Продукты и технологии Microsoft : Security

Firewall в Windows 7

ashapo — Tue, 10 Mar 2009 17:36:41 GMT

Подходит к концу наше очередное “турне” :) с семинарами TechDays по городам России. Мне осталось посетить Калининград (12 марта) и Краснодар (17 марта). Один из докладов семинара посвящен технологиям безопасности Windows 7. И поскольку все нововведения в этой области за один доклад конечно же не объять, постараюсь в своем блоге уделить внимание тем аспектам безопасности, о которых мы в рамках семинара не говорили вообще, или говорили недостаточно подробно.

Этот пост посвящен новым возможностям встроенного в Windows 7 firewall. Первая и главная, как мне кажется, особенность firewall в Windows 7 заключается в том, что несколько профилей могут быть активными одновременно.

Несколько активных профилей

Напомню, начиная с Windows Vista, встроенный firewall поддерживает три профиля – domain, private и public (в XP их было два – domain и standard). Каждый профиль представляет собой набор применяемых firewall-ом правил. Всякий раз, когда компьютер подключается к сети, ОС пытается идентифицировать эту сеть и применить соответствующий профиль. В частности, если в сети доступен контроллер домена, которому принадлежит данный компьютер, автоматически применяется доменный профиль. Если же в новой сети, к которой компьютер подключился, контроллер домена отсутствует, применяется наиболее ограничивающий public-профиль. При этом перед пользователем возникает окно, в котором можно явным образом выбрать профиль для данной сети.

Служба Network Location Awareness (NLA) сохраняет информацию о сети в специальной базе данных. Когда в следующий раз компьютер подключится к этой сети, и NLA успешно ее идентифицирует на основе сохраненной в базе информации, firewall автоматически применит соответствующий профиль.

Так вот в Windows Vista в каждый момент времени только один профиль может быть активным. То есть в каждый момент времени настройки только одного профиля применяются ко всем сетевым интерфейсам, для которых firewall включен. Это порождает определенные проблемы. Например, в доменном профиле администратор разрешил входящие подключения для некоторого бизнес-приложения (Microsoft Office Groove, как вариант). Пользователь работает на ноутбуке в доменной сети и использует это бизнес-приложение. Предположим, пользователь перемещается в переговорную комнату, из которой доступна некоторая публичная WiFi-сеть, скажем, офиса соседнего этажа или оператора мобильной связи. WiFi-адаптер ноутбука автоматически подключается к этой публичной сети, и для нее должен быть применен профиль public. В подобной ситуации, когда адаптеры “смотрят” в разные сети, Vista всегда применяет наиболее ограничивающий профиль, то есть public, в котором, в свою очередь, все входящие подключения запрещены. Как следствие, наше бизнес-приложение перестает корректно работать. Другой пример – VPN. Все тот же пользователь со своего ноутбука пытается получить доступ к корпоративным ресурсам, но уже из дома. Он устанавливает VPN-подключение, и перед ним вся корпоративная сеть. Однако поскольку для VPN-подключения используется, например, private-профиль, настройки доменного профиля firewall-а не применяются, и бизнес-приложение опять не работает так, как надо. Все это создает определенную головную боль для ИТ-отдела компании.

Windows 7 поддерживает такие же три профиля firewall. Однако, одновременно сразу несколько профилей могут быть активными. Каждый сетевой адаптер использует наиболее подходящий профиль для той сети, к которой он подключен.

Стало быть, после подключения из Интернет-кафе с помощью VPN к корпоративной сети, ко всему трафику, следующему через VPN-туннель, применяется доменный профиль, в то время как весь остальной трафик защищен профилем public. Демонстрацию этого функционала вы можете посмотреть в моем докладе: “XP, Vista, Win7 – вчера, сегодня, завтра. Технологии безопасности” на сайте TechDays.

Настройка исключений для нескольких профилей

Есть несколько усовершенствований в интерфейсе аплета Windows Firewall в панели управления. Раньше, при настройке исключений, то есть указании, какому приложению разрешено работать через firewall, настройки сохранялись в текущем (активном в настоящий момент) профиле. В Windows 7 можно явным образом выбрать один или несколько профилей, на которые распространяется данное исключение.

Подобная возможность есть и при появлении оповещения о том, что некоторое приложение пытается работать через firewall.

Подчеркну, что речь идет именно об аплете Windows Firewall. Если создавать правило с помощью Windows Firewall with Advanced Security, то и в Vista, и в Windows 7 создаваемое правило можно сразу же распространить на несколько профилей.

Включение/выключение firewall для профилей

В Windows 7 можно довольно легко включить или выключить firewall, а также оповещения о блокировании приложений для конкретного профиля или профилей.

Дополнительные ссылки

С помощью дополнительных ссылок из аплета Windows Firewall в “семерке” можно быстро перейти к консоли Windows Firewall with Advanced Security, настройкам по умолчанию или к инструменту разрешения проблем.

Исключения для пользователей и компьютеров

При создании правил в Windows Vista можно было задействовать IPSec и указать, что соединения разрешены для конкретных пользователей и/или компьютеров. В Windows 7 плюс к этому можно задавать исключения для пользователей и/или компьютеров.

Диапазоны портов

Последняя деталь, которую хотелось бы отметить, возможность в правилах указывать теперь диапазоны портов. В Vista можно было указывать конкретные номера портов, разделяя их запятой.

Добавлю также, что для разработчиков третьих фирм доступен обновленный API, позволяющий, с одной стороны, добавлять свой функционал, с другой, задействовать только нужные возможности встроенного firewall. Например, разработчик может реализовать свои политики управления firewall, но при этом опираться на встроенные политики IPSec. Остается надеяться, что перечисленные нововведения остановят ИТ-специалистов от необдуманного отключения встроенного firewall-а и помогут реализовать более эффективную защиту рабочих станций и серверов предприятия.

Семинары TechNet: вопросы и ответы

ashapo — Wed, 18 Jun 2008 13:34:33 GMT

Коллеги, весной этого года прошла традиционная серия семинаров TechNet. В мае мы провели и записали веб-трансляции по всем презентациям прошедшей серии. Записи трансляций можно скачать здесь. Не на все вопросы мы с Андреем Бешковым успели /смогли ответить. А посему предлагаю вашему вниманию вопросы, некоторые комментарии и ответы, прозвучавшие во время этих веб-трансляций. Хороший повод освежить в памяти информацию, посмотреть на самые популярные вопросы и, конечно, задать свои, если таковые созреют.

Я читал веб-касты по ядру Windows Server 2008 и по службам кластеризации Windows Server 2008. Соответственно, публикую вопросы и ответы по этим темам.

Начнем с ядра, следующий пост оставим за кластерами. Некоторые вопросы повторялись по смыслу, например, про iSCSI, в таких случаях я оставлял какую-то одну формулировку.

Ключевые изменения в ядре Windows Server 2008

Вопрос. Известно ли сейчас, как будет реагировать Hyper-v на добавление процессора и памяти?

Ответ. Имеется в виду возможность горячего добавления процессора и памяти, реализованная в Windows Server 2008. Известно, два раза нет. Нет номер один. В первом релизе гипервизор не будет поддерживать горячее добавление процессора / памяти. Более того, эта возможность Windows Server 2008 будет вообще недоступна при включении роли Hyper-V. Для добавления / обновления «железа» необходимо либо выключать все виртуальные машины, а затем и физический сервер, либо с помощью Quick Migration перекидывать виртуалки на другой хост и выключать исходный. Нет номер два. Не будет реализовано горячее добавление ресурсов виртуальной машины. То есть нельзя на ходу добавить виртуалке дополнительный виртуальный процессор или увеличить память.

Вопрос. Хотелось бы услышать пару слов про то, что Hyper-V – это NUMA-aware приложение (прочитал на технете), и чем это хорошо или нет? :)

Ответ. Все верно, Hyper-V – это NUMA-aware приложение. В системах NUMA память разбита на блоки с тем, чтобы уменьшить конкуренцию процессоров за этот важный ресурс. Соответственно, для каждого процессора существует «предпочтительный» («локальный») блок памяти, доступ к которому реализуется максимально быстро. В таких системах гипервизор пытается запланировать выполнение потоков соответствующих виртуальных машин на процессорах в тех блоках, в памяти которых расположены данные виртуальных машин. И наоборот, если виртуальная машина запрашивает память, гипервизор будет пытаться выделить ее в локальном блоке процессора, на котором данная виртуальная машина запущена. Такой подход позволяет повысить производительность. Отмечу, Virtual Server 2005 R2 также поддерживает архитектуру NUMA.

Вопрос. SMB2 необходимо включать дополнительно, или Windows Server 2008 и Vista SP1 сами «договорятся»?

Ответ. Сами «договорятся». Если и клиент, и сервер поддерживают SMB2, то он и используется, в противном случае используется SMB1.

Вопрос. Могут ли символические ссылки разрешаться на клиенте? Если нет, то причем тут SMB?

Ответ. Могут. Именно на клиенте они и разрешаются. Символические ссылки могут указывать на файл или папку, причем как локальную, так и удаленную. Поэтому и SMB был модифицирован, чтобы корректно отрабатывать работу с символическими ссылками, указывающими на удаленный ресурс. Более того, были изменены многие команды, например, команда Delete, чтобы при удалении символической ссылки удалялась ссылка, а не ресурс, на который она указывает.

Вопрос. Есть ли Microsoft iSCSI Target под Windows Server 2008 (под 2003 был в спец. версии)?

Ответ. Есть и iSCSI Target, и iSCSI Initiator. Чтобы можно было создавать таргеты и управлять ими, необходимо через Server Manager в разделе Features добавить Storage Manager for SANs. Предварительно надо подключить само хранилище, например, SAN. Эта возможность есть во всех редакциях, кроме Web, если не ошибаюсь. iSCSI Initiator доступен сразу после установки ОС в Administrative Tools.

Вопрос. Разве в Windows Server 2008 где-то есть boot.ini или параметр /3GB, упомянутый в презентации?

Ответ. Файл boot.ini больше не используется для Windows Vista и Windows Server 2008. Параметры загрузки хранятся в Boot Configuration Data (BCD) и изменяются с помощью утилиты командной строки bcdedit.exe. Описание всех параметров можно найти здесь. В частности параметр INCREASEUSERVA определяет размер адресного пространства для User Mode в 32-битных версиях Windows. Его предельное значение 3072 имеет тот же смысл, что /3GB для предыдущих версий.

Вопрос. Про службы: сервер Hyper-V будет ждать сколько нужно, пока завершится работа ВМ (с установленными IC), или будет выдавать таймфрэйм на завершение работы ВМ и потом ее закрывать?

Ответ. Hyper-V заморозит гостевые машины и только потом выключится.

Вопрос. С автоматическими исправлениями файловой системы, не получится ли так, что файлы будут портиться незаметно для пользователя? Если обнаружено повреждение файловой системы, файл может быть усечён?

Ответ. Нет. Если произошли ошибки на уровне файловой системы NTFS, специальный поток устранит ошибки и запротоколирует свою работу в системном журнале. Повреждение самого файла может произойти в случае повреждения носителя, скажем, bad blocks на HDD. Такие проблемы NTFS, конечно, исправить не может.

Вопрос. Расскажите подробнее про DTC и откат изменений базы данных на SQL Server, нужна ли при этом остановка службы SQL Server?

Ответ. В общем случае, конечно, нет, остановка службы SQL Server не потребуется. Подробнее постараемся осветить эту тему в одной из будущих веб-трансляций.

Вопрос. API по DTC и case-studies где можно найти? В Windows Server 2003 DTC также можно применять, или там нет и не будет транзакций реестра и файловой системы?

Ответ. API по DTS можно найти на сайте MSDN, например, здесь. Кейсы именно по DTS вряд ли есть, как вариант, можно посмотреть кейсы по SQL Server, здесь. Что касается второй части вопроса, то надо отметить следующее. Возможность использовать распределенные транзакции пользовательского режима существует давно и в разных продуктах / службах (SQL Server, MSMQ и пр.). Транзакции на уровне ядра, в частности, транзакции NTFS и реестра, контролируются модулем Kernel Transaction Manager, который присутствует только в Vista и Windows Server 2008.

Вопрос. Еще бы посмотреть на 2 висты, копирующих один файл одновременно?

Ответ. Сначала поясню суть вопроса. В демонстрации я показывал, как один и тот же файл размером около 250 МБ одновременно (ну, почти :)) начинал копироваться с Windows Server 2008 на Vista SP1 и на XP SP3. За счет SMB2 и оптимизации стека TCP/IP в Vista и 2008-ом копирование на Висту происходило гораздо быстрее. Про SMB2 речь шла в данной трансляции, про усовершенствования TCP/IP можно узнать из следующих трансляций Андря Бешкова:

http://www.microsoft.com/rus/events/detail.mspx?eventid=1032369953 http://www.microsoft.com/rus/events/detail.mspx?eventid=1032369951

Я поэкспериментировал с двумя Вистами на виртуальных машинах: копировал одновременно на две Висты и еще попробовал копировать с одной Висты на другую. В обоих случаях скорость копирования в несколько раз выше, чем в случае с XP.

