SCM, den Sicherheitskonfigurations-Assistenten ist entworfen, um Server-Rolle-spezifischen Sicherheitsrichtlinien erstellen können Sie an die Server in Ihrem Netzwerk exportieren.
Wenn Sie den Assistenten starten, sehen Sie einen Einführungsbildschirm wechseln. Klicken Sie auf weiter, um diesen Bildschirm und Sie deaktivieren, werden zu einem Schirm genommen, die Sie fragt, welche Aktion Sie durchführen möchten. Können Sie erstellen, bearbeiten oder Anwenden einer Sicherheitsrichtlinie, oder Sie können die neueste Sicherheitsrichtlinie zurücksetzen.
Vorausgesetzt, dass Sie eine neue Richtlinie erstellen möchten, fordert der Sicherheitskonfigurations-Assistent Sie auf den Namen oder die IP-Adresse eines Servers als einer Sicherheitsbaseline Nutzen bieten. Dies sollte ein Server sein, auf dem Sie die Richtlinie Modell, das Sie erstellen möchten.
Klicken Sie auf weiter ein paar Mal, und Sie kommen zu einem Bildschirm, Fragen Sie, welche Rollen der Server ausgeführt wird (siehe Abbildung 5). Die Liste der Rollen wird automatisch aufgefüllt basierend auf den Rollen auf dem Server, von dem Sie die neue Gruppenrichtlinienmodellierung sind, installiert. Sie können die Liste der Rollen dann manuell ändern.
Es ist wichtig für die Rollenliste korrekt widerspiegelt die Rollen auf den Servern installieren, die die Politik erhalten möchten. Die Gruppenrichtlinieneinstellungen, die Registrierungseinstellungen und die Firewall-Konfiguration werden alle auf den Rollen basieren, die Sie ausgewählt haben.
.jpg)
Abbildung 5 Wählen Sie die Rollen, die auf Zielservern installiert werden.
Klicken Sie auf weiter, und Sie werden sehen, eine ähnliche Liste unter Bezugnahme auf die Funktionen, die Sie auf dem Server installiert werden. Wieder einmal ist es wichtig für die Feature-Liste um genau zu sein. Es ist auch erwähnenswert, dass der Sicherheitskonfigurations-Assistent nicht tatsächlich Rollen und Features installieren. Sie schafft nur Richtlinien basierend auf den Rollen und Features, die Sie angeben werden installiert.
Die nächsten beiden Bildschirme verfolgen dasselbe Grundformat wie die Rollen und Features Bildschirme. Einem Bildschirm fragt Sie Optionen installiert. Dies sind die Dinge wie z. B. Remotedesktop oder Remote-Volume-Management. Der nächste Bildschirm fordert Sie über zusätzliche installierte Dienste wie z. B. der Defragmentierung oder das Adobe Acrobat Update Service. Sie sehen möglicherweise einige nicht-Microsoft-Dienste angezeigt, die auf dieser Liste, je nachdem, welche Software auf der Modellserver installiert ist.
Im nächste Bildschirm werden Sie aufgefordert, was geschehen soll, wenn beim Start einen unbekannten Dienst auftritt. Lassen Sie den Dienststarttyp unverändert, oder Sie können den Service blockieren. Auf dem nächsten Bildschirm sehen Sie eine Liste der Dienste, deren Starttypen geändert werden, sodass Sie sicherstellen können, dass Sie nicht zu etwas kritischer zu deaktivieren.
Der Assistent führt Sie nun zum Abschnitt Netzwerksicherheit. Sie können diesen Abschnitt überspringen, wenn Sie dies wünschen. Es ist entworfen, um die Verwendung des Servers werden auf der Grundlage der Windows-Firewall zu konfigurieren. In diesem Abschnitt können Sie die vorhandene Firewall-Regeln überprüfen und hinzufügen oder Löschen von Regeln basierend auf Ihre Bedürfnisse.
Abschnitt Registrierung geht es weiter. Der Registry-Teil des Assistenten fragt, ob alle Computer, die an den Server angeschlossen werden soll bestimmte minimalen OS-Anforderungen erfüllen. Es wird auch überprüft, ob der Server über überschüssige Rechenleistung verfügt. Diese Einstellungen bestimmen, ob SMB-Sicherheitssignaturen aktiviert oder nicht.
Andere Bildschirme bitten Sie über die Arten von Konten, die Sie verwenden, und die Arten von Domänencontrollern in Ihrem Netzwerk. Sobald Sie fertig des Assistenten Fragen beantworten stellen, es zeigt Ihnen die alle Registrierungsänderungen, es darum geht, zu machen.
Der letzte Abschnitt, die, den Ihnen begegnen, bevor Sie aufgefordert werden, speichern Sie Ihre Sicherheits-Policy, ist Abschnitt Überwachungsrichtlinie. In diesem Abschnitt stellt Ihnen eine Frage zu Ihrem allgemeine Überwachung Philosophie. Im Wesentlichen, will es wissen, wenn Sie erfolgreiche Events, erfolgreiche und fehlgeschlagene Ereignisse oder nichts überhaupt überwachen möchten. Die Sicherheitsüberwachungs-Richtlinieneinstellungen richtet sich nach Ihrer Wahl.
Wenn Sie das Ende des Assistenten erreichen, werden Sie gefragt, um die neue Richtlinie als XML-Datei zu speichern. Sie haben dann die Möglichkeit die neue Sicherheitsrichtlinie jetzt oder später. Wenn Sie die Sicherheitseinstellung später anwenden möchten, können Sie dies durch erneutes Ausführen des Sicherheitskonfigurations-Assistenten, und wählen Sie übernehmen einer vorhandenen Sicherheitsrichtlinie-Einstellung (siehe Abbildung 6).
.jpg)
Abbildung 6 können Sie eine zuvor erstellte Sicherheitsrichtlinie durch den Sicherheitskonfigurations-Assistenten.
Es gibt viel zu viele Sicherheitsfunktionen der Windows Server in einem einzigen Artikel zu diskutieren, aber dies sind nur einige der Highlights. Die wichtigsten Tools wie z. B. den Sicherheitskonfigurations-Assistenten und dem Security Compliance Manager können Sie Ihre Server zu sichern, ohne jedes Wertpapier einzeln konfigurieren zu müssen.
.jpg)
**Brien M. Posey**MVP, ist ein freiberuflicher technischer Autor mit Tausenden von Artikeln und Dutzende von Büchern zu seinem Kredit. Können Sie die Posey-Website unter brienposey.com.