Microsoft Windows Server Die technische Referenz Microsoft Windows Server Team

Transkript

1 Microsoft Windows Server Die technische Referenz von Microsoft Windows Server Team 1. Auflage Microsoft Windows Server Die technische Referenz Microsoft Windows Server Team schnell und portofrei erhältlich bei beck-shop.de DIE FACHBUCHHANDLUNG Thematische Gliederung: Großrechner, Server, eingebettete Systeme Microsoft 2008 Verlag C.H. Beck im Internet: ISBN

2 Inhaltsverzeichnis zu Windows Server 2008 Active Directory - Die technische Referenz : (Die Inhaltsverzeichnisse der weiteren Bücher finden Sie weiter unten!) Inhaltsverzeichnis Danksagung Einführung Über dieses Buch Teil 1 Windows Server 2008 Active Directory Überblick Teil 2 Entwerfen und Implementieren von Windows Server 2008 Active Directory Teil 3 Verwalten von Windows Server 2008 Active Directory Teil 4 Warten von Windows Server 2008 Active Directory Teil 5 Identitäts- und Zugriffsverwaltung mit Active Directory Konventionen in diesem Buch Hinweise für den Leser Abschnitte mit Zusatzinformationen Befehlszeilenbeispiele Begleit-CD Verwaltungsskripts Verwenden der Skripts Zusätzliche Onlineinhalte Supporthinweise für die technische Referenz Teil 1: Windows Server 2008 Active Directory Überblick 1 Kapitel 1: Neuerungen in Active Directory für Windows Server Neuerungen in den Active Directory-Domänendiensten 3 Schreibgeschützte Domänencontroller (Read-Only Domain Controllers, RODC) 3 AD DS-Überwachung 6 Fein abgestimmte Kennwortrichtlinien 7 Neustartmöglichkeit der Active Directory-Domänendienste 8 Datenbankbereitstellungstool 9 Verbesserungen der Benutzeroberfläche 9 Zusätzliche Active Directory-Dienstrollen 11 Active Directory-Zeftifikatdienste 11 Active Directory-Verbunddienste 13 Active Directory Lightweight Directory Services 14 Active Directory-Rechteverwaltungsdienste 15 Zusammenfassung 17 Kapitel 2: Active Directory-Domänendienstkomponenten 19 Physische Struktur der AD DS 19 Verzeichnisdatenspeicher 20 Domänencontroller 22 Globale Katalogserver 22

3 Schreibgeschützte Domänencontroller 25 Betriebsmaster 28 Übertragen von Betriebsmasterrollen 31 Schema 32 Logische Struktur der AD DS 40 AD DS-Partitionen 41 Domänen 45 Gesamtstrukturen 49 Vertrauensstellungen 50 Standorte 54 Organisationseinheiten 56 Zusammenfassung 59 Zusätzliche Ressourcen 59 Verwandte Tools 59 Ressourcen auf der CD 60 Verwandte Hilfethemen 60 Kapitel 3: Active Directory-Domänendienste und DNS 61 Integration von DNS in die AD DS 62 SVR-Ressourceneinträge 62 Von AD DS-Domänencontrollern registrierte SRV-Einträge 63 DNS-Locatordienst 66 Automatische Standortabdeckung 69 AD DS-integrierte Zonen 72 Vorteile der Nutzung AD DS-integrierter Zonen 72 Standardanwendungspartitionen für DNS 73 Verwalten AD DS-integrierter Zonen 75 Integrieren von DNS-Namespaces in AD DS-Domänen 78 DNS-Delegierung 79 Weiterleitungen und Stammhinweise 80 Problembehandlung bei der DNS- und AD DS-Integration 85 Problembehandlung für DNS 86 Problembehandlung bei der Registrierung von SRV-Einträgen 88 Zusammenfassung 89 Empfohlene Vorgehensweisen 89 Zusätzliche Ressourcen 89 Verwandte Informationen 89 Verwandte Tools 90 Ressourcen auf der CD 91 Verwandte Hilfethemen 91 Kapitel 4: Active Directory-Domänendienstreplikation 93 AD DS-Replikationsmodell 94 Replikationsverfahren 95 Aktualisierungstypen 95 Replizieren von Änderungen 97 Replizieren des Verzeichnisses SYSVOL 104 Standortinterne und standortübergreifende Replikation 104 Standortinterne Replikation 105 Standortübergreifende Replikation 106 Replikationslatenz 107 Dringende Replikation 108 Erstellen der Replikationstopologie 109

4 Konsistenzprüfung 110 Verbindungsobjekte 110 Standortinterne Replikationstopologie 112 Replikation des globalen Katalogs 116 Standortübergreifende Replikationstopologie 117 RODCs und die Replikationstopologie 118 Konfigurieren der standortübergreifenden Replikation 120 Erstellen zusätzlicher Standorte 121 Standortverknüpfungen 122 Standortverknüpfungsbrücken 126 Replikationstransportprotokolle 127 Konfigurieren von Bridgeheadservern 128 Problembehandlung bei der Replikation 131 Verfahren für die Problembehandlung bei der AD DS-Replikation 131 Tools für die Problembehandlung bei der AD DS-Replikation 133 Zusammenfassung 136 Empfohlene Vorgehensweisen 136 Zusätzliche Ressourcen 136 Verwandte Informationen 136 Verwandte Tools 137 Ressourcen auf der CD 138 Verwandte Hilfethemen 138 Teil 2: Entwerfen und Implementieren von Windows Server 2008 Active Directory 139 Kapitel 5: Entwerfen der Active Directory- Domänendienstestruktur 141 Definieren der Verzeichnisdienstanforderungen 142 Definieren von Geschäftsanforderungen und technischen Anforderungen 143 Dokumentieren der aktuellen Umgebung 148 Entwerfen der Gesamtstruktur 154 Gesamtstrukturen und der AD DS-Entwurf 154 Einzelne oder mehrere Gesamtstrukturen 157 Entwerfen von Gesamtstrukturen für die AD DS-Sicherheit 158 Modelle für den Gesamtstrukturentwurf 161 Definieren des Gesamtstrukturbesitzes 163 Richtlinien zur Kontrolle von Gesamtstrukturänderungen 164 Entwerfen der Integration mehrerer Gesamtstrukturen 164 Entwerfen gesamtstrukturübergreifender Vertrauensstellungen 165 Entwerfen der Verzeichnisintegration zwischen Gesamtstrukturen 169 Entwerfen der Domänenstruktur 169 Festlegen der Domänenanzahl 171 Entwerfen der Gesamtstruktur-Stammdomäne 173 Entwerfen von Domänenhierarchien 174 Domänenstrukturen und -Vertrauensstellungen 175 Ändern der Domänenhierarchie nach der Bereitstellung 177 Definieren des Domänenbesitzes 177 Entwerfen von Domänen- und Gesamtstrukturfunktionsebenen 178 Auf Domänenfunktionsebene aktivierte Funktionen 178 Auf Gesamtstrukturfunktionsebene aktivierte Funktionen 179

