Рисунок 1. Microsoft Technet указывает на безопасность как на главную цель Server 2008.Microsoft снабдила новый Windows Server 2008 несколькими функциями безопасности, отсутствующими в предшествующей версии Windows Server 2003 (см. Рисунок 1). Улучшения касаются не только достижимого уровня безопасности, но и управляемости функций.

В Windows Server 2008 лучше защищено ядро операционной системы: количество компонентов, работающих в режиме ядра, существенно сокращено, тем самым предотвращаются его сбои, которые могут привести к остановке сервера. Большинство служб работает в контексте пользователя, и ошибки уже не угрожают всей системе.

По сравнению с Windows Server 2003, производитель существенно ограничил уровни доступа для служб — теперь они выполняются не с максимальными, а с минимальными правами. Кроме того, они защищаются брандмауэром Windows, так что системные службы не могут проводить манипуляции с файловой системой и реестром. Если какая-то из них окажется скомпрометированной, она не сможет атаковать всю систему или сеть из-за слишком обширных прав. Система проверяет DLL и службы при запуске. Для этого Windows Server 2008 создает значение хэша, защищенное сертификатом X.509. Если при запуске сервер устанавливает, что значение хэша не совпадает с реальными данными службы или DLL, соответствующая функция блокируется.

УЛУЧШЕННЫЙ БРАНДМАУЭР

Новый брандмауэр Windows контролирует не только входящий, но и исходящий сетевой трафик. Сетевой администратор может настроить исключения, блокирующие все пакеты, отправляемые на определенные порты. По умолчанию брандмауэр Windows Server 2008 ограничивает любой входящий сетевой трафик, кроме случаев, когда он вызван запросами или для него настроено исключение. Большинство серверных ролей автоматически вносят свои исключения.

С БОЛЕЕ «УМНЫМИ» ПРАВИЛАМИ

Правила брандмауэра Windows стали интеллектуальнее. Администратор может точно установить, каким компонентам и службам разрешается взаимодействовать с внешним миром. В Windows Server 2008 можно создавать более сложные правила, которые способны осуществлять аутентификацию или предусматривать шифрование для определенных видов коммуникации.

Кроме того, у администратора появилась возможность создавать правила на базе групп или пользователей Active Directory.

В отличие от Windows Server 2003, в Windows Server 2008 брандмауэр активируется автоматически. Кроме того, для управляющей консоли Microsoft (wf.msc) появился новый интегрируемый модуль (Snap-in).

УЛУЧШЕННЫЙ ВСТРОЕННЫЙ IPSEC

Настройка IPSec в Windows Server 2003 была крайне сложной. Интеграция управления IPSec в новую консоль брандмауэра существенно упрощает этот процесс. Заметно сократилось число конфликтов между двумя технологиями, а их взаимодействие улучшилось.

В Windows Server 2008 IPSec работает эффективнее, чем в предыдущих версиях. При активизации IPSec сервер сразу же начинает отправлять пакеты по этому каналу. Если принимающий сервер при ответе будет использовать IPSec, то оба сервера активируют шифрование взаимного трафика данных. В противном случае, при отсутствии поддержки IPSec, трафик будет передаваться без криптографической защиты. Таким образом, не надо в принудительном порядке активировать IPSec для всех серверов.

Интересно, что зашифрованный и незашифрованный трафик данных передается параллельно. Windows Server 2003 сначала отсылал пакеты IPSec, затем ждал 3 сек и лишь после этого отправлял незашифрованные пакеты. Подобный подход опасен ухудшением производительности, во избежание чего в Windows Server 2008 предусмотрена одновременная отправка сообщений. Серверы могут поддерживать трафик IPSec, но это перестает быть обязательным условием. В результате между задействованными узлами создается максимально надежное и производительное соединение.

Раньше IPSec в Windows поддерживал только обмен ключами Internet (Internet Key Exchange, IKE). Windows Vista и Windows Server 2008 реализуют новую функцию под названием «Аутентифицированный IP» (Authenticated IP, AuthIP), поддерживающую больше технологий аутентификации, чем IKE, к примеру, законность сертификатов, входящих в состав новой защиты сетевого доступа (Network Access Protection, NAP).

