Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Thorsten Rood Principal Architect, MCITP, MCSE-M/-S, CCIA net.workers AG (Controlware Gruppe)

Ähnliche Präsentationen


Präsentation zum Thema: "Thorsten Rood Principal Architect, MCITP, MCSE-M/-S, CCIA net.workers AG (Controlware Gruppe)"—  Präsentation transkript:

1 Thorsten Rood Principal Architect, MCITP, MCSE-M/-S, CCIA net.workers AG (Controlware Gruppe)

2 Situationsbeschreibung Die neue Ära des Central Computing Fallstudie Zweifaktoren-Authentifizierung Windows Server 2008 Terminaldienste ISA Server 2006 Komponenten Architektur Demo Systemlösung

3 Hr. Barnes, Leiter der Netzwerkabteilung Web 2.0 Verfechter/Enthusiast, Keine VPN-Anbindung für unbekannte Endgeräte Hr. Schneider, Vertriebsleiter Direktkundengeschäft Die Aufgabe: Zugriff auf neues CRM-Modul für Vertriebsaußen- dienst und freie Makler binnen einer 1 Woche (#350 Benutzer) Fr. Piepenbrink, Leiterin Benutzerservice und IT-Logistik Keine Strategie für Softwarebereitstellung an Heimarbeitsplätzen, Versorgung der Firmen-Laptops benötigt Vorlauf und Zeit Hr. Scott, Sicherheitsbeauftragter im Konzernstab Das ist mehr als nur OWA: keine Replikation vertraulicher Kundendaten auf entfernte Systeme, starke Authentifizierung für den Zugriff auf Konzerneigentum

4 Kurze Reaktionszeiten, hohe Erwartungshaltung (SOA) Häufige Anwendungsaktualisierungen (Updates) Systemvoraussetzungen (Rüstkosten) Netzlastige Client-/Serverprotokolle (Bandbreite) Funktional begrenzte Web-Benutzerschnittstellen Replizierte vertrauliche Daten (Diebstahl, Komplexität) Schwache Benutzerkennwörter und Richtlinien Freie Gerätewahl (Laptops, Heimarbeitsplätze, Kooperationsrechner, öffentliche Terminals) Branchenspezifische formale Anforderungen Hr. Klein, Anwendungs- und Infrastrukturexperte Terminalservices sind erwachsen geworden: Mit WS08 können wir alle Grundfunktionen in wenigen Tagen realisieren – mit Bordmitteln!

5 Sichere mobile Anwendungen ISA WS F/ OTP Funktionalität Schutz Authentizität Integrität Mobilität ad-hoc Bereitstellung

6 { Zweifaktoren- Authentifizierung }

7 Starke eindeutige Identifikation Kombination aus Besitz und Wissen Beide Faktoren nur zusammen nutzbar Erlaubt schwache Windows- Anmeldeinformationen, wenn als Primärschutz eingesetzt Beispiele Bankkarten (Magnetstreifen & PIN) Smartcard (Chip & PIN) USB-Token (Smartcard über USB & PIN) Schlüsselanhänger, PDA-Software (Eigenständige HW & PIN) Keine Voraussetzungen für das Endgerät! Hybride Produktlösungen

8 Wählbare Geräte-PIN in Benutzerbesitz Gerätespezifische Tokencode-Sequenz Einmalpasswort (OTP): Verkettung von PIN und Tokencode = Jedes OTP verfällt nach Authentifizierung Jeder Tokencode verfällt bei Anmeldeversuch Zentraler Serverdienst entscheidet über Benutzer, Token(code)s und PINs

9 Verschiedene Patentgrundlagen Integrationsvoraussetzungen RADIUS-Schnittstelle (100% aller Hersteller) RSA SecurID New PIN und Next Token erfordert API-Konformität

10 { Windows Server 2008 Terminaldienste }

11 WS03R2 Alle bekannten TS Plattform- funktionen Lastver- teilung Integrierte Farmlogik Sitzungs- verzeichni s (TSSD) Remote App Kein Desktop- design TS Easy Print TS Web Access (TSWA) Web- browser- oberfläche An- wendungs- portal TS Gateway (TSG) Sicherer externer Zugriff Richtlinien

12 IE & RDP 6.x TSSD DC Last- verteiler TSG TSWA TS-Farm PerimeterInternetBackbone https LDAP TLS RDP WMI

13 Farmlogik Kernbestandteil der Terminalservices Integrierte Wartungsfunktion Keine Enterprise Serverlizenzen erforderlich Kein NLB erforderlich Hardware-Unterstützung optional Sitzungsverzeichnis speichert nun Serverlasten und getrennte Verbindungen

14 Umgebender Desktop entfällt Intuitive Benutzerführung bei Rich Client Größendynamische, verschiebbare Fenster Infobereich TS Easy Print (treiberloses Drucken, alle clientseitigen Sonderfunktionen) Desktop Composition Support (Areo) für Vista Anwendungsliste für MSI und TSWA

15 Terminal- server Gestern Heute RDP 5.2 RDP 6.1

16 IIS7: dynamische Anwendungsliste (ASP.NET Webpart) Grundsicherheit Standard https Verschlüsselung Windows Authentifizierung Kein Download von.rdp Dateien (Instanziierung durch JavaScript) Signierter.rdp Inhalt (vertrauenswürdige, unmodifizierte Parametrisierung) Startet direkt die Remotedesktopverbindung Desktop-Zugriffsszenario frei anpassbar

