Windows Server 2008Branch Offices

Ralf FeestDirector Enterprise ServicesAddOn (Schweiz) AG

AddOn und NT-AG

AddOn (Schweiz) AG, Zürich IT-Dienstleistungsunternehmen, www.addon-ag.chMicrosoft TrainingscenterConsulting, Projekte, Support

NT-AnwendergruppeEuropas grösste Microsoft User GroupInfos und IT-Diskussionsforum auf dem Web3 mal/Jahr Treffen in Zürich mit Vorträgenkostenfreie Mitgliedschaft: www.nt-ag.ch Spezialseminare für IT-Profis

Agenda

Server CoreBitLockerRead Only Domain ControllerInstallationsverfahren für DCsNetwork Access ProtectionKennwortrichtlinienGruppenrichtlinien für mehr SicherheitTerminal Services

Server Core

Server Core

Windows Server 2008 ohne GUIKonfiguration:

aus KommandozeileRemote per RPCMsTsc (RDP)

Kein File Explorer, .NET Framework, PowerShell, Systemsteuerung, IE, ….Keine GUI konsequent? Nein: Regedit, Notepad, Taskmanagerund zwei .cpl sind da

Rollen für Server Core

File Services (Standard)Print ServicesDHCPDNSIIS ohne .Net FrameworkWindows Server VirtualizationMedia ServicesActive Directory Services AD LDS (früher: ADAM)

Terminaldienste

Sharepoint

Eigene

Applikationen

Nicht möglich

Die meisten Fremd-Applikationen

laufen nicht unter Server Core

Server Core

demo

BitLocker

BitLocker™ Drive Encryption

Verschlüsselung eines kompletten Festplatten-VolumesSchlüssel (128-256 bit) kann in TPM 1.2 kompatiblem Chip oder auf USB-Stick abgelegt werdenIntegritätscheck sperrt ggf. Zugriff auf Festplatte beim SystemstartWiederherstellungskennwort für NotfallOptimal für Aussenstellen:ServerCore als RODC mit BitLocker

BitLocker™ Drive Encryption (BDE) - 2

Bei Windows 2008: optionale KomponenteServer Core: start /w ocsetup BitLocker

transparent zu Betriebssystem und ApplikationenDisk Performance auf Server: ca. 3-5 % schlechter

RODC

Der NT4 Backup Domain Controller (BDC) in neuer Verpackung?

Sicherheit von Rechenzentren

Zugangsgeschützter Serverraum in der Zentrale

Angemietetes Grossraumbüro in der Niederlassung

Domain Controller

Domain Controller

Admin-Kennwort (Hash)

Admin-Kennwort (Hash)

Zweck & Ziel für Einsatz RODC

Verringerung des Gefahrenpotentialsbei Manipulation des Active Directory bei Diebstahl der Active Directory-Datenbank

Definition eines lokalen Administratorsder keine Berechtigungen im AD hatder nur seinen RODC administrieren darf

Technische Hintergrundinfos

DC

DC

RODC

repliziert Daten von … nach …

Kenn-wort-Filter

Wie funktioniert die Anmeldung?

DCRODC

Benutzer

Active Directory „weiss“, welches

Kennwort wo liegt.

Wie reagieren Anwendungen?

DCRODC

Applikation

LDAP-Read

LDAP-Write

LDAP-Write

Wer hat sich am RODC authentifiziert?

Im Active Directory abfragbar:

Hinweis auf Aufnahme in „Allow“-Gruppeoder

Was tun bei Diebstahl des RODC?

Notbremse ziehen:RODC Konto löschen und Konten neue Kennwörter vergeben, bevor Hacker die Hashwerte in Kennwörter zurück rechnet.

Voraussetzungen und Feintuning

Voraussetzungen für RODC:Domäne im Win 2003 Forest Functional Leveladprep /rodcprep (für Berechtigungen)

Ein „writable DC“ muss Windows 2008 sein

Ausser Kennwörter können weitere Attribute als „confidential“ markiert werden:

Schema Master: searchFlags bearbeitenHow-to: http://www.addon.de?ad1068

Installation eines RODC

Auf einem „vollständigen“ Windows 2008

dcpromoAuf einem Server Core

dcpromo mit AntwortdateiInstallation delegieren: Konto anlegen

Lokaler Admin startetdcpromo /UseExistingAccount:Attach

Server darf nicht Mitglied der Domäne sein!

