Patrocinadores. Microsoft TechDays Lisboa. SRV Razões para se preparar para o Windows Server Longhorn 23/03/ :34 AM

(1)

SRV011

10 Razões para se preparar para

o Windows Server “Longhorn”

Nuno Bernardes

nuno.bernardes@vodafone.com System Engineer, Vodafone GUPADE

Pedro Monteiro

pedro.monteiro@vodafone.com System Engineer, Vodafone GUPADE

Patrocinadores

Sistema Operativo mais robusto Gestão por politicas

Mais Controlo Aumento de Protecção

Maior Flexibilidade Servidor de virtualização integrado Acesso aplicational de qualquer local

(2)

10 Razões para se preparar para

o Windows Server “Longhorn”

Mais Controlo Maior Flexibilidade Aumento de Protecção 1. Server Management 2. Windows PowerShell

3. Internet Information Services 7.0 4. Server Hardening

5. Server Core

6. Network Access Protection (NAP) 7. Failover Clustering

8. Implementação em locais remotos 9. Virtualização do Windows Server 10. Novas funcionalidades de Terminal

Services

Windows Server 2003

Instalação, segurança, e gestão por perfis através de diferentes ferramentas

Setup do Windows Server 2003

Pós-Setup das actualizações de Segurança

GUI “Manage Your Server”

GUI “Configure Your Server”

GUI “Add/Remove Windows Components”

GUI “Computer Management”

GUI “Security Configuration Wizard”

Instalação do Produto

Configuração Inicial

Administração

Administração do Windows

Server “Longhorn”

Server Manager

Providencia out-of-the-box uma excelente experiência em

adicionar, configurar e gerir os perfis do servidor 1. Experiência “Out of box”

Ajuda o utilizador a completar e operar o servidor guiando-o através das tarefas necessárias

2. Experiência única para configurar o Windows Server “Longhorn”

Ajuda o utilizador a adicionar e remover papeis e funcionalidades do servidor de uma forma segura 3. Portal para Administração

(3)

Server Manager

_{Uma ferramenta baseada em linha de}

comando (shell) que facilita o controlo e

automatização de tarefas para os

Administradores de Windows

Internet Information Services (IIS) 7.0

Mais do que um servidor Web, o Internet Information Services 7.0 providencia uma forma segura e fácil de gerir o desenvolvimento e alojamento de aplicações Web no servidor

Arquitectura Modular Ferramentas de Administração integradas e eficientes Poderosas funcionalidades de diagnostico Extensibilidade das APIs Modelo de configuração distribuído

Melhoramentos IIS 7.0 Optimizada & Segurança

Actualizações Customização de soluções Rapidez na implementação de soluções Administradores e programadores motivados Aplicações menos tempo paradas

IIS 7 Arquitectura Modular

Instale apenas as funcionalidades que

precisa

Por defeito são instalados 40 componentes Superfície de ataque reduzida durante a instalação

Actualize apenas as funcionalidades que

tem instaladas

Implemente um “streamlined” Web Server

Melhoria no desempenho

(4)

IIS 7 Maior Extensibilidade

As funcionalidade do IIS 7 são desenvolvidas em APIs públicas

Encoraja a comunidade a extender, alterar, e adicionar novas funcionalidades

Uma maior integração entre o IIS e o ASP.NET Os serviços ASP.NET funcionam para todos os tipos de aplicações e conteúdos

Win32 e .NET Framework APIs nativas Produtividade para o programador que utiliza .NET Suporte para extensões de terceiros

Estender a configuração, ferramenta de administração, event logging

IIS7 Experiência na Administração

Gestão remota sobre HTTP Funcionalidades do IIS e do ASP.NET são facilmente encontradas e usadas

Programadores e donos de sites podem mais facilmente delegar auto-criação de tarefas

Internet Information

Services 7.0

10 Razões para se preparar para

o Windows Server “Longhorn”

5. Server Core

8. Implementação em locais remotos 9. Virtualização do Windows Server 10. Novas funcionalidades de Terminal

(5)

