Partager via


Все о безопасности Windows Server 2008 (WSSG) на русском – читают все! :)

Да, мы сделали это! Мы перевели на русский язык Windows Server 2008 Security Guide! Теперь основной документ по безопасности Windows Server 2008 доступен для всего русскоговорящего ИТ-сообщества. Документ полностью адаптирован, вплоть до снимков с экрана. Думаю, вы и без меня знаете, что Windows Server 2008 наиболее надежная и защищенная система (кто не верит – смотрит Secunia), но знание методов защиты – желательно для всех админов. Поэтому читаем документы и обязательно применяем в своей работе.

Отдельная благодарность моему коллеге Виктору Шатохину, который “поделился” такой замечательной командой переводчиков, кстати, ранее переведшей документацию по совместной работе с VS TFS.

Забираем вложение к данному посту (первые 5 глав). Продолжение – следует, смотрите вторую часть (главы 6-9) и третью (главы 10-11 и приложение). Больше писать от себя ничего не буду, только цитаты из документа:

Данное руководство построено на базе Windows Server 2003 Security Guide (Руководство по безопасности Windows Server 2003), в котором представлены специальные рекомендации по повышению уровня защиты серверов с Windows Server 2003 и Пакетом обновления 2 (SP2). Windows Server 2003 Security Guide предлагает рекомендации по повышению безопасности серверов, использующих базовые настройки безопасности для двух сред:

· Среда корпоративных клиентов (Enterprise Client, EC). Серверы в данной среде располагаются в домене, который использует AD DS и обменивается информацией с серверами с установленными Windows Server 2008 или Windows Server 2003 SP2 или более поздними версиями. Клиентские компьютеры в этой среде могут работать с разными ОС: на некоторые установлена Windows Vista®, тогда как на другие – Windows XP с SP2 или более поздние версии. Информация о базовых настройках безопасности, используемых в этой среде, представлена в Приложении А «Параметры групповой политики, связанные с безопасностью».

· Специальная безопасная среда с ограниченной функциональностью (Specialized Security – Limited Functionality, SSLF). Безопасность этой среды настолько важна, что допускается существенное ограничение функциональности и управляемости. Например, компьютеры военных и разведывательных органов работают в такой среде. На серверы в данной среде устанавливается только Windows Server 2008. Информацию о параметрах SSLF, используемых этой средой, можно найти в Приложении А «Параметры групповой политики, связанные с безопасностью».

Внимание Параметры безопасности SSLF предназначены лишь для ограниченного круга организаций. Конфигурация этих параметров разработана для организаций, в которых обеспечение безопасности важнее, чем обеспечение функциональности.

Данное руководство организовано таким образом, чтобы можно было без труда находить необходимую информацию. Руководство и прилагаемые к нему инструментальные средства помогут:

· Установить и развернуть в вашей сетевой среде любые заданные базовые настройки безопасности.

· Определить и использовать компоненты безопасности Windows Server 2008 для основных сценариев безопасности.

· Определить назначение каждого отдельного параметра любых базовых настроек безопасности и понять их важность.

Кто должен прочитать это руководство

Руководство по безопасности Windows Server 2008 предназначено, главным образом, для ИТ-специалистов, специалистов по безопасности, архитекторов сетей, специалистов по вычислительной технике и других консультантов по вопросам ИТ, которые занимаются планированием разработки приложений или сред и развертывания Windows Server 2008 для серверов в среде предприятия. Данное руководство не для пользователей домашних ПК, оно ориентировано на тех, в чьи профессиональные обязанности входит одна или более из следующих ролей:

· Специалист по обеспечению безопасности. Пользователи, выполняющие эту роль, занимаются обеспечением безопасности между разными платформами в рамках организации. Специалистам по обеспечению безопасности необходимо надежное справочное руководство, рассматривающее задачи по обеспечению безопасности на всех уровнях организации и также предлагающее проверенные методы реализации защитных контрмер по усилению безопасности. Специалисты по безопасности определяют компоненты и параметры безопасности и дают рекомендации того, как клиенты могут наиболее эффективно их использовать в среде с повышенными рисками безопасности.

· ИТ-специалисты, сотрудники службы технической поддержки и специалисты по развертыванию. Основной задачей ИТ-специалистов является интеграция безопасности и управление изменениями в процессе развертывания, тогда как специалисты по развертыванию занимаются оперативным обеспечением обновлений безопасности. Сотрудники, выполняющие эти роли, также выявляют проблемы безопасности приложений, связанные с установкой, настройкой и улучшением используемости и управляемости программного обеспечения. Они отслеживают этот тип проблем, чтобы найти возможность улучшения безопасности с минимальным изменением важных бизнес-приложений.

· Архитектор и планировщик сетей. Пользователи, выполняющие эту роль, управляют процессами построения архитектуры компьютерных сетей в своих организациях

· Консультант. Пользователи, выполняющие эту роль, занимаются сценариями безопасности, которые распространяются на все бизнес-уровни организации. ИТ-консультанты, как из служб Microsoft, так и со стороны партнеров, используют инструменты передачи знаний корпоративным заказчикам и партнерам.

