TechNet Roadshow 2004 Windows Server System und Active Directory Willkommen zur.
-
Upload
emmaline-zewe -
Category
Documents
-
view
216 -
download
0
Transcript of TechNet Roadshow 2004 Windows Server System und Active Directory Willkommen zur.
TechNet Roadshow 2004Windows Server System und
Active Directory
Willkommen zur
Agenda & Vorträge
09:00 – 09:30Keynote: Windows Server SystemAndre Wiesmann
09:30 – 10:30Die IT Infrastruktur von heute Sven Thimm und Björn Schneider
10:30 – 11:00 Kaffeepause & Ask the Experts
11:00 – 12:00Migration auf Windows Server 2003Sven Thimm
12:00 – 13:00 Mittagspause & Ask the Experts
13:00 – 14:00Migration auf Exchange Server 2003, KonsolidierungBjörn Schneider und Malte Pabst
14:00 – 15:00Erfolgreiches Verwalten einer Windows Server InfrastrukturBjörn Schneider und Michael Kalbe
15:00 – 15:30 Kaffeepause & Ask the Experts
15:45 – 16:45 IT Infrastruktur richtig absichernMichael Kalbe und Sven Thimm
IT Infrastruktur richtig absichern
Michael KalbeTechnologieberaterMicrosoft Deutschland [email protected]
Sven ThimmSenior ConsultantMicrosoft Deutschland [email protected]
Vortragsdownload
http://www.technetevents.de
© 2004 Hewlett-Packard GmbHThe information contained herein is subject to change without notice
Security Assessment
Jürgen Haßlauer Senior ConsultantHP Services
MS Security Mobilization InitiativeAktive Einbindung von HPFokusthemen:• Patchmanagement• System Hardening• VPN• Wireless• ISA Server • PKI: Infrastruktur und Anwendungsszenarien• Identity Management• Dateisicherheit: EFS und Rechte Management• Sichere Softwareentwicklung • Sicherheitsthemen nach ISO17799
MS Security Mobilization InitiativeLeistungen von HP• Durchführung eines Mobilization Workshops• Planung und Vorbereitung des Security Assessments• Durchführung des Security Assessments
− Interviews (auf Fragebogen basierend)− Ortsbegehung− Dokumentation des Assessments− Auswertung der Ergebnisse
• Planung und Vorbereitung der Ergebnispräsentation• Durchführung der Ergebnispräsentation
Grundlage für die Aufdeckung möglicher Sicherheitsrisiken
HP Security PortfolioDie Sicherheitspyramide
Sicherheits-Strategie
Sicherheits-Standards:Richtlinien, Prozesse
und Rollen
Sicherheits-Maßnahmenkataloge
Sicherheits-Konzepte
Sicherheits-Technologie
+hp Success enabling solutions
Sicherheits-Marketing
Training &Kommunikation
ManagementofChange
Organisations-entwicklung
AgendaSicherheitsstrategieSicherheits-Erweiterungen des Betriebssystems
Windows XP SP2Windows Server 2003 SP1
PatchmanagementWindows Update ServicesAusblick: Microsoft Update
NetzwerksicherheitInternet Security & Acceleration Server 2004 SEAusblick: ISA 2004 Enterprise Edition
Sicherheitsstrategie
Die Situation heuteWirtschaftliche Aspekte
Die Verfügbarkeit von „Line of Business-Anwendungen“ sowie Mail/Web sind von hoher BedeutungKunden, Geschäftspartner und die eigenen Mitarbeiter stellen hohe Anforderungen an die Verfügbarkeit von DatenAusfallzeiten aufgrund von Security-Problemen verursachen enorme Kosten
Technische AspekteTraditionelle Schutzmechanismen (Firewall, DMZ) alleine reichen heute nicht mehr ausEin mehrstufiges Sicherheitskonzept –„Security in depth“ – ist erforderlich
Mehrstufige VerteidigungVerwenden eines mehrschichtigen Sicherheitsmodells
Erhöht die Wahrscheinlichkeit, dass ein Angreifer entdeckt wird Verringert die Erfolgsaussichten eines Angriffs
Richtlinien, Verfahren und Bewusstsein
Betriebssystemhärtung,Betriebssystemhärtung, Authentifizierung, Authentifizierung, Patchverwaltung, HIDSPatchverwaltung, HIDS
Firewalls,Firewalls, VPN-QuarantäneVPN-Quarantäne
Sicherheitskräfte,Sicherheitskräfte, Schlösser,Schlösser, ÜberwachungsgeräteÜberwachungsgeräte
Netzwerksegmente,Netzwerksegmente, IPSec,IPSec, NIDSNIDS
Anwendungshärtung,Anwendungshärtung, AntivirussoftwareAntivirussoftware
ACL,ACL, VerschlüsselungVerschlüsselung
BenutzerschulungBenutzerschulung
Physische SicherheitPerimeter
Internes NetzwerkHost
AnwendungDaten
Windows Security
Windows FirewallNachfolger der ICFIn der Default-Konfiguration auf allen Interfaces aktivKann zentral über Gruppenrichtlinien administriert werden
DomänenprofilStandardprofil
Konfiguration über NETFW.INF oder NETSHBoot Time Policy
Sicherheits Konfigurations Assistent(Windows Server 2003 SP1)Angriffsflächen-Reduzierung für Windows Server
SicherheitseinstellungenRollen-Basierende KonfigurationDeaktiviert unbenutzte DiensteDeaktiviert unbenutzte IIS Web “Extensions”Blockiert unbenutzte Ports, inkl. “multi-homed” SzenarienUnterstützung bei der Absicherung von Ports, welche bei der Verwendung von IPSec geöffnet bleibenKonfiguriert die Überwachungs-Einstellungen
Gewinn an SicherheitRollenbasiert zur einfachen HandhabungAutomatisiert statt papierbasierende Anleitungen“Fully tested” und “supported” durch Microsoft
Sicherheits Konfigurations Assistentim Einsatz
“Rollback”, für den Fall das die Einstellungen mit anderen Diensten kollidierenAnalyse, um zu überprüfen ob die Server den festgelegten Richtlinien entsprechenRemote-Einsatz zur Konfiguration und Analyse“Command Line“ Unterstützung für Remote Konfiguration und AnalyseActive Directory Integration für die Verteilung per GruppenrichtlinienÄnderung der bestehenden Richtlinien, falls der Server anders eingesetzt wird“XSL View“ auf die Knowledge Base, Richtlinien und Analyse-Ergebnisse
Windows SecurityWindows Security Security Configuration WizardSecurity Configuration Wizard
DemoDemo
Patchmanagement
Produkte,Produkte, ToolsToolsundund AutomatisierungAutomatisierung
KonsistentKonsistent undundwiederholbarwiederholbar
Kenntnisse,Kenntnisse, FunktionenFunktionen undund AufgabenAufgaben
VerfahrenVerfahrenMitarbeiterMitarbeiterTechnologienTechnologien
Erfolgreiche Patchverwaltung
Patchverwaltungs-Prozess1.1. BewertungBewertung derder Umgebung,Umgebung, inin derder PatchesPatches installiertinstalliert werdenwerden sollensollen
RegelmäßigeRegelmäßige AufgabenAufgabenA.A. Erstellen/WartenErstellen/Warten einereiner BaselineBaseline fürfür SystemeSystemeB.B. BewertenBewerten derder ArchitekturArchitektur fürfür diedie PatchverwaltungPatchverwaltungC.C. ÜberprüfenÜberprüfen derder Infrastruktur/Infrastruktur/ KonfigurationKonfiguration
KontinuierlicheKontinuierliche AufgabenAufgabenA.A. ErkennenErkennen vonvon RessourcenRessourcenB.B. BestandsaufnahmeBestandsaufnahme vonvon ClientsClients
1.1. BewertenBewerten 2.2. IdentifizierenIdentifizieren
4.4. BereitstellenBereitstellen 3.3. EvaluierenEvaluieren undund PlanenPlanen
2.2. IdentifizierenIdentifizieren vonvon neuenneuen PatchesPatches
AufgabenAufgabenA.A. IdentifizierenIdentifizieren vonvon
neuenneuen PatchesPatchesB.B. BestimmenBestimmen derder RelevanzRelevanz
desdes PatchesPatchesC.C. ÜberprüfenÜberprüfen derder
PatchauthentizitätPatchauthentizität undund -integrität-integrität
3.3. EvaluierenEvaluieren undund PlanenPlanenderder PatchbereitstellungPatchbereitstellung
AufgabenAufgabenA.A. EinholenEinholen derder GenehmigungGenehmigung
zumzum BereitstellenBereitstellen desdes PatchesPatches
B.B. DurchführenDurchführen einereiner RisikobewertungRisikobewertung
C.C. PlanenPlanen derder PatchveröffentlichungPatchveröffentlichung
D.D. TestenTesten derder AkzeptanzAkzeptanz desdes PatchesPatches
4.4. BereitstellenBereitstellen desdes PatchesPatches
AufgabenAufgabenA.A. VerteilenVerteilen undund InstallierenInstallieren desdes PatchesPatchesB.B. BerichtenBerichten überüber FortschrittFortschrittC.C. BehandelnBehandeln vonvon AusnahmenAusnahmenD.D. ÜberprüfenÜberprüfen derder BereitstellungBereitstellung
www.microsoft.com/germany/technet/datenbank/articles/600262.mspx
Rating Definition Kundenaktion
Die Schwachstelle ermöglicht die Verbreitung eines Internet Wurms wie Code Red oder Nimda ohne Zutun des Anwenders
Unverzügliche Installation des Patches oder Durchführung entsprechender Anweisungen
Durch die Schwachstelle kann die Vertraulichkeit, Integrität, oder Verfügbarkeit von Anwenderdaten oder Prozess Systemen kompromittiert werden.
Baldmöglichste Installation des Patches oder Durchführung entsprechender Anweisungen
Die Schwachstelle wird bereits durch verschiedene Faktoren (z.B. Standard-konfiguration, Audits, Anwenderverhalten oder Komplexität des Angriffes) signifikant abgeschwächt.
Überprüfung des Bulletins, Eignung und Einsatz des Patches überprüfen und entsprechend fortfahren
NiedrigAusnutzung der Schwachstelle ist äußerst schwierig oder die Auswirkungen sind minimal
Einplanung des Patches im nächsten standardmäßig geplanten Update Intervall
PatchmanagementRating von Security Bulletins
Rechner installieren die vom Administrator genehmigten Updates
Administrator genehmigt die updatesAdministrator “abonniert” die Update KategorienServer holt die “updates” von Microsoft UpdateRechner registrieren sich beim ServerAdministrator ordnet die Rechner in unterschiedliche Gruppen ein
< Back Finish Cancel
Windows Update ServicesWindows Update Services
< Back Finish Cancel
Windows Update ServicesWindows Update Services
Microsoft Update
WUS Server
Desktop ClientsGruppe 1
Server ClientsGruppe 2
WUS Administrator
WUS Funktionsweise
Windows Update ServiceWindows Update Service PatchverwaltungPatchverwaltung
DemoDemo
HeuteHeuteMitte Mitte 20052005
Windows, SQL,Windows, SQL,Exchange, Office…Exchange, Office…
Windows, SQL,Windows, SQL,Exchange, Office…Exchange, Office…
Office Update
Download Center
SUSSUS SMSSMS
““Microsoft Update”Microsoft Update”(Windows Update)(Windows Update)
VS Update
Windows Update
Nur WindowsNur Windows
Nur Windows Nur Windows
Windows Windows UpdateUpdateServicesServices
Software-Aktualisierung:Ausblick
Windows, SQL,Windows, SQL,Exchange, Exchange, Office…Office…
AutoUpdateAutoUpdate
Netzwerksicherheit
DMZ 2
Überblick ISA 2004 Netzwerk-Layout
Internet
Netzwerk A
DMZ 1VPN Netzwer
k
Netzwerk B
Variables Netzwerk LayoutMehrere Interne NetzwerkeBeliebig viele DMZVPN Client Netzwerk VPN Quarantine NetzwerkVPN Quarantine Netzwerk
Wahlweise NAT/Routing
Durchgängige FilterungAuf allen NetzwerkkartenZwischen allen Netzwerken
ISA 2004 Firewall-KonfigurationISA Server Konfigurationsdatenbank
ZulassenVerweigern
Quell NetzwerkQuell IP
Ziel NetworkZiel IPDomain NamenURLs
ProtokolIP Port / Typ •Applikations Filterung
•Server Veröffentlichung•Web Veröffentlichung•Zeit
Aktion auf Verkehr von Wem von Quelle nach Ziel mit Bedingung
BenutzerGruppenAnonym
Übersichtliche „Top-Down“ Firewall-Konfiguration Alle Regeln werden in einem Fenster dargestellt Abarbeitung der Regel erfolgt von “Oben” nach “Unten”
Unterteilung zwischen System- und Firewall Policy
(Public) NAT (Private)
Access Rules
Access Rules
(Web-) Server Publishing Rules
IP-Routing
ISA 2004 Firewall-Konfiguration Firewall Regel Konfiguration
Die unterschiedlichen Regeltypen Access Rules(Web-) Server Publishing Rules
ISA Server
Internet Internes Netzwerk
Das Problem
Packet filtering & stateful inspection sind nicht Packet filtering & stateful inspection sind nicht ausreichend gegen heutige Attacken!ausreichend gegen heutige Attacken!
Traditionelle Firewalls haben “packet filtering” & “stateful inspection” im FokusHeutige Attacken umgehen diesPorts & Protokollen nicht länger trauen
Port 80 gestern — nur Web browsingPort 80 heute — Web browsing, OWA, MSN Messenger, XML Web Services…
InternetZum internen Zum internen
NetzwerkNetzwerk
Application-layer Application-layer FirewallFirewall
Traditionelle Traditionelle FirewallFirewall
Application-layer Firewalls sind notwendig!Ermöglichen tiefere Untersuchung des Inhalts von PaketenVerstehen, was wirklich im Datenteil eines Pakets steckt!
Anwendungsfilterung mit ISA Server 2004
AnwendungsfilterMitgeliefert für einige Standardprotokolle:
HTTP, SMTP, RPC, FTP, H.323, DNS, POP3, Streaming media
Erweiterbare ArchitekturHTTP Filter – auch für “embedded” Protokolle
Schutz des eingehenden NetzwerkverkehrsExchange OWA, IIS, SharePoint, …
Schutz des ausgehenden Netzwerkverkehrs“embedded” Protokolle
SMTP Filter + “SMTP Message Screener”
Internet Security & Acceleration Server Internet Security & Acceleration Server 20042004
Application Layer FilteringApplication Layer Filtering
DemoDemo
ISA Server 2004 VPN-Dienste
VPN-Clients „können“ ein großes Sicherheitsrisiko darstellenFirewall wird meistens durch den VPN-Kanal komplett getunneltInfizierte Rechner haben somit Zugriff auf das interne Netzwerk
Die „Sicherheit“ jedes VPN-Clients muss bedacht werden!!Sicherheitsupdates, Desktop-Firewall, Hardening, Virenscanner, …
Kontrolle der VPN-Clients ist besser als blindes Vertrauen
VPN-Client VPN-Server
Internet
Wurm Infektion übers Internet
Wurm Infektion übers VPN
ISA Server 2004 VPN-Dienste VPN Quarantäne-Überprüfung!
Untersuchung der Client-Konfiguration bei der EinwahlSicherheitslücken des VPN-Clients werden hierbei aufgespürt
„Unsichere“ Clients werden in „Quarantäne“ gehaltenZugriff auf ausgewählte Ressourcen ist hierbei möglich
FAQ-Website, aktuellen Virensignaturen und UpdatesNur „sichere“ Clients gelangen ins interne Netzwerk
Quarantäne-Ressourcen
ISA Server
Internet
Wurm Infektion übers Internet
Wurm Infektion übers VPN
Wurm geblockt!
VPN-Client
Internet Security & Acceleration Internet Security & Acceleration Server 2004 Server 2004
VPN QuarantäneVPN Quarantäne
DemoDemo
Erweiterter SupportMonatliche PatchveröffentlichungSMS 2003Grundlegende AnleitungenUnterstützung von Communities
Windows XP Service Pack 2Patching Technology Improvements (MSI 3.0)ISA Server 2004 Standard EditionOperations Manager 2005Windows Server 2003 Service Pack 1
ISA Server 2004 Enterprise EditionVisual Studio 2005 “Whidbey”Windows Update Services / “Microsoft Update”Windows Rights Management Services SP1
Advanced Client InspectionVulnerability Assessment & RemediationActive Protection TechnologiesNetwork Access Protection
Sicherheits-Roadmap
2003
2004
Zukunft
2005