IT-Symposium 2007 17.04.2007
1
www.it-symposium2007.de© 2007 Microsoft Corporation. All rights reserved.This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
Windows Vista Sicherheit
Daniel MelanchthonTechnical EvangelistMicrosoft Deutschland GmbH
http://blogs.technet.com/dmelanchthon
Windows Vista Security im Überblick
User Account Control
Plug & Play Smartcards
Detailliertes Auditing
Security and Compliance
BitLocker™Drive Encryption
EFS Smartcards
RMS Client
Security Development Lifecycle (SDL)
Threat Modeling und Code Reviews
Härtung der Windows Dienste
Internet Explorer 7Protected Mode
Windows Defender
Network Access Protection
Grundlagen
Identitäts und Zugriffskontrolle
Bedrohungen
Schutz vonInformationen
IT-Symposium 2007 17.04.2007
2
www.it-symposium2007.de© 2007 Microsoft Corporation. All rights reserved.This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
GRUNDLAGEN
Der Sicherheits-Entwicklungszyklus
Microsoft ProductDevelopment Lifecycle
Microsoft SecurityDevelopment Lifecycle
IT-Symposium 2007 17.04.2007
3
www.it-symposium2007.de© 2007 Microsoft Corporation. All rights reserved.This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
Windows Dienste
Kernel-mode TreiberD
D
D D
IT-Symposium 2007 17.04.2007
4
www.it-symposium2007.de© 2007 Microsoft Corporation. All rights reserved.This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
D DD
Härtung der Windows Dienste
• Reduktion der Schichten mit hohem Risiko
• Segmentierung der Dienste
• Erweiterung der Schichten
Kernel-mode TreiberD
D User-mode Treiber
D
D D
Service 1
Service 2
Service 3
Service…
Service …
Service A
Service B
Härtung der Dienste
Härtung der Windows Dienste
• Dienste arbeiten mit verringerten Berechtigungen
• Windows-Dienste sind für erlaubte Aktionen im Netz, am Dateisystem und an der Registry profiliert
• Verhinderung von Einrbuchsversuchendurch Schadsoftware, über Windows Dienste
ActiveProtection
Dateisystem
Registry
Netzwerk
IT-Symposium 2007 17.04.2007
5
www.it-symposium2007.de© 2007 Microsoft Corporation. All rights reserved.This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
Vergleich: Windows XP SP2 und Windows Vista
Windows XP SP2
LocalSystem Wireless Configuration
System Event Notification
Network Connections (netman)
COM+ Event System
NLA
Rasauto
Shell Hardware Detection
Themes
Telephony
Windows Audio
Error Reporting
Workstation
ICS
RemoteAccess
DHCP Client
W32time
Rasman
browser
6to4
Help and support
Task scheduler
TrkWks
Cryptographic Services
Removable Storage
WMI Perf Adapter
Automatic updates
WMI
App Management
Secondary Logon
BITS
NetworkService
DNS Client
Local Service SSDPWebClientTCP/IP NetBIOS helperRemote registry
Windows Vista
LocalSystemFirewall Restricted
WMI Perf Adapter
Automatic updates
Secondary Logon
App Management
Wireless Configuration
LocalSystem BITS
Themes
Rasman
TrkWks
Error Reporting
6to4
Task scheduler
RemoteAccess
Rasauto
WMI
Network Service
Fully Restricted
DNS Client
ICS
DHCP Client
browser
Server
W32time
Network ServiceNetwork Restricted
Cryptographic Services
Telephony
PolicyAgent
Nlasvc
Local ServiceNo Network Access
System Event Notification
Network Connections
Shell Hardware Detection
COM+ Event System
Local ServiceFully Restricted
Windows Audio
TCP/IP NetBIOS helper
WebClient
SSDP
Event Log
Workstation
Remote registry
BEDROHUNGEN UND SCHWACHSTELLEN VERRINGERN
IT-Symposium 2007 17.04.2007
6
www.it-symposium2007.de© 2007 Microsoft Corporation. All rights reserved.This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
Schutz vor “Social Engineering“
Phishing Filter und Farbdarstellung in der Adressleiste
Warnungen vor unsicheren Einstellungen
Sichere Standardeinstellungen für IDN
Schutz vor Exploits
Unified URL Parsing
Optimierung der Qualität des Programmcodes (SDL)
ActiveX Opt-in
Protected Mode zum Schutz vor Schadsoftware
Internet Explorer 7
ActiveX Opt-in und Protected Mode
• ActiveX Opt-in gibt Anwenderndie Kontrolle über Controls
Verringert die Angriffsoberfläche
Ungenutzte Controls werden deaktiviert
Erhält Vorteile von ActiveX und verbessert die Sicherheit
