Защита ваших терминалов/серверов Citrix с помощью мастера настройки безопасности

Введение

Во-первых, вам нужно знать, что для мастера настройки безопасности требуется Windows Server 2003 с пакетом обновления 1. Мастер настройки безопасности — это бесплатный инструмент от Microsoft, который вы можете использовать для защиты своих серверов. Мастер настройки безопасности (SCW) — это так называемый «инструмент уменьшения поверхности атаки». Он работает, сканируя ваш сервер, чтобы увидеть, какую роль (или роли) он имеет. Затем он определяет минимальные требования к программному обеспечению для этой роли (или ролей) и позволяет отключить все остальное. В результате создается политика безопасности, которую можно легко применить к другим серверам, выполняющим те же роли. Поскольку среды серверов Terminal / Citrix обычно состоят из множества одних и тех же серверов, мастер настройки безопасности является отличным инструментом для защиты этих серверов.

Что делает мастер настройки безопасности?

Прежде чем вы сможете использовать мастер настройки безопасности, вы должны сначала установить его: мастер настройки безопасности не установлен по умолчанию. Вы должны добавить его через установку/удаление программ, добавив компонент Windows Мастера настройки безопасности.

Рисунок 1: Добавление роли мастера настройки безопасности

После установки мастера настройки безопасности вы найдете его в разделе «Администрирование» > «Мастер настройки безопасности».

В качестве альтернативы вы можете просто запустить «scw.exe», и это также запустит мастер настройки безопасности.

Затем мастер настройки безопасности проведет вас через множество шагов, где вам нужно ввести информацию о вашем сервере. Давайте посмотрим, что настраивает мастер настройки безопасности:

Во-первых, он спросит вас, хотите ли вы создать новую политику, отредактировать существующую, применить существующую или отменить примененную политику. Последнее особенно удобно, когда вы разрабатываете свою конкретную политику, и оказывается, что вы были слишком строгими…

Далее вам нужно будет выбрать сервер, который будет служить шаблоном/основой для этой конкретной конфигурации. В нашем случае при использовании мастера настройки безопасности для настройки сервера Terminal/Citrix убедитесь, что используемый вами сервер действительно является представителем всех других серверов Terminal/Citrix, к которым вы хотите применить эту политику.

Рисунок 2: Выбор шаблона/базового сервера

После того, как мастер настройки безопасности загрузит свою базу данных конфигурации, вы приступите к фактической настройке. Давайте посмотрим, что настраивает мастер настройки безопасности:

Роли сервера

Здесь мастер настройки безопасности сканирует ваш сервер, чтобы узнать, какие роли установлены на сервере. Затем вы можете выбрать, какие роли вы действительно хотите включить в политику.

Возможности клиента

Мастер настройки безопасности показывает, какие клиентские роли установлены на вашем сервере. Здесь вы можете выбрать, какие функции клиента вы хотите включить.

Администрирование и другие параметры

В этом разделе вы можете выбрать параметры администрирования, такие как отчеты об ошибках и перенаправление принтеров сервера терминалов, а также другие параметры приложений и функции Windows, использующие службы и порты. Обратите внимание, что все перечисленные здесь параметры являются производными от вариантов, сделанных ранее в разделе «Роли сервера».

Дополнительные услуги

Некоторые службы, установленные на вашем компьютере, могут отсутствовать в базе данных мастера настройки безопасности. Это услуги, которые показаны в этом разделе. Как правило, здесь отображаются службы сторонних производителей. Итак, здесь вы сможете настроить службы Citrix.

Обработка неуказанных служб

Это действительно важно. В этом разделе вы настроите действия мастера настройки безопасности со службами, которые не установлены на текущем сервере, когда вы применяете политику мастера настройки безопасности к другим серверам. Вы можете выбрать один из двух вариантов:

• Отключить все службы, которых нет в текущей политике
  
• Ничего не делать со службами, которые не входят в текущую политику

Рисунок 3: Отключение неуказанных служб

Вот почему так важно, чтобы ваш шаблон/базовый сервер точно совпадал с серверами, к которым вы хотите применить политику мастера настройки безопасности. Если вы сделаете это правильно, то вы можете легко выбрать « Отключить службу ». Этот параметр рекомендуется, если вы хотите полностью защитить свои серверы Terminal / Citrix.

