Zabarykadowany Windows Server 2008

Skuteczna konfiguracja mechanizmów zabezpieczeń serwera sieciowego decyduje o być albo nie być firmy. Windows Server 2008 wprowadza sporo ulepszonych narzędzi do ochrony systemu. Jednym z najważniejszych jest Windows Firewall.


Skuteczna konfiguracja mechanizmów zabezpieczeń serwera sieciowego decyduje o być albo nie być firmy. Windows Server 2008 wprowadza sporo ulepszonych narzędzi do ochrony systemu. Jednym z najważniejszych jest Windows Firewall.

Możliwości apletu Windows Firewall umieszczonego w Panelu sterowania zostały znacznie zubożone. Główne okno wyświetla najważniejsze dane o stanie usługi. Po kilknięciu przycisku Change Settings możesz zmienić jedynie podstawowe parametry zapory.

Możliwości apletu Windows Firewall umieszczonego w Panelu sterowania zostały znacznie zubożone. Główne okno wyświetla najważniejsze dane o stanie usługi. Po kilknięciu przycisku Change Settings możesz zmienić jedynie podstawowe parametry zapory.

Windows Server 2008 jest przeznaczony do realizacji usług sieciowych. W małych i średnich firmach najczęściej instalowane są role kontrolera domeny, serwera plików oraz wydruku. Instalacja ról za pomocą łatwych w obsłudze kreatorów jest bardzo prosta. Zadowolenie z dobrze wykonanej pracy może szybko minąć, gdy zaczniesz zastanawiać się nad poziomem bezpieczeństwa twojego nowiutkiego serwera. Każda z ról wymaga wprowadzenia odpowiednich ustawień zabezpieczeń. Jeśli baza Active Directory lub dane przedsiębiorstwa nie będą należycie chronione, mogą szybko paść ofiarą złośliwych użytkowników lub skryptów. Im więcej zadań otrzymał serwer, tym większym problemem jest kompleksowa i skuteczna ochrona systemu.

Podstawowe mechanizmy bezpieczeństwa Windows Server 2008

Zabezpieczenia systemu Windows Server 2008 obejmują wiele obszarów systemu. Administrator może konfigurować uprawnienia do drukarek, plików, rejestru, Active Directory, prawa do wykonywania określonych czynności w systemie operacyjnym lub zarządzania usługami serwera. Usługi świadczone przez Windows Server 2008 są w większości przypadków ściśle powiązane z siecią. Bez ról DHCP, DNS, NAP oraz udostępniania plików, drukarek i aplikacji system byłby podobny do zwykłej stacji roboczej. Osoba zarządzająca serwerem musi zadbać o właściwe zabezpieczenie dostępu przez sieć. Kompleksową konfigurację bezpieczeństwa można wykonać za pomocą narzędzi Security Templates albo Security Configuration Wizard. Nie mniej istotną rolę odgrywa Windows Firewall.

Zapora systemu Windows Server 2008 jest jednym z podstawowych sposobów zabezpieczania serwera. Jej zadaniem jest filtrowanie ruchu sieciowego przychodzącego oraz opuszczającego Windows Server 2008. Możliwość dokładnej kontroli komunikacji sieciowej kierowanej do serwera zapobiega uzyskaniu nieautoryzowanego dostępu do aplikacji i usług sieciowych. Nadzorowanie ruchu wychodzącego wyklucza takie niebezpieczeństwa, jak: próby nawiązania połączenia z systemami zewnętrznymi wywołane przez wirusy i robaki, które przeniknęły do systemu, próby zainfekowania kolejnych komputerów sieciowych lub próby rozsyłania spamu.

Nowe możliwości wbudowanej w system zapory sieciowej

Konsola Windows Firewall with Advanced Security pozwala na zarządzanie zaawansowanymi ustawieniami zapory. Łatwe kreatory pomogą ci utworzyć nawet bardzo skomplikowane reguły komunikacji przychodzącej, wychodzącej oraz zabezpieczania połączeń. Jeśli chcesz sprawdzić bieżące ustawienia zapory, wystarczy przejść do folderu Monitoring.

