Biztonság és távelérés

Gál Tamástamas.gal@iqjb.hu

MCT RLIQSOFT-John Bryce Oktatóközpont

Active Directory(A „Biztonság” kódnéven fut)

AD DS bevezetés• Soha nem volt még

ilyen egyszerű...• A DCPromo nincs többé, helyette:

Server Manager / PowerShell• Alapos ellenőrzés: feltételek,

hiányosságok, még a tényleges műveletek előtt

• Az összes előkészítő feladat beépült (séma/erdő/tartomány preparálás, működési szint emelés, stb.)

• Másik gépről is > egyetlen WS12 vagy W8 + RSAT elég mindenhez

• Az IFM preparálás (ntdsutil) közben az offline defrag elhagyható

AD Administrative Center• Az ADAC határozottan tör előre

• Az ADUC pedig határozottan gyengül

• Régi/új elemek az új ADAC-ban• Recycle Bin• Windows Server 2008 R2 forest functional level szükséges + be kell kapcsolni

• Fine Grained Password Policy• Jelszó objektumok elkészítése, szerkesztése és hozzárendelése

• Teljesen új megoldások• PowerShell History Online Viewer• Mindent látunk „Powershell-ül” az ADAC-ban

• Dynamic Access Control• Lásd később, külön

ADAC demóDC telepítés / RB / FGPP / PS OHV

Active Directory virtualizáció - Safeguard• A háttér

• A pillanatképek használata vagy a VM/VHD másolás problémás• Egy rollback miatt árva (hátrahagyott) objektumok, inkonzisztens jelszavak és

attribútumok, duplikált SID-ek és esetleg séma kavarodás is előfordulhat

• A megoldás: a biztonságos AD virtualizáció• Amikor megszületik, minden virtuális WS12 DC kap egy ún. VM-Generation ID

értéket• A hypervisorban és az adott DC címtárpéldányában is tárolódik• Menetközben a Hyper-V figyeli a problémás műveleteket (pl. snapshot) és változtat a

saját értékén• Minden adatbázis változás előtt (és a DC indításakor) összehasonlítás történik• Ha a két érték passzol, akkor nincs probléma• Ha nem, akkor egy korábbi állapot van, tehát egy Invocation ID + RID Pool reset művelet

jön• Minden adat megmarad és nem lesz árva objektum

• Megjegyzések: • Csak Windows Server 2012 DC és Hyper-V esetén

Active Directory virtualizáció - klónozás• Mikor?

• Gyors plusz tartományvezérlő igény, pl. egy katasztrófa utáni sürgős helyreállításkor

• Telephely, tesztkörnyezet • Vagy éppen eltérő AD és Hyper-V jogosultsági kör esetén

• Mi kell hozzá?• A VM-Generation ID miatt > WS12 DC + WS12 Hyper-V• A PDC Emulator FSMO is WS12 kell, hogy legyen• Speciális csoporttagság a forrás DC esetén > Cloneable Domain Controllers• A konfigurációs és kivétel fájlok (.xml) generálása > PowerShell

• Egyéb tudnivalók• Van offline üzemmód is, ha pl. több DC-t szeretnénk egyetlen vhd-ból• AD LDS, AD CS, DHCP szerepkörök esetén nem támogatott

AD klónozásOffline demó

Először Powershell-lel preparáljuk...

...majd jön a Hyper-V export és import...

...aztán elindítjuk...

...és végül örülünk.

AD Based Activation• KMS szerver

helyett / mellett• Volume licence (Windows/Office)

esetén AD alapú aktíválást nyújt• De a KMS-ként is működik

illetve azzal együtt is• RPC helyett LDAP-pal• RODC-ken is• Az ADBA-t csak a WS12/W8

tudja használni• WS12 Active Directory séma kell

hozzá (de DC nem!)

Off-Premises Domain Join

• Offline Domain Join• Kliens gépfiók beléptetése aktív tartományvezérlő kapcsolat nélkül – a WS08R2/W7

páros esetén

• Off-Premises Domain Join• A blob kiegészülhet a következő Direct Access követelményekkel• Tanúsítványok• Csoportházirend objektumok

• Az eredmény• Ha van DirectAccess-ünk, akkor a gépek offline állapotában beléptethetjük• Majd használhatjuk is rendeltetésszerűen a tartományban – távolból is• Windows To Go-val is működik

• Feltételek• Windows Server 2012 DC

Dynamic Access Control• Háttér

• Kérdés: Kinek van 100-nál több biztonsági csoportja az AD-ban?• Kérdés: Hány biztonsági csoport kell 25 telephely, 10 csoport és 2 kategória

(érzékeny/nem érzékeny) esetén?

• A DAC lényege• Alternatív jogosultsági rendszer az NTFS mellett / helyett – de a meglévő AD-val• Kevesebb biztonsági csoport, központosított és rugalmasabb jogosultság kezelés

• Feltételek• Windows Server 2012 DC• Windows Server 2012 fájlszerver• Windows 7/8 kliensek • Windows Server 2012 Active Directory Administrative Center

Dynamic Access Control

Adat osztályozás

Rugalmas hozzáférési lista a dokumentum besorolása és /vagy a felhasználó / eszköz adatai alapján

Központilag tárolt hozzáférési konfiguráció segítségével

Célzott hozzáférési audit a dokumentum besorolása vagy a felhasználó/eszköz adatai alapján

Központilag tárolt hozzáférési konfiguráció segítségével

Automatikus RMS titkosítás a dokumentum besorolása alapján

Kifejezés alapú auditálás

Kifejezés alapú hozzáférés

Titkosítás

Az adatok automatikus vagy manuális besorolása – az AD-ban tárolt erőforrás tulajdonságok alapján

