Налаштування сервера за допомогою майстра настройки безпеки

Правильний підхід до безпеки має на увазі, що на сервері повинні бути активовані тільки ті служби, які необхідні для виконання сервером своїх завдань. Іншими словами, DHCP-сервер повинен відповідати тільки на запити DHCP, а у DNS-сервера повинен бути активований тільки DNS. Майстер налаштування безпеки (Security Configuration Wizard, SCW) дозволяє відключити всі невикористовувані служби сервера за винятком тих, які необхідні для виконання специфічних завдань. Також SCW дозволяє створювати шаблони, які потім можуть бути експортовані на інші сервера для автоматизації налаштування безпеки.

Майстер SCW можна запустити з вікна Диспетчера сервера (Server Manager), або вибравши однойменну посилання в вікні Адміністрування (Administrative Tools) в панелі управління.

SCW необхідно використовувати відразу після установки всіх ролей і компонентів, які повинні бути на сервері. Якщо передбачаються програми сторонніх виробників, їх також слід встановити до запуску SCW.

Робота майстра розділена на кілька етапів. Перший етап - це вибір того, чи хочете ви створити нову політику безпеки, змінити або застосувати існуючу політику або виконати відкат вихідні установки.

Для створення нової політики SCW повинен проаналізувати комп'ютер, визначаючи які компоненти і ролі той підтримує. При натисканні кнопки «Далі» майстер запитує, який комп'ютер слід використовувати як базовий варіант (прототип) для нової політики. Зазвичай варто вибирати локальний комп'ютер, але можна використовувати в якості прототипу і віддалений комп'ютер.

Після вказівки комп'ютера починається фаза аналізу. У ній SCW формує список встановлених ролей і компонентів і зіставляє його з базою даних. База даних містить інформацію про те, які служби використовуються кожною роллю і компонентом, які мережеві порти їм потрібні та іншу важливу інформацію про налаштування.

По завершенні аналізу можна натиснути кнопку перегляду бази даних налаштувань, щоб побачити, що знайшов SCW. Ці відомості відкриваються в SCW Viewer для читання і надають вичерпну інформацію про всі настройках сервера. Якщо вам дійсно цікаво, що знаходиться на вашому сервері, можете присвятити більше часу вивченню цієї інформації.

Після аналізу переходимо безпосередньо до налаштування. Натискаємо кнопку «Далі» і потрапляємо в перший з чотирьох розділів SCW - настройку служб на основі ролей. Зверніть увагу, що наявні в SCW ролі не зовсім збігаються з ролями в майстра додавання ролей. SCW пропонує деякі ролі, не включені в майстер додавання ролей.

За замовчуванням показуються встановлені ролі, тобто ролі, які сервер потенційно здатний підтримувати без установки додаткових компонентів. Вибрані ролі - це ролі, які він підтримує зараз. Також можна вибрати показ усіх ролей, для чого просто вкажіть «Всі ролі» в списку. Це може знадобиться при необхідності створити політику на сервері, на якому ще не встановлені всі необхідні ролі. У будь-якому випадку, нам треба відзначити тільки ті ролі, які виконуватиме даний сервер (в нашому випадку це сервер віддаленого доступу).

Далі відбувається діалог вибору клієнтських можливостей. Будь-сервер є ще і клієнтом, наприклад звертається із запитами до DNS-сервера, отримує оновлення з сервера WSUS і т.д., і все це потрібно врахувати.

У наступному вікні вибираємо параметри управління сервером. Вибір включає оснащення, необхідні для управління обраними ролями сервера. Крім того, тут можна дозволити дистанційне керування сервером за допомогою засобів адміністрування (напр. Server Manager).

Служби, знайдені SCW на комп'ютері і відсутні в базі даних, показуються на сторінці додаткових служб. Оскільки всі вбудовані служби повинні бути описані в базі, цей діалог зазвичай виникає, якщо встановлено будь-яких служби від сторонніх виробників.

Потім майстер прелагает вибрати, що робити зі службами, які на даний момент не визначені. Цей варіант призначений для випадків, коли створювану політику передбачається застосувати до іншого комп'ютера, який містить інший набір служб, ніж той, на якому створюється політика. За замовчуванням пропонується залишити їх у спокої. Другий варіант - відключити їх, це більш безпечно, але може викликати збої в роботі сервера.

Завершуючи роботу з розділом налаштування ролей, підсумуємо зроблене. Як ми бачимо, SCW відключає всі служби, які не потрібні для виконання сервером своїх завдань, тим самим зменшуючи область, доступну для атак.

