Microsoft Remote Access im Wandel der Zeiten - IT@STADION
←
→
Page content transcription
If your browser does not render page correctly, please read the page content below
IT@STADION 2019: Microsoft Remote Access im Wandel der Zeiten ▪ Karsten Hentrup karsten.hentrup@iteracon.de ▪ Michael van Laak michael.vanlaak@iteracon.de © 2019 iteracon © 2015 GmbH |⚫Carlstr. iteracon GmbH www.iteracon.de 50 | 52531 Übach-Palenberg | thomas.froitzheim@iteracon.de
Schwarmintelligenz ▪ Karsten Hentrup ➢ Seit 2013 Senior Consultant + Security Lead, iteracon GmbH ➢ 2004 – 2012 IT-Consultant und –Trainer, Freelance ➢ 1999 – 2004 IT-Trainer, Administrator, Microrep GmbH ▪ Schwerpunkte und Erfahrung ➢ Planung, Beratung, Training, Coaching, Implementierung, Trouble Shooting und Monitoring von: ➢ Microsoft Internet Security & Acceleration Server (ISA) 200*, ➢ Microsoft Threat Management Gateway (TMG) 2010, ➢ Microsoft Unified Access Gateway (UAG) 2010, ➢ Microsoft Windows Server 201* Unified Remote Access (URA), ➢ Alle Varianten von Microsoft DirectAccess (DA), ➢ Microsoft Always On VPN, ➢ Azure Multi-Factor Authentication (MFA), ➢ Microsoft Advanced Threat Analytics (ATA), ➢ Microsoft Azure Advanced Threat Protection (Azure ATP), ➢ Microsoft Defender Advanced Threat Protection (MD ATP), ➢ Office 365 Advanced Threat Protection (O365 ATP), ➢ PKI mit Microsoft Active Directory Certificate Services (AD CS). © 2019 iteracon GmbH | Carlstr. 50 | 52531 Übach-Palenberg | karsten.hentrup@iteracon.de | Folie 1
Schwarmintelligenz ▪ Dipl.-Inform. Michael van Laak ➢ Senior Consultant ab 01/2010 Technical Lead ➢ 01/1999 bis 12/2009 Competence Center Backoffice ComConsult Beratung und Planung GmbH ▪ Schwerpunkte und Erfahrung ➢ Strategische IT-Beratung, ➢ Planung, Implementierung und Migration von Unified Communications Umgebungen, insbesondere Skype for Business (on-premises und online) und Microsoft Teams, ➢ Planung, Implementierung und Migration Active Directory, ➢ Planung, Implementierung und Migration Windows Server und Client, ➢ Windows 10 Deployment und Management mit Windows AutoPilot und Microsoft Intune, ➢ PKI mit Microsoft Active Directory Certificate Services (AD CS), ➢ Azure Multi-Factor Authentication (MFA), ➢ Advanced Threat Analytics (ATA), Advanced Thread Protection (ATP), ➢ Microsoft Windows Server 201* Unified Remote Access (URA), ➢ Trouble Shooting in komplexen und verteilten IT Infrastrukturen. © 2019 iteracon GmbH | Carlstr. 50 | 52531 Übach-Palenberg | karsten.hentrup@iteracon.de | Folie 2
Agenda ▪ dope dolizzle dapibizzle owned tempizzle check out this. Maurizzle pellentesque nibh et ma nizzle. Da bomb ▪ izzle tortizzle. For sure sizzle rhoncizzle . Go to hizzle hizzle habitasse boom shackalack dictumst. Yo mamma ▪ dapibizzle. Shiz tellizzle urna, pretizzle eu, mattizzle ac, eleifend i'm in the shizzle, nunc. Bizzle suscipizzle. ▪ Integer semper velit sizzle fo shizzle. ▪ Sizzle boofron. Aliquizzle sagittizzle massa izzle maurizzle. Vestibulizzle ante i'm in the shizzle primizzle in shiz ▪ shizzle my nizzle crocodizzle fo izzle ultrices posuere cubilia Dang; Aenean my shizz. Pellentesque fo shizzle ▪ morbi you son of a bizzle senectus check out this dope da bomb malesuada fames ac i'm in the shizzle ▪ egestas. Funky fresh tempizzle hendrerit boofron. Cool erat mah nizzle. Vivamizzle shizzlin