Скачать презентацию Biztonsági szolgáltatások Windows 2000 -ben Szalontay Zoltán Tarsoly Скачать презентацию Biztonsági szolgáltatások Windows 2000 -ben Szalontay Zoltán Tarsoly

81e6f3e2ff8c2217f5fafb1a6611ad6d.ppt

  • Количество слайдов: 65

Biztonsági szolgáltatások Windows 2000 -ben Szalontay Zoltán, Tarsoly Balázs rendszermérnökök Microsoft Magyarország Biztonsági szolgáltatások Windows 2000 -ben Szalontay Zoltán, Tarsoly Balázs rendszermérnökök Microsoft Magyarország

Önök egy sorozatot látnak. . . 1. 2. 3. 4. 5. 6. 7. Active Önök egy sorozatot látnak. . . 1. 2. 3. 4. 5. 6. 7. Active Directory, a Windows 2000 új címtára Felhasználó és szoftver menedzsment Biztonsági szolgáltatások a Windows 2000 -ben A Windows 2000 infrastruktúrális szolgáltatásai A Windows 2000 mint alkalmazás kiszolgáló A Windows 2000 telepítése és üzembehelyezése A Windows 2000 Net. Ware és UNIX környezetben

Miről lesz szó? n n n Házirendendben előírt biztonság A titkosítás alapjai Tanusítványok és Miről lesz szó? n n n Házirendendben előírt biztonság A titkosítás alapjai Tanusítványok és a Certificate Authority A Windows 2000 biztonsági alrendszere Mire és hogyan használhatjuk mindezt?

Egy kis ismétlés Az AD kettős fastruktúrája Egy kis ismétlés Az AD kettős fastruktúrája

Egy kis ismétlés Csoportos házirend működése n Kulcs fogalmak n Intelli. Mirror, GPOLink, Öröklődés, Egy kis ismétlés Csoportos házirend működése n Kulcs fogalmak n Intelli. Mirror, GPOLink, Öröklődés, No Override, Block, Loopback processing, AGP Site Domain OU OU Végeredmény

Mire terjed ki a biztonság fogalma? n n n n n Jelszó és kizárási Mire terjed ki a biztonság fogalma? n n n n n Jelszó és kizárási szabályok Felhasználó jogosultság Auditálás Naplózási beállítások Kötelező csoport tagság (Restricted Groups) Szervizek Fájlrendszer és Registry ACL–ek Kerberos beállítások Public Key és IPSec beállítások

Mit hol találunk ? n Default Domain Policy határozza meg a Account Policies-t, úgy Mit hol találunk ? n Default Domain Policy határozza meg a Account Policies-t, úgy mint n n n NINCS öröklődés. Minden DC függetlenül attól hogy hol van, a Default Domain Policy-t követi Default Domain Controller Policy határozza meg a Local Policies-t, úgy mint n n Password Policy Lockout Policy Kerberos Policy Audit User Rights Security Options Ne keverjük a beállításokat

Biztonsági sablonok n A biztonsági beállításokat sablonokban definiálhatjuk n n n C: Winntsecuritytemplates*. INF Biztonsági sablonok n A biztonsági beállításokat sablonokban definiálhatjuk n n n C: Winntsecuritytemplates*. INF Sablonok létrehozására, módosítására a „Security Templates” Snap-In használható Néhány rövidítés n n n Basic. DC- alap DC konfiguráció Compat. WS- kompatibilis Workstation Hisec. Ws – Highly Secured Workstation

A fájl jogosultságokról Ezzel azt szabályozzuk mi történjen lejjebb a jogosultságokkal Ezzel azt szabályozzuk A fájl jogosultságokról Ezzel azt szabályozzuk mi történjen lejjebb a jogosultságokkal Ezzel azt szabályozzuk mi legyen a felülről érkező jogosultságokkal

A Restricted Group-ról n Csak az itt felsorolt felhasználók lehetnek tagjai a csoportnak n A Restricted Group-ról n Csak az itt felsorolt felhasználók lehetnek tagjai a csoportnak n n n Ha hiányzik, hozzáadódik Ha felesleges, törlődik Az itt felsorolt csoportoknak lesz tagja az adott Restricted Group n n Ha a lista üres, az NEM jelenti meglévő csoporthoz tartozás törlését A megadott csoporttagságot garantáljuk

Biztonsági beállítások analízise n Szeretném tudni, hogy viszonyulnak a gépek biztonsági beállításai a referenciához Biztonsági beállítások analízise n Szeretném tudni, hogy viszonyulnak a gépek biztonsági beállításai a referenciához képest n n n Biztonsági rések keresése Erre a „Security Configuration and Analysis” Snap-In a megfelelő eszköz Az analízis adatbázis alapú, először meg kell mondanunk mihez hasonlítunk n Sablon betöltése az adatbázisba

Másodlagos bejelentkezés n Probléma: Az adminisztrátor az adminisztrátori fiókkal felhasználói tevékenységet végez n n Másodlagos bejelentkezés n Probléma: Az adminisztrátor az adminisztrátori fiókkal felhasználói tevékenységet végez n n Legyen az adminisztrátornak is normál felhasználói fiókja n n Szükség esetén használja a másodlagos bejelentkezést (Run as) Tipikus felhasználás: „runas /user: . . . mmc. exe” Shift + Right Click Ami mindezt lehetővé teszi n n Ez potenciális veszélyforrás Secondary Logon Service Korlátozás n A Shellből indított programokra nem vonatkozik, azok mindig az elsődleges bejelentkezés alapján futnak

Titkosítási alapfogalmak n Alapfogalmak n n Eredeti szöveg Titkosított szöveg Titkosítási kulcs Titkosító algoritmus Titkosítási alapfogalmak n Alapfogalmak n n Eredeti szöveg Titkosított szöveg Titkosítási kulcs Titkosító algoritmus 02030507 Titkos szöveg m%a a? w

Titkosítási módszerek I. n Privát kulcsos titkosítás n Más néven szimmetrikus n Egy kulcs Titkosítási módszerek I. n Privát kulcsos titkosítás n Más néven szimmetrikus n Egy kulcs van, melyet a kommunikáció megkezdése előtt kicserélnek a felek n A titkosításhoz és a visszafejtéshez ugyanazt a kulcsot használjuk n Jól ismert algoritmusok n DES n Triple-DES n RC 2, n IDEA RC 4

A kulcsdisztribúció problémái n N embernek N*(N-1)/2 kulcsra van szüksége n n n 30. A kulcsdisztribúció problémái n N embernek N*(N-1)/2 kulcsra van szüksége n n n 30. 000 ember esetén ez 449, 985, 000 kulcsot jelent Nem tudunk minden potenciális partnerrel egy kulcsot cserélni és azt tárolni A 22 -es csapdája, hogy kommunikáljunk titkosítva, ha még nem értettünk egyet a titkosítás kulcsán n A titkosítási kulcs szükségképpen titkosítatlanul megy át a csatornán?

Titkosítási módszerek II. n Nyilvános kulcsú titkosítás n n Más néven aszimmetrikus Minden kommunikáló Titkosítási módszerek II. n Nyilvános kulcsú titkosítás n n Más néven aszimmetrikus Minden kommunikáló félhez két kulcs tartozik n Nyilvános kulcs (bárki ismerheti) n Privát kulcs (csak én ismerem) A titkosításhoz és a dekódoláshoz másmás kulcsot használunk Jól ismert algoritmusok n n Diffie-Hellman RSA

Hogy működik ? A nyilvános kulcsú titkosítás Bob Kb-privát Alice Kb-nyilvános Ka-nyilvános Holnap reggel Hogy működik ? A nyilvános kulcsú titkosítás Bob Kb-privát Alice Kb-nyilvános Ka-nyilvános Holnap reggel Ka-nyilvános Ka-privát *#$fjd a^j u 539 Holnap reggel

