netzwerksicherheit mit dem windows server 2003 n.
Download
Skip this Video
Loading SlideShow in 5 Seconds..
Netzwerksicherheit mit dem Windows Server 2003 PowerPoint Presentation
Download Presentation
Netzwerksicherheit mit dem Windows Server 2003

Loading in 2 Seconds...

play fullscreen
1 / 57

Netzwerksicherheit mit dem Windows Server 2003 - PowerPoint PPT Presentation


  • 121 Views
  • Uploaded on

Netzwerksicherheit mit dem Windows Server 2003. Netzwerksicherheit mit dem Windows Server 2003. Kai Wilke (MVP) Consultant für IT - Security ITaCS GmbH kw@itacs.de . Tech Level: 300. Agenda. Die Sicherheit von Windows 2000 vs. 2003 Grundsätzliche Verbesserungen im Detail

loader
I am the owner, or an agent authorized to act on behalf of the owner, of the copyrighted work described.
capcha
Download Presentation

PowerPoint Slideshow about 'Netzwerksicherheit mit dem Windows Server 2003' - tavi


An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript
netzwerksicherheit mit dem windows server 20031

Netzwerksicherheit mit dem Windows Server 2003

Kai Wilke (MVP)

Consultant für IT - Security

ITaCS GmbH

kw@itacs.de

Tech Level: 300

agenda
Agenda
  • Die Sicherheit von Windows 2000 vs. 2003
    • Grundsätzliche Verbesserungen im Detail
  • Die integrierten Sicherheitsdienste
    • Zertifikatsdienste und deren Einsatzgebiete
    • IP Security und Virtual Private Networks
    • Sichere Wireless LAN Umgebungen
    • Internet Information Services 6.0
  • Microsoft Ressourcen im Internet
sicherheit in windows 2000 ist windows 2000 sicher
Sicherheit in Windows 2000Ist Windows 2000 sicher?
  • Ja! Man kann Windows 2000 sicher machen
    • Siehe Common Criteria Zertifizierung nach EAL4+
  • …, aber man sollte dabei folgendes beachten!
    • Windows 2000 Server Baseline Security Checklist
      • Absichern der Win2000 default Konfiguration
    • IIS 5.0 Baseline Security und Secure Checklist
      • Absichern der IIS 5.0 default Konfiguration
    • Und viele Sicherheits- Hinweise in KB Artikeln
sicherheit in windows 2003 was hat sich beim server 2003 verbessert
Sicherheit in Windows 2003Was hat sich beim Server 2003 verbessert?
  • Sicherheit im „default“-Zustand
  • Sicherheit bei der Konfiguration
  • Sicherheit im laufenden Betrieb
sicherheit in windows 2003 sicherheit im default zustand
Sicherheit in Windows 2003Sicherheit im “default” Zustand
  • Die Angriffsfläche des Servers wurde verringert
    • 20 Dienste sind standardmäßig nicht aktiviert
    • Entscheidungskriterium: mindestens 10% Bedarf
  • Eingeschränkte Service Accounts für viele Dienste
