Материал Аудит. воссоздание официальных звонков от банковских и других ivr (англ. Interactive Voice Response) систем 40, с. 175
 Скачать 3.81 Mb.
|
|
Тема 5. Безопасность MICROSOFT WINDOWS SERVER 2008 1. Преимущества Microsoft Windows Server 2008 Microsoft Windows Server 2008 — это серверная операционная система, созданная для компаний любого размера и обеспечивающая надежную, гибкую и масштабируемую платформу для автоматизации различных бизнес-задач. Новые средства виртуализации, поддержка современных веб- технологий и расширения в области безопасности, помогают сократить время, требующееся на развертывание и сопровождение приложений, снизить затраты на обслуживание и использовать платформу в качестве основы для динамических центров обработки данных. Новые и расширенные компоненты операционной системы, такие как Internet Information Server 7.0 (IIS7), Windows Server Manager и Windows PowerShell, позволяют упростить задачи управления серверами и облегчить конфигурацию и сопровождение. Расширения, связанные с безопасностью и надежностью, такие как Network Access Protection и Read-Only Domain Controller делают операционную систему более защищенной и позволяют использовать ее в качестве платформы для выполнения различных бизнес-задач. При выборе серверной операционной системы всегда следует обращать внимание на ключевые сценарии, для реализации которых она предназначена. В случае с новой серверной операционной системой Microsoft Windows Server 2008, таких ключевых сценариев четыре: платформа для веб-приложений, виртуализация, надежность и безопасность, а также платформа для решения бизнес-задач различных классов.  Ключевые сценарии использования Windows Server 2008 Платформа для выполнения бизнес-задач Windows Server 2008 — это наиболее гибкая и надежная операционная система в семействе операционных систем Windows Server. Новые технологии и возможности, такие как Server Core, PowerShell, Windows Deploy-ment Services, расширенные сетевые и кластерные технологии позволяют говорить о Windows Server 2008 как о надежной и масштабируемой платформе для обеспечения реализации ключевых бизнес-сценариев и выполнения бизнес-приложений. Среди ключевых компонентов Windows Server 2008, обеспечивающих платформу для выполнения бизнес-задач, выделим следующие: - Server Manager — унифицированный механизм управления сервером, построенный на основе Microsoft Management Console (MMC) и предоставляющий в распоряжение IТ-специалистов интегрированное решение для добавление, удаления и конфигурирования серверных ролей, ролевых сервисов и дополнительных функций. - Windows Deployment Services (WDS) представляет собой набор компонентов, совместно работающих под управлением Windows Server 2008 и обеспечивающих механизмы упрощенного и надежного сетевого развертывания операционных систем семейства Windows на компьютерах без необходимости в ручной установке программного обеспечения на каждый отдельный компьютер. - Windows PowerShell — оболочка, расширяющая функциональность командной строки и позволяющая выполнять пакетные программы и утилиты, написанные на скриптовом языке. Использование Windows Power- Shell помогает IТ-специалистам автоматизировать наиболее частые задачи и получить более простой контроль над системой — как локальной, так и удаленной, развернутой, например, в филиале (branch office). - Server Core — новая опция установки Windows Server 2008, включающая ограниченный набор ролей и соответствующих ролевых сервисов и обеспечивающая более надежную и защищенную серверную платформу, требующую минимальных затрат на обслуживание и установку обновлений. - В состав Windows Server 2008 входит новая реализация стека протоколов TCP/IP, которая известна под названием «Next Generation TCP/IP Stack». Стек протоколов TCP/IP нового поколения представляет собой полностью переписанную функциональность TCP/IP, отвечающую современным требованиям к сетевым протоколам, коммуникационным механизмам и технологиям. - Отказоустойчивые кластеры (Failover Cluster, ранее назывались Server Clusters) представляют собой группу независимых компьютеров, работающих вместе для обеспечения высокой доступности приложений и сервисов. Реализованные в Windows Server 2008 улучшения в кластерных технологиях призваны упростить создание кластерной инфраструктуры, сделать ее более защищенной