1 / 60

Windows Vista biztonsági újdonságai

Windows Vista biztonsági újdonságai. Szabó Gábor Product manager, Security gabors@microsoft.com. Napirend. Biztonsági környezet Jogosultságok , hozzáférés Belépés, hitelesítés, Audit Felhasználói fiókok Windows Service Hardening Beágyazott proaktív védelem

shakti
Download Presentation

Windows Vista biztonsági újdonságai

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Windows Vista biztonsági újdonságai Szabó Gábor Product manager, Security gabors@microsoft.com

  2. Napirend • Biztonsági környezet • Jogosultságok, hozzáférés • Belépés, hitelesítés, Audit • Felhasználói fiókok • Windows Service Hardening • Beágyazott proaktív védelem • Address Space Layout Randomization • Data Execution Protection • Kernel Patch Protection (x64) • Kernel Mode Code Signing • User Account Controll demo • Program File és Registry virtualizáció • Egy támadás anatómiája • Sérülékenység - támadás időablak • RPC DCOM demo • Izoláció • Windows Firewall/IPSec demo • NAP • Adatvédelem • RMS, EFS, Bitlocker

  3. A veszély evolúciója Cross site scripting Phishing A támadás okozta kár “stealth” / advanced scanning techniques Magas denial of service back doors sweepers distributed attack tools forgalom figyelés www attacks automated probes/scans csomagfigyelés grafikus eszközök címhamisítás session lopás port scan ismert sérülékenység kihasználása A behatoló tudása port próba jelszó feltörés Alacsony jelszó próba 2005 1980 1985 1990 1995 2000

  4. Napirend • Biztonsági környezet • Jogosultságok, hozzáférés • Belépés, hitelesítés, Audit • Felhasználói fiókok • Windows Service Hardening • User Account Controll demo • Program File és Registry virtualizáció • Beágyazott proaktív védelem • Address Space Layout Randomization • Data Execution Protection • Kernel Patch Protection (x64) • Kernel Mode Code Signing • Egy támadás anatómiája • Sérülékenység - támadás időablak • RPC DCOM demo • Izoláció • Windows Firewall/IPSec demo • NAP • Adatvédelem • RMS, EFS, Bitlocker

  5. Jogosultságok, hozzáférésBelépés, hitelesítés • Eddig a GINA (Graphical Identification and Authentication): • Jelenleg a Winlogon processz része > korai betöltés • Egyetlen példány; nem vagy nehezen cserélhető • A Vistában • GINA DLL-ek kihagyása > többféle bejelentkező eszköz (multifaktoros, biometrikus, OTP, stb.) • Alternatív logon providerek, szabad választás, alapértelmezettség választás • Providerek hozzáadása a registryben

  6. HitelesítésszolgáltatókTöbbfaktorosauthenikáció LSA WinLogon 1. Ctrl+Alt+Delete 9. LSALogonUser 2. Hitelesítés kérés 8. Hitelesítés kérés visszaigazolva 5. Login / jelszó 4. Bejelentkező UI LogonUI Hitelesítés szolgáltatók interfészei 6. Engedélyezés 7. Logon kéréshitelesítés 3. Hitelesítési információk kérése Hitelesítés szolgáltató 1 Hitelesítés Szolgáltató 2 Hitelesítés Szolgáltató 3

  7. Jogosultságok, hozzáférésHitelesítés, belépés • SmartCard belépés • Eddig adminként telepítettünk olvasót, meghajtót, szolgáltatót majd használtuk • A Vistában „igazi” Plug & Play van, első belépéskor is • Gyártók 3rd party kártya moduljai > WU > Vista

  8. Jogosultságok, hozzáférésUser / Computer fiókok • Power Users csoport nincs többé • két szint maradt • a standard fiókok (Users csoport) • az admin fiókok (Administrators csoport) • A standard user fiók az alapértelmezett egy új fiók létrehozásakor • Új telepítéskor "Support..." és a "Help" fiók nem kerül fel a rendszerbe

