Знакомимся с Windows Server 2008 Beta 3

Андрей Бирюков

Знакомимся с Windows Server 2008 Beta 3

Весной этого года корпорация Microsoft выпустила Beta 3 версию новой серверной операционной системы Windows Server 2008. Посмотрим, какие новые функции и приложения появились в этом программном продукте.

Так уж сложилось, что выход новой операционной системы от Microsoft это всегда событие, активно обсуждаемое в сети. Конечно, во многом причиной этому является активная маркетинговая политика корпорации, но не следует забывать и о том, что многих специалистов интересует появление новых служб и приложений, реализованных в свежем выпуске операционной системы. Примером тому может служить Windows Vista. Во многих блогах и форумах системные администраторы и просто пользователи делятся впечатлениями от различных функций и приложений, вошедших в состав новой ОС, критикуют появившиеся возможности и инструменты. Серверная операционная система Windows Server 2008 Code Name Longhorn также не стала исключением. Система анонсировалась Microsoft задолго до ее выхода. Собственно та версия, о которой пойдет речь сегодня также не является финальной, это лишь Beta 3. Так что тот функционал, который я буду описывать, не является окончательным, и возможно, с выходом финальной версии будет дополнен новыми возможностями.

Быстрая установка

Несколько слов об установке операционной системы. Надо сказать, что разработчики существенно упростили процесс установки. Теперь некоторые шаги удалены из процесса установки, что позволяет немного сократить затрачиваемое время на неё. Не берусь судить, насколько это удобно, но думаю, многим начинающим администраторам такая упрощенная процедура установки понравится.

После установки операционной системы мы попадаем в новую рабочую среду. Конечно, внешних отличий от предыдущих версий не так много, никаких Aero, как в Windows Vista, здесь не загружается. Однако я хотел бы обратить внимание на некоторые моменты, связанные со структурой каталогов в новой операционной системе. В Windows 2008 вы не найдете на основном диске каталога Documents and Settings, вместо него появился каталог Users. Это небольшое изменение может запутать администраторов, привыкших к стандартной структуре каталогов. Каталог Users содержит пользовательские каталоги. Как видно из рис. 1, содержимое пользовательского каталога также немного отличается от существовавшего в предыдущих версиях Windows.

Рисунок 1. Пользовательские каталоги

Как видно, теперь у пользователя есть отдельный каталог для сохраненных игр, скачанных программ и т. д. Однако все эти нововведения носят скорее косметический характер и не несут в себе глубокой функциональной нагрузки, так что перейдем к рассмотрению других элементов новой операционной системы.

Панель управления

Посмотрим, какие функции появились в Control Panel (см. рис. 2).

Рисунок 2. Панель управления

В разделе Auto Play можно указать, какое действие выполнять при подключении к системе того или иного носителя. Зачастую бывает крайне нежелательно, когда при установке компакт-диска в привод начинает выполняться какое-либо приложение (autoplay). Это нежелательно с точки зрения безопасности, к тому же может отнимать дополнительные ресурсы системы. Здесь можно запретить выполнение autoplay и указать, какое действие выполнять: открыть с помощью Windows Explorer, не выполнять никаких действий или спросить пользователя.

В разделе Default Programs можно указать, какие приложения должны по умолчанию использоваться для выполнения определенных типов файлов. Также здесь можно указать, какая программа должна по умолчанию обрабатывать трафик, приходящий по определенному протоколу уровня приложений (например ftp или https).

Немного другую форму принял раздел, содержащий настройки сети. Теперь он называется Network and Sharing Center (см. рис. 3). Изменением названия все не ограничивается. В данном разделе также можно указать, используется ли общий доступ к файлам, папкам и принтерам, защита общих ресурсов паролем, а также Network Discovery, позволяющий данной машине быть видимой в сетевом окружении других компьютеров сети.

