1 / 59

System Builder Windows Server 2008 R2

System Builder Windows Server 2008 R2. 10:00 - 11:00 Windows Server 2008 R2 - základní přehled 11:20 - 12:20 Windows Server 2008 R2 - novinky v oblasti virtualizace 13:30 - 14:30 Windows Server 2008 R2 - novinky v oblasti Active Directory

frye
Download Presentation

System Builder Windows Server 2008 R2

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. System Builder Windows Server 2008 R2 10:00 - 11:00 Windows Server 2008 R2 - základní přehled 11:20 - 12:20 Windows Server 2008 R2 - novinky v oblasti virtualizace 13:30 - 14:30 Windows Server 2008 R2 - novinky v oblasti Active Directory 14:50 - 15:50 Windows Server 2008 R2 - novinky v oblasti zabezpečení 16:15 - 17:30 Windows Server 2008 R2 - migrace z předchozích verzí

  2. Windows Server 2008 R2 novinky v oblasti zabezpečení Miroslav Knotek, Microsoft MVP IT Senior Consultant | KPCS CZ, s.r.o. knotek@kpcs.cz | www.konzultant.net | www.kpcs.cz

  3. Agenda přednášky • Direct Access • Novinky v oblasti PKI • DNSSec

  4. Windows Server 2008 R2 Direct Access™

  5. Vzdálený přístup • Nevýhody VPN: • Navazovat/rozpojovat • Stejné IP subnety • Teče skrze ně vše • Zátěž linky • Konfigurace server/klient • Komunikační problém • Nemožnost řídit klienty

  6. DirectAccess™je víc, než jen vzdálený přístup Vždy dostupný Politiky Zabezpečení • Správa Zvýšená produktivita Není vyvolána uživatelem Zjednodušuje připojení do firem Snižuje pravděpodobnost neinstalace systémových oprav Aplikuje GPO politiky na všechna PC Ověření zdraví před přihlášením a možnost nápravy Nahrazuje stávající kontroly zdraví Plná podpora a spolupráce s NAP Autentizace a šifrování snižuje pravděpodobnost mnoha útoků Pomocí VPN se uživatelpřipojuje do sítě DirectAccessrozšiřuje síťk uživateli

  7. DirectAccess™ • Vzdálený přístup je teď doslova všudypřítomný! • Přístup odkudkoli pro Windows 7 a WS2008 R2 • Transparentní zabezpečená konektivita; není třeba služeb dalšího klienta • Používá síťové technologie Windows Serveru 2008 • Není třeba žádných akcí pro připojení do korporátní sítě. • Využívá přístup na bázi politik • Umožňuje správu desktopu nezávislou na poloze či umístění klienta

  8. Požadavky na DirectAccess • Klienti DirectAccess: Windows 7, musí být členy domény • DirectAccessServer: Windows Server 2008 R2, musí být členem domény • DNS servery pro DirectAccessklienty musí být Windows Server 2008 SP2 nebo novější • Znalosti • Nutné jsou základní znalosti IPseca TCP/IP • Potřeba mít touhu se učit něco nového, např. IPv6

  9. DirectAccess™ IPv4 Devices IPv6 zařízení Podpora IPv4 skrz 6to4 překladu nebo NAT-PT IT desktop management DirectAccessposkytuje transparentní a zabezpečný přístup k intranetu bez nutnosti VPN Nativní IPv6 s IPSec Možná správa DirectAccess klientů AD Group Policy, NAP, aktualizace Služby IPv6 překladu Podpora přímého spojení k IPv6 intranetu DirectAccess Server Internet Podpora řady síťových protokolů Umožňuješifrování IPSeca autentizaci Windows 7 Client

  10. Co je DirectAccess? Směřování, bezpečnost a překlad jmen Firemní síť Klient DirectAccess DirectAccess Server DC & DNS(Win2008) Internet Management servery Člen domény, má certifikát Aplikace & Data IPv6: Nativně, nebo překladová technologie IPv6: Nativně, nebo ISATAP Směřování

  11. Co je DirectAccess? Směřování, bezpečnost a překlad jmen Firemní síť Klient DirectAccess DirectAccess Server DC & DNS(Win2008) Internet Management servery Člen domény, má certifikát Aplikace & Data IPsec – Využívá počítačový certifikát, doménové členství, může využívat také smart karty a NAP health certifikáty Možný IPsec end-to-end Bezpečnost

  12. Co je DirectAccess? Směřování, bezpečnost a překlad jmen Dotazy na DNS pro interní jména Corporate Network Klient DirectAccess DirectAccess Server DC & DNS(Win2008) Internet Management servery Člen domény, má certifikát Aplikace & Data Dotazy na DNS pro vše ostatní Internetové DNS Překlad jmen

