Netwerken en beveiliging. Overzicht van belangrijkste onderdelen en functies Sterke basis voor de...
-
Upload
myriam-boender -
Category
Documents
-
view
218 -
download
2
Transcript of Netwerken en beveiliging. Overzicht van belangrijkste onderdelen en functies Sterke basis voor de...
Netwerken en beveiliging
Overzicht van belangrijkste onderdelen en functies
Sterke basis voor de Workloads in uw bedrijf
Internet Information Services 7.0
Windows SharePoint Services
Windows Media Services
Windows Server-virtualisatie
Terminal Services RemoteApp™
Terminal Services Gateway
Beveiligde netwerktoegang (NAP)
Read Only Domain Controller (RODC)
Beheer van federatieve rechten
Serverbeheer
Windows PowerShell™
Windows Deployment Services
Server Core
De volgende generatie netwerken
Clustering met maximale beschikbaarheid
Web Virtualisatie Beveiliging
Beheer Betrouwbaarheid
Microsofts belofte aan ITIT-professionals en ontwikkelingsteams faciliteren in alle fasen van de IT-cyclus
Agenda
netwerkfunctiesbeveiligingsfunctiesstrategie, tools en tactieksamenvattingactie ondernemen
Core IO Model
Basic
antivirussoftware (met automatische updates) ONTBREEKT op 80% van de desktopsgecentraliseerde firewallbeveiliging ONTBREEKT op 80% van de systemengeen interne server voor DNS en DHCP
Rationalized
beveiligde externe toegangbeveiligde server-naar-serverisolatieSIP voor beveiligde communicatie via Presencevia beleid beheerde firewall op servers en desktopsindien draadloos: beveiligd draadloos netwerkCertificate Services (PKI)in geval van regiokantoren: WAN-geoptimaliseerd/ gegevensreplicatie op basis van wijzigingen (ISA)
Dynamic
geïntegreerd risicobeheer op client, server en edgeQuarantaine-oplossing voor desktop en apparaten (NAP)
Standardized
antivirussoftware op desktops (FCS)centrale firewall (ISA)interne DNS, DHCP
De evolutie van Windows TCP/IP
Kernelmodus
Gebruikersmodus Winsock
NDIS
IPv4
Loopback802.3 WLAN IPv4-tunnel
IPv6-tunnel
IPv6
TCP UDP RAW
WSKAFD
TDX
WSK-clients TDI-clients
TDI
Volgende generatie TCP/IP-stack (tcpip.sys)
Dual-IP-architectuurlaag voor native ondersteuning van IPv4 en IPv6Naadloze beveiliging via uitgebreide IPSec-integratieVerbeterde prestaties door hardwareversnellingNetwerk automatisch afstemmen en optimalisatiealgoritmenMeer uitbreidingsmogelijkheden en grotere betrouwbaarheid door geavanceerde API's
Transportlaag
Netwerklaag
Framelaag
Schaalbaar-netwerkpakket
Schaalbaar netwerk - routekaart
TCP Chimney Offload, Receive-side Scaling en NetDMAbasisbeheerfunctiesNDIS 5.2 API's
TCP Chimney Offload en Receive-side Scalingondersteuning voor IPv6NDIS 6.0 API's en integratie met de nieuwe TCP/IP-stack
TCP Chimney Offload, Receive-side Scaling en NetDMAuitgebreide beheerfunctiesNDIS 6.0 API's en integratie met de nieuwe TCP/IP-stackextra ondersteuning voor taakoverdracht, waaronder IPsec en IPv6
Netwerkfuncties van Windows Server 2008
Grotere schaalbaarheid
Verbeterde prestaties en betrouwbaarheid
Betere beveiliging zonder veranderingen voor de gebruikerWindows Firewall met geavanceerde beveiliging
uitbreidingen en innovaties op IPsec
Windows Filtering Platform en Secure Socket-uitbreidingen voor Winsock
uitbreidingen voor externe toegang
nieuw groepsbeleid voor draadloos beheer en 802.1X-updates
netwerkstack automatisch afstemmen
uitbreidingen voor high-loss omgevingen, zoals draadloze en WWAN
grotere betrouwbaarheid en hogere tolerantie
uitgebreide beheermogelijkheden
hardware-offload en netwerkversnelling
op beleid gebaseerde QoS (Quality of Service)
IPv6
Nieuwe Windows Firewall
inkomend en uitgaand filternieuwe beheer-MMCgeïntegreerde firewall en geïntegreerd IPsec-beleidregelconfiguratie voor Active Directory-groepen en -gebruikersondersteuning voor IPv4 en IPv6geavanceerde regeloptiesstandaard ingeschakeld
server- en domeinisolatie
labsonbeheerde gasten
beheerde computers beveiligen tegen onbeheerde of onbetrouwbare computers en gebruikers
specifieke, hoogwaardige servers en gegevens beveiligenServerisolatie
Domeinisolatie
De Windows-omgeving dynamisch
verdelen in beter beveiligde
en geïsoleerde logische netwerkenop basis van beleid
Beveiligde netwerktoegang (NAP)
validatie van gezondheidsbeleidnaleving van gezondheidsbeleidoptie voor beperkte toegangVerbeterde beveiligingVerhoogde economische waardeCisco/Microsoft-integratie
NAP
Beveiligde netwerktoegang (NAP) gebruiken
Bedrijfs-LAN
NAP-netwerk
Beleidsserver(Patch, AV)
Netwerk metbeperkte toegang
Patchserver
Client vraagt toegang aan tot netwerk en geeft de huidige status weer
1
2DHCP, VPN of switch/router stuurt de status door naar Microsoft Network Policy Server (RADIUS)
3Network Policy Server (NPS) voert validatie uit op basis van door IT gedefinieerd gezondheidsbeleid
4Als niet aan het beleid wordt voldaan, wordt de client in een VLAN met beperkte toegang geplaatst, met toestemming om patches, configuraties en handtekeningen te downloaden (herhaal 1 - 4)
5 Als aan het beleid wordt voldaan, krijgt de client volledige toegang tot het netwerk
1 2
3
4
5
Windows-client
DHCP, VPNswitch/router
Microsoft NetworkPolicy Server
Niet-beleidsco
nform
Beleids-conform
Verbeterde beveiligingalle communicatie wordt geverifieerd, geautoriseerd en is in ordediepgaande beveiliging op uw voorwaarden met DHCP, VPN, IPsec, 802.1Xop groepsbeleid gebaseerde toegang die door IT-professionals kan worden gedefinieerd en beheerd
Verhoogde economische waarde
de productiviteit van de gebruikers blijft op peil er wordt voortgebouwd op bestaande investeringen in infrastructuur van Microsoft en andere merken brede branchesamenwerking
Beveiligde netwerktoegang (NAP) Voordelen
Risico
Status- en beleidsvalidat
ie
Beveiliging op
meerdere lagen
ROI
Verbinding tussen
onbeschadigde eindpunten
Bestaande investeringen
benutten
Belangrijkste voordelen ten opzichte van de concurrentie
bestaande hardware wordt benut, ingrijpende upgrades zijn niet nodiggeïntegreerd in het besturingssysteem van de clientlagere implementatiekosten en TCOintegratie met bestaande beveiligingsproductenéén beleid voor de beveiliging van het bedrijfmeerdere methoden om beleid af te dwingen
beveiligde draadloze mobiliteit
Bedrijfs-LAN
Controller voordraadloze mobiliteit
IAS-server
Draadloze toegangspunten
Draadloze Windows
XP- of Vista-
client
Active Directory-groepsbeleid
SQL-server
CA-server
VoordelenVoorzieningen
Windows Server Core
Minder softwareonderho
ud
het aantal serverrollen wordt beperkt slechts een deel van de binaire bestanden wordt geïnstalleerd alleen de vereiste functies worden geïnstalleerdopdrachtregelinterface, geen GUI-shellde installatie vereist ca. 1 GB
Beperktaanvalsrisico
Beperkt beheer Minder schijfruimte
vereist
Voorzieningen
Serv
er
Core
Rollen
Hardwareonderdelen – schijf, netwerkadapter, enz.
DNS
DHCP
Bestands-
server
Active Director
y
Infrastructuuropdrachtregelshell, domeinlidmaatschap, gebeurtenislogboek, prestatiemeterinfrastructuur, WS-beheer, WMI-infrastructuur, licentieservice, WFP, HTTP-ondersteuning, IPsecOpgeloste categorieafhankelijkheden – HAL, kernel, VGA,
aanmelding, enz.
Core-subsystemenbeveiliging (aanmeldingsscenario's), netwerken (TCP/IP), bestandssystemen, RPC, Winlogon, vereiste afhankelijkheden
Thin beheertools (lokaal en extern)IP-adres configureren, lid worden van domein, gebruikers definiëren, enz.
AD Lightweig
ht Directory Service
Afdruk-
server
MediaService
s
Windows-virtualisati
eserver
WINS SNMPBitLocker
schijfcodering
Telnet-client
Failover Clusterin
g
Beheer van verwisselbare opslag
Back-up
Windows Server Core Architectuur
D DD
Windows Service HardeningDiepgaande beveiliging – factoring/profiling
verklein de lagen met hoog risicoverdeel de services over segmentenvergroot het aantal lagen
Kernelstuurprogramma'sD D USD's (User-mode-drivers)
DD D
Service 1
Service 2
Service 3
Service…
Service …
Service A
Service B
Identiteits- en toegangsoplossingen
AandachtspuntenIdentiteitslevenscyclus beheren
ProductenMicrosoft Identity Lifecycle Manager 2007
Informatiebeveiliging
Federatieve identiteit
Sterke verificatie
Directoryservices
AD RMS (Active Directory Rights Management Services)AD FS (Active Directory Federations Services) Windows CardSpace
AD CS (Active Directory Certificate Services)AD DS (Active Directory Domain Services)AD LDS (Active Directory Lightweight Directory Services)
Windows Server 2008 Codering - technologie vergeleken
FVE EFS RMScodering AES 128 (RSA32.DLL) AES 128 (Crypt32.DLL) AES 128 (Crypt32.DLL)
Gegevens blokken bestanden toepassingsafhankelijk: doc/e-mail
Sleutelarchief gebruiker TPM + SW Identity, dongle, bestand
SW, smartcard verborgen SW
Sleutelarchief inhoud idem gebruiker met bestand in alternatieve stroom
met bestand in toepassingsspecifieke
locatie
Beveiligd wat? Windows en gegevens mappen en bestanden documenten en e-mail(inclusief gebruik)
Beveiligd wie? computereigenaar, -gebruiker
gebruikers Documenteigenaar
Beveiliging lokaal, verwisselbare media*
lokaal, verwisselbare media*, extern*
extern
Wie krijgt overschrijvingsrecht?
lokale beheerder, netwerkbeheerder*
lokale beheerder*, netwerkbeheerder
documenteigenaar en RMS-beheerder
Methode gegevensherstel
dongle, bestand, netwerk; handmatige sleutelinvoer
lokaal of AD-beleid RMS-serverbeleid
Gebruiksscenario laptop kwijt of gestolen pc met meerdere gebruikers beveiligde documenten delen
Samenvatting
belangrijkste update voor Windows Server-netwerken sinds Windows NTover nieuwe netwerkfuncties
Terminal Services Gatewayserver- en domeinisolatieBeveiligde netwerktoegang (NAP)beveiligde draadloze mobiliteit
nieuwe beveiligingsfunctiesservicebeveiligingidentiteits- en toegangsoplossingencoderingstechnologieën
actie ondernemen
maak nader kennis met Windows Server 2008 en benut de mogelijkheden voor geavanceerd netwerken en betere beveiliginglaat u informeren over oplossingen van partners die een aanvulling vormen op de Windows Server 2008-functies voor netwerken en beveiligingWindows Server 2008 RC0 binnenkort beschikbaar
test en maak kennis
Vragen?
©2007 Microsoft Corporation. Alle rechten voorbehouden. Microsoft, Windows, Windows Vista en andere productnamen zijn gedeponeerde handelsmerken en/of handelsmerken in de Verenigde Staten en/of andere landen.
Deze presentatie is uitsluitend bedoeld ter informatie en geeft het huidige standpunt weer van Microsoft Corporation op de datum van openbaarmaking. Omdat Microsoft moet reageren op de veranderende marktvoorwaarden,
moet deze presentatie niet worden beschouwd als een toezegging van de kant van Microsoft en kan Microsoft de nauwkeurigheid van informatie die na de publicatiedatum beschikbaar komt niet garanderen.
MICROSOFT GEEFT GEEN ENKELE GARANTIE, EXPLICIET, IMPLICIET NOCH STATUTAIR, BETREFFENDE DE INFORMATIE IN DEZE PRESENTATIE.