Aksesskontroll og sikkerhet i Active Directory
|
|
- Lina Austad
- 8 år siden
- Visninger:
Transkript
1 IMT4161 Information Security and Security Architecture Autumn Term 2004 MSc in Information Security Aksesskontroll og sikkerhet i Active Directory Håvard Hasli, haa_hasl@hig.no Vidar Grønland, vid_groe@hig.no Norwegian Information Security Laboratory NISlab Department of Computer Science and Media Technology Gjøvik University College P.O. Box 191, 2802 Gjøvik, Norway
2 Aksesskontroll og sikkerhet i Active Directory Page 1 Forord Vi fikk i oppgave å skrive en rapport som skulle omhandle aksesskontroll i Active Directory. Prosjektet er en del av faget Informasjonssikkerhet og sikkerhetsarkitektur (IMT4161) ved høgskolen i Gjøvik. Vi la hovedtyngden på informasjon fra internett, da denne som regel er av nyere dato enn boklitteratur på området. Informasjonsinnhenting er også enklere, da det her er lettvint å søke, men man bør være obs på at en ikke kan stole blindt på all informasjon på nettet. Informasjonen vi har benyttet, kommer stort sett fra Microsoft sine nettsider. Dette fordi vi anser disse sidene for å være meget troverdige, siden det er Microsoft som har utviklet Active Directory. Vi vil rette en takk til Magne Reinsborg (IT sjef ved HiG), som gav oss et lynkurs i hvordan Active Directory fungerer i praksis. Da vi begynte med prosjektet la vi for stor vekt på den distribuerte delen av Active Directory, siden det meste av informasjonen vi fant var vinklet mot dette. Dette brukte vi mye tid på, og fikk derfor ikke, føler vi, vinklet prosjektet nok i retning av aksesskontroll. Sammendrag Dette prosjektet handler om aksesskontroll og sikkerhet i og rundt Active Directory. Vi har gått nærmere inn på hva Active Directory er og hva slags sikkerhetsmekanismer som brukes. Vi har her tatt for oss objektsikring og tilgang til delte objekter (ACL og ACE). Vi har også sett noe på hvordan aksesskontrollmekanismene ble forbedret fra Windows NT 4.0 og til Windows 2000.
3 Aksesskontroll og sikkerhet i Active Directory Page 2 Innholdsfortegnelse 1 Hva er og hva gir Active Directory? Hvordan fungerer Active Directory? Aksesskontroll i Active Directory...8 Definisjon av aksesskontroll...8 Oppbygging...8 Eksempel på hvordan objekttyper blir brukt...9 Aksesskontroll i Windows NT4.0 vs Windows Hvordan aksesskontroll virker i AD...12 Aksesskontrollkomponenter...12 Ekstern tilgang til AD...14 Aksesskontroll-arv Sikkerhet i Active Directory...16 Måter Active Directory styrker sikkerheten på:...16 Hvordan Active Directory styrker sikkeheten Kerberos protokollen Konklusjon Kilder Ordliste (vedlegg)...21
4 Aksesskontroll og sikkerhet i Active Directory Page 3 1 Hva er og hva gir Active Directory? I distribuerte datasystemer, kommuniserer datamaskiner og andre enheter over fjerntilkoblinger for å gjennomføre oppgaver gjennom klient/server applikasjoner. Distribuerte miljøer krever et sentralt oppbevaringssted for informasjon og integrerte tjenester som har muligheten til å administrere nettverksbrukere, tjenester, enheter, og tilleggsinformasjon som administratorer ønsker å lagre. Organisasjoner som benytter distribuerte miljøer trenger å administrere nettverksressurser og tjenester. Etter hvert som organisasjonen vokser, øker behovet for et sikkert og sentralisert administreringssystem. En katalogtjener gir en slik sentralisert lokasjon å lagre informasjon om nettverkets tjenester, enheter og brukere. En katalogtjener implementerer også tjenester som gjør denne informasjonen tilgjengelig for brukere, datamaskiner og applikasjoner. Katalogtjeneren er både en kataloglagringsdatabase, [eng: directory store], og et sett av tjenester som har som oppgave å legge til, modifisere, slette, og lokalisere data i kataloglagringsdatabasen på en sikker måte. Active Directory gir: En sentral lokasjon for nettverksadministrasjon og delegering av administrativ autoritet. Man har tilgang til objekter som representerer alle nettverkets brukere, enheter og ressurser og muligheten til å gruppere objekter for å forenkle administreringen og anvendelsen av sikkerhets og gruppepolicyer. Informasjonssikkerhet og «single sign on» for tilgang til nettverksressurser for brukerne. God integrering av sikkerhet. Kombinasjoner av brukernavn og passord kan identifisere hver enkelt nettverksbruker, og denne identiteten følger brukeren over hele nettverket. Skalerbarhet. Active Directory inneholder et eller flere domener, hver med en eller flere domenekontrollere. Dette gjør at man kan skalere katalogene i henhold til nettverkskravene. Fleksibel og global søking. Brukere og administratorer kan benytte enkle verktøy for å søke i Active Directory. Som standard, er søk rettet mot den globale katalogen, hvilket gir et bredt søkespekter.
5 Aksesskontroll og sikkerhet i Active Directory Page 4 Lagring av applikasjonsdata. Active Directory tilbyr en sentral plassering for lagring av data som er delt mellom applikasjoner og for applikasjoner som distribuerer dataene sine over nettverket. Systematisk synkronisering av katalogstruktur oppdateringer. Oppdateringer blir distribuert til hele nettverket ved hjelp av sikre og kostnadseffektive dupliseringer mellom domenekontrollere. Fjernadministrering. Man kan koble seg eksternt opp mot hvilken som helst domenekontroller fra enhver Windows basert datamaskin som har administrative verktøy installert.
6 Aksesskontroll og sikkerhet i Active Directory Page 5 2 Hvordan fungerer Active Directory? Active Directory lar organisasjoner lagre informasjon på en hierarkisk, objektorientert måte, og gir mulighet for duplisering for å støtte distribuerte nettverksmiljøer. Active Directory benytter seg av objekter for å representere nettverksressurser som for eksempel brukere, grupper, maskiner, enheter og applikasjoner. Den bruker «containere» for å representere organisasjoner, eller samlinger av relaterte objekter som f.eks. printere. Informasjonen blir organisert i en trestruktur bestående av disse objektene og «containerne», på samme måte som Windows baserte operativsystemer bruker kataloger og filer for å organisere informasjon på en PC. Figur 2.1. Active Directory organiserer informasjon i en trestruktur for å forenkle administreringen. I tillegg administrerer Active Directory relasjoner mellom objekter og «containere» for å gi et enkelt, sentralisert og omfattende overblikk. Dette gjør at ressurser blir lettere å finne, administrere, og bruke i distribuerte systemer. Hierarkiet i Active Directory er fleksibelt og konfigurerbart, slik at organisasjoner kan organisere ressurser på en mest mulig optimalisert måte med hensyn på brukervennlighet og administrerbarhet. I figur 2.1 over, blir «containere» brukt til å representere samlinger av brukere, maskiner, enheter og applikasjoner. «Containere» kan innkapsles, («container» inni en annen «container»), for å gjenspeile organisasjonsstrukturen. I dette tilfellet representerer «containerne» studenter og ansatte de to «avdelingene» brukere er delt inn i, og relasjonen dem imellom, innenfor organisasjonen skole. Ved å gruppere
7 Aksesskontroll og sikkerhet i Active Directory Page 6 objekter i kataloger, kan objekter administreres som en samling av objekter i stedet for en og en. Dette øker effektiviteten og nøyaktigheten av administreringen. Som nevnt tidligere lagrer Active Directory informasjon om nettverkselementer vha. objekter. Disse objektene kan tildeles attributter, som beskriver karakteristikken av et objekt. Ved hjelp av dette kan organisasjonen lagre all slags informasjon i katalogtjeneren, og samtidig kontrollere tilgangen til det. Figur 2.2. Active Directory objekter og attributter beskyttes ved hjelp av aksesskontrollister. Som figur 2.2 illustrerer, kan administratoren kontrollere aksessen til informasjon lagret i katalogene. Her: et brukerobjekt lagret i katalogen studenter, har attributtene navn, , tlf og studentnr. Active Directory lar administratoren gi aksessrettigheter for hvert enkelt attributt i objektene, og for hele objekter. I dette tilfellet har administratoren gitt global aksess til objektet «Espen Askeladd», men låst tilgangen til studentnummer attributtet hans. Active Directory brukes til et av tre formål: Intern katalogtjener Benyttes innenfor organisasjonens nettverk for å publisere informasjon om brukere og ressurser innenfor organisasjonen. En organisasjons interne katalogtjener kan aksesseres av ansatte selv om de er utenfor organisasjonens nettverk ved å bruke en sikker tilkobling som f.eks. VPN (Virtual Private Network). Ekstern katalogtjener Dette er kataloger som ofte ligger på servere i perimeter nettverket eller i demilitariserte soner (DMZ), på grensen mellom organisasjonens lokalnettverk og internett. Eksterne kataloger blir typisk brukt til å lagre informasjon om kunder, klienter og business partnere som benytter eksterne applikasjoner eller tjenester. De
8 Aksesskontroll og sikkerhet i Active Directory Page 7 blir også gjort tilgjengelige for kundene, klientene og business partnerne for å gi dem et utvalg av lagret informasjon (kalles ofte extranet). Applikasjons katalogtjener «Applikasjonskataloger» lagrer «private» katalogdata som kun er relevant for applikasjonen i en lokal katalog, f.eks. på samme server som applikasjonen, uten at det kreves noen tilleggskonfigurasjon av Active Directory. De individuelt tilpassede dataene, som bare er interessante for «portalapplikasjonen» og dermed ikke trenger å dupliseres rundt på nettverket, trenger kun å lagres i registeret/katalogen assosiert med programmet. Denne løsningen reduserer unødvendig trafikk på nettverket mellom domenekontrollere.
