Windows Vista Sicherheit · This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. GRUNDLAGEN Der Sicherheits-Entwicklungszyklus

IT-Symposium 2007 17.04.2007

1

www.it-symposium2007.de© 2007 Microsoft Corporation. All rights reserved.This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Windows Vista Sicherheit

Daniel MelanchthonTechnical EvangelistMicrosoft Deutschland GmbH

http://blogs.technet.com/dmelanchthon

Windows Vista Security im Überblick

User Account Control

Plug & Play Smartcards

Detailliertes Auditing

Security and Compliance

BitLocker™Drive Encryption

EFS Smartcards

RMS Client

Security Development Lifecycle (SDL)

Threat Modeling und Code Reviews

Härtung der Windows Dienste

Internet Explorer 7Protected Mode

Windows Defender

Network Access Protection

Grundlagen

Identitäts und Zugriffskontrolle

Bedrohungen

Schutz vonInformationen

IT-Symposium 2007 17.04.2007

2


GRUNDLAGEN

Der Sicherheits-Entwicklungszyklus

Microsoft ProductDevelopment Lifecycle

Microsoft SecurityDevelopment Lifecycle

IT-Symposium 2007 17.04.2007

3


Windows Dienste

Kernel-mode TreiberD

D

D D

IT-Symposium 2007 17.04.2007

4


D DD


• Reduktion der Schichten mit hohem Risiko

• Segmentierung der Dienste

• Erweiterung der Schichten

Kernel-mode TreiberD

D User-mode Treiber

D

D D

Service 1

Service 2

Service 3

Service…

Service …

Service A

Service B

Härtung der Dienste


• Dienste arbeiten mit verringerten Berechtigungen

• Windows-Dienste sind für erlaubte Aktionen im Netz, am Dateisystem und an der Registry profiliert

• Verhinderung von Einrbuchsversuchendurch Schadsoftware, über Windows Dienste

ActiveProtection

Dateisystem

Registry

Netzwerk

IT-Symposium 2007 17.04.2007

5


Vergleich: Windows XP SP2 und Windows Vista

Windows XP SP2

LocalSystem Wireless Configuration

System Event Notification

Network Connections (netman)

COM+ Event System

NLA

Rasauto

Shell Hardware Detection

Themes

Telephony

Windows Audio

Error Reporting

Workstation

ICS

RemoteAccess

DHCP Client

W32time

Rasman

browser

6to4

Help and support

Task scheduler

TrkWks

Cryptographic Services

Removable Storage

WMI Perf Adapter

Automatic updates

WMI

App Management

Secondary Logon

BITS

NetworkService

DNS Client

Local Service SSDPWebClientTCP/IP NetBIOS helperRemote registry

Windows Vista

LocalSystemFirewall Restricted

WMI Perf Adapter

Automatic updates

Secondary Logon

App Management

Wireless Configuration

LocalSystem BITS

Themes

Rasman

TrkWks

Error Reporting

6to4

Task scheduler

RemoteAccess

Rasauto

WMI

Network Service

Fully Restricted

DNS Client

ICS

DHCP Client

browser

Server

W32time

Network ServiceNetwork Restricted

Cryptographic Services

Telephony

PolicyAgent

Nlasvc

Local ServiceNo Network Access

System Event Notification

Network Connections

Shell Hardware Detection

COM+ Event System

Local ServiceFully Restricted

Windows Audio

TCP/IP NetBIOS helper

WebClient

SSDP

Event Log

Workstation

Remote registry

BEDROHUNGEN UND SCHWACHSTELLEN VERRINGERN

IT-Symposium 2007 17.04.2007

6


Schutz vor “Social Engineering“

Phishing Filter und Farbdarstellung in der Adressleiste

Warnungen vor unsicheren Einstellungen

Sichere Standardeinstellungen für IDN

Schutz vor Exploits

Unified URL Parsing

Optimierung der Qualität des Programmcodes (SDL)

