Optimalizované IT - portál pro IT pro komunitu

Umístění CRL do Azure

Vytisknout E-mail

Miroslav Knotek Datum zveřejnění: 29. 8. 2016 6:58 Zobrazeno: 2349
1 1 1 1 1 1 1 1 1 1 Rating 0.00 (0 Votes)

V rámci jednoho z projektů nasazení PKI jsme nutně potřebovali vysoce dostupné umístění CDP (CRL Distribution Point) založené na HTTP protokolu. U zákazníka však v prostředí nebylo žádné vhodné existující vysoce dostupné řešení a stavět dva nové Windows Servery s rolí Web Server s použitím NLB jen pro umístění malého CRL souboru nám nedávalo úplně smysl. Nakonec nás napadlo zvážit umístění CRL do Azure. Protože jsme věděli, že navíc toto CDP bude využíváno velmi často i externími klienty, ukázalo se to jako velmi dobrá volba. Protože jsem tento scénář na Internetu nenašel nikde popsán, chtěl bych se tímto článkem s Vámi podělit o získanou zkušenost.

Volba vhodné Azure služby

Zvolili jsme službu Azure Web Apps, která umožňuje rychle sestavit, nasadit a spravovat weby a webové aplikace. Konkrétně plán D1 (tzv. Shared), který stojí přibližně 8 EUR za měsíc a umožňuje přidat vlastní doménu, což je pro umístění CRL nutné.

1 Plány Azure Web Apps

Obrázek 1 Srovnání plánů Azure Web Apps

Vytvoření webové aplikace

Po registraci do Azure portálu je potřeba vytvořit novou webovou aplikaci. Ta automaticky dostane přiřazený název ve tvaru název_aplikace. azurewebsites.net. V případě mého testovacího webu se jedná o jméno knotekcrl.azurewebsites.net. Pokud chceme používat pro přístup vlastní doménu, je nutné pro ověření do externí DNS přidat CNAME záznam, který prokazuje, že danou doménu můžeme administrovat. V mém případě se jednalo o záznam crl.knotek.net CNAME knotekcrl.azurewebsites.net. Poté co je záznam zpropagován do externích DNS serverů, je možné projít validačním mechanismem Azure.

2 Ověření názvu hostitele

Obrázek 2 Ověření názvu hostitele

Přístup pro nahrávání obsahu

Jedna z možností, jak nahrávat obsah do webové aplikace, je pomocí FTP. Správcovský účet pro správu Azure ale není z bezpečnostních důvodů možné použít i pro FTP přístup. Je tak nutné vytvořit dedikovaný účet přímo pro FTP přístup. Po jeho vytvoření se nám v sekci „Základní údaje“ objeví přehled všech podstatných přístupových údajů: přihlašovací jméno, URL pro FTP přístup, URL pro FTPS přístup atp.

 

3 Přístupové údaje pro FTP

Obrázek 3 Přístupové údaje pro FTP

Skript pro automatické nahrávání CRL souborů do Azure Web App

Protože CRL je vydáváno běžně 1x týdně a Delta CRL dokonce 1x denně, není možné soubory manuálně kopírovat do Azure Web App, ale je nutné zajistit automatický přenos nově vydaných CRL souborů. Zde jsme společně s kolegyní Olgou Annou Berkovskou zvolili cestu PoweShell skriptu, který je pravidelně spouštěn na certifikační autoritě jako naplánovaná úloha. Níže uvádíme základní kostru skriptu, kterou je možné pro tuto úlohu bez větších úprav použít v libovolném prostředí.

   1: #Declare the folder
   2: $Dir="C:\EnterpriseCA\CRL"
   3: #ftp server
   4: $ftpserver = "ftp://waws-prod-sn1-033.ftp.azurewebsites.windows.net/site/wwwroot/"
   5: $user = "knotekcrl\MirekKnotek_FTP"
   6: $pass = "MegaKrutoPrisneHeslo"
   7: foreach($item in (Get-ChildItem $Dir -Filter "*.crl")){
   8: "Uploading $item..."
   9: #connect to ftp server
  10: $ftp = [System.Net.FtpWebRequest]::Create($ftpserver+$item.Name)
  11: $ftp = [System.Net.FtpWebRequest]$ftp
  12: $ftp.Method = [System.Net.WebRequestMethods+Ftp]::UploadFile
  13: $ftp.Credentials = new-object System.Net.NetworkCredential($user,$pass)
  14: $ftp.UseBinary = $true
  15: $ftp.EnableSsl = $true
  16: #$ftp.UsePassive = $false
  17: # read in the file to upload as a byte array
  18: $content = [System.IO.File]::ReadAllBytes($item.FullName)
  19: $ftp.ContentLength = $content.Length
  20: # get the request stream, and write the bytes into it
  21: $rs = $ftp.GetRequestStream()
  22: $rs.Write($content, 0, $content.Length)
  23: # be sure to clean up after ourselves
  24: $rs.Close()
  25: $rs.Dispose()
  26: $ftp.Abort()
  27: $ftp = $null
  28: }