    • NetworkService und LocalService als neue Konten
  • Schärfere Systemrichtlinien Einstellungen und ACLs
    • Verschärfte ACLs im %Systemroot% und bei Freigaben
    • Verschärfte System Sicherheitsrichtlinien
  • Beseitigung von “blank password” Angriffen
sicherheit in windows 2003 sicherheit bei der konfiguration
Sicherheit in Windows 2003Sicherheit bei der Konfiguration
  • Leichte Administration gegen Konfigurationsfehler
    • „Serververwaltung“ für die übersichtliche Administration
    • Verbesserte Windows Hilfe gegen Konfigurationsfehler
    • Zahlreiche Assistenten mit „Best Practice“ Ergebnissen
    • Windows Server 2003 Security Guide schon erhältlich
  • Zusätzliche Administrationstools in Vorbereitung
    • GPMC Snap-In zum Planen von Gruppenrichtlinien
    • SSR Wizard zur Absichern von speziellen Serverrollen
  • Smartcards für alle administrativen Aufgaben
    • RunAs, Net.exe, Terminal Dienste, DCPromo
sicherheit in windows 2003 sicherheit im laufenden betrieb
Sicherheit in Windows 2003Sicherheit im laufenden Betrieb
  • Zusätzliche Gruppenrichtlinien und Benutzerrechte
    • Gruppenrichtlinie: Softwareeinschränkung (nicht DRM!)
    • Gruppenrichtlinie: Zentrale Wireless Lan Konfiguration
    • Sicherheitsoption: Verbot der SID/Name Übersetzung
    • Sicherheitsoption: Administratorkonto sperren
    • Sicherheitsoption: Registry Remote Zugriffe
    • Benutzerrecht: Anmeldung über Terminal Service
    • Berechtigung: Darf über Vertrauenstellung anmelden
  • Sichere Kommunikation in TCP/IP Netzwerken
    • Unterstützung von EAP Anmeldung für Netzwerke
    • NETBIOS freie Netzwerke jetzt noch einfacher
    • Internet Verbindungs-Firewall für Server
agenda1
Agenda
  • Die Sicherheit von Windows 2000 vs. 2003
    • Grundsätzliche Verbesserungen im Detail
  • Die integrierten Sicherheitsdienste
    • Zertifikatsdienste und deren Einsatzgebiete
    • IP Security und Virtual Private Networks
    • Sichere Wireless LAN Umgebungen
    • Internet Information Services 6.0
  • Microsoft Ressourcen im Internet
windows server 2003 pki was ist berhaupt pki
Windows Server 2003 PKIWas ist überhaupt PKI?
  • PKI ist ...
    • … keine Lösung
    • … keine Anwendung
    • … kein Verfahren um Hacker abzuhalten
  • PKI ist eher …
    • … eine Infrastruktur, um mit speziellen Anwendungen Sicherheitslösungen aufzubauen
    • … eine Grundlage für sichere Verschlüsselung und Authentifizierung in Netzwerken
windows server 2003 pki netzwerksicherheit auf basis von pki
Windows Server 2003 PKINetzwerksicherheit auf Basis von PKI

Risiko

Szenario

Sicherheitslösung

  • Encrypted File System (EFS)
  • Smartcard Anmeldung
  • IPSEC u. L2TP VPN Tunnel
  • Verlust/Diebstahl des Laptops
  • Unerlaubte Remote Einwahl
  • Man in the Middle Angriffe

Mobile Benutzer

  • Unerlaubte Remote Einwahl
  • Man in the Middle Angriffe
  • Smartcard Anmeldung
  • L2TP u. IPSEC VPN Tunnel

Home / Remote Office

  • Smartcard Anmeldung
  • SSL/TLS Verschlüsselung
  • Identitäts Vortäuschung
  • Man in the Middel Angriffe

E-commerce

  • Identitäts Vortäuschung
  • Man in the Middel Angriffe
  • Zertifikats Anmeldung, SSL
  • SSL, S/MIME, L2TP u. IPSec

Extranets

  • EAP Anmeldung über Zertifikate
  • Kerberos, Smartcard Anmeldung
  • IPSec, SSL/TLS, S/MIME
  • Encrypted File System (EFS)
  • Unerlaubter Netzwerk Zugriff
  • Identitäts Vortäuschung
  • Man in the Middel Angriffe
  • Datensicherheit auf Fileservern

Lokales Netzwerk

windows server 2003 pki neue pki features von windows 2003
Windows Server 2003 PKINeue PKI Featuresvon Windows 2003
  • Rollenbasierte Administration von CAs
    • CA Administrator, Zertifikats Manager und Auditor
  • Support für neue CSPs und Smartcard Reader
    • Höhere Schlüsselstärken (FIPS 140-1 kompatibel)
    • Advanced Encryption Standard (Rijndael)
  • Unterstützung von Qualifizierten Subordinated CAs
    • Verwendungszwecke, Name constrained, Cross-CAs
  • Delta CRLs für schnellere Sperrlisten Abfragen
    • Geringere Latenzzeiten bei Zertifikatssperrung möglich
    • Geringer Verbrauch von Netzwerk Bandbreite
windows server 2003 pki neue pki features von windows 20031
Windows Server 2003 PKINeue PKI Featuresvon Windows 2003
  • Support für frei editierbare Zertifikatsvorlagen
    • Alle Eigenschaften der Zertifikate sind anpassbar
      • CSPs, Verwendungszwecke, Ausstellungspolicy, uvm.
  • Auto enrollment und renewal übers Active Directory
    • Steuerung erfolgt über „Auto enrollment“ Berechtigung
      • Für jegliche Benutzerzertifikate (auch bei Smartcards)
      • Für jegliche Computerzertifikate
  • Private Key Archivierung und Wiederherstellung
    • Private Keys werden verschlüsselt in der CA abgelegt
    • Key Recovery Agents können Keys wiederherstellen
agenda2
Agenda
  • Die Sicherheit von Windows 2000 vs. 2003
    • Grundsätzliche Verbesserungen im Detail
  • Die integrierten Sicherheitsdienste
    • Zertifikatsdienste und deren Einsatzgebiete
    • IP Security und Virtual Private Networks
    • Sichere Wireless LAN Umgebungen
    • Internet Information Services 6.0
  • Microsoft Ressourcen im Internet
ip security und vpns schwachstellen im ipv4 protokoll
IP Security und VPNsSchwachstellen im IPv4 Protokoll
  • TCP/IP ist ein hervorragendes Protokoll ...
    • Plattform-unabhängige Implementierung
    • Skalierbar durch zuverlässiges Routing
    • Verhältnismäßig geringer Overhead
  • ... aber es beinhaltet keinerlei Sicherheit!
    • Keine Authentifizierung der Kommunikationspartner!
    • Keine Verschlüsselung bei der Datenübertragung!
    • Keine Integrität bei der Datenübertragung!
ip security und vpns tcp ip absicherung mit ipsec
IP Security und VPNs TCP/IP Absicherung mit IPSec
  • IPSec bietet eine sichere TCP/IP Kommunikation
    • Gegenseitige Authentifizierung zwischen Computern
      • Sender und Empfänger kennen sich untereinander
      • Authentifizierung mit Kerberos, PKI oder Pre-Shared
    • Datenverschlüsselung mit Hilfe von ESP IPSec Paketen
      • DES Verschlüsselung des IP Traffics nach Regelsätzen
      • Nur Sender und Empfänger kennen den Daten Inhalt
    • Datenintegrität mit Hilfe von AH IPSec Paketen
      • SHA Signierung des IP Traffics nach Regelsätzen
      • Manipulierte IP Pakete werden erkannt und verworfen
ip security und vpns tcp ip absicherung mit ipsec con t
IP Security und VPNs TCP/IP Absicherung mit IPSec (con‘t)
  • IPSec arbeitet unterhalb der Anwendung
    • Keine Anpassungen der Netzwerk Anwendungen
    • Keine Anpassungen der Netzwerk Infrastruktur
  • IPSec wird ab Windows 2000 nativ unterstützt
    • Zentrale Administration über Gruppenrichtlinien
    • L2TP/IPSec Client für NT4 und Win98 nachrüstbar
  • Mögliche IPSec Filterungseinstellungen sind
    • Filterung nach IP Adressen und Protokoll/Portnummern
    • „Zulassen“, „Blocken“, „Sicherheit aushandeln“
ip security und vpns funktionsweise von ipsec
IP Security und VPNs Funktionsweise von IPSec

1

1

Active Directory

IPSec-Richtlinie

IPSec-Richtlinie

ISAKMP Internet Security Association and Key Management Protocol

TCP-Schicht

TCP-Schicht

2

IPSec-Treiber

IPSec-Treiber

Verschlüsselte IP-Pakete

3

ip security und vpns neue ipsec features unter windows 2003
IP Security und VPNsNeue IPSec Features unter Windows 2003
  • IP Security NAT Traversal (NAT-T) Unterstützung
    • Windows 2003 IPSec durch NAT Router senden
      • Firewalls benötigen Regeln für UDP Ports 500 u. 4500
      • Win 9x, NT, 2000 und XP Clients benötigen ein Update
  • IPSec Monitor für verbesserte Fehlersuche
  • Neue IPSec Sicherheitseinstellungen (via NETSH)
    • Jetzt mit 2048bit Masterschlüssel (FIPS 140-1)
    • Wegfall der „Default Exemptions“ als Standard
    • „Stateful Paketfiltering“ beim Bootvorgang
    • Fail Save Konfigurationsmöglichkeiten
ip security und vpns neue ipsec features unter windows 20031
IP Security und VPNs Neue IPSec Features unter Windows 2003
  • Mehr Performance bei der Verschlüsselung
    • Schnellere Schlüsselaushandlung (Main u. Quick Mode)
    • Loadbalancing (NLB) Unterstützung für IPSec Pakete
    • Unterstützung für Hardwarebeschleunigung
  • Unterstützt einen von der IETF definierten Standard
    • Gemeinsamer Standard mit Cisco (RFC 3193)
    • Kompatibel zu Cisco IOS® ab Release 12.2(4)T
    • Abwärtskompatibel mit Windows 2000 IP Security
ip security und vpns die vpn technologie im berblick
IP Security und VPNs Die VPN Technologie im Überblick
  • Virtual Private Networks sind ...
    • Eine kostengünstige Alternative zu Standleitungen
    • Virtuelle Verbindungen über bestehende Netzwerke
    • Verschlüsselte Datenkanäle für sensible Daten
  • Mögliche Einsatzszenarien für VPN
    • Anbindung von Home- oder Remotearbeitsplätzen
    • Netzwerkkopplungen zwischen Standorten
ip security und vpns die vpn technologie im berblick1
IP Security und VPNs Die VPN Technologie im Überblick

RRAS

Unternehmens-

netzwerk

Home- oder Remotearbeitsplatz

RRAS

ip security und vpns von microsoft unterst tzte vpn protokolle
IP Security und VPNs Von Microsoft unterstützte VPN Protokolle
  • Aufbau von VPN Tunneln mittels nativen IPSec
    • Kopplung zwischen zwei IPSec fähigen Routern
    • Ein Phasen Authentifizierung nur über ISAKMP
  • Aufbau von VPN Tunneln mittels Wählverbindungen
    • RRAS Server ist der Einwahlpunkt für VPN Kanäle
      • Layer Two Tunneling Protokoll (L2TP) + IPSec
      • Point to Point Tunnel Protokoll (PPTP)
    • Bietet zusätzliche Sicherheit durch Benutzerkennung
      • Maximal drei Phasen Authentifizierung bei L2TP/IPSec
ip security und vpns neue vpn features unter windows 2003
IP Security und VPNs Neue VPN Features unter Windows 2003
  • Variable IPSec Einstellungen für L2TP Tunnel
    • Die L2TP Authentifizierung auch ohne Zertifikate
    • Frei definierbare IPSec Richtlinien für L2TP Tunnel
  • Einfaches Route Management für Split-Tunnel VPNs
    • Neue DHCP Optionen zum setzen von IP Routen am Client
  • Verwaltung von VPN und DFÜ Clients mit CMAK 1.3
    • Zentrale Voreinstellung der VPN und DFÜ Verbindungen
    • Unterstützung für Clientseitige Scripts bei der Einwahl
ip security und vpns neue vpn features unter windows 20031
IP Security und VPNs Neue VPN Features unter Windows 2003
  • Verbesserter Internet Authentification Service (IAS)
    • Verwendet RADIUS als Industriestandard für AAA Dienste
      • Übernimmt Authentifizierung, Accounting und Autorisierung
      • Geeignet für RAS, VPN, Switche, WLANs und weitere Dienste
    • RADIUS Proxy Funktionalität im neuen IAS Server
      • Forwarding von AAA Anfragen auf externe RADIUS Server
      • Ermöglicht dabei eine Manipulation von Benutzernamen
    • Erweiterte und neue Authentifizierungs- Möglichkeiten
      • Computer, Zertifikatsbasierte und EAP Authentifizierung
    • Unterstützung für Quarantäne Netzwerke bei VPN
ip security und vpns funktionsweise der quarant ne policy
IP Security und VPNsFunktionsweise derQuarantäne Policy

