Security Configuration Wizard (folytatás)
A folyamat végén (ha van IIS, akkor lesz még egy az IISLockdown-hoz hasonló 5. kör is), a beállításokat elmenthetjük (.xml) egy másik gépen alkalmazhatjuk, beimportálhatjuk, stb.,
Az SCW még sok érdekességet tartogat számunkra, pl. tetszőlegesen bővíthető. 12 darab xml állománnyal érkezik, amelyek a %windir%securitymsscwkbs mappában találhatóak. Jó tudni, hogy amellett, hogy innentől minden további kiszolgálóban alapértelmezés szerint benne lesz az SCW, már az R2 esetén is bővíteni fogják a újabb szerepkörökkel. Sokak számára hasznos lesz az is, hogy a minden egyes panelen megtalálható súgók és az azokból nyíló webes hivatkozások teljesen korrekt segítséget nyújtanak. Nagyon kellemes jószág az SCW parancssori eszköze, amellyel a konfigurálás és a visszaállítás mellett egy analízist is végezhetünk (mindezeket távolból is). Emellett ezzel válik majd lehetővé az új bővítmények regisztrálása, és egy megint csak fontos jóság is: az általunk végzett beállítások végtermékeként az xml állományokból hagyományos csoportházirend objektumokat is gyárthatunk!
A vezeték nélküli hálózatlétesítési szolgáltatás
azaz a Wireless Provisioning Services az XP SP2-ben jelent meg először, ahol a WLAN kliens szoftver bővítményeként szerepel. A Windows Server 2003 SP1-ben pedig az Internet Authentication Service (IAS) szolgáltatást egészíti ki. Elsősorban hotspot szolgáltatóknak, WLAN hozzáférést nyújtó cégeknek készült, illetve nagyvállalati környezetben is használható, pl. vendéghozzáférés biztosítása céljából (akár automatikusan egy erre a célra tartott VLAN-ra átirányítva). Röviden összefoglalva ez a szolgáltatás leegyszerűsíti a WLAN kliensek életét, hiszen a kapcsolódáskor az IAS (mint proxy) közvetítésével automatikusan tölthetik le a hálózat adatait, paramétereit a kiszolgálótól, így beavatkozás nélkül csatlakoznak illetve váltanak a szolgáltatók között (barangolás). Egyúttal az SP1-ben némi wireless biztonsági szint emelés is történt, hiszen a Windows Server 2003 immár támogatja a Protected Extensible Authentication Protocol-t (PEAP) és a WPA-t is.
Ahhoz viszont, hogy az IAS-ban az előbbit az ábrán látható módon a grafikus felületen lássuk, némi registry módosításra van szükség. A következő helyen vegyük fel a "EnableWPSCompatibility" DWORD kulcsot 1-es értékkel és az IAS-ban és lőn.
HKLMSystemCurrentControlSetServicesRemoteAccessPolicy
A Microsoft egy nagyon alapos és hosszú dokumentumot máris kiadott az IAS illetve egyéb RADIUS szerverek valamint a WPS kapcsolatáról, amit innen letölthetünk.
Végül, de nem utolsósorban
beszéljünk kisebb/nagyobb változásokról, fejlesztésekről, ömlesztve, ám nem súlyozva:
- 64 bit: az SP1 után a Windows Server 2003 a 64 bites hardverre is kiterjeszti a lehetőségeit
- Network Access Quarantine Control: azaz a VPN karantén, amely a VPN-en bejövő kapcsolatok ellenőrzésére szolgál. Ha az általunk megszabott kapcsolódási feltételeket (szervizcsomag, bekapcsolt tűzfal, aktuális frissítések, vírusirtó megkövetelése, stb.) a VPN kliens nem teljesíti, akkor a kapcsolódás megtagadása lesz az eredmény. A VPN karantén ISA 2004 esetén is létezik, és a Windows Server 2003 RTM-ben is működhet a Resource Kit Tools-ból feltelepítve, most viszont bekerült az egyből telepíthető komponensek közé. További info a VPN karanténról itt, illetve letölthető példaszkriptek innen.
- Ugyanígy "járt" az RsoP (Resultant Set of Policy = Eredő házirend), azaz az eddig csak bővítményként megjelent eszközt beintegrálták. (Úgy néz ki, talán végre a GPMC is belekerülhet az R2-be).
- Az SP1-es RIS támogatja a 64 bites image-eket.
- A Dcdiag.exe egy remek eszköz volt eddig is, ám most számtalan DNS szerver/zóna teszttel bővült:
Dcdiag /test:DNS [/DnsBasic | /DnsForwarders | /DnsDelegation | /DnsDynamicUpdate | /DnsRecordRegistration | /DnsResolveExtName [/DnsInternetName:InternetName] | /DnsAll] [/f:Logfile] [/ferr:Logerr] /S:DCName[/e] [/v]
- Az ADPrep.exe okosabb lett, bizonyos Exchange és (a Windows 2000) AD sémaelemek konfliktusát megelőzi azzal, hogy nem hajlandó addig futni, amíg a ki nem javítjuk. Az "Enhancements to Adprep.exe in Windows Server 2003 Service Pack 1" című dokumentumban, részletesen le van jegyezve, hogyan korrigáljunk (manuálisan) ebben az esetben.
Gál Tamás
MCT, MCSE, MCSA, MVP
gtamas@tjszki.hu