ActiveX Opt-in

Protected Mode zum Schutz vor Schadsoftware

Internet Explorer 7

ActiveX Opt-in und Protected Mode

• ActiveX Opt-in gibt Anwenderndie Kontrolle über Controls

Verringert die Angriffsoberfläche

Ungenutzte Controls werden deaktiviert

Erhält Vorteile von ActiveX und verbessert die Sicherheit

• Protected Mode reduziert die potentielle Auswirkung von Bedrohungen

IE-Prozess ist „sandboxed“, um dasBetriebssystem zu schützen

Verhindert die „stille“ Installationvon Schadsoftware

Erhöht die Sicherheit bei Beibehaltung der Kompatibilität

ActiveX Opt-in

EnabledControls

Windows

DisabledControls

User

Action

Protected Mode

User

Action

IECache My Computer (C:)

BrokerProcess

Low Rights

IT-Symposium 2007 17.04.2007

7


Windows Defender

• Verbesserte Erkennung und Entfernung

• Optimiertes und vereinfachtesUser Interface

• Schutz für alle Arten von Benutzern

Windows Geräteinstallation

Geräte Treiber

Geräte Treiber

• Geräte Identifikationstrings

• Geräte Setupklassen

IT-Symposium 2007 17.04.2007

8


Windows Vista Firewall

• Kombinierte Verwaltung von Firewall und IPsec

Neues Verwaltungswerkzeug „Windows Firewall mit erweiterter Sicherheit “

Verringert Konflikte und den Aufwand für die Koordination zwischen beiden Technologien

• Firewall-Regeln werden intelligenter

Definieren Sicherheitsanforderungen wie Authentifizierung oder Verschlüsselung

Integration in Active Directory

• Filterung des ausgehenden Datenverkehrs

Konzipiert für den Einsatz in Unternehmensnetzwerken

• Vereinfachte Richtlinien für den Schutz des Systems

Filter Richtungen

Inbound Outbound

Default:Block mostFew core exceptions

Allow rules :Programs, servicesUsers, computersProtocols, ports

Default:Allow all interactiveRestrict services

Block rules :Programs, servicesUsers, computersProtocols, ports

IT-Symposium 2007 17.04.2007

9


Vergleich der Funktionen

Windows XP SP2 Windows Vista

Richtung Eingehend Ein- und ausgehend

Standardverhalten Blockieren Konfigurierbar pro Richtung

Packettypen TCP, UDP, einige ICMP TCP, UDP und ICMP komplett

Regeltypen Anwendungen, global Ports, ICMP Typen

Unterschiedliche Bedingungenvon 5-Tupel (Basis) bis IPsecMetadata

Regelaktionen Blockieren Blockieren, Erlauben, Bypass; mit Rule Merge Logik

UI und Tools Systemsteuerung, netsh Systemsteuerung, netsh, MMC

APIs Public COM, private C Mehr COM für Zugriff auf Regeln, mehr C für Features

Remote management

none Über gehärteteRPC-Schnittstelle

Gruppenrichtlinien ADM Vorlage MMC, netsh

Eine Firewall Regel…

DO Action = {By-pass | Allow | Block} IF:

Protocol = X AND

Direction = {In | Out} AND

Local TCP/UDP port is in {Port list} AND

Remote TCP/UDP port is in {Port list} AND

ICMP type code is in {ICMP type-code list} AND

Interface NIC is in {Interface ID list} AND

Interface type is in {Interface types list} AND

Local address is found in {Address list} AND

Remote address is found in {Address list} AND

Application = <Path> AND

Service SID = <Service Short Name> AND

Require authentication = {TRUE | FALSE} AND

Require encryption = {TRUE | FALSE} AND

Remote user has access in {SDDL} AND

Remote computer has access in {SDDL} AND

OS version is in {Platform List}

IT-Symposium 2007 17.04.2007

10


Netzwerk Profile

Domänen Wenn der Computer Domänenmitglied ist und mit der Domäne verbunden ist: Automatisch ausgewählt

Privates Wenn der Computer zu einem definierten privaten Netzwerk verbunden ist

Öffentliches Alle anderen Netzwerke

• Ermittelt Netzwerkänderungen

Identifiziert Charakteristik

Zuweisung einer GUID

• Netzwerk Profil Service erstellt ein Profil bei der Verbindung

Schnittstellen, Domäne erreichbar, Authentifizierte Maschine, Standardgateway, MAC-Adresse

• NPS benachrichtigt die Firewall bei jeder Änderung

Firewall ändert die Kategorie innerhalb von 200ms

• Wenn nicht in einer Domäne, entscheidet der Anwender, ob öffentlich oder privat

Lokale Admin-Rechte für privates Netzwerk notwendig

Mehrere Netzwerkinterfaces?

