{ Security } Daniel Melanchthon Security Evangelist Microsoft Deutschland GmbH http://blogs.technet.com/dmelanchthon
Agenda Einführung Stärkerer Schutz Network Access Protection Server und Domain Isolation Sichere Anbindung von Zweigstellen Bessere Kontrolle Erweiterten Gruppenrichtlinien Granularere Passwortkontrolle Sicherer Schutz BitLocker Drive Encryption Rights Management Server
Agenda Einführung Stärkerer Schutz Network Access Protection Server und Domain Isolation Sichere Anbindung von Zweigstellen Bessere Kontrolle Erweiterten Gruppenrichtlinien Granularere Passwortkontrolle Sicherer Schutz BitLocker Drive Encryption Rights Management Server
D Reduktion der Schichten mit hohem Risiko Segmentierung der Dienste Erweiterung der Schichten Kernel-mode Treiber Service A Service Service D D D Service 3 Service 1 Service 2 Service B D User-mode Treiber D D D
Combined Firewall Policy-based rules firewall networking become and more IPsecintelligent management
DO Action = {By-pass Allow Block} IF: Protocol = X AND Direction = {In Out} AND Local TCP/UDP port is in {Port list} AND Remote TCP/UDP port is in {Port list} AND ICMP type code is in {ICMP type-code list} AND Interface NIC is in {Interface ID list} AND Interface type is in {Interface types list} AND Local address is found in {Address list} AND Remote address is found in {Address list} AND Application = <Path> AND Service SID = <Service Short Name> AND Require authentication = {TRUE FALSE} AND Require encryption = {TRUE FALSE} AND Remote user has access in {SDDL} AND Remote computer has access in {SDDL} AND OS version is in {Platform List}
Dienste arbeiten mit verringerten Berechtigungen Windows-Dienste sind für erlaubte Aktionen im Netz, am Dateisystem und an der Registry profiliert Verhinderung von Einrbuchsversuchen durch Schadsoftware, über Windows Dienste Härtung der Dienste Active Protection Dateisystem Registry Netzwerk
Policy Server z.b. Patch, AV 3 1 2 Richtlinienkonform Windows- Client DHCP, VPN, Switch/Router MSFT NPS 4 Nicht richtlinienkonform Eingeschränktes Netzwerk Fix-Up- Server z.b. Patch 1 Client bittet um Zugang zum Netzwerk und präsentiert seinen gegenwärtigen Gesundheitszustand 5 Unternehmensnetz 2 DHCP, VPN oder Switch/Router leitet Gesundheitszustand an Microsoft Network Policy-Server (RADIUS-basierend) weiter 3 Network Policy Server (NPS) validiert diesen mit der von der Unternehmens-IT definierten Gesundheitsrichtlinie Falls nicht richtlinien-konform, wird Client in ein eingeschränktes 4 VLAN umgeleitet und erhält Zugriff auf Ressourcen wie Patches, Konfigurationen und Signaturen 5 Bei Richtlinien-Konformität wird dem Client der vollständige Zugang zum Unternehmensnetz gewährt
Zugriff erlaubt oder verweigert (ACL) 6 Berechtigungen der Freigabe Dept Group Computer und User Authentisierung und Authentifizierung Prüfen des Netwerkzugriffs (User) Prüfen des Netzwerkzugriffs (Computer) 3 5 IKE Aushandlung beginnt 2 4 1 User versucht auf Ablage zuzugreifen. IKE Local Lokale Policy Policy IKE erfolgreich, User AuthN findet statt
Labs Unmanaged guests Segmentiert dynamisch Windows Umgebungen in sicherere und isolierte logische Netzwerke basierend auf Policies Server Isolation Domain Isolation Schützt spezifische Server und Daten Schützt verwaltete Computer vor unverwaltete oder bösartige Computer und Benutzer
HUB Writeable DC Secure Location Read-only Kopie der AD Datenbank Alle Verzeichnisobjekte & Attribute Verwaltet read-only Kopie der DNS-Zonen Unidirectionale Replikation Keine lokalen Änderungen Kontrollierte Replikation (Bandbreitenlimit) Branch Read-Only DC Read-Only DNS One-way Replication Credential Cache Local Admin Role Credential Handling User Password Cache (explizit einzustellen) Admin kennt Accounts bei Kompromittierung RODC stellt lokale Auth Tickets aus Separieren der administrativen Rollen Management delegierbar an lokale User
1. 1 AS_Req sent to RODC (request for TGT) Hub Branch 2. 2 RODC: Looks in DB: "I don't have the users secrets" Windows Server 2008 DC 3 Read Only DC 3. 3 Forwards Request to Windows Server "Longhorn" DC 4 7 5 6 2 1 4. 4 Windows Server "Longhorn" DC authenticates request 5. 5 Returns authentication response and TGT back to the RODC 6 6. 6 RODC gives TGT to User and RODC will cache credentials 7 At this point the user will have a hub signed TGT
Perspektive des Angreifers Perspektive des Administrators
Programme Nur RemoteApp Entfernte unterstützt Programe sehen Konsole ab wie lokal Remote stellt integriert ausgeführte Anwendungen Desktop im lokalen Client Anwendungen (RDC) zur Computer Verfügung 6.1 aus Auch Zentrale Benutzt Konfiguration zur Publizierung auf Terminal für Server TS mitweb der Terminal Access Server Configuration Console Remote Desktop client required Terminal Server
