Управление идентификацией и доступом Артем Черневский специалист по технологиям Microsoft

Содержание Обзор концепций управления идентификацией и доступом Управление идентификацией Управление доступом к интранету Управление доступом к экстранету

Обзор концепций управления учетными данными и доступом Обзор концепций управления идентификацией и доступом Управление идентификацией Управление доступом к интранету Управление доступом к экстранету

Типовые задачи по управлению цифровыми учетными данными включают в себя: Управление множеством хранилищ учетных данных Управление доступом к интранету Управление доступом к экстранету Управление множеством хранилищ учетных данных Управление доступом к интранету Управление доступом к экстранету Основные задачи управления цифровыми идентификаторами

Демо 1: Определение задач управления идентификацией Определение задач, с которыми встречаются многие организации, управляющие данными о сотрудниках, хранящимися в разных источниках данных

Что такое управление учетными данными и управление доступом? Службы каталогов Управление доступом Управление жизненным циклом учетных данных Интеграция приложений

Как управление учетными данными и доступом может упростить управление каталогами? Инициативы, упрощающие управление каталогом, включают в себя: Автоматизацию инициализации и деинициализации Внедрение объединения учетных данных и их синхронизации Установку служб каталогов и стандартов безопасности Установку стандартов разработки ПО и стандартов оборудования Снижение ССВ (совокупной стоимости владения) Автоматизацию инициализации и деинициализации Внедрение объединения учетных данных и их синхронизации Установку служб каталогов и стандартов безопасности Установку стандартов разработки ПО и стандартов оборудования Снижение ССВ (совокупной стоимости владения)

Как управление учетными данными и доступом снижает требования к уровню подготовки пользователей? Инициативы, снижающие требования к уровню подготовки пользователей, включают в себя: Консолидация хранилищ учетных данных Улучшение управления паролями Использование SSO – Single Sign-On («единый вход») Улучшение доступа для сотрудников, заказчиков и партнеров Консолидация хранилищ учетных данных Улучшение управления паролями Использование SSO – Single Sign-On («единый вход») Улучшение доступа для сотрудников, заказчиков и партнеров

Как управление учетными данными и доступом может повысить безопасность? Инициативы, повышающие безопасность, включают в себя: Применение политик безопасности и политик доступа Улучшение управления паролями Усиление механизмов аутентификации Установление политик аудита безопасности Разработка приложений, управляющих доступом по учетным данным Применение политик безопасности и политик доступа Улучшение управления паролями Усиление механизмов аутентификации Установление политик аудита безопасности Разработка приложений, управляющих доступом по учетным данным

Понимание технологий управления учетными данными и управления доступом Службы каталогов Пользователи, атрибуты Учетные данные и группы службы каталогов Active Directory Active Directory Application Mode Управление жизненным циклом учетных данных Интеграция учетных данных Инициализация/Деинициализация Делегирование административных полномочий Передача части административных функций пользователям Управление паролями и учетными данными Управление доступом Аутентификация Авторизация Доверительные отношения Аудит безопасности

Управление идентификацией Обзор концепций управления идентификацией и доступом Управление идентификацией Управление доступом к интранету Управление доступом к экстранету

Основные задачи управления учетными данными Задачи, связанные с управлением множеством хранилищ учетных данных: Стоимость управления Производительность сотрудников Безопасность Интеграция службы поддержки клиентов и канала поставок Стоимость управления Производительность сотрудников Безопасность Интеграция службы поддержки клиентов и канала поставок

Обзор жизненного цикла учетных данных 2 2 Изменение прав доступа -Повышения -Переводы -Смена полномочий Изменение прав доступа -Повышения -Переводы -Смена полномочий 1 1 Новый пользователь -Создание уникального идентификатора (User ID) -Выдача учетных данных -Предоставление прав 3 3 Служба Поддержки -Сброс пароля -Новые полномочия Служба Поддержки -Сброс пароля -Новые полномочия 4 4 Увольнение пользователя - Блокирование учетной записи -Удаление прав на доступ Увольнение пользователя - Блокирование учетной записи -Удаление прав на доступ

Интеграция учетных данных из разных каталогов Подходы к управлению интеграцией учетных данных из разных каталогов включают в себя: Администрирование «вручную» Настраиваемые сценарии Службы интеграции Продукты для интеграции учетных данных

Обзор служб и продуктов для интеграции учетных данных Вы можете обеспечить интеграцию учетных данных, используя множество предназначенных для этого продуктов и служб: Identity Integration Feature Pack Microsoft Identity Integration Server 2003 Services for UNIX Services for NetWare Host Integration Server Active Directory Connector Active Directory to ADAM Synchronizer Identity Integration Feature Pack Microsoft Identity Integration Server 2003 Services for UNIX Services for NetWare Host Integration Server Active Directory Connector Active Directory to ADAM Synchronizer

Использование Identity Integration Feature Pack для управления учетными данными IIFP – бесплатный продукт, который обеспечивает связывание только каталогов и систем обмена сообщениями: Active Directory для Windows 2000 Server и более поздних версий Active Directory Application Mode (ADAM) Exchange 2000 Server и Exchange Server 2003 (синхронизация глобальной адресной книги) Active Directory для Windows 2000 Server и более поздних версий Active Directory Application Mode (ADAM) Exchange 2000 Server и Exchange Server 2003 (синхронизация глобальной адресной книги)

Использование Microsoft Identity Integration Server для управления учетными данными MIIS 2003 обеспечивает : Агрегацию и синхронизацию учетных данных Встроенная поддержка более 20 хранилищ Обеспечение механизма SSO в пределах всей организации Использование SQL Server в качестве хранилища учетных данных Встроенная поддержка более 20 хранилищ Обеспечение механизма SSO в пределах всей организации Использование SQL Server в качестве хранилища учетных данных Инициализация учетных записей Автоматизированное создание/удаление учетных записей Управление группами и списками рассылки Комплексные процедуры Управление паролями Автоматизированное создание/удаление учетных записей Управление группами и списками рассылки Комплексные процедуры Управление паролями

Обзор интеграции учетных данных с использованием MIIS Синхронизация множества хранилищ Подключение к другим системам без использования агентов Контроль на уровне атрибутов Управление глобальными адресными списками Автоматизация управления группами и списками рассылки Синхронизация множества хранилищ Подключение к другим системам без использования агентов Контроль на уровне атрибутов Управление глобальными адресными списками Автоматизация управления группами и списками рассылки Сокращения CS=Connector Space MA=Management Agent MV=Metaverse Сокращения CS=Connector Space MA=Management Agent MV=Metaverse CS MV MA Intranet Active Directory Lotus Notes MIIS 2003 Sun ONE Directory Extranet Active Directory

Демо: Интеграция учетных данных с использованием MIIS 2003 Как MIIS может отвечать на проблемы сопровождения учетных данных в разных каталогах

Демо 3: Синхронизация учетных данных с использованием MIIS 2003 Как MIIS может синхронизировать идентификационные данные между несколькими хранилищами

Внедрение инициализации учетных записей Типовые направления для внедрения инициализации учетных данных включают в себя: Инициализация через отдел кадров Инициализация через Web Комплексная процедура инициализации с использованием Microsoft BizTalk Server 2004 Инициализация через отдел кадров Инициализация через Web Комплексная процедура инициализации с использованием Microsoft BizTalk Server 2004

Управление паролями MIIS 2003 предоставляет возможность управлять паролями через: Сброс паролей службой поддержки Смена пароля средствами Windows Смена пароля через Web Смена пароля средствами сторонних разработчиков Сброс паролей службой поддержки Смена пароля средствами Windows Смена пароля через Web Смена пароля средствами сторонних разработчиков

Демо 4: Управление паролями с использованием MIIS 2003 Как MIIS синхронизирует пароли между несколькими хранилищами

Управление идентификацией: Рекомендации Обучите разработчиков и сотрудников службы поддержки Определите все существующие системы или процессы, которые могут конфликтовать с синхронизацией учетных данных Определите все бизнес-правила ДО реализации Определите обязанности службы поддержки Определите необходимость разработки дополнительного ПО Внедрите план аварийного восстановления и защитите служебные учетные записи MIIS

Управление доступом к интранету Обзор концепций управления идентификацией и доступом Управление идентификацией Управление доступом к интранету Управление доступом к экстранету

Основные задачи управления доступом к интранету Обычные бизнес-ситуации, связанные с управлением доступом к интранет, включают в себя: Отсутствие единого входа Большое количество запросов на сброс паролей Множество несогласованных подходов к обеспечению безопасности Отсутствие единого входа Большое количество запросов на сброс паролей Множество несогласованных подходов к обеспечению безопасности

Подходы к реализации механизма SSO Сценарии реализации механизма SSO – Single Sign- On, однократной регистрации – включают в себя (в порядке предпочтения) : Интеграцию приложений со службами безопасности Windows Интеграция службы каталогов Windows и служб безопасности на уровне платформы Интеграция приложений со службой каталогов Windows Косвенная интеграция через таблицы соответствия учетных данных из разных хранилищ Синхронизация учетных записей и паролей Интеграцию приложений со службами безопасности Windows Интеграция службы каталогов Windows и служб безопасности на уровне платформы Интеграция приложений со службой каталогов Windows Косвенная интеграция через таблицы соответствия учетных данных из разных хранилищ Синхронизация учетных записей и паролей

