biztonság és távelérés
DESCRIPTION
Biztonság és távelérés. Gál Tamás [email protected] MCT RL IQSOFT-John Bryce Oktatóközpont. Active Directory. (A „ Biztonság” kódnéven fut ). AD DS bevezetés. Soha nem volt még ilyen egyszerű... A DCPromo nincs többé, helyette: Server Manager / PowerShell - PowerPoint PPT PresentationTRANSCRIPT
![Page 2: Biztonság és távelérés](https://reader035.vdocuments.mx/reader035/viewer/2022081513/56812b9b550346895d8fbf66/html5/thumbnails/2.jpg)
Active Directory(A „Biztonság” kódnéven fut)
![Page 3: Biztonság és távelérés](https://reader035.vdocuments.mx/reader035/viewer/2022081513/56812b9b550346895d8fbf66/html5/thumbnails/3.jpg)
AD DS bevezetés• Soha nem volt még
ilyen egyszerű...• A DCPromo nincs többé, helyette:
Server Manager / PowerShell• Alapos ellenőrzés: feltételek,
hiányosságok, még a tényleges műveletek előtt
• Az összes előkészítő feladat beépült (séma/erdő/tartomány preparálás, működési szint emelés, stb.)
• Másik gépről is > egyetlen WS12 vagy W8 + RSAT elég mindenhez
• Az IFM preparálás (ntdsutil) közben az offline defrag elhagyható
![Page 4: Biztonság és távelérés](https://reader035.vdocuments.mx/reader035/viewer/2022081513/56812b9b550346895d8fbf66/html5/thumbnails/4.jpg)
AD Administrative Center• Az ADAC határozottan tör előre
• Az ADUC pedig határozottan gyengül
• Régi/új elemek az új ADAC-ban• Recycle Bin• Windows Server 2008 R2 forest functional level szükséges + be kell kapcsolni
• Fine Grained Password Policy• Jelszó objektumok elkészítése, szerkesztése és hozzárendelése
• Teljesen új megoldások• PowerShell History Online Viewer• Mindent látunk „Powershell-ül” az ADAC-ban
• Dynamic Access Control• Lásd később, külön
![Page 5: Biztonság és távelérés](https://reader035.vdocuments.mx/reader035/viewer/2022081513/56812b9b550346895d8fbf66/html5/thumbnails/5.jpg)
ADAC demóDC telepítés / RB / FGPP / PS OHV
![Page 6: Biztonság és távelérés](https://reader035.vdocuments.mx/reader035/viewer/2022081513/56812b9b550346895d8fbf66/html5/thumbnails/6.jpg)
Active Directory virtualizáció - Safeguard• A háttér
• A pillanatképek használata vagy a VM/VHD másolás problémás• Egy rollback miatt árva (hátrahagyott) objektumok, inkonzisztens jelszavak és
attribútumok, duplikált SID-ek és esetleg séma kavarodás is előfordulhat
• A megoldás: a biztonságos AD virtualizáció• Amikor megszületik, minden virtuális WS12 DC kap egy ún. VM-Generation ID
értéket• A hypervisorban és az adott DC címtárpéldányában is tárolódik• Menetközben a Hyper-V figyeli a problémás műveleteket (pl. snapshot) és változtat a
saját értékén• Minden adatbázis változás előtt (és a DC indításakor) összehasonlítás történik• Ha a két érték passzol, akkor nincs probléma• Ha nem, akkor egy korábbi állapot van, tehát egy Invocation ID + RID Pool reset művelet
jön• Minden adat megmarad és nem lesz árva objektum
• Megjegyzések: • Csak Windows Server 2012 DC és Hyper-V esetén
![Page 7: Biztonság és távelérés](https://reader035.vdocuments.mx/reader035/viewer/2022081513/56812b9b550346895d8fbf66/html5/thumbnails/7.jpg)
Active Directory virtualizáció - klónozás• Mikor?
• Gyors plusz tartományvezérlő igény, pl. egy katasztrófa utáni sürgős helyreállításkor
• Telephely, tesztkörnyezet • Vagy éppen eltérő AD és Hyper-V jogosultsági kör esetén
• Mi kell hozzá?• A VM-Generation ID miatt > WS12 DC + WS12 Hyper-V• A PDC Emulator FSMO is WS12 kell, hogy legyen• Speciális csoporttagság a forrás DC esetén > Cloneable Domain Controllers• A konfigurációs és kivétel fájlok (.xml) generálása > PowerShell
• Egyéb tudnivalók• Van offline üzemmód is, ha pl. több DC-t szeretnénk egyetlen vhd-ból• AD LDS, AD CS, DHCP szerepkörök esetén nem támogatott
![Page 8: Biztonság és távelérés](https://reader035.vdocuments.mx/reader035/viewer/2022081513/56812b9b550346895d8fbf66/html5/thumbnails/8.jpg)
AD klónozásOffline demó
![Page 9: Biztonság és távelérés](https://reader035.vdocuments.mx/reader035/viewer/2022081513/56812b9b550346895d8fbf66/html5/thumbnails/9.jpg)
Először Powershell-lel preparáljuk...
![Page 10: Biztonság és távelérés](https://reader035.vdocuments.mx/reader035/viewer/2022081513/56812b9b550346895d8fbf66/html5/thumbnails/10.jpg)
...majd jön a Hyper-V export és import...
![Page 11: Biztonság és távelérés](https://reader035.vdocuments.mx/reader035/viewer/2022081513/56812b9b550346895d8fbf66/html5/thumbnails/11.jpg)
...aztán elindítjuk...
![Page 12: Biztonság és távelérés](https://reader035.vdocuments.mx/reader035/viewer/2022081513/56812b9b550346895d8fbf66/html5/thumbnails/12.jpg)
...és végül örülünk.
![Page 13: Biztonság és távelérés](https://reader035.vdocuments.mx/reader035/viewer/2022081513/56812b9b550346895d8fbf66/html5/thumbnails/13.jpg)
AD Based Activation• KMS szerver
helyett / mellett• Volume licence (Windows/Office)
esetén AD alapú aktíválást nyújt• De a KMS-ként is működik
illetve azzal együtt is• RPC helyett LDAP-pal• RODC-ken is• Az ADBA-t csak a WS12/W8
tudja használni• WS12 Active Directory séma kell
hozzá (de DC nem!)
![Page 14: Biztonság és távelérés](https://reader035.vdocuments.mx/reader035/viewer/2022081513/56812b9b550346895d8fbf66/html5/thumbnails/14.jpg)
Off-Premises Domain Join
• Offline Domain Join• Kliens gépfiók beléptetése aktív tartományvezérlő kapcsolat nélkül – a WS08R2/W7
páros esetén
• Off-Premises Domain Join• A blob kiegészülhet a következő Direct Access követelményekkel• Tanúsítványok• Csoportházirend objektumok
• Az eredmény• Ha van DirectAccess-ünk, akkor a gépek offline állapotában beléptethetjük• Majd használhatjuk is rendeltetésszerűen a tartományban – távolból is• Windows To Go-val is működik
• Feltételek• Windows Server 2012 DC
![Page 15: Biztonság és távelérés](https://reader035.vdocuments.mx/reader035/viewer/2022081513/56812b9b550346895d8fbf66/html5/thumbnails/15.jpg)
Dynamic Access Control• Háttér
• Kérdés: Kinek van 100-nál több biztonsági csoportja az AD-ban?• Kérdés: Hány biztonsági csoport kell 25 telephely, 10 csoport és 2 kategória
(érzékeny/nem érzékeny) esetén?
