Windows Vista biztonsági újdonságai

Slides:



Advertisements
Hasonló előadás
Teljesen új elképzelés Minimum környezet – „sallangok” nélkül, viszont kompromisszumokkal Kifejezetten bizonyos szerepkörök ellátására Nem külön verzió,
Advertisements

A virtuális munka-környezet
64 bites architektúra, csapdák és átjárók Tóth Sándor Terméktámogatási tanácsadó.
Készítette: Nagy Márton
Tempus S_JEP Számítógép hálózatok Összefoglalás Összefoglalás Összeállította: Broczkó Péter (BMF)
Module 10: Supporting Remote Users távoli felhasználó támogatása.
Felhasználói felületek és üzleti logika Bollobás Dávid ASP.NET
Infrastruktúra-felügyelet a privát felhőben
Microsoft Forefront biztonsági megoldások
Hálózati architektúrák
{SAN} DEMO környezet bemutatása Adatelhelyezési módok DAS - Direct Attched Storage NAS – Network Attached Storage SAN – Storage Array Networking.
- Virtualizációt az asztalra!
A mobil munka- környezet Réczi Gábor MCSA, MVP, oktató NetAcademia Szentgyörgyi Tibor MCT, oktató Számalk Zrt.
Jogában áll belépni?! Détári Gábor, rendszermérnök.
NAP bemutatása Komponensek Felhasználási területek DEMO: DHCP kényszerítés VPN kényszerítés NAP bevezetése.
Budapesti Műszaki és Gazdaságtudományi Egyetem Méréstechnika és Információs Rendszerek Tanszék Micskei Zoltán Előadások:
Budapesti Műszaki és Gazdaságtudományi Egyetem Méréstechnika és Információs Rendszerek Tanszék dr. Micskei Zoltán Biztonsági.
Tűzfal beállítása Ubuntuban
Vezeték nélküli hálózatok biztonsági megoldásai Készítette Hudac Lóránd (HULRAAI) A Bemutatóban szó lesz: Vezeték nélküli hálózatok felépítése Ezek működtetése.
A Windows 7 automatizált telepítése Windows AIK használatával
Iskolai Hálózat Létrehozása
Authentication & Authorization Belinszki Balázs terméktámogató mérnök Juhász Mihály alkalmazásfejlesztési tanácsadó.
Network Access Protection
Erős bástya – biztonsági újdonságok
Egy ISA szerver naplója Sárosi György Terméktámogatási Tanácsadó Microsoft Magyarország.
Megoldás Felhő szolgáltatások és Windows 7.
Átállás.
Biztonság. Magas Alacsony A behatoló tudása A támadás okozta kár Cross site scripting jelszó próba port próba jelszó feltörés ismert.
Platform A Vistából örökölt OS alap technológiák Windows Server Core Read-only Domain Controller Hozzáférés szabályzás, erőforrás elérés Network Access.
Kiss Tibor Rendszeradminisztrátor (MCP) DevNet Solution Kft. Jakab András Program-koordinátor Microsoft Program.
Operációs Rendszerek WindowsXP®.
Module 1: A Microsoft Windows XP Professional telepítése
1 Operációs rendszerek Az NT folyamatok kezelése.
Operációs rendszerek.
SCVMM 2012 – a privát felhőre optimalizálva Szolgáltatások Felhő Telepítés Szerkezeti elemek Hyper-V Bare Metal Provisioning Hyper-V, VMware, Citrix.
TMG délelőtt / 1 Forefront Threat Management Gateway 2010 Alapozzunk!
Windows Server 2008 { Terminal Services }
AD {RMS} Active Directory Rights Management Services
…az ISA Server 2006 segítségével Gál Tamás Microsoft Magyarország.
Hálózatkezelési újdonságok Windows 7 / R2
ISA Server alapok Gál Tamás
Exchange Server 2007 Client Access Role
Ők kerestek meg minket Tentálen – Könyvelő iroda, 15 felhasználó SBS 2003, Outlook levelezés Nincs saját fix ip cím, exchange POP3-al töltötte le a leveleket,
Központosított rendszerfelügyelet System Center Essentials 2007 Micskei Zoltán.
Operációs Rendszerek 1 Felhasználókezelés Windisch Gergely
Web Architecture. Development of Computing Architectures Monolithic mainframe programming Client Server Real Client Server Web Programming.
ELTE WIFI Beállítási útmutató MS Windows XP-hez
ORACLE ORDBMS adminisztrációs feladatok 3. rész dr. Kovács László 2004.
Windows Server 2008 Távoli elérés – I.
Alapozó eszközök Eseménynapló Eseményszámba megy… Analytic and Debug Logs Custom Views / Cross-log queries Event Forwarding > Subscriptions Feladatütemező.
Microsoft Windows Win2000 telepítési folyamata.
Szabályzás, folyamatok, tudatosság Fizikai biztonság Perimeter Belső hálózat Operációs rendszer Alkalmazások Adatok SMTP (25) HTTP (80) HTTPS (443)
Út a felhőbe - Azure IaaS Windows Server 2012 R2 konferencia
A teljes infrastruktúra egységesített felügyelete és védelme.
Mire képes a User State Migration Tool 3.0.1? A lehetséges forgatókönyvekről Nagyszerű eszköz - kicsiknek Nagyszerű eszköz – nagyoknak (is) Alkalmazásbiztonság.
Network Access Protection
Óravázlat Készítette: Toldi Miklós
AAA AAA Ki, mikor, mivel, hogyan? Mit csinált, mit csinálhat, (mit fog csinálni)? Ki mihez hogyan férhet hozzá? Authentication Authorization Accounting/Audit.
FolyamatElőtteUtána wsock32.dll0x73ad00000x winhttp.dll0x x user32.dll0x779b00000x770f0000 kernel32.dll0x77c100000x
RPC/MAPI HTTPS IMAP4 POP3 HTTPS IMAP4 POP3 Mailbox Server Mailbox Server Domain Controller Domain Controller Client Access Server Client.
SQL Server 7 installálása. A szükséges hardver és szoftver Processzor Memória Háttértár OS Hálózat Kliensek.
Desktop virtualizáció Microsoft VDI használatával Háló Gyula.
Palotás Ádám és Fodor Gergely Oracle Data Integrator Bemutató és gyakorlat
A projekt az Európai Unió társfinanszírozásával, az Európa terv keretében valósul meg. Számítógép- hálózatok dr. Herdon Miklós dr. Kovács György Magó Zsolt.
Tűzfal (firewall).
Ingyenes, online technikai kurzusok Microsoft Virtual Academy.
Microsoft TechDays eseménysorozat Informatikai szakember képzés.
AZURE RÉGIÓK Szoftver szolgáltatás SaaS Platform szolgáltatás PaaS Infrastruktúra szolgáltatás IaaS.
Hálózati rendszerek adminisztrációja JunOS OS alapokon
Hálózati architektúrák
Előadás másolata:

Windows Vista biztonsági újdonságai Szabó Gábor Product manager, Security gabors@microsoft.com

Napirend Biztonsági környezet Jogosultságok, hozzáférés Belépés, hitelesítés, Audit Felhasználói fiókok Windows Service Hardening Beágyazott proaktív védelem Address Space Layout Randomization Data Execution Protection Kernel Patch Protection (x64) Kernel Mode Code Signing User Account Controll demo Program File és Registry virtualizáció Egy támadás anatómiája Sérülékenység - támadás időablak RPC DCOM demo Izoláció Windows Firewall/IPSec demo NAP Adatvédelem RMS, EFS, Bitlocker

A veszély evolúciója Magas Alacsony 1980 1985 1990 1995 2000 2005 Cross site scripting Phishing “stealth” / advanced scanning techniques A támadás okozta kár Magas denial of service back doors sweepers distributed attack tools forgalom figyelés www attacks automated probes/scans csomagfigyelés grafikus eszközök címhamisítás session lopás port scan ismert sérülékenység kihasználása A behatoló tudása port próba jelszó feltörés Alacsony jelszó próba 1980 1985 1990 1995 2000 2005

Napirend Biztonsági környezet Jogosultságok, hozzáférés Belépés, hitelesítés, Audit Felhasználói fiókok Windows Service Hardening User Account Controll demo Program File és Registry virtualizáció Beágyazott proaktív védelem Address Space Layout Randomization Data Execution Protection Kernel Patch Protection (x64) Kernel Mode Code Signing Egy támadás anatómiája Sérülékenység - támadás időablak RPC DCOM demo Izoláció Windows Firewall/IPSec demo NAP Adatvédelem RMS, EFS, Bitlocker

Jogosultságok, hozzáférés Belépés, hitelesítés Eddig a GINA (Graphical Identification and Authentication): Jelenleg a Winlogon processz része > korai betöltés Egyetlen példány; nem vagy nehezen cserélhető A Vistában GINA DLL-ek kihagyása > többféle bejelentkező eszköz (multifaktoros, biometrikus, OTP, stb.) Alternatív logon providerek, szabad választás, alapértelmezettség választás Providerek hozzáadása a registryben

Hitelesítés szolgáltatók Többfaktoros authenikáció 4/4/2017 2:23 PM Hitelesítés szolgáltatók Többfaktoros authenikáció 1. Ctrl+Alt+Delete WinLogon 9. LSALogonUser LSA 2. Hitelesítés kérés 8. Hitelesítés kérés visszaigazolva 5. Login / jelszó 4. Bejelentkező UI Logon UI 6. Engedélyezés Hitelesítés szolgáltatók interfészei 7. Logon kéréshitelesítés 3. Hitelesítési információk kérése Hitelesítés szolgáltató 1 Hitelesítés Szolgáltató 2 Hitelesítés Szolgáltató 3 © 2006 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

Jogosultságok, hozzáférés Hitelesítés, belépés SmartCard belépés Eddig adminként telepítettünk olvasót, meghajtót, szolgáltatót majd használtuk A Vistában „igazi” Plug & Play van, első belépéskor is Gyártók 3rd party kártya moduljai > WU > Vista

Jogosultságok, hozzáférés User / Computer fiókok Power Users csoport nincs többé két szint maradt a standard fiókok (Users csoport) az admin fiókok (Administrators csoport) A standard user fiók az alapértelmezett egy új fiók létrehozásakor Új telepítéskor "Support..." és a "Help" fiók nem kerül fel a rendszerbe

Jogosultságok, hozzáférés User / Computer fiókok Új telepítéskor a beépített Administrator fiók letiltott állapotban van Ennek oka pl. a sok változatlan illetve teljesen üresen hagyott helyi admin jelszó Frissítésnél Ha az előző rendszerben csak egy admin fiók volt A telepítés alatt a Vista ezt észreveszi, nem tiltja le Safe módban ekkor sem lehet használni

Jogosultságok, hozzáférés User / Computer fiókok Safe módban elágazás > Tartomány:  a letiltott, beépített admin fiókkal nem tudunk belépni egy a Domain Admins csoportba tartozó fiókkal viszont igen ekkor kreálhatunk helyi alternatív admin fiókot ha még nem léptünk be Domain Admin-ként: Válasszuk a Safe Mode with Networking opciót Mivel a jogosultságok még nem cache-elődhettek

Jogosultságok, hozzáférés User / Computer fiókok Safe módban elágazás > Munkacsoport:  Az alap admin fiók szintén nem működik Ha van bármilyen másik admin fiók, azt használhatjuk Ha nincs, vagy megsérült, akkor a Vista „visszavesz” a szigorból és használhatjuk a beépített admin fiókot is

Jogosultságok, hozzáférés Audit Sokkal részletesebb, új kategóriákkal Több információval, kb. 50 új eseménnyel Fő kategóriák Logon / Logoff Filerendszer elérés Registry hozzáférés Admin jogosultságok használata Teljesen új naplózási alrendszer Események összegyűjtése + Task Manager = értesítések

