Windows Server 2008

Przewodnik po zabezpieczeniach ISA Server 2006 Udostępnij na: Facebook

Autor: Alan Maddison

Opublikowano: 6 stycznia 2009

Zawartość strony
 Zabezpieczanie swoich serwerów   Zabezpieczanie swoich serwerów
 Ustawienia kreatora Security Configuration Wizard   Ustawienia kreatora Security Configuration Wizard
 Działanie kreatora SCW   Działanie kreatora SCW
 Role administracyjne   Role administracyjne

Podczas gdy wielu profesjonalistów IT opiera się na ISA 2006 (Internet Security and Acceleration Server 2006), aby zabezpieczyć swoje zasoby IT, niewielu z nich podejmuje dodatkowe kroki zabezpieczające sam serwer ISA.

Ktoś, kto ostatnio instalował ISA 2006, być może pamięta, że było tam przypomnienie, aby wykonać te czynności zaraz po zakończeniu instalacji. Niestety wielu z nas, profesjonalistów, rzadko poświęca czas (lub go nie ma) na wykonanie tego ważnego kroku, kończy on więc na liście rzeczy, które trzeba zrobić, ale nigdy nie są wykonywane.

W zmieniającym się wciąż dzisiaj krajobrazie zabezpieczeń, brak zabezpieczenia serwera ISA nie jest już do zaakceptowania. Na szczęście w narzędziach wykorzystywanych do zabezpieczenia serwera ISA poczyniono znaczne ulepszenia. Nie trzeba już mierzyć się z wyzwaniami kreatorów Security Hardening Wizards, dostępnych w wersjach poprzedzających ISA 2004. Zamiast tego można polegać na dobrze zdefiniowanych krokach i narzędziach, jak kreator Security Configuration Wizard (SCW), który otrzymujemy razem z Windows Server® 2003.

W tym artykule podano krótkie podsumowanie najlepszych praktyk zabezpieczania serwerów . Następnie podano krok po kroku właściwe strategie uszczelniania samego serwera ISA przy użyciu kreatora Security Configuration Wizard w celu zmniejszenia powierzchni ataku serwera ISA i ról administracyjnych poprzez ograniczenie dostępu do serwera ISA.

Zabezpieczanie swoich serwerów

Jest wiele elementów i najlepszych praktyk związanych z zabezpieczeniem serwerów, niezależnie od tego, czy znajdują się one w centrach danych, czy w serwerowni obok naszego biura. Administrator jest odpowiedzialny za zrozumienie, czym są najlepsze praktyki i dołożenie wszelkich starań, aby wdrożyć te rozwiązania w sposób pasujący do swojej organizacji.

Pierwszy krokiem koniecznym do zabezpieczenia środowiska jest zapewnienie serwerom fizycznego bezpieczeństwa . W praktyce oznacza to, że trzeba ograniczyć dostęp do serwerów. W mniejszych środowiskach oznacza to sprawdzenie, że drzwi od serwerowni pozostają zamknięte i że lista osób mających do niej dostęp pozostaje bardzo krótka. W większych środowiskach podstawowe wymaganie jest podobne, ale może być wdrożone w bardziej zaawansowany sposób. Wiele organizacji korzysta na przykład z elektronicznego monitoringu. Pozwala to im na kontrolę wejścia do serwerowni, a także na ograniczanie dostępu do określonych półek lub klatek, zależnie od tego, jaki jest zakres obowiązków danej osoby.

Gdy mamy do czynienia z kradzieżą lub fizycznym naruszeniem serwera ISA lub ISA Configuration Storage Server, mamy kilka czynników do rozważenia. Rodzaj informacji, które można uzyskać ze skradzionego serwera, mogą potencjalnie ujawnić wszystkie serwery ISA i cały ruch (włącznie z tym szyfrowanym) w naszym środowisku.

