Netzwerksicherheit mit dem Windows Server 2003

Präsentation zum Thema: "Netzwerksicherheit mit dem Windows Server 2003"—  Präsentation transkript:

1 Netzwerksicherheit mit dem Windows Server 2003
<<Presentation Title>> Netzwerksicherheit mit dem Windows Server 2003

2 Netzwerksicherheit mit dem Windows Server 2003
<<Presentation Title>> Netzwerksicherheit mit dem Windows Server 2003 Kai Wilke (MVP) Consultant für IT - Security ITaCS GmbH Tech Level: 300

3 Agenda Die Sicherheit von Windows 2000 vs. 2003
Grundsätzliche Verbesserungen im Detail Die integrierten Sicherheitsdienste Zertifikatsdienste und deren Einsatzgebiete IP Security und Virtual Private Networks Sichere Wireless LAN Umgebungen Internet Information Services 6.0 Microsoft Ressourcen im Internet

4 Sicherheit in Windows 2000 Ist Windows 2000 sicher?
Ja! Man kann Windows 2000 sicher machen Siehe Common Criteria Zertifizierung nach EAL4+ …, aber man sollte dabei folgendes beachten! Windows 2000 Server Baseline Security Checklist Absichern der Win2000 default Konfiguration IIS 5.0 Baseline Security und Secure Checklist Absichern der IIS 5.0 default Konfiguration Und viele Sicherheits- Hinweise in KB Artikeln

5 Sicherheit in Windows 2003 Was hat sich beim Server 2003 verbessert?
Sicherheit im „default“-Zustand Sicherheit bei der Konfiguration Sicherheit im laufenden Betrieb

6 Vergleich der „default“ Sicherheit von Windows 2000 vs. 2003
<<Presentation Title>> Vergleich der „default“ Sicherheit von Windows 2000 vs. 2003

7 Sicherheit in Windows 2003 Sicherheit im “default” Zustand
Die Angriffsfläche des Servers wurde verringert 20 Dienste sind standardmäßig nicht aktiviert Entscheidungskriterium: mindestens 10% Bedarf Eingeschränkte Service Accounts für viele Dienste NetworkService und LocalService als neue Konten Schärfere Systemrichtlinien Einstellungen und ACLs Verschärfte ACLs im %Systemroot% und bei Freigaben Verschärfte System Sicherheitsrichtlinien Beseitigung von “blank password” Angriffen

8 Sicherheit in Windows 2003 Sicherheit bei der Konfiguration
Leichte Administration gegen Konfigurationsfehler „Serververwaltung“ für die übersichtliche Administration Verbesserte Windows Hilfe gegen Konfigurationsfehler Zahlreiche Assistenten mit „Best Practice“ Ergebnissen Windows Server 2003 Security Guide schon erhältlich Zusätzliche Administrationstools in Vorbereitung GPMC Snap-In zum Planen von Gruppenrichtlinien SSR Wizard zur Absichern von speziellen Serverrollen Smartcards für alle administrativen Aufgaben RunAs, Net.exe, Terminal Dienste, DCPromo

9 Sicherheit in Windows 2003 Sicherheit im laufenden Betrieb
Zusätzliche Gruppenrichtlinien und Benutzerrechte Gruppenrichtlinie: Softwareeinschränkung (nicht DRM!) Gruppenrichtlinie: Zentrale Wireless Lan Konfiguration Sicherheitsoption: Verbot der SID/Name Übersetzung Sicherheitsoption: Administratorkonto sperren Sicherheitsoption: Registry Remote Zugriffe Benutzerrecht: Anmeldung über Terminal Service Berechtigung: Darf über Vertrauenstellung anmelden Sichere Kommunikation in TCP/IP Netzwerken Unterstützung von EAP Anmeldung für Netzwerke NETBIOS freie Netzwerke jetzt noch einfacher Internet Verbindungs-Firewall für Server

10 Agenda Die Sicherheit von Windows 2000 vs. 2003
Grundsätzliche Verbesserungen im Detail Die integrierten Sicherheitsdienste Zertifikatsdienste und deren Einsatzgebiete IP Security und Virtual Private Networks Sichere Wireless LAN Umgebungen Internet Information Services 6.0 Microsoft Ressourcen im Internet

11 Windows Server 2003 PKI Was ist überhaupt PKI?
PKI ist ... … keine Lösung … keine Anwendung … kein Verfahren um Hacker abzuhalten PKI ist eher … … eine Infrastruktur, um mit speziellen Anwendungen Sicherheitslösungen aufzubauen … eine Grundlage für sichere Verschlüsselung und Authentifizierung in Netzwerken

12 Windows Server 2003 PKI Netzwerksicherheit auf Basis von PKI
Szenario Risiko Sicherheitslösung Verlust/Diebstahl des Laptops Unerlaubte Remote Einwahl Man in the Middle Angriffe Encrypted File System (EFS) Smartcard Anmeldung IPSEC u. L2TP VPN Tunnel Mobile Benutzer Unerlaubte Remote Einwahl Man in the Middle Angriffe Smartcard Anmeldung L2TP u. IPSEC VPN Tunnel Home / Remote Office Identitäts Vortäuschung Man in the Middel Angriffe Smartcard Anmeldung SSL/TLS Verschlüsselung E-commerce Identitäts Vortäuschung Man in the Middel Angriffe Zertifikats Anmeldung, SSL SSL, S/MIME, L2TP u. IPSec Extranets Unerlaubter Netzwerk Zugriff Identitäts Vortäuschung Man in the Middel Angriffe Datensicherheit auf Fileservern EAP Anmeldung über Zertifikate Kerberos, Smartcard Anmeldung IPSec, SSL/TLS, S/MIME Encrypted File System (EFS) Lokales Netzwerk

13 Windows Server 2003 PKI Neue PKI Features von Windows 2003
Rollenbasierte Administration von CAs CA Administrator, Zertifikats Manager und Auditor Support für neue CSPs und Smartcard Reader Höhere Schlüsselstärken (FIPS kompatibel) Advanced Encryption Standard (Rijndael) Unterstützung von Qualifizierten Subordinated CAs Verwendungszwecke, Name constrained, Cross-CAs Delta CRLs für schnellere Sperrlisten Abfragen Geringere Latenzzeiten bei Zertifikatssperrung möglich Geringer Verbrauch von Netzwerk Bandbreite

14 Windows Server 2003 PKI Neue PKI Features von Windows 2003
Support für frei editierbare Zertifikatsvorlagen Alle Eigenschaften der Zertifikate sind anpassbar CSPs, Verwendungszwecke, Ausstellungspolicy, uvm. Auto enrollment und renewal übers Active Directory Steuerung erfolgt über „Auto enrollment“ Berechtigung Für jegliche Benutzerzertifikate (auch bei Smartcards) Für jegliche Computerzertifikate Private Key Archivierung und Wiederherstellung Private Keys werden verschlüsselt in der CA abgelegt Key Recovery Agents können Keys wiederherstellen

15 Verwalten der Windows 2003 Zertifikatsdienste
<<Presentation Title>> Verwalten der Windows 2003 Zertifikatsdienste

16 Agenda Die Sicherheit von Windows 2000 vs. 2003
Grundsätzliche Verbesserungen im Detail Die integrierten Sicherheitsdienste Zertifikatsdienste und deren Einsatzgebiete IP Security und Virtual Private Networks Sichere Wireless LAN Umgebungen Internet Information Services 6.0 Microsoft Ressourcen im Internet

17 IP Security und VPNs Schwachstellen im IPv4 Protokoll
TCP/IP ist ein hervorragendes Protokoll ... Plattform-unabhängige Implementierung Skalierbar durch zuverlässiges Routing Verhältnismäßig geringer Overhead ... aber es beinhaltet keinerlei Sicherheit! Keine Authentifizierung der Kommunikationspartner! Keine Verschlüsselung bei der Datenübertragung! Keine Integrität bei der Datenübertragung!

18 IP Security und VPNs TCP/IP Absicherung mit IPSec
IPSec bietet eine sichere TCP/IP Kommunikation Gegenseitige Authentifizierung zwischen Computern Sender und Empfänger kennen sich untereinander Authentifizierung mit Kerberos, PKI oder Pre-Shared Datenverschlüsselung mit Hilfe von ESP IPSec Paketen DES Verschlüsselung des IP Traffics nach Regelsätzen Nur Sender und Empfänger kennen den Daten Inhalt Datenintegrität mit Hilfe von AH IPSec Paketen SHA Signierung des IP Traffics nach Regelsätzen Manipulierte IP Pakete werden erkannt und verworfen

19 IP Security und VPNs TCP/IP Absicherung mit IPSec (con‘t)
IPSec arbeitet unterhalb der Anwendung Keine Anpassungen der Netzwerk Anwendungen Keine Anpassungen der Netzwerk Infrastruktur IPSec wird ab Windows 2000 nativ unterstützt Zentrale Administration über Gruppenrichtlinien L2TP/IPSec Client für NT4 und Win98 nachrüstbar Mögliche IPSec Filterungseinstellungen sind Filterung nach IP Adressen und Protokoll/Portnummern „Zulassen“, „Blocken“, „Sicherheit aushandeln“

20 IP Security und VPNs Funktionsweise von IPSec
1 1 IPSec-Richtlinie Active Directory IPSec-Richtlinie ISAKMP Internet Security Association and Key Management Protocol TCP-Schicht 2 TCP-Schicht IPSec-Treiber IPSec-Treiber Verschlüsselte IP-Pakete 3

21 IP Security und VPNs Neue IPSec Features unter Windows 2003
IP Security NAT Traversal (NAT-T) Unterstützung Windows 2003 IPSec durch NAT Router senden Firewalls benötigen Regeln für UDP Ports 500 u. 4500 Win 9x, NT, 2000 und XP Clients benötigen ein Update IPSec Monitor für verbesserte Fehlersuche Neue IPSec Sicherheitseinstellungen (via NETSH) Jetzt mit 2048bit Masterschlüssel (FIPS 140-1) Wegfall der „Default Exemptions“ als Standard „Stateful Paketfiltering“ beim Bootvorgang Fail Save Konfigurationsmöglichkeiten

22 IP Security und VPNs Neue IPSec Features unter Windows 2003
Mehr Performance bei der Verschlüsselung Schnellere Schlüsselaushandlung (Main u. Quick Mode) Loadbalancing (NLB) Unterstützung für IPSec Pakete Unterstützung für Hardwarebeschleunigung Unterstützt einen von der IETF definierten Standard Gemeinsamer Standard mit Cisco (RFC 3193) Kompatibel zu Cisco IOS® ab Release 12.2(4)T Abwärtskompatibel mit Windows 2000 IP Security

23 Konfiguration von IPSec Richtlinien
<<Presentation Title>> Konfiguration von IPSec Richtlinien

24 IP Security und VPNs Die VPN Technologie im Überblick
Virtual Private Networks sind ... Eine kostengünstige Alternative zu Standleitungen Virtuelle Verbindungen über bestehende Netzwerke Verschlüsselte Datenkanäle für sensible Daten Mögliche Einsatzszenarien für VPN Anbindung von Home- oder Remotearbeitsplätzen Netzwerkkopplungen zwischen Standorten

25 IP Security und VPNs Die VPN Technologie im Überblick
RRAS Unternehmens- netzwerk Home- oder Remotearbeitsplatz RRAS

26 IP Security und VPNs Von Microsoft unterstützte VPN Protokolle
Aufbau von VPN Tunneln mittels nativen IPSec Kopplung zwischen zwei IPSec fähigen Routern Ein Phasen Authentifizierung nur über ISAKMP Aufbau von VPN Tunneln mittels Wählverbindungen RRAS Server ist der Einwahlpunkt für VPN Kanäle Layer Two Tunneling Protokoll (L2TP) + IPSec Point to Point Tunnel Protokoll (PPTP) Bietet zusätzliche Sicherheit durch Benutzerkennung Maximal drei Phasen Authentifizierung bei L2TP/IPSec

