Bezpečnostn nostní novinky v Microsoft Windows Server 2008 Jaroslav Maurenc Account Technology Specialist Microsoft Česká republika
Dnešní program Read-Only Domain Controller (RODC) Bitlocker Windows Firewall Network Access Protection (NAP)
Windows Server 2008 READ-ONLY DOMAIN CONTROLLER
Pobočkov ková dilemata Centrála Hub Network Možnost 2: Možnost 1: Konsolidace a Plnohodnotný DC na odstranění DC z pobočky pobočce Přihlášení a ověřování Pobočkový správce s je závislé na WAN lince právy administrátora nebo vzdálená správa V případp padě napadení riziko pro celopodnikovou AD Počet zaměstnanc stnanců: : 25-500 500 WAN: Přetížená,, nespolehlivá Bezpečnost: Nic moc Správce vce: Bez specializace
Read-Only Domain Controller Oddělen lení rolí správc vců Správce RODC nemusí být členem Domain Admins Ochrana proti nechtěnému zásahu z do AD Jednosměrn rná replikace Replikace pouze ve směru DC->RODC Změny z RODC nejsou replikovány na hlavní řadič AD Hesla nejsou standardně cachována Nastavení politiky definguje,, co všechno v RODC bude ukládat (cachovat( cachovat) Nastavením m politiky lze zabránit replikaci atributů schématu na RODC
Jak RODC funguje Windows Server 2008 DC 3 Read- Only DC Centrála 4 5 2 RODC 6 Pobočka 1 6 RODC: Windows Vrací Před edává autentizační před Dívá žádost edává Server se do TGT na 2008 databáze: sekvenci Windows uživateli u DC autentizuje a Nem Server a ticket- Nemám následnn sledně 2008 123456 Uživatel se přihlap ihlašuje a autentizuje uživatelovy žádost granting-ticket ukládá DC jeho ticket údaje daje (TGT) zpět t na RODC
Read-Only Domain Controller Modely správy Neukládá detaily účtů (default) Pro: Bezpečné Proti: Nemožný offline přístup. p Nutná WAN pro přihlp ihlášení Uložen ení/cache pouze několika n účtů Doporučeno Pro: Udržuje rozumný poměr r mezi bezpečnost ností a produktivitou Proti: Vyžaduje podrobnější administraci Většina účtů uložena/ ena/cached Pro: Jednoduchá správa účtů a hesel Proti: Omezená bezpečnostn nostní výhody oproti plnému DC
Windows Server 2008 BITLOCKER
Ochrana proti útokům Ukradený server Kráde dež citlivých dat Možnost další šího zneužit ití vůči i firemní síti Prolomení systému pomocí instalace alternativního operačního systému Ideáln lní pro situace, kdy nemáte 100% fyzickou kontrolu nad serverem BitLocker vás s ochrání pouze při p i startu systému a neřeší útoky z prostřed edí OS
Největší úniky informací Napadení virem Nechtěné přeposlání emailu Fyzická napadení zařízen zení Prolomení hesel Emailové pirátstv tství Ztráta ta zařízen zení s daty 22% 22% 20% 36% 35% 63% 0% 10% 20% 30% 40% 50% 60% 70%
Různé typy ochrany BitLocker nabízí spektrum ochrany umožň žňující využít t technologii dle vlastních možnost ností a bezpečnostn nostních potřeb! *****
BitLocker Nasazení s TPM 1 2 3 Instalace Windows Server 2008 - Vyžadov adován n oddíl l o minimáln lní velikosti 1500MB - Během instalace systém m kontroluje správnou verzi TPM (v1.2) a BIOS skrze Plug and Play 6 Zapnutí Bitlocker ******* 1.Ovl Ovládací panel Bitlocker (ve Windows Server 2008 nutné nainstalovat) 2.Instal Instalátor tor ověř ěří,, zda je splněn n požadavek na rozdělen lení disků a jejich formát 3.Instal Instalátor tor zapne BitLocker pro Windows oddíl 4.Instal Instalátor tor ověř ěří,, zda byl TPM čip inicializován 5.Spr Správce vybere metodu obnovu klíče 6.Instal Instalátor tor pokračuje šifrováním m oddílu 7.Instal Instalátor tor šifruje oddíl l na pozadí a informuje uživatele u o procesu pomocí ikony na hlavním m panelu 5 4
Obnova dat BitLocker umožň žňuje klíče e automaticky ukládat a archivovat v Active Directory Centralizované správa klíčů (vyžaduje rozší šíření schéma AD) Možnost zálohovz lohování klíčů a hesel na USB disk, tiskárnu nebo do konkrétn tní složky Obnovovací heslo zná administrátor tor Obnova můžm ůže e probíhat za chodu Windows pokračuj ují v práci, jako obvykle
Windows Server 2008 WINDOWS FIREWALL
Windows Firewall s rozší šířenou bezpečnost ností Kombinovaný firewall a správa IPSECu Nové nástroje pro správu Windows Firewall with Advanced Security snap-in do MMC Omezuje konflikty a koordinaci nastavení mezi technologiemi Pravidla firewallu více promyšlen lená a komplexní Nastavují bezpečnostn nostní požadavky jako autentizaci nebo šifrování Umí požadavky na počíta tače e a uživatele z Active Directory Filtrace odchozího provozu Zjednodušen ená politika ochrany redukuje nároky na komplexní správu
Windows Firewall Windows Firewall je nyní automaticky povolen Narozdíl l od předchozp edchozích verzí nyní firewall po zapnutí nezastaví veškerý síťový s provoz Možnost exportu a importu nastavených pravidel Plus: Role-based instalace automaticky přednastavp ednastaví patřičné porty a další nastavení k zajištění maximáln lní bezpečnosti Mínus: Když něco omylem přenastavíte,, neexistuje (zatím) žádné tlačítko tko obnovit síťovs ové nastavení podle role
Windows Server 2008 NETWORK ACCESS PROTECTION
Network Access Protection Jak to funguje? 1 Klient vyžaduje přístupp 1 Policy Servers 2 3 Zdravotní stav klienta je posílán n na NPS (Network( Policy Server - RADIUS) NPS ověř ěří stav vůčv ůči zdravotní politice Microsoft NPS (RADIUS) 2 3 Nevyhovující 5 Omezen á síť Servery pro opravu Patch,, AV, atd. 4 5 Pokud vyhovuje, je umožněn přístup Pokud nevyhovuje, je nastaven omezený přístup p pro možnost nápravy DCHP, VPN Switch/Router Vyhovující 4 Síť organizace
Možnosti vynucení NAP DHCP VPN 802.1X (Switch( Switch,, Access point, Router) Terminálový přístupp IPSec
Co musíte o NAPu u vědět? v Požadovan adované technologie jsou vestavěny ve Windows Server 2008, Windows Vista a Windows XP SP3 NAP spolupracuje prakticky se všemi v switchi/ap na trhu a používá standardní protokoly Nejsou pro nasazení potřeba žádné další licence pro NAP pokud již máte Windows CAL NAP agent není ve skutečnosti agent, je to služba, která běží na počíta tači i a je možné ji spravovat pomocí Group Policy NAP není řešení bezpečnosti, je to řešení zdraví sítě NAP spolupracuje se Cisco NAC (Network Admission Control) framework NAP Statement of Health (SOH) protokol byl přijat p jako TNC/TCG standard Není NAP agent pro Windows Server 2003!
Otázky?