Windows Server 2008 Branch Offices

Präsentation zum Thema: "Windows Server 2008 Branch Offices"—  Präsentation transkript:

1 Windows Server 2008 Branch Offices
3/28/2017 8:11 PM Ralf Feest Director Enterprise Services AddOn (Schweiz) AG Windows Server 2008 Branch Offices © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

2 AddOn und NT-AG AddOn (Schweiz) AG, Zürich NT-Anwendergruppe
IT-Dienstleistungsunternehmen, Microsoft Trainingscenter Consulting, Projekte, Support NT-Anwendergruppe Europas grösste Microsoft User Group Infos und IT-Diskussionsforum auf dem Web 3 mal/Jahr Treffen in Zürich mit Vorträgen kostenfreie Mitgliedschaft: Spezialseminare für IT-Profis

3 Agenda Server Core BitLocker Read Only Domain Controller
Installationsverfahren für DCs Network Access Protection Kennwortrichtlinien Gruppenrichtlinien für mehr Sicherheit Terminal Services

4 Server Core

5 Server Core Windows Server 2008 ohne GUI Konfiguration:
aus Kommandozeile Remote per RPC MsTsc (RDP) Kein File Explorer, .NET Framework, PowerShell, Systemsteuerung, IE, …. Keine GUI konsequent? Nein: Regedit, Notepad, Taskmanager und zwei .cpl sind da 

6 Die meisten Fremd-Applikationen laufen nicht unter Server Core
Rollen für Server Core Nicht möglich Webdienste mit .Net Framework Terminaldienste Sharepoint Eigene Applikationen File Services (Standard) Print Services DHCP DNS IIS ohne .Net Framework Windows Server Virtualization Media Services Active Directory Services AD LDS (früher: ADAM) Die meisten Fremd-Applikationen laufen nicht unter Server Core

7 3/28/2017 8:11 PM Server Core demo © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

8 BitLocker

9 BitLocker™ Drive Encryption
Verschlüsselung eines kompletten Festplatten-Volumes Schlüssel ( bit) kann in TPM 1.2 kompatiblem Chip oder auf USB-Stick abgelegt werden Integritätscheck sperrt ggf. Zugriff auf Festplatte beim Systemstart Wiederherstellungskennwort für Notfall Optimal für Aussenstellen: ServerCore als RODC mit BitLocker

10 BitLocker™ Drive Encryption (BDE) - 2
Bei Windows 2008: optionale Komponente Server Core: start /w ocsetup BitLocker transparent zu Betriebssystem und Applikationen Disk Performance auf Server: ca. 3-5 % schlechter

11 Der NT4 Backup Domain Controller (BDC) in neuer Verpackung?
RODC Der NT4 Backup Domain Controller (BDC) in neuer Verpackung?

12 Sicherheit von Rechenzentren
Admin-Kennwort (Hash) Domain Controller Zugangsgeschützter Serverraum in der Zentrale Domain Controller Admin-Kennwort (Hash) Angemietetes Grossraumbüro in der Niederlassung

13 Zweck & Ziel für Einsatz RODC
Verringerung des Gefahrenpotentials bei Manipulation des Active Directory bei Diebstahl der Active Directory-Datenbank Definition eines lokalen Administrators der keine Berechtigungen im AD hat der nur seinen RODC administrieren darf

14 Technische Hintergrundinfos
Kenn-wort-Filter repliziert Daten von … nach … DC RODC DC

15 Wie funktioniert die Anmeldung?
DC Active Directory „weiss“, welches Kennwort wo liegt. RODC Benutzer

16 Wie reagieren Anwendungen?
DC RODC LDAP-Write LDAP-Read LDAP-Write Applikation

17 Wer hat sich am RODC authentifiziert?
Im Active Directory abfragbar: Hinweis auf Aufnahme in „Allow“-Gruppe oder

18 Was tun bei Diebstahl des RODC?
Notbremse ziehen: RODC Konto löschen und Konten neue Kennwörter vergeben, bevor Hacker die Hashwerte in Kennwörter zurück rechnet.

19 Voraussetzungen und Feintuning
Voraussetzungen für RODC: Domäne im Win 2003 Forest Functional Level adprep /rodcprep (für Berechtigungen) Ein „writable DC“ muss Windows 2008 sein Ausser Kennwörter können weitere Attribute als „confidential“ markiert werden: Schema Master: searchFlags bearbeiten How-to:

20 Installation eines RODC
Auf einem „vollständigen“ Windows 2008 dcpromo Auf einem Server Core dcpromo mit Antwortdatei Installation delegieren: Konto anlegen Lokaler Admin startet dcpromo /UseExistingAccount:Attach Server darf nicht Mitglied der Domäne sein!

