Microsoft Windows Server 2008 R2: Protezione di Windows Server
Con così tante opzioni disponibili, stabilire le funzionalità e le impostazioni di sicurezza corrette per l'infrastruttura di Microsoft Windows Server in uso può rivelarsi problematico.
Brien M. Posey
Microsoft fornisce una vasta gamma di meccanismi di protezione per Windows Server 2008 R2. Con così tante scelte, può essere difficile sapere quali impostazioni deve utilizzare per proteggere adeguatamente i vostri server e meccanismi di protezione individuale.
Ci sono molte tecniche per ottenere il massimo le varie caratteristiche di sicurezza di Windows Server 2008 R2. Non c'è alcun modo un solo articolo è in grado di coprire tutte le caratteristiche di sicurezza di Windows Server 2008 R2 — che richiederebbero un libro abbastanza grandi. Così, per questo articolo, ho voluto evidenziare alcune delle caratteristiche di sicurezza e tecniche che saranno probabilmente il più vantaggioso per la maggior parte di voi.
Quando si tratta di protezione di Windows Server 2008 R2, ci sono due fasi è necessario considerare: sicurezza pre-distribuzione e post-distribuzione. Si può meglio pensare di sicurezza pre-distribuzione security planning. Se si sta andando alla costituzione di un nuovo server, ci sono alcune considerazioni sulla protezione che dovrebbe prendere in considerazione prima di iniziare anche il processo di installazione.
Isolamento del ruolo server
Uno dei compiti primari coinvolti nella pianificazione di sicurezza pre-distribuzione sta prendendo misure per ridurre la superficie di attacco del tuo server. Riduzione superficie di attacco si basa sul concetto che la maggiore quantità di codice in esecuzione su un sistema, maggiore la probabilità che il codice contiene una vulnerabilità che potrebbe essere sfruttata. Quindi, per ridurre la superficie di attacco sul vostro server, è necessario garantire che tali server non sono in esecuzione di qualsiasi codice non necessario.
Si consiglia di che voi fare cose un ulteriore passo, però, per massimizzare l'efficacia della vostra postura di sicurezza. Un generale ottimale, è consigliabile configurare ogni server per eseguire un compito specifico. Ad esempio, piuttosto che esegue servizi di DNS e Dynamic Host Configuration Protocol (DHCP) su un server già configurato per agire come un file server, è meglio dal punto di vista sicurezza per eseguire ogni ruolo su un server dedicato. Non solo questo contribuisce a ridurre la superficie di attacco, può anche fare qualsiasi risoluzione necessaria più facile perché ogni server è in esecuzione una configurazione meno complessi.
È comprensibile che a volte utilizzando un server separato per ogni ruolo non è pratica, a causa del costo o a causa dei requisiti di funzionalità. Anche così, è una buona idea per isolare i ruoli del server ogni volta che puoi.
Virtualizzazione del server può contribuire ad per abbattere ulteriormente i costi. Ad esempio, Windows Server 2008 R2 Enterprise Edition è licenza all'utilizzo interno fino a quattro macchine virtuali (VM), finché il server fisico sottostante è in esecuzione, Hyper-V e nient'altro.
Utilizzare Server Core
Un'altra tattica per ridurre la superficie di attacco di un server è configurato per eseguire Server Core. Server Core è un'installazione di Windows Server 2008 R2 scarno che non include l'interfaccia utente grafica completa.
Perché le distribuzioni Server Core eseguire un set minimo di servizi di sistema, essi hanno una superficie di attacco molto più piccola rispetto a una tradizionale distribuzione di Windows Server. Installazioni Server Core tendono anche ad un rendimento migliore rispetto a piena installazioni di Windows Server. Il server ha a che fare con meno overhead, che lo rende ideale per l'utilizzo all'interno di macchine virtuali.
Purtroppo, non è possibile utilizzare Server Core per tutte le distribuzioni di Windows Server 2008 R2, perché solo alcuni servizi di sistema e relativamente pochi server applicazioni possono essere eseguito su distribuzioni Server Core. Come tale, è migliore distribuire Server Core dove è possibile, ma accettare il fatto che non sarete in grado di utilizzarlo su tutti i server — almeno per ora.
Pianificazione politica di gruppo
Pianificazione pre-distribuzione sicurezza è importante, ma una volta che le cose sono installato e funzionante, le migliori pratiche di sicurezza dovrebbero includere in corso Gestione criteri di gruppo e la pianificazione. Si consiglia di prendere in considerazione prima di distribuzione Windows le impostazioni di criteri di gruppo. Sarà inoltre necessario regolare le impostazioni dei criteri nel tempo come i requisiti di sicurezza si evolvono.
Anche se può gestire completamente le impostazioni di criteri di gruppo utilizzando gli strumenti disponibili in Windows Server 2008 R2, Microsoft offre un programma di utilità libero chiamato Security Compliance Manager (SCM) che possono semplificare il processo. Scarica SCM qui. Il processo di installazione è molto semplice e utilizza una semplice procedura guidata. Appena, assicurati di che selezionare la casella di controllo che racconta l'installazione guidata per controllare gli aggiornamenti.
