Szalontay Zoltán, Tarsoly Balázs rendszermérnökök Microsoft Magyarország Biztonsági szolgáltatások Windows 2000-ben.

Slides:



Advertisements
Hasonló előadás
A számítógépes hálózatok és az Internet
Advertisements

Dolgozni már bárhonnan lehet…
Hitelesítés és tanúsítványkezelés
Készítette: Nagy Márton
Hálózati és Internet ismeretek
Elektronikus aláírás Balogh Zsolt György egyetemi docens
Tempus S_JEP Számítógép hálózatok Összefoglalás Összefoglalás Összeállította: Broczkó Péter (BMF)
IPSec.
Felhasználói felületek és üzleti logika Bollobás Dávid ASP.NET
A biztonság három oldala Páger Máté, Göcsei Zsolt, Szabó Gábor.
Client Access Server. Autodiscovery service Availability service (EWS) Offline Address Book (OAB) service Activesync service Outlook Web Access Public.
Windows hálózati infrastruktúra kialakítása
Active Directory.
Tectia MobileID Express – Kétfaktoros erős autentikáció – 5 percen belül üzemkészen! január 16.
Hálózati architektúrák
Teljes funkcionalitású Web kliens Kétféle felület Premium (IE6+) Light (Firefox, Safari, Opera, Netscape, IE7, IE6, IE5.5, IE5.01 és IE5.2 Mac) Eltérések.
Hálózati Operációs Rendszerek
Bemutatkozás Barta Csaba Deloitte Zrt. Manager CHFI
NAP bemutatása Komponensek Felhasználási területek DEMO: DHCP kényszerítés VPN kényszerítés NAP bevezetése.
Titkosítás Digitális aláírás Szabványosított tanúsítványok
Budapesti Műszaki és Gazdaságtudományi Egyetem Méréstechnika és Információs Rendszerek Tanszék Micskei Zoltán Előadások:
Vezeték nélküli hálózatok biztonsági megoldásai Készítette Hudac Lóránd (HULRAAI) A Bemutatóban szó lesz: Vezeték nélküli hálózatok felépítése Ezek működtetése.
Az ETR technológia DEXTER Informatikai kft..
WSDL alapismeretek A WSDL (Web Services Description Language – Web szolgáltatások leíró nyelv) egy XML-alapú nyelv a Web szolgáltatások leírására és azok.
Authentication & Authorization Belinszki Balázs terméktámogató mérnök Juhász Mihály alkalmazásfejlesztési tanácsadó.
Előadó: Kárpáti Péter Üzleti folyamatvezérlés nagyvállalati környezetben (BizTalk Server 2004, Office InfoPath 2003 és Windows.
Network Access Protection
Erős bástya – biztonsági újdonságok
Egy ISA szerver naplója Sárosi György Terméktámogatási Tanácsadó Microsoft Magyarország.
Megoldás Felhő szolgáltatások és Windows 7.
Átállás.
SSL és TLS. Mi a TLS SSL – Secure Socket Layer TLS – Transport Layer Security Biztonságos transport layer a böngésző és a szerver között SSL v3.0 : Internet.
Operációs Rendszerek WindowsXP®.
Active Directory, a Windows 2000 új címtára
Module 1: A Microsoft Windows XP Professional telepítése
Új Windows alapú intézményi szerverek (címtár és management) tervezése és kivitelezése.
Operációs rendszerek.
Windows Server 2008 { Terminal Services }
AD {RMS} Active Directory Rights Management Services
…az ISA Server 2006 segítségével Gál Tamás Microsoft Magyarország.
Hálózatkezelési újdonságok Windows 7 / R2
Exchange Server 2007 Client Access Role
Tanúsítványok… …a hétköznapokon Gál Tamás
A titkosítás alkalmazott módszerei az elektronikus kommunikációban
Felhasználók azonosítása és jogosultságai, személyre szabás Borsi Katalin és Fóti Marcell NetAcademia Oktatóközpont.
a Moodle autentikációjához a PTE FEEK-en
Titkosítás, elektronikus és digitális aláírás. Fontos mindig észben tartanunk, hogy ha titkosítatlan csatornán kommunikálunk az Interneten, akkor bármely.
Hálózat kiépítésével lehetőségünk nyílik más számítógépek erőforrásainak használatára. Osztott háttértár használat: egy számítógép merevlemezének megosztásával.
Portálrendszerek és biztonság Bártházi András Első Magyarországi PHP Konferencia március 29. Copyright PHP Konferencia, 2003,
Web Architecture. Development of Computing Architectures Monolithic mainframe programming Client Server Real Client Server Web Programming.
Műszer vezérlő - kezelő program GPI-745A teszterhez.
{ PKI } Active Directory Certificate Services
Windows Server 2008 Távoli elérés – I.
Eszköz és identitás kezelés Korlátlan fájl szerver kapacitás Másodlagos adatközpont Korlátlanul skálázódó infrastruktúra Biztonságos DMZ Hibrid adat-
Webszolgáltatás szabványok Simon Balázs
User Account Management Endrődi Tamás (MCT, MCP, MCITP) GDF Informatikai Intézet vezetője SZÁMALK Oktatóközpont.
AAA AAA Ki, mikor, mivel, hogyan? Mit csinált, mit csinálhat, (mit fog csinálni)? Ki mihez hogyan férhet hozzá? Authentication Authorization Accounting/Audit.
Christopher Chapman | MCT Content PM, Microsoft Learning, PDG Planning, Microsoft.
Live Communication Server Integrált kommunikációs infrastruktúra Mobil támogatás Munkaterület Instant üzenetküldés VOIP Alkalmazások, munkafolyamatok.
A Windows Server 2003 termékcsalád A Windows Server 2003 termékcsaládnak 4 tagja van: Windows Server 2003, Standard Edition Windows Server 2003, Enterprise.
Ismerkedés az Active Directory-val
A PKI project célja Digitális kulccsal elérhető szerver Hamisíthatatlan naplózás Új kulcsok dinamikus létrehozása Felhasználók letiltása.
A projekt az Európai Unió társfinanszírozásával, az Európa terv keretében valósul meg. Számítógép- hálózatok dr. Herdon Miklós dr. Kovács György Magó Zsolt.
Ingyenes, online technikai kurzusok Microsoft Virtual Academy.
Nyilvános kulcsú titkosítás Digitális aláírás Üzenet pecsétek.
Azonosítás és biztonság pénzintézeti környezetben Jakab Péter igazgató Magyar Külkereskedelmi Bank Rt. Bankbiztonság.
Informatikai biztonság alapjai 4. Algoritmikus adatvédelem
Hálózati architektúrák
IT hálózat biztonság Összeállította: Huszár István
Előadás másolata:

