Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Windows Server 2008 { Security }

Veröffentlicht von:Hampe Kennebeck Geändert vor über 10 Jahren

Ähnliche Präsentationen

Präsentation zum Thema: "Windows Server 2008 { Security }"—  Präsentation transkript:

1 Windows Server 2008 { Security }
3/28/2017 8:11 PM Windows Server 2008 { Security } Daniel Melanchthon Security Evangelist Microsoft Deutschland GmbH © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

2 { Agenda } Einführung Stärkerer Schutz Bessere Kontrolle
3/28/2017 8:11 PM { Agenda } Einführung Stärkerer Schutz Network Access Protection Server und Domain Isolation Sichere Anbindung von Zweigstellen Bessere Kontrolle Erweiterten Gruppenrichtlinien Granularere Passwortkontrolle Sicherer Schutz BitLocker™ Drive Encryption Rights Management Server © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

3 { Agenda } Einführung Stärkerer Schutz Bessere Kontrolle
3/28/2017 8:11 PM { Agenda } Einführung Stärkerer Schutz Network Access Protection Server und Domain Isolation Sichere Anbindung von Zweigstellen Bessere Kontrolle Erweiterten Gruppenrichtlinien Granularere Passwortkontrolle Sicherer Schutz BitLocker™ Drive Encryption Rights Management Server © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

4 Härtung der Windows Dienste
Microsoft TechNet Seminar 2006 Härtung der Windows Dienste Reduktion der Schichten mit hohem Risiko Segmentierung der Dienste Erweiterung der Schichten D D Service Service 1 Service … Service 2 Service A Service 3 Service B D Kernel-mode Treiber D User-mode Treiber Seminar Name 4

5 Windows Server Firewall
3/28/2017 8:11 PM Windows Server Firewall Policy-based networking Firewall rules become more intelligent Combined firewall and IPsec management

6 Eine Firewall Regel… DO Action = {By-pass | Allow | Block} IF: Protocol = X AND Direction = {In | Out} AND Local TCP/UDP port is in {Port list} AND Remote TCP/UDP port is in {Port list} AND ICMP type code is in {ICMP type-code list} AND Interface NIC is in {Interface ID list} AND Interface type is in {Interface types list} AND Local address is found in {Address list} AND Remote address is found in {Address list} AND Application = <Path> AND Service SID = <Service Short Name> AND Require authentication = {TRUE | FALSE} AND Require encryption = {TRUE | FALSE} AND Remote user has access in {SDDL} AND Remote computer has access in {SDDL} AND OS version is in {Platform List}

7 Härtung der Windows Dienste
Microsoft TechNet Seminar 2006 Härtung der Windows Dienste Dienste arbeiten mit verringerten Berechtigungen Windows-Dienste sind für erlaubte Aktionen im Netz, am Dateisystem und an der Registry profiliert Verhinderung von Einrbuchsversuchen durch Schadsoftware, über Windows Dienste Härtung der Dienste Dateisystem Registry Active Protection Netzwerk Seminar Name

8 Netzwerkzugriffsschutz
Policy Server z.B. Patch, AV 3 DHCP, VPN, Switch/Router 1 2 MSFT NPS Nicht richtlinien-konform Einge- schränktes Netzwerk 4 Fix-Up- Server z.B. Patch Windows- Client Richtlinien-konform Client bittet um Zugang zum Netzwerk und präsentiert seinen gegenwärtigen „Gesundheitszustand“ 1 5 Unternehmensnetz 2 DHCP, VPN oder Switch/Router leitet Gesundheitszustand an Microsoft Network Policy-Server (RADIUS-basierend) weiter 3 Network Policy Server (NPS) validiert diesen mit der von der Unternehmens-IT definierten „Gesundheitsrichtlinie“ 4 Falls nicht richtlinien-konform, wird Client in ein eingeschränktes VLAN umgeleitet und erhält Zugriff auf Ressourcen wie Patches, Konfigurationen und Signaturen 5 Bei Richtlinien-Konformität wird dem Client der vollständige Zugang zum Unternehmensnetz gewährt INF210

