Biztonság” kódnéven fut
Download
Report
Transcript Biztonság” kódnéven fut
Gál Tamás
[email protected]
MCT RL
IQSOFT-John Bryce
Oktatóközpont
Biztonság és
távelérés
AD DS bevezetés
• Soha nem volt még ilyen
egyszerű...
• A DCPromo nincs többé, helyette: Server
•
•
•
•
Manager / PowerShell
Alapos ellenőrzés: feltételek,
hiányosságok, még a tényleges
műveletek előtt
Az összes előkészítő feladat beépült
(séma/erdő/tartomány preparálás,
működési szint emelés, stb.)
Másik gépről is > egyetlen WS12 vagy
W8 + RSAT elég mindenhez
Az IFM preparálás (ntdsutil) közben az
offline defrag elhagyható
AD Administrative Center
• Az ADAC határozottan tör előre
• Az ADUC pedig határozottan gyengül
• Régi/új elemek az új ADAC-ban
• Recycle Bin
• Windows Server 2008 R2 forest functional level szükséges + be kell kapcsolni
• Fine Grained Password Policy
• Jelszó objektumok elkészítése, szerkesztése és hozzárendelése
• Teljesen új megoldások
• PowerShell History Online Viewer
• Mindent látunk „Powershell-ül” az ADAC-ban
• Dynamic Access Control
• Lásd később, külön
ADAC demó
DC telepítés / RB / FGPP / PS OHV
Active Directory virtualizáció Safeguard
• A háttér
• A pillanatképek használata vagy a VM/VHD másolás problémás
• Egy rollback miatt árva (hátrahagyott) objektumok, inkonzisztens jelszavak és attribútumok,
duplikált SID-ek és esetleg séma kavarodás is előfordulhat
• A megoldás: a biztonságos AD virtualizáció
• Amikor megszületik, minden virtuális WS12 DC kap egy ún. VM-Generation ID értéket
• A hypervisorban és az adott DC címtárpéldányában is tárolódik
• Menetközben a Hyper-V figyeli a problémás műveleteket (pl. snapshot) és változtat a saját értékén
• Minden adatbázis változás előtt (és a DC indításakor) összehasonlítás történik
• Ha a két érték passzol, akkor nincs probléma
• Ha nem, akkor egy korábbi állapot van, tehát egy Invocation ID + RID Pool reset művelet jön
• Minden adat megmarad és nem lesz árva objektum
• Megjegyzések:
• Csak Windows Server 2012 DC és Hyper-V esetén
Active Directory virtualizáció - klónozás
• Mikor?
• Gyors plusz tartományvezérlő igény, pl. egy katasztrófa utáni sürgős helyreállításkor
• Telephely, tesztkörnyezet
• Vagy éppen eltérő AD és Hyper-V jogosultsági kör esetén
• Mi kell hozzá?
•
•
•
•
A VM-Generation ID miatt > WS12 DC + WS12 Hyper-V
A PDC Emulator FSMO is WS12 kell, hogy legyen
Speciális csoporttagság a forrás DC esetén > Cloneable Domain Controllers
A konfigurációs és kivétel fájlok (.xml) generálása > PowerShell
• Egyéb tudnivalók
• Van offline üzemmód is, ha pl. több DC-t szeretnénk egyetlen vhd-ból
• AD LDS, AD CS, DHCP szerepkörök esetén nem támogatott
AD klónozás
Offline demó
Először
Powershell-lel
preparáljuk...
...majd jön a
Hyper-V export
és import...
...aztán
elindítjuk...
...és végül
örülünk.
AD Based Activation
• KMS szerver helyett /
mellett
• Volume licence (Windows/Office)
•
•
•
•
•
esetén AD alapú aktíválást nyújt
De a KMS-ként is működik illetve
azzal együtt is
RPC helyett LDAP-pal
RODC-ken is
Az ADBA-t csak a WS12/W8 tudja
használni
WS12 Active Directory séma kell
hozzá (de DC nem!)
Off-Premises Domain Join
• Offline Domain Join
• Kliens gépfiók beléptetése aktív tartományvezérlő kapcsolat nélkül – a WS08R2/W7 páros esetén
• Off-Premises Domain Join
• A blob kiegészülhet a következő Direct Access követelményekkel
• Tanúsítványok
• Csoportházirend objektumok
• Az eredmény
• Ha van DirectAccess-ünk, akkor a gépek offline állapotában beléptethetjük
• Majd használhatjuk is rendeltetésszerűen a tartományban – távolból is
• Windows To Go-val is működik
• Feltételek
• Windows Server 2012 DC
Dynamic Access Control
• Háttér
• Kérdés: Kinek van 100-nál több biztonsági csoportja az AD-ban?
• Kérdés: Hány biztonsági csoport kell 25 telephely, 10 csoport és 2 kategória (érzékeny/nem
érzékeny) esetén?
