{ Branch Office Security }

{ Branch Office Security } Daniel Melanchthon Security Evangelist Microsoft Deutschland GmbH http://blogs.technet.com/dmelanchthon

Agenda Einführung Read-Only Domain Controller (RODC) BitLocker Drive Encryption (BDE) IPSec Secure Socket Tunneling Protocol (SSTP) Network Access Protection (NAP) Terminal Services Gateway

Entfernte Lokation mit <100 Benutzern Mehrere kritische Geschäftsanwendungen Unterschiedliche physikalische Server Suboptimale Infrastruktur Limitierte Anbindung an die Zentrale Keine/reduzierte IT-Mannschaft Kein/reduziertes Backup

Read-Only Domain Services (RODC) Server Core - RODC BitLocker Drive Encryption (BDE) Network Access Protection (NAP) IPSec BDE IP Security (IPSec) Secure Socket Tunneling Protocol (SSTP) C:\ SSTP

Neue Funktionalität AD Datenbank Unidirektionale Replikation Credential Caching Password Replication Policy Getrennte Administration Read-Only DNS RODC Voraussetzungen

1 AS_Req sent to RODC (request for TGT) Hub Branch 2 RODC: Looks in DB: "I don't have the users secrets" 3 Read Only DC 3 Forwards Request to Windows Server 2008 DC 4 7 Windows Server 2008 DC 5 6 2 1 4 5 Windows Server 2008 DC authenticates request Returns authentication response and TGT back to the RODC 6 6 RODC gives TGT to User and RODC will cache credentials 7 At this point the user will have a hub signed TGT

{ RODC } Daniel Melanchthon Security Evangelist Microsoft Deutschland GmbH http://blogs.technet.com/dmelanchthon

Schützt bei Diebstahl oder Verlust, wenn der PC mit BitLocker einem anderen Betriebssystem gestartet wird oder ein Hacking-Tool zur Umgehung der Windows- Sicherheit eingesetzt wird Bietet Schutz der Daten auf einem Windows-Client, selbst wenn sich der PC in falschen Händen befindet oder ein anderes Betriebssystem ausgeführt wird TPM v1.2 oder USB-Stick zur Schlüsselablage

Windows Partition > Verschlüsseltes Betriebsystem > Verschlüsselte Auslagerungsdatei > Verschlüsselte temporäre Dateien > Verschlüsselte Daten > Verschlüsseltes Hibernation File Wo ist der Verschlüsselungsschlüssel? 1. SRK (Storage Root Key) im TPM 2. SRK verschlüsselt VEK (Volume Encryption Key) geschützt durch TPM/PIN/Dongle 3. VEK gespeichert (verschlüsselt durch SRK) auf der Festplatte in der Boot Partition VEK 2 1 SRK Windows Boot 3 Boot Partition: MBR, Loader, Boot Utilities (Unverschlüsselt, 1,5 GB klein)

BDE bietet ein Spektrum der Absicherung, das Kunden die Abwägung zwischen einfacher Benutzbarkeit und Systemsicherheit ermöglicht! Einfache Nutzung TPM Only What it is. Protects against: SW-only attacks Vulnerable to: HW attacks (including potentially easy HW attacks) Dongle Only What you have. Protects against: All HW attacks Vulnerable to: Losing dongle Pre-OS attacks ******* TPM + PIN What you know. Protects against: Many HW attacks Vulnerable to: TPM breaking attacks TPM + Dongle Two what I have s. Protects against: Many HW attacks Vulnerable to: HW attacks Sicherheit

{ BitLocker } Daniel Melanchthon Security Evangelist Microsoft Deutschland GmbH http://blogs.technet.com/dmelanchthon

Integrierte Firewall- und IPSec-Konfiguration Einfachere IPSec Policy-Konfiguration Client-to-DC IPSec Protection Load Balancing- und Clustering Server-Unterstützung Bessere IPSec-Authentifizierung Integration mit NAP Mehrfache Authentifizierungsmethoden Neue kryptographische Protokolle Integrierte Unterstützung von IPv4 und IPv6 Erweiterte Events und Performance Monitor Counter Unterstützung für das Network Diagnostics Framework

Nutzt HTTPS über Port 443 zum nahtlosen Durchgang durch Firewalls, die PPTP oder L2TP blocken könnten Flexible Netzwerkkonfiguration Unterstützung für NAP Unterstützung für IPv6 Bessere Netzwerkauslastung Volle Integration mit OS-Komponenten und RRAS Konfiguration Server: Windows Server 2008 mit RRAS und einem Zertifikat für die Server Authentifizierung Client: Windows Vista oder Windows Server 2008 mit Kenntnis und Vertrauen der CA des Serverzertifikats

Physische Sicherheit der Server im Branch Office Physische Sicherheit der Daten des Branch Office Sichere IP-basierende Kommunikation Kontrolle darüber, welcher Computer im Branch Office Netzwerk kommunizieren darf

Policy Server z.b. Patch, AV 3 1 2 Richtlinienkonform Windows- Client DHCP, VPN, Switch/Router MSFT NPS 4 Nicht richtlinienkonform Eingeschränktes Netzwerk Fix-Up- Server z.b. Patch 1 Client bittet um Zugang zum Netzwerk und präsentiert seinen gegenwärtigen Gesundheitszustand 5 Unternehmensnetz 2 DHCP, VPN oder Switch/Router leitet Gesundheitszustand an Microsoft Network Policy-Server (RADIUS-basierend) weiter 3 Network Policy Server (NPS) validiert diesen mit der von der Unternehmens-IT definierten Gesundheitsrichtlinie Falls nicht richtlinien-konform, wird Client in ein eingeschränktes 4 VLAN umgeleitet und erhält Zugriff auf Ressourcen wie Patches, Konfigurationen und Signaturen 5 Bei Richtlinien-Konformität wird dem Client der vollständige Zugang zum Unternehmensnetz gewährt

Enforcement Gesunder Client Ungesunder Client DHCP VPN (Microsoft und 3 rd Party) Zuteilung einer voll netzwerkfähigen IP-Adresse, voller Zugriff Voller Zugriff Begrenzte Routen Begrenztes VLAN 802.1X Voller Zugriff Begrenztes VLAN IPsec Kann mit jeder vertrauten Gegenstelle kommunizieren Gesunder Clients verwirft Verbindungsanfragen von ungesunden Clients Vervollständigt Schutz auf Layer 2 Arbeitet problemlos mit bestehenden Servern und existierender Infrastruktur Flexible Isolation in Netzwerksegmente

Mit RDP erreichbare Ziele hinter Firewall HTTPS zur Überwindung von NAT/Firewalls vom Client AD/ISA/NAP-Tests bevor die Verbindung erlaubt Remote Desktop Connection Client 6.x AD/NPS/NAP Windows Vista RDC (TS) Client User RDP initiiert over HTTP/S Verbindung an hergestellt TS Gateway zu TSG TS Gateway RDP 3389 an Host AD/NPS/NAP Prüfung Terminal Servers oder Windows XP/Vista User navigiert zu TS Web Access TS Web Access Internet DMZ Internes Netzwerk

Read-Only Domain Controller im Branch Office Password Replication Policy Getrennte Administration BitLocker Drive Encryption zum Datenschutz Network Access Protection zum Zugriffsschutz

Windows Server 2008 bietet neue Technologien zur Erhöhung der Sicherheit in Branch Office-Umgebungen. Ein RODC speichert eine read-only Replik der Datenbank in Active Directory Domain Services. BitLocker Drive Encryption bietet Datenschutz für verloren gehende oder gestohlene Laptop und PC sowie entfernte Server. Ein SSTP VPN bietet Mechanismen zum Kapseln des IP- Verkehrs über einen SSL-Kanal oder das HTTPS-Protokoll zur Verbesserung der Sicherheit und Reduzierung der Anbindungskosten. Verbesserungen in IPSec erlauben höhere Sicherheit der Netzwerkkommunikation in Branch Offices.

Windows Server 2008 http://www.microsoft.com/windowsserver/windowsserver2008default.mspx Forum http://forums.microsoft.com/technet/default.aspx?forumgroupid=161&siteid=17 Virtual Lab http://www.microsoft.com/technet/traincert/virtuallab/longhorn.mspx Server Core http://msdn2.microsoft.com/en-us/library/ms723891.aspx Team Blog http://blogs.technet.com/server_core/default.aspx Forum http://forums.microsoft.com/technet/showforum.aspx?forumid=582&siteid=17 Virtual Lab http://www.microsoft.com/technet/traincert/virtuallab/longhorn.mspx Windows Remote Management http://msdn2.microsoft.com/en-us/library/aa384426.aspx Remote Office http://www.microsoft.com/technet/remoteoffice/default.mspx#implement1