Thursday, November 23rd, 2017

Охрана Ваших Терминальных/Citrix Серверов при помощи Мастера конфигурации безопасности

Published on Февраль 19, 2009 by   ·   Комментариев нет

Терминальная/Citrix среда позволяет осуществлять интерактивный доступ к соответствующим серверам. Этот интерактивный доступ — словно манна небесная для хакеров. Похоже, вы находитесь в очень непростом положении, не так ли? Для Вас есть только один выход: надежно защитить соответствующие серверы! Один из инструментов, который поможет в осуществлении этой задачи — Мастер конфигурации безопасности.

Вступление

Для начала Вам необходимо знать, что Мастер требует наличия Windows Server 2003 Service Pack 1. Мастер является бесплатным инструментом от Microsoft, который вы можете использовать для обеспечения защиты своих серверов. Мастер конфигурации безопасности (Security Configuration Wizard (SCW)) является «инструментом уменьшения количества возможных точек атаки». Он работает, сканируя Ваш сервер на выполнение его роли (или ролей). Затем, Мастер определяет минимальные программные требования сервера и предлагает Вам отключить все ненужные опции. Так, с помощью Политики безопасности вы можете применять все указанное Выше и к другим серверам с идентичными ролями. Так как среда Терминальных/ Citrix серверов состоит из многих идентичных серверов, Мастер является превосходным инструментом по обеспечению их безопасности.

Что делает Мастер конфигурации безопасности?

Перед использованием Мастера Вам необходимо его сначала установить, поскольку он не установлен в системе по умолчанию. Вы можете добавить через Установку и удаление программ, либо при помощи добавления компонента Windows для Мастера конфигурации безопасности.

Безопасность терминального сервера

Рисунок 1: Добавление роли Мастера конфигурации безопасности

После установки Мастера Вы можете найти его в Инструментах администратора >Мастер конфигурации безопасности.

Также вы можете использовать “scw.exe” для запуска программы.

Затем Мастер проведет Вас через большое количество ступеней, на которых Вам нужно будет вносить различную информацию о своем сервере. Давайте взглянем, что конфигурирует Мастер.

Сначала, он спросит Вас, хотите ли вы создать новую политику, править уже существующую, применить уже существующую или вернуться к выполняемым установкам. Последний вариант подходит лучше всего, если вы развиваете отдельную политику, снимая отдельные ограничения …

Далее, Вам необходимо выбрать сервер, служащий основой для указанной конфигурации. В нашем случае, при использовании Мастера для конфигурирования/Citrix сервера, убедитесь, что данный конкретный сервер полностью идентичен всем остальным серверам, для которых вы хотите применить уже установленные параметры конфигурации.

Citrix xte server port

Рисунок 2: Выбор базового сервера

После загрузки базы данных Мастером вы можете приступить к реальной конфигурации. Давайте посмотрим, что можно сконфигурировать при помощи Мастера.

Роли сервера

Мастер отсканирует Ваш сервер, чтобы просмотреть, какую роль (роли) он выполняет. Затем Вы можете выбрать отдельно взятые роли для установок политики.

Признаки клиента

Мастер покажет, какие роли клиентов установлены на текущем сервере. Здесь вы можете выбрать активацию определенных признаков клиента.

Администрирование и другие опции

В данной секции вы можете выбрать опции администрирования, как: отчет об ошибках, переадресация печати Терминального сервера; а также дополнительные опции и свойства Windows, использующие сервисы и порты. Запомните, что все опции, указанные здесь являются производными от уже установленных Вами Ролей сервера.

Дополнительные сервисы

Некоторые из установленных на Вашем компьютере сервисов могут не входить в базу данных Мастера. Они указаны в отдельной секции. В основном, это сервисы, не относящиеся к Microsoft. Здесь вы можете конфигурировать сервисы Citrix.

Управление неустановленными сервисами

Это очень важный пункт. Здесь вы можете указать, что делать Мастеру с сервисами, не установленными на текущем сервере при применении установок политики Мастера к другим серверам. Вы можете выбрать одну из следующих опций:

  • Деактивировать любой сервис, не установленный в текущей политике
  • Ничего не делать с сервисами, который отсутствую в установках политики

    Конфигурация ролей exchange 2010

    Рисунок 3: Деактивация неустановленных сервисов

Вот почему так важно, чтобы Ваш базовый сервер был идентичен остальным серверам, к которым будут применяться установки политики. Если вы сделали все правильно, то свободно можете выбрать опцию «Деактивировать сервис». Эта опция рекомендуется, если вы хотите надежно охранять свои Терминальные/ Citrix серверы.

