Netwerken en beveiliging 4/4/2017 5:08 AM Netwerken en beveiliging © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
Overzicht van belangrijkste onderdelen en functies Web Virtualisatie Beveiliging Internet Information Services 7.0 Windows SharePoint Services Windows Media Services Windows Server-virtualisatie Terminal Services RemoteApp™ Terminal Services Gateway Beveiligde netwerktoegang (NAP) Read Only Domain Controller (RODC) Beheer van federatieve rechten Sterke basis voor de Workloads in uw bedrijf Beheer Betrouwbaarheid Serverbeheer Windows PowerShell™ Windows Deployment Services Server Core De volgende generatie netwerken Clustering met maximale beschikbaarheid
4/4/2017 5:08 AM Microsofts belofte aan IT IT-professionals en ontwikkelingsteams faciliteren in alle fasen van de IT-cyclus © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
Agenda netwerkfuncties beveiligingsfuncties strategie, tools en tactiek samenvatting actie ondernemen
Core IO Model Basic Standardized Rationalized Dynamic 5 antivirussoftware (met automatische updates) ONTBREEKT op 80% van de desktops gecentraliseerde firewallbeveiliging ONTBREEKT op 80% van de systemen geen interne server voor DNS en DHCP Standardized antivirussoftware op desktops (FCS) centrale firewall (ISA) interne DNS, DHCP Rationalized beveiligde externe toegang beveiligde server-naar- serverisolatie SIP voor beveiligde communicatie via Presence via beleid beheerde firewall op servers en desktops indien draadloos: beveiligd draadloos netwerk Certificate Services (PKI) in geval van regiokantoren: WAN-geoptimaliseerd/ gegevensreplicatie op basis van wijzigingen (ISA) Dynamic geïntegreerd risicobeheer op client, server en edge Quarantaine- oplossing voor desktop en apparaten (NAP) © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 5 5 5 5
De evolutie van Windows TCP/IP Gebruikersmodus Winsock Kernelmodus WSK-clients AFD TDI-clients TDI WSK TDX Volgende generatie TCP/IP-stack (tcpip.sys) Transportlaag TCP UDP RAW Netwerklaag IPv4 IPv6 Framelaag 802.3 WLAN Loopback IPv4-tunnel IPv6-tunnel NDIS Dual-IP-architectuurlaag voor native ondersteuning van IPv4 en IPv6 Naadloze beveiliging via uitgebreide IPSec-integratie Verbeterde prestaties door hardwareversnelling Netwerk automatisch afstemmen en optimalisatiealgoritmen Meer uitbreidingsmogelijkheden en grotere betrouwbaarheid door geavanceerde API's
Schaalbaar netwerk - routekaart Schaalbaar-netwerkpakket TCP Chimney Offload, Receive-side Scaling en NetDMA basisbeheerfuncties NDIS 5.2 API's TCP Chimney Offload en Receive-side Scaling ondersteuning voor IPv6 NDIS 6.0 API's en integratie met de nieuwe TCP/IP-stack TCP Chimney Offload, Receive-side Scaling en NetDMA uitgebreide beheerfuncties NDIS 6.0 API's en integratie met de nieuwe TCP/IP-stack extra ondersteuning voor taakoverdracht, waaronder IPsec en IPv6 SQL Pass Summit 2006
Netwerkfuncties van Windows Server 2008 Betere beveiliging zonder veranderingen voor de gebruiker Windows Firewall met geavanceerde beveiliging uitbreidingen en innovaties op IPsec Windows Filtering Platform en Secure Socket-uitbreidingen voor Winsock uitbreidingen voor externe toegang nieuw groepsbeleid voor draadloos beheer en 802.1X-updates Verbeterde prestaties en betrouwbaarheid netwerkstack automatisch afstemmen uitbreidingen voor high-loss omgevingen, zoals draadloze en WWAN grotere betrouwbaarheid en hogere tolerantie uitgebreide beheermogelijkheden Grotere schaalbaarheid hardware-offload en netwerkversnelling op beleid gebaseerde QoS (Quality of Service) IPv6
Nieuwe Windows Firewall inkomend en uitgaand filter nieuwe beheer-MMC geïntegreerde firewall en geïntegreerd IPsec-beleid regelconfiguratie voor Active Directory-groepen en -gebruikers ondersteuning voor IPv4 en IPv6 geavanceerde regelopties standaard ingeschakeld
server- en domeinisolatie De Windows-omgeving dynamisch verdelen in beter beveiligde en geïsoleerde logische netwerken op basis van beleid labs onbeheerde gasten specifieke, hoogwaardige servers en gegevens beveiligen Serverisolatie beheerde computers beveiligen tegen onbeheerde of onbetrouwbare computers en gebruikers Domeinisolatie
Beveiligde netwerktoegang (NAP) validatie van gezondheidsbeleid naleving van gezondheidsbeleid optie voor beperkte toegang Verbeterde beveiliging Verhoogde economische waarde Cisco/Microsoft-integratie
Beveiligde netwerktoegang (NAP) gebruiken Bedrijfs- LAN NAP-netwerk Microsoft Network Policy Server DHCP, VPN switch/router Windows- client 1 2 5 Beleids- conform Niet- beleidsconform 3 Beleidsserver (Patch, AV) Client vraagt toegang aan tot netwerk en geeft de huidige status weer 1 2 DHCP, VPN of switch/router stuurt de status door naar Microsoft Network Policy Server (RADIUS) Netwerk met beperkte toegang Patch server 4 3 Network Policy Server (NPS) voert validatie uit op basis van door IT gedefinieerd gezondheidsbeleid 4 Als niet aan het beleid wordt voldaan, wordt de client in een VLAN met beperkte toegang geplaatst, met toestemming om patches, configuraties en handtekeningen te downloaden (herhaal 1 - 4) 5 Als aan het beleid wordt voldaan, krijgt de client volledige toegang tot het netwerk
Beveiligde netwerktoegang (NAP) Voordelen 4/4/2017 5:08 AM Beveiligde netwerktoegang (NAP) Voordelen Verbeterde beveiliging alle communicatie wordt geverifieerd, geautoriseerd en is in orde diepgaande beveiliging op uw voorwaarden met DHCP, VPN, IPsec, 802.1X op groepsbeleid gebaseerde toegang die door IT-professionals kan worden gedefinieerd en beheerd Status- en beleidsvalidatie ROI Verbinding tussen onbeschadigde eindpunten Beveiliging op meerdere lagen Bestaande investeringen benutten Verhoogde economische waarde de productiviteit van de gebruikers blijft op peil er wordt voortgebouwd op bestaande investeringen in infrastructuur van Microsoft en andere merken brede branchesamenwerking Risico © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
Belangrijkste voordelen ten opzichte van de concurrentie bestaande hardware wordt benut, ingrijpende upgrades zijn niet nodig geïntegreerd in het besturingssysteem van de client lagere implementatiekosten en TCO integratie met bestaande beveiligingsproducten één beleid voor de beveiliging van het bedrijf meerdere methoden om beleid af te dwingen
beveiligde draadloze mobiliteit Bedrijfs-LAN Draadloze Windows XP- of Vista- client IAS- server Active Directory- groepsbeleid Controller voor draadloze mobiliteit Draadloze toegangspunten SQL- server CA-server
Windows Server Core Voorzieningen Voordelen het aantal serverrollen wordt beperkt slechts een deel van de binaire bestanden wordt geïnstalleerd alleen de vereiste functies worden geïnstalleerd opdrachtregelinterface, geen GUI-shell de installatie vereist ca. 1 GB Minder softwareonderhoud Beperkt aanvalsrisico Beperkt beheer Minder schijfruimte vereist
Windows Server Core Architectuur Voorzieningen WINS SNMP Back-up Telnet-client Failover Clustering Beheer van verwisselbare opslag BitLocker schijfcodering Rollen DNS Bestands- server Active Directory Afdruk- server Media Services Windows-virtualisatieserver AD Lightweight Directory Service DHCP Server Core Thin beheertools (lokaal en extern) IP-adres configureren, lid worden van domein, gebruikers definiëren, enz. Core-subsystemen beveiliging (aanmeldingsscenario's), netwerken (TCP/IP), bestandssystemen, RPC, Winlogon, vereiste afhankelijkheden Infrastructuur opdrachtregelshell, domeinlidmaatschap, gebeurtenislogboek, prestatiemeterinfrastructuur, WS-beheer, WMI-infrastructuur, licentieservice, WFP, HTTP-ondersteuning, IPsec Opgeloste categorieafhankelijkheden – HAL, kernel, VGA, aanmelding, enz. Hardwareonderdelen – schijf, netwerkadapter, enz.
