Előadást letölteni
Az előadás letöltése folymat van. Kérjük, várjon
2
Szolgáltatás Perem (forgalom) Szerver (tartalom, levelezés) Kliens (végpont) Azonosítás- és hozzáféréskezelés
3
Adatvédelem Azonosság- és hozzáférés-kezelés Biztonságos levelezés Biztonságos végpont Biztonságos csoportmunka
4
Adatvédelem Azonosság- és hozzáférés- kezelés Biztonságos levelezés Biztonságos végpont Biztonságos csoportmunka
5
TRUE negativeFalse PositiveFP RateFalse negativeTrue PositiveSC RateFinal Score BitDefender245710.04%514424680597.96%97.84% FortiMail245350.20%540124654897.86%97.26% Kaspersky244990.37%514824680197.96%96.85% M86 Mailmarshall245440.16%171725023299.32%98.84% McAfee Email Gateway2438200.81%220824974199.12%96.69% McAfee EWSA245620.08%428124766898.30%98.06% MessageStream245260.24%276224918798.90%98.18% MS Forefront245440.16%60225134799.76%99.28% MXTools245800.00%492224702798.05% Sophos245440.16%178725016299.29%98.81% SPAMfighter2446120.49%509924685097.98%96.51% SpamTitan245260.24%185825009199.26%98.54% Sunbelt VIPRE2444140.57%400424794598.41%96.70% Symantec Brightmail245620.08%226324968699.10%98.86% Webroot245620.08%319224875798.73%98.49% Spamhaus245800.00%552924642097.81%
7
Adatvédelem Azonosság- és hozzáférés- kezelés Biztonságos levelezés Biztonságos végpont Biztonságos csoportmunka
8
Adatvédelem Azonosság- és hozzáférés- kezelés Biztonságos levelezés Biztonságos végpont Biztonságos csoportmunka
9
URL szűrés Malware szűrés HTTP / HTTPS tartalom szűrése NIS – Network Inspection Service a böngésző-alapú sebezhetőségek eliminálására
10
Gál Tamás - A biztonságos web átjáró TechNet Szakmai Nap előadás felvétele http://technetklub.hu/content/Biztonsagoswebatjaro.aspx Gál Tamás – A kapun túl Microsoft Forefront Threat Management Gateway 2010 tankönyv http://technetklub.hu/content/tmgkonyv.aspx
11
Valós idejű vírus és malware védelem a számítógépeken (akár kliens, akár szerver) Fejlett eszközök a komplex malwarek felfedezésére Központosított felügyeleti és jelentéskészítési eszközök a végpontok biztonsági állapotáról A Microsoft saját vírusvédelmi kutatócsapata gyorsan reagál
12
Network Layer File System Layer Application Layer Követő technikák (ismert veszélyek ellen) Megelőző technikák (ismeretlen veszélyek ellen) Antimalware Dynamic Translation & Emulation Behavior Monitoring Windows Resource Protection Data Execution Protection AppLocker Address Space Layer Randomization Windows Firewall Centralized Management FEP 2010 Windows 7 Internet Explorer 8 SmartScreen Filter Microsoft Malware Protection Center Dynamic Signature Service Vulnerability Shielding (NIS)
13
DIRECT ACCESS
14
Folyamatos, transzparens, biztonságos kapcsolat bármely tartományi kliens számára Nem kell manuálisan kapcsolódni a vállalati hálózathoz, mindez teljesen automatikus és észrevétlen Lehetővé válik a folyamatos, helytől független távmunka Házirend-alapú hozzáférési szabályok definiálása. Nem a helytől, hanem a végpont egészségi állapotától függ, beengedjük-e Vállalaton belüli és kívüli gépekre is lehetővé válik az azonnali és folyamatos távfelügyelet az IT számára (pl. patchelés) Windows 7 kliens Interneten elérhető szolgáltatások DirectAccess szerver Internal forgalom Internet forgalom Vállalati „belső” hálózat Intranet Internet
15
IPv6 eszközök IPv4 eszközök DirectAccess Server Windows 7 kliens Natív IPv6 + IPSec IPv6 / IPv4 átalakítás DA: transzparens, biztonságos kapcsolat VPN nélkül IPSec titkosítás és hitelesítés Közvetlen kapcsolat a belső IPv6 erőforrásokkal IPv4 támogatás (pl. 6to4, NAT-PT, NAT64) IT desktop felügyelet Group Policy, NAP, WSUS Internet Lehetővé teszi a DirectAccess kliensek felügyeletét
17
Gál Tamás - 6ártalanul: Forefront UAG + DirectAccess TechNet Szakmai Nap előadás felvétele http://technetklub.hu/content/Forefrontuagesdirectaccess.aspx
18
Ellenőrizhető a vállalati infrastruktúrához kapcsolódó számítógépek „egészségi” állapota (Policy Validation) A rossz „egészségi” állapotban lévő gépek izolált hálózatba kerülnek (Network Restriction) A nem megfelelő gépek automatikusan javíthatóak (Remediation) Kikényszeríthető az „egészségi” állapot folyamatos betartása (Ongoing Compliance) Corporate Network Remediation Servers e.g., Path Restricted Network Microsoft NPS Health Policies, Patchelés, Antivírus Not Policy Compliant Policy Compliant 1 2 3 4 5 DHCP, VPN Switch/Router
19
Hozzáférést kérek. Itt az új egészségi állapotom. Network Policy Server Client Network Access Device (DHCP, VPN) Remediation Servers Van hozzáférésem? Mellékeltem a jelenlegi egészségi állapotom. A munkaállomás megfelel a házirendnek az egészségi állapota alapján? Folyamatos kommunikáció az NPS kiszolgálóval Korlátozott hozzáférést kaptál amíg nem frissíted magad Van valami frissítés? Itt van, alkalmazd. A házirend szerint a munkaállomás nem felel meg. Karanténba kell helyezni és frissíteni kell. Belső hálózat „Külső” hálózat A munkaállomás teljes hozzáférés kapott. A házirend szerint a munkaállomás megfelel. Hozzáférés megadva Health requirement Servers
