Windows Server 2008 { Branch Office Security }

Slides:



Advertisements
Ähnliche Präsentationen
Anbindung mobiler Endgeräte über den Terminal Service
Advertisements

BMBF-Förderinitiative Einsatz und Nutzung drahtloser Kommunikation BMBF-Förderinitiative Einsatz und Nutzung drahtloser Kommunikation bmb+f GoeMobile:
Sichere Anbindung kleiner Netze ans Internet
Neue VPN-Technologien für Remote Access und WLAN
10 gute Gründe zur Vorbereitung auf Windows Server Codename „Longhorn“
Funktionserweiterungen für den ISA Server 2000 mit dem Feature Pack 1 Funktionserweiterungen für den ISA Server 2000 mit dem Feature Pack 1 Christian Thor.
Web Matrix Project Kurzüberblick Dirk Primbs Technologieberater Developer Platform Strategy Group Microsoft Deutschland GmbH.
Sicherheit als Geschäftsmodell
Systemverwaltung wie es Ihnen gefällt.
Projekt Netzwerk von Tobias Dickel, Moritz Gesing, Daniel Jochem, Matthias Meister, Marc Nue und Moritz Raasch.
Kirsten Kropmanns Allgemeine Technologien II 21. April 2009
Konfiguration eines VPN Netzwerkes
Microsoft Windows 2000 Terminal Services
Virtual Private Network (VPN)
Virtual Private Networks
Windows Vista Felix Lutz 14. August 2007.
Virtual Private Networks
VPN Virtual Private Network
Workshop: Active Directory
Geschäftsergebnisse & neue Werte Anwender- Produktivität Kunden- beziehung Das Geschäft am Laufen halten Sicherheit Wettbewerb Technologischer Fortschritt.
„Projekt: Netzwerk“ Präsentation von Susanne Földi, Dorothea Krähling, Tabea Schneider, Deborah te Laak und Christine Weller im Rahmen der Übung „Projekt:
Business Internet light TechChange Migration Usecases November 2011.
Gehärtet von Anfang an { Windows 2008: Spezielle Aufgaben }
Sicherer Zugang zu internen Terminalservern von öffentlichen PCs
HOB RD VPN HOB Remote Desktop Virtual Private Network
Citrix MetaFrame Access Suite
VPN Virtual Private Network
BarricadeTM g 2.4GHz 54Mbit/s Wireless Breitband Router
Windows Server 2012 Networking and Remote Access
Das integrierte Lösungsportfolio
Windows Server 2008 Kurzüberblick Dr. Richtmann+Eder AG Olschewskibogen München.
Bitlocker mit Server 2008 in Enterprise Umgebungen
Windows Server 2008 { Security }
Ralf M. Schnell Technical Evangelist Microsoft Deutschland GmbH
Windows Server 2008 Branch Offices
Windows Server 2008 Terminal Services
Von Sascha Noack Projekt Lan zu Lan Kopplung über VPN Einrichtung einer Zweigstelle.
Präsentation von Lukas Sulzer
Application Delivery Citrix Netscaler Vortragender Seite 1 von 18
Windows Server 2012 R2 Upgrade-Potential
Windows Vista und Windows Server Better together
Netzwerke.
1 (C)2006, Hermann Knoll, HTW Chur, FHO teKRY407 Geheimhaltung, Authentikation, Anonymität Protokolle: Übersicht Referat Santos: Hash-Funktionen.
V irtuelle P rivate N etzwerk Autor Michael Hahn.
Warum IIS? Best of Microsoft Webserver
1 Microsoft Windows 2000: Bereitstellen einer Infrastruktur.
Netzwerke.
SMC2804WBRP-G Barricade g 2.4GHz 54Mbps Wireless Barricade Breitband Router mit USB Print Server SMC2804WBRP-G
Virtual Private Network
Tabelle 16 Tunneling Protokolle
Kaseya Virtual System Administrator Produkt Update 7.0 Rocco van der Zwet Copyright ©2014 Kaseya 1.
VPN – Virtual Private Network
Daniel Melanchthon Security Evangelist Microsoft Deutschland GmbH
Aloaha Software – Martin Wrocklage 05451/943522) Aloaha Mobile Smartcard Connector (CSP)
Fernzugriff auf Unternehmensnetze in Zeiten von Windows 7 Möglichkeiten und Grenzen der verschiedenen Windows-Bordmittel für Remote-Access Jürgen Höfling,
Walter Langmann Sichere Authentifizierung von W-LAN in einer Windows 2003 Server Umgebung 5AIH Diplomarbeit im Fach Technische Informatik.
 Sind Adresskomponenten (an der IP- Adresse angehängt, von ihr durch Doppelpunkt getrennt)  Werden in Netzwerkprotokollen eingesetzt um Datenpakete.
Ralf M. Schnell Technical Evangelist Microsoft Deutschland GmbH
Ralf M. Schnell Technical Evangelist Microsoft Deutschland GmbH.
Virtual Private Network
Novell Server mit NetWare 6.5 und Windows 2003 Server Bernd Holzmann
Netzwerke und Systemintegration
Lync and Learn mit Manfred Helber Thema heute: Überblick der Leistungserweiterungen von Windows Server 2016 Start: 9.30 Uhr 30 Minuten Vortrag & Demo 30.
Gernot Kühn Technologieberater Office System Mittelstandsbetreuung Microsoft Deutschland GmbH Niederlassung Berlin.
Manuel Blechschmidt & Volker Grabsch CdE Sommerakademie 2006 Kirchheim
Othmar Gsenger Erwin Nindl Christian Pointner
Microsoft Azure Optionen zur Verbindung mit OnPremises Netzwerken
VPN (Virtual private Network)
 Präsentation transkript:

Windows Server 2008 { Branch Office Security } 3/28/2017 8:11 PM Windows Server 2008 { Branch Office Security } Daniel Melanchthon Security Evangelist Microsoft Deutschland GmbH http://blogs.technet.com/dmelanchthon © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

{ Agenda } Einführung Read-Only Domain Controller (RODC) 3/28/2017 8:11 PM { Agenda } Einführung Read-Only Domain Controller (RODC) BitLocker™ Drive Encryption (BDE) IPSec Secure Socket Tunneling Protocol (SSTP) Network Access Protection (NAP) Terminal Services Gateway © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

{ Agenda } Einführung Read-Only Domain Controller (RODC) 3/28/2017 8:11 PM { Agenda } Einführung Read-Only Domain Controller (RODC) BitLocker™ Drive Encryption (BDE) IPSec Secure Socket Tunneling Protocol (SSTP) Network Access Protection (NAP) Terminal Services Gateway © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Branch Office Entfernte Lokation mit <100 Benutzern Mehrere kritische Geschäftsanwendungen Unterschiedliche physikalische Server Suboptimale Infrastruktur Limitierte Anbindung an die Zentrale Keine/reduzierte IT-Mannschaft Kein/reduziertes Backup

Aus der Praxis "Während ich bei Ebay nach einem PERC 2..." "…fanden wir heraus, dass die Sicherung seit drei Monaten auf das Reinigungsband…”

Branch Office-Technologien Read-Only Domain Services (RODC) Server Core - RODC BDE BitLocker™ Drive Encryption (BDE) Network Access Protection (NAP) IPSec IP Security (IPSec) C:\ SSTP Secure Socket Tunneling Protocol (SSTP)

{ Agenda } Einführung Read-Only Domain Controller (RODC) 3/28/2017 8:11 PM { Agenda } Einführung Read-Only Domain Controller (RODC) BitLocker™ Drive Encryption (BDE) IPSec Secure Socket Tunneling Protocol (SSTP) Network Access Protection (NAP) Terminal Services Gateway © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Read-Only Domain Controller Neue Funktionalität AD Datenbank Unidirektionale Replikation Credential Caching Password Replication Policy Getrennte Administration Read-Only DNS RODC Voraussetzungen

Funktionsweise eines RODCs 3/28/2017 8:11 PM Funktionsweise eines RODCs AS_Req sent to RODC (request for TGT) 1 2 RODC: Looks in DB: "I don't have the users secrets" Hub Branch Forwards Request to Windows Server 2008 DC 3 Read Only DC 3 Windows Server 2008 DC authenticates request 4 2 4 5 6 7 Returns authentication response and TGT back to the RODC 5 Windows Server 2008 DC 1 RODC gives TGT to User and RODC will cache credentials 6 6 At this point the user will have a hub signed TGT 7

Demo { RODC } Daniel Melanchthon Security Evangelist 3/28/2017 8:11 PM { RODC } Demo Daniel Melanchthon Security Evangelist Microsoft Deutschland GmbH http://blogs.technet.com/dmelanchthon © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

{ Agenda } Einführung Read-Only Domain Controller (RODC) 3/28/2017 8:11 PM { Agenda } Einführung Read-Only Domain Controller (RODC) BitLocker™ Drive Encryption (BDE) IPSec Secure Socket Tunneling Protocol (SSTP) Network Access Protection (NAP) Terminal Services Gateway © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

