Az előadás letöltése folymat van. Kérjük, várjon

Az előadás letöltése folymat van. Kérjük, várjon

Szalontay Zoltán, Tarsoly Balázs rendszermérnökök Microsoft Magyarország Biztonsági szolgáltatások Windows 2000-ben.

Hasonló előadás


Az előadások a következő témára: "Szalontay Zoltán, Tarsoly Balázs rendszermérnökök Microsoft Magyarország Biztonsági szolgáltatások Windows 2000-ben."— Előadás másolata:

1 Szalontay Zoltán, Tarsoly Balázs rendszermérnökök Microsoft Magyarország Biztonsági szolgáltatások Windows 2000-ben

2 Önök egy sorozatot látnak... 1. Active Directory, a Windows 2000 új címtára 2. Felhasználó és szoftver menedzsment 3. Biztonsági szolgáltatások a Windows 2000-ben 4. A Windows 2000 infrastruktúrális szolgáltatásai 5. A Windows 2000 mint alkalmazás kiszolgáló 6. A Windows 2000 telepítése és üzembehelyezése 7. A Windows 2000 NetWare és UNIX környezetben

3 Miről lesz szó?  Házirendendben előírt biztonság  A titkosítás alapjai  Tanusítványok és a Certificate Authority  A Windows 2000 biztonsági alrendszere  Mire és hogyan használhatjuk mindezt?

4 Egy kis ismétlés Az AD kettős fastruktúrája

5 Egy kis ismétlés Csoportos házirend működése  Kulcs fogalmak  IntelliMirror, GPO, GPOLink, Öröklődés, No Override, Block, Loopback processing, AGP Site Domain OU Végeredmény

6 Mire terjed ki a biztonság fogalma?  Jelszó és kizárási szabályok  Felhasználó jogosultság  Auditálás  Naplózási beállítások  Kötelező csoport tagság (Restricted Groups)  Szervizek  Fájlrendszer és Registry ACL–ek  Kerberos beállítások  Public Key és IPSec beállítások

7 Mit hol találunk ?  Default Domain Policy határozza meg a Account Policies-t, úgy mint  Password Policy  Lockout Policy  Kerberos Policy  NINCS öröklődés. Minden DC függetlenül attól hogy hol van, a Default Domain Policy-t követi  Default Domain Controller Policy határozza meg a Local Policies-t, úgy mint  Audit  User Rights  Security Options  Ne keverjük a beállításokat

8 Biztonsági sablonok  A biztonsági beállításokat sablonokban definiálhatjuk  C:\Winnt\security\templates\*.INF  Sablonok létrehozására, módosítására a „Security Templates” Snap-In használható  Néhány rövidítés  BasicDC- alap DC konfiguráció  CompatWS- kompatibilis Workstation  HisecWs – Highly Secured Workstation

9 A fájl jogosultságokról Ezzel azt szabályozzuk mi legyen a felülről érkező jogosultságokkal Ezzel azt szabályozzuk mi történjen lejjebb a jogosultságokkal

10 A Restricted Group-ról  Csak az itt felsorolt felhasználók lehetnek tagjai a csoportnak  Ha hiányzik, hozzáadódik  Ha felesleges, törlődik  Az itt felsorolt csoportoknak lesz tagja az adott Restricted Group  Ha a lista üres, az NEM jelenti meglévő csoporthoz tartozás törlését  A megadott csoporttagságot garantáljuk

11 Biztonsági beállítások analízise  Szeretném tudni, hogy viszonyulnak a gépek biztonsági beállításai a referenciához képest  Biztonsági rések keresése  Erre a „Security Configuration and Analysis” Snap-In a megfelelő eszköz  Az analízis adatbázis alapú, először meg kell mondanunk mihez hasonlítunk  Sablon betöltése az adatbázisba

12 Másodlagos bejelentkezés  Probléma: Az adminisztrátor az adminisztrátori fiókkal felhasználói tevékenységet végez  Ez potenciális veszélyforrás  Legyen az adminisztrátornak is normál felhasználói fiókja   Szükség esetén használja a másodlagos bejelentkezést (Run as)  Tipikus felhasználás: „runas /user:... mmc.exe”  Shift + Right Click  Ami mindezt lehetővé teszi  Secondary Logon Service  Korlátozás  A Shellből indított programokra nem vonatkozik, azok mindig az elsődleges bejelentkezés alapján futnak