Szalontay Zoltán, Tarsoly Balázs rendszermérnökök Microsoft Magyarország Biztonsági szolgáltatások Windows 2000-ben

Önök egy sorozatot látnak Active Directory, a Windows 2000 új címtára 2. Felhasználó és szoftver menedzsment 3. Biztonsági szolgáltatások a Windows 2000-ben 4. A Windows 2000 infrastruktúrális szolgáltatásai 5. A Windows 2000 mint alkalmazás kiszolgáló 6. A Windows 2000 telepítése és üzembehelyezése 7. A Windows 2000 NetWare és UNIX környezetben

Miről lesz szó?  Házirendendben előírt biztonság  A titkosítás alapjai  Tanusítványok és a Certificate Authority  A Windows 2000 biztonsági alrendszere  Mire és hogyan használhatjuk mindezt?

Egy kis ismétlés Az AD kettős fastruktúrája

Egy kis ismétlés Csoportos házirend működése  Kulcs fogalmak  IntelliMirror, GPO, GPOLink, Öröklődés, No Override, Block, Loopback processing, AGP Site Domain OU Végeredmény

Mire terjed ki a biztonság fogalma?  Jelszó és kizárási szabályok  Felhasználó jogosultság  Auditálás  Naplózási beállítások  Kötelező csoport tagság (Restricted Groups)  Szervizek  Fájlrendszer és Registry ACL–ek  Kerberos beállítások  Public Key és IPSec beállítások

Mit hol találunk ?  Default Domain Policy határozza meg a Account Policies-t, úgy mint  Password Policy  Lockout Policy  Kerberos Policy  NINCS öröklődés. Minden DC függetlenül attól hogy hol van, a Default Domain Policy-t követi  Default Domain Controller Policy határozza meg a Local Policies-t, úgy mint  Audit  User Rights  Security Options  Ne keverjük a beállításokat