Problém s Delta CRL

Je obecně známý problém, že delta CRL soubor není s výchozím nastavením IIS dostupný pro stažení díky tomu, že název souboru obsahuje znak „+”. Pro jistotu jsem tedy vyzkoušel, zda stejné chování není i v Azure. A výsledek byl, že ani tady nebylo možné delta CRL stáhnout. Na IIS to má snadné řešení, zaškrtneme v nastavení Allow Double Escaping, a je vyřešeno. V Azure jsem ale žádné podobné nastavení nenašel. Nakonec se mi podařilo vše vyřešit vytvořením web.configu s následujícím obsahem

   1: <?xml version="1.0" encoding="UTF-8"?>
   2: <configuration>
   3:     <system.webServer>
   4:         <security>
   5:             <requestFiltering allowDoubleEscaping="true" />
   6:         </security>
   7:     </system.webServer>
   8: </configuration>

Tento web.config je třeba nahrát do kořenu složky wwwroot, restartovat webovou aplikaci a zhruba 10 minut počkat. Po tomto nastavení je z Azure Web App bez problému dostupné i DeltaCRL.

Shrnutí

Azure není vhodný jen v situaci, kdy potřebujeme provozovat velké množství virtuálních strojů. Azure v dnešní době obsahuje velmi bohatou škálu různých služeb a vždy je na místě zvážit, zda neposkytuje vhodnější řešení daného problému. V tomto případě jsme si ověřili, že díky Azure je možné získat, velmi snadno a levně vysoce, dostupné CDP, což je z pohledu nasazení PKI velmi často kriticky důležité.

Miroslav Knotek, KPCS CZ, Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript.

KPCS CZ, s.r.o. je přední českou firmou specializující se na nasazení, správu a podporu informačních technologií, primárně zaměřenou na produkty společnosti Microsoft. Jako systémový integrátor poskytuje kvalitní podniková řešení na této platformě, která jsou v pravidelných intervalech hodnocena prvními příčkami v soutěžích Microsoft Awards. KPCS CZ disponuje předními odborníky na problematiku veřejného cloudu, tedy služeb Office 365 a Azure, ale i technologií privátního cloudu Windows Server, Hyper-V a produktů rodiny System Center.

Nasazení virtuálních smart karet ve firemním prostředí

Vytisknout E-mail

Miroslav Knotek Datum zveřejnění: 27. 4. 2015 13:56 Zobrazeno: 3081
1 1 1 1 1 1 1 1 1 1 Rating 0.00 (0 Votes)

Nejčastěji používaná forma ověřování pomocí uživatelského jména a hesla je zároveň také formou nejslabší. Primární odpovědnost za ochranu autentizačních údajů leží na koncovém uživateli, který musí zvolit dostatečně komplexní heslo. Toto heslo nesmí být snadno uhodnutelné a uživatel ho nesmí nikomu dalšímu sdělit. I při dodržení těchto základních pravidel je možné, díky různým útokům typu naslouchání na síti, útoku hrubou silou či sociálním inženýrství, přece jen teoreticky heslo zjistit. Ve chvíli kdy útočník zná heslo uživatele, může ho použít pro ověřování, aniž by si toho samotný uživatel musel nutně všimnout.

To vše vede řadu organizací k úvahám o zavedení dvoufaktorové autentizace, která je obvykle založená na tom, že něco znám (heslo, PIN atp.) a něco fyzicky mám (např. USB token, smart kartu, mobilní telefon). Nejběžnějším scénářem nasazení dvoufaktorové autentizace je ověřování za pomoci certifikátů uložených včetně privátního klíče na inteligentní čipové kartě s mikroprocesorem (anglicky “smart card”). Toto řešení jednoznačně zvyšuje bezpečnost autentizace, ale je spojeno často s nemalými náklady na pořízení vlastních čipových karet a čteček čipových karet.

S poměrně masovým rozšířením TPM modulů v dnešních počítačích se ale otevírá možnost nasazení dvou faktorové autentizace i bez těchto zvýšených nákladů. Tímto řešením jsou právě virtuální smart karty.

Co je TPM?

TPM (Trusted Platform Module) je kryptoprocesor instalovaný na základní desce, který mimo jiné umí generovat náhodná čísla, generovat a chránit kryptografické klíče, provádět kryptografické operace aniž by šifrovací klíč poskytnul operačnímu systému.

Zajímavou vlastností TPM je také takzvaná atestace. TPM je schopný vytvořit unikátní hash z informací o hardwarové a softwarové konfiguraci. Díky atestaci jsme pak schopni ověřit, že se nejen jedná opravdu stále o stejný počítač, ale dokonce máme i důkaz, že se nezměnila žádná jeho podstatná konfigurace hardware a software.

Specifikace TPM určitě není horkou novinkou, ale až v poslední době můžeme hovořit o tom, že TPM je běžnou součástí většiny počítačů. S TPM čipem se dnes už můžeme dokonce setkat i v mobilních telefonech s Windows Phone.

Co je virtuální smart karta?

Virtuální smart karta v podstatě emuluje tradiční fyzické smart karty, ale díky využití TPM čipu pro ochranu privátních klíčů není nasazení spojeno s nákup dalšího hardwaru. Je to tedy zajímavá alternativa pro firmy, jejichž počítače jsou vybaveny TPM čipy, jak zvýšit bezpečnost ověřování bez výrazných investic.

Virtuální smart karty mají díky využití TPM stejné srovnatelné bezpečností charakteristiky:

  • Neexportovatelnost – všechny citlivé informace na virtuální smart kartě jsou zašifrovány za pomocí modulu TPM v daném počítači a nemohou být použity na jiném počítači s jiným TPM. Součástí návrhu TPM jsou i obranné prostředky proti různým typům útoků, a tak dokonce ani v případě, že bych někomu odcizil TPM a vložil ho do svého počítače, tak se stále k chráněným datům ze zdrojového počítače nebudu schopen dostat.
  • Izolovaná kryptografie – podobně jako u tradičních smart karet jsou veškeré kryptografické operace s chráněnými klíči prováděny mimo paměť operačního systému, a tak i v případě virtuálních smart karet platí, že operační systém nemá přístup k chráněnému kryptografickému klíči a veškeré kryptografické operace s takovýmto klíčem probíhají výhradně uvnitř TPM čipu.
  • Anti-hammering – pokud uživatel zadá opakovaně špatně PIN k virtuální smart kartě, dle konkrétní logiky TPM dojde k dočasnému přerušení možnosti znovu PIN zadat. Toto chování je podobné funkci zamykání uživatelských účtů na danou dobu po vyčerpání povoleného počtu chybných pokusů o přihlášení.

Čím se liší virtuální smart karta od tradiční?

Přestože virtuální smart karta je navržena jako co nejpřesnější emulace tradičních smart karet a zajišťuje autentizaci se srovnatelnou mírou bezpečnosti za použití dvou faktorů (znám PIN a mám počítač s TPM), přece jen najdeme celou řadu praktických rozdílů, s kterými je třeba počítat.

Virtuální smart karta je stále vložená

Tradiční smart karta je díky svému kompaktnímu tvaru určena pro nošení s sebou například společně s osobními doklady. Protože je často kombinovaná třeba s docházkovým systémem nebo zabezpečením vstupu do kancelářských prostor, uživatelé jsou tak vlastně nenásilně nuceni ji nenechávat ve čtečce při odchodu od počítače. Naopak virtuální smart karta je neustále „vložená“ v počítači a není si ji možné odnést s sebou. Pokud někde nechám osobní počítač, dávám tím prostor komukoliv zkoušet uhodnout můj PIN. Nicméně díky anti-hammering funkci TPM čipu toto riziko přece jen výrazně sníženo. Naopak tradiční smart karty jsou často díky přenášení ztraceny nebo zapomenuty a nezanedbatelné náklady na provoz tvoří obsluha procesu vystavování dočasných smart karet a revokace těch ztracených nebo fyzicky zničených. Toto u virtuální smart karty hrozí pouze v případě odcizení nebo ztráty celého počítače, což nastává určitě s nižší frekvencí.

Musíme ale počítat s tím, že Smart Card Removal Policy v Group Policy tedy nemá při použití virtuálních smart karet žádný význam.

Virtuální smart karta je nepřenositelná

Výhodou tradičních smart karet je jejich přenositelnost. Mohu svojí smart kartu využít k přihlášení na libovolný počítač vybavený čtečkou. Virtuální smart karta je naopak vázaná na konkrétní počítač a je zcela nepřenositelná. Pro autentizační a podpisové certifikáty to není nepřekonatelný problém. Mohu mít jednoduše více různých virtuálních smart karet na jednotlivých počítačích a s nimi se přihlašovat. Složitější je to u šifrovacích certifikátů, kde je nemožnost přenášení mezi počítači již citelnou nevýhodou. Pokud ale uživatel využívá pro většinu své práce svůj vlastní počítač, nemusí toto omezení být nakonec relevantní.

Situace, kdy jeden počítač využívá více uživatelů, problematická naopak není. Je možné na jednom počítači mít několik virtuálních smart karet s certifikáty pro jednotlivé uživatele.

Virtuální smart karta je levná

Za předpokladu počítačů vybavených TPM čipem jsou z pohledu materiálních investic virtuální smart karty v podstatě zadarmo. Zcela odpadá nutnost nákupu skutečných smart karet a čteček čipových karet. I samotný provoz je obvykle výrazně levnější, neboť není nutné řešit časté náhrady ztracených, zničených nebo zapomenutých smart karet, což reálně poměrně běžně v praxi nastává.

