erős bástya – biztonsági újdonságok
DESCRIPTION
Erős bástya – biztonsági újdonságok. Gál Tamás [email protected] rendszermérnök Microsoft Magyarország. Tartalom. Ismétlés AD – Alternatív jelszó házirend BitLocker, EFS SSTP VPN. Ismétlés. Windows S ervice hardening , Session 0 izoláció, belépés-hitelesítés - PowerPoint PPT PresentationTRANSCRIPT
Ismétlés Ismétlés
AD – Alternatív jelszó házirendAD – Alternatív jelszó házirend
BitLocker, EFSBitLocker, EFS
SSTP VPNSSTP VPN
Windows Windows SService hardeningervice hardening, Session 0 izoláció, , Session 0 izoláció, belépés-hitelesítésbelépés-hitelesítés
OS fOS fájl védelem, eszköz/driver telepítés ájl védelem, eszköz/driver telepítés korlátokkorlátok
UACUAC, Windows Defender, IE7 védett mód, Windows Defender, IE7 védett mód
WWFF with Advanced Securitywith Advanced Security, IPSec, IPSec
Kismillió GP opcióKismillió GP opció
NAPNAP
Stb.Stb.
IsmétlésIsmétlés
AD – Alternatív jelszó házirendAD – Alternatív jelszó házirend
BitLocker, EFSBitLocker, EFS
SSTP VPNSSTP VPN
Eddig: egy tartomány = egy jelszó házirend, pedig Eddig: egy tartomány = egy jelszó házirend, pedig lehetne alternatíva, igény van rá lehetne alternatíva, igény van rá W2K8: tetszőleges számú új jelszó- és kizárási W2K8: tetszőleges számú új jelszó- és kizárási házirend a tartományon belülházirend a tartományon belül
Teljesen új logika szerintTeljesen új logika szerintNem egy új opció a CsoportházirendbenNem egy új opció a Csoportházirendben
KritériumokKritériumokWindows Server 2008 tartományi működési szintWindows Server 2008 tartományi működési szint
Kliensoldalon nincs semmilyen feltételKliensoldalon nincs semmilyen feltétel
Csak a felhasználóknak és a globális biztonsági Csak a felhasználóknak és a globális biztonsági csoportoknak csoportoknak
Nem alkalmazható a szervezeti egységeken isNem alkalmazható a szervezeti egységeken is
Át kell gondolni a hierarchiátÁt kell gondolni a hierarchiát
Több új jelszóházirend is érvényesülhet egy Több új jelszóházirend is érvényesülhet egy adott fiókonadott fiókon
„„PPrecedence rulesrecedence rules””
Jelenleg kissé nehézkes kezelni Jelenleg kissé nehézkes kezelni De jön az De jön az FGPP Management FGPP Management
a a Beta 3Beta 3-ban még nincs-ban még nincs
IsmétlésIsmétlés
AD – Alternatív jelszó házirendAD – Alternatív jelszó házirend
BitLocker, EFSBitLocker, EFS
SSTP VPNSSTP VPN
OOpcionális komponenspcionális komponensServer ManagerServer Manager-en keresztül telepíthető-en keresztül telepíthető
Kötetek támogatásaKötetek támogatásaBármelyik kötet védelme (kivéve amiről fut az OS)Bármelyik kötet védelme (kivéve amiről fut az OS)
Külön kell (lehet) engedélyezni kötetenkéntKülön kell (lehet) engedélyezni kötetenként
Az indításakor egy „Az indításakor egy „auto-unlock” auto-unlock” és egy visszaállítási és egy visszaállítási kulcsot generálkulcsot generál
Új kombinációÚj kombináció: TPM+USB+PIN: TPM+USB+PIN
UEFI support (UEFI support (csak csak 6464 biten biten))
Séma kiterjesztés > tárolási helyek + jogosultsági Séma kiterjesztés > tárolási helyek + jogosultsági listalista
Minden DC minimum Windows Minden DC minimum Windows Server 2003 SP1Server 2003 SP1
W2K8 W2K8 Beta 3 Beta 3 és felett a sémabővítés megtörténtés felett a sémabővítés megtörtént
Egy sérült Bitlocker kötet helyrerakásához kell:Egy sérült Bitlocker kötet helyrerakásához kell:48 digites visszaállítási jelszó48 digites visszaállítási jelszó
Egy ún. „Egy ún. „Key package dataKey package data””
Mindkettő szükséges minden számítógép objektum Mindkettő szükséges minden számítógép objektum eseténesetén
Egyetlen TPM user jelszó létezik gépenkéntEgyetlen TPM user jelszó létezik gépenkéntViszont több visszaállítási jelszót is generálhatunkViszont több visszaállítási jelszót is generálhatunk
Alapértelmezés szerint Alapértelmezés szerint nincs mentés az AD-ba!nincs mentés az AD-ba!
A visszaállításhoz:A visszaállításhoz:
ADAD
48 karakteres jelszó48 karakteres jelszó
USB: 256 bites kulcsUSB: 256 bites kulcs
Recovery folder: központi Recovery folder: központi megosztás a visszaállítási megosztás a visszaállítási jelszó tárolásrajelszó tárolásra
manage-bde.wsfmanage-bde.wsfki-be kapcsolás, alapműveletekki-be kapcsolás, alapműveletek
%systemdrive%\Windows\system32%systemdrive%\Windows\system32
Az ajánlás szerint kisebb környezetbe valóAz ajánlás szerint kisebb környezetbe való
BitLocker BitLocker szkriptek / szkriptek / TPM WMI providerTPM WMI providerekek Nagyobb méretekbenNagyobb méretekben
Speciális vagy tömeges telepítésnél Speciális vagy tömeges telepítésnél
(unattend, ImageX, WDS, SMS 2003 OSD)(unattend, ImageX, WDS, SMS 2003 OSD)
Minta Minta sszkzkript ript - - EnableBitLocker.vbsEnableBitLocker.vbs
BitLocker Drive Preparation ToolBitLocker Drive Preparation ToolA megfelelő környezet utólagos létrehozásaA megfelelő környezet utólagos létrehozása
Szkriptelhető parancssori felület, testreszabható Szkriptelhető parancssori felület, testreszabható alkalmazásalkalmazás
BitLocker Recovery Password Viewer for ABitLocker Recovery Password Viewer for ADDA címtárban tárolt jelszavak megkeresése és A címtárban tárolt jelszavak megkeresése és megtekintésemegtekintése
Az erdőben kereshetünk vele, tartományok között isAz erdőben kereshetünk vele, tartományok között is
BitLocker Repair Tool BitLocker Repair Tool Adatmentés egy sérült, titkosított kötetrőlAdatmentés egy sérült, titkosított kötetről
A visszaállítási jelszó vagy kulcs azért ehhez is kellA visszaállítási jelszó vagy kulcs azért ehhez is kell
Smartcard Smartcard támogatástámogatásKépes tárolni a user és a visszaállítási Képes tárolni a user és a visszaállítási kulcsokatkulcsokat
Belépésnél cache-elheti a PIN-t > SSOBelépésnél cache-elheti a PIN-t > SSO
Felhasználónkénti Felhasználónkénti Offline FilesOffline Files titkosítás titkosítás
Pagefile Pagefile titkosítás (csak óvatosan)titkosítás (csak óvatosan)
Recovery: RDP-n keresztül isRecovery: RDP-n keresztül is
Varázslók minden művelethezVarázslók minden művelethez
A kliens kapcsolódik a
szerver megosztáshoz
Szerver
Egyszerű fájlküldés
SMB (2.0) protokoll
Távoli EFS titkosítás(A szerver
„megszemélyesíti” a felhasználót a kulcsokhoz
és a tanúsítványhoz)
Trust kapcsolat kell a
delegáláshoz
IsmétlésIsmétlés
AD – Alternatív jelszó házirendAD – Alternatív jelszó házirend
BitLocker, EFSBitLocker, EFS
SSTP VPNSSTP VPN
Abszolút tűzfalbarát, minden NAT / tűzfal átengediAbszolút tűzfalbarát, minden NAT / tűzfal átengedi
Nem igényel extra konfigot a szerveroldalonNem igényel extra konfigot a szerveroldalon
Nem igényel extra komponenseket / beállításokat Nem igényel extra komponenseket / beállításokat a kliensoldalona kliensoldalon
Hitelesítés a PPP rétegben > nincs újdonságHitelesítés a PPP rétegben > nincs újdonság
Beépített NAP „health check” opcióBeépített NAP „health check” opció
Teljesen CMAK kompatibilis (lesz), IPv6 isTeljesen CMAK kompatibilis (lesz), IPv6 is
Csak W2K8 és Vista SP1 kompatibilisCsak W2K8 és Vista SP1 kompatibilis
Site-to-Site VPN esetén nem használhatóSite-to-Site VPN esetén nem használható