IDZ DO

PRZYKADOWY ROZDZIA
SPIS TRECI

KATALOG KSIEK
KATALOG ONLINE
ZAMW DRUKOWANY KATALOG

Windows Server 2003.

Bezpieczestwo. Biblia
Autor: Blair Rampling
Tumaczenie: Pawe Koronkiewicz
ISBN: 83-7361-246-7
Tytu oryginau: Windows Server 2003 Security Bible
Format: B5, stron: 528

TWJ KOSZYK
DODAJ DO KOSZYKA

CENNIK I INFORMACJE
ZAMW INFORMACJE
O NOWOCIACH
ZAMW CENNIK

CZYTELNIA
FRAGMENTY KSIEK ONLINE

Wydawnictwo Helion
ul. Chopina 6
44-100 Gliwice
tel. (32)230-98-63
e-mail: helion@helion.pl

W systemach obsugujcych serwery, znaczenie bezpieczestwa jest trudne do

przecenienia. Dotyczy to w szczeglny sposb nowych systemw operacyjnych,
takich jak Windows 2003 Server, ktre z racji swojej krtkiej obecnoci na rynku,
s potencjalnie bardziej naraone na skuteczne ataki hakerw. Pojawienie si nowego
systemu oznacza jednoczenie pocztek wycigu, midzy hakerami, ktrzy prbuj
go zama, a administratorami, ktrzy staraj si temu zapobiec.
Jeli chcesz w tym wycigu wygra, signij po ksik: Windows Server 2003.
Bezpieczestwo. Biblia. Jest to opracowanie majce dostarczy Ci wszystkich
informacji niezbdnych do skutecznego zabezpieczanie sieci przed atakami
zewntrznymi i wewntrznymi. Dowiesz si jak analizowa rodowisko sieciowe,
planowa i wdraa odpowiednie rozwizania, przygotowywa i prowadzi audyty
zabezpiecze, szyfrowa dane oraz uwierzytelnia uytkownikw.
Poznasz:
Potencjalne zagroenia
Sposoby planowania i inspekcji systemu zabezpiecze
Zabezpieczanie systemu operacyjnego
Zabezpieczanie aplikacji
Szyfrowanie danych
Uwierzytelnianie w systemie Windows Server 2003
Protok Kerberos
Infrastruktur klucza publicznego i wdraanie usug certyfikatw
Tworzenie wirtualnych sieci prywatnych L2TP i PPTP
Protok IPSec
Microsoft Internet Security and Acceleration Server

5RKUVTGEK

  


   

  
Zagroenia wewntrzne a zagroenia zewntrzne.................................................................................18
Zagroenia wewntrzne...................................................................................................................18
Zagroenia zewntrzne....................................................................................................................21
rodki bezpieczestwa wewntrznego i zewntrznego.........................................................................26
rodki bezpieczestwa zewntrznego .............................................................................................27
rodki bezpieczestwa wewntrznego............................................................................................27
Typy atakw ..........................................................................................................................................28
Wandalizm w sieci WWW ..............................................................................................................29
Szpiegostwo i kradzie danych .......................................................................................................30
Ataki typu Denial of Service ...........................................................................................................32
Podsumowanie.......................................................................................................................................34

   !

Charakterystyka bezpiecznej sieci.........................................................................................................36
Wielopoziomowa struktura zabezpiecze .......................................................................................37
Punkty wejcia i wyjcia .................................................................................................................43
Zabezpieczenia systemw komputerowych ....................................................................................45
Zabezpieczenia aplikacji .................................................................................................................47
Metody naruszania ochrony danych ......................................................................................................49
Przecieki informacji ........................................................................................................................50
Ataki na zasadzie penego przegldu ..............................................................................................51
Przepenienie bufora........................................................................................................................52
Podstawienie cigu formatujcego..................................................................................................54
Zmiana katalogu biecego .............................................................................................................54
Faszywy porednik.........................................................................................................................55
Socjotechnika ..................................................................................................................................55
Root kity i konie trojaskie ...................................................................................................................57
Wykrywanie root kitw...................................................................................................................57
Usuwanie szkodliwych programw ................................................................................................58
Podsumowanie.......................................................................................................................................58

 "#$%% &'"&

  (")*'  +

Projektowanie bezpiecznej architektury serwera ..................................................................................62
Minimalizacja..................................................................................................................................63
Wyczanie zbdnych usug ............................................................................................................64
Uaktualnianie systemu ....................................................................................................................66
Dokumentowanie nowej instalacji ..................................................................................................69
Architektura sieci ............................................................................................................................69
Tworzenie planu czynnoci konserwacyjnych zabezpiecze ................................................................71
Codzienne czynnoci administracyjne ............................................................................................71
Uaktualnienia zabezpiecze ............................................................................................................72
Kontrolowanie zmian ............................................................................................................................73
Plan awaryjny ........................................................................................................................................75
rodki dorane.................................................................................................................................75
Gromadzenie dowodw...................................................................................................................75
Przywracanie stanu systemu............................................................................................................77
Honeypot (garnek miodu)......................................................................................................................77
Podsumowanie.......................................................................................................................................78

 ,-*.'  /

Planowanie inspekcji komputerw........................................................................................................79
Inspekcja zabezpiecze w systemie Windows ......................................................................................80
Oglny przegld zabezpiecze........................................................................................................80
Przechwytywanie pakietw (sniffing).............................................................................................82
Inspekcja zabezpiecze w systemie UNIX............................................................................................88
Oglny przegld zabezpiecze........................................................................................................88
Skanowanie portw .........................................................................................................................95
Przechwytywanie pakietw w systemie UNIX ...............................................................................96
Podsumowanie.....................................................................................................................................101

 !0)'"
 "#$%%  %

Architektura systemu Windows Server ...............................................................................................103
Funkcje zabezpiecze systemu Windows Server ................................................................................105
Co nowego?...................................................................................................................................105
Starsze mechanizmy zabezpiecze systemu Windows .................................................................107
Active Directory ..................................................................................................................................112
Architektura Active Directory.......................................................................................................113
Zabezpieczenia w Active Directory ..............................................................................................114
Microsoft CryptoAPI...........................................................................................................................114
IPSec....................................................................................................................................................115
Serwer ISA ..........................................................................................................................................116
Jaka jest rola usug serwera ISA?..................................................................................................116
Na czym polegaj zabezpieczenia serwera ISA? ..........................................................................116
Podsumowanie.....................................................................................................................................117

    

 +
 "#$%%  

Zabezpieczenia sprztowe ...................................................................................................................122
Zabezpieczanie systemu operacyjnego................................................................................................125
Ograniczanie instalacji ..................................................................................................................126
Uprawnienia dostpu do plikw....................................................................................................132
Inspekcja........................................................................................................................................137

#1

Zasady grup .........................................................................................................................................139

Tworzenie i usuwanie obiektw GPO...........................................................................................140
Modyfikowanie obiektw GPO ....................................................................................................142
Zabezpieczenia obiektu GPO ........................................................................................................144
Internet Connection Firewall (ICF) .....................................................................................................146
Podsumowanie.....................................................................................................................................151

 *.  !

Zabezpieczanie serwerw WWW i FTP .............................................................................................153
Zabezpieczanie serwerw WWW .................................................................................................154
Zabezpieczanie serwerw FTP......................................................................................................165
Zabezpieczanie serwerw pocztowych ...............................................................................................166
Zabezpieczenia serwera.................................................................................................................166
Zabezpieczanie przed spamem......................................................................................................167
Zabezpieczanie serwerw DNS...........................................................................................................168
Zabezpieczanie innych aplikacji..........................................................................................................169
Zabezpieczanie aplikacji rnego typu .........................................................................................170
Zabezpieczanie aplikacji wielowarstwowych ...............................................................................170
Podsumowanie.....................................................................................................................................171

     !"

 2#3" )  !

Wprowadzenie do kryptografii............................................................................................................175
Szyfry z kluczem jednorazowym ..................................................................................................177
Szyfry z kluczem symetrycznym ..................................................................................................178
Szyfry z kluczem publicznym .......................................................................................................178
Kryptografia kontrolowana ...........................................................................................................179
Kryptograficzny podpis.................................................................................................................180
Steganografia.................................................................................................................................181
Encrypting File System (EFS).............................................................................................................181
Czym jest system EFS? .................................................................................................................182
Korzystanie z szyfrowania EFS ....................................................................................................182
Oprogramowanie kryptograficzne innych firm ...................................................................................196
Podsumowanie.....................................................................................................................................202

 /


*.

