Поиск на сайте: Расширенный поиск


Новые программы oszone.net Читать ленту новостей RSS
CheckBootSpeed - это диагностический пакет на основе скриптов PowerShell, создающий отчет о скорости загрузки Windows 7 ...
Вы когда-нибудь хотели создать установочный диск Windows, который бы автоматически установил систему, не задавая вопросо...
Если после установки Windows XP у вас перестала загружаться Windows Vista или Windows 7, вам необходимо восстановить заг...
Программа подготовки документов и ведения учетных и отчетных данных по командировкам. Используются формы, утвержденные п...
Red Button – это мощная утилита для оптимизации и очистки всех актуальных клиентских версий операционной системы Windows...

Использование SCW в Windows Server 2008

Текущий рейтинг: 3.83 (проголосовало 12)
 Посетителей: 4099 | Просмотров: 6999 (сегодня 0)  Шрифт: - +

Данная статья основана на предварительной версии Windows Server 2008. Любые приведенные в ней сведения могут быть изменены.

В 2005 году корпорация Майкрософт выпустила Windows Server 2003 с пакетом обновления 1 (SP1). В состав этого пакета обновления входило первое средство управления безопасностью на основе ролей для Windows: мастер настройки безопасности (SCW). SCW был разработан, в первую и главную очередь, для уменьшения области, доступной для атак. Его цель заключалась в анализе того, что пользователь реально делал со своим компьютером, и автоматической его настойки для поддержки необходимых ролей с одновременным отключением неиспользуемых ролей и служб.

В Windows Server® 2008 остался мастер SCW, обновленный посредством добавления новых ролей и интеграции с новым брандмауэром Windows®. Он остается таким же современным средством администрирования, каким он был ранее.

В состав Windows Server 2008 также входит новое средство диспетчера серверов на основе ролей и родственные ему мастера добавления ролей и компонентов. В Windows Server 2008 для настройки сервера вместо добавления отдельных компонентов через старомодную панель управления установкой и удалением компонентов Windows теперь можно использовать средства управления ролями. Байрон Хайнз рассматривает эти средства в своей статье «Настройка ролей с помощью диспетчера серверов», выходящей в данном номере журнала TechNet Magazine.

Мастера добавления ролей и компонентов разработаны для создания настройки сервера с верными компонентами для поддержки выбранных ролей. Они также настраивают встроенный брандмауэр для обеспечения верного функционирования этих ролей. Учитывая это, можно задать вопрос – а нужен ли теперь SCW? Конечно, у многих администраторов теперь отпала потребность в SCW. Однако для двух групп пользователей SCW все еще может быть бесценным средством. Первая – это страдающие паранойей специалисты по безопасности. Они не могут не оценить способность SCW вывести безопасность на новый уровень.

Мастера добавления ролей и компонентов можно представить себе как средства, берущие сервер по умолчанию и создающие настройку для безопасной поддержки выбранных ролей и компонентов. SCW, с другой стороны, это средство, создающее настройку сервера, поддерживающую только выбранные поли и компоненты. SCW также имеет определенный воспитательный эффект, помогая лучше ознакомиться с настройкой сервера. Поэтому я настоятельно рекомендую запускать SCW после того, как на сервере создана настройка из нужного комплекта ролей и компонентов.

Вторая группа состоит из пользователей, желающих разобраться в отношениях между различными компонентами. SCW поставляется с набором файлов XML, которые документируют отношения между ролями и компонентами, службами, а также сетевыми портами. Для тех, кто хочет разобраться, что нужно различным компонентам, SCW является очень ценным средством.

В этой статье я опишу, как работает SCW и как использовать его для защиты сервера. Также я предоставлю сравнение SCW со средствами диспетчера серверов. Обратите внимание, что материал для данной статьи позаимствован из моей книги Windows Server 2008 Security Resource Kit («Комплект ресурсов безопасности Windows Server 2008») (изд-во Microsoft Press®, 2008 г.).