Požadavky na nasazení virtuálních smart karet

Pro nasazení virtuálních smart karet existují tyto požadavky:

Požadavky na operační systém:

  • Windows 8 a novější
  • Windows Server 2012 a novější
  • Windows Phone 8.1

Požadavky na hardware:

  • TPM čip verze 1.2 a vyšší

Požadavky na prostředí:

  • Počítač je členem Active Directory domény
  • V prostředí existuje minimálně jedna Active Directory integrovaná certifikační autorita

TPM čip musím být plně funkční včetně úvodní inicializace. Pro správu TPM mají systémy Windows připravenou konfigurační konzolu „Správa čipů TPM v místním počítači”, která se spouští pomocí Start->Spustit-> tpm.msc

clip_image002

Obrázek 1 Správa čipů TPM v místním počítači

Vytvoření virtuální smart karty

Pro vytváření nebo naopak odstraňování virtuálních smart karet operační systém Windows obsahuje nástroj TPM VSC Manager (Tpmvscmgr.exe). Tento nástroj je třeba spustit s právy administrátora. Základní příklady použití jsou:

tpmvscmgr.exe create /name KPCS_VSC_Test /pin default /adminkey random /generate

Tento příkaz vytvoří virtuální smart kartu se jménem KPCS_VSC_test, která má nastavený výchozí PIN s hodnotou „12345678”.

Příkazem TpmVscMgr destroy /instance root\smartcardreader\0000 bychom naopak první vytvořenou smart kartu ze systému odstranili.

clip_image004

Obrázek 2 Vytvoření virtuální smart karty

Jakmile máme virtuální smart kartu úspěšně vytvořenou, stačí již jen standardně zažádat o certifikát interní certifikační autoritu. Žádost musí využívat zprostředkovatele kryptografických služeb „RSA, Microsoft Smart Card Key Storage Provider“. Během vytváření žádosti jsme vyzváni k zadání PINu k virtuální smart kartě, aby systém ověřil, že jsme opravdu k této operaci autorizováni.

clip_image006

Obrázek 3 Vystavení certifikátu na virtuální smart kartu

Správa virtuálních smart karet

Pro využití v menších prostředích jsou vestavěné nástroje Windows dostačující pro nasazení virtuálních smart karet i pro jejich provoz. Ve větších prostředích je pak možné pro automatizovanou správu virtuálních smart karet využít profesionální nástroje třetích stran z kategorie CMS (Card Management System). Windows 8.1 a Windows Server 2012 R2 dokonce přináší ve jmenném prostoru Windows.Device.SmartCards vlastní API, přes které automatizované nástroje mohou s virtuálními smart kartami snadno pracovat.

Jako příklad můžeme uvést jedno z prvních CMS řešení, které plně podporuje virtuální smart karty ve Windows: MyID. MyID přináší tyto hlavní výhody pro správu virtuálních smart karet:

  • Uživatelsky snadný samoobslužný proces pro vystavení virtuální smart karty včetně certifikátů
  • Podporuje obnovu klíčů, a tak je možné používat virtuální smart karty i pro šifrování např. poštovních zpráv
  • Podporuje vzdálené smazání virtuální smart karty třeba pro případ, kdy zaměstnanec organizaci opouští
  • Umožňuje vzdálené odemknutí karty při jejím zamčení na základě několika špatných pokusů o zadání PINu
  • Poskytuje auditing a podrobný reporting o využívaná virtuálních smart karet v celé organizaci
  • Podporuje celý životní cyklus certifikátů včetně obnovy nebo zneplatnění

Shrnutí

Virtuální smart karty přináší velmi zajímavou alternativu k tradičním smart kartám. S velmi nízkými náklady jsme díky novince Windows 8 v kombinaci s využitím TPM čipů schopni dosáhnout výrazného zvýšení bezpečnosti ověřování ve firemním prostředí, které je svými vlastnostmi srovnatelné s klasickými smart kartami. I virtuální smart karta zajišťuje dvou faktorovou autentizaci. Pro ověření musím zároveň ZNÁT PIN a MÍT konkrétní zařízení s TPM čipem. Z pohledu komfortu uživatele je pak práce s virtuální smart kartou v prostředí Windows úplně stejná jako s kartou tradiční.

CryptoLocker - Jak předejít “útoku” pomocí technologií v operačním systému?

