Windows Server 2008 – bezpečně v praxi

Již poměrně dlouho před oficiálním uvedením serverového operačního systému Windows Server 2008 byla společností Microsoft nastavena laťka vysokého očekávání. Dnes se dá říci, že nový serverový systém přináší řadu technologických změn.
Windows Server 2008 – bezpečně v praxi

Autor: Ladislav Šolc, Solutions Architect
 

Některé z těchto změn jsou zcela zásadní a jiné jen kosmetické. Nový server také přináší poměrně vysoké nároky na znalost prostředí, a proto bude často nutné použít staronového španělského přítele, jehož jméno zní Manual.

Zajímavou oblastí je samozřejmě bezpečnost a technologie s ní spojené. Tento článek tedy zahajuje sérii o bezpečnosti ve Windows Server 2008, kde se pokusím ukázat na typických scénářích, jaké může být praktické použití některých zajímavých novinek.

Pro začátek a ilustraci jsem zvolil scénář pobočkového serveru, který bude plnit role řadiče domény sdílení souborů. Pro náš případ předpokládejme, že již existuje plně funkční doména v centrále a bezproblémová Active Directory.

Co je problémem pobočkových serverů?

Odpovědí na tuto otázku je samozřejmě více, ale velmi často se potkávám se společnými bolestmi. Servery nejsou dostatečně fyzicky zabezpečeny, je třeba je spravovat výhradně vzdáleně a času na bezpečnostní záplatování je málo.

Nyní se podíváme na to, co může znamenat implementace takového řešení na platformě Windows Server 2008 a jak řeší výše uvedené problémy.

Postupně projdeme následujícími kroky:

1. Instalace zdravého jádra – Server Core
2. Bez vzdálené správy ani ránu – Windows Remote Shell (WinRS)
3. Šifrování pevných disků – Bitlocker
4. Čtení na dlouhé večery – Read Only Domain Controler (RODC)
5. Tak nám ten server přeci jen zmizel – RODC recovery

Co je server Core?

Jednoduše řečeno, jde o jednu z podob instalace, která je velmi jednoduchá a rychlá. Výsledek? Dojde k tomu, že po instalaci skončíte jen s oknem příkazové řádky, jak je vidět na obrázku číslo 1.

Klepněte pro větší obrázek

Pokud tedy při instalaci zvolíte možnost Windows Server Core, budou instalovány jen základní komponenty systému a základní služby nutné pro jeho běh. Vše ostatní se doplní až podle rolí, které přidáte po instalaci.

V systému bude aktivní TCP/IP, které očekává IP konfiguraci od DHCP, přístup k souborovému systému, komponenty RPC a knihovny pro běh serveru v režimu Core. Server je zabezpečen a připraven pro aktivaci dalších služeb.

Často se také tvrdí, že se neinstaluje grafické prostředí (GUI), ale to není zcela přesné. GUI se instaluje, ale jen v omezené verzi. Je k dispozici Task Manager, Notepad a podobně.

K čemu je server Core? Bezpečnější v základu.

Microsoft uvádí, že díky tomu, že na serveru neběží procesy, které nejsou nezbytné, je možné snížit počet bezpečnostních aktualizací až o 60 procent. Díky absenci Internet Exploreru, Windows Media Playeru a .NET Frameworku, je to uvěřitelné tvrzení. Prostor pro úspěšný útok je samozřejmě podstatně menší než u „velkého“, standardně instalovaného, serveru.

Zároveň je však možné aktivovat a instalovat role, které jsou ideální pro běh v pobočkách i tam, kde je server vyhrazen pro konkrétní použití. Jde například o Active Directory, DNS, DHCP, serverové a tiskové služby, vizualizace a podobně. A to je přesně náš případ.

Nainstalováno. Co dál?

