Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Daniel Melanchthon Security Evangelist Microsoft Deutschland GmbH

Ähnliche Präsentationen


Präsentation zum Thema: "Daniel Melanchthon Security Evangelist Microsoft Deutschland GmbH"—  Präsentation transkript:

1 Daniel Melanchthon Security Evangelist Microsoft Deutschland GmbH

2 Einführung Read-Only Domain Controller (RODC) BitLocker Drive Encryption (BDE) IPSec Secure Socket Tunneling Protocol (SSTP) Network Access Protection (NAP) Terminal Services Gateway

3 Einführung Read-Only Domain Controller (RODC) BitLocker Drive Encryption (BDE) IPSec Secure Socket Tunneling Protocol (SSTP) Network Access Protection (NAP) Terminal Services Gateway

4 Entfernte Lokation mit <100 Benutzern Mehrere kritische Geschäftsanwendungen Unterschiedliche physikalische Server Suboptimale Infrastruktur Limitierte Anbindung an die Zentrale Keine/reduzierte IT-Mannschaft Kein/reduziertes Backup

5

6 BitLocker Drive Encryption (BDE) Read-Only Domain Services (RODC) IP Security (IPSec) Server Core - RODC BDE C:\ IPSec Network Access Protection (NAP) Secure Socket Tunneling Protocol (SSTP) SSTP

7 Einführung Read-Only Domain Controller (RODC) BitLocker Drive Encryption (BDE) IPSec Secure Socket Tunneling Protocol (SSTP) Network Access Protection (NAP) Terminal Services Gateway

8 Neue Funktionalität AD Datenbank Unidirektionale Replikation Credential Caching Password Replication Policy Getrennte Administration Read-Only DNS Neue Funktionalität AD Datenbank Unidirektionale Replikation Credential Caching Password Replication Policy Getrennte Administration Read-Only DNS Voraussetzungen RODC

9 Branch Hub Read Only DC RODC: Looks in DB: "I don't have the users secrets" Forwards Request to Windows Server 2008 DC Windows Server 2008 DC authenticates request Returns authentication response and TGT back to the RODC RODC gives TGT to User and RODC will cache credentials AS_Req sent to RODC (request for TGT) Windows Server 2008 DC At this point the user will have a hub signed TGT

10 { RODC } Daniel Melanchthon Security Evangelist Microsoft Deutschland GmbH

11 Einführung Read-Only Domain Controller (RODC) BitLocker Drive Encryption (BDE) IPSec Secure Socket Tunneling Protocol (SSTP) Network Access Protection (NAP) Terminal Services Gateway

12 Schützt bei Diebstahl oder Verlust, wenn der PC mit einem anderen Betriebs- system gestartet wird oder ein Hacking-Tool zur Umgehung der Windows- Sicherheit eingesetzt wird Bietet Schutz der Daten auf einem Windows-Client, selbst wenn sich der PC in falschen Händen befindet oder ein anderes Betriebs- system ausgeführt wird TPM v1.2 oder USB-Stick zur Schlüsselablage BitLocker BitLocker

13 Boot Windows Partition > Verschlüsseltes Betriebsystem > Verschlüsselte Auslagerungsdatei > Verschlüsselte temporäre Dateien > Verschlüsselte Daten > Verschlüsseltes Hibernation File Boot Partition: MBR, Loader, Boot Utilities (Unverschlüsselt, 1,5 GB klein) Wo ist der Verschlüsselungsschlüssel? 1.SRK (Storage Root Key) im TPM 2.SRK verschlüsselt VEK (Volume Encryption Key) geschützt durch TPM/PIN/Dongle 3.VEK gespeichert (verschlüsselt durch SRK) auf der Festplatte in der Boot Partition VEK 2 3 Windows SRK 1

14 BDE bietet ein Spektrum der Absicherung, das Kunden die Abwägung zwischen einfacher Benutzbarkeit und Systemsicherheit ermöglicht!*******

15 { BitLocker } Daniel Melanchthon Security Evangelist Microsoft Deutschland GmbH

16 Einführung Read-Only Domain Controller (RODC) BitLocker Drive Encryption (BDE) IPSec Secure Socket Tunneling Protocol (SSTP) Network Access Protection (NAP) Terminal Services Gateway

17 Integrierte Firewall- und IPSec-Konfiguration Einfachere IPSec Policy-Konfiguration Client-to-DC IPSec Protection Load Balancing- und Clustering Server-Unterstützung Bessere IPSec-Authentifizierung Integration mit NAP Mehrfache Authentifizierungsmethoden Neue kryptographische Protokolle Integrierte Unterstützung von IPv4 und IPv6 Erweiterte Events und Performance Monitor Counter Unterstützung für das Network Diagnostics Framework Integrierte Firewall- und IPSec-Konfiguration Einfachere IPSec Policy-Konfiguration Client-to-DC IPSec Protection Load Balancing- und Clustering Server-Unterstützung Bessere IPSec-Authentifizierung Integration mit NAP Mehrfache Authentifizierungsmethoden Neue kryptographische Protokolle Integrierte Unterstützung von IPv4 und IPv6 Erweiterte Events und Performance Monitor Counter Unterstützung für das Network Diagnostics Framework

18 Einführung Read-Only Domain Controller (RODC) BitLocker Drive Encryption (BDE) IPSec Secure Socket Tunneling Protocol (SSTP) Network Access Protection (NAP) Terminal Services Gateway

