ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 10.06.2024
Просмотров: 21
Скачиваний: 0
Налаштування безпечної роботи сервера - справа непроста, непрофесійні дії можуть призвести до зворотнього ефекту – ослаблення безпеки.
Розробники Windows включили в її склад майстер налаштування безпеки, який мо-
же допомогти адміністратору вибрати безпечні параметри роботи сервера.
Windows Server 2008 R2 має нову концепцію ролей і компонентів, згідно якої після установки сервер не має зайвих служб. Все, що потрібно, розгортається самим адміністратором,
а майстер установки ролей і компонентів додає тільки найнеобхідніше, автоматично налаштовуючи правила безпеки. В таких умовах майстер налаштування безпеки вже
не відіграє ту роль, як це було в Windows Server 2003. Але його використання може підвищити рівень безпеки сервера.
Майстер налаштування безпеки можна викликати з вікна Диспетчера сервера
або з пункту «Адміністрування» головного меню.
10. Політика безпеки компанії.
Політика безпеки компанії повинна обмежувати використання комп'ютерів і ре-
сурсів мережі в особистих цілях. Ігнорування цього правила підвищує ризик зараження вірусами та може призвести до втрати корпоративної інформації. Завдання адміністратора - заборонити користувачу встановлювати стороннє програмне забезпечення та підключати зовнішні пристрої.
Один з варіантів контролю - групові політики.
Налаштування безпеки проводяться у вітці «Конфігурація комп’ютера» - «Кон-
фігурація Windows» - «Параметри безпеки».
Розглянемо деякі з них.
Вибираємо в консолі групу політик «Призначення прав користувача» (рис. 1.7.9).
Політика «Архівація файлів і каталогів» дозволяє обрати групи користувачів, яким дозволено проводити дану операцію.
Політика «Завантаження та вивантаження драйверів пристроїв» дозволяє
встановлювати драйвери.
У списку краще залишити тільки адміністраторів, щоб користувачі не могли самостійно
підключати сторонні пристрої.
Політика «Відладка програм» може надати відповідний дозвіл користувачам-програ- містам, які працюють у компанії.
Особливу увагу слід звернути на групу «Параметри безпеки».
Тут можна заборонити анонімний доступ до мережевих ресурсів, використання сторонніх пристроїв, дозволити або заборонити підключення принтера для вибраної групи користувачів.
11. Політики обмеженого використання програм.
Принцип налаштування даних політик наступний: адміністратор створює список програм, дозволених користувачам, а інші забороняє.
Або ж поступає навпаки: дозволяє користувачам все, а потім блокує непотрібні програми.
Кожен адміністратор поступає так, як йому зручніше.
При цьому рекомендується створити окремий об'єкт групових політик обмеженого використання програм.
За замовчуванням політики обмеженого використання програм відключені.
Для їх активізації необхідно перейти на однойменну вкладку (рис. 1.7.9) та з контекстного меню вибрати пункт «Створити політику обмеженого використання програм».
Потім потрібно виконати необхідні налаштування.
Рис. 1.7.9 Налаштування параметрів безпеки.
12. Технологія AppLocker.
Політики обмеженого використання програм не завоювали широку популярність
у зв’язку зі складністю налаштувань. Windows Server 2008 R2 має логічне продовження цих політик, яке отримало назву AppLocker.
Налаштування AppLocker знаходяться на вкладці «Політики керування додатка-
ми» (рис. 1.7.9).
Після створення політик необхідно запустити службу «Удостоверение приложения». Це можна зробити через консоль «Служби» (services.msc) або в редакторі групових політик («Параметри безпеки» - «Системні сервіси»).
Після цього потрібно оновити політики: gpupdate /force
13. Антивірусний захист сервера.
Для антивірусного захисту сервера застосовують спеціальні серверні ан-
тивірусні програми. Найбільш відомими розробниками таких програм є «Лабораторія Касперського», компанія Eset та компанія «Доктор Веб».
За допомогою антивірусних програм можна створити так зване дзеркало оновлення ан-
тивірусних баз, яке знаходиться на сервері та дозволяє оновлювати антивірусні бази клієнтсь-
ких комп’ютерів без їх підключення до Інтернету. Таке оновлення відбувається дуже швидко та економить Інтернет-трафік.
14. Контроль автозапуску програм.
Для контролю та керування програмами, які запускаються автоматично разом із операційною системою на сервері, використовується наступна команда:
msconfig
З цією метою також застосовують безкоштовну програму зі зручним інтерфейсом AnVir Task Manager.
15.Шифрована файлова система EFS.
Внаш час дуже багато цінної інформації втрачається внаслідок несанкціонованого доступу до системи або крадіжки обладнання.
Операційна система Windows дозволяє зашифрувати файл, папку або розділ диска. Захищена інформація може бути прочитана тільки тими користувачами, які мають до неї
доступ.
З цією метою використовується шифрована файлова система EFS (Encrypting
File System), яка підтримується всіма операційними системами Microsoft, починаючи з
Windows 2000.
З кожною новою версією системи спостерігається вдосконалення цієї технології.
Користувач, який створив зашифрований файл або папку, працює з ними в звичайному режимі. Інші ж користувачі не можуть його відкрити.
Пам’ятайте! Якщо скопіювати зашифрований файл або папку в файлову систему, яка не підтримує EFS (наприклад, флеш-карта, що відформатована в FAT32), захист на основі шифрування втрачається!
Для ввімкнення EFS у Windows Server 2008 R2 необхідно у вікні властивостей файлу або папки вибрати вкладку «Загальні», викликати вікно «Додаткові атрибути», натиснув-
ши кнопку «Інші», потім встановити перемикач у положення «Шифрувати вміст для за-
хисту даних» і натиснути кнопку «ОК» (рис. 1.7.10).
Рис. 1.7.10 Ввімкнення EFS у Windows Server 2008 R2
Після шифрування даних в тому ж вікні «Додаткові атрибути» можна додати користувачів, які матимуть доступ до файлу або папки.
Активізувати EFS можна для будь-якого файлу або папки, крім системних і стиснених файлів.
16.Шифрування диска BitLocker.
Нова технологія BitLocker є логічним продовженням EFS.
Її головна відмінність- уміння шифрувати один або декілька розділів диска.
Робота BitLocker повністю прозора для користувача, шифрування практично не позначається на продуктивності системи.
Розділ з даними при використанні шифрування BitLocker може бути відформатований у
наступних файлових системах: NTFS, exFAT, FAT16 або FAT32.
У Windows 7 представлена нова технологія BitLockerToGo, яка дозволяє шифрувати зовнішні носії (жорсткі диски або флеш-карти). Доступ до зашифрованих носіїв BitLockerToGo можливий за допомогою пароля або смарт-карти з будь-якого комп'ютера.
Компонент BitLocker входить до складу операційної системи, але за замовчуванням не встановлюється. Він активізується за допомогою Диспетчера сервера: «Додати компо-
ненти» – «Шифрування диска BitLocker».
Після закінчення установки необхідно перезавантажити систему.
Ввімкнення BitLocker проводиться в консолі «Шифрування диска BitLocker», яка знаходиться в Панелі керування (рис. 1.7.11).
Рис. 1.7.11 Ввімкнення BitLocker
Для цього необхідно вибрати потрібний диск, натиснути «Ввімкнути BitLocker» і вибрати спосіб збереження пароля відновлення (USB, на диск або роздрукувати).
З цієї ж консолі можна тимчасово або повністю відключити BitLocker.
Інший спосіб ввімкнення BitLocker: вибрати в Провіднику або файловому менедже-
рі розділ диска або змінний носій і в контекстному меню виконати команду «Ввімкнути BitLocker».
17. Призначення та інструменти резервного копіювання.
Резервне копіювання – одне з найважливіших завдань системного адміністратора
будь-якої IT-компанії.
Резервне копіювання призначене для виконання двох різних завдань:
¾швидке відновлення функціональності сервера після аварії;
¾створення архіву даних за певний період діяльності компанії.
Windows Server 2008 R2 для виконання резервного копіювання має декілька інструментів:
¾служба тіньового копіювання тому VSS;
¾система архівації даних Windows Server.
18.Система архівації даних Windows Server 2008 R2.
Попередні версії Windows Server для архівації та відновлення мали утиліту NTBackup.
Windows Server 2008 має принципово нову систему архівації даних з іншими технологіями.
Розглянемо основні методи резервного копіювання Windows Server 2008 R2:
¾повне резервне копіювання - основний метод, при якому дані копіюються повністю. Це
найзручніший, але й найвитратніший метод резервного копіювання, тому що декілька копій за різний період часу займають великий об'єм. Проте, необхіно зазначити, що відновлення системи
«з нуля» можливе тільки з повного архіву;
¾інкрементне резервне копіювання - копіюються тільки змінені дані з моменту ство-
рення початкового повного архіву. Інкрементний архів набагато менший і створюється швид-
ше. Але, оскільки він містить не всі резервні дані, для відновлення системи потрібні всі попередні інкрементні архіви та початковий повний архів. Після відновлення адміністратор отримає декілька копій однакових файлів;
¾диференціальне резервне копіювання - створюється один файл, який містить дві копії
даних - повний архів та останні змінені файли. Як правило, відновити систему з диференціаль-
ного архіву можна швидше, ніж з інкрементного, оскільки не потрібно послідовно опрацьову-
вати попередні архіви. Але, після відновлення адміністратор не матиме декілька копій однакових файлів.
За допомогою компоненту «Система архівації даних Windows Server», можна створити повну копію сервера (всі розділи дисків), копію окремих розділів і стану системи. Після аварії можна швидко відновити систему на новий жорсткий диск.
Можна використати резервну копію для відновлення або клонування системи на сервер з аналогічним апаратним забезпеченням.
Інтеграція з VSS дозволяє створювати миттєві знімки розділів дисків.
Ще одна зручність - резервні копії зберігаються у форматі віртуального диску Microsoft VHD (Virtual Hard Disk), який можна підключити до віртуальної машини.
19. Установка компоненту «Архівація даних Windows Server».
Для установки компоненту «Архівація даних Windows Server» необхідно в Дис-
петчері сервера вибрати пункти «Компоненти» - «Додати компоненти», в списку компонентів встановити прапорець «Можливості системи архівації даних Windows Server» (рис. 1.7.12).
Програма архівації складається з двох частин:
¾система архівації даних Windows Server;
¾програми командного рядка.
