Správa stanic a uživatelského desktopu Petr Řehoř, S.ICZ a.s. 2014 1
Správa stanic v rámci DVZ Slouží pro Zajištění opakovatelné výsledné konfigurace nových a reinstalovaných stanic Převod uživatelských dat při upgradu prostředí Minimalizaci ruční práce při instalaci stanic Rychlému řešení havarijních stavů stanic Poskytuje Centrální přehled nad procesy v rámci celého životního cyklu stanice Jednoduchou ověřitelnost vlastností stanic a uživatelského prostředí při integraci nových požadavků Umožňuje zavést standardní jednotnou konfiguraci stanic 2
Instalace operačního systému Windows Deployment Services a Microsoft Deployment Toolkit Nástroje pro síťovou instalaci operačního systému Windows na stanice a servery Jednotný image pro instalaci všech stanic s doplněnými drivery a aktualizacemi Zajištují instalaci a základní konfiguraci Windows a komponent spolupracují s Active Directory Konfigurace a zabezpečení Windows Bezpečnostní a provozní skupinové politiky v AD Bezpečnostní konfigurace Windows pro všechny počítače v doméně Provozní konfigurace Windows pro všechny počítače v doméně a pro skupiny počítačů 3
Správa aplikací a Windows Microsoft Deployment Toolkit Instalace aplikací v rámci procesu instalace Windows Softwarové skupinové politiky v AD Instalace aplikací Konfigurace aplikací Konfigurace uživatelského desktopu pro aplikaci Windows Server Update Aktualizace Windows a aplikací firmy Microsoft WSUS Package Publisher Injektuje aplikace, drivery a aktualizace do WSUS Využívá WSUS Update Catalog výrobců HW a SW Umožňuje vytvořit vlastní balíčky 4
Správa uživatelského desktopu Uživatelský profil Cestovní profil na souborovém serveru Konfigurace uživatelského desktopu Kopíruje se při přihlášení a odhlášení uživatele Přesměrované adresáře profilu na souborový server Nekopírují se při přihlášení a odhlášení uživatele Uživatelské profily na souborovém serveru jsou zálohovány Uživatel není vázán na konkrétní stanici Skupinové politiky v AD Konfigurace Windows a jeho komponent Konfigurace ikon ve Start menu a na ploše v závislosti na aplikacích které má uživatel používat Omezení možností uživatele konfigurovat stanici v Ovládacím panelu Vhodné pro nasazení ve virtuálním desktopu 5
Fyzická bezpečnost stanic Útok na práva lokálního administrátora Získání oprávnění administrátora počítače je vstupní krok pro většinu sofistikovaných útoků Lokální účet Administrator a lokální skupina Administrators jsou chráněny pouze po dobu běhu operačního systému Po získání administrátorských oprávnění má útočník přístup k celé RAM a konfiguraci počítače Pokud se na počítač přihlásí doménový administrátor může útočník z RAM ukrást jeho Security Token, použít ho pro přístup k serverům v síti a zde provést operace pod jeho účtem například zařazení uživatelského účtu do skupiny Domain Administrators Útočník může získat hashe hesel účtů pro služby a naplánované úlohy na počítači Může je zneužít pokud mají přidělená další oprávnění Může je zlomit a získat hesla, která je potenciálně možné použít pro jiné účty s vyššími oprávněními 6
Fyzická bezpečnost stanic Bezpečnostní opatření Instalace bezpečnostních oprav operačního systému a systémových aplikací (například antivirus) Běžní uživatelé nesmí mít oprávnění administrátora stanice Hesla lokálního účtu Administrator (a obecně všech administrátorských účtů) musí být různá na všech počítačích Pro služby a naplánované úlohy musí být používány specifické účty s minimálními nutnými oprávněními Útočníkovi musí být zabráněno zavést alternativní operační systém a modifikovat operační systém na disku stanice Stanice smí bootovat pouze z lokálního pevného disku Vstup do BIOSu musí být chráněn heslem Stanici není možné rozebrat a získat přístup k disku (například pečetění skříně a pravidelné kontroly) Nástroje pro konfiguraci BIOSu Intel AMT Vzdálená konfigurace BIOSu stanic (Intel CPU vpro) 7
Zabezpečení notebooků Průzkum Mediaresearch a Intel Provedeno u 226 firem nad 100 zaměstnanců v ČR 45,1 % přiznává, že u nich došlo ke ztrátě notebooku 96 % považuje za větší nebezpečí ztrátu dat uložených na notebooku než ztrátu samotného notebooku Průměrná hodnota pohřešovaného notebooku vychází na 35.795 Kč Průměrná cena dat v případě ztráty vychází na 180.909 Kč Policii a jiné detektivní služby využilo 18 % firem průměrná cena za tyto služby: 55.000 Kč Celková potenciální ztráta způsobená zneužitím dat odhadována v průměru na 625.000 Kč, více než polovina firem uvedla částku vyšší než 750 000 Kč. http://goo.gl/zzxfzj 8
Zabezpečení notebooků Autentizace pomocí čipové karty Vynucená autentizace uživatele pomocí čipové karty Možno využít i pro přístup ke službám při připojení přes veřejnou síť Šifrování pevného disku Microsoft Bitlocker Vyžaduje Windows 7 Enterprise Edition nebo Windows 8 Professional Edition Pro uložení šifrovacího klíče využívá TPM čip ICZ Protect Boot Šifrování pevného disku pomocí TrueCrypt Pro uložení šifrovacího klíče využívá ICZ Protect Boot Je možné využít i pro tablety založené na Windows 8 se čtečkou čipových karet 9
Naši zákazníci Referenční zakázky Ministerstvo zahraničních věcí DVZ pro zpracování UI od roku 2000 Jednotky lokalit včetně zahraničních Správa stanic pro 1000 uživatelů Ministerstvo spravedlnosti DVZ pro celý resort od roku 2006 120 organizací, 200 lokalit, 15000 uživatelů Správa stanic pro 11 organizací s 1300 uživateli Vězeňská služba ČR Součást DVZ pro MSp od roku 2008 40 lokalit, provoz 24x7, správa stanic pro 6000 uživatelů Český telekomunikační úřad DVZ od roku 2010 10 lokalit, správa stanic pro 600 uživatelů 10
Děkuji za vaši pozornost Petr Řehoř petr.rehor@i.cz +420 737 280 114 ICZ a.s. Sekce Bezpečnost 11