Group Policyt – tehokasta muutosten ja konfiguraatioiden hallintaa

3. Group Policyjen käyttäminen hallintaanTietoturvan parantaminen työasemissa ja palvelinyhteyksissä PäivityskokemuksiaAri Auvinenaauvinen@microsoft.comMicrosoft Oy

4. Group Policyt – tehokasta muutosten ja konfiguraatioiden hallintaa

5. Group Policyt • Muutosten ja konfiguraatioiden hallinnan päätyökalu Windows 2000:nnessa • Käytetään • Tietokoneen ja käyttäjän asetuksien määrittämiseen • Sovellusten hallintaan • Turvallisuus asetuksiin • Scripteihin • Policyillä muokataan rekisterin HKEY_LOCAL_MACHINE ja HKEY_CURRENT_USER alipuiden asetuksia

6. Group Policy Objekti • GPO on tallennuspaikka GroupPolicy asetuksille • GPO on talletettu Group PolicyContaineriin jaGroup PolicyTemplateen

7. Group Policy kontaineri • GPC on Active Directory objekti, joka sisältää • Alikontainereita jotka sisältävät käyttäjiä ja tietokonetta koskevia Group Policy asetuksia • Group Policy attribuutit • Enable / Disable

8. Group Policy kontaineri

9. Group Policyjen suoritus • Suoritetaan • Käynnistyksen ja kirjautumisen yhteydessä (refresh 90 min +/- 30 min välein) • Suoritusjärjestys: Local Computer - Site – Domain – OU (LSDOU) • Jos Parent OU:ssa GP asetukset joita ei Child OU:ssa – Child perii Parent OU:n asetukset • Jos Parent OU:ssa ja Child OU:ssa yhteensopivat GP asetukset – molemmat jäävät voimaan • Jos Parent OU:ssa ja Child OU:ssa epäyhteensopivat asetukset – Child OU ei peri asetuksia Parent OU:sta vaan pitää omansa

10. Perimisjärjestyksen muokkaus • No Override • Alemman tason GP:ssäei voida estää asetustenperiytymistä • Block Inheritance • Estetään GP asetustenperityminen ylemmältätasolta • Järjestys • Ylempänä korkeampi prioriteetti

11. Group Policy objektien käsittelyjärjestys • Kun kone käynistetään: • Tietokoneen GP-asetukset • Startup scriptit • Tietokonetiliin vaikuttavat GP:t • Kun käyttäjä kirjautuu koneelle: • Käyttäjän GP-asetukset • Logon scriptit

12. GPO:n toteuttaminen • Site: • Active Directory Sites And Services • Vaaditaan Enterprise Admins ryhmän jäsenyys • Domain ja OU • Active Directory Users And Computers • Default Domain Policy • Local Policy • Snap-In ladattava MMC:hen

13. GPO:n toteuttaminen • Käyttöoikeudet • GP asetukset vai-kuttavat vain käyt-täjiin joilla Apply Group Policy ja Readkäyttöoikeus kyseiseenGP objektiin • Filtterointi • Ryhmien kautta käyttöoikeuksienlisäys/poistaminen

14. GPO:n toteuttaminen • GPO voidaan disabloida • Mahdollisuus ottaa uudelleen käyttöön • GPO voidaan deletoida • Policyjen vaikutus lakkaa • Vrt. NT 4 system Policies – Policyn deletoiminen ei poistanut käytäntöjä • GPO voidaan linkittää • Jo olemassa oleva GP voidaan liittää Siteen/Domainiin/OU:hun

15. Group Policy ja hitaat linkit • Group Policyt voidaan määrittää prosessoitumaan vain jos riittävä kaista käytössä (Slow Link Detection) • Asetus Allow Prosess Over Slow Link • Oletusarvot • Security Settings On • Administrative Templates On • Software Installation … Off • Logon/Logoff and … Off • Folder Redirection… Off • IE manitenance Off

16. Group Policyjen seuranta ja ongelmanratkaisu • Konetta ja käyttäjää koskeva yksityiskohtainen informaatio • HKLM\Software\Microsoft\WIndows\NT\Current-Version\diagnosticsRunDiagnosticsLoggingGroupPolicy, REG_DWORD 1 • GP:n suoritusloki • HKLM\Software\Microsoft\WIndows\NT\CurrentVersion\WinlogonUserenvDebugLevel REG_DWORD 0x3001 • Gpresult (Resource Kit) • Gpotool (Resource Kit) • Replmon

17. Administrative Templates • Tekstitiedostoja joiden avulla voidaan Group Policyillä määrittää sellaisten sovellusten asetuksia joilla ei ole mukana omaa Templatea • Non-Windows 2000 sovellukset • Rajoitettu joukko Group Policy asetuksia = ”Preference” • Group Policy preference kirjoitetaan muihin rekisterikohtiin kuin Software\policies ja Software\Microsoft\Windows\-CurrentVersion\Policies • Asetukset eivät poistu kun policy poistetaan tai linkki poistetaan (vrt. GPO:t)

18. Administrative Templates - toteutus • Käynnistä ja sulje sovellus – varmistetaan että sovelluksen rekisteriasetukset ovat ajan tasalla • Talletetaan Regedt32:lla sovelluksen alipuu levylle • Konfiguroidaan sovellus • Talletetaan Regedt32:lla sovelluksen alipuu levylle • Verrataan windiff-ohjelmalla tallennettuja rekisteriasetuksia • Kirjataan ylös muutokset • Konfiguroidaan template

19. Administrative Templates - malli CATEGORY "media player settings" POLICY "Start with this view"" KEYNAME ""Software\Microsoft\Mediaplayer\Player\Settings" EXPLAIN "Used to set the initial Media Player view" PART "Select View" DROPDOWNLIST NOSORT VALUENAME "View" ITEMLIST NAME "Compact" VALUE 0 NAME "Standard" VALUE 1 NAME "Minimal" VALUE 2 END ITEMLIST END PART END POLICY END CATEGORY

20. Mikä tekee Group Policyistä haasteellisen hallittavan.... • LSDOU –assosiointi • Poikkeukset No Override ja Block Inheritance • Samassa Kontainerissa olevat useat policyt ja niiden prioriteetti • Filtterointi • Group Policy Kontainerissa olevien alikontainereiden ja asetusten suuri määrä

21. Group Policyt Site Domain ja OU tasoilla

22. Tietoturvan parantaminen työasemissa ja palvelinyhteyksissä

23. Agenda • Tietoturvan parantaminen työasemissa… • Kerberos • Smart Card • EFS • Security Configuration Tool • …ja palvelinyhteyksissä • IPSec • VPN • RRAS

24. Käyttäjien tunnistaminen • Windows NT 4 • LM, NTLM ja NTLM v.2 • Windows 2000 • Edellisten lisäksi Kerberos v. 5 • Sertifikaatteihin perustuva käyttäjätunnistus

25. Sertifikaatit CA CA CA IIS SmartCardLogon SSL/TSL Secure Email Makrojen sertifiointi

26. Kerberos v. 5 • Standardi autentikointiprotokolla (RFC 1510) • Molemmat osapuolet (client ja server) tunnistavat toisensa • Sekä clientin että serverin tuettava • Windows 2000 Client lataa sekä NTLM:n että Kerberoksen (Winlogon) • NTLM:ää käytetään jos Kerberos-autentikointia ei tueta

27. Paikallistetaan KDC (kysely nimipalveluun) Kerberos kirjautuminen Active Directory • LSA (client) Lähettää pw hashin KDC:lle Key DistributionCenter (KDC) • KDC vastaa Session Keyllä ja TGT:llä • LSA (client) lähettää TGT:n ja Authenticatorin Windows 2000 DC 5. KDC vastaa Session Key:llä ja Session Ticketillä

28. Verifioidaan pyyntö ja vastataan (mutual authentication) • Lähetetään SessionTicket resurssille Kerberos kirjautuminen- resurssit Sovelluspalvelin Active Directory Key DistributionCenter (KDC) • Hankitaan Session Ticket KDC:ltä Windows 2000 DC

29. Kerberos hallinta • Hallinta ei edellytä erityistoimenpiteitä • Asetukset Group Policyillä • Palvelukohtaiset asetukset kuten IPSec, IIS ja RADIUS

30. Smart Cards • Vaihtoehto salasanan käyttämiselle • Mukana kulkeva käyttäjätunnus/salasana • Eristää turvallisuuden kannalta kriittiset Private Key:tä tarvitsevat operaatiot muusta järjestelmästä • Kortilla olevan informaatio (Private Key ja muut henkilökohtaiset tiedot) vaikeasti väärennettävissä

31. Smart Cards • Interaktiivinen logon • Asetetaan kortti (vrt Ctrl + Alt + Del) • Annetaan PIN-koodi • Autentikointiin käytetään kortilla olevaa Public Key sertifikaattia • PKINIT laajennus mahdollistaa Kerberoksen käytön

32. Smart Cards • Policyillä konrolloidaan Smart Cardin käyttöä • Käyttäjäkohtainen Account Policy • Smart Card Required for Interactive logon • Tietokonekohtainen Local Computer Policy • Smart Card Removal Policy

33. EFS (Encrypting File System) • Jos levylle/koneelle päästää fyysisesti voidaan NTFS-käyttöoikeudet ohittaa • Varastetaan Laptop • Käynistetään toisella käyttöjärjestelmällä (cd, levyke) • esim. MS Dos ja ntfsdos.sys ajuri • Irroitetaan kiintolevy • Liitetään levy toiseen koneeseen ja otetaan tiedostojen käyttöoikeus (Take Ownership – Change Permissions)

34. EFS • Encrypting File System salaa tiedostoja ja kansioita • Perustuu julkisen avaimen salaukseen • Edellyttää PK Infrastruktuuria • Jokaiselle tiedostolle satunnaisesti generoitu avain • Integroitu NTFS tiedostojärjestelmään • EFS käyttää sivuttamatonta muistia • Avaimet eivät koskaan ole levyllä

35. EFS • Salaus ei edellytä hallinnollisia toimenpiteitä • EFS luo Avainparit (julkinen avain CA:lta tai se luodaan itse) • Salaus on tiedosto tai hakemistokohtainen • Ei erillistä purkamista • Group Policyillä voidaan määritellä datan palauttaminen • Konfiguroitavissa Domain/OU tasoilla

36. Security Configuration Tool • Joukko Windows 2000 MMC Snap-In:ejä • Turvallisuuden konfigurointiin ja analysointiin • Hallinta ”yhdestä pisteestä” • Toimintojen automatisointi ja ryhmittely • Laajennettava • Sovellusten toimittajat voivat lisätä omat konfigurointi ja analysointityökalut • Konfigurointitiedostot ovat tekstipohjaisia tiedostoja • Tallennettuja konfiguraatioita voidaan viedä toisiin koneisiin

37. Security Configuration Tool

38. Security Configuration Tool • Analysoitavat ja konfiguroitavat alueet • Account Policies • Local Policies • Restricted Groups • System Services • File or Folder Sharing • System Registry • System Store • Directory Security

39. Security Configuration Tool • Valmistavat toimenpiteet • Perustetaan tietokanta (Security Database, *.sec) • Luodaan Security Template ja konfiguroidaan asetukset • Tuodaan Security Template tietokantaan • Toimenpiteet järjestelmän analysoinnissa • Analysiodaan systeemi Analyze System Now operaatiolla • Toimenpiteet järjestelmän konfiguroinnissa • Konfiguroidaan asetukset • Suoritetaan Configure System operaatio

40. Security Configuration Tool

41. IPSec • Tarjoaa turvallisen kommunikaation IP verkoissa • Autentikoi koneet ja salaa datan • Standardi IP-formaatti (yhteensopiva olemassaolevien verkkolaitteiden kanssa) • Toteutetaan • Windows 2000 etäkäyttäjän ja Windows 2000 verkon välillä • Kahden Windows 2000 verkon välillä • Kahden Windows 2000 koneen välillä LANissa

42. Server Client Server Client Server Client IPSec turvallisuustasot Client (Respond Only) Salaamaton liikenne, vaihtaa vaadittaessa salattuun liikenteeseen Server (Request Security) Hyväksyy salaamattoman liikenteen mutta yrittää saada vastaanottajan vaihtamaan salattuun likenteeseen Secure Server (Require Security) Hylkää salaamattoman liikenteen

43. IPSec • Autentikointi • Kerberos v. 5 • Kerberos 5 clientit(W2000, Unix) • CA sertifikaatit • Clienteille jotkakäyttävät X.509 sertifikaatteja • Tekstipohjaiset avaimet (Pre-shared Public Keys) • matala turvallisuus

44. IPSec • Salaus • DES (40, 56,128 bit) • 3DES • Eheys, anti-replay,autentikointi • SHA (160 bit) • MD5 (128 bit)

45. IPSec protokollat • Authentication Header (AH)Encapsulated Payload Header (ESP)

46. IPSec tunnelointi • L2TP ja IPSec • Alkuperäinen paketti kapseloidaan PPP kehykseen ja sitten UDP kehykseen (portti 1701) • New IP header sis. tunnelin päiden osoitteet

47. IPSec tunnelointi • IPSec tunnel mode • Esp tunnel mode • AH tunnel mode

48. RRAS • Remote And Routing Access • Dial Up ja VPN • Autentikointiprotokollat • MS-CHAP 95/98, NT 4 tai W2k • MS-CHAP v. 2 W2k • EAP-TLS SmartCard autentikointi • CHAP Useat eri järjestelmät • SPAP Shiva Lan Rover clientit • PAP jos muita protokollia ei tueta

49. RRAS • Salausprotokollat • MPPE (Microsoft Point To Point Encryption) • Kun autentikointi MS-CHAP, MS-CHAP v. 2 tai EAP-TLS • Ei konepohjaista sertifikaatti infrastruktuuria • IPSec • DES, 3DES • Kun käytetään L2TP:tä • Konepohjainen sertifikaatti infrastruktuuri olemassa

50. RAS Policy • RAS Policyillä yhteyksiin liittyvät määrittelyt • Policy sisältää • Ehtoja (Conditions) ja profiilin • If <Conditions> are valid then use Profile • Ehtoja ovat mm. kellonaika, IP-osoite... • Profiili koostuu attribuuteista • RAP Tallennettu RAS serverille, ei AD:hen