Transcription
Sicherheit bei APP-V, VDI,und DesktopvirtualisierungMarc GroteIT TRAINING e.de
Inhalt Ueberblick ueber VirtualiserungstechnologienMicrosoft Hyper-V (Security 101)Sicherheitsmassnahmen in Microsoft SCVMMSecurity Best Practices fuer Microsoft APP-V Windows 7 XP Mode MED-V Allgemeine Sicherheitsempfehlungen Netzwerksicherheit (Zertifikate, IPSEC, SSL) Microsoft Security Compliance Managerice 2010 - LingenFolie 2 von 609(14,3 Folien pro Min.)
ReferentenvorstellungIce 2008Cebit 2010ice 2010 - Lingen
Ueberblick ueberVirtualisierungstechnologien Desktop Ein Windows Endgeraet wird in einer virtuellen Umgebung aufeinem zentralen Server ausgefuehrt. Jedem Benutzer steht eineigenes virtuelles Endgeraet zur Verfuegung– Windows XP Mode, MED-V, Microsoft PVD Application Die Anwendung wird nicht zentral, aber lokal ausgefuehrt undnicht lokal installiert, sondern laeuft in einer isolierten Umgebungauf dem Endgeraet– Microsoft APP-V Server Ein Server wird in einer virtuellen Serverumgebung betrieben undstellt (fast) alle Funktionen eines physikalischen Server zurVerfuegung– Microsoft Hyper-V, Microsoft Virtual Serverice 2010 - Lingen
Ueberblick ueberVirtualisierungstechnologien Presentation Anwendungen werden zentral auf einem Server ausgefuehrt, aufdiese Endgeraete per Terminal Client Software zugreifen– Microsoft Remote Desktop Services Profile Benutzerprofileinstellungen werden von den Benutzerdatengetrennt und ermoeglichen einen einheitlichen Zugriff aufBenutzerprofile von jedem Endgeraetice 2010 - Lingen
Sicherheit in virtuellen Umgebungen? Virtuelle Maschinen muessen nicht gehaertetwerden, dass Hostsystem ist ja sicher? Wer patcht schon seine virtuellen Maschinen? Ich kuemmere mich nur um meine VM, dasHost-System laeuft einfach so mit Wenn mein Host-System kompromittiert wird,betrifft das nicht meine virtuellen Maschinen!ice 2010 - Lingen
Hyper-V Security (101) Windows Server 2008 / R2 Core!!– Reduziertes Attack Surface– Reduziertes Footprinting– Hoehere Systemverfuegbarkeit durch weniger Updates Aktuelle Patchstrategie Haerten des Hyper-V Hostsystems– Keine Installation zusaetzlicher Anwendungen Dedizierte Netzwerkkarte fuer Management und ggfs.iSCSI Anwendung des Windows Server 2008 Security Guideice 2010 - Lingen
Hyper-V Security (101) Verwendung von EFS nicht moeglich zurAbsicherung von VM Firewall empfohlen – Host-FW und ISA/TMG Bitlocker nur auf dem Hyper-V Host– Funktioniert nicht mit Failover Clustering! Virenscanner– Ausschluss der VHD Datenverzeichnisse– VMMS.EXE (Mgmt) und VMWP.EXE(WorkerProcess) nicht scannenice 2010 - Lingen
Best Practice VM in Hyper-V Speicherort fuer VHD, VMCSpeicherzuordnung zur VM (R2 SP1 nutzen)Limit ProzessornutzungVM Zugriff nur auf notwendigen StorageZeitsynchronisation in VM (DC?)Speichern von VM mit gleichem Schutzbedarf auf derselben Host-MaschineHyper-V NetzwerkeSicheres Loeschen von nicht mehr verwendeten VMSpeichern von Snapshots (AVHD) an einem „sicheren“OrtFirewallkonfiguration bei Server Coreice 2010 - Lingen
Gast-Sicherheit RAM und CPU MonitoringVM Limits im Host System setzenVirenscannerSecurity Hardening (Hyper-V Sec. Guide)PatchingDoS Angriffe auf VM mit Auswirkung aufHyper-V Host und andere Gaestebeschraenkenice 2010 - Lingen
Berechtigungen fuer Hyper-V VHDice 2010 - Lingen
Berechtigungs-Delegation Verwendung von AzMan (Authorization Manager) XML Store re.xml Active Directory Store (Windows 2003 FunctionalLevel) Ablauf– New Role Definiton– New Task Definition (Task zuordnen)– New Role Assignment Assign Users and Groups Gewuenschten Task hinzufuegenice 2010 - Lingen
