Windows Server 2008 – bezpečně v praxi

Již poměrně dlouho před oficiálním uvedením serverového operačního systému Windows Server 2008 byla společností Microsoft nastavena laťka vysokého očekávání. Dnes se dá říci, že nový serverový systém přináší řadu technologických změn.

Autor: Ladislav Šolc, Solutions Architect
 

Některé z těchto změn jsou zcela zásadní a jiné jen kosmetické. Nový server také přináší poměrně vysoké nároky na znalost prostředí, a proto bude často nutné použít staronového španělského přítele, jehož jméno zní Manual.

Zajímavou oblastí je samozřejmě bezpečnost a technologie s ní spojené. Tento článek tedy zahajuje sérii o bezpečnosti ve Windows Server 2008, kde se pokusím ukázat na typických scénářích, jaké může být praktické použití některých zajímavých novinek.

Pro začátek a ilustraci jsem zvolil scénář pobočkového serveru, který bude plnit role řadiče domény sdílení souborů. Pro náš případ předpokládejme, že již existuje plně funkční doména v centrále a bezproblémová Active Directory.

Co je problémem pobočkových serverů?

Odpovědí na tuto otázku je samozřejmě více, ale velmi často se potkávám se společnými bolestmi. Servery nejsou dostatečně fyzicky zabezpečeny, je třeba je spravovat výhradně vzdáleně a času na bezpečnostní záplatování je málo.

Nyní se podíváme na to, co může znamenat implementace takového řešení na platformě Windows Server 2008 a jak řeší výše uvedené problémy.

Postupně projdeme následujícími kroky:

1. Instalace zdravého jádra – Server Core
2. Bez vzdálené správy ani ránu – Windows Remote Shell (WinRS)
3. Šifrování pevných disků – Bitlocker
4. Čtení na dlouhé večery – Read Only Domain Controler (RODC)
5. Tak nám ten server přeci jen zmizel – RODC recovery

Co je server Core?

Jednoduše řečeno, jde o jednu z podob instalace, která je velmi jednoduchá a rychlá. Výsledek? Dojde k tomu, že po instalaci skončíte jen s oknem příkazové řádky, jak je vidět na obrázku číslo 1.

Klepněte pro větší obrázek

Pokud tedy při instalaci zvolíte možnost Windows Server Core, budou instalovány jen základní komponenty systému a základní služby nutné pro jeho běh. Vše ostatní se doplní až podle rolí, které přidáte po instalaci.

V systému bude aktivní TCP/IP, které očekává IP konfiguraci od DHCP, přístup k souborovému systému, komponenty RPC a knihovny pro běh serveru v režimu Core. Server je zabezpečen a připraven pro aktivaci dalších služeb.

Často se také tvrdí, že se neinstaluje grafické prostředí (GUI), ale to není zcela přesné. GUI se instaluje, ale jen v omezené verzi. Je k dispozici Task Manager, Notepad a podobně.

K čemu je server Core? Bezpečnější v základu.

Microsoft uvádí, že díky tomu, že na serveru neběží procesy, které nejsou nezbytné, je možné snížit počet bezpečnostních aktualizací až o 60 procent. Díky absenci Internet Exploreru, Windows Media Playeru a .NET Frameworku, je to uvěřitelné tvrzení. Prostor pro úspěšný útok je samozřejmě podstatně menší než u „velkého“, standardně instalovaného, serveru.

Zároveň je však možné aktivovat a instalovat role, které jsou ideální pro běh v pobočkách i tam, kde je server vyhrazen pro konkrétní použití. Jde například o Active Directory, DNS, DHCP, serverové a tiskové služby, vizualizace a podobně. A to je přesně náš případ.

Nainstalováno. Co dál?

Příkazová řádka je pěkná věc, ale chtělo by to provést prvotní konfiguraci a zapnout vzdálenou správu. Zde si přijdou na své ti z vás, kteří mají černobílé okno v krvi. Přichází na řadu shell. Základní konfigurace statické IP se dá provést například takto:

netsh interface ipv4 show interfaces
netsh interface ipv4 set address name="2" source=static address=10.1.0.38 mask=255.255.255.0 gateway=10.1.0.33
netsh interface ipv4 add dnsserver name="2" address=10.1.0.33 index=1

Potom, co je provedena konfigurace IP, je možné server přejmenovat. Instalace automaticky vygeneruje jméno, které není zcela použitelné. V příkazové řádce ho zjistíte příkazem: hostname, přejmenování potom takto:
netdom renamecomputer <původníjméno> /NewName:WS08RODC
a jeden rychlý restart k tomu:
shutdown /r /t 0

Po restartu je server připraven pro instalaci dalších rolí. Nedá se však vzdáleně spravovat. Tuto možnost je třeba také povolit. Začneme tím, že se povolí přístup pomocí terminálových služeb. K tomuto účelu je nutné spustit následující skript:
Cscript C:\Windows\System32\Scregedit.wsf /ar 0

Dále je třeba zapnout možnost správy pomocí Windows Remote Shell. K tomu vedena cesta přes následující příkaz:
Winrm quickconfig

Winrm s přepínačem quickconfig zajistí zapnutí vzdálené správy, konfiguraci na portu 80 a přidání výjimky do konfigurace firewallu.

Pokračování příště…

Nyní je tedy server připraven, běží s minimálním počtem souborů i rolí, je možné ho vzdáleně spravovat přes RDP nebo WinRS. Na to, jak se konfiguruje šifrování disků a zapíná role řadiče domény, který funguje jen v režimu čtení, se podíváme v dalším díle. Tento díl již vyjde na TechnetBlogu

Více o tématu zabezpečení naleznete také na
TechNet Blogu.

 

Články ze série Microsoft TechNet nevytváří redakce Živě.cz, ale partneři programu Microsoft TechNet. Jsou publikovány v rámci mediálního partnerství Živě.cz a společnosti Microsoft.

Témata článku: Microsoft, Windows, Shell, Interface, DHCP, Manual

4 komentáře

Nejnovější komentáře

  • Booster13 11. 11. 2008 22:18:30
    asi ho proste nema :)) alebo defaultna konfigurace lite bez siete..
  • Milan Tomeš 18. 4. 2008 6:58:20
    To by mě teda zajímalo, jak bude vypadat nouzový režim nouzového režimu :-D
  • Přemysl Vavroušek 16. 4. 2008 21:27:59
    Nedá i to, ale položím otázku. Čímpak, že se liší speciální Core verze...
Určitě si přečtěte

ASUS ZenBook 3 se začal prodávat v Česku. Je ve všem lepší než MacBook, ale bude to stačit?

ASUS ZenBook 3 se začal prodávat v Česku. Je ve všem lepší než MacBook, ale bude to stačit?

** Novinka od Asusu míří přímo proti MacBooku od Applu ** Nabídne daleko více výkonu za stejné peníze

2.  12.  2016 | David Polesný | 130

Sbíječky vyměnili za klávesnice. Nový projekt má za cíl přeučit horníky na programátory

Sbíječky vyměnili za klávesnice. Nový projekt má za cíl přeučit horníky na programátory

** Programátorů je málo a horníků bez práce po uzavření dolu Paskov bude moc ** Problém řeší unikátní projekt ** Pilotní kurz dává naději, že by z horníků mohli být použitelní kodéři

28.  11.  2016 | David Polesný | 79