Примечание Желающие применить представленное здесь нормативное руководство на практике, должны, как минимум, прочитать руководство How to Use the GPOAccelerator (Как использовать GPOAccelerator) и выполнить все предлагаемые в нем шаги по организации среды EC.

Обзор

Далее следует краткое описание каждой из глав и приложения.

Глава 1: Реализация базовых настроек безопасности

В данной главе обозначены преимущества, которые организация получает от создания и развертывания базовых настроек безопасности. Эта глава включает общие рекомендации по проектированию безопасности, которым можно следовать при подготовке к реализации базовой безопасности EC или SSLF. В главе объясняются подходы к обеспечению безопасности для обеих сред, EC и SSLF, и основные отличия этих сред.

Сопровождающий данное руководство «Сборник параметров используемых в руководстве по безопасности Windows Server 2008» является еще одним источником, который может использоваться для сравнения и оценки параметров групповой политики. Инструмент GPOAccelerator доступен как отдельный пакет для загрузки в Центре загрузки Microsoft. Инструкции по применению этого инструмента представлены в книге How to Use the GPOAccelerator.

Внимание Данная глава ориентирует вашу организацию на установку среды SSLF, которая отличается от среды EC. Руководство по SSLF предназначается только для сред с высоким уровнем безопасности. Оно не является дополнением руководства для среды EC. Параметры безопасности, определенные для среды SSLF, ограничивают ключевую функциональность в среде. Поэтому базовые настройки безопасности SSLF не годятся для большинства организаций. Прежде чем реализовывать базовые настройки безопасности SSLF в производственной среде, они должны быть тщательнейшим образом протестированы.

Глава 2: Сокращение поверхности атаки посредством роли сервера

В данной главе представлен обзор встроенных инструментов Windows Server 2008, с помощью которых можно быстро настроить, сохранить и активировать всю необходимую функциональность для серверов среды. В этой главе обсуждается, как с помощью Диспетчера сервера можно сократить поверхность атаки ваших серверов за счет настройки только необходимой функциональности каждой роли сервера.

Также в главе обсуждается использование Мастера настройки безопасности (SCW) для сохранения и активации настроек, реализованных Диспетчером сервера. В главе представлена информация о Server Core, новой опции установки в Windows Server 2008.

Глава 3: Повышение уровня защиты доменных служб Active Directory

В данной главе обсуждаются возможности повышения уровня защиты Доменных служб Active Directory (AD DS) для управления пользователями и ресурсами, такими как компьютеры, принтеры и приложения в сети. AD DS в Windows Server 2008 включают ряд новых возможностей, которые были недоступны в предыдущих версиях Windows Server, и основной задачей некоторых из них является более безопасное развертывание AD DS. К функциям, повышающим безопасность в AD DS, относятся возможности аудита, расширенные политики паролей и возможность использования контроллеров домена только для чтения (RODCs).

Глава 4: Повышение уровня защиты служб DHCP

Данная глава предлагает нормативное руководство по повышению уровня защиты роли DHCP-сервер. В главе обсуждаются службы DHCP-сервер и DHCP-клиент в Windows Server 2008, включающие улучшения безопасности для Защищенного сетевого доступа (Network Access Protection, NAP) и функциональность DHCPv6.

Глава 5: Повышение уровня защиты DNS-служб

Данная глава предлагает нормативное руководство по повышению уровня защиты роли DNS-сервер. Windows Server 2008 обеспечивает улучшения DNS-сервера, направленные, главным образом, на улучшение производительности или обеспечение новых функций, включая фоновую загрузку зон, которая помогает предотвратить потенциальные атаки типа отказ в обслуживании (DoS), и поддержку контроллеров RODC, размещаемых на сетевом периметре, филиалов или других небезопасных сред.

Глава 6: Повышение уровня защиты Веб-служб

Данная глава предлагает нормативное руководство по повышению уровня защиты роли Веб-сервер. В главе обсуждается, как роль Веб-сервер устанавливает Microsoft® Internet Information Services (IIS) 7.0, структура которой изменена и разбита на сорок модульных компонентов, устанавливаемых по запросу.

Глава 7: Повышение уровня защиты файловых служб

Данная глава предлагает нормативное руководство по повышению уровня защиты роли файлового сервера. Повышение уровня защиты файловых серверов может представлять особую сложность, потому что обеспечение баланса между безопасностью и функциональностью предоставляемых ими фундаментальные служб – тонкое искусство. Windows Server 2008 представляет ряд новых возможностей, которые помогут в управлении и улучшении защиты файлового сервера в вашей среде.

Глава 8: Повышение уровня защиты служб печати

Данная глава предлагает нормативное руководство по повышению уровня защиты роли сервера печати. Безопасность служб печати в операционной системе Windows Vista претерпела существенные изменения. Эти изменения также включены в Windows Server 2008, чтобы ваша организация могла в полной мере воспользоваться обеспечиваемыми ими преимуществами.

