Gál Tamás
[email protected] MCT RL IQSOFT-John Bryce Oktatóközpont
Biztonság és távelérés
AD DS bevezetés • Soha nem volt még ilyen
egyszerű...
• A DCPromo nincs többé, helyette: Server •
•
• •
Manager / PowerShell Alapos ellenőrzés: feltételek, hiányosságok, még a tényleges műveletek előtt Az összes előkészítő feladat beépült (séma/erdő/tartomány preparálás, működési szint emelés, stb.) Másik gépről is > egyetlen WS12 vagy W8 + RSAT elég mindenhez Az IFM preparálás (ntdsutil) közben az offline defrag elhagyható
AD Administrative Center • Az ADAC határozottan tör előre • Az ADUC pedig határozottan gyengül
• Régi/új elemek az új ADAC-ban • Recycle Bin • Windows Server 2008 R2 forest functional level szükséges + be kell kapcsolni • Fine Grained Password Policy • Jelszó objektumok elkészítése, szerkesztése és hozzárendelése
• Teljesen új megoldások • PowerShell History Online Viewer • Mindent látunk „Powershell-ül” az ADAC-ban • Dynamic Access Control • Lásd később, külön
ADAC demó DC telepítés / RB / FGPP / PS OHV
Active Directory virtualizáció Safeguard • A háttér • A pillanatképek használata vagy a VM/VHD másolás problémás • Egy rollback miatt árva (hátrahagyott) objektumok, inkonzisztens jelszavak és attribútumok,
duplikált SID-ek és esetleg séma kavarodás is előfordulhat
• A megoldás: a biztonságos AD virtualizáció • Amikor megszületik, minden virtuális WS12 DC kap egy ún. VM-Generation ID értéket • A hypervisorban és az adott DC címtárpéldányában is tárolódik • Menetközben a Hyper-V figyeli a problémás műveleteket (pl. snapshot) és változtat a saját értékén • Minden adatbázis változás előtt (és a DC indításakor) összehasonlítás történik • Ha a két érték passzol, akkor nincs probléma • Ha nem, akkor egy korábbi állapot van, tehát egy Invocation ID + RID Pool reset művelet jön • Minden adat megmarad és nem lesz árva objektum • Megjegyzések: • Csak Windows Server 2012 DC és Hyper-V esetén
Active Directory virtualizáció - klónozás • Mikor? • Gyors plusz tartományvezérlő igény, pl. egy katasztrófa utáni sürgős helyreállításkor • Telephely, tesztkörnyezet • Vagy éppen eltérő AD és Hyper-V jogosultsági kör esetén
• Mi kell hozzá? • • • •
A VM-Generation ID miatt > WS12 DC + WS12 Hyper-V A PDC Emulator FSMO is WS12 kell, hogy legyen Speciális csoporttagság a forrás DC esetén > Cloneable Domain Controllers A konfigurációs és kivétel fájlok (.xml) generálása > PowerShell
• Egyéb tudnivalók • Van offline üzemmód is, ha pl. több DC-t szeretnénk egyetlen vhd-ból • AD LDS, AD CS, DHCP szerepkörök esetén nem támogatott
AD klónozás Offline demó
Először Powershell-lel preparáljuk...
...majd jön a Hyper-V export és import...
...aztán elindítjuk...
...és végül örülünk.
AD Based Activation • KMS szerver helyett /
mellett
• Volume licence (Windows/Office) • • • • •
esetén AD alapú aktíválást nyújt De a KMS-ként is működik illetve azzal együtt is RPC helyett LDAP-pal RODC-ken is Az ADBA-t csak a WS12/W8 tudja használni WS12 Active Directory séma kell hozzá (de DC nem!)
Off-Premises Domain Join • Offline Domain Join • Kliens gépfiók beléptetése aktív tartományvezérlő kapcsolat nélkül – a WS08R2/W7 páros esetén
• Off-Premises Domain Join • A blob kiegészülhet a következő Direct Access követelményekkel • Tanúsítványok • Csoportházirend objektumok • Az eredmény • Ha van DirectAccess-ünk, akkor a gépek offline állapotában beléptethetjük • Majd használhatjuk is rendeltetésszerűen a tartományban – távolból is • Windows To Go-val is működik • Feltételek • Windows Server 2012 DC
Dynamic Access Control • Háttér • Kérdés: Kinek van 100-nál több biztonsági csoportja az AD-ban? • Kérdés: Hány biztonsági csoport kell 25 telephely, 10 csoport és 2 kategória (érzékeny/nem
érzékeny) esetén?
• A DAC lényege • Alternatív jogosultsági rendszer az NTFS mellett / helyett – de a meglévő AD-val • Kevesebb biztonsági csoport, központosított és rugalmasabb jogosultság kezelés
• Feltételek • • • •
Windows Server 2012 DC Windows Server 2012 fájlszerver Windows 7/8 kliensek Windows Server 2012 Active Directory Administrative Center
Dynamic Access Control • A koncepció Adat osztályozás Az adatok automatikus vagy manuális besorolása – az ADban tárolt erőforrás tulajdonságok alapján
Kifejezés alapú hozzáférés
Kifejezés alapú auditálás
Rugalmas hozzáférési lista a dokumentum besorolása és /vagy a felhasználó / eszköz adatai alapján
Célzott hozzáférési audit a dokumentum besorolása vagy a felhasználó/eszköz adatai alapján
Központilag tárolt hozzáférési konfiguráció segítségével
Központilag tárolt hozzáférési konfiguráció segítségével
Titkosítás Automatikus RMS titkosítás a dokumentum besorolása alapján
Dynamic Access Control Az építőkockák Felhasználói / eszköz claim-ek Kifejezés alapú ACE Besorolás javítása
Központi hozzáférési és audit szabályok Access-Denied segéd
• Felhasználó és eszköz tulajdonságok, amelyek használhatók az ACE-ben
• Feltétel alapú ACE, boolean logikával illetve egyéb operátorokkal • Az engedélyezés során használható a besorolás kondícióként • Folyamatos és automatikus osztályozás • Besorolás alapú automatizált RMS titkosítás • Központi szabályok az AD-ban tárolva és akár több fájlszerverre alkalmazva
• A felhasználó jogosultságot kérhet ezen keresztül • Az üzemeltető számára részletes információkat nyújt a hibaelhárításhoz
Dynamic Access Control Eddig: csak Security Principal objektumok
Kizárólag a csoporttagságra korlátózódik Sok esetben az ún. árnyékcsoportok létrehozására van szükség Csoportok egymásba ágyazhatósága régóta probléma Nem lehet a hozzáférést aszerint szabályozni, hogy a felhasználó milyen eszközről éri el az erőforrást
WS12: Security Principal, User Claim, Device Claim
Kiválasztott AD felhasználói/számítógép tulajdonságok bekerülnek az Access Token-be A claim direktben használható a fájlszerveren a jogok kiosztására Konzisztens állapot az erdőn belül, minden felhasználó kap claim-et Új típusú házirendek kialakítását teszi lehetővé Engedjük az írást ha User.MemberOf(Finance) és User.EmployeeType=FullTime és Device.Managed=True
Dynamic Access Control • Kifejezés alapú ACE használata • Korábban csak az „OR” csoportok alkalmazására volt lehetőség • Képzeljük el: 500 project, 100 ország, 10 osztály • Minden kombináció leírásához összesen 500e csoport kell • ProjectZ UK Engineering Users • ProjectZ Canada Engineering Users [stb.] • Windows Server 2012 • ACE Boolean logika • Allow modify IF MemberOf(ProjectZ) AND MemberOf(UK) AND MemberOf(Engineering) • 610 csoport az 500e helyett
• Windows Server 2012 - Central Access Policies és Classification • Gyakorlatilag 3 db user claim
Expression-based Dynamic Access Control access policy • A szabályok AD DS
Felhasználó claim-ek
User.Department = Finance User.Clearance = High
Fájlszerver
Eszköz claim-ek
Device.Department = Finance Device.Managed = True
Erőforrás tulajdonságok
Resource.Department = Finance Resource.Impact = High
Hozzáférési szabály Alkalmazva: Resource.Impact = High Allow | Read,Write | if (User.Department = Resource.Department) AND (Device.Managed = True)
DAC + ADA demó
DirectAccess • Egyszerű bevezetés • A telepítő varázsló akár összesen • • • • • • • •
2 lépésből is állhat Lehet tűzfal / NAT mögött a DirectAccess szerver Nem kell a 2 db publikus IPv4-es, sőt akár egy sem Lehet egyetlen hálózati interfésszel is DA szervert építeni Nem kötelező a PKI infrastruktúra kiépítése sem Nem szükséges az IPv6 infrastruktúra sem (!) Az egyetlen tunnel is egy rendelkezére álló lehetőség Választhatunk: távoli elérés és/vagy távoli felügyelet? Windows 7 kompatibilitás, de 1-2 feltétellel, pl. PKI infrastruktúra
DirectAccess • További előnyök, újdonságok • Hitelesítés változások • TPM alapú virtuális smartcard támogatás • One-time password (OTP) hitelesítés (eddig csak a Forefront UAG-gal működött) • IP-HTTPS proxy mögött • Kötelező proxy hitelesítés esetén egy idegen hálózatban is működik, IP-HTTPS-sel is • IP-HTTPS NULL encryption • Az IP-HTTPS mindig is izmosabb erőforrást követelt a dupla titkosítás miatt • WS12-ben a felesleges redundáns SSL titkosítás megszűnt • A Teredo-val összevethető, lényegesen nagyobb a teljesítmény az eredmény • Windows To Go kompatibilitás • NAP támogatás (eddig csak a Forefront UAG-gal működött) • Egyszerű migráció a Forefront UAG DA-ról
DirectAccess • Load Balancing • Terheléselosztás több DA szerver között • Eddig csak a Forefront UAG-gal volt
elérhető
• Multisite • Földrajzi vagy failover okokból • Több, pl. telephelyenként különböző DA
szerver elérése • Automatikus belépési pont választás Windows 8 kliensek esetén • Windows 7 kliensek – rögzítés egy adott belépési ponthoz
DirectAccess • Integrált kliens • A Windows 8-ban • Automatikusan és gyorsan kapcsolódik • Rugalmas hitelesítés: Kerberos, PKI, OTP,
smartcard, virtuális smartcard + TPM • Egyszerű a kliens állapotának nyomonkövetése, a beépített hálózati UI-n keresztül • Kézzel válthatunk a DirectAccess belépési pontok között • A kliens tulajdonság panelből összegyűjthetjük és elküldhetjük a részletes naplófájlokat pl. emailben
DirectAccess demó