• Artykuł

Microsoft Server 2008

Korzystanie z Kreatora SCW w systemie operacyjnym Windows Server 2008 Udostępnij na: Facebook

Opublikowano: 2 kwietnia 2008

Artykuł opisuje pracę z wersją przedpremierową systemu operacyjnego Windows Server 2008. Przedstawione w nim informacje mogą ulec zmianie. W tej rubryce pokazane zostanie działanie Kreatora SCW i to, w jaki sposób można go wykorzystać do zabezpieczenia serwera. Porównane zostaną również: Kreator SCW i narzędzia Server Manager.

*

Zawartość strony
Wstęp  Wstęp
Przegląd konfiguracji Kreatora Security Configuration Wizard  Przegląd konfiguracji Kreatora Security Configuration Wizard
Konfiguracja serwera z wykorzystaniem Kreatora SCW  Konfiguracja serwera z wykorzystaniem Kreatora SCW
Kreator SCW a Server Manager  Kreator SCW a Server Manager

Wstęp

W roku 2005 firma Microsoft wprowadziła zestaw poprawek SP1 do systemu operacyjnego Windows Server 2003. Zestaw ten zawierał pierwsze narzędzie do ochrony komputera oparte na zasadach – Kreatora Security Configuration Wizard (SCW). Firma Microsoft przygotowała Kreatora tak, by przede wszystkim zmniejszał potencjalną przestrzeń, na której można przeprowadzić atak na komputer. Celem istnienia Kreatora była obserwacja podejmowanych przez użytkownika komputera działań i automatyczne konfigurowanie komputera tak, by wspierał on wymagane przez użytkownika role, wyłączając role i usługi aktualnie niewykorzystywane. W systemie operacyjnym Windows Server 2008® pozostawiono Kreatora SCW, który dodatkowo został wyposażony w nowe role, a jego działanie zintegrowano z zaporą Windows Firewall. Mimo tego, Kreator pozostaje niezmienne zaawansowanym narzędziem administracyjnym. System operacyjny Windows Server 2008 wyposażono również w nowe, oparte na rolach narzędzie Server Manager, jak też spokrewnionych z nim Kreatorów Add Roles i Add Features. Zamiast dodawać poszczególne komponenty za pośrednictwem panelu sterowania Add/Remove Windows Components, w systemie operacyjnym Windows Server 2008 wykorzystuje się narzędzia zarządzania rolami, konfigurując nimi serwer. Narzędzia te opisuje w znajdującym się również w tym wydaniu TechNet Magazine artykule „Configuring Roles with Server Manager” Byron Hynes.

Kreatorzy Add Roles i Add Features stworzeni są tak, by możliwe było przy ich pomocy skonfigurowanie serwera odpowiednimi komponentami ról, udostępniającymi użytkownikowi wybrane przez niego role. Komponenty konfigurują również wbudowaną w system Windows zaporę sieciową, zapewniając odpowiednie funkcjonowanie ról. Znając te szczegóły, użytkownik może zastanawiać się, czy istnieje jeszcze potrzeba wbudowywania w system operacyjny Kreatora SCW. Prawdą jest, że wielu administratorów nie będzie czuło potrzeby wykorzystywania Kreatora SCW, jednak dla dwóch grup użytkowników narzędzie to będzie nie do przecenienia. Pierwsza z nich to użytkownicy mający paranoidalną wręcz obsesję na punkcie bezpieczeństwa, doceniający to, w jaki sposób Kreator SCW przenosi bezpieczeństwo w nowy wymiar.

O Kreatorach Add Roles i Add Features można myśleć, jako o narzędziach, które na bazie domyślnych ustawień serwera konfigurują go tak, by bezpiecznie wspierał pożądane przez użytkownika role i funkcje. Kreator SCW jest z drugiej strony narzędziem konfigurującym serwer tak, by wspierał wyłącznie role i funkcje pożądane przez użytkownika. Narzędzie zawiera w sobie wymiar pedagogiczny, wspierając użytkownika w zrozumieniu działania serwera. Z tych względów wysoce polecam uruchomienie Kreatora SCW po skonfigurowaniu serwera za pomocą pełnego zestawu jego ról i funkcji.

Druga grupa użytkowników, którzy docenią Kreatora SCW to użytkownicy chcący poznać zależności pomiędzy poszczególnymi komponentami serwera. Kreator instalowany jest z zestawem plików XML, zawierającym dokumentację zależności między rolami, funkcjami, usługami i portami sieciowymi. Użytkownicy chcący poznać wymagania poszczególnych komponentów na pewno docenią Kreatora SCW.