5 Implementieren einer Domänen- und Gesamtstrukturfunktionsebene 180 Entwerfen der DNS-Infrastruktur 180 Entwurf des Namespaces 180 Entwerfen der Struktur von Organisationseinheiten 188 Organisationseinheiten und der AD DS-Entwurf 188 Entwerfen einer OU-Struktur 189 Erstellen eines OU-Entwurfs 191 Entwerfen der Standorttopologie 193 Standorte und der AD DS-Entwurf 193 Erstellen eines Standortentwurfs 194 Erstellen eines Replikationsentwurfs 197 Entwerfen von Serverstandorten 201 Zusammenfassung 209 Empfohlene Vorgehensweisen 209 Zusätzliche Ressourcen 210 Verwandte Informationen 210 Ressourcen auf der CD 211 Kapitel 6: Installieren der Active Directory-Domänendienste 213 Voraussetzungen für die AD DS-Installation 213 Festplattenspeicheranforderungen 214 Netzwerkkonnektivität 215 DNS 216 Administratorrechte 216 Betriebssystemkompatibilität 216 Grundlegendes zu den AD DS-Installationsoptionen 218 Aufgaben der Erstkonfiguration und Assistent zum Hinzufügen von Rollen 218 Server-Manager 219 Installieren von Active Directory-Domänendiensten 220 Unbeaufsichtigte Installation 221 Verwenden des Assistenten zum Installieren von Active Directory- Domänendiensten 221 Bereitstellungskonfiguration 222 Benennen der Domäne 223 Konfigurieren der Funktionsebenen von Windows Server Weitere Domänencontrolleroptionen 227 Dateispeicherorte 228 Abschließen der Installation 229 Überprüfen der AD DS-Installation 230 Durchführen einer unbeaufsichtigten Installation 231 Installieren von Medium 232 Bereitstellen schreibgeschützter Domänencontroller 234 Server Core-Installation unter Windows Server Bereitstellen von RODCs 235 Entfernen der AD DS 235 Entfernen von zusätzlichen Domänencontrollern 237 Entfernen des letzten Domänencontrollers 237 Unbeaufsichtigtes Entfernen der AD DS 238 Erzwungenes Entfernen eines Windows Server 2008-Domänencontrollers 238 Zusammenfassung 239 Zusätzliche Ressourcen 240 Verwandte Informationen 240

6 Verwandte Tools 241 Kapitel 7: Migrieren auf die Active Directory-Domänendienste 243 Migrationsoptionen 244 Das Verfahren der Domänenaktualisierung 245 Domänenumstrukturierung 246 Festlegen der Migrationsoption 248 Aktualisieren der Domäne 250 Durchführen der Aktualisierung von Windows 2000 Server und Windows Server Umstrukturieren der Domäne 253 Migration zwischen Gesamtstrukturen 254 Migration innerhalb der Gesamtstruktur 261 Konfigurieren von Vertrauensstellungen zwischen Gesamtstrukturen 262 Zusammenfassung 264 Empfohlene Vorgehensweisen 265 Zusätzliche Ressourcen 265 Verwandte Informationen 265 Verwandte Tools 266 Teil 3: Verwalten von Windows Server 2008 Active Directory 267 Kapitel 8: Active Directory-Domänendienstsicherheit 269 AD DS-Sicherheitsgrundlagen 270 Sicherheitsprinzipale 270 Zugriffssteuerungslisten (ACLs) 271 Zugriffstoken 273 Authentifizierung 274 Autorisierung 275 Kerberos-Sicherheit 276 Einführung in Kerberos 277 Kerberos-Authentifizierung 279 Delegieren der Authentifizierung 286 Konfigurieren von Kerberos unter Windows Server Integration in die Public Key-Infrastruktur 290 Integration in Smartcards 293 Interoperabilität mit anderen Kerberos-Systemen 294 Problembehandlung für Kerberos 295 NTLM-Authentifizierung 298 Implementieren der Sicherheit für Domänencontroller 300 Verringern der Angriffsfläche von Domänencontrollern 301 Konfigurieren der Standard-Domänencontrollerrichtlinie 304 Konfigurieren von SYSKEY 312 Entwerfen sicherer administrativer Vorgehensweisen 312 Zusammenfassung 315 Empfohlene Vorgehensweisen 315 Zusätzliche Ressourcen 316 Verwandte Informationen 316 Verwandte Tools 317 Ressourcen auf der CD 318

7 Verwandte Hilfethemen 318 Kapitel 9: Delegieren der Active Directory- Domänendiensteverwaltung 319 Active Directory-Verwaltungsaufgaben 320 Zugreifen auf Active Directory-Objekte 321 Auswerten von Verweigern- und Zulassen-ACEs in einer DACL 322 Active Directory-Objektberechtigungen 323 Standardberechtigungen 323 Spezielle Berechtigungen 325 Berechtigungsvererbung 330 Effektive Berechtigungen 333 Besitz von Active Directory-Objekten 336 Delegieren von Verwaltungsaufgaben 338 Überwachen der Verwendung von Administratorrechten 341 Konfigurieren der Überwachungsrichtlinie für Domänencontroller 342 Konfigurieren der Überwachung für Active Directory-Objekte 344 Tools für die delegierte Verwaltung 346 Anpassen der Microsoft Management Console 347 Planen der delegierten Verwaltung 348 Zusammenfassung 349 Zusätzliche Ressourcen 349 Verwandte Informationen 349 Kapitel 10: Verwalten von Active Directory-Objekten 351 Verwalten von Benutzern 351 Benutzerobjekte 352 inetorgperson-objekte 357 Kontaktobjekte 358 Dienstkonten 359 Verwalten von Gruppen 360 Gruppentypen 360 Gruppenbereich 361 Standardgruppen in Active Directory 365 Spezialidentitäten 367 Erstellen eines Sicherheitsgruppenentwurfs 367 Verwalten von Computern 370 Verwalten von Druckerobjekten 373 Veröffentlichen von Druckern in Active Directory 373 Automatisiertes Auffinden von Druckerstandorten 376 Verwalten von veröffentlichten freigegebenen Ordnern 377 Automatisieren der Active Directory-Objektverwaltung 379 Befehlszeilenprogramme für die Verwaltung von Active Directory 379 Verwenden von LDIFDE und CSVDE 380 Verwenden von VBScript für die Verwaltung von Active Directory-Objekten 382 Zusammenfassung 388 Empfohlene Vorgehensweisen 388 Zusätzliche Ressourcen 389 Verwandte Informationen 389 Verwandte Tools 390 Ressourcen auf der CD 390

8 Kapitel 11: Einführung in Gruppenrichtlinien 393 Gruppenrichtlinien Übersicht 394 Funktionsweise von Gruppenrichtlinien 395 Neuerungen in Windows Server 2008-Gruppenrichtlinien 397 Gruppenrichtlinienkomponenten 399 Übersicht über den Gruppenrichtliniencontainer 399 Komponenten der Gruppenrichtlinienvorlage 401 Replikation der Gruppenrichtlinienobjekt-Komponenten 402 Gruppenrichtlinienverarbeitung 403 Verarbeitung von Gruppenrichtlinienobjekten auf Clients 404 Anfängliche Verarbeitung von Gruppenrichtlinienobjekten 406 Aktualisierungen von Gruppenrichtlinienobjekten im Hintergrund 408 Beziehung zwischen dem Verlauf eines Gruppenrichtlinienobjekts und Gruppenrichtlinienaktualisierungen 409 Ausnahmen bei den standardmäßigen Zeitpunkten der Hintergrundverarbeitung 411 Implementieren von Gruppenrichtlinien 416 Übersicht über die Konsole Gruppenrichtlinien Verwaltung 417 Erstellen und Verknüpfen von Gruppenrichtlinienobjekten in der Konsole Gruppenrichtlinienverwaltung 418 Ändern des Verarbeitungsbereichs von Gruppenrichtlinienobjekten 420 Delegieren der Verwaltung von Gruppenrichtlinienobjekten 429 Implementieren von Gruppenrichtlinien zwischen Domänen und Gesamtstrukturen 431 Verwalten von Gruppenrichtlinienobjekten 432 Sichern und Wiederherstellen von Gruppenrichtlinienobjekten 432 Kopieren von Gruppenrichtlinienobjekten 435 Importieren der Einstellungen von Gruppenrichtlinienobjekten 435 Modellieren von und Erstellen von Berichten zu Gruppenrichtlinienergebnissen 435 Erstellen von Skripts für die Gruppenrichtlinienverwaltung 440 Planen einer Gruppenrichtlinienimplementierung 443 Fehlerbehebung bei Gruppenrichtlinien 444 Zusammenfassung 446 Zusätzliche Ressourcen 446 Verwandte Informationen 446 Kapitel 12: Einsetzen von Gruppenrichtlinien zum Verwalten von Benutzerdesktops 449 Desktopverwaltung mithilfe von Gruppenrichtlinien 450 Verwalten von Benutzerdaten und Profileinstellungen 452 Verwalten von Benutzerprofilen 453 Einsetzen von Gruppenrichtlinien zum Verwalten servergespeicherter Benutzerprofile 460 Ordnerumleitung 462 Administrative Vorlagen 471 Grundlegendes zu administrativen Vorlagendateien 471 Verwalten domänenbasierter Vorlagendateien 474 Empfohlene Vorgehensweisen für die Verwaltung von ADMX-Vorlagendateien 475 Verwalten der Benutzerumgebung mithilfe von Skripts 477 Bereitstellen von Software mithilfe von Gruppenrichtlinien 478 Windows Installer-Technologie 478 Bereitstellen von Anwendungen 479 Verteilen von nicht mit Windows Installer installierten Anwendungen mithilfe von Gruppenrichtlinien 483 Konfigurieren von Softwarepaketeigenschaften 484 Konfigurieren von Windows Installer mithilfe von Gruppenrichtlinien 491

9 Planen der Gruppenrichtlinie für die Softwareinstallation 493 Einschränkungen beim Einsatz von Gruppenrichtlinien zum Verwalten von Software 494 Übersicht über Gruppenrichtlinieneinstellungen 496 Das Feature Gruppenrichtlinieneinstellungen im Vergleich zu Richtlinieneinstellungen 496 Gruppenrichtlinieneinstellungen in Einstellungen 497 Optionen für das Feature Gruppenrichtlinieneinstellungen 500 Zusammenfassung 503 Zusätzliche Ressourcen 504 Verwandte Informationen 504 Auf der Begleit-CD 504 Kapitel 13: Einsetzen von Gruppenrichtlinien zum Verwalten der Sicherheit 505 Konfigurieren der Domänensicherheit mit Gruppenrichtlinien 505 Übersicht über die Standarddomänenrichtlinie 506 Übersicht über die Standardrichtlinie für Domänencontroller 511 Neuerstellen der Standard-GPOs für eine Domäne 516 Fein abgestimmte Kennwortrichtlinien 517 Verstärken der Serversicherheit mithilfe von Gruppenrichtlinien 522 Richtlinien für Softwareeinschränkung 525 Konfigurieren der Netzwerksicherheit mit Gruppenrichtlinien 528 Konfigurieren der Sicherheit für verkabelte Netzwerke 529 Konfigurieren der Sicherheit für drahtlose Netzwerke 531 Konfigurieren von Windows-Firewall und IPsec-Sicherheit 532 Konfigurieren von Sicherheitseinstellungen anhand von Sicherheitsvorlagen 534 Bereitstellen von Sicherheitsvorlagen 536 Zusammenfassung 539 Zusätzliche Ressourcen 539 Verwandte Informationen 539 Teil 4: Warten von Windows Server 2008 Active Directory 541 Kapitel 14: Überwachen und Warten von Active Directory 543 Überwachen von Active Directory 543 Gründe für die Überwachung von Active Directory 544 Überwachen von Serverzuverlässigkeit und -leistung 546 Überwachen von Active Directory 554 Zu überwachende Elemente 562 Überwachen der Replikation 564 Verwalten der Active Directory-Datenbank 566 Sammeln veralteter Objekte 566 Onlinedefragmentierung 567 Offlinedefragmentierung der Active Directory-Datenbank 569 Verwalten der Active Directory-Datenbank mithilfe des Tools Ntdsutil 570 Zusammenfassung 572 Zusätzliche Ressourcen 572 Verwandte Informationen 572 Kapitel 15: Active Directory-Notfallwiederherstellung 575 Vorbereiten auf einen Ausfall 576 Active Directory-Datenspeicher 577

10 Sichern von Active Directory 579 Notwendigkeit von Sicherungen 581 Tombstone-Ablaufzeit 581 Sicherungshäufigkeit 583 Wiederherstellen von Active Directory 583 Wiederherstellen von Active Directory durch Erstellen eines neuen Domänencontrollers 584 Nicht autorisierende Wiederherstellung von Active Directory 587 Autorisierendes Wiederherstellen von Active Directory 591 Wiederherstellen von Gruppenmitgliedschaften 594 Wiederbeleben von Tombstone-Objekten 597 Verwenden des Active Directory-Datenbankbereitstellungstools 599 Wiederherstellen von SYSVOL-Informationen 602 Wiederherstellen von Betriebsmaster- und globalen Katalogservern 602 Zusammenfassung 606 Empfohlene Vorgehens weisen 606 Zusätzliche Ressourcen 607 Verwandte Informationen 607 Verwandte Tools 607 Teil 5: Identitäts- und Zugriffsverwaltung mit Active Directory 609 Kapitel 16: Active Directory Lightweight Directory Services 611 AD LDS Übersicht 612 AD LDS Features 612 AD LDS Bereitstellungsszenarien 612 AD LDS Architektur und Komponenten 614 AD LDS Server 614 AD LDS Instanzen 615 Verzeichnispartitionen 616 AD LDS Replikation 620 AD LDS Sicherheit 624 Implementieren der AD LDS 630 Konfigurieren von Instanzen und Anwendungspartitionen 630 AD LDS-Verwaltungstools 633 Konfigurieren der Replikation 638 Sichern und Wiederherstellen der AD LDS 640 Konfigurieren der AD DS- und AD LDS-Synchronisierung 643 Zusammenfassung 646 Empfohlene Vorgehensweisen 646 Zusätzliche Ressourcen 647 Verwandte Tools 647 Ressourcen auf der CD 648 Verwandte Hilfethemen 648 Kapitel 17: Active Directory-Zertifikatdienste 649 Active Directory-Zertifikatdienste Übersicht 649 Komponenten der Public Key-Infrastruktur 650 Zertifizierungsstellen 656

11 Szenarien für die Bereitstellung der Zertifikatdienste 658 Implementieren der AD CS 658 Installieren von AD CS-Stammzertifizierungsstellen 659 Installieren untergeordneter AD CS-Zertifizierungsstellen 661 Konfigurieren der Webregistrierung 661 Konfigurieren der Zertifikatsperrung 662 Verwalten der Schlüsselarchivierung und -Wiederherstellung 668 Verwalten von Zertifikaten in den AC CS 672 Konfigurieren von Zertifikatvorlagen 673 Konfigurieren der automatischen Zertifikatregistrierung 677 Verwalten der Akzeptanz von Zertifikaten mithilfe von Gruppenrichtlinien 679 Konfigurieren der Serverspeicherung von Anmeldeinformationen 680 Entwerfen einer AD CS-Implementierung 681 Entwerfen einer Zertifizierungsstellenhierarchie 681 Entwerfen von Zertifikatvorlagen 685 Entwerfen der Zertifikatverteilung und -Sperrung 687 Zusammenfassung 687 Empfohlene Vorgehensweisen 688 Zusätzliche Ressourcen 688 Verwandte Informationen 689 Verwandte Tools 689 Kapitel 18: Active Directory-Rechteverwaltungsdienste 691 Überblick über die AD RMS 692 AD RMS-Features 692 AD RMS-Komponenten 694 Funktionsweise der AD RMS 697 AD RMS-Bereitstellungsszenarien 701 Implementieren der AD RMS 702 Vor der Installation der AD RMS zu berücksichtigende Aspekte 702 Installieren von AD RMS-Clustern 703 Konfigurieren des AD RMS-Dienstverbindungspunkts 707 Arbeiten mit AD RMS-Clients 708 Verwalten der AD RMS 713 Verwalten von Vertrauensrichtlinien 713 Verwalten von Vorlagen für Benutzerrechterichtlinien 720 Konfigurieren von Ausschlussrichtlinien 725 Konfigurieren von Sicherheitsrichtlinien 726 Anzeigen von Berichten 728 Zusammenfassung 729 Zusätzliche Ressourcen 730 Verwandte Informationen 730 Kapitel 19: Active Directory-Verbunddienste 731 Überblick über die AD FS 732 Identitätsverbund 732 Webdienste 733 AD FS-Komponenten 735 AD FS-Bereitstellungsentwürfe 738 Implementieren der AD FS 744 AD FS-Bereitstellungsanforderungen 745 Implementieren der AD FS in einem Federated-Web-SSO-Entwurf 751 Konfigurieren des Kontopartner-Verbunddienstes 758