Mit RDP erreichbare Ziele hinter Firewall HTTPS zur Überwindung von NAT/Firewalls vom Client AD/ISA/NAP-Tests bevor die Verbindung erlaubt Remote Desktop Connection Client 6.x AD/NPS/NAP Windows Vista RDC (TS) Client User RDP initiiert over HTTP/S Verbindung an hergestellt TS Gateway zu TSG TS Gateway RDP 3389 an Host AD/NPS/NAP Prüfung Terminal Servers oder Windows XP/Vista User navigiert zu TS Web Access TS Web Access Internet DMZ Internes Netzwerk
Zugriff auf entfernte Anwendungen über TS Web Access Server
Agenda Einführung Stärkerer Schutz Network Access Protection Server und Domain Isolation Sichere Anbindung von Zweigstellen Bessere Kontrolle Erweiterten Gruppenrichtlinien Granularere Passwortkontrolle Sicherer Schutz BitLocker Drive Encryption Rights Management Server
Geräte Treiber Geräte Identifikationstrings Geräte Treiber Geräte Setupklassen
Plug and Play Smart Cards Treiber und Certificate Service Provider (CSP) Loginfenster und User Account Control unterstützen Smart Cards Neue Logon-Architektur Keine GINA (das alte Windows Logon Modell) 3 rd Parties: Biometrik, One-Time Password Tokens und andere Authentifizierungsmethoden Passwort Policies Passwort Policies für Benutzer und/oder Gruppen Unterschiedlichen Policies in einer Domäne
Agenda Einführung Stärkerer Schutz Network Access Protection Server und Domain Isolation Sichere Anbindung von Zweigstellen Bessere Kontrolle Erweiterten Gruppenrichtlinien Granularere Passwortkontrolle Sicherer Schutz BitLocker Drive Encryption Rights Management Server
Wovor wollen Sie sich schützen? Andere Benutzer oder Administratoren am PC: EFS Unauthorisierte Benutzer mit lokalem Zugriff: BitLocker Laptop Server in Niederlassung Szenario BitLocker EFS RMS Lokaler Datei- und Verzeichnis-Schutz (Einzelner Anwender) Lokaler Datei- und Verzeichnis-Schutz (Mehrere Anwender) Remote Datei- und Verzeichnis-Schutz Schutz vor Administrator-Zugriff Richtlinien für Informations-Nutzung
Schützt bei Diebstahl oder Verlust, wenn der PC mit BitLocker einem anderen Betriebssystem gestartet wird oder ein Hacking-Tool zur Umgehung der Windows- Sicherheit eingesetzt wird Bietet Schutz der Daten auf einem Windows-Client, selbst wenn sich der PC in falschen Händen befindet oder ein anderes Betriebssystem ausgeführt wird TPM v1.2 oder USB-Stick zur Schlüsselablage
Windows Partition > Verschlüsseltes Betriebsystem > Verschlüsselte Auslagerungsdatei > Verschlüsselte temporäre Dateien > Verschlüsselte Daten > Verschlüsseltes Hibernation File Wo ist der Verschlüsselungsschlüssel? 1. SRK (Storage Root Key) im TPM 2. SRK verschlüsselt VEK (Volume Encryption Key) geschützt durch TPM/PIN/Dongle 3. VEK gespeichert (verschlüsselt durch SRK) auf der Festplatte in der Boot Partition VEK 2 1 SRK Windows Boot 3 Boot Partition: MBR, Loader, Boot Utilities (Unverschlüsselt, 1,5 GB klein)
BDE bietet ein Spektrum der Absicherung, das Kunden die Abwägung zwischen einfacher Benutzbarkeit und Systemsicherheit ermöglicht! Einfache Nutzung TPM Only What it is. Protects against: SW-only attacks Vulnerable to: HW attacks (including potentially easy HW attacks) Dongle Only What you have. Protects against: All HW attacks Vulnerable to: Losing dongle Pre-OS attacks ******* TPM + PIN What you know. Protects against: Many HW attacks Vulnerable to: TPM breaking attacks TPM + Dongle Two what I have s. Protects against: Many HW attacks Vulnerable to: HW attacks Sicherheit
1 3 2 Linux-Fehlermeldungen für Bitlocker Laufwerk 1. fdisk liest Partitionstabelle und erkennt /dev/sda2 als NTFS-Partition 2. Falscher FS-Typ: Bad option, bad superblock on /dev/sda2, missing codepage oder andere Fehlermeldungen 3. Primärer Bootsektor ist ungültig: Kein NTFS Volume
SQL Server Information Author 1 RMS Server 2 3 Active Directory The Recipient AD RMS schützt Zugriff auf digitale Dateien der Organisation AD RMS in Windows Server 2008 enthält einige neue Features Verbesserte Installation und administrative Erfahrung Self-Enrollment von AD RMS Cluster Integration mit AD FS Neue AD RMS administrative Rollen
Funktion AD RMS S/MIME Signing S/MIME Encryption ACLs EFS Bescheinigt die Identität des veröffentlichers Unterscheidet Berechtigungen per Benutzer Verhindert unerlaubtes Anzeigen Verschlüsselt geschützte Inhalte Definition eines Verfallsdatum Kontrolliert lesen, weiterleiten, speichern, ändern oder drucken per Benutzer * Erweitert den Schutz über den Veröffentlichungsort hinaus * * Mit Einschränkungen
Microsoft Network Access Protection http://www.microsoft.com/nap Network Access Protection Platform Architektur http://go.microsoft.com/fwlink/?linkid=49885 http://www.microsoft.com/ipsec Server und Domain Isolation Webseite auf Microsoft TechNet http://www.microsoft.com/technet/network/sdis o/default.mspx
{ demo title } Name Title Group