Az előadás letöltése folymat van. Kérjük, várjon

Az előadás letöltése folymat van. Kérjük, várjon

Biztonságos Windows (III. rész): Windows alapú internetes szolgáltatások biztonsága Fülöp Miklós rendszermérnök Microsoft Magyarország.

Hasonló előadás


Az előadások a következő témára: "Biztonságos Windows (III. rész): Windows alapú internetes szolgáltatások biztonsága Fülöp Miklós rendszermérnök Microsoft Magyarország."— Előadás másolata:

1 Biztonságos Windows (III. rész): Windows alapú internetes szolgáltatások biztonsága Fülöp Miklós rendszermérnök Microsoft Magyarország

2 TechNet események 2004 őszén október 13. Biztonságos Windows (II. rész): A Windows alapú hálózatok biztonsága Biztonságos Windows (II. rész): A Windows alapú hálózatok biztonsága október 27. Biztonságos Windows (III. rész): Windows internetes szolgáltatások biztonsága Biztonságos Windows (III. rész): Windows internetes szolgáltatások biztonsága november 10. Professzionális üzleti diagramok és űrlapok a Microsoft Office System-ben Professzionális üzleti diagramok és űrlapok a Microsoft Office System-ben november 24. A Microsoft virtuális gép-technológiája: Virtual Server 2005 és Virtual PC 2004 A Microsoft virtuális gép-technológiája: Virtual Server 2005 és Virtual PC szeptember 29. Biztonságos Windows (I. rész): A Windows XP biztonsága Biztonságos Windows (I. rész): A Windows XP biztonsága

3 Napirend  Vírusvédelem és spam-szűrés  Biztonságos webközzététel  Exchange Outlook Web Access  Az Exchange biztonságos távoli elérése  Outlook 2003 (MAPI) RPC over HTTP  Virtuális magánhálózatok  PPTP  L2TP over IPSec  Hálózati karantén

4 Többszintű vírusvédelem  Vezessünk be vírusvédelmi megoldásokat a hálózat minden elemi szintjén!  Munkaállomások  Otthoni internetelérés  Floppy / CD / USB eszközök  Saját levelezés  Fájlkiszolgálók  Levelezési szolgáltatások  Vállalati levelezés  SPAM-szűrés  Tűzfal  Internetes letöltés  Vírusok terjedésének megakadályozása

5 ISA Server 2004 Message Screener  SMTP forgalom alapszintű ellenőrzése vírusírtó nélkül  SMTP parancsok ellenőrzése (SMTP Filter)  Engedélyezés / tiltás, max. paraméterhossz  Message Screener telepítése nem szükséges  Levelek törlése / fenntartása / továbbítása  Kulcsszavak alapján  Feladó címe alapján  Csatolt fájl alapján  A levélkezeléshez a Message Screenert telepíteni kell  Lokálisan vagy más gépre

6 ISA Antivirus és egyéb bővítmények  Nyílt interface a külső gyártók számára  Web Filters (webes forgalom)  Application Filters (minden adatforgalom)  Partnermegoldások az ISA Server-hez  Vírusírtók  Behatolásérzékelés  Tartalomszűrés  Protokoll-szűrők és átalakítók  Felügyelet és riportok

7 Exchange vírusvédelem  VS API: Nyílt interface a vírusírtók számára  Többszintű ellenőrzés  On Access Scanning –Amikor az ügyfél hozzáférést kér a levélhez  Proactive Scanning –Beérkező / postázott üzenetek  Background Scanning –Az Exchange adatbázis vírusellenőrzése –Elsődleges felhasználási területe az üzenetek újraellenőrzése a vírusdefiníciós adatbázis frissítése esetén  Dedikált „antivirus” kiszolgáló (gateway)

8 Exchange - AntiVirus teljesítményszámlálók

9 And, here is our own internal experience (MS IT) with Exchange 2003  IMF - Of the approximately ten million messages Microsoft receives per day, we are blocking or deleting 85-90% of our inbound volumes as spam (IMF rejects about 9.5 M messages per day) The Spam Problem

10 Anti-Spam kérdések és az Exchange 2003 megoldásai  1. Honnan jött az üzenet?  Connection Filtering (IP alapú)  2. Kitől jött az üzenet?  Sender Filtering  3. Kinek szólt az üzenet?  Recipient Filtering  4. Miről szól az üzenet?  Outlook 2003  Exchange 2003 AntiSpam Infrastructure  Intelligent Message Filter

11 1. Honnan jött az üzenet? Connection Filtering - Kapcsolatszűrés  Globálisan engedélyezett és tiltott SMTP kiszolgáló IP címek  Csatlakozás 3rd party RBL (Realtime Block List) szolgáltatásokhoz  On-line DNS lekérdezés  Kombinált szabályrendszer  Engedélyezett címek  Tiltott címek  RBL  Manuálisan engedélyezni kell a virtuális SMTP kiszolgálón!

