biztonságos windows (ii. rész): a windows alapú hálózatok biztonsága
DESCRIPTION
Biztonságos Windows (II. rész): A Windows alapú hálózatok biztonsága. Szalontay Zoltán vezető rendszermérnök Microsoft Magyarország. TechNet események 200 4 őszén. 2004. szeptember 29. Biztonságos Windows (I. rész): A Windows XP biztonsága. 2004. október 13. - PowerPoint PPT PresentationTRANSCRIPT
Biztonságos Windows (II. rész):Biztonságos Windows (II. rész):A Windows alapú hálózatok A Windows alapú hálózatok biztonságabiztonsága
Szalontay ZoltánSzalontay Zoltánvezető rendszermérnökvezető rendszermérnök
Microsoft MagyarországMicrosoft Magyarország
TechNet események 200TechNet események 20044 őszén őszén
2004. október 13.2004. október 13. Biztonságos Windows (II. rész): Biztonságos Windows (II. rész): A Windows alapú hálózatok biztonsága A Windows alapú hálózatok biztonsága 2004. október 27.2004. október 27. Biztonságos Windows (III. rész):Biztonságos Windows (III. rész): Windows internetes szolgáltatások biztonsága Windows internetes szolgáltatások biztonsága2004. november 10.2004. november 10. Professzionális üzleti diagramok és űrlapokProfesszionális üzleti diagramok és űrlapok a Microsoft Office System-ben a Microsoft Office System-ben2004. november 24.2004. november 24. A Microsoft virtuális gép-technológiája:A Microsoft virtuális gép-technológiája: Virtual Server 2005 és Virtual PC 2004 Virtual Server 2005 és Virtual PC 2004
2004. szeptember 29.2004. szeptember 29. Biztonságos Windows (I. rész):Biztonságos Windows (I. rész): A Windows XP biztonsága A Windows XP biztonsága
NapirendNapirendMenedzselt biztonságMenedzselt biztonságFelhasználók azonosításaFelhasználók azonosításaPKI alapú szolgáltatásokPKI alapú szolgáltatásokA hálózati forgalom védelmeA hálózati forgalom védelmeTartalomvédelmi szolgáltatásTartalomvédelmi szolgáltatás
Menedzselt biztonságMenedzselt biztonság A biztonság fenntartása egy folyamatA biztonság fenntartása egy folyamat
a beállításokat az új gépekre alkalmazni kella beállításokat az új gépekre alkalmazni kell le kell követni a szervezeti változásokatle kell követni a szervezeti változásokat
Természetesen minden szkriptelhetőTermészetesen minden szkriptelhető naplózás, jelszó beállítások, leállítandó szervizek, naplózás, jelszó beállítások, leállítandó szervizek,
hálózatkezelés stb.hálózatkezelés stb. Menedzselt biztonságMenedzselt biztonság
egyszer adjuk meg a kívánt állapototegyszer adjuk meg a kívánt állapotot az új gépekre, felhasználókra automatikusan vonatkozikaz új gépekre, felhasználókra automatikusan vonatkozik könnyebb a változás kezelésekönnyebb a változás kezelése
CsoportházirendCsoportházirendBiztonsági beállításokBiztonsági beállítások FiókházirendFiókházirend
JelszóházirendJelszóházirend FiókzárolásFiókzárolás Kerberos-irányelvKerberos-irányelv
Helyi házirendHelyi házirend NaplórendNaplórend Felhasználó jogok kiosztásaFelhasználó jogok kiosztása Biztonsági beállításokBiztonsági beállítások
EseménynaplóEseménynapló Korlátozott csoportokKorlátozott csoportok RendszerszolgáltatásokRendszerszolgáltatások Rendszerleíró adatbázisRendszerleíró adatbázis FájlrendszerFájlrendszer
Vezeték nélküli hálózat Vezeték nélküli hálózat (IEEE 802.11) házirendjei(IEEE 802.11) házirendjei
Nyilvános kulcs Nyilvános kulcs irányelveiirányelvei Fájlrendszer titkosításaFájlrendszer titkosítása Automatikus Automatikus
tanúsítványkérelem tanúsítványkérelem beállításaibeállításai
Megbízható legfelső szintű Megbízható legfelső szintű hitelesítés szolgáltatókhitelesítés szolgáltatók
Vállalati szintű Vállalati szintű megbízhatóságmegbízhatóság
Szoftverkorlátozó Szoftverkorlátozó házirendekházirendek
IP-biztonsági házirendekIP-biztonsági házirendek
demó
Menedzselt biztonságMenedzselt biztonságActive Directory és csoportházirendek Active Directory és csoportházirendek segítségévelsegítségével
NapirendNapirendMenedzselt biztonságMenedzselt biztonságFelhasználók azonosításaFelhasználók azonosításaPKI alapú szolgáltatásokPKI alapú szolgáltatásokA hálózati forgalom védelmeA hálózati forgalom védelmeTartalomvédelmi szolgáltatásTartalomvédelmi szolgáltatás
Felhasználók azonosításaFelhasználók azonosítása LanManLanMan
CSAK NAGYBETŰKCSAK NAGYBETŰK a jelszó két fele külön-külön törhetőa jelszó két fele külön-külön törhető szinte mindegy, hogy 7 vagy 10 karakteres a jelszószinte mindegy, hogy 7 vagy 10 karakteres a jelszó
NTLMNTLM UnicodeUnicode hálózaton utazikhálózaton utazik
– Challenge, LanMan hash-ből készült hash, NTLM hash-ből készült hashChallenge, LanMan hash-ből készült hash, NTLM hash-ből készült hash LanMan törés módszerével ez is törhetőLanMan törés módszerével ez is törhető
NTLM v2NTLM v2 UnicodeUnicode 128 bites kulcs, HMAC-MD5128 bites kulcs, HMAC-MD5 kölcsönös azonosításkölcsönös azonosítás
KerberosKerberos Unicode vagy PKI alapúUnicode vagy PKI alapú Titkosítás: RC4; checksum: MD5; kulcs: K = MD4(UNICODE(password))Titkosítás: RC4; checksum: MD5; kulcs: K = MD4(UNICODE(password)) A KRB_AS_REQ kérésben található Timestamp mező próbálkozással dekódolható, A KRB_AS_REQ kérésben található Timestamp mező próbálkozással dekódolható,
mert a mező nincs hash-elvemert a mező nincs hash-elve
A LanMan azonosítás letiltásaA LanMan azonosítás letiltása HKLM\SYSTEM\CurrentControlSet\Control\LSAHKLM\SYSTEM\CurrentControlSet\Control\LSA LMCompatibilityLevel érték (Q147706)LMCompatibilityLevel érték (Q147706)
0: LanMan és NTLM; NTLMv2 soha0: LanMan és NTLM; NTLMv2 soha 1: NTLMv2 ha lehetséges1: NTLMv2 ha lehetséges 2: Csak NTLM2: Csak NTLM 3: Csak NTLMv23: Csak NTLMv2 4: A kiszolgáló visszautasítja a LanMan azonosítást4: A kiszolgáló visszautasítja a LanMan azonosítást 5: A kiszolgáló visszautasítja a LanMan és NTLM azonosítást5: A kiszolgáló visszautasítja a LanMan és NTLM azonosítást
NTLMv2 kompatibilitásNTLMv2 kompatibilitás Windows 9x + DSClient.exe + Winsock 2.0 update + DUN 1.3Windows 9x + DSClient.exe + Winsock 2.0 update + DUN 1.3 NT4 SP4-től (tartományok között SP6-tól)NT4 SP4-től (tartományok között SP6-tól) Windows 2000, Windows XP, Windows Server 2003Windows 2000, Windows XP, Windows Server 2003
– csoportházirendcsoportházirend
Kerberos Kerberos „brute force” támadás„brute force” támadás
A Kerberos A Kerberos KRB_AS_REQ üzenet feltörésének becsült ideje KRB_AS_REQ üzenet feltörésének becsült ideje különböző konfigurációkon egyszerűkülönböző konfigurációkon egyszerű
TámadásTámadás1 db 1 db
PentiumPentium1.5 GHz1.5 GHz
100 db 100 db PentiumPentium1.5 GHz1.5 GHz
egyszerű egyszerű szótártámadásszótártámadás (3 (3 millió szómillió szó)) << 1 perc1 perc << 1 perc1 perc
Hibrid szótár támadás (3 millió szó plusz Hibrid szótár támadás (3 millió szó plusz szavanként 3 karakter [0-9 és még 10 más szavanként 3 karakter [0-9 és még 10 más karakter])karakter])
2.72 nap2.72 nap 39 perc39 perc
Brute force [a-z], jelszóhosszBrute force [a-z], jelszóhossz: : 66 50 perc50 perc < 1 perc< 1 perc
Brute force [a-z], jelszóhosszBrute force [a-z], jelszóhossz: : 99 1.6 év1.6 év 5.84 nap5.84 nap
Brute force [a-z, A-Z], jelszóhosszBrute force [a-z, A-Z], jelszóhossz: : 66 2.2 nap2.2 nap 31.7 perc31.7 perc
Brute force [a-z, A-Z], jelszóhosszBrute force [a-z, A-Z], jelszóhossz: : 99 863.8 év863.8 év 8.6 év8.6 év
Brute force [a-z,A-Z,0-9], jelszóhosszBrute force [a-z,A-Z,0-9], jelszóhossz: : 66 6.4 nap6.4 nap 1.5 1.5 óraóra
Brute force [a-z,A-Z,0-9], jelszóhosszBrute force [a-z,A-Z,0-9], jelszóhossz: : 88 67.8 év67.8 év 247.5 nap247.5 nap
Brute force [a-z,A-Z,0-9], jelszóhosszBrute force [a-z,A-Z,0-9], jelszóhossz: : 99 4206 év4206 év 42 év42 év
Erős jelszavak használataErős jelszavak használata LanManLanMan
gyakorlatilag mindegy, hogy 7 vagy 10 karakteres a jelszó!gyakorlatilag mindegy, hogy 7 vagy 10 karakteres a jelszó! Windows NT-s környezetben: Windows NT-s környezetben:
{{ALT+0658ALT+0658} } típusú karaktereket a jelszóba ;-)típusú karaktereket a jelszóba ;-) PASSFILT.DLL (Q161990)PASSFILT.DLL (Q161990)
Windows 2000, Windows Server 2003Windows 2000, Windows Server 2003 Default Domain Policy nevű csoportházirendDefault Domain Policy nevű csoportházirend
– „„A jelszónak meg kell felelnie a bonyolultsági feltételeknek”A jelszónak meg kell felelnie a bonyolultsági feltételeknek” nem tartalmazhatja a felhasználók fióknevét, sem annak egy részétnem tartalmazhatja a felhasználók fióknevét, sem annak egy részét legalább 6 karakter hosszúlegalább 6 karakter hosszú Az A..Z, a..z, 0..9, nem alfabetikus karakterek (pl.: !, $, #, %) Az A..Z, a..z, 0..9, nem alfabetikus karakterek (pl.: !, $, #, %)
négyféle kategóriájából közül legalább háromnégyféle kategóriájából közül legalább három egyéni jelszószűrők SDK segítségévelegyéni jelszószűrők SDK segítségével
Null Session (RPC, IPCNull Session (RPC, IPC$)$)net use net use \\SERVER\IPC\\SERVER\IPC$ $ "" "" /user:/user:""""Sikeres csatlakozás után RPC hívásokkal Sikeres csatlakozás után RPC hívásokkal
mindent elérhetmindent elérhet erőforrásokerőforrások szolgáltatásokszolgáltatások felhasználókfelhasználók ágy, asztal, tv, stb.ágy, asztal, tv, stb.
NapirendNapirendMenedzselt biztonságMenedzselt biztonságFelhasználók azonosításaFelhasználók azonosításaPKI alapú szolgáltatásokPKI alapú szolgáltatásokA hálózati forgalom védelmeA hálózati forgalom védelmeTartalomvédelmi szolgáltatásTartalomvédelmi szolgáltatás
Mi az a PKI?Mi az a PKI? Cél: üzleti kommunikáció és tranzakciók védelmeCél: üzleti kommunikáció és tranzakciók védelme
szoftverekszoftverek titkosítási technológiáktitkosítási technológiák folyamatokfolyamatok szolgáltatásokszolgáltatások
FeladatFeladat személyes adatok védelme: titkosításszemélyes adatok védelme: titkosítás adat integritás: digitális aláírásadat integritás: digitális aláírás hitelesség: hash algoritmus, üzenet kivonat, digitális aláíráshitelesség: hash algoritmus, üzenet kivonat, digitális aláírás letagadhatatlanság: digitális aláírás, auditálásletagadhatatlanság: digitális aláírás, auditálás
ImplementációImplementáció 25 éves technológiák gyűjteménye25 éves technológiák gyűjteménye új terjesztési mechanizmus (pl. csoportházirend)új terjesztési mechanizmus (pl. csoportházirend)
A tanúsítványok kiállításának A tanúsítványok kiállításának folyamatafolyamata Tanúsítvány házirendTanúsítvány házirend
a tanúsítványok felhasználási területe és a CA a tanúsítványok felhasználási területe és a CA felelősségefelelőssége
Tanúsítvány használati nyilatkozatTanúsítvány használati nyilatkozat Certificate Practice Statement (CPS)Certificate Practice Statement (CPS) a CA hogyan kezelje az általa kiadott tanúsítványokata CA hogyan kezelje az általa kiadott tanúsítványokat a tanúsítvány házirend követelményei hogyan a tanúsítvány házirend követelményei hogyan
valósuljanak meg a konkrét üzemeltetési szabályzat, valósuljanak meg a konkrét üzemeltetési szabályzat, rendszer architektúra, fizikai biztonság és IT környezet rendszer architektúra, fizikai biztonság és IT környezet szempontjait figyelembe véveszempontjait figyelembe véve
A tanúsítvány házirend előírja…A tanúsítvány házirend előírja… A felhasználók hogyan azonosítják magukat a CA feléA felhasználók hogyan azonosítják magukat a CA felé Kompromittálódott vagy rossz célra használt CA Kompromittálódott vagy rossz célra használt CA
esetén a felelősségetesetén a felelősséget A tanúsítványok mire használhatókA tanúsítványok mire használhatók A privát kulcsok tárolásának és kezelésének A privát kulcsok tárolásának és kezelésének
körülményeitkörülményeit A privát kulcs exportálhatóságátA privát kulcs exportálhatóságát Mi a teendő, ha a privát kulcs elvész vagy Mi a teendő, ha a privát kulcs elvész vagy
kompromittálódikkompromittálódik A tanúsítványok kiállításának és megújításának A tanúsítványok kiállításának és megújításának
menetétmenetét A tanúsítványok érvényességi idejétA tanúsítványok érvényességi idejét A használható kriptográfiai algoritmusokatA használható kriptográfiai algoritmusokat A nyilvános és privát kulcsok minimális hosszátA nyilvános és privát kulcsok minimális hosszát
A tanúsítvány használati A tanúsítvány használati nyilatkozat (CPS) előírja…nyilatkozat (CPS) előírja… A CA azonosítását (CA neve, kiszolgáló neve, DNS címe)A CA azonosítását (CA neve, kiszolgáló neve, DNS címe) A CA mely tanúsítvány házirendeket alkalmazza és milyen típusú A CA mely tanúsítvány házirendeket alkalmazza és milyen típusú
tanúsítványokat állít kitanúsítványokat állít ki Tanúsítvány kiadási és megújítási eljárások és folyamatokTanúsítvány kiadási és megújítási eljárások és folyamatok A CA kulcsának hosszát, a használt CSP típusát és a használt A CA kulcsának hosszát, a használt CSP típusát és a használt
kriptográfiai algoritmusokatkriptográfiai algoritmusokat A CA tanúsítványának élettartamátA CA tanúsítványának élettartamát A CA-t körülvevő környezet fizikai védelmének előírásaitA CA-t körülvevő környezet fizikai védelmének előírásait A CA által kiállított tanúsítványok élettartamátA CA által kiállított tanúsítványok élettartamát A tanúsítványok visszavonásának eljárásátA tanúsítványok visszavonásának eljárását A visszavonási lista (CRL) megújításának rendszerességét és A visszavonási lista (CRL) megújításának rendszerességét és
publikálási pontját (CDP)publikálási pontját (CDP) A CA saját tanúsítványának megújítására vonatkozó szabályokatA CA saját tanúsítványának megújítására vonatkozó szabályokat A CA bizalmi kapcsolatainak (Certificate Trust List, Cross-A CA bizalmi kapcsolatainak (Certificate Trust List, Cross-
Certificates) szabályozásátCertificates) szabályozását
A CA hierarchia ajánlott mélységeA CA hierarchia ajánlott mélységeKövetelményKövetelmény Ajánlott mélységAjánlott mélység
