Upload
others
View
8
Download
0
Embed Size (px)
Citation preview
https://info.microsoft.com/DE-Azure-WBNR-FY17-09Sep-dd-
Healthcare-mit-Krankenhaus-IT-Journal-
123456_Registration.html
Unmanaged & Mobile Clients
Sensitive Workloads
Cybersecurity Reference Architecture
Intranet
Extranet
Azure Key Vault
Azure Security Center• Security Hygiene• Threat Detection
System Management + Patching (SCCM + Intune)
Microsoft Azure
On Premises Datacenter(s)
NGFW
IPS
DLP
SSL Proxy
Nearly all customer breaches that Microsoft’s Incident Response team investigates involve credential theft 63% of confirmed data breaches involve weak, default, or stolen passwords (Verizon 2016 DBR)
Colocation
$ Windows 10
EPP - Windows Defender
EDR - Windows Defender ATPMacOS
Multi-Factor Authentication
MIM PAMAzure App Gateway
Network Security Groups
AAD PIM
Azure Antimalware
Disk & Storage Encryption
SQL Encryption & Firewall
Hello for Business
Windows Info Protection
Enterprise Servers
VPN
VPN
VMs VMs
Certification Authority (PKI)
Incident
Response
Vulnerability
Managemen
Enterprise Threat
Detection
AnalyticsManaged
Security Provider OMS
ATA
SIEM
Security Operations
Center (SOC)
Logs & AnalyticsActive Threat Detection
Hunting Teams
Investigation and Recovery
WEF
SIEM Integration
IoT
Identity &
Access
80% + of employees admit using non-approved SaaS apps for work (Stratecast, December 2013)
UEBA
Windows 10 Security• Secure Boot• Device Guard• Application Guard• Credential Guard • Windows Hello
Managed ClientsLegacy Windows
Security Appliances
Windows Server 2016 SecuritySecure Boot, Nano Server, Just Enough Admin, Hyper-V Containers, Device Guard, Credential Guard, Remote Credential Guard, …
Software as a Service
AAD Identity Protection
ATA
Privileged Access Workstations (PAWs)
Internet of Things
• Device Health Attestation
• Remote Credential Guard
Intune MDM/MAM
Conditional Access
Cloud App Security
Azure Information
Protection (AIP)• Classify• Label• Protect• Report
Office 365 DLP
Endpoint DLP
Structured Data & 3rd party Apps
DDoS attack prevention
Cla
ssif
icat
ion
Lab
els
ASM
Lockbox
Office 365
Information
Protection
Backup and Site Recovery
Shielded VMs
Domain Controllers
Office 365 ATP• Email Gateway• Anti-malware
Hold Your Own Key (HYOK)
ESAEAdmin Forest
Key Threats• Nation states active attacking
private institutions
• CryptoLocker (2013) and APT’s
at scale
• Adding disruption and terror
to playbook
• Rampant Passwords theft and
abuse
• Pass the Hash becomes part of
the default playbook
• AV unable to keep up
Key Threats• Melissa (1999), Love Letter
(2000)
• Mainly leveraging social
engineering
Key Threats• Code Red and Nimda (2001),
Blaster (2003), Slammer (2003)
• 9/11
• Mainly exploiting buffer
overflows
• Script kiddies
• Time from patch to exploit:
Several days to weeks
Key Threats• Zotob (2005)
• Attacks «moving up the stack»
(Summer of Office 0-day)
• Rootkits
• Exploitation of Buffer
Overflows
• Script Kiddies
• Raise of Phishing
• User running as Admin
Key Threats• Organized Crime
• Botnets
• Identity Theft
• Conficker (2008)
• Time from patch to exploit:
days
Key Threats• Organized Crime, potential
state actors
• Sophisticated targeted attacks
• Aurora (2009) and Stuxnet
(2010)
• Password and digital identity
theft and misuse
• Signatures based AV unable
to keep up
• Digital signature tampering
• Browser plug-in exploits
• Data loss on BYOD device
Windows 10• Virtual Secure Mode
• Virtual TPM
• Control Flow Guard
• Microsoft Passport
• Windows Hello
• Biometric Framework
Improvements (Iris, Facial)
• Broad OEM support for
Biometric enabled devices
• Enterprise Data Protection
• Device Encryption supported
on broader range of devices
• DMA Attack Mitigations
• Device Guard
• URL Reputation Improvements
• App Reputation Improvements
• Windows Defender
Improvements
• Provable PC Health
Improvements
Windows XP• Logon (Ctrl+Alt+Del)
• Access Control
• User Profiles
• Security Policy
• Encrypting File System (File
Based)
• Smartcard and PKI Support
• Windows Update
Windows XP SP2• Address Space Layout
Randomization (ASLR)
• Data Execution Prevention
(DEP)
• Security Development
Lifecycle (SDL)
• Auto Update on by Default
• Firewall on by Default
• Windows Security Center
• WPA Support
Windows Vista• Bitlocker
• Patchguard
• Improved ASLR and DEP
• Full SDL
• User Account Control
• Internet Explorer Smart Screen
Filter
• Digital Right Management
• Firewall improvements
• Signed Device Driver
Requirements
• TPM Support
• Windows Integrity Levels
• Secure “by default”
configuration (Windows
features and IE)
Windows 7• Improved ASLR and DEP
• Full SDL
• Improved IPSec stack
• Managed Service Accounts
• Improved User Account
Control
• Enhanced Auditing
• Internet Explorer Smart Screen
Filter
• AppLocker
• BitLocker to Go
• Windows Biometric Service
• Windows Action Center
• Windows Defender
Windows 8• Firmware Based TPM
• UEFI (Secure Boot)
• Trusted Boot (w/ELAM)
• Measured Boot
• Significant Improvements to
ASLR and DEP
• AppContainer
• Windows Store
• Internet Explorer 10 (Plugin-
less and Enhanced Protected
Modes)
• Application Reputation moved
into Core OS
• Device Encryption (All SKU)
• BitLocker improvements and
MBAM
• Virtual Smartcards
• Dynamic Access Control
• Built-in AV (Windows
Defender)
• Improved Biometrics
• TPM Key Protection and
Attestation
• Certificate Reputation
• Provable PC Health
• Remote Business Data
Removable
20152001 2004 2007 2009 2012
!
„ES GIBT ZWEI ARTEN VON GROßEN UNTERNEHMEN: DIEJENIGEN, DIE GEHACKT
WURDEN, UND DIE, DIE NOCH NICHT WISSEN, DASS SIE GEHACKT WURDEN.“
J A M E S C O M E Y , D I R E C T O R F B I
MODERNE SICHERHEITSBEDROHUNGEN
“A Cloud you can Trust”
19
“Businesses and users are
going to embrace technology
only if they can trust it.”– Satya Nadella
• Wir nehmen unsere Verpflichtung ernst,
die Kunden in der Welt der Clouds zu
schützen.
• Wir leben Standards und Methoden, die
konzipiert wurden, um Ihr Vertrauen zu
gewinnen.
• Wir arbeiten mit der Industrie und den
Behörden zusammen, um Vertrauen in
das Cloud-System aufzubauen.
Wir bei Microsoft betrachten Ihr
Vertrauen nie als selbstverständlich
Microsoft gibt dem Kunden die volle Kontrolle &
Entscheidungshoheit über seine Daten
Kundendaten werden nur in
Deutschland gespeichert
Kontrolle über Zugriff auf
Kundendaten und Nutzung
Ein deutscher Datentreuhänder kontrolliert den Zugriff auf die Daten
Role Based Access Control
(RBAC)-Tools kontrollieren
jeglichen Zugriff auf
Kundendaten
Ausschließlich der deutsche
Datentreuhänder hat Zugriff
auf Server mit Kundendaten
Mitarbeiter von Microsoft
haben keinerlei
administrative Top-Level-
Rechte, um Zugriff auf
Kundendaten zu gewähren
Mitarbeiter von Microsoft
können sich nicht auf Server
mit Kundendaten einloggen
Ein namhafter deutscher Datentreuhänder führt alle Handlungen oder Aufgaben mit Zugriff auf
Kundendaten oder auf die Infrastruktur, auf der sich Kundendaten befinden, selbst durch oder
überwacht diese.
Zugriff zum Aufspielen von
Softwareupdates muss vom
deutschen Datentreuhänder
gewährt werden
Tools zur Überwachung
des Service haben keinen
Zugriff auf Kundendaten
Sämtliche Kundendaten:
• Virtuelle Rechner
• E-Mails, Anhänge, Bilder
• Storage Blobs
• Datenbankinhalte
23
http://www.microsoft.com/investor
Weitere Infos unter NDA:
Windows 10 Enterprise Funktion Cred/Device Guardpowered durch Virtualization based security
OS VBS
Hyper-V (Virtualisierungschicht)
CPU with Virtualization Extensions
Cre
den
tial
Gu
ard
Devic
e
G
uard
Erreichen Sie mit dem bisher sichersten Windows mehr, und wandeln Sie Ihr Geschäft.
