Biztonság és távelérés

Hasonló dokumentumok
Windows Screencast teszt

Windows hálózati adminisztráció segédlet a gyakorlati órákhoz

SC Kérdés. SC Kérdés. SC Kérdés

Windows rendszeradminisztráció és Microsoft szerveralkalmazások támogatása. 5. óra. Kocsis Gergely, Supák Zoltán

G Data MasterAdmin 9 0 _ 09 _ _ # r_ e p a P ch e T 1

Tartalomjegyzék. I. rész: Az ügyfél Alapismeretek 3. Előszó

A biztonsági fenyegetettségek száma és területe gyorsan változik. De nem csak a támadók dolgoznak ezen, a végfelhasználók is sokat tesznek ezért.

Bevezetés... xi Ebben a könyvben... xi Gyakorlati segítség... xii 1. Az átállás megtervezése...1 Ebben a fejezetben... 1 Áttekintés: az áttérés

IV.4. FELHŐ ALAPÚ BIZTONSÁGOS ADATTÁROLÁSI MÓDSZER ÉS TESZTKÖRNYEZET KIDOLGOZÁSA

Kérdés Kép Válasz HIBAS Válasz HELYES Válasz HIBAS Válasz HIBAS Kérdés Kép Válasz HIBAS Válasz HELYES Válasz HIBAS Válasz HIBAS Kérdés Kép Válasz

Windows XP -> 7 - Samba4 a PPKE-n

Utolsó módosítás:

1. A Windows Vista munkakörnyezete 1

Active Directory kiegészítő kiszolgálók telepítése és konfigurálása Windows Server 2003 R2 alatt

Windows hálózati adminisztráció segédlet a gyakorlati órákhoz

2. gyakorlat: Tartományvezérlő, DNS, tartományba léptetés, ODJ, Core változat konfigurálása, RODC

Windows rendszeradminisztráció és Microsoft szerveralkalmazások támogatása. 6. óra. Kocsis Gergely, Supák Zoltán

Melyek a Windows Server 2008 R2 tiszta telepítésének (Clean Install) legfontosabb lépései?

Windows hálózati adminisztráció

Alap protokollok. NetBT: NetBIOS over TCP/IP: Name, Datagram és Session szolgáltatás.

c) az internetszolgáltató DNS szerverében fel kell venni egy LDAP rekordot, mely tartalmazza a

Az operációs rendszerek fejlődése

Utolsó módosítás:

Utolsó módosítás:

Windows hálózati adminisztráció

SAMBA. Forrás: Lajber Zoltán: SAMBA alapok dia, SZIE

Hálózati operációs rendszerek II. Novell Netware 5.1 Hálózati nyomtatás

Windows rendszeradminisztráció és Microsoft szerveralkalmazások támogatása. 8. óra. Kocsis Gergely, Kelenföldi Szilárd

Utolsó módosítás:

Windows rendszeradminisztráció és Microsoft szerveralkalmazások támogatása. 7. óra. Kocsis Gergely, Kelenföldi Szilárd

A belső hálózat konfigurálása

Szervervirtualizáció és fürtözés újdonságok a WS16 TP3-ban

OE-NIK 2010/11 ősz OE-NIK ősz

Oracle adatbázis biztonság a gyakorlatban és 12c újdonságok

Novell ZENworks Configuration Management. Néhrer János konzultáns Novell PSH Kft.

10. Gyakorlat: Alkalmazások publikálása Remote Desktop Szervízen keresztül

KÜRT Zrt. Logelemzés heti riport Felhasználói fiók, illetve felhasználói csoportkezelési műveletek

SQLServer. Védelmi struktúra

Windows há lo záti ádminisztrá cio gyákorlát

LINUX LDAP címtár. Mi a címtár?

Oracle Audit Vault and Database Firewall. Gecseg Gyula Oracle DBA

Foglalkozási napló. Informatikai rendszergazda 14. évfolyam

Tartományi környezet

11. Gyakorlat: Certificate Authority (CA), FTP site-ok

Windows Szerver teszt

S, mint secure. Nagy Attila Gábor Wildom Kft.