 Do początku strony Do początku strony

Przegląd konfiguracji Kreatora Security Configuration Wizard

Rysunek 1 Kreator SCW rozpoczyna działanie pytaniem o żądane przez użytkownika działanie

Rysunek 1 Kreator SCW rozpoczyna działanie pytaniem o żądane przez użytkownika działanie

Pierwszym krokiem jest wybór tego, czy użytkownik chce stworzyć nową zasadę zabezpieczeń, dokonać edycji albo wprowadzenia istniejącej zasady, czy cofnąć działającą zasadę, przywracając system operacyjny do stanu wyjściowego. Wybory te nie wymagają głębszego objaśniania.

Po wybraniu opcji stworzenia nowej zasady zabezpieczeń, Kreator SCW tworzy ją, jako szablon wybierając jeden z komputerów i zainstalowane dla niego zasady. Poddaje analizie komputer i ustala wspierane przez niego role i funkcje, zapewniając ich działanie, jak też blokadę uruchamiania wielu zbędnych funkcji.

Kreator SCW działa na bazie prototypowego modelu, wykorzystując pliki XML w celu ustalenia tego, jak wyglądają role i funkcje w kontekście instalowanych plików, konfigurowanych usług, itd. Dlatego niezbędne jest zainstalowanie na komputerze w związku z którym ustalane są zasady wszystkich wymaganych do jego działania programów. Jeśli wykorzystywane są programy firm trzecich instalujące samodzielnie definicje SCW, zostaną one bez przeszkód zintegrowane s systemem. Jeśli programy dostawców zewnętrznych nie instalują definicji SCW, należy je skonfigurować ręcznie.

Jak widać, możliwe jest stworzenie reguły dla jednego komputera, którą można później wprowadzić dla innych komputerów. Administratorzy budujący sieć komputerową składającą się z wielu maszyn powinni najpierw zdefiniować klasy hosta, które są konfigurowane odrębnie. Korzystając z jednej z nich jako prototypu można potem stworzyć zasadę, którą da się łatwo zastosować do pozostałych komputerów, opcjonalnie dokonując drobnych modyfikacji.

Po kliknięciu przycisku Next w oknie dialogowym pokazanym na Rysunku 1, Kreator pyta, który z komputerów ma być wykorzystany w charakterze bazy, lub prototypu dla nowej zasady. W zwykłych warunkach wybierany jest komputer lokalny, lecz istnieje również możliwość stworzenia zasady z prototypowego komputera zdalnego. Po podaniu komputera, który ma być wykorzystany podczas tworzenia zasady użytkownik wkracza w etap analizy, w którym Kreator SCW ustala zainstalowane w komputerze role i funkcje, po czym przyporządkowuje im odpowiednie wpisy z bazy danych ról i funkcji. Baza danych zawiera informacje na temat tego, które role i funkcje wykorzystują dane usługi, jakie są wykorzystywane przez nie porty sieciowe, jak też inne ważne informacje konfiguracyjne. Po zakończeniu analizy można kliknąć przycisk View Configuration Database, co pozwoli na przejrzenie odnalezionych przez Kreatora Ssecurity Configuration Wizard informacji. Należy zwrócić uwagę na fakt, że informacje te przedstawione są tylko do odczytu, zawierając przeglądowe dane na temat konfiguracji komputera. Użytkownicy chcący zrozumieć, co rzeczywiście dzieje się w obrębie komputera mogą spędzić dużo czasu na przeglądaniu tego raportu.

 Do początku strony Do początku strony

Konfiguracja serwera z wykorzystaniem Kreatora SCW

Po kliknięciu przycisku Next, użytkownik przechodzi do pierwszej z czterech części Kreatora SCW: Role-Based Server Configuration. Da się zauważyć, ze role wymienione w Kreatorze SCW, jak pokazano na Rysunku 2, nie tworzą takiego samego zestawu, jak role Kreatora Add Roles. Większość z ról dostępnych w Kreatorze Add Roles dostępna jest również w Kreatorze SCW, który jednak dodaje nowe pozycje, na przykład wybraną przeze mnie rolę Application Server. Jest to konsekwencja faktu, że Kreator SCW wykorzystuje lekko odmienne metafory ról, które przedstawiono bardziej szczegółowo poniżej.