Рисунок 3. Network and Sharing Center

Заглянем в настройки сетевого интерфейса (Manage network connections), там тоже появились новые возможности. На рис. 4 показан список свойств, доступных для сетевого интерфейса после установки по умолчанию.

Рисунок 4. Свойства сетевого интерфейса

Кроме стандартного IP версии 4, теперь имеется поддержка IP версии 6. Многие Linux- и BSD-системы уже довольно давно поддерживают шестую версию протокола IP, однако серверная Windows впервые включила эту поддержку в установку по умолчанию. Компонента Link-Layer Topology Discovery Mapper предназначена для поиска компьютеров и устройств в сети, а также для определения пропускной способности сети. Responder позволяет другим узлам сети видеть данную машину.

В общем, реализация стека TCP/IP и средств настройки сети в новой версии операционной системы претерпела существенные изменения, что не может не радовать. Правда, хочется надеяться, что новые сетевые службы и сервисы не будут содержать такого количества уязвимостей, как предыдущие версии, в особенности Windows 2000.

Инструменты администратора

Много нововведений ожидает администратора в Administrative Tools. В этой статье я не буду описывать работу в Active Directory в качестве контроллера домена для данной операционной системы, так как там тоже есть нововведения, и это будет отдельной темой. А в рамках этой статьи мы будем рассматривать функционал сервера, не являющегося контроллером домена.

Журнал событий Event Viewer – с его просмотра начинают свой рабочий день многие системные администраторы, ведь информация о сбоях, возможных проблемах с операционной системой, неудачных попыткой войти в систему сохраняется в данном журнале. Открыв консоль Event Viewer, мы сразу же получаем статистику по событиям различного вида (см. рис. 5).

Рисунок 5. Консоль Event Viewer

Немного напоминает Microsoft Operations Manager в упрощенном виде. Однако на этом сходство с системами промышленного мониторинга не заканчивается. Если вас интересуют, к примеру, события Error, то вам достаточно два раза кликнуть на крестике слева от названия журнала, и вы получаете список всех источников сообщений данного типа, а также статистические данные по тому, сколько раз то или иное событие происходило. Нажав на интересующее событие, вы получите не только содержимое сообщения об ошибке, но также и список всех аналогичных сообщений, происходивших в другие дни. В небольших сетях, где не используются другие решения для мониторинга, средства, предлагаемые Windows Server 2008, могут оказаться очень полезными.

Однако кроме средств мониторинга событий можно также и реагировать на них. В разделе «Actions» выбираем «Attach Task To This Event…». Запускается соответствующий мастер. Есть три варианта ответных действий: запуск приложения/сценария, отправка письма по электронной почте и сообщение на экран. Наиболее интересен первый вариант – запуск приложения (см. рис. 6).

Рисунок 6. Запуск приложения

При наличии хотя бы элементарных знаний в области программирования сценариев Windows Script Host можно построить систему реакции на различные события, которая позволит существенно автоматизировать работу с журналами событий и сэкономить время системных администраторов.

Еще одно важное нововведение в журналах событий – это Subscriptions. Здесь вы можете указать, с каких машин и о каких событиях вы хотите получать информацию, а также в какой именно журнал событий сохранять данные сообщения.

Да и само количество журналов событий, представленных в Event Log, по умолчанию намного больше, чем это было в предыдущих версиях (рис. 7).

Рисунок 7. Список журналов событий

Так что теперь все события не будут сыпаться в одну кучу и не надо будет тратить время на поиск нужного.

В целом Event Log в новой операционной системе претерпел значительные изменения, причем в лучшую сторону.

Контроль доступа с помощью NAP

Следующим интересным нововведением является Network Policy Server. Так как служба содержит реализацию принципиально новых технологий, мне хотелось бы описать NPS подробнее.

Прежде всего NPS пришел на смену IAS (Internet Authentication Server) RADIUS-серверу, входившему в состав Windows. Однако функционал NPS не ограничивается только поддержкой аутентификации по протоколу RADIUS.

