Jak zabezpieczyć Windows 2008
- Patryk Królikowski,
- 05.04.2011, godz. 08:45
Niezależnie od tego jak dobrze chroniona jest nasza infrastruktura, już na etapie instalacji systemu na serwerze warto jest poczynić kilka kroków, które nie tylko uczynią go nie tylko bardziej bezpiecznym, ale również poprawią jego wydajność.
Instalacja
Wszelkie uwagi wstępne poczynione przy omawianiu hardeningu Linuksa mają zastosowanie również w stosunku do systemu Windows. Podobnie jak w Linuksie, proces rozpoczyna się tu już w momencie przygotowywania instalacji samego systemu. W zasadzie możemy zacząć od wyboru języka systemu operacyjnego. Dobrą praktyką jest korzystanie z wersji angielskiej (na niej też bazujemy w niniejszym tekście), gdyż aktualizacje dla innych wersji językowych pojawiają się zwykle nieco później.
Zobacz również:
Instalując W2K8, nie sposób nie zauważyć nowości, nieobecnej we wcześniejszych wersjach serwerowych: wprowadzono możliwość wybrania, czy zainstalowany zostanie "pełny" system operacyjny, czy też jego odchudzona (zminimalizowana) wersja. Ten drugi wariant - instalacja "core" - jest najdogodniejszy z punktu widzenia bezpieczeństwa, a więc teoretycznie ogranicza proces hardeningu. Jego wybór skutkuje instalacją tylko podstawowej funkcjonalności, a do tego bez powłoki graficznej.
Instalując ten tryb serwerowy, narażamy się zatem na pewną niedogodność - konfigurację systemu z poziomu CLI. Dla większości, przyzwyczajonej do "windowsowej klikologii" - będzie to zupełnie nowe doznanie. Ponadto, pamiętajmy, że proste zadanie dodania roli, które w zwykłej graficznej instalacji wykonuje kreator, w wersji Core staje się już nieco bardziej skomplikowane. Nie ma tego kreatora. Na szczęście, na polskich stronach Microsoftu możemy znaleźć dokładne opracowania związane z poruszaniem się po Windows w wersji Core, a ponadto inni też pomyśleli o tej uciążliwości. Dostępne jest np. narzędzie open source, dzięki któremu z poziomu prostej konsoli graficznej możliwa jest konfiguracja wielu funkcji instalacyjnych "Core".
Core Configurator to zbiór ładnie opakowanych skryptów Powershell. Za jego pomocą można dodawać role, zarządzać użytkownikami, dodawać/usuwać sterowniki, aplikacje, administrować usługami. Będziemy też mogli skonfigurować zaporę.