SCVMM 2008 R2 Ueberblick P2V-Funktionen (Physical to Virtual) V2V-Funktionen (Virtual to Virtual), inklusiveVmware Zentrale Verwaltungskonsole fuer alle MicrosoftHyper-V Server und deren Gastsysteme Self Service Portal fuer das Provisioning virtuellerMaschinen durch Nicht Administratoren Zentrale Library fuer die Ablage virtuellerMaschinen und Templatesice 2010 - Lingen
SCVMM 2008 R2 Rollen Administrator Profile– Vollstaendiger Zugriff auf alle Hosts, VM undLibraries Delegated Administrator Profile– Zugriff auf einen definierten Pool von HostGruppen und Library Server Self-Service User Profile– Zugriff auf einen definierten Satz von VM ueberein Webinterfaceice 2010 - Lingen
Microsoft APP-V Anwendungsvirtualisierung Ehemals Softgrid Zentrale Verwaltung von virtualisiertenAnwendungen Anwendungen werden in einer „Sandbox“ aufdem Endgeraet ohne lokale Installationausgefuehrtice 2010 - Lingen
Microsoft APP-Vice 2010 - Lingen
Microsoft App-V APP-V Management Server– Paketinhalt streamen, Shortcut Publish. APP-V Streaming Server– Hostet APP-V Packages APP-V Data Store– SQL Datenbank mit den APP-V Informationen APP-V Management Service– Kommunikation mit APP-V Datastore APP-V Management Console– APP-V Administration APP-V Sequencer– Monitoring und Capturing der Installation von virtuellen Paketen APP-V Client– APP-V Desktop Client / APP-V Terminal Services Client
Security Best Practices fuer APP-V App-V 4.5 wurde nach folgendenSicherheitsinitiativen programmiert:– Trustworthy Computing (TwC) Sicherheit, Datenschutz und Zuverlaessigkeit vonSoftware, Diensten und Produkten sowie Integritaet imgeschaeftlichen Handeln– Secure Windows Initiative (SWI) Designing, Erstellen und Testen von sicheren Produkten– Security Development Lifecycle (SDL) Entwickeln sicherer Software welche wenigfehleranfaellig gegen boeswillige Angriffe istice 2010 - Lingen
APP-V 4.5/6 Sicherheitsfunktionen– Unterstuetzung fuer Streaming ueber das Internet– Kerberos Authentication und Authorization– “Secure by Default” Konfiguration im Rahmen der MSTrustworthy Computing Initiative– Sicherer Zugriff auf Logdateien und Kontrolle ueber dieLogdateigroesse– Benutzerberechtigungen fuer den APP-V Desktop Client– Dateisystem ACL koennen waehrend des SequencingProzess aufgezeichnet werden (Registry ACL nicht)ice 2010 - Lingen
Security Best Practices fuer APP-V– Hardening des Betriebssystem Windows Server 2008 Security Guide– Hardening des SQL Server SQL Server Security Best Practice Guide– Hardening der Netzwerkinfrastruktur Sichere le / -Steuerung auf NetzwerkebeneFirewall / IDS / IPSice 2010 - Lingen
Security Best Practices fuer APP-V– APP-V Kommunikation (Data Store) Mgmt Server und Mgmt Service - Port 1433 mit MS SQLServer Abfrage Applikationen und Konfiguration Schreiben Mgmt Service - Auth. als Administrator Absicherung mit IPSEC empfehlenswert Windows Server 2008 Security Guide– APP-V Kommunikation (Content) Mgmt Server – Content Directory (Filesystem) Bei Verwendung von Remote Storage – IPSECice 2010 - Lingen
Security Best Practices fuer APP-V– Mgmt. Console - Mgmt. Service Erlaubt u. a. Aenderungen am DataStore Verwendung von HTTPS– APP-V Kommunikation (Client to Server) APP-V Client zu APP-V Mgmt. ServerKommunikation ueber User CredentialsXML File Transfer (enthaelt Pfad zur OSD-Datei)No built in SecurityVerwendung von RTSP/RTSPS (TLS – Server Auth. only) fuerStreaming Content copy unter Verwendung von SMB/HTTP - IPSEC fuerSMB oder HTTPS fuer HTTP verwendenice 2010 - Lingen
APP-V