Rysunek 2 Korzystanie z Kreatora SCW do wybrania ról, które mają być udostępniane przez serwer

Rysunek 2 Korzystanie z Kreatora SCW do wybrania ról, które mają być udostępniane przez serwer

Najczęściej w tym oknie jest już przedstawiony prawidłowy zestaw zasad, więc zadaniem użytkownika jest jedynie weryfikacja, czy wykonana analiza odnalazła to, co odszukać powinna. W razie nieprawidłowości, należy sprawdzić, czy dana rola została zainstalowana, a brakujące role uzupełnić przed ponownym uruchomieniem Kreatora SCW. Jeśli użytkownik popełni błąd – świat się nie zawali. Kreator SCW wyposażony jest w opcję cofania zmian, przywracającą system do stanu, w którym znajdował się przed modyfikacją ustawień zasad.

Udzielone w tym kroku pracy Kreatora odpowiedzi są niezwykle ważne, gdyż wpływają na to, co pojawi się później w oknie prezentującym sieć. Na szczęście logika podejmowania decyzji w tym kroku jest niezmiernie prosta, a odpowiedni zestaw ról – najczęściej automatycznie zaznaczony.

Zwrócić uwagę należy na to, że domyślnie pojawia się wpis Installed Roles – są to role, które serwer potrafi obsłużyć biorąc pod uwagę dane składowane na dysku twardym. Role, które serwer aktualnie udostępnia są zaznaczone. Możliwe jest również pokazanie wszystkich ról zapisanych w bazie danych, wybierając z listy rozwijanej pozycje All Roles. Największą użytecznością tej opcji są sytuacje, w których użytkownik musi stworzyć zasadę na bazie serwera prototypowego, na którym nie zainstalowano jeszcze wszystkich wymaganych ról.

Po konfiguracji ról, użytkownik wybiera pożądane funkcje klienckie. Zestaw funkcji jest podobny do dostępnego w Kreatorze Add Features, lecz nie identyczny – zawiera bowiem mniej wpisów. Podobnie, metafory nie są identyczne do zastosowanych w Kreatorze Add Features, a funkcjonalność Kreatora SCW można dodatkowo rozszerzać, co dodatkowo warunkuje odmienny zestaw funkcji prezentowany przez Kreatora SCW w odniesieniu do Kreatora Add Features.

Po kliknięciu przycisku Next w karcie Client Features Kreatora SCW, użytkownik przechodzi do okna dialogowego Select Administration and Other Options, pokazanego na Rysunku 3. Przez „opcję” (Option) Kreator SCW rozumie coś, co nie jest ani rolą, ani funkcją. Może to być cecha umożliwiająca wsparcie administracyjne, a nawet pojedyncza usługa, na przykład Interactive Service Detection. Podobnie, jak powyżej, większość opcji, które użytkownik powinien wybrać jest już prawidłowo zaznaczona. Warto jest też zwrócić uwagę na listę rozwijaną, która zawiera opcje odnoszące się do wcześniej wybranych ról i funkcji, odmienne dla różnych komputerów.

Rysunek 3 Wybór dodatkowych usług i funkcji w Kreatorze SCW

Rysunek 3 Wybór dodatkowych usług i funkcji w Kreatorze SCW

Kolejnym oknem dialogowym jest okno Additional Services. Mimo, że Kreator SCW wyposażony jest domyślnie w obszerną bazę danych na temat usług, nie jest ona kompletna. W tym oknie dialogowym przedstawione są więc usługi komputera odnalezione przez Kreatora SCW, lecz niedostępne w jego bazie danych. Zasadniczo, w bazie danych opisane są wszystkie usługi wbudowane w system operacyjny, więc to okno dialogowe pojawić się może tylko wtedy, gdy na komputerze zainstalowane są usługi firm trzecich.

Kreator pozwala użytkownikowi na zdecydowanie, jak postąpić z usługami, które nie zostaną skonfigurowane. Opcja ta wykorzystywana jest w sytuacjach, gdy użytkownik planuje przeniesienie stworzonej zasady i zastosowanie jej dla innego komputera. Jeśli docelowy komputer wyposażony jest w inny zestaw funkcji, niż komputer, na którym tworzona jest zasada, Kreator SCW musi wiedzieć, co z takimi funkcjami zrobić. Jedną z opcji jest ich pozostawienie – jest to wybór domyślny. Druga jest wyłączenie nadmiarowych funkcji, co jest bezpieczniejsze, lecz może powodować niestabilne działanie komputera. W sytuacji użytkowników postępujących zgodnie z sugestią stosowania zasad tylko do serwerów, które są identyczne z komputerem, na którym została stworzona zasada, dokonany w tym oknie wybór nie ma znaczenia.

W tym momencie praca z częścią Roles Configuration Kreatora SCW kończy się podsumowaniem przez program podjętych działań. Jak widać na Rysunku 4, nawet klikając w każdym oknie przycisk Next bez dokonywania zmian, działania wpływające na potencjalne punkty ataku na komputer są znaczne. Dla przykładu, z uwagi na to, ze komputer nie pełni roli serwera wydruku, ani nie posiada zainstalowanych drukarek, nie jest wymagana instalacja usługi Print Spooler. Kreator SCW dezaktywuje wszystkie zbędne usługi. W instalacji testowej, Kreator wyłączył 17 usług uruchamianych wraz ze startem systemu, dezaktywował też 42 usługi, które można było uruchomić ręcznie. Wynik działania Kreatora różnić się będzie oczywiście w zależności od konfiguracji serwera, lecz w sposób jednoznaczny widać, że Kreator SCW pozwala na łatwe dopasowanie zasad do danego serwera, czym znacznie zmniejsza liczbę miejsc, w które może być wycelowany atak.

Rysunek 4 Kreator SCW dokonuje podsumowania wprowadzonych zmian

Rysunek 4 Kreator SCW dokonuje podsumowania wprowadzonych zmian

Użytkownik przechodzi następnie do prawdopodobnie najważniejszej fazy pracy z Kreatorem SCW: Networking. Po ekranie powitalnym program udostępnia pokazane na Rysunku 5 okno dialogowe Network Security Rules. Okno zawiera listę wszystkich zalecanych przez Kreatora SCW zasad działania zapory połączenia sieciowego, które ustalone zostały na podstawie wybranych wcześniej odgrywanych przez serwer ról.

Rysunek 5 Kreator SCW przedstawia sugerowane dla danego komputera zasady

Rysunek 5 Kreator SCW przedstawia sugerowane dla danego komputera zasady

Jeśli w sekcji Network nie są wprowadzane zmiany konfiguracyjne, Kreator SCW stworzy zasady pracy zapory połączenia sieciowego, które ograniczą pracę interfejsów sieciowych do ram określonych przez zastosowane zasady i funkcje, z możliwością dostępu do nich z poziomu wszystkich komputerów klienckich. By dokonać pełnej optymalizacji zabezpieczeń komputera, powinno się skorzystać z Kreatora SCW w ramach tworzenia strategii typu Server Isolation. Strategia ta, jak też pokrewna do niej strategia izolacji domeny, opisana jest w dokumencie technet.microsoft.com/network/bb545651.

Ograniczenia na proponowane zasady można nakładać po wybraniu danej zasady i kliknięciu przycisku Edit. Przenosi to użytkownika do okna dialogowego pokazanego na Rysunku 6. Okno dialogowe pokazane na tym rysunku jest jednym z czterech, które pozwalają na nałożenie dalszych ograniczeń na zasady ruchu sieciowego. Na przykład, możliwe jest włączenie konieczności identyfikacji dla protokołu IPSec. Jeśli ta opcja zostanie wybrana, możliwe jest też połączenie danego portu wyłącznie z określonymi punktami końcowymi sieci. Przykładowo, możliwe jest stworzenie konfiguracji zezwalającej na zdalną administracje wyłącznie z określonych komputerów hosta. Jak widać, ta cecha Kreatora SCW jest jego główną przewagą nad Kreatorami Add Roles i Add Features.

Rysunek 6 Kreator SCW pozwala na tworzenie zasad działania zapory połączenia sieciowego i protokołu IPSec

Rysunek 6 Kreator SCW pozwala na tworzenie zasad działania zapory połączenia sieciowego i protokołu IPSec

Możliwość tworzenia zasad zabezpieczania połączeń sieciowych opartych na wybranych wcześniej rolach serwera ma dwa ważne cele. Przede wszystkim stwarza użytkownikowi wspaniałą okazję do nauki i prawidłowego zrozumienia działania serwerów. Zbędne jest tu budowanie serwera, gdyż wystarczy uruchomić Kreatora, dokonać innych wyborów poszczególnych opcji i sprawdzić, jak zaznaczone opcje wpływają na dostępne wybory w następnych fazach pracy z Kreatorem. Po drugie, użytkownik ma możliwość powiązania abstrakcyjnej koncepcji portu z o wiele bardziej logiczną koncepcją usługi i skonfigurowania ograniczenia ruchu sieciowego na podstawie rzeczywiście wykonywanych przez serwer zadań.

Jeśli operacja zostanie przeprowadzona prawidłowo, możliwe jest stworzenie bardzo sztywnej konfiguracji serwera. Sekcja Networking Kreatora SCW jest bez wątpienia miejscem, w którym użytkownik powinien spędzić większość czasu poświęconego na tworzenie zasad bezpieczeństwa serwera.

