Bu yazıda Microsoft’un yeni sunucu işletim sistemi Windows Server 2008 R2’nin temel güvenlik özellikleri incelenmiştir. Bu kapsamda sanallaştırma, kimlik yönetimi, web, depolama ve Windows 7 ile beraber kullanım konuları ele alınmıştır.
Microsoft’un yeni sunucu işletim sistemi Windows Server 2008 R2, 22 Ekim tarihinde yayınlandı. Kullanıcı bilgisayarları işletim sistemi versiyonu olarak Windows 7 ile uyumlu çalışabilen bu yeni işletim sistemi, Microsoft tarafından yayınlanan ilk sadece-64-bit çalışan işletim sistemi olarak yayınlandı. Bu yeni versiyonla beraber IIS 7.5 da yayınlanmış oldu. Şimdi Windows Server 2008 R2 ile birlikte gelen bazı önemli güvenlik özelliklerini konu bazında inceleyelim.
Sanallaştırma
Operasyonel güç ve güç tüketimini azaltmak amacıyla sunulan sanallaştırma teknolojisinde Windows Server 2008 R2 ile birlikte gelen yeni güvenlik özelliklerinden başlayalım. Tek başına kullanıldığında Hyper-V ile sunucu sanallaştırması gerçekleştirilirken, Virtual Desktop Infrastructure (VDI) ile beraber kullanıldığında hem sunucu hem istemci bilgisayar sanallaştırması gerçekleştirilebilmekte.
Uzak bağlantı servisinin RemoteApp’siyle sağlanan Presentation Virtualization teknolojisiyle de proseslerin I/O ve grafiklerden izole edilmesi ve bir uygulamanın bir lokasyondan çalıştırılıp başka bir lokasyondan kontrol edilmesi mümkün. Bu yeni işletim sistemiyle sanal datacenter’lar için güvenliğin en önemli parametrelerinden olan sürekliliğin arttırılması ve iyileştirilmesi planlanmış. Windows Server 2008 R2 ile birlikte gelen Hyper-V’deki geliştirilmiş Live Migration özelliğiyle, herhangi bir hizmetin çalışması kesilmeksizin sanal bir makinayı başka bir sanal makinaya aktarmak mümkün.
Kimlik Yönetimi
Windows Server 2008 R2 işletim sistemiyle kimlik yönetimi anlamında Active Directory Domain Services (ADDS) ve Active Directory Federated Services (ADFS) sunucu rollerinde önemli iyileştirmeler yapılmıştır. Bu yeni versiyonla beraber yeni bir forest functional level da tanımlanmış olup pek çok yeni özellik bu yeni functional level’ın olmasını zorunlu tutmaktadır.
Bunun yanı sıra aktif dizin sunucu rollerini tam anlamıyla yönetebilmek amacıyla PowerShell komutları geliştirilmiştir. Ayrıca aktif dizin sunucu rollerini izleme ve yönetebilme amacıyla System Center Manager 2007 Management Pack güncellenmiştir.
Güncellenmiş R2 forest functional level kullanımıyla beraber, silinmiş objelerin geri dönüşümünü sağlamak amacıyla geri dönüşüm kutusu özelliği gelmiştir. Böylece aktif dizinden bir obje yanlışlıkla silindiğinde geri dönüşüm kutusunu kullanarak bu objeyi geri yüklemek artık mümkün.
Artık etki alanına dahil edilecek bilgisayarların, ağa bağlı olmadan etki alanına dahil edilmeleri de offline domain join özelliği sayesinde mümkün. Böylece etki alanına dahil etme işi tamamen otomatize olacak. Domain adminlerin sadece bir XML dosyası hazırlamaları yeterli.
Servis hesaplarıyla ilgili Windows Server 2008 R2 işletim sisteminin getirdiği yenilik olarak şu söylenebilir: Herhangi bir servis hesabının şifresi değiştiğinde, managed servide account özelliği otomatik olarak o servis hesabını kullanan tüm servislerin şifrelerini güncelliyor.
Federated etki alanlarında kimlik doğrulaması yapan hesaplar için kimlik doğrulama politikalarını inşa edebilen ve ADFS’nin içerdiği yeni bir özellik olan authentication assurance ile akıllı kartlar gibi gelişmiş kimlik doğrulama senaryoları kurmak mümkün.