НАДЕЖНОЕ ПОДКЛЮЧЕНИЕ КЛИЕНТОВ: ЗАЩИТА СЕТЕВОГО ДОСТУПА

Рисунок 2. Перед созданием сетевого соединения клиенты проверяются на наличие безопасной конфигурации с помощью защиты сетевого доступа (NAP) в Windows Server 2008.Еще одна новая функция безопасности — защита сетевого доступа NAP. Она позволяет с помощью правил предоставлять доступ к корпоративной сети только тем клиентам, которые отвечают предварительно заданным критериям безопасности. В Vista и Windows Server 2008 необходимое клиентское программное обеспечение интегрировано; для Windows XP SP2 и Windows Server 2003 существует дополнительно устанавливаемая версия. В Service Pack 3 для Windows XP этот клиент также интегрирован.

Сервер NAP может определить, отвечают ли корпоративным директивам по безопасности удаленные ПК, запрашивающие по виртуальной частной сети (Virtual Private Network, VPN) соединение с сетью предприятия (см. Рисунок 2). В случае отрицательного ответа сервер VPN отказывает в соединении. Кроме того, защита сетевого доступа определяет, соответствует ли компьютер, находящийся в локальной сети, заданным критериям безопасности, и с учетом сделанных выводов разрешает или запрещает ему доступ к корпоративной сети. Эту функцию поддерживают серверы DHCP, коммутаторы
и терминальные серверы.

Рисунок 3. Компьютер получает сообщение, разрешено ли правилами сетевое соединение или получен отказ.Кроме того, Microsoft NAP проверяет, установлены ли заплаты безопасности и активировано ли на компьютере ПО против вирусов и шпионских программ. Если какой-то клиент не соответствует этим условиям, то NAP ему отказывает или переводит в функционально ограниченную среду, где клиенты могут загрузить обновления с сервера FTP или Windows Server Update Services (WSUS), чтобы актуализировать свои настройки безопасности и выполнить предписания, необходимые для получения доступа (см. Рисунок 3).

Еще одна важная функция безопасности — принудительный DHCP. C его помощью серверы DHCP вводят директивы для требований к целостности, если компьютер в сети захочет получить или обновить настройки IP-адреса. С помощью принудительного 802.1X сервер сетевых правил (Network Policy Server, NPS) может, например, дать команду узлу доступа на базе 802.1X (коммутатор Ethernet или беспроводная точка доступа) через NAP, чтобы для клиента 802.1X применялся ограниченный профиль доступа до тех пор, пока не будет выполнен ряд различных корректирующих мер. Принуждение 802.1X предоставляет надежный ограниченный сетевой доступ для всех компьютеров, котрые для выхода в сеть используют соединение 802.1X. Полезный момент: Microsoft NAP совместима с контролем сетевого доступа (Network Admission Control, NAC) от Cisco. Cisco и Microsoft проводят совместные испытания своей продукции и сотрудничают в дальнейшем совершенствовании своих подходов.

Клиент NAP в Windows Vista напрямую поддерживает Cisco NAC, т. е. дополнительных клиентов не требуется. Windows Update, в свою очередь, также поддерживает модули расширяемого протокола аутентификации Cisco (Extensible Authentication Protocol, EAP). Однако Cisco не единственная компания, делающая ставку на совместимость с NAP. К тому же стремятся и другие производители, к примеру, Nortel и Juniper.

Microsoft планирует прямое соединение между Forefront Client Security и NAP в Windows Server 2008. Тогда сервер NAP сможет определить, получила ли антивирусная защита клиента новейшие файлы обновления. Исходя из этого, он сможет применить сетевые правила, согласно которым клиент либо изолируется, либо вообще не получает соединение с сетью. Возможно проведение немедленного обновления. Если Forefront Client Security обнаружит вирусы, то пострадавший компьютер может быть изолирован прямо в процессе работы. Это позволяет эффективно предотвратить сплошное заражение сети от незащищенных клиентов. Для применения NAP необязательно переводить всю сеть на Windows Server 2008: допускается смешанная эксплуатация с Windows Server 2003.