21 Setup Domain Controller
Active Directory Domain Services ist eine Rolle dcpromo startet Initialreplikation Alternative für „dünne Leitungen“: „Install AD DS from Media“

22 3/28/2017 8:11 PM Setup RODC video © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

23 FAQ zu RODC Kann ein RODC zu einem anderen RODC replizieren?
Was geht im Branch Office nicht mehr, wenn WAN zu DC ausfälllt? Kennwortänderungen Hinzufügen eines PCs zur Domäne Anmeldung für nicht zw.gespeicherte Konten Hat die ntds.dit des RODC alle Objekte? Ja.

24 Network Access Protection
Aussenstellen vor internen Gefahren schützen

25 Network Access Protection (NAP)
Welchen zusätzlichen Schutz bietet uns NAP? Aktuelle Gefahrensituation:

26 Überprüfen – heilen - Zutritt
Client erhält erst nach Überprüfung den Zugang zum Intranet NAP Agent (Client) Windows Vista Windows XP SP3 Windows Server 2008 NPS (Network Health Policy Server mit Win 2008) Remediation Server Server und Dienste, die den als nicht sicher eingestuften Computern zur Verfügung stehen

27 NAP – Gesundheitscheck für Clients
Administrator stellt zentral die Regeln auf Ein Client muss bei Zugriff auf das Netzwerk seinen Gesundheitszustand dem NPS zeigen gesund: Zugriff auf das Intranet krank: Richtlinine Einschränkungen bei krankem Client IPsec Kein Zugriff auf mit IPsec geschützte Systeme 802.1x eingeschränktes VLAN oder IP packet filter VPN eingeschränktes VLAN DHCP anderer IP Adressbereich/-optionen TS Gateway kein RDP-Zugang

28 Separate Richtlinien für Aussenstellen
Kennwortrichtlinien Separate Richtlinien für Aussenstellen

29 Kennwortrichtlinien Windows 2000/2003
Kennwortrichtlinie wird per Gruppenrichtlinie vorgegeben Richtlinie an oberster Ebene gilt für alle Benutzer (i.d.R. in der Default Domain Policy)

30 Kennwortrichtlinien Windows 2008
mehrfache Kennwortrichtlinien gesteuert über globale Gruppen oder Benutzer, nicht über OUs Bisher keine MMC dafür (kommt vielleicht). Server 2008 Domain Functional Level ist Voraussetzung.

31 Sicherheitseinstellungen für Aussenstellen
Gruppenrichtlinien Sicherheitseinstellungen für Aussenstellen

32 Sicherheitsfeatures (1)
Kontenrichtlinien Lokale Sicherheitsrichtlinien Überwachungsrichtlinien Aufbewahrungsfristen Ereignisprotokoll Restricted Groups Einstellungen der Systemdienste Registry-/Ordner-/Dateivorgaben Netzwerkrichtlinien (802.3, ) Einstellungen für die Firewall Public Key Policies

33 Sicherheitsfeatures (2)
Softwarerichtlinien vertrauenswürdige Zertifizierer erlaubte/verbotene Programme/Pfade Network Access Protection IPsec Policies Administrative Templates Internet Explorer Sicherheit Installation von Gerätetreiber EFS-, Bitlocker-Vorgaben Office Makro Sicherheitseinstellungen u.v.m.

34 Einsatzszenarien in Aussenstellen
Terminal Services Einsatzszenarien in Aussenstellen

35 Performance-Optimierung
Terminal Server RDP TS Remote Apps WAN SQL SQL SQL Server Aussenstelle Details: siehe Vortrag „Windows 2008 Terminal Services“ Zentrale

36 Interesse an weiteren Vorträgen?
Werden Sie kostenfrei Mitglied in Europas grösster Windows User Group Besuchen Sie unseren Stand Veranstaltungen 8. April 2008, Thema „Windows Server 2008“ Kostenfreies Anwendertreffen mit verschiedenen Vorträgen im Juni In Ihrer Tasche: 6 Spezial-Workshops der NT-AG in Basel, Bern und Zürich

37 3/28/2017 8:11 PM © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION. © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.