Το Metro τείχος προστασίας!
Όλες αυτές οι αλλαγές που φέρνει το Metro στην
καθημερινότητά μας δε θα μπορούσαν να μην έχουν αντίκτυπο και στην ασφάλεια.
Στο κομμάτι της ασφάλειας λοιπόν σήμερα θα εξετάσουμε τις νέες δυνατότητες του Windows Firewall και
μια μικρή συμβουλή για να εκμεταλλευτούμε στο έπακρο το Active Directory στο
τέλος του άρθρου.
Ως διαχειριστές καθημερινά έχουμε να αντιμετωπίσουμε την
παραμετροποίηση του τείχους προστασίας σε ολόκληρο το Domain.
Μέχρι τώρα τα πράγματα ήταν σχετικά απλά ,με μόνο δυο
πραγματικές επιλογές για μια εφαρμογή, μια πόρτα TCP ή μια
σύνδεση με έναν υπολογιστή ή χρήστη. Ναι και όχι.
Με το συνδυασμό κάποιων χαρακτηριστικών μπορούσαμε να παράγουμε
και ένα καλύτερο αποτέλεσμα όμως το Ναι/Όχι παρέμενε πεισματικά.
Οι νέες Metro εφαρμογές όμως είναι εμπλουτισμένες με νέες δυνατότητες τις οποίες
μπορούν να ορίσουν οι προγραμματιστές στην εφαρμογή τους.
Για παράδειγμα ένας προγραμματιστής
μπορεί να επιλέξει το επίπεδο στο οποίο θέλει η εφαρμογή του να επικοινωνεί. Με
αυτόν τον τρόπο η εφαρμογή αποκτά την απαραίτητη πρόσβαση σε συγκεκριμένα
κομμάτια του δικτύου. Τα επίπεδα αυτά χωρίζονται σε τέσσερα τμήματα:
Παρέχει πρόσβαση στο δίκτυο το οποίο ο χρήστης έχει επιλέξει
ως οικιακό ή εργασίας αν ανιχνεύτηκε Domain Controller από τα Windows. Η πρόσβαση σε σημαντικές πόρτες
είναι απενεργοποιημένη.
Παρέχει εξερχόμενη πρόσβαση στο Internet όταν ο
χρήστης είναι συνδεδεμένος σε δίκτυα που αναγνωρίστηκαν ως Δημόσια (Public)
Παρέχει εισερχόμενη και εξερχόμενη πρόσβαση στο Internet όταν
ο χρήστης είναι συνδεδεμένος σε δημόσια δίκτυα. Η πρόσβαση σε σημαντικές πόρτες
είναι απενεργοποιημένη.
Δίκτυα Proximity θεωρούνται τα δίκτυα Near Field Communication (NFC)
,κάτι σαν το Bluetooth ή το RFID.
Σε αυτό το δίκτυο μπορεί η εφαρμογή να επικοινωνήσει με την άλλη ελεύθερα.
Εκτός όμως από τα δίκτυα υπάρχουν και δυνατότητες ή απαιτήσεις των εφαρμογών στο θέμα της πρόσβασης.
- Document Library Access
Το οποίο παρέχει την απαραίτητη πρόσβαση στην εφαρμογή να προσθέσει , να αλλάξει ή να διαγράψει έγγραφα ,οι τύποι των οποίων περιγράφονται στον κώδικα της εφαρμογής. Η εφαρμογή δεν έχει πρόσβαση όμως σε δίκτυα HomeGroup.
- Picture Library Access
Το οποίο παρέχει την απαραίτητη πρόσβαση στην εφαρμογή να προσθέσει , να αλλάξει ή να διαγράψει εικόνες ,οι τύποι των οποίων περιγράφονται στον κώδικα της εφαρμογής. Εδώ η εφαρμογή έχει πρόσβαση σε δίκτυα HomeGroup και σε Media Servers.
- Video Library Access
Το οποίο παρέχει την απαραίτητη πρόσβαση στην εφαρμογή να προσθέσει , να αλλάξει ή να διαγράψει βίντεο ,οι τύποι των οποίων περιγράφονται στον κώδικα της εφαρμογής. Εδώ η εφαρμογή έχει πρόσβαση σε δίκτυα HomeGroup και σε Media Servers.
- Music Library Access
Το οποίο παρέχει την απαραίτητη πρόσβαση στην εφαρμογή να προσθέσει , να αλλάξει ή να διαγράψει αρχεία μουσικής ,οι τύποι των οποίων περιγράφονται στον κώδικα της εφαρμογής. Εδώ η εφαρμογή έχει πρόσβαση σε δίκτυα HomeGroup και σε Media Servers.
- Default Windows Credentials
Το οποίο παρέχει στην εφαρμογή τη δυνατότητα να συνδεθεί στο δίκτυο με την ταυτότητα του χρήστη σας.
- Removable Storage
Το οποίο παρέχει στην εφαρμογή τη δυνατότητα να προσθέσει,να αλλάξει ή να σβήσει αρχεία από αφαιρούμενα μέσα αποθήκευσης όπως τα USB Stick.
- Shared User Certificates
Το οποίο παρέχει στην εφαρμογή τη δυνατότητα πρόσβασης στα πιστοποιητικά του χρήστη όπως για παράδειγμα πιστοποιητικά που παρέχουν οι τράπεζες.
- Location
Το οποίο παρέχει στην εφαρμογή τη δυνατότητα να προσδιορίσει τη γεωγραφική θέση του χρήστη.
- Microphone
Το οποίο παρέχει στην εφαρμογή τη δυνατότητα πρόσβασης στο μικρόφωνο του υπολογιστή σας.
- Near Field Proximity
Το οποίο παρέχει στην εφαρμογή τη δυνατότητα πρόσβασης σε συσκευές NFC
- Τext Messaging
Το οποίο παρέχει στην εφαρμογή τη δυνατότητα ανταλλαγής σύντομων μηνυμάτων.
- WebCam
Το οποίο παρέχει στην εφαρμογή τη δυνατότητα πρόσβασης στην κάμερα του υπολογιστή σας
- Other Devices
Το οποίο παρέχει στην εφαρμογή τη δυνατότητα πρόσβασης σε άλλες συσκευές με τη χρήση GUID.
Για να μπορέσετε να παραμετροποιήσετε τις επιλογές των εφαρμογών Metro μέσα από το Τείχος Προστασίας ,φυσικά ο ενδεδειγμένος τρόπος είναι το Group Policy. Το παράδειγμα που ακολουθεί ρυθμίζει τις παραμέτρους για όλες τις Metro εφαρμογές ανεξαιρέτως στο OU που θα διαλέξουμε.
Θα πρέπει λοιπόν να δημιουργήσετε μια νέα πολιτική στο OU που θέλετε να ισχύσουν οι ρυθμίσεις και έπειτα να ανοίξετε το Computer Configuration->Windows Settings->Windows Firewall with Advanced Security
Μέσα στο Inbound ή στο Outbound ,ανάλογα με τον κανόνα που θέλετε να φτιάξετε εισερχόμενο ή εξερχόμενο, θα πρέπει να πατήσετε δεξί κλικ και New Rule. Έπειτα να διαλέξετε Custom
Στις σελίδες Program , Protocol and Ports και Scope δεν θα επιλέξουμε κάτι αφού στοχεύουμε σε όλες τις εφαρμογές και όλα τα δίκτυα και πόρτες.
Στη σελίδα Action όμως θα πρέπει να διαλέξουμε τι θέλουμε να συμβαίνει Allow για να επιτρέπουμε την πρόσβαση, Allow the connection if it is secure για να ελέγχουμε την πρόσβαση με IPSec και Block the Connection για να μην επιτρέπουμε την πρόσβαση.
Στα δίκτυα που περιγράφει το Profile δεν επιλέγουμε κάτι και τέλος δίνουμε ένα όνομα στην τελευταία σελίδα.
Αφού φτιάξαμε τον κανόνα θα τον επιλέξουμε και με δεξί κλικ και Properties θα πάμε στις ιδιότητες του κανόνα. Και έπειτα στο Tab Local Principals.
Εκεί θα διαλέξουμε το Application Package Properties για να εμφανιστούν οι δυνατότητες
Για να ισχύσει αυτός ο κανόνας μόνο στις Metro εφαρμογές και να μην αλλάξουν οι ρυθμίσεις στις κλασσικές εφαρμογές (οι εφαρμογές που δεν είναι Metro δηλώνουν όλες τις δυνατότητες και έτσι θα επηρεάζονταν από τις ρυθμίσεις)
θα πρέπει να επιλέξετε επίσης από το Tab Programs And Services το Application Packages και να διαλέξετε το Apply to application packages only
Και τώρα η το μικρό tip για το Active Directory! !!!!
Με αυτόν τον τρόπο μπορείτε να επιλέξετε ποιοι χρήστες ή ομάδες θα έχουν πρόσβαση δικτύου σε μια συγκεκριμένη εφαρμογή ή πόρτα ! απλά επιλέξτε το Local User αντί για το Application Package Properties και διαλέξτε το πρόγραμμα ή την πόρτα χωρίς να αλλάξετε την πολιτική στο Programs and Services! Μπορείτε δηλαδή να απαγορεύσετε την πρόσβαση στον Remote Desktop Server ή στην εμπορική σας εφαρμογή ανά χρήστη ή ομάδα.
Το θέμα της διαβαθμισης του Τείχους Προστασίας θα πρέπει να θεωρείται λήξαν με τον Windows Server 2012 και το Metro!
0 Comments
Recommended Comments
There are no comments to display.