Jeśli podejrzewamy, że serwer został ujawniony, ukradziony lub w inny sposób narażony, trzeba go natychmiast usunąć (jeśli nadal jest w swojej lokalizacji) i zastosować standardowe procedury zabezpieczania dowodów. Po podjęciu koniecznych kroków, trzeba rozpocząć proces zmiany poufnych informacji – wszystkie certyfikaty zainstalowane na serwerze muszą zostać unieważnione, a wszystkie współdzielone klucze i sekrety powinny zostać zmienione. Ponadto, jeśli mamy replikę serwera konfiguracji pamięci (Configuration Storage Server), trzeba usunąć wszystkie dane związane z ujawnionym serwerem.

Gdy wszystkie serwery będą już zabezpieczone fizycznie, kolejny krok stanowi zapewnienie strukturalnej metodologii instalowania łat oprogramowania, w tym warstwy wirtualizacji, systemu operacyjnego i aplikacji. Łaty, aktualizacje i bieżące poprawki (hotfixes) powinny być regularnie sprawdzane i stosowane. Nie wolno zapominać o przetestowaniu aktualizacji przez ich użyciem w systemach produkcyjnych. Łata nie będzie przydatna, jeśli sprawi kłopot, który narazi integralność alokacji lub danych.

Jeśli nastąpi utrata integralności danych, trzeba oprzeć się na kopiach zapasowych . Prowadzi to do kolejnego kluczowego zagadnienia związanego z bezpieczeństwem infrastruktury. Jeśli nie można w razie potrzeby szybko i całkowicie przywrócić danych, czas awarii systemu może mieć znaczący wpływ na działanie systemu, a co za tym idzie zwiększają się koszty włamania.

Dwa inne elementy, które trzeba wziąć pod uwagę, to monitoring i inspekcja . Monitoring naszych aplikacji i systemów jest ważnym elementem dobrego planu zabezpieczeń. Jeśli nie poświęcimy czasu na analizę dzienników, zwłaszcza zapisów związanych z zabezpieczeniami, to nigdy nie wykryjemy prób włamania, zanim nie zostaną dokonane szkody.

Bardzo ważna jest również inspekcja . W wielu organizacjach, zwłaszcza w dużych środowiskach, jest to proces sformalizowany i często wymagany przez odpowiednie przepisy. Niezależnie od tego, efektywne działanie w każdym środowisku wymaga regularnej oceny kontroli i metodologii używanych do zabezpieczenia zasobów.

Wreszcie, ponieważ korzystamy z serwera ISA 2006 w systemie Windows Server® 2003, istotna jest analiza materiałów Windows Server 2003 Security Guide i implementacja podanych tam zaleceń.

Obecnie Microsoft zaleca implementację szablonu zasad Baseline Security Policy, ale nie należy stosować filtrów IPsec (Internet Protocol Security).

 Do początku strony Do początku strony

Ustawienia kreatora Security Configuration Wizard

Jak więc sprawić, aby sam serwer ISA był bardziej bezpieczny? Podstawowym narzędziem zabezpieczenia ISA jest SCW . Jest na narzędzie zmniejszające powierzchnię ataku. Tworzy zasady zabezpieczeń ukierunkowane na usługi serwera, bezpieczeństwo sieci, rejestry i zasady inspekcji, konfigurując system tylko dla tych usług i funkcji, które są potrzebne.

Ważne jest, aby konfigurować tylko te usługi serwera ISA, których chcemy używać . Na przykład usługa Web Proxy jest domyślnie włączona, ale trzeba tę funkcję wyłączyć, jeśli nie mamy zamiaru z niej korzystać. Dlatego trzeba dokładnie zwracać uwagę na opcje konfiguracji, które podaje nam kreator SCW.

SCW nie jest domyślnie instalowany w Windows Server 2003, więc pierwszym krokiem jest jego instalacja za pomocą apletu Dodaj/Usuń komponenty Windows (Add/Remove Windows Components) w panelu sterowania Dodaj/usuń programy (Add or Remove Programs). (Zauważmy, że SCW jest domyślnie zainstalowany w Windows Server 2008). Gdy załadowany zostanie ekran Komponenty Windows (Windows Components), przewijamy go w dół i zaznaczamy pole SCW.

