Мистецтво Windows Server 2003 SP1

1. Якість понад усе! Якість, а не кількість! Здається, ця фраза могла б стати девізом пакету оновлень...
2. Служба Windows Firewall
3. SCW
4. PSSU
5. IE та інші

Якість понад усе!

Якість, а не кількість! Здається, ця фраза могла б стати девізом пакету оновлень Windows Server 2003 Service Pack 1 (SP1). Хоча SP1 містить деякі нові особливості, розробники Microsoft приділили основну увагу поліпшенню програмної сумісності без порушення функціонування існуючих систем. Нові можливості пакета оновлень спрямовані на досягнення саме цієї мети.

SP1 містить набір всіх модулів корекції і виправлень для системи безпеки платформи Windows 2003, які були випущені компанією з моменту виходу операційної системи в квітні 2003 року. Пакет оновлень повинен вирішити найбільш поширені проблеми, про які клієнти повідомляли через служби Microsoft Product Support Services (PSS) і Windows Error Reporting. Пакет Windows 2003 SP1 також додає деякі нові можливості, орієнтовані на безпеку системи. Ці зміни носять еволюційний характер, тому ядро ​​операційної системи має ту ж кодову базу, що і початкова версія системи Windows 2003.

Забезпечення безпеки

Дотримуючись курсу, заданого системою Windows XP, розробники вбудували в пакет Windows 2003 SP1 технологію запобігання виконання коду (DEP). Технологія DEP являє собою набір апаратних і програмних засобів, створених для запобігання проблем, пов'язаних з переповненням буфера. Пакет Windows 2003 SP1 надає DEP як на апаратній, так і на програмній базі. Технологія DEP на апаратній основі, яка буде підтримуватися процесорами AMD і Intel x64, використовує можливість розмітки пам'яті центральним процесором, щоб вказати, яка частина пам'яті заборонена до виконання. DEP на апаратній основі працює на будь-якому процесорі, що підтримує систему Windows 2003, але захищає лише обмежений набір системних файлів, що виконуються.

Серед інших важливих удосконалень системи безпеки SP1 - зміни в процесах виклику віддалених процедур (RPC) і в об'єктної моделі розподілених компонентів (DCOM). Щоб знизити діапазон можливих атак з використанням процесів RPC, в пакеті оновлень застосовуються скорочені дозволу при запуску об'єктів RPC. Для цього розробники Microsoft додали нові параметри в розділ реєстру HKEY_LOCAL_MACHINESOFTWARE PoliciesMicrosoftWindows NTRPC, які дозволяють системі Windows 2003 обмежувати доступ до інтерфейсу RPC. Новий параметр RestrictRemoteClient дозволяє змінювати поведінку входять RPC-з'єднань і припиняти анонімний віддалений доступ. Параметр EnableAuthEpResolution обмежує доступність кінцевих точок RPC.

Зміни внесені в модель DCOM для зниження ризику мережевої атаки. DCOM дозволяє віддалене виконання об'єктів COM. Пакет Windows 2003 SP1 посилює процес ідентифікації, необхідний моделі DCOM для активації об'єктів COM, дозволяючи відхиляти вхідні дзвінки протоколу DCOM.

Служба Windows Firewall

Ще одним поліпшенням системи безпеки, яке Microsoft взяла безпосередньо з релізу XP SP2, є служба Windows Firewall. Однак Windows Firewall з пакета SP1 не може замінити службу Microsoft ISA Server 2004. ISA Server встановлюється «по периметру» корпоративної мережі і фільтрує вхідний і вихідний трафики для всіх систем - одна система ISA Server може захистити всю внутрішню локальну мережу від зовнішніх погроз. І навпаки, Windows Firewall є «прив'язаним» до хосту (т. Е. Персональним) брандмауером, який розроблений для використання на всіх серверах у внутрішній мережі і для їх захисту як від внесетевих загроз, так і від загроз, що виходять від інших систем локальної мережі .

Як і версія зі складу XP, брандмауер в пакеті Windows 2003 SP1 блокує тільки вхідний трафік. Можна використовувати діалогове вікно Network Connections для настройки брандмауера в інтерактивному режимі. Також можна налаштувати його за допомогою вікна Group Policy або консольної команди Netsh. Пакет Windows 2003 SP1 автоматично встановлює службу Windows Firewall, але, щоб переконатися в максимальній сумісності з існуючими додатками, брандмауер не ввімкнено за умовчанням після оновлення операційної системи пакетом SP1. Якщо використовується інсталяційний носій з інтегрованим пакетом оновлень (т. Е. Інсталяційний компакт-диск, що містить пакет Windows 2003 SP1) для створення нової системи Windows 2003, служба Windows Firewall автоматично активується і блокує весь вхідний трафік до тих пір, поки користувач не звернеться до діалогового вікна Post-Setup Security Updates (PSSU), про яке буде розказано нижче. Така конфігурація захищає сервер, поки виконується початкове оновлення системи.

Служба Windows Firewall з пакета SP1 працює з трафіком обох типів, IPv6 і IPv4, і дозволяє налаштовувати виключення для мережевих додатків. Microsoft рекомендує використовувати новий майстер Security Configuration Wizard (SCW) для настройки брандмауера з пакету Windows 2003 SP1.

SCW

Найцінніша функція пакету Windows 2003 SP1, майстер SCW, допомагає знизити діапазон можливих атак на систему Windows. SCW може:

• налаштовувати блокування портів службою Windows Firewall;
• використовувати протокол IPsec для захисту відкритих портів;
• відключати необов'язкові служби;
• відключати необов'язкові Web-розширення служби Microsoft IIS;
• відключати необов'язкові протоколи;
• налаштовувати параметри аудиту.

Беручи до уваги значення майстра SCW, дивно, що він не встановлюється за умовчанням. Замість цього, не порушуючи принцип мінімального втручання, процес установки пакета SP1 розміщує ярлик SCW на робочому столі. Однак клацання на цьому значку лише виведе на екран файли допомоги SCW, а не запустить установку майстра. Щоб встановити його, потрібно використовувати додаток Add / Remove Windows Components папки Control Panel, після чого поставити прапорець у полі SCW, як показано на екрані 1. У процесі установки в меню Administrative Tools буде додано пункт Security Configuration Wizard.

При запуску SCW майстер видає набір діалогових вікон, щоб визначити роль, яку буде виконувати система. Набір ролей SCW величезний. У діалоговому вікні Security Configuration Database, зображеному на екрані 2, наведено приклад такої ролі. Визначені ролі зберігаються у вигляді файлів XML в папці% winnt% securitymsscwkbs. Створювані політики безпеки зберігаються в папці% winnt% securitymsscwPolicies. Оскільки вони являють собою файли XML, їх можна редагувати і копіювати на інші сервери. Однією з примітних особливостей майстра SCW є його здатність створювати політику безпеки з існуючої серверної конфігурації операційної системи. Даний крок дозволить вибрати базову систему, яку можна налаштовувати за власним бажанням, створити політику, засновану на налаштуваннях цієї системи, і застосувати її до інших систем. Щоб створити нову політику на основі існуючої системи, потрібно запустити майстер SCW і вибрати режим Create a new security policy. Потім слід ввести ім'я системи, яку вирішено використовувати в якості моделі, завершити етапи роботи майстра і зберегти політику.

Майстер SCW також може відключати політики безпеки, створені з його допомогою. Можна відключити раніше встановлену політику безпеки, запустивши SCW, вибравши режим Rollback the last applied security policy і задавши ім'я або IP-адресу системи, для якої потрібно відключити політику. Ця функція дозволяє легко повернути сервер в попередній стан, якщо політики працюють не так, як очікувалося. SCW також може аналізувати системи, щоб з'ясувати, чи нормально вони працюють із заданими політиками безпеки. Пакет Windows 2003 SP1 містить нову утиліту командного рядка scwcmd.exe, яка дозволяє застосовувати політики SCW в адміністративних сценаріях або включати виклик програми scwcmd.exe в файл cmdlines.txt для проведення автоматичної установки.

PSSU

Діалогове вікно PSSU автоматично запускається при першій реєстрації в системі, якщо не використовувалося вікно Group Policy для детальної активувати послугу Windows Firewall. Розроблене для захисту сервера від зовнішніх атак після первинного завантаження, вікно PSSU пропонує встановити останні системні оновлення і блокувати всі вхідні з'єднання. Щоб завершити роботу з PSSU, слід натиснути кнопку Finish в діалоговому вікні, зображеному на екрані 3.

PSSU дає посилання на службу Windows Update і дозволяє настроїти програму Automatic Updates. Якщо перезавантажити систему або скасувати роботу з PSSU, діалогове вікно автоматично відкриється після перезавантаження. Після того як буде завершена настройка початкових параметрів і натиснута кнопка Finish, PSSU перестане бути активним.

IE та інші

Хоча Microsoft Internet Explorer (IE) не є компонентом, який зазвичай використовується в серверному оточенні, він все-таки є частиною операційної системи, а отже, впливає на серверні установки. Беручи до уваги кількість вразливих місць, що мали місце в IE, не дивно, що пакет Windows 2003 SP1 містить всі модулі корекції для IE, включені Microsoft до складу системи XP SP2. Ці зміни і поліпшення досить численні, але про деякі все-таки варто згадати окремо:

• pop-up blocking - забороняє відображення спливаючих вікон;
• information bar - забезпечує повідомлення про блокованих даних;
• Add-on Manager - дозволяє перевіряти доповнення, що завантажуються службою IE.

Серед оновлених компонентів Windows 2003 SP1, не пов'язаних з серверної діяльністю, виділимо новий програвач Windows Media Player (WMP) 10, що містить безліч поліпшень в плані безпеки, і пакет Microsoft Office Outlook Express, який може вирішувати читання листів з простим текстом і блокувати обробку листів з приєднаними зображеннями.

Пакет Windows 2003 SP1 надає важливі оновлення операційної системи і поліпшення, пов'язані з безпекою, які, без сумніву, варто впроваджувати в усі системи Windows 2003. Засоби PSSU, SCW і Windows Firewall будуть корисні в будь-якій структурі. У мене жодного разу не виникало труднощів з установкою пакета SP1 і я не стикався з проблемами програмної сумісності або іншими несподіваними ускладненнями. Сміливо можу рекомендувати всім цей ненав'язливий метод впровадження нових можливостей в систему, який дозволяє самим користувачам вирішувати, чи застосовувати нові служби і в який момент.

Майкл Оті - Старший технічний редактор Windows IT Pro і президент компанії TECA. З ним можна зв'язатися за адресою: [email protected]