Windows 8 … czas na zmiany Tomasz Onyszko Architekt tomasz.onyszko@predica.pl

Windows 8 … czas na zmiany http://www.w2k.pl Enterprise Security Tomasz Onyszko Architekt tomasz.onyszko@predica.pl

Agenda Zmiany Wirtualizacja Dynamic Access Control

Nowości i nowinki

Szybkie i łatwe wdrożenie Recycle Bin UI Group Managed Services Accounts Wsparcie dla wirtualizacji Powershell History Fine grained password policy UI Powershel Cmdlets – Active Directory Replication & Topology Active Directory Based Activation Kerberos Zmiany w platformie Active Directory Dynamic Access Control

Zmiany w UI: Recycle Bi Recycle Bin No i jest Brak odtwarzania subtree Wprowadzony w Windows 2008 R2 Brak UI No i jest Brak odtwarzania subtree

Zmiany w UI: FGPP FGPP Tak jak i w przypadku Recycle Bin

Group Managed Service Account (gMSA) Managed Services Accounts Wprowadzone w Windows 2008 R2 Możliwość użycia w ramach jednej maszyny Nieobsługiwane usługi Klastry Usługi IIS pracujące w NLB

Group Managed Service Account (gMSA) Nowy typ security principal w Windows 8 Jedno gMSA mogą używać usługi w ramach różnych maszyn Wymagany Windows 8 DC Hasła generowane i zarządzane są przez Group Key Distribution Service (GKDS) Uwierzytelnienie względem dowolnego DC

Powershell History Active Directory Administrative Center Nowa konsola zarządzająca AD Pod UI wszystkie polecenia wykonywane są poprzez Powershell

Active Directory Based Activation KMS Prosta usługa Brak uwierzytelnienia i autoryzacji: Connect == Aktywacja AD BA Aktywacja w oparciu o usługę katalogu Tylko dostęp do LDAP Brak dodatkowych usług: Dane do aktywacji w partycji konfiguracji Tylko Windows 8 KMS i AD BA mogą pracować równocześnie

Kerberos Kerberos Constrained Delegation (KCD) Windows 8 KCD Pozwala na delegację uwierzytelnienia do wybranych usług Od Windows 2003 działa w ramach jednego lasu Windows 8 KCD Działa pomiędzy usługami w różnych lasach Odwrócenie sytuacji – to back-end podejmuje decyzję które konta mogą wykonywać delegację Front-end i Back-end wymagają przynajmniej 1 DC Windows 8

Kerberos FAST Kerberos Flexible Authentication Secure Tunneling Problemy z error spoofing (klient obniża wymagania lub przełącza się na inny protokół) Ochrona danych wysyłanych w ramach pre-authentication Flexible Authentication Secure Tunneling Dodatkowe uwierzytelnienie kanału Klient <-> DC Kanał uwierzytelniony poprzez Logon Session Key konta komputera Uwierzytelnienie konta komputera nadal jest niezabezpieczone FAST

Active Directory RID exthausion Problem: Windows 8 RID: identyfikator przydzielana tworzonemu obiektowi w AD Ogólna pula RID 2^30 Każdy z DC otrzymuje pulę RID odnawianą wg potrzeb. Problem: Błąd może powodować wyczerpanie puli dostępnych RID Windows 8 Eliminacja błędów związanych z RID Exthausion Zwiększona ogólna pula RID – 2^31 (włączana opcjonalnie - sidCompatibilityVersion:1) Mechanizmy logowania i monitorowania zużycia RID (event log)

Dodatkowo LDAP Off-line domain join spoza sieci Rozszerzenie dostępnych kontrolek LDAP Nowe mechanizmy logowania LDAP Off-line domain join spoza sieci Możliwość przekazania danych dostępu Direct Access Dodanie do domeny poprzez Internet Opóźnione przebudowanie indeksów AD Nowe atrybuty rootDSE

Wirtualizacja to Rewelacja …

... Chyba że mówimy o DC Active Directory jest w pełni wspierane na VM Wspierane ale: Nie wspieramy snapshot i odtwarzania VM z DC Kopiowania VHD z DC Export / Import maszyn z DC Problem: Administratorzy infrastruktury VM i domen nie są świadomi ograniczeń

W czym tkwi problem (raz jeszcze) DC1 DC2 Czas: T1 Tworzymy snapshot USN: 100 ID: A RID Pool: 500 - 1000 DC1(A) @USN = 200 +100 dodanych kont Czas: T2 USN: 200 Sekwencja zdarzeń ID: A RID Pool: 600 - 1000 DC2 pobiera zmiany: USNs >100 Czas: T3 T1 Odtworzony snapshot! USN: 100 ID: A RID Pool: 500 - 1000 DC1(A) @USN = 250 +150 dodatkownych kont Czas: T4 USN: 250 DC2 pobiera zmiany: USNs >200 ID: A RID Pool: 650 - 1000

