Bezpieczeństwo Windows Servera 2012

MSA i gMSA

W Windows Serverze 2008 R2 wprowadzono funkcję zarządzanych kont serwisowych (MSA, Managed Service Accounts). Po stworzeniu w Active Directory można było przypisać je następnie do określonych komputerów i usług. Dalej stawały się one samo-utrzymującymi kontami serwisowymi. Cechą charakterystyczną MSA były wyjątkowo długie hasła, których cykl życia wynosił 30 dni. Po tym czasie hasła ulegały zmianie. Zasada była też taka, że jedno MSA mogło być przypisane tylko do jednego komputera. W Windows Serverze 2012 utrzymano koncepcję takich kont. Rozbudowano ją jednak, tworząc grupowe MSA (Group Managed Service Accounts). gMSA można stosować na więcej niż jednym komputerze.

Token bloat - anatomia zjawiska

Jest to swoisty rodzaj ataku DoS na usługę Active Directory. Dochodzi do niego jeśli użytkownik jest członkiem tak dużej liczby grup, że przekracza to możliwości systemu autentykacji Kerberos Dotyczy to zarówno użytkowników "zwykłych", jak i administratorów. W takiej sytuacji nie będzie możliwe zweryfikowanie członkostwa we wszystkich grupach, a w rezultacie Active Directory odmówi zalogowania. Jeżeli dojdzie do takiej sytuacji jedynym skutecznym rozwiązaniem jest ponowne uruchomienie kontrolera domeny w trybie Safe Mode i ograniczenie liczby grup dla zablokowanego konta (w tym administratora).

Typowym przykładem zastosowania gMSA są wszelkiego rodzaju farmy serwerów lub systemy znajdujące się za load balancerem. Korzystając z gMSA nie ma potrzeby ręcznego zarządzania kwestią synchronizacji haseł pomiędzy instancjami usługi. Dodatkowo gMSA wspierają sytuacje czasowej niedostępności hostów wykorzystujących jedno konto.

Zobacz również:

Wprowadzono też usprawnienia w zakresie możliwości korzystania z MSA w klastrach oraz przy load balancingu. Należy jednocześnie wspomnieć, że wykorzystanie MSA lub gMSA wymaga rozszerzenia schematu Active Directory. Ponadto gMSA działają tylko i wyłącznie w usługach systemów Windows Server 2012 i Windows 8.

IIS 8

Wraz z wprowadzeniem Servera 2012 można było spodziewać się pojawienia kolejnej wersji usługi IIS (Internet Information Service) - dobrze znanego windowsowego serwera webowego. Tak też się stało i światło dzienne ujrzał IIS w wersji 8. Nowości z zakresu bezpieczeństwa to m.in. Dynamic IP Restrictions, czyli funkcja, dzięki której IIS automatyczne blokuje adresy IP, z których ruch wzbudza podejrzenia. Może to być np. zbyt duża ilość jednoczesnych zapytań HTTP lub ich zwiększona częstotliwość. To samo dotyczy logowań FTP. W poprzedniej wersji IIS podjęcie podobnych akcji było możliwe, jednak nie odbywało się w sposób automatyczny, a i sam mechanizm był mocno statyczny. Kolejną zmianą jest również wprowadzenie wielowątkowych "piaskownic" (sandbox). Określane jest to mianem multitenancy sandbox - trudno znaleźć właściwe polskie określenie.

Więcej GUI

Jeszcze za czasów starego, dobrego Windows Servera 2003 i jego poprzedników wszelkiego rodzaju polityki dotyczące haseł mogły być definiowane lokalnie i na poziomie domeny. Prowadziło to do frustracji w sytuacji, kiedy administrator chciał np. ustawić jedną politykę haseł dla wybranej grupy użytkowników, a drugą dla innej wskazanej grupy. Dla przykładu - administratorzy domeny powinni mieć hasła 15-znakowe, a zwykli użytkownicy 12 znakowe. Ta sytuacja uległa zmianie wraz z pojawieniem się edycji 2008 Windows Servera. Wprowadzono tutaj twór o nazwie FGPP (Fine Grained Password Policy). Za jego sprawą możliwe było tworzenie i kontrolowanie przestrzegania polityk haseł na poziomie niższym niż domenowy, ale nie koniecznie lokalnie. Niestety żeby osiągnąć wymagany efekt trzeba było napracować się w Power Shellu i skorzystać z dodatkowych narzędzi modyfikujących Active Directory. I oto pomoc nadeszła w wersji 2012. FGPP została rozszerzona o interfejs znajdujący się w sekcji Active Directory Administrative Center, który z kolei zawiera takie elementy jak Active Directory Recycle Bin i Active Directory PowerShell Viewer. Słowem, wymienione zostało to, co do tej pory znaliśmy jako obiekt Active Directory Users and Computers.

Teraz tworzenie polityk FGPP jest dziecinnie proste. Można też kliknąć prawym klawiszem myszy na obiekcie użytkownika i sprawdzić wynikową politykę haseł, która jest dla niego obowiązująca. Jest to szczególnie użyteczne w sytuacji, kiedy wobec jednego użytkownika zastosowaną wiele polityk FGPP.