Se veled, se nélküled III.
2004/02/22 21:56
729 megtekintés
A cikk már legalább egy éve nem frissült, az akkor még aktuális információk lehet, hogy mára elavultak.
A sorozat ezen (befejező) részében a biztonsági szempontból szigorúbb Windows Server 2003 és a régebbi Windows kliensek kapcsolatáról lesz szó.

Mi változott a Windows Server 2003-mal?

A Windows Server 2003 kibocsájtásákor újdonságszámba ment az, hogy az eddigi szervertermékekkel ellentétes módon kliensoldalon párhuzamosan nem jelent meg új operációs rendszer. Ismert tény viszont, hogy a Windows Server 2003 teljeskörű (így az Active Directory-val is teljes mélységig együttműködő) kliensoldali párjának a 2001-ben kiadott Windows XP operációs rendszer Professional változatát szánták. A Windows XP Home változata az otthoni vonalba tartozik, bár azért egy napon nem említhető egy Windows 98-cal, vagy egy Milleniummal, hiszen gyakorlatilag felépítését és az alkalmazott technológiákat tekintve teljesen megegyezik az XP Professional változatával, csupán kiemeltek belőle pár tartományi, nagyvállalati környezetben használatos komponenst és szolgáltatást.

Ennek megfelelően használata hálózati körülmények között nem is ajánlott, főleg ha van tartományunk, hiszen pl. egy Windows domain klienseinek nyújtott összes előnyt és funkcionalitást elveszítjük így. A Professional és a Home változat közötti további különbségekről alapos útmutatót találhatunk ezen a címen. Természetesen az előbbiek szerint a tartományok alapjául szolgáló a Windows 2003 féle címtár a korábban kiadott Microsoft kliens operációs rendszerekkel is képes együttműködésre, de azért a funkcionalitás és egyáltalán a tényleges beavatkozás nélküli együttműködés és felügyelet szintje szerint különbséget kell tennünk ezen változatok között.

Windows 9x >< Windows Server 2003

Az előző szervertermékkel együtt kiadott Windows 2000 Professional-lal kapcsolatban gyakorlatilag csak néhány speciális funkcióról illetve a központi üzemeltetést megvalósító Csoportos házirend 620 körüli összes opciójának 1/3-áról kell lemondanunk, de a Windows 9x-ek illetve a Windows NT4 Workstation-ok esetén a helyzet ennél kissé bonyolultabb. Mindazonok a lehetőségeken kívül, amelyektől elesünk egy Windows 2000 tartományban, van még egy probléma. A Windows 98 és a Windows NT4 legalább SP4-gyel kiegészített változata esetén a Windows Server 2003 tartományvezérlőkkel működő tartományba belépés beavatkozás nélkül is garantált, ám a Windows 95 illetve az NT4 korábbi javítócsomaggal ellátott verziói csak egy segédprogram, a Windows Server 2000 CD-n vagy ezen a címen található Active Directory Client Extensions (DSClient.exe, több nyelvi változat is készült belőle, pl. magyar is) segítségével képesek a tartomány erőforrásait akárcsak alapszinten is használni (erről egyébként a Windows 2003 Server címtárának telepítése során külön információt is kapunk). AD Client Extensions magyar változatának üdvözlőképernyője Ennek oka az ún. SMB digitális aláírás (SMB Signing) alapértelmezett megkövetelése a Windows Server 2003-ban, már nemcsak a tartományvezérlők között, hanem a kliensekkel bonyolított forgalomban is. Ezzel a módszerrel a közismert "The man in the middle" típusú támadást lehet kiküszöbölni. Arról van szó, hogy a Windows 2000 gépek minden elküldött SMB (Server Message Block) üzenetet a nyílt kulcsos titkosítással látnak el, melynek publikus kulcsát azután az SMB csomaggal együtt küldik át a hálózaton. Így az adatok ugyan továbbra is olvasható módon utaznak a hálózaton, de senki sem képes azokat meghamisítani, mert privát kulcs híján lehetlenség a módosításokat úgy eszközölni, hogy azok ne tűnjenek fel. Ennek a módszernek a teljesítménycsökkentő hatása jelentős, de megéri. A régi kliensek ezt a módszert nem ismerik, ezért már a tartományba belépés sem sikerülhet, hiszen a Windows Server 2003 elutasítja a kapcsolatkezdeményezést. Ezért van szükség az említett DSClient.exe segédprogramra.

Egy plusz probléma

A problémának van még egy folyománya, amellyel nemrégen én is szembesültem. A tantermeinkben a gépek "újrahúzását" Ghost-tal oldjuk meg, úgy hogy mind az image állományok, mind a program egy hálózati megosztásban van. A kliensben egy preparált floppyról indul a DOS, majd a Microsoft Network Client Version 3.0 for MS-DOS és a TCP/IP segítségével belép a tartományba, és mehet az image lehúzása. Ez így szép és jó, de természetesen immár egy Windows 2003 tartományban nem mehet, viszont DSClient nincs csak 32 bites Windows-okra. Ilyenkor mi van? Megoldható a dolog, mégpedig azon az áron, hogy az SMB aláírás kikövetelést teljesen kikapcsoljuk a Csoportházirendben.

A következőeket kell tennünk

  • A Windows Server 2003 alapú tartományvezérlőn nyissuk meg a Active Directory Users and Computers MMC-t és kattintsunk a jobb gombbal a Domain Controllers szervezeti egységre, majd válasszuk ki a Properties menüpontot.
  • Kattintsunk a Group Policy fülre majd > Edit.
  • A Computer Configuration szekcióban egerésszünk el a következő helyre: Windows SettingsSecurity SettingsLocal PoliciesSecurity Options
  • A jobboldali keretben kattintsunk kettőt a Microsoft network server: Digitally sign communications (always) pontra, és tiltsuk le ezt a funkciót a Disabled opcióval, majd OK.
  • Szintén a jobboldali keretben kattintsunk kettőt a Domain member: Digitally encrypt or sign secure channel data (always) pontra, és tiltsuk le ezt a funkciót is a Disabled-del, majd OK.

A házirend változás azonnali érvényesítéséhez használjuk a tartományvezérlőn paranccsorból a gpupdate /force parancsot. Természetesen - ahogyan ez már a Windows 2000 tartomány esetén is megállapítható - a Windows 2000 előtti kliens operációs rendszerek együttműködési tényezője még a DSClient kiegészítéssel is alacsony, gyakorlatilag csak a tartomány és a címtár erőforrásainak elérésére szolgál, ezért lényegesen kevesebb a központi üzemeltetésből fakadó hatékonysággal, biztonsággal és praktikummal kapcsolatos előnyre számíthatunk (pl. nincs Kerberos hitelesítés, Csoportos házirend, L2TP, IPSec, stb.), mint az ezeknél magasabb verziójú Microsoft operációs rendszerek esetén.

Csatlakozz hozzánk!

Ajánljuk

European Schoolnet Academy Ingyenes online tanfolyamok tanároknak
School Education Gateway Ingyenes tanfolyamok és sok más tanárok számára
ENABLE pilot Program iskoláknak a bullying ellen
eBiztonság Minősítés Minősítési rendszer oktatási intézményeknek