Upload
shakti
View
30
Download
0
Embed Size (px)
DESCRIPTION
Windows Vista biztonsági újdonságai. Szabó Gábor Product manager, Security [email protected]. Napirend. Biztonsági környezet Jogosultságok , hozzáférés Belépés, hitelesítés, Audit Felhasználói fiókok Windows Service Hardening Beágyazott proaktív védelem - PowerPoint PPT Presentation
Citation preview
Windows Vista biztonsági újdonságai
Szabó GáborSzabó GáborProduct manager, SecurityProduct manager, [email protected]@microsoft.com
NapirendNapirend Biztonsági környezetBiztonsági környezet Jogosultságok, hozzáférésJogosultságok, hozzáférés
Belépés, hitelesítés, AuditBelépés, hitelesítés, Audit Felhasználói fiókokFelhasználói fiókok Windows Service HardeningWindows Service Hardening
Beágyazott proaktív védelemBeágyazott proaktív védelem Address Space Layout Address Space Layout
RandomizationRandomization Data Execution ProtectionData Execution Protection Kernel Patch Protection (x64)Kernel Patch Protection (x64) Kernel Mode Code SigningKernel Mode Code Signing
User Account Controll demoUser Account Controll demo Program File és Registry Program File és Registry
virtualizációvirtualizáció Egy támadás anatómiájaEgy támadás anatómiája
Sérülékenység - támadás Sérülékenység - támadás időablakidőablak
RPC DCOM demoRPC DCOM demo IzolációIzoláció
Windows Firewall/IPSec demoWindows Firewall/IPSec demo NAPNAP
AdatvédelemAdatvédelem RMS, EFS, BitlockerRMS, EFS, Bitlocker
Magas
Alacsony
1980 1985 1990 1995 2000
A behatoló
tudása
A támadás
okozta kár
Cross site scripting
jelszó próba
port próba
jelszó feltörés
ismert sérülékenység kihasználása
címhamisítás
back doors
session
lopás
sweepers
forgalom figyelés
csomagfigyelésgrafikus
eszközök
automated probes/scans
denial of service
www attacks
“stealth” / advanced scanning techniques
distributed
attack tools
port scan
Phishing
2005
A veszély evolúciója
NapirendNapirend Biztonsági környezetBiztonsági környezet Jogosultságok, hozzáférésJogosultságok, hozzáférés
Belépés, hitelesítés, AuditBelépés, hitelesítés, Audit Felhasználói fiókokFelhasználói fiókok Windows Service HardeningWindows Service Hardening
User Account Controll demoUser Account Controll demo Program File és Registry Program File és Registry
virtualizációvirtualizáció Beágyazott proaktív védelemBeágyazott proaktív védelem
Address Space Layout Address Space Layout RandomizationRandomization
Data Execution ProtectionData Execution Protection Kernel Patch Protection (x64)Kernel Patch Protection (x64) Kernel Mode Code SigningKernel Mode Code Signing
Egy támadás anatómiájaEgy támadás anatómiája Sérülékenység - támadás Sérülékenység - támadás
időablakidőablak RPC DCOM demoRPC DCOM demo
IzolációIzoláció Windows Firewall/IPSec demoWindows Firewall/IPSec demo NAPNAP
AdatvédelemAdatvédelem RMS, EFS, BitlockerRMS, EFS, Bitlocker
Jogosultságok, hozzáférésBelépés, hitelesítés Eddig a GINA (Graphical Identification and
Authentication): Jelenleg a Winlogon processz része >
korai betöltés Egyetlen példány; nem vagy nehezen
cserélhető
A Vistában GINA DLL-ek kihagyása > többféle
bejelentkező eszköz (multifaktoros, biometrikus, OTP, stb.)
