Utwardzonony serwer

Siedem powodów, dla których Windows Server 2008 powinien być bardziej odporny na ataki od swojego poprzednika.

Siedem powodów, dla których Windows Server 2008 powinien być bardziej odporny na ataki od swojego poprzednika.

Każda kolejna wersja dowolnego systemu operacyjnego dla serwerów jest anonsowana jako bardziej odporna na ataki. Nie inaczej było w przypadku niedawnej premiery Windows Server 2008. Microsoft wskazał na bezpieczeństwo, obok usprawnień w zakresie wirtualizacji oraz usług związanych z obsługą usług i aplikacji internetowych, jako główne obszary innowacji. Na te same cechy zwrócili również uwagę analitycy Gartnera w rekomendacji przygotowanej dla swoich klientów. Poniżej prezentujemy przegląd najistotniejszych mechanizmów ochrony, dostępnych w Windows Server 2008.

1 WindowsService Hardening

Oczywistym jest, że popularność systemu operacyjnego przekłada się na liczbę wymierzonych w niego prób ataków. Microsoft jako lider rynku z udziałem przekraczającym 66% w 2007 r. musi nieustannie zabiegać o to, aby zapewnić użytkownikom poczucie bezpieczeństwa.

Utwardzonony serwer

Poglądowe działanie NAP

Środkiem do tego celu była podjęta kilka lat temu inicjatywa uszczelnienia procesu tworzenia oprogramowania: od modelowania zagrożeń na każdym etapie projektowania, po przeglądy kodu i szkolenia dla programistów. Zmiany dotyczyły nie tylko samego procesu produkcji, ale także funkcji udostępnianych użytkownikom. Przejawem tego podejścia w Windows Server 2008 jest funkcjonalność Windows Service Hardening. Inspiracją była najprawdopodobniej analiza kodu robaka Blaster, który wykorzystywał usługę systemową do wykonywania niedozwolonych operacji na komputerze. Windows Service Hardening ma wyeliminować ten scenariusz.

W Windows Server 2008 rozszerzono poziom kontroli, jakiemu poddawane są usługi w systemie. Każda usługa otrzymuje identyfikator bezpieczeństwa SID (Security Identifier). Pozwala on określać uprawnienia nadawane poszczególnym usługom. Potencjalnie można więc uniknąć tworzenia dedykowanych kont do obsługi danej usługi. Zamiast tego będzie można korzystać z kont wbudowanych, konfigurując ich uprawnienia za pomocą SID.

Jednocześnie dokonano przeglądu usług systemowych z punktu widzenia typowych potrzeb użytkowników, w rezultacie ograniczając liczbę usług domyślnie uruchomionych i korzystających z wbudowanych kont o wysokich uprawnieniach.

2 CryptographyNext Generation

Za tą wzniosłą nazwą kryje się rozszerzenie CryptoAPI o algorytmy Suite B, które m.in. bazują na krzywych eliptycznych. Oprócz tego, Cryptography Next Generation będzie dostępny w trybie jądra. Aby w pełni wykorzystać tę funkcjonalność kryptograficzną, potrzebna jest infrastruktura kliencka oparta o Windows Vista.

3 Usprawnieniaw stosowaniu PublicKey Infrastructure

Usprawniono zarządzanie certyfikatami dodając do systemu przystawkę MMC (Microsoft Management Console), która była częścią Resource Kit dla Windows 2003. Pozwala ona w dość wygodny sposób konfigurować i monitorować stan certyfikatów w systemie. Motywem Microsoftu było zachęcenie do stosowania mechanizmów zarządzania infrastrukturą kluczy osób, które nie posiadają rozległej wiedzy technicznej na ten temat. Stąd m.in. pojawiły się drzewa reprezentujące hierarchię PKI i graficzne reprezentacje stanu certyfikatów.

Administrator może na bieżąco śledzić dostępność CRL (Certificate Revocation List) czy "stan zdrowia" urzędów certyfikacji. Wprowadzono także wsparcie dla protokołu OCSP (Online Certificate Status Protocol), który obok CRL jest drugą powszechnie stosowaną metodą sprawdzania poprawności certyfikatów. Kolejne ulepszenie to dodanie Network Device Enrollment Service, czyli implementacji protokołu SCEP (Simple Certificate Enrollment Protocol), który pozwala urządzeniom sieciowym na uzyskanie dostępu do certyfikatów z CA (Certification Authorities).

4 Windows Firewall

Zasadniczą zmianą jest domyślne ustawienie włączonego firewalla zaraz po instalacji systemu. Ta zmiana może wpłynąć na proces wdrażania oprogramowania na serwerze. Uproszczono zarządzanie IPSec, dodano rozszerzenie AuthIP (Authenticated IP) do protokołu IKE (Internet Key Exchange Protocol). Pozwala to na uzyskanie uwierzytelniania z wykorzystaniem danych tożsamości, pochodzących zarówno z odpowiedniego komputera, jak i od odpowiedniego użytkownika w sieci. Dzięki temu będzie można definiować reguły dla zapory nie tylko na podstawie adresów IP, aplikacji, ale także tożsamości użytkowników, którzy wykorzystują dany program. Firewall zapewnia ochronę ruchu IPv4 i IPv6.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200