Windows "Longhorn" Server 2007. Безопасность.
Давайте все же признаем, что когда Microsoft занимается безопасностью, данный факт действует на всех как красная тряпка на быка. В последние несколько недель компания выслушала жесткую критику от McAfee и ЕС, в том числе по поводу "закрытого" ядра Windows Vista. Кроме того, первый эксплойт для Windows Vista был опубликован 22 декабря, всего лишь через три недели после выпуска для корпоративных клиентов.
Единственное светлое пятно на репутации Редмонда это Windows «Longhorn» Server – основательный редизайн ядра новой ОС. При разработке Windows «Longhorn» Server компания сфокусировала основные свои усилия на улучшении безопасности ОС, и в равной степени на упрощении управлением, а также улучшении производительности. Чтобы узнать какие же изменения принесет ОС нового поколения компаниям, мы решили взять бета версию ОС в Real-World Labs института в Сиракузах и самим проверить новые функции безопасности.
После нескольких недель попыток взлома, исследований и проб, мы остались потрясенными. Как и обещала Microsoft, «Longhorn» Server являет собой существенные изменения в безопасности, установке и настройке ОС. К этому можно добавить удобство использования модульности ОС, проверку клиента на безопасность, усовершенствованный брандмауэр и новый IP стек.
Если говорить более четко и внятно, то вы найдете много мелочей, которым раньше компания не уделяла должного внимания. Например, возьмем такую деталь, которую вы, скорее всего, даже и не заметите: при работе первоначального мастера конфигурации системы, сервер не будет доступен из сети. В основе данной возможности лежит взаимодействие «Longhorn» с технологией NAP (Network Access Protection) – технологии, которая предоставляет дополнительные гарантии безопасности с удаленными подключениями.
К сожалению, самая лучшая инновация в «Longhorn» (мы имеем в виду NAP) потребует, как минимум, внесение в установленные XP-машины серьезных изменений, или вообще миграции на Windows Vista, что, учитывая разнообразие установленных в некоторых компаниях ОС, будет для них труднодостижимым.
В дополнение к вышесказанному надо добавить, что компаниям придется вложить дополнительные инвестиции в обучение персонала, так как системные администраторы, получая отчеты от NAP будут рвать на себе волосы в попытках предоставить пользователям доступ к сети, учитывая новые, более жесткие ограничения. Так что, IT отделам придется корректировать свои бизнес-планы. Также, вполне возможен вариант, что переход на «Longhorn» Server будет совершен только после обновления всего парка ПК компании.
Тройная защита
Возможности NAP в «Longhorn» гораздо шире чем у Network Access Quarantine Control в Windows Server 2003 – это защита VPN-, DHCP- и IPsec-базирующихся соединений. Тогда как NAQC предоставлял дополнительную защиту только для подключений удаленного доступа.
NAP – это три функции, которые позволяют защитить сеть компании от неправомерных подключений: ограничение доступа к сети клиентам, которые не отвечают групповым политикам безопасности, блокирование жульнических подключений, и в дополнение, NAP предоставляет возможность создания и настройки групповой политики, по проверке устанавливаемых патчей, антивирусных сигнатур и настроек брандмауэра.
Наконец, NAT предоставляет возможности для повторного подключения клиентов, которые не отвечают групповым политикам безопасности – если, клиент им не отвечает, то администраторы смогут обновить политики клиента автоматически, при условии установленного ПО для управления клиентом, типа Microsoft SMS (Systems Management Server). В случае отсутствия данного ПО, NAP может предоставить доступ к отдельным участкам сети, пока администраторы сами не обновят политики клиента. Для полного описания NAP ищите «Microsoft NAP Architecture Summary».
Для поддержки NAP на клиентском ПК должен быть установлен NAP-клиент, который уже входит в состав Windows Vista «Longhorn», и находится в состоянии бета-тестирования для Windows XP. С сервером чуть посложнее – там должен быть запущен сервер администрирования NAP, валидатор безопасности клиента (System Health Validator), сервер сертификации безопасных клиентов (Health Certificate Server), сервер для повторных подключений клиентов, которые не отвечают политикам сети (Remediation Server), сервер политик, а также настроены политики безопасности клиента (health policy).
Приятно, что NAP очень тяжело обмануть. В нашей тестовой сети из двух Windows «Longhorn» серверов, мы настроили политики авторизации, так что VPN доступ к сети блокировался клиентам, у которых был включен Windows Firewall. Пользователи, которые не отвечали политике авторизации, пересылались на веб-страницу, в участке сети с ограниченными правами, с помощью которой пользователю сообщалось, что он не смог подключиться к серверу, и что необходимо для этого сделать – в данном случае выключить установленный брандмауэр. Конечно же, это очень простая проверка, но мы уверены, что системные администраторы приспособят валидатор безопасности клиента и политики авторизации под свои нужды. Для дальнейшего изучения возможностей NAP ищите «The Plot Thickens».
Улучшенные возможности обеспечения безопасности (Windows Firewall)
И хотя сейчас все компании заняты обеспечением безопасности конечного ПК, именно межсетевые брандмауэры являются первой линией обороны, и именно поэтому Microsoft заменяет представленный в Windows Server 2003 SP 1 брандмауэр, сканирующий только входящий трафик, на новый Windows Firewall. Наши тесты показывают, что в Windows Firewall очень много усовершенствований в безопасности, но получить их бывает сложно из-за необходимости тонкой настройки брандмауэра, или подчас из-за слишком громоздкого интерфейса.
Среди внесенных в брандмауэр усовершенствований – возможность создания и управления брандмауэром с помощью профилей, фильтрация входящего и исходящего трафика, интеграция с MMC (Microsoft Management Console), управление IPsec, настройки фильтрации интегрированы в интерфейс ОС.
Фильтрация входящего и исходящего трафика – очень удобная, и новая, функция. По умолчанию, весь входящий трафик блокируется, если конечно, для данного приложения не настроены правила, или это не является запросом внутри сети. Такое поведение брандмауэра – хорошее начало в повышении безопасности, и будет полезным в будущем, так как в будущем позволит предотвратить распространение троянов, и некоторых вирусов. Правила могут быть настроены по огромному количеству параметров – IP адрес источника и получателя, пользователи и группы Active Directory, TCP и UDP порты источника и получателя, а также трафик ICMP и ICMP для IP v6 по типу, коду и службам.
Возможность настроек по профилям нам показалась очень полезной для безопасной настройки системы. В системе имеется три предустановленных профиля – домен, частная и публичная сеть, каждый профиль для отдельного типа сети. Домен – предназначен для определения поведения клиентов, когда в сети есть контроллер домена и доменов клиента. Частная – при наличии в сети маршрутизатора, то есть для домашней, или небольшой офисной, сети. Публичная – когда клиенты подключаются к Интернет напрямую.
Во все встроенные по умолчанию профили включены правила как для входящего, так и для исходящего трафика. Сам интерфейс брандмауэра имеет прямо-таки устрашающий вид, и может повергнуть в шок неопытного пользователя, именно по этому, Microsoft облегчила настройку включением в программу мастера первоначальной настройки.
Правила интеграции IPsec
Для предотвращения перехвата и фальсификации передаваемой информации, Microsoft внедрила в Windows Server 2007 поддержку IPsec, и разработала легкий интерфейс для его настройки. Нужно отметить, что ни один из встроенных профилей не имеет шаблонов по работе с IPsec, но легкий и быстрый мастер позволит настроить правила в зависимости от нужд: изоляция, свободная аутентификация, сервер-сервер, туннель, или собственные настройки. Правила изоляции используются для ограничения подключений основанных на аутентификации типа членства в домене, или безопасности клиента. Свободная аутентификация – для снятия с некоторых компьютеров ограничений накладываемых IPsec. Сервер-сервер используется для аутентификации между двумя определенными конечными точками, тогда как туннель – для аутентификации между шлюзами.
Управление политиками входящего и исходящего трафика сделано максимально удобным – с полным описанием политик, а сами правила сгруппированы по сервисам и сетевым профилям. Новые правила создаются с помощью мастера создания нового безопасного подключения, в котором можно создать правило на основе выбора программы, порта, сервиса, или самому полностью выбрать необходимые параметры.
Правила созданные с помощью MMC легко могут быть импортированы в брандмауэр или экспортированы, кроме того, все функции могут быть настроены на основе Active Directory.
Одно из самых важных изменений в брандмауэре – гарантирование того, что правила настроены правильно, для того чтобы доступ к нужной части, или всей сети, получили нужные люди. В этом плане «Longhorn» Server делает свою работу замечательно! Например, мы создали правило, которое знают в любой IT организации: запретить выход в Интернет, через консоль сервера. Наше правило просто блокировало Internet Explorer (iexplore.exe) доступ в Интернет, а если данное правило добавить в Active Directory, то выход в Интернет браузеру будет запрещен во всей сети. И наконец, мы настроили наш тестовый сервер, так чтобы все компьютеры подключающиеся к нему в рамках профиля «домен», проходили аутентификацию с сертификатом компьютера, выданным Active Directory Domain Certificate Authority.
Изменения в стеке TCP/IP
Наверное, самое большое изменение, которое несет в себе «Longhorn» Server – измененный стек TCP/IP протокола, который обеспечит более легкую установку, увеличит производительность работы сети и уменьшит количество потребляемой памяти. Новый стек, который Microsoft назвала TCP/IP стеком следующего поколения, включает в себя поддержку как IP v4, так и IP v6, а также усовершенствованную автонастройку параметров TCP/IP.
Данная архитектура позволяет обоим протоколам использовать общий транспортный уровень и для ретрансляции кадров – больше нет необходимости в отдельной инсталляции IP v6, и использовании отдельного стека. Вообще, нужно отметить, что в Windows «Longhorn» Server 2007 стандартным является использование IP v6, но это не значит, что с подключением по IP v4 наблюдаются какие-либо проблемы. В отличие от предыдущих серверных ОС компании, IP v6 удалить из системы невозможно, поэтому вычислительным центрам, которые не планируют развертывание данного протокола, придется вносить изменения в реестр. К счастью, Microsoft предоставила документацию по изменениям, которые необходимо внести в реестр для блокирования некоторых функций IP v6.
Также, новый стек TCP/IP должен автоматически настраивать размер окна для каждого соединения индивидуально. По заявлению компании, размер окна может быть масштабирован до 16 Мб, что должно серьезно повысить эффективность передачи данных по высокоскоростным каналам.
Microsoft также представила технологию разгрузки TCP, которая будет очень полезна компаниям, в которых установлены IP-использующие хранилища, или тем которые уже присматриваются к сетям 10 Гбит. С данной технологией, «Longhorn» перемещает сетевые процессы непосредственно на сам сетевой адаптер.
Windows «Longhorn» Server: взгляд на возможности ОС как хранилища данных
TCP/IP стек следующего поколения, представленный в «Longhorn» Server, будет с энтузиазмом принят менеджерами администрирующими хранилища данных. В частности, благодаря технологии разгрузки TCP, которая очень долго была в разработке, благодаря тем преимуществам, которые она даст компаниям, использующим хранилища данных передающих данные по IP протоколу, или присматривающимся к Ethernet 10 Гбит.
Данная технология разработана силами Microsoft и Alacritech, и позволяет передавать TCP/IP процессы напрямую устройству, например, контроллеру iSCSI, что позволит не тратить мощь процессора на это ненужное занятие. Это позволяет не просто улучшить производительность работы сети, но и разгрузить центральный процессор, сняв с него нагрузку при передаче IP-базирующихся протоколов хранения данных типа iSER, iWarp, iSCSI, и тому подобных.
Насчет передачи данных по 10 Гбит Ethernet – передача данных по сети в 1 Гбит, может занять до 5% мощности ЦПУ, получается, при использовании 10 Гбит Ethernet загрузка ЦПУ будет 50%. Данная цифра – примерна, но даже пятикратное увеличение загрузки ЦПУ недопустимо.
Также интригует, как в плане безопасности, так и хранения данных, новая разработка компании известная как BitLocker – технология полного шифрования диска, с использованием USB ключа.
Также, Windows «Longhorn» Server создавался с поддержкой виртуализации, и новый Windows гипервизор (программа управления операционными системами – прим. перев.) будет поддерживать возможность запуска множества виртуальных ОС на чипах с поддержкой виртуализации. Наконец, ОС может быть установлена в режиме ядра, созданном для загрузки минимального количества ресурсов, но при этом загрузкой ядра ОС и поддержкой устройств, оставляя основную часть ресурсов собственно виртуальным ОС.
«Longhorn» Server 2007: установка и настройка
В нашем тесте установка «Longhorn» сервера заняла приблизительно 45 минут, после чего сразу был запущен мастер начальной конфигурации, который состоял из трех разделов.
В первом разделе необходимо было ввести пароль администратора (необходим), настроить сетевые параметры, ввести имя сервера и информацию о домене. Во втором разделе мы включили и настроили параметры скачивания и установки обновлений через службу Windows Update, и, наконец, в финальном разделе выбрали функции, которые будет исполнять сервер, функции ОС, настроили доступ к удаленному рабочему столу, и включили XP-подобный интерфейс брандмауэра.
Источник:
Перевод: prymara