• Бесплатные сертификаты для Exchange\Skype\SharePoint

    freeТакие продукты как Exchange Server и Skype for Business Server не работают без сертификатов X.509, они им необходимы для шифрования клиентских подключений. Когда все подключения внутри ситуация проста, можно задействовать сертификаты от внутренней службы AD CS. Они доверенные внутри компании. Но совершенно неприемлемо использовать их, когда речь идет о серверах, к которым подключаются внешние клиенты и другие сервера из интернет.

    • Публикация виртуальных машин в UAG

      Microsoft Forefront Unified Access Gateway (UAG) 2010 – очень интересное средство для публикации внутренних ресурсов для внешних (да и внутренних тоже) пользователей. Но вот есть в нем очень серьезный недостаток – нет никаких средств автоматизации процесса управления. Точнее так, средства автоматизации есть, в виде COM-интерфесов, но они недокументированы и понять, как они работают и какие параметры принимают, мне так и не удалось.
      • Принципы работы решений на основе AD RMS.

        crypto

        Нередко ИТ инженеры не в курсе всех возможностей, которые дает сама операционная система. AD RMS одна из них. Многие проблемы безопасности могут быть решены с помощью этого сервиса.Построение безопасных информационных систем серьезная и комплексная задача. Тем не менее, многие вопросы безопасности могут быть решены с помощью встроенных средств операционной системы. И здесь хотелось бы обратиться к Active Directory Rights Management Service (AD RMS).

        • Active Directory Domain Services: Выбор средств двухфакторной аутентификации

          Технология двухфакторной аутентификации RSA SecurID — теперь и для платформы AndroidПостроения двухфакторной аутентификации в корпоративной среде – ответственная задача. На что следует обратить внимание, чтобы реализовать адекватное потребностям рынка решение? В «Системном администраторе», а также в других изданиях, посвященных ИТ-технологиям и вопросам информационной безопасности, неоднократно упоминалось о принципиальной ненадежности парольной аутентификации, а также крайней нежелательности использования запоминаемых паролей. Это особенно актуально в эпоху облачной эры, на пороге которой мы находимся. Вероятность компрометации конфиденциальной информации будет только возрастать.

          Разумным решением станет переход к более надежным методам доступа, а именно к двухфакторной аутентификации, причем вариантов технологических решений, как мы имели возможность убедиться в предыдущих материалах, множество. Здесь мы говорим и о технологиях асимметричной криптографии, о биометрическом доступе, использовании одноразовых паролей и т.д.

          • Microsoft DirectAccess 2012: DirectAccess и Windows 8

            ed31_earth_in_my_room

            В прошлой статье я постарался в понятной форме рассказать о технологии DirectAccess, о ее плюсах и минусах. Теперь, как и обещал, расскажу о том, каким образом настроить сервер DirectAccess в базовой конфигурации для работы только с клиентами Windows 8. Что значит в базовой конфигурации? Это когда у вас есть Windows Server 2012 на котором будет поднята роль для DirectAccess и  клиенты (с операционной системой Windows 8 Enterprise) имеющие  прямое подключение к интернету . В базовой конфигурации не будет использоваться инфраструктура открытых ключей (PKI) и  используется только одна входная точка (сервер DirectAccess), подключенная в одном сайте Active Directory. Так же в базовую конфигурацию не могут входить дополнительные опции, такие как двухфакторная аутентификация (OTP Auth), проверка доступа к сети (NAP). Ну и самое важное – в ней не могут использоваться клиенты Windows 7.

            • Аутентификация и одноразовые пароли Часть 2. Внедрение OTP для аутентификации в AD

              otp_screenshotВ предыдущей части статьи  были рассмотрены теоретические основы технологии одноразовых паролей. Теперь поговорим о практике их внедрения в рамках рабочей
              среды предприятия. Переход к аутентификации на основе одноразовых паролей обычно происходит в ситуации, когда приходит понимание, что стандартные долговременные пароли недостаточны с точки зрения безопасности и при этом возможности использования смарт-карт ограничены, например, в ситуации массового применения мобильных клиентов.

              • Microsoft DirectAccess 2012: Введение

                ed31_earth_in_my_room

                Время не стоит на месте, и мы, что бы не отставать от современного ритма, должны быть активными и мобильными. Для организаций любого уровня становится все  более важным иметь простой и  безопасный способ подключения удаленных и мобильных клиентов к внутренней сети предприятия. Одной из распространенных технологий удаленного доступа  является  VPN, хотя можно было обойтись и без него, используя  прямые подключения средствами RDP, Radmin, Ammyy и тому подобных вещей. Теперь в списке появляется значимая альтернатива – Microsoft DirectAccess 2012. Число 2012 говорит нам о том, что это сервис включенный в новую редакция сервера Windows Server 2012. Это важно, потому что DirectAccess уже был реализован в 2008 R2, но с кучей нюансов и серьезных требований к инфраструктуре предприятия, где внедряли DirectAccess 2008 R2. Именно поэтому  я специально сказал, что только теперь появилась альтернатива для удаленного подключения клиентов, и сейчас объясню почему.

              • Главная Security, Без рубрики, Новое Active Directory, Security
                • Аутентификация на основе одноразовых паролей: Теоретические основы.

                  16_1

                  Безопасность сети – важнейшая задача, стоящая перед ИТ. Решение формируется из многих составляющих, одна из них – безопасная аутентификация. OTP-технологии позволят уменьшить риски, с которыми сталкиваются компании при использовании долговременных запоминаемых паролей

                  Как уже неоднократно упоминалось в статьях наших авторов, вопросы безопасной аутентификации по-прежнему остаются актуальными. Очевидно, что любые попытки ограничения полномочий и предоставления доступа к ресурсам и функциям системы только тогда имеют смысл, когда мы можем быть уверены, что имеем дело с легальным пользователем. Следовательно, защита информационных систем начинается с проверки легитимности пользователя, который пытается получить доступ.

                  • Forefront Protection 2010 для Exchange Server (Часть 3)

                    Logo

                    После того как письмо прошло проверку источника и проверку протокола начинается время фильтров контентной проверки. В качестве старой корпоративной традиции Microsoft купила антиспам решение и интегрировала его в десятую версию ForeFront. В комментариях к прошлым статьям спрашивали “чем же антиспам FF отличается от Edge агентов?”. Собственно ответ – Cloudmark Authority Engine, один из основных инструментов борьбы со спамом в FF.

                  • Главная Security, Без рубрики, Новое Security, Windows Server 2008
                    • Аудит файловых серверов. Полный контроль.

                      Search

                      Не так давно я писал статью об аудите Active Directory Domain Services средствами «человеческого» решения – NetWrix AD Change Reporter. Думаю всем прекрасно понятно, что аудит штука важная, нужная и увы не заканчивающаяся службой каталогов. Несмотря на 21 век файловые сервера живее всех живых и подавляющий процент файлов с данными хранится именно на них, что в свою очередь требует от ит четких ответов на следующие вопросы.