Spojrzenie na niektóre funkcje, które sprawiają, że kombinacja Server 2008 R2/Windows 7 sprawdza się doskonale w firmach, które chcą poprawić bezpieczeństwo swoich sieci opartych na systemie Windows.
Wstęp
Wersje klienckie Windows Server 2008 R2 i Windows 7 zostały dla siebie stworzone i to w taki sposób, aby sprawić, że ich wspólne używanie poprawi jakość i bezpieczeństwo. DirectAccess to nowa funkcja, która pozwala użytkownikom systemu Windows 7 ustanowić połączenie zdalne bez sieci VPN, natomiast Remote Workplace (Zdalne Miejsce Pracy) wraz z Presentation Virtualization (Wirtualizacja Interfejsu) i Remote Desktop Gateway (Brama Pulpitu Zdalnego) umożliwiają użytkownikom bezpieczny dostęp do firmowych pulpitów z dowolnego miejsca. W niniejszym artykule przyjrzymy się tym i innym funkcjom, które sprawiają, że kombinacja Server 2008 R2/Windows 7 sprawdza się doskonale w firmach, które chcą poprawić bezpieczeństwo swoich sieci opartych na systemie Windows.
Z naciskiem, jaki Microsoft kładzie na wiarygodną informatykę, każda wersja serwerowych i klienckich systemów operacyjnych jest coraz bardziej bezpieczna. Windows Server 2008, a zwłaszcza jego najnowsza wersja R2, dostarcza administratorom IT wiele wbudowanych mechanizmów bezpieczeństwa. Jednakże zabezpieczenie serwera to jedynie połowa sukcesu. Komputer kliencki jest często narażony na nadużycia, zwłaszcza w dzisiejszych czasach, gdy mobilni użytkownicy łączą się z siecią za pomocą laptopów po opuszczeniu murów firmy, a więc nie zawsze są pod absolutną kontrolą działu IT. Jeśli Twoja firma wymaga wysokiego poziomu zabezpieczeń (a w dzisiejszym środowisku wymogów zgodności kto nie potrzebuje?), należy z wyprzedzeniem planować wdrożenie systemu klienckiego Windows 7 w połączeniu z Windows Server 2008 R2, jak tylko Win 7 zostanie wypuszczony na rynek. Spójrzmy na niektóre zaawansowane funkcje zabezpieczeń, które będziesz mógł wykorzystać.
Uwaga:
Wiele organizacji stosuje politykę czekania na pierwszy Service Pack przed wdrożeniem nowego systemu operacyjnego typu klient. Czy powinno się poczekać z wdrożeniem systemu Windows 7 na SP1? Gartner Group mówi „nie”. „Pierwszy Service Pack dla systemu Windows 7 nie jest niezbędny dla stabilności i bezpieczeństwa systemu operacyjnego".
DirectAccess
Jak umożliwić użytkownikom zdalnym – czy jest to kierownik, podróżujący z laptopem podłączony do sieci hotelowej, czy telepracownik, pracujący zdalnie w domu – bezpieczne podłączenie do sieci firmowej oraz dostęp do zasobów, których potrzebują, bez narażanie tej sieci na ryzyko? Najczęściej spotykanym rozwiązaniem do tej pory była konfiguracja serwera VPN. VPN zapewnia bezpieczny, szyfrowany tunel za pośrednictwem sieci publicznej (Internetu). Więc jaki jest problem? Rozwiązanie VPN jest zbyt skomplikowane dla przeciętnego użytkownika. W niektórych przypadkach, na komputerze klienckim musi być zainstalowane specjalne oprogramowanie. W każdym przypadku użytkownik musi ustanowić połączenie VPN dla każdej sesji. Musi także wpisać uwierzytelnienia albo mieć do czynienia z kartami elektronicznymi (typu smart card). Czasami połączenie w ogóle nie przechodzi, a innym razem zostaje odrzucone i trzeba je ustanowić od nowa.
DirectAccess (dostęp bezpośredni) eliminuje większość tych kłopotów poprzez uwierzytelnienie użytkownika raz, a następnie dokonywanie automatycznego połączenia - bez utraty bezpieczeństwa. Obsługiwane jest uwierzytelnianie dwu-czynnikowe, tak więc do logowania do sieci można używać technik biometrycznych lub kart elektronicznych.
DirectAccess może uwierzytelnić zarówno komputer jak i użytkownika. DA tworzy dwa tunele IPSec: jeden korzystający tylko z certyfikatu komputera, który daje komputerowi dostęp do serwera DNS i kontrolera domeny do pobrania Polityki Grupowej i żądania uwierzytelnienia użytkownika oraz drugi tunel, który korzysta zarówno z certyfikatu komputera jak i certyfikatu użytkownika, co daje użytkownikowi dostęp do wewnętrznych zasobów oraz serwerów aplikacji.