13 Titkosítási alapfogalmak  Alapfogalmak  Eredeti szöveg  Titkosított szöveg  Titkosítási kulcs  Titkosító algoritmus Titkos szöveg m%a a?w 02030507

14 Titkosítási módszerek I.  Privát kulcsos titkosítás  Más néven szimmetrikus  Egy kulcs van, melyet a kommunikáció megkezdése előtt kicserélnek a felek  A titkosításhoz és a visszafejtéshez ugyanazt a kulcsot használjuk  Jól ismert algoritmusok  DES  Triple-DES  RC2, RC4  IDEA

15 A kulcsdisztribúció problémái  N embernek N*(N-1)/2 kulcsra van szüksége  30.000 ember esetén ez 449,985,000 kulcsot jelent  Nem tudunk minden potenciális partnerrel egy kulcsot cserélni és azt tárolni  A 22-es csapdája, hogy kommunikáljunk titkosítva, ha még nem értettünk egyet a titkosítás kulcsán  A titkosítási kulcs szükségképpen titkosítatlanul megy át a csatornán?

16 Key Distribution Center KDC KbKb KaKa K session Alice Bob

17 Titkosítási módszerek II.  Nyilvános kulcsú titkosítás  Más néven aszimmetrikus  Minden kommunikáló félhez két kulcs tartozik  Nyilvános kulcs (bárki ismerheti)  Privát kulcs (csak én ismerem)  A titkosításhoz és a dekódoláshoz más- más kulcsot használunk  Jól ismert algoritmusok  Diffie-Hellman  RSA

18 Hogy működik ? A nyilvános kulcsú titkosítás K b-privát K a-privát AliceBob K b-nyilvános Holnap reggel *#$fjd a^j u539 K a-nyilvános Holnap reggel K a-privát K a-nyilvános

19 Nyilvános vs. Privát kulcsos titkosítás  Nyilvános kulcsos módszer előnyei  A nyilvános kulcs bárkinek kiadható, a kulcs menedzsment problémája megszűnik  Ez a módszer lehetőséget ad digitális aláírások használatára  Nyilvános kulcsos módszer hátrányai  Az algoritmusok lényegesen lassabbak, kb. 1000 szeres eltérés van a Privát kulcsos módszerhez képest

20 Hash algoritmusok  Tetszőleges hosszúságú üzenetet fix hosszúság értékké alakítanak  Csak egyirányú  Gyorsan elvégezhető művelet  Nagy valószínűséggel nem lehet két olyan bemenő üzenetet találni, melynek Hash értéke azonos (1/2 n a valószínűsége, hogy azonos az érték)  Algoritmusok  MD2,MD3, MD4, MD5 Holnap reggel Hash függvény Hash érték Message digest

21 Digitális aláírás AliceBob Holnap reggel K b-privát K b-nyilvános Hash Hash érték SDcF dsa4 Holnap reggel Hash érték =? Hash

22 Tanusítvány (Certificate)  Egy természetes személy azonosságát és tulajdonságait egy nyilvános kulcshoz köti  Egy Certification Authority (CA) írja alá  Gondoljunk az útlevélre A tulajdonos nyilvános kulcsa A kiállító személye Subject: Zoltan Szalontay Not Before: 6/18/99 Not After: 6/18/06 Signed: Cg6&^78#@dx Serial Number: 29483756 Subject’s Public key: public Secure Email Client Authentication Bővítmények A tulajdonos személye Eddig érvényes Issuer: autodc1.auto.hu A CA digitális aláírása CA adja Ettől érvényes

23 Két elterjedt PKI szabvány  X.509 version 3  A tanusítványok formátumát előíró szabvány  PKCS #...  Az RSA által kiadott ajánlások a tanusítványokkal kapcsolatos műveletekre, pl.:  PKCS #10: tanusítvány kérelem  PKCS #7: tanusítvány kiadása

