SicherheitSicherheit

Michael Michael KalbeKalbeTechnologieberaterTechnologieberater IT IT SicherheitSicherheithttp://http://blogs.technet.com/mkalbeblogs.technet.com/mkalbe

Windows Vista Windows Vista SecuritySecurity im im ÜÜberblickberblick

User User AccountAccount ControlControl

PlugPlug & Play & Play SmartcardsSmartcards

Detailliertes Detailliertes AuditingAuditing

SecuritySecurity and and ComplianceCompliance

BitLockerBitLocker™™Drive Drive EncryptionEncryption

EFS EFS SmartcardsSmartcards

RMS ClientRMS Client

SecuritySecurity DevelopmentDevelopment LifecycleLifecycle

ThreatThreat ModelingModeling und Code und Code ReviewsReviews

HHäärtung der Windows Dienstertung der Windows Dienste

Internet ExplorerInternet ExplorerProtectedProtected ModeMode

Windows Windows DefenderDefender

NetworkNetwork Access Access ProtectionProtection

GrundlagenGrundlagen

IdentitIdentitäätsts und und

ZugriffskontrolleZugriffskontrolle

Bedrohungen und Bedrohungen und

Schwachstellen verringernSchwachstellen verringern

Schutz vonSchutz von

InformationenInformationen

GrundlagenGrundlagen

Der SicherheitsDer Sicherheits--EntwicklungszyklusEntwicklungszyklus

Microsoft ProductDevelopment Lifecycle

Microsoft SecurityDevelopment Lifecycle

SDL zusammengefasstSDL zusammengefasst

Der SicherheitsDer Sicherheits--Entwicklungszyklus Entwicklungszyklus Ein integrierter Bestandteil im Microsoft Ein integrierter Bestandteil im Microsoft EntwicklungszyklusEntwicklungszyklus

Ein effektiver Prozess, um SicherheitslEin effektiver Prozess, um Sicherheitslüücken zu cken zu reduzierenreduzieren

Ein lebender ProzessEin lebender Prozess

FFüür Produktentwicklung ausgelegtr Produktentwicklung ausgelegt

Anwendbar bei Kunden Anwendbar bei Kunden ((http://http://msdn.microsoft.commsdn.microsoft.com//securitysecurity//sdlsdl))

Windows DiensteWindows Dienste

Kernel DriversKernel DriversDD

DD

DD DD

DD DDDD

HHäärtung der Windows Dienstertung der Windows Dienste

Reduktion der Schichten Reduktion der Schichten mit hohem Risikomit hohem Risiko

Segmentierung der Segmentierung der DiensteDienste

Erweiterung der Erweiterung der SchichtenSchichten

Kernel DriversKernel DriversDD

DD UserUser--mode Driversmode Drivers

DD

DD DD

Service Service 11

Service Service 22

Service Service 33

ServiceService……

Service Service ……

Service Service AA

Service Service BB

Härtung der Dienste

HHäärtung der Windows Dienstertung der Windows Dienste

Dienste arbeiten im Vergleich Dienste arbeiten im Vergleich zu Windows XP mit zu Windows XP mit verringerten Berechtigungenverringerten Berechtigungen

Windows Dienste sind fWindows Dienste sind füür r erlaubte Aktionen im Netz, am erlaubte Aktionen im Netz, am Dateisystem und an der Dateisystem und an der RegistryRegistry profiliertprofiliert

Wurde entwickelt, um Versuche Wurde entwickelt, um Versuche durch Schadsoftware zu durch Schadsoftware zu verhindern, verhindern, üüber Windows ber Windows Dienste Zugang zum Netzwerk, Dienste Zugang zum Netzwerk, Dateisystem oder Dateisystem oder RegistryRegistry zu zu erhaltenerhalten

ActiveProtection

Dateisystem

Registry

Netzwerk

Windows XP SP2 Windows XP SP2 zuzu Windows Vista Windows Vista DiensteDienste ÄÄnderungnderung

Windows XP SP2Windows XP SP2

LocalSystemLocalSystem Wireless Wireless ConfigurationConfiguration

System Event System Event NotificationNotification

Network Connections Network Connections ((netmannetman))

