SRV011
10 Razões para se preparar para
o Windows Server “Longhorn”
Nuno Bernardes
nuno.bernardes@vodafone.com System Engineer, Vodafone GUPADE
Pedro Monteiro
pedro.monteiro@vodafone.com System Engineer, Vodafone GUPADE
Patrocinadores
Sistema Operativo mais robusto Gestão por politicas
Mais Controlo Aumento de Protecção
Maior Flexibilidade Servidor de virtualização integrado Acesso aplicational de qualquer local
10 Razões para se preparar para
o Windows Server “Longhorn”
Mais Controlo Maior Flexibilidade Aumento de Protecção 1. Server Management 2. Windows PowerShell
3. Internet Information Services 7.0 4. Server Hardening
5. Server Core
6. Network Access Protection (NAP) 7. Failover Clustering
8. Implementação em locais remotos 9. Virtualização do Windows Server 10. Novas funcionalidades de Terminal
Services
Windows Server 2003
Instalação, segurança, e gestão por perfis através de diferentes ferramentas
Setup do Windows Server 2003
Pós-Setup das actualizações de Segurança
GUI “Manage Your Server”
GUI “Configure Your Server”
GUI “Add/Remove Windows Components”
GUI “Computer Management”
GUI “Security Configuration Wizard”
Instalação do Produto
Configuração Inicial
Administração
Administração do Windows
Server “Longhorn”
Server Manager
Providencia out-of-the-box uma excelente experiência emadicionar, configurar e gerir os perfis do servidor 1. Experiência “Out of box”
Ajuda o utilizador a completar e operar o servidor guiando-o através das tarefas necessárias
2. Experiência única para configurar o Windows Server “Longhorn”
Ajuda o utilizador a adicionar e remover papeis e funcionalidades do servidor de uma forma segura 3. Portal para Administração
Server Manager
Uma ferramenta baseada em linha de
comando (shell) que facilita o controlo e
automatização de tarefas para os
Administradores de Windows
Internet Information Services (IIS) 7.0
Mais do que um servidor Web, o Internet Information Services 7.0 providencia uma forma segura e fácil de gerir o desenvolvimento e alojamento de aplicações Web no servidorArquitectura Modular Ferramentas de Administração integradas e eficientes Poderosas funcionalidades de diagnostico Extensibilidade das APIs Modelo de configuração distribuído
Melhoramentos IIS 7.0 Optimizada & Segurança
Actualizações Customização de soluções Rapidez na implementação de soluções Administradores e programadores motivados Aplicações menos tempo paradas
IIS 7 Arquitectura Modular
Instale apenas as funcionalidades que
precisa
Por defeito são instalados 40 componentes Superfície de ataque reduzida durante a instalação
Actualize apenas as funcionalidades que
tem instaladas
Implemente um “streamlined” Web Server
Melhoria no desempenhoIIS 7 Maior Extensibilidade
As funcionalidade do IIS 7 são desenvolvidas em APIs públicas
Encoraja a comunidade a extender, alterar, e adicionar novas funcionalidades
Uma maior integração entre o IIS e o ASP.NET Os serviços ASP.NET funcionam para todos os tipos de aplicações e conteúdos
Win32 e .NET Framework APIs nativas Produtividade para o programador que utiliza .NET Suporte para extensões de terceiros
Estender a configuração, ferramenta de administração, event logging
IIS7 Experiência na Administração
Gestão remota sobre HTTP Funcionalidades do IIS e do ASP.NET são facilmente encontradas e usadas
Programadores e donos de sites podem mais facilmente delegar auto-criação de tarefas
Internet Information
Services 7.0
10 Razões para se preparar para
o Windows Server “Longhorn”
Mais Controlo Maior Flexibilidade Aumento de Protecção 1. Server Management 2. Windows PowerShell
3. Internet Information Services 7.0 4. Server Hardening
5. Server Core
6. Network Access Protection (NAP) 7. Failover Clustering
8. Implementação em locais remotos 9. Virtualização do Windows Server 10. Novas funcionalidades de Terminal
D D D
Server Hardening
(robustez do servidor)Defesa do modelo de serviços
Reduz o risco nos níveis
mais altos
Segmentação
de serviços
Aumento do nº
de níveis
Kernel Drivers D D User-mode Drivers D D D Service 1 Service 2 Service 3 Service … Service … Service A Service BAlteração de serviços no
Windows Server “Longhorn”
Windows XP SP2 / Server 2003 R2 Windows Vista / Windows Server “Longhorn”
Account Services Account Services
LocalSystem Wireless Configuration System Event Notification Network Connections (netman) COM+ Event System NLA Rasauto Shell Hardware Detection Themes Telephony Windows Audio Error Reporting Workstation ICS RemoteAccess DHCP Client W32time Rasman browser 6to4 Help and support Task scheduler TrkWks Cryptographic Services Removable Storage WMI Perf Adapter Automatic updates WMI App Management Secondary Logon BITS LocalSystem Firewall Restricted
WMI Perf Adapter Automatic updates Secondary Logon App Management Wireless Configuration LocalSystem BITS Themes Rasman TrkWks Error Reporting 6to4 Task scheduler RemoteAccess Rasauto WMI Network Service Fully Restricted DNS Client ICS DHCP Client browser Server W32time Network Service Network Restricted Cryptographic Services Telephony PolicyAgent Nlasvc Network Service
DNS Client Local Service
No Network Access
System Event Notification Network Connections Shell HardwareDetection
COM+ Event System
Local Service SSDP WebClient TCP/IP NetBIOS helper Remote registry
Local Service
Fully Restricted
Windows Audio TCP/IP NetBIOS helper WebClient SSDP Event Log Workstation Remote registry
Server Hardening
Protecção de ficheiros do Sistema Operativo
Valida a integridade do processo de boot
Verifica kernel, HAL e boot-start drivers Se validação falhar, SO não arrancaValida a integridade de cada
“binary image”
Implementado como file system filter driver
Verifica o hash de cada pagina duranteo “load”
Hashes guardados no system catalog ou em certificados X.509 certificate embebidos no ficheiro
Server Hardening
Controlo de Instalação de DevicesPossibilidade de bloquear instalação de
novos devices
Instalação do servidor e impedir a instalação de novos Devices
Definir excepções baseadas em device
class ou device ID
Server Hardening
Windows Firewall with Advanced SecurityGestão integrada de Firewall e IPsec
Nova ferramenta de gestão– Windows Firewall with Advanced Security MMC snap-in
Mais facil de configurar e gerir as duas tecnologias
Regras de Firewall tornaram-se mais intiligentes
Configurar requesitos de securança, tais como autenticação e encriptação
Especificar Active Directory computer ou user groups
Outbound filtering
Enterprise management feature
Politica de protecção simplificada reduz Gestão
Windows Firewall with Advanced
Security
Server Core Installation Opt
Apenas componentes minimos para redução de manutenção Uma nova opção de instalação disponível em cada versão “Windows Server”
Disponibiliza um conjunto de funcionalidades “core” do SO
Parte de uma infrastructura completa Windows Server “Longhorn”
Pode ser gerido através de: Command-line tools Locais e Remotas Terminal Services (Remoto)
Microsoft Management Console (Remoto)
Server Core
Opção de instalação mínima Superfície de “ataque” reduzida Command line interface Conjunto limitado de server roles
Server Core Server Roles
Server Core
Security, TCP/IP, File Systems, RPC, plus other Core Server Sub-Systems DNS DHCP File AD
Server With WinFx, Shell, Tools, etc.
TS IAS Web
Server Share
Point® Etc…
Server, Server Roles (for example only)
GUI, CLR, Shell, IE, Media, OE,
Server Core
Network Access Protection
Como Funciona Not policy compliant 1 Restricted NetworkClient requests access to network and presents current health state
1
4 If not policy compliant, client is put in a restricted
VLAN and given access to fix up resources to download patches, configurations, signatures (Repeat 1 - 4)
2 DHCP, VPN or Switch/Router relays health status to Microsoft Network Policy Server (RADIUS)
5 If policy compliant, client is granted full access to corporate network MSFT NPS 3 Policy Servers e.g. Patch, AV Policy compliant
3 Network Policy Server (NPS) validates against IT-defined health policy 2 Windows Client DHCP, VPN Switch/Router Fix Up Servers e.g. Patch Corporate Network 5 4
NAP - Enforcement Options
Enforcement Healthy Client Unhealthy Client DHCP Full IP address given, full access Restricted set of routes VPN (Microsoft and3rdParty) Full access Restricted VLAN 802.1X Full access Restricted VLAN
IPsec
Can communicate with any trusted peer
Healthy peers reject connection requests from unhealthy systems •Complements layer 2 protection
•Works with existing servers and infrastructure •Flexible isolation
Beneficios do NAP
Feature Support Benefit
Built-in client Windows Vista, Windows XP •No need to deploy/license 3rdparty client
•Updates via WUS / WSUS / SMS Flexible
enforcement
DHCP, VPN, 802.1x, Terminal Services, Server and Domain isolation
•Works with today‟s & tomorrow‟s networks
•Enables risk-benefit trade offs 3rdparty
enforcement
All major switch / router / firewall / VPN
Customers can use any network or security infrastructure vendor
Health assessment
SMS, WUS, SecurityCenter, 3rdparty
•Seamless integration with Windows infrastructure
•Works with any AV, patch or endpoint security solution User experience Integrated with Windows
Vista glass. Branding supported.
Polished look and feel tailored for the customer environment
Management Integration with SMS, AD, Group Policy and MOM for client, server and service operations
Failover Clustering
Simplicidade / Segurança / EstabilidadeSimplicidade: Não requer elevados níveis de conhecimento e experiência em Clustering
Instalação é simplificada e dinâmica Criação de um Cluster em um simples passo Segurança: Melhor gestão das contas de serviço
Serviço de Cluster corre agora no contexto de segurança LocalSystem
Cluster Service Account (CSA) - Removido Estabilidade: Maior estabilidade e performance
Novo “Resource Hosting Subsystem” (RHS) Novo modelo de quorum – sem ponto unico de falha
Cluster Setup
Cluster Administrator actual…
Novo Cluster MMC Snap-in
Clusters Geográficos
Retirada a limitação a uma única Subnet
Permite que os nós do cluster comuniquem através de network routersDeixa de ser necessário o uso de VLANs para conectar os vários nós!
Heartbeat Timeouts Configuráveis
Aumentar - para Clusters Geográficos dispersos por várias localizações distantes entre si.10 Razões para se preparar para
o Windows Server “Longhorn”
Mais Controlo Maior Flexibilidade Aumento de Protecção 1. Server Management 2. Windows PowerShell
3. Internet Information Services 7.0 4. Server Hardening
5. Server Core
6. Network Access Protection (NAP) 7. Failover Clustering
8. Branch Office Deployments 9. Windows Server Virtualization 10. New Terminal Services Capabilities
Branch Office Deployments
Read-Only Domain ControllerRead Only Active Directory Database
Replicação UnidireccionalCaching de credenciais
Benefícios do Read Only Domain
Controller
Aumento de segurança para DC remotos onde a segurança fisica nao pode ser garantida
Read-Only DC
Como Funciona Hub ` Read Only DC Hub Longhorn DC Branch Read Only DC 1 2 3 4 5 6 6 7 7Note: At this point the user will have a hub signed TGT Hub Windows
Server “Longhorn”
1. AS_Req sent to RODC (request for TGT) 2. RODC: Looks in DB: "I don't
have the users secrets" 3. Forwards Request to
Windows Server “Longhorn” DC
4. Windows Server “Longhorn” DC authenticates request 5. Returns authentication
response and TGT back to the RODC
6. RODC gives TGT to User and Queues a replication request for the secrets 7. Hub DC checks Password
Replication Policy to see if password can be replicated
Branch Office Deployments
Active Directory “Reiniciavél”Reiniciar a Active Directory sem reiniciar o servidor Pode ser feito através da linha de comando ou MMC Não é possível iniciar o servidor com a Active Directory parada Reiniciar a Active Directory não afecta os outros serviços Várias formas de processar Login enquanto parado Benefícios da Active Directory “Reiniciavél”
Branch Office Deployments
BitLocker™ Drive EncryptionAjuda a prevenir o uso de outros Sistemas Operativos ou ferramentas de Hacking para acesso indevido á informação do disco Maior protecção da informação mesmo quando o sistema está em “mãos alheias”
Usa um TPM v1.2 ou USB flash drive para guardar as chaves de encriptação
VM 1
“Parent” “Child”VM 2 “Child”VM 2 Hard DisksVirtual (VHD)
Windows Server
Virtualization
Plataforma de Virtualização e GestãoWindows Server Virtualization
Application Guest Operating System Application Guest Operating System Virtual H/W Virtual H/W R2
x86/x64 serverIntel VT/AMD virtualization technology (32-bit or 64-bit) Windows Hypervisor VM 1 “Parent” MVS 2005 R2 SP1 scheduled to support in late 2006 Windows Hypervisor will support High-performance virtualization solution Delivered in Windows Server 'Longhorn' wave of products Windows Server 'Longhorn„ Datacenter Edition will allow unlimited virtual instances Migrate from Microsoft Virtual Server VM 2
“Child” “Child”VM 3 “Child”VM 4
Parent partition Child partition Virtualization stack
Novas Funcionalidades
-Terminal Services
Acesso a Aplicações centralizado
Instalação de Aplic.(“virtualização de aplic.”) Locais Remotos
DMZ
Internet Corp LAN
Terminal Server Hotel Ex te rn al F ire w al l In te rn al F ire w al l Home Business Partner/ Client Site E-Mail Server Terminal Server Internet Terminal Services Gateway Server HTTPS / 443
Terminal Services Gateway
Acesso remoto a recursos em servidores internosTerminal Services Gateway
Maior nível de SegurançaAutenticação com passwords, smartcards
Usa mecanismos de encriptação standard da industria (SSL, HTTPS) Tráfego RDP é encriptado “end-to-end” – do client ao terminal server Estado do PC Cliente pode ser validado (usando NAP)
Placas de aceleração SSL podem ser usadas para fazer o “off-load” da sessão SSL. (para detecção de intrusões ou uso de filtros numa DMZ)
Melhor solução comparado com uma VPN
Utilizadores podem aceder a aplicações internas ou computadores internos usando apenas um Web Browser
Facilmente utilizável de um Computador de “casa” Compatível com firewalls e NATs (com HTTPS:443) Controlo de Acesso Granular definido na DMZ
Connection Authorization Policy (CAP) Resource Authorization Policy (RAP)
Terminal Services Remote Programs
Disponibilização de Aplicações simple e rápida Gestão centralizada de Aplicações da linha de negócio
Forma “leve” de disponibilizar aplicações “data-intensive”
Consolidação de Aplicações Integra com programas locais
Drag and Drop (Beta 3) Integração no System Tray Devices e Ficheiros Locais
Participe Noutras Sessões
GUPADE
SRV014 – Desenho do AD com o Windows Server “Longhorn” Quinta Feira, 22, 15:15
MGT011 – Tudo o que precisa de saber sobre uma implementação de sucesso com MOM 2005
Quinta Feira, 22, 13:30
SRV013– As novas capacidades do servidor de ficheiros no Windows 2003 R2 e no Windows Server “Longhorn”
Quinta Feira, 22, 13:30 UCM008 – Como evitar o SPAM Quinta Feira, 22, 11:15
Pergunte aos Especialistas
Obtenha Respostas às Suas Questões
22 Mar, até às 12h
www.gupade.org
Outros Recursos
Para Profissionais de TI
TechNet Plus
2 incidentes de suporte gratuito profissional software exclusivo: Capacity Planner software Microsoft para avaliação actualizações de segurança e service packs acesso privilegiado à knowledge base formação gratuita
e muito mais.
Questionário de Avaliação
Passatempo!
Complete o questionário de
avaliação e devolva-o no balcão
da recepção.
Habilite-se a ganhar uma Xbox
360 por dia!
SRV011