Esittely latautuu. Ole hyvä ja odota

Esittely latautuu. Ole hyvä ja odota

Windows Server 2008 tietoturva

JulkaistuAnja Leppänen Muutettu yli 9 vuotta sitten

Samankaltaiset esitykset

Esitys aiheesta: "Windows Server 2008 tietoturva"— Esityksen transkriptio:

1 Windows Server 2008 tietoturva
{ } Mika Seitsonen Senior-konsultti FC Sovelto Oyj { } Petri Ala-Annala Teknologia-asiantuntija Microsoft Oy

2 Windows Server 2008 tietoturva
Ytimen suojausparannukset + palvelut Modulaarisuus + Server core PKI (Public Key Infrastructure) -muutokset Kiintolevyn salaus (BitLocker) Verkkoon pääsyn suojaus Network Access Protection (NAP) Verkkoliikenteen suojaus Integroitu ja keskitetysti hallittava palomuuri Ja lisänä IPSec Active Directoryn lisäpalvelut

3 Luennon aiheet Windows Server 2008 PKI Network Access Protection (NAP)
4/2/2017 Luennon aiheet Windows Server 2008 PKI Network Access Protection (NAP) Active Directoryn (AD) lisäpalvelut AD RMS (Rights Management Services) AD FS (Federation Services) © 2008 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

4 Windows Server 2008 PKI Uusi nimi: Active Directory Certificate Services (AD CS) Uusitut rajapinnat: Cryptography Next Generation (CNG) Crypto API 2 (CAPI2) tuki jo Windows Vistassa Varmenteen tarkistuspalvelu verkossa Online Certificate Status Protocol (OCSP) Selainpohjainen varmennehaku KB Verkkolaitteiden varmennehaku Network device enrollment (NDES) Varmentajien ja luottamuksen hallinta Group Policy:llä Keskitetty ylläpito Enterprise PKI Klusteroitavuus

5 Online Certificate Status Protocol
DC HTTP Varmentajat (CA) Varmenteen tarkistuspalvelu verkossa (Online Responder) Asiakas (CAPI2) Hallintatyökalut

6 Toimikorttiarkkitehtuuri
Toimikorttien hyödyntäminen Toimikorttiarkkitehtuuri Puutteita toimikorttien käytössä ennen Windows Server 2008 ja Vistaa: Vain yksi toimikortin varmenne käytettävissä kirjautumiseen ja vain yksi säilöistä voidaan merkitä oletukseksi PIN-koodin vaihto ja kortin lukituksen avaaminen eivät ole suoraan käyttöjärjestelmän toimintoja Windows Server 2008:n (ja Vistan) toimikorttiarkkitehtuuri korjaa nämä puutteet Uudessa arkkitehtuurissa Microsoftilta Base Smart Card CSP ja toimikorttivalmistajalta mini-CSP Vastaava malli käytössä kirjoitinajureissa © FC Sovelto Oyj

7 Demoympäristö 2-tasoinen PKI 1-tasoinen PKI
Varmenteita myöntävä varmentaja DC-palvelimella Web "proxy" ja OCSP-palvelut member serverillä Siivottu AD-nimistä Käytettävissä organisaation ulkopuolisille 1-tasoinen PKI Asennettu "Next-next-menetelmällä" Kaikki toiminnot samalla DC-palvelimella

8 DEMO Windows Server 2008 PKI

9 NAP:in* tavoitteet Käytäntöjen noudattaminen Verkon käyttörajoitukset
Verkkoon kytkeytyvien laitteiden terveystilan tarkistus Verkon käyttörajoitukset "Tuulikaappi/karanteeni"; rajoitettu verkkoalue Korjaus Mahdollisuus korjata terveystila (automaattisesti) Dynaamisuus Käytäntö- ja/tai terveystilamuutokset heijastuvat verkkoon pääsyssä dynaamisesti * Network Access Protection

10 NAP:in toiminta Sisäverkko Rajoitettu verkko Korjaus- palvelimet
Terveystilapalvelimet Ole hyvä. Saanko päivitykset? Jatkuvat käytäntöpäivitykset NPS-palvelimelle Pitäisikö asiakas päästää sisään terveystilansa perusteella? Tässä terveystilani. Pääsenkö “sisään”? Uusi yritys. Tässä nykyinen terveystilani. Asiakas on käytännön mukainen. Päästä “sisään”. Asiakas ei ole käytännön mukainen. Laita karanteeniin ja pyydä päivittämään. Rajoitettu pääsy, kunnes korjattu. Asiakas (Windows Vista tai XP SP 3) Network Policy Server (NPS) Network Access Device (802.1x ( WLAN AP tai , kytkin),DHCP, TS GW. VPN) Asiakas saa täyden pääsyn sisäverkkoon.