Konsola Windows Firewall with Advanced Security pozwala na zarządzanie zaawansowanymi ustawieniami zapory. Łatwe kreatory pomogą ci utworzyć nawet bardzo skomplikowane reguły komunikacji przychodzącej, wychodzącej oraz zabezpieczania połączeń. Jeśli chcesz sprawdzić bieżące ustawienia zapory, wystarczy przejść do folderu Monitoring.

W porównaniu do zapory w Windows Server 2003, firewall wbudowany w Windows Server 2008 zawiera pokaźną grupę dodatkowych funkcji oraz rozszerzeń. Pierwsza to możliwość automatycznego blokowania nieautoryzowanych pakietów wysyłanych przez serwer. Wysyłanie i odbieranie danych jest kontrolowane przez zespół reguł komunikacyjnych. Lista predefiniowanych, gotowych do implementacji reguł zawiera definicję większości typów komunikacji realizowanych przez serwer. Są to: udostępnianie plików i drukarek, dostęp do portów wykorzystywanych przez DHCP, DNS i Active Directory i wiele innych.

Informacja o usłudze Windows Firewall z Panelu sterowania

Administratorów systemów Windows Server 2003 ucieszy zmiana sposobu konfiguracji firewalla. Stary interfejs zapory zastąpiono nową konsolą administracyjną, instalowaną w konsoli Server Manager albo w grupie narzędzi administracyjnych systemu. Przystawka Windows Firewall with Advanced Security znacznie poprawia czytelność konfigurowania oraz monitorowania funkcjonowania zapory. Za zarządzanie poszczególnymi obszarami zabezpieczeń odpowiadają foldery Inboud Rules, Out-bound Rules, Connection Security Rules oraz Monitoring.

Kolejną nowością jest integracja zapory z protokołem IPSec. Technologia IPSec umożliwia ochronę ruchu sieciowego przez weryfikację integralności pakietów oraz szyfrowanie danych. Integracja tej usługi z Windows Firewall pozwala na precyzyjne izolowanie komunikacji między systemami domenowymi od pojawiających się w sieci obcych komputerów. Rozszerzeniem, które w wypadku serwerów nie ma fundamentalnego znaczenia, jest wprowadzenie profili sieci. Reguły komunikacji mogą być uzależnione od typu sieci, w której pracuje serwer. Są trzy profile: Domain, Private i Public. Ostatnią nowością godną odnotowania jest obsługiwanie przez zaporę protokołu IP wersji 6.

Podstawowa przystawka do zarządzania zaporą

Podstawowe parametry ustawisz po wywołaniu właściwości zapory Windows Server 2008. Karty profili Domain, Private oraz Public służą do ustawienia parametrów komunikacji przychodzącej i wychodzącej, związanych z typem sieci, do której jest podłączony serwer. Karta IPSec default pozwala na przypisanie domyślnych właściwości bezpiecznych połączeń zestawianych przy użyciu technologii IPSec.

Podstawowe parametry ustawisz po wywołaniu właściwości zapory Windows Server 2008. Karty profili Domain, Private oraz Public służą do ustawienia parametrów komunikacji przychodzącej i wychodzącej, związanych z typem sieci, do której jest podłączony serwer. Karta IPSec default pozwala na przypisanie domyślnych właściwości bezpiecznych połączeń zestawianych przy użyciu technologii IPSec.

Pierwsze zmiany związane z ulepszonym modelem zapory zauważysz po otwarciu apletu Windows Firewall z Panelu sterowania. Zamiast starego okna konfiguracji usługi powita cię okno wyświetlające bieżący stan zapory. Pokazuje tryb pracy firewalla, ustawienia powiadamiania o blokowaniu aplikacji oraz typ połączenia sieciowego. Modyfikacja parametrów zapory jest wykonywana po kliknięciu odnośnika Turn Windows Firewall On or Off, Change Settings albo Allow a program through Windows Firewall. Każdy przeniesie cię do odpowiedniej karty konfiguracyjnej podstawowego interfejsu firewalla.

