dodany: 01.01.2013 | tagi: , , ,

Autor:

Jak chronić się przed malware – poradnik dla użytkowników systemów Windows – cz. 5. Ochrona serwerów

1

Krok 4: Ochrona serwerów

 

W poprzednim rozdziale opisaliśmy zagadnienia obrony warstwy komputera klienckiego. Kolejny etap, to ochrona serwera. Strategia umocnień dla serwerów w organizacji ma wiele wspólnego z obroną zwykłych komputerów. Podstawową różnicą jest znacznie wyższy poziom oczekiwań jaki musi spełnić zarówno sam serwer, jak i jego obrona w zakresie niezawodności oraz wydajności.

Dodatkowo, serwery mogą odgrywać wyspecjalizowane role w infrastrukturze organizacji, co prowadzi często do szczególnych rozwiązań obronnych.

Informacje zawarte w tym rozdziale koncentrują się na podstawowych różnicach między obroną serwera, a omawianej wcześniej strategii ochrony komputerów klienckich. Etap ten obejmuje następujące zadania:

1. Utwardzanie serwerów.

2. Instalacja oprogramowania antymalware dla serwerów.

3. Realizacja konkretnych konfiguracji w zależności od specyfiki wykorzystywanych w firmie aplikacji albo roli pełnionej przez serwer.

 

Zadanie 1: Utwardzanie serwerów

Proces minimalizacji możliwości ataku na serwer jest często określany mianem utwardzania (z ang. hardening). Można w tym celu wykorzystać narzędzie Compliance Manager Microsoft Security, zapewniające możliwość scentralizowanego zarządzania oraz dostosowania systemu operacyjnego serwera do pełnionych przez niego ról.

Cztery podstawowe kroki ku obronie serwerów przed malware są identyczne jak w przypadku komputerów klienckich:

1. Ograniczenie możliwości ataku. W celu zminimalizowania możliwości ataku należy usunąć z serwera wszelkie niepotrzebne usługi i aplikacje.

2. Aktualizacja zabezpieczeń. Zapewnienie na wszystkich serwerach możliwości systematycznych, bieżących aktualizacji oprogramowania. Należy wykonać testy sprawdzające czy aktualizacje nie będą miały negatywnego wpływu na działanie krytycznych serwerów.

3. Ustawienie firewalla. Windows Server 2008 zawiera firewall, który może być stosowany również dla obrony serwerów organizacji.

4. Testowanie podatności na ataki. Można skorzystać z Microsoft Baseline Security Analyzer (w skr. MBSA) w systemie Windows Server 2003, który pomaga w identyfikacji potencjalnych luk w konfiguracji serwera. Aby zapewnić jak najsolidniejszą konfigurację, najlepiej użyć kilku różnych, specjalistycznych skanerów.

 

Zadanie 2: Instalacja oprogramowania AV dla serwerów

Podstawową różnicą między aplikacjami przeznaczonymi dla komputerów klienckich oraz tych dla serwerów jest poziom integracji między skanerem opartym o serwer a wszelkimi usługami serwerowymi, takimi jak powiadamianie czy obsługiwanie bazy danych. Inne, znaczące zalety oprogramowania antymalware dla serwerów obejmują specjalistyczną ochronę poszczególnych ról lub usług, solidniejsze zabezpieczenia, mogące sprostać zapotrzebowaniu na jednoczesną obsługę wielu siników skanujących oraz scentralizowaną administrację. Wiele serwerowych programów AV pozwala na zdalne zarządzanie, co wpływa na zminimalizowanie potrzeby fizycznej konsoli serwera.

Inne ważne kwestie, które należy wziąć pod uwagę przy ocenie przydatności specjalnego, serwerowego oprogramowania antymalware, to:

Moc procesora (w skr. CPU) serwera, który będzie odpowiedzialny za skanowanie. Przepustowość procesora jest krytycznym elementem zdolności serwera do wykonywania jego podstawowej roli w organizacji.

Niezawodność aplikacji. Awaria systemu na serwerze ważnym dla centrum danych ma znacznie większe skutki niż awaria jednej stacji roboczej. Dlatego, by upewnić się o niezawodności systemu, ważne jest dokładne przetestowanie wszystkich serwerów, na których działa oprogramowanie antymalware.

Zarządzanie ogólne. Umiejętne stosowanie oprogramowania AV może pomóc w redukcji administracyjnych kosztów zarządzania serwerami w organizacji.

Współdziałanie aplikacji. Należy przetestować działanie aplikacji AV oraz usług serwera, by wyeliminować ewentualne problemy interoperacyjne.