Security Best Practices fuer APP-V– Zertifikatanforderungen Zertifikat muss gueltig sein Korrekte EKU (Extended Key Usage) – ServerAuthentication(OID 1.3.6.1.5.5.7.3.1) Namensuebereinstimmung des FQDN des Servers mit demCommon Name (CN) des Zertifikats SAN in NLB Umgebungen notwendig Client und Server muessen der ausstellenden CA vertrauen Private Key des Zertfikats muss fuer Change Rechte desAPP-V Service zugreifbar sein (R Permission fuer Priv Key)ice 2010 - Lingen
Security Best Practices fuer APP-V– APP-V Client Security SFTLOG.TXT (Client Logfile) nur vom Admin aufrufbar Authorization fuer Cached Applications beachten (liegt imPublic Profile von Vista)– Pfad vor oder nach der Installation aenderbar– Ggfs. Applikationen im Offline Mode zu oeffnen– „Require AuthorizationIfCached“ Key Verwendung von etails.aspx?FamilyID 67cdf9d2-7e8e-4d76-a552-fd82dbbff9bc&displaylang en) Registry – Nur Admin Zugriff Virus Scanning - Ausnahme SFTFS.FSD Datei (Packed Cache)ice 2010 - Lingen
Security Best Practices fuer APP-V– APP-V Server im „Internet“ RTSPS auf Mgmt Server erforderlichHTTPS auf IIS erforderlichAPP-V Server hinter ISA/TMG (Empfohlen)APP-V Server in der DMZ––––––Zusaetzliche PortsSQLSMB/CIFS (wenn Content Verzeichnis im LAN liegt)KerberosDNSLDAP Kerberos Auth. von Client zu AD– Failback zu NTLM, wenn Ticket abgelaufen und kein AD Zugriff moeglichice 2010 - Lingen
Security Best Practices fuer denWindows 7 „XP Mode“– Windows XP SP3 als Basis– Moechte auch gepatched werden– Behandeln Sie eine VM wie eine physikalischeMaschine Group PolicyNTFS / Registry ACLClient Virus ScannerMBSA etc.ice 2010 - Lingen
Microsoft MED-V– Bestandteil des MDOP (Mircosoft Desktop OptimizationPack)– Bereitstellung, Verwaltung und Nutzung von Imagesvirtueller PC– Zentrale Loesung auf Basis von Virtual PC SP1 QFE– Zentrale Bereitstellung von Anwendungen im Virtual PC,welche nicht Windows 7 kompatibel sind– Zentral verwalteter XP Mode fuer groessereUmgebungenice 2010 - Lingen
Security Best Practice fuer MED-V– Verwendung von HTTPS im MED-V Server ConfigurationManager– Sparsame Verwendung von Management Permissions imMED-V Server Configuration Manager– Virtuelle Maschinen moechten auch gepatched werden– Behandeln Sie eine VM wie eine physikalische Maschine Group PolicyNTFS / Registry ACLClient Virus ScannerMBSA etc.ice 2010 - Lingen
Allgemeine Sicherheitsempfehlungen Patch as Patch can (aber wann?) Verschluesselung verwenden– IPSEC– SSL– Verschluesselung der Anwendungssoftwarenutzen Monitoring und zentrale Verwaltung Audit und Revisionice 2010 - Lingen
MS Security Compliance Manager Nachfolger des SCMT (Security ComplianceManagement Toolkit) Zentrale Verwaltung von Security Baselines Planen, verteilen und verwalten vonSicherheitsrichtlinien fuer Windows Clients –Server und Applikationen Erstellt Baseline– Export in XLS, Group Policies, DCM Packs (SCCM)ice 2010 - Lingen
MS Security Compliance Managerice 2010 - Lingen
Lust auf Links Microsoft Security Compliance Manager– 2.aspx MED-V– ts/mdop/med-v.aspx APP-V– .mspx SCVMM 2008 R2– l-machinemanager.aspx Windows 7 XP-Mode– 08/windows-xp-modemit-windows-7-download.aspx Hyper-V Security Guide–http://go.microsoft.com/fwlink/?LinkID 147397 Hyper-V Attack Surface ference.xlsx
Es gibt keine großen Entdeckungen und Fortschritte, solangees noch ein unglückliches Kind auf Erden gibt.There s no such thing as a discovery or progress as long aswe have bitterly unhappy children on earth.Er zijn geen grote ontdekkingen en geen vooruitgang, zolanger op deze wereld nog één kind ongelukkig is.(Albert Einstein)
Das EndeVielen Dank fuer Ihre Aufmerksamkeit
–Trustworthy Computing (TwC) Sicherheit, Datenschutz und Zuverlaessigkeit von Software, Diensten und Produkten sowie Integritaet im . Mgmt Server und Mgmt Service - Port 1433 mit MS SQL Server . –DNS –LDAP Kerberos Auth. von Client zu AD –Failback zu NTLM
