Group Policyjen käyttäminen hallintaan Tietoturvan parantaminen työasemissa ja palvelinyhteyksissä Päivityskokemuksia Ari Auvinen aauvinen@microsoft.com Microsoft Oy Good Morning, I’m <your name>, your Microsoft TechNet Representative Welcome to the The TechNet quarterly briefing. This briefing was built with the needs IT Professionals like you in mind, to help you deploy, manage, support and optimize Microsoft Software. We’d like to welcome back the members of our local IT Professional community. If this is your first TechNet Quarterly briefing, we’d like to welcome you to join our local community; ask us questions throughout the day, offer your suggestions, let us know about your IT environment, and network with the other members of the local IT professional community Your feedback is very important to help us deliver these briefings to you . Please tell us your feedback while you’re here today, also write it down on your eval forms and enter it into our website at www.microsoft.com/technet

Group Policyt – tehokasta muutosten ja konfiguraatioiden hallintaa

Group Policyt Muutosten ja konfiguraatioiden hallinnan päätyökalu Windows 2000:nnessa Käytetään Tietokoneen ja käyttäjän asetuksien määrittämiseen Sovellusten hallintaan Turvallisuus asetuksiin Scripteihin Policyillä muokataan rekisterin HKEY_LOCAL_MACHINE ja HKEY_CURRENT_USER alipuiden asetuksia

Group Policy Objekti GPO on tallennuspaikka Group Policy asetuksille GPO on talletettu Group Policy Containeriin ja Group Policy Templateen

Group Policy kontaineri GPC on Active Directory objekti, joka sisältää Alikontainereita jotka sisältävät käyttäjiä ja tietokonetta koskevia Group Policy asetuksia Group Policy attribuutit Enable / Disable

Group Policy kontaineri

Group Policyjen suoritus Suoritetaan Käynnistyksen ja kirjautumisen yhteydessä (refresh 90 min +/- 30 min välein) Suoritusjärjestys: Local Computer - Site – Domain – OU (LSDOU) Jos Parent OU:ssa GP asetukset joita ei Child OU:ssa – Child perii Parent OU:n asetukset Jos Parent OU:ssa ja Child OU:ssa yhteensopivat GP asetukset – molemmat jäävät voimaan Jos Parent OU:ssa ja Child OU:ssa epäyhteensopivat asetukset – Child OU ei peri asetuksia Parent OU:sta vaan pitää omansa

Perimisjärjestyksen muokkaus No Override Alemman tason GP:ssä ei voida estää asetusten periytymistä Block Inheritance Estetään GP asetusten perityminen ylemmältä tasolta Järjestys Ylempänä korkeampi prioriteetti

Group Policy objektien käsittelyjärjestys Kun kone käynistetään: Tietokoneen GP-asetukset Startup scriptit Tietokonetiliin vaikuttavat GP:t Kun käyttäjä kirjautuu koneelle: Käyttäjän GP-asetukset Logon scriptit

GPO:n toteuttaminen Site: Domain ja OU Local Policy Active Directory Sites And Services Vaaditaan Enterprise Admins ryhmän jäsenyys Domain ja OU Active Directory Users And Computers Default Domain Policy Local Policy Snap-In ladattava MMC:hen

GPO:n toteuttaminen Käyttöoikeudet Filtterointi GP asetukset vai- kuttavat vain käyt- täjiin joilla Apply Group Policy ja Read käyttöoikeus kyseiseen GP objektiin Filtterointi Ryhmien kautta käyttöoikeuksien lisäys/poistaminen

GPO:n toteuttaminen GPO voidaan disabloida GPO voidaan deletoida Mahdollisuus ottaa uudelleen käyttöön GPO voidaan deletoida Policyjen vaikutus lakkaa Vrt. NT 4 system Policies – Policyn deletoiminen ei poistanut käytäntöjä GPO voidaan linkittää Jo olemassa oleva GP voidaan liittää Siteen/Domainiin/OU:hun

Group Policy ja hitaat linkit Group Policyt voidaan määrittää prosessoitumaan vain jos riittävä kaista käytössä (Slow Link Detection) Asetus Allow Prosess Over Slow Link Oletusarvot Security Settings On Administrative Templates On Software Installation … Off Logon/Logoff and … Off Folder Redirection… Off IE manitenance Off

Group Policyjen seuranta ja ongelmanratkaisu Konetta ja käyttäjää koskeva yksityiskohtainen informaatio HKLM\Software\Microsoft\WIndows\NT\Current-Version\diagnostics RunDiagnosticsLoggingGroupPolicy, REG_DWORD 1 GP:n suoritusloki HKLM\Software\Microsoft\WIndows\NT\Current Version\Winlogon UserenvDebugLevel REG_DWORD 0x3001 Gpresult (Resource Kit) Gpotool (Resource Kit) Replmon

Administrative Templates Tekstitiedostoja joiden avulla voidaan Group Policyillä määrittää sellaisten sovellusten asetuksia joilla ei ole mukana omaa Templatea Non-Windows 2000 sovellukset Rajoitettu joukko Group Policy asetuksia = ”Preference” Group Policy preference kirjoitetaan muihin rekisterikohtiin kuin Software\policies ja Software\Microsoft\Windows\-CurrentVersion\Policies Asetukset eivät poistu kun policy poistetaan tai linkki poistetaan (vrt. GPO:t)

Administrative Templates - toteutus Käynnistä ja sulje sovellus – varmistetaan että sovelluksen rekisteriasetukset ovat ajan tasalla Talletetaan Regedt32:lla sovelluksen alipuu levylle Konfiguroidaan sovellus Verrataan windiff-ohjelmalla tallennettuja rekisteriasetuksia Kirjataan ylös muutokset Konfiguroidaan template

Administrative Templates - malli CATEGORY "media player settings" POLICY "Start with this view"" KEYNAME ""Software\Microsoft\Mediaplayer\Player\Settings" EXPLAIN "Used to set the initial Media Player view" PART "Select View" DROPDOWNLIST NOSORT VALUENAME "View" ITEMLIST NAME "Compact" VALUE 0 NAME "Standard" VALUE 1 NAME "Minimal" VALUE 2 END ITEMLIST END PART END POLICY END CATEGORY

Mikä tekee Group Policyistä haasteellisen hallittavan.... LSDOU –assosiointi Poikkeukset No Override ja Block Inheritance Samassa Kontainerissa olevat useat policyt ja niiden prioriteetti Filtterointi Group Policy Kontainerissa olevien alikontainereiden ja asetusten suuri määrä

Group Policyt Site Domain ja OU tasoilla

Tietoturvan parantaminen työasemissa ja palvelinyhteyksissä

Agenda Tietoturvan parantaminen työasemissa… …ja palvelinyhteyksissä Kerberos Smart Card EFS Security Configuration Tool …ja palvelinyhteyksissä IPSec VPN RRAS

Käyttäjien tunnistaminen Windows NT 4 LM, NTLM ja NTLM v.2 Windows 2000 Edellisten lisäksi Kerberos v. 5 Sertifikaatteihin perustuva käyttäjätunnistus

Sertifikaatit CA CA CA IIS SmartCard Logon SSL/TSL Secure Email Makrojen sertifiointi

Kerberos v. 5 Standardi autentikointiprotokolla (RFC 1510) Molemmat osapuolet (client ja server) tunnistavat toisensa Sekä clientin että serverin tuettava Windows 2000 Client lataa sekä NTLM:n että Kerberoksen (Winlogon) NTLM:ää käytetään jos Kerberos-autentikointia ei tueta

Kerberos kirjautuminen Paikallistetaan KDC (kysely nimipalveluun) Active Directory LSA (client) Lähettää pw hashin KDC:lle Key Distribution Center (KDC) KDC vastaa Session Keyllä ja TGT:llä LSA (client) lähettää TGT:n ja Authenticatorin Windows 2000 DC 5. KDC vastaa Session Key:llä ja Session Ticketillä

Kerberos kirjautuminen - resurssit Sovelluspalvelin Lähetetään Session Ticket resurssille Verifioidaan pyyntö ja vastataan (mutual authentication) Active Directory Key Distribution Center (KDC) Hankitaan Session Ticket KDC:ltä Windows 2000 DC

Kerberos hallinta Hallinta ei edellytä erityistoimenpiteitä Asetukset Group Policyillä Palvelukohtaiset asetukset kuten IPSec, IIS ja RADIUS

Smart Cards Vaihtoehto salasanan käyttämiselle Mukana kulkeva käyttäjätunnus/salasana Eristää turvallisuuden kannalta kriittiset Private Key:tä tarvitsevat operaatiot muusta järjestelmästä Kortilla olevan informaatio (Private Key ja muut henkilökohtaiset tiedot) vaikeasti väärennettävissä

Smart Cards Interaktiivinen logon Asetetaan kortti (vrt Ctrl + Alt + Del) Annetaan PIN-koodi Autentikointiin käytetään kortilla olevaa Public Key sertifikaattia PKINIT laajennus mahdollistaa Kerberoksen käytön