24 Certification Authority (CA)  Kinek állíthat ki tanusítványt?  Saját magának (Root)  Egy másik CA-nak (Subordinate)  Egy regisztrációs személynek (enrollment agent, pl. az administrator)  Végfelhasználóknak (tényleges emberek vagy számítógépek)  Egy CA-nak, amelyben megbízunk, kell hogy legyen  Érvényes eredetiség igazolása  Visszavonási státusza

25 CA-k közötti kapcsolat  Hierarchiát alkotnak  Hagyományos, „fa” típusú hierarchia  Tagjai vagy root vagy alárendelt (subordinate) CA-k  Lehetővé teszi az offline (kikapcsolt) CA- kat (biztonságosabb)  Kereszthivatkozásos hierarchia esetén  Egy CA lehet root és alárendelt is  Nem lehet kikapcsolt CA

26 CA fa hierarchia Funkció CA-k Kiadó CA-k Issuer : Root Subject : Root Issuer : Fn1CA Subject : Kiadó2CA Issuer : Root Subject : Fn1CA Root CA Issuer : Fn2CA Subject : Kiadó3CA Issuer : Fn1CA Subject : Kiadó1CA Issuer : Root Subject : Fn2CA

27 Tanusítványok ellenőrzése Issuer : Fn1Ca Subject : Alice Public Key: 1., Alice tanusítványának ellenőrzése az Fn1CA nyilvános kulcsának segítségével Issuer : Root Subject : Fn1CA Public Key: 2., Az Fn1CA tanusítványának ellenőrzése a Root nyilvános kulcsának segítségével Issuer : Root Subject : Root Public Key: 3., A Root CA-ban eleve megbízunk és megvan a nyilvános kulcsa

28 A Windows 2000 CA Service jellemzői  Root vagy subordinate  RSA vagy DSA tanusítványok  Hardver/szoftver Crypto Service Provider  Megnövelt skálázhatóság  Windows NT 4.0 = 10,000 tanusítvány/CA  Windows 2000 = 1,000,000/CA  Az AD-vel megegyező adatbázis technológia (Jet blue)  Integrált az Active Directoryval

29 Windows 2000 CA típusok  Enterprise  A kéréseket az AD hitelesíti  A tanusítvány tartalmát sablonokkal írhatjuk le  Támogatja az Exchange 2000-et  Kell hozzá Active Directory  Standalone  Hasonló a más megoldásokhoz, pl. Netscape  Ha látja az AD-t, ott tárolja a tanusítványokat

30 Tanusítvány sablonok  Az Active Directory tárolja  Sablonok egy- vagy több célú felhasználásra  Előre be vannak égetve, nem módosíthatóak  Megoldás: Custom Policy module  Jogosultságokkal korlátozhatjuk, hogy ki milyen sablont használhat  A különböző CA-knak különféle sablonokat engedélyezhetünk  Egy-egy CA a különböző szerepkörökhöz

31 Visszavont tanusítványok listája Certificate Revocation List (CRL)  A már kiadott tanusítványok érvényteleníthetőek (feketelista)  A CRL-t a CA írja alá  A CRL automatikusan vagy manuálisan juttatható el az ügyfélhez  A CRL nagy is lehet  Sablonok segítségével partícionálhatjuk (skálázhatóság)  Certificate Revocation List tartalmazza  A visszavont tanusítványok sorozatszámát  A visszavonás okát

32 Megbízunk-e a CA-ban?  A Windows 2000 alapértelmezésben kb. 40 Root CA-ban bízik meg  Verisign, SGC, Thawte, Netlock, stb.  Letilthatóak  SSL, titkosított levelezés és digitális aláírás  Csoportos Házirendben (GPO) megadhatunk újabb megbízható CA-kat  Enterprise Root CA  Active Directoryt használ  Automatikusan megbíznak benne

33 Mit írhatunk elő a csoportos házirendekkel?  Root CA-k  Külső Root CA-k tanusítványai  EFS Recovery Agentek  Megadhatjuk, hogy ki férhet hozzá a titkosított dokumentumainkhoz  Automatikus tanusítvány kiadás  Csak gépekre (pl. IPSec, SSL)

34 Tanusítványok kiadása  Kulcspáronként kérjük  Kettős felhasználás: aláírás ÉS titkosítás  Egyszeres felhasználás: aláírás VAGY titkosítás  A hitelesítés online vagy offline  Három módszer  Win32 varázsló (MMC, hitelesített RPC)  ActiveX vezérlő egy weben (HTTP)  Kinek kérjük?  Magunknak  Más számára (csak web és smart card esetén)  Számítógépek  Házirenden keresztül

35 Authentikáció = hitelesítés Authorizáció = felhatalmazás  Hitelesítés (azonosítás) a felhasználói adatok alapján történik  Tartománynév, felhasználó név, jelszó  A felhasználói fiók adatai az Active Directoryban  Felhatalmazással adjuk meg, hogy mihez fér hozzá a már azonosított felhasználó  Tipikusan csoport tagságok alapján

36 Fájl- és nyomtató szolgáltatások MicrosoftExchange SQL Server Távoli elérés Nyilvános hálózat Alkalmazás SNA Server Integrált, egyszeri azonosítás Single sign-on (SSO) Internet Information Proxy Internet Alkalmazás

37 Hitelesítési protokollok  Korábbról ismerjük  Windows NTLM hitelesítés  Szükség van rá vegyes környezetben  Secure Sockets Layer (SSL)  Web alapú alkalmazásoknál  Windows 2000 újdonság  Kerberos v5  Alapértelmezés szerinti hitelesítés  Transport Layer Security (TLS)  Pl. Smart Card bejelentkezés esetén

38 Kerberos v5  Elosztott felhasználó hitelesítési protokoll  Időalapú tikettekkel dolgozik  A Key Distribution Center (KDC) állítja elő a tiketteket  A Windows 2000 tartomány megfelelője a Kerberos rendszerekben a Realm  A realmok (tartományok) között tranzitív trust kapcsolat hozható létre

39 Ismétlés: NTLM v1 hitelesítés Challenge/Response A jelszó NEM ment át a hálózaton! Windows NT Workstation Windows NT Server SAM • SID • LM pwd • NT pwd Pwd kódolás 1.One Way Func. (RSA- MD4, 16 bites kivonat) 2. Domain RID 1. Erőforrás használata 2. Challenge: 16 bájt 3. Response: OWF(Ch)

40 Windows 2000 Active Directory Key Distribution Center (KDC) Windows 2000 tartományvezérlő 1. DNS-sel megkeresi az AD-t és a KDC-t 2. Hitelesíti a felhasználót és szerez egy Ticket Granting Tikettet (TGT) a KDC-től TGT Kerberos: Logon 3. A TGT-vel kér egy session tikettet a munkaállomáshoz Session

41 Kerberos tikettek  Adott ideig érvényesek  Hol állítható be?   Lejárt tikettet helyett újat kell igényelni  Az igényléskor a KDC egyezteti az időt az ügyféllel  5 perc eltérés megengedett  Házirendben szabályozható  Ennél nagyobb eltérés esetén a KDC NEM ad tikettet! Ld.Time Service  E miatt nem mehet a dcpromo.exe

42 Alkalmazás kiszolgáló 3.Ellenőrzi, hogy a session tikettet a KDC adta-e ki Hálózati erőforrás elérése Windows 2000 Active Directory Key Distribution Center (KDC) Windows 2000 tartományvezérlő 2.Bemutatja a session tikettet a kapcsolat felvételekor TGT 1.Elküldi a TGT-t és kér egy session tikettet a KDC-től a cél kiszolgálóhoz

43 2.Bemutatja a Session tikettet Server1 1.Kér egy Session tikettet Server1- hez a KDC-től, („proxy” flag = on) Server2 3.Megszemélyesít és kér egy tikettet a Server2-höz 4.Session tikett Server2- höz Windows 2000 Active Directory Key Distribution Center (KDC) Windows 2000 tartományvezérlő Többrétegű alkalmazások

