Az előadás letöltése folymat van. Kérjük, várjon

Az előadás letöltése folymat van. Kérjük, várjon

Erős bástya – biztonsági újdonságok

Hasonló előadás


Az előadások a következő témára: "Erős bástya – biztonsági újdonságok"— Előadás másolata:

1 Erős bástya – biztonsági újdonságok
Gál Tamás rendszermérnök Microsoft Magyarország

2 Tartalom Ismétlés AD – Alternatív jelszó házirend BitLocker, EFS
SSTP VPN

3 Ismétlés Windows Service hardening, Session 0 izoláció, belépés-hitelesítés OS fájl védelem, eszköz/driver telepítés korlátok UAC, Windows Defender, IE7 védett mód WF with Advanced Security, IPSec Kismillió GP opció NAP Stb.

4 Tartalom Ismétlés AD – Alternatív jelszó házirend BitLocker, EFS
SSTP VPN

5 AD - Alternatív jelszóházirend
4/4/2017 2:24 PM AD - Alternatív jelszóházirend Eddig: egy tartomány = egy jelszó házirend, pedig lehetne alternatíva, igény van rá  W2K8: tetszőleges számú új jelszó- és kizárási házirend a tartományon belül Teljesen új logika szerint Nem egy új opció a Csoportházirendben Kritériumok Windows Server 2008 tartományi működési szint Kliensoldalon nincs semmilyen feltétel © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

6 AD - Alternatív jelszóházirend
4/4/2017 2:24 PM AD - Alternatív jelszóházirend Csak a felhasználóknak és a globális biztonsági csoportoknak Nem alkalmazható a szervezeti egységeken is Át kell gondolni a hierarchiát Több új jelszóházirend is érvényesülhet egy adott fiókon „Precedence rules” Jelenleg kissé nehézkes kezelni De jön az FGPP Management a Beta 3-ban még nincs © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

7 Alternatív jelszóházirend demó

8 Tartalom Ismétlés AD – Alternatív jelszó házirend BitLocker, EFS
SSTP VPN

9 BitLocker Újdonságok Opcionális komponens Kötetek támogatása
Server Manager-en keresztül telepíthető Kötetek támogatása Bármelyik kötet védelme (kivéve amiről fut az OS) Külön kell (lehet) engedélyezni kötetenként Az indításakor egy „auto-unlock” és egy visszaállítási kulcsot generál Új kombináció: TPM+USB+PIN UEFI support (csak 64 biten)

10 BitLocker AD előkészítés
4/4/2017 2:24 PM BitLocker AD előkészítés Séma kiterjesztés > tárolási helyek + jogosultsági lista Minden DC minimum Windows Server 2003 SP1 W2K8 Beta 3 és felett a sémabővítés megtörtént Egy sérült Bitlocker kötet helyrerakásához kell: 48 digites visszaállítási jelszó Egy ún. „Key package data” Mindkettő szükséges minden számítógép objektum esetén Egyetlen TPM user jelszó létezik gépenként Viszont több visszaállítási jelszót is generálhatunk MICROSOFT CONFIDENTIAL © 2006 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

11 BitLocker GP opciók Alapértelmezés szerint nincs mentés az AD-ba!
A visszaállításhoz: AD 48 karakteres jelszó USB: 256 bites kulcs Recovery folder: központi megosztás a visszaállítási jelszó tárolásra

12 BitLocker Parancssorból
manage-bde.wsf ki-be kapcsolás, alapműveletek %systemdrive%\Windows\system32 Az ajánlás szerint kisebb környezetbe való BitLocker szkriptek / TPM WMI providerek Nagyobb méretekben Speciális vagy tömeges telepítésnél (unattend, ImageX, WDS, SMS 2003 OSD) Minta szkript - EnableBitLocker.vbs

13 BitLocker Egyéb eszközök (Premier ügyfeleknek)
BitLocker Drive Preparation Tool A megfelelő környezet utólagos létrehozása Szkriptelhető parancssori felület, testreszabható alkalmazás BitLocker Recovery Password Viewer for AD A címtárban tárolt jelszavak megkeresése és megtekintése Az erdőben kereshetünk vele, tartományok között is BitLocker Repair Tool Adatmentés egy sérült, titkosított kötetről A visszaállítási jelszó vagy kulcs azért ehhez is kell

14 EFS Újdonságok Smartcard támogatás
Képes tárolni a user és a visszaállítási kulcsokat Belépésnél cache-elheti a PIN-t > SSO Felhasználónkénti Offline Files titkosítás Pagefile titkosítás (csak óvatosan) Recovery: RDP-n keresztül is Varázslók minden művelethez

15 EFS házirend változások

16 EFS Remote Files Trust kapcsolat kell a delegáláshoz
Egyszerű fájlküldés SMB (2.0) protokoll Szerver A kliens kapcsolódik a szerver megosztáshoz Távoli EFS titkosítás (A szerver „megszemélyesíti” a felhasználót a kulcsokhoz és a tanúsítványhoz)

17 Tartalom Ismétlés AD – Alternatív jelszó házirend BitLocker, EFS
SSTP VPN

18 SSTP Secure Socket Tunneling Protocol – „VPN over HTTPS”
Abszolút tűzfalbarát, minden NAT / tűzfal átengedi Nem igényel extra konfigot a szerveroldalon Nem igényel extra komponenseket / beállításokat a kliensoldalon Hitelesítés a PPP rétegben > nincs újdonság Beépített NAP „health check” opció Teljesen CMAK kompatibilis (lesz), IPv6 is Csak W2K8 és Vista SP1 kompatibilis Site-to-Site VPN esetén nem használható

19


Letölteni ppt "Erős bástya – biztonsági újdonságok"

Hasonló előadás


Google Hirdetések