Daniel Melanchthon Security Evangelist Microsoft Deutschland GmbH
Effizientere Administration Größere Flexibilität Stärkerer Schutz Serververwaltung Windows PowerShell Internet Information Services 7.0 Server-Härtung Server-Core Netzwerkzugriffsschutz (NAP) Failover-Clustering Einsatz in Zweigstellen Windows Server-Virtualisierung Terminaldienste mit neuen Potenzialen
…arbeiten als Administratoren? …und haben keine Ahnung von Sicherheit?...und wollen das auch gar nicht? …gehen Risiken ein, um Dinge zu erhalten? …fordern Ausnahmen für sich selbst? …versuchen aktiv, Sicherheit zu umgehen? …kennen Blaster, Sasser, Slammer & Co.?
Die Zeit bis zur Veröffentlichung von Windows Server 2008 kann jetzt für die Grundlagen von NAP genutzt werden. Welche Aufgaben gilt es dabei zu berücksichtigen? Definition des Gesundheitszustand Ausnahmeregeln Netzwerksegmentierung Netzwerksicherung IAS (RADIUS) Deployment Auswahl der Zonenabsicherung Rollout-Plan und Kontrolle des Änderungsprozesses Überprüfung und Überwachung des Erfolges
Nicht richtlinien- konform 1 Einge- schränktes Netzwerk Client bittet um Zugang zum Netzwerk und präsentiert seinen gegenwärtigen „Gesundheitszustand“ 1 4 Falls nicht richtlinien-konform, wird Client in ein eingeschränktes VLAN umgeleitet und erhält Zugriff auf Ressourcen wie Patches, Konfigurationen und Signaturen 2 DHCP, VPN oder Switch/Router leitet Gesundheitszustand an Microsoft Network Policy-Server (RADIUS-basierend) weiter 5 Bei Richtlinien-Konformität wird dem Client der vollständige Zugang zum Unternehmensnetz gewährt MSFT NPS 3 Policy Server z.B. Patch, AV Richtlinien- konform 3 Network Policy Server (NPS) validiert diesen mit der von der Unternehmens-IT definierten „Gesundheitsrichtlinie“ 2 Windows- Client DHCP, VPN, Switch/Router Fix-Up- Server z.B. Patch Unternehmensnetz 5 4
{ demo title } Name Title Group
Enforcement“Gesunder” Client“Ungesunder” Client DHCP Zuteilung einer voll netzwerkfähigen IP-Adresse, voller Zugriff Begrenzte Routen VPN (Microsoft und 3 rd Party) Voller ZugriffBegrenztes VLAN 802.1XVoller ZugriffBegrenztes VLAN IPsec Kann mit jeder vertrauten Gegenstelle kommunizieren “Gesunder” Clients verwirft Verbindungsanfragen von “ungesunden” Clients Vervollständigt Schutz auf Layer 2 Arbeitet problemlos mit bestehenden Servern und existierender Infrastruktur Flexible Isolation in Netzwerksegmente
Abwägung des Risikos gegen Schwachstellen Policyupdate und Nachricht an Clients bei hohem Risiko Kriterien für Securityscan zum Ermitteln der Security Compliance Untersuchung des Netzwerks auf Compliance mit der Policy Erzwingen der Compliance nach einer Toleranzfrist Messen und Darstellen des Ergebnis der Compliance- überwachung
Network Access Protection (NAP) Gewährt nur Computern Zugang zum Netzwerk, die anhand von Richtlinien bestimmte Mindestkriterien erfüllen Beispiel: Automatische Updates eingeschaltet, installierte Sicherheitspatches, Virenscanner mit aktuellen Signaturen NAP setzt voraus Windows Server 2008 NAP-Client (in Windows Vista und Windows XP SP3 enthalten) Ermöglicht mehr Kontrolle über Sicherheitskonfiguration von Computern im Intranet sowie von Remote-PCs, die sich via Internet mit dem Unternehmensnetz verbinden Unsicher konfigurierte Computer können abgewiesen oder in eingeschränkten Bereich umgeleitet werden, der Updates bereithält
Step-by-Step Guide: Demonstrate NAP DHCP Enforcement 188f7a198897&DisplayLang=en 188f7a198897&DisplayLang=en Step-by-Step Guide: Demonstrate NAP IPsec Enforcement 7e7ffc4bed32&displaylang=en 7e7ffc4bed32&displaylang=en Step-by-Step Guide: Demonstrate NAP 802.1X Enforcement eff0608&DisplayLang=en eff0608&DisplayLang=en Step-by-Step Guide: Demonstrate NAP VPN Enforcement 378cc3d900a7&DisplayLang=en 378cc3d900a7&DisplayLang=en Windows Server 2008 TS Gateway Step-by-Step Guide: Configuring the TS Gateway NAP Scenario 0a a mspx 0a a mspx TechNet Virtual Lab: Network Access Protection with IPSec Enforcement
FAQ & Whitepaper Blog NAP TechNet Forum um.aspx?forumid=576&siteid=17 um.aspx?forumid=576&siteid=17