Windows Service Hardening Diepgaande beveiliging – factoring/profiling 4/4/2017 5:08 AM 4/4/2017 5:08 AM Windows Service Hardening Diepgaande beveiliging – factoring/profiling D verklein de lagen met hoog risico verdeel de services over segmenten vergroot het aantal lagen D Service … Service 1 Service … Service 2 Service A Service 3 Service B D D Kernelstuurprogramma's USD's (User-mode-drivers) © 2003-2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 18 18 18 © 2006 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
Identiteits- en toegangsoplossingen Aandachtspunten Producten Identiteitslevenscyclus beheren Microsoft Identity Lifecycle Manager 2007 Informatiebeveiliging AD RMS (Active Directory Rights Management Services) Federatieve identiteit AD FS (Active Directory Federations Services) Windows CardSpace Sterke verificatie AD CS (Active Directory Certificate Services) Directoryservices AD DS (Active Directory Domain Services) AD LDS (Active Directory Lightweight Directory Services)
Windows Server 2008 Codering - technologie vergeleken FVE EFS RMS codering AES 128 (RSA32.DLL) AES 128 (Crypt32.DLL) Gegevens blokken bestanden toepassingsafhankelijk: doc/e-mail Sleutelarchief gebruiker TPM + SW Identity, dongle, bestand SW, smartcard verborgen SW Sleutelarchief inhoud idem gebruiker met bestand in alternatieve stroom met bestand in toepassingsspecifieke locatie Beveiligd wat? Windows en gegevens mappen en bestanden documenten en e-mail (inclusief gebruik) Beveiligd wie? computereigenaar, -gebruiker gebruikers Documenteigenaar Beveiliging lokaal, verwisselbare media* lokaal, verwisselbare media*, extern* extern Wie krijgt overschrijvingsrecht? lokale beheerder, netwerkbeheerder* lokale beheerder*, netwerkbeheerder documenteigenaar en RMS-beheerder Methode gegevensherstel dongle, bestand, netwerk; handmatige sleutelinvoer lokaal of AD-beleid RMS-serverbeleid Gebruiksscenario laptop kwijt of gestolen pc met meerdere gebruikers beveiligde documenten delen
Samenvatting belangrijkste update voor Windows Server-netwerken sinds Windows NT over nieuwe netwerkfuncties Terminal Services Gateway server- en domeinisolatie Beveiligde netwerktoegang (NAP) beveiligde draadloze mobiliteit nieuwe beveiligingsfuncties servicebeveiliging identiteits- en toegangsoplossingen coderingstechnologieën
actie ondernemen maak nader kennis met Windows Server 2008 en benut de mogelijkheden voor geavanceerd netwerken en betere beveiliging laat u informeren over oplossingen van partners die een aanvulling vormen op de Windows Server 2008-functies voor netwerken en beveiliging Windows Server 2008 RC0 binnenkort beschikbaar test en maak kennis
4/4/2017 5:08 AM Vragen? © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
4/4/2017 5:08 AM ©2007 Microsoft Corporation. Alle rechten voorbehouden. Microsoft, Windows, Windows Vista en andere productnamen zijn gedeponeerde handelsmerken en/of handelsmerken in de Verenigde Staten en/of andere landen. Deze presentatie is uitsluitend bedoeld ter informatie en geeft het huidige standpunt weer van Microsoft Corporation op de datum van openbaarmaking. Omdat Microsoft moet reageren op de veranderende marktvoorwaarden, moet deze presentatie niet worden beschouwd als een toezegging van de kant van Microsoft en kan Microsoft de nauwkeurigheid van informatie die na de publicatiedatum beschikbaar komt niet garanderen. MICROSOFT GEEFT GEEN ENKELE GARANTIE, EXPLICIET, IMPLICIET NOCH STATUTAIR, BETREFFENDE DE INFORMATIE IN DEZE PRESENTATIE. © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.