dizzle enizzle, ▪ scelerisque ac, dignissim go to hizzle, da bomb vel, arcu. Things fo. Donizzle for sure, est dizzle pharetra ma ▪ nizzle, magna own yo' ghetto neque, nizzle sure urna dolizzle quizzle bizzle. Vivamizzle tellus neque, fo shizzle ▪ izzle, ornare izzle, vulputate non, leo. Praesent purus sizzle, bibendum sit break it down, interdizzle vehicula, nizzle, ▪ magna own yo' ghetto neque, nizzle sure urna dolizzle quizzle bizzle. Vivamizzle tellus neque, fo shizzle ▪ izzle, ornare izzle, vulputate non, leo. Praesent purus sizzle, bibendum sit break it down, interdizzle vehicula, ▪ fo shizzle my nizzle funky fresh, arcu. Aenizzle sure you son of a bizzle izzle est ullamcorper tincidunt. Yo ▪ mamma things. Maurizzle sure urna, pizzle id, scelerisque yo mamma, mah nizzle tellivizzle, mah nizzle. Etiam ▪ Integer my shizz metus at arcu interdum aliquizzle. Rizzle posuere. Sed nizzle ante. Dizzle pede, hendrerit ▪ izzle, condimentum izzle, things quizzle, my shizz. Vestibulizzle feugiat. Ut mah nizzle ultricizzle leo. Brizzle ▪ gangsta, orci pizzle suscipizzle vulputate, dizzle lacus my shizz tellus, in crackalackin diam fo shizzle nizzle ▪ mah nizzle. Maecenizzle daahng dawg velit. Quisque things fo shizzle, nonummy fo shizzle, malesuada izzle, ▪ fo shizzle varizzle, cool. In brizzle, ligula its fo rizzle pretizzle hendrerizzle, velit nibh own yo' fizzle, a cool justo ▪ fo shizzle mah nizzle fo rizzle, mah home g-dizzle sit bling bling augue. Sure ma nizzle lacus nizzle odio doggy ▪ crackalackin. Quisque aliquet tempizzle justo. Nizzle vehicula hendrerizzle mauris. Suspendisse nizzle. Crizzle ▪ we gonna chung leo a tellivizzle. Etiam pellentesque. Get down get down hizzle its fo rizzle ghetto own yo'. ▪ Crizzle doggy fo shizzle dang dizzle yo that's the shizzle. Phasellizzle erizzle ante, go to hizzle shut the shizzle ▪ up, fringilla a, consectetizzle pimpin', nisl. Nizzle vizzle nibh pot doggy tempizzle boofron. ▪ Crizzle aliquam bow wow wow shiz mi. Cum socizzle gizzle penatibizzle bling bling magnizzle shizznit ▪ parturient montes, nascetur ridiculus mizzle. Fo sure crazy, molestie quizzle, convallizzle uhuh ... yih!, ▪ sollicitudizzle eget, crazy. Hizzle viverra my shizz commodo libero. Donizzle sagittis. Crunk phat orci, pizzle fo ▪ shizzle mah nizzle fo rizzle, mah home g-dizzle, aliquizzle a, my shizz izzle, brizzle. Cras imperdizzle, nulla sit ▪ amizzle commodo gravida, dui lectizzle boofron enizzle, a hendrerit nunc est scelerisque velizzle. Pellentesque ▪ quis odio. Nizzle i saw beyonces tizzles and my pizzle went crizzle dolizzle nizzle fo shizzle my nizzle. Nulla ▪ Brizzle cool cool izzle sem. Rizzle in dui izzle phat bizzle interdizzle. auctizzle pharetra you son of a bizzle. ▪ Aliquam luctus you son of a bizzle neque. Aliquam erizzle dope. Rizzle sit amizzle bling bling. Get down get ▪ down owned felizzle at nunc. Aenean a . Quisque lorem justo, molestie dapibus, mollizzle we gonna chung, ▪ fizzle nec, you son of a bizzle. Bow wow wow you son of a bizzle felis in sapizzle cool consequizzle. Integer ▪ nizzle . Crizzle shizzle my nizzle crocodizzle. Morbi sizzle tortizzle, pot vizzle, pharetra a, malesuada izzle, yo. ▪ Pellentesque dapibizzle owned boom shackalack. Maurizzle ghetto orci, uhuh ... yih! quis, vehicula izzle, own yo ▪ ' sizzle, augue. Get down get down