12 Konfigurieren von AD FS-Komponenten des Ressourcenpartners 766 Konfigurieren von AD FS für Windows NT-Token-basierte Anwendungen 770 Implementieren eines Web-SSO-Entwurfs 772 Implementieren eines Federated-Web-SSO-Entwurfs mit Gesamtstrukturvertrauensstellung 773 Zusammenfassung 775 Empfohlene Vorgehensweisen 775 Zusätzliche Ressourcen 775 Ressourcen auf der CD 776 Verwandte Hilfethemen 776 Stichwortverzeichnis 777 Über die Autoren 803 Systemanforderungen 805 Inhaltsverzeichnis zu Windows Server 2008 Sicherheit - Die technische Referenz : Danksagungen Einleitung Überblick über das Buch Dokumentkonventionen Leserhinweise Textblöcke Befehlszeilenbeispiele Begleit-CD Elevation Tools Passgen Verwaltungsskripts E-Book Materialien zu einzelnen Kapiteln Links zu Tools, die im Buch erwähnt werden Systemvoraussetzungen Support für dieses Buch Teil 1: Grundlagen der Windows-Sicherheit 1 1 Subjekte, Benutzer und andere Akteure 3 Die Beziehung von Subjekt, Objekt und Aktion 3 Typen von Sicherheitsprinzipalen 4 Benutzer 4 Computer 7 Gruppen 7 Abstrakte Konzepte (Anmeldegruppen) 10 Dienste 11

13 Sicherheits-IDs 12 Komponenten einer SID 13 SID-Autoritäten 13 Dienst-SIDs 15 Bekannte SIDs 15 Zusammenfassung 16 Weitere Informationen 16 2 Authentifizierung und Authentifizierungsprotokolle 17 Etwas, das Sie wissen, und etwas, das Sie haben 17 Etwas, das Sie wissen 18 Etwas, das Sie haben 18 Etwas, das Sie sind 18 Speichern der Authentifizierer 20 LM-Hash 22 NT-Hash 24 Kennwortverifizierer 25 Im Speicher 27 Umkehrbar verschlüsselt 27 Authentifizierungsprotokolle 29 Standardauthentifizierung 29 Frage-Antwort-Protokolle 30 Smartcardauthentifizierung 38 Smartcards und Kennwörter 38 Angriffe auf Kennwörter 39 Ausspähen von Kennwörtern 39 Nutzen der ausgespähten Informationen 43 Schützen Ihrer Kennwörter 46 Verwalten von Kennwörtern 47 Verwenden anderer Authentifizierer 48 Kennwörter sicher notieren 48 Nehmen Sie das Wort in Kennwort nicht zu wörtlich 48 Festlegen von Kennwortrichtlinien 49 Abgestimmte Kennwortrichtlinien 50 Zusammenfassung 55 Weitere Informationen 55 3 Objekte: Was Sie wollen 57 Terminologie der Zugriffssteuerung 57 Geschützte Objekte 58 Sicherheitsbeschreibungen 58 Zugriffsteuerungslisten 60 Zugriffssteuerungseinträge 61 Zugriffsmasken 63 Beziehung zwischen Zugriffssteuerungsstrukturen 69 Vererbung 69 Sicherheitstoken 71 Ablauf der Zugriffsprüfung 74 Integritätsebenen 76 Leere und Null-DACLs 77 Security Descriptor Definition Language 78 Tools zum Verwalten von Berechtigungen 81 Cacls und Icacls 82

14 SC 83 Subinacl 83 Wichtige Änderungen bei der Zugriffssteuerung in Windows Server TrustedInstaller-Berechtigungen 84 Netzwerkstandort-SIDs 84 Änderungen beim Dateisystemnamespace 84 Berechtigungen für Hauptbenutzer entfernt 85 EIGENTÜMERRECHTE und Besitzerrechte 85 Benutzerrechte und Privilegien 85 RBAC/AZMAN 89 Zusammenfassung 90 Weitere Informationen 90 4 Grundlagen der Benutzerkontensteuerung 91 Was ist Benutzerkontensteuerung? 91 So funktioniert die Tokenfilterung 93 Komponenten der Benutzerkontensteuerung 94 Benutzeroberfläche der Benutzerkontensteuerung 94 Anwendungsinformationsdienst 97 Datei- und Registrierungsvirtualisierung 98 Manifeste und angeforderte Ausführungsebenen 100 Installererkennungstechnologie 101 UIPI 102 Anhebungsaufforderungen auf dem sicheren Desktop 102 Remoteunterstützung 103 UAC-Remoteeinschränkungen 104 Zuordnen von Netzlaufwerken im Administratorbestätigungsmodus 104 Blockierte Anwendungsanhebungen bei Anmeldung 106 Konfigurieren der UAC-Kompatibilität für ältere Anwendungen 107 UAC-Gruppenrichtlinieneinstellungen 108 UAC-Richtlinieneinstellungen unter Sicherheitsoptionen 108 Zugehörige UAC-Richtlinien 110 Was hat sich bei der UAC in Windows Server 2008 und Windows Vista SP1 geändert? 111 Neue Gruppenrichtlinieneinstellung: UIAccess-Anwendungen können erhöhte Rechte ohne sicheren Desktop anfordern 111 Nur eine Bestätigung bei Dateioperationen im Windows-Explorer 112 Über 40 neue Anwendungskompatibilitäts-Shims 112 Empfehlungen für die UAC 112 Gut 112 Besser 113 Am besten 113 Zusammenfassung 113 Weitere Informationen Firewall und Netzwerkzugriffsschutz 115 Windows-Filterplattform 116 Windows-Firewall mit erweiterter Sicherheit 118 Verbesserungen an der Windows-Firewall 118 Verwalten der Windows-Firewall 122 Routing- und RAS-Dienste 130 Verbesserungen in RRAS 131 Internet Protocol Security 133

15 Grundlagen von IPsec 133 Neue Fähigkeiten in Windows Server Netzwerkzugriffsschutz 139 Architektur 139 Implementieren von NAP 143 NAP-Szenarien 146 Zusammenfassung 148 Weitere Informationen Dienste 151 Einführung in Dienste 151 Was ist ein Dienst? 152 Anmeldekonten für Dienste 152 Dienstports 154 Konfigurieren von Diensten 155 Windows Server 2008-Dienste für unterschiedliche Rollen 161 Angriffe auf Dienste 161 Blaster-Wurm 162 Verbreitete Angriffsmethoden 163 Diensthärtung 165 Geringstmögliche Privilegien 166 Dienst-SIDs 170 Schreibeingeschränkte SIDs 173 Eingeschränkter Netzwerkzugriff 175 Sitzung-0-Isolierung 177 Verbindliche Integritätsebenen 177 Datenausführungsverhinderung 178 Andere neue SCM-Features 178 Schützen von Diensten 179 Inventarisieren von Diensten 179 Abschalten möglichst vieler Dienste 180 Zuweisen geringstmöglicher Privilegien an die übrigen Dienste 180 Halten Sie Ihre Updates auf dem neuesten Stand 181 Erstellen und Verwenden benutzerdefinierter Dienstkonten 181 Implementieren der Netzwerkisolierung mit Windows-Firewall und IPsec 183 Überwachen von Dienstfehlern 183 Entwickeln und verwenden Sie sichere Dienste 183 Zusammenfassung 183 Weitere Informationen Gruppenrichtlinien 185 Was ist neu in Windows Server 2008? 185 Grundlagen von Gruppenrichtlinien 186 Das lokale Gruppenrichtlinienobjekt 186 Active Directory-Gruppenrichtlinienobjekte 187 Gruppenrichtlinienverarbeitung 193 Was ist neu bei Gruppenrichtlinien? 197 Gruppenrichtliniendienst 197 ADMX-Vorlagen und der zentrale Speicher 197 Starter-Gruppenrichtlinienobjekte 199 GPO-Kommentare 200 Verbesserungen an der Filterung 203 Erweiterte Verwaltungsmöglichkeiten für Sicherheitsrichtlinien 204