11 NAP:in pakotusvaihtoehdot
DHCP Suojaustasoltaan heikoin DHCP-palvelimen oltava myös Windows Server 2008 802.1x Wired (kytkin) Wireless (langattoman verkon tukiasema) Vaatii laitetukea IPSec Suojaustasoltaan paras; hyödyntää varmenteita Vaatii lisäksi Health Registration Authorityn (HRA) asennuksen Ei aseta vaatimuksia laitteille Terminal Service (TS) Gateway Terveystilan integrointi TS Anywhere -tekniikkaan VPN-asiakkaat Aiemmin RAS-karanteeni; vaati skriptin/skriptejä

12 NAP:in toimintoja Asiakkaat Tarkistusvaihtoehdot Raportointi
Windows Vista ja XP Service Pack 3 Tuki Mac- ja Linux-koneille kumppaneilta Tarkistusvaihtoehdot Windows Security Center (suoraan mukana) SCCM (System Center Configuration Manager) Forefront Client Security (FCS) Kolmansien osapuolien tuotteiden integrointi Raportointi Tulossa työkalu

13 Demoympäristö Työasema: Vista Palvelin: Windows Server 2008 NPS
napclcfg.cfg DHCP Enforcement NAP-palvelu käyntiin Palvelin: Windows Server 2008 NPS Network Policy and Access -roolin yksi roolipalvelu; muut asennettavissa olevat roolipalvelut:

14 DEMO NAP

15 Identiteetin ja pääsynhallinnan osa-alueet
Windows Server 2008 Active Directory -palvelut Identiteetin ja pääsynhallinnan osa-alueet Identiteetin elinkaaren hallinta ILM (Identity Lifecycle Manager) Vahva tunnistaminen AD CS (Certificate Services) Certificate Licecycle Manager (CLM) Informaation suojaus AD RMS (Rights Management Service) Federoitu identiteetti AD FS (Federation Services) Hakemistopalvelu AD DS (Domain Services) aiemmin Active Directory AD LDS (Lightweight Directory Services) aiemmin ADAM © FC Sovelto Oyj

16 AD RMS (Rights Management Services)
AD RMS (Rights Management Services) Informaation tekijä Vastaanottaja RMS-palvelin SQL Server Active Directory Palvelun avulla voidaan organisaation informaatio suojata halutulla tavalla "Viimeinen linja" Windows Server 2008 uutta Parannettu käyttöönotto ja hallinta (rooli, MMC) Skriptaus API (ei tosin Powershell) AD FS -integraatio Uudet AD RMS -hallintaroolit

17 Windows Server 2008 Active Directory -palvelut
AD RMS -roolin asennus © FC Sovelto Oyj

18 Identiteetin federointi
Tunnistuksen ja valtuutuksen hajauttaminen tietoturvarajojen yli: Vähentää käyttäjien tarvitsemien salasanojen lukumäärää Joka parantaa tietoturvaa Ja vähentää salasanojen resetointipyyntöjä Tekee mahdolliseksi saumattoman pääsyn rajojen yli (toimialue, organisaatio, alusta) Pääsy riippuu käyttäjän “kotijärjestelmän” attribuuteista Välitön pääsyn myöntäminen tai rajoittaminen (eli valtuutus) kumppanien sovelluksiin IIS Yritys A AD Yritys B

19 AD FS (Federation Service)
Windows Server 2008 Active Directory -palvelut AD FS (Federation Service) Web Service -tekniikoita hyödyntävä tekniikka kahden organisaation välisen luottamuksen määritykseen Esiteltiin jo Windows Server 2003 R2:ssa Uusia ominaisuuksia Yksi Windows Server rooleista Integraatio Microsoft Office SharePoint  Server (MOSS) 2007 ja Active Directory Rights Management Services (AD RMS) kanssa Parannettu export-import -toiminnallisuus luottamuksen luonnissa © FC Sovelto Oyj