Biztonsági sablonok  A biztonsági beállításokat sablonokban definiálhatjuk  C:\Winnt\security\templates\*.INF  Sablonok létrehozására, módosítására a „Security Templates” Snap-In használható  Néhány rövidítés  BasicDC- alap DC konfiguráció  CompatWS- kompatibilis Workstation  HisecWs – Highly Secured Workstation

A fájl jogosultságokról Ezzel azt szabályozzuk mi legyen a felülről érkező jogosultságokkal Ezzel azt szabályozzuk mi történjen lejjebb a jogosultságokkal

A Restricted Group-ról  Csak az itt felsorolt felhasználók lehetnek tagjai a csoportnak  Ha hiányzik, hozzáadódik  Ha felesleges, törlődik  Az itt felsorolt csoportoknak lesz tagja az adott Restricted Group  Ha a lista üres, az NEM jelenti meglévő csoporthoz tartozás törlését  A megadott csoporttagságot garantáljuk

Biztonsági beállítások analízise  Szeretném tudni, hogy viszonyulnak a gépek biztonsági beállításai a referenciához képest  Biztonsági rések keresése  Erre a „Security Configuration and Analysis” Snap-In a megfelelő eszköz  Az analízis adatbázis alapú, először meg kell mondanunk mihez hasonlítunk  Sablon betöltése az adatbázisba

Másodlagos bejelentkezés  Probléma: Az adminisztrátor az adminisztrátori fiókkal felhasználói tevékenységet végez  Ez potenciális veszélyforrás  Legyen az adminisztrátornak is normál felhasználói fiókja   Szükség esetén használja a másodlagos bejelentkezést (Run as)  Tipikus felhasználás: „runas /user:... mmc.exe”  Shift + Right Click  Ami mindezt lehetővé teszi  Secondary Logon Service  Korlátozás  A Shellből indított programokra nem vonatkozik, azok mindig az elsődleges bejelentkezés alapján futnak

Titkosítási alapfogalmak  Alapfogalmak  Eredeti szöveg  Titkosított szöveg  Titkosítási kulcs  Titkosító algoritmus Titkos szöveg m%a a?w

Titkosítási módszerek I.  Privát kulcsos titkosítás  Más néven szimmetrikus  Egy kulcs van, melyet a kommunikáció megkezdése előtt kicserélnek a felek  A titkosításhoz és a visszafejtéshez ugyanazt a kulcsot használjuk  Jól ismert algoritmusok  DES  Triple-DES  RC2, RC4  IDEA

A kulcsdisztribúció problémái  N embernek N*(N-1)/2 kulcsra van szüksége  ember esetén ez 449,985,000 kulcsot jelent  Nem tudunk minden potenciális partnerrel egy kulcsot cserélni és azt tárolni  A 22-es csapdája, hogy kommunikáljunk titkosítva, ha még nem értettünk egyet a titkosítás kulcsán  A titkosítási kulcs szükségképpen titkosítatlanul megy át a csatornán?

Key Distribution Center KDC KbKb KaKa K session Alice Bob

Titkosítási módszerek II.  Nyilvános kulcsú titkosítás  Más néven aszimmetrikus  Minden kommunikáló félhez két kulcs tartozik  Nyilvános kulcs (bárki ismerheti)  Privát kulcs (csak én ismerem)  A titkosításhoz és a dekódoláshoz más- más kulcsot használunk  Jól ismert algoritmusok  Diffie-Hellman  RSA

Hogy működik ? A nyilvános kulcsú titkosítás K b-privát K a-privát AliceBob K b-nyilvános Holnap reggel *#$fjd a^j u539 K a-nyilvános Holnap reggel K a-privát K a-nyilvános

Nyilvános vs. Privát kulcsos titkosítás  Nyilvános kulcsos módszer előnyei  A nyilvános kulcs bárkinek kiadható, a kulcs menedzsment problémája megszűnik  Ez a módszer lehetőséget ad digitális aláírások használatára  Nyilvános kulcsos módszer hátrányai  Az algoritmusok lényegesen lassabbak, kb szeres eltérés van a Privát kulcsos módszerhez képest

