Windows 2008 Server: первоначальные настройки и безопасность
Сергей «grinder» Яремчук (grinder@ua.fm, tux.in.ua)
Установка Win2k8 довольно проста, по ходу инсталляции задается минимум вопросов, и если все требования к оборудованию и размещению выдержаны, через 20 минут получаем уже готовую к использованию систему. Далее предстоит выполнить первоначальные настройки, произвести установку ролей и уделить самое пристальное внимание повышению уровня защиты сервера. С этими вопросами и будем сейчас разбираться.
Содержание:
- Действия после установки
- Новый механизм загрузки
- Настройка Windows Firewall
- Мастер настройки безопасности
- Приступаем к настройкам
- Настройки сети и приложений в SCW
- Заключение
- Боковые выносы
Сервер Win2k8 может быть установлен в двух режимах: Full с графическим интерфейсом и Server Core, в котором настройки производятся при помощи командной строки. Второй вариант трогать пока не будем, разберем работу в графической среде.
Сначала хочу обратить внимание на то, что на сайте Microsoft доступен пакет многоязычного интерфейса пользователя для Win2k8, при помощи которого можно локализовать систему. Пакеты разбиты по группам, русский находится в третьей из них. Для установки пакета локализации необходимо пересобрать образ, используя Windows Automated Installation Kit (WAIK). Интересно, почему нельзя было просто выложить msi-файл?
После регистрации в системе тебя встретит Initial Configurations Tasks, приглашая выполнить первые шаги по настройке сервера. Но перед тем как бросаться в бой, советую сначала сделать рабочее окружение более удобным. Для этого проходим по маршруту: Start -> Control Panel -> Appearance and Personalization -> Personalization. Здесь несколько пунктов, назначение которых совпадает с меню Свойства Экрана, доступном в более ранних версиях системы. Только сейчас все вкладки разбиты по отдельным меню, а принцип настроек остался прежним.
Обязательно перейди в Device Manager и убедись, что все оборудование определено и работает правильно, то есть напротив списка устройств нет восклицательных или вопросительных знаков. Если это не так, пробуем получить нужные драйвера на сайте производителя вручную, или, воспользовавшись кнопкой Reinstall Driver, устанавливаем их автоматически.
Рис. 1. В Personalization настраиваем параметры рабочего стола
Теперь можно возвращаться в Initial Configurations Tasks. В предыдущей версии сервера большинство доступных здесь параметров настраивалось на этапе установки системы, теперь они собраны в одном месте, что очень удобно.
Выбираем Set time zone, устанавливаем часовой пояс и при необходимости корректируем системное время (для сервера это важный момент). По умолчанию автоматическая синхронизация времени включена, и в качестве NTP сервера выбран time.windows.com. Если ты предпочитаешь использовать другой сервер, просто введи его данные во вкладке Internet Time Setting и нажми Update now. Настройки нового сервера будут автоматически запомнены.
Далее настраиваем сетевое подключение. Нажимаем Configure Networking, в появившемся окне Network Connections должны быть отображены все найденные сетевые интерфейсы. В Win2k8 по умолчанию устанавливаются: клиент для сетей Microsoft, доступ к файлам и принтерам, планировщик QoS, поддержка IPv4 и IPv6, Link-Layer Topology Discovery Mapper I/O Driver и Link-Layer Topology Discovery Responder. IP-адрес сетевому интерфейсу назначается динамически. Такие настройки будут достаточны в большинстве ситуаций. Выбрав любой из пунктов, можно изменить настройки, например, задать статический IP-адрес для IPv4. Если не используется шестая версия протокола, его лучше отключить, сняв соответствующий флажок. Некоторые роли, вроде Domain Controller, DNS и DHCP Server, требуют статического адреса, а по умолчанию в Win2k8 используется именно IPv6.
И переходим к Provide computer name and domain, где указываем имя компьютера, подключаемся к домену или рабочей группе. После изменения этих параметров потребуется перезагрузка.