COM+ Event SystemCOM+ Event System

NLANLA

RasautoRasauto

Shell Hardware Shell Hardware DetectionDetection

ThemesThemes

TelephonyTelephony

Windows AudioWindows Audio

Error ReportingError Reporting

WorkstationWorkstation

ICSICS

RemoteAccessRemoteAccess

DHCP ClientDHCP Client

W32timeW32time

RasmanRasman

browserbrowser

6to46to4

Help and supportHelp and support

Task schedulerTask scheduler

TrkWksTrkWks

Cryptographic Cryptographic ServicesServices

Removable StorageRemovable Storage

WMI WMI PerfPerf AdapterAdapter

Automatic updatesAutomatic updates

WMIWMI

App ManagementApp Management

Secondary LogonSecondary Logon

BITSBITS

NetworkNetworkServiceService

DNS ClientDNS Client

Local ServiceLocal Service SSDPSSDPWebClientWebClientTCP/IP NetBIOS helperTCP/IP NetBIOS helperRemote registryRemote registry

Windows VistaWindows Vista

LocalSystemLocalSystemFirewall RestrictedFirewall Restricted

WMI WMI PerfPerf AdapterAdapter

Automatic updatesAutomatic updates

Secondary LogonSecondary Logon

App ManagementApp Management

Wireless Wireless ConfigurationConfiguration

LocalSystemLocalSystem BITS BITS

ThemesThemes

RasmanRasman

TrkWksTrkWks

Error ReportingError Reporting

6to46to4

Task schedulerTask scheduler

RemoteAccessRemoteAccess

RasautoRasauto

WMIWMI

Network ServiceNetwork Service

Fully RestrictedFully Restricted

DNS ClientDNS Client

ICSICS

DHCP ClientDHCP Client

browserbrowser

ServerServer

W32timeW32time

Network ServiceNetwork ServiceNetwork RestrictedNetwork Restricted

Cryptographic ServicesCryptographic Services

TelephonyTelephony

PolicyAgentPolicyAgent

NlasvcNlasvc

Local ServiceLocal ServiceNo Network AccessNo Network Access

System Event System Event NotificationNotification

Network ConnectionsNetwork Connections

Shell Hardware DetectionShell Hardware Detection

COM+ Event SystemCOM+ Event System

Local ServiceLocal ServiceFully RestrictedFully Restricted

Windows AudioWindows Audio

TCP/IP NetBIOS helperTCP/IP NetBIOS helper

WebClientWebClient

SSDPSSDP

Event LogEvent Log

WorkstationWorkstation

Remote registryRemote registry

Bedrohungen und Bedrohungen und Schwachstellen verringernSchwachstellen verringern

Schutz vor Schadsoftware und Schutz vor Schadsoftware und Einbruchsversuchen in den PCEinbruchsversuchen in den PC

Schutz vor “Social Engineering“

PhishingPhishing Filter und Farbdarstellung in der AdressleisteFilter und Farbdarstellung in der Adressleiste

Warnungen vor unsicheren EinstellungenWarnungen vor unsicheren Einstellungen

Sichere Standardeinstellungen fSichere Standardeinstellungen füür IDNr IDN

Schutz vor Exploits

UnifiedUnified URL URL ParsingParsing

Optimierung der QualitOptimierung der Qualitäät des Programmcodes (SDLC)t des Programmcodes (SDLC)

ActiveXActiveX OptOpt--inin

ProtectedProtected Mode zum Schutz vor SchadsoftwareMode zum Schutz vor Schadsoftware

Internet Explorer 7Internet Explorer 7

Dynamic Security ProtectionDynamic Security Protection

Schutz vorMalware

Protected Mode (ausschliesslich Windows Vista)

Verbesserte “cross-domain” Barrieren

Geschützte URL Behandlung

ActiveX Opt-in

“Fix my Settings”

“Defense in depth” in Kombination mit Windows Defender

Sicherungpersönlicher Daten

Microsoft Phishing Filter: anti-phishingWarnung/Blockierung

High-Assurance Security Certifications

Sicherheits Statusleiste

Adresszeile in jedem Fenster

International Domain Name spoofing Schutz

“Ein-klick Bereinigung” des Cache, Passwörter, Historie

“Parental Controls“ (ausschliesslich Windows Vista)

ActiveXActiveX OptOpt--inin und und ProtectedProtected ModeMode

ActiveXActiveX OptOpt--inin gibt Anwenderngibt Anwenderndie Kontrolle die Kontrolle üüber Controlsber Controls

Verringert die AngriffsoberflVerringert die Angriffsoberfläächeche

Ungenutzte Controls werden deaktiviertUngenutzte Controls werden deaktiviert

ErhErhäält die Vorteile von lt die Vorteile von ActiveXActiveX und verbessert die Sicherheitund verbessert die Sicherheit

ProtectedProtected Mode reduziert die potentielle Auswirkung von Mode reduziert die potentielle Auswirkung von BedrohungenBedrohungen

IEIE--ProzessProzess ist ist „„sandboxedsandboxed““ um dasum dasBetriebssystem zu schBetriebssystem zu schüützentzen

Verhindert die Verhindert die „„stillestille““ InstallationInstallationvon Schadsoftwarevon Schadsoftware

ErhErhööht die Sicherheit bei Beibehaltung derht die Sicherheit bei Beibehaltung derKompatibilitKompatibilitäätt

ActiveX Opt-in

EnabledControls

Windows

DisabledControls

User

Action

Protected Mode

User

Action

IECache My Computer (C:)

BrokerProcess

Low Rights

Windows Windows DefenderDefender

Verbesserte Erkennung Verbesserte Erkennung und Entfernung und Entfernung

Optimiertes und Optimiertes und vereinfachtesvereinfachtesUser InterfaceUser Interface

Schutz fSchutz füür alle Arten von r alle Arten von BenutzernBenutzern

Internet Explorer Internet Explorer SecuritySecurityWindows Windows DefenderDefender

DemoDemo

Windows Windows GerGerääteinstallationteinstallation

GeräteTreiber

GeräteTreiber

•Geräte Identifikation Strings

•Geräte Setup Klassen

Windows Vista FirewallWindows Vista Firewall

Kombinierte Verwaltung von Kombinierte Verwaltung von FirewallFirewall und und IPsecIPsecNeues Verwaltungswerkzeug Neues Verwaltungswerkzeug –– „„Windows Windows FirewallFirewall withwith AdvancedAdvanced SecuritySecurity““MMCMMC--SnapSnap--InIn

Verringert Konflikte und den Aufwand fVerringert Konflikte und den Aufwand füür die Koordination zwischen beiden r die Koordination zwischen beiden TechnologienTechnologien

FirewallFirewall--RegelnRegeln werden intelligenterwerden intelligenterDefinieren Sicherheitsanforderungen wie Authentifizierung oder Definieren Sicherheitsanforderungen wie Authentifizierung oder VerschlVerschlüüsselungsselung

Integration in Integration in ActiveActive Directory (BenutzerDirectory (Benutzer-- / Computergruppen)/ Computergruppen)

Filterung des ausgehenden DatenverkehrsFilterung des ausgehenden DatenverkehrsKonzipiert fKonzipiert füür den Einsatz in Unternehmensnetzwerkenr den Einsatz in Unternehmensnetzwerken

Vereinfachte Richtlinien fVereinfachte Richtlinien füür den Schutz des Systems reduzieren den r den Schutz des Systems reduzieren den Aufwand fAufwand füür die Verwaltungr die Verwaltung

Filter Filter RichtungenRichtungen

InboundInbound OutboundOutbound

Default:Default:

Block mostBlock mostFew core exceptionsFew core exceptions

Allow rules:Allow rules:

Programs, servicesPrograms, servicesUsers, computersUsers, computersProtocols, portsProtocols, ports

Default:Default:

Allow all interactiveAllow all interactiveRestrict servicesRestrict services

Block rules:Block rules:

Programs, servicesPrograms, servicesUsers, computersUsers, computersProtocols, portsProtocols, ports