Vytisknout E-mail

Ondřej Výšek Datum zveřejnění: 24. 10. 2013 15:29 Zobrazeno: 3922
CryptoLocker - Jak předejít “útoku” pomocí technologií v operačním systému? - 5.0 out of 5 based on 3 votes
1 1 1 1 1 1 1 1 1 1 Rating 5.00 (3 Votes)

imageimageÚtočníci hledají nové cesty jak znemožnit uživatelům jejich život, jak získat nějaké jmění. V poslední době se internetem šíří hrozba pod názvem CryptoLocker. Výsledkem jeho činnosti jsou zašifrované soubory na lokálních / výměnných / síťových discích. Pokud nezaplatíte požadovanou částku, je smazán klíč použitý pro šifrování. Nepomůže změna data v BIOSu,… Projevem “infekce” je nemožnost otevřít běžně využívané soubory doc, .docx, .xls, .xlsx, .ppt, .pst, .dwg, .rtf, .dbf, .psd, .raw, .pdf a další. Přijít k tomuto viru je možné v současné době několika možnými způsoby:

1) otevřením přílohy v mailu a spuštěním obsahu přílohy.

2) přístupem na nakaženou webovou stránku.

3) v poslední době stažením a instalací nakaženého kodeku / video ovladače.

Tedy jak vidno, ono se o infekci nebo virus v pravém slova smyslu nejedná, stejně tak nejsou využívání žádné známé bezpečnostní chyby v operačním systému, vše je s “laskavým svolením” uživatele. V současné době neexistuje cesta jak navrátit zašifrované soubory do své nezašifrované podoby. Ochranou je prevence:

1) chodit tam a otevírat pouze to co vím, že je bezpečné

2) provádět offline zálohy

3) aktuální antivirové řešení

Nicméně je ještě jedna cesta, jak se tomuto napadení, resp. zašifrování souborů bránit - k dispozici již od Windows XP - Software Restriction Policies / AppLocker. Vycházejme z předpokladu, že škodlivý kód je spouštěn z EXE souboru, který dorazí emailem,… (co se situace týká, kdy škodlivý kód je “přibalen” k běžnému SW, pak toto řešení nepomůže, resp. pomůže, ale ovladač,.. nebude spuštěn jako celek). Je možné nadefinovat pravidla pro SRP / AppLocker následovně:

  • %localAppData%\*.exe - blokuje spouštění z C:\Users\%username%\AppData\Local
  • %localAppData%\*\*.exe - blokuje spouštění z C:\Users\%username%\AppData\Local\*
  • %Temp%\Rar*\*.exe - blokuje spouštění v TEMP, souborů otevíraných pomocí WinRAR
  • %Temp%\7z*\*.exe - blokuje spouštění v TEMP, souborů otevíraných pomocí 7zip
  • %Temp%\wz*\*.exe - blokuje spouštění v TEMP, souborů otevíraných pomocí WinZip
  • %Temp%\*.zip\*.exe - blokuje spouštění v TEMP, souborů otevíraných pomocí Windows Explorer
  • %localAppData%\Microsoft\Windows\INetCache\*.exe - blokuje spouštění souborů v IE temp
  • %localAppData%\Google\Chrome\User Data\Default\Cache\*.exe - blokuje spouštění souborů v Chrome temp (pozn. cache je v binární formě, je nepravděpodobné, že by se vyskytl přímo exe soubor)
  • %localAppData%\Mozilla\Firefox\Profiles\*.exe - blokuje spouštění souborů v FF temp (pozn. cache je v binární formě, je nepravděpodobné, že by se vyskytl přímo exe soubor)

Výsledek pak může vypadat např. takto:

image

Výhodou řešení je, že je snadno nasaditelné pomocí skupinových politik i v rámci organizací. Pokud bychom chtěli být ochráněni ještě lépe, je vhodné nasadit tzv. Application Whitelisting, tedy nastavit SRP/Applocker tak, aby umožňoval spouštět pouze vyjmenovaný software. Ostatně toto je preferovaná metoda NSA - více v dokumentu http://www.nsa.gov/ia/_files/os/win2k/Application_Whitelisting_Using_SRP.pdf

Zvyšte zabezpečení vašeho prostředí pomocí SCM 3.0

Vytisknout E-mail

Ondřej Výšek Datum zveřejnění: 1. 2. 2013 16:27 Zobrazeno: 3294
Zvyšte zabezpečení vašeho prostředí pomocí SCM 3.0 - 5.0 out of 5 based on 2 votes
1 1 1 1 1 1 1 1 1 1 Rating 5.00 (2 Votes)

Security Compliance Manager (SCM) 3.0 byl umístěn ve finální verzi na download stránky 31.1.2013. Jedná se o nástroj zdarma, který je součástí tzv. Solution Accelerators, lze pomocí něj řídit konfigurace a zabezpečení pomocí skupinových politik (Group Policy), System Center Configuration Manager. Poslední verze SCM 3.0 přináší podporu Windows Server 2012, Windows 8 a Internet Explorer 10.

SCM nabízí politiky připravené k nasazení na počítače s operačními systémy Windows a Office, kde politiky obsahují předpřipravené konfigurace, které obsahují znalostní bázi týkající se zabezpečení počítačů a serverů.

imageimage

Při práci se SCM 3.0 je možné importovat stávající nastavení, které je prováděné pomocí skupinových politik a použít tuto konfiguraci jako referenční. Také je možné importovat bezpečnostní nastavení z jednotlivých počítačů, na kterých je také možné nastavení aplikovat.