Alternatív logon providerek, szabad választás, alapértelmezettség választás
Providerek hozzáadása a registryben
LSAWinLogon
Logon UI
Hitelesítés szolgáltatók
interfészei
Hitelesítés
Szolgáltató 2
7. 7. Logon Logon kéréshitelesítéskéréshitelesítés
1. Ctrl+Alt+Delete1. Ctrl+Alt+Delete
2. 2. HitelesítésHitelesítés
kéréskérés
9. LSALogonUser9. LSALogonUser
5. 5. Login / jelszóLogin / jelszó
4. 4. Bejelentkező UIBejelentkező UI
Hitelesítés
szolgáltató 1
Hitelesítés
Szolgáltató 3
8. 8. HitelesítésHitelesítés
kérés visszaigazolvakérés visszaigazolva
6. 6. EngedélyezésEngedélyezés
3. 3. Hitelesítési információk kéréseHitelesítési információk kérése
Hitelesítés szolgáltatókTöbbfaktoros authenikáció
Jogosultságok, hozzáférésHitelesítés, belépés
SmartCard belépés Eddig adminként
telepítettünk olvasót, meghajtót, szolgáltatót majd használtuk
A Vistában „igazi” Plug & Play van, első belépéskor is
Gyártók 3rd party kártya moduljai > WU > Vista
Jogosultságok, hozzáférésUser / Computer fiókok Power Users csoport nincs
többé két szint maradt
a standard fiókok (Users csoport) az admin fiókok (Administrators
csoport)
A standard user fiók az alapértelmezett egy új fiók létrehozásakor
Új telepítéskor "Support..." és a "Help" fiók nem kerül fel a rendszerbe
Jogosultságok, hozzáférésUser / Computer fiókok
Új telepítéskor a beépített Administrator fiók letiltott állapotban van Ennek oka pl. a sok változatlan illetve teljesen
üresen hagyott helyi admin jelszó
Frissítésnél Ha az előző rendszerben csak egy admin fiók volt
A telepítés alatt a Vista ezt észreveszi, nem tiltja le Safe módban ekkor sem lehet használni
Jogosultságok, hozzáférésUser / Computer fiókok
Safe módban elágazás > Tartomány: a letiltott, beépített admin fiókkal nem tudunk belépni egy a Domain Admins csoportba tartozó fiókkal
viszont igen ekkor kreálhatunk helyi alternatív admin fiókot ha még nem léptünk be Domain Admin-ként:
Válasszuk a Safe Mode with Networking opciót Mivel a jogosultságok még nem cache-elődhettek
Jogosultságok, hozzáférésUser / Computer fiókok
Safe módban elágazás > Munkacsoport: Az alap admin fiók szintén nem működik Ha van bármilyen másik admin fiók, azt
használhatjuk Ha nincs, vagy megsérült, akkor a Vista
„visszavesz” a szigorból és használhatjuk a beépített admin fiókot is
Jogosultságok, hozzáférésAudit Sokkal részletesebb, új kategóriákkal Több információval, kb. 50 új eseménnyel
Fő kategóriák
Logon / Logoff
Filerendszer elérés
Registry hozzáférés
Admin jogosultságok
használata
Teljesen új naplózási alrendszerTeljesen új naplózási alrendszer Események összegyűjtéseEsemények összegyűjtése + Task Manager = értesítések+ Task Manager = értesítések
Mi mindent lehet auditálni? Registry változásokat (régi + új érték) AD változásokat (régi + új érték) UAC eseményeket IPSec eseményeket RPC Call eseményeket Megosztásokkal kapcsolatos történéseket (elérés, kezelés) Titkosítási eseményeket NAP eseményeket (csak szerver oldalon) IAS (RADIUS) eseményeket (csak szerver oldalon)
Jogosultságok, hozzáférésAudit
A különböző szervizek előkelő célpontjai a A különböző szervizek előkelő célpontjai a különböző malwareknekkülönböző malwareknek A felhasználó bevonása/tudta nélkül futnakA felhasználó bevonása/tudta nélkül futnak Ismert szerviz sérülékenységekIsmert szerviz sérülékenységek Sok szerviz „LocalSystem” fiók joggal futSok szerviz „LocalSystem” fiók joggal fut Sok ismert féreg pont ezt használta kiSok ismert féreg pont ezt használta ki
Sasser, Blaster, CodeRed, Slammer, etc…Sasser, Blaster, CodeRed, Slammer, etc…
Jogosultságok, hozzáférésWindows Service Hardening – Miért is kell?
User
Admin
System services
Kernel
• Kevés réteg
• Többnyire magas privilégium
• Kevés védelem a rétegek között
Windows XP
• A magas kockázatú rétegek mérete csökken
• Több réteg
• Szegmentált szervizek
Felhasználó
LUA felh.
Alacsony priv. szervizek
Admin
Kernel
D D D
S
S
DD
S
S
ServiceService
HardeningHardening
Felhasználó Felhasználó fiók védelme fiók védelme
((User Account User Account Control)Control)Rendszer
szervizek
D
D
S
S
Kernel meghajtók
Rendszer szervizek
Alacsony priv. Szervizek
Felh. módú meghajtók
Windows Vista
Jogosultságok, hozzáférésSzerviz felosztás (Service refaktoring) Folyamatosan csökken a jogosultsági kör De a Vistában drasztikusabb a változás
A legtöbb esetben már nem LocalSystem Ha mégis szükséges, akkor két részre vágva dolgozik
A szerviz fő része pl. a LocalService fiókkal A privilegizált műveletekhez szükséges rész továbbra is a LocalSystem fiókkal A két rész között hitelesítést megkívánó kapcsolat van
MemóriaMemória
A szerviz fő részeLocalService fiókkal fut
Privilegizált műveletekLocalSystem
Jogosultságok, hozzáférésSzerviz profil (Service profiling)
Minden szerviznek egyedi azonosítója van S-1-80-<a szerviz logika nevének SHA-1 hash-e>
A szervizprofil is újdonság ACL-ek listája Megengedi / tiltja
A privilégiumok és erőforrások (filerendszer, registry) használatát
Adott portok használatát, a WF segítségével
Rugalmasabb megoldás a Local / Network Service > további jogosultság
Jogosultságok, hozzáférésWindows Service Hardening
Példa: a „mindenható” RPC immár nem cserélheti le a rendszerfile-okat, nem módosíthatja a registryt, nem befolyásolhatja, módosíthatja más szervizeket
konfig állományait (AV szoftverek, szignatúrák, stb.)
A szervizprofil szigorú kialakítása egy teljesen automatikus művelet, amely Elsősorban telepítéskor megy végbe Csak a Windows szervizekre érvényes
Jogosultságok, hozzáférésDefiniált integritás szintek
ShellShell
Windows XP SP2
LocalSystem Wireless Configuration
System Event Notification
Network Connections
COM+ Event System
NLA
Rasauto
Shell Hardware Detection
Themes
Telephony
Windows Audio
Error Reporting
Workstation
ICS
BITS
RemoteAccess
DHCP Client
W32time
Rasman
Browser
Help and Support
Task Scheduler
TrkWks
Cryptographic Services
Removable Storage
WMI Perf Adapter
Automatic updates
WMI
App Management
Secondary Logon
Network Service
DNS Client
Local Service SSDP
WebClient
TCP/IP NetBIOS helper
Remote Registry
Windows Vista
LocalSystemNetwork restricted
Removable Storage
WMI Perf Adapter
Automatic updates
TrkWks
WMI
App Management
Secondary Logon
LocalSystemDemand started
BITS
Network Service
Restricted
DNS Client
ICS
RemoteAccess
DHCP Client
W32time
Rasman
NLA
Browser
Task scheduler
IPSEC Services
Server
Cryptographic Services
Local Service
Restricted No network access
Wireless Configuration
System Event Notification
Shell Hardware Detection
Network Connections
Rasauto
Themes
COM+ Event System
Local ServiceRestricted
Telephony
Windows Audio
TCP/IP NetBIOS helper
WebClient
Error Reporting
Event LogWorkstation