27 IP Security und VPNs Neue VPN Features unter Windows 2003
Variable IPSec Einstellungen für L2TP Tunnel Die L2TP Authentifizierung auch ohne Zertifikate Frei definierbare IPSec Richtlinien für L2TP Tunnel Einfaches Route Management für Split-Tunnel VPNs Neue DHCP Optionen zum setzen von IP Routen am Client Verwaltung von VPN und DFÜ Clients mit CMAK 1.3 Zentrale Voreinstellung der VPN und DFÜ Verbindungen Unterstützung für Clientseitige Scripts bei der Einwahl

28 IP Security und VPNs Neue VPN Features unter Windows 2003
Verbesserter Internet Authentification Service (IAS) Verwendet RADIUS als Industriestandard für AAA Dienste Übernimmt Authentifizierung, Accounting und Autorisierung Geeignet für RAS, VPN, Switche, WLANs und weitere Dienste RADIUS Proxy Funktionalität im neuen IAS Server Forwarding von AAA Anfragen auf externe RADIUS Server Ermöglicht dabei eine Manipulation von Benutzernamen Erweiterte und neue Authentifizierungs- Möglichkeiten Computer, Zertifikatsbasierte und EAP Authentifizierung Unterstützung für Quarantäne Netzwerke bei VPN

29 IP Security und VPNs Funktionsweise der Quarantäne Policy
<<Presentation Title>> IP Security und VPNs Funktionsweise der Quarantäne Policy IAS Client Internet RRAS Corp Netz Quarantäne Netzwerk Connect Authenticate Authorize + Set Quarantäne + Normal Filter Quarantine Access X Policy Check Set Normal Filter Full Access

30 Konfiguration von VPN Zugriffen
<<Presentation Title>> Konfiguration von VPN Zugriffen

31 Agenda Die Sicherheit von Windows 2000 vs. 2003
Grundsätzliche Verbesserungen im Detail Die integrierten Sicherheitsdienste Zertifikatsdienste und deren Einsatzgebiete IP Security und Virtual Private Networks Sichere Wireless LAN Umgebungen Internet Information Services 6.0 Microsoft Ressourcen im Internet

32 Sichere Wireless Netzwerke Die Sicherheitsprobleme in IEEE 802.11
Sicherheit durch Shared Keys? (WEP Protokoll) Alle Clients benutzen den selben Verschlüsselungs- Key Ändern des Keys ist zu aufwändig bzw. geschieht niemals WEP Keys sind zu schwach und fehlerhaft 16,7 Mio. verschiedene Schlüssel möglich (40 u. 104 bit) Hiervon sind 1280 Schlüssel sehr schwach (Angriffsziel!) 2-20 Gbyte an gesnifften Daten reichen zum Cracken Viele bekannte Angriffsmöglichkeiten gegen WEP Airsnort, WEPCrack und Man-in-the-Middel Angriffe

33 Sichere Wireless Netzwerke Mehr Sicherheit durch IEEE 802.1X
Authentifizierung an einem Verzeichnisdienst Mittels einer Smartcard oder mit Client-Zertifikaten Mittels eines Benutzernamens und Passwort AAA Zugriffssteuerung über RADIUS Server RADIUS bietet Authentification, Accounting, Authorisation Zugriff auf bestehende Benutzerdatenbanken (AD) möglich Dynamische WEP Keys beseitigen Shared-Key Probleme Benutzer erhalten vom RADIUS Server eigene WEP Keys EAP-TLS und PEAP als IEEE 802.1X Standards

34 Sichere Wireless Netzwerke IEEE 802.1X Szenario mit EAP-TLS
EAP-TLS als Lösung für Netzwerke mit PKI Am Client Compter ist ein X509v3 Zertifikat erforderlich Computer- oder Benutzerzertifikat werden benötigt Am RADIUS Server ist ein Computer Zertifikat erforderlich EAP Anmeldung am Active Directory über RADIUS Minimal: Windows 2000 Server IAS + EAP Updates Optimal: Windows Server 2003 IAS Die Accesspoints müssen EAP-TLS unterstützen EAP Wireless Client ist ein Windows 2000/XP Verwaltung beim 2003er Active Directory über GPOs

35 Sichere Wireless Netzwerke IEEE 802.1X Szenario mit PEAP
PEAP ist eine Erweiterung vom EAP Protokoll Authentifizierung geschieht über das MS-CHAPv2 Protokoll Anmeldung mit Benutzername/Passwort oder Smartcard Keine Computer Zertifikate am WLAN Client erforderlich PEAP Anmeldung am Active Directory über RADIUS Ein Windows Server 2003 IAS ist erforderlich Die Accesspoints müssen EAP-TLS unterstützen PEAP Wireless Client ist Windows 2000/XP Verwaltung beim 2003er Active Directory über GPOs

36 Sichere Wireless Netzwerke Deployment Szenarien für EAP-TLS & PEAP
<<Presentation Title>> Sichere Wireless Netzwerke Deployment Szenarien für EAP-TLS & PEAP Wireless Client (WinXP) Wireless Access Point RADIUS Server (MS IAS) Directory Service (AD) AP WLANs mit PEAP FirmeninterneZertifizierungs Stelle 3rd Party Zertifizierungs Stelle AP WLANs mit EAP-TLS Wireless Client (WinXP) Wireless Access Point RADIUS Server (MS IAS) Directory Service (AD)

37 Konfiguration von EAP und PEAP
<<Presentation Title>> Konfiguration von EAP und PEAP

38 Agenda Die Sicherheit von Windows 2000 vs. 2003
Grundsätzliche Verbesserungen im Detail Die integrierten Sicherheitsdienste Zertifikatsdienste und deren Einsatzgebiete IP Security und Virtual Private Networks Sichere Wireless LAN Umgebungen Internet Information Services 6.0 Microsoft Ressourcen im Internet

39 Internet Information Services 6.0
<<Presentation Title>> Internet Information Services 6.0 Richard Karl Technologie Berater Microsoft Deutschland GmbH Tech Level: 300

40 Internet Information Services 6 Generelle Vorteile des IIS Webserver
<<Presentation Title>> Internet Information Services 6 Generelle Vorteile des IIS Webserver Sicher Voreinstellung: Nicht installiert Am Anfang nur statische HTML Seiten Durchgereichte Authentifizierung Worker Prozess ID wählbar Zuverlässig Neues Prozessmodell Anwendungsgruppen Prozess Wiederverwertung Verfügbarkeits Erkennung Skalierbar Web Gardens Mehr Sites pro Server Verbesserte NAS Unterstützung Kernel Cache für HTML & ASPX Seiten Verwaltbar XML Metabase WMI Provider Kommando Zeilen Werkzeuge Versions und Konfigurationskontrolle

41 Das alte IIS 5.0 Prozessmodell
<<Presentation Title>> Das alte IIS 5.0 Prozessmodell Gute Performanz, aber unstabile Webseiten können den gesamten Webserver beinflussen Gefährlicher Systemkontext Schlechtere Performance Unstabile Webseiten können den Webserver nicht beinflussen Hoher Resourceverbrauch MonolithischeBlack Box INETINFO DLLHOST.EXE DLLHOST.EXE WAM DLLHOST.EXE metabase W3Csvc WAM ISAPI Extensions W3Csvc ISAPI Extensions ISAPI Extensions ISAPI Extensions ISAPI Filters User Mode Kernel Mode Winsock SuboptimalePerformance TCP/IP

42 Das neue IIS 6.0 Prozessmodel
<<Presentation Title>> Das neue IIS 6.0 Prozessmodel Administration Monitoring Single App W3WP.exe ISAPI Ext ISAPI Filters App Pool Configuration Manager Application Pool Manager W3SVC Multiple Apps W3WP.exe ISAPI Ext ISAPI Filters App Pool Single App W3WP.exe ISAPI Ext ISAPI Filters App Pool INETINFO.exe metabase ftp, smtp, nntp Unabhängige Workerprozesse mit definierbaren Dienstkonten (Systemkontext nicht erforderlich) Integrierter IIS Lockdown Wizard Single App W3WP.exe ISAPI Ext ISAPI Filters App Pool Single App W3WP.exe ISAPI Ext ISAPI Filters App Pool Hohe Performance durch Wegfall von Out-Process Anwendungen Unstabile Webseiten können nicht andere oder den Webserver beeinträchtigen Inetinfo hosts the metabase and other services such as FTP, SMTP and NNTP. The Web Publishing (WWW or W3SVC) service manages configuration, creating the namespace routing table for HTTP.SYS which tells it what ports to listen on, and which worker processes to route requests to. HTTP.SYS is the kernel mode listener, and when it receives a request for a URL it forwards that request to the correct worker process. In IIS 6.0 all Web sites and applications run in application pools. The W3SVC will start worker process instances associated with application pools when a request for a site or application supported by that pool is forwarded by HTTP.SYS. Each pool has one or more worker processes associated with it. Each worker process contains everything it needs to process the Web request including application code, ISAPI Filters and Extensions. Once the request is processed, the worker process sends the response back to HTTP.SYS which will cache it (if it is cacheable) and send the response to the originator. During the lifetime of an application pool, the W3SVC monitors the worker processes associated with the pool and will restart any that fail, or recycle them as directed. Zentrale Steuerung und Healthmonitoring der Workerprozesse DoS Schutz durch limitierte und einstellbare Warteschlangen und CPU Begrenzung pro Workerprozess Web Publishing User mode Kernel mode HTTP.SYS Hohe Performance durch zwischengespeicherte Webseiten Response Cache Listener Sender TCP/IP

43 Prozess Wiederverwertung
startup ready New Worker Process ISAPI Exts & Filters Web Proc. Core DLL WAS HTTP.SYS Old Worker Process ISAPI Exts & Filters Web Proc. Core DLL Shut down Ready for Recycle user kernel Request Request

44 Anwendungsgruppen Wiederverwertung
<<Presentation Title>> Anwendungsgruppen Wiederverwertung Erneuern nach: X Minuten Aktivität Nach X Anforderungen Zu definierten Zeiten You can configure these recycling options for any application pool. Elapsed time (minutes): Recycles worker processes at the specified number of minutes.  Default is 1740 minutes. Use when applications have problems running for extended time periods. Number of requests recycles after number of requests exceeds threshold. Disabled by default. Use when applications are failing based on the number of requests they receive. Scheduled times recycles any number of times in a 24 hour period (6:00am, 12:00pm, etc.). Disabled by default. Options: Specified Times: Add specified times when the worker processes will be recycled. User under conditions similar to the conditions for elapsed time. If you notice a consistent time when the application fails (for example, a timesheet application might need to be recycled at 6:00am and 9:30am - before and after morning arrivals. Memory usage recycles at maximum virtual memory or maximum used memory thresholds. This is disabled by default. Options: Maximum virtual memory (in megabytes): Recycles the application when the worker process virtual memory reaches a certain threshold. The memory heap becomes highly fragmented, which is caused by applications reserving memory multiple times. The symptom is a steady increase in virtual memory. Maximum used memory (in megabytes): Recycles the application when the memory that is used by the W3WP process reaches a certain threshold. Erneuern nach Überschreiten eines definierten Speicherverbrauchs

45 Anwendungsgruppen Performanz
<<Presentation Title>> Anwendungsgruppen Performanz Untätige Gruppen werden gestoppt um Resourcen zu sparen Bewahrt den Server vor Überlast Idle Timeout settings can gracefully shut down idle application pools after the duration specified. The default is 20 minutes. This conserves server resources by terminating worker processes that aren’t doing anything. Request Queue Limit. When enabled, IIS monitors the number of requests for the application pool queue. If adding the new request to the queue will exceed the queue size, the server rejects the request and sends a non-customizable 503-error (Service Unavailable) response to the client.  Default: Enabled, and configured with a maximum queue length of 1000 requests. Benefit: Prevents large numbers of requests from queuing up and overloading your server. This would only happen if requests couldn't be processed quickly enough. If this happened consistently you could address the problem by scaling up the server (adding processor, etc.), off-loading tasks to other servers, or by moving the sites or applications being overloaded to separate, faster servers. Enable CPU Monitoring: Monitors CPU utilization over a specified time interval and can take actions if the CPU usage exceeds limits. It can take No action, in which case an event will be logged which includes the name of the application pool, or it can Shutdown the worker processes associated with the pool. CPU monitoring is available only for applications pools and does not apply to CGI applications. Web Garden allows you to add more worker processes to an application pool. This allows administrators to scale a site or application supported by the Web server. CPU Verbrauchs-überwachung Anzahl der Prozesse für bessere Skalierung

46 Anwendungsgruppen Verfügbarkeit
<<Presentation Title>> Anwendungsgruppen Verfügbarkeit Einschalten und Setzen des Zeitintervalls Enable Pinging configures W3SVC to ping worker processes at the specified interval. You can enable Rapid Fail Protection to keep applications that are repeatedly failing from consuming resources, but marking the application pool out of service. You can specify the number of failures over the interval in minutes. If worker processes fail that number of time in the interval specified, the pool is taken out of service by RFP. Maximum amount of time (in seconds) that worker processes associated with this application pool have to start. If they fail to start in the time specified, an event is logged and a failure is counted. Maximum amount of time (in seconds) that worker processes associated with this application pool have to shutdown. If worker processes do not shutdown in the time specified, they will be terminated. This is used during recycling as mentioned earlier. Einschalten von RFP und Setzen der Parameter Anlaufzeit begrenzen Abschlußzeit begrenzen

47 Anwendungsgruppen Identität
<<Presentation Title>> Anwendungsgruppen Identität Vordefinierte Identititäten - Network Service - Local Service - Local System The default account (Network Service) that each application pool runs under is its identity. By default each application pool runs as the Network Service account. This is a low privileged account with restricted access to the system which provides extra security against attacks. There are three pre-defined identities: Network Service Local Service (a low privileged account) Local System (which is a very high privileged account) Or select a user defined account. This would be an account created on the local system or on the domain if the Web server is a domain member. This gives you maximum flexibility. If the applications you’re running require a specific account you can specify that account here. Any account that will be an identity for an application pool must be added to the IIS_WPG Group, a new group added when IIS is installed. Oder selbstdefinierte Benutzerkonten, die zur IIS_WPG Group gehören müssen

48 <<Presentation Title>>
IIS 6.0 Isolation Modes Worker Process Isolations Modus Voreinstellung für IIS 6.0 IIS 5.0 Isolations Modus Rückwärts Kompatibel zu IIS 5.0 Jede Anfrage muss durch Inetinfo.exe Es gibt keine Anwendungsgruppen und keine Prozesswiederverwertung IIS 6.0 supports two process isolation modes. Worker Process Isolation Mode is the recommended mode. It leverages all the new features of IIS 6.0 such as application pools, W3SVC monitoring, and recycling. IIS 5.0 Isolation Mode provides backward compatibility for Web applications. It configures IIS 6.0 to function in a very similar way to IIS 5.0. Of course the HTTP.SYS kernel-mode services are still there, but there are no applications pools, health monitoring and recycling settings. The old isolation modes in-process, out-of-process, and pooled out-of-process are available. Again, there is only one application pool, just like IIS 5.0 (with no recycling settings). ISAPIs run in process with inetinfo.

49 Anwender Isolierung unter FTP
<<Presentation Title>> Anwender Isolierung unter FTP Beschränkt Anwender auf ihre eigenen Verzeichnisse Verhindert die Aufwärts Navigation im Verzeichnis Baum Erleichtert das Zuweisen von Rechten FTP Benutzer Isolation Kompatibel / keine Isolation Einfache Anwendungen / Lokale Isolation Komplexe Anwendungen durch Active Directory Integration