BitLocker™ Drive Encryption Microsoft TechNet Seminar 2006 BitLocker™ Drive Encryption Schützt bei Diebstahl oder Verlust, wenn der PC mit einem anderen Betriebs- system gestartet wird oder ein Hacking-Tool zur Umgehung der Windows- Sicherheit eingesetzt wird Bietet Schutz der Daten auf einem Windows-Client, selbst wenn sich der PC in falschen Händen befindet oder ein anderes Betriebs- system ausgeführt wird TPM v1.2 oder USB-Stick zur Schlüsselablage BitLocker Seminar Name

Disk Layout & Schlüsselspeicher Windows Partition Verschlüsseltes Betriebsystem Verschlüsselte Auslagerungsdatei Verschlüsselte temporäre Dateien Verschlüsselte Daten Verschlüsseltes Hibernation File Wo ist der Verschlüsselungsschlüssel? SRK (Storage Root Key) im TPM SRK verschlüsselt VEK (Volume Encryption Key) geschützt durch TPM/PIN/Dongle VEK gespeichert (verschlüsselt durch SRK) auf der Festplatte in der Boot Partition SRK VEK 1 2 Windows 3 Boot Boot Partition: MBR, Loader, Boot Utilities (Unverschlüsselt, 1,5 GB klein)

Spektrum der Absicherung Microsoft TechNet Seminar 2006 Spektrum der Absicherung BDE bietet ein Spektrum der Absicherung, das Kunden die Abwägung zwischen einfacher Benutzbarkeit und Systemsicherheit ermöglicht! ******* Seminar Name

Demo { BitLocker™ } Daniel Melanchthon Security Evangelist 3/28/2017 8:11 PM { BitLocker™ } Demo Daniel Melanchthon Security Evangelist Microsoft Deutschland GmbH http://blogs.technet.com/dmelanchthon © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

{ Agenda } Einführung Read-Only Domain Controller (RODC) 3/28/2017 8:11 PM { Agenda } Einführung Read-Only Domain Controller (RODC) BitLocker™ Drive Encryption (BDE) IPSec Secure Socket Tunneling Protocol (SSTP) Network Access Protection (NAP) Terminal Services Gateway © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Verbesserungen in IPSec Integrierte Firewall- und IPSec-Konfiguration Einfachere IPSec Policy-Konfiguration Client-to-DC IPSec Protection Load Balancing- und Clustering Server-Unterstützung Bessere IPSec-Authentifizierung Integration mit NAP Mehrfache Authentifizierungsmethoden Neue kryptographische Protokolle Integrierte Unterstützung von IPv4 und IPv6 Erweiterte Events und Performance Monitor Counter Unterstützung für das Network Diagnostics Framework

{ Agenda } Einführung Read-Only Domain Controller (RODC) 3/28/2017 8:11 PM { Agenda } Einführung Read-Only Domain Controller (RODC) BitLocker™ Drive Encryption (BDE) IPSec Secure Socket Tunneling Protocol (SSTP) Network Access Protection (NAP) Terminal Services Gateway © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Secure Socket Tunneling Protocol Nutzt HTTPS über Port 443 zum nahtlosen Durchgang durch Firewalls, die PPTP oder L2TP blocken könnten Flexible Netzwerkkonfiguration Unterstützung für NAP Unterstützung für IPv6 Bessere Netzwerkauslastung Volle Integration mit OS-Komponenten und RRAS Konfiguration Server: Windows Server 2008 mit RRAS und einem Zertifikat für die Server Authentifizierung Client: Windows Vista oder Windows Server 2008 mit Kenntnis und Vertrauen der CA des Serverzertifikats

Nutzungsszenarien Physische Sicherheit der Server im Branch Office Physische Sicherheit der Daten des Branch Office Sichere IP-basierende Kommunikation Kontrolle darüber, welcher Computer im Branch Office Netzwerk kommunizieren darf