12 1. Honnan jött az üzenet? RBL nslookup  DNS lekérdezés:.  DNS lekérdezés:.  Nincs válasz: a cím nem található az adatbázisban  nem spam  Válasz: x: a cím megtalálható az adatbázisban  SPAM!

13 1. Honnan jött az üzenet? Connection Filtering beállítások

14 2. Kitől jött az üzenet? 3. Kinek szól az üzenet?

15 4. Mit tartalmaz az üzenet? Exchange AntiSpam Infrastructure  Nyílt (SMTP Sink) interface  3rd party / saját eszközök ellenőrizhetik és minősíthetik a leveleket  Spam Confidence Level (SCL) - levélparaméter  -1: belső levél (fenntartva, nem spam)  0: nem spam  1..9: a levél valószínűleg spam  Határértékek (Thresholds)  Gateway Threshold  Store Threshold  Akciók  Archiválás  Törlés  Visszautasítás

16 4. Mit tartalmaz az üzenet? Outlook 2003 / OWA 2003 funkciók  A felhasználó által definiált biztonságos / tiltott feladók listája  Megbízható feladók, Biztonságos címzettek, Letiltott feladók  Igény szerint tartalmazhatja a címjegyzéket is  „Csak megbízható feladók” üzemmód  A lista a kiszolgálón tárolódik  Azonos funkcionalitás az OWA 2003-ban is  A levélszemétbe kerülés paraméterei:  A felhasználó listái  Az üzenet SCL szintje  Ügyféloldali SmartScreen technológia  Külső webes tartalom blokkolása a levelekben

17 Intelligent Message Filter  Exchange Server 2003 bővítmény  Ingyenesen letölthető  MS Research „SmartScreen” technológia  Bayesian-jellegű mesterséges intelligencia  Hotmail felhasználók segítségével hangolva  Együttműködik  az Exchange AntiSpam infrastruktúrával  az Outlook 2003 kliensfunkcióival

18 Intelligent Message Filter Exchange 2003 Gateway Server Exchange 2003 Back-End A felhasználó postafiókja Spam? Kapcsolatszűrés Címzett szűrés Feladó szűrés Igen Nem Megbízható feladó? Letiltott feladó? Igen Nem Inbox Levél- szemét Igen Nem Intelligent Message Filter (Gateway Threshold) Intelligent Message Filter (Store Threshold)

19 Intelligent Message Filter

20 Exchange - IMF teljesítményszámlálók

21 MOM 2005 – IMF Management Pack

22 IMF Archive Manager   Funkciók:  Archivált üzenetek (fa)nézete  Dekódolt fejlécinformációk és nyers adatnézet  Üzenet újraküldése (a PickUp könyvtárba)  Üzenetek törlése  Üzenet továbbítása csatolt fájlként külső címre (riport)

23 Napirend  Vírusvédelem és spam-szűrés  Biztonságos webközzététel  Exchange Outlook Web Access  Az Exchange biztonságos távoli elérése  Outlook 2003 (MAPI) RPC over HTTP  Virtuális magánhálózatok  PPTP  L2TP over IPSec  Hálózati karantén

24 Egy ajánlott logikai felépítés  Internetes szolgáltatások izolált hálózaton  demilitarizált zóna  Exchange Server 2003 Front-End  Tanúsítványkiadó webfelülete

25 A jelenlegi demokörnyezet  Internetes szolgáltatások a vállalati hálózaton  Exchange Server 2003  Windows Server 2003 tanúsítványkiadó

26 A jelenlegi demokörnyezet Internet DCEX.MSDEMOS.HU CA.MSDEMOS.HU MAIL.MSDEMOS.HU ISA.MSDEMOS.HU ISA: ISA Server 2004 DCEX: DC, CA, IIS, Exchange 2003 Intranet CLIENT.INTERNET

