Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Ralf Feest Director Enterprise Services AddOn (Schweiz) AG.

Ähnliche Präsentationen


Präsentation zum Thema: "Ralf Feest Director Enterprise Services AddOn (Schweiz) AG."—  Präsentation transkript:

1 Ralf Feest Director Enterprise Services AddOn (Schweiz) AG

2 AddOn (Schweiz) AG, Zürich IT-Dienstleistungsunternehmen, Microsoft Trainingscenter Consulting, Projekte, Support NT-Anwendergruppe Europas grösste Microsoft User Group Infos und IT-Diskussionsforum auf dem Web 3 mal/Jahr Treffen in Zürich mit Vorträgen kostenfreie Mitgliedschaft: Spezialseminare für IT-Profis

3 Server Core BitLocker Read Only Domain Controller Installationsverfahren für DCs Network Access Protection Kennwortrichtlinien Gruppenrichtlinien für mehr Sicherheit Terminal Services

4

5 Windows Server 2008 ohne GUI Konfiguration: aus Kommandozeile Remote per RPC MsTsc (RDP) Kein File Explorer,.NET Framework, PowerShell, Systemsteuerung, IE, …. Keine GUI konsequent? Nein: Regedit, Notepad, Taskmanager und zwei.cpl sind da

6 File Services (Standard) Print Services DHCP DNS IIS ohne.Net Framework Windows Server Virtualization Media Services Active Directory Services AD LDS (früher: ADAM) Die meisten Fremd- Applikationen laufen nicht unter Server Core

7

8

9 Verschlüsselung eines kompletten Festplatten-Volumes Schlüssel ( bit) kann in TPM 1.2 kompatiblem Chip oder auf USB-Stick abgelegt werden Integritätscheck sperrt ggf. Zugriff auf Festplatte beim Systemstart Wiederherstellungskennwort für Notfall Optimal für Aussenstellen: ServerCore als RODC mit BitLocker

10 Bei Windows 2008: optionale Komponente Server Core: start /w ocsetup BitLocker transparent zu Betriebssystem und Applikationen Disk Performance auf Server: ca. 3-5 % schlechter

11 Der NT4 Backup Domain Controller (BDC) in neuer Verpackung?

12 Zugangsgeschützter Serverraum in der Zentrale Angemietetes Grossraumbüro in der Niederlassung Domain Controller Admin-Kennwort (Hash)

13 Verringerung des Gefahrenpotentials bei Manipulation des Active Directory bei Diebstahl der Active Directory-Datenbank Definition eines lokalen Administrators der keine Berechtigungen im AD hat der nur seinen RODC administrieren darf

14 DC RODC repliziert Daten von … nach … Kenn- wort- Filter

15 DC RODC Benutzer Active Directory weiss, welches Kennwort wo liegt.

16 DC RODC Applikation LDAP- Read LDAP- Write

17 Im Active Directory abfragbar: Hinweis auf Aufnahme in Allow-Gruppe oder

18 Notbremse ziehen: RODC Konto löschen und Konten neue Kennwörter vergeben, bevor Hacker die Hashwerte in Kennwörter zurück rechnet.

19 Voraussetzungen für RODC: Domäne im Win 2003 Forest Functional Level adprep /rodcprep (für Berechtigungen) Ein writable DC muss Windows 2008 sein Ausser Kennwörter können weitere Attribute als confidential markiert werden: Schema Master: searchFlags bearbeiten How-to:

20 Auf einem vollständigen Windows 2008 dcpromo Auf einem Server Core dcpromo mit Antwortdatei Installation delegieren: Konto anlegen Lokaler Admin startet dcpromo /UseExistingAccount:Attach Server darf nicht Mitglied der Domäne sein!

21 Active Directory Domain Services ist eine Rolle dcpromo startet Initialreplikation Alternative für dünne Leitungen: Install AD DS from Media

22

23 Kann ein RODC zu einem anderen RODC replizieren? Nein. Was geht im Branch Office nicht mehr, wenn WAN zu DC ausfälllt? Kennwortänderungen Hinzufügen eines PCs zur Domäne Anmeldung für nicht zw.gespeicherte Konten Hat die ntds.dit des RODC alle Objekte? Ja.

24 Aussenstellen vor internen Gefahren schützen

25 Welchen zusätzlichen Schutz bietet uns NAP? Aktuelle Gefahrensituation:

26 Client erhält erst nach Überprüfung den Zugang zum Intranet NAP Agent (Client) Windows Vista Windows XP SP3 Windows Server 2008 NPS (Network Health Policy Server mit Win 2008) Remediation Server Server und Dienste, die den als nicht sicher eingestuften Computern zur Verfügung stehen

27 Administrator stellt zentral die Regeln auf Ein Client muss bei Zugriff auf das Netzwerk seinen Gesundheitszustand dem NPS zeigen gesund: Zugriff auf das Intranet krank: RichtlinineEinschränkungen bei krankem Client IPsecKein Zugriff auf mit IPsec geschützte Systeme 802.1xeingeschränktes VLAN oder IP packet filter VPNeingeschränktes VLAN DHCPanderer IP Adressbereich/-optionen TS Gatewaykein RDP-Zugang

28 Separate Richtlinien für Aussenstellen

29 Kennwortrichtlinie wird per Gruppenrichtlinie vorgegeben Richtlinie an oberster Ebene gilt für alle Benutzer (i.d.R. in der Default Domain Policy)

30 mehrfache Kennwortrichtlinien gesteuert über globale Gruppen oder Benutzer, nicht über OUs Bisher keine MMC dafür (kommt vielleicht). Server 2008 Domain Functional Level ist Voraussetzung.

31 Sicherheitseinstellungen für Aussenstellen

32 Kontenrichtlinien Lokale Sicherheitsrichtlinien Überwachungsrichtlinien Aufbewahrungsfristen Ereignisprotokoll Restricted Groups Einstellungen der Systemdienste Registry-/Ordner-/Dateivorgaben Netzwerkrichtlinien (802.3, ) Einstellungen für die Firewall Public Key Policies

33 Softwarerichtlinien vertrauenswürdige Zertifizierer erlaubte/verbotene Programme/Pfade Network Access Protection IPsec Policies Administrative Templates Internet Explorer Sicherheit Installation von Gerätetreiber EFS-, Bitlocker-Vorgaben Office Makro Sicherheitseinstellungen u.v.m.

34 Einsatzszenarien in Aussenstellen

35 Terminal Server SQL Server Zentrale Aussenstelle SQL WAN SQL RDP TS Remote Apps Details: siehe Vortrag Windows 2008 Terminal Services

36 Werden Sie kostenfrei Mitglied in Europas grösster Windows User Group Besuchen Sie unseren Stand Veranstaltungen 8. April 2008, Thema Windows Server 2008 Kostenfreies Anwendertreffen mit verschiedenen Vorträgen im Juni In Ihrer Tasche: 6 Spezial-Workshops der NT-AG in Basel, Bern und Zürich

37 © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.


Herunterladen ppt "Ralf Feest Director Enterprise Services AddOn (Schweiz) AG."

Ähnliche Präsentationen


Google-Anzeigen