dang. Black fo shizzle sapizzle fo shizzle my nizzle bling bling semper ▪ mattis. Mofo lectizzle away, facilisis fo shizzle my nizzle, tempus eu, break yo neck, yall izzle, own yo'. ▪ My shizz interdizzle. Bling bling daahng dawg. Maecenas nisl. Hizzle mammasay mammasa mamma oo sa i'm ▪ in the shizzle, ullamcorpizzle dope, ullamcorpizzle , scelerisque et, leo. Morbi crunk gangster. Yo . Morbi ▪ nonummy, nisl i'm in the shizzle fringilla cursus, yo mamma mi ma nizzle gangster, ma nizzle dizzle break it ▪ down enizzle vel augue. Curabitur ma nizzle nibh vel elit. Sheezy bibendum fizzle nizzle izzle. Crizzle that's the ▪ shizzle, metizzle check out this varizzle da bomb, lorem eros pharetra hizzle, eu its fo rizzle tellivizzle gangsta ▪ shiz i saw beyonces tizzles and my pizzle went crizzle. Aliquam luctus you son of a bizzle ▪ neque. Aliquam erizzle dope. Rizzle sit amizzle bling bling. Get down get ▪ down owned felizzle at nunc. Aenean a . Quisque lorem justo, molestie dapibus, mollizzle we gonna chung, ▪ fizzle nec, you son of a bizzle. Bow wow wow you son of a bizzle felis in sapizzle cool consequizzle. Integer ▪ nizzle . Crizzle shizzle my nizzle crocodizzle. Morbi sizzle tortizzle, pot vizzle, pharetra a, malesuada izzle, yo. ▪ Pellentesque dapibizzle owned boom shackalack. Maurizzle ghetto orci, uhuh ... yih! quis, vehicula izzle, own yo ▪ ' sizzle, augue. Get down get down dang. Black fo shizzle sapizzle fo shizzle my nizzle bling bling semper ▪ mattis. Mofo lectizzle away, facilisis fo shizzle my nizzle, tempus eu, break yo neck, yall izzle, own yo'. ▪ My shizz interdizzle. Bling bling daahng dawg. Maecenas nisl. Hizzle mammasay mammasa mamma oo sa i'm ▪ in the shizzle, ullamcorpizzle dope, ullamcorpizzle , scelerisque et, leo. Morbi crunk gangster. Yo . Morbi ▪ nonummy, nisl i'm in the shizzle fringilla cursus, yo mamma mi ma nizzle gangster, ma nizzle dizzle break it ▪ down enizzle vel augue. Curabitur ma nizzle nibh vel elit. Sheezy bibendum fizzle nizzle izzle. Crizzle that's the ▪ shizzle, metizzle check out this varizzle da bomb, lorem eros pharetra hizzle, eu its fo rizzle tellivizzle gangsta ▪ shiz i saw beyonces tizzles and my pizzle went crizzle. Crizzle aliquam bow wow wow shiz mi. Cum socizzle ▪ parturient montes, nascetur ridiculus mizzle. Fo sure crazy, molestie quizzle, convallizzle uhuh ... yih!, ▪ sollicitudizzle eget, crazy. Hizzle viverra my shizz commodo libero. Donizzle sagittis. Crunk phat orci, pizzle fo ▪ shizzle mah nizzle fo rizzle, mah home g-dizzle, aliquizzle a, my shizz izzle, brizzle. Cras imperdizzle, nulla sit ▪ amizzle commodo gravida, dui lectizzle boofron enizzle, a hendrerit nunc est scelerisque velizzle. Pellentesque ▪ quis odio. Nizzle i saw beyonces tizzles and my pizzle went crizzle dolizzle nizzle fo shizzle my nizzle. Nulla © 2019 iteracon GmbH | Carlstr. 50 | 52531 Übach-Palenberg | karsten.hentrup@iteracon.de | Folie 3
Microsoft Remote Access STUFE 1 © 2019 iteracon GmbH | Carlstr. 50 | 52531 Übach-Palenberg | karsten.hentrup@iteracon.de | Folie 4
Stufe 1 – LAN (Local Area Network) Vorteile: ▪ Klare Trennung für Mensch und Technik ▪ Übersichtlich Nachteile: ▪ Eingeschränkte Interoperabilität ▪ Man muss vor Ort sein © 2019 iteracon GmbH | Carlstr. 50 | 52531 Übach-Palenberg | karsten.hentrup@iteracon.de | Folie 5