Nyilvános vs. Privát kulcsos titkosítás n Nyilvános kulcsos módszer előnyei n n n A Nyilvános vs. Privát kulcsos titkosítás n Nyilvános kulcsos módszer előnyei n n n A nyilvános kulcs bárkinek kiadható, a kulcs menedzsment problémája megszűnik Ez a módszer lehetőséget ad digitális aláírások használatára Nyilvános kulcsos módszer hátrányai n Az algoritmusok lényegesen lassabbak, kb. 1000 szeres eltérés van a Privát kulcsos módszerhez képest

Hash algoritmusok n Tetszőleges hosszúságú üzenetet fix hosszúság értékké alakítanak Csak egyirányú n Gyorsan Hash algoritmusok n Tetszőleges hosszúságú üzenetet fix hosszúság értékké alakítanak Csak egyirányú n Gyorsan elvégezhető művelet n Nagy valószínűséggel nem lehet két olyan bemenő üzenetet találni, melynek Hash értéke azonos (1/2 n a valószínűsége, hogy azonos az érték) Message n Algoritmusok digest n MD 2 , MD 3, MD 4, MD 5 n Holnap reggel Hash függvény Hash érték

Digitális aláírás Bob Alice Holnap reggel Hash érték Kb-nyilvános Kb-privát =? SDc. F dsa Digitális aláírás Bob Alice Holnap reggel Hash érték Kb-nyilvános Kb-privát =? SDc. F dsa 4 Hash érték

Tanusítvány (Certificate) n n Egy természetes személy azonosságát és tulajdonságait egy nyilvános kulcshoz köti Tanusítvány (Certificate) n n Egy természetes személy azonosságát és tulajdonságait egy nyilvános kulcshoz köti Egy Certification Authority (CA) írja alá Gondoljunk az útlevélre A tulajdonos személye A kiállító személye Subject: Zoltan Szalontay Issuer: autodc 1. auto. hu Subject’s Public key: public n Serial Number: 29483756 CA adja Bővítmények Not Before: 6/18/99 Not After: 6/18/06 Secure Email Client Authentication Signed: Cg 6&^78#@dx A tulajdonos nyilvános kulcsa Ettől érvényes Eddig érvényes A CA digitális aláírása

Két elterjedt PKI szabvány n X. 509 version 3 n n A tanusítványok formátumát Két elterjedt PKI szabvány n X. 509 version 3 n n A tanusítványok formátumát előíró szabvány PKCS #. . . n Az RSA által kiadott ajánlások a tanusítványokkal kapcsolatos műveletekre, pl. : n PKCS #10: tanusítvány kérelem n PKCS #7: tanusítvány kiadása

Certification Authority (CA) n Kinek állíthat ki tanusítványt? n n n Saját magának (Root) Certification Authority (CA) n Kinek állíthat ki tanusítványt? n n n Saját magának (Root) Egy másik CA-nak (Subordinate) Egy regisztrációs személynek (enrollment agent, pl. az administrator) Végfelhasználóknak (tényleges emberek vagy számítógépek) Egy CA-nak, amelyben megbízunk, kell hogy legyen n n Érvényes eredetiség igazolása Visszavonási státusza

CA-k közötti kapcsolat n n Hierarchiát alkotnak Hagyományos, „fa” típusú hierarchia n n n CA-k közötti kapcsolat n n Hierarchiát alkotnak Hagyományos, „fa” típusú hierarchia n n n Tagjai vagy root vagy alárendelt (subordinate) CA-k Lehetővé teszi az offline (kikapcsolt) CAkat (biztonságosabb) Kereszthivatkozásos hierarchia esetén n n Egy CA lehet root és alárendelt is Nem lehet kikapcsolt CA

CA fa hierarchia Root CA Issuer : Root Subject : Root Issuer : Root CA fa hierarchia Root CA Issuer : Root Subject : Root Issuer : Root Subject : Fn 1 CA Issuer : Root Subject : Fn 2 CA Funkció CA-k Kiadó CA-k Issuer : Fn 1 CA Subject : Kiadó 1 CA Issuer : Fn 2 CA Subject : Kiadó 3 CA

Tanusítványok ellenőrzése Issuer : Root Subject : Root Public Key: <Root> 3. , A Tanusítványok ellenőrzése Issuer : Root Subject : Root Public Key: 3. , A Root CA-ban eleve megbízunk és megvan a nyilvános kulcsa Issuer : Root Subject : Fn 1 CA Public Key: 2. , Az Fn 1 CA tanusítványának ellenőrzése a Root nyilvános kulcsának segítségével Issuer : Fn 1 Ca Subject : Alice Public Key: 1. , Alice tanusítványának ellenőrzése az Fn 1 CA nyilvános kulcsának segítségével

A Windows 2000 CA Service jellemzői n n Root vagy subordinate RSA vagy DSA A Windows 2000 CA Service jellemzői n n Root vagy subordinate RSA vagy DSA tanusítványok Hardver/szoftver Crypto Service Provider Megnövelt skálázhatóság n n Windows NT 4. 0 = 10, 000 tanusítvány/CA Windows 2000 = 1, 000/CA Az AD-vel megegyező adatbázis technológia (Jet blue) Integrált az Active Directoryval

Windows 2000 CA típusok n Enterprise n n n A kéréseket az AD hitelesíti Windows 2000 CA típusok n Enterprise n n n A kéréseket az AD hitelesíti A tanusítvány tartalmát sablonokkal írhatjuk le Támogatja az Exchange 2000 -et Kell hozzá Active Directory Standalone n n Hasonló a más megoldásokhoz, pl. Netscape Ha látja az AD-t, ott tárolja a tanusítványokat

Tanusítvány sablonok n n n Az Active Directory tárolja Sablonok egy- vagy több célú Tanusítvány sablonok n n n Az Active Directory tárolja Sablonok egy- vagy több célú felhasználásra Előre be vannak égetve, nem módosíthatóak n n n Megoldás: Custom Policy module Jogosultságokkal korlátozhatjuk, hogy ki milyen sablont használhat A különböző CA-knak különféle sablonokat engedélyezhetünk n Egy-egy CA a különböző szerepkörökhöz

Visszavont tanusítványok listája Certificate Revocation List (CRL) n n A már kiadott tanusítványok érvényteleníthetőek Visszavont tanusítványok listája Certificate Revocation List (CRL) n n A már kiadott tanusítványok érvényteleníthetőek (feketelista) A CRL-t a CA írja alá A CRL automatikusan vagy manuálisan juttatható el az ügyfélhez A CRL nagy is lehet n n Sablonok segítségével partícionálhatjuk (skálázhatóság) Certificate Revocation List tartalmazza n n A visszavont tanusítványok sorozatszámát A visszavonás okát

Megbízunk-e a CA-ban? n A Windows 2000 alapértelmezésben kb. 40 Root CA-ban bízik meg Megbízunk-e a CA-ban? n A Windows 2000 alapértelmezésben kb. 40 Root CA-ban bízik meg n n n Verisign, SGC, Thawte, Netlock, stb. Letilthatóak SSL, titkosított levelezés és digitális aláírás Csoportos Házirendben (GPO) megadhatunk újabb megbízható CA-kat Enterprise Root CA n n Active Directoryt használ Automatikusan megbíznak benne

Mit írhatunk elő a csoportos házirendekkel? n Root CA-k n n EFS Recovery Agentek Mit írhatunk elő a csoportos házirendekkel? n Root CA-k n n EFS Recovery Agentek n n Külső Root CA-k tanusítványai Megadhatjuk, hogy ki férhet hozzá a titkosított dokumentumainkhoz Automatikus tanusítvány kiadás n Csak gépekre (pl. IPSec, SSL)

