Windows 2008 twardy jak skała
- Patryk Królikowski,
- 09.12.2010
Rejestracja, aktualizacje i inne dodatki
Mając wprowadzone zmiany, musimy upewnić się, że będziemy informowani o istotnych naruszeniach polityki. Windows 2008 wprowadził kilka użytecznych dla administratora zmian. Przede wszystkim w logach audytowych jest obecnie zapisywana nie tylko informacja, kiedy powstała zmiana, oraz jaka wartość się zmieniła. Poznajemy również szczegóły jej dotyczące - mamy wartość sprzed zmiany i po zmianie. Ponadto istnieje możliwość włączenia bardziej precyzyjnego audytu - tzw. zaawansowane zasady inspekcji.
Poza tymi fundamentalnymi kwestiami opisanymi powyżej, możemy też spróbować zejść trochę głębiej i np. ograniczyć możliwość korzystania z napędów CD tylko do lokalnie zalogowanych użytkowników, wyłączyć pokazywanie ostatnio zalogowanego w systemie użytkownika, czy aktywować banery informacyjne podczas logowania do systemu.
Na pomoc administratorowi
W procesie hardeningu serwera wiele kroków możemy zautomatyzować, korzystając z udostępnianych przez Microsoft narzędzi. Mamy przede wszystkim wbudowane w W2K8 R2 narzędzie - SCW (Security Configuration Wizard).
Dzięki niemu możemy przygotować politykę bezpieczeństwa serwera. Można stworzyć szablon od zera, wykorzystać już istniejący, albo też aktualną konfigurację serwera jako punkt wyjścia, a następnie wprowadzić odpowiednie modyfikacje. SCW jest niezwykle pomocny, jeżeli chcemy dowiedzieć się, jakiego rodzaju zmian w systemie wymaga określona rola. Do takich informacji łatwo dotrzeć, np. na etapie przygotowywania profilu, gdzie możemy podejrzeć taką bazę konfiguracji bezpieczeństwa (Security Configuration Database). Jeżeli chcemy zainstalować urząd certyfikacji (CA), baza podpowie, że wymagana jest usługa "Active Directory Certificate Services", a ponadto trzeba otworzyć określony ruch sieciowy:
@%systemroot%\system32\certsrv.exe,-55, @%systemroot%\system32\certsrv.exe,-57, @%systemroot%\system32\certsrv.exe,-51, @%systemroot%\system32\certsrv.exe,-53, @%systemroot%\system32\certsrv.exe,-59