Una volta installato SCM, può lanciare attraverso il menu di avvio del server. Quando viene eseguita per la prima volta, il software dovrà importare un numero di protezione diversi pacchetti di base. Questo processo può richiedere alcuni minuti.
Una volta che hai importato le linee di base di sicurezza, vedrai una lista delle categorie di base all'interno della struttura della console. Espandere il contenitore di Windows Server 2008 R2 SP1 per visualizzare le linee di base di Windows Server 2008 R2 disponibile. Microsoft fornisce delle linee di base di sicurezza per un certo numero di diversi ruoli dei server (vedere Figura 1).
.jpg)
Figura 1 Security Compliance Manager fornisce un certo numero di linee di base di protezione diversi per Windows Server 2008 R2.
Microsoft fornisce ognuna delle linee di base rappresentano un insieme di impostazioni di criteri di gruppo considerato ottimale per quel ruolo server individuale. Anche se le linee di base aderisce alle procedure consigliate di sicurezza di Microsoft, ciecamente ad accettare una previsione di sicurezza è considerata una cattiva pratica. L'organizzazione avrà le proprie esigenze di sicurezza unico. Microsoft consiglia generalmente che si aumentano le linee di base di sicurezza predefinito per soddisfare tali esigenze.
Il primo passo per fare così è di scegliere una linea di base di sicurezza che corrisponde il ruolo del server da configurare. Successivamente, clicca sul link di duplicati trovato nel riquadro azioni. Ciò consente di effettuare una copia della linea di base di sicurezza. In questo modo che è possibile modificare la copia senza doversi preoccupare di rendere irreversibile modifica alla linea di base di sicurezza originale.
Quando richiesto, immettere un nome per la tua linea di base di protezione personalizzato e quindi fare clic su Salva. Quando fate, vedrete la vostra linea di base di sicurezza appena creato visualizzato nella sezione Custom linee di base nella parte superiore della struttura della console.
Quando si seleziona la tua linea di base di protezione personalizzato, vedrai tutte le impostazioni di sicurezza visualizzate nella colonna centrale della console. La console elenca l'impostazione predefinita, Microsoft consiglia impostazione e impostazione personalizzata (vedere Figura 2). Inizialmente, le impostazioni personalizzate corrisponderà le impostazioni di Microsoft. Come fate le modifiche, sarà riportate nella colonna su misura.
.jpg)
Figura 2 selezionare una previsione personalizzata e vedrai tutte le sue impostazioni.
È possibile modificare le impostazioni dei singoli criteri facendo doppio clic su un'impostazione e scegliendo un nuovo valore (vedere Figura 3). Dopo aver modificato le impostazioni, clicca sul link di collasso per salvare le modifiche. Quando si esegue questa operazione, l'impostazione dei criteri verrà visualizzato all'interno della console in grassetto per indicare le impostazioni sono state modificate.
.jpg)
Figura 3 può fare doppio clic su un'impostazione di criteri di sicurezza per modificare le sue proprietà.
Quando hai finito di rivedere le varie impostazioni e fare tutte le modifiche necessarie per le linee di base di sicurezza, esportare la tua linea di base di sicurezza. Nel riquadro azioni contiene un certo numero di opzioni di esportazione differenti.
Inizialmente, è necessario esportare la linea di base di sicurezza a un foglio di calcolo di Excel. In questo modo, è possibile archiviare una copia documentata delle vostre impostazioni di protezione di base indipendente di SCM. Si dovrebbero anche esportare le impostazioni in un oggetto Criteri di gruppo (GPO) Backup. È possibile utilizzare il GPO Backup per importare le impostazioni di protezione di base in Editor criteri di gruppo.
È possibile importare una previsione in Editor criteri di gruppo aprendo il criterio di protezione che si desidera modificare, tasto destro del mouse sul contenitore delle impostazioni di protezione e scegliendo l'opzione di importare criteri (vedere Figura 4).
.jpg)
Figura 4 è possibile importare le impostazioni di protezione in Editor criteri di gruppo.
Configurazione guidata impostazioni di sicurezza
Configurazione guidata impostazioni di sicurezza è uno strumento altrettanto utile, che è possibile utilizzare per proteggere i vostri server Windows 2008 R2. Questo è installato per impostazione predefinita in Windows Server 2008 R2 ed è accessibile dal menu Strumenti di amministrazione del server. Come SCM, configurazione guidata impostazioni di sicurezza è stato progettato per creare criteri di protezione specifici del ruolo server è possibile esportare ai server sulla rete.
Quando si avvia la procedura guidata, vedrai una schermata introduttiva. Fare clic su avanti per cancellare questa schermata e voi sarete presi ad uno schermo che ti chiede quale azione da eseguire. Creare, modificare o applicare un criterio di protezione, oppure è possibile ripristinare il criterio di protezione più recente.