Podobnie jak w poprzednich wersjach Windows, zapora może pracować w trzech trybach: włączonym (On), wyłączonym (Off) oraz włączonym z opcją Block all incoming connections. Zmieniła się jedynie nazwa trybu pracy blokowania wszystkich połączeń. W Windows XP opcja ta nosiła nazwę Nie zezwalaj na wyjątki. Parametr Block all incoming connections wyłącza dostęp do wszystkich usług sieciowych systemu. Jeśli uaktywnisz tryb On, połączenia z serwerem będą realizowane wyłącznie wtedy, gdy są zgodne z regułami zdefiniowanymi na karcie Exceptions. Pamiętaj, że system domyślnie włącza usługę Windows Firewall. Ze względów bezpieczeństwa nie powinieneś zmieniać tego ustawienia. Wyłączenie zapory albo blokowanie wszystkich połączeń należy wybrać tylko w wypadku doraźnej diagnostyki komunikacji sieciowej lub serwera.

Właściwości reguł komunikacyjnych mogą cię pozytywnie zaskoczyć. Oprócz standardowego włączania lub wyłączania filtrowania zapora pozwala na dokładne wskazanie blokowanych usług, zakresów sieci, użytkowników, komputerów oraz typów interfejsów objętych działaniem reguły.

Właściwości reguł komunikacyjnych mogą cię pozytywnie zaskoczyć. Oprócz standardowego włączania lub wyłączania filtrowania zapora pozwala na dokładne wskazanie blokowanych usług, zakresów sieci, użytkowników, komputerów oraz typów interfejsów objętych działaniem reguły.

Karta Exceptions służy do wskazywania usług oraz programów przyjmujących połączenia przychodzące. Lista pozycji została znacznie rozszerzona. Oprócz standardowych usług typu File and Printer Sharing i Remote Desktop możesz włączać wiele dodatkowych, np. Remote Event Log Management albo Windows Firewall Remote Management. Aktywacja dostępu sieciowego polega na zaznaczeniu wybranej pozycji. W poprzedniej wersji zapory każdy z wyjątków mógł być edytowany. Obecnie możesz wyłącznie sięgnąć do przycisku Properties i wyświetlić opis usługi. Zmiana parametrów predefiniowanych wyjątków jest możliwa dopiero po uruchomieniu zaawansowanej przystawki do konfiguracji zapory - Windows Fire-wall with Advanced Security. Okno zarządzania filtrowaniem w dalszym ciągu zawiera przyciski Add Program i Add Port. Służą one do dodawania kolejnych wyjątków. Po naciśnięciu przycisku Add Program możesz wybrać albo wyszukać aplikację dostępną dla klientów sieci. Jeśli program lub usługa korzysta ze znanego numeru portu protokołu TCP/IP, naciśnij przycisk Add Port. Konfiguracja dostępu polega na wprowadzeniu nazwy i numeru portu TCP albo UDP. Dodatkowe ustawienia sieci odnajdziesz po kliknięciu Change scope. Zakres sieci pozwala na wskazanie, z jakiego obszaru sieci może przychodzić połączenie. System umożliwia połączenia z dowolnej sieci (Any Computer), lokalnej podsieci Windows Server 2008 (My network (subnet) only) oraz grupy adresów IP (Custom list). Znacznej przebudowy doczekała się karta Advanced. Nowe sposoby zarządzania zaporą spowodowały, że część ustawień znikła z okna konfiguracyjnego. Parametry dzienników oraz filtrowania protokołu ICMP zostały przeniesione do zaawansowanej konsoli zarządzania zaporą.