Microsoft Remote Access STUFE 2 © 2019 iteracon GmbH | Carlstr. 50 | 52531 Übach-Palenberg | karsten.hentrup@iteracon.de | Folie 6
Stufe 2 – Windows 2000 RRAS (als Download für NT 4.0) Vorteile: ▪ Einwahl in Firmenstrukturen ▪ Zugriff auf interne Ressourcen Nachteile: ▪ Gegebenenfalls teuer ▪ Langsam © 2019 iteracon GmbH | Carlstr. 50 | 52531 Übach-Palenberg | karsten.hentrup@iteracon.de | Folie 7
Stufe 2 – Terminal Server Vorteile: ▪ Mehrbenutzersystem ▪ Remote nutzbar Nachteile: ▪ Eigene Security Strukturen nötig bzw. zu beachten ▪ Nicht alle Anwendungen sind “Terminal-fähig” © 2019 iteracon GmbH | Carlstr. 50 | 52531 Übach-Palenberg | karsten.hentrup@iteracon.de | Folie 8
Microsoft Remote Access STUFE 3 © 2019 iteracon GmbH | Carlstr. 50 | 52531 Übach-Palenberg | karsten.hentrup@iteracon.de | Folie 9
Stufe 3 – Windows Server 2008 Secure Socket Tunneling Protocol (SSTP) Vorteile: ▪ Flexibler als andere Tunneling Protokolle, da https ▪ Einfach einzurichten Nachteile: ▪ CRL muss erreichbar sein ▪ Kein selektives Tunneling ohne Admin-Rechte © 2019 iteracon GmbH | Carlstr. 50 | 52531 Übach-Palenberg | karsten.hentrup@iteracon.de | Folie 10
Stufe 3 – ISA, TMG Vorteile: ▪ Firewall, Forward + Reverse Proxy, VPN-Gateway ▪ Eierlegende Wollmilchsau Nachteile: ▪ Routing-Optionen limitiert ▪ EOL © 2019 iteracon GmbH | Carlstr. 50 | 52531 Übach-Palenberg | karsten.hentrup@iteracon.de | Folie 11
Stufe 3 – IAG, UAG, DirectAccess Vorteile: ▪ Zusätzliche zu TMG eine Portallösung ▪ Erste empfehlenswerte DirectAccess Version Nachteile: ▪ Überfrachtete Konfiguration ▪ UAG = Unmenschliche Ausdauer Gefordert © 2019 iteracon GmbH | Carlstr. 50 | 52531 Übach-Palenberg | karsten.hentrup@iteracon.de | Folie 12
Microsoft Remote Access STUFE 4 © 2019 iteracon GmbH | Carlstr. 50 | 52531 Übach-Palenberg | karsten.hentrup@iteracon.de | Folie 13
Stufe 4 – Unified Remote Access (URA), DirectAccess + Always On VPN Vorteile: ▪ Transparente VPN Technologie ▪ Natives Manage-Out, dank Device-Tunnel Nachteile: ▪ Komplexe Einrichtung ▪ Schweres Troubleshooting © 2019 iteracon GmbH | Carlstr. 50 | 52531 Übach-Palenberg | karsten.hentrup@iteracon.de | Folie 14
Stufe 4 – Always On VPN Komponenten © 2019 iteracon GmbH | Carlstr. 50 | 52531 Übach-Palenberg | karsten.hentrup@iteracon.de | Folie 15
Stufe 4 – Always On VPN: Pro-Argumente ▪ Transparente Verbindungen möglich ▪ Verbindungsoptionen: always on, app getriggert ▪ IPv4 + IPv6 ▪ Traffic Filtering in RRAS möglich ▪ Azure AD Conditional Access Integration zur erhöhten Sicherheit möglich (als Alternative zu NAP) ▪ Modern Management, z.B. via MDM ▪ Clients müssen nicht domain-joined sein ▪ Serverseitig auch 3rd Party möglich ▪ Fallback von IKEv2 auf SSTP möglich ▪ Mit Multi-Factor Authentication ergänzbar (dann aber nicht mehr transparent!) © 2019 iteracon GmbH | Carlstr. 50 | 52531 Übach-Palenberg | karsten.hentrup@iteracon.de | Folie 16
Stufe 4 – Always On VPN: Kontra-Argumente ▪ GPOs können nicht zur Konfiguration verwendet werden (Ausnahme: Anmelde-Skripte) ▪ Always On unterstützt nur Windows 10 ≥ 1607 ▪ Device Tunnel nur mit der Enterprise Edition und Windows 10 ≥ 1709 möglich (in 1709 RASMAN Bug, daher besser 1803) ▪ Kein Multisite von Haus aus implementiert, aber mit einem global DNS-Loadbalancer „nachrüstbar“ (z.B. Azure Traffic Manager, F5 GTM, …) ▪ Kein NAP mehr verfügbar für Compliance-Check, aber Azure AD Conditional Access ist denkbar © 2019 iteracon GmbH | Carlstr. 50 | 52531 Übach-Palenberg | karsten.hentrup@iteracon.de | Folie 17
