Erős bástya – biztonsági újdonságok

Slides:



Advertisements
Hasonló előadás
Teljesen új elképzelés Minimum környezet – „sallangok” nélkül, viszont kompromisszumokkal Kifejezetten bizonyos szerepkörök ellátására Nem külön verzió,
Advertisements

A virtuális munka-környezet
Dolgozni már bárhonnan lehet…
Készítette: Nagy Márton
Tempus S_JEP Számítógép hálózatok Összefoglalás Összefoglalás Összeállította: Broczkó Péter (BMF)
Module 10: Supporting Remote Users távoli felhasználó támogatása.
Felhasználói felületek és üzleti logika Bollobás Dávid ASP.NET
Client Access Server. Autodiscovery service Availability service (EWS) Offline Address Book (OAB) service Activesync service Outlook Web Access Public.
Tectia MobileID Express – Kétfaktoros erős autentikáció – 5 percen belül üzemkészen! január 16.
Hálózati architektúrák
Hálózati architektúrák
- Virtualizációt az asztalra!
A mobil munka- környezet Réczi Gábor MCSA, MVP, oktató NetAcademia Szentgyörgyi Tibor MCT, oktató Számalk Zrt.
Jogában áll belépni?! Détári Gábor, rendszermérnök.
Bemutatkozás Barta Csaba Deloitte Zrt. Manager CHFI
Távoli elérés és munkavégzés Üzemeltetői szemmel
NAP bemutatása Komponensek Felhasználási területek DEMO: DHCP kényszerítés VPN kényszerítés NAP bevezetése.
Windows Server Hyper-V R2 SP1 újdongságok
Vezeték nélküli hálózatok biztonsági megoldásai Készítette Hudac Lóránd (HULRAAI) A Bemutatóban szó lesz: Vezeték nélküli hálózatok felépítése Ezek működtetése.
A Windows 7 automatizált telepítése Windows AIK használatával
Networkshop, április Gál Gyula, Szegedi Tudományegyetem, Egyetemi Könyvtár Szerver-kliens alapú online intranetes.
Network Access Protection
Üzemeltetői Konferencia V. Harmath Zoltán
Windows „Longhorn”Server kitekintés
Egy ISA szerver naplója Sárosi György Terméktámogatási Tanácsadó Microsoft Magyarország.
Megoldás Felhő szolgáltatások és Windows 7.
2012. augusztus Nyári Tanártovábbképzés.
Profilok helyben és hálózatban
Exchange kiszolgálók védelme Data Protection Manager 2007-tel – 1. rész Leltár - Újdonságok az Exchange 2007 SP1-ben Exchange kiszolgálók védelme Data.
Átállás.
Platform A Vistából örökölt OS alap technológiák Windows Server Core Read-only Domain Controller Hozzáférés szabályzás, erőforrás elérés Network Access.
Operációs Rendszerek WindowsXP®.
Module 1: A Microsoft Windows XP Professional telepítése
Új Windows alapú intézményi szerverek (címtár és management) tervezése és kivitelezése.
PHP VII Sütik, munkamenetek. Sütik Mi az a süti? A süti (cookie) állapotot tárol a felhasználó böngészőjében. Pl. ha egy oldalon beállítható, hogy milyen.
