Bezpečnostn. nostní novinky v Microsoft Windows Server Jaroslav Maurenc Account Technology Specialist Microsoft Česká republika

Transkript

1 Bezpečnostn nostní novinky v Microsoft Windows Server 2008 Jaroslav Maurenc Account Technology Specialist Microsoft Česká republika

2 Dnešní program Read-Only Domain Controller (RODC) Bitlocker Windows Firewall Network Access Protection (NAP)

3 Windows Server 2008 READ-ONLY DOMAIN CONTROLLER

4 Pobočkov ková dilemata Centrála Hub Network Možnost 2: Možnost 1: Konsolidace a Plnohodnotný DC na odstranění DC z pobočky pobočce Přihlášení a ověřování Pobočkový správce s je závislé na WAN lince právy administrátora nebo vzdálená správa V případp padě napadení riziko pro celopodnikovou AD Počet zaměstnanc stnanců: : WAN: Přetížená,, nespolehlivá Bezpečnost: Nic moc Správce vce: Bez specializace

5 Read-Only Domain Controller Oddělen lení rolí správc vců Správce RODC nemusí být členem Domain Admins Ochrana proti nechtěnému zásahu z do AD Jednosměrn rná replikace Replikace pouze ve směru DC->RODC Změny z RODC nejsou replikovány na hlavní řadič AD Hesla nejsou standardně cachována Nastavení politiky definguje,, co všechno v RODC bude ukládat (cachovat( cachovat) Nastavením m politiky lze zabránit replikaci atributů schématu na RODC

6 Jak RODC funguje Windows Server 2008 DC 3 Read- Only DC Centrála RODC 6 Pobočka 1 6 RODC: Windows Vrací Před edává autentizační před Dívá žádost edává Server se do TGT na 2008 databáze: sekvenci Windows uživateli u DC autentizuje a Nem Server a ticket- Nemám následnn sledně Uživatel se přihlap ihlašuje a autentizuje uživatelovy žádost granting-ticket ukládá DC jeho ticket údaje daje (TGT) zpět t na RODC

7 Read-Only Domain Controller Modely správy Neukládá detaily účtů (default) Pro: Bezpečné Proti: Nemožný offline přístup. p Nutná WAN pro přihlp ihlášení Uložen ení/cache pouze několika n účtů Doporučeno Pro: Udržuje rozumný poměr r mezi bezpečnost ností a produktivitou Proti: Vyžaduje podrobnější administraci Většina účtů uložena/ ena/cached Pro: Jednoduchá správa účtů a hesel Proti: Omezená bezpečnostn nostní výhody oproti plnému DC

8 Windows Server 2008 BITLOCKER

9 Ochrana proti útokům Ukradený server Kráde dež citlivých dat Možnost další šího zneužit ití vůči i firemní síti Prolomení systému pomocí instalace alternativního operačního systému Ideáln lní pro situace, kdy nemáte 100% fyzickou kontrolu nad serverem BitLocker vás s ochrání pouze při p i startu systému a neřeší útoky z prostřed edí OS

10 Největší úniky informací Napadení virem Nechtěné přeposlání u Fyzická napadení zařízen zení Prolomení hesel ové pirátstv tství Ztráta ta zařízen zení s daty 22% 22% 20% 36% 35% 63% 0% 10% 20% 30% 40% 50% 60% 70%

11 Různé typy ochrany BitLocker nabízí spektrum ochrany umožň žňující využít t technologii dle vlastních možnost ností a bezpečnostn nostních potřeb! *****

12 BitLocker Nasazení s TPM Instalace Windows Server Vyžadov adován n oddíl l o minimáln lní velikosti 1500MB - Během instalace systém m kontroluje správnou verzi TPM (v1.2) a BIOS skrze Plug and Play 6 Zapnutí Bitlocker ******* 1.Ovl Ovládací panel Bitlocker (ve Windows Server 2008 nutné nainstalovat) 2.Instal Instalátor tor ověř ěří,, zda je splněn n požadavek na rozdělen lení disků a jejich formát 3.Instal Instalátor tor zapne BitLocker pro Windows oddíl 4.Instal Instalátor tor ověř ěří,, zda byl TPM čip inicializován 5.Spr Správce vybere metodu obnovu klíče 6.Instal Instalátor tor pokračuje šifrováním m oddílu 7.Instal Instalátor tor šifruje oddíl l na pozadí a informuje uživatele u o procesu pomocí ikony na hlavním m panelu 5 4

13 Obnova dat BitLocker umožň žňuje klíče e automaticky ukládat a archivovat v Active Directory Centralizované správa klíčů (vyžaduje rozší šíření schéma AD) Možnost zálohovz lohování klíčů a hesel na USB disk, tiskárnu nebo do konkrétn tní složky Obnovovací heslo zná administrátor tor Obnova můžm ůže e probíhat za chodu Windows pokračuj ují v práci, jako obvykle

14 Windows Server 2008 WINDOWS FIREWALL

15 Windows Firewall s rozší šířenou bezpečnost ností Kombinovaný firewall a správa IPSECu Nové nástroje pro správu Windows Firewall with Advanced Security snap-in do MMC Omezuje konflikty a koordinaci nastavení mezi technologiemi Pravidla firewallu více promyšlen lená a komplexní Nastavují bezpečnostn nostní požadavky jako autentizaci nebo šifrování Umí požadavky na počíta tače e a uživatele z Active Directory Filtrace odchozího provozu Zjednodušen ená politika ochrany redukuje nároky na komplexní správu

16 Windows Firewall Windows Firewall je nyní automaticky povolen Narozdíl l od předchozp edchozích verzí nyní firewall po zapnutí nezastaví veškerý síťový s provoz Možnost exportu a importu nastavených pravidel Plus: Role-based instalace automaticky přednastavp ednastaví patřičné porty a další nastavení k zajištění maximáln lní bezpečnosti Mínus: Když něco omylem přenastavíte,, neexistuje (zatím) žádné tlačítko tko obnovit síťovs ové nastavení podle role

17 Windows Server 2008 NETWORK ACCESS PROTECTION

18 Network Access Protection Jak to funguje? 1 Klient vyžaduje přístupp 1 Policy Servers 2 3 Zdravotní stav klienta je posílán n na NPS (Network( Policy Server - RADIUS) NPS ověř ěří stav vůčv ůči zdravotní politice Microsoft NPS (RADIUS) 2 3 Nevyhovující 5 Omezen á síť Servery pro opravu Patch,, AV, atd. 4 5 Pokud vyhovuje, je umožněn přístup Pokud nevyhovuje, je nastaven omezený přístup p pro možnost nápravy DCHP, VPN Switch/Router Vyhovující 4 Síť organizace

19 Možnosti vynucení NAP DHCP VPN 802.1X (Switch( Switch,, Access point, Router) Terminálový přístupp IPSec

20 Co musíte o NAPu u vědět? v Požadovan adované technologie jsou vestavěny ve Windows Server 2008, Windows Vista a Windows XP SP3 NAP spolupracuje prakticky se všemi v switchi/ap na trhu a používá standardní protokoly Nejsou pro nasazení potřeba žádné další licence pro NAP pokud již máte Windows CAL NAP agent není ve skutečnosti agent, je to služba, která běží na počíta tači i a je možné ji spravovat pomocí Group Policy NAP není řešení bezpečnosti, je to řešení zdraví sítě NAP spolupracuje se Cisco NAC (Network Admission Control) framework NAP Statement of Health (SOH) protokol byl přijat p jako TNC/TCG standard Není NAP agent pro Windows Server 2003!

21 Otázky?