Документ 5027322

реклама
Станкевич Александр
MVP (Enterprise Security)
Microsoft TechDays
Ключевые моменты
Удалённый доступ через TS Gateway
TS Gateway и NAP
Microsoft TechDays
Доверие серверу
MitM и DoS-атаки
Доверие RDP-файлам
Шифрование соединений
Печать из приложений
Простой вход для пользователей
Microsoft TechDays
Основной шаг вперёд
в аутентификации
Простой и
безопасный вход
Уменьшает
поверхность атак
Используется новый
протокол Credential
Security Service
Provider (CredSSP)
Microsoft TechDays
Terminal
Server
Active Directory
Microsoft TechDays
Станкевич Александр
MVP (Enterprise Security)
Microsoft TechDays
Защита от MitM-атак
Сервер аутентифицирован
Защита от DoS-атак
Пользователь аутентифицируется прежде
установления полного соединения
Новое управление учётными данными
Стандартное окно запроса
Microsoft TechDays
Доверие точке назначения
Использование сертификатов для
подписывания RDP-файлов
Неподписанные или недоверенные RDPфайлы вызывают предупреждение
Microsoft TechDays
Станкевич Александр
MVP (Enterprise Security)
Microsoft TechDays
Терминальные сессии по умолчанию используют шифрование
Remote Desktop Protocol (RDP)
RDP не даёт возможности аутентифицировать терминальный
сервер, что является потенциальной возможностью для MitM-атак
Использование Transport Layer Security (TLS) 1.0 для серверов
уменьшает эти риски
Не совместимо с NLA
Наилучшая, обоюдно
поддерживаемая защита
Наилучшая защита, но
может не
поддерживаться
старыми клиентами
Microsoft TechDays
По умолчанию, подключения шифруются наивысшим
из доступных уровней (128 бит)
Обычно изменяется для поддержки старых клиентов
56 битное шифрование;
используется только в
устаревших окружениях
По умолчанию; используется
максимальная длина ключа,
поддерживаемая обоюдно
Требуется 128 битное
шифрование; не
поддерживающие клиенты
не смогут подключиться
Использование алгоритмов
FIPS 140-1; не
поддерживающие их клиенты
не смогут подключиться
Microsoft TechDays
Больше не требуется устанавливать
драйвера принтеров на самих серверах
Драйвера устанавливаются только на
клиентах
Не возникает проблем с отсутствием 64-х
разрядных драйверов и поддержкой
устаревших принтеров
Простота использования
Уменьшается поверхность атак
Microsoft TechDays
Позволяет доменным пользователям войти в систему
однократно и получать доступ к терминальным
серверам и приложения без запроса учётных данных
Требуется
Терминальные службы Windows Server 2008
Windows Server 2008, Windows Vista, Windows XP SP3*
Рабочие станции должны быть в домене
Должно быть включено через групповые политики
*CredSSP по умолчанию не включен в Windows XP SP3
Microsoft TechDays
Станкевич Александр
MVP (Enterprise Security)
Microsoft TechDays
Ключевые моменты
Удалённый доступ через TS Gateway
TS Gateway и NAP
Microsoft TechDays
До Windows Server 2008 было два
варианта для доступа к терминальным
службам из вне:
Открыть порт 3389
Установить VPN
С TS Gateway можно:
Использовать только 443 порт без VPN
Microsoft TechDays
Правила доступа внутри сети не всегда
подходят для интернета
Настройте подходящие политики
авторизации
Кто может использовать TS Gateway
Какие ресурсы они могут использовать
Microsoft TechDays
Разрешённые методы
аутентификации
Каким пользователям
На каких компьютерах
Microsoft TechDays
Включить или отключить
перенаправление
Какие устройства могут
быть перенаправлены
Microsoft TechDays
К каким группам компьютеров
Active Directory можно
подключаться…
… или группам TSG
Через какие порты может
происходить подключение
Microsoft TechDays
RDP-хосты теперь могут располагаться за Firewall’ом
Для прохода через Firewall используется HTTP/S
AD/NAP проверяются до разрешения соединения
Требуется новый клиент Remote Desktop Connection AD/NAP
Клиент
RDC
TS Gateway
Проверка AD/NAP
Инициирует
RDPHTTP/S
черезподключение
HTTP/S установлено
к TS Gateway
с TSG
RDP 3389 с хостом
Терминальные
серверы или
XP/Vista
Пользователь входит на TS Web Access
TS Web
Access
Интернет
DMZ
Microsoft TechDays
Внутренняя сеть
Станкевич Александр
MVP (Enterprise Security)
Microsoft TechDays
TS Gateway – это возможность
туннелирования RDP-трафика внутри
HTTPS
Предоставляет пользователям
возможность простого прохода через
NAT, Firewall и Proxy
Администраторы могут управлять кто и к
чему может подключаться при помощи
Connection Authorization Policies и
Resource Authorization Policies
Microsoft TechDays
Ключевые моменты
Удалённый доступ через TS Gateway
TS Gateway и NAP
Microsoft TechDays
CAP и RAP не могут контролировать
здоровье конечных точек
TSG не может предотвратить
подключение машин без критических
обновлений или антивируса
TSG можно совместить с Network
Access Protection для решения
управления здоровьем клиентов
Microsoft TechDays
Основанная на стандартах платформа
для управления сетевым доступом, на
основе здоровье конечных точек
TSG может быть интегрирован в крупную
инфраструктуру NAP или NAP может
быть добавлен только для поддержки
удалённого доступа
Проверка статуса автоматических
обновлений, антивируса, Firewall’а и
обновлений безопасности прямо из
коробки.
Microsoft TechDays
Клиент не удовлетворяет
политике, подключается к
TS Gateway, предаёт SoH
TS Gateway проверяет SoH с
помощью NAP; NAP говорит
в карантин
TS Gateway отклоняет
подключение
Клиент удовлетворяет
политике, передаёт TS
Gateway новый SoH
TS Gateway проверяет SoH с
помощью NAP; NAP говорит
разрешить доступ
Microsoft TechDays
Терминальные службы Windows Server
2008 предоставляют большую
безопасность и новые возможности,
такие как NLA, SSO и TSG
Эти технологии могут быть совмещены
для создания дружественного решения
виртуализации представлений, которое
работает безопасно из любой точки
Возможности терминальных служб могут
быть совмещены с NAP для увеличения
безопасности и контроля
Microsoft TechDays
Терминальные службы в Windows Server 2008
http://www.microsoft.com/windowsserver2008/terminalservices/default.mspx
Блог команды терминальных служб
http://blogs.msdn.com/ts/
Безопасный доступ, где бы вы ни находились
http://www.microsoft.com/technet/technetmag/issues/20
07/11/SecurityWatch/default.aspx
Microsoft TechDays
© 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.
The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market
conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation.
MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
Microsoft TechDays
Скачать