Теперь можно переходить к следующему полю Update This Server. Выбираем Enable Automatic Updating and Feedback и в появившемся окне указываем автоматическую или ручную настройку получения обновлений и отправку в Microsoft информации об ошибках и CEIP. Если тебя интересуют не все пункты, тогда выбирай Manually configure Setting и активируй то, что нужно:
- Automatic Updates – автоматическое обновление, по умолчанию отключено, выбрав Change Setting, можно указать расписание обновления, отдельно разрешается загрузка рекомендованных обновлений. В больших средах для обновления удобнее использовать WSUS или System Center Operations Manager 2007;
- Windows Error Reporting – в установке по умолчанию при сбое администратор получает запрос на отправку диагностической информации в Microsoft. Здесь можно установить автоматическую отправку детальных отчетов или отключить эту возможность.
- Customer Experience Improvement Program – программа CEIP предназначена для сбора анонимной информации о характеристиках и общих задачах, выполняемых пользователями, и проблемах, с которыми они столкнулись. По умолчанию она отключена, если не доверяешь, просто оставь, как есть.
По умолчанию в Automatic Updates не активен ни один из имеющихся там пунктов, в любом случае необходимо определиться с политикой обновления и указать ее. Если планируется только ручное обновление (такой выбор весьма не желателен), то обязательно отметь Never check for Updates, иначе соответствующая ссылка в Download and Install Updates, при помощи которой производится обновление системы вручную, будет неактивна. О наличии обновлений будет предупреждать апплет в панели задач. Рекомендуется накатывать последние обновления каждый раз перед добавлением роли или установкой компонента (Feature).
Как и в предыдущих версиях, к Win2k8 можно подключаться удаленно, используя RDP. Если есть такая необходимость, заходим в Enable Remote Desktop, здесь можно выбрать один из трех параметров подключения. Самым защищенным и потому рекомендуемым является Allow Connections only from computers running Remote Desktop with Network Level Authentication. Нажав кнопку Select Users, добавляем учетные записи пользователей, которым разрешено подключаться к серверу посредством Remote Desktop.
Рис. 2. Проверка найденного оборудования в Device Manager
Все операционные системы, построенные на ядре NT, использовали в качестве загрузчика NT Loader (NTLDR) с конфигурационным файлом boot.ini. Начиная с Windows Vista, порядок загрузки операционной системы изменен. В Vista и Win2k8 используется механизм, получивший название Boot Configuration Data (BCD). В загрузочном секторе содержится информация о расположении файла системного загрузчика bootmgr (Windows Boot Manager). Причем Microsoft усложнила жизнь пользователям, так как теперь все настройки хранятся не в плаин тексте, а файле бинарного формата. Настройки BCD загружаются в ветку реестра HKLMBCD00000000, поэтому формат файла похож на реестр. Но его уже нельзя отредактировать вручную, просто открыв в Блокноте. Кроме того, отсутствует соответствующая ссылка из меню Startup and Recovery (Загрузка и восстановление). Теперь здесь находятся параметры, позволяющие лишь изменить систему, загружаемую по умолчанию, и установить задержку перед загрузкой. Для систем, стартующих через BIOS (а не через EFI), настройки хранятся в скрытом каталоге BootBCD, который расположен на системном томе. Этот файл может быть изменен при помощи специальной утилиты (Windowssystem32bcdedit.exe). Как вариант, предлагается использовать WMI (Windows Management Instrumentation). Большинство пользователей вряд ли сочтет их удобными, но после выхода Vista появились решения, обладающие интуитивно понятным графическим интерфейсом. Например, бесплатные VistaBootPRO (www.vistabootpro.org) или EasyBCD (neosmart.net/dl.php?id=1).
После установки Windows Firewall (теперь он называется Windows Firewall with Advanced Security или WFAS) активирован и содержит правила для фильтрации входящих и исходящих соединений. По умолчанию все исходящие соединения разрешены. В WFAS можно создавать правила для учетных записей, групп AD, сетевых интерфейсов, служб сервера, протокола ICMP. Поддерживается и IPv6. Основные настройки WFAS производятся из Server Manager или из одноименного пункта в Administrative Tools, из Initial Configurations Tasks можно вызвать лишь базовые настройки, которые несколько похожи на те, которые появились в WinXP. Хотя есть и отличия. После установки новой роли все соединения, скорее всего, будут заблокированы. Если нет необходимости в запуске мастера настройки безопасности (речь о нем пойдет ниже), лучшим выходом будет установка исключений (Exceptions), которая производится в одноименной вкладке. Нажав кнопку Add Program или Add Port, добавляем в этот список исполняемый файл или порт, для которого будет установлено исключение. Нажав кнопку Change Scope в окне настройки порта, дополнительно можно указать локальный и удаленный IP-адрес или сеть, более тонко настроив правило под конкретные условия. Очень полезно получать уведомления о новых программах, заблокированных Windows Firewall, для этого следует установить флажок «Notify me when Windows Firewall block a new program».
Рис. 3. Изменение профиля Windows Firewall
Новая консоль MMC управления настройками WFAS объединена с интерфейсом настройки Internet Protocol Security (IPSec) и обрела новые функции. Изменился и принцип настройки. Например, на смену двум профилям Domain и Standard, доступным в Win2k3, пришли Domain, Private и Public. Назначение первого осталось неизменным, он используется при подключении к домену. Профили Private и Public используются в остальных случаях, но если раньше вариант работы брандмауэра был один, теперь можно выбирать разные настройки в зависимости от защищенности сети. По умолчанию используется более строгий Public. Изменить назначение сети, можно выбрав в Control Panel пункт Network and Sharing Center. Нажимаем Customize и выбираем новый профиль. В поле Sharing and Discovery дополнительно настраиваются параметры видимости компьютера в сети. Новые правила создаются при помощи понятного пошагового мастера, который поможет указать все необходимые параметры.
Для управления настройками WFAS из командной строки следует использовать команду «netsh advfirewall».
Рис. 4. Настройка исключений в Windows Firewall
Настройка безопасной работы сервера — дело не простое, обилие функций и настроек может сыграть злую шутку и привести к ослаблению безопасности. Так по умолчанию в Win2k8 имеется чуть более 100 служб, почти половина из них запускается автоматически. Вместе с пакетом SP1 для Win2k3 администраторы получили весьма полезный инструмент Мастер настройки безопасности (SCW – Security Configuration Wizard). На основе анализа системных настроек secedit предлагал отключить неиспользуемые службы и способствовал безопасной настройке основных сервисов, позволяя уменьшить количество потенциальных объектов для атак. В новой версии сервера мастер существенно переработан, и обновлены его возможности (за счет новых ролей и интеграции с WFAS).
Доступна новая концепция ролей и компонентов, при которой после установки сервер практически «голый», все, что необходимо, развертывается самим администратором в нужных дозах, а мастер установки ролей и компонентов добавляет только самое необходимое, попутно настраивая другие компоненты на совместную работу с новой ролью (например, перестраивая правила брандмауэра). В таких условиях SCW, вероятно, уже не играет той ключевой роли для обеспечения безопасности, как в Win2k3. Но все же его использование поможет поднять уровень безопасности сервера. Кроме того, запустив SCW, можно узнать больше о настройках сервера и отношениях между компонентами. С его помощью создаются настройки, которые будут поддерживать только выбранные роли, тем более что возможность отключения ненужных сервисов и настройка дополнительных параметров безопасности остались. Также при помощи SCW можно увеличить безопасность при использовании нестандартной роли. Поэтому после того, как на сервере будут установлены все планируемые роли и компоненты, запуск мастера SCW весьма желателен. Совместимые программы сторонних производителей, которые самостоятельно устанавливают политики для SCW, интегрируются в сервер без проблем. Для несовместимых программ политики придется настраивать вручную.
