ČLÁNEK

Dnes začínáte číst seriál, který si klade poměrně vysoké cíle. V několika dílech vám představit chystaný serverový operační systém Windows Server 2008, který hodlá společnost Microsoft dokončit na podzim letošního roku. Díl první, který máte právě před sebou, se zabývá oblastí nasazení serveru v pobočce a zajištěním bezpečnosti, díky kterým se seznámíte s několika velmi zajímavými novinkami, které na vás Windows Server 2008 chystá.

 

První z novinek, na které stojí za to se podívat, se jmenuje „Řadič domény jen pro čtení“ (Read Only Domain Controller - RODC). Jedná se o řadič domény, který je typicky určen pro nasazení v pobočkách, kde se již vyplatí umístnit samostatný doménový řadič, ale není zde možné zajistit fyzickou bezpečnost serveru a hrozí tedy nebezpečí lokálního útoku na Active Directory a zcizení choulostivých informací. Tento RODC řadič replikuje pouze jednostranně (!), tedy pouze od jiných řadičů v doméně k sobě a nikdy obráceně. Je zde podmínka, že ve vaší síti musíte mít minimálně jeden Windows 2008 plný doménový řadič pro nasazení RODC.

 

 

A pozor, RODC nereplikuje všechny objekty a atributy Active Directory, ale pouze některé. Pokud by tedy nějaký útočník dokázal prolomit bezpečnost serveru a provést úspěšný útok na doménovou databázi, nezíská z ní to nejchoulostivější – tedy hesla uživatelů a počítačů! Možná se tedy ptáte, jak takový server může provádět autentizaci uživatelů, když nezná jejich hesla? Jednoduše. Takovýto požadavek předá jinému doménovému řadiči, který má plnou repliku doménové databáze. Což ovšem znamená, že RODC musí mít neustálou konektivitu s jinými řadiči. A to by jistě znamenalo velká omezení v implementaci, protože ne vždy musí být spojení z pobočky dostatečně kvalitní a funkční. Proto na RODC máte možnost vybrat uživatelské účty, které působí lokálně v této pobočce a povolit na nich replikaci hesel na konkrétní RODC. Ihned po tomto kroku se hesla těchto účtů začnou na RODC replikovat. Takže případný útočník získá maximálně hesla pobočkových uživatelů, nikoli všech účtů v celé Active Driectory! Ale RODC jde ještě dál! Jestliže doménový administrátor zjistí, že byla narušena bezpečnost RODC, má možnost tento server z domény odstranit a v průvodci, který se spustí potom vybrat i volbu, že chce resetovat hesla všech objektů, která měla povolenu replikace hesel na RODC.

 

 

Je toho mnoho, co by se dalo ještě o provozování napsat, ale doufám, že to nejdůležitější jsem v předchozích řádkách shrnul. Pokud chcete znát o RODC více podrobností, naleznete je na Microsoft Technet, sekce Windows 2008 a RODC.

 

BitLocker™ je systém ochrany dat, uložených na disku. Primárně je určen k ochraně diskového oddílu, na kterém se nachází samotný operační systém Windows. Tato ochrana si klade za cíl to, aby nebylo možné při fyzickém ovládnutí serveru nastartovat do jiného operačního systému a z disku tak zcizit nejen citlivá data, ale hlavně prolomit např. další uživatelská hesla a získat tím mnohem širší a efektivnější možnosti útoku na takto „prolomený“ systém. Což v případě doménového řadiče znamená totální katastrofu a jediné, co vám pomůže snížit důsledek této situace je použití funkce řadiče domény jen pro čtení (RODC). Z hlediska bezpečnosti je jistě zajímavé, že BitLocker™ používá šifrování pomocí AES 128bit, což je velmi silná ochrana. Jakmile ale začneme hovořit o šifrování, musíme mít nějaké bezpečné úložiště pro ochranu klíčů, kterými budeme šifrovat. Toho je dosaženo pomocí bezpečnostního modulu na základní desce – „Trusted Platform Module”, verze 1.2. Tento bezpečnostní modul vytváří, ukládá a spravuje nezbytné klíče (obdobně jako SmartCard). Pokud ale myslíte, že když nemáte TPM, že nemůžete BitLocker™ použít – jste na omylu. Windows Server 2008 vám umožní uložení těchto klíčů na externí medium (USB klíč). A nejen to. Ve firemních sítích správci jistě ocení možnost rozšíření schématu Active Directory a ukládání klíčů přímo tam! BitLocker™ je rozhodně krok správným směrem, ale je potřeba mít stále na mysli, že chrání systém pouze před neoprávněným a prolomením a zcizením dat ze systémového oddílu. Jakmile tedy jednou server už běží – byl nastartován, musíte se chránit proti dalším útokům zcela stejně, jako na jiném systému bez funkce BitLocker™. Nicméně tam, kde není možné zajistit fyzickou bezpečnost serveru (stejné důvody jako u RODC), bude tato funkce velmi vítaným navýšením bezpečnosti!

 

 

Core server, je Windows Server 2008, ale bez grafického rozhranní. Cože!?! Jistě jste mnozí vytřeštili oči a ptáte se – je to opravdu možné? Jsou to ještě Windows (okna)? Ano, jsou… je potřeba ale uvést, že to jsou sice Windows, se kterými komunikujete pomocí příkazové řádky, ale grafický subsystém se v nich stále nachází, i když minimalizován na nezbytné minimum (je v něm například aplikace Notepad, či Regedit). Od vynechání grafického rozhranní a tedy i celé řady aplikací, si Microsoft slibuje hlavně razantní snížení bezpečnostních oprav, které budou takovýto server postihovat. Z bezpečnostních statistik, které vycházejí z Windows Server 2000, a 2003 vyplývá, že pokud bychom odstranily tyto grafické aplikace, které nutně v systému nemusí být (proč mít např. na serveru přehrávač multimédií, nebo prohlížeč internetových stránek) a přitom zachovali funkcionalitu serveru, snížil by se počet těchto bezpečnostních oprav o 61%!!! To znamená o 61% menší pravděpodobnost průniku při nějakém útoku, nebo o 61% nižší potřeba restartovat server a řešit tak problémy s jeho dočasnou nedostupností! Zní to hezky, že? Jak se ale Core server instaluje a hlavně spravuje? Instalace je zcela standardní a v průvodci pouze vybíráte Core edici. Zbytek instalačního procesu je zcela shodný s jinými edicemi Windows Server 2008. Se správou serveru je to ale již zajímavější. Lokálně na serveru sice máte možnost používat příkazovou řádku (CMD, nikoli PowerShell – ten v Core edici není dostupný, neboť je závislý na .NET Framework a to je grafická aplikace, která se v Core edici nevyskytuje), ale ta poslouží většinou pouze k základním konfiguračním krokům – změna hesla administrátora, nastavení TCP/IP, pojmenování serveru, nebo vstup do domény. Je z ní ale možné i provést instalaci Windows Server 2008 role (např. AD, AD LDS, DHCP, DNS, File, Print, WMS, IIS, Virtualization), nebo komponenty systému (WINS, Failover Clustering, Subsystem for UNIX-based applications, Backup, Multipath IO, Removable Storage Management, Bitlocker Drive Encryption, SNMP, Telnet Client). Tyto role a komponenty je potom možné spravovat z grafického rozhranní buď jiného, plného serveru Windows 2008, nebo ze správcovské stanice s nainstalovanými administrátorskými nástroji (např. z Windows Vista klienta). Tato komunikace potom pobíhá skrze zabezpečené RPC. Pokud by vám tato komunikace nevyhovovala kvůli svým požadavkům na komunikační porty, můžete nově využít novinku Windows Server 2008 v podobě Windows Remote Shell, který komunikuje pouze pomocí HTTPS protokolu.

 

K čemu by nám tento Core server tedy mohl posloužit nejvíce? Z výčtu rolí je jasné, k čemu je takový server předurčen. Není na něm možné provozovat všechny komponenty systému jako na plné edici, ale pouze výše vyjmenované. Dovedu si ale představit pobočkové řešení doménového řadiče jen pro čtení (RDOC), který je nainstalován a provozován na Core edici a celý jeho systém je chráněn pomocí BitLocker™. A to je již opravdu scénář, který razantně zvýší bezpečnost tohoto serveru a jistě stojí za to o ní uvažovat!

 

Na závěr ještě jedno téma, na které se mě lidé nejvíce ptají – jak je to s podporou a během jiných aplikací na Core serveru? Správná otázka. Core server obsahuje službu MSIEXEC a neměl by tedy být problém s instalací jakékoli další aplikace. Z praxe mám ověřeno, že na serveru lze bez jakéhokoli problému nainstalovat a provozovat např. antivirový program Microsoft ForeFront! Nicméně zde bude asi u většiny aplikací potřeba počkat na doporučení výrobce softwaru pro běh na Core serveru. Poslední otázkou také zůstává licencování Core edice, ale to zatím není známé a musíme si počkat až na finální uvedení systému na trh!

Tímto se tedy loučíme s popisem novinek, které přináší Windows Server 2008 pro oblast poboček a bezpečnosti. V dalším díle bychom se měli věnovat oblasti bezpečnosti sítí, tedy nový, komplexní Windows Firewall a hlavně potom velmi očekávaná novinka v podobě Network Access Protection (NAP).