Одним из основных элементов Network Policy Server является поддержка технологии NAP (Network Access Protection). Она позволяет ограничить доступ к сети, разрешая его только хостам, удовлетворяющим требованиям безопасности. Фактически это некоторый аналог проактивной системы защиты. С помощью NAP можно создавать различные политики для проверки состояния компьютера, перед тем как разрешить ему доступ в сеть. Компьютерам, не удовлетворяющим этим требованиям, можно, к примеру, разрешить доступ только в карантинную зону, где они смогут установить необходимые обновления, или же запретить доступ совсем.

Технология NAP аналогична Cisco Network Admission Control (NAC) – программно-аппаратному комплексу по контролю за доступом в сеть. Однако Cisco NAC поддерживается только оборудованием Cisco, что существенно усложняет ее внедрение. NAP не имеет таких жестких аппаратных привязок.

Основным элементом NAP является как раз Network Policy Server. NPS не входит в состав установки по умолчанию, поэтому ее нужно добавить дополнительно (см. рис. 8).

Рисунок 8. Установка Network Policy Server

Действия, которые необходимо применять к подключающемуся узлу, определяются с помощью политик Connection Request Policies. Данные политики определяют набор правил, которые использует NPS для проверки попыток соединений. Для того чтобы определить состояние узла, используются специальные маркеры System Health Validators (SHV), которые сообщают NPS о состоянии системы машины, запрашивающей подключение (NAP клиента). Определить состояния данного маркера можно следующим образом (см. рис. 9).

Рисунок 9. Настройки SHV

В зависимости от того, в каком состоянии находятся различные службы и приложения на подключающейся машине (обновлены ли антивирусы, установлены ли последние заплатки и т. д.), маркер будет иметь одно из следующих состояний:

• Client passes all SHV checks – проверки всех маркеров прошли успешно. В таком случае, как правило, пользователь получает полный доступ к сети (естественно, в рамках своих полномочий).
• Client fails all SHV checks – ни одна проверка не пройдена. Как правило, таких пользователей лучше не пускать в сеть вообще.
• Client passes one or more SHV checks – клиент прошел одну или несколько проверок. Здесь все определяет то, какие проверки прошел пользователь. Как правило, в такой ситуации лучше всего разрешить доступ только в карантинную сеть, где он сможет установить недостающие обновления и патчи.
• Client fails one or more SHV checks – клиент не прошел одну или несколько проверок. Случай аналогичный предыдущему. Разница лишь в том, что для вас приоритетнее.
• Client reported as transitional by one or more SHV’s – транзитный маркер возвращается, когда машина только подключилась к сети и состояние SHV еще не определено.
• Client reported as infected by one or more SHV’s – состояние Infected. Антивирусные продукты, интегрированные с NAP, могут возвращать такое состояние SHV.
• Client reported as unknown by one or more SHV’s – состояние «неизвестен» обычно бывает на тех машинах, которые несовместимы, либо на них не установлен клиент NAP. Понятно, что такие машины тоже лучше в сеть не пускать.

Далее, в NPS можно определить различные действия, которые применяются к рабочим станциям, соответствующим тем или иным состояниям SHV.

В частности, можно определить политики, позволяющие доступ в сеть только в определенные промежутки времени, или ограничить доступ только определенными ресурсами (см. рис. 10).

Рисунок 10. Настройки политик NAP

Теперь необходимо немного пояснить, как все это работает.

Клиентская машина, на которой установлена Windows XP SP2 или Vista, пытается установить соединение. Это выражается в RADIUS Access-Request-запросе к серверу NPS.

Сервер NPS сравнивает содержимое Access-Request-сообщения с политиками, которые мы определили. В зависимости от того, соответствует или нет данная информация политикам, NPS применяет к пользовательской станции то или иное действие, определенное в Network Policy.

Далее служба NPS отправляет RADIUS Access-Accept-сообщение с информацией об уровне доступа пользователя.

