Security Configuration Wizard (folytatás)
A feladat megjelölése után kiválaszthatjuk azt a szervert, amelyikkel dolgozni szeretnénk. Természetesen ez lehet egy távoli szerver is, azzal a feltétellel, hogy szinten telepítve van rajta az SCW (mind a 4 alapművelet lehetséges lesz távolból is).
Amit viszont nem tehetünk meg az, hogy a 32 bites kiszolgálóról egy 64 bitest konfigurálunk és fordítva.
A következő lépésben jön a felmérés, majd a kapunk egy termetes leírást az összes szerver szerepkör jellemzőiről, a szükséges szolgáltatásokról és portokról, a kliens alkalmazásokról, egyszóval ez az ún. biztonsági konfigurációs adatbázis (lásd előző ábra).
Most kezdődik az igazi munka, elsőkörben az SCW felajánl a vizsgálatok alapján egy szerepkör listát, amelyhez hozzátehetünk illetve elvehetünk attól függően, hogy milyen szerepet tölt be az adott szerver. Nyomban ezután jön a kiszolgáló kliens szerepeinek kiválasztása, ahogy az ábrán látszik is (ahogy az is, hogy a "View" alatt mindig kellemesen finomíthatjuk a látnivalót).
Ezt követi az egyéb gyári szükséges szolgáltatások illetve szervizek kiválasztása, majd külső szoftverek által telepített szervizek felsorolása. Ezután kérhetjük a nem használt szervizek letiltását és végül az első kör végén egy áttekinthető listában tekinthetjük meg az összegzést.
A második kör a hálózati biztonsági beállításokra vonatkozik, a portokat tilthatjuk illetve hatókör vagy az IPSec segítségével korlátozhatjuk az elérést. A harmadik körben a regisztrációs adatbázis néhány kiemelt kulcsa segítségével további fontos korlátozásokat eszközölhetünk. Első opció az SMB aláírás kikényszerítése, amellyel a közismert "The man in the middle" típusú támadást lehet kiküszöbölni. Óvatosan bánjunk ezzel, mert a régi kliensek ezt a módszert nem ismerik, ezért már a tartományba belépés sem sikerülhet az AD kliens nélkül. A másik opcióval az összes állomány- és nyomtatási forgalom digitális aláírása váltható ki.
Ezután az LDAP signing (aláírás), azaz az LDAP forgalom tikosított és/vagy aláírt változatára térhetünk át (a kliensek a Windows 2000 SP3-tól ismerik) majd kiválaszhatjuk a LAN Manager hitelesítési eljárások számítógépekre alkalmazott változatai közül a megfelelőt (LM/NTLM/NTLMv2).
Végül a negyedik körben következnek a naplózással kapcsolatos beállítások és készen is vagyunk.
Folytatjuk...
Gál Tamás
gtamas@tjszki.hu