Remote Registry
SSDP
Jogosultságok, hozzáférésWindows Service Hardening
SysEvent.evtEventlog
service
Írásvédett
token
ACLEventlog:W
Jogosultságok, hozzáférésSzerviz profilozás – event log példa
A lényeg: standard felhasználónként dolgozzon mindenki a rendszerben Ha ez nem megy, akkor interakció van:
Figyelmeztetés / jogosultság bekérés / megtagadás The Application Information Service (AIS) system szerviz indítja a szintemelést
igénylő alkalmazásokat Új folyamatot indít az admin token használatával XML leíró állomány – az alkalmazás futtatásához szükséges szint
UAC inkompatibilitás Install program detektálás Virtualizáció
Jogosultságok, hozzáférésUser Account Control
Alap felhasználóAlap felhasználói jogoki jogok
„„Alap felhasználóAlap felhasználó” ” ttokenoken
Adminisztrátori tokenAdminisztrátori token
Adminisztrátori jogokAdminisztrátori jogokAdmin Admin belépésselbelépéssel
FelhasználóFelhasználó
Időzóna beállításIdőzóna beállítás
Engedélyezett Engedélyezett alkalmazásokalkalmazások
pl. MSN pl. MSN MessengerMessenger
Betűkészlet ésBetűkészlet és
nyomtató nyomtató telepítéstelepítés
„„Alap felhasználóAlap felhasználói” jogoki” jogok
FelhasználóFelhasználó
Alap felhasználóAlap felhasználói jogoki jogok
Adminisztrátori jogokAdminisztrátori jogokAlap felh.Alap felh. belépésselbelépéssel
Időzóna beállításIdőzóna beállítás
Engedélyezett Engedélyezett
alkalmazásokalkalmazások
MSN MessengerMSN Messenger
Betűkészlet ésBetűkészlet és
nyomtató telepítésnyomtató telepítésFelhasználóFelhasználó Alkalmazás telepítésAlkalmazás telepítés
Tűzfal konfigurálásTűzfal konfigurálás
IdőállításIdőállítás
Admin Admin jogokjogok
Admin Admin jogokjogok
Admin Admin jogokjogok
Alap felhasználóAlap felhasználói jogoki jogok
Adminisztrátori jogokAdminisztrátori jogokAdmin Admin belépésselbelépéssel„„Alap felhasználóAlap felhasználói” jogoki” jogok„„Alap felhasználóAlap felhasználói” jogoki” jogok
Aláírt alkalmazás
OS alkalmazás
Aláíratlan alkalmazás
Jogosultságok, hozzáférésUser Account Control
Mit tehet meg egy Standard User? Vezetéknéküli hálózat konfigurálás Energiaellátás opciók változtatása VPN kapcsolatok konfigurálása Nyomtató és egyéb eszközök hozzáadása – GP Windows Update, Windows Defender Lemez defrag, Disk CleanUp, időzóna váltás Eseménynapló (Security naplót azért nem) A pajzs ikon mutatja, hogy mit nem lehet
Jogosultságok, hozzáférésUser Account Control
LP IELP IE IEPolicyIEPolicy
FuttatFuttat??
tutiprogitutiprogi.com.com
…\TIF\tutiprogi.exe
MegbízhatóMegbízhatóoldaloldal??
IL=alacsony…\My Docs\tutiprogi.exe
IL=magas ha adminIL=egyébként közepes
AISAIS
Run withRun withfull privs?full privs?
tutiprogitutiprogi.exe.exe
\Progs\GS\progi.exeprogi.dll
IL=magas
Teljes jogTeljes jog
Jogosultságok, hozzáférésInternet Explorer 7
Miért kell Admin jog egy könyvelő proginak?Miért kell Admin jog egy könyvelő proginak?Program files virtualizációProgram files virtualizációRegistry virtualizációRegistry virtualizációLássuk inkább hogy is működik...Lássuk inkább hogy is működik...
Jogosultságok, hozzáférésVirtualizáció
demó
User Account Control
Program File és Registry virtualizáció
NapirendNapirend Biztonsági környezetBiztonsági környezet Jogosultságok, hozzáférésJogosultságok, hozzáférés
Belépés, hitelesítés, AuditBelépés, hitelesítés, Audit Felhasználói fiókokFelhasználói fiókok Windows Service HardeningWindows Service Hardening
User Account Controll demoUser Account Controll demo Program File és Registry Program File és Registry
virtualizációvirtualizáció Beágyazott proaktív védelemBeágyazott proaktív védelem
Address Space Layout Address Space Layout RandomizationRandomization
Data Execution ProtectionData Execution Protection Kernel Patch Protection (x64)Kernel Patch Protection (x64) Kernel Mode Code SigningKernel Mode Code Signing
Egy támadás anatómiájaEgy támadás anatómiája Sérülékenység - támadás Sérülékenység - támadás
időablakidőablak RPC DCOM demoRPC DCOM demo
IzolációIzoláció Windows Firewall/IPSec demoWindows Firewall/IPSec demo NAPNAP
AdatvédelemAdatvédelem RMS, EFS, BitlockerRMS, EFS, Bitlocker
Az alkalmazások / processzek kódja és függelékei véletlenszerűen kiválasztott helyekre töltödődnek be, azaz: Nem lehet kiszámítani előre, hogy mely címekre
kerülnek Megkeresni időigényes (256 variáció)
Minden újraindításkor megtörténik a kiszámítás Ha egy processzt egy másik alkalmazás is használ,
a kiszámítás újra megtörténik
Beágyazott proaktív védelemAddress Space Layout Randomization
Beágyazott proaktív védelemAddress Space Layout Randomization
1. boot után1. boot után
wsock32.dll (0x73ad0000) wsock32.dll (0x73ad0000)
winhttp.dll (0x74020000) winhttp.dll (0x74020000)
user32.dll (0x779b0000) user32.dll (0x779b0000)
kernel32.dll (0x77c10000) kernel32.dll (0x77c10000)
gdi32.dll (0x77a50000)gdi32.dll (0x77a50000)
2. boot után2. boot után
wsock32.dll (0x73200000) wsock32.dll (0x73200000)
winhttp.dll (0x73760000) winhttp.dll (0x73760000)
user32.dll (0x770f0000) user32.dll (0x770f0000)
kernel32.dll (0x77350000) kernel32.dll (0x77350000)
gdi32.dll (0x77190000)gdi32.dll (0x77190000)
Javasolt együtt használni más technológiákkalJavasolt együtt használni más technológiákkal DEP (NX) – adatfuttatás megelőzésDEP (NX) – adatfuttatás megelőzés
Szoftveres: /SafeSEH – biztonságos struktútájú kivétel Szoftveres: /SafeSEH – biztonságos struktútájú kivétel kezelés kezelés
Hardvers: NX (AMD) / XD (Intel) esetén a használt lapozó Hardvers: NX (AMD) / XD (Intel) esetén a használt lapozó tábla utolsó bitje szabályozza lehet-e (0) kódot futtani a tábla utolsó bitje szabályozza lehet-e (0) kódot futtani a hivatkozott területen vagy sem (1)hivatkozott területen vagy sem (1)
.NET felügyelt kód esetén ez nem probléma.NET felügyelt kód esetén ez nem probléma /GS: Visual C++ fordító opció verem túlcsordúlás /GS: Visual C++ fordító opció verem túlcsordúlás
detektálásdetektálás
Beágyazott proaktív védelemAddress Space Layout Randomization
Amit a KPP tiltAmit a KPP tilt Az egyes meghajtó programok nem módosíthatják a Az egyes meghajtó programok nem módosíthatják a
system service táblák function mutatóit (kernel hook)system service táblák function mutatóit (kernel hook) Interrupt descriptor table (IDT)Interrupt descriptor table (IDT) Global descriptor table (GDT)Global descriptor table (GDT)
Bármely kernel verem használatát (kivétel ha azt Bármely kernel verem használatát (kivétel ha azt maga a kernel kezdeményezte)maga a kernel kezdeményezte)
