Презентация на тему: Windows Server 2008. Совместимость существующих приложений и подготовка к сертификации

Операционная система подвергается существенным рискам когда пользователь работает под учетной записью Administrator Операционная система подвергается существенным рискам когда пользователь работает под учетной записью Administrator Более простая установка вредоносного кода Возможность повышения привилегий Открытость для вредоносного кода Случайные повреждения, вносимые пользователем

Ключевые файлы операционной системы и ключи реестра могут быть заменены на предыдущие версии или вредоносный код – ущерб стабильности и безопасности системы Ключевые файлы операционной системы и ключи реестра могут быть заменены на предыдущие версии или вредоносный код – ущерб стабильности и безопасности системы Задача Windows Resource Protection – защита ключевых компонентов операционной системы, увеличение стабильности, предсказуемости и надежности системы

Запрещены обновления защищенных ресурсов Запрещены обновления защищенных ресурсов Только программы установки, известные ОС (Windows Update) ACL для ресурсов Распространяется на файлы, папки и ключи реестра Большинство ключевых модулей ОС (EXE и DLL) Большинство ключей реестра (HKCR) Папки, используемые ресурсами ОС

Реализовано в Windows Vista и Windows Server 2008 Реализовано в Windows Vista и Windows Server 2008 Процессы выполняются на одном из четырех уровней целостности (Integrity Levels): Системные процессы - System IL Приложения с привилегиями администратора - High IL Стандартные приложения - Medium IL Приложения с ограничениями - Low IL Защищаемые объекты (файлы, процессы, очереди сообщений и т.п.) задают минимальный уровенб процесса для доступа к ним Уровень для объектов по умолчанию: Medium

UI Privilege Isolation (UIPI) UI Privilege Isolation (UIPI) Использует MIC для запрета посылки сообщений между окнами Приложения не могут посылать сообщения приложениям, выполняющися с более высоким IL Приложения с более высоким IL могут разрешить прием сообщений SendMessage() не возвращает ошибок

Внутренний номер версии в Windows Server 2008 (функция GetVersion) = 6 Внутренний номер версии в Windows Server 2008 (функция GetVersion) = 6 Версия Internet Explorer - 7.0 Версия включена в строку User Agent Строка User Agent включается в заголовок каждого HTTP запроса Измените код – нужна проверка типа >= 6

Выполнение системных сервисов и пользовательских приложений в сессии 0 моежт привести к нарушению безопасности Выполнение системных сервисов и пользовательских приложений в сессии 0 моежт привести к нарушению безопасности Потенциальная возможность обмена между сервисами и приложениями Потенциальная возможность повышения привилегий Выполнение сервисов и приложений в различных сессиях существенно снижает возможность атак, повышает стабильность, надежность и защищенность системы

Новая унифицированная модель: Новая унифицированная модель: Единая архитектура и программная модель Администрирование контроллеров доменов Сервисы каталогов Управление правами Федерация сервисов Интеграция сервисов мета-каталогов (ILM) Доменные контроллеры только для чтения (Read-Only Domain Controllers)

Изменения в названиях Изменения в названиях

Безопасность по умолчанию – пароли пользователей/компьютеров не реплицируются и не хранятся в Read Only DC Безопасность по умолчанию – пароли пользователей/компьютеров не реплицируются и не хранятся в Read Only DC Выборочное разрешение кэширования паролей Однонаправленная репликация для AD и SYSVOL Атрибут Read Only Partial для отказа от репликации данных Требует ручной настройки

Разделение ключей Kerberos – каждый RODC имеет свою учетную запись KDC Krbtgt Разделение ключей Kerberos – каждый RODC имеет свою учетную запись KDC Krbtgt Ограниченные права записи в каталог Учетные записи Workstation; Не члены группы “enterprise domain controller” Не члены группы “domain domain controller”

Упрощенная система – однонаправленная репликация Упрощенная система – однонаправленная репликация Упрощенная настройка конфигурации Большинство настроек включено по умолчанию Администратор RODC может не быть администратором домена Предотвращает случайные модификации домена администраторами компьютеров Возможность делегирования установки и восстановления RODC

Работает в существующей инфраструктуре!!! Работает в существующей инфраструктуре!!! Не требуется изменений для DC или клиентов Требования Наличие режима Windows Server 2003 Forest Functional Mode PDC FSMO на Windows Server 2008 Рекомендуется использовать несколько WS2K8 DC на один домент

Возможные проблемы Возможные проблемы Симптомы: Запись в RODC Вызывает ошибку (вызовы RPC и LDAP) Долгие задержки из-за ссылок на контроллер с возможностью записи Исправление: Изменение дизайна топологии таким образом, чтобы функции записи не обращались к RODC

