Более 5370 заметок о виртуализации, виртуальных машинах VMware, Microsoft и Xen, а также Kubernetes
VM Guru / Articles / Как повысить безопасность Windows Server 2016 с 5nine Cloud Security.
Как повысить безопасность Windows Server 2016 с 5nine Cloud Security.
Как повысить безопасность Windows Server 2016 с 5nine Cloud Security.
Автор: 5nine Дата: 19/01/2017
В последние годы компания 5nine Software, участвовала во множестве проектов, в которых клиенты строили свою виртуальную инфраструктуру на платформе Windows Server, начиная от версии 2008 до 2016. Это были, как правило, проекты крупных компаний с повышенными требованиями к безопасности. Не секрет, что в последнее время инциденты ИБ в крупных компаниях и государственных организациях стали регулярными. В условиях, когда пользователи теряют конфиденциальную информацию и крупные средства, такие требования выглядят разумными. Почему же участились инциденты ИБ и как можно повысить безопасность своей инфраструктуры с новой серверной ОС Microsoft?
Виртуализация уже давно стала традиционной частью инфраструктурных решений. Безусловно, возможности гипервизоров существенно расширились, трансформируясь в частные и гибридные облака, вследствие чего инфраструктура клиентов стала более гибкой и динамичной, что соответствует современным условиям ведения бизнеса — нужно быстро создавать и обслуживать новые сервисы и виртуальных машины в их составе, поддерживать несколько кластеров или ЦОД с миграцией и балансировкой ВМ между ними.
Но, тем не менее, клиенты часто используют в виртуальной среде устаревшие технологии end-point security с установкой агентов в ВМ и изоляции при помощи VLAN. Эти технологии добавляют уязвимости, связанные с возможностью блокирования или удаления агента в ВМ, потребляет дефицитные ресурсы оборудования, усложняют администрирование виртуализированных ЦОД крупных компаний. Что же предлагают для решения этих проблем Microsoft и его технологические партнеры?
Во-первых, для защиты от «эффекта Сноудена» в Windows Server 2016 появилась технология Shielded VM, которая позволяет шифровать диск ВМ из инфраструктуры гостевых операционных систем, защищая его от копирования и просмотра администратором хоста. Существенно увеличить безопасность инфраструктуры ЦОД поможет использование Nano Server, новой версии ОС, в которой отсутствует графический интерфейса GUI и существенно снижена площадь атаки путём минимизации набора ролей, как результат — в 3 раза меньше портов и в 10 раз меньше критических обновлений. Еще одно новшество – защита компонентов, отвечающих за целостность ядра ОС, паролей и других важных системных данных при помощи отдельного контейнера Hyper-V — Virtual Security Module (VSM). Все это существенно увеличивает защищённость новой ОС и инфраструктуры пользователя.
Но вместе с этим, ряд важных функций безопасности и соответствия законодательству в ней отсутствуют, т.к. они не являются характерными для серверной ОС и должны быть реализованы сторонними решениями. Microsoft существенно облегчил реализацию этих функций дав доступ нескольким технологическим партнерам к коммутатору Hyper-V. Расширяемый виртуальный коммутатор Hyper-V дает возможность изоляции пользователей ВМ, управления всем трафиком внутри виртуальной среды, защиты ВМ от вредоносных атак.
Благодаря встроенной поддержке драйверов-фильтров NDIS и драйверов внешнего вызова платформы фильтрации Windows, виртуальный коммутатор Hyper-V позволяет независимым разработчикам программных продуктов (ISV) создавать расширения виртуального коммутатора, которые увеличивают безопасность ВМ и сетей.
Компания 5nine Software является одним из ключевых вендоров, с которым Microsoft сотрудничает по разработке средств защиты и управления Hyper-V c 2009 года. Последняя версия программы 5nine Cloud Security была представлена на ежегодной конференции Ignite, одновременно с Windows Server 2016.
5nine Cloud Security интегрирован в виртуальный коммутатор и является единственным безагентным решением для обеспечения безопасности Hyper-V Server. Он контролирует сетевой трафик между виртуальными машинами, изолирует отдельные ВМ и группы, обнаруживает вредоносные атаки на уровне приложений, осуществляет быстрое антивирусное сканирование и блокировку угроз, повышая безопасность виртуальной среды.
Основным отличием от других СЗИ является безагентная архитектура решения, позволяющая не устанавливать программное обеспечение в гостевую операционную систему, анализируя и управляя трафиком на уровне виртуального коммутатора.
Установка Cloud Security достаточно проста и может быть без проблем выполнена администратором Windows Server со знаниями, эквивалентными квалификации MCSA, в отличие от аналогичных решений других вендоров, значительно более сложных, дорогих и требующих гораздо больше усилий и квалификации.
Для запуска приложения нужно установить три основных компонента:
Управляющая служба (Management Service) — устанавливается в гостевом или родительском разделе, которые будут определены как управляющие серверы для всей инфраструктуры Hyper-V. Возможна установка нескольких управляющих серверов, которые обеспечивают функцию аварийного восстановления,
Управляемая служба (HostManagementService) — устанавливается на каждом защищаемом сервере,
Консоль управления (ManagementConsole) — устанавливается на каждом рабочем месте, используемом для управления и контроля применения правил системы безопасности.
Решение также может быть интегрировано с System Center Virtual Machine Manager путём установки бесплатного плагина, позволяющего управлять инфраструктурой ЦОД и безопасностью виртуализации из единой консоли.
Расширение для Azure Pack дает возможность управления функциями Cloud Security из портала самообслуживания, что позволяет хостинговым компаниям развернуть новую услугу «Безопасность как сервис» (SECaaS).
В продукте реализована ролевая модель управления безопасностью. Доступны три роли: администратор информационной безопасности, ИТ-администратор и аудитор.
Из собственной консоли или SCVMM администратор может достаточно просто настроить политики безопасности виртуального межсетевого экрана, в т.ч. при помощи шаблонов. Поддерживаются виртуальные машины как под управлением Windows, так и Linux. Изолировать можно как отдельные ВМ, так и их группы, благодаря поддержке мультитенантности. Доступна функция защиты самого родительского раздела сервера Hyper-V, в том числе антивирусная.
С помощью функций межсетевого экрана можно реализовать следующую функциональность:
Фильтрация по MAC-адресу
Поддержка ARP
Фильтрация трафика с применением SPI (Stateful Packet Inspection) и DPI (Deep Packet Inspection)
Анализ аномалий сетевого трафика
Управление входящей и исходящей полосой пропускания для каждой виртуальной машины.
Фильтрация MAC-вещания
Журналирование отфильтрованных события безопасности (в т.ч. антивируса и IDS) с возможностью экспорта в форматы SYSLOG и SIEM SPLUNK
Поддержка технологии виртуализации сети NVGRE
Управление доступом к виртуальной машине по расписанию
Антивирусный сервис использует по выбору один из трех движков и баз сигнатур (Лаборатория Касперского, Bitdefender или Threat Track), однако механизм сканирования принципиально иной, чем у самих антивирусных вендоров. Благодаря функционированию на уровне гипервизора, антивирусное сканирование возможно без установки агента в ВМ, что повышает их защищённость, т.к. администратор гостевой операционной системы не может отключить антивирус.
Использование технологии инкрементального сканирования увеличивает его скорость до 70 раз, при этом нагрузка на хост падает до 30%. Эта технология в сочетании с настройкой количества сканируемых ВМ, позволяет гибко управлять ресурсами хостов и избегнуть «антивирусного шторма». Также доступно антивирусное сканирование сетевого трафика и опция активной защиты виртуальной машины, при котором сканируются не только диски, но и оперативная память гостевого раздела.
Базы сигнатур антивирусов и IDS могут обновляться централизованно для всей инфраструктуры Hyper-V через локальный прокси-сервер, позволяя изолировать хосты от публичных сетей с одновременным их размещением внутри ЦОД для минимизации уязвимости родительских разделов от внешней атаки. В интерфейсе антивирусного сервиса доступны настройки режимов сканирования, расписания и исключений для типов файлов, и папок.
Система обнаружения вторжений (IDS) анализирует весь трафик внутри виртуального коммутатора Hyper-V, используя технологию Cisco Snort for Business для проверки аномалий пакетов, которые могут быть потенциальными атаками. В отличие от аналогичных решений других вендоров, возможно обнаружение атак не только in-out, но и внутри виртуальной среды с одной ВМ на другую.
Такой сценарий атаки стал все более распространён как в виртуализированных ЦОД хостинг-провайдеров, так и в крупных компаниях, где одна захваченная ВМ становится центром атаки внутри контура защиты. Для обнаружения атак используется не только сигнатурный, но и эвристический метод. СОВ определяет модель вашего нормального рабочего трафика в течение дня. Затем постоянно отслеживает его профиль и при наличии отклонений или аномалий, немедленно уведомляет о возможности нападения.
Для крупных компаний будет интересна возможность миграции политик безопасности в распределенных ЦОД. Если у вас есть несколько ЦОД или филиалов, которые не имеют прямых каналов связи, вы все равно можете синхронизировать настройки 5nine Cloud Security между ними, поддерживая миграцию ВМ, отказоустойчивость и безопасность бизнеса в случае аварий. Простая интеграция продукта в System Center VMM позволяет объединить в рамках единого решения управление ИТ инфраструктурой и информационной безопасностью предприятия.
Это упрощает и удешевляет стоимость владения Microsoft Cloud в собственном ЦОД и позволяет контролировать и управлять безопасностью инфраструктуры в облаке хостинг-провайдера, построенном на технологии Cloud OS. Сейчас такие облака предоставляют все ведущие провайдеры в России и в мире: ActiveCloud, Dataline, Ростелеком и т.д.
Наличие всех систем защиты: межсетевого экрана, антивируса, IDS, логирования событий безопасности и ролевой модели доступа позволяет пользователям экосистемы Windows Server выполнить требования регуляторов: 152-ФЗ «О персональных данных», приказов №17 и №21 ФСТЭК, стандарта PCI-DSS и других.
5nine Cloud Security – легко устанавливаемое средство защиты виртуальной среды Hyper-V, которое просто интегрируется в средства управления Microsoft. Настройка занимает немного времени и интуитивно понятна. Основное преимущество – высокий уровень защиты на уровне гипервизора при низкой нагрузке на ресурсы хостов. Тестирование производительности системы при всех включённых сервисах 5nine Cloud Security, показывает дополнительную нагрузку в пределах 3-4%.
Подобные продукты других вендоров при тестировании показывают деградацию такого параметра, как ширина пропуска виртуальной сети до 50%. Кроме того, при тестировании этих продуктов выясняется, что в случае падения управляющего сервиса на базе ВМ, пропадают важные сетевые настройки и сеть становится практически не работоспособна. При отключении ВМ с управляющим сервисом 5nine, все настройки сохраняются и Cloud Security продолжает осуществлять бесперебойную защиту виртуальной инфраструктуры.
Для крупных компаний с ответственными ИС предусмотрен отказоустойчивый режим работы защиты с кластеризованным управляющим сервисом и Recovery Action для перезапуска при падении.
Функция Распределенных серверов управления позволяет оптимизировать производительность управляющих сервисов 5nine Cloud Security для крупных проектов и повысить их масштабируемость. Новая технология обеспечивает одновременную работу нескольких управляющих сервисов, применение и изменение правил и настроек безопасности ЦОД. Это также увеличивает отказоустойчивость и высокую доступность сервисов 5nine, обеспечивающих комплексную безопасность виртуальной инфраструктуры со сложной топологией, в том числе территориально распределенной.
Администраторы, исходя из архитектуры ЦОД, смогут запускать несколько серверов управления в непосредственной близости от управляемых ресурсов для ускорения распространения новых настроек безопасности и изменения существующих. Эти настройки распределены и синхронизированы между всеми управляющими сервисами для гибкости конфигурации. Если сервис управления становится недоступными, группа хостов переключается на ближайший работоспособный. Администратор может назначить каждой группе хостов определенный управляющий сервис из имеющихся в списке. После настройки хосты будут обмениваться данными с назначенным сервисом для получения уведомлений, конфигураций и логов.
Все эти функции 5nine Cloud Security позволяют клиентам надежно защитить виртуальную инфраструктуру Windows Server любого размера и сложности без потери производительности и простоты управления, а также выполнить жесткие требования законодательства РФ и международных стандартов ИБ.
Более чем для 100 тысяч клиентов по всему миру уже выбрали решения 5nine Software для защиты и управления облаками Microsoft. За свои уникальные возможности 5nine Cloud Security выбран изданием Cyber Defense Magazine лучшим решением 2016 года в категории Data Center Security.
Протестировать 5nine Cloud Security можно установив версию с сайта или в виртуальной лаборатории.
Чек-лист безопасного Windows Server
Вопрос безопасности сервера был и будет актуальным. Рассмотрим базовые правила обеспечения безопасности серверов под управлением ОС семейства Window Server.
Регулярно устанавливать обновления операционной системы и установленного программного обеспечения.
В быту существует мнение, что Windows не нуждается в обновлениях и их вообще лучше отключить, якобы “чтобы система не тормозила”. Это одна из самых главных ошибок. Обновления важно устанавливать своевременно, особенно критические. Упрощает эту задачу специальная утилита, с которой можно ознакомиться на официальном сайте Центра обновления Windows.
Также важно поддерживать в актуальном состоянии установленное сопутствующее программное обеспечение, в том числе СУБД, различные фреймворки и прочее.
Использовать ПО из проверенных источников.
Рекомендуем перед загрузкой установочного пакета программного обеспечения, в том числе и Open Source, убедиться в надежности источника. Нередко бывает так, что визуально похожий на официальный сайт ресурс, распространяет уже скомпрометированое ПО. В пакет установки может быть добавлен файл с вредоносным кодом.
Грамотно настроить межсетевой экран.
Важно понимать, что сервер доступен из сети Интернет. По этой причине, ОС должна быть защищена любым устройством выполняющим функции файрволла. Если подобных устройств нет, то Брандмауэр Windows будет последней надеждой на защиту от несанкционированных подключений к серверу.
Чем меньше TCP/UDP портов доступно извне, тем меньше шансов провести атаку на сервер. В этом вопросе важно разобраться что блокировать. Если речь идет о web-сервере, то доступными необходимо оставить 80 и 443 TCP-порты (эти порты служба слушает по умолчанию).
Это были публичные порты, но не стоит забывать, что существуют порты, доступ к которым должен предоставляться по принципу “белого” списка, т.е. только определенному кругу лиц. Пример портов:
3389 — RDP (Remote Desktop Protocol);
135-139 — NetBIOS;
445 — Samba (общий доступ к файлам и папкам);
5000 — 5050 — FTP в пассивном режиме;
1433 — 1434 — порты SQL;
3306 — стандартный порт MySQL;
53 — DNS
Создать правило не сложно. Открываем Пуск → Панель управления → Система и безопасность → Администрирование → Брандмауэр Windows в режиме повышенной безопасности.
В окне программы кликаем правой кнопкой мыши по “Правила для входящих подключений”. В открывшемся контекстном меню выбираем “Создать правило...”.
Переименовать учетную запись администратора.
Использовать несколько аккаунтов администратора.
Если администрированием сервера занимается несколько специалистов, следует создать индивидуальную учетную запись для каждого. Подобная мера позволит выследить виновника в произошедшем.
Использовать учетную запись пользователя с ограниченными правами.
Для выполнения повседневных задач не всегда требуется использовать учетную запись с правами администратора. Рекомендуем создать учетную запись с ограниченными правами. В случае если учетная запись будет скомпрометирована, злоумышленнику придется постараться чтобы получить права администратора. Также, подобная мера может помочь спасти сервер от собственных действий.
В случае несанкционированного доступа под учетной записью администратора, злоумышленник получит полный доступ к системе.
Ограничить общий доступ к файлам и папкам, включить защиту паролем.
Мы настоятельно не рекомендуем предоставлять подключение к общим каталогам анонимным пользователям и пользователям без пароля. Даже если файлы, хранящиеся в папках, не представляют никакой ценности, ничто не мешает злоумышленнику подменить файл на файл с вредоносным содержимым. Последствия такой подмены могут быть самыми разными.
Кроме использования парольной защиты, рекомендуем ограничить разных пользователей в уровне доступа как к файлам, так и папкам (чтение, запись, изменение).
Включить запрос пароля для входа в систему при выходе из режима ожидания, а также отключение сессий при бездействии.
При использовании физического сервера (не удаленного и не виртуального), рекомендуется включить запрос пароля пользователя при выходе из режима ожидания. Данный параметр настраивается в панели управления: Панель управления → Все элементы панели управления → Электропитание.
Также важно установить лимиты бездействия пользователя, а “по возвращении” запросить пароль. Это исключит возможность входа другого лица от имени пользователя, в случае если тот отлучился или забыл закрыть RDP-сессию. Чтобы настроить этот пункт, следует воспользоваться настройкой локальных политик secpol.msc.
Использовать Мастер настройки безопасности.
Мастер настройки безопасности (SCW – Security Configuration Wizard) позволяет создавать XML-файлы политик безопасности, которые впоследствии, можно перенести на другие серверы. Эти политики включают в себя не только правила использования сервисов, но и общие параметры системы и правила Firewall.
Корректно настроить политики безопасности.
Кроме первоначальной настройки групповых политик Active Directory, периодически следует проводить их ревизию и повторную настройку. Это один из основных способов обеспечения безопасности Windows-инфраструктуры.
Для удобства управления групповыми политиками, можно воспользоваться не только встроенной в Windows Server утилитой «gpmc.msc», но и предлагаемую Microsoft утилиту «Упрощенные параметры настройки безопасности» (SCM-Security Compliance Manager).
Использовать локальные политики безопасности.
Кроме использования групповых политик безопасности Active Directory следует использовать и локальные политики, которые затрагивают права как удаленных пользователей, так и локальные аккаунты.
Для управления локальными политиками вы можете использовать соответствующую оснастку «Локальная политика безопасности», вызываемую командой secpol.msc из Пуск -> Выполнить (клавиша Windows + R).
Защитить службу удаленных рабочих столов (RDP).
1. Блокировать RDP-подключения для пользователей с пустым паролем.
Наличие пользователей без паролей недопустимо, но если этого миновать не удается, то можно хотя бы запретить подключение к RDP. Для этого открываем Пуск → Средства администрирования.
В открывшемся каталоге, запускаем Локальная политика безопасности.
В окне локальный политик безопасности, слева, выбираем Локальные политики → Параметры безопасности. В основной части окна, находим “Учетные записи: Разрешить использование пустых паролей только при консольном входе”.
Выбираем этот пункт двойным кликом и переводим переключатель в положение “Отключен”. Нажимаем кнопку “OK”.
2. Поменить стандартный TCP-порт RDP.
Замена номеров TCP-портов стандартных сервисов на другие значения, вполне может повысить безопасность сервера, главное не забыть новый номер порта.
Для замены порта:
1. открываем редактор Реестра Windows — Windows + R
3. Разворачиваем ветку HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp и, в правой доле окна, находим параметр PortNumber.
4. Открываем параметр двойным кликом мыши. В открывшемся окне выбираем Систему исчисления: Десятичная, указываем новое значение порта, нажимаем кнопку “OK” и закрываем окно редактора реестра.
5. Чтобы была возможность подключиться к серверу, создаем соответствующее правило для Брандмауэра Windows. Кликаем правой кнопкой мыши по “Правила для входящих подключений”, в контекстном меню выбираем “Создать правило”.
В окне “Мастера”, выбираем “Для порта”
Затем выбираем “Протокол TCP”, “Определенные локальные порты” и указываем новый номер порта.
Следующим шагом выбираем “Разрешить подключение”
Настраиваем для каких сетей будет действовать правило, нужное отмечаем галками.
На итоговом шаге, указываем название правила и описание к нему.
6. Перезагружаем сервер чтобы применить изменения.
7. Для подключения к удаленному рабочему столу теперь используем IP-адрес или доменное имя, а через двоеточие указываем порт.
Настроить шлюз службы терминалов.
Служба “Шлюз TS (служб удаленных рабочих столов)” позволяет обезопасить подключение к удаленному рабочему столу путем использования протокола HTTPS(SSL), тем самым избавляя системного администратора от необходимости настройки VPN. Инструмент способен комплексно контролировать доступ к машинам, а также устанавливать правила авторизации и требования к удаленным пользователям, например:
Пользователи или группы пользователей, которым разрешено подключаться к внутренним сетевым ресурсам;
Сетевые ресурсы, к которым могут подключаться пользователи;
Должны ли клиентские компьютеры иметь членство в Active Directory;
Необходимо ли клиентам использовать проверку подлинности на основе смарт-карт или пароля, или они могут использовать один из вышеперечисленных способов аутентификации.
Логика работы работы шлюза удаленных рабочих столов требует использования отдельной машины. Однако, не запрещает использовать самостоятельную виртуальную машину.
Установим службу шлюза TS.
1. Открываем Диспетчер серверов.
2. Выбираем “Добавить роли и компоненты”
3. На этапе “Тип установки”, выбираем “Установка ролей и компонентов.
4. Следующим шагом выбираем текущий сервер.
5. Роль сервера — Служба удаленных рабочих столов.
6. Переходим к службе ролей. Выбираем “Шлюз удаленных рабочих столов”.
7. Переходим к этапу подтверждения, нажимаем кнопку “Установить”.
Устанавливаем SSL-сертификат.
После установки роли, в окне Диспетчера серверов, выбираем Средства → Remote Desktop Services → Диспетчер шлюза удаленных столов.
В открывшемся окне, в левой его части, нажимаем по значку сервера. В основной части окна, выбираем “Просмотр и изменение свойств сертификата”.
В открывшемся окне “Свойства” переходим на вкладку “Сертификат SSL”. Выбираем пункт “Создать самозаверяющий сертификат”, нажимаем кнопку “Создать и импортировать сертификат”.
Если у вас есть созданный ранее сертификат, можно воспользоваться одним из пунктов ниже, в зависимости от того, кем он был выдан.
В новом окне следует проверить параметры. Если все верно — нажимаем “OK”.
Новым окном система оповестит об успешном создании сертификата и выдаст путь до файла.
Переходим к окну свойств сервера. Нажимаем “Применить”.
Остается только настроить групповые политики.
В окне “Диспетчер шлюза удаленных рабочих столов”, в левой колонке, раскрываем ветку сервера, выбираем “Политики”, затем “Политики авторизации подключений”. В правой колонке того же окна, выбираем “Создать новую политику” → “Мастер”.
В новом окне выбираем ”Создать только политику авторизации подключений к удаленным рабочим столам”, нажимаем “Далее”.
Указываем желаемое имя для политики. Мы рекомендуем указывать имя латиницей.
Следующим шагом будет выбор удобного метода аутентификации — пароль или смарт-карта. Оставляем отмеченным только “Пароль”. Нажимаем кнопку “Добавить группу…”
В окне выбора групп кликаем по кнопке “Дополнительно”.
Размер окна изменится. Кликаем по кнопке “Поиск”. В найденных результатах выбираем “Администраторы домена” и нажимаем кнопку “OK”.
В окне выбора группы проверяем выбранные имена объектов и нажимаем “OK”.
Группа добавлена. Для перехода к следующему шагу нажимаем кнопку “Далее”.
На следующем этапе выбираем пункт “Включить перенаправление устройств для всех клиентских устройств” и нажимаем “Далее”.
Настраиваем таймауты сессий. И действия по их истечении. Рекомендуем отключать сеанс, чтобы фоновые пользовательские процессы не отнимали процессорное время. Нажимаем “Далее”.
На крайнем этапе просматриваем сводку, нажимаем “Готово”. На подтверждение создания политики нажимаем “Закрыть”.
Настроим политику авторизации ресурсов.
Процесс выполняется подобно предыдущему.
В окне диспетчера шлюза удаленных рабочих столов, раскрываем ветку Политики → Политики авторизации подключений. В правой части окна выбираем “Создать новую политику” → “Мастер”.
В открывшемся окне выбираем “Создать только политику авторизации ресурсов удаленных рабочих столов”, нажимаем кнопку “Далее”.
Первым шагом указываем желаемое имя для политики авторизации. Настоятельно рекомендуем указывать имя латиницей. Нажимаем кнопку “Далее”.
В окне выбора групп кликаем по кнопке “Дополнительно”.
Окно изменит размеры. Нажимаем кнопку “Поиск”. В результатах поиска находим “Администраторы домена” и нажимаем кнопку “OK”.
В окне выбора группы проверяем выбранные имена объектов и нажимаем “OK”.
Группа добавлена. Для перехода к следующему шагу нажимаем кнопку “Далее”.
На следующем шаге разрешаем подключение пользователей к любому сетевому ресурсу. Для этого выбираем соответствующий параметр и нажимаем кнопку “Далее”.
Настраиваем разрешенные порты. сли порт RDP-сервера не был изменен, то оставляем 3389. Нажимаем “Далее”.
Финальным этапом проверяем настройки и нажимаем кнопку “Готово”.
На этапе предварительного планирования сетевой архитектуры, одной из основных задач является планирование рисков в случае выхода из строя какого-либо элемента сети. Причин этому может быть много — от выхода из строя оборудования, до “взлома” извне. Чем большее количество ролей возложено на сервер, тем тяжелее будут последствия при отказе сервера. Для минимизации рисков и ущерба следует, по возможности, разграничить роли серверов еще на этапе проектирования. Отключение сервисов и ролей сервера, в которых необходимости, также положительно скажется на его работе.
Идеальный случай — один сервер выполняет одну конкретную функцию, например Контроллер домена или файловый сервер, или сервер терминалов. На практике, подобное разделение ролей труднодостижимо.
С изоляцией ролей вполне могут справиться и виртуальные серверы. Современные технологии виртуализации предлагают высокий уровень производительности и стабильности, при том, что не администратор, не пользователь не испытывают каких-либо ограничений. Грамотно подобранная аппаратная и настроенная программная части могут являться полноценной заменой целому парку техники.
Обзор Windows Nano Server.
Дальнейшим развитием Windows Server Core стал Nano Server. Данная версия дистрибутива исключает использование графического интерфейса пользователя. Всё управление сосредоточено на WMI — инструментарий управления Windows, а также Windows PowerShell. Данный дистрибутив Windows-сервер имеет на 92% меньше критических рекомендаций безопасности. Nano Server доступен только для клиентов Microsoft Software Assurance и на платформах облачных вычислений, например, Microsoft Azure и Amazon Web Services. Начиная со сборки Windows Server 1709, Nano Server можно устанавливать только внутри хоста контейнера .