*##454#  %
SSL i TLS wprowadzenie...............................................................................................................205
Wydajno mechanizmw SSL ...........................................................................................................207
Protok SSL a bezpieczna komunikacja HTTP .................................................................................208
Szyfrowanie transmisji pocztowych....................................................................................................209
Sabe strony SSL .................................................................................................................................210
Protok SSL w oprogramowaniu serwera Microsoft IIS ...................................................................211
Szyfrowanie komunikacji SMTP w systemie Windows Server..........................................................217
Podsumowanie.....................................................................................................................................219

 %6""
 "#$%%  

Proces uwierzytelniania .......................................................................................................................221
Uwierzytelnianie podstawowe.............................................................................................................223
Kerberos...............................................................................................................................................224



 "#$%% &'"&

Uwierzytelnianie zewntrzne ..............................................................................................................225
Metody biometryczne....................................................................................................................226
Systemy etonowe.........................................................................................................................226
Karty inteligentne ..........................................................................................................................226
Uwierzytelnianie w systemie Windows przy uyciu kart inteligentnych .....................................227
Podsumowanie.....................................................................................................................................234

 #7  !
Wprowadzenie .....................................................................................................................................236
Prosty system Kerberos.................................................................................................................236
Rozproszony system Kerberos ......................................................................................................236
Uwierzytelnianie Kerberos w ukadzie wieloobszarowym ...........................................................237
Zaawansowane techniki obsugi biletw Kerberos .......................................................................239
Projektowanie architektury Kerberos ..................................................................................................241
Architektura...................................................................................................................................241
Znaczenie synchronizacji czasu ....................................................................................................243
Kerberos a Windows Server 2003 .......................................................................................................243
Konfigurowanie zasad grup ..........................................................................................................244
Wspdziaanie z innymi rodowiskami .......................................................................................245
Podsumowanie.....................................................................................................................................249

 -3**8(7-9  !

Wicej o PKI .......................................................................................................................................253
Infrastruktura PKI w ujciu teoretycznym ....................................................................................253
PKI w praktyce..............................................................................................................................254
Projektowanie infrastruktury PKI........................................................................................................256
Podsumowanie.....................................................................................................................................258

  -"*3"3*:"  !/

Planowanie wdroenia usug certyfikatw ..........................................................................................259
Instalowanie usug certyfikatw ..........................................................................................................260
Konfigurowanie urzdu CA.................................................................................................................265
Tworzenie szablonw certyfikatw ..............................................................................................274
Uaktywnianie szablonw certyfikatw .........................................................................................280
Zgaszanie da certyfikatw ............................................................................................................281
Podsumowanie.....................................................................................................................................289

 ,
"45(((5(  /

Sieci VPN typu LAN-LAN .................................................................................................................292
Wprowadzenie...............................................................................................................................292
Konfigurowanie poczenia VPN typu router-router opartego na protokole PPTP......................293
Konfigurowanie poczenia VPN typu router-router opartego na protokole L2TP......................303
Poczenia VPN zdalnego dostpu ......................................................................................................315
Konfigurowanie poczenia VPN zdalnego dostpu opartego na protokole PPTP.......................316
Konfigurowanie poczenia VPN zdalnego dostpu opartego na protokole L2TP.......................320
Podsumowanie.....................................................................................................................................324

 !-(#  !

Czym jest protok IPSec? ..................................................................................................................325
Konfigurowanie zabezpiecze IPSec ..................................................................................................326
Wyposaenie sprztowe ......................................................................................................................343
Podsumowanie.....................................................................................................................................344

#1



#$  % 

&  %'  "(

 +-#;#$ "  ,

Zapory firewall ....................................................................................................................................348
Inspekcja stanowa i bezstanowa....................................................................................................350
Skalowalno zapory.....................................................................................................................351
Systemy wykrywania wama (IDS).............................................................................................352
Systemy buforowania treci.................................................................................................................353
Buforowanie treci oprogramowanie .......................................................................................355
Buforowanie treci urzdzenia .................................................................................................355
Skalowanie serwera buforujcego.................................................................................................356
Metody i protokoy buforowania...................................................................................................356
Serwer ISA przegld.......................................................................................................................357
Integracja z systemem Windows Server .......................................................................................357
Wymagania....................................................................................................................................358
Zapora przegld funkcji ...........................................................................................................358
Usuga akceleracji przegld .....................................................................................................363
Podsumowanie.....................................................................................................................................368

 -"*3"3" +/

Instalowanie serwera ISA....................................................................................................................369
Instalowanie aktualizacji schematu Active Directory ...................................................................369
Instalowanie serwera ISA..............................................................................................................372
Konfigurowanie zapory firewall..........................................................................................................378
Kreator konfiguracji (Getting Started Wizard) .............................................................................378
Filtry ..............................................................................................................................................391
Reguy ...........................................................................................................................................399
Kontrola ruchu sieciowego............................................................................................................408
Filtry aplikacji ...............................................................................................................................410
Podsumowanie.....................................................................................................................................413

 273"3" ,!

Konfigurowanie buforowania..............................................................................................................415
Zasady buforowania i rozmiar bufora ...........................................................................................416
Buforowanie proste .......................................................................................................................424
Buforowanie odwrotne ..................................................................................................................428
Mostkowanie SSL .........................................................................................................................430
Analizowanie ruchu sieciowego i raporty ...........................................................................................432
Mechanizmy raportowania i monitorowania serwera ISA............................................................432
Liczniki wydajnoci buforowania .................................................................................................436
Rozwizywanie problemw i optymalizowanie pracy bufora ......................................................437
Podsumowanie.....................................................................................................................................438

)
* ("
< *;=  ' ,,
< *&>: 3.) ,,
< *?#  ":"5?(@-( ,!
#*"   !!

4Q\F\KC

 
 
 


W rozdziale:

Zabezpieczenia warstwy sprztowej

Zabezpieczanie systemu operacyjnego

Zasady grup

Internet Connection Firewall

Po omwieniu teoretycznych i proceduralnych aspektw zabezpiecze czas zaj si

praktyczn stron zabezpieczania systemu Windows Server 2003.
Jak pisalimy w rozdziale 5., kolejne systemy operacyjne, poczwszy od Windows NT 4.0,
przez Windows 2000, po Windows Server 2003 byy platform ewolucyjnych zmian
w systemach zabezpiecze. Przykadem jednego z wielu usprawnie moe by wprowadzenie mechanizmu Kerberos do uwierzytelniania domenowego.
Aby wzmocni zabezpieczenia systemu, mona korzysta z rnych rodkw. Podstawowe
z nich omwimy w niniejszym rozdziale, a s nimi:

konfiguracja sprztowa,

instalowanie systemu operacyjnego,

okrelanie uprawnie do pliku,

konfigurowanie inspekcji,

zasady grup.

O ile uwzgldnimy potencjalne luki, zastosowanie tych rodkw moe prowadzi do

utworzenia stosunkowo bezpiecznej konfiguracji. Pene zabezpieczenie komputera wymaga
dokadnej znajomoci konfiguracji sieci i systemu operacyjnego.






 
 

 
 
Pierwsz rzecz, ktr powinnimy wzi pod uwag, gdy zabezpieczamy komputer, s
zabezpieczenia na poziomie sprztowym. Bezpieczestwo wyposaenia to wany krok
w stron caociowej ochrony systemu.
le zabezpieczone wyposaenie moe umoliwi dostp do chronionych plikw lub naruszenie ochrony caego systemu. Standardowe zabezpieczenia wikszoci platform sprztowych umoliwiaj dowolnej osobie modyfikowanie konfiguracji BIOS-u komputera
oraz adowanie systemu operacyjnego z dyskietki.
Zagadnienie zabezpiecze sprztowych wie si z istotn cech systemu zabezpiecze.
System plikw NTFS moe by obsugiwany przez sterowniki systemw DOS i Linux.
Po uruchomieniu komputera przy uyciu dyskietkowej wersji jednego z tych systemw
operacyjnych wszystkie pliki komputera staj si swobodnie dostpne sterowniki
systemu plikw dla systemw DOS i Linux ignoruj listy kontroli dostpu (ACL). Brak
mechanizmu uwierzytelniania Windows uniemoliwia operowanie odpowiednimi etonami dostpu. Tak uzyskiwany dostp do danych jest uytecznym narzdziem do odzyskiwania danych i zapewnia zgodno systemw. Konsekwencj jest jednak konieczno
uwzgldnienia w zabezpieczeniach dostpu do systemu komputerowego oraz konfiguracji BIOS-u.
Podstawowy problem zabezpiecze sprztowych polega na moliwoci uruchomienia komputera za pomoc dyskietki i uzyskania przy uyciu sterownikw spoza Windows
dostpu do dyskw twardych (wyjtkiem s jedynie pewne konfiguracje RAID obsugiwane
przez sterowniki Windows, ich wprowadzenie nie jednak metod zabezpieczania danych).
Po takim ataku mona wprowadza modyfikacje w plikach systemowych, a nawet Rejestrze
i bazie danych SAM. Efektem moe by zmiana hase lub innego rodzaju osabienie mechanizmw zabezpiecze. Atakujcy ma dostp do wszystkich plikw komputera. Inn
moliwoci moe by zainstalowanie nowego systemu operacyjnego. Po zainstalowaniu
systemu Windows Server 2003 od nowa, atakujcy moe skorzysta z praw administratora
komputera lokalnego i zastpi wczeniejsze listy kontroli dostpu do plikw.
Atak na poziomie sprztowym mona uniemoliwi kilkoma sposobami. Najprostsz metod uniemoliwienia zaadowania systemu operacyjnego z dyskietki lub dysku CD-ROM
jest fizyczna obecno przy komputerze. Dostpne s rwnie specjalne blokady stacji
dyskietek, umieszczane w szczelinie napdu i zamykane na klucz. W zamek moe by
wyposaona rwnie obudowa. Jeeli komputer jest w szafce, mona zamkn szafk.
Rwnie wejcie do centrum obliczeniowego czy sali serwerw moe pozostawa stale
zamknite. Warto zadba o stosowanie tego rodzaju rodkw odpowiednio do potrzeb
organizacji. Po zainstalowaniu systemu operacyjnego nic zazwyczaj nie stoi na przeszkodzie, aby cakowicie usun stacj CD-ROM i stacj dyskietek z komputera. Dalsze
oprogramowanie mona instalowa, korzystajc z udziaw sieciowych.
Kolejnym poziomem ochrony jest zmiana konfiguracji BIOS-u komputera. Ustawienia te
musz by zabezpieczone hasem uniemoliwiajcym atakujcemu ich zmian. Rysunek 6.1
przedstawia wprowadzanie hasa BIOS-u w przykadowym komputerze. W wikszoci
komputerw haso zabezpieczajce BIOS okrela si jako supervisor password lub setup
password.

