38
Deep Dive : Kerberos, Protocol Transition und Constrained Delegation Kai Wilke Consultant IT-Security MVP ISA Server und Security (a.D.) ITaCS GmbH mailto:[email protected]

Kai Wilke Consultant IT-Security MVP ISA Server und Security (a.D.) ITaCS GmbH mailto:[email protected]

Embed Size (px)

Citation preview

Page 1: Kai Wilke Consultant IT-Security MVP ISA Server und Security (a.D.) ITaCS GmbH mailto:kw@itacs.de

Deep Dive :

Kerberos, Protocol Transition und Constrained DelegationKai WilkeConsultant IT-SecurityMVP ISA Server und Security (a.D.)ITaCS GmbHmailto:[email protected]

Page 2: Kai Wilke Consultant IT-Security MVP ISA Server und Security (a.D.) ITaCS GmbH mailto:kw@itacs.de

Was ist überhaupt Kerberos?

In der Netzwerkwelt ist es ein de facto Standard

Entwickelt vom MIT und in RFC 1510 niedergeschriebenBietet leistungsfähige, sichere und hetrogene AuthentifizierungKerberos V5 ermöglicht eine Federation und Delegation

Im AD ist Kerberos das primäre Anmeldeprotokoll

LM und NTLM (v1/v2) sind nur noch legacy ProtokolleEs ist einfach da und muss wenig beachtet werden...

„Cerberus“ war ein dreiköpfiger Wachhund vor den Toren Hades

1. Kopf = Client Principal2. Kopf = Service Principal3. Kopf = Kerberos Dienste

Page 3: Kai Wilke Consultant IT-Security MVP ISA Server und Security (a.D.) ITaCS GmbH mailto:kw@itacs.de

Wenn Entwickler mir Emails zusenden …

…, dann hinterfrage ich viele Details!

Page 4: Kai Wilke Consultant IT-Security MVP ISA Server und Security (a.D.) ITaCS GmbH mailto:kw@itacs.de

Agenda

1x1 der Authentifizierung und Authorisierung

Trusted Subsystem vs. Impersonation ModelProzesskonten und Zugriffe auf Ressourcen

Deep Dive in das Kerberos ProtokollAuthentifizierung und Zugriffe auf RessourcenKerberos Service Principal Names (SPNs)Kerberos Delegation und W2K3 Extensions

Kerberos Constrained Delegation (A2D2)Kerberos Protocol Transition (T2A4D)

Zusammenfassung und Ressourcen

Page 5: Kai Wilke Consultant IT-Security MVP ISA Server und Security (a.D.) ITaCS GmbH mailto:kw@itacs.de

Was darf ich tun?

Authentifizierung und Authorisierung

Im Falle des „Trusted Subsystems“Die Anwendung steuert die Authorisierung der Benutzer.Auf Ressourcen wird hierbei mit der Prozess-Identität der Anwendung zugegriffen.

Im Falle des „Impersonation Models“Die Anwendung impersoniert den Benutzer und die Ressource steuert eigenständig die Authorisierung.Lokale Zugriffe (Impersonation) und Remote-Zugriffe (Delegation).

Wer bin ich?

Authorisierung

Authentifizierung

Page 6: Kai Wilke Consultant IT-Security MVP ISA Server und Security (a.D.) ITaCS GmbH mailto:kw@itacs.de

Trusted Subsystem vs. Impersonation Model

Trusted SubsystemAnwendung verwendet eine feste IdentitätAnwendung kann die Authentifizierung steuernAnwendung muss die Authorisierung und das Auditing steuernHohe Performance durch Connection Pooling zu Backend-ServernVerteilte Umgebungen benötigen keine AD-Mitgliedschaft

Impersonation Model (Identification / Impersonation / Delegation)

Anwendung verwendet für Aktionen die BenutzeridentitätNative Authorisierung und Auditing an der Ziel-RessourceSkalierung wird durch eine Vielzahl von Identitäten und Connections zu der Ressource beeinträchtigtDelegierung der Authentifzierungsdaten zu den Backend-Servern

Kerberos als Authentifizierungs-Protokoll hierbei erforderlich

Page 7: Kai Wilke Consultant IT-Security MVP ISA Server und Security (a.D.) ITaCS GmbH mailto:kw@itacs.de

Prozesskonten und Zugriffe auf RessourcenTrusted Subsystem

Remote ZugriffLokaler ZugriffAnwendungsident

itätAPP1$Network ServiceNetwork Service

ANONYMOUSLocal ServiceLocal Service

APP1$SYSTEMLocal System

WEB1WEB1Dom Account: WEB1

Mini’meWP

Unbedingt den Domänennamen mit angeben (CONTOSO\WEB1)Pre2008: Das Domänenkonto sollte zur lokalen IIS Worker Process-Gruppe hinzugefügt werden (IIS_WPG) Win2008: Automatische Zuordnung über IIS_IUSR Gruppe

Anmeldung als Kai

Page 8: Kai Wilke Consultant IT-Security MVP ISA Server und Security (a.D.) ITaCS GmbH mailto:kw@itacs.de

Prozesskonten und Zugriffe auf RessourcenImpersonation (ohne Delegation)

Remote ZugriffLokaler ZugriffAnwendungsident

itätANONYMOUSKaiNetwork Service

ANONYMOUSKaiLocal Service

ANONYMOUSKaiLocal System

ANONYMOUSKaiDom Account: WEB1

Mini’me

Anmeldung als Kai

Lokal: Anwendungsidentität braucht „SeImpersonationPrivilege“

Konfigurierbares Systemrecht ab Windows 2000 SP4Remote: Kerberos Delegation wird benötigt, bevor Remote-Zugriffe ebenfalls Kais Identität verwenden können...

WP

Page 9: Kai Wilke Consultant IT-Security MVP ISA Server und Security (a.D.) ITaCS GmbH mailto:kw@itacs.de

Demo Environment

Client PC

Active Directory„contoso.de”

Lokaler Dateizugriff

Remote Dateizugriff

.NET 2.0 Web Anwendung(Dateizugriffs Demo)

Webserver Fileserver

AppPoolID„Network Service“

Page 10: Kai Wilke Consultant IT-Security MVP ISA Server und Security (a.D.) ITaCS GmbH mailto:kw@itacs.de

{ .Net Impersonation }

Demo Kai WilkeConsultant IT-SecurityMVP ISA Server und Security (a.D.)mailto:[email protected]

Page 11: Kai Wilke Consultant IT-Security MVP ISA Server und Security (a.D.) ITaCS GmbH mailto:kw@itacs.de

Agenda

1x1 der Authentifizierung und Authorisierung

Trusted Subsystem vs. Impersonation ModelProzesskonten und Zugriffe auf Ressourcen

Deep Dive in das Kerberos ProtokollAuthentifizierung und Zugriffe auf RessourcenKerberos Service Principal Names (SPNs)Kerberos Delegation und W2K3 Extensions

Kerberos Constrained Delegation (A2D2)Kerberos Protocol Transition (T2A4D)

Zusammenfassung und Ressourcen

Page 12: Kai Wilke Consultant IT-Security MVP ISA Server und Security (a.D.) ITaCS GmbH mailto:kw@itacs.de

Funktionsweise von KerberosDie drei Köpfe im Active Directory

USER

SERVER

KDC(Key Distribution

Center)kbrtgt

Authentifizierung über

symmetrische Verschlüsselung

Computerschlüssel wird aus dem Computerkonto

generiert

Benutzerschlüssel wird aus dem

Passwort generiertKDC-Schlüssel wird aus

dem kbrtgt-Konto generiert

Alle Köpfe sind Security Principals in der Kerberos RealmUm symmetrische Verschlüsselung nutzen zu können, müssen gemeinsame Geheimnisse vorhanden sein

Page 13: Kai Wilke Consultant IT-Security MVP ISA Server und Security (a.D.) ITaCS GmbH mailto:kw@itacs.de

Funktionsweise von KerberosAuthentifizierung im Überblick

Kai möchte authentifiziert werden

Mini’me

ST

Ein Service-Ticket für DienstX wird ausgestellt.

Wenn Kai ‘OK’ ist, wird ein Ticket-Granting-Ticket ausgestellt, das ihm erlaubt, Service-Tickets zu beantragen.

TGT

Kai beantragt ein Service-Ticket für DienstX auf Server1Er übermittelt das TGT, das ihn identifiziert.

