Управление доступом

реклама
Управление
идентификацией и
доступом
Артем Черневский
специалист по технологиям
Microsoft
Содержание
Обзор концепций управления идентификацией и
доступом
Управление идентификацией
Управление доступом к интранету
Управление доступом к экстранету
Обзор концепций управления учетными
данными и доступом
Обзор концепций управления идентификацией и
доступом
Управление идентификацией
Управление доступом к интранету
Управление доступом к экстранету
Основные задачи управления цифровыми
идентификаторами
Типовые задачи по управлению цифровыми
учетными данными включают в себя:
Управление множеством хранилищ учетных данных
Управление доступом к интранету
Управление доступом к экстранету
Что такое управление учетными данными и
управление доступом?
Управление
жизненным
циклом учетных
данных
Управление
доступом
Службы каталогов
Интеграция приложений
Как управление учетными данными и доступом может
упростить управление каталогами?
Инициативы, упрощающие управление
каталогом, включают в себя:
Автоматизацию инициализации и
деинициализации
Внедрение объединения учетных
данных и их синхронизации
Установку служб каталогов и
стандартов безопасности
Установку стандартов разработки ПО и
стандартов оборудования
Снижение ССВ (совокупной стоимости
владения)
Как управление учетными данными и доступом снижает
требования к уровню подготовки пользователей?
Инициативы, снижающие требования к уровню
подготовки пользователей, включают в себя:
Консолидация хранилищ учетных данных
Улучшение управления паролями
Использование SSO – Single Sign-On («единый вход»)
Улучшение доступа для сотрудников, заказчиков и
партнеров
Как управление учетными данными и доступом
может повысить безопасность?
Инициативы, повышающие безопасность,
включают в себя:
Применение политик безопасности и
политик доступа
Улучшение управления паролями
Усиление механизмов аутентификации
Установление политик аудита
безопасности
Разработка приложений, управляющих
доступом по учетным данным
Понимание технологий управления учетными
данными и управления доступом
Управление жизненным Управление
циклом учетных данных доступом
Интеграция учетных данных
Инициализация/Деинициализация
Делегирование административных
полномочий
Передача части административных
функций пользователям
Управление паролями и учетными
данными
Аутентификация
Авторизация
Доверительные
отношения
Аудит безопасности
Службы каталогов
Пользователи, атрибуты
Учетные данные и группы
службы каталогов Active Directory
Active Directory Application Mode
Управление идентификацией
Обзор концепций управления идентификацией и
доступом
Управление идентификацией
Управление доступом к интранету
Управление доступом к экстранету
Основные задачи управления учетными данными
Задачи, связанные с управлением множеством
хранилищ учетных данных:
Стоимость управления
Производительность сотрудников
Безопасность
Интеграция службы поддержки клиентов и канала
поставок
Обзор жизненного цикла учетных данных
1
4
Увольнение
пользователя
- Блокирование
учетной записи
-Удаление прав на
доступ
3
Новый пользователь
-Создание уникального
идентификатора (User ID)
-Выдача учетных данных
-Предоставление прав
2
Изменение прав
доступа
Служба Поддержки
-Сброс пароля
-Новые полномочия
-Повышения
-Переводы
-Смена полномочий
Интеграция учетных данных из разных каталогов
Подходы к управлению интеграцией учетных
данных из разных каталогов включают в себя:
Администрирование «вручную»
Настраиваемые сценарии
Службы интеграции
Продукты для интеграции учетных данных
Обзор служб и продуктов для интеграции
учетных данных
Вы можете обеспечить интеграцию учетных
данных, используя множество предназначенных
для этого продуктов и служб:
Identity Integration Feature Pack
Microsoft Identity Integration
Server 2003
Services for UNIX
Services for NetWare
Host Integration Server
Active Directory Connector
Active Directory to ADAM
Synchronizer
Использование Identity Integration Feature Pack для
управления учетными данными
IIFP – бесплатный продукт, который обеспечивает
связывание только каталогов и систем обмена
сообщениями:
Active Directory для Windows 2000 Server и более
поздних версий
Active Directory Application Mode (ADAM)
Exchange 2000 Server и Exchange Server 2003
(синхронизация глобальной адресной книги)
Использование Microsoft Identity Integration Server
для управления учетными данными
MIIS 2003 обеспечивает :
Агрегацию и синхронизацию учетных данных
Встроенная поддержка более 20 хранилищ
Обеспечение механизма SSO в пределах всей организации
Использование SQL Server в качестве хранилища учетных
данных
Инициализация учетных записей
Автоматизированное создание/удаление
учетных записей
Управление группами и списками
рассылки
Комплексные процедуры
Управление паролями
Обзор интеграции учетных данных с
использованием MIIS
Синхронизация множества хранилищ
Подключение к другим системам без
использования агентов
Контроль на уровне атрибутов
Intranet Active
Directory
MA
Управление глобальными адресными
списками
Автоматизация управления группами и
списками рассылки
Sun ONE
Directory
MA
MV
CS
MA
Extranet Active
Directory
MA
CS=Connector Space
MV=Metaverse
CS
CS
Сокращения
MA=Management Agent
CS
MIIS 2003
Lotus Notes
Внедрение инициализации учетных записей
Типовые направления для внедрения
инициализации учетных данных включают в себя:
Инициализация через отдел кадров
Инициализация через Web
Комплексная процедура инициализации с
использованием Microsoft BizTalk Server 2004
Управление паролями
MIIS 2003 предоставляет возможность
управлять паролями через:
Сброс паролей службой поддержки
Смена пароля средствами Windows
Смена пароля через Web
Смена пароля средствами сторонних
разработчиков
Управление идентификацией: Рекомендации
 Определите все бизнес-правила ДО реализации
 Определите обязанности службы поддержки
Определите все существующие системы или
 процессы, которые могут конфликтовать с
синхронизацией учетных данных
 Обучите разработчиков и сотрудников службы
поддержки
 Определите необходимость разработки
дополнительного ПО
Внедрите план аварийного восстановления и
 защитите служебные учетные записи MIIS
Управление доступом к интранету
Обзор концепций управления идентификацией и
доступом
Управление идентификацией
Управление доступом к интранету
Управление доступом к экстранету
Основные задачи управления
доступом к интранету
Обычные бизнес-ситуации, связанные с
управлением доступом к интранет, включают в
себя:
Отсутствие единого входа
Большое количество запросов на сброс паролей
Множество несогласованных подходов к обеспечению
безопасности
Подходы к реализации механизма SSO
Сценарии реализации механизма SSO – Single SignOn, однократной регистрации – включают в себя (в
порядке предпочтения) :
Интеграцию приложений со службами безопасности
Windows
Интеграция службы каталогов Windows и служб
безопасности на уровне платформы
Интеграция приложений со службой каталогов
Windows
Косвенная интеграция через таблицы соответствия
учетных данных из разных хранилищ
Синхронизация учетных записей и паролей
Реализация механизма SSO входа
Варианты механизма SSO:
Интеграция в настольные приложения системы
инструментов SSO
Реализация механизма SSO через Web
Таблицы соответствия учетных данных из разных
хранилищ или SSO в пределах всей организации
Использование Credential Manager
Credential Manager используется для
автоматического сохранения пользовательских
учетных данных и повторного использования их в
будущем для доступа к ресурсам
Credential Manager поддерживает следующие типы
учетных данных:
Комбинация имя пользователя/пароль
Цифровые сертификаты X.509
Учетные данные Microsoft Passport
Обзор способов авторизации Windows
Windows Server 2003 поддерживает несколько
механизмов авторизации:
Модель построенная на списках доступа Windows
(Access Control List)
Авторизация на основе ролей
Авторизация с использованием ASP.NET
Windows Server 2003 Authorization
Manager
Authorization Manager объединяет пользователей по
различным ролям приложений:
Mary
Хранилище
политик
авторизации
Mary = Manager
Bob = User
Bob
Авторизация выполняется
на сервере приложений
Основанный на ролях
доступ к ресурсам
Организация единого входа
Процесс единого входа (Single Sign-On)
Организация единого входа
Запуск службы Microsoft Single Sign-on Service
 Учетная запись с правами локального
администратора, роль Single Sign-on
Administrator
Тип запуска - Авто
Организация единого входа
Конфигурация с меньшей безопасностью.
 На одном сервере
Конфигурация с большей безопасностью.
 Разделение веб-сервера и сервера заданий
Рекомендуемая конфигурация с высоким уровнем безопасности.
 Веб-сервер интерфейса
 Сервер заданий
 Сервер базы данных единого входа
Организация единого входа
Учетные данные используемые для единого входа
шифруются специальным ключом
 Создается автоматически
 Можно создать новый (локально)
 Можно выполнить повторное шифрование учетных
данных
 Рекомендуется создать резервную копию ключа
шифрования
Организация единого входа
Чтобы включить аудит изменения ключа
шифрования
 HKEY_LOCAL_MACHINE\SOFTWARE\Microsof
t\ssosrv\Config – аудит ВСЕ на ОТКАЗ
 Политика аудита – аудит доступа к объектам ОТКАЗ
Управление доступом к экстранету
Обзор концепций управления идентификацией и
доступом
Управление идентификацией
Управление доступом к интранету
Управление доступом к экстранету
Основные задачи управления доступом к
экстранету
Типовые задачи, связанные с управлением
доступом к экстранету, включают в себя:
Обеспечение безопасных соединений через Web
Гарантия надежных авторизации и механизма
контроля доступа
Потребность в единой модели безопасности,
включающей в себя аутентификацию, единую
регистрацию через Web, авторизацию и
персонализацию
Определение характеристик экстранета
Характеристики, которые могут повлиять на Ваш
способ предоставления доступа к ресурсам
экстранета, включают в себя:
Виртуальные частые сети (VPN) или реализация
механизма SSO через Web
Используемая служба каталогов
Существующие приложения
Управление жизненным циклом учетных данных
Безопасность паролей
Обзор способов аутентификации для доступа
к экстранету
Протоколы, используемые для доступа к
экстранету:
SSL 3.0 и TLS 1.0
Аутентификация с помощью Microsoft Passport
Аутентификация, основанная на хэше паролей
Аутентификация с использованием форм
Базовая аутентификация
Обзор технологий авторизации доступа к
экстранету
Технологии авторизации доступа к экстранету могут
включать в себя:
Списки доступа (Access Control List)
На основе ролей (Role Based Access Control)
Использование доверительных отношений и
«теневых» учетных записей для доступа к экстранету
Альтернативы использованию доверительных
отношений:
Использование «теневых» учетных записей
Внедрение инфраструктуры открытых ключей (Public
Key Infrastructure)
Иерархическая модель субординации
Внедрение системы аудита безопасности
Аудит безопасности используется для мониторинга
следующих сервисов:
Службы каталогов
Аутентификации
Авторизации
Следующие продукты и технологии могут быть
использованы для аудита безопасности и
генерации отчетов:
Журнал безопасности Windows (Security Event Log)
Windows Management Instrumentation (WMI)
Microsoft Operation Management (MOM)
Итоги сессии

