Neue Security Features und Basics(die keiner beachtet)

Fabio Gondorf

Consultant | seit 2013 bei sepago

Microsoft: Secure Client | Modern Workplace

Windows 10 Security | WaaS | Deployment/MDT/SCCM

Fabio.gondorf@sepago.de

@fgondorf

www.trustintech.eu

www.sepago.de

Alternativtitel:Wir bauen den sicheren Windows 10 1709 Client

„ “

Schritt 0:Die Basics

Stufe 1: Bleib aktuell

Mehr Schwachstellen werden gefunden, aber es wird mehr in Patches investiert

Schritt 0:Die Basics Stufe 1: Bleib aktuell

Stufe 2: Sei kein Admina) UAC

• Die User Account Controlle (UAC) kann dabei helfen, den PC vor Malware zu

schützen und die Sicherheit im Unternehmen zu erhöhen

• Programme und Tasks laufen immer mit Berechtigungen eines

Standardbenutzers, es sei denn ein Administrator erlaubt die Verwendung

erhöhter Rechte für den Systemzugriff

Clients vor

der

Ausführung

von

Software

warnen

Schritt 0:Die Basics Stufe 1: Bleib aktuell

Stufe 2: Sei kein Admina) UAC

b) getrennte Accounts

Schritt 0:Die Basics

Stufe 1: Bleib aktuellStufe 2: Sei kein Admin

Stufe 3: Schütze deine Accounts

Schritt 0:Die Basics

Stufe 3: Schütze deine Accountsa) 2FA / MFA

b) Windows Hello

Schritt 0:Die Basics

Stufe 1: Bleib aktuellStufe 2: Sei kein Admin

Stufe 3: Schütze deine AccountsStufe 4: Schütze deine Daten

Schritt 0:Die Basics

Stufe 4: Schütze deine Datena) Verschlüsselung / Bitlocker

Schritt 0:Die Basics

Stufe 1: Bleib aktuellStufe 2: Sei kein Admin

Stufe 3: Schütze deine AccountsStufe 4: Schütze deine Daten

Windows 10 Security-Funktionenund Neuerungen in Version 1709

POST-BREACHPRE-BREACH

Breach detection

investigation &

response

Device protection

Identity protection

Information protection

Threat resistance

Windows 7 Security features

Windows 10 Security on Modern Devices

POST-BREACHPRE-BREACH

Breach detection

investigation &

response

Device protection

Identity protection

Information protection

Threat resistance

Schritt 2: Virtualisierungsbasierte Sicherheit

TRADITIONELLER PL ATTFORM-STACK

Gerätehardware

Kernel

Windows Platform Services

Apps

VIRTUALISIERUNGSBASIERTE SICHERHEIT WINDOWS 10

Kernel

Windows Platform Services

Apps

Kernel

SystemContainer

HV

CI

Iiso

late

dLSA

Ed

ge B

row

ser

Hypervisor

Gerätehardware

Windows-Betriebssystem

Hyper-VHyper-V

Schritt 2: Virtualisierungsbasierte Sicherheit

Stufe 1: Credential Guard

Credential Guard

• Credential Guard isolates secrets that previous versions of Windows stored in the Local Security

Authority (LSA) by using virtualization-based security.

• The LSA process in the operating system talks to the isolated LSA by using remote procedure calls.

• Data stored by using VBS is not accessible to the rest of the operating system.

• This prevents Pass-the-Hash and Pass-the-Ticket attacks

Schritt 2: Virtualisierungsbasierte Sicherheit

Stufe 1: Credential GuardStufe 2: Device Guard

Kernel Mode Code Integrity in Device Guard

UEFI Secure Boot KMCIPlatform Secure Boot UMCI AppLocker

Threat

Mitigation

Note

ROM/Fuses Bootloaders Native UEFIWindows

OS Loader

Windows Kernel, Boot

Drivers, System Files

ELAM, AV Driver, and

3rd Party Drivers

User mode code (apps, etc.)

Schritt 2: Virtualisierungsbasierte Sicherheit

Stufe 1: Credential GuardStufe 2: Device Guard

Stufe 3: Application Guard

HARDWARE ISOLIERUNG MIT

WINDOWS DEFENDER APPLICATION GUARD

Verschiebt Browsersitzungen

in eine isolierte, virtualisierte

Umgebung

Sorgt für einen erheblich

besseren Schutz und härtet

den beliebtesten Zugang von

Angreifern

Veröffentlicht in Windows 10

Fall Creators Update (1709)

Hypervisor

Gerätehardware

Kernel

Windows Platform Services

Apps

Kernel

Windows Platform Services

Microsoft Edge

SystemContainer

Kernel

Wichtige Systemprozesse

AppContainer Windows-Betriebssystem

Hyper-V Hyper-V

Schritt 3:Angriffsfläche reduzieren

Disable-WindowsOptionalFeature –Online -FeatureName SMB1Protocol

Schritt 3:Angriffsfläche reduzieren

LSA Protected Mode

HKLM/System/Current Control Set/Control/LSANew DWORD “RunAsPPL”

