Bezpieczeństwo Windows Servera 2012

DNSSEC w praktyce

DNSSEC w praktyce

Te problemy zostały rozwiązane - pojawił się na przykład tryb "network protector", w którym zaszyfrowane dyski będą dostępne pod warunkiem, że system będzie podłączony do domeny AD i będzie miał łączność sieciową. Trzeba jeszcze spełnić kilka dodatkowych warunków, w tym stosowanie UEFI ze sterownikiem DHCP czy odpowiednio skonfigurowane GPO. Dodatkowo BitLocker w nowej odsłonie wprowadza obsługę dysków szyfrowanych sprzętowo np. SED (Self Encrypting Disk) pracujących w różnych standardach. Co ciekawe, BitLocker obsługuje także dyski używające technologii Fiber Channel i iSCSI oraz działające w hardware’owym RAID-zie. Na tym jednak zmiany się nie kończą. Pojawiło się wsparcie szyfrowania w środowiskach sklastrowanych - w wypadku przełączenia na inny komputer członkowski klastra zaszyfrowane dyski mogą zostać automatycznie "odblokowane" i do niego podpięte.

ELAM

Windows Server 2012 wprowadza także funkcję o nazwie ELAM (Early Launch Anti-Malware). Jest to rzecz dość interesująca w swym zamyśle, a polega na tym, że tylko zaufane (podpisane cyfrowo) oprogramowanie antywirusowe może zostać uruchomione bezpośrednio po zakończeniu sekwencji startowej (wsparcie dla Secure Boota). Oznacza to możliwość załadowania zaufanego oprogramowania ochronnego na możliwie wczesnym etapie startu systemu i utrudnienie podstawienia dość popularnych w ostatnim czasie fałszywych programów antywirusowych.

Zobacz również:

DNSSEC

Dążenia do zabezpieczenia niezwykle wrażliwego na modyfikacje miejsca - systemu DNS - trwają od dawna. W tym celu stworzono m.in. standard DNSSEC i wymóg dostarczania wiarygodnych odpowiedzi przez serwery DNS oraz potwierdzania nadzoru nad daną strefą (system certyfikatów i podpisanych odpowiedzi - rekordów).

DNSSEC w Windows Server 2012 – podpisywanie strefy

DNSSEC w Windows Server 2012 – podpisywanie strefy

Niby nic nowego - DNSSEC jest znany od dłuższego czasu, a i Windows od wersji Server 2008 R2 obsługiwały ten standard. Istniały jednak dwie poważne przeszkody, przez które wsparcie tego standardu pozostało w zasadzie tylko w sferze teorii. Po pierwsze, wykorzystanie DNSSEC wymagało środowiska w 100% opartego na Windowsa, a jak wiadomo większość serwerów DNS w internecie nie bazuje na oprogramowaniu Microsoftu. Zatem użyteczność DNSSEC w Windowsa była wątpliwa. W wersji 2012 usunięto to ograniczenie (poprawa w zakresie zgodności z RFC).

Po drugie, mieszane uczucia budził sposób konfiguracji. W Serverze 2008 R2 właściwe ustawienie DNSSEC-a było zadaniem żmudnym. Dla przykładu, wymagane było wpisywanie nieskończenie długich poleceń, obsługiwane były tylko strefy statyczne, konieczne było powtarzanie procesu podpisywania za każdym razem, kiedy rekord DNS był aktualizowany. W nowym Windows pojawił się graficzny interfejs użytkownika, dodano też integrację z Active Directory i wreszcie zautomatyzowano proces ponownego podpisywania rekordów. Możliwe więc, że w stosunkowo krótkim czasie pojawią się środowiska wykorzystujące DNSSEC na szerszą skalę.