Планирование и проектирование развертывания новых встроенных в Windows Server 2012 возможностей

Очень важную роль играет тщательное планирование и проектирование развертывания новых встроенных в Windows Server 2012 возможностей IIS 8. Для улучшения управления, масштабирования, изменения и отчетов о действиях веб-служб были значительно улучшены многие компоненты в IIS 8. Вместо установки IIS на каждом сервере Windows администратор теперь может просто добавить в систему роль сервера IIS, а затем включать только необходимые возможности и настраивать только требуемые функции веб-служб. Этот метод, позволяющий начать с минимальной конфигурации и настраивать необходимые функции, повышает защищенность серверных систем, но требует более глубокого понимания того, какие конкретно службы должны добавляться или изменяться для удовлетворения потребностей приложений, которые необходимы организации. И даже в таком режиме установки и настройки рекомендуется следовать рекомендациям для исключения возможности атаки и компрометации веб-служб и, следовательно, повышения общего уровня безопасности сети в организации. В Windows Server 2008 R2 появилось мощное средство, которое затем было усовершенствовано в Windows Server 2012 — AppLocker. Это компонент на основе групповых политик, который позволяет вести белые списки приложений. Такие списки разрешают работать в системе лишь программам, указанным в этих списках. Настройка и управление списками основаны на сочетании имен файлов, из местоположений, уникально хеш-значений и даже цифровых подписей.

Для дополнительного удобства на этапе развертывания AppLocker можно запустить в режиме только аудита — т. е. записи тех приложений, которые бьыи бы блокированы, если бы политика запущена. Режим аудита, гибкость групповых политик и ограниченный набор требуемых приложений — все это делает AppLocker весьма эффективным средством защиты сервера от известных и возможных опасностей.

Развертывание AppLocker выполняется в пять шагов, которые перечислены ниже.

Каждый из этих шагов будет подробно расписан в последующих разделах.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *