После того как компания Microsoft добавила мастер qSecurity Configuration Wizard (SCW) в состав системы Windows Server 2003 SP1, это дополнение рассматривалось как инструмент, который может помочь администраторам обеспечить безопасность системы Windows. Однако при этом мастер облегчил жизнь и администраторам системы Exchange Server, безопасность которой зависит от надежности Windows. Ведь уязвимость операционной системы ставит под удар и службу Exchange.
Создав систему Exchange Server 2007, компания Microsoft добавила в ее состав файлы формата XML, с помощью которых можно расширить возможности мастера SCW. Эти файлы позволяют администраторам задействовать мастер SCW для обеспечения безопасности системы Exchange, а не только для защиты Windows. В этой статье я покажу, как установить и настроить мастер SCW, а также как с его помощью повысить надежность сервера Exchange.
Установка Security Configuration Wizard
Мастер SCW впервые появился в пакете Windows 2003 SP1, поэтому для его использования необходимо установить пакет обновлений SP1 или один из более новых пакетов. Однако одного внедрения пакета обновлений для установки мастера SCW недостаточно.
После установки пакета обновлений следует запустить в Control Panel приложение Add/wRemove Programs. В диалоговом окне Add/Remove Programs нужно щелкнуть мышью на значке Add/Remove Windows Components. Появится список различных компонентов Windows. Найдите в списке строку Security Configuration Wizard. Установите флаг в соответствующее поле и щелкните мышью на кнопке Next. Система Windows начнет копирование необходимых файлов. В зависимости от настроек сервера, система может попросить вставить установочный диск Windows 2003. После завершения процесса копирования следует щелкнуть на кнопке Finish для завершения установки.
Настройка Security Configuration Wizard «под Exchange»
После установки мастера SCW необходимо адаптировать его для работы с системой Exchange Server. Для этого вставьте в привод установочный носитель Exchange 2007 и откройте папку Scripts.
Далее необходимо найти два следующих файла: Exchange2007.xml и Exchange2007Edge.xml. Эти файлы нужны для добавления поддержки службы Exchange 2007 в состав мастера SCW. Необходимо скопировать эти файлы в папку \%windir%securitymsscwkbs своего сервера.
Данные файлы XML представляют собой шаблоны безопасности, используемые мастером SCW и разработанные для защиты серверов Exchange 2007. Файл Exchange2007. xml используется для защиты сервера Exchange 2007 в том случае, если ему не присвоена роль Edge Transport. Для серверов с ролью Edge Transport компания Microsoft создала отдельный XML-файл Exchange2007Edge.xml. Серверы Edge Transport работают на границе локальной сети, и поэтому к их безопасности предъявляются специфические требования, отличные от требований, предъявляемых к серверам Exchange 2007 с другими ролями. Именно поэтому компания Microsoft создала два различных XML-файла.
Преимущество мастера SCW состоит в том, что он позволяет управлять безопасностью удаленных серверов. Исходя из этого, я предлагаю вам зарегистрировать оба файла XML, чтобы с помощью мастера SCW иметь возможность управлять любым сервером Exchange 2007. Чтобы задействовать мастер SCW, нужно быть членом группы Exchange Server Administrators, а также входить в локальную группу Administrators на целевом сервере.
Перед тем как мастер SCW сможет использовать XML-файлы, их необходимо зарегистрировать. Выполнить регистрацию «не просто, а очень просто». Для этого нужно открыть окно командной строки и ввести следующие команды:
CDWindowsSYSTEM32
SCWCMD Register/kbname: MSExchange/kbfile:%windir%securitymsscwkbsExchange2007.xml
SCWCMD Register/kbname: MSExchangeEdge/kbfile:%windir%securitymsscwkbsExchange2007Edge.xml
На экране 1 приведен результат выполнения этих команд.
Настройка безопасности Exchange Server 2007
После того как будет установлен мастер SCW и зарегистрированы необходимые XML-файлы, можно приступать к настройке безопасности сервера Exchange. В данной статье я покажу, как использовать мастер SCW для обеспечения безопасности обычного сервера Exchange (без роли Edge Transport). В случае с сервером Edge Transport процесс настройки будет практически идентичным, за исключением некоторых очевидных различий (например, сервер Edge Transport не входит в состав Active Directory (AD)).
Для запуска мастера SCW нужно выбрать соответствующий пункт в меню Administrative Tools. Откроется экран приветствия, на котором появится несколько сообщений.
Первое сообщение объясняет, что с помощью мастера SCW можно создать политику безопасности, которую в свою очередь применить к любому серверу в сети. Список настроек безопасности, применяемых к каждому серверу, будет зависеть от роли этого сервера. Однако нужно иметь в виду, что мастер не присваивает серверу определенную роль — это задача администратора. Задача мастера SCW заключается в создании политики безопасности, подходящей для сервера с определенной ролью.
Также стоит обратить внимание на тот факт, что мастер SCW не определяет роли сервера автоматически. Необходимо будет вручную указать, какие роли выполняет сервер. Если вы некорректно ответите на вопросы мастера, результирующая политика может оказаться слишком мягкой, или, наоборот, будет ограничивать работу важных приложений.
Мастер автоматически определяет используемые входящие порты. Поэтому важно, чтобы все приложения и службы, использующие входящий трафик, были активированы в момент запуска мастера.
Чтобы перейти к работе с мастером, щелкните кнопку Next на экране приветствия. На следующем экране вам будет предложен выбор: создать новую политику безопасности, редактировать существующую политику, применить существующую политику или отменить все изменения и вернуться к последней примененной политике.
Возможность возврата к последней примененной политике может существенно облегчить задачу. Если вы случайно допустите ошибку и в результате полученная политика будет слишком жесткой, просто перезапустите мастер и используйте вариант отмены изменений, чтобы вернуть сервер в рабочее состояние. Хотя возможность отмены политики безопасности не заменяет резервного копирования, в некоторых случаях она может быть очень полезной.
Для настройки политики «с нуля» следует выбрать создание новой политики безопасности. После нажатия кнопки Next вы увидите экран, на котором мастер попросит вас указать сервер, который вы хотите использовать в качестве базы. Мастер создает политику безопасности, основываясь на текущих настройках указанного сервера и данных, которые пользователь указывает, отвечая на вопросы мастера. После создания базовой политики можно применить ее к любому серверу, включая тот, настройки которого использовались при создании политики.
Во время написания этой статьи я обнаружил один недостаток: при запуске мастера SCW на сервере с операционной системой Windows 2003 SP1 он считает, что на целевом сервере также установлена система с пакетом обновлений SP1, даже если сервер работает с пакетом SP2. Обновление сервера, с которого запускается мастер, до версии SP2 должно решить эту проблему.
Независимо от роли целевого севера, для применения политики вам необходимо иметь права администратора на этом сервере. Если ваша учетная запись не имеет административных прав, вы можете использовать параметр Specify User Account для указания учетных данных администратора.
Когда вы нажмете Next, мастер SCW начнет обработку базы данных настройки безопасности. После завершения процесса обработки щелкните мышью на кнопке View Configuration Database, чтобы просмотреть все роли серверов, обнаруженные мастером SCW. Хотя на этом экране нельзя произвести никакие изменения, вы сможете убедиться в том, что мастер распознает серверы Exchange 2007. Если в списке присутствуют различные роли серверов Exchange 2007, значит, регистрация файлов XML прошла корректно.
Закройте список поддерживаемых ролей сервера и щелкните мышью на кнопке Next. На следующем экране появится сообщение о готовности мастера к созданию политики безопасности с учетом ролей сервера, а также предупреждение о том, что неверное указание ролей может привести к отказам серверов. В свете этого предупреждения я настоятельно рекомендую создать полную резервную копию операционной системы сервера, прежде чем продолжать работу с мастером.
Щелкнув на кнопке Next, вы увидите список ролей, установленных на сервере на данный момент. Мастер использует все возможности для определения ролей, установленных на сервере Windows. Однако необходимо внимательно изучить список и убедиться, что для сервера выбраны все необходимые роли. Выделите время на работу со списком, чтобы избежать ошибок, которые могут привести к неработоспособности сервера.
Щелкните на кнопке Next, и вы увидите список установленных компонентов. Основная идея этого экрана заключается в том, что каждый сервер Windows в определенных обстоятельствах играет роль рабочей станции. Элементы этого списка представляют собой установленные компоненты рабочих станций (клиентские функции). И снова я рекомендую вам тщательно проверить список выбранных компонентов, прежде чем переходить к следующему шагу.
Щелкнув на кнопке Next, вы увидите экран Administration and Other Options. На этом экране отображены службы и компоненты, связанные с выполнением задач администратора на сервере. Хотя мастер достаточно точно определяет необходимые службы и компоненты, вам стоит самостоятельно просмотреть список и убедиться в его корректности.
На следующем экране представлен список дополнительных служб, обнаруженных в ходе обработки базы данных настройки безопасности. Обычно используются все обнаруженные дополнительные службы (см. экран 2).
Чтобы исключить какую-либо дополнительную службу из списка, потребуется закрыть мастер SCW, удалить лишнюю службу и заново начать работу с мастером.
В редких случаях мастер SCW может не распознать установленную на сервере службу, поэтому необходимо указать, какие действия следует предпринять в случае обнаружения неизвестной службы. Мастер предлагает два варианта: отключить службу или позволить ей работать в исходном режиме (вариант Do not change the startup mode of the service).
На следующем экране вы увидите сводку по всем обнаруженным службам. В сводке отображены текущий тип запуска службы и тип запуска после применения новой политики. Я рекомендую вам потратить некоторое время на проверку списка и исправление возможных ошибок.
Если вас устраивают настроенные изменения, щелкните Next, чтобы перейти к экрану Network Security. Вы увидите сообщение о том, что мастер готов приступить к настройке брандмауэра Windows на основе выбранных ролей сервера. Установив флажок, размещенный на этом экране, можно пропустить настройку сетевой безопасности. Но предположим, что вы все-таки хотите настроить безопасность сети, и перейдем к следующему шагу.
На следующем экране (см. экран 3) отображается список различных портов и требуется указать, какие порты следует открыть. На первый взгляд кажется, что выбраны все порты.
Однако если вы просмотрите список, то увидите, что некоторые порты не были выбраны «по умолчанию», в том числе порты, связанные с работой Exchange Server. Нужно рассмотреть каждый порт в отдельности и принять решение, открывать его или нет.
Щелкните Next, чтобы увидеть сводку по обнаруженным портам, а также информацию об их состоянии после применения новой политики. Убедитесь в корректности сделанных изменений и снова нажмите Next.
Теперь перед вами раздел Registry Settings мастера SWC. Этот раздел позволяет задать протоколы, использование которых будет разрешено во время обмена данными с другими компьютерами.
Щелкнув мышью на кнопке Next, вы перейдете к экрану SMB Security Signatures (см. экран 4).
Как видите, настройки реестра зависят от установленных флажков. Требуется указать, соответствуют ли остальные компьютеры минимальным требованиям к операционной системе, а также обладает ли сервер достаточной вычислительной мощностью для выполнения цифровой подписи трафика файлов и печати. Первый флажок показывает, отвечают ли клиентские машины, взаимодействующие с сервером, определенным требованиям к операционной системе (список требований отображен под флажком). Второй флаг показывает, обладает ли сервер достаточной мощностью для выполнения цифровой подписи трафика файлов и печати. Установив оба флажка, вы сделаете возможным использование цифровых подписей Server Message Block (SMB).
На следующем экране нужно указать, какие методы сервер использует для аутентификации удаленных компьютеров. Обычно учетные записи домена являются единственным механизмом аутентификации. Однако вы можете добавить использование локальных учетных записей или паролей общего доступа.
Структура следующего экрана будет сильно зависеть от вариантов, выбранных на предыдущем шаге. Если вы выбрали вариант Domain Accounts, мастер предложит вам убедиться, что все контроллеры домена используют операционную систему Windows NT 4.0 с пакетом SP6 A или более новые версии Windows. Кроме того, мастер попросит подтвердить, что все часы синхронизированы с часами выбранного сервера.
Чтобы отобразить список всех вариантов, выбранных вами в разделе Registry Settings, нажмите Next. Если все настройки окажутся правильными, следует еще раз щелкнуть Next для продолжения работы.
Теперь перейдем к работе с разделом Audit Policy. На следующем экране вам будет предложено выбрать политику аудита: «Не выполнять аудит», «Выполнять аудит успешных действий» или «Выполнять аудит как успешных, так и неуспешных действий». Нужно сделать выбор и нажать Next, чтобы перейти к итоговому экрану, который содержит информацию о том, аудит каких событий будет проводиться после применения новой политики.
На следующем шаге вы перейдете к разделу Save Security Policy. Еще раз нажмите Next, после чего мастер попросит указать имя и описание (необязательное) создаваемой политики. На этом же экране находится кнопка View Security Policy, которую можно применять для создания отчета по всем выбранным настройкам безопасности. Используйте этот отчет для окончательной проверки корректности выбранных настроек.
Нажмите Next и на следующем экране укажите, применить ли политику немедленно или отложить это действие. Если выбрать первый вариант, потребуется перезагрузить сервер. Сделав выбор, нажмите Next, а затем Finish, чтобы завершить работу мастера.
Защищайте свое окружение
Мастер SCW для Windows 2003 SP1 был разработан для того, чтобы помочь администраторам обеспечивать безопасность операционной системы. Однако при этом файлы Exchange2007.xml и Exchange2007Edge.xml позволяют задействовать мастер SCW в том числе и для защиты серверов службы Exchange. Таким образом, установка и настройка мастера SCW, а также регистрация XML-файлов позволят повысить надежность всего окружения, состоящего из серверов Windows 2003 и Exchange 2007.
Брайен Поуси (http://www.brienposey.com/) — вице-президент по исследованиям компании Relevant Technologies. Автор статей на технические темы для различных изданий и Web-сайтов.
Проблема: Мастер Security Configuration Wizard (SCW) из состава Windows Server 2003 SP1 не поддерживает Exchange Server 2007.
Решение: Использовать файлы Exchange2007.xml и Exchange2007Edge.xml из комплекта поставки Exchange Server 2007 для расширения возможностей SCW
Что нужно:
Windows Server 2003 SP1
Exchange Server 2007
Этапы решения
-
Установить Windows Server 2003 SP1.
-
Установить SCW.
-
Установить и зарегистрировать файлы XML из комплекта поставки — Exchange2007.xml
Exchange2007Edge.xml. -
Настроить SCW на реализацию защиты среды Exchange.
Сложность 2/5