 
 

 
 
 





 

Haso dostpu
do ustawie
konfiguracyjnych
BIOS-u
zabezpiecza
przed wprowadzeniem
niepodanych zmian

Oprogramowanie BIOS produkuj rne firmy, std istotne rnice pomidzy komputerami.
Mimo e konkretne rozwizania mog by nieco odmienne, w niemal kadym programie
konfiguracyjnym BIOS-u znale mona opisywane poniej opcje konfiguracyjne.
Typow moliwoci jest wprowadzenie hasa uytkownika. Komputer moe by wwczas
uruchomiony wycznie po podaniu hasa uytkownika lub hasa dostpu do BIOS-u.
Dodatkow moliwoci moe by ograniczenie moliwoci uzyskania dostpu do napdw dyskw wycznie do sytuacji, gdy przy uruchamianiu komputera podane zostao
haso dostpu do BIOS-u.
Gdy opcja ograniczenia dostpu do napdw dyskw nie jest dostpna, pozostaje okrelenie hase oraz wyczenie dostpu do stacji dyskietek i stacji CD-ROM. Rysunek 6.2
przedstawia opcj konfiguracyjn BIOS-u, ktra umoliwia wyczenie stacji dyskietek.
 

Stacja dyskietek
powinna
zosta wyczona
w programie
konfiguracyjnym
BIOS-u

Po wprowadzeniu takiej zmiany, aby zaadowa system operacyjny z dyskietki, osoba

znajca haso dostpu do BIOS-u musi uruchomi programu konfiguracyjny i wczy
stacj. Wyczenie napdu CD-ROM moe by nieco trudniejsze. Jeeli jest to jedyny
napd przyczony do danego kanau IDE, mona wyczy ten kana. Jeeli do tego
samego kanau przyczony jest drugi napd albo CD-ROM korzysta ze zcza SCSI,
jedyn dostpn opcj moe by wyjcie stacji z komputera.






 
 

Inn moliwoci zabezpieczenia komputera przed uruchomieniem z dyskietki lub dysku

CD-ROM jest odpowiednie ustalenie kolejnoci przegldania napdw w poszukiwaniu
systemu operacyjnego. Nie wykluczy to moliwoci korzystania ze stacji po uruchomieniu komputera, ale uniemoliwi zaadowanie innego systemu operacyjnego. Rysunek 6.3
przedstawia standardow kolejno przegldania napdw.
 

Standardowa
kolejno
przegldania napdw
umoliwia adowanie
systemu operacyjnego
ze stacji dyskw
wymiennych i CD-ROM

Domylnie najpierw podejmowana jest prba zaadowania systemu operacyjnego ze stacji

dyskw wymiennych, takiej jak stacja dyskietek. Nastpnie system jest poszukiwany na
dysku twardym, w stacji CD-ROM i, ostatecznie, w sieci. W takim ukadzie atakujcy
bez najmniejszego problemu moe zaadowa system operacyjny z dyskietki. Moe te
odczy dysk systemowy i skorzysta z moliwoci uruchamiania z dysku CD-ROM
lub serwera sieciowego. Wwczas dostpne bd inne dyski systemu (o ile w komputerze
jest ich wicej). Jeeli atakujcy zmieni konfiguracj dysku rozruchowego i uniemoliwi
adowanie ze systemu operacyjnego, rwnie i ten dysk bdzie dostpny. Po wprowadzeniu zmian zapewniajcych inny sposb dostpu do systemu konfiguracja dysku moe
zosta przywrcona.
Rozwaenie powyej wymienionych moliwoci prowadzi do wniosku, e prostsza zmiana
kolejnoci przegldania napdw w poszukiwaniu systemu operacyjnego nie bdzie wystarczajca. Niezbdne jest cakowite wykluczenie innych nonikw ni dysk twardy (patrz
rysunek 6.4). W przedstawionym na rysunku programie konfiguracyjnym BIOS-u wykrzyknik oznacza, e urzdzenie zostao wyczone i nie moe zosta uyte do adowania
systemu operacyjnego.
Po wprowadzeniu opisywanych wyej zmian komputer mona uzna za zabezpieczony na
poziomie sprztowym. Zabezpieczenie konfiguracji BIOS-u komputera hasem jest wane
i skuteczne. Dla osoby nieznajcej hasa jedynym sposobem uzyskania dostpu do systemu
jest odczenie zasilania pamici konfiguracji. Jest to metoda do radykalna, cho prosta
technicznie. Nie mona wic zapomina o fizycznym bezpieczestwie centrum przetwarzania danych.
Wracajc do modelu zabezpiecze opartego na warstwach, ochrona w BIOS-ie i wyczone urzdzenia rozruchowe to jedna warstwa bezpieczestwa, a zamknite drzwi centrum
komputerowego lub szafki albo zamki w komputerze mog tworzy warstwy dalsze. Nawet
wymontowanie stacji dyskw wymiennych z komputera nie jest stuprocentowo skuteczne
wamywacz moe przynie wasne urzdzenia. Kada z warstw jedynie utrudnia
atak lub ostatecznie zniechca mniej zdeterminowan osob.

 
 

 
 
 





 

Stacja dyskietek,
stacja CD-ROM i sie
zostay wykluczone
z procedur
poszukiwania
systemu
operacyjnego

 
 
 
Po zabezpieczeniu komputerw na poziomie sprztowym kolejnym krokiem logicznym
bdzie instalacja systemu operacyjnego. Pierwszym elementem jest autentyczno nonika plikw instalacyjnych. Kopii dysku, czy to domowego wyrobu czy pirackiej, nie
mona traktowa z penym zaufaniem. Moe si to wydawa nieco przesadnym rodkiem
bezpieczestwa, ale dyski powielane przez firm Microsoft s przed zapakowaniem weryfikowane pod ktem bezpieczestwa. Nowsze CD maj numer i oznaczenia holograficzne
stosunkowo trudne do podrobienia.
Zdarza si, e komputer zostaje zakupiony z zainstalowanym ju systemem operacyjnym.
W wikszoci przypadkw administrator reinstaluje wwczas oprogramowanie zarwno
ze wzgldw bezpieczestwa, jak i dla uatwienia przyszej administracji. Jedynie w szczeglnych przypadkach wielkie serwery i zainstalowany system Windows Server 2003
Datacenter Edition sprzedawane s jako cao i reinstalacja jest wykluczona. Wwczas
pozostaje tylko sprawdzi, czy sprzedawca faktycznie dysponuje prawem do korzystania
z logo authorized reseller. Bezpieczestwo w trakcie dostawy moe zapewni odpowiednie plombowanie.
Na dyskach instalacyjnych systemu operacyjnego stosunkowo atwo umieci pliki z ukrytym oprogramowaniem typu tylne wejcie. Pracownik kopiujcy dysk CD moe umieci na nim zaraony plik. Moe si to wydawa przesadn podejrzliwoci, ale zasada
korzystania z bezpiecznych kopii dyskw instalacyjnych jest na tyle prosta, e nie warto
podejmowa ryzyka. Zabezpieczanie przed lukami w zabezpieczeniach dobrze zacz od
podstaw.
W trakcie instalacji systemu operacyjnego i podstawowych czynnoci konfiguracyjnych
mona korzysta z dalszych rodkw wzmacniajcych bezpieczestwo komputera, takich
jak:

minimalizowanie liczby instalowanych skadnikw systemu operacyjnego,

wyczenie wszystkich usug innych ni niezbdne po zakoczeniu instalacji,

okrelenie waciwych uprawnie do plikw,






 
 

wczenie inspekcji,

okrelenie zasad grup narzucajcych dodatkowe zabezpieczenia systemu.

System Windows Server 2003 powinien by instalowany na partycji NTFS. Uycie partycji
FAT stoi w ostrej sprzecznoci z deniem do zabezpieczenia komputera. System plikw FAT nie zapewnia adnych mechanizmw zabezpiecze, takich jak listy kontroli
dostpu i szyfrowanie dostpne w systemie NTFS.
Poza rodowiskami testowymi system plikw FAT nie powinien by stosowany
do formatowania adnych partycji pod kontrol systemu Windows Server 2003.

Partycj systemow mona utworzy w trakcie instalowania systemu operacyjnego. Rysunek 6.5 przedstawia ekran wybierania systemu plikw partycji Windows Server 2003.
 
 
Aby zapewni
bezpieczestwo
komputera, w trakcie
instalowania systemu
Windows Server 2003,
formatujemy partycj
systemow
w formacie NTFS


 
Minimalizowanie liczby skadnikw systemu operacyjnego to, jak pisalimy w rozdziale 3.,
metoda ograniczania liczby elementw zagroonych potencjalnymi lukami w zabezpieczeniach. Wczeniej wspomnielimy ju pojcie ograniczania profilu systemu. Kada
aplikacja i usuga to kolejny skadnik oprogramowania, w ktrym mog wystpowa
szkodliwe bdy przepenienia bufora, wykorzystania cigu formatujcego i inne. Gdy
taka luka zostanie odkryta w przyszoci, a administrator w por nie uzyska odpowiedniej informacji, atakujcy moe uzyska dostp do komputera, lokalnie lub zdalnie.

