1 / 53

José Parada Gimeno Microsoft ITPro Evangelist jparada@microsoft.com

José Parada Gimeno Microsoft ITPro Evangelist jparada@microsoft.com. Agenda. Protección de Acceso a Redes (NAP) Server Core Mejoras en los Servicios de Terminal. { NAP }. Carlos Delso PM HP ProCurve Carlos.delso.foronda@hp.com. José Parada Gimeno Microsoft ITPro Evangelist

dolph
Download Presentation

José Parada Gimeno Microsoft ITPro Evangelist jparada@microsoft.com

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. José Parada Gimeno • Microsoft ITProEvangelist • jparada@microsoft.com

  2. Agenda • Protección de Acceso a Redes (NAP) • Server Core • Mejoras en los Servicios de Terminal

  3. {NAP} Carlos Delso PM HP ProCurve Carlos.delso.foronda@hp.com José Parada Gimeno Microsoft ITProEvangelist jparada@microsoft.com

  4. NAP: Acceso basado en políticas • Validación de Políticas: Determina si los equipos cumplen con la política de seguridad de la organización. A los que cumplen se les estima como “Saludables”. • Restricciones de Red: Restringe el acceso a la red a los equipos en función de su salud. • Remediación: Provee las actualizaciones necesarias para permitir que un equipo se vuelva saludable. Una vez que esto ocurre, se le quitan las restricciones de red. • Cumplimiento sobre la marcha: Los cambios en la política de seguridad de la organización o en la salud de los equipos pueden provocar restricciones de red.

  5. Servidor de Políticas Fix Up Servers e.g. Patch MSFT NPS RedRestringida DHCP, VPN Switch/Router 1 El cliente solicita acceso a la red y presenta su estado de salud actual Red Corporativa 2 3 DHCP, VPN o Switch/Router envía el estado de salud al Servidor de Políticas de Red (RADIUS) El Servidor de Políticas (NPS) valida contra la política de salud definida por IT Si no cumple la política el cliente solo tiene acceso a una VLAN restringida donde hay recursos para solucionar sus problemas, descargar actualizaciones, firmas(Repetir 1-4) 4 5 Si cumple la política al cliente se le permite el acceso total a la red corporativa Network Access ProtectionFuncionamiento 3 1 2 No Cumplela Política 4 ClienteWindows Cumple laPolítica 5

  6. Opciones de Forzado

  7. Componentes Basicos de NAP • Cliente • SHA – Agente de salud chequea la salud del sistema • QA – Coordina SHA/EC • EC – Método de Forzado • Servidor de Remedios • Proporciona parches, firmas AV , etc… • Network Policy Server • QS – evalua la salud del cliente • SHV – evalua la respuesta SHA • System Health Server • Proporciona SHV Servidores de Salud Servidor de Remedios Actualizaciones Política de Salud Solicitud Acceso a la Red Cliente Estado de Salud NPS Policy Server (RADIUS) (SHA) MS SHA, SMS (SHA) 3rd Parties Health Certificate System Health Validator Agente de Quarentena QA (EC) (DHCP, IPsec, 802.1X, VPN) (EC) 3rd Party EAP VPN’s Quarantine Server (QS) 802.1x Switches Policy Firewalls SSL VPN Gateways Certificate Servers

  8. Plataforma extensible - NAP • APIs publicas para desarrollar SHV o Agentes • Mas de 100 partners tienen ya soluciones (Casas antivirus) • Hay agentes para otras plataformas (Linux) • Integrable con la plataforma de Gestión y Seguridad de Microsoft • SCCM 07 o Forefront. • Integrable con la plataforma NAC de Cisco • Extensible con la electrónica de red apropiada • HP Pro Curve.

