Praha 2013 11. ročník největší odborné IT konference v ČR! Ondřej Ševeček MCM:Directory | MVP:Security | CEH | sevecek.com Certifikační.

Slides:



Advertisements
Podobné prezentace
Enterprise řešení pro elektronický podpis VerisignIT
Advertisements

Mobilně a (ne)bezpečně
Single Sign-On (SSO) konečně komfort pro uživatele Konference ISSS – duben 2008 Pavel Novotný, NESS.
Exchange 2013 – Autodiscover - přehled
BOJUJ SE ŠIKANOU! Tento materiál vznikl za finanční podpory EU prostřednictvím programu Daphne. Za obsah je zodpovědný příjemce podpory The BB Group a.
jak to funguje ? MUDr.Zdeněk Hřib
Skupinová politika Windows 200x - požadavky
Operační systémy a aplikační servery Tomáš ZACHAT SPŠ Praha 10, STIC.
ZMVŠ. Bezpečnost Windows 8 Dynamic Access Control (DAC) Volně – Dynamický kontrolní přístup) rozšíření NTFS access control listů (ACL) o složitá pravidla.
Praha ročník největší odborné IT konference v ČR! Ondřej Ševeček MCM:Directory | MVP:Security | CEH | sevecek.com Co by skutečný.
Adresářové služby – základní pojmy
Seznam v iPhone Podrobný návod jak mít od seznamu v iPhone Jakub Dlouhý
Vaše jistota na trhu IT Důvěryhodná výpočetní základna Ladislav Šolc Microsoft, s.r.o. Solution.
Správa firemních mobilních zařízení. Proč si pořídit Cortado Corporate Server? Komplexní správa a monitoring firemních mobilních zařízení, včetně zabezpečení.
Softwarové zabezpečení serveru
ESET - Chytré řešení bezpečnosti dat Filip Navrátil, Sales Engineer, ESET Software spol. s r.o.
POČÍTAČOVÉ SÍTĚ KONCEPCE SÍTÍ
Petr Šetka, MVP Exchange, MCSE:Messaging, MCT Windows Small Business Server 2003 R2.
Adresářová služba Active directory
Vytvoření řadiče Windows Serveru Centrum pro virtuální a moderní metody a formy vzdělávání na Obchodní akademii T.G. Masaryka, Kostelec.
Šifrovaná elektronická pošta Petr Hruška
© 2007 Cisco Systems, Inc. All rights reserved.Cisco Public ITE PC v4.0 Chapter 1 1 Operating Systems Networking for Home and Small Businesses – Chapter.
Tento výukový materiál vznikl v rámci Operačního programu Vzdělávání pro konkurenceschopnost Číslo projektu: CZ.1.07/1.5.00/ Číslo materiálu: VY_32_INOVACE_PSK-4-14.
Serverové systémy Windows
Oracle Universal Content Management – inteligentní důvěryhodné úložiště elektronických dokumentů Jiří Machotka
Jaroslav Maurenc Solution Sales Professional Security & Management Microsoft ČR.
Operation Masters - správa Operation Masters - role Operation Masters - role Operation Masters - umístění Operation Masters - umístění Přesouvání versus.
Public Key Infrastructure Přednášky z Distribuovaných systémů Ing. Jiří Ledvina, CSc.
Tento výukový materiál vznikl v rámci Operačního programu Vzdělávání pro konkurenceschopnost 1. KŠPA Kladno, s. r. o., Holandská 2531, Kladno,
Základy uživatelských a skupinových účtů
Advanced Technologies 05 Rozšířené monitorování infrastruktury pomocí MOM 2005 Ondřej Výšek Systémový Specialista Infinity a.s., member of Synergon Group.
Mobilní kancelář (…nejen pro velké firmy) Vladimír Wojnar Microsoft Solutions HP.
Tomáš Sýkora GOPAS, a.s. Úskalí e-learningu Tomáš Sýkora GOPAS, a.s.
Autentizace a účty v AD. Autentizace stanice v AD.
Active Directory Centrum pro virtuální a moderní metody a formy vzdělávání na Obchodní akademii T.G. Masaryka, Kostelec nad Orlicí Autor:
POČÍTAČOVÉ SÍTĚ ADRESA. Identifikace v síti  IP adresa - je jednoznačná identifikace konkrétního zařízení (typicky počítače) v prostředí sítě (Internetu).
[Public]—For everyone ©2003–2008 Check Point Software Technologies Ltd. All rights reserved. Moderní vzdálený přístup Martin Koldovský
T - SOFT spol. s r.o. Systém integrované bezpečnosti Mgr. Pavel Hejl, CSc 2007.
Vítejte v čase služeb. Konference Office 365 Aleš Růžička Ředitel divize Information Worker, Microsoft ČR.
MARKETINGOVÝ MIX.
Internetové protokoly Autor: Milan Bílek. Internet Internet je celosvětová systém propojených počítačových sítí. Počítače mezi sebou komunikují pomocí.
Miroslav Skokan IT Security Consultant
Pohled uživatele.
Technické řešení PostSignum QCA
Advanced Technologies 05 Nástroje pro Exchange Server 2003 Petr Šetka, MCSE, MCT, MVP konzultant & lektor.
Aktuální bezpečnostní výzvy … a jak na ně ….. v praxi Dalibor Lukeš Platform and Security Manager Microsoft Czech and Slovak Michal Pechan Production Stream.
Telefónica O2 - informační a komunikační řešení
DNS a Windows 200x Služba DNS je vyžadována pro vytvoření Active Directory Problémy 1.Dle RFC 1123 lze v DNS použít znaky: ‘A’-’Z’, ‘a’-’z’, ‘0’-’9’, and.
Doména Windows Serveru Centrum pro virtuální a moderní metody a formy vzdělávání na Obchodní akademii T.G. Masaryka, Kostelec nad Orlicí Autor:
Skupinové politiky.
Pavel Olšan & Ondřej Mrzena.  Co je server  Funkce  Verze Windows a instalace  Active Directory  Účty  DNS  DHCP  .
Správa MS Windows II Vladimír Pečený.
Zabezpečení. GPO Security Settings Comp Conf – Win Settings – Security Settings Account Policies – Password Policy – požadavky na hesla uživatelů Doménová.
Uživatelské účty, Skupiny
Jak se volá doména - ENUM v Česku E E Jiří Peterka
Překlad jmen, instalace AD
1 MOBILNÍ ZAŘÍZENÍ V PODNIKOVÝCH SÍTÍCH Petr Janda, ICZ a. s
Bezpečnostní technologie I IPSec Josef Kaderka Operační program Vzdělávání pro konkurenceschopnost Projekt: Vzdělávání pro bezpečnostní systém státu (reg.
Elektronick ý podpis v Lotus Notes Josef Honc, M-COM LAN solution
Základy práce s portálem CzechPOINT HW, SW, tokeny, certifikáty, administrace.
Schůzka říjen 2005 Petr Vokáč říjen 2005
Kerberos ● Bezpečnost zaručená třetí stranou ● Autentikátory, KDC ● Lístky relace ● Lístky na vydávání lístků ● Autentizace mezi doménami ● Dílčí protokoly.
BEZPEČNOSTNÍ TECHNOLOGIE I Operační program Vzdělávání pro konkurenceschopnost Projekt: Vzdělávání pro bezpečnostní systém státu (reg. č.: CZ.1.01/2.2.00/ )
Dva incidenty GOPAS: | | Ing. Ondřej Ševeček | GOPAS a.s. | MCSM:Directory2012 | MCM:Directory2008.
Přednáška pro předmět Operační systémy II ÚI PEF MENDELU
Živočichopis (taxonomie) sítí
TÉMA: Počítačové systémy
Důvěra v certifikáty Pavel Vondruška
Windows Server 2008 Centrum pro virtuální a moderní metody a formy vzdělávání na Obchodní akademii T.G. Masaryka, Kostelec nad Orlicí Autor:
Elektronický (digitální) podpis
Transkript prezentace:

Praha ročník největší odborné IT konference v ČR! Ondřej Ševeček MCM:Directory | MVP:Security | CEH | sevecek.com Certifikační autority a certifikační politiky

O čem bude řeč?  Musím mít offline root CA? –a jak dlouhu může platit?  Mohu mít více CA?  Jakou si mám vybrat edici OS?  Jaké existují a jak fungují certifikační politiky?  Jaká jsou rizika spojená s předáním správy?

"Bezpečnost" certifikačních autorit  Pojem bezpečnost sám o sobě je nesmysl –absolutní bezpečnost neexistuje  Bezpečnost je potřeba hodnotit mírou rizika a nákladů na řešení krizových situací

Proč mají veřejné CA offline root?  Každý OS věří root CA  Je velmi drahé "být důvěryhodný" –veřejné prostředí nemá centrální správu  Kořenovou CA nelze zneplatnit –problém slepice vs. vejce  Bylo by velmi drahé "zneplatnit" kořenovou CA –poškození reputace –konec businessu?

Co je špatného na offline CA?  Špatně se to spravuje  Musí pravidelně publikovat CRL –čím méně často, tím to je méně "bezpečné" –čím více často, tím "dražší" bude publikace

Trust management v podnikovém prostředí  Active Directory a Group Policy  6x kliknout na zařízení důvěry –do 2 hodin vykonáno  6x kliknout na zneplatnění certifikátu –do 2 hodin vykonáno

Zajímá mě tedy platnost kořenové certifikační autority?  Ne  Až budu chtít, tak si ji zneplatním nebo obnovím (renew)

Rizika napadení řadiče domény  Libovolný řadič domény (DC)  Libovolné domény z celého forestu  Napadení = reinstalace celého forestu

Služby poskytované online AD integrovanou CA  Certifikáty vnitřních TLS serverů –LDAPS, RDP, HTTPS, SMTPS, 802.1x, VPN  Certifikáty uživatelů k přihlašování –Kerberos smart kard logon (PKINIT) –TLS client certificate authentication

Rizika napadení online AD integrované CA  Reinstalace CA a nahrazení všech certifikátů na všech službách –servery –uživatelé  Reinstalace celého forestu v případě NTAuth certifikační autority

Rizikovost DC vs. CA  Podniková vnitřní CA obvykle nemůže mít větší rizikovost než libovolné DC  Potřebuji tedy offline root CA? –jen pokud vydávám do nespravovaného prostředí

Certifikační politiky a příjemci certifikátů  Počítače a služby –buď automaticky podle jména počítače –nebo si o ně žádá jejich správce •možná by to měl někdo potvrdit  Uživatelé –buď automaticky podle loginu v AD –žádají si sami •možná by to měl někdo potvrdit

Separace rolí "potvrzovačů"  Certificate Manager  Certificate Enrollment Agent –enroll on behalf of

Je tedy na něco mít root CA?  Qualified Subordination –name constraints –EKU constraints

Qualified Subordination  CERTREQ -policy -cert RootCaCN in.req policy.inf out.req

Name Constraints [NameConstraintsExtension] Include = NameConstraintsPermitted Exclude = NameConstraintsExcluded Critical = True [NameConstraintsPermitted] DirectoryName = "DC=gopas, DC=virtual" = "" DNS =.gopas.cz UPN URI = ftp://.gopas.virtual IPAddress = / [NameConstraintsExcluded]

Application policy constraints [ApplicationPolicyStatementExtension] Policies = App Policy, AppClAuthPolicy Critical = False [App Policy] OID = ; Secure [AppClAuthPolicy] OID = ; Client Authentication [ApplicationPolicyConstraintsExtension] RequireExplicitPolicy = 1 InhibitPolicyMapping = 1