Sicherheit Michael Kalbe Technologieberater IT Sicherheit http://blogs.technet.com/mkalbe
Windows Vista Security im Überblick Grundlagen Security Development Lifecycle Threat Modeling und Code Reviews Härtung der Windows Dienste Bedrohungen und Schwachstellen verringern Internet Explorer Protected Mode Windows Defender Network Access Protection Security and Compliance Identitäts ts und Zugriffskontrolle User Account Control Plug & Play Smartcards Detailliertes Auditing Schutz von Informationen BitLocker Drive Encryption EFS Smartcards RMS Client
Grundlagen
Der SicherheitsEntwicklungszyklus Microsoft Product Development Lifecycle Microsoft Security Development Lifecycle
SDL zusammengefasst Der Sicherheits-Entwicklungszyklus Ein integrierter Bestandteil im Microsoft Entwicklungszyklus Ein effektiver Prozess, um Sicherheitslücken cken zu reduzieren Ein lebender Prozess Für r Produktentwicklung ausgelegt Anwendbar bei Kunden (http:// http://msdn.microsoft.com/security/sdl)
Windows Dienste D Kernel Drivers D D D
Härtung der Windows Dienste Reduktion der Schichten mit hohem Risiko Segmentierung der Dienste Erweiterung der Schichten D Kernel Drivers Service A Service Service D D D Service 3 Service 1 Service 2 Service B D User-mode Drivers D D D
Härtung der Windows Dienste Dienste arbeiten im Vergleich zu Windows XP mit verringerten Berechtigungen Windows Dienste sind für f erlaubte Aktionen im Netz, am Dateisystem und an der Registry profiliert Wurde entwickelt, um Versuche durch Schadsoftware zu verhindern, über Windows Dienste Zugang zum Netzwerk, Dateisystem oder Registry zu erhalten Härtung der Dienste Active Protection Dateisystem Registry Netzwerk
Windows XP SP2 zu Windows Vista Dienste Änderung Windows XP SP2 Windows Vista LocalSystem Network Service Wireless Configuration System Event Notification Network Connections (netman) COM+ Event System NLA Rasauto Shell Hardware Detection Themes Telephony Windows Audio Error Reporting Workstation ICS DNS Client RemoteAccess DHCP Client W32time Rasman browser 6to4 Help and support Task scheduler TrkWks Cryptographic Services Removable Storage WMI Perf Adapter Automatic updates WMI App Management Secondary Logon BITS LocalSystem Firewall Restricted LocalSystem Network Service Fully Restricted Network Service Network Restricted Local Service No Network Access WMI Perf Adapter Automatic updates Secondary Logon BITS Themes Rasman TrkWks Error Reporting DNS Client ICS DHCP Client Cryptographic Services Telephony System Event Notification Network Connections Shell Hardware Detection App Management Wireless Configuration 6to4 Task scheduler RemoteAccess Rasauto WMI browser Server W32time PolicyAgent Nlasvc COM+ Event System Local Service SSDP WebClient TCP/IP NetBIOS helper Remote registry Local Service Fully Restricted Windows Audio TCP/IP NetBIOS helper WebClient SSDP Event Log Workstation Remote registry
Bedrohungen und Schwachstellen verringern Schutz vor Schadsoftware und Einbruchsversuchen in den PC
Internet Explorer 7 Schutz vor Social Engineering Phishing Filter und Farbdarstellung in der Adressleiste Warnungen vor unsicheren Einstellungen Sichere Standardeinstellungen für f r IDN Schutz vor Exploits Unified URL Parsing Optimierung der Qualität t des Programmcodes (SDLC) ActiveX Opt-in Protected Mode zum Schutz vor Schadsoftware
Dynamic Security Protection Schutz vor Malware Protected Mode (ausschliesslich Windows Vista) Verbesserte cross-domain Barrieren Geschützte URL Behandlung ActiveX Opt-in Fix my Settings Defense in depth in Kombination mit Windows Defender Sicherung persönlicher Daten Microsoft Phishing Filter: anti-phishing Warnung/Blockierung High-Assurance Security Certifications Sicherheits Statusleiste Adresszeile in jedem Fenster International Domain Name spoofing Schutz Ein-klick Bereinigung des Cache, Passwörter, Historie Parental Controls (ausschliesslich Windows Vista)
ActiveX Opt-in und Protected Mode ActiveX Opt-in gibt Anwendern die Kontrolle über Controls Verringert die Angriffsoberfläche Ungenutzte Controls werden deaktiviert Erhält die Vorteile von ActiveX und verbessert die Sicherheit Protected Mode reduziert die potentielle Auswirkung von Bedrohungen IE-Prozess ist sandboxed um das Betriebssystem zu schützen Verhindert die stille Installation von Schadsoftware Erhöht ht die Sicherheit bei Beibehaltung der Kompatibilität Enabled Controls Low Rights IE Cache User Action Windows ActiveX Opt-in User Action Disabled Controls My Computer (C:) Protected Mode Broker Process
Windows Defender Verbesserte Erkennung und Entfernung Optimiertes und vereinfachtes User Interface Schutz für f r alle Arten von Benutzern
Demo Internet Explorer Security Windows Defender
Windows Geräteinstallation Geräte Treiber Geräte Identifikation Strings Geräte Treiber Geräte Setup Klassen
Windows Vista Firewall Kombinierte Verwaltung von Firewall und IPsec Neues Verwaltungswerkzeug Windows Firewall with Advanced Security MMC-Snap Snap-In Verringert Konflikte und den Aufwand für f r die Koordination zwischen beiden Technologien Firewall-Regeln werden intelligenter Definieren Sicherheitsanforderungen wie Authentifizierung oder Verschlüsselung sselung Integration in Active Directory (Benutzer- / Computergruppen) Filterung des ausgehenden Datenverkehrs Konzipiert für f r den Einsatz in Unternehmensnetzwerken Vereinfachte Richtlinien für f r den Schutz des Systems reduzieren den Aufwand für f r die Verwaltung
Filter Richtungen Inbound Default: Block most Few core exceptions Allow rules: Programs, services Users, computers Protocols, ports Outbound Default: Allow all interactive Restrict services Block rules: Programs, services Users, computers Protocols, ports
Vergleich der Funktionen Richtung Standardverhalten Packet Typen Regel Typen Regel Aktionen UI und Tools APIs Remote management Gruppenrichtlinien Terminologie Windows XP SP2 Inbound Block TCP, UDP, some ICMP Application, global ports, ICMP types Block Control Panel, netsh Public COM, private C none ADM file Exceptions; profiles Windows Vista Inbound, outbound Configurable for direction Alle Multiple conditions from basic five-tuple to IPsec metadata Block, allow, bypass; with rule merge logic C-Panel, more netsh,, MMC More COM to expose rules, more C to expose features Via hardened RPC interface MMC, netsh Rules; categories=profiles
Eine Firewall Regel DO Action = {By-pass Allow Block} IF: Protocol = X AND Direction = {In Out} AND Local TCP/UDP port is in {Port{ list} AND Remote TCP/UDP port is in {Port{ list} AND ICMP type code is in {ICMP{ type-code list} AND Interface NIC is in {Interface{ ID list} AND Interface type is in {Interface{ types list} AND Local address is found in {Address{ list} AND Remote address is found in {Address{ list} AND Application = <Path< Path> AND Service SID = <Service < Short Name> AND Require authentication = {TRUE FALSE} AND Require encryption = {TRUE FALSE} AND Remote user has access in {SDDL{ SDDL} AND Remote computer has access in {SDDL{ SDDL} AND OS version is in {Platform{ List}
Netzwerk Profile Domänen Privates Öffentliches Wenn der Computer Domänenmitglied ist und mit der Domäne verbunden ist; Automatisch ausgewählt Wenn der Computer zu einem definierten privaten Netzwerk verbunden ist Alle anderen Netzwerke Ermittelt Netzwerkänderungen Identifiziert Charakteristik, Zuweisung einer GUID Netzwerk Profil Service erstellt ein Profil bei der Verbindung Interfaces, DC, authenticated machine, gateway MAC, NPS benachrichtigt die Firewall bei jeder Änderung Firewall ändert die Kategorie innerhalb von 200ms Wenn nicht in einer Domäne, entscheidet der Anwender ob öffentlich oder privat Benötigt lokale Administratorberechtigungen um ein privates Netzwerk zu definieren
Mehrere Netzwerkinterfaces? Analyse aller verbundenen Netze Ist ein Interface Nein mit einem öffentlichen Netzwerk verbunden? Ja Öffentliches Profil aktiv Ist ein Interface mit einem privaten Netzwerk verbunden? Ja Privates Profil aktiv Nein Können sich alle Nein Interfaces am Domain- controller authentisieren? Ja Domänenprofil aktiv
Verarbeitung von Gruppenrichtlinien
Identitäts ts- und Zugriffskontrolle Sicherer Zugang zu Informationen
Optimierung der Authentifizierung
Herausforderungen
User Account Control Zielsetzung: Besser verwaltbare Business-Desktops und Steuerung des PC-Zugangs für private Anwender Das System funktioniert reibungslos für Standard-Anwender: Standard-Anwender können Zeitzone, Powermanagement, Drucker etc. ändern und sich mit sicheren WLANs verbinden Hohe Anwendungskompatibilität durch Virtualisierung von Dateisystem und Registry Deutliche Signalisierung wann eine Rechteänderung erforderlich ist und ermöglicht diese ohne Ab-/Anmeldung Administratoren nutzen vollständige Rechte nur für administrative Aufgaben oder Anwendungen Der Anwender erteilt explizite Zustimmung bevor er mit priviligierten Rechten weiterarbeitet
User Account Control Elevation Administrator Berechtigungen Ways to Request Elevation Application marking Setup detection Compatibility fix (shim) Compatibility assistant Run as administrator Standard Benutzer Berechtigungen Standard Benutzer Konto Administrator Konto
Demo Geräteinstallation User Account Control Windows Firewall
Wireless Security Protokolle
Demo Wireless Security
Informationssicherheit Schutz des Know-how der Organisation und Kundendaten
Informationssicherheit
BitLocker Laufwerksverschlüsselung sselung Schützt bei Diebstahl oder Verlust, wenn der PC mit einem anderen Betriebssystem gestartet wird oder ein Hacking-Tool zur Umgehung der Windows-Sicherheit eingesetzt wird Bietet Schutz der Daten auf einem Windows-Client - selbst wenn sich der PC in falschen Händen befindet oder ein anderes Betriebssystem ausgeführt wird Verwendet ein v1.2 TPM oder USB Flashdrive zur Schlüsselablage BitLocker
Disk Layout & Key Storage Windows Partition > Encrypted OS > Encrypted Page File > Encrypted Temp Files > Encrypted Data > Encrypted Hibernation File Wo ist der verschlüsselungs- Schlüssel? 1. SRK (Storage Root Key) im TPM 2. SRK verschlüsselt VEK (Volume Encryption Key) geschützt durch TPM/PIN/Dongle 3. VEK gespeichert (verschlüsselt durch SRK) auf der Festplatte in der Boot Partition VEK 2 1 SRK Windows Boot 3 Boot Partition: MBR, Loader, Boot Utilities (Unverschlüsselt, klein)
Spektrum der Absicherung BDE bietet ein Spektrum der Absicherung, dass den Kunden die Abwägung zwischen Ease-ofuse und Systemsicherheit ermöglicht *******
BitLocker Laufwerk in Windows XP
BitLocker Laufwerk in Windows Vista (ohne Key)
BitLocker Laufwerk in Linux 1 3 2 Linux Bitlocker volume errors 1.Fdisk reads partition table... thinks fve partition is ntfs 2. wrong fs type, bad option, bad superblock on /dev/sda2, missing codepage or other error 3. Primary boot sector is invalid, Not an NTFS volume
Demo BitLocker
Windows Vista Informationssicherheit Wovor wollen Sie sich schützen? Andere User oder Administratoren am PC? EFS Unauthorisierte User mit physikalischem Zugriff? BitLocker Szenario BitLocker EFS RMS Laptop Server in Niederlassung Lokaler Datei- und Verzeichnis-Schutz (Einzelner Anwender) Lokaler Datei- und Verzeichnis-Schutz (Mehrere Anwender) Remote Datei- und Verzeichnis-Schutz Schutz vor Administrator-Zugriff Richtlinien für f r Informations-Nutzung
Zusammenfassung Verringerung von Bedrohungen und Schwachstellen IE Protected Mode und Anti-Phishing Windows Defender Bi-direktionale Firewall IPSEC Verbesserungen Network Access Protection (NAP) Grundlagen SDL Härtung von Diensten Code Überprüfung Sichere Standardkonfiguration Code Integrität Identitäts ts- und Zugriffskontrolle User Account Control Plug & Play Smartcards Vereinfachte Logon- Architektur BitLocker RMS Client
Weitere Informationen Trusted Platform Module Services http://www.microsoft.com/whdc/system/platform/pc design/tpm_secure.mspx Step by Step Guides for BDE and TPM http://www.microsoft.com/downloads/details.aspx?f details.aspx?f amilyid=311f4be8 =311f4be8-9983-4ab0-9685- f1bfec1e7d62&displaylang=en What's New in Group Policy in Windows Vista and Windows Server "Longhorn" http://www.microsoft.com www.microsoft.com/technet/windowsvista/libr ary/gpol gpol/a8366c42-6373-48cd-9d11-2510580e4817.mspx?mfr=true
http://blogs.technet.com/mkalbe
2006 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.