<Vortragstitel> Windows Server System und Active Directory

Präsentation zum Thema: "<Vortragstitel> Windows Server System und Active Directory"—  Präsentation transkript:

1 <Vortragstitel> Windows Server System und Active Directory
Willkommen zur TechNet Roadshow 2004 Windows Server System und Active Directory

2 <Vortragstitel>
Agenda & Vorträge 09:00 – 09:30 Keynote: Windows Server System Andre Wiesmann 09:30 – 10:30 Die IT Infrastruktur von heute Sven Thimm und Björn Schneider 10:30 – 11:00 Kaffeepause & Ask the Experts 11:00 – 12:00 Migration auf Windows Server 2003 Sven Thimm 12:00 – 13:00 Mittagspause & Ask the Experts 13:00 – 14:00 Migration auf Exchange Server 2003, Konsolidierung Björn Schneider und Malte Pabst 14:00 – 15:00 Erfolgreiches Verwalten einer Windows Server Infrastruktur Björn Schneider und Michael Kalbe 15:00 – 15:30 15:45 – 16:45 IT Infrastruktur richtig absichern Michael Kalbe und Sven Thimm

3 IT Infrastruktur richtig absichern
<Vortragstitel> IT Infrastruktur richtig absichern Michael Kalbe Technologieberater Microsoft Deutschland GmbH Sven Thimm Senior Consultant

4 Vortragsdownload http://www.technetevents.de

5 <Vortragstitel> Jürgen Haßlauer Senior Consultant HP Services
Security Assessment Jürgen Haßlauer Senior Consultant HP Services

6 MS Security Mobilization Initiative Aktive Einbindung von HP
Fokusthemen: Patchmanagement System Hardening VPN Wireless ISA Server PKI: Infrastruktur und Anwendungsszenarien Identity Management Dateisicherheit: EFS und Rechte Management Sichere Softwareentwicklung Sicherheitsthemen nach ISO17799

7 MS Security Mobilization Initiative Leistungen von HP
Durchführung eines Mobilization Workshops Planung und Vorbereitung des Security Assessments Durchführung des Security Assessments Interviews (auf Fragebogen basierend) Ortsbegehung Dokumentation des Assessments Auswertung der Ergebnisse Planung und Vorbereitung der Ergebnispräsentation Durchführung der Ergebnispräsentation Grundlage für die Aufdeckung möglicher Sicherheitsrisiken

8 HP Security Portfolio Die Sicherheitspyramide
<Vortragstitel> HP Security Portfolio Die Sicherheitspyramide +hp Success enabling solutions Sicherheits- Marketing Training & Kommunikation Management of Change Organisations- entwicklung Sicherheits- Strategie Sicherheits-Standards: Richtlinien, Prozesse und Rollen Sicherheits-Konzepte Sicherheits-Maßnahmenkataloge Sicherheits-Technologie

9 <Vortragstitel>
Agenda Sicherheitsstrategie Sicherheits-Erweiterungen des Betriebssystems Windows XP SP2 Windows Server 2003 SP1 Patchmanagement Windows Update Services Ausblick: Microsoft Update Netzwerksicherheit Internet Security & Acceleration Server 2004 SE Ausblick: ISA 2004 Enterprise Edition

10 Sicherheitsstrategie
<Vortragstitel> Sicherheitsstrategie

11 <Vortragstitel>
Die Situation heute Wirtschaftliche Aspekte Die Verfügbarkeit von „Line of Business-Anwendungen“ sowie Mail/Web sind von hoher Bedeutung Kunden, Geschäftspartner und die eigenen Mitarbeiter stellen hohe Anforderungen an die Verfügbarkeit von Daten Ausfallzeiten aufgrund von Security-Problemen verursachen enorme Kosten Technische Aspekte Traditionelle Schutzmechanismen (Firewall, DMZ) alleine reichen heute nicht mehr aus Ein mehrstufiges Sicherheitskonzept – „Security in depth“ – ist erforderlich

12 Mehrstufige Verteidigung
<Vortragstitel> Mehrstufige Verteidigung Verwenden eines mehrschichtigen Sicherheitsmodells Erhöht die Wahrscheinlichkeit, dass ein Angreifer entdeckt wird Verringert die Erfolgsaussichten eines Angriffs Richtlinien, Verfahren und Bewusstsein Physische Sicherheit Daten ACL, Verschlüsselung Anwendungshärtung, Antivirussoftware Anwendung Betriebssystemhärtung, Authentifizierung, Patchverwaltung, HIDS Host Internes Netzwerk Netzwerksegmente, IPSec, NIDS Perimeter Firewalls, VPN-Quarantäne Sicherheitskräfte, Schlösser, Überwachungsgeräte Benutzerschulung

13 <Vortragstitel>
Windows Security

14 <Vortragstitel>
Windows Firewall Nachfolger der ICF In der Default-Konfiguration auf allen Interfaces aktiv Kann zentral über Gruppenrichtlinien administriert werden Domänenprofil Standardprofil Konfiguration über NETFW.INF oder NETSH Boot Time Policy

15 Sicherheits Konfigurations Assistent (Windows Server 2003 SP1)
<Vortragstitel> Sicherheits Konfigurations Assistent (Windows Server 2003 SP1) Angriffsflächen-Reduzierung für Windows Server Sicherheitseinstellungen Rollen-Basierende Konfiguration Deaktiviert unbenutzte Dienste Deaktiviert unbenutzte IIS Web “Extensions” Blockiert unbenutzte Ports, inkl. “multi-homed” Szenarien Unterstützung bei der Absicherung von Ports, welche bei der Verwendung von IPSec geöffnet bleiben Konfiguriert die Überwachungs-Einstellungen Gewinn an Sicherheit Rollenbasiert zur einfachen Handhabung Automatisiert statt papierbasierende Anleitungen “Fully tested” und “supported” durch Microsoft

16 Sicherheits Konfigurations Assistent im Einsatz
<Vortragstitel> Sicherheits Konfigurations Assistent im Einsatz “Rollback”, für den Fall das die Einstellungen mit anderen Diensten kollidieren Analyse, um zu überprüfen ob die Server den festgelegten Richtlinien entsprechen Remote-Einsatz zur Konfiguration und Analyse “Command Line“ Unterstützung für Remote Konfiguration und Analyse Active Directory Integration für die Verteilung per Gruppenrichtlinien Änderung der bestehenden Richtlinien, falls der Server anders eingesetzt wird “XSL View“ auf die Knowledge Base, Richtlinien und Analyse-Ergebnisse

17 <Vortragstitel>
Demo Windows Security Security Configuration Wizard

18 <Vortragstitel>
Patchmanagement

19 Erfolgreiche Patchverwaltung
<Vortragstitel> Erfolgreiche Patchverwaltung Produkte, Tools und Automatisierung Konsistent und wiederholbar Kenntnisse, Funktionen und Aufgaben Verfahren Technologien Mitarbeiter

20 Patchverwaltungs-Prozess
<Vortragstitel> Patchverwaltungs-Prozess 1. Bewertung der Umgebung, in der Patches installiert werden sollen Regelmäßige Aufgaben A. Erstellen/Warten einer Baseline für Systeme B. Bewerten der Architektur für die Patchverwaltung C. Überprüfen der Infrastruktur/ Konfiguration Kontinuierliche Aufgaben A. Erkennen von Ressourcen B. Bestandsaufnahme von Clients 2. Identifizieren von neuen Patches Aufgaben A. Identifizieren von neuen Patches B. Bestimmen der Relevanz des Patches C. Überprüfen der Patchauthentizität und -integrität 1. Bewerten 2. Identifizieren 3. Evaluieren und Planen der Patchbereitstellung Aufgaben A. Einholen der Genehmigung zum Bereitstellen des Patches B. Durchführen einer Risikobewertung C. Planen der Patchveröffentlichung D. Testen der Akzeptanz des Patches 4. Bereitstellen des Patches Aufgaben A. Verteilen und Installieren des Patches B. Berichten über Fortschritt C. Behandeln von Ausnahmen D. Überprüfen der Bereitstellung 4. Bereitstellen 3. Evaluieren und Planen