Bármilyen kernel módosítás, bővítmény, patchBármilyen kernel módosítás, bővítmény, patch
Beágyazott proaktív védelemKernel Patch Protection (KPP)
Minden kernel módban futó drivernek aláírással Minden kernel módban futó drivernek aláírással kell rendelkezniekell rendelkeznie
Csak aláírt kód tölthető a kernelbeCsak aláírt kód tölthető a kernelbeMég az adminisztrátor sem...Még az adminisztrátor sem...Kernel malware védelemKernel malware védelem...Sony DRM rootkit.... Troj/Stinx-E...Sony DRM rootkit.... Troj/Stinx-E
Mark Russinovich's technical blogMark Russinovich's technical blog http://www.microsoft.com/technet/sysinternals/default.mspx
Beágyazott proaktív védelemCode Signing and Code Integrity
NapirendNapirend Biztonsági környezetBiztonsági környezet Jogosultságok, hozzáférésJogosultságok, hozzáférés
Belépés, hitelesítés, AuditBelépés, hitelesítés, Audit Felhasználói fiókokFelhasználói fiókok Windows Service HardeningWindows Service Hardening
User Account Controll demoUser Account Controll demo Program File és Registry Program File és Registry
virtualizációvirtualizáció Beágyazott proaktív védelemBeágyazott proaktív védelem
Address Space Layout Address Space Layout RandomizationRandomization
Data Execution ProtectionData Execution Protection Kernel Patch Protection (x64)Kernel Patch Protection (x64) Kernel Mode Code SigningKernel Mode Code Signing
Egy támadás anatómiájaEgy támadás anatómiája Sérülékenység - támadás Sérülékenység - támadás
időablakidőablak RPC DCOM demoRPC DCOM demo
IzolációIzoláció Windows Firewall/IPSec demoWindows Firewall/IPSec demo NAPNAP
AdatvédelemAdatvédelem RMS, EFS, BitlockerRMS, EFS, Bitlocker
Nincs javítás Automatizált, gyorsan terjedő támadások
•Mutáns verziók
•Fertőző kódot tartalamzó web oldalak
•Spam üzenetek
•Káros csatolmányok
Néhány egyedi támadás
Sérülékenység
(0 day vulnerability)
Támadási mód (kód)
(Exploit)
Malware
(Féreg, vírus)
Fertőzés
Szűkülő időablakProaktív védelem kell, a Reaktív ideje lejárt
Microsoft RPC DCOM OverflowMicrosoft RPC DCOM OverflowSecurity Bulletin MS03-026Security Bulletin MS03-026 (Blaster) (Blaster)
BIND
Interface: ISystemActivator
000001a0-0000-0000-c000-
000000000046v0.0
REQUESTFunction Call:
Opnum 4--------------
FunctionArguments
\\server\file
Server Port 135/tcp
Interfaces Available: e1af8308-5d1f-11c9-91a4-08002b14a0fa v3.0 0b0a6584-9e0f-11cf-a3cf-00805f68cb1b v1.1 975201b0-59ca-11d0-a8d5-00a0c90d8051 v1.0 e60c73e6-88f9-11cf-9af1-0020af6e72f4 v2.0 99fcfec4-5260-101b-bbcb-00aa0021347a v0.0 b9e79e60-3d52-11ce-aaa1-00006901293f v0.2 412f241e-c12a-11ce-abff-0020af6e7a17 v0.2 00000136-0000-0000-c000-000000000046 v0.0 c6f3ee72-ce7e-11d1-b71e-00c04fc3111a v1.0 4d9f4ab8-7d1c-11cf-861e-0020af6e7c57 v0.0 000001a0-0000-0000-c000-000000000046 v0.0
Pkt 1
Pkt 2
Pkt 3
demó
RPC DCOM OverflowSecurity Bulletin MS03-026
NapirendNapirend Biztonsági környezetBiztonsági környezet Jogosultságok, hozzáférésJogosultságok, hozzáférés
Belépés, hitelesítés, AuditBelépés, hitelesítés, Audit Felhasználói fiókokFelhasználói fiókok Windows Service HardeningWindows Service Hardening
User Account Controll demoUser Account Controll demo Program File és Registry Program File és Registry
virtualizációvirtualizáció Beágyazott proaktív védelemBeágyazott proaktív védelem
Address Space Layout Address Space Layout RandomizationRandomization
Data Execution ProtectionData Execution Protection Kernel Patch Protection (x64)Kernel Patch Protection (x64) Kernel Mode Code SigningKernel Mode Code Signing
Egy támadás anatómiájaEgy támadás anatómiája Sérülékenység - támadás Sérülékenység - támadás
időablakidőablak RPC DCOM demoRPC DCOM demo
IzolációIzoláció Windows Firewall/IPSec demoWindows Firewall/IPSec demo NAPNAP
AdatvédelemAdatvédelem RMS, EFS, BitlockerRMS, EFS, Bitlocker
Windows XP SP2 Windows Vista
Irány Bejövő Mindkettő
Alapértelmezett reakció
Blokkolás Iránytól függő beállítás
Csomagtípus TCP, UDP, néhány ICMP Mind
Szabály típusok Alkalmazások, portok, ICMP típusok alapján
Összetett szabályok, sokféle feltétellel és lehetőséggel
Szabály opciók Blokkolás Blokkolás, engedélyezés, bypass
UI és eszközök Control Panel, netsh Control Panel, netsh+, MMC
Távoli elérés - RPC-n keresztül (szigorú)
Csoportházirend ADM sablon MMC, netsh
Terminológia Exceptions; profiles Rules; categories=profiles
KomponensekWindows Firewall
Kezelés / felület változások Control Panel: majdnem
mint az XP-ben Új MMC felület számos
extrával: „WF with Advanced Security”
Távoli elérés MMC-vel Előredefiniált szabályok netsh advfirewall
KomponensekWindows Firewall
KomponensekWindows FirewallKategóriák
A hálózati profil az első kapcsolódáskor készül el Interfész, DC, hitelesíthető gép, átjáró MAC címe, stb.
Az NLA szerviz detektálja a hálózati változásokat Változás esetén rövid idő alatt vált kategóriát (<200 ms) Ha nem tartományban van, akkor felhasználói interakció kell
Domain Ha a gép tagja a tartománynak (akár csatlakozik éppen, akár nem); teljesen automatikus választás
Private Tartományi tagság nélkül, definiált privát hálózat esetén
Public Minden más hálózat, pl. nyilvános helyek
Szabályok újdonságai Forrás és cél IP címek
Speciális kiszolgálók címei
Protokoll típusok Több új + IPv6 kompatibilis
AD felhasználó/gép/csoport fiókok Titkosítás esetén kötelező
Interfész típusa vezetékes, vezetéknélküli, VPN / RAS
Szervizek Előre- és eltérő körülményekre legyártott szabályok
KomponensekWindows Firewall
A malwareA malware
lefutlefut
A felhasználóA felhasználó
local admin?local admin?
IgenIgenIgenIgen
NNememNNemem
„Ajtó, ablak...” 0wn3d
A mA malwarealware
letiltja a tűzfalatletiltja a tűzfalat
A mA malwarealware
próbálkozikpróbálkozik
Érted Érted ??
A tűzfalA tűzfal
figyelmeztet!figyelmeztet!
IgenIgenIgenIgen
NNememNNemem Van
ily
en
is c
sak
Van
ily
en
is c
sak
kevés..
.kevés..
.V
an
ily
en
is c
sak
Van
ily
en
is c
sak
kevés..
.kevés..
.
A felhasználóA felhasználó
engedélyeziengedélyezi
Hagyományos tűzfal
Tűzfallal integrált, egyszerűsített IPSec Globális beállítások Connection Security Rules
Izoláció, hitelesítés mentesítés, server-to-server, tunnel
Új algoritmusok Titkosítás: AES-128/192/256 Kulcscsere: ECDH-P 256/384
KomponensekIPSec
KomponensekIPSec alapú domain és végpont izoláció
Kliens <> DC IPSec Immár támogatott Szimultán kapcsolatok Nem gond a
tartományba léptetés (NTLMv2)
Hálózattípusok szerint is
Csak Vista és LH Server esetén
KomponensekIPSec
Teljesen új technológiaHasonlít a VPN karanténhoz, de annál több:
Az összes hálózati kliensre érvényes DHCP, Remote Access ügyfelek IPSec, TS ügyfelek EAP ügyfelek (WLAN)
Az LH Server lesz az első NAP kiszolgáló kliensek: Vista, LH Server és Windows XP SP2!
