Windows «Longhorn» Server 2007. Безопасность.

Давайте все же признаем, что когда Microsoft занимается безопасностью, данный факт действует на всех как красная тряпка на быка. В последние несколько недель компания выслушала жесткую критику от McAfee и ЕС, в том числе по поводу «закрытого» ядра Windows Vista. Кроме того, первый эксплойт для Windows Vista был опубликован 22 декабря, всего лишь через три недели после выпуска для корпоративных клиентов.

Единственное светлое пятно на репутации Редмонда это Windows «Longhorn» Server – основательный редизайн ядра новой ОС. При разработке Windows «Longhorn» Server компания сфокусировала основные свои усилия на улучшении безопасности ОС, и в равной степени на упрощении управлением, а также улучшении производительности. Чтобы узнать какие же изменения принесет ОС нового поколения компаниям, мы решили взять бета версию ОС в Real-World Labs института в Сиракузах и самим проверить новые функции безопасности.

После нескольких недель попыток взлома, исследований и проб, мы остались потрясенными. Как и обещала Microsoft, «Longhorn» Server являет собой существенные изменения в безопасности, установке и настройке ОС. К этому можно добавить удобство использования модульности ОС, проверку клиента на безопасность, усовершенствованный брандмауэр и новый IP стек.

Если говорить более четко и внятно, то вы найдете много мелочей, которым раньше компания не уделяла должного внимания. Например, возьмем такую деталь, которую вы, скорее всего, даже и не заметите: при работе первоначального мастера конфигурации системы, сервер не будет доступен из сети. В основе данной возможности лежит взаимодействие «Longhorn» с технологией NAP (Network Access Protection) – технологии, которая предоставляет дополнительные гарантии безопасности с удаленными подключениями.

К сожалению, самая лучшая инновация в «Longhorn» (мы имеем в виду NAP) потребует, как минимум, внесение в установленные XP-машины серьезных изменений, или вообще миграции на Windows Vista, что, учитывая разнообразие установленных в некоторых компаниях ОС, будет для них труднодостижимым.

В дополнение к вышесказанному надо добавить, что компаниям придется вложить дополнительные инвестиции в обучение персонала, так как системные администраторы, получая отчеты от NAP будут рвать на себе волосы в попытках предоставить пользователям доступ к сети, учитывая новые, более жесткие ограничения. Так что, IT отделам придется корректировать свои бизнес-планы. Также, вполне возможен вариант, что переход на «Longhorn» Server будет совершен только после обновления всего парка ПК компании.

Возможности NAP в «Longhorn» гораздо шире чем у Network Access Quarantine Control в Windows Server 2003 – это защита VPN-, DHCP- и IPsec-базирующихся соединений. Тогда как NAQC предоставлял дополнительную защиту только для подключений удаленного доступа.

NAP – это три функции, которые позволяют защитить сеть компании от неправомерных подключений: ограничение доступа к сети клиентам, которые не отвечают групповым политикам безопасности, блокирование жульнических подключений, и в дополнение, NAP предоставляет возможность создания и настройки групповой политики, по проверке устанавливаемых патчей, антивирусных сигнатур и настроек брандмауэра.

Наконец, NAT предоставляет возможности для повторного подключения клиентов, которые не отвечают групповым политикам безопасности – если, клиент им не отвечает, то администраторы смогут обновить политики клиента автоматически, при условии установленного ПО для управления клиентом, типа Microsoft SMS (Systems Management Server). В случае отсутствия данного ПО, NAP может предоставить доступ к отдельным участкам сети, пока администраторы сами не обновят политики клиента. Для полного описания NAP ищите «Microsoft NAP Architecture Summary».

Для поддержки NAP на клиентском ПК должен быть установлен NAP-клиент, который уже входит в состав Windows Vista «Longhorn», и находится в состоянии бета-тестирования для Windows XP. С сервером чуть посложнее – там должен быть запущен сервер администрирования NAP, валидатор безопасности клиента (System Health Validator), сервер сертификации безопасных клиентов (Health Certificate Server), сервер для повторных подключений клиентов, которые не отвечают политикам сети (Remediation Server), сервер политик, а также настроены политики безопасности клиента (health policy).