Gdy instalacja zostanie zakończona, aplikację można znaleźć w menu Narzędzia administracyjne (Administrative Tools). Przed rozpoczęciem korzystania z kreatora trzeba go zaktualizować, pobierając aktualizację serwera ISA 2006 (dostępną pod adresem go.microsoft.com/fwlink/?LinkId=122532 ). Aktualizacja ta dodaje role dla wersji ISA Server 2006 Standard Edition, ISA Server 2006 Enterprise Edition oraz ISA Server Configuration Storage Server.

Po załadowaniu aktualizacji trzeba uruchomić pakiet i wypakować z niego pliki. Potem trzeba skopiować dwa pliki .xml (isa.xml oraz isaloc.xml) do folderu SCW kbs — w domyślnej instalacji systemu Windows Server, czyli c:\windows\security\msscw\kbs.

Po skopiowaniu plików otrzymamy pytanie o zastąpienie dwóch istniejących plików o tej samej nazwie. Pliki te dotyczą wersji serwera ISA 2004 i trzeba je zachować, zanim zostaną zastąpione przez aktualizację. Ostatnim krokiem jest skopiowanie pliku isascwhlp.dll do folderu bin, który zwykle znajduje się w lokalizacji c:\windows\security\msscw\bin. Po zakończeniu dodawania ról ISA do SCW, będziemy gotowi do rozpoczęcia instalacji.

Po zakończeniu konfiguracji serwera ISA Microsoft zwykle zaleca jednorazowe uruchomienie SCW . Jeśli działa u nas wersja Enterprise Edition, obejmuje to konfigurację wszystkich macierzy i elementów macierzy.

 Do początku strony Do początku strony

Działanie kreatora SCW

Pierwszy krok stanowi uruchomienie SCW z Narzędzi administracyjnych (Administrative Tools) —pamiętajmy, że wykonanie procesu realizowanego przez kreator SCW wymaga uprawnień administratora.

Rysunek 1 pokazuje pierwszy ekran kreatora. Jeśli wczytamy się w tekst z tego ekranu, a zwłaszcza w ostrzeżenie „ten kreator wykrywa porty wychodzące, na których nasłuchuje serwer” ("this wizard detects the inbound ports that are listened to by this server"), można zrozumieć dlaczego serwer i tablice powinny być w pełni skonfigurowane przed rozpoczęciem tego procesu.

Rysunek 1. Rozpoczęcie pracy w kreatorze Security Configuration Wizard

Jeśli środowisko nie jest w pełni skonfigurowane, to może okazać się, że trzeba będzie zmienić konfigurację SCW po zakończeniu konfigurowania ISA. Kolejny ekran, pokazany a rysunku 2, pyta o działania, jakie chcemy wykonać. Trzeba wybrać opcję Utwórz nowe zasady zabezpieczeń (Create a new security policy).

Rysunek 2. Tworzenie nowych zasad zabezpieczeń

Otrzymujemy polecenie wybrania serwera, który posłuży jako podstawa dla zasad. Ponieważ tworzymy nowe zasady, domyślny wybór oznacza korzystanie z komputera, na którym uruchomiony jest kreator SCW. Zachowanie takie zmienia się jednak zależnie od działania wybranego do wykonania na poprzednim ekranie. W każdym razie jako dobra praktyka zalecane jest zainstalowanie SCW na serwerze, którego chcemy użyć jako podstawy . Jeśli SCW nie jest zainstalowany na docelowym serwerze, będzie brakować informacji potrzebnych do uzupełnienia zasad. Aby więc ułatwić sobie życie, trzeba zainstalować i uruchomić SCW na tym serwerze, który posłuży jako podstawa.

Gdy naciśniemy Dalej (Next) SCW rozpocznie analizę serwera ISA . Analiza ta obejmuje określenie ról, które są zainstalowane na serwerze, ról, które być może będą zainstalowane na serwerze, zainstalowanych usług oraz podstawowe informacje na temat pracy w sieci. Po zakończeniu przetwarzania można obejrzeć bazę danych, wybierając Widok bazy danych konfiguracji (View Configuration Database). Baza danych konfiguracji zawiera wiele informacji, w tym wszystkie obsługiwane role serwera, funkcje klienckie oraz porty.

