PKI etiketine sahip kayıtlar gösteriliyor. Tüm kayıtları göster
PKI etiketine sahip kayıtlar gösteriliyor. Tüm kayıtları göster

6 Temmuz 2013 Cumartesi

Exchange Server: Information Rights Management (IRM)

Exchange Server: Information Rights Management (IRM)
Mesajlaşma güvenliği için kullanılan tekniklerin bir takım eksiklikleri bulunmaktadır. Örneğin, TLS ile, iki SMTP makinesi arasındaki SMTP trafiği korunabilmektedir. Posta seviyesinde bir koruma gerçekleştirilememektedir. Posta, istemci tarafına ulaştıktan sonra herhangi bir koruma sağlamamaktadır. S/MIME ile PKI kurulmasında ise özel anahtarların saklanması, yapılan işlemlerin maliyeti problem olmaktadır. Bunun yanında posta deşifre edildikten sonra herhangi bir kontrol mekanizması da sunulmamaktadır. Posta şifresiz olarak kopyalanabilir, çıktı olarak alınabilir veya bir başka kullanıcıya iletilebilir. Kısacası, TLS ve S/MIME gibi güvenlik metotlarının belirtilen sınırları için yeni bir teknik uygulanmaya başlanmıştır: Information Rights Management (IRM)
IRM ile veri kaçağına, imaj kaybına, finansal kayba karşı önlem alınır.

IRM ile posta gönderildikten sonra, alıcı tarafında posta içeriği ve ekleri üzerinde ne gibi işlemlerin gerçekleştirilebileceği belirlenebilir. IRM kısıtları şu şekildedir (Bunlar AD RMS için geçerli):

  • Full Control: Her işlem gerçekleştirilebilir.
  • View: İçerik açılabilir.
  • Edit: İçerik değiştirilebilir.
  • Save: Kaydedilebilir.
  • Copy: İçerik kopyalanabilir.
  • Save: Kaydedilebilir.
  • Print: İçerik çıktısı alınabilir.
  • Access the message programmatically: Makro gibi programlar çalıştırılabilir.
  • Forward: Posta iletilebilir.
  • Reply: Gönderene cevap verilebilir.
  • Reply All: Gönderene alıcı listesindekilerle beraber cevap gönderilebilir.


IRM ajanları HTS üzerinde çalışır. Bunun yanında, Active Directory Rights Management Services (AD RMS) ile de kullanılabilir. IRM koruması, AD RMS ilkelerinde belirlenerek gerçekleştirilir. IRM koruması Exchange Server 2010 ortamında şu yollarla gerçekleştirilebilir:

  • Outlook kullanıcıları manuel olarak IRM korumalı posta oluşturabilirler.
  • OWA kullanıcıları manuel olarak IRM korumalı posta oluşturabilirler.
  • ActiveSync aygıtları ve Windows Mobile kullanıcıları manuel olarak IRM korumalı posta oluşturabilirler. Windows mobile desteği olmayan cihazlarla da bu mesajlar alınabilir ve görüntülenebilir. Bunun için posta indirilmeden önce CAS’a SSL ile bağlanılmalıdır. Posta şifresi bağlantı kurulduktan sonra  çözülmektedir.
  • Outlook 2010 kullanıcıları kural oluşturarak otomatik olarak IRM korumalı posta oluşturabilirler.
  • Exchange Server 2010 HTS rolüne sahip sunucuda iletim kuralları ile otomatik olarak IRM korumalı posta oluşturulabilinir. 

IRM korumalı posta iletişimi organizasyon dahilindeki etki alanında, farklı forest’ları arasında, bulut tabanlı Exchange ortamları arasında gerçekleşebilir. Farklı bir federasyonda veya güven ilişkisinin olmadığı sistemlerle olan iletişimde kullanılamaz. Kullanılması için Windows Live ID hesabı ile AD RMS arasında bir güven kurulabilir.
IRM ile posta içeriğinin organizasyon tarafınca okunabileceği de unutulmamalıdır. Bu sebeple, S/MIME koruması aksine, IRM korumalı içerik deşifre edilerek taranabilir, politikalara göre filtreleme gerçekleştirilebilir. Ayrıca yasal denetimler için de kullanılabilir.

