Windows Vista biztonsági újdonságai

Az előadások a következő témára: "Windows Vista biztonsági újdonságai"— Előadás másolata:

1 Windows Vista biztonsági újdonságai
Szabó Gábor Product manager, Security

2 Napirend Biztonsági környezet Jogosultságok, hozzáférés
Belépés, hitelesítés, Audit Felhasználói fiókok Windows Service Hardening Beágyazott proaktív védelem Address Space Layout Randomization Data Execution Protection Kernel Patch Protection (x64) Kernel Mode Code Signing User Account Controll demo Program File és Registry virtualizáció Egy támadás anatómiája Sérülékenység - támadás időablak RPC DCOM demo Izoláció Windows Firewall/IPSec demo NAP Adatvédelem RMS, EFS, Bitlocker

3 A veszély evolúciója Magas Alacsony 1980 1985 1990 1995 2000 2005
Cross site scripting Phishing “stealth” / advanced scanning techniques A támadás okozta kár Magas denial of service back doors sweepers distributed attack tools forgalom figyelés www attacks automated probes/scans csomagfigyelés grafikus eszközök címhamisítás session lopás port scan ismert sérülékenység kihasználása A behatoló tudása port próba jelszó feltörés Alacsony jelszó próba 1980 1985 1990 1995 2000 2005

4 Napirend Biztonsági környezet Jogosultságok, hozzáférés
Belépés, hitelesítés, Audit Felhasználói fiókok Windows Service Hardening User Account Controll demo Program File és Registry virtualizáció Beágyazott proaktív védelem Address Space Layout Randomization Data Execution Protection Kernel Patch Protection (x64) Kernel Mode Code Signing Egy támadás anatómiája Sérülékenység - támadás időablak RPC DCOM demo Izoláció Windows Firewall/IPSec demo NAP Adatvédelem RMS, EFS, Bitlocker

5 Jogosultságok, hozzáférés Belépés, hitelesítés
Eddig a GINA (Graphical Identification and Authentication): Jelenleg a Winlogon processz része > korai betöltés Egyetlen példány; nem vagy nehezen cserélhető A Vistában GINA DLL-ek kihagyása > többféle bejelentkező eszköz (multifaktoros, biometrikus, OTP, stb.) Alternatív logon providerek, szabad választás, alapértelmezettség választás Providerek hozzáadása a registryben

6 Hitelesítés szolgáltatók Többfaktoros authenikáció
4/4/2017 2:23 PM Hitelesítés szolgáltatók Többfaktoros authenikáció 1. Ctrl+Alt+Delete WinLogon 9. LSALogonUser LSA 2. Hitelesítés kérés 8. Hitelesítés kérés visszaigazolva 5. Login / jelszó 4. Bejelentkező UI Logon UI 6. Engedélyezés Hitelesítés szolgáltatók interfészei 7. Logon kéréshitelesítés 3. Hitelesítési információk kérése Hitelesítés szolgáltató 1 Hitelesítés Szolgáltató 2 Hitelesítés Szolgáltató 3 © 2006 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

7 Jogosultságok, hozzáférés Hitelesítés, belépés
SmartCard belépés Eddig adminként telepítettünk olvasót, meghajtót, szolgáltatót majd használtuk A Vistában „igazi” Plug & Play van, első belépéskor is Gyártók 3rd party kártya moduljai > WU > Vista

8 Jogosultságok, hozzáférés User / Computer fiókok
Power Users csoport nincs többé két szint maradt a standard fiókok (Users csoport) az admin fiókok (Administrators csoport) A standard user fiók az alapértelmezett egy új fiók létrehozásakor Új telepítéskor "Support..." és a "Help" fiók nem kerül fel a rendszerbe

9 Jogosultságok, hozzáférés User / Computer fiókok
Új telepítéskor a beépített Administrator fiók letiltott állapotban van Ennek oka pl. a sok változatlan illetve teljesen üresen hagyott helyi admin jelszó Frissítésnél Ha az előző rendszerben csak egy admin fiók volt A telepítés alatt a Vista ezt észreveszi, nem tiltja le Safe módban ekkor sem lehet használni