Далее это сообщение уже может обрабатываться сетевым устройством, которое отвечает за непосредственное подключение узла (например, коммутатор).

В завершении рассказа о NAP хочу порекомендовать дополнительную информацию тем, кто заинтересовался данной технологией. На сайте Microsoft по адресу http://www.microsoft.com/technet/network/nap/default.mspx вы можете прочесть полезные статьи по данной технологии, а по адресам [1-4] вы найдете подробное описание лабораторных работ с использованием NAP для различных реализаций.

Настраиваем защиту

Но вернемся к обсуждению непосредственно Windows Server 2008.

Еще одной новой компонентой является Security Configuration Wizard. В отличие от присутствовавшей в предыдущих версиях утилиты secedit, здесь для работы с шаблонами безопасности имеется специальный мастер, позволяющий быстро и без лишних усилий настроить или откатить политику безопасности. Работа мастера разделена на несколько этапов.

Прежде всего мастер проверяет текущее состояние системы, в частности какие службы запущены на сервере.

Затем администратору предлагается добавить или удалить службы или их компоненты на основе тех ролей, которые выполняет данный сервер (например, файл-сервер или DNS-сервер). При этом для каждой службы можно получить ее краткое описание.

Далее мастер предлагает настроить состояние служб, режим запуска (Disabled/Manual/Automatic).

Следующим этапом в настройке Security Configuration является Network Security. Здесь предлагается настроить политики межсетевого экрана Windows (о котором мы подробно поговорим чуть позже) в соответствии со специальными шаблонами (например, клиент DHCP или DNS).

После настроек безопасности сети выполняются настройки Registry Settings (см. рис. 11). Здесь определяются политики доступа к данному серверу на уровне приложений и протоколов. То есть можно определить те требования, которые предъявляются к подключающимся хостам. Например, можно ли подключаться машинам с операционной системой Windows 98 или Windows CE.

Рисунок 11. Настройки Registry Settings

Далее описываются способы аутентификации для удаленных машин (Domain Accounts, Local Accounts on the Remote Computers, File Sharing Passwords) и способы аутентификации для локальных пользователей.

На следующем этапе можно настроить политики аудита, аналогично тому, что обычно делается через Group Policy, но только с помощью более удобного интерфейса.

По завершении работы мастера вам предлагается сохранить созданную политику. Применить созданную политику можно как сразу, так и позже.

Новый диспетчер задач

Среди прочих компонент, входящих в состав Administrative Tools в Windows Server 2008, можно отметить Server Manager, в консоли которого можно оперативно получить все сведения о системе: версию, IP-адрес, используемые сетевые протоколы, установленные обновления, роли.

Также нововведения появились в Task Scheduler (см. рис. 12). Теперь задачи можно привязывать к установленным на сервере приложениям.

Рисунок 12. Настройки Task Scheduler

Увеличилось количество возможных условий, при которых выполняется та или иная задача. В целом можно сказать, что диспетчер задач стал более интеллектуальным.

Межсетевой экран

И, наконец, поговорим о межсетевом экране, встроенном в Windows Server 2008. Различий с firewall, использовавшимся в Windows 2003, довольно много, я бы даже сказал, что межсетевой экран в Windows 2008 – это совершенно новый продукт.

Теперь в межсетевом экране можно создавать правила как для входящего, так и для исходящего трафика. (см. рис. 13).

Рисунок 13. Настройки межсетевого экрана в Windows Server 2008

При этом сразу появляется возможность редактирования отдельно для доменных (Domain) профилей и отдельно для частных (Private) профилей пользователей. В каждом правиле можно определить не только какое приложение, какой порт и по какому протоколу использует. Также можно определить, какие пользователи и какие машины могут устанавливать соединения с данным сервером. Ещё можно определить интерфейсы, к которым применяется то или иное правило.

Отдельно присутствует набор правил для защищенных соединений (см. рис. 14).

