-INTRODUCCION AL ADDON -DEMO -INSTALACION ADDON : livestreampro.
Ralf Feest Director Enterprise Services AddOn (Schweiz) AG.
-
Upload
svenja-wuerth -
Category
Documents
-
view
112 -
download
0
Transcript of Ralf Feest Director Enterprise Services AddOn (Schweiz) AG.
Windows Server 2008Branch Offices
Ralf FeestDirector Enterprise ServicesAddOn (Schweiz) AG
AddOn und NT-AG
AddOn (Schweiz) AG, Zürich IT-Dienstleistungsunternehmen, www.addon-ag.chMicrosoft TrainingscenterConsulting, Projekte, Support
NT-AnwendergruppeEuropas grösste Microsoft User GroupInfos und IT-Diskussionsforum auf dem Web3 mal/Jahr Treffen in Zürich mit Vorträgenkostenfreie Mitgliedschaft: www.nt-ag.ch Spezialseminare für IT-Profis
Agenda
Server CoreBitLockerRead Only Domain ControllerInstallationsverfahren für DCsNetwork Access ProtectionKennwortrichtlinienGruppenrichtlinien für mehr SicherheitTerminal Services
Server Core
Server Core
Windows Server 2008 ohne GUIKonfiguration:
aus KommandozeileRemote per RPCMsTsc (RDP)
Kein File Explorer, .NET Framework, PowerShell, Systemsteuerung, IE, ….Keine GUI konsequent? Nein: Regedit, Notepad, Taskmanagerund zwei .cpl sind da
Rollen für Server Core
File Services (Standard)Print ServicesDHCPDNSIIS ohne .Net FrameworkWindows Server VirtualizationMedia ServicesActive Directory Services AD LDS (früher: ADAM)
Terminaldienste
Sharepoint
Eigene
Applikationen
Nicht möglich
Die meisten Fremd-Applikationen
laufen nicht unter Server Core
Server Core
demo
BitLocker
BitLocker™ Drive Encryption
Verschlüsselung eines kompletten Festplatten-VolumesSchlüssel (128-256 bit) kann in TPM 1.2 kompatiblem Chip oder auf USB-Stick abgelegt werdenIntegritätscheck sperrt ggf. Zugriff auf Festplatte beim SystemstartWiederherstellungskennwort für NotfallOptimal für Aussenstellen:ServerCore als RODC mit BitLocker
BitLocker™ Drive Encryption (BDE) - 2
Bei Windows 2008: optionale KomponenteServer Core: start /w ocsetup BitLocker
transparent zu Betriebssystem und ApplikationenDisk Performance auf Server: ca. 3-5 % schlechter
RODC
Der NT4 Backup Domain Controller (BDC) in neuer Verpackung?
Sicherheit von Rechenzentren
Zugangsgeschützter Serverraum in der Zentrale
Angemietetes Grossraumbüro in der Niederlassung
Domain Controller
Domain Controller
Admin-Kennwort (Hash)
Admin-Kennwort (Hash)
Zweck & Ziel für Einsatz RODC
Verringerung des Gefahrenpotentialsbei Manipulation des Active Directory bei Diebstahl der Active Directory-Datenbank
Definition eines lokalen Administratorsder keine Berechtigungen im AD hatder nur seinen RODC administrieren darf
Technische Hintergrundinfos
DC
DC
RODC
repliziert Daten von … nach …
Kenn-wort-Filter
Wie funktioniert die Anmeldung?
DCRODC
Benutzer
Active Directory „weiss“, welches
Kennwort wo liegt.
Wie reagieren Anwendungen?
DCRODC
Applikation
LDAP-Read
LDAP-Write
LDAP-Write
Wer hat sich am RODC authentifiziert?
Im Active Directory abfragbar:
Hinweis auf Aufnahme in „Allow“-Gruppeoder
Was tun bei Diebstahl des RODC?
Notbremse ziehen:RODC Konto löschen und Konten neue Kennwörter vergeben, bevor Hacker die Hashwerte in Kennwörter zurück rechnet.
