Biztonság és távelérés
-
Upload
sydney-ayers -
Category
Documents
-
view
26 -
download
0
description
Transcript of Biztonság és távelérés
Active Directory(A „Biztonság” kódnéven fut)
AD DS bevezetés• Soha nem volt még
ilyen egyszerű...• A DCPromo nincs többé, helyette:
Server Manager / PowerShell• Alapos ellenőrzés: feltételek,
hiányosságok, még a tényleges műveletek előtt
• Az összes előkészítő feladat beépült (séma/erdő/tartomány preparálás, működési szint emelés, stb.)
• Másik gépről is > egyetlen WS12 vagy W8 + RSAT elég mindenhez
• Az IFM preparálás (ntdsutil) közben az offline defrag elhagyható
AD Administrative Center• Az ADAC határozottan tör előre
• Az ADUC pedig határozottan gyengül
• Régi/új elemek az új ADAC-ban• Recycle Bin• Windows Server 2008 R2 forest functional level szükséges + be kell kapcsolni
• Fine Grained Password Policy• Jelszó objektumok elkészítése, szerkesztése és hozzárendelése
• Teljesen új megoldások• PowerShell History Online Viewer• Mindent látunk „Powershell-ül” az ADAC-ban
• Dynamic Access Control• Lásd később, külön
ADAC demóDC telepítés / RB / FGPP / PS OHV
Active Directory virtualizáció - Safeguard• A háttér
• A pillanatképek használata vagy a VM/VHD másolás problémás• Egy rollback miatt árva (hátrahagyott) objektumok, inkonzisztens jelszavak és
attribútumok, duplikált SID-ek és esetleg séma kavarodás is előfordulhat
• A megoldás: a biztonságos AD virtualizáció• Amikor megszületik, minden virtuális WS12 DC kap egy ún. VM-Generation ID
értéket• A hypervisorban és az adott DC címtárpéldányában is tárolódik• Menetközben a Hyper-V figyeli a problémás műveleteket (pl. snapshot) és változtat a
saját értékén• Minden adatbázis változás előtt (és a DC indításakor) összehasonlítás történik• Ha a két érték passzol, akkor nincs probléma• Ha nem, akkor egy korábbi állapot van, tehát egy Invocation ID + RID Pool reset művelet
jön• Minden adat megmarad és nem lesz árva objektum
• Megjegyzések: • Csak Windows Server 2012 DC és Hyper-V esetén
Active Directory virtualizáció - klónozás• Mikor?
• Gyors plusz tartományvezérlő igény, pl. egy katasztrófa utáni sürgős helyreállításkor
• Telephely, tesztkörnyezet • Vagy éppen eltérő AD és Hyper-V jogosultsági kör esetén
• Mi kell hozzá?• A VM-Generation ID miatt > WS12 DC + WS12 Hyper-V• A PDC Emulator FSMO is WS12 kell, hogy legyen• Speciális csoporttagság a forrás DC esetén > Cloneable Domain Controllers• A konfigurációs és kivétel fájlok (.xml) generálása > PowerShell
• Egyéb tudnivalók• Van offline üzemmód is, ha pl. több DC-t szeretnénk egyetlen vhd-ból• AD LDS, AD CS, DHCP szerepkörök esetén nem támogatott
AD klónozásOffline demó
Először Powershell-lel preparáljuk...
...majd jön a Hyper-V export és import...
...aztán elindítjuk...
...és végül örülünk.
AD Based Activation• KMS szerver
helyett / mellett• Volume licence (Windows/Office)
esetén AD alapú aktíválást nyújt• De a KMS-ként is működik
illetve azzal együtt is• RPC helyett LDAP-pal• RODC-ken is• Az ADBA-t csak a WS12/W8
tudja használni• WS12 Active Directory séma kell
hozzá (de DC nem!)
Off-Premises Domain Join
• Offline Domain Join• Kliens gépfiók beléptetése aktív tartományvezérlő kapcsolat nélkül – a WS08R2/W7
páros esetén
• Off-Premises Domain Join• A blob kiegészülhet a következő Direct Access követelményekkel• Tanúsítványok• Csoportházirend objektumok
• Az eredmény• Ha van DirectAccess-ünk, akkor a gépek offline állapotában beléptethetjük• Majd használhatjuk is rendeltetésszerűen a tartományban – távolból is• Windows To Go-val is működik
• Feltételek• Windows Server 2012 DC
Dynamic Access Control• Háttér
• Kérdés: Kinek van 100-nál több biztonsági csoportja az AD-ban?• Kérdés: Hány biztonsági csoport kell 25 telephely, 10 csoport és 2 kategória
(érzékeny/nem érzékeny) esetén?
