copyright © 2008 quest software blog: gestión de identidades en directorio activo carles martin...

Copyright © 2008 Quest SoftwareBLOG: http://questsoftware.wordpress.comBLOG: http://questsoftware.wordpress.com

Gestión de Identidades Gestión de Identidades

En Directorio ActivoEn Directorio Activo

Carles MartinCarles [email protected]@quest.com

Portfolio Soluciones para Infraestructuras Microsoft 2008

DIRECTORIO ACTIVODIRECTORIO ACTIVO

EXCHANGEEXCHANGE

SYSTEM CENTERSYSTEM CENTER

UNIX/LINUXUNIX/LINUX

SHAREPOINTSHAREPOINT

WINDOWSWINDOWS

REPO

RTAD

MIN

ISTE

RD

IAG

NO

SEAU

DIT

SECU

RERE

COVE

RM

IGRA

TE

3

Gestión de IdentidadesUsando la experiencia en Gestión de Directorio Activo

SIMPLIFY

Simplificar la Gestión de Identidades, integrando los usuarios de Unix/Linux/Java en el entorno de Directorio Activo

AUTOMATE

Automatizar las capacidades de la administración de identidades: altas/bajas, gestión de contraseñas y auditoria

SECURE

Asegurar el acceso y la autenticación de los sistemas Unix/Linux/Java aprovechando el Directorio Activo

4

El Reto de los Entornos Heterogéneos

• Normativas o Regulaciones• Seguridad• Multiples IDs/logins• Complejidad

– Demasiados directorios– Demasiados sistemas de autenticación

• Coste elevado• Quebraderos de cabeza• Ineficiencia

5

Situación actual:Su entorno es una mezcla de diferentes sistemas con múltiples directorios, repositorios de usuarios y mecanismos de autenticación…

6

El Directorio Activo simplifica la situación para los sistemas Windows pero todos los sistemas no-Microsoft, sus Directorios y su autenticación deben gestionarse de forma separada e independiente:

- Múltiples identidades- Múltiples Directorios- Múltiples logins- ¿SEGURIDAD?

7

Quest Software integra las identidades de Unix/Linux/Java en único entorno seguro de Directorio Activo

8

Quest ayuda a gestionar este nuevo entorno integrado e incrementar la eficiencia a través de un proceso de altas y bajas único.

9

Mayor Seguridad con excelentes capacidades de gestión de contraseñas para todos los sistemas.

10

Y… ayuda a cumplir los requisitos de las normativas actuales, proporcionando un sistema integrado de auditoria e informes de actividad para todas las identidades.

Copyright © 2008 Quest Software

Gestión avanzada de identidades y Gestión avanzada de identidades y automatización de tareas en ADautomatización de tareas en AD

Introducción a ActiveRoles ServerIntroducción a ActiveRoles Server

Quest ActiveRoles proporciona la solución a los retos diarios de la administración del Directorio Activo, a la vez que maximiza la seguridad, facilita la automatización de tareas y aporta un interface personalizado.

Quest ActiveRoles simplifica el proceso de delegación en la administración, lo que asegura que los administradores del sistema disponen únicamente de los permisos adecuados para realizar sus operaciones. El control de delegación permite gestionar de forma efectiva los permisos y mantener bajo supervisión las acciones realizadas sobre los objetos del Directorio.

• Sistema de “provisioning” de usuarios desde LDAP, Oracle, SunOne, Iplanet, SQL, ADAM, etc.

• Delegación basada en Plantillas Administrativas• Unidades de Administración Virtuales y personalizables• Consola MMC de Administración con mayor potencia• Interface Web personalizable para la Administración• Flujo de aprobación de cambios y acciones• Control y auditoria de todas las acciones realizadas en AD• Repositorio de configuración (reglas, políticas, roles) en SQL

Características PrincipalesCaracterísticas Principales

Diagrama ConceptualDiagrama Conceptual


Integración de acceso, autenticación y Integración de acceso, autenticación y autorización para sistemas Unix/Linux/Javaautorización para sistemas Unix/Linux/Java

• Entorno HeterogéneoWindows debe convivir con otros sistemas que disponen de un mecanismo de autenticación propio y una gestión de usuarios independiente

• En “el otro lado” encontramos habitualmente:

Aspectos críticos del negocioAspectos críticos del negocio

• Integración nativa de Unix y Linux en AD:• Proporciona “single sing-on” basado en AD para sistemas heterogéneos

• Seguridad en la Autenticación (LDAP/Kerberos):• Integración, no sincronización, entre plataformas• Todas las credenciales residen en AD

• Remplaza a NIS y “/etc/passwd”

• Atributos de esquema en RFC 2307:• Extensión del esquema para Windows 2000 y 2003• Extensión NO necesaria en Windows Server 2003 R2

• Soporte multi-plataforma:• HP-UX, IBM AIX, Sun Solaris, RedHat, SuSE, Debian, etc.

Vintela Authentication Services (VAS)Vintela Authentication Services (VAS)


Gestión eficiente de contraseñas Gestión eficiente de contraseñas en Directorio Activoen Directorio Activo

Aspectos críticos del negocioAspectos críticos del negocio HelpDesk/Soporte a Usuarios/CAU dedica demasiado tiempo a “resetear” las

contraseñas de los usuarios o a desbloquear sus cuentas. Los usuarios no pueden trabajar con normalidad hasta que no reciben la ayuda

por parte de HelpDesk o Soporte. Las políticas de seguridad actuales requieren contraseñas complejas como

método de prevención, pero son difíciles de recordar y es sencillo escribirlas incorrectamente.

Password Manager potencia la capacidad operativa de los usuarios, reduce costes administrativos y mejora la seguridad de nuestra compañía

Password Manager ofrece un servicio de auto-gestión (self-service) de la administración de las contraseñas, permitiendo el cumplimiento de políticas de seguridad, eliminando llamadas a soporte y/o HelpDesk y minimizando el tiempo de inactividad de los usuarios.

La Solución: Quest Password ManagerLa Solución: Quest Password Manager


Autenticación de doble factor Autenticación de doble factor integrada en Directorio Activointegrada en Directorio Activo

Quest DefenderActive Directory Edition

Aspectos críticos del negocioAspectos críticos del negocio La autenticación tradicional mediante contraseñas no es completamente segura. Es importante poder verificar la identidad de los usuarios externos e internos para evitar

posibles suplantaciones. Las políticas de seguridad actuales requieren contraseñas complejas como método de

prevención, pero son difíciles de recordar y es sencillo escribirlas incorrectamente. Las contraseñas tradicionales pueden tener un periodo de vida excesivo para aquellos

entornos que requieran de un nivel de seguridad elevado.

Quest Defender eleva los niveles de seguridad proporcionando un sistema de autenticación de doble factor mediante el uso de “tokens” hardware o software, generando un código único de acceso cada 55 segundos.

Quest Defender aprovecha toda la potencia y funcionalidad del Directorio Activo ya existente, para almacenar toda la información y configuración

Quest Defender se integra con cualquier sistema/aplicación que soporte RADIUS y con sistemas tradicionales como Windows o Unix/Linux

La Solución: Quest DefenderLa Solución: Quest Defender

Quest DefenderActive Directory Edition

Quest Defender ofrece una variedad muy amplia de dispositivos hardware, evitando la elección de un único distribuidor en concreto.

Existen Hardware Tokens y Software Tokens (Windows, PDA, Blackberry, etc) para cubrir las posibles necesidades de cada cliente y permitir que ciertos usuarios dispongan de mas de un token asignado.

Quest Defender Mobile permite que los usuarios reciban un mensaje SMS con su código de acceso en un dispositivo móvil estándar.

Quest Defender puede reemplazarla autenticación de password pormedio de un token.

Quest Defender “TOKENS”Quest Defender “TOKENS”Quest DefenderActive Directory Edition


Security and ComplianceSecurity and ComplianceCumplimiento de Normativas de SeguridadCumplimiento de Normativas de Seguridad

Evento Regional Las Palmas de Gran CanariaEvento Regional Las Palmas de Gran Canaria24 de Abril de 200824 de Abril de 2008

27

Incremente y aplique normativas másallá de la funcionalidad “Out of the Box”

More Productivity

More Performance

More Reliability

More Availability

More Flexibility

More Security

More Automation

MORE Value for…

MicrosoftExchange

MicrosoftSharePoint

MicrosoftActive Directory

MicrosoftSQL Server

MicrosoftSystem Center

MicrosoftAD LDS/ADAM

MicrosoftPowerShell

Microsoft.NET

ManagementDesktop

MicrosoftWindows Server

MicrosoftOffice Communication Server


Seguridad, Protección y Seguridad, Protección y Auditoría MultiplataformaAuditoría Multiplataforma

Auditoría y Seguridad para su OrganizaciónAuditoría y Seguridad para su Organización

Recopile los eventos de seguridad de forma segura Realice informes de auditoría Incremente la seguridad y el rendimiento Le ayuda a cumplir los requerimientos legales de seguridad Repositorio permanente cifrado para almacenado de logs Seguridad, protección de objetos y alertas en tiempo real Análisis forense, investigación de sucesos de seguridad Multiplataforma – Windows,Unix / Linux Análisis de logs de Firewalls, bases de datos, …

Quest InTrust: La solución completa de Auditoría y SeguridadQuest InTrust: La solución completa de Auditoría y Seguridad

PluginsPlugins PlataformasPlataformas

Windows Unix Linux

Knowlege PacksKnowlege Packs

Exchange Excel CheckPoint Cisco PIX Microsoft IIS Microsoft ISA Microsoft SQL Microsoft MIIS Linux/Unix Oracle


Seguridad, Protección y Seguridad, Protección y Auditoria del Directorio Auditoria del Directorio

ActivoActivo

Aspectos críticos del negocioAspectos críticos del negocio• Es necesario conocer con exactitud todos los cambios que se realizan

en el Directorio Activo y ser capaces de realizar informes sencillos con esta información.

• La Seguridad nativa del Directorio Activo permite delegar permisos para realizar diversas tareas, pero no existe la posibilidad de prevenir que un usuario con permisos de Administrador pueda eliminar o modificar por error una OU con mas de 10.000 Usuarios, Equipos, etc.

• Cambios no deseados sobre el Directorio Activo o las Políticas de Grupo (GPO’s) pueden causar que los usuarios de una compañía no puedan acceder a los recursos de red o a las aplicaciones durante horas o incluso días.

• Es complejo y costoso consolidar toda información de auditoria (visores de sucesos) a nivel de organización y de todos los servidores.

InTrust for Active DirectoryInTrust for Active Directory

Intrust for Active Directory permite a auditar, obtener informes y generar alertas de actividad de todos los controladores de dominio -Windows 2000/2003-, además de hacer un seguimiento de todos los cambios realizados en el Directorio Activo o en las Políticas de Grupo (GPO’s)

Intrust for Active Directory Proporciona una recopilación y almacenamiento de la información de Auditoria, permitiendo reaccionar y prevenir posibles violaciones de políticas de seguridad o cambios críticos en objetos del Directorio Activo

Funcionalidades destacadas:Funcionalidades destacadas:• Registro detallado de toda la actividad y cambios realizados en el Directorio Activo y

GPO’s:• Que objeto ha sido modificado/eliminado• Quien y desde donde ha realizado el cambio• Valores actuales y antiguos de ese objeto

• Protección ante cambios no deseados en objetos del Directorio Activo:• Notificación en tiempo real de acciones no permitidas• Respuesta automática con acciones preventivas

• Consolidación de visores de sucesos de todos los controladores de dominio en un repositorio centralizado para posteriores informes, auditorias y análisis forense


Seguridad y Auditoria en Seguridad y Auditoria en Exchange ServerExchange Server


• Es necesario conocer con exactitud todos los cambios que se realizan en el sistema de correo Exchange y ser capaces de realizar informes sencillos con esta información.

• Uno de los aspectos mas críticos en el sistema de correo es proteger la confidencialidad de la información que fluye vía e-mail y conocer con exactitud cuando un usuario accede a un buzón del cual no es propietario .

• Es importante saber quien ha modificado los permisos de buzones, quien ha realizado delegaciones no autorizadas en Exchange o quien ha reenviado un mensaje en “nombre de” sin ser propietario de un buzón.

• Es complejo y costoso poder consolidar toda información de auditoria (visores de sucesos) a nivel de organización y de todos los servidores.

InTrust for ExchangeInTrust for Exchange

Intrust for Exchange permite a auditar, obtener informes y generar alertas sobre los aspectos de configuración críticos de sus servidores Exchange y rastrear la actividad que realizan los usuarios sobre sus buzones

Intrust for Exchange proporciona una recopilación y almacenamiento de la información de Auditoria, permitiendo reaccionar y prevenir posibles violaciones de políticas de seguridad o cambios críticos en su sistema de correo Exchange

Funcionalidades destacadas:Funcionalidades destacadas:• Registro detallado de toda la actividad y cambios realizados en la configuración de

Exchange:• Que objeto de configuración ha sido modificado/eliminado• Quien y desde donde ha realizado el cambio• Valores actuales y antiguos de ese objeto de configuración

• Alertas y notificaciones sobre accesos ilícitos en buzones corporativos:• Notificación en tiempo cuando un usuario no-propietario accede a un buzón• Respuesta automática con acciones preventivas

• Consolidación de visores de sucesos de todos los servidores Exchange en un repositorio centralizado para posteriores informes, auditorias y análisis forenses


Seguridad y Auditoria de Seguridad y Auditoria de FicherosFicheros


• Es necesario conocer con exactitud todos los cambios que se realizan en el sistema de ficheros, recursos de red y particiones NTFS de Windows y ser capaces de realizar informes sencillos con esta información.

• Los documentos críticos de su empresa son susceptibles de cambios en permisos y accesos no autorizados

• La capacidad de auditar, recolectar y emitir informes sobre la utilización y acceso a documentos es una tarea compleja y difícil de conseguir

• La modificación de permisos y cambios en ficheros no es interceptado en tiempo real.

• Es importante saber quien ha modificado los permisos de ficheros, movido o eliminado los permisos de ficheros.

• Es importante conocer si los ficheros han sido movidos de su ubicación original, copiados o eliminados.

InTrust for File AccessInTrust for File Access

Intrust for File Access permite a auditar, obtener informes y generar alertas sobre cambios en permisos, modificaciones y eliminaciones de sus documentos

Intrust for File Access proporciona una visión sobre los usuarios y los documentos más activos en su organización.

Funcionalidades destacadas:Funcionalidades destacadas:

• Registro detallado de toda la actividad y cambios realizados en ficheros y documentos:• Información detallada sobre acceso a ficheros y objetos• Información detallada sobre permisos y cambios de ownership


Knowledge Pack de Knowledge Pack de Auditoría de Unix/LinuxAuditoría de Unix/Linux

Knowledge Pack para UNIX/LinuxKnowledge Pack para UNIX/Linux

Intrust KP para UNIX/Linux permite a auditar, obtener informes y generar alertas sobre los aspectos de configuración críticos de sus servidores Unix y Linux

Intrust KP para UNIX/Linux proporciona una recopilación y almacenamiento de la información de Auditoria, permitiendo reaccionar y prevenir posibles violaciones de políticas de seguridad o cambios críticos en sus hostsFuncionalidades destacadas:Funcionalidades destacadas:

• Registro detallado de toda la actividad y cambios realizados en la configuración de Unix/Linux:

• Información detallada sobre las sesiones de usuario• Intentos fallidos de inicio de sesión• Modificación de ficheros de configuración• Audita la gestión de usuarios y grupos

• Alertas y notificaciones en tiempo real relacionados con la seguridad:• Creación, modificación y eliminación de usuarios y grupos• Creación, modificación y eliminación de ficheros de configuración o de texto

• Consolidación de ficheros SYSLOG en un repositorio centralizado para posteriores informes, auditorias y análisis forenses


Recuperación on-line, granular y rápida del Directorio Activo

Aspectos críticos del negocio• El Directorio Activo es el componente critico de una

infraestructura de red y es crucial asegurar su integridad

• Desastres en el Directorio Activo pueden causar la caída de un sistema por horas o incluso días, influyendo directamente en la perdida de productividad por parte de los usuarios finales

• Las incidencias en el Directorio Activo, por error humano o de software, son habituales y se traducen en pérdidas de Tiempo, Productividad y Dinero

• Las herramientas nativas de recuperación del Directorio Activo son lentas y requieren una parada en el servicio.

Recovery Manager for Active Directory

Recovery Manager ofrece una solución completa para realizar una recuperación online, granular y muy rápida del Directorio Activo, proporcionando así una protección fiable ante desastres

Recovery Manager permite recuperar la información a nivel de OU’s, usuarios e incluso atributos, sin necesidad de reiniciar los controladores de dominio y evitando así el impacto en los usuarios

Funcionalidades destacadas:• Multitud de Informes: Determinan que cambios ha habido en el Directorio y que objetos han

sido borrados o modificados, así como los valores originales de dichos atributos.• Restauración completa del Directorio: En caso de desastre mayor permite la recuperación de

la base de datos íntegra del Directorio Activo de una forma rápida y directa.• Restauración de Políticas de Grupo (GPO): Backup y restauración granular de las Políticas de

Grupo del directorio activo y de la unidad SYSVOL.• Gestión centralizada: Posibilidad de realizar todas las acciones de una forma centralizada y con

programación de sesiones de copias de seguridad para Directorio Activo y GPO’s.

Comparativa de Tiempos de Restauración

Determinar que se ha eliminado/cambiado

Encontrar las copias de seguridad

Catalogar y Montar las Cintas de Backup

Iniciar el Servidor en Modo Especial de Restauración

Restaurar toda la Base de Datos de Directorio Activo

Restauración Autoritativa

No se puede determinar de forma automática.

30 Min

30 Min

>30 Min

60 Min

15 Min

Ofrece Informes que ayudan a entender que ha cambiado en

menos de 1 min.

No AplicableLos Backups son online

No AplicableLos Backups son online

No es NecesarioLa Restauración es online

Granular

Automático

Proceso de Restauración Método Manual (Nativo) Recovery Manager for AD

Tiempo: > 2h 45 Minutos Tiempo: 10 Minutos


Migración de Lotus Notes a ExchangeMigración de Lotus Notes a Exchange

• Es prioritario planificar la migración a Exchange en función del tiempo, recursos y características del entorno origen Domino/Notes.

• Las diferentes casuísticas y la complejidad de la plataforma de origen complican el proceso de migración y requieren actuaciones manuales.

• Es necesario mantener toda la información original de la plataforma Notes/Domino incluyendo las Listas de Distribución, las Libretas Personales de Direcciones (PAB), los ficheros de “archive”, las réplicas de correo, etc.

• La capacidad de almacenar información en los puestos clientes de Lotus Notes obliga a ejecutar tareas complejas para poder extraer esos datos y migrarlos a los buzones de correo Exchange

• Es imprescindible mantener la coexistencia entre en entorno de correo Domino/Lotus Notes y la nueva infraestructura de Exchange, durante el tiempo que dura el proceso de migración

Aspectos críticos del negocio

Retos técnicos de la migración• Obtención información precisa sobre los

datos existentes • Conocer el estado de la migración en todo

momento• Realizar una correcta planificación para evitar

incidentes a la organización y los usuarios finales

• Finalizar la migración en plazos razonables• Mantener la integridad de los datos en todo

momento

Afrontar los retos de la migración

• Quest MessageStats™ proporciona multitud de informes para conocer y adecuar el actual entorno de Notes

• Los administradores disponen de una guía de trabajo para realizar la migración de forma controlada y sin incidentes.

• Notes Migrator permite a los administradores programar las tareas de migración para que se realicen en horarios de baja actividad.

• La automatización de tareas administrativas ahorra tiempo y evita errores.

• La migración se puede realizar con multiples instancias acelerando así el proceso de migración.

• La migración de datos de usuario se realiza de forma precisa y sin la intervención del usuario.

Control total de su migración

“Migracion segura y efectiva de Lotus Notes a

Microsoft Exchange Server”

“Migracion segura y efectiva de Lotus Notes a

Microsoft Exchange Server”

Migración completa de todos los datos

Funcionalidades Principales

• Gestión de Proyecto: Los administradores tienen un control total del proceso y conocen el estado de la migración minuto a minuto


Informes precisos: Una gran cantidad de informes le permiten monitorizar el estado de la migración de forma exhaustiva


• Programación de Tareas: Las tareas de la migración pueden ser programadas y ejecutadas en horarios que reduzcan el impacto en la organización evitando así el impacto en usuarios y procesos de negocio


• Migración Simultánea: Multiples usuarios pueden ser migrados de forma simultánea reduciendo así la duración del proyecto de migración.


• Reducción de llamadas a Help Desk: Los datos de usuario son migrados de forma precisa, sin intervención del usuario, garantizando así una migración segura y fiable.

• Administración Simplificada: Automatización de tareas administrativas, incluyendo la creación de buzones y el redireccionamiento del correo, permitiendo así el ahorro de tiempo y la prevención de errores.

Amplia experiencia en migraciones• Quest es lider en migraciones de Notes a Exchange con

una media de 65,000 buzones migrados por mes mundialmente.

• Quest ha migrado más de 1 millon de buzones de Lotus Notes a Exchange desde el año 2005.

• No todas las soluciones del mercado son capaces de migrar todos los datos de usuarios como calendarios, libretas de direcciones y archivos personales locales.

• Todos los pasos de la migración se hallan perfectamente documentados en la consola de migración facilitando así el trabajo a los administradores.

Notes Migrator para Exchange le proporciona control total en su proyecto de migración de Lotus Notes a Microsoft Exchange


Migración de Aplicaciones y Contenidos de Lotus Notes/Domino a SharePoint 2007

Soluciones para migración a SharePointSoluciones para migración a SharePoint

Migración Fiable y Sencilla de Aplicaciones Notes SharePoint 2007


• Mapea de forma automática aplicaciones Notes a listas y librerias de SharePoint

• Soporte para aplicaciones estándar Notes o personalizadas de gran complejidad

• Facil de instalar y configurar• Permite migrar contenidos por lotes• Respeta el formato original como tablas, colores,

etc• Migra de forma automática Doclinks de Notes



Soluciones para migración a SharePointSoluciones para migración a SharePoint


Muchas Gracias

copyright © 2008 quest software blog: gestión de identidades en directorio activo carles martin...

Documents