La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

José Parada Gimeno Microsoft ITPro Evangelist

Presentaciones similares


Presentación del tema: "José Parada Gimeno Microsoft ITPro Evangelist"— Transcripción de la presentación:

1 José Parada Gimeno Microsoft ITPro Evangelist

2 Protección de Acceso a Redes (NAP) Server Core Mejoras en los Servicios de Terminal

3 {NAP} José Parada Gimeno Microsoft ITPro Evangelist Carlos Delso PM HP ProCurve

4 Validación de Políticas: Determina si los equipos cumplen con la política de seguridad de la organización. A los que cumplen se les estima como Saludables. Restricciones de Red: Restringe el acceso a la red a los equipos en función de su salud. Remediación: Provee las actualizaciones necesarias para permitir que un equipo se vuelva saludable. Una vez que esto ocurre, se le quitan las restricciones de red. Cumplimiento sobre la marcha: Los cambios en la política de seguridad de la organización o en la salud de los equipos pueden provocar restricciones de red.

5 No Cumple la Política 1 Red Restringida El cliente solicita acceso a la red y presenta su estado de salud actual 1 4 Si no cumple la política el cliente solo tiene acceso a una VLAN restringida donde hay recursos para solucionar sus problemas, descargar actualizaciones, firmas(Repetir 1-4) 2 DHCP, VPN o Switch/Router envía el estado de salud al Servidor de Políticas de Red (RADIUS) 5 Si cumple la política al cliente se le permite el acceso total a la red corporativa MSFT NPS 3 Servidor de Políticas Cumple la Política 3 El Servidor de Políticas (NPS) valida contra la política de salud definida por IT 2 Cliente Windows DHCP, VPN Switch/Router Fix Up Servers e.g. Patch Red Corporativa 5 4

6 ForzadoCliente SaludableCliente no Saludable DHCP Configuración IP completa. Acceso Total Conjunto de rutas restringido VPN (Microsoft and 3 rd Party) Acceso TotalVLAN Restringida 802.1XAcceso TotalVLAN Restringida IPsec Puede comunicar con cualquier nodo en que confie Nodos saludables rechazan la conexión de sistemas no Saludables Complementa la protección a nivel 2 Funciona con la infraestructura existente Aislamiento Flexible

7 NPS Policy Server (RADIUS) Quarantine Server (QS) Cliente Agente de Quarentena QA Política de SaludActualizaciones Estado de Salud Solicitud Acceso a la Red Servidores de Salud Servidor de Remedios Health Certificate 802.1x Switches Policy Firewalls SSL VPN Gateways Certificate Servers (SHA) MS SHA, SMS System Health Validator (EC) (DHCP, IPsec, 802.1X, VPN) Cliente SHA – Agente de salud chequea la salud del sistema QA – Coordina SHA/EC EC – Método de Forzado Servidor de Remedios Proporciona parches, firmas AV, etc… Network Policy Server QS – evalua la salud del cliente SHV – evalua la respuesta SHA System Health Server Proporciona SHV (SHA) 3 rd Parties (EC) 3 rd Party EAP VPNs

8 APIs publicas para desarrollar SHV o Agentes Mas de 100 partners tienen ya soluciones (Casas antivirus) Hay agentes para otras plataformas (Linux) Integrable con la plataforma de Gestión y Seguridad de Microsoft SCCM 07 o Forefront. Integrable con la plataforma NAC de Cisco Extensible con la electrónica de red apropiada HP Pro Curve.

9 Solicitando Acceso. Mi estado de salud MS NPS Cliente Switch802.1X Servidores de Remediación ¿Puedo acceder? Aquí esta mi estado de Salud ¿Debe este cliente ser restringido basándonos en su estado de salud? Actualización de políticas al servidor NPS Tienes acceso restringido hasta que te actualices ¿Puedo obtener Actualizaciones? Aquí las tienes. Según las políticas, el cliente no esta al día. Poner en cuarentena y solicitar actualización. Red Restringida Se permite el acceso total al Cliente Servidores de Chequeo de Salud Según las políticas, el cliente cumple. Permitir Acceso. Patch Status AV Status

10 Solicitando Acceso. Aquí esta mi nuevo estado de salud MS NPS Cliente Remote Access Gateway Servidores de Remediación ¿Puedo acceder? Aquí esta mi estado de Salud ¿Debe este cliente ser restringido basándonos en su estado de salud? Actualización de políticas al servidor NPS Recurso bloqueado hasta que te actualices ¿Puedo obtener Actualizaciones? Aquí las tienes. Según las políticas, el cliente no esta al día. Poner en cuarentena y solicitar actualización. Se permite el acceso total a los recursos al Cliente Servidores de Chequeo de Salud Según las políticas, el cliente cumple. Permitir Acceso.