Narzędziem pomocnym do konfiguracji oprogramowania serwerowego może być Microsoft Forefront. Zawiera ono zestaw rozwiązań, dostosowanych do konkretnych produktów Microsoftu, w tym Exchange Server, Microsoft Lync i SharePoint. Na przykład, Forefront Protection 2010 for Exchange Server przeznaczony jest do ochrony informacji przekazywanych przez pocztę elektroniczną, a Forefront Endpoint Protection 2010 chroni systemy operacyjne hostów.

 

Zadanie 3: Realizacja konkretnych konfiguracji w zależności od specyfiki wykorzystywanych w firmie aplikacji albo roli pełnionej przez serwer

Istnieje szereg możliwych konfiguracji, narzędzi i aplikacji, które można dostosować do określonych ról pełnionych przez serwer. Przykładowe role serwera, do których dopasować można wyspecjalizowane oprogramowanie AV:

Active Directory Domain Services (w skr. AD DS) – usługa katalogowa (hierarchiczna baza danych) dla systemów Windows.

Protokół Dynamicznego Konfigurowania Węzłów (z ang. Dynamic Host Configuration Protocol, w skr. DHCP Services) – protokół komunikacyjny umożliwiający komputerom uzyskanie od serwera danych konfiguracyjnych, np. adresu IP hosta, adresu IP bramy sieciowej, adresu serwera DNS, maski podsieci.

System Nazw Domenowych (z ang. Domain Name System, w skr. DNS Services) – protokół komunikacyjny oraz usługa zapewniająca zamianę adresów znanych użytkownikom Internetu na adresy zrozumiałe dla urządzeń tworzących sieć komputerową.

Obsługa plików.

Obsługa drukarek.

Active Directory Certificate Services (w skr. AD CS) – technologia bezpiecznego zrządzania certyfikatami kluczy publicznych.

Obsługa sieci (z ang. Network Policy and Access Services, w skr. NPAS) – kontrola uprawnień dostępu etc.

Remote Desktop Services – protokół pozwalający na komunikację z usługą Terminala Graficznego w Microsoft Windows (z ang. Terminal Services).

Obsługa sieci.

Hipernadzorca (z ang. hypervisior) narzędzie niezbędne w procesie wirtualizacji – kontroli działania systemu. W systemie Windows Server 2008 R2 już jako wbudowane narzędzie Hyper-V.

Istnieje także wiele specjalistycznych rozwiązań dla różnorodnych aplikacji serwerowych, np.:

Messaging Servers – w Windowsie jako Microsoft Exchange 2010 i Microsoft Lync – aplikacje umożliwiające komunikację pomiędzy programami.

Serwery Baz Danych – umożliwia Microsoft SQL Server 2008 R2.

Serwery Pracy Grupowej – umożliwia Microsoft SharePoint 2010.

Specjalistyczne rozwiązania zapewniają lepsza ochronę przed malware oraz większą wydajność. Poniżej bardziej szczegółowe omówienie ról serwerów wraz z odpowiednimi zaleceniami konfiguracyjnymi, narzędziami czy aplikacjami.

 

Serwery WWW

We wszystkich typach organizacji serwery WWW od dawna stanowią cel ataków. Czy są to ataki malware, czy hakerskie próby podmiany witryny, ważne jest, żeby możliwie maksymalnie kompleksowo skonfigurować wszelkie zabezpieczenia.

Istnieje kilka darmowych narzędzi, które można wykorzystać do szeregu konfiguracji zabezpieczeń na Internet Information Services (w skr. IIS), takich jak IIS Lockdown. Narzędzie to służy do konfiguracji serwera WWW tak, aby zapewnić mu ochronę tych usług, które przypisane są jego roli.

UrlScan jest kolejnym narzędziem bezpieczeństwa, ograniczającym typy żądań HTTP używanych przez usługi IIS. UrlScan pomaga serwerowi uniknąć potencjalnie szkodliwych żądań poprzez blokowanie określonych żądań HTTP.

 

Messaging Servers

Przy projektowaniu skutecznej obrony przed malware dla serwerów poczty elektronicznej i komunikatorów należy pamiętać o dwóch, podstawowych celach. Pierwszym celem jest ochrona samych serwerów. Drugim celem jest uniemożliwienie złośliwemu oprogramowaniu przebicia się do skrzynek pocztowych pracowników organizacji przez e-maile lub komunikatory internetowe (z ang. Instant Messenger, w skr. IM). Ważne jest, aby nasze rozwiązanie spełniło te oba cele.

