Bezpieczeństwo Windows Servera 2012

Klasyfikacja danych

Obecnie dokumenty w Windows mogą być automatycznie klasyfikowane w oparciu o ich zawartość lub atrybuty Active Directory. Klasyfikacja może potem zostać wykorzystana w połączeniu z innymi funkcjami Servera 2012, które są świadome zastosowania klasyfikacji. Na przykład dobrze znana usługa RMS (Rights Management Service) może automatycznie szyfrować dokumenty, które zawierają treści określonego typu lub zostały odpowiednio sklasyfikowane. Do tego rozbudowano możliwości w zakresie przypisywania uprawnień dostępu do tych informacji użytkownikom. Obecnie możliwa jest automatyczna kontrola, którzy użytkownicy lub grupy mają prawo dostępu do dokumentów w oparciu o ich treść lub klasyfikację.

Dynamiczna kontrola dostępu

Active Directory Administrative Center

Active Directory Administrative Center

Kolejną nowością w Windows Serverze 2012 jest zaawansowany system przydzielania uprawnień do plików i folderów. Wcześniej budowanie polityki uprawnień mogło opierać się na jedynie na użytkowniku i jego przynależności do określonej grupy. Obecnie każdy obiekt (użytkownik, grupa, komputer itp.) może mieć jeden lub więcej atrybutów - tagów (tzw. claims). Może nim być np. tożsamość obiektu (komputer Dell z adresem MAC 00-aa-00-64-c2-06) lub inny atrybut np. inżynier z zespołu deweloperów pracujący z domu. Takie tagi mogą z kolei zostać wykorzystane w politykach uwierzytelniania i autoryzacji (konfiguracja Central Access Policies). Wyobraźmy sobie taką politykę - tylko użytkownicy należący do zespołu programistów, pracujących z urządzeń Microsoft Surface lub iMac mogą korzystać z kanału VPN i mieć dostęp do serwera SharePoint wykorzystywanego przez ten zespół. Dalej, na SharePoincie mogą korzystać z dokumentów o określonej kategorii (np. o średniej wrażliwości) nadanej w procesie klasyfikacji. A jeśli chcą korzystać z dokumentów o wysokiej wrażliwości wówczas muszą to robić z komputerów podłączonych do domeny, znajdując się na terenie firmy. Takie warunki w ramach polityki mogą być tworzone w oparciu o wyrażenia boolowskie.

Zobacz również:

Kerberos

Kerberos sprawdził się i jest szeroko stosowany jako protokół uwierzytelniania. Ale i tutaj można było wyobrazić sobie kilka usprawnień. Przykładowo, w świecie Windows Servera 2008 użytkownik należący do kilkuset grup mógł mieć spore problemy z autoryzacją. Doświadczał zjawiska określanego mianem token bloat (patrz: ramka Token bloat - anatomia zjawiska).

W Windows Server 2012 Kerberos wspiera wspomniane wcześniej tagi, a także uwierzytelnianie pomiędzy lasami domen (także w chmurze). Zwiększono jednocześnie (do 48 kB) rozmiar komunikatów Kerberosa. Funkcja delegacji w Kerberosie (Constrained Delegation) została dopracowana i działa pomiędzy domenami i pomiędzy klasami - wcześniej zarówno serwer front-end jak i back-end musiały należeć do tej samej domeny. Wreszcie, Kerberos jest zgodny z dokumentem RFC 6113 (opisującym tzw. Armored Kerberos), dzięki czemu kanał komunikacyjny pomiędzy klientami w domenie, a kontrolerem jest lepiej zabezpieczony. To znowu utrudnia przeprowadzenie skutecznych ataków na fazę pre-autentykacji, która do tej pory była łatwiejszym celem.