Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Daniel Melanchthon Security Evangelist Microsoft Deutschland GmbH

Ähnliche Präsentationen


Präsentation zum Thema: "Daniel Melanchthon Security Evangelist Microsoft Deutschland GmbH"—  Präsentation transkript:

1 Daniel Melanchthon Security Evangelist Microsoft Deutschland GmbH

2 Einführung Stärkerer Schutz Network Access Protection Server und Domain Isolation Sichere Anbindung von Zweigstellen Bessere Kontrolle Erweiterten Gruppenrichtlinien Granularere Passwortkontrolle Sicherer Schutz BitLocker Drive Encryption Rights Management Server

3 Einführung Stärkerer Schutz Network Access Protection Server und Domain Isolation Sichere Anbindung von Zweigstellen Bessere Kontrolle Erweiterten Gruppenrichtlinien Granularere Passwortkontrolle Sicherer Schutz BitLocker Drive Encryption Rights Management Server

4 DD D Reduktion der Schichten mit hohem Risiko Segmentierung der Dienste Erweiterung der Schichten Kernel-mode Treiber D D User-mode Treiber D DD Service 1 Service 2 Service 3 Service … Service … Service A Service B

5 Combined firewall and IPsec management Firewall rules become more intelligent Policy-based networking

6 DO Action = {By-pass | Allow | Block} IF: Protocol = X AND Direction = {In | Out} AND Local TCP/UDP port is in {Port list} AND Remote TCP/UDP port is in {Port list} AND ICMP type code is in {ICMP type-code list} AND Interface NIC is in {Interface ID list} AND Interface type is in {Interface types list} AND Local address is found in {Address list} AND Remote address is found in {Address list} AND Application = AND Service SID = AND Require authentication = {TRUE | FALSE} AND Require encryption = {TRUE | FALSE} AND Remote user has access in {SDDL} AND Remote computer has access in {SDDL} AND OS version is in {Platform List}

7 Dienste arbeiten mit verringerten Berechtigungen Windows-Dienste sind für erlaubte Aktionen im Netz, am Dateisystem und an der Registry profiliert Verhinderung von Einrbuchsversuchen durch Schadsoftware, über Windows Dienste Härtung der Dienste Active Protection Dateisystem Registry Netzwerk

8 Nicht richtlinien- konform 1 Einge- schränktes Netzwerk Client bittet um Zugang zum Netzwerk und präsentiert seinen gegenwärtigen Gesundheitszustand 1 4 Falls nicht richtlinien-konform, wird Client in ein eingeschränktes VLAN umgeleitet und erhält Zugriff auf Ressourcen wie Patches, Konfigurationen und Signaturen 2 DHCP, VPN oder Switch/Router leitet Gesundheitszustand an Microsoft Network Policy-Server (RADIUS-basierend) weiter 5 Bei Richtlinien-Konformität wird dem Client der vollständige Zugang zum Unternehmensnetz gewährt MSFT NPS 3 Policy Server z.B. Patch, AV Richtlinien- konform 3 Network Policy Server (NPS) validiert diesen mit der von der Unternehmens-IT definierten Gesundheitsrichtlinie 2 Windows- Client DHCP, VPN, Switch/Router Fix-Up- Server z.B. Patch Unternehmensnetz 5 4

9 3 3 Prüfen des Netzwerk- zugriffs (Computer) Lokale Policy User versucht auf Ablage zuzugreifen. IKE Aushandlung beginnt IKE erfolgreich, User AuthN findet statt Computer und User Authentisierung und Authentifizierung 6 6 Berechtigungen der Freigabe Zugriff erlaubt oder verweigert (ACL) 5 5 Prüfen des Netwerk- zugriffs (User) Local Policy

10 Segmentiert dynamisch Windows ® Umgebungen in sicherere und isolierte logische Netzwerke basierend auf Policies Labs Unmanaged guests Server Isolation Domain Isolation Schützt verwaltete Computer vor unverwaltete oder bösartige Computer und Benutzer Schützt spezifische Server und Daten

11 Writeable DC Secure Location HUBBranch Read-Only DC Read-Only DNS One-way Replication Credential Cache Local Admin Role Read-only Kopie der AD Datenbank Alle Verzeichnisobjekte & Attribute Verwaltet read-only Kopie der DNS-Zonen Unidirectionale Replikation Keine lokalen Änderungen Kontrollierte Replikation (Bandbreitenlimit) Credential Handling User Password Cache (explizit einzustellen) Admin kennt Accounts bei Kompromittierung RODC stellt lokale Auth Tickets aus Separieren der administrativen Rollen Management delegierbar an lokale User

12 Branch Hub Read Only DC 2.RODC: Looks in DB: "I don't have the users secrets" 3.Forwards Request to Windows Server "Longhorn" DC 4.Windows Server "Longhorn" DC authenticates request 5.Returns authentication response and TGT back to the RODC 6.RODC gives TGT to User and RODC will cache credentials 1.AS_Req sent to RODC (request for TGT) Windows Server 2008 DC At this point the user will have a hub signed TGT 77 77