По ядру пока все. Если свой вопрос не обнаружили, или созрел новый, пишите.

Продолжение (по кластерам) следует. Удачи!

Веб-трансляция о BitLocker

ashapo — Fri, 22 Feb 2008 13:43:41 GMT

Коллеги!

Все накопившиеся у вас вопросы, комментарии, мысли, пожелания по прошедшей трансляции оставляйте здесь. Чуть позже опубликую ссылку на записанный вариант трансляции.

С наступающим Днем защитника отечества!

Внешний доступ к RMS

ashapo — Wed, 07 Nov 2007 14:03:00 GMT

Реализация внешнего доступа к службам RMS - задача нетривиальная во всех отношениях. Надеюсь, прошедшая веб-трансляция хоть немного прояснила ситуацию. Запись трансляции можно скачать по этой ссылке:

http://www.microsoft.com/rus/events/detail.mspx?eventid=1032357041

Ваши комментарии, вопросы можно оставлять здесь.

Спасибо!

Веб-трансляция: Active Directory Rights Management Services в Windows Server 2008

ashapo — Tue, 30 Oct 2007 14:06:34 GMT

Большое спасибо всем участникам! Готов ответить на оставшиеся вопросы. Некоторую дополнительную информацию можно найти здесь:

http://technet2.microsoft.com/windowsserver2008/en/servermanager/default.mspx

Ближайшие веб-трансляции

ashapo — Fri, 19 Oct 2007 13:39:32 GMT

На нашем сайте вы можете найти расписание веб-трансляций вплоть до декабря месяца. Позволю себе лишний раз отметить те, которые буду проводить я.

Две ближайшие веб-трансляции посвящены службе управления правами Rights Management Services в Windows Server 2008. На семинарах TechNet мы лишь кратко упоминаем про возможности RMS, в то время как многочисленные вопросы от аудитории показывают очевидный повышенный интерес к этой теме. Поэтому я решил рассмотреть данную технологию достаточно подробно.

Первая веб-трансляция – Active Directory Rights Management Services в Windows Server 2008 – состоится 30 октября и будет состоять из двух частей. Сначала мы детально пройдемся по архитектуре RMS, разберемся, какие ключи и алгоритмы шифрования и как используются. Уверен, это снимет многие вопросы относительно использования защищенных документов. Если вы четко представляете, что происходит с документом на каждом шаге отработки политики RMS, вы без труда поймете, кто, каким приложением и при каких условиях сможет / не сможет открыть RMS-защищенный файл или письмо. Во второй части пробежимся по новым возможностям, которые появились в реализации RMS в Windows Server 2008.

Вторая веб-трансляция – Внешний доступ к службам RMS – запланирована на 7 ноября. Пока я собираюсь рассмотреть два аспекта. Во-первых, как организовать доступ к защищенной информации сотрудникам, которые находятся за пределами внутренней корпоративной сети. Во-вторых, мы подробно остановимся на возможности, появившейся именно в Windows Server 2008. Речь пойдет об использовании Active Directory Federation Services (ADFS) для обмена защищенными файлами. Благодаря этому механизму, в частности, возможно развернуть сервер RMS только в одной организации, при этом защищенные данным сервером документы будут доступны пользователям другой организации. Вспомним заодно и принцип действия собственно технологии ADFS, о который мы кстати рассказывали два года назад на семинарах «TechNet. Осень 2005».

Ну и наконец, учитывая пожелания многих участников нынешней волны TechNet-а, 20 ноября мы посмотрим, что нового и интересного можно ждать от службы сертификатов Windows Server 2008. Регистрируйтесь на веб-трансляцию Особенности служб сертификации в Windows Server 2008.

И последнее замечание. Темы этих трансляций уже зафиксированы. Однако, само содержание еще в процессе разработки. А стало быть, у вас есть возможность повлиять на то, что в конечном итоге попадет «в эфир». Так что оставляйте ваши комментарии, равно как и пожелания относительно тем будущих веб-трансляций.

Услышимся в онлайне!