Обзор мастера настройки безопасности

Чтобы подготовить сцену, я хочу представить некоторую статистику, касающуюся области, доступной для атак в Windows Server 2008. Перед настройкой сервера путем добавления выбранных пользователем ролей и компонентов он уже имеет относительно внушительную область служб. По умолчанию, в Windows Server 2008 имеется 105 служб – 42 установленных на автоматический запуск, 55 на ручной и 8 отключенных. Сравните это с чистой установкой Windows Server 2003 R2 с пакетом обновления 2 (SP2), в которой по умолчанию устанавливается 86 служб – 34 установленных на автоматический запуск, 32 на запуск по запросу и 20 отключенных.

Даже с учетом метафоры ролей и уменьшения числа поддерживаемых по умолчанию ролей, Windows Server 2008 все равно имеет большую область, доступную для атак, и требует дополнительного внимания при укреплении безопасности серверов. SCW проводит пользователей через создание индивидуализированной настройки безопасности для конкретных серверов.

SCW использует совершенно отличный от существующих средств подход к укреплению безопасности серверов Он работает с метафорой ролей, чтобы создать настройку, не поддерживающую ничего или почти ничего, кроме этих ролей. Хотя SCW помогает настроить брандмауэр подобно мастерам добавления ролей и компонентов, он также отключает ненужные службы и настраивает некоторые дополнительные параметры безопасности. Наконец, если мастера добавления ролей и компонентов могут устанавливать и настраивать только роли, встроенные в Windows, то SCW расширяем. Разработчик или администратор может написать нестандартную роль или файл настройки компонента и использовать SCW для настройки любого продукта.

SCW разработан для использования после установки всех ролей и компонентов, которые должны иметься на сервере. Если на сервере предполагается иметь приложения сторонних производителей, их также следует установить до запуска SCW.

Чтобы продемонстрировать, как это работает, я создал настройку сервера с тремя ролями (сервер приложений, сервер DNS и веб-сервер) и двумя компонентами (возможности Microsoft® .NET Framework 3.0 и служба активации процессов Windows). Это не слишком логичный набор ролей и компонентов, но он служит хорошим примером для этого рассказа.

Запустите SCW из меню «Администрирование». Возникнет диалог, показанный на рис. 1.

Рис. 1 SCW начинает с того, что спрашивает, что пользователь хочет сделать 

Первый этап – это выбор того, хотите ли вы создать новую политику безопасности, изменить или применить существующую политику или выполнить откат политики, возвращая систему к изначальным параметрам. Суть вариантов относительно ясна из их перечисления.

При выборе создания новой политики безопасности SCW создает новую политику, используя какой-либо компьютер как шаблон для того, что политика должна поддерживать. Он анализирует компьютер, определяет какие компоненты и роли тот поддерживает, гарантируя как то, что они будут работать, так и то, что многие ненужные компоненты не будут включены.

SCW работает по модели прототипа. Он использует файлы XML для указания, на что должны быть похожи роли и компоненты – какие файлы следует установить, какие службы настроить и т.д. Именно по этой причине на компьютер, где разрабатывается политика, следует установить всё заранее. Программы от сторонних производителей, устанавливающие определения SCW при собственной установке, интегрируются без проблем. Но если программы от сторонних производителей не устанавливают определения SCW, их понадобится настроить вручную.

Как несложно заметить, политику можно создать на одной системе и применить ее к многим. При создании сети со многими системами сначала следует определить главные классы, которые настраиваются отдельно. Затем следует создать политику, используя один из них как прототип, и просто применить политику ко всем остальным с минимальными изменениями или вовсе без изменений.

При нажатии кнопки «Далее» (в диалоге, показанном на рис. 1) мастер запрашивает, какой компьютер следует использовать как базовый вариант, или прототип, для этой новой политики. Обычно стоит выбирать локальный компьютер, но можно использовать в качестве прототипа и удаленный компьютер.

