Windows Server 2008{ Wirkungsvoller Netzwerkschutz mit Windows Server 2008 }Daniel Melanchthon

Security EvangelistMicrosoft Deutschland GmbHhttp://blogs.technet.com/dmelanchthon

Windows Server 2008

Effizientere Administration

Größere Flexibilität

Stärkerer Schutz

1. Serververwaltung2. Windows PowerShell3. Internet Information Services 7.04. Server-Härtung5. Server-Core6. Netzwerkzugriffsschutz (NAP)7. Failover-Clustering8. Einsatz in Zweigstellen9. Windows Server-Virtualisierung10.Terminaldienste mit neuen

Potenzialen

Wie viele Anwender……arbeiten als Administratoren?…und haben keine Ahnung von Sicherheit?...und wollen das auch gar nicht?…gehen Risiken ein, um Dinge zu erhalten?…fordern Ausnahmen für sich selbst?…versuchen aktiv, Sicherheit zu umgehen?…kennen Blaster, Sasser, Slammer & Co.?

Menschen sind oft Teil des Problems…

Deshalb gibt es Regeln…

...die manchmal erzwungen werden müssen:

Policies an Stelle von Topologien

NAP in Windows Server 2008Die Zeit bis zur Veröffentlichung von Windows Server 2008 kann jetzt für die Grundlagen von NAP genutzt werden.Welche Aufgaben gilt es dabei zu berücksichtigen?Definition des

GesundheitszustandAusnahmeregelnNetzwerksegmentierungNetzwerksicherungIAS (RADIUS) Deployment

Auswahl der ZonenabsicherungRollout-Plan und Kontrolle des ÄnderungsprozessesÜberprüfung und Überwachung des Erfolges

Netzwerkzugriffsschutz

Nicht richtlinien-konform

1

Einge-schränktesNetzwerk

Client bittet um Zugang zum Netzwerk und präsentiert seinen gegenwärtigen „Gesundheitszustand“

1

4 Falls nicht richtlinien-konform, wird Client in ein eingeschränktes VLAN umgeleitet und erhält Zugriff auf Ressourcen wie Patches, Konfigurationen und Signaturen

2 DHCP, VPN oder Switch/Router leitet Gesundheitszustand an Microsoft Network Policy-Server (RADIUS-basierend) weiter

5 Bei Richtlinien-Konformität wird dem Client der vollständige Zugang zum Unternehmensnetz gewährt

MSFT NPS

3

Policy Serverz.B. Patch, AV

Richtlinien-

konform

3 Network Policy Server (NPS) validiert diesen mit der von der Unternehmens-IT definierten „Gesundheitsrichtlinie“

2

Windows-Client DHCP, VPN,

Switch/Router

Fix-Up-Server

z.B. Patch

Unternehmensnetz5

4

{ demo title }

NameTitleGroup

Demo

Verwendete TechnologienEnforcement “Gesunder” Client “Ungesunder” Client

DHCPZuteilung einer voll netzwerkfähigen IP-Adresse, voller Zugriff

Begrenzte Routen

VPN (Microsoft und 3rd Party) Voller Zugriff Begrenztes VLAN

802.1X Voller Zugriff Begrenztes VLAN

IPsec

Kann mit jeder vertrauten Gegenstelle kommunizieren

“Gesunder” Clients verwirft Verbindungsanfragen von “ungesunden” Clients

Vervollständigt Schutz auf Layer 2Arbeitet problemlos mit bestehenden Servern und existierender InfrastrukturFlexible Isolation in Netzwerksegmente

Operativer Betrieb bei Microsoft

Abwägung des Risikos gegen Schwachstellen

Policyupdate und Nachricht an Clients bei hohem

Risiko

Kriterien für Securityscan zum Ermitteln der Security

Compliance

Untersuchung des Netzwerks auf Compliance

mit der Policy

Erzwingen der Compliance nach einer Toleranzfrist

Messen und Darstellen des Ergebnis der Compliance-

überwachung

NetzwerkzugriffsschutzNetwork Access Protection (NAP)

Gewährt nur Computern Zugang zum Netzwerk, die anhand von Richtlinien bestimmte Mindestkriterien erfüllenBeispiel: Automatische Updates eingeschaltet, installierte Sicherheitspatches, Virenscanner mit aktuellen Signaturen

NAP setzt vorausWindows Server 2008NAP-Client(in Windows Vista und Windows XP SP3 enthalten)

Ermöglicht mehr Kontrolle über Sicherheitskonfiguration von Computern im Intranet sowie von Remote-PCs, die sich via Internet mit dem Unternehmensnetz verbindenUnsicher konfigurierte Computer können abgewiesen oder in eingeschränkten Bereich umgeleitet werden, der Updates bereithält

AnleitungenStep-by-Step Guide: Demonstrate NAP DHCP Enforcementhttp://www.microsoft.com/downloads/details.aspx?FamilyID=ac38e5bb-18ce-40cb-8e59-188f7a198897&DisplayLang=enStep-by-Step Guide: Demonstrate NAP IPsec Enforcementhttp://www.microsoft.com/downloads/details.aspx?FamilyID=298ff956-1e6c-4d97-a3ed-7e7ffc4bed32&displaylang=enStep-by-Step Guide: Demonstrate NAP 802.1X Enforcementhttp://www.microsoft.com/downloads/details.aspx?FamilyID=8a0925ee-ee06-4dfb-bba2-07605eff0608&DisplayLang=enStep-by-Step Guide: Demonstrate NAP VPN Enforcement http://www.microsoft.com/downloads/details.aspx?FamilyID=729bba00-55ad-4199-b441-378cc3d900a7&DisplayLang=enWindows Server 2008 TS Gateway Step-by-Step Guide:Configuring the TS Gateway NAP Scenario http://technet2.microsoft.com/WindowsServer2008/en/library/b3c07483-a9e1-4dc6-8465-0a7900900a551033.mspxTechNet Virtual Lab: Network Access Protection with IPSec Enforcementhttp://go.microsoft.com/?linkid=7032267

Weitere InformationenFAQ & Whitepaperhttp://www.microsoft.com/napBloghttp://blogs.technet.com/napNAP TechNet Forumhttp://forums.microsoft.com/technet/showforum.aspx?forumid=576&siteid=17