TechNet Roadshow 2004Windows Server System und

Active Directory

Willkommen zur

Agenda & Vorträge

09:00 – 09:30Keynote: Windows Server SystemAndre Wiesmann

09:30 – 10:30Die IT Infrastruktur von heute Sven Thimm und Björn Schneider

10:30 – 11:00 Kaffeepause & Ask the Experts

11:00 – 12:00Migration auf Windows Server 2003Sven Thimm

12:00 – 13:00 Mittagspause & Ask the Experts

13:00 – 14:00Migration auf Exchange Server 2003, KonsolidierungBjörn Schneider und Malte Pabst

14:00 – 15:00Erfolgreiches Verwalten einer Windows Server InfrastrukturBjörn Schneider und Michael Kalbe

15:00 – 15:30 Kaffeepause & Ask the Experts

15:45 – 16:45 IT Infrastruktur richtig absichernMichael Kalbe und Sven Thimm

IT Infrastruktur richtig absichern

Michael KalbeTechnologieberaterMicrosoft Deutschland GmbHmkalbe@microsoft.com

Sven ThimmSenior ConsultantMicrosoft Deutschland GmbHv-svthim@microsoft.com

Vortragsdownload

http://www.technetevents.de

© 2004 Hewlett-Packard GmbHThe information contained herein is subject to change without notice

Security Assessment

Jürgen Haßlauer Senior ConsultantHP Services

juergen.hasslauer@hp.com

MS Security Mobilization InitiativeAktive Einbindung von HPFokusthemen:• Patchmanagement• System Hardening• VPN• Wireless• ISA Server • PKI: Infrastruktur und Anwendungsszenarien• Identity Management• Dateisicherheit: EFS und Rechte Management• Sichere Softwareentwicklung • Sicherheitsthemen nach ISO17799

MS Security Mobilization InitiativeLeistungen von HP• Durchführung eines Mobilization Workshops• Planung und Vorbereitung des Security Assessments• Durchführung des Security Assessments

− Interviews (auf Fragebogen basierend)− Ortsbegehung− Dokumentation des Assessments− Auswertung der Ergebnisse

• Planung und Vorbereitung der Ergebnispräsentation• Durchführung der Ergebnispräsentation

Grundlage für die Aufdeckung möglicher Sicherheitsrisiken

HP Security PortfolioDie Sicherheitspyramide

Sicherheits-Strategie

Sicherheits-Standards:Richtlinien, Prozesse

und Rollen

Sicherheits-Maßnahmenkataloge

Sicherheits-Konzepte

Sicherheits-Technologie

+hp Success enabling solutions

Sicherheits-Marketing

Training &Kommunikation

ManagementofChange

Organisations-entwicklung

AgendaSicherheitsstrategieSicherheits-Erweiterungen des Betriebssystems

Windows XP SP2Windows Server 2003 SP1

PatchmanagementWindows Update ServicesAusblick: Microsoft Update

NetzwerksicherheitInternet Security & Acceleration Server 2004 SEAusblick: ISA 2004 Enterprise Edition

Sicherheitsstrategie

Die Situation heuteWirtschaftliche Aspekte

Die Verfügbarkeit von „Line of Business-Anwendungen“ sowie Mail/Web sind von hoher BedeutungKunden, Geschäftspartner und die eigenen Mitarbeiter stellen hohe Anforderungen an die Verfügbarkeit von DatenAusfallzeiten aufgrund von Security-Problemen verursachen enorme Kosten

Technische AspekteTraditionelle Schutzmechanismen (Firewall, DMZ) alleine reichen heute nicht mehr ausEin mehrstufiges Sicherheitskonzept –„Security in depth“ – ist erforderlich

Mehrstufige VerteidigungVerwenden eines mehrschichtigen Sicherheitsmodells

Erhöht die Wahrscheinlichkeit, dass ein Angreifer entdeckt wird Verringert die Erfolgsaussichten eines Angriffs

Richtlinien, Verfahren und Bewusstsein

Betriebssystemhärtung,Betriebssystemhärtung, Authentifizierung, Authentifizierung, Patchverwaltung, HIDSPatchverwaltung, HIDS

Firewalls,Firewalls, VPN-QuarantäneVPN-Quarantäne

Sicherheitskräfte,Sicherheitskräfte, Schlösser,Schlösser, ÜberwachungsgeräteÜberwachungsgeräte

Netzwerksegmente,Netzwerksegmente, IPSec,IPSec, NIDSNIDS

Anwendungshärtung,Anwendungshärtung, AntivirussoftwareAntivirussoftware

ACL,ACL, VerschlüsselungVerschlüsselung

BenutzerschulungBenutzerschulung

Physische SicherheitPerimeter

Internes NetzwerkHost

AnwendungDaten

Windows Security

Windows FirewallNachfolger der ICFIn der Default-Konfiguration auf allen Interfaces aktivKann zentral über Gruppenrichtlinien administriert werden

DomänenprofilStandardprofil

Konfiguration über NETFW.INF oder NETSHBoot Time Policy

Sicherheits Konfigurations Assistent(Windows Server 2003 SP1)Angriffsflächen-Reduzierung für Windows Server

SicherheitseinstellungenRollen-Basierende KonfigurationDeaktiviert unbenutzte DiensteDeaktiviert unbenutzte IIS Web “Extensions”Blockiert unbenutzte Ports, inkl. “multi-homed” SzenarienUnterstützung bei der Absicherung von Ports, welche bei der Verwendung von IPSec geöffnet bleibenKonfiguriert die Überwachungs-Einstellungen

Gewinn an SicherheitRollenbasiert zur einfachen HandhabungAutomatisiert statt papierbasierende Anleitungen“Fully tested” und “supported” durch Microsoft

Sicherheits Konfigurations Assistentim Einsatz

“Rollback”, für den Fall das die Einstellungen mit anderen Diensten kollidierenAnalyse, um zu überprüfen ob die Server den festgelegten Richtlinien entsprechenRemote-Einsatz zur Konfiguration und Analyse“Command Line“ Unterstützung für Remote Konfiguration und AnalyseActive Directory Integration für die Verteilung per GruppenrichtlinienÄnderung der bestehenden Richtlinien, falls der Server anders eingesetzt wird“XSL View“ auf die Knowledge Base, Richtlinien und Analyse-Ergebnisse

Windows SecurityWindows Security Security Configuration WizardSecurity Configuration Wizard

DemoDemo

Patchmanagement

Produkte,Produkte, ToolsToolsundund AutomatisierungAutomatisierung

KonsistentKonsistent undundwiederholbarwiederholbar

Kenntnisse,Kenntnisse, FunktionenFunktionen undund AufgabenAufgaben

VerfahrenVerfahrenMitarbeiterMitarbeiterTechnologienTechnologien

Erfolgreiche Patchverwaltung

Patchverwaltungs-Prozess1.1. BewertungBewertung derder Umgebung,Umgebung, inin derder PatchesPatches installiertinstalliert werdenwerden sollensollen

RegelmäßigeRegelmäßige AufgabenAufgabenA.A. Erstellen/WartenErstellen/Warten einereiner BaselineBaseline fürfür SystemeSystemeB.B. BewertenBewerten derder ArchitekturArchitektur fürfür diedie PatchverwaltungPatchverwaltungC.C. ÜberprüfenÜberprüfen derder Infrastruktur/Infrastruktur/ KonfigurationKonfiguration

KontinuierlicheKontinuierliche AufgabenAufgabenA.A. ErkennenErkennen vonvon RessourcenRessourcenB.B. BestandsaufnahmeBestandsaufnahme vonvon ClientsClients

1.1. BewertenBewerten 2.2. IdentifizierenIdentifizieren

4.4. BereitstellenBereitstellen 3.3. EvaluierenEvaluieren undund PlanenPlanen

2.2. IdentifizierenIdentifizieren vonvon neuenneuen PatchesPatches

AufgabenAufgabenA.A. IdentifizierenIdentifizieren vonvon

neuenneuen PatchesPatchesB.B. BestimmenBestimmen derder RelevanzRelevanz

desdes PatchesPatchesC.C. ÜberprüfenÜberprüfen derder

PatchauthentizitätPatchauthentizität undund -integrität-integrität

3.3. EvaluierenEvaluieren undund PlanenPlanenderder PatchbereitstellungPatchbereitstellung

AufgabenAufgabenA.A. EinholenEinholen derder GenehmigungGenehmigung

zumzum BereitstellenBereitstellen desdes PatchesPatches

B.B. DurchführenDurchführen einereiner RisikobewertungRisikobewertung

C.C. PlanenPlanen derder PatchveröffentlichungPatchveröffentlichung

D.D. TestenTesten derder AkzeptanzAkzeptanz desdes PatchesPatches

4.4. BereitstellenBereitstellen desdes PatchesPatches

AufgabenAufgabenA.A. VerteilenVerteilen undund InstallierenInstallieren desdes PatchesPatchesB.B. BerichtenBerichten überüber FortschrittFortschrittC.C. BehandelnBehandeln vonvon AusnahmenAusnahmenD.D. ÜberprüfenÜberprüfen derder BereitstellungBereitstellung

www.microsoft.com/germany/technet/datenbank/articles/600262.mspx

Rating Definition Kundenaktion

Die Schwachstelle ermöglicht die Verbreitung eines Internet Wurms wie Code Red oder Nimda ohne Zutun des Anwenders

Unverzügliche Installation des Patches oder Durchführung entsprechender Anweisungen

Durch die Schwachstelle kann die Vertraulichkeit, Integrität, oder Verfügbarkeit von Anwenderdaten oder Prozess Systemen kompromittiert werden.

Baldmöglichste Installation des Patches oder Durchführung entsprechender Anweisungen

Die Schwachstelle wird bereits durch verschiedene Faktoren (z.B. Standard-konfiguration, Audits, Anwenderverhalten oder Komplexität des Angriffes) signifikant abgeschwächt.

Überprüfung des Bulletins, Eignung und Einsatz des Patches überprüfen und entsprechend fortfahren

NiedrigAusnutzung der Schwachstelle ist äußerst schwierig oder die Auswirkungen sind minimal

Einplanung des Patches im nächsten standardmäßig geplanten Update Intervall

PatchmanagementRating von Security Bulletins

Rechner installieren die vom Administrator genehmigten Updates

Administrator genehmigt die updatesAdministrator “abonniert” die Update KategorienServer holt die “updates” von Microsoft UpdateRechner registrieren sich beim ServerAdministrator ordnet die Rechner in unterschiedliche Gruppen ein

< Back Finish Cancel

Windows Update ServicesWindows Update Services

< Back Finish Cancel

Windows Update ServicesWindows Update Services

Microsoft Update

WUS Server

Desktop ClientsGruppe 1

Server ClientsGruppe 2

WUS Administrator

WUS Funktionsweise

Windows Update ServiceWindows Update Service PatchverwaltungPatchverwaltung

DemoDemo

HeuteHeuteMitte Mitte 20052005

Windows, SQL,Windows, SQL,Exchange, Office…Exchange, Office…

Windows, SQL,Windows, SQL,Exchange, Office…Exchange, Office…

Office Update

Download Center

SUSSUS SMSSMS

““Microsoft Update”Microsoft Update”(Windows Update)(Windows Update)

VS Update

Windows Update

Nur WindowsNur Windows

Nur Windows Nur Windows

Windows Windows UpdateUpdateServicesServices

Software-Aktualisierung:Ausblick

Windows, SQL,Windows, SQL,Exchange, Exchange, Office…Office…

AutoUpdateAutoUpdate

Netzwerksicherheit

DMZ 2

Überblick ISA 2004 Netzwerk-Layout

Internet

Netzwerk A

DMZ 1VPN Netzwer

k

Netzwerk B

Variables Netzwerk LayoutMehrere Interne NetzwerkeBeliebig viele DMZVPN Client Netzwerk VPN Quarantine NetzwerkVPN Quarantine Netzwerk

Wahlweise NAT/Routing

Durchgängige FilterungAuf allen NetzwerkkartenZwischen allen Netzwerken

ISA 2004 Firewall-KonfigurationISA Server Konfigurationsdatenbank

ZulassenVerweigern

Quell NetzwerkQuell IP

Ziel NetworkZiel IPDomain NamenURLs

ProtokolIP Port / Typ •Applikations Filterung

•Server Veröffentlichung•Web Veröffentlichung•Zeit

Aktion auf Verkehr von Wem von Quelle nach Ziel mit Bedingung

BenutzerGruppenAnonym

Übersichtliche „Top-Down“ Firewall-Konfiguration Alle Regeln werden in einem Fenster dargestellt Abarbeitung der Regel erfolgt von “Oben” nach “Unten”

