Windows Vista biztonsági újdonságai Szabó Gábor Product manager, Security gabors@microsoft.com
Napirend Biztonsági környezet Jogosultságok, hozzáférés Belépés, hitelesítés, Audit Felhasználói fiókok Windows Service Hardening Beágyazott proaktív védelem Address Space Layout Randomization Data Execution Protection Kernel Patch Protection (x64) Kernel Mode Code Signing User Account Controll demo Program File és Registry virtualizáció Egy támadás anatómiája Sérülékenység - támadás időablak RPC DCOM demo Izoláció Windows Firewall/IPSec demo NAP Adatvédelem RMS, EFS, Bitlocker
A veszély evolúciója Magas Alacsony 1980 1985 1990 1995 2000 2005 Cross site scripting Phishing “stealth” / advanced scanning techniques A támadás okozta kár Magas denial of service back doors sweepers distributed attack tools forgalom figyelés www attacks automated probes/scans csomagfigyelés grafikus eszközök címhamisítás session lopás port scan ismert sérülékenység kihasználása A behatoló tudása port próba jelszó feltörés Alacsony jelszó próba 1980 1985 1990 1995 2000 2005
Napirend Biztonsági környezet Jogosultságok, hozzáférés Belépés, hitelesítés, Audit Felhasználói fiókok Windows Service Hardening User Account Controll demo Program File és Registry virtualizáció Beágyazott proaktív védelem Address Space Layout Randomization Data Execution Protection Kernel Patch Protection (x64) Kernel Mode Code Signing Egy támadás anatómiája Sérülékenység - támadás időablak RPC DCOM demo Izoláció Windows Firewall/IPSec demo NAP Adatvédelem RMS, EFS, Bitlocker
Jogosultságok, hozzáférés Belépés, hitelesítés Eddig a GINA (Graphical Identification and Authentication): Jelenleg a Winlogon processz része > korai betöltés Egyetlen példány; nem vagy nehezen cserélhető A Vistában GINA DLL-ek kihagyása > többféle bejelentkező eszköz (multifaktoros, biometrikus, OTP, stb.) Alternatív logon providerek, szabad választás, alapértelmezettség választás Providerek hozzáadása a registryben
Hitelesítés szolgáltatók Többfaktoros authenikáció 4/4/2017 2:23 PM Hitelesítés szolgáltatók Többfaktoros authenikáció 1. Ctrl+Alt+Delete WinLogon 9. LSALogonUser LSA 2. Hitelesítés kérés 8. Hitelesítés kérés visszaigazolva 5. Login / jelszó 4. Bejelentkező UI Logon UI 6. Engedélyezés Hitelesítés szolgáltatók interfészei 7. Logon kéréshitelesítés 3. Hitelesítési információk kérése Hitelesítés szolgáltató 1 Hitelesítés Szolgáltató 2 Hitelesítés Szolgáltató 3 © 2006 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
Jogosultságok, hozzáférés Hitelesítés, belépés SmartCard belépés Eddig adminként telepítettünk olvasót, meghajtót, szolgáltatót majd használtuk A Vistában „igazi” Plug & Play van, első belépéskor is Gyártók 3rd party kártya moduljai > WU > Vista
Jogosultságok, hozzáférés User / Computer fiókok Power Users csoport nincs többé két szint maradt a standard fiókok (Users csoport) az admin fiókok (Administrators csoport) A standard user fiók az alapértelmezett egy új fiók létrehozásakor Új telepítéskor "Support..." és a "Help" fiók nem kerül fel a rendszerbe
Jogosultságok, hozzáférés User / Computer fiókok Új telepítéskor a beépített Administrator fiók letiltott állapotban van Ennek oka pl. a sok változatlan illetve teljesen üresen hagyott helyi admin jelszó Frissítésnél Ha az előző rendszerben csak egy admin fiók volt A telepítés alatt a Vista ezt észreveszi, nem tiltja le Safe módban ekkor sem lehet használni
Jogosultságok, hozzáférés User / Computer fiókok Safe módban elágazás > Tartomány: a letiltott, beépített admin fiókkal nem tudunk belépni egy a Domain Admins csoportba tartozó fiókkal viszont igen ekkor kreálhatunk helyi alternatív admin fiókot ha még nem léptünk be Domain Admin-ként: Válasszuk a Safe Mode with Networking opciót Mivel a jogosultságok még nem cache-elődhettek