9 Server & Domain Isolation
3/28/2017 8:11 PM Server & Domain Isolation 6 Berechtigungen der Freigabe Zugriff erlaubt oder verweigert (ACL) Computer und User Authentisierung und Authentifizierung 1 User versucht auf Ablage zuzugreifen. 5 Prüfen des Netwerk- zugriffs (User) Local Policy 3 Prüfen des Netzwerk- zugriffs (Computer) Lokale Policy IKE Aushandlung beginnt 2 4 IKE erfolgreich, User AuthN findet statt © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

10 Server & Domain Isolation
Segmentiert dynamisch Windows® Umgebungen in sicherere und isolierte logische Netzwerke basierend auf Policies Labs Unmanaged guests Server Isolation Schützt spezifische Server und Daten Schützt verwaltete Computer vor unverwaltete oder bösartige Computer und Benutzer Domain Isolation

11 Read-Only Domain Controller
 Writeable DC  Secure Location HUB Read-only Kopie der AD Datenbank Alle Verzeichnisobjekte & Attribute Verwaltet read-only Kopie der DNS-Zonen Unidirectionale Replikation Keine lokalen Änderungen Kontrollierte Replikation (Bandbreitenlimit) Credential Handling User Password Cache (explizit einzustellen) Admin kennt Accounts bei Kompromittierung RODC stellt lokale Auth Tickets aus Branch  Read-Only DC  Read-Only DNS  One-way Replication  Credential Cache  Local Admin Role Separieren der administrativen Rollen Management delegierbar an lokale User

12 Wie ein RODC arbeitet Hub Branch AS_Req sent to RODC (request for TGT)
3/28/2017 8:11 PM Wie ein RODC arbeitet AS_Req sent to RODC (request for TGT) 1 2 RODC: Looks in DB: "I don't have the users secrets" Hub Branch Forwards Request to Windows Server "Longhorn" DC 3 Windows Server 2008 DC 3 Read Only DC Windows Server "Longhorn" DC authenticates request 4 2 4 5 6 7 Returns authentication response and TGT back to the RODC 5 1 RODC gives TGT to User and RODC will cache credentials 6 6 At this point the user will have a hub signed TGT 7

13 Gestohlener RODC vs. DC Perspektive des Administrators
3/28/2017 8:11 PM Gestohlener RODC vs. DC Perspektive des Angreifers Perspektive des Administrators

14 Terminal Services RemoteApp
Programme sehen wie lokal ausgeführte Anwendungen aus Nur unterstützt ab Remote Desktop Client (RDC) 6.1 RemoteApp Konsole stellt Anwendungen zur Verfügung Auch Benutzt zur Publizierung für TS Web Access Entfernte Programe integriert im lokalen Computer Zentrale Konfiguration auf Terminal Server mit der Terminal Server Configuration Console Remote Desktop client required Terminal Server

15 TS Gateway Mit RDP erreichbare Ziele hinter Firewall
HTTPS zur Überwindung von NAT/Firewalls vom Client AD/ISA/NAP-Tests bevor die Verbindung erlaubt Remote Desktop Connection Client 6.x AD/NPS/NAP AD/NPS/NAP Prüfung Windows Vista® RDC (TS) Client TS Gateway Terminal Servers oder Windows® XP/Vista RDP over HTTP/S Verbindung hergestellt zu TSG RDP 3389 an Host User initiiert HTTP/S Verbindung an TS Gateway User navigiert zu TS Web Access TS Web Access Internet DMZ Internes Netzwerk

16 TS Web Access Zugriff auf entfernte Anwendungen über TS Web Access Server

17 { Agenda } Einführung Stärkerer Schutz Bessere Kontrolle
3/28/2017 8:11 PM { Agenda } Einführung Stärkerer Schutz Network Access Protection Server und Domain Isolation Sichere Anbindung von Zweigstellen Bessere Kontrolle Erweiterten Gruppenrichtlinien Granularere Passwortkontrolle Sicherer Schutz BitLocker™ Drive Encryption Rights Management Server © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