В следующем окне вы получите сводку по указанной вами конфигурации. Он показывает текущее состояние службы и состояние службы после применения вашей конфигурации. Обратите внимание, что ваша конфигурация еще не применена.

Сетевая безопасность

В этом разделе мастера настройки безопасности вы можете настроить брандмауэр Windows и IPsec. Вы можете полностью пропустить этот раздел, но рекомендуется настроить брандмауэр Windows и IPsec для обеспечения оптимальной безопасности.

Открытые порты и одобренные приложения

В этом первом разделе Мастер настройки безопасности показывает, какие порты прослушивались для ролей и компонентов, выбранных вами в предыдущих разделах Мастера настройки безопасности. Если приложение использует более одного порта, это можно определить, только «наведя курсор» на описание или нажав на треугольник.

Все выбранные вами порты могут принимать входящие соединения, все остальные соединения сбрасываются.

Рисунок 4: Выбор входящих портов и связанных приложений

На следующем экране вам будет предложено подтвердить выбор, сделанный на экране, изображенном выше. Дважды проверьте, что вы выбрали все входящие подключения, которые вам нужны на вашем сервере, потому что весь остальной входящий трафик будет заблокирован.

Параметры реестра

Здесь вы настраиваете ряд параметров вашего сервера, связанных с протоколами аутентификации и подписыванием LDAP и SMB. Крайне важно, чтобы у вас было полное понимание того, что означают эти разделы. Как говорит мастер, если вы не знаете, что здесь настраивать, просто пропустите этот раздел. Неправильная настройка этих параметров приведет к проблемам, начиная от невозможности аутентификации клиентов на этом сервере и заканчивая открытием вашей сети для попыток взлома хэшей.

Охватываемые настройки:

Политика аудита

В этом заключительном разделе Мастер настройки безопасности позволяет настроить параметры аудита для вашего сервера. Мастер настройки безопасности предлагает вам три варианта:

• Не проводить аудит
  
• Аудит успешной деятельности
  
• Аудит успешных и неудачных действий

То, что вы выберете, зависит от ваших потребностей в аудите. Знайте, что первый вариант, естественно, наименее требователен к вашему серверу, а последний — наиболее требователен. Важно знать, что надлежащий аудит может быть успешным только в том случае, если вы периодически просматриваете журналы аудита (безопасности). Еще лучше использовать автоматизированную систему для просмотра журналов аудита (безопасности).

Еще одна вещь, которую следует знать, это то, что мастер настройки безопасности также позволяет вам проверять доступ к файловой системе. С этой целью мастер настройки безопасности поставляется с файлом SCWAudit.inf, который настраивает списки управления доступом к системе (SACLS). Это гарантирует, что ваш сервер записывает доступ любого пользователя на запись к любым исполняемым файлам или файлам конфигурации в структуре каталогов Windows, а также изменения состояния или конфигурации служб Windows. Вне этих объектов дополнительные SACLS не настроены. Помните, что события, которые записываются в структуру каталогов Windows, такие как пакеты обновлений, создают массивные журналы.

Параметры, заданные файлом SCWAudit.inf, являются единственными параметрами, которые нельзя отменить путем отката параметров мастера настройки безопасности. Чтобы откатить эти настройки (к SACLS по умолчанию), вам необходимо импортировать «DefaultSACLs.inf» из C:WINDOWSSecurityMsscwKbs. Обратитесь к мастеру настройки безопасности для получения дополнительной информации.

Рис. 5. Дополнительные службы, специфичные для терминала/сервера Citrix.

Обязательно проверьте, все ли сервисы отображаются в этом окне. В зависимости от ваших настроек на вашем сервере могут быть запущены следующие дополнительные службы:

• Служба установки ADF
  
• Citrix Управление использованием ЦП/Управление ресурсами
  
• Citrix CPU Utilization Mgmt/User-Session Sync
  
• Лицензирование Citrix WMI
  
• Служба диспетчера печати Citrix
  
• Сервис Citrix SMA
  
• Оптимизация виртуальной памяти Citrix
  
• Служба WMI Citrix
  
• Сервер Citrix XTE
  
• CitrixЛицензирование
  
• Клиентская сеть
  
• Независимая архитектура управления
  
• Консоль управления лицензиями для Citrix Licensing
  
• COM-сервер MetaFrame

Снова помните, что это ваш сервер шаблонов. Если это, например, не сервер лицензирования Citrix, то компоненты лицензирования здесь отображаться не будут. Применение результирующей политики безопасности к серверу, который является сервером лицензирования Citrix, может серьезно испортить ситуацию.

При строгом развертывании сервера терминалов следите за такими службами, как каталог сеансов служб терминалов.

Вам также необходимо уделить особое внимание разделу портов компонента Network Security мастера настройки безопасности:

Рисунок 6: Настройка входящих портов для Citrix Server

Здесь вы сможете открыть свою систему для входящих портов, требуемых программным обеспечением на вашем сервере. Конкретные порты Citrix могут быть любыми из следующих:

Имя	TCP/UDP	Номер порта
МКА	TCP	1494
ИМА	TCP	2512
СМС	TCP	2513
SSL	TCP	443
СТА (ИИС)	TCP	80
TCP-просмотр	UDP	1604
XML (интегрирован с IIS)	TCP	80
Консоль управления лицензиями Citrix	TCP	8082
Лицензирование презентационного сервера	TCP	27000
Надежность сеанса	TCP	2598

Дважды проверьте, обнаружен ли входящий порт для 1494; Я видел примеры, когда мастер настройки безопасности не обнаруживал необходимости в этом входящем порту. У Citrix есть статья поддержки по этому поводу. Прочтите это здесь.

Кроме того, не забудьте подумать о другом стороннем программном обеспечении, таком как агенты для программ резервного копирования или другие инструменты, которые расширяют функциональные возможности ваших терминальных серверов (Softgrid, WISDOM).

Расширенные конфигурации

Конечно, как и любой хороший инструмент, мастер настройки безопасности также поставляется с версией для командной строки: scwcmd.exe. Вы можете использовать Scwcmd для следующих задач:

• Настройте один или несколько серверов с помощью политики, созданной SCW.
  
• Проанализируйте один или несколько серверов с помощью политики, созданной SCW.
  
• Просмотр результатов анализа в формате HTML
  
• Откат политик SCW
  
• Зарегистрируйте расширение базы данных конфигурации безопасности в SCW.
  
• Преобразование политики, созданной SCW, в собственные файлы, поддерживаемые групповой политикой.

Правильно, scwcmd позволяет преобразовать политику мастера настройки безопасности (файл.xml) в объект групповой политики. Это одна из мощных функций этого инструмента. Помните, что любые параметры служб IIS, определенные в политике SCW, будут потеряны во время операции преобразования scwcmd, поскольку групповая политика не поддерживает настройку параметров IIS.

Просто свяжите этот объект групповой политики с OU, в которой находятся серверы, для которых вы создали эту политику, и все готово!

Вы также можете настроить мастер настройки безопасности, включив в него определения ролей помимо набора по умолчанию, предоставленного в пакете обновления 1 (SP1) для Windows Server 2003. Microsoft опубликовала подробный технический документ. на этом.

Вывод

Есть несколько способов содрать шкуру с кошки. Например, вы можете использовать только групповую политику для управления состоянием службы. Настоящая ценность Мастера настройки безопасности заключается в его названии. Собственно по фамилии: волшебник. Он проведет вас через каждый шаг, необходимый для создания подробной политики безопасности, состоящей из ранее отдельных компонентов безопасности Windows. Возможность экспорта политик мастера настройки безопасности в объект групповой политики обеспечивает превосходную интеграцию с существующей инфраструктурой Active Directory.

Поэтому, если вы уделяете должное внимание выбору соответствующего шаблона/базового сервера, мастер настройки безопасности станет отличным инструментом, помогающим защитить ваши серверы.