Pobieranie prezentacji. Proszę czekać

Pobieranie prezentacji. Proszę czekać

Windows 8 … czas na zmiany Tomasz Onyszko Architekt

Podobne prezentacje


Prezentacja na temat: "Windows 8 … czas na zmiany Tomasz Onyszko Architekt"— Zapis prezentacji:

1 Windows 8 … czas na zmiany Tomasz Onyszko Architekt

2 Windows 8 … czas na zmiany Tomasz Onyszko Architekt Enterprise Security

3

4 Agenda ZmianyWirtualizacja Dynamic Access Control

5

6 Nowości i nowinki

7

8 Zmiany w platformie Active Directory Wsparcie dla wirtualizacji Szybkie i łatwe wdrożenieRecycle Bin UI Fine grained password policy UI Powershel Cmdlets – Active Directory Replication & Topology Powershell History Kerberos Group Managed Services Accounts Active Directory Based Activation Dynamic Access Control

9 Recycle Bin – Wprowadzony w Windows 2008 R2 – Brak UI No i jest Brak odtwarzania subtree Zmiany w UI: Recycle Bi

10 FGPP – Tak jak i w przypadku Recycle Bin Zmiany w UI: FGPP

11 Managed Services Accounts – Wprowadzone w Windows 2008 R2 – Możliwość użycia w ramach jednej maszyny Nieobsługiwane usługi – Klastry – Usługi IIS pracujące w NLB Group Managed Service Account (gMSA)

12 gMSA – Nowy typ security principal w Windows 8 – Jedno gMSA mogą używać usługi w ramach różnych maszyn Wymagany Windows 8 DC – Hasła generowane i zarządzane są przez Group Key Distribution Service (GKDS) – Uwierzytelnienie względem dowolnego DC Group Managed Service Account (gMSA)

13 Active Directory Administrative Center – Nowa konsola zarządzająca AD – Pod UI wszystkie polecenia wykonywane są poprzez Powershell Powershell History

14 KMS – Prosta usługa – Brak uwierzytelnienia i autoryzacji: Connect == Aktywacja AD BA – Aktywacja w oparciu o usługę katalogu Tylko dostęp do LDAP Brak dodatkowych usług: Dane do aktywacji w partycji konfiguracji – Tylko Windows 8 KMS i AD BA mogą pracować równocześnie Active Directory Based Activation

15 Kerberos Constrained Delegation (KCD) – Pozwala na delegację uwierzytelnienia do wybranych usług – Od Windows 2003 działa w ramach jednego lasu Windows 8 KCD – Działa pomiędzy usługami w różnych lasach Odwrócenie sytuacji – to back-end podejmuje decyzję które konta mogą wykonywać delegację – Front-end i Back-end wymagają przynajmniej 1 DC Windows 8 Kerberos

16 – Problemy z error spoofing (klient obniża wymagania lub przełącza się na inny protokół) – Ochrona danych wysyłanych w ramach pre- authentication Flexible Authentication Secure Tunneling – Dodatkowe uwierzytelnienie kanału Klient DC – Kanał uwierzytelniony poprzez Logon Session Key konta komputera Uwierzytelnienie konta komputera nadal jest niezabezpieczone FAST Kerberos FAST

17 RID exthausion – RID: identyfikator przydzielana tworzonemu obiektowi w AD – Ogólna pula RID 2^30 Każdy z DC otrzymuje pulę RID odnawianą wg potrzeb. Problem: – Błąd może powodować wyczerpanie puli dostępnych RID Windows 8 – Eliminacja błędów związanych z RID Exthausion – Zwiększona ogólna pula RID – 2^31 (włączana opcjonalnie - sidCompatibilityVersion:1) – Mechanizmy logowania i monitorowania zużycia RID (event log) Active Directory

18 LDAP – Rozszerzenie dostępnych kontrolek LDAP – Nowe mechanizmy logowania LDAP Off-line domain join spoza sieci – Możliwość przekazania danych dostępu Direct Access – Dodanie do domeny poprzez Internet Opóźnione przebudowanie indeksów AD Nowe atrybuty rootDSE Dodatkowo

19 Wirtualizacja to Rewelacja …

20 Active Directory jest w pełni wspierane na VM Wspierane ale: – Nie wspieramy snapshot i odtwarzania VM z DC – Kopiowania VHD z DC – Export / Import maszyn z DC Problem: Administratorzy infrastruktury VM i domen nie są świadomi ograniczeń... Chyba że mówimy o DC

21 W czym tkwi problem (raz jeszcze) Sekwencja zdarzeń DC1 ID: A USN: 100 Tworzymy snapshot Czas: T1 Czas: T2 ID: A USN: dodanych kont Czas: T3 ID: A USN: 100 T1 Odtworzony snapshot! Czas: T4 ID: A USN: dodatkownych kont DC2 pobiera zmiany: USNs >100 DC2 pobiera zmiany: USNs >200 DC2 = 200 = 250 RID Pool: RID Pool: RID Pool: RID Pool:

22 Windows 8 DC rapid deployment – Wdrożenie nowych kontrolerów domeny poprzez operację export\import na poziomie hypervisora Windows 8 rozpoznaje następujące operacje – Odtworzenie snapshot – Skopiowanie VM (Uwaga: Nie podmianę VHD !) Jak – Zmiana VM generation ID podczas operacji hypervisora – Nowy DC tworzony jako klon podstawowego na podstawie danych konfiguracji My name is Clone, DC Clone

23 Windows 8 Sekwencja zdarzeń DC1 ID: A | savedVMGID: G1 | VMGID: G1 USN: 100 Tworzymy snapshot Czas: T1 Czas: T2 ID: A | savedVMGID: G1 | VMGID: G1 USN: dodanych kont Czas: T3 ID: A | savedVMGID: G1 | VMGID: G2 USN: 100 T1 Odtworzony snapshot Czas: T4 ID: B | savedVMGID: G2 | VMGID: G2 USN: nowych kont: wykryto zmianę VM generation ID : DEPLOY SAFEGUARDS DC2 pobiera zmiany: USNs >100 DC2 pobiera zmiany: USNs >101 DC2 = 200 = 250 = 200 = 250 … poprzednie zmiany replikowane są do DC1

24 Czas na pytanie? Kto ma gotowy plan odtworzenia lasu ?

25 Odtworzenie lasu – pre Windows 8 predica.lab sub.predica.lab Odtwórz pierwszy DC w ramach domeny Przygotuj kolejny obraz, wypromuj go na DC Odtwórz pierwszy DC w ramach domeny Przygotuj kolejny obraz, wypromuj go na DC

26 Odtworzenie lasu – Windows 8Odtworzenie lasu – pre Windows 8 predica.lab sub.predica.lab Odtwórz pierwszy DC w ramach domeny (DC1) Sklonuj DC1 Odtwórz pierwszy DC w ramach domeny (SDC1) Sklonuj SDC1

27

28 Dynamic Access Control

29 Jak to drzewiej bywało (i bywa nadal)? DC FS RW RO RW RO RW RO Praktykant Token Size

30 Jak to drzewiej bywało (i bywa nadal)? DC FS RW RO RW RO RW RO Praktykant FTE

31 Dwa pytania … tylko szczerze Czy wiecie do czego służą grupy w Waszym AD? Czy wiecie kto do czego ma przez nie dostęp?

32 Problemy – Trudność w określeniu zestawu uprawnień w zależności od potrzeb biznesowych – Brak centralnej administracji – Trudne w utrzymaniu Liczba grup powoduje zwiększenie rozmiaru tokenu Obecne podejście

33 Nie zastępuje obecnego modelu (DACL) – Mogą istnieć równocześnie Model autoryzacji oparty o claims – Pochodzące z Active Directory – User claims – Device claims Centralne zarządzanie polityką dostępu – Central Access Policy (CAP) Dynamic Access Control

34 Reguły dostępu do plików wyrażone poprzez claims oraz klasyfikacje plików – Claims wynikające z atrybutów użytkownika / urządzenie Obejmuje również reguły audytu Klasyfikacja plików – Centralny sposób zarządzania właściwościami w ramach klasyfikacji poprzez GPO Zarządzanie dostępem

35 Active Directory Federation Service 2.1 – Full class citizen: Dostępna jako rola w systemie AD FS 2.1 – Pozwala na umieszczenie w tokenie SAML claims pobranych wprost z tokenu Kerbers – Pozwala na umieszczeniu w tokenie user / device claim Beyond File System

36 Dynamic Access ControlDEMO

37 Podsumowanie

38 Windows 8 Server wprowadza duże zmiany w ramach usługi katalogowej Wsparcie dla DC i wirtualizacji Dynamic Access Control - zmiana podejście do autoryzacji Usprawnienia operacyjne i UI (ewolucja) Wdrożenie usługi katalogowej

39 Dziękuję … Q&A


Pobierz ppt "Windows 8 … czas na zmiany Tomasz Onyszko Architekt"

Podobne prezentacje


Reklamy Google