1 / 24

Windows Server 2008 tietoturva

Petri Ala-Annala Teknologia-asiantuntija Microsoft Oy. Windows Server 2008 tietoturva. {. }. Mika Seitsonen Senior- konsultti FC Sovelto Oyj. {. }. Windows Server 2008 tietoturva. Ytimen suojausparannukset + palvelut Modulaarisuus + Server core

bozica
Télécharger la présentation

Windows Server 2008 tietoturva

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Petri Ala-Annala Teknologia-asiantuntija Microsoft Oy Windows Server 2008 tietoturva { } Mika Seitsonen Senior-konsultti FC Sovelto Oyj { }

  2. Windows Server 2008 tietoturva • Ytimen suojausparannukset • + palvelut • Modulaarisuus • + Server core • PKI (Public Key Infrastructure) -muutokset • Kiintolevyn salaus (BitLocker) • Verkkoon pääsyn suojaus • Network Access Protection (NAP) • Verkkoliikenteen suojaus • Integroitu ja keskitetysti hallittava palomuuri • Ja lisänä IPSec • ActiveDirectoryn lisäpalvelut

  3. Luennon aiheet • Windows Server 2008 PKI • Network Access Protection (NAP) • Active Directoryn (AD) lisäpalvelut • AD RMS (Rights Management Services) • AD FS (Federation Services)

  4. Windows Server 2008 PKI Uusi nimi: Active Directory Certificate Services (AD CS) Uusitut rajapinnat: • Cryptography Next Generation (CNG) • Crypto API 2 (CAPI2) • tuki jo Windows Vistassa • Varmenteen tarkistuspalvelu verkossa • Online Certificate Status Protocol (OCSP) • Selainpohjainen varmennehaku • KB 922706 • Verkkolaitteiden varmennehaku • Networkdeviceenrollment (NDES) • Varmentajien ja luottamuksen hallinta Group Policy:llä • Keskitetty ylläpito Enterprise PKI • Klusteroitavuus

  5. Online Certificate Status Protocol DC HTTP Varmentajat (CA) Varmenteen tarkistuspalvelu verkossa (Online Responder) Asiakas (CAPI2) Hallintatyökalut

  6. Toimikorttiarkkitehtuuri • Puutteita toimikorttien käytössä ennen Windows Server 2008 ja Vistaa: • Vain yksi toimikortin varmenne käytettävissä kirjautumiseen ja vain yksi säilöistä voidaan merkitä oletukseksi • PIN-koodin vaihto ja kortin lukituksen avaaminen eivät ole suoraan käyttöjärjestelmän toimintoja • Windows Server 2008:n (ja Vistan) toimikorttiarkkitehtuuri korjaa nämä puutteet • Uudessa arkkitehtuurissa Microsoftilta Base Smart Card CSP ja toimikorttivalmistajalta mini-CSP • Vastaava malli käytössä kirjoitinajureissa

  7. Demoympäristö • 2-tasoinen PKI • Varmenteita myöntävä varmentaja DC-palvelimella • Web "proxy" ja OCSP-palvelutmember serverillä • Siivottu AD-nimistä • Käytettävissä organisaation ulkopuolisille • 1-tasoinen PKI • Asennettu "Next-next-menetelmällä" • Kaikki toiminnot samalla DC-palvelimella

  8. DEMO Windows Server 2008 PKI

  9. NAP:in* tavoitteet • Käytäntöjen noudattaminen • Verkkoon kytkeytyvien laitteiden terveystilan tarkistus • Verkon käyttörajoitukset • "Tuulikaappi/karanteeni"; rajoitettu verkkoalue • Korjaus • Mahdollisuus korjata terveystila (automaattisesti) • Dynaamisuus • Käytäntö- ja/tai terveystilamuutokset heijastuvat verkkoon pääsyssä dynaamisesti * Network Access Protection

  10. Terveystilapalvelimet NAP:intoiminta Sisäverkko Rajoitettu verkko Korjaus-palvelimet Ole hyvä. Saanko päivitykset? Jatkuvat käytäntöpäivitykset NPS-palvelimelle Pitäisikö asiakas päästää sisään terveystilansa perusteella? Tässä terveystilani. Pääsenkö “sisään”? Uusi yritys. Tässä nykyinen terveystilani. Asiakas on käytännön mukainen. Päästä “sisään”. Asiakas ei ole käytännön mukainen. Laita karanteeniin ja pyydä päivittämään. Rajoitettupääsy,kunneskorjattu. Network Policy Server (NPS) Asiakas(Windows Vista tai XP SP 3) Network Access Device (802.1x (WLAN AP tai ,kytkin),DHCP,TS GW. VPN) Asiakassaatäydenpääsynsisäverkkoon.

  11. NAP:in pakotusvaihtoehdot • DHCP • Suojaustasoltaan heikoin • DHCP-palvelimen oltava myös Windows Server 2008 • 802.1x • Wired (kytkin) • Wireless (langattoman verkon tukiasema) • Vaatii laitetukea • IPSec • Suojaustasoltaan paras; hyödyntää varmenteita • Vaatii lisäksi Health Registration Authorityn (HRA) asennuksen • Ei aseta vaatimuksia laitteille • Terminal Service (TS) Gateway • Terveystilan integrointi TS Anywhere -tekniikkaan • VPN-asiakkaat • Aiemmin RAS-karanteeni; vaatiskriptin/skriptejä

  12. NAP:in toimintoja • Asiakkaat • Windows Vista ja XP Service Pack 3 • Tuki Mac- ja Linux-koneille kumppaneilta • Tarkistusvaihtoehdot • Windows Security Center (suoraan mukana) • SCCM (System Center ConfigurationManager) • ForefrontClientSecurity (FCS) • Kolmansien osapuolien tuotteiden integrointi • Raportointi • Tulossa työkalu

  13. Demoympäristö • Työasema: Vista • napclcfg.cfg • DHCP Enforcement • NAP-palvelu käyntiin • Palvelin: Windows Server 2008 NPS • NetworkPolicy and Access -roolin yksi roolipalvelu; muut asennettavissa olevat roolipalvelut:

  14. DEMO NAP

  15. Identiteetin ja pääsynhallinnan osa-alueet

  16. AD RMS (Rights Management Services) • Palvelun avulla voidaan organisaation informaatio suojata halutulla tavalla • "Viimeinen linja" • Windows Server 2008 uutta • Parannettu käyttöönotto ja hallinta (rooli, MMC) • Skriptaus API (ei tosin Powershell) • AD FS -integraatio • Uudet AD RMS -hallintaroolit SQL Server Active Directory RMS-palvelin Informaationtekijä Vastaanottaja

  17. AD RMS -roolin asennus

  18. AD IIS Yritys A Yritys B Identiteetinfederointi • Tunnistuksen ja valtuutuksen hajauttaminen tietoturvarajojen yli: • Vähentääkäyttäjientarvitsemiensalasanojenlukumäärää • Jokaparantaatietoturvaa • Javähentääsalasanojenresetointipyyntöjä • Tekeemahdolliseksisaumattomanpääsynrajojenyli (toimialue, organisaatio, alusta) • Pääsyriippuukäyttäjän “kotijärjestelmän” attribuuteista • Välitönpääsynmyöntäminen tai rajoittaminen (elivaltuutus) kumppaniensovelluksiin

  19. AD FS (Federation Service) • Web Service -tekniikoita hyödyntävä tekniikka kahden organisaation välisen luottamuksen määritykseen • Esiteltiin jo Windows Server 2003 R2:ssa • Uusia ominaisuuksia • Yksi Windows Server 2008 -rooleista • Integraatio Microsoft Office SharePoint Server (MOSS) 2007 ja Active Directory Rights Management Services (AD RMS) kanssa • Parannettu export-import -toiminnallisuus luottamuksen luonnissa

  20. 5 11 6 7 1 CLC RAC CLC RAC 4 3 2 9 8 10 12 PL UL AD RMS ja AD FS integraatio laki.firma yritys.local Kirjoittaja on jo RMS-käyttäjä Kirjoittajalähettääsuojatunsähköpostiviestin Vastaanottajaottaayhteyttää RMS-palveluun WebSSO-agenttipoimiipyynnön RMS-asiakasohjataanresurssimetsän FS-palvelimellekotitiedonmäärittämiseksi RMS-asiakasohjataankäyttäjämetsän FS-palvelimelletunnistustiedonmäärittämiseksi RMS-asiakasohjataankäyttäjämetsän FS-palvelimelletunnistustettavaksi RMS-asiakaspyytää RMS-palvelimeltakäyttöluvan WebSSO agent poimiipyynnön, tarkistaatunnistamisenjalähettääpyynnön RMS-palvelimelle RMS-palvelinpalauttaatarvittavatvarmenteetvastaanottajalle RMS-palvelinpalauttaakäyttölisenssinvastaanottajalle Vastaanottajaavaasuojatunviestin RAC - Rights Management AccountCertificate CLC - ClientLicensorCertificate UL - Use License AD AD FS-A FS-R WebSSO RMS

  21. Demoympäristö • Käyttäjä: Laura Lakinainen (laura@laki.firma) • Client (Laki-101) • Windows Vista + Office 2007 (SP1) • Käyttäjä: Yrjö Yrittäjä (yrjo@yritys.local) • Client (Yri-100) • Windows Server 2003 R2 SP2 + Office 2007 (SP1) + RMS Client SP2 (kb 917275)

  22. DEMO AD RMS ja AD FS

  23. Yhteenveto • Windows Server 2008 tarjoaa monia (uusia) toimintoja tietoturvan parantamiseen • Kaikkia ei tarvitse ottaa yhtaikaa käyttöön • eikä myöskään tässä esityksessä käsitelty) • Jo oletuksena erittäin hyvä suojaustaso • Sillä tärkeimmät parannukset jo "ytimessä"

  24. Kysymyksiä?

More Related