Sicherheitsfunktionen von Windows

Transkript

1 IT-Sicherheit heute - Angriffe, Schutzmechanismen, Umsetzung Sicherheitsfunktionen von Windows jochen.schlichting@secorvo.de Security Consulting GmbH, Karlsruhe Seite 1

2 Setzen Sie noch Windows 2000 ein? you re doing it wrong! Wird seit dem nicht mehr unterstützt! Security Consulting GmbH, Karlsruhe Seite 2

3 Inhalt Active Directory Domain Service Group Policy Authentifikation und Autorisierung Sonstige Sicherheitsfunktionen Schlussbemerkungen Security Consulting GmbH, Karlsruhe Seite 3

4 Active Directory Domain Service Security Consulting GmbH, Karlsruhe Seite 4

5 Active Directory Struktur Hierarchische Abbildung von technischer und organisatorischer Infrastruktur mit Hilfe von Domains und Organisational Units (OU) Domain Tree secorvo.de asia.secorvo.de europe.secorvo.de Domain europe.secorvo.de ou=user ou=drucker G.Heim R.Test Laserdrucker Objekt-Eigenschaften (z. B. Zugriffsrechte) zentral administrierbar - Group Policies AD Struktur verwaltet Vertrauensbeziehungen Abkürzungen: OU Organisational Unit Security Consulting GmbH, Karlsruhe Seite 5

6 Active Directory Domain Service Microsofts Directory-Service Zentraler Speicher für Windows 200x Domain-Information (Objekte) Domain - definiert Verwaltungs- und Sicherheitsbereiche Ein Active Directory kann mehrere Domains verwalten Active Directory Service wurde in Windows Server 2008 R2 in Active Directory Domain Services umbenannt Benutzer (ersetzt NT4 SAM) Netzwerkressourcen (Drucker, Freigaben,...) Domain Konsistente Definition interner Sicherheitseinstellungen (Policies) Definition von Vertrauensbeziehungen ( trust relationships ) mit externen Domains Abkürzungen: SAM Security Account Manager Security Consulting GmbH, Karlsruhe Seite 6

7 AD DS Security Zentrale Verwaltung von Sicherheitseinstellungen Benutzerverwaltung Group Policies Verwaltung von Vertrauensbeziehungen zwischen Domains Sichere Konfiguration des AD DS wichtig! Realisierung von Single-Sign-On (SSO) mit Kerberos Delegation of Administration Verteilung beschränkter Administrationsrechte Neue Active Directory Domain Services (AD DS) ab Server 2008 AD DS: Auditing AD DS: Fine-Grained Password Policies AD DS: Read-Only Domain Controllers (RODC) Abkürzungen: SSO Single Sign On Security Consulting GmbH, Karlsruhe Seite 7

8 AD DS Auditing Globale Auditpolicy "Audit directory service access" steuert Auditing für Directory Service Events Definiert Success / Failure / No-Auditing SACL für AD DS-Objekt ist Voraussetzung Gilt auch für AD LDS (Active Directory Lightweight Directory Services) Ehemals AD/AM SACL: ausschließlich Auditkontext Security Consulting GmbH, Karlsruhe Seite 8

9 AD DS Fine-Grained Password Policies Definiert unterschiedliche Kennwort- und Sperrrichtlinien in einer Domäne Für unterschiedliche Gruppen von Benutzern! Password Settings Container (PSC) Es kann unterschiedliche PSCs geben Der PSC beinhaltet das Password Settings Object (PSO) der Domäne Password Settings Objects (PSOs) beinhalten Enforce password history Maximum password age Minimum password age Minimum password length Passwords must meet complexity requirements Store passwords using reversible encryption Account lockout duration Account lockout threshold Reset account lockout after Security Consulting GmbH, Karlsruhe Seite 9