• A DAC lényege• Alternatív jogosultsági rendszer az NTFS mellett / helyett – de a meglévő AD-val• Kevesebb biztonsági csoport, központosított és rugalmasabb jogosultság kezelés
• Feltételek• Windows Server 2012 DC• Windows Server 2012 fájlszerver• Windows 7/8 kliensek • Windows Server 2012 Active Directory Administrative Center
![Page 16: Biztonság és távelérés](https://reader035.vdocuments.mx/reader035/viewer/2022081513/56812b9b550346895d8fbf66/html5/thumbnails/16.jpg)
Dynamic Access Control
Adat osztályozás
Rugalmas hozzáférési lista a dokumentum besorolása és /vagy a felhasználó / eszköz adatai alapján
Központilag tárolt hozzáférési konfiguráció segítségével
Célzott hozzáférési audit a dokumentum besorolása vagy a felhasználó/eszköz adatai alapján
Központilag tárolt hozzáférési konfiguráció segítségével
Automatikus RMS titkosítás a dokumentum besorolása alapján
Kifejezés alapú auditálás
Kifejezés alapú hozzáférés
Titkosítás
Az adatok automatikus vagy manuális besorolása – az AD-ban tárolt erőforrás tulajdonságok alapján
Automatikus besorolás a dokumentum tartalma alapján
• A koncepció
![Page 17: Biztonság és távelérés](https://reader035.vdocuments.mx/reader035/viewer/2022081513/56812b9b550346895d8fbf66/html5/thumbnails/17.jpg)
Dynamic Access Control Az építőkockák
• Felhasználó és eszköz tulajdonságok, amelyek használhatók az ACE-ben
Felhasználói / eszköz claim-ek
• Feltétel alapú ACE, boolean logikával illetve egyéb operátorokkalKifejezés alapú ACE
• Az engedélyezés során használható a besorolás kondícióként• Folyamatos és automatikus osztályozás• Besorolás alapú automatizált RMS titkosítás
Besorolás javítása
• Központi szabályok az AD-ban tárolva és akár több fájlszerverre alkalmazva
Központi hozzáférési és audit szabályok
• A felhasználó jogosultságot kérhet ezen keresztül• Az üzemeltető számára részletes információkat nyújt a hibaelhárításhoz
Access-Denied segéd
![Page 18: Biztonság és távelérés](https://reader035.vdocuments.mx/reader035/viewer/2022081513/56812b9b550346895d8fbf66/html5/thumbnails/18.jpg)
Dynamic Access Control Eddig: csak Security Principal objektumok
Kizárólag a csoporttagságra korlátózódik Sok esetben az ún. árnyékcsoportok létrehozására van szükség Csoportok egymásba ágyazhatósága régóta probléma Nem lehet a hozzáférést aszerint szabályozni, hogy a felhasználó milyen eszközről éri
el az erőforrást
WS12: Security Principal, User Claim, Device Claim Kiválasztott AD felhasználói/számítógép tulajdonságok bekerülnek az Access Token-be A claim direktben használható a fájlszerveren a jogok kiosztására Konzisztens állapot az erdőn belül, minden felhasználó kap claim-et Új típusú házirendek kialakítását teszi lehetővé
Engedjük az írást ha User.MemberOf(Finance) és User.EmployeeType=FullTime és Device.Managed=True
![Page 19: Biztonság és távelérés](https://reader035.vdocuments.mx/reader035/viewer/2022081513/56812b9b550346895d8fbf66/html5/thumbnails/19.jpg)
Dynamic Access Control• Kifejezés alapú ACE használata
• Korábban csak az „OR” csoportok alkalmazására volt lehetőség• Képzeljük el: 500 project, 100 ország, 10 osztály• Minden kombináció leírásához összesen 500e csoport kell• ProjectZ UK Engineering Users• ProjectZ Canada Engineering Users [stb.]