НАДЕЖНАЯ ACTIVE DIRECTORY

Рисунок 4. В Active Directory под управлением Windows Server 2008 теперь поддерживаются и контроллеры доменов, защищенные от записи.Windows Server 2008 обладает новым типом контроллера доменов, доступным только для чтения (Read Only Domain Controller, RODC) (см. Рисунок 4). Его функции ориентированы на потребности предприятий, которым необходимо гарантировать безопасность филиалов. При использовании RODC на контроллере домена сохраняется реплика базы данных Active Directory, в которой не допускаются какие-либо изменения. Записывающие контроллеры доменов (Domain Controller, DC) не создают соединение для тиражирования с RODC, поскольку тиражирование возможно только с обычных DC на RODC. Благодаря этой функции DC можно применять в небольших филиалах без появления «дыр» в концепции безопасности предприятия.

RODC существенно затрудняет кражу паролей в Active Directory. Этот тип доменных контроллеров знает все объекты в Active Directory, но сохраняет лишь пароли пользователей, которые записываются там явным образом. Если атакующий получит контроль над таким DC и попробует считать пароли из базы данных контроллера, то учетные записи остального домена не пострадают. Кроме того, за один заход можно принудительно заставить поменять пароли всех учетных записей, которые тиражировались на RODC.

Хотя эта роль выполняет функции, аналогичные резервному контроллеру домена (Backup Domain Controller, BDC) в Windows NT 4.0, в ней нет ничего общего со старой функцией, это полностью новая разработка. Например, можно явным образом установить, какие права будут у доменного контроллера в Active Directory. Точно так же можно выбрать синхронизируемые с RODC данные. Сервер получает только те данные, которые ему требуются.

Read Only DNS принимает изменения от серверов DNS, а сама никаких изменений не выполняет. При запросах Read Only DNS выступает в качестве сервера DNS, однако не поддерживает динамическую регистрацию DNS. Если какой-то клиент попытается зарегистрироваться, то получит ответное сообщение от сервера о том, что обновления не принимаются.

В Windows Server 2008 в одном домене можно определить несколько директив для паролей, и в наиболее важных областях предприятия будут присваиваться более сложные пароли. Правила в отношении паролей можно назначать отдельным организационным единицам (Organizational Unit, OU). В Windows Server 2003 для одного домена можно было задать только одно правило в отношении пароля.

ТОЛЬКО САМОЕ НЕОБХОДИМОЕ: БАЗОВЫЙ СЕРВЕР

Windows Server 2008 можно установить в виде базовой версии (Core), как «Windows без Windows». В этом случае отсутствуют графический пользовательский интерфейс, стартовое меню, управление системой и интегрируемые модули для MMC. Однако таким сервером можно управлять по сети с помощью интегрируемых модулей на других серверах.

Установка базовой версии предусматривается для сервера, который будет выполнять только специальные серверные роли. К их числу относятся роли «Сервер файлов», «Сервер печати», «Потоковые медиа-службы» (Streaming Media Services), «Контроллер доменов», Active Directory Lightweight Directory Services, «Сервер DNS» и «Сервер DHCP». Другие роли на базовый сервер установить невозможно.

Поскольку инсталлируются лишь самые необходимые компоненты, безопасность повышается, так как атака на ненужные функции становится невозможной. Улучшается и стабильность сервера, ведь ненужные компоненты не станут причиной его сбоя. Кроме того, для установки такого сервера требуется значительно меньше места.

НОВЫЙ НАДЕЖНЫЙ СЕРВЕР WEB

Рисунок 5. Информационные службы Internet (IIS) в Windows Server 2008 полностью переработаны и дополнительно защищены.C Windows Server 2008 поставляется новая версия 7.0 сервера Web под названием «Информационные службы Internet» (Internet Information Services, IIS), для которого также были оптимизированы функции безопасности (см. Рисунок 5). К примеру, ядро проводит аутентификацию на стороне сервера. До сих пор отдельные серверные приложения предусматривали собственную аутентификацию. В Windows Server 2008 серверные приложения могут выполняться с менее привилегированными учетными записями, что существенно повышает уровень безопасности.