Supponendo che si decide di creare un nuovo criterio, la configurazione guidata impostazioni di sicurezza vi verrà chiesto di fornire il nome o l'indirizzo IP di un server da utilizzare come una linea di base di sicurezza. Questo dovrebbe essere un server su cui si vorrebbe modellare la politica che stai per creare.
Fare clic su avanti un paio di volte, e vi imbatterete in una schermata che ti chiede quali ruoli si esibirà il server (vedere Figura 5). L'elenco dei ruoli viene popolato automaticamente basato sui ruoli installati sul server dal quale stai di modellazione della nuova politica. È quindi possibile modificare manualmente l'elenco dei ruoli.
È importante per la lista di ruolo riflettere accuratamente i ruoli che si prevede di installare sui server che ricevono il criterio. Le impostazioni di criteri di gruppo, le impostazioni del Registro di sistema e configurazione firewall sarà tutto basati sui ruoli che hai scelto.
.jpg)
Figura 5 scegliere i ruoli che verranno installati sul server di destinazione.
Fare clic su avanti, e vedrai un elenco simile che si riferisce alle caratteristiche installate sul server. Ancora una volta, è importante per la lista di funzionalità essere precisi. Esso è inoltre notare che la configurazione guidata impostazioni di sicurezza in realtà non installare ruoli server e funzionalità. Esso crea solo politiche basate sui ruoli e funzioni che indicano sono installati.
Le prossime due schermate seguano lo stesso formato di base come gli schermi ruoli server e funzionalità. Una schermata ti chiede sulle opzioni di installazione. Queste sono le cose, come ad esempio Desktop remoto o gestione remota del Volume. Nella schermata successiva vi chiede circa eventuali servizi aggiuntivi installati come la deframmentazione del disco o il servizio di aggiornamento di Adobe Acrobat. Si potrebbero vedere alcuni servizi non Microsoft visualizzati in questa lista, a seconda di quale software è installato sul server di modello.
Nella schermata successiva ti chiede che cosa dovrebbe accadere quando avvio incontra un servizio non specificato. È possibile lasciare invariato il tipo di avvio servizio, o si può bloccare il servizio. Nella schermata successiva, vedrai una lista dei servizi i cui tipi di avvio saranno cambiati così può assicurarsi che non stai per disabilitare qualcosa di critico.
La procedura guidata richiede ora nella sezione protezione della rete. Si può saltare questa sezione, se si sceglie così. Esso è progettato per configurare Windows Firewall basato su come utilizzi il server. Questa sezione consente di rivedere le regole del firewall esistenti e aggiungere o eliminare regole in base alle vostre esigenze.
La sezione del Registro di sistema è prossima. La porzione del Registro di sistema della procedura guidata chiede se tutti i computer che si collega al server di soddisfano determinati requisiti minimi di OS. Verifica anche o meno il server dispone di potenza di elaborazione in eccedenza. Queste impostazioni di configurazione di determinare o meno consentire le firme di protezione Server Message Block.
Altre schermate chiedono circa i tipi di account che si sta utilizzando e i tipi di controller di dominio sulla rete. Una volta terminato rispondendo alle domande della procedura guidata, che vi mostrerà tutte le modifiche di registro si tratta di fare.
L'ultima sezione che si incontrano prima che ti viene richiesto di salvare la vostra politica di sicurezza è la sezione Criteri di controllo. Questa sezione ti chiede una domanda circa la vostra filosofia di revisione generale. In sostanza, vuole sapere se si desidera controllare eventi di successo, gli eventi di successo e insuccesso o niente affatto. Le impostazioni di criteri di controllo saranno basate sulla vostra scelta.
Quando si raggiunge la fine della procedura guidata, viene chiesto di salvare la nuova politica come file XML. Poi hai la possibilità di applicare il nuovo criterio di sicurezza ora o più tardi. Se si sceglie di applicare l'impostazione più tardi di protezione, è possibile farlo rieseguire la configurazione guidata impostazioni di sicurezza e scegliendo l'applica un'impostazione di criteri di sicurezza esistenti (vedere Figura 6).
.jpg)
Figura 6 è possibile applicare un criterio di protezione creato in precedenza tramite la configurazione guidata impostazioni di sicurezza.
Ci sono troppe caratteristiche di sicurezza di Windows Server per discutere all'interno di un singolo articolo, ma questi sono alcuni dei punti salienti. I principali strumenti come la configurazione guidata impostazioni di sicurezza e Security Compliance Manager possono aiutarti a proteggere i vostri server senza dover configurare ogni impostazione individualmente di protezione.
.jpg)
**Brien M. Posey**MVP, è scrittore tecnico con migliaia di articoli e dozzine di libri al suo attivo. Si può visitare il sito Web di Posey al brienposey.com.