Następnie SCW rozpoczyna proces przechodzenia przez konfigurację usług opartą na rolach (Role-Based Service Configuration). Naciśnięcie Dalej przenosi nas do następnego ekranu, gdzie otrzymujemy pytanie o wybór ról serwera, jak pokazano na rysunku 3. Początkowy skan wykonany przez SCW jest wiarygodny i okazuje się, że poprawne role serwera zostały już zidentyfikowane. Jednak bardzo jest ważne, aby dokładnie sprawdzić i usunąć ewentualne zbędne role. Jeśli zaś serwer spełnia kilka ról, trzeba sprawdzić, czy zostały wybrane te właściwe.

Rysunek 3. Określanie ról serwera

Gdy korzystamy z wersji ISA Server 2006 Enterprise Edition, trzeba brać pod uwagę Serwer konfiguracji pamięci (Configuration Storage Server). Jeśli jest on zainstalowany na serwerze, który pełni także rolę serwera ISA (nie jest to wprawdzie najlepsza praktyką, ale dość często jest stosowana), to trzeba wybrać także rolę Configuration Storage Server. Nie można używać podstawowego skanu serwera, który pełni obie funkcje dla serwerów grających wyłącznie rolę serwera ISA 2006.

Następnie otrzymujemy pytanie o wybór funkcji klienta na serwerze. Innymi słowy, trzeba określić usługi wymagane przez serwer. Na przykład niemal wszystkie serwery wymagają klienta DNS, jeśli zaś serwer należy do domeny, to będzie wymagał funkcji członka domeny.

Po wykonaniu tej czynności pojawia się ekran Administracja i inne opcje (Administration and Other Options). W tym miejscu podajemy opcje aplikacji, administracji i systemu operacyjnego, które wykorzystują usługi lub są zależne od połączeń sieciowych. Usługi, których tu nie wybierzemy, będą wyłączone. Jednak po dokonaniu wyboru i naciśnięciu Dalej otrzymujemy możliwość wyboru dowolnych dodatkowych usług, które chcemy dopuścić.

Następnie przechodzimy do konfiguracji obsługi nieokreślonych usług. Pozwala to na zdefiniowanie co będzie się działo, gdy usługi, które nie są zawarte w głównej bazie danych ani nie zainstalowane na podstawowym serwerze, zostaną odnalezione podczas stosowania zasad. Za najlepsza praktykę uznaje się wyłączenie nieokreślonych usług, gdyż ogranicza to nieprzewidziane ataki. Niestety opcja taka ma negatywne konsekwencje, jeśli serwery różnią się w jakiś znaczący sposób. Trzeba także pamiętać o tym ustawieniu, gdy w przyszłości będziemy dodawać aplikacje lub usługi sieciowe.

Następna część kreatora, pokazana na rysunku 4, pozwala na ocenę usług, które są modyfikowane przez SCW. Ten ekran potwierdzenia podaje nam porównanie bieżącego i zmienionego stanu usług po zastosowaniu zasad.

Rysunek 4. Ocena i potwierdzenie zmian usług

Po potwierdzeniu usług, które mają zostać zmienione, przechodzimy do części Zabezpieczenia sieci (Network Security). W tym miejscu SCW pozwala nam zwykle na modyfikację ustawień zapory sieciowej Windows i IPsec. Ale ponieważ konfigurujemy serwer ISA 2006, nie mamy wyboru i musimy ominąć tę część, jak pokazano to na rysunku 5.

Rysunek 5. Pominięcie ustawień Network Security

Kreator przechodzi wtedy do konfigurowania ustawień rejestru dotyczących metod uwierzytelnienia w sieci i zabezpieczeń. Pierwszy ekran tej części obejmuje podpisy Server Message Block (SMB). Protokół SMB stanowi jądro protokołu sieciowego firmy Microsoft, a ustawienia te pozwalają na podpisaną komunikację w celu zmniejszenia prawdopodobieństwa ataku pośrednika (man-in-the-middle).