Рисунок 14. Настройки защищенных соединений

Как видно, имеется четыре готовых шаблона:

• Isolation – ограничивает соединение, основываясь на аутентификации пользователя, членстве в домене.
• Authentication exemption – запрещает соединения от определенных компьютеров.
• Server-toServer – создает соединения между компьютерами.
• Tunnel – туннельные соединения с авторизацией между шлюзами.

Режим Custom позволяет самостоятельно определить правила защищенного соединения.

Для каждого шаблона требуются свои, заранее заданные настройки. Шаблон Custom позволяет самостоятельно задать нужные настройки. Думаю, встроенный межсетевой экран в Windows Server 2008 вполне способен выполнять задачи по защите ресурсов сервера без помощи каких-либо сторонних программных и аппаратных средств.

Заключение

За кадром остались новая реализация службы Active Directory, групповые политики GPO и многое другое. Однако подведем некоторый итог, резюмируя все описанное в этой статье.

В новой операционной системе сделан акцент на улучшении средств безопасности, добавлены такие средства, как NPS, межсетевой экран и другие.

Улучшен функционал, связанный с мониторингом событий и уведомлением администраторов.

Несколько упрощен и ускорен процесс установки самой операционной системы. Это новшество может оказаться весьма полезным при развертывании нескольких серверов с различными конфигурациями, когда использование образов и файлов ответов затруднено или невозможно.

Что касается недостатков, то они, конечно, тоже присутствуют.

Во-первых, очень жаль, что мы так и не увидели существенных изменений в средствах работы с файловой системой. Конечно, Microsoft уже который год обещает новую файловую систему, однако ее выпуск все время откладывается.

Также уже есть некоторые проблемы с совместимостью, в частности, не удалось установить Microsoft Forefront Security, антивирусный продукт от той же компании Microsoft.

Также жаль, что в локальных политиках безопасности не появилось новых опций. Но будем надеяться, что когда выйдет полная версия (все-таки сейчас мы обсуждаем бета-релиз), многие из этих недостатков будут устранены.

Напоследок несколько слов о дополнительных источниках информации.

Помимо основной страницы, посвященной этому продукту, http://www.microsoft.com/windowsserver2008 вы также можете многое узнать из форума TechNet, который можно найти по адресу [5].

И наконец, самое главное, Windows Server 2008 Beta 3, как и любой бета-продукт, доступен для свободного скачивания. Так что, если вас заинтересовала новая операционная система, то установить ее можно с диска, прилагающегося к журналу.

Также любую из существующих редакций можно получить по следующему адресу [6].

1. http://www.microsoft.com/downloads/details.aspx?FamilyID=298ff956-1e6c-4d97-a3ed-7e7ffc4bed32&displaylang=en – Step-by-Step Guide: Demonstrate IPsec NAP Enforcement in a Test Lab.
2. http://www.microsoft.com/downloads/details.aspx?FamilyID=8a0925ee-ee06-4dfb-bba2-07605eff0608&displaylang=en – Step By Step Guide: Demonstrate 802.1X NAP Enforcement in a Test Lab.
3. http://www.microsoft.com/downloads/details.aspx?FamilyID=729bba00-55ad-4199-b441-378cc3d900a7&displaylang=en – Step-by-Step Guide: Demonstrate VPN NAP Enforcement in a Test Lab.
4. http://www.microsoft.com/downloads/details.aspx?FamilyID=ac38e5bb-18ce-40cb-8e59-188f7a198897&displaylang=en – Step-by-Step Guide: Demonstrate DHCP NAP Enforcement in a Test Lab.
5. http://forums.microsoft.com/TechNet/default.aspx?ForumGroupID=161&SiteID=17 – форум TechNet по Windows Server 2008.
6. http://www.microsoft.com/technet/prodtechnol/beta/lhs/default.mspx – здесь можно скачать дистрибутив Windows Server 2008 Beta 3.

Комментарии могут оставлять только зарегистрированные пользователи