*
Microsoft Windows Server 2008 R2

Identita a prístup

Správa identít používateľov je dnes v mnohých podnikoch hlavnou prioritou. Používatelia potrebujú prístup k viacerým systémom a prostriedkom v podnikovej sieti pomocou rôznych typov zariadení. Avšak vzhľadom na to, že veľa týchto systémov medzi sebou nekomunikuje, je bežné, že sa pre jedného používateľa používa viac identít. V dôsledku toho je správa týchto redundantných identít zložitá, znamená stratu času a zvyšuje riziká zabezpečenia z dôvodu chýb.

Prehľad

Riešenie spoločnosti Microsoft pre správu identít a prístupu predstavuje balík technológií a produktov platformy navrhnutých tak, aby pomohli organizáciám spravovať identity používateľov a pridružené prístupové oprávnenia. Tieto riešenia sa zameriavajú na zabezpečenie a jednoduchosť použitia a pomáhajú spoločnostiam zvyšovať produktivitu, znižovať náklady v oblasti IT a eliminovať zložitosť správy identít a prístupu.

Riešenia spoločnosti Microsoft pre správu identít a prístupu spadajú do piatich samostatných oblastí:

  • Adresárová služba
    Zjednodušuje správu používateľov a zariadení.
  • Silné overovanie
    Zaisťuje zabezpečený prístup pri použití používateľských mien a hesiel.
  • Federovaná správa identít
    Umožňuje bezpečnú spoluprácu za hranicami organizácie.
  • Ochrana informácií
    Umožňuje zabezpečiť dôverné dáta bez ohľadu na to, kde sa používajú.
  • Správa cyklu životnosti identít
    Automatizuje správu identít a prístupu.

Windows Server 2008 rozširuje rad produktov od spoločnosti Microsoft pre riadenie identít a prístupu o niekoľko nových funkcií a technológií, ktoré pomáhajú organizáciám zdokonaľovať prevádzkovú efektivitu, zjednodušovať plnenie požadovaných pravidiel a posilňovať zabezpečenie.

Novinky v adresárovej službe

Radiče domény len pre čítanie. Jednou z najvýznamnejších nových funkcií pre službu AS DS (Active Directory Domain Services) v systéme Windows Server 2008 je radič domény len pre čítanie (RODC, Read-Only Domain Controller). Funkcia RODC umožňuje jednoducho nasadiť radič domény, ktorý je hostiteľom repliky databázy domény len pre čítanie. To je veľmi vhodné pre miesta, kedy nie je možné zaručiť fyzické zabezpečenie radiča domény a kde by pripojenie k sieti mohlo mať negatívny vplyv na produktivitu, alebo kde musia byť ostatné aplikácie spustené na radiči domény a spravované správcom servera (ktorý v ideálnom prípade nie je členom skupiny Domain Admins). Všetky tieto scenáre sú bežné v nasadeniach firemných pobočiek.

Radič domény len pre čítanie obsahuje rovnaké objekty a atribúty, ktoré obsahuje radič domény pre čítanie aj zápis. Miestne zmeny však nie sú vykonávané v samotnej replike radiča RODC. Namiesto toho sú tieto zmeny vykonané na radiči domény pre čítanie aj zápis a následne replikované späť na radič RODC. Tým je možné zabrániť tomu, aby kvôli zmenám vykonávaným v pobočkách nemohlo prostredníctvom replikácie dôjsť k zneprehľadneniu alebo poškodeniu doménovej štruktúry služby Active Directory.

Správcovia môžu špecificky nakonfigurovať radič RODC na ukladanie poverení používateľov (do medzipamäte). Pri prvom pokuse používateľa o overenie na radiči RODC pošle tento radič požiadavku ďalej radiču domény pre čítanie aj zápis. Ak je overenie úspešné, radič RODC si taktiež vyžiada kópiu poverenia používateľa. To, či je možné poverenie replikovať a uložiť v medzipamäti na radiči RODC, určuje zásada replikácie hesiel. Ak sú poverenia ukladané do medzipamäte, dokáže pri budúcom pokuse o prihlásenie používateľa požiadavku obslúžiť priamo radič RODC, pokým nebude následne prostredníctvom replikácie informovaný o zmene poverenia. Pomocou ukladania poverení do medzipamäte je možné zvýšiť produktivitu koncových používateľov, pretože sa zmierňuje vplyv oneskorenia siete WAN (wide area network) alebo možnosť výskytu problémov s pripojením k sieti, ku ktorým často dochádza v pobočkových sieťach. Služba AD DS taktiež udržuje zoznam všetkých poverení uložených na radičoch RODC a v prípade, že by bol server RODC kedykoľvek cieľom nejakého útoku, môže správca pre všetky poverenia používateľov uložené na tomto radiči RODC vynútiť vytvorenie nového hesla.

Radiče domény len pre čítanie obsahujú funkciu delegovania, ktorá umožňuje delegovať inštaláciu a správu vo firemnej pobočke osobám, ktoré nie sú tradičnými správcami. Tento personál na pobočkách môže vykonať inštaláciu pridružením servera k účtu radiča domény len pre čítanie, ktorý bol predtým vytvorený správcom. Táto funkcia odstraňuje potrebu použitia prípravnej lokality pre radiče domény firemných pobočiek či vyslanie správcu domény s inštalačnými médiami do firemnej pobočky.

Active Directory Federation Services. Active Directory Federation Services (AD FS) je rola servera v operačnom systéme Windows Server 2008. Pomocou služby AD FS je možné vytvoriť vysoko rozšíriteľné, internetovo škálovateľné a zabezpečené riešenie pre riadenie identít a prístupu, ktoré môže byť prevádzkované na rôznych platformách a v prostrediach so systémom Windows aj iným. Služba AD FS teraz obsahuje funkciu pre import a export zásad, ktorá uľahčuje vytváranie vzťahov dôveryhodnosti medzi federačnými partnermi. Je doplnený poskytovateľ členstva umožňujúci službám Windows SharePoint Services a Rights Management Services (RMS) autorizáciu používateľov zo strany federačného partnera na základe rolí a správcovia teraz môžu obmedziť nasadenie federačnej služby prostredníctvom zásad skupiny. Poskytovaná je teraz taktiež podpora rôznych nastavení pre kontrolu odvolania certifikátov.

Auditovanie adresárovej služby. Správcovia teraz majú k dispozícii možnosti podrobnejšieho auditovania prostredníctvom novej podkategórie zásad auditovania Zmeny adresárovej služby. Zásady auditovania Zmeny adresárovej služby dokážu zachytiť pôvodné a nové hodnoty zmien vykonávaných na objektoch adresárovej služby a ich atribútov. Správcovia budú presne vedieť, kto zmenu vykonal, kedy bola zmena vykonaná, aký objekt alebo atribút bol zmenený a aké boli počiatočné a koncové hodnoty. Auditovanie adresárovej služby je zachycované v protokole udalostí systému Windows a prostredníctvom servera Microsoft Operations Manager alebo nástrojov od iných výrobcov ho je možné následne konsolidovať alebo na zistené informácie reagovať. Táto podrobná úroveň protokolovania pomáha zjednodušiť sledovanie v rámci správy zmien adresárovej služby a umožňuje celkovo zlepšiť súlad spoločnosti s požadovanými pravidlami.

Rola serverového jadra. Služby AD DS a Active Directory Lightweight Directory Services (AD LDS) predstavujú podporované roly pre inštalácie serverového jadra systému Windows Server 2008. Inštalácia serverového jadra je nová možnosť inštalácie, ktorá vytvára prostredie s nízkou mierou údržby pre špecifické služby založené na rolách. Cieľom inštalácie serverového jadra je znížiť požiadavky na správu a údržbu pri súčasnom obmedzení možných cieľov potenciálnych útokov na inštaláciu systému Windows Server 2008.

Služba AD DS založená na službách. Služba AD DS je v systéme Windows Server 2008 založená na službách a je možné ju teraz zastavovať a spúšťať prostredníctvom modulov snap-in konzoly MMC (Microsoft Management Console) a z príkazového riadka. Služba AD DS založená na službách zjednodušuje správu skrátením času nutného na vykonávanie offline operácií, napríklad na offline defragmentáciu alebo autoritatívne obnovenie. Taktiež zvyšuje dostupnosť ďalších služieb, ktoré bežia na radiči domény, pretože sú ponechané aktívne aj v priebehu vykonávania údržby služby AD DS. Všetci klienti, ktorí sú špecificky viazaní na zastavený radič domény, môžu prostredníctvom funkcie vyhľadávania jednoducho kontaktovať iný radič domény.

Zobrazovač snímok služby AD DS. Sprístupnením informácií o objektoch v snímkach služby AD DS (vytvorených priebežne) môže zobrazovač snímok pomôcť identifikovať objekty, ktoré boli náhodne odstránené. Tieto snímky môžu byť zobrazované na radiči domény bez nutnosti spustenia radiča domény v režime obnovenia adresárovej služby. Porovnaním rôznych stavov objektov v rôznych snímkach je možné ľahšie určiť, ktorú zálohu služby AD DS použiť na obnovenie odstránených objektov.

Možnosť podrobného nastavenia zásad hesiel a uzamknutia účtov. Podrobné nastavenie zásad hesiel umožňuje určenie rôznych zásad hesiel a využitie rôznych zásad obmedzenia hesiel a uzamknutie účtov pre rôzne skupiny používateľov v rámci jedinej domény.

Inštalácia média. Možnosť Inštalácia z média (IFM) môže byť využitá na inštaláciu ďalšieho radiča domény v existujúcej doméne a na minimalizáciu sieťovej prevádzky vyvolanej replikáciou v priebehu inštalácie.

Novinky v oblasti silného overovania

Kryptografické rozhranie API (Cryptography API): Next Generation. Kryptografické rozhranie API (Cryptography API): Next Generation (CNG) je úplne nové rozhranie API infraštruktúry v systéme Windows Server 2008 implementujúce odporúčania protokolov Suite B Úradu národnej bezpečnosti (National Security Agency, NSA). Služba Active Directory Certificate Services (AD CS) využíva rozhranie CNG pre svoje kryptografické potreby. Rozhranie CNG bude do budúcna nahradzovať rozhranie CryptoAPI z predchádzajúcich verzií systému Windows.

Služba AD CS stále podporuje klasické kryptografické algoritmy prostredníctvom sprostredkovateľov certifikačných služieb (CSP – Certificate Service Provider), zatiaľ čo nové kryptografické algoritmy, napríklad ECC (elliptic curve cryptography), sú podporované prostredníctvom sprostredkovateľov kľúčov rozhrania CNG. Jednou z jedinečných funkcií rozhrania CNG je to, že organizácie môžu využívať vlastné kryptografické algoritmy podľa potreby.

Model správy na podrobnej úrovni. Služba AD CS využíva nové funkcie zabezpečenia, ktoré poskytujú podrobnú kontrolu nad tým, kto môže zapisovať certifikáty, aké certifikáty môžu byť zapisované a komu je možné certifikáty vystavovať. Tieto funkcie správy integrujú skupiny zabezpečenia služby AD DS do úloh správy agentov pre zápis certifikátov a Správcov certifikátov.

Šablóny certifikátov V3. V rámci služby AD CS nahradzujú šablóny certifikátov V3 šablóny certifikátov V1 a V2, ktoré boli používané v predchádzajúcich verziách systému Windows. Tieto nové certifikáty podporujú najnovšie kryptografické algoritmy CNG systému Windows Server 2008. Šablóny V3 taktiež zaisťujú bezpečnejšiu metódu overovania klientov pre radiče domén a umožňujú šifrovať komunikáciu klientov a serverov súvisiacu so službou AD CS.

Správa infraštruktúry PKI (Public Key Infrastructure) v podnikovom systéme. Nástroj PKIView, k dispozícii ako súčasť balíka Windows Server 2003 Resource Kit, je teraz k dispozícii ako modul snap-in konzoly MMC pri inštalácii služby AD CS v systéme Windows Server 2008.

Nástroj PKIView zjednodušuje správu infraštruktúry PKI v organizácii kombinovaním dôležitých úloh správy certifikačnej autority (CA) v rámci jedného rozhrania pre správu. Toto konsolidované zobrazenie znamená, že nie je potrebné brať ohľad na geografické hranice vďaka globalizovanej podpore prostredníctvom podpory znakov Unicode. Prostredníctvom konsolidovaného rozhrania správcovia získavajú nasledujúce výhody:

  • Centrálne hierarchické zobrazenie kompletnej infraštruktúry PKI, ktorá je registrovaná v topológii AD DS a zúčastňuje sa jej
  • Zobrazenie vzťahu nadradený/podradený – keď je zvolená koreňová certifikačná autorita, všetky podradené certifikačné autority sú uvedené v stromovej štruktúre tejto koreňovej certifikačnej autority
  • Možnosť priamo spravovať každý uzol v rámci rozhrania
  • Farebné indikátory, ktoré označujú celkový stav certifikačných autorít, stromových štruktúr alebo infraštruktúry PKI podniku ako celku

Podpora najnovších štandardov. Služba AD CS v systéme Windows Server 2008 prináša podporu najnovších štandardov, vrátane protokolu Online Certificate Status Protocol (OCSP), rozšírenia Issuing Distribution Point Extension (IDP CRL) a protokolu Simple Certificate Enrollment Protocol (SCEP).

