Microsoft Remote Access im Wandel der Zeiten - IT@STADION
←
→
Page content transcription
If your browser does not render page correctly, please read the page content below
IT@STADION 2019:
Microsoft Remote Access
im Wandel der Zeiten
▪ Karsten Hentrup karsten.hentrup@iteracon.de
▪ Michael van Laak michael.vanlaak@iteracon.de
© 2019 iteracon
© 2015 GmbH |⚫Carlstr.
iteracon GmbH www.iteracon.de
50 | 52531 Übach-Palenberg | thomas.froitzheim@iteracon.de
Schwarmintelligenz
▪ Karsten Hentrup
➢ Seit 2013 Senior Consultant + Security Lead, iteracon GmbH
➢ 2004 – 2012 IT-Consultant und –Trainer, Freelance
➢ 1999 – 2004 IT-Trainer, Administrator, Microrep GmbH
▪ Schwerpunkte und Erfahrung
➢ Planung, Beratung, Training, Coaching, Implementierung, Trouble Shooting und Monitoring von:
➢ Microsoft Internet Security & Acceleration Server (ISA) 200*,
➢ Microsoft Threat Management Gateway (TMG) 2010,
➢ Microsoft Unified Access Gateway (UAG) 2010,
➢ Microsoft Windows Server 201* Unified Remote Access (URA),
➢ Alle Varianten von Microsoft DirectAccess (DA),
➢ Microsoft Always On VPN,
➢ Azure Multi-Factor Authentication (MFA),
➢ Microsoft Advanced Threat Analytics (ATA),
➢ Microsoft Azure Advanced Threat Protection (Azure ATP),
➢ Microsoft Defender Advanced Threat Protection (MD ATP),
➢ Office 365 Advanced Threat Protection (O365 ATP),
➢ PKI mit Microsoft Active Directory Certificate Services (AD CS).
© 2019 iteracon GmbH | Carlstr. 50 | 52531 Übach-Palenberg | karsten.hentrup@iteracon.de | Folie 1
Schwarmintelligenz
▪ Dipl.-Inform. Michael van Laak
➢ Senior Consultant ab 01/2010
Technical Lead
➢ 01/1999 bis 12/2009
Competence Center Backoffice
ComConsult Beratung und Planung GmbH
▪ Schwerpunkte und Erfahrung
➢ Strategische IT-Beratung,
➢ Planung, Implementierung und Migration von Unified Communications Umgebungen,
insbesondere Skype for Business (on-premises und online) und Microsoft Teams,
➢ Planung, Implementierung und Migration Active Directory,
➢ Planung, Implementierung und Migration Windows Server und Client,
➢ Windows 10 Deployment und Management mit Windows AutoPilot und Microsoft Intune,
➢ PKI mit Microsoft Active Directory Certificate Services (AD CS),
➢ Azure Multi-Factor Authentication (MFA),
➢ Advanced Threat Analytics (ATA), Advanced Thread Protection (ATP),
➢ Microsoft Windows Server 201* Unified Remote Access (URA),
➢ Trouble Shooting in komplexen und verteilten IT Infrastrukturen.
© 2019 iteracon GmbH | Carlstr. 50 | 52531 Übach-Palenberg | karsten.hentrup@iteracon.de | Folie 2
Agenda ▪ dope dolizzle dapibizzle owned tempizzle check out this. Maurizzle pellentesque nibh et ma nizzle. Da bomb ▪ izzle tortizzle. For sure sizzle rhoncizzle . Go to hizzle hizzle habitasse boom shackalack dictumst. Yo mamma ▪ dapibizzle. Shiz tellizzle urna, pretizzle eu, mattizzle ac, eleifend i'm in the shizzle, nunc. Bizzle suscipizzle. ▪ Integer semper velit sizzle fo shizzle. ▪ Sizzle boofron. Aliquizzle sagittizzle massa izzle maurizzle. Vestibulizzle ante i'm in the shizzle primizzle in shiz ▪ shizzle my nizzle crocodizzle fo izzle ultrices posuere cubilia Dang; Aenean my shizz. Pellentesque fo shizzle ▪ morbi you son of a bizzle senectus check out this dope