10 Jogosultságok, hozzáférés User / Computer fiókok
Safe módban elágazás > Tartomány:  a letiltott, beépített admin fiókkal nem tudunk belépni egy a Domain Admins csoportba tartozó fiókkal viszont igen ekkor kreálhatunk helyi alternatív admin fiókot ha még nem léptünk be Domain Admin-ként: Válasszuk a Safe Mode with Networking opciót Mivel a jogosultságok még nem cache-elődhettek

11 Jogosultságok, hozzáférés User / Computer fiókok
Safe módban elágazás > Munkacsoport:  Az alap admin fiók szintén nem működik Ha van bármilyen másik admin fiók, azt használhatjuk Ha nincs, vagy megsérült, akkor a Vista „visszavesz” a szigorból és használhatjuk a beépített admin fiókot is

12 Jogosultságok, hozzáférés Audit
Sokkal részletesebb, új kategóriákkal Több információval, kb. 50 új eseménnyel Fő kategóriák Logon / Logoff Filerendszer elérés Registry hozzáférés Admin jogosultságok használata Teljesen új naplózási alrendszer Események összegyűjtése + Task Manager = értesítések

13 Jogosultságok, hozzáférés Audit
Mi mindent lehet auditálni? Registry változásokat (régi + új érték) AD változásokat (régi + új érték) UAC eseményeket IPSec eseményeket RPC Call eseményeket Megosztásokkal kapcsolatos történéseket (elérés, kezelés) Titkosítási eseményeket NAP eseményeket (csak szerver oldalon) IAS (RADIUS) eseményeket (csak szerver oldalon)

14 Jogosultságok, hozzáférés Windows Service Hardening – Miért is kell?
4/4/2017 2:23 PM Jogosultságok, hozzáférés Windows Service Hardening – Miért is kell? A különböző szervizek előkelő célpontjai a különböző malwareknek A felhasználó bevonása/tudta nélkül futnak Ismert szerviz sérülékenységek Sok szerviz „LocalSystem” fiók joggal fut Sok ismert féreg pont ezt használta ki Sasser, Blaster, CodeRed, Slammer, etc… © 2006 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

15 Windows XP User Kevés réteg Többnyire magas privilégium Admin
Kevés védelem a rétegek között Admin System services Kernel

16 Alacsony priv. szervizek
Windows Vista Felhasználó Service Hardening LUA felh. A magas kockázatú rétegek mérete csökken Több réteg Szegmentált szervizek Alacsony priv. szervizek Felhasználó fiók védelme (User Account Control) Admin Rendszer szervizek S Kernel S S D D D D S Kernel meghajtók Rendszer szervizek Alacsony priv. Szervizek Felh. módú meghajtók S D D

17 Jogosultságok, hozzáférés Szerviz felosztás (Service refaktoring)
Folyamatosan csökken a jogosultsági kör De a Vistában drasztikusabb a változás A legtöbb esetben már nem LocalSystem Ha mégis szükséges, akkor két részre vágva dolgozik A szerviz fő része pl. a LocalService fiókkal A privilegizált műveletekhez szükséges rész továbbra is a LocalSystem fiókkal A két rész között hitelesítést megkívánó kapcsolat van Memória A szerviz fő része LocalService fiókkal fut Privilegizált műveletek LocalSystem

18 Jogosultságok, hozzáférés Szerviz profil (Service profiling)
Minden szerviznek egyedi azonosítója van S-1-80-<a szerviz logika nevének SHA-1 hash-e> A szervizprofil is újdonság ACL-ek listája Megengedi / tiltja A privilégiumok és erőforrások (filerendszer, registry) használatát Adott portok használatát, a WF segítségével Rugalmasabb megoldás a Local / Network Service > további jogosultság

19 Jogosultságok, hozzáférés Windows Service Hardening
Példa: a „mindenható” RPC immár nem cserélheti le a rendszerfile-okat, nem módosíthatja a registryt, nem befolyásolhatja, módosíthatja más szervizeket konfig állományait (AV szoftverek, szignatúrák, stb.) A szervizprofil szigorú kialakítása egy teljesen automatikus művelet, amely Elsősorban telepítéskor megy végbe Csak a Windows szervizekre érvényes

20 Jogosultságok, hozzáférés Definiált integritás szintek
Rendszer Magas Közepes Alacsony Bizalmatlan 400 300 200 100 Local System Local Service Network Service Elevated (full) user tokens Standard user tokens Authenticated Users Internet (IE) Ismeretlen All other tokens Shell

