1 Windows 8 … czas na zmianyTomasz Onyszko Architekt

2 Windows 8 … czas na zmiany Enterprise Security Tomasz Onyszko Architekt

3

4 Agenda Zmiany Wirtualizacja Dynamic Access Control

5

6 Nowości i nowinki

7

8 Szybkie i łatwe wdrożenieRecycle Bin UI Group Managed Services Accounts Wsparcie dla wirtualizacji Powershell History Fine grained password policy UI Powershel Cmdlets – Active Directory Replication & Topology Active Directory Based Activation Kerberos Zmiany w platformie Active Directory Dynamic Access Control

9 Zmiany w UI: Recycle Bi Recycle Bin No i jest Brak odtwarzania subtreeWprowadzony w Windows 2008 R2 Brak UI No i jest Brak odtwarzania subtree

10 Zmiany w UI: FGPP FGPP Tak jak i w przypadku Recycle Bin

11 Group Managed Service Account (gMSA)Managed Services Accounts Wprowadzone w Windows 2008 R2 Możliwość użycia w ramach jednej maszyny Nieobsługiwane usługi Klastry Usługi IIS pracujące w NLB

12 Group Managed Service Account (gMSA)Nowy typ security principal w Windows 8 Jedno gMSA mogą używać usługi w ramach różnych maszyn Wymagany Windows 8 DC Hasła generowane i zarządzane są przez Group Key Distribution Service (GKDS) Uwierzytelnienie względem dowolnego DC

13 Powershell History Active Directory Administrative CenterNowa konsola zarządzająca AD Pod UI wszystkie polecenia wykonywane są poprzez Powershell

14 Active Directory Based ActivationKMS Prosta usługa Brak uwierzytelnienia i autoryzacji: Connect == Aktywacja AD BA Aktywacja w oparciu o usługę katalogu Tylko dostęp do LDAP Brak dodatkowych usług: Dane do aktywacji w partycji konfiguracji Tylko Windows 8 KMS i AD BA mogą pracować równocześnie

15 Kerberos Kerberos Constrained Delegation (KCD) Windows 8 KCDPozwala na delegację uwierzytelnienia do wybranych usług Od Windows 2003 działa w ramach jednego lasu Windows 8 KCD Działa pomiędzy usługami w różnych lasach Odwrócenie sytuacji – to back-end podejmuje decyzję które konta mogą wykonywać delegację Front-end i Back-end wymagają przynajmniej 1 DC Windows 8

16 Kerberos FAST Kerberos Flexible Authentication Secure TunnelingProblemy z error spoofing (klient obniża wymagania lub przełącza się na inny protokół) Ochrona danych wysyłanych w ramach pre-authentication Flexible Authentication Secure Tunneling Dodatkowe uwierzytelnienie kanału Klient <-> DC Kanał uwierzytelniony poprzez Logon Session Key konta komputera Uwierzytelnienie konta komputera nadal jest niezabezpieczone FAST

17 Active Directory RID exthausion Problem: Windows 8RID: identyfikator przydzielana tworzonemu obiektowi w AD Ogólna pula RID 2^30 Każdy z DC otrzymuje pulę RID odnawianą wg potrzeb. Problem: Błąd może powodować wyczerpanie puli dostępnych RID Windows 8 Eliminacja błędów związanych z RID Exthausion Zwiększona ogólna pula RID – 2^31 (włączana opcjonalnie - sidCompatibilityVersion:1) Mechanizmy logowania i monitorowania zużycia RID (event log)

18 Dodatkowo LDAP Off-line domain join spoza sieciRozszerzenie dostępnych kontrolek LDAP Nowe mechanizmy logowania LDAP Off-line domain join spoza sieci Możliwość przekazania danych dostępu Direct Access Dodanie do domeny poprzez Internet Opóźnione przebudowanie indeksów AD Nowe atrybuty rootDSE

19 Wirtualizacja to Rewelacja …

20 ... Chyba że mówimy o DC Active Directory jest w pełni wspierane na VMWspierane ale: Nie wspieramy snapshot i odtwarzania VM z DC Kopiowania VHD z DC Export / Import maszyn z DC Problem: Administratorzy infrastruktury VM i domen nie są świadomi ograniczeń

21 W czym tkwi problem (raz jeszcze)DC1 DC2 Czas: T1 Tworzymy snapshot USN: 100 ID: A RID Pool: = 200 +100 dodanych kont Czas: T2 USN: 200 Sekwencja zdarzeń ID: A RID Pool: DC2 pobiera zmiany: USNs >100 Czas: T3 T1 Odtworzony snapshot! USN: 100 ID: A RID Pool: = 250 +150 dodatkownych kont Czas: T4 USN: 250 DC2 pobiera zmiany: USNs >200 ID: A RID Pool:

22 My name is Clone, DC CloneWindows 8 DC rapid deployment Wdrożenie nowych kontrolerów domeny poprzez operację export\import na poziomie hypervisora Windows 8 rozpoznaje następujące operacje Odtworzenie snapshot Skopiowanie VM (Uwaga: Nie podmianę VHD !) Jak Zmiana VM generation ID podczas operacji hypervisora Nowy DC tworzony jako klon podstawowego na podstawie danych konfiguracji

23 Windows 8 Sekwencja zdarzeń DC2 pobiera zmiany: USNs >100Czas: T1 Tworzymy snapshot USN: 100 ID: A | savedVMGID: G1 | VMGID: G1 +100 dodanych kont = 200 Czas: T2 USN: 200 Sekwencja zdarzeń ID: A | savedVMGID: G1 | VMGID: G1 DC2 pobiera zmiany: USNs >100 Czas: T3 T1 Odtworzony snapshot USN: 100 ID: A | savedVMGID: G1 | VMGID: G2 … poprzednie zmiany replikowane są do DC1 +150 nowych kont: wykryto zmianę VM generation ID : DEPLOY SAFEGUARDS = 200 = 250 Czas: T4 USN: 250 ID: B | savedVMGID: G2 | VMGID: G2 DC2 pobiera zmiany: USNs >101

24 Kto ma gotowy plan odtworzenia lasuCzas na pytanie? Kto ma gotowy plan odtworzenia lasu ?

25 Odtworzenie lasu – pre Windows 8Odtwórz pierwszy DC w ramach domeny Przygotuj kolejny obraz, wypromuj go na DC Przygotuj kolejny obraz, wypromuj go na DC predica.lab Odtwórz pierwszy DC w ramach domeny Przygotuj kolejny obraz, wypromuj go na DC Przygotuj kolejny obraz, wypromuj go na DC sub.predica.lab

26 Odtworzenie lasu – pre Windows 8 Odtworzenie lasu – Windows 8Odtwórz pierwszy DC w ramach domeny (DC1) Sklonuj DC1 Sklonuj DC1 predica.lab Odtwórz pierwszy DC w ramach domeny (SDC1) Sklonuj SDC1 Sklonuj SDC1 sub.predica.lab

27

28 Dynamic Access Control

29 Jak to drzewiej bywało (i bywa nadal)?DC FS RW RW RO RO RW RO RW RO Praktykant Token Size

30 Jak to drzewiej bywało (i bywa nadal)?DC FS RW RW RO RO RW RO RW RO Praktykant FTE

31 Dwa pytania … tylko szczerzeCzy wiecie do czego służą grupy w Waszym AD? Czy wiecie kto do czego ma przez nie dostęp?

32 Obecne podejście ProblemyTrudność w określeniu zestawu uprawnień w zależności od potrzeb biznesowych Brak centralnej administracji Trudne w utrzymaniu Liczba grup powoduje zwiększenie rozmiaru tokenu

33 Dynamic Access ControlNie zastępuje obecnego modelu (DACL) Mogą istnieć równocześnie Model autoryzacji oparty o claims Pochodzące z Active Directory User claims Device claims Centralne zarządzanie polityką dostępu – Central Access Policy (CAP)

34 Zarządzanie dostępem Reguły dostępu do plików wyrażone poprzez claims oraz klasyfikacje plików Claims wynikające z atrybutów użytkownika / urządzenie Obejmuje również reguły audytu Klasyfikacja plików Centralny sposób zarządzania właściwościami w ramach klasyfikacji poprzez GPO

35 Beyond File System Active Directory Federation Service 2.1 AD FS 2.1Full class citizen: Dostępna jako rola w systemie AD FS 2.1 Pozwala na umieszczenie w tokenie SAML claims pobranych wprost z tokenu Kerbers Pozwala na umieszczeniu w tokenie user / device claim

36 Dynamic Access ControlDEMO

37 Podsumowanie

38 Windows 8 Server wprowadza duże zmiany w ramach usługi katalogowejWsparcie dla DC i wirtualizacji Dynamic Access Control - zmiana podejście do autoryzacji Wdrożenie usługi katalogowej Usprawnienia operacyjne i UI (ewolucja)

39 Dziękuję … Q&A [email protected] http://www.w2k.pl