Stufe 4 – Software as a Service (SaaS) in Office 365 Vorteile: ▪ Günstige Variante für klassische Microsoft Dienste (Exchange, SharePoint, OneDrive, …) ▪ Vergleichsweise einfaches Onboarding Nachteile: ▪ Externes Troubleshooting via Ticketeröffnung ▪ Backup ist ggf ein schwieriges Thema © 2019 iteracon GmbH | Carlstr. 50 | 52531 Übach-Palenberg | karsten.hentrup@iteracon.de | Folie 18
Stufe 4 – URA + O365 MFA AD ATP Gateways LAN Laptop ATP Internet ATP MFA Office 365 © 2019 iteracon GmbH | Carlstr. 50 | 52531 Übach-Palenberg | karsten.hentrup@iteracon.de | Folie 19
Stufe 4 – Infrastructure as a Service (IaaS) in Microsoft Azure Vorteile: ▪ Dynamische Erweiterbarkeit ▪ Komplette RZ-Technologie inklusive Hypervisor Nachteile: ▪ Gerne unübersichtlich ▪ Einige Optionen nur per PowerHELL © 2019 iteracon GmbH | Carlstr. 50 | 52531 Übach-Palenberg | karsten.hentrup@iteracon.de | Folie 20
Stufe 4 – Geräteverwaltung mittels Microsoft Intune Vorteile: ▪ Verwaltung aller mobilen Endgeräte, nicht nur Smartphones ▪ Modern Management Nachteile: ▪ Hybrid Management hat keine Zukunft ▪ Windows 10 Onboarding und Verwaltung ist noch sperrig © 2019 iteracon GmbH | Carlstr. 50 | 52531 Übach-Palenberg | karsten.hentrup@iteracon.de | Folie 21
Stufe 4 – Remote Desktop Services, Reverse Proxy Vorteile: ▪ RDS bewährte Technologie ▪ AAD App Proxy einfach ausrollbar Nachteile: ▪ Terminal Themen grundsätzlich (s.o.) ▪ AAD App Proxy wenige Konfigurationsoptionen © 2019 iteracon GmbH | Carlstr. 50 | 52531 Übach-Palenberg | karsten.hentrup@iteracon.de | Folie 22
Stufe 4 – Cloud only CA MFA Gateways Azure Laptop ATP CA MFA Intune Internet ATP MFA Office 365 © 2019 iteracon GmbH | Carlstr. 50 | 52531 Übach-Palenberg | karsten.hentrup@iteracon.de | Folie 23
Microsoft Remote Access IGNITION AND LIFT-OFF © 2019 iteracon GmbH | Carlstr. 50 | 52531 Übach-Palenberg | karsten.hentrup@iteracon.de | Folie 24
Ignition and Lift-Off Riskieren wir einen Blick in die Zukunft! © 2019 iteracon GmbH | Carlstr. 50 | 52531 Übach-Palenberg | karsten.hentrup@iteracon.de | Folie 25
Ignition and Lift-Off Bleiben da noch Fragen offen? © 2019 iteracon GmbH | Carlstr. 50 | 52531 Übach-Palenberg | karsten.hentrup@iteracon.de | Folie 26
Space-Links ▪ Microsoft Always On VPN: https://docs.microsoft.com/de-de/windows-server/remote/remote- access/vpn/always-on-vpn/ ▪ Let‘s Talk – Always On VPN: https://www.youtube.com/watch?v=liZViXrX-T8 ▪ Microsoft Azure: https://azure.microsoft.com/de-de/ ▪ Microsoft Office 365: https://products.office.com/de-de ▪ Let‘s Talk – Microsoft ATP: https://www.youtube.com/watch?v=R6ugUYLWHg8 ▪ Remote Desktop Services: https://docs.microsoft.com/de-de/windows-server/remote/remote-desktop- services/welcome-to-rds ▪ Azure AD Application Proxy: https://docs.microsoft.com/de-de/azure/active-directory/manage-apps/application- proxy ▪ Microsoft Multi-Factor Authentication: https://docs.microsoft.com/de-de/azure/active- directory/authentication/concept-mfa-howitworks ▪ Azure Sentinel, ein SIEM von Microsoft: https://azure.microsoft.com/de-de/services/azure-sentinel/ © 2019 iteracon GmbH | Carlstr. 50 | 52531 Übach-Palenberg | karsten.hentrup@iteracon.de | Folie 27
You can also read