Prípadové štúdie

prípadové štúdie migrácie Windows 2003 domény a Exchange servera 2003 na doménu Windows 2008 a Exchange server 2007 s využitím nových funkcionalít na zvýšenie bezpečnosti v spoločnosti ThyssenKrupp Ferostav

Dátum poslednej aktualizácie: 30. mája 2008
Spoločnosť ThyssenKrupp Ferostav, spol. s.r.o. nahradila svoje existujúce riešenie novou technológiou na báze Microsoft Windows Servera 2008 a Exchange 2007 servera. Dôvodom bola potreba zvýšenia zabezpečenia vnútropodnikovej siete LAN voči prístupu zariadení z vnútra siete, ktoré nespĺňajú firemnú politiku a ochrana firemných informácií v prípade straty mobilných zariadení ako aj zabezpečenie neoprávneného prezerania dokumentov a distribúcie dôverných údajov firmy. Ďalšou požiadavkou firmy bolo zvýšenie dostupnosti a integrovanej platformy umožňujúcej bezpečný prístup k poštovým schránkam a dokumentom užívateľa.
*
**
ThyssenKrupp Ferostav

Prehľad riešení

Profil zákazníka

Krajina: Slovenská republika
Odvetvie: Veľkoobchod / distribúcia

Štúdie na prevzatie:
dokument PDF, 184 KB
dokument XPS, 180 KB

ThyssenKrupp Ferostav
Bešeňovská 17
940 01 Nové Zámky
Tel. +421 35 64 24 215
E-mail: nz@ferostav.sk
Web: www.ferostav.sk

ThyssenKrupp Ferostav, spol. s r.o. je súčasťou medzinárodného koncernu ThyssenKrupp AG. Na slovenskom trhu pôsobí viac ako desať rokov a patrí k najvýznamnejším dodávateľom hutníckeho materiálu.

Profil partnera
AutoCont Žilina
Martina Rázusa 9
010 01 Žilina
Tel. + 421 415 007 164
Web: www.autocont.sk

AutoCont a.s. je súkromná spoločnosť, ktorej materská firma bola založená v roku 1990. V súčasnosti patrí medzi významných dodávateľov informačných a komunikačných technológií ako v Českej republike, tak i na Slovensku. Jej aktivity sú rozdelené do troch základných jednotiek:

AutoCont Computer Services

AutoCont Business Solutions

AutoCont Managed Services

Východisková situácia

Windows 2003 doména a MS Exchange server 2003 bez použitia PKI, zabezpečenia vnútropodnikovej siete voči prístupu zariadení ktoré nespĺňajú firemnú politiku a centrálneho úložiska firemných dokumentov jednotlivých užívateľov.

Riešenie

Spoločnosť ThyssenKrupp Ferostav nahradila svoje existujúce riešenie novou technológiou na báze Microsoft Windows Servera 2008 a Exchange servera 2007. Dôvodom bola potreba zvýšenia zabezpečenia vnútropodnikovej siete LAN voči prístupu zariadení ktoré nespĺňajú firemnú politiku a ochrana firemných informácií v prípade straty mobilných zariadení ako aj zabezpečenie neoprávneného prezerania dokumentov a distribúcie dôverných údajov firmy.

Výhody

Zabezpečenie LAN voči počítačom, ktoré nespĺňajú firemnú politiku.

Zabezpečenie obsahu diskov prenosných zariadení a pobočkových serverov.

Možnosť podpisovania a kryptovania mailovej komunikácie.

Prístup k pošte ako aj k dokumentom užívateľa cez rozhranie OWA.

Zabezpečenie citlivých dokumentov voči neoprávnenému prezeraniu a distribúcii.

Autodiscovery umožní automatickú konfiguráciu poštového klienta pre prístup k mailovej schránke.

Softvér a služby

Microsoft Windows Server 2008

Microsoft Exchange Server 2007

Network Access Protection Services

Active Directory Rights Management Services

Microsoft Windows Vista Business

Microsoft Windows XP Professional

Microsoft Office 2007

**

Situácia

Spoločnosť ThyssenKrupp Ferostav, spol. s.r.o. s centrálou v Nových Zámkoch a pobočkami v Bratislave, Trnave, Nitre, Leviciach, Komárne, Martine, Banskej Bystrici a Košiciach, sa zaoberá obchodom s hutníckym materiálom. V tvrdej konkurencii domácich aj zahraničných spoločností závisí úspech spoločnosti na kontinuite obchodných procesov založených vo veľkej miere na elektronickej komunikácii a elektronickom obchode.

Neoprávnené prezeranie a distribúcia dôverných údajov o zákazníkoch, finančných záznamov, informácií o zamestnávateľovi, technických parametroch produktov a iných dôverných informácií môže spôsobiť katastrofu. Únik dôverných informácií môže mať za následok stratu príjmu, zníženie konkurencieschopnosti, nesprávne rozhodnutia o nákupe a nájme, zníženie dôvery zákazníkov a iné. Tieto dôvody spolu so stratou údajov v prípade poruchy disku klientskych počítačov viedli firmu na zmenu.

Pred nasadením Microsoft Exchange Servera 2007 a domény postavenej na platforme Windows Server 2008 používala spoločnosť Ferostav ako poštový Exchange server 2003 a doménu Windows 2003. V tejto doméne neboli používané žiadne technológie, ktoré by umožňovali elektronicky podpisovať alebo kryptovať mailovú komunikáciu ani chrániť firemné dokumenty pred neoprávneným prezeraním. Prístup používateľov k vlastným dokumentom nebol možný z iného miesta, keďže jeho dokumenty sa nachádzali len na jeho osobnom počítači, čo zároveň spôsobovalo problémy aj pri zálohovaní používateľských dokumentov.

Obchodné ciele

Zabezpečiť firemné dokumenty a údaje pred neoprávneným prístupom, prezeraním a distribúciou týchto údajov.

Zabránenie zneužitia firemných údajov, ktoré sa nachádzajú na prenosných zariadeniach v prípade ich straty alebo odcudzenia.

Znemožniť zariadeniam, ktoré nespĺňajú firemnú politiku prístup z vnútra siete k službám serverov v firemnej sieti.

Možnosť šifrovania a kryptovania poštovej komunikácie.

Bezpečný prístup k poštovým schránkam z Internetu cez OWA, Outlook Anywhere.

Jednoduchá obsluha pre užívateľa.

Centrálna správa a zálohovanie dokumentov na užívateľských PC.

Prechod na novú platformu bez obmedzenia produktivity práce užívateľov.

Riešenie

Firma Ferostav teda mala požiadavku na zvýšenie bezpečnosti firemných údajov, ako aj celej siete tým, že systém nedovolil pristupovať počítačom, ktoré nemali zapnuté automatické aktualizácie ako aj zapnutú a aktuálnu antivírovú ochranu k firemnej sieti. Systém mal umožňovať chrániť dokumenty pred neoprávneným prístupom a v prípade straty mobilného zariadenia zabezpečiť, aby sa nepovolaná osoba nemohla dostať k údajom uloženým na tomto zariadení. Ďalšími požiadavkami bola možnosť podpisovania a kryptovania mailovej komunikácie s tým že v prípade straty privátneho kľúča bola možnosť jeho obnovy. Ďalej bola potreba dokumenty ukladať na jednotnom mieste, kde by bolo zabezpečené ich pravidelné zálohovanie a aby v prípade poruchy alebo straty koncového zariadenia bolo možné pre používateľa čo najskôr pracovať na náhradnom zariadení.

Po analýze potrieb spoločnosti a s prihliadnutím na jej veľkosť a dynamiku rastu navrhli špecialisti partnera, spoločnosti AutoCont a.s. riešenie postavené na platforme Microsoft Windows Server 2008 a Exchange Server 2007.

Prechod zo starého systému sa vykonával počas plnej prevádzky bez toho, aby boli používatelia obmedzovaní vo svojej práci. Migrácia prebiehala v štyroch fázach.

V prvej fáze boli nainštalované nové servery so systémom Windows Server 2008 pre Domain Controller, certifikačnú autoritu, poštový server Microsoft Exchange Server 2007, služby Network Access Protection (NAP), Active Directory Rights Management Services (AD RMS) a jeden pre File Server a Read only Domain Controller na pobočke v Bratislave.

V druhej fáze bola migrovaná samotná doména Windows 2003 na doménu Windows 2008 a následne bol migrovaný poštový server na Microsoft Exchange Server 2007. Súčasťou tejto fázy bola aj inštalácia Read only Domain Controllera na Bratislavskej pobočke, ktorý súčasne plní úlohu File Servera ako úložisko pre Document Redirection užívateľov v Bratislave. Údaje z tohto File Servera sú replikované pomocou FRS na súborový server v centrále. Keďže tento server nie je zabezpečený voči odcudzeniu je obsah jeho diskov chránený technológiou BitLocker a navyše neobsahuje žiadne citlivé údaje ako sú napríklad hesla užívateľov.

Po odskúšaní plnej funkčnosti novej domény presunutí poštových schránok a publikovaných priečinkov na nový Exchange server prišla na rad ďalšia fáza. Súčasťou tretej fázy bolo odstránenie pôvodných doménových serverov a poštového servera Exchange 2003.

V štvrtej fáze boli nadefinované nové doménové politiky pre automatické aktualizácie, IPsec komunikáciu, BitLocker, Document Redirection, a inštalácia Enterprise Certifikačnej autority s konfiguráciou šablón pre podpisovanie mailovej komunikácie, kryptovania súborového systému a šablóny pre funkčnosť Network Access Protection. NAP overuje zdravie klienta (či má zapnuté automatické aktualizácie, Windows Firewall a zapnutú a aktualizovanú antivírovú ochranu). V prípade, že tuto firemnú politiku spĺňa je mu na základe šablóny vystavený certifikát vďaka ktorému je schopný nadviazať IPsec komunikáciu so servermi nachádzajúcimi sa v chránenej sieti. Pokiaľ by ju nespĺňal je klientovi povolený prístup len na WSUS server a server poskytujúci aktualizácie pre antivírusový software. V prípade vypnutia Windows Firewallu je tento automatický zapnutý NAP klientom vďaka funkcionalite auto-remediation. Na koniec tejto fáze bola nakonfigurovaná služba Active Directory Rights Management Services, ktorá slúži na zabezpečenie dokumentov pred neoprávneným prezeraním, kopírovaním alebo vytlačením.

Prínosy

Vyššie zabezpečenie firemnej siete pred vírovou hrozbou z počítačov, ktoré nespĺňajú firemnú politiku a pripájaním neautorizovaným počítačom k firemnej sieti.

Zabezpečenie obsahu diskov prenosných zariadení a pobočkových serverov tak, aby v prípade straty alebo odcudzenia nebolo možné dešifrovať obsah údajov na nich uložených.

Možnosť podpisovania a kryptovania mailovej komunikácie.

Zabezpečenie citlivých dokumentov voči neoprávnenému prezeraniu, kopírovaniu a tlači.

Prístup k pošte ako aj k dokumentom užívateľa cez nové rozhranie OWA.

Centrálne úložisko užívateľských dokumentov s podporou offline prístupu (vhodné aj pre užívateľov s prenosnými počítačmi).

Jednoduchšie zálohovanie používateľských dokumentov.

Autodiscovery umožní automatickú konfiguráciu poštového klienta pre prístup k mailovej schránke.

HoreHore