da bomb malesuada fames ac i'm in the shizzle ▪ egestas. Funky fresh tempizzle hendrerit boofron. Cool erat mah nizzle. Vivamizzle shizzlin dizzle enizzle, ▪ scelerisque ac, dignissim go to hizzle, da bomb vel, arcu. Things fo. Donizzle for sure, est dizzle pharetra ma ▪ nizzle, magna own yo' ghetto neque, nizzle sure urna dolizzle quizzle bizzle. Vivamizzle tellus neque, fo shizzle ▪ izzle, ornare izzle, vulputate non, leo. Praesent purus sizzle, bibendum sit break it down, interdizzle vehicula, nizzle, ▪ magna own yo' ghetto neque, nizzle sure urna dolizzle quizzle bizzle. Vivamizzle tellus neque, fo shizzle ▪ izzle, ornare izzle, vulputate non, leo. Praesent purus sizzle, bibendum sit break it down, interdizzle vehicula, ▪ fo shizzle my nizzle funky fresh, arcu. Aenizzle sure you son of a bizzle izzle est ullamcorper tincidunt. Yo ▪ mamma things. Maurizzle sure urna, pizzle id, scelerisque yo mamma, mah nizzle tellivizzle, mah nizzle. Etiam ▪ Integer my shizz metus at arcu interdum aliquizzle. Rizzle posuere. Sed nizzle ante. Dizzle pede, hendrerit ▪ izzle, condimentum izzle, things quizzle, my shizz. Vestibulizzle feugiat. Ut mah nizzle ultricizzle leo. Brizzle ▪ gangsta, orci pizzle suscipizzle vulputate, dizzle lacus my shizz tellus, in crackalackin diam fo shizzle nizzle ▪ mah nizzle. Maecenizzle daahng dawg velit. Quisque things fo shizzle, nonummy fo shizzle, malesuada izzle, ▪ fo shizzle varizzle, cool. In brizzle, ligula its fo rizzle pretizzle hendrerizzle, velit nibh own yo' fizzle, a cool justo ▪ fo shizzle mah nizzle fo rizzle, mah home g-dizzle sit bling bling augue. Sure ma nizzle lacus nizzle odio doggy ▪ crackalackin. Quisque aliquet tempizzle justo. Nizzle vehicula hendrerizzle mauris. Suspendisse nizzle. Crizzle ▪ we gonna chung leo a tellivizzle. Etiam pellentesque. Get down get down hizzle its fo rizzle ghetto own yo'. ▪ Crizzle doggy fo shizzle dang dizzle yo that's the shizzle. Phasellizzle erizzle ante, go to hizzle shut the shizzle ▪ up, fringilla a, consectetizzle pimpin', nisl. Nizzle vizzle nibh pot doggy tempizzle boofron. ▪ Crizzle aliquam bow wow wow shiz mi. Cum socizzle gizzle penatibizzle bling bling magnizzle shizznit ▪ parturient montes, nascetur ridiculus mizzle. Fo sure crazy, molestie quizzle, convallizzle uhuh ... yih!, ▪ sollicitudizzle eget, crazy. Hizzle viverra my shizz commodo libero. Donizzle sagittis. Crunk phat orci, pizzle fo ▪ shizzle mah nizzle fo rizzle, mah home g-dizzle, aliquizzle a, my shizz izzle, brizzle. Cras imperdizzle, nulla sit ▪ amizzle commodo gravida, dui lectizzle boofron enizzle, a hendrerit nunc est scelerisque velizzle. Pellentesque ▪ quis odio. Nizzle i saw beyonces tizzles and my pizzle went crizzle dolizzle nizzle fo shizzle my nizzle. Nulla ▪ Brizzle cool cool izzle sem. Rizzle in dui izzle phat bizzle interdizzle. auctizzle pharetra you son of a bizzle. ▪ Aliquam luctus you son of a bizzle neque. Aliquam erizzle dope. Rizzle sit amizzle bling bling. Get down get ▪ down owned felizzle at nunc. Aenean a . Quisque lorem justo, molestie dapibus, mollizzle we gonna chung, ▪ fizzle nec, you son of a bizzle. Bow wow wow you son of a bizzle felis in sapizzle cool