Приятно, что NAP очень тяжело обмануть. В нашей тестовой сети из двух Windows «Longhorn» серверов, мы настроили политики авторизации, так что VPN доступ к сети блокировался клиентам, у которых был включен Windows Firewall. Пользователи, которые не отвечали политике авторизации, пересылались на веб-страницу, в участке сети с ограниченными правами, с помощью которой пользователю сообщалось, что он не смог подключиться к серверу, и что необходимо для этого сделать – в данном случае выключить установленный брандмауэр. Конечно же, это очень простая проверка, но мы уверены, что системные администраторы приспособят валидатор безопасности клиента и политики авторизации под свои нужды. Для дальнейшего изучения возможностей NAP ищите «The Plot Thickens».

Улучшенные возможности обеспечения безопасности (Windows Firewall)

И хотя сейчас все компании заняты обеспечением безопасности конечного ПК, именно межсетевые брандмауэры являются первой линией обороны, и именно поэтому Microsoft заменяет представленный в Windows Server 2003 SP 1 брандмауэр, сканирующий только входящий трафик, на новый Windows Firewall. Наши тесты показывают, что в Windows Firewall очень много усовершенствований в безопасности, но получить их бывает сложно из-за необходимости тонкой настройки брандмауэра, или подчас из-за слишком громоздкого интерфейса.

Среди внесенных в брандмауэр усовершенствований – возможность создания и управления брандмауэром с помощью профилей, фильтрация входящего и исходящего трафика, интеграция с MMC (Microsoft Management Console), управление IPsec, настройки фильтрации интегрированы в интерфейс ОС.

Фильтрация входящего и исходящего трафика – очень удобная, и новая, функция. По умолчанию, весь входящий трафик блокируется, если конечно, для данного приложения не настроены правила, или это не является запросом внутри сети. Такое поведение брандмауэра – хорошее начало в повышении безопасности, и будет полезным в будущем, так как в будущем позволит предотвратить распространение троянов, и некоторых вирусов. Правила могут быть настроены по огромному количеству параметров – IP адрес источника и получателя, пользователи и группы Active Directory, TCP и UDP порты источника и получателя, а также трафик ICMP и ICMP для IP v6 по типу, коду и службам.

Возможность настроек по профилям нам показалась очень полезной для безопасной настройки системы. В системе имеется три предустановленных профиля – домен, частная и публичная сеть, каждый профиль для отдельного типа сети. Домен – предназначен для определения поведения клиентов, когда в сети есть контроллер домена и доменов клиента. Частная – при наличии в сети маршрутизатора, то есть для домашней, или небольшой офисной, сети. Публичная – когда клиенты подключаются к Интернет напрямую.

Во все встроенные по умолчанию профили включены правила как для входящего, так и для исходящего трафика. Сам интерфейс брандмауэра имеет прямо-таки устрашающий вид, и может повергнуть в шок неопытного пользователя, именно по этому, Microsoft облегчила настройку включением в программу мастера первоначальной настройки.

Правила интеграции IPsec

Для предотвращения перехвата и фальсификации передаваемой информации, Microsoft внедрила в Windows Server 2007 поддержку IPsec, и разработала легкий интерфейс для его настройки. Нужно отметить, что ни один из встроенных профилей не имеет шаблонов по работе с IPsec, но легкий и быстрый мастер позволит настроить правила в зависимости от нужд: изоляция, свободная аутентификация, сервер-сервер, туннель, или собственные настройки. Правила изоляции используются для ограничения подключений основанных на аутентификации типа членства в домене, или безопасности клиента. Свободная аутентификация – для снятия с некоторых компьютеров ограничений накладываемых IPsec. Сервер-сервер используется для аутентификации между двумя определенными конечными точками, тогда как туннель – для аутентификации между шлюзами.

Управление политиками входящего и исходящего трафика сделано максимально удобным – с полным описанием политик, а сами правила сгруппированы по сервисам и сетевым профилям. Новые правила создаются с помощью мастера создания нового безопасного подключения, в котором можно создать правило на основе выбора программы, порта, сервиса, или самому полностью выбрать необходимые параметры.

Правила созданные с помощью MMC легко могут быть импортированы в брандмауэр или экспортированы, кроме того, все функции могут быть настроены на основе Active Directory.

Одно из самых важных изменений в брандмауэре – гарантирование того, что правила настроены правильно, для того чтобы доступ к нужной части, или всей сети, получили нужные люди. В этом плане «Longhorn» Server делает свою работу замечательно! Например, мы создали правило, которое знают в любой IT организации: запретить выход в Интернет, через консоль сервера. Наше правило просто блокировало Internet Explorer (iexplore.exe) доступ в Интернет, а если данное правило добавить в Active Directory, то выход в Интернет браузеру будет запрещен во всей сети. И наконец, мы настроили наш тестовый сервер, так чтобы все компьютеры подключающиеся к нему в рамках профиля «домен», проходили аутентификацию с сертификатом компьютера, выданным Active Directory Domain Certificate Authority.

Изменения в стеке TCP/IP

Наверное, самое большое изменение, которое несет в себе «Longhorn» Server – измененный стек TCP/IP протокола, который обеспечит более легкую установку, увеличит производительность работы сети и уменьшит количество потребляемой памяти. Новый стек, который Microsoft назвала TCP/IP стеком следующего поколения, включает в себя поддержку как IP v4, так и IP v6, а также усовершенствованную автонастройку параметров TCP/IP.

Данная архитектура позволяет обоим протоколам использовать общий транспортный уровень и для ретрансляции кадров – больше нет необходимости в отдельной инсталляции IP v6, и использовании отдельного стека. Вообще, нужно отметить, что в Windows «Longhorn» Server 2007 стандартным является использование IP v6, но это не значит, что с подключением по IP v4 наблюдаются какие-либо проблемы. В отличие от предыдущих серверных ОС компании, IP v6 удалить из системы невозможно, поэтому вычислительным центрам, которые не планируют развертывание данного протокола, придется вносить изменения в реестр. К счастью, Microsoft предоставила документацию по изменениям, которые необходимо внести в реестр для блокирования некоторых функций IP v6.

Также, новый стек TCP/IP должен автоматически настраивать размер окна для каждого соединения индивидуально. По заявлению компании, размер окна может быть масштабирован до 16 Мб, что должно серьезно повысить эффективность передачи данных по высокоскоростным каналам.

Microsoft также представила технологию разгрузки TCP, которая будет очень полезна компаниям, в которых установлены IP-использующие хранилища, или тем которые уже присматриваются к сетям 10 Гбит. С данной технологией, «Longhorn» перемещает сетевые процессы непосредственно на сам сетевой адаптер.

Windows «Longhorn» Server: взгляд на возможности ОС как хранилища данных

TCP/IP стек следующего поколения, представленный в «Longhorn» Server, будет с энтузиазмом принят менеджерами администрирующими хранилища данных. В частности, благодаря технологии разгрузки TCP, которая очень долго была в разработке, благодаря тем преимуществам, которые она даст компаниям, использующим хранилища данных передающих данные по IP протоколу, или присматривающимся к Ethernet 10 Гбит.

Данная технология разработана силами Microsoft и Alacritech, и позволяет передавать TCP/IP процессы напрямую устройству, например, контроллеру iSCSI, что позволит не тратить мощь процессора на это ненужное занятие. Это позволяет не просто улучшить производительность работы сети, но и разгрузить центральный процессор, сняв с него нагрузку при передаче IP-базирующихся протоколов хранения данных типа iSER, iWarp, iSCSI, и тому подобных.

Насчет передачи данных по 10 Гбит Ethernet – передача данных по сети в 1 Гбит, может занять до 5% мощности ЦПУ, получается, при использовании 10 Гбит Ethernet загрузка ЦПУ будет 50%. Данная цифра – примерна, но даже пятикратное увеличение загрузки ЦПУ недопустимо.

Также интригует, как в плане безопасности, так и хранения данных, новая разработка компании известная как BitLocker – технология полного шифрования диска, с использованием USB ключа.

Также, Windows «Longhorn» Server создавался с поддержкой виртуализации, и новый Windows гипервизор (программа управления операционными системами – прим. перев.) будет поддерживать возможность запуска множества виртуальных ОС на чипах с поддержкой виртуализации. Наконец, ОС может быть установлена в режиме ядра, созданном для загрузки минимального количества ресурсов, но при этом загрузкой ядра ОС и поддержкой устройств, оставляя основную часть ресурсов собственно виртуальным ОС.

«Longhorn» Server 2007: установка и настройка

В нашем тесте установка «Longhorn» сервера заняла приблизительно 45 минут, после чего сразу был запущен мастер начальной конфигурации, который состоял из трех разделов.

В первом разделе необходимо было ввести пароль администратора (необходим), настроить сетевые параметры, ввести имя сервера и информацию о домене. Во втором разделе мы включили и настроили параметры скачивания и установки обновлений через службу Windows Update, и, наконец, в финальном разделе выбрали функции, которые будет исполнять сервер, функции ОС, настроили доступ к удаленному рабочему столу, и включили XP-подобный интерфейс брандмауэра.

Установка и настройка разных версий Windows Server

Система Windows Server отличается от простой операционной системы, которую мы привыкли видеть дома. По сути, это тот же продукт, но он разработан для использования в компаниях, офисах и других местах, где требуется объединение множества компьютеров под одним сервером.

Windows Server — это очень популярная и полезная программа с множеством интересных и удобных функций

Хотя эта версия системы иная, в пользовании она так же проста, как Windows 8 или другие версии, да и установка такого ПО не требует особых знаний и затрат времени. Так что если вы решили самостоятельно установить Windows Server, мы расскажем, как это делается и остановимся на первичной настройке системы, параметра VPN и других вопросах, интересующих многих пользователей — например, как удалить службу в Windows Server 2008 R2.

Установка серверной версии Windows

Отметим, что существует несколько версий этого обеспечения — 2003, 2008 и 2012 года. Исходя из того, что последние версии всегда в большем приоритете, мы рассмотрим, как происходит установка Windows Server 2012. Даже если вас интересует, как установить Windows Server 2008 R2, не переживайте — оба процесса практически совпадают, поэтому вы легко сориентируетесь по нижеизложенной инструкции.

Итак, установка Windows Server 2012 R2 делается следующим образом:

1. Зайдите в BIOS компьютера и установите загрузку с CD-ROM.
2. Вставьте диск с образом системы, запустите свой ПК, чтобы он начал загрузку с внешнего носителя.
3. После загрузки появится окно, где нужно указать язык, раскладку клавиатуры, и часовой пояс — сделайте это, следуйте далее.
4. Нажмите «Установить».
5. Перед вами появится запрос на выбор системы — есть несколько версий серверного обеспечения. Выберите необходимую версию, жмите «Далее».
6. Примите условия лицензии.
7. Выберите тип установки — если вы ставите Server с нуля, следует выбирать только вариант «Выборочная».
8. Укажите накопитель, куда будет поставлена система, при необходимости разбейте диск на несколько разделов. При делении вам нужно согласиться на создание разделов для системных файлов.
9. Кстати, обычно выбирается раздел «Основной» жёсткого диска.
10. Нажимаем «Далее», и ждём, пока обеспечение загрузится на ПК.
11. После перезагрузки вам предстоит создать пароль для входа в учётную запись — выбирайте надёжную и сложную комбинацию, при желании измените имя пользователя.
12. Далее, перед вами появится стартовое окно системы, где будет написано, что нужно нажать Ctrl+Alt+Del — сделайте это, и введите созданный только что пароль.
13. На этом установка Windows Server завершена — как видите, в процессе нет ничего сложного, почти все действия выполняются автоматически под вашим руководством.

Настройка системы

Этот процесс несколько отличается на разных версиях обеспечения, поэтому мы рассмотрим его отдельно на Windows Server 2008 и 2012.

Итак, начальная настройка версии 2008 R2 делается так:

1. После первой загрузки перед вами появится меню «Задач первоначальной настройки».
2. Задайте часовой пояс.
3. Укажите имя для компьютера.
4. Введите настройки сети VPN — IP и DNS адреса, данные шлюза и WINS.