50 <<Presentation Title>>
Metabase XML – ohne spezielle Werkzeuge lesbar Während der Laufzeit editierbar Bei jeder Änderung wird eine Sicherheitkopie in das Verlaufsverzeichnis kopiert und unter einem eindeutigen Namen gespeichert Einfach zurück zu sichern Server Objekt -> Alle Aufgaben -> Backup/Restore Konfiguration The IIS 6.0 metabase supports automatic configuration rollback. If the metabase is written to disk, a copy of it is saved to the history folder (in the inetsrv folder). Each saved version of the metabase is marked with a unique number. This happens if you make changes through the UI, or edit the metabase. It’s very easy to restore configuration. In the UI, you can right-click the server object, select All Tasks | Backup/Restore Configuration. You are then presented with a list of all the metabase history files to chose from. It’s important to note, the current configuration is always the latest backup. If you wanted to restore the previous configuration, that would be the backup before the latest (n-1). You could also copy and paste metabase files. Making changes to IIS is now safe and easy, because it’s easy to get back to where you started. Administrators can experiment with performance tuning parameters, and developers can test applications, roll-back, make changes to the application and test again.

51 <<Presentation Title>>
Authentifizierung Authentifizierungs Modi Forms – nicht authentifizierte Anfragen werden an die Anmeldeseite weitergeleitet Windows – Windows Authentifizierung durch IIS Passport – Konten werden auf AD Konten abgebildet Anonym – keine Anmeldung nötig Protokolltransparenz Legacy Protokolle werden auf Kerberos Tickets abgebildet Ermöglicht ein Single-Sign-On für komplexe Webportale Modus wird in web.config festgelegt: <authentication mode=[Windows|Forms|Passport|None]"/> Authentication Modes can easily be toggled through configuration settings. There are three modes that you can work with: Forms – This is a common mechanism that is used in web applications. To use forms authentication in the past for asp applications, you had to touch every file that needed to be protected. Now you just need to set config settings and setup a login page. Windows – The most popular setting if you are on an intranet and already have user profiles in the OS Passport – This is popular on the large public websites that want to participate in the Web Service that Microsoft Provides. This allows for a single login for multiple sites (across multiple domains). Mode determined in web.config

52 <<Presentation Title>>
Autorisierung Bildet Rechte auf authentifizierte Anwender ab Negative Modelle empfohlen After user is authenticated, ASP.NET allows you configure what pages a user can access (even down to the verb) At run time, the authorization module iterates through the <allow> and <deny> tags until it finds the first access rule that fits a particular user. It then grants or denies access to a URL resource depending on whether the first access rule found is an <allow> or a <deny> rule. The default authorization rule in the Machine.config file is <allow users="*"/> so, by default, access is allowed unless configured otherwise. Negative models are the best, although denying individual users can work if names have 1 canonical format * Refers to all identities ? Refers to the anonymous identity <!-- authorifizierungsabschnitt des config file --> <authorization> <allow users=“Bob, Tommy"/> <allow roles=“WebUsers"/> <deny users=“Danny"/> <deny users="?"/> </authorization> <!– nur Administratoren können POST (Jeder kann GET) --> <authorization> <allow verb="GET" users="*"/> <allow verb="POST" roles=“Admins"/> <deny verb="POST" users="*"/> </authorization> * Alle Benutzer ? Anonyme Benutzer

53 Agenda Die Sicherheit von Windows 2000 vs. 2003
Grundsätzliche Verbesserungen im Detail Die integrierten Sicherheitsdienste Zertifikatsdienste und deren Einsatzgebiete IP Security und Virtual Private Networks Sichere Wireless LAN Umgebungen Internet Information Services 6.0 Microsoft Ressourcen im Internet

54 Microsoft Ressourcen im Internet
Windows 2003 Server Website Microsoft Website zum Thema Sicherheit Deutschsprachige TechNet Website Security News Group auf news.microsoft.com /microsoft.public.de.security.heimanwender /microsoft.public.de.security.netzwerk.sicherheit IIS 6.0 Technische Übersicht: /overview/iis.mspx

55 Bleiben Sie am Ball Sicherheit: A way of life
<<Presentation Title>> Bleiben Sie am Ball Sicherheit: A way of life Abonnieren Sie den Security Notification Service ?url=/technet/security/bulletin/notify.asp Benutzen Sie den Baseline Security Analyser ?url=/technet/security/tools/tools/MBSAHome.asp Evaluieren Sie den Software Update Services

56 <<Presentation Title>>
Questions and Answers

57 Ihr Potenzial. Unser Antrieb.