biztonságos windows (ii. rész): a windows alapú hálózatok biztonsága

Biztonságos Windows (II. rész):Biztonságos Windows (II. rész):A Windows alapú hálózatok A Windows alapú hálózatok biztonságabiztonsága

Szalontay ZoltánSzalontay Zoltánvezető rendszermérnökvezető rendszermérnök

Microsoft MagyarországMicrosoft Magyarország

TechNet események 200TechNet események 20044 őszén őszén

2004. október 13.2004. október 13. Biztonságos Windows (II. rész): Biztonságos Windows (II. rész): A Windows alapú hálózatok biztonsága A Windows alapú hálózatok biztonsága 2004. október 27.2004. október 27. Biztonságos Windows (III. rész):Biztonságos Windows (III. rész): Windows internetes szolgáltatások biztonsága Windows internetes szolgáltatások biztonsága2004. november 10.2004. november 10. Professzionális üzleti diagramok és űrlapokProfesszionális üzleti diagramok és űrlapok a Microsoft Office System-ben a Microsoft Office System-ben2004. november 24.2004. november 24. A Microsoft virtuális gép-technológiája:A Microsoft virtuális gép-technológiája: Virtual Server 2005 és Virtual PC 2004 Virtual Server 2005 és Virtual PC 2004

2004. szeptember 29.2004. szeptember 29. Biztonságos Windows (I. rész):Biztonságos Windows (I. rész): A Windows XP biztonsága A Windows XP biztonsága

NapirendNapirendMenedzselt biztonságMenedzselt biztonságFelhasználók azonosításaFelhasználók azonosításaPKI alapú szolgáltatásokPKI alapú szolgáltatásokA hálózati forgalom védelmeA hálózati forgalom védelmeTartalomvédelmi szolgáltatásTartalomvédelmi szolgáltatás

Menedzselt biztonságMenedzselt biztonság A biztonság fenntartása egy folyamatA biztonság fenntartása egy folyamat

a beállításokat az új gépekre alkalmazni kella beállításokat az új gépekre alkalmazni kell le kell követni a szervezeti változásokatle kell követni a szervezeti változásokat

Természetesen minden szkriptelhetőTermészetesen minden szkriptelhető naplózás, jelszó beállítások, leállítandó szervizek, naplózás, jelszó beállítások, leállítandó szervizek,

hálózatkezelés stb.hálózatkezelés stb. Menedzselt biztonságMenedzselt biztonság

egyszer adjuk meg a kívánt állapototegyszer adjuk meg a kívánt állapotot az új gépekre, felhasználókra automatikusan vonatkozikaz új gépekre, felhasználókra automatikusan vonatkozik könnyebb a változás kezelésekönnyebb a változás kezelése

CsoportházirendCsoportházirendBiztonsági beállításokBiztonsági beállítások FiókházirendFiókházirend

JelszóházirendJelszóházirend FiókzárolásFiókzárolás Kerberos-irányelvKerberos-irányelv

Helyi házirendHelyi házirend NaplórendNaplórend Felhasználó jogok kiosztásaFelhasználó jogok kiosztása Biztonsági beállításokBiztonsági beállítások

EseménynaplóEseménynapló Korlátozott csoportokKorlátozott csoportok RendszerszolgáltatásokRendszerszolgáltatások Rendszerleíró adatbázisRendszerleíró adatbázis FájlrendszerFájlrendszer

Vezeték nélküli hálózat Vezeték nélküli hálózat (IEEE 802.11) házirendjei(IEEE 802.11) házirendjei

Nyilvános kulcs Nyilvános kulcs irányelveiirányelvei Fájlrendszer titkosításaFájlrendszer titkosítása Automatikus Automatikus

tanúsítványkérelem tanúsítványkérelem beállításaibeállításai

Megbízható legfelső szintű Megbízható legfelső szintű hitelesítés szolgáltatókhitelesítés szolgáltatók

Vállalati szintű Vállalati szintű megbízhatóságmegbízhatóság

Szoftverkorlátozó Szoftverkorlátozó házirendekházirendek

IP-biztonsági házirendekIP-biztonsági házirendek

demó

Menedzselt biztonságMenedzselt biztonságActive Directory és csoportházirendek Active Directory és csoportházirendek segítségévelsegítségével

Felhasználók azonosításaFelhasználók azonosítása LanManLanMan

CSAK NAGYBETŰKCSAK NAGYBETŰK a jelszó két fele külön-külön törhetőa jelszó két fele külön-külön törhető szinte mindegy, hogy 7 vagy 10 karakteres a jelszószinte mindegy, hogy 7 vagy 10 karakteres a jelszó

NTLMNTLM UnicodeUnicode hálózaton utazikhálózaton utazik

– Challenge, LanMan hash-ből készült hash, NTLM hash-ből készült hashChallenge, LanMan hash-ből készült hash, NTLM hash-ből készült hash LanMan törés módszerével ez is törhetőLanMan törés módszerével ez is törhető

NTLM v2NTLM v2 UnicodeUnicode 128 bites kulcs, HMAC-MD5128 bites kulcs, HMAC-MD5 kölcsönös azonosításkölcsönös azonosítás

KerberosKerberos Unicode vagy PKI alapúUnicode vagy PKI alapú Titkosítás: RC4; checksum: MD5; kulcs: K = MD4(UNICODE(password))Titkosítás: RC4; checksum: MD5; kulcs: K = MD4(UNICODE(password)) A KRB_AS_REQ kérésben található Timestamp mező próbálkozással dekódolható, A KRB_AS_REQ kérésben található Timestamp mező próbálkozással dekódolható,

mert a mező nincs hash-elvemert a mező nincs hash-elve

A LanMan azonosítás letiltásaA LanMan azonosítás letiltása HKLM\SYSTEM\CurrentControlSet\Control\LSAHKLM\SYSTEM\CurrentControlSet\Control\LSA LMCompatibilityLevel érték (Q147706)LMCompatibilityLevel érték (Q147706)

0: LanMan és NTLM; NTLMv2 soha0: LanMan és NTLM; NTLMv2 soha 1: NTLMv2 ha lehetséges1: NTLMv2 ha lehetséges 2: Csak NTLM2: Csak NTLM 3: Csak NTLMv23: Csak NTLMv2 4: A kiszolgáló visszautasítja a LanMan azonosítást4: A kiszolgáló visszautasítja a LanMan azonosítást 5: A kiszolgáló visszautasítja a LanMan és NTLM azonosítást5: A kiszolgáló visszautasítja a LanMan és NTLM azonosítást

NTLMv2 kompatibilitásNTLMv2 kompatibilitás Windows 9x + DSClient.exe + Winsock 2.0 update + DUN 1.3Windows 9x + DSClient.exe + Winsock 2.0 update + DUN 1.3 NT4 SP4-től (tartományok között SP6-tól)NT4 SP4-től (tartományok között SP6-tól) Windows 2000, Windows XP, Windows Server 2003Windows 2000, Windows XP, Windows Server 2003

– csoportházirendcsoportházirend

Kerberos Kerberos „brute force” támadás„brute force” támadás

A Kerberos A Kerberos KRB_AS_REQ üzenet feltörésének becsült ideje KRB_AS_REQ üzenet feltörésének becsült ideje különböző konfigurációkon egyszerűkülönböző konfigurációkon egyszerű

TámadásTámadás1 db 1 db

PentiumPentium1.5 GHz1.5 GHz

100 db 100 db PentiumPentium1.5 GHz1.5 GHz

egyszerű egyszerű szótártámadásszótártámadás (3 (3 millió szómillió szó)) << 1 perc1 perc << 1 perc1 perc

Hibrid szótár támadás (3 millió szó plusz Hibrid szótár támadás (3 millió szó plusz szavanként 3 karakter [0-9 és még 10 más szavanként 3 karakter [0-9 és még 10 más karakter])karakter])

2.72 nap2.72 nap 39 perc39 perc

Brute force [a-z], jelszóhosszBrute force [a-z], jelszóhossz: : 66 50 perc50 perc < 1 perc< 1 perc

Brute force [a-z], jelszóhosszBrute force [a-z], jelszóhossz: : 99 1.6 év1.6 év 5.84 nap5.84 nap

Brute force [a-z, A-Z], jelszóhosszBrute force [a-z, A-Z], jelszóhossz: : 66 2.2 nap2.2 nap 31.7 perc31.7 perc

Brute force [a-z, A-Z], jelszóhosszBrute force [a-z, A-Z], jelszóhossz: : 99 863.8 év863.8 év 8.6 év8.6 év

Brute force [a-z,A-Z,0-9], jelszóhosszBrute force [a-z,A-Z,0-9], jelszóhossz: : 66 6.4 nap6.4 nap 1.5 1.5 óraóra

Brute force [a-z,A-Z,0-9], jelszóhosszBrute force [a-z,A-Z,0-9], jelszóhossz: : 88 67.8 év67.8 év 247.5 nap247.5 nap

Brute force [a-z,A-Z,0-9], jelszóhosszBrute force [a-z,A-Z,0-9], jelszóhossz: : 99 4206 év4206 év 42 év42 év

Erős jelszavak használataErős jelszavak használata LanManLanMan

gyakorlatilag mindegy, hogy 7 vagy 10 karakteres a jelszó!gyakorlatilag mindegy, hogy 7 vagy 10 karakteres a jelszó! Windows NT-s környezetben: Windows NT-s környezetben:

{{ALT+0658ALT+0658} } típusú karaktereket a jelszóba ;-)típusú karaktereket a jelszóba ;-) PASSFILT.DLL (Q161990)PASSFILT.DLL (Q161990)

Windows 2000, Windows Server 2003Windows 2000, Windows Server 2003 Default Domain Policy nevű csoportházirendDefault Domain Policy nevű csoportházirend

– „„A jelszónak meg kell felelnie a bonyolultsági feltételeknek”A jelszónak meg kell felelnie a bonyolultsági feltételeknek” nem tartalmazhatja a felhasználók fióknevét, sem annak egy részétnem tartalmazhatja a felhasználók fióknevét, sem annak egy részét legalább 6 karakter hosszúlegalább 6 karakter hosszú Az A..Z, a..z, 0..9, nem alfabetikus karakterek (pl.: !, $, #, %) Az A..Z, a..z, 0..9, nem alfabetikus karakterek (pl.: !, $, #, %)

négyféle kategóriájából közül legalább háromnégyféle kategóriájából közül legalább három egyéni jelszószűrők SDK segítségévelegyéni jelszószűrők SDK segítségével

Null Session (RPC, IPCNull Session (RPC, IPC$)$)net use net use \\SERVER\IPC\\SERVER\IPC$ $ "" "" /user:/user:""""Sikeres csatlakozás után RPC hívásokkal Sikeres csatlakozás után RPC hívásokkal

mindent elérhetmindent elérhet erőforrásokerőforrások szolgáltatásokszolgáltatások felhasználókfelhasználók ágy, asztal, tv, stb.ágy, asztal, tv, stb.

Mi az a PKI?Mi az a PKI? Cél: üzleti kommunikáció és tranzakciók védelmeCél: üzleti kommunikáció és tranzakciók védelme

szoftverekszoftverek titkosítási technológiáktitkosítási technológiák folyamatokfolyamatok szolgáltatásokszolgáltatások

FeladatFeladat személyes adatok védelme: titkosításszemélyes adatok védelme: titkosítás adat integritás: digitális aláírásadat integritás: digitális aláírás hitelesség: hash algoritmus, üzenet kivonat, digitális aláíráshitelesség: hash algoritmus, üzenet kivonat, digitális aláírás letagadhatatlanság: digitális aláírás, auditálásletagadhatatlanság: digitális aláírás, auditálás

ImplementációImplementáció 25 éves technológiák gyűjteménye25 éves technológiák gyűjteménye új terjesztési mechanizmus (pl. csoportházirend)új terjesztési mechanizmus (pl. csoportházirend)

A tanúsítványok kiállításának A tanúsítványok kiállításának folyamatafolyamata Tanúsítvány házirendTanúsítvány házirend

a tanúsítványok felhasználási területe és a CA a tanúsítványok felhasználási területe és a CA felelősségefelelőssége

Tanúsítvány használati nyilatkozatTanúsítvány használati nyilatkozat Certificate Practice Statement (CPS)Certificate Practice Statement (CPS) a CA hogyan kezelje az általa kiadott tanúsítványokata CA hogyan kezelje az általa kiadott tanúsítványokat a tanúsítvány házirend követelményei hogyan a tanúsítvány házirend követelményei hogyan

valósuljanak meg a konkrét üzemeltetési szabályzat, valósuljanak meg a konkrét üzemeltetési szabályzat, rendszer architektúra, fizikai biztonság és IT környezet rendszer architektúra, fizikai biztonság és IT környezet szempontjait figyelembe véveszempontjait figyelembe véve

A tanúsítvány házirend előírja…A tanúsítvány házirend előírja… A felhasználók hogyan azonosítják magukat a CA feléA felhasználók hogyan azonosítják magukat a CA felé Kompromittálódott vagy rossz célra használt CA Kompromittálódott vagy rossz célra használt CA

esetén a felelősségetesetén a felelősséget A tanúsítványok mire használhatókA tanúsítványok mire használhatók A privát kulcsok tárolásának és kezelésének A privát kulcsok tárolásának és kezelésének

körülményeitkörülményeit A privát kulcs exportálhatóságátA privát kulcs exportálhatóságát Mi a teendő, ha a privát kulcs elvész vagy Mi a teendő, ha a privát kulcs elvész vagy

kompromittálódikkompromittálódik A tanúsítványok kiállításának és megújításának A tanúsítványok kiállításának és megújításának

menetétmenetét A tanúsítványok érvényességi idejétA tanúsítványok érvényességi idejét A használható kriptográfiai algoritmusokatA használható kriptográfiai algoritmusokat A nyilvános és privát kulcsok minimális hosszátA nyilvános és privát kulcsok minimális hosszát

A tanúsítvány használati A tanúsítvány használati nyilatkozat (CPS) előírja…nyilatkozat (CPS) előírja… A CA azonosítását (CA neve, kiszolgáló neve, DNS címe)A CA azonosítását (CA neve, kiszolgáló neve, DNS címe) A CA mely tanúsítvány házirendeket alkalmazza és milyen típusú A CA mely tanúsítvány házirendeket alkalmazza és milyen típusú

tanúsítványokat állít kitanúsítványokat állít ki Tanúsítvány kiadási és megújítási eljárások és folyamatokTanúsítvány kiadási és megújítási eljárások és folyamatok A CA kulcsának hosszát, a használt CSP típusát és a használt A CA kulcsának hosszát, a használt CSP típusát és a használt

kriptográfiai algoritmusokatkriptográfiai algoritmusokat A CA tanúsítványának élettartamátA CA tanúsítványának élettartamát A CA-t körülvevő környezet fizikai védelmének előírásaitA CA-t körülvevő környezet fizikai védelmének előírásait A CA által kiállított tanúsítványok élettartamátA CA által kiállított tanúsítványok élettartamát A tanúsítványok visszavonásának eljárásátA tanúsítványok visszavonásának eljárását A visszavonási lista (CRL) megújításának rendszerességét és A visszavonási lista (CRL) megújításának rendszerességét és

publikálási pontját (CDP)publikálási pontját (CDP) A CA saját tanúsítványának megújítására vonatkozó szabályokatA CA saját tanúsítványának megújítására vonatkozó szabályokat A CA bizalmi kapcsolatainak (Certificate Trust List, Cross-A CA bizalmi kapcsolatainak (Certificate Trust List, Cross-

Certificates) szabályozásátCertificates) szabályozását

A CA hierarchia ajánlott mélységeA CA hierarchia ajánlott mélységeKövetelményKövetelmény Ajánlott mélységAjánlott mélység

Kis biztonságKis biztonság(1 (1 szintszint))

Egyetlen Egyetlen root CAroot CA Kevés tanúsítvány kérésKevés tanúsítvány kérés Alacsony biztonsági követelményekAlacsony biztonsági követelmények

Közepes Közepes biztonságbiztonság(2 (2 szintszint))

Offline root Offline root ésés online online alárendelt CA-kalárendelt CA-k Az Az offline CA offline CA leszakítva a hálózatrólleszakítva a hálózatról Ő engedélyezi az Ő engedélyezi az online CAonline CA-kat-kat Az alárendelt CA-k a saját sablonjaik alapján Az alárendelt CA-k a saját sablonjaik alapján

adják ki a tanúsítványokatadják ki a tanúsítványokat

Magas Magas biztonságbiztonság(3-4 (3-4 szintszint))

Offline root Offline root ésés offline offline házirendházirend Online Online alárendelt kiadókalárendelt kiadók Maximalizált biztonságMaximalizált biztonság Nagyobb, geográfiailag elosztott vagy magas Nagyobb, geográfiailag elosztott vagy magas

biztonsági szintű szervezetekbiztonsági szintű szervezetek

A CA hierarchia biztonsági szintjeiA CA hierarchia biztonsági szintjei Root CARoot CA

a legmagasabb a legmagasabb biztonságbiztonság

minimális hozzáférésminimális hozzáférés

Lefelé haladvaLefelé haladva csökken a biztonságcsökken a biztonság nő a hozzáférés igényenő a hozzáférés igénye

Windows Server 2003 PKIWindows Server 2003 PKICélkitűzésCélkitűzésWindows alapú infrastruktúra számára…Windows alapú infrastruktúra számára…

biztosítsa a legjobb PKI platformotbiztosítsa a legjobb PKI platformot a legkönnyebb bevezetésta legkönnyebb bevezetést a legalacsonyabb TCO-ta legalacsonyabb TCO-t

Windows Server 2003Windows Server 2003PKI újdonságok (1/2)PKI újdonságok (1/2) Szerkeszthető tanúsítványsablonokSzerkeszthető tanúsítványsablonok

v2v2 a régi v1-es sablon másolás esetén v2 lesza régi v1-es sablon másolás esetén v2 lesz

Igénylési, kiadási és használati szabályzatok Igénylési, kiadási és használati szabályzatok létrehozásalétrehozása ki, kinek igényelhet tanúsítványtki, kinek igényelhet tanúsítványt

Automatikus tanúsítvány igénylés és megújításAutomatikus tanúsítvány igénylés és megújítás Windows 2000: csak EFS és ComputerWindows 2000: csak EFS és Computer

Különbözeti visszavonási listaKülönbözeti visszavonási lista Delta CRL, RFC-2459Delta CRL, RFC-2459

Windows Server 2003Windows Server 2003PKI újdonságok (2/2)PKI újdonságok (2/2)Szerepen alapuló felügyeletSzerepen alapuló felügyeletKulcs archiválás és kulcs visszaállításKulcs archiválás és kulcs visszaállítás

helyreállító ügynök segítségévelhelyreállító ügynök segítségévelEsemények naplózásaEsemények naplózásaMinősített alrendszerMinősített alrendszer

minősített CA-hozminősített CA-hozCertutil.exeCertutil.exe

-dspublish, -getkey, -recoverkey-dspublish, -getkey, -recoverkeyWindows 2000 CA helyben frissíthetőWindows 2000 CA helyben frissíthető

A Windows PKI jövőjeA Windows PKI jövőjeActive Directory független tanúsítvány Active Directory független tanúsítvány

életciklus menedzsmentéletciklus menedzsmentBeépített OCSP támogatásBeépített OCSP támogatásEFS intelligens kártyávalEFS intelligens kártyával

architekturális kérdésarchitekturális kérdés

A PKI alkalmazási területeiA PKI alkalmazási területei Bejelentkezés intelligens kártyával Bejelentkezés intelligens kártyával

Smartcard logonSmartcard logon Távoli hálózati bejelentkezés Távoli hálózati bejelentkezés

RAS, VPNRAS, VPN Office dokumentumok digitális aláírásaOffice dokumentumok digitális aláírása Programok, kódok, makrók digitális aláírásaProgramok, kódok, makrók digitális aláírása

AuthenticodeAuthenticode Titkosított hálózati forgalom Titkosított hálózati forgalom

IPSec – titkosított és / vagy aláírt forgalomIPSec – titkosított és / vagy aláírt forgalom Biztonságos webszolgáltatás (https://)Biztonságos webszolgáltatás (https://)

Felhasználók azonosítása isFelhasználók azonosítása is E-mail biztonság (digitális aláírás, titkosítás)E-mail biztonság (digitális aláírás, titkosítás)

S/MIMES/MIME Titkosított fájlokTitkosított fájlok

Encrypting File System (EFS)Encrypting File System (EFS)

Bejelentkezés intelligens kártyávalBejelentkezés intelligens kártyával„Smartcard logon”„Smartcard logon”Végponttól végpontig Kerberos-on és Végponttól végpontig Kerberos-on és

PKI-n alapulPKI-n alapulNem használ jelszótNem használ jelszót

a privát kulcsot nem a jelszó titkosítására a privát kulcsot nem a jelszó titkosítására használjahasználja

a jelszavas bejelentkezés csoportházirenddel le a jelszavas bejelentkezés csoportházirenddel le is tilthatóis tiltható

SC

7 A KDC kiadja a TGT-t, amely a felhasználó nyilvános kulcsával lett titkosítva

8 A Smart Card dekódolja a TGT-t a felhasználó privát kulcsával. Az LSA bejelentkezteti a felhasználót.

6 A tanúsítvány ellenőrzése az AD alapján:subject = email

4 LSA elkéri a kártyától a tanúsítványt

Bejelentkezés intelligens kártyávalBejelentkezés intelligens kártyával

5 A Kerberos ügyfél elküldi a tanúsítványt a KDC-nek

Kerberos KDC

3 GINA átadja a PIN-t az LSA-nak

LSA szervizKerberos

2 PIN meg-adása

OlvasóOlvasó

1 A kártya előhívja a GINA-t

Bejelentkezés intelligens kártyávalBejelentkezés intelligens kártyávalÚjdonságok a Windows 2000 ótaÚjdonságok a Windows 2000 ótaTámogatott kártyákTámogatott kártyák

GemPlus GemSafe 4K, 8KGemPlus GemSafe 4K, 8K Infineon SICRYPT v2 (új)Infineon SICRYPT v2 (új) Schlumberger Cryptoflex 4K, 8K, Cyberflex Schlumberger Cryptoflex 4K, 8K, Cyberflex

Access 16KAccess 16KLetiltható jelszavas bejelentkezésLetiltható jelszavas bejelentkezésTerminál kiszolgáló támogatásTerminál kiszolgáló támogatásAutomatikus tanúsítványkérelemAutomatikus tanúsítványkérelem

A legtöbb smartcard alapú A legtöbb smartcard alapú megoldás és ujjlenyomat olvasó…megoldás és ujjlenyomat olvasó… a privát kulcsommal vagy az ujjlenyomatommal védi a a privát kulcsommal vagy az ujjlenyomatommal védi a

jelszavamatjelszavamat „„tanítási fázis” tanítási fázis”

Nem biztonsági hanem kényelmi eszközNem biztonsági hanem kényelmi eszköz pl. megkönnyíti a jelszó menedzsmentetpl. megkönnyíti a jelszó menedzsmentet

A hálózaton semmivel sem biztonságosabb, mint a A hálózaton semmivel sem biztonságosabb, mint a jelszavas bejelentkezésjelszavas bejelentkezés Basic Authentication, LanMan, NTLM v1, NTLMv2 stb.Basic Authentication, LanMan, NTLM v1, NTLMv2 stb.

Részlet a Microsoft Fingerprint Reader ismertetőjébőlRészlet a Microsoft Fingerprint Reader ismertetőjéből „„The Fingerprint Reader should not be used for protecting sensitive The Fingerprint Reader should not be used for protecting sensitive

data such as financial information or for accessing corporate data such as financial information or for accessing corporate networks. We continue to recommend that you use a strong networks. We continue to recommend that you use a strong password for these types of activities.”password for these types of activities.”

http://www.microsoft.com/hardware/mouseandkeyboard/features/http://www.microsoft.com/hardware/mouseandkeyboard/features/fingerprint.mspxfingerprint.mspx

A különböző eszközök A különböző eszközök összehasonlításaösszehasonlítása

KépességekKépességek

IntelligensIntelligenskártyakártya

BiometriBiometriai ai eszközeszköz

HWHWttokenoken

KöltségKöltség

TámogatásTámogatás

HordozhatóságHordozhatóság

MegbízhatóságMegbízhatóság

Az intelligens kártya Az intelligens kártya bevezetésének módszereibevezetésének módszerei AutomatikusAutomatikus

üres kártyák kiosztásaüres kártyák kiosztása automatikus tanúsítvány kiadás engedélyezéseautomatikus tanúsítvány kiadás engedélyezése nem javasoltnem javasolt

ÖnregisztrációÖnregisztráció a felhasználó kezdeményezi a folyamatot, de a felhasználó kezdeményezi a folyamatot, de

kommunikálnia kell a regisztrációs hatósággal (RA)kommunikálnia kell a regisztrációs hatósággal (RA) Kiadó ügynökKiadó ügynök

a tanúsítványt a kiadó ügynök kéri a felhasználó a tanúsítványt a kiadó ügynök kéri a felhasználó számáraszámára

Automatikus megújításAutomatikus megújítás miután a felhasználó igazolja, hogy birtokolja a privát miután a felhasználó igazolja, hogy birtokolja a privát

kulcsot, a tanúsítvány automatikusan megújulkulcsot, a tanúsítvány automatikusan megújul

Automatikus tanúsítvány kérés Automatikus tanúsítvány kérés intelligens kártyáraintelligens kártyára1.1. A Vállalati Rendszergazdák csoport tagjaA Vállalati Rendszergazdák csoport tagja

1.1. készít egy új tanúsítványsablont, amelyre engedélyezi az készít egy új tanúsítványsablont, amelyre engedélyezi az automatikus igényléstautomatikus igénylést

2.2. beállítja a a tanúsítványsablon jogosultságait és megköveteli a beállítja a a tanúsítványsablon jogosultságait és megköveteli a felhasználói interakciót a kérelem soránfelhasználói interakciót a kérelem során

2.2. A CA adminisztrátoraA CA adminisztrátora1.1. publikálja a testre szabott tanúsítványsablont egy Enterprise CA-rapublikálja a testre szabott tanúsítványsablont egy Enterprise CA-ra

3.3. A Tartománygazdák csoport egy tagjaA Tartománygazdák csoport egy tagja1.1. csoportházirenddel engedélyezi az automatikus csoportházirenddel engedélyezi az automatikus

tanúsítványkérelmettanúsítványkérelmet4.4. A felhasználóA felhasználó

1.1. rákattint a tanúsítványkérelem buborékrarákattint a tanúsítványkérelem buborékra2.2. behelyezi a kártyájátbehelyezi a kártyáját3.3. begépeli a PIN kódjátbegépeli a PIN kódját

A kártyák automatikus A kártyák automatikus előállításának hátrányaielőállításának hátrányai A biztonság nem nagyobb, mint a jelszavas A biztonság nem nagyobb, mint a jelszavas

védelemvédelem a smartcard egy kényelmi szolgáltatássá süllyeda smartcard egy kényelmi szolgáltatássá süllyed aláíró eszközök előállítására nem ajánlottaláíró eszközök előállítására nem ajánlott

Az igénylési folyamat bonyolult lehet a Az igénylési folyamat bonyolult lehet a felhasználók számárafelhasználók számára

A kártyaolvasót és CSP-t az automatikus A kártyaolvasót és CSP-t az automatikus előállítás előtt kell telepítenielőállítás előtt kell telepíteni

A kulcsok visszaállítása néhány CSP-vel nem A kulcsok visszaállítása néhány CSP-vel nem működikműködik

Intelligens kártyák felügyeleteIntelligens kártyák felügyelete Registration Authority (RA)Registration Authority (RA) A A Microsoft Microsoft nem készít RA-tnem készít RA-t Külső gyártók megoldásaiKülső gyártók megoldásai

Alacris idNexusAlacris idNexus Aladdin eToken TMS Token Management SystemAladdin eToken TMS Token Management System Atos Origin - Worldline Pay Card Management SystemAtos Origin - Worldline Pay Card Management System Spyrus – Signal Identity ManagerSpyrus – Signal Identity Manager Intercede – MyID EnterpriseIntercede – MyID Enterprise

Office dokumentumok digitális Office dokumentumok digitális aláírásaaláírásaOffice 2000-től kezdve támogatottOffice 2000-től kezdve támogatottMit igazol?Mit igazol?

az aláíró személyétaz aláíró személyét a dokumentum tartalma nem változott az aláírás a dokumentum tartalma nem változott az aláírás

ótaótaTöbbszörös aláírásTöbbszörös aláírás

az aláírások listát alkotnakaz aláírások listát alkotnak a fájl tartalmát meg lehet változtatni, de ekkor a fájl tartalmát meg lehet változtatni, de ekkor

eltűnnek az aláírások (az összes egyszerre)eltűnnek az aláírások (az összes egyszerre)

Néhány szó az InfoPath-rólNéhány szó az InfoPath-rólTöbb aláíró személyTöbb aláíró személyA dokumentumnak részei is aláírhatókA dokumentumnak részei is aláírhatók

pl. csak az utazási feltételekpl. csak az utazási feltételekEllenjegyzés lehetségesEllenjegyzés lehetségesAláíráskor a dokumentum aktuális Aláíráskor a dokumentum aktuális

állapota bitmap formában letárolásra állapota bitmap formában letárolásra kerülkerül

demó

Office dokumentumok digitális aláírásaOffice dokumentumok digitális aláírása

Biztonságos webszolgáltatásBiztonságos webszolgáltatás Kiszolgáló oldali tanúsítványKiszolgáló oldali tanúsítvány

azonosítja a kiszolgálótazonosítja a kiszolgálót a nyilvános kulccsal titkosítható a HTTP: adatforgalom a nyilvános kulccsal titkosítható a HTTP: adatforgalom

(HTTPS:)(HTTPS:)– az adatfolyamot szimmetrikus kulccsal titkosítjákaz adatfolyamot szimmetrikus kulccsal titkosítják– a PKI a szimmetrikus kulcs cseréjének védelmére kella PKI a szimmetrikus kulcs cseréjének védelmére kell

Ügyfél oldali tanúsítványÜgyfél oldali tanúsítvány azonosítja a felhasználótazonosítja a felhasználót IIS user mappingIIS user mapping

– 1-11-1– 1-many1-many– ADAD

demó

IIS 6.0: kiszolgáló és ügyfél oldali IIS 6.0: kiszolgáló és ügyfél oldali tanúsítványoktanúsítványok

kávé-szüne

t

A hálózati forgalom védelmeA hálózati forgalom védelme Ahány protokoll, annyi megoldásAhány protokoll, annyi megoldás Fájl és nyomtató megosztásFájl és nyomtató megosztás

SMB signing, IPSecSMB signing, IPSec WebkiszolgálóWebkiszolgáló

SSLSSL LDAP kiszolgálóLDAP kiszolgáló

LDAP SSLLDAP SSL Terminal ServicesTerminal Services

RDP adatfolyam titkosításaRDP adatfolyam titkosítása Távoli kapcsolatTávoli kapcsolat

VPN VPN PPTP vagy L2TP+IPsec PPTP vagy L2TP+IPsec TelnetTelnet

SSHSSH Bármi másBármi más

IPSecIPSec

Elterjedt VPN protokollokElterjedt VPN protokollok OSI Layer 2OSI Layer 2

PPTPPPTP– Microsoft+Ascend+3COMMicrosoft+Ascend+3COM– draft-ietf-pppext-pptp-02.txtdraft-ietf-pppext-pptp-02.txt

L2F (Cisco)L2F (Cisco) L2TPL2TP

– Microsoft+CiscoMicrosoft+Cisco– draft-ietf-pppext-l2tp-09.txtdraft-ietf-pppext-l2tp-09.txt

OSI Layer 3OSI Layer 3 IPSecIPSec

– IETFIETF– Transzport módTranszport mód– Tunnel módTunnel mód

Proto/port

Az IPSec belülrőlAz IPSec belülről IETF szabványIETF szabvány 3. OSI rétegben 3. OSI rétegben

működő működő protokollprotokoll

Szűrőként Szűrőként működikműködik

DST IP Proto/port

IP stackIP stack

SRC IP Adat

AlkalmazásAlkalmazás

DST IPSRC IP

IPSec, ha a szűrő szerint IPSec, ha a szűrő szerint használni kellhasználni kell

Titkosítható (ESP)Aláírható (AH)

IPSec Tunnel mód eseténIPSec Tunnel mód esetén

AH: Authenticated Header, ESP: Encapsulated Secure Payload

Az IPSec és a NATAz IPSec és a NAT A NAT változtatja a SourceIP-tA NAT változtatja a SourceIP-t AH esetén a fejlécben lévő SourceIP is alá lett írvaAH esetén a fejlécben lévő SourceIP is alá lett írva

ha változik, a csomag érvénytelen leszha változik, a csomag érvénytelen lesz MegoldásMegoldás

IPSec NAT Traversal (NAT-T)IPSec NAT Traversal (NAT-T) RFC-3193RFC-3193 az UDP 4500-es porton csinál egy alagutat (tunnel)az UDP 4500-es porton csinál egy alagutat (tunnel) Q818043Q818043

A L2TP+IPsec NAT-T-hez nyitva tartandó portokA L2TP+IPsec NAT-T-hez nyitva tartandó portok L2TP L2TP UDP 500, UDP 1701 UDP 500, UDP 1701 NAT-T NAT-T UDP 4500 UDP 4500 ESP ESP IP protocol 50 IP protocol 50

demó

IPSecIPSec

Mivel keverik az RMS-t?Mivel keverik az RMS-t? RMSRMS

Windows Rights Management ServicesWindows Rights Management Services zártkörű (AD), vállalati felhasználók számára nyújtott zártkörű (AD), vállalati felhasználók számára nyújtott

tartalomvédelmi szolgáltatástartalomvédelmi szolgáltatás DRMDRM

Digital Rights ManagementDigital Rights Management elektronikus licenccel védett Windows Media és eBook tartalomelektronikus licenccel védett Windows Media és eBook tartalom nyílt (Internetes) szolgáltatásnyílt (Internetes) szolgáltatás

IRMIRM Information Rights ManagementInformation Rights Management az RMS Office 2003-ban lévő ügyfeleaz RMS Office 2003-ban lévő ügyfele a „Passport RAC Service” nevea „Passport RAC Service” neve

WRMWRM ilyen nincsilyen nincs

R.M.S TitanicR.M.S Titanic Royal Mail Streamer TitanicRoyal Mail Streamer Titanic már elsüllyedtmár elsüllyedt

A tartalomvédelemrőlA tartalomvédelemrőlÜzletileg érzékeny (belső) Üzletileg érzékeny (belső) információinformáció

kijutásakijutása üzleti vagy erkölcsi kárt okozhat üzleti vagy erkölcsi kárt okozhatAz információ kijutását megakadályozni Az információ kijutását megakadályozni

nem lehetnem lehet lehet, hogy off-line médiára kerüllehet, hogy off-line médiára kerül

– XP SP2: le tudja tiltani az USB tárolókra írástXP SP2: le tudja tiltani az USB tárolókra írást portán motozni befelé szokás, kifelé nem portán motozni befelé szokás, kifelé nem

ellenőriznekellenőriznekNem a kijutást, hanem az információt kell Nem a kijutást, hanem az információt kell

védenivédeni

TéveszmékTéveszmék Egy újság az RMS-ről: „A szakemberek szerint a digitális Egy újság az RMS-ről: „A szakemberek szerint a digitális

aláírás is meg tudja oldani ezt a problémát…”aláírás is meg tudja oldani ezt a problémát…” ez önmagában igaz, de…ez önmagában igaz, de…

Digitális aláírásDigitális aláírás lehet olyan rendszert fejleszteni, amely az aláírásom ellenőrzése után enged lehet olyan rendszert fejleszteni, amely az aláírásom ellenőrzése után enged

másolni, nyomtatni stb.másolni, nyomtatni stb. Mi van, ha a projektnek új tagja lesz? Újra kell publikálni.Mi van, ha a projektnek új tagja lesz? Újra kell publikálni.

– a dokumentum végső (publikált) verzióját szokás levédeni velea dokumentum végső (publikált) verzióját szokás levédeni vele– az RMS a csoportmunka során sokkal kényelmesebbaz RMS a csoportmunka során sokkal kényelmesebb

A dokumentumot titkosítani is kellA dokumentumot titkosítani is kell TitkosításTitkosítás

önmagában még nem tartalomvédelemönmagában még nem tartalomvédelem ha meg tudom nyitni fájlt, akkor akármit csinálhatok veleha meg tudom nyitni fájlt, akkor akármit csinálhatok vele

– másolás, módosítás, továbbítás, nyomtatás stb.másolás, módosítás, továbbítás, nyomtatás stb.

Windows RMS 1.0Windows RMS 1.0 Nagyvállalati tartalomvédelmi megoldásNagyvállalati tartalomvédelmi megoldás

skálázható, magas rendelkezésre állású, külső skálázható, magas rendelkezésre állású, külső rendszerekkel összekapcsolható (Trust)rendszerekkel összekapcsolható (Trust)

Széleskörű alkalmazás támogatásSzéleskörű alkalmazás támogatás Office, E-mail, Web böngésző, külső alkalmazások Office, E-mail, Web böngésző, külső alkalmazások

SDK-valSDK-val Dinamikusan kiértékelt jogosultságokDinamikusan kiértékelt jogosultságok

emiatt csoportmunkára is jó, nem csak a végső emiatt csoportmunkára is jó, nem csak a végső publikálásrapublikálásra

Finoman hangolható korlátozásokFinoman hangolható korlátozások Korlátozás sablonokKorlátozás sablonok Off-line működésOff-line működés Cégen kívülről történő elérés (pl. kioszk)Cégen kívülről történő elérés (pl. kioszk)

Mi kell az RMS-hez?Mi kell az RMS-hez? Active DirectoryActive Directory

2000 vagy 2003, üzemmódtól független, nincs séma bővítés2000 vagy 2003, üzemmódtól független, nincs séma bővítés írási jog a Configuration konténerbeírási jog a Configuration konténerbe

Legalább egy RMS kiszolgálóLegalább egy RMS kiszolgáló Windows Server 2003 (IIS 6.0 kell hozzá)Windows Server 2003 (IIS 6.0 kell hozzá) magyar RMS is vanmagyar RMS is van

Legalább egy SQL ServerLegalább egy SQL Server lehetőleg fürtözöttlehetőleg fürtözött