21 Jogosultságok, hozzáférés Windows Service Hardening
Windows Vista LocalSystem Network restricted Removable Storage WMI Perf Adapter Automatic updates TrkWks WMI App Management Secondary Logon LocalSystem Demand started BITS Network Service Restricted DNS Client ICS RemoteAccess DHCP Client W32time Rasman NLA Browser Task scheduler IPSEC Services Server Cryptographic Services Local Service Restricted No network access Wireless Configuration System Event Notification Shell Hardware Detection Network Connections Rasauto Themes COM+ Event System Local Service Restricted Telephony Windows Audio TCP/IP NetBIOS helper WebClient Error Reporting Event Log Workstation Remote Registry SSDP Windows XP SP2 LocalSystem Wireless Configuration System Event Notification Network Connections COM+ Event System NLA Rasauto Shell Hardware Detection Themes Telephony Windows Audio Error Reporting Workstation ICS BITS RemoteAccess DHCP Client W32time Rasman Browser Help and Support Task Scheduler TrkWks Cryptographic Services Removable Storage WMI Perf Adapter Automatic updates WMI App Management Secondary Logon Network Service DNS Client Local Service SSDP WebClient TCP/IP NetBIOS helper Remote Registry

22 Jogosultságok, hozzáférés Szerviz profilozás – event log példa
ACL Eventlog:W SysEvent.evt Írásvédett token Eventlog service

23 Jogosultságok, hozzáférés User Account Control
A lényeg: standard felhasználónként dolgozzon mindenki a rendszerben Ha ez nem megy, akkor interakció van: Figyelmeztetés / jogosultság bekérés / megtagadás The Application Information Service (AIS) system szerviz indítja a szintemelést igénylő alkalmazásokat Új folyamatot indít az admin token használatával XML leíró állomány – az alkalmazás futtatásához szükséges szint UAC inkompatibilitás Install program detektálás Virtualizáció

24 Adminisztrátori jogok Alap felhasználói jogok
4/4/2017 2:23 PM Adminisztrátori jogok Admin belépéssel Alap felhasználói jogok Felhasználó Adminisztrátori token „Alap felhasználó” token © 2006 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

25 Alap felhasználói jogok
4/4/2017 2:23 PM Alap felhasználói jogok „Alap felhasználói” jogok Adminisztrátori jogok Alap felh. belépéssel Időzóna beállítás Engedélyezett alkalmazások pl. MSN Messenger Betűkészlet és nyomtató telepítés Felhasználó © 2006 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

26 Alap felhasználói jogok
4/4/2017 2:23 PM Alap felhasználói jogok Adminisztrátori jogok „Alap felhasználói” jogok „Alap felhasználói” jogok Admin belépéssel Időzóna beállítás Engedélyezett alkalmazások MSN Messenger Betűkészlet és nyomtató telepítés Időállítás Admin jogok Tűzfal konfigurálás Felhasználó Admin jogok Alkalmazás telepítés Admin jogok © 2006 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

27 Jogosultságok, hozzáférés User Account Control
OS alkalmazás Aláíratlan alkalmazás Aláírt alkalmazás

28 Jogosultságok, hozzáférés User Account Control
4/4/2017 2:23 PM Jogosultságok, hozzáférés User Account Control Mit tehet meg egy Standard User? Vezetéknéküli hálózat konfigurálás Energiaellátás opciók változtatása VPN kapcsolatok konfigurálása Nyomtató és egyéb eszközök hozzáadása – GP Windows Update, Windows Defender Lemez defrag, Disk CleanUp, időzóna váltás Eseménynapló (Security naplót azért nem) A pajzs ikon mutatja, hogy mit nem lehet 28 © 2006 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

29 Jogosultságok, hozzáférés Internet Explorer 7
4/4/2017 2:23 PM Jogosultságok, hozzáférés Internet Explorer 7 Run with full privs? tutiprogi.com Megbízható oldal? AIS Futtat? Teljes jog LP IE IEPolicy tutiprogi.exe …\My Docs\tutiprogi.exe IL=magas IL=alacsony IL=magas ha admin IL=egyébként közepes \Progs\GS\progi.exe progi.dll …\TIF\tutiprogi.exe

30 Jogosultságok, hozzáférés Virtualizáció
Miért kell Admin jog egy könyvelő proginak? Program files virtualizáció Registry virtualizáció Lássuk inkább hogy is működik...

31 User Account Control Program File és Registry virtualizáció demó

32 Napirend Biztonsági környezet Jogosultságok, hozzáférés
Belépés, hitelesítés, Audit Felhasználói fiókok Windows Service Hardening User Account Controll demo Program File és Registry virtualizáció Beágyazott proaktív védelem Address Space Layout Randomization Data Execution Protection Kernel Patch Protection (x64) Kernel Mode Code Signing Egy támadás anatómiája Sérülékenység - támadás időablak RPC DCOM demo Izoláció Windows Firewall/IPSec demo NAP Adatvédelem RMS, EFS, Bitlocker

33 Beágyazott proaktív védelem Address Space Layout Randomization
4/4/2017 2:23 PM Beágyazott proaktív védelem Address Space Layout Randomization Az alkalmazások / processzek kódja és függelékei véletlenszerűen kiválasztott helyekre töltödődnek be, azaz: Nem lehet kiszámítani előre, hogy mely címekre kerülnek Megkeresni időigényes (256 variáció) Minden újraindításkor megtörténik a kiszámítás Ha egy processzt egy másik alkalmazás is használ, a kiszámítás újra megtörténik 33 © 2006 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

34 Beágyazott proaktív védelem Address Space Layout Randomization
1. boot után 2. boot után wsock32.dll (0x73ad0000) winhttp.dll (0x ) user32.dll (0x779b0000) kernel32.dll (0x77c10000) gdi32.dll (0x77a50000) wsock32.dll (0x ) winhttp.dll (0x ) user32.dll (0x770f0000) kernel32.dll (0x ) gdi32.dll (0x )

35 Beágyazott proaktív védelem Address Space Layout Randomization
Javasolt együtt használni más technológiákkal DEP (NX) – adatfuttatás megelőzés Szoftveres: /SafeSEH – biztonságos struktútájú kivétel kezelés Hardvers: NX (AMD) / XD (Intel) esetén a használt lapozó tábla utolsó bitje szabályozza lehet-e (0) kódot futtani a hivatkozott területen vagy sem (1) .NET felügyelt kód esetén ez nem probléma /GS: Visual C++ fordító opció verem túlcsordúlás detektálás

36 Beágyazott proaktív védelem Kernel Patch Protection (KPP)
Amit a KPP tilt Az egyes meghajtó programok nem módosíthatják a system service táblák function mutatóit (kernel hook) Interrupt descriptor table (IDT) Global descriptor table (GDT) Bármely kernel verem használatát (kivétel ha azt maga a kernel kezdeményezte) Bármilyen kernel módosítás, bővítmény, patch

37 Beágyazott proaktív védelem Code Signing and Code Integrity
Minden kernel módban futó drivernek aláírással kell rendelkeznie Csak aláírt kód tölthető a kernelbe Még az adminisztrátor sem... Kernel malware védelem ...Sony DRM rootkit.... Troj/Stinx-E Mark Russinovich's technical blog

38 Napirend Biztonsági környezet Jogosultságok, hozzáférés
Belépés, hitelesítés, Audit Felhasználói fiókok Windows Service Hardening User Account Controll demo Program File és Registry virtualizáció Beágyazott proaktív védelem Address Space Layout Randomization Data Execution Protection Kernel Patch Protection (x64) Kernel Mode Code Signing Egy támadás anatómiája Sérülékenység - támadás időablak RPC DCOM demo Izoláció Windows Firewall/IPSec demo NAP Adatvédelem RMS, EFS, Bitlocker

39 Szűkülő időablak Proaktív védelem kell, a Reaktív ideje lejárt
April 4, 2017 Szűkülő időablak Proaktív védelem kell, a Reaktív ideje lejárt Malware (Féreg, vírus) Fertőzés Sérülékenység (0 day vulnerability) Támadási mód (kód) (Exploit) Nincs javítás Néhány egyedi támadás Automatizált, gyorsan terjedő támadások Mutáns verziók Fertőző kódot tartalamzó web oldalak Spam üzenetek Káros csatolmányok 3Com Confidential

40 Microsoft RPC DCOM Overflow Security Bulletin MS03-026 (Blaster)
Pkt 1 Server Port 135/tcp REQUEST Function Call: Opnum 4 Function Arguments \\server\file BIND Interface: ISystemActivator 000001a 0000-c000- v0.0 Interfaces Available: e1af8308-5d1f-11c9-91a b14a0fa v3.0 0b0a6584-9e0f-11cf-a3cf-00805f68cb1b v1.1 975201b0-59ca-11d0-a8d5-00a0c90d8051 v1.0 e60c73e6-88f9-11cf-9af1-0020af6e72f4 v2.0 99fcfec b-bbcb-00aa a v0.0 b9e79e60-3d52-11ce-aaa f v0.2 412f241e-c12a-11ce-abff-0020af6e7a17 v0.2 c v0.0 c6f3ee72-ce7e-11d1-b71e-00c04fc3111a v1.0 4d9f4ab8-7d1c-11cf-861e-0020af6e7c57 v0.0 000001a c v0.0 Pkt 2 Pkt 3

41 RPC DCOM Overflow Security Bulletin MS03-026
demó

42 Napirend Biztonsági környezet Jogosultságok, hozzáférés
Belépés, hitelesítés, Audit Felhasználói fiókok Windows Service Hardening User Account Controll demo Program File és Registry virtualizáció Beágyazott proaktív védelem Address Space Layout Randomization Data Execution Protection Kernel Patch Protection (x64) Kernel Mode Code Signing Egy támadás anatómiája Sérülékenység - támadás időablak RPC DCOM demo Izoláció Windows Firewall/IPSec demo NAP Adatvédelem RMS, EFS, Bitlocker

43 Komponensek Windows Firewall
Windows XP SP2 Windows Vista Irány Bejövő Mindkettő Alapértelmezett reakció Blokkolás Iránytól függő beállítás Csomagtípus TCP, UDP, néhány ICMP Mind Szabály típusok Alkalmazások, portok, ICMP típusok alapján Összetett szabályok, sokféle feltétellel és lehetőséggel Szabály opciók Blokkolás, engedélyezés, bypass UI és eszközök Control Panel, netsh Control Panel, netsh+, MMC Távoli elérés - RPC-n keresztül (szigorú) Csoportházirend ADM sablon MMC, netsh Terminológia Exceptions; profiles Rules; categories=profiles

44 Komponensek Windows Firewall
Kezelés / felület változások Control Panel: majdnem mint az XP-ben Új MMC felület számos extrával: „WF with Advanced Security” Távoli elérés MMC-vel Előredefiniált szabályok netsh advfirewall

45 Komponensek Windows Firewall
Kategóriák A hálózati profil az első kapcsolódáskor készül el Interfész, DC, hitelesíthető gép, átjáró MAC címe, stb. Az NLA szerviz detektálja a hálózati változásokat Változás esetén rövid idő alatt vált kategóriát (<200 ms) Ha nem tartományban van, akkor felhasználói interakció kell Domain Ha a gép tagja a tartománynak (akár csatlakozik éppen, akár nem); teljesen automatikus választás Private Tartományi tagság nélkül, definiált privát hálózat esetén Public Minden más hálózat, pl. nyilvános helyek

46 Komponensek Windows Firewall
Szabályok újdonságai Forrás és cél IP címek Speciális kiszolgálók címei Protokoll típusok Több új + IPv6 kompatibilis AD felhasználó/gép/csoport fiókok Titkosítás esetén kötelező Interfész típusa vezetékes, vezetéknélküli, VPN / RAS Szervizek Előre- és eltérő körülményekre legyártott szabályok

47 Hagyományos tűzfal A felhasználó local admin? A malware próbálkozik
4/4/2017 2:23 PM Hagyományos tűzfal A felhasználó local admin? Van ilyen is csak kevés... A malware próbálkozik A tűzfal figyelmeztet! Nem Érted ? Igen Nem A malware lefut Igen A felhasználó engedélyezi A malware letiltja a tűzfalat „Ajtó, ablak...” 0wn3d

48 Komponensek IPSec Tűzfallal integrált, egyszerűsített IPSec
Globális beállítások Connection Security Rules Izoláció, hitelesítés mentesítés, server-to-server, tunnel Új algoritmusok Titkosítás: AES-128/192/256 Kulcscsere: ECDH-P 256/384

