Operációs rendszer biztonság

Informatika Tisztán sorozat – 2010http://technetklub.hu/informatikatisztan

Milánovics KrisztiánRendszermérnökkrisz@itnetworks.hu

Áttekintés

Megelőző védelemKernel Patch Protection, DEP, ASLR, Service Hardening

EszközökUser Account Control

Action Center, Windows Defender

BitLocker

AppLocker

Windows Firewall / with Advanced Security

Internet Explorer biztonság

Megelőző védelem

Megelőző védelemKernel Patch Protection

Patchguard2005 óta a Windows XP 64 bites verziójában

64-bites feature

A “nem támogatott” kernel módosítások ellenTechnikailag lehetséges x86-on

Pl.: anti-spyware

Legegyszerűbben driverek segítségével

Periódikus ellenőrzés0x00000109: CRITICAL_STRUCTURE_CORRUPTION

Megelőző védelemDEP

Data Execution PreventionXP SP2 óta

Puffertúlcsordulás ellenNem futtatható memóriaterületről ne tudjon adatot futtatni

Hardveres támogatás (CPU NX bit)Megjelöl memóriaterületeket kizárólag adatok tárolására

Ezt már a processzor nem futtathatóként értelmezi

Megelőző védelemAddress Space Layout Randomization

Return-to-libc támadás ellenA támadónak tudnia kell az exploit során meghívott függvény vagy folyamat helyét a memóriában

Ez korábban könnyen tudható volt

Az ASLR éppen ez ellen védekezik

A dll/exe 256 féle helyre töltődhet be1:256-hoz az esély

Nem lehetetlen, de nehezebb

Folyamat Előtte Utána

wsock32.dll

0x73ad0000

0x73200000

winhttp.dll 0x74020000

0x73760000

user32.dll 0x779b0000

0x770f0000

kernel32.dll

0x77c10000

0x77350000

gdi32.dll 0x77a50000

0x77190000

Megelőző védelemService Hardening

Szolgáltatások: nincs GUI, hosszútávon fut, magas jogkör

A Vista óta egyedi azonosítót kapnakS-1-5-80-[a szolgáltatás nevének SHA1 hash-e]

Abnormális tevékenységek megelőzése:Pld.: az RPC nem módosíthatja a registry-t

Kevesebb joggal bíró service accountok használataLocalSystem LocalService vagy NetworkService

SID-hez linkelt hálózatelérési szabályok

User Account Control

User Account ControlÁttekintés

Feladatai:A feleslegesen magas jogosultsági szint használatának korlátozása

Adott esetben az emelt jogosultsági szint elfogadása és az alkalmazás ismételt futtatása

VirtualizációFile

Registry

User Account ControlSplit Token

Administrator logon: RID tábla vizsgálat Full token

Szűrt token

Explorer.exe

Explorer.exe

Szűrt token

Split access token:darabolás és raktározás

User logon:RID tábla vizsgálat

User Account ControlVirtualizáció

Fájlvirtualizáció:%SystemRoot%, %windir%, %ProgramFiles%, %ProgramData%

Ezek helyett:C:\users\%username%\Appdata\Local\VirtualStore\

Feladatkezelőből is engedélyezhető

Registry-virtualizáció:HKLM\Software\

HKey_Users\<SID>_Classes\VirtualStore

User Account ControlUAC a Windows 7-ben

Személyreszabhatóbb viselkedés

A legtöbb Windows komponens frissültNincs több “fölösleges” UAC prompt

Az alapértelmezett értesítési szint csökkentVista esetében minden rendszerbeállítás esetén

Windows 7 már csak a külső alkalmazások miatt szól

Természetesen visszaállítható a Vista szint

UAC házirend és virtualizáció

demo

WICWindows Integrity Control

Minden processz, szál és objektum rendelkezik egy WIC értékkel

A szintek közötti viszony jól definiált

Anony-mus

All other

tokens

World (Everyon

e)

Standard User tokens

Authenticated users

Local Service

Network Service

Elevated user tokens

Local System

System

0100200300400500

Windows Action Center\*Security Center*\

Windows XP SP2 óta

Átlátható, informatívIntegrálódótt az Action Centerbe

Biztonság és karbantartás

Saját WMI providerMás gyártók termékeit is támogatja

Windows Defender

Vista óta része a rendszernek

Alapvető anti-spywareWindows Update-tel frissül

Valós idejű védelem

Internet Explorer integráció

Vírusok ellen nem védMicrosoft Security Essentials

BitLocker

TitkosításBitLocker

Teljes kötettitkosításOS, fix- és hordozható lemezek

A lemez adatainak szabad olvasása ellenKözvetett védelem EFS-nek isKötelező plusz partició

Drasztikusan kisebb, automatikusan létrejön

Új, elegánsabb recovery lehetőségDRA alkalmazása

Enterprise, Ultimate

TPM chip

Pendrive

TPM + PIN

TPM + USB

Az OS kötet védelmi lehetőségeiKö

nnyű

has

znál

ható

ság

Biztonság

XXXXX

XXXXX

Fix-, és hordozható lemezek

Jelszó

Automatikus-feloldás

Smart kártya

Könn

yű h

aszn

álha

tósá

g

Biztonság

XXXXX

BitLocker a gyakorlatban

demo

AppLocker

Alkalmazások futtatásának korlátozásaAppLockerAlkalmazások használatának korlátozása:

exe, msi, vbs, bat, dll, ps1….

Csoportházirend alapú felügyelet

Software Restriction Policy helyett

File attribútum alapján is (nem kizárólag tanusítvány)

Enforce / Audit mode

Alkalmazások futtatásának korlátozásaAppLocker szabálytípusokExecutable Rules

*.exe, *.com

Windows Installer Rules*.msi, *.msp

Script Rules*.ps1, *.bat, *.cmd, *.vbs, *.js

DLL Rules*.dll, *.ocx

PublisherPathFile Hash

AppLockerKonfiguráció

Amit nem engedélyezek, azt tiltom

SzabálylétrehozásManuális

Automatikus (kritérium alapján)

“Default Rules”

Application Identity ServiceAutomatic

AppLocker szabályok létrehozása

demo

Windows Firewall with Advanced Security

Windows Firewall ésWindows Firewall with Advanced Security

Áttekintés

Host-based

Kétirányú forgalomszűrés

Külön profilok

Domain, privát, nyilvános

Összetett szabályok

Minden csomagtípus

TCP, UDP, ICMP…

IPsec integráció

Windows Firewall with Advanced SecurityManagement és kiértékelési sorrendWindows Service

Hardening

Connection Security Rules

Authenticated Bypass Rules

Block Rules

Allow Rules

Default Rules

Kezelés

Vezérlőpult

MMC modulTűzfal és

IPsec egyben

Csoportházirend

netsh advfirewall

Előre definiált szabályok

Tűzfalszabályok létrehozása

demo

Internet Explorer 8Biztonság

Protected modeWIC 100-as szinten fut (World)

A bővítmények is

Csak a Temporary Internet Files\Low-ba írhat

Alapértelmezésként:Internet

Restricted Sites

Internet Explorer 8Biztonság

Social EngineeringDomain highlight

SmartScreen FilterAdathalászat elleni védelem

PrivacyInPrivate Browsing

“nyom nélküli” böngészés

InPrivate FilteringInformációgyűjtés megakadályozása