Windows Server 2012: a felhő OS

API tervezése mobil környezetbe. gyakorlat

HecPoll a vezérlő rendszer

Windows hálózati adminisztráció

Roger UT-2. Kommunikációs interfész V3.0

Mobil eszközökön tárolt adatok biztonsága

Enterprise User Security

eduroam konfiguráció workshop Mohácsi János NIIF Intézet

Windows hálózati adminisztráció segédlet a gyakorlati órákhoz

Titkosítás mesterfokon. Tíz évvel a titkosítás után. Előadó: Tóthi Dóra Kovárczi Béla András

1. Gyakorlat: Telepítés: Windows Server 2008 R2 Enterprise, Core, Windows 7

Windows rendszeradminisztráció és Microsoft szerveralkalmazások támogatása. 8. óra. Kocsis Gergely, Supák Zoltán

Magyar Posta központi Oracle infrastruktúrája VMware alapokon

Az Evolut Főkönyv program telepítési és beállítási útmutatója v2.0

NVR-7308P8-H2 NVR-7316P8-H2 NVR-7524P8-H4

NEPTUN ID BMENET ID. Címtár BME VPN. vcenter VPN SVN. Trac Wiki. Wifi

Windows hálózati adminisztráció segédlet a gyakorlati órákhoz

4. Gyakorlat: Csoportházirend beállítások

Előszó feladat: Kisiroda internet-hozzáféréssel... 17

2008 AD. Acímtárszolgáltatással kapcsolatos változások és fejlesztések minden új Windows-kiszolgáló

Windows hálózati adminisztráció

Saját Subversion tároló üzemeltetése i. Saját Subversion tároló üzemeltetése

Izsó Krisztián Péti Zoltán. Cisco Identity Services Engine

Vodafone ODI ETL eszközzel töltött adattárház Disaster Recovery megoldása. Rákosi Péter és Lányi Árpád

Windows rendszeradminisztráció és Microsoft szerveralkalmazások támogatása. 4. óra. Kocsis Gergely, Supák Zoltán

Telepítési útmutató a Solid Edge ST7-es verziójához Solid Edge

Biztonság a glite-ban

VMware. technológiával. ADATMENTÉS VMware környezetben IBM Tivoli eszközökkel

1/9. Sunell IP kamerák webes felületének használati útmutatója. Élő kép (Live Video)

1. Melyik virtuális lemez típus támogatja az Online VHDX Resize funkció segítségével a lemez átméretezését? a. IDE b. SATA c. Fiber Channel d.

Mosolygó Ferenc. Értékesítési Konzultáns.

Symfony kurzus 2014/2015 I. félév. Security: authentication, authorization, user provider, role-ok, access control, FOS user bundle

Kipróbált és bevált távmunka megoládsok

Virtual Call Center kliens program MSI csomag telepítése

Beállítások 1. Töltse be a Planet_NET.pkt állományt a szimulációs programba! A teszthálózat már tartalmazza a vállalat

2. Tartományvezérlő, DNS, Core konfigurálása, Powershell

Mikrotik 6.22 telepítés

Hálózati betekint ő program telepítése mobil telefonra. Symbian. alarm shop. Windows mobile Android IPhone Blackberry

Előnyei. Helyi hálózatok tervezése és üzemeltetése 2

Tartalomjegyzék. 1. fejezet A Windows 2000 biztonsági szolgáltatásai. Röviden Azonnali megoldások... 11

Tájékoztató a kollégiumi internet beállításához

Vectory telepítési útmutató

HÁLÓZATI HASZNÁLATI ÚTMUTATÓ

Hálózati operációs rendszerek II. OES biztonsági rendszere

Telenor Magyarország MS Office 365 telepítési útmutató

S z á m í t ó g é p e s a l a p i s m e r e t e k


Windows hálózati adminisztráció segédlet a gyakorlati órákhoz

Hálózatos beállítás. A Novitax ügyviteli programrendszerek hálózatos beállítása a következők alapján történhet:

Geotechnika II. (NGB-SE005-2) Geo5 használat

Open Enterprise Server a Novell NetWare legújabb verziója

Copyright 2012, Oracle and/or its affiliates. All rights reserved.

Biztonságos mobilalkalmazás-fejlesztés a gyakorlatban. A CryptTalk fejlesztése során alkalmazott módszerek. Dr. Barabás Péter Arenim Technologies

GDi Esri Magyarország Felhasználói Konferencia Timár Gábor: Konkurens adatfeldolgozás ArcGIS rendszerben

Átírás:

Gál Tamás tamas.gal@iqjb.hu MCT RL IQSOFT-John Bryce Oktatóközpont Biztonság és távelérés

AD DS bevezetés Soha nem volt még ilyen egyszerű... A DCPromo nincs többé, helyette: Server Manager / PowerShell Alapos ellenőrzés: feltételek, hiányosságok, még a tényleges műveletek előtt Az összes előkészítő feladat beépült (séma/erdő/tartomány preparálás, működési szint emelés, stb.) Másik gépről is > egyetlen WS12 vagy W8 + RSAT elég mindenhez Az IFM preparálás (ntdsutil) közben az offline defrag elhagyható

AD Administrative Center Az ADAC határozottan tör előre Az ADUC pedig határozottan gyengül Régi/új elemek az új ADAC-ban Recycle Bin Windows Server 2008 R2 forest functional level szükséges + be kell kapcsolni Fine Grained Password Policy Jelszó objektumok elkészítése, szerkesztése és hozzárendelése Teljesen új megoldások PowerShell History Online Viewer Mindent látunk Powershell-ül az ADAC-ban Dynamic Access Control Lásd később, külön

