Όλες αυτές οι αλλαγές που φέρνει το Metro στην

καθημερινότητά μας δε θα μπορούσαν να μην έχουν αντίκτυπο και στην ασφάλεια.

Στο κομμάτι της ασφάλειας λοιπόν σήμερα θα εξετάσουμε τις νέες δυνατότητες του Windows Firewall και

μια μικρή συμβουλή για να εκμεταλλευτούμε στο έπακρο το Active Directory στο

τέλος του άρθρου.

Μέχρι τώρα τα πράγματα ήταν σχετικά απλά ,με μόνο δυο

πραγματικές επιλογές για μια εφαρμογή, μια πόρτα TCP ή μια

σύνδεση με έναν υπολογιστή ή χρήστη. Ναι και όχι.

Με το συνδυασμό κάποιων χαρακτηριστικών μπορούσαμε να παράγουμε

και ένα καλύτερο αποτέλεσμα όμως το Ναι/Όχι παρέμενε πεισματικά.

Οι νέες Metro εφαρμογές όμως είναι εμπλουτισμένες με νέες δυνατότητες τις οποίες

μπορούν να ορίσουν οι προγραμματιστές στην εφαρμογή τους.

Για παράδειγμα ένας προγραμματιστής

μπορεί να επιλέξει το επίπεδο στο οποίο θέλει η εφαρμογή του να επικοινωνεί. Με

αυτόν τον τρόπο η εφαρμογή αποκτά την απαραίτητη πρόσβαση σε συγκεκριμένα

κομμάτια του δικτύου. Τα επίπεδα αυτά χωρίζονται σε τέσσερα τμήματα:

•  

  Home/Work Network

Παρέχει πρόσβαση στο δίκτυο το οποίο ο χρήστης έχει επιλέξει

ως οικιακό ή εργασίας αν ανιχνεύτηκε Domain Controller από τα Windows. Η πρόσβαση σε σημαντικές πόρτες

είναι απενεργοποιημένη.

•  

  Internet (Client)

Παρέχει εξερχόμενη πρόσβαση στο Internet όταν ο

χρήστης είναι συνδεδεμένος σε δίκτυα που αναγνωρίστηκαν ως Δημόσια (Public)

•  

  Internet (Client & Server)

Παρέχει εισερχόμενη και εξερχόμενη πρόσβαση στο Internet όταν

ο χρήστης είναι συνδεδεμένος σε δημόσια δίκτυα. Η πρόσβαση σε σημαντικές πόρτες

είναι απενεργοποιημένη.

•  

  Proximity

Δίκτυα Proximity θεωρούνται τα δίκτυα Near Field Communication (NFC)

,κάτι σαν το Bluetooth ή το RFID.

Σε αυτό το δίκτυο μπορεί η εφαρμογή να επικοινωνήσει με την άλλη ελεύθερα.

Εκτός όμως από τα δίκτυα υπάρχουν και δυνατότητες ή απαιτήσεις των εφαρμογών στο θέμα της πρόσβασης.

• Document Library Access

Το οποίο παρέχει την απαραίτητη πρόσβαση στην εφαρμογή να προσθέσει , να αλλάξει ή να διαγράψει έγγραφα ,οι τύποι των οποίων περιγράφονται στον κώδικα της εφαρμογής. Η εφαρμογή δεν έχει πρόσβαση όμως σε δίκτυα HomeGroup.

• Picture Library Access

• Video Library Access

Το οποίο παρέχει στην εφαρμογή τη δυνατότητα να προσθέσει,να αλλάξει ή να σβήσει αρχεία από αφαιρούμενα μέσα αποθήκευσης όπως τα USB Stick.

• Shared User Certificates

Το οποίο παρέχει στην εφαρμογή τη δυνατότητα πρόσβασης στα πιστοποιητικά του χρήστη όπως για παράδειγμα πιστοποιητικά που παρέχουν οι τράπεζες.

• Location

Το οποίο παρέχει στην εφαρμογή τη δυνατότητα να προσδιορίσει τη γεωγραφική θέση του χρήστη.

• Microphone

Το οποίο παρέχει στην εφαρμογή τη δυνατότητα πρόσβασης στο μικρόφωνο του υπολογιστή σας.

• Near Field Proximity

Το οποίο παρέχει στην εφαρμογή τη δυνατότητα πρόσβασης σε συσκευές NFC

• Τext Messaging

Το οποίο παρέχει στην εφαρμογή τη δυνατότητα ανταλλαγής σύντομων μηνυμάτων.

• WebCam

Το οποίο παρέχει στην εφαρμογή τη δυνατότητα πρόσβασης στην κάμερα του υπολογιστή σας

• Other Devices

Το οποίο παρέχει στην εφαρμογή τη δυνατότητα πρόσβασης σε άλλες συσκευές με τη χρήση GUID.

Για να μπορέσετε να παραμετροποιήσετε τις επιλογές των εφαρμογών Metro μέσα από το Τείχος Προστασίας ,φυσικά ο ενδεδειγμένος τρόπος είναι το Group Policy. Το παράδειγμα που ακολουθεί ρυθμίζει τις παραμέτρους για όλες τις Metro εφαρμογές ανεξαιρέτως στο OU που θα διαλέξουμε.

Θα πρέπει λοιπόν να δημιουργήσετε μια νέα πολιτική στο OU που θέλετε να ισχύσουν οι ρυθμίσεις και έπειτα να ανοίξετε το Computer Configuration->Windows Settings->Windows Firewall with Advanced Security

Μέσα στο Inbound ή στο Outbound ,ανάλογα με τον κανόνα που θέλετε να φτιάξετε εισερχόμενο ή εξερχόμενο, θα πρέπει να πατήσετε δεξί κλικ και New Rule. Έπειτα να διαλέξετε Custom

Στις σελίδες Program , Protocol and Ports και Scope δεν θα επιλέξουμε κάτι αφού στοχεύουμε σε όλες τις εφαρμογές και όλα τα δίκτυα και πόρτες.

Στη σελίδα Action όμως θα πρέπει να διαλέξουμε τι θέλουμε να συμβαίνει Allow για να επιτρέπουμε την πρόσβαση, Allow the connection if it is secure για να ελέγχουμε την πρόσβαση με IPSec και Block the Connection για να μην επιτρέπουμε την πρόσβαση.

Στα δίκτυα που περιγράφει το Profile δεν επιλέγουμε κάτι και τέλος δίνουμε ένα όνομα στην τελευταία σελίδα.

Αφού φτιάξαμε τον κανόνα θα τον επιλέξουμε και με δεξί κλικ και Properties θα πάμε στις ιδιότητες του κανόνα. Και έπειτα στο Tab Local Principals.

Εκεί θα διαλέξουμε το Application Package Properties για να εμφανιστούν οι δυνατότητες

Για να ισχύσει αυτός ο κανόνας μόνο στις Metro εφαρμογές και να μην αλλάξουν οι ρυθμίσεις στις κλασσικές εφαρμογές  (οι εφαρμογές που δεν είναι Metro δηλώνουν όλες τις δυνατότητες και έτσι θα επηρεάζονταν από τις ρυθμίσεις)

θα πρέπει να επιλέξετε επίσης από το Tab Programs And Services το Application Packages και να διαλέξετε το Apply to application packages only

Και τώρα η το μικρό tip για το Active Directory! !!!!

Με αυτόν τον τρόπο μπορείτε να επιλέξετε ποιοι χρήστες ή ομάδες θα έχουν πρόσβαση δικτύου σε μια συγκεκριμένη εφαρμογή ή πόρτα ! απλά επιλέξτε το Local User αντί για το Application Package Properties και διαλέξτε το πρόγραμμα ή την πόρτα χωρίς να αλλάξετε την πολιτική στο Programs and Services! Μπορείτε δηλαδή να απαγορεύσετε την πρόσβαση στον Remote Desktop Server ή στην εμπορική σας εφαρμογή ανά χρήστη ή ομάδα.

Το θέμα της διαβαθμισης του Τείχους Προστασίας θα πρέπει να θεωρείται λήξαν με τον Windows Server 2012 και το Metro!