Sergey Simakov

На проходящей конференции RSA Security официально объявлено имя продукта, приходящего на смену межсетевому экрану ISA Server 2006 - Forefront Threat Management Gateway.

Forefront TMG будет выпущен совместно с другими продуктами безопасности линейки “Stirling”, обеспечивающими построение интегрированной системы безопасности предприятия, сочетающей решения по сетевой защите, проверке конечных устройств, защите портала и обмена информацией. Бета версия уже доступна для загрузки, Среди объявленных возможностей можно отметить поддержку Windows Server 2008 и x64, встроенный сервис антивирусной проверки на базе MSAV и улучшенные средства управления и построения отчётов. 

Более подробная информация будет доступна на сайте продукта и в блоге команды разработки.

Возвращаясь к сессии безопасности Запуска Windows Server 2008, надо отметить, что в рамках одной сессии невозможно рассказать про все новые возможности Windows Server 2008 с точки зрения безопасности (например про изменения стека TCP/IP, проверку целостности кода, DEP, ASLR ... ).

Даже при рассказе про технологию Network Access Protection, которой была посвящена большая часть выступления, пришлоть пожертвовать многими деталями. В этой заметке я постараюсь компенсировать этот пробел:

Для начала порекомендую прочитать про общее описание и архитектуру NAP. Необходимо представлять, что основное предназначение NAP - контролировать выполнение политик, полноценным решением безопасности данная технология является только при использовании совместно с одним из четырех существующих enforcement-механизмов - IPsec.

Для демонстрации я постарался выбрать наиболее простое решение, которое каждый может проверить в собственной лабораторной сети без большого изменения инфраструктуры: enforcement с помощью DHCP. Для этого в демонстрации использовался контроллер домена Windows Server 2003, существующий клиент Windows XP SP3 и серверы NPS/DHCP на платформе WS2008. В результате при несоответствии компьютера заданной политике (наличию включенного межсетевого экрана) ему выдавался адрес с доступом только к карантинной сети и статически прописывалась таблица маршрутизации для доступа к remediation серверу (контроллеру в данном случае).

Воспользовавшись следующими простыми пошаговыми руководствами вы можете самостоятельно попробовать развернуть NAP в лабораторной сети и получить ответы на практике:

• Step-by-Step Guide: Demonstrate IPsec NAP Enforcement in a Test Lab
  
• Step-by-Step Guide: Demonstrate 802.1X NAP Enforcement in a Test Lab
  
• Step-by-Step Guide: Demonstrate VPN NAP Enforcement in a Test Lab
  
• и наконец Step-by-Step Guide: Demonstrate DHCP NAP Enforcement in a Test Lab

P.S. Кстати, если кто была на этой сессии и вспомнит - на левой половине сцены стояли несколько сетевых устройств, начиная с мощного ProCurve и заканчивая простейшим D-Link. Ввиду того, что Василий уже просил завершать мою презентацию ;-), я не успел рассказать про то, что любое из этих устройств может использоваться в вашей сети для 802.1X Enforcement. Полный список протестированного сетевого оборудования есть в блоге команды NAP.

После выступления на сессии безопасности Запуска Windows Server 2008 многие спрашивали про безопасность BitLocker (полное шифрование диска), используемые алгоритмы и средства восстановления.

Для того чтобы получить подробные ответы на эти вопросы советую обратить внимание на документ по анализу безопасности из Data Encryption Toolkit.

Как наверно знают читатели моего блога - два раза в год в Microsoft организовывают очень интересные выступления на внутренней конференции BlueHat, на которую приглашают известных исследователей в области информационной безопасности и освещаются новые и интересные вопросы в области ИБ. Этой осенью конференция проходила в сентябре и как объявлено в блоге BlueHat, записи выступлений теперь доступны для всех наших пользователей и клиентов на сайте Microsoft BlueHat Security Briefings.

Опубликован отчет по угрозам безопасности рабочих станций, подготовленный на основе анализа результатов работы служб, инструментов и отчетов (MSRT, Windows Defender, Windows Live OneCare и других) за второе полугодие 2006 года.

Данный отчет выявляет текущие тенденции для вредоносного и нежелательного ПО в разрезе полугодия, а также показывает возможности средств Microsoft по защите от текущих и будущих угроз (в том числе и возможности новой Windows Vista).

[Update] Кстати, стоит отметить, что скоро появится перевод статьи о классификации и анализе уязвимостей на русский язык в MSDN.