Automatikus besorolás a dokumentum tartalma alapján

• A koncepció

Dynamic Access Control Az építőkockák

• Felhasználó és eszköz tulajdonságok, amelyek használhatók az ACE-ben

Felhasználói / eszköz claim-ek

• Feltétel alapú ACE, boolean logikával illetve egyéb operátorokkalKifejezés alapú ACE

• Az engedélyezés során használható a besorolás kondícióként• Folyamatos és automatikus osztályozás• Besorolás alapú automatizált RMS titkosítás

Besorolás javítása

• Központi szabályok az AD-ban tárolva és akár több fájlszerverre alkalmazva

Központi hozzáférési és audit szabályok

• A felhasználó jogosultságot kérhet ezen keresztül• Az üzemeltető számára részletes információkat nyújt a hibaelhárításhoz

Access-Denied segéd

Dynamic Access Control Eddig: csak Security Principal objektumok

Kizárólag a csoporttagságra korlátózódik Sok esetben az ún. árnyékcsoportok létrehozására van szükség Csoportok egymásba ágyazhatósága régóta probléma Nem lehet a hozzáférést aszerint szabályozni, hogy a felhasználó milyen eszközről éri

el az erőforrást

WS12: Security Principal, User Claim, Device Claim Kiválasztott AD felhasználói/számítógép tulajdonságok bekerülnek az Access Token-be A claim direktben használható a fájlszerveren a jogok kiosztására Konzisztens állapot az erdőn belül, minden felhasználó kap claim-et Új típusú házirendek kialakítását teszi lehetővé

Engedjük az írást ha User.MemberOf(Finance) és User.EmployeeType=FullTime és Device.Managed=True

Dynamic Access Control• Kifejezés alapú ACE használata

• Korábban csak az „OR” csoportok alkalmazására volt lehetőség• Képzeljük el: 500 project, 100 ország, 10 osztály• Minden kombináció leírásához összesen 500e csoport kell• ProjectZ UK Engineering Users• ProjectZ Canada Engineering Users [stb.]

• Windows Server 2012• ACE Boolean logika• Allow modify IF MemberOf(ProjectZ) AND MemberOf(UK) AND MemberOf(Engineering)• 610 csoport az 500e helyett

• Windows Server 2012 - Central Access Policies és Classification• Gyakorlatilag 3 db user claim

Felhasználó claim-ekUser.Department = Finance

User.Clearance = High

Hozzáférési szabály

Alkalmazva: Resource.Impact = HighAllow | Read,Write | if (User.Department = Resource.Department) AND

(Device.Managed = True)

Eszköz claim-ekDevice.Department = Finance

Device.Managed = True

Erőforrás tulajdonságokResource.Department =

FinanceResource.Impact = High

AD DS

Expression-based access policy

Fájlszerver

Dynamic Access Control• A szabályok

DAC + ADA demó

Távoli elérésDirectAccess

DirectAccess

• Egyszerű bevezetés• A telepítő varázsló akár összesen

2 lépésből is állhat• Lehet tűzfal / NAT mögött

a DirectAccess szerver • Nem kell a 2 db publikus IPv4-es,

sőt akár egy sem• Lehet egyetlen hálózati

interfésszel is DA szervert építeni• Nem kötelező a PKI infrastruktúra

kiépítése sem• Nem szükséges az IPv6 infrastruktúra sem (!)• Az egyetlen tunnel is egy rendelkezére álló lehetőség• Választhatunk: távoli elérés és/vagy távoli felügyelet?• Windows 7 kompatibilitás, de 1-2 feltétellel, pl. PKI infrastruktúra

DirectAccess• További előnyök, újdonságok

• Hitelesítés változások• TPM alapú virtuális smartcard támogatás• One-time password (OTP) hitelesítés (eddig csak a Forefront UAG-gal működött)

• IP-HTTPS proxy mögött• Kötelező proxy hitelesítés esetén egy idegen hálózatban is működik, IP-HTTPS-sel is

• IP-HTTPS NULL encryption• Az IP-HTTPS mindig is izmosabb erőforrást követelt a dupla titkosítás miatt• WS12-ben a felesleges redundáns SSL titkosítás megszűnt • A Teredo-val összevethető, lényegesen nagyobb a teljesítmény az eredmény

• Windows To Go kompatibilitás• NAP támogatás (eddig csak a Forefront UAG-gal működött)• Egyszerű migráció a Forefront UAG DA-ról

DirectAccess

50 ms

20 ms

150 ms

• Load Balancing• Terheléselosztás több DA szerver

között• Eddig csak a Forefront UAG-gal volt

elérhető

• Multisite• Földrajzi vagy failover okokból• Több, pl. telephelyenként különböző

DA szerver elérése• Automatikus belépési pont választás -

Windows 8 kliensek esetén• Windows 7 kliensek – rögzítés egy

adott belépési ponthoz

DirectAccess• Integrált kliens

• A Windows 8-ban• Automatikusan és gyorsan kapcsolódik• Rugalmas hitelesítés: Kerberos, PKI,

OTP, smartcard, virtuális smartcard + TPM

• Egyszerű a kliens állapotának nyomonkövetése, a beépített hálózati UI-n keresztül

• Kézzel válthatunk a DirectAccess belépési pontok között

• A kliens tulajdonság panelből összegyűjthetjük és elküldhetjük a részletes naplófájlokat pl. emailben

DirectAccess demó