Tanusítványok kiadása n Kulcspáronként kérjük n n Három módszer n n n Win 32 Tanusítványok kiadása n Kulcspáronként kérjük n n Három módszer n n n Win 32 varázsló (MMC, hitelesített RPC) Active. X vezérlő egy weben (HTTP) Kinek kérjük? n n n Kettős felhasználás: aláírás ÉS titkosítás Egyszeres felhasználás: aláírás VAGY titkosítás A hitelesítés online vagy offline Magunknak Más számára (csak web és smart card esetén) Számítógépek n Házirenden keresztül

Authentikáció = hitelesítés Authorizáció = felhatalmazás n Hitelesítés (azonosítás) a felhasználói adatok alapján történik Authentikáció = hitelesítés Authorizáció = felhatalmazás n Hitelesítés (azonosítás) a felhasználói adatok alapján történik n n n Tartománynév, felhasználó név, jelszó A felhasználói fiók adatai az Active Directoryban Felhatalmazással adjuk meg, hogy mihez fér hozzá a már azonosított felhasználó n Tipikusan csoport tagságok alapján

Integrált, egyszeri azonosítás Single sign-on (SSO) Fájl- és nyomtató szolgáltatások Távoli elérés Nyilvános hálózat Integrált, egyszeri azonosítás Single sign-on (SSO) Fájl- és nyomtató szolgáltatások Távoli elérés Nyilvános hálózat Alkalmazás Internet SNA Server Microsoft Exchange SQL Server Internet Information Proxy

Hitelesítési protokollok n Korábbról ismerjük n n n Windows NTLM hitelesítés n Szükség van Hitelesítési protokollok n Korábbról ismerjük n n n Windows NTLM hitelesítés n Szükség van rá vegyes környezetben Secure Sockets Layer (SSL) n Web alapú alkalmazásoknál Windows 2000 újdonság n n Kerberos v 5 n Alapértelmezés szerinti hitelesítés Transport Layer Security (TLS) n Pl. Smart Card bejelentkezés esetén

Kerberos v 5 n n n Elosztott felhasználó hitelesítési protokoll Időalapú tikettekkel dolgozik A Kerberos v 5 n n n Elosztott felhasználó hitelesítési protokoll Időalapú tikettekkel dolgozik A Key Distribution Center (KDC) állítja elő a tiketteket A Windows 2000 tartomány megfelelője a Kerberos rendszerekben a Realm A realmok (tartományok) között tranzitív trust kapcsolat hozható létre

Ismétlés: NTLM v 1 hitelesítés Challenge/Response Windows NT Workstation Windows NT Server 1. Erőforrás Ismétlés: NTLM v 1 hitelesítés Challenge/Response Windows NT Workstation Windows NT Server 1. Erőforrás használata SAM 2. Challenge: 16 bájt • SID • LM pwd • NT pwd 3. Response: OWF(Ch) Pwd kódolás 1. One Way Func. (RSAMD 4, 16 bites kivonat) 2. Domain RID A jelszó NEM ment át a hálózaton!

Kerberos: Logon 1. DNS-sel megkeresi az AD-t és a KDC-t TGT Session 2. Hitelesíti Kerberos: Logon 1. DNS-sel megkeresi az AD-t és a KDC-t TGT Session 2. Hitelesíti a felhasználót és szerez egy Ticket Granting Tikettet (TGT) a KDC-től 3. A TGT-vel kér egy session tikettet a munkaállomáshoz Windows 2000 Active Directory Key Distribution Center (KDC) Windows 2000 tartományvezérlő

Kerberos tikettek n Adott ideig érvényesek n n n Hol állítható be? Lejárt tikettet Kerberos tikettek n Adott ideig érvényesek n n n Hol állítható be? Lejárt tikettet helyett újat kell igényelni Az igényléskor a KDC egyezteti az időt az ügyféllel n n 5 perc eltérés megengedett Házirendben szabályozható Ennél nagyobb eltérés esetén a KDC NEM ad tikettet! Ld. Time Service E miatt nem mehet a dcpromo. exe

