A Microsoft biztonsági technológiáinak áttekintése

1. A Microsoft biztonsági technológiáinak áttekintése Budai Péter pbudai@microsoft.com Termékmenedzser Microsoft Magyarország

2. Szolgáltatás Perem (forgalom) Szerver (tartalom, levelezés) Kliens (végpont) Azonosítás- és hozzáféréskezelés

3. A biztonsági technológiák csoportosítása Biztonságos levelezés Biztonságos csoportmunka Biztonságos végpont Adatvédelem Azonosság- és hozzáférés-kezelés

4. 1: Biztonságos levelezés Biztonságos levelezés Biztonságos csoportmunka Biztonságos végpont Adatvédelem Azonosság- éshozzáférés-kezelés

5. Forefront Protection 2010 for Exchange ServerVirus Bulletin VBSpam Award (Mar 2010)

6. Forefront Protection 2010 for Exchange Server előadások • Szirtes István - A levelezési infrastruktúra hatékony védelmi megoldásai • Informatika Tisztán – Biztonság nap felvétele • http://www.microsoft.com/hun/technet/article/?id=c0561dca-a596-4b55-b4c7-de2738b0fc99 • Szentgyörgyi Tibor - Forefront Protection 2010 for Exchange Server • TechNet Szakmai Nap előadás felvétele • http://technetklub.hu/content/forefrontprotectionforexchange.aspx

7. 2: Biztonságos csoportmunka Biztonságos levelezés Biztonságos csoportmunka Biztonságos végpont Adatvédelem Azonosság- éshozzáférés-kezelés

8. 3: Biztonságos végpont Biztonságos levelezés Biztonságos csoportmunka Biztonságos végpont Adatvédelem Azonosság- éshozzáférés-kezelés

9. Védelem a webről érkező veszélyek ellen • URL szűrés • Malware szűrés • HTTP / HTTPS tartalom szűrése • NIS – Network Inspection Service a böngésző-alapú sebezhetőségek eliminálására Peremvédelem

10. Forefront Threat Management Gateway előadás és tankönyv Gál Tamás - A biztonságos web átjáró TechNet Szakmai Nap előadás felvétele http://technetklub.hu/content/Biztonsagoswebatjaro.aspx Gál Tamás – A kapun túl Microsoft Forefront Threat Management Gateway 2010 tankönyv http://technetklub.hu/content/tmgkonyv.aspx

11. Vírusvédelem a végpontokon Peremvédelem Végpontvédelem • Valós idejű vírus és malware védelem a számítógépeken (akár kliens, akár szerver) • Fejlett eszközök a komplex malwarek felfedezésére • Központosított felügyeleti és jelentéskészítési eszközök a végpontok biztonsági állapotáról • A Microsoft saját vírusvédelmi kutatócsapata gyorsan reagál

12. A végpontok védelmi vonalai Követő technikák (ismert veszélyek ellen) Megelőző technikák (ismeretlen veszélyek ellen) Application Layer Microsoft Malware Protection Center Dynamic Signature Service Behavior Monitoring Address Space Layer Randomization Windows Resource Protection Data Execution Protection File System Layer Dynamic Translation & Emulation Antimalware Internet Explorer 8 SmartScreen Filter AppLocker Vulnerability Shielding (NIS) Network Layer Windows Firewall Centralized Management FEP 2010 Windows 7

13. Biztonságos távelérés Peremvédelem Végpontvédelem DIRECT ACCESS Biztonságos távelérés

14. DirectAccess • Folyamatos, transzparens, biztonságos kapcsolat bármely tartományi kliens számára • Nem kell manuálisan kapcsolódni a vállalati hálózathoz, mindez teljesen automatikus és észrevétlen • Lehetővé válik a folyamatos, helytől független távmunka • Házirend-alapú hozzáférési szabályok definiálása. Nem a helytől, hanem a végpont egészségi állapotától függ, beengedjük-e • Vállalaton belüli és kívüli gépekre is lehetővé válik az azonnali és folyamatos távfelügyelet az IT számára (pl. patchelés) Intranet Internet Vállalati „belső” hálózat Windows 7 kliens DirectAccess szerver Interneten elérhető szolgáltatások Internal forgalom Internet forgalom

15. DirectAccess – egy teljes rendszer IPv4 eszközök IPv6 eszközök IPv4 támogatás(pl. 6to4, NAT-PT, NAT64) IT desktop felügyelet Natív IPv6 + IPSec Lehetővé teszi a DirectAccesskliensek felügyeletét DA: transzparens, biztonságos kapcsolat VPN nélkül Group Policy, NAP, WSUS IPv6 / IPv4 átalakítás Internet Közvetlen kapcsolat a belső IPv6 erőforrásokkal DirectAccess Server Windows 7kliens IPSec titkosítás és hitelesítés

