Windows Server 2008: Sigurnost u dislociranim kancelarijama

Preduzeća koja žele da povežu u jedinstven informacioni sistem svoje dislocirane delova do sada su bila pred velikim izazovom. Takva rešenja su obećavala višu produktivnost u radu, ali su nosila opasnost od upada u sistem, odnosno od krađe poverljivih poslovnih informacija. Sa Windows Serverom 2008 stiže RODC, rešenje koje ovu priču diže na jedan viši, bezbedniji nivo.

Read-Only Domain Controller (RODC) je novi tip domenskog kontrolera u Windows Serveru 2008. Glavna namena mu je povećanje sigurnosti na udaljenim lokacijama jednog preduzeća (predstavništva, ispostave, magacini...), koje je potrebno povezati na informacioni sistem centrale. U tom slučaju potrebno je da se na ovakvim lokacijama podigne jedan ili više servera koji će imati aktivni direktorijum i koji će "voditi računa" o segmentu mreže na udaljenoj lokaciji preduzeća.

Tipska konfiguracija mreže na centralnoj lokaciji jednog preduzeća podrazumeva servere na kojima je podignut aktivni direktorijum i domenski kontroler koji kontroliše rad mreže. Obično je to centralna zgrada preduzeća u kojoj se nalazi najveći deo zaposlenih, zgrada koja je namenski građena, koja ima fizičko obezbeđenje, video nadzor i serversku sobu (data centar) kojoj je pristup takođe kontrolisan.

U zavisnosti od brzine i kvaliteta konekcije između udaljene lokacije i centralnog servera preduzeća replikacija podataka se vrši u određenim vremenskim intervalima. Pri replikaciji podataka na udaljenoj lokaciji čuvaju se podaci iz aktivnog direktorijuma preduzeća, kao i lozinke korisnika, mašina i svi ostali podaci. Prenos je kriptovan i zaštićen kao i sama baza, ali ostaje pitanje fizičke sigurnosti i pouzdanosti ljudi koji u toj ispostavi rade.

Serveri na udaljenim mestima (magacin, predstavništvo...) potrebni su da bi opslužili manji broj zaposlenih. Obično na tim lokacijama ne postoji adekvatan prostor za serversku sobu, pa je server fizički dostupan širem krugu ljudi. U slučaju da dođe do provale ili krađe, lopov ne odnosi samo mašinu (hardware), već sa njim i kompletne podatke iz aktivnog direktorijuma preduzeća. Ne treba elaborirati razne hakerske alate kojima će potencijalni lopovi doći do podataka koji su im potrebni.

Podaci sigurni

Windows Server 2008 donosi rešenje za ovaj problem u vidu Read-Only Domain Controller‑a (RODC). Samo ime govori da je domen kontroler samo za čitanje i da na njemu nije moguće vršiti upisivanje. RODC u sebi ne čuva lozinke ni osetljive podatke iz aktivnog direktorijuma, pa samim tim potencijalni lopovi nisu u mogućnosti da dođu do podataka kojima bi mogli da oštete preduzeće. Zaštita se ogleda u četiri mogućnosti (featuresa) Windows Servera 2008: Read-Only Domain Controller, DNS Protection, Password Protection i Administrator Role Separation.

Read-only Domain Controller čuva objekte i atribute aktivnog direktorijuma i podržava samo jednostranu replikaciju (od Foresta prema RODC). U slučaju da neka od aplikacija traži pravo pisanja objekata u aktivni direktorijum, RODC će poslati odgovarajući LDAP odgovor koji će redirektovati aplikaciju na domen kontroler na kojem je pisanje u aktivni direktorijum dozvoljeno.

DNS Protection – DNS server na RODC ne podržava dinamičko ažuriranje. Ukoliko klijent zatraži pravo upisa u DNS, RODC će zahtev preusmeriti na centralni domen kontroler (writeable DC) tek nakon upisa zapisa, a DNS će sa centralnog servera replicirati zapis na RODC. Password Protection – RODC podrazumevano ne čuva korisničke i kompjuterske kredencijale. Ipak, RODC može keširati lozinke uz eksplicitno podešavanje od strane administratora. U slučaju kada lozinke nisu keširane zahtev za autentikacijom se prosleđuje centralnom domen kontroleru. Ako se koristi keširanje lozinki Password Replication Policy određuje kojoj grupi korisnika će biti dozvoljeno keširanje.

Kada keširanje lozinki nije dozvoljeno (default stanje) pri logovanju korisnika svaki zahtev se prosleđuje centralnom DC-u. Zbog toga je neophodno da postoji konekcija između RODC-a i DC-a. U slučaju da je konekcija prekinuta korisnik neće moći da se prijavi na sistem. Upravo iz ovog razloga postoji mogućnost keširanja lozinki kako bi se korisnici prijavili na sistem i u trenucima kada je veza prekinuta.

Štiti servere od kompromitacije

Postavlja se pitanje kakva je to zaštita (ili read-only) ako ipak dozvoljava čuvanje lozinki na udaljenom serveru. Zbog toga postoji Password Replication Policy pomoću kojeg se određuju grupe korisnika čije će lozinke biti keširane. U tu grupu sigurno nećete staviti ni jedan nalog sa administrativnim pravima, već samo obične usere koji mogu izvršavati svoje redovne obaveze i u trenucima kada je veza između DC-a i RODC-a prekinuta.

Administrator Role Separation – odvajanje administrativnih uloga (role) između DC-a i RODC-a ima ulogu da podeli administrativne uloge između ova dva kontrolera. Administrator RODC-a ne mora biti "Domain Administrator" već samo "Domain User". Domenski korisnik sa administratorskim pravom na RODC-u ima pravo održavanja RODC servera, ali nema administratorskih prava ni na jednom drugom domen kontroleru. U slučaju da dođe do kompromitovanja kredencijala administratora RODC-a šteta ostaje samo na RODC-u i ne replicira se na ostale DC-e, čime je mreža preduzeća zaštićena.

Normalno, kompromitovanje bilo kojeg servera preduzeća nije dobro, ali ako uzmemo u obzir preduzeća koja imaju široki lanac svojih objekata (banke, građevinske firme, lanci prodavnica...), gde broj servera u sistemu prelazi preko 50-100 servera, onda se šteta na jednoj od udaljenih lokacija može smatrati boljom od štete načinjene na celokupnom informacionom sistemu preduzeća, što je do sada bilo moguće kroz automatsku replikaciju AD-a.

Ovo je još jedna od mogućnosti Windows Servera 2008 zbog koje sve češće čujemo samo reči hvale za ovaj operativni sistem iz Microsofta. Očigledno je da je ovo proizvod o kojem će se u budućnosti dosta pričati i na kojem će počivati kompjuterske mreže mnogih preduzeća.