ADAC demó DC telepítés / RB / FGPP / PS OHV

Active Directory virtualizáció - Safeguard A háttér A pillanatképek használata vagy a VM/VHD másolás problémás Egy rollback miatt árva (hátrahagyott) objektumok, inkonzisztens jelszavak és attribútumok, duplikált SID-ek és esetleg séma kavarodás is előfordulhat A megoldás: a biztonságos AD virtualizáció Amikor megszületik, minden virtuális WS12 DC kap egy ún. VM-Generation ID értéket A hypervisorban és az adott DC címtárpéldányában is tárolódik Menetközben a Hyper-V figyeli a problémás műveleteket (pl. snapshot) és változtat a saját értékén Minden adatbázis változás előtt (és a DC indításakor) összehasonlítás történik Ha a két érték passzol, akkor nincs probléma Ha nem, akkor egy korábbi állapot van, tehát egy Invocation ID + RID Pool reset művelet jön Minden adat megmarad és nem lesz árva objektum Megjegyzések: Csak Windows Server 2012 DC és Hyper-V esetén

Active Directory virtualizáció - klónozás Mikor? Gyors plusz tartományvezérlő igény, pl. egy katasztrófa utáni sürgős helyreállításkor Telephely, tesztkörnyezet Vagy éppen eltérő AD és Hyper-V jogosultsági kör esetén Mi kell hozzá? A VM-Generation ID miatt > WS12 DC + WS12 Hyper-V A PDC Emulator FSMO is WS12 kell, hogy legyen Speciális csoporttagság a forrás DC esetén > Cloneable Domain Controllers A konfigurációs és kivétel fájlok (.xml) generálása > PowerShell Egyéb tudnivalók Van offline üzemmód is, ha pl. több DC-t szeretnénk egyetlen vhd-ból AD LDS, AD CS, DHCP szerepkörök esetén nem támogatott

AD klónozás Offline demó

Először Powershell-lel preparáljuk...

...majd jön a Hyper-V export és import...

...aztán elindítjuk...

...és végül örülünk.

AD Based Activation KMS szerver helyett / mellett Volume licence (Windows/Office) esetén AD alapú aktíválást nyújt De a KMS-ként is működik illetve azzal együtt is RPC helyett LDAP-pal RODC-ken is Az ADBA-t csak a WS12/W8 tudja használni WS12 Active Directory séma kell hozzá (de DC nem!)

Off-Premises Domain Join Offline Domain Join Kliens gépfiók beléptetése aktív tartományvezérlő kapcsolat nélkül a WS08R2/W7 páros esetén Off-Premises Domain Join A blob kiegészülhet a következő Direct Access követelményekkel Tanúsítványok Csoportházirend objektumok Az eredmény Ha van DirectAccess-ünk, akkor a gépek offline állapotában beléptethetjük Majd használhatjuk is rendeltetésszerűen a tartományban távolból is Windows To Go-val is működik Feltételek Windows Server 2012 DC

Dynamic Access Control Háttér Kérdés: Kinek van 100-nál több biztonsági csoportja az AD-ban? Kérdés: Hány biztonsági csoport kell 25 telephely, 10 csoport és 2 kategória (érzékeny/nem érzékeny) esetén? A DAC lényege Alternatív jogosultsági rendszer az NTFS mellett / helyett de a meglévő AD-val Kevesebb biztonsági csoport, központosított és rugalmasabb jogosultság kezelés Feltételek Windows Server 2012 DC Windows Server 2012 fájlszerver Windows 7/8 kliensek Windows Server 2012 Active Directory Administrative Center

Dynamic Access Control A koncepció Adat osztályozás Kifejezés alapú hozzáférés Kifejezés alapú auditálás Titkosítás Az adatok automatikus vagy manuális besorolása az ADban tárolt erőforrás tulajdonságok alapján Rugalmas hozzáférési lista a dokumentum besorolása és /vagy a felhasználó / eszköz adatai alapján Célzott hozzáférési audit a dokumentum besorolása vagy a felhasználó/eszköz adatai alapján Automatikus RMS titkosítás a dokumentum besorolása alapján Központilag tárolt hozzáférési konfiguráció segítségével Központilag tárolt hozzáférési konfiguráció segítségével