Рис. 5. Просмотр установок сервера при работе SCW
Мастер SCW можно вызвать из окна Server Manager, или выбрав одноименную ссылку в Administrative Tools. Работа мастера разделена на несколько этапов.
Сначала предстоит выбрать, будем ли создавать новую или редактировать уже имеющуюся политику, применять готовую или делать откат. В некоторых случаях предстоит указать на XML файл, в котором сохранены настройки. Возможность применения уже готовых политик на других компьютерах заметно упрощает настройку. В случае установки на несколько систем следует определиться с прототипом, а затем, создав политику, применить ее и к остальным, изменив при необходимости.
Во втором окне мастера содержится общая информация о назначении SCW и рекомендации по настройкам (например, в случае, если в Windows Firewall открыт порт для входящих подключений). Далее выбираем компьютер, который будет служить прототипом. Для подключения к удаленной системе необходимо обладать соответствующими правами. Затем проверяется текущее состояние системы, в частности, определение списка служб, ролей и компонентов. Полученная информация сверяется с внутренней базой, в которой содержатся данные о том, какие роли и компоненты используют порты, сервисы и другую информацию. Нажав кнопку View Configurations Database, можно запустить SCW Viewer и просмотреть текущий список ролей, компонентов, настройки Windows Firewall, список сервисов и прочее. Весьма ценная информация, помогающая еще лучше понять внутренний мир Win2k8.
Теперь, собственно, переходим к настройкам политик безопасности. Сначала последовательно отмечаем роли, компоненты и дополнительные options, которые выполняются на сервере. Под параметры (options) подпадает все, что не вошло в первые две категории, здесь присутствуют службы, инструменты администрирования и т.д.
Не смотря на простоту выбора, ведь достаточно просто отметить флажком нужный пункт, это очень важный этап. Если в ответах указать не верные данные, можно отключить нужную функцию, или наоборот активировать лишний сервис. Следует обратить внимание на то, что SCW показывает не только те роли, которые доступны в мастере добавления ролей, но и некоторые другие. Например, роль сервера приложений (Application Server) и 4 роли, относящиеся к Active Directory, в списке SCW отсутствуют. Это связано с несколько иным алгоритмом работы SCW, но, признаюсь, такой расклад при первом знакомстве не слабо сбивает с толку, и приходится обращаться к справочной информации и подсказкам мастера, чтобы не ошибиться в выборе. Упрощает ситуацию то, что в показанном списке уже отмечены все нужные роли, которые нашел мастер при анализе конфигурации, остается только проверить правильность выбора. В крайнем случае, всегда можно прибегнуть к возможности отката, отменив все изменения. По умолчанию показаны роли, на которые может быть настроен сервер. Вариант Core изначально поддерживает меньшее количество ролей, поэтому и перечень, выведенный здесь, будет меньше. В раскрывающемся списке View можно выбрать All Roles, активирующий показ всех ролей, имеющихся в базе данных, в том числе и не поддерживаемых данным сервером. Аналогичная ситуация и с компонентами: список, показанный мастером SCW, не совпадает с Add Features Wizard.
Далее выбираем, что делать со службами, которые фактически не удовлетворяют политике. По умолчанию предлагается не изменять режим запуска таких служб (Do not change start up mode of the service), более безопасным считается вариант их отключения (Disable the service). Если политики будут применены на других серверах, конфигурация которых отличается, выбор второго варианта может привести к сбоям. Далее мастер выводит резюме, где перечисляется список всех служб (All services), а также тех служб, которые подпадают под применение политик (Changed services). Если какое-то действие требуется отменить, придется возвращаться к предыдущим шагам мастера.
