ОСЬ НЕ ДЛЯ ВСЕХ - Microsoft Windows Server 2003

Андрей "Дронич" Михайлюк

Спецвыпуск Xakep, номер #029, стр. 029-100-2

УГАДАЙТЕ, ЧТО ЗА ХРЕН?

Но снова к делу, ось-то вроде как серверная. Одним из козырей, который Гейтс вовремя достал из рукава, оказалась скорость. На достаточно солидной машине (что-то вроде восьмипневого монстра с RAID'ом и двумя гигами памяти на борту) и файловый, и веб-сервера из стандартного набора работают как минимум вдвое быстрей старика винтукея. То есть опять работает система "второй линеечки". Как, ты не знаешь, что такое вторая линеечка? Это когда вместе с диском ХР ты покупаешь еще 256 метров памяти и получаешь зверскую производительность, роняющую в нокаут старика-винтукея. Не, про нокаут как-то нехорошо получилось :). Просто круче и быстрее, вот и все.

Самым важным достижением системы как сервера считается включенный в поставку пятый IIS. Мало того, что в нем теперь можно стартовать процессы с правами любого пользователя (напомню, что раньше процесс, запущенный под командованием IIS, имел неограниченные права, что выделяло нам большой простор для эксплойтинга), так он еще и выключен в дефолтовых настройках :). А правда, на фига тебе IIS? Ты сначала с виндой разберись :))).

В Server до кучи добавлена поддержка CLR (common language runtime), дабы кривые руки кодера гестбуки не роняли на хрен весь сайт. То есть от ошибки одного программера вся система стопудово не гикнется. Наверно :).

Поражает забота MS о тупых админах. Теперь все службы, которые можно было отключить по дефолту, отключили. А те, которые отключить никак не удавалось, просто ограничили в правах. В принципе, такой переход к закрытой политике ресурсов может только радовать. Взять хотя бы одну неприятную мелочь - вход юзера с пустым паролем возможен только локально. Вот тебе и гикнулись любимые шары :(.

Уж не знаю, связано ли это с бумом ворчокинга (кстати, недавно видел хитрых ребят с банкой и ноутом около родного института :), хорошо что у нас нет беспроводных сетей), но в Server внедрен новый протокол 802.1x, взломать шифр которого не так просто, как банальный WEP. Плюс к этому ключ нельзя перехватить даже во время аутентификации - протокол, по которому юзер эстеблишет соединение, тоже закодирован :(. Ну что за западло?

Никуда не делась и тенденция внедрять мастера всюду, куда их только можно внедрить. Мог ли ты подумать лет пять-шесть назад, что админ пусть небольшого, локального, но сервака будет конфигурить его при помощи "Configure Your Server Wizard"? Мне вот такое не могло присниться и в страшном сне. Однако мастера есть, они помогают прописать DNS, DHCP и AD, а заодно и выбрать роль сервера в сети. Может быть, для файл-серверов локальных сеток это не так уж и плохо...

Еще одна беда, свалившаяся на нашу голову, это встроенный механизм работы со смарт-картами. Смарт-карта сама по себе является врагом любого кулхацкера. Ну представь себе - хардварный пассворд, без которого учетная запись юзера просто не активируется. Об удаленном доступе нет и речи. И ладно бы это была защита типа сканера отпечатков пальцев, который сидит в системе как USB-устройство, а значит, может быть отключен. Ни фига, смарт-ридер интегрирован в мать, смарт-аутентификация интегрирована в систему, круг замкнулся вокруг запястий незадачливого хацкера. Даже обидно как-то...