Biztonság és távelérés Gál Tamás tamas.gal@iqjb.hu MCT RL IQSOFT-John Bryce Oktatóközpont
Active Directory (A „Biztonság” kódnéven fut)
AD DS bevezetés Soha nem volt még ilyen egyszerű... A DCPromo nincs többé, helyette: Server Manager / PowerShell Alapos ellenőrzés: feltételek, hiányosságok, még a tényleges műveletek előtt Az összes előkészítő feladat beépült (séma/erdő/tartomány preparálás, működési szint emelés, stb.) Másik gépről is > egyetlen WS12 vagy W8 + RSAT elég mindenhez Az IFM preparálás (ntdsutil) közben az offline defrag elhagyható
AD Administrative Center Az ADAC határozottan tör előre Az ADUC pedig határozottan gyengül Régi/új elemek az új ADAC-ban Recycle Bin Windows Server 2008 R2 forest functional level szükséges + be kell kapcsolni Fine Grained Password Policy Jelszó objektumok elkészítése, szerkesztése és hozzárendelése Teljesen új megoldások PowerShell History Online Viewer Mindent látunk „Powershell-ül” az ADAC-ban Dynamic Access Control Lásd később, külön
ADAC demó DC telepítés / RB / FGPP / PS OHV
Active Directory virtualizáció - Safeguard A háttér A pillanatképek használata vagy a VM/VHD másolás problémás Egy rollback miatt árva (hátrahagyott) objektumok, inkonzisztens jelszavak és attribútumok, duplikált SID-ek és esetleg séma kavarodás is előfordulhat A megoldás: a biztonságos AD virtualizáció Amikor megszületik, minden virtuális WS12 DC kap egy ún. VM-Generation ID értéket A hypervisorban és az adott DC címtárpéldányában is tárolódik Menetközben a Hyper-V figyeli a problémás műveleteket (pl. snapshot) és változtat a saját értékén Minden adatbázis változás előtt (és a DC indításakor) összehasonlítás történik Ha a két érték passzol, akkor nincs probléma Ha nem, akkor egy korábbi állapot van, tehát egy Invocation ID + RID Pool reset művelet jön Minden adat megmarad és nem lesz árva objektum Megjegyzések: Csak Windows Server 2012 DC és Hyper-V esetén
Active Directory virtualizáció - klónozás Mikor? Gyors plusz tartományvezérlő igény, pl. egy katasztrófa utáni sürgős helyreállításkor Telephely, tesztkörnyezet Vagy éppen eltérő AD és Hyper-V jogosultsági kör esetén Mi kell hozzá? A VM-Generation ID miatt > WS12 DC + WS12 Hyper-V A PDC Emulator FSMO is WS12 kell, hogy legyen Speciális csoporttagság a forrás DC esetén > Cloneable Domain Controllers A konfigurációs és kivétel fájlok (.xml) generálása > PowerShell Egyéb tudnivalók Van offline üzemmód is, ha pl. több DC-t szeretnénk egyetlen vhd-ból AD LDS, AD CS, DHCP szerepkörök esetén nem támogatott
AD klónozás Offline demó
Először Powershell-lel preparáljuk...
...majd jön a Hyper-V export és import...
...aztán elindítjuk...
...és végül örülünk.
AD Based Activation KMS szerver helyett / mellett Volume licence (Windows/Office) esetén AD alapú aktíválást nyújt De a KMS-ként is működik illetve azzal együtt is RPC helyett LDAP-pal RODC-ken is Az ADBA-t csak a WS12/W8 tudja használni WS12 Active Directory séma kell hozzá (de DC nem!)
Off-Premises Domain Join Offline Domain Join Kliens gépfiók beléptetése aktív tartományvezérlő kapcsolat nélkül – a WS08R2/W7 páros esetén Off-Premises Domain Join A blob kiegészülhet a következő Direct Access követelményekkel Tanúsítványok Csoportházirend objektumok Az eredmény Ha van DirectAccess-ünk, akkor a gépek offline állapotában beléptethetjük Majd használhatjuk is rendeltetésszerűen a tartományban – távolból is Windows To Go-val is működik Feltételek Windows Server 2012 DC
Dynamic Access Control Háttér Kérdés: Kinek van 100-nál több biztonsági csoportja az AD-ban? Kérdés: Hány biztonsági csoport kell 25 telephely, 10 csoport és 2 kategória (érzékeny/nem érzékeny) esetén? A DAC lényege Alternatív jogosultsági rendszer az NTFS mellett / helyett – de a meglévő AD-val Kevesebb biztonsági csoport, központosított és rugalmasabb jogosultság kezelés Feltételek Windows Server 2012 DC Windows Server 2012 fájlszerver Windows 7/8 kliensek Windows Server 2012 Active Directory Administrative Center
Dynamic Access Control A koncepció Adat osztályozás Kifejezés alapú hozzáférés Kifejezés alapú auditálás Titkosítás Az adatok automatikus vagy manuális besorolása – az AD-ban tárolt erőforrás tulajdonságok alapján Automatikus besorolás a dokumentum tartalma alapján Rugalmas hozzáférési lista a dokumentum besorolása és /vagy a felhasználó / eszköz adatai alapján Központilag tárolt hozzáférési konfiguráció segítségével Célzott hozzáférési audit a dokumentum besorolása vagy a felhasználó/eszköz adatai alapján Központilag tárolt hozzáférési konfiguráció segítségével Automatikus RMS titkosítás a dokumentum besorolása alapján
Dynamic Access Control Az építőkockák Felhasználó és eszköz tulajdonságok, amelyek használhatók az ACE-ben Felhasználói / eszköz claim-ek Feltétel alapú ACE, boolean logikával illetve egyéb operátorokkal Kifejezés alapú ACE Az engedélyezés során használható a besorolás kondícióként Folyamatos és automatikus osztályozás Besorolás alapú automatizált RMS titkosítás Besorolás javítása Központi szabályok az AD-ban tárolva és akár több fájlszerverre alkalmazva Központi hozzáférési és audit szabályok A felhasználó jogosultságot kérhet ezen keresztül Az üzemeltető számára részletes információkat nyújt a hibaelhárításhoz Access-Denied segéd
Dynamic Access Control Eddig: csak Security Principal objektumok Kizárólag a csoporttagságra korlátózódik Sok esetben az ún. árnyékcsoportok létrehozására van szükség Csoportok egymásba ágyazhatósága régóta probléma Nem lehet a hozzáférést aszerint szabályozni, hogy a felhasználó milyen eszközről éri el az erőforrást WS12: Security Principal, User Claim, Device Claim Kiválasztott AD felhasználói/számítógép tulajdonságok bekerülnek az Access Token-be A claim direktben használható a fájlszerveren a jogok kiosztására Konzisztens állapot az erdőn belül, minden felhasználó kap claim-et Új típusú házirendek kialakítását teszi lehetővé Engedjük az írást ha User.MemberOf(Finance) és User.EmployeeType=FullTime és Device.Managed=True
Dynamic Access Control Kifejezés alapú ACE használata Korábban csak az „OR” csoportok alkalmazására volt lehetőség Képzeljük el: 500 project, 100 ország, 10 osztály Minden kombináció leírásához összesen 500e csoport kell ProjectZ UK Engineering Users ProjectZ Canada Engineering Users [stb.] Windows Server 2012 ACE Boolean logika Allow modify IF MemberOf(ProjectZ) AND MemberOf(UK) AND MemberOf(Engineering) 610 csoport az 500e helyett Windows Server 2012 - Central Access Policies és Classification Gyakorlatilag 3 db user claim
Expression-based access policy Dynamic Access Control A szabályok AD DS Fájlszerver Felhasználó claim-ek User.Department = Finance User.Clearance = High Eszköz claim-ek Device.Department = Finance Device.Managed = True Erőforrás tulajdonságok Resource.Department = Finance Resource.Impact = High Hozzáférési szabály Alkalmazva: Resource.Impact = High Allow | Read,Write | if (User.Department = Resource.Department) AND (Device.Managed = True)
DAC + ADA demó
Távoli elérés DirectAccess
DirectAccess Egyszerű bevezetés A telepítő varázsló akár összesen 2 lépésből is állhat Lehet tűzfal / NAT mögött a DirectAccess szerver Nem kell a 2 db publikus IPv4-es, sőt akár egy sem Lehet egyetlen hálózati interfésszel is DA szervert építeni Nem kötelező a PKI infrastruktúra kiépítése sem Nem szükséges az IPv6 infrastruktúra sem (!) Az egyetlen tunnel is egy rendelkezére álló lehetőség Választhatunk: távoli elérés és/vagy távoli felügyelet? Windows 7 kompatibilitás, de 1-2 feltétellel, pl. PKI infrastruktúra
DirectAccess További előnyök, újdonságok Hitelesítés változások TPM alapú virtuális smartcard támogatás One-time password (OTP) hitelesítés (eddig csak a Forefront UAG-gal működött) IP-HTTPS proxy mögött Kötelező proxy hitelesítés esetén egy idegen hálózatban is működik, IP-HTTPS-sel is IP-HTTPS NULL encryption Az IP-HTTPS mindig is izmosabb erőforrást követelt a dupla titkosítás miatt WS12-ben a felesleges redundáns SSL titkosítás megszűnt A Teredo-val összevethető, lényegesen nagyobb a teljesítmény az eredmény Windows To Go kompatibilitás NAP támogatás (eddig csak a Forefront UAG-gal működött) Egyszerű migráció a Forefront UAG DA-ról
DirectAccess Load Balancing Multisite Terheléselosztás több DA szerver között Eddig csak a Forefront UAG-gal volt elérhető Multisite Földrajzi vagy failover okokból Több, pl. telephelyenként különböző DA szerver elérése Automatikus belépési pont választás - Windows 8 kliensek esetén Windows 7 kliensek – rögzítés egy adott belépési ponthoz 50 ms 20 ms 150 ms
DirectAccess Integrált kliens A Windows 8-ban Automatikusan és gyorsan kapcsolódik Rugalmas hitelesítés: Kerberos, PKI, OTP, smartcard, virtuális smartcard + TPM Egyszerű a kliens állapotának nyomonkövetése, a beépített hálózati UI-n keresztül Kézzel válthatunk a DirectAccess belépési pontok között A kliens tulajdonság panelből összegyűjthetjük és elküldhetjük a részletes naplófájlokat pl. emailben
DirectAccess demó