Станкевич Александр MVP (Enterprise Security) Microsoft TechDays Ключевые моменты Удалённый доступ через TS Gateway TS Gateway и NAP Microsoft TechDays Доверие серверу MitM и DoS-атаки Доверие RDP-файлам Шифрование соединений Печать из приложений Простой вход для пользователей Microsoft TechDays Основной шаг вперёд в аутентификации Простой и безопасный вход Уменьшает поверхность атак Используется новый протокол Credential Security Service Provider (CredSSP) Microsoft TechDays Terminal Server Active Directory Microsoft TechDays Станкевич Александр MVP (Enterprise Security) Microsoft TechDays Защита от MitM-атак Сервер аутентифицирован Защита от DoS-атак Пользователь аутентифицируется прежде установления полного соединения Новое управление учётными данными Стандартное окно запроса Microsoft TechDays Доверие точке назначения Использование сертификатов для подписывания RDP-файлов Неподписанные или недоверенные RDPфайлы вызывают предупреждение Microsoft TechDays Станкевич Александр MVP (Enterprise Security) Microsoft TechDays Терминальные сессии по умолчанию используют шифрование Remote Desktop Protocol (RDP) RDP не даёт возможности аутентифицировать терминальный сервер, что является потенциальной возможностью для MitM-атак Использование Transport Layer Security (TLS) 1.0 для серверов уменьшает эти риски Не совместимо с NLA Наилучшая, обоюдно поддерживаемая защита Наилучшая защита, но может не поддерживаться старыми клиентами Microsoft TechDays По умолчанию, подключения шифруются наивысшим из доступных уровней (128 бит) Обычно изменяется для поддержки старых клиентов 56 битное шифрование; используется только в устаревших окружениях По умолчанию; используется максимальная длина ключа, поддерживаемая обоюдно Требуется 128 битное шифрование; не поддерживающие клиенты не смогут подключиться Использование алгоритмов FIPS 140-1; не поддерживающие их клиенты не смогут подключиться Microsoft TechDays Больше не требуется устанавливать драйвера принтеров на самих серверах Драйвера устанавливаются только на клиентах Не возникает проблем с отсутствием 64-х разрядных драйверов и поддержкой устаревших принтеров Простота использования Уменьшается поверхность атак Microsoft TechDays Позволяет доменным пользователям войти в систему однократно и получать доступ к терминальным серверам и приложения без запроса учётных данных Требуется Терминальные службы Windows Server 2008 Windows Server 2008, Windows Vista, Windows XP SP3* Рабочие станции должны быть в домене Должно быть включено через групповые политики *CredSSP по умолчанию не включен в Windows XP SP3 Microsoft TechDays Станкевич Александр MVP (Enterprise Security) Microsoft TechDays Ключевые моменты Удалённый доступ через TS Gateway TS Gateway и NAP Microsoft TechDays До Windows Server 2008 было два варианта для доступа к терминальным службам из вне: Открыть порт 3389 Установить VPN С TS Gateway можно: Использовать только 443 порт без VPN Microsoft TechDays Правила доступа внутри сети не всегда подходят для интернета Настройте подходящие политики авторизации Кто может использовать TS Gateway Какие ресурсы они могут использовать Microsoft TechDays Разрешённые методы аутентификации Каким пользователям На каких компьютерах Microsoft TechDays Включить или отключить перенаправление Какие устройства могут быть перенаправлены Microsoft TechDays К каким группам компьютеров Active Directory можно подключаться… … или группам TSG Через какие порты может происходить подключение Microsoft TechDays RDP-хосты теперь могут располагаться за Firewall’ом Для прохода через Firewall используется HTTP/S AD/NAP проверяются до разрешения соединения Требуется новый клиент Remote Desktop Connection AD/NAP Клиент RDC TS Gateway Проверка AD/NAP Инициирует RDPHTTP/S черезподключение HTTP/S установлено к TS Gateway с TSG RDP 3389 с хостом Терминальные серверы или XP/Vista Пользователь входит на TS Web Access TS Web Access Интернет DMZ Microsoft TechDays Внутренняя сеть Станкевич Александр MVP (Enterprise Security) Microsoft TechDays TS Gateway – это возможность туннелирования RDP-трафика внутри HTTPS Предоставляет пользователям возможность простого прохода через NAT, Firewall и Proxy Администраторы могут управлять кто и к чему может подключаться при помощи Connection Authorization Policies и Resource Authorization Policies Microsoft TechDays Ключевые моменты Удалённый доступ через TS Gateway TS Gateway и NAP Microsoft TechDays CAP и RAP не могут контролировать здоровье конечных точек TSG не может предотвратить подключение машин без критических обновлений или антивируса TSG можно совместить с Network Access Protection для решения управления здоровьем клиентов Microsoft TechDays Основанная на стандартах платформа для управления сетевым доступом, на основе здоровье конечных точек TSG может быть интегрирован в крупную инфраструктуру NAP или NAP может быть добавлен только для поддержки удалённого доступа Проверка статуса автоматических обновлений, антивируса, Firewall’а и обновлений безопасности прямо из коробки. Microsoft TechDays Клиент не удовлетворяет политике, подключается к TS Gateway, предаёт SoH TS Gateway проверяет SoH с помощью NAP; NAP говорит в карантин TS Gateway отклоняет подключение Клиент удовлетворяет политике, передаёт TS Gateway новый SoH TS Gateway проверяет SoH с помощью NAP; NAP говорит разрешить доступ Microsoft TechDays Терминальные службы Windows Server 2008 предоставляют большую безопасность и новые возможности, такие как NLA, SSO и TSG Эти технологии могут быть совмещены для создания дружественного решения виртуализации представлений, которое работает безопасно из любой точки Возможности терминальных служб могут быть совмещены с NAP для увеличения безопасности и контроля Microsoft TechDays Терминальные службы в Windows Server 2008 http://www.microsoft.com/windowsserver2008/terminalservices/default.mspx Блог команды терминальных служб http://blogs.msdn.com/ts/ Безопасный доступ, где бы вы ни находились http://www.microsoft.com/technet/technetmag/issues/20 07/11/SecurityWatch/default.aspx Microsoft TechDays © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION. Microsoft TechDays