Jogosultságok, hozzáférés User / Computer fiókok Safe módban elágazás > Munkacsoport: Az alap admin fiók szintén nem működik Ha van bármilyen másik admin fiók, azt használhatjuk Ha nincs, vagy megsérült, akkor a Vista „visszavesz” a szigorból és használhatjuk a beépített admin fiókot is
Jogosultságok, hozzáférés Audit Sokkal részletesebb, új kategóriákkal Több információval, kb. 50 új eseménnyel Fő kategóriák Logon / Logoff Filerendszer elérés Registry hozzáférés Admin jogosultságok használata Teljesen új naplózási alrendszer Események összegyűjtése + Task Manager = értesítések
Jogosultságok, hozzáférés Audit Mi mindent lehet auditálni? Registry változásokat (régi + új érték) AD változásokat (régi + új érték) UAC eseményeket IPSec eseményeket RPC Call eseményeket Megosztásokkal kapcsolatos történéseket (elérés, kezelés) Titkosítási eseményeket NAP eseményeket (csak szerver oldalon) IAS (RADIUS) eseményeket (csak szerver oldalon)
Jogosultságok, hozzáférés Windows Service Hardening – Miért is kell? 4/4/2017 2:23 PM Jogosultságok, hozzáférés Windows Service Hardening – Miért is kell? A különböző szervizek előkelő célpontjai a különböző malwareknek A felhasználó bevonása/tudta nélkül futnak Ismert szerviz sérülékenységek Sok szerviz „LocalSystem” fiók joggal fut Sok ismert féreg pont ezt használta ki Sasser, Blaster, CodeRed, Slammer, etc… © 2006 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
Windows XP User Kevés réteg Többnyire magas privilégium Admin Kevés védelem a rétegek között Admin System services Kernel
Alacsony priv. szervizek Windows Vista Felhasználó Service Hardening LUA felh. A magas kockázatú rétegek mérete csökken Több réteg Szegmentált szervizek Alacsony priv. szervizek Felhasználó fiók védelme (User Account Control) Admin Rendszer szervizek S Kernel S S D D D D S Kernel meghajtók Rendszer szervizek Alacsony priv. Szervizek Felh. módú meghajtók S D D
Jogosultságok, hozzáférés Szerviz felosztás (Service refaktoring) Folyamatosan csökken a jogosultsági kör De a Vistában drasztikusabb a változás A legtöbb esetben már nem LocalSystem Ha mégis szükséges, akkor két részre vágva dolgozik A szerviz fő része pl. a LocalService fiókkal A privilegizált műveletekhez szükséges rész továbbra is a LocalSystem fiókkal A két rész között hitelesítést megkívánó kapcsolat van Memória A szerviz fő része LocalService fiókkal fut Privilegizált műveletek LocalSystem
Jogosultságok, hozzáférés Szerviz profil (Service profiling) Minden szerviznek egyedi azonosítója van S-1-80-<a szerviz logika nevének SHA-1 hash-e> A szervizprofil is újdonság ACL-ek listája Megengedi / tiltja A privilégiumok és erőforrások (filerendszer, registry) használatát Adott portok használatát, a WF segítségével Rugalmasabb megoldás a Local / Network Service > további jogosultság
Jogosultságok, hozzáférés Windows Service Hardening Példa: a „mindenható” RPC immár nem cserélheti le a rendszerfile-okat, nem módosíthatja a registryt, nem befolyásolhatja, módosíthatja más szervizeket konfig állományait (AV szoftverek, szignatúrák, stb.) A szervizprofil szigorú kialakítása egy teljesen automatikus művelet, amely Elsősorban telepítéskor megy végbe Csak a Windows szervizekre érvényes
Jogosultságok, hozzáférés Definiált integritás szintek Rendszer Magas Közepes Alacsony Bizalmatlan 400 300 200 100 Local System Local Service Network Service Elevated (full) user tokens Standard user tokens Authenticated Users Internet (IE) Ismeretlen All other tokens Shell