Внедрение решений управления доступом и идентификацией значительно
снизит затраты на управление доступом, понизит требования к уровню
подготовки пользователей и увеличит уровень безопасности

MIIS 2003 может управлять идентификацией, автоматизировать создание и
удаление учетных записей, синхронизировать различные типы информации в
форматах различных хранилищ учетных данных

Тщательное планирование системы авторизации и аутентификации
обеспечивает основу, необходимую для эффективной защиты сетевой
инфраструктуры

Важно понимать какие протоколы авторизации и аутентификации подходят
для доступа к экстранету
Windows Server 2003 Update Codename “R2”
Разработан на базе Windows Server 2003 SP1
 Те же приложения, поддержка и обновления что и
Windows Server 2003
 Основные сценарии:
Простой и безопасный доступ к информации
Единый доступ отовсюду
Identity Federation
Защита периметра
Оптимизация работы удаленных офисов
Улучшенные механизмы развертывания и управления
для удаленных серверов
Оптимизация трафика WAN
Единообразный доступ отовсюду
Прямой доступ к файловому, Web и терминальному сервису
Легкое внедрение
Работа пользователя из любой точки
Более безопасно чем VPN
Anywhere Access
Server
File Shares
Apps via TS
https://
Outlook via Exchange
Identity Federation
Active Directory Federation Services
Расширение Active Directory чтобы позволить единый вход к
нескольким организациям
Исключает необходимость ручного контроля внешних пользователей
Стандартизированное взаимодействие с другими платформами
AD
Company A
AD
Company B
Демо: Identity Federation
Использование Identity Federation
London.nwtraders.msft
Domain Controller
Exchange Server 2003
IIS 6.0 Server
DNS Server
Enterprise CA Server
10.10.0.2/16
Denver.nwtraders.msft
Windows XP SP2
Office 2003
131.107.0.1/16
Glasgow.nwtraders.msft
MIIS Server
ADAM Server
10.10.0.3
131.107.0.8
Internet
Internal Network
10.10.0.0/16
Denver.nwtraders.msft
Windows XP SP2
Office 2003
10.10.0.10/16
Vancouver.nwtraders.msft
ISA Server 2004
10.10.0.1/16
131.107.0.1/16
Brisbane.northwindtraders.msft
Domain Controller
IIS 6.0 Server
10.10.0.20
Следующие шаги (EN)
Узнайте о дополнительных курсах по безопасности:
http://www.microsoft.com/seminar/events/security.mspx
Подпишитесь на рассылку по безопасности:
http://www.microsoft.com/technet/security/signup/
default.mspx
Приобретите Security Guidance Kit:
http://www.microsoft.com/security/guidance/order/
default.mspx
Получите дополнительные утилиты и рекомендации:
http://www.microsoft.com/rus/security/guidance (RU)
Вопросы?
Windows Update Service
Пожелания
Наиболее частые
SUS 1.0 SP1
WUS
Установка сервис-паков


Установка на SBS и DC


Поддержка Office и других продуктов MS

Поддержка дополнительных типов обновлений

Отмена установки исправления

Выборочная установка исправлений

Поддержка медленных каналов связи

Уменьшение загружаемого объема

Задание частоты установки обновлений

Уменьшить взаимодействие с конечным пользователем

Немедленная установка патча (‘красная кнопка’)
*
Установка обновлений к сторонним приложениям
Поддержка NT4
*Partially addressed through polling frequency control and scripts
WUS Поддерживаемые продукты
• Обновления
– Все продукты Microsoft со
временем
– В RTM
•
•
•
•
Windows 2000 SP3 и позже
Office XP SP2 и Office 2003
SQL 2000 и MSDE 2000
Exchange 2003
• Поддерживается
– Windows 2000 SP3 (SP4 for Server)
и позже
– Windows XP RTM и позже
– Windows Server 2003 RTM и позже
– Все локализованные версии (+
MUI)
Возможности управления
• На уровне групп
– Поддержка политик AD
– Списки для рабочих групп
• Контроль администратора
–
–
–
–
–
–
–
–
Запуск сканирования рабочих станций
Одобрения для установки и удаления
Конечная дата для установки обновления
Установка различных обновлений по группам
Задание частоты опроса клиентских компьютеров
Задание опций перезагрузки
Настройка порта
Возможность установки обновлений без административных
прав
– Установка при выключении (XP SP2)
Оптимизация использования сети
• «без вопросов», прозрачно для
пользователя
– BITS* для клиент-сервер и серверсервер соединений
– Загрузка в фоновои режиме
• Уменьшение загружаемого объема
– Выбор обновлений по продуктам и
версиям
– Поддержка технологий сжатия при
соединении клиент-сервер
– Возможность загрузки только
одобренных исправлений *Background Intelligent Transfer Service
Новые отчеты
• Стандартные сводные отчеты (клиент)
– Компьютер/Исправление/Группа
– Загрузка, установка успешные и нет (номер
ошибки).
• Отчет по синхронизации
- Что добавилось, что изменилось
• Суммарные отчеты по нескольким серверам
– Передача отчета корневому серверу
• Интеграция журналов событий
– Запись событий в локальный журнал
приложений
Следующие шаги (EN)
Узнайте о дополнительных курсах по безопасности:
http://www.microsoft.com/seminar/events/security.mspx
Подпишитесь на рассылку по безопасности:
http://www.microsoft.com/technet/security/signup/
default.mspx
Приобретите Security Guidance Kit:
http://www.microsoft.com/security/guidance/order/
default.mspx
Получите дополнительные утилиты и рекомендации:
http://www.microsoft.com/rus/security/guidance (RU)
Вопросы?
Скачать