Rejestracja, aktualizacje i inne dodatki

Mając wprowadzone zmiany, musimy upewnić się, że będziemy informowani o istotnych naruszeniach polityki. Windows 2008 wprowadził kilka użytecznych dla administratora zmian. Przede wszystkim w logach audytowych jest obecnie zapisywana nie tylko informacja, kiedy powstała zmiana, oraz jaka wartość się zmieniła. Poznajemy również szczegóły jej dotyczące - mamy wartość sprzed zmiany i po zmianie. Ponadto istnieje możliwość włączenia bardziej precyzyjnego audytu - tzw. zaawansowane zasady inspekcji.

Nie możemy także zapominać o rzeczy wydawałoby się podstawowej - włączeniu aktualizacji. Dbając o stabilność działania systemu i ewentualne zakłócenia w działaniu innych aplikacji, poprawki nie powinny być od razu instalowane. Zamiast tego, najlepiej jest ustawić ich automatyczne pobieranie i powiadomienia o dostępności, a decyzję o instalacji zostawić administratorowi. Przy okazji można też wyłączyć funkcję instalacji poprawek podczas zamykania systemu. Czasami przez pomyłkę można kliknąć nie ten przycisk i zamiast zwyczajnie zamknąć/zrestartować system, zainstalować sobie niechcianą poprawkę.

Poza tymi fundamentalnymi kwestiami opisanymi powyżej, możemy też spróbować zejść trochę głębiej i np. ograniczyć możliwość korzystania z napędów CD tylko do lokalnie zalogowanych użytkowników, wyłączyć pokazywanie ostatnio zalogowanego w systemie użytkownika, czy aktywować banery informacyjne podczas logowania do systemu.

Na pomoc administratorowi

W procesie hardeningu serwera wiele kroków możemy zautomatyzować, korzystając z udostępnianych przez Microsoft narzędzi. Mamy przede wszystkim wbudowane w W2K8 R2 narzędzie - SCW (Security Configuration Wizard).

Dzięki niemu możemy przygotować politykę bezpieczeństwa serwera. Można stworzyć szablon od zera, wykorzystać już istniejący, albo też aktualną konfigurację serwera jako punkt wyjścia, a następnie wprowadzić odpowiednie modyfikacje. SCW jest niezwykle pomocny, jeżeli chcemy dowiedzieć się, jakiego rodzaju zmian w systemie wymaga określona rola. Do takich informacji łatwo dotrzeć, np. na etapie przygotowywania profilu, gdzie możemy podejrzeć taką bazę konfiguracji bezpieczeństwa (Security Configuration Database). Jeżeli chcemy zainstalować urząd certyfikacji (CA), baza podpowie, że wymagana jest usługa "Active Directory Certificate Services", a ponadto trzeba otworzyć określony ruch sieciowy: