1 / 19

Erős bástya – biztonsági újdonságok

Erős bástya – biztonsági újdonságok. Gál Tamás v-tagal@microsoft.com rendszermérnök Microsoft Magyarország. Tartalom. Ismétlés AD – Alternatív jelszó házirend BitLocker, EFS SSTP VPN. Ismétlés. Windows S ervice hardening , Session 0 izoláció, belépés-hitelesítés

asabi
Télécharger la présentation

Erős bástya – biztonsági újdonságok

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Erős bástya – biztonsági újdonságok Gál Tamásv-tagal@microsoft.com rendszermérnökMicrosoft Magyarország

  2. Tartalom • Ismétlés • AD – Alternatív jelszó házirend • BitLocker, EFS • SSTP VPN

  3. Ismétlés • Windows Service hardening, Session 0 izoláció, belépés-hitelesítés • OS fájl védelem, eszköz/driver telepítés korlátok • UAC, Windows Defender, IE7 védett mód • WFwith Advanced Security, IPSec • Kismillió GP opció • NAP • Stb.

  4. Tartalom • Ismétlés • AD – Alternatív jelszó házirend • BitLocker, EFS • SSTP VPN

  5. AD - Alternatív jelszóházirend • Eddig: egy tartomány = egy jelszó házirend, pedig lehetne alternatíva, igény van rá  • W2K8: tetszőleges számú új jelszó- és kizárási házirend a tartományon belül • Teljesen új logika szerint • Nem egy új opció a Csoportházirendben • Kritériumok • Windows Server 2008 tartományi működési szint • Kliensoldalon nincs semmilyen feltétel

  6. AD - Alternatív jelszóházirend • Csak a felhasználóknak és a globális biztonsági csoportoknak • Nem alkalmazható a szervezeti egységeken is • Át kell gondolni a hierarchiát • Több új jelszóházirend is érvényesülhet egy adott fiókon • „Precedence rules” • Jelenleg kissé nehézkes kezelni • De jön az FGPP Management • a Beta 3-ban még nincs

  7. Alternatív jelszóházirend demó

  8. Tartalom • Ismétlés • AD – Alternatív jelszó házirend • BitLocker, EFS • SSTP VPN

  9. BitLockerÚjdonságok • Opcionális komponens • Server Manager-en keresztül telepíthető • Kötetek támogatása • Bármelyik kötet védelme (kivéve amiről fut az OS) • Külön kell (lehet) engedélyezni kötetenként • Az indításakor egy „auto-unlock” és egy visszaállítási kulcsot generál • Új kombináció: TPM+USB+PIN • UEFI support (csak 64 biten)

  10. BitLockerAD előkészítés • Séma kiterjesztés > tárolási helyek + jogosultsági lista • Minden DC minimum Windows Server 2003 SP1 • W2K8 Beta 3 és felett a sémabővítés megtörtént • Egy sérült Bitlocker kötet helyrerakásához kell: • 48 digites visszaállítási jelszó • Egy ún. „Key package data” • Mindkettő szükséges minden számítógép objektum esetén • Egyetlen TPM user jelszó létezik gépenként • Viszont több visszaállítási jelszót is generálhatunk

  11. BitLockerGP opciók • Alapértelmezés szerint nincs mentés az AD-ba! • A visszaállításhoz: • AD • 48 karakteres jelszó • USB: 256 bites kulcs • Recovery folder: központi megosztás a visszaállítási jelszó tárolásra

  12. BitLockerParancssorból • manage-bde.wsf • ki-be kapcsolás, alapműveletek • %systemdrive%\Windows\system32 • Az ajánlás szerint kisebb környezetbe való • BitLocker szkriptek / TPM WMI providerek • Nagyobb méretekben • Speciális vagy tömeges telepítésnél • (unattend, ImageX, WDS, SMS 2003 OSD) • Minta szkript - EnableBitLocker.vbs

  13. BitLockerEgyéb eszközök (Premier ügyfeleknek) • BitLocker Drive Preparation Tool • A megfelelő környezet utólagos létrehozása • Szkriptelhető parancssori felület, testreszabható alkalmazás • BitLocker Recovery Password Viewer for AD • A címtárban tárolt jelszavak megkeresése és megtekintése • Az erdőben kereshetünk vele, tartományok között is • BitLocker Repair Tool • Adatmentés egy sérült, titkosított kötetről • A visszaállítási jelszó vagy kulcs azért ehhez is kell

  14. EFSÚjdonságok • Smartcard támogatás • Képes tárolni a user és a visszaállítási kulcsokat • Belépésnél cache-elheti a PIN-t > SSO • Felhasználónkénti Offline Files titkosítás • Pagefile titkosítás (csak óvatosan) • Recovery: RDP-n keresztül is • Varázslók minden művelethez

  15. EFS házirend változások

  16. EFS Remote Files Trust kapcsolat kell a delegáláshoz Egyszerű fájlküldés SMB (2.0) protokoll Szerver A kliens kapcsolódik a szerver megosztáshoz Távoli EFS titkosítás (A szerver „megszemélyesíti”a felhasználót a kulcsokhoz és a tanúsítványhoz)

  17. Tartalom • Ismétlés • AD – Alternatív jelszó házirend • BitLocker, EFS • SSTP VPN

  18. SSTPSecure Socket Tunneling Protocol – „VPN over HTTPS” • Abszolút tűzfalbarát, minden NAT / tűzfal átengedi • Nem igényel extra konfigot a szerveroldalon • Nem igényel extra komponenseket / beállításokat a kliensoldalon • Hitelesítés a PPP rétegben > nincs újdonság • Beépített NAP „health check” opció • Teljesen CMAK kompatibilis (lesz), IPv6 is • Csak W2K8 és Vista SP1 kompatibilis • Site-to-Site VPN esetén nem használható

More Related