27 A vállalati tanúsítványkiadó  Előnyei  Vállalaton belül explicit megbízott (Group Policy)  Tanúsítványok és CRL az Active Directory-ban és az intraneten közzétéve  Olcsó  Hátrányai  Külső felhasználók nem bíznak benne –A CA tanúsítványának letöltése és importálása szükséges  A közzétett tanúsítványok és CRL nem érhető el –Publikálni kell a CA webes felületét

28 Kiegészítő mezők a tanúsítványokban  AIA – Authority Information Access  A tanúsítványt kiadó CA tanúsítványának elérési útja  CDP – Certificate Revocation List  A tanúsítványkiadó által visszavont tanúsítványok listája  Tegyünk interneten keresztül is elérhetővé!  Állítsuk be az internetről is elérhető útvonalakat az AIA és CRL mezőkben –Még a tanúsítványok kiadása előtt!  Nem titkosított (http://) kapcsolat –Különben az ellenőrzés végtelen ciklusba kerülhet

29 Kiegészítő mezők a tanúsítványokban

30 A kiegészítő mezők módosítása

31 demó  A tanúsítványok kiegészítő mezőinek módosítása  A tanúsítványkiadó webes felületének közzététele

32 Tanúsítványok  A szükséges tanúsítványok:  Külső: mail.msdemos.hu –Hozzuk létre a belső kiszolgálón, majd vigyük át a tűzfalra –Tanúsítvány + privát kulcs (=.pfx) export / import  Belső: Intranet mail.msdemos.hu DCEX ISA

33 OWA publikálás  Az Exchange webkiszolgáló közzététele  /exchange/*  /exchweb/*  /public/*  HTTPS  Authentikációs beállítások  Basic csak HTTPS-en!  Integrált Windows  Form-Based  ISA 2004 Mail Server Publishing Wizard

34 ISA Server 2004 HTTP Filter Biztonságos HTTP(S) kommunikáció  Kimenő és bejövő forgalom is ellenőrizhető  SSL Bridging esetén a HTTPS forgalom is  Tűzfalszabályonként beállítható korlátozások  Szűrés különféle paraméterek alapján  Kérés fejléc és teljes mérete  URL hossza, karakterkészlet  Futtatható tartalom blokkolása  HTTP parancsok (Methods)  Fájlkiterjesztés  HTTP fejlécek típusa

35 ISA Server 2004 HTTP Filter Biztonságos HTTP(S) kommunikáció  Mintakeresés  a kérés URL-ben  a kérés fejlécei között  a kérés tartalmában  a válasz fejlécei között  a válasz tartalmában* *: a keresés erőforrás- igényes, adjuk meg a keresés korlátait!

36 Exchange 2003 Form Authentication  Form Authentication:  Felhasználóazonosítás HTTP form és cookie segítségével  Nincs szükség a különféle HTTP azonosítási módokra (Basic, Integrated, stb.)  HTTPS használata kötelező!

37 ISA Server 2004 OWA Form Authentication  Az Exchange Server 2003-ban megszokott cookie alapú azonosítási módszer  ISA2004 segítségével ez a fejlett azonosítási módszer Exchange 2000-es vagy akár Exchange 5.5-s környezetben is bevezethető  Előnye –Az ISA-n szabályozható az egyes biztonsági szinthez tartozó time-out érték –Az ISA-n szabályozható az egyes biztonsági szinthez tartozó attachment kezelés –Az azonosítás az ISA-n keresztül történik a legkülső rétegben (a kérés közvetlenül nem éri el az Exchange kiszolgálót!)

38 Csatolt fájlok blokkolása  Exchange Server 2003  Csatolt fájlok blokkolása  Csatolt fájlok engedélyezése (fájltípus alapján)  Csatolt fájlok csak back-end kiszolgálón  HKLM \ System \ CurrentControlSet \ Services \ MSExchangeWeb \ OWA \ DisableAttachments (DWORD) –0: csatolt fájlok engedélyezve (fájltípus alapján) –1: csatolt fájlok letiltva –2: csatolt fájlok csak back-en kiszolgálókról  ISA Form Authentikáció  Csatolt fájlok blokkolása privát gépeken  Csatolt fájlok blokkolása publikus gépeken

39 demó  Webtanúsítványok  Exchange OWA publikálás (HTTPS)  ISA 2004 (Exchange) Form Authentication

40 Napirend  Vírusvédelem és spam-szűrés  Biztonságos webközzététel  Exchange Outlook Web Access  Az Exchange biztonságos távoli elérése  Outlook 2003 (MAPI) RPC over HTTP  Virtuális magánhálózatok  PPTP  L2TP over IPSec  Hálózati karantén

41 Outlook (MAPI) RPC over HTTP  Online kapcsolat az Internet felett  MAPI protokoll HTTPS forgalomba ágyazva  Nincs szükség RAS/VPN-re  A protokoll fordítást egy Exchange 2003 Front-End végzi  Biztonságos  a MAPI forgalom SSL (128 bit) felett megy  Rendszerkövetelemények  Exchange 2003 RPC proxy (Front-End Server) - ajánlott  Külön Exchange Back-End Server - ajánlott  Legalább egy Windows Server 2003 DC a tartományban  Outlook Windows XP SP1 + hotfix # –vagy Windows XP SP2

42 Az ajánlott felépítés ISA Server 2004 Intranet Outlook 2003 Cached Mode SSL 128-bit Port 443 Dedikált SSL listener SSL bridging Web Publishing URLScan Exch. közzététel Exchange 2003 RPC proxy Windows Server 2003 Domain Contr. Exchange 2003 Backend SSL 128-bit Port 443

43 RPC over HTTP beállítási lépései  Windows 2003 RPC over HTTP Proxy komponens telepítése  Exchange Server  Back-End / Front-End beállítások  RPC Proxy beállítása (kézzel, ha 1 Exchange Server van) –IIS authentikáció –Registry (RPC portok)  ISA Server  /rpc/* útvonal engedélyezése az Exchange webkiszolgáló felé  Outlook 2003  Exchange Over the Internet dialógusablak engedélyezése (Office Resource Kit) –Custom Installation Tools –Custom Maintenance Tools  profil létrehozása / módosítása

44 Exchange over the Internet Az Outlook postafiók beállításai

45 demó  Outlook MAPI over HTTP

46 kávé- szünet

47 Napirend  Vírusvédelem és spam-szűrés  Biztonságos webközzététel  Exchange Outlook Web Access  Az Exchange biztonságos távoli elérése  Outlook 2003 (MAPI) RPC over HTTP  Virtuális magánhálózatok  PPTP  L2TP over IPSec  Hálózati karantén

48 A PKI alkalmazási területei  Bejelentkezés intelligens kártyával  Smartcard logon  Távoli hálózati bejelentkezés  RAS, VPN  Office dokumentumok digitális aláírása  Programok, kódok, makrók digitális aláírása  Authenticode  Titkosított hálózati forgalom  IPSec – titkosított és / vagy aláírt forgalom  Biztonságos webszolgáltatás (https://)  Felhasználók azonosítása is  biztonság (digitális aláírás, titkosítás)  S/MIME  Titkosított fájlok  Encrypting File System (EFS)

49 Windows VPN protokollok  PPTP (RFC 2637)  A Windows első VPN protokollja  MPPE titkosítás  Kliensek Windows 9x-től  Különösebb konfigurációt nem igényel  L2TP (RFC 2661) over IPSec  A Microsoft és a Cisco (L2F) közös fejlesztése  A Windows L2TP saját titkosítást nem tartalmaz  a titkosítást az IPSec végzi  Kliensek beépítve Windows 2000-től –W9x-hez, NT4-hez letölthető  Az IPSec miatt további konfiguráció szükséges

50 IPSec over NAT  A probléma:  a NAT módosítja a csomagfejléceket, így elrontva az ESP/AH csomagok digitális aláírását  A megoldás:  Készítsük fel az ISAKMP protokollt a NAT felismerésére  Csomagoljuk be az IPSec forgalmat UDP csomagokba  IPSec NAT-Traversal (NAT-T)  ISAKMP2 protokoll: UDP 4500  Windows XP SP2 / Windows Server 2003 / ISA 2004 –A NAT-T frissítés Windows XP SP1-hez és Windows 2000-hez letölthető  További konfigurációt nem igényel

51 Windows VPN / RAS felhasználóazonosítási protokollok  MS-CHAPv2  Felhasználónév / jelszó  EAP  PKI tanúsítvány  Smart Card ...  Egyéb protokollok  MS-CHAP  CHAP  SPAP (Shiva)  PAP (nyílt)

52 ISA Server 2004 VPN  Külön alhálózat a VPN kliensek számára  A valódi alhálózatokkal egyenrangú  Saját tűzfalszabályokkal rendelkezik  VPN karantén alhálózat

53 ISA Server 2004 VPN  A Windows RRAS kiszolgálóját használja  Integrált konfiguráció és felügyelet  Protokollok  PPTP és L2TP over IPSec  IPSec Tunnel Mode  Felhasználóazonosítás forrása  Active Directory / Windows címtár  RADIUS  RSA SecurID

54 ISA VPN kiszolgáló beállítása  VPN hozzáférés engedélyezése  = Windows RRAS szolgáltatás engedélyezése  Az ISA Server újraindítása szükséges  VPN konfiguráció  Csatlakozó kliensek max. száma  Csatlakozásra jogosult csoportok  VPN protokollok  User Mapping  Hozzáférés alhálózatokból  IP-cím kiosztás / DHCP, DNS, WINS konfiguráció  Felhasználóazonosítási protokollok  RADIUS

55 Az EAP felhasználóazonosítás feltételei az ISA 2004-ben  Az ISA Server-nek tartományban kell lennie, vagy RADIUS-t kell használnunk  Engedélyezzük a User Mapping funkcionalitást  Nem kötelező, de ajánlott (felhasználónév-alapú szabályok)

56 demó  ISA 2004 VPN kiszolgáló beállítása (PPTP)  VPN kapcsolat létrehozása  Felhasználóazonosítás tanúsítvánnyal

57 Napirend  Vírusvédelem és spam-szűrés  Biztonságos webközzététel  Exchange Outlook Web Access  Az Exchange biztonságos távoli elérése  Outlook 2003 (MAPI) RPC over HTTP  Virtuális magánhálózatok  PPTP  L2TP over IPSec  Hálózati karantén

58 IPSec azonosítási módok  Az IPSec házirendben háromféle azonosítási mód közül választhatunk:  Szöveges („Előmegosztott kulcs”) csak tesztcélra!  Kerberos: csak ha a DC elérhető  Tanúsítvány-alapú: a csatorna felépítéséhez mindkét félnek közös CA-tól származó, érvényes tanúsítvánnyal kell rendelkeznie.

59 IPSec tanúsítványalapú azonosítás  A házirend csak a tanúsítványt kiadó CA-t definiálja  Mindkét félnek ugyanazt a CA-t kell megjelölnie  A sikeres működés feltételei:  A tanúsítvány a számítógép tanúsítványtárában van  A számítógép rendelkezik a privát kulccsal  A tanúsítvány érvényességi ideje nem járt le  A tanúsítvány Root CA-ja (ami a szabályban is megtalálható) a számítógép Megbízható legfelső szintű hitelesítésszolgáltatók listájában van  A tanúsítványlánc hiba nélkül felépíthető  Az IPSec NEM igényli az IPSec típusú tanúsítványt!

60 Egyebek  A tanúsítvány csak a kulcsgeneráláshoz szükséges, az egyéb titkosítási beállítások az IPSec házirendből származnak  Az IPSec nem képes használni a "Strong Private Key Protection" opcióval mentett tanúsítványokat  Az IPSec nem ellenőrzi a tanúsítvány CRL-jét  A CRL-ellenőrzés bekapcsolása: HKLM\System\CurrentControlSet\Services\PolicyAgent\ Oakley\StrongCrlCheck (REG_DWORD): –1: elutasítva, ha a CRL elérhető és a tanúsítvány visszavont státuszú –2. elutasítva, ha a CRL nem érhető el, vagy a tanúsítvány visszavont státuszú

61 L2TP over IPSec VPN beállítása  ISA Server: L2TP over IPSec engedélyezése, majd  ISA Server újraindítása vagy  RRAS-ban kézzel bekapcsolni az L2TP portokat  Ügyfélszámítógép beállítása  „Rendszergazda” típusú tanúsítvány a számítógép tanúsítványtárába  A tanúsítványkiadó tanúsítványának importálása a számítógép tanúsítványtárába  Ha nincs tanúsítvány, a megosztott szöveges azonosítás is használható (tesztcélra!)  ISA: VPN tulajdonságai / Authentication / Allow custom IPSec Policy for L2TP connection  Kliens: VPN tulajdonságok / Biztonság / IPSec beállításai

