Niedawno opisywaliśmy proces utwardzania systemów Linux. Tym razem zajmiemy się systemem serwerowym Windows 2008. Podobnie jak w przypadku Linuksa, również tutaj temat hardeningu jest niezwykle rozległy. Omówimy więc tylko najważniejsze jego elementy.

Instalacja

Wszelkie uwagi wstępne poczynione przy omawianiu hardeningu Linuksa mają zastosowanie również w stosunku do systemu Windows. Podobnie jak w Linuksie, proces rozpoczyna się tu już w momencie przygotowywania instalacji samego systemu. W zasadzie możemy zacząć od wyboru języka systemu operacyjnego. Dobrą praktyką jest korzystanie z wersji angielskiej (na niej też bazujemy w niniejszym tekście), gdyż aktualizacje dla innych wersji językowych pojawiają się zwykle nieco później.

Zobacz również:

• Wyjaśniamy czym jest SD-WAN i jakie są zalety tego rozwiązania

Instalując W2K8, nie sposób nie zauważyć nowości, nieobecnej we wcześniejszych wersjach serwerowych: wprowadzono możliwość wybrania, czy zainstalowany zostanie "pełny" system operacyjny, czy też jego odchudzona (zminimalizowana) wersja. Ten drugi wariant - instalacja "core" - jest najdogodniejszy z punktu widzenia bezpieczeństwa, a więc teoretycznie ogranicza proces hardeningu. Jego wybór skutkuje instalacją tylko podstawowej funkcjonalności, a do tego bez powłoki graficznej.

Instalując ten tryb serwerowy, narażamy się zatem na pewną niedogodność - konfigurację systemu z poziomu CLI. Dla większości, przyzwyczajonej do "windowsowej klikologii" - będzie to zupełnie nowe doznanie. Ponadto, pamiętajmy, że proste zadanie dodania roli, które w zwykłej graficznej instalacji wykonuje kreator, w wersji Core staje się już nieco bardziej skomplikowane. Nie ma tego kreatora. Na szczęście, na polskich stronach Microsoftu możemy znaleźć dokładne opracowania związane z poruszaniem się po Windows w wersji Core, a ponadto inni też pomyśleli o tej uciążliwości. Dostępne jest np. narzędzie open source, dzięki któremu z poziomu prostej konsoli graficznej możliwa jest konfiguracja wielu funkcji instalacyjnych "Core".

Core Configurator to zbiór ładnie opakowanych skryptów Powershell. Za jego pomocą można dodawać role, zarządzać użytkownikami, dodawać/usuwać sterowniki, aplikacje, administrować usługami. Będziemy też mogli skonfigurować zaporę.