• Protected Mode reduziert die potentielle Auswirkung von Bedrohungen
IE-Prozess ist „sandboxed“, um dasBetriebssystem zu schützen
Verhindert die „stille“ Installationvon Schadsoftware
Erhöht die Sicherheit bei Beibehaltung der Kompatibilität
ActiveX Opt-in
EnabledControls
Windows
DisabledControls
User
Action
Protected Mode
User
Action
IECache My Computer (C:)
BrokerProcess
Low Rights
IT-Symposium 2007 17.04.2007
7
www.it-symposium2007.de© 2007 Microsoft Corporation. All rights reserved.This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
Windows Defender
• Verbesserte Erkennung und Entfernung
• Optimiertes und vereinfachtesUser Interface
• Schutz für alle Arten von Benutzern
Windows Geräteinstallation
Geräte Treiber
Geräte Treiber
• Geräte Identifikationstrings
• Geräte Setupklassen
IT-Symposium 2007 17.04.2007
8
www.it-symposium2007.de© 2007 Microsoft Corporation. All rights reserved.This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
Windows Vista Firewall
• Kombinierte Verwaltung von Firewall und IPsec
Neues Verwaltungswerkzeug „Windows Firewall mit erweiterter Sicherheit “
Verringert Konflikte und den Aufwand für die Koordination zwischen beiden Technologien
• Firewall-Regeln werden intelligenter
Definieren Sicherheitsanforderungen wie Authentifizierung oder Verschlüsselung
Integration in Active Directory
• Filterung des ausgehenden Datenverkehrs
Konzipiert für den Einsatz in Unternehmensnetzwerken
• Vereinfachte Richtlinien für den Schutz des Systems
Filter Richtungen
Inbound Outbound
Default:Block mostFew core exceptions
Allow rules :Programs, servicesUsers, computersProtocols, ports
Default:Allow all interactiveRestrict services
Block rules :Programs, servicesUsers, computersProtocols, ports
IT-Symposium 2007 17.04.2007
9
www.it-symposium2007.de© 2007 Microsoft Corporation. All rights reserved.This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
Vergleich der Funktionen
Windows XP SP2 Windows Vista
Richtung Eingehend Ein- und ausgehend
Standardverhalten Blockieren Konfigurierbar pro Richtung
Packettypen TCP, UDP, einige ICMP TCP, UDP und ICMP komplett
Regeltypen Anwendungen, global Ports, ICMP Typen
Unterschiedliche Bedingungenvon 5-Tupel (Basis) bis IPsecMetadata
Regelaktionen Blockieren Blockieren, Erlauben, Bypass; mit Rule Merge Logik
UI und Tools Systemsteuerung, netsh Systemsteuerung, netsh, MMC
APIs Public COM, private C Mehr COM für Zugriff auf Regeln, mehr C für Features
Remote management
none Über gehärteteRPC-Schnittstelle
Gruppenrichtlinien ADM Vorlage MMC, netsh
Eine Firewall Regel…
DO Action = {By-pass | Allow | Block} IF:
Protocol = X AND
Direction = {In | Out} AND
Local TCP/UDP port is in {Port list} AND
Remote TCP/UDP port is in {Port list} AND
ICMP type code is in {ICMP type-code list} AND
Interface NIC is in {Interface ID list} AND
Interface type is in {Interface types list} AND
Local address is found in {Address list} AND
Remote address is found in {Address list} AND
Application = <Path> AND
Service SID = <Service Short Name> AND
Require authentication = {TRUE | FALSE} AND
Require encryption = {TRUE | FALSE} AND
Remote user has access in {SDDL} AND
Remote computer has access in {SDDL} AND
OS version is in {Platform List}
IT-Symposium 2007 17.04.2007
10
www.it-symposium2007.de© 2007 Microsoft Corporation. All rights reserved.This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
Netzwerk Profile
Domänen Wenn der Computer Domänenmitglied ist und mit der Domäne verbunden ist: Automatisch ausgewählt
Privates Wenn der Computer zu einem definierten privaten Netzwerk verbunden ist
Öffentliches Alle anderen Netzwerke
• Ermittelt Netzwerkänderungen
Identifiziert Charakteristik
Zuweisung einer GUID
• Netzwerk Profil Service erstellt ein Profil bei der Verbindung
Schnittstellen, Domäne erreichbar, Authentifizierte Maschine, Standardgateway, MAC-Adresse
• NPS benachrichtigt die Firewall bei jeder Änderung
Firewall ändert die Kategorie innerhalb von 200ms
• Wenn nicht in einer Domäne, entscheidet der Anwender, ob öffentlich oder privat
Lokale Admin-Rechte für privates Netzwerk notwendig
Mehrere Netzwerkinterfaces?