11 Accediendo a la REd X Servidor de Remediación NPS HRA ¿Puedo obtener un certificado de Salud? Aqui esta mi estado de Salud ¿Esta el Cliente ok? No. Necesita Actualizarse NO obtienes tu certiificado. Actualizate. Necesito Actualizaciones. Aqui las tienes Aqui tienes el certificado de Salud SI. Emite el certificado de Salud Cliente Sin Política Autenticación Opcional Autenticación Requerida

12 CONTROL de ACCESO CONTROL de INTEGRIDAD GESTIÓN de ATAQUES Red unificada segura VILTUAR SERVER VILTUAR SERVER VILTUAR SERVER Visibilidad Adaptive Edge Servicios IT Corporativos GestiónControlCumplimientoTrazabilidad Proactive Defense RESOLUCIÓN de INCIDENCIAS

13 802.1X Supplic ant 802.1X Authenticator Policy Enforcement Point (PEP) Supported in ProCurve Edge Devices 5300 / 5400 / 3400 / / / 2600-PWR / /2810/ / 530 / WESM IAS RADIUS IDM Agent PCM / IDM 2.3 Server Authentication Directory Active Directory Network Mgmt Server ProCurve hardware ProCurve MAC-Auth Web-Auth MAC Address HTTP Request Network Policy Server Microsoft IAS Microsoft NPS NAP Agent NPS RADIUS Microsoft

14 NAP Conmutador/ Acceso WIFI Gestión de políticas RADIUS/ Servicio de Directorio Integridad Dispositivo de acceso Control de Acceso Acceso ¿Quién soy? Integridad NAP/NAC ¿Cómo estoy? Básico 802.1x Acceso permitido o denegado Medio RFC3580 Acceso permitido a una vlan Si es denegado acceso a Vlan restingrida AvanzadoAcceso y Política de uso de acuerdo al contexto Acceso y Política de uso de acuerdo al contexto y/o integridad Políticas: Un Conjunto de: Vlan, permisos, control de ancho de banda y calidad de servicio. Contexto: Basado en: Usuario, momento, dispositivo y localización.

15 RADIUS Directorio HP Procurve LAN/WAN VLAN usuarios (UnTagged) VLAN voz (Tagged) RADIUS Directorio HP Procurve LAN/WAN Wireless Switch Dispositivos en cascada (Teléfono IP y PC ) Diferentes sistemas IP sobre la red. (PCs, telefónia, Camaras IP, etc..)

16 Para HP ProCurve, cada dispositivo conectado sobre un mismo puerto pertenece a un puerto lógico distinto. Este puerto lógico se encarga de Proveer procesos de autenticación separados para cada dispositivo. Aprovisionar un entorno de producción diferente para cada dispositivo La tecnología en puerto lógico se utiliza para la arquitectura de conexión de teléfonos y PCs de usuarios en cadena RADIUS Directorio HP Procurve LAN/WAN VLAN usuarios VLAN voz 802.1x/MAC + RFC4675 [VLAN_Voz] 802.1x + RFC3580 [VLAN_Producción]

17 Integrado en Windows 2008 Server Unifica y permite diferentes sistemas. Control granular avanzado. Para usuarios y dispositivos cableados, inalámbricos y remotos. Registro para auditoría. Dinámico y automático. Protección antes y después del acceso.

18 { Configuración NAP} Name Title Group

19 Planificación de Requerimientos Definir la política de salud requerida Definir los métodos de forzado requeridos Planificar la arquitectura NAP Planificar las excepciones Definir roles y responsabilidades Fases del despliegue Pruebas en Laboratorio Piloto Modo de Reporte Forzado diferido Forzado

20 David Cervigón Luna IT Pro Evangelist Microsoft Ibérica José Parada Gimeno IT Pro Evangelist Microsoft Ibérica

21

22 Introducción Instalación Configuración Roles & Funcionalidades Administración Server Core

23 Reduce el mantenimiento del software Solo se instalan los componentes esenciales Reduce la superficie de Ataque Menos cosas que parchear y asegurar Reduce la Gestión Menos cosas que gestionar / actualizar. Menor consumo de recursos Memoria (p.e 184 MB frente a 309 MB en VMs recién instaladas) Almacenamiento (Core: 1.6 GB / Completo: 7.6 GB, en instalación base, sin Pagefile.sys).

24 Server Core HardwareMínimoRecomendadoOptimo Procesador1 GHz2 GHz3 GHz Memoria512 MB1 GB Disco 8 GB 40 GB Server Completo Procesador1 GHz2 GHz3 GHz Memoria512 MB1 GB2 GB Disco8 GB40 GB80 GB

25 Opciones Mínimas de Instalación Poca superficie de ataque Interfaz por Línea de Comandos Set limitado de Roles de Servidor Roles de Servidor de Server Core Server Core Seguridad, TCP/IP, Sistema de Ficheros, RPC, y otros Sub-Systems del nucleo de Servidor. DNSDHCPFileAD Servidor With WinFx, Shell, Tools, etc. TSIAS Web Server Share Point ® Etc… Server, Server Roles (Por ejemplo, solo) GUI, CLR, Shell, IE, Media, OE, etc. Media Server Web Server

26 Server Core – Server Features Server Core (Command Prompt Only) Server Core – Server Roles Hardware Support Components – Disk, Network Adapter, etc. DNS DHCP File Server AD Infrastructure Features Command Shell, Domain Join, Event Log, Performance Counter Infra., WS-Mgmt, WMI Infra, Licensing Service, WFP, HTTP Support, IPSec Infrastructure Features Command Shell, Domain Join, Event Log, Performance Counter Infra., WS-Mgmt, WMI Infra, Licensing Service, WFP, HTTP Support, IPSec Resolved Category Dependencies – HAL, Kernel, VGA, Logon, etc. Core Subsystems Security (Logon Scenarios) Networking (TCP/IP), File Systems, RPC, Winlogon, Necessary Dependencies. Core Subsystems Security (Logon Scenarios) Networking (TCP/IP), File Systems, RPC, Winlogon, Necessary Dependencies. Thin Management Tools (Local and Remote) Configure IP Address, Join a Domain, Create Users, etc. Thin Management Tools (Local and Remote) Configure IP Address, Join a Domain, Create Users, etc. AD Lightweight Directory Service Print Server Media Services Windows Virtualization Server

27 Introducción Instalación Configuración Roles & Funcionalidades Administración Server Core

28 Seleccionar el modo de instación Server Core en el Unattend.xml: /IMAGE/Name Windows Longhorn Server Core

29 Introducción Instalación Configuración Roles & Funcionalidades Administración Server Core

30 No todas las tareas se pueden ejecutar mediante la línea de comando o de manera remota SCRegEdit.wsf esta incluido en Server Core para: Permitir las actualizaciones automáticas Permitir Sesiones de terminal en modo administración Permitir la administración remota del Monitor de IPSEC Configurar el peso y la prioridad de un registro DNS SRV Nuevo modificador /CLI que lista comandos y modificadores para tareas comunes Localizado en \Windows\System32

31 Introducción Instalación Configuración Roles & Funcionalidades Administración Server Core

32

33 Introducción Instalación Configuración Roles & Funcionalidades Administración de Server Core

34 Local CMD Algunas herramientas ofrecen interfaz gráfica Control intl.cpl, Control timedate.cpl Notepad & Regedit Task Manager WMI Remotas Inicio de sesión con Terminal Server: Como si fuera Local Gestión remota a través de las consolas remotas de los roles instalados Compmgmt.msc IIS Manager es la excepción (APPCMD) Windows Remote management y Windows Remote Shell (WINRM & WINRS) WMI Event Logging y Event Forwarding

35 { Server Core}

36 {Terminal Server } José Parada Gimeno ITPro Evangelist Microsoft Corporation

37 {Hoy no me puedo Conectar} TS Gateway

38 DMZ Internet Red Interna Terminal Server Hotel Firewall Externo Firewall Interno Casa Business Partner/ Client Site Other RDP Hosts Terminal Server Internet Terminal Services Gateway Server Network Policy Server Active Directory DC Tunel RDP sobre RPC/HTTPS Pasa tráfico RDP/SSL al TS Deshace el RPC/HTTPS

39 Usa cifrado estándar de la industria (SSL, HTTPS) El tráfico RDP sigue cifrado de extremo a extremo desde el cliente al servidor La salud del equipo cliente se puede chequear mediante NAP Se puede terminar el trafico SSL en dispositivos intermedios para detectar intrusiones o filtrar en la DMZ Autenticación mediante contraseña o smartcards

40 El puerto de SSL, 443 ofrece menos problemas de conectividad que el puerto RDP Https esta abierto de salida en casi todos los proxy. Https esta abierto de entrada en casi todos los Firewalls. En dispositivos con NAT, es sencillo redirigir el puerto 443.

41 1. Instalar el Role TS Gateway 2. Obtener un Certificado para el Servidor TS Gateway 3. Configurar el Certificado en IIS 4. Crear una política de acceso de clientes (CAP) 5. Crear una política de acceso a equipos (RAP) 6. Limitar el numero de conexiones por el TS Gateway (Opcional) 7. Monitorizar las conexiones por el TS Gateway

42 Fácil de configurar Requiere que se instale el certificado en el cliente Auto Firmado Se debe de comprar Los certificados Comodín se pueden usar para todos los roles de TS No hay que instalarlo en el cliente De un Tercero (ejem. Verisign) Complejo de configurar ( A no ser que ya se tenga un Certificate Server) La instalación en cliente se puede automatizar en los clientes gestionados Certificate Server Elegir los certificados Recuerda que el nombre del certificado ha de coincidir con el servidor: El certificado del Gateway ha de coincidir con el nombre externo de la máquina Los certificados de acceso Web tienen que coincidir con el nombre externo del sitio cuando se usa HTTPS – considerar el uso de HTTP internamente Un certificado SSL puedes ser usado para firmar RDP (No se necesita otro certificado) Los certificados comodín pueden usarse para simplificar, pero ojo con los riesgos.

43 { Configurar Terminal Server Gateway} Name Title Group

44 {No encuentro la Aplicación} TS Web Access

45 Publicación o despliegue de aplicaciones a través de una pagina Web.

46 Requiere que IIS este instalado en el equipo Solo es una página WEB, NO proporciona ningún tipo de canal de comunicaciones como en el caso de TS Gateway Genera automáticamente una Pagina Web con unas WebParts donde están la definición de la conexión RDP. Fácil de personalizar la Web en función del usuario que se conecte. El cliente ha de ser Vista SP1 o W2K8

47 El host RDP se puede situar tras un Firewall HTTP/S se usa para atravesar el Firewall Se chequean AD / ISA / NAP antes de permitir la conexión El escritorio y las aplicaciones no se ejecutan dentro de IE AD / IAS / NAP El Usuario navega a TS Web Access El usuario inicia la conexión HTTPS al TS Gateway Terminal Servers o XP / Vista TS Gateway TS Web Access Internet DMZRed Interna Network RDP Sobre HTTP/S se establece a TSG RDP 3389 a host Chequeo AD / IAS / NAP Cliente (TS) Vista RDC

48 Puede ser mediante paquetes RDP o MSI RDP es simplemente un fichero con los parámetros de conexión MSI es un mínimo paquete de instalación del RDP Se pueden publicar simplemente compartiéndolos en un directorio o mediante el sistema de distribución de software que queramos El DA es muy útil para desplegar estas aplicaciones personalizando en función del usuario.

49 Terminal Server Parece que los programas se ejecutan en local Requiere el cliente de acceso remoto

50 { Publicar Aplicaciones con TSWebAccess} Name Title Group

51 {No puedo ver ni Imprimir mis Foto } Easy Print Redirección Dispositivos

52 Terminal Server Remote Desktop Protocol Equipo Cliente

53 Para dispositivos Windows Portable Devices como reproductores MTP y cámaras PTP Configurable mediante políticas Computer Configuration\Administrative Templates\Windows Components\Terminal Services\Terminal Server\Device and Resource Redirection\Do not allow supported Plug and Play device Redirection Computer Configuration\Administrative Templates\System\Device Installation\Device Installation Restrictions También disponible para dispositivos utilizados en puntos de servicio con Windows embebido (Windows Embedded for Point of Service POS), que utilizan Microsoft POS para.NET 1.11

54 Terminal Server El usuario abre Microsoft Word via Terminal Services El documento se imprime en la impresora local TS Easy Print utiliza el driver del cliente y aparece el interface de Usuario completo para impresión. El usuario quiere imprimir un documento a su impresora local

55 Re-direccionamiento de impresoras locales en la aplicación que se ejecuta en el Terminal server Es un driver del servidor que actúa como Proxy enviando todos los trabajos de impresión al equipo local. No requiere la instalación de ningún driver en el servidor, solo hace falta W2K8 Requiere en cliente RDC 6.1 y el Framework 3.0 SP1 (estará disponible para XP y 2003)

56 {Redireccionamiento de dispositivios e Impresión Sencilla} Name Title Group

57 {Tengo que volver a escribir mis credenciales} Otras capacidades Autenticación y SSO

58 Terminal Server Windows Server Windows Server El Usuario Remoto Conecta via Terminal Services TS: El Servidor 1 contacta con el Session Broker para determinar donde ha de iniciar sesión el usuario Session Broker indica al Servidor 1 que este usuario no tiene sesión y que el Servidor 2 tiene menos carga El Servidor 1 indica al cliente vía RDP que ha de redirigirse al Servidor 2 El Cliente es redirigido al Servidor 2 Se Crea la Sesión en el Servidor 2 para el cliente Session Broker

59 Permite la conexión al nodo que albergue menos sesiones y pesar cada servidor para que alberguen mas o menos sesiones en función de su rendimiento. Guarde el estado de la sesión y en caso de problemas en la conexión, nos permite conectarnos a la sesión ya establecida en el mismo nodo. Permite el drenado de sesiones en un nodo para poder ponerlo fuera de línea para mantenimiento etc.

60 Monitor Spanning Desktop Experience Desktop Composition Font Smoothing Display Data Prioritization

61 Terminal Server Active Directory

62 Autenticación a nivel de Red: Se realiza la autenticación del usuario antes de que se conecte a la sesión y se muestre el inicio de sesión en el servidor de Terminales Evita posibles ataques de DOS Autenticación de Servidor. Verifica que nos conectamos al servidor correcto y evita que nos conectemos a una maquina maliciosa SSO: evita tener que volver a introducir nuestras credenciales

63 { Single Sign On} Name Title Group

64 Seguimiento y reporte de las licencias por usuario. Las licencias por equipo se pueden revocar Mejoras en el Gestor de Licencias que mejoran el diagnostico y la resolución de posibles problemas. Proveedor WMI para poder administrar el Servidor de Licencias

65 Las nuevas funcionalidades hacen que el sistema tenga mas carga IE7, Shell, Menus etc 2008 vs 2003 – Dimensiona menos usuarios por Servidor Proporciona mas rendimiento – Permite mas usuarios Ideal si con x86 se alcanza el limite de la memoria del sistema No todas las aplicaciones funcionan en x64 Optimizado para $ por usuario – no usuario por máquina X64 – Permite escalar Si habilitamos los temas de escritorio impactaremos en el número de usuarios Temas de Escritorio Alta resolución y multi-monitor usan mas memoria – Problema para x86 Color en 32bit – mejor uso del ancho de banda para escenarios que los necesiten (PPT, IE) Font Smoothing impacta en el ancho de banda – usar solo en LAN Cantidad de colores y resolución Ayuda a acelerar los procesos huidos Permite la gestión de perfiles por sesión Windows System Resource Manager

66 Guía paso a paso Terminal Server d=518D870C-FA3E-4F6A-97F5- ACAF31DE6DCE&displaylang=en Technical Library ry/61d24255-dad1-4fd2-b4a3- a91a22973def1033.mspx?mfr=true Terminal Server Blog Foro orumID=580&SiteID=17

67 TechCenter de Windows Server ult.mspx Webcasts grabados sobre Windows Server ?id=1 Webcasts grabados otras tecnologías Microsoft Foros técnicos

68 Guía paso a paso W2K8 d=518D870C-FA3E-4F6A-97F5- ACAF31DE6DCE&displaylang=en Librería Técnica ry/61d24255-dad1-4fd2-b4a3- a91a22973def1033.mspx?mfr=true Foro de Seguridad W2K8 orumID=581&SiteID=17

69 TechCenter de Windows Server ult.mspx Próximos webcasts en vivo Webcasts grabados sobre Windows Server ?id=1 Webcasts grabados otras tecnologías Microsoft Foros técnicos

70


Descargar ppt "José Parada Gimeno Microsoft ITPro Evangelist"

Presentaciones similares


Anuncios Google