Download - Windows Vista biztonsági újdonságai
![Page 1: Windows Vista biztonsági újdonságai](https://reader036.vdocuments.pub/reader036/viewer/2022062519/5681541a550346895dc215ad/html5/thumbnails/1.jpg)
Windows Vista biztonsági újdonságai
Szabó GáborSzabó GáborProduct manager, SecurityProduct manager, [email protected]@microsoft.com
![Page 2: Windows Vista biztonsági újdonságai](https://reader036.vdocuments.pub/reader036/viewer/2022062519/5681541a550346895dc215ad/html5/thumbnails/2.jpg)
NapirendNapirend Biztonsági környezetBiztonsági környezet Jogosultságok, hozzáférésJogosultságok, hozzáférés
Belépés, hitelesítés, AuditBelépés, hitelesítés, Audit Felhasználói fiókokFelhasználói fiókok Windows Service HardeningWindows Service Hardening
Beágyazott proaktív védelemBeágyazott proaktív védelem Address Space Layout Address Space Layout
RandomizationRandomization Data Execution ProtectionData Execution Protection Kernel Patch Protection (x64)Kernel Patch Protection (x64) Kernel Mode Code SigningKernel Mode Code Signing
User Account Controll demoUser Account Controll demo Program File és Registry Program File és Registry
virtualizációvirtualizáció Egy támadás anatómiájaEgy támadás anatómiája
Sérülékenység - támadás Sérülékenység - támadás időablakidőablak
RPC DCOM demoRPC DCOM demo IzolációIzoláció
Windows Firewall/IPSec demoWindows Firewall/IPSec demo NAPNAP
AdatvédelemAdatvédelem RMS, EFS, BitlockerRMS, EFS, Bitlocker
![Page 3: Windows Vista biztonsági újdonságai](https://reader036.vdocuments.pub/reader036/viewer/2022062519/5681541a550346895dc215ad/html5/thumbnails/3.jpg)
Magas
Alacsony
1980 1985 1990 1995 2000
A behatoló
tudása
A támadás
okozta kár
Cross site scripting
jelszó próba
port próba
jelszó feltörés
ismert sérülékenység kihasználása
címhamisítás
back doors
session
lopás
sweepers
forgalom figyelés
csomagfigyelésgrafikus
eszközök
automated probes/scans
denial of service
www attacks
“stealth” / advanced scanning techniques
distributed
attack tools
port scan
Phishing
2005
A veszély evolúciója
![Page 4: Windows Vista biztonsági újdonságai](https://reader036.vdocuments.pub/reader036/viewer/2022062519/5681541a550346895dc215ad/html5/thumbnails/4.jpg)
NapirendNapirend Biztonsági környezetBiztonsági környezet Jogosultságok, hozzáférésJogosultságok, hozzáférés
Belépés, hitelesítés, AuditBelépés, hitelesítés, Audit Felhasználói fiókokFelhasználói fiókok Windows Service HardeningWindows Service Hardening
User Account Controll demoUser Account Controll demo Program File és Registry Program File és Registry
virtualizációvirtualizáció Beágyazott proaktív védelemBeágyazott proaktív védelem
Address Space Layout Address Space Layout RandomizationRandomization
Data Execution ProtectionData Execution Protection Kernel Patch Protection (x64)Kernel Patch Protection (x64) Kernel Mode Code SigningKernel Mode Code Signing
Egy támadás anatómiájaEgy támadás anatómiája Sérülékenység - támadás Sérülékenység - támadás
időablakidőablak RPC DCOM demoRPC DCOM demo
IzolációIzoláció Windows Firewall/IPSec demoWindows Firewall/IPSec demo NAPNAP
AdatvédelemAdatvédelem RMS, EFS, BitlockerRMS, EFS, Bitlocker
![Page 5: Windows Vista biztonsági újdonságai](https://reader036.vdocuments.pub/reader036/viewer/2022062519/5681541a550346895dc215ad/html5/thumbnails/5.jpg)
Jogosultságok, hozzáférésBelépés, hitelesítés Eddig a GINA (Graphical Identification and
Authentication): Jelenleg a Winlogon processz része >
korai betöltés Egyetlen példány; nem vagy nehezen
cserélhető
A Vistában GINA DLL-ek kihagyása > többféle
bejelentkező eszköz (multifaktoros, biometrikus, OTP, stb.)
Alternatív logon providerek, szabad választás, alapértelmezettség választás
Providerek hozzáadása a registryben
![Page 6: Windows Vista biztonsági újdonságai](https://reader036.vdocuments.pub/reader036/viewer/2022062519/5681541a550346895dc215ad/html5/thumbnails/6.jpg)
LSAWinLogon
Logon UI
Hitelesítés szolgáltatók
interfészei
Hitelesítés
Szolgáltató 2
7. 7. Logon Logon kéréshitelesítéskéréshitelesítés
1. Ctrl+Alt+Delete1. Ctrl+Alt+Delete
2. 2. HitelesítésHitelesítés
kéréskérés
9. LSALogonUser9. LSALogonUser
5. 5. Login / jelszóLogin / jelszó
4. 4. Bejelentkező UIBejelentkező UI
Hitelesítés
szolgáltató 1
Hitelesítés
Szolgáltató 3
8. 8. HitelesítésHitelesítés
kérés visszaigazolvakérés visszaigazolva
6. 6. EngedélyezésEngedélyezés
3. 3. Hitelesítési információk kéréseHitelesítési információk kérése
Hitelesítés szolgáltatókTöbbfaktoros authenikáció
![Page 7: Windows Vista biztonsági újdonságai](https://reader036.vdocuments.pub/reader036/viewer/2022062519/5681541a550346895dc215ad/html5/thumbnails/7.jpg)
Jogosultságok, hozzáférésHitelesítés, belépés
SmartCard belépés Eddig adminként
telepítettünk olvasót, meghajtót, szolgáltatót majd használtuk
A Vistában „igazi” Plug & Play van, első belépéskor is
Gyártók 3rd party kártya moduljai > WU > Vista
![Page 8: Windows Vista biztonsági újdonságai](https://reader036.vdocuments.pub/reader036/viewer/2022062519/5681541a550346895dc215ad/html5/thumbnails/8.jpg)
Jogosultságok, hozzáférésUser / Computer fiókok Power Users csoport nincs
többé két szint maradt
a standard fiókok (Users csoport) az admin fiókok (Administrators
csoport)
A standard user fiók az alapértelmezett egy új fiók létrehozásakor
Új telepítéskor "Support..." és a "Help" fiók nem kerül fel a rendszerbe
![Page 9: Windows Vista biztonsági újdonságai](https://reader036.vdocuments.pub/reader036/viewer/2022062519/5681541a550346895dc215ad/html5/thumbnails/9.jpg)
Jogosultságok, hozzáférésUser / Computer fiókok
Új telepítéskor a beépített Administrator fiók letiltott állapotban van Ennek oka pl. a sok változatlan illetve teljesen
üresen hagyott helyi admin jelszó
Frissítésnél Ha az előző rendszerben csak egy admin fiók volt
A telepítés alatt a Vista ezt észreveszi, nem tiltja le Safe módban ekkor sem lehet használni
![Page 10: Windows Vista biztonsági újdonságai](https://reader036.vdocuments.pub/reader036/viewer/2022062519/5681541a550346895dc215ad/html5/thumbnails/10.jpg)
Jogosultságok, hozzáférésUser / Computer fiókok
Safe módban elágazás > Tartomány: a letiltott, beépített admin fiókkal nem tudunk belépni egy a Domain Admins csoportba tartozó fiókkal
viszont igen ekkor kreálhatunk helyi alternatív admin fiókot ha még nem léptünk be Domain Admin-ként:
Válasszuk a Safe Mode with Networking opciót Mivel a jogosultságok még nem cache-elődhettek
![Page 11: Windows Vista biztonsági újdonságai](https://reader036.vdocuments.pub/reader036/viewer/2022062519/5681541a550346895dc215ad/html5/thumbnails/11.jpg)
Jogosultságok, hozzáférésUser / Computer fiókok
Safe módban elágazás > Munkacsoport: Az alap admin fiók szintén nem működik Ha van bármilyen másik admin fiók, azt
használhatjuk Ha nincs, vagy megsérült, akkor a Vista
„visszavesz” a szigorból és használhatjuk a beépített admin fiókot is
![Page 12: Windows Vista biztonsági újdonságai](https://reader036.vdocuments.pub/reader036/viewer/2022062519/5681541a550346895dc215ad/html5/thumbnails/12.jpg)
Jogosultságok, hozzáférésAudit Sokkal részletesebb, új kategóriákkal Több információval, kb. 50 új eseménnyel
Fő kategóriák
Logon / Logoff
Filerendszer elérés
Registry hozzáférés
Admin jogosultságok
használata
Teljesen új naplózási alrendszerTeljesen új naplózási alrendszer Események összegyűjtéseEsemények összegyűjtése + Task Manager = értesítések+ Task Manager = értesítések
![Page 13: Windows Vista biztonsági újdonságai](https://reader036.vdocuments.pub/reader036/viewer/2022062519/5681541a550346895dc215ad/html5/thumbnails/13.jpg)
Mi mindent lehet auditálni? Registry változásokat (régi + új érték) AD változásokat (régi + új érték) UAC eseményeket IPSec eseményeket RPC Call eseményeket Megosztásokkal kapcsolatos történéseket (elérés, kezelés) Titkosítási eseményeket NAP eseményeket (csak szerver oldalon) IAS (RADIUS) eseményeket (csak szerver oldalon)
Jogosultságok, hozzáférésAudit
![Page 14: Windows Vista biztonsági újdonságai](https://reader036.vdocuments.pub/reader036/viewer/2022062519/5681541a550346895dc215ad/html5/thumbnails/14.jpg)
A különböző szervizek előkelő célpontjai a A különböző szervizek előkelő célpontjai a különböző malwareknekkülönböző malwareknek A felhasználó bevonása/tudta nélkül futnakA felhasználó bevonása/tudta nélkül futnak Ismert szerviz sérülékenységekIsmert szerviz sérülékenységek Sok szerviz „LocalSystem” fiók joggal futSok szerviz „LocalSystem” fiók joggal fut Sok ismert féreg pont ezt használta kiSok ismert féreg pont ezt használta ki
Sasser, Blaster, CodeRed, Slammer, etc…Sasser, Blaster, CodeRed, Slammer, etc…
Jogosultságok, hozzáférésWindows Service Hardening – Miért is kell?
![Page 15: Windows Vista biztonsági újdonságai](https://reader036.vdocuments.pub/reader036/viewer/2022062519/5681541a550346895dc215ad/html5/thumbnails/15.jpg)
User
Admin
System services
Kernel
• Kevés réteg
• Többnyire magas privilégium
• Kevés védelem a rétegek között
Windows XP
![Page 16: Windows Vista biztonsági újdonságai](https://reader036.vdocuments.pub/reader036/viewer/2022062519/5681541a550346895dc215ad/html5/thumbnails/16.jpg)
• A magas kockázatú rétegek mérete csökken
• Több réteg
• Szegmentált szervizek
Felhasználó
LUA felh.
Alacsony priv. szervizek
Admin
Kernel
D D D
S
S
DD
S
S
ServiceService
HardeningHardening
Felhasználó Felhasználó fiók védelme fiók védelme
((User Account User Account Control)Control)Rendszer
szervizek
D
D
S
S
Kernel meghajtók
Rendszer szervizek
Alacsony priv. Szervizek
Felh. módú meghajtók
Windows Vista
![Page 17: Windows Vista biztonsági újdonságai](https://reader036.vdocuments.pub/reader036/viewer/2022062519/5681541a550346895dc215ad/html5/thumbnails/17.jpg)
Jogosultságok, hozzáférésSzerviz felosztás (Service refaktoring) Folyamatosan csökken a jogosultsági kör De a Vistában drasztikusabb a változás
A legtöbb esetben már nem LocalSystem Ha mégis szükséges, akkor két részre vágva dolgozik
A szerviz fő része pl. a LocalService fiókkal A privilegizált műveletekhez szükséges rész továbbra is a LocalSystem fiókkal A két rész között hitelesítést megkívánó kapcsolat van
MemóriaMemória
A szerviz fő részeLocalService fiókkal fut
Privilegizált műveletekLocalSystem
![Page 18: Windows Vista biztonsági újdonságai](https://reader036.vdocuments.pub/reader036/viewer/2022062519/5681541a550346895dc215ad/html5/thumbnails/18.jpg)
Jogosultságok, hozzáférésSzerviz profil (Service profiling)
Minden szerviznek egyedi azonosítója van S-1-80-<a szerviz logika nevének SHA-1 hash-e>
A szervizprofil is újdonság ACL-ek listája Megengedi / tiltja
A privilégiumok és erőforrások (filerendszer, registry) használatát
Adott portok használatát, a WF segítségével
Rugalmasabb megoldás a Local / Network Service > további jogosultság
![Page 19: Windows Vista biztonsági újdonságai](https://reader036.vdocuments.pub/reader036/viewer/2022062519/5681541a550346895dc215ad/html5/thumbnails/19.jpg)
Jogosultságok, hozzáférésWindows Service Hardening
Példa: a „mindenható” RPC immár nem cserélheti le a rendszerfile-okat, nem módosíthatja a registryt, nem befolyásolhatja, módosíthatja más szervizeket
konfig állományait (AV szoftverek, szignatúrák, stb.)
A szervizprofil szigorú kialakítása egy teljesen automatikus művelet, amely Elsősorban telepítéskor megy végbe Csak a Windows szervizekre érvényes
![Page 20: Windows Vista biztonsági újdonságai](https://reader036.vdocuments.pub/reader036/viewer/2022062519/5681541a550346895dc215ad/html5/thumbnails/20.jpg)
Jogosultságok, hozzáférésDefiniált integritás szintek
ShellShell
![Page 21: Windows Vista biztonsági újdonságai](https://reader036.vdocuments.pub/reader036/viewer/2022062519/5681541a550346895dc215ad/html5/thumbnails/21.jpg)
Windows XP SP2
LocalSystem Wireless Configuration
System Event Notification
Network Connections
COM+ Event System
NLA
Rasauto
Shell Hardware Detection
Themes
Telephony
Windows Audio
Error Reporting
Workstation
ICS
BITS
RemoteAccess
DHCP Client
W32time
Rasman
Browser
Help and Support
Task Scheduler
TrkWks
Cