Týden novinek ve Windows Serveru “8”: Novinky v zabezpečení


V oblasti zabezpečení Windows Server “8” přibylo několik zajímavých rozšíření již zavedených funkcionalit známých z Windows Server 2008/R2, které opět přináší více možností pro zabezpečení infrastruktury.

BitLocker

Nástroj BitLocker, který je dostupný od Windows Server 2008, umožňuje šifrovat diskové oddíly a zabezpečit nejen pevné disky, ale také přenosné zařízení jako jsou flash disky, paměťové karty nebo externí disky.

ws04-01

Mezi rozšíření BitLocker na Windows Server “8” patří možnost nastavit šifrování ještě před samotnou instalací operačního systému ve Windows PE. Následně po instalaci je nutné v ovládacích panelech aktivovat ochranu diskové jednotky pomocí již známých možností jako je heslo, TPM, čipová karta nebo startup klíč (jednotlivé možnosti se liší dle chráněného zařízení). Při práci s BitLocker ve Windows Server “8” (a také Windows 8) je možné zvolit, zda má být šifrována celá jednotka, nebo pouze využité místo. Při druhé volbě se může výrazně zkrátit čas potřebný pro zašifrování velkých disků. Navíc je zde podpora i pro tzv. Encrypted Hard Drives, které opět výrazně zkracují dobu nutnou pro šifrování a navíc snižují zátěž systému, protože šifrování má na starosti samotný diskový řadič. V takovém případě je zašifrován disk jako celek (tedy FullDisk Encryption) místo jednotlivých oddílů (FullVolume Encryption).

Spravované účty

Velmi zajímavou možností pro práci se službami běžícími na Windows Serveru byly spravované účty. Jedná se o identity v Active Directory, které je nutné vytvořit pomocí PowerShell příkazů a následně nainstalovat na jednotlivé servery. Tyto účty je poté možno využít pro běh služeb jako je SQL Server 2012. Jednou z výhod těchto účtů je jejich automatický password management nebo registrace SPN (service principal name). V případě Windows Serveru “8” je možné využít i skupinové spravované účty (Group Managed Service Accounts), které mohou být využity na vícero serverech. Hlavním rozdílem proti běžným spravovaným účtům je opět password management, kdy změnu hesla nového druhu spravovaných účtů nemá na starosti samotný počítač, na kterém je servisní účet využit, ale doménový řadič Windows Server “8”.

Certifikační autorita

Ve srovnání s Windows Server 2008 R2 umožnuje Windows Server “8” instalaci všech jednotlivých komponent certifikační autority na libovolnou edici server systému. Díky tomu můžeme už na standardní edici Windows Server “8” řešit scénáře oddělených rolí v rámci certifikační autority. Nově může také certifikační autorita běžet na Windows core instalaci, tedy instalaci s minimálním grafickým rozhraním. Velkou výhodou server core instalace je menší množství windows updates, větší bezpečnost systému a také větší rychlost a stabilita. Velkou novinkou CA na Windows Server 8 je možnost automatické obnovy certifikátů pro počítače, které nejsou připojeny do domény (Exchange Edge, Threat Management Gateway, Lync Edge atd.). Pro vydávání nejen těchto certifikátů je možné pomocí příkazu

certutil -setreg CA\InterfaceFlags +IF_ENFORCEENCRYPTICERTREQUEST

zajistit zabezpečení přenášených informací mezi klientem a certifikační autoritou. Toto nastavení není bohužel podporováno u Windows XP, je tedy nutný upgrade na novější OS nebo je nutné tuto funkci nevyužívat.

- Marek Chmel, WBI

Comments (0)

Skip to main content