TGTSR

ST

Dienst-Anfrage

KDC(Key Distribution

Center)

SERVER1

DienstX

Page 14: Kai Wilke Consultant IT-Security MVP ISA Server und Security (a.D.) ITaCS GmbH mailto:kw@itacs.de

Funktionsweise von KerberosKerberos Tickets

Identifiziert den Benutzer gegenüber den KDCs bei späteren Service-Ticket-Anfragen

Macht spätere Re-Authentifizierungen unnötig

Nur gültig zwischen einem Benutzer und Dienst

Bietet gegenseitige Authentifizierung zwischen den beiden Security PrincipalsBeschleunigt den Sitzungsaufbau, da der Dienst nicht den Benutzer erneut authentifizieren muss

Verschlüsselung stellt sicher, dass nur befugte Security Principals die Tickets lesen können

Ab Windows 2008 / Vista wird Suite-B verwendet!

ST

TGT

Page 15: Kai Wilke Consultant IT-Security MVP ISA Server und Security (a.D.) ITaCS GmbH mailto:kw@itacs.de

Funktionsweise von KerberosKerberos Pre-Authentifizierung

Der KDC kann eine Pre-Authentifizierung verlangen, um Brute-Force und Dictionary-Angriffe zu erschweren

Timestamp wird mit dem Benutzerschlüssel ver/entschlüsseltTimestamps müssen innerhalb der Toleranzgrenze (5 Min) liegenPre-Authentifizierung ab W2000 Security Principals aktiviert

client principal nametimestamp

krbtgt principal namerequested lifetime

AS_REQ

timestamp

kbrtgt

Benutzerschlüssel(Passwort-basiert)

KDC(Key Distribution

Center)

Page 16: Kai Wilke Consultant IT-Security MVP ISA Server und Security (a.D.) ITaCS GmbH mailto:kw@itacs.de

user-TGS key

client token

ticket lifetime

KDC timestamp

flags

TGT

user-TGS key

client token

ticket lifetime

KDC timestamp

flags

TGT

user-TGS key

client token

ticket lifetime

KDC timestamp

flags

Funktionsweise von KerberosAuthentication Server Reply (AS_REP)

Benutzer-Schlüssel

(Passwort-basiert)user-TGS key

krbtgt principal nameticket lifetime

AS_REP

kbrtgt

user-TGS key

krbtgt principal nameticket lifetime

Random Key Generation

(User-TGS Session Key)

Benutzer-Schlüssel(User-TGS-basiert)

TGT wird im Ticketcache

gespeichert und für weitere Transaktionen

verwendet

Das TGT hat eine Haltbarkeit von 10 Stunden (default)Ein Renewal ist innerhalb von 7 Tagen möglich (default)

KDC(Key Distribution

Center)

Page 17: Kai Wilke Consultant IT-Security MVP ISA Server und Security (a.D.) ITaCS GmbH mailto:kw@itacs.de

TGT

user-TGS key

client token

ticket lifetime

KDC timestamp

flags

user-TGS key

client token

ticket lifetime

KDC timestamp

flags

Funktionsweise von KerberosService Ticket Request (TGS_REQ)

service principal

requestes lifetime

TGS_REQ

kbrtgt

Authenticator

client timestampclient timestamp

Benutzer-Schlüssel(User-TGS-basiert)

KDC extrahiert den User-TGS Key aus dem TGTUhrzeit im Authenticator dient zur Re-Authentifizierung

KDC(Key Distribution

Center)

Page 18: Kai Wilke Consultant IT-Security MVP ISA Server und Security (a.D.) ITaCS GmbH mailto:kw@itacs.de

Service Ticket

user-Service key

client token

ticket lifetime

KDC timestamp

flags

user-Service key

client token

ticket lifetime

KDC timestamp

flags

Service Ticket

user-Service key

client token

ticket lifetime

KDC timestamp

flags

user-Service key

service principal

ticket lifetime

user-Service key

service principal

ticket lifetime

Funktionsweise von KerberosService Ticket Request (TGS_REP)

TGS_REP

kbrtgt

Random Key Generation(User-Service Session

Key)

ST und Key wird im Ticketcache

gespeichert und für den Service-Request

verwendet

Das ST hat eine Haltbarkeit von 600 Minuten (default)

KDC(Key Distribution

Center)Benutzer-Schlüssel(User-TGS-basiert)

User-TGS Key(extrahiert aus TGS_REQ)

Page 19: Kai Wilke Consultant IT-Security MVP ISA Server und Security (a.D.) ITaCS GmbH mailto:kw@itacs.de

user-Service key

client token

ticket lifetime

KDC timestamp

flags

user-Service key

client token

ticket lifetime

KDC timestamp

flags

DienstX

client timestampclient timestamp

Funktionsweise von KerberosZugriff auf den Service

Service Request

Authenticator

Benutzer-Schlüssel(User-Service Session

Key)

Uhrzeit im Authenticator dient erneut der AuthentifizierungUser-Service Sessions Keys bieten Secure-Channels

z.B. IPSec und SSL-Verbindungen ohne Zertifikate

Service Ticket

Computer-Schlüssel

(Service Key)

SERVER1

Page 20: Kai Wilke Consultant IT-Security MVP ISA Server und Security (a.D.) ITaCS GmbH mailto:kw@itacs.de

Agenda

1x1 der Authentifizierung und Authorisierung

Trusted Subsystem vs. Impersonation ModelProzesskonten und Zugriffe auf Ressourcen

Deep Dive in das Kerberos ProtokollAuthentifizierung und Zugriffe auf RessourcenKerberos Service Principal Names (SPNs)Kerberos Delegation und W2K3 Extensions

Kerberos Constrained Delegation (A2D2)Kerberos Protocol Transition (T2A4D)

Zusammenfassung und Ressourcen

Page 21: Kai Wilke Consultant IT-Security MVP ISA Server und Security (a.D.) ITaCS GmbH mailto:kw@itacs.de

Service Principal Names (SPNs)Allgemeines

Bei der Service-Ticket-Anfrage wird der Service Principal Name (SPN) übergeben

Die Client Anwendung legt den verwendeten SPN festDer SPN wird vom KDC zur Lokalisierung des Active Directory-Kontos benötigt

Die SPNs werden im servicePrincipalName Attribut gespeichert SPNs müssen in der Kerberos Realm eindeutig sein

Jedes Computerkonto hat bereits mehrere SPNs

HOST/computername.domain.deZusätzlich haben sie über 50 vordefinierte SPNs, die nicht im „servicePrincipalName“ Attribut aufgeführt sind

http/computername.domain.decifs/computername.domain.de...

Page 22: Kai Wilke Consultant IT-Security MVP ISA Server und Security (a.D.) ITaCS GmbH mailto:kw@itacs.de

Service Principal Names (SPNs)Eigene SPNs registrieren

Um sich an einem Dienst zu authentifizieren, muss der verwendete SPN dem Security Principal zugeordnet sein, der den Dienst ausführt.

Bei Network Service, Local Service oder Local System

SPNs werden dem jeweiligen Computerkonto zugeordnet

Werden Active Directory-Benutzerkonten verwendet

SPNs werden dem jeweiligen Benutzerkonto zugeordnet

„SETSPN.EXE“ ist im Windows Server 2008 nun enthalten und unterstützt neue CMD Switches.-R = Resetet den HOST SPN-Q = Nach SPNs suchen.-X = Duplicate Check für SPNs-S = Add mit Duplicate Check

Page 23: Kai Wilke Consultant IT-Security MVP ISA Server und Security (a.D.) ITaCS GmbH mailto:kw@itacs.de

Service Principal Names (SPNs)Bekannte Stolperfallen!

Internet Explorer fordet nicht eindeutige SPNs an

Verwendete URL in der Adressbar: http://srv:8000/Angefordert wird „http/srv“ anstelle von „http/srv:8000“

Wenn Benutzerkonten verwenden werden, sollte nicht der Rechnername als SPN genutzt werden

Built-In SPNs existieren bereits und können kollidierenPorts werden von den Anwendungen oft ignoriertDNS-Aliase und HTTP Hostheader sind die Lösung!

IIS7 Feature: Kernel-Mode Authentication

HTTP.SYS übernimmt die Kerberos Authentifizierung

SPNs werden hierbei dem Computer Konto zugewiesenBei Bedarf über die IIS MMC oder CMD deaktivierbar

Page 24: Kai Wilke Consultant IT-Security MVP ISA Server und Security (a.D.) ITaCS GmbH mailto:kw@itacs.de

{ Kerberos Konfiguration }

Demo Kai WilkeConsultant IT-SecurityMVP ISA Server und Security (a.D.)mailto:[email protected]

Page 25: Kai Wilke Consultant IT-Security MVP ISA Server und Security (a.D.) ITaCS GmbH mailto:kw@itacs.de

Agenda

1x1 der Authentifizierung und Authorisierung

Trusted Subsystem vs. Impersonation ModelProzesskonten und Zugriffe auf Ressourcen

Deep Dive in das Kerberos ProtokollAuthentifizierung und Zugriffe auf RessourcenKerberos Service Principal Names (SPNs)Kerberos Delegation und W2K3 Extensions

Kerberos Constrained Delegation (A2D2)Kerberos Protocol Transition (T2A4D)

Zusammenfassung und Empfehlungen

Page 26: Kai Wilke Consultant IT-Security MVP ISA Server und Security (a.D.) ITaCS GmbH mailto:kw@itacs.de

Kerberos Delagation und ExtensionsNutzen von Kerberos Delegation

Delegation ermöglicht einer Anwendung, Kerberos-Tickets an Back-End-Dienste weiterzuleiten.Active Directory steuert, welche Security Principals Kerberos im welchem Umfang delegieren können.

Remote ZugriffLokaler ZugriffAnwendungsident

itätKaiKaiNetwork Service

KaiKaiLocal Service

KaiKaiLocal System

KaiKaiDom Account: WEB1

Mini’me

Anmeldung als Kai

WP

Zugriff als Kai

Page 27: Kai Wilke Consultant IT-Security MVP ISA Server und Security (a.D.) ITaCS GmbH mailto:kw@itacs.de

Kerberos Delagation und ExtensionsKerberos Delegation flagsActive Directory Attribute steuern Kerberos

FlagsBenutzer-Konto: Darf der Benutzer delegiert werden?Service-Konto: Darf der Service Kerberos delegieren?

Beide Bedingungen müssen erfüllt sein

Benutzer TGT ist „Forwardable”

Service Account ist „OK as delegate”

Page 28: Kai Wilke Consultant IT-Security MVP ISA Server und Security (a.D.) ITaCS GmbH mailto:kw@itacs.de

TGT

user-TGS key

client token

ticket lifetime

KDC timestamp

TGT

user-TGS key

client token

ticket lifetime

KDC timestamp

flags

user-Service key

client token

ticket lifetime

KDC timestamp

user-Service key

client token

ticket lifetime

KDC timestamp

flags

DienstX

client timestampclient timestamp

Funktionsweise von KerberosZugriff auf den Service

Service Request

Authenticator

Benutzer-Schlüssel(User-Service Session

Key) Service Ticket

Computer-Schlüssel

(Service Key)

SERVER1

TGT wird von der Anwendung zum Beantragen von

weiteren ST verwendet.

Page 29: Kai Wilke Consultant IT-Security MVP ISA Server und Security (a.D.) ITaCS GmbH mailto:kw@itacs.de

Funktionsweise von KerberosConstrained Delegation

Mini’me

SERVER21

SERVER13

SERVER37

Anmeldung über Kerberos

Kerberos Delegation

SERVER1

WP

Nachdem die Kerberos Delegation aktiviert wurde, kann das Service-Konto unter Verwendung von Kai‘s Identität auf das gesamte Netzwerk zugreifen. Windows 2003 ermöglicht die Einschränkung der Kerberos Delegation (constraining), in dem vom KDC gefiltert wird, zu welchen Zielen die Delegierung geschehen kann.

Page 30: Kai Wilke Consultant IT-Security MVP ISA Server und Security (a.D.) ITaCS GmbH mailto:kw@itacs.de

Funktionsweise von KerberosConstrained Delegation (A2D2 Extension)

Constrained Delegation wird nur im Windows 2003/8-Modus unterstützt

„Use Kerberos only“Unterstützt nur Kerberos-Anmeldungen

„Use any authentication protocol“Ermöglicht „Protocol Transition“

Die SPNs legen fest, welche Tickets vom Konto angefragt werden können

msDS-AllowedToDelegateTo Attribut

Page 31: Kai Wilke Consultant IT-Security MVP ISA Server und Security (a.D.) ITaCS GmbH mailto:kw@itacs.de

Funktionsweise von KerberosProtocol Transition (T2A4D Extension)

Kerberos kommt fast nur im Intranet zum Einsatz

Internet und Extranets haben kein Zugriff auf die KDCsNicht jede Anwendung unterstützt Kerberos

Basic (Sonderfall: IIS reauthentifiziert via Kerberos)WDigestNTLMFormsZertifikateOne Time Password (OTP)

T2A4D Extension erlaubt es einem Dienstkonto, Kerberos Tickets vom KDC ohne Benutzerinteraktion anzufragen

Anwendung steuert, wie/wann/ob ein Benutzer authentifiziert wird

Active Directory Credentials werden hierbei nicht benötigtAnwendung sollte demnach sehr vertrauenswürdig sein!

Restriktionen über „Sensitiv“-Flag und „A2D2”-Einstellungen

Page 32: Kai Wilke Consultant IT-Security MVP ISA Server und Security (a.D.) ITaCS GmbH mailto:kw@itacs.de

Funktionsweise von KerberosKonfiguration der Protocol Transition

Zugriff über .NET/WindowsIdentity oder W32/LsaLogonUserLokale Zugriffe: Services For User to Self (S4U2S)

Ermöglicht einem Dienst ein Benutzer Token zu erzeugenAnwendung braucht „Act as Part of the Operating System“

Ohne „SeTCBPrivilege“: Service erhält „Identification Token“Mit „SeTCBPrivilege“: Service erhält „Impersonation Token“

Ein Impersonation Token ermöglichen eine lokale Impersonation

Systemrecht „SeImpersonationPrivilege“ wird hierfür benötigt

Kerberos Konfigurationen ist hierfür nicht notwendigRemote Zugriffe: Services for User To Proxy (S4UTP)

Ermöglicht den Dienst eine Kerberos Delegation zu nutzenAktivieren der Contrained Delegation am Quell-DienstDie Option “Any Protocol” muss hierbei ausgewählt werdenSPNs auswählen die vom Dienst angefragt werden können

Je nach Anwendung ist eine lokale Impersonation notwendig

Page 33: Kai Wilke Consultant IT-Security MVP ISA Server und Security (a.D.) ITaCS GmbH mailto:kw@itacs.de

{ Kerberos Delegation }

Demo Kai WilkeConsultant IT-SecurityMVP ISA Server und Security (a.D.)mailto:[email protected]

Page 34: Kai Wilke Consultant IT-Security MVP ISA Server und Security (a.D.) ITaCS GmbH mailto:kw@itacs.de

Agenda

1x1 der Authentifizierung und Authorisierung

Trusted Subsystem vs. Impersonation ModelProzesskonten und Zugriffe auf Ressourcen

Deep Dive in das Kerberos ProtokollAuthentifizierung und Zugriffe auf RessourcenKerberos Service Principal Names (SPNs)Kerberos Delegation und W2K3 Extensions

Kerberos Constrained Delegation (A2D2)Kerberos Protocol Transition (T2A4D)

Zusammenfassung und Ressourcen

Page 35: Kai Wilke Consultant IT-Security MVP ISA Server und Security (a.D.) ITaCS GmbH mailto:kw@itacs.de

Zusammenfassung

Sichere Kerberos Constrained Delegation und Protocol Transition benötigt etwas Know-How

Reden Sie mit den Entwicklern/Administratoren und bewerten sie den Nutzen und etwaige Sicherheitsrisiken

Wenn eine Kerberos Delegation benötigt wird, verwenden Sie unbedingt Constrained Delegation

Nutzen Sie die „T2A4D“ Erweiterung mit Vorsicht!Markieren Sie ihre priviligierte Konten als „sensitiv“!

Verwenden Sie am besten dedizierte Dienstkonten

Computerkonten werden von vielen Diensten verwendetSPNs werden werden nur bei der ST-Anfrage validiert

Konfigurieren Sie die verwendeten SPNs gründlich

Page 36: Kai Wilke Consultant IT-Security MVP ISA Server und Security (a.D.) ITaCS GmbH mailto:kw@itacs.de

Windows Server 2008weitere Ressourcen

Windows Server 2008 Tech Centerhttp://www.microsoft.com/germany/technet/prodtechnol/windowsserver/2008/default.mspx

Windows Server 2008 Webcasts:http://www.microsoft.com/germany/technet/webcasts/windowsserver2008.mspx

Windows Server 2008 Produktseite:http://www.microsoft.com/germany/windowsserver2008/default.mspx

Microsoft Virtualization:http://www.microsoft.com/virtualization/default.mspx

Page 37: Kai Wilke Consultant IT-Security MVP ISA Server und Security (a.D.) ITaCS GmbH mailto:kw@itacs.de

Ask the ExpertsWir freuen uns auf Ihre Fragen: Technische Experten stehen Ihnen während der gesamten Veranstaltung in der Haupthalle zur Verfügung.

Page 38: Kai Wilke Consultant IT-Security MVP ISA Server und Security (a.D.) ITaCS GmbH mailto:kw@itacs.de

© 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.

The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after

the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.