Neue Security Features und Basics (die keiner beachtet)

Größe: px

Ab Seite anzeigen:

Download "Neue Security Features und Basics (die keiner beachtet)"

Alfred Günter Albrecht
vor 5 Jahren
Abrufe

1 Neue Security Features und Basics (die keiner beachtet)

2 Fabio Gondorf Consultant seit 2013 bei sepago Microsoft: Secure Client Modern Workplace Windows 10 Security WaaS

3 Alternativtitel: Wir bauen den sicheren Windows Client

4 Schritt 0: Die Basics Stufe 1: Bleib aktuell

5 Mehr Schwachstellen werden gefunden, aber es wird mehr in Patches investiert

6 Schritt 0: Die Basics Stufe 1: Bleib aktuell Stufe 2: Sei kein Admin a) UAC

7 Clients vor der Ausführung von Software warnen Die User Account Controlle (UAC) kann dabei helfen, den PC vor Malware zu schützen und die Sicherheit im Unternehmen zu erhöhen Programme und Tasks laufen immer mit Berechtigungen eines Standardbenutzers, es sei denn ein Administrator erlaubt die Verwendung erhöhter Rechte für den Systemzugriff

8 Schritt 0: Die Basics Stufe 1: Bleib aktuell Stufe 2: Sei kein Admin a) UAC b) getrennte Accounts

9 Schritt 0: Die Basics Stufe 1: Bleib aktuell Stufe 2: Sei kein Admin Stufe 3: Schütze deine Accounts

10 Schritt 0: Die Basics Stufe 3: Schütze deine Accounts a) 2FA / MFA b) Windows Hello

11 Schritt 0: Die Basics Stufe 1: Bleib aktuell Stufe 2: Sei kein Admin Stufe 3: Schütze deine Accounts Stufe 4: Schütze deine Daten

12 Schritt 0: Die Basics Stufe 4: Schütze deine Daten a) Verschlüsselung / Bitlocker

13 Schritt 0: Die Basics Stufe 1: Bleib aktuell Stufe 2: Sei kein Admin Stufe 3: Schütze deine Accounts Stufe 4: Schütze deine Daten

14 Windows 10 Security-Funktionen und Neuerungen in Version 1709

15 Windows 7 Security features Device protection Threat resistance Identity protection Information protection Breach detection investigation & response PRE-BREACH POST-BREACH

16 Windows 10 Security on Modern Devices Device protection Threat resistance Identity protection Information protection Breach detection investigation & response PRE-BREACH POST-BREACH

17 Schritt 2: Virtualisierungsbasierte Sicherheit

18 TRADITIONELLER PL AT TFORM-STACK Apps Windows Platform Services Kernel Gerätehardware

19 HVCI Iisolated LSA Edge Browser VIRTUALISIERUNGSBASIERTE SICHERHEIT WINDOWS 10 Apps Windows Platform Services Kernel Windows-Betriebssystem Kernel SystemContainer Hyper-V Hyper-V Gerätehardware Hypervisor

20 Schritt 2: Virtualisierungsbasierte Sicherheit Stufe 1: Credential Guard

Credential Guard Credential Guard isolates secrets

The LSA process in the operating system talks to

Data stored by using VBS is not accessible to the

21 Credential Guard Credential Guard isolates secrets that previous versions of Windows stored in the Local Security Authority (LSA) by using virtualization-based security. The LSA process in the operating system talks to the isolated LSA by using remote procedure calls. Data stored by using VBS is not accessible to the rest of the operating system. This prevents Pass-the-Hash and Pass-the-Ticket attacks

22 Schritt 2: Virtualisierungsbasierte Sicherheit Stufe 1: Credential Guard Stufe 2: Device Guard

23 Kernel Mode Code Integrity in Device Guard Threat Mitigation Note Platform Secure Boot UEFI Secure Boot KMCI UMCI AppLocker ROM/Fuses Bootloaders Native UEFI Windows OS Loader Windows Kernel, Boot Drivers, System Files ELAM, AV Driver, and 3 rd Party Drivers User mode code (apps, etc.)

24 Schritt 2: Virtualisierungsbasierte Sicherheit Stufe 1: Credential Guard Stufe 2: Device Guard Stufe 3: Application Guard

25 HARDWARE ISOLIERUNG MIT WINDOWS DEFENDER APPLICATION GUARD Verschiebt Browsersitzungen in eine isolierte, virtualisierte Umgebung Microsoft Edge Apps Sorgt für einen erheblich besseren Schutz und härtet den beliebtesten Zugang von Angreifern Veröffentlicht in Windows 10 Fall Creators Update (1709) Windows Platform Services Kernel AppContainer Hyper-V Windows Platform Services Kernel Windows-Betriebssystem Hyper-V Wichtige Systemprozesse Kernel SystemContainer Gerätehardware Hypervisor

26 Schritt 3: Angriffsfläche reduzieren Disable-WindowsOptionalFeature Online -FeatureName SMB1Protocol

27 HKLM/System/Current Control Set/Control/LSA New DWORD RunAsPPL Wert 1 Schritt 3: Angriffsfläche reduzieren LSA Protected Mode

28 Schritt 3: Angriffsfläche reduzieren Stufe 1: Kernelhärtung (Exploit Guard)

Sicherheitsinnovationen: Verbesserung der Windows-Kernel-Sicherheit No mitigations DEP /GS SafeSEH Heap hardening v1 ASLR v1 SEHOP Heap hardening v2 ASLR v2 Kernel SMEP & DEP Heap hardening v3 CFG

30 Sicherheitsinnovationen: Verbesserung der Windows-Kernel-Sicherheit No mitigations DEP /GS SafeSEH Heap hardening v1 ASLR v1 SEHOP Heap hardening v2 ASLR v2 Kernel SMEP & DEP Heap hardening v3 CFG HVCI EMET Exploitation was not inhibited Data can t be executed as code Protection for stack buffers, exception chains, and heap metadata Memory layout is randomized Improved protection for exception chains and heap metadata Improved memory layout randomization Improved protection for heap metadata & buffers Only valid functions can be called indirectly Kernel Mode secured EMET functionality getting integrated

31 ASLR EXPL AINED Boot 1 Boot 2 Boot 3 app.exe user32.dll ssleay32.dll process address space user32.dll ssleay32.dll ntdll.dll app.exe app.exe ntdll.dll ntdll.dll ssleay32.dll user32.dll

32 BLOCK UNTRUSTE D FONTS

33 ARBITRARY CODE GUARD LPVOID WINAPI VirtualAlloc( _In_opt_ LPVOID lpaddress, _In_ SIZE_T dwsize, _In_ DWORD flallocationtype, _In_ DWORD flprotect ); PAGE_EXECUTE 0x10 PAGE_EXECUTE_READ 0x20 PAGE_EXECUTE_READWRITE 0x40 PAGE_EXECUTE_WRITECOPY 0x80

34 Schritt 3: Angriffsfläche reduzieren Stufe 1: Kernelhärtung Stufe 2: Ransomware-Schutz

35 Stufe 2: Ransomware-Schutz: Controlled Folder Access

36 Schritt 4: Application Whitelisting Option A: Device Guard Windows Defender Application Control

37 Today s Challenge Programme Apps

DEVICE GUARD Hardwarebasierte App-Kontrolle Windows-Desktops können für die ausschließliche Ausführung von vertrauenswürdigen Apps abgesichert werden (vergleichbar mit mobilen Betriebssystemen wie

38 DEVICE GUARD Hardwarebasierte App-Kontrolle Windows-Desktops können für die ausschließliche Ausführung von vertrauenswürdigen Apps abgesichert werden (vergleichbar mit mobilen Betriebssystemen wie Windows Phone) Unterstützt alle Apps inkl. Universal- Desktop- Apps (Win32). Nicht vertrauenswürdige Apps und ausführbare Dateien wie Malware können nicht gestartet werden Die Apps müssen vom Microsoft- Signierungsdienst signiert werden. Keine weiteren Modifikationen erforderlich.

39 Root CA Windows Store for Business ConfigMgr Code Integrity Policy Golden Client erstellen Golden Policy Audit Mode Default Client Finale Policy bestehend aus Golden Policy + Audit Policy

40 Schritt 4: Application Whitelisting Option A: Device Guard Windows Defender Application Control Option B: Applocker

42 Schritt X: Wissen, was abgeht Stufe 1: Post-Breach Gedanken anwenden

43 MODERN SECURITY THREATS THERE ARE TWO KINDS OF BIG COMPANIES, THOSE WHO VE BEEN HACKED, AND THOSE WHO DON T KNOW THEY VE BEEN HACKED. J A M E S C O M E Y EX- D I R E C T O R F B I

47 Schritt X: Wissen, was abgeht Stufe 1: Post-Breach Gedanken anwenden Stufe 2: Post-Breach Tools einsetzen

WINDOWS DEFENDER ADVANCED THREAT PROTECTION ERKENNEN VON ERWEITERTEN ANGRIFFEN UND BESEITIGEN VON EINBRÜCHEN In Windows integriert Keine zusätzliche Bereitstellung und Infrastruktur.

49 WINDOWS DEFENDER ADVANCED THREAT PROTECTION ERKENNEN VON ERWEITERTEN ANGRIFFEN UND BESEITIGEN VON EINBRÜCHEN In Windows integriert Keine zusätzliche Bereitstellung und Infrastruktur. Immer auf dem neuesten Stand bei geringen Kosten. Verhaltensbasierte und Cloud-gestützte Einbruchserkennung Aussagekräftige und korrelierte Alarme für bekannte und unbekannte Bedrohungen. Echtzeitdaten und Verlaufsdaten. Umfangreicher Untersuchungszeitraum Umfang des Einbruchs leicht zu überblicken. Verschieben von Daten auf Endpunkten. Tief greifende Datei- und URL-Analyse. Einzigartige Informationsdatenbank mit Bedrohungsinformationen Einzigartige Ressourcen ermöglichen detaillierte Profile der Akteure Bedrohungsdaten von Microsoft und Drittanbietern.

Ähnliche Dokumente

- BT CIO-Report Mitarbeiter arbeiten in fast doppelt so vielen Teams wie noch vor fünf Jahren

- BT CIO-Report Mitarbeiter arbeiten in fast doppelt so vielen Teams wie noch vor fünf Jahren Mitarbeiter arbeiten in fast doppelt so vielen Teams wie noch vor fünf Jahren 41 % der Mitarbeiter sagen, dass sich ihre Arbeitsweise durch mobile Unternehmens-Apps verändert Die moderne Technologie verändert