Как сделать этот компьютер контроллером домена? Для этого вам потребуется следующее:

• Откройте Диспетчер Сервера.
• В меню слева выберите вкладку Roles.
• Нажмите Add roles («Добавить роли»).
• Появится ознакомительная информация — если вы впервые делаете установку подобных компонентов, вам стоит её прочесть.
• Далее, выберите роль Active Directory Domain Services.
• Вам отобразятся функции, которые будут загружены вместе с ролью, после следует выбрать их установку кнопкой Add required features.
• Теперь вы увидите ещё немного сопровождающей информации о том, что нужно ставить как минимум два контроллера, задать настройки DNS и запустить dcpromo после загрузки роли — это мы и сделаем позже.
• После прочтения жмите «Далее» и «Установить» (Next, Install).
• По окончании установки закройте окно и откройте Пуск.
• Введите в поле «Выполнить» значение dcpromo.
• Запустится мастер, после информации о совместимости нажмите Next.
• В окне выбора конфигурации остановитесь на Create a new domain in a new forest.
• Введите название домена, следуйте дальше.
• Выберите действующую версию Windows Server 2008 R
• В окне дополнительных функций отметьте DNS сервер, на предупреждение нажмите Yes.
• В следующем меню измените адреса директорий — но только если вам действительно это нужно.
• Установите пароль, жмите «Далее».
• Проверьте в Summary список устанавливаемых компонентов, если всё нормально, жмите Next.

После перезагрузки компьютера изменения вступят в силу.

Давайте теперь остановимся на том, как происходит первоначальная настройка VPN и прочих параметров на операционной системе 2012 года.

А выполняется она таким образом:

1. После первого запуска перед вами появится Диспетчер серверов, выберите вкладку Локальный сервер.
2. Первым делом можно изменить имя этого компьютера — кликните правой клавишей на текущее название, выберите Свойства.
3. В открывшемся окне на вкладке «Имя компьютера» выберите «Изменить».
4. Введите новое имя для ПК, кликните ОК, в основном окне — «Применить».
5. Установите дату и время — соответствующая строка есть в том же меню локального сервера.
6. Как настроить VPN на Windows Server 2012? Для этого нажмите на строку напротив Ethernet и впишите необходимые данные сети.
7. В появившемся окне выберите адаптер сети, в контекстном меню — «Свойства».
8. В свойствах подключения из списка выберите «Протокол интернета 4».
9. В настройках протокола введите нужные данные — DNS-адрес, маску подсети и шлюз, сохраните изменения.

И последнее, что стоит сделать при первоначальной настройке — разрешить доступ к этому компьютеру с других устройств. Для этого в меню Диспетчера серверов снова выберите Локальный сервер, найдите строку «Удалённый рабочий стол».

Кликните по ссылке этой строки, в открывшемся окне отметьте «Разрешить удалённые подключения к компьютеру…» и поставьте галочку напротив пункта ниже — последнее действие выполняется по желанию.

Дополнительно

Как активировать Windows Server 2012 R2? Ниже строки с установками часового пояса в меню диспетчера серверов есть пункт «Код продукта». Чтобы ввести его, выберите этот пункт и в окне введите ключ продукта, нажмите «Активировать».

И ещё, некоторых пользователей интересует вопрос — как удалить службу в Windows Server 2008 R2? Для этого выполните следующее:

• Откройте Панель управления, меню Система и безопасность.
• Выберите раздел Администрирование, где будет пункт Службы.
• Перед вами появится список служб — выберите ту, что вас интересует, нажмите на её свойства и в появившемся окне кликните на «Остановить».

Другой способ — откройте командную строку и введите комбинацию sc delete, сразу за ней — название службы, нажмите Enter.

На этом всё — теперь вы знаете, как установить Server 2008 R2 и 2012, настроить каждую из этих версий для первоначального пользования. Можем сделать вывод, что все вышеприведённые операции выполнить нетрудно, главное — хорошо разобраться в них и следовать инструкциям, быть внимательным к мелочам.