My name is Clone, DC Clone Windows 8 DC rapid deployment Wdrożenie nowych kontrolerów domeny poprzez operację export\import na poziomie hypervisora Windows 8 rozpoznaje następujące operacje Odtworzenie snapshot Skopiowanie VM (Uwaga: Nie podmianę VHD !) Jak Zmiana VM generation ID podczas operacji hypervisora Nowy DC tworzony jako klon podstawowego na podstawie danych konfiguracji

Windows 8 Sekwencja zdarzeń DC2 pobiera zmiany: USNs >100 Czas: T1 Tworzymy snapshot USN: 100 ID: A | savedVMGID: G1 | VMGID: G1 +100 dodanych kont DC1(A) @USN = 200 Czas: T2 USN: 200 Sekwencja zdarzeń ID: A | savedVMGID: G1 | VMGID: G1 DC2 pobiera zmiany: USNs >100 Czas: T3 T1 Odtworzony snapshot USN: 100 ID: A | savedVMGID: G1 | VMGID: G2 … poprzednie zmiany replikowane są do DC1 +150 nowych kont: wykryto zmianę VM generation ID : DEPLOY SAFEGUARDS DC1(A) @USN = 200 DC1(B) @USN = 250 Czas: T4 USN: 250 ID: B | savedVMGID: G2 | VMGID: G2 DC2 pobiera zmiany: USNs >101

Kto ma gotowy plan odtworzenia lasu Czas na pytanie? Kto ma gotowy plan odtworzenia lasu ?

Odtworzenie lasu – pre Windows 8 Odtwórz pierwszy DC w ramach domeny Przygotuj kolejny obraz, wypromuj go na DC Przygotuj kolejny obraz, wypromuj go na DC predica.lab Odtwórz pierwszy DC w ramach domeny Przygotuj kolejny obraz, wypromuj go na DC Przygotuj kolejny obraz, wypromuj go na DC sub.predica.lab

Odtworzenie lasu – pre Windows 8 Odtworzenie lasu – Windows 8 Odtwórz pierwszy DC w ramach domeny (DC1) Sklonuj DC1 Sklonuj DC1 predica.lab Odtwórz pierwszy DC w ramach domeny (SDC1) Sklonuj SDC1 Sklonuj SDC1 sub.predica.lab

Dynamic Access Control

Jak to drzewiej bywało (i bywa nadal)? DC FS RW RW RO RO RW RO RW RO Praktykant Token Size

Jak to drzewiej bywało (i bywa nadal)? DC FS RW RW RO RO RW RO RW RO Praktykant FTE

Dwa pytania … tylko szczerze Czy wiecie do czego służą grupy w Waszym AD? Czy wiecie kto do czego ma przez nie dostęp?

Obecne podejście Problemy Trudność w określeniu zestawu uprawnień w zależności od potrzeb biznesowych Brak centralnej administracji Trudne w utrzymaniu Liczba grup powoduje zwiększenie rozmiaru tokenu

Dynamic Access Control Nie zastępuje obecnego modelu (DACL) Mogą istnieć równocześnie Model autoryzacji oparty o claims Pochodzące z Active Directory User claims Device claims Centralne zarządzanie polityką dostępu – Central Access Policy (CAP)

Zarządzanie dostępem Reguły dostępu do plików wyrażone poprzez claims oraz klasyfikacje plików Claims wynikające z atrybutów użytkownika / urządzenie Obejmuje również reguły audytu Klasyfikacja plików Centralny sposób zarządzania właściwościami w ramach klasyfikacji poprzez GPO

Beyond File System Active Directory Federation Service 2.1 AD FS 2.1 Full class citizen: Dostępna jako rola w systemie AD FS 2.1 Pozwala na umieszczenie w tokenie SAML claims pobranych wprost z tokenu Kerbers Pozwala na umieszczeniu w tokenie user / device claim

Dynamic Access Control DEMO

Podsumowanie

Windows 8 Server wprowadza duże zmiany w ramach usługi katalogowej Wsparcie dla DC i wirtualizacji Dynamic Access Control - zmiana podejście do autoryzacji Wdrożenie usługi katalogowej Usprawnienia operacyjne i UI (ewolucja)

Dziękuję … Q&A tomasz.onyszko@predica.pl http://www.w2k.pl http://www.predica.pl