13 Perspektive des Angreifers Perspektive des Administrators

14 Terminal Server Entfernte Programe integriert im lokalen ComputerEntfernte Programe integriert im lokalen Computer Zentrale Konfiguration auf Terminal Server mit der Terminal Server Configuration ConsoleZentrale Konfiguration auf Terminal Server mit der Terminal Server Configuration Console Entfernte Programe integriert im lokalen ComputerEntfernte Programe integriert im lokalen Computer Zentrale Konfiguration auf Terminal Server mit der Terminal Server Configuration ConsoleZentrale Konfiguration auf Terminal Server mit der Terminal Server Configuration Console RemoteApp Konsole stellt Anwendungen zur VerfügungRemoteApp Konsole stellt Anwendungen zur Verfügung Auch Benutzt zur Publizierung für TS Web AccessAuch Benutzt zur Publizierung für TS Web Access RemoteApp Konsole stellt Anwendungen zur VerfügungRemoteApp Konsole stellt Anwendungen zur Verfügung Auch Benutzt zur Publizierung für TS Web AccessAuch Benutzt zur Publizierung für TS Web Access Programme sehen wie lokal ausgeführte Anwendungen ausProgramme sehen wie lokal ausgeführte Anwendungen aus Nur unterstützt ab Remote Desktop Client (RDC) 6.1Nur unterstützt ab Remote Desktop Client (RDC) 6.1 Remote Desktop client required

15 Mit RDP erreichbare Ziele hinter Firewall HTTPS zur Überwindung von NAT/Firewalls vom Client AD/ISA/NAP-Tests bevor die Verbindung erlaubt Remote Desktop Connection Client 6.x AD/NPS/NAP User navigiert zu TS Web Access User initiiert HTTP/S Verbindung an TS Gateway Terminal Servers oder Windows ® XP/Vista TS Gateway TS Web Access Internet DMZInternes Netzwerk RDP over HTTP/S Verbindung hergestellt zu TSG RDP 3389 an Host AD/NPS/NAP Prüfung Windows Vista ® RDC (TS) Client

16 Zugriff auf entfernte Anwendungen über TS Web Access Server

17 Einführung Stärkerer Schutz Network Access Protection Server und Domain Isolation Sichere Anbindung von Zweigstellen Bessere Kontrolle Erweiterten Gruppenrichtlinien Granularere Passwortkontrolle Sicherer Schutz BitLocker Drive Encryption Rights Management Server

18 Geräte Treiber Geräte Identifikationstrings Geräte Setupklassen

19 Plug and Play Smart Cards Treiber und Certificate Service Provider (CSP) Loginfenster und User Account Control unterstützen Smart Cards Neue Logon-Architektur Keine GINA (das alte Windows Logon Modell) 3 rd Parties: Biometrik, One-Time Password Tokens und andere Authentifizierungsmethoden Passwort Policies Passwort Policies für Benutzer und/oder Gruppen Unterschiedlichen Policies in einer Domäne

20 Einführung Stärkerer Schutz Network Access Protection Server und Domain Isolation Sichere Anbindung von Zweigstellen Bessere Kontrolle Erweiterten Gruppenrichtlinien Granularere Passwortkontrolle Sicherer Schutz BitLocker Drive Encryption Rights Management Server

21 Wovor wollen Sie sich schützen? Andere Benutzer oder Administratoren am PC: EFS Unauthorisierte Benutzer mit lokalem Zugriff: BitLocker

22 Schützt bei Diebstahl oder Verlust, wenn der PC mit einem anderen Betriebs- system gestartet wird oder ein Hacking-Tool zur Umgehung der Windows- Sicherheit eingesetzt wird Bietet Schutz der Daten auf einem Windows-Client, selbst wenn sich der PC in falschen Händen befindet oder ein anderes Betriebs- system ausgeführt wird TPM v1.2 oder USB-Stick zur Schlüsselablage BitLocker BitLocker

23 Boot Windows Partition > Verschlüsseltes Betriebsystem > Verschlüsselte Auslagerungsdatei > Verschlüsselte temporäre Dateien > Verschlüsselte Daten > Verschlüsseltes Hibernation File Boot Partition: MBR, Loader, Boot Utilities (Unverschlüsselt, 1,5 GB klein) Wo ist der Verschlüsselungsschlüssel? 1.SRK (Storage Root Key) im TPM 2.SRK verschlüsselt VEK (Volume Encryption Key) geschützt durch TPM/PIN/Dongle 3.VEK gespeichert (verschlüsselt durch SRK) auf der Festplatte in der Boot Partition VEK 2 3 Windows SRK 1

24 BDE bietet ein Spektrum der Absicherung, das Kunden die Abwägung zwischen einfacher Benutzbarkeit und Systemsicherheit ermöglicht!*******

25

26

27 1 3 Linux-Fehlermeldungen für Bitlocker Laufwerk 1.fdisk liest Partitionstabelle und erkennt /dev/sda2 als NTFS-Partition 2.Falscher FS-Typ: Bad option, bad superblock on /dev/sda2, missing codepage oder andere Fehlermeldungen 3.Primärer Bootsektor ist ungültig: Kein NTFS Volume 2

28 Information AuthorThe Recipient RMS Server SQL Server Active Directory AD RMS schützt Zugriff auf digitale Dateien der Organisation AD RMS in Windows Server 2008 enthält einige neue Features Verbesserte Installation und administrative Erfahrung Self-Enrollment von AD RMS Cluster Integration mit AD FS Neue AD RMS administrative Rollen

29

30

31 Funktion AD RMS S/MIME Signing S/MIME Encryption ACLsEFS Bescheinigt die Identität des veröffentlichers Unterscheidet Berechtigungen per Benutzer Verhindert unerlaubtes Anzeigen Verschlüsselt geschützte Inhalte Definition eines Verfallsdatum Kontrolliert lesen, weiterleiten, speichern, ändern oder drucken per Benutzer * Erweitert den Schutz über den Veröffentlichungsort hinaus * * Mit Einschränkungen

32 Microsoft Network Access Protection Network Access Protection Platform Architektur Server und Domain Isolation Webseite auf Microsoft TechNet o/default.mspx

33

34 { demo title } Name Title Group


Herunterladen ppt "Daniel Melanchthon Security Evangelist Microsoft Deutschland GmbH"

Ähnliche Präsentationen


Google-Anzeigen