...talán a cikk megjelenésekor már letölthető is lesz az új szervizcsomag végleges változata, amely az XP SP2 mintájára szintén több lesz mint egy szimpla javításhalmaz.
Bevezetés
Ebben az évben számos újdonság kerül(het) be a Windows kiszolgálókat üzemeltetők látóterébe. Az itt található vége-hossza nincs listában szó van sok új vagy megújított termékről, csomagról, kiegészítőről, de kiszolgálói vonalon kiemelkedik belőle három nagyobb súlyú termék. Az egyik az - előreláthatólag - 2005-ös év második felében debütáló, jelenleg R2 fantázianevű kiegészítés, amely nem javítócsomag, hanem valódi bővítmény, egy csokor "Feature Pack", olyan szolgáltatásokkal mint az ADFS, ADAM, Windows Sharepoint Services, az új DFS, vagy a Print Management Consol, stb.. Sajnos a NAP (Network Access Protection) és az új TS funkciók kikerültek belőle, de várhatóan így is teli leszünk izgalmas, új lehetőségekkel. Az év végén viszont eljön a Longhorn Server Beta1 ideje is (és a kliensé is), valószínűleg mégtöbb változással és újdonsággal, de erről még bőven korai nyilatkozni (a Microsoft hosszabb távú - kiszolgálókkal kapcsolatos - tervei az alábbi ábrán követhetőek).
A harmadik fontos elem várható legkorábban, és ez pedig a Windows Server 2003 első szervizcsomagja. A felsoroltak közül valószínűleg ez a legszürkébb, de így is be tudok számolni jópár érdekes és hasznos változásról, újdonságról. Szeretném az elején leszögezni, hogy a cikk a publikus és a nem publikus béta változatok használata során szerzett tapasztalatokból származik, ám azt garantálni, hogy minden ugyanígy lesz a végső verzióban is, nyilván nem lehetséges.
Egyszóval: a biztonság
körül forog még szinte minden, az SP1 legnagyobb számban megjelenő újításai (és persze a szokásos integrált frissítések is) erről szólnak. Jelentős mennyiségű az XP SP2-ben már megismert restrikció került bele ebbe a szervizcsomagba is, pl. a Windows Tűzfallal, az Internet Explorerrel (add-ons tiltás, ActiveX "BindToObject", information bar, pop-up blokkoló, zone elevation blocking, stb.) vagy a Outlook Express-szel kapcsolatban (pl. AES), de az RPC és DCOM szigorítások, a DEP illetve a TCP/IP kapcsolatok terén is ugyanazok a szigorúbb elvek érvényesülnek, ám ezekről most nem lesz szó, viszont nézzünk egy felsorolást azokról az újdonságokról, amelyeket megemlítünk:
-Telepítés utáni automatizmusok (Windows Firewall + Post-Setup Security Updates)
- Állomány- és mappa hozzáférés változások (Access-based Directory Enumeration)
- Security Configuration Wizard
- Wireless Provisioning Services
- Ömlesztett újdonságok (Network Access Quarantine Control, DCdiag, RIS, RsoP, stb.)
A telepítés utáni automatizmusok apropóján
egy sommás megállapítással kezdeném: hogy egy szűzen (tűzfal/vírusirtó/antispyware nélkül) az internetre kötött Windows operációs rendszer mennyi ideig képes biztonságban működni az vita tárgya szerteszét a világban, viszont a sebezhetőség realitása nem az. Ezért fontos teendő volt, hogy a kliensek (XP SP2) után a kiszolgálók sebezhetősége is erőteljesen javuljon egy ilyen szélsőséges szituációban. A megoldás két részből áll: egyrészt a Windows tűzfal automatikus és az indítási folyamat egész alacsony szintjén történő bekapcsolásából másrészt az ún. PSSU (Post-Setup Security Updates) technika alkalmazásából.
A Windows tűzfalat jól ismerhetjük már az XP SP2-ből, ezzel kapcsolatban gyakorlatilag nem látszik változás. Az, viszont hogy mennyiben szolgálja a korai védelmet, rögtön kiderül, ha megnézzük, hogy hogyan és mikor indul el. Ugyanis korábban (akármilyen csúcs védelemmel rendelkeztünk) mindig létezett egy lyuk a hálózati szolgáltatások és az ICF vagy más tűzfal bekapcsolása között (kivéve pl. ISA 2004, amely bebújik a TCP/IP réteg alá és így már az indítás összes fázisában el tudja hessegetni az illetékteleneket). Ennek a holtidőnek a léte nem túl szerencsés, de muszáj volt, hiszen a tűzfal alkalmazásnak be kellett várnia a többi rendszerszolgáltatást a függőségi viszonyok miatt. Az SP1 feltelepítése után viszont rögtön életbelép egy statikus szabály alapú állapotszűrés (ún. rendszerindítási házirend), ami a DNS/DHCP protokollok mellett átengedi a csoportházirend érvényre jutásához szükséges forgalmat is, de semmi mást nem. Ez a házirend csak addig él, amíg a Windows Tűzfal nem kezd el működni, és van még egy fontos tulajdonsága: nem lehetséges módosítani.
A másik lényeges elem a kötelező felhívás az azonnali frissítésre, amely az üzemeltető első bejelentkezése alkalmával elindul.
Ezzel egyidőben a tűzfal az összes bejövő kapcsolatot ignorálja, mindaddig amíg be nem zárjuk ezt az ablakot, ergo biztonságos körülmények között letölthetjük és telepíthetjük a frissítéseket, majd mehet minden tovább. Azonban van egy kivétel, pontosabban kettő: ha korábban a csoportházirend segítségével kivételeket állítottunk be a tűzfallal kapcsolatban, vagy a telepítés során engedélyeztük a Remote Desktop-ot, akkor ezeket a kapcsolatokat a lezárás alatt is engedélyezi a rendszer.
Folytatjuk...
Gál Tamás
gtamas@tjszki.hu