• Windows Server 2012• ACE Boolean logika• Allow modify IF MemberOf(ProjectZ) AND MemberOf(UK) AND MemberOf(Engineering)• 610 csoport az 500e helyett
• Windows Server 2012 - Central Access Policies és Classification• Gyakorlatilag 3 db user claim
![Page 20: Biztonság és távelérés](https://reader035.vdocuments.mx/reader035/viewer/2022081513/56812b9b550346895d8fbf66/html5/thumbnails/20.jpg)
Felhasználó claim-ekUser.Department = Finance
User.Clearance = High
Hozzáférési szabály
Alkalmazva: Resource.Impact = HighAllow | Read,Write | if (User.Department = Resource.Department) AND
(Device.Managed = True)
Eszköz claim-ekDevice.Department = Finance
Device.Managed = True
Erőforrás tulajdonságokResource.Department =
FinanceResource.Impact = High
AD DS
Expression-based access policy
Fájlszerver
Dynamic Access Control• A szabályok
![Page 21: Biztonság és távelérés](https://reader035.vdocuments.mx/reader035/viewer/2022081513/56812b9b550346895d8fbf66/html5/thumbnails/21.jpg)
DAC + ADA demó
![Page 22: Biztonság és távelérés](https://reader035.vdocuments.mx/reader035/viewer/2022081513/56812b9b550346895d8fbf66/html5/thumbnails/22.jpg)
Távoli elérésDirectAccess
![Page 23: Biztonság és távelérés](https://reader035.vdocuments.mx/reader035/viewer/2022081513/56812b9b550346895d8fbf66/html5/thumbnails/23.jpg)
DirectAccess
• Egyszerű bevezetés• A telepítő varázsló akár összesen
2 lépésből is állhat• Lehet tűzfal / NAT mögött
a DirectAccess szerver • Nem kell a 2 db publikus IPv4-es,
sőt akár egy sem• Lehet egyetlen hálózati
interfésszel is DA szervert építeni• Nem kötelező a PKI infrastruktúra
kiépítése sem• Nem szükséges az IPv6 infrastruktúra sem (!)• Az egyetlen tunnel is egy rendelkezére álló lehetőség• Választhatunk: távoli elérés és/vagy távoli felügyelet?• Windows 7 kompatibilitás, de 1-2 feltétellel, pl. PKI infrastruktúra
![Page 24: Biztonság és távelérés](https://reader035.vdocuments.mx/reader035/viewer/2022081513/56812b9b550346895d8fbf66/html5/thumbnails/24.jpg)
DirectAccess• További előnyök, újdonságok
• Hitelesítés változások• TPM alapú virtuális smartcard támogatás• One-time password (OTP) hitelesítés (eddig csak a Forefront UAG-gal működött)
• IP-HTTPS proxy mögött• Kötelező proxy hitelesítés esetén egy idegen hálózatban is működik, IP-HTTPS-sel is
• IP-HTTPS NULL encryption• Az IP-HTTPS mindig is izmosabb erőforrást követelt a dupla titkosítás miatt• WS12-ben a felesleges redundáns SSL titkosítás megszűnt • A Teredo-val összevethető, lényegesen nagyobb a teljesítmény az eredmény
• Windows To Go kompatibilitás• NAP támogatás (eddig csak a Forefront UAG-gal működött)• Egyszerű migráció a Forefront UAG DA-ról
![Page 25: Biztonság és távelérés](https://reader035.vdocuments.mx/reader035/viewer/2022081513/56812b9b550346895d8fbf66/html5/thumbnails/25.jpg)
DirectAccess
50 ms
20 ms
150 ms
• Load Balancing• Terheléselosztás több DA szerver
között• Eddig csak a Forefront UAG-gal volt
elérhető
• Multisite• Földrajzi vagy failover okokból• Több, pl. telephelyenként különböző
DA szerver elérése• Automatikus belépési pont választás -
Windows 8 kliensek esetén• Windows 7 kliensek – rögzítés egy
adott belépési ponthoz
![Page 26: Biztonság és távelérés](https://reader035.vdocuments.mx/reader035/viewer/2022081513/56812b9b550346895d8fbf66/html5/thumbnails/26.jpg)
DirectAccess• Integrált kliens
• A Windows 8-ban• Automatikusan és gyorsan kapcsolódik• Rugalmas hitelesítés: Kerberos, PKI,
OTP, smartcard, virtuális smartcard + TPM
• Egyszerű a kliens állapotának nyomonkövetése, a beépített hálózati UI-n keresztül
• Kézzel válthatunk a DirectAccess belépési pontok között
• A kliens tulajdonság panelből összegyűjthetjük és elküldhetjük a részletes naplófájlokat pl. emailben
![Page 27: Biztonság és távelérés](https://reader035.vdocuments.mx/reader035/viewer/2022081513/56812b9b550346895d8fbf66/html5/thumbnails/27.jpg)
DirectAccess demó
![Page 28: Biztonság és távelérés](https://reader035.vdocuments.mx/reader035/viewer/2022081513/56812b9b550346895d8fbf66/html5/thumbnails/28.jpg)