Unterteilung zwischen System- und Firewall Policy

(Public) NAT (Private)

Access Rules

Access Rules

(Web-) Server Publishing Rules

IP-Routing

ISA 2004 Firewall-Konfiguration Firewall Regel Konfiguration

Die unterschiedlichen Regeltypen Access Rules(Web-) Server Publishing Rules

ISA Server

Internet Internes Netzwerk

Das Problem

Packet filtering & stateful inspection sind nicht Packet filtering & stateful inspection sind nicht ausreichend gegen heutige Attacken!ausreichend gegen heutige Attacken!

Traditionelle Firewalls haben “packet filtering” & “stateful inspection” im FokusHeutige Attacken umgehen diesPorts & Protokollen nicht länger trauen

Port 80 gestern — nur Web browsingPort 80 heute — Web browsing, OWA, MSN Messenger, XML Web Services…

InternetZum internen Zum internen

NetzwerkNetzwerk

Application-layer Application-layer FirewallFirewall

Traditionelle Traditionelle FirewallFirewall

Application-layer Firewalls sind notwendig!Ermöglichen tiefere Untersuchung des Inhalts von PaketenVerstehen, was wirklich im Datenteil eines Pakets steckt!

Anwendungsfilterung mit ISA Server 2004

AnwendungsfilterMitgeliefert für einige Standardprotokolle:

HTTP, SMTP, RPC, FTP, H.323, DNS, POP3, Streaming media

Erweiterbare ArchitekturHTTP Filter – auch für “embedded” Protokolle

Schutz des eingehenden NetzwerkverkehrsExchange OWA, IIS, SharePoint, …

Schutz des ausgehenden Netzwerkverkehrs“embedded” Protokolle

SMTP Filter + “SMTP Message Screener”

Internet Security & Acceleration Server Internet Security & Acceleration Server 20042004

Application Layer FilteringApplication Layer Filtering

DemoDemo

ISA Server 2004 VPN-Dienste

VPN-Clients „können“ ein großes Sicherheitsrisiko darstellenFirewall wird meistens durch den VPN-Kanal komplett getunneltInfizierte Rechner haben somit Zugriff auf das interne Netzwerk

Die „Sicherheit“ jedes VPN-Clients muss bedacht werden!!Sicherheitsupdates, Desktop-Firewall, Hardening, Virenscanner, …

Kontrolle der VPN-Clients ist besser als blindes Vertrauen

VPN-Client VPN-Server

Internet

Wurm Infektion übers Internet

Wurm Infektion übers VPN

ISA Server 2004 VPN-Dienste VPN Quarantäne-Überprüfung!

Untersuchung der Client-Konfiguration bei der EinwahlSicherheitslücken des VPN-Clients werden hierbei aufgespürt

„Unsichere“ Clients werden in „Quarantäne“ gehaltenZugriff auf ausgewählte Ressourcen ist hierbei möglich

FAQ-Website, aktuellen Virensignaturen und UpdatesNur „sichere“ Clients gelangen ins interne Netzwerk

Quarantäne-Ressourcen

ISA Server

Internet

Wurm Infektion übers Internet

Wurm Infektion übers VPN

Wurm geblockt!

VPN-Client

Internet Security & Acceleration Internet Security & Acceleration Server 2004 Server 2004

VPN QuarantäneVPN Quarantäne

DemoDemo

Erweiterter SupportMonatliche PatchveröffentlichungSMS 2003Grundlegende AnleitungenUnterstützung von Communities

Windows XP Service Pack 2Patching Technology Improvements (MSI 3.0)ISA Server 2004 Standard EditionOperations Manager 2005Windows Server 2003 Service Pack 1

ISA Server 2004 Enterprise EditionVisual Studio 2005 “Whidbey”Windows Update Services / “Microsoft Update”Windows Rights Management Services SP1

Advanced Client InspectionVulnerability Assessment & RemediationActive Protection TechnologiesNetwork Access Protection

Sicherheits-Roadmap

2003

2004

Zukunft

2005