10 AD DS Read-Only Domain Controllers (RODC) Credential caching RODC kontaktiert "writeable" Domain Controller und fordert Credentials an Password Replication Policy entscheidet darüber, ob Benutzer oder Computer-Credentials repliziert werden Erfolgreich, selektiv replizierte Credentials werden auf dem RODC gecacht, wenn mit ihnen eine Authentifizierung durchgeführt wurde gecachten Credentials auf dem RODC stellen limitierte Ausgangsbasis für Kompromittierung dar Read-only AD DS database Beinhaltet eine Kopie eines "writeable" Domain Controller Passwortdaten / Credentials sind nicht enthalten RODC filtered attribute set Definiert ein konfigurierbares Attribut-Set im Schema der Domain Objects, welches nicht auf einen RODC repliziert wird Wird auf dem "schema operations master role"-server konfiguriert Sog. "system-critical attributes" (SCAs) sind: Local Security Authority (LSA) Security Accounts Manager (SAM) Security Service Provider Interfaces (SSPIs) SCAs unveränderbar, wenn Schema Master unter W2K8 läuft SCAs veränderbar, wenn RODC-Server kompromittiert und der Schema Master unter W2K3 läuft Security Consulting GmbH, Karlsruhe Seite 10

11 Group Policy Security Consulting GmbH, Karlsruhe Seite 11

12 Group Policy Zentrale Zuweisung von Konfigurationsparametern auf OU, Domain oder Site-Ebene User Policy Computer Policy Bsp. Passwort-Parameter, Authentication Method Domain Level Policy - domainweit gültige Policy Local Policies - Gültig für lokalen Rechner/Benutzer Angewendete Policy setzt sich zusammen aus Lokalen Policy-Einstellungen Policy Einstellungen der übergeordneten Domains Abkürzungen: OU Organisational Unit Security Consulting GmbH, Karlsruhe Seite 12

13 Neu bei Server 2008 Gruppenrichtliniendienst Starter-Gruppenrichtlinienobjekte GPO-Kommentare Verbesserungen an der Filterung Erweiterte Verwaltungsmöglichkeiten für Sicherheitsrichtlinien Windows-Firewall mit erweiterter Sicherheit Richtlinien für verkabelte und Drahtlosnetzwerke Windows-FW: aber immer noch nicht stateful Security Consulting GmbH, Karlsruhe Seite 13

14 Authentifikation und Autorisierung Security Consulting GmbH, Karlsruhe Seite 14

15 Vom Logon zum Access... 1) Logon 4) Zugriff 5) Zugriffskontrolle, Autorisierung Benutzer Client 3) Authentisierung Ressource oder Fehlermeldung 2) Identifikation Ressource Ressourcen- Server Active Directory User Domain Account Windows 200x- Domain- Controller Abkürzungen DACL: Discretionary Access Control List SID: Security Identifier Security Consulting GmbH, Karlsruhe Seite 15

16 Authentifikation Standardprotokoll für Authentifikation unter Windows 200x - Kerberos Default: Username/Passwort Optional: Smartcard/Zertifikat NTLM wird weiter unterstützt (Mixed Mode) SSL/TLS für Authentifikation über Web-Interface (Browser) Definition der Authentifikation-Methode via Policy Gruppen Individuelle Benutzer Abkürzungen: NTLM NT Lanmanager SSL / TLS Secure Socket Layer / Transport Layer Security Security Consulting GmbH, Karlsruhe Seite 16

17 Zugriffskontrolle & Autorisierung Access Token Ressource User-SID Security IDs (SIDs) DACL, SACL Group-SIDs Bob Manager Marketing Manager Admin Access Control Entries (ACEs) - Lesen - Schreiben - Löschen - Ausführen Abkürzungen DACL: Discretory Access Control List SACL: System Access Control List SID: Security Identifier ACE: Access Control Entries Security Consulting GmbH, Karlsruhe Seite 17