D _D D

Server Hardening

(robustez do servidor)

Defesa do modelo de serviços

Reduz o risco nos níveis

mais altos

Segmentação

de serviços

Aumento do nº

de níveis

Kernel Drivers D D User-mode Drivers D D D Service 1 Service 2 Service 3 Service … Service … Service A Service B

Alteração de serviços no

Windows Server “Longhorn”

Windows XP SP2 / Server 2003 R2 Windows Vista / Windows Server “Longhorn”

Account Services Account Services

LocalSystem Wireless Configuration System Event Notification Network Connections (netman) COM+ Event System NLA Rasauto Shell Hardware Detection Themes Telephony Windows Audio Error Reporting Workstation ICS RemoteAccess DHCP Client W32time Rasman browser 6to4 Help and support Task scheduler TrkWks Cryptographic Services Removable Storage WMI Perf Adapter Automatic updates WMI App Management Secondary Logon BITS LocalSystem Firewall Restricted

WMI Perf Adapter Automatic updates Secondary Logon App Management Wireless Configuration LocalSystem BITS Themes Rasman TrkWks Error Reporting 6to4 Task scheduler RemoteAccess Rasauto WMI Network Service Fully Restricted DNS Client ICS DHCP Client browser Server W32time Network Service Network Restricted Cryptographic Services Telephony PolicyAgent Nlasvc Network Service

DNS Client Local Service

No Network Access

System Event Notification Network Connections Shell HardwareDetection

COM+ Event System

Local Service SSDP WebClient TCP/IP NetBIOS helper Remote registry

Local Service

Fully Restricted

Windows Audio TCP/IP NetBIOS helper WebClient SSDP Event Log Workstation Remote registry

Server Hardening

Protecção de ficheiros do Sistema Operativo

Valida a integridade do processo de boot

Verifica kernel, HAL e boot-start drivers Se validação falhar, SO não arranca

Valida a integridade de cada

“binary image”

Implementado como file system filter driver

Verifica o hash de cada pagina duranteo “load”

Hashes guardados no system catalog ou em certificados X.509 certificate embebidos no ficheiro

Server Hardening

Controlo de Instalação de Devices

Possibilidade de bloquear instalação de

novos devices

Instalação do servidor e impedir a instalação de novos Devices

Definir excepções baseadas em device

class ou device ID

(6)

Server Hardening

Windows Firewall with Advanced Security

Gestão integrada de Firewall e IPsec

Nova ferramenta de gestão– Windows Firewall with Advanced Security MMC snap-in

Mais facil de configurar e gerir as duas tecnologias

Regras de Firewall tornaram-se mais intiligentes

Configurar requesitos de securança, tais como autenticação e encriptação

Especificar Active Directory computer ou user groups

Outbound filtering

Enterprise management feature

Politica de protecção simplificada reduz Gestão

Windows Firewall with Advanced

Security

Server Core Installation Opt

Apenas componentes minimos para redução de manutenção Uma nova opção de instalação disponível em cada versão “Windows Server”

Disponibiliza um conjunto de funcionalidades “core” do SO

Parte de uma infrastructura completa Windows Server “Longhorn”

Pode ser gerido através de: Command-line tools Locais e Remotas Terminal Services (Remoto)

Microsoft Management Console (Remoto)

Server Core

Opção de instalação mínima Superfície de “ataque” reduzida Command line interface Conjunto limitado de server roles

Server Core Server Roles

Server Core

Security, TCP/IP, File Systems, RPC, plus other Core Server Sub-Systems DNS DHCP File AD

Server With WinFx, Shell, Tools, etc.