Analyse allerverbundenen Netze
Schnittstelle mitöffentlichen Netzwerk
verbunden?
Öffentliches Profil aktiv
Schnittstelle mitprivaten Netzwerk
verbunden?
Privates Profilaktiv
Alle Schnittstellenam Domainco ntroller
authentisierbar?
Domänenprofil aktiv
Ja
Nein Ja
Nein
Ja
Nein
IT-Symposium 2007 17.04.2007
11
www.it-symposium2007.de© 2007 Microsoft Corporation. All rights reserved.This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
IDENTITÄTS- UND ZUGRIFFSKONTROLLE
Verarbeitung von Gruppenrichtlininen
In der Vergangenheit
• Computerrichtlinien beim Bootvorgang
• Benutzerrichtlininen bei der Anmeldung
• Periodische Aktualisierung
Zusätzlich mit Windows Vista
• Computer und Benutzer: Bei Verfügbarkeit eines Domain Controllers (z.B. durch Aufbau einer VPN Verbindung)
• Computer und Benutzer: Wenn der Computer aus dem Ruhezustand oder Schlafmodus zurückkehrt
IT-Symposium 2007 17.04.2007
12
www.it-symposium2007.de© 2007 Microsoft Corporation. All rights reserved.This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
Optimierung der Authentifizierung
Plug & Play Smart Cards
• Treiber und Certificate Service Provider (CSP) sind Bestandteil von Windows Vista
• Login und Eingabeaufforderung für die Benutzerkontensteuerung unterstützen Smart Cards
Neue Logon-Architektur
• GINA (das bisherige Windows-Logon) wird abgelöst
• Dritthersteller können Biometrie, one-time Password Tokens und andere Authentifizierungsmethoden mit geringerem Aufwand implementieren
Herausforderungen
Nicht verwaltete Desktops
• Viren und Spyware können das Betriebssystem kompromittieren, wenn der Zugang mit einem privilegiertem Account erfolgt
• Anwender mit Admin-Rechten in Organisationen können das gesamte Netzwerk gefährden
• Anwender können Änderungen durchführen, die ein erneutes Aufsetzen des PCs erforderlich machen
Anwendungen erfordern Admin-Rechte
• Systemsicherheit muss verringert werden, bis Anwendung funktioniert
• Administratoren müssen Anwendungen wegen unterschiedlicher Einstellungen für jedes Betriebssystem erneut evaluieren
Alltägliche Konfigurationsänderungen erfordern Admin-Rechte
• Verteilung und Installation von Anwendungen
• Simple Szenarien (wie das Ändern der Systemzeit) funktionieren nicht
• Anwender können nicht-sensitive Konteninformationen nicht selber ändern
IT-Symposium 2007 17.04.2007
13
www.it-symposium2007.de© 2007 Microsoft Corporation. All rights reserved.This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
Benutzerkontensteuerung
• Besser verwaltbare Businessdesktops und Steuerung des Zugangs für private Anwender
• Systembetrieb als Standardanwender:
• Deutliche Signalisierung, wann eine Rechteänderung erforderlich ist
• Rechteänderung ohne Neuanmeldung
• Administratoren nutzen Admin-Rechte nur für administrative Aufgaben oder Anwendungen
• Anwender erteilen explizite Zustimmung, bevor mit priviligierten Rechten weitergearbeitet wird
Rechteerhöhung
Administrative Berechtigungen
Standardbenutzer Berechtigungen
AdministratorKonto
Standard Benutzer Konto
Wege zur Anforderung einerRechteerhöhung
AnwendungsmarkierungSetuperkennung
Kompatibilitätsfix (shim)Kompatibilitätsassistent
Als Administrator ausführen
IT-Symposium 2007 17.04.2007
14
www.it-symposium2007.de© 2007 Microsoft Corporation. All rights reserved.This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
GERÄTEINSTALLATIONUSER ACCOUNT CONTROLWINDOWS FIREWALL
http://blogs.technet.com/dmelanchthon
Q&A
IT-Symposium 2007 17.04.2007
15
www.it-symposium2007.de© 2007 Microsoft Corporation. All rights reserved.This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
© 2006 Microsoft Corporation. All rights reserved.This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.