Ügyfél oldali alkalmazásÜgyfél oldali alkalmazás Office 2003 Pro, Standard vagy egyedi dobozosOffice 2003 Pro, Standard vagy egyedi dobozos Rights Management Add-on for Internet Explorer (pl. OWA-hoz)Rights Management Add-on for Internet Explorer (pl. OWA-hoz) magyar ügyfél is vanmagyar ügyfél is van

Internet kapcsolat a kiszolgáló és a gépek tanúsítványáhozInternet kapcsolat a kiszolgáló és a gépek tanúsítványához

RMS CAL akár publikáláshoz akár olvasáshozRMS CAL akár publikáláshoz akár olvasáshoz EA-ban nincs benne, de RMS CAL akció Core CAL vásárlóknakEA-ban nincs benne, de RMS CAL akció Core CAL vásárlóknak

Külső felhasználók esetén RMS Internet ConnectorKülső felhasználók esetén RMS Internet Connector

Egy teljes RMS implementációEgy teljes RMS implementáció

RMS ügyfél és alkalmazás

ADFelhasználók e-mail címeRMS Service Connection Pointobjektum

Cert/licensingCert/licensing

NLBS

Root cluster

Logging/Konfig.

LicensingLicensing

NLBS

Licensing

Licensing cluster

Logging/Konfig.

RMS kompatibilis RMS kompatibilis alkalmazásokalkalmazások

AlkalmazásAlkalmazás LétrehozásLétrehozás HasználatHasználatOffice 2003 Office 2003 ProfessionalProfessional

IgenIgen IgenIgenOffice 2003 StandardOffice 2003 Standard NNemem IgenIgenEgyedi Egyedi Office 2003 Office 2003 alkalmazásokalkalmazások

IgenIgen IgenIgenOffice XPOffice XP NNemem NNememOffice 2000Office 2000 NNemem NNememRights Management Rights Management Add-on for Internet Add-on for Internet ExplorerExplorer (5.5, 6.0 (5.5, 6.0

NNemem IgenIgen

RMS 1.0RMS 1.0

Felhasználási területekFelhasználási területek Csoportmunka belső anyagokkalCsoportmunka belső anyagokkal PortálPortál

SPS integráció még nem tökéletesSPS integráció még nem tökéletes Érzékeny anyag hazavitele és off-line Érzékeny anyag hazavitele és off-line

olvasásaolvasása Partnerekkel történő együttműködésPartnerekkel történő együttműködés Passport IRM felhasználókkal történő Passport IRM felhasználókkal történő

együttműködésegyüttműködés

További információTovábbi információ ÁltalábanÁltalában

http://www.microsoft.com/security/http://www.microsoft.com/security/ KerberosKerberos

http://web.mit.edu/kerberos/www/http://web.mit.edu/kerberos/www/ http://www.ietf.org/internet-drafts/http://www.ietf.org/internet-drafts/

draft-brezak-win2k-krb-rc4-hmac-04.txtdraft-brezak-win2k-krb-rc4-hmac-04.txt Jelszó feltörésJelszó feltörés

http://www.lostpassword.com/windows-xp-2000-nt.htmhttp://www.lostpassword.com/windows-xp-2000-nt.htm http://www.polivec.com/pwdump3.htmlhttp://www.polivec.com/pwdump3.html http://www.atstake.com/research/lc/index.htmlhttp://www.atstake.com/research/lc/index.html http://home.eunet.no/~pnordahl/ntpasswd/http://home.eunet.no/~pnordahl/ntpasswd/ http://online.securityfocus.com/infocus/1352http://online.securityfocus.com/infocus/1352 http://ntsecurity.nu/toolbox/winfo/http://ntsecurity.nu/toolbox/winfo/ http://www.ntsecurity.nu/toolbox/downgrade/http://www.ntsecurity.nu/toolbox/downgrade/ http://www.brd.ie/papers/w2kkrb/http://www.brd.ie/papers/w2kkrb/

feasibility_of_w2k_kerberos_attack.htmfeasibility_of_w2k_kerberos_attack.htm http://ntsecurity.nu/toolbox/kerbcrack/http://ntsecurity.nu/toolbox/kerbcrack/

http://support.microsoft.com/?kbid=<azonoshttp://support.microsoft.com/?kbid=<azonosítóító>>

Tudásbázis cikkekTudásbázis cikkek How to enable NTLM 2 authenticationHow to enable NTLM 2 authentication

http://support.microsoft.com/?kbid=http://support.microsoft.com/?kbid=239869239869 How to Enable Strong Password Functionality How to Enable Strong Password Functionality

in Windows NT in Windows NT http://support.microsoft.com/?kbid=http://support.microsoft.com/?kbid=161990161990

IPSec Does Not Secure Kerberos Traffic IPSec Does Not Secure Kerberos Traffic Between Domain Controllers Between Domain Controllers http://support.microsoft.com/?kbid=http://support.microsoft.com/?kbid=254728254728

IPSec NAT-TraversalIPSec NAT-Traversal http://support.microsoft.com/?kbid=818043http://support.microsoft.com/?kbid=818043


Az XrML szabványrólAz XrML szabványról http://www.xrml.orghttp://www.xrml.org Az RMS 1.0 az XrML 1.2-n alapulAz RMS 1.0 az XrML 1.2-n alapul

idén jelent meg az XrML 2.0idén jelent meg az XrML 2.0 A szabvány mögött álló cégekA szabvány mögött álló cégek

ContentGuardContentGuard, Microsoft,, Microsoft,Hewlett-Packard, Reuters, VeriSignHewlett-Packard, Reuters, VeriSign

ContentGuardContentGuard Xerox-Microsoft közös vállalatXerox-Microsoft közös vállalat


http://www.xrml.org/

biztonságos windows (ii. rész): a windows alapú hálózatok biztonsága

Documents