Наброски админа

Если зайти в меню Архивирование данных Windows Server (Windows Server Backup) в Диспетчере сервера (Server Manager) сразу после установки системы, то увидим, что оно не активно. По умолчанию компонент (Features) Server Backup не устанавливается, но это легко сделать при помощи пунктов Диспетчера сервера. Для этого переходим в Features, нажимаем ссылку Add Features и выбираем в списке компонентов – Архивирование данных Windows Server. Программа архивирования состоит из двух частей: собственно программы Архивирование данных и средств командной строки. Последние являются командлетами PowerShell. Если PowerShell в системе не установлен, последует запрос на его инсталляцию. Чтобы установить Server Backup в командной строке, достаточно ввести команду:

C:\> servermanagercmd -install Backup-Features

В варианте Windows 2008 Server Core для установки используется команда ocsetup:

C:\> ocsetup WindowsServerBackup

Система резервного копирования в Windows 2008 построена на клиент-серверной архитектуре. После установки в системе появляется новая Служба резервного копирования (Block Level Backup Engine Service, WBENGINE.EXE), которая, собственно, и выполняет всю работу. Обрати внимание: ее запуск установлен в режим Вручную (Manual). Управление режимами работы сервиса возможно при помощи соответствующего компонента в Диспетчере сервера. Также в меню Администрирование появится ссылка на оснастку MMC. Кроме того, вызвать мастер создания резервной копии можно из пункта Свойства – Инструменты (Tools) выбранного раздела харда. Для работы в командной строке следует использовать утилиту Wbadmin. При этом можно управлять как локальной, так и удаленной системой.

После установки Windows Firewall (теперь он называется Windows Firewall with Advanced Security или WFAS) активирован, и содержит правила для фильтрации входящих и исходящих соединений. По умолчанию все исходящие соединения разрешены. В WFAS можно создавать правила для учетных записей и групп AD, IP-адреса и TCP/UDP порта источника и назначения, сетевых интерфейсов и служб сервера, протокола ICMP. Поддеживается и IPv6. Основные настройки WFAS производятся из Server Manager или из одноименного пункта в Administrative Tools, из Initial Configurations Tasks можно вызвать лишь базовые настройки, которые несколько похожи на те которые появились в Windows XP.

Хотя есть и отличия. После установки новой роли все соединения, скорее всего будут заблокированы. Если нет необходимости запуска мастера настройки безопасности, о котором речь идет ниже, лучшим выходом будет установка исключений (Exceptions), которая производится в одноименной вкладке. Нажав кнопку Add Program или Add Port, добавляем в этот список исполняемый файл или порт для которого будет установлено исключение. Нажав кнопку Change Scope в окне настройки порта, дополнительно можно указать локальный и удаленный IP-адрес или сеть, более тонко настроив правило под конкретные условия. Очень полезно получать уведомления о новых программах заблокированных Windows Firewall, для этого следует установить флажок “Notify me when Windows Firewall block a new program”.
Новая консоль MMC управления настройками WFAS, объединена с интерфейсом настройки Internet Protocol Security (IPSec) и добавлены новые функции.

Изменился и принцип настройки. Например на смену двум профилям Domain и Standard доступным в Win2k3, пришли три профиля – Domain, Private и Public. Назначение первого осталось неизменным, он используется при подключении к домену. Профили Private и Public используются в остальных случаях, но если раньше вариант работы брандмауэра был один, теперь можно выбирать разные настройки в зависимости от защищенности сети. По умолчанию используется более строгий Public. Изменить назначение сети, можно выбрав в Control Panel пункт Network and Sharing Center. Нажимаем Customize и выбираем новый профиль. В поле Sharing and Discovery дополнительно настраиваются параметры видимости компьютера в сети. Новые правила создаются при помощи понятного пошагового мастера, который поможет указать все необходимые параметры.
Для управления настройками WFAS из командной строки следует использовать команду «netsh advfirewall«.

Мастер настройки безопасности можно вызвать из окна Server Manager, или выбрав одноименную ссылку в Administrative Tools. Работа мастера разделена на несколько этапов.
Сначала предстоит выбрать, будем ли создавать новую или редактировать уже имеющуюся политику, применять готовую или делать откат.