20 AD RMS ja AD FS integraatio
laki.firma yritys.local Kirjoittaja on jo RMS-käyttäjä Kirjoittaja lähettää suojatun sähköpostiviestin Vastaanottaja ottaa yhteyttää RMS-palveluun WebSSO-agentti poimii pyynnön RMS-asiakas ohjataan resurssimetsän FS-palvelimelle kotitiedon määrittämiseksi RMS-asiakas ohjataan käyttäjämetsän FS-palvelimelle tunnistustiedon määrittämiseksi RMS-asiakas ohjataan käyttäjämetsän FS-palvelimelle tunnistustettavaksi RMS-asiakas pyytää RMS-palvelimelta käyttöluvan WebSSO agent poimii pyynnön, tarkistaa tunnistamisen ja lähettää pyynnön RMS-palvelimelle RMS-palvelin palauttaa tarvittavat varmenteet vastaanottajalle RMS-palvelin palauttaa käyttölisenssin vastaanottajalle Vastaanottaja avaa suojatun viestin RAC - Rights Management Account Certificate CLC - Client Licensor Certificate UL - Use License AD AD FS-R FS-A 9 WebSSO 4 6 5 7 3 8 RMS PL 2 12 RAC CLC 10 RAC CLC 1 UL 11

21 Demoympäristö Käyttäjä: Laura Lakinainen (laura@laki.firma)
Client (Laki-101) Windows Vista + Office 2007 (SP1) Käyttäjä: Yrjö Yrittäjä Client (Yri-100) Windows Server 2003 R2 SP2 + Office (SP1) + RMS Client SP2 (kb )

22 DEMO AD RMS ja AD FS

23 Yhteenveto Windows Server 2008 tarjoaa monia (uusia) toimintoja tietoturvan parantamiseen Kaikkia ei tarvitse ottaa yhtaikaa käyttöön eikä myöskään tässä esityksessä käsitelty) Jo oletuksena erittäin hyvä suojaustaso Sillä tärkeimmät parannukset jo "ytimessä"

24 Kysymyksiä?

Lataa ppt "Windows Server 2008 tietoturva"

Samankaltaiset esitykset

HST-tunnistautuminen WinhaWiiviin Ritva Salminen 26.11.2001 HSTYA Tekninen päivä.

HST-tunnistautuminen WinhaWiiviin Ritva Salminen HSTYA Tekninen päivä.
TOSIBOX LOCK Turvallisuusasetukset

TOSIBOX LOCK Turvallisuusasetukset
1 1.

1 1.
Moniasiakasympäristön etäyhteysratkaisujen vertailu

Moniasiakasympäristön etäyhteysratkaisujen vertailu
Active directory.

Active directory.
WLAN Tekijät: Petri Koskinen Miika Kulla Veli-Pekka Koskinen.

WLAN Tekijät: Petri Koskinen Miika Kulla Veli-Pekka Koskinen.
SAP Yksi ERP-sovellus.

SAP Yksi ERP-sovellus.
IBM WebSphere Application Server Mediatekniikan Seminaari Mikko Matilainen.

IBM WebSphere Application Server Mediatekniikan Seminaari Mikko Matilainen.
Turvallinen ja tehokas kertakirjautuminen webbipalveluihin Pekka Lindqvist

Turvallinen ja tehokas kertakirjautuminen webbipalveluihin Pekka Lindqvist
1.

1.
1 1.

1 1.
WLAN ja tietoturvallisuus

WLAN ja tietoturvallisuus
Novell-kuulumiset Pekka Lindqvist

Novell-kuulumiset Pekka Lindqvist
Dynaaminen IT käytännössä: nykyaikaisten virtualisointiteknologioiden tehokas käyttö ja hallinta { } riku.reimaa@microsoft.com tuote- ja ratkaisupäällikkö.

Dynaaminen IT käytännössä: nykyaikaisten virtualisointiteknologioiden tehokas käyttö ja hallinta { } tuote- ja ratkaisupäällikkö.
Windows 2000 Palvelin ja työasemateknologia Harri Henell Program Manager Microsoft oy.

Windows 2000 Palvelin ja työasemateknologia Harri Henell Program Manager Microsoft oy.
Julkaisukielet ja - tekniikat tMyn1 Julkaisukielet ja -tekniikat •Verkko-ohjelmointi voidaan jakaa kahteen osaan: asiakaspuolen ja palvelinpuolen ohjelmointiin.

Julkaisukielet ja - tekniikat tMyn1 Julkaisukielet ja -tekniikat •Verkko-ohjelmointi voidaan jakaa kahteen osaan: asiakaspuolen ja palvelinpuolen ohjelmointiin.
Carita, Kati ja Juuso OSAO Myllytulli ja Mytlpt09E 2010

Carita, Kati ja Juuso OSAO Myllytulli ja Mytlpt09E 2010
Salattu selainyhteys HTTPS-protokolla eli SSL/TLS-salaus

Salattu selainyhteys HTTPS-protokolla eli SSL/TLS-salaus
1 1.

1 1.
Office 365:een siirtyminen

Office 365:een siirtyminen

Samankaltaiset esitykset

Iklan oleh Google