17

18 IIS7 PlugIn: TLS-Verschlüsselung für Remotedesktopverbindung RDP-über-https Weiterentwicklung der Outlook Anywhere- Architektur Standardprotokoll und Port Keine statische öffentliche IP erforderlich Verbindungs- und Ressourcenrichtlinien NAP-Prüfung optional Erlaubt Zugang zu mehreren Terminalservern, -farmen und PC-Desktops über eine einzige IP-Adresse

19 TSG Resource Authoritzation Policy Benutzerausschlüsse Serverausschlüsse Ports Terminal- server RpcProxy.dll Connection Authorization Policy SoH (NAP) Authentifizierungstyp Geräteumleitung Benutzerausschlüsse Clientausschlüsse Connection Authorization Policy SoH (NAP) Authentifizierungstyp Geräteumleitung Benutzerausschlüsse Clientausschlüsse IIS7 Bei öffentlichen Clients SoH ggf. sparsam einsetzen!

20 { ISA Server 2006 (Forefront Edge) }

21 Vollständige http(s) Behandlung auf Layer 7 Geht weit über NAT/PAT hinaus: Reverse Proxying Komplexe Protokollprüfung auf Ebene von URL, Methode und Inhalt Automatische Hyperlink-Anpassung: einzelne externe Hostadresse für den Zugriff auf verteilte interne Webdienste im Backend SSL-Terminierung und/oder -Überbrückung, Kostenreduktion bei öffentlichen Zertifikaten Erlaubt den Umzug von Domänenmitgliedern aus dem Perimeter (TSWA und TSG) in das Backbone

22 Perimeter/Backbone Internet ISA MSX TSWA/TSG WSS/SPS /ts/* /rpc/* /* /owa/* /public/* /exchange/* /exchweb/* firma.de Filter: http(s) Überbrückung, Inhalt, Methode, Pfad, … Client

23 Identitätsprüfung vor Inhaltszugriff Drittanbieteroptionen: LDAP, RADIUS, OTP-RADIUS und nativ RSA SecurID Individuelle Anpassung des Anmelde-Layout möglich Nur eine einzige anonyme URL: CookieAuth.dll Alle relevanten Anfragen werden vom ISA geprüft Identitätserzwingung am Backend ermöglicht SSO (Credential delegation) Verifikation des Benutzerstatus über temporären Cookie ISA Hotfix erlaubt skriptbasierten Zugriff auf Cookie (RDP ActiveX in bridged scenarios) cscript DisableHttpOnlyAuthCookies.vbs /WebListener:NameofWebListener /Value:False

24 ISA TSWA Client DC RADIUS/RSA Cookie Auth.dll Perimeter/Backbone Internet Anfrage Cookie-Prüfung, Identitäts- erzwingung

25 { Wie alles ineinander greift… }

26 DC & IAS TSWA/TSG TSSD TS-Farm ISA Internet Backbone Client WMI/ RDP RPC https/ RPC-over- https LDAP RADIUS/ LDAP https/ TLS Auch WS03 möglich

27 Härtung Strenge Begrenzung der zulässigen http(s) Anfragen Kein direkter Zugriff mehr auf TSWA und insbesondere TSG (unterstützt keine 3 rd -Party Authentifizierung) Sicherheit Zugang nur mit OTP und Domänenanmeldung Keine zusätzlichen Domänenmitgliedsserver im Perimeter-Bereich Nebeneffekt: ein Perimeternetzwerk ist nicht mehr zwingend erforderlich Ergonomie und Funktion Inline-Login im TSWA-Stil, keine Anmeldedialogboxen Anwendungszugriff von Systemen mit RDP 6.1 Client ohne Vorbereitungen Nebeneffekt: auch OWA nun OTP-befähigt

28 { Wie alles ineinander greift… } Thorsten Rood Principal Architect net.workers AG

29 Whitepaper: Einmalpasswortschutz für WS08-TSWA ISA Server 2006 form: Inline Anmeldung für WS08-TSWA WS08: TS Session Broker Lastverteilung 9c74-77f5-4bba-a6b9-433d823bbfbd1033.mspx WS08: TS Remote App …/library/61d24255-dad1-4fd2-b4a3-a91a22973def1033.mspx WS08: TS Einrichtung von NLB …/library/6e3fc3a6-ef42-41cf-afed-602a60f mspx ISA2K6: skriptbasierter Zugriff auf Cookies Kontakt /

30 { Was noch nicht gesagt wurde… } Thorsten Rood Principal Architect net.workers AG

31 Thorsten Rood Principal Architect net.workers AG

32 Windows Server 2008 Tech Center fault.mspx fault.mspx Windows Server 2008 Webcasts: Windows Server 2008 Produktseite: Microsoft Virtualization:

33 Wir freuen uns auf Ihre Fragen: Technische Experten stehen Ihnen während der gesamten Veranstaltung in der Haupthalle zur Verfügung.

34 © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.


Herunterladen ppt "Thorsten Rood Principal Architect, MCITP, MCSE-M/-S, CCIA net.workers AG (Controlware Gruppe)"

Ähnliche Präsentationen


Google-Anzeigen