Pozostałe części Kreatora SCW pozwalają na konfigurację inspekcji oraz kilku ustawień Rejestru. Domyślne ustawienia tych części są odpowiednie w przypadku większości przedsiębiorstw i, o ile użytkownik nie ma specjalnych wymagań, nie trzeba dokonywać w nich wielu zmian.

Po stworzeniu zasady, można ją zapisać i zastosować do komputera, na którym aktualnie pracuje użytkownik, lub do innych. Zasadę można również przekształcić w obiekt typu Group Policy (GPO) wpisując polecenie scwcmd.exe /transform.

Jednak jeśli w zasadzie zawarte są ustawienia specyficzne dla danego komputera, operacja może się nie udać, lub może przynieść dziwne efekty. Dla przykładu, jeśli w ograniczeniach punktów końcowych sieci znalazły się lokalne karty sieciowe, zasadę uważa się za przypisaną do danego komputera i nie jest możliwa jej transformacja. Jest to skutkiem faktu, że karty sieciowe muszą być opisane za pomocą identyfikatorów GUID, które po przeniesieniu do innego komputera tracą swoje znaczenie.

Z tych względów Kreator SCW najlepiej jest wykorzystywać odrębnie dla każdego serwera i jako narzędzie treningowe. W przypadku wielkich „farm serwerowych” można Kreatora SCW wykorzystać jako narzędzie pozwalające zdiagnozować poszczególne komputery i pomagające w ustaleniu bazowego zestawu zasad, który można przekształcić i wykorzystać obojętnie, jakie narzędzie zostanie wykorzystane do konfiguracji serwerów – może to być narzędzie typu Group Policy, czy Enterprise Management System (przykładem którego jest Microsoft Systems Center).

 Do początku strony Do początku strony

Kreator SCW a Server Manager

Fakt, że metafory ról i funkcji różnią się od siebie został jak dotąd tylko zaznaczony. „Funkcja” w Kreatorze SCW to czynność wykonywana przez komputer pracujący jako maszyna kliencka, tymczasem „rola” to czynność wykonywana przez komputer pracujący jako serwer.

Takie podejście różni się od metafor przyjętych w narzędziach Server Manager, gdzie „rola” jest zbiorem usług i funkcji, który może być potraktowany jako odrębna jednostka, zaś „funkcja” jest jednostką wspierającą role. Istotą narzędzia Server Manager jest podejście mówiące, że rola to funkcja, do wykonywania której zakupiony był serwer. Funkcje są również ważne, lecz nie dla nich zakupiono serwer. Te dwie metafory i dwa odmienne podejścia w pewnym stopniu gmatwają ich rozumienie. Przed zmianą narzędzi zarządzających serwerem warto więc zatrzymać się i solidnie przeanalizować te podejścia.

Dodatkowo należy zauważyć, ze narzędzia Server Manager nie mogą być rozszerzane. Zaprojektowano je tak, by zarządzały komponentami dostarczanymi z systemem Windows. Programy firm trzecich instalowane na serwerze mogą dodawać role i funkcje przeznaczone dla Kreatora SCW. Możliwe jest również pisanie nowych ról i funkcji przez użytkownika. Dokument „Extending the Security Configuration Wizard", dostępny pod adresem go.microsoft.com/fwlink/?LinkId=107397 szczegółowo wyjaśnia ten proces.

Kreator SCW dezaktywuje również nieużywane komponenty. Z drugiej strony narzędzia Server Manager wyłącznie rozmieszczają żądane przez użytkownika komponenty, nie dokonując żadnych innych zmian w obrębie komputera. Użytkownicy chcący otrzymać odpowiedź na pytanie „których komponentów nie będę potrzebował?” powinni rozważyć skorzystanie z Kreatora SCW.

Dodatkowo, mimo, że zarówno narzędzia Server Manager, jak i Kreator SCW konfigurują sieć, Kreator SCW jest w tej dziedzinie wyposażony w o wiele więcej możliwości. Użytkownicy budujący strategię izolacji serwera mogą wykorzystać Kreatora SCW jako kopalnię informacji i najlepszego towarzysza procesu rozmieszczenia. Oczywiście tego typu prace zahaczają już o zaawansowane kwestie administracji zabezpieczeniami, lecz Kreator SCW jest przecież zaawansowanym narzędziem zabezpieczania sieci.

Kreator SCW jest w stanie konfigurować dodatkowe ustawienia związane z bezpieczeństwem, które są niedostępne z poziomu narzędzia Server Manager. Ustawienia te zostały jednak w większości wyparte przez bardziej zaawansowane elementy kontrolne systemu operacyjnego Windows Server 2008, lub ustawione w nim domyślnie.

 Do początku strony Do początku strony

Microsoft Server 2008