В жертву принесена свобода пользователей
Корпорация Microsoft обнародовала подробную информацию о возможностях системы безопасности Windows Server 2003 (www.microsoft.com/windowsserver2003/). В новое семейство ОС, развивающее Windows 2000 Server, включены функции гибкой настройки системы безопасности и технологии для создания защищенных решений. Специалисты Microsoft существенно переработали архитектуру системы: большинство настроек по умолчанию в новой ОС изменены на более безопасные.
Усовершенствования Windows Server 2003 учитывают новейшие требования к обеспечению безопасности. Так, в архитектуру Internet Information Services (IIS) 6.0 были внесены изменения, снижающие риск возможной атаки за счет ограничения доступа к сетевым ресурсам: теперь рабочие процессы используют для запуска приложений учетную запись пользователя, изначально ограниченного в правах, а применение программного механизма общеязыковой среды исполнения Common Language Runtime (CLR) уменьшает число брешей в защите, вызываемых ошибками программистов.
Новая ОС будет поставляться в “заблокированном” состоянии: более 20 служб будут по умолчанию отключены или ограничены в правах. Это поможет системным администраторам обеспечить безопасность системы. Например, в Windows Server 2003 по умолчанию IIS 6.0 выключен, в настройках Internet Explorer установлен высокий уровень безопасности, а система парольной защиты не позволяет удаленным пользователям входить в ОС с пустым паролем.
В Windows Server 2003 содержатся функции для создания защищенных серверных конфигураций. В частности, значительно переработаны PKI-службы - они упрощают управление сертификатами. Инфраструктура открытых ключей усиливает защиту основанных на IPSec виртуальных частных сетей (VPN) и сетевых коммуникаций, средств аутентификации в беспроводных средах 802.1x, процессов входа в систему с использованием микропроцессорных карточек, шифрующей файловой системы и других служб. Защищенный расширяемый протокол аутентификации PEAP (Protected Extensible Authentication Protocol) предлагает средства парольной аутентификации, повышающие безопасность сетевых соединений. PEAP подходит пользователям беспроводной связи, не включенным в полноценную инфраструктуру открытых ключей. Диспетчер авторизации (Authorization Manager) обеспечивает возможность авторизации на основе принципа прикладных ролей, упрощая системным администраторам управление доступом конечных пользователей к Web-службам.
Microsoft рассматривает Windows Server 2003 в качестве платформы, на которую могут быть установлены дополнительные системы и модули обеспечения безопасности. Выпустить их корпорация намерена до начала сентября. Один из таких модулей - мастер создания защищенных конфигураций Secure Configuration Wizard, помогающий автоматизировать настройку серверов с использованием функциональных ролей. Кроме того, будет расширен спектр предлагаемых шаблонов и рекомендаций (Patterns and Practices), к ним добавятся практические рекомендации по инфраструктуре идентификации и инфраструктуре мобильного доступа.