 
   
W przeciwiestwie do wczeniejszych wersji systemu Windows, w tym Windows 2000
Server i Windows NT 4.0 Server, system Windows Server 2003 nie oferuje w trakcie
instalacji moliwoci wybierania skadnikw. Standardowo instalowany jest ograniczony
zestaw podstawowego oprogramowania serwera. Przed instalacj skadnikw sieciowych
wprowadzamy:

 
 

 
 
 



wybr ustawie regionalnych systemu,

dane uytkownika,

klucz produktu,

wybr trybu licencjonowania,

nazw komputera,

haso administratora,

dat i godzin.



Procedura instalowania skadnikw sieciowych zapewnia konfiguracj standardow, umoliwiajc wielu komputerom natychmiastowe rozpoczcie pracy w sieci. Adres IP jest
pobierany z serwera DHCP. Wczone zostaj rwnie standardowe usugi sieciowe.
W wikszoci przypadkw nie unikniemy oczywicie wprowadzania rcznych korekt
tej konfiguracji. Mona wyczy niektre usugi lub okreli statyczny adres IP.
Aby przejrze ustawienia sieciowe, klikamy Ustawienia niestandardowe (Custom Settings),
a nastpnie Dalej (Next).
Wywietlone zostanie wwczas okno konfiguracji sieci. Nie bdziemy raczej wycza
klienta sieci Microsoft Networks ani protokou TCP/IP. Elementem wartym rozwaenia
jest jednak Udostpnianie plikw i drukarek w sieciach Microsoft Networks (File and
Printer Sharing for Microsoft Networks).
Jeeli konfigurowany komputer nie bdzie wykorzystywany jako serwer plikw lub serwer
drukarek, wyczamy t usug. Jej pozostawienie naraa na luki w zabezpieczeniach
wynikajce z niewystarczajcych ogranicze dostpu do plikw lub bdw w oprogramowaniu usugi. Nie ma powodu, aby instalowa usug udostpniania na dedykowanym
serwerze WWW lub poczty elektronicznej. Jeeli zdecydujemy si wyczy usug, klikamy w towarzyszcym jej nazwie polu wyboru. Kolejnym krokiem moe by dostosowanie ustawie TCP/IP, po ktrym klikamy Dalej (Next), aby przej do kolejnego okna.
Kolejnym istotnym wyborem jest okrelenie, czy serwer bdzie pracowa w domenie czy
w grupie roboczej.
Serwer nalecy do domeny zezwala uytkownikom na dostp z tej domeny. Inne komputery w domenie s dla niego komputerami godnymi zaufania. Dobr praktyk jest pozostawianie poza domen tych serwerw, ktrych funkcja nie wymaga takiej przynalenoci. Dotyczy to przede wszystkim serwerw WWW, FTP i serwerw pocztowych.
Naruszenie zabezpiecze serwera nalecego do domeny uatwia ataki na inne komputery.
Pozostawienie serwerw szczeglnie wraliwych na ataki poza domen pozwala unikn
tego problemu.
Wczenie serwera do domeny zapewnia wiele uatwie. W miejsce zarzdzania osobn
list uytkownikw kadego serwera udostpniamy zasoby uytkownikom w domenie.
Kusi to wielu administratorw do wczania do domeny serwerw WWW i innych, ktre
w rzeczywistoci nie wymagaj uwierzytelniania domenowego. Problemem jest to, e naruszenie zabezpiecze tak otwartych systemw moe suy do atakw na inne komputery
domeny.






 
 

Konfiguracja sieci w niektrych organizacjach wymusza prac pewnych komputerw

jako czonkw domeny. Najlepszym przykadem s serwery plikw i drukarek. Jeeli serwer
plikw nie jest czonkiem domeny, baza danych uytkownikw tego serwera jest kopi
czci bazy uytkownikw domeny. Celem istnienia domeny jest jednak wanie uatwianie zarzdzania uytkownikami. Gdy serwer jest czonkiem domeny, na listach ACL
mona operowa nazwami uytkownikw i grup domeny, bez cigych problemw z kopiowaniem konfiguracji kont midzy rnymi serwerami.
Niektre aplikacje pocztowe (a cilej groupware), jak Microsoft Exchange, wymagaj
od uytkownikw uwierzytelniania domenowego. Podobnie skonfigurowa mona intranetowy serwer WWW. Wwczas konta domenowe zapewni efektywny mechanizm
uwierzytelniania dostpu do serwera wewntrznego.
Po okreleniu, czy serwer ma pracowa w domenie czy w grupie roboczej, podajemy jej
nazw, po czym klikamy Dalej (Next), aby kontynuowa instalacj. Na tym koczy si
interakcyjna cz procesu. Instalator przechodzi do kopiowania plikw i generowania
wstpnej konfiguracji komputera.


 

Po zakoczeniu pracy instalatora systemu Windows dysponujemy wstpn konfiguracj
systemu operacyjnego, ktra wymaga systematycznego dostosowania do konkretnego
zastosowania komputera.
Gdy po raz pierwszy logujemy si w nowo zainstalowanym systemie Windows Server 2003,
wywietlane jest okno narzdzia Zarzdzanie tym serwerem (Manage Your Server),
przedstawione na rysunku 6.6. Narzdzie to suy do konfigurowania serwera do pracy
w okrelonej roli. Rola (ang. role) jest tutaj zestawem plikw i usug zapewniajcych
realizacj pewnych funkcji komputera, takich jak serwer DNS lub serwer Active Directory.
1. Aby przypisa komputerowi now rol, klikamy Dodaj lub usu rol
(Add or remove a role).
Powinnimy dokadnie przeczyta list czynnoci wstpnych, wywietlan
na pierwszej karcie kreatora konfigurowania serwera. Przypomina ona midzy
innymi o tym, e przed rozpoczciem pracy z rolami powinnimy zakoczy
konfigurowanie poczenia sieciowego i instalowanie urzdze peryferyjnych.
Klikamy Dalej (Next).
2. Rysunek 6.7 przedstawia kolejny krok kreatora. Opcja Konfiguracja standardowa
dla pierwszego serwera (Typical configuration for a first server) zapewni
skonfigurowanie serwera jako pierwszego kontrolera domeny w nowej domenie,
wraz z instalacj odpowiednich usug.
Opcja Konfiguracja niestandardowa (Custom configuration) pozwala dostosowa
konfiguracj serwera do specyficznych wymaga jego rodowiska i przeznaczenia.
Wybieramy Konfiguracja niestandardowa (Custom configuration) i klikamy
Dalej (Next).

 
 

 
 
 



 

Narzdzie Zarzdzanie tym serwerem automatycznie konfiguruje serwer
do okrelonej roli
 
!
Opcja
typowej konfiguracji
zapewnia
zainstalowanie usug
zwizanych z prac
komputera jako
pierwszego kontrolera
nowej domeny








 
 

3. Kreator wywietla list standardowych rl serwera. Kada z opcji widocznych

na rysunku 6.8 zapewnia nieco inne dostosowanie konfiguracji serwera.
Wybranie, przykadowo, opcji Serwer aplikacji (Application server) spowoduje
zainstalowanie serwera IIS i bibliotek ASP.NET, zapewniajcych moliwo
uruchamiania aplikacji WWW. Opcja Serwer multimediw strumieniowych
(Streaming media server) wie si z instalacj Windows Media Services
(Windows Media Services). Serwer poczty (Mail server) to serwer usug SMTP
i POP3 itd.
 
"
Opcja konfiguracji
niestandardowej
umoliwia wybieranie
pomidzy rnymi
typowymi
zastosowaniami
serwera,
do ktrych jest on
automatycznie
konfigurowany
i optymalizowany

Aby rozpocz konfigurowanie serwera do pewnej roli, wybieramy jedn z pozycji

na licie i klikamy Dalej (Next). Kliknicie Anuluj (Cancel) spowoduje zamknicie
kreatora bez wprowadzania adnych zmian. Mona wwczas przej do instalowania
aplikacji lub dalszego konfigurowania zabezpiecze systemu operacyjnego.
Po zainstalowaniu wymaganego oprogramowania systemowego przechodzimy do kolejnego kroku, ktrym jest wyczanie niepotrzebnych usug. W systemie instalowany jest
pewien zestaw standardowych usug i aplikacji. Cz z nich nie jest wymagana do realizacji wymaganych funkcji serwera. Klikamy Start/Narzdzia administracyjne/Usugi
(Start/Administrative Tools/Services), aby otworzy konsol MMC przedstawion na
rysunku 6.9.
Kad usug opisuje szereg kolumn:

nazwa,

opis,

stan,

typ uruchamiania,

sposb logowania.

 
 

 
 
 





 
#
Konsola Usugi
umoliwia wczanie
i wyczanie usug
Windows

Stan usugi to informacja o tym, czy jest ona w danym momencie uruchomiona (aktywna). Sposb logowania to nazwa konta wykorzystywanego przez usug w procedurach
uwierzytelniania.
Opcja Typ uruchomienia (Startup Type) moe mie trzy wartoci:

Automatyczny (Automatic) usuga jest uruchamiana automatycznie przy kadej

inicjalizacji systemu operacyjnego.

Rczna (Manual) usuga tak skonfigurowana moe zosta uruchomiona przez

inny program, usug lub uytkownika (umoliwia to przycisk Start przystawki
Usugi).

Wyczony (Disabled) usuga wyczona nie moe zosta uruchomiona.

Skonfigurowanie usugi jako Wyczony (Disabled) jest najbezpieczniejsz metod wyczenia niepotrzebnej usugi. Cakowicie uniemoliwia to jej uruchomienie.
Lista usug jest duga i ronie wraz z instalowanymi aplikacjami, ktre niekiedy dodaj do
niej zarzdzanie wasnymi skadnikami oprogramowania. Istotne jest jednak, aby pozna
znaczenie kadej z nich i podj waciw decyzj o jej pozostawieniu lub wyczeniu.
Prostym przykadem moe by usuga klienta DHCP. Jest ona odpowiedzialna za pobieranie danych zwizanych z adresem IP z serwera DHCP, gdy przycze komputera jest
skonfigurowane do korzystania z usugi DHCP. Poniewa serwery najczciej konfiguruje
si do pracy ze statycznymi adresami IP (co uniezalenia je od zakce pracy usugi
DHCP), usuga klienta moe w wikszoci przypadkw zosta wyczona.
1. Klikamy prawym przyciskiem myszy wiersz usugi DHCP i wybieramy z menu
podrcznego polecenie Waciwoci (Properties). Powoduje to wywietlenie
arkusza waciwoci usugi.






 
 

2. Zmieniamy opcj Typ uruchomienia (Startup type) na Wyczony (Disabled)

i klikamy przycisk Zatrzymaj (Stop). Okno powinno wyglda wwczas podobnie
jak pokazane na rysunku 6.10.
 

Usuga
zostaa wyczona
i zatrzymana

3. Klikamy OK, aby zamkn arkusz waciwoci.

Usuga po takich zmianach jest zatrzymana i nie ma moliwoci jej ponownego uruchomienia. Odpowiednio zmieniaj si te informacje w prawym obszarze okna konsoli usug.
W systemie Windows Server 2003 mona doszuka si duej liczby usug, ktre s uaktywniane standardowo, a w praktyce s niewykorzystywane. O tym jednak, ktre z nich
faktycznie mona wyczy, decyduje zawsze rodowisko pracy serwera.

 


 
Uprawnienia dostpu do plikw (ang. file permissions) albo, krcej, uprawnienia do
plikw to wany element mechanizmw zabezpiecze systemu Windows Server 2003.
Uprawnienia mona przypisywa zarwno plikom zapisywanym przez uytkownikw,
jak i plikom systemowym.
We wczeniejszych wersjach systemu Windows wane pliki i katalogi, takie jak pliki
systemu Windows, nie byy odpowiednio zabezpieczone. W Windows Server 2003 podejcie to zostao zmienione.
Najbardziej typowym powodem do zmiany domylnych uprawnie pliku jest konfigurowanie ochrony plikw w serwerze. Przykadem moe by sytuacja, gdy umieszczamy
w serwerze wane dane grupy ksiegowosc. Zazwyczaj pierwszym krokiem jest wwczas
utworzenie katalogu.

 
 

 
 
 





1. Po utworzeniu katalogu, klikamy prawym przyciskiem jego nazw i wybieramy

z menu podrcznego polecenie Waciwoci (Properties).
2. Klikamy zakadk Zabezpieczenia (Security). Domylne uprawnienia dostpu
do pliku przedstawia rysunek 6.11.
 

Domylne
uprawnienia
dostpu do folderu
umoliwiaj
odczyt danych
przez kadego
uwierzytelnionego
uytkownika

3. Standardowo peny dostp do folderu uzyskuje domenowa grupa
 


(Administratorzy) i konto systemowe. Grupa  (Uytkownicy) ma prawa
odczytu. W naszym przykadzie istotne bdzie usunicie uprawnie grupy 
i przyznanie grupie ksiegowosc uprawnie do odczytu i zapisu danych.
Zaznaczamy wic pozycj  i klikamy przycisk Usu (Remove).
Zapewni to istotne ograniczenie uprawnie dostpu, poniewa uytkownik,
ktremu dostp nie zosta jawnie przyznany, nie moe wykona adnej operacji
na danych. Usunicie grupy  z karty Zabezpieczenia moe by jednak
utrudnione folder dziedziczy uprawnienia folderu nadrzdnego. Konieczne
jest wwczas wyczenie dziedziczenia uprawnie.
4. Na karcie Zabezpieczenia (Security) klikamy przycisk Zaawansowane (Advanced),
aby wywietli okno dialogowe zaawansowanych ustawie zabezpiecze,
przedstawione na rysunku 6.12. Wyczamy opcj Zezwalaj na propagowanie
dziedziczonych uprawnie z obiektu nadrzdnego. (Allow inheritable
permissions from the parent) i klikamy OK.
5. Po wyczeniu dziedziczenia wywietlane jest okno dialogowe, przedstawione
na rysunku 6.13. Moemy wybra pomidzy dwiema opcjami skopiowania
istniejcych uprawnie dziedziczonych jako bezporednie uprawnienia do obiektu
lub te porzucenia uprawnie dziedziczonych. W drugim z tych przypadkw
dotychczasowe uprawnienia dziedziczone zostaj cakowicie usunite. Klikamy
Kopiuj (Copy), aby zachowa istniejc konfiguracj uprawnie folderu. Wwczas
moemy ponownie klikn OK, aby zamkn okno ustawie zaawansowanych.
Usunicie grupy  nie sprawi teraz problemu.






 
 

 

Standardowo,
uprawnienia
s dziedziczone
po folderze
nadrzdnym.
Wprowadzenie
poprawnych
ogranicze dostpu
wymaga wyczenia
tej funkcji

 

Gdy wyczamy
dziedziczenie
uprawnie, musimy
zdecydowa pomidzy
zachowaniem
istniejcej konfiguracji
zabezpiecze obiektu
a cakowitym
usuniciem uprawnie
dziedziczonych

6. Klikamy przycisk Dodaj (Add), aby doda do listy grup ksiegowosc. Wywietlone
zostaje okno Wybieranie: Uytkownicy lub Grupy (Select Users, Computers,
or Groups), przedstawione na rysunku 6.14.
 

Okno Wybieranie:
Uytkownicy
lub Grupy
pozwala docza
uytkownikw
lub grupy do listy
na karcie
Zabezpieczenia
arkusza
waciwoci folderu

7. W polu Wprowad nazwy obiektw do wybrania (Enter the object names to select)
wprowadzamy nazw grupy i klikamy przycisk Sprawd nazwy (Check Names).
Nastpnie klikamy OK, aby zakoczy dodawanie grupy.

 
 

 
 
 





8. Zaznaczamy now grup na licie.

9. Uprawnienia domylne to Zapis i wykonanie (Read & Execute), Wywietlanie
zawartoci folderu (List Folder Contents) i Odczyt (Read). Grupa ksiegowosc
wymaga dodatkowo moliwoci modyfikowania plikw i tworzenia nowych.
Klikamy wic pole wyboru w kolumnie Zezwalaj (Allow) i wierszu Modyfikacja
(Modify). Po zaznaczeniu uprawnienia do modyfikowania plikw, uprawnienie
Zapis (Write) jest uaktywniane automatycznie. Cho znaczenie wikszoci
uprawnie jest samo przez si zrozumiae, nieco wtpliwoci moe wzbudzi
Pena kontrola (Full Control). Uprawnienie to zapewnia wszystkie pozostae
oraz, dodatkowo, moliwo zmieniania uprawnie do pliku lub folderu.
W wikszoci przypadkw uprawnienie Pena kontrola (Full Control) nie jest
potrzebne nikomu poza administratorami. Wyjtkiem bdzie sytuacja, kiedy
delegujemy zarzdzanie. Rysunek 6.15 przedstawia kart Zabezpieczenia (Security)
z nowym zestawem uprawnie grupy ksiegowosc. Aby zapisa wprowadzone
zmiany, klikamy OK.
 
 
Uprawnienia
domylne
grupy ksiegowosc
zostay uzupenione
o uprawnienie
Modyfikacja

Cho zazwyczaj nie jest to potrzebne, warto pamita, e mona zarzdza uprawnieniami
ze znacznie wiksz ziarnistoci.
1. Na karcie Zabezpieczenia (Security) klikamy przycisk Zaawansowane (Advanced),
aby wywietli okno Zaawansowane ustawienia zabezpiecze (Advanced Security
Settings).
2. Na karcie Uprawnienia (Permissions) wywietlana jest lista przypisanych uprawnie.
Zaznaczamy grup ksiegowosc i klikamy Edytuj (Edit). Wywietlone zostaje
okno Wpis uprawnienia (Permission Entry), przedstawione na rysunku 6.16.
Jak atwo zauway, przyznanie uprawnienia Modyfikacja (Modify) na karcie
Zabezpieczenia (Security) zapewnio przyznanie niemal wszystkich uprawnie
z listy. Wyjtkami s uprawnienia pozwalajce uytkownikowi lub grupie zmienia
uprawnienia do folderu: Pena kontrola (Full Control), Zmiana uprawnie (Change






 
 

 

Okno Wpis
uprawnienia suy
do zmieniania
uprawnie do obiektu
z wiksz
ziarnistoci

Permissions) i Przejcie na wasno (Take Ownership). Uprawnienie Usuwanie

(Delete Subfolders and Files) rwnie nie jest zaznaczone, poniewa umoliwia
usuwanie podfolderw i plikw wewntrz konfigurowanego folderu, a do nich
uytkownik nie ma uprawnie. Jeeli w folderze znajduje si plik i grupa
ksiegowosc nie ma bezporedniego uprawnienia do jego usunicia, uprawnienie
Usuwanie (Delete Subfolders and Files) folderu umoliwioby czonkom grupy
usunicie tego pliku.
3. Ostatnim pojciem zwizanym z uprawnieniami jest wasno. Kliknijmy, wci
w oknie zaawansowanych ustawie zabezpiecze, zakadk Waciciel (Owner).
Jest ona przedstawiona na rysunku 6.17.
 
