Mechanizmy zabezpieczeń

Sprawnie funkcjonująca sieć to nie wszystko. System musi być tak zabezpieczony, żeby byle robak internetowy lub nieuwaga użytkownika nie stanowiły zagrożenia. Bagatelizowanie problemów związanych z bezpieczeństwem sieciowym to skazywanie się na katastrofę, która prędzej czy później nadejdzie. Zobacz, jakie techniki pomagają zabezpieczyć Windows Server 2003.

Sprawnie funkcjonująca sieć to nie wszystko. System musi być tak zabezpieczony, żeby byle robak internetowy lub nieuwaga użytkownika nie stanowiły zagrożenia. Bagatelizowanie problemów związanych z bezpieczeństwem sieciowym to skazywanie się na katastrofę, która prędzej czy później nadejdzie. Zobacz, jakie techniki pomagają zabezpieczyć Windows Server 2003.

Serwery sieciowe są komputerami, których zadaniem jest świadczenie usług dla klientów sieci. Muszą to być wydajne, niezawodne, a przede wszystkim bezpieczne systemy. Jeśli powyższe warunki nie będą spełnione, awaria, przypadkowe albo celowe zniszczenie danych może sparaliżować pracę całej firmy. Microsoft Windows Server 2003 oferuje szereg mechanizmów służących do ochrony przechowywanych na nim informacji. Każdy użytkownik, któremu powierzono opiekę nad tym systemem, musi wiedzieć, na co stać jego serwer.

Sposoby na bezpieczny serwer

Zabezpieczanie serwera sieciowego nie ogranicza się do "wyklikania" serii parametrów systemu lub wprowadzenia do rejestru odpowiednich wartości. Czynności te, powinny być skutkiem przemyślanych działań, które należy rozpocząć od nakreślenia założeń bezpieczeństwa sieci i pracujących w niej stacjach. Kolejny istotny punkt to wskazanie źródeł zagrożeń i sposobów na ich likwidację.

Administrator sieci powinien wiedzieć, które z przechowywanych przez serwery informacji są najbardziej istotne dla działania firmy, jakie skutki przyniesie ich utrata oraz ile czasu zajmie ich odtworzenie. Na przykład istotniejsza będzie utrata lub kradzież budowanej przez lata bazy klientów niż skasowanie wzorów pism firmowych. Określenie źródeł zagrożeń pomaga przy doborze odpowiednich technologii i sposobów zabezpieczeń. Na przykład serwer podłączony na stałe do Internetu to potencjalne źródło ryzyka i bez firewalla się nie obędzie. Gdy na dysku serwera przechowywane są poufne informacje, należy skonfigurować uprawnienia oferowane przez system plików NTFS lub posłużyć się szyfrowaniem folderów.

Po zebraniu danych o sieci i źródłach zagrożeń można opracować skuteczne założenia zabezpieczenia serwera oraz wybrać najlepszy ze sposobów ochrony systemu. Windows Server 2003 oferuje wiele technik zwiększających bezpieczeństwo serwera, których funkcjonalność jest odpowiednia dla różnych środowisk sieciowych.

Active Directory

Okno ograniczania godzin logowania użytkownika.

Okno ograniczania godzin logowania użytkownika.

Sieci wykorzystujące oprogramowanie serwerowe Microsoftu mogą pracować w dwóch trybach, grupy roboczej i Active Directory. Grupy robocze przeznaczone są do bardzo małych firm, w których pracuje maksymalnie 10 stacji. Cechuje je brak serwera wyspecjalizowanego w przechowywaniu zasobów i zarządzaniu siecią. Ponieważ naturalnym środowiskiem pracy Windows Server 2003 jest Active Directory, nawet w niewielkich firmach zaleca się jej skonfigurowanie. Active Directory od grup roboczych wyróżnia to, że jest centralnie zarządzana. Jest w niej serwer (bądź grupa serwerów) odpowiedzialny za gromadzenie informacji o zasobach sieci. Do zasobów tych należą użytkownicy, grupy użytkowników, komputery, udostępnienia oraz drukarki. Za przechowywanie i udostępnienie tych informacji na serwerze odpowiada usługa Active Directory. Dzięki niej w jednym punkcie przechowywane są dane o komputerach pracujących w sieci, kontach i hasłach użytkowników. Każdy komputer w sieci musi zostać dodany do Active Directory (systemy Windows NT, 2000 i XP Professional). Wybór właściwego środowiska pracy ma olbrzymie znaczenie dla odpowiedniego zabezpieczania sieci. W grupach roboczych informacje o kontach i hasłach są rozproszone na wszystkie stacje, co utrudnia zarządzanie i jest potencjalnym zagrożeniem. Active Directory zapewnia mechanizmy zwiększające spójność sieci oraz jej odporność na zagrożenia.

Jedną z najważniejszych zalet stosowania Active Directory jest to, że zabezpieczenia obejmują całe środowisko sieciowe. Na przykład dla wszystkich użytkowników Active Directory wprowadzana jest jedna polityka zarządzania hasłami, obejmująca takie ustawienia jak: minimalna długość lub poziom skomplikowania haseł. Wszelkie zmiany wprowadzane są centralnie i natychmiast dotyczą wszystkich klientów sieci. Scentralizowane utrzymywanie informacji o kontach sprawia, że logowanie może być wykonywane z dowolnego punktu sieci. Użytkownicy nie muszą być przywiązani do swojego miejsca pracy i w każdej chwili mogą przejść do innego komputera. Ponieważ informacje o kontach są dostępne w dowolnym systemie, odpowiednie skonfigurowanie uprawnień pozwala na korzystanie z plików lub drukarek znajdujących się w każdym miejscu Active Directory.

Jeśli w sieci wymagany jest wysoki poziom zabezpieczeń, użytkownicy mogą logować się do Active Directory za pomocą kart inteligentnych lub innych rozwiązań sprzętowych.

Grupy i konta użytkowników

Prawa użytkowników serwera Windows Server 2003.

Prawa użytkowników serwera Windows Server 2003.

W sieciach wykorzystujących systemy firmy Microsoft, dostęp do wszystkich zasobów kontrolowany jest przez konta przechowywane w Active Directory. Ułatwia to takie czynności, jak kontrolowanie uprawnień oraz monitorowanie działań pracowników. Aby wejść do sieci, każdy z jej użytkowników musi się zalogować. Zanim to nastąpi, administrator powinien założyć i skonfigurować na kontrolerze Active Directory (serwerze Windows Server 2003 ) konto klienta. Podczas tworzenia konta użytkownika system operacyjny przypisuje mu unikatowy identyfikator, tzw. SID, który później jest wykorzystywany do ustalenia poziomu uprawnień do zasobów. Użytkownicy, poruszając się po sieci, posługują się nim tak, jak "dowodem osobistym lub przepustką". Okazanie "dowodu" uprawnia na przykład do odczytu danych umieszczonych w pliku. Identyfikator ten jest niepowtarzalny, co oznacza, że usunięcie i powtórne założenie konta o tej samej nazwie będzie się wiązało z otrzymaniem nowego SID.

Każde konto ma pokaźną grupę właściwości, które pozwalają na modyfikację zabezpieczeń, m.in. ograniczenie godzin logowania do sieci lub ograniczenie listy komputerów, z których wskazani użytkownicy mogą korzystać.

Do kont grup również są tworzone SID. Jeśli użytkownik przynależy do jednej lub wielu grup, jego "dowód osobisty", tzw. żeton, zawiera ich identyfikatory. Posługiwanie się grupami użytkowników, usprawnia zarządzanie zabezpieczeniami w sieciach. Jeżeli do korzystania z jednego zasobu, np. drukarki sieciowej, chcemy dać uprawnienie wielu użytkownikom, wystarczy założyć grupę i przypisać jej uprawnienia. Jest to zdecydowanie prostsze niż kolejne, mozolne, dodawanie do drukarki wielu kont. Późniejsze modyfikacje dostępu nie muszą się odwoływać do zasobu, lecz sprowadzają się do zmian w członkostwie grupy. Aby zablokować na przykład możliwość korzystania z drukarki użytkownikowi Jan Kowalski, wystarczy usunąć go z grupy i już.

Wykorzystywanie kont nie ogranicza się do konfigurowania uprawnień. W systemie Windows Server 2003 możemy przypisywać im tzw. prawa. Aby łatwiej zrozumieć, czym są prawa użytkowników lub grup, należy utożsamiać je z przywilejami przyznawanymi kontom do wykonywania poszczególnych czynności w systemie. Do czynności tych zaliczamy np. możliwość zmiany czasu systemowego lub lokalnego zalogowania się na stacji. Ta ostatnia właściwość jest np. ustawiona domyślnie na serwerze Windows Server 2003 po to, żeby ograniczyć lokalny dostęp z konsoli tylko do grupy Administratorzy.

UWAGA! W systemie Windows Server 2003 wprowadzono, znaną już z Windows XP, możliwość utworzenia dyskietki do resetowania haseł. Jej wykorzystanie jest szczególnie istotne w przypadku stosowania systemu szyfrowania plików.


Zobacz również