Jogosultságok, hozzáférés Windows Service Hardening Windows Vista LocalSystem Network restricted Removable Storage WMI Perf Adapter Automatic updates TrkWks WMI App Management Secondary Logon LocalSystem Demand started BITS Network Service Restricted DNS Client ICS RemoteAccess DHCP Client W32time Rasman NLA Browser Task scheduler IPSEC Services Server Cryptographic Services Local Service Restricted No network access Wireless Configuration System Event Notification Shell Hardware Detection Network Connections Rasauto Themes COM+ Event System Local Service Restricted Telephony Windows Audio TCP/IP NetBIOS helper WebClient Error Reporting Event Log Workstation Remote Registry SSDP Windows XP SP2 LocalSystem Wireless Configuration System Event Notification Network Connections COM+ Event System NLA Rasauto Shell Hardware Detection Themes Telephony Windows Audio Error Reporting Workstation ICS BITS RemoteAccess DHCP Client W32time Rasman Browser Help and Support Task Scheduler TrkWks Cryptographic Services Removable Storage WMI Perf Adapter Automatic updates WMI App Management Secondary Logon Network Service DNS Client Local Service SSDP WebClient TCP/IP NetBIOS helper Remote Registry
Jogosultságok, hozzáférés Szerviz profilozás – event log példa ACL Eventlog:W SysEvent.evt Írásvédett token Eventlog service
Jogosultságok, hozzáférés User Account Control A lényeg: standard felhasználónként dolgozzon mindenki a rendszerben Ha ez nem megy, akkor interakció van: Figyelmeztetés / jogosultság bekérés / megtagadás The Application Information Service (AIS) system szerviz indítja a szintemelést igénylő alkalmazásokat Új folyamatot indít az admin token használatával XML leíró állomány – az alkalmazás futtatásához szükséges szint UAC inkompatibilitás Install program detektálás Virtualizáció
Adminisztrátori jogok Alap felhasználói jogok 4/4/2017 2:23 PM Adminisztrátori jogok Admin belépéssel Alap felhasználói jogok Felhasználó Adminisztrátori token „Alap felhasználó” token © 2006 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
Alap felhasználói jogok 4/4/2017 2:23 PM Alap felhasználói jogok „Alap felhasználói” jogok Adminisztrátori jogok Alap felh. belépéssel Időzóna beállítás Engedélyezett alkalmazások pl. MSN Messenger Betűkészlet és nyomtató telepítés Felhasználó © 2006 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
Alap felhasználói jogok 4/4/2017 2:23 PM Alap felhasználói jogok Adminisztrátori jogok „Alap felhasználói” jogok „Alap felhasználói” jogok Admin belépéssel Időzóna beállítás Engedélyezett alkalmazások MSN Messenger Betűkészlet és nyomtató telepítés Időállítás Admin jogok Tűzfal konfigurálás Felhasználó Admin jogok Alkalmazás telepítés Admin jogok © 2006 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
Jogosultságok, hozzáférés User Account Control OS alkalmazás Aláíratlan alkalmazás Aláírt alkalmazás
Jogosultságok, hozzáférés User Account Control 4/4/2017 2:23 PM Jogosultságok, hozzáférés User Account Control Mit tehet meg egy Standard User? Vezetéknéküli hálózat konfigurálás Energiaellátás opciók változtatása VPN kapcsolatok konfigurálása Nyomtató és egyéb eszközök hozzáadása – GP Windows Update, Windows Defender Lemez defrag, Disk CleanUp, időzóna váltás Eseménynapló (Security naplót azért nem) A pajzs ikon mutatja, hogy mit nem lehet 28 © 2006 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
Jogosultságok, hozzáférés Internet Explorer 7 4/4/2017 2:23 PM Jogosultságok, hozzáférés Internet Explorer 7 Run with full privs? tutiprogi.com Megbízható oldal? AIS Futtat? Teljes jog LP IE IEPolicy tutiprogi.exe …\My Docs\tutiprogi.exe IL=magas IL=alacsony IL=magas ha admin IL=egyébként közepes \Progs\GS\progi.exe progi.dll …\TIF\tutiprogi.exe
Jogosultságok, hozzáférés Virtualizáció Miért kell Admin jog egy könyvelő proginak? Program files virtualizáció Registry virtualizáció Lássuk inkább hogy is működik...