Domyślne ustawienia, pokazane na rysunku 6, zapewniają dobry poziom zabezpieczeń komunikacji SMB dla serwera ISA. Trzeba jednak wziąć pod uwagę wpływ, jaki niesie za sobą podpisywanie całej komunikacji. Jeśli nie mamy wolnych cykli procesora, trzeba odznaczyć drugą opcję. Nie zapominajmy też o wszystkich serwerach, na których zastosujemy te reguły – jeśli używamy serwerów o różnych obciążeniach, trzeba wybrać serwer o największym obciążeniu procesora i użyć go jako wskazówki, czy wybierać tę opcję, czy nie.

Rysunek 6. Określenie, czy mamy wymagać podpisanej komunikacji

Kolejny zestaw ekranów dotyczy poziomu LMCompatibility, jakiego powinien używać serwer ISA. Pierwszy z tych ekranów daje trzy wybory. Jeśli nie mamy starych wersji klienta Windows (jak Windows 95 lub Windows 98) lub używamy lokalnego do kontroli dostępu, trzeba pozostawić domyślny wybór kont domen.

Na drugim ekranie dotyczącym poziomu LMCompatibility podajemy informacje na temat kontrolerów domeny. Jeśli nie mamy żadnych domen Windows NT ® 4.0, możemy zostawić wybory domyślne (Windows NT 4.0 Service Pack 6a systemy późniejsze). W tym oknie dialogowym trzeba też wybrać opcję synchronizacji zegara z zegarem wybranego serwera. Wybranie Dalej (Next) zaprowadzi nas do dodatkowych opcji dla wejściowej komunikacji LAN Manager (LM), jak pokazano na rysunku 7.

Rysunek 7. Wskazanie metod uwierzytelniania na wejściu

Trzeci ekran odnoszący się do poziomu LMCompatibility określa, czy wymagana jest wersja 2 Windows NT LAN Manager (NTLM) oraz czy zapisywane są skróty LM. Trzeba się upewnić, że żadna z tych opcji nie jest wybrana, jeśli nasze środowisko obsługuje tę konfigurację, gdyż anulowanie zaznaczenia tych dwóch opcji znacznie poprawia bezpieczeństwo . Otrzymujemy następnie podsumowanie ustawień rejestru (Registry Settings Summary). Sprawdźmy każdą pozycję i potwierdźmy, czy ustawienia zasad są poprawne.

Następnie kreator prowadzi nas do ostatniej części – Inspekcja (Auditing). Trzeba pamiętać, że wszelkie opcje konfiguracji, które zostaną tu ustawione, nie mogą być cofnięte . Ale ponieważ inspekcja nie wpływa na funkcjonowanie systemu, nie należy pomijać tej części.

Domyślnym ustawieniem jest Inspekcja działań zakończonych sukcesem (Audit successful activities), która nie zapewnia rejestrowania prób logowania zakończonych niepowodzeniem.

Jednak informacje dotyczące niepomyślnego logowania może dać wartościowe informacje na temat prób włamania. Dlatego najlepszą praktyką jest wybranie opcji Inspekcja działań zakończonych powodzeniem i niepowodzeniem (Audit successful and unsuccessful activities).

Następnie można sprawdzić konfigurację inspekcji i dwukrotnie nacisnąć Dalej, aby zapisać bieżące zasady. Na tym ekranie widocznym na rysunku 8, trzeba podać nazwę pliku, a także można podać krótki opis. Opis ten może się przydać w dużych środowiskach, gdzie różni administratorzy wspólnie ponoszą odpowiedzialność za zabezpieczenia.