Ogólnie, standardowe skanowanie plików w celu wychwycenia malware nie jest w stanie zapobiec przychodzeniu złośliwego oprogramowania na serwer w postaci załącznika wiadomości. Wszystkie aplikacje, z wyjątkiem najbardziej prostych klientów poczty elektronicznej, przechowują pliki w bazie danych (zwanej magazynem wiadomości). Typowy skaner antymalware nie może uzyskać dostępu do zawartości takiej bazy danych.

Ważne jest więc dopasowanie oprogramowania AV do naszego rozwiązania serwerowego. Wielu producentów takiego oprogramowania zapewnia dedykowane wersje dla określonych serwerów pocztowych, przeznaczone do skanowania poczty e-mail.

Dostępne są trzy podstawowe typy rozwiązań antymalware dla serwerów poczty elektronicznej:

Rozwiązanie hostowe. Rozwiązanie to jest częścią pakietu, który oferuje także, m.in., usługi antyspamowe i antyphishingowe. Ochrona odbywa się za pomocą hosta pośredniczącego. Przysłane do nas wiadomości docierają najpierw na host dostawcy usługi, tam zostają „przebadane”, a następnie trafiają w miejsce przeznaczenia, czyli do nas. Tym samym szkodliwe oprogramowanie zostaje wyeliminowane jeszcze zanim dotrze do naszego systemu. Takim narzędziem jest np. Forefront Online Protection for Exchange, które zapewnia również szereg innych usług możliwych do dostosowania do własnych potrzeb. W Internecie znaleźć można wiele podobnych usług.

Bramowe skanery SMTP (ang. Simple Mail Transfer Protocol, w skr. SMTP) – rozwiązania oparte na skanowaniu poczty, określane są zazwyczaj jako „brama”. Mają one tę zaletę, że działają z wszystkimi usługami poczty SMTP, a nie są związane z konkretnym serwerem e-mail. Jednak rozwiązania te ograniczone są w niektórych bardziej zaawansowanych funkcjach, ze względu na ich uzależnienie od protokołu SMTP.

Zintegrowane skanery serwera. To wyspecjalizowane aplikacje, pracujące bezpośrednio z konkretnymi produktami serwerów e-mail. Aplikacje te dają wiele korzyści. Na przykład, można je zintegrować bezpośrednio z zaawansowanymi funkcjami serwera i są przeznaczone do stosowania na tym samym sprzęcie, co serwer pocztowy. Np. Forefront Protection 2010 for Exchange Server jest z założenia zintegrowanym rozwiązaniem, które zapewnia skanowanie poczty elektronicznej.

Microsoft Exchange posiada specjalny antywirusowy interfejs programowania aplikacji (w skr. API) o nazwie Virus API (w skr. VAPI), który jest również określany jako Antivirus API (w skr. AVAPI) czy Virus Scanning API (w skr. VSAPI). Interfejs ten używany jest przez wyspecjalizowane aplikacje Exchange Server w celu zapewnienia pełnej, bezpiecznej oraz niezawodnej ochrony wiadomości na serwerach Exchange e-mail.

Istnieje również wiele zintegrowanych rozwiązań dla serwerów czatu. Np. Forefront Security for Office Communications Server zapewnia skanowanie w czasie rzeczywistym zawartości IM oraz transferowanych plików zanim dotrą one do odbiorcy. Używa do tego wielu silników skanowania od różnych dostawców.

 

Serwery Baz Danych

Dla Serwerów Baz Danych wyznaczyć można cztery główne elementy ochrony przed szkodliwym oprogramowaniem:

Host. Serwer lub serwery z systemem baz danych.

Usługi bazodanowe. Poszczególne aplikacje uruchomione na hoście, dostarczające usług bazy danych przez sieć.

Przechowywanie danych. Dane przechowywane w bazie danych.

Dane komunikacji. Połączenia i protokoły, które wykorzystywane są w komunikacji między hostem bazy danych a innymi hostami w sieci.

Ponieważ dane przechowywane wewnątrz bazy nie są bezpośrednio wykonywalne, uważa się, że bazy nie wymagają skanowania. Obecnie nie istnieją aplikacje przeznaczone specjalnie dla baz danych. Jednak przy konfiguracji oprogramowania AV nie można zapominać ani o bazach, ani o danych komunikacji.

