33
Operációs rendszer biztonság Informatika Tisztán sorozat – 2010 http://technetklub.hu/informatikatisztan Milánovics Krisztián Rendszermérnök [email protected]
Operációs rendszer biztonság
Informatika Tisztán sorozat – 2010http://technetklub.hu/informatikatisztan
Milánovics KrisztiánRendszermérnö[email protected]
Áttekintés
Megelőző védelemKernel Patch Protection, DEP, ASLR, Service Hardening
EszközökUser Account Control
Action Center, Windows Defender
BitLocker
AppLocker
Windows Firewall / with Advanced Security
Internet Explorer biztonság
Megelőző védelem
Megelőző védelemKernel Patch Protection
Patchguard2005 óta a Windows XP 64 bites verziójában
64-bites feature
A “nem támogatott” kernel módosítások ellenTechnikailag lehetséges x86-on
Pl.: anti-spyware
Legegyszerűbben driverek segítségével
Periódikus ellenőrzés0x00000109: CRITICAL_STRUCTURE_CORRUPTION
Megelőző védelemDEP
Data Execution PreventionXP SP2 óta
Puffertúlcsordulás ellenNem futtatható memóriaterületről ne tudjon adatot futtatni
Hardveres támogatás (CPU NX bit)Megjelöl memóriaterületeket kizárólag adatok tárolására
Ezt már a processzor nem futtathatóként értelmezi
Megelőző védelemAddress Space Layout Randomization
Return-to-libc támadás ellenA támadónak tudnia kell az exploit során meghívott függvény vagy folyamat helyét a memóriában
Ez korábban könnyen tudható volt
Az ASLR éppen ez ellen védekezik
A dll/exe 256 féle helyre töltődhet be1:256-hoz az esély
Nem lehetetlen, de nehezebb
Folyamat Előtte Utána
wsock32.dll
0x73ad0000
0x73200000
winhttp.dll 0x74020000
0x73760000
user32.dll 0x779b0000
0x770f0000
kernel32.dll
0x77c10000
0x77350000
gdi32.dll 0x77a50000
0x77190000
Megelőző védelemService Hardening
Szolgáltatások: nincs GUI, hosszútávon fut, magas jogkör
A Vista óta egyedi azonosítót kapnakS-1-5-80-[a szolgáltatás nevének SHA1 hash-e]
Abnormális tevékenységek megelőzése:Pld.: az RPC nem módosíthatja a registry-t
Kevesebb joggal bíró service accountok használataLocalSystem LocalService vagy NetworkService
SID-hez linkelt hálózatelérési szabályok
User Account Control
User Account ControlÁttekintés
Feladatai:A feleslegesen magas jogosultsági szint használatának korlátozása
Adott esetben az emelt jogosultsági szint elfogadása és az alkalmazás ismételt futtatása
VirtualizációFile
Registry
User Account ControlSplit Token
Administrator logon: RID tábla vizsgálat Full token
Szűrt token
Explorer.exe
Explorer.exe
Szűrt token
Split access token:darabolás és raktározás
User logon:RID tábla vizsgálat
User Account ControlVirtualizáció
Fájlvirtualizáció:%SystemRoot%, %windir%, %ProgramFiles%, %ProgramData%
Ezek helyett:C:\users\%username%\Appdata\Local\VirtualStore\
Feladatkezelőből is engedélyezhető
Registry-virtualizáció:HKLM\Software\
HKey_Users\<SID>_Classes\VirtualStore
User Account ControlUAC a Windows 7-ben
Személyreszabhatóbb viselkedés
A legtöbb Windows komponens frissültNincs több “fölösleges” UAC prompt
Az alapértelmezett értesítési szint csökkentVista esetében minden rendszerbeállítás esetén
Windows 7 már csak a külső alkalmazások miatt szól
Természetesen visszaállítható a Vista szint
UAC házirend és virtualizáció
demo
WICWindows Integrity Control
Minden processz, szál és objektum rendelkezik egy WIC értékkel
A szintek közötti viszony jól definiált
Anony-mus
All other
tokens
World (Everyon
e)
Standard User tokens
Authenticated users
Local Service
Network Service
Elevated user tokens
Local System
System
0100200300400500
Windows Action Center\*Security Center*\
Windows XP SP2 óta
Átlátható, informatívIntegrálódótt az Action Centerbe
Biztonság és karbantartás
Saját WMI providerMás gyártók termékeit is támogatja
Windows Defender
Vista óta része a rendszernek
Alapvető anti-spywareWindows Update-tel frissül
Valós idejű védelem
Internet Explorer integráció
Vírusok ellen nem védMicrosoft Security Essentials
BitLocker
TitkosításBitLocker
Teljes kötettitkosításOS, fix- és hordozható lemezek
A lemez adatainak szabad olvasása ellenKözvetett védelem EFS-nek isKötelező plusz partició
Drasztikusan kisebb, automatikusan létrejön
Új, elegánsabb recovery lehetőségDRA alkalmazása
Enterprise, Ultimate
TPM chip
Pendrive
TPM + PIN
TPM + USB
Az OS kötet védelmi lehetőségeiKö
nnyű
has
znál
ható
ság
Biztonság
XXXXX
XXXXX
Fix-, és hordozható lemezek
Jelszó
Automatikus-feloldás
Smart kártya
Könn
yű h
aszn
álha
tósá
g
Biztonság
XXXXX
BitLocker a gyakorlatban
demo
AppLocker
Alkalmazások futtatásának korlátozásaAppLockerAlkalmazások használatának korlátozása:
exe, msi, vbs, bat, dll, ps1….
Csoportházirend alapú felügyelet
Software Restriction Policy helyett
File attribútum alapján is (nem kizárólag tanusítvány)
Enforce / Audit mode
Alkalmazások futtatásának korlátozásaAppLocker szabálytípusokExecutable Rules
*.exe, *.com
Windows Installer Rules*.msi, *.msp
Script Rules*.ps1, *.bat, *.cmd, *.vbs, *.js
DLL Rules*.dll, *.ocx
PublisherPathFile Hash
AppLockerKonfiguráció
Amit nem engedélyezek, azt tiltom
SzabálylétrehozásManuális
Automatikus (kritérium alapján)
“Default Rules”
Application Identity ServiceAutomatic
AppLocker szabályok létrehozása
demo
Windows Firewall with Advanced Security
Windows Firewall ésWindows Firewall with Advanced Security
Áttekintés
Host-based
Kétirányú forgalomszűrés
Külön profilok
Domain, privát, nyilvános
Összetett szabályok
Minden csomagtípus
TCP, UDP, ICMP…
IPsec integráció
Windows Firewall with Advanced SecurityManagement és kiértékelési sorrendWindows Service
Hardening
Connection Security Rules
Authenticated Bypass Rules
Block Rules
Allow Rules
Default Rules
Kezelés
Vezérlőpult
MMC modulTűzfal és
IPsec egyben
Csoportházirend
netsh advfirewall
Előre definiált szabályok
Tűzfalszabályok létrehozása
demo
Internet Explorer 8Biztonság
Protected modeWIC 100-as szinten fut (World)
A bővítmények is
Csak a Temporary Internet Files\Low-ba írhat
Alapértelmezésként:Internet
Restricted Sites
Internet Explorer 8Biztonság
Social EngineeringDomain highlight
SmartScreen FilterAdathalászat elleni védelem
PrivacyInPrivate Browsing
“nyom nélküli” böngészés
InPrivate FilteringInformációgyűjtés megakadályozása