• A DAC lényege
• Alternatív jogosultsági rendszer az NTFS mellett / helyett – de a meglévő AD-val
• Kevesebb biztonsági csoport, központosított és rugalmasabb jogosultság kezelés
• Feltételek
•
•
•
•
Windows Server 2012 DC
Windows Server 2012 fájlszerver
Windows 7/8 kliensek
Windows Server 2012 Active Directory Administrative Center
Dynamic Access Control
• A koncepció
Adat osztályozás
Az adatok automatikus
vagy manuális
besorolása – az ADban tárolt erőforrás
tulajdonságok alapján
Kifejezés alapú
hozzáférés
Kifejezés alapú
auditálás
Rugalmas hozzáférési
lista a dokumentum
besorolása és /vagy a
felhasználó / eszköz
adatai alapján
Célzott hozzáférési
audit a dokumentum
besorolása vagy a
felhasználó/eszköz
adatai alapján
Központilag tárolt
hozzáférési
konfiguráció
segítségével
Központilag tárolt
hozzáférési
konfiguráció
segítségével
Titkosítás
Automatikus RMS
titkosítás a
dokumentum
besorolása alapján
Dynamic Access Control
Az építőkockák
Felhasználói / eszköz claim-ek
Kifejezés alapú ACE
Besorolás javítása
Központi hozzáférési és audit
szabályok
Access-Denied segéd
• Felhasználó és eszköz tulajdonságok, amelyek használhatók az ACE-ben
• Feltétel alapú ACE, boolean logikával illetve egyéb operátorokkal
• Az engedélyezés során használható a besorolás kondícióként
• Folyamatos és automatikus osztályozás
• Besorolás alapú automatizált RMS titkosítás
• Központi szabályok az AD-ban tárolva és akár több fájlszerverre alkalmazva
• A felhasználó jogosultságot kérhet ezen keresztül
• Az üzemeltető számára részletes információkat nyújt a hibaelhárításhoz
Dynamic Access Control
Eddig: csak Security Principal objektumok
Kizárólag a csoporttagságra korlátózódik
Sok esetben az ún. árnyékcsoportok létrehozására van szükség
Csoportok egymásba ágyazhatósága régóta probléma
Nem lehet a hozzáférést aszerint szabályozni, hogy a felhasználó milyen eszközről éri el az erőforrást
WS12: Security Principal, User Claim, Device Claim
Kiválasztott AD felhasználói/számítógép tulajdonságok bekerülnek az Access Token-be
A claim direktben használható a fájlszerveren a jogok kiosztására
Konzisztens állapot az erdőn belül, minden felhasználó kap claim-et
Új típusú házirendek kialakítását teszi lehetővé
Engedjük az írást ha User.MemberOf(Finance) és User.EmployeeType=FullTime és Device.Managed=True
Dynamic Access Control
• Kifejezés alapú ACE használata
• Korábban csak az „OR” csoportok alkalmazására volt lehetőség
• Képzeljük el: 500 project, 100 ország, 10 osztály
• Minden kombináció leírásához összesen 500e csoport kell
• ProjectZ UK Engineering Users
• ProjectZ Canada Engineering Users [stb.]
• Windows Server 2012
• ACE Boolean logika
• Allow modify IF MemberOf(ProjectZ) AND MemberOf(UK) AND MemberOf(Engineering)
• 610 csoport az 500e helyett
• Windows Server 2012 - Central Access Policies és Classification
• Gyakorlatilag 3 db user claim
Expression-based
Dynamic
Access Control
access policy
• A szabályok
AD DS
Felhasználó claim-ek
User.Department = Finance
User.Clearance = High
Fájlszerver
Eszköz claim-ek
Device.Department = Finance
Device.Managed = True
Erőforrás tulajdonságok
Resource.Department = Finance
Resource.Impact = High
Hozzáférési szabály
Alkalmazva: Resource.Impact = High
Allow | Read,Write | if (User.Department = Resource.Department) AND (Device.Managed = True)
DAC + ADA
demó
DirectAccess
• Egyszerű bevezetés
• A telepítő varázsló akár összesen
•
•
•
•
•
•
•
•
2 lépésből is állhat
Lehet tűzfal / NAT mögött
a DirectAccess szerver
Nem kell a 2 db publikus IPv4-es,
sőt akár egy sem
Lehet egyetlen hálózati
interfésszel is DA szervert építeni
Nem kötelező a PKI infrastruktúra
kiépítése sem
Nem szükséges az IPv6 infrastruktúra sem (!)
Az egyetlen tunnel is egy rendelkezére álló lehetőség
Választhatunk: távoli elérés és/vagy távoli felügyelet?
Windows 7 kompatibilitás, de 1-2 feltétellel, pl. PKI infrastruktúra
DirectAccess
• További előnyök, újdonságok
• Hitelesítés változások
• TPM alapú virtuális smartcard támogatás
• One-time password (OTP) hitelesítés (eddig csak a Forefront UAG-gal működött)
• IP-HTTPS proxy mögött
• Kötelező proxy hitelesítés esetén egy idegen hálózatban is működik, IP-HTTPS-sel is
• IP-HTTPS NULL encryption
• Az IP-HTTPS mindig is izmosabb erőforrást követelt a dupla titkosítás miatt
• WS12-ben a felesleges redundáns SSL titkosítás megszűnt
• A Teredo-val összevethető, lényegesen nagyobb a teljesítmény az eredmény
• Windows To Go kompatibilitás
• NAP támogatás (eddig csak a Forefront UAG-gal működött)
• Egyszerű migráció a Forefront UAG DA-ról
DirectAccess
• Load Balancing
• Terheléselosztás több DA szerver között
• Eddig csak a Forefront UAG-gal volt
elérhető
• Multisite
• Földrajzi vagy failover okokból
• Több, pl. telephelyenként különböző DA
szerver elérése
• Automatikus belépési pont választás Windows 8 kliensek esetén
• Windows 7 kliensek – rögzítés egy adott
belépési ponthoz
DirectAccess
• Integrált kliens
• A Windows 8-ban
• Automatikusan és gyorsan kapcsolódik
• Rugalmas hitelesítés: Kerberos, PKI, OTP,
smartcard, virtuális smartcard + TPM
• Egyszerű a kliens állapotának
nyomonkövetése, a beépített hálózati UI-n
keresztül
• Kézzel válthatunk a DirectAccess belépési
pontok között
• A kliens tulajdonság panelből
összegyűjthetjük és elküldhetjük a részletes
naplófájlokat pl. emailben
DirectAccess
demó