19 Nutzt HTTPS über Port 443 zum nahtlosen Durchgang durch Firewalls, die PPTP oder L2TP blocken könnten Flexible Netzwerkkonfiguration Unterstützung für NAP Unterstützung für IPv6 Bessere Netzwerkauslastung Volle Integration mit OS-Komponenten und RRAS Nutzt HTTPS über Port 443 zum nahtlosen Durchgang durch Firewalls, die PPTP oder L2TP blocken könnten Flexible Netzwerkkonfiguration Unterstützung für NAP Unterstützung für IPv6 Bessere Netzwerkauslastung Volle Integration mit OS-Komponenten und RRAS Konfiguration Server: Windows Server 2008 mit RRAS und einem Zertifikat für die Server Authentifizierung Client: Windows Vista oder Windows Server 2008 mit Kenntnis und Vertrauen der CA des Serverzertifikats Konfiguration Server: Windows Server 2008 mit RRAS und einem Zertifikat für die Server Authentifizierung Client: Windows Vista oder Windows Server 2008 mit Kenntnis und Vertrauen der CA des Serverzertifikats

20 Physische Sicherheit der Daten des Branch Office Physische Sicherheit der Server im Branch Office Sichere IP-basierende Kommunikation Kontrolle darüber, welcher Computer im Branch Office Netzwerk kommunizieren darf

21 Einführung Read-Only Domain Controller (RODC) BitLocker Drive Encryption (BDE) IPSec Secure Socket Tunneling Protocol (SSTP) Network Access Protection (NAP) Terminal Services Gateway

22 Nicht richtlinien- konform 1 Einge- schränktes Netzwerk Client bittet um Zugang zum Netzwerk und präsentiert seinen gegenwärtigen Gesundheitszustand 1 4 Falls nicht richtlinien-konform, wird Client in ein eingeschränktes VLAN umgeleitet und erhält Zugriff auf Ressourcen wie Patches, Konfigurationen und Signaturen 2 DHCP, VPN oder Switch/Router leitet Gesundheitszustand an Microsoft Network Policy-Server (RADIUS-basierend) weiter 5 Bei Richtlinien-Konformität wird dem Client der vollständige Zugang zum Unternehmensnetz gewährt MSFT NPS 3 Policy Server z.B. Patch, AV Richtlinien- konform 3 Network Policy Server (NPS) validiert diesen mit der von der Unternehmens-IT definierten Gesundheitsrichtlinie 2 Windows- Client DHCP, VPN, Switch/Router Fix-Up- Server z.B. Patch Unternehmensnetz 5 4

23 EnforcementGesunder ClientUngesunder Client DHCP Zuteilung einer voll netzwerkfähigen IP-Adresse, voller Zugriff Begrenzte Routen VPN (Microsoft und 3 rd Party) Voller ZugriffBegrenztes VLAN 802.1XVoller ZugriffBegrenztes VLAN IPsec Kann mit jeder vertrauten Gegenstelle kommunizieren Gesunder Clients verwirft Verbindungsanfragen von ungesunden Clients Vervollständigt Schutz auf Layer 2 Arbeitet problemlos mit bestehenden Servern und existierender Infrastruktur Flexible Isolation in Netzwerksegmente

24 Einführung Read-Only Domain Controller (RODC) BitLocker Drive Encryption (BDE) IPSec Secure Socket Tunneling Protocol (SSTP) Network Access Protection (NAP) Terminal Services Gateway

25 Mit RDP erreichbare Ziele hinter Firewall HTTPS zur Überwindung von NAT/Firewalls vom Client AD/ISA/NAP-Tests bevor die Verbindung erlaubt Remote Desktop Connection Client 6.x AD/NPS/NAP User navigiert zu TS Web Access User initiiert HTTP/S Verbindung an TS Gateway Terminal Servers oder Windows ® XP/Vista TS Gateway TS Web Access Internet DMZInternes Netzwerk RDP over HTTP/S Verbindung hergestellt zu TSG RDP 3389 an Host AD/NPS/NAP Prüfung Windows Vista ® RDC (TS) Client

26 Password Replication Policy Read-Only Domain Controller im Branch Office Getrennte Administration BitLocker Drive Encryption zum Datenschutz Network Access Protection zum Zugriffsschutz

27 Windows Server 2008 bietet neue Technologien zur Erhöhung der Sicherheit in Branch Office-Umgebungen. Ein RODC speichert eine read-only Replik der Datenbank in Active Directory Domain Services. BitLocker Drive Encryption bietet Datenschutz für verloren gehende oder gestohlene Laptop und PC sowie entfernte Server. Ein SSTP VPN bietet Mechanismen zum Kapseln des IP- Verkehrs über einen SSL-Kanal oder das HTTPS-Protokoll zur Verbesserung der Sicherheit und Reduzierung der Anbindungskosten. Verbesserungen in IPSec erlauben höhere Sicherheit der Netzwerkkommunikation in Branch Offices. Windows Server 2008 bietet neue Technologien zur Erhöhung der Sicherheit in Branch Office-Umgebungen. Ein RODC speichert eine read-only Replik der Datenbank in Active Directory Domain Services. BitLocker Drive Encryption bietet Datenschutz für verloren gehende oder gestohlene Laptop und PC sowie entfernte Server. Ein SSTP VPN bietet Mechanismen zum Kapseln des IP- Verkehrs über einen SSL-Kanal oder das HTTPS-Protokoll zur Verbesserung der Sicherheit und Reduzierung der Anbindungskosten. Verbesserungen in IPSec erlauben höhere Sicherheit der Netzwerkkommunikation in Branch Offices.

28 Windows Server Forum Virtual Lab Server Core Team Blog Forum Virtual Lab Windows Remote Management Remote Office

29


Herunterladen ppt "Daniel Melanchthon Security Evangelist Microsoft Deutschland GmbH"

Ähnliche Präsentationen


Google-Anzeigen