Upload
len-david
View
92
Download
1
Embed Size (px)
DESCRIPTION
Windows Server 2008 { Wirkungsvoller Netzwerkschutz mit Windows Server 2008 }. Daniel Melanchthon Security Evangelist Microsoft Deutschland GmbH http://blogs.technet.com/dmelanchthon. Windows Server 2008. Serververwaltung Windows PowerShell Internet Information Services 7.0 - PowerPoint PPT Presentation
Citation preview
Windows Server 2008{ Wirkungsvoller Netzwerkschutz mit Windows Server 2008 }Daniel Melanchthon
Security EvangelistMicrosoft Deutschland GmbHhttp://blogs.technet.com/dmelanchthon
Windows Server 2008
Effizientere Administration
Größere Flexibilität
Stärkerer Schutz
1. Serververwaltung2. Windows PowerShell3. Internet Information Services 7.04. Server-Härtung5. Server-Core6. Netzwerkzugriffsschutz (NAP)7. Failover-Clustering8. Einsatz in Zweigstellen9. Windows Server-Virtualisierung10.Terminaldienste mit neuen
Potenzialen
Wie viele Anwender……arbeiten als Administratoren?…und haben keine Ahnung von Sicherheit?...und wollen das auch gar nicht?…gehen Risiken ein, um Dinge zu erhalten?…fordern Ausnahmen für sich selbst?…versuchen aktiv, Sicherheit zu umgehen?…kennen Blaster, Sasser, Slammer & Co.?
Menschen sind oft Teil des Problems…
Deshalb gibt es Regeln…
...die manchmal erzwungen werden müssen:
Policies an Stelle von Topologien
NAP in Windows Server 2008Die Zeit bis zur Veröffentlichung von Windows Server 2008 kann jetzt für die Grundlagen von NAP genutzt werden.Welche Aufgaben gilt es dabei zu berücksichtigen?Definition des
GesundheitszustandAusnahmeregelnNetzwerksegmentierungNetzwerksicherungIAS (RADIUS) Deployment
Auswahl der ZonenabsicherungRollout-Plan und Kontrolle des ÄnderungsprozessesÜberprüfung und Überwachung des Erfolges
Netzwerkzugriffsschutz
Nicht richtlinien-konform
1
Einge-schränktesNetzwerk
Client bittet um Zugang zum Netzwerk und präsentiert seinen gegenwärtigen „Gesundheitszustand“
1
4 Falls nicht richtlinien-konform, wird Client in ein eingeschränktes VLAN umgeleitet und erhält Zugriff auf Ressourcen wie Patches, Konfigurationen und Signaturen
2 DHCP, VPN oder Switch/Router leitet Gesundheitszustand an Microsoft Network Policy-Server (RADIUS-basierend) weiter
5 Bei Richtlinien-Konformität wird dem Client der vollständige Zugang zum Unternehmensnetz gewährt
MSFT NPS
3
Policy Serverz.B. Patch, AV
Richtlinien-
konform
3 Network Policy Server (NPS) validiert diesen mit der von der Unternehmens-IT definierten „Gesundheitsrichtlinie“
2
Windows-Client DHCP, VPN,
Switch/Router
Fix-Up-Server
z.B. Patch
Unternehmensnetz5
4
{ demo title }
NameTitleGroup
Demo
Verwendete TechnologienEnforcement “Gesunder” Client “Ungesunder” Client
DHCPZuteilung einer voll netzwerkfähigen IP-Adresse, voller Zugriff
Begrenzte Routen
VPN (Microsoft und 3rd Party) Voller Zugriff Begrenztes VLAN
802.1X Voller Zugriff Begrenztes VLAN
IPsec
Kann mit jeder vertrauten Gegenstelle kommunizieren
“Gesunder” Clients verwirft Verbindungsanfragen von “ungesunden” Clients
Vervollständigt Schutz auf Layer 2Arbeitet problemlos mit bestehenden Servern und existierender InfrastrukturFlexible Isolation in Netzwerksegmente
Operativer Betrieb bei Microsoft
Abwägung des Risikos gegen Schwachstellen
Policyupdate und Nachricht an Clients bei hohem
Risiko
Kriterien für Securityscan zum Ermitteln der Security
Compliance
Untersuchung des Netzwerks auf Compliance
mit der Policy
Erzwingen der Compliance nach einer Toleranzfrist
Messen und Darstellen des Ergebnis der Compliance-
überwachung
NetzwerkzugriffsschutzNetwork Access Protection (NAP)
Gewährt nur Computern Zugang zum Netzwerk, die anhand von Richtlinien bestimmte Mindestkriterien erfüllenBeispiel: Automatische Updates eingeschaltet, installierte Sicherheitspatches, Virenscanner mit aktuellen Signaturen
NAP setzt vorausWindows Server 2008NAP-Client(in Windows Vista und Windows XP SP3 enthalten)
Ermöglicht mehr Kontrolle über Sicherheitskonfiguration von Computern im Intranet sowie von Remote-PCs, die sich via Internet mit dem Unternehmensnetz verbindenUnsicher konfigurierte Computer können abgewiesen oder in eingeschränkten Bereich umgeleitet werden, der Updates bereithält
AnleitungenStep-by-Step Guide: Demonstrate NAP DHCP Enforcementhttp://www.microsoft.com/downloads/details.aspx?FamilyID=ac38e5bb-18ce-40cb-8e59-188f7a198897&DisplayLang=enStep-by-Step Guide: Demonstrate NAP IPsec Enforcementhttp://www.microsoft.com/downloads/details.aspx?FamilyID=298ff956-1e6c-4d97-a3ed-7e7ffc4bed32&displaylang=enStep-by-Step Guide: Demonstrate NAP 802.1X Enforcementhttp://www.microsoft.com/downloads/details.aspx?FamilyID=8a0925ee-ee06-4dfb-bba2-07605eff0608&DisplayLang=enStep-by-Step Guide: Demonstrate NAP VPN Enforcement http://www.microsoft.com/downloads/details.aspx?FamilyID=729bba00-55ad-4199-b441-378cc3d900a7&DisplayLang=enWindows Server 2008 TS Gateway Step-by-Step Guide:Configuring the TS Gateway NAP Scenario http://technet2.microsoft.com/WindowsServer2008/en/library/b3c07483-a9e1-4dc6-8465-0a7900900a551033.mspxTechNet Virtual Lab: Network Access Protection with IPSec Enforcementhttp://go.microsoft.com/?linkid=7032267
Weitere InformationenFAQ & Whitepaperhttp://www.microsoft.com/napBloghttp://blogs.technet.com/napNAP TechNet Forumhttp://forums.microsoft.com/technet/showforum.aspx?forumid=576&siteid=17