В следующем окне вы увидите конечный итог всех установок. Здесь будет указан текущий статус сервиса и его статус после выполнения новых установок. Запомните, Ваши новые параметры конфигурация пока что еще не применены!

Сетевая безопасность

В данной секции Мастера вы можете конфигурировать брандмауэр Windows и безопасность IP. Вы можете полностью пропустить данную секцию, однако, лучше всего подобающим образом сконфигурировать указанные составляющие.

Открытые порты и испытанные приложения

В данной секции Мастер покажет, какие порты принимали участие в выполнении ролей и компонентов, выбранных в предыдущей секции. Если приложение использует более одного порта, то это может быть определено только при усиленном изучении описания.

Все выбранные порты поддерживают входящее соединение, все остальные соединения разрываются.

Порт citrix

Рисунок 4: выбор входящих портов и ассоциированных приложений

В следующем окне Вам нужно будет подтвердить все предыдущие установки. Несколько раз проверьте, что вы выбрали все необходимые входящие порты на Вашем сервере, поскольку все остальные трафики будут блокированы.

Установки реестра

Здесь Вы можете конфигурировать установки, связанные с протоколами аутентификации, а также LDAP и SMB. Необходимо, чтобы вы хорошо понимали, что значат все опции. Если вы не уверены, что знаете, что здесь следует конфигурировать, то просто пропустите данную секцию. Неправильное конфигурирование данных установок также вызовет ряд проблем, как: невозможность аутентификации клиентов на сервере, открытость сети для хакерских атак и т.д.

В данной секции присутствуют следующие установки:

  • Требуемые подписи безопасности SMB
  • Требуемая подпись LDAP
  • Методы исходящей аутентификации
  • Методы исходящей аутентификации с использованием учетных записей домена
  • Исходящая аутентификация с использованием локальных учетных записей
  • Методы входящей аутентификации
  • Отчет установок реестра

Политика аудита

В данной заключительной секции Мастер позволит Вам сконфигурировать установки политики аудита для Вашего сервера. Вам предоставляются три пути на выбор:

  • Не проверять
  • Проверять успешные операции
  • Проверять успешные и неудачные операции

Ваш выбор будет зависеть от конкретных потребностей. Первая опция не требует ничего от вашего сервера, в то время, как последняя требует очень многого. Следует помнить, что проверка может быть успешной, только если Вы периодически пересматриваете регистрационные записи аудита. Для этого даже лучше использовать автоматизированную систему.

Следует также знать, что Мастер позволяет Вам проводить проверку успешного доступа к файловой системе. Мастер совместно с SCWAudit.inf конфигурирует списки системного доступа (SACLS). Это гарантирует запись всех пользователей, получающих доступ к использующимся файлам или файлам конфигурации Windows с изменением статуса или конфигурации сервисов Windows. Кроме этого, никакие объекты SACLS не конфигурируются. Помните, что такие массивы как Service Pack, создают огромные регистрационные журналы.

Установки, сделанные с помощью SCWAudit.inf являются единственными установками, которые не могут быть обращены в первоначальное состояние при обращении всех установок Мастера. Для их обращения Вам следует импортировать “DefaultSACLs.inf” из папки C:\WINDOWS\Security\Msscw\Kbs. Запросите справку Мастера для получения большей информации.

Специальные параметры конфигурации Терминальных/Citrix Серверов

При использовании Мастера для конфигурирования Терминальных/Citrix серверов важно уделять особенное внимание к секции дополнительных сервисов и секции портов в Сетевой безопасности.

К примеру, при использовании Мастера на сервере Citrix Presentation Server 4.0 Enterprise Edition вы должны натолкнуться на такие дополнительные сервисы:

Что такое citrix sma service?

