Управление идентификацией и доступом Артем Черневский специалист по технологиям Microsoft Содержание Обзор концепций управления идентификацией и доступом Управление идентификацией Управление доступом к интранету Управление доступом к экстранету Обзор концепций управления учетными данными и доступом Обзор концепций управления идентификацией и доступом Управление идентификацией Управление доступом к интранету Управление доступом к экстранету Основные задачи управления цифровыми идентификаторами Типовые задачи по управлению цифровыми учетными данными включают в себя: Управление множеством хранилищ учетных данных Управление доступом к интранету Управление доступом к экстранету Что такое управление учетными данными и управление доступом? Управление жизненным циклом учетных данных Управление доступом Службы каталогов Интеграция приложений Как управление учетными данными и доступом может упростить управление каталогами? Инициативы, упрощающие управление каталогом, включают в себя: Автоматизацию инициализации и деинициализации Внедрение объединения учетных данных и их синхронизации Установку служб каталогов и стандартов безопасности Установку стандартов разработки ПО и стандартов оборудования Снижение ССВ (совокупной стоимости владения) Как управление учетными данными и доступом снижает требования к уровню подготовки пользователей? Инициативы, снижающие требования к уровню подготовки пользователей, включают в себя: Консолидация хранилищ учетных данных Улучшение управления паролями Использование SSO – Single Sign-On («единый вход») Улучшение доступа для сотрудников, заказчиков и партнеров Как управление учетными данными и доступом может повысить безопасность? Инициативы, повышающие безопасность, включают в себя: Применение политик безопасности и политик доступа Улучшение управления паролями Усиление механизмов аутентификации Установление политик аудита безопасности Разработка приложений, управляющих доступом по учетным данным Понимание технологий управления учетными данными и управления доступом Управление жизненным Управление циклом учетных данных доступом Интеграция учетных данных Инициализация/Деинициализация Делегирование административных полномочий Передача части административных функций пользователям Управление паролями и учетными данными Аутентификация Авторизация Доверительные отношения Аудит безопасности Службы каталогов Пользователи, атрибуты Учетные данные и группы службы каталогов Active Directory Active Directory Application Mode Управление идентификацией Обзор концепций управления идентификацией и доступом Управление идентификацией Управление доступом к интранету Управление доступом к экстранету Основные задачи управления учетными данными Задачи, связанные с управлением множеством хранилищ учетных данных: Стоимость управления Производительность сотрудников Безопасность Интеграция службы поддержки клиентов и канала поставок Обзор жизненного цикла учетных данных 1 4 Увольнение пользователя - Блокирование учетной записи -Удаление прав на доступ 3 Новый пользователь -Создание уникального идентификатора (User ID) -Выдача учетных данных -Предоставление прав 2 Изменение прав доступа Служба Поддержки -Сброс пароля -Новые полномочия -Повышения -Переводы -Смена полномочий Интеграция учетных данных из разных каталогов Подходы к управлению интеграцией учетных данных из разных каталогов включают в себя: Администрирование «вручную» Настраиваемые сценарии Службы интеграции Продукты для интеграции учетных данных Обзор служб и продуктов для интеграции учетных данных Вы можете обеспечить интеграцию учетных данных, используя множество предназначенных для этого продуктов и служб: Identity Integration Feature Pack Microsoft Identity Integration Server 2003 Services for UNIX Services for NetWare Host Integration Server Active Directory Connector Active Directory to ADAM Synchronizer Использование Identity Integration Feature Pack для управления учетными данными IIFP – бесплатный продукт, который обеспечивает связывание только каталогов и систем обмена сообщениями: Active Directory для Windows 2000 Server и более поздних версий Active Directory Application Mode (ADAM) Exchange 2000 Server и Exchange Server 2003 (синхронизация глобальной адресной книги) Использование Microsoft Identity Integration Server для управления учетными данными MIIS 2003 обеспечивает : Агрегацию и синхронизацию учетных данных Встроенная поддержка более 20 хранилищ Обеспечение механизма SSO в пределах всей организации Использование SQL Server в качестве хранилища учетных данных Инициализация учетных записей Автоматизированное создание/удаление учетных записей Управление группами и списками рассылки Комплексные процедуры Управление паролями Обзор интеграции учетных данных с использованием MIIS Синхронизация множества хранилищ Подключение к другим системам без использования агентов Контроль на уровне атрибутов Intranet Active Directory MA Управление глобальными адресными списками Автоматизация управления группами и списками рассылки Sun ONE Directory MA MV CS MA Extranet Active Directory MA CS=Connector Space MV=Metaverse CS CS Сокращения MA=Management Agent CS MIIS 2003 Lotus Notes Внедрение инициализации учетных записей Типовые направления для внедрения инициализации учетных данных включают в себя: Инициализация через отдел кадров Инициализация через Web Комплексная процедура инициализации с использованием Microsoft BizTalk Server 2004 Управление паролями MIIS 2003 предоставляет возможность управлять паролями через: Сброс паролей службой поддержки Смена пароля средствами Windows Смена пароля через Web Смена пароля средствами сторонних разработчиков Управление идентификацией: Рекомендации Определите все бизнес-правила ДО реализации Определите обязанности службы поддержки Определите все существующие системы или процессы, которые могут конфликтовать с синхронизацией учетных данных Обучите разработчиков и сотрудников службы поддержки Определите необходимость разработки дополнительного ПО Внедрите план аварийного восстановления и защитите служебные учетные записи MIIS Управление доступом к интранету Обзор концепций управления идентификацией и доступом Управление идентификацией Управление доступом к интранету Управление доступом к экстранету Основные задачи управления доступом к интранету Обычные бизнес-ситуации, связанные с управлением доступом к интранет, включают в себя: Отсутствие единого входа Большое количество запросов на сброс паролей Множество несогласованных подходов к обеспечению безопасности Подходы к реализации механизма SSO Сценарии реализации механизма SSO – Single SignOn, однократной регистрации – включают в себя (в порядке предпочтения) : Интеграцию приложений со службами безопасности Windows Интеграция службы каталогов Windows и служб безопасности на уровне платформы Интеграция приложений со службой каталогов Windows Косвенная интеграция через таблицы соответствия учетных данных из разных хранилищ Синхронизация учетных записей и паролей Реализация механизма SSO входа Варианты механизма SSO: Интеграция в настольные приложения системы инструментов SSO Реализация механизма SSO через Web Таблицы соответствия учетных данных из разных хранилищ или SSO в пределах всей организации Использование Credential Manager Credential Manager используется для автоматического сохранения пользовательских учетных данных и повторного использования их в будущем для доступа к ресурсам Credential Manager поддерживает следующие типы учетных данных: Комбинация имя пользователя/пароль Цифровые сертификаты X.509 Учетные данные Microsoft Passport Обзор способов авторизации Windows Windows Server 2003 поддерживает несколько механизмов авторизации: Модель построенная на списках доступа Windows (Access Control List) Авторизация на основе ролей Авторизация с использованием ASP.NET Windows Server 2003 Authorization Manager Authorization Manager объединяет пользователей по различным ролям приложений: Mary Хранилище политик авторизации Mary = Manager Bob = User Bob Авторизация выполняется на сервере приложений Основанный на ролях доступ к ресурсам Организация единого входа Процесс единого входа (Single Sign-On) Организация единого входа Запуск службы Microsoft Single Sign-on Service Учетная запись с правами локального администратора, роль Single Sign-on Administrator Тип запуска - Авто Организация единого входа Конфигурация с меньшей безопасностью. На одном сервере Конфигурация с большей безопасностью. Разделение веб-сервера и сервера заданий Рекомендуемая конфигурация с высоким уровнем безопасности. Веб-сервер интерфейса Сервер заданий Сервер базы данных единого входа Организация единого входа Учетные данные используемые для единого входа шифруются специальным ключом Создается автоматически Можно создать новый (локально) Можно выполнить повторное шифрование учетных данных Рекомендуется создать резервную копию ключа шифрования Организация единого входа Чтобы включить аудит изменения ключа шифрования HKEY_LOCAL_MACHINE\SOFTWARE\Microsof t\ssosrv\Config – аудит ВСЕ на ОТКАЗ Политика аудита – аудит доступа к объектам ОТКАЗ Управление доступом к экстранету Обзор концепций управления идентификацией и доступом Управление идентификацией Управление доступом к интранету Управление доступом к экстранету Основные задачи управления доступом к экстранету Типовые задачи, связанные с управлением доступом к экстранету, включают в себя: Обеспечение безопасных соединений через Web Гарантия надежных авторизации и механизма контроля доступа Потребность в единой модели безопасности, включающей в себя аутентификацию, единую регистрацию через Web, авторизацию и персонализацию Определение характеристик экстранета Характеристики, которые могут повлиять на Ваш способ предоставления доступа к ресурсам экстранета, включают в себя: Виртуальные частые сети (VPN) или реализация механизма SSO через Web Используемая служба каталогов Существующие приложения Управление жизненным циклом учетных данных Безопасность паролей Обзор способов аутентификации для доступа к экстранету Протоколы, используемые для доступа к экстранету: SSL 3.0 и TLS 1.0 Аутентификация с помощью Microsoft Passport Аутентификация, основанная на хэше паролей Аутентификация с использованием форм Базовая аутентификация Обзор технологий авторизации доступа к экстранету Технологии авторизации доступа к экстранету могут включать в себя: Списки доступа (Access Control List) На основе ролей (Role Based Access Control) Использование доверительных отношений и «теневых» учетных записей для доступа к экстранету Альтернативы использованию доверительных отношений: Использование «теневых» учетных записей Внедрение инфраструктуры открытых ключей (Public Key Infrastructure) Иерархическая модель субординации Внедрение системы аудита безопасности Аудит безопасности используется для мониторинга следующих сервисов: Службы каталогов Аутентификации Авторизации Следующие продукты и технологии могут быть использованы для аудита безопасности и генерации отчетов: Журнал безопасности Windows (Security Event Log) Windows Management Instrumentation (WMI) Microsoft Operation Management (MOM) Итоги сессии Внедрение решений управления доступом и идентификацией значительно снизит затраты на управление доступом, понизит требования к уровню подготовки пользователей и увеличит уровень безопасности MIIS 2003 может управлять идентификацией, автоматизировать создание и удаление учетных записей, синхронизировать различные типы информации в форматах различных хранилищ учетных данных Тщательное планирование системы авторизации и аутентификации обеспечивает основу, необходимую для эффективной защиты сетевой инфраструктуры Важно понимать какие протоколы авторизации и аутентификации подходят для доступа к экстранету Windows Server 2003 Update Codename “R2” Разработан на базе Windows Server 2003 SP1 Те же приложения, поддержка и обновления что и Windows Server 2003 Основные сценарии: Простой и безопасный доступ к информации Единый доступ отовсюду Identity Federation Защита периметра Оптимизация работы удаленных офисов Улучшенные механизмы развертывания и управления для удаленных серверов Оптимизация трафика WAN Единообразный доступ отовсюду Прямой