После указания, какую систему использовать, начинается фаза анализа. В ней SCW формирует список установленных ролей и компонентов и сопоставляет его с базой данных ролей и компонентов. База данных содержит информацию, касающуюся того, какие службы используются каждой ролью и компонентом, какие сетевые порты им нужны и прочую важную информацию о настройке. После завершения анализа можно нажать кнопку просмотра базы данных настроек, чтобы увидеть, что нашел SCW. Отметьте, что эти сведения отображаются в представлении только для чтения, предоставляющем исчерпывающую информацию о настройке компьютера. Те, кому действительно интересно, что находится на их компьютере, могут провести немало времени, изучая эту информацию.

Настройка сервера с помощью SCW

При нажатии кнопки «Далее» пользователь входит в первый из четырех разделов SCW: настройку служб на основе ролей. Можно заметить, что имеющиеся в SCW роли, показанные на рис. 2, не идентичны ролям в мастере добавления ролей. Большинство ролей, доступных в мастере добавления ролей, присутствуют и здесь, а также SCW предлагает некоторые роли, не включенные в мастер добавления ролей. Например, выбранная мною роль сервера приложений отсутствует. Это вызвано тем, что SCW несколько иную метафору для ролей. Я подробнее рассмотрю этот вопрос чуть ниже.

Рис. 2 Использование SCW для выбора ролей, которые должен поддерживать сервер

В диалоге зачастую будет присутствовать уже выбранный правильный набор ролей. Так что просто проверьте, нашел ли анализ то, что, по идее, должен был найти. Если что-то не так, проверьте, установлена ли роль, и установите ее в случае отсутствия перед перезапуском SCW. Если и допущена ошибка, это еще не конец света. Функция отката в SCW вернет все к начальной точке, отменяя все изменения, внесенные политикой.

Ответы, которые пользователь дает в этом разделе, крайне важны, поскольку они определяют, что он увидит позже, в разделе сети. К счастью, логика обнаружения достаточно хороша, и обычно выбирается верный набор ролей.

Обратите внимание, что по умолчанию показываются установленные роли, то есть роли, которые сервер способен поддерживать при помощи того, что выложено на диск. Выбранные роли – это роли, которые он поддерживает в настоящий момент. Также можно выбрать показ всех ролей в базе данных. Для этого просто укажите «Все роли» в раскрывающемся списке. Это полезно, в первую очередь, при необходимости создать политику, используя прототип сервера, на котором еще не установлены все необходимые роли.

После настройки ролей выберите клиентские компоненты, которые следует поддерживать. Набор компонентов похож на присутствующий в мастере добавления компонентов, но не идентичен ему и содержит меньше компонентов. Опять-таки, метафоры не вполне совпадают, и SCW может быть расширен, так что список отличается от показываемого в мастере добавления компонентов.

При нажатии кнопки «Далее» на странице клиентских компонентов в SCW пользователь переходит к диалогу выбора управления и других параметров, как показано на рис. 3. Параметром в SCW считается то, что не вполне подпадает под определение роли или компонента. Он может предоставлять поддержку в администрировании или просто быть единственной службой, такой как обнаружение интерактивных служб. Опять же, большинство необходимых компонентов следует выбрать здесь. Также стоит указать на раскрывающееся меню. Оно заполнено вариантами, относящимися к ранее выбранным ролям и компонентам, и будет различным на различных компьютерах.

Рис. 3 Выбор прочих служб и компонентов в SCW

Далее следует диалог выбора дополнительных служб. Хотя в комплекте SCW поставляется очень большая база данных служб, в ней описано не все. Службы, найденные SCW на компьютере и отсутствующие в базе данных, показываются на странице дополнительных служб. Все встроенные службы должны быть описаны, и этот диалог не должен возникать, если не установлены какие-либо службы от сторонних производителей.