Hálózati erőforrás elérése Alkalmazás kiszolgáló 2. Bemutatja a session tikettet a kapcsolat felvételekor 1. Hálózati erőforrás elérése Alkalmazás kiszolgáló 2. Bemutatja a session tikettet a kapcsolat felvételekor 1. Elküldi a TGT-t és kér egy session tikettet a KDC-től a cél kiszolgálóhoz 3. Ellenőrzi, hogy a session tikettet a KDC adta-e ki Windows 2000 Active Directory Key Distribution Center (KDC) Windows 2000 tartományvezérlő

Többrétegű alkalmazások 2. Bemutatja a Session tikettet Server 1 4. Session tikett Server 2 Többrétegű alkalmazások 2. Bemutatja a Session tikettet Server 1 4. Session tikett Server 2 höz Server 2 3. Megszemélyesít és kér egy tikettet a Server 2 -höz 1. Kér egy Session tikettet Server 1 -hez a KDC-től, („proxy” flag = on) Windows 2000 Active Directory Key Distribution Center (KDC) Windows 2000 tartományvezérlő

Kerberos Trust kapcsolatok Külön létrehozott Kerberos trust auto. hu UNIX Kerberos Realm Domain szerviz. Kerberos Trust kapcsolatok Külön létrehozott Kerberos trust auto. hu UNIX Kerberos Realm Domain szerviz. auto. hu Kerberos trust budapest. auto. hu Kerberos trust Domain Windows NT 4. 0 -féle trust Kézzel konfigurált Windows NT 4. 0 -féle trust Domain

Unix KDC használata Windows 2000 hitelesítésre auto. hu company. realm MIT KDC TGT 1 Unix KDC használata Windows 2000 hitelesítésre auto. hu company. realm MIT KDC TGT 1 2 tikett Win 2000 Professional 4 Hitelesítési adatok Windows 2000 KDC 3 A név és egy Windows NT felhasználó összerendelése Windows 2000 Server

A Kerberos protokoll előnyei n Gyorsabb hitelesítés n n Ügyfél és kiszolgáló kölcsönös hitelesítése A Kerberos protokoll előnyei n Gyorsabb hitelesítés n n Ügyfél és kiszolgáló kölcsönös hitelesítése A hitelesítés delegálható n n Hitelesítés több rétegű ügyfél/kiszolgáló felépítés esetén Tranzitív bizalmi kapcsolat a tartományok között n n Skálázhatóbb kiszolgáló alkalmazások Egy gyorsítótár segítségével a jegyek újra felhasználhatók Egyszerűsödik a tartományok közötti menedzsment Érett és elterjedt IETF szabvány

Hitelesítést használó szolgáltatások Fájl elérés COM+ CIFS/SMB Secure RPC IE, IIS HTTP ADSI alkalmazás Hitelesítést használó szolgáltatások Fájl elérés COM+ CIFS/SMB Secure RPC IE, IIS HTTP ADSI alkalmazás Mail, News LDAP POP 3, NNTP SSPI NTLM Kerberos NTLM KDC/DS SChannel SSL/TLS

Kerberos történelme n n n Kerberos IV: MIT Athena projekt A Kerberos IV-et sok Kerberos történelme n n n Kerberos IV: MIT Athena projekt A Kerberos IV-et sok egyetemen használják (sok Kerberizált UNIX-os alkalmazás) A Kerberos IV-et használta az Andrew File System (AFS) A Kerberos v 5 szabványos (RFC-1510) A Kerberos IV és Kerberos v 5 NEM működnek együtt! A Windows 2000 Kerberos v 5 -öt valósít meg

