Az előadás letöltése folymat van. Kérjük, várjon

Az előadás letöltése folymat van. Kérjük, várjon

Biztonság és távelérés

Hasonló előadás


Az előadások a következő témára: "Biztonság és távelérés"— Előadás másolata:

1 Biztonság és távelérés
Gál Tamás MCT RL IQSOFT-John Bryce Oktatóközpont

2 Active Directory (A „Biztonság” kódnéven fut)

3 AD DS bevezetés Soha nem volt még ilyen egyszerű...
A DCPromo nincs többé, helyette: Server Manager / PowerShell Alapos ellenőrzés: feltételek, hiányosságok, még a tényleges műveletek előtt Az összes előkészítő feladat beépült (séma/erdő/tartomány preparálás, működési szint emelés, stb.) Másik gépről is > egyetlen WS12 vagy W8 + RSAT elég mindenhez Az IFM preparálás (ntdsutil) közben az offline defrag elhagyható

4 AD Administrative Center
Az ADAC határozottan tör előre Az ADUC pedig határozottan gyengül Régi/új elemek az új ADAC-ban Recycle Bin Windows Server 2008 R2 forest functional level szükséges + be kell kapcsolni Fine Grained Password Policy Jelszó objektumok elkészítése, szerkesztése és hozzárendelése Teljesen új megoldások PowerShell History Online Viewer Mindent látunk „Powershell-ül” az ADAC-ban Dynamic Access Control Lásd később, külön

5 ADAC demó DC telepítés / RB / FGPP / PS OHV

6 Active Directory virtualizáció - Safeguard
A háttér A pillanatképek használata vagy a VM/VHD másolás problémás Egy rollback miatt árva (hátrahagyott) objektumok, inkonzisztens jelszavak és attribútumok, duplikált SID-ek és esetleg séma kavarodás is előfordulhat A megoldás: a biztonságos AD virtualizáció Amikor megszületik, minden virtuális WS12 DC kap egy ún. VM-Generation ID értéket A hypervisorban és az adott DC címtárpéldányában is tárolódik Menetközben a Hyper-V figyeli a problémás műveleteket (pl. snapshot) és változtat a saját értékén Minden adatbázis változás előtt (és a DC indításakor) összehasonlítás történik Ha a két érték passzol, akkor nincs probléma Ha nem, akkor egy korábbi állapot van, tehát egy Invocation ID + RID Pool reset művelet jön Minden adat megmarad és nem lesz árva objektum Megjegyzések: Csak Windows Server 2012 DC és Hyper-V esetén

7 Active Directory virtualizáció - klónozás
Mikor? Gyors plusz tartományvezérlő igény, pl. egy katasztrófa utáni sürgős helyreállításkor Telephely, tesztkörnyezet Vagy éppen eltérő AD és Hyper-V jogosultsági kör esetén Mi kell hozzá? A VM-Generation ID miatt > WS12 DC + WS12 Hyper-V A PDC Emulator FSMO is WS12 kell, hogy legyen Speciális csoporttagság a forrás DC esetén > Cloneable Domain Controllers A konfigurációs és kivétel fájlok (.xml) generálása > PowerShell Egyéb tudnivalók Van offline üzemmód is, ha pl. több DC-t szeretnénk egyetlen vhd-ból AD LDS, AD CS, DHCP szerepkörök esetén nem támogatott

8 AD klónozás Offline demó

9 Először Powershell-lel preparáljuk...

10 ...majd jön a Hyper-V export és import...

11 ...aztán elindítjuk...

12 ...és végül örülünk.

13 AD Based Activation KMS szerver helyett / mellett
Volume licence (Windows/Office) esetén AD alapú aktíválást nyújt De a KMS-ként is működik illetve azzal együtt is RPC helyett LDAP-pal RODC-ken is Az ADBA-t csak a WS12/W8 tudja használni WS12 Active Directory séma kell hozzá (de DC nem!)

14 Off-Premises Domain Join
Offline Domain Join Kliens gépfiók beléptetése aktív tartományvezérlő kapcsolat nélkül – a WS08R2/W7 páros esetén Off-Premises Domain Join A blob kiegészülhet a következő Direct Access követelményekkel Tanúsítványok Csoportházirend objektumok Az eredmény Ha van DirectAccess-ünk, akkor a gépek offline állapotában beléptethetjük Majd használhatjuk is rendeltetésszerűen a tartományban – távolból is Windows To Go-val is működik Feltételek Windows Server 2012 DC

15 Dynamic Access Control
Háttér Kérdés: Kinek van 100-nál több biztonsági csoportja az AD-ban? Kérdés: Hány biztonsági csoport kell 25 telephely, 10 csoport és 2 kategória (érzékeny/nem érzékeny) esetén? A DAC lényege Alternatív jogosultsági rendszer az NTFS mellett / helyett – de a meglévő AD-val Kevesebb biztonsági csoport, központosított és rugalmasabb jogosultság kezelés Feltételek Windows Server 2012 DC Windows Server 2012 fájlszerver Windows 7/8 kliensek Windows Server 2012 Active Directory Administrative Center

16 Dynamic Access Control
A koncepció Adat osztályozás Kifejezés alapú hozzáférés Kifejezés alapú auditálás Titkosítás Az adatok automatikus vagy manuális besorolása – az AD-ban tárolt erőforrás tulajdonságok alapján Automatikus besorolás a dokumentum tartalma alapján Rugalmas hozzáférési lista a dokumentum besorolása és /vagy a felhasználó / eszköz adatai alapján Központilag tárolt hozzáférési konfiguráció segítségével Célzott hozzáférési audit a dokumentum besorolása vagy a felhasználó/eszköz adatai alapján Központilag tárolt hozzáférési konfiguráció segítségével Automatikus RMS titkosítás a dokumentum besorolása alapján

