Windows Server 2008 tietoturva { } Mika Seitsonen Senior-konsultti FC Sovelto Oyj { } Petri Ala-Annala Teknologia-asiantuntija Microsoft Oy

Windows Server 2008 tietoturva Ytimen suojausparannukset + palvelut Modulaarisuus + Server core PKI (Public Key Infrastructure) -muutokset Kiintolevyn salaus (BitLocker) Verkkoon pääsyn suojaus Network Access Protection (NAP) Verkkoliikenteen suojaus Integroitu ja keskitetysti hallittava palomuuri Ja lisänä IPSec Active Directoryn lisäpalvelut

Luennon aiheet Windows Server 2008 PKI Network Access Protection (NAP) 4/2/2017 Luennon aiheet Windows Server 2008 PKI Network Access Protection (NAP) Active Directoryn (AD) lisäpalvelut AD RMS (Rights Management Services) AD FS (Federation Services) © 2008 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

Windows Server 2008 PKI Uusi nimi: Active Directory Certificate Services (AD CS) Uusitut rajapinnat: Cryptography Next Generation (CNG) Crypto API 2 (CAPI2) tuki jo Windows Vistassa Varmenteen tarkistuspalvelu verkossa Online Certificate Status Protocol (OCSP) Selainpohjainen varmennehaku KB 922706 Verkkolaitteiden varmennehaku Network device enrollment (NDES) Varmentajien ja luottamuksen hallinta Group Policy:llä Keskitetty ylläpito Enterprise PKI Klusteroitavuus

Online Certificate Status Protocol DC HTTP Varmentajat (CA) Varmenteen tarkistuspalvelu verkossa (Online Responder) Asiakas (CAPI2) Hallintatyökalut

Toimikorttiarkkitehtuuri Toimikorttien hyödyntäminen 4.2.2008 Toimikorttiarkkitehtuuri Puutteita toimikorttien käytössä ennen Windows Server 2008 ja Vistaa: Vain yksi toimikortin varmenne käytettävissä kirjautumiseen ja vain yksi säilöistä voidaan merkitä oletukseksi PIN-koodin vaihto ja kortin lukituksen avaaminen eivät ole suoraan käyttöjärjestelmän toimintoja Windows Server 2008:n (ja Vistan) toimikorttiarkkitehtuuri korjaa nämä puutteet Uudessa arkkitehtuurissa Microsoftilta Base Smart Card CSP ja toimikorttivalmistajalta mini-CSP Vastaava malli käytössä kirjoitinajureissa © FC Sovelto Oyj

Demoympäristö 2-tasoinen PKI 1-tasoinen PKI Varmenteita myöntävä varmentaja DC-palvelimella Web "proxy" ja OCSP-palvelut member serverillä Siivottu AD-nimistä Käytettävissä organisaation ulkopuolisille 1-tasoinen PKI Asennettu "Next-next-menetelmällä" Kaikki toiminnot samalla DC-palvelimella

DEMO Windows Server 2008 PKI

NAP:in* tavoitteet Käytäntöjen noudattaminen Verkon käyttörajoitukset Verkkoon kytkeytyvien laitteiden terveystilan tarkistus Verkon käyttörajoitukset "Tuulikaappi/karanteeni"; rajoitettu verkkoalue Korjaus Mahdollisuus korjata terveystila (automaattisesti) Dynaamisuus Käytäntö- ja/tai terveystilamuutokset heijastuvat verkkoon pääsyssä dynaamisesti * Network Access Protection

NAP:in toiminta Sisäverkko Rajoitettu verkko Korjaus- palvelimet Terveystilapalvelimet Ole hyvä. Saanko päivitykset? Jatkuvat käytäntöpäivitykset NPS-palvelimelle Pitäisikö asiakas päästää sisään terveystilansa perusteella? Tässä terveystilani. Pääsenkö “sisään”? Uusi yritys. Tässä nykyinen terveystilani. Asiakas on käytännön mukainen. Päästä “sisään”. Asiakas ei ole käytännön mukainen. Laita karanteeniin ja pyydä päivittämään. Rajoitettu pääsy, kunnes korjattu. Asiakas (Windows Vista tai XP SP 3) Network Policy Server (NPS) Network Access Device (802.1x ( WLAN AP tai , kytkin),DHCP, TS GW. VPN) Asiakas saa täyden pääsyn sisäverkkoon.

NAP:in pakotusvaihtoehdot DHCP Suojaustasoltaan heikoin DHCP-palvelimen oltava myös Windows Server 2008 802.1x Wired (kytkin) Wireless (langattoman verkon tukiasema) Vaatii laitetukea IPSec Suojaustasoltaan paras; hyödyntää varmenteita Vaatii lisäksi Health Registration Authorityn (HRA) asennuksen Ei aseta vaatimuksia laitteille Terminal Service (TS) Gateway Terveystilan integrointi TS Anywhere -tekniikkaan VPN-asiakkaat Aiemmin RAS-karanteeni; vaati skriptin/skriptejä

