Esittely latautuu. Ole hyvä ja odota

Esittely latautuu. Ole hyvä ja odota

Group Policyjen käyttäminen hallintaan Tietoturvan parantaminen työasemissa ja palvelinyhteyksissä Päivityskokemuksia Ari Auvinen

JulkaistuPetteri Katajakoski Muutettu yli 9 vuotta sitten

Samankaltaiset esitykset

Esitys aiheesta: "Group Policyjen käyttäminen hallintaan Tietoturvan parantaminen työasemissa ja palvelinyhteyksissä Päivityskokemuksia Ari Auvinen"— Esityksen transkriptio:

1

2

3 Group Policyjen käyttäminen hallintaan Tietoturvan parantaminen työasemissa ja palvelinyhteyksissä Päivityskokemuksia Ari Auvinen Microsoft Oy Good Morning, I’m <your name>, your Microsoft TechNet Representative Welcome to the The TechNet quarterly briefing. This briefing was built with the needs IT Professionals like you in mind, to help you deploy, manage, support and optimize Microsoft Software. We’d like to welcome back the members of our local IT Professional community. If this is your first TechNet Quarterly briefing, we’d like to welcome you to join our local community; ask us questions throughout the day, offer your suggestions, let us know about your IT environment, and network with the other members of the local IT professional community Your feedback is very important to help us deliver these briefings to you . Please tell us your feedback while you’re here today, also write it down on your eval forms and enter it into our website at

4 Group Policyt – tehokasta muutosten ja konfiguraatioiden hallintaa

5 Group Policyt Muutosten ja konfiguraatioiden hallinnan päätyökalu Windows 2000:nnessa Käytetään Tietokoneen ja käyttäjän asetuksien määrittämiseen Sovellusten hallintaan Turvallisuus asetuksiin Scripteihin Policyillä muokataan rekisterin HKEY_LOCAL_MACHINE ja HKEY_CURRENT_USER alipuiden asetuksia

6 Group Policy Objekti GPO on tallennuspaikka Group Policy asetuksille
GPO on talletettu Group Policy Containeriin ja Group Policy Templateen

7 Group Policy kontaineri
GPC on Active Directory objekti, joka sisältää Alikontainereita jotka sisältävät käyttäjiä ja tietokonetta koskevia Group Policy asetuksia Group Policy attribuutit Enable / Disable

8 Group Policy kontaineri

9 Group Policyjen suoritus
Suoritetaan Käynnistyksen ja kirjautumisen yhteydessä (refresh 90 min +/- 30 min välein) Suoritusjärjestys: Local Computer - Site – Domain – OU (LSDOU) Jos Parent OU:ssa GP asetukset joita ei Child OU:ssa – Child perii Parent OU:n asetukset Jos Parent OU:ssa ja Child OU:ssa yhteensopivat GP asetukset – molemmat jäävät voimaan Jos Parent OU:ssa ja Child OU:ssa epäyhteensopivat asetukset – Child OU ei peri asetuksia Parent OU:sta vaan pitää omansa

10 Perimisjärjestyksen muokkaus
No Override Alemman tason GP:ssä ei voida estää asetusten periytymistä Block Inheritance Estetään GP asetusten perityminen ylemmältä tasolta Järjestys Ylempänä korkeampi prioriteetti

11 Group Policy objektien käsittelyjärjestys
Kun kone käynistetään: Tietokoneen GP-asetukset Startup scriptit Tietokonetiliin vaikuttavat GP:t Kun käyttäjä kirjautuu koneelle: Käyttäjän GP-asetukset Logon scriptit

12 GPO:n toteuttaminen Site: Domain ja OU Local Policy
Active Directory Sites And Services Vaaditaan Enterprise Admins ryhmän jäsenyys Domain ja OU Active Directory Users And Computers Default Domain Policy Local Policy Snap-In ladattava MMC:hen

13 GPO:n toteuttaminen Käyttöoikeudet Filtterointi
GP asetukset vai- kuttavat vain käyt- täjiin joilla Apply Group Policy ja Read käyttöoikeus kyseiseen GP objektiin Filtterointi Ryhmien kautta käyttöoikeuksien lisäys/poistaminen

14 GPO:n toteuttaminen GPO voidaan disabloida GPO voidaan deletoida
Mahdollisuus ottaa uudelleen käyttöön GPO voidaan deletoida Policyjen vaikutus lakkaa Vrt. NT 4 system Policies – Policyn deletoiminen ei poistanut käytäntöjä GPO voidaan linkittää Jo olemassa oleva GP voidaan liittää Siteen/Domainiin/OU:hun

15 Group Policy ja hitaat linkit
Group Policyt voidaan määrittää prosessoitumaan vain jos riittävä kaista käytössä (Slow Link Detection) Asetus Allow Prosess Over Slow Link Oletusarvot Security Settings On Administrative Templates On Software Installation … Off Logon/Logoff and … Off Folder Redirection… Off IE manitenance Off

16 Group Policyjen seuranta ja ongelmanratkaisu
Konetta ja käyttäjää koskeva yksityiskohtainen informaatio HKLM\Software\Microsoft\WIndows\NT\Current-Version\diagnostics RunDiagnosticsLoggingGroupPolicy, REG_DWORD 1 GP:n suoritusloki HKLM\Software\Microsoft\WIndows\NT\Current Version\Winlogon UserenvDebugLevel REG_DWORD 0x3001 Gpresult (Resource Kit) Gpotool (Resource Kit) Replmon

17 Administrative Templates
Tekstitiedostoja joiden avulla voidaan Group Policyillä määrittää sellaisten sovellusten asetuksia joilla ei ole mukana omaa Templatea Non-Windows 2000 sovellukset Rajoitettu joukko Group Policy asetuksia = ”Preference” Group Policy preference kirjoitetaan muihin rekisterikohtiin kuin Software\policies ja Software\Microsoft\Windows\-CurrentVersion\Policies Asetukset eivät poistu kun policy poistetaan tai linkki poistetaan (vrt. GPO:t)

18 Administrative Templates - toteutus
Käynnistä ja sulje sovellus – varmistetaan että sovelluksen rekisteriasetukset ovat ajan tasalla Talletetaan Regedt32:lla sovelluksen alipuu levylle Konfiguroidaan sovellus Verrataan windiff-ohjelmalla tallennettuja rekisteriasetuksia Kirjataan ylös muutokset Konfiguroidaan template

19 Administrative Templates - malli
CATEGORY "media player settings" POLICY "Start with this view"" KEYNAME ""Software\Microsoft\Mediaplayer\Player\Settings" EXPLAIN "Used to set the initial Media Player view" PART "Select View" DROPDOWNLIST NOSORT VALUENAME "View" ITEMLIST NAME "Compact" VALUE 0 NAME "Standard" VALUE 1 NAME "Minimal" VALUE 2 END ITEMLIST END PART END POLICY END CATEGORY

20 Mikä tekee Group Policyistä haasteellisen hallittavan....
LSDOU –assosiointi Poikkeukset No Override ja Block Inheritance Samassa Kontainerissa olevat useat policyt ja niiden prioriteetti Filtterointi Group Policy Kontainerissa olevien alikontainereiden ja asetusten suuri määrä

21 Group Policyt Site Domain ja OU tasoilla

22 Tietoturvan parantaminen työasemissa ja palvelinyhteyksissä

23 Agenda Tietoturvan parantaminen työasemissa… …ja palvelinyhteyksissä
Kerberos Smart Card EFS Security Configuration Tool …ja palvelinyhteyksissä IPSec VPN RRAS

24 Käyttäjien tunnistaminen
Windows NT 4 LM, NTLM ja NTLM v.2 Windows 2000 Edellisten lisäksi Kerberos v. 5 Sertifikaatteihin perustuva käyttäjätunnistus

25 Sertifikaatit CA CA CA IIS SmartCard Logon SSL/TSL Secure Email
Makrojen sertifiointi

26 Kerberos v. 5 Standardi autentikointiprotokolla (RFC 1510)
Molemmat osapuolet (client ja server) tunnistavat toisensa Sekä clientin että serverin tuettava Windows 2000 Client lataa sekä NTLM:n että Kerberoksen (Winlogon) NTLM:ää käytetään jos Kerberos-autentikointia ei tueta

27 Kerberos kirjautuminen
Paikallistetaan KDC (kysely nimipalveluun) Active Directory LSA (client) Lähettää pw hashin KDC:lle Key Distribution Center (KDC) KDC vastaa Session Keyllä ja TGT:llä LSA (client) lähettää TGT:n ja Authenticatorin Windows 2000 DC 5. KDC vastaa Session Key:llä ja Session Ticketillä

28 Kerberos kirjautuminen - resurssit
Sovelluspalvelin Lähetetään Session Ticket resurssille Verifioidaan pyyntö ja vastataan (mutual authentication) Active Directory Key Distribution Center (KDC) Hankitaan Session Ticket KDC:ltä Windows 2000 DC

