1 / 28

Biztonság és távelérés

Biztonság és távelérés. Gál Tamás tamas.gal@iqjb.hu MCT RL IQSOFT-John Bryce Oktatóközpont. Active Directory. (A „ Biztonság” kódnéven fut ). AD DS bevezetés. Soha nem volt még ilyen egyszerű... A DCPromo nincs többé, helyette: Server Manager / PowerShell

sydney-ayers
Download Presentation

Biztonság és távelérés

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Biztonság és távelérés Gál Tamástamas.gal@iqjb.hu MCT RL IQSOFT-John Bryce Oktatóközpont

  2. Active Directory (A „Biztonság” kódnéven fut)

  3. AD DS bevezetés • Soha nem volt még ilyen egyszerű... • A DCPromo nincs többé, helyette: Server Manager / PowerShell • Alapos ellenőrzés: feltételek, hiányosságok, még a tényleges műveletek előtt • Az összes előkészítő feladat beépült (séma/erdő/tartomány preparálás, működési szint emelés, stb.) • Másik gépről is > egyetlen WS12 vagy W8 + RSAT elég mindenhez • Az IFM preparálás (ntdsutil) közben az offline defrag elhagyható

  4. AD Administrative Center • Az ADAC határozottan tör előre • Az ADUC pedig határozottan gyengül • Régi/új elemek az új ADAC-ban • Recycle Bin • Windows Server 2008 R2 forest functional levelszükséges + be kell kapcsolni • Fine Grained Password Policy • Jelszó objektumok elkészítése, szerkesztése és hozzárendelése • Teljesen új megoldások • PowerShell History Online Viewer • Mindent látunk „Powershell-ül” az ADAC-ban • Dynamic Access Control • Lásd később, külön

  5. ADAC demó DC telepítés / RB / FGPP / PS OHV

  6. Active Directory virtualizáció - Safeguard • A háttér • A pillanatképek használata vagy a VM/VHD másolás problémás • Egy rollback miatt árva (hátrahagyott) objektumok, inkonzisztens jelszavak és attribútumok, duplikált SID-ek és esetleg séma kavarodás is előfordulhat • A megoldás: a biztonságos AD virtualizáció • Amikor megszületik, minden virtuális WS12 DC kap egy ún. VM-Generation IDértéket • A hypervisorban és az adott DC címtárpéldányában is tárolódik • Menetközben a Hyper-V figyeli a problémás műveleteket (pl. snapshot) és változtat a saját értékén • Minden adatbázis változás előtt (és a DC indításakor) összehasonlítás történik • Ha a két érték passzol, akkor nincs probléma • Ha nem, akkor egy korábbi állapot van, tehát egy Invocation ID + RID Pool reset művelet jön • Minden adat megmarad és nem lesz árva objektum • Megjegyzések: • Csak Windows Server 2012 DC és Hyper-V esetén

  7. Active Directory virtualizáció - klónozás • Mikor? • Gyors plusz tartományvezérlő igény, pl. egy katasztrófa utáni sürgős helyreállításkor • Telephely, tesztkörnyezet • Vagy éppen eltérő AD és Hyper-V jogosultsági kör esetén • Mi kell hozzá? • A VM-Generation ID miatt >WS12 DC + WS12 Hyper-V • A PDC Emulator FSMO is WS12 kell, hogy legyen • Speciális csoporttagság a forrás DC esetén > Cloneable Domain Controllers • A konfigurációs és kivétel fájlok (.xml) generálása > PowerShell • Egyéb tudnivalók • Van offline üzemmód is, ha pl. több DC-t szeretnénk egyetlen vhd-ból • AD LDS, AD CS, DHCP szerepkörök esetén nem támogatott

  8. AD klónozás Offline demó

  9. Először Powershell-lel preparáljuk...

  10. ...majd jön a Hyper-V export és import...

  11. ...aztán elindítjuk...

  12. ...és végül örülünk.

  13. AD Based Activation • KMS szerver helyett / mellett • Volume licence (Windows/Office) esetén AD alapú aktíválást nyújt • De a KMS-ként is működik illetve azzal együtt is • RPC helyett LDAP-pal • RODC-ken is • Az ADBA-t csak a WS12/W8 tudja használni • WS12 Active Directory séma kell hozzá (de DC nem!)

  14. Off-Premises Domain Join • Offline Domain Join • Kliens gépfiók beléptetése aktív tartományvezérlő kapcsolat nélkül – a WS08R2/W7 páros esetén • Off-Premises Domain Join • A blob kiegészülhet a következő Direct Access követelményekkel • Tanúsítványok • Csoportházirend objektumok • Az eredmény • Ha van DirectAccess-ünk, akkor a gépek offline állapotában beléptethetjük • Majd használhatjuk is rendeltetésszerűen a tartományban – távolból is • Windows To Go-val is működik • Feltételek • Windows Server 2012 DC

  15. Dynamic Access Control • Háttér • Kérdés: Kinek van 100-nál több biztonsági csoportja az AD-ban? • Kérdés: Hány biztonsági csoport kell 25 telephely, 10 csoport és 2 kategória (érzékeny/nem érzékeny) esetén? • A DAC lényege • Alternatív jogosultsági rendszer az NTFS mellett / helyett – de a meglévő AD-val • Kevesebb biztonsági csoport, központosított és rugalmasabb jogosultság kezelés • Feltételek • Windows Server 2012 DC • Windows Server 2012 fájlszerver • Windows 7/8 kliensek • Windows Server 2012 Active Directory Administrative Center

