Блокировка и безопасность

В ОС Windows Server 2008 есть много возможностей, благодаря которым повышается защищенность системы и соответствие ее требованиям безопасности. Ниже перечислены некоторые из ключевых нововведений.

Защита доступа к сети

Технология NAP (Network Access Protection — защита доступа к сети) предотвращает доступ к сети с компьютеров, не отвечающих требованиям безопасности, и тем самым защищает сеть организации от компрометации. Технология NAP используется для настройки и реализации требований безопасности, которым должны соответствовать компьютеры пользователей. С ее помощью на компьютер, не отвечающий требованиям, устанавливаются необходимые обновления или переустанавливаются соответствующие компоненты, и только после этого он может получить доступ к сети организации. С помощью технологии NAP администраторы могут настроить параметры политик соответствия требованиям безопасности. К таким требованиям могут относиться требования установки на компьютер необходимого ПО, требования установки необходимых обновлений и требования к конфигурации компьютеров, которые подключаются к сети организации.

Служба NAP производит оценку соответствия компьютеров заданным требованиям и ограничивает доступ к сети в случае, если компьютер им не отвечает. В приведении компьютера в соответствие требованиям безопасности для предоставления ему полноценного доступа к сети участвуют как серверные компоненты, так и компоненты клиентской системы. Если выявлено, что клиентский компьютер не отвечает требованиям безопасности, ему может быть отказано в доступе к сети, или на него могут быть немедленно установлены исправления, необходимые для приведения его в соответствие этим требованиям.

Для принуждения соответствия компьютеров требованиям безопасности в службе NAP используются возможности таких технологий доступа к сети, как протоколы IPSec и 802.1X, принудительное использование виртуальных частных сетей для маршрутизации и удаленного доступа и принудительное использование протокола DHCP.

Режим повышенной безопасности брандмауэра Windows

Встроенный в ОС Windows Server 2008 брандмауэр Windows в режиме повышенной безопасности является индивидуальным брандмауэром с отслеживанием состояний соединений, который может пропускать или блокировать сетевой трафик в соответствии с заданными параметрами и запущенными приложениями. Такой режим работы позволяет защитить сеть от вредоносных программ и действий пользователей.

Одной из новых возможностей брандмауэра является перехват как входящего, так и исходящего трафика. Сетевой администратор может, к примеру, настроить брандмауэр Windows таким образом, чтобы за некоторыми исключениями заблокировать исходящий трафик, отправляемый на определенные порты, например на наиболее распространенные порты, используемые компьютерными вирусами, или заблокировать исходящий трафик, отправляемый на определенные адреса и содержащий конфиденциальные или нежелательные данные. Это позволяет защитить компьютер от вирусов, распространяемых по сети, а также защищает сеть от вирусов, которые могут попытаться распространить себя с зараженной системы.

Так как количество настраиваемых параметров в брандмауэре Windows увеличилось, для упрощения администрирования брандмауэра была добавлена оснастка управления брандмауэром Windows в режиме повышенной безопасности для консоли управления MMC. Эта новая оснастка упрощает удаленную настройку и управление брандмауэром Windows на клиентских рабочих станциях и серверах. Раньше для этого приходилось использовать подключение к удаленному рабочему столу.

В предыдущих версиях ОС Windows Server настройка брандмауэра Windows производилась отдельно от настройки параметров протокола IPsec. Так как и индивидуальный брандмауэр, и протокол IPsec могут блокировать или разрешать входящие соединения, правила протокола IPsec и исключения брандмауэра могут перекрываться или противоречить друг другу. В новом брандмауэре Windows в ОС Windows Server 2008 настройка обеих сетевых служб объединена общим графическим пользовательским интерфейсом и командами командной строки. Такая интеграция настройки брандмауэра и параметров протокола IPsec упрощает настройку этих служб и помогает предотвратить перекрывающиеся или противоречивые правила.

Шифрование диска BitLocker

Шифрование диска BitLocker является новой ключевой возможностью, которая доступна в ОС Windows Server 2008, а также в выпусках Windows Vista Enterprise и Windows Vista Ultimate. Эта возможность помогает защищать серверы, рабочие станции и мобильные компьютеры. С помощью технологии BitLocker шифруется содержимое диска. Злоумышленник не сможет получить доступ к зашифрованному содержимому, осуществив загрузку операционной системы с другого раздела, обойдя защиты файловой системы с помощью программных средств или подключив жесткий диск к другому компьютеру.

Защита данных с помощью шифрования BitLocker усиливается за счет шифрования системного раздела и проверки целостности компонентов, используемых на раннем этапе загрузки. Полностью шифруется системный раздел, включая файл подкачки и файл режима гибернации. Благодаря этому усиливается защищенность удаленных серверов в филиалах. Шифрование BitLocker позволяет предотвратить утечку или раскрытие данных с утерянного, украденного или неправильно утилизированного компьютера. Эта технология шифрования также помогает организациям исполнять государственные постановления и законы, например, закон Сарбэйнса-Оксли и HIPAA, в которых требуется использование высоких стандартов обеспечения безопасности и защиты данных.

Инфраструктура Enterprise PKI (PKIView)

В инфраструктуру открытого ключа (PKI) в ОС Windows Server 2008 и Windows Vista был внесен ряд усовершенствований. Была улучшена управляемость всеми аспектами инфраструктуры Windows PKI, переработаны службы отзыва сертификатов и уменьшена контактная зона процесса регистрации. К усовершенствованиям инфраструктуры PKI относится следующее.

Инфраструктура Enterprise PKI (PKIView). Средство PKIView, ранее являвшееся частью комплекта ресурсов для ОС Windows Server 2003 и называвшееся PKI Health, теперь является оснасткой консоли MMC для ОС Windows Server 2008. Оно используется для анализа состояния центров сертификации и просмотра детальных сведений о сертификатах центров сертификации, опубликованных в службе сертификации Active Directory.

Протокол OCSP. Сетевой ответчик, работающий на основе протокола OCSP (Online Certificate Status Protocol — протокол сетевого состояния сертификата), может использоваться для управления информацией о состоянии отзыва сертификатов и распространения этой информации в случаях, когда использование традиционных списков отзыва сертификатов не подходит. Сетевые ответчики могут быть настроены на одном компьютере или в массиве сетевых ответчиков.

Служба NDES. Служба NDES (Network Device Enrollment Service — служба подачи заявок на регистрацию сетевых устройств) в ОС Windows Server 2008 — реализация корпорацией Майкрософт протокола SCEP (Simple Certificate Enrollment Protocol — простой протокол подачи заявки на сертификат). Этот протокол позволяет программам, работающим на маршрутизаторах, коммутаторах и других сетевых устройствах, и неспособным пройти проверку подлинности в сети другим способом, отправить запрос на получение сертификата x509 от центра сертификации.

Веб-регистрация. По сравнению с предыдущей версией новый элемент управления веб-регистрацией более защищен, его легче программировать с помощью сценариев и обновлять.

Параметры PKI в групповых политиках. Параметры сертификатов в групповых политиках позволяют администраторам централизованно управлять настройкой сертификатов для всех компьютеров в домене.

Служба CNG

Служба CNG (Cryptography Next Generation — новое поколение криптографии) предоставляет гибкую платформу для разработки шифрования и позволяет ИТ-специалистам создавать, обновлять и использовать собственные алгоритмы шифрования в таких приложениях и технологиях, как служба сертификации Active Directory, технологии SSL и IPsec. Служба CNG реализует алгоритмы шифрования, цифровых подписей, обмена ключами и хэширования, перечисленные в своде правил Suite B Агентства национальной безопасности США.

Служба CNG предоставляет набор интерфейсов API для выполнения основных операций, таких как создание, сохранение и получение ключей шифрования. Также поддерживается установка и использования дополнительных поставщиков шифрования. Благодаря платформе CNG разработчики и организации могут использовать собственные алгоритмы шифрования или реализации стандартных алгоритмов.

Поддерживается текущий набор алгоритмов CryptoAPI версии 1.0, а также алгоритмы шифрования на основе эллиптических кривых (ECC). Поддержка определенных алгоритмов ECC требуется для соответствия своду правил Suite B Агентства национальной безопасности США.

Контроллеры домена только для чтения

Контроллер RODC (Read-Only Domain Controller — контроллер домена только для чтения) — это новый тип контроллера домена, который доступен в ОС Windows Server 2008 и предназначен для установки в филиалах. Контроллер RODC позволяет уменьшить риск установки контроллера домена в удаленных филиалах или в других местах, где невозможно гарантировать физическую защищенность сервера.

На таком контроллере домена хранятся все объекты и атрибуты службы каталогов Active Directory, которые хранятся на обычном контроллере домена, за исключением паролей учетных записей. Однако пользователи не могут сохранять изменения на контроллере RODC. Так как изменения не записываются непосредственно на контроллер RODC, и, следовательно, не могут возникнуть локально, контроллерам домена, которые поддерживают запись изменений и являются партнерами по репликации не нужно запрашивать изменения с контроллеров RODC. Разделение административных ролей позволяет делегировать любому пользователю домена права локального администратора контроллера RODC без необходимости предоставлять этому пользователю права в самом домене или на других контроллерах домена.

Изоляция серверов и доменов

В сети, построенной на основе ОС Microsoft Windows, администраторы могут логически изолировать серверные и доменные ресурсы для обеспечения доступа к ним только с авторизованных компьютеров, прошедших проверку подлинности. Например, внутри существующей физической сети можно создать логическую сеть, в которой у компьютеров будет общий набор требований для организации безопасных взаимодействий. Каждый компьютер в этой логически изолированной подсети должен предоставить учетные данные для прохождения проверки подлинности на других компьютерах этой изолированной подсети.

Изоляция предотвращает неавторизованный доступ компьютеров и программ к ресурсам. Запросы от компьютеров, которые не являются частью изолированной подсети, игнорируются. Изоляция серверов и доменов помогает защитить определенные особо ценные серверы и данные, а также защитить контролируемые компьютеры от доступа неконтролируемых или посторонних компьютеров и пользователей.

В сети может использоваться два типа изоляции.

Изоляция серверов. Такой вариант изоляции подразумевает настройку политик IPsec на определенных серверах таким образом, чтобы принимались соединения только от компьютеров, прошедших проверку подлинности. Например, можно настроить сервер баз данных таким образом, чтобы он принимал соединения только от сервера веб-приложений.

Изоляция доменов. Чтобы изолировать домен, администраторы могут воспользоваться членством компьютеров в домене Active Directory и настроить эти компьютеры таким образом, чтобы они принимали только безопасные соединения, прошедшие проверку подлинности, и только от компьютеров, которые тоже являются членами этого домена. Изолированная сеть в таком случае состоит только из компьютеров, являющихся членами домена. При изоляции доменов для защиты данных, пересылаемых между всеми членами домена, включая все клиентские компьютеры и серверы, используется политика IPsec.