МОДУЛИ ВОКРУГ ЗАЩИЩЕННОГО ЯДРА

Вокруг компактного ядра сервера Web в IIS 7.0 группируется более 40 модулей IIS для конфигурации, сетевых протоколов, протоколирования, механизмов аутентификации и диагностики. IIS 7.0 поддерживает такие среды для разработки приложений, как ASP, ASP .NET, CGI и ISAPI, и может избирательно настраиваться в плане свойств HTTP, диагностики, безопасности и инструментов управления. На выбор предлагаются следующие методы аутентификации: «базовый», Windows, «Дайджест» и «Сертификаты». Для служб управления предусмотрено использование удаленного администрирования IIS, которое, впрочем, можно запретить.

СОКРАЩЕНИЕ УЯЗВИМОСТЕЙ

Эта концепция сокращает число уязвимых мест, которые могут подвергнуться нападению, и повышает безопасность сервера Web. IIS 7.0 применяет систему настроек на базе .NET. В менеджере информационных служб Internet можно активировать или деактивировать отдельные протоколы аутентификации для всего сервера. Тем самым гарантируется, что отдельные серверные приложения смогут использовать только те способы аутентификации, которые допускаются предприятием.

IIS предоставляет лучшие возможности делегирования и конфигурации для управления отдельными страницами Web или полностью всем сервером. Лицам, занимающимся администрированием страниц Web или приложений, необязательно получать права администратора для всего сервера.

СЕРВЕРНЫЕ РОЛИ И ФУНКЦИИ

Microsoft ввела так называемые серверные роли, которые по отдельности устанавливаются на сервер Windows. Благодаря этому инсталлируются только те компоненты, которые действительно нужны пользователю. Иначе говоря, Windows Server 2008 инсталлируется избирательнее, чем Windows Server 2003. Главное преимущество такого подхода заключается в том, что минимальная установка позволяет избежать возможных атак на ненужные функции или роли.

Если администратору потребуется пресечь подключение накопителей USB, то ему уже не придется полностью блокировать порт USB на сервере или компьютере. В Windows Server 2008 Microsoft закрепила функцию поддержки накопителей USB в групповых директивах. Операционная система сервера и Windows Vista работают с так называемыми «нитями идентификации устройств» (Identification Strings) и «классами настройки устройств» (Setup Class), чтобы идентифицировать подключенные аппаратные устройства. При подключении накопителя USB к компьютеру начинается стандартный процесс опознания. Windows устанавливает драйвер, чтобы обратиться к соответствующему устройству.

УПРАВЛЕНИЕ ПОДКЛЮЧЕНИЕМ НАКОПИТЕЛЕЙ USB

Именно эту технологию используют новые групповые директивы для настройки подключенных устройств. Ведь каждое устройство USB при подключении выдает подробную информацию, чтобы Windows Server 2008 и Windows Vista могли идентифицировать его отдельные функции. Это позволяет предотвратить установку устройств, функциональность которых не соответствует корпоративным директивам.

ШИФРОВАНИЕ ДИСКОВ BITLOCKER

BitLocker предназначается для полного шифрования разделов. Главная задача BitLocker — предотвратить кражу корпоративных данных. Даже если сервер будет похищен, его данные не удастся изъять, если они надежно зашифрованы. В Windows Vista
с SP1 и Windows Server 2008 с помощью BitLocker можно шифровать не только системный раздел, но и другие разделы компьютера. Шифрование осуществляется по секторам и базируется на технологии Full Volume Encryption Key (FVEK), шифрующей данные непосредственно на жестком диске. BitLocker поддерживает ключи длиной от 128 до 512 бит.

Томас Йоос — независимый профессиональный консультант по ИТ. Он консультирует средние и крупные предприятия относительно построения сетей Microsoft, Active Directory, Exchange Server и безопасности ИТ.


© AWi Verlag