Biztonsági szolgáltatások Windows 2000 -ben Szalontay Zoltán, Tarsoly Balázs rendszermérnökök Microsoft Magyarország
Önök egy sorozatot látnak. . . 1. 2. 3. 4. 5. 6. 7. Active Directory, a Windows 2000 új címtára Felhasználó és szoftver menedzsment Biztonsági szolgáltatások a Windows 2000 -ben A Windows 2000 infrastruktúrális szolgáltatásai A Windows 2000 mint alkalmazás kiszolgáló A Windows 2000 telepítése és üzembehelyezése A Windows 2000 Net. Ware és UNIX környezetben
Miről lesz szó? n n n Házirendendben előírt biztonság A titkosítás alapjai Tanusítványok és a Certificate Authority A Windows 2000 biztonsági alrendszere Mire és hogyan használhatjuk mindezt?
Egy kis ismétlés Az AD kettős fastruktúrája
Egy kis ismétlés Csoportos házirend működése n Kulcs fogalmak n Intelli. Mirror, GPOLink, Öröklődés, No Override, Block, Loopback processing, AGP Site Domain OU OU Végeredmény
Mire terjed ki a biztonság fogalma? n n n n n Jelszó és kizárási szabályok Felhasználó jogosultság Auditálás Naplózási beállítások Kötelező csoport tagság (Restricted Groups) Szervizek Fájlrendszer és Registry ACL–ek Kerberos beállítások Public Key és IPSec beállítások
Mit hol találunk ? n Default Domain Policy határozza meg a Account Policies-t, úgy mint n n n NINCS öröklődés. Minden DC függetlenül attól hogy hol van, a Default Domain Policy-t követi Default Domain Controller Policy határozza meg a Local Policies-t, úgy mint n n Password Policy Lockout Policy Kerberos Policy Audit User Rights Security Options Ne keverjük a beállításokat
Biztonsági sablonok n A biztonsági beállításokat sablonokban definiálhatjuk n n n C: Winntsecuritytemplates*. INF Sablonok létrehozására, módosítására a „Security Templates” Snap-In használható Néhány rövidítés n n n Basic. DC- alap DC konfiguráció Compat. WS- kompatibilis Workstation Hisec. Ws – Highly Secured Workstation
A fájl jogosultságokról Ezzel azt szabályozzuk mi történjen lejjebb a jogosultságokkal Ezzel azt szabályozzuk mi legyen a felülről érkező jogosultságokkal
A Restricted Group-ról n Csak az itt felsorolt felhasználók lehetnek tagjai a csoportnak n n n Ha hiányzik, hozzáadódik Ha felesleges, törlődik Az itt felsorolt csoportoknak lesz tagja az adott Restricted Group n n Ha a lista üres, az NEM jelenti meglévő csoporthoz tartozás törlését A megadott csoporttagságot garantáljuk
Biztonsági beállítások analízise n Szeretném tudni, hogy viszonyulnak a gépek biztonsági beállításai a referenciához képest n n n Biztonsági rések keresése Erre a „Security Configuration and Analysis” Snap-In a megfelelő eszköz Az analízis adatbázis alapú, először meg kell mondanunk mihez hasonlítunk n Sablon betöltése az adatbázisba
Másodlagos bejelentkezés n Probléma: Az adminisztrátor az adminisztrátori fiókkal felhasználói tevékenységet végez n n Legyen az adminisztrátornak is normál felhasználói fiókja n n Szükség esetén használja a másodlagos bejelentkezést (Run as) Tipikus felhasználás: „runas /user: . . . mmc. exe” Shift + Right Click Ami mindezt lehetővé teszi n n Ez potenciális veszélyforrás Secondary Logon Service Korlátozás n A Shellből indított programokra nem vonatkozik, azok mindig az elsődleges bejelentkezés alapján futnak
Titkosítási alapfogalmak n Alapfogalmak n n Eredeti szöveg Titkosított szöveg Titkosítási kulcs Titkosító algoritmus 02030507 Titkos szöveg m%a a? w
Titkosítási módszerek I. n Privát kulcsos titkosítás n Más néven szimmetrikus n Egy kulcs van, melyet a kommunikáció megkezdése előtt kicserélnek a felek n A titkosításhoz és a visszafejtéshez ugyanazt a kulcsot használjuk n Jól ismert algoritmusok n DES n Triple-DES n RC 2, n IDEA RC 4
A kulcsdisztribúció problémái n N embernek N*(N-1)/2 kulcsra van szüksége n n n 30. 000 ember esetén ez 449, 985, 000 kulcsot jelent Nem tudunk minden potenciális partnerrel egy kulcsot cserélni és azt tárolni A 22 -es csapdája, hogy kommunikáljunk titkosítva, ha még nem értettünk egyet a titkosítás kulcsán n A titkosítási kulcs szükségképpen titkosítatlanul megy át a csatornán?