!
Karta Waciciel okna
zaawansowanych
ustawie zabezpiecze
suy do zmieniania
waciciela obiektu

 
 

 
 
 





4. Waciciel obiektu moe zmienia uprawnienia do tego, nawet gdy nie ma jawnie
przypisanego uprawnienia penej kontroli. Jest to wygodne, poniewa administrator
moe przej wasno obiektu, nawet jeeli uprawnienia maj uniemoliwi
uzyskanie do niego dostpu. Aby zmieni waciciela obiektu, wybieramy z listy
uytkownika, ktry ma by nowym wacicielem, i klikamy OK. Wasno mog
przejmowa wycznie administratorzy i uytkownicy, ktrym przyznano
uprawnienie Przejcie na wasno (Take Ownership).

 
Inspekcja to bardzo uyteczne narzdzie administratora zabezpiecze. W systemie Windows Server 2003 mona rejestrowa ogromn ilo rnych typw zdarze. Inspekcja
polega na zapisywaniu kadej operacji uytkownika, dla ktrej funkcja ta zostaa wczona. Poniewa zakoczylimy wanie omawianie uprawnie do plikw, rozpoczniemy
od przedstawienia zasad inspekcji plikw.
Pierwszym krokiem jest uaktywnienie mechanizmw inspekcji. Jeeli serwer nie naley
do domeny, korzystamy z lokalnych zasad zabezpiecze, a jeeli serwer naley do domeny
z zasad grup dotyczcych serwera domeny. Sposb wczania inspekcji przy uyciu
zasad grup omwimy nieco dalej.
1. W przypadku samodzielnego serwera klikamy Start/Narzdzia administracyjne/
Zasady zabezpiecze lokalnych (Start/Administrative Tools/Local Security Policy).
Otwieramy w ten sposb konsol MMC zasad zabezpiecze lokalnych.
2. W lewej czci okna podwjnie klikamy Zasady lokalne (Local Policies),
a nastpnie Zasady inspekcji (Audit Policy). Lista dostpnych zasad zostaje
wywietlona w prawej czci okna. Przedstawiamy j na rysunku 6.18.
 
"
Aby uaktywni
procedury
rejestrowania,
musimy zmieni
zasady inspekcji

3. Dla kadego typu inspekcji, ktry wczamy, musimy klikn prawym przyciskiem
myszy odpowiedni pozycj listy i wybra z menu podrcznego Waciwoci
(Properties). W wywietlanym wwczas oknie wybieramy rodzaj rejestrowanych
operacji: Sukces (Success), Niepowodzenie (Failure) lub oba (jak na rysunku 6.19).
Klikamy OK.






 
 

 
#
Zasada inspekcji
moe by wczana
i wyczana
dla operacji udanych
oraz nieudanych
niezalenie

Inspekcj mona nastpnie uaktywnia dla dowolnie wybranych plikw i folderw.

1. Aby wczy inspekcj, klikamy prawym przyciskiem myszy wybrany obiekt
i wybieramy z menu podrcznego Waciwoci (Properties).
2. Wywoujemy kart Zabezpieczenia (Security) i klikamy przycisk Zaawansowane
(Advanced), aby otworzy okno zaawansowanych ustawie zabezpiecze.
Klikamy nastpnie zakadk Inspekcja (Auditing), aby wywietli kart
przedstawion na rysunku 6.20.
 

Karta Inspekcja okna
zaawansowanych
ustawie
zabezpiecze
zawiera list
biecych wpisw
inspekcji
oraz umoliwia
dodawanie nowych

3. Aby wprowadzi nowy wpis inspekcji, klikamy przycisk Dodaj (Add).

4. Kolejnym krokiem jest wybranie uytkownika lub grupy, ktrej czynnoci bd
rejestrowane. Suy do tego okno Wybieranie: Uytkownik, Komputer lub Grupa
(Select User, Computer or Group). Grupa Uytkownicy (Users) zapewni
rejestrowanie czynnoci wszystkich uytkownikw. W naszym przykadzie
wczymy inspekcj dla grupy ksiegowosc. Bdzie to jedyna grupa majca dostp
do obiektu. Wprowadzamy jej nazw i klikamy OK. Wywietlone zostaje okno
Wpis inpekcji (Auditing Entry), przedstawione na rysunku 6.21.

 
 

 
 
 





 

Okno Wpis inspekcji
suy do uaktywniania
funkcji rejestrowania
dla okrelonych
zdarze dotyczcych
obiektu

Okno Wpis inpekcji (Auditing Entry) jest podobne do omwionego wczeniej okna Wpis
uprawnie (Permission Entry). Kadej operacji na licie towarzysz pola wyboru Sukces
(Successful) i Niepowodzenie (Failed). Odpowiadaj one rejestrowaniu udanych i nieudanych operacji na obiekcie. Aby rejestrowa, przykadowo, tworzenie plikw, klikamy pole
wyboru Sukces (Successful) dotyczce operacji Tworzenie plikw/Zapis danych (Create
Files/Write Data). Zostanie wwczas zarejestrowana kada udana operacja tworzenia pliku.
Poza plikami i folderami inspekcj mona wcza dla wielu innych obiektw. W przypadku
samodzielnego serwera mona rejestrowa midzy innymi operacje logowania. Rejestrowanie tego rodzaju zdarze pozostaje zwizane z odpowiednimi zasadami inspekcji.
Miejscem zapisywania danych inspekcji jest dziennik zabezpiecze systemu. Zdarzenie
logowania zostaje w nim zapisane przy kadym logowaniu uytkownika. Wpisy inspekcji
plikw i logowania s podobne, ale informacje o logowaniu s obszerniejsze. Przykadowy wpis przedstawia rysunek 6.22.



Zasady grup (ang. group policies) to najbardziej wszechstronne narzdzie do dostosowywania zabezpiecze systemu Windows Server 2003 dostpne w warunkach infrastruktury
Active Directory. Zasady definiuje si przy uyciu narzdzia Active Directory Users
and Computers (Uytkownicy i komputery usugi Active Directory). Mog dotyczy wybranych uytkownikw, grup lub komputerw czonych w jednostki organizacyjne (ang.
organizational unit, OU), lokacje (ang. site) i domeny. Kad pojedyncz zasad okrela
si jako Group Policy Object (GPO, obiekt zasad grup). Zbir GPO to zasady grupy.
Kada jednostka organizacyjna, lokacja i domena ma domylny obiekt GPO dotyczcy
wszystkich obiektw w tej OU, lokacji lub domenie. Poza modyfikowaniem zasad domylnych istnieje moliwo dodawania nowych, w celu wprowadzenia logicznych podziaw
zasad. Zasady wie te system priorytetw prowadzcy do zastpienia pewnych zasad






 
 

 

Wpis dziennika
utworzony
po uaktywnieniu
zasady
Przeprowad inspekcj
zdarze logowania
zawiera nazw
uytkownika i stacji,
z ktrej korzysta,
jak rwnie inne,
bardziej techniczne
informacje

innymi. Jeeli domylny obiekt GPO domeny ma najwyszy priorytet i wprowadzamy

w nim pewien parametr, parametr ten zastpi ustawienia wprowadzone przez dowolne
inne zasady.
Poza moliwoci definiowania obiektu GPO dla jednostki OU, lokacji lub domeny moe
on by wizany z innymi OU, lokacjami lub domenami. Jest to uatwienie, gdy mamy
wiele jednostek organizacyjnych, w ktrych stosowane s te same zasady zabezpiecze.
Obiekt GPO wystarczy wwczas zdefiniowa tylko raz.

 


 


Do konfigurowania zasad grup suy konsola Active Directory Users and Computers
(Uytkownicy i komputery usugi Active Directory).
1. Otwieramy narzdzie, korzystajc z polecenia menu Start/Narzdzia administracyjne/
Uytkownicy i komputery usugi Active Directory (Start/Administrative Tools/Active
Directory Users and Computers).
2. Klikamy prawym przyciskiem myszy nazw domeny, lokacji lub jednostki
organizacyjnej, dla ktrej konfigurowa bdziemy zasady grupy. W menu
podrcznym klikamy Waciwoci (Properties).
3. Klikamy zakadk Zasady grupy (Group Policy), aby wywoa kart przedstawion
na rysunku 6.23. Na karcie wywietlana jest lista istniejcych obiektw GPO
konfigurowanej domeny lub powizanych z konfigurowan domen.

 


 

Tworzenie nowego obiektu GPO jest stosunkowo proste. Na karcie Zasady grupy (Group
Policy) klikamy w tym celu przycisk Nowy (New). Wprowadzamy nazw nowego obiektu
GPO i wciskamy Enter. Na licie GPO pojawi si wwczas nowy wpis.

