Download - Thorsten Rood Principal Architect, MCITP, MCSE-M/-S, CCIA net.workers AG (Controlware Gruppe)
![Page 1: Thorsten Rood Principal Architect, MCITP, MCSE-M/-S, CCIA net.workers AG (Controlware Gruppe)](https://reader035.vdocuments.mx/reader035/viewer/2022062307/55204d7d49795902118cdc7d/html5/thumbnails/1.jpg)
Mobile Anwendungen und starke Authentifizierung{ Terminalservices, sicher! }Thorsten Rood
Principal Architect, MCITP, MCSE-M/-S, CCIA
net.workers AG (Controlware Gruppe)
![Page 2: Thorsten Rood Principal Architect, MCITP, MCSE-M/-S, CCIA net.workers AG (Controlware Gruppe)](https://reader035.vdocuments.mx/reader035/viewer/2022062307/55204d7d49795902118cdc7d/html5/thumbnails/2.jpg)
Sichere mobile AnwendungenAgenda
Fallstudie
• Situationsbeschreibung• Die neue Ära des Central Computing
Komponenten
• Zweifaktoren-Authentifizierung• Windows Server 2008 Terminaldienste• ISA Server 2006
Systemlösung
• Architektur• Demo
![Page 3: Thorsten Rood Principal Architect, MCITP, MCSE-M/-S, CCIA net.workers AG (Controlware Gruppe)](https://reader035.vdocuments.mx/reader035/viewer/2022062307/55204d7d49795902118cdc7d/html5/thumbnails/3.jpg)
Sichere mobile AnwendungenEine typische Konstellation
Hr. Barnes, Leiter der NetzwerkabteilungWeb 2.0 Verfechter/Enthusiast,Keine VPN-Anbindung für unbekannte Endgeräte
Hr. Schneider, Vertriebsleiter DirektkundengeschäftDie Aufgabe: Zugriff auf neues CRM-Modul für Vertriebsaußen-dienst und freie Makler binnen einer 1 Woche (#350 Benutzer)
Fr. Piepenbrink, Leiterin Benutzerservice und IT-LogistikKeine Strategie für Softwarebereitstellung an Heimarbeitsplätzen, Versorgung der Firmen-Laptops benötigt Vorlauf und ZeitHr. Scott, Sicherheitsbeauftragter im KonzernstabDas ist mehr als nur OWA: keine Replikation vertraulicher Kundendaten auf entfernte Systeme, starke Authentifizierung für den Zugriff auf Konzerneigentum
![Page 4: Thorsten Rood Principal Architect, MCITP, MCSE-M/-S, CCIA net.workers AG (Controlware Gruppe)](https://reader035.vdocuments.mx/reader035/viewer/2022062307/55204d7d49795902118cdc7d/html5/thumbnails/4.jpg)
Sichere mobile AnwendungenDer InteressenkonfliktKurze Reaktionszeiten, hohe Erwartungshaltung (SOA)
Häufige Anwendungsaktualisierungen (Updates)Systemvoraussetzungen (Rüstkosten)Netzlastige Client-/Serverprotokolle (Bandbreite)Funktional begrenzte Web-BenutzerschnittstellenReplizierte vertrauliche Daten (Diebstahl, Komplexität)Schwache Benutzerkennwörter und RichtlinienFreie Gerätewahl (Laptops, Heimarbeitsplätze, Kooperationsrechner, öffentliche Terminals)Branchenspezifische formale Anforderungen
Hr. Klein, Anwendungs- und InfrastrukturexperteTerminalservices sind erwachsen geworden: Mit WS08 können wir alle Grundfunktionen in wenigen Tagen realisieren – mit Bordmitteln!
![Page 5: Thorsten Rood Principal Architect, MCITP, MCSE-M/-S, CCIA net.workers AG (Controlware Gruppe)](https://reader035.vdocuments.mx/reader035/viewer/2022062307/55204d7d49795902118cdc7d/html5/thumbnails/5.jpg)
Sichere mobile AnwendungenGrobarchitektur: Der Weg zum Ziel
Sichere mobile Anwendungen
ISA2006
WS2008
2F/OTP
Funktionalität
Schutz
Authentizität
Integrität
Mobilität
ad-hoc Bereitstellung
![Page 6: Thorsten Rood Principal Architect, MCITP, MCSE-M/-S, CCIA net.workers AG (Controlware Gruppe)](https://reader035.vdocuments.mx/reader035/viewer/2022062307/55204d7d49795902118cdc7d/html5/thumbnails/6.jpg)
{ Zweifaktoren-Authentifizierung }
Schritt 1
![Page 7: Thorsten Rood Principal Architect, MCITP, MCSE-M/-S, CCIA net.workers AG (Controlware Gruppe)](https://reader035.vdocuments.mx/reader035/viewer/2022062307/55204d7d49795902118cdc7d/html5/thumbnails/7.jpg)
Zweifaktoren-AuthentifizierungEinführung
Starke eindeutige IdentifikationKombination aus Besitz und WissenBeide Faktoren nur zusammen nutzbarErlaubt schwache Windows-Anmeldeinformationen, wenn als Primärschutz eingesetzt
BeispieleBankkarten (Magnetstreifen & PIN)Smartcard (Chip & PIN)USB-Token („Smartcard über USB“ & PIN)Schlüsselanhänger, PDA-Software(Eigenständige HW & PIN)
Keine Voraussetzungen für das Endgerät!
Hybride Produktlösungen
![Page 8: Thorsten Rood Principal Architect, MCITP, MCSE-M/-S, CCIA net.workers AG (Controlware Gruppe)](https://reader035.vdocuments.mx/reader035/viewer/2022062307/55204d7d49795902118cdc7d/html5/thumbnails/8.jpg)
Zweifaktoren-AuthentifizierungEinmalpassworte (Einführung)
Wählbare Geräte-PIN in BenutzerbesitzGerätespezifische Tokencode-SequenzEinmalpasswort (OTP): Verkettung vonPIN und Tokencode2741 + 467132 = 2741467132
Jedes OTP verfällt nach AuthentifizierungJeder Tokencode verfällt bei Anmeldeversuch
Zentraler Serverdienst entscheidetüber Benutzer, Token(code)s und PINs
![Page 9: Thorsten Rood Principal Architect, MCITP, MCSE-M/-S, CCIA net.workers AG (Controlware Gruppe)](https://reader035.vdocuments.mx/reader035/viewer/2022062307/55204d7d49795902118cdc7d/html5/thumbnails/9.jpg)
Zweifaktoren-AuthentifizierungEinmalpassworte (Implementierung)
Verschiedene Patentgrundlagen
IntegrationsvoraussetzungenRADIUS-Schnittstelle (100% aller Hersteller)RSA SecurID „New PIN“ und „Next Token“ erfordert API-Konformität
Strategie Ereignissynchrone Produkte
Zeitsynchrone Produkte
Tokencode-ablauf
Bei Benutzung („inkrementell")
Definiertes Zeitfenster
Schutz gegen Brute-force
Kurzfristige Zurückweisung
Prüfung auf nächsten Token
![Page 10: Thorsten Rood Principal Architect, MCITP, MCSE-M/-S, CCIA net.workers AG (Controlware Gruppe)](https://reader035.vdocuments.mx/reader035/viewer/2022062307/55204d7d49795902118cdc7d/html5/thumbnails/10.jpg)
{ Windows Server 2008 Terminaldienste }
Schritt 2
![Page 11: Thorsten Rood Principal Architect, MCITP, MCSE-M/-S, CCIA net.workers AG (Controlware Gruppe)](https://reader035.vdocuments.mx/reader035/viewer/2022062307/55204d7d49795902118cdc7d/html5/thumbnails/11.jpg)
WS08 TerminaldiensteErweiterte Funktionen der Plattform
≤WS03R2
Alle bekannt
en TS Plattfor
m-funktion
en
Lastver-teilung
Integrierte
Farmlogik
Sitzungs-
verzeichnis
(TSSD)
Remote App
Kein Desktop-design
TSEasy Print
TS Web Access (TSWA)
Web-browser-oberfläc
he
An-wendun
gs-portal
TS Gateway
(TSG)
Sicherer externer Zugriff
Richtlinien
![Page 12: Thorsten Rood Principal Architect, MCITP, MCSE-M/-S, CCIA net.workers AG (Controlware Gruppe)](https://reader035.vdocuments.mx/reader035/viewer/2022062307/55204d7d49795902118cdc7d/html5/thumbnails/12.jpg)
WS08 TerminaldiensteErweiterte Funktionen der Plattform
IE &RDP 6.x
TSSD
DC
Last-verteile
r
TSG
TSWA
TS-Farm
PerimeterInternet Backbone
https
LDAP
TLS RDP
WMI
![Page 13: Thorsten Rood Principal Architect, MCITP, MCSE-M/-S, CCIA net.workers AG (Controlware Gruppe)](https://reader035.vdocuments.mx/reader035/viewer/2022062307/55204d7d49795902118cdc7d/html5/thumbnails/13.jpg)
WS08 TerminaldiensteLastverteilung
FarmlogikKernbestandteil der TerminalservicesIntegrierte WartungsfunktionKeine Enterprise Serverlizenzen erforderlichKein NLB erforderlichHardware-Unterstützung optional
Sitzungsverzeichnis speichert nun Serverlasten und getrennte Verbindungen
![Page 14: Thorsten Rood Principal Architect, MCITP, MCSE-M/-S, CCIA net.workers AG (Controlware Gruppe)](https://reader035.vdocuments.mx/reader035/viewer/2022062307/55204d7d49795902118cdc7d/html5/thumbnails/14.jpg)
WS08 TerminaldiensteRemote App
Umgebender Desktop entfälltIntuitive Benutzerführung bei „Rich Client“
Größendynamische, verschiebbare FensterInfobereichTS Easy Print (treiberloses Drucken,alle clientseitigen Sonderfunktionen)Desktop Composition Support (Areo) für Vista
Anwendungsliste für MSI und TSWA
![Page 15: Thorsten Rood Principal Architect, MCITP, MCSE-M/-S, CCIA net.workers AG (Controlware Gruppe)](https://reader035.vdocuments.mx/reader035/viewer/2022062307/55204d7d49795902118cdc7d/html5/thumbnails/15.jpg)
WS08 TerminaldiensteRemote App
Terminal-server
Gestern Heute
RDP≤5.2
RDP6.1
![Page 16: Thorsten Rood Principal Architect, MCITP, MCSE-M/-S, CCIA net.workers AG (Controlware Gruppe)](https://reader035.vdocuments.mx/reader035/viewer/2022062307/55204d7d49795902118cdc7d/html5/thumbnails/16.jpg)
WS08 TerminaldiensteTS Web Access (TSWA)
IIS7: dynamische Anwendungsliste(ASP.NET Webpart)Grundsicherheit
Standard https VerschlüsselungWindows AuthentifizierungKein Download von .rdp Dateien(Instanziierung durch JavaScript)Signierter .rdp Inhalt (vertrauenswürdige, unmodifizierte Parametrisierung)
Startet direkt die RemotedesktopverbindungDesktop-Zugriffsszenario frei anpassbar
![Page 17: Thorsten Rood Principal Architect, MCITP, MCSE-M/-S, CCIA net.workers AG (Controlware Gruppe)](https://reader035.vdocuments.mx/reader035/viewer/2022062307/55204d7d49795902118cdc7d/html5/thumbnails/17.jpg)
WS08 TerminaldiensteTS Web Access (TSWA)
![Page 18: Thorsten Rood Principal Architect, MCITP, MCSE-M/-S, CCIA net.workers AG (Controlware Gruppe)](https://reader035.vdocuments.mx/reader035/viewer/2022062307/55204d7d49795902118cdc7d/html5/thumbnails/18.jpg)
WS08 TerminaldiensteTS Gateway (TSG)
IIS7 PlugIn: TLS-Verschlüsselung für Remotedesktopverbindung
RDP-über-httpsWeiterentwicklung der „Outlook Anywhere“- ArchitekturStandardprotokoll und PortKeine statische öffentliche IP erforderlich
Verbindungs- und RessourcenrichtlinienNAP-Prüfung optionalErlaubt Zugang zu mehreren Terminalservern,-farmen und PC-Desktops über eine einzigeIP-Adresse
![Page 19: Thorsten Rood Principal Architect, MCITP, MCSE-M/-S, CCIA net.workers AG (Controlware Gruppe)](https://reader035.vdocuments.mx/reader035/viewer/2022062307/55204d7d49795902118cdc7d/html5/thumbnails/19.jpg)
WS08 TerminaldiensteTS Gateway (TSG)
TSG Resource Authoritzation Policy Benutzerausschlüsse Serverausschlüsse Ports
Terminal-server
RpcProxy.dll
ConnectionAuthorization Policy SoH (NAP) Authentifizierungstyp Geräteumleitung Benutzerausschlüsse ClientausschlüsseIIS7
Bei öffentlichen Clients SoH
ggf. sparsam einsetzen!
![Page 20: Thorsten Rood Principal Architect, MCITP, MCSE-M/-S, CCIA net.workers AG (Controlware Gruppe)](https://reader035.vdocuments.mx/reader035/viewer/2022062307/55204d7d49795902118cdc7d/html5/thumbnails/20.jpg)
{ ISA Server 2006 (Forefront Edge) }
Schritt 3
![Page 21: Thorsten Rood Principal Architect, MCITP, MCSE-M/-S, CCIA net.workers AG (Controlware Gruppe)](https://reader035.vdocuments.mx/reader035/viewer/2022062307/55204d7d49795902118cdc7d/html5/thumbnails/21.jpg)
ISA Server 2006Webveröffentlichung
Vollständige http(s) Behandlung auf Layer 7Geht weit über NAT/PAT hinaus: „Reverse Proxying“Komplexe Protokollprüfung auf Ebene von URL, Methode und InhaltAutomatische Hyperlink-Anpassung: einzelne externe Hostadresse für den Zugriff auf verteilte interne Webdienste im Backend
SSL-Terminierung und/oder -Überbrückung, Kostenreduktion bei öffentlichen ZertifikatenErlaubt den Umzug von Domänenmitgliedern aus dem Perimeter (TSWA und TSG) in das Backbone
![Page 22: Thorsten Rood Principal Architect, MCITP, MCSE-M/-S, CCIA net.workers AG (Controlware Gruppe)](https://reader035.vdocuments.mx/reader035/viewer/2022062307/55204d7d49795902118cdc7d/html5/thumbnails/22.jpg)
ISA Server 2006Webveröffentlichung
Perimeter/BackboneInternet
ISA
MSX
TSWA/TSG
WSS/SPS/ts/*/rpc/*
/*
/owa/*/public/*/exchange/*/exchweb/*
www.meinefirma.de
Filter: http(s) Überbrückung
, Inhalt, Methode, Pfad, …
Client
![Page 23: Thorsten Rood Principal Architect, MCITP, MCSE-M/-S, CCIA net.workers AG (Controlware Gruppe)](https://reader035.vdocuments.mx/reader035/viewer/2022062307/55204d7d49795902118cdc7d/html5/thumbnails/23.jpg)
ISA Server 2006Authentifizierung (Forms)
Identitätsprüfung vor InhaltszugriffDrittanbieteroptionen: LDAP, RADIUS, OTP-RADIUSund nativ RSA SecurIDIndividuelle Anpassung des Anmelde-Layout möglichNur eine einzige anonyme URL: CookieAuth.dll
Alle relevanten Anfragen werden vom ISA geprüftIdentitätserzwingung am Backend ermöglicht SSO („Credential delegation“)Verifikation des Benutzerstatus über temporären CookieISA Hotfix 933869 erlaubt skriptbasierten Zugriff auf Cookie („RDP ActiveX in bridged scenarios“)cscript DisableHttpOnlyAuthCookies.vbs /WebListener:NameofWebListener /Value:False
![Page 24: Thorsten Rood Principal Architect, MCITP, MCSE-M/-S, CCIA net.workers AG (Controlware Gruppe)](https://reader035.vdocuments.mx/reader035/viewer/2022062307/55204d7d49795902118cdc7d/html5/thumbnails/24.jpg)
ISA Server 2006Authentifizierung (Forms)
ISA TSWAClient
DCRADIUS/RSA
CookieAuth.dll
Perimeter/BackboneInternet
Anfrage
Cookie-Prüfung, Identitäts-erzwingung
1 2 4
3
![Page 25: Thorsten Rood Principal Architect, MCITP, MCSE-M/-S, CCIA net.workers AG (Controlware Gruppe)](https://reader035.vdocuments.mx/reader035/viewer/2022062307/55204d7d49795902118cdc7d/html5/thumbnails/25.jpg)
{ Wie allesineinander greift… }
Systemlösung
![Page 26: Thorsten Rood Principal Architect, MCITP, MCSE-M/-S, CCIA net.workers AG (Controlware Gruppe)](https://reader035.vdocuments.mx/reader035/viewer/2022062307/55204d7d49795902118cdc7d/html5/thumbnails/26.jpg)
Sichere mobile AnwendungenArchitektur
DC & IAS
TSWA/TSGTSSD
TS-FarmISA
Internet Backbone
Client
WMI/RDP
RPC
https/RPC-over-https
LDAP
LDAP
RADIUS/LDAP
https/TLS
Auch WS03 möglich
![Page 27: Thorsten Rood Principal Architect, MCITP, MCSE-M/-S, CCIA net.workers AG (Controlware Gruppe)](https://reader035.vdocuments.mx/reader035/viewer/2022062307/55204d7d49795902118cdc7d/html5/thumbnails/27.jpg)
Sichere mobile AnwendungenLeistungsmerkmale der Systemlösung
HärtungStrenge Begrenzung der zulässigen http(s) AnfragenKein direkter Zugriff mehr auf TSWA und insbesondere TSG (unterstützt keine 3rd-Party Authentifizierung)
SicherheitZugang nur mit OTP und DomänenanmeldungKeine zusätzlichen Domänenmitgliedsserver im Perimeter-BereichNebeneffekt: ein Perimeternetzwerk ist nicht mehr zwingend erforderlich
Ergonomie und FunktionInline-Login im TSWA-Stil, keine AnmeldedialogboxenAnwendungszugriff von Systemen mit RDP 6.1 Client ohne VorbereitungenNebeneffekt: auch OWA nun OTP-befähigt
![Page 28: Thorsten Rood Principal Architect, MCITP, MCSE-M/-S, CCIA net.workers AG (Controlware Gruppe)](https://reader035.vdocuments.mx/reader035/viewer/2022062307/55204d7d49795902118cdc7d/html5/thumbnails/28.jpg)
{ Wie allesineinander greift… }
Thorsten RoodPrincipal Architectnet.workers AG
Demo
![Page 29: Thorsten Rood Principal Architect, MCITP, MCSE-M/-S, CCIA net.workers AG (Controlware Gruppe)](https://reader035.vdocuments.mx/reader035/viewer/2022062307/55204d7d49795902118cdc7d/html5/thumbnails/29.jpg)
Sichere mobile AnwendungenMaterialienWhitepaper: Einmalpasswortschutz für WS08-TSWA
http://www.lonewolf-productions.de/specials/TSWA-OTP.pdf ISA Server 2006 form: Inline Anmeldung für WS08-TSWA http://www.lonewolf-productions.de/specials/TSWA-OTP.zip WS08: TS Session Broker Lastverteilung http://technet2.microsoft.com/windowsserver2008/en/library/f9fe9c74-77f5-4bba-a6b9-433d823bbfbd1033.mspxWS08: TS Remote App…/library/61d24255-dad1-4fd2-b4a3-a91a22973def1033.mspxWS08: TS Einrichtung von NLB…/library/6e3fc3a6-ef42-41cf-afed-602a60f562001033.mspxISA2K6: skriptbasierter Zugriff auf Cookies http://support.microsoft.com/kb/933718http://support.microsoft.com/kb/933869http://msdn2.microsoft.com/en-us/library/ms533046.aspxhttp://msdn2.microsoft.com/en-us/library/aa384710.aspx Kontaktmailto:[email protected] / mailto:[email protected]
![Page 30: Thorsten Rood Principal Architect, MCITP, MCSE-M/-S, CCIA net.workers AG (Controlware Gruppe)](https://reader035.vdocuments.mx/reader035/viewer/2022062307/55204d7d49795902118cdc7d/html5/thumbnails/30.jpg)
{ Was nochnicht gesagt wurde… }
Thorsten RoodPrincipal Architectnet.workers AG
Fragen? Bitte!
![Page 31: Thorsten Rood Principal Architect, MCITP, MCSE-M/-S, CCIA net.workers AG (Controlware Gruppe)](https://reader035.vdocuments.mx/reader035/viewer/2022062307/55204d7d49795902118cdc7d/html5/thumbnails/31.jpg)
Thorsten RoodPrincipal Architectnet.workers AG
Danke!
![Page 32: Thorsten Rood Principal Architect, MCITP, MCSE-M/-S, CCIA net.workers AG (Controlware Gruppe)](https://reader035.vdocuments.mx/reader035/viewer/2022062307/55204d7d49795902118cdc7d/html5/thumbnails/32.jpg)
Windows Server 2008weitere Ressourcen
Windows Server 2008 Tech Centerhttp://www.microsoft.com/germany/technet/prodtechnol/windowsserver/2008/default.mspx
Windows Server 2008 Webcasts:http://www.microsoft.com/germany/technet/webcasts/windowsserver2008.mspx
Windows Server 2008 Produktseite:http://www.microsoft.com/germany/windowsserver2008/default.mspx
Microsoft Virtualization:http://www.microsoft.com/virtualization/default.mspx
![Page 33: Thorsten Rood Principal Architect, MCITP, MCSE-M/-S, CCIA net.workers AG (Controlware Gruppe)](https://reader035.vdocuments.mx/reader035/viewer/2022062307/55204d7d49795902118cdc7d/html5/thumbnails/33.jpg)
Ask the ExpertsWir freuen uns auf Ihre Fragen: Technische Experten stehen Ihnen während der gesamten Veranstaltung in der Haupthalle zur Verfügung.
![Page 34: Thorsten Rood Principal Architect, MCITP, MCSE-M/-S, CCIA net.workers AG (Controlware Gruppe)](https://reader035.vdocuments.mx/reader035/viewer/2022062307/55204d7d49795902118cdc7d/html5/thumbnails/34.jpg)
© 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.
The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after
the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.