16 Windows-Firewall mit erweiterter Sicherheit 206 Richtlinien für verkabelte und Drahtlosnetzwerke 208 Verwalten von Sicherheitseinstellungen 211 Zusammenfassung 214 Weitere Informationen Überwachung 217 Wozu überwachen? 218 So funktioniert die Windows-Überwachung 218 Festlegen einer Überwachungsrichtlinie 221 Optionen für Überwachungsrichtlinien 225 Entwerfen einer guten Überwachungsrichtlinie 229 Neue Ereignisse in Windows Server Analysieren von Ereignissen mit den eingebauten Tools 236 Ereignisanzeige 236 WEvtUtil 242 Zusammenfassung 242 Teil 2: Implementieren von Identitäts- und Zugriffssteuerung mit Active Directory Optimieren der Active Directory-Domänendienste für Sicherheit 247 Die neue Benutzeroberfläche 248 Der neue Assistent zum Installieren von Active Directory-Domänendiensten 250 Schreibgeschützte Domänencontroller 252 Schreibgeschützte AD DS-Datenbank 253 RODC-gefilterte Attributsätze 253 Unidirektionale Replikation 254 Zwischenspeichern von Anmeldeinformationen 254 Schreibgeschütztes DNS 256 Mehrstufige Installation für schreibgeschützte Domänencontroller 257 Neustartfähige Active Directory-Domänendienste 258 Active Directory-Datenbankbereitstellung 259 AD DS-Überwachung 261 Überwachen von AD DS-Zugriffen 262 Grundlagen von AD LDS 266 Neue Features für AD LDS in Windows Server Grundlagen der Active Directory-Verbunddienste 269 Was ist AD FS? 269 Was ist neu in Windows Server 2008? 270 Zusammenfassung 271 Weitere Informationen Implementieren der Active Directory-Zertifikatdienste 273 Was ist neu in der Windows Server 2008-PKI? 274 Bedrohungen für Zertifikatdienste und Eindämmungsmöglichkeiten 275 Kompromittierung des Schlüsselpaars einer Zertifizierungsstelle 275 Verhinderung von Zertifikatsperrprüfungen 276 Versuche, die Konfiguration der Zertifizierungsstelle zu verändern 279

17 Versuche, eine Zertifikatsvorlage zu verändern 280 Hinzufügen nichtvertrauenswürdiger Zertifizierungsstellen zum Speicher der vertrauenswürdigen Stammzertifizierungsstellen 281 Registrierungs-Agenten, die nichtautorisierte Zertifikate ausstellen 283 Kompromittierung einer Zertifizierungsstelle durch einen einzelnen Administrator 284 Unautorisierte Wiederherstellung des privaten Schlüssels eines Benutzers aus der Zertifizierungsstellendatenbank 285 Schützen von Zertifikatdiensten 286 Implementieren physischer Sicherheitsmaßnahmen 286 Empfehlungen 288 Zusammenfassung 289 Weitere Informationen Implementieren der Active Directory- Rechteverwaltungsdienste 291 Grundlagen von RMS 293 Erforderliche Clientkomponenten 295 Erforderliche Serverrollen 295 Denkbare Architekturen 296 Implementieren von AD RMS 297 Vorbereiten der Infrastruktur 299 Bereitstellen des RMS-Servers 300 Erstellen von RMS-Richtlinienvorlagen 309 Integration mit Microsoft Office 311 Einsetzen von RMS, um bestimmte Anforderungen zu erfüllen 312 Gesetze mit Auswirkungen darauf, wie Organisationen Aufzeichnungen archivieren 312 Konsequenzen, wenn die Anforderungen nicht erfüllt werden 313 Wie AD RMS helfen kann 314 Einschränkungen von AD RMS 314 Zusammenfassung 314 Weitere Informationen 315 Teil 3: Sicherheitsszenarien Schützen von Serverrollen 319 Rollen und Features 320 Standardrollen und -features 321 Ihr Server vor der Installation von Rollen 328 Standardmäßig installierte Dienste 328 Server Core 328 In Server Core unterstützte Rollen 330 In Server Core unterstützte Features 331 Was in Server Core nicht enthalten ist 331 Tools zum Verwalten von Serverrollen 333 Aufgaben der Erstkonfiguration 333 Die Assistenten Rollen hinzufügen und Features hinzufügen 334 Server-Manager 335 Der Sicherheitskonfigurations-Assistent 336 Server mit mehreren Rollen 346 Zusammenfassung 346

18 13 Patchverwaltung 349 Die vier Phasen der Patchverwaltung 349 Phase 1: Bewerten 350 Phase 2: Identifizieren 351 Phase 3: Auswerten und Planen 353 Phase 4: Bereitstellen 355 Der Aufbau eines Sicherheitsupdates 356 Unterstützte Befehlszeilenparameter 356 Integrieren von MSU-Dateien in eine Windows-Abbilddatei 357 Tools für Ihr Patchverwaltungsarsenal 358 Microsoft Download Center 358 Microsoft Update-Katalog 358 Windows Update und Microsoft Update 359 Automatische Windows-Updates 360 Microsoft Baseline Security Analyzer 362 Windows Server Update Services 366 System Center Essentials Zusammenfassung 376 Weitere Informationen Schützen des Netzwerks 377 Einführung in Sicherheitsabhängigkeiten 380 Akzeptable Abhängigkeiten 381 Inakzeptable Abhängigkeiten 381 Abhängigkeitsanalyse eines Angriffs 383 Abhängigkeitstypen 385 Nutzungsabhängigkeiten 385 Zugriffsabhängigkeiten 386 Administrative Abhängigkeiten 388 Dienstkontoabhängigkeiten 388 Betriebsabhängigkeiten 389 Eindämmen von Abhängigkeiten 389 Schritt 1: Erstellen eines Klassifizierungsschemas 390 Schritte 2 und 3: Netzwerkgefahrenmodellierung 393 Schritt 4: Analysieren, waschen und wiederholen, bis sauber 397 Schritt 5: Entwerfen der Isolierungsstrategie 398 Schritt 6: Ableiten einer Betriebsstrategie 399 Schritt 7: Implementieren von Einschränkungen 400 Zusammenfassung 403 Weitere Informationen Schützen von Zweigstellen 405 Einführung in die Probleme von Zweigstellen 405 Warum sind Zweigstellen wichtig? 406 Was ist anders in einer Zweigstelle? 406 Aufbauen von Zweigstellen 407 Windows Server 2008 in der Zweigstelle 409 Features, die nicht mit Sicherheit zu tun haben 409 Sicherheitsfeatures für die Zweigstelle 411 Andere Sicherheitsmaßnahmen 426 Zusammenfassung 427 Weitere Informationen 427

19 16 Aspekte für kleine Unternehmen 429 Betreiben von Servern bei knappem Budget 430 Auswählen der richtigen Plattformen und Rollen 431 Server für kleine Firmen 433 Windows Server 2008 Web Edition 433 Windows Small Business Server Windows Essential Business Server 437 Gehostete Server 438 Virtualisierung 438 Verletzen aller Prinzipien mit Servern, die mehrere Rollen übernehmen 439 Akzeptable Rollen 440 Serverkomponenten 440 Risikofaktoren 441 Grenzserver 443 Support und Updates 445 Wiederherstellen des Servers 446 Empfehlungen für kleine Unternehmen 447 Befolgen von Leitfäden zur Serverhärtung 448 Richtlinien 452 Verfahrensempfehlungen für Hersteller 454 Remotezugriff 456 Überwachungs- und Verwaltungs-Add-Ons 457 Die Rolle des Servers bei der Kontrolle und Verwaltung der Arbeitsstationen 459 Empfehlungen für weitere Servereinstellungen und -konfigurationen 463 Zusammenfassung 468 Weitere Informationen Schützen von Serveranwendungen 471 Einführung 471 IIS 7.0: Ein Sicherheitsstammbaum 473 Konfigurieren von IIS Featuredelegierung 474 TCP/IP-Sicherheit 476 IP-Adressensicherheit 476 Portsicherheit 479 Hostheadersicherheit 479 Einfache pfadbasierte Sicherheit 480 Definieren und Einschränken des physischen Pfads 480 Standarddokument oder Verzeichnissuche? 483 Authentifizierung und Autorisierung 484 Anonyme Authentifizierung 485 Standardauthentifizierung 486 Clientzertifikatzuordnung 487 Digestauthentifizierung 490 ASP.NET-Identitätswechsel 490 Formularauthentifizierung 491 Windows-Authentifizierung 492 Dem Server vertrauen 493 Weitere Sicherheitsaspekte für IIS 495 Zusammenfassung 500 Weitere Informationen 501 Stichwortverzeichnis 503

