В составе Windows Server 2008 R2 компания Microsoft предоставляет широкий набор механизмов безопасности. При таком широте выбора очень сложно, какие механизмы и параметры безопасности нужно использовать для обеспечения надлежащей защиты своих серверов.
Существует масса методов получения максимальной отдачи от различных функций безопасности Windows Server 2008 R2. Тему безопасности Windows Server 2008 R2 невозможно охватить одной статьей — для требуется объемная книга. Поэтому в этой статье я расскажу только о функциях и методах защиты, которые в первую очередь могут быть полезными вам.
При анализе безопасности в Windows Server 2008 R2 нужно учитывать две фазы: этапы предшествующие и следующие за развертыванием. Предварительный этап можно считать этапом планирования безопасности. Если вы планируете создать новый сервер, вы должны учесть ряд обстоятельств, которые надо рассмотреть до начала какого бы то ни было процесса установки.
Изоляция серверных ролей
Одна из главных задач планирования безопасности перед развертыванием — сокращение контактной зоны сервера. Принцип сокращения контактной зоны основывается на том предположении, что чем больше кода работает в системе, тем больше вероятность, что в нем найдется уязвимость, которой может воспользоваться хакер. Поэтому для сокращения контактной зоны нужно обеспечить, чтобы на сервера выполнялся только необходимый код.
Однако для максимизации защиты рекомендуется зайти немного дальше. В общем случае рекомендуется конфигурировать каждый сервер на выполнение одной конкретной задачи. Например, вместо того, чтобы запускать службы DNS и DHCP на машине, уже выполняющей роль файлового сервера, с точки зрения безопасности лучше устанавливать каждую роль на выделенном сервере. Это не только позволяет сократить контактную зону, но также упрощает устранение неполадок, потому что конфигурация серверов значительно проще.
Понятно, что иногда использования отдельных серверов для каждой роли непрактично из соображений экономии или функциональных требований. Но даже в таких обстоятельствах, всегда лучше по возможности изолировать серверные роли.
Дополнительную экономию средств на серверы можно получить за счет виртуализации серверов. Например, лицензия на редакцию Windows Server 2008 R2 Enterprise предусматривает возможность размещения до четырех виртуальных машин при условии, что на сервере установлена только роль Hyper-V.
Используйте ядро сервера
Другой тактикой сокращения контактной зоны сервера является установка ядра сервера. Ядро сервера представляет собой сильно сокращенный вариант Windows Server 2008 R2, который не содержит пользовательского графического интерфейса.
Так как на ядре сервера работает минимальное число системных служб, у него намного меньше контактная зона, чем у обычных экземпляров Windows-серверов. Ядро сервера также демонстрирует лучшую производительность. У ядра сервера минимальные затраты вычислительных ресурсов, что делает его идеальным для размещения в виде виртуальной машины.
К сожалению ядро сервера нельзя использовать для всех случаев, в которых используется нормальная версия Windows Server 2008 R2, потому что оно поддерживает только ограниченное число системных служб и серверных приложений. Таким образом использовать ядро сервера следует во всех случаях, когда это возможно, но нужно смириться с тем фактом, что оно сгодится не для всех ваших серверных задач — по крайней мере не сейчас.
Планирование групповых политик
Предшествующее развертыванию планирование безопасности важно, но после развертывания и запуска серверов процедуры по управлению безопасностью должны предусматривать планирование и управление групповыми политиками. Рекомендуется подумать о параметрах групповых политик до развертывания Windows. Политики также потребуется корректировать со временем вместе с развитием требований по безопасности.
Управлять параметрами групповых политик можно средствами, входящими в состав Windows Server 2008 R2, но Microsoft еще предлагает бесплатную утилиту, которая называется Security Compliance Manager (SCM) и позволяет упростить процесс управления. Процесс установки прост и предусматривает использование одного мастера. Просто не забудьте установить флажок, который заставит мастера проверить наличие обновлений.
После установки SCM его можно запустить из меню Пуск. При первом запуске утилита импортирует несколько пакетов с планами безопасности. Это может занять какое-то время.
После загрузки планов безопасности в дереве консоли вы увидите несколько категорий планов. Разверните контейнер Windows Server 2008 R2 SP1, чтобы увидеть планы для Windows Server 2008 R2. Microsoft предоставляет планы безопасности для нескольких серверных ролей (рис. 1).
Рис. 1. Security Compliance Manager предоставляет ряд планов безопасности для Windows Server 2008 R2
План безопасности представляет собой набор параметров групповых политик, которые считаются оптимальными для той или иной роли. Хотя планы безопасности соответствую рекомендациям Microsoft в области безопасности, слепо следовать им не стоит. В вашей организации могут быть совершенно иные, уникальные требования к безопасности. В общем случае, Microsoft рекомендует расширять стандартные планы безопасности в соответствии с этими требованиями.
Первым делом надо выбрать план безопасности, который соответствует конфигурируемой серверной роли. Затем щелкните ссылку Duplicate в панели Actions, чтобы скопировать план безопасности. Так вы сможете менять параметры, не опасаясь внести необратимые изменения в исходный план безопасности.
В открывшемся окне задайте имя своего нестандартного плана безопасности и щелкните Save. После этого вновь созданный план безопасности появится в разделе Custom Baselines в верху дерева консоли.
Выбрав свой план безопасности в дереве консоли, вы увидите все параметры безопасности в центральной панели консоли. Здесь перечислены рекомендуемые компанией Microsoft параметры по умолчанию, а также ваши пользовательские параметры (рис. 2). В исходном состоянии пользовательские параметры совпадают с заданными Microsoft. При внесении изменений они будут отображаться в столбце Customized.