Hash algoritmusok  Tetszőleges hosszúságú üzenetet fix hosszúság értékké alakítanak  Csak egyirányú  Gyorsan elvégezhető művelet  Nagy valószínűséggel nem lehet két olyan bemenő üzenetet találni, melynek Hash értéke azonos (1/2 n a valószínűsége, hogy azonos az érték)  Algoritmusok  MD2,MD3, MD4, MD5 Holnap reggel Hash függvény Hash érték Message digest

Digitális aláírás AliceBob Holnap reggel K b-privát K b-nyilvános Hash Hash érték SDcF dsa4 Holnap reggel Hash érték =? Hash

Tanusítvány (Certificate)  Egy természetes személy azonosságát és tulajdonságait egy nyilvános kulcshoz köti  Egy Certification Authority (CA) írja alá  Gondoljunk az útlevélre A tulajdonos nyilvános kulcsa A kiállító személye Subject: Zoltan Szalontay Not Before: 6/18/99 Not After: 6/18/06 Signed: Serial Number: Subject’s Public key: public Secure Client Authentication Bővítmények A tulajdonos személye Eddig érvényes Issuer: autodc1.auto.hu A CA digitális aláírása CA adja Ettől érvényes

Két elterjedt PKI szabvány  X.509 version 3  A tanusítványok formátumát előíró szabvány  PKCS #...  Az RSA által kiadott ajánlások a tanusítványokkal kapcsolatos műveletekre, pl.:  PKCS #10: tanusítvány kérelem  PKCS #7: tanusítvány kiadása

Certification Authority (CA)  Kinek állíthat ki tanusítványt?  Saját magának (Root)  Egy másik CA-nak (Subordinate)  Egy regisztrációs személynek (enrollment agent, pl. az administrator)  Végfelhasználóknak (tényleges emberek vagy számítógépek)  Egy CA-nak, amelyben megbízunk, kell hogy legyen  Érvényes eredetiség igazolása  Visszavonási státusza

CA-k közötti kapcsolat  Hierarchiát alkotnak  Hagyományos, „fa” típusú hierarchia  Tagjai vagy root vagy alárendelt (subordinate) CA-k  Lehetővé teszi az offline (kikapcsolt) CA- kat (biztonságosabb)  Kereszthivatkozásos hierarchia esetén  Egy CA lehet root és alárendelt is  Nem lehet kikapcsolt CA

CA fa hierarchia Funkció CA-k Kiadó CA-k Issuer : Root Subject : Root Issuer : Fn1CA Subject : Kiadó2CA Issuer : Root Subject : Fn1CA Root CA Issuer : Fn2CA Subject : Kiadó3CA Issuer : Fn1CA Subject : Kiadó1CA Issuer : Root Subject : Fn2CA

Tanusítványok ellenőrzése Issuer : Fn1Ca Subject : Alice Public Key: 1., Alice tanusítványának ellenőrzése az Fn1CA nyilvános kulcsának segítségével Issuer : Root Subject : Fn1CA Public Key: 2., Az Fn1CA tanusítványának ellenőrzése a Root nyilvános kulcsának segítségével Issuer : Root Subject : Root Public Key: 3., A Root CA-ban eleve megbízunk és megvan a nyilvános kulcsa

A Windows 2000 CA Service jellemzői  Root vagy subordinate  RSA vagy DSA tanusítványok  Hardver/szoftver Crypto Service Provider  Megnövelt skálázhatóság  Windows NT 4.0 = 10,000 tanusítvány/CA  Windows 2000 = 1,000,000/CA  Az AD-vel megegyező adatbázis technológia (Jet blue)  Integrált az Active Directoryval

Windows 2000 CA típusok  Enterprise  A kéréseket az AD hitelesíti  A tanusítvány tartalmát sablonokkal írhatjuk le  Támogatja az Exchange 2000-et  Kell hozzá Active Directory  Standalone  Hasonló a más megoldásokhoz, pl. Netscape  Ha látja az AD-t, ott tárolja a tanusítványokat

Tanusítvány sablonok  Az Active Directory tárolja  Sablonok egy- vagy több célú felhasználásra  Előre be vannak égetve, nem módosíthatóak  Megoldás: Custom Policy module  Jogosultságokkal korlátozhatjuk, hogy ki milyen sablont használhat  A különböző CA-knak különféle sablonokat engedélyezhetünk  Egy-egy CA a különböző szerepkörökhöz