Рисунок 5: Дополнительные сервисы на Терминальном/Citrix Сервере

Несколько раз проверьте, что в окне отображены все сервисы. В зависимости от параметров установки, на сервере могут быть активированы следующие сервисы:

  • ADF Installer Service
  • Citrix CPU Utilization Mgmt/Resource Mgmt
  • Citrix CPU Utilization Mgmt/User-Session Sync
  • Citrix Licensing WMI
  • Citrix Print Manager Service
  • Citrix SMA Service
  • Citrix Virtual Memory Optimization
  • Citrix WMI Service
  • Citrix XTE Server
  • CitrixLicensing
  • Client Network
  • Independent Management Architecture
  • License Management Console for Citrix Licensing
  • MetaFrame COM Server

Еще раз учтите, что это — Ваш базовый сервер. Если это, к примеру, не сервер Citrix licensing, то лицензионные компоненты не будут отображаться в окне. Учитывая результирующий набор политики безопасности к серверу, он является сервером Citrix licensing, что может полностью запутать все дело.

Для обеспечения выполнения установок Терминального сервера, следите за такими сервисами, как Terminal Services Session Directory.

Вам также необходимо уделить особенное внимание к секции портов в компоненте Сетевой безопансости Мастера.

Безопасность терминального сервера

Рисунок 6: Конфигурирование входных портов для Сервера Citrix

Здесь вы сможете полностью открыть свою систему для входящих портов по требованию программного обеспечения сервера. Портами Citrix могут быть любые из следующих:

Наименование TCP/UDP Номер порта
ICA TCP 1494
IMA TCP 2512
CMC TCP 2513
SSL TCP 443
STA (IIS) TCP 80
TCP Browsing UDP 1604
XML (интегрированный с IIS) TCP 80
Консоль управления лицензией Citrix TCP 8082
Лицензия представляемого сервера TCP 27000
Надежность сессии TCP 2598

Проверьте несколько раз, что порт 1494 определен. Мне приходилось видеть, что Мастер не определял данный входной порт. Citrix располагает дополнительной статьей на эту тему. Читайте здесь.

Также, не забудьте о дополнительном программном обеспечении, как агенты для программ резервирования и другие инструменты, позволяющие повысить функциональность ваших Терминальных серверов (Softgrid, WISDOM).

Продвинутые конфигурации

Конечно же, как и любой другой хороший инструмент, Мастер имеет и версию для командной строки: scwcmd.exe. Вы можете использовать Scwcmd для выполнения следующих задач:

  • Конфигурирование одного или нескольких серверов политикой, генерированной SCW
  • Анализировать один или несколько серверов политикой, генерированной SCW
  • Просматривать анализа в формате HTML
  • Возвращаться к исходным установкам политики SCW
  • Регистрировать расширение базы данных конфигурации безопасности при помощи SCW
  • Трансформировать сгенерированную при помощи SCW политику в «собственные» файлы, поддерживаемые Групповой политикой

Да, scwcmd позволяет Вам трансформировать политику Мастера (.xml файл) в GPO. Это одно из больших преимуществ данного инструмента. Запомните, что любые установки IIS, распознаваемые политикой SCW, будут потеряны в процессе трансформации scwcmd, поскольку Групповая политика не поддерживает конфигурацию установок IIS.

Соедините данную GPO с OU, которое управляет серверами данной политики и все!

Вы также можете подогнать Мастер для включения определителей ролей, выходящих за пределы установленного пакета Windows Server 2003 Service Pack 1. Microsoft расположила детальные документы здесь.

Заключение

Существует несколько различных способов добиться желаемой цели. Вы можете использовать установки Групповой политики для управления статусом сервера. Реальное значение Мастера конфигурации безопасности заключается в его названии. Собственно говоря, в слове «Мастер»! мастер проводит Вас сквозь все этапы создания детальной политики, состоящей из разрозненных компонентов безопасности Windows. Способность экспортировать установки политики Мастера в GPO создала возможность гармоничного сочетания данного инструмента с существующей инфраструктурой Active Directory.

Если Вы уделили должное внимание выбору подходящего базового сервера, то Мастер представит собою превосходный инструмент для обеспечения защиты всех Ваших серверов.

www.windowsnetworking.com


Смотрите также:

Tags: , , ,

Readers Comments (Комментариев нет)




Да человек я, человек! =)

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]