  9. Jogosultságok, hozzáférésUser / Computer fiókok • Új telepítéskor a beépített Administrator fiók letiltott állapotban van • Ennek oka pl. a sok változatlan illetve teljesen üresen hagyott helyi admin jelszó • Frissítésnél • Ha az előző rendszerben csak egy admin fiók volt • A telepítés alatt a Vista ezt észreveszi, nem tiltja le • Safe módban ekkor sem lehet használni

  10. Jogosultságok, hozzáférésUser / Computer fiókok • Safe módban elágazás > Tartomány: • a letiltott, beépített admin fiókkal nem tudunk belépni • egy a Domain Admins csoportba tartozó fiókkal viszont igen • ekkor kreálhatunk helyi alternatív admin fiókot • ha még nem léptünk be Domain Admin-ként: • Válasszuk a Safe Mode with Networking opciót • Mivel a jogosultságok még nem cache-elődhettek

  11. Jogosultságok, hozzáférésUser / Computer fiókok • Safe módban elágazás > Munkacsoport: • Az alap admin fiók szintén nem működik • Ha van bármilyen másik admin fiók, azt használhatjuk • Ha nincs, vagy megsérült, akkor a Vista „visszavesz” a szigorból és használhatjuk a beépített admin fiókot is

  12. Fő kategóriák Admin jogosultságokhasználata Logon/ Logoff Registry hozzáférés Filerendszer elérés Jogosultságok, hozzáférésAudit • Sokkal részletesebb, új kategóriákkal • Több információval, kb. 50 új eseménnyel • Teljesen új naplózási alrendszer • Események összegyűjtése • + Task Manager = értesítések

  13. Mi mindent lehet auditálni? Registry változásokat (régi + új érték) AD változásokat (régi + új érték) UAC eseményeket IPSec eseményeket RPC Call eseményeket Megosztásokkal kapcsolatos történéseket (elérés, kezelés) Titkosítási eseményeket NAP eseményeket (csak szerver oldalon) IAS (RADIUS) eseményeket (csak szerver oldalon) Jogosultságok, hozzáférésAudit

  14. Jogosultságok, hozzáférésWindows Service Hardening – Miért is kell? • A különböző szervizek előkelő célpontjai a különböző malwareknek • A felhasználó bevonása/tudta nélkül futnak • Ismert szerviz sérülékenységek • Sok szerviz „LocalSystem” fiók joggal fut • Sok ismert féreg pont ezt használta ki • Sasser, Blaster, CodeRed, Slammer, etc…

  15. User Admin System services Windows XP • Kevés réteg • Többnyire magas privilégium • Kevés védelem a rétegek között Kernel

  16. Felhasználó LUA felh. Alacsony priv. szervizek Admin Rendszer szervizek D S S D Windows Vista Service Hardening • A magas kockázatú rétegek mérete csökken • Több réteg • Szegmentált szervizek Felhasználó fiók védelme (User Account Control) Kernel S S S D D D S D Kernel meghajtók Rendszer szervizek Alacsony priv. Szervizek Felh. módú meghajtók D

  17. Jogosultságok, hozzáférésSzerviz felosztás (Service refaktoring) • Folyamatosan csökken a jogosultsági kör • De a Vistában drasztikusabb a változás • A legtöbb esetben már nem LocalSystem • Ha mégis szükséges, akkor két részre vágva dolgozik • A szerviz fő része pl. a LocalService fiókkal • A privilegizált műveletekhez szükséges rész továbbra is a LocalSystem fiókkal • A két rész között hitelesítést megkívánó kapcsolat van Memória A szerviz fő része LocalService fiókkal fut Privilegizált műveletek LocalSystem

  18. Jogosultságok, hozzáférésSzerviz profil (Service profiling) • Minden szerviznek egyedi azonosítója van • S-1-80-<a szerviz logika nevének SHA-1 hash-e> • A szervizprofil is újdonság • ACL-ek listája • Megengedi / tiltja • A privilégiumok és erőforrások (filerendszer, registry) használatát • Adott portok használatát, a WF segítségével • Rugalmasabb megoldás • a Local / Network Service > további jogosultság

  19. Jogosultságok, hozzáférésWindows Service Hardening • Példa: a „mindenható” RPC immár • nem cserélheti le a rendszerfile-okat, • nem módosíthatja a registryt, • nem befolyásolhatja, módosíthatja más szervizeket konfig állományait (AV szoftverek, szignatúrák, stb.) • A szervizprofil szigorú kialakítása egy teljesen automatikus művelet, amely • Elsősorban telepítéskor megy végbe • Csak a Windows szervizekre érvényes

  20. Jogosultságok, hozzáférésDefiniált integritás szintek Shell

  21. Jogosultságok, hozzáférésWindows Service Hardening

  22. Jogosultságok, hozzáférésSzerviz profilozás – eventlog példa ACL Eventlog:W SysEvent.evt Írásvédett token Eventlog service

  23. Jogosultságok, hozzáférésUser Account Control • A lényeg: standard felhasználónként dolgozzon mindenki a rendszerben • Ha ez nem megy, akkor interakció van: • Figyelmeztetés / jogosultság bekérés / megtagadás • The Application Information Service (AIS) system szerviz indítja a szintemelést igénylő alkalmazásokat • Új folyamatot indít az admin token használatával • XML leíró állomány – az alkalmazás futtatásához szükséges szint • UAC inkompatibilitás • Install program detektálás • Virtualizáció

  24. Felhasználó Alapfelhasználói jogok Adminisztrátori jogok Admin belépéssel Adminisztrátori token „Alap felhasználó” token

  25. Időzóna beállítás Engedélyezett alkalmazások pl. MSN Messenger Betűkészlet és nyomtató telepítés Felhasználó „Alapfelhasználói” jogok Alapfelhasználói jogok Adminisztrátori jogok Alap felh.belépéssel

  26. Időzóna beállítás Engedélyezett alkalmazások MSN Messenger Betűkészlet és nyomtató telepítés Felhasználó Időállítás „Alapfelhasználói” jogok Admin jogok Admin jogok Admin jogok Tűzfal konfigurálás Alkalmazás telepítés Alapfelhasználói jogok Adminisztrátori jogok Admin belépéssel „Alapfelhasználói” jogok

  27. OS alkalmazás Aláíratlan alkalmazás Aláírt alkalmazás Jogosultságok, hozzáférésUser Account Control

  28. Jogosultságok, hozzáférésUser Account Control • Mit tehet meg egy Standard User? • Vezetéknéküli hálózat konfigurálás • Energiaellátás opciók változtatása • VPN kapcsolatok konfigurálása • Nyomtató és egyéb eszközök hozzáadása – GP • Windows Update, Windows Defender • Lemez defrag, Disk CleanUp, időzóna váltás • Eseménynapló (Security naplót azért nem) • A pajzs ikon mutatja, hogy mit nem lehet

  29. Jogosultságok, hozzáférésInternet Explorer 7 Run withfull privs? tutiprogi.com Megbízhatóoldal? AIS Futtat? Teljes jog LP IE IEPolicy tutiprogi.exe …\My Docs\tutiprogi.exe IL=magas IL=alacsony IL=magas ha adminIL=egyébként közepes \Progs\GS\progi.exeprogi.dll …\TIF\tutiprogi.exe

  30. Jogosultságok, hozzáférésVirtualizáció • Miért kell Admin jog egy könyvelő proginak? • Program files virtualizáció • Registry virtualizáció • Lássuk inkább hogy is működik...

  31. User Account Control Program File és Registry virtualizáció demó

  32. Napirend • Biztonsági környezet • Jogosultságok, hozzáférés • Belépés, hitelesítés, Audit • Felhasználói fiókok • Windows Service Hardening • User Account Controll demo • Program File és Registry virtualizáció • Beágyazott proaktív védelem • Address Space Layout Randomization • Data Execution Protection • Kernel Patch Protection (x64) • Kernel Mode Code Signing • Egy támadás anatómiája • Sérülékenység - támadás időablak • RPC DCOM demo • Izoláció • Windows Firewall/IPSec demo • NAP • Adatvédelem • RMS, EFS, Bitlocker

  33. Beágyazott proaktív védelemAddress Space Layout Randomization • Az alkalmazások / processzek kódja és függelékei véletlenszerűen kiválasztott helyekre töltödődnek be, azaz: • Nem lehet kiszámítani előre, hogy mely címekre kerülnek • Megkeresni időigényes (256 variáció) • Minden újraindításkor megtörténik a kiszámítás • Ha egy processzt egy másik alkalmazás is használ, a kiszámítás újra megtörténik

  34. Beágyazott proaktív védelemAddress Space Layout Randomization 1. boot után 2. boot után wsock32.dll (0x73200000) winhttp.dll (0x73760000) user32.dll (0x770f0000) kernel32.dll (0x77350000) gdi32.dll (0x77190000) wsock32.dll (0x73ad0000) winhttp.dll (0x74020000) user32.dll (0x779b0000) kernel32.dll (0x77c10000) gdi32.dll (0x77a50000)

  35. Beágyazott proaktív védelemAddress Space Layout Randomization • Javasolt együtt használni más technológiákkal • DEP (NX) – adatfuttatás megelőzés • Szoftveres: /SafeSEH – biztonságos struktútájú kivétel kezelés • Hardvers: NX (AMD) / XD (Intel) esetén a használt lapozó tábla utolsó bitje szabályozza lehet-e (0) kódot futtani a hivatkozott területen vagy sem (1) • .NET felügyelt kód esetén ez nem probléma • /GS: Visual C++ fordító opció verem túlcsordúlás detektálás

  36. Beágyazott proaktív védelemKernel Patch Protection (KPP) • Amit a KPP tilt • Az egyes meghajtó programok nem módosíthatják a system service táblák function mutatóit (kernel hook) • Interrupt descriptor table (IDT) • Global descriptor table (GDT) • Bármely kernel verem használatát (kivétel ha azt maga a kernel kezdeményezte) • Bármilyen kernel módosítás, bővítmény, patch

  37. Beágyazott proaktív védelemCode Signing and Code Integrity • Minden kernel módban futó drivernek aláírással kell rendelkeznie • Csak aláírt kód tölthető a kernelbe • Még az adminisztrátor sem... • Kernel malware védelem • ...Sony DRM rootkit.... Troj/Stinx-E • Mark Russinovich's technical blog • http://www.microsoft.com/technet/sysinternals/default.mspx

  38. Napirend • Biztonsági környezet • Jogosultságok, hozzáférés • Belépés, hitelesítés, Audit • Felhasználói fiókok • Windows Service Hardening • User Account Controll demo • Program File és Registry virtualizáció • Beágyazott proaktív védelem • Address Space Layout Randomization • Data Execution Protection • Kernel Patch Protection (x64) • Kernel Mode Code Signing • Egy támadás anatómiája • Sérülékenység - támadás időablak • RPC DCOM demo • Izoláció • Windows Firewall/IPSec demo • NAP • Adatvédelem • RMS, EFS, Bitlocker

  39. Szűkülő időablakProaktív védelem kell, a Reaktív ideje lejárt Fertőzés Malware (Féreg, vírus) Támadási mód (kód) (Exploit) Sérülékenység (0 day vulnerability) Néhány egyedi támadás Nincs javítás • Automatizált, gyorsan terjedő támadások • Mutáns verziók • Fertőző kódot tartalamzó web oldalak • Spam üzenetek • Káros csatolmányok