VergleichVergleich derder FunktionenFunktionen

Windows XP SP2Windows XP SP2 Windows VistaWindows Vista

RichtungRichtung InboundInbound Inbound, outboundInbound, outbound

StandardverhaltenStandardverhalten BlockBlock Configurable for directionConfigurable for direction

Packet Packet TypenTypen TCP, UDP, some ICMPTCP, UDP, some ICMP AlleAlle

RegelRegel TypenTypen Application, global Application, global ports, ICMP typesports, ICMP types

Multiple conditions from basic Multiple conditions from basic fivefive--tupletuple to to IPsecIPsec metadatametadata

RegelRegel AktionenAktionen BlockBlock Block, allow, bypass; with rule Block, allow, bypass; with rule merge logicmerge logic

UI und ToolsUI und Tools Control Panel, Control Panel, netshnetsh CC--Panel, more Panel, more netshnetsh, MMC, MMC

APIsAPIs Public COM, private CPublic COM, private C More COM to expose rules, More COM to expose rules, more C to expose featuresmore C to expose features

Remote Remote managementmanagement

nonenone Via hardened RPC interfaceVia hardened RPC interface

GruppenrichtlinienGruppenrichtlinien ADM fileADM file MMC, MMC, netshnetsh

TerminologieTerminologie Exceptions; profilesExceptions; profiles Rules; categories=profilesRules; categories=profiles

Eine Eine FirewallFirewall RegelRegel……

DODO Action = {ByAction = {By--pass | Allow | Block} pass | Allow | Block} IFIF::

Protocol = Protocol = XX ANDAND

Direction = {In | Out} Direction = {In | Out} ANDAND

Local TCP/UDP port is in {Local TCP/UDP port is in {Port listPort list} } ANDAND

Remote TCP/UDP port is in {Remote TCP/UDP port is in {Port listPort list} } ANDAND

ICMP type code is in {ICMP type code is in {ICMP typeICMP type--code listcode list}} ANDAND

Interface NIC is in {Interface NIC is in {Interface ID listInterface ID list} } ANDAND

Interface type is in {Interface type is in {Interface types listInterface types list} } ANDAND

Local address is found in {Local address is found in {Address listAddress list} } ANDAND

Remote address is found in {Remote address is found in {Address listAddress list} } ANDAND

Application = <Application = <PathPath> > ANDAND

Service SID = <Service SID = <Service Short NameService Short Name> > ANDAND

Require authentication = {TRUE | FALSE} Require authentication = {TRUE | FALSE} ANDAND

Require encryption = {TRUE | FALSE} Require encryption = {TRUE | FALSE} ANDAND

Remote user has access in {Remote user has access in {SDDLSDDL} } ANDAND

Remote computer has access in {Remote computer has access in {SDDLSDDL} } ANDAND

OS version is in {OS version is in {Platform ListPlatform List}}

NetzwerkNetzwerk ProfileProfile

Ermittelt Ermittelt NetzwerkNetzwerkäänderungennderungenIdentifiziert Charakteristik, Zuweisung einer GUIDIdentifiziert Charakteristik, Zuweisung einer GUID

Netzwerk Profil Service erstellt ein Profil bei der VerbindungNetzwerk Profil Service erstellt ein Profil bei der VerbindungInterfaces, DC, Interfaces, DC, authenticatedauthenticated machinemachine, , gatewaygateway MAC, MAC, ……

NPS benachrichtigt die NPS benachrichtigt die FirewallFirewall bei jeder bei jeder ÄÄnderungnderungFirewallFirewall äändert die Kategorie innerhalb von 200msndert die Kategorie innerhalb von 200ms

Wenn nicht in einer DomWenn nicht in einer Domääne, entscheidet der Anwender ob ne, entscheidet der Anwender ob ööffentlich oder ffentlich oder privatprivat

BenBenöötigt lokale Administratorberechtigungen um ein privates Netzwerktigt lokale Administratorberechtigungen um ein privates Netzwerk zu zu definierendefinieren

DomDomäänennen Wenn der Computer DomWenn der Computer Domäänenmitglied ist und mit der nenmitglied ist und mit der DomDomääne verbunden ist; Automatisch ausgewne verbunden ist; Automatisch ausgewäählthlt

PrivatesPrivates Wenn der Computer zu einem definierten privaten Wenn der Computer zu einem definierten privaten Netzwerk verbunden istNetzwerk verbunden ist

ÖÖffentlichesffentliches Alle anderen NetzwerkeAlle anderen Netzwerke

MehrereMehrere NetzwerkinterfacesNetzwerkinterfaces??

