Bezpieczeństwo Windows Servera 2012
- Patryk Królikowski,
- 10.05.2013
Klasyfikacja danych
Obecnie dokumenty w Windows mogą być automatycznie klasyfikowane w oparciu o ich zawartość lub atrybuty Active Directory. Klasyfikacja może potem zostać wykorzystana w połączeniu z innymi funkcjami Servera 2012, które są świadome zastosowania klasyfikacji. Na przykład dobrze znana usługa RMS (Rights Management Service) może automatycznie szyfrować dokumenty, które zawierają treści określonego typu lub zostały odpowiednio sklasyfikowane. Do tego rozbudowano możliwości w zakresie przypisywania uprawnień dostępu do tych informacji użytkownikom. Obecnie możliwa jest automatyczna kontrola, którzy użytkownicy lub grupy mają prawo dostępu do dokumentów w oparciu o ich treść lub klasyfikację.
Dynamiczna kontrola dostępu
Active Directory Administrative Center
Zobacz również:
- Google aktualizuje Chrome w związku z luką typu Zero-Day
- Firmy IT nasilają walkę z treściami deepfake
- Klucze passkey zapewniają bezpieczeństwo ponad połowie kont Google
Kerberos
Kerberos sprawdził się i jest szeroko stosowany jako protokół uwierzytelniania. Ale i tutaj można było wyobrazić sobie kilka usprawnień. Przykładowo, w świecie Windows Servera 2008 użytkownik należący do kilkuset grup mógł mieć spore problemy z autoryzacją. Doświadczał zjawiska określanego mianem token bloat (patrz: ramka Token bloat - anatomia zjawiska).
W Windows Server 2012 Kerberos wspiera wspomniane wcześniej tagi, a także uwierzytelnianie pomiędzy lasami domen (także w chmurze). Zwiększono jednocześnie (do 48 kB) rozmiar komunikatów Kerberosa. Funkcja delegacji w Kerberosie (Constrained Delegation) została dopracowana i działa pomiędzy domenami i pomiędzy klasami - wcześniej zarówno serwer front-end jak i back-end musiały należeć do tej samej domeny. Wreszcie, Kerberos jest zgodny z dokumentem RFC 6113 (opisującym tzw. Armored Kerberos), dzięki czemu kanał komunikacyjny pomiędzy klientami w domenie, a kontrolerem jest lepiej zabezpieczony. To znowu utrudnia przeprowadzenie skutecznych ataków na fazę pre-autentykacji, która do tej pory była łatwiejszym celem.