IRM’in eksiklikleri şunlardır:

  • Postanın Windows Snipping Tool harici 3. taraf bir ekran kopyalama aracı ile ekran görüntüsü alınabilir.
  • Kamera veya fotoğraf makinesi ile posta görüntülenebilir.
  • El ile yazılarak veya ezberlenerek veri kaçağı gerçekleşebilir.
  • Bir zararlı tarafından posta içeriği silinebilir, çalınabilir, bozulabilir.
Gönderen zaman: Hiç yorum yok:
Etiketler: , , , , , , , , ,

7 Nisan 2013 Pazar

AD-CS: En iyi uygulamalar


Aktif Dizin Sertifika Servisi: En İyi Uygulamalar
(Best Practices)
Bir organizasyonda Aktif Dizin Sertifika Servisi için tavsiye edilen en iyi uygulamalar şu şekildedir:

  • Organizasyondaki AD-CS ve PKI gereksinimi analiz edilmeli ve gerek duyuluyorsa planlı ve yazılı bir şekilde kurulum gerçekleştirilmelidir.
  • AD-CS sunucu rolünün yüklü olduğu makinede sadece DNS rolünün yüklü olması tavsiye edilmektedir. Özellikle AD-DS yüklü olmamasına özen gösterilmelidir. Aksi halde SO üzerindeki bir problem tüm etki alanındaki sistemlerin çalışmasına engel olabilir.
  • Tek katmanlı SO hiyerarşik yapıdan kaçınılmalıdır.
  • Sertifikaların geçerlilik süreleri operasyonel işlemlerin çok sık gerçekleştirilmemesi için çok kısa olmamalı, güvenlik zafiyeti ve kontrol eksikliğine sebep olmaması için çok uzun olmamalıdır.
  • Katmanlı yapılarda her katman arasındaki sertifika geçerlilik tarihinin en fazla 10 yıl olması tavsiye edilmektedir. Örneğin, Kök Sertifika Otoritelerinin sertifika ömrü 30 yıl iken, Ara Sertifika Otoriteleri’nin 20 yıl, Kayıt Eden Sertifika Otoriteleri’nin ise 10 yıl olması uygundur.
  • Sertifikaların kontrol edildiği CA kaldırıldığında, sertifika kontrolü gerçekleştirilemeyeceği için bazı uygulamalar düzgün çalışmayabilir. Bu sebeple kaldırılan Sertifika Otoritesi’nin sertifikası, üst Sertifika Otoritesi tarafından iptal edilmeli ve iptal nedeni belirtilmelidir. Daha sonra iptal nedeninin gösterildiği sertifika iptal listesi (CRL) yayınlanmalıdır.
  • Kök CA kaldırıldığında,bu KÖK CA tarafından verilen tüm sertifikalar iptal edilmeli ve iptal nedeni belirtilmelidir. Daha sonra iptal nedeninin gösterildiği sertifika iptal listesi (CRL) yayınlanmalıdır.
  • Sertifika Otoritesi’ne ait bilgisayarın adı ve etki alanı kurulum sonrasında değiştirilemez. Bu sebeple dikkatli olarak isimlendirme yapılmalıdır. Departman adı, lokasyon adı gibi bilgilerin isim içerisinde geçmemesi tavsiye edilmektedir.
  • Sertifika otoritesi kurulduktan sonra kurulum türü değiştirilemez. Bu sebeple, Enterprise veya Standalone kurulumlarından hangisinin kurulacağına dikkat edilmelidir.
  • Sertifika işlemlerinin yönetimi için grup ilkeleri uygun şekilde yapılandırılmalıdır.
  • Sertifika İptal Listeleri (CRL) ve SO sertifikalarına erişim kolay ve hızlı olmalıdır.
  • Sertifika Otoriteleri yedekli çalışmalıdır.
Gönderen zaman: Hiç yorum yok:
Etiketler: , , , , , , ,

AD-CS: Sertifikalar

Aktif Dizin Sertifika Servisi: Sertifikalar

Microsoft Office Communications Server (OCS), Microsoft Exchange Server, IIS sunucular ve bir çok Microsoft sistemi sertifikalara ihtiyaç duymaktadır. Bu sertifikaların üretilmesi, geçerliliğinin kontrol edilmesi, yetkilendirme yapılması gibi merkezi bir yönetimin sağlanması, sertifika taleplerinin otomatik olarak gerçekleştirilebilmesi için bir otorite oluşturulması, PKI adı verilen bir alt yapının kurulması ihtiyaç olmuştur. Bu amaçla, Windows Server 2003’te Certificate Services olarak, Windows Server 2008’de ise Active Directory Certificate Service adı verilen bir hizmet kullanılmaktadır.

Burada bahsedilen otomatik talep (auto enrollment) ile Windows bilgisayarlar Enterprise olarak kurulum gerçekleştirilen CA’lar üzerinden otomatik olarak sertifika kaydı gerçekleştirebilirler. Bir bilgisayar etki alanından grup ilkelerini indirince sertifikalarını da günceller. Eksik tipte bir sertifika mevcutsa bu sertifikayı Enterprise CA’dan talep eder, geçersiz olanlar ya iptal edilir ya da güncellenir.

Sertifikaların Kullanım Alanları
AD-CS tarafından desteklenen uygulamalardan bazıları şu şekildedir:
  • S/Mime (Secure / Multipurpose Internet Mail Extensions) ve elektronik posta iletişimi
  • Kablosuz bağlantılarda güvenlik
  • VPN
  • IPSec ile güvenilir veri iletişimi
  • Web browser’daki sertifika ile kimlik doğrulama
  • EFS ile veri şifrelemesi
  • Akıllı kart ile kimlik doğrulama ve oturum açma
  • SSL ve TLS ile güvenilir veri iletişimi, LDAP
  • Dijital imza ile belge imzalama

Yararları
  • Klasik PKI tarafından sunulan yararlar Windows PKI tarafında da geçerlidir.
  • AD CS, organizasyonlara sertifika yönetimi ve dağıtımı için düşük maliyetli, verimli ve güvenli bir yol sunar.
  • Son kullanıcı AD üzerinde kimlik doğruladıktan sonra, kendilerine özel anahtarları kullanmaları sağlanır. Böylece transparanlık sağlanır.
  • Yazılımcılar Windows tarafından sunulan API’leri kullanarak kendilerine özel uygulamalar geliştirebilirler.

Sertifikaların İptali
Sertifikaların iptal edildiği durumlarda, sertifikaların geçerliliğini doğrulama girişiminde bulunan kişilere, bilgisayarlara ve uygulamalara sertifika iptali bilgilerini dağıtma gereği ortaya çıkar. İptal bilgileri verme gereği ve bunların zamanlanması, uygulamaya ve uygulamanın sertifika iptali denetimine bağlı olarak değişir.

Sertifika durumu ile ilgili iletişim için iki yol vardır:
  • Sertifika İptal Listeleri (CRL): Düzenli olarak dağıtılan ve iptal edilen veya askıya alınan tüm sertifikaların seri numaraları gibi bazı bilgileri içerir. Bir istemcinin sertifika iptal durumunu denetleyebilmesi için, CA tarafından iptal edilen tüm sertifikalarla ilgili bilgilerin yer aldığı bir CRL'yi karşıdan yüklemesi gerekir. Bu durum hem fazla bant genişliği harcanmasına hem de fazla depo alanı istemektedir. Ayrıca bu listelerin sık sık değişmesi maliyeti arttırırken, uzun süre değişmemesi ise güvenliğe tehdit oluşturmaktadır. Tüm iptal edilen sertifikaların bulunduğu listeye Full CRL, Full CRL alındıktan sonra güncelleme yapılan iptal listesine ise Delta CRL adı verilir.
  • Çevrimiçi Yanıtlayıcı: Çevrimiçi Sertifika Durumu Protokolü'ne (OCSP) dayanır. Çevrimiçi Yanıtlayıcılar kullanıldığında, hedef istemciler tüm sertifika iptal verilerini almaz sadece sorgulama yaptıkları sertifikanın durumunu alır. Sertifika durumunu imzalı olarak döner. Sonuçta Sertifika Otoritesi’ndeki sertifika veritabanında iptal edilmiş kaç sertifika olursa olsun, istek başına alınan veri miktarı sabittir.