Sicherer und
verlässlicher
Leistungsstarke,
moderne GeräteNoch
individueller
Noch
produktiver
SICHERER UND VERLÄSSLICHER
SICHERER UND VERLÄSSLICHER
Windows Hello
Windows Hello for Business
Companion Device Framework
Credential Guard
Kennwörter ablösen, Identitäten schützen
Stärken Sie die
Authentifizierung über
Biometrie und eine
hardwarebasierte Multi-
Factor-Lösung
Secure Boot
Device Guard
Windows Defender
Nur vertrauens-würdige Software
ausführen
Malware von
Unternehmensgeräten
beseitigen
Windows Information Protection
Schutz sensibler Unternehmens-
daten
Automatische Ver-
schlüsselung mit einem
persistenten Schutz
Windows Defender Advanced Threat
Protection
Schnelle Erkennung von kompromittierten
Geräten
Nutzen Sie die
Verhaltenserkennung, die
Cloud und Aufklärungsarbeit
durch Menschen zur schnellen
Identifikation von
kompromittierten Geräten
WINDOWS DEFENDER ADVANCED THREAT PROTECTION
ERKENNEN VON ERWEITERTEN ANGRIFFEN
UND BESEITIGEN VON EINBRÜCHEN
Einzigartige Informationsdatenbank mit
Bedrohungsinformationen Einzigartige Ressourcen ermöglichen detaillierte Profile der Akteure
Bedrohungsdaten von Microsoft und Drittanbietern.
Umfangreicher Zeitraum zur UntersuchungEinfaches Überblicken des Umfangs Verschieben von Daten auf
Endpunkten. Tief greifende Datei- und URL-Analyse.
Verhaltensbasierte und Cloud-gestützte EinbruchserkennungAussagekräftige und korrelierte Alarme für bekannte und unbekannte
Bedrohungen.
Echtzeitdaten und Verlaufsdaten.
In Windows integriertKeine zusätzliche Bereitstellung und Infrastruktur. Ständig aktuell,
geringere Kosten.
Vertrauenswürdiger Start
Windows Hello
Credential Guard
Device Guard
Enterprise Data Protection
Windows Defender ATP
NEUE HERAUSFORDERUNGEN ERFORDERNE INE NEUE PL AT TFORM
WINDOWS 7 WINDOWS 10
PRODUKTIVER
Privatanwender GeräteÜber Windows Update installierte
Updates, wenn sie verfügbar werden
Aktualität und Sicherheit für Hunderte Millionen
Kunden mit dem Servicemodell Current Branch
Große und diversifizierte Benutzerbasis fördert
die Qualität der Betriebssystemupdates
BYOD-Geräte sind aktuell und sicher
Keine neuen Funktionen mit dem Servicemodell
Long Term Servicing Branch
Normale Sicherheitsupdates
Kontrolle mit WSUS
Beispiele: Flugsicherung, Notaufnahme
Spezialisierte Systeme
Aktualisieren Sie ihre
Geräte, nachdem die Funktionen
auf dem Markt getestet wurden
Current Branch for Business
Geschäftliche Benutzer
Microsoft Windows 10 Enterprise
(Current Branch, Current Branch for Business)
Microsoft Windows 10 Enterprise 2015/2016 LTSB
Delivery of Updates
Windows as a Service
Edition
Windows 10 Home
Windows 10 Pro
Windows 10 Enterprise
Update Deployment Options
Windows UpdateCurrent Branch
Windows Update
Windows Update for Business
WSUS
Current Branch
Current Branch for Business
Windows Update
Windows Update for Business
WSUS
Current Branch
Current Branch for Business
Long Term Servicing Branch
Windows 10 Education
Windows Update
Windows Update for Business
WSUS
Current Branch
Current Branch for Business
NOCH INDIVIDUELLER
NOCH INDIVIDUELLER
Continuum
Continuum for Phone
Universal Windows Apps
Die beste Umgebung
Die optimale Anzeige ist
immer die, die Sie
gerade nutzen
Cortana mit Azure AD
Cortana Analytics und Power BI
Nutzen SieIhre digitaleAssistentin
Nutzen Sie die proaktive
Unterstützung eines
echten Assistenten
LEISTUNGSSTARKE MODERNE GERÄTE
In-place-Upgrade
Hardwarekompatibilität
Bringen Sie Innovationen auf
Ihre aktuellenPCs
Windows 10 funktioniert auf
Windows 7-PCs perfekt
Surface
Lumia
Drittanbietergeräte
Erreichen Sie mehr mit modernen
Geräten
Nutzen Sie mit Windows 10
auf moderner Hardware und
innovativen Geräten wie 2-in-
1-Geräte, Tablets und
Smartphones die beste
Umgebung
Windows 10 IoT
Verwaltete Benutzerumgebung
Branchenspezifische Geräte
Branchen- und IoT-Lösungen
Finden Sie das passende Gerät
für Ihre Branchen- oder IoT-
Szenarien
Surface Hub
HoloLens
Geräte füreine neue
Produktivität
Revolutionäre neue Geräte
LEISTUNGSSTARKE MODERNE GERÄTE
Sicherer und
verlässlicher
Leistungsstarke,
moderne GeräteNoch
individueller
Noch
produktiver
Erreichen Sie mit dem bisher sichersten Windows mehrund wandeln Sie Ihr Geschäft.