  9. Nuevos servicios en el acceso a la red Gestión Control Trazabilidad Cumplimiento Visibilidad CONTROL de ACCESO CONTROL de INTEGRIDAD RESOLUCIÓN de INCIDENCIAS GESTIÓN de ATAQUES Adaptive Edge Servicios IT Corporativos VILTUAR SERVER VILTUAR SERVER Proactive Defense VILTUAR SERVER Red unificada segura

  10. Microsoft Windows server 2008 y HP Procurve Network Policy Server Microsoft NPS Microsoft IAS Authentication Directory Active Directory HTTP Request Web-Auth MAC Address MAC-Auth 802.1X Supplicant NPS RADIUS IAS RADIUS 802.1X Supplicant NAP Agent IDM Agent 802.1X Authenticator Policy Enforcement Point (PEP) Supported in ProCurve Edge Devices 5300 / 5400 / 3400 / 3500 4100 / 4200 2600 / 2600-PWR / 2800 2610/2810/2900 2500 420 / 530 / WESM Network Mgmt Server PCM / IDM 2.3 Server ProCurve hardware ProCurve Microsoft

  11. Integración NAP con la red RADIUS/Servicio de Directorio Conmutador/Acceso WIFI Gestión de políticas Integridad Dispositivo de acceso NAP Control de Acceso Políticas: • Un Conjunto de: Vlan, permisos, control de ancho de banda y calidad de servicio. Contexto: • Basado en: Usuario, momento, dispositivo y localización.

  12. Wireless Switch Directorio RADIUS LAN/WAN HP Procurve Armonizar diferentes sistemas sobre una única RED Dispositivos en cascada (Teléfono IP y PC ) VLAN usuarios (UnTagged) VLAN voz (Tagged) Directorio RADIUS LAN/WAN HP Procurve Diferentes sistemas IP sobre la red. (PCs, telefónia, Camaras IP, etc..)

  13. Autenticación multiusuario -Tecnología en puerto lógico • Para HP ProCurve, cada dispositivo conectado sobre un mismo puerto pertenece a un puerto lógico distinto. • Este puerto lógico se encarga de • Proveer procesos de autenticación separados para cada dispositivo. • Aprovisionar un entorno de producción diferente para cada dispositivo • La tecnología en puerto lógico se utiliza para la arquitectura de conexión de teléfonos y PCs de usuarios en cadena VLAN usuarios VLAN voz Directorio RADIUS LAN/WAN HP Procurve 802.1x/MAC + RFC4675 [VLAN_Voz] 802.1x + RFC3580 [VLAN_Producción]

  14. Beneficios NAP y HP ProCurve Integrado en Windows 2008 Server Unifica y permitediferentessistemas. Control granular avanzado. Para usuarios y dispositivoscableados, inalámbricos y remotos. Registroparaauditoría. Dinámico y automático. Protección antes y después del acceso.

  15. {Configuración NAP} demo Name Title Group

  16. Despliegue • Planificación de Requerimientos • Definir la política de salud requerida • Definir los métodos de forzado requeridos • Planificar la arquitectura NAP • Planificar las excepciones • Definir roles y responsabilidades • Fases del despliegue • Pruebas en Laboratorio • Piloto • Modo de Reporte • Forzado diferido • Forzado

  17. Server Core{El Windows sin Windows} David Cervigón Luna IT Pro Evangelist Microsoft Ibérica David.cervigon@microsoft.com José Parada Gimeno IT Pro Evangelist Microsoft Ibérica jparada@microsoft.com

  18. ¿Porqué Server Core? • Reduce el mantenimiento del software • Solo se instalan los componentes esenciales • Reduce la superficie de Ataque • Menos cosas que parchear y asegurar • Reduce la Gestión • Menos cosas que gestionar / actualizar. • Menor consumo de recursos • Memoria (p.e 184 MB frente a 309 MB en VMs recién instaladas) • Almacenamiento (Core: 1.6 GB / Completo: 7.6 GB, en instalación base, sin Pagefile.sys).

  19. Opciones Mínimas de Instalación Poca superficie de ataque Interfaz por Línea de Comandos Set limitado de Roles de Servidor Server Core Server, Server Roles(Por ejemplo, solo) TS IAS WebServer SharePoint® Etc… Servidor With WinFx, Shell, Tools, etc. Roles de Servidor de Server Core WebServer MediaServer DNS DHCP File AD Server Core Seguridad, TCP/IP, Sistema de Ficheros, RPC,y otros Sub-Systems del nucleo de Servidor. GUI, CLR, Shell, IE, Media, OE, etc.

  20. Server Core NO es un "SKU” • Seleccionar el modo de instación “Server Core “ en el Unattend.xml: • <InstallFrom> • <MetaData> • <Key>/IMAGE/Name</Key> • <Value>Windows Longhorn Server Core</Value> • </MetaData> • </InstallFrom>

  21. {Server Core} demo

  22. {Terminal Server } José Parada Gimeno ITPro Evangelist Microsoft Corporation

  23. {Hoy no me puedo Conectar} TS Gateway

  24. TS Gateway DMZ Red Interna Internet TunelRDP sobre RPC/HTTPS Deshace el RPC/HTTPS PasatráficoRDP/SSL al TS Terminal Server Firewall Interno Firewall Externo Casa Terminal Server Internet Other RDP Hosts Hotel Terminal Services Gateway Server Network Policy Server Active Directory DC Business Partner/ Client Site

  25. Seguridad Fuerte • Usa cifrado estándar de la industria (SSL, HTTPS) • El tráfico RDP sigue cifrado de extremo a extremo desde el cliente al servidor • La salud del equipo cliente se puede chequear mediante NAP • Se puede terminar el trafico SSL en dispositivos intermedios para detectar intrusiones o filtrar en la DMZ • Autenticación mediante contraseña o smartcards

  26. Conectividad Sencilla • El puerto de SSL, 443 ofrece menos problemas de conectividad que el puerto RDP 3389. • Https esta abierto de salida en casi todos los proxy. • Https esta abierto de entrada en casi todos los Firewalls. • En dispositivos con NAT, es sencillo redirigir el puerto 443.

  27. {Configurar Terminal Server Gateway} demo Name Title Group

  28. {No encuentro la Aplicación} TS Web Access

  29. TS Web Access • Publicación o despliegue de aplicaciones a través de una pagina Web.

  30. TS Web Access • Requiere que IIS este instalado en el equipo • Solo es una página WEB, NO proporciona ningún tipo de canal de comunicaciones como en el caso de TS Gateway • Genera automáticamente una Pagina Web con unas WebParts donde están la definición de la conexión RDP. • Fácil de personalizar la Web en función del usuario que se conecte. • El cliente ha de ser Vista SP1 o W2K8

  31. TS Gateway Con TS Web Access • El host RDP se puede situar tras un Firewall • HTTP/S se usa para atravesar el Firewall • Se chequean AD / ISA / NAP antes de permitir la conexión • El escritorio y las aplicaciones no se ejecutan dentro de IE AD / IAS / NAP Chequeo AD / IAS / NAP TS Gateway Cliente (TS) Vista RDC Terminal Servers o XP / Vista RDP Sobre HTTP/S se establece a TSG RDP 3389 a host El usuario inicia la conexión HTTPS al TS Gateway El Usuario navega a TS Web Access TS Web Access DMZ Red Interna Network Internet

  32. Publicación de aplicaciones • Puede ser mediante paquetes RDP o MSI • RDP es simplemente un fichero con los parámetros de conexión • MSI es un mínimo paquete de instalación del RDP • Se pueden publicar simplemente compartiéndolos en un directorio o mediante el sistema de distribución de software que queramos • El DA es muy útil para desplegar estas aplicaciones personalizando en función del usuario.

  33. Integración de Aplicaciones en el Escritorio Local Parece que los programas se ejecutan en local Requiere el cliente de acceso remoto Terminal Server

  34. {Publicar Aplicaciones con TSWebAccess} demo Name Title Group

  35. {No puedo ver ni Imprimir mis Foto } Easy Print RedirecciónDispositivos

  36. Redireccionamiento de Dispositivos Remote Desktop Protocol EquipoCliente Terminal Server

  37. Redireccionamiento de Dispositivos PnP • Para dispositivos “Windows Portable Devices” como reproductores MTP y cámaras PTP • Configurable mediante políticas • ComputerConfiguration\AdministrativeTemplates\Windows Components\Terminal Services\Terminal Server\Device and ResourceRedirection\Do notallowsupported Plug and Play deviceRedirection • ComputerConfiguration\AdministrativeTemplates\System\DeviceInstallation\DeviceInstallationRestrictions • También disponible para dispositivos utilizados en puntos de servicio con Windows embebido (Windows Embeddedfor Point of Service POS), que utilizan Microsoft POS para .NET 1.11

  38. Impresión Sencilla Terminal Server 3 2 1 “TS EasyPrint” utiliza el driver del cliente y aparece el interface de Usuario completo para impresión. El documento se imprime en la impresora local El usuario quiere imprimir un documento a su impresora local El usuario abre Microsoft Word via Terminal Services 1 2 3 4 4

  39. Impresión Sencilla – EasyPrint • Re-direccionamiento de impresoras locales en la aplicación que se ejecuta en el Terminal server • Es un driver del servidor que actúa como Proxy enviando todos los trabajos de impresión al equipo local. • No requiere la instalación de ningún driver en el servidor, solo hace falta W2K8 • Requiere en cliente RDC 6.1 y el Framework 3.0 SP1 (estará disponible para XP y 2003)

  40. {Redireccionamiento de dispositivios e Impresión Sencilla} demo Name Title Group

  41. {Tengo que volver a escribir mis credenciales} Otras capacidades Autenticación y SSO

  42. Gestor de Sesiones o “SessionBroker” Session Broker 2 Windows Server 2008 1 Windows Server 20082 3 Terminal Server Terminal Server 5 4 6 1 “SessionBroker” indica al Servidor 1 que este usuario no tiene sesión y que el Servidor 2 tiene menos carga TS: El Servidor 1 contacta con el “SessionBroker” para determinar donde ha de iniciar sesión el usuario Se Crea la Sesión en el Servidor 2 para el cliente El Usuario Remoto Conecta via Terminal Services El Cliente es redirigido al Servidor 2 El Servidor 1 indica al cliente vía RDP que ha de redirigirse al Servidor 2 5 4 3 2 6 1

  43. Gestor de Sesiones o “SessionBroker” • Permite la conexión al nodo que albergue menos sesiones y pesar cada servidor para que alberguen mas o menos sesiones en función de su rendimiento. • Guarde el estado de la sesión y en caso de problemas en la conexión, nos permite conectarnos a la sesión ya establecida en el mismo nodo. • Permite el drenado de sesiones en un nodo para poder ponerlo fuera de línea para mantenimiento etc.

  44. Capacidades del nuevoEscritorioRemoto • Monitor Spanning • Desktop Experience • Desktop Composition • Font Smoothing • Display Data Prioritization

  45. Autenticación a Nivel de Red Active Directory Terminal Server

  46. Autenticación • Autenticación a nivel de Red: Se realiza la autenticación del usuario antes de que se conecte a la sesión y se muestre el inicio de sesión en el servidor de Terminales • Evita posibles ataques de DOS • Autenticación de Servidor. Verifica que nos conectamos al servidor correcto y evita que nos conectemos a una maquina maliciosa • SSO: evita tener que volver a introducir nuestras credenciales

  47. Mejoras en el Licenciamiento. • Seguimiento y reporte de las licencias por usuario. • Las licencias por equipo se pueden revocar • Mejoras en el Gestor de Licencias que mejoran el diagnostico y la resolución de posibles problemas. • Proveedor WMI para poder administrar el Servidor de Licencias

  48. Recursos • Guía paso a paso Terminal Server • http://www.microsoft.com/downloads/details.aspx?familyid=518D870C-FA3E-4F6A-97F5-ACAF31DE6DCE&displaylang=en • Technical Library • http://technet2.microsoft.com/windowsserver2008/en/library/61d24255-dad1-4fd2-b4a3-a91a22973def1033.mspx?mfr=true • Terminal Server Blog • http://blogs.msdn.com/ts/default.aspx • Foro • http://forums.microsoft.com/TechNet/ShowForum.aspx?ForumID=580&SiteID=17

  49. Recursos TechNet • TechCenter de Windows Server 2008 http://www.microsoft.com/spain/technet/prodtechnol/windowsserver/2008/default.mspx • Webcasts grabados sobre Windows Server http://www.microsoft.com/spain/technet/jornadas/webcasts/webcasts_ant.aspx?id=1 • Webcasts grabados otras tecnologías Microsoft http://www.microsoft.com/spain/technet/jornadas/webcasts/webcasts_ant.aspx • Foros técnicos http://forums.microsoft.com/technet-es/default.aspx?siteid=30

More Related