Analyse allerAnalyse allerverbundenen Netzeverbundenen Netze

IstIst einein InterfaceInterfacemitmit einemeinem ööffentlichenffentlichenNetzwerkNetzwerk verbundenverbunden??

ÖÖffentlichesffentlichesProfilProfil aktivaktiv

IstIst einein InterfaceInterfacemitmit einemeinem privatenprivatenNetzwerkNetzwerk verbundenverbunden??

Privates Privates ProfilProfilaktivaktiv

KKöönnennnen sichsich allealleInterfaces am DomainInterfaces am Domain--controller controller authentisierenauthentisieren??

DomDomäänenprofilnenprofilaktivaktiv

JaJa

NeinNein JaJa

NeinNein

JaJa

NeinNein

VerarbeitungVerarbeitung von von GruppenrichtlinienGruppenrichtlinien

IdentitIdentitäätsts-- und und ZugriffskontrolleZugriffskontrolle

Sicherer Zugang zu Sicherer Zugang zu InformationenInformationen

Optimierung der AuthentifizierungOptimierung der Authentifizierung

HerausforderungenHerausforderungen

Zielsetzung: Besser verwaltbare Business-Desktops und Steuerung des PC-Zugangs für private Anwender

Das System funktioniert reibungslos für Standard-Anwender:Standard-Anwender können Zeitzone, Powermanagement, Drucker etc. ändern und sich mit sicheren WLANs verbinden

Hohe Anwendungskompatibilität durch Virtualisierung von Dateisystem und Registry

Deutliche Signalisierung wann eineRechteänderung erforderlich istund ermöglicht diese ohne Ab-/Anmeldung

Administratoren nutzen vollständige Rechte nur für administrative Aufgaben oder Anwendungen

Der Anwender erteilt explizite Zustimmungbevor er mit priviligierten Rechten weiterarbeitet

User User AccountAccount ControlControl

User Account Control Elevation User Account Control Elevation Administrator Berechtigungen

Standard Benutzer Berechtigungen

AdministratorKonto

Standard Benutzer Konto

Ways to Request ElevationApplication markingSetup detection

Compatibility fix (shim)Compatibility assistantRun as administrator

GerGerääteinstallationteinstallationUser User AccountAccount ControlControlWindows Windows FirewallFirewall

DemoDemo

WirelessWireless SecuritySecurity ProtokolleProtokolle

WirelessWireless SecuritySecurity

DemoDemo

InformationssicherheitInformationssicherheit

Schutz des KnowSchutz des Know--how der how der Organisation und KundendatenOrganisation und Kundendaten

InformationssicherheitInformationssicherheit

BitLockerBitLocker™™ LaufwerksverschlLaufwerksverschlüüsselungsselung

Schützt bei Diebstahl oder Verlust, wenn der PC mit einem anderen Betriebssystem gestartet wird oder ein Hacking-Tool zur Umgehung der Windows-Sicherheit eingesetzt wird

Bietet Schutz der Daten auf einem Windows-Client - selbst wenn sich der PC in falschen Händen befindet oder ein anderes Betriebssystem ausgeführt wird

Verwendet ein v1.2 TPM oder USB Flashdrive zur Schlüsselablage

BitLockerBitLocker

Disk Layout & Key StorageDisk Layout & Key Storage

Boot

Windows Partition

> Encrypted OS

> Encrypted Page File

> Encrypted Temp Files

> Encrypted Data

> Encrypted Hibernation File

Boot Partition: MBR, Loader, Boot Utilities(Unverschlüsselt, klein)

Wo ist der verschlüsselungs- Schlüssel?