Jogosultságok, hozzáférés Audit Mi mindent lehet auditálni? Registry változásokat (régi + új érték) AD változásokat (régi + új érték) UAC eseményeket IPSec eseményeket RPC Call eseményeket Megosztásokkal kapcsolatos történéseket (elérés, kezelés) Titkosítási eseményeket NAP eseményeket (csak szerver oldalon) IAS (RADIUS) eseményeket (csak szerver oldalon)

Jogosultságok, hozzáférés Windows Service Hardening – Miért is kell? 4/4/2017 2:23 PM Jogosultságok, hozzáférés Windows Service Hardening – Miért is kell? A különböző szervizek előkelő célpontjai a különböző malwareknek A felhasználó bevonása/tudta nélkül futnak Ismert szerviz sérülékenységek Sok szerviz „LocalSystem” fiók joggal fut Sok ismert féreg pont ezt használta ki Sasser, Blaster, CodeRed, Slammer, etc… © 2006 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

Windows XP User Kevés réteg Többnyire magas privilégium Admin Kevés védelem a rétegek között Admin System services Kernel

Alacsony priv. szervizek Windows Vista Felhasználó Service Hardening LUA felh. A magas kockázatú rétegek mérete csökken Több réteg Szegmentált szervizek Alacsony priv. szervizek Felhasználó fiók védelme (User Account Control) Admin Rendszer szervizek S Kernel S S D D D D S Kernel meghajtók Rendszer szervizek Alacsony priv. Szervizek Felh. módú meghajtók S D D

Jogosultságok, hozzáférés Szerviz felosztás (Service refaktoring) Folyamatosan csökken a jogosultsági kör De a Vistában drasztikusabb a változás A legtöbb esetben már nem LocalSystem Ha mégis szükséges, akkor két részre vágva dolgozik A szerviz fő része pl. a LocalService fiókkal A privilegizált műveletekhez szükséges rész továbbra is a LocalSystem fiókkal A két rész között hitelesítést megkívánó kapcsolat van Memória A szerviz fő része LocalService fiókkal fut Privilegizált műveletek LocalSystem

Jogosultságok, hozzáférés Szerviz profil (Service profiling) Minden szerviznek egyedi azonosítója van S-1-80-<a szerviz logika nevének SHA-1 hash-e> A szervizprofil is újdonság ACL-ek listája Megengedi / tiltja A privilégiumok és erőforrások (filerendszer, registry) használatát Adott portok használatát, a WF segítségével Rugalmasabb megoldás a Local / Network Service > további jogosultság

Jogosultságok, hozzáférés Windows Service Hardening Példa: a „mindenható” RPC immár nem cserélheti le a rendszerfile-okat, nem módosíthatja a registryt, nem befolyásolhatja, módosíthatja más szervizeket konfig állományait (AV szoftverek, szignatúrák, stb.) A szervizprofil szigorú kialakítása egy teljesen automatikus művelet, amely Elsősorban telepítéskor megy végbe Csak a Windows szervizekre érvényes

Jogosultságok, hozzáférés Definiált integritás szintek Rendszer Magas Közepes Alacsony Bizalmatlan 400 300 200 100 Local System Local Service Network Service Elevated (full) user tokens Standard user tokens Authenticated Users Internet (IE) Ismeretlen All other tokens Shell

Jogosultságok, hozzáférés Windows Service Hardening Windows Vista LocalSystem Network restricted Removable Storage WMI Perf Adapter Automatic updates TrkWks WMI App Management Secondary Logon LocalSystem Demand started BITS Network Service Restricted DNS Client ICS RemoteAccess DHCP Client W32time Rasman NLA Browser Task scheduler IPSEC Services Server Cryptographic Services Local Service Restricted No network access Wireless Configuration System Event Notification Shell Hardware Detection Network Connections Rasauto Themes COM+ Event System Local Service Restricted Telephony Windows Audio TCP/IP NetBIOS helper WebClient Error Reporting Event Log Workstation Remote Registry SSDP Windows XP SP2 LocalSystem Wireless Configuration System Event Notification Network Connections COM+ Event System NLA Rasauto Shell Hardware Detection Themes Telephony Windows Audio Error Reporting Workstation ICS BITS RemoteAccess DHCP Client W32time Rasman Browser Help and Support Task Scheduler TrkWks Cryptographic Services Removable Storage WMI Perf Adapter Automatic updates WMI App Management Secondary Logon Network Service DNS Client Local Service SSDP WebClient TCP/IP NetBIOS helper Remote Registry

Jogosultságok, hozzáférés Szerviz profilozás – event log példa ACL Eventlog:W SysEvent.evt Írásvédett token Eventlog service

Jogosultságok, hozzáférés User Account Control A lényeg: standard felhasználónként dolgozzon mindenki a rendszerben Ha ez nem megy, akkor interakció van: Figyelmeztetés / jogosultság bekérés / megtagadás The Application Information Service (AIS) system szerviz indítja a szintemelést igénylő alkalmazásokat Új folyamatot indít az admin token használatával XML leíró állomány – az alkalmazás futtatásához szükséges szint UAC inkompatibilitás Install program detektálás Virtualizáció

Adminisztrátori jogok Alap felhasználói jogok 4/4/2017 2:23 PM Adminisztrátori jogok Admin belépéssel Alap felhasználói jogok Felhasználó Adminisztrátori token „Alap felhasználó” token © 2006 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

Alap felhasználói jogok 4/4/2017 2:23 PM Alap felhasználói jogok „Alap felhasználói” jogok Adminisztrátori jogok Alap felh. belépéssel Időzóna beállítás Engedélyezett alkalmazások pl. MSN Messenger Betűkészlet és nyomtató telepítés Felhasználó © 2006 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

Alap felhasználói jogok 4/4/2017 2:23 PM Alap felhasználói jogok Adminisztrátori jogok „Alap felhasználói” jogok „Alap felhasználói” jogok Admin belépéssel Időzóna beállítás Engedélyezett alkalmazások MSN Messenger Betűkészlet és nyomtató telepítés Időállítás Admin jogok Tűzfal konfigurálás Felhasználó Admin jogok Alkalmazás telepítés Admin jogok © 2006 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

Jogosultságok, hozzáférés User Account Control OS alkalmazás Aláíratlan alkalmazás Aláírt alkalmazás

Jogosultságok, hozzáférés User Account Control 4/4/2017 2:23 PM Jogosultságok, hozzáférés User Account Control Mit tehet meg egy Standard User? Vezetéknéküli hálózat konfigurálás Energiaellátás opciók változtatása VPN kapcsolatok konfigurálása Nyomtató és egyéb eszközök hozzáadása – GP Windows Update, Windows Defender Lemez defrag, Disk CleanUp, időzóna váltás Eseménynapló (Security naplót azért nem) A pajzs ikon mutatja, hogy mit nem lehet 28 © 2006 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

Jogosultságok, hozzáférés Internet Explorer 7 4/4/2017 2:23 PM Jogosultságok, hozzáférés Internet Explorer 7 Run with full privs? tutiprogi.com Megbízható oldal? AIS Futtat? Teljes jog LP IE IEPolicy tutiprogi.exe …\My Docs\tutiprogi.exe IL=magas IL=alacsony IL=magas ha admin IL=egyébként közepes \Progs\GS\progi.exe progi.dll …\TIF\tutiprogi.exe

Jogosultságok, hozzáférés Virtualizáció Miért kell Admin jog egy könyvelő proginak? Program files virtualizáció Registry virtualizáció Lássuk inkább hogy is működik...

User Account Control Program File és Registry virtualizáció demó

Napirend Biztonsági környezet Jogosultságok, hozzáférés Belépés, hitelesítés, Audit Felhasználói fiókok Windows Service Hardening User Account Controll demo Program File és Registry virtualizáció Beágyazott proaktív védelem Address Space Layout Randomization Data Execution Protection Kernel Patch Protection (x64) Kernel Mode Code Signing Egy támadás anatómiája Sérülékenység - támadás időablak RPC DCOM demo Izoláció Windows Firewall/IPSec demo NAP Adatvédelem RMS, EFS, Bitlocker

Beágyazott proaktív védelem Address Space Layout Randomization 4/4/2017 2:23 PM Beágyazott proaktív védelem Address Space Layout Randomization Az alkalmazások / processzek kódja és függelékei véletlenszerűen kiválasztott helyekre töltödődnek be, azaz: Nem lehet kiszámítani előre, hogy mely címekre kerülnek Megkeresni időigényes (256 variáció) Minden újraindításkor megtörténik a kiszámítás Ha egy processzt egy másik alkalmazás is használ, a kiszámítás újra megtörténik 33 © 2006 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

Beágyazott proaktív védelem Address Space Layout Randomization 1. boot után 2. boot után wsock32.dll (0x73ad0000) winhttp.dll (0x74020000) user32.dll (0x779b0000) kernel32.dll (0x77c10000) gdi32.dll (0x77a50000) wsock32.dll (0x73200000) winhttp.dll (0x73760000) user32.dll (0x770f0000) kernel32.dll (0x77350000) gdi32.dll (0x77190000)

Beágyazott proaktív védelem Address Space Layout Randomization Javasolt együtt használni más technológiákkal DEP (NX) – adatfuttatás megelőzés Szoftveres: /SafeSEH – biztonságos struktútájú kivétel kezelés Hardvers: NX (AMD) / XD (Intel) esetén a használt lapozó tábla utolsó bitje szabályozza lehet-e (0) kódot futtani a hivatkozott területen vagy sem (1) .NET felügyelt kód esetén ez nem probléma /GS: Visual C++ fordító opció verem túlcsordúlás detektálás

Beágyazott proaktív védelem Kernel Patch Protection (KPP) Amit a KPP tilt Az egyes meghajtó programok nem módosíthatják a system service táblák function mutatóit (kernel hook) Interrupt descriptor table (IDT) Global descriptor table (GDT) Bármely kernel verem használatát (kivétel ha azt maga a kernel kezdeményezte) Bármilyen kernel módosítás, bővítmény, patch

Beágyazott proaktív védelem Code Signing and Code Integrity Minden kernel módban futó drivernek aláírással kell rendelkeznie Csak aláírt kód tölthető a kernelbe Még az adminisztrátor sem... Kernel malware védelem ...Sony DRM rootkit.... Troj/Stinx-E Mark Russinovich's technical blog http://www.microsoft.com/technet/sysinternals/default.mspx

Napirend Biztonsági környezet Jogosultságok, hozzáférés Belépés, hitelesítés, Audit Felhasználói fiókok Windows Service Hardening User Account Controll demo Program File és Registry virtualizáció Beágyazott proaktív védelem Address Space Layout Randomization Data Execution Protection Kernel Patch Protection (x64) Kernel Mode Code Signing Egy támadás anatómiája Sérülékenység - támadás időablak RPC DCOM demo Izoláció Windows Firewall/IPSec demo NAP Adatvédelem RMS, EFS, Bitlocker

Szűkülő időablak Proaktív védelem kell, a Reaktív ideje lejárt April 4, 2017 Szűkülő időablak Proaktív védelem kell, a Reaktív ideje lejárt Malware (Féreg, vírus) Fertőzés Sérülékenység (0 day vulnerability) Támadási mód (kód) (Exploit) Nincs javítás Néhány egyedi támadás Automatizált, gyorsan terjedő támadások Mutáns verziók Fertőző kódot tartalamzó web oldalak Spam üzenetek Káros csatolmányok 3Com Confidential

Microsoft RPC DCOM Overflow Security Bulletin MS03-026 (Blaster) Pkt 1 Server Port 135/tcp REQUEST Function Call: Opnum 4 -------------- Function Arguments \\server\file BIND Interface: ISystemActivator 000001a0-0000- 0000-c000- 000000000046 v0.0 Interfaces Available: e1af8308-5d1f-11c9-91a4-08002b14a0fa v3.0 0b0a6584-9e0f-11cf-a3cf-00805f68cb1b v1.1 975201b0-59ca-11d0-a8d5-00a0c90d8051 v1.0 e60c73e6-88f9-11cf-9af1-0020af6e72f4 v2.0 99fcfec4-5260-101b-bbcb-00aa0021347a v0.0 b9e79e60-3d52-11ce-aaa1-00006901293f v0.2 412f241e-c12a-11ce-abff-0020af6e7a17 v0.2 00000136-0000-0000-c000-000000000046 v0.0 c6f3ee72-ce7e-11d1-b71e-00c04fc3111a v1.0 4d9f4ab8-7d1c-11cf-861e-0020af6e7c57 v0.0 000001a0-0000-0000-c000-000000000046 v0.0 Pkt 2 Pkt 3

RPC DCOM Overflow Security Bulletin MS03-026 demó

Napirend Biztonsági környezet Jogosultságok, hozzáférés Belépés, hitelesítés, Audit Felhasználói fiókok Windows Service Hardening User Account Controll demo Program File és Registry virtualizáció Beágyazott proaktív védelem Address Space Layout Randomization Data Execution Protection Kernel Patch Protection (x64) Kernel Mode Code Signing Egy támadás anatómiája Sérülékenység - támadás időablak RPC DCOM demo Izoláció Windows Firewall/IPSec demo NAP Adatvédelem RMS, EFS, Bitlocker

Komponensek Windows Firewall Windows XP SP2 Windows Vista Irány Bejövő Mindkettő Alapértelmezett reakció Blokkolás Iránytól függő beállítás Csomagtípus TCP, UDP, néhány ICMP Mind Szabály típusok Alkalmazások, portok, ICMP típusok alapján Összetett szabályok, sokféle feltétellel és lehetőséggel Szabály opciók Blokkolás, engedélyezés, bypass UI és eszközök Control Panel, netsh Control Panel, netsh+, MMC Távoli elérés - RPC-n keresztül (szigorú) Csoportházirend ADM sablon MMC, netsh Terminológia Exceptions; profiles Rules; categories=profiles

Komponensek Windows Firewall Kezelés / felület változások Control Panel: majdnem mint az XP-ben Új MMC felület számos extrával: „WF with Advanced Security” Távoli elérés MMC-vel Előredefiniált szabályok netsh advfirewall

Komponensek Windows Firewall Kategóriák A hálózati profil az első kapcsolódáskor készül el Interfész, DC, hitelesíthető gép, átjáró MAC címe, stb. Az NLA szerviz detektálja a hálózati változásokat Változás esetén rövid idő alatt vált kategóriát (<200 ms) Ha nem tartományban van, akkor felhasználói interakció kell Domain Ha a gép tagja a tartománynak (akár csatlakozik éppen, akár nem); teljesen automatikus választás Private Tartományi tagság nélkül, definiált privát hálózat esetén Public Minden más hálózat, pl. nyilvános helyek

Komponensek Windows Firewall Szabályok újdonságai Forrás és cél IP címek Speciális kiszolgálók címei Protokoll típusok Több új + IPv6 kompatibilis AD felhasználó/gép/csoport fiókok Titkosítás esetén kötelező Interfész típusa vezetékes, vezetéknélküli, VPN / RAS Szervizek Előre- és eltérő körülményekre legyártott szabályok

Hagyományos tűzfal A felhasználó local admin? A malware próbálkozik 4/4/2017 2:23 PM Hagyományos tűzfal A felhasználó local admin? Van ilyen is csak kevés... A malware próbálkozik A tűzfal figyelmeztet! Nem Érted ? Igen Nem A malware lefut Igen A felhasználó engedélyezi A malware letiltja a tűzfalat „Ajtó, ablak...” 0wn3d

Komponensek IPSec Tűzfallal integrált, egyszerűsített IPSec Globális beállítások Connection Security Rules Izoláció, hitelesítés mentesítés, server-to-server, tunnel Új algoritmusok Titkosítás: AES-128/192/256 Kulcscsere: ECDH-P 256/384

Komponensek IPSec alapú domain és végpont izoláció 4/4/2017 2:23 PM Komponensek IPSec alapú domain és végpont izoláció © 2006 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

Komponensek IPSec Kliens <> DC IPSec Immár támogatott Szimultán kapcsolatok Nem gond a tartományba léptetés (NTLMv2) Hálózattípusok szerint is Csak Vista és LH Server esetén

Komponensek NAP Teljesen új technológia Hasonlít a VPN karanténhoz, de annál több: Az összes hálózati kliensre érvényes DHCP, Remote Access ügyfelek IPSec, TS ügyfelek EAP ügyfelek (WLAN) Az LH Server lesz az első NAP kiszolgáló kliensek: Vista, LH Server és Windows XP SP2!

Komponensek NAP Házirendet készítünk, amely alapja lehet: OS frissítések, szignatúra frissítések alkalmazások megléte / hiánya más egyéb tuladonságok ellenőrzése Ha a feltételek nem találkoznak az elvárásokkal A NAP szerver megtagadja a belépést, de: Egyúttal hozzáférést adhat pl. a frissítések lelőhelyéhez (WSUS, SMS szerver)

Microsoft Network Policy Server DHCP, VPN Switch/Router Komponensek NAP Policy Servers Patch, AV 3 1 2 Nem felelt meg Zárolt hálózat 4 WSUS, SMS stb. Microsoft Network Policy Server Vista kliens DHCP, VPN Switch/Router Megfelelt 1 A kliens hozzáférést kér a jelenlegi állapota alapján 5 Vállalati hálózat 2 A DHCP, VPN, switch/router továbbítja a kérést a Microsoft Network Policy kiszolgálónak (RADIUS) A Network Policy Server összehasonlítja az általunk definiált házirenddel a kliens állapotát 3 Ha nem felel meg, a kliens egy zárolt VLAN-ba kerül, és csak frissítések, szignatúrák, stb. letöltéséhez a kap hozzáférést (ha kell, ismételve az 1-4. lépést) 4 5 Ha megfelel, teljes hozzáférést kap a belső hálózathoz 53

Windows Firewall demó

Adatvédelem a fájltól a lemezig Házirend definició és betartatás Rights Management Services (RMS) Felhasználó szintű fájl titkosítás Encrypting File System (EFS) Hardveres lemez titkosítás Bitlocker Drive Encryption

Mit mire használjunk? Terület RMS EFS BitLocker Dokumentumok házirend alapú védelme Tranzitban lévő dokumentumok védelme Csoportmunka során használt dokumentumok védelme Megosztott gépek mappa szintű védelme Távoli fájl- és mappa védelme Nem bízunk a rendszergazdában  Elveszett notebook-ok adatainak védelme Gyengébben védhető fiók kiszolgáló Egyéni (otthoni) fájl- és mappa védelem

Végszó A rabló pandúr harc folytatódik A megelőzés az egyik legjobb védelem (AAA) A biztonság több megoldás együttes eredménye

4/4/2017 2:23 PM További jó hírek … “Suspected Worm Creators Arrested - Hunt for Zotob Authors Leads To Turkey, Morocco” - The Washington Post, 27 Aug 2005 “Zotob Arrest Breaks Credit Card Fraud Ring …..Turkish officials have identified 16 more suspects this week in a continuing crackdown…..- eWeek.com, 30 Aug 2005 Atilla Ekici, Turkey “Teen admits creating Sasser worm” – CNN.com, 6 Jul 2005 “Despite arrest, new variant of Sasser worm appears …..'an organized group of delinquents' is behind the worm - IDG News Service, 9 May 2004 Sven Jaschan, Germany “Teenager arrested in 'Blaster' Internet attack” Neighbor: 'I cannot believe he was doing any hacking’ – CNN.com, 30 Aug 2003 Jeffrey Lee Parson, Minneapolis, USA © 2006 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

További információ Web RSS Magyar TechNet Portál (benne a Vista modullal) http://www.microsoft.hu/technet Vista a TechNet-en http://www.microsoft.com/technet/windowsvista TechNet Security Center http://www.microsoft.com/technet/security RSS Windows Vista Security blog http://blogs.msdn.com/windowsvistasecurity Windows Vista Team blog http://blogs.technet.com/windowsvista 59