Kis biztonságKis biztonság(1 (1 szintszint))
Egyetlen Egyetlen root CAroot CA Kevés tanúsítvány kérésKevés tanúsítvány kérés Alacsony biztonsági követelményekAlacsony biztonsági követelmények
Közepes Közepes biztonságbiztonság(2 (2 szintszint))
Offline root Offline root ésés online online alárendelt CA-kalárendelt CA-k Az Az offline CA offline CA leszakítva a hálózatrólleszakítva a hálózatról Ő engedélyezi az Ő engedélyezi az online CAonline CA-kat-kat Az alárendelt CA-k a saját sablonjaik alapján Az alárendelt CA-k a saját sablonjaik alapján
adják ki a tanúsítványokatadják ki a tanúsítványokat
Magas Magas biztonságbiztonság(3-4 (3-4 szintszint))
Offline root Offline root ésés offline offline házirendházirend Online Online alárendelt kiadókalárendelt kiadók Maximalizált biztonságMaximalizált biztonság Nagyobb, geográfiailag elosztott vagy magas Nagyobb, geográfiailag elosztott vagy magas
biztonsági szintű szervezetekbiztonsági szintű szervezetek
A CA hierarchia biztonsági szintjeiA CA hierarchia biztonsági szintjei Root CARoot CA
a legmagasabb a legmagasabb biztonságbiztonság
minimális hozzáférésminimális hozzáférés
Lefelé haladvaLefelé haladva csökken a biztonságcsökken a biztonság nő a hozzáférés igényenő a hozzáférés igénye
Windows Server 2003 PKIWindows Server 2003 PKICélkitűzésCélkitűzésWindows alapú infrastruktúra számára…Windows alapú infrastruktúra számára…
biztosítsa a legjobb PKI platformotbiztosítsa a legjobb PKI platformot a legkönnyebb bevezetésta legkönnyebb bevezetést a legalacsonyabb TCO-ta legalacsonyabb TCO-t
Windows Server 2003Windows Server 2003PKI újdonságok (1/2)PKI újdonságok (1/2) Szerkeszthető tanúsítványsablonokSzerkeszthető tanúsítványsablonok
v2v2 a régi v1-es sablon másolás esetén v2 lesza régi v1-es sablon másolás esetén v2 lesz
Igénylési, kiadási és használati szabályzatok Igénylési, kiadási és használati szabályzatok létrehozásalétrehozása ki, kinek igényelhet tanúsítványtki, kinek igényelhet tanúsítványt
Automatikus tanúsítvány igénylés és megújításAutomatikus tanúsítvány igénylés és megújítás Windows 2000: csak EFS és ComputerWindows 2000: csak EFS és Computer
Különbözeti visszavonási listaKülönbözeti visszavonási lista Delta CRL, RFC-2459Delta CRL, RFC-2459
Windows Server 2003Windows Server 2003PKI újdonságok (2/2)PKI újdonságok (2/2)Szerepen alapuló felügyeletSzerepen alapuló felügyeletKulcs archiválás és kulcs visszaállításKulcs archiválás és kulcs visszaállítás
helyreállító ügynök segítségévelhelyreállító ügynök segítségévelEsemények naplózásaEsemények naplózásaMinősített alrendszerMinősített alrendszer
minősített CA-hozminősített CA-hozCertutil.exeCertutil.exe
-dspublish, -getkey, -recoverkey-dspublish, -getkey, -recoverkeyWindows 2000 CA helyben frissíthetőWindows 2000 CA helyben frissíthető
A Windows PKI jövőjeA Windows PKI jövőjeActive Directory független tanúsítvány Active Directory független tanúsítvány
életciklus menedzsmentéletciklus menedzsmentBeépített OCSP támogatásBeépített OCSP támogatásEFS intelligens kártyávalEFS intelligens kártyával
architekturális kérdésarchitekturális kérdés
A PKI alkalmazási területeiA PKI alkalmazási területei Bejelentkezés intelligens kártyával Bejelentkezés intelligens kártyával
Smartcard logonSmartcard logon Távoli hálózati bejelentkezés Távoli hálózati bejelentkezés
RAS, VPNRAS, VPN Office dokumentumok digitális aláírásaOffice dokumentumok digitális aláírása Programok, kódok, makrók digitális aláírásaProgramok, kódok, makrók digitális aláírása
AuthenticodeAuthenticode Titkosított hálózati forgalom Titkosított hálózati forgalom
IPSec – titkosított és / vagy aláírt forgalomIPSec – titkosított és / vagy aláírt forgalom Biztonságos webszolgáltatás (https://)Biztonságos webszolgáltatás (https://)
Felhasználók azonosítása isFelhasználók azonosítása is E-mail biztonság (digitális aláírás, titkosítás)E-mail biztonság (digitális aláírás, titkosítás)
S/MIMES/MIME Titkosított fájlokTitkosított fájlok
Encrypting File System (EFS)Encrypting File System (EFS)
Bejelentkezés intelligens kártyávalBejelentkezés intelligens kártyával„Smartcard logon”„Smartcard logon”Végponttól végpontig Kerberos-on és Végponttól végpontig Kerberos-on és
PKI-n alapulPKI-n alapulNem használ jelszótNem használ jelszót
a privát kulcsot nem a jelszó titkosítására a privát kulcsot nem a jelszó titkosítására használjahasználja
a jelszavas bejelentkezés csoportházirenddel le a jelszavas bejelentkezés csoportházirenddel le is tilthatóis tiltható
SC
7 A KDC kiadja a TGT-t, amely a felhasználó nyilvános kulcsával lett titkosítva
8 A Smart Card dekódolja a TGT-t a felhasználó privát kulcsával. Az LSA bejelentkezteti a felhasználót.
6 A tanúsítvány ellenőrzése az AD alapján:subject = email
4 LSA elkéri a kártyától a tanúsítványt
Bejelentkezés intelligens kártyávalBejelentkezés intelligens kártyával
5 A Kerberos ügyfél elküldi a tanúsítványt a KDC-nek
Kerberos KDC
3 GINA átadja a PIN-t az LSA-nak
LSA szervizKerberos
2 PIN meg-adása
OlvasóOlvasó
1 A kártya előhívja a GINA-t
Bejelentkezés intelligens kártyávalBejelentkezés intelligens kártyávalÚjdonságok a Windows 2000 ótaÚjdonságok a Windows 2000 ótaTámogatott kártyákTámogatott kártyák
GemPlus GemSafe 4K, 8KGemPlus GemSafe 4K, 8K Infineon SICRYPT v2 (új)Infineon SICRYPT v2 (új) Schlumberger Cryptoflex 4K, 8K, Cyberflex Schlumberger Cryptoflex 4K, 8K, Cyberflex
Access 16KAccess 16KLetiltható jelszavas bejelentkezésLetiltható jelszavas bejelentkezésTerminál kiszolgáló támogatásTerminál kiszolgáló támogatásAutomatikus tanúsítványkérelemAutomatikus tanúsítványkérelem
A legtöbb smartcard alapú A legtöbb smartcard alapú megoldás és ujjlenyomat olvasó…megoldás és ujjlenyomat olvasó… a privát kulcsommal vagy az ujjlenyomatommal védi a a privát kulcsommal vagy az ujjlenyomatommal védi a
jelszavamatjelszavamat „„tanítási fázis” tanítási fázis”
Nem biztonsági hanem kényelmi eszközNem biztonsági hanem kényelmi eszköz pl. megkönnyíti a jelszó menedzsmentetpl. megkönnyíti a jelszó menedzsmentet
A hálózaton semmivel sem biztonságosabb, mint a A hálózaton semmivel sem biztonságosabb, mint a jelszavas bejelentkezésjelszavas bejelentkezés Basic Authentication, LanMan, NTLM v1, NTLMv2 stb.Basic Authentication, LanMan, NTLM v1, NTLMv2 stb.
Részlet a Microsoft Fingerprint Reader ismertetőjébőlRészlet a Microsoft Fingerprint Reader ismertetőjéből „„The Fingerprint Reader should not be used for protecting sensitive The Fingerprint Reader should not be used for protecting sensitive
data such as financial information or for accessing corporate data such as financial information or for accessing corporate networks. We continue to recommend that you use a strong networks. We continue to recommend that you use a strong password for these types of activities.”password for these types of activities.”
http://www.microsoft.com/hardware/mouseandkeyboard/features/http://www.microsoft.com/hardware/mouseandkeyboard/features/fingerprint.mspxfingerprint.mspx
A különböző eszközök A különböző eszközök összehasonlításaösszehasonlítása
KépességekKépességek
IntelligensIntelligenskártyakártya
BiometriBiometriai ai eszközeszköz
HWHWttokenoken
KöltségKöltség
TámogatásTámogatás
HordozhatóságHordozhatóság
MegbízhatóságMegbízhatóság
Az intelligens kártya Az intelligens kártya bevezetésének módszereibevezetésének módszerei AutomatikusAutomatikus
üres kártyák kiosztásaüres kártyák kiosztása automatikus tanúsítvány kiadás engedélyezéseautomatikus tanúsítvány kiadás engedélyezése nem javasoltnem javasolt
ÖnregisztrációÖnregisztráció a felhasználó kezdeményezi a folyamatot, de a felhasználó kezdeményezi a folyamatot, de
kommunikálnia kell a regisztrációs hatósággal (RA)kommunikálnia kell a regisztrációs hatósággal (RA) Kiadó ügynökKiadó ügynök
a tanúsítványt a kiadó ügynök kéri a felhasználó a tanúsítványt a kiadó ügynök kéri a felhasználó számáraszámára
Automatikus megújításAutomatikus megújítás miután a felhasználó igazolja, hogy birtokolja a privát miután a felhasználó igazolja, hogy birtokolja a privát
kulcsot, a tanúsítvány automatikusan megújulkulcsot, a tanúsítvány automatikusan megújul
Automatikus tanúsítvány kérés Automatikus tanúsítvány kérés intelligens kártyáraintelligens kártyára1.1. A Vállalati Rendszergazdák csoport tagjaA Vállalati Rendszergazdák csoport tagja
1.1. készít egy új tanúsítványsablont, amelyre engedélyezi az készít egy új tanúsítványsablont, amelyre engedélyezi az automatikus igényléstautomatikus igénylést
2.2. beállítja a a tanúsítványsablon jogosultságait és megköveteli a beállítja a a tanúsítványsablon jogosultságait és megköveteli a felhasználói interakciót a kérelem soránfelhasználói interakciót a kérelem során
2.2. A CA adminisztrátoraA CA adminisztrátora1.1. publikálja a testre szabott tanúsítványsablont egy Enterprise CA-rapublikálja a testre szabott tanúsítványsablont egy Enterprise CA-ra
3.3. A Tartománygazdák csoport egy tagjaA Tartománygazdák csoport egy tagja1.1. csoportházirenddel engedélyezi az automatikus csoportházirenddel engedélyezi az automatikus
tanúsítványkérelmettanúsítványkérelmet4.4. A felhasználóA felhasználó
1.1. rákattint a tanúsítványkérelem buborékrarákattint a tanúsítványkérelem buborékra2.2. behelyezi a kártyájátbehelyezi a kártyáját3.3. begépeli a PIN kódjátbegépeli a PIN kódját
A kártyák automatikus A kártyák automatikus előállításának hátrányaielőállításának hátrányai A biztonság nem nagyobb, mint a jelszavas A biztonság nem nagyobb, mint a jelszavas
védelemvédelem a smartcard egy kényelmi szolgáltatássá süllyeda smartcard egy kényelmi szolgáltatássá süllyed aláíró eszközök előállítására nem ajánlottaláíró eszközök előállítására nem ajánlott
Az igénylési folyamat bonyolult lehet a Az igénylési folyamat bonyolult lehet a felhasználók számárafelhasználók számára
A kártyaolvasót és CSP-t az automatikus A kártyaolvasót és CSP-t az automatikus előállítás előtt kell telepítenielőállítás előtt kell telepíteni
A kulcsok visszaállítása néhány CSP-vel nem A kulcsok visszaállítása néhány CSP-vel nem működikműködik
Intelligens kártyák felügyeleteIntelligens kártyák felügyelete Registration Authority (RA)Registration Authority (RA) A A Microsoft Microsoft nem készít RA-tnem készít RA-t Külső gyártók megoldásaiKülső gyártók megoldásai
Alacris idNexusAlacris idNexus Aladdin eToken TMS Token Management SystemAladdin eToken TMS Token Management System Atos Origin - Worldline Pay Card Management SystemAtos Origin - Worldline Pay Card Management System Spyrus – Signal Identity ManagerSpyrus – Signal Identity Manager Intercede – MyID EnterpriseIntercede – MyID Enterprise
Office dokumentumok digitális Office dokumentumok digitális aláírásaaláírásaOffice 2000-től kezdve támogatottOffice 2000-től kezdve támogatottMit igazol?Mit igazol?
az aláíró személyétaz aláíró személyét a dokumentum tartalma nem változott az aláírás a dokumentum tartalma nem változott az aláírás
ótaótaTöbbszörös aláírásTöbbszörös aláírás
az aláírások listát alkotnakaz aláírások listát alkotnak a fájl tartalmát meg lehet változtatni, de ekkor a fájl tartalmát meg lehet változtatni, de ekkor
eltűnnek az aláírások (az összes egyszerre)eltűnnek az aláírások (az összes egyszerre)
Néhány szó az InfoPath-rólNéhány szó az InfoPath-rólTöbb aláíró személyTöbb aláíró személyA dokumentumnak részei is aláírhatókA dokumentumnak részei is aláírhatók
pl. csak az utazási feltételekpl. csak az utazási feltételekEllenjegyzés lehetségesEllenjegyzés lehetségesAláíráskor a dokumentum aktuális Aláíráskor a dokumentum aktuális
állapota bitmap formában letárolásra állapota bitmap formában letárolásra kerülkerül
Biztonságos webszolgáltatásBiztonságos webszolgáltatás Kiszolgáló oldali tanúsítványKiszolgáló oldali tanúsítvány
azonosítja a kiszolgálótazonosítja a kiszolgálót a nyilvános kulccsal titkosítható a HTTP: adatforgalom a nyilvános kulccsal titkosítható a HTTP: adatforgalom
(HTTPS:)(HTTPS:)– az adatfolyamot szimmetrikus kulccsal titkosítjákaz adatfolyamot szimmetrikus kulccsal titkosítják– a PKI a szimmetrikus kulcs cseréjének védelmére kella PKI a szimmetrikus kulcs cseréjének védelmére kell
Ügyfél oldali tanúsítványÜgyfél oldali tanúsítvány azonosítja a felhasználótazonosítja a felhasználót IIS user mappingIIS user mapping
– 1-11-1– 1-many1-many– ADAD
demó
IIS 6.0: kiszolgáló és ügyfél oldali IIS 6.0: kiszolgáló és ügyfél oldali tanúsítványoktanúsítványok
NapirendNapirendMenedzselt biztonságMenedzselt biztonságFelhasználók azonosításaFelhasználók azonosításaPKI alapú szolgáltatásokPKI alapú szolgáltatásokA hálózati forgalom védelmeA hálózati forgalom védelmeTartalomvédelmi szolgáltatásTartalomvédelmi szolgáltatás
A hálózati forgalom védelmeA hálózati forgalom védelme Ahány protokoll, annyi megoldásAhány protokoll, annyi megoldás Fájl és nyomtató megosztásFájl és nyomtató megosztás
SMB signing, IPSecSMB signing, IPSec WebkiszolgálóWebkiszolgáló
SSLSSL LDAP kiszolgálóLDAP kiszolgáló
LDAP SSLLDAP SSL Terminal ServicesTerminal Services
RDP adatfolyam titkosításaRDP adatfolyam titkosítása Távoli kapcsolatTávoli kapcsolat
VPN VPN PPTP vagy L2TP+IPsec PPTP vagy L2TP+IPsec TelnetTelnet
SSHSSH Bármi másBármi más
IPSecIPSec
Elterjedt VPN protokollokElterjedt VPN protokollok OSI Layer 2OSI Layer 2
PPTPPPTP– Microsoft+Ascend+3COMMicrosoft+Ascend+3COM– draft-ietf-pppext-pptp-02.txtdraft-ietf-pppext-pptp-02.txt
L2F (Cisco)L2F (Cisco) L2TPL2TP
– Microsoft+CiscoMicrosoft+Cisco– draft-ietf-pppext-l2tp-09.txtdraft-ietf-pppext-l2tp-09.txt
OSI Layer 3OSI Layer 3 IPSecIPSec
– IETFIETF– Transzport módTranszport mód– Tunnel módTunnel mód
Proto/port
Az IPSec belülrőlAz IPSec belülről IETF szabványIETF szabvány 3. OSI rétegben 3. OSI rétegben
működő működő protokollprotokoll
Szűrőként Szűrőként működikműködik
DST IP Proto/port
IP stackIP stack
SRC IP Adat
AlkalmazásAlkalmazás
DST IPSRC IP
IPSec, ha a szűrő szerint IPSec, ha a szűrő szerint használni kellhasználni kell
Titkosítható (ESP)Aláírható (AH)
IPSec Tunnel mód eseténIPSec Tunnel mód esetén
AH: Authenticated Header, ESP: Encapsulated Secure Payload
Az IPSec és a NATAz IPSec és a NAT A NAT változtatja a SourceIP-tA NAT változtatja a SourceIP-t AH esetén a fejlécben lévő SourceIP is alá lett írvaAH esetén a fejlécben lévő SourceIP is alá lett írva
ha változik, a csomag érvénytelen leszha változik, a csomag érvénytelen lesz MegoldásMegoldás
IPSec NAT Traversal (NAT-T)IPSec NAT Traversal (NAT-T) RFC-3193RFC-3193 az UDP 4500-es porton csinál egy alagutat (tunnel)az UDP 4500-es porton csinál egy alagutat (tunnel) Q818043Q818043
A L2TP+IPsec NAT-T-hez nyitva tartandó portokA L2TP+IPsec NAT-T-hez nyitva tartandó portok L2TP L2TP UDP 500, UDP 1701 UDP 500, UDP 1701 NAT-T NAT-T UDP 4500 UDP 4500 ESP ESP IP protocol 50 IP protocol 50
NapirendNapirendMenedzselt biztonságMenedzselt biztonságFelhasználók azonosításaFelhasználók azonosításaPKI alapú szolgáltatásokPKI alapú szolgáltatásokA hálózati forgalom védelmeA hálózati forgalom védelmeTartalomvédelmi szolgáltatásTartalomvédelmi szolgáltatás
Mivel keverik az RMS-t?Mivel keverik az RMS-t? RMSRMS
Windows Rights Management ServicesWindows Rights Management Services zártkörű (AD), vállalati felhasználók számára nyújtott zártkörű (AD), vállalati felhasználók számára nyújtott
tartalomvédelmi szolgáltatástartalomvédelmi szolgáltatás DRMDRM
Digital Rights ManagementDigital Rights Management elektronikus licenccel védett Windows Media és eBook tartalomelektronikus licenccel védett Windows Media és eBook tartalom nyílt (Internetes) szolgáltatásnyílt (Internetes) szolgáltatás
IRMIRM Information Rights ManagementInformation Rights Management az RMS Office 2003-ban lévő ügyfeleaz RMS Office 2003-ban lévő ügyfele a „Passport RAC Service” nevea „Passport RAC Service” neve
WRMWRM ilyen nincsilyen nincs
R.M.S TitanicR.M.S Titanic Royal Mail Streamer TitanicRoyal Mail Streamer Titanic már elsüllyedtmár elsüllyedt
A tartalomvédelemrőlA tartalomvédelemrőlÜzletileg érzékeny (belső) Üzletileg érzékeny (belső) információinformáció
kijutásakijutása üzleti vagy erkölcsi kárt okozhat üzleti vagy erkölcsi kárt okozhatAz információ kijutását megakadályozni Az információ kijutását megakadályozni
nem lehetnem lehet lehet, hogy off-line médiára kerüllehet, hogy off-line médiára kerül
– XP SP2: le tudja tiltani az USB tárolókra írástXP SP2: le tudja tiltani az USB tárolókra írást portán motozni befelé szokás, kifelé nem portán motozni befelé szokás, kifelé nem
ellenőriznekellenőriznekNem a kijutást, hanem az információt kell Nem a kijutást, hanem az információt kell
védenivédeni
TéveszmékTéveszmék Egy újság az RMS-ről: „A szakemberek szerint a digitális Egy újság az RMS-ről: „A szakemberek szerint a digitális
aláírás is meg tudja oldani ezt a problémát…”aláírás is meg tudja oldani ezt a problémát…” ez önmagában igaz, de…ez önmagában igaz, de…
Digitális aláírásDigitális aláírás lehet olyan rendszert fejleszteni, amely az aláírásom ellenőrzése után enged lehet olyan rendszert fejleszteni, amely az aláírásom ellenőrzése után enged
másolni, nyomtatni stb.másolni, nyomtatni stb. Mi van, ha a projektnek új tagja lesz? Újra kell publikálni.Mi van, ha a projektnek új tagja lesz? Újra kell publikálni.
– a dokumentum végső (publikált) verzióját szokás levédeni velea dokumentum végső (publikált) verzióját szokás levédeni vele– az RMS a csoportmunka során sokkal kényelmesebbaz RMS a csoportmunka során sokkal kényelmesebb
A dokumentumot titkosítani is kellA dokumentumot titkosítani is kell TitkosításTitkosítás
önmagában még nem tartalomvédelemönmagában még nem tartalomvédelem ha meg tudom nyitni fájlt, akkor akármit csinálhatok veleha meg tudom nyitni fájlt, akkor akármit csinálhatok vele
– másolás, módosítás, továbbítás, nyomtatás stb.másolás, módosítás, továbbítás, nyomtatás stb.
Windows RMS 1.0Windows RMS 1.0 Nagyvállalati tartalomvédelmi megoldásNagyvállalati tartalomvédelmi megoldás
skálázható, magas rendelkezésre állású, külső skálázható, magas rendelkezésre állású, külső rendszerekkel összekapcsolható (Trust)rendszerekkel összekapcsolható (Trust)
Széleskörű alkalmazás támogatásSzéleskörű alkalmazás támogatás Office, E-mail, Web böngésző, külső alkalmazások Office, E-mail, Web böngésző, külső alkalmazások
SDK-valSDK-val Dinamikusan kiértékelt jogosultságokDinamikusan kiértékelt jogosultságok
emiatt csoportmunkára is jó, nem csak a végső emiatt csoportmunkára is jó, nem csak a végső publikálásrapublikálásra
Finoman hangolható korlátozásokFinoman hangolható korlátozások Korlátozás sablonokKorlátozás sablonok Off-line működésOff-line működés Cégen kívülről történő elérés (pl. kioszk)Cégen kívülről történő elérés (pl. kioszk)
Mi kell az RMS-hez?Mi kell az RMS-hez? Active DirectoryActive Directory
2000 vagy 2003, üzemmódtól független, nincs séma bővítés2000 vagy 2003, üzemmódtól független, nincs séma bővítés írási jog a Configuration konténerbeírási jog a Configuration konténerbe
Legalább egy RMS kiszolgálóLegalább egy RMS kiszolgáló Windows Server 2003 (IIS 6.0 kell hozzá)Windows Server 2003 (IIS 6.0 kell hozzá) magyar RMS is vanmagyar RMS is van
Legalább egy SQL ServerLegalább egy SQL Server lehetőleg fürtözöttlehetőleg fürtözött
Ügyfél oldali alkalmazásÜgyfél oldali alkalmazás Office 2003 Pro, Standard vagy egyedi dobozosOffice 2003 Pro, Standard vagy egyedi dobozos Rights Management Add-on for Internet Explorer (pl. OWA-hoz)Rights Management Add-on for Internet Explorer (pl. OWA-hoz) magyar ügyfél is vanmagyar ügyfél is van
Internet kapcsolat a kiszolgáló és a gépek tanúsítványáhozInternet kapcsolat a kiszolgáló és a gépek tanúsítványához
RMS CAL akár publikáláshoz akár olvasáshozRMS CAL akár publikáláshoz akár olvasáshoz EA-ban nincs benne, de RMS CAL akció Core CAL vásárlóknakEA-ban nincs benne, de RMS CAL akció Core CAL vásárlóknak
Külső felhasználók esetén RMS Internet ConnectorKülső felhasználók esetén RMS Internet Connector
Egy teljes RMS implementációEgy teljes RMS implementáció
RMS ügyfél és alkalmazás
ADFelhasználók e-mail címeRMS Service Connection Pointobjektum
Cert/licensingCert/licensing
NLBS
Root cluster
Logging/Konfig.