1. SRK (Storage Root Key) im TPM

2. SRK verschlüsselt VEK (Volume EncryptionKey) geschützt durch TPM/PIN/Dongle

3. VEK gespeichert (verschlüsselt durch SRK) auf der Festplatte in der Boot Partition

VEKVEK22

33

Windows

SRKSRK11

Spektrum der Absicherung Spektrum der Absicherung

BDE bietet ein Spektrum der Absicherung, dass den Kunden die Abwägung zwischen Ease-of-use und Systemsicherheit ermöglicht

**************

BitLockerBitLocker™™ LaufwerkLaufwerk in Windows XPin Windows XP

BitLockerBitLocker™™ LaufwerkLaufwerk in Windows Vista in Windows Vista ((ohneohne Key)Key)

BitLockerBitLocker™™ LaufwerkLaufwerk in Linuxin Linux

1

3

Linux Bitlocker volume errors 1.Fdisk reads partition table... thinks fve partition is ntfs

2. wrong fs type, bad option, bad superblock on /dev/sda2,

missing codepage or other error3. Primary boot sector is invalid, Not an NTFS volume

2

BitLockerBitLocker™™

DemoDemo

Windows Vista InformationssicherheitWindows Vista Informationssicherheit

Wovor wollen Sie sich schützen?Andere User oder Administratoren am PC? � EFS

Unauthorisierte User mit physikalischem Zugriff?� BitLocker™

SzenarioSzenario BitLockerBitLocker EFSEFS RMSRMS

LaptopLaptop

Server in NiederlassungServer in Niederlassung

Lokaler DateiLokaler Datei-- und Verzeichnisund Verzeichnis--Schutz Schutz (Einzelner Anwender)(Einzelner Anwender)

Lokaler DateiLokaler Datei-- und Verzeichnisund Verzeichnis--Schutz Schutz (Mehrere Anwender)(Mehrere Anwender)

RemoteRemote DateiDatei-- und Verzeichnisund Verzeichnis--SchutzSchutz

Schutz vor AdministratorSchutz vor Administrator--ZugriffZugriff

Richtlinien fRichtlinien füür Informationsr Informations--NutzungNutzung

ZusammenfassungZusammenfassung

SDL

Härtung von Diensten

Code Überprüfung

Sichere Standardkonfiguration

Code Integrität

IE Protected Mode undAnti-Phishing

Windows Defender

Bi-direktionale Firewall

IPSEC Verbesserungen

Network Access Protection(NAP)

Verringerung vonVerringerung vonBedrohungen und Bedrohungen und SchwachstellenSchwachstellen

GrundlagenGrundlagen

IdentitIdentitäätsts-- und und ZugriffskontrolleZugriffskontrolle

User Account Control

Plug & Play Smartcards

Vereinfachte Logon-Architektur

BitLocker

RMS Client

Weitere InformationenWeitere Informationen

Trusted Platform Module ServicesTrusted Platform Module Serviceshttp://www.microsoft.com/whdc/system/platform/pchttp://www.microsoft.com/whdc/system/platform/pcdesign/TPM_secure.mspxdesign/TPM_secure.mspx

Step by Step Guides for BDE and TPMStep by Step Guides for BDE and TPMhttp://www.microsoft.com/downloads/http://www.microsoft.com/downloads/details.aspx?Fdetails.aspx?FamilyIDamilyID=311f4be8=311f4be8--99839983--4ab04ab0--96859685--f1bfec1e7d62&DisplayLang=enf1bfec1e7d62&DisplayLang=en

What's New in Group Policy in Windows Vista and What's New in Group Policy in Windows Vista and Windows Server "Longhorn"Windows Server "Longhorn"http://http://www.microsoft.comwww.microsoft.com//technettechnet//windowsvistawindowsvista//librlibraryary//gpolgpol/a8366c42/a8366c42--63736373--48cd48cd--9d119d11--2510580e4817.mspx?mfr=true2510580e4817.mspx?mfr=true

http://blogs.technet.com/mkalbe

© 2006 Microsoft Corporation. All rights reserved.

This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.