20 Die Autoren 523 Inhaltsverzeichnis zu Microsoft Windows Server 2008 Networking und Netzwerkschutz - Die technische Referenz : Danksagungen XVII Einführung XIX Dokumentkonventionen XIX Begleit-CD XX Systemvoraussetzungen XXI Support für dieses Buch XXI Teil 1: Adressierungs- und Datenpaketflussinfrastruktur 1 Kapitel 1: IPv4 3 Konzepte 3 Netzwerkschichten 3 IPv4-Adressierung 4 Private IPv4-Adressen 7 Automatische private IP-Adressierung (APIPA) 7 Multicastadressen 8 Netzwerkadressenübersetzung (NAT) 9 Schicht-2- und Schicht-3-Adressierung 11 Schicht-4-Protokolle: UDP und TCP 12 Planungs- und Entwurfsaspekte 12 Entwerfen der Internetverbindung 12 Erstellen eines IPv4-Adressierungsschemas 14 Planen der Hostadressen 15 Verwenden von VPNs 15 Planen der Redundanz 17 Verwenden von mehrfach vernetzten Computern 18 Bereitstellungsschritte 19 Manuelles Konfigurieren von IPv4-Clients 19 Konfigurieren eines Clients für den Fall, dass kein DHCP-Server verfügbar ist 20 Hinzufügen von Routen zur Routingtabelle 20 Wartung 21 Problembehandlung 21 ARP 21 Ipconfig 21 Netstat 22 PathPing 24 Systemmonitor 24 Ping 25 Task-Manager 26

21 Windows-Netzwerkdiagnose 26 Zusammenfassung des Kapitels 27 Weitere Informationen 27 Kapitel 2: IPv6 29 Konzepte 29 Änderungen in IPv6 gegenüber IPv4 30 IPv6-Adressierung 31 IPv6-Autokonfiguration 36 DHCPv6 38 Nachbarschaftserkennung (Neighbor Discovery) 38 IPv6-Sicherheit 38 IPv6-Übergangstechnologien 39 Planungs- und Entwurfsaspekte 45 Migration auf IPv6 45 Beschaffen von IPv6-Adressen 46 Planen der Aktualisierung der Netzwerkinfrastruktur 47 Planungen für IPv6-Übergangstechnologien 47 Bereitstellungsschritte 48 So deaktivieren Sie IPv6 48 So konfigurieren Sie IPv6 manuell 49 So konfigurieren Sie IPv6 mit einem Skript 50 So aktivieren Sie ISATAP 50 So aktivieren Sie 6to4 51 So aktivieren Sie Teredo 52 So konfigurieren Sie einen Computer als IPv6-Router 53 Wartung 56 Problembehandlung 56 Netsh 56 Ipconfig 57 Nslookup 58 Beheben von Teredo-Problemen 58 Zusammenfassung des Kapitels 59 Weitere Informationen 59 Kapitel 3: Dynamic Host Configuration Protocol 61 Konzepte 61 Der DHCP-Adressenzuweisungsprozess 62 DHCP-Lebenszyklus 63 Planungs- und Entwurfsaspekte 63 DHCP-Server 64 DHCP-Relay-Agenten 64 DHCP-Leasezeiten 65 Festlegen von Adressenbereichen 66 Servercluster für DHCP 66 Dynamisches DNS 67 Bereitstellungsschritte 67 DHCP-Server 68 DHCP-Relay-Agenten 75 DHCP-Clientkonfiguration 77 Wartung 77 Überwachen von DHCP-Servern 77 Manuelles Sichern und Wiederherstellen eines DHCP-Servers 79

22 Problembehandlung 80 Beheben von Problemen auf DHCP-Clients 80 Beheben von Problemen auf DHCP-Servern 80 Verwenden des Überwachungsprotokolls zur Analyse des DHCP-Servers 81 Zusammenfassung des Kapitels 81 Weitere Informationen 82 Kapitel 4: Windows-Firewall mit erweiterter Sicherheit 83 Konzepte 83 Filtern des Datenverkehrs mit Windows-Firewall 84 Schützen des Datenverkehrs mit IPsec 84 Planungs- und Entwurfsaspekte 89 Planen der Windows-Firewall-Richtlinien 89 Schutz der Kommunikation mit IPsec 91 Bereitstellungsschritte 97 Firewalleinstellungen mit Gruppenrichtlinien 98 IPsec-Verbindungssicherheitsregeln 104 Wartung 108 Problembehandlung 108 Windows-Firewall-Protokollierung 110 Überwachen von IPsec-Sicherheitsassoziationen 112 Verwenden des Network Monitors 112 Zusammenfassung des Kapitels 113 Weitere Informationen 113 Kapitel 5: QoS auf Richtlinienbasis 115 Konzepte 115 Die Ursachen von Netzwerkleistungsproblemen 115 So kann QoS Abhilfe schaffen 117 QoS für ausgehende Datenübertragungen 118 QoS für eingehenden Datenverkehr 120 QoS-Implementierung 120 Planungs- und Entwurfsaspekte 121 Festlegen der QoS-Ziele 121 Planen von DSCP-Werten 121 Planen der Drosselung des Datenverkehrs 123 Hardware- und Softwarevoraussetzungen 123 Planen von QoS-Gruppenrichtlinien und Gruppenrichtlinienobjekten 124 QoS-Richtlinien für Windows Vista-Mobilcomputer 126 Bereitstellungsschritte 126 So konfigurieren Sie QoS in den Gruppenrichtlinien 126 So konfigurieren Sie systemweit gültige QoS-Einstellungen 130 Wartung 132 Löschen von QoS-Richtlinien 132 Bearbeiten von QoS-Richtlinien 132 Überwachen von QoS 132 Problembehandlung 134 Überprüfen der QoS-Richtlinien 135 Überprüfen der DSCP-Strapazierfähigkeit 136 Isolieren von Netzwerkleistungsproblemen 137 Zusammenfassung des Kapitels 138 Weitere Informationen 139

23 Kapitel 6: Skalierbare Netzwerke 141 Konzepte 141 TCP-Chimney-Abladung 142 Empfangsseitige Skalierung 143 NetDMA 146 IPsec-Abladung 146 Planungs- und Entwurfsaspekte 147 Bewerten der Skalierungstechnologien für Netzwerke 147 Belastungstest von Servern 148 Überwachen der Serverleistung 149 Bereitstellungsschritte 151 Konfigurieren der TCP-Chimney-Abladung 151 Konfigurieren der empfangsseitigen Skalierung 152 Konfigurieren von NetDMA 152 Konfigurieren der IPsec-Abladung 152 Wartung 153 Problembehandlung 153 Problembehandlung bei der TCP-Chimney-Abladung 153 Problembehandlung bei der IPsec-Abladung 154 Zusammenfassung des Kapitels 155 Weitere Informationen 156 Teil 2: Namensauflösungsinfrastruktur 157 Kapitel 7: Domain Name System 159 Konzepte 159 DNS-Hierarchie 159 DNS-Zonen 160 DNS-Einträge 160 Dynamische DNS-Updates 161 DNS-Namensauflösung 161 Planungs- und Entwurfsaspekte 163 DNS-Zonen 163 Anordnung der DNS-Server 164 DNS-Zonenreplikation 166 DNS-Sicherheit 168 Die Zone GlobalNames 168 Bereitstellungsschritte 169 DNS-Serverkonfiguration 170 DHCP-Serverkonfiguration 179 DNS-Clientkonfiguration 181 Konfigurieren redundanter DNS-Server 182 Wartung 182 Hinzufügen von Ressourceneinträgen 182 Warten von Zonen 183 Automatisches Testen 183 Heraufstufen einer sekundären Zone zu einer primären Zone 185 Problembehandlung 186 Ereignisprotokolle 187 Verwenden von Nslookup 187 Debugprotokollierung auf dem Server 190 Verwenden von DNSLint 191