49 Komponensek IPSec alapú domain és végpont izoláció
4/4/2017 2:23 PM Komponensek IPSec alapú domain és végpont izoláció © 2006 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

50 Komponensek IPSec Kliens <> DC IPSec
Immár támogatott Szimultán kapcsolatok Nem gond a tartományba léptetés (NTLMv2) Hálózattípusok szerint is Csak Vista és LH Server esetén

51 Komponensek NAP Teljesen új technológia
Hasonlít a VPN karanténhoz, de annál több: Az összes hálózati kliensre érvényes DHCP, Remote Access ügyfelek IPSec, TS ügyfelek EAP ügyfelek (WLAN) Az LH Server lesz az első NAP kiszolgáló kliensek: Vista, LH Server és Windows XP SP2!

52 Komponensek NAP Házirendet készítünk, amely alapja lehet:
OS frissítések, szignatúra frissítések alkalmazások megléte / hiánya más egyéb tuladonságok ellenőrzése Ha a feltételek nem találkoznak az elvárásokkal A NAP szerver megtagadja a belépést, de: Egyúttal hozzáférést adhat pl. a frissítések lelőhelyéhez (WSUS, SMS szerver)

53 Microsoft Network Policy Server DHCP, VPN Switch/Router
Komponensek NAP Policy Servers Patch, AV 3 1 2 Nem felelt meg Zárolt hálózat 4 WSUS, SMS stb. Microsoft Network Policy Server Vista kliens DHCP, VPN Switch/Router Megfelelt 1 A kliens hozzáférést kér a jelenlegi állapota alapján 5 Vállalati hálózat 2 A DHCP, VPN, switch/router továbbítja a kérést a Microsoft Network Policy kiszolgálónak (RADIUS) A Network Policy Server összehasonlítja az általunk definiált házirenddel a kliens állapotát 3 Ha nem felel meg, a kliens egy zárolt VLAN-ba kerül, és csak frissítések, szignatúrák, stb. letöltéséhez a kap hozzáférést (ha kell, ismételve az 1-4. lépést) 4 5 Ha megfelel, teljes hozzáférést kap a belső hálózathoz 53

54 Windows Firewall demó

55 Adatvédelem a fájltól a lemezig
Házirend definició és betartatás Rights Management Services (RMS) Felhasználó szintű fájl titkosítás Encrypting File System (EFS) Hardveres lemez titkosítás Bitlocker Drive Encryption

56 Mit mire használjunk? Terület RMS EFS BitLocker
Dokumentumok házirend alapú védelme Tranzitban lévő dokumentumok védelme Csoportmunka során használt dokumentumok védelme Megosztott gépek mappa szintű védelme Távoli fájl- és mappa védelme Nem bízunk a rendszergazdában  Elveszett notebook-ok adatainak védelme Gyengébben védhető fiók kiszolgáló Egyéni (otthoni) fájl- és mappa védelem

57 Végszó A rabló pandúr harc folytatódik
A megelőzés az egyik legjobb védelem (AAA) A biztonság több megoldás együttes eredménye

58 4/4/2017 2:23 PM További jó hírek … “Suspected Worm Creators Arrested - Hunt for Zotob Authors Leads To Turkey, Morocco” - The Washington Post, 27 Aug 2005 “Zotob Arrest Breaks Credit Card Fraud Ring …..Turkish officials have identified 16 more suspects this week in a continuing crackdown…..- eWeek.com, 30 Aug 2005 Atilla Ekici, Turkey “Teen admits creating Sasser worm” – CNN.com, 6 Jul 2005 “Despite arrest, new variant of Sasser worm appears …..'an organized group of delinquents' is behind the worm - IDG News Service, 9 May 2004 Sven Jaschan, Germany “Teenager arrested in 'Blaster' Internet attack” Neighbor: 'I cannot believe he was doing any hacking’ – CNN.com, 30 Aug 2003 Jeffrey Lee Parson, Minneapolis, USA © 2006 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

59 További információ Web RSS
Magyar TechNet Portál (benne a Vista modullal) Vista a TechNet-en TechNet Security Center RSS Windows Vista Security blog Windows Vista Team blog 59

60