Upload
others
View
1
Download
0
Embed Size (px)
Citation preview
SicherheitSicherheit
Michael Michael KalbeKalbeTechnologieberaterTechnologieberater IT IT SicherheitSicherheithttp://http://blogs.technet.com/mkalbeblogs.technet.com/mkalbe
Windows Vista Windows Vista SecuritySecurity im im ÜÜberblickberblick
User User AccountAccount ControlControl
PlugPlug & Play & Play SmartcardsSmartcards
Detailliertes Detailliertes AuditingAuditing
SecuritySecurity and and ComplianceCompliance
BitLockerBitLocker™™Drive Drive EncryptionEncryption
EFS EFS SmartcardsSmartcards
RMS ClientRMS Client
SecuritySecurity DevelopmentDevelopment LifecycleLifecycle
ThreatThreat ModelingModeling und Code und Code ReviewsReviews
HHäärtung der Windows Dienstertung der Windows Dienste
Internet ExplorerInternet ExplorerProtectedProtected ModeMode
Windows Windows DefenderDefender
NetworkNetwork Access Access ProtectionProtection
GrundlagenGrundlagen
IdentitIdentitäätsts und und
ZugriffskontrolleZugriffskontrolle
Bedrohungen und Bedrohungen und
Schwachstellen verringernSchwachstellen verringern
Schutz vonSchutz von
InformationenInformationen
GrundlagenGrundlagen
Der SicherheitsDer Sicherheits--EntwicklungszyklusEntwicklungszyklus
Microsoft ProductDevelopment Lifecycle
Microsoft SecurityDevelopment Lifecycle
SDL zusammengefasstSDL zusammengefasst
Der SicherheitsDer Sicherheits--Entwicklungszyklus Entwicklungszyklus Ein integrierter Bestandteil im Microsoft Ein integrierter Bestandteil im Microsoft EntwicklungszyklusEntwicklungszyklus
Ein effektiver Prozess, um SicherheitslEin effektiver Prozess, um Sicherheitslüücken zu cken zu reduzierenreduzieren
Ein lebender ProzessEin lebender Prozess
FFüür Produktentwicklung ausgelegtr Produktentwicklung ausgelegt
Anwendbar bei Kunden Anwendbar bei Kunden ((http://http://msdn.microsoft.commsdn.microsoft.com//securitysecurity//sdlsdl))
Windows DiensteWindows Dienste
Kernel DriversKernel DriversDD
DD
DD DD
DD DDDD
HHäärtung der Windows Dienstertung der Windows Dienste
Reduktion der Schichten Reduktion der Schichten mit hohem Risikomit hohem Risiko
Segmentierung der Segmentierung der DiensteDienste
Erweiterung der Erweiterung der SchichtenSchichten
Kernel DriversKernel DriversDD
DD UserUser--mode Driversmode Drivers
DD
DD DD
Service Service 11
Service Service 22
Service Service 33
ServiceService……
Service Service ……
Service Service AA
Service Service BB
Härtung der Dienste
HHäärtung der Windows Dienstertung der Windows Dienste
Dienste arbeiten im Vergleich Dienste arbeiten im Vergleich zu Windows XP mit zu Windows XP mit verringerten Berechtigungenverringerten Berechtigungen
Windows Dienste sind fWindows Dienste sind füür r erlaubte Aktionen im Netz, am erlaubte Aktionen im Netz, am Dateisystem und an der Dateisystem und an der RegistryRegistry profiliertprofiliert
Wurde entwickelt, um Versuche Wurde entwickelt, um Versuche durch Schadsoftware zu durch Schadsoftware zu verhindern, verhindern, üüber Windows ber Windows Dienste Zugang zum Netzwerk, Dienste Zugang zum Netzwerk, Dateisystem oder Dateisystem oder RegistryRegistry zu zu erhaltenerhalten
ActiveProtection
Dateisystem
Registry
Netzwerk
Windows XP SP2 Windows XP SP2 zuzu Windows Vista Windows Vista DiensteDienste ÄÄnderungnderung
Windows XP SP2Windows XP SP2
LocalSystemLocalSystem Wireless Wireless ConfigurationConfiguration
System Event System Event NotificationNotification
Network Connections Network Connections ((netmannetman))
COM+ Event SystemCOM+ Event System
NLANLA
RasautoRasauto