Рис. 6. Редактирование настроек правила в SCW
Настройки сети и приложений в SCW
Следующий этап Network Security не менее важен, чем предыдущий. И хотя его можно пропустить (как и следующие), установив флажок Skip this section, лучше все-таки пройтись по его пунктам. После страницы приветствия будет показан список правил настройки Windows Firewall, выполненный в соответствии с выбранными шаблонами. Используя раскрывающийся список, можно отобрать для просмотра правила, предлагаемые SCW для выбранных ранее ролей и компонентов. После этого шага все соединения к ролям, не попавшим в этот список, будут блокированы. Чтобы получить подробную информацию о конкретном правиле, нажимаем на значок треугольника. Выбрав правило и нажав кнопку Edit, его можно отредактировать. Окно Edit rule содержит 4 вкладки, большинство параметров заблокированы, и изменять их нельзя. При помощи имеющихся настроек можно, например, разрешить только зашифрованные соединения, указать конкретный локальный и удаленный IP-адрес, привязав к строго определенным узлам. В результате получаем список правил, настроенных под конкретный сервер.
В следующей секции Registry Setting настраивается несколько параметров реестра, определяющих политики на уровне приложений и протоколов. Например, можно предъявить требования к операционным системам, подключающимся к серверу, разрешенные методы аутентификации для входящих и исходящих соединений. Перейдя в раздел Audit Policy, выбираем нужный уровень аудита (отключен, аудит успешной или заблокированной активности). Предлагаемые параметры подходят для большинства случаев. Далее сохраняем настройки в XML файл. При необходимости можно добавить к созданным политикам имеющиеся шаблоны безопасности, установив приоритет правил. И определяемся, нужно ли применять созданные политики по окончании работы мастера. Вот и все.
Также следует знать об утилите командной строки scwcmd.exe, при помощи которой можно просмотреть, проанализировать, настроить созданные политики, или произвести откат. Созданный XML файл политик можно открыть в Блокноте, но разбираться с установками в таком виде очень неудобно. Чтобы просмотреть политики в SCW Viewer, вводим «scwcmd.exe view /x:test file.xml». Использовав ключ transform, можно преобразовать политику в объект групповой политики (GPO). Но здесь следует быть очень осторожным. Если, например, в политике есть правила, ограничивающие работу по некоторому протоколу только с определенным IP-адресом, то при ее применении к другим компьютерам подобное правило может дать непредсказуемый результат.
В статье описаны лишь первые шаги, которые требуется сделать администратору, чтобы настроить сервер и повысить его безопасность. Будь внимателен: каждая установленная роль, каждый компонент имеет специфические настройки, влияющие на безопасность системы. Дальнейшие действия зависят от наличия и структуры доменной среды.
INFO
- Чтобы локализовать интерфейс, следует установить пакет многоязычного интерфейса пользователя для Win2k8, который можно свободно скачать с сайта корпорации (доступен для платформ x86 и x64, для Itanium пока нет поддержки великого и могучего).
- Конфигурационный файл загрузчика Win2k8 можно отредактировать при помощи утилиты bcdedit.exe или более интуитивно понятных VistaBootPRO (www.vistabootpro.org) или EasyBCD (neosmart.net/dl.php?id=1).
- Не забудь настроить параметры управления питанием в Control Panel -> Power Options.
- Процедура загрузки сервера с Win2k8: Bios -> Master Boot Record -> Boot Sector -> Windows Boot Manager -> Чтение из BCD -> Поиск файла гибернации -> Загрузка winload.exe -> Загрузка ntoskrnl.exe -> Загрузка smss.exe -> Загрузка winlogon.exe -> Загрузка служб -> Вход в систему (Login interface).
WWW
- В статье не затронуты групповые политики и новый инструмент GPOAccelerator, позволяющий настроить GPO в соответствии с рекомендациями Windows Server 2008 Security Guide: technet.microsoft.com/en-us/library/cc264463.aspx.
WARNING
- Рекомендуется накатывать последние обновления всякий раз перед добавлением роли или установкой компонента.
Статья опубликована в июньском номере журнала «Xakep» за 2008 год.