Sesje dostępu bezpośredniego DirectAccess mogą być szyfrowane między klientem a serwerem DA/serwerem bramy IPsec lub też mogą być szyfrowane na całej drodze transmisyjnej aż do serwera aplikacji (takich jak Exchange Server). Zastrzeżeniem jest tutaj to, że przy szyfrowaniu na całej drodze transmisyjnej, serwery aplikacji muszą być uruchomione pod systemem Windows Server 2008 lub 2008 R2 i muszą być skonfigurowane do obsługi IPv6 oraz IPSec.
DirectAccess używa protokołu IPv6, który jest protokołem internetowym nowej generacji z IPSec (3DES, AES), służącym do szyfrowania informacji przesyłanych w Internecie. Ale to nie oznacza, że musisz uruchomić sieć IPv6, aby korzystać z DA, ponieważ obejmuje on również technologie transformacji Ipv6/Ipv4. Windows 7 i Windows Server 2008 R2 obsługują nowy protokół o nazwie IP-HTTPS, przez który pakiety IPv6 mogą zostać tunelowane do sesji Ipv4 HTTPS. Dzięki temu komputery, które są poza siecią Proxy lub zaporą sieciową mogą się połączyć. Podobnie jak w przypadku VPN, ochrona Network Access Protection (NAP) może być wykorzystana w celu zapewnienia, że komputery posiadają aktualizacje zabezpieczeń, program antywirusowy, itp., zanim uzyskają połączenie z siecią firmową.
Inną zaletą DirectAccess jest fakt, że daje on kontrolę. DA umożliwia administratorowi IT zdalne zarządzanie systemami, nawet jeśli nie są one podłączone do sieci VPN. Można zastosować nową Politykę Grupową lub rozpowszechnić aktualizacje oprogramowania w każdej chwili, gdy komputer zdalny jest podłączony do Internetu - nawet jeśli użytkownik nie jest zalogowany. Dzięki temu łatwiej jest się upewnić, że komputer zdalny pracuje zgodnie z polityką firmy w najbardziej odpowiedni sposób. Ponadto można określić, do których z zasobów intranetu konkretny użytkownik może mieć dostęp.
Microsoft dostarcza przewodnik DirectAccess Early Adopter’s Guide, który można pobrać (w języku angielskim).
Funkcja RemoteApp and Desktop
RemoteApp jest wdrożeniem usług zdalnego pulpitu (Remote Desktop Services), dzięki którym użytkownicy mają wrażenie, że aplikacje działają na ich lokalnych komputerach, gdy rzeczywiście działają one na pulpicie zdalnego serwera (Remote Desktop server). Jest to forma wirtualizacji interfejsu (presentation virtualization). Różni się ona od tradycyjnych usług terminalowych tym, że zamiast współdzielenia całego pulpitu poprzez serwer terminalowy, współdzielone mogą być teraz poszczególne aplikacje i jest to przejrzyste dla użytkownika. Funkcja RemoteApp została wprowadzona do systemu Windows Server 2008. Natomiast Windows 7 dostarcza nam funkcji RemoteApp & Desktop (RAD), zapewniającą większą integrację pulpitu i wirtualnych aplikacji.
Za pomocą połączeń RemoteApp & Desktop Connections administratorzy mogą łatwo udostępnić użytkownikom posiadającym komputery klienckie z systemem Windows 7 programy Remote App i wirtualne pulpity; zasoby te pojawiają się w menu Start w taki sposób, jakby były one zasobami lokalnymi.
Jaka jest więc zaleta jeśli chodzi o bezpieczeństwo? Zwirtualizowane aplikacje mogą być lepiej kontrolowane przez administratorów IT. Już nie trzeba się martwić o to, czy właściwe aktualizacje zostały zastosowane do setek aplikacji uruchamianych na poszczególnych komputerach, więc nie ma tych zagrożeń bezpieczeństwa, które występują, jeśli komputer ma aplikacje bez łat. Administratorzy mogą dodawać lub usuwać zasoby, a funkcja RemoteApp & Desktop Connection będzie automatycznie aktualizowana na komputerach klienckich użytkowników.
Możesz pobrać przewodnik pomagający przy wdrażaniu RemoteApp and Desktop Connection (w języku angielskim).
