Infrastruktur  Keamanan  Windows

Ingat ketika Windows sederhana? Desktop Windows 95 dan Windows NT domain untuk semua account pengguna, apa yang bisa lebih mudah? Dunia liar Windows telah berubah banyak sejak itu. Sekarang kita memiliki Windows 2000, Windows XP, Windows Server 2003, Active Directory, Group Policy, IPSec, PKI, .NET Framework, dll. Microsoft berusaha untuk mengatasi Unix/Linux kepala dan skala sampai menyediakan perusahaan kelas layanan jaringan. Caranya adalah untuk melakukannya aman tentu saja.

Dalam bab ini kita akan membahas infrastruktur yang mendukung keamanan Windows. Inilah sekilas gambaran besar model keamanan Windows, dan menyediakan konsep-konsep latar belakang yang diperlukan untuk memahami segala sesuatu yang lain yang berikut. Karena itu adalah gambaran besar, kita dapat  berbicara tentang segala sesuatu, tetapi banyak rincian yang akan diisi sepanjang bab-bab berikut ini.

Secara khusus, Bab ini akan menjawab pertanyaan-pertanyaan berikut:

·         Sistem operasi Windows mana yang harus saya gunakan?

·         Apa yang sebuah workgroup ?

·         Apa pengguna lokal dan kelompok?

·         Apa yang dimaksud dengan keamanan ID (SID) nomor?

·         Apa yang dimaksud dengan Access Security Token (SAT) ?

·         Apa itu Active Directory?

·         Bagaimana cara mengotentikasi ke domain?

·         Apa itu hutan?

·         Apa itu kepercayaan?

·         Apa itu Group Policy, dan mengapa orang-orang mengatakan itu adalah alat keamanan yang paling penting baginya?

·         Apa ini "dot-NET" hal-hal itu?

 Windows Family of Operating Systems

Windows 9x dan Windows NT dibuat usang oleh peluncuran Windows 2000 Banyak orang berpikir Windows 2000/XP/2003 hanya sebagai tambahan untuk upgrade Windows NT. Secara kasar, Windows 2000/2003 domain yang sepuluh kali lebih kompleks daripada Windows NT 4.0 domain. Hal ini membuat kurva belajar sedikit lebih curam, namun, di sisi terang, kompleksitas ini sebagian datang karena sekarang ada alat yang jauh lebih baik untuk mengamankan jaringan (seperti Group Policy) dari Windows NT pernah.

Jika keamanan adalah prioritas utama di organisasi Anda (dan jika Anda memiliki uang), maka segera meng-upgrade ke Windows 2000/XP/2003. Untuk melihat mengapa hal ini benar, mari kita lihat pada keluarga yang berbeda dari sistem operasi Microsoft menyediakan dan melihat bagaimana mereka berhubungan satu sama lain. Hal ini akan membantu kita untuk memilih sistem operasi Windows yang tepat untuk pekerjaan itu. Kemudian, dalam bab terakhir, kita akan berbicara tentang bagaimana untuk mengekspos server Windows untuk Internet dan tidak mendapatkan hacked.

Windows 9x/Me

Windows 9x/Me garis sistem operasi tidak pernah dirancang untuk keamanan di tempat pertama dan tidak dapat dijamin. Periode. Instal scanner virus dan firewall pribadi dan tidak ada banyak lagi yang dapat Anda lakukan.

Windows 9x/Me memiliki karakteristik keamanan berikut:

• Ditujukan untuk aplikasi desktop seperti pengolah kata dan e-mail client, maka, mereka tidak boleh digunakan untuk high-end workstation atau sebagai server.

• Tidak ada keamanan filesystem apapun, termasuk tidak ada built-in kemampuan enkripsi file.

• Hampir mustahil untuk menegakkan hak-hak pengguna pembatasan.

• Tidak ada logging keamanan yang berarti.

• Sulit untuk meminta log sukses sebelum akses ke desktop (ada trik untuk menyiasati persyaratan Kebijakan Sistem untuk logon).

• protokol standar Lemahnya otentikasi.

• Sangat rentan terhadap Denial of Service (DoS) serangan.

• Sederhana berbasis password mengontrol akses ke sumber daya bersama dalam lingkungan workgroup.

• Trivial boot ke sistem operasi lain dari floppy disk dan menghindari semua langkah-langkah keamanan.

• Rawan untuk mengunci-up dan crash (serangan DoS dari Microsoft terhadap data berharga kami). Jika pekerjaan Anda adalah untuk meningkatkan keamanan jaringan, satu-satunya alasan baik untuk memiliki Windows 9x/Me sekitar adalah karena akan terlalu mahal untuk meng-upgrade, dan manajemen tidak akan mendukung untuk bergeraknya keuangan . Jika Anda terjebak dengan Windows 9 x /Me ukuran stop-gap yang bergerak sebanyak pengguna  data ke server mungkin. Misalnya, menggunakan Layanan Terminal atau Citrix MetaFrame; terus semua mail Exchange Server bukannya di penyimpanan pribadi lokal (.File PST); memetakan huruf pengandar ke pengguna  home folder, dan membuat lokasi default (mungkin diperlukan) untuk semua penyimpanan dokumen, dll. Juga, menginstal ekstensi klien direktori aktif (ADCE) upgrade untuk mengaktifkan dukungan NTLMv2 (dibahas nanti dalam bab ini). Setelah melakukan semua ini, Anda dapat memusatkan perhatian Anda pada server. Tetapi sistem operasi apa yang harus digunakan untuk mereka?

Windows NT 4.0 Workstation and Server

 Windows NT 4.0 ini dirancang untuk keamanan dan berasal dari basis kode yang berbeda dari Windows 9x. Meskipun demikian, Windows NT adalah entri pertama Microsoft ke pasar aman-OS dan menderita kerentanan signifikan.Juga, Microsoft telah secara resmi mengumumkan bahwa Service Pack 6a akan menjadi Service Pack terakhir untuk Windows NT, pernah. Patch keamanan masih dibebaskan, namun Microsoft telah ditinggalkan NT dan dianggap lini produk mati.Versi Workstation Windows NT adalah untuk desktop, sedangkan versi Server untuk kontroler domain, server database, e-mail server, web server, dll Secara umum, NT crash lebih sering daripada 9x dan skala yang jauh lebih baik. Sebagai contoh, Windows NT mendukung beberapa CPU, memiliki perangkat lunak berbasis RAID, dapat menggunakan hingga 4GB RAM, olahraga filesystem berbasis transaksi (NTFS), dan memiliki benang matang scheduler dan sistem manajemen memori awalnya berasal dari VMS.

Windows NT memiliki karakteristik keamanan berikut:

• Pengguna berbasis kontrol akses ke sumber daya.

• Pengguna berbasis delegasi hak, misalnya, mengambil kepemilikan yang tepat.

• Filesystem perizinan dan audit (NTFS).

• kemampuan logging rinci OS (tapi tidak ada kemampuan koleksi pusat seperti Syslog).

• protokol otentikasi kuat daripada Windows 9x (NTLM), namun masih lemah secara keseluruhan (kecuali upgrade ke NTLMv2).

• Pengguna-mode dibandingkan ruang proses istimewa-mode dan kernel yang dirancang untuk menjaga mereka terpisah.

• Pengguna account untuk setiap proses, mungkin account Sistem lokal, dan hak / izin keying akun.

• Menyediakan database account terpusat untuk single sign-on otentikasi untuk semua sumber daya dalam "domain."

• Memberikan akses kepada pengguna di seluruh domain melalui  “mempercayai” 

Windows 2000 Professional and Server

Windows 2000 berasal dari basis kode yang sama seperti Windows NT, tetapi tidak upgrade tambahan seperti perubahan dari NT 3.51 sampai 4,0. Jika Windows 2000 ditugaskan angka versi yang akurat, itu tidak akan NT 5.0, itu akan lebih seperti NT 9.0 (seolah-olah Microsoft telah melompati versi di antara).

Sebuah Windows 2000 sistem dari kotak lebih cepat dan lebih aman, daripada komputer NT mengeras dan dioptimalkan Windows.

Windows 2000 Professional ditujukan untuk desktop dan menggantikan Windows NT Workstation 4.0. Windows 2000 Server menggantikan Windows NT Server 4.0. Kedua dukungan keamanan yang sama dan toleransi kesalahan fitur seperti Windows NT, tetapi dengan lebih banyak fitur (kebanyakan akan dijelaskan di bab berikutnya) menambahkan:

• Active Directory (lihat di bawah).

• Group Policy (lihat di bawah).

• jenis kepercayaan baru (transitif, eksplisit, dan shortcut).

• Kerberos otentikasi.

• Kunci Infrastruktur yang ekstensif bagi Umum (PKI) dukungan.

• Built-in card otentikasi dukungan cerdas untuk logon ke desktop, untuk dial-up server, ke situs IIS, dan gateway VPN.

• Kerberos-dikonfirmasi update dinamis aman untuk DNS.

• IPSec dan built-in IPSec VPN client.

• Encrypting File System (EFS).

Windows 2000 Advanced Server and Datacenter Server

Windows 2000 Advanced Server ini ditujukan untuk kelas enterprise server, yang membutuhkan ketersediaan tinggi. Ini adalah sekitar empat kali lebih mahal daripada Server standar (jika Anda membeli eceran) tetapi memiliki dasarnya profil keamanan yang sama. Datacenter Server ditujukan hanya untuk yang terbesar dari "Big Iron" server Windows dan hanya dapat diinstal oleh vendor OEM. Perbedaan antara Server, Advanced Server, dan Server Datacenter terutama untuk skalabilitas dan toleransi kesalahan.Jika Anda sudah memiliki Windows 2000 Server, tetapi Anda perlu Advanced Server, langsung ke Windows 2003 Enterprise Server sebagai gantinya. Jika Anda masih memiliki Windows NT dan Anda ingin meng-upgrade server Anda, langsung ke Windows Server 2003 dan Windows 2000 melewatkan.

Windows XP Professional and Home Edition

Windows XP adalah dari garis 2000 produk Windows, bukan Windows 9x/Me garis, meskipun antarmuka grafis yang "cantik." Setiap peningkatan keamanan di Windows 2000 adalah di XP, dan banyak lagi.Windows XP datang dalam dua versi: Professional dan Home Edition. Adalah penting bahwa Anda tidak sengaja memesan versi Home Edition untuk digunakan dalam organisasi Anda. Ini adalah kesalahan umum, jadi pastikan Anda mendapatkan jaminan eksplisit vendor. Home Edition memiliki beberapa manfaat keamanan yang sangat penting hanya ditemukan dalam versi Professional.

Berikut adalah beberapa item yang Anda dapatkan dengan profesional tetapi tidak dengan Home Edition:

• Kemampuan untuk bergabung dengan domain Windows.

• Encrypting File System.

• File-tingkat akses kontrol.

• Offline file dan folder.

• dukungan remote desktop.

• Roaming profil pengguna.

• Dual (2-arah) CPU dukungan.

Item pertama cinches itu. Karena Anda tidak dapat bergabung Home Edition ke sebuah domain, itu pada dasarnya tidak berharga di lingkungan perusahaan. Kurangnya Encrypting File System dan ACL diedit filesystem juga membuat Home Edition cocok untuk laptop bisnis.

Jika Anda sudah memiliki Windows 2000 Professional, jangan meng-upgrade ke Windows XP kecuali Anda memiliki alasan yang sah untuk melakukannya. Jika Anda meng-upgrade dari Windows 9x/Me/NT, kemudian pergi langsung ke XP, dan melewatkan Windows 2000 Professional.

Windows Server 2003 (Standard, Enterprise, Datacenter)

Windows Server 2003 adalah penerus Windows 2000 Server. Anda tidak akan menemukan teknologi baru earthshaking seperti Active Directory atau Kebijakan Grup di dalamnya, tetapi ada banyak tempat yang penting-perangkat tambahan yang membuat paket keseluruhan yang lebih baik dari 2000.

Oleh karena itu, bergerak lurus ke Server 2003 jika Anda melakukan upgrade dari Windows NT, tapi tetap dengan Windows 2000 Server untuk menyimpan uang jika Anda sudah memilikinya, kecuali, tentu saja, ada beberapa fitur baru Server 2003 Anda hanya harus memiliki. Anda dapat mencampur-dan-pertandingan 2003 dan 2000 Server Anda, sehingga tidak terjadi bahwa Anda harus meng-upgrade setiap server dalam satu tembakan atau tidak sama sekali. Sedikit demi sedikit migrasi dari Windows 2000 ke 2003 adalah mudah.

Windows Server 2003 domain controller juga mendukung jenis baru hubungan kepercayaan untuk menghubungkan hutan yang terpisah Active Directory bersama-sama. Ini "cross-hutan" mempercayai penggunaan Kerberos untuk menyebabkan semua domain dalam dua hutan untuk saling percaya transitif meskipun mereka berada di hutan yang berbeda (lebih lanjut tentang ini nanti).

Tiga versi Windows Server 2003 terutama adalah untuk skalabilitas dan toleransi kesalahan, tapi perhatikan bahwa angka telah bumped up jauh. Bukan hanya itu, tapi bagaimana Server 2003 mendukung clustering dan jaringan load-balancing juga telah berubah secara signifikan.

Windows Server 2003 Enterprise mewakili Microsoft mulai serius tentang mencoba untuk mengambil alih pasar server high-end, misalnya, multi-terabyte berukuran database, ketersediaan 99,999%, ribuan pengguna secara simultan, dll.

Windows 2003 Server Web Edition

Windows Server 2003 Web Edition adalah anggota keempat dari keluarga 2003 Server. Ia tidak memiliki analog di Windows 2000 dan hanya tersedia melalui "mitra saluran", yaitu, tidak tersedia untuk penjualan eceran. Ini adalah dedicated server-tujuan untuk aplikasi IIS.

Anehnya, Server ini hanya mendukung dua 32-bit maksimum CPU dan tidak lebih dari 2GB RAM. Hal ini juga dapat bertindak sebagai server POP3.

Hal ini tidak mungkin bahwa Anda akan mempertimbangkan Edition Web kecuali Anda adalah Internet Service Provider (ISP) yang menyediakan web hosting, sebuah Application Service Provider (ASP) yang mengkhususkan diri dalam. NET Framework didistribusikan XML berbasis layanan atau "jaringan alat" vendor dengan pra-konfigurasi rak-mountable kotak dengan Windows Server 2003 tertanam. Juga, keterbatasan 2GB aneh di RAM berarti Anda lebih baik mendapatkan Server Standard untuk mengakomodasi pertumbuhan di masa depan atau untuk re-tujuan kotak, jika diperlukan.

Workgroups and Stand-Alone Computers

Kurang  atau lebih komputer Windows yang berbagi informasi dalam tidak adanya kontroler domain disebut "workgroup." Bahkan jika semua komputer yang menjalankan Windows Server Enterprise 2003, dan bahkan jika ada ribuan akun pengguna pada masing-masing, mereka masih hanya membentuk workgroup, bukan domain.

Karena komputer bukan anggota domain, itu disebut "berdiri sendiri" komputer. Ini tidak berarti komputer menolak untuk menjadi sebuah file / print server atau berbagi sumber daya dengan orang lain, hanya bahwa itu bukan anggota domain.

Karakteristik Workgroup

Workgroups memiliki karakteristik sebagai berikut:

• Tidak ada kontroler domain.

• Setiap komputer memiliki database rekening lokal. Pengguna dan kelompok dalam database yang disebut "pengguna lokal" dan "kelompok-kelompok lokal" justru karena mereka hanya ada di bahwa database satu. Database ini tidak dibagi dengan atau direplikasi ke komputer lain.

• Ketika hak atau izin sedang ditugaskan untuk sumber daya pada komputer workgroup, mereka hanya dapat diberikan kepada pengguna lokal dan kelompok-kelompok lokal didefinisikan pada komputer itu. Anda tidak dapat memberikan izin atau hak untuk account pengguna pada mesin lain.

• Sebuah account pengguna lokal pada satu mesin tidak dapat dibuat anggota kelompok pada komputer lain. Sebaliknya, kelompok lokal hanya dapat berisi pengguna lokal didefinisikan pada komputer yang sama sebagai kelompok sendiri.

• Dua komputer mungkin masing-masing memiliki account pengguna lokal dengan nama yang sama, tetapi ini adalah dua account yang berbeda. Rekening akan memiliki Keamanan yang berbeda ID (SID) nomor.

• Biasanya, pemilik atau pengguna komputer dalam kelompok kerja adalah anggota dari grup Administrator lokal pada mesin itu, memberinya atau kewenangan penuh nya di atasnya. Tapi otoritas ini tidak mencakup mesin lain pada jaringan.

• Jika seseorang adalah administrator dari workgroup, itu hanya berarti dia memiliki akun pengguna pada setiap komputer di workgroup dan bahwa akun yang ada di grup administrator lokal pada setiap mesin. Apakah atau tidak semua account tersebut bernama sama atau memiliki password yang sama adalah isu lain seluruhnya.

• Workgroups cenderung kecil, yakni antara satu dan seratus komputer. Ketika jumlah komputer kurang dari sepuluh, kita biasanya hanya mengatakan "mereka semua berdiri-alones" bukannya mengatakan "mereka adalah workgroup." The "workgroup" Istilah berfokus pada orang-orang, sementara "stand-alones" berfokus pada komputer, tetapi dalam kedua kasus tidak komputer maupun pengguna adalah anggota dari sebuah domain.

• Anda dapat memiliki berdiri sendiri komputer di tengah-tengah mesin lain yang menjadi anggota dari sebuah domain. Mereka tidak diharamkan satu sama lain, dan masing-masing memiliki manfaat.

Benefits of Workgroups

Workgroups tidak selalu buruk. Ada sering manfaat keamanan penting untuk memiliki berdiri sendiri workstation atau server.

Sebagai contoh, sebuah peternakan dari Microsoft Internet Information Server (IIS) web server mungkin lebih baik dilindungi jika mereka semua berdiri sendiri server. Atau komputer kios akses publik mungkin lebih baik sebagai berdiri sendiri. Untuk sekelompok kecil temporaries bekerja pada sebuah proyek, jaringan peer-to-peer kecil dapat memenuhi kebutuhan mereka tanpa mengekspos seluruh jaringan untuk kejahatan-kejahatan mereka.

Workgroups menikmati keuntungan sebagai berikut:

• Konseptual kesederhanaan.

• biaya awal yang lebih rendah.

• Setiap komputer melindungi diri dari komputer lain di LAN. Menempatkan komputer ke workgroup tidak meletakkan semua telur Anda dalam satu keranjang (meskipun lebih mudah untuk mengelola keranjang dibanding setumpuk telur).

• Setiap komputer terinfeksi atau dikompromikan, jika itu adalah berdiri sendiri, akan agak kurang mampu membahayakan komputer lain di jaringan justru karena itu adalah standalone. Hal ini karena account dicuri pada komputer yang tidak dapat digunakan untuk mengakses komputer lain.

• Pengguna biasanya adalah anggota dari Administrator lokal atau kelompok Power Users pada mesin mereka. Pengguna menikmati mampu memperbaiki masalah mereka sendiri dan program beban.

Drawbacks of Workgroups

Jadi mengapa tidak setiap jaringan Windows workgroup? Mengapa "domain" sama sekali? Sayangnya, ada beberapa kelemahan yang serius untuk memiliki kelompok kerja, terutama yang besar.

• Pengguna biasanya adalah anggota dari Administrator lokal atau kelompok Power Users pada mesin mereka. Pengguna menikmati melakukan apa-apa pada komputer mereka dan berpotensi menghancurkan komputer mereka. Mereka kemudian akan menyalahkan Anda untuk masalah mereka dan meminta Anda memperbaikinya.

• Setiap komputer dalam workgroup memberlakukan keamanan sendiri. Dalam beberapa hal workgroup seperti miniatur replika Internet secara keseluruhan: Anarki!

• Workgroups kekurangan single sign-on. Berpotensi, seseorang mungkin memiliki akun pengguna berbeda-nama pada setiap mesin, dan password untuk masing-masing account mungkin berbeda juga. Di sisi lain, single sign-on dapat ditiru dengan menciptakan akun pengguna yang identik dengan password yang sama pada setiap mesin, tapi ini adalah manajemen dan mimpi buruk keamanan dalam dirinya sendiri ketika ada lebih dari 100 mesin.

• Setiap komputer dalam workgroup adalah sebuah pulau manajemen. Secara umum, kelompok kerja tidak skala untuk ribuan komputer tanpa galon minyak siku dan banyak magang musim panas.

• Karena pengguna lokal dan kelompok tidak dapat dibuat anggota kelompok pada mesin lain, sangat sulit untuk mempertahankan tugas konsisten izin / hak di beberapa mesin.

Manage Local Accounts

Semua Windows NT/2000/XP/2003 komputer memiliki rekening lokal dan kelompok, bahkan jika komputer adalah anggota dari sebuah domain. (Rekening lokal yang tersembunyi pada kontroler domain Active Directory, namun mereka masih ada tidak aktif.)

Pada Windows XP Professional, misalnya, pengguna lokal dan kelompok dikelola dengan applet User Account di Control Panel (tab Advanced> tombol Advanced). Pada Windows 2000/XP/2003, Anda juga bisa mendapatkan mereka melalui Manajemen Komputer snap-in di folder Administrative Tools.