Глава 9: Повышение уровня защиты служб сертификации Active Directory

Данная глава предлагает нормативное руководство по повышению уровня защиты служб сертификации Active Directory (AD CS) на сервере с установленной Windows Server 2008. AD CS предоставляют настраиваемые службы для создания и управления сертификатами открытого ключа, которые используются в программных системах безопасности, построенных на технологиях открытого ключа. В главе обсуждается, как организации могут повышать безопасность с помощью AD CS, связывая удостоверение человека, устройства или службы с соответствующим закрытым ключом.

Глава 10: Повышение уровня защиты служб политики сети и доступа

Данная глава предлагает нормативное руководство по повышению уровня защиты служб Политики сети и доступа на серверах с установленной Windows Server 2008. Службы политики сети и доступа (Network Policy and Access Services, NPAS) в Windows Server 2008 предоставляют технологии, обеспечивающие возможность развертывания и работы виртуальной частной сети (VPN), удаленного доступа к сети, защищенного по стандарту 802.1X проводного и беспроводного доступа и устройств на базе технологии управления доступа в сеть (Network Admission Control, NAC) Cisco.

В данной главе обсуждаются возможности использования NPAS для определения и применения политик аутентификации и авторизации сетевого доступа, а также безопасности клиента для сети с помощью Сервера сетевой политики (Network Policy Server, NPS), Службы маршрутизации и удаленного доступа, Центра регистрации работоспособности (Health Registration Authority, HRA) и протокола авторизации учетных данных узла (Host Credential Authorization Protocol, HCAP).

Глава 11: Повышение уровня защиты служб терминалов

Данная глава предлагает нормативное руководство по повышению уровня защиты служб терминалов на серверах с установленной Windows Server 2008. Эти серверы обеспечивают основные службы, с помощью которых пользователи получают возможность доступа к программам Windows или всему рабочему столу Microsoft Windows® из разных мест. Вы можете использовать ряд входящих в Windows Server 2008 специальных служб роли, включая лицензирование служб терминалов (TS Licensing) для управления клиентскими лицензиями служб терминалов (Terminal Server client access licenses, TS CALS), которые необходимы устройствам и пользователям для подключения к серверу терминалов.

В главе также обсуждается, как служба роли посредник сеансов службы терминалов (Terminal Services Session Broker, S Session Broker) поддерживает повторное подключение в существующему сеансу на сервере терминалов, входящим в состав фермы серверов терминалов с балансировкой нагрузки; как служба роли Шлюз служб терминалов (Terminal Services Gateway, TS Gateway) позволяет авторизованным пользователям подключаться к серверам терминалов и удаленным рабочим столам сети предприятия по Интернету, используя RDP через HTTPS; и как служба роли Веб-доступ к службе терминалов (Terminal Services Web Access,(TS Web Access) позволяет авторизованным пользователям получить доступ к серверам терминалов через Веб-браузер.

Приложение А: Параметры групповой политики, связанные с безопасностью

Приложение включает описания и таблицы, представляющие подробную информацию о параметрах, определенных для базовой безопасности сред EC и SSLF в данном руководстве. В приложении описываются все параметры и основания применения заданных значений. Также в приложении обозначены различия между Windows Server 2008 и Windows Server 2003.

И, как говорили некоторые известные борцы – “Прочти и передай линк товарищу”! Массовые ссылки на данные документы и самостоятельное их распространение в исходном виде только приветствуются.

WSSG_RUS_Ch1-5.zip

Comments

  • Anonymous
    January 01, 2003
    Окончание перевода WSSG – главы 10-11 и приложение с настройками групповых политик, касающихся безопасности.

  • Anonymous
    January 01, 2003
    Сбылась мечта моего коллеги Игоря Шаститко (естественно не без его активного участия ;) - Windows Server

  • Anonymous
    January 01, 2003
    Так как начинается горячая пора, связанная с подготовкой к Платформе, то я вынужден буду на этот месяц...

  • Anonymous
    January 01, 2003
    Во-первых , сорри, что не писал – работа, мероприятия TechNet по регионам Украины (кто еще не успел зарегистрироваться

  • Anonymous
    January 01, 2003
    Кто не в курсе, то скажу – сейчас в Киеве идет серия еженедельных семинаров для ИТ-руководителей и ИТ-специалистов

  • Anonymous
    January 01, 2003
    2 lvccgd а вы заходите время от времени - у нас большие планы, как я уже писал в посте http://blogs.technet.com/iwalker/archive/2008/11/16/hyper-v-vmm.aspx

  • Anonymous
    January 01, 2003
    Кто пропустил первую часть русского перевода WSSG – читаем предыдущий пост по этой теме , в котором общее

  • Anonymous
    October 27, 2008
    Ну, не только Игоря :) Спасибо всем огромное!

  • Anonymous
    November 14, 2008
    Не, ну вот это я называю тру заботой о пользователях! большое спасибо!