Immer auf dem
neuesten Stand
Noch
produktiver
Leistungsstarke,
moderne Geräte
Noch
individueller
Noch
sicherer
Windows Information Protection
Windows Hello
Credential Guard
Device Guard
AppLocker
Windows Defender Advanced Threat Protection
Azure Active Directory Join
Mobile Device Management
Application Virtualization
(App-V)
Windows Ink
Windows Store for Business
Cortana Management
Managed User Experience
User Experience Virtualization (UX-V)
Windows 10 for Industry Devices
Innovative Designs
Neue Umgebungen
Optimale Leistung
Die vertrauens-
würdigste Plattform
Die flexibelsten
Geräte
Die Vorteile von
Open License und Open Value
Stand September 2014 – für z.B. Ärzte
Warum Open-Volumenlizenzierung?
Open Value
Open Value
Open Value
Company-
wide
Einfachere Lizenzverwaltung
Größere Produktvielfalt
Erweiterte Produktbenutzungsrechte
Anrecht auf neue Versionen
Home Use Program
Mehr Vertragsoptionen
Verteilte Zahlungen, Step-up-Lizenzen
Onlinetrainings, Trainingsgutscheine
Open License
SA optional
Open License
mit SA
Open Value
Subscription
56 |
Enterprise Edition
Vorteile von Open Value und Open Licenseim Vergleich zu Einzellizenzen (OEM, FPP)
Einfachere
Lizenzverwaltung
Office Pro Plus
• Remotezugriffe und Virtual Desktop Infrastructure (VDI)
• Zusätzliche Lokale virtuelle Instanzen
Flexiblere
Nutzungsrechte
Volume Licensing Service Center (VLSC)
Automatisierte Volumenaktivierung
Vorteile von Open Value und Open Licenseim Vergleich zu Einzellizenzen (OEM, FPP)
Downgraderechte
Software-Bereitstellung über Re-Imaging
Remotezugriff auf Office über Windows Server RDS
Erweiterte
Produkt-
benutzungs-
rechte
Zusätzliche Vorteile in Open Value und Open License mit Software Assurance
Anrecht auf
neue Versionen
Während der Laufzeit von Software Assurance
Migration auf neue Produkte und Editionen
Aktuelle Version von Office Professional Plus
Zur Nutzung auf dem Heim-PC des Mitarbeiters
Home Use
Program
Zusätzliche Vorteile in Open Value
Verteilte
Zahlungen
Schonung der Liquidität
Einfachere Budgetplanung
Migration zu einer höherwertigen Edition
z.B. Windows Server Standard -> Windows Server Datacenter
Step-up-
Lizenzen
Zusätzliche Vorteile in Open Value
Trainings-
gutscheine
Technische Trainings bei einem Microsoft-Schulungspartner
Alle Kurse des Microsoft Official Curriculum (MOC)
Trainingsoptionen im Selbststudium
Office, Windows, Server Onlinetrainings
Zusätzliche Vertragsoptionenin Open Value
Open Value
Company-wide
Unternehmensweite Standardisierung
Plattformnachlass
Mehr Flexibilität durch befristete Nutzungsrechte
Zusätzlicher Up-to-date-Nachlass
Open Value
Subscription
• www.microsoft.com/de-de/licensing/licensing-options/open-license.aspx
• www.microsoft.de/lizenzen
Weiterführende Informationen
Danke