Полная компонентизация WS2К8 Полная компонентизация WS2К8 Более гранулированные роли По умолчанию роли не активны Роли от предыдущих версий имеют некоторые отличия Программы установки и приложения могут перестать работать, т.к. ожидаемые функции реализованы в новых или измененных ролях Из-за этих изменений: После миграции на новую систему необходимо удалить и переустановить приложения Перенос приложений на новую версию не поддерживается

Desktop Experience Pack Desktop Experience Pack Набор приложений, не установленных по умолчанию Отсутствие файлов DirectX/Media RPC over HTTP Proxy .NET Framework 3.0 Удаленная поддержка

Новинка в Windows Server 2008! Новинка в Windows Server 2008! Опция минимальной установки для Windows Server 2008 Входит в издания Standard, Enterprise и Datacenter Поддерживается на x86 и x64

Включает Включает Фиксированный набор серверных ролей DHCP, File, AD, AD LDS, Media Services, DNS, IIS 7 (минус ASP.Net) Набор дополнительных функций: WINS, Failover Clustering, Subsystem for UNIX-based applications, Backup, Multipath IO, Removable Storage Management, Bitlocker Drive Encryption, SNMP, Telnet Client Интерфейс командной строки, нет графической оболочки Снижение области атак Базовая функциональность сервера с минимальными требованиями по ресурсам

Ограничения Ограничения Отсутствует Windows PowerShell, минимальный интерфейс – командная строка Отсутствует поддержка управлямого кода – нет .Net Runtime, весь код должен быть только Native Windows API Ограниченная поддержка MSI – только в пакетном режиме Отсутствует поддержка установки приложений Поддержка разработки средств управления, утилит и агентов

Server Core – это не платформа для разработки приложений Server Core – это не платформа для разработки приложений Требуется отдельное планирование при миграции Server Core поддерживает средства управления, утилиты и агентов Средства удаленного управления должны работать в большинстве случаев Совет: используйте один из протоколов, поддерживаемых в Server Core, например, RPC

Могут потребоваться изменения для работы агентов под Server Core Могут потребоваться изменения для работы агентов под Server Core Требования: Агенты не должны иметь зависимостей от оболочки или GUI Агенты не могут использовать управляемый код Отдельное тестирование агентов под Server Core Советы: В SDK есть список программных интерфейсов, поддерживаемых в Server Core

Новый набор программных интерфейсв Новый набор программных интерфейсв Улучшенная функциональность Масштабируемость Управляемость Удаленное управление

Программные изменения Программные изменения В Windows Server 2008 отсутствует Cluster Automation Server (MSClus) Приложения, использующие эти интерфейсы, должны использовать Cluster API или провайдера Cluster WMI Подробно о Cluster Automation Server – см: http://msdn.microsoft.com/library/default.asp? url=/library/en-us/mscs/mscs/ programming_with_cluster _automation_server.asp

Новые возможности: Новые возможности: Интегрированные средства проверки конфигурации Упрощенная установка кластера Упрощенное управление кластерами Расширения модель Quorum Поддержка Storage Area Networks Расширения в сетевой поддержке Расширения для Stretched Cluster Средства миграции кластеров Поддержка Server Core

Требуется внесение изменений в приложения Требуется внесение изменений в приложения Приложения должны использовать новые программные интерфейсы Не устанавливайте «старые» приложения на отказоустойчивые кластеры Windows Server 2008 Можно получить непредсказуемые результаты

Включен по умолчанию Включен по умолчанию Симптомы: Приложения не работают после установки Некоторые порты TCP/IP по умолчанию закрыты Событие аудита безопасности будет занесено в системный журнал – указатель но то, что приложение было заблокировано

Для «старых» приложений админстраторы должны открыть требуемые порты Для «старых» приложений админстраторы должны открыть требуемые порты Возможность отключения Windows Firewall – не рекомендуется Администраторы могут использовать: Контекст ‘netsh advfirewall’ для работы с правилами firewall из скриптов Шаблоны мастера Security Configuration для конфигурации серверов Разработчики могут использовать программыне интерфейсы INetFwPolicy2 (Firewall APIs) для интеграции инсталляторов с Windows Firewall и Advanced Security

Принять участие в «Windows Server 2008 Logo Workshop» Принять участие в «Windows Server 2008 Logo Workshop» Установить Windows Server 2008 Beta 3/RC0/RCx Получить и изучить «Windows Server 2008 Software Logo Specification» Получить Windows System State Analyzer Tool Получить Certification Tool (x86 или x64) Получить Windows Server 2008 Software Test Framework Выполнить внутреннее тестирование приложения Передать приложение на пред-тестирование