User Account Control Program File és Registry virtualizáció demó
Napirend Biztonsági környezet Jogosultságok, hozzáférés Belépés, hitelesítés, Audit Felhasználói fiókok Windows Service Hardening User Account Controll demo Program File és Registry virtualizáció Beágyazott proaktív védelem Address Space Layout Randomization Data Execution Protection Kernel Patch Protection (x64) Kernel Mode Code Signing Egy támadás anatómiája Sérülékenység - támadás időablak RPC DCOM demo Izoláció Windows Firewall/IPSec demo NAP Adatvédelem RMS, EFS, Bitlocker
Beágyazott proaktív védelem Address Space Layout Randomization 4/4/2017 2:23 PM Beágyazott proaktív védelem Address Space Layout Randomization Az alkalmazások / processzek kódja és függelékei véletlenszerűen kiválasztott helyekre töltödődnek be, azaz: Nem lehet kiszámítani előre, hogy mely címekre kerülnek Megkeresni időigényes (256 variáció) Minden újraindításkor megtörténik a kiszámítás Ha egy processzt egy másik alkalmazás is használ, a kiszámítás újra megtörténik 33 © 2006 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
Beágyazott proaktív védelem Address Space Layout Randomization 1. boot után 2. boot után wsock32.dll (0x73ad0000) winhttp.dll (0x74020000) user32.dll (0x779b0000) kernel32.dll (0x77c10000) gdi32.dll (0x77a50000) wsock32.dll (0x73200000) winhttp.dll (0x73760000) user32.dll (0x770f0000) kernel32.dll (0x77350000) gdi32.dll (0x77190000)
Beágyazott proaktív védelem Address Space Layout Randomization Javasolt együtt használni más technológiákkal DEP (NX) – adatfuttatás megelőzés Szoftveres: /SafeSEH – biztonságos struktútájú kivétel kezelés Hardvers: NX (AMD) / XD (Intel) esetén a használt lapozó tábla utolsó bitje szabályozza lehet-e (0) kódot futtani a hivatkozott területen vagy sem (1) .NET felügyelt kód esetén ez nem probléma /GS: Visual C++ fordító opció verem túlcsordúlás detektálás
Beágyazott proaktív védelem Kernel Patch Protection (KPP) Amit a KPP tilt Az egyes meghajtó programok nem módosíthatják a system service táblák function mutatóit (kernel hook) Interrupt descriptor table (IDT) Global descriptor table (GDT) Bármely kernel verem használatát (kivétel ha azt maga a kernel kezdeményezte) Bármilyen kernel módosítás, bővítmény, patch
Beágyazott proaktív védelem Code Signing and Code Integrity Minden kernel módban futó drivernek aláírással kell rendelkeznie Csak aláírt kód tölthető a kernelbe Még az adminisztrátor sem... Kernel malware védelem ...Sony DRM rootkit.... Troj/Stinx-E Mark Russinovich's technical blog http://www.microsoft.com/technet/sysinternals/default.mspx
Napirend Biztonsági környezet Jogosultságok, hozzáférés Belépés, hitelesítés, Audit Felhasználói fiókok Windows Service Hardening User Account Controll demo Program File és Registry virtualizáció Beágyazott proaktív védelem Address Space Layout Randomization Data Execution Protection Kernel Patch Protection (x64) Kernel Mode Code Signing Egy támadás anatómiája Sérülékenység - támadás időablak RPC DCOM demo Izoláció Windows Firewall/IPSec demo NAP Adatvédelem RMS, EFS, Bitlocker
Szűkülő időablak Proaktív védelem kell, a Reaktív ideje lejárt April 4, 2017 Szűkülő időablak Proaktív védelem kell, a Reaktív ideje lejárt Malware (Féreg, vírus) Fertőzés Sérülékenység (0 day vulnerability) Támadási mód (kód) (Exploit) Nincs javítás Néhány egyedi támadás Automatizált, gyorsan terjedő támadások Mutáns verziók Fertőző kódot tartalamzó web oldalak Spam üzenetek Káros csatolmányok 3Com Confidential
Microsoft RPC DCOM Overflow Security Bulletin MS03-026 (Blaster) Pkt 1 Server Port 135/tcp REQUEST Function Call: Opnum 4 -------------- Function Arguments \\server\file BIND Interface: ISystemActivator 000001a0-0000- 0000-c000- 000000000046 v0.0 Interfaces Available: e1af8308-5d1f-11c9-91a4-08002b14a0fa v3.0 0b0a6584-9e0f-11cf-a3cf-00805f68cb1b v1.1 975201b0-59ca-11d0-a8d5-00a0c90d8051 v1.0 e60c73e6-88f9-11cf-9af1-0020af6e72f4 v2.0 99fcfec4-5260-101b-bbcb-00aa0021347a v0.0 b9e79e60-3d52-11ce-aaa1-00006901293f v0.2 412f241e-c12a-11ce-abff-0020af6e7a17 v0.2 00000136-0000-0000-c000-000000000046 v0.0 c6f3ee72-ce7e-11d1-b71e-00c04fc3111a v1.0 4d9f4ab8-7d1c-11cf-861e-0020af6e7c57 v0.0 000001a0-0000-0000-c000-000000000046 v0.0 Pkt 2 Pkt 3
RPC DCOM Overflow Security Bulletin MS03-026 demó
Napirend Biztonsági környezet Jogosultságok, hozzáférés Belépés, hitelesítés, Audit Felhasználói fiókok Windows Service Hardening User Account Controll demo Program File és Registry virtualizáció Beágyazott proaktív védelem Address Space Layout Randomization Data Execution Protection Kernel Patch Protection (x64) Kernel Mode Code Signing Egy támadás anatómiája Sérülékenység - támadás időablak RPC DCOM demo Izoláció Windows Firewall/IPSec demo NAP Adatvédelem RMS, EFS, Bitlocker
Komponensek Windows Firewall Windows XP SP2 Windows Vista Irány Bejövő Mindkettő Alapértelmezett reakció Blokkolás Iránytól függő beállítás Csomagtípus TCP, UDP, néhány ICMP Mind Szabály típusok Alkalmazások, portok, ICMP típusok alapján Összetett szabályok, sokféle feltétellel és lehetőséggel Szabály opciók Blokkolás, engedélyezés, bypass UI és eszközök Control Panel, netsh Control Panel, netsh+, MMC Távoli elérés - RPC-n keresztül (szigorú) Csoportházirend ADM sablon MMC, netsh Terminológia Exceptions; profiles Rules; categories=profiles
Komponensek Windows Firewall Kezelés / felület változások Control Panel: majdnem mint az XP-ben Új MMC felület számos extrával: „WF with Advanced Security” Távoli elérés MMC-vel Előredefiniált szabályok netsh advfirewall
Komponensek Windows Firewall Kategóriák A hálózati profil az első kapcsolódáskor készül el Interfész, DC, hitelesíthető gép, átjáró MAC címe, stb. Az NLA szerviz detektálja a hálózati változásokat Változás esetén rövid idő alatt vált kategóriát (<200 ms) Ha nem tartományban van, akkor felhasználói interakció kell Domain Ha a gép tagja a tartománynak (akár csatlakozik éppen, akár nem); teljesen automatikus választás Private Tartományi tagság nélkül, definiált privát hálózat esetén Public Minden más hálózat, pl. nyilvános helyek
Komponensek Windows Firewall Szabályok újdonságai Forrás és cél IP címek Speciális kiszolgálók címei Protokoll típusok Több új + IPv6 kompatibilis AD felhasználó/gép/csoport fiókok Titkosítás esetén kötelező Interfész típusa vezetékes, vezetéknélküli, VPN / RAS Szervizek Előre- és eltérő körülményekre legyártott szabályok
Hagyományos tűzfal A felhasználó local admin? A malware próbálkozik 4/4/2017 2:23 PM Hagyományos tűzfal A felhasználó local admin? Van ilyen is csak kevés... A malware próbálkozik A tűzfal figyelmeztet! Nem Érted ? Igen Nem A malware lefut Igen A felhasználó engedélyezi A malware letiltja a tűzfalat „Ajtó, ablak...” 0wn3d
Komponensek IPSec Tűzfallal integrált, egyszerűsített IPSec Globális beállítások Connection Security Rules Izoláció, hitelesítés mentesítés, server-to-server, tunnel Új algoritmusok Titkosítás: AES-128/192/256 Kulcscsere: ECDH-P 256/384
Komponensek IPSec alapú domain és végpont izoláció 4/4/2017 2:23 PM Komponensek IPSec alapú domain és végpont izoláció © 2006 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
Komponensek IPSec Kliens <> DC IPSec Immár támogatott Szimultán kapcsolatok Nem gond a tartományba léptetés (NTLMv2) Hálózattípusok szerint is Csak Vista és LH Server esetén
Komponensek NAP Teljesen új technológia Hasonlít a VPN karanténhoz, de annál több: Az összes hálózati kliensre érvényes DHCP, Remote Access ügyfelek IPSec, TS ügyfelek EAP ügyfelek (WLAN) Az LH Server lesz az első NAP kiszolgáló kliensek: Vista, LH Server és Windows XP SP2!