Zagrożenia atakiem malware należy uwzględnić także podczas lokowania i konfiguracji hosta. Zgodnie z ogólną zasadą nie zaleca się umieszczania serwerów baz danych w sieci obwodowej organizacji zwłaszcza, jeśli na serwerach przechowywane są dane poufne. Jednakże, jeżeli serwer bazy danych musi znajdować się w sieci obwodowej, należy upewnić się, że jest on skonfigurowany tak, aby ryzyko infekcji złośliwym oprogramowaniem zostało zminimalizowane. Na stornie Microsoftu można znaleźć wytyczne na temat konfiguracji systemu dla SQL Server.

 

Serwery Pracy Grupowej

Już sama natura serwerów pracy grupowej, takich jak SharePoint 2010, czyni je podatnymi na malware. Gdy użytkownik kopiuje pliki z oraz na serwer, może wystawić serwery innych użytkowników na atak złośliwego oprogramowania. Zaleca się ochronę współpracujących w środowisku organizacji serwerów za pomocą aplikacji skanujących wszystkie pliki przychodzące i wychodzące z naszej bazy. Aby uzyskać więcej informacji, zobacz Forefront Protection 2010 dla Microsoft SharePoint.

 

Pytania końcowe

Aby upewnić się, że odpowiednio zidentyfikowaliśmy opisane w powyższym rozdziale potencjalne zagrożenia dla serwerów, należy odpowiedzieć na następujące pytania:

Jakie produkty ochrony serwerów przed malware polecają istotni dostawcy takiego oprogramowania? Niektóre programy serwerowe przeznaczone są do pracy na zwykłym serwerze, podczas gdy inne wymagają specjalnych rozwiązań.

Czy rozmieszczenie serwera i bazy danych jest zgodne z prawami i wymogami bezpieczeństwa? Organizacje mogą mieć potrzebę przechowywania niektórych typów danych i aplikacji w firmowej bazie danych.

Czy zostały uwzględnione wszystkie geopolityczne problemy? Na przykład, jeśli firma posiada odrębne działy IT może zajść konieczność odrębnego zorganizowania ich pracy.

Czy nie należy odizolować serwerów pełniących różne role? Korporacyjne zasady lub regulacje rządowe mogą wymagać wyodrębnienia osobnych serwerów do przechowywania niektórych rodzajów danych lub dla niektórych części organizacji.

Czy pracownicy organizacji posiadają odpowiednią wiedzę, niezbędną do obsługi oprogramowania AV? Większe oddziały mają tendencję do zatrudniania wyspecjalizowanych pracowników, natomiast w mniejszych środowiskach często takich osób brakuje.

Czy posiadany sprzęt spełni warunki wymagane do instalacji oprogramowania AV?

Czy sprzęt serwera, po uruchomieniu oprogramowania AV, zapewni odpowiednią ochronę bez utraty wydajności? Niektóre oprogramowanie antymalware może mieć różne wymagania co do systemu operacyjnego dla serwerów lub do podjęcia współpracy z innym oprogramowaniem AV.

Jaki harmonogram aktualizacji da najlepszą ochronę serwerów? Harmonogram należy dopasować do oczekiwań i możliwości biznesowych organizacji.

 

Wszystkie części poradnika:

Cz. 1. Jak chronić się przed malware – poradnik dla użytkowników systemów Windows

Cz. 2. Identyfikacja potencjalnych zagrożeń

Cz. 3. Ochrona sieci

Cz .4. Ochrona komputerów klienckich

Cz .5. Ochrona serwerów

Cz .6. Zagrożenia fizyczne

Cz .7. Edukacja i plan reakcji

avatar
WebSecurity.pl to największy w Polsce portal o bezpieczeństwie sieciowym.
WebSecurity.pl to codziennie aktualizowane źródło najnowszych informacji i interesujących artykułów z zakresu bezpieczeństwa IT. Na WebSecurity.pl dzielimy się z Wami wiedzą (know-how) i umiejętnościami (how-to), publikując pomocne wskazówki, porady, kursy i tutoriale. Na portalu znajdziecie także prezentacje sprzętu oraz recenzje oprogramowania. WebSecurity.pl to również baza najciekawszych i najważniejszych wydarzeń branżowych w Polsce i na świecie.

Jedna odpowiedź do “Jak chronić się przed malware – poradnik dla użytkowników systemów Windows – cz. 5. Ochrona serwerów”

  1. avatar Hugh napisał(a):

    Hey are using WordPress for your blog platform? I’m new to the blog world but I’m trying to get started and set up my own. Do you need any coding knowledge
    to make your own blog? Any help would be really appreciated!

    Here is my webpage: locksmith emergency services (Hugh)

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *