PV176 Správa systémů MS Windows II

Podobné dokumenty
Active Directory organizační jednotky, uživatelé a skupiny

Instalace Windows 2012 Správa účtů počítačů

Instalace Active Directory

WINDOWS Nastavení GPO - ukázky

Serverové systémy Microsoft Windows

Řízení přístupu ke zdrojům Auditování a právní odpovědnost Vlastní nastavení, personalizace Více relací zároveň

Zvýšení zabezpečení počítače

Windows Server 2003 Active Directory GPO Zásady zabezpečení

Šifrování ve Windows. EFS IPSec SSL. - Encrypting File System - Internet Protocol Security - Secure Socket Layer - Private Point to Point Protocol

Správa stanic a uživatelského desktopu

Použití zásad skupin k instalaci klientské komponenty ESO9

Active Directory (Active Directory Directory Services) Jan Žák

Windows 2008 R2 - úvod. Lumír Návrat

Postup instalace ČSOB BusinessBanking pro MS SQL 2005/2008

PŘÍRUČKA SÍŤOVÝCH APLIKACÍ

Statistica Enterprise

SOFTWARE 5P. Instalace. SOFTWARE 5P pro advokátní praxi Oldřich Florian

AleFIT MAB Keeper & Office Locator

Bezpečnostn. nostní novinky v Microsoft Windows Server Jaroslav Maurenc Account Technology Specialist Microsoft Česká republika

Group policy. Jan Žák

Využití identity managementu v prostředí veřejné správy

STUDIJNÍ MATERIÁL PRO TECHNICKOU CERTIFIKACI ESET Business Edition, ESET Remote Administrator

Téma 3: Správa uživatelského přístupu a zabezpečení I. Téma 3: Správa uživatelského přístupu a zabezpečení I

Tiskové služby v sítích Microsoft. PDF created with pdffactory trial version

Radim Dolák Gymnázium a Obchodní akademie Orlová

Ope p r e a r čn č í s ys y té t m é y y Windo d w o s Stručný přehled

Možnosti využití Windows Server 2003

Aplikace a služba Money Dnes Publisher v deseti krocích

Bezpečn č os o t t dat

APS 400 nadministrator

Serverové systémy Microsoft Windows

Na vod k nastavenı ovy ch schra nek Administrace

Proč počítačovou sí? 9 Výhody sítí 9 Druhy sítí 9. Základní prvky sítě 10 Vybavení počítače 10 Prvky sítě mimo PC 10 Klasické dělení součástí sítí 10

Nastavení DCOM. Uživatelský manuál

Petr Vlk KPCS CZ. WUG Days října 2016

<Insert Picture Here> Jak garantovat bezpečnost systémů ve státní správě

Instalace MS SQL Server 2005 a nastavení programu DUEL pro síťový provoz

Praktické využití Windows Server 2012 Essentials ve firmě. Jan Pilař, MVP

Příručka nastavení funkcí snímání

BankKlient. FAQs. verze 9.50

[Zadejte název společnosti.] Instalace. SOFTWARE 5P pro správu bytového fondu Oldřich Florian

BRICSCAD V15. Licencování

Migrace Windows Small Business 2011 do Windows Server 2012 Essentials

- PC musí být připojené v lokální síti - je bezpodmínečně nutné, aby aplikace Outlook nebyla aktivní)

Souborové služby. Richard Biječek

9. Sítě MS Windows. Distribuce Windows. Obchodní označení. Jednoduchý OS pro osobní počítače, pouze FAT, základní podpora peer to peer sítí,

Windows Server Novinky. Petr Špetlík Cloud & Server PTA

Auditování ve Windows. Lukáš Brázda MCT, MCSA, MCSE

Téma 3 - řešení s obrázky

Identifikátor materiálu: ICT-2-05

Úvod 17 ČÁST 1. Kapitola 1: Principy návrhu doménové struktury služby Active Directory 21

Počítačové systémy. Uživatelské účty. Mgr. Martin Kolář

Informační systém pro e-learning manuál

Příručka pro nasazení a správu výukového systému edu-learning

Střední škola pedagogická, hotelnictví a služeb, Litoměříce, příspěvková organizace

Stručný Obsah. IntelliMirror, 1. část: Přesměrování složek, Soubory offline, Správce synchronizace a Diskové kvóty 349

SPARKLAN WX-7800A - návod k obsluze Verze 1.2

Překlad jmen, instalace AD. Šimon Suchomel

APS Administrator.ST

Serverové systémy Microsoft Windows

Nastavení programu pro práci v síti

Windows Server 2003 Active Directory

Téma 4 - řešení s obrázky

Vzdálené připojení do sítě ČEZ VPN Cisco AnyConnect

Správa zařízení Scan Station Pro 550 a Servisní nástroje zařízení Scan Station

Maturitní témata pro 1.KŠPA Kladno, s.r.o. Počítačové sítě a komunikace

Jazz pro Účetní (export) Příručka uživatele

Microsoft Windows Server System

Gymnázium a Střední odborná škola, Rokycany, Mládežníků 1115

Serverové systémy Microsoft Windows

Instalace SQL 2008 R2 na Windows 7 (64bit)

Instalace MS SQL Server Express a MS SQL Server Management Express

HWg-PDMS MANUÁL Windows aplikace pro sběr dat z IP senzorů a vytváření reportů v MS Excel

MĚSTSKÝ ROK INFORMATIKY KLADNO

Příloha č. 12. Systém společného přihlašování, tzv. Single Sign On, ochrana dat

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

ANALYSIS SERVICES PROJEKT VYTVOŘENÍ PROJEKTU A DATOVÉ KOSTKY

Podzim Boot možnosti

Fides Software Storage Administrator

POČÍTAČOVÉ SÍTĚ A KOMUNIKACE

Jak efektivně ochránit Informix?

Osnova dnešní přednášky

Příprava k certifikaci , TS: Windows 7, Configuring

1. POSTUP INSTALACE A KONTROLA NASTAVENÍ MICROSOFT SQL SERVERU 2005 EXPRESS:

Průvodce nastavení MULTI-USER

Registr práv a povinností

Dopady GDPR na design IT Martin Dobiáš, Digital Advisory Services

IR-IS instalační příručka

Instalace Microsoft SQL serveru 2012 Express

POČÍTAČOVÉ SÍTĚ A KOMUNIKACE OBOR: INFORMAČNÍ TECHNOLOGIE

Místo plastu lidská dlaň

INFORMACE. Postup vytvoření virtuálního PC. Zpracoval: Ing. Emil Kajer Datum vydání:

Synchronizujte své identity a využijte je pro všechny podnikové online služby Microsoftu i vaše aplikace

Použití Single Sign On (SSO) v IBM Informix Serveru

Technologie. Osnovy kurzu: Školení správců systému. 1. den, dopolední blok

Rychlý průvodce instalací

Komu je tato kniha určena? Jak je kniha uspořádána? Konvence použité v té to knize. Část i základy Microsoft Windows XP Professional

Registr práv a povinností

1. Administrace služby Bezpečný Internet přes webovou aplikaci WebCare GTS

Transkript:

PV176 Správa systémů MS Windows II Jaro 2016 Libor Dušek

Autentizační protokol Kerberos Pro autentizaci v rámci AD se ve výchozím nastavení používá protokol Kerberos, z kompatibilních důvodů je k dispozici i NTLM (+NTLMv2). Když se klient pokouší přihlásit (pomocí Kerberos), je autentizační požadavek poslán DC komponentně KDC (Key Destribution Center). Po ověření identity získá klient od KDC TGT (Ticket-Granting Ticket)

Autentizační protokol Kerberos 2 K přístupu na jiný (než jeho lokální) počítač (nicméně stále v rámci stejné domény) potřebuje získat session ticket. Klient zašle KDC svůj TGT (jako důkaz, že už byl autentizován a není potřeba to dělat znovu) spolu s informacemi kam potřebuje získat přístup (počítač + služba). KDC ověří, že se jedná o stejnou doménu a zašle zpět příslušný session ticket. Klient se následně přihlásí na danou službu a předloží session ticket. Server ověří, že je ticket validní. Ověřování = klasické použité kryptografie. Z uvedeného plyne, že server neprovádí autentizaci uživatele ale pouze akceptuje informace z DC. Zjednodušený popis podrobně ve studijních materiálech 09_Kerberos.pdf

Delegace oprávnění Umožnit ostatním uživatelům upravovat objekty v AD Proč? Více administrátorů, každý má zodpovědnost za určitou oblast Rutinní úlohy jako je restartování hesel, odemknutí účtu lze delegovat na technickou podporu, vedoucí oddělení nebo nejchytřejšího člověka hned za administrátorem = úspora času, rychlejší reakce / automatizace = princip nejmenších nutných oprávnění.

DACL princip Obrázek z MSTraining kit 70-640

Delegace oprávnění 2 Příklad: Potřebujeme umožnit všem uživatelům z oddělení technické podpory aby mohli restartovat uživatelská hesla přidat oprávnění na změnu hesla skupině help desk pro jednotlivé účty? přidat oprávnění na změnu hesla skupině help desk pro OU, ve kterém jsou umístěny uživatelské účty? Dědění oprávnění v OU: include inheritable permissions from this object s parent Například uživatelská skupina nemůže zdědit oprávnění reset password, protože nemá atribut password

Delegace oprávnění 3 Umístěním všech uživatelských účtů do OU People můžeme jednoduše delegovat oprávnění pro restart hesla lidem z oddělení technické podpory Umožňuje jednoduše delegovat další oprávnění pro všechny uživatelské účty zároveň: úprava adresy, jména, pracovního zařazení, atd. vytváření nových účtů

Úkoly Delegace oprávnění 1. Prohlédněte si v Active Directory Users and Computers, záložku security nějakého uživatelského účtu např. Pepa Aktivujte [View Advanced Features] a prohlédněte si jej znovu 2. Vytvořte si OU People a přemístěte do ní uživatele Pepa. Vytvořte nového uživatele, který je členem pouze skupiny Domain Users a znáte jeho heslo. Vytvořte už. skupinu Help Desk. 3. Na kartě Security pro uživatele Pepa, přidejte skupině Help Desk oprávnění Reset Password. 4. Spusťte MMC konzoli jako uživatel Help Desku můžete resetovat heslo uživateli Pepa? [vypnout UAC, pridat Pepu do Print Operators] 5. Zkuste upravit jiný údaj uživatele Pepa a resetovat heslo jiným uživatelům. 6. Použijte nástroj Delegate Control, pro delegování oprávnění reset hesla a odemknutí účtu skupině Help Desk. 1. Vytvořte MMC Snap-In, který bude obsahovat tlačítka (odkazy) pro reset hesla a odemknutí účtu a umožní už. skupině Help Desk provádět tyto aktivity na OU People.

Delegace oprávnění jak na to? Kdo má vytvářet uživatelské účty? HR zadá požadavek na IT vytvořte uživatele X, pozice Y -> IT vytvoří a zařadí do skupin. Ve skutečnosti: HR potřebuje zařadit do nějakého personálního systému (zákonná evidence, účetnictví ) -> rovnou může (program) vytvářet uživatele v AD ve správných skupinách. Do jakých skupin, jaká oprávnění má mít uživatel? Zpravidla: X bude dělat to stejné co Y HR ale nemůže vědět jaká všechna oprávnění má Y, případně kam všude má Y přístup (má skupina file server přístup do složky osobními údaji nebo ne?) Hromadění oprávnění, v případě povýšení/ponížení musí někdo revidovat oprávnění. Jeden z možných přístupů: Role Based Access Control

Úkoly - RBAC Finanční údaje firmy jsou udržovaný ve 2 systémech Účetní systém je tvořen 2 sdílenými složkami, jedna na serveru A, druhá na serveru B Datový sklad je tvořen DB v SQL Serveru (pro simulaci využijeme jinou sdílenou složku na serveru A) S finančními údaji mají pracovat následující osoby: Asistentka zadává údaje do účetního systému Vedoucí kanceláře zadává údaje do účetního systému, provádí hromadné exporty Obchodní analytik převádí data z účetního systému do datového skladu ve kterém se provádí automatizované výpočty Obchodník prostřednictvím aplikace přistupuje k datovému skladu a zobrazuje data Majitel firmy požadujeme úplný přístup ke všem zdrojům Nahvrněte řízení přístupu pomocí RBAC, dodržujte princip AGDLP