Wert “1”

Schritt 3:Angriffsfläche reduzieren

Stufe 1: Kernelhärtung(Exploit Guard)

0

2

4

6

8

10

12

14

16

2008 2009 2010 2011 2012 2013 2014 2015 2016

2 1

65

14

556

12

Sicherheitsinnovationen:Verbesserung der Windows-Kernel-Sicherheit

No mitigations

• DEP• /GS• SafeSEH• Heap hardening v1

• ASLR v1• SEHOP• Heap hardening v2

• ASLR v2• Kernel SMEP &

DEP• Heap hardening v3

• CFG• HVCI• EMET

Exploitation was not inhibited

• Data can’t be executed as code

• Protection for stack buffers, exception chains, and heap metadata

• Memory layout is randomized

• Improved protection for exception chains and heap metadata

• Improved memory layout randomization

• Improved protection for heap metadata & buffers

• Only valid functions can be called indirectly

• Kernel Mode secured

• EMET functionality getting integrated

ASLR EXPL AINED

app.exe

user32.dll

ssleay32.dll

ntdll.dll

app.exe

user32.dll

ssleay32.dll

ntdll.dll

app.exe

user32.dll

ssleay32.dll

ntdll.dll

Boot 1 Boot 2 Boot 3

process

address

space

BLOCK UNTRUSTED FONTS

ARBITRARY CODE GUARD

LPVOID WINAPI VirtualAlloc(_In_opt_ LPVOID lpAddress,

_In_ SIZE_T dwSize,

_In_ DWORD flAllocationType,

_In_ DWORD flProtect );

PAGE_EXECUTE 0x10

PAGE_EXECUTE_READ 0x20

PAGE_EXECUTE_READWRITE 0x40

PAGE_EXECUTE_WRITECOPY 0x80

Schritt 3:Angriffsfläche reduzieren

Stufe 1: KernelhärtungStufe 2: Ransomware-Schutz

Stufe 2: Ransomware-Schutz:Controlled Folder Access

Schritt 4:Application Whitelisting

Option A: Device GuardWindows Defender Application Control

Today’s Challenge

ProgrammeApps

DEVICE GUARD

Windows-Desktops können für die ausschließliche Ausführung von vertrauenswürdigen Apps abgesichert werden (vergleichbar mit mobilen Betriebssystemen wie Windows Phone)

Unterstützt alle Apps inkl. Universal- Desktop-Apps (Win32).

Nicht vertrauenswürdige Apps und ausführbare Dateien wie Malware können nicht gestartet werden

Die Apps müssen vom Microsoft-Signierungsdienst signiert werden. Keine weiteren Modifikationen erforderlich.

Hardwarebasierte App-Kontrolle

erstellen Audit Mode

Golden Client

Golden Policy

Default Client

Root CA

Finale Policybestehend aus Golden Policy + Audit Policy

Windows Store for Business

Code Integrity Policy

ConfigMgr

Schritt 4:Application Whitelisting

Option A: Device GuardWindows Defender Application Control

Option B: Applocker

Schritt X:Wissen, was abgeht

Stufe 1: Post-Breach Gedanken anwenden

MODERN SECURITY THREATS

“THERE ARE TWO KINDS OF BIG COMPANIES, THOSE WHO’VE BEEN HACKED, AND THOSE

WHO DON’T KNOW THEY’VE BEEN HACKED.”

J A M E S C O M E Y D I R E C T O R F B IE X -

Schritt X:Wissen, was abgeht

Stufe 1: Post-Breach Gedanken anwendenStufe 2: Post-Breach Tools einsetzen

WINDOWS DEFENDER ADVANCED THREAT PROTECTION

ERKENNEN VON ERWEITERTEN ANGRIFFEN UND

BESEITIGEN VON EINBRÜCHEN

Einzigartige Informationsdatenbank mit

Bedrohungsinformationen Einzigartige Ressourcen ermöglichen detaillierte Profile der Akteure

Bedrohungsdaten von Microsoft und Drittanbietern.

Umfangreicher UntersuchungszeitraumUmfang des Einbruchs leicht zu überblicken. Verschieben von

Daten auf Endpunkten. Tief greifende Datei- und URL-Analyse.

Verhaltensbasierte und Cloud-gestützte EinbruchserkennungAussagekräftige und korrelierte Alarme für bekannte und unbekannte Bedrohungen.

Echtzeitdaten und Verlaufsdaten.

In Windows integriertKeine zusätzliche Bereitstellung und Infrastruktur. Immer auf dem neuesten

Stand bei geringen Kosten.