IAS

RRAS

Internet

Client

Corp Netz

Quarantäne Netzwerk

Connect

Authenticate

Authorize + Set Quarantäne + Normal Filter

Quarantine Access

X

Policy Check

Set Normal Filter

Full Access

agenda3
Agenda
  • Die Sicherheit von Windows 2000 vs. 2003
    • Grundsätzliche Verbesserungen im Detail
  • Die integrierten Sicherheitsdienste
    • Zertifikatsdienste und deren Einsatzgebiete
    • IP Security und Virtual Private Networks
    • Sichere Wireless LAN Umgebungen
    • Internet Information Services 6.0
  • Microsoft Ressourcen im Internet
sichere wireless netzwerke die sicherheitsprobleme in ieee 802 11
Sichere Wireless NetzwerkeDie Sicherheitsprobleme in IEEE 802.11
  • Sicherheit durch Shared Keys? (WEP Protokoll)
    • Alle Clients benutzen den selben Verschlüsselungs- Key
    • Ändern des Keys ist zu aufwändig bzw. geschieht niemals
  • WEP Keys sind zu schwach und fehlerhaft
    • 16,7 Mio. verschiedene Schlüssel möglich (40 u. 104 bit)
    • Hiervon sind 1280 Schlüssel sehr schwach (Angriffsziel!)
    • 2-20 Gbyte an gesnifften Daten reichen zum Cracken
  • Viele bekannte Angriffsmöglichkeiten gegen WEP
    • Airsnort, WEPCrack und Man-in-the-Middel Angriffe
sichere wireless netzwerke mehr sicherheit durch ieee 802 1x
Sichere Wireless NetzwerkeMehr Sicherheit durch IEEE 802.1X
  • Authentifizierung an einem Verzeichnisdienst
    • Mittels einer Smartcard oder mit Client-Zertifikaten
    • Mittels eines Benutzernamens und Passwort
  • AAA Zugriffssteuerung über RADIUS Server
    • RADIUS bietet Authentification, Accounting, Authorisation
      • Zugriff auf bestehende Benutzerdatenbanken (AD) möglich
    • Dynamische WEP Keys beseitigen Shared-Key Probleme
      • Benutzer erhalten vom RADIUS Server eigene WEP Keys
  • EAP-TLS und PEAP als IEEE 802.1X Standards
sichere wireless netzwerke ieee 802 1x szenario mit eap tls
Sichere Wireless NetzwerkeIEEE 802.1X Szenario mit EAP-TLS
  • EAP-TLS als Lösung für Netzwerke mit PKI
    • Am Client Compter ist ein X509v3 Zertifikat erforderlich
      • Computer- oder Benutzerzertifikat werden benötigt
    • Am RADIUS Server ist ein Computer Zertifikat erforderlich
  • EAP Anmeldung am Active Directory über RADIUS
    • Minimal: Windows 2000 Server IAS + EAP Updates
    • Optimal: Windows Server 2003 IAS
  • Die Accesspoints müssen EAP-TLS unterstützen
  • EAP Wireless Client ist ein Windows 2000/XP
    • Verwaltung beim 2003er Active Directory über GPOs
sichere wireless netzwerke ieee 802 1x szenario mit peap
Sichere Wireless NetzwerkeIEEE 802.1X Szenario mit PEAP
  • PEAP ist eine Erweiterung vom EAP Protokoll
    • Authentifizierung geschieht über das MS-CHAPv2 Protokoll
    • Anmeldung mit Benutzername/Passwort oder Smartcard
    • Keine Computer Zertifikate am WLAN Client erforderlich
  • PEAP Anmeldung am Active Directory über RADIUS
    • Ein Windows Server 2003 IAS ist erforderlich
  • Die Accesspoints müssen EAP-TLS unterstützen
  • PEAP Wireless Client ist Windows 2000/XP
    • Verwaltung beim 2003er Active Directory über GPOs
sichere wireless netzwerke deployment szenarien f r eap tls peap

AP

AP

Sichere Wireless NetzwerkeDeployment Szenarien für EAP-TLS & PEAP

Wireless Access Point

Wireless Client

(WinXP)

RADIUS Server

(MS IAS)

Directory Service

(AD)

WLANs mit PEAP

FirmeninterneZertifizierungs Stelle

3rd Party Zertifizierungs Stelle

WLANs mit EAP-TLS

RADIUS Server

(MS IAS)

Directory Service

(AD)

Wireless Access Point

Wireless Client

(WinXP)

agenda4
Agenda
  • Die Sicherheit von Windows 2000 vs. 2003
    • Grundsätzliche Verbesserungen im Detail
  • Die integrierten Sicherheitsdienste
    • Zertifikatsdienste und deren Einsatzgebiete
    • IP Security und Virtual Private Networks
    • Sichere Wireless LAN Umgebungen
    • Internet Information Services 6.0
  • Microsoft Ressourcen im Internet
internet information services 6 0

Internet Information Services 6.0

Richard Karl

Technologie Berater

Microsoft Deutschland GmbH

richardk@microsoft.com

Tech Level: 300

internet information services 6 generelle vorteile des iis webserver
Internet Information Services 6Generelle Vorteile des IIS Webserver
  • Voreinstellung: Nicht installiert
  • Am Anfang nur statische HTML Seiten
  • Durchgereichte Authentifizierung
  • Worker Prozess ID wählbar

Sicher

  • Neues Prozessmodell
  • Anwendungsgruppen
  • Prozess Wiederverwertung
  • Verfügbarkeits Erkennung

Zuverlässig

Skalierbar

  • Web Gardens
  • Mehr Sites pro Server
  • Verbesserte NAS Unterstützung
  • Kernel Cache für HTML & ASPX Seiten
  • XML Metabase
  • WMI Provider
  • Kommando Zeilen Werkzeuge
  • Versions und Konfigurationskontrolle

Verwaltbar

das alte iis 5 0 prozessmodell

Hoher Resourceverbrauch

Gute Performanz, aber unstabile Webseiten können den gesamten Webserver beinflussen

MonolithischeBlack Box

Schlechtere Performance

Gefährlicher Systemkontext

Unstabile Webseiten können den Webserver nicht beinflussen

SuboptimalePerformance

Das alte IIS 5.0 Prozessmodell

INETINFO

DLLHOST.EXE

DLLHOST.EXE

WAM

DLLHOST.EXE

metabase

W3Csvc

WAM

ISAPI

Extensions

W3Csvc

ISAPI

Extensions

ISAPI

Extensions

ISAPI

Extensions

ISAPI Filters

User Mode

KernelMode

Winsock

TCP/IP

das neue iis 6 0 prozessmodel

INETINFO.exe

W3SVC

App Pool

App Pool

App Pool

App Pool

App Pool

Hohe Performance durch Wegfall von Out-Process Anwendungen

metabase

W3WP.exe

W3WP.exe

W3WP.exe

W3WP.exe

Integrierter IIS Lockdown Wizard

W3WP.exe

Configuration Manager

Single App

Single App

Single App

Single App

Multiple Apps

Application Pool Manager

ftp, smtp, nntp

ISAPI Ext

ISAPI Ext

ISAPI Ext

ISAPI Ext

ISAPI Ext

DoS Schutz durch limitierte und einstellbare Warteschlangen und CPU Begrenzung pro Workerprozess

ISAPI Filters

ISAPI Filters

ISAPI Filters

ISAPI Filters

ISAPI Filters

Zentrale Steuerung und Healthmonitoring der Workerprozesse

Unstabile Webseiten können nicht andere oder den Webserver beeinträchtigen

Unabhängige Workerprozesse mit definierbaren Dienstkonten (Systemkontext nicht erforderlich)

Hohe Performance durch zwischengespeicherte Webseiten

Das neue IIS 6.0 Prozessmodel

Administration Monitoring

Web Publishing

User mode

Kernel mode

HTTP.SYS

Response Cache

Listener

Sender

TCP/IP

prozess wiederverwertung

startup

ready

Old Worker Process

New Worker Process

WAS

Web Proc. Core DLL

Web Proc. Core DLL

ISAPI Exts &

Filters

ISAPI Exts &

Filters

HTTP.SYS

Request

Request

Prozess Wiederverwertung

Shut down

Ready for

Recycle

user

kernel

anwendungsgruppen wiederverwertung
Anwendungsgruppen Wiederverwertung

Erneuern nach:

  • X Minuten Aktivität
  • Nach X Anforderungen
  • Zu definierten Zeiten

Erneuern nach Überschreiten eines definierten Speicherverbrauchs

anwendungsgruppen performanz
AnwendungsgruppenPerformanz

Untätige Gruppen werden gestoppt um Resourcen zu sparen

Bewahrt den Server vor Überlast

CPU Verbrauchs-überwachung

Anzahl der Prozesse für bessere Skalierung

anwendungsgruppen verf gbarkeit
AnwendungsgruppenVerfügbarkeit

Einschalten und Setzen des Zeitintervalls

Einschalten von RFP und Setzen der Parameter

Anlaufzeit begrenzen

Abschlußzeit begrenzen

anwendungsgruppen identit t
Anwendungsgruppen Identität
  • Vordefinierte Identititäten
    • - Network Service
    • - Local Service
    • - Local System

Oder selbstdefinierte Benutzerkonten, die

zur IIS_WPG Group gehören müssen

iis 6 0 isolation modes
IIS 6.0 Isolation Modes
  • Worker Process Isolations Modus
    • Voreinstellung für IIS 6.0
  • IIS 5.0 Isolations Modus
    • Rückwärts Kompatibel zu IIS 5.0
    • Jede Anfrage muss durch Inetinfo.exe
    • Es gibt keine Anwendungsgruppen und keine Prozesswiederverwertung
anwender isolierung unter ftp
Anwender Isolierung unter FTP
  • Beschränkt Anwender auf ihre eigenen Verzeichnisse
    • Verhindert die Aufwärts Navigation im Verzeichnis Baum
    • Erleichtert das Zuweisen von Rechten
  • FTP Benutzer Isolation
    • Kompatibel / keine Isolation
    • Einfache Anwendungen / Lokale Isolation
    • Komplexe Anwendungen durch Active Directory Integration
metabase
Metabase
  • XML – ohne spezielle Werkzeuge lesbar
  • Während der Laufzeit editierbar
  • Bei jeder Änderung wird eine Sicherheitkopie in das Verlaufsverzeichnis kopiert und unter einem eindeutigen Namen gespeichert
  • Einfach zurück zu sichern
    • Server Objekt -> Alle Aufgaben -> Backup/Restore Konfiguration
authentifizierung
Authentifizierung
  • Authentifizierungs Modi
    • Forms – nicht authentifizierte Anfragen werden an die Anmeldeseite weitergeleitet
    • Windows – Windows Authentifizierung durch IIS
    • Passport – Konten werden auf AD Konten abgebildet
    • Anonym – keine Anmeldung nötig
  • Protokolltransparenz
    • Legacy Protokolle werden auf Kerberos Tickets abgebildet
    • Ermöglicht ein Single-Sign-On für komplexe Webportale
  • Modus wird in web.config festgelegt:

<authentication mode=[Windows|Forms|Passport|None]"/>

autorisierung
Autorisierung
  • Bildet Rechte auf authentifizierte Anwender ab
  • Negative Modelle empfohlen

<!-- authorifizierungsabschnitt des config file -->

<authorization>

<allow users=“Bob, Tommy"/>

<allow roles=“WebUsers"/>

<deny users=“Danny"/>

<deny users="?"/>

</authorization>

<!– nur Administratoren können POST

(Jeder kann GET) -->

<authorization>

<allow verb="GET" users="*"/>

<allow verb="POST" roles=“Admins"/>

<deny verb="POST" users="*"/>

</authorization>

* Alle Benutzer

? Anonyme Benutzer

agenda5
Agenda
  • Die Sicherheit von Windows 2000 vs. 2003
    • Grundsätzliche Verbesserungen im Detail
  • Die integrierten Sicherheitsdienste
    • Zertifikatsdienste und deren Einsatzgebiete
    • IP Security und Virtual Private Networks
    • Sichere Wireless LAN Umgebungen
    • Internet Information Services 6.0
  • Microsoft Ressourcen im Internet
microsoft ressourcen im internet
Microsoft Ressourcen im Internet
  • Windows 2003 Server Website

www.microsoft.com/windowsserver2003/

  • Microsoft Website zum Thema Sicherheit

www.microsoft.com/germany/security/

  • Deutschsprachige TechNet Website

www.microsoft.com/germany/technet/

  • Security News Group auf news.microsoft.com

/microsoft.public.de.security.heimanwender

/microsoft.public.de.security.netzwerk.sicherheit

  • IIS 6.0 Technische Übersicht:

www.microsoft.com/windows.netserver/techinfo

/overview/iis.mspx

bleiben sie am ball sicherheit a way of life
Bleiben Sie am BallSicherheit: A way of life
  • Abonnieren Sie den Security Notification Service

www.microsoft.com/technet/treeview/?url=/technet/security/bulletin/notify.asp

  • Benutzen Sie den Baseline Security Analyser

www.microsoft.com/technet/treeview/default.asp

?url=/technet/security/tools/tools/MBSAHome.asp

  • Evaluieren Sie den Software Update Services

www.microsoft.com/windows2000/windowsupdate/sus