Novinky v oblasti ochrany informácií

Federovaná spolupráca. Windows Server 2008 prináša prvú implementáciu plne integrovaného riešenia služby Federated Rights Management Services. Táto integrácia kombinuje aspekty služby Active Directory Federation Services (AD FS) s aspektmi služby Active Directory Rights Management Services (AD RMS) pre zaistenie jednoducho nasaditeľnej platformy pre externú spoluprácu.

Pred systémom Windows Server 2008 boli pre zaistenie ochrany práv pri spolupráci s externými organizáciami nutní IT správcovia, ktorí interne udržiavali sekundárny súbor poverení pre externých používateľov. Obvykle išlo o doménové účty alebo určitú formu integrácie so službou Passport. Vďaka integrácii týchto funkcií služby AD RMS so službou AD FS sú externí používatelia pokúšajúci sa získať prístup k chránenému obsahu organizácie spočiatku overovaní podľa ich domovskej sféry (radič domény), čo eliminovalo potrebu udržiavať redundantný súbor poverení.

Ihneď ako sú títo externí používatelia overení, sú vynútené zásady služby AD RMS a služba AD RMS automaticky poskytne externému používateľovi zodpovedajúce licencie na obsah, aby mohol pracovať s chráneným obsahom organizácie. Správcovia majú podrobnú kontrolu nad tým, ako títo externí používatelia pracujú s obsahom organizácie, a môžu taktiež definovať šablóny platné pre vzťahy s viacerými partnermi. Služba Federated Rights Management Services v systéme Windows Server 2008 je plne kompatibilná s existujúcimi nasadeniami služby Microsoft Office SharePoint Server 2007 a plne podporuje klientov AD RMS na nižších úrovniach.

Spoločný motív pre správu. Služba AD RMS prechádza na známejšiu platformu správy. Z webového rozhrania pre správu služby AD RMS v minulosti sa stal modul snap-in konzoly MMC. Správa služby AD RMS sa navyše viac orientuje na odporúčané postupy s rozhraním orientovaným na úlohy, ktoré poskytuje rýchle prepojenia na požadované, odporúčané a nepovinné konfiguračné úlohy. Štyri nové skupiny zabezpečenia umožňujú správcom delegovať úlohy správy AD RMS na konkrétnych používateľov alebo skupiny.

Nástroj Windows BitLocker Drive Encryption. Windows BitLocker Drive Encryption je funkcia pre ochranu dát, ktorá je k dispozícii v systéme Windows Vista Enterprise a Windows Vista Ultimate pre klientske počítače a vo všetkých edíciách systému Windows Server 2008. Nástroj Windows BitLocker Drive Encryption predstavuje novú funkciu od spoločnosti Microsoft a umožňuje reagovať na reálne hrozby odcudzenia dát alebo zverejnenia dát v prípade straty, odcudzenia alebo nezodpovedajúceho vyradenia počítačového hardvéru.

Windows BitLocker Drive Encryption zabraňuje zlodejom, ktorí použijú iný operačný systém alebo softvérový nástroj na prelomenie ochrán súborov a systému Windows Server 2008 alebo na offline prezeranie súborov uložených na chránenej jednotke. Táto funkcia optimálne využíva technológiu Trusted Platform Module (TPM) 1.2 na ochranu dát a umožňuje zaistiť, aby s počítačom, v ktorom je prevádzkovaný systém Windows Server 2008, nebolo možné neoprávnene manipulovať v čase, kedy je systém offline. Nástroj Windows BitLocker Drive Encryption ponúka rozšírené šifrovanie dát vďaka kombinácii dvoch hlavných čiastkových funkcií: úplné šifrovanie jednotky a kontrola integrity súčastí používaných v prvých fázach spúšťania systému.

Prečítajte si ďalšie informácie o nástroji Windows BitLocker Drive Encryption (US).