  16. Dynamic Access Control • A koncepció • Adat osztályozás • Titkosítás • Kifejezés alapú hozzáférés Kifejezés alapú auditálás Automatikus RMS titkosítás a dokumentum besorolása alapján • Rugalmas hozzáférési lista a dokumentum besorolása és /vagy a felhasználó / eszköz adatai alapján • Központilag tárolt hozzáférési konfiguráció segítségével • Célzott hozzáférési audit a dokumentum besorolása vagy a felhasználó/eszköz adatai alapján • Központilag tárolt hozzáférési konfiguráció segítségével Az adatok automatikus vagy manuális besorolása – az AD-ban tárolt erőforrás tulajdonságok alapján Automatikus besorolás a dokumentum tartalma alapján

  17. Dynamic Access Control • Az építőkockák

  18. Dynamic Access Control • Eddig: csak Security Principal objektumok • Kizárólag a csoporttagságra korlátózódik • Sok esetben az ún. árnyékcsoportok létrehozására van szükség • Csoportok egymásba ágyazhatósága régóta probléma • Nem lehet a hozzáférést aszerint szabályozni, hogy a felhasználó milyen eszközről éri el az erőforrást • WS12: Security Principal, User Claim, Device Claim • Kiválasztott AD felhasználói/számítógép tulajdonságok bekerülnek az Access Token-be • A claim direktben használható a fájlszerveren a jogok kiosztására • Konzisztens állapot az erdőn belül, minden felhasználó kap claim-et • Új típusú házirendek kialakítását teszi lehetővé • Engedjük az írást ha User.MemberOf(Finance) és User.EmployeeType=FullTime és Device.Managed=True

  19. Dynamic Access Control • Kifejezés alapú ACE használata • Korábban csak az „OR” csoportok alkalmazására volt lehetőség • Képzeljük el: 500 project, 100 ország, 10 osztály • Minden kombináció leírásához összesen 500e csoport kell • ProjectZ UK Engineering Users • ProjectZ Canada Engineering Users [stb.] • Windows Server 2012 • ACEBoolean logika • Allow modify IF MemberOf(ProjectZ) AND MemberOf(UK) AND MemberOf(Engineering) • 610 csoport az 500e helyett • Windows Server 2012 - Central Access Policies és Classification • Gyakorlatilag 3 db user claim

  20. Expression-based access policy Dynamic Access Control • A szabályok AD DS Fájlszerver Felhasználó claim-ek User.Department = Finance User.Clearance = High Eszköz claim-ek Device.Department = Finance Device.Managed = True Erőforrás tulajdonságok Resource.Department = Finance Resource.Impact = High Hozzáférési szabály Alkalmazva: Resource.Impact = High Allow | Read,Write| if (User.Department= Resource.Department) AND (Device.Managed = True)

  21. DAC + ADA demó

  22. Távoli elérés DirectAccess

  23. DirectAccess • Egyszerű bevezetés • A telepítő varázsló akár összesen 2 lépésből is állhat • Lehet tűzfal / NAT mögött a DirectAccess szerver • Nem kell a 2 db publikus IPv4-es, sőt akár egy sem • Lehet egyetlen hálózati interfésszel is DA szervert építeni • Nem kötelező a PKI infrastruktúra kiépítése sem • Nem szükséges az IPv6 infrastruktúra sem (!) • Az egyetlen tunnel is egy rendelkezére álló lehetőség • Választhatunk: távoli elérés és/vagy távoli felügyelet? • Windows 7 kompatibilitás, de 1-2 feltétellel, pl. PKI infrastruktúra

  24. DirectAccess • További előnyök, újdonságok • Hitelesítés változások • TPM alapú virtuális smartcard támogatás • One-time password (OTP) hitelesítés (eddig csak a Forefront UAG-gal működött) • IP-HTTPS proxy mögött • Kötelező proxy hitelesítés esetén egy idegen hálózatban is működik, IP-HTTPS-sel is • IP-HTTPS NULL encryption • Az IP-HTTPS mindig is izmosabb erőforrást követelt a dupla titkosítás miatt • WS12-ben a felesleges redundáns SSL titkosítás megszűnt • A Teredo-val összevethető, lényegesen nagyobb a teljesítmény az eredmény • Windows To Go kompatibilitás • NAP támogatás (eddig csak a Forefront UAG-gal működött) • Egyszerű migráció a Forefront UAG DA-ról

  25. DirectAccess • Load Balancing • Terheléselosztás több DA szerver között • Eddig csak a Forefront UAG-gal volt elérhető • Multisite • Földrajzi vagy failover okokból • Több, pl. telephelyenként különböző DA szerver elérése • Automatikus belépési pont választás - Windows 8 kliensek esetén • Windows 7 kliensek – rögzítés egy adott belépési ponthoz 50 ms 20 ms 150 ms

  26. DirectAccess • Integrált kliens • A Windows 8-ban • Automatikusan és gyorsan kapcsolódik • Rugalmas hitelesítés: Kerberos, PKI, OTP, smartcard, virtuális smartcard +TPM • Egyszerű a kliens állapotának nyomonkövetése, a beépített hálózati UI-n keresztül • Kézzel válthatunk a DirectAccess belépési pontok között • A kliens tulajdonság panelből összegyűjthetjük és elküldhetjük a részletes naplófájlokat pl. emailben

  27. DirectAccess demó

More Related