Kik implementálták a Kerberost? n n n n Cyber. Safe DCE Kerberos Computer Associates Kik implementálták a Kerberost? n n n n Cyber. Safe DCE Kerberos Computer Associates (megvette Platinum-ot (megvette az Open. Vision-t)) Sun (Solaris 7 -től) IBM OS/390 (DCE) MIT Heimdal

Kerberos a Windows 2000 ben n Szabványok n n n RFC-1510 Kerberos change password Kerberos a Windows 2000 ben n Szabványok n n n RFC-1510 Kerberos change password – Internet Draft Kerberos set password – Internet Draft

Windows 2000 és MIT Kerberos különbségek Windows 2000 n Ügyfél n n Bejelentkezés Kijelentkezés Windows 2000 és MIT Kerberos különbségek Windows 2000 n Ügyfél n n Bejelentkezés Kijelentkezés Tartomány tagság Példa alk. : minden MIT n Ügyfél Ø Ø Bejelentkezés után ‘kinit’-tel Kijelentkezés előtt ‘kdestroy’-jal Konfiguráció az /etc/krb 5. conf-ban Példa alk. : telnet

A PKI felhasználási területei n n Smart Card Titkosított fájlrendszer (EFS) Titkosított levelezés SSL A PKI felhasználási területei n n Smart Card Titkosított fájlrendszer (EFS) Titkosított levelezés SSL n n n Kiszolgáló hitelesítés Titkos adatátvitel Ügyfél hitelesítés 1 -1 vagy több-1 értelmű felhasználó megfeleltetés Authenticode RAS/VPN, IPSec

A Smart Cardok jellemzői n n Nem Chip card!!! ISO 7816 RSA crypto co-processor A Smart Cardok jellemzői n n Nem Chip card!!! ISO 7816 RSA crypto co-processor Helyi tároló n n 6 -24 KB ROM a Card OS-nak és az alkalmazásoknak 128 -512 Byte (!) RAM a run-time adatoknak 1 -16 KB EEPROM a felhasználói adatoknak Card OS n Windows for Smart Cards, MULTOS, Java VM subset, Gemplus, Schlumberger, Siemens, Bull, . . .

Smart Card gyártók n Kártyák n n n Gemplus Gem. SAFE Schlumberger Cryptoflex Olvasók Smart Card gyártók n Kártyák n n n Gemplus Gem. SAFE Schlumberger Cryptoflex Olvasók n n n USB n Advanced Card Systems, Fortress, Utimaco, SCM Microsystems Serial n Bull, Cherry, Gemplus, Hewlett Packard, Litronic, Rainbow, Schlumberger, SCM Microsystems, Utimaco, XAC PCMCIA n Gemplus, Schlumberger, SCM Microsystems, Toshiba, Tritheim, Utimaco

Smart Card a valóságban n Elég lassú n n n 8 -bit/16 -bites adathozzáférés Smart Card a valóságban n Elég lassú n n n 8 -bit/16 -bites adathozzáférés Fél-duplex soros interfész Korlátozott adatterület n n Tanusítványok, kulcsok, . . . Nincs szabvány az adatok tárolására

Smart Card előnyök n Sehogyan sem férhetünk hozzá a privát kulcshoz n n n Smart Card előnyök n Sehogyan sem férhetünk hozzá a privát kulcshoz n n n Ott keletkezik és soha nem hagyja el a kártyát Minden crypto művelet belül fut le, mi csak megkérjük a soros porton Hordozható „igazolvány”

Smart Card a gyakorlatban n n Csak a Users csoport tagjai élhetnek meg egy Smart Card a gyakorlatban n n Csak a Users csoport tagjai élhetnek meg egy szál kártyával Mi történjen, ha kihúzzuk a kártyát? n n Lehetőségek: n Semmi n Képernyő zárolása n Kijelentkezés Mindez házirenddel szabályozható

Smart Card Logon SC Olvasó 1 A kártya előhívja a GINA-t 4 LSA elkéri Smart Card Logon SC Olvasó 1 A kártya előhívja a GINA-t 4 LSA elkéri a kártyától a tanusítványt 2 PIN megadása 8 A Smart Card dekódolja a TGT-t a felhasználó privát kulcsával. Az LSA bejelentkezteti a felhasználót. 3 GINA átadja a PIN -t az LSAnak 5 A Kerberos elküldi a tanusítványt a KDC-nek 7 A KDC kiadja a TGT-t, amely a felhasználó publikus kulcsával lett titkosítva Kerb ero s LSA 6 A tanusítvány ellenőrzése az AD alapján KDC

PIN kód menedzsment n PIN jelszó n n n A PIN-nek nem kell hosszúnak PIN kód menedzsment n PIN jelszó n n n A PIN-nek nem kell hosszúnak lennie n n A kártyához és nem a hálózathoz való hozzáférést szabályozza A PIN soha, semmilyen formátumban nem megy át a hálózaton A Smart Card zárolja magát, ha ismételten próbálkoznak A Windows 2000 éppen ezért NEM kezeli a PIN kódokat

Smart Card logon konfiguráció 1. 2. 3. 4. 5. 6. 7. Smart Card olvasó Smart Card logon konfiguráció 1. 2. 3. 4. 5. 6. 7. Smart Card olvasó telepítése (Pn. P) Enterprise Root CA telepítése (default) „Enrollment Agent” és „Smart Card User” típusú sablonok engedélyezése Enrollment Agent tanusítvány kérése az Administrator számára Web enrollment oldalon „Smart Card User” tanusítvány a felhasználó számára Tanusítvány letárolása a Smart Cardon A munkaállomáson a CA tanusítványát telepíteni, hogy megbízzon benne (Házirend)

Encrypting File System (EFS) n Biztonságos adatvédelem n n Az alkalmazások számára átlátszó és Encrypting File System (EFS) n Biztonságos adatvédelem n n Az alkalmazások számára átlátszó és gyors Elérhető a grafikus felületről vagy parancsorból Alkalmazható egyes fájlokra vagy egész könyvtárakra (rekurzív) Nagyvállalati szolgáltatások n n n Helyreállítás (a dolgozó kilépett a cégtől) Titkosítás fájlszervereken és nem csak a munkaállomáson vagy notebook-okon Automatikus kulcs menedzsment

Dokumentum titkosítás Holnap reggel Data Decryption Field generálása (RSA) Felhasználó nyilvános kulcsa File encryption Dokumentum titkosítás Holnap reggel Data Decryption Field generálása (RSA) Felhasználó nyilvános kulcsa File encryption key (FEK) *#$fjd a^j u 539 Titkosítás (DES) Data Recovery Field generálása (RSA) Random Generátor DDF DRF Helyreállító ügynök nyilvános kulcsa (Házirend)

Dokumentum dekódolás Holnap reggel Visszafejtés (DES) *#$fjd a^j u 539 File encryption key (FEK) Dokumentum dekódolás Holnap reggel Visszafejtés (DES) *#$fjd a^j u 539 File encryption key (FEK) A felhasználó privát kulcsa DDF kibontás (RSA) DDF

Dokumentum helyreállítás Holnap reggel Visszafejtés (DES) *#$fjd a^j u 539 File encryption key (FEK) Dokumentum helyreállítás Holnap reggel Visszafejtés (DES) *#$fjd a^j u 539 File encryption key (FEK) A Recovery Agent privát kulcsa DRF kibontás (RSA) DRF

Adat helyreállítás n “Encrypted Data Recovery Policy” (EDRP) n n A domain házirend része Adat helyreállítás n “Encrypted Data Recovery Policy” (EDRP) n n A domain házirend része FEK az összes EDRP-ben tárolt nyilvános kulccsal titkosításra kerü EDRP a tartomány minden gépén elérhető A visszaállítás során nem a felhasználó privát kulcsát állítjuk vissza, hanem közvetlenül az adatot