Windows Server 2003, ktorý spolocnost Microsoft sprístupní 24. apríla, zavedie novú bezpecnostnú normu pre riadiace operacné systémy. Bill Gates vyzval v januári 2002 všetkých 50 000 zamestnancov spolocnosti Microsoft, aby vytvorili spolahlivejšie výpoctové produkty a služby pre zákazníkov, ktoré by zabezpecili, aby výpoctový priemysel bol rovnako bezproblémový ako dodávka elektrickej energie. Windows Server 2003 je prvým operacným systémom, ktorý je výsledkom tohto úsilia.

Pre množstvo ludí a podnikov na celom svete je internet splneným snom, ale niekedy sa tento sen stáva takmer nocnou morou. Popri výhodách bežnej globálnej komunikácie a zvýšenej prepojitelnosti sa objavili nové bezpecnostné riziká na takom stupni, aké len málokto predvídal. Kedže ludia na celom svete sa coraz viac spoliehajú na internet ako pomoc pri komunikácii a vykonávaní podnikatelskej cinnosti, potreba zabezpecit výpoctovú platformu sa stáva každým dnom zjavnejšou a rozhodujúcejšou.

„Chceme sa dostat do bodu, ked je bezpecnost skutocnostou a ludia využívajú softvér a výpoctové technológie s rovnakou dôverou akú pocitujú, ked zapnú lampu alebo zodvihnú telefón,“ hovorí Michael Stephenson, hlavný produktový manažér oddelenia Windows Server v spolocnosti Microsoft. „Ešte tam nie sme, ale dostaneme sa tam. Windows Server 2003 je obrovským krokom vpred.“

Bezpecnost je práve jedným zo štyroch pilierov iniciatívy Spolahlivý výpoctový priemysel (Trustworthy Computing) – dalšími troma sú súkromie, spolahlivost a obchodná poctivost. Spolocnost Microsoft sa zaviazala realizovat všetku softvérovú ochranu – ochranu prostredníctvom dizajnu, ochranu prostredníctvom štandardu a ochranu umiestnovania, ako aj proaktívnu komunikáciu so zákazníkmi tak, že im bude poskytovat informácie, zdroje a poradenstvo, ktoré potrebujú na udržiavanie bezpecného výpoctového prostredia.

Ochrana prostredníctvom dizajnu

Na výzvu Billa Gatesa zaciatkom roku 2002 zastavilo 11 000 Windows inžinierov spolocnosti Microsoft všetku vývojovú prácu a spolocnost vykonávala po celých 10 týždnov intenzívne školenie o bezpecnosti, testovanie a analýzy. Vývojoví pracovníci prehladávali kódový základ Windows kvôli potenciálnym slabým miestam.

Windows inžinieri spolu s tisícmi inžinierov v iných castiach spolocnosti sa ucili písat bezpecnostné kódy, co zahrnalo špecializované testovacie techniky a modelovanie problému. Proces modelovania problému ucil programových manažérov, tvorcov a testovacov mysliet ako útocníci – a polovica všetkých chýb identifikovaných pocas bezpecnostného ukladania údajov Windows bola zistená pocas analýzy modelového problému. Microsoft dokonca vyškolil ludí, ktorí vypracovávajú produktovú dokumentáciu tak, aby pri jej príprave mali na zreteli bezpecnost a pomohli tak zákazníkom lahšie chápat, ako implementovat a zachovávat bezpecnost na platforme Windows.

Pre vývojových pracovníkov pracujúcich na Windows Server 2003 bola výzva Billa Gatesa ešte bezprostrednejšou a naliehavejšou ako pre mnohých ich kolegov. Windows Server 2003 bol už v beta verzii, ked sa zacalo bezpecnostné ukladanie údajov a zákazníci v Spolocnom vývojovom programe (Joint Development Program) pre Windows Server 2003 už rozvíjali beta verziu. Stanovili sa priority a na konci procesu sa vytvoril najbezpecnejší riadiaci operacný systém, aký spolocnost Microsoft dodnes uviedla.

„Skocili sme do toho uprostred projektu, takže sme zacali pracovat dvoma rôznymi spôsobmi súcasne,“ hovorí Steve Lipner, riaditel zabezpecovania ochrany v Bezpecnostnej obchodnej jednotke v spolocnosti Microsoft. „Spociatku sme sa zamerali na modelovanie problémov ako na náš klúcový krok, ale skupiny taktiež testovali a skúmali kódy, aby zistili bezpecnostné chyby na nižšej úrovni ako sú kódovacie chyby, ktoré môžu mat za následok vznik potenciálnych bezpecnostných problémov.“

Podla Lipnera, potom, ako boli problémové modely kompletné, vývojoví pracovníci mohli dôkladnejšie preskúmat kód v súvislosti so špecifickými bezpecnostnými náchylnostami na chyby, ktoré by mohli mat vážnejší dopad. Popri zistovaní chýb vývojoví pracovníci zistili množstvo iných spôsobov zvýšenia bezpecnosti prostredníctvom dizajnu vo Windows Server 2003. Odstránili, napríklad, Univerzálny princíp „zapoj a hraj“ (UPnP) z Windows Server 2003. UPnP je vlastnost rozpoznávania sietových zariadení, ktorá ulahcuje osobným pocítacom lokalizovat a rozpoznávat prácu s inými zariadeniami.

Služby verejnej klúcovej infraštruktúry (PKI) vo Windows Server 2003 – v podstate systém digitálnych certifikátov, ktorý využíva kódovanie verejným klúcom na overovanie platnosti každej strany, ktorá sa zúcastnuje elektronickej transakcie – sa významne zdokonalili. Windows Server 2003 robí PKI a súvisiace technológie, ako napr. cipové karty, disponovatelnejšími, lahšie umiestnitelnými a fungujúcimi. Windows Server 2003 taktiež podporuje Chránený rozšíritelný autentifikacný protokol (Protected Extensible Authentication Protocol – PEAP), ktorý ponúka autentifikáciu na základe zakódovaného hesla, aby sa tak zvýšila bezpecnost bezdrôtových pripojení. PEAP je flexibilná bezpecnostná alternatíva pre zákazníkov, ktorí potrebujú bezdrôtovú produktivitu, ale nemajú zdroje na rozmiestnenie úplnej infraštruktúry PKI.

Dalším znakom dizajnu, ktorý pre servery Windows istý cas klúcový, ale u Windows Server 2003 sa zdokonalil, je možnost pre užívatelov vykonat jednotlivý vstup a mat prístup k viacerým zdrojom. Podla Stephensona je tento znak špecifický pre prostredie Windows a nedostatok schopnosti jednotlivého vstupu u konkurencných systémov je rastúcim problémom pre mnohých zákazníkov, ktorí sú nútení vytvorit viacero rôznych archívov a riadit užívatelské kontá cez viaceré adresáre. Užívatelia, ktorí majú viacero rôznych užívatelských mien a hesiel, koncia s ich zapisovaním, co predstavuje dalšie bezpecnostné riziká.

„Toto je znacnou výhodou, ktorú máme oproti mnohým konkurentom v tejto oblasti,“ hovorí Stephenson. „Ked sa užívatel prihlási cez ich pracovnú plochu Windows na server Windows pomocou protokolu Kerberos, môžeme mu v súcasnosti umožnit prístup do zdielaní súborov, sietových prístupových bodov ako je bezdrôtové pripojenie a VPN pripojenie, e-mailových serverov, aplikácií, webových stránok, atd., pricom nemusí opätovne predložit svoje doklady pre autentifikáciu.“

Tak ako pri akomkolvek vývojovom projekte aj tu existovali aj kompromisy. Jeden z nich sa týkal urcitých pôvodných funkcií, ktoré by vývojový tím radšej odstránil, ale na ktorých sú zákazníci nadalej závislí. Nakoniec sa spolocnost Microsoft rozhodla, že ponechá týmto pôvodným funkciám miesto vo Windows Server 2003, ale upozorní zákazníkov, že sa z budúcich verzií odstránia. Z dôvodu bezpecnosti spolocnost Microsoft tieto funkcie vyradila. Zákazníci, ktorí funkcie nadalej potrebujú, si ich môžu zapnút, zatial co iní ich môžu ponechat z dôvodu bezpecnosti vypnuté.

Ochrana prostredníctvom štandardu

V minulosti boli produktové vlastnosti bežne prístupné prostredníctvom štandardu v prípade, ak existovala nejaká možnost, že by ich zákazník mohol chciet použit. V súcasnosti spolocnost Microsoft zmenila takúto politiku a je ovela pravdepodobnejšie, že si zvolí najbezpecnejšiu možnost ako štandardné nastavenie. Pri Windows Server 2003 odstránila výhody viac ako 20 rôznych služieb prostredníctvom štandardu, vrátane internetových informacných služieb (Internet Information Services – IIS) 6.0.

„Uvedomili sme si, že to nedáva zmysel, aby existovala služba ako IIS fungujúca prostredníctvom štandardu, pretože mnohí zákazníci si ani nemuseli uvedomit, že existuje,“ hovorí Stephenson. „Domnievame sa, že zrušenie mnohých služieb prostredníctvom štandardu je významným prínosom pre zákazníkov, nakolko sa musia rozhodnút, ci chcú nahrat IIS alebo inú odstránenú funkciu. Pri rozhodovaní si musia uvedomit aj skutocnost, že vlastnost, ktorá im bola umožnená, je niecím, co musia zvládnut a aktualizovat na danom serveri.“

Spolocnost Microsoft taktiež zablokovala Internet Explorer (IE) tak, že je v nastavení najvyššieho zabezpecenia prostredníctvom štandardu. To znamená, že prehladávac nedôveruje žiadnej stránke na Internete prostredníctvom štandardu. Namiesto toho nastavenie najvyššieho zabezpecenia v IE výrazne obmedzuje funkcnost webových stránok, kým užívatelia explicitne nezmenia bezpecnostné nastavenia alebo neoznacia svoje chránené stránky. Spolocnost Microsoft taktiež pridala k Windows Server 2003 poistku, ktorá zabranuje administrátorovi alebo užívatelovi, aby sa prihlásil dialkovo pomocou prázdneho hesla.

Ochrana umiestnovania

„Jednou zo skutocností, ktoré sme zistili pri práci so zákazníkmi a bezpecnostnými odborníkmi iných priemyselných odvetví je, že 95 percent všetkých bezpecnostných problémov je spôsobených nesprávnou konfiguráciou,“ hovorí Lipner. „Svedcí o tom to, že je celkovo príliš zložité nakonfigurovat prostredie alebo server na zabezpecenie.“

Ako súcast iniciatívy Spolahlivý výpoctový priemysel (Trustworthy Computing) spolocnost Microsoft skúma spôsoby zjednodušenia skúseností s konfigurovaním a prostredím Windows na zabezpecenie. Spolocnost plánuje koncom roka predstavit nový Prostriedok pre konfiguráciu zabezpecenia (Security Configuration Wizard) pre Windows Server 2003. Bezpecnostné nastavenia pre rôzne servery sa budú znacne odlišovat, a to v závislosti od potrieb zákazníka a úlohy (databázový server, webový server, aplikacný server, doménový správca Aktívneho adresára, atd.), ktorú bude každý server zohrávat v prostredí zákazníka.

Spolocnost Microsoft vybudovala vedomostnú základnu najlepších postupov súvisiacich so spôsobom rozmiestnovania serverov podla úlohy a vytvorila wizard, ktorý kladie osobe umiestnujúcej daný server niekolko jednoduchých otázok v súvislosti s prostredím. Na základe odpovedí na tieto otázky wizard automaticky nakonfiguruje server na optimálny bezpecnostný stav.

Naproti tomu, po predstavení Windows 2000 Server sa zverejnilo niekolko smerníc, ktoré mali pomôct administrátorom pri konfigurácii serverov. Administrátori bežne dostali pokyny, ktoré mohli mat velkost telefónneho zoznamu a casom ich prešli, aby zistili, ako nakonfigurovat server na zabezpecenie. Prostriedok pre konfiguráciu zabezpecenia pre Windows Server 2003 dáva dohromady všetky poznatky a najlepšie praktiky a vytvára z nich nástroj, ktorý automatizuje spôsob, akým môžu administrátori konfigurovat daný server.

„Existuje vela rôznych tlacidiel, s ktorými sa môžete hrat a ktoré majú dopad na bezpecnost,“ hovorí Lipner. „Chceme co možno najviac ulahcit administrátorovi konfiguráciu každého servera na najlepšej bezpecnostnej úrovni pre jeho úlohu.“

Zákazníci sú viac chránení

Podla Lipnera je najväcším prínosom pre zákazníkov, ktorí umiestnujú Windows Server 2003, skutocnost, že strávia menej casu obavami o bezpecnost a opravu. Nový softvér servera prináša zákazníkom úžitok troma klúcovými spôsobmi: zjednodušuje celkový proces riadenia bezpecnosti, zdokonaluje riadenie identifikácie a prístupu a umožnuje bezpecný prístup do viacerých sietí.

1. Spolocnost Microsoft zjednodušila celkový proces riadenia bezpecnosti znížením poctu náchylností na poruchy vo Windows Server 2003. Prostriedok pre konfiguráciu zabezpecenia veci ešte viac zjednoduší. Zákazníci však budú musiet niekedy vykonat opravy. Cielom spolocnosti Microsoft je, co najviac ulahcit zákazníkom vykonávanie opráv a zníženie poctu opráv, ak je to potrebné u zdrojov, ako sú Windows Update a Software Update Services.

2. Pri Windows Server 2003 spolocnost Microsoft zjednodušila spôsob, akým administrátori narábajú s údajmi o totožnosti užívatela, spôsob autentifikácie takýchto údajov systémom a spôsob riadenia zo strany administrátorov toho, k comu môžu takíto užívatelia získat prístup. Realizuje sa to množstvom doplnkov k službe Aktívneho adresára (AD), cím sa zjednodušuje umiestnovanie a umožnujú sa bezpecnostné vlastnosti ako krížové overenie, ktoré umožnuje dve rôzne prostredia AD v rámci rozsiahlych organizácií tak, aby si vzájomne „dôverovali“. Po vybudovaní dôvery môžu mat užívatelia z jedného prostredia AD prístup do zdroja zabezpeceného v inom prostredí AD, pricom sa nevyžaduje žiadne zdvojenie totožností.

Windows Server 2003 umožnuje zákazníkom využívat autorizáciu na základe úlohy v rámci aplikácií. Zákazníkom to zjednoduší proces riadenia, ktorí užívatelia majú prístup ku ktorým aplikáciám a v akom rozsahu. Napríklad, zákazník môže mat predvolenú vstupnú aplikáciu a môže definovat dve samostatné úlohy pre obchodných zástupcov a obchodných manažérov. Obchodný zástupca môže zadat obchodnú objednávku, ale nic viac. Obchodný manažér však môže zadat obchodnú objednávku, preskúmat a schválit obchodné objednávky, ktoré zadali iní, a zhromaždit údaje v súvislosti s predajom tak, ako je potrebné.

3. Windows Server 2003 má množstvo nových schopností, ktoré umožnujú zákazníkom bezpecný prístup do rôznych sietí bez ohladu na to, ci sú to drôtové, bezdrôtové alebo vzdialené VPN siete. Doplnením vlastností, ako je PEAP, spolocnost Microsoft vytvorila prostredie, v ktorom si prístup do bezdrôtovej siete vyžaduje, aby sa užívatel autentifikoval pre bod prístupu. Toto je možné realizovat pomocou užívatelského mena a hesla alebo digitálneho certifikátu, ktorý môže byt zaslaný do ich zariadenia automaticky a zostáva bez opravy z perspektívy koncového užívatela. Znižuje sa tak riziko, že niekto mimo spolocnosti sa dostane do bezdrôtovej siete a získa prístup k citlivým zdrojom.

Zablokovanie brány

Vývojoví pracovníci Windows sa taktiež usilovali znížit pretrvávajúce vážne bezpecnostné problémy, ktoré sa objavili v súvislosti so skoršími verziami internetových informacných služieb (IIS) a preteceniami zásobníkov (bufferov) v produkte.

„V skutocnosti sme pri IIS urobili krok spät a úplne sme ich preprojektovali,“ hovorí Stephenson. “ Je to úplne nové, ale dbali sme tiež na to, aby sme ulahcili presun stránok pamäti.“

Súcastou takéhoto úsilia bolo aj to, že vývojoví pracovníci vytvorili izolovaný model webovej aplikácie pre IIS. Každá webová aplikácia, ktorá je spustená na webovom serveri, môže sa úcinne premiestnit do vlastného izolovaného procesu, ktorý bráni jednej aplikácii, aby rušila druhú. Ak je daná aplikácia nejakým spôsobom ohrozená, neexistuje žiadne riziko, že preruší ostatné aplikácie alebo služby, ktoré sú spustené na webovom serveri.

Na realizáciu vyššie uvedeného spolocnost Microsoft vytvorila Windows Server 2003 tak, aby využíval výhody dvoch nových služobných kont vo Windows XP – miestneho služobného konta a sietového služobného konta. Spôsob, ktorý si mnohí zákazníci volia pre nastavenie Windows 2000 Server, ak sa niekto dostal do systému cez IIS a ohrozil aplikáciu, je, že by mali prístup ku všetkému na serveri a ku všetkému, k comu by malo prístup prostredníctvom siete služobné konto. Windows Server 2003 používa dve nové služobné kontá tak, že všetko, co je spustené v rámci IIS, je spustené na sietovom služobnom konte. Aplikácia dokáže komunikovat s inými službami na sieti a v rámci vlastného procesu, ale ak je ohrozená, potom nebude schopná prevziat celý server.

Množstvo dalších služieb je taktiež spustených s nižšími privilégiami. Napríklad užívatel, ktorý vstupuje prostredníctvom Telnetu, mával prístup ku všetkému, co sa nachádzalo na užívatelskom konte na lokálnom systéme, ako aj na sieti. Takže v prípade, že došlo k ohrozeniu Telnetového pripojenia, zvýšilo by sa bezpecnostné riziko. Pri Windows Sever 2003 pracuje Telnet ako konto lokálneho systému, pricom poskytuje užívatelovi prístup iba k takémuto miestnemu zariadeniu.

Pretecenia zásobníkov boli pretrvávajúcim problémom daného odvetvia, ktorý chcela spolocnost Microsoft vyriešit prostredníctvom Windows Server 2003. Zásobníky sa používajú rôznymi spôsobmi na riadenie dát, ale ak množstvo dát zapísaných do zásobníka prekracuje jeho kapacitu, vzniká pretecenie a dalšie dáta navyše môžu spôsobit, že program zlyhá alebo spustí nepriatelský kód útocníka. Z bezpecnostného hladiska je to závažný problém, nakolko zlomyselní pocítacoví piráti môžu zneužit pretecenia zásobníkov pripojením vykonatelných pokynov na koniec dát a spustením takéhoto kódu.

Spolocnost Microsoft má dva klúcové nástroje, ktoré používa na zistovanie pretecení zásobníkov pocas vývoja. Jeden sa nazýva PreFix – silný nástroj, ktorý sa spúšta každých niekolko týždnov po celom kódovom základe Windows a automaticky zablokuje pre zásahy užívatelov cokolvek, co sa javí ako pretecenie zásobníka. Další nástroj PreFast beží na princípe program-za-programom a je pri zistovaní pretecení zásobníkov velmi úcinný.

Windows Server 2003 zahrna aj nové prostredie pre zápis aplikácii – Rámec NET. Jednou jeho súcastou je Common Language Runtime (CLR), ktorý ulahcuje vývojovým pracovníkom zapisovat aplikácie bez toho, aby sa museli obávat o mnohé spolocné bezpecnostné chyby, ako sú pretecenia zásobníkov.

Pri tvorbe Windows Server 2003 vývojoví pracovníci spolocnosti Microsoft nahradili množstvo kódov bezpecnejšími formami. Problémom pretecenia zásobníkov je podla Lipnera to, že úcinných spôsobov zápisu pretecení zásobníkov je rovnako ako spôsobov zápisu pocítacových programov nekonecné množstvo.

„Neexistuje žiadna kúzelná palicka, ktorou by ste mohli nechat zmiznút všetky pretecenia zásobníkov,“ hovorí Stephenson. Spolocnost Microsoft skombinovala školenia, nové postupy kódovania, nástroje a kompilátory v úsilí odstránit pretecenia zásobníkov z Windows Server 2003.

„Vieme, že sme nedosiahli dokonalost,“ hovorí Lipner. „Softvér vytvárajú ludia, takže dokonalost nie je možná, ale vieme, že sme výrazne znížili pravdepodobnost pretecení zásobníkov prostredníctvom všetkých týchto opatrení.“

Certifikácia na základe spolocných kritérií

Tak ako Windows 2000, aj Windows Server 2003 sa bude posudzovat z hladiska Certifikácie na základe spolocných kritérií (Common Criteria Certification), co je medzinárodne uznávané hodnotenie bezpecnostných vlastností, ako aj procesu vývoja a testovania súvisiaceho s produktmi informacných technológií. K certifikácii dôjde až po tom, ako dôkladný hodnotiaci proces potvrdí, že v produkte bol implementovaný uznávaný súbor bezpecnostných vlastností. Produktová dokumentácia a testovanie musia taktiež splnat súbor medzinárodných noriem. Certifikáciu na základe spolocných kritérií uznáva 18 krajín ako normu pre kvalitu bezpecnosti, ktorá poskytuje zákazníkom užitocné informácie o produktoch, ktoré môžu naplnat ich bezpecnostné potreby.

Windows 2000, ktorý nedávno získal certifikáciu po takmer dvojrocnom procese, bol ohodnotený najširšou škálou scenárov skutocného sveta spomedzi akýchkolvek produktov informacných technológií, ktoré prešli Certifikáciou na základe spolocných kritérií a vyššou úrovnou certifikácie, než akýkolvek softvér na všeobecné úcely, aký sa kedy hodnotil.

Certifikáciu vykonáva spolocnost National Information Assurance Partnership (NIAP), ktorú v Spojených štátoch prevádzkuje National Institute of Standards and Technology (NIST) a National Security Agency (NSA). NIAP je clenom Organizácie pre spolocné kritériá so sídlom v USA, ktorá je medzinárodným orgánom.

Umožnenie bezpecného výpoctového priemyslu kdekolvek na svete

Ked sa podarilo zapísat bezpecnostný kód, spolocnost Microsoft napísala doslova knihu. Kniha sa používala ako pomôcka pri školení vývojových pracovníkov pocas 10-týždnovej minulorocnej stáže. Knihu „Zápis bezpecnostného kódu“ autorov Michaela Howarda a Davida LeBlanca vydala spolocnosti Microsoft Press.

„Mohli by sme vytvorit najbezpecnejší operacný systém na svete, ale ak by nezávislí softvéroví predajcovia a vývojoví pracovníci zaoberajúci sa aplikáciami nezapisovali bezpecnostné kódy, potom by mal zákazník rovnakú skúsenost, ako v prípade nezabezpeceného operacného systému,“ hovorí Stephenson. „Chceme sa podelit o naše skúsenosti nielen s našimi partnermi, ale aj s našimi konkurentmi. Dúfame, že oni tak urobia tiež. Je dobrá myšlienka pre celý tento priemysel.“

Poslaním spolocnosti Microsoft je umožnit všetkým ludom a spolocnostiam na celom svete naplno využit ich potenciál. Kdekolvek ludia pracujú, ucia sa alebo sa hrajú, usiluje sa o ulahcenie ich života prostredníctvom informacných technológií na najvyššej svetovej úrovni, ktoré sú lokalizované alebo prispôsobené slovenskému trhu. Microsoft prispieva aj k skvalitneniu vzdelania, informacných technológií a pocítacovej gramotnosti a tým aj ku konkurencieschopnosti našich firiem a ulahceniu integrácie Slovenska do štruktúr EÚ.