{ Agenda } Einführung Read-Only Domain Controller (RODC) 3/28/2017 8:11 PM { Agenda } Einführung Read-Only Domain Controller (RODC) BitLocker™ Drive Encryption (BDE) IPSec Secure Socket Tunneling Protocol (SSTP) Network Access Protection (NAP) Terminal Services Gateway © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Netzwerkzugriffsschutz Policy Server z.B. Patch, AV 3 DHCP, VPN, Switch/Router 1 2 MSFT NPS Nicht richtlinien-konform Einge- schränktes Netzwerk 4 Fix-Up- Server z.B. Patch Windows- Client Richtlinien-konform Client bittet um Zugang zum Netzwerk und präsentiert seinen gegenwärtigen „Gesundheitszustand“ 1 5 Unternehmensnetz 2 DHCP, VPN oder Switch/Router leitet Gesundheitszustand an Microsoft Network Policy-Server (RADIUS-basierend) weiter 3 Network Policy Server (NPS) validiert diesen mit der von der Unternehmens-IT definierten „Gesundheitsrichtlinie“ 4 Falls nicht richtlinien-konform, wird Client in ein eingeschränktes VLAN umgeleitet und erhält Zugriff auf Ressourcen wie Patches, Konfigurationen und Signaturen 5 Bei Richtlinien-Konformität wird dem Client der vollständige Zugang zum Unternehmensnetz gewährt INF210

Verwendete Technologien 3/28/2017 8:11 PM Verwendete Technologien Enforcement “Gesunder” Client “Ungesunder” Client DHCP Zuteilung einer voll netzwerkfähigen IP-Adresse, voller Zugriff Begrenzte Routen VPN (Microsoft und 3rd Party) Voller Zugriff Begrenztes VLAN 802.1X IPsec Kann mit jeder vertrauten Gegenstelle kommunizieren “Gesunder” Clients verwirft Verbindungsanfragen von “ungesunden” Clients Vervollständigt Schutz auf Layer 2 Arbeitet problemlos mit bestehenden Servern und existierender Infrastruktur Flexible Isolation in Netzwerksegmente © 2006 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

{ Agenda } Einführung Read-Only Domain Controller (RODC) 3/28/2017 8:11 PM { Agenda } Einführung Read-Only Domain Controller (RODC) BitLocker™ Drive Encryption (BDE) IPSec Secure Socket Tunneling Protocol (SSTP) Network Access Protection (NAP) Terminal Services Gateway © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

TS Gateway Mit RDP erreichbare Ziele hinter Firewall HTTPS zur Überwindung von NAT/Firewalls vom Client AD/ISA/NAP-Tests bevor die Verbindung erlaubt Remote Desktop Connection Client 6.x AD/NPS/NAP AD/NPS/NAP Prüfung Windows Vista® RDC (TS) Client TS Gateway Terminal Servers oder Windows® XP/Vista RDP over HTTP/S Verbindung hergestellt zu TSG RDP 3389 an Host User initiiert HTTP/S Verbindung an TS Gateway User navigiert zu TS Web Access TS Web Access Internet DMZ Internes Netzwerk

Empfehlungen Read-Only Domain Controller im Branch Office Password Replication Policy Getrennte Administration BitLocker™ Drive Encryption zum Datenschutz Network Access Protection zum Zugriffsschutz

Zusammenfassung Windows Server 2008 bietet neue Technologien zur Erhöhung der Sicherheit in Branch Office-Umgebungen. Ein RODC speichert eine read-only Replik der Datenbank in Active Directory Domain Services. BitLocker™ Drive Encryption bietet Datenschutz für verloren gehende oder gestohlene Laptop und PC sowie entfernte Server. Ein SSTP VPN bietet Mechanismen zum Kapseln des IP-Verkehrs über einen SSL-Kanal oder das HTTPS-Protokoll zur Verbesserung der Sicherheit und Reduzierung der Anbindungskosten. Verbesserungen in IPSec erlauben höhere Sicherheit der Netzwerkkommunikation in Branch Offices.

Ressourcen Windows Server 2008 http://www.microsoft.com/windowsserver/windowsserver2008default.mspx Forum http://forums.microsoft.com/TechNet/default.aspx?ForumGroupID=161&SiteID=17 Virtual Lab http://www.microsoft.com/technet/traincert/virtuallab/longhorn.mspx Server Core http://msdn2.microsoft.com/en-us/library/ms723891.aspx Team Blog http://blogs.technet.com/server_core/default.aspx Forum http://forums.microsoft.com/TechNet/ShowForum.aspx?ForumID=582&SiteID=17 Windows Remote Management http://msdn2.microsoft.com/en-us/library/aa384426.aspx Remote Office http://www.microsoft.com/technet/remoteoffice/default.mspx#implement1

Ihr Potenzial. Unser Antrieb. Microsoft TechNet Seminar 2006 Seminar Name

Feedback: Datenschutzbestimmungen Feedback
Über Projekt: SlidePlayer Nutzungsbedingungen

© 2024 SlidePlayer.org Inc. All rights reserved.