Реализация механизма SSO входа Варианты механизма SSO: Интеграция в настольные приложения системы инструментов SSO Реализация механизма SSO через Web Таблицы соответствия учетных данных из разных хранилищ или SSO в пределах всей организации

Использование Credential Manager Credential Manager поддерживает следующие типы учетных данных: Комбинация имя пользователя/пароль Цифровые сертификаты X.509 Учетные данные Microsoft Passport Комбинация имя пользователя/пароль Цифровые сертификаты X.509 Учетные данные Microsoft Passport Credential Manager используется для автоматического сохранения пользовательских учетных данных и повторного использования их в будущем для доступа к ресурсам

Демо: Использование Credential Manager Использование Credential Manager для управления аутентификацией доступа к ресурсам

Обзор способов авторизации Windows Windows Server 2003 поддерживает несколько механизмов авторизации: Модель построенная на списках доступа Windows (Access Control List) Авторизация на основе ролей Авторизация с использованием ASP.NET Модель построенная на списках доступа Windows (Access Control List) Авторизация на основе ролей Авторизация с использованием ASP.NET

Windows Server 2003 Authorization Manager Authorization Manager объединяет пользователей по различным ролям приложений: Bob Mary Авторизация выполняется на сервере приложений Основанный на ролях доступ к ресурсам Хранилище политик авторизации Bob = User Mary = Manager

Организация единого входа Процесс единого входа (Single Sign-On)

Запуск службы Microsoft Single Sign-on Service Учетная запись с правами локального администратора, роль Single Sign-on Administrator Тип запуска - Авто Организация единого входа

Конфигурация с меньшей безопасностью. На одном сервере Конфигурация с большей безопасностью. Разделение веб-сервера и сервера заданий Рекомендуемая конфигурация с высоким уровнем безопасности. Веб-сервер интерфейса Сервер заданий Сервер базы данных единого входа Организация единого входа

Учетные данные используемые для единого входа шифруются специальным ключом Создается автоматически Можно создать новый (локально) Можно выполнить повторное шифрование учетных данных Рекомендуется создать резервную копию ключа шифрования Организация единого входа

Чтобы включить аудит изменения ключа шифрования HKEY_LOCAL_MACHINE\SOFTWARE\Microsof t\ssosrv\Config – аудит ВСЕ на ОТКАЗ Политика аудита – аудит доступа к объектам - ОТКАЗ Организация единого входа

Управление доступом к экстранету Обзор концепций управления идентификацией и доступом Управление идентификацией Управление доступом к интранету Управление доступом к экстранету

Основные задачи управления доступом к экстранету Типовые задачи, связанные с управлением доступом к экстранету, включают в себя: Обеспечение безопасных соединений через Web Гарантия надежных авторизации и механизма контроля доступа Потребность в единой модели безопасности, включающей в себя аутентификацию, единую регистрацию через Web, авторизацию и персонализацию Обеспечение безопасных соединений через Web Гарантия надежных авторизации и механизма контроля доступа Потребность в единой модели безопасности, включающей в себя аутентификацию, единую регистрацию через Web, авторизацию и персонализацию

Определение характеристик экстранета Характеристики, которые могут повлиять на Ваш способ предоставления доступа к ресурсам экстранета, включают в себя: Виртуальные частые сети (VPN) или реализация механизма SSO через Web Используемая служба каталогов Существующие приложения Управление жизненным циклом учетных данных Безопасность паролей Виртуальные частые сети (VPN) или реализация механизма SSO через Web Используемая служба каталогов Существующие приложения Управление жизненным циклом учетных данных Безопасность паролей

Обзор способов аутентификации для доступа к экстранету Протоколы, используемые для доступа к экстранету: SSL 3.0 и TLS 1.0 Аутентификация с помощью Microsoft Passport Базовая аутентификация Аутентификация, основанная на хэше паролей Аутентификация с использованием форм

Обзор технологий авторизации доступа к экстранету Технологии авторизации доступа к экстранету могут включать в себя: Списки доступа (Access Control List) На основе ролей (Role Based Access Control)

Использование доверительных отношений и «теневых» учетных записей для доступа к экстранету Альтернативы использованию доверительных отношений: Использование «теневых» учетных записей Внедрение инфраструктуры открытых ключей (Public Key Infrastructure) Иерархическая модель субординации Использование «теневых» учетных записей Внедрение инфраструктуры открытых ключей (Public Key Infrastructure) Иерархическая модель субординации

Внедрение системы аудита безопасности Аудит безопасности используется для мониторинга следующих сервисов: Службы каталогов Аутентификации Авторизации Службы каталогов Аутентификации Авторизации Следующие продукты и технологии могут быть использованы для аудита безопасности и генерации отчетов: Журнал безопасности Windows (Security Event Log) Windows Management Instrumentation (WMI) Microsoft Operation Management (MOM) Журнал безопасности Windows (Security Event Log) Windows Management Instrumentation (WMI) Microsoft Operation Management (MOM)

Итоги сессии Внедрение решений управления доступом и идентификацией значительно снизит затраты на управление доступом, понизит требования к уровню подготовки пользователей и увеличит уровень безопасности MIIS 2003 может управлять идентификацией, автоматизировать создание и удаление учетных записей, синхронизировать различные типы информации в форматах различных хранилищ учетных данных Тщательное планирование системы авторизации и аутентификации обеспечивает основу, необходимую для эффективной защиты сетевой инфраструктуры Важно понимать какие протоколы авторизации и аутентификации подходят для доступа к экстранету

Windows Server 2003 Update Codename R2 Разработан на базе Windows Server 2003 SP1 Те же приложения, поддержка и обновления что и Windows Server 2003 Основные сценарии: Простой и безопасный доступ к информации Единый доступ отовсюду Identity Federation Защита периметра Оптимизация работы удаленных офисов Улучшенные механизмы развертывания и управления для удаленных серверов Оптимизация трафика WAN

Е динообразный доступ отовсюду Прямой доступ к файловому, Web и терминальному сервису Легкое внедрение Работа пользователя из любой точки Более безопасно чем VPN Anywhere Access Server File Shares Apps via TS Outlook via Exchange

Identity Federation Active Directory Federation Services Company A Company B Sharepoint Server AD AD Расширение Active Directory чтобы позволить единый вход к нескольким организациям Исключает необходимость ручного контроля внешних пользователей Стандартизированное взаимодействие с другими платформами

Демо: Identity Federation Использование Identity Federation

Следующие шаги (EN) Узнайте о дополнительных курсах по безопасности: Подпишитесь на рассылку по безопасности: default.mspx Приобретите Security Guidance Kit: default.mspx Получите дополнительные утилиты и рекомендации: (RU)

Вопросы?

Windows Update Service

Пожелания *Partially addressed through polling frequency control and scripts Наиболее частые SUS 1.0 SP1WUS Установка сервис-паков Установка на SBS и DC Поддержка Office и других продуктов MS Поддержка дополнительных типов обновлений Отмена установки исправления Выборочная установка исправлений Поддержка медленных каналов связи Уменьшение загружаемого объема Задание частоты установки обновлений Уменьшить взаимодействие с конечным пользователем Немедленная установка патча (красная кнопка) * Установка обновлений к сторонним приложениям Поддержка NT4

WUS Поддерживаемые продукты Обновления –Все продукты Microsoft со временем –В RTM Windows 2000 SP3 и позже Office XP SP2 и Office 2003 SQL 2000 и MSDE 2000 Exchange 2003 Поддерживается –Windows 2000 SP3 (SP4 for Server) и позже –Windows XP RTM и позже –Windows Server 2003 RTM и позже –Все локализованные версии (+ MUI)

Возможности управления На уровне групп –Поддержка политик AD –Списки для рабочих групп Контроль администратора –Запуск сканирования рабочих станций –Одобрения для установки и удаления –Конечная дата для установки обновления –Установка различных обновлений по группам –Задание частоты опроса клиентских компьютеров –Задание опций перезагрузки –Настройка порта –Возможность установки обновлений без административных прав –Установка при выключении (XP SP2)

Оптимизация использования сети «без вопросов», прозрачно для пользователя –BITS* для клиент-сервер и сервер- сервер соединений –Загрузка в фоновои режиме Уменьшение загружаемого объема –Выбор обновлений по продуктам и версиям –Поддержка технологий сжатия при соединении клиент-сервер –Возможность загрузки только одобренных исправлений *Background Intelligent Transfer Service

Новые отчеты Стандартные сводные отчеты (клиент) –Компьютер/Исправление/Группа –Загрузка, установка успешные и нет (номер ошибки). Отчет по синхронизации - Что добавилось, что изменилось Суммарные отчеты по нескольким серверам –Передача отчета корневому серверу Интеграция журналов событий –Запись событий в локальный журнал приложений

Следующие шаги (EN) Узнайте о дополнительных курсах по безопасности: Подпишитесь на рассылку по безопасности: default.mspx Приобретите Security Guidance Kit: default.mspx Получите дополнительные утилиты и рекомендации: (RU)

Вопросы?