Терминальная/Citrix среда позволяет осуществлять интерактивный доступ к соответствующим серверам. Этот интерактивный доступ — словно манна небесная для хакеров. Похоже, вы находитесь в очень непростом положении, не так ли? Для Вас есть только один выход: надежно защитить соответствующие серверы! Один из инструментов, который поможет в осуществлении этой задачи — Мастер конфигурации безопасности.
Вступление
Для начала Вам необходимо знать, что Мастер требует наличия Windows Server 2003 Service Pack 1. Мастер является бесплатным инструментом от Microsoft, который вы можете использовать для обеспечения защиты своих серверов. Мастер конфигурации безопасности (Security Configuration Wizard (SCW)) является «инструментом уменьшения количества возможных точек атаки». Он работает, сканируя Ваш сервер на выполнение его роли (или ролей). Затем, Мастер определяет минимальные программные требования сервера и предлагает Вам отключить все ненужные опции. Так, с помощью Политики безопасности вы можете применять все указанное Выше и к другим серверам с идентичными ролями. Так как среда Терминальных/ Citrix серверов состоит из многих идентичных серверов, Мастер является превосходным инструментом по обеспечению их безопасности.
Что делает Мастер конфигурации безопасности?
Перед использованием Мастера Вам необходимо его сначала установить, поскольку он не установлен в системе по умолчанию. Вы можете добавить через Установку и удаление программ, либо при помощи добавления компонента Windows для Мастера конфигурации безопасности.
Рисунок 1: Добавление роли Мастера конфигурации безопасности
После установки Мастера Вы можете найти его в Инструментах администратора >Мастер конфигурации безопасности.
Также вы можете использовать “scw.exe” для запуска программы.
Затем Мастер проведет Вас через большое количество ступеней, на которых Вам нужно будет вносить различную информацию о своем сервере. Давайте взглянем, что конфигурирует Мастер.
Сначала, он спросит Вас, хотите ли вы создать новую политику, править уже существующую, применить уже существующую или вернуться к выполняемым установкам. Последний вариант подходит лучше всего, если вы развиваете отдельную политику, снимая отдельные ограничения …
Далее, Вам необходимо выбрать сервер, служащий основой для указанной конфигурации. В нашем случае, при использовании Мастера для конфигурирования/Citrix сервера, убедитесь, что данный конкретный сервер полностью идентичен всем остальным серверам, для которых вы хотите применить уже установленные параметры конфигурации.
Рисунок 2: Выбор базового сервера
После загрузки базы данных Мастером вы можете приступить к реальной конфигурации. Давайте посмотрим, что можно сконфигурировать при помощи Мастера.
Роли сервера
Мастер отсканирует Ваш сервер, чтобы просмотреть, какую роль (роли) он выполняет. Затем Вы можете выбрать отдельно взятые роли для установок политики.
Признаки клиента
Мастер покажет, какие роли клиентов установлены на текущем сервере. Здесь вы можете выбрать активацию определенных признаков клиента.
Администрирование и другие опции
В данной секции вы можете выбрать опции администрирования, как: отчет об ошибках, переадресация печати Терминального сервера; а также дополнительные опции и свойства Windows, использующие сервисы и порты. Запомните, что все опции, указанные здесь являются производными от уже установленных Вами Ролей сервера.
Дополнительные сервисы
Некоторые из установленных на Вашем компьютере сервисов могут не входить в базу данных Мастера. Они указаны в отдельной секции. В основном, это сервисы, не относящиеся к Microsoft. Здесь вы можете конфигурировать сервисы Citrix.
Управление неустановленными сервисами
Это очень важный пункт. Здесь вы можете указать, что делать Мастеру с сервисами, не установленными на текущем сервере при применении установок политики Мастера к другим серверам. Вы можете выбрать одну из следующих опций:
Рисунок 3: Деактивация неустановленных сервисов
Вот почему так важно, чтобы Ваш базовый сервер был идентичен остальным серверам, к которым будут применяться установки политики. Если вы сделали все правильно, то свободно можете выбрать опцию «Деактивировать сервис». Эта опция рекомендуется, если вы хотите надежно охранять свои Терминальные/ Citrix серверы.
В следующем окне вы увидите конечный итог всех установок. Здесь будет указан текущий статус сервиса и его статус после выполнения новых установок. Запомните, Ваши новые параметры конфигурация пока что еще не применены!
Сетевая безопасность
В данной секции Мастера вы можете конфигурировать брандмауэр Windows и безопасность IP. Вы можете полностью пропустить данную секцию, однако, лучше всего подобающим образом сконфигурировать указанные составляющие.
Открытые порты и испытанные приложения
В данной секции Мастер покажет, какие порты принимали участие в выполнении ролей и компонентов, выбранных в предыдущей секции. Если приложение использует более одного порта, то это может быть определено только при усиленном изучении описания.
Все выбранные порты поддерживают входящее соединение, все остальные соединения разрываются.
Рисунок 4: выбор входящих портов и ассоциированных приложений
В следующем окне Вам нужно будет подтвердить все предыдущие установки. Несколько раз проверьте, что вы выбрали все необходимые входящие порты на Вашем сервере, поскольку все остальные трафики будут блокированы.