В некоторых случаях предстоит указать на XML файл, в котором сохранены настройки. Возможность применения уже готовых политик на других компьютерах очень упрощает настройку. В случае установки на нескольких системах следует определиться с прототипом, а затем, создав политику, применить ее и к остальным, изменив при необходимости.
Во втором окне мастера содержится общая информация о назначении SCW и рекомендации по настройкам (например, если в windows firewall открыт порт для входящих подключений). Далее выбираем компьютер, который будет служить прототипом. Для подключения к удаленной системе необходимо обладать соответствующими правами. Затем проверяется текущее состояние системы, в частности, определение списка служб, ролей и компонентов, и полученная информация сверяется с внутреней базой, в которой содержатся данные о том, какие роли и компонеты используют порты, сервисы и другую информацию. Нажав кнопку View Configurations Database, можно запустить SCW Viewer и просмотреть текущий список ролей, компонентов, настройки Windows Firewall, список сервисов и прочее. Весьма ценная информация, помогающая еще лучше понять внутренний мир Windows 2008.
Теперь, собственно, переходим к настройкам политик безопасности. Сначала последовательно отмечаем роли, компоненты и дополнительные options, которые выполняются на сервере. Под параметры (options) попадает все, что не вошло в первые две категории, в этом списке присутствуют службы, инструменты администрирования и так далее.
Не смотря на простоту выбора, ведь достаточно просто отметить флажком нужный пункт, это очень важный этап. Если в ответах указать не верные данные, можно отключить нужную функцию, или наоборот активировать лишний сервис. Следует обратить внимание на то, что SCW показывает не только те роли, которые доступны в мастере добавления ролей, но и некоторые другие. Например, роль сервера приложений (Application Server) и четыре роли, связаные с Active Directory, в списке SCW отсутствуют. Это связано с несколько иным алгоритмом работы SCW, но, признаюсь, такой расклад при первом знакомстве не слабо сбивает с толку, и приходится обращаться к справочной информации и подсказкам мастера, чтобы не ошибиться в выборе. Упрощает ситуацию то, что в показанном списке уже отмечены все нужные роли, которые нашел мастер при анализе конфигурации, остается только проверить правильность выбора. В крайнем случае, всегда можно прибегнуть к возможности отката, отменив все изменения. По умолчанию показаны роли, на которые может быть настроен сервер. Вариант Core изначально поддерживает меньшее количество ролей, поэтому и список, выведенный здесь, будет меньше. В раскрывающемся списке View можно выбрать All Roles, активирующий показ всех ролей, имеющихся в базе данных, в том числе и не поддерживаемых данным сервером. Аналогичная ситуация и с компонентами, список, показанный мастером SCW, не совпадает с Add Features Wizard.
Далее выбираем, что делать со службами, которые не подпадают под настройки, то есть фактически не удовлетворяют политике. По умолчанию предлагается не изменять режим запуска таких служб (Do not change start up mode of the service), более безопасным считается вариант их отключения (Disable the service). Если политики будут применены на других серверах, конфигурация которых отличается, выбор второго варианта может привести к сбоям. Далее мастер выводит резюме, где перечисляется список всех служб (All services), а также тех служб, которые попадают под применение политик (Changed services). Если какое-то действие требуется отменить, придется возвращаться к предыдущим шагам мастера.
Следующий этап Network Security не менее важен, чем предыдущий. И хотя его можно пропустить (как и следующие), установив флажок Skip this section, лучше все-таки пройтись по его пунктам. После страницы приветствия будет показан список правил настройки Windows Firewall, выполненный в соответсвии с выбранными шаблонами.

Используя раскрывающийся список, можно отобрать для просмотра правила, предлагаемые SCW для выбранных ранее ролей и компонентов. После этого шага все соединения к ролям, не попавшим в этот список, будут блокированы. Чтобы получить подробную информацию о конкретном правиле, нажимаем на значок треугольника. Выбрав правило и нажав кнопку Edit, его можно отредактировать. Окно Edit rule содержит 4 вкладки, большинство параметров заблокированы, и изменять их нельзя. При помощи имеющихся настроек можно, например, разрешить только зашифрованные соединения, указать конкректный локальный и удаленный IP-адрес, привязав к строго определенным узлам. В результате получаем список правил, настроенных под конкретный сервер.

В следующей секции Registry Setting настраивается несколько параметров реестра, определяющих политики на уровне приложений и протоколов. Например, можно предъявить требования к операционным системам, подключающимся к серверу, разрешенные методы аутентификации для входящих и исходящих подключений. Перейдя в раздел Audit Policy, выбираем нужный уровень аудита (отключен, аудит успешной или заблокированной активности). Предлагаемые параметры подходят для большинства случаев. Далее сохраняем настройки в XML файл. При необходимости можно добавить к созданным политикам имеющиеся шаблоны безопасности, установив приоритет правил. Выбор View security policy позволяет просмотреть созданные политики.

И определяемся, нужно ли применять созданные политики по окончании работы мастера. Вот и все.
Также следует знать об утилите командной строки scwcmd.exe, при помощи которой можно просмотреть, проанализировать, настроить созданные политики, или произвести откат. Созданный XML файл политик можно открыть в блокноте, но разбираться с установками в таком виде очень неудобно. Чтобы просмотреть политики в SCW Viewer, вводим «scwcmd.exe view /x:test file.xml«. Использовав ключ transform, можно преобразовать политику в объект групповой политики (GPO). Но здесь следует быть очень осторожным. Если, например, в политике есть правила, ограничивающие работу по некоторому протоколу только с определенным IP-адресом, то при применении такой политики к другим компьютерам подобное правило может дать непредсказуемый результат.

Настройка безопасной работы сервера – дело не простое, особенно учитывая большое количество функций. По умолчанию в Windows 2008 имеется чуть более 100 служб, половина из которых запускается автоматически. Спавится с этой проблемой может Мастер настройки безопасности (SCW – Security Configuration Wizard) появившийся еще в Windows 2003 SP1. Который на основе анализа системных настроек, используемых сервисов secedit предоставляет возможность отключить не используемые службы и помочь в безопасной настройке основных сервисов, уменьшая количество потенциальных объектов для атак. В Windows 2008 SCW существенно переработан, его возможности обновлены (за счет новых ролей и интеграции с WFAS).

Новая концепция ролей и компонентов, при которой после установки сервер практически «голый», а все, что необходимо, развертывается самим администратором в нужных дозах, а мастер установки ролей и компонентов добавляет только самое необходимое, попутно настраивая другие компоненты на совместную работу с новой ролью (например, перестраивая правила брандмауэра). В таких условиях SCW, вероятно, уже не играет той ключевой роли для обеспечения безопасности, как в Windows 2003. Но его использование однозначно повышает уровень безопасности сервера, не говоря о том, что запустив SCW, можно узнать больше о настройках сервера и отношениях между компонентами. Мастер создаст настройки, которые будут поддерживать только выбранные роли и ничего более. Кроме этого, при помощи SCW можно увеличить безопасность при использовании нестандартной роли.
Исходя из этого после установки всех планируемых ролей и компонентов, запуск мастера SCW весьма желателен. Совместимые программы сторонних производителей, которые самостоятельно устанавливают политики для SCW, интегрируются в сервер без проблем. Иначе политики для таких программ придется настраивать вручную.