• A DAC lényege• Alternatív jogosultsági rendszer az NTFS mellett / helyett – de a meglévő AD-val• Kevesebb biztonsági csoport, központosított és rugalmasabb jogosultság kezelés
• Feltételek• Windows Server 2012 DC• Windows Server 2012 fájlszerver• Windows 7/8 kliensek • Windows Server 2012 Active Directory Administrative Center
Dynamic Access Control
Adat osztályozás
Rugalmas hozzáférési lista a dokumentum besorolása és /vagy a felhasználó / eszköz adatai alapján
Központilag tárolt hozzáférési konfiguráció segítségével
Célzott hozzáférési audit a dokumentum besorolása vagy a felhasználó/eszköz adatai alapján
Központilag tárolt hozzáférési konfiguráció segítségével
Automatikus RMS titkosítás a dokumentum besorolása alapján
Kifejezés alapú auditálás
Kifejezés alapú hozzáférés
Titkosítás
Az adatok automatikus vagy manuális besorolása – az AD-ban tárolt erőforrás tulajdonságok alapján
Automatikus besorolás a dokumentum tartalma alapján
• A koncepció
Dynamic Access Control Az építőkockák
• Felhasználó és eszköz tulajdonságok, amelyek használhatók az ACE-ben
Felhasználói / eszköz claim-ek
• Feltétel alapú ACE, boolean logikával illetve egyéb operátorokkalKifejezés alapú ACE
• Az engedélyezés során használható a besorolás kondícióként• Folyamatos és automatikus osztályozás• Besorolás alapú automatizált RMS titkosítás
Besorolás javítása
• Központi szabályok az AD-ban tárolva és akár több fájlszerverre alkalmazva
Központi hozzáférési és audit szabályok
• A felhasználó jogosultságot kérhet ezen keresztül• Az üzemeltető számára részletes információkat nyújt a hibaelhárításhoz
Access-Denied segéd
Dynamic Access Control Eddig: csak Security Principal objektumok
Kizárólag a csoporttagságra korlátózódik Sok esetben az ún. árnyékcsoportok létrehozására van szükség Csoportok egymásba ágyazhatósága régóta probléma Nem lehet a hozzáférést aszerint szabályozni, hogy a felhasználó milyen eszközről éri
el az erőforrást
WS12: Security Principal, User Claim, Device Claim Kiválasztott AD felhasználói/számítógép tulajdonságok bekerülnek az Access Token-be A claim direktben használható a fájlszerveren a jogok kiosztására Konzisztens állapot az erdőn belül, minden felhasználó kap claim-et Új típusú házirendek kialakítását teszi lehetővé
Engedjük az írást ha User.MemberOf(Finance) és User.EmployeeType=FullTime és Device.Managed=True
Dynamic Access Control• Kifejezés alapú ACE használata
• Korábban csak az „OR” csoportok alkalmazására volt lehetőség• Képzeljük el: 500 project, 100 ország, 10 osztály• Minden kombináció leírásához összesen 500e csoport kell• ProjectZ UK Engineering Users• ProjectZ Canada Engineering Users [stb.]
• Windows Server 2012• ACE Boolean logika• Allow modify IF MemberOf(ProjectZ) AND MemberOf(UK) AND MemberOf(Engineering)• 610 csoport az 500e helyett
• Windows Server 2012 - Central Access Policies és Classification• Gyakorlatilag 3 db user claim
Felhasználó claim-ekUser.Department = Finance
User.Clearance = High
Hozzáférési szabály
Alkalmazva: Resource.Impact = HighAllow | Read,Write | if (User.Department = Resource.Department) AND
(Device.Managed = True)
Eszköz claim-ekDevice.Department = Finance
Device.Managed = True
Erőforrás tulajdonságokResource.Department =
FinanceResource.Impact = High
AD DS
Expression-based access policy
Fájlszerver
Dynamic Access Control• A szabályok
DAC + ADA demó
Távoli elérésDirectAccess
DirectAccess
• Egyszerű bevezetés• A telepítő varázsló akár összesen
2 lépésből is állhat• Lehet tűzfal / NAT mögött
a DirectAccess szerver • Nem kell a 2 db publikus IPv4-es,
sőt akár egy sem• Lehet egyetlen hálózati
interfésszel is DA szervert építeni• Nem kötelező a PKI infrastruktúra
kiépítése sem• Nem szükséges az IPv6 infrastruktúra sem (!)• Az egyetlen tunnel is egy rendelkezére álló lehetőség• Választhatunk: távoli elérés és/vagy távoli felügyelet?• Windows 7 kompatibilitás, de 1-2 feltétellel, pl. PKI infrastruktúra
DirectAccess• További előnyök, újdonságok
• Hitelesítés változások• TPM alapú virtuális smartcard támogatás• One-time password (OTP) hitelesítés (eddig csak a Forefront UAG-gal működött)
• IP-HTTPS proxy mögött• Kötelező proxy hitelesítés esetén egy idegen hálózatban is működik, IP-HTTPS-sel is
• IP-HTTPS NULL encryption• Az IP-HTTPS mindig is izmosabb erőforrást követelt a dupla titkosítás miatt• WS12-ben a felesleges redundáns SSL titkosítás megszűnt • A Teredo-val összevethető, lényegesen nagyobb a teljesítmény az eredmény
• Windows To Go kompatibilitás• NAP támogatás (eddig csak a Forefront UAG-gal működött)• Egyszerű migráció a Forefront UAG DA-ról
DirectAccess
50 ms
20 ms
150 ms
• Load Balancing• Terheléselosztás több DA szerver
között• Eddig csak a Forefront UAG-gal volt
elérhető
• Multisite• Földrajzi vagy failover okokból• Több, pl. telephelyenként különböző
DA szerver elérése• Automatikus belépési pont választás -
Windows 8 kliensek esetén• Windows 7 kliensek – rögzítés egy
adott belépési ponthoz
DirectAccess• Integrált kliens
• A Windows 8-ban• Automatikusan és gyorsan kapcsolódik• Rugalmas hitelesítés: Kerberos, PKI,
OTP, smartcard, virtuális smartcard + TPM
• Egyszerű a kliens állapotának nyomonkövetése, a beépített hálózati UI-n keresztül
• Kézzel válthatunk a DirectAccess belépési pontok között
• A kliens tulajdonság panelből összegyűjthetjük és elküldhetjük a részletes naplófájlokat pl. emailben
DirectAccess demó