18 Windows Geräteinstallation
Geräte Treiber Geräte Treiber Geräte Identifikationstrings Geräte Setupklassen

19 Authentifizierung Plug and Play Smart Cards Neue Logon-Architektur
Treiber und Certificate Service Provider (CSP) Loginfenster und User Account Control unterstützen Smart Cards Neue Logon-Architektur Keine GINA (das alte Windows Logon Modell) 3rd Parties: Biometrik, One-Time Password Tokens und andere Authentifizierungsmethoden Passwort Policies Passwort Policies für Benutzer und/oder Gruppen Unterschiedlichen Policies in einer Domäne

20 { Agenda } Einführung Stärkerer Schutz Bessere Kontrolle
3/28/2017 8:11 PM { Agenda } Einführung Stärkerer Schutz Network Access Protection Server und Domain Isolation Sichere Anbindung von Zweigstellen Bessere Kontrolle Erweiterten Gruppenrichtlinien Granularere Passwortkontrolle Sicherer Schutz BitLocker™ Drive Encryption Rights Management Server © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

21 Informationssicherheit
Microsoft TechNet Seminar 2006 Informationssicherheit Wovor wollen Sie sich schützen? Andere Benutzer oder Administratoren am PC: EFS Unauthorisierte Benutzer mit lokalem Zugriff: BitLocker™ Szenario BitLocker EFS RMS Laptop Server in Niederlassung Lokaler Datei- und Verzeichnis-Schutz (Einzelner Anwender) Lokaler Datei- und Verzeichnis-Schutz (Mehrere Anwender) Remote Datei- und Verzeichnis-Schutz Schutz vor Administrator-Zugriff Richtlinien für Informations-Nutzung Seminar Name

22 BitLocker™ Drive Encryption
Microsoft TechNet Seminar 2006 BitLocker™ Drive Encryption Schützt bei Diebstahl oder Verlust, wenn der PC mit einem anderen Betriebs- system gestartet wird oder ein Hacking-Tool zur Umgehung der Windows- Sicherheit eingesetzt wird Bietet Schutz der Daten auf einem Windows-Client, selbst wenn sich der PC in falschen Händen befindet oder ein anderes Betriebs- system ausgeführt wird TPM v1.2 oder USB-Stick zur Schlüsselablage BitLocker Seminar Name

23 Disk Layout & Schlüsselspeicher
Windows Partition Verschlüsseltes Betriebsystem Verschlüsselte Auslagerungsdatei Verschlüsselte temporäre Dateien Verschlüsselte Daten Verschlüsseltes Hibernation File Wo ist der Verschlüsselungsschlüssel? SRK (Storage Root Key) im TPM SRK verschlüsselt VEK (Volume Encryption Key) geschützt durch TPM/PIN/Dongle VEK gespeichert (verschlüsselt durch SRK) auf der Festplatte in der Boot Partition SRK VEK 1 2 Windows 3 Boot Boot Partition: MBR, Loader, Boot Utilities (Unverschlüsselt, 1,5 GB klein)

24 Spektrum der Absicherung
Microsoft TechNet Seminar 2006 Spektrum der Absicherung BDE bietet ein Spektrum der Absicherung, das Kunden die Abwägung zwischen einfacher Benutzbarkeit und Systemsicherheit ermöglicht! ******* Seminar Name

25 BitLocker™ in Windows XP

26 BitLocker™ ohne Schlüssel

27 BitLocker™ Laufwerk in Linux
1 3 Linux-Fehlermeldungen für Bitlocker Laufwerk fdisk liest Partitionstabelle und erkennt /dev/sda2 als NTFS-Partition Falscher FS-Typ: Bad option, bad superblock on /dev/sda2, missing codepage oder andere Fehlermeldungen Primärer Bootsektor ist ungültig: Kein NTFS Volume 2

28 AD Rights Management Services
3/28/2017 8:11 PM AD Rights Management Services AD RMS schützt Zugriff auf digitale Dateien der Organisation AD RMS in Windows Server enthält einige neue Features Verbesserte Installation und administrative Erfahrung Self-Enrollment von AD RMS Cluster Integration mit AD FS Neue AD RMS administrative Rollen SQL Server Active Directory RMS Server 1 3 2 Information Author The Recipient

29 AD RMS schützt nicht vor ...

30

31 Vergleich der Technologien zur Informationssicherung
Funktion AD RMS S/MIME Signing S/MIME Encryption ACLs EFS Bescheinigt die Identität des veröffentlichers ü Unterscheidet Berechtigungen per Benutzer Verhindert unerlaubtes Anzeigen Verschlüsselt geschützte Inhalte Definition eines Verfallsdatum Kontrolliert lesen, weiterleiten, speichern, ändern oder drucken per Benutzer ü* Erweitert den Schutz über den Veröffentlichungsort hinaus * Mit Einschränkungen

32 Weitere Informationen
Microsoft Network Access Protection Network Access Protection Platform Architektur Server und Domain Isolation Webseite auf Microsoft TechNet

33 Microsoft TechNet Seminar 2006
Seminar Name

34 Demo { demo title } Name Title Group 3/28/2017 8:11 PM
© 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

Herunterladen ppt "Windows Server 2008 { Security }"

Ähnliche Präsentationen

Aufbau eines Netzwerkes

Aufbau eines Netzwerkes
Be.as WEB Technologie 25.03.2017.

Be.as WEB Technologie
Workspace Management für Windows

Workspace Management für Windows
Was gibt´s neues im Bereich Sicherheit

Was gibt´s neues im Bereich Sicherheit
Sichere Anbindung kleiner Netze ans Internet

Sichere Anbindung kleiner Netze ans Internet
10 gute Gründe zur Vorbereitung auf Windows Server Codename „Longhorn“

10 gute Gründe zur Vorbereitung auf Windows Server Codename „Longhorn“
Haftungsausschluss Bitte beachten Sie, dass es bei diesem Vortrag um Pre-Release Software geht. Bitte beachten Sie, dass es bei diesem Vortrag um Pre-Release.

Haftungsausschluss Bitte beachten Sie, dass es bei diesem Vortrag um Pre-Release Software geht. Bitte beachten Sie, dass es bei diesem Vortrag um Pre-Release.
Funktionserweiterungen für den ISA Server 2000 mit dem Feature Pack 1 Funktionserweiterungen für den ISA Server 2000 mit dem Feature Pack 1 Christian Thor.

Funktionserweiterungen für den ISA Server 2000 mit dem Feature Pack 1 Funktionserweiterungen für den ISA Server 2000 mit dem Feature Pack 1 Christian Thor.
Sicherheit als Geschäftsmodell

Sicherheit als Geschäftsmodell
Systemverwaltung wie es Ihnen gefällt.

Systemverwaltung wie es Ihnen gefällt.
Projekt Netzwerk von Tobias Dickel, Moritz Gesing, Daniel Jochem, Matthias Meister, Marc Nue und Moritz Raasch.

Projekt Netzwerk von Tobias Dickel, Moritz Gesing, Daniel Jochem, Matthias Meister, Marc Nue und Moritz Raasch.
Windows auf öffentlichen PCs

Windows auf öffentlichen PCs
Erweiterung B2B Usermanagement / LDAP-Anbindung

Erweiterung B2B Usermanagement / LDAP-Anbindung
Sicherheit und Personalisierung Internet Portal der Universität München.

Sicherheit und Personalisierung Internet Portal der Universität München.
Client-Server-Architekturen

Client-Server-Architekturen
Virtual Private Networks

Virtual Private Networks
Einführung in die Technik des Internets

Einführung in die Technik des Internets
Virtual Private Networks

Virtual Private Networks
Workshop: Active Directory

Workshop: Active Directory
Geschäftsergebnisse & neue Werte Anwender- Produktivität Kunden- beziehung Das Geschäft am Laufen halten Sicherheit Wettbewerb Technologischer Fortschritt.

Geschäftsergebnisse & neue Werte Anwender- Produktivität Kunden- beziehung Das Geschäft am Laufen halten Sicherheit Wettbewerb Technologischer Fortschritt.

Ähnliche Präsentationen

Google-Anzeigen