Pobierz prezentację
Pobieranie prezentacji. Proszę czekać
1
Windows 8 … czas na zmiany
Tomasz Onyszko Architekt
2
Windows 8 … czas na zmiany
Enterprise Security Tomasz Onyszko Architekt
4
Agenda Zmiany Wirtualizacja Dynamic Access Control
6
Nowości i nowinki
8
Szybkie i łatwe wdrożenie
Recycle Bin UI Group Managed Services Accounts Wsparcie dla wirtualizacji Powershell History Fine grained password policy UI Powershel Cmdlets – Active Directory Replication & Topology Active Directory Based Activation Kerberos Zmiany w platformie Active Directory Dynamic Access Control
9
Zmiany w UI: Recycle Bi Recycle Bin No i jest Brak odtwarzania subtree
Wprowadzony w Windows 2008 R2 Brak UI No i jest Brak odtwarzania subtree
10
Zmiany w UI: FGPP FGPP Tak jak i w przypadku Recycle Bin
11
Group Managed Service Account (gMSA)
Managed Services Accounts Wprowadzone w Windows 2008 R2 Możliwość użycia w ramach jednej maszyny Nieobsługiwane usługi Klastry Usługi IIS pracujące w NLB
12
Group Managed Service Account (gMSA)
Nowy typ security principal w Windows 8 Jedno gMSA mogą używać usługi w ramach różnych maszyn Wymagany Windows 8 DC Hasła generowane i zarządzane są przez Group Key Distribution Service (GKDS) Uwierzytelnienie względem dowolnego DC
13
Powershell History Active Directory Administrative Center
Nowa konsola zarządzająca AD Pod UI wszystkie polecenia wykonywane są poprzez Powershell
14
Active Directory Based Activation
KMS Prosta usługa Brak uwierzytelnienia i autoryzacji: Connect == Aktywacja AD BA Aktywacja w oparciu o usługę katalogu Tylko dostęp do LDAP Brak dodatkowych usług: Dane do aktywacji w partycji konfiguracji Tylko Windows 8 KMS i AD BA mogą pracować równocześnie
15
Kerberos Kerberos Constrained Delegation (KCD) Windows 8 KCD
Pozwala na delegację uwierzytelnienia do wybranych usług Od Windows 2003 działa w ramach jednego lasu Windows 8 KCD Działa pomiędzy usługami w różnych lasach Odwrócenie sytuacji – to back-end podejmuje decyzję które konta mogą wykonywać delegację Front-end i Back-end wymagają przynajmniej 1 DC Windows 8
16
Kerberos FAST Kerberos Flexible Authentication Secure Tunneling
Problemy z error spoofing (klient obniża wymagania lub przełącza się na inny protokół) Ochrona danych wysyłanych w ramach pre-authentication Flexible Authentication Secure Tunneling Dodatkowe uwierzytelnienie kanału Klient <-> DC Kanał uwierzytelniony poprzez Logon Session Key konta komputera Uwierzytelnienie konta komputera nadal jest niezabezpieczone FAST
17
Active Directory RID exthausion Problem: Windows 8
RID: identyfikator przydzielana tworzonemu obiektowi w AD Ogólna pula RID 2^30 Każdy z DC otrzymuje pulę RID odnawianą wg potrzeb. Problem: Błąd może powodować wyczerpanie puli dostępnych RID Windows 8 Eliminacja błędów związanych z RID Exthausion Zwiększona ogólna pula RID – 2^31 (włączana opcjonalnie - sidCompatibilityVersion:1) Mechanizmy logowania i monitorowania zużycia RID (event log)
18
Dodatkowo LDAP Off-line domain join spoza sieci
Rozszerzenie dostępnych kontrolek LDAP Nowe mechanizmy logowania LDAP Off-line domain join spoza sieci Możliwość przekazania danych dostępu Direct Access Dodanie do domeny poprzez Internet Opóźnione przebudowanie indeksów AD Nowe atrybuty rootDSE
19
Wirtualizacja to Rewelacja …
20
... Chyba że mówimy o DC Active Directory jest w pełni wspierane na VM
Wspierane ale: Nie wspieramy snapshot i odtwarzania VM z DC Kopiowania VHD z DC Export / Import maszyn z DC Problem: Administratorzy infrastruktury VM i domen nie są świadomi ograniczeń
21
W czym tkwi problem (raz jeszcze)
DC1 DC2 Czas: T1 Tworzymy snapshot USN: 100 ID: A RID Pool: = 200 +100 dodanych kont Czas: T2 USN: 200 Sekwencja zdarzeń ID: A RID Pool: DC2 pobiera zmiany: USNs >100 Czas: T3 T1 Odtworzony snapshot! USN: 100 ID: A RID Pool: = 250 +150 dodatkownych kont Czas: T4 USN: 250 DC2 pobiera zmiany: USNs >200 ID: A RID Pool:
22
My name is Clone, DC Clone
Windows 8 DC rapid deployment Wdrożenie nowych kontrolerów domeny poprzez operację export\import na poziomie hypervisora Windows 8 rozpoznaje następujące operacje Odtworzenie snapshot Skopiowanie VM (Uwaga: Nie podmianę VHD !) Jak Zmiana VM generation ID podczas operacji hypervisora Nowy DC tworzony jako klon podstawowego na podstawie danych konfiguracji
23
Windows 8 Sekwencja zdarzeń DC2 pobiera zmiany: USNs >100
Czas: T1 Tworzymy snapshot USN: 100 ID: A | savedVMGID: G1 | VMGID: G1 +100 dodanych kont = 200 Czas: T2 USN: 200 Sekwencja zdarzeń ID: A | savedVMGID: G1 | VMGID: G1 DC2 pobiera zmiany: USNs >100 Czas: T3 T1 Odtworzony snapshot USN: 100 ID: A | savedVMGID: G1 | VMGID: G2 … poprzednie zmiany replikowane są do DC1 +150 nowych kont: wykryto zmianę VM generation ID : DEPLOY SAFEGUARDS = 200 = 250 Czas: T4 USN: 250 ID: B | savedVMGID: G2 | VMGID: G2 DC2 pobiera zmiany: USNs >101
24
Kto ma gotowy plan odtworzenia lasu
Czas na pytanie? Kto ma gotowy plan odtworzenia lasu ?
25
Odtworzenie lasu – pre Windows 8
Odtwórz pierwszy DC w ramach domeny Przygotuj kolejny obraz, wypromuj go na DC Przygotuj kolejny obraz, wypromuj go na DC predica.lab Odtwórz pierwszy DC w ramach domeny Przygotuj kolejny obraz, wypromuj go na DC Przygotuj kolejny obraz, wypromuj go na DC sub.predica.lab
26
Odtworzenie lasu – pre Windows 8 Odtworzenie lasu – Windows 8
Odtwórz pierwszy DC w ramach domeny (DC1) Sklonuj DC1 Sklonuj DC1 predica.lab Odtwórz pierwszy DC w ramach domeny (SDC1) Sklonuj SDC1 Sklonuj SDC1 sub.predica.lab
28
Dynamic Access Control
29
Jak to drzewiej bywało (i bywa nadal)?
DC FS RW RW RO RO RW RO RW RO Praktykant Token Size
30
Jak to drzewiej bywało (i bywa nadal)?
DC FS RW RW RO RO RW RO RW RO Praktykant FTE
31
Dwa pytania … tylko szczerze
Czy wiecie do czego służą grupy w Waszym AD? Czy wiecie kto do czego ma przez nie dostęp?
32
Obecne podejście Problemy
Trudność w określeniu zestawu uprawnień w zależności od potrzeb biznesowych Brak centralnej administracji Trudne w utrzymaniu Liczba grup powoduje zwiększenie rozmiaru tokenu
33
Dynamic Access Control
Nie zastępuje obecnego modelu (DACL) Mogą istnieć równocześnie Model autoryzacji oparty o claims Pochodzące z Active Directory User claims Device claims Centralne zarządzanie polityką dostępu – Central Access Policy (CAP)
34
Zarządzanie dostępem Reguły dostępu do plików wyrażone poprzez claims oraz klasyfikacje plików Claims wynikające z atrybutów użytkownika / urządzenie Obejmuje również reguły audytu Klasyfikacja plików Centralny sposób zarządzania właściwościami w ramach klasyfikacji poprzez GPO
35
Beyond File System Active Directory Federation Service 2.1 AD FS 2.1
Full class citizen: Dostępna jako rola w systemie AD FS 2.1 Pozwala na umieszczenie w tokenie SAML claims pobranych wprost z tokenu Kerbers Pozwala na umieszczeniu w tokenie user / device claim
36
Dynamic Access Control
DEMO
37
Podsumowanie
38
Windows 8 Server wprowadza duże zmiany w ramach usługi katalogowej
Wsparcie dla DC i wirtualizacji Dynamic Access Control - zmiana podejście do autoryzacji Wdrożenie usługi katalogowej Usprawnienia operacyjne i UI (ewolucja)
39
Dziękuję … Q&A tomasz.onyszko@predica.pl http://www.w2k.pl
Podobne prezentacje
© 2024 SlidePlayer.pl Inc.
All rights reserved.