21
DIRECT ACCESS
22
Microsoft BitLocker BitLocker merevlemeztitkosítás – bármelyik partícióra A Trusted Platform Module (TPM) chip védi az adatokat A Windows boot fájlok integritásának ellenőrzése Multifaktoros hitelesítés AES 128 vagy 256 bites kulcs titkosítás A titkosító kulcs Active Directory környezetben visszaállítható Microsoft BitLocker-To-Go Adatlopás elleni védelem hordozható eszközökre (USB kulcs, külső USB merevlemez) Ezek az eszközök rendkívül gyakran felejtődnek ott valahol – megfelelő védelemre van szükség Korábbi operációs rendszerekkel is kombatibilis (de csak olvasható módon)
24
Full Volume Encryption Key
25
Adatok FVEK VMK Key Protector
26
Azonosság- és hozzáférés-kezelés Biztonságos levelezés Biztonságos végpont Biztonságos csoportmunka AdatvédelemAdatvédelem
27
2 A védelem és a szabályok követik a dokumentumot vagy e-mailt 4 Policy A portálokon szabadon tárolhatunk bizalmas dokumentumokat Policy Hozzáféréskor kerül ellenőrzésre a jogosultság 51 A védelem és a szabályok követik a dokumentumot vagy e-mailt 3 6 Policy Az archívumban is fennál ugyanaz a védelem és marad a szabályozás Policy
28
A dokumentum teljes életciklusán át szabályozhatóak annak jogosultságai Felhasználók vagy csoportok alapján szabályozható, hogy ki és mit tehet egy dokumentummal Minden csatornán garantáltan biztonságos kommunikáción mehet csak keresztül a dokumentum A védett dokumentum használata a felhasználók számára a lehető leginkább transzparens Publishing License AD RMS Server AD RMS Client Az AD RMS szerver privát kulcsával aláírva A fájl létrehozásakor jön létre a titkosításhoz az Active Directory Rights Management Services (AD RMS) szerver publikus kulcsának segítségével A Content Key-jel titkosított tartalom A fájl tartalma (szöveg, képek, stb...) Felhasználási jogok Bob@fabrikam.com: Read, Print Lawyers@fabrikam.com: Read Content Key Felhasználó
30
4 5 A felhasználó létrehozza a “ajánlat.docx” dokumentumot egy Windows server 2008 R2 fájlszerveren A File Classification Infrastructure (FCI) szenzitív kategóriába sorolja be a dokumentumot (kulcsszó/RegEx alapján, vagy elérési útvonal alapján) - pl.: „Bizalmas információ” Egy automatizált felügyeleti folyamat az AD RMS Bulk Protection Tool segítségével RMS-sel levédi a dokumentumot, hogy csak a cég saját alkalmazottai érhessék el annak tartalmát A belső alkalmazottak tudják használni az “ajánlat.docx”-et Ha a dokumentum bármilyen úton kiszivárog, illetéktelen felhasználó nem tudja azt megnyitni FCI besorolás 2 c AD RMS védelem 3 c 1 A teljes folyamatot akár utólag, az összes meglévő dokumentumra is érvényre juttathatjuk!
32
Azonosság- és hozzáférés-kezelés Biztonságos levelezés Biztonságos végpont Biztonságos csoportmunka Active Directory ® Federation Services Adatvédelem
33
Távoli és mobil alkalmazottak Ügyfelek Beszállítók és harmadik féltől származó adatbázisok Ügyfélelégedettség Árverseny Személyre szabás Együtműködés, csoportmunka Kiszervezés Folyamat-automatizálás Szállítói lánc Összeolvadások és felvásárlások Mobil munkatársak Ideiglenes munkatársak Partnerek Az alkalmazottak a vállalati hálózaton
34
Alkalmazások összekötése Táv- és csoportmunka -Office -Live Meeting -Communicator Vastagkliens Mobil eszközök Böngészők Web Service Web Service Web Service Web Service Webszerver InternetVállalatPartner Web Service Web Service
35
SharePoint Server Farm Exchange 2010 AD DS AD FS Business Partners AD DS AD FS AD RMS Federation Trust Application Access Redirect to Security Token Service (STS) Authentication Token and claims Post claims Trey Research Account Forest Trey Research Account Forest Woodgrove Bank Resource Forest User Account/Credentials Security Token Az azonosságok megosztása partnerhálózatokkal és a felhő-szolgáltatásokkal − Akár RMS-t is meg lehet osztani vállalatok között, vagy a felhő felé − A Microsoft SharePoint Server is kihasználja az ADFS architektúrát
36
AD DSAD FS Egyszeri bejelentkezés egy felhasználóval egyszerre több hálózatba, alkalmazásba, szolgáltatásba, akár a felhőbe is A központosított jogosultságkezelés lehetősége, függetlenítve az egyes alkalmazásoktól Nyílt, iparági szabványokra építve Security Token (pl. Kerberos Ticket) AD FS elkészíti a SAML token-t Bejelentkezik a vállalat privát kulcsával Visszaküldi ezt a felhasználónak Ezzel együtt megkapja a hozzáférést is Partner ExchangeSharePointWebalkalmazásClaim-alapú alkalmazás Vállalati felhasználó FELHŐ SZOLGÁLTATÁSOK
37
Lokális szerverek Exchange Online Alan Brewer Joe Andresha
Hasonló előadás