и повысить стабильность решений на базе отказоустойчивых кластеров. Платформа для веб-приложений Windows Server 2008 представляет собой мощную платформу для создания и выполнения веб-приложений и сервисов и позволяет компаниям эффективно реализовывать различные веб-приложения. Выпуск Internet Information Server 7.0 (IIS7) в составе Windows Server 2008 обеспечивает улучшенное администрирование и диагностику, поддержку расширенных средств разработки и снижение затрат на инфраструктуру. Полная модульная организация веб-сервера с возможностью создания собственных расширений решает ключевые бизнес-задачи, поддерживает хостинг приложений и обеспечивает совместимость с уже существующими решениями. Технология совместной работы Microsoft Windows SharePoint Services 3.0 помогает организациям улучшить бизнес-процессы и увеличить продуктивность командной работы. Богатый набор функциональности и утилит обеспечивает сотрудников доступом к удаленным рабочим пространствам (workspaces) и документам для совместной работы непосредственно из веб-браузера, тем самым разрушая организационные и географические границы. Windows Media Services — набор сервисов для доставки потоковой информации с упрощенными средствами администрирования, настройки и повышенной масштабируемостью. Виртуализация Встроенные в Windows Server 2008 технологии виртуализации (Windows Server virtualization, Hyper-V) позволяют компаниям снизить затраты, увеличить утилизацию аппаратных средств, оптимизировать инфраструктуру и увеличить доступность серверов. Виртуализация в Windows Server использует 64-битную платформу на основе гипервизора, что позволяет увеличить надежность и масштабируемость. Виртуализация помогает организациям оптимизировать использование аппаратных ресурсов за счет консолидации серверов. Помимо этого, виртуализация использует такие компоненты платформы Windows Server 20.08, как отказоустойчивые кластеры для обеспечения высокой доступности и защиты доступа к сети — Network Access Protection (NAP). Гибкость работы мобильных сотрудников обеспечивается возможностью запуска приложений на удаленных компьютерах — это возможно благодаря поддержке в Windows Server 2008 таких технологий, как Terminal Services RemoteApp и Terminal Services Gateway. Надежность и безопасность Windows Server 2008 — самый защищенный сервер в семействе серверов Windows Server. Безопасная операционная система и расширения в области безопасности, включая Network Access Protection, Federated Rights Management и Read-Only Domain Controller обеспечивают уровни защиты данных, ранее отсутствовавшие в системе. В состав Windows Server 2008 включены такие средства безопасности, как расширенное шифрование, средства аудита и ряд других, помогающих организациям защитить от хищения данные, используя средства Rights Management Services, а также технологии BitLocker и механизмы Group Policy. Ключевые преимущества и основные причины перехода на Windows Server 2008 Можно выделить ряд ключевых преимуществ Windows Server 2008 по сравнению с предыдущими версиями операционных систем семейства Windows Server. К ним относятся: Надежная серверная платформа, обеспечивающая безопасность, управляемость, совместимость, быстрое время отклика и поддержку широкого числа стандартов; Платформа, поддерживающая быстрое создание и развертывание широкого спектра приложений; Повышенная операционная эффективность и низкие затраты на под- держание IТ-инфраструктуры; Сетевые функции, управляемые политиками, улучшенные средства поддержки филиалов и расширенные механизмы для конечных пользователей; Платформа для прикладных решений, поддерживающая гибкость, коммуницируемость и богатые интерфейсные возможности; Платформа, предоставляющая более безопасную и надежную IТ-инфраструктуру, помогающую компаниям решать бизнес-задачи. Windows PowerShell с более чем 120 стандартными утилитами и возможностью включения расширений 2. Средства обеспечения безопасности Windows Server 2008 — наиболее защищенный из всех продуктов семейства Windows Server. Повышенная безопасность операционной системы и новинки системы безопасности, включая систему защиты доступа к сети, федеративные службы управления правами и контроллер домена только для чтения, обеспечивают максимальный уровень защиты сети, данных и всего бизнеса. Windows Server 2008 позволяет защитить серверы, сети, данные и учетные записи пользователей от сбоев и вторжений. Технология защиты доступа к сети позволяет изолировать компьютеры, которые не отвечают требованиям действующих политик безопасности, и обеспечивает для сети механизм ограничения доступа, устранения недостатков и непрерывной проверки соответствия. Федеративные службы управления правами поддерживают постоянную защиту конфиденциальных данных, помогают сократить риски, обеспечивают соблюдение регулятивных норм и формируют платформу для комплексной защиты информации. Контроллер домена только для чтения (RODC) позволяет развертывать службы Active Directory с ограниченной репликацией полной базы данных Active Directory для улучшения защиты на случай кражи или взлома сервера. В операционной системе Windows Server 2008 существует много возможностей, благодаря которым повышается защищенность системы и соответствие ее требованиям безопасности. Ниже перечислены некоторые из ключевых нововведений. - Принудительное соответствие клиентов требованиям безопасности. Технология защиты доступа к сети (NAP) позволяет администраторам настроить клиентские компьютеры и обеспечить их соответствие определенным требованиям безопасности прежде, чем они смогут получить доступ к сети. - Мониторинг центров сертификации. Инфраструктура PKI предприятия расширяет возможности по мониторингу и устранению неполадок во множественных центрах сертификации. - Усовершенствования брандмауэра. В новом режиме повышенной безопасности брандмауэра Windows имеется ряд улучшений защиты. - Шифрование и защита данных. Технология BitLocker позволяет зашифровать диск, чтобы защитить важные данные. - Средства криптографии. Средства шифрования нового поколения обеспечивают гибкую платформу для разработки криптографии. - Изоляция серверов и доменов. Ресурсы сервера и домена могут быть изолированы для обеспечения доступа к ним только с авторизованных компьютеров, прошедших проверку подлинности. - Контроллер домена только для чтения (RODC). Контроллер домена только для чтения — это новый способ установки контроллера домена, предназначенный для удаленных филиалов с низким уровнем защиты физического доступа к серверам. Эти улучшения помогают администраторам повысить уровень безопасности в организации и упростить развертывание параметров защиты и управление ими. Рассмотрим эти механизмы более подробно. Начнем с технологии Network Access Protection. Защита доступа к сети Технология NAP (Network Access Protection — защита доступа к сети) предотвращает доступ к сети с компьютеров, не отвечающих требованиям безопасности, и тем самым защищает сеть организации от компрометации. Технология NAP используется для настройки и реализации требований безопасности, которым должны соответствовать компьютеры пользователей. С ее помощью на компьютер, не отвечающий требованиям, устанавливаются необходимые обновления или переустанавливаются соответствующие компоненты, и только после этого он может получить доступ к сети организации. С помощью технологии NAP администраторы могут настроить параметры политик соответствия требованиям безопасности. К таким требованиям могут относиться требования установки на компьютер необходимого ПО, требования установки необходимых обновлений и требования к конфигурации компьютеров, которые подключаются к сети организации. Служба NAP производит оценку соответствия компьютеров заданным требованиям и ограничивает доступ к сети в случае, если компьютер и не отвечает. В приведении компьютера в соответствие требованиям безопасности для предоставления ему полноценного доступа к сети участвуют как серверные компоненты, так и компоненты клиентской системы. Если выявлено, что клиентский компьютер не отвечает требованиям безопасности, ему может быть отказано в доступе к сети, или на него могут быть немедленно установлены исправления, необходимые для приведения его в соответствие этим требованиям. Для принуждения соответствия компьютеров требованиям безопасности в службе NAP используются возможности таких технологий доступа к сети, как протоколы IPSec и 802. IX, принудительное использование виртуальных частных сетей для маршрутизации и удаленного доступа и принудительное использование протокола DHCP. Сценарии защиты доступа к сети (NAP) Представляя собой наиболее гибкое для заказчиков решение, защита доступа к