consequizzle. Integer ▪ nizzle . Crizzle shizzle my nizzle crocodizzle. Morbi sizzle tortizzle, pot vizzle, pharetra a, malesuada izzle, yo. ▪ Pellentesque dapibizzle owned boom shackalack. Maurizzle ghetto orci, uhuh ... yih! quis, vehicula izzle, own yo ▪ ' sizzle, augue. Get down get down dang. Black fo shizzle sapizzle fo shizzle my nizzle bling bling semper ▪ mattis. Mofo lectizzle away, facilisis fo shizzle my nizzle, tempus eu, break yo neck, yall izzle, own yo'. ▪ My shizz interdizzle. Bling bling daahng dawg. Maecenas nisl. Hizzle mammasay mammasa mamma oo sa i'm ▪ in the shizzle, ullamcorpizzle dope, ullamcorpizzle , scelerisque et, leo. Morbi crunk gangster. Yo . Morbi ▪ nonummy, nisl i'm in the shizzle fringilla cursus, yo mamma mi ma nizzle gangster, ma nizzle dizzle break it ▪ down enizzle vel augue. Curabitur ma nizzle nibh vel elit. Sheezy bibendum fizzle nizzle izzle. Crizzle that's the ▪ shizzle, metizzle check out this varizzle da bomb, lorem eros pharetra hizzle, eu its fo rizzle tellivizzle gangsta ▪ shiz i saw beyonces tizzles and my pizzle went crizzle. Aliquam luctus you son of a bizzle ▪ neque. Aliquam erizzle dope. Rizzle sit amizzle bling bling. Get down get ▪ down owned felizzle at nunc. Aenean a . Quisque lorem justo, molestie dapibus, mollizzle we gonna chung, ▪ fizzle nec, you son of a bizzle. Bow wow wow you son of a bizzle felis in sapizzle cool consequizzle. Integer ▪ nizzle . Crizzle shizzle my nizzle crocodizzle. Morbi sizzle tortizzle, pot vizzle, pharetra a, malesuada izzle, yo. ▪ Pellentesque dapibizzle owned boom shackalack. Maurizzle ghetto orci, uhuh ... yih! quis, vehicula izzle, own yo ▪ ' sizzle, augue. Get down get down dang. Black fo shizzle sapizzle fo shizzle my nizzle bling bling semper ▪ mattis. Mofo lectizzle away, facilisis fo shizzle my nizzle, tempus eu, break yo neck, yall izzle, own yo'. ▪ My shizz interdizzle. Bling bling daahng dawg. Maecenas nisl. Hizzle mammasay mammasa mamma oo sa i'm ▪ in the shizzle, ullamcorpizzle dope, ullamcorpizzle , scelerisque et, leo. Morbi crunk gangster. Yo . Morbi ▪ nonummy, nisl i'm in the shizzle fringilla cursus, yo mamma mi ma nizzle gangster, ma nizzle dizzle break it ▪ down enizzle vel augue. Curabitur ma nizzle nibh vel elit. Sheezy bibendum fizzle nizzle izzle. Crizzle that's the ▪ shizzle, metizzle check out this varizzle da bomb, lorem eros pharetra hizzle, eu its fo rizzle tellivizzle gangsta ▪ shiz i saw beyonces tizzles and my pizzle went crizzle. Crizzle aliquam bow wow wow shiz mi. Cum socizzle ▪ parturient montes, nascetur ridiculus mizzle. Fo sure crazy, molestie quizzle, convallizzle uhuh ... yih!, ▪ sollicitudizzle eget, crazy. Hizzle viverra my shizz commodo libero. Donizzle sagittis. Crunk phat orci, pizzle fo ▪ shizzle mah nizzle fo rizzle, mah home g-dizzle, aliquizzle a, my shizz izzle, brizzle. Cras imperdizzle, nulla sit ▪ amizzle commodo gravida, dui lectizzle boofron enizzle, a hendrerit nunc est scelerisque velizzle. Pellentesque ▪ quis odio. Nizzle i saw beyonces tizzles and my pizzle went crizzle dolizzle nizzle fo shizzle my nizzle. Nulla © 2019 iteracon GmbH | Carlstr. 50 | 52531 Übach-Palenberg | karsten.hentrup@iteracon.de | Folie 3
