TechNet - Experternas arena

Vad borde vi titta på när vi utvärderar Longhorn Server i en testmiljö?

Hej!

Vi planerar att börja installera Longhorn Server i en testmiljö för att utvärdera nya säkerhetsfunktioner. Har du du några tips om vad vi borde titta på?
 
/Maria,  Stockholm

Marcus Murray

Marcus Murray jobbar på TrueSec AB och är som Sveriges enda Security MVP en av landets främsta experter på IT-säkerhet. Du som är IT-proffs kan skicka dina frågor om IT-säkerhet till adressen fraganu@microsoft.com och få din fråga besvarad av Marcus här i frågespalten. Vi kan tyvärr inte garantera att alla frågor hinner besvaras.

Svar:

Kul att ni redan börjat titta på Longhorn Server, och det finns många spännande säkerhetsfunktioner som ni får tillgång till i och med Longhorn. Vilka som är intressantast är ju lite beroende av hur er miljö ser ut men jag ska ge dig några bra exempel som jag tycker alla borde satsa på.
 
En intressant funktionär NAP (Network access Protection) som handlar om att man kan ställa hälsokrav på klienter som ansluter till nätverket. NAP kontroll kan ske på flera olika nivåer såsom VPN (RAS), Wireless (802.1X+EAP), direkt lan-access mellan datorer (IPSEC), Terminal Services och DHCP.
 
I praktiken kan man villkora en klient att den exempelvis inte får access till resurser på nätverket om inte brandväggen är påslagen, datorn är patchad och antivirusprogrammet är uppdaterat.  Dessutom kan man säkerställa att endast anslutna domändatorer får kontakt med interna resurser.
 
En annan spännande funktion som kommer med Longhorn är RODC (Read-only domain controllers). Om du har en verksamhet som bedrivs på flera orter så brukar det vara önskvärt att ha lokala domänktontrollanter utplacerade på satelitorterna, särskilt om man har nätverkslänkar som inte är 100 procent tillförlitliga. Problemet fram till nu har varit att om en lokalt utplacerad domänkontrollant hackas eller blir stulen så innebär det att den som har kontroll över den kan stjäla samtliga användarkonton i hela domänen, och med rätt verktyg faktiskt hela forresten om det är en multi-domain-forest. I en RODC kan man på konto/gruppnivå definera exakt vilka konton/krypterade lösenord som skall lagras på domänkontrollanten, samtidigt som den inte direkt kan påverka övriga delar av foresten. Det skapar förutsättningar för att ställa ut domänkontrollanter med minimal exponering av domänen.
 
Dessutom finns andra intressana funktioner som exempelvis:
 
Hårddiskkrypering (Bitlocker) som byggts in i både Vista och Longhorn Server.  Skillanden är att Longhorn Server stödjer att flera partitioner krypteras medan Vista endast stödjer en. Det går även att lagra bitlockers recovery-nycklar i AD vilket kan vara intressant att labba med.
 
Longhorn Terminal Server. Det går i och med Longhorn att publicera applikationer och desktops med starkare säkerhet i form av SSL krypterad trafik vilket är klart spännande. Definitivt något att labba med.
 
Lycka till med labbandet!

MVH /Marcus Murray, Security MVP

De åsikter och idéer som uttrycks i texten är skribentens egna, och delas inte nödvändigtvis av Microsoft AB eller dess representanter.

Alla frågor och svar

• Hur skyddar jag webbanvändarnas personliga lösenord?
  
• Har du några tips angående implementering av smarta kort?
  
• Vad ska vi tänka på när vi implementerar en ny backup-lösning?
  
• Hur skyddar man en internettjänst som SapNet?
  
• Hur designar man en säker it-miljö med stor del externa användare?
  
• Vad borde vi titta på när vi utvärderar Longhorn Servers säkerhet i en testmiljö?
  
• Hur skyddad är vår utrustning bakom en låst dörr och en sluss som kräver passerkort?
  
• Hur får vi bukt med virus och trojaner?