Read Only Domain Controller - RODC Zvláštní typ DC, databáze je pouze pro čtení Pro nasazení v pobočkách, kde nelze plně zajistit fyzickou bezpečnost a odpovídající správu Credential Caching Uložení hesla pro účet uživatele/počítače Lze definovat pro jaké účty bude heslo ukládáno Je možné definovat lokálního administrátora RODC, který není členem Domain Admins Forest Functional Level (FFL) alespoň 2003, alespoň jeden DC WS2008

Zabezpečení DC obecně Security Configuration Wizard (SCW) Deaktivuje nepotřebné služby (pomocí politik), nastaví FW pravidla, nabídne šifrování SMB a LDAP provozu, aktivuje audit policy Depracated - Microsoft Security Compliance Manager Auditování událostí velikost logu v závislosti na počtu dnů uchování události, automatické zpracování událostí vs. manuální. SYSKEY klíč chránící data v AD Data Store (např. hashe už. hesel) Ve výchozím nastavení je klíč uložen lokálně fyzický přístup ke stroji tedy znamená i přístup k SYSKEY Password startup klíč je chráněn heslem, které je nutno zadat při startu DC Store SYSKEY on floppy disk celý klíč je umístěn na externím zařízení, nutno vložit při startu

Zabezpečení DC obecně 2 Administrátor musí být důvěryhodná osoba, použijte adekvátní množství nástrojů pro ověření kvality. Např. registr dlužníků, trestní rejstřík, důsledně ověřené reference. Admin. oprávnění pouze pro administrátory, pro všechny ostatní dodržovat princip nejmenších nutných oprávnění delegování. Administrátoři by měli používat minimálně 2 účty pro správu -> běžný (na emaily, filmy, office práci atd.), privilegovaný (pouze na správu). [Kde všude zadáváte a ukládáte svoje heslo?] Přejmenovat výchozí uživatele Administrator (a jeho popis), vytvořit falešného a monitorovat pokusy o přihlášení pod těmito uživateli.

Zabezpečení AD obecně Všichni autentizovaní uživatelé mají Add workstations to domain privilegium. Pomocí atributu ms-ds-machineaccountquota je regulován počet stanic, které mohou připojit do domény (výchozí nastavení je 10). Takto vytvořený účet počítače je možné zneužít viz http://myitpath.blogspot.com/2010/05/creating-infinite-semi-anonymous.html Aktualizace počítačů/serverů ideální stav: probíhá automaticky, centralizovaný reporting (kdo má nainstalovaný hotfix atd.), nestahuje z internetu ale lokálního serveru: WSUS (Windows Server Update Services)

Zabezpečení AD Password policies Comp Conf Win Settings Security Settings Account Policies Password Policy požadavky na hesla (Default Domain Policy) Account Lockout Policy podmínky zamknutí účtu v případě opakovaného nesprávného zadání hesla Local Policies Audit Policy nastavení logování událostí User Rights Assignment speciální oprávnění Security Options co se jinam nevešlo Fine Grained Policy WS2008: možnost definovat různé požadavky na složitost hesla pro uživatele/skupiny

Zabezpečení AD prakticky Pozor na skupiny: Authenticated Users Domain Users Domain Computers Users Everyone Např. Users obsahuje Authenticated Users = naprosto všichni uživatelé ve všech trusted doménách. Proto nepoužívejte v nastavení Security ideálně nikde, náhrada: All = všichni živý uživatelé z dané domény (bez servisních a dalších bulit-in účtů)

A co dál? Fyzická bezpečnost zařízení? Nejenom krádež ale i zálohované napájení, konektivita, náhradní díly, Co nebo kdo je nejslabší článek zabezpečení? Postupy a nástroje, které vám pomohou z pravidla existují používejte je. Šifrování Sociální inženýrství Hesla / smartcard Redundance Pravidla pro používání Znalosti

Úkoly 1. Jaké informace může o sobě měnit sám uživatel (ve vlastnostech už. účtu) ve výchozím nastavení? 2. Podívejte se na nástroje http://technet.microsoft.com/enus/security/cc297183: Microsoft Security Compliance Manager Microsoft Baseline Security Analyzer Enhanced Mitigation Experience Toolkit (EMET)

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář