Az előadás letöltése folymat van. Kérjük, várjon

Az előadás letöltése folymat van. Kérjük, várjon

Windows Vista biztonsági újdonságai Szabó Gábor Product manager, Security

Hasonló előadás


Az előadások a következő témára: "Windows Vista biztonsági újdonságai Szabó Gábor Product manager, Security"— Előadás másolata:

1 Windows Vista biztonsági újdonságai Szabó Gábor Product manager, Security

2 Napirend  Biztonsági környezet  Jogosultságok, hozzáférés  Belépés, hitelesítés, Audit  Felhasználói fiókok  Windows Service Hardening  Beágyazott proaktív védelem  Address Space Layout Randomization  Data Execution Protection  Kernel Patch Protection (x64)  Kernel Mode Code Signing  User Account Controll demo  Program File és Registry virtualizáció  Egy támadás anatómiája  Sérülékenység - támadás időablak  RPC DCOM demo  Izoláció  Windows Firewall/IPSec demo  NAP  Adatvédelem  RMS, EFS, Bitlocker

3 Magas Alacsony A behatoló tudása A támadás okozta kár Cross site scripting jelszó próba port próba jelszó feltörés ismert sérülékenység kihasználása címhamisítás back doors session lopás sweepers forgalom figyelés csomagfigyelés grafikus eszközök automated probes/scans denial of service www attacks “stealth” / advanced scanning techniques distributed attack tools port scan Phishing 2005 A veszély evolúciója

4 Napirend  Biztonsági környezet  Jogosultságok, hozzáférés  Belépés, hitelesítés, Audit  Felhasználói fiókok  Windows Service Hardening  User Account Controll demo  Program File és Registry virtualizáció  Beágyazott proaktív védelem  Address Space Layout Randomization  Data Execution Protection  Kernel Patch Protection (x64)  Kernel Mode Code Signing  Egy támadás anatómiája  Sérülékenység - támadás időablak  RPC DCOM demo  Izoláció  Windows Firewall/IPSec demo  NAP  Adatvédelem  RMS, EFS, Bitlocker

5 Jogosultságok, hozzáférés Belépés, hitelesítés   Eddig a GINA (Graphical Identification and Authentication) :   Jelenleg a Winlogon processz része > korai betöltés   Egyetlen példány; nem vagy nehezen cserélhető   A Vistában   GINA DLL-ek kihagyása > többféle bejelentkező eszköz (multifaktoros, biometrikus, OTP, stb.)   Alternatív logon providerek, szabad választás, alapértelmezettség választás   Providerek hozzáadása a registryben

6 LSA WinLogon Logon UI Hitelesítés szolgáltatók interfészei Hitelesítés Szolgáltató 2 7. Logon kéréshitelesítés 1. Ctrl+Alt+Delete 2. Hitelesítés kérés 9. LSALogonUser 5. Login / jelszó 4. Bejelentkező UI Hitelesítés szolgáltató 1 Hitelesítés Szolgáltató 3 8. Hitelesítés kérés visszaigazolva 6. Engedélyezés 3. Hitelesítési információk kérése Hitelesítés szolgáltatók Többfaktoros authenikáció

7 Jogosultságok, hozzáférés Hitelesítés, belépés   SmartCard belépés   Eddig adminként telepítettünk olvasót, meghajtót, szolgáltatót majd használtuk   A Vistában „igazi” Plug & Play van, első belépéskor is   Gyártók 3rd party kártya moduljai > WU > Vista

8 Jogosultságok, hozzáférés User / Computer fiókok   Power Users csoport nincs többé   két szint maradt   a standard fiókok (Users csoport)   az admin fiókok (Administrators csoport)   A standard user fiók az alapértelmezett egy új fiók létrehozásakor   Új telepítéskor "Support..." és a "Help" fiók nem kerül fel a rendszerbe

9 Jogosultságok, hozzáférés User / Computer fiókok   Új telepítéskor a beépített Administrator fiók letiltott állapotban van   Ennek oka pl. a sok változatlan illetve teljesen üresen hagyott helyi admin jelszó   Frissítésnél   Ha az előző rendszerben csak egy admin fiók volt   A telepítés alatt a Vista ezt észreveszi, nem tiltja le   Safe módban ekkor sem lehet használni

10 Jogosultságok, hozzáférés User / Computer fiókok   Safe módban elágazás > Tartomány:   a letiltott, beépített admin fiókkal nem tudunk belépni   egy a Domain Admins csoportba tartozó fiókkal viszont igen   ekkor kreálhatunk helyi alternatív admin fiókot   ha még nem léptünk be Domain Admin-ként:   Válasszuk a Safe Mode with Networking opciót   Mivel a jogosultságok még nem cache-elődhettek

11 Jogosultságok, hozzáférés User / Computer fiókok   Safe módban elágazás > Munkacsoport:   Az alap admin fiók szintén nem működik   Ha van bármilyen másik admin fiók, azt használhatjuk   Ha nincs, vagy megsérült, akkor a Vista „visszavesz” a szigorból és használhatjuk a beépített admin fiókot is

12 Jogosultságok, hozzáférés Audit   Sokkal részletesebb, új kategóriákkal   Több információval, kb. 50 új eseménnyel Fő kategóriák Logon / Logoff Filerendszer elérés Registry hozzáférés Admin jogosultságok használata  Teljesen új naplózási alrendszer  Események összegyűjtése  + Task Manager = értesítések

13   Mi mindent lehet auditálni?   Registry változásokat (régi + új érték)   AD változásokat (régi + új érték)   UAC eseményeket   IPSec eseményeket   RPC Call eseményeket   Megosztásokkal kapcsolatos történéseket (elérés, kezelés)   Titkosítási eseményeket   NAP eseményeket (csak szerver oldalon)   IAS (RADIUS) eseményeket (csak szerver oldalon) Jogosultságok, hozzáférés Audit

14  A különböző szervizek előkelő célpontjai a különböző malwareknek  A felhasználó bevonása/tudta nélkül futnak  Ismert szerviz sérülékenységek  Sok szerviz „LocalSystem” fiók joggal fut  Sok ismert féreg pont ezt használta ki  Sasser, Blaster, CodeRed, Slammer, etc… Jogosultságok, hozzáférés Windows Service Hardening – Miért is kell?

15 User Admin System services Kernel Kevés réteg Többnyire magas privilégium Kevés védelem a rétegek között Windows XP

16 A magas kockázatú rétegek mérete csökken Több réteg Szegmentált szervizek Felhasználó LUA felh. Alacsony priv. szervizek Admin Kernel D D D S S D D S S ServiceHardening Felhasználó fiók védelme (User Account Control) Rendszer szervizek D D S S Kernel meghajtók Rendszer szervizek Alacsony priv. Szervizek Felh. módú meghajtók Windows Vista

17 Jogosultságok, hozzáférés Szerviz felosztás (Service refaktoring)   Folyamatosan csökken a jogosultsági kör   De a Vistában drasztikusabb a változás   A legtöbb esetben már nem LocalSystem   Ha mégis szükséges, akkor két részre vágva dolgozik   A szerviz fő része pl. a LocalService fiókkal   A privilegizált műveletekhez szükséges rész továbbra is a LocalSystem fiókkal   A két rész között hitelesítést megkívánó kapcsolat van MemóriaMemória A szerviz fő része LocalService fiókkal fut A szerviz fő része LocalService fiókkal fut Privilegizált műveletek LocalSystem Privilegizált műveletek LocalSystem

18 Jogosultságok, hozzáférés Szerviz profil (Service profiling)   Minden szerviznek egyedi azonosítója van   S   A szervizprofil is újdonság   ACL-ek listája   Megengedi / tiltja   A privilégiumok és erőforrások (filerendszer, registry) használatát   Adott portok használatát, a WF segítségével   Rugalmasabb megoldás   a Local / Network Service > további jogosultság

19 Jogosultságok, hozzáférés Windows Service Hardening   Példa: a „mindenható” RPC immár   nem cserélheti le a rendszerfile-okat,   nem módosíthatja a registryt,   nem befolyásolhatja, módosíthatja más szervizeket konfig állományait (AV szoftverek, szignatúrák, stb.)   A szervizprofil szigorú kialakítása egy teljesen automatikus művelet, amely   Elsősorban telepítéskor megy végbe   Csak a Windows szervizekre érvényes

20 Jogosultságok, hozzáférés Definiált integritás szintek ShellShell

21 Windows XP SP2 LocalSystemWireless Configuration System Event Notification Network Connections COM+ Event System NLA Rasauto Shell Hardware Detection Themes Telephony Windows Audio Error Reporting Workstation ICS BITS RemoteAccess DHCP Client W32time Rasman Browser Help and Support Task Scheduler TrkWks Cryptographic Services Removable Storage WMI Perf Adapter Automatic updates WMI App Management Secondary Logon Network ServiceDNS Client Local ServiceSSDP WebClient TCP/IP NetBIOS helper Remote Registry Windows Vista LocalSystem Network restricted Removable Storage WMI Perf Adapter Automatic updates TrkWks WMI App Management Secondary Logon LocalSystem Demand started BITS Network Service Restricted DNS Client ICS RemoteAccess DHCP Client W32time Rasman NLA Browser Task scheduler IPSEC Services Server Cryptographic Services Local Service Restricted No network access Wireless Configuration System Event Notification Shell Hardware Detection Network Connections Rasauto Themes COM+ Event System Local Service Restricted Telephony Windows Audio TCP/IP NetBIOS helper WebClient Error Reporting Event Log Workstation Remote Registry SSDP Jogosultságok, hozzáférés Windows Service Hardening

22 SysEvent.evt Eventlog service Írásvédett token ACL Eventlog:W Jogosultságok, hozzáférés Szerviz profilozás – event log példa

23   A lényeg: standard felhasználónként dolgozzon mindenki a rendszerben   Ha ez nem megy, akkor interakció van:   Figyelmeztetés / jogosultság bekérés / megtagadás   The Application Information Service (AIS) system szerviz indítja a szintemelést igénylő alkalmazásokat   Új folyamatot indít az admin token használatával   XML leíró állomány – az alkalmazás futtatásához szükséges szint   UAC inkompatibilitás   Install program detektálás   Virtualizáció Jogosultságok, hozzáférés User Account Control

24 Alap felhasználói jogok „Alap felhasználó” token Adminisztrátori token Adminisztrátori jogok Admin belépéssel Felhasználó

25 Időzóna beállítás Engedélyezett alkalmazások pl. MSN Messenger Betűkészlet és nyomtató telepítés „Alap felhasználói” jogok Felhasználó Alap felhasználói jogok Adminisztrátori jogok Alap felh. belépéssel

26 Időzóna beállítás Engedélyezett alkalmazások MSN Messenger Betűkészlet és nyomtató telepítés Felhasználó Alkalmazás telepítés Tűzfal konfigurálás Időállítás Admin jogok Alap felhasználói jogok Adminisztrátori jogok Admin belépéssel „Alap felhasználói” jogok

27 Aláírt alkalmazás OS alkalmazás Aláíratlan alkalmazás Jogosultságok, hozzáférés User Account Control

28   Mit tehet meg egy Standard User?   Vezetéknéküli hálózat konfigurálás   Energiaellátás opciók változtatása   VPN kapcsolatok konfigurálása   Nyomtató és egyéb eszközök hozzáadása – GP   Windows Update, Windows Defender   Lemez defrag, Disk CleanUp, időzóna váltás   Eseménynapló (Security naplót azért nem)   A pajzs ikon mutatja, hogy mit nem lehet Jogosultságok, hozzáférés User Account Control

29 LP IE IEPolicy Futtat? tutiprogi.com …\TIF\tutiprogi.exe Megbízható oldal? IL=alacsony …\My Docs\tutiprogi.exe IL=magas ha admin IL=egyébként közepes AIS Run with full privs? tutiprogi.exe \Progs\GS\progi.exe progi.dll IL=magas Teljes jog Jogosultságok, hozzáférés Internet Explorer 7

30  Miért kell Admin jog egy könyvelő proginak?  Program files virtualizáció  Registry virtualizáció  Lássuk inkább hogy is működik... Jogosultságok, hozzáférés Virtualizáció

31 demó User Account Control Program File és Registry virtualizáció

32 Napirend  Biztonsági környezet  Jogosultságok, hozzáférés  Belépés, hitelesítés, Audit  Felhasználói fiókok  Windows Service Hardening  User Account Controll demo  Program File és Registry virtualizáció  Beágyazott proaktív védelem  Address Space Layout Randomization  Data Execution Protection  Kernel Patch Protection (x64)  Kernel Mode Code Signing  Egy támadás anatómiája  Sérülékenység - támadás időablak  RPC DCOM demo  Izoláció  Windows Firewall/IPSec demo  NAP  Adatvédelem  RMS, EFS, Bitlocker

33   Az alkalmazások / processzek kódja és függelékei véletlenszerűen kiválasztott helyekre töltödődnek be, azaz:   Nem lehet kiszámítani előre, hogy mely címekre kerülnek   Megkeresni időigényes (256 variáció)   Minden újraindításkor megtörténik a kiszámítás   Ha egy processzt egy másik alkalmazás is használ, a kiszámítás újra megtörténik Beágyazott proaktív védelem Address Space Layout Randomization

34 1. boot után wsock32.dll (0x73ad0000) winhttp.dll (0x ) user32.dll (0x779b0000) kernel32.dll (0x77c10000) gdi32.dll (0x77a50000) 2. boot után wsock32.dll (0x ) winhttp.dll (0x ) user32.dll (0x770f0000) kernel32.dll (0x ) gdi32.dll (0x )

35  Javasolt együtt használni más technológiákkal  DEP (NX) – adatfuttatás megelőzés  Szoftveres: /SafeSEH – biztonságos struktútájú kivétel kezelés  Hardvers: NX (AMD) / XD (Intel) esetén a használt lapozó tábla utolsó bitje szabályozza lehet-e (0) kódot futtani a hivatkozott területen vagy sem (1) .NET felügyelt kód esetén ez nem probléma  /GS: Visual C++ fordító opció verem túlcsordúlás detektálás Beágyazott proaktív védelem Address Space Layout Randomization

36  Amit a KPP tilt  Az egyes meghajtó programok nem módosíthatják a system service táblák function mutatóit (kernel hook)  Interrupt descriptor table (IDT)  Global descriptor table (GDT)  Bármely kernel verem használatát (kivétel ha azt maga a kernel kezdeményezte)  Bármilyen kernel módosítás, bővítmény, patch Beágyazott proaktív védelem Kernel Patch Protection (KPP)

37  Minden kernel módban futó drivernek aláírással kell rendelkeznie  Csak aláírt kód tölthető a kernelbe  Még az adminisztrátor sem...  Kernel malware védelem ...Sony DRM rootkit.... Troj/Stinx-E  Mark Russinovich's technical blog  Beágyazott proaktív védelem Code Signing and Code Integrity

38 Napirend  Biztonsági környezet  Jogosultságok, hozzáférés  Belépés, hitelesítés, Audit  Felhasználói fiókok  Windows Service Hardening  User Account Controll demo  Program File és Registry virtualizáció  Beágyazott proaktív védelem  Address Space Layout Randomization  Data Execution Protection  Kernel Patch Protection (x64)  Kernel Mode Code Signing  Egy támadás anatómiája  Sérülékenység - támadás időablak  RPC DCOM demo  Izoláció  Windows Firewall/IPSec demo  NAP  Adatvédelem  RMS, EFS, Bitlocker

39 Nincs javítás Automatizált, gyorsan terjedő támadások Mutáns verziók Fertőző kódot tartalamzó web oldalak Spam üzenetek Káros csatolmányok Néhány egyedi támadás Sérülékenység (0 day vulnerability) Támadási mód (kód) (Exploit) Malware (Féreg, vírus) Fertőzés Szűkülő időablak Proaktív védelem kell, a Reaktív ideje lejárt

40 Microsoft RPC DCOM Overflow Security Bulletin MS (Blaster) BIND Interface: ISystemActivator a c v0.0 REQUEST Function Call: Opnum Function Arguments \\server\file Server Port 135/tcp Interfaces Available: e1af8308-5d1f-11c9-91a b14a0fa v3.0 0b0a6584-9e0f-11cf-a3cf-00805f68cb1b v b0-59ca-11d0-a8d5-00a0c90d8051 v1.0 e60c73e6-88f9-11cf-9af1-0020af6e72f4 v2.0 99fcfec b-bbcb-00aa a v0.0 b9e79e60-3d52-11ce-aaa f v f241e-c12a-11ce-abff-0020af6e7a17 v c v0.0 c6f3ee72-ce7e-11d1-b71e-00c04fc3111a v1.0 4d9f4ab8-7d1c-11cf-861e-0020af6e7c57 v a c v0.0 Pkt 1 Pkt 2 Pkt 3

41 demó RPC DCOM Overflow Security Bulletin MS03-026

42 Napirend  Biztonsági környezet  Jogosultságok, hozzáférés  Belépés, hitelesítés, Audit  Felhasználói fiókok  Windows Service Hardening  User Account Controll demo  Program File és Registry virtualizáció  Beágyazott proaktív védelem  Address Space Layout Randomization  Data Execution Protection  Kernel Patch Protection (x64)  Kernel Mode Code Signing  Egy támadás anatómiája  Sérülékenység - támadás időablak  RPC DCOM demo  Izoláció  Windows Firewall/IPSec demo  NAP  Adatvédelem  RMS, EFS, Bitlocker

43 Windows XP SP2Windows Vista IrányBejövőMindkettő Alapértelmezett reakció BlokkolásIránytól függő beállítás CsomagtípusTCP, UDP, néhány ICMPMind Szabály típusokAlkalmazások, portok, ICMP típusok alapján Összetett szabályok, sokféle feltétellel és lehetőséggel Szabály opciókBlokkolásBlokkolás, engedélyezés, bypass UI és eszközökControl Panel, netshControl Panel, netsh+, MMC Távoli elérés-RPC-n keresztül (szigorú) CsoportházirendADM sablonMMC, netsh TerminológiaExceptions; profilesRules; categories=profiles Komponensek Windows Firewall

44   Kezelés / felület változások   Control Panel: majdnem mint az XP-ben   Új MMC felület számos extrával: „WF with Advanced Security”   Távoli elérés MMC-vel   Előredefiniált szabályok   netsh advfirewall Komponensek Windows Firewall

45   Kategóriák   A hálózati profil az első kapcsolódáskor készül el   Interfész, DC, hitelesíthető gép, átjáró MAC címe, stb.   Az NLA szerviz detektálja a hálózati változásokat   Változás esetén rövid idő alatt vált kategóriát (<200 ms)   Ha nem tartományban van, akkor felhasználói interakció kell DomainHa a gép tagja a tartománynak (akár csatlakozik éppen, akár nem); teljesen automatikus választás PrivateTartományi tagság nélkül, definiált privát hálózat esetén PublicMinden más hálózat, pl. nyilvános helyek

46   Szabályok újdonságai   Forrás és cél IP címek   Speciális kiszolgálók címei   Protokoll típusok   Több új + IPv6 kompatibilis   AD felhasználó/gép/csoport fiókok   Titkosítás esetén kötelező   Interfész típusa   vezetékes, vezetéknélküli, VPN / RAS   Szervizek   Előre- és eltérő körülményekre legyártott szabályok Komponensek Windows Firewall

47 A malware lefut A felhasználó local admin? IgenIgen Nem „Ajtó, ablak...” 0wn3d A malware letiltja a tűzfalat A malware próbálkozik Érted ? A tűzfal figyelmeztet! IgenIgen Nem Van ilyen is csak kevés... A felhasználó engedélyezi Hagyományos tűzfal

48   Tűzfallal integrált, egyszerűsített IPSec   Globális beállítások   Connection Security Rules   Izoláció, hitelesítés mentesítés, server-to- server, tunnel   Új algoritmusok   Titkosítás: AES-128/192/256   Kulcscsere: ECDH-P 256/384 Komponensek IPSec

49 Komponensek IPSec alapú domain és végpont izoláció

50   Kliens <> DC IPSec   Immár támogatott   Szimultán kapcsolatok   Nem gond a tartományba léptetés (NTLMv2)   Hálózattípusok szerint is   Csak Vista és LH Server esetén Komponensek IPSec

51   Teljesen új technológia   Hasonlít a VPN karanténhoz, de annál több:   Az összes hálózati kliensre érvényes   DHCP, Remote Access ügyfelek   IPSec, TS ügyfelek   EAP ügyfelek (WLAN)   Az LH Server lesz az első NAP kiszolgáló   kliensek: Vista, LH Server és Windows XP SP2! Komponensek NAP

52   Házirendet készítünk, amely alapja lehet:   OS frissítések, szignatúra frissítések   alkalmazások megléte / hiánya   más egyéb tuladonságok ellenőrzése   Ha a feltételek nem találkoznak az elvárásokkal   A NAP szerver megtagadja a belépést, de:   Egyúttal hozzáférést adhat pl. a frissítések lelőhelyéhez (WSUS, SMS szerver) Komponensek NAP

53 Nem felelt meg 1 Zárolt hálózat A kliens hozzáférést kér a jelenlegi állapota alapján 1 4 Ha nem felel meg, a kliens egy zárolt VLAN-ba kerül, és csak frissítések, szignatúrák, stb. letöltéséhez a kap hozzáférést (ha kell, ismételve az 1-4. lépést) 2 A DHCP, VPN, switch/router továbbítja a kérést a Microsoft Network Policy kiszolgálónak (RADIUS) Microsoft Network Policy Server 3 Policy Servers Patch, AV Megfelelt DHCP, VPN Switch/Router 3 A Network Policy Server összehasonlítja az általunk definiált házirenddel a kliens állapotát 2 Vista kliens WSUS, SMS stb. Vállalati hálózat 5 4 Ha megfelel, teljes hozzáférést kap a belső hálózathoz 5 Komponensek NAP

54 demó Windows Firewall

55 Adatvédelem a fájltól a lemezig Házirend definició és betartatás Rights Management Services (RMS) Felhasználó szintű fájl titkosítás Encrypting File System (EFS) Hardveres lemez titkosítás Bitlocker Drive Encryption

56 Mit mire használjunk? TerületRMSEFSBitLocker Nem bízunk a rendszergazdában Tranzitban lévő dokumentumok védelme Dokumentumok házirend alapú védelme Csoportmunka során használt dokumentumok védelme Távoli fájl- és mappa védelme Megosztott gépek mappa szintű védelme Elveszett notebook-ok adatainak védelme Egyéni (otthoni) fájl- és mappa védelem Gyengébben védhető fiók kiszolgáló

57 Végszó  A rabló pandúr harc folytatódik  A megelőzés az egyik legjobb védelem (AAA)  A biztonság több megoldás együttes eredménye

58 További jó hírek … “Suspected Worm Creators Arrested - Hunt for Zotob Authors Leads To Turkey, Morocco” - The Washington Post, 27 Aug 2005 “Zotob Arrest Breaks Credit Card Fraud Ring …..Turkish officials have identified 16 more suspects this week in a continuing crackdown…..- eWeek.com, 30 Aug 2005 “Despite arrest, new variant of Sasser worm appears …..'an organized group of delinquents' is behind the worm - IDG News Service, 9 May 2004 “Teen admits creating Sasser worm” – CNN.com, 6 Jul 2005 “Teenager arrested in 'Blaster' Internet attack” Neighbor: 'I cannot believe he was doing any hacking’ – CNN.com, 30 Aug 2003 Sven Jaschan, Germany Jeffrey Lee Parson, Minneapolis, USA Atilla Ekici, Turkey

59 További információ   Web   Magyar TechNet Portál (benne a Vista modullal)     Vista a TechNet-en     TechNet Security Center     RSS   Windows Vista Security blog     Windows Vista Team blog  

60


Letölteni ppt "Windows Vista biztonsági újdonságai Szabó Gábor Product manager, Security"

Hasonló előadás


Google Hirdetések