Voraussetzungen und Feintuning
Voraussetzungen für RODC:Domäne im Win 2003 Forest Functional Leveladprep /rodcprep (für Berechtigungen)
Ein „writable DC“ muss Windows 2008 sein
Ausser Kennwörter können weitere Attribute als „confidential“ markiert werden:
Schema Master: searchFlags bearbeitenHow-to: http://www.addon.de?ad1068
Installation eines RODC
Auf einem „vollständigen“ Windows 2008
dcpromoAuf einem Server Core
dcpromo mit AntwortdateiInstallation delegieren: Konto anlegen
Lokaler Admin startetdcpromo /UseExistingAccount:Attach
Server darf nicht Mitglied der Domäne sein!
Setup Domain Controller
Active Directory Domain Servicesist eine Rolledcpromo startet InitialreplikationAlternative für „dünne Leitungen“:„Install AD DS from Media“
Setup RODC
video
FAQ zu RODC
Kann ein RODC zu einemanderen RODC replizieren?
Nein.Was geht im Branch Officenicht mehr, wenn WANzu DC ausfälllt?
KennwortänderungenHinzufügen eines PCs zur DomäneAnmeldung für nicht zw.gespeicherte Konten
Hat die ntds.dit des RODC alle Objekte?
Ja.
Network Access Protection
Aussenstellen vor internen Gefahren schützen
Network Access Protection (NAP)
Welchen zusätzlichen Schutz bietet uns NAP?Aktuelle Gefahrensituation:
Überprüfen – heilen - Zutritt
Client erhält erst nach Überprüfung den Zugang zum IntranetNAP Agent (Client)
Windows VistaWindows XP SP3Windows Server 2008
NPS (Network Health Policy Server mit Win 2008) Remediation Server
Server und Dienste, die den alsnicht sicher eingestuften Computernzur Verfügung stehen
NAP – Gesundheitscheck für Clients
Administrator stellt zentral die Regeln aufEin Client muss bei Zugriff auf das Netzwerk seinen Gesundheitszustand dem NPS zeigen
gesund: Zugriff auf das Intranetkrank:
Richtlinine Einschränkungen bei krankem Client
IPsec Kein Zugriff auf mit IPsec geschützte Systeme
802.1x eingeschränktes VLAN oder IP packet filter
VPN eingeschränktes VLAN
DHCP anderer IP Adressbereich/-optionen
TS Gateway kein RDP-Zugang
Kennwortrichtlinien
Separate Richtlinien für Aussenstellen
Kennwortrichtlinien Windows 2000/2003
Kennwortrichtlinie wird per Gruppenrichtlinie vorgegeben
Richtlinie an oberster Ebene gilt für alle Benutzer (i.d.R. in der Default Domain Policy)
Kennwortrichtlinien Windows 2008
mehrfache Kennwortrichtliniengesteuert über globale Gruppenoder Benutzer, nicht über OUsBisher keine MMC dafür(kommt vielleicht).
Server 2008 Domain Functional Level ist Voraussetzung.
Gruppenrichtlinien
Sicherheitseinstellungen für Aussenstellen
Sicherheitsfeatures (1)
KontenrichtlinienLokale SicherheitsrichtlinienÜberwachungsrichtlinienAufbewahrungsfristen EreignisprotokollRestricted GroupsEinstellungen der SystemdiensteRegistry-/Ordner-/DateivorgabenNetzwerkrichtlinien (802.3, 802.11)Einstellungen für die FirewallPublic Key Policies
Sicherheitsfeatures (2)
Softwarerichtlinienvertrauenswürdige Zertifizierererlaubte/verbotene Programme/Pfade
Network Access ProtectionIPsec PoliciesAdministrative Templates
Internet Explorer SicherheitInstallation von GerätetreiberEFS-, Bitlocker-VorgabenOffice Makro Sicherheitseinstellungen u.v.m.
Terminal Services
Einsatzszenarien in Aussenstellen
Performance-Optimierung
Terminal Server
SQL Serve
rZentrale
Aussenstelle
SQ
LWAN
SQL
RDP
TS Remote Apps
Details: siehe Vortrag„Windows 2008 Terminal Services“
Interesse an weiteren Vorträgen?
Werden Sie kostenfrei Mitglied in Europas grösster Windows User Group
http://www.nt-ag.chBesuchen Sie unseren Stand
Veranstaltungen 8. April 2008, Thema „Windows Server 2008“Kostenfreies Anwendertreffen mit verschiedenen Vorträgen im JuniIn Ihrer Tasche:6 Spezial-Workshops der NT-AGin Basel, Bern und Zürich
© 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.
The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after
the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.