Neue Security Features und Basics (die keiner beachtet)
Fabio Gondorf Consultant seit 2013 bei sepago Microsoft: Secure Client Modern Workplace Windows 10 Security WaaS Deployment/MDT/SCCM Fabio.gondorf@sepago.de @fgondorf www.trustintech.eu www.sepago.de
Alternativtitel: Wir bauen den sicheren Windows 10 1709 Client
Schritt 0: Die Basics Stufe 1: Bleib aktuell
Mehr Schwachstellen werden gefunden, aber es wird mehr in Patches investiert
Schritt 0: Die Basics Stufe 1: Bleib aktuell Stufe 2: Sei kein Admin a) UAC
Clients vor der Ausführung von Software warnen Die User Account Controlle (UAC) kann dabei helfen, den PC vor Malware zu schützen und die Sicherheit im Unternehmen zu erhöhen Programme und Tasks laufen immer mit Berechtigungen eines Standardbenutzers, es sei denn ein Administrator erlaubt die Verwendung erhöhter Rechte für den Systemzugriff
Schritt 0: Die Basics Stufe 1: Bleib aktuell Stufe 2: Sei kein Admin a) UAC b) getrennte Accounts
Schritt 0: Die Basics Stufe 1: Bleib aktuell Stufe 2: Sei kein Admin Stufe 3: Schütze deine Accounts
Schritt 0: Die Basics Stufe 3: Schütze deine Accounts a) 2FA / MFA b) Windows Hello
Schritt 0: Die Basics Stufe 1: Bleib aktuell Stufe 2: Sei kein Admin Stufe 3: Schütze deine Accounts Stufe 4: Schütze deine Daten
Schritt 0: Die Basics Stufe 4: Schütze deine Daten a) Verschlüsselung / Bitlocker
Schritt 0: Die Basics Stufe 1: Bleib aktuell Stufe 2: Sei kein Admin Stufe 3: Schütze deine Accounts Stufe 4: Schütze deine Daten
Windows 10 Security-Funktionen und Neuerungen in Version 1709
Windows 7 Security features Device protection Threat resistance Identity protection Information protection Breach detection investigation & response PRE-BREACH POST-BREACH
Windows 10 Security on Modern Devices Device protection Threat resistance Identity protection Information protection Breach detection investigation & response PRE-BREACH POST-BREACH
Schritt 2: Virtualisierungsbasierte Sicherheit
TRADITIONELLER PL AT TFORM-STACK Apps Windows Platform Services Kernel Gerätehardware
HVCI Iisolated LSA Edge Browser VIRTUALISIERUNGSBASIERTE SICHERHEIT WINDOWS 10 Apps Windows Platform Services Kernel Windows-Betriebssystem Kernel SystemContainer Hyper-V Hyper-V Gerätehardware Hypervisor
Schritt 2: Virtualisierungsbasierte Sicherheit Stufe 1: Credential Guard
Credential Guard Credential Guard isolates secrets that previous versions of Windows stored in the Local Security Authority (LSA) by using virtualization-based security. The LSA process in the operating system talks to the isolated LSA by using remote procedure calls. Data stored by using VBS is not accessible to the rest of the operating system. This prevents Pass-the-Hash and Pass-the-Ticket attacks
Schritt 2: Virtualisierungsbasierte Sicherheit Stufe 1: Credential Guard Stufe 2: Device Guard
Kernel Mode Code Integrity in Device Guard Threat Mitigation Note Platform Secure Boot UEFI Secure Boot KMCI UMCI AppLocker ROM/Fuses Bootloaders Native UEFI Windows OS Loader Windows Kernel, Boot Drivers, System Files ELAM, AV Driver, and 3 rd Party Drivers User mode code (apps, etc.)
Schritt 2: Virtualisierungsbasierte Sicherheit Stufe 1: Credential Guard Stufe 2: Device Guard Stufe 3: Application Guard
HARDWARE ISOLIERUNG MIT WINDOWS DEFENDER APPLICATION GUARD Verschiebt Browsersitzungen in eine isolierte, virtualisierte Umgebung Microsoft Edge Apps Sorgt für einen erheblich besseren Schutz und härtet den beliebtesten Zugang von Angreifern Veröffentlicht in Windows 10 Fall Creators Update (1709) Windows Platform Services Kernel AppContainer Hyper-V Windows Platform Services Kernel Windows-Betriebssystem Hyper-V Wichtige Systemprozesse Kernel SystemContainer Gerätehardware Hypervisor
Schritt 3: Angriffsfläche reduzieren Disable-WindowsOptionalFeature Online -FeatureName SMB1Protocol
HKLM/System/Current Control Set/Control/LSA New DWORD RunAsPPL Wert 1 Schritt 3: Angriffsfläche reduzieren LSA Protected Mode
Schritt 3: Angriffsfläche reduzieren Stufe 1: Kernelhärtung (Exploit Guard)
16 14 14 12 12 10 8 6 5 5 6 5 6 4 2 1 2 0 2008 2009 2010 2011 2012 2013 2014 2015 2016
Sicherheitsinnovationen: Verbesserung der Windows-Kernel-Sicherheit No mitigations DEP /GS SafeSEH Heap hardening v1 ASLR v1 SEHOP Heap hardening v2 ASLR v2 Kernel SMEP & DEP Heap hardening v3 CFG HVCI EMET Exploitation was not inhibited Data can t be executed as code Protection for stack buffers, exception chains, and heap metadata Memory layout is randomized Improved protection for exception chains and heap metadata Improved memory layout randomization Improved protection for heap metadata & buffers Only valid functions can be called indirectly Kernel Mode secured EMET functionality getting integrated
ASLR EXPL AINED Boot 1 Boot 2 Boot 3 app.exe user32.dll ssleay32.dll process address space user32.dll ssleay32.dll ntdll.dll app.exe app.exe ntdll.dll ntdll.dll ssleay32.dll user32.dll
BLOCK UNTRUSTE D FONTS
ARBITRARY CODE GUARD LPVOID WINAPI VirtualAlloc( _In_opt_ LPVOID lpaddress, _In_ SIZE_T dwsize, _In_ DWORD flallocationtype, _In_ DWORD flprotect ); PAGE_EXECUTE 0x10 PAGE_EXECUTE_READ 0x20 PAGE_EXECUTE_READWRITE 0x40 PAGE_EXECUTE_WRITECOPY 0x80
Schritt 3: Angriffsfläche reduzieren Stufe 1: Kernelhärtung Stufe 2: Ransomware-Schutz
Stufe 2: Ransomware-Schutz: Controlled Folder Access
Schritt 4: Application Whitelisting Option A: Device Guard Windows Defender Application Control
Today s Challenge Programme Apps
DEVICE GUARD Hardwarebasierte App-Kontrolle Windows-Desktops können für die ausschließliche Ausführung von vertrauenswürdigen Apps abgesichert werden (vergleichbar mit mobilen Betriebssystemen wie Windows Phone) Unterstützt alle Apps inkl. Universal- Desktop- Apps (Win32). Nicht vertrauenswürdige Apps und ausführbare Dateien wie Malware können nicht gestartet werden Die Apps müssen vom Microsoft- Signierungsdienst signiert werden. Keine weiteren Modifikationen erforderlich.
Root CA Windows Store for Business ConfigMgr Code Integrity Policy Golden Client erstellen Golden Policy Audit Mode Default Client Finale Policy bestehend aus Golden Policy + Audit Policy
Schritt 4: Application Whitelisting Option A: Device Guard Windows Defender Application Control Option B: Applocker
Schritt X: Wissen, was abgeht Stufe 1: Post-Breach Gedanken anwenden
MODERN SECURITY THREATS THERE ARE TWO KINDS OF BIG COMPANIES, THOSE WHO VE BEEN HACKED, AND THOSE WHO DON T KNOW THEY VE BEEN HACKED. J A M E S C O M E Y EX- D I R E C T O R F B I
Schritt X: Wissen, was abgeht Stufe 1: Post-Breach Gedanken anwenden Stufe 2: Post-Breach Tools einsetzen
WINDOWS DEFENDER ADVANCED THREAT PROTECTION ERKENNEN VON ERWEITERTEN ANGRIFFEN UND BESEITIGEN VON EINBRÜCHEN In Windows integriert Keine zusätzliche Bereitstellung und Infrastruktur. Immer auf dem neuesten Stand bei geringen Kosten. Verhaltensbasierte und Cloud-gestützte Einbruchserkennung Aussagekräftige und korrelierte Alarme für bekannte und unbekannte Bedrohungen. Echtzeitdaten und Verlaufsdaten. Umfangreicher Untersuchungszeitraum Umfang des Einbruchs leicht zu überblicken. Verschieben von Daten auf Endpunkten. Tief greifende Datei- und URL-Analyse. Einzigartige Informationsdatenbank mit Bedrohungsinformationen Einzigartige Ressourcen ermöglichen detaillierte Profile der Akteure Bedrohungsdaten von Microsoft und Drittanbietern.