18 Mehrfache Datei-Rechte Kumulativ Zuerst Vererbung, dann direkt definierte Rechte Dateirechte stärker als Ordnerrechte Verweigern setzt alles andere außer Kraft Gruppe A: Schreiben Ordner A Datei1 Benutzer: Lesen Datei2 Gruppe B: Verweigern von Schreiben nach Datei2 Im Beispiel darf der Benutzer: Ordner A Lesen (Benutzer-Recht) und Schreiben (Gruppe A) Datei 1 Lesen und Schreiben (vererbte Rechte von Ordner A) Datei 2 Lesen (vererbt von Ordner A), aber nicht schreiben (Verweigern von Gruppe B überschreibt Erlaubnis von Gruppe A) Security Consulting GmbH, Karlsruhe Seite 18

19 Sonstige Sicherheitsfunktionen Security Consulting GmbH, Karlsruhe Seite 19

20 Sonstige Sicherheitsfunktionen Serverrolle Server Core Stellt lediglich die Kernfunktionen des Betriebssystems zur Verfügung und dient dazu die klassischen Serverfunktionen wahrzunehmen. NTFS 5.X Encrypted File System (EFS) Verschlüsselung von Dateien und Verzeichnissen Transparent für den Benutzer Eingebaute Recovery -Funktionalität EFS Erweiterungen WebFolder support, Sharing Encrypted Files Bitlocker-Verschlüsselung (ab Vista Business, Server 2008) Server Core: Bitlocker ist integriert Abkürzungen: CryptoAPI Cryptographic Application Programming Interface EFS Encrypted File System IETF Internet Engineering Task Force IPSec Internet Protocol Security NTFS New Technology File System PC/SC Personal Computer / Smart Card VPN Virtual Private Networks Security Consulting GmbH, Karlsruhe Seite 20

21 Sonstige Sicherheitsfunktionen Zugriffskontrolle Vererbung von Zugriffsrechten auf Dateien etc. Ab Windows Server 2008 Netzwerk TrustedInstaller-Berechtigungen Netzwerkstandort-SIDs Windows Firewall für ein- und ausgehende Verbindungen (WinXPSP3, W2K3SP1) Network Access Protection (NAP) (ab W2K8) Virtual Private Networks (VPN): IPSec Absicherung Netzwerkverbindung zwischen Rechnern auf IP-Level IETF-Standard per GPO konfigurierbar Abkürzungen: IETF Internet Engineering Task Force IPSec Internet Protocol Security NTFS New Technology File System VPN Virtual Private Networks Security Consulting GmbH, Karlsruhe Seite 21

22 Sonstige Sicherheitsfunktionen Benutzerkontensteuerung (UAC) (ab Vista) Windows Defender (Anti-Malware) ASLR, DEP Security Configuration Wizard (SCW) Schutz gegen SYN-Flood Verschlüsseltes RDP ( es gibt weiterhin Bedenken ) Integrität Signierte Treiber ( Qualitäts-Siegel ) Windows Dateischutz Verschiedene Systemzugriffe erfordern die ausdrückliche Bestätigung des Nutzers (z.b. neue Autostart-Einträge) Abkürzungen: UAC User Account Control ASLR Address Space Layout Randomization DEP Data Execution Prevention RDP Remote Desktop Protocol Security Consulting GmbH, Karlsruhe Seite 22

23 Schlussbemerkungen Security Consulting GmbH, Karlsruhe Seite 23

24 Schlußbemerkungen Sicherheit mit Windows Server möglich Standardeinstellungen inzwischen hoch und verfeinert Sicherheitseinstellungen explizit durch GPO konfigurierbar Sicherheit muss bereits bei Systemplanung berücksichtigt werden (insbesondere bei Active Directory). Einen ausgewogenen Mix an Sicherheitsfunktionen definieren und durchhalten! Vorgängerversion: ok; besser: aktuelle Version Backward-Compatibility bleibt häufigster Grund für verwundbare Windowsinstallationen! Bugs und Sicherheitslücken verschwinden nicht Abkürzungen: GPO Group Policy Object Security Consulting GmbH, Karlsruhe Seite 24

25 Security Consulting GmbH, Karlsruhe Seite 25