Titkosítási módszerek II. n Nyilvános kulcsú titkosítás n n Más néven aszimmetrikus Minden kommunikáló félhez két kulcs tartozik n Nyilvános kulcs (bárki ismerheti) n Privát kulcs (csak én ismerem) A titkosításhoz és a dekódoláshoz másmás kulcsot használunk Jól ismert algoritmusok n n Diffie-Hellman RSA
Hogy működik ? A nyilvános kulcsú titkosítás Bob Kb-privát Alice Kb-nyilvános Ka-nyilvános Holnap reggel Ka-nyilvános Ka-privát *#$fjd a^j u 539 Holnap reggel
Nyilvános vs. Privát kulcsos titkosítás n Nyilvános kulcsos módszer előnyei n n n A nyilvános kulcs bárkinek kiadható, a kulcs menedzsment problémája megszűnik Ez a módszer lehetőséget ad digitális aláírások használatára Nyilvános kulcsos módszer hátrányai n Az algoritmusok lényegesen lassabbak, kb. 1000 szeres eltérés van a Privát kulcsos módszerhez képest
Hash algoritmusok n Tetszőleges hosszúságú üzenetet fix hosszúság értékké alakítanak Csak egyirányú n Gyorsan elvégezhető művelet n Nagy valószínűséggel nem lehet két olyan bemenő üzenetet találni, melynek Hash értéke azonos (1/2 n a valószínűsége, hogy azonos az érték) Message n Algoritmusok digest n MD 2 , MD 3, MD 4, MD 5 n Holnap reggel Hash függvény Hash érték
Digitális aláírás Bob Alice Holnap reggel Hash érték Kb-nyilvános Kb-privát =? SDc. F dsa 4 Hash érték
Tanusítvány (Certificate) n n Egy természetes személy azonosságát és tulajdonságait egy nyilvános kulcshoz köti Egy Certification Authority (CA) írja alá Gondoljunk az útlevélre A tulajdonos személye A kiállító személye Subject: Zoltan Szalontay Issuer: autodc 1. auto. hu Subject’s Public key: public n Serial Number: 29483756 CA adja Bővítmények Not Before: 6/18/99 Not After: 6/18/06 Secure Email Client Authentication Signed: Cg 6&^78#@dx A tulajdonos nyilvános kulcsa Ettől érvényes Eddig érvényes A CA digitális aláírása
Két elterjedt PKI szabvány n X. 509 version 3 n n A tanusítványok formátumát előíró szabvány PKCS #. . . n Az RSA által kiadott ajánlások a tanusítványokkal kapcsolatos műveletekre, pl. : n PKCS #10: tanusítvány kérelem n PKCS #7: tanusítvány kiadása
Certification Authority (CA) n Kinek állíthat ki tanusítványt? n n n Saját magának (Root) Egy másik CA-nak (Subordinate) Egy regisztrációs személynek (enrollment agent, pl. az administrator) Végfelhasználóknak (tényleges emberek vagy számítógépek) Egy CA-nak, amelyben megbízunk, kell hogy legyen n n Érvényes eredetiség igazolása Visszavonási státusza
CA-k közötti kapcsolat n n Hierarchiát alkotnak Hagyományos, „fa” típusú hierarchia n n n Tagjai vagy root vagy alárendelt (subordinate) CA-k Lehetővé teszi az offline (kikapcsolt) CAkat (biztonságosabb) Kereszthivatkozásos hierarchia esetén n n Egy CA lehet root és alárendelt is Nem lehet kikapcsolt CA
CA fa hierarchia Root CA Issuer : Root Subject : Root Issuer : Root Subject : Fn 1 CA Issuer : Root Subject : Fn 2 CA Funkció CA-k Kiadó CA-k Issuer : Fn 1 CA Subject : Kiadó 1 CA Issuer : Fn 2 CA Subject : Kiadó 3 CA
Tanusítványok ellenőrzése Issuer : Root Subject : Root Public Key: <Root> 3. , A Root CA-ban eleve megbízunk és megvan a nyilvános kulcsa Issuer : Root Subject : Fn 1 CA Public Key: <Fn 1 CA> 2. , Az Fn 1 CA tanusítványának ellenőrzése a Root nyilvános kulcsának segítségével Issuer : Fn 1 Ca Subject : Alice Public Key: <Alice> 1. , Alice tanusítványának ellenőrzése az Fn 1 CA nyilvános kulcsának segítségével
A Windows 2000 CA Service jellemzői n n Root vagy subordinate RSA vagy DSA tanusítványok Hardver/szoftver Crypto Service Provider Megnövelt skálázhatóság n n Windows NT 4. 0 = 10, 000 tanusítvány/CA Windows 2000 = 1, 000/CA Az AD-vel megegyező adatbázis technológia (Jet blue) Integrált az Active Directoryval
Windows 2000 CA típusok n Enterprise n n n A kéréseket az AD hitelesíti A tanusítvány tartalmát sablonokkal írhatjuk le Támogatja az Exchange 2000 -et Kell hozzá Active Directory Standalone n n Hasonló a más megoldásokhoz, pl. Netscape Ha látja az AD-t, ott tárolja a tanusítványokat
Tanusítvány sablonok n n n Az Active Directory tárolja Sablonok egy- vagy több célú felhasználásra Előre be vannak égetve, nem módosíthatóak n n n Megoldás: Custom Policy module Jogosultságokkal korlátozhatjuk, hogy ki milyen sablont használhat A különböző CA-knak különféle sablonokat engedélyezhetünk n Egy-egy CA a különböző szerepkörökhöz
Visszavont tanusítványok listája Certificate Revocation List (CRL) n n A már kiadott tanusítványok érvényteleníthetőek (feketelista) A CRL-t a CA írja alá A CRL automatikusan vagy manuálisan juttatható el az ügyfélhez A CRL nagy is lehet n n Sablonok segítségével partícionálhatjuk (skálázhatóság) Certificate Revocation List tartalmazza n n A visszavont tanusítványok sorozatszámát A visszavonás okát
Megbízunk-e a CA-ban? n A Windows 2000 alapértelmezésben kb. 40 Root CA-ban bízik meg n n n Verisign, SGC, Thawte, Netlock, stb. Letilthatóak SSL, titkosított levelezés és digitális aláírás Csoportos Házirendben (GPO) megadhatunk újabb megbízható CA-kat Enterprise Root CA n n Active Directoryt használ Automatikusan megbíznak benne
Mit írhatunk elő a csoportos házirendekkel? n Root CA-k n n EFS Recovery Agentek n n Külső Root CA-k tanusítványai Megadhatjuk, hogy ki férhet hozzá a titkosított dokumentumainkhoz Automatikus tanusítvány kiadás n Csak gépekre (pl. IPSec, SSL)
Tanusítványok kiadása n Kulcspáronként kérjük n n Három módszer n n n Win 32 varázsló (MMC, hitelesített RPC) Active. X vezérlő egy weben (HTTP) Kinek kérjük? n n n Kettős felhasználás: aláírás ÉS titkosítás Egyszeres felhasználás: aláírás VAGY titkosítás A hitelesítés online vagy offline Magunknak Más számára (csak web és smart card esetén) Számítógépek n Házirenden keresztül
Authentikáció = hitelesítés Authorizáció = felhatalmazás n Hitelesítés (azonosítás) a felhasználói adatok alapján történik n n n Tartománynév, felhasználó név, jelszó A felhasználói fiók adatai az Active Directoryban Felhatalmazással adjuk meg, hogy mihez fér hozzá a már azonosított felhasználó n Tipikusan csoport tagságok alapján
Integrált, egyszeri azonosítás Single sign-on (SSO) Fájl- és nyomtató szolgáltatások Távoli elérés Nyilvános hálózat Alkalmazás Internet SNA Server Microsoft Exchange SQL Server Internet Information Proxy
Hitelesítési protokollok n Korábbról ismerjük n n n Windows NTLM hitelesítés n Szükség van rá vegyes környezetben Secure Sockets Layer (SSL) n Web alapú alkalmazásoknál Windows 2000 újdonság n n Kerberos v 5 n Alapértelmezés szerinti hitelesítés Transport Layer Security (TLS) n Pl. Smart Card bejelentkezés esetén
Kerberos v 5 n n n Elosztott felhasználó hitelesítési protokoll Időalapú tikettekkel dolgozik A Key Distribution Center (KDC) állítja elő a tiketteket A Windows 2000 tartomány megfelelője a Kerberos rendszerekben a Realm A realmok (tartományok) között tranzitív trust kapcsolat hozható létre
Ismétlés: NTLM v 1 hitelesítés Challenge/Response Windows NT Workstation Windows NT Server 1. Erőforrás használata SAM 2. Challenge: 16 bájt • SID • LM pwd • NT pwd 3. Response: OWF(Ch) Pwd kódolás 1. One Way Func. (RSAMD 4, 16 bites kivonat) 2. Domain RID A jelszó NEM ment át a hálózaton!
Kerberos: Logon 1. DNS-sel megkeresi az AD-t és a KDC-t TGT Session 2. Hitelesíti a felhasználót és szerez egy Ticket Granting Tikettet (TGT) a KDC-től 3. A TGT-vel kér egy session tikettet a munkaállomáshoz Windows 2000 Active Directory Key Distribution Center (KDC) Windows 2000 tartományvezérlő
Kerberos tikettek n Adott ideig érvényesek n n n Hol állítható be? Lejárt tikettet helyett újat kell igényelni Az igényléskor a KDC egyezteti az időt az ügyféllel n n 5 perc eltérés megengedett Házirendben szabályozható Ennél nagyobb eltérés esetén a KDC NEM ad tikettet! Ld. Time Service E miatt nem mehet a dcpromo. exe
Hálózati erőforrás elérése Alkalmazás kiszolgáló 2. Bemutatja a session tikettet a kapcsolat felvételekor 1. Elküldi a TGT-t és kér egy session tikettet a KDC-től a cél kiszolgálóhoz 3. Ellenőrzi, hogy a session tikettet a KDC adta-e ki Windows 2000 Active Directory Key Distribution Center (KDC) Windows 2000 tartományvezérlő
Többrétegű alkalmazások 2. Bemutatja a Session tikettet Server 1 4. Session tikett Server 2 höz Server 2 3. Megszemélyesít és kér egy tikettet a Server 2 -höz 1. Kér egy Session tikettet Server 1 -hez a KDC-től, („proxy” flag = on) Windows 2000 Active Directory Key Distribution Center (KDC) Windows 2000 tartományvezérlő
Kerberos Trust kapcsolatok Külön létrehozott Kerberos trust auto. hu UNIX Kerberos Realm Domain szerviz. auto. hu Kerberos trust budapest. auto. hu Kerberos trust Domain Windows NT 4. 0 -féle trust Kézzel konfigurált Windows NT 4. 0 -féle trust Domain
Unix KDC használata Windows 2000 hitelesítésre auto. hu company. realm MIT KDC TGT 1 2 tikett Win 2000 Professional 4 Hitelesítési adatok Windows 2000 KDC 3 A név és egy Windows NT felhasználó összerendelése Windows 2000 Server
A Kerberos protokoll előnyei n Gyorsabb hitelesítés n n Ügyfél és kiszolgáló kölcsönös hitelesítése A hitelesítés delegálható n n Hitelesítés több rétegű ügyfél/kiszolgáló felépítés esetén Tranzitív bizalmi kapcsolat a tartományok között n n Skálázhatóbb kiszolgáló alkalmazások Egy gyorsítótár segítségével a jegyek újra felhasználhatók Egyszerűsödik a tartományok közötti menedzsment Érett és elterjedt IETF szabvány
Hitelesítést használó szolgáltatások Fájl elérés COM+ CIFS/SMB Secure RPC IE, IIS HTTP ADSI alkalmazás Mail, News LDAP POP 3, NNTP SSPI NTLM Kerberos NTLM KDC/DS SChannel SSL/TLS
Kerberos történelme n n n Kerberos IV: MIT Athena projekt A Kerberos IV-et sok egyetemen használják (sok Kerberizált UNIX-os alkalmazás) A Kerberos IV-et használta az Andrew File System (AFS) A Kerberos v 5 szabványos (RFC-1510) A Kerberos IV és Kerberos v 5 NEM működnek együtt! A Windows 2000 Kerberos v 5 -öt valósít meg
Kik implementálták a Kerberost? n n n n Cyber. Safe DCE Kerberos Computer Associates (megvette Platinum-ot (megvette az Open. Vision-t)) Sun (Solaris 7 -től) IBM OS/390 (DCE) MIT Heimdal
Kerberos a Windows 2000 ben n Szabványok n n n RFC-1510 Kerberos change password – Internet Draft Kerberos set password – Internet Draft
Windows 2000 és MIT Kerberos különbségek Windows 2000 n Ügyfél n n Bejelentkezés Kijelentkezés Tartomány tagság Példa alk. : minden MIT n Ügyfél Ø Ø Bejelentkezés után ‘kinit’-tel Kijelentkezés előtt ‘kdestroy’-jal Konfiguráció az /etc/krb 5. conf-ban Példa alk. : telnet
A PKI felhasználási területei n n Smart Card Titkosított fájlrendszer (EFS) Titkosított levelezés SSL n n n Kiszolgáló hitelesítés Titkos adatátvitel Ügyfél hitelesítés 1 -1 vagy több-1 értelmű felhasználó megfeleltetés Authenticode RAS/VPN, IPSec
A Smart Cardok jellemzői n n Nem Chip card!!! ISO 7816 RSA crypto co-processor Helyi tároló n n 6 -24 KB ROM a Card OS-nak és az alkalmazásoknak 128 -512 Byte (!) RAM a run-time adatoknak 1 -16 KB EEPROM a felhasználói adatoknak Card OS n Windows for Smart Cards, MULTOS, Java VM subset, Gemplus, Schlumberger, Siemens, Bull, . . .
Smart Card gyártók n Kártyák n n n Gemplus Gem. SAFE Schlumberger Cryptoflex Olvasók n n n USB n Advanced Card Systems, Fortress, Utimaco, SCM Microsystems Serial n Bull, Cherry, Gemplus, Hewlett Packard, Litronic, Rainbow, Schlumberger, SCM Microsystems, Utimaco, XAC PCMCIA n Gemplus, Schlumberger, SCM Microsystems, Toshiba, Tritheim, Utimaco
Smart Card a valóságban n Elég lassú n n n 8 -bit/16 -bites adathozzáférés Fél-duplex soros interfész Korlátozott adatterület n n Tanusítványok, kulcsok, . . . Nincs szabvány az adatok tárolására
Smart Card előnyök n Sehogyan sem férhetünk hozzá a privát kulcshoz n n n Ott keletkezik és soha nem hagyja el a kártyát Minden crypto művelet belül fut le, mi csak megkérjük a soros porton Hordozható „igazolvány”
Smart Card a gyakorlatban n n Csak a Users csoport tagjai élhetnek meg egy szál kártyával Mi történjen, ha kihúzzuk a kártyát? n n Lehetőségek: n Semmi n Képernyő zárolása n Kijelentkezés Mindez házirenddel szabályozható
Smart Card Logon SC Olvasó 1 A kártya előhívja a GINA-t 4 LSA elkéri a kártyától a tanusítványt 2 PIN megadása 8 A Smart Card dekódolja a TGT-t a felhasználó privát kulcsával. Az LSA bejelentkezteti a felhasználót. 3 GINA átadja a PIN -t az LSAnak 5 A Kerberos elküldi a tanusítványt a KDC-nek 7 A KDC kiadja a TGT-t, amely a felhasználó publikus kulcsával lett titkosítva Kerb ero s LSA 6 A tanusítvány ellenőrzése az AD alapján KDC
PIN kód menedzsment n PIN jelszó n n n A PIN-nek nem kell hosszúnak lennie n n A kártyához és nem a hálózathoz való hozzáférést szabályozza A PIN soha, semmilyen formátumban nem megy át a hálózaton A Smart Card zárolja magát, ha ismételten próbálkoznak A Windows 2000 éppen ezért NEM kezeli a PIN kódokat
Smart Card logon konfiguráció 1. 2. 3. 4. 5. 6. 7. Smart Card olvasó telepítése (Pn. P) Enterprise Root CA telepítése (default) „Enrollment Agent” és „Smart Card User” típusú sablonok engedélyezése Enrollment Agent tanusítvány kérése az Administrator számára Web enrollment oldalon „Smart Card User” tanusítvány a felhasználó számára Tanusítvány letárolása a Smart Cardon A munkaállomáson a CA tanusítványát telepíteni, hogy megbízzon benne (Házirend)
Encrypting File System (EFS) n Biztonságos adatvédelem n n Az alkalmazások számára átlátszó és gyors Elérhető a grafikus felületről vagy parancsorból Alkalmazható egyes fájlokra vagy egész könyvtárakra (rekurzív) Nagyvállalati szolgáltatások n n n Helyreállítás (a dolgozó kilépett a cégtől) Titkosítás fájlszervereken és nem csak a munkaállomáson vagy notebook-okon Automatikus kulcs menedzsment
Dokumentum titkosítás Holnap reggel Data Decryption Field generálása (RSA) Felhasználó nyilvános kulcsa File encryption key (FEK) *#$fjd a^j u 539 Titkosítás (DES) Data Recovery Field generálása (RSA) Random Generátor DDF DRF Helyreállító ügynök nyilvános kulcsa (Házirend)
Dokumentum dekódolás Holnap reggel Visszafejtés (DES) *#$fjd a^j u 539 File encryption key (FEK) A felhasználó privát kulcsa DDF kibontás (RSA) DDF
Dokumentum helyreállítás Holnap reggel Visszafejtés (DES) *#$fjd a^j u 539 File encryption key (FEK) A Recovery Agent privát kulcsa DRF kibontás (RSA) DRF
Adat helyreállítás n “Encrypted Data Recovery Policy” (EDRP) n n A domain házirend része FEK az összes EDRP-ben tárolt nyilvános kulccsal titkosításra kerü EDRP a tartomány minden gépén elérhető A visszaállítás során nem a felhasználó privát kulcsát állítjuk vissza, hanem közvetlenül az adatot
Скачать презентацию Biztonsági szolgáltatások Windows 2000 -ben Szalontay Zoltán Tarsoly
81e6f3e2ff8c2217f5fafb1a6611ad6d.ppt