Windows Server 2003 SP1 III.
2005/04/29 19:03
1447 megtekintés
A cikk már legalább egy éve nem frissült, az akkor még aktuális információk lehet, hogy mára elavultak.

Security Configuration Wizard (folytatás)
A feladat megjelölése után kiválaszthatjuk azt a szervert, amelyikkel dolgozni szeretnénk. Természetesen ez lehet egy távoli szerver is, azzal a feltétellel, hogy szinten telepítve van rajta az SCW (mind a 4 alapművelet lehetséges lesz távolból is).
Amit viszont nem tehetünk meg az, hogy a 32 bites kiszolgálóról egy 64 bitest konfigurálunk és fordítva.
A következő lépésben jön a felmérés, majd a kapunk egy termetes leírást az összes szerver szerepkör jellemzőiről, a szükséges szolgáltatásokról és portokról, a kliens alkalmazásokról, egyszóval ez az ún. biztonsági konfigurációs adatbázis (lásd előző ábra).
Most kezdődik az igazi munka, elsőkörben az SCW felajánl a vizsgálatok alapján egy szerepkör listát, amelyhez hozzátehetünk illetve elvehetünk attól függően, hogy milyen szerepet tölt be az adott szerver. Nyomban ezután jön a kiszolgáló kliens szerepeinek kiválasztása, ahogy az ábrán látszik is (ahogy az is, hogy a "View" alatt mindig kellemesen finomíthatjuk a látnivalót).
Ezt követi az egyéb gyári szükséges szolgáltatások illetve szervizek kiválasztása, majd külső szoftverek által telepített szervizek felsorolása. Ezután kérhetjük a nem használt szervizek letiltását és végül az első kör végén egy áttekinthető listában tekinthetjük meg az összegzést. A második kör a hálózati biztonsági beállításokra vonatkozik, a portokat tilthatjuk illetve hatókör vagy az IPSec segítségével korlátozhatjuk az elérést. A harmadik körben a regisztrációs adatbázis néhány kiemelt kulcsa segítségével további fontos korlátozásokat eszközölhetünk. Első opció az SMB aláírás kikényszerítése, amellyel a közismert "The man in the middle" típusú támadást lehet kiküszöbölni. Óvatosan bánjunk ezzel, mert a régi kliensek ezt a módszert nem ismerik, ezért már a tartományba belépés sem sikerülhet az AD kliens nélkül. A másik opcióval az összes állomány- és nyomtatási forgalom digitális aláírása váltható ki. Ezután az LDAP signing (aláírás), azaz az LDAP forgalom tikosított és/vagy aláírt változatára térhetünk át (a kliensek a Windows 2000 SP3-tól ismerik) majd kiválaszhatjuk a LAN Manager hitelesítési eljárások számítógépekre alkalmazott változatai közül a megfelelőt (LM/NTLM/NTLMv2).

Végül a negyedik körben következnek a naplózással kapcsolatos beállítások és készen is vagyunk.
Folytatjuk...

Gál Tamás
gtamas@tjszki.hu

Csatlakozz hozzánk!

Ajánljuk

European Schoolnet Academy Ingyenes online tanfolyamok tanároknak
School Education Gateway Ingyenes tanfolyamok és sok más tanárok számára
ENABLE pilot Program iskoláknak a bullying ellen
eBiztonság Minősítés Minősítési rendszer oktatási intézményeknek