Рис. 2. Выберите пользовательский план безопасности, чтобы увидеть его параметры.
Изменять отдельные параметры политик можно, дважды щелкнув нужную политики и задав новое значение (рис. 3). После внесения изменений щелкните ссылку Collapse, чтобы сохранить изменения. При этом измененные параметры будут выделены полужирным.
Рис. 3. Двойным щелчком параметр безопасности открывается для редактирования
По завершении настройки параметров безопасности и внесения необходимых изменений в планы безопасности нужно экспортировать получившийся план безопасности. Панель Actions содержит несколько вариантов экспорта.
Можно экспортировать план безопасности в электронную таблицу Excel. Это позволяет сохранить задокументированную копию параметров вашего плана безопасности независимо от SCM. Нужно также экспортировать параметры в резервную копию объекта групповой политики (GPO). Эту резервную копию можно использовать для импорта параметров плана безопасности в редактор групповых политик.
Для этого в редакторе групповых политик откройте политику безопасности, которую нужно изменить, щелкните правой кнопкой контейнер Security Settings и выберите Import Policy (рис. 4).
Рис. 4. Импорт параметров безопасности в редакторе групповых политик
Мастер настройки безопасности
Мастер настройки безопасности — также удобное средство защиты серверов под управлением Windows 2008 R2. Он по умолчанию устанавливается в составе Windows Server 2008 R2 и доступен в меню Administrative Tools. Как и SCM, мастер настройки безопасности предназначен для создания политик безопасности для различных серверных ролей, которые можно экспортировать на серверы вашей сети.
При запуске мастера вы увидите вводную страницу. Щелкните Next, чтобы открыть страницу, на которой предлагается указать, какое действие вы собираетесь выполнить. Можно открыть, редактировать или применить политику безопасности, также можно откатиться до последней политики безопасности.
Если вы хотите создать новую политику, мастер предложит указать имя или IP-адрес сервера, настройку которого следует использовать в качестве плана безопасности.
Щелкните Next несколько раз, чтобы перейти к странице, где нужно указать, какие роли будет выполнять сервер (рис. 5). Список ролей автоматически заполняется ролями, установленными на сервере, на основе которого вы собираетесь создавать новую политику. После этого можно вручную изменять список ролей.
Важно, чтобы список ролей содержал именно те роли, параметры которых вы собираетесь переносить на другие серверы. Параметры групповых политик, реестра и конфигурация брандмауэра будут копироваться с выбранных ролей.
Рис. 5. Выберите роли, которые будут установлены на целевых серверах
Щелкните Next, чтобы увидеть аналогичный список компонентов, установленных на сервере. И на этот раз важно, чтобы список компонентов был точным. Важно также заметить, что мастер настройки безопасности не устанавливает роли и компоненты, а только создает политики указанных вами установленных ролей и компонентов.
Формат следующих двух страниц похож на формат страниц для ролей и компонентов. На одной странице предлагается выбрать установленные компоненты (Installed Options), такие как удаленный рабочий стол (Remote Desktop) или удаленное управление томами (Remote Volume Management). На следующей странице спрашивается, не установлены ли дополнительные службы, такие как слуба дефрагментации дисков или Adobe Acrobat Update. В списке можно увидеть некоторые службы, не разработанные Microsoft, — их состав зависит от установленного на сервере ПО.
На следующей странице предлагается указать, что должно происходить, если при загрузке встретится не указанная в политике служба. Можно оставить тип запуска службы без изменений или заблокировать службу. На следующей странице вы увидите список служб, тип запуска которых будет изменен, — здесь нужно убедиться, что ни она из важных служб не будет отключена.
Далее мастер переходит к разделу безопасности сети. При необходимости можно пропустить этот шаг. Он предназначен для настройки брандмауэра Windows в соответствии с тем, как планируется использовать сервер. Этот раздел позволяет пересмотреть существующие правила брандмауэра или удалить ненужные правила.
Далее следует раздел реестра. В этом разделе мастер предлагает указать, должны ли операционная система компьютеров, подключающиеся к серверу, удовлетворять определенным минимальным требованиям. Здесь также проверяется, есть ли на сервере избыток вычислительных мощностей. Эти параметры конфигурации определяют, нужно ли включать сигнатуры безопасности SMB.
На других страницах предлагается указать, какие типы учетных записей используются, а также какие типы контроллеров домена имеются в сети. После получения всех ответов мастер показывает все изменения, которые предполагается внести в реестр.
Последний раздел перед сохранением политики безопасности — раздел аудита политики. Здесь предлагается ответить на один вопрос, касающийся общего отношении к аудиту. В частности предлагается указать, какие события должны подвергаться аудиту: успешные, успешные и неуспешные или никакие. Параметры политики аудита будут определены на основе этого выбора.
В конце работы мастера предлагается сохранить новую политику как XML-файл. Применить новую политику безопасности можно сразу или позже. Если вы решите применять ее не сразу, ее можно будет применить, повторно запустим мастер управления безопасностью и выбрав вариант Apply an Existing Security Policy (рис. 6).
Рис. 6. Средствами мастера управления безопасностью можно применить ранее созданную политику безопасности
В одной статье невозможно рассказать о всех возможностях безопасности Windows Server, но я описал самые важные. Основными средствами, которые позволяют организовать безопасность серверов, не прибегая к индивидуальной настройке отдельных параметров безопасности, являются мастер управления безопасностью и Security Compliance Manager.