SCM nabízí i znalostní bázi bezpečnostních expertů a doporučená nastavení v aktualizovaných dokumentech. Obsahem je také referenční dokumentace “Attack surface”, tedy možná, potenciální nejzranitelnější místa podporovaných produktů. Pomocí těchto informací je možné vytvořit přesné nastavení zabezpečení, kde SCM pomůže porozumět proč, jak a co nastavujete.

Při importu stávajícího nastavení je možné porovnat existující nastavení proti doporučenému “zabezpečenému” nastavení. SCM 3.0 přináší rozšířené a upřesněné nastavení pro Windows 7 SP1 a Windows Server 2008 R2. Jakmile je připravena bezpečnostní konfigurace, je možné nastavení exportovat do několika z následujících formátů: XLS, GPO (skupinové politiky), balíčky Desired Configuration Management (SCCM DCM), Security Content Automation Protocol (SCAP). Díky těmto exportům je možné automatizovat / dokumentovat bezpečnostní nastavení ve firemních prostředích, ale stejně tak i při nasazení operačních systémů.

Již z předchozích verzí SCM jsou podporovány následující produkty: Windows Server 2012, Windows Server 2008 R2 SP1, Windows Server 2008 SP2, Windows Server 2003 SP2, Hyper-V, Windows 8, Windows 7 SP1, Windows Vista SP2, Windows XP SP3, BitLocker Drive Encryption, Windows Internet Explorer 10, Windows Internet Explorer 9, Windows Internet Explorer 8, Microsoft Office 2010 SP1, Microsoft Office 2007 SP2, Exchange Server 2010 SP2 a Exchange Server 2007 SP3.

Security Compliance Manager (SCM) 3.0 je možné stahovat zdarma z Microsoft Download Centra. Pro instalaci je nutná instance MS SQL 2008 (může být i Express), při instalaci SCM je možné automaticky instalovat odpovídající instanci SQL Express.

Pro zájemce je připravena ukázka SCM: Security Compliance Manager Demo a také dokumentace

SCM Overview

SCM Getting Started

SCM Frequently Asked Questions (FAQ)

SCM Release Notes

SCM Baseline Download Help

Pro instalaci je zapotřebí operační systém Windows 7 nebo Windows 8, Microsoft Word nebo Word Viewer,

Microsoft Security Essentials - antivir pro malé firmy zdarma

Vytisknout E-mail

Ondřej Výšek Datum zveřejnění: 23. 9. 2010 19:44 Zobrazeno: 8340
Microsoft Security Essentials - antivir pro malé firmy zdarma - 5.0 out of 5 based on 1 vote
1 1 1 1 1 1 1 1 1 1 Rating 2.75 (2 Votes)

imageSpolečnost Microsoft, která vyvíjí vlastní antivirový nástroj - Microsoft Security Essentials (MSE) - bude od 1.10.2010 kompletně zdarma i pro malé firmy - do 10ti počítačů. Nyní není možné používat MSE na počítačích, které jsou používány k podnikání.

Antivir Security Essentials prošel mnohými testy různých organizací zabývajících se testováním antivirových řešení a MSE obdržel řadu kvalitních hodnocení. Mezi tato hodnocení patří například test av-test.org, kde dosáhl hodnocení ochrana 4, oprava 4,5, využitelnost 5,5 (obsahuje jak uživatelské rozhraní, zátěž systému, apod.). Celý report můžete stáhnout například zde anebo se podívat na srovnání s dalšími antivirovými řešeními zde. Co je důležité vědět, že MSE ochrání “dynamicky” počítače, tedy ochrana i proti tzv. 0-day útokům.

Microsoft Security Essentials používá stejné technologie jako “Enterprise řešení” společnosti Microsoft, tedy například ForeFront Client security, či ForeFront for Exchange. Tento antivirový nástroj je prověřen mnohými domácími uživateli od data jeho vydání a je také velice důležité, že je k dispozici v lokalizované - tedy české - verzi.

Důležité je, že není nutné se nikde registrovat, pouze stáhnout MSE ze stránek Microsoft http://www.microsoft.com/security_essentials/ a začít používat.

Microsoft Security Essentials využívá standardních technologií Windows Update pro aktualizace virových definic, tedy aktualizace pro MSE budou pravidelně stahovány z internetu.

Forefront Endpoint Protection 2010 beta k dispozici

Vytisknout E-mail

Ondřej Výšek Datum zveřejnění: 21. 7. 2010 9:15 Zobrazeno: 7971
1 1 1 1 1 1 1 1 1 1 Rating 0.00 (0 Votes)

Někteří z vás dozajista zaznamenali první antivir z dílny Microsoftu pro koncové stanice již před několika lety - ForeFront Client Security. Také před několika lety začal vývoj nové verze, která byla několikrát odložena (původní vydání bylo plánováno na podzim 2008). Těžko hodnotit důvody tohoto odložení, nicméně nyní je k dispozici první veřejná betaverze firemního antiviru - Forefront Endpoint Protection 2010.

