Windows Server 2008 – bezpečně v praxi

Již poměrně dlouho před oficiálním uvedením serverového operačního systému Windows Server 2008 byla společností Microsoft nastavena laťka vysokého očekávání. Dnes se dá říci, že nový serverový systém přináší řadu technologických změn.

Autor: Ladislav Šolc, Solutions Architect
 

Některé z těchto změn jsou zcela zásadní a jiné jen kosmetické. Nový server také přináší poměrně vysoké nároky na znalost prostředí, a proto bude často nutné použít staronového španělského přítele, jehož jméno zní Manual.

Zajímavou oblastí je samozřejmě bezpečnost a technologie s ní spojené. Tento článek tedy zahajuje sérii o bezpečnosti ve Windows Server 2008, kde se pokusím ukázat na typických scénářích, jaké může být praktické použití některých zajímavých novinek.

Pro začátek a ilustraci jsem zvolil scénář pobočkového serveru, který bude plnit role řadiče domény sdílení souborů. Pro náš případ předpokládejme, že již existuje plně funkční doména v centrále a bezproblémová Active Directory.

Co je problémem pobočkových serverů?

Odpovědí na tuto otázku je samozřejmě více, ale velmi často se potkávám se společnými bolestmi. Servery nejsou dostatečně fyzicky zabezpečeny, je třeba je spravovat výhradně vzdáleně a času na bezpečnostní záplatování je málo.

Nyní se podíváme na to, co může znamenat implementace takového řešení na platformě Windows Server 2008 a jak řeší výše uvedené problémy.

Postupně projdeme následujícími kroky:

1. Instalace zdravého jádra – Server Core
2. Bez vzdálené správy ani ránu – Windows Remote Shell (WinRS)
3. Šifrování pevných disků – Bitlocker
4. Čtení na dlouhé večery – Read Only Domain Controler (RODC)
5. Tak nám ten server přeci jen zmizel – RODC recovery

Co je server Core?

Jednoduše řečeno, jde o jednu z podob instalace, která je velmi jednoduchá a rychlá. Výsledek? Dojde k tomu, že po instalaci skončíte jen s oknem příkazové řádky, jak je vidět na obrázku číslo 1.

Klepněte pro větší obrázek

Pokud tedy při instalaci zvolíte možnost Windows Server Core, budou instalovány jen základní komponenty systému a základní služby nutné pro jeho běh. Vše ostatní se doplní až podle rolí, které přidáte po instalaci.

V systému bude aktivní TCP/IP, které očekává IP konfiguraci od DHCP, přístup k souborovému systému, komponenty RPC a knihovny pro běh serveru v režimu Core. Server je zabezpečen a připraven pro aktivaci dalších služeb.

Často se také tvrdí, že se neinstaluje grafické prostředí (GUI), ale to není zcela přesné. GUI se instaluje, ale jen v omezené verzi. Je k dispozici Task Manager, Notepad a podobně.

K čemu je server Core? Bezpečnější v základu.

Microsoft uvádí, že díky tomu, že na serveru neběží procesy, které nejsou nezbytné, je možné snížit počet bezpečnostních aktualizací až o 60 procent. Díky absenci Internet Exploreru, Windows Media Playeru a .NET Frameworku, je to uvěřitelné tvrzení. Prostor pro úspěšný útok je samozřejmě podstatně menší než u „velkého“, standardně instalovaného, serveru.

Zároveň je však možné aktivovat a instalovat role, které jsou ideální pro běh v pobočkách i tam, kde je server vyhrazen pro konkrétní použití. Jde například o Active Directory, DNS, DHCP, serverové a tiskové služby, vizualizace a podobně. A to je přesně náš případ.

Nainstalováno. Co dál?

