Daniel Melanchthon Security Evangelist Microsoft Deutschland GmbH .
-
Upload
hampe-kennebeck -
Category
Documents
-
view
112 -
download
0
Transcript of Daniel Melanchthon Security Evangelist Microsoft Deutschland GmbH .
![Page 1: Daniel Melanchthon Security Evangelist Microsoft Deutschland GmbH .](https://reader036.fdocuments.net/reader036/viewer/2022062417/55204d7549795902118ca010/html5/thumbnails/1.jpg)
Windows Server 2008{ Security }
Daniel MelanchthonSecurity EvangelistMicrosoft Deutschland GmbHhttp://blogs.technet.com/dmelanchthon
![Page 2: Daniel Melanchthon Security Evangelist Microsoft Deutschland GmbH .](https://reader036.fdocuments.net/reader036/viewer/2022062417/55204d7549795902118ca010/html5/thumbnails/2.jpg)
{ Agenda }
EinführungStärkerer Schutz
Network Access ProtectionServer und Domain IsolationSichere Anbindung von Zweigstellen
Bessere KontrolleErweiterten GruppenrichtlinienGranularere Passwortkontrolle
Sicherer SchutzBitLocker™ Drive EncryptionRights Management Server
![Page 3: Daniel Melanchthon Security Evangelist Microsoft Deutschland GmbH .](https://reader036.fdocuments.net/reader036/viewer/2022062417/55204d7549795902118ca010/html5/thumbnails/3.jpg)
{ Agenda }
EinführungStärkerer Schutz
Network Access ProtectionServer und Domain IsolationSichere Anbindung von Zweigstellen
Bessere KontrolleErweiterten GruppenrichtlinienGranularere Passwortkontrolle
Sicherer SchutzBitLocker™ Drive EncryptionRights Management Server
![Page 4: Daniel Melanchthon Security Evangelist Microsoft Deutschland GmbH .](https://reader036.fdocuments.net/reader036/viewer/2022062417/55204d7549795902118ca010/html5/thumbnails/4.jpg)
D DD
Härtung der Windows Dienste
Reduktion der Schichten mit hohem RisikoSegmentierung der DiensteErweiterung der Schichten
Kernel-mode TreiberD
D User-mode Treiber
DD D
Service 1
Service 2
Service 3
Service…
Service …
Service A
Service B
![Page 5: Daniel Melanchthon Security Evangelist Microsoft Deutschland GmbH .](https://reader036.fdocuments.net/reader036/viewer/2022062417/55204d7549795902118ca010/html5/thumbnails/5.jpg)
Combined firewall and IPsec managementFirewall rules become more intelligentPolicy-based networking
Windows Server Firewall
![Page 6: Daniel Melanchthon Security Evangelist Microsoft Deutschland GmbH .](https://reader036.fdocuments.net/reader036/viewer/2022062417/55204d7549795902118ca010/html5/thumbnails/6.jpg)
Eine Firewall Regel…
DO Action = {By-pass | Allow | Block} IF: Protocol = X AND Direction = {In | Out} AND Local TCP/UDP port is in {Port list} AND Remote TCP/UDP port is in {Port list} AND ICMP type code is in {ICMP type-code list} AND Interface NIC is in {Interface ID list} AND Interface type is in {Interface types list} AND Local address is found in {Address list} AND Remote address is found in {Address list} AND Application = <Path> AND Service SID = <Service Short Name> AND Require authentication = {TRUE | FALSE} AND Require encryption = {TRUE | FALSE} AND Remote user has access in {SDDL} AND Remote computer has access in {SDDL} AND OS version is in {Platform List}
![Page 7: Daniel Melanchthon Security Evangelist Microsoft Deutschland GmbH .](https://reader036.fdocuments.net/reader036/viewer/2022062417/55204d7549795902118ca010/html5/thumbnails/7.jpg)
Härtung der Windows Dienste
Dienste arbeiten mit verringerten BerechtigungenWindows-Dienste sind für erlaubte Aktionen im Netz, am Dateisystem und an der Registry profiliertVerhinderung von Einrbuchsversuchen durch Schadsoftware, über Windows Dienste
Härtung der Dienste
ActiveProtection
Dateisystem
Registry
Netzwerk
![Page 8: Daniel Melanchthon Security Evangelist Microsoft Deutschland GmbH .](https://reader036.fdocuments.net/reader036/viewer/2022062417/55204d7549795902118ca010/html5/thumbnails/8.jpg)
Netzwerkzugriffsschutz
Nicht richtlinien-konform
1
Einge-schränktesNetzwerk
Client bittet um Zugang zum Netzwerk und präsentiert seinen gegenwärtigen „Gesundheitszustand“
1
4Falls nicht richtlinien-konform, wird Client in ein eingeschränktes VLAN umgeleitet und erhält Zugriff auf Ressourcen wie Patches, Konfigurationen und Signaturen
2 DHCP, VPN oder Switch/Router leitet Gesundheitszustand an Microsoft Network Policy-Server (RADIUS-basierend) weiter
5 Bei Richtlinien-Konformität wird dem Client der vollständige Zugang zum Unternehmensnetz gewährt
MSFT NPS
3
Policy Serverz.B. Patch, AV
Richtlinien-
konform
3 Network Policy Server (NPS) validiert diesen mit der von der Unternehmens-IT definierten „Gesundheitsrichtlinie“
2
Windows-Client DHCP, VPN,
Switch/Router
Fix-Up-Server
z.B. Patch
Unternehmensnetz5
4
![Page 9: Daniel Melanchthon Security Evangelist Microsoft Deutschland GmbH .](https://reader036.fdocuments.net/reader036/viewer/2022062417/55204d7549795902118ca010/html5/thumbnails/9.jpg)
3
Prüfen des Netzwerk-zugriffs (Computer)
Lokale Policy
Server & Domain Isolation
IKE
1
4
2
User versucht auf Ablage zuzugreifen.
IKE Aushandlungbeginnt
IKE erfolgreich, User AuthN findet statt
Computer und User Authentisierung und
Authentifizierung
Dept Group
6 Berechtigungen der Freigabe
Zugriff erlaubt oder verweigert (ACL)
5
Prüfen des Netwerk-zugriffs (User)
Local Policy
![Page 10: Daniel Melanchthon Security Evangelist Microsoft Deutschland GmbH .](https://reader036.fdocuments.net/reader036/viewer/2022062417/55204d7549795902118ca010/html5/thumbnails/10.jpg)
Server & Domain Isolation
Segmentiert dynamisch Windows® Umgebungen in sicherere und isolierte logische Netzwerkebasierend auf Policies
LabsUnmanaged guests
Server Isolation
Domain IsolationSchützt verwaltete Computer vor unverwaltete oder bösartige Computer und Benutzer
Schützt spezifische Server und Daten
![Page 11: Daniel Melanchthon Security Evangelist Microsoft Deutschland GmbH .](https://reader036.fdocuments.net/reader036/viewer/2022062417/55204d7549795902118ca010/html5/thumbnails/11.jpg)
Read-Only Domain Controller
Writeable DC Secure Location
HUB
Branch Read-Only DC Read-Only DNS One-way
Replication Credential Cache Local Admin Role
Read-only Kopie der AD DatenbankAlle Verzeichnisobjekte & AttributeVerwaltet read-only Kopie der DNS-Zonen
Unidirectionale ReplikationKeine lokalen ÄnderungenKontrollierte Replikation (Bandbreitenlimit)
Credential HandlingUser Password Cache (explizit einzustellen)Admin kennt Accounts bei KompromittierungRODC stellt lokale Auth Tickets aus
Separieren der administrativen RollenManagement delegierbar an lokale User
![Page 12: Daniel Melanchthon Security Evangelist Microsoft Deutschland GmbH .](https://reader036.fdocuments.net/reader036/viewer/2022062417/55204d7549795902118ca010/html5/thumbnails/12.jpg)
BranchHub
Read Only DC
Wie ein RODC arbeitet
2. RODC: Looks in DB: "I don't have the users secrets"
3. Forwards Request to Windows Server "Longhorn" DC
4. Windows Server "Longhorn" DC authenticates request
5. Returns authentication response and TGT back to the RODC
6. RODC gives TGT to User and RODC will cache credentials
1. AS_Req sent to RODC (request for TGT)
Windows Server 2008
DC
1
2
3
4
5 6
6
1
2
3
4
5
6
At this point the user will have a hub signed TGT
7
7
![Page 13: Daniel Melanchthon Security Evangelist Microsoft Deutschland GmbH .](https://reader036.fdocuments.net/reader036/viewer/2022062417/55204d7549795902118ca010/html5/thumbnails/13.jpg)
Gestohlener RODC vs. DC
Perspektive des Angreifers
Perspektive des Administrators
![Page 14: Daniel Melanchthon Security Evangelist Microsoft Deutschland GmbH .](https://reader036.fdocuments.net/reader036/viewer/2022062417/55204d7549795902118ca010/html5/thumbnails/14.jpg)
Terminal Services RemoteApp
Terminal Server
• Entfernte Programe integriert im lokalen Computer
• Zentrale Konfiguration auf Terminal Server mit der Terminal Server Configuration Console
• RemoteApp Konsole stellt Anwendungen zur Verfügung
• Auch Benutzt zur Publizierung für TS Web Access
• Programme sehen wie lokal ausgeführte Anwendungen aus
• Nur unterstützt ab Remote Desktop Client (RDC) 6.1
Remote Desktop client required
![Page 15: Daniel Melanchthon Security Evangelist Microsoft Deutschland GmbH .](https://reader036.fdocuments.net/reader036/viewer/2022062417/55204d7549795902118ca010/html5/thumbnails/15.jpg)
TS GatewayMit RDP erreichbare Ziele hinter FirewallHTTPS zur Überwindung von NAT/Firewalls vom ClientAD/ISA/NAP-Tests bevor die Verbindung erlaubtRemote Desktop Connection Client 6.x
AD/NPS/NAP
User navigiert zu TS Web Access
User initiiert HTTP/S Verbindung an TS GatewayTerminal Servers oder Windows® XP/Vista
TS Gateway
TS Web Access
Internet
DMZ Internes Netzwerk
RDP over HTTP/S Verbindung hergestellt zu TSG RDP 3389 an Host
AD/NPS/NAP Prüfung
Windows Vista® RDC (TS) Client
![Page 16: Daniel Melanchthon Security Evangelist Microsoft Deutschland GmbH .](https://reader036.fdocuments.net/reader036/viewer/2022062417/55204d7549795902118ca010/html5/thumbnails/16.jpg)
TS Web Access
Zugriff auf entfernte Anwendungen über TS Web Access Server
![Page 17: Daniel Melanchthon Security Evangelist Microsoft Deutschland GmbH .](https://reader036.fdocuments.net/reader036/viewer/2022062417/55204d7549795902118ca010/html5/thumbnails/17.jpg)
{ Agenda }
EinführungStärkerer Schutz
Network Access ProtectionServer und Domain IsolationSichere Anbindung von Zweigstellen
Bessere KontrolleErweiterten GruppenrichtlinienGranularere Passwortkontrolle
Sicherer SchutzBitLocker™ Drive EncryptionRights Management Server
![Page 18: Daniel Melanchthon Security Evangelist Microsoft Deutschland GmbH .](https://reader036.fdocuments.net/reader036/viewer/2022062417/55204d7549795902118ca010/html5/thumbnails/18.jpg)
Windows Geräteinstallation
Geräte Treiber
Geräte Treiber
• Geräte Identifikationstrings
• Geräte Setupklassen
![Page 19: Daniel Melanchthon Security Evangelist Microsoft Deutschland GmbH .](https://reader036.fdocuments.net/reader036/viewer/2022062417/55204d7549795902118ca010/html5/thumbnails/19.jpg)
Authentifizierung
Plug and Play Smart CardsTreiber und Certificate Service Provider (CSP)Loginfenster und User Account Control unterstützen Smart Cards
Neue Logon-ArchitekturKeine GINA (das alte Windows Logon Modell)3rd Parties: Biometrik, One-Time Password Tokens und andere Authentifizierungsmethoden
Passwort PoliciesPasswort Policies für Benutzer und/oder GruppenUnterschiedlichen Policies in einer Domäne
![Page 20: Daniel Melanchthon Security Evangelist Microsoft Deutschland GmbH .](https://reader036.fdocuments.net/reader036/viewer/2022062417/55204d7549795902118ca010/html5/thumbnails/20.jpg)
{ Agenda }
EinführungStärkerer Schutz
Network Access ProtectionServer und Domain IsolationSichere Anbindung von Zweigstellen
Bessere KontrolleErweiterten GruppenrichtlinienGranularere Passwortkontrolle
Sicherer SchutzBitLocker™ Drive EncryptionRights Management Server
![Page 21: Daniel Melanchthon Security Evangelist Microsoft Deutschland GmbH .](https://reader036.fdocuments.net/reader036/viewer/2022062417/55204d7549795902118ca010/html5/thumbnails/21.jpg)
Informationssicherheit
Wovor wollen Sie sich schützen?Andere Benutzer oder Administratoren am PC: EFSUnauthorisierte Benutzer mit lokalem Zugriff: BitLocker™
Szenario BitLocker
EFS RMS
Laptop
Server in Niederlassung
Lokaler Datei- und Verzeichnis-Schutz (Einzelner Anwender)
Lokaler Datei- und Verzeichnis-Schutz (Mehrere Anwender)
Remote Datei- und Verzeichnis-SchutzSchutz vor Administrator-Zugriff
Richtlinien für Informations-Nutzung
![Page 22: Daniel Melanchthon Security Evangelist Microsoft Deutschland GmbH .](https://reader036.fdocuments.net/reader036/viewer/2022062417/55204d7549795902118ca010/html5/thumbnails/22.jpg)
BitLocker™ Drive Encryption
Schützt bei Diebstahl oder Verlust, wenn der PC mit einem anderen Betriebs-system gestartet wird oder ein Hacking-Tool zur Umgehung der Windows-Sicherheit eingesetzt wirdBietet Schutz der Daten auf einem Windows-Client, selbst wenn sich der PC in falschen Händen befindet oder ein anderes Betriebs-system ausgeführt wirdTPM v1.2 oder USB-Stick zur Schlüsselablage
BitLocker
![Page 23: Daniel Melanchthon Security Evangelist Microsoft Deutschland GmbH .](https://reader036.fdocuments.net/reader036/viewer/2022062417/55204d7549795902118ca010/html5/thumbnails/23.jpg)
Disk Layout & Schlüsselspeicher
Boot
Windows Partition> Verschlüsseltes Betriebsystem> Verschlüsselte Auslagerungsdatei> Verschlüsselte temporäre Dateien> Verschlüsselte Daten> Verschlüsseltes Hibernation File
Boot Partition: MBR, Loader, Boot Utilities (Unverschlüsselt, 1,5 GB klein)
Wo ist der Verschlüsselungsschlüssel?1. SRK (Storage Root Key) im TPM 2. SRK verschlüsselt VEK (Volume
Encryption Key) geschützt durch TPM/PIN/Dongle
3. VEK gespeichert (verschlüsselt durch SRK) auf der Festplatte in der Boot PartitionVEK
2
3
Windows
SRK1
![Page 24: Daniel Melanchthon Security Evangelist Microsoft Deutschland GmbH .](https://reader036.fdocuments.net/reader036/viewer/2022062417/55204d7549795902118ca010/html5/thumbnails/24.jpg)
Spektrum der Absicherung
Sicherheit
Ein
fach
e N
utz u
ng TPM Only“What it is.”
Protects against: SW-only attacks
Vulnerable to: HW attacks (including potentially “easy”
HW attacks)
TPM + PIN“What you know.”Protects against: Many HW attacks
Vulnerable to: TPM breaking attacks
Dongle Only“What you have.” Protects against: All HW attacksVulnerable to: Losing donglePre-OS attacks
TPM + Dongle“Two what I
have’s.”Protects against: Many HW attacksVulnerable to: HW
attacks
BDE bietet ein Spektrum der Absicherung, das Kunden die Abwägung zwischen einfacher Benutzbarkeit und Systemsicherheit ermöglicht!
*******
![Page 25: Daniel Melanchthon Security Evangelist Microsoft Deutschland GmbH .](https://reader036.fdocuments.net/reader036/viewer/2022062417/55204d7549795902118ca010/html5/thumbnails/25.jpg)
BitLocker™ in Windows XP
![Page 26: Daniel Melanchthon Security Evangelist Microsoft Deutschland GmbH .](https://reader036.fdocuments.net/reader036/viewer/2022062417/55204d7549795902118ca010/html5/thumbnails/26.jpg)
BitLocker™ ohne Schlüssel
![Page 27: Daniel Melanchthon Security Evangelist Microsoft Deutschland GmbH .](https://reader036.fdocuments.net/reader036/viewer/2022062417/55204d7549795902118ca010/html5/thumbnails/27.jpg)
BitLocker™ Laufwerk in Linux
1
3
Linux-Fehlermeldungen für Bitlocker Laufwerk
1. fdisk liest Partitionstabelle und erkennt /dev/sda2 als NTFS-Partition
2. Falscher FS-Typ: Bad option, bad superblock on /dev/sda2, missing codepage oder andere Fehlermeldungen
3. Primärer Bootsektor ist ungültig: Kein NTFS Volume
2
![Page 28: Daniel Melanchthon Security Evangelist Microsoft Deutschland GmbH .](https://reader036.fdocuments.net/reader036/viewer/2022062417/55204d7549795902118ca010/html5/thumbnails/28.jpg)
Information Author
The Recipient
RMS Server
SQL Server
Active Directory
AD RMS schützt Zugriff auf digitale Dateien der OrganisationAD RMS in Windows Server 2008 enthält einige neue FeaturesVerbesserte Installation und administrative ErfahrungSelf-Enrollment von AD RMS ClusterIntegration mit AD FSNeue AD RMS administrative Rollen
1
2
3
AD Rights Management Services
![Page 29: Daniel Melanchthon Security Evangelist Microsoft Deutschland GmbH .](https://reader036.fdocuments.net/reader036/viewer/2022062417/55204d7549795902118ca010/html5/thumbnails/29.jpg)
AD RMS schützt nicht vor ...
![Page 30: Daniel Melanchthon Security Evangelist Microsoft Deutschland GmbH .](https://reader036.fdocuments.net/reader036/viewer/2022062417/55204d7549795902118ca010/html5/thumbnails/30.jpg)
![Page 31: Daniel Melanchthon Security Evangelist Microsoft Deutschland GmbH .](https://reader036.fdocuments.net/reader036/viewer/2022062417/55204d7549795902118ca010/html5/thumbnails/31.jpg)
Vergleich der Technologien zur Informationssicherung
Funktion AD RMS
S/MIME Signing
S/MIME Encryptio
nACLs EFS
Bescheinigt die Identität des veröffentlichers üUnterscheidet Berechtigungen per Benutzer ü üVerhindert unerlaubtes Anzeigen ü ü ü üVerschlüsselt geschützte Inhalte ü ü üDefinition eines Verfallsdatum üKontrolliert lesen, weiterleiten, speichern, ändern oder drucken per Benutzer
ü ü*
Erweitert den Schutz über den Veröffentlichungsort hinaus ü ü ü ü*
* Mit Einschränkungen
![Page 32: Daniel Melanchthon Security Evangelist Microsoft Deutschland GmbH .](https://reader036.fdocuments.net/reader036/viewer/2022062417/55204d7549795902118ca010/html5/thumbnails/32.jpg)
Weitere Informationen
Microsoft Network Access Protectionhttp://www.microsoft.com/nap
Network Access Protection Platform Architektur
http://go.microsoft.com/fwlink/?LinkId=49885http://www.microsoft.com/ipsec
Server und Domain Isolation Webseite auf Microsoft TechNet
http://www.microsoft.com/technet/network/sdiso/default.mspx
![Page 33: Daniel Melanchthon Security Evangelist Microsoft Deutschland GmbH .](https://reader036.fdocuments.net/reader036/viewer/2022062417/55204d7549795902118ca010/html5/thumbnails/33.jpg)
![Page 34: Daniel Melanchthon Security Evangelist Microsoft Deutschland GmbH .](https://reader036.fdocuments.net/reader036/viewer/2022062417/55204d7549795902118ca010/html5/thumbnails/34.jpg)
{ demo title }
NameTitleGroup
Demo