Upload
dangkiet
View
213
Download
0
Embed Size (px)
Citation preview
Fabio Gondorf
Consultant | seit 2013 bei sepago
Microsoft: Secure Client | Modern Workplace
Windows 10 Security | WaaS | Deployment/MDT/SCCM
@fgondorf
www.trustintech.eu
www.sepago.de
• Die User Account Controlle (UAC) kann dabei helfen, den PC vor Malware zu
schützen und die Sicherheit im Unternehmen zu erhöhen
• Programme und Tasks laufen immer mit Berechtigungen eines
Standardbenutzers, es sei denn ein Administrator erlaubt die Verwendung
erhöhter Rechte für den Systemzugriff
Clients vor
der
Ausführung
von
Software
warnen
Schritt 0:Die Basics
Stufe 1: Bleib aktuellStufe 2: Sei kein Admin
Stufe 3: Schütze deine AccountsStufe 4: Schütze deine Daten
Schritt 0:Die Basics
Stufe 1: Bleib aktuellStufe 2: Sei kein Admin
Stufe 3: Schütze deine AccountsStufe 4: Schütze deine Daten
POST-BREACHPRE-BREACH
Breach detection
investigation &
response
Device protection
Identity protection
Information protection
Threat resistance
Windows 7 Security features
Windows 10 Security on Modern Devices
POST-BREACHPRE-BREACH
Breach detection
investigation &
response
Device protection
Identity protection
Information protection
Threat resistance
VIRTUALISIERUNGSBASIERTE SICHERHEIT WINDOWS 10
Kernel
Windows Platform Services
Apps
Kernel
SystemContainer
HV
CI
Iiso
late
dLSA
Ed
ge B
row
ser
Hypervisor
Gerätehardware
Windows-Betriebssystem
Hyper-VHyper-V
Credential Guard
• Credential Guard isolates secrets that previous versions of Windows stored in the Local Security
Authority (LSA) by using virtualization-based security.
• The LSA process in the operating system talks to the isolated LSA by using remote procedure calls.
• Data stored by using VBS is not accessible to the rest of the operating system.
• This prevents Pass-the-Hash and Pass-the-Ticket attacks
Kernel Mode Code Integrity in Device Guard
UEFI Secure Boot KMCIPlatform Secure Boot UMCI AppLocker
Threat
Mitigation
Note
ROM/Fuses Bootloaders Native UEFIWindows
OS Loader
Windows Kernel, Boot
Drivers, System Files
ELAM, AV Driver, and
3rd Party Drivers
User mode code (apps, etc.)
Schritt 2: Virtualisierungsbasierte Sicherheit
Stufe 1: Credential GuardStufe 2: Device Guard
Stufe 3: Application Guard
HARDWARE ISOLIERUNG MIT
WINDOWS DEFENDER APPLICATION GUARD
Verschiebt Browsersitzungen
in eine isolierte, virtualisierte
Umgebung
Sorgt für einen erheblich
besseren Schutz und härtet
den beliebtesten Zugang von
Angreifern
Veröffentlicht in Windows 10
Fall Creators Update (1709)
Hypervisor
Gerätehardware
Kernel
Windows Platform Services
Apps
Kernel
Windows Platform Services
Microsoft Edge
SystemContainer
Kernel
Wichtige Systemprozesse
AppContainer Windows-Betriebssystem
Hyper-V Hyper-V
Schritt 3:Angriffsfläche reduzieren
Disable-WindowsOptionalFeature –Online -FeatureName SMB1Protocol
Schritt 3:Angriffsfläche reduzieren
LSA Protected Mode
HKLM/System/Current Control Set/Control/LSANew DWORD “RunAsPPL”
Wert “1”
Sicherheitsinnovationen:Verbesserung der Windows-Kernel-Sicherheit
No mitigations
• DEP• /GS• SafeSEH• Heap hardening v1
• ASLR v1• SEHOP• Heap hardening v2
• ASLR v2• Kernel SMEP &
DEP• Heap hardening v3
• CFG• HVCI• EMET
Exploitation was not inhibited
• Data can’t be executed as code
• Protection for stack buffers, exception chains, and heap metadata
• Memory layout is randomized
• Improved protection for exception chains and heap metadata
• Improved memory layout randomization
• Improved protection for heap metadata & buffers
• Only valid functions can be called indirectly
• Kernel Mode secured
• EMET functionality getting integrated
ASLR EXPL AINED
app.exe
user32.dll
ssleay32.dll
ntdll.dll
app.exe
user32.dll
ssleay32.dll
ntdll.dll
app.exe
user32.dll
ssleay32.dll
ntdll.dll
Boot 1 Boot 2 Boot 3
process
address
space
ARBITRARY CODE GUARD
LPVOID WINAPI VirtualAlloc(_In_opt_ LPVOID lpAddress,
_In_ SIZE_T dwSize,
_In_ DWORD flAllocationType,
_In_ DWORD flProtect );
PAGE_EXECUTE 0x10
PAGE_EXECUTE_READ 0x20
PAGE_EXECUTE_READWRITE 0x40
PAGE_EXECUTE_WRITECOPY 0x80
DEVICE GUARD
Windows-Desktops können für die ausschließliche Ausführung von vertrauenswürdigen Apps abgesichert werden (vergleichbar mit mobilen Betriebssystemen wie Windows Phone)
Unterstützt alle Apps inkl. Universal- Desktop-Apps (Win32).
Nicht vertrauenswürdige Apps und ausführbare Dateien wie Malware können nicht gestartet werden
Die Apps müssen vom Microsoft-Signierungsdienst signiert werden. Keine weiteren Modifikationen erforderlich.
Hardwarebasierte App-Kontrolle
erstellen Audit Mode
Golden Client
Golden Policy
Default Client
Root CA
Finale Policybestehend aus Golden Policy + Audit Policy
Windows Store for Business
Code Integrity Policy
ConfigMgr
Schritt 4:Application Whitelisting
Option A: Device GuardWindows Defender Application Control
Option B: Applocker
MODERN SECURITY THREATS
“THERE ARE TWO KINDS OF BIG COMPANIES, THOSE WHO’VE BEEN HACKED, AND THOSE
WHO DON’T KNOW THEY’VE BEEN HACKED.”
J A M E S C O M E Y D I R E C T O R F B IE X -
Schritt X:Wissen, was abgeht
Stufe 1: Post-Breach Gedanken anwendenStufe 2: Post-Breach Tools einsetzen
WINDOWS DEFENDER ADVANCED THREAT PROTECTION
ERKENNEN VON ERWEITERTEN ANGRIFFEN UND
BESEITIGEN VON EINBRÜCHEN
Einzigartige Informationsdatenbank mit
Bedrohungsinformationen Einzigartige Ressourcen ermöglichen detaillierte Profile der Akteure
Bedrohungsdaten von Microsoft und Drittanbietern.
Umfangreicher UntersuchungszeitraumUmfang des Einbruchs leicht zu überblicken. Verschieben von
Daten auf Endpunkten. Tief greifende Datei- und URL-Analyse.
Verhaltensbasierte und Cloud-gestützte EinbruchserkennungAussagekräftige und korrelierte Alarme für bekannte und unbekannte Bedrohungen.
Echtzeitdaten und Verlaufsdaten.
In Windows integriertKeine zusätzliche Bereitstellung und Infrastruktur. Immer auf dem neuesten
Stand bei geringen Kosten.