44 Kerberos Trust kapcsolatok UNIX Kerberos Realm Külön létrehozott Kerberos trust Kézzel konfigurált Windows NT 4.0-féle trust Windows NT 4.0-féle trust Domain Domain Domain DomainDomain auto.hu szerviz.auto.hu budapest.auto.hu Kerberos trust

45 Unix KDC használata Windows 2000 hitelesítésre Win2000 Professional Windows 2000 Server company.realm auto.hu MIT KDC Windows 2000 KDC 1 TGT 2TGT A név és egy Windows NT felhasználó összerendelése 3 tikett 4 tikett Hitelesítési adatok

46 A Kerberos protokoll előnyei  Gyorsabb hitelesítés  Skálázhatóbb kiszolgáló alkalmazások  Egy gyorsítótár segítségével a jegyek újra felhasználhatók  Ügyfél és kiszolgáló kölcsönös hitelesítése  A hitelesítés delegálható  Hitelesítés több rétegű ügyfél/kiszolgáló felépítés esetén  Tranzitív bizalmi kapcsolat a tartományok között  Egyszerűsödik a tartományok közötti menedzsment  Érett és elterjedt IETF szabvány

47 Secure RPC HTTP SSPI IE, IIS NTLM Kerberos SChannel SSL/TLS NTLM KDC/DS COM+ POP3, NNTP Mail, News CIFS/SMB Fájl elérés Hitelesítést használó szolgáltatások LDAP ADSI alkalmazás

48 Kerberos történelme  Kerberos IV: MIT Athena projekt  A Kerberos IV-et sok egyetemen használják (sok Kerberizált UNIX-os alkalmazás)  A Kerberos IV-et használta az Andrew File System (AFS)  A Kerberos v5 szabványos (RFC-1510)  A Kerberos IV és Kerberos v5 NEM működnek együtt!  A Windows 2000 Kerberos v5-öt valósít meg

49 Kik implementálták a Kerberost?  CyberSafe  DCE Kerberos  Computer Associates (megvette Platinum-ot (megvette az OpenVision-t))  Sun (Solaris 7-től)  IBM OS/390 (DCE)  MIT  Heimdal

50 Kerberos a Windows 2000- ben  Szabványok  RFC-1510  Kerberos change password – Internet Draft  Kerberos set password – Internet Draft

51 Windows 2000 és MIT Kerberos különbségek Windows 2000  Ügyfél  Bejelentkezés  Kijelentkezés  Tartomány tagság  Példa alk.: minden MIT  Ügyfél  Bejelentkezés után ‘kinit’-tel  Kijelentkezés előtt ‘kdestroy’-jal  Konfiguráció az /etc/krb5.conf-ban  Példa alk.: telnet

52 A PKI felhasználási területei  Smart Card  Titkosított fájlrendszer (EFS)  Titkosított levelezés  SSL  Kiszolgáló hitelesítés  Titkos adatátvitel  Ügyfél hitelesítés  1-1 vagy több-1 értelmű felhasználó megfeleltetés  Authenticode  RAS/VPN, IPSec

53 A Smart Cardok jellemzői  Nem Chip card!!!  ISO 7816  RSA crypto co-processor  Helyi tároló  6-24 KB ROM a Card OS-nak és az alkalmazásoknak  128-512 Byte (!) RAM a run-time adatoknak  1-16 KB EEPROM a felhasználói adatoknak  Card OS  Windows for Smart Cards, MULTOS, Java VM subset, Gemplus, Schlumberger, Siemens, Bull,...

54 Smart Card gyártók  Kártyák  Gemplus GemSAFE  Schlumberger Cryptoflex  Olvasók  USB  Advanced Card Systems, Fortress, Utimaco, SCM Microsystems  Serial  Bull, Cherry, Gemplus, Hewlett Packard, Litronic, Rainbow, Schlumberger, SCM Microsystems, Utimaco, XAC  PCMCIA  Gemplus, Schlumberger, SCM Microsystems, Toshiba, Tritheim, Utimaco

55 Smart Card a valóságban  Elég lassú  8-bit/16-bites adathozzáférés  Fél-duplex soros interfész  Korlátozott adatterület  Tanusítványok, kulcsok,...  Nincs szabvány az adatok tárolására