Visszavont tanusítványok listája Certificate Revocation List (CRL)  A már kiadott tanusítványok érvényteleníthetőek (feketelista)  A CRL-t a CA írja alá  A CRL automatikusan vagy manuálisan juttatható el az ügyfélhez  A CRL nagy is lehet  Sablonok segítségével partícionálhatjuk (skálázhatóság)  Certificate Revocation List tartalmazza  A visszavont tanusítványok sorozatszámát  A visszavonás okát

Megbízunk-e a CA-ban?  A Windows 2000 alapértelmezésben kb. 40 Root CA-ban bízik meg  Verisign, SGC, Thawte, Netlock, stb.  Letilthatóak  SSL, titkosított levelezés és digitális aláírás  Csoportos Házirendben (GPO) megadhatunk újabb megbízható CA-kat  Enterprise Root CA  Active Directoryt használ  Automatikusan megbíznak benne

Mit írhatunk elő a csoportos házirendekkel?  Root CA-k  Külső Root CA-k tanusítványai  EFS Recovery Agentek  Megadhatjuk, hogy ki férhet hozzá a titkosított dokumentumainkhoz  Automatikus tanusítvány kiadás  Csak gépekre (pl. IPSec, SSL)

Tanusítványok kiadása  Kulcspáronként kérjük  Kettős felhasználás: aláírás ÉS titkosítás  Egyszeres felhasználás: aláírás VAGY titkosítás  A hitelesítés online vagy offline  Három módszer  Win32 varázsló (MMC, hitelesített RPC)  ActiveX vezérlő egy weben (HTTP)  Kinek kérjük?  Magunknak  Más számára (csak web és smart card esetén)  Számítógépek  Házirenden keresztül

Authentikáció = hitelesítés Authorizáció = felhatalmazás  Hitelesítés (azonosítás) a felhasználói adatok alapján történik  Tartománynév, felhasználó név, jelszó  A felhasználói fiók adatai az Active Directoryban  Felhatalmazással adjuk meg, hogy mihez fér hozzá a már azonosított felhasználó  Tipikusan csoport tagságok alapján

Fájl- és nyomtató szolgáltatások MicrosoftExchange SQL Server Távoli elérés Nyilvános hálózat Alkalmazás SNA Server Integrált, egyszeri azonosítás Single sign-on (SSO) Internet Information Proxy Internet Alkalmazás

Hitelesítési protokollok  Korábbról ismerjük  Windows NTLM hitelesítés  Szükség van rá vegyes környezetben  Secure Sockets Layer (SSL)  Web alapú alkalmazásoknál  Windows 2000 újdonság  Kerberos v5  Alapértelmezés szerinti hitelesítés  Transport Layer Security (TLS)  Pl. Smart Card bejelentkezés esetén

Kerberos v5  Elosztott felhasználó hitelesítési protokoll  Időalapú tikettekkel dolgozik  A Key Distribution Center (KDC) állítja elő a tiketteket  A Windows 2000 tartomány megfelelője a Kerberos rendszerekben a Realm  A realmok (tartományok) között tranzitív trust kapcsolat hozható létre

Ismétlés: NTLM v1 hitelesítés Challenge/Response A jelszó NEM ment át a hálózaton! Windows NT Workstation Windows NT Server SAM • SID • LM pwd • NT pwd Pwd kódolás 1.One Way Func. (RSA- MD4, 16 bites kivonat) 2. Domain RID 1. Erőforrás használata 2. Challenge: 16 bájt 3. Response: OWF(Ch)

Windows 2000 Active Directory Key Distribution Center (KDC) Windows 2000 tartományvezérlő 1. DNS-sel megkeresi az AD-t és a KDC-t 2. Hitelesíti a felhasználót és szerez egy Ticket Granting Tikettet (TGT) a KDC-től TGT Kerberos: Logon 3. A TGT-vel kér egy session tikettet a munkaállomáshoz Session

Kerberos tikettek  Adott ideig érvényesek  Hol állítható be?   Lejárt tikettet helyett újat kell igényelni  Az igényléskor a KDC egyezteti az időt az ügyféllel  5 perc eltérés megengedett  Házirendben szabályozható  Ennél nagyobb eltérés esetén a KDC NEM ad tikettet! Ld.Time Service  E miatt nem mehet a dcpromo.exe

Alkalmazás kiszolgáló 3.Ellenőrzi, hogy a session tikettet a KDC adta-e ki Hálózati erőforrás elérése Windows 2000 Active Directory Key Distribution Center (KDC) Windows 2000 tartományvezérlő 2.Bemutatja a session tikettet a kapcsolat felvételekor TGT 1.Elküldi a TGT-t és kér egy session tikettet a KDC-től a cél kiszolgálóhoz

2.Bemutatja a Session tikettet Server1 1.Kér egy Session tikettet Server1- hez a KDC-től, („proxy” flag = on) Server2 3.Megszemélyesít és kér egy tikettet a Server2-höz 4.Session tikett Server2- höz Windows 2000 Active Directory Key Distribution Center (KDC) Windows 2000 tartományvezérlő Többrétegű alkalmazások

Kerberos Trust kapcsolatok UNIX Kerberos Realm Külön létrehozott Kerberos trust Kézzel konfigurált Windows NT 4.0-féle trust Windows NT 4.0-féle trust Domain Domain Domain DomainDomain auto.hu szerviz.auto.hu budapest.auto.hu Kerberos trust

Unix KDC használata Windows 2000 hitelesítésre Win2000 Professional Windows 2000 Server company.realm auto.hu MIT KDC Windows 2000 KDC 1 TGT 2TGT A név és egy Windows NT felhasználó összerendelése 3 tikett 4 tikett Hitelesítési adatok

A Kerberos protokoll előnyei  Gyorsabb hitelesítés  Skálázhatóbb kiszolgáló alkalmazások  Egy gyorsítótár segítségével a jegyek újra felhasználhatók  Ügyfél és kiszolgáló kölcsönös hitelesítése  A hitelesítés delegálható  Hitelesítés több rétegű ügyfél/kiszolgáló felépítés esetén  Tranzitív bizalmi kapcsolat a tartományok között  Egyszerűsödik a tartományok közötti menedzsment  Érett és elterjedt IETF szabvány

Secure RPC HTTP SSPI IE, IIS NTLM Kerberos SChannel SSL/TLS NTLM KDC/DS COM+ POP3, NNTP Mail, News CIFS/SMB Fájl elérés Hitelesítést használó szolgáltatások LDAP ADSI alkalmazás

Kerberos történelme  Kerberos IV: MIT Athena projekt  A Kerberos IV-et sok egyetemen használják (sok Kerberizált UNIX-os alkalmazás)  A Kerberos IV-et használta az Andrew File System (AFS)  A Kerberos v5 szabványos (RFC-1510)  A Kerberos IV és Kerberos v5 NEM működnek együtt!  A Windows 2000 Kerberos v5-öt valósít meg

Kik implementálták a Kerberost?  CyberSafe  DCE Kerberos  Computer Associates (megvette Platinum-ot (megvette az OpenVision-t))  Sun (Solaris 7-től)  IBM OS/390 (DCE)  MIT  Heimdal

Kerberos a Windows ben  Szabványok  RFC-1510  Kerberos change password – Internet Draft  Kerberos set password – Internet Draft

Windows 2000 és MIT Kerberos különbségek Windows 2000  Ügyfél  Bejelentkezés  Kijelentkezés  Tartomány tagság  Példa alk.: minden MIT  Ügyfél  Bejelentkezés után ‘kinit’-tel  Kijelentkezés előtt ‘kdestroy’-jal  Konfiguráció az /etc/krb5.conf-ban  Példa alk.: telnet

A PKI felhasználási területei  Smart Card  Titkosított fájlrendszer (EFS)  Titkosított levelezés  SSL  Kiszolgáló hitelesítés  Titkos adatátvitel  Ügyfél hitelesítés  1-1 vagy több-1 értelmű felhasználó megfeleltetés  Authenticode  RAS/VPN, IPSec

A Smart Cardok jellemzői  Nem Chip card!!!  ISO 7816  RSA crypto co-processor  Helyi tároló  6-24 KB ROM a Card OS-nak és az alkalmazásoknak  Byte (!) RAM a run-time adatoknak  1-16 KB EEPROM a felhasználói adatoknak  Card OS  Windows for Smart Cards, MULTOS, Java VM subset, Gemplus, Schlumberger, Siemens, Bull,...

