Biztonság és távelérés

Méret: px

Mutatás kezdődik a ... oldaltól:

Download "Biztonság és távelérés"

Gergő Sipos
8 évvel ezelőtt
Látták:

1 Gál Tamás MCT RL IQSOFT-John Bryce Oktatóközpont Biztonság és távelérés

3 AD DS bevezetés Soha nem volt még ilyen egyszerű... A DCPromo nincs többé, helyette: Server Manager / PowerShell Alapos ellenőrzés: feltételek, hiányosságok, még a tényleges műveletek előtt Az összes előkészítő feladat beépült (séma/erdő/tartomány preparálás, működési szint emelés, stb.) Másik gépről is > egyetlen WS12 vagy W8 + RSAT elég mindenhez Az IFM preparálás (ntdsutil) közben az offline defrag elhagyható

4 AD Administrative Center Az ADAC határozottan tör előre Az ADUC pedig határozottan gyengül Régi/új elemek az új ADAC-ban Recycle Bin Windows Server 2008 R2 forest functional level szükséges + be kell kapcsolni Fine Grained Password Policy Jelszó objektumok elkészítése, szerkesztése és hozzárendelése Teljesen új megoldások PowerShell History Online Viewer Mindent látunk Powershell-ül az ADAC-ban Dynamic Access Control Lásd később, külön

5 ADAC demó DC telepítés / RB / FGPP / PS OHV

6 Active Directory virtualizáció - Safeguard A háttér A pillanatképek használata vagy a VM/VHD másolás problémás Egy rollback miatt árva (hátrahagyott) objektumok, inkonzisztens jelszavak és attribútumok, duplikált SID-ek és esetleg séma kavarodás is előfordulhat A megoldás: a biztonságos AD virtualizáció Amikor megszületik, minden virtuális WS12 DC kap egy ún. VM-Generation ID értéket A hypervisorban és az adott DC címtárpéldányában is tárolódik Menetközben a Hyper-V figyeli a problémás műveleteket (pl. snapshot) és változtat a saját értékén Minden adatbázis változás előtt (és a DC indításakor) összehasonlítás történik Ha a két érték passzol, akkor nincs probléma Ha nem, akkor egy korábbi állapot van, tehát egy Invocation ID + RID Pool reset művelet jön Minden adat megmarad és nem lesz árva objektum Megjegyzések: Csak Windows Server 2012 DC és Hyper-V esetén

7 Active Directory virtualizáció - klónozás Mikor? Gyors plusz tartományvezérlő igény, pl. egy katasztrófa utáni sürgős helyreállításkor Telephely, tesztkörnyezet Vagy éppen eltérő AD és Hyper-V jogosultsági kör esetén Mi kell hozzá? A VM-Generation ID miatt > WS12 DC + WS12 Hyper-V A PDC Emulator FSMO is WS12 kell, hogy legyen Speciális csoporttagság a forrás DC esetén > Cloneable Domain Controllers A konfigurációs és kivétel fájlok (.xml) generálása > PowerShell Egyéb tudnivalók Van offline üzemmód is, ha pl. több DC-t szeretnénk egyetlen vhd-ból AD LDS, AD CS, DHCP szerepkörök esetén nem támogatott

8 AD klónozás Offline demó

9 Először Powershell-lel preparáljuk...

10 ...majd jön a Hyper-V export és import...

11 ...aztán elindítjuk...

12 ...és végül örülünk.

13 AD Based Activation KMS szerver helyett / mellett Volume licence (Windows/Office) esetén AD alapú aktíválást nyújt De a KMS-ként is működik illetve azzal együtt is RPC helyett LDAP-pal RODC-ken is Az ADBA-t csak a WS12/W8 tudja használni WS12 Active Directory séma kell hozzá (de DC nem!)

14 Off-Premises Domain Join Offline Domain Join Kliens gépfiók beléptetése aktív tartományvezérlő kapcsolat nélkül a WS08R2/W7 páros esetén Off-Premises Domain Join A blob kiegészülhet a következő Direct Access követelményekkel Tanúsítványok Csoportházirend objektumok Az eredmény Ha van DirectAccess-ünk, akkor a gépek offline állapotában beléptethetjük Majd használhatjuk is rendeltetésszerűen a tartományban távolból is Windows To Go-val is működik Feltételek Windows Server 2012 DC

15 Dynamic Access Control Háttér Kérdés: Kinek van 100-nál több biztonsági csoportja az AD-ban? Kérdés: Hány biztonsági csoport kell 25 telephely, 10 csoport és 2 kategória (érzékeny/nem érzékeny) esetén? A DAC lényege Alternatív jogosultsági rendszer az NTFS mellett / helyett de a meglévő AD-val Kevesebb biztonsági csoport, központosított és rugalmasabb jogosultság kezelés Feltételek Windows Server 2012 DC Windows Server 2012 fájlszerver Windows 7/8 kliensek Windows Server 2012 Active Directory Administrative Center

16 Dynamic Access Control A koncepció Adat osztályozás Kifejezés alapú hozzáférés Kifejezés alapú auditálás Titkosítás Az adatok automatikus vagy manuális besorolása az ADban tárolt erőforrás tulajdonságok alapján Rugalmas hozzáférési lista a dokumentum besorolása és /vagy a felhasználó / eszköz adatai alapján Célzott hozzáférési audit a dokumentum besorolása vagy a felhasználó/eszköz adatai alapján Automatikus RMS titkosítás a dokumentum besorolása alapján Központilag tárolt hozzáférési konfiguráció segítségével Központilag tárolt hozzáférési konfiguráció segítségével