Затем мастер позволяет выбрать, что делать со службами, которые пользователь не настраивает. Этот вариант предназначен для случаев, когда предполагается взять создаваемую политику и применить ее к другому компьютеру. Если на этом компьютере присутствует иной набор служб, чем на компьютере, где создается политика, мастеру SCW нужно знать, что с ними делать. Один из вариантов, применяемый по умолчанию, – оставить их в покое. Второй вариант – отключить их, это более безопасно, но может вызвать сбои. Но если следовать совету применения политик только к серверам, идентичным тем, на которых они были созданы, то выбор, сделанный на этой странице, не имеет значения.

Теперь работа с разделом настройки ролей SCW завершена, и мастер резюмирует сделанное. Как можно увидеть на рис. 4, даже если пробежать через него не задумываясь, это сильно повлияет на область, доступную для атак. Например, поскольку компьютер не является сервером печати, и на нем не установлено принтеров, то нет и причины запускать службу диспетчера очереди печати. SCW отключает все ненужные службы. На нашем тестовом сервере SCW отключил 17 служб, установленных на автоматический запуск, и 42 службы, запускавшиеся вручную. Ваши результаты, конечно, могут отличаться в зависимости от настройки сервера, но, как можно убедиться, SCW позволяет легко подогнать политику под любой уникальный сервер, тем самым радикально уменьшая область, доступную для атак.

Рис. 4 SCW резюмирует сделанные изменения 

Далее пользователь переходит к, возможно, самому важному разделу SCW: работе с сетью. После первоначальной страницы приветствия появляется диалог правил сетевой безопасности, показанный на рис. 5. Он содержит список всех правил брандмауэра, предлагаемых SCW и основанных на поддержке ролей, выбранных в предыдущих разделах.

Рис. 5 SCW перечисляет все правила, необходимость в которых определена 

Если не производить дальнейших настроек в разделе работы с сетью, то SCW создаст правила брандмауэра, блокирующие сетевые интерфейсы таким образом, что будут доступны только эти роли и компоненты, но все клиенты смогут иметь к ним доступ. Но чтобы действительно довести до совершенства безопасность серверов, следует использовать SCW как неотъемлемый элемент создания стратегии изоляции серверов. Для получения дополнительных сведений об изоляции серверов (и ее «сестре», изоляции доменов), загляните на technet.microsoft.com/network/bb545651.

В моей книге Windows Server 2008 Security Resource Kit имеется глава о обеспечении безопасности сети с помощью изоляции серверов и доменов. Она также рассказывает, как использовать моделирование сетевых угроз для анализа сети и упрощения развертывания изоляции серверов. SCW – ценное средство в этом процессе.

Ограничения на предложенных правилах можно настраивать, выбирая правило и нажимая кнопку «Изменить». При этом возникает диалог, показанный на рис. 6. Это одна из четырех страниц, позволяющих устанавливать дальнейшие ограничения на правила работы с сетью. Например, можно затребовать проверки подлинности IPsec. Выбрав ее, можно также привязать порт к строго определенным конечным точкам. Например, можно настроить его так, чтобы удаленное администрирование было возможно лишь с конкретных узлов. Как можно увидеть, это ключевое преимущество по сравнению с мастерами добавления ролей и компонентов.

Рис. 6 SCW позволяет создавать правила брандмауэра и IPsec 

Возможность создавать правила безопасности подключений на основе выбранных ролей служит двум важным целям. Во-первых, она предоставляет отличную возможность изучить, что именно делают серверы. Для этого даже не потребуется расширять сервер. Достаточно просто запустить мастер, выбрать иные варианты и посмотреть, как это повлияет на последующие страницы. Во-вторых, это позволяет привязать весьма абстрактную концепцию порта к намного более логичной концепции службы и настраивать сетевые ограничения именно на основе того, чем реально занята система.

Если выполнить это правильно, то становится возможной очень тщательно подогнанная под задачи настройка серверов. Раздел работы с сетью в SCW, без сомнения, является местом, где стоит проводить большую часть времени в ходе создания политики безопасности для своих серверов.