Установки реестра
Здесь Вы можете конфигурировать установки, связанные с протоколами аутентификации, а также LDAP и SMB. Необходимо, чтобы вы хорошо понимали, что значат все опции. Если вы не уверены, что знаете, что здесь следует конфигурировать, то просто пропустите данную секцию. Неправильное конфигурирование данных установок также вызовет ряд проблем, как: невозможность аутентификации клиентов на сервере, открытость сети для хакерских атак и т.д.
В данной секции присутствуют следующие установки:
Политика аудита
В данной заключительной секции Мастер позволит Вам сконфигурировать установки политики аудита для Вашего сервера. Вам предоставляются три пути на выбор:
Ваш выбор будет зависеть от конкретных потребностей. Первая опция не требует ничего от вашего сервера, в то время, как последняя требует очень многого. Следует помнить, что проверка может быть успешной, только если Вы периодически пересматриваете регистрационные записи аудита. Для этого даже лучше использовать автоматизированную систему.
Следует также знать, что Мастер позволяет Вам проводить проверку успешного доступа к файловой системе. Мастер совместно с SCWAudit.inf конфигурирует списки системного доступа (SACLS). Это гарантирует запись всех пользователей, получающих доступ к использующимся файлам или файлам конфигурации Windows с изменением статуса или конфигурации сервисов Windows. Кроме этого, никакие объекты SACLS не конфигурируются. Помните, что такие массивы как Service Pack, создают огромные регистрационные журналы.
Установки, сделанные с помощью SCWAudit.inf являются единственными установками, которые не могут быть обращены в первоначальное состояние при обращении всех установок Мастера. Для их обращения Вам следует импортировать “DefaultSACLs.inf” из папки C:\WINDOWS\Security\Msscw\Kbs. Запросите справку Мастера для получения большей информации.
Специальные параметры конфигурации Терминальных/Citrix Серверов
При использовании Мастера для конфигурирования Терминальных/Citrix серверов важно уделять особенное внимание к секции дополнительных сервисов и секции портов в Сетевой безопасности.
К примеру, при использовании Мастера на сервере Citrix Presentation Server 4.0 Enterprise Edition вы должны натолкнуться на такие дополнительные сервисы:
Рисунок 5: Дополнительные сервисы на Терминальном/Citrix Сервере
Несколько раз проверьте, что в окне отображены все сервисы. В зависимости от параметров установки, на сервере могут быть активированы следующие сервисы:
Еще раз учтите, что это — Ваш базовый сервер. Если это, к примеру, не сервер Citrix licensing, то лицензионные компоненты не будут отображаться в окне. Учитывая результирующий набор политики безопасности к серверу, он является сервером Citrix licensing, что может полностью запутать все дело.
Для обеспечения выполнения установок Терминального сервера, следите за такими сервисами, как Terminal Services Session Directory.
Вам также необходимо уделить особенное внимание к секции портов в компоненте Сетевой безопансости Мастера.
Рисунок 6: Конфигурирование входных портов для Сервера Citrix
Здесь вы сможете полностью открыть свою систему для входящих портов по требованию программного обеспечения сервера. Портами Citrix могут быть любые из следующих:
Наименование | TCP/UDP | Номер порта |
ICA | TCP | 1494 |
IMA | TCP | 2512 |
CMC | TCP | 2513 |
SSL | TCP | 443 |
STA (IIS) | TCP | 80 |
TCP Browsing | UDP | 1604 |
XML (интегрированный с IIS) | TCP | 80 |
Консоль управления лицензией Citrix | TCP | 8082 |
Лицензия представляемого сервера | TCP | 27000 |
Надежность сессии | TCP | 2598 |
Проверьте несколько раз, что порт 1494 определен. Мне приходилось видеть, что Мастер не определял данный входной порт. Citrix располагает дополнительной статьей на эту тему. Читайте здесь.
Также, не забудьте о дополнительном программном обеспечении, как агенты для программ резервирования и другие инструменты, позволяющие повысить функциональность ваших Терминальных серверов (Softgrid, WISDOM).
Продвинутые конфигурации
Конечно же, как и любой другой хороший инструмент, Мастер имеет и версию для командной строки: scwcmd.exe. Вы можете использовать Scwcmd для выполнения следующих задач:
Да, scwcmd позволяет Вам трансформировать политику Мастера (.xml файл) в GPO. Это одно из больших преимуществ данного инструмента. Запомните, что любые установки IIS, распознаваемые политикой SCW, будут потеряны в процессе трансформации scwcmd, поскольку Групповая политика не поддерживает конфигурацию установок IIS.
Соедините данную GPO с OU, которое управляет серверами данной политики и все!
Вы также можете подогнать Мастер для включения определителей ролей, выходящих за пределы установленного пакета Windows Server 2003 Service Pack 1. Microsoft расположила детальные документы здесь.
Заключение
Существует несколько различных способов добиться желаемой цели. Вы можете использовать установки Групповой политики для управления статусом сервера. Реальное значение Мастера конфигурации безопасности заключается в его названии. Собственно говоря, в слове «Мастер»! мастер проводит Вас сквозь все этапы создания детальной политики, состоящей из разрозненных компонентов безопасности Windows. Способность экспортировать установки политики Мастера в GPO создала возможность гармоничного сочетания данного инструмента с существующей инфраструктурой Active Directory.
Если Вы уделили должное внимание выбору подходящего базового сервера, то Мастер представит собою превосходный инструмент для обеспечения защиты всех Ваших серверов.
www.windowsnetworking.com
Tags: ldap, optimization, redirect, search