Smart Cards Policyillä konrolloidaan Smart Cardin käyttöä Käyttäjäkohtainen Account Policy Smart Card Required for Interactive logon Tietokonekohtainen Local Computer Policy Smart Card Removal Policy

EFS (Encrypting File System) Jos levylle/koneelle päästää fyysisesti voidaan NTFS-käyttöoikeudet ohittaa Varastetaan Laptop Käynistetään toisella käyttöjärjestelmällä (cd, levyke) esim. MS Dos ja ntfsdos.sys ajuri Irroitetaan kiintolevy Liitetään levy toiseen koneeseen ja otetaan tiedostojen käyttöoikeus (Take Ownership – Change Permissions)

EFS Encrypting File System salaa tiedostoja ja kansioita Perustuu julkisen avaimen salaukseen Edellyttää PK Infrastruktuuria Jokaiselle tiedostolle satunnaisesti generoitu avain Integroitu NTFS tiedostojärjestelmään EFS käyttää sivuttamatonta muistia Avaimet eivät koskaan ole levyllä

EFS Salaus ei edellytä hallinnollisia toimenpiteitä EFS luo Avainparit (julkinen avain CA:lta tai se luodaan itse) Salaus on tiedosto tai hakemistokohtainen Ei erillistä purkamista Group Policyillä voidaan määritellä datan palauttaminen Konfiguroitavissa Domain/OU tasoilla

Security Configuration Tool Joukko Windows 2000 MMC Snap-In:ejä Turvallisuuden konfigurointiin ja analysointiin Hallinta ”yhdestä pisteestä” Toimintojen automatisointi ja ryhmittely Laajennettava Sovellusten toimittajat voivat lisätä omat konfigurointi ja analysointityökalut Konfigurointitiedostot ovat tekstipohjaisia tiedostoja Tallennettuja konfiguraatioita voidaan viedä toisiin koneisiin

Security Configuration Tool

Security Configuration Tool Analysoitavat ja konfiguroitavat alueet Account Policies Local Policies Restricted Groups System Services File or Folder Sharing System Registry System Store Directory Security

Security Configuration Tool Valmistavat toimenpiteet Perustetaan tietokanta (Security Database, *.sec) Luodaan Security Template ja konfiguroidaan asetukset Tuodaan Security Template tietokantaan Toimenpiteet järjestelmän analysoinnissa Analysiodaan systeemi Analyze System Now operaatiolla Toimenpiteet järjestelmän konfiguroinnissa Konfiguroidaan asetukset Suoritetaan Configure System operaatio

Security Configuration Tool

IPSec Tarjoaa turvallisen kommunikaation IP verkoissa Toteutetaan Autentikoi koneet ja salaa datan Standardi IP-formaatti (yhteensopiva olemassaolevien verkkolaitteiden kanssa) Toteutetaan Windows 2000 etäkäyttäjän ja Windows 2000 verkon välillä Kahden Windows 2000 verkon välillä Kahden Windows 2000 koneen välillä LANissa

IPSec turvallisuustasot Client (Respond Only) Salaamaton liikenne, vaihtaa vaadittaessa salattuun liikenteeseen Client Server Server (Request Security) Hyväksyy salaamattoman liikenteen mutta yrittää saada vastaanottajan vaihtamaan salattuun likenteeseen Client Server Secure Server (Require Security) Client Server Hylkää salaamattoman liikenteen

IPSec Autentikointi Kerberos v. 5 Kerberos 5 clientit (W2000, Unix) CA sertifikaatit Clienteille jotka käyttävät X.509 sertifikaatteja Tekstipohjaiset avaimet (Pre-shared Public Keys) matala turvallisuus

IPSec Salaus Eheys, anti-replay, autentikointi DES (40, 56, 128 bit) SHA (160 bit) MD5 (128 bit)

IPSec protokollat Authentication Header (AH) Encapsulated Payload Header (ESP)

IPSec tunnelointi L2TP ja IPSec Alkuperäinen paketti kapseloidaan PPP kehykseen ja sitten UDP kehykseen (portti 1701) New IP header sis. tunnelin päiden osoitteet

IPSec tunnelointi IPSec tunnel mode Esp tunnel mode AH tunnel mode

RRAS Remote And Routing Access Autentikointiprotokollat Dial Up ja VPN MS-CHAP 95/98, NT 4 tai W2k MS-CHAP v. 2 W2k EAP-TLS SmartCard autentikointi CHAP Useat eri järjestelmät SPAP Shiva Lan Rover clientit PAP jos muita protokollia ei tueta