Rysunek 8. Podanie nazwy i opisu swoich zasad bezpieczeństwa

Gdy plik zostanie zapisany, dostajemy do wyboru możliwość zastosowania zasad od razu lub później. Jeśli wybierzemy późniejsze stosowanie, proces zostaje zakończony. Jeśli odkryjemy jakieś błędy w konfiguracji zasad, to można cofnąć zasady, z wyjątkiem ustawień dotyczących inspekcji.

 Do początku strony Do początku strony

Role administracyjne

Zmniejszenie powierzchni ataku na serwerze ISA stanowi decydujący krok w procesie redukcji potencjalnych zagrożeń z zewnętrznych źródeł. Jednak ważna jest także ocena przypisania ról administracyjnych w ramach serwera ISA, aby ograniczyć możliwość naruszenia bezpieczeństwa ze źródeł wewnętrznych. Role administracyjne i częściowa lista popularnych zadań z tym związanych przedstawiono na rysunkach 9 i 10.

Rysunek 9. Role i zadania związane z wersją Standard Edition

Zadanie Monitoring Inspekcja Inspekcja Pełny Administrator
Tablica widoków, powiadomienia, połączenie, sesje i usługi Dozwolone Dozwolone Dozwolone
Powiadomienia potwierdzające Dozwolone Dozwolone Dozwolone
Oglądanie informacji dziennika Dozwolone Dozwolone
Tworzenie definicji powiadamiania Dozwolone
Tworzenie raportów Dozwolone Dozwolone
Rozpoczęcie i zakończenie sesji i usług Dozwolone Dozwolone
Widok zasad zapory sieciowej Dozwolone Dozwolone
Konfiguracja zasad zapory sieciowej Dozwolone
Konfiguracja pamięci podręcznej Dozwolone
Konfiguracja wirtualnej sieci prywatnej (VPN) Dozwolone

 

Rysunek 10. Role i zadania związane z wersją Enterprise Edition

Działanie Monitorowanie macierzy Inspekcja Inspekcja macierzy Administrator macierzy
Tablica widoków, powiadomienia, połączenie i sesje Dozwolone Dozwolone Dozwolone
Alerty potwierdzenia i restartu Dozwolone Dozwolone Dozwolone
Wyświetlanie informacji dziennika Dozwolone Dozwolone
Tworzenie definicji powiadamiania alertu - Dozwolone
Tworzenie raportów Dozwolone Dozwolone
Rozpoczęcie i zakończenie sesji i usług Dozwolone Dozwolone
Widok zasad zapory sieciowej Dozwolone Dozwolone
Konfiguracja zasad zapory sieciowej Dozwolone
Konfiguracja pamięci podręcznej Dozwolone
Konfiguracja wirtualnej sieci prywatnej (VPN) Dozwolone
Wykonanie funkcji NLB Drain/Stop Dozwolone Dozwolone
Widok konfiguracji lokalnej (w rejestrze członka macierzy) Dozwolone Dozwolone
Zmiana konfiguracji lokalnej (w rejestrze członka macierzy)

 

Jak widać, występuje tu wysoki stopień segmentacji zadań administracyjnych związanych z serwerem ISA. To z kolei powinno ułatwić przypisanie poprawnych ról użytkownikom w ramach organizacji.

Poza tym trzeba pamiętać, że najlepszym podejściem do przypisywania ról jest koncepcja najmniejszych przywilejów . Każdy użytkownik powinien dostawać najniższe przywileje, które są mu potrzebne do wykonania pracy.

Trzeba także pamiętać, że członkowie grupy lokalnych administratorów na serwerze ISA 2006 Standard Edition mają takie same prawa jak pełny administrator serwera ISA . W przypadku wersji Enterprise Edition, członkowie grupy lokalnych administratorów na serwerze z rolą Configuration Storage Server mają pełną kontrolę nad konfiguracją w wersji Enterprise. Oznacza to, że trzeba uważnie sprawdzić członkostwo w grupie Domain Admins, zakładając, że serwer ISA jest członkiem domeny, a także każdej innej grupy będącej członkiem grupy lokalnych administratorów serwera ISA.

 Do początku strony Do początku strony

Windows Server 2008