Analyse allerverbundenen Netze

Schnittstelle mitöffentlichen Netzwerk

verbunden?

Öffentliches Profil aktiv

Schnittstelle mitprivaten Netzwerk

verbunden?

Privates Profilaktiv

Alle Schnittstellenam Domainco ntroller

authentisierbar?

Domänenprofil aktiv

Ja

Nein Ja

Nein

Ja

Nein

IT-Symposium 2007 17.04.2007

11


IDENTITÄTS- UND ZUGRIFFSKONTROLLE

Verarbeitung von Gruppenrichtlininen

In der Vergangenheit

• Computerrichtlinien beim Bootvorgang

• Benutzerrichtlininen bei der Anmeldung

• Periodische Aktualisierung

Zusätzlich mit Windows Vista

• Computer und Benutzer: Bei Verfügbarkeit eines Domain Controllers (z.B. durch Aufbau einer VPN Verbindung)

• Computer und Benutzer: Wenn der Computer aus dem Ruhezustand oder Schlafmodus zurückkehrt

IT-Symposium 2007 17.04.2007

12


Optimierung der Authentifizierung

Plug & Play Smart Cards

• Treiber und Certificate Service Provider (CSP) sind Bestandteil von Windows Vista

• Login und Eingabeaufforderung für die Benutzerkontensteuerung unterstützen Smart Cards

Neue Logon-Architektur

• GINA (das bisherige Windows-Logon) wird abgelöst

• Dritthersteller können Biometrie, one-time Password Tokens und andere Authentifizierungsmethoden mit geringerem Aufwand implementieren

Herausforderungen

Nicht verwaltete Desktops

• Viren und Spyware können das Betriebssystem kompromittieren, wenn der Zugang mit einem privilegiertem Account erfolgt

• Anwender mit Admin-Rechten in Organisationen können das gesamte Netzwerk gefährden

• Anwender können Änderungen durchführen, die ein erneutes Aufsetzen des PCs erforderlich machen

Anwendungen erfordern Admin-Rechte

• Systemsicherheit muss verringert werden, bis Anwendung funktioniert

• Administratoren müssen Anwendungen wegen unterschiedlicher Einstellungen für jedes Betriebssystem erneut evaluieren

Alltägliche Konfigurationsänderungen erfordern Admin-Rechte

• Verteilung und Installation von Anwendungen

• Simple Szenarien (wie das Ändern der Systemzeit) funktionieren nicht

• Anwender können nicht-sensitive Konteninformationen nicht selber ändern

IT-Symposium 2007 17.04.2007

13


Benutzerkontensteuerung

• Besser verwaltbare Businessdesktops und Steuerung des Zugangs für private Anwender

• Systembetrieb als Standardanwender:

• Deutliche Signalisierung, wann eine Rechteänderung erforderlich ist

• Rechteänderung ohne Neuanmeldung

• Administratoren nutzen Admin-Rechte nur für administrative Aufgaben oder Anwendungen

• Anwender erteilen explizite Zustimmung, bevor mit priviligierten Rechten weitergearbeitet wird

Rechteerhöhung

Administrative Berechtigungen

Standardbenutzer Berechtigungen

AdministratorKonto

Standard Benutzer Konto

Wege zur Anforderung einerRechteerhöhung

AnwendungsmarkierungSetuperkennung

Kompatibilitätsfix (shim)Kompatibilitätsassistent

Als Administrator ausführen

IT-Symposium 2007 17.04.2007

14


GERÄTEINSTALLATIONUSER ACCOUNT CONTROLWINDOWS FIREWALL

http://blogs.technet.com/dmelanchthon

Q&A

IT-Symposium 2007 17.04.2007

15


© 2006 Microsoft Corporation. All rights reserved.This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Documents

Windows Vista Sicherheit · This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. GRUNDLAGEN Der Sicherheits-Entwicklungszyklus