29 Kerberos hallinta Hallinta ei edellytä erityistoimenpiteitä
Asetukset Group Policyillä Palvelukohtaiset asetukset kuten IPSec, IIS ja RADIUS

30 Smart Cards Vaihtoehto salasanan käyttämiselle
Mukana kulkeva käyttäjätunnus/salasana Eristää turvallisuuden kannalta kriittiset Private Key:tä tarvitsevat operaatiot muusta järjestelmästä Kortilla olevan informaatio (Private Key ja muut henkilökohtaiset tiedot) vaikeasti väärennettävissä

31 Smart Cards Interaktiivinen logon
Asetetaan kortti (vrt Ctrl + Alt + Del) Annetaan PIN-koodi Autentikointiin käytetään kortilla olevaa Public Key sertifikaattia PKINIT laajennus mahdollistaa Kerberoksen käytön

32 Smart Cards Policyillä konrolloidaan Smart Cardin käyttöä
Käyttäjäkohtainen Account Policy Smart Card Required for Interactive logon Tietokonekohtainen Local Computer Policy Smart Card Removal Policy

33 EFS (Encrypting File System)
Jos levylle/koneelle päästää fyysisesti voidaan NTFS-käyttöoikeudet ohittaa Varastetaan Laptop Käynistetään toisella käyttöjärjestelmällä (cd, levyke) esim. MS Dos ja ntfsdos.sys ajuri Irroitetaan kiintolevy Liitetään levy toiseen koneeseen ja otetaan tiedostojen käyttöoikeus (Take Ownership – Change Permissions)

34 EFS Encrypting File System salaa tiedostoja ja kansioita
Perustuu julkisen avaimen salaukseen Edellyttää PK Infrastruktuuria Jokaiselle tiedostolle satunnaisesti generoitu avain Integroitu NTFS tiedostojärjestelmään EFS käyttää sivuttamatonta muistia Avaimet eivät koskaan ole levyllä

35 EFS Salaus ei edellytä hallinnollisia toimenpiteitä
EFS luo Avainparit (julkinen avain CA:lta tai se luodaan itse) Salaus on tiedosto tai hakemistokohtainen Ei erillistä purkamista Group Policyillä voidaan määritellä datan palauttaminen Konfiguroitavissa Domain/OU tasoilla

36 Security Configuration Tool
Joukko Windows 2000 MMC Snap-In:ejä Turvallisuuden konfigurointiin ja analysointiin Hallinta ”yhdestä pisteestä” Toimintojen automatisointi ja ryhmittely Laajennettava Sovellusten toimittajat voivat lisätä omat konfigurointi ja analysointityökalut Konfigurointitiedostot ovat tekstipohjaisia tiedostoja Tallennettuja konfiguraatioita voidaan viedä toisiin koneisiin

37 Security Configuration Tool

38 Security Configuration Tool
Analysoitavat ja konfiguroitavat alueet Account Policies Local Policies Restricted Groups System Services File or Folder Sharing System Registry System Store Directory Security

39 Security Configuration Tool
Valmistavat toimenpiteet Perustetaan tietokanta (Security Database, *.sec) Luodaan Security Template ja konfiguroidaan asetukset Tuodaan Security Template tietokantaan Toimenpiteet järjestelmän analysoinnissa Analysiodaan systeemi Analyze System Now operaatiolla Toimenpiteet järjestelmän konfiguroinnissa Konfiguroidaan asetukset Suoritetaan Configure System operaatio

40 Security Configuration Tool

41 IPSec Tarjoaa turvallisen kommunikaation IP verkoissa Toteutetaan
Autentikoi koneet ja salaa datan Standardi IP-formaatti (yhteensopiva olemassaolevien verkkolaitteiden kanssa) Toteutetaan Windows 2000 etäkäyttäjän ja Windows 2000 verkon välillä Kahden Windows 2000 verkon välillä Kahden Windows 2000 koneen välillä LANissa

42 IPSec turvallisuustasot
Client (Respond Only) Salaamaton liikenne, vaihtaa vaadittaessa salattuun liikenteeseen Client Server Server (Request Security) Hyväksyy salaamattoman liikenteen mutta yrittää saada vastaanottajan vaihtamaan salattuun likenteeseen Client Server Secure Server (Require Security) Client Server Hylkää salaamattoman liikenteen

43 IPSec Autentikointi Kerberos v. 5 Kerberos 5 clientit (W2000, Unix)
CA sertifikaatit Clienteille jotka käyttävät X.509 sertifikaatteja Tekstipohjaiset avaimet (Pre-shared Public Keys) matala turvallisuus