56 Smart Card előnyök  Sehogyan sem férhetünk hozzá a privát kulcshoz  Ott keletkezik és soha nem hagyja el a kártyát  Minden crypto művelet belül fut le, mi csak megkérjük a soros porton  Hordozható „igazolvány”

57 Smart Card a gyakorlatban  Csak a Users csoport tagjai élhetnek meg egy szál kártyával  Mi történjen, ha kihúzzuk a kártyát?  Lehetőségek:  Semmi  Képernyő zárolása  Kijelentkezés  Mindez házirenddel szabályozható

58 7 A KDC kiadja a TGT-t, amely a felhasználó publikus kulcsával lett titkosítva 8 A Smart Card dekódolja a TGT-t a felhasználó privát kulcsával. Az LSA bejelentkezteti a felhasználót. 2 PIN meg- adása 6 A tanusítvány ellenőrzése az AD alapján OlvasóOlvasó 1 A kártya előhívja a GINA-t SC 4 LSA elkéri a kártyától a tanusítványt 3 GINA átadja a PIN-t az LSA-nak LSA 5 A Kerberos elküldi a tanusítványt a KDC-nekKerberos KerberosKDC Smart Card Logon

59 PIN kód menedzsment  PIN  jelszó  A kártyához és nem a hálózathoz való hozzáférést szabályozza  A PIN soha, semmilyen formátumban nem megy át a hálózaton  A PIN-nek nem kell hosszúnak lennie  A Smart Card zárolja magát, ha ismételten próbálkoznak  A Windows 2000 éppen ezért NEM kezeli a PIN kódokat

60 Smart Card logon konfiguráció 1. Smart Card olvasó telepítése (PnP) 2. Enterprise Root CA telepítése (default) 3. „Enrollment Agent” és „Smart Card User” típusú sablonok engedélyezése 4. Enrollment Agent tanusítvány kérése az Administrator számára 5. Web enrollment oldalon „Smart Card User” tanusítvány a felhasználó számára 6. Tanusítvány letárolása a Smart Cardon 7. A munkaállomáson a CA tanusítványát telepíteni, hogy megbízzon benne (Házirend)

61 Encrypting File System (EFS)  Biztonságos adatvédelem  Az alkalmazások számára átlátszó és gyors  Elérhető a grafikus felületről vagy parancsorból  Alkalmazható egyes fájlokra vagy egész könyvtárakra (rekurzív)  Nagyvállalati szolgáltatások  Helyreállítás (a dolgozó kilépett a cégtől)  Titkosítás fájlszervereken és nem csak a munkaállomáson vagy notebook-okon  Automatikus kulcs menedzsment

62 Dokumentum titkosítás Data Recovery Field generálása (RSA) DRF Helyreállító ügynök nyilvános kulcsa (Házirend) Data Decryption Field generálása (RSA) DDF Felhasználó nyilvános kulcsa Titkosítás (DES) Holnap reggel *#$fjd a^j u539 Random Generátor File encryption key (FEK)

63 Dokumentum dekódolás DDF kibontás (RSA) DDFDDFDDFDDF A felhasználó privát kulcsa Visszafejtés (DES) Holnap reggel *#$fjd a^j u539 File encryption key (FEK)

64 Dokumentum helyreállítás DRF kibontás (RSA) DRFDRFDRFDRF A Recovery Agent privát kulcsa Visszafejtés (DES) Holnap reggel *#$fjd a^j u539 File encryption key (FEK)

65 Adat helyreállítás  “Encrypted Data Recovery Policy” (EDRP)  A domain házirend része  FEK az összes EDRP-ben tárolt nyilvános kulccsal titkosításra kerü  EDRP a tartomány minden gépén elérhető  A visszaállítás során nem a felhasználó privát kulcsát állítjuk vissza, hanem közvetlenül az adatot

66


Letölteni ppt "Szalontay Zoltán, Tarsoly Balázs rendszermérnökök Microsoft Magyarország Biztonsági szolgáltatások Windows 2000-ben."

Hasonló előadás


Google Hirdetések