Sergey Simakov : Windows Server

NAP

sergesim — Wed, 19 Mar 2008 21:22:00 GMT

Возвращаясь к сессии безопасности Запуска Windows Server 2008, надо отметить, что в рамках одной сессии невозможно рассказать про все новые возможности Windows Server 2008 с точки зрения безопасности (например про изменения стека TCP/IP, проверку целостности кода, DEP, ASLR ... ).

Даже при рассказе про технологию Network Access Protection, которой была посвящена большая часть выступления, пришлоть пожертвовать многими деталями. В этой заметке я постараюсь компенсировать этот пробел:

Для начала порекомендую прочитать про общее описание и архитектуру NAP. Необходимо представлять, что основное предназначение NAP - контролировать выполнение политик, полноценным решением безопасности данная технология является только при использовании совместно с одним из четырех существующих enforcement-механизмов - IPsec.

Для демонстрации я постарался выбрать наиболее простое решение, которое каждый может проверить в собственной лабораторной сети без большого изменения инфраструктуры: enforcement с помощью DHCP. Для этого в демонстрации использовался контроллер домена Windows Server 2003, существующий клиент Windows XP SP3 и серверы NPS/DHCP на платформе WS2008. В результате при несоответствии компьютера заданной политике (наличию включенного межсетевого экрана) ему выдавался адрес с доступом только к карантинной сети и статически прописывалась таблица маршрутизации для доступа к remediation серверу (контроллеру в данном случае).

Воспользовавшись следующими простыми пошаговыми руководствами вы можете самостоятельно попробовать развернуть NAP в лабораторной сети и получить ответы на практике:

P.S. Кстати, если кто была на этой сессии и вспомнит - на левой половине сцены стояли несколько сетевых устройств, начиная с мощного ProCurve и заканчивая простейшим D-Link. Ввиду того, что Василий уже просил завершать мою презентацию ;-), я не успел рассказать про то, что любое из этих устройств может использоваться в вашей сети для 802.1X Enforcement. Полный список протестированного сетевого оборудования есть в блоге команды NAP.

BitLocker

sergesim — Wed, 19 Mar 2008 17:47:00 GMT

После выступления на сессии безопасности Запуска Windows Server 2008 многие спрашивали про безопасность BitLocker (полное шифрование диска), используемые алгоритмы и средства восстановления.

Для того чтобы получить подробные ответы на эти вопросы советую обратить внимание на документ по анализу безопасности из Data Encryption Toolkit.

Общий сайт по Службам сертификации в Windows Server 2008

sergesim — Tue, 05 Jun 2007 09:38:53 GMT

Подготовлен и опубликован новый сайт Microsoft TechNet с информацией, касающейся Служб сертификации в Windows Server 2008 - Active Directory Certificate Services (это официальное название служб в новой версии).

Работа с PKI в Windows Server 2008

sergesim — Tue, 15 May 2007 22:08:00 GMT

Появляется всё больше публичной информации о новых возможностях Windows Server ~~"Longhorn"~~ 2008 (да, теперь официально Windows Server 2008):

Active Directory Certificate Services Certificate Templates
Active Directory Certificate Services Longhorn Beta3 Key Archival and Recovery
Simple Certificate Enrollment Protocol Implementation (поддержка выпуска сертификатов сетевых устройств)
Installing, Configuring, and Troubleshooting the Microsoft Online Responder (реализация протокола OCSP)

Выпуск LHS B3

sergesim — Fri, 27 Apr 2007 23:53:00 GMT

Теперь, с выпуском Beta3 релиза Windows Server "Longhorn" в публичное тестирование, стало появляться всё больше доступной информации об изменениях и новых возможностях системы.

Среди этой информации я хотел бы отметить документ Changes in Functionality from Windows Server 2003 with SP1 to Windows Server Code Name “Longhorn”, подробно описывающий интересные изменения в новой ОС, и пошаговые инструкции по настройке тех или иных компонент.

[15/05/2007] Кстати, коллеги подсказывают, что на нашем сайте также появилась информация на русском языке: http://www.microsoft.com/rus/servers/longhorn/