Szolgáltatás Perem (forgalom) Szerver (tartalom, levelezés) Kliens (végpont) Azonosítás- és hozzáféréskezelés
Adatvédelem Azonosság- és hozzáférés-kezelés Biztonságos levelezés Biztonságos végpont Biztonságos csoportmunka
Adatvédelem Azonosság- és hozzáférés- kezelés Biztonságos levelezés Biztonságos végpont Biztonságos csoportmunka
TRUE negativeFalse PositiveFP RateFalse negativeTrue PositiveSC RateFinal Score BitDefender % %97.84% FortiMail % %97.26% Kaspersky % %96.85% M86 Mailmarshall % %98.84% McAfee Gateway % %96.69% McAfee EWSA % %98.06% MessageStream % %98.18% MS Forefront % %99.28% MXTools % % Sophos % %98.81% SPAMfighter % %96.51% SpamTitan % %98.54% Sunbelt VIPRE % %96.70% Symantec Brightmail % %98.86% Webroot % %98.49% Spamhaus % %
Adatvédelem Azonosság- és hozzáférés- kezelés Biztonságos levelezés Biztonságos végpont Biztonságos csoportmunka
Adatvédelem Azonosság- és hozzáférés- kezelés Biztonságos levelezés Biztonságos végpont Biztonságos csoportmunka
URL szűrés Malware szűrés HTTP / HTTPS tartalom szűrése NIS – Network Inspection Service a böngésző-alapú sebezhetőségek eliminálására
Gál Tamás - A biztonságos web átjáró TechNet Szakmai Nap előadás felvétele Gál Tamás – A kapun túl Microsoft Forefront Threat Management Gateway 2010 tankönyv
Valós idejű vírus és malware védelem a számítógépeken (akár kliens, akár szerver) Fejlett eszközök a komplex malwarek felfedezésére Központosított felügyeleti és jelentéskészítési eszközök a végpontok biztonsági állapotáról A Microsoft saját vírusvédelmi kutatócsapata gyorsan reagál
Network Layer File System Layer Application Layer Követő technikák (ismert veszélyek ellen) Megelőző technikák (ismeretlen veszélyek ellen) Antimalware Dynamic Translation & Emulation Behavior Monitoring Windows Resource Protection Data Execution Protection AppLocker Address Space Layer Randomization Windows Firewall Centralized Management FEP 2010 Windows 7 Internet Explorer 8 SmartScreen Filter Microsoft Malware Protection Center Dynamic Signature Service Vulnerability Shielding (NIS)
DIRECT ACCESS
Folyamatos, transzparens, biztonságos kapcsolat bármely tartományi kliens számára Nem kell manuálisan kapcsolódni a vállalati hálózathoz, mindez teljesen automatikus és észrevétlen Lehetővé válik a folyamatos, helytől független távmunka Házirend-alapú hozzáférési szabályok definiálása. Nem a helytől, hanem a végpont egészségi állapotától függ, beengedjük-e Vállalaton belüli és kívüli gépekre is lehetővé válik az azonnali és folyamatos távfelügyelet az IT számára (pl. patchelés) Windows 7 kliens Interneten elérhető szolgáltatások DirectAccess szerver Internal forgalom Internet forgalom Vállalati „belső” hálózat Intranet Internet
IPv6 eszközök IPv4 eszközök DirectAccess Server Windows 7 kliens Natív IPv6 + IPSec IPv6 / IPv4 átalakítás DA: transzparens, biztonságos kapcsolat VPN nélkül IPSec titkosítás és hitelesítés Közvetlen kapcsolat a belső IPv6 erőforrásokkal IPv4 támogatás (pl. 6to4, NAT-PT, NAT64) IT desktop felügyelet Group Policy, NAP, WSUS Internet Lehetővé teszi a DirectAccess kliensek felügyeletét
Gál Tamás - 6ártalanul: Forefront UAG + DirectAccess TechNet Szakmai Nap előadás felvétele
Ellenőrizhető a vállalati infrastruktúrához kapcsolódó számítógépek „egészségi” állapota (Policy Validation) A rossz „egészségi” állapotban lévő gépek izolált hálózatba kerülnek (Network Restriction) A nem megfelelő gépek automatikusan javíthatóak (Remediation) Kikényszeríthető az „egészségi” állapot folyamatos betartása (Ongoing Compliance) Corporate Network Remediation Servers e.g., Path Restricted Network Microsoft NPS Health Policies, Patchelés, Antivírus Not Policy Compliant Policy Compliant DHCP, VPN Switch/Router
Hozzáférést kérek. Itt az új egészségi állapotom. Network Policy Server Client Network Access Device (DHCP, VPN) Remediation Servers Van hozzáférésem? Mellékeltem a jelenlegi egészségi állapotom. A munkaállomás megfelel a házirendnek az egészségi állapota alapján? Folyamatos kommunikáció az NPS kiszolgálóval Korlátozott hozzáférést kaptál amíg nem frissíted magad Van valami frissítés? Itt van, alkalmazd. A házirend szerint a munkaállomás nem felel meg. Karanténba kell helyezni és frissíteni kell. Belső hálózat „Külső” hálózat A munkaállomás teljes hozzáférés kapott. A házirend szerint a munkaállomás megfelel. Hozzáférés megadva Health requirement Servers
DIRECT ACCESS
Microsoft BitLocker BitLocker merevlemeztitkosítás – bármelyik partícióra A Trusted Platform Module (TPM) chip védi az adatokat A Windows boot fájlok integritásának ellenőrzése Multifaktoros hitelesítés AES 128 vagy 256 bites kulcs titkosítás A titkosító kulcs Active Directory környezetben visszaállítható Microsoft BitLocker-To-Go Adatlopás elleni védelem hordozható eszközökre (USB kulcs, külső USB merevlemez) Ezek az eszközök rendkívül gyakran felejtődnek ott valahol – megfelelő védelemre van szükség Korábbi operációs rendszerekkel is kombatibilis (de csak olvasható módon)
Full Volume Encryption Key
Adatok FVEK VMK Key Protector
Azonosság- és hozzáférés-kezelés Biztonságos levelezés Biztonságos végpont Biztonságos csoportmunka AdatvédelemAdatvédelem
2 A védelem és a szabályok követik a dokumentumot vagy t 4 Policy A portálokon szabadon tárolhatunk bizalmas dokumentumokat Policy Hozzáféréskor kerül ellenőrzésre a jogosultság 51 A védelem és a szabályok követik a dokumentumot vagy t 3 6 Policy Az archívumban is fennál ugyanaz a védelem és marad a szabályozás Policy
A dokumentum teljes életciklusán át szabályozhatóak annak jogosultságai Felhasználók vagy csoportok alapján szabályozható, hogy ki és mit tehet egy dokumentummal Minden csatornán garantáltan biztonságos kommunikáción mehet csak keresztül a dokumentum A védett dokumentum használata a felhasználók számára a lehető leginkább transzparens Publishing License AD RMS Server AD RMS Client Az AD RMS szerver privát kulcsával aláírva A fájl létrehozásakor jön létre a titkosításhoz az Active Directory Rights Management Services (AD RMS) szerver publikus kulcsának segítségével A Content Key-jel titkosított tartalom A fájl tartalma (szöveg, képek, stb...) Felhasználási jogok Read, Print Read Content Key Felhasználó
4 5 A felhasználó létrehozza a “ajánlat.docx” dokumentumot egy Windows server 2008 R2 fájlszerveren A File Classification Infrastructure (FCI) szenzitív kategóriába sorolja be a dokumentumot (kulcsszó/RegEx alapján, vagy elérési útvonal alapján) - pl.: „Bizalmas információ” Egy automatizált felügyeleti folyamat az AD RMS Bulk Protection Tool segítségével RMS-sel levédi a dokumentumot, hogy csak a cég saját alkalmazottai érhessék el annak tartalmát A belső alkalmazottak tudják használni az “ajánlat.docx”-et Ha a dokumentum bármilyen úton kiszivárog, illetéktelen felhasználó nem tudja azt megnyitni FCI besorolás 2 c AD RMS védelem 3 c 1 A teljes folyamatot akár utólag, az összes meglévő dokumentumra is érvényre juttathatjuk!
Azonosság- és hozzáférés-kezelés Biztonságos levelezés Biztonságos végpont Biztonságos csoportmunka Active Directory ® Federation Services Adatvédelem
Távoli és mobil alkalmazottak Ügyfelek Beszállítók és harmadik féltől származó adatbázisok Ügyfélelégedettség Árverseny Személyre szabás Együtműködés, csoportmunka Kiszervezés Folyamat-automatizálás Szállítói lánc Összeolvadások és felvásárlások Mobil munkatársak Ideiglenes munkatársak Partnerek Az alkalmazottak a vállalati hálózaton
Alkalmazások összekötése Táv- és csoportmunka -Office -Live Meeting -Communicator Vastagkliens Mobil eszközök Böngészők Web Service Web Service Web Service Web Service Webszerver InternetVállalatPartner Web Service Web Service
SharePoint Server Farm Exchange 2010 AD DS AD FS Business Partners AD DS AD FS AD RMS Federation Trust Application Access Redirect to Security Token Service (STS) Authentication Token and claims Post claims Trey Research Account Forest Trey Research Account Forest Woodgrove Bank Resource Forest User Account/Credentials Security Token Az azonosságok megosztása partnerhálózatokkal és a felhő-szolgáltatásokkal − Akár RMS-t is meg lehet osztani vállalatok között, vagy a felhő felé − A Microsoft SharePoint Server is kihasználja az ADFS architektúrát
AD DSAD FS Egyszeri bejelentkezés egy felhasználóval egyszerre több hálózatba, alkalmazásba, szolgáltatásba, akár a felhőbe is A központosított jogosultságkezelés lehetősége, függetlenítve az egyes alkalmazásoktól Nyílt, iparági szabványokra építve Security Token (pl. Kerberos Ticket) AD FS elkészíti a SAML token-t Bejelentkezik a vállalat privát kulcsával Visszaküldi ezt a felhasználónak Ezzel együtt megkapja a hozzáférést is Partner ExchangeSharePointWebalkalmazásClaim-alapú alkalmazás Vállalati felhasználó FELHŐ SZOLGÁLTATÁSOK
Lokális szerverek Exchange Online Alan Brewer Joe Andresha