 
 

 
 
 





 

Karta Zasady grupy
arkusza
waciwoci domeny
suy
do konfigurowania
zasad grup

 
 ! 
 
Aby doda cze do obiektu GPO w innej jednostce organizacyjnej, lokacji lub domenie,
wykonujemy nastpujce czynnoci:
1. Na karcie Zasady grupy (Group Policy) klikamy przycisk Dodaj (Add). Powoduje
to otwarcie okna Dodawanie cza obiektu zasad grupy (Add a Group Policy
Object link), przedstawionego na rysunku 6.24. Standardowo wywietlane s
wycznie GPO domen i jednostek organizacyjnych.
 

Okno Dodawanie
cza obiektu zasad
grupy suy
do czenia GPO
domeny, lokacji
lub OU z inn
domen, lokacj
lub OU

2. Klikamy zakadk Lokacje (Sites), aby wywietli obiekty GPO lokacji lub zakadk
Wszystkie (All), aby wywietli wszystkie obiekty GPO katalogu Active Directory.
3. Z jednej z trzech list wybieramy obiekt GPO i klikamy OK. Poczony obiekt GPO
zostanie wywietlony na licie na karcie Zasady grupy (Group Policy).






 
 

" 
 

Aby usun obiekt GPO lub cze do obiektu GPO, wybieramy go z listy na karcie Zasady
grupy (Group Policy) i klikamy przycisk Usu (Delete). Wywietlone zostaje okno dialogowe przedstawione na rysunku 6.25. Umoliwia ono usunicie albo samego cza do
obiektu GPO, albo cza wraz z obiektem. Zawsze naley uwaa, aby nie usun przez
pomyk obiektw GPO, ktre zostay powizane z innymi jednostkami organizacyjnymi,
lokacjami lub domenami. Usunicie obiektu GPO ma charakter globalny i nie bdzie on po
takiej operacji dostpny. Gdy obiekt GPO wci jest w uyciu, wybieramy opcj usunicia cza. Kliknicie OK koczy operacj.
 
 
Po klikniciu przycisku
Usu mona wybra
pomidzy usuniciem
obiektu GPO
a jedynie cza
do niego


 


Modyfikowanie obiektw zasad grup to operacja prowadzca do faktycznego zdefiniowania zasad dla OU, lokacji lub domeny, ktrej obiekt GPO zostanie przypisany. Procedura wprowadzania zmian w GPO polega na wybraniu waciwego obiektu w drzewie
narzdzia Edytor obiektw zasad grup (Group Policy Object Editor) i zmianie ustawie
tego obiektu. Rozpoczynamy ponownie od polecenia menu Start/Narzdzia administracyjne/Uytkownicy i komputery usugi Active Directory (Start/Administrative Tools/Active Directory Users and Computers).
1. W oknie konsoli MMC klikamy prawym przyciskiem myszy nazw domeny,
lokacji lub jednostki organizacyjnej, dla ktrej konfigurowa bdziemy zasady
grupy. W menu podrcznym klikamy Waciwoci (Properties).
2. Klikamy zakadk Zasady grupy (Group Policy).
3. Wybieramy obiekt GPO i klikamy Edytuj (Edit), aby wywoa Edytor obiektw
zasad grup (Group Policy Object Editor), przedstawiony na rysunku 6.26.
Edytor GPO jest podzielony na dwie czci Konfiguracja komputera (Computer Configuration) i Konfiguracja uytkownika (User Configuration). S to kategorie zapewniajce
logiczne oddzielenie ustawie zwizanych z komputerami od ustawie zwizanych z uytkownikami. Jeeli w jednostce OU, lokacji lub domenie s zarwno komputery, jak i uytkownicy, ustawienia konfiguracji komputera s stosowane w odniesieniu do obiektw
typu komputer, a ustawienia konfiguracji uytkownika do obiektw typu uytkownik.
Nie moemy w tym rozdziale opisa wszystkich ustawie dostpnych w edytorze GPO,
ale znaczenie wikszoci z nich jest do oczywiste. Dla przykadu, przejdmy do gazi
Konfiguracja komputera/Ustawienia systemu Windows/Ustawienia zabezpiecze/Zasady lokalne/Zasady inspekcji (Computer Configuration/Windows Settings/Security Settings/
Local Policies/Audit Policy), jak przedstawia to rysunek 6.27.

 
 

 
 
 





 
 Edytor obiektw GPO suy do okrelania zasad zapisanych w wybranym GPO

 
! Ga Zasady inspekcji w czci Konfiguracja komputera suy do konfigurowania
lokalnych zasad inspekcji komputerw






 
 

Nieco wczeniej w tym rozdziale przedstawilimy sposb wczania funkcji inspekcji

komputera przy uyciu konsoli Zasady zabezpiecze lokalnych (Local Security Policy).
Wspomnielimy rwnie o moliwoci wykorzystania zasad grup do prostego wczenia
inspekcji w obrbie caej domeny. Otwarlimy teraz t cz drzewa obiektw zasad grup,
ktra odpowiada za funkcje inspekcji. Wywietlana lista jest podobna do znanej z narzdzia Zasady zabezpiecze lokalnych (Local Security Policy). Aby wczy rejestrowanie
pewnego rodzaju zdarze, podwjnie klikamy odpowiedni wpis w prawym obszarze okna
lub klikamy prawym przyciskiem myszy i wybieramy polecenie Waciwoci (Properties). Wywietlone zostaje wwczas okno waciwoci dotyczce danej zasady. Przykad
przedstawia rysunek 6.28. Mona rejestrowa zdarzenia udane, nieudane lub wszystkie.
Klikamy OK, aby zapisa wprowadzone zmiany. Odpowiednio powinna zmieni si wwczas zawarto okna edytora.
 
"
Okno waciwoci
zasady suy do jej
wczania, wyczania
i okrelania opcji
konfiguracyjnych

Zmiany wprowadzane w edytorze GPO s bezzwocznie zapisywane w obiektach GPO.

Przykadem ustawie konfiguracji uytkownika mog by tzw. opcje Ctrl+Alt+Del, przedstawione na rysunku 6.29, dostpne w gazi Konfiguracja uytkownika/Szablony administracyjne/System (User Configuration/Administrative Templates/System). Zbir dostpnych
opcji wywietlany jest w prawym obszarze okna. Jest to grupa ustawie okrelajcych, jakie
przyciski zostan wywietlone, gdy uytkownik, ktrego dotyczy GPO, wcinie kombinacj
klawiszy Ctrl+Alt+Del. Aby wyczy wywietlanie wybranego przycisku, podwjnie
klikamy odpowiednie ustawienie, wprowadzamy zmian ustawienia i klikamy OK.
Zasady grup mog by wykorzystywane do wspomagania najrniejszych czynnoci administracyjnych, od zabezpieczania stacji roboczych i okrelania zasad kont uytkownikw
po automatyczne instalowanie oprogramowania.

   
 


Dla samego obiektu GPO mona zdefiniowa tylko kilka ustawie konfiguracji zabezpiecze, okrelajcych uprawnienia do wykonywania operacji na nim.

 
 

 
 
 





 
# Zarwno dla uytkownikw i dla komputerw dostpne s ogromne zbiory zasad

1. W konsoli Active Directory Users and Computers (Uytkownicy i komputery usugi

Active Directory) lokalizujemy OU, lokacj lub domen, ktrej obiekt GPO
bdziemy modyfikowa, klikamy j prawym przyciskiem myszy i wybieramy
polecenie Waciwoci (Properties).
2. Klikamy zakadk Zasady grupy (Group Policy), wybieramy obiekt GPO i klikamy
przycisk Waciwoci (Properties).
3. W oknie Waciwoci GPO klikamy zakadk Zabezpieczenia (Security),
aby wywoa kart przedstawion na rysunku 6.30.
Ustawienia zabezpiecze s podobne do modelu znanego z uprawnie do plikw: zapis,
odczyt, tworzenie obiektw, usuwanie obiektw itd. Odpowiednia konfiguracja umoliwia delegowanie uprawnie do modyfikowania GPO uytkownikom, ktrzy nie nale
do grupy Administratorzy domeny (Domain Admins).
Po klikniciu przycisku Zaawansowane (Advanced) mona konfigurowa uprawnienia
na bardziej zoonym poziomie. Ich ziarnisto jest tak wielka, e nie wymienimy nawet
penej listy dostpnych opcji. W wikszoci przypadkw podstawowy zestaw prostych
uprawnie bdzie w zupenoci wystarczajcy.






 
 

 

Karta Zabezpieczenia
arkusza
waciwoci GPO
suy
do konfigurowania
zabezpiecze samego
obiektu GPO

  
  

!"
Internet Connection Firewall (ICF, zapora poczenia internetowego) to element, ktry
raczej rzadko bdzie wykorzystywany w konfiguracji systemw Windows Server 2003.
W wikszoci rodowisk stosuje si kompletn, niezalen zapor firewall. Zapora ICF
pozostaje jednak kuszcym rozwizaniem dla mniejszych sieci.
Zewntrzne zapory firewall stosuje si do zabezpieczania przed atakami caych sieci. Zapora ICF jest przydatna w mniej rozbudowanym rodowisku, na przykad pojedynczego
serwera przyczonego do Internetu poczeniem DSL lub kablowym.
Zagadnienia zwizane z zewntrznymi zaporami firewall bdziemy omawia
w rozdziale 16. i kolejnych.