Komponensek NAP Házirendet készítünk, amely alapja lehet: OS frissítések, szignatúra frissítések alkalmazások megléte / hiánya más egyéb tuladonságok ellenőrzése Ha a feltételek nem találkoznak az elvárásokkal A NAP szerver megtagadja a belépést, de: Egyúttal hozzáférést adhat pl. a frissítések lelőhelyéhez (WSUS, SMS szerver)
Microsoft Network Policy Server DHCP, VPN Switch/Router Komponensek NAP Policy Servers Patch, AV 3 1 2 Nem felelt meg Zárolt hálózat 4 WSUS, SMS stb. Microsoft Network Policy Server Vista kliens DHCP, VPN Switch/Router Megfelelt 1 A kliens hozzáférést kér a jelenlegi állapota alapján 5 Vállalati hálózat 2 A DHCP, VPN, switch/router továbbítja a kérést a Microsoft Network Policy kiszolgálónak (RADIUS) A Network Policy Server összehasonlítja az általunk definiált házirenddel a kliens állapotát 3 Ha nem felel meg, a kliens egy zárolt VLAN-ba kerül, és csak frissítések, szignatúrák, stb. letöltéséhez a kap hozzáférést (ha kell, ismételve az 1-4. lépést) 4 5 Ha megfelel, teljes hozzáférést kap a belső hálózathoz 53
Windows Firewall demó
Adatvédelem a fájltól a lemezig Házirend definició és betartatás Rights Management Services (RMS) Felhasználó szintű fájl titkosítás Encrypting File System (EFS) Hardveres lemez titkosítás Bitlocker Drive Encryption
Mit mire használjunk? Terület RMS EFS BitLocker Dokumentumok házirend alapú védelme Tranzitban lévő dokumentumok védelme Csoportmunka során használt dokumentumok védelme Megosztott gépek mappa szintű védelme Távoli fájl- és mappa védelme Nem bízunk a rendszergazdában Elveszett notebook-ok adatainak védelme Gyengébben védhető fiók kiszolgáló Egyéni (otthoni) fájl- és mappa védelem
Végszó A rabló pandúr harc folytatódik A megelőzés az egyik legjobb védelem (AAA) A biztonság több megoldás együttes eredménye
4/4/2017 2:23 PM További jó hírek … “Suspected Worm Creators Arrested - Hunt for Zotob Authors Leads To Turkey, Morocco” - The Washington Post, 27 Aug 2005 “Zotob Arrest Breaks Credit Card Fraud Ring …..Turkish officials have identified 16 more suspects this week in a continuing crackdown…..- eWeek.com, 30 Aug 2005 Atilla Ekici, Turkey “Teen admits creating Sasser worm” – CNN.com, 6 Jul 2005 “Despite arrest, new variant of Sasser worm appears …..'an organized group of delinquents' is behind the worm - IDG News Service, 9 May 2004 Sven Jaschan, Germany “Teenager arrested in 'Blaster' Internet attack” Neighbor: 'I cannot believe he was doing any hacking’ – CNN.com, 30 Aug 2003 Jeffrey Lee Parson, Minneapolis, USA © 2006 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
További információ Web RSS Magyar TechNet Portál (benne a Vista modullal) http://www.microsoft.hu/technet Vista a TechNet-en http://www.microsoft.com/technet/windowsvista TechNet Security Center http://www.microsoft.com/technet/security RSS Windows Vista Security blog http://blogs.msdn.com/windowsvistasecurity Windows Vista Team blog http://blogs.technet.com/windowsvista 59