LicensingLicensing
NLBS
Licensing
Licensing cluster
Logging/Konfig.
RMS kompatibilis RMS kompatibilis alkalmazásokalkalmazások
AlkalmazásAlkalmazás LétrehozásLétrehozás HasználatHasználatOffice 2003 Office 2003 ProfessionalProfessional
IgenIgen IgenIgenOffice 2003 StandardOffice 2003 Standard NNemem IgenIgenEgyedi Egyedi Office 2003 Office 2003 alkalmazásokalkalmazások
IgenIgen IgenIgenOffice XPOffice XP NNemem NNememOffice 2000Office 2000 NNemem NNememRights Management Rights Management Add-on for Internet Add-on for Internet ExplorerExplorer (5.5, 6.0 (5.5, 6.0
NNemem IgenIgen
Felhasználási területekFelhasználási területek Csoportmunka belső anyagokkalCsoportmunka belső anyagokkal PortálPortál
SPS integráció még nem tökéletesSPS integráció még nem tökéletes Érzékeny anyag hazavitele és off-line Érzékeny anyag hazavitele és off-line
olvasásaolvasása Partnerekkel történő együttműködésPartnerekkel történő együttműködés Passport IRM felhasználókkal történő Passport IRM felhasználókkal történő
együttműködésegyüttműködés
További információTovábbi információ ÁltalábanÁltalában
http://www.microsoft.com/security/http://www.microsoft.com/security/ KerberosKerberos
http://web.mit.edu/kerberos/www/http://web.mit.edu/kerberos/www/ http://www.ietf.org/internet-drafts/http://www.ietf.org/internet-drafts/
draft-brezak-win2k-krb-rc4-hmac-04.txtdraft-brezak-win2k-krb-rc4-hmac-04.txt Jelszó feltörésJelszó feltörés
http://www.lostpassword.com/windows-xp-2000-nt.htmhttp://www.lostpassword.com/windows-xp-2000-nt.htm http://www.polivec.com/pwdump3.htmlhttp://www.polivec.com/pwdump3.html http://www.atstake.com/research/lc/index.htmlhttp://www.atstake.com/research/lc/index.html http://home.eunet.no/~pnordahl/ntpasswd/http://home.eunet.no/~pnordahl/ntpasswd/ http://online.securityfocus.com/infocus/1352http://online.securityfocus.com/infocus/1352 http://ntsecurity.nu/toolbox/winfo/http://ntsecurity.nu/toolbox/winfo/ http://www.ntsecurity.nu/toolbox/downgrade/http://www.ntsecurity.nu/toolbox/downgrade/ http://www.brd.ie/papers/w2kkrb/http://www.brd.ie/papers/w2kkrb/
feasibility_of_w2k_kerberos_attack.htmfeasibility_of_w2k_kerberos_attack.htm http://ntsecurity.nu/toolbox/kerbcrack/http://ntsecurity.nu/toolbox/kerbcrack/
http://support.microsoft.com/?kbid=<azonoshttp://support.microsoft.com/?kbid=<azonosítóító>>
Tudásbázis cikkekTudásbázis cikkek How to enable NTLM 2 authenticationHow to enable NTLM 2 authentication
http://support.microsoft.com/?kbid=http://support.microsoft.com/?kbid=239869239869 How to Enable Strong Password Functionality How to Enable Strong Password Functionality
in Windows NT in Windows NT http://support.microsoft.com/?kbid=http://support.microsoft.com/?kbid=161990161990
IPSec Does Not Secure Kerberos Traffic IPSec Does Not Secure Kerberos Traffic Between Domain Controllers Between Domain Controllers http://support.microsoft.com/?kbid=http://support.microsoft.com/?kbid=254728254728
IPSec NAT-TraversalIPSec NAT-Traversal http://support.microsoft.com/?kbid=818043http://support.microsoft.com/?kbid=818043
http://support.microsoft.com/?kbid=<azonoshttp://support.microsoft.com/?kbid=<azonosítóító>>
Az XrML szabványrólAz XrML szabványról http://www.xrml.orghttp://www.xrml.org Az RMS 1.0 az XrML 1.2-n alapulAz RMS 1.0 az XrML 1.2-n alapul
idén jelent meg az XrML 2.0idén jelent meg az XrML 2.0 A szabvány mögött álló cégekA szabvány mögött álló cégek
ContentGuardContentGuard, Microsoft,, Microsoft,Hewlett-Packard, Reuters, VeriSignHewlett-Packard, Reuters, VeriSign
ContentGuardContentGuard Xerox-Microsoft közös vállalatXerox-Microsoft közös vállalat
http://support.microsoft.com/?kbid=<azonoshttp://support.microsoft.com/?kbid=<azonosítóító>>