Безопасность и применение политик

Безопасность и применение политик Защита сети — одна из наиболее сложных задач, стоящих перед ИТ-специалистами сегодня. Администраторам сетей приходится создавать и применять политики безопасности, обеспечивающие надежную защиту и достаточную гибкость для удовлетворения потребностей в обмене информацией растущего числа внешних и внутренних пользователей и использования все новых типов устройств, конфигураций систем и типов сетевых подключений. Помимо усовершенствований в Active Directory, повышающих эффективность управления удостоверениями и доступом, в Windows Server 2008 усовершенствована работа с политиками и система безопасности.

Групповая политика в Windows Server 2008 R2

Групповая политика позволяет администраторам управлять конфигурациями групп компьютеров и пользователей. В частности, администраторы могут управлять хранящимися в реестре параметрами политики, параметрами безопасности, развертыванием ПО, сценариями, перенаправлением папок, службами удаленной установки и параметрами Internet Explorer. Применение групповой политики значительно снижает совокупную стоимость владения в масштабах организации. В силу большого числа доступных параметров политики, взаимодействия различных политик, наследования и ряда других причин разработка групповой политики часто оказывается трудной задачей. Однако тщательное планирование, проектирование и тестирование решений, основанных на бизнес-требованиях компаний, позволяют создавать стандартизованные средства, предоставляющие необходимые возможности и обеспечивающие требуемый уровень безопасности и управления.

Подробнее о групповых политиках для Windows Server

Какие основные изменения внесены в Windows Server 2008 R2?

Windows Server 2008 R2 и Windows 7 со средствами удаленного администрирования сервера предоставляют следующие новые возможности.

Командлеты Windows PowerShell для групповой политики
Возможность управлять групповой политикой из командной строки Windows PowerShell™ и выполнять сценарии PowerShell при загрузке и входе в систему
Предпочтения групповых политик
Дополнительные типы элементов предпочтения
Начальные объекты групповой политики
Усовершенствования в начальных объектах групповой политики
Параметры административных шаблонов
Улучшенный пользовательский интерфейс и дополнительные параметры политики

Службы политики сети и доступа

Входящие в состав Windows Server 2008 службы политики сети и доступа помогают соединять сегменты сетей и обеспечивать безопасное подключение пользователей к локальным и удаленным сетям, а также позволяют администраторам сетей централизованно управлять политиками доступа к сети и работоспособности клиентских систем. Службы доступа к сети повышают безопасность развертывания серверов виртуальной частной сети (VPN), серверов удаленного доступа, маршрутизаторов, а также безопасность беспроводного доступа, защищенного в соответствии со стандартом 802.1X. Кроме того, организация может развернуть прокси-сервер и серверы RADIUS и использовать пакет администрирования диспетчера подключений для создания профилей удаленного доступа в целях безопасного подключения клиентских компьютеров к сети организации.

Подробнее

Службы политики сети и доступа в Windows Server 2008 предоставляют следующие решения для обеспечения обмена данными по сети.

Защита доступа к сети. Защита доступа к сети (NAP) — это новая технология создания, применения и изменения политик работоспособности клиентских систем, доступная для операционных систем Windows XP, Windows Vista и Windows Server 2008. NAP позволяет администраторам создавать и автоматически применять политики работоспособности, которые могут включать требования к ПО и к обновлениям системы безопасности, требуемые конфигурации компьютера и другие параметры. Подробнее см. на веб-странице NAP.
Проводной и беспроводной доступ с высоким уровнем защиты. Применение беспроводных точек доступа, поддерживающих стандарт 802.1X, позволяет предоставить пользователям простые в развертывании средства беспроводного доступа к сети, обеспечивающие проверку подлинности на основе пароля и высокий уровень защиты. Развертывание коммутаторов, поддерживающих проверку подлинности по стандарту 802.1X, повышает безопасность проводного доступа к сети, поскольку перед подключением к сети или получением IP-адреса по протоколу DHCP пользователи интрасети проходят проверку подлинности.
Решения для удаленного доступа. Решения для удаленного доступа позволяют предоставлять пользователям традиционный доступ к сети организации с помощью модема или доступ с помощью VPN. Кроме того, организация получает возможность подключать филиалы к своей сети с помощью решений для создания VPN, развертывать в сети полнофункциональные программные маршрутизаторы и предоставлять пользователям интрасети общий доступ к Интернету.
Централизованное управление политиками сети с помощью серверов RADIUS и прокси. Вместо того чтобы настраивать политику доступа к сети на каждом сервере доступа (на каждой беспроводной точке доступа, на каждом коммутаторе с проверкой подлинности по стандарту 802.1X и на каждом сервере VPN и сервере удаленного доступа), администратор может централизованно создавать политики, содержащие полный набор требований к сетевым подключениям, включая перечень тех, кому разрешен доступ к сети, с указанием допустимого времени подключения и уровня безопасности, который должен использоваться для подключения.

Защита доступа к сети

Клиентские устройства все чаще подвергаются воздействию вирусов, программ-червей и других вредоносных программ. При попадании на незащищенный или неправильно защищенный компьютер такие программы могут использовать этот компьютер как плацдарм для заражения других устройств в корпоративной сети. Разработанная Майкрософт система защиты доступа к сети (NAP) — это новый набор компонентов операционной системы, включенный в состав Windows Server 2008 и Windows Vista и предоставляющий администраторам сети новую платформу, позволяющую уменьшить описанные выше угрозы и обеспечить соответствие клиентских компьютеров в частной сети требованиям администраторов к работоспособности систем. Подробнее см. на веб-странице NAP.

Брандмауэр Windows в режиме повышенной безопасности

Начиная с версии Windows Vista и Windows Server 2008, настройка брандмауэра и протокола IPsec выполняется одним средством — оснасткой консоли MMC «Брандмауэр Windows в режиме повышенной безопасности». По умолчанию брандмауэр Windows в режиме повышенной безопасности объединяет и расширяет две функции, которые в предыдущих версиях Windows управлялись по отдельности.

Подробнее

Фильтрация всего входящего и исходящего трафика протоколов IPv4 (IP версии 4) и IPv6 (IP версии 6). По умолчанию весь входящий трафик блокируется, если он не является ответом на запрос, отправленный ранее компьютером (запрошенный трафик), или если прохождение этого трафика не разрешено явно соответствующим правилом. По умолчанию весь исходящий трафик пропускается, за исключением трафика, который блокируется правилами ограничений режима работы служб, предотвращающими несанкционированный обмен данными со стандартными службами. Администратор может разрешать прохождение трафика на основании номеров портов, адресов IPv4 или IPv6, пути и имени приложения, названия выполняющейся на компьютере службы и других критериев.
Защита входящего и исходящего трафика компьютера с использованием протокола IPsec для проверки целостности трафика, проверки подлинности получающих и отправляющих трафик компьютеров или пользователей и для необязательного шифрования трафика с целью сохранения конфиденциальности.

В предыдущих версиях Windows для изоляции серверов и доменов иногда требовалось создавать большое число правил IPsec, чтобы обеспечить защиту трафика, который нужно было защитить, но при этом разрешить прохождение трафика, который не подлежал защите средствами IPsec. В Windows Server 2008 решение этой задачи упрощается благодаря новому поведению по умолчанию, позволяющему создавать более безопасные среды, в которых проще находить неполадки.

Дополнительные сведения

Подробнее об усовершенствованиях в системе безопасности Windows Server 2008 см. на веб-странице Безопасность и защита Windows Server.

Приступить к работе с Windows Server 2008 R2

Скачать пробную версию прямо сейчас