Neue Security Features und Basics (die keiner beachtet)

Neue Security Features und Basics (die keiner beachtet)

Fabio Gondorf Consultant seit 2013 bei sepago Microsoft: Secure Client Modern Workplace Windows 10 Security WaaS Deployment/MDT/SCCM Fabio.gondorf@sepago.de @fgondorf www.trustintech.eu www.sepago.de

Alternativtitel: Wir bauen den sicheren Windows 10 1709 Client

Schritt 0: Die Basics Stufe 1: Bleib aktuell

Mehr Schwachstellen werden gefunden, aber es wird mehr in Patches investiert

Schritt 0: Die Basics Stufe 1: Bleib aktuell Stufe 2: Sei kein Admin a) UAC

Clients vor der Ausführung von Software warnen Die User Account Controlle (UAC) kann dabei helfen, den PC vor Malware zu schützen und die Sicherheit im Unternehmen zu erhöhen Programme und Tasks laufen immer mit Berechtigungen eines Standardbenutzers, es sei denn ein Administrator erlaubt die Verwendung erhöhter Rechte für den Systemzugriff

Schritt 0: Die Basics Stufe 1: Bleib aktuell Stufe 2: Sei kein Admin a) UAC b) getrennte Accounts

Schritt 0: Die Basics Stufe 1: Bleib aktuell Stufe 2: Sei kein Admin Stufe 3: Schütze deine Accounts

Schritt 0: Die Basics Stufe 3: Schütze deine Accounts a) 2FA / MFA b) Windows Hello

Schritt 0: Die Basics Stufe 1: Bleib aktuell Stufe 2: Sei kein Admin Stufe 3: Schütze deine Accounts Stufe 4: Schütze deine Daten

Schritt 0: Die Basics Stufe 4: Schütze deine Daten a) Verschlüsselung / Bitlocker

Schritt 0: Die Basics Stufe 1: Bleib aktuell Stufe 2: Sei kein Admin Stufe 3: Schütze deine Accounts Stufe 4: Schütze deine Daten

Windows 10 Security-Funktionen und Neuerungen in Version 1709

Windows 7 Security features Device protection Threat resistance Identity protection Information protection Breach detection investigation & response PRE-BREACH POST-BREACH

Windows 10 Security on Modern Devices Device protection Threat resistance Identity protection Information protection Breach detection investigation & response PRE-BREACH POST-BREACH

Schritt 2: Virtualisierungsbasierte Sicherheit

TRADITIONELLER PL AT TFORM-STACK Apps Windows Platform Services Kernel Gerätehardware

HVCI Iisolated LSA Edge Browser VIRTUALISIERUNGSBASIERTE SICHERHEIT WINDOWS 10 Apps Windows Platform Services Kernel Windows-Betriebssystem Kernel SystemContainer Hyper-V Hyper-V Gerätehardware Hypervisor

Schritt 2: Virtualisierungsbasierte Sicherheit Stufe 1: Credential Guard

Credential Guard Credential Guard isolates secrets that previous versions of Windows stored in the Local Security Authority (LSA) by using virtualization-based security. The LSA process in the operating system talks to the isolated LSA by using remote procedure calls. Data stored by using VBS is not accessible to the rest of the operating system. This prevents Pass-the-Hash and Pass-the-Ticket attacks

Schritt 2: Virtualisierungsbasierte Sicherheit Stufe 1: Credential Guard Stufe 2: Device Guard

Kernel Mode Code Integrity in Device Guard Threat Mitigation Note Platform Secure Boot UEFI Secure Boot KMCI UMCI AppLocker ROM/Fuses Bootloaders Native UEFI Windows OS Loader Windows Kernel, Boot Drivers, System Files ELAM, AV Driver, and 3 rd Party Drivers User mode code (apps, etc.)

Schritt 2: Virtualisierungsbasierte Sicherheit Stufe 1: Credential Guard Stufe 2: Device Guard Stufe 3: Application Guard

HARDWARE ISOLIERUNG MIT WINDOWS DEFENDER APPLICATION GUARD Verschiebt Browsersitzungen in eine isolierte, virtualisierte Umgebung Microsoft Edge Apps Sorgt für einen erheblich besseren Schutz und härtet den beliebtesten Zugang von Angreifern Veröffentlicht in Windows 10 Fall Creators Update (1709) Windows Platform Services Kernel AppContainer Hyper-V Windows Platform Services Kernel Windows-Betriebssystem Hyper-V Wichtige Systemprozesse Kernel SystemContainer Gerätehardware Hypervisor

Schritt 3: Angriffsfläche reduzieren Disable-WindowsOptionalFeature Online -FeatureName SMB1Protocol

HKLM/System/Current Control Set/Control/LSA New DWORD RunAsPPL Wert 1 Schritt 3: Angriffsfläche reduzieren LSA Protected Mode

Schritt 3: Angriffsfläche reduzieren Stufe 1: Kernelhärtung (Exploit Guard)

16 14 14 12 12 10 8 6 5 5 6 5 6 4 2 1 2 0 2008 2009 2010 2011 2012 2013 2014 2015 2016

Sicherheitsinnovationen: Verbesserung der Windows-Kernel-Sicherheit No mitigations DEP /GS SafeSEH Heap hardening v1 ASLR v1 SEHOP Heap hardening v2 ASLR v2 Kernel SMEP & DEP Heap hardening v3 CFG HVCI EMET Exploitation was not inhibited Data can t be executed as code Protection for stack buffers, exception chains, and heap metadata Memory layout is randomized Improved protection for exception chains and heap metadata Improved memory layout randomization Improved protection for heap metadata & buffers Only valid functions can be called indirectly Kernel Mode secured EMET functionality getting integrated

ASLR EXPL AINED Boot 1 Boot 2 Boot 3 app.exe user32.dll ssleay32.dll process address space user32.dll ssleay32.dll ntdll.dll app.exe app.exe ntdll.dll ntdll.dll ssleay32.dll user32.dll

BLOCK UNTRUSTE D FONTS

ARBITRARY CODE GUARD LPVOID WINAPI VirtualAlloc( _In_opt_ LPVOID lpaddress, _In_ SIZE_T dwsize, _In_ DWORD flallocationtype, _In_ DWORD flprotect ); PAGE_EXECUTE 0x10 PAGE_EXECUTE_READ 0x20 PAGE_EXECUTE_READWRITE 0x40 PAGE_EXECUTE_WRITECOPY 0x80

Schritt 3: Angriffsfläche reduzieren Stufe 1: Kernelhärtung Stufe 2: Ransomware-Schutz

Stufe 2: Ransomware-Schutz: Controlled Folder Access

Schritt 4: Application Whitelisting Option A: Device Guard Windows Defender Application Control

Today s Challenge Programme Apps

DEVICE GUARD Hardwarebasierte App-Kontrolle Windows-Desktops können für die ausschließliche Ausführung von vertrauenswürdigen Apps abgesichert werden (vergleichbar mit mobilen Betriebssystemen wie Windows Phone) Unterstützt alle Apps inkl. Universal- Desktop- Apps (Win32). Nicht vertrauenswürdige Apps und ausführbare Dateien wie Malware können nicht gestartet werden Die Apps müssen vom Microsoft- Signierungsdienst signiert werden. Keine weiteren Modifikationen erforderlich.

Root CA Windows Store for Business ConfigMgr Code Integrity Policy Golden Client erstellen Golden Policy Audit Mode Default Client Finale Policy bestehend aus Golden Policy + Audit Policy

Schritt 4: Application Whitelisting Option A: Device Guard Windows Defender Application Control Option B: Applocker

Schritt X: Wissen, was abgeht Stufe 1: Post-Breach Gedanken anwenden

MODERN SECURITY THREATS THERE ARE TWO KINDS OF BIG COMPANIES, THOSE WHO VE BEEN HACKED, AND THOSE WHO DON T KNOW THEY VE BEEN HACKED. J A M E S C O M E Y EX- D I R E C T O R F B I

Schritt X: Wissen, was abgeht Stufe 1: Post-Breach Gedanken anwenden Stufe 2: Post-Breach Tools einsetzen

WINDOWS DEFENDER ADVANCED THREAT PROTECTION ERKENNEN VON ERWEITERTEN ANGRIFFEN UND BESEITIGEN VON EINBRÜCHEN In Windows integriert Keine zusätzliche Bereitstellung und Infrastruktur. Immer auf dem neuesten Stand bei geringen Kosten. Verhaltensbasierte und Cloud-gestützte Einbruchserkennung Aussagekräftige und korrelierte Alarme für bekannte und unbekannte Bedrohungen. Echtzeitdaten und Verlaufsdaten. Umfangreicher Untersuchungszeitraum Umfang des Einbruchs leicht zu überblicken. Verschieben von Daten auf Endpunkten. Tief greifende Datei- und URL-Analyse. Einzigartige Informationsdatenbank mit Bedrohungsinformationen Einzigartige Ressourcen ermöglichen detaillierte Profile der Akteure Bedrohungsdaten von Microsoft und Drittanbietern.