Dynamic Access Control Az építőkockák Felhasználói / eszköz claim-ek Felhasználó és eszköz tulajdonságok, amelyek használhatók az ACE-ben Kifejezés alapú ACE Feltétel alapú ACE, boolean logikával illetve egyéb operátorokkal Besorolás javítása Központi hozzáférési és audit szabályok Az engedélyezés során használható a besorolás kondícióként Folyamatos és automatikus osztályozás Besorolás alapú automatizált RMS titkosítás Központi szabályok az AD-ban tárolva és akár több fájlszerverre alkalmazva Access-Denied segéd A felhasználó jogosultságot kérhet ezen keresztül Az üzemeltető számára részletes információkat nyújt a hibaelhárításhoz

Dynamic Access Control Eddig: csak Security Principal objektumok Kizárólag a csoporttagságra korlátózódik Sok esetben az ún. árnyékcsoportok létrehozására van szükség Csoportok egymásba ágyazhatósága régóta probléma Nem lehet a hozzáférést aszerint szabályozni, hogy a felhasználó milyen eszközről éri el az erőforrást WS12: Security Principal, User Claim, Device Claim Kiválasztott AD felhasználói/számítógép tulajdonságok bekerülnek az Access Token-be A claim direktben használható a fájlszerveren a jogok kiosztására Konzisztens állapot az erdőn belül, minden felhasználó kap claim-et Új típusú házirendek kialakítását teszi lehetővé Engedjük az írást ha User.MemberOf(Finance) és User.EmployeeType=FullTime és Device.Managed=True

Dynamic Access Control Kifejezés alapú ACE használata Korábban csak az OR csoportok alkalmazására volt lehetőség Képzeljük el: 500 project, 100 ország, 10 osztály Minden kombináció leírásához összesen 500e csoport kell ProjectZ UK Engineering Users ProjectZ Canada Engineering Users [stb.] Windows Server 2012 ACE Boolean logika Allow modify IF MemberOf(ProjectZ) AND MemberOf(UK) AND MemberOf(Engineering) 610 csoport az 500e helyett Windows Server 2012 - Central Access Policies és Classification Gyakorlatilag 3 db user claim

Expression-based Dynamic Access Control access policy A szabályok AD DS Felhasználó claim-ek User.Department = Finance User.Clearance = High Fájlszerver Eszköz claim-ek Device.Department = Finance Device.Managed = True Erőforrás tulajdonságok Resource.Department = Finance Resource.Impact = High Hozzáférési szabály Alkalmazva: Resource.Impact = High Allow Read,Write if (User.Department = Resource.Department) AND (Device.Managed = True)

DAC + ADA demó

DirectAccess Egyszerű bevezetés A telepítő varázsló akár összesen 2 lépésből is állhat Lehet tűzfal / NAT mögött a DirectAccess szerver Nem kell a 2 db publikus IPv4-es, sőt akár egy sem Lehet egyetlen hálózati interfésszel is DA szervert építeni Nem kötelező a PKI infrastruktúra kiépítése sem Nem szükséges az IPv6 infrastruktúra sem (!) Az egyetlen tunnel is egy rendelkezére álló lehetőség Választhatunk: távoli elérés és/vagy távoli felügyelet? Windows 7 kompatibilitás, de 1-2 feltétellel, pl. PKI infrastruktúra

DirectAccess További előnyök, újdonságok Hitelesítés változások TPM alapú virtuális smartcard támogatás One-time password (OTP) hitelesítés (eddig csak a Forefront UAG-gal működött) IP-HTTPS proxy mögött Kötelező proxy hitelesítés esetén egy idegen hálózatban is működik, IP-HTTPS-sel is IP-HTTPS NULL encryption Az IP-HTTPS mindig is izmosabb erőforrást követelt a dupla titkosítás miatt WS12-ben a felesleges redundáns SSL titkosítás megszűnt A Teredo-val összevethető, lényegesen nagyobb a teljesítmény az eredmény Windows To Go kompatibilitás NAP támogatás (eddig csak a Forefront UAG-gal működött) Egyszerű migráció a Forefront UAG DA-ról

DirectAccess Load Balancing Terheléselosztás több DA szerver között Eddig csak a Forefront UAG-gal volt elérhető Multisite Földrajzi vagy failover okokból Több, pl. telephelyenként különböző DA szerver elérése Automatikus belépési pont választás - Windows 8 kliensek esetén Windows 7 kliensek rögzítés egy adott belépési ponthoz

DirectAccess Integrált kliens A Windows 8-ban Automatikusan és gyorsan kapcsolódik Rugalmas hitelesítés: Kerberos, PKI, OTP, smartcard, virtuális smartcard + TPM Egyszerű a kliens állapotának nyomonkövetése, a beépített hálózati UI-n keresztül Kézzel válthatunk a DirectAccess belépési pontok között A kliens tulajdonság panelből összegyűjthetjük és elküldhetjük a részletes naplófájlokat pl. emailben

DirectAccess demó

2024 © DocPlayer.hu Adatvédelmi irányelvek | Szolgáltatási feltételek | Visszajelzés