Správa stanic a uživatelského desktopu Petr Řehoř, S.ICZ a.s. 2014
www.i.cz
1
Správa stanic v rámci DVZ ► Slouží pro ● Zajištění opakovatelné výsledné konfigurace nových a reinstalovaných stanic ● Převod uživatelských dat při upgradu prostředí
● Minimalizaci ruční práce při instalaci stanic ● Rychlému řešení havarijních stavů stanic
► Poskytuje ● Centrální přehled nad procesy v rámci celého životního cyklu stanice ● Jednoduchou ověřitelnost vlastností stanic a uživatelského prostředí při integraci nových požadavků ● Umožňuje zavést standardní jednotnou konfiguraci stanic www.i.cz
2
Instalace operačního systému ► Windows Deployment Services a Microsoft Deployment Toolkit ● Nástroje pro síťovou instalaci operačního systému Windows na stanice a servery ● Jednotný image pro instalaci všech stanic s doplněnými drivery a aktualizacemi ● Zajištují instalaci a základní konfiguraci Windows a komponent spolupracují s Active Directory
► Konfigurace a zabezpečení Windows ● Bezpečnostní a provozní skupinové politiky v AD ● Bezpečnostní konfigurace Windows pro všechny počítače v doméně ● Provozní konfigurace Windows pro všechny počítače v doméně a pro skupiny počítačů
www.i.cz
3
Správa aplikací a Windows ► Microsoft Deployment Toolkit ● Instalace aplikací v rámci procesu instalace Windows
► Softwarové skupinové politiky v AD ● Instalace aplikací ● Konfigurace aplikací ● Konfigurace uživatelského desktopu pro aplikaci
► Windows Server Update ● Aktualizace Windows a aplikací firmy Microsoft ● WSUS Package Publisher • Injektuje aplikace, drivery a aktualizace do WSUS • Využívá WSUS Update Catalog výrobců HW a SW • Umožňuje vytvořit vlastní balíčky www.i.cz
4
Správa uživatelského desktopu ► Uživatelský profil ● Cestovní profil na souborovém serveru • Konfigurace uživatelského desktopu • Kopíruje se při přihlášení a odhlášení uživatele ● Přesměrované adresáře profilu na souborový server • Nekopírují se při přihlášení a odhlášení uživatele ● Uživatelské profily na souborovém serveru jsou zálohovány ● Uživatel není vázán na konkrétní stanici
► Skupinové politiky v AD ● Konfigurace Windows a jeho komponent ● Konfigurace ikon ve Start menu a na ploše v závislosti na aplikacích které má uživatel používat ● Omezení možností uživatele konfigurovat stanici v Ovládacím panelu
► Vhodné pro nasazení ve virtuálním desktopu www.i.cz
5
Fyzická bezpečnost stanic ► Útok na práva lokálního administrátora ● Získání oprávnění administrátora počítače je vstupní krok pro většinu sofistikovaných útoků ● Lokální účet Administrator a lokální skupina Administrators jsou chráněny pouze po dobu běhu operačního systému ● Po získání administrátorských oprávnění má útočník přístup k celé RAM a konfiguraci počítače • Pokud se na počítač přihlásí doménový administrátor může útočník z RAM ukrást jeho Security Token, použít ho pro přístup k serverům v síti a zde provést operace pod jeho účtem – například zařazení uživatelského účtu do skupiny Domain Administrators • Útočník může získat hashe hesel účtů pro služby a naplánované úlohy na počítači – Může je zneužít pokud mají přidělená další oprávnění – Může je „zlomit“ a získat hesla, která je potenciálně možné použít pro jiné účty s vyššími oprávněními www.i.cz
6
Fyzická bezpečnost stanic ► Bezpečnostní opatření ● Instalace bezpečnostních oprav operačního systému a systémových aplikací (například antivirus) ● Běžní uživatelé nesmí mít oprávnění administrátora stanice ● Hesla lokálního účtu Administrator (a obecně všech administrátorských účtů) musí být různá na všech počítačích ● Pro služby a naplánované úlohy musí být používány specifické účty s minimálními nutnými oprávněními ● Útočníkovi musí být zabráněno zavést alternativní operační systém a modifikovat operační systém na disku stanice • Stanice smí bootovat pouze z lokálního pevného disku • Vstup do BIOSu musí být chráněn heslem • Stanici není možné rozebrat a získat přístup k disku (například pečetění skříně a pravidelné kontroly)
► Nástroje pro konfiguraci BIOSu ● Intel AMT – Vzdálená konfigurace BIOSu stanic (Intel CPU vPro) www.i.cz
7
Zabezpečení notebooků ► Průzkum Mediaresearch a Intel ● Provedeno u 226 firem nad 100 zaměstnanců v ČR ● 45,1 % přiznává, že u nich došlo ke ztrátě notebooku ● 96 % považuje za větší nebezpečí ztrátu dat uložených na notebooku než ztrátu samotného notebooku ● Průměrná hodnota pohřešovaného notebooku vychází na 35.795 Kč ● Průměrná cena dat v případě ztráty vychází na 180.909 Kč ● Policii a jiné detektivní služby využilo 18 % firem – průměrná cena za tyto služby: 55.000 Kč ● Celková potenciální ztráta způsobená zneužitím dat odhadována v průměru na 625.000 Kč, více než polovina firem uvedla částku vyšší než 750 000 Kč. ● http://goo.gl/zZXFZJ
www.i.cz
8
Zabezpečení notebooků ► Autentizace pomocí čipové karty ● Vynucená autentizace uživatele pomocí čipové karty ● Možno využít i pro přístup ke službám při připojení přes veřejnou síť
► Šifrování pevného disku ● Microsoft Bitlocker • Vyžaduje Windows 7 Enterprise Edition nebo Windows 8 Professional Edition • Pro uložení šifrovacího klíče využívá TPM čip ● ICZ Protect Boot • Šifrování pevného disku pomocí TrueCrypt • Pro uložení šifrovacího klíče využívá ICZ Protect Boot
► Je možné využít i pro tablety založené na Windows 8 se čtečkou čipových karet www.i.cz
9
Naši zákazníci ► Referenční zakázky ● Ministerstvo zahraničních věcí • DVZ pro zpracování UI od roku 2000 • Jednotky lokalit včetně zahraničních • Správa stanic pro 1000 uživatelů ● Ministerstvo spravedlnosti • DVZ pro celý resort od roku 2006 • 120 organizací, 200 lokalit, 15000 uživatelů • Správa stanic pro 11 organizací s 1300 uživateli
● Vězeňská služba ČR • Součást DVZ pro MSp od roku 2008 • 40 lokalit, provoz 24x7, správa stanic pro 6000 uživatelů ● Český telekomunikační úřad • DVZ od roku 2010 • 10 lokalit, správa stanic pro 600 uživatelů www.i.cz
10
Děkuji za vaši pozornost Petr Řehoř
[email protected] +420 737 280 114 ICZ a.s. Sekce Bezpečnost www.i.cz
www.i.cz
11