Web
Windows Server 2008 R2 işletim sistemiyle beraber IIS 7.5 versiyonu da yayınlandı. Artık Windows PowerShell Provider for IIS kullanarak IIS ile ilgili yönetimsel görevleri ve IIS konfigürasyonu yapmak mümkün.
IIS 7.5 ile yeni gelen Configuration Logging özelliği ile gelişmiş IIS değişiklikleri ve uygulama konfigürasyonu denetimi yapmak, böylece test ve üretim ortamındaki konfigürasyon değişikliklerini izleyebilmek mümkün kılınıyor. Bu özellik sayesinde hem okuma hem yazmaları, logon girişimlerini ve dosya oluşturma işlemlerini loglayabilmek mümkün.
Her IIS 7.5 application pool’u artık tek ve daha az haklara sahip kimliklerle çalışacak. Bu özellik sayesinde de uygulamaların ve servislerin güvenlik özelliklerini sıkılaştırmak mümkün olacak.
Depolama
Windows Server 2008 R2 işletim sistemiyle beraber depolama çözümleriyle ilgili performans, süreklilik ve yönetilebilirlik açısından pek çok iyileştirme sunulmuştur. R2 sayesinde artık depolama ortamına daha az işlemci tüketimiyle ve wire speed ile (teorik olarak kablonun ya da diğer iletim ortamlarının sağladığı maksimum veri aktarım hızı) erişebilmek mümkün. Ayrıca artık depolama alanınıza 32’ye kadar farklı yolu tanımlayıp yük dengelemesi politikaları ile depolama çözümünüzün performansını optimize edebiliyorsunuz.
Eğer sunucularınız ve depolama alanınız arasında birden fazla yol varsa ve eğer birincil yolun kullanılması başarısız oluyorsa, Windows Server 2008 R2 işletim sistemi alternatif bir yolu kullanabilir. Ayrıca yük dengeleme politikalarını konfigüre ederek failover priority de belirlenebiliyor.
Bunun yanı sıra R2, depolamayla ilgili konfigürasyon snapshotlarını alabilmenizi ve konfigürasyon değişikliğinde herhangi bir sorunla karşılaştığınızda mevcut snapshotlardan geri dönüş yapabilmenizi sağlıyor, böylece depolama sürekliliği anlamında önemli bir adım atmış oluyor.
Ayrıca bir diski hatalara karşı aramak için kullanılan ya da bilgisayarı düzgün kapatmadığımızda devreye giren Chkdsk’nin performansı, R2’de işletim sisteminin daha hızlı ayağa kalkmasını sağlayacak şekilde optimize edilmiş.
Windows 7 ile Beraber Kullanım
Windows Server 2008 R2 işletim sisteminin, Windows 7’yi kullanan istemci bilgisayarına özgü pek çok özelliği de bulunmakta. Sadece ve sadece Windows Server 2008 R2 ve Windows 7’nin beraber kullanılmasıyla gelen bazı güvenlik özelliklerini aşağıda sıralıyorum:
-
DirectAccess özelliği sayesinde basitleştirilmiş uzak bağlantı
-
Presentation Virtualization özelliğini kullanarak daha güvenli uzak bağlantı
-
BranchCache özelliği sayesinde uzak ofisler için iyileştirilmiş performans
-
Agile VPN özelliği sayesinde siteler arası daha yüksek hata toleranslı bağlantılar
-
Bitlocker To Go şifreleme özelliği sayesinde çıkarılabilir sürücüler için geliştirilmiş koruma
-
Offline Folders özelliği sayesinde mobil kullanıcılar için geliştirilmiş veri kaybı engellemesi
Bu konuda daha detaylı bilgi için Windows 7 İşletim Sistemi Güvenlik Özellikleri-1 isimli makaleme bakabilirsiniz.
Sonuç
Windows 7 işletim sistemiyle beraber gelen ve yalnızca R2 ile birlikte çalışabilen güvenlik özelliklerini de göz önünde bulundurarak, istemci ve sunucu olarak Windows işletim sistemleri kullanan askeri, kamu ya da özel tüm kurumların, ortamlarında bulunan sunucuları Windows Server 2008 R2’ye ve paralelinde de istemcileri Windows 7’ye geçirmeleri, yakın gelecekte ciddi şekilde düşünmeleri gereken bir ihtiyaç olarak göze çarpmaktadır.