Smart Card gyártók  Kártyák  Gemplus GemSAFE  Schlumberger Cryptoflex  Olvasók  USB  Advanced Card Systems, Fortress, Utimaco, SCM Microsystems  Serial  Bull, Cherry, Gemplus, Hewlett Packard, Litronic, Rainbow, Schlumberger, SCM Microsystems, Utimaco, XAC  PCMCIA  Gemplus, Schlumberger, SCM Microsystems, Toshiba, Tritheim, Utimaco

Smart Card a valóságban  Elég lassú  8-bit/16-bites adathozzáférés  Fél-duplex soros interfész  Korlátozott adatterület  Tanusítványok, kulcsok,...  Nincs szabvány az adatok tárolására

Smart Card előnyök  Sehogyan sem férhetünk hozzá a privát kulcshoz  Ott keletkezik és soha nem hagyja el a kártyát  Minden crypto művelet belül fut le, mi csak megkérjük a soros porton  Hordozható „igazolvány”

Smart Card a gyakorlatban  Csak a Users csoport tagjai élhetnek meg egy szál kártyával  Mi történjen, ha kihúzzuk a kártyát?  Lehetőségek:  Semmi  Képernyő zárolása  Kijelentkezés  Mindez házirenddel szabályozható

7 A KDC kiadja a TGT-t, amely a felhasználó publikus kulcsával lett titkosítva 8 A Smart Card dekódolja a TGT-t a felhasználó privát kulcsával. Az LSA bejelentkezteti a felhasználót. 2 PIN meg- adása 6 A tanusítvány ellenőrzése az AD alapján OlvasóOlvasó 1 A kártya előhívja a GINA-t SC 4 LSA elkéri a kártyától a tanusítványt 3 GINA átadja a PIN-t az LSA-nak LSA 5 A Kerberos elküldi a tanusítványt a KDC-nekKerberos KerberosKDC Smart Card Logon

PIN kód menedzsment  PIN  jelszó  A kártyához és nem a hálózathoz való hozzáférést szabályozza  A PIN soha, semmilyen formátumban nem megy át a hálózaton  A PIN-nek nem kell hosszúnak lennie  A Smart Card zárolja magát, ha ismételten próbálkoznak  A Windows 2000 éppen ezért NEM kezeli a PIN kódokat

Smart Card logon konfiguráció 1. Smart Card olvasó telepítése (PnP) 2. Enterprise Root CA telepítése (default) 3. „Enrollment Agent” és „Smart Card User” típusú sablonok engedélyezése 4. Enrollment Agent tanusítvány kérése az Administrator számára 5. Web enrollment oldalon „Smart Card User” tanusítvány a felhasználó számára 6. Tanusítvány letárolása a Smart Cardon 7. A munkaállomáson a CA tanusítványát telepíteni, hogy megbízzon benne (Házirend)

Encrypting File System (EFS)  Biztonságos adatvédelem  Az alkalmazások számára átlátszó és gyors  Elérhető a grafikus felületről vagy parancsorból  Alkalmazható egyes fájlokra vagy egész könyvtárakra (rekurzív)  Nagyvállalati szolgáltatások  Helyreállítás (a dolgozó kilépett a cégtől)  Titkosítás fájlszervereken és nem csak a munkaállomáson vagy notebook-okon  Automatikus kulcs menedzsment

Dokumentum titkosítás Data Recovery Field generálása (RSA) DRF Helyreállító ügynök nyilvános kulcsa (Házirend) Data Decryption Field generálása (RSA) DDF Felhasználó nyilvános kulcsa Titkosítás (DES) Holnap reggel *#$fjd a^j u539 Random Generátor File encryption key (FEK)

Dokumentum dekódolás DDF kibontás (RSA) DDFDDFDDFDDF A felhasználó privát kulcsa Visszafejtés (DES) Holnap reggel *#$fjd a^j u539 File encryption key (FEK)

Dokumentum helyreállítás DRF kibontás (RSA) DRFDRFDRFDRF A Recovery Agent privát kulcsa Visszafejtés (DES) Holnap reggel *#$fjd a^j u539 File encryption key (FEK)

Adat helyreállítás  “Encrypted Data Recovery Policy” (EDRP)  A domain házirend része  FEK az összes EDRP-ben tárolt nyilvános kulccsal titkosításra kerü  EDRP a tartomány minden gépén elérhető  A visszaállítás során nem a felhasználó privát kulcsát állítjuk vissza, hanem közvetlenül az adatot