24 Verwenden von DCDiag 192 Verwenden des Network Monitors 194 Zusammenfassung des Kapitels 194 Weitere Informationen 194 Kapitel 8: Windows Internet Name Service 195 Konzepte 195 Die Geschichte von NetBIOS 195 NetBIOS-Namen 197 WINS-Namensauflösung 197 WINS-Clientregistrierungen 198 Planungs- und Entwurfsaspekte 198 Anordnung der WINS-Server 199 WINS-Replikation 199 Bereitstellungsschritte 201 Konfigurieren eines WINS-Servers 201 Konfigurieren der WINS-Replikation 201 WINS-Clientkonfiguration 202 Wartung 204 Sichern der WINS-Serverdatenbank 204 Komprimieren der WINS-Datenbank 205 Durchführen einer Datenbanküberprüfung 205 Überwachen eines WINS-Servers 206 Hinzufiigen eines statischen WINS-Datensatzes 207 Löschen eines WINS-Eintrags 208 Problembehandlung 209 Beheben von WINS-Serverproblemen 209 Beheben von WINS-Clientproblemen 211 Zusammenfassung des Kapitels 214 Weitere Informationen 215 Teil 3: Netzwerkzugriffsinfrastruktur 217 Kapitel 9: Authentifizierungsinfrastruktur 219 Konzepte 219 Active Directory-Domänendienste 219 Public-Key-Infrastruktur 223 Gruppenrichtlinien 228 RADIUS 231 Planungs- und Entwurfsaspekte 236 Active Directory 236 PKI 237 Gruppenrichtlinien 239 RADIUS 240 Bereitstellungsschritte 247 Bereitstellen von Active Directory 247 Bereitstellen der Public-Key-Infrastruktur 248 Gruppenrichtlinien 256 RADIUS-Server 256 Verwenden von RADIUS-Proxys für eine gesamtstrukturübergreifende Authentifizierung 263 Verwenden von RADIUS-Proxys zur Skalierung von Authentifizierungen 270

25 Wartung 274 Active Directory 274 PKI 275 Gruppenrichtlinien 275 RADIUS 275 Problembehandlungstools 276 Active Directory 277 PKI 277 Gruppenrichtlinien 277 RADIUS 277 Zusammenfassung des Kapitels 279 Weitere Informationen 279 Kapitel 10: Drahtlose Netzwerke nach IEEE Konzepte 281 Unterstützung der IEEE Standards 282 Drahtlossicherheit 284 Komponenten von Drahtlosnetzwerken 288 Planungs- und Entwurfsaspekte 288 Drahtlossicherheitstechnologien 289 Authentifizierungsmodi im drahtlosen Netzwerk 291 Intranetinfrastruktur 292 Anordnung der drahtlosen Zugriffspunkte 294 Authentifizierungsinfrastruktur 298 Drahtlosclients 299 PKI X-Erzwingung mit NAP 313 Bereitstellen von geschütztem Drahtloszugriff 314 Bereitstellen von Zertifikaten 314 Konfigurieren von Active Directory für Konten und Gruppen 316 Konfigurieren der NPS-Server 316 Bereitstellen drahtloser Zugriffspunkte 317 Konfigurieren von Drahtlosclients 320 Wartung 326 Verwalten der Benutzer- und Computerkonten 326 Verwalten der drahtlosen Zugriffspunkte 327 Aktualisieren von XML-Drahtlosprofilen 327 Problembehandlung 327 Problembehandlungstools von Windows für Drahtlosnetzwerke 328 Beheben von Problemen mit Drahtlosclients 335 Beheben von Problemen mit drahtlosen Zugriffspunkten 336 Beheben von Problemen mit der Authentifizierungsinfrastruktur 341 Zusammenfassung des Kapitels 347 Weitere Informationen 347 Kapitel 11: Verkabelte Netzwerke mit IEEE 802.1X- Authentifizierung 349 Konzepte 349 Komponenten von Kabelnetzwerken mit 802.1X-Authentifizierung 350 Planungs- und Entwurfsaspekte 351 Authentifizierungsmethoden im Kabelnetzwerk 351 Authentifizierungsmodi im Kabelnetzwerk 353 Authentifizierungsinfrastruktur 355

26 Kabelclients 356 PKI X-Erzwingung mit NAP 364 Bereitstellen des Kabelnetzwerkzugriffs mit 802.1X-Authentifizierung 365 Bereitstellen von Zertifikaten 365 Konfigurieren von Active Directory für Konten und Gruppen 367 Konfigurieren der NPS-Server 367 Konfigurieren von 802.1X-fähigen Switches 369 Konfigurieren verkabelter Clients 370 Wartung 374 Verwalten von Benutzer- und Computerkonten 374 Verwalten 802.1X-fähiger Switches 374 Aktualisieren von XML-Kabelprofilen 375 Problembehandlung 375 Problembehandlungstools von Windows für Kabelnetzwerke 375 Beheben von Problemen mit Kabelclients 380 Beheben von Problemen mit 802.1X-fähigen Switches 381 Beheben von Problemen mit der Authentifizierungsinfrastruktur 385 Zusammenfassung des Kapitels 391 Weitere Informationen 391 Kapitel 12: Remotezugriff-VPN-Verbindungen 393 Konzepte 393 Komponenten von Windows-Remotezugriff-VPNs 395 Planungs- und Entwurfsaspekte 397 VPN-Protokolle 397 Authentifizierungsmethoden 401 VPN-Server 403 Internetinfrastruktur 406 Intranetinfrastruktur 408 Gleichzeitiger Intranet- und Internetzugriff für VPN-Clients 411 Authentifizierungsinfrastruktur 413 VPN-Clients 414 PKI 418 VPN-Erzwingung mit NAP 421 Zusätzliche Sicherheitsaspekte 422 Starke Verschlüsselung der Verbindung 422 Paketfilterung für VPN-Verkehr auf dem VPN-Server 423 Firewallpaketfilterung für VPN-Verkehr 423 VPN-Server mit mehreren Aufgaben 431 Verhindern, dass Verkehr von VPN-Clients weitergeleitet wird 432 Gleichzeitiger Zugriff 433 Unbenutzte VPN-Protokolle 434 Bereitstellen von VPN-Remotezugriff 434 Bereitstellen von Zertifikaten 434 Konfigurieren der Internetinfrastruktur 438 Konfigurieren der Active Directory-Benutzerkonten und -Gruppen 439 Konfigurieren von RADIUS-Servern 439 Bereitstellen von VPN-Servern 441 Konfigurieren der Netzwerkinfrastruktur des Intranets 445 Bereitstellen von VPN-Clients 447 Wartung 452 Verwalten von Benutzerkonten 453 Verwalten von VPN-Servern 453

27 Aktualisieren von Verbindungs-Manager-Profilen 455 Problembehandlung 455 Tools für die Problembehandlung 455 Durchführen einer Problembehandlung für Remotezugriff-VPNs 459 Zusammenfassung des Kapitels 465 Weitere Informationen 465 Kapitel 13: Standort-zu-Standort-VPN-Verbindungen 467 Konzepte 467 Grundlagen von bei Bedarf herzustellenden Routingverbindungen 468 Komponenten von Windows-Standort-zu-Standort-VPNs 473 Planungs- und Entwurfsaspekte 474 VPN-Protokolle 474 Authentifizierungsmethoden 478 VPN-Router 479 Internetinfrastruktur 483 Standortnetzwerkinfrastruktur 485 Authentifizierungsinfrastruktur 487 PKI 489 Bereitstellen von Standort-zu-Standort-VPN-Verbindungen 492 Bereitstellen von Zertifikaten 492 Konfigurieren der Internetinfrastruktur 496 Konfigurieren der Active Directory-Benutzerkonten und -Gruppen 497 Konfigurieren von RADIUS-Servern 497 Bereitstellen von antwortenden Routern 499 Bereitstellen von anrufenden Routern 505 Konfigurieren der Standortnetzwerkinfrastruktur 510 Konfigurieren der Infrastruktur für die Standortverbindungen 512 Wartung 514 Verwalten von Benutzerkonten 514 Verwalten von VPN-Routern 515 Problembehandlung 516 Tools für die Problembehandlung 517 Durchführen einer Problembehandlung für Standort-zu-Standort-VPN-Verbindungen 517 Zusammenfassung des Kapitels 526 Weitere Informationen 526 Teil 4: Netzwerkzugriffsschutz-Infrastruktur 529 Kapitel 14: Grundlagen des Netzwerkzugriffsschutzes 531 Warum ist Netzwerkzugriffsschutz nötig? 531 Malware und ihre Auswirkungen auf Unternehmensnetzwerke 531 Verhindern von Malware in Unternehmensnetzwerken 533 Die Rolle von NAP 537 Kommerzielle Vorteile von NAP 539 Komponenten von NAP 540 Systemintegritätsagenten und Systemintegritätsprüfung 542 Erzwingungsclients und -server 543 NPS 544 Erzwingungsmethoden 544 IPsec-Erzwingung X-Erzwingung 545