44 IPSec Salaus Eheys, anti-replay, autentikointi DES (40, 56, 128 bit)
SHA (160 bit) MD5 (128 bit)

45 IPSec protokollat Authentication Header (AH) Encapsulated Payload Header (ESP)

46 IPSec tunnelointi L2TP ja IPSec
Alkuperäinen paketti kapseloidaan PPP kehykseen ja sitten UDP kehykseen (portti 1701) New IP header sis. tunnelin päiden osoitteet

47 IPSec tunnelointi IPSec tunnel mode Esp tunnel mode AH tunnel mode

48 RRAS Remote And Routing Access Autentikointiprotokollat Dial Up ja VPN
MS-CHAP 95/98, NT 4 tai W2k MS-CHAP v. 2 W2k EAP-TLS SmartCard autentikointi CHAP Useat eri järjestelmät SPAP Shiva Lan Rover clientit PAP jos muita protokollia ei tueta

49 RRAS Salausprotokollat MPPE (Microsoft Point To Point Encryption)
Kun autentikointi MS-CHAP, MS-CHAP v. 2 tai EAP-TLS Ei konepohjaista sertifikaatti infrastruktuuria IPSec DES, 3DES Kun käytetään L2TP:tä Konepohjainen sertifikaatti infrastruktuuri olemassa

50 RAS Policy RAS Policyillä yhteyksiin liittyvät määrittelyt
Policy sisältää Ehtoja (Conditions) ja profiilin If <Conditions> are valid then use Profile Ehtoja ovat mm. kellonaika, IP-osoite... Profiili koostuu attribuuteista RAP Tallennettu RAS serverille, ei AD:hen

51 VPN Tunnelointi client - server ja server – server julkisen verkon yli
Kolme tekniikkaa L2TP: laajasti tuettu PPTP: Microsoft IPSec VPN ja NAT laitteet PPTP toimii NAT:in läpi (translaatiotaulut) L2TP + IPSec (AH) ei voi käyttää NAT:ien läpi

52 L2TP Yhteysalustana IP, Frame Relay, X.25, ATM
Tarjoaa tunnelointia muttei salausta (vrt. PPTP) Salaus IPSec:illä Multilink Point To Point Protocol Tunnelin autentikointi Headerin kompressointi

53 Päivityskokemuksia

54 Kokemuksia Group Policyn käytöstä ja Installerista
Suunnittele ennen käyttöönottoa Keep it simple Dokumentoi Policyjen laaja käyttö voi olla monimutkaista (paljon asioita, joita voi tehdä) Toimii luotettavasti ja nopeasti Ei estä päivitystä palvelinpuolella (jatkoprojekti) ”Installer vain toimii”

55 Kokemuksia Terminaalipalveluista
”Hyvä etähallintaväline palvelimille” Lisää suorituskykyä NT 4 terminal serverille ”Toimii nopeammin kuin NT 4 versio” NT 4.0 Terminal server Edition siirtymävaiheessa niiden sovellusten käyttämiseen, jotka eivät toimi Windows 2000:ssa NLB:llä palvelinfarmi-toiminnallisuus Ei disconnect- toimintoa

56 Kokemuksia muista palveluista
Dynaaminen DNS ”Toimii hyvin”, ”kokemukset myönteisiä” Hakemistojen kryptaus ”Testissä, viilaamista” Offline kansiot Lisää tuottavuutta Jos ei ole verkkoyhteyttä työtä voi jatkaa Roaming profile ”Käyttäjien mielestä ok”

57 Kokemuksia Domainpalvelinten päivityksestä
Päivitys / uudet laitteet PDC ja sen jälkeen BDC:t Uusi Windows 2000 domain Trustit NT4 ja Windows 2000 domainin välillä Yksinkertaistaa DNS:n konfigurointia (internal.firma.fi) Laitteet voi päivityksen yhteydessä siirtää sinne Voi käyttää RIS palvelua hyväksi Apuohjelmat

58 Muita kommentteja ”Windows 2000 on iso harppaus NT 4:sta – vaatii opiskelua” ”xxx scanneri tuki puuttuu …” ”xxx USB tuki puuttuu …” Laitteistovalmistajiin kannattaa pitää yhteyttä ”Tähän mennessä paras käyttis kannettavissa…”

59 Kokemuksia Web palveluista
Yli Web-palvelinta on jo päivitetty Windows 2000:lle! ”Network Load Balancing mahdollistaa juohevan päivityksen Windows 2000:een” Luotettavuus ja hallittavuus Web Dav intranet palvelimissa

60 Käyttöönotto yhteenveto
Scripting: Käytä tätä kun laitteet ovat erilaisia Disk Duplication: Käytä tätä samanlaisille laitteille ja samantyyppisille ohjelmistoasennuksille Remote Installation Service: Käytä tätä jos sinulla on mahdollisuus ottaa käyttöön Windows 2000 AD ja työasemat tukevat Remote Boot:a Windows Installer: Sovellusten käyttöönottamiseen, päivittämiseen, korjaamiseen ja poistamiseen Käytä uutta Windows 2000 Group Policy:a ohjelmistojen jakeluun Voit uudelleen pakata olemassa olevat sovellukset Systems Management Server 2.0: Laajan verkon ratkaisu käyttöjärjestelmien, sovellusten ja työkalujen hallintaan Terminal Services: Uusien ja vanhojen sovellusten tuki työasemien ja palvelimien päivityksen aikana.

61

Lataa ppt "Group Policyjen käyttäminen hallintaan Tietoturvan parantaminen työasemissa ja palvelinyhteyksissä Päivityskokemuksia Ari Auvinen"

Samankaltaiset esitykset

ENTERPRISE SEARCH Toteutustekniikka Mikko Uusitalo Tampereen ammattikorkeakoulu.

ENTERPRISE SEARCH Toteutustekniikka Mikko Uusitalo Tampereen ammattikorkeakoulu.
Tietokoneen käyttöjärjestelmä

Tietokoneen käyttöjärjestelmä
TOSIBOX LOCK Turvallisuusasetukset

TOSIBOX LOCK Turvallisuusasetukset
Windows 2000 ja Exchange Ari Auvinen Business Unit Manager L&H Finland Oy

Windows 2000 ja Exchange Ari Auvinen Business Unit Manager L&H Finland Oy
Suorita menulta voit ottaa yhteyden iSeries:iin tai katkaista yhteyden sinne ja poistua RI400:sta.

Suorita menulta voit ottaa yhteyden iSeries:iin tai katkaista yhteyden sinne ja poistua RI400:sta.
Active directory.

Active directory.
Tech days ● 2010 Finland. tech days ● 2010 Finland.

Tech days ● 2010 Finland. tech days ● 2010 Finland.
Turvallinen ja tehokas kertakirjautuminen webbipalveluihin Pekka Lindqvist

Turvallinen ja tehokas kertakirjautuminen webbipalveluihin Pekka Lindqvist
1 1.

1 1.
Turvallinen etäyhteys – ratkaisuna: VPN (Virtual Private Network)

Turvallinen etäyhteys – ratkaisuna: VPN (Virtual Private Network)
Jouni Juntunen Oulun seudun ammattikorkeakoulu Liiketalouden yksikkö Netbeans ja XAMPP Projektin luominen.

Jouni Juntunen Oulun seudun ammattikorkeakoulu Liiketalouden yksikkö Netbeans ja XAMPP Projektin luominen.
Lähiverkot erikoistyökurssi

Lähiverkot erikoistyökurssi
WLAN ja tietoturvallisuus

WLAN ja tietoturvallisuus
Windows 2000 Palvelin ja työasemateknologia Harri Henell Program Manager Microsoft oy.

Windows 2000 Palvelin ja työasemateknologia Harri Henell Program Manager Microsoft oy.
Web Services ©Reino Aarinen, 2007. Miksi?  Web Services tekniikalla voi muuttaa valmiit sovellukset Web sovelluksiksi.  Sovellus voi julkaista toiminnon.

Web Services ©Reino Aarinen, Miksi?  Web Services tekniikalla voi muuttaa valmiit sovellukset Web sovelluksiksi.  Sovellus voi julkaista toiminnon.
Carita, Kati ja Juuso OSAO Myllytulli ja Mytlpt09E 2010

Carita, Kati ja Juuso OSAO Myllytulli ja Mytlpt09E 2010
Salattu selainyhteys HTTPS-protokolla eli SSL/TLS-salaus

Salattu selainyhteys HTTPS-protokolla eli SSL/TLS-salaus
1 1.

1 1.
Sisältö: Johdanto kryptografiaan Salakirjoitus

Sisältö: Johdanto kryptografiaan Salakirjoitus
Windows 2000:n ja Office 2000:n käyttökokemuksia Ari Auvinen Program Manager Microsoft Oy

Windows 2000:n ja Office 2000:n käyttökokemuksia Ari Auvinen Program Manager Microsoft Oy

Samankaltaiset esitykset

Iklan oleh Google