Наступний етап SCW - настройка правил мережевої безпеки. Після початкової сторінки вітання з'являється діалог правил мережевої безпеки. Тут нам пропонується список всіх правил брандмауера, заснованих на підтримку ролей, обраних в попередніх розділах.

Можна не виробляти налаштувань в розділі роботи з мережею, тоді SCW створить правила брандмауера, що блокують мережеві інтерфейси так, що будуть доступні тільки обрані ролі і компоненти. А можна посилити безпеку сервера, додатково налаштувавши запропоновані правила. Для цього вибираємо правило і натискаємо кнопку «Змінити». Тут можна зажадати перевірку справжності IPsec, включити шифрування, а на вкладці «Область» можна обмежити підключення тільки з певних IP-адрес.

Наступний, третій розділ - параметри реєстру. У ньому ми вносимо зміни в налаштування реєстру, що відповідають за зв'язок з іншими комп'ютерами - протоколи, типи аутентифікації і т.п. Це може знадобитися для блокування обміну даними з певним типом клієнтів, наприклад працюють під управлінням більш ранніх версій Windows. Також, при наявності вільних потужностей процесора можна включити підписування трафіку, що передається по протоколу SMB.

Підписування SMB здійснює перевірку справжності, поміщаючи цифровий підпис в кожен блок повідомлень SMB. Потім цифровий підпис перевіряється як клієнтом, так і сервером. За переваги підписування SMB доводиться розплачуватися швидкодією. Незважаючи на те, що робота протоколу не вимагає витрат мережевого трафіку, процесору потрібні додаткові цикли для підписування.

Потім слід вибір методу перевірки достовірності (аутентифікації) при підключенні до віддалених комп'ютерів. Якщо сервер є членом домена, то однозначно вибираємо доменні облікові записи, якщо немає - то локальні.

Якщо обрана доменна аутентифікація, то тут можемо обмежити спілкування нашого сервера з системами не нижче Windows NT 4.0 SP6A (якщо такі ще залишилися). А якщо клієнти повинні синхронізувати свої системи саме з цим сервером, ми також можемо вибрати цю опцію тут, хоча за замовчуванням більшість систем синхронізують системний час з контролером домену Active Directory.

І на завершення дивимося зміни в реєстрі.

Останній розділ - настройка політик аудиту. Залежно від необхідного рівня безпеки можна не включати аудит взагалі, включити тільки аудит успішних дій або аудит всіх дій на сервері. Майте на увазі, що аудит вимагає чимало системних ресурсів, та й на читання журналів безпеки прийдеться витратити чимало часу, так що варто гарненько подумати.

Потім дивимося зміни, внесені в політику аудиту. Зверніть увагу на те, що опція, що включає шаблон безпеки SCWaudit.inf за замовчуванням включена. Цей шаблон служить для спрощення аудиту доступу до файлової системи. Будьте обережні - коли шаблон SCWaudit.inf застосований, його не можна видалити за допомогою функції відкату в SCW.

На цьому етапи настройки завершені. Залишається тільки зберегти створену політику. Для цього потрібно вказати місце для збереження файлу політики і додати її опис. Також можна переглянути політику або підключити додаткові шаблони безпеки.

На завершення майстер пропонує нам вибрати, застосувати відразу створену політику або відкласти вирішення цього питання. Відзначаємо потрібний варіант, тиснемо кнопку «Далі», потім «Готово». На цьому робота майстра завершена.

Також слід згадати про утиліту командного рядка scwcmd.exe, за допомогою якої можна робити деякі дії з створеними політиками:

• scwcmd view / x: <Policyfile.xml> - перегляд створеної політики;
• scwcmd configure / p: <Policyfile.xml> - застосування створеної політики;
• scwcmd rollback - відкат останньої застосованої політики;
• scwcmd transform / p: <Policyfile.xml> / g: <GPODisplayName> - перетворення політики в об'єкт групової політики (GPO).

Повний набір можливостей утиліти можна подивитися командою scwcmd /?

Ну і маленька порада. Як ви могли помітити, політику можна створити на одній системі і застосувати її до багатьох, в тому числі і через групові політики. Однак робити це варто тільки з абсолютно ідентичними серверами, в іншому випадку результат може бути непередбачуваний. Крім того, при наявності в політиці параметрів, що відносяться до конкретного комп'ютера (наприклад, настройки мережі) це може закінчитися невдачею. Отже, SCW краще використовувати для індивідуальної настройки окремих серверів.