  13. Jak to funguje (1) – Adresace IPv6 • IPv6 umožňuje každému počítači mít glogálně-unikátní IPv6 adresu. Takto dokáže DirectAccesspočítač najít jeden druhého. • IPv6 adresy jsou dlouhé 128 bitů a jsou zapisovány v 8 blocích po 16 bitech, oddělené dvojtečkou. • Příklady nativních IPv6 adres: • 2006:1601:b60a:c7d8:0000:0000:0000:0178 • 2006:1601:b60a:c7d8::178 • Můžeme použít překladové technologie pro tunelování IPv6 obsah uvnitř IPv4 přenosů. Na výběr jsou čtyři překladové technologie, které pro můžeme pro DirectAccess použít.

  14. Externí konektivita • Nativní podpora IPv6 • Veřejné IPv4 adresy využijí 6to4 pro tunelování IPv6 uvnitř IP protokolu 41 • Privátní IPv4 adresy využijí Teredopro tunelování IPv6 uvnitř IPv4 UDP (UDP 3544) • Pokud se klient není schopen připojit k DirectAccessserveru, IP-HTTPS se připojí na port 443 IP adresa přiřazená od ISP: IPv6 adresa použitá pro spojení: 6to4 Private IPv4 Teredo Native IPv6 Native IPv6 Public IPv4 DirectAccessklient Teredo Native IPv6 6to4 IP-HTTPS

  15. Interní IPv6 Možnosti IPv6 • Nativní - Servery mohou běžet na jakémkoli OS který plně podporuje IPv6 - Vyžaduje IPv6 infrastrukturu - Nejlepší volba! • ISATAP - IPv6 uvnitř IPv4 - Servery musí být Windows Server 2008, nebo R2 - Nevyžaduje upgrade routerů • NAT-PT - Překládá IPv6 na IPv4 - Funguje s jakýmkoli OS - Přímo vestavěni v UAG DirectAccessfunguje nejlépe pokud interní síť používá IPv6 Internet Intranet NAT-PT

  16. Jak to funguje (2) – IPv6 6to4 • 6to4 tuneluje IPv6 přenos uvnitř IPv4 paketů. Používá IPv4protokol #41. • Přenos jde přímo na jiný 6to4 počítač, případně skrz 6to4 relay. • 6to4 je dostupný počítačům s veřejnou IPv4 adresou. Formát IPv6 adresy je: • 2002:<IPv4 addresa>::<IPv4 addresa> • 6to4 adresa pro IP 11.12.13.14bude 2002:0B0C:0D0E::0B0C:0D0E IPv6 Internet IPv4 Internet IPv6 Client 6to4 Client 6to4 Gateway 6to4 Client

  17. Jak to funguje (3) – IPv6 Teredo • Teredoposílá IPv6 přenos uvnitř IPv4 UDP/3544 • Teredoklient může být za NATem • Teredoadresy začínají s 2001:0000:, obsahují adresu teredo serveru, klientskou NATovanou adresu a další detaily • Např:2001:0:836b:24d2:72:fd3:bea0:f64 • Detekce NATu používá bublinové pakety zaslané na/zteredoserveru • Jakmile je spojení navázáno,spojení prochází skrze teredo relay IPv6 Internet IPv4 Internet Teredo relay IPv6 klient Teredoklient Teredo server

  18. Jak to funguje (4) – IPv6 IP-HTTPS • IP-HTTPS je nový protokol pro Win7/2008R2. Ten balí IPv6 do HTTPS používající IPv4 TCP/443. Funguje jako normální SSL spojení. • IP-HTTPS je použit pouze, pokud 6to4 a teredonelze použít (např. za NATem, který blokuje UDP/3544) • IP-HTTPS adresy začínají s 2002:a ve výchozím nastavení obsahuje adresu IP-HTTPS serveru • Např. 2002:201:101:2:50d0:854b:f716:f32c • Data jsou směřována skrze IP-HTTPS server IPv6 Internet IPv4 Internet IP-HTTPS server IPv6 klient IP-HTTPS klient

  19. Jak to funguje (5) – IPv6 ISATAP* • ISATAP stejně jako 6to4, používá IPv4 protocol #41 • Je určen pro intranetové použití • Adresy jsou vytvářeny na základě routing informací získaných z ISATAP routeru. Začínají 2001:nebo 2002:končí :5efe: a klientskou IPv4 adresou • 2001:201:101:1:0:5efe:c0a8:130b • Nebo2001:201:101:1:0:5efe:192.168.19.11 • Klienti nachází ISATAP router pomocí překladu DNS jména isatap.<domana> IPv4 Intranet IPv6 Internet isatap router isatapklient IPv6 klient isatap client *Intra-Site Automatic Tunnel Addressing Protocol

  20. Jak to funguje (6) – Pouze pro členy domény • Nastavení DirectAccessmá dva hlavní aspekty: • Hraniční infrastruktura obsahuje nastavení DirectAccessserveru tak, aby mohl směřovat IPv6 přenos na intranet, spravuje IPv6 překladové technologie a zajišťuje IPsec. Nastavení se provádí pomocí DirectAccesskonzoly. • Windows 7 klienti potřebují nastavení pro IPv6 překladové technologie, IPseca jmenné politiky. Vše se provádí pomocí AD Group Policy. Dále je nutná implementace počítačového certifikátu pro použití IPsec. • IPsecpolitika používá doménová oprávnění pro klientskou autentizaci

  21. Jak to funguje (7) – Detekce internet/intranet • DirectAccesspotřebuje zjistit, zdali má použít DirectAccessnebo ne • Firewallprofil rozhoduje, kterou IPsecpolitiku použít – tyto se nepoužívají, pokud je klient uvnitř! • K detekci se používá HTTPS web stránka, která je dostupná jen ve vnitřní síti Intranet Internet DirectAccess Server Jsem uvnitř? Jsem uvnitř? DirectAccessklient DirectAccessklient

  22. Jak to funguje (8) – DNS jmenná rezoluce • Magie DirectAccessklientů spočívá v tom, že je schopen poslat DNS dotazy na dvě místa • Name Resolution Policy Table (NRPT) funguje jako podmíněné přesměrování pro DNS klienty. Definuje, která jména by měla být směřována na IPv6 adresy intranetových DNS serverů • Některé DNS požadavky jsou poslány na intranetové DNS servery, jiné jdou na klientovy normální DNS servery • Intranetová jména budou IPv6 (AAAA) záznamy Intranet Internet Klientský primární DNS server DirectAccess Server Interní DNS technet.microsoft.com?  NRPT server1.corp.microsoft.com?  •  AAAA = 2001:201:101:1:0:5efe:coa8:130b DirectAccessklient

  23. NRPT • Nová komponenta ve Windows 7 • NRPT si zaslouží podrobnější zkoumání, nabízí mnohem víc, než podporu DirectAccess • Nové pořadí pro jmennou rezoluci: • Local cache • Hosts file • NRPT • DNS

  24. NRPT • Jen na klientské straně • Musí začínat „.“ tečkou • Statická tabulka, která definuje, které DNS servery klient použije pro vyjmenovaná jména • Konfigurovatelné skrze GPO v „Computer Configuration|Policies|WindowsSettings|Name Resolution Policy“ • Může být zobrazen pomocí NETSH name show policy

  25. Překlad jmen: DNS a NRPT • DirectAccessklient používá ve výchozím stavu smart routing • „Name Resolution Policy Table“umožňuje, aby se tak dělo efektivně a bezpečně • Posílá jmenné dotazy na interní DNS servery díky předkonfigurovanému jmennému DNS prostoru Spojení DirectAccess Internetové spojení

  26. Jak to funguje (9) –DirectAccess Server • DirectAccess Server zajišťuje nezbytné funkce pro směřování IPv6 a zabezpečení IPsec • Má několik síťových funkcí – ISATAP router, 6to4 relay, teredo server, teredo relay, IP-HTTPS server a ochranu proti IPsecDoS. Instalace je umístí všechny na jeden server, nicméně podle potřeby mohou být separovány • DAS musí mít dvě po sobě jdoucí (abecedně) IPv4 adresy a intranetové adresy • Musí mít počítačový certifikát pro funkce IPseca IP-HTTPS • ForefrontUnified Access Gateway (UAG) nabídne další DirectAccess správu a „scale-out“

  27. Ochrana dat: IPsec IPsecje úzce propojen s IPv6, umožňuje pravidlům rozhodnout o tom, kde a jak by měla být data chráněna IPsec Autentizace Šifrování • End to edge • End to end • End to edge • End to end

  28. Jak to funguje (10) – IPsec: První tunel • DirectAccessklienti používají k DAS serveru dva druhy IPsectunelů • První tunel umožní klientům komunikovat s DNS, Active Directory a management servery • IPsecautentizace pro tento tunel vyžaduje počítačový certifikát a NTLMv2 • První tunel umožňuje 1) více druhů autentizace a 2) správu klientů v momentě, kdy jsou zapnuti Intranet Internet DirectAccess Server Interní DNS, AD, SCCM atd. NRPT IPsec, počítačový cert.+ NTLMv2 IPv6 přenos pro DNS, AD, správu  DirectAccessklient