Оставшаяся часть SCW позволяет настроить аудит и еще несколько параметров реестра. Значения по умолчанию для этих параметров адекватны для большинства организаций, и, за исключением случаев наличия особых требований, здесь не нужно прилагать особых усилий.

После создания политики ее можно сохранить и применить к компьютеру, над которым идет работа. Или к другим компьютерам. Также ее можно преобразовать в объект групповой политики (GPO), используя команду scwcmd.exe /transform.

Однако при наличии в политике параметров, относящихся к конкретному компьютеру, это может закончиться неудачей или дать весьма странные результаты. Например, в случае создания в разделе работы с сетью ограничений конечных точек, включающих локальные адаптеры, политика будет сочтена относящейся к конкретному компьютеру и не будет успешно преобразована. Это может быть вызвано тем фактом, что данные адаптеры необходимо указывать, используя идентификаторы GUID. Идентификатор GUID для адаптера на одном компьютере не имеет смысла на другом компьютере.

Следовательно, SCW часто лучше использовать для индивидуальной настройки отдельных серверов и как средство обучения. На крупных фермах серверов SCW можно использовать как средство получения сведений о компьютерах и разработки базовой политики. Затем эту политику можно взять и воссоздать для развертывания с помощью того средства, которое используется для настройки серверов в данном случае, скажем групповой политики или системы управления предприятием (такой как Microsoft Systems Center).

SCW по сравнению с диспетчером серверов

Читатели уже могли увидеть, что метафоры, используемые для ролей и компонентов, различаются. «Компонент» в SCW – это что-либо, проделываемое компьютером для работы в качестве клиента. Соответственно, «роль» - это нечто, проделываемое для работы в качестве сервера.

Это отличается от метафоры, используемой в диспетчере серверов, где роль – это собрание служб и компонентов, которое можно представить себе как единое целое, а компонент – это нечто, поддерживающее роль. По сути, для диспетчера серверов роль – это та функция, для выполнения которой пользователь купил сервер. Компоненты важны, но не принадлежат к числу функций, ради которых сервер был куплен. Две метафоры и два различных использования идентичных терминов неизбежно ведут к путанице. Меняя средство, необходимо остановиться и хорошенько обдумать это.

Вдобавок, средства диспетчера серверов не расширяемы. Они разработаны для управления только компонентами, поставляемыми в комплекте с Windows. В ярком контрасте с этим, устанавливаемые программы от сторонних производителей могут добавлять роли и компоненты к SCW. Он позволяет даже писать собственные роли и компоненты. В техническом документе "Extending the Security Configuration Wizard" («Расширение мастера настройки безопасности») (доступный на go.microsoft.com/fwlink/?LinkId=107397) объясняется, как это делать.

SCW также отключает ненужные компоненты. Средства диспетчера серверов, с другой стороны, просто разворачивают запрашиваемые компоненты и не делают с компьютером ничего другого. Для тех, кому нужна помощь в определении компонентов, которые могут понадобиться, SCW является верным выбором.

Вдобавок, хотя как средства диспетчера серверов, так и SCW настраивают работу с сетью, возможности SCW в этом плане гораздо шире. В случае построения стратегии изоляции серверов SCW может быть золотым дном информации и незаменимым средством развертывания. Само собой, это уже относится к области администрирования повышенной безопасности, но SCW и является средством безопасности с повышенными и расширенными возможностями.

Наконец, SCW также настраивает некоторые дополнительные параметры безопасности, которые не настраиваются средствами диспетчера серверов. Однако в Windows Server 2008 они и так уже в основном замещены более эффективными элементами управления или установлены по умолчанию.

Автор: Йеспер М. Йоханссон  •  Иcточник: TechNet Magazine  •  Опубликована: 14.03.2008
Нашли ошибку в тексте? Сообщите о ней автору: выделите мышкой и нажмите CTRL + ENTER
Теги:  


Оценить статью:
Вверх
Комментарии посетителей
Комментарии отключены. С вопросами по статьям обращайтесь в форум.