Mobilně a (ne)bezpečně

Slides:



Advertisements
Podobné prezentace
© 2000 VEMA počítače a projektování spol. s r. o..
Advertisements

Praha ročník největší odborné IT konference v ČR! Ondřej Ševeček MCM:Directory | MVP:Security | CEH | sevecek.com Certifikační.
OREA Hotel Voroněž 5. – TOP Hotel Praha 7. –
Skupinová politika Windows 200x - požadavky
Výkonná a pohodlná správa zařízení se systémem Windows Mobile® 6.1 v podnikovém prostředí Mezi nabízené funkce patří: Centralizovaná, bezdrátová správa.
OREA Hotel Voroněž 5. – TOP Hotel Praha 7. –
Operační systémy a aplikační servery Tomáš ZACHAT SPŠ Praha 10, STIC.
Tomáš Baďura ARI.  Mnoho velkých společností dávno začalo prosazovat přesun výpočetního výkonu IT do velkých datových center.  Decentralizované systémy.
Správa počítačů z cloudu Tomáš Kantůrek IT Evangelist Microsoft.
OREA Hotel Voroněž 5. – TOP Hotel Praha 7. –
Vaše jistota na trhu IT Důvěryhodná výpočetní základna Ladislav Šolc Microsoft, s.r.o. Solution.
„ EU peníze školám“ Projekt DIGIT – digitalizace výuky na ISŠTE Sokolov reg.č. CZ.1.07/1.5.00/ III/2 Inovace a zkvalitnění výuky prostřednictvím.
Správa firemních mobilních zařízení. Proč si pořídit Cortado Corporate Server? Komplexní správa a monitoring firemních mobilních zařízení, včetně zabezpečení.
Nové Bezpečnostní prvky MS Windows 8
Softwarové zabezpečení serveru
ESET - Chytré řešení bezpečnosti dat Filip Navrátil, Sales Engineer, ESET Software spol. s r.o.
Petr Šetka, MVP Exchange, MCSE:Messaging, MCT Windows Small Business Server 2003 R2.
Adresářová služba Active directory
Bezpečnost na platformě Microsoft & Petr Hartmann Solution Specialist Microsoft.
Nepodceňujte ochranu firemních dat Martin Ondráček & Adriana Gregr Product Director & Sales Director.
1 | Kaspersky Endpoint Security Přehled. 2 | Kaspersky Endpoint Security Kaspersky Endpoint Security for Windows Kaspersky Endpoint Security for Mac Kaspersky.
1 Přehled novinek v serveru Exchange 2007 Marian Henč Technology Specialist – AD & Messaging
Tento výukový materiál vznikl v rámci Operačního programu Vzdělávání pro konkurenceschopnost Číslo projektu: CZ.1.07/1.5.00/ Číslo materiálu: VY_32_INOVACE_PSK-4-14.
Co je VPN? Virtuální privátní síť
Serverové systémy Windows
Úvod do nových médií a komunikace Ing. Jiří Kysela Katedra informačních technologií - Fakulta elektrotechniky.
OBSAH PREZENTACE Elegantní autentizace = Digipass GO 1 Snadné ovládání
JEDINÉ ŘEŠENÍ – OD HESEL K ČIPOVÝM KARTÁM! T-Soft s.r.o. Mgr.Pavel Hejl, CSc.
Gymnázium, SOŠ a VOŠ Ledeč nad Sázavou I NFORMAČNÍ A KOMUNIKAČNÍ TECHNOLOGIE Ing. Jan Roubíček.
Podnikání na Internetu letní semestr 2004 Jana Holá VIII.
Advanced Technologies 05 Jak zabezpečit váš Web Server Martin Pavlis (MCSE, MCT) Konzultant.
Petr Krčmář Vzdálený přístup k firemní síti (bezpečně)
Windows Intune Tomáš Kantůrek.
Exchange Server 2003 představení Tomáš Kutěj Systems Engineer Microsoft, s.r.o.
Mobilní kancelář (…nejen pro velké firmy) Vladimír Wojnar Microsoft Solutions HP.
Operační systém Windows Mobile
Active Directory Centrum pro virtuální a moderní metody a formy vzdělávání na Obchodní akademii T.G. Masaryka, Kostelec nad Orlicí Autor:
Zuzana Sedláková Microsoft Corporation
[Public]—For everyone ©2003–2008 Check Point Software Technologies Ltd. All rights reserved. Moderní vzdálený přístup Martin Koldovský
Tento výukový materiál vznikl v rámci Operačního programu Vzdělávání pro konkurenceschopnost Číslo projektu: CZ.1.07/1.5.00/ Číslo materiálu: VY_32_INOVACE_PSK-4-15.
Tomáš Kantůrek 4. dubna 2005 Bezpečnost v praxi – implementace v síti WAN ÚZSVM.
Síť a MS Windows.
Windows XP a live distribuce Knoppix, Danix apod
Orbis pictus 21. století Tato prezentace byla vytvořena v rámci projektu.
VPN - Virtual private networks Přednášky z Projektování distribuovaných systémů Ing. Jiří Ledvina, CSc.
Autor : Ing. Zdeněk Sauer, Senior Security Consultant SODATSW spol. s r. o.; Horní 32; Brno; Czech Republic
Doména Windows Serveru Centrum pro virtuální a moderní metody a formy vzdělávání na Obchodní akademii T.G. Masaryka, Kostelec nad Orlicí Autor:
Pavel Olšan & Ondřej Mrzena.  Co je server  Funkce  Verze Windows a instalace  Active Directory  Účty  DNS  DHCP  .
PV175 SPRÁVA MS WINDOWS I Podzim 2008 Organizační informace Instalace.
1. 2 Zabezpečená mobilní komunikace 3 Private Circle chrání Vaši komunikaci před odposlechem či narušením. Jedná se o komplexní řešení pro zabezpečení.
Uživatelské účty, Skupiny
Mobile Device Management
Elektronické učební materiály - II. stupeň Digitální technologie 9 Autor: Bc. Pavel Šiktanc Smartphone – chytrý telefon Co se všechno naučíme??? Typy a.
Tomáš Kantůrek IT Evangelist, Microsoft. Správa a zabezpečení PC kdekoliv Jednoduchá webová konzole pro správu Správa mobilních pracovníků.
Centrální registr ●software a technické zabezpečení Ladislav Filip ●odborná konzultace Jaromír Kolařík ●zastřešuje jako celek Imatrade.
Web server SEA a monitorování dat pomocí tabletu nebo „chytrého“ telefonu Jan Voříšek.
1 MOBILNÍ ZAŘÍZENÍ V PODNIKOVÝCH SÍTÍCH Petr Janda, ICZ a. s
Bezpečnostní technologie I IPSec Josef Kaderka Operační program Vzdělávání pro konkurenceschopnost Projekt: Vzdělávání pro bezpečnostní systém státu (reg.
Základy práce s portálem CzechPOINT HW, SW, tokeny, certifikáty, administrace.
Hlavní partner:Partneři: Cyklus vzdělávání ITuniverzita.cz Ing. František Hůlka Mgr. Miroslav Šucha : Úvod – zahájení cyklu vzdělávání.
Operační systémy Zpracovala Anna Macháčková.
Android Autorem materiálu a všech jeho částí, není-li uvedeno jinak, je Ing. Libor Otáhalík. Dostupné z Metodického portálu ISSN: 
NÁZEV ŠKOLY: S0Š Net Office, spol. s r.o, Orlová Lutyně
Živočichopis (taxonomie) sítí
Přednáška pro předmět Operační systémy II ÚI PEF MENDELU
Práva uživatelů Autorem materiálu a všech jeho částí, není-li uvedeno jinak, je Ing. Libor Otáhalík. Dostupné z Metodického portálu ISSN: 
Zařízení Android ve firemním prostředí
software a technické zabezpečení Ladislav Filip
Software (programy) Vypracoval: Mgr. R. Jančar
Transkript prezentace:

Mobilně a (ne)bezpečně Zdeněk Jiříček Microsoft

Scénáře správy zařízení Správa v doménovém prostředí Správa nativním protokolem mobilních zařízení Řešení postavená na konzumerizaci IT Co je nového ve Windows Intune (v aktualizaci služby z prosince 2012)? Služba Windows Intune je nyní vhodná ke správě počítačů a mobilních zařízení v organizaci o jakékoli velikosti. Mezi podporované klienty nyní patří Windows 8, Windows RT a Windows Phone 8 (spolu se všemi dříve podporovanými platformami). Služba nyní nabízí přímou správu mobilních zařízení pro platformy Windows RT, Windows Phone 8 a iOS a také nabízí možnost publikovat software prostřednictvím vylepšeného samoobslužného portálu pro firemní aplikace. Zákazníci se nyní mohou rozhodnout, zda budou svá zařízení spravovat přímo z cloudu nebo mohou připojit svou službu Windows Intune k on-premise instalaci System Center 2012 Configuration Manageru SP1 a spravovat svá zařízení přes konzolu pro správu v Configuration Manageru. Výrazné změny nastaly i v licencování. Windows Intune je nyní licencován na uživatele a v rámci 1 licence lze spravovat až pět zařízení uživatele. Také je nově k dispozici levnější verze Windows Intune, která nezahrnuje Software Assurance (viz dále). Windows Intune je pravidelně aktualizován, jsou pravidelně přidávány nové funkce. Maximálně zabezpečené zařízení Možnost vynucení bezpečnostních politik Šifrování a vícefaktorová autentizace Výhody vycházející z vlastností Windows 7/8 (Bitlocker, Secure Boot, Dynamic Access…) Omezené možnosti zabezpečení Nesourodá řešení třetích stran pro zabezpečení Vynutitelnost granularity politik je nízká Zařízení spravované samotným uživatelem Komunikace pomocí veřejných „free“ emailových služeb (Gmail, Hotmail) Správce sítě nemá žádný dohled nad zařízením

Správa v doménovém prostředí Maximální správa pomocí Group Policy v Active Directory Bezpečnostní funkce a vlastnosti Windows 8 (Bitlocker, Bitlocker To Go, Trusted / Measured Boot, UEFI, Virtual Smart Card, Trusted Platform Module-TPM) Centrální server pro správu (System Center - ConfigMgr, OpsMgr, Endpoint Protection atd.) Reverzní proxy server (Unified Access Gateway) Externí přístup do korporátní sítě bez VPN (Direct Access)

Správa nativním protokolem mobilních zařízení Správa pomocí Exchange ActiveSync (EAS) Původně určen pro synchronizaci emailů mezi Exchange serverem a mobilním telefonem Bezpečnostní funkce: Remote Wipe (vzdálené vymazání zařízení) Device Password Policies (min. délka PIN, alfanumerické znaky, historie hesel atd.) Device Encryption Policies (šifrování mobilního zařízení) Správa pomocí centrálního nástroje System Center ConfigMgr + Intune Správa mobilních zařízení přes všechny platformy (Windows RT, Windows Phone, iOS, Android)

Řešení postavená na konzumerizaci IT Uživatel si přinese své vlastní zařízení do organizace (BYOD) Zabezpečení zařízení je na samotném uživateli Velká pravděpodobnost úniku dat Obtížné připojení do organizační sítě Řešení problému Lze začlenit zařízení do domény? (Windows tablety...) Pokud toto není možné Virtual Desktop Infrastructure (VDI z Windows, OS X, Linux atd.) Vynutit bezpečnostní politiky (EAS, ConfigMgr, Intune – lze na Windows RT, Windows Phone, iOS, Android) Windows To Go (Windows 8 na jakémkoliv PC z USB)

Správa klientů s využitím cloudové služby Windows Intune Windows Phone 8 Windows RT Přímá správa a publikace aplikací iOS x86 / x64 Windows 8 Windows 7 Windows Vista Windows XP Windows 8 Windows To Go EAS DirSync Publikace Android aplikací Android Dvě možnosti přístupu: 1) Spravovat počítače a mobilní zařízení jen s využitím cloudu Co dalšího Windows Intune nabízí Administrátoři Windows Intune spravují pomocí Windows Intune konzole dostupné na adrese https://manage.microsoft.com (případně https://account.manage-beta.microsoft.com/default.aspx pro Beta verze) V rámci konzole mají správci přístup k údajům o všech spravovaných počítačích a zařízeních a mohou provádět následující akce (jednotlivé funkce se liší podle typu platformy): Správa aktualizací - umožňuje podle definovaných pravidel distribuovat a instalovat potřebné aktualizace na vybrané počítače. Kromě kompletních aktualizací Microsoft lze v aktualizovat i programy třetích stran. Antivirus a antimalware - integrovaná součást Windows Intune, postavená na technologii Microsoft Malware Protection Engine, využité i v produktech Forefront či Security Essentials. Kompletně spravovatelné pomocí Intune konzole. Vzdálená pomoc - umožňuje správcům připojit se vzdáleně pomocí technologie Easy Assist na klientský počítač a pomoci uživateli s případnými problémy přímo na počítači. Připojení je dvousměrné a využívá pouze port 443, pokud má tedy klient ze svého počítače přístup na internet, správce je schopen se k jeho počítači připojit a pomoci. Bezpečnostní politiky - umožňují vzdálené nastavení nejrůznějších bezpečnostních parametrů na klientských počítačích Inventury, reporting, licencování - díky sběru dat umožňuje Windows Intune provádět hardwarové a softwarové inventury, na jejich základě reporting a rovněž umožňuje porovnání aktuálního stavu software se zakoupenými licencemi Monitoring počítačů - sledování téměř čtyř set událostí na klientských počítačích, následné generování výstrah a varování správců, což umožňuje reakci na problémy dříve, než vypuknou. Microsoft Desktop Optimization Pack - za příplatek k licenci s Windows SA lze v rámci Windows Intune využít i sadu programů dále rozšiřujících možnosti správy klientských počítačů, Microsoft Desktop Optimization Pack. Více informací o MDOP naleznete zde. Distribuce software - pomocí Windows Intune lze hromadně distribuovat a instalovat software. Podporovány jsou bezdotazové instalace pomocí .exe či .msi instalačních balíčků Podpora češtiny - Windows Intune přináší jak administrátorskou konzoli, tak klientského agenta lokalizované do českého jazyka Podpora software třetích stran - je možné jednak distribuovat a instalovat aktualizace třetích stran, jednak sledovat stav licencí u software třetích stran Vylepšení stávající technologie - změn k lepšímu se dočkala administrátorská konzole, reporting hardwarových konfigurací, lze vynutit akce typu restart na klientských počítačích a mnoho dalšího. Lze například propojit vlastní Active Directory a pracovat nad účty uživatelů v AD, případně lze tvořit uživatelské účty přímo v cloud službě. Instalace aplikací a další konfigurační kroky pak lze cílit na skupiny uživatelů. Distribuce aplikací na iPhone-iOS: Vygenerujeme žádost o Apple Push Notificatin certifikát Publikujeme certifikát na Apple Push Certificates Portal Přidáme SCCM roli Windows Intune Connector To je složitější pro Android, vzhledem k mnoha odlišným verzím na trhu CorpNet Internet

Kombinace ConfigMgr SP1 a služby Windows Intune 2012 Kombinace ConfigMgr SP1 a služby Windows Intune x86 / x64 Windows 8 Windows 7 Windows Vista Windows XP Service Pack 1 x86 / x64 Windows 8 Windows To Go Windows 7 Windows Embedded Windows Vista Windows XP Mac Windows Phone 8 Windows RT Přímá správa a distribuce aplikací iOS EAS DirSync Dvě možnosti přístupu: 2) Pro správu využít kombinaci on-premise System Center Configuration Manageru a cloudové služby Windows Intune. Mobilní zařízení lze spravovat z SCCM pomocí Intune konektoru nebo Exchange konektoru (EAS). Intune: vyšší granularita – lze cílit politiky na „kolekce“. Na Exchange jen globální policies. Intune: a dost širší možnosti nastavení, a podrobný reporting po jednotl. položkách Note: Android pouze přes EAS. V SCCM zavedeme Intune jako novou Subsckripci. SCCM komunikuje s Intune cloudem, který se v kozoli vytvoří jako distribuční bod (jako manage.microsoft.com), přes který se šíří balíčky mobilních aplikací. !! Je ale nutné synchronizovat uživatelské účty z A/D – SCCM do Intune. Lze využít: ADFS, DirSync, nebo i řešení třetích stran. Jakmile je v Intune vytvořen účet, SCCM jen synchronizuje právo přihlásit dané zařízení. Android Distribuce Android aplikací CorpNet Internet

Možný IPsec end-to-end 4/3/2017 6:01 AM DirectAccess Schéma zabezpečení Korporátní síť DirectAccess klient Internet AD & DNS (Win 2003+) This slide talks about SECURITY Security is all IPsec Can use a combination of certificates, domain credentials for the computer and/or the user, and NAP health certificates Certs could also be on a smartcard logon, or in Win8 on the TPM chip as a “virtual smartard” Normal mode is for the IPsec connection to go just from the laptop to the DA Server, but you can later add on end-to-end IPsec to secure traffic all the way through to the end resource servers. That requires IPsec to be deployed pervasively through the environment, while the end-to-edge model only requires IPsec to be deployed at the laptops and the DA server, reducing possible interoperability issues with intranet servers. Servery pro správu Člen domény s certifikátem Aplikace & Data Direct Access Server IPsec Možný IPsec end-to-end IPsec – za pomocí certifikátu na počítači, členství v doméně, smart karet a NAP © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

Šifrování disku, části disku a USB flash disků BitLocker Zabraňuje neautorizovanému přístupu k datům na ztraceném anebo ukradeném zařízení Podporuje šifrování systémového i/nebo datového oddílu Nabízí celou řadu předbootovacích autentizačních možností: TPM-only, PIN/Password, Network Unlock, USB storage Podporuje PC, servery i tablety BitLocker to Go Ochrana dat na externích přenosných discích (např. USB flash disk) Možnost přidělit nebo zamítnout přístup pro zápis Přístup pro čtení na Windows Vista & Windows XP (Bitlocker to Go Reader) BitLocker Drive Encryption is a data protection feature available in Windows 8 Pro, Windows 8 Enterprise, and in all editions of Windows Server 2012. Encrypts the Fixed OS and Data Volumes

Intune MDM - verze „D“ - 12/2012 update Možnost integrace s Active Directory Možnost integrace s SCCM do jedné konzole Proaktivní monitoring počítačů Nastavení bezpečnostních politik Zlepšená samoobslužná instalace a aktualizace softwaru Inventář hardware a software vč. reportů, pro všechny typy klientů Nastavení zasílání výstrah Antivirus / Antimalware Vylepšená správa skupin Zlepšené nastavení bezpečnostních politik Přímá správa mobilních zařízení (Windows RT, Windows Phone 8, iOS) nebo bezpečnostní zásady přes EAS (Exchange ActiveSync) pro Android a Windows Phone 7.5 Publikace software uživatelům přes „Portál společnosti“ Nasazení firemních aplikací Inventář hardware PC Tablet / Smartphone Jaké operační systémy lze spravovat pomocí Windows Intune Klient Windows Intune podporuje 32bitové a 64bitové verze: Windows 8 Enterprise, a Professional Windows 7 Enterprise, Ultimate, a Professional Windows Vista Enterprise, Ultimate a Business Windows XP Professional s SP 3 Zákazníci s edicí Windows Home mohou klienta Windows Intune technicky nainstalovat, ale není to řešení podporované Microsoftem. Jaká mobilní zařízení podporuje Windows Intune Windows Intune v současnosti podporuje mobily a tablety s tímto softwarem: Windows RT a Windows Phone 8 Windows Phone 7 a 7.5 (pouze přes Exchange ActiveSync) iOS 4.0– a iOS 5.0 nebo novější Android 2.1 nebo novější (pouze přes Exchange ActiveSync) Windows Intune umožňuje přímou správu zařízení s Windows RT, Windows Phone 8 a iOS. Mobilní zařízení lze spravovat jen pomocí cloudu nebo integrovat službu Windows Intune do on-premise instalace System Center 2012 Configuration Manager Service Pack (SP1) a sjednotit tak správu počítačů a serverů se správou mobilních zařízení. ? Symbian a Windows Mobile 6.1 a vyšší

Přehled aplikovaných zásad na konkrétní zařízení

Ukázka konfigurace zásad

Jaké operační systémy lze spravovat pomocí Windows Intune Klient Windows Intune podporuje 32bitové a 64bitové verze: Windows 8 Enterprise, a Professional Windows 7 Enterprise, Ultimate, a Professional Windows Vista Enterprise, Ultimate a Business Windows XP Professional s SP 3 Zákazníci s edicí Windows Home mohou klienta Windows Intune technicky nainstalovat, ale není to řešení podporované Microsoftem. Jaká mobilní zařízení podporuje Windows Intune Windows Intune v současnosti podporuje mobily a tablety s tímto softwarem: Windows RT a Windows Phone 8 Windows Phone 7 a 7.5 (pouze přes Exchange ActiveSync) iOS 4.0– a iOS 5.0 nebo novější Android 2.1 nebo novější (pouze přes Exchange ActiveSync) Windows Intune umožňuje přímou správu zařízení s Windows RT, Windows Phone 8 a iOS. Mobilní zařízení lze spravovat jen pomocí cloudu nebo integrovat službu Windows Intune do on-premise instalace System Center 2012 Configuration Manager Service Pack (SP1) a sjednotit tak správu počítačů a serverů se správou mobilních zařízení.

Přehled spravovaných mobilních zařízení

Přehled o hardware zařízení

Instalace „Company Apps“ Windows RT From the Start menu type “Company” and the Company Apps setting is listed in the Settings search results Company Portal: https://portal.manage.microsoft.com Uživatelé mohou přihlásit zařízení, vzdáleně smazat Instalace aplikací Kontakty a zprávy z IT oddělení

Shrnutí Updatujte strategii pro Risk Management u mobilních organizací Od všeobecné ochrany interní infrastrukutry k ochraně klíčových aktiv Klasifikujte aktiva a zmapujte jejich pohyb po síti organizace Zvolte vhodný typ klientských zařízení a architektury zabezpečení Vyzkoušejte si Windows Intune (testovací účet), Příručka Getting Started

Děkuji za pozornost