Setup Domain Controller

Active Directory Domain Servicesist eine Rolledcpromo startet InitialreplikationAlternative für „dünne Leitungen“:„Install AD DS from Media“

Setup RODC

video

FAQ zu RODC

Kann ein RODC zu einemanderen RODC replizieren?

Nein.Was geht im Branch Officenicht mehr, wenn WANzu DC ausfälllt?

KennwortänderungenHinzufügen eines PCs zur DomäneAnmeldung für nicht zw.gespeicherte Konten

Hat die ntds.dit des RODC alle Objekte?

Ja.

Network Access Protection

Aussenstellen vor internen Gefahren schützen

Network Access Protection (NAP)

Welchen zusätzlichen Schutz bietet uns NAP?Aktuelle Gefahrensituation:

Überprüfen – heilen - Zutritt

Client erhält erst nach Überprüfung den Zugang zum IntranetNAP Agent (Client)

Windows VistaWindows XP SP3Windows Server 2008

NPS (Network Health Policy Server mit Win 2008) Remediation Server

Server und Dienste, die den alsnicht sicher eingestuften Computernzur Verfügung stehen

NAP – Gesundheitscheck für Clients

Administrator stellt zentral die Regeln aufEin Client muss bei Zugriff auf das Netzwerk seinen Gesundheitszustand dem NPS zeigen

gesund: Zugriff auf das Intranetkrank:

Richtlinine Einschränkungen bei krankem Client

IPsec Kein Zugriff auf mit IPsec geschützte Systeme

802.1x eingeschränktes VLAN oder IP packet filter

VPN eingeschränktes VLAN

DHCP anderer IP Adressbereich/-optionen

TS Gateway kein RDP-Zugang

Kennwortrichtlinien

Separate Richtlinien für Aussenstellen

Kennwortrichtlinien Windows 2000/2003

Kennwortrichtlinie wird per Gruppenrichtlinie vorgegeben

Richtlinie an oberster Ebene gilt für alle Benutzer (i.d.R. in der Default Domain Policy)

Kennwortrichtlinien Windows 2008

mehrfache Kennwortrichtliniengesteuert über globale Gruppenoder Benutzer, nicht über OUsBisher keine MMC dafür(kommt vielleicht).

Server 2008 Domain Functional Level ist Voraussetzung.

Gruppenrichtlinien

Sicherheitseinstellungen für Aussenstellen

Sicherheitsfeatures (1)

KontenrichtlinienLokale SicherheitsrichtlinienÜberwachungsrichtlinienAufbewahrungsfristen EreignisprotokollRestricted GroupsEinstellungen der SystemdiensteRegistry-/Ordner-/DateivorgabenNetzwerkrichtlinien (802.3, 802.11)Einstellungen für die FirewallPublic Key Policies

Sicherheitsfeatures (2)

Softwarerichtlinienvertrauenswürdige Zertifizierererlaubte/verbotene Programme/Pfade

Network Access ProtectionIPsec PoliciesAdministrative Templates

Internet Explorer SicherheitInstallation von GerätetreiberEFS-, Bitlocker-VorgabenOffice Makro Sicherheitseinstellungen u.v.m.

Terminal Services

Einsatzszenarien in Aussenstellen

Performance-Optimierung

Terminal Server

SQL Serve

rZentrale

Aussenstelle

SQ

LWAN

SQL

RDP

TS Remote Apps

Details: siehe Vortrag„Windows 2008 Terminal Services“

Interesse an weiteren Vorträgen?

Werden Sie kostenfrei Mitglied in Europas grösster Windows User Group

http://www.nt-ag.chBesuchen Sie unseren Stand

Veranstaltungen 8. April 2008, Thema „Windows Server 2008“Kostenfreies Anwendertreffen mit verschiedenen Vorträgen im JuniIn Ihrer Tasche:6 Spezial-Workshops der NT-AGin Basel, Bern und Zürich

© 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.

The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after

the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.