KomponensekNAP
Házirendet készítünk, amely alapja lehet: OS frissítések, szignatúra frissítések alkalmazások megléte / hiánya más egyéb tuladonságok ellenőrzése
Ha a feltételek nem találkoznak az elvárásokkal A NAP szerver megtagadja a belépést, de: Egyúttal hozzáférést adhat pl. a frissítések
lelőhelyéhez (WSUS, SMS szerver)
KomponensekNAP
Nem felelt meg
1
Zárolt hálózat
A kliens hozzáférést kér a jelenlegi állapota alapján1
4Ha nem felel meg, a kliens egy zárolt VLAN-ba kerül, és csak frissítések, szignatúrák, stb. letöltéséhez a kap hozzáférést (ha kell, ismételve az 1-4. lépést)
2 A DHCP, VPN, switch/router továbbítja a kérést a Microsoft Network Policy kiszolgálónak (RADIUS)
Microsoft Network Policy
Server
3
Policy ServersPatch, AV
MegfeleltDHCP, VPNSwitch/Router
3A Network Policy Server összehasonlítja az általunk definiált házirenddel a kliens állapotát
2
Vista kliens
WSUS, SMS stb.
Vállalati hálózat5
4
Ha megfelel, teljes hozzáférést kap a belső hálózathoz5
KomponensekNAP
demó
Windows Firewall
Adatvédelem a fájltól a lemezigAdatvédelem a fájltól a lemezigHázirend definició és
betartatás
Rights Management Services (RMS)
Felhasználó szintű fájl titkosítás
Encrypting File System (EFS)
Hardveres lemez titkosítás
Bitlocker Drive Encryption
Mit mire használjunk?Mit mire használjunk?TerületTerület RMSRMS EFSEFS BitLockeBitLocke
rr
Nem bízunk a rendszergazdában
Tranzitban lévő dokumentumok védelme
Dokumentumok házirend alapú védelme
Csoportmunka során használt dokumentumok védelme
Távoli fájl- és mappa védelme
Megosztott gépek mappa szintű védelme
Elveszett notebook-ok adatainak védelme
Egyéni (otthoni) fájl- és mappa védelem
Gyengébben védhető fiók kiszolgáló
VégszóVégszó A rabló pandúr harc A rabló pandúr harc
folytatódikfolytatódik A megelőzés az egyik A megelőzés az egyik
legjobb védelem legjobb védelem (AAA)(AAA)
A biztonság több A biztonság több megoldás együttes megoldás együttes eredményeeredménye
További jó hírek …További jó hírek …“Suspected Worm Creators Arrested - Hunt for Zotob Authors Leads To Turkey, Morocco” - The Washington Post, 27 Aug 2005
“Zotob Arrest Breaks Credit Card Fraud Ring …..Turkish officials have identified 16 more suspects this week in a continuing crackdown…..- eWeek.com, 30 Aug 2005
“Despite arrest, new variant of Sasser worm appears …..'an organized group of delinquents' is behind the worm - IDG News Service, 9 May 2004
“Teen admits creating Sasser worm” – CNN.com, 6 Jul 2005
“Teenager arrested in 'Blaster' Internet attack”
Neighbor: 'I cannot believe he was doing any hacking’
– CNN.com, 30 Aug 2003
Sven Jaschan, Germany
Jeffrey Lee Parson, Minneapolis, USA
Atilla Ekici, Turkey
További információ
Web Magyar TechNet Portál (benne a Vista modullal)
http://www.microsoft.hu/technet Vista a TechNet-en
http://www.microsoft.com/technet/windowsvista TechNet Security Center
http://www.microsoft.com/technet/security
RSS Windows Vista Security blog
http://blogs.msdn.com/windowsvistasecurity Windows Vista Team blog
http://blogs.technet.com/windowsvista