MICROSOFT ДОБИЛАСЬ БОЛЬШИХ УСПЕХОВ, СНИЗИВ УЯЗВИМОСТЬ ОТ ВНЕШНИХ АТАК

Наследника Windows 2003 Server - Microsoft Longhorn Server - нельзя упрекнуть в недостатке новых и усовершенствованных функций. При тестировании Longhorn Server Beta 3 в лаборатории eWeek Labs мы заметили, что Microsoft добилась значительных успехов в разработке полезных серверных инструментов управления и в расширении файловых и терминальных сервисов продукта. Но больше всего нас заинтересовали новые варианты развертывания Longhorn в компаниях, которые хотят уменьшить уязвимость по сравнению с прежними продуктами этой линии.

Нас особенно заинтриговала возможность использования Longhorn в качестве контроллера домена в режиме "только для чтения". Это ограничивает уязвимость содержащихся в каталоге конфиденциальных данных при обращении по мере необходимости к записям о полномочиях пользователей и их кэшировании. Таким образом, если находящийся в филиале и доступный только для чтения контроллер домена будет похищен, риску разглашения подвергнутся только записи о полномочиях тех пользователей, которые работают в филиале.

Довольно интересной показалась нам и ещё одна новинка- возможность развертывать Longhorn в конфигурации Server Core. При этом продукт использует только те коды, которые нужны для выполнения основных функций Windows. Интерфейс Server Core урезан почти до размеров командной строки. Такая конфигурация позволит сэкономить системные ресурсы и избежать необходимости устанавливать множество исправлений, которые непременно потребуются для полной версии Longhorn. Однако, как мы выяснили в ходе тестирования, предстоит проделать еще очень много, прежде чем работа в Windows станет столь же приятной, как в Linux или Solaris.

Beta 3 - это первая общедоступная тестовая версия Longhorn Server. Мы рекомендуем организациям, использующим Windows Server, посетить сайт www.microsoft.com/windowsserver/longhorn, загрузить данную версию и потратить немного времени, чтобы оценить продукт до его поставок, которые начнутся в конце года.

Имеются версии Longhorn Beta 3 для платформ на процессорах x86, x86-64 и Intel Itanium 2. Мы тестировали Longhorn Server x86-64 на сервере Dell PowerEdge 830 с двухъядерным процессором Intel Pentium D и ОЗУ объемом 2 Гб. Версия x86 была нами испытана при полной инсталляции, а также в варианте с установкой только ядра на виртуальных машинах, созданных с помощью VMware Workstation 6. Попытались мы провести тестирование и с использованием ESX Server, но не смогли заставить Longhorn Server распознать наши виртуальные жесткие диски на начальном этапе установки. При полной инсталляции Longhorn Server занял около 5,6 Гб, а в варианте Server Core - скромные 1,5 Гб.

При выполнении начальной настройки Longhorn Server ведет с пользователем интенсивный диалог, а после инсталляции он нас даже поприветствовал. Первая задача, решением которой продукт предложил нам заняться, стало переименование учетной записи администратора и защита ее временным паролем. При любых обстоятельствах следует избегать использования широко применяемых по умолчанию паролей вроде "administrator" или "root" для учетных записей администратора и "корневого" пользователя. Полный вариант Longhorn Server (но не Core) битком набит такого рода советами со ссылками на файлы справок, которыми щедро усеян новый инструмент под названием Server Manager.

В варианте Server Core подобные подсказки отсутствуют. Но Microsoft написала хорошую пошаговую инструкцию для начинающих работу с Server Core. Адрес, по которому она размещена в Интернете, очень длинен. Но ее можно найти с помощью Google, используя для поиска набор слов "server core step". Если вы не обладаете большим опытом использования командной строки Windows, то важнейшей операцией, которую вам необходимо будет проделать в терминальном окне варианта Core, станет "netsh advfirewall set allprofiles settings remotemanagement enable" . Встроенный в Longhorn Server брандмауэр запускается по умолчанию. Поэтому необходимо в явной форме предоставить возможность дистанционного управления ядром вашей серверной системы. Другой способ заключается в том, чтобы включить Server Core в состав домена и управлять конфигурацией брандмауэра с помощью групповой политики.

Наиболее серьезным ограничением в варианте Server Core является отсутствие .Net Framework. Согласно заявлению Microsoft, эта среда тесно связана с таким количеством различных компонентов Windows, что при сохранении всех взаимосвязей вариант с установкой только ядра системы приблизился бы по объему к полной инсталляции. Отсутствие .Net означает и отсутствие Windows Powershell. А это кажется какой-то нелепостью, если учесть, что Server Core управляется главным образом с помощью командной строки.

Более того, несмотря на то что включенный в состав Longhorn новый веб-сервер IIS (Internet Information Services) 7.0 отличается от прежних версий большей модульностью, он все-таки недостаточно продвинулся в этом направлении, чтобы обойтись без .Net. Поэтому в настоящее время Server Core не может быть использован и в качестве веб-сервера.

Для сравнения скажем, что большинство дистрибутивов Linux способно инсталлироваться в урезанных вариантах, напоминающих Server Core. Но эти ОС используют хорошо отработанные средства управления пакетами программ, что позволяет устанавливать дополнительные компоненты, необходимые для запуска любых серверных приложений.

В Longhorn такие инструменты управления программами отсутствуют. В результате Server Core способен выполнять только те функции, которые заложили в него разработчики Longhorn.

Но это не означает, что дополнительные программы нельзя устанавливать вообще. Например, когда мы инсталлировали на Server Core набор инструментов VMware для повышения производительности виртуальной машины, программа установки заявила, что наряду с прочими вещами в нашей системе отсутствует нужная версия Microsoft Internet Explorer. В действительности IE у нас отсутствовал напрочь. Несмотря на это, набор улучшенных драйверов VMware был установлен корректно.

Хотя имеющиеся в Longhorn средства управления программами пока работают не столь скрупулезно, как в Debian GNU/Linux или в других дистрибутивах Linux, они явно развиваются в нужном направлении. Например, при создании дополнительных ролей "помощник" способен достаточно хорошо разобраться в существующих между программами взаимосвязях, чтобы развернуть инсталляции нескольких ролей за один прием. Windows Server 2003 этого не мог.