Подготовлен и опубликован новый сайт Microsoft TechNet с информацией, касающейся Служб сертификации в Windows Server 2008 - Active Directory Certificate Services (это официальное название служб в новой версии).

Появляется всё больше публичной информации о новых возможностях Windows Server "Longhorn" 2008 (да, теперь официально Windows Server 2008):

• Active Directory Certificate Services Certificate Templates
• Active Directory Certificate Services Longhorn Beta3 Key Archival and Recovery
• Simple Certificate Enrollment Protocol Implementation (поддержка выпуска сертификатов сетевых устройств)
• Installing, Configuring, and Troubleshooting the Microsoft Online Responder (реализация протокола OCSP)

Я надеюсь, что многие интересующиеся безопасностью уже зарегистрировались на официальную презентацию в России Microsoft Forefront и Microsoft System Center.

Безопасность невозможна без обеспечения контроля и мониторинга инфраструктуры, именно поэтому запуск данных продуктов совмещён. Также отмечу интересный компонент, который наконец-то выпущен в составе SC OpsMgr 2007 - Audit Collection Services.

Немаловажно, что презентации подготовлены моими коллегами по Департаменту консалтинга и запланирована сессия "Спроси эксперта", на которой вы сможете задать свои вопросы.

P.S. Если вы читаете этот блог и будете на конференции - скажите об этом, мне интересно увидеть своих читаталей "вживую" ;-)

На сайте центра безопасности TechNet недавно были опубликованы очень интересные руководства по безопасности:

• Руководство по многоуровневой антивирусной защите
• Практическое руководство по компьютерной безопасности для среднего и малого бизнеса
• Руководство по безопасности Windows Server 2003 (о нём я уже писал в своём блоге, особенно интересно в связке с Руководством по безопасности для систем Windows Vista)

В целом в разделе рекомендаций TechNet в этом году появилось много интересной информация - советую посмотреть.

Теперь, с выпуском Beta3 релиза Windows Server "Longhorn" в публичное тестирование, стало появляться всё больше доступной информации об изменениях и новых возможностях системы.

Среди этой информации я хотел бы отметить документ Changes in Functionality from Windows Server 2003 with SP1 to Windows Server Code Name “Longhorn”, подробно описывающий интересные изменения в новой ОС, и пошаговые инструкции по настройке тех или иных компонент.

[15/05/2007] Кстати, коллеги подсказывают, что на нашем сайте также появилась информация на русском языке: http://www.microsoft.com/rus/servers/longhorn/

Майкл Ховард (соавтор книги Защищенный код) сообщил, что запущен отдельный командный  блог, посвященный обеспечению безопасности всего цикла разработки - Security Development Lifecycle blog. Настоятельно рекомендую разработчикам обратить внимание.

В частности, Майкл описал уроки, полученные при анализе ошибки безопасности с анимированным курсором.

Я уже упоминал, что на русском языке доступно Руководство по безопасности для системы Windows Vista. В связи с этим я рад сообщить, что теперь на русском также доступны рекомендации по обеспечению безопасности серверной операционной системы - Руководство по безопасности Windows Server 2003.

[Добавлено 5 июня 2007] И очень скоро выйдет Windows Server 2008 Security Guide, Executive Overview по которому уже доступно.

Как я уже говорил, одной из областей информационной безопасности, которыми я занимаюсь, является построение Инфраструктуры Открытых ключей для наших заказчиков. Поэтому я хотел бы обратить внимание моих читателей на документ, не так давно опубликованный на нашем web-сайте: Active Directory Certificate Server Enhancements in Windows Server "Longhorn". Этот документ был подготовлен коллегой из службы консалтинга в Германии совместно с группой разработки AD CS и содержит следующую информацию о новых возможностях ИОК в Windows Server "Longhorn":

• Поддержка новой версии криптографического интерфейса Cryptography API: Next Generation (также известного как CNG) в Службах сертификации, что позволит упростить поддержку новых алгоритмов (в том числе основанных на эллиптических кривых)
• Установка Служб сертификации в автоматизированном режиме (без необходимости отдельного отключения расширения AIA в сертификатах корневых ЦС)
• Поддержка шаблонов сертификатов версии 3
• Поддержка ограничений для Агентов выпуска сертификатов (часто требуется при внедрении ИОК в крупных распределенных компаниях)
• Реализация стандарта OCSP для проверки статуса сертификатов 
• Многие другие возможности

Итого, рекомендую к прочтению для оценки преимуществ ИОК, построенной на платформе Microsoft Windows, и понимания будущего развития технологии.