62 demó  ISA 2004 VPN kiszolgáló beállítása (L2TP over IPSec)  Kliensoldali géptanúsítvány igénylése

63 VPN kiszolgáló tűzfal mögött Kommunikációs csatornák  PPTP  TCP 1723  IP 47 (GRE)  (L2TP over) IPSec  UDP 500 (ISAKMP)  IP 50 (ESP)  IP 51 (AH)  (L2TP over) IPSec over NAT  UDP 500 (ISAKMP)  UDP 4500 (ISAKMP2)

64 Napirend  Vírusvédelem és spam-szűrés  Biztonságos webközzététel  Exchange Outlook Web Access  Az Exchange biztonságos távoli elérése  Outlook 2003 (MAPI) RPC over HTTP  Virtuális magánhálózatok  PPTP  L2TP over IPSec  Hálózati karantén

65 Hálózati (VPN) karantén  A bejelentkező VPN ügyfelet az ISA először egy karanténhálózatba helyezi  A többivel egyenrangú alhálózat (Quarantined VPN Clients)  Korlátozott hozzáférés a karantén során szükséges erőforrásokhoz  A kliensen egy script lefut, és ellenőrzi a hálózatra való csatlakozás feltételeit, pl.  Vírusírtó állapota  Biztonsági javítások állapota  stb.  Az ellenőrzés eredményét a script visszajelzi az ISA Server-nek  Siker esetén a kliens a VPN Clients alhálózatba került  Hiba vagy időtúllépés esetén a klienskapcsolat megszakad

66 Connection Manager Administration Kit  Eszköz előrecsomagolt VPN kliensbeállítások és kiegészítő eszközök disztributálására  Windows összetevők / Kezelési és figyelési eszközök / „Csatlakozáskezelő felügyeleti csomag”  A CMAK eredménye egy.exe fájl, amit a kliens lefuttat –A kliensen létrejön egy testreszabott VPN kapcsolat  A karantén során használt funkciók  Post-Connect Action: script futtatása csatlakozás után  Egyéni fájlok: ellenőrző script, karanténfeloldó komponens (rqc.exe) –Remote Access Quarantine Tools for ISA Server

67 Karantén beállítása ISA 2004-en  Ellenőrző script létrehozása  Egyéni értesítő / kiszolgáló komponens létrehozása  Előregyártott komponensek: rqc.exe (kliens), rqs.exe (szerver)  rqs.exe használata esetén a ConfigureRQSForISA.vbs script futtatása  Adjuk meg a „titkos kulcsot” a karantén feloldásához (AllowedSet)  Rendszerszolgáltatásként telepíti az rqs.exe-t  Tűzfalszabályt hoz létre a karantén-visszajelzéshez (TCP 7250)  Elvégzi a szükséges registry-módosításokat és elindítja az RQS rendszerszolgáltatást  CMAK profil létrehozása  Benne a script és az értesítő komponens

68 Karantén beállítása ISA 2004-en  Karanténbeállítások:  RADIUS / ISA házirend alapján  Időtúllépés  Kivételek a karantén alól  Karanténerőforrások elérésének engedélyezése  pl. DC, DNS, fájlkiszolgáló

69 A karantén feloldása  Visszatérési értékek:  0 – karantén feloldva  1, 2 – hibás hely / válasz – karantén fenntartva

70 Karantén-script létrehozása  A script ellenőrzi a kliens gép „egészségi állapotát”  pl. vírusírtó bekapcsolva? (XP SP2)  szükséges javítások telepítve?  Az ellenőrzés után futtatja az rqc.exe komponenst  Ellenőrzi a visszatérési értéket és értesíti a felhasználót  Kész példascript letölthető!  FamilyID=a290f2ee-0b55-491e-bc4c b2462

71 Windows XP SP2 – a vírusírtó integrációja  A Windows XP SP2 felismer(het)i a telepített vírusírtókat  a Microsoft-tal előre egyeztetett registry-adatok segítségével, vagy  a WMI segítségével  A Security Center WMI providere  root\SecurityCenter névtér, AntivirusProduct osztály –onAccessScanningEnabled –productUptoDate

72

73 A vírusírtó állapotának lekérdezése  Egy rövid WMI lekérdezés:  Figyelem!  a Windows XP SP2 nem minden vírusírtót ismer fel  a Windows XP SP2 nem minden vírusírtót a WMI segítségével ismer fel Set oWMI = GetObject("winmgmts://./root/SecurityCenter") For Each oOb In oWMI.ExecQuery _ ("SELECT * FROM AntiVirusProduct") bAVEnabled = oOb.onAccessScanningEnabled bAVEnabled = oOb.onAccessScanningEnabled bAVUpToDate = oOb.productUptoDate bAVUpToDate = oOb.productUptoDateNext

74 A telepített javítások listájának lekérdezése  Az összes javítás:  Példa egy adott javítás ellenőrzésére: Set oWMI = GetObject("winmgmts://./root/cimv2") For Each oOb In oWMI.ExecQuery _ ("SELECT * FROM Win32_QuickFixEngineering") Wscript.Echo oOb.HotfixID Wscript.Echo oOb.HotfixIDNext Set oWMI = GetObject("winmgmts://./root/cimv2") For Each oOb In oWMI.ExecQuery _ ("SELECT * FROM Win32_QuickFixEngineering  WHERE HotfixID = 'KB885884'") bQFEFound = True bQFEFound = TrueNext

75 demó  Connection Manager Administration Kit  VPN karantén

76 Network Access Protection  Karanténszolgáltatások MA: VPN karantén  Izolált hálózat, amíg a kliensoldali ellenőrzés vissza nem jelez  A scriptet kézzel kell létrehozni  Nem biztonsági eszköz! (kikerülhető)  Platform:  Windows Server 2003 Resource Kit / SP1  ISA Server 2004 (Windows 2000 / 2003)

77 Network Access Protection  Karanténszolgáltatások a jövőben: LAN / WLAN karantén  DHCP  IPSec  Cisco integráció  Funkciók:  Network Access Point  RADIUS Server  Policy Server –Központi feltételdefiníciók –Policy Management Framework: antivirus, IDS, tűzfal, patch, stb.  Update Server –Javítások, frissítések –Karanténból is elérhető

78 Vállalati hálózat DHCP Servers Izolációs hálózat RADIUS Server VPN/Dial-up Servers Policy Servers (Anti-virus; Patch/System Management, etc.) Helyi számítógépek Távoli számítógépek Update Servers (Anti-virus; Patch/System Management, etc.) Hálózati karantén architektúra

79 Jóváhagyva Policy Server Karantén kliens: pl. VPN Karantén koordináció Mi a Health Status- om? RADIUS/VPN Házirend ellenőrzése State of Health API Management Reporting = Hálózati karantén szoftver = Házirend szoftver Policy Server Házirend kiszolgáló Policy Server Policy Server Házirend kliens Karantén koordináció ?Hozzáférés? ? SoH-et kérek! Nincs SoH-em... XKarantén! Segíts! Házirend? Riportok Aktuális házirend Frissítések SoH Minden OK Rendben? Rendben Hálózati elérési pont (Network Access Point) Health State frissítve!

80 RSA SecurID

81

82  Exchange Anti-Spam Infrastructure   Microsoft Exchange Intelligent Message Filter   Intelligent Message Filter Overview & Deployment Guide  imf/imf_wp.asp  IMFDeploy/b1d0b6aa-203d a d99203.mspx  IMF Archive Manager   How to configure connection filtering to use Realtime Block Lists (RBLs) and how to configure recipient filtering in Exchange 2003  További információk

83  RBL szolgáltatások  SPEWS:  MAPS:  ORDB:  OpenRBL:  Dorkslayers:  Spamhaus:http://www.spamhaus.org  CAUBE.au:http://www.caube.org.au  Combat Spam:http://combat.uxn.com  Spam Cop:http://spamcop.net  Osirusoft:http://relays.osirusoft.com További információk

84  Configuring Outlook 2003 for RPC over HTTP   E2k3RPCHTTPDep/9abaf7ee-1ea5-46ad-a68b- 551e5dda459d.mspx További információk

85  Cikkek, publikációk (Megjelentek a TechNet magazinban)  VPN - virtuális magánhálózatok, I. rész –http://inetcom.hu/mick/publikaciok/vpn1.htm  VPN - virtuális magánhálózatok, II. rész – az L2TP protokoll –http://inetcom.hu/mick/publikaciok/vpn2.htm  IPSec NAT-Traversal: IPSec hálózati címfordításon keresztül –http://inetcom.hu/mick/publikaciok/ipsecnat.htm További információk

86  Windows Server 2003 Resource Kit Tools  familyid=9d467a69-57ff-4ae7-96ee-b18c4790cffd  Remote Access Quarantine Tool for ISA Server 2004  FamilyID=3396c f-4b2e-ab4d-1c44356ce37a  Remote Access Quarantine Agent (RQS.exe)  FamilyID=d4ec94b2-1c9d-4e98-ba02-b18ab07fed4e  VPN Quarantine Sample Scripts for Verifying Client Health Configurations  FamilyID=a290f2ee-0b55-491e-bc4c b2462 További információk

87  ISA Server 2004 dokumentáció   ISA Server partnerbővítmények:   RSA SecurID for Microsoft Windows  További információk

88 A demoban használt karantén script On Error Resume Next bAVFound = False bAVEnabled = False bAVUpToDate = False bQFEFound = False sDialRasEntry = WScript.Arguments(0) sTunnelRasEntry = WScript.Arguments(1) sDomain = WScript.Arguments(2) sUserName = WScript.Arguments(3) Set oWMI = GetObject("winmgmts://./root/SecurityCenter") For Each oOb In oWMI.ExecQuery("SELECT * FROM " & _ "AntiVirusProduct") bAVFound = True bAVEnabled = oOb.onAccessScanningEnabled bAVUpToDate = oOb.productUptoDate Next 1. oldal (folyt. köv.)

89 A demoban használt karantén script Err.Clear Set oWMI = GetObject("winmgmts://./root/cimv2") For Each oOb In oWMI.ExecQuery ("SELECT * FROM Win32_QuickFixEngineering WHERE HotfixID = 'Q828026'") bQFEFound = True Next If Not bQFEFound Then DisableAccess "Kötelező javítás nem található" WScript.Quit Else WScript.Echo "Kötelező javítás rendben." If bAVFound Then WScript.Echo "Virusirtó felismerve..." If Not bAVEnabled Then DisableAccess "A virusirtó nincs engedélyezve" WScript.Quit End If 2. oldal (folyt. köv.)

90 A demoban használt karantén script If Not bAVUpToDate Then DisableAccess "A virusirtó adatbázisa elavult" WScript.Quit End If Else WScript.Echo "Virusirtó nem ismerhető fel..." End If EnableAccess WScript.Quit '======================================================= Function GetRQCPath() '%DialRasEntry% és %Domain% VPN és EAP miatt nem használt! GetRQCPath = """" & Replace( WScript.ScriptFullName, _ WScript.ScriptName, "rqc.exe") & """ """" """ & _ sTunnelRASEntry & """ 7250 """" """ & sUserName & """ " End Function 3. oldal (folyt. köv.)

91 A demoban használt karantén script Sub EnableAccess On Error Resume Next WScript.Echo "VPN hozzáférés engedélyezve." sRun = GetRQCPath & "TITOK" MsgBox "DEMO: Kattints az rqc.exe futtatásához!" & _ vbCRLF & sRun Set oSH = WScript.CreateObject("WScript.Shell") nRetVal = oSH.Run(sRun, 0, True) If Err.Number <> 0 Then WScript.Echo "Belsö hiba: " & Err.Description End If If nRetVal = 0 Then WScript.Echo "Karantén feloldva." Else WScript.Echo "Karantén feloldása sikertelen, hiba:" & _ nRetVal End If MsgBox "DEMO: Kattints a kilépéshez!" End Sub 4. oldal (folyt. köv.)

92 A demoban használt karantén script Sub DisableAccess( sCause ) On Error Resume Next WScript.Echo "VPN hozzáférés megtagadva: " & sCause sRun = GetRQCPath() & " ""/log " & sCause & """" MsgBox "DEMO: Kattints az rqc.exe futtatásához!" & _ vbCRLF & GetRQCPath() Set oSH = WScript.CreateObject("WScript.Shell") nRetVal = oSH.Run(sRun, 0, True) If Err.Number <> 0 Then WScript.Echo "Belsö hiba: " & Err.Description End If WScript.Echo "Karantén feloldása sikertelen, hiba: " & _ nRetVal MsgBox "DEMO: Kattints a kilépéshez!" End Sub 5. oldal


Letölteni ppt "Biztonságos Windows (III. rész): Windows alapú internetes szolgáltatások biztonsága Fülöp Miklós rendszermérnök Microsoft Magyarország."

Hasonló előadás


Google Hirdetések