240 likes | 414 Views
Petri Ala-Annala Teknologia-asiantuntija Microsoft Oy. Windows Server 2008 tietoturva. {. }. Mika Seitsonen Senior- konsultti FC Sovelto Oyj. {. }. Windows Server 2008 tietoturva. Ytimen suojausparannukset + palvelut Modulaarisuus + Server core
E N D
Petri Ala-Annala Teknologia-asiantuntija Microsoft Oy Windows Server 2008 tietoturva { } Mika Seitsonen Senior-konsultti FC Sovelto Oyj { }
Windows Server 2008 tietoturva • Ytimen suojausparannukset • + palvelut • Modulaarisuus • + Server core • PKI (Public Key Infrastructure) -muutokset • Kiintolevyn salaus (BitLocker) • Verkkoon pääsyn suojaus • Network Access Protection (NAP) • Verkkoliikenteen suojaus • Integroitu ja keskitetysti hallittava palomuuri • Ja lisänä IPSec • ActiveDirectoryn lisäpalvelut
Luennon aiheet • Windows Server 2008 PKI • Network Access Protection (NAP) • Active Directoryn (AD) lisäpalvelut • AD RMS (Rights Management Services) • AD FS (Federation Services)
Windows Server 2008 PKI Uusi nimi: Active Directory Certificate Services (AD CS) Uusitut rajapinnat: • Cryptography Next Generation (CNG) • Crypto API 2 (CAPI2) • tuki jo Windows Vistassa • Varmenteen tarkistuspalvelu verkossa • Online Certificate Status Protocol (OCSP) • Selainpohjainen varmennehaku • KB 922706 • Verkkolaitteiden varmennehaku • Networkdeviceenrollment (NDES) • Varmentajien ja luottamuksen hallinta Group Policy:llä • Keskitetty ylläpito Enterprise PKI • Klusteroitavuus
Online Certificate Status Protocol DC HTTP Varmentajat (CA) Varmenteen tarkistuspalvelu verkossa (Online Responder) Asiakas (CAPI2) Hallintatyökalut
Toimikorttiarkkitehtuuri • Puutteita toimikorttien käytössä ennen Windows Server 2008 ja Vistaa: • Vain yksi toimikortin varmenne käytettävissä kirjautumiseen ja vain yksi säilöistä voidaan merkitä oletukseksi • PIN-koodin vaihto ja kortin lukituksen avaaminen eivät ole suoraan käyttöjärjestelmän toimintoja • Windows Server 2008:n (ja Vistan) toimikorttiarkkitehtuuri korjaa nämä puutteet • Uudessa arkkitehtuurissa Microsoftilta Base Smart Card CSP ja toimikorttivalmistajalta mini-CSP • Vastaava malli käytössä kirjoitinajureissa
Demoympäristö • 2-tasoinen PKI • Varmenteita myöntävä varmentaja DC-palvelimella • Web "proxy" ja OCSP-palvelutmember serverillä • Siivottu AD-nimistä • Käytettävissä organisaation ulkopuolisille • 1-tasoinen PKI • Asennettu "Next-next-menetelmällä" • Kaikki toiminnot samalla DC-palvelimella
DEMO Windows Server 2008 PKI
NAP:in* tavoitteet • Käytäntöjen noudattaminen • Verkkoon kytkeytyvien laitteiden terveystilan tarkistus • Verkon käyttörajoitukset • "Tuulikaappi/karanteeni"; rajoitettu verkkoalue • Korjaus • Mahdollisuus korjata terveystila (automaattisesti) • Dynaamisuus • Käytäntö- ja/tai terveystilamuutokset heijastuvat verkkoon pääsyssä dynaamisesti * Network Access Protection
Terveystilapalvelimet NAP:intoiminta Sisäverkko Rajoitettu verkko Korjaus-palvelimet Ole hyvä. Saanko päivitykset? Jatkuvat käytäntöpäivitykset NPS-palvelimelle Pitäisikö asiakas päästää sisään terveystilansa perusteella? Tässä terveystilani. Pääsenkö “sisään”? Uusi yritys. Tässä nykyinen terveystilani. Asiakas on käytännön mukainen. Päästä “sisään”. Asiakas ei ole käytännön mukainen. Laita karanteeniin ja pyydä päivittämään. Rajoitettupääsy,kunneskorjattu. Network Policy Server (NPS) Asiakas(Windows Vista tai XP SP 3) Network Access Device (802.1x (WLAN AP tai ,kytkin),DHCP,TS GW. VPN) Asiakassaatäydenpääsynsisäverkkoon.
NAP:in pakotusvaihtoehdot • DHCP • Suojaustasoltaan heikoin • DHCP-palvelimen oltava myös Windows Server 2008 • 802.1x • Wired (kytkin) • Wireless (langattoman verkon tukiasema) • Vaatii laitetukea • IPSec • Suojaustasoltaan paras; hyödyntää varmenteita • Vaatii lisäksi Health Registration Authorityn (HRA) asennuksen • Ei aseta vaatimuksia laitteille • Terminal Service (TS) Gateway • Terveystilan integrointi TS Anywhere -tekniikkaan • VPN-asiakkaat • Aiemmin RAS-karanteeni; vaatiskriptin/skriptejä
NAP:in toimintoja • Asiakkaat • Windows Vista ja XP Service Pack 3 • Tuki Mac- ja Linux-koneille kumppaneilta • Tarkistusvaihtoehdot • Windows Security Center (suoraan mukana) • SCCM (System Center ConfigurationManager) • ForefrontClientSecurity (FCS) • Kolmansien osapuolien tuotteiden integrointi • Raportointi • Tulossa työkalu
Demoympäristö • Työasema: Vista • napclcfg.cfg • DHCP Enforcement • NAP-palvelu käyntiin • Palvelin: Windows Server 2008 NPS • NetworkPolicy and Access -roolin yksi roolipalvelu; muut asennettavissa olevat roolipalvelut:
DEMO NAP
AD RMS (Rights Management Services) • Palvelun avulla voidaan organisaation informaatio suojata halutulla tavalla • "Viimeinen linja" • Windows Server 2008 uutta • Parannettu käyttöönotto ja hallinta (rooli, MMC) • Skriptaus API (ei tosin Powershell) • AD FS -integraatio • Uudet AD RMS -hallintaroolit SQL Server Active Directory RMS-palvelin Informaationtekijä Vastaanottaja
AD IIS Yritys A Yritys B Identiteetinfederointi • Tunnistuksen ja valtuutuksen hajauttaminen tietoturvarajojen yli: • Vähentääkäyttäjientarvitsemiensalasanojenlukumäärää • Jokaparantaatietoturvaa • Javähentääsalasanojenresetointipyyntöjä • Tekeemahdolliseksisaumattomanpääsynrajojenyli (toimialue, organisaatio, alusta) • Pääsyriippuukäyttäjän “kotijärjestelmän” attribuuteista • Välitönpääsynmyöntäminen tai rajoittaminen (elivaltuutus) kumppaniensovelluksiin
AD FS (Federation Service) • Web Service -tekniikoita hyödyntävä tekniikka kahden organisaation välisen luottamuksen määritykseen • Esiteltiin jo Windows Server 2003 R2:ssa • Uusia ominaisuuksia • Yksi Windows Server 2008 -rooleista • Integraatio Microsoft Office SharePoint Server (MOSS) 2007 ja Active Directory Rights Management Services (AD RMS) kanssa • Parannettu export-import -toiminnallisuus luottamuksen luonnissa
5 11 6 7 1 CLC RAC CLC RAC 4 3 2 9 8 10 12 PL UL AD RMS ja AD FS integraatio laki.firma yritys.local Kirjoittaja on jo RMS-käyttäjä Kirjoittajalähettääsuojatunsähköpostiviestin Vastaanottajaottaayhteyttää RMS-palveluun WebSSO-agenttipoimiipyynnön RMS-asiakasohjataanresurssimetsän FS-palvelimellekotitiedonmäärittämiseksi RMS-asiakasohjataankäyttäjämetsän FS-palvelimelletunnistustiedonmäärittämiseksi RMS-asiakasohjataankäyttäjämetsän FS-palvelimelletunnistustettavaksi RMS-asiakaspyytää RMS-palvelimeltakäyttöluvan WebSSO agent poimiipyynnön, tarkistaatunnistamisenjalähettääpyynnön RMS-palvelimelle RMS-palvelinpalauttaatarvittavatvarmenteetvastaanottajalle RMS-palvelinpalauttaakäyttölisenssinvastaanottajalle Vastaanottajaavaasuojatunviestin RAC - Rights Management AccountCertificate CLC - ClientLicensorCertificate UL - Use License AD AD FS-A FS-R WebSSO RMS
Demoympäristö • Käyttäjä: Laura Lakinainen (laura@laki.firma) • Client (Laki-101) • Windows Vista + Office 2007 (SP1) • Käyttäjä: Yrjö Yrittäjä (yrjo@yritys.local) • Client (Yri-100) • Windows Server 2003 R2 SP2 + Office 2007 (SP1) + RMS Client SP2 (kb 917275)
DEMO AD RMS ja AD FS
Yhteenveto • Windows Server 2008 tarjoaa monia (uusia) toimintoja tietoturvan parantamiseen • Kaikkia ei tarvitse ottaa yhtaikaa käyttöön • eikä myöskään tässä esityksessä käsitelty) • Jo oletuksena erittäin hyvä suojaustaso • Sillä tärkeimmät parannukset jo "ytimessä"