17 Dynamic Access Control
Az építőkockák Felhasználó és eszköz tulajdonságok, amelyek használhatók az ACE-ben Felhasználói / eszköz claim-ek Feltétel alapú ACE, boolean logikával illetve egyéb operátorokkal Kifejezés alapú ACE Az engedélyezés során használható a besorolás kondícióként Folyamatos és automatikus osztályozás Besorolás alapú automatizált RMS titkosítás Besorolás javítása Központi szabályok az AD-ban tárolva és akár több fájlszerverre alkalmazva Központi hozzáférési és audit szabályok A felhasználó jogosultságot kérhet ezen keresztül Az üzemeltető számára részletes információkat nyújt a hibaelhárításhoz Access-Denied segéd

18 Dynamic Access Control
Eddig: csak Security Principal objektumok Kizárólag a csoporttagságra korlátózódik Sok esetben az ún. árnyékcsoportok létrehozására van szükség Csoportok egymásba ágyazhatósága régóta probléma Nem lehet a hozzáférést aszerint szabályozni, hogy a felhasználó milyen eszközről éri el az erőforrást WS12: Security Principal, User Claim, Device Claim Kiválasztott AD felhasználói/számítógép tulajdonságok bekerülnek az Access Token-be A claim direktben használható a fájlszerveren a jogok kiosztására Konzisztens állapot az erdőn belül, minden felhasználó kap claim-et Új típusú házirendek kialakítását teszi lehetővé Engedjük az írást ha User.MemberOf(Finance) és User.EmployeeType=FullTime és Device.Managed=True

19 Dynamic Access Control
Kifejezés alapú ACE használata Korábban csak az „OR” csoportok alkalmazására volt lehetőség Képzeljük el: 500 project, 100 ország, 10 osztály Minden kombináció leírásához összesen 500e csoport kell ProjectZ UK Engineering Users ProjectZ Canada Engineering Users [stb.] Windows Server 2012 ACE Boolean logika Allow modify IF MemberOf(ProjectZ) AND MemberOf(UK) AND MemberOf(Engineering) 610 csoport az 500e helyett Windows Server Central Access Policies és Classification Gyakorlatilag 3 db user claim

20 Expression-based access policy
Dynamic Access Control A szabályok AD DS Fájlszerver Felhasználó claim-ek User.Department = Finance User.Clearance = High Eszköz claim-ek Device.Department = Finance Device.Managed = True Erőforrás tulajdonságok Resource.Department = Finance Resource.Impact = High Hozzáférési szabály Alkalmazva: Resource.Impact = High Allow | Read,Write | if (User.Department = Resource.Department) AND (Device.Managed = True)

21 DAC + ADA demó

22 Távoli elérés DirectAccess

23 DirectAccess Egyszerű bevezetés
A telepítő varázsló akár összesen 2 lépésből is állhat Lehet tűzfal / NAT mögött a DirectAccess szerver Nem kell a 2 db publikus IPv4-es, sőt akár egy sem Lehet egyetlen hálózati interfésszel is DA szervert építeni Nem kötelező a PKI infrastruktúra kiépítése sem Nem szükséges az IPv6 infrastruktúra sem (!) Az egyetlen tunnel is egy rendelkezére álló lehetőség Választhatunk: távoli elérés és/vagy távoli felügyelet? Windows 7 kompatibilitás, de 1-2 feltétellel, pl. PKI infrastruktúra

24 DirectAccess További előnyök, újdonságok Hitelesítés változások
TPM alapú virtuális smartcard támogatás One-time password (OTP) hitelesítés (eddig csak a Forefront UAG-gal működött) IP-HTTPS proxy mögött Kötelező proxy hitelesítés esetén egy idegen hálózatban is működik, IP-HTTPS-sel is IP-HTTPS NULL encryption Az IP-HTTPS mindig is izmosabb erőforrást követelt a dupla titkosítás miatt WS12-ben a felesleges redundáns SSL titkosítás megszűnt A Teredo-val összevethető, lényegesen nagyobb a teljesítmény az eredmény Windows To Go kompatibilitás NAP támogatás (eddig csak a Forefront UAG-gal működött) Egyszerű migráció a Forefront UAG DA-ról

25 DirectAccess Load Balancing Multisite
Terheléselosztás több DA szerver között Eddig csak a Forefront UAG-gal volt elérhető Multisite Földrajzi vagy failover okokból Több, pl. telephelyenként különböző DA szerver elérése Automatikus belépési pont választás - Windows 8 kliensek esetén Windows 7 kliensek – rögzítés egy adott belépési ponthoz 50 ms 20 ms 150 ms

26 DirectAccess Integrált kliens A Windows 8-ban
Automatikusan és gyorsan kapcsolódik Rugalmas hitelesítés: Kerberos, PKI, OTP, smartcard, virtuális smartcard + TPM Egyszerű a kliens állapotának nyomonkövetése, a beépített hálózati UI-n keresztül Kézzel válthatunk a DirectAccess belépési pontok között A kliens tulajdonság panelből összegyűjthetjük és elküldhetjük a részletes naplófájlokat pl. ben

27 DirectAccess demó

28


Letölteni ppt "Biztonság és távelérés"

Hasonló előadás


Google Hirdetések