Презентация на тему: Windows Server 2008. Реализация требуемой политики безопасности серверов и рабочих мест

Поддержка заданных конфигураций – System Center Desired Configuration Поддержка заданных конфигураций – System Center Desired Configuration Принудительное исполнение политик здоровья – Network Access Protection

ИТ департаменты ежегодно тратят от 5000 до 20000 человеко часов для поддержания соответствия организации требованиям стандарта Sarbanes-Oxley ИТ департаменты ежегодно тратят от 5000 до 20000 человеко часов для поддержания соответствия организации требованиям стандарта Sarbanes-Oxley Survey on Sarbanes-Oxley Compliance Practices Within IT Organizations and Businesses by French Caldwell, Christine Adams, and John Bace (Gartner, Сентябрь 2006) Корпоративные стандарты очень непросто

DCM позволит: DCM позволит: Определять стандарты корпоративных конфигурация Создавать отчеты и отслеживать соответствие стандартам систем Windows® Комбинировать данные от DCM с другими полезными функциями Configuration Manager для автоматического приведения клиентов в должное состояние

Отчеты о соответствии стандартам Отчеты о соответствии стандартам Определять политики конфигураций и собирать отчеты о соответствии этим политикам Проверка до и после внесения изменений в системы Проверка готовности системы к оказанию сервиса Проверка аккуратности внесенных и эффективности запланированных изменений

Поиск серверов с отклонениями от заданой конфигурации Поиск серверов с отклонениями от заданой конфигурации Приблизительно ½ незапланированных простое происходит из-за проблем с конфигурацией! Уменьшить количество действий необходимое службе Helpdesk для первичного поиска неисправности и уменьшение время затраченого на разрешению проблемы Helpdesk тратит больше всех людских ресурсов в ИТ

Конфигурационная единица - Configuration Item (CI) Конфигурационная единица - Configuration Item (CI) Конфигурациоонные единицы могут обнаруживаться, добавляться или удаляться из систем управляемых Configuration Manager Конфигурационные единицы могут представлять: ОС Приложения Общие Обновления ПО Конфигурационное состояние - Configuration Baseline Специальная единица - набор конфигурационных единиц с атрибутами: Требуется Опциональный Запрещен Can be assigned to collections for compliance monitoring

Создание библиотеки конфигураций Создание библиотеки конфигураций Создание новых конфигурационных единиц и состояний через консоль администратора Создание пакетов конфигурационных состояний Импорт эталонных конфигурационных пакетов от Microsoft или партнеров Привязывать конфигурационные состояния к группам систем Настраивать частоту проверки систем на соответствие Работать с отчетами о соответствии Создавать коллекции систем с помощью запросов и сообщений DCM о соответствии стандартам. Работать с набором ПО в системах средствами System Center

Работает в связке с SCCM для управления жизненым циклом конфигурационных состояний Работает в связке с SCCM для управления жизненым циклом конфигурационных состояний Создание конфигурационных состояний : Обследование работающей системы (“золотой мастер” ) Обследование одного или нескольких MSI файлов Редактирование конфигурационных состояний (включая редактировани XML) Новые виды отчетов

Улучшилась интеграция компонентов системы отчечающих за создании правил, планирование и тестирование Улучшилась интеграция компонентов системы отчечающих за создании правил, планирование и тестирование Увеличилась скорость работы Упростилось масштабирование системы Работа с моделями и стандартами (SML) Управление типами и повторное использование Контроль версий Наследование конфигурационных единиц Композиция конфигурационных единиц в конфигурационные состояния Экосистема для накопления знаний. Готовые конфигурационные пакеты на порталах Microsoft и партнеров Инструмент конвертирования данных из DCM 2003 в DCM 2007

Официальная документация http://www.microsoft.com/systemcenter/configmgr/evaluation/configmgmt.mspx Официальная документация http://www.microsoft.com/systemcenter/configmgr/evaluation/configmgmt.mspx DCM BLOG http://blogs.msdn.com/saikodi/ DCM Technet http://technet.microsoft.com/en-us/library/bb693504.aspx DCM Technet Forum http://forums.microsoft.com/TechNet/ShowForum.aspx?ForumID=1817&SiteID=17 Веб-трансляции http://msevents.microsoft.com/cui/WebCastEventDetails.aspx?EventID=1032345476&EventCategory=4&culture=en-US&CountryCode=US

Защитим периметр (межсетевой экран, VPN) Защитим периметр (межсетевой экран, VPN) Вынесем сервера в демилитаризованную зону (DMZ) Построим систему управления конфигурациями и изменениями (развертывание и обновления систем, антивирусы) Внедрим систему обнаружения вторжений (IDS)

И надеемся что все пойдет хорошо........

20% инцидентов безопасности происходит по вине внешних злоумышленников 20% инцидентов безопасности происходит по вине внешних злоумышленников 80% с участием внутренних сотрудников Источник: Исследование Национального центра оценки угроз США (National Threats Assessment Center, NTAC) и координационного центра CERT при Университете Карнеги-Меллона. 2004 г.

Излишние полномочия Излишние полномочия Редкие обновления (мобильные пользователи) Недостаточная грамотность в вопросах безопасности Неподконтрольность гостевых и домашних рабочих мест

Network Access Protection Network Access Protection

Network Policy Server новая версия Internet Authentication Services (IAS) Network Policy Server новая версия Internet Authentication Services (IAS) NPS это реализация RADIUS сервера от Microsoft с поддержкой основных RFC RADIUS и EAP NPS работает только на платформе Windows Server 2008

NPS в соединении с AD и Windows Vista и позволяет предоставлять удобный доступ к сетям и сервисам (single sign-on) NPS в соединении с AD и Windows Vista и позволяет предоставлять удобный доступ к сетям и сервисам (single sign-on) NPS объединяет в одной точке отчетность и управление доступом для всех способов (802.1x, VPN, DHCP…) Определение и принудительное исполнение политик здоровья клиентов

Аутентификация доступа в сеть Аутентификация доступа в сеть 802.1x VPN IPSec NAP Определение и принудительное исполнение политик Учет доступа в сеть Хранение настроек устройств используемых для доступа в сеть Прозрачное перенаправление запросов аутентификации в AD

Официальная документация http://www.microsoft.com/nap Официальная документация http://www.microsoft.com/nap NAP BLOG http://blogs.technet.com/nap/ NAP Technet Forum http://forums.microsoft.com/TechNet/ShowForum.aspx?ForumID=576&SiteID=17 Channel 9 Interview http://channel9.msdn.com/Showpost.aspx?postid=347154

Бешков Андрей Бешков Андрей Microsoft [email protected] http://blogs.technet.com/abeshkov/