RRAS Salausprotokollat MPPE (Microsoft Point To Point Encryption) Kun autentikointi MS-CHAP, MS-CHAP v. 2 tai EAP-TLS Ei konepohjaista sertifikaatti infrastruktuuria IPSec DES, 3DES Kun käytetään L2TP:tä Konepohjainen sertifikaatti infrastruktuuri olemassa

RAS Policy RAS Policyillä yhteyksiin liittyvät määrittelyt Policy sisältää Ehtoja (Conditions) ja profiilin If <Conditions> are valid then use Profile Ehtoja ovat mm. kellonaika, IP-osoite... Profiili koostuu attribuuteista RAP Tallennettu RAS serverille, ei AD:hen

VPN Tunnelointi client - server ja server – server julkisen verkon yli Kolme tekniikkaa L2TP: laajasti tuettu PPTP: Microsoft IPSec VPN ja NAT laitteet PPTP toimii NAT:in läpi (translaatiotaulut) L2TP + IPSec (AH) ei voi käyttää NAT:ien läpi

L2TP Yhteysalustana IP, Frame Relay, X.25, ATM Tarjoaa tunnelointia muttei salausta (vrt. PPTP) Salaus IPSec:illä Multilink Point To Point Protocol Tunnelin autentikointi Headerin kompressointi

Päivityskokemuksia

Kokemuksia Group Policyn käytöstä ja Installerista Suunnittele ennen käyttöönottoa Keep it simple Dokumentoi Policyjen laaja käyttö voi olla monimutkaista (paljon asioita, joita voi tehdä) Toimii luotettavasti ja nopeasti Ei estä päivitystä palvelinpuolella (jatkoprojekti) ”Installer vain toimii”

Kokemuksia Terminaalipalveluista ”Hyvä etähallintaväline palvelimille” Lisää suorituskykyä NT 4 terminal serverille ”Toimii nopeammin kuin NT 4 versio” NT 4.0 Terminal server Edition siirtymävaiheessa niiden sovellusten käyttämiseen, jotka eivät toimi Windows 2000:ssa NLB:llä palvelinfarmi-toiminnallisuus Ei disconnect- toimintoa

Kokemuksia muista palveluista Dynaaminen DNS ”Toimii hyvin”, ”kokemukset myönteisiä” Hakemistojen kryptaus ”Testissä, viilaamista” Offline kansiot Lisää tuottavuutta Jos ei ole verkkoyhteyttä työtä voi jatkaa Roaming profile ”Käyttäjien mielestä ok”

Kokemuksia Domainpalvelinten päivityksestä Päivitys / uudet laitteet PDC ja sen jälkeen BDC:t Uusi Windows 2000 domain Trustit NT4 ja Windows 2000 domainin välillä Yksinkertaistaa DNS:n konfigurointia (internal.firma.fi) Laitteet voi päivityksen yhteydessä siirtää sinne Voi käyttää RIS palvelua hyväksi Apuohjelmat

Muita kommentteja ”Windows 2000 on iso harppaus NT 4:sta – vaatii opiskelua” ”xxx scanneri tuki puuttuu …” ”xxx USB tuki puuttuu …” Laitteistovalmistajiin kannattaa pitää yhteyttä ”Tähän mennessä paras käyttis kannettavissa…”

Kokemuksia Web palveluista Yli 40 000 Web-palvelinta on jo päivitetty Windows 2000:lle! http://www.netcraft.com ”Network Load Balancing mahdollistaa juohevan päivityksen Windows 2000:een” Luotettavuus ja hallittavuus Web Dav intranet palvelimissa

Käyttöönotto yhteenveto Scripting: Käytä tätä kun laitteet ovat erilaisia Disk Duplication: Käytä tätä samanlaisille laitteille ja samantyyppisille ohjelmistoasennuksille Remote Installation Service: Käytä tätä jos sinulla on mahdollisuus ottaa käyttöön Windows 2000 AD ja työasemat tukevat Remote Boot:a Windows Installer: Sovellusten käyttöönottamiseen, päivittämiseen, korjaamiseen ja poistamiseen Käytä uutta Windows 2000 Group Policy:a ohjelmistojen jakeluun Voit uudelleen pakata olemassa olevat sovellukset Systems Management Server 2.0: Laajan verkon ratkaisu käyttöjärjestelmien, sovellusten ja työkalujen hallintaan Terminal Services: Uusien ja vanhojen sovellusten tuki työasemien ja palvelimien päivityksen aikana.