Možná k překvapení administrátorů tento antivir pro svou centrální správu vyžaduje System Center Configuration Manager (uvidíme časem, jak to bude s licencováním), kde antivir je jakýmsi rozšířením pro SCCM. Možná jste také zaznamenali novou betaverzi Microsoft Security Essentials, kde antiviry budou identické, pouze ve firemní edici bude možná centrální správa na koncových klientech.

Microsoft uvádí, že díky integraci se SCCM bude plně využita již existující infrastruktura pro nasazení správu zabezpečení koncových stanic - co ale v případě, kdy SCCM v organizaci není nebo organizace mají pouze System Center Essentials? Čas ukáže, jak šťastný se tento krok zdál. Pro úplnost uvedu, že v předchozích plánech a neveřejných betách byl Forefront Endpoint Protection centrálně spravován pomocí System Center Operations Manager. Změna k SCCM se zdá být logická, ale v případě, kdy organizace nemá SCCM infrastrukturu, tak poněkud nákladná a rozsáhlá.

Nové vlastnosti, které se týkají antivirového engine jsou identické jako u Security Essentials, tedy:

  • Integrace s Windows Firewall - Microsoft Security Essentials se dotazují při instalaci a následně i při běhu aplikace Windows Firewall a upozorňují uživatele, že by firewall měla být spuštěná.
  • Rozšířená ochrana proti útokům vedeným z webových stránek - Microsoft Security Essentials jsou plně integrovány s Internet Explorerem pro kontrolu obsahu, který je zobrazován pomocí Internet Exploreru.
  • Nové jádro antiviru (protection engine) - toto nové jádro nabízí nové/rozšířené možnosti při detekci, odstranění škodlivého kódu a zvýšený výkon.
  • Network Inspection System (NIS) - ochrana proti síťovým útokům je přímo součástí Microsoft Security Essentials. Tato funkce není dostupná pro Windows XP.

Dostupnost je pak plánována na druhou polovinu kalendářního roku 2010 (doufejme :)).

Kromě běžných systémových požadavků, je právě s ohledem na správu FFEP 2010 zapotřebí následující:

  • Microsoft SQL Server 2005 SP2 or 2008 Enterprise, including:

    • Analysis Services

    • Integration Services

    • Reporting Services

    • SQL Server Agent

  • Microsoft System Center Configuration Manager 2007 Service Pack 2 Release 2 site installed with default roles, configured to use the SQL Server Reporting Services, and the following installed and configured:

    • Hardware Inventory

    • Software Distribution

    • Desired Configuration Management

    Beta verzi po registraci je možné stáhnout zde (cca 75MB) - http://www.microsoft.com/downloads/details.aspx?FamilyID=8b46c3ff-d9a0-4741-8ba5-458c1b3d2257

    Microsoft Security Essentials vNEXT

    Vytisknout E-mail

    Ondřej Výšek Datum zveřejnění: 21. 7. 2010 8:33 Zobrazeno: 9808
    1 1 1 1 1 1 1 1 1 1 Rating 0.00 (0 Votes)

    Microsoft připravuje další verzi úspěšného antiviru z jeho dílny - Microsoft Security Essentials. Tato druhá verze přináší následující vylepšení:

    • Integrace s Windows Firewall - Microsoft Security Essentials se dotazují při instalaci a následně i při běhu aplikace Windows Firewall a upozorňují uživatele, že by firewall měla být spuštěná.
    • Rozšířená ochrana proti útokům vedeným z webových stránek - Microsoft Security Essentials jsou plně integrovány s Internet Explorerem pro kontrolu obsahu, který je zobrazován pomocí Internet Exploreru.
    • Nové jádro antiviru (protection engine) - toto nové jádro nabízí nové/rozšířené možnosti při detekci, odstranění škodlivého kódu a zvýšený výkon.
    • Network Inspection System (NIS) - ochrana proti síťovým útokům je přímo součástí Microsoft Security Essentials. Tato funkce není dostupná pro Windows XP.

    Betaverze je dostupná v následujících jazycích: Anglicky, Brazilsky, Izraelsky.

     

    Betaverzi je možné stahovat ze stránek connect.microsoft.com

    Microsoft Security Essentials mluví česky

    Vytisknout E-mail

    Ondřej Výšek Datum zveřejnění: 18. 2. 2010 19:11 Zobrazeno: 10255
    Microsoft Security Essentials mluví česky - 5.0 out of 5 based on 1 vote
    1 1 1 1 1 1 1 1 1 1 Rating 3.75 (2 Votes)

    image V minulém roce vydala společnost Microsoft antivirový program nazvaný Microsoft security Essentials. Dnes, tedy 18.2.2010 byly spuštěné české stránky pro tento antivirový nástroj a také je možné stáhnout zdarma českou verzi. Je tedy vidět, že se čeština do security Essentials dostala přesně dle slibů společnosti Microsoft. Stahovat českou verzi, stejně jako ostatní jazykové mutace můžete na download.microsoft.com Další informace jsou uvedeny na stránkách věnované Microsoft Security Essentials.

    TPM chip haknut? šifrovací klíče opustily TPM!

    Vytisknout E-mail

    Ondřej Výšek Datum zveřejnění: 12. 2. 2010 22:22 Zobrazeno: 9671
    TPM chip haknut? šifrovací klíče opustily TPM! - 5.0 out of 5 based on 2 votes
    1 1 1 1 1 1 1 1 1 1 Rating 5.00 (3 Votes)

    10.února 2010 server h-online uvedl velice zajímavou zprávu. TPM čip může být haknutý. Americký hacker - možná lépe softwareový inženýr - Christopher Tarnovsky, se pustil do pokusu, jak získat šifrovací klíče z TPM (Trusted Patform Module) čipu, která slouží pro ukládání šifrovacích a ověřovacích klíčů (RSA, DES,…) například pro použití technologií Windows BitLocker.

    TPM čipy samy o sobě obsahují celou řadu logických a fyzických ochran, které mají zabránit celé řadě útoků jako například rozdílová elektromagnetická analýza (DEMA) a to včetně fyzických útoků na čip. Pokud se útočníkovi podaří získat šifrovací klíče z TPM modulu, může číst data ze šifrovaných disků, aniž by musel zadávat přístupový PIN.

    Christopher Tarnovsky, který je známý spíše jako “smard card hacker” použil pro tento pokus TPM čip SLE 66CLX360PE. Pro to, aby bylo možné číst data ze sběrnice, je nutné odstranit veškeré ochrany z čipu. Pro tento účel Tarnovsky využívá svou laboratoř (vybavení cca $200 000), různé tekuté a plynné látky. Následně přichází složitá práce s mikroskopy (Focused ion beam), Photoshopem a dalšími nástroji, které umožní rozkrýt vícevrstvou strukturu čipu. Extrahování informací z TPM čipu Tarnovskému zabralo cca 6 měsíců, nicméně přečtení licenčního čísla pro XBox 360 bylo pouze 6 hodin navíc.

    Po vydařeném pokusu Tarnovsky oznámil tuto skutečnost výrobci čipu - společnosti Infineon. Peter Laackmann, vedoucí divize čipů společnosti Infineon, řekl, že možnost masivního útoku na čipy je spíše v teoretické rovině. Také oznámil, že tato modelová řada čipů se již nedodává a nyní je běžně dodávána řada SLE78, která obsahuje další technologie proti fyzickým útokům na čip a stejně tak další šifrovací možnosti. Tyto čipy obsahují tzv. koncept Integrity Guard, který zajišťuje přenos dat a jejich zpracování odděleně.

    Je možné téměř s jistotou říci, že tato metoda nebude prakticky hromadně zneužívána, nicméně různé agentury mohou takového útoku využít cíleně (a pravděpodobně tak již činí). Tarnovsky nezveřejnil a ani nezveřejní detaily, které se týkají tohoto útoku - je také jenom podnikatel - v budoucnu plánuje ověřit zabezpečení dalších výrobců TPM čipů.

    Microsoft Security Essentials

    Vytisknout E-mail

    Ondřej Výšek Datum zveřejnění: 30. 9. 2009 9:19 Zobrazeno: 9367
    Microsoft Security Essentials - 4.7 out of 5 based on 6 votes
    1 1 1 1 1 1 1 1 1 1 Rating 4.64 (7 Votes)

    mseSpolečnost Microsoft vydala finální verzi nástroje pro ochranu počítače před viry, spyware a dalším škodlivým kódem v reálném čase. Tento nástroj je dostupný zdarma pro legální majitele operačního systému Microsoft Windows (při stahování je kontrolována pravost operačního systému – genuine Windows).

    Microsoft security Essentials (MSE) mohou využívat majitelé operačních systému Windows XP SP2 a vyšší,Windows Vista a Windows 7, je dostupný ve verzi 32bit i 64bit.

    Aktualizace MSE se provádí pomocí technologie Windows Update a to i několikrát denně – doporučujeme tedy konfigurovat aktualizace systému na automatické.

    V současné době je MSE dostupné v cca 20ti jazykových verzích, nicméně čeština přijde na řadu později.

    Tento nástroj je primárně určený pro domácí použití na jednotlivých počítačích. Pro využití ve firemních prostředích je určený nástroj Forefront Client Security.

    Stahovat je možné na stránkách Microsoft věnovaných Security Essentials

    Přihlašovací formulář