В этой статье мы рассмотрим доступные варианты содержания сервера в
безопасности с использованием технологий Microsoft Automatic Updates и Software
Update Services, а также практику применения этих вариантов.
Blaster, Love Bug, Nimda, Melissa - это компьютерные вирусы, распространенные
в наши дни, поэтому инфраструктура Windows должна их учитывать. Анитивирусное
ПО, брэндмауэры и управление заплатами должно быть частью крохотных
вычислительных сред. Если пользователи на терминальном сервере пользуются почтой
или выходят в интернет, вы должны быть бдительными и содержать сервер в
безопасности. К счастью, ограничительные разрешения на терминальном сервере
затрудняют занесение вирусов в систему, тем не менее вы должны быть готовы ко
всему.
В этой главе мы рассмотрим доступные варианты содержания сервера в
безопасности с использованием технологий Microsoft Automatic Updates и Software
Update Services, а также практику применения этих вариантов.
Вирусы, черви, трояны...
Существует несколько типов вредоносного кода, от которого необходимо защищать
систему. Хотя такой код обобщенно называют "вирусами", существует разница между
вирусами, троянами и червями.
Вирус - это небольшая программа, которая написана с целью изменения -
без ведома пользователя - функционирования компьютера. Вирусы имеют исполняемый
код либо в виде смостоятельной программы, либо в виде макроса, содержащегося в
другом файле, и он дожен иметь возможность копировать самого себя, чтобы
продолжать работу после завершения начальной программы или макроса. Примеры
вирусов:
- Загрузочные вирусы, например, Michelangelo и Disk Killer, устанавливают
себя в загрузочный сектор жесткого диска, чтобы выполняться перед запуском
операционной системы.
- Макровирусы, например, Melissa и Nice Day, которые находятся внутри
документов Office. Эти вирусы запускаются при открытии документа и пытаются
инфицировать другие документы Office или шаблоны, чтобы новые создаваемые
документы также оказались зараженными.
Червь - это программа, которая использует ошибки в проектировании или
брешь в безопасности ОС. Черви способны распространяться с одного компьютера на
другой без помощи файла, хотя некоторые могут распространяться посредством
копирования зараженного файла с одного компьютера на другой. Типичный пример
такого червя - это Blaster, который использует брешь в RPC и позволяет удаленно
исполнять код на других компьютерах сети для саморазмножения.
Троян - это программа, которая содержится внутри другой внешне
безобидной программы. При запуске такой программы (например, хранителя экрана,
поздравительной открытки, shareware-программы) в систему инсталлируется троян.
Трояны могут выполнять роль spyware (шпионских программ), отправляя
конфиденциальную информацию третьей стороне или могут использоваться для атак
типа DoS. Основное отличие троянов от вирусов состоит в том, что трояны сами не
размножаются - для инфицирования системы они должны быть запущены вручную.
Атака DoS посылает большое количество запросов на некоторый
сервер или URL, вызывая сильную загрузку сервера и предотвращая обслуживанием
им других запросов. Распределенная атака DoS использует вирусы, трояны или червей
для подчинения нескольких компьютеров в Интернет, приказывая им одновременно атаковать
некоторый сервер.
Вы должны защищать сервер от любого вредного кода. Вы можете это делать с
помощью комбинации разрешений файловой системы, настроек групповых политик,
антивирусного ПО, заплат безопасности, распространяемых Microsoft.
Если вы используете разрешения по умолчанию и храните пользователей в группе
Users (не в Power Users), то ваша система защищена от большей части вирусов и
троянов, которые пытяются заразить системные файлы или файлы в каталоге Program
Files. Кроме того, вы можете использовать групповые политики для дополнительных
ограничений, например, ограничить пользователей процессами и приложениями,
которые они могут выполнять, запретить запись на диск С сервера и т.п.
Даже с улучшенной безпасностью файловой системы WS2K3 и дополнительными
ограничениями, которые могут быть наложены групповыми политиками, полезно
установить антивирусное ПО и систему управленяи патчами - авторы вирусов
постоянно изобретают новые способы навредить вашей системе.
В WS2K3 включен новый инструмент, называемый Internet Explorer Enhanced
Security Configuration. После его установки, он меняет настройки безопасности в
Internet Explorer, уменьшая подверженность потенциально вредному коду, который
может быть найден в Web и прикладных скриптах.
Internet Explorer Enhanced Security Configuration по умолчанию
устанавливается для всех групп пользователей WS2K3, если вы не добавили роль
терминального сервера - конфигурация Internet Explorer Enhanced Security
Configuration на терминальном сервере зависит от метода установки операционной
системы:
Тип установки |
Enhanced Security Configuration |
Administrators |
Power Users |
Limited Users |
Restricted Users |
Обновление ОС |
Yes |
Yes |
No |
No |
Тихая инсталляция ОС |
Yes |
Yes |
No |
No |
Ручная инсталляция Terminal Services |
Yes |
Yes |
Prompt |
Prompt |
При ручной установке роли Terminal Services, мастер Configure Your Server
Wizard предлагает запретить Internet Explorer Enhanced Security Configuration
для групп Limited Users и Restricted Users. Это улучшает браузинг в интернет для
этих пользователей и защита полагается на разрешения файловой системы, а ОС
предотвращает таким пользователям выполнять или инсталлировать вредный код.
Независимо от разрешения или запрещения Internet Explorer
Enhanced Security Configuration, группам Limited Users и Restricted Users запрещается
инсталлировать на терминальный сервер элементы ActiveX. Администратор должен вручную
инсталлировать необходимые компоненты на сервере.
