Recentemente stavo aiutando un cliente con la distribuzione di un cluster di failover di Windows 2012. Siamo stati in grado di configurare un cluster 3 nodi nel giro di poche ore, ma con mia grande sorpresa, la finale di 'cartina di tornasole' di portare il nome della rete fino riuscita. A causa di questo, non abbiamo potuto portare la risorsa di SQL Server online. Da entrambi cluster e il registro eventi era abbastanza evidente che stavamo colpendo un problema di autenticazione:
Nome di accesso: sistema
Origine: Microsoft-Windows-FailoverClustering
ID evento: 1207
Categoria attività: Risorsa nome di rete
Livello: errore
Parole chiave:
Utente: SYSTEM
Computer: ********
Descrizione:
Cluster rete nome risorsa 'Nome cluster' non può essere portato in linea. L'oggetto computer associato alla risorsa non poteva essere aggiornato nel dominio ********** per il seguente motivo:
. Impossibile ottenere Object computer utilizzando GUID
Il testo per il codice di errore associato è: errore di accesso: utente sconosciuto nome o password errata
Origine: Microsoft-Windows-FailoverClustering
ID evento: 1207
Categoria attività: Risorsa nome di rete
Livello: errore
Parole chiave:
Utente: SYSTEM
Computer: ********
Descrizione:
Cluster rete nome risorsa 'Nome cluster' non può essere portato in linea. L'oggetto computer associato alla risorsa non poteva essere aggiornato nel dominio ********** per il seguente motivo:
. Impossibile ottenere Object computer utilizzando GUID
Il testo per il codice di errore associato è: errore di accesso: utente sconosciuto nome o password errata
Causa prima
Su indagine, si è rivelato un problema con il privilegio di protezione ' accesso al computer tramite la rete '. Per impostazione predefinita in Windows Server 2012 i seguenti gruppi hanno il diritto di accedere a questo computer dalla rete GPO:
- Amministratori
- Backup Operators
- Utenti
- Tutti
Sul server problema (s), il Everyone gruppo mancava ; e l'aggiunta di nuovo risolto il problema. Perché questo è stato necessario? Il Cluster Object Name (CNO), gli account di servizio di applicazioni che utilizzano cluster e l'oggetto computer di ogni nodo dovrebbe avere il permesso di accedere al computer dalla rete.
Testing Windows non include i casi di test in cui è stata modificata l'impostazione predefinita . Quindi non possiamo prevedere come gruppo sarebbe comportato dopo la rimozione dei gruppi predefiniti dal GPO di cui sopra.
Il 'aha!' momento
Sollievo attuato, davanti a una tazza di caffè, ho chiesto al cliente di condividere il motivo dietro questo cambiamento.Sono stato poi informato di una " Tempra documento "implementato religiosamente prima di mettere i server in produzione. Nelle nostre esperienze, tali documenti tendono ad essere pericolosi perché sono stati scritti verso la fine del 1990 e in molti casi non sono stati rivisti o aggiornati per le versioni moderne del sistema operativo.
Momento della verità
Io personalmente non consiglio indurimento manuale Server, in quanto può causare il server a comportarsi male, risultare in dettaglio delle componenti correlate diverse del sistema operativo e il fallimento delle applicazioni critiche. Io consiglio i miei clienti di utilizzare Security Compliance Manager o il Security Configuration Wizard per 'indurimento' di Windows Server 2012. Qualsiasi altro metodo per indurire il server potrebbe causare risultati imprevisti.
Ogni singolo cambiamento nell'ambiente (come risultato di questi passi indurenti manuali) potrebbe causare un guasto.Non si può prevedere questi fallimenti, e quindi rigorosi test deve essere effettuato da qualcuno che ha sta attuando indurimento manuale. Assicurarsi che l'ambiente di test sono esattamente simile all'ambiente di produzione. Inoltre, qual è la durata della prova e la copertura di test per verificare che tutto è ancora funzionante? Solo perché è stato testato per numero n di giorni non significa che un problema non si verificherà il n 1 giorno.