  29. Smartcard • Protože jsou klienti DirectAccessvždy připojeni do intranetu skrze první IPsectunel, mohou nastat tato nebezpečí: • Ztracené/ukradené notebooky • Spuštění procesu pod SYSTEM účtem • Vyžaduje přihlášení pomocí Smartcard • Případněedge-enforced smartcard authentication • Je velmi doporučeno nasadit BitLocker

  30. Jak to funguje (11) – IPsec: Druhý tunel • Druhý tunel umožňuje uživatelům přistupovat k prostředkům na lokální síti • IPsecautentizace pro tento tunel vyžaduje počítačový certifikát a uživatelský kerberos • Standardem pro přístup k DAS serveru v IPsectuneluje „end-to-edge“IPsec, nicméně IPsecpolitika může vynutit i „end-to-end“IPsecmezi DA klientem a cílovým serverem Intranet Internet DirectAccess Server Interní file, web server a další zdroje NRPT IPsec, počítačový cert. + user kerberos IPv6 přenos k interním serverům DirectAccessklient

  31. Scénáře nasazeníŠifrování End-To-Edge Firemní síť Direct Access Server Důvěryhodný, vyhovující, zdravý počítač DC & DNS(Win2008) Internet Windows 7 klient Aplikace & Data (non-IPsec) IPsec ESP tunnel/IP-HTTPS šifrovaný pomocí počítačového cert. (DC/DNS access) Přenos dat „cleartext“ od klienta putuje do korporátní sítě šifrován • Nezatěžuje šifrováním aplikační servery • Edge zajišťuje počítač/uživatelskou autentizaci a šifrování • Nejmenší možná změna pro stávajícího prostředí

  32. Scénáře nasazeníŠifrování End-To-Edge + End-to-End IPsec Firemní síť Důvěryhodný, vyhovující, zdravý počítač Direct Access Server DC & DNS(Win2008) Internet Windows 7 klient Aplikace & Data IPsec-enabled IPsec ESP tunnel/IP-HTTPS šifrovaný pomocí počítačového cert. (DC/DNS access) IPsec ESP-Null AuthIP Transport Traffic proudí skrze šifrovaný tunel k firemním prostředkům • Nezatěžuje šifrováním aplikační servery • DirectAccess Edge Encryption kombinován s End-to-End IPsec Server a Domain Isolation

  33. Scénáře nasazeníEnd-To-End IPsec Transport Encryption Firemní síť Důvěryhodný, vyhovující, zdravý počítač Direct Access Server DC & DNS(Win2008) Internet Windows 7 klient Aplikace & Data IPsec-enabled IPsec ESP-encrypted transport a/nebo IP-HTTPS šifrování pomocí počítačového certifikátu pro přístup k firemním prostředkům • Snadné řešení na straně Edge • Plné End-to-End IPsecšifrování • IP-HTTPS tunelje použit jen pro proxy scénáře

  34. Řešení problémů • Network Diagnostics Framework má nově mnoho detekčních schopností o DirectAccessproblémech • Přístupné z “Troubleshoot problems” u ikony na hlavním panelu

  35. Plná integrace s NAP • Protože DirectAccessvyžaduje pro zabezpečení IPsec, může spolupracovat s Network Access Protection a tím zamezit přístup k IPsec chráněným prostředkům nezdravým počítačům • Spolupráce NAP s DirectAccessje zajištěna požadavkem, kdy NAP Health certifikát je vyžadován pro autentizaci v rámci druhého IPsec tunelu

  36. Force Tunneling • Force Tunneling je režim, kdy DirectAccessposílá všechnu síťovou komunikaci skrze DAS a nerozděluje komunikaci do internetu a do intranetu. Jedná se o nastavení klientů, které se aplikuje pomocí politik • Toto může způsobovat problémy, když máte jen IPv4 služby, které nemohou pracovat skrz NAT-PT- DirectAccesspřenos používá IPv6 (e.g. OCS)

  37. 1 – Potřebujete IPv6 Q: Proč potřebuji IPv6 pro DirectAccess? A: Jedná se o technologii budoucnosti. IPv6 nám poskytuje globální a unikátní adresy místo řešení na které 192.168.1.4 síti se váš klient vyskytuje… Námitka:Naši správci nerozumí IPv6! A: Jedná se o první IPv6 technologii. Další přijdou v budoucnu. Překladové technologie pomohou IPv6 nasadit a nezpůsobit takový šok.

  38. 1b – Potřebujete ISATAP Otázka: Jakmile zapnu ISATAP, celá moje síťzačne používat IPv6! A: Ano. Ale můžetezapnout ISATAP postupně, pomocí záznamů v lokálním server hosts souboru. Pouze zajistěte, že vaše interní síť podporuje IP protokol 41. Opatrně hlavně u load balancerů, firewalů, IDS, a WAN optimalizátorů. Případně vám může pomoci NAT-PT.

  39. 2 – Potřebujete IPsec Otázka: Náš tým ještě nikdy nepoužíval IPsec! A: Windows Filtering Platform vám může ukázat, co se děje při navazování IPsec.Network Diagnostics Framework může říct vašim uživatelům, kde je problém! Ano, potřebujeme nové nástroje pro řešení problémů s DirectAccess, ale tyto znalosti nám v budoucnu pomohou s dalšími technologiemi

  40. 3 – Neobvyklé „díry“ ve firewallech Otázka: Chcete mi říct, že všechna komunikace směřuje dovnitř? A: Ano, DirectAccessje trochu děsivý. Je to změna filozofie. Tyto „díry“ ve firewallech jsou jen pro důvěryhodné počítače a důvěryhodné uživatele. To ale také znamená, že můžete začít spravovat vaše počítače, které nejsou nikdy přímo vaší síti a můžete tak zajistit podstatné navýšení jejich bezpečnosti.

  41. 4 – Windows Firewall Otázka: My ale nepoužíváme Windows firewall, používáme firewall XY! A: Je mi líto, že jste zbytečně utratili vaše peníze. Nicméně nebojte, Windows Firewall můžete nastavit tak, aby neblokoval žádnou komunikaci* – zůstanou tak aktivní pouze funkce IPsec. Váš Firewall XY budete muset spravovat zvlášť, nicméně i tak může jít o funkční řešení * Ve Windows 7 není podporováno vypnutí služby Windows Firewall. Můžete jej nastavit na neblokování komunikace, nicméně nesmíte zastavit Windows službu.

  42. 5 – Non-IPv6 služby Otázka: Provozujeme ale i systém {zde vložte váš operační systém}. A ten nepodporuje IPv6! A: NAT-PT vám pomůžeIPv4 služby „zviditelnit“ klientům IPv6. Pomohou vám zařízení od partnerů (Cisco, Juniper, F5, atd.) s překladovými technologiemi NAT-PT a IPv6-tov4.ForefrontUAG přinese vestavěnou podporu NAT-PT a dalších DirectAccesstechnologií.

  43. 6 – Potřebujete klienty Windows 7 Otázka: Nemůžeme nasadit DirectAccessdo té doby, než nasadíme na klientech Windows 7 – stále jsme ale nedokončili testování kompatibility firemních aplikací na tomto systému. A: Ano, máte pravdu. (Windows7 a problémy aplikační kompatibility je pravděpodobně největší problém pro nasazení DirectAccessve velkých prostředích)

  44. Windows Server 2008 R2 Novinky v oblasti pki

  45. Serverová konsolidaceCertifikáty s krátkou dobou platnosti • Nové scénáře PKI využívajícertifikáty s krátkou platností • Network Access Protection (NAP) • OCSP podpisovécertifikáty • Existující řešení proti růstu DB: dedikované serverynebo vysoce nákladné čištění DB • Windows Server 2008 R2 • Administrator nastavuje zda CA zapisuje do DB vystavené certifikáty

  46. Serverová konsolidaceCertifikáty s krátkou dobou platnosti Neukládat do DB Nevkládat CDP

  47. Serverová konsolidace Podpora Server core • Role CA je podporována na Server Core • Lokální příkazy pro práci z příkazové řádky • Vzdálená správa pomocí GUI • Podpora správy klíčů pomocí HSM • Ostatní ADCS služby nejsoupodporovány na Server Core

  48. PKI v prostředí s více AD Foresty

  49. Jak to funguje dnes?Jediný AD forest CA • CA startuje a načítá si šablony certifikátů z AD • Klient načítá šablony certifikátů z AD • Klient zasílá žádost na CA • CA doplní informace o subjektu na základě údajů v AD • CA vydá certifikát a vrací ho klientovi 3 5 Klient Active Directory (AD) 1 2 4

  50. Jak to funguje dnes? Několik AD forestů • Několik ADforestů znamená: • Několik CA serverů • Několik CA klíčů • Několik HSM • Několik CA databází • Atd.

More Related