21 Patchmanagement Rating von Security Bulletins
<Vortragstitel> Patchmanagement Rating von Security Bulletins Rating Definition Kundenaktion Die Schwachstelle ermöglicht die Verbreitung eines Internet Wurms wie Code Red oder Nimda ohne Zutun des Anwenders Unverzügliche Installation des Patches oder Durchführung entsprechender Anweisungen Durch die Schwachstelle kann die Vertraulichkeit, Integrität, oder Verfügbarkeit von Anwenderdaten oder Prozess Systemen kompromittiert werden. Baldmöglichste Installation des Patches oder Durchführung entsprechender Anweisungen Die Schwachstelle wird bereits durch verschiedene Faktoren (z.B. Standard-konfiguration, Audits, Anwenderverhalten oder Komplexität des Angriffes) signifikant abgeschwächt. Überprüfung des Bulletins, Eignung und Einsatz des Patches überprüfen und entsprechend fortfahren Niedrig Ausnutzung der Schwachstelle ist äußerst schwierig oder die Auswirkungen sind minimal Einplanung des Patches im nächsten standardmäßig geplanten Update Intervall

22 <Vortragstitel>
WUS Funktionsweise Microsoft Update WUS Server Desktop Clients Gruppe 1 Server Clients Gruppe 2 WUS Administrator Administrator genehmigt die updates Administrator “abonniert” die Update Kategorien Rechner registrieren sich beim Server Administrator ordnet die Rechner in unterschiedliche Gruppen ein Server holt die “updates” von Microsoft Update Rechner installieren die vom Administrator genehmigten Updates

23 <Vortragstitel>
Demo Windows Update Service Patchverwaltung

24 Software-Aktualisierung: Ausblick
<Vortragstitel> Software-Aktualisierung: Ausblick “Microsoft Update” (Windows Update) Windows Update Download Center Heute Mitte 2005 Office Update VS Update AutoUpdate Windows Update Services Windows, SQL, Exchange, Office… Nur Windows SUS SMS Windows, SQL, Exchange, Office… Windows, SQL, Exchange, Office… Nur Windows

25 <Vortragstitel>
Netzwerksicherheit

26 Überblick ISA 2004 Netzwerk-Layout
<Vortragstitel> Überblick ISA 2004 Netzwerk-Layout Variables Netzwerk Layout Mehrere Interne Netzwerke Beliebig viele DMZ VPN Client Netzwerk VPN Quarantine Netzwerk Wahlweise NAT/Routing Durchgängige Filterung Auf allen Netzwerkkarten Zwischen allen Netzwerken Internet VPN Netzwerk DMZ 1 Netzwerk B DMZ 2 Netzwerk A

27 ISA 2004 Firewall-Konfiguration ISA Server Konfigurationsdatenbank
<Vortragstitel> ISA 2004 Firewall-Konfiguration ISA Server Konfigurationsdatenbank Übersichtliche „Top-Down“ Firewall-Konfiguration Alle Regeln werden in einem Fenster dargestellt Abarbeitung der Regel erfolgt von “Oben” nach “Unten” Unterteilung zwischen System- und Firewall Policy Ziel Network Ziel IP Domain Namen URLs Benutzer Gruppen Anonym Zulassen Verweigern Aktion auf Verkehr von Wem von Quelle nach Ziel mit Bedingung Protokol IP Port / Typ Quell Netzwerk Quell IP Applikations Filterung Server Veröffentlichung Web Veröffentlichung Zeit

28 ISA 2004 Firewall-Konfiguration Firewall Regel Konfiguration
<Vortragstitel> ISA 2004 Firewall-Konfiguration Firewall Regel Konfiguration Die unterschiedlichen Regeltypen Access Rules (Web-) Server Publishing Rules (Web-) Server Publishing Rules Access Rules Access Rules (Public) NAT (Private) IP-Routing Internes Netzwerk Internet ISA Server

29 <Vortragstitel>
Das Problem Traditionelle Firewalls haben “packet filtering” & “stateful inspection” im Fokus Heutige Attacken umgehen dies Ports & Protokollen nicht länger trauen Port 80 gestern — nur Web browsing Port 80 heute — Web browsing, OWA, MSN Messenger, XML Web Services… Packet filtering & stateful inspection sind nicht ausreichend gegen heutige Attacken!

30 Application-layer Firewalls sind notwendig!
<Vortragstitel> Application-layer Firewalls sind notwendig! Ermöglichen tiefere Untersuchung des Inhalts von Paketen Verstehen, was wirklich im Datenteil eines Pakets steckt! Internet Application-layer Firewall Traditionelle Firewall Zum internen Netzwerk

31 Anwendungsfilterung mit ISA Server 2004
<Vortragstitel> Anwendungsfilterung mit ISA Server 2004 Anwendungsfilter Mitgeliefert für einige Standardprotokolle: HTTP, SMTP, RPC, FTP, H.323, DNS, POP3, Streaming media Erweiterbare Architektur HTTP Filter – auch für “embedded” Protokolle Schutz des eingehenden Netzwerkverkehrs Exchange OWA, IIS, SharePoint, … Schutz des ausgehenden Netzwerkverkehrs “embedded” Protokolle SMTP Filter + “SMTP Message Screener”

32 <Vortragstitel>
Demo Internet Security & Acceleration Server 2004 Application Layer Filtering

33 ISA Server 2004 VPN-Dienste
<Vortragstitel> ISA Server 2004 VPN-Dienste Wurm Infektion übers Internet Internet VPN-Client VPN-Server Wurm Infektion übers VPN VPN-Clients „können“ ein großes Sicherheitsrisiko darstellen Firewall wird meistens durch den VPN-Kanal komplett getunnelt Infizierte Rechner haben somit Zugriff auf das interne Netzwerk Die „Sicherheit“ jedes VPN-Clients muss bedacht werden!! Sicherheitsupdates, Desktop-Firewall, Hardening, Virenscanner, … Kontrolle der VPN-Clients ist besser als blindes Vertrauen 

34 ISA Server 2004 VPN-Dienste VPN Quarantäne-Überprüfung!
<Vortragstitel> ISA Server 2004 VPN-Dienste VPN Quarantäne-Überprüfung! Wurm Infektion übers Internet Wurm geblockt! Internet VPN-Client ISA Server Wurm Infektion übers VPN Quarantäne-Ressourcen Untersuchung der Client-Konfiguration bei der Einwahl Sicherheitslücken des VPN-Clients werden hierbei aufgespürt „Unsichere“ Clients werden in „Quarantäne“ gehalten Zugriff auf ausgewählte Ressourcen ist hierbei möglich FAQ-Website, aktuellen Virensignaturen und Updates Nur „sichere“ Clients gelangen ins interne Netzwerk

35 ISA Server 2004 VPN-Dienste VPN Quarantäne-Überprüfung! So geht’s...
<Vortragstitel> ISA Server 2004 VPN-Dienste VPN Quarantäne-Überprüfung! So geht’s... Internet VPN Client ISA Server 2004 Quarantäne Ressourcen Connect Authenticate Authorize + Set Quarantäne + Normal Filter Quarantine Access X Policy Check Set Normal Filter Normal Access

36 <Vortragstitel>
Demo Internet Security & Acceleration Server 2004 VPN Quarantäne

37 ISA 2004 Enterprise Edition Features
<Vortragstitel> ISA 2004 Enterprise Edition Features Enterprise Management Array Unterstützung Network Load Balancing keine AD Abhängigkeit, kann aber weiterhin benutzt werden… Benutzer/Gruppen Datenbank “Credential store” “Certificate authority” “Domain controller”…

38 <Vortragstitel>
Sicherheits-Roadmap Erweiterter Support Monatliche Patchveröffentlichung SMS 2003 Grundlegende Anleitungen Unterstützung von Communities 2003 Windows XP Service Pack 2 Patching Technology Improvements (MSI 3.0) ISA Server 2004 Standard Edition Operations Manager 2005 2004 Windows Server 2003 Service Pack 1 ISA Server 2004 Enterprise Edition Visual Studio 2005 “Whidbey” Windows Update Services / “Microsoft Update” Windows Rights Management Services SP1 2005 Advanced Client Inspection Vulnerability Assessment & Remediation Active Protection Technologies Network Access Protection Zukunft

39 <Vortragstitel>
Links Microsoft Deutschland Microsoft Technet Windows Server System Security Guidance Center Deutsche ISA User Group

40 <Vortragstitel>

41 Frohe Weihnachten ...und einen guten Rutsch!

42 <Vortragstitel>