reklama

Windows Server 2008 – bezpečně v praxi

Již poměrně dlouho před oficiálním uvedením serverového operačního systému Windows Server 2008 byla společností Microsoft nastavena laťka vysokého očekávání. Dnes se dá říci, že nový serverový systém přináší řadu technologických změn.

Autor: Ladislav Šolc, Solutions Architect
 

Některé z těchto změn jsou zcela zásadní a jiné jen kosmetické. Nový server také přináší poměrně vysoké nároky na znalost prostředí, a proto bude často nutné použít staronového španělského přítele, jehož jméno zní Manual.

Zajímavou oblastí je samozřejmě bezpečnost a technologie s ní spojené. Tento článek tedy zahajuje sérii o bezpečnosti ve Windows Server 2008, kde se pokusím ukázat na typických scénářích, jaké může být praktické použití některých zajímavých novinek.

Pro začátek a ilustraci jsem zvolil scénář pobočkového serveru, který bude plnit role řadiče domény sdílení souborů. Pro náš případ předpokládejme, že již existuje plně funkční doména v centrále a bezproblémová Active Directory.

Co je problémem pobočkových serverů?

Odpovědí na tuto otázku je samozřejmě více, ale velmi často se potkávám se společnými bolestmi. Servery nejsou dostatečně fyzicky zabezpečeny, je třeba je spravovat výhradně vzdáleně a času na bezpečnostní záplatování je málo.

Nyní se podíváme na to, co může znamenat implementace takového řešení na platformě Windows Server 2008 a jak řeší výše uvedené problémy.

Postupně projdeme následujícími kroky:

1. Instalace zdravého jádra – Server Core
2. Bez vzdálené správy ani ránu – Windows Remote Shell (WinRS)
3. Šifrování pevných disků – Bitlocker
4. Čtení na dlouhé večery – Read Only Domain Controler (RODC)
5. Tak nám ten server přeci jen zmizel – RODC recovery

Co je server Core?

Jednoduše řečeno, jde o jednu z podob instalace, která je velmi jednoduchá a rychlá. Výsledek? Dojde k tomu, že po instalaci skončíte jen s oknem příkazové řádky, jak je vidět na obrázku číslo 1.

Klepněte pro větší obrázek

Pokud tedy při instalaci zvolíte možnost Windows Server Core, budou instalovány jen základní komponenty systému a základní služby nutné pro jeho běh. Vše ostatní se doplní až podle rolí, které přidáte po instalaci.

V systému bude aktivní TCP/IP, které očekává IP konfiguraci od DHCP, přístup k souborovému systému, komponenty RPC a knihovny pro běh serveru v režimu Core. Server je zabezpečen a připraven pro aktivaci dalších služeb.

Často se také tvrdí, že se neinstaluje grafické prostředí (GUI), ale to není zcela přesné. GUI se instaluje, ale jen v omezené verzi. Je k dispozici Task Manager, Notepad a podobně.

K čemu je server Core? Bezpečnější v základu.

Microsoft uvádí, že díky tomu, že na serveru neběží procesy, které nejsou nezbytné, je možné snížit počet bezpečnostních aktualizací až o 60 procent. Díky absenci Internet Exploreru, Windows Media Playeru a .NET Frameworku, je to uvěřitelné tvrzení. Prostor pro úspěšný útok je samozřejmě podstatně menší než u „velkého“, standardně instalovaného, serveru.

Zároveň je však možné aktivovat a instalovat role, které jsou ideální pro běh v pobočkách i tam, kde je server vyhrazen pro konkrétní použití. Jde například o Active Directory, DNS, DHCP, serverové a tiskové služby, vizualizace a podobně. A to je přesně náš případ.

Nainstalováno. Co dál?

Příkazová řádka je pěkná věc, ale chtělo by to provést prvotní konfiguraci a zapnout vzdálenou správu. Zde si přijdou na své ti z vás, kteří mají černobílé okno v krvi. Přichází na řadu shell. Základní konfigurace statické IP se dá provést například takto:

netsh interface ipv4 show interfaces
netsh interface ipv4 set address name="2" source=static address=10.1.0.38 mask=255.255.255.0 gateway=10.1.0.33
netsh interface ipv4 add dnsserver name="2" address=10.1.0.33 index=1

Potom, co je provedena konfigurace IP, je možné server přejmenovat. Instalace automaticky vygeneruje jméno, které není zcela použitelné. V příkazové řádce ho zjistíte příkazem: hostname, přejmenování potom takto:
netdom renamecomputer <původníjméno> /NewName:WS08RODC
a jeden rychlý restart k tomu:
shutdown /r /t 0

Po restartu je server připraven pro instalaci dalších rolí. Nedá se však vzdáleně spravovat. Tuto možnost je třeba také povolit. Začneme tím, že se povolí přístup pomocí terminálových služeb. K tomuto účelu je nutné spustit následující skript:
Cscript C:\Windows\System32\Scregedit.wsf /ar 0

Dále je třeba zapnout možnost správy pomocí Windows Remote Shell. K tomu vedena cesta přes následující příkaz:
Winrm quickconfig

Winrm s přepínačem quickconfig zajistí zapnutí vzdálené správy, konfiguraci na portu 80 a přidání výjimky do konfigurace firewallu.

Pokračování příště…

Nyní je tedy server připraven, běží s minimálním počtem souborů i rolí, je možné ho vzdáleně spravovat přes RDP nebo WinRS. Na to, jak se konfiguruje šifrování disků a zapíná role řadiče domény, který funguje jen v režimu čtení, se podíváme v dalším díle. Tento díl již vyjde na TechnetBlogu

Více o tématu zabezpečení naleznete také na
TechNet Blogu.

 

Články ze série Microsoft TechNet nevytváří redakce Živě.cz, ale partneři programu Microsoft TechNet. Jsou publikovány v rámci mediálního partnerství Živě.cz a společnosti Microsoft.

Témata článku: Microsoft, Windows, Shell, Interface, DHCP, Manual

4 komentáře

Nejnovější komentáře

  • Booster13 11. 11. 2008 22:18:30
    asi ho proste nema :)) alebo defaultna konfigurace lite bez siete..
  • Milan Tomeš 18. 4. 2008 6:58:20
    To by mě teda zajímalo, jak bude vypadat nouzový režim nouzového režimu :-D
  • Přemysl Vavroušek 16. 4. 2008 21:27:59
    Nedá i to, ale položím otázku. Čímpak, že se liší speciální Core verze...
reklama
Určitě si přečtěte

Microsoft: Zbavte se už konečně zastaralých a děravých Windows 7

Microsoft: Zbavte se už konečně zastaralých a děravých Windows 7

** Microsoft pomalu začíná kritizovat svůj nejpopulárnější OS ** Chce konečně dostat podniky na Desítky ** Bezpečnostní podpora Sedmiček vydrží ještě necelé tři roky

17.  1.  2017 | Jakub Čížek | 334

Pojďme programovat elektroniku: Sestavíme si mobil a pošleme SMS

Pojďme programovat elektroniku: Sestavíme si mobil a pošleme SMS

** Kolik stál váš mobilní telefon? ** Základní GSM modem koupíte za stovku ** Umí telefonovat, posílat SMS a zvládne i GPRS

13.  1.  2017 | Jakub Čížek | 27

Český státní blacklist už funguje. Ministerstvo financí se pochlubilo s detaily

Český státní blacklist už funguje. Ministerstvo financí se pochlubilo s detaily

** Dva týdny po Novém roce zajím zeje prázdnotou ** Ministerstvo vydalo metodický pokyn ** Takhle to bude fungovat v praxi

16.  1.  2017 | Jakub Čížek | 49


Aktuální číslo časopisu Computer

99 nejlepších programů pro váš počítač

Zvykejte si na umělou inteligenci

Velké testy PC zdrojů a gamepadů

Alternativní zdroje energie

reklama
reklama