Grup ilkeleri ile sertifikaların yönetimi
Bir Active Directory Etki Alanı Hizmetleri (AD DS) ortamında, sertifikalarla ilgili bazı işlemleri yönetmek için grup ilkeleri kullanılabilir. Grup ilkeleri ile gerçekleştirilebilecek bazı işlemler şunlardır:
  • Kimlik bilgisi dolaşımı: AD DS'deki bir kullanıcıya özel X.509 sertifikalarının, sertifika isteklerinin ve özel anahtarların kullanıcı profilinden bağımsız olarak depolanmasına ve ağdaki herhangi bir bilgisayarda kullanılmasına olanak sağlar. Böylece, istemcilerin sertifikaları ve gizli anahtarları, istemcinin oturum açtığı bilgisayar ile AD üzerinde senkron olarak saklanabilmektedir. Bu durumda, daha yeni olan sertifika veya anahtar diğerini günceller ve istemci başka bir bilgisayarda oturum açtığında, güncel sertifikaları kullanarak işlemlerini gerçekleştirir. Sonuç olarak, hem istemci eski anahtar ve sertifikaları kullanmamış olur, hem de sertifika ve anahtarların bir bilgisayardan diğerine taşınması için operasyon yapılmasına gerek kalmaz.
  • Sertifikaların otomatik kaydı: Grup ilkeleri kullanılarak; kullanıcılar, bilgisayarlar veya hizmetler sertifikalara otomatik olarak kaydettirilir. Kullanıcı ve bilgisayarlara verilen kayıt işlemleri otomatik olarak gerçekleştirilirken, ya şablonlar kullanılmalıdır ya da grup ilkeleri yapılandırılmalıdır.
  • Sertifika yolu doğrulama: Grup ilkelerindeki sertifika yolu doğrulama ayarları ile Ara (Intermediate) Sertifika Otoritesi’ne ait sertifikaları dağıtma, güvenilmeyen sertifikaları engelleme, kod imzalama için kullanılan sertifikaları yönetme, sertifikalar ve sertifika iptal listeleri (CRL) için alma ayarlarını yapılandırma gibi bir çok işlem gerçekleştirilebilir.
  • Sertifika dağıtımı: Sertifikalara olan güvenin yönetilmesi sağlanır. Grup ilkeleri ile güvenilir sertifikalar belirlenebilir, Verisign gibi dış Sertifika Otoriteleri’nden alınan ve iptal edilemeyen sertifikaların kullanımı sınırlandırılabilir veya önlenebilir. Not: Grup ilkeleri ile, bilgisayarların Trusted Root Certification Authorities konteynırına Sertifika Otoritesi sertifikaları eklenebilirken, kullanıcıların grup ilkelerine eklenememektedir.
Gönderen zaman: Hiç yorum yok:
Etiketler: , , , , , , , , , , , , , ,

29 Ocak 2013 Salı

İpucu: PowerShell Temelleri

İpucu: PowerShell Temelleri

PowerShell Basics–Objects and the Pipeline
Kaynak site:
http://www.darkoperator.com/blog/2013/1/28/powershell-basicsndashobjects-and-the-pipeline.html

Windows Açık Anahtar Altyapısı ile Powershell Betiklerinin İmzalanması - Bölüm II
Kaynak site:
http://www.bilgiguvenligi.gov.tr/microsoft-guvenligi/windows-acik-anahtar-altyapisi-ile-powershell-betiklerinin-imzalanmasi-bolum-ii-3.html

Introduction to WMI Basics with PowerShell Part 1 (What it is and exploring it with a GUI)
Kaynak site:
http://www.darkoperator.com/blog/2013/1/31/introduction-to-wmi-basics-with-powershell-part-1-what-it-is.html

PowerShell Basics–Filtering and Iterating over Objects
Kaynak site:
http://www.darkoperator.com/blog/2013/2/4/powershell-basicsndashfiltering-and-iterating-over-objects.html

PowerShell Basics–The Environment
Kaynak site:
http://pauldotcom.com/2013/02/powershell-basicsthe-environme.html
Gönderen zaman: Hiç yorum yok:
Etiketler: , ,
Kaydol: Kayıtlar (Atom)