{ Branch Office Security }

Transkript

1 { Branch Office Security } Daniel Melanchthon Security Evangelist Microsoft Deutschland GmbH Agenda Einführung Server Core und RODC IPSec Secure Socket Tunneling Protocol (SSTP) Network Access Protection (NAP) Terminal Services Gateway 1

2 Entfernte Lokation mit <100 Benutzern Mehrere kritische Geschäftsanwendungen Unterschiedliche physikalische Server Suboptimale Infrastruktur Limitierte Anbindung an die Zentrale Keine/reduzierte IT-Mannschaft Kein/reduziertes Backup 2

3 Server Core und RODC Server Core -RODC BitLocker Encryption (BDE) Network Access Protection (NAP) IPSec BDE IP Security (IPSec) Secure Socket Tunneling Protocol (SSTP) C:\ SSTP Agenda Einführung Server Core und RODC IPSec Secure Socket Tunneling Protocol (SSTP) Network Access Protection (NAP) Terminal Services Gateway 3

4 4

5 Minimale Windows Server 2008 Installation GUI? Nicht dabei (also fast). Windows Explorer? Nicht dabei. Internet Explorer & Media Player? Nicht dabei..net Framework? Nein. Nicht dabei. MMC? Auch nicht dabei. Entworfen für die Unterstützung von sehr spezifischen Aufgaben (workloads). Reduzierte Installation Nur essentielle Komponenten werden installiert Reduzierte Angriffsfläche Weniger Teile zu patchen und abzusichern Reduzierter Verwaltungsaufwand Weniger Teile zu(m) administrieren Reduzierter Memory Footprint Beispiel: ~180 MB Server Core idle Reduzierter Plattenplatzverbrauch Core: 1.6 GB./. Vollinstallation: 7.6 GB 5

6 Serverrollen Active Directory Domain Services (ADDS) Active Directory Lightweight Directory Service (ADLDS) Domain Name System Server (DNS) Dynamic Host Configuration Protocol Server (DHCP) File Services Internet Information Services (IIS7) Print Server Streaming Media Services Windows Server Virtualization - WSV { Server Core } Daniel Melanchthon Security Evangelist Microsoft Deutschland GmbH 6

7 Neue Funktionalität AD Datenbank Unidirektionale Replikation Credential Caching Password Replication Policy Getrennte Administration Read-Only DNS RODC Voraussetzungen 1. 1 AS_Req an RODC (Anfrage für TGT) Hub Branch 2. 2 RODC schaut in seine DB: "Ich habe kein Passwort des Benutzers" Windows Server 2008 DC Read-Only DC Weiterleiten der Anfrage an einen Windows Server 2008 DC 4. 4 Windows Server 2008 DC authentisiert Anfrage 5. 5 Rüchgabe der Antwort und des TGT an den RODC RODC gibt TGT an Benutzer und kann Daten zwischenspeichern 7 Ab diesem Zeitpunkt hat der Benutzer ein hub signed TGT 7

8 Agenda Einführung Server Core und RODC IPSec Secure Socket Tunneling Protocol (SSTP) Network Access Protection (NAP) Terminal Services Gateway Schützt bei Diebstahl oder Verlust, wenn der PC mit BitLocker einem anderen Betriebssystem gestartet wird oder ein Hacking-Tool zur Umgehung der Windows- Sicherheit eingesetzt wird Bietet Schutz der Daten auf einem Windows-Client, selbst wenn sich der PC in falschen Händen befindet oder ein anderes Betriebssystem ausgeführt wird TPM v1.2 oder USB-Stick zur Schlüsselablage 8

9 Windows Partition > Verschlüsseltes Betriebsystem > Verschlüsselte Auslagerungsdatei > Verschlüsselte temporäre Dateien > Verschlüsselte Daten > Verschlüsseltes Hibernation File Wo ist der Verschlüsselungsschlüssel? 1. SRK (Storage Root Key) im TPM 2. SRK verschlüsselt VEK (Volume Encryption Key) geschützt durch TPM/PIN/Dongle 3. VEK gespeichert (verschlüsselt durch SRK) auf der Festplatte in der Boot Partition VEK 2 1 SRK Daten C Daten B 3 Boot Windows Daten A Boot Partition: MBR, Loader, Boot Utilities (Unverschlüsselt, 1,5 GB klein) BDE bietet ein Spektrum der Absicherung, das Kunden die Abwägung zwischen einfacher Benutzbarkeit und Systemsicherheit ermöglicht! Einfache Nutzung TPM Only. Protects against: SW-only attacks Vulnerable to: HW attacks (including easy HW attacks) Dongle Only. Protects against: All HW attacks Vulnerable to: Losing dongle Pre-OS attacks ******* TPM + PIN. Protects against: Many HW attacks Vulnerable to: TPM breaking attacks TPM + Dongle. Protects against: Many HW attacks Vulnerable to: HW attacks Sicherheit 9

10 { } Daniel Melanchthon Security Evangelist Microsoft Deutschland GmbH Agenda Einführung Server Core und RODC IPSec Secure Socket Tunneling Protocol (SSTP) Network Access Protection (NAP) Terminal Services Gateway 10

11 Integrierte Firewall- und IPSec-Konfiguration Einfachere IPSec Policy-Konfiguration Client-to-DC IPSec Protection Load Balancing- und Clustering Server-Unterstützung Bessere IPSec-Authentifizierung Integration mit NAP Mehrfache Authentifizierungsmethoden Neue kryptographische Protokolle Integrierte Unterstützung von IPv4 und IPv6 Erweiterte Events und Performance Monitor Counter Unterstützung für das Network Diagnostics Framework Agenda Einführung Server Core und RODC IPSec Secure Socket Tunneling Protocol (SSTP) Network Access Protection (NAP) Terminal Services Gateway 11

12 Nutzt HTTPS über Port 443 zum nahtlosen Durchgang durch Firewalls, die PPTP oder L2TP blocken könnten Flexible Netzwerkkonfiguration Unterstützung für NAP Unterstützung für IPv6 Bessere Netzwerkauslastung Volle Integration mit OS-Komponenten und RRAS Konfiguration Server: Windows Server 2008 mit RRAS und einem Zertifikat für die Server Authentifizierung Client: Windows Vista oder Windows Server 2008 mit Kenntnis und Vertrauen der CA des Serverzertifikats Physische Sicherheit der Server im Branch Office Physische Sicherheit der Daten des Branch Office Sichere IP-basierende Kommunikation Kontrolle darüber, welcher Computer im Branch Office Netzwerk kommunizieren darf 12

13 Agenda Einführung Server Core und RODC IPSec Secure Socket Tunneling Protocol (SSTP) Network Access Protection (NAP) Terminal Services Gateway Policy Server z.b. Patch, AV Windows- Client DHCP, VPN, Switch/Router MSFT NPS Richtlinien -konform 4 Nicht richtlinienkonform Eingeschränktes Netzwerk Fix-Up- Server z.b. Patch 1 Client bittet um Zugang zum Netzwerk und präsentiert seinen 2 DHCP, VPN oder Switch/Router leitet Gesundheitszustand an Microsoft Network Policy-Server (RADIUS-basierend) weiter 3 Network Policy Server (NPS) validiert diesen mit der von der Unternehmens- Falls nicht richtlinien-konform, wird Client in ein 4 eingeschränktes VLAN umgeleitet und erhält Zugriff auf Ressourcen wie Patches, Konfigurationen und Signaturen 5 Bei Richtlinien-Konformität wird dem Client der vollständige Zugang zum Unternehmensnetz gewährt 5 Unternehmensnetz 13

14 { NAP } Daniel Melanchthon Security Evangelist Microsoft Deutschland GmbH Enforcement Gesunder Ungesunder DHCP VPN (Microsoft und 3 rd Party) Zuteilung einer voll netzwerkfähigen IP-Adresse, voller Zugriff Voller Zugriff Begrenzte Routen Begrenztes VLAN 802.1X Voller Zugriff Begrenztes VLAN IPsec Kann mit jeder vertrauten Gegenstelle kommunizieren Gesunder verwirft Verbindungsanfragen von ungesunden Vervollständigt Schutz auf Layer 2 Arbeitet problemlos mit bestehenden Servern und existierender Infrastruktur Flexible Isolation in Netzwerksegmente 14

15 Anti-Virus Security Software Patch Software Security Security Appliance Network Device System Integrator Agenda Einführung Server Core und RODC IPSec Secure Socket Tunneling Protocol (SSTP) Network Access Protection (NAP) Terminal Services Gateway 15

16 Mit RDP erreichbare Ziele hinter Firewall HTTPS zur Überwindung von NAT/Firewalls vom Client AD/ISA/NAP-Tests bevor die Verbindung erlaubt Remote Desktop Connection Client 6.x AD/NPS/NAP Windows Vista RDC (TS) Client User initiiert RDP over HTTP/S Verbindung an hergestellt TS Gateway zu TSG User navigiert zu TS Web Access TS Gateway RDP 3389 an Host TS Web Access AD/NPS/NAP Prüfung Terminal Servers oder Windows XP/Vista Internet DMZ Internes Netzwerk { Terminal Services } Daniel Melanchthon Security Evangelist Microsoft Deutschland GmbH

17 Zugriff auf entfernte Anwendungen über TS Web Access Server Read-Only Domain Controller im Branch Office Password Replication Policy Getrennte Administration BitLocker zum Datenschutz Network Access Protection zum Zugriffsschutz 17

18 Windows Server 2008 bietet neue Technologien zur Erhöhung der Sicherheit in Branch Office-Umgebungen. Ein RODC speichert eine read-only Replik der Datenbank in Active Directory Domain Services. BitLocker Encryption bietet Datenschutz für verloren gehende oder gestohlene Laptop und PC sowie entfernte Server. Ein SSTP VPN bietet Mechanismen zum Kapseln des IP- Verkehrs über einen SSL-Kanal oder das HTTPS-Protokoll zur Verbesserung der Sicherheit und Reduzierung der Anbindungskosten. Verbesserungen in IPSec erlauben höhere Sicherheit der Netzwerkkommunikation in Branch Offices. 18