17 Dynamic Access Control Az építőkockák Felhasználói / eszköz claim-ek Felhasználó és eszköz tulajdonságok, amelyek használhatók az ACE-ben Kifejezés alapú ACE Feltétel alapú ACE, boolean logikával illetve egyéb operátorokkal Besorolás javítása Központi hozzáférési és audit szabályok Az engedélyezés során használható a besorolás kondícióként Folyamatos és automatikus osztályozás Besorolás alapú automatizált RMS titkosítás Központi szabályok az AD-ban tárolva és akár több fájlszerverre alkalmazva Access-Denied segéd A felhasználó jogosultságot kérhet ezen keresztül Az üzemeltető számára részletes információkat nyújt a hibaelhárításhoz

18 Dynamic Access Control Eddig: csak Security Principal objektumok Kizárólag a csoporttagságra korlátózódik Sok esetben az ún. árnyékcsoportok létrehozására van szükség Csoportok egymásba ágyazhatósága régóta probléma Nem lehet a hozzáférést aszerint szabályozni, hogy a felhasználó milyen eszközről éri el az erőforrást WS12: Security Principal, User Claim, Device Claim Kiválasztott AD felhasználói/számítógép tulajdonságok bekerülnek az Access Token-be A claim direktben használható a fájlszerveren a jogok kiosztására Konzisztens állapot az erdőn belül, minden felhasználó kap claim-et Új típusú házirendek kialakítását teszi lehetővé Engedjük az írást ha User.MemberOf(Finance) és User.EmployeeType=FullTime és Device.Managed=True

19 Dynamic Access Control Kifejezés alapú ACE használata Korábban csak az OR csoportok alkalmazására volt lehetőség Képzeljük el: 500 project, 100 ország, 10 osztály Minden kombináció leírásához összesen 500e csoport kell ProjectZ UK Engineering Users ProjectZ Canada Engineering Users [stb.] Windows Server 2012 ACE Boolean logika Allow modify IF MemberOf(ProjectZ) AND MemberOf(UK) AND MemberOf(Engineering) 610 csoport az 500e helyett Windows Server Central Access Policies és Classification Gyakorlatilag 3 db user claim

Managed = True Erőforrás tulajdonságok Resource.Department = Finance Resource.

20 Expression-based Dynamic Access Control access policy A szabályok AD DS Felhasználó claim-ek User.Department = Finance User.Clearance = High Fájlszerver Eszköz claim-ek Device.Department = Finance Device.Managed = True Erőforrás tulajdonságok Resource.Department = Finance Resource.Impact = High Hozzáférési szabály Alkalmazva: Resource.Impact = High Allow Read,Write if (User.Department = Resource.Department) AND (Device.Managed = True)

21 DAC + ADA demó

DirectAccess Egyszerű bevezetés A telepítő varázsló akár összesen 2 lépésből is állhat Lehet tűzfal / NAT mögött a DirectAccess szerver Nem kell a 2 db publikus IPv4-es, sőt akár egy sem Lehet

23 DirectAccess Egyszerű bevezetés A telepítő varázsló akár összesen 2 lépésből is állhat Lehet tűzfal / NAT mögött a DirectAccess szerver Nem kell a 2 db publikus IPv4-es, sőt akár egy sem Lehet egyetlen hálózati interfésszel is DA szervert építeni Nem kötelező a PKI infrastruktúra kiépítése sem Nem szükséges az IPv6 infrastruktúra sem (!) Az egyetlen tunnel is egy rendelkezére álló lehetőség Választhatunk: távoli elérés és/vagy távoli felügyelet? Windows 7 kompatibilitás, de 1-2 feltétellel, pl. PKI infrastruktúra

24 DirectAccess További előnyök, újdonságok Hitelesítés változások TPM alapú virtuális smartcard támogatás One-time password (OTP) hitelesítés (eddig csak a Forefront UAG-gal működött) IP-HTTPS proxy mögött Kötelező proxy hitelesítés esetén egy idegen hálózatban is működik, IP-HTTPS-sel is IP-HTTPS NULL encryption Az IP-HTTPS mindig is izmosabb erőforrást követelt a dupla titkosítás miatt WS12-ben a felesleges redundáns SSL titkosítás megszűnt A Teredo-val összevethető, lényegesen nagyobb a teljesítmény az eredmény Windows To Go kompatibilitás NAP támogatás (eddig csak a Forefront UAG-gal működött) Egyszerű migráció a Forefront UAG DA-ról

25 DirectAccess Load Balancing Terheléselosztás több DA szerver között Eddig csak a Forefront UAG-gal volt elérhető Multisite Földrajzi vagy failover okokból Több, pl. telephelyenként különböző DA szerver elérése Automatikus belépési pont választás - Windows 8 kliensek esetén Windows 7 kliensek rögzítés egy adott belépési ponthoz

26 DirectAccess Integrált kliens A Windows 8-ban Automatikusan és gyorsan kapcsolódik Rugalmas hitelesítés: Kerberos, PKI, OTP, smartcard, virtuális smartcard + TPM Egyszerű a kliens állapotának nyomonkövetése, a beépített hálózati UI-n keresztül Kézzel válthatunk a DirectAccess belépési pontok között A kliens tulajdonság panelből összegyűjthetjük és elküldhetjük a részletes naplófájlokat pl. ben

27 DirectAccess demó

Hasonló dokumentumok

Windows Screencast teszt

Windows Screencast teszt Question 1 Mely rendszerbeállító komponens opcióit láthatjuk illetve állíthatjuk be legelsőként a Windows Server 2008 telepítése után? a. Initial Configuration Tasks b. Remote