16. Mit kell ehhez beállítani?

17. DirectAccess + Forefront UAG előadás • Gál Tamás - 6ártalanul: Forefront UAG + DirectAccess • TechNet Szakmai Nap előadás felvétele • http://technetklub.hu/content/Forefrontuagesdirectaccess.aspx

18. Network Access Protection • Ellenőrizhető a vállalati infrastruktúrához kapcsolódó számítógépek „egészségi” állapota (Policy Validation) • A rossz „egészségi” állapotban lévő gépek izolált hálózatba kerülnek (Network Restriction) • A nem megfelelő gépek automatikusan javíthatóak (Remediation) • Kikényszeríthető az „egészségi” állapot folyamatos betartása (Ongoing Compliance) Not Policy Compliant Restricted Network Remediation Servers e.g., Path DHCP, VPN Switch/Router 1 2 3 4 5 Microsoft NPS Policy Compliant Corporate Network Health Policies, Patchelés, Antivírus

19. A NAP működési elve Belső hálózat „Külső” hálózat Health requirement Servers Remediation Servers Itt van, alkalmazd. Folyamatos kommunikáció az NPS kiszolgálóval Van valami frissítés? A munkaállomás megfelel a házirendnek az egészségi állapota alapján? A munkaállomás teljes hozzáférés kapott. Van hozzáférésem? Mellékeltem a jelenlegi egészségi állapotom. Hozzáférést kérek.Itt az új egészségi állapotom. A házirend szerint a munkaállomás megfelel. Hozzáférés megadva A házirend szerint a munkaállomás nem felel meg. Karanténba kell helyezni és frissíteni kell. Korlátozott hozzáférést kaptál amíg nem frissíted magad Client Network Access Device (DHCP, VPN) Network Policy Server

20. Network Access Protection előadás http://www.microsoft.com/hun/technet/article/?id=dfbb6ce1-8492-4334-946f-dd65cafb939f

21. Szenzitív adatok védelme Peremvédelem Végpontvédelem DIRECT ACCESS Biztonságos távelérés Szenzitív adatok védelmelemeztitkosítás

22. Elveszett vagy ellopott adathordozók • Microsoft BitLocker-To-Go • Adatlopás elleni védelem hordozható eszközökre (USB kulcs, külső USB merevlemez) • Ezek az eszközök rendkívül gyakran felejtődnek ott valahol – megfelelő védelemre van szükség • Korábbi operációs rendszerekkel is kombatibilis (de csak olvasható módon) • Microsoft BitLocker • BitLockermerevlemeztitkosítás –bármelyik partícióra • A Trusted Platform Module (TPM) chip védi az adatokat • A Windows boot fájlok integritásának ellenőrzése • Multifaktoros hitelesítés • AES 128 vagy 256 bites kulcs titkosítás • A titkosító kulcs Active Directory környezetben visszaállítható

23. BitLocker demó Milánovics Krisztián krisz@itnetworks.hu MCSA, MCSE, MCTS, MCITP EA, MCITP SA

24. A felszínalatt • Full Volume Encryption Key Plaintext XOR Sector Key 2x diffuser AES-CBC Ciphertext

25. A BitLockertitkosítás Adatok Key Protector FVEK VMK

26. 4: Adatvédelem Biztonságos levelezés Biztonságos csoportmunka Biztonságos végpont Adatvédelem Azonosság- éshozzáférés-kezelés

27. 1 2 4 A védelem és a szabályok követik a dokumentumot vagy e-mailt A védelem és a szabályok követik a dokumentumot vagy e-mailt A portálokon szabadon tárolhatunk bizalmas dokumentumokat 5 6 3 A védelem és a szabályok követik a dokumentumot vagy e-mailt Az archívumban is fennál ugyanaz a védelem és marad a szabályozás Hozzáféréskor kerül ellenőrzésre a jogosultság Az információ védelme a keletkezéstől a felhasználásig Policy Policy Policy Policy Policy Policy

28. RMS-sel védett dokumentumok • A dokumentum teljes életciklusán át szabályozhatóak annak jogosultságai • Felhasználók vagy csoportok alapján szabályozható, hogy ki és mit tehet egy dokumentummal • Minden csatornán garantáltan biztonságos kommunikáción mehet csak keresztül a dokumentum • A védett dokumentum használata a felhasználók számára a lehető leginkább transzparens A fájl létrehozásakor jön létre a titkosításhoz az Active Directory Rights Management Services (AD RMS) szerver publikus kulcsának segítségével Az AD RMS szerverprivát kulcsával aláírva Publishing License Content Key Felhasználási jogok Bob@fabrikam.com: Read, Print Lawyers@fabrikam.com: Read AD RMS Server A fájl tartalma (szöveg, képek, stb...) AD RMS Client A Content Key-jel titkosított tartalom Felhasználó

29. RMS újdonságok a Windows Server 2008 R2-ben • AD RMS PowerShell integráció • AD RMS Bulk Protection Tool – meglévő állományok automatizált bevonása az RMS hatásköre alá • AD RMS + FCIintegráció • AD RMS + ADFS integráció

30. Egy példa: meglévő adatok bevonása a védelembeAD RMS Bulk Protection Tool + WS2008R2 FCI 2 3 4 5 1 c AD RMS védelem FCI besorolás A belső alkalmazottak tudják használni az “ajánlat.docx”-et c A felhasználó létrehozza a “ajánlat.docx”dokumentumot egy Windows server 2008 R2 fájlszerveren Egy automatizált felügyeleti folyamat az AD RMS Bulk Protection Tool segítségével RMS-sel levédi a dokumentumot, hogy csak a cég saját alkalmazottai érhessék el annak tartalmát A File Classification Infrastructure (FCI) szenzitív kategóriába sorolja be a dokumentumot (kulcsszó/RegEx alapján, vagy elérési útvonal alapján) - pl.: „Bizalmas információ” Ha a dokumentum bármilyen úton kiszivárog, illetéktelen felhasználó nem tudja azt megnyitni A teljes folyamatot akár utólag, az összes meglévő dokumentumra is érvényre juttathatjuk!

31. Dokumentumvédelem a gyakorlatban (FCI+RMS) demó Milánovics Krisztián krisz@itnetworks.hu MCSA, MCSE, MCTS, MCITP EA, MCITP SA

32. 5: Azonosság- éshozzáférés-kezelés Biztonságos levelezés Biztonságos csoportmunka Biztonságos végpont Adatvédelem Azonosság- éshozzáférés-kezelés Active Directory®Federation Services

33. Ügyfelek Távoli és mobil alkalmazottak Beszállítók és harmadik féltől származó adatbázisok Ki férhessenek még hozzá a hálózatunkhoz? Ügyfélelégedettség Árverseny Személyre szabás Partnerek Együtműködés, csoportmunka Kiszervezés Folyamat-automatizálás Szállítói lánc Az alkalmazottak a vállalatihálózaton Összeolvadások és felvásárlások Mobil munkatársak Ideiglenes munkatársak

34. Web Service Web Service Web Service Web Service Web Service Web Service Az egyes szolgáltatások összekötése Vállalat Internet Partner Alkalmazások összekötése Webszerver • Táv- és csoportmunka • Office • Live Meeting • Communicator Vastagkliens Mobil eszközök Böngészők

35. Active Directory Federation Services • Az azonosságok megosztása partnerhálózatokkal és a felhő-szolgáltatásokkal • Akár RMS-t is meg lehet osztani vállalatok között, vagy a felhő felé • A Microsoft SharePoint Server is kihasználja az ADFS architektúrát Trey Research Account Forest Woodgrove BankResource Forest Federation Trust Business Partners Token and claims Authentication Exchange 2010 Application Access Post claims AD FS AD FS AD RMS AD DS AD DS Redirect to Security Token Service (STS) SharePoint Server Farm User Account/Credentials Security Token

36. Felhőszolgáltatások Single Sign-On megvalósítása ADFS-sel • Egyszeri bejelentkezés egy felhasználóval egyszerre több hálózatba, alkalmazásba, szolgáltatásba, akár a felhőbe is • A központosított jogosultságkezelés lehetősége, függetlenítve az egyes alkalmazásoktól • Nyílt, iparági szabványokra építve Security Token (pl. Kerberos Ticket) Vállalati felhasználó Webalkalmazás AD FS Exchange SharePoint Claim-alapú alkalmazás AD DS Partner • AD FS elkészíti a SAML token-t • Bejelentkezik a vállalat privát kulcsával • Visszaküldi ezt a felhasználónak • Ezzel együtt megkapja a hozzáférést is

37. Exchange Online és egy lokálisAD RMS integrációja Alan Brewer Joe Andresha Exchange Online Import AD RMS Trusted Publishing Domain (TPD) Active Directory AD RMS • Lokális szerverek