доступ к файловому, Web и терминальному сервису Легкое внедрение Работа пользователя из любой точки Более безопасно чем VPN Anywhere Access Server File Shares Apps via TS https:// Outlook via Exchange Identity Federation Active Directory Federation Services Расширение Active Directory чтобы позволить единый вход к нескольким организациям Исключает необходимость ручного контроля внешних пользователей Стандартизированное взаимодействие с другими платформами AD Company A AD Company B Демо: Identity Federation Использование Identity Federation London.nwtraders.msft Domain Controller Exchange Server 2003 IIS 6.0 Server DNS Server Enterprise CA Server 10.10.0.2/16 Denver.nwtraders.msft Windows XP SP2 Office 2003 131.107.0.1/16 Glasgow.nwtraders.msft MIIS Server ADAM Server 10.10.0.3 131.107.0.8 Internet Internal Network 10.10.0.0/16 Denver.nwtraders.msft Windows XP SP2 Office 2003 10.10.0.10/16 Vancouver.nwtraders.msft ISA Server 2004 10.10.0.1/16 131.107.0.1/16 Brisbane.northwindtraders.msft Domain Controller IIS 6.0 Server 10.10.0.20 Следующие шаги (EN) Узнайте о дополнительных курсах по безопасности: http://www.microsoft.com/seminar/events/security.mspx Подпишитесь на рассылку по безопасности: http://www.microsoft.com/technet/security/signup/ default.mspx Приобретите Security Guidance Kit: http://www.microsoft.com/security/guidance/order/ default.mspx Получите дополнительные утилиты и рекомендации: http://www.microsoft.com/rus/security/guidance (RU) Вопросы? Windows Update Service Пожелания Наиболее частые SUS 1.0 SP1 WUS Установка сервис-паков Установка на SBS и DC Поддержка Office и других продуктов MS Поддержка дополнительных типов обновлений Отмена установки исправления Выборочная установка исправлений Поддержка медленных каналов связи Уменьшение загружаемого объема Задание частоты установки обновлений Уменьшить взаимодействие с конечным пользователем Немедленная установка патча (‘красная кнопка’) * Установка обновлений к сторонним приложениям Поддержка NT4 *Partially addressed through polling frequency control and scripts WUS Поддерживаемые продукты • Обновления – Все продукты Microsoft со временем – В RTM • • • • Windows 2000 SP3 и позже Office XP SP2 и Office 2003 SQL 2000 и MSDE 2000 Exchange 2003 • Поддерживается – Windows 2000 SP3 (SP4 for Server) и позже – Windows XP RTM и позже – Windows Server 2003 RTM и позже – Все локализованные версии (+ MUI) Возможности управления • На уровне групп – Поддержка политик AD – Списки для рабочих групп • Контроль администратора – – – – – – – – Запуск сканирования рабочих станций Одобрения для установки и удаления Конечная дата для установки обновления Установка различных обновлений по группам Задание частоты опроса клиентских компьютеров Задание опций перезагрузки Настройка порта Возможность установки обновлений без административных прав – Установка при выключении (XP SP2) Оптимизация использования сети • «без вопросов», прозрачно для пользователя – BITS* для клиент-сервер и серверсервер соединений – Загрузка в фоновои режиме • Уменьшение загружаемого объема – Выбор обновлений по продуктам и версиям – Поддержка технологий сжатия при соединении клиент-сервер – Возможность загрузки только одобренных исправлений *Background Intelligent Transfer Service Новые отчеты • Стандартные сводные отчеты (клиент) – Компьютер/Исправление/Группа – Загрузка, установка успешные и нет (номер ошибки). • Отчет по синхронизации - Что добавилось, что изменилось • Суммарные отчеты по нескольким серверам – Передача отчета корневому серверу • Интеграция журналов событий – Запись событий в локальный журнал приложений Следующие шаги (EN) Узнайте о дополнительных курсах по безопасности: http://www.microsoft.com/seminar/events/security.mspx Подпишитесь на рассылку по безопасности: http://www.microsoft.com/technet/security/signup/ default.mspx Приобретите Security Guidance Kit: http://www.microsoft.com/security/guidance/order/ default.mspx Получите дополнительные утилиты и рекомендации: http://www.microsoft.com/rus/security/guidance (RU) Вопросы?