Biztonság és távelérés

Slides:



Advertisements
Hasonló előadás
A virtuális munka-környezet
Advertisements

Dolgozni már bárhonnan lehet…
Adatbázis gyakorlat 1. Szerző: Varga Zsuzsanna ELTE-IK (2004) Budapest
Készítette: Nagy Márton
Kliens-szerver architektúra
Hálózati és Internet ismeretek
Felhasználói felületek és üzleti logika Bollobás Dávid ASP.NET
C++ programozási nyelv Gyakorlat hét
Client Access Server. Autodiscovery service Availability service (EWS) Offline Address Book (OAB) service Activesync service Outlook Web Access Public.
2007 ISP TANFOLYAM ÉSZAKNET, LH COM. USER AUTHENTIKÁCIÓ •MAC – IP •MAC – DHCP •MAC – IP – RADIUS •PPPoE – RADIUS.
Active Directory.
Tectia MobileID Express – Kétfaktoros erős autentikáció – 5 percen belül üzemkészen! január 16.
Hálózati architektúrák
A mobil munka- környezet Réczi Gábor MCSA, MVP, oktató NetAcademia Szentgyörgyi Tibor MCT, oktató Számalk Zrt.
Jogában áll belépni?! Détári Gábor, rendszermérnök.
Bemutatkozás Barta Csaba Deloitte Zrt. Manager CHFI
Új név, új tudás (RDS+VDI+RemoteFX)
Budapesti Műszaki és Gazdaságtudományi Egyetem Méréstechnika és Információs Rendszerek Tanszék Active Directory Micskei Zoltán
Vezeték nélküli hálózatok biztonsági megoldásai Készítette Hudac Lóránd (HULRAAI) A Bemutatóban szó lesz: Vezeték nélküli hálózatok felépítése Ezek működtetése.
Networkshop, április Gál Gyula, Szegedi Tudományegyetem, Egyetemi Könyvtár Szerver-kliens alapú online intranetes.
Erős bástya – biztonsági újdonságok
Exchange kiszolgálók védelme Data Protection Manager 2007-tel – 1. rész Leltár - Újdonságok az Exchange 2007 SP1-ben Exchange kiszolgálók védelme Data.
Platform A Vistából örökölt OS alap technológiák Windows Server Core Read-only Domain Controller Hozzáférés szabályzás, erőforrás elérés Network Access.
Storage Virtualization Presentation Virtualization Server Virtualization Desktop Virtualization Application Virtualization SYSTEM CENTER.
R2 AD – Éljenek a rövidítések!
Pandora felhasználók Active Directory migrációja.
Module 1: A Microsoft Windows XP Professional telepítése
Új Windows alapú intézményi szerverek (címtár és management) tervezése és kivitelezése.
Active Directory alapozás. Kommunikáció Kommunikáció.
Windows Server 2008 { Terminal Services }
AD {RMS} Active Directory Rights Management Services
…az ISA Server 2006 segítségével Gál Tamás Microsoft Magyarország.
Hálózatkezelési újdonságok Windows 7 / R2
Windows Server 2012 Kiadások, licencelés, lehetőségek
Demo/teszt környezetek Szerver konszolidáció Adatközpontok alapja.
RDS komplett átvilágítás VDI okosságok RemoteApp for Hyper-V.
- Active Directory - gyors áttekintés - Anno domini: Windows Server Anno domini: Windows Server 2008 R2.
Office 365 nap Zombory Zoltán ügyvezető ZOMPUTER Office 365 MVP
Windows Server 2012 R2 Gál Tamás
Központosított rendszerfelügyelet System Center Essentials 2007 Micskei Zoltán.
Budapesti Műszaki és Gazdaságtudományi Egyetem Méréstechnika és Információs Rendszerek Tanszék Active Directory Micskei Zoltán
Operációs Rendszerek 1 Felhasználókezelés Windisch Gergely
Nagy teherbírású rendszerüzemeltetés a felhőben. Miről lesz szó? Cloud áttekintő Terheléstípusok és kezelésük CDN Loadbalancing Nézzük a gyakorlatban.
{ PKI } Active Directory Certificate Services
Windows Server 2008 Távoli elérés – I.
Magas rendelkezésre állású Hyper-V rendszer építése
Storage újdonságok Windows Server 2012 R2 konferencia Kovács Zoltán Architect Microsoft Magyarország Kocsis Attila
Út a felhőbe - Azure IaaS Windows Server 2012 R2 konferencia
- RDP RDS szerepkörök - VDI Word.rdp Excel.rdp Virtual Desktop.rdp RD Web Access.
Eszköz és identitás kezelés Korlátlan fájl szerver kapacitás Másodlagos adatközpont Korlátlanul skálázódó infrastruktúra Biztonságos DMZ Hibrid adat-
A felhasználó központú IT Windows Server 2012 R2 konferencia
Active Directory Domain Services
Levelezés a Jedlikben Borbély Balázs rendszergazda-helyettes Jedlik Ányos Gimnázium.
Azure újdonságok Gál Tamás Datacenter Technical Specialist
AAA AAA Ki, mikor, mivel, hogyan? Mit csinált, mit csinálhat, (mit fog csinálni)? Ki mihez hogyan férhet hozzá? Authentication Authorization Accounting/Audit.
Christopher Chapman | MCT Content PM, Microsoft Learning, PDG Planning, Microsoft.
Live Communication Server Integrált kommunikációs infrastruktúra Mobil támogatás Munkaterület Instant üzenetküldés VOIP Alkalmazások, munkafolyamatok.
A Windows Server 2003 termékcsalád A Windows Server 2003 termékcsaládnak 4 tagja van: Windows Server 2003, Standard Edition Windows Server 2003, Enterprise.
Iskolai számítógépes hálózat bővítése Készítette Tóth László Ferenc.
Ismerkedés az Active Directory-val
A Windows Server 2003 telepítése. Javasolt, minimális hardver CPU1 GHz RAM512 MB HDD2-2,5 GB + Exchange, SQL…
Desktop virtualizáció Microsoft VDI használatával Háló Gyula.
A projekt az Európai Unió társfinanszírozásával, az Európa terv keretében valósul meg. Számítógép- hálózatok dr. Herdon Miklós dr. Kovács György Magó Zsolt.
DR+HA+B/R+Azure Gál Tamás Datacenter Technical Specialist
Ingyenes, online technikai kurzusok Microsoft Virtual Academy.
Felhasználók, felhasználócsoportok, jogosultságok.
Alapszolgáltatások A fájlszerver – milyen tárolókon?
AZURE RÉGIÓK Szoftver szolgáltatás SaaS Platform szolgáltatás PaaS Infrastruktúra szolgáltatás IaaS.
Hálózati architektúrák
Kisvállalati hálózat kialakítása raspberry szerverrel
Előadás másolata:

Biztonság és távelérés Gál Tamás tamas.gal@iqjb.hu MCT RL IQSOFT-John Bryce Oktatóközpont

Active Directory (A „Biztonság” kódnéven fut)

AD DS bevezetés Soha nem volt még ilyen egyszerű... A DCPromo nincs többé, helyette: Server Manager / PowerShell Alapos ellenőrzés: feltételek, hiányosságok, még a tényleges műveletek előtt Az összes előkészítő feladat beépült (séma/erdő/tartomány preparálás, működési szint emelés, stb.) Másik gépről is > egyetlen WS12 vagy W8 + RSAT elég mindenhez Az IFM preparálás (ntdsutil) közben az offline defrag elhagyható

AD Administrative Center Az ADAC határozottan tör előre Az ADUC pedig határozottan gyengül Régi/új elemek az új ADAC-ban Recycle Bin Windows Server 2008 R2 forest functional level szükséges + be kell kapcsolni Fine Grained Password Policy Jelszó objektumok elkészítése, szerkesztése és hozzárendelése Teljesen új megoldások PowerShell History Online Viewer Mindent látunk „Powershell-ül” az ADAC-ban Dynamic Access Control Lásd később, külön

ADAC demó DC telepítés / RB / FGPP / PS OHV

Active Directory virtualizáció - Safeguard A háttér A pillanatképek használata vagy a VM/VHD másolás problémás Egy rollback miatt árva (hátrahagyott) objektumok, inkonzisztens jelszavak és attribútumok, duplikált SID-ek és esetleg séma kavarodás is előfordulhat A megoldás: a biztonságos AD virtualizáció Amikor megszületik, minden virtuális WS12 DC kap egy ún. VM-Generation ID értéket A hypervisorban és az adott DC címtárpéldányában is tárolódik Menetközben a Hyper-V figyeli a problémás műveleteket (pl. snapshot) és változtat a saját értékén Minden adatbázis változás előtt (és a DC indításakor) összehasonlítás történik Ha a két érték passzol, akkor nincs probléma Ha nem, akkor egy korábbi állapot van, tehát egy Invocation ID + RID Pool reset művelet jön Minden adat megmarad és nem lesz árva objektum Megjegyzések: Csak Windows Server 2012 DC és Hyper-V esetén

Active Directory virtualizáció - klónozás Mikor? Gyors plusz tartományvezérlő igény, pl. egy katasztrófa utáni sürgős helyreállításkor Telephely, tesztkörnyezet Vagy éppen eltérő AD és Hyper-V jogosultsági kör esetén Mi kell hozzá? A VM-Generation ID miatt > WS12 DC + WS12 Hyper-V A PDC Emulator FSMO is WS12 kell, hogy legyen Speciális csoporttagság a forrás DC esetén > Cloneable Domain Controllers A konfigurációs és kivétel fájlok (.xml) generálása > PowerShell Egyéb tudnivalók Van offline üzemmód is, ha pl. több DC-t szeretnénk egyetlen vhd-ból AD LDS, AD CS, DHCP szerepkörök esetén nem támogatott

AD klónozás Offline demó

Először Powershell-lel preparáljuk...

...majd jön a Hyper-V export és import...

...aztán elindítjuk...

...és végül örülünk.

AD Based Activation KMS szerver helyett / mellett Volume licence (Windows/Office) esetén AD alapú aktíválást nyújt De a KMS-ként is működik illetve azzal együtt is RPC helyett LDAP-pal RODC-ken is Az ADBA-t csak a WS12/W8 tudja használni WS12 Active Directory séma kell hozzá (de DC nem!)

Off-Premises Domain Join Offline Domain Join Kliens gépfiók beléptetése aktív tartományvezérlő kapcsolat nélkül – a WS08R2/W7 páros esetén Off-Premises Domain Join A blob kiegészülhet a következő Direct Access követelményekkel Tanúsítványok Csoportházirend objektumok Az eredmény Ha van DirectAccess-ünk, akkor a gépek offline állapotában beléptethetjük Majd használhatjuk is rendeltetésszerűen a tartományban – távolból is Windows To Go-val is működik Feltételek Windows Server 2012 DC

Dynamic Access Control Háttér Kérdés: Kinek van 100-nál több biztonsági csoportja az AD-ban? Kérdés: Hány biztonsági csoport kell 25 telephely, 10 csoport és 2 kategória (érzékeny/nem érzékeny) esetén? A DAC lényege Alternatív jogosultsági rendszer az NTFS mellett / helyett – de a meglévő AD-val Kevesebb biztonsági csoport, központosított és rugalmasabb jogosultság kezelés Feltételek Windows Server 2012 DC Windows Server 2012 fájlszerver Windows 7/8 kliensek Windows Server 2012 Active Directory Administrative Center

Dynamic Access Control A koncepció Adat osztályozás Kifejezés alapú hozzáférés Kifejezés alapú auditálás Titkosítás Az adatok automatikus vagy manuális besorolása – az AD-ban tárolt erőforrás tulajdonságok alapján Automatikus besorolás a dokumentum tartalma alapján Rugalmas hozzáférési lista a dokumentum besorolása és /vagy a felhasználó / eszköz adatai alapján Központilag tárolt hozzáférési konfiguráció segítségével Célzott hozzáférési audit a dokumentum besorolása vagy a felhasználó/eszköz adatai alapján Központilag tárolt hozzáférési konfiguráció segítségével Automatikus RMS titkosítás a dokumentum besorolása alapján

Dynamic Access Control Az építőkockák Felhasználó és eszköz tulajdonságok, amelyek használhatók az ACE-ben Felhasználói / eszköz claim-ek Feltétel alapú ACE, boolean logikával illetve egyéb operátorokkal Kifejezés alapú ACE Az engedélyezés során használható a besorolás kondícióként Folyamatos és automatikus osztályozás Besorolás alapú automatizált RMS titkosítás Besorolás javítása Központi szabályok az AD-ban tárolva és akár több fájlszerverre alkalmazva Központi hozzáférési és audit szabályok A felhasználó jogosultságot kérhet ezen keresztül Az üzemeltető számára részletes információkat nyújt a hibaelhárításhoz Access-Denied segéd

Dynamic Access Control Eddig: csak Security Principal objektumok Kizárólag a csoporttagságra korlátózódik Sok esetben az ún. árnyékcsoportok létrehozására van szükség Csoportok egymásba ágyazhatósága régóta probléma Nem lehet a hozzáférést aszerint szabályozni, hogy a felhasználó milyen eszközről éri el az erőforrást WS12: Security Principal, User Claim, Device Claim Kiválasztott AD felhasználói/számítógép tulajdonságok bekerülnek az Access Token-be A claim direktben használható a fájlszerveren a jogok kiosztására Konzisztens állapot az erdőn belül, minden felhasználó kap claim-et Új típusú házirendek kialakítását teszi lehetővé Engedjük az írást ha User.MemberOf(Finance) és User.EmployeeType=FullTime és Device.Managed=True

Dynamic Access Control Kifejezés alapú ACE használata Korábban csak az „OR” csoportok alkalmazására volt lehetőség Képzeljük el: 500 project, 100 ország, 10 osztály Minden kombináció leírásához összesen 500e csoport kell ProjectZ UK Engineering Users ProjectZ Canada Engineering Users [stb.] Windows Server 2012 ACE Boolean logika Allow modify IF MemberOf(ProjectZ) AND MemberOf(UK) AND MemberOf(Engineering) 610 csoport az 500e helyett Windows Server 2012 - Central Access Policies és Classification Gyakorlatilag 3 db user claim

Expression-based access policy Dynamic Access Control A szabályok AD DS Fájlszerver Felhasználó claim-ek User.Department = Finance User.Clearance = High Eszköz claim-ek Device.Department = Finance Device.Managed = True Erőforrás tulajdonságok Resource.Department = Finance Resource.Impact = High Hozzáférési szabály Alkalmazva: Resource.Impact = High Allow | Read,Write | if (User.Department = Resource.Department) AND (Device.Managed = True)

DAC + ADA demó

Távoli elérés DirectAccess

DirectAccess Egyszerű bevezetés A telepítő varázsló akár összesen 2 lépésből is állhat Lehet tűzfal / NAT mögött a DirectAccess szerver Nem kell a 2 db publikus IPv4-es, sőt akár egy sem Lehet egyetlen hálózati interfésszel is DA szervert építeni Nem kötelező a PKI infrastruktúra kiépítése sem Nem szükséges az IPv6 infrastruktúra sem (!) Az egyetlen tunnel is egy rendelkezére álló lehetőség Választhatunk: távoli elérés és/vagy távoli felügyelet? Windows 7 kompatibilitás, de 1-2 feltétellel, pl. PKI infrastruktúra

DirectAccess További előnyök, újdonságok Hitelesítés változások TPM alapú virtuális smartcard támogatás One-time password (OTP) hitelesítés (eddig csak a Forefront UAG-gal működött) IP-HTTPS proxy mögött Kötelező proxy hitelesítés esetén egy idegen hálózatban is működik, IP-HTTPS-sel is IP-HTTPS NULL encryption Az IP-HTTPS mindig is izmosabb erőforrást követelt a dupla titkosítás miatt WS12-ben a felesleges redundáns SSL titkosítás megszűnt A Teredo-val összevethető, lényegesen nagyobb a teljesítmény az eredmény Windows To Go kompatibilitás NAP támogatás (eddig csak a Forefront UAG-gal működött) Egyszerű migráció a Forefront UAG DA-ról

DirectAccess Load Balancing Multisite Terheléselosztás több DA szerver között Eddig csak a Forefront UAG-gal volt elérhető Multisite Földrajzi vagy failover okokból Több, pl. telephelyenként különböző DA szerver elérése Automatikus belépési pont választás - Windows 8 kliensek esetén Windows 7 kliensek – rögzítés egy adott belépési ponthoz 50 ms 20 ms 150 ms

DirectAccess Integrált kliens A Windows 8-ban Automatikusan és gyorsan kapcsolódik Rugalmas hitelesítés: Kerberos, PKI, OTP, smartcard, virtuális smartcard + TPM Egyszerű a kliens állapotának nyomonkövetése, a beépített hálózati UI-n keresztül Kézzel válthatunk a DirectAccess belépési pontok között A kliens tulajdonság panelből összegyűjthetjük és elküldhetjük a részletes naplófájlokat pl. emailben

DirectAccess demó