Windows Server 2008 Branch Offices 3/28/2017 8:11 PM Ralf Feest Director Enterprise Services AddOn (Schweiz) AG Windows Server 2008 Branch Offices © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
AddOn und NT-AG AddOn (Schweiz) AG, Zürich NT-Anwendergruppe IT-Dienstleistungsunternehmen, www.addon-ag.ch Microsoft Trainingscenter Consulting, Projekte, Support NT-Anwendergruppe Europas grösste Microsoft User Group Infos und IT-Diskussionsforum auf dem Web 3 mal/Jahr Treffen in Zürich mit Vorträgen kostenfreie Mitgliedschaft: www.nt-ag.ch Spezialseminare für IT-Profis
Agenda Server Core BitLocker Read Only Domain Controller Installationsverfahren für DCs Network Access Protection Kennwortrichtlinien Gruppenrichtlinien für mehr Sicherheit Terminal Services
Server Core
Server Core Windows Server 2008 ohne GUI Konfiguration: aus Kommandozeile Remote per RPC MsTsc (RDP) Kein File Explorer, .NET Framework, PowerShell, Systemsteuerung, IE, …. Keine GUI konsequent? Nein: Regedit, Notepad, Taskmanager und zwei .cpl sind da
Die meisten Fremd-Applikationen laufen nicht unter Server Core Rollen für Server Core Nicht möglich Webdienste mit .Net Framework Terminaldienste Sharepoint Eigene Applikationen File Services (Standard) Print Services DHCP DNS IIS ohne .Net Framework Windows Server Virtualization Media Services Active Directory Services AD LDS (früher: ADAM) Die meisten Fremd-Applikationen laufen nicht unter Server Core
3/28/2017 8:11 PM Server Core demo © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
BitLocker
BitLocker™ Drive Encryption Verschlüsselung eines kompletten Festplatten-Volumes Schlüssel (128-256 bit) kann in TPM 1.2 kompatiblem Chip oder auf USB-Stick abgelegt werden Integritätscheck sperrt ggf. Zugriff auf Festplatte beim Systemstart Wiederherstellungskennwort für Notfall Optimal für Aussenstellen: ServerCore als RODC mit BitLocker
BitLocker™ Drive Encryption (BDE) - 2 Bei Windows 2008: optionale Komponente Server Core: start /w ocsetup BitLocker transparent zu Betriebssystem und Applikationen Disk Performance auf Server: ca. 3-5 % schlechter
Der NT4 Backup Domain Controller (BDC) in neuer Verpackung? RODC Der NT4 Backup Domain Controller (BDC) in neuer Verpackung?
Sicherheit von Rechenzentren Admin-Kennwort (Hash) Domain Controller Zugangsgeschützter Serverraum in der Zentrale Domain Controller Admin-Kennwort (Hash) Angemietetes Grossraumbüro in der Niederlassung
Zweck & Ziel für Einsatz RODC Verringerung des Gefahrenpotentials bei Manipulation des Active Directory bei Diebstahl der Active Directory-Datenbank Definition eines lokalen Administrators der keine Berechtigungen im AD hat der nur seinen RODC administrieren darf
Technische Hintergrundinfos Kenn-wort-Filter repliziert Daten von … nach … DC RODC DC
Wie funktioniert die Anmeldung? DC Active Directory „weiss“, welches Kennwort wo liegt. RODC Benutzer
Wie reagieren Anwendungen? DC RODC LDAP-Write LDAP-Read LDAP-Write Applikation
Wer hat sich am RODC authentifiziert? Im Active Directory abfragbar: Hinweis auf Aufnahme in „Allow“-Gruppe oder
Was tun bei Diebstahl des RODC? Notbremse ziehen: RODC Konto löschen und Konten neue Kennwörter vergeben, bevor Hacker die Hashwerte in Kennwörter zurück rechnet.
Voraussetzungen und Feintuning Voraussetzungen für RODC: Domäne im Win 2003 Forest Functional Level adprep /rodcprep (für Berechtigungen) Ein „writable DC“ muss Windows 2008 sein Ausser Kennwörter können weitere Attribute als „confidential“ markiert werden: Schema Master: searchFlags bearbeiten How-to: http://www.addon.de?ad1068
Installation eines RODC Auf einem „vollständigen“ Windows 2008 dcpromo Auf einem Server Core dcpromo mit Antwortdatei Installation delegieren: Konto anlegen Lokaler Admin startet dcpromo /UseExistingAccount:Attach Server darf nicht Mitglied der Domäne sein!
Setup Domain Controller Active Directory Domain Services ist eine Rolle dcpromo startet Initialreplikation Alternative für „dünne Leitungen“: „Install AD DS from Media“
3/28/2017 8:11 PM Setup RODC video © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
FAQ zu RODC Kann ein RODC zu einem anderen RODC replizieren? Was geht im Branch Office nicht mehr, wenn WAN zu DC ausfälllt? Kennwortänderungen Hinzufügen eines PCs zur Domäne Anmeldung für nicht zw.gespeicherte Konten Hat die ntds.dit des RODC alle Objekte? Ja.
Network Access Protection Aussenstellen vor internen Gefahren schützen
Network Access Protection (NAP) Welchen zusätzlichen Schutz bietet uns NAP? Aktuelle Gefahrensituation:
Überprüfen – heilen - Zutritt Client erhält erst nach Überprüfung den Zugang zum Intranet NAP Agent (Client) Windows Vista Windows XP SP3 Windows Server 2008 NPS (Network Health Policy Server mit Win 2008) Remediation Server Server und Dienste, die den als nicht sicher eingestuften Computern zur Verfügung stehen
NAP – Gesundheitscheck für Clients Administrator stellt zentral die Regeln auf Ein Client muss bei Zugriff auf das Netzwerk seinen Gesundheitszustand dem NPS zeigen gesund: Zugriff auf das Intranet krank: Richtlinine Einschränkungen bei krankem Client IPsec Kein Zugriff auf mit IPsec geschützte Systeme 802.1x eingeschränktes VLAN oder IP packet filter VPN eingeschränktes VLAN DHCP anderer IP Adressbereich/-optionen TS Gateway kein RDP-Zugang
Separate Richtlinien für Aussenstellen Kennwortrichtlinien Separate Richtlinien für Aussenstellen
Kennwortrichtlinien Windows 2000/2003 Kennwortrichtlinie wird per Gruppenrichtlinie vorgegeben Richtlinie an oberster Ebene gilt für alle Benutzer (i.d.R. in der Default Domain Policy)
Kennwortrichtlinien Windows 2008 mehrfache Kennwortrichtlinien gesteuert über globale Gruppen oder Benutzer, nicht über OUs Bisher keine MMC dafür (kommt vielleicht). Server 2008 Domain Functional Level ist Voraussetzung.
Sicherheitseinstellungen für Aussenstellen Gruppenrichtlinien Sicherheitseinstellungen für Aussenstellen
Sicherheitsfeatures (1) Kontenrichtlinien Lokale Sicherheitsrichtlinien Überwachungsrichtlinien Aufbewahrungsfristen Ereignisprotokoll Restricted Groups Einstellungen der Systemdienste Registry-/Ordner-/Dateivorgaben Netzwerkrichtlinien (802.3, 802.11) Einstellungen für die Firewall Public Key Policies
Sicherheitsfeatures (2) Softwarerichtlinien vertrauenswürdige Zertifizierer erlaubte/verbotene Programme/Pfade Network Access Protection IPsec Policies Administrative Templates Internet Explorer Sicherheit Installation von Gerätetreiber EFS-, Bitlocker-Vorgaben Office Makro Sicherheitseinstellungen u.v.m.
Einsatzszenarien in Aussenstellen Terminal Services Einsatzszenarien in Aussenstellen
Performance-Optimierung Terminal Server RDP TS Remote Apps WAN SQL SQL SQL Server Aussenstelle Details: siehe Vortrag „Windows 2008 Terminal Services“ Zentrale
Interesse an weiteren Vorträgen? Werden Sie kostenfrei Mitglied in Europas grösster Windows User Group http://www.nt-ag.ch Besuchen Sie unseren Stand Veranstaltungen 8. April 2008, Thema „Windows Server 2008“ Kostenfreies Anwendertreffen mit verschiedenen Vorträgen im Juni In Ihrer Tasche: 6 Spezial-Workshops der NT-AG in Basel, Bern und Zürich
3/28/2017 8:11 PM © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION. © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.