Az előadás letöltése folymat van. Kérjük, várjon

Az előadás letöltése folymat van. Kérjük, várjon

Ismétlés AD – Alternatív jelszó házirend BitLocker, EFS SSTP VPN.

Hasonló előadás


Az előadások a következő témára: "Ismétlés AD – Alternatív jelszó házirend BitLocker, EFS SSTP VPN."— Előadás másolata:

1

2 Ismétlés AD – Alternatív jelszó házirend BitLocker, EFS SSTP VPN

3 Windows Service hardening, Session 0 izoláció, belépés-hitelesítés OS fájl védelem, eszköz/driver telepítés korlátok UAC, Windows Defender, IE7 védett mód WF with Advanced Security, IPSec Kismillió GP opció NAPStb.

4 Ismétlés AD – Alternatív jelszó házirend BitLocker, EFS SSTP VPN

5 Eddig: egy tartomány = egy jelszó házirend, pedig lehetne alternatíva, igény van rá Eddig: egy tartomány = egy jelszó házirend, pedig lehetne alternatíva, igény van rá W2K8: tetszőleges számú új jelszó- és kizárási házirend a tartományon belül Teljesen új logika szerint Nem egy új opció a Csoportházirendben Kritériumok Windows Server 2008 tartományi működési szint Kliensoldalon nincs semmilyen feltétel

6 Csak a felhasználóknak és a globális biztonsági csoportoknak Nem alkalmazható a szervezeti egységeken is Át kell gondolni a hierarchiát Több új jelszóházirend is érvényesülhet egy adott fiókon „Precedence rules” Jelenleg kissé nehézkes kezelni De jön az FGPP Management a Beta 3-ban még nincs

7

8 Ismétlés AD – Alternatív jelszó házirend BitLocker, EFS SSTP VPN

9 Opcionális komponens Server Manager-en keresztül telepíthető Kötetek támogatása Bármelyik kötet védelme (kivéve amiről fut az OS) Külön kell (lehet) engedélyezni kötetenként Az indításakor egy „auto-unlock” és egy visszaállítási kulcsot generál Új kombináció: TPM+USB+PIN UEFI support (csak 64 biten)

10 Séma kiterjesztés > tárolási helyek + jogosultsági lista Minden DC minimum Windows Server 2003 SP1 W2K8 Beta 3 és felett a sémabővítés megtörtént Egy sérült Bitlocker kötet helyrerakásához kell: 48 digites visszaállítási jelszó Egy ún. „Key package data” Mindkettő szükséges minden számítógép objektum esetén Egyetlen TPM user jelszó létezik gépenként Viszont több visszaállítási jelszót is generálhatunk

11 Alapértelmezés szerint nincs mentés az AD-ba! A visszaállításhoz: AD 48 karakteres jelszó USB: 256 bites kulcs Recovery folder: központi megosztás a visszaállítási jelszó tárolásra

12 manage-bde.wsf ki-be kapcsolás, alapműveletek %systemdrive%\Windows\system32 Az ajánlás szerint kisebb környezetbe való BitLocker szkriptek / TPM WMI providerek Nagyobb méretekben Speciális vagy tömeges telepítésnél (unattend, ImageX, WDS, SMS 2003 OSD) Minta szkript - EnableBitLocker.vbs

13 BitLocker Drive Preparation Tool A megfelelő környezet utólagos létrehozása Szkriptelhető parancssori felület, testreszabható alkalmazás BitLocker Recovery Password Viewer for AD A címtárban tárolt jelszavak megkeresése és megtekintése Az erdőben kereshetünk vele, tartományok között is BitLocker Repair Tool Adatmentés egy sérült, titkosított kötetről A visszaállítási jelszó vagy kulcs azért ehhez is kell

14 Smartcard támogatás Képes tárolni a user és a visszaállítási kulcsokat Belépésnél cache-elheti a PIN-t > SSO Felhasználónkénti Offline Files titkosítás Pagefile titkosítás (csak óvatosan) Recovery: RDP-n keresztül is Varázslók minden művelethez

15

16 A kliens kapcsolódik a szerver megosztáshoz Szerver Egyszerű fájlküldés SMB (2.0) protokoll Távoli EFS titkosítás (A szerver „megszemélyesíti” a felhasználót a kulcsokhoz és a tanúsítványhoz) Trust kapcsolat kell a delegáláshoz

17 Ismétlés AD – Alternatív jelszó házirend BitLocker, EFS SSTP VPN

18 Abszolút tűzfalbarát, minden NAT / tűzfal átengedi Nem igényel extra konfigot a szerveroldalon Nem igényel extra komponenseket / beállításokat a kliensoldalon Hitelesítés a PPP rétegben > nincs újdonság Beépített NAP „health check” opció Teljesen CMAK kompatibilis (lesz), IPv6 is Csak W2K8 és Vista SP1 kompatibilis Site-to-Site VPN esetén nem használható

19


Letölteni ppt "Ismétlés AD – Alternatív jelszó házirend BitLocker, EFS SSTP VPN."

Hasonló előadás


Google Hirdetések