TS IAS Web

Server Share

Point® Etc…

Server, Server Roles (for example only)

GUI, CLR, Shell, IE, Media, OE,

(7)

Server Core

Network Access Protection

Como Funciona Not policy compliant 1 Restricted Network

Client requests access to network and presents current health state

1

4 If not policy compliant, client is put in a restricted

VLAN and given access to fix up resources to download patches, configurations, signatures (Repeat 1 - 4)

2 DHCP, VPN or Switch/Router relays health status to Microsoft Network Policy Server (RADIUS)

5 If policy compliant, client is granted full access to corporate network MSFT NPS 3 Policy Servers e.g. Patch, AV Policy compliant

3 Network Policy Server (NPS) validates against IT-defined health policy 2 Windows Client DHCP, VPN Switch/Router Fix Up Servers e.g. Patch Corporate Network 5 4

NAP - Enforcement Options

Enforcement Healthy Client Unhealthy Client DHCP Full IP address given, _{full access} Restricted set of routes VPN (Microsoft and

3rd_Party) Full access Restricted VLAN 802.1X Full access Restricted VLAN

IPsec

Can communicate with any trusted peer

Healthy peers reject connection requests from unhealthy systems •Complements layer 2 protection

•Works with existing servers and infrastructure •Flexible isolation

Beneficios do NAP

Feature Support Benefit

Built-in client Windows Vista, Windows XP •No need to deploy/license 3rd_{party client}

•Updates via WUS / WSUS / SMS Flexible

enforcement

DHCP, VPN, 802.1x, Terminal Services, Server and Domain isolation

•Works with today‟s & tomorrow‟s networks

•Enables risk-benefit trade offs 3rdparty

enforcement

All major switch / router / firewall / VPN

Customers can use any network or security infrastructure vendor

Health assessment

SMS, WUS, SecurityCenter, 3rdparty

•Seamless integration with Windows infrastructure

•Works with any AV, patch or endpoint security solution User experience Integrated with Windows

Vista glass. Branding supported.

Polished look and feel tailored for the customer environment

Management Integration with SMS, AD, Group Policy and MOM for client, server and service operations

(8)

Failover Clustering

Simplicidade / Segurança / Estabilidade

Simplicidade: Não requer elevados níveis de conhecimento e experiência em Clustering

Instalação é simplificada e dinâmica Criação de um Cluster em um simples passo Segurança: Melhor gestão das contas de serviço

Serviço de Cluster corre agora no contexto de segurança LocalSystem

Cluster Service Account (CSA) - Removido Estabilidade: Maior estabilidade e performance

Novo “Resource Hosting Subsystem” (RHS) Novo modelo de quorum – sem ponto unico de falha

Cluster Setup

Cluster Administrator actual…

Novo Cluster MMC Snap-in

Clusters Geográficos

Retirada a limitação a uma única Subnet

Permite que os nós do cluster comuniquem através de network routers

Deixa de ser necessário o uso de VLANs para conectar os vários nós!

Heartbeat Timeouts Configuráveis

Aumentar - para Clusters Geográficos dispersos por várias localizações distantes entre si.

(9)

10 Razões para se preparar para

o Windows Server “Longhorn”

5. Server Core

8. Branch Office Deployments 9. Windows Server Virtualization 10. New Terminal Services Capabilities

Branch Office Deployments

Read-Only Domain Controller

Read Only Active Directory Database

Replicação Unidireccional

Caching de credenciais

Benefícios do Read Only Domain

Controller

Aumento de segurança para DC remotos onde a segurança fisica nao pode ser garantida

Read-Only DC

Como Funciona Hub ` Read Only DC Hub Longhorn DC Branch Read Only DC 1 2 3 4 5 6 6 7 7

Note: At this point the user will have a hub signed TGT Hub Windows

Server “Longhorn”

1. AS_Req sent to RODC (request for TGT) 2. RODC: Looks in DB: "I don't

have the users secrets" 3. Forwards Request to

Windows Server “Longhorn” DC

4. Windows Server “Longhorn” DC authenticates request 5. Returns authentication

response and TGT back to the RODC

6. RODC gives TGT to User and Queues a replication request for the secrets 7. Hub DC checks Password

Replication Policy to see if password can be replicated

Branch Office Deployments

Active Directory “Reiniciavél”