Remote Desktop Gateway jest zamiennikiem dla Terminal Services Gateway i jest to rola serwera w edycjach systemu Windows Server 2008 R2 Standard, Enterprise i Datacenter, za pośrednictwem których użytkownicy zdalni mogą mieć dostęp do serwerów zdalnego pulpitu lub innych komputerów za pomocą Remote Desktop. Wykorzystuje on „RDP over HTTPS”, aby stworzyć bezpieczne, szyfrowane połączenie przez Internet. Server 2008 R2 RD Gateway obsługuje również opcję, poprzez którą możliwe jest ograniczenie klientów zdalnego pulpitu do podłączania tylko do serwerów zdalnego pulpitu, które korzystają z bezpiecznego urządzenia przekierowania. Pomaga to zapobiec sytuacjom, gdy złośliwe oprogramowanie zastępuje polityki zabezpieczeń na zdalnym kliencie.
Najnowsza wersja protokołu RDP Protocol (RDP v7), który działa w systemie Windows Server 2008 R2 i Windows 7, umożliwia także generowanie grafiki i wzbogacenie multimediów, co sprawia, że praca na pulpicie zdalnym jest lepsza. Na przykład, efekty „Aero Glass” jak i „DirectShow” są już teraz obsługiwane, obsługa „multi-monitor” jest lepsza, a i wydajność się ogólnie poprawiła.
AppLocker
AppLocker to nowa funkcja w systemie Windows 7 i Server 2008 R2, która zastępuje stare Zasady Ograniczeń Oprogramowania (Software Restriction Policies), które często były trudne do zastosowania i miały ograniczony zakres. AppLocker daje znacznie większą elastyczność, a jej zasady są trudne do obejścia. AppLocker pozwala tworzyć reguły kontroli, jakie pliki można uruchomić i przypisuje te zasady do poszczególnych użytkowników lub grup (ale nie komputerów).
Zasady można oprzeć na takich atrybutach plików jak: wydawca, nazwa produktu, nazwa pliku lub wersja pliku. Atrybuty te są zawarte w podpisie cyfrowym (Zasady Wydawcy - Publisher rules). Możesz także ograniczyć programy w oparciu o ścieżkę (Zasady Ścieżki - Path rules) lub możesz skorzystać z kryptograficznej metody indeksowania danych do identyfikacji programów, którym chcesz umożliwić działanie (zasady „Hash” - Hash rules). Można również tworzyć wyjątki dla każdej z tych trzech zasad.
Domyślnie oraz jako najlepsza metoda zabezpieczenia AppLocker jest skonfigurowany tak, aby zablokować wszystkie pliki z wyjątkiem tych, które są wyraźnie dozwolone. Tutaj możesz przeczytać więcej o AppLocker (w języku angielskim).
Lepszy BitLocker
Szyfrowanie dysków „BitLocker” zostało wbudowane w system Windows Vista i było świetną funkcjonalnością dla laptopów, jednak jego użyteczność była dosyć ograniczona, ponieważ mógł on szyfrować jedynie partycje systemowe. W systemach Server 2008 i Vista SP1 rozwiązanie to zostało wzbogacone o szyfrowanie dodatkowych (nie systemowych) partycji.
Teraz – w Server 2008 R2 i Windows 7 – BitLocker może być używany do szyfrowania dysków wymiennych. Jako że dyski USB są wszechobecne, jest to mile widziana poprawa bezpieczeństwa, ponieważ ryzyko, na jakie pracownik naraża dane firmy, gromadzone na dyskach wymiennych (np. gdy bierze pracę do domu na wieczór lub weekend), jest bardzo realne. Fakt, że dyski USB są przenośne dodatkowo sprawia, że mogą być łatwo zgubione lub skradzione.
Teraz systemy Windows Server 2008 R2 i Windows 7 posiadają nową funkcję „BitLocker To Go”, dzięki której administratorzy IT mogą używać Polityki Grupowej, aby wymóc na użytkownikach włączenie BitLockera na dyskach wymiennych przed zapisaniem na nich nowych danych, co poprawia bezpieczeństwo. Klucz zapasowy może być przechowywany w Active Directory. Można także zablokować użytkowników, aby nie mogli podłączyć do komputera niezaszyfrowanych dysków USB. Zasady są konfigurowane w: Computer Configuration\Policies\Administrative Templates\Windows Components\BitLocker Drive Encryption\Removable Data Drives.
Podsumowanie
Każda wersja systemu operacyjnego Windows posiada dodatkowe ulepszenia zabezpieczeń. Obecnie zwieńczeniem zainteresowania tematem zabezpieczeń jest system Windows Server 2008 R2 i niedługo dostępna wersja kliencka Windows 7. W odróżnieniu od poprzedniej wersji klienckiej systemu operacyjnegoWindows, w fazie testów beta Windows 7 okazała się zadziwiająco stabilna i bezpieczna, więc firmy, zwłaszcza te, które nie uaktualniły swojego systemu do Visty i nadal korzystają z systemu Windows XP, powinny rozważyć wdrożenie tej kombinacji jak najszybciej.
Źródło: www.windowsecurity.com
|