W tak prostej implementacji zapora firewall nie ma czasem uzasadnienia finansowego

(cho najprostsze produkty tego rodzaju mona naby ju za 1000 z). Nie mona jednak pozostawi serwera cakowicie otwartego na ataki. Wwczas moemy zda si na
zapor ICF.
Zapora ICF to produkt z rodziny osobistych zapr firewall. Jest to pena implementacja
zapory z inspekcj stanow (mechanizm tego rodzaju opisujemy w rozdziale 16.) chronica cao komunikacji przez wybrane poczenie sieciowe.
Przed uaktywnieniem zapory ICF musimy wybra chronione poczenie sieciowe (poczenie z Internetem). Gdy mamy tylko jedno poczenie z Internetem, pozostaje klikn
prawym przyciskiem myszy ikon Moje miejsca w sieci (My Network Places) na pulpicie
i wybra Waciwoci (Properties). Otwarte zostanie wwczas okno Poczenia sieciowe
(Network Connections), przedstawione na rysunku 6.31.

 
 

 
 
 





 

Okno
pocze sieciowych
prezentuje wszystkie
przycza sieciowe
komputera

W oknie znajdziemy wszystkie poczenia sieciowe komputera, w tym poczenia LAN,

VPN i telefoniczne. W przedstawionym na rysunku przykadzie widzimy dwa przycza.
Do komunikacji z Internetem wykorzystywane jest pierwsze z nich. Dla niego wanie
wczymy zapor. Klikamy poczenie prawym przyciskiem myszy i wybieramy Waciwoci (Properties). Nastpnie wywoujemy kart Zaawansowane (Advanced), przedstawion na rysunku 6.32.
 

Karta Zaawansowane
arkusza waciwoci
poczenia sieciowego
suy do uaktywniania
i konfigurowania
zapory ICF oraz
udostpniania
poczenia
internetowego (ICS)

Pierwsze pole wyboru pozwala uaktywni zapor. Bezporednio po uaktywnieniu zapora nie
dopuszcza adnych pocze przychodzcych. Jest to rozwizanie idealne dla komputera domowego lub stacji roboczej. W przypadku serwera przyczonego do Internetu bdziemy zainteresowani zapewne umoliwieniem dostpu do serwera WWW lub poczty elektronicznej.






 
 

Zapora ICF umoliwia wybieranie pojedynczych usug, dla ktrych dopuszczane bd

poczenia przychodzce. Jeeli wic w komputerze pracuje oprogramowanie serwera
WWW, musimy zezwoli na komunikacj HTTP. Aby otworzy odpowiednie okno, korzystamy z przycisku Ustawienia (Settings) na karcie Zaawansowane (Advanced) arkusza
waciwoci poczenia. Spowoduje to otwarcie okna ustawie zaawansowanych, przedstawionego na rysunku 6.33.
 

Karta Usugi
okna ustawie
zaawansowanych
suy do otwierania
zapory ICF
dla okrelonych
rodzajw pocze
przychodzcych

Na karcie Usugi (Services) jest wywietlana lista standardowych usug. Zaznaczanie pl

wyboru obok nazw powoduje, e zapora przestaje blokowa dostp do nich. W przypadku serwera WWW odpowiedni pozycj bdzie Serwer sieci Web (Web Server). Po
zaznaczeniu pola wyboru wywietlone zostanie okno wymagajce podania nazwy lub adresu IP komputera, w ktrym usuga jest uruchomiona. W tym przypadku bdzie to nazwa
komputera lokalnego.
Lista usug jest do krtka. W komputerze mog pracowa inne usugi, do ktrych rwnie
musimy zapewni dostp, jak na przykad Microsoft SQL Server. W takich przypadkach dodajemy do listy now pozycj.
1. Klikamy przycisk Dodaj (Add), aby otworzy okno ustawie usugi,
przedstawione na rysunku 6.34.
2. Wprowadzamy opis usugi.
3. Okrelamy, w ktrym komputerze usuga pracuje, wprowadzajc jego nazw
lub adres IP. Definicja usugi moe dotyczy zarwno komputera lokalnego,
jak i komputera korzystajcego z udostpnianego poczenia internetowego.
4. Okrelamy numer portu usugi. Microsoft SQL Server korzysta z portu 1433
i protokou TCP. Rysunek 6.35 przedstawia przykadowe ustawienia usugi
Microsoft SQL Server.

 
 

 
 
 





 

Okno
Ustawienia usugi
suy do doczania
lub modyfikowania
wpisw usug
rozpoznawanych
przez ICF

 
 
Okno ustawie usugi
uywane
do zdefiniowania
w konfiguracji zapory
pocze
przychodzcych
z usug Microsoft
SQL Server

5. Klikamy OK, aby zapisa definicj.

Rysunek 6.36 przedstawia uzupenion list usug na karcie Usugi. W tym przykadzie
zapora zezwala wycznie na poczenia z usugami WWW i Microsoft SQL Serverem.
Wszystkie inne wywoania s blokowane.
 

Karta Usugi
okna Ustawienia
zaawansowane
z ustawieniami,
ktre zezwalaj
na zewntrzne
wywoania
lokalnych usug WWW
i Microsoft SQL Server






 
 

Okno ustawie zaawansowanych pozwala konfigurowa dodatkowe funkcje zapory ICF.

Zapora ICF moe rejestrowa nieudane wywoania przychodzce i (lub) udane wywoania wychodzce. Odpowiednie opcje znajdziemy na karcie Rejestrowanie zabezpiecze
(Security Logging) okna Ustawienia zaawansowane (Advanced Settings), przedstawionej
na rysunku 6.37.
 
!
Karta Rejestrowanie
zabezpiecze
okna Ustawienia
zaawansowane
suy do wczania
i wyczania funkcji
rejestrowania pocze

Pierwsza z opcji rejestrowania dotyczy podejmowanych przez uytkownikw z zewntrz i zablokowanych przez zapor prb dostpu do usug komputera. Druga zapewnia
ledzenie pocze wychodzcych.
W dolnej czci okna dostpny jest przycisk Przegldaj (Browse), umoliwiajcy okrelenie pooenia pliku dziennika zapory oraz pole limitu rozmiaru. Po jego osigniciu
najstarsze wpisy w dzienniku s zastpowane nowymi. Warto zwrci uwag, e funkcje
rejestrowania generuj stosunkowo due iloci danych, zwaszcza w stacjach roboczych
z wczon funkcj rejestrowania udanych pocze wychodzcych.
Ostatni kart w oknie ustawie zaawansowanych jest karta ICMP przedstawiona na rysunku 6.38. ICMP to prosty protok uywany do przesyania stosunkowo niewielkich
iloci danych zwizanych z zarzdzaniem prac stosu TCP/IP. Przykadem wykorzystania
procedury wymiany komunikatw ICMP moe by praca narzdzia .
Standardowa konfiguracja zapory ICF uniemoliwia innym uytkownikom sieci Internet
wywoywanie komputera poleceniem  w celu potwierdzenia jego aktywnoci. Jest
to prosta konsekwencja zasady blokowania wszystkich pakietw przychodzcych, ktra
obejmuje rwnie dania ICMP 
. Prost metod umoliwienia komputerowi odbierania i odpowiadania na dania 
jest wczenie opcji Zezwalaj na przychodzce
dania echa (Allow incoming echo request) na karcie ICMP.
Na karcie ICMP mona znale take opcje zwizane z mniej znanymi typami komunikatw ICMP. Lista da przychodzcych (ang. incoming) obejmuje stosunkowo nietypowe dania, jak zapytania o mask podsieci lub router domylny. Potrzeba zezwolenia
na ich odbieranie raczej nie powinna si pojawi, zwaszcza w niewielkiej sieci czy w samodzielnym komputerze.

 
 

 
 
 





 
"
Karta ICMP
okna ustawie
zaawansowanych
suy
do konfigurowania
ogranicze wymiany
pakierw ICMP,
zarwno
przychodzcych,
jak i wychodzcych

dania wychodzce (ang. outgoing) rwnie nie s w zwykych konfiguracjach wymagane, zwaszcza gdy zapora chroni jeden komputer. Mog by potrzebne, gdy stosowany
jest routing do sieci lokalnej.
Ostania opcja na licie dotyczy przekazywania pakietw ICMP . S one przesyane, gdy zmienia si tabela tras routera zdalnego. Mog jednak doprowadzi do znieksztacenia zawartoci tabeli tras komputera i zakce typu DoS. Nie powinny by odbierane
ani przez komputer zapory, ani przez komputery w sieci wewntrznej.
Po zakoczeniu konfigurowania zapory ICF klikamy OK, aby zamkn okno ustawie
zaawansowanych. Kolejnym klikniciem OK zamykamy okno waciwoci poczenia
sieciowego, co ostatecznie uaktywnia zapor.

# 
W rozdziale przedstawilimy zwize omwienie zagadnienia zabezpiecze systemu Windows Server 2003. Przedstawilimy kolejne rodki zapewniajce ochron komputera:
konfiguracj sprztow, waciw instalacj systemu operacyjnego, uprawnienia dostpu
do plikw, mechanizmy rejestrowania oraz zasady grup. Odpowiednie poczenie tych
rodkw pozwala osign maksymalnie zabezpieczon konfiguracj komputera. Istotne
jest, aby nie pomin istotnych elementw, takich jak system plikw NTFS, jedyny,
ktry powinien by stosowany do formatowania partycji systemowej Windows.