Microsoft Remote Access
STUFE 1
© 2019 iteracon GmbH | Carlstr. 50 | 52531 Übach-Palenberg | karsten.hentrup@iteracon.de | Folie 4
Stufe 1 – LAN (Local Area Network)
Vorteile:
▪ Klare Trennung für
Mensch und Technik
▪ Übersichtlich
Nachteile:
▪ Eingeschränkte
Interoperabilität
▪ Man muss vor Ort sein
© 2019 iteracon GmbH | Carlstr. 50 | 52531 Übach-Palenberg | karsten.hentrup@iteracon.de | Folie 5
Microsoft Remote Access
STUFE 2
© 2019 iteracon GmbH | Carlstr. 50 | 52531 Übach-Palenberg | karsten.hentrup@iteracon.de | Folie 6
Stufe 2 – Windows 2000 RRAS (als Download für NT 4.0)
Vorteile:
▪ Einwahl in
Firmenstrukturen
▪ Zugriff auf interne
Ressourcen
Nachteile:
▪ Gegebenenfalls teuer
▪ Langsam
© 2019 iteracon GmbH | Carlstr. 50 | 52531 Übach-Palenberg | karsten.hentrup@iteracon.de | Folie 7
Stufe 2 – Terminal Server
Vorteile:
▪ Mehrbenutzersystem
▪ Remote nutzbar
Nachteile:
▪ Eigene Security Strukturen nötig
bzw. zu beachten
▪ Nicht alle Anwendungen sind
“Terminal-fähig”
© 2019 iteracon GmbH | Carlstr. 50 | 52531 Übach-Palenberg | karsten.hentrup@iteracon.de | Folie 8
Microsoft Remote Access
STUFE 3
© 2019 iteracon GmbH | Carlstr. 50 | 52531 Übach-Palenberg | karsten.hentrup@iteracon.de | Folie 9Stufe 3 – Windows Server 2008 Secure Socket Tunneling Protocol (SSTP)
Vorteile:
▪ Flexibler als andere Tunneling
Protokolle, da https
▪ Einfach einzurichten
Nachteile:
▪ CRL muss erreichbar sein
▪ Kein selektives Tunneling
ohne Admin-Rechte
© 2019 iteracon GmbH | Carlstr. 50 | 52531 Übach-Palenberg | karsten.hentrup@iteracon.de | Folie 10Stufe 3 – ISA, TMG
Vorteile:
▪ Firewall, Forward + Reverse
Proxy, VPN-Gateway
▪ Eierlegende Wollmilchsau
Nachteile:
▪ Routing-Optionen limitiert
▪ EOL
© 2019 iteracon GmbH | Carlstr. 50 | 52531 Übach-Palenberg | karsten.hentrup@iteracon.de | Folie 11Stufe 3 – IAG, UAG, DirectAccess
Vorteile:
▪ Zusätzliche zu TMG eine
Portallösung
▪ Erste empfehlenswerte
DirectAccess Version
Nachteile:
▪ Überfrachtete Konfiguration
▪ UAG = Unmenschliche
Ausdauer Gefordert
© 2019 iteracon GmbH | Carlstr. 50 | 52531 Übach-Palenberg | karsten.hentrup@iteracon.de | Folie 12Microsoft Remote Access
STUFE 4
© 2019 iteracon GmbH | Carlstr. 50 | 52531 Übach-Palenberg | karsten.hentrup@iteracon.de | Folie 13Stufe 4 – Unified Remote Access (URA), DirectAccess + Always On VPN
Vorteile:
▪ Transparente VPN
Technologie
▪ Natives Manage-Out, dank
Device-Tunnel
Nachteile:
▪ Komplexe Einrichtung
▪ Schweres Troubleshooting
© 2019 iteracon GmbH | Carlstr. 50 | 52531 Übach-Palenberg | karsten.hentrup@iteracon.de | Folie 14Stufe 4 – Always On VPN Komponenten © 2019 iteracon GmbH | Carlstr. 50 | 52531 Übach-Palenberg | karsten.hentrup@iteracon.de | Folie 15
Stufe 4 – Always On VPN: Pro-Argumente
▪ Transparente Verbindungen möglich
▪ Verbindungsoptionen: always on, app getriggert
▪ IPv4 + IPv6
▪ Traffic Filtering in RRAS möglich
▪ Azure AD Conditional Access Integration
zur erhöhten Sicherheit möglich (als Alternative zu NAP)
▪ Modern Management, z.B. via MDM
▪ Clients müssen nicht domain-joined sein
▪ Serverseitig auch 3rd Party möglich
▪ Fallback von IKEv2 auf SSTP möglich
▪ Mit Multi-Factor Authentication ergänzbar (dann aber nicht mehr transparent!)
© 2019 iteracon GmbH | Carlstr. 50 | 52531 Übach-Palenberg | karsten.hentrup@iteracon.de | Folie 16Stufe 4 – Always On VPN: Kontra-Argumente
▪ GPOs können nicht zur Konfiguration verwendet werden (Ausnahme: Anmelde-Skripte)
▪ Always On unterstützt nur Windows 10 ≥ 1607
▪ Device Tunnel nur mit der Enterprise Edition
und Windows 10 ≥ 1709 möglich (in 1709 RASMAN Bug, daher besser 1803)
▪ Kein Multisite von Haus aus implementiert, aber mit einem global DNS-Loadbalancer
„nachrüstbar“ (z.B. Azure Traffic Manager, F5 GTM, …)
▪ Kein NAP mehr verfügbar für Compliance-Check,
aber Azure AD Conditional Access ist denkbar
© 2019 iteracon GmbH | Carlstr. 50 | 52531 Übach-Palenberg | karsten.hentrup@iteracon.de | Folie 17Stufe 4 – Software as a Service (SaaS) in Office 365
Vorteile:
▪ Günstige Variante für klassische
Microsoft Dienste (Exchange,
SharePoint, OneDrive, …)
▪ Vergleichsweise einfaches
Onboarding
Nachteile:
▪ Externes Troubleshooting via
Ticketeröffnung
▪ Backup ist ggf ein schwieriges
Thema
© 2019 iteracon GmbH | Carlstr. 50 | 52531 Übach-Palenberg | karsten.hentrup@iteracon.de | Folie 18Stufe 4 – URA + O365
MFA
AD
ATP
Gateways
LAN
Laptop
ATP
Internet
ATP MFA
Office 365
© 2019 iteracon GmbH | Carlstr. 50 | 52531 Übach-Palenberg | karsten.hentrup@iteracon.de | Folie 19Stufe 4 – Infrastructure as a Service (IaaS) in Microsoft Azure
Vorteile:
▪ Dynamische Erweiterbarkeit
▪ Komplette RZ-Technologie
inklusive Hypervisor
Nachteile:
▪ Gerne unübersichtlich
▪ Einige Optionen nur per
PowerHELL
© 2019 iteracon GmbH | Carlstr. 50 | 52531 Übach-Palenberg | karsten.hentrup@iteracon.de | Folie 20Stufe 4 – Geräteverwaltung mittels Microsoft Intune
Vorteile:
▪ Verwaltung aller mobilen
Endgeräte, nicht nur
Smartphones
▪ Modern Management
Nachteile:
▪ Hybrid Management hat
keine Zukunft
▪ Windows 10 Onboarding
und Verwaltung ist noch
sperrig
© 2019 iteracon GmbH | Carlstr. 50 | 52531 Übach-Palenberg | karsten.hentrup@iteracon.de | Folie 21Stufe 4 – Remote Desktop Services, Reverse Proxy
Vorteile:
▪ RDS bewährte Technologie
▪ AAD App Proxy einfach
ausrollbar
Nachteile:
▪ Terminal Themen
grundsätzlich (s.o.)
▪ AAD App Proxy wenige
Konfigurationsoptionen
© 2019 iteracon GmbH | Carlstr. 50 | 52531 Übach-Palenberg | karsten.hentrup@iteracon.de | Folie 22Stufe 4 – Cloud only
CA
MFA
Gateways Azure
Laptop
ATP CA
MFA
Intune
Internet
ATP MFA
Office 365
© 2019 iteracon GmbH | Carlstr. 50 | 52531 Übach-Palenberg | karsten.hentrup@iteracon.de | Folie 23Microsoft Remote Access
IGNITION
AND LIFT-OFF
© 2019 iteracon GmbH | Carlstr. 50 | 52531 Übach-Palenberg | karsten.hentrup@iteracon.de | Folie 24Ignition and Lift-Off
Riskieren wir einen Blick in die Zukunft!
© 2019 iteracon GmbH | Carlstr. 50 | 52531 Übach-Palenberg | karsten.hentrup@iteracon.de | Folie 25Ignition and Lift-Off
Bleiben da noch Fragen offen?
© 2019 iteracon GmbH | Carlstr. 50 | 52531 Übach-Palenberg | karsten.hentrup@iteracon.de | Folie 26Space-Links
▪ Microsoft Always On VPN: https://docs.microsoft.com/de-de/windows-server/remote/remote-
access/vpn/always-on-vpn/
▪ Let‘s Talk – Always On VPN: https://www.youtube.com/watch?v=liZViXrX-T8
▪ Microsoft Azure: https://azure.microsoft.com/de-de/
▪ Microsoft Office 365: https://products.office.com/de-de
▪ Let‘s Talk – Microsoft ATP: https://www.youtube.com/watch?v=R6ugUYLWHg8
▪ Remote Desktop Services: https://docs.microsoft.com/de-de/windows-server/remote/remote-desktop-
services/welcome-to-rds
▪ Azure AD Application Proxy: https://docs.microsoft.com/de-de/azure/active-directory/manage-apps/application-
proxy
▪ Microsoft Multi-Factor Authentication: https://docs.microsoft.com/de-de/azure/active-
directory/authentication/concept-mfa-howitworks
▪ Azure Sentinel, ein SIEM von Microsoft: https://azure.microsoft.com/de-de/services/azure-sentinel/
© 2019 iteracon GmbH | Carlstr. 50 | 52531 Übach-Palenberg | karsten.hentrup@iteracon.de | Folie 27You can also read