Shell Hardware Shell Hardware DetectionDetection
ThemesThemes
TelephonyTelephony
Windows AudioWindows Audio
Error ReportingError Reporting
WorkstationWorkstation
ICSICS
RemoteAccessRemoteAccess
DHCP ClientDHCP Client
W32timeW32time
RasmanRasman
browserbrowser
6to46to4
Help and supportHelp and support
Task schedulerTask scheduler
TrkWksTrkWks
Cryptographic Cryptographic ServicesServices
Removable StorageRemovable Storage
WMI WMI PerfPerf AdapterAdapter
Automatic updatesAutomatic updates
WMIWMI
App ManagementApp Management
Secondary LogonSecondary Logon
BITSBITS
NetworkNetworkServiceService
DNS ClientDNS Client
Local ServiceLocal Service SSDPSSDPWebClientWebClientTCP/IP NetBIOS helperTCP/IP NetBIOS helperRemote registryRemote registry
Windows VistaWindows Vista
LocalSystemLocalSystemFirewall RestrictedFirewall Restricted
WMI WMI PerfPerf AdapterAdapter
Automatic updatesAutomatic updates
Secondary LogonSecondary Logon
App ManagementApp Management
Wireless Wireless ConfigurationConfiguration
LocalSystemLocalSystem BITS BITS
ThemesThemes
RasmanRasman
TrkWksTrkWks
Error ReportingError Reporting
6to46to4
Task schedulerTask scheduler
RemoteAccessRemoteAccess
RasautoRasauto
WMIWMI
Network ServiceNetwork Service
Fully RestrictedFully Restricted
DNS ClientDNS Client
ICSICS
DHCP ClientDHCP Client
browserbrowser
ServerServer
W32timeW32time
Network ServiceNetwork ServiceNetwork RestrictedNetwork Restricted
Cryptographic ServicesCryptographic Services
TelephonyTelephony
PolicyAgentPolicyAgent
NlasvcNlasvc
Local ServiceLocal ServiceNo Network AccessNo Network Access
System Event System Event NotificationNotification
Network ConnectionsNetwork Connections
Shell Hardware DetectionShell Hardware Detection
COM+ Event SystemCOM+ Event System
Local ServiceLocal ServiceFully RestrictedFully Restricted
Windows AudioWindows Audio
TCP/IP NetBIOS helperTCP/IP NetBIOS helper
WebClientWebClient
SSDPSSDP
Event LogEvent Log
WorkstationWorkstation
Remote registryRemote registry
Bedrohungen und Bedrohungen und Schwachstellen verringernSchwachstellen verringern
Schutz vor Schadsoftware und Schutz vor Schadsoftware und Einbruchsversuchen in den PCEinbruchsversuchen in den PC
Schutz vor “Social Engineering“
PhishingPhishing Filter und Farbdarstellung in der AdressleisteFilter und Farbdarstellung in der Adressleiste
Warnungen vor unsicheren EinstellungenWarnungen vor unsicheren Einstellungen
Sichere Standardeinstellungen fSichere Standardeinstellungen füür IDNr IDN
Schutz vor Exploits
UnifiedUnified URL URL ParsingParsing
Optimierung der QualitOptimierung der Qualitäät des Programmcodes (SDLC)t des Programmcodes (SDLC)
ActiveXActiveX OptOpt--inin
ProtectedProtected Mode zum Schutz vor SchadsoftwareMode zum Schutz vor Schadsoftware
Internet Explorer 7Internet Explorer 7
Dynamic Security ProtectionDynamic Security Protection
Schutz vorMalware
Protected Mode (ausschliesslich Windows Vista)
Verbesserte “cross-domain” Barrieren
Geschützte URL Behandlung
ActiveX Opt-in
“Fix my Settings”
“Defense in depth” in Kombination mit Windows Defender
Sicherungpersönlicher Daten
Microsoft Phishing Filter: anti-phishingWarnung/Blockierung
High-Assurance Security Certifications
Sicherheits Statusleiste
Adresszeile in jedem Fenster
International Domain Name spoofing Schutz
“Ein-klick Bereinigung” des Cache, Passwörter, Historie
“Parental Controls“ (ausschliesslich Windows Vista)
ActiveXActiveX OptOpt--inin und und ProtectedProtected ModeMode
ActiveXActiveX OptOpt--inin gibt Anwenderngibt Anwenderndie Kontrolle die Kontrolle üüber Controlsber Controls
Verringert die AngriffsoberflVerringert die Angriffsoberfläächeche
Ungenutzte Controls werden deaktiviertUngenutzte Controls werden deaktiviert
ErhErhäält die Vorteile von lt die Vorteile von ActiveXActiveX und verbessert die Sicherheitund verbessert die Sicherheit
ProtectedProtected Mode reduziert die potentielle Auswirkung von Mode reduziert die potentielle Auswirkung von BedrohungenBedrohungen
IEIE--ProzessProzess ist ist „„sandboxedsandboxed““ um dasum dasBetriebssystem zu schBetriebssystem zu schüützentzen
Verhindert die Verhindert die „„stillestille““ InstallationInstallationvon Schadsoftwarevon Schadsoftware
ErhErhööht die Sicherheit bei Beibehaltung derht die Sicherheit bei Beibehaltung derKompatibilitKompatibilitäätt
ActiveX Opt-in
EnabledControls
Windows
DisabledControls
User
Action
Protected Mode
User
Action
IECache My Computer (C:)
BrokerProcess
Low Rights
Windows Windows DefenderDefender
Verbesserte Erkennung Verbesserte Erkennung und Entfernung und Entfernung
Optimiertes und Optimiertes und vereinfachtesvereinfachtesUser InterfaceUser Interface
Schutz fSchutz füür alle Arten von r alle Arten von BenutzernBenutzern
Internet Explorer Internet Explorer SecuritySecurityWindows Windows DefenderDefender
DemoDemo
Windows Windows GerGerääteinstallationteinstallation
GeräteTreiber
GeräteTreiber
•Geräte Identifikation Strings
•Geräte Setup Klassen
Windows Vista FirewallWindows Vista Firewall
Kombinierte Verwaltung von Kombinierte Verwaltung von FirewallFirewall und und IPsecIPsecNeues Verwaltungswerkzeug Neues Verwaltungswerkzeug –– „„Windows Windows FirewallFirewall withwith AdvancedAdvanced SecuritySecurity““MMCMMC--SnapSnap--InIn
Verringert Konflikte und den Aufwand fVerringert Konflikte und den Aufwand füür die Koordination zwischen beiden r die Koordination zwischen beiden TechnologienTechnologien
FirewallFirewall--RegelnRegeln werden intelligenterwerden intelligenterDefinieren Sicherheitsanforderungen wie Authentifizierung oder Definieren Sicherheitsanforderungen wie Authentifizierung oder VerschlVerschlüüsselungsselung
Integration in Integration in ActiveActive Directory (BenutzerDirectory (Benutzer-- / Computergruppen)/ Computergruppen)
Filterung des ausgehenden DatenverkehrsFilterung des ausgehenden DatenverkehrsKonzipiert fKonzipiert füür den Einsatz in Unternehmensnetzwerkenr den Einsatz in Unternehmensnetzwerken
Vereinfachte Richtlinien fVereinfachte Richtlinien füür den Schutz des Systems reduzieren den r den Schutz des Systems reduzieren den Aufwand fAufwand füür die Verwaltungr die Verwaltung
Filter Filter RichtungenRichtungen
InboundInbound OutboundOutbound
Default:Default:
Block mostBlock mostFew core exceptionsFew core exceptions
Allow rules:Allow rules:
Programs, servicesPrograms, servicesUsers, computersUsers, computersProtocols, portsProtocols, ports
Default:Default:
Allow all interactiveAllow all interactiveRestrict servicesRestrict services
Block rules:Block rules:
Programs, servicesPrograms, servicesUsers, computersUsers, computersProtocols, portsProtocols, ports
VergleichVergleich derder FunktionenFunktionen
Windows XP SP2Windows XP SP2 Windows VistaWindows Vista
RichtungRichtung InboundInbound Inbound, outboundInbound, outbound
StandardverhaltenStandardverhalten BlockBlock Configurable for directionConfigurable for direction
Packet Packet TypenTypen TCP, UDP, some ICMPTCP, UDP, some ICMP AlleAlle
RegelRegel TypenTypen Application, global Application, global ports, ICMP typesports, ICMP types
Multiple conditions from basic Multiple conditions from basic fivefive--tupletuple to to IPsecIPsec metadatametadata
RegelRegel AktionenAktionen BlockBlock Block, allow, bypass; with rule Block, allow, bypass; with rule merge logicmerge logic
UI und ToolsUI und Tools Control Panel, Control Panel, netshnetsh CC--Panel, more Panel, more netshnetsh, MMC, MMC
APIsAPIs Public COM, private CPublic COM, private C More COM to expose rules, More COM to expose rules, more C to expose featuresmore C to expose features
Remote Remote managementmanagement
nonenone Via hardened RPC interfaceVia hardened RPC interface
GruppenrichtlinienGruppenrichtlinien ADM fileADM file MMC, MMC, netshnetsh
TerminologieTerminologie Exceptions; profilesExceptions; profiles Rules; categories=profilesRules; categories=profiles
Eine Eine FirewallFirewall RegelRegel……
DODO Action = {ByAction = {By--pass | Allow | Block} pass | Allow | Block} IFIF::
Protocol = Protocol = XX ANDAND
Direction = {In | Out} Direction = {In | Out} ANDAND
Local TCP/UDP port is in {Local TCP/UDP port is in {Port listPort list} } ANDAND
Remote TCP/UDP port is in {Remote TCP/UDP port is in {Port listPort list} } ANDAND
ICMP type code is in {ICMP type code is in {ICMP typeICMP type--code listcode list}} ANDAND
Interface NIC is in {Interface NIC is in {Interface ID listInterface ID list} } ANDAND
Interface type is in {Interface type is in {Interface types listInterface types list} } ANDAND
Local address is found in {Local address is found in {Address listAddress list} } ANDAND
Remote address is found in {Remote address is found in {Address listAddress list} } ANDAND
Application = <Application = <PathPath> > ANDAND
Service SID = <Service SID = <Service Short NameService Short Name> > ANDAND
Require authentication = {TRUE | FALSE} Require authentication = {TRUE | FALSE} ANDAND
Require encryption = {TRUE | FALSE} Require encryption = {TRUE | FALSE} ANDAND
Remote user has access in {Remote user has access in {SDDLSDDL} } ANDAND
Remote computer has access in {Remote computer has access in {SDDLSDDL} } ANDAND
OS version is in {OS version is in {Platform ListPlatform List}}
NetzwerkNetzwerk ProfileProfile
Ermittelt Ermittelt NetzwerkNetzwerkäänderungennderungenIdentifiziert Charakteristik, Zuweisung einer GUIDIdentifiziert Charakteristik, Zuweisung einer GUID
Netzwerk Profil Service erstellt ein Profil bei der VerbindungNetzwerk Profil Service erstellt ein Profil bei der VerbindungInterfaces, DC, Interfaces, DC, authenticatedauthenticated machinemachine, , gatewaygateway MAC, MAC, ……
NPS benachrichtigt die NPS benachrichtigt die FirewallFirewall bei jeder bei jeder ÄÄnderungnderungFirewallFirewall äändert die Kategorie innerhalb von 200msndert die Kategorie innerhalb von 200ms
Wenn nicht in einer DomWenn nicht in einer Domääne, entscheidet der Anwender ob ne, entscheidet der Anwender ob ööffentlich oder ffentlich oder privatprivat
BenBenöötigt lokale Administratorberechtigungen um ein privates Netzwerktigt lokale Administratorberechtigungen um ein privates Netzwerk zu zu definierendefinieren
DomDomäänennen Wenn der Computer DomWenn der Computer Domäänenmitglied ist und mit der nenmitglied ist und mit der DomDomääne verbunden ist; Automatisch ausgewne verbunden ist; Automatisch ausgewäählthlt
PrivatesPrivates Wenn der Computer zu einem definierten privaten Wenn der Computer zu einem definierten privaten Netzwerk verbunden istNetzwerk verbunden ist
ÖÖffentlichesffentliches Alle anderen NetzwerkeAlle anderen Netzwerke
MehrereMehrere NetzwerkinterfacesNetzwerkinterfaces??
Analyse allerAnalyse allerverbundenen Netzeverbundenen Netze
IstIst einein InterfaceInterfacemitmit einemeinem ööffentlichenffentlichenNetzwerkNetzwerk verbundenverbunden??
ÖÖffentlichesffentlichesProfilProfil aktivaktiv
IstIst einein InterfaceInterfacemitmit einemeinem privatenprivatenNetzwerkNetzwerk verbundenverbunden??
Privates Privates ProfilProfilaktivaktiv
KKöönnennnen sichsich allealleInterfaces am DomainInterfaces am Domain--controller controller authentisierenauthentisieren??
DomDomäänenprofilnenprofilaktivaktiv
JaJa
NeinNein JaJa
NeinNein
JaJa
NeinNein
VerarbeitungVerarbeitung von von GruppenrichtlinienGruppenrichtlinien
IdentitIdentitäätsts-- und und ZugriffskontrolleZugriffskontrolle
Sicherer Zugang zu Sicherer Zugang zu InformationenInformationen
Optimierung der AuthentifizierungOptimierung der Authentifizierung
HerausforderungenHerausforderungen
Zielsetzung: Besser verwaltbare Business-Desktops und Steuerung des PC-Zugangs für private Anwender
Das System funktioniert reibungslos für Standard-Anwender:Standard-Anwender können Zeitzone, Powermanagement, Drucker etc. ändern und sich mit sicheren WLANs verbinden
Hohe Anwendungskompatibilität durch Virtualisierung von Dateisystem und Registry
Deutliche Signalisierung wann eineRechteänderung erforderlich istund ermöglicht diese ohne Ab-/Anmeldung
Administratoren nutzen vollständige Rechte nur für administrative Aufgaben oder Anwendungen
Der Anwender erteilt explizite Zustimmungbevor er mit priviligierten Rechten weiterarbeitet
User User AccountAccount ControlControl
User Account Control Elevation User Account Control Elevation Administrator Berechtigungen
Standard Benutzer Berechtigungen
AdministratorKonto
Standard Benutzer Konto
Ways to Request ElevationApplication markingSetup detection
Compatibility fix (shim)Compatibility assistantRun as administrator
GerGerääteinstallationteinstallationUser User AccountAccount ControlControlWindows Windows FirewallFirewall
DemoDemo
WirelessWireless SecuritySecurity ProtokolleProtokolle
WirelessWireless SecuritySecurity
DemoDemo
InformationssicherheitInformationssicherheit
Schutz des KnowSchutz des Know--how der how der Organisation und KundendatenOrganisation und Kundendaten
InformationssicherheitInformationssicherheit
BitLockerBitLocker™™ LaufwerksverschlLaufwerksverschlüüsselungsselung
Schützt bei Diebstahl oder Verlust, wenn der PC mit einem anderen Betriebssystem gestartet wird oder ein Hacking-Tool zur Umgehung der Windows-Sicherheit eingesetzt wird
Bietet Schutz der Daten auf einem Windows-Client - selbst wenn sich der PC in falschen Händen befindet oder ein anderes Betriebssystem ausgeführt wird
Verwendet ein v1.2 TPM oder USB Flashdrive zur Schlüsselablage
BitLockerBitLocker
Disk Layout & Key StorageDisk Layout & Key Storage
Boot
Windows Partition
> Encrypted OS
> Encrypted Page File
> Encrypted Temp Files
> Encrypted Data
> Encrypted Hibernation File
Boot Partition: MBR, Loader, Boot Utilities(Unverschlüsselt, klein)
Wo ist der verschlüsselungs- Schlüssel?
1. SRK (Storage Root Key) im TPM
2. SRK verschlüsselt VEK (Volume EncryptionKey) geschützt durch TPM/PIN/Dongle
3. VEK gespeichert (verschlüsselt durch SRK) auf der Festplatte in der Boot Partition
VEKVEK22
33
Windows
SRKSRK11
Spektrum der Absicherung Spektrum der Absicherung
BDE bietet ein Spektrum der Absicherung, dass den Kunden die Abwägung zwischen Ease-of-use und Systemsicherheit ermöglicht
**************
BitLockerBitLocker™™ LaufwerkLaufwerk in Windows XPin Windows XP
BitLockerBitLocker™™ LaufwerkLaufwerk in Windows Vista in Windows Vista ((ohneohne Key)Key)
BitLockerBitLocker™™ LaufwerkLaufwerk in Linuxin Linux
1
3
Linux Bitlocker volume errors 1.Fdisk reads partition table... thinks fve partition is ntfs
2. wrong fs type, bad option, bad superblock on /dev/sda2,
missing codepage or other error3. Primary boot sector is invalid, Not an NTFS volume
2
BitLockerBitLocker™™
DemoDemo
Windows Vista InformationssicherheitWindows Vista Informationssicherheit
Wovor wollen Sie sich schützen?Andere User oder Administratoren am PC? � EFS
Unauthorisierte User mit physikalischem Zugriff?� BitLocker™
SzenarioSzenario BitLockerBitLocker EFSEFS RMSRMS
LaptopLaptop
Server in NiederlassungServer in Niederlassung
Lokaler DateiLokaler Datei-- und Verzeichnisund Verzeichnis--Schutz Schutz (Einzelner Anwender)(Einzelner Anwender)
Lokaler DateiLokaler Datei-- und Verzeichnisund Verzeichnis--Schutz Schutz (Mehrere Anwender)(Mehrere Anwender)
RemoteRemote DateiDatei-- und Verzeichnisund Verzeichnis--SchutzSchutz
Schutz vor AdministratorSchutz vor Administrator--ZugriffZugriff
Richtlinien fRichtlinien füür Informationsr Informations--NutzungNutzung
ZusammenfassungZusammenfassung
SDL
Härtung von Diensten
Code Überprüfung
Sichere Standardkonfiguration
Code Integrität
IE Protected Mode undAnti-Phishing
Windows Defender
Bi-direktionale Firewall
IPSEC Verbesserungen
Network Access Protection(NAP)
Verringerung vonVerringerung vonBedrohungen und Bedrohungen und SchwachstellenSchwachstellen
GrundlagenGrundlagen
IdentitIdentitäätsts-- und und ZugriffskontrolleZugriffskontrolle
User Account Control
Plug & Play Smartcards
Vereinfachte Logon-Architektur
BitLocker
RMS Client
Weitere InformationenWeitere Informationen
Trusted Platform Module ServicesTrusted Platform Module Serviceshttp://www.microsoft.com/whdc/system/platform/pchttp://www.microsoft.com/whdc/system/platform/pcdesign/TPM_secure.mspxdesign/TPM_secure.mspx
Step by Step Guides for BDE and TPMStep by Step Guides for BDE and TPMhttp://www.microsoft.com/downloads/http://www.microsoft.com/downloads/details.aspx?Fdetails.aspx?FamilyIDamilyID=311f4be8=311f4be8--99839983--4ab04ab0--96859685--f1bfec1e7d62&DisplayLang=enf1bfec1e7d62&DisplayLang=en
What's New in Group Policy in Windows Vista and What's New in Group Policy in Windows Vista and Windows Server "Longhorn"Windows Server "Longhorn"http://http://www.microsoft.comwww.microsoft.com//technettechnet//windowsvistawindowsvista//librlibraryary//gpolgpol/a8366c42/a8366c42--63736373--48cd48cd--9d119d11--2510580e4817.mspx?mfr=true2510580e4817.mspx?mfr=true
http://blogs.technet.com/mkalbe
© 2006 Microsoft Corporation. All rights reserved.
This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.