Чтобы вручную разрешить или запретить Internet Explorer Enhanced Security
Configuration, используйте Add/Remove Programs в панели управления:
Если вы хотите разрешить Internet Explorer Enhanced Security Configuration
для всех пользователей, отметьте соответствующую опцию. Чтобы указать группы, к
которым будет применяться Internet Explorer Enhanced Security Configuration,
щелкните Details. В появившемся окне вы можете применить расширенную
безопасность к администраторам и прочим группам. На терминальном сервере лучше
всего разрешить для администраторов и запретить для остальных групп.
Изменения, вносимые Internet Explorer Enhanced Security Configuration
Internet Explorer Enhanced Security Configuration меняет настройки зоны для
IE, повышая безопасность:
Зона |
Уровень по умолчанию |
Уровень, устанавливаемый
Internet Explorer Enhanced Security Configuration |
Internet Zone |
Medium |
High |
Local Intranet Zone |
Medium Low |
Medium Low |
Trusted Sites Zone |
Low |
Medium |
Restricted Sites Zone |
High |
High |
Помимо изменения уровня безопасности зон, Internet Explorer Enhanced Security
Configuration меняет зону для всех веб-сайтов интранет. По умолчнию все сайты
интранет (определяемые вашим суффиксом DNS), находятся в локальной зоне интранет
(Local Intranet Zone). При включенном Internet Explorer Enhanced Security
Configuration, сайты интранет помещаются в зону Интернет (Internet Zone) и
обрабатываются с уровнем безопасности High, если вы вручную не добавили их в
зону Local Intranet Zone. Единственные сайты в локальной зоне Local Intranet
Zone при использовании Internet Explorer Enhanced Security Configuration - это
локальные сайты (http://localhost, https://localhost, hcp://system). Локальные
сайты должны находиться в локальной зоне интранет для правильной работы
различных утилит. Internet Explorer Enhanced Security Configuration также меняет
расширенные свойства:
Свойство |
Параметр |
Новое
значение |
Результат |
Browsing |
Вывод диалога конфигурации расширенной безопасности |
On |
Выводит окно с предупреждением, что сайт интернет пытается использовать
скрипт или ActiveX. |
Browsing |
Enable Browser Extensions |
Off |
Запрет всех особенностей, которые вы инсталлировали для использования
с IE и которые созданы компаниями, отличными от Microsoft. |
Browsing |
Enable Install On Demand (Internet Explorer) |
Off |
Запрет установки компонентов IE, если это запрашивается веб-страницей. |
Browsing |
Enable Install On Demand (Other) |
Off |
Запрет установки компонентов, если это запрашивается веб-страницей. |
Microsoft VM |
JIT compiler for virtual machine enabled (requires restart) |
Off |
Запрет компилятора Microsoft VM. |
Multimedia |
Don't display online content in the media bar |
On |
Запрет воспроизведения содержимого в полосе IE. |
Multimedia |
Play sounds in Web pages |
Off |
Запрет музыки и прочих звуков |
Multimedia |
Play animations in Web pages |
Off |
Запрет анимации |
Multimedia |
Play videos in Web pages |
Off |
Запрет видеоклипов |
Security |
Check for server certificate revocation (requires restart) |
On |
Автоматически проверяет - не аннулирован ли сертификат веб-сайта
перед тем, как принять сертификат. |
Security |
Check for signatures on downloaded programs |
On |
Автоматически проверяет и отображает идентичность загружаемых
программ. |
Security |
Do not save encrypted pages to disk |
On |
Запрет сохранения ащищенной информации в папке Temporary Internet
Files. |
Security |
Empty Temporary Internet Files folder when browser is closed |
On |
Автоматическая очистка папки Temporary Internet Files при закрытии
браузера. |
Браузинг может быть чрезмерно ограничен, если вы примените Internet Explorer
Enhanced Security Configuration. Если вы используете инструменты на основе Web,
или Web-станицы с активным содержимым для системного администрирования, вам
следует добавить эти сайты либо в зону Local Intranet Zone, либо в зону Trusted
Sites Zone. Для облегчения изменения зон, Microsoft добавила в IE в меню File
элемент Add this site to… (если разрешен Internet Explorer Enhanced
Security Configuration). Тогда если вам попадется веб-страница с активным
содержимым, то появится окно с предупреждением и кнопкой, позволяющей добавить
сайт в список доверенных сайтов.
Управление разрешенными элементами ActiveX
Независимо от Internet Explorer Enhanced Security Configuration, группам
Limited Users и Restricted Users запрещена установка любых элементов ActiveX и
другого активного кода на терминальном сервере - члены этих групп просто не
имеют прав записи в каталоги, где хранятся активные элементы.
Однако, иногда необходимо разрешить пользователям доступ к веб-страницам,
использующих активный код. Вам, как администратору, необходимо управлять такими
элементами. Вы можете делать это разными способами. Для ручной инсталляции
элементов для пользователей:
- Зарегистрируйтесь на терминальном сервере под администратором и откройте в
IE веб-страницу с активным содержимым.
- Если разрешен Internet Explorer Enhanced Security Configuration, вы получите
предупреждение. Щелкните Add… для добавления сайта в список доверенных
сайтов, либо выберите из меню File пункт Add this site to… для добавления
сайта в локальную зону интранет
- Появится еще одно окно, предлагающее установить активный элемент; выберите
опцию Always trust… и щелкните OK.
- Элемент теперь установлен для пользователей терминального сервера.
При администрировании большого числа терминальных серверов вам вряд ли
захочется инсталлировать элементы на каждом сервере. Для автоматизации этого
процесса вы можете либо включить элементы в основной образ (если используете
клонирование и Sysprep), или можете перехватить файлы и упаковать их в пакеты
MSI, а затем использовать групповые политики для инсталлции их на терминальных
серверах.
Internet Explorer Enhanced Security Configuration применяется
только к IE. Если вы используете другие браузеры интернет, вам необходимо применять
другую модель безопасности.