9 Aksesskontroll og sikkerhet i Active Directory Page 8 3 Aksesskontroll i Active Directory Definisjon av aksesskontroll En sikkerhetsmekanisme som bestemmer hvilke operasjoner en bruker, gruppe, service, eller datamaskin er autorisert til å utføre på en datamaskin, eller et bestemt objekt, (som for eksempel filer, skrivere, register nøkler, eller katalogtjenesteobjekter), for å administrere brukertilgang til delte ressurser. Oppbygging I Active Directory (AD) blir aksesskontrollen utført på objektnivå ved å sette forskjellige sikkerhetsnivåer eller rettigheter av typen full kontroll, skrive, lese eller ingen tilgang. Aksesskontrollen i AD definerer hvordan forskjellige brukere kan benytte seg av AD objektene. Rettighetene i objektene er satt til maks sikkerhet som standard. Hvert objekt som sikres i AD inneholder en «security descriptor (SD)», denne har oversikt over all sikkerhetsrelatert informasjon for dette objektet, vanligvis i form av aksesskontrollister [eng: access control lists (ACL)]. (Se fig 3.1.) ACL er lister med sikkerhetsbeskyttelsesmekanismer som gjelder for et helt objekt, en del av et objekt eller en individuell egenskap et objekt har. Det fins to typer ACL; «Discretionary ACL (DACL)» og «System ACL (SACL)». DACL er den delen av et objekts SD som gir eller nekter spesifikke brukere og grupper adgang til objektet. SACL er delen av objektets SD som spesifiserer hvilke hendelser som skal kunne logges per bruker eller gruppe. Hver av disse to listene inneholder aksesskontrolloppføringer [eng: access control entries (ACE)], for hver spesifikk operasjon som skal utføres på et objekt finnes en ACE som sier noe om sikkerheten rundt denne. DACL Hver ACE gir eller nekter tilgang til en bruker eller gruppe som ønsker aksessrettigheter til objektet. Disse aksessrettighetene kan være operasjonene som er tillatt på objektet f.eks. lesing og skriving.
10 Aksesskontroll og sikkerhet i Active Directory Page 9 SACL Hver ACE definerer hvilke hendelser som skal logges av sikkerhetssystemet. Disse hendelsene kan være forsøk på aksess, endring av rettigheter osv. SEC. DESC OBJEKT SACL DACL ACE 1ACE 2ACE 3ACE 4ACE Figur 3.1 Grovskisse av aksesskontrollistene i en sikkerhetsdeskriptor. Eksempel på hvordan objekttyper blir brukt Hovedpoenget med objektspesifikke ACE er er at program kan både ha en stor samling av aksessrettigheter og i tillegg kunne utvide disse dynamisk. Ved å gruppere aksessrettighetene hierarkisk i «property sets», forbedres ytelsen når man har store sett med rettigheter, fordi man kan samle disse i en enkelt ACE. Active Directory benytter dette til å organisere egenskaper med lignende aksesskontrollbehov, som f.eks. alle kontaktinformasjonsegenskaper, inn i et «property set». Se eksempel under.
11 Aksesskontroll og sikkerhet i Active Directory Page 10 ACL Header: Revision: version 2 ACL Size: 100 bytes ACE Count: 3 ACCESS_ALLOWED_ACE Principal: Administrator Access: read, write, delete, control ACCESS_ALLOWED_OBJECT_ACE Principal: Group Admins Access: read, write ObjectType: {GUID for public property-set} ACCESS_ALLOWED_OBJECT_ACE Principal: Ola Norman Access: control ObjectType: {GUID for change-password} Figur 3.2. En ACL på et brukerobjekt i Active Directory. Den første ACE en gir administratorer full kontroll over brukerobjektets egenskaper. Den andre ACE en gir «Group Admins» lese og skrivetilgang til brukerobjektets offentlige informasjon som f.eks. tlf nr, navn, adr. Den tredje ACE en gir brukeren Ola Norman tilgang til å endre sitt eget passord. (Siden det å endre et passord ikke kan gjøres ved en lese eller skrivetilgang er man nødt til å benytte control for å få utført dette. Active Directory skjønner da at brukeren har lov til å benytte et passordendringsprogram (f.eks. kpasswd) til å endre passordet sitt med, så lenge brukeren kan oppgi sitt forrige passord). Aksesskontroll i Windows NT4.0 vs Windows 2000 Aksesskontrollalgoritmene og strukturen for NT 4.0 ble utviklet med tanke på tjenester som f.eks. filsystemet, med bare noen få objekttyper (filer, kataloger ) og operasjoner (r,w,x). I motsetning inneholder Active Directory hundrevis av objekttyper, hver med mange egenskaper som må beskyttes individuelt. Ut i fra dette ser vi at aksesskontrollmekanismene i NT 4.0 har tre store begrensninger: 1. Støtter ikke store antall egenskaper og operasjoner på objekter 2. Har ikke mulighet til å ha mange forskjellige objekttyper innenfor en «container» 3. Forplante endringer i ACL er gjennom et tre av objekter Løsningen på disse tre problemene er gjort ved å utvide oppføringene i Aksesskontrollistene (ACE ene) til å inneholde to ting til: objekttype (object type) og arvet objekttype (inherited object type). Objekttypefeltet sier noe om hva slags objekt/egenskap ACE en gjelder for. Dette feltet utvider mulige rettigheter
12 Aksesskontroll og sikkerhet i Active Directory Page 11 tilgjengelig for et objekt. Arvet objekttypefeltet kontrollerer hvilke typer objekter som arver ACE en. (Se fig. 3.3). ACE: Header: Type: ACESS_ALLOWED_OBJECT_ACE Flags: OBJECT_INHERIT ObjectType: LogonScriptPath InheritedObjectType: users Access Rights: read, write, exec Principal SID: secadmin Figur 3.3. Eksempel på en ACE struktur i Windows I Windows 2000 spesifiserer ACL oppføringene (ACE ene) hva slags type objekt som kontrolleres, hvilke typer objekter som kan opprettes, og hvilke typer objekter som vil kopiere oppføringen inn i deres egen ACL når de opprettes. Som et resultat av dette kan ACL er spesifisere hvilke objekter som kan aksesseres så vel som hvordan informasjonen forplanter seg i hierarkiet av objekter. I NT4 kan en bare bestemme om en bruker har eller ikke har adgang til å kjøre et program, hvis adgang blir gitt vil programmet kjøre med alle rettigheter denne brukeren har. Dette fordi når et program skal kjøres vil det bli opprettet en kopi av brukerens aksesstoken som brukes av programmet for adgang til de ressurser det trenger. Med AD og Windows 2000 fikk brukeren mulighet til å kontrollere hvor mye aksess et program kunne få. Dette blir gjort ved at det blir laget en «strengere» kopi av brukerens aksesstoken hvor det blir satt adgang til kun de ressursene et program trenger. Hvis programmet som kjører i begrenset modus har tilgang til brukernavnet og passordet ditt kan det autentisere seg mot en annen server og få full tilgang der. Men ved å bruke kun abstrakte autentifiseringsprosedyrer som f.eks. GSS API kan begrensningene en bruker har blitt gitt overført også til den nye serveren. I Windows 2003 brukes Kerberos til å gjøre dette. (Se kapittel 6 for mer info om Kerberos).
13 Aksesskontroll og sikkerhet i Active Directory Page 12 4 Hvordan aksesskontroll virker i AD Aksesskontroll i Microsoft Active Directory er basert på Windows NT/2000 sin aksesskontrollmodell. Som nevnt i kapittel 3 blir aksessprivilegier for AD ressurser vanligvis gitt ved bruk av en ACE (aksesskontrolloppføring). En ACE inneholder en aksess eller loggrettighet på et objekt for en spesifikk bruker eller gruppe. En ACL er en ordnet liste med ACE er for et spesifikt objekt. En SD (sikkerhetsdeskriptor) inneholder egenskaper og metoder som lager og håndterer ACL er. Den basiske oppbygningen av sikkerhetsmodellen er som følger: Sikkerhetsdeskriptor. Hvert objekt i AD har sin egen SD som inneholder sikkerhetsdata for beskyttelse av objektet. SD en kan inneholde en diskré aksesskontrolliste DACL. Denne inneholder en liste med ACE er. Hver ACE gir eller nekter tilgang til en bruker eller gruppe som ønsker aksessrettigheter til objektet. Disse aksessrettighetene kan være operasjonene som er tillatt på objektet f.eks. lesing og skriving. Sikkerhets kontekst. Når et objekt blir forsøkt aksessert vil programmet oppgi sikkerhetsklareringen til den som forsøker å få tilgang. Når denne er autentisert vil sikkerhetsklareringen bestemme programmets sikkerhetsnivå, dette inkluderer gruppemedlemskap og privilegier assosiert med den som forsøkte å få tilgang. Aksessjekk. Systemet vil kun gi tilgang til et objekt dersom objektets SD gir de nødvendige tilgangsrettigheter til den som forsøker å få tilgang. Aksesskontrollkomponenter Det finnes to primære komponenter i en aksesskontrollmodell: Aksesstoken, som inneholder informasjon om en pålogget bruker Sikkerhetsdeskriptor, som inneholder sikkerhetsinformasjonen som beskytter et sikret objekt Når en bruker logger seg på, vil systemet autentisere brukeren mot dens brukerkonto og passord. Hvis dette er vellykket vil brukeren få tildelt et aksesstoken. Hver prosess utført på vegne av brukeren vil få en kopi av dette. Tokenet inneholder sikkerhetsidentifikatorer som identifiserer brukerens konto og
14 Aksesskontroll og sikkerhet i Active Directory Page 13 enhver gruppe brukeren tilhører. Det inneholder også en liste med hvilke privilegier brukeren eller brukerens grupper har. Systemet bruker token for å identifisere eiere av prosesser når disse prøver å aksessere et sikret objekt eller utføre systemadministrative oppgaver som krever utvidede privilegier. Når et sikret objekt blir opprettet vil systemet tildele dette objektet en sikkerhetsdeskriptor som inneholder sikkerhetsinfo satt av den som lagde objektet, eller en standardversjon av denne infoen om intet annet er spesifisert. Programmer kan bruke funksjoner for å hente eller sette sikkerhetsinfo for et eksisterende objekt. En sikkerhetsdeskriptor SD identifiserer objektets eier og kan også inneholde følgende aksesskontrollister: Brukers aksesstoken Bruker SID Gruppe SID Liste med rettigheter Diverse aksessinfo Objekts sikkerhetsdeskriptor Objekteier SID Gruppe SID SACL ACE ACE ACE DACL Aksessjekk utføres mellom disse to når en prosess ønsker tilgang til et objekt. Hver ACE blir sjekket opp mot aksesstokenets rettigheter. ACE ACE ACE ACE - - Figur 4.1. En brukers aksesstoken og et objekts sikkerhetsdeskriptor
15 Aksesskontroll og sikkerhet i Active Directory Page 14 Ekstern tilgang til AD AD tillater både anonym og autentisert aksess til katalogstrukturen. Anonyme brukere har kun tilgang til objekter som har tillatt aksess for alle i sin ACL. Autentisert tilgang til AD via Lightweight directory access protocol (LDAP) støttes gjennom bruk av MIT Kerberos V5 autentiseringsprotokoll i tillegg til passordbasert autentifikasjon. Internettklienter kan også autentiseres vha. X.509 v3 Public Key Cetificates. Security Support Provider Interface (SSPI) er Microsofts implementeasjon av Generic Security Services Application Programming Interface (GSSAPI). Denne er basert på en slik arkitektur at en applikasjon som skriver til disse APIene kan bruke forskjellige sikkerhetsleverandører (security providers). Microsoft sin LDAP klient og WinNT AD bruker SSPI sin API for autentifikasjon og sikkerhet, og kan derfor bruke hvilken som helst annen SSPI leverandør for opprettelse og utførelse av en sikker LDAP sesjon. Windows 2003 har også lagt inn SSPI støtte for SSL 3.0, Kerberos v5 og Windows NT SSP. Aksesskontroll arv Når man tildeler en «container» en ACE, vil rettighetene assosiert med ACE en flyte nedover i treet i en prosess man kaller arv. Arving av rettigheter er ikke noe nytt i Windows Windows NT har alltid benyttet seg av arv for å tildele «default» aksessrettigheter til filer, kataloger og registernøkler. Når et nytt objekt opprettes, arver dette objektet sikkerhetsdeskriptoren fra sin «parent». Denne måten å arve på brukes også i Windows Figur 4.2 Arving av ACE er fra «parent» til «child» ved opprettelse av nytt objekt.
16 Aksesskontroll og sikkerhet i Active Directory Page 15 Det som er nytt i Windows 2000 er konseptet med dynamisk arving. Når en arvbar ACE blir lagt til en aksessliste for et containerobjekt i katalogen, oppdateres sikkerhetsdeskriptoren til de underordnede objektene automatisk. Dette blir på en måte det samme som, «bruk på alle underkataloger» i NT, i stedet for å overskrive sikkerhetsdeskriptoren i «child» objektet, blir en ny ACE lagt til i listen. Det er egentlig ikke en fullstendig dynamisk arving i Windows 2000, men mer en dynamisk/statisk arving. Når en ACE blir lagt til i sikkerhetsdeskriptoren til et katalogobjekt, og arvingen blir satt til å flyte nedover i treet, (object_inherit flagget er satt), vil sikkerhetsdeskriptoren til alle «child» objektene bli oppdatert med den nye ACE en. Hvis man har 1500 brukerkontoer i en «container» og man legger til en arvbar ACE i ACL en til «containeren», vil sikkerhetsdeskriptorene til de 1500 brukerkontoene bli modifiseret. Katalogtjeneren er optimalisert for slike typer jobber, men det kan fortsatt ta litt tid. Disse utvidelsene av arvereglene tillater sentralisert administrering av aksesskontrollen fordi aksessrettighetene kan administreres på et hvilket som helst nivå i hierarkiet. Det er da mulig å administrere hvor som helst i treet, og la endringene flyte nedover, eller å administrere direkte på et objekt. I tillegg kan enkelte deler av treet være mer beskyttet og blokkere arving av rettigheter ovenifra. Denne måten å gjøre det på er den største fordelen med dynamisk aksesskontroll, nemlig sentralisert administrering høyt i objekttreet. ACL datastrukturen i Windows 2000 merker alle ACE er med et flagg som forteller om den er arvet eller ikke. Alle ACE er som er arvet vil ha INHERITED_ACE flagget satt i headeren sin. I Windows 2000 blir ACE er som er lagt til lokalt, plassert før de som er arvet.
17 Aksesskontroll og sikkerhet i Active Directory Page 16 5 Sikkerhet i Active Directory Gode og konsekvente sikkerhetstjenester er av vesentlig betydning for alle «større» nettverk. Administrering av brukerautentisering og aksesskontroll er ofte en kjedsommelig jobb som sjelden ender opp med et feilfritt resultat. Active Directory sentraliserer administreringen og tvinger frem rollebasert sikkerhet som svarer til organisasjonens daglige drift. For eksempel, støtte for flere autentiseringsprotokoller som Kerberos, X.509 sertifikater, smartkort kombinert med en fleksibel aksesskontrollmodell muliggjør kraftig og konsekvent sikkerhet for interne brukere, hjemmekontorbrukere, og eksterne e handelskunder. Måter Active Directory styrker sikkerheten på: Den forbedrer passordsikkerhet og administrering. Ved å tilby, «single signon», til nettverksressurser med integrerte, meget kraftige, sikkerhetstjenester som er usynlige for sluttbrukeren. Sikrer skrivebords funksjonalitet. Ved å låse skrivebordskonfigurasjoner og forebygge aksess til spesifikke klientmaskinoperasjoner, sånt som software installasjoner og endringer av registeret, basert på rollen til sluttbrukeren. Har innebygd støtte for standard internett sikkerhets protokoller og autentiserings mekanismer som f.eks. Kerberos, PKI (Public Key Infrastructure) og LDAP over SSL (Secure Socket Layer). Kontrollerer sikkerheten nøye. Ved å bruke aksesskontrollrettigheter på katalogobjekter og de individuelle dataelementene de består av. Begrensning av antall nye objekter en bruker kan opprette, reduserer faren for DoS angrep, (Denial of Service), ved overbelastning av lagringsplassen på domenekontrollere.
18 Aksesskontroll og sikkerhet i Active Directory Page 17 Hvordan Active Directory styrker sikkeheten Figur 5.1 Hvor Active Directory legger inn sikkerhetsmekanismene for å beskytte data og forenkle aksess. Som fig 5.1 viser, fungerer Active Directory som en sikkerhetssentral for styring av brukerautentisering og kontroll av aksess til nettverksressurser. Når en bruker er autentisert og pålogget, er alle ressurser i systemet beskyttet og aksess blir godkjent eller avslått på grunnlag av en autoriserings modell. Dette medfører at organisasjoner ikke trenger å beskytte ressurser på forskjellig måte for de som logger på via intranett og de som logger på ved hjelp av digitale sertifikater for å få tilgang til ressurser via internett. I tillegg støtter Active Directory PKI, og internettprotokoller som LDAP over SSL, for å gi organisasjonen mulighet til å tilby kataloginformasjon utenfor brannmuren til extranet brukere og e handel kunder. På denne måten styrker Active Directory sikkerheten og forenkler anvendelsen av e handel ved at administratoren kan bruke de samme verktøyene og prosessene til å administrere aksesskontroll og brukerrettigheter på tvers av «desktoppbrukere», «dial up brukere» og eksterne kunder.
19 Aksesskontroll og sikkerhet i Active Directory Page 18 6 Kerberos protokollen På en Windows NT basert maskin som ikke er koblet til et domene brukes NT LANmanager som aksesskontroll for å verifisere brukernavn og passord. I fra Windows 2000 og innførselen av Active Directory har Kerberos overtatt denne funksjonen*. (*Finnes enda noen parallellkjøringer.) Kerberos var en hund med tre hoder fra gresk mytologi, dette er analogt med de tre aktørene i et Kerberossystem. Du har et nøkkeldistribusjonssenter, en bruker og en server. Protokollen brukes når en bruker skal autentisere seg for å få tilgang til en nettverksressurs i f.eks. et Active Directory miljø. Dette gjøres vha. 6 forskjellige steg. (Se også figur 6.1 under) 1. Brukeren kontakter «Key Distribution Center (KDC)» sin autorisasjonsdel (AS) med sitt brukernavn med forespørsel om «Ticket to get ticket (TGT)» 2. AS verifiserer bruker og sender tilbake en TGT som kun kan dekrypteres med brukerens passord 3. Brukeren kontakter KDC sin «Ticket Granting Service (TGS)» med TGT og spør om å få en «service ticket» 4. TGS gir da brukeren en «service ticket» 5. Brukeren tar sin «service ticket» og autentiserer seg mot nettverksressursen 6. Nå kan brukeren og serveren utveksle data KDC 4 1 Auth.Service 2 AS 3 Ticket Granting Service TGS 6 5 Server Figur 6.1. Hvordan få tilgang i et Kerberossystem «Service ticket» har en standard levetid på ca. 10 timer, (noe Microsoft har satt), men tiden kan i løpet av sesjonen økes automatisk uten ny autorisasjonsrunde.
20 Aksesskontroll og sikkerhet i Active Directory Page 19 7 Konklusjon Vi fant ut at Active Directory benytter seg av aksesskontrollen implementert i Windows 2000, og ikke som et eget system som vi først trodde. Denne er en forbedring av aksesskontrollmekanismene fra NT 4.0. En annen ting vi nå ser er at Active Directory gir økte muligheter for systematisering av objektsikring. En stor fordel med Windows 2000 og Active Directory er at man nå kan kjøre applikasjoner i begrenset modus, noe som bedrer sikkerheten i systemet. Prosjektet har gitt oss en bedre forståelse av hvordan aksesskontrollister fungerer og hvordan sikkerheten er oppbygd i Windowsbaserte systemer. Dessuten har det også gitt oss et grunnlag for faget distribuerte systemer som kommer senere i utdannelsen.
21 Aksesskontroll og sikkerhet i Active Directory Page 20 8 Kilder Arving av ACE er Microsoft MSDN how active directory works Microsoft server 2003 Access control overview roddocs/enus/default.asp?url=/resources/documentation/windowsserv/2003/standard/proddo cs/en us/sag_seconceptsunlocac.asp, 2004 Kerberos y/erberos.mspx, 2004 Hvordan fungerer AD, hvordan AD styrker sikkerheten Aksesskontroll Michael M Swift, m.fl. Improving the granularity of Access Control in Windows NT, 2001
22 Aksesskontroll og sikkerhet i Active Directory Page 21 9 Ordliste (vedlegg) ACL ACE AD Attributt Container DACL DMZ Domene DoS Egenskap GUID GSSAP Kerberos KDC Klasse LDAP Objekt Objektklasse SACL Skog SSL SSPI TGS TGT Trust Trær VPN Aksesskontrolliste Aksesskontrolloppføring (står i en ACL) Active Directory Se egenskap Et hjelpeobjekt fot å holde struktur på Active Directory. Benyttes for å gruppere ressurser. Kan innholde en annen container og danne en trestruktur. Sammenligning: Mappe: Organiserer filer og andre mapper. Container: Organiserer AD-objekter og andre containere Diskrè aksesskontrolliste Demilitarisert sone (En nøytral sone mellom internett og det interne nettverket.) Navn på en samling av arbeidsstasjoner og tjenermaskiner. Kan kun inneholde W2K arbeidsstasjoner og tjenermaskiner. Denial of Service Brukernavn, etternavn etc. (Delbeskrivelser som forteller noe om objektet) Globally Unique Identifier (128bits nummer generert av OS et eller applikasjonen) Generic Security Services Application Programming Interface Nettverks-autentisereingsprotokoll Key Distribution Center (Brukt i Kerberos) Beskrivelse hva objektet skal inneholde. Når for eksempel en bruker opprettes får den satt av plass til de egenskapene den skal ha. Lightweight Directory Access Protocol (Protokoll brukt for tilgang til katalogtjenere) En bruker, skriver, datamaskin eller en annen ressurs Brukere og grupper er eksempler Systemaksesskontrolliste Vi utvider fra rot, gren og tre til skog. En skog er en samling av to eller flere trær med felles oppsett men med forskjellig innhold. Secure Sockets Layer (protokoll for sending av private dokumenter over internett) Security Support Provider Interface Ticket Granting Service (Brukt i Kerberos) Ticket to Get Ticket (Brukt i Kerberos) Hvilke domener som skal stole på hverandre En samling av objekter med flere containerobjekter. Et objekt som ikke kan inneholde andre objekter kalles bladobjekter. Et tre kan også være et tre av flere domener (domenetre). Virtual Private Network
6105 Windows Server og datanett
6105 Windows Server og datanett Leksjon 6a Grupper i Windows Lokale grupper og domenegrupper Gruppetyper og scopes Innebygde grupper Pensum Kvisli: Windows Server og nettverk, HSN 2016, kapittel 8 Grupper
Detaljer6105 Windows Server og datanett
6105 Windows Server og datanett Leksjon 6b Filsystemet NTFS og rettigheter NTFS-rettigheter, ACl og eierskap til filer NTFS-rettigheter arves og kombineres Avanserte NTFS-rettigheter NTFS-rettigheter ved
Detaljer6105 Windows Server og datanett
6105 Windows Server og datanett Leksjon 6b Filsystemet NTFS og rettigheter NTFS-rettigheter, ACl og eierskap til filer NTFS-rettigheter arves og kombineres Avanserte NTFS-rettigheter NTFS-rettigheter ved
Detaljer6105 Windows Server og datanett
6105 Windows Server og datanett Leksjon 5a Katalogtjenester og Active Directory Katalogtjenester FEIDE, Active Directory Domain Services og Single Sign-on Windows domener, domenenavn og DNS Organisering
Detaljer6105 Windows Server og datanett
6105 Windows Server og datanett Leksjon 5a Katalogtjenester og Active Directory Katalogtjenester FEIDE, Active Directory Domain Services og Single Sign-on Windows domener, domenenavn og DNS Organisering
Detaljer6105 Windows Server og datanett
6105 Windows Server og datanett Oppgave a: Installere Active Directory Certificate Services Bruk av kryptering i Windows forutsetter at brukerne får utstedt digitale sertifikater med krypteringsnøkler.
DetaljerTom Bjærum Løsningssalg Software. AD og SharePoint administrasjon
Tom Bjærum Løsningssalg Software AD og SharePoint administrasjon Roller og ansvar mot Active Directory Hvilke holdninger har IT-avdelingen til å la brukeren utføre oppgaver som naturlig hører til hos IT,
Detaljer6105 Windows Server og datanett
6105 Windows Server og datanett Labøving: Brukeradministrasjon i AD Oppgave a: Endre lokal logon-policy på domenekontroller En Windows domenekontroller setter begrensninger for hvilke brukerkontoer som
DetaljerLaget av Dato Orginal plassering fil. Johnny Andre Sunnarvik. Nov 2016
Laget av Dato Orginal plassering fil. Johnny ndre Sunnarvik Nov 2015 http://innsiden.helse-vestikt.no/avdelinger/tjenesteproduksjon/anbudskrav/documents/sikkerhet.docx Dato Nov 2015 Des 2015 Nov 2016 Beskrivelse
DetaljerVeileder for bruk av tynne klienter
Veileder for bruk av tynne klienter Dette dokumentet er en veileder for bruk av terminaltjener/klient (tynne klienter) for å skille samtidige brukerrettigheter i åpne og sikre soner. April 2005 Postadresse:
Detaljer6105 Windows Server og datanett
6105 Windows Server og datanett Labøving: Brukeradministrasjon i AD Oppgave a: Endre lokal logon-policy på domenekontroller En Windows domenekontroller setter begrensninger for hvilke brukerkontoer som
Detaljer)DVW3ODQ,QVWDOOHULQJ $%% $6 'LYLVMRQ $XWRPDVMRQVSURGXNWHU ΑΒΒ 3RVWERNV 6NLHQ
)DVW3ODQ,QVWDOOHULQJ $6 'LYLVMRQ $XWRPDVMRQVSURGXNWHU 3RVWERNV 6NLHQ ΑΒΒ ,QQOHGQLQJ FastPlan er laget for å kunne brukes på PCer med Windows 95/98/2000 og NT operativsystem. FastPlan er tenkt som et verktøy
DetaljerGenerelt om permanent lagring og filsystemer
Generelt om permanent lagring og filsystemer Filsystem Den delen av OS som kontrollerer hvordan data lagres på og hentes frem fra permanente media Data deles opp i individuelle deler, filer, som får hvert
DetaljerNettverkstilgang - problemstilling
6105 Windows Server og datanett Leksjon 7a Delingsrettigheter Nettverkstilgang Delte mapper (shares) - noe repetisjon Delingsrettigheter kombinert med NTFS-rettigheter Skjulte og administrative shares
DetaljerHuldt & Lillevik Ansattportal. - en tilleggsmodul til Huldt & Lillevik Lønn. Teknisk beskrivelse
Huldt & Lillevik Ansattportal - en tilleggsmodul til Huldt & Lillevik Lønn Teknisk beskrivelse Huldt & Lillevik er trygghet Trygghet er å vite at løsningen du bruker virker, hver eneste dag, enkelt og
DetaljerLAB-IT-PROSJEKTET - TEKNISKE LØSNINGER IT-FORUM 2017
LAB-IT-PROSJEKTET - TEKNISKE LØSNINGER IT-FORUM 2017 UTFORDRINGEN: Bruker trenger tilgang til lab-utstyr Bruker: «Jeg trenger tilgang til dette utstyret.» IT: «Hvem er du? Hva skal du ha tilgang til? Hvem
DetaljerBrukerhåndbok for drift hos Kirkedata AS. Denne håndboken er utarbeidet av
Brukerhåndbok for drift hos Kirkedata AS Denne håndboken er utarbeidet av Oppdatert: 18. desember 2012 Innhold Innhold Innledning... 3 Oppsett av PC... 3 Windows XP... 3 Windows Vista og Windows 7... 3
DetaljerBachelor 2015 048E. Theodor Rove Nordgård, Chris Sonko HIST DRIFT AV DATASYSTEMER
Bachelor 2015 048E Theodor Rove Nordgård, Chris Sonko HIST DRIFT AV DATASYSTEMER 1. Introduksjon Hvem er vi? Vi er to studenter ved Høgskolen i Sør-Trøndelag som i år fullfører vår bachelorgrad i studiet
DetaljerTeori om sikkerhetsteknologier
Avdeling for informatikk og e-læring, Høgskolen i Sør-Trøndelag Tomas Holt 22.8.2007 Lærestoffet er utviklet for faget LN479D/LV473D Nettverksikkerhet Innhold 1 1 1.1 Introduksjon til faget............................
Detaljer6105 Windows Server og datanett
6105 Windows Server og datanett Leksjon 7a Delingsrettigheter Nettverkstilgang Delte mapper (shares) - noe repetisjon Delingsrettigheter kombinert med NTFS-rettigheter Skjulte og administrative shares
DetaljerRollebasert tilgangskontroll i TakeCargo WEB (RBAC Role Based Access Controll)
Brukerveiledning Rollebasert i TakeCargo WEB (RBAC Role Based Access Controll) Konfigurering av organisasjonsstruktur, organisasjonsenheter, brukere og bruker, samt hvilke roller de skal spille. Tilgang
DetaljerSOLICARD ARX. Adgangssystemet som gir deg ubegrenset frihet. An ASSA ABLOY Group company
SOLICARD ARX Adgangssystemet som gir deg ubegrenset frihet An ASSA ABLOY Group company SOLICARD ARX arkitektur SOLICARD ARX LCU oppkoblet via Internet Eksisterende nettverk SOLICARD ARX AC SOLICARD ARX
DetaljerINSTALLASJONSVEILEDNING
INSTALLASJONSVEILEDNING Oppdatering av ditt Mamut-system DETALJERT STEG-FOR-STEG VEILEDNING I HVORDAN OPPDATERE DIN VERSJON AV MAMUT BUSINESS SOFTWARE FRA VERSJON 9.0 ELLER NYERE Mamut Kunnskapsserie,
DetaljerGENERELL BRUKERVEILEDNING WEBLINE
Side 1 av 10 INNHOLDSFORTEGNELSE 1. FORMÅL MED DOKUMENTET... 3 2. TILGANG TIL PORTALEN... 4 3. TILGJENGELIGE TJENESTER/MODULER... 5 3.1 ADMIN... 5 3.2 NORDIC CONNECT/IP VPN... 5 3.3 INTERNETT INFORMASJON...
Detaljer1. Introduksjon Windows server 2008
Avdeling for informatikk og e-læring, Høgskolen i Sør-Trøndelag Introduksjon Windows server 2008 Jostein Lund 02.09.2008 Lærestoffet er utviklet for faget LO468D Windows server for systemansvarlige 1.
Detaljer6105 Windows Server og datanett
6105 Windows Server og datanett Labøving: Domenekontroller og AD DS Etter installasjon av Windows Server, er tjenermaskinen din en stand-alone tjener i en arbeidsgruppe (workgroup). I denne øvingen skal
Detaljer1. MSI fra Group Policy
Avdeling for informatikk og e-læring, Høgskolen i Sør-Trøndelag MSI fra Group Policy Jostein Lund 25.08.2012 Lærestoffet er utviklet for faget LO470D Programvaredistribusjon og fjerndrifting 1. MSI fra
DetaljerSmåteknisk Cantor Controller installasjon
Cantor AS Småteknisk Cantor Controller installasjon 10.10.2012 INSTALLASJON OG OPPSETT AV CANTOR CONTROLLER 3 Nedlasting av programfiler 3 Nyinstallasjon server / enbruker 3 A. Controller instansen som
Detaljer1 Guide til flerbrukerinstallasjon av e-lector
LES LETTERE, LES RASKERE, FÅ LESELYST! Innhold 1 Guide til flerbrukerinstallasjon av e-lector... 1 1.1 Innledning... 1 1.2 Installasjon på nettverk... 1 1.3 Bruk av SQL Server... 2 1.4 Administrasjon...
Detaljer6105 Windows Server og datanett
6105 Windows Server og datanett Labøving: Domenekontroller og AD DS Etter installasjon av Windows Server, er tjenermaskinen din en stand-alone tjener i en arbeidsgruppe (workgroup). I denne øvingen skal
DetaljerViktig informasjon til nye brukere av Mac-klient fra UiB
Viktig informasjon til nye brukere av Mac-klient fra UiB Innholdsfortegnelse Ny Mac-klient fra UiB... 1 Første innlogging... 1 Oppsett av e-post... 2 Oppsett av e-post i Outlook... 2 Oppsett av e-post
Detaljer6105 Windows Server og datanett
6105 Windows Server og datanett Leksjon 5b Brukeradministrasjon i AD Brukeradministrasjon Lokale brukerkontoer og domenekontoer Pålogging i domene og lokalt Brukerkontoer i domene Hjemmekataloger og brukerprofiler
DetaljerWindows 7. IT Forum 20.05.2010
Windows 7 IT Forum 20.05.2010 Historikk - XP-løsningen utviklet for 8-9 år siden - Målgruppen var ca. 400 maskiner i sentraladministrasjonen og deler av Unifob - I dag er det over 7500 Windowsmaskiner
DetaljerAdministrasjon av FLT-Sunnhordland Web-side
Administrasjon av FLT-Sunnhordland Web-side 1. For å administrere web-sida, gå til denne linken: http://flt-sunnhordland.no/wp-admin 2. Logg inn med brukernavn: avd107 passord: 3. Etter
DetaljerDIPS Communicator 6.x. Installasjonsveiledning
DIPS Communicator 6.x Installasjonsveiledning 11. oktober 2010 DIPS Communicator DIPS Communicator er en markedsledende kommunikasjons- og integrasjonsløsning for helsesektoren i Norge i dag. Systemet
Detaljer6105 Windows Server og datanett Jon Kvisli, HSN Skriveradministrasjon - 1. Utskrift i nettverk
6105 Windows Server og datanett Leksjon 7b Skriveradministrasjon Utskrift og plassering i nettverk Utskriftsbegreper Windows, driver Fire ulike oppsett Skriveradministrasjon og rettigheter Skrivergrupper
Detaljer6105 Windows Server og datanett
6105 Windows Server og datanett Leksjon 5b Brukeradministrasjon i AD Brukeradministrasjon Lokale brukerkontoer og domenekontoer Pålogging i domene og lokalt Brukerkontoer i domene Hjemmekataloger og brukerprofiler
DetaljerSom en del av denne prosessen, når verten har startet og nøkkelfilene ikke er å finne, lages et nytt sett automatisk.
De beste sikkerhetsrutiner for Symantec pcanywhere Dette dokumentet inneholder informasjon om forbedrede sikkerhetsendringer i pcanywhere 12.5 SP4 og pcanywhere Solution 12.6.7, hvordan viktige deler av
DetaljerSPSS Høgskolen i Innlandet
SPSS Høgskolen i Innlandet Innhold Windows PC, tilkobling til SPSS... 2 Tilkobling:... 2 Steg 1.... 2 Steg 2.... 3 Steg 3.... 3 Steg 4... 4 Windows PC, åpne og lagre filer fra egen datamaskin... 5 Lagre
Detaljer6105 Windows Server og datanett
6105 Windows Server og datanett Labøving: Delingsrettigheter Obs! Denne øvingen forutsetter at du har gjort labøving 6a: Domenegrupper tidligere. Oppgave a: Delte en mappe (repetisjon) Du skal nå lage
DetaljerVåre tekniske konsulenter kan bistå slik at din bedrift får en best mulig tilpasset Handyman installasjon ut fra deres infrastruktur.
Bob Innhold 1 Innledning... 3 2 Komplett installasjon på en PC... 4 2.1 Beskrivelse... 4 2.2 Hardware... 4 2.3 Software... 4 3 Applikasjonsserver... 5 3.1 Beskrivelse... 5 3.2 Hardware... 5 3.3 Software...
Detaljer1. Systemsikkerhet. 1.1. Innledning. Innhold
Avdeling for informatikk og e-læring, Høgskolen i Sør-Trøndelag Systemsikkerhet Stein Meisingseth 29.08.2005 Lærestoffet er utviklet for faget LO474D Systemsikkerhet 1. Systemsikkerhet Resymé: Denne leksjonen
DetaljerMappeinformasjon... 2. Programfiler... 2 Delte Programdata... 2 Delte dokumenter... 2 Brukerens egne data... 2 Brukerens egne dokumenter...
SymWriter Nettverksinstallasjon Hvis du vil installere SymWriter programmet på et nettverk, bør du utføre en administrativ installasjon. Da kan du lage et forhåndskonfigurert installasjonsprogram som inneholder
DetaljerSQL Server guide til e-lector
LES LETTERE, LES RASKERE, FÅ LESELYST! SQL Server guide til e-lector Innhold 1 Innledning... 2 2 SQL Express 2008 R2 installasjon... 2 3 Etter installasjon... 4 3.1 SQL Express... 4 3.1.1 Nettverksoppsett
DetaljerINF329,HØST
TTHROUGH THROUGH THE FIREWALL KAPITTEL 16 BUILDING SECURE SOFTWARE INF329,HØST 2005 Isabel Maldonado st10900@student.uib.no 1 Innledning Kort om firewall Hva er det som foresaker at en brannmur blokkerer
Detaljer6105 Windows Server og datanett
6105 Windows Server og datanett Labøving: Filsystemet NTFS og Oppgave a: på mapper I denne øvingen skal du lage en ny mappe på den lokale disken på tjenermaskinen, og gi til den. Du skal så teste ut om
DetaljerSENTRALISERT OG SIKKER DRIFT AV WINDOWS KLIENTER OG TILKNYTTET MASKINVARE
SENTRALISERT OG SIKKER DRIFT AV WINDOWS KLIENTER OG TILKNYTTET MASKINVARE John Bothner & Olav Ligaarden Nasjonal sikkerhetsmyndighet Sikkerhetskonferansen 2017 Oslo Kongressenter 28 29.03.2017 SLIDE 1
DetaljerInstallasjonsveiledning. Mamut. Oppdatering til versjon 12.1
Mamut Installasjonsveiledning Oppdatering til versjon 12.1 Detaljert steg-for-steg veiledning i hvordan installere/oppdatere ditt datax-program fra Mamut 2 FØr installasjon serverinstallasjon EttEr installasjon
DetaljerHurtigstart guide. Searchdaimon ES (Enterprise Server)
Hurtigstart guide Searchdaimon ES (Enterprise Server) Innholdsfortegnelse Informasjon før oppsett... 2 Koble til strøm og nettverk... 3 Oppsett av system... 3 Konfigurasjonsveiviser... 4 Sette fast IP
DetaljerPRODUKTBESKRIVELSE INFRASTRUKTUR. NRDB Internett
PRODUKTBESKRIVELSE INFRASTRUKTUR NRDB Internett Versjon 3.0 11/10/04 Nasjonal referansedatabase AS 15/10/04 Page 1 of 10 Innholdsfortegnelse 1 INNLEDNING...3 1.1 NUMMERPORTABILITET...3 1.2 VIDERESALG TELEFONI...3
DetaljerHovedprosjekt 41E Arnstein Søndrol. Cisco Clean Access Valdres Videregående Skole
Hovedprosjekt 41E Arnstein Søndrol Cisco Clean Access Valdres Videregående Skole Valdres VGS - Valdres VGS har omtrent 550 elever og 100 lærere og ansatte. - Valdres Videregående skole ligger på Leira,
DetaljerFriheten ved å ha Office på alle enhetene dine
Hva er Office 365? Hva er Office 365? Office er nå en abonnementstjeneste hvor bedriften vil ha enda flere muligheter til å opprettholde produktiviteten, uansett hvor du jobber fra. Med Office som abonnement,
DetaljerSaksnr. 2013/188 2-faktor autentisering. Spørsmål og svar: :
Spørsmål og svar: 1 26.07.2013: 2 3 I «Bilag 1 - Kundens kravspesifikasjon» under krav T9 og T10 spesifiseres krav til integrasjon mot Microsoft Forefront Threat Management Gateway. Denne løsningen er
Detaljer1. Introduksjon Windows server 2000
Avdeling for informatikk og e-læring, Høgskolen i Sør-Trøndelag Introduksjon Windows server 2000 Jostein Lund 30.08.2005 Lærestoffet er utviklet for faget LO468D Windows server for systemansvarlige 1.
DetaljerIntegrasjon mot Active Directory i EK 2.37
Notat EK har funksjonalitet for å synkronisere brukertabellen sin mot Active Directory eller en annen katalogtjeneste som kan aksesseres via LDAP protokollen. Funksjonaliteten kan brukes til å: - Oppdatere
DetaljerFRC-Feeder-E. Et sikkert og raskt verktøy for overføring av data til File Record Converter Versjon 1.11
FRC-Feeder-E Et sikkert og raskt verktøy for overføring av data til File Record Converter Versjon 1.11 Installasjon FRC-feeder skal installeres på den computeren hvor dataene ligger. Les mer om dette under
DetaljerNTNU Retningslinje for tilgangskontroll
Retningslinje for tilgangskontroll Type dokument Retningslinje Forvaltes av Leder av IT-avdelingen Godkjent av Organisasjonsdirektør Klassifisering Intern Gjelder fra 20.08.2018 Gjelder til 20.08.2020
Detaljer1. Installasjon av ISA 2004
Avdeling for informatikk og e-læring, Høgskolen i Sør-Trøndelag Installasjon av ISA 2004 Stein Meisingseth 29.08.2005 Lærestoffet er utviklet for faget LO474D Systemsikkerhet 1. Installasjon av ISA 2004
DetaljerVelkomment til å installere BAS21
Velkomment til å installere BAS21 Du har nå kommet til siden hvor du kan installere programpakken BAS21, en komplett programpakke for bedrifter. Å komme igang med BAS21 er enklest ved å følge disse 4 punktene:
DetaljerVisma Contracting Oppgradering til versjon 5.20
Visma Contracting Oppgradering til versjon 5.20 Oslo, oktober 2013 Før installasjon: SuperOffice De som kjører SuperOffice må få oppgradert denne samtidig. Henvendelse til leverandøren firma KeyForce.
DetaljerKonfigurasjon av nettverksløsning for Eldata 8.0 basert på PostgreSQL 9.4.2 databasesystem.
Konfigurasjon av nettverksløsning for Eldata 8.0 basert på PostgreSQL 9.4.2 databasesystem. Konfigurere server er en oppgave for administrator. All installasjon og konfigurasjon må utføres ved å kjøre
Detaljer6105 Windows Server og datanett
6105 Windows Server og datanett Denne øvingen forutsetter at du har gjort disse øvingene tidligere: Labøving 7b Skriveradministrasjon Laboving 9a Installere og konfigurere webtjeneren IIS I denne øvingen
Detaljer6105 Windows Server og datanett
6105 Windows Server og datanett Leksjon 7b Skriveradministrasjon Utskrift og skriverplassering i nettverk Utskriftsbegreper Windows, skriverdriver Fire ulike skriveroppsett Skriveradministrasjon og skriverrettigheter
DetaljerSPSS Høgskolen i Innlandet
SPSS Høgskolen i Innlandet Innhold Mac, tilkobling til SPSS... 2 Tilkobling:... 2 Steg 1.... 2 Steg 2.... 3 Steg 3.... 4 Steg 4... 4 Mac, åpne og lagre filer fra egen datamaskin... 5 Lagre eller åpne filer
DetaljerLisensiering og aktivering av programvare: Rulle ut programvare med Symantec Ghost
Lisensiering og aktivering av programvare: Rulle ut programvare med Symantec Ghost Denne siden ble sist endret 28. jan 2010 av s-robinson2@ti.com. Rulle ut programvare med Symantec Ghost Oppsummering Dette
DetaljerFRC-Feeder-E. Et sikkert og raskt verktøy for overføring av data til File Record Converter Versjon 1.9
FRC-Feeder-E Et sikkert og raskt verktøy for overføring av data til File Record Converter Versjon 1.9 Installasjon FRC-feeder skal installeres på den computeren hvor dataene ligger. Les mer om dette under
DetaljerInnledende Analyse Del 1.2
Innledende Analyse Del 1.2 Arianna Kyriacou 1. juni 2004 Innhold 1 Spesifikk beskrivelse 2 1.1 Hovedmål............................... 2 1.2 Mål (mer konkret).......................... 2 1.3 Krav..................................
DetaljerInstallasjon av webtjener
Installasjon av webtjener Installasjon/Konfigurering Installasjon av webtjener Oppsett av kataloger som skal være tilgjengelig på web Spesifisering av aksesskontroll - i henhold til sikkerhetspolitikk
DetaljerCantor Controller - Installasjon av nettverksklient
Cantor Controller - Installasjon av nettverksklient Denne veiledningen beskriver klientinstallasjon av Cantor Controller. Vi tar for oss hele installasjonen steg for steg. Før installasjonen startes bør
Detaljer4.1. Kravspesifikasjon
4.1. Kravspesifikasjon Dette delkapittelet beskriver nærgående alle deler av systemet, hvordan det er tenkt ferdigutviklet med fokus på oppdragsgivers ønsker. 4.1.1. Innledning Informasjon om hvordan kravspesifikasjonens
DetaljerHva betyr tjenesteorientert arkitektur for sikkerhet?
Hva betyr tjenesteorientert arkitektur for sikkerhet? Torbjørn Staff Architecture Innovation Group Accenture, its logo, and High Performance Delivered are trademarks of Accenture. Agenda Arkitekturevolusjonen
DetaljerInstallasjonsveiledning for Ordnett Pluss
Installasjonsveiledning for Ordnett Pluss Systemkrav Alle systemer Windows Linux Nedlasting/distribusjon Installasjon Windows Programtillegg Chrome Silent install/msiexec Datafiler Ubuntu Terminal/Kilent
DetaljerInstallere programvare gjennom Datapennalet - Tilbud
NTNU Trondheim Norges Teknisk- Naturvitenskapelige Universitet Datapennalet Installere programvare gjennom Datapennalet - Tilbud Påmeldingsinfo Hvordan tjenesten fungerer Krav til utstyr Uttesting av programvareformidling
DetaljerCORBA Component Model (CCM)
CORBA Component Model (CCM) INF5040 Høst 2005 Erlend Birkedal Jan Erik Johnsen Tore Ottersen Løkkeberg Denne presentasjonen CORBA Svakheter ved CORBA Object Model Komponenter CORBA Component Model Hva
DetaljerHer kan du lese om forskjellige tilgangsområder, passord, utlogging og tilslutt en gjennomgang av hvordan man håndterer skrivere.
Tilganger Her kan du lese om forskjellige tilgangsområder, passord, utlogging og tilslutt en gjennomgang av hvordan man håndterer skrivere. Ås kommunes nettverk Ås kommune har tre nettverk Administrasjonsnett
DetaljerRemote Desktop Services
Brukerveiledning Remote Desktop Services Fra Eltele AS 1 Innholdsfortegnelse Multi-Faktor Autentisering... 3 Pålogging... 3 Web Interface (anbefales)... 4 RemoteApp på Skrivebord... 6 Remote Desktop Klient
DetaljerInstallasjonsveiledning
Finale Systemer as Installasjonsveiledning FINALE Årsoppgjør FINALE Rapportering FINALE Konsolidering FINALE Driftsmidler FINALE Avstemming NARF Avstemming FINALE Investor Versjon 22.0 Definisjoner...3
DetaljerInstall av VPN klient
Install av VPN klient Aksess til TeleComputing Customer Service Center Tel: +47 6677 6577 (oppgi ditt kundenummer) Fax: +47 66 85 48 40 (faxnr for bl.a. bestillinger) E-post: support@telecomputing.no (oppgi
DetaljerAleksander Thanem Bjøru Seniorkonsulent MCSE og Citrix CCIA
Aleksander Thanem Bjøru Seniorkonsulent MCSE og Citrix CCIA Utrulling, testing og piloter vil ha verdi i lang tid fremover Full kompatibilitet Det meste som går på Windows Vista, fungerer på Windows 7.
DetaljerGenerelt om operativsystemer
Generelt om operativsystemer Hva er problemet? Styring av maskinvare og ressurser tilknyttet en datamaskin er komplisert, detaljert og vanskelig Maskinvare, komponenter og programvare endres og forbedres
Detaljer1. Hent NotaPlan Online Backup på www.notaplan.no 2. Trykk på Download i menyen og på Download i linjen med Notaplan Backup
1 Systemkrav ADSL eller minimum ISDN via router. Ved automatisk backup: Min. Windows XP / 2000 / 2003 (pga. Service) Ved manuellt system: Min. Windows 98 SE NotaPlan Backup bør installeres på den/de maskiner
DetaljerSikkerhet og tilgangskontroll i RDBMS-er
Sikkerhet og tilgangskontroll i RDBMS-er IN2090 14. nov 2018 Mathias Stang 1 Agenda Modeller for tilgangskontroll Brukere og roller i RDBMS-er GRANT og REVOKE SQL Injections 2 Hovedmål med databasesikkerhet
DetaljerSymmetrisk En hemmelig nøkkel ( passord ) som brukes både ved kryptering og dekryptering.
1 Hva? Hva er informasjonssikkerhet? Information security encompasses the study of the concepts, techniques, technical measures, and administrative measures used to protect information assets from deliberate
DetaljerINSTALLASJONSVEILEDNING
Mamut Installasjonsveiledning INSTALLASJONSVEILEDNING OPPDATERING TIL VERSJON 6.1 DETALJERT STEG-FOR-STEG VEILEDNING I HVORDAN INSTALLERE/OPPDATERE DITT MAMUT-PROGRAM Mamut Kunnskapsserie, nr. 6-2006 2
DetaljerVisualMobility 2.0. Hurtigreferanse1.0. Funksjoner. Komme igang
VisualMobility 2.0 Hurtigreferanse1.0 Funksjoner VisualMobility tilbyr full trådløs integrasjon mellom kontor og maskin. Trådløs dataoverføring Fjernsupport rett på skjermen Lokalisering av maskinen på
DetaljerPowerOffice Server Service
PowerOffice Server Service 20 14 Po we ro ffice AS - v4.5.1 PowerOffice SQL - PowerOffice Server Service Alle rettigheter reservert. Ingen deler av dette arbeidet kan reproduseres i noen form eller på
Detaljeriseries Innføring i Client Access Express
iseries Innføring i Client Access Express iseries Innføring i Client Access Express ii iseries: Innføring i Client Access Express Innhold Del 1. Innføring i Client Access Express.................... 1
DetaljerErfaring med praktisk bruk av offentlig IaaS i undervisning ved NTNU
Erfaring med praktisk bruk av offentlig IaaS i undervisning ved NTNU Stein Meisingseth, Jostein Lund Anvendt Informasjonsteknologi (AIT) Institutt for datateknologi og informatikk (IDI) Bakgrunn Skyløsninger
DetaljerInstallasjonen krever en Windows 2008 server innmeldt i domene.
Installasjon av NPS Installasjonen krever en Windows 2008 server innmeldt i domene. Det kreves en NPS server pr. domene Steg 1) Legg til rollen Network Policy and Access Services, den eneste rolletjenesten
DetaljerHvordan lage en hjemmeside
Hvordan lage en hjemmeside En kort introduksjon til produksjon, editering og publisering av Torbjørn Meling Introduksjon Vi skal nå gå gjennom noen steg som forklarer med tekst hvordan man kan bruke Microsoft
DetaljerHuldt & Lillevik Lønn 5.0. Installere systemet
Huldt & Lillevik Lønn 5.0 Installere systemet Innholdsfortegnelse Innholdsfortegnelse Installere Lønn 5.0... 3 Krav til maskin og operativsystem... 3 Forberede installasjonen... 3 Installere database...
DetaljerTilgang til nytt skrivebord «KONTOR»
Tilgang til nytt skrivebord «KONTOR» Oppstart fra PC: 1. Start maskinen på vanlig måte og logg inn som før på ASKIMNET slik du er vant til med det det gamle brukernavn og passord. 2. Gå i nettleseren (Internet
DetaljerHuldt & Lillevik Lønn 5.0. Installere systemet
Huldt & Lillevik Lønn 5.0 Installere systemet Innholdsfortegnelse Innholdsfortegnelse Installere Lønn 5.0... 3 Krav til maskin og operativsystem... 3 Forberede installasjonen... 3 Installere database...
DetaljerFullstendig ytelsesbehandling
Fullstendig ytelsesbehandling Fungerer også med Windows XP og Windows Vista 2013 Oppgrader og ta ansvar for datamaskinens ytelse med et kraftig og raskt program. Nedlasting og installasjon av Powersuite
DetaljerSkytjenester (Cloud computing)
-Ein tydeleg medspelar Skytjenester (Cloud computing) Kontaktkonferanse Kristiansund 14.-15. juni Dagfinn Grønvik - IT-sjef Møre og Romsdal fylkeskommune Luftig begrep Skytjenester.men likevel rimelig
DetaljerHuldt & Lillevik Lønn 2011-10-14. Lønn 5.0. Versjon 5.11.3
Lønn 5.0 Versjon 5.11.3 Innhold Hva er nytt i denne versjonen... 2 1 Oppdatere til 5.11.3... 2 2 Rapportering til Altinn II... 2 3 Feltet for Navn er utvidet, endringer på skjermbilder og rapporter...
DetaljerGuide for tilkobling til HIKT s Citrix løsning
Guide for tilkobling til HIKT s Citrix løsning Innhold Guide for tilkobling til HIKT s Citrix løsning... 1 Sjekk om Citrix er installert... 1 Tilgang til applikasjon fra kontoret... 2 Tilgang til applikasjon
DetaljerEn bedre måte å håndtere prosjekt, team, oppgaver og innhold
En bedre måte å håndtere prosjekt, team, oppgaver og innhold Bedre prosjekthå ndtering med metådåtå M-Files går langt utover bare enkel dokumenthåndtering. Den unike arkitekturen drevet av metadata lar
DetaljerINTEGRASJONSGUIDE BP CODE Check Point R75.x R76
BRUKERVEILEDNING INTEGRASJONSGUIDE BP CODE Check Point R75.x R76 ÅPEN Versjon: 1.2 Versjonsdato: 30.07.2013 Buypass AS Nydalsveien 30A, PO Box 4364 Nydalen Tel.: +47 23 14 59 00 E-mail: kundeservice@buypass.no
Detaljer