NAP:in toimintoja Asiakkaat Tarkistusvaihtoehdot Raportointi Windows Vista ja XP Service Pack 3 Tuki Mac- ja Linux-koneille kumppaneilta Tarkistusvaihtoehdot Windows Security Center (suoraan mukana) SCCM (System Center Configuration Manager) Forefront Client Security (FCS) Kolmansien osapuolien tuotteiden integrointi Raportointi Tulossa työkalu

Demoympäristö Työasema: Vista Palvelin: Windows Server 2008 NPS napclcfg.cfg DHCP Enforcement NAP-palvelu käyntiin Palvelin: Windows Server 2008 NPS Network Policy and Access -roolin yksi roolipalvelu; muut asennettavissa olevat roolipalvelut:

DEMO NAP

Identiteetin ja pääsynhallinnan osa-alueet Windows Server 2008 Active Directory -palvelut 4.12.2007 Identiteetin ja pääsynhallinnan osa-alueet Identiteetin elinkaaren hallinta ILM (Identity Lifecycle Manager) Vahva tunnistaminen AD CS (Certificate Services) Certificate Licecycle Manager (CLM) Informaation suojaus AD RMS (Rights Management Service) Federoitu identiteetti AD FS (Federation Services) Hakemistopalvelu AD DS (Domain Services) aiemmin Active Directory AD LDS (Lightweight Directory Services) aiemmin ADAM © FC Sovelto Oyj

AD RMS (Rights Management Services) 4.12.2007 AD RMS (Rights Management Services) Informaation tekijä Vastaanottaja RMS-palvelin SQL Server Active Directory Palvelun avulla voidaan organisaation informaatio suojata halutulla tavalla "Viimeinen linja" Windows Server 2008 uutta Parannettu käyttöönotto ja hallinta (rooli, MMC) Skriptaus API (ei tosin Powershell) AD FS -integraatio Uudet AD RMS -hallintaroolit

Windows Server 2008 Active Directory -palvelut 4.12.2007 AD RMS -roolin asennus © FC Sovelto Oyj

Identiteetin federointi Tunnistuksen ja valtuutuksen hajauttaminen tietoturvarajojen yli: Vähentää käyttäjien tarvitsemien salasanojen lukumäärää Joka parantaa tietoturvaa Ja vähentää salasanojen resetointipyyntöjä Tekee mahdolliseksi saumattoman pääsyn rajojen yli (toimialue, organisaatio, alusta) Pääsy riippuu käyttäjän “kotijärjestelmän” attribuuteista Välitön pääsyn myöntäminen tai rajoittaminen (eli valtuutus) kumppanien sovelluksiin IIS Yritys A AD Yritys B

AD FS (Federation Service) Windows Server 2008 Active Directory -palvelut 4.12.2007 AD FS (Federation Service) Web Service -tekniikoita hyödyntävä tekniikka kahden organisaation välisen luottamuksen määritykseen Esiteltiin jo Windows Server 2003 R2:ssa Uusia ominaisuuksia Yksi Windows Server 2008 -rooleista Integraatio Microsoft Office SharePoint  Server (MOSS) 2007 ja Active Directory Rights Management Services (AD RMS) kanssa Parannettu export-import -toiminnallisuus luottamuksen luonnissa © FC Sovelto Oyj

AD RMS ja AD FS integraatio laki.firma yritys.local Kirjoittaja on jo RMS-käyttäjä Kirjoittaja lähettää suojatun sähköpostiviestin Vastaanottaja ottaa yhteyttää RMS-palveluun WebSSO-agentti poimii pyynnön RMS-asiakas ohjataan resurssimetsän FS-palvelimelle kotitiedon määrittämiseksi RMS-asiakas ohjataan käyttäjämetsän FS-palvelimelle tunnistustiedon määrittämiseksi RMS-asiakas ohjataan käyttäjämetsän FS-palvelimelle tunnistustettavaksi RMS-asiakas pyytää RMS-palvelimelta käyttöluvan WebSSO agent poimii pyynnön, tarkistaa tunnistamisen ja lähettää pyynnön RMS-palvelimelle RMS-palvelin palauttaa tarvittavat varmenteet vastaanottajalle RMS-palvelin palauttaa käyttölisenssin vastaanottajalle Vastaanottaja avaa suojatun viestin RAC - Rights Management Account Certificate CLC - Client Licensor Certificate UL - Use License AD AD FS-R FS-A 9 WebSSO 4 6 5 7 3 8 RMS PL 2 12 RAC CLC 10 RAC CLC 1 UL 11

Demoympäristö Käyttäjä: Laura Lakinainen (laura@laki.firma) Client (Laki-101) Windows Vista + Office 2007 (SP1) Käyttäjä: Yrjö Yrittäjä (yrjo@yritys.local) Client (Yri-100) Windows Server 2003 R2 SP2 + Office 2007 (SP1) + RMS Client SP2 (kb 917275)

DEMO AD RMS ja AD FS

Yhteenveto Windows Server 2008 tarjoaa monia (uusia) toimintoja tietoturvan parantamiseen Kaikkia ei tarvitse ottaa yhtaikaa käyttöön eikä myöskään tässä esityksessä käsitelty) Jo oletuksena erittäin hyvä suojaustaso Sillä tärkeimmät parannukset jo "ytimessä"

Kysymyksiä?