Příkazová řádka je pěkná věc, ale chtělo by to provést prvotní konfiguraci a zapnout vzdálenou správu. Zde si přijdou na své ti z vás, kteří mají černobílé okno v krvi. Přichází na řadu shell. Základní konfigurace statické IP se dá provést například takto:

netsh interface ipv4 show interfaces
netsh interface ipv4 set address name="2" source=static address=10.1.0.38 mask=255.255.255.0 gateway=10.1.0.33
netsh interface ipv4 add dnsserver name="2" address=10.1.0.33 index=1

Potom, co je provedena konfigurace IP, je možné server přejmenovat. Instalace automaticky vygeneruje jméno, které není zcela použitelné. V příkazové řádce ho zjistíte příkazem: hostname, přejmenování potom takto:
netdom renamecomputer <původníjméno> /NewName:WS08RODC
a jeden rychlý restart k tomu:
shutdown /r /t 0

Po restartu je server připraven pro instalaci dalších rolí. Nedá se však vzdáleně spravovat. Tuto možnost je třeba také povolit. Začneme tím, že se povolí přístup pomocí terminálových služeb. K tomuto účelu je nutné spustit následující skript:
Cscript C:\Windows\System32\Scregedit.wsf /ar 0

Dále je třeba zapnout možnost správy pomocí Windows Remote Shell. K tomu vedena cesta přes následující příkaz:
Winrm quickconfig

Winrm s přepínačem quickconfig zajistí zapnutí vzdálené správy, konfiguraci na portu 80 a přidání výjimky do konfigurace firewallu.

Pokračování příště…

Nyní je tedy server připraven, běží s minimálním počtem souborů i rolí, je možné ho vzdáleně spravovat přes RDP nebo WinRS. Na to, jak se konfiguruje šifrování disků a zapíná role řadiče domény, který funguje jen v režimu čtení, se podíváme v dalším díle. Tento díl již vyjde na TechnetBlogu

Více o tématu zabezpečení naleznete také na
TechNet Blogu.

 

Články ze série Microsoft TechNet nevytváří redakce Živě.cz, ale partneři programu Microsoft TechNet. Jsou publikovány v rámci mediálního partnerství Živě.cz a společnosti Microsoft.

Témata článku: Microsoft, Windows, Shell, Interface, DHCP, Manual

4 komentáře

Nejnovější komentáře

  • Booster13 11. 11. 2008 22:18:30
    asi ho proste nema :)) alebo defaultna konfigurace lite bez siete..
  • Milan Tomeš 18. 4. 2008 6:58:20
    To by mě teda zajímalo, jak bude vypadat nouzový režim nouzového režimu :-D
  • Přemysl Vavroušek 16. 4. 2008 21:27:59
    Nedá i to, ale položím otázku. Čímpak, že se liší speciální Core verze...
Určitě si přečtěte

Kde nejlevněji uložit 1 TB dat: Srovnali jsme aktuální ceny cloudových úložišť

Kde nejlevněji uložit 1 TB dat: Srovnali jsme aktuální ceny cloudových úložišť

** Srovnali jsme známá cloudová úložiště podle toho, kolik měsíčně zaplatíte za 1TB ** Ceny se pohybují od dvou stovek až po tisíc korun ** Google umožní uložit až 30 TB dat

18.  3.  2017 | Stanislav Janů | 115

Špičkoví hackeři útočili na prohlížeče. Chrome odolal, ale Edge je tragédie

Špičkoví hackeři útočili na prohlížeče. Chrome odolal, ale Edge je tragédie

** Do Vancouveru se sjeli hackeři ** Soutěžili v útocích na prohlížeče ** Chrome odolal, ale Edge to projel na celé čáře

22.  3.  2017 | Jakub Čížek | 78

Pojďme programovat elektroniku: Meteostanice, která bude díky Sigfoxu posílat stav počasí třeba z vrcholu Sněžky

Pojďme programovat elektroniku: Meteostanice, která bude díky Sigfoxu posílat stav počasí třeba z vrcholu Sněžky

** Příští roky budou ve znamení internetu věcí ** Podívali jsme se podrobně na síť Sigfox ** Takhle s ní komunikují krabičky z celé Evropy

19.  3.  2017 | Jakub Čížek | 18

Obří Mechroboti jsou realitou, měří čtyři metry a mají hmotnost přes 1,5 tuny

Obří Mechroboti jsou realitou, měří čtyři metry a mají hmotnost přes 1,5 tuny

** Jihokorejská společnost Hankook Mirae Technology vyrábí obří Mechroboty ** Jsou určené pro ovládání člověkem uvnitř ** V prodeji se objeví koncem tohoto roku za 200 milionů korun

20.  3.  2017 | Karel Javůrek | 18


Aktuální číslo časopisu Computer

Supertéma o počítačové bezpečnosti

AMD Ryzen přichází

Velké testy kinoprojektorů a levných sluchátek

Příslušenství do USB-C