Windows rendszeradminisztráció és Microsoft szerveralkalmazások támogatása 8. óra Kocsis Gergely, Kelenföldi Szilárd
2015.04.23.
Mentés és visszaállítás
Visszaállítási esetek Adat visszaállítás: A leggyakrabban előforduló visszaállítási esemény. Lehetővé teszi az elveszett vagy sérült adatok visszaállítását. Meghibásodás utáni visszaállítás: Virtuális gépek, alkalmazások és szolgáltatások helyreállítása HW vagy SW meghibásodás után.
Katasztrófahelyzet utáni visszaállítás: Szerverek, adatok, virtuális gépek, alkalmazások és szolgáltatások visszaállítása valamilyen katasztrófahelyzet (tűz, árvíz, UFO támadás) után.
Visszaállítási esetek Az adatbiztonsági rendszer tervezésének lépései 1. A szervezet kritikus erőforrásainak felmérése (adatok és szolgáltatások, illetve az ezeket tároló és futtató szerverek) 2. A kockázatok felmérése. Például előfordulhat, hogy bizonyos adatokat véletlenül törlünk, vagy egy HDD megsérül. Szolgáltatások állhatnak le pl. hálózati hiba miatt, illetve szerverek állhatnak le HW meghibásodás miatt. 3. A visszaállításhoz szükséges idő megállapítása. A szervezet igényeitől függően ez akár percektől, napokig változhat. 4. Stratégia kidolgozása. Az előzőek figyelembevételével el kell készíteni egy megállapodást, ún. service-level agreement-et (SLA), ami megjelöli a kritikus pontokat, megállapítja a védelmi módokat és rögzíti a visszaálláshoz szükséges időt.
Visszaállítási stratégia A visszaállítási stratégiának tartalmaznia kell lehetőséget az alábbiak visszaállítására: – Adatok (lehetőséget kell teremteni részleges visszaállításra, nem csak a legrosszabbra felkészülni) – Szolgáltatások (DNS, AD-DS, DHCP…) – Szerverek (A nélkülözhetetlen szerverek kijelölése és mentése) – Site-ok (A legjobb az lenne, ha mindent és azonnal menteni tudnánk, ez azonban nem kifizetődő…) – Site-on kívüli backupok (A szervezetek központi site mentése nem elégséges pl. természeti katasztrófa, vagy UFO támadás esetén. Biztosítani érdemes külső mentést is.)
Kárenyhítési módok Probléma
Kárenyhítési mód
A biztonsági mentést tartalmazó médium megsérül
Legalább két másolatot tároljunk a biztonsági mentésből
Az admin véletlenül töröl egy olyan OU-t ami számos fontos objektumot tartalmaz
Védjük az OU-kat a véletlen törléstől. Különösen új telephelyek bekapcsolása után.
Egy telephely fontos fájlokat Készítsük az adatokról szervertartalmazó szervere meghibásodik oldali DFS replikációt Az üzleti szervereket tartalmazó virtualizációs infrastruktúra nem érhető el.
Ne tároljunk minden kritikus szervert egy virtualizációs környezetben (pl. minden DC-t)
Az adatközpont hosszabb időre elérhetetlenné válik. (pl. áramkimaradás)
Készítsünk másodlagos adatközpontot replikák tárolására
Windows Server Backup A WS Backup az alábbi eszközöket szolgáltatja: – mmc snap-in – wbadmin parancs – PowerShell CmdLet-ek Segítségével visszaállítható: – Teljes szerver – Egyes kötetek – Adott mappák, rendszerjellemzők Lehetőséget ad továbbá – Rendszer visszaállításra újratelepítéssel, vagy anélkül – Kritikus elemek kiválasztása visszaállítására – Egyes elemek kihagyására a mentésből – Tárolási terület megválasztására (akár távoli terület is lehet)
Backup típusok
Teljes backup: A szerver összes kötetének blokk szintű replikációja. Fájlok és mappák másolása helyett a blokkok mentése. Inkrementális backup: Csak az utolsó teljes backup óta módosult blokkok mentése. Mentés során a változott blokkokat mentjük ki, az eredetieket pedig mentettnek jelöljük.
VSS – Virtual Snapshot Service VSS – a legszélesebb körben alkalmazott mentési mód. Általában Shadow Copy néven is ismert. A shadow copy a fájlrendszer egy mentése. Minden írási igény előtt egy újabb pillanatkép készül, mielőtt az írás érvényre jut. Eredményeképpen a fájlrendszerről időben követhető mentésünk lesz. Visszaállítás során a mentett blokkok aktiválódnak újra. Egyéb lehetőségek: – Streaming beackup – Ha nincs VSS egy alkalmazásban. A mentés készítése során a mentett blokkok változhatnak. – Hyper-V replikák – A virtuális gépek pillanatképei
AD Certificate Services alapok Tanúsítványok (certificate): Segítségükkel válik lehetővé, hogy például – védett oldalak elérésekor biztonságos kommunikációt folytassunk – digitálisan aláírjunk dokumentumokat – dokumentumokat titkosítsunk – felhasználókat és eszközöket autentikáljunk.
SSL (Secure Sockets Layer) A kommunikációs csatorna SSL biztosítása elsősorban az adatok védelme érdekében történik (pl. bankkártya információk) Szükséges hozzá, hogy a szerver rendelkezzen tanúsítvánnyal, melyet vagy helyi, vagy publikus CA-tól szerezhet be (Certificate Authority) Helyi CA esetén számolni kell azzal, hogy a tanúsítvány csak a lokális AD-n belül lesz érvényes. A publikus CA-k nagy részéről például a böngészőknek listája van, így tudják, hogy mely tanúsítványok megbízhatóak. Nem megbízható tanúsítvány ugyanúgy alkalmas az SSL kapcsolat felépítésére
Digitális aláírás Segítségével garantálható, hogy az aláírt dokumentum gazdája az aláírásban meghatározott, illetve hogy a dokumentum tartalma nem változott az aláírás óta.
Az aláírás működési vázlata: 1. Az aláíráskor az aláíró a dokumentum alapján készít egy titkos kivonatot 2. A kivonatot az aláíró a privát kulcsával titkosítja, majd a dokumentumhoz fűzi 3. A fogadó a publikus kulcs segítségével visszafejti a kivonatot és összehasonlítja azzal, amit ő hasonlóképpen készít az aktuális dokumentumról Az aláírás nem titkosít! Erre az EFS (Encrypted File System) szolgál
Felhasználó és eszköz autentikáció Tanúsítványok segítségével autentikálhatók az AD-ben felhasználók és eszközök. Kiemelkedő fontosságúak pl.: • VPN • NAP • Mobil eszközök autentikációja • Tunneling esetén.
PKI (Public key infrastructure) Üzleti folyamatok és kommunikáció biztonságának növelésére használt eszközök, technológiák, folyamatok és szolgáltatások együttese. Jellemzően tartalmazza az alábbiakat: – CA: tanúsítványok kiadása, kezelése – Digitális tanúsítványok (melyeket a CA szolgáltat) – Certificate template-ek: Ezek alapján készülnek el a kért tanúsítványok – CRL – Certificate Revocation List: visszavont tanúsítványok listája
– Online responder: Visszavontság ellenőrzése teljes CRL letöltése nélkül – Publikus kulcs alapú szolgáltatások (melyek használni képesek az infrastruktúrát)
– Tanúsítvány és CA kezelő eszközök – AIA (Authority information access) és CDP (CRL Distribution Point) A CA tanúsítványok és CRL listák helye. Hol lehet a tanúsítványokat validálni?
AD CS Az összes PKI komponens megtalálható az AD Certificate Services szerepkör szolgáltatásai között. Részei: • CA: Tanúsítványok kiadása, validitás ellenőrzése AD-n belül • CA Web enrollment: Tanúsítványok kezelése AD-n kívüli igánylők részére • Online responder: Érvényesség ellenőrzése • Network device enrollment service (NDES): Tanúsítványok szolgáltatása pl routerek és switchek számára • Certificate enrollment web service (CES): Tanúsítványkezelő webalkalmazás • Certificate enrollment policy web service (CEP): Domainen kívüli, de policy szabályozott tanúsítványok kezelése
Gyakorlati feladat