Reiniciar a Active Directory sem reiniciar o servidor Pode ser feito através da linha de comando ou MMC Não é possível iniciar o servidor com a Active Directory parada Reiniciar a Active Directory não afecta os outros serviços Várias formas de processar Login enquanto parado Benefícios da Active Directory “Reiniciavél”

(10)

Branch Office Deployments

BitLocker™ Drive Encryption

Ajuda a prevenir o uso de outros Sistemas Operativos ou ferramentas de Hacking para acesso indevido á informação do disco Maior protecção da informação mesmo quando o sistema está em “mãos alheias”

Usa um TPM v1.2 ou USB flash drive para guardar as chaves de encriptação

VM 1

“Parent” “Child”VM 2 “Child”VM 2 Hard DisksVirtual (VHD)

Windows Server

Virtualization

Plataforma de Virtualização e Gestão

Windows Server Virtualization

Application Guest Operating System Application Guest Operating System Virtual H/W Virtual H/W R2

x86/x64 serverIntel VT/AMD virtualization technology (32-bit or 64-bit) Windows Hypervisor VM 1 “Parent” MVS 2005 R2 SP1 scheduled to support in late 2006 Windows Hypervisor will support High-performance virtualization solution Delivered in Windows Server 'Longhorn' wave of products Windows Server 'Longhorn„ Datacenter Edition will allow unlimited virtual instances Migrate from Microsoft Virtual Server VM 2

“Child” “Child”VM 3 “Child”VM 4

Parent partition Child partition Virtualization stack

Novas Funcionalidades

-Terminal Services

Acesso a Aplicações centralizado

Instalação de Aplic.

(“virtualização de aplic.”) Locais Remotos

(11)

DMZ

Internet Corp LAN

Terminal Server Hotel Ex te rn al F ire w al l In te rn al F ire w al l Home Business Partner/ Client Site E-Mail Server Terminal Server Internet Terminal Services Gateway Server HTTPS / 443

Terminal Services Gateway

Acesso remoto a recursos em servidores internos

Terminal Services Gateway

Maior nível de Segurança

Autenticação com passwords, smartcards

Usa mecanismos de encriptação standard da industria (SSL, HTTPS) Tráfego RDP é encriptado “end-to-end” – do client ao terminal server Estado do PC Cliente pode ser validado (usando NAP)

Placas de aceleração SSL podem ser usadas para fazer o “off-load” da sessão SSL. (para detecção de intrusões ou uso de filtros numa DMZ)

Melhor solução comparado com uma VPN

Utilizadores podem aceder a aplicações internas ou computadores internos usando apenas um Web Browser

Facilmente utilizável de um Computador de “casa” Compatível com firewalls e NATs (com HTTPS:443) Controlo de Acesso Granular definido na DMZ

Connection Authorization Policy (CAP) Resource Authorization Policy (RAP)

Terminal Services Remote Programs

Disponibilização de Aplicações simple e rápida Gestão centralizada de Aplicações da linha de negócio

Forma “leve” de disponibilizar aplicações “data-intensive”

Consolidação de Aplicações Integra com programas locais

Drag and Drop (Beta 3) Integração no System Tray Devices e Ficheiros Locais

(12)

Participe Noutras Sessões

GUPADE

SRV014 – Desenho do AD com o Windows Server “Longhorn” Quinta Feira, 22, 15:15

MGT011 – Tudo o que precisa de saber sobre uma implementação de sucesso com MOM 2005

Quinta Feira, 22, 13:30

SRV013– As novas capacidades do servidor de ficheiros no Windows 2003 R2 e no Windows Server “Longhorn”

Quinta Feira, 22, 13:30 UCM008 – Como evitar o SPAM Quinta Feira, 22, 11:15

Pergunte aos Especialistas

Obtenha Respostas às Suas Questões

22 Mar, até às 12h

www.gupade.org

Outros Recursos

Para Profissionais de TI

TechNet Plus

2 incidentes de suporte gratuito profissional software exclusivo: Capacity Planner software Microsoft para avaliação actualizações de segurança e service packs acesso privilegiado à knowledge base formação gratuita