Windows Server 2008 { Branch Office Security }

Windows Server 2008 { Branch Office Security }
3/28/2017 8:11 PM Windows Server 2008 { Branch Office Security } Daniel Melanchthon Security Evangelist Microsoft Deutschland GmbH © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

{ Agenda } Einführung Read-Only Domain Controller (RODC)
3/28/2017 8:11 PM { Agenda } Einführung Read-Only Domain Controller (RODC) BitLocker™ Drive Encryption (BDE) IPSec Secure Socket Tunneling Protocol (SSTP) Network Access Protection (NAP) Terminal Services Gateway © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Branch Office Entfernte Lokation mit <100 Benutzern
Mehrere kritische Geschäftsanwendungen Unterschiedliche physikalische Server Suboptimale Infrastruktur Limitierte Anbindung an die Zentrale Keine/reduzierte IT-Mannschaft Kein/reduziertes Backup

Aus der Praxis "Während ich bei Ebay nach einem PERC 2..." "…fanden wir heraus, dass die Sicherung seit drei Monaten auf das Reinigungsband…”

Branch Office-Technologien
Read-Only Domain Services (RODC) Server Core - RODC BDE BitLocker™ Drive Encryption (BDE) Network Access Protection (NAP) IPSec IP Security (IPSec) C:\ SSTP Secure Socket Tunneling Protocol (SSTP)

Read-Only Domain Controller
Neue Funktionalität AD Datenbank Unidirektionale Replikation Credential Caching Password Replication Policy Getrennte Administration Read-Only DNS RODC Voraussetzungen

Funktionsweise eines RODCs
3/28/2017 8:11 PM Funktionsweise eines RODCs AS_Req sent to RODC (request for TGT) 1 2 RODC: Looks in DB: "I don't have the users secrets" Hub Branch Forwards Request to Windows Server 2008 DC 3 Read Only DC 3 Windows Server 2008 DC authenticates request 4 2 4 5 6 7 Returns authentication response and TGT back to the RODC 5 Windows Server 2008 DC 1 RODC gives TGT to User and RODC will cache credentials 6 6 At this point the user will have a hub signed TGT 7

Demo { RODC } Daniel Melanchthon Security Evangelist
3/28/2017 8:11 PM { RODC } Demo Daniel Melanchthon Security Evangelist Microsoft Deutschland GmbH © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

BitLocker™ Drive Encryption
Microsoft TechNet Seminar 2006 BitLocker™ Drive Encryption Schützt bei Diebstahl oder Verlust, wenn der PC mit einem anderen Betriebs- system gestartet wird oder ein Hacking-Tool zur Umgehung der Windows- Sicherheit eingesetzt wird Bietet Schutz der Daten auf einem Windows-Client, selbst wenn sich der PC in falschen Händen befindet oder ein anderes Betriebs- system ausgeführt wird TPM v1.2 oder USB-Stick zur Schlüsselablage BitLocker Seminar Name

Disk Layout & Schlüsselspeicher
Windows Partition Verschlüsseltes Betriebsystem Verschlüsselte Auslagerungsdatei Verschlüsselte temporäre Dateien Verschlüsselte Daten Verschlüsseltes Hibernation File Wo ist der Verschlüsselungsschlüssel? SRK (Storage Root Key) im TPM SRK verschlüsselt VEK (Volume Encryption Key) geschützt durch TPM/PIN/Dongle VEK gespeichert (verschlüsselt durch SRK) auf der Festplatte in der Boot Partition SRK VEK 1 2 Windows 3 Boot Boot Partition: MBR, Loader, Boot Utilities (Unverschlüsselt, 1,5 GB klein)

Spektrum der Absicherung
Microsoft TechNet Seminar 2006 Spektrum der Absicherung BDE bietet ein Spektrum der Absicherung, das Kunden die Abwägung zwischen einfacher Benutzbarkeit und Systemsicherheit ermöglicht! ******* Seminar Name

Demo { BitLocker™ } Daniel Melanchthon Security Evangelist
3/28/2017 8:11 PM { BitLocker™ } Demo Daniel Melanchthon Security Evangelist Microsoft Deutschland GmbH © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

Verbesserungen in IPSec
Integrierte Firewall- und IPSec-Konfiguration Einfachere IPSec Policy-Konfiguration Client-to-DC IPSec Protection Load Balancing- und Clustering Server-Unterstützung Bessere IPSec-Authentifizierung Integration mit NAP Mehrfache Authentifizierungsmethoden Neue kryptographische Protokolle Integrierte Unterstützung von IPv4 und IPv6 Erweiterte Events und Performance Monitor Counter Unterstützung für das Network Diagnostics Framework

Secure Socket Tunneling Protocol
Nutzt HTTPS über Port 443 zum nahtlosen Durchgang durch Firewalls, die PPTP oder L2TP blocken könnten Flexible Netzwerkkonfiguration Unterstützung für NAP Unterstützung für IPv6 Bessere Netzwerkauslastung Volle Integration mit OS-Komponenten und RRAS Konfiguration Server: Windows Server 2008 mit RRAS und einem Zertifikat für die Server Authentifizierung Client: Windows Vista oder Windows Server 2008 mit Kenntnis und Vertrauen der CA des Serverzertifikats

Nutzungsszenarien Physische Sicherheit der Server im Branch Office
Physische Sicherheit der Daten des Branch Office Sichere IP-basierende Kommunikation Kontrolle darüber, welcher Computer im Branch Office Netzwerk kommunizieren darf

Netzwerkzugriffsschutz
Policy Server z.B. Patch, AV 3 DHCP, VPN, Switch/Router 1 2 MSFT NPS Nicht richtlinien-konform Einge- schränktes Netzwerk 4 Fix-Up- Server z.B. Patch Windows- Client Richtlinien-konform Client bittet um Zugang zum Netzwerk und präsentiert seinen gegenwärtigen „Gesundheitszustand“ 1 5 Unternehmensnetz 2 DHCP, VPN oder Switch/Router leitet Gesundheitszustand an Microsoft Network Policy-Server (RADIUS-basierend) weiter 3 Network Policy Server (NPS) validiert diesen mit der von der Unternehmens-IT definierten „Gesundheitsrichtlinie“ 4 Falls nicht richtlinien-konform, wird Client in ein eingeschränktes VLAN umgeleitet und erhält Zugriff auf Ressourcen wie Patches, Konfigurationen und Signaturen 5 Bei Richtlinien-Konformität wird dem Client der vollständige Zugang zum Unternehmensnetz gewährt INF210

Verwendete Technologien
3/28/2017 8:11 PM Verwendete Technologien Enforcement “Gesunder” Client “Ungesunder” Client DHCP Zuteilung einer voll netzwerkfähigen IP-Adresse, voller Zugriff Begrenzte Routen VPN (Microsoft und 3rd Party) Voller Zugriff Begrenztes VLAN 802.1X IPsec Kann mit jeder vertrauten Gegenstelle kommunizieren “Gesunder” Clients verwirft Verbindungsanfragen von “ungesunden” Clients Vervollständigt Schutz auf Layer 2 Arbeitet problemlos mit bestehenden Servern und existierender Infrastruktur Flexible Isolation in Netzwerksegmente © 2006 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

TS Gateway Mit RDP erreichbare Ziele hinter Firewall
HTTPS zur Überwindung von NAT/Firewalls vom Client AD/ISA/NAP-Tests bevor die Verbindung erlaubt Remote Desktop Connection Client 6.x AD/NPS/NAP AD/NPS/NAP Prüfung Windows Vista® RDC (TS) Client TS Gateway Terminal Servers oder Windows® XP/Vista RDP over HTTP/S Verbindung hergestellt zu TSG RDP 3389 an Host User initiiert HTTP/S Verbindung an TS Gateway User navigiert zu TS Web Access TS Web Access Internet DMZ Internes Netzwerk

Empfehlungen Read-Only Domain Controller im Branch Office
Password Replication Policy Getrennte Administration BitLocker™ Drive Encryption zum Datenschutz Network Access Protection zum Zugriffsschutz

Zusammenfassung Windows Server 2008 bietet neue Technologien zur Erhöhung der Sicherheit in Branch Office-Umgebungen. Ein RODC speichert eine read-only Replik der Datenbank in Active Directory Domain Services. BitLocker™ Drive Encryption bietet Datenschutz für verloren gehende oder gestohlene Laptop und PC sowie entfernte Server. Ein SSTP VPN bietet Mechanismen zum Kapseln des IP-Verkehrs über einen SSL-Kanal oder das HTTPS-Protokoll zur Verbesserung der Sicherheit und Reduzierung der Anbindungskosten. Verbesserungen in IPSec erlauben höhere Sicherheit der Netzwerkkommunikation in Branch Offices.

Ressourcen Windows Server Forum Virtual Lab Server Core Team Blog Forum Windows Remote Management Remote Office

Ihr Potenzial. Unser Antrieb.
Microsoft TechNet Seminar 2006 Seminar Name

Windows Server 2008 { Branch Office Security }

Ähnliche Präsentationen

Präsentation zum Thema: "Windows Server 2008 { Branch Office Security }"— Präsentation transkript:

Ähnliche Präsentationen

Über Projekt

Feedback

Anmelden

Anmeldung über soziales Netzwerk:

Windows Server 2008 { Branch Office Security }

Ähnliche Präsentationen

Präsentation zum Thema: "Windows Server 2008 { Branch Office Security }"— Präsentation transkript:

Ähnliche Präsentationen

Über Projekt

Feedback