Per riassumere:
- L'uso di compliance manager di Sicurezza o Configurazione guidata è l'unico modo supportato per l'indurimento server Windows.
- Avere una sicurezza a più livelli approccio che non consente l'accesso diretto ai server.
- Monitorare i server utilizzando un controllo centralizzato del sistema.
- Hardening manuale non è tutto raccomandato come descritto in precedenza.
- Assicurarsi che Windows 2003 Server impostazioni di indurimento non vengono applicate sul sistema operativo più recente come Windows Server 2008 R2, Windows Server 2012
- Verificare l'origine del documento indurimento essere seguiti nella propria organizzazione
'Trucchi' popolari
| Impostazione | Descrizione | Ulteriori informazioni |
| "Non consentire l'archiviazione di credenziali o. NET Passport per l'autenticazione di rete " | Utilità di pianificazione è ampiamente in un sacco di organizzazioni e si dovrebbe essere consapevoli del fatto che l'attivazione del sottostante GPO può causare operazioni pianificate di fallire in certe situazioni: | La nuova versione di Utilità di pianificazione di Windows utilizza Credential Manager per archiviare le credenziali dell'account che è specificato per eseguire un compito. Se l'accesso di rete: non consentire l'archiviazione di password e credenziali per la politica autenticazione di rete è attivata e applicata, Da Credential Manager non è in grado di memorizzare le credenziali si concluderà con problemi di Utilità di pianificazione connesse. |
| Servizio Windows Firewall viene tenuto in stato disabilitato | Mantenere il servizio Firewall disattivato provoca la WMI chiama a fallire con conseguente molte applicazioni fallimento. L'arresto del servizio associata a Windows Firewall con protezione avanzata è non supportato da Microsoft. | Si prega di fare riferimento a questo post del blog e questo articolo di TechNet per maggiori informazioni. Inoltre, una domanda naturale è quindi
Qual è il modo giusto per disabilitare firewall?È possibile disattivare dal pannello di controllo di Windows Firewall (firewall.cpl),
OR
Eseguire i comandi sottostanti e disabilitare firewall per tutti i profili
Netsh.exe advfirewall Set currentprofile Stato Off
Modalità netsh firewall set opmode = profilo disable = ALL
|
Altre caratteristiche di sicurezza
Ulteriori Vorrei condividere alcune delle caratteristiche di sicurezza in-the-box forniti con Windows Server 2008 e soprattutto che rende il sistema operativo Windows in modo sicuro.
Address Space Layout Randomization
Nelle versioni precedenti di Windows, processi core tendevano ad essere caricati in locazioni di memoria prevedibili all'avvio del sistema. Alcuni exploit funzionano mira locazioni di memoria noti per essere associati con i processi particolari. ASLR casualmente le locazioni di memoria utilizzati dai file di sistema e altri programmi, rendendo molto più difficile per un utente malintenzionato di indovinare la posizione di un dato processo. La combinazione di ASLR e DEP crea una barriera abbastanza formidabile per gli attaccanti da superare al fine di ottenere l'esecuzione di codice affidabile quando sfruttando vulnerabilità. ASLR è stato introdotto in Windows 2008 ed è stato incluso in tutte le versioni successive.
Processi protetti
Il sistema operativo Windows 2008 introduce un nuovo tipo di processo, chiamato un processo protetto . Il processo protetta migliora il supporto per la funzionalità di gestione dei diritti digitali in Windows Server 2008 e Windows Vista.Esistono Questi processi protetti fianco processi tipici.
La differenza principale tra un tipico processo di Windows e un processo protetto è il livello di accesso che altri processi del sistema possono avere a processi protetti.
Nelle versioni di sistemi operativi Windows precedenti a Windows Vista, il modello di processo consente un processo padre di acquisire un handle e manipolare lo stato di qualsiasi processo figlio che crea. Allo stesso modo, i processi che vengono creati da utenti con privilegi sufficienti (cioè, un amministratore di sistema) possono accedere e manipolare lo stato di tutti i processi nel sistema. Questo comportamento rimane invariato per i processi tipici di Windows. Tuttavia, il livello di accesso ai processi protette e per i thread all'interno di tali processi è molto più limitato in Windows Vista e Windows Server 2008
Mandatory Integrity controllo
Windows definisce quattro livelli di integrità: basso, medio, alto, e di sistema. Gli utenti standard ricevono medio, gli utenti ricevono elevate alto. Processi che si avvia e oggetti creati ricevere il livello di integrità (medio o alto) o basso se il livello del file eseguibile è bassa; servizi di sistema ricevono l'integrità del sistema. Gli oggetti che non hanno un'etichetta di integrità sono trattati come mezzo attraverso il sistema operativo, questo impedisce basso codice di integrità di modificare gli oggetti senza etichetta. Si consideri uno scenario. Diciamo che riceve un allegato in posta elettronica.Quando si salva, è scritto con una bassa integrità perché è venuto da Internet, una fonte non attendibile. Quando si esegue l'allegato, il processo funziona a bassa integrità perché l'oggetto file viene etichettato basso; Pertanto, i dati (media o alta etichettati) sono protetti dalle scritture dannosi per l'allegato.
Per saperne di più su Windows Integrity Mechanism a questo link .
Service System Hardening
In precedenza in Windows 2003, i servizi in esecuzione con privilegi elevati in molti casi. Ora, in Windows 2008 con Service System Hardening , i servizi non necessari non sono installati. Se installato, vengono disattivati per impostazione predefinita e se da essi sono isolati dagli utenti tramite riduzione privilegio.
Riduzione Privilege
Poiché Windows 2008 Servizi non utilizzano più l'account di sistema, Gestione controllo servizi (SCM) può dare un token filtrato che contiene solo i diritti necessari. SCM può aggiungere il SID del servizio al token di protezione che consente di amministratori di applicare ulteriori restrizioni. Per saperne di più avanzata servizi di Windows qui .
File e del Registro di virtualizzazione
La trasparenza di virtualizzazione dei file consente alle applicazioni di percepire che stanno scrivendo e leggendo dalla risorsa protetta, quando in realtà stanno accedendo alla versione virtualizzata. Per saperne di più qui .
Secure Boot
Secure Boot è una caratteristica su PC basati su UEFI che aiuta ad aumentare la sicurezza di un PC, impedendo software non autorizzato in esecuzione su un PC durante la sequenza di avvio. Si controlla che ogni pezzo di software ha una firma valida, compreso il sistema operativo che verrà caricata. E 'una misura di buona sicurezza contro i rootkit. Per saperne di più qui e qui .
Session 0 Isolation
In Windows Server 2003 e versioni precedenti, tutti i servizi eseguiti nella stessa sessione come il primo utente che accede alla console. Questa sessione si chiama Session 0. Correre servizi e le applicazioni utente insieme nella sessione 0 rappresenta un rischio per la sicurezza perché i servizi funzionano a privilegi elevati e quindi sono bersagli per gli agenti dannosi che sono alla ricerca di un mezzo per elevare il proprio livello di privilegio. Windows Server 2008 e soprattutto isolare servizi nella sessione 0 e facendo Session 0 non interattiva. L'utente accede alla Sessione 1. Saperne di più qui .
'Morale della favola'
Le versioni moderne di Windows OS (2008 +) sono molto più sicure out-of-the box di quanto si possa immaginare.Patching Fornite è fatto regolarmente, la necessità di bloccare ulteriormente eseguendo 'indurimento' è piuttosto limitato in questi giorni. E in tal caso, si consiglia di utilizzare solo mezzo supportati come il Compliance Manager di Sicurezza oSecurity Configuration Wizard .
Nessun commento:
Posta un commento
Nota. Solo i membri di questo blog possono postare un commento.