Příkazová řádka je pěkná věc, ale chtělo by to provést prvotní konfiguraci a zapnout vzdálenou správu. Zde si přijdou na své ti z vás, kteří mají černobílé okno v krvi. Přichází na řadu shell. Základní konfigurace statické IP se dá provést například takto:

netsh interface ipv4 show interfaces
netsh interface ipv4 set address name="2" source=static address=10.1.0.38 mask=255.255.255.0 gateway=10.1.0.33
netsh interface ipv4 add dnsserver name="2" address=10.1.0.33 index=1

Potom, co je provedena konfigurace IP, je možné server přejmenovat. Instalace automaticky vygeneruje jméno, které není zcela použitelné. V příkazové řádce ho zjistíte příkazem: hostname, přejmenování potom takto:
netdom renamecomputer <původníjméno> /NewName:WS08RODC
a jeden rychlý restart k tomu:
shutdown /r /t 0

Po restartu je server připraven pro instalaci dalších rolí. Nedá se však vzdáleně spravovat. Tuto možnost je třeba také povolit. Začneme tím, že se povolí přístup pomocí terminálových služeb. K tomuto účelu je nutné spustit následující skript:
Cscript C:\Windows\System32\Scregedit.wsf /ar 0

Dále je třeba zapnout možnost správy pomocí Windows Remote Shell. K tomu vedena cesta přes následující příkaz:
Winrm quickconfig

Winrm s přepínačem quickconfig zajistí zapnutí vzdálené správy, konfiguraci na portu 80 a přidání výjimky do konfigurace firewallu.

Pokračování příště…

Nyní je tedy server připraven, běží s minimálním počtem souborů i rolí, je možné ho vzdáleně spravovat přes RDP nebo WinRS. Na to, jak se konfiguruje šifrování disků a zapíná role řadiče domény, který funguje jen v režimu čtení, se podíváme v dalším díle. Tento díl již vyjde na TechnetBlogu

Více o tématu zabezpečení naleznete také na
TechNet Blogu.

 

Články ze série Microsoft TechNet nevytváří redakce Živě.cz, ale partneři programu Microsoft TechNet. Jsou publikovány v rámci mediálního partnerství Živě.cz a společnosti Microsoft.

Témata článku: Microsoft, Windows, Shell, Interface, DHCP, Manual

4 komentáře

Nejnovější komentáře

  • Booster13 11. 11. 2008 22:18:30
    asi ho proste nema :)) alebo defaultna konfigurace lite bez siete..
  • Milan Tomeš 18. 4. 2008 6:58:20
    To by mě teda zajímalo, jak bude vypadat nouzový režim nouzového režimu :-D
  • Přemysl Vavroušek 16. 4. 2008 21:27:59
    Nedá i to, ale položím otázku. Čímpak, že se liší speciální Core verze...
Určitě si přečtěte

Nové úlovky kamer Googlu: Šmírovačka na Street View nepřestává bavit

Nové úlovky kamer Googlu: Šmírovačka na Street View nepřestává bavit

Google stále fotí celý svět do své služby Street View. A novodobou zábavou je hledat v mapách Googlu vtipné záběry. Podívejte se na výběr nejlepších!

19.  5.  2017 | redakce | 38

WannaCry se neměl vůbec rozšířit. Stačilo, abychom používali Windows Update

WannaCry se neměl vůbec rozšířit. Stačilo, abychom používali Windows Update

** WannaCry se masivně rozšířil kvůli zranitelnosti ve Windows ** Ta mu umožnila, aby se pokusil sám napadnout další počítače ** Jenže ta chyba už je dva měsíce opravená!

22.  5.  2017 | Jakub Čížek | 94

Nastal čas znovu vynalézt klávesnici. Anebo vám ta současná opravdu vyhovuje?

Nastal čas znovu vynalézt klávesnici. Anebo vám ta současná opravdu vyhovuje?

**Měli bychom provést revoluci klávesnice? ** Anebo je její dnes už hodně zastaralý koncept prostě nejlepší? ** Budeme na klávesnici odkázaní už navždy?

20.  5.  2017 | Jakub Čížek | 59


Aktuální číslo časopisu Computer

Supertéma: moderní cestování

Kdy opravdu přijdou nové baterie?

Velké testy: 6 herních notebooků a 8 volantů

Recenze: AMD Ryzen řady 5