  40. REQUEST Function Call: Opnum 4 -------------- Function Arguments \\server\file Microsoft RPC DCOM OverflowSecurity Bulletin MS03-026 (Blaster) Pkt 1 Server Port 135/tcp BIND Interface: ISystemActivator 000001a0-0000- 0000-c000- 000000000046 v0.0 Pkt 2 Interfaces Available: e1af8308-5d1f-11c9-91a4-08002b14a0fa v3.0 0b0a6584-9e0f-11cf-a3cf-00805f68cb1b v1.1 975201b0-59ca-11d0-a8d5-00a0c90d8051 v1.0 e60c73e6-88f9-11cf-9af1-0020af6e72f4 v2.0 99fcfec4-5260-101b-bbcb-00aa0021347a v0.0 b9e79e60-3d52-11ce-aaa1-00006901293f v0.2 412f241e-c12a-11ce-abff-0020af6e7a17 v0.2 00000136-0000-0000-c000-000000000046 v0.0 c6f3ee72-ce7e-11d1-b71e-00c04fc3111a v1.0 4d9f4ab8-7d1c-11cf-861e-0020af6e7c57 v0.0 000001a0-0000-0000-c000-000000000046 v0.0 Pkt 3

  41. RPC DCOM OverflowSecurity Bulletin MS03-026 demó

  42. Napirend • Biztonsági környezet • Jogosultságok, hozzáférés • Belépés, hitelesítés, Audit • Felhasználói fiókok • Windows Service Hardening • User Account Controll demo • Program File és Registry virtualizáció • Beágyazott proaktív védelem • Address Space Layout Randomization • Data Execution Protection • Kernel Patch Protection (x64) • Kernel Mode Code Signing • Egy támadás anatómiája • Sérülékenység - támadás időablak • RPC DCOM demo • Izoláció • Windows Firewall/IPSec demo • NAP • Adatvédelem • RMS, EFS, Bitlocker

  43. KomponensekWindows Firewall

  44. KomponensekWindows Firewall • Kezelés / felület változások • Control Panel: majdnem mint az XP-ben • Új MMC felület számos extrával: „WF with Advanced Security” • Távoli elérés MMC-vel • Előredefiniált szabályok • netsh advfirewall

  45. KomponensekWindows Firewall • Kategóriák • A hálózati profil az első kapcsolódáskor készül el • Interfész, DC, hitelesíthető gép, átjáró MAC címe, stb. • Az NLA szerviz detektálja a hálózati változásokat • Változás esetén rövid idő alatt vált kategóriát (<200ms) • Ha nem tartományban van, akkor felhasználói interakció kell

  46. KomponensekWindows Firewall • Szabályok újdonságai • Forrás és cél IP címek • Speciális kiszolgálók címei • Protokoll típusok • Több új + IPv6 kompatibilis • AD felhasználó/gép/csoport fiókok • Titkosítás esetén kötelező • Interfész típusa • vezetékes, vezetéknélküli, VPN/RAS • Szervizek • Előre- és eltérő körülményekre legyártott szabályok

  47. Hagyományos tűzfal A felhasználó local admin? Van ilyen is csak kevés... A malware próbálkozik A tűzfal figyelmeztet! Nem Érted ? Igen Nem A malware lefut Igen A felhasználó engedélyezi A malware letiltja a tűzfalat „Ajtó, ablak...” 0wn3d

  48. KomponensekIPSec • Tűzfallal integrált, egyszerűsített IPSec • Globális beállítások • Connection Security Rules • Izoláció, hitelesítés mentesítés, server-to-server, tunnel • Új algoritmusok • Titkosítás: AES-128/192/256 • Kulcscsere: ECDH-P 256/384

  49. KomponensekIPSec alapú domain és végpont izoláció

  50. KomponensekIPSec • Kliens <> DC IPSec • Immár támogatott • Szimultán kapcsolatok • Nem gond a tartományba léptetés (NTLMv2) • Hálózattípusok szerint is • Csak Vista és LH Server esetén

More Related