TMG délelőtt / 1 Forefront Threat Management Gateway 2010 Alapozzunk!
Windows Server 2008 { Terminal Services }
AD {RMS} Active Directory Rights Management Services
…az ISA Server 2006 segítségével Gál Tamás Microsoft Magyarország.
„Hagyományos” VPN protokollok PPTP Windows NT és „kortársai” Windows 2000 Windows XP, Windows Server 2003 Windows Vista, Windows Server 2008 L2TP Windows.
Hálózatkezelési újdonságok Windows 7 / R2
Miért felügyeljük az ügyfélkörnyezetet? Tervezési segédlet Ügynök nélküli felügyelet A fontos ügyfelekről Riportok, trendek és amit ezekből tanulhatunk.
RDS komplett átvilágítás VDI okosságok RemoteApp for Hyper-V.
Desktopok fájdalommentes frissítése Kovács Zoltán Architect Farkas Attila Konzulens.
Felhasználók azonosítása és jogosultságai, személyre szabás Borsi Katalin és Fóti Marcell NetAcademia Oktatóközpont.
{ PKI } Active Directory Certificate Services
Windows Server 2008 Távoli elérés – I.
Alapozó eszközök Eseménynapló Eseményszámba megy… Analytic and Debug Logs Custom Views / Cross-log queries Event Forwarding > Subscriptions Feladatütemező.
A tömeges telepítés csodálatos világa
WS08 R2 üzemeltetői szemmel
Szabályzás, folyamatok, tudatosság Fizikai biztonság Perimeter Belső hálózat Operációs rendszer Alkalmazások Adatok SMTP (25) HTTP (80) HTTPS (443)
- RDP RDS szerepkörök - VDI Word.rdp Excel.rdp Virtual Desktop.rdp RD Web Access.
A teljes infrastruktúra egységesített felügyelete és védelme.
Eszköz és identitás kezelés Korlátlan fájl szerver kapacitás Másodlagos adatközpont Korlátlanul skálázódó infrastruktúra Biztonságos DMZ Hibrid adat-
Active Directory Domain Services
- S2S VPN - Server Core - DFS-R - BranchCache.
Amit már ismer(het)ünk GPMC v2 újdonságok Group Policy Preferences.
Alkalmazás- és eszközfelügyelet a felhőből
SQL Server 7 installálása. A szükséges hardver és szoftver Processzor Memória Háttértár OS Hálózat Kliensek.
Desktop virtualizáció Microsoft VDI használatával Háló Gyula.
A projekt az Európai Unió társfinanszírozásával, az Európa terv keretében valósul meg. Számítógép- hálózatok dr. Herdon Miklós dr. Kovács György Magó Zsolt.
Operációs Rendszerek gyakorlat Rövid András
DR+HA+B/R+Azure Gál Tamás Datacenter Technical Specialist
Ingyenes, online technikai kurzusok Microsoft Virtual Academy.
Felhasználók, felhasználócsoportok, jogosultságok.
Rendszergazda Tábor Velence 2000 Molnár Péterwww.afg1.sulinet.hu/~molnarp/enewmail.htm.
AZURE RÉGIÓK Szoftver szolgáltatás SaaS Platform szolgáltatás PaaS Infrastruktúra szolgáltatás IaaS.
Hálózati architektúrák
Hálózati architektúrák
Kisvállalati hálózat kialakítása raspberry szerverrel
Előadás másolata:

Erős bástya – biztonsági újdonságok Gál Tamás v-tagal@microsoft.com rendszermérnök Microsoft Magyarország

Tartalom Ismétlés AD – Alternatív jelszó házirend BitLocker, EFS SSTP VPN

Ismétlés Windows Service hardening, Session 0 izoláció, belépés-hitelesítés OS fájl védelem, eszköz/driver telepítés korlátok UAC, Windows Defender, IE7 védett mód WF with Advanced Security, IPSec Kismillió GP opció NAP Stb.

Tartalom Ismétlés AD – Alternatív jelszó házirend BitLocker, EFS SSTP VPN

AD - Alternatív jelszóházirend 4/4/2017 2:24 PM AD - Alternatív jelszóházirend Eddig: egy tartomány = egy jelszó házirend, pedig lehetne alternatíva, igény van rá  W2K8: tetszőleges számú új jelszó- és kizárási házirend a tartományon belül Teljesen új logika szerint Nem egy új opció a Csoportházirendben Kritériumok Windows Server 2008 tartományi működési szint Kliensoldalon nincs semmilyen feltétel © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

AD - Alternatív jelszóházirend 4/4/2017 2:24 PM AD - Alternatív jelszóházirend Csak a felhasználóknak és a globális biztonsági csoportoknak Nem alkalmazható a szervezeti egységeken is Át kell gondolni a hierarchiát Több új jelszóházirend is érvényesülhet egy adott fiókon „Precedence rules” Jelenleg kissé nehézkes kezelni De jön az FGPP Management a Beta 3-ban még nincs © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

Alternatív jelszóházirend demó

Tartalom Ismétlés AD – Alternatív jelszó házirend BitLocker, EFS SSTP VPN

BitLocker Újdonságok Opcionális komponens Kötetek támogatása Server Manager-en keresztül telepíthető Kötetek támogatása Bármelyik kötet védelme (kivéve amiről fut az OS) Külön kell (lehet) engedélyezni kötetenként Az indításakor egy „auto-unlock” és egy visszaállítási kulcsot generál Új kombináció: TPM+USB+PIN UEFI support (csak 64 biten)

BitLocker AD előkészítés 4/4/2017 2:24 PM BitLocker AD előkészítés Séma kiterjesztés > tárolási helyek + jogosultsági lista Minden DC minimum Windows Server 2003 SP1 W2K8 Beta 3 és felett a sémabővítés megtörtént Egy sérült Bitlocker kötet helyrerakásához kell: 48 digites visszaállítási jelszó Egy ún. „Key package data” Mindkettő szükséges minden számítógép objektum esetén Egyetlen TPM user jelszó létezik gépenként Viszont több visszaállítási jelszót is generálhatunk MICROSOFT CONFIDENTIAL © 2006 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

BitLocker GP opciók Alapértelmezés szerint nincs mentés az AD-ba! A visszaállításhoz: AD 48 karakteres jelszó USB: 256 bites kulcs Recovery folder: központi megosztás a visszaállítási jelszó tárolásra

BitLocker Parancssorból manage-bde.wsf ki-be kapcsolás, alapműveletek %systemdrive%\Windows\system32 Az ajánlás szerint kisebb környezetbe való BitLocker szkriptek / TPM WMI providerek Nagyobb méretekben Speciális vagy tömeges telepítésnél (unattend, ImageX, WDS, SMS 2003 OSD) Minta szkript - EnableBitLocker.vbs

BitLocker Egyéb eszközök (Premier ügyfeleknek) BitLocker Drive Preparation Tool A megfelelő környezet utólagos létrehozása Szkriptelhető parancssori felület, testreszabható alkalmazás BitLocker Recovery Password Viewer for AD A címtárban tárolt jelszavak megkeresése és megtekintése Az erdőben kereshetünk vele, tartományok között is BitLocker Repair Tool Adatmentés egy sérült, titkosított kötetről A visszaállítási jelszó vagy kulcs azért ehhez is kell

EFS Újdonságok Smartcard támogatás Képes tárolni a user és a visszaállítási kulcsokat Belépésnél cache-elheti a PIN-t > SSO Felhasználónkénti Offline Files titkosítás Pagefile titkosítás (csak óvatosan) Recovery: RDP-n keresztül is Varázslók minden művelethez

EFS házirend változások

EFS Remote Files Trust kapcsolat kell a delegáláshoz Egyszerű fájlküldés SMB (2.0) protokoll Szerver A kliens kapcsolódik a szerver megosztáshoz Távoli EFS titkosítás (A szerver „megszemélyesíti” a felhasználót a kulcsokhoz és a tanúsítványhoz)

Tartalom Ismétlés AD – Alternatív jelszó házirend BitLocker, EFS SSTP VPN

SSTP Secure Socket Tunneling Protocol – „VPN over HTTPS” Abszolút tűzfalbarát, minden NAT / tűzfal átengedi Nem igényel extra konfigot a szerveroldalon Nem igényel extra komponenseket / beállításokat a kliensoldalon Hitelesítés a PPP rétegben > nincs újdonság Beépített NAP „health check” opció Teljesen CMAK kompatibilis (lesz), IPv6 is Csak W2K8 és Vista SP1 kompatibilis Site-to-Site VPN esetén nem használható