Windows Server 2008 – bezpečně v praxi

Již poměrně dlouho před oficiálním uvedením serverového operačního systému Windows Server 2008 byla společností Microsoft nastavena laťka vysokého očekávání. Dnes se dá říci, že nový serverový systém přináší řadu technologických změn.
Windows Server 2008 – bezpečně v praxi

Autor: Ladislav Šolc, Solutions Architect
 

Některé z těchto změn jsou zcela zásadní a jiné jen kosmetické. Nový server také přináší poměrně vysoké nároky na znalost prostředí, a proto bude často nutné použít staronového španělského přítele, jehož jméno zní Manual.

Zajímavou oblastí je samozřejmě bezpečnost a technologie s ní spojené. Tento článek tedy zahajuje sérii o bezpečnosti ve Windows Server 2008, kde se pokusím ukázat na typických scénářích, jaké může být praktické použití některých zajímavých novinek.

Pro začátek a ilustraci jsem zvolil scénář pobočkového serveru, který bude plnit role řadiče domény sdílení souborů. Pro náš případ předpokládejme, že již existuje plně funkční doména v centrále a bezproblémová Active Directory.

Co je problémem pobočkových serverů?

Odpovědí na tuto otázku je samozřejmě více, ale velmi často se potkávám se společnými bolestmi. Servery nejsou dostatečně fyzicky zabezpečeny, je třeba je spravovat výhradně vzdáleně a času na bezpečnostní záplatování je málo.

Nyní se podíváme na to, co může znamenat implementace takového řešení na platformě Windows Server 2008 a jak řeší výše uvedené problémy.

Postupně projdeme následujícími kroky:

1. Instalace zdravého jádra – Server Core
2. Bez vzdálené správy ani ránu – Windows Remote Shell (WinRS)
3. Šifrování pevných disků – Bitlocker
4. Čtení na dlouhé večery – Read Only Domain Controler (RODC)
5. Tak nám ten server přeci jen zmizel – RODC recovery

Co je server Core?

Jednoduše řečeno, jde o jednu z podob instalace, která je velmi jednoduchá a rychlá. Výsledek? Dojde k tomu, že po instalaci skončíte jen s oknem příkazové řádky, jak je vidět na obrázku číslo 1.

Klepněte pro větší obrázek

Pokud tedy při instalaci zvolíte možnost Windows Server Core, budou instalovány jen základní komponenty systému a základní služby nutné pro jeho běh. Vše ostatní se doplní až podle rolí, které přidáte po instalaci.

V systému bude aktivní TCP/IP, které očekává IP konfiguraci od DHCP, přístup k souborovému systému, komponenty RPC a knihovny pro běh serveru v režimu Core. Server je zabezpečen a připraven pro aktivaci dalších služeb.

Často se také tvrdí, že se neinstaluje grafické prostředí (GUI), ale to není zcela přesné. GUI se instaluje, ale jen v omezené verzi. Je k dispozici Task Manager, Notepad a podobně.

K čemu je server Core? Bezpečnější v základu.

Microsoft uvádí, že díky tomu, že na serveru neběží procesy, které nejsou nezbytné, je možné snížit počet bezpečnostních aktualizací až o 60 procent. Díky absenci Internet Exploreru, Windows Media Playeru a .NET Frameworku, je to uvěřitelné tvrzení. Prostor pro úspěšný útok je samozřejmě podstatně menší než u „velkého“, standardně instalovaného, serveru.

Zároveň je však možné aktivovat a instalovat role, které jsou ideální pro běh v pobočkách i tam, kde je server vyhrazen pro konkrétní použití. Jde například o Active Directory, DNS, DHCP, serverové a tiskové služby, vizualizace a podobně. A to je přesně náš případ.

Nainstalováno. Co dál?

Příkazová řádka je pěkná věc, ale chtělo by to provést prvotní konfiguraci a zapnout vzdálenou správu. Zde si přijdou na své ti z vás, kteří mají černobílé okno v krvi. Přichází na řadu shell. Základní konfigurace statické IP se dá provést například takto:

netsh interface ipv4 show interfaces
netsh interface ipv4 set address name="2" source=static address=10.1.0.38 mask=255.255.255.0 gateway=10.1.0.33
netsh interface ipv4 add dnsserver name="2" address=10.1.0.33 index=1

Potom, co je provedena konfigurace IP, je možné server přejmenovat. Instalace automaticky vygeneruje jméno, které není zcela použitelné. V příkazové řádce ho zjistíte příkazem: hostname, přejmenování potom takto:
netdom renamecomputer <původníjméno> /NewName:WS08RODC
a jeden rychlý restart k tomu:
shutdown /r /t 0

Po restartu je server připraven pro instalaci dalších rolí. Nedá se však vzdáleně spravovat. Tuto možnost je třeba také povolit. Začneme tím, že se povolí přístup pomocí terminálových služeb. K tomuto účelu je nutné spustit následující skript:
Cscript C:\Windows\System32\Scregedit.wsf /ar 0

Dále je třeba zapnout možnost správy pomocí Windows Remote Shell. K tomu vedena cesta přes následující příkaz:
Winrm quickconfig

Winrm s přepínačem quickconfig zajistí zapnutí vzdálené správy, konfiguraci na portu 80 a přidání výjimky do konfigurace firewallu.

Pokračování příště…

Nyní je tedy server připraven, běží s minimálním počtem souborů i rolí, je možné ho vzdáleně spravovat přes RDP nebo WinRS. Na to, jak se konfiguruje šifrování disků a zapíná role řadiče domény, který funguje jen v režimu čtení, se podíváme v dalším díle. Tento díl již vyjde na TechnetBlogu

Více o tématu zabezpečení naleznete také na
TechNet Blogu.

 

Články ze série Microsoft TechNet nevytváří redakce Živě.cz, ale partneři programu Microsoft TechNet. Jsou publikovány v rámci mediálního partnerství Živě.cz a společnosti Microsoft.

Diskuze (4) Další článek: SP1 pro Windows Vista je venku, ke stažení jako instalační balíček

Témata článku: Microsoft, Windows, Základní konfigurace, Zásadní role, DHCP, Pěkná věc, Zajímavé jméno, Úspěšný útok, Následující řádek, Interface, Vzdálená instalace, Shell, Manual


Určitě si přečtěte

Porno insider: Jak virtuální realita vstupuje do filmů pro dospělé

Porno insider: Jak virtuální realita vstupuje do filmů pro dospělé

** Pornografie údajně představuje třetinu internetové obsahu a je technologický tahounem ** Do erotického obsahu postupně zasahuje i virtuální realita ** Kromě vizuálního vjemu se pracuje také na virtuálním uspokojení toho hmatového

Jan Dudek | 28

Apple: naše mapy budou nejlepší na světě. Tajně jsme na nich pracovali několik let

Apple: naše mapy budou nejlepší na světě. Tajně jsme na nich pracovali několik let

** Apple odhalil své plány na zcela nové mapy ** Několik let pracuje na nových mapách, které by měly předběhnout konkurenci ** Objeví se s příchodem iOS 12 pro vybrané státy

Karel Javůrek | 50

15 věcí, které umí Windows 10, ale možná o nich vůbec nevíte

15 věcí, které umí Windows 10, ale možná o nich vůbec nevíte

** Systém Windows 10 umí spoustu užitečných drobností ** O mnoha praktických funkcích pravděpodobně ani nevíte ** Poznejte užitečné tipy, které se vám mohou hodit každý den

Vladislav Kluska | 36

Takhle zemřete, když asteroid dopadne na vaše město

Takhle zemřete, když asteroid dopadne na vaše město

** Jak by to dopadlo, kdyby na světovou metropoli či do nedalekého moře dopadl velký asteroid? ** Simulovali to odborníci z University of Southampton ** Výsledky jsou velmi zajímavé

Petr Kubala | 32

Rekordy počasí: V Česku to ještě jde, skutečné extrémy zažívají jinde

Rekordy počasí: V Česku to ještě jde, skutečné extrémy zažívají jinde

** Teplotní extrémy dokážou překvapit. Seznamte se s rekordy v Česku i ve světě ** Rekordní hodnoty jsou mnohdy až k neuvěření ** Zjistěte, kdy ke bylo největší horko, zima, déšť či vítr

Karel Kilián | 7

Portál občana už funguje. Na státní web vypadá až překvapivě použitelně

Portál občana už funguje. Na státní web vypadá až překvapivě použitelně

** Portál občana už funguje, vyřídíte na něm první požadavky ** Funkce se budou postupně rozšiřovat ** Web je docela moderní a přehledný

David Polesný | 65


Aktuální číslo časopisu Computer

Velký test 18 bezdrátových sluchátek

Vše o přechodu na DVB-T2

Procesory AMD opět porážejí Intel

7 NVMe M.2 SSD v přímém souboji