28 VPN-Erzwingung 545 DHCP-Erzwingung 546 So funktioniert NAP 546 So funktioniert IPsec-Erzwingung 547 So funktioniert 802.1X-Erzwingung 548 So funktioniert VPN-Erzwingung 549 So funktioniert DHCP-Erzwingung 550 Zusammenfassung des Kapitels 551 Weitere Informationen 552 Kapitel 15: Vorbereiten des Netzwerkzugriffsschutzes 553 Auswerten der aktuellen Netzwerkinfrastruktur 553 Intranetcomputer 553 Netzwerkunterstützungsinfrastruktur 556 NAP-Integritätsrichtlinienserver 557 Planungs- und Entwurfsaspekte 557 Bereitstellungsschritte 559 Wartung 560 Konfigurieren der Integritätsanforderungsrichtlinien 561 Komponenten einer Integritätsanforderungsrichtlinie 561 So funktioniert die NAP-Integritätsprüfung 569 Planungs- und Entwurfsaspekte für Integritätsanforderungsrichtlinien 572 Wartungsserver 574 Wartungsserver und NAP-Erzwingungsmethoden 575 Planungs- und Entwurfsaspekte für Wartungsserver 576 Zusammenfassung des Kapitels 577 Weitere Informationen 577 Kapitel 16: IPsec-Erzwingung 579 Grundlagen der IPsec-Erzwingung 579 Logische Netzwerke bei der IPsec-Erzwingung 580 Ablauf der Kommunikationseinleitung bei IPsec-Erzwingung 582 Verbindungssicherheitsregeln für IPsec-Erzwingung 585 Planungs- und Entwurfsaspekte 586 Active Directory 587 PKI 588 HRAs 593 IPsec-Richtlinien 599 NAP-Clients 600 Bereitstellen der IPsec-Erzwingung 601 Konfigurieren von Active Directory 601 Konfigurieren der PKI 602 Konfigurieren von HRAs 605 Konfigurieren von NAP-Integritätsrichtlinienservern 611 Konfigurieren von Wartungsservern im Grenznetzwerk 614 Konfigurieren von NAP-Clients 615 Bereitstellung des Berichterstellungsmodus für IPsec-Erzwingung abgeschlossen 618 Konfigurieren und Anwenden von IPsec-Richtlinien 618 Wartung 624 Hinzufügen eines NAP-Clients 624 Hinzufügen von neuen SHAs und SHVs 625 Verwalten der NAP-Zertifizierungsstellen 625 Verwalten von HRAs 626

29 Problembehandlung 628 Tools für die Problembehandlung 628 Problembehandlung für die IPsec-Erzwingung 631 Zusammenfassung des Kapitels 636 Weitere Informationen 636 Kapitel 17: 802.1X-Erzwingung 639 Grundlagen der 802.1X-Erzwingung 639 Verwenden einer ACL 642 Verwenden eines VLANs 643 Planungs- und Entwurfsaspekte 644 Sicherheitsgruppe für NAP-Ausnahmen X-Authentifizierungsmethoden 644 Typ der 802.1X-Erzwingung X-Zugriffspunkte 645 NAP-Clients 646 Bereitstellen der 802.1X-Erzwingung 647 Konfigurieren von Active Directory 648 Konfigurieren einer PEAP-Authentifizierungsmethode 648 Konfigurieren von 802.1X-Zugriffspunkten 649 Konfigurieren von Wartungsservern im eingeschränkten Netzwerk 650 Konfigurieren von NAP-Integritätsrichtlinienservern 650 Konfigurieren von NAP-Clients 658 Bereitstellung des Berichterstellungsmodus für 802.1X-Erzwingung abgeschlossen 660 Testen des eingeschränkten Zugriffs 661 Konfigurieren der Netzwerkrichtlinie für inkompatible NAP-Clients bei zurückgestellter Erzwingung 662 Konfigurieren der Netzwerkrichtlinie ftir den Erzwingungsmodus 663 Wartung 664 Hinzufügen eines NAP-Clients 664 Hinzufügen von neuen SHAs und SHVs 665 Verwalten der 802.1X-Zugriffspunkte 665 Problembehandlung 665 Tools für die Problembehandlung 665 Problembehandlung für die 802.1X-Erzwingung 667 Zusammenfassung des Kapitels 670 Weitere Informationen 670 Kapitel 18: VPN-Erzwingung 673 Grundlagen der VPN-Erzwingung 673 Planungs- und Entwurfsaspekte 676 Verwenden der Netzwerkzugriff-Quarantänensteuerung 676 Sicherheitsgruppe für NAP-Ausnahmen 677 Typen der Paketfilterung 677 VPN-Authentifizierungsmethoden 678 VPN-Server 679 NAP-Clients 679 Bereitstellen der VPN-Erzwingung 681 Konfigurieren von Active Directory 682 Konfigurieren von VPN-Servern 682 Konfigurieren einer PEAP-Authentifizierungsmethode 682 Konfigurieren von Wartungsservern 682 Konfigurieren von NAP-Integritätsrichtlinienservern 683

30 Konfigurieren von NAP-Clients 689 Bereitstellung des Berichterstellungsmodus für VPN-Erzwingung abgeschlossen 691 Testen des eingeschränkten Zugriffs 691 Konfigurieren der zurückgestellten Erzwingung 693 Konfigurieren der Netzwerkrichtlinie für den Erzwingungsmodus 693 Wartung 695 Hinzufügen eines NAP-Clients 695 Hinzufügen von neuen SHAs und SHVs 695 Problembehandlung 695 Tools für die Problembehandlung 696 Problembehandlung für die VPN-Erzwingung 698 Zusammenfassung des Kapitels 700 Weitere Informationen 701 Kapitel 19: DHCP-Erzwingung 703 Grundlagen der DHCP-Erzwingung 703 Planungs- und Entwurfsaspekte 705 Sicherheitsgruppe für NAP-Ausnahmen 706 DHCP-Server 706 NAP-Integritätsrichtlinienserver 707 Integritätsanforderungsrichtlinien für bestimmte DHCP-Bereiche 707 DHCP-Optionen für NAP-Clients 707 DHCP-Erzwingungsverhalten, wenn der NAP-Integritätsrichtlinienserver nicht erreichbar ist 708 NAP-Clients 708 Bereitstellen der DHCP-Erzwingung 709 Konfigurieren von Wartungsservern 710 Konfigurieren von NAP-Integritätsrichtlinienservern 710 Konfigurieren von NAP-Clients 714 Konfigurieren von DHCP-Servern 716 Bereitstellung des Berichterstellungsmodus für DHCP-Erzwingung abgeschlossen 720 Testen des eingeschränkten Zugriffs 720 Konfigurieren der zurückgestellten Erzwingung 721 Konfigurieren der Netzwerkrichtlinie für den Erzwingungsmodus 722 Wartung 723 Hinzufügen eines NAP-Clients 723 Hinzufügen von neuen SHAs und SHVs 723 Problembehandlung 724 Tools für die Problembehandlung 724 Problembehandlung für die DHCP-Erzwingung 726 Zusammenfassung des Kapitels 729 Weitere Informationen 729 Glossar 731 Stichwortverzeichnis 743 Die Autoren 769