сети взаимодействует с ПО поставщика, которое либо содержит агент System Health Agent (SHA) и средства оценки работоспособности системы System Health Validators (SHV), либо распознает опубликованный набор интерфейсов программирования. В качестве примеров решений сторонних поставщиков, которые работают с защитой доступа к сети, можно назвать антивирусную программу, виртуальную частную сеть или сетевое оборудование. Защита доступа к сети предоставляет решение для следующих распространенных сценариев. - Проверка работоспособности и состояния мобильных переносных компьютеров с помощью защиты доступа к сети сетевые администраторы могут проверять состояние любого переносного компьютера, когда он повторно подключается к сети компании, без ущерба для его мобильности и гибкости. - Поддержание работоспособности настольных компьютеров. - Благодаря дополнительному управляющему ПО можно создавать автоматические отчеты, выполнять автоматическое обновление компьютеров, не соответствующих требованиям, а в случае изменения администраторами политик работоспособности компьютеры могут автоматически получать последние обновления, которые предотвращают угрозы их работоспособности со стороны общедоступных ресурсов. - Определение состояния переносных компьютеров, получающих доступ в сеть. - Благодаря защите доступа к сети администраторы могут определить, имеют ли посещающие ее переносные компьютеры полномочия на доступ, и если нет, лимитировать их доступ к ограниченной сети, не требуя обновления или изменения конфигурации этих переносных компьютеров. - Проверка соответствия требованиям и работоспособности неуправляемых домашних компьютеров - С помощью защиты доступа к сети сетевые администраторы могут проверять наличие необходимых программ, параметров реестра, файлов или их сочетания всякий раз, когда домашний компьютер подключается к сети через виртуальную частную сеть; также они могут лимитировать подключение к ограниченной сети, пока не будут выполнены требования к работоспособности системы. Режим повышенной безопасности брандмауэра Windows Встроенный в операционную систему Windows Server 2008 брандмауэр Windows (управляемый брандмауэр) в режиме повышенной безопасности является индивидуальным брандмауэром с отслеживанием состояний соединений, который может пропускать или блокировать сетевой трафик в соответствии с заданными параметрами и запущенными приложениями. Такой режим работы позволяет защитить сеть от вредоносных программ и действий пользователей. Одной из новых возможностей брандмауэра является перехват, как входящего, так и исходящего трафика. Сетевой администратор может, к примеру, настроить брандмауэр Windows таким образом, чтобы за некоторыми исключениями заблокировать исходящий трафик, отправляемый на определенные порты, например на наиболее распространенные порты, используемые компьютерными вирусами, или заблокировать исходящий трафик, отправляемый на определенные адреса и содержащий конфиденциальные или нежелательные данные. Это позволяет защитить компьютер от вирусов, распространяемых по сети, а также защищает сеть от вирусов, которые могут попытаться распространить себя с зараженной системы. Так как количество настраиваемых параметров в брандмауэре Windows увеличилось, для упрощения администрирования брандмауэра была добавлена оснастка управления брандмауэром Windows в режиме повышенной безопасности для консоли управления ММС. Эта новая оснастка упрощает удаленную настройку и управление брандмауэром Windows на клиентских рабочих станциях и серверах. Раньше для этого приходилось использовать подключение к удаленному рабочему столу. В предыдущих версиях операционной системы Windows Server настройка брандмауэра Windows производилась отдельно от настройки параметров протокола IPsec. Так как и индивидуальный брандмауэр, и протокол IPsec могут блокировать или разрешать входящие соединения, правила протокола IPsec и исключения брандмауэра могут перекрываться или противоречить друг другу. В новом брандмауэре Windows в операционной системе Windows Server 2008 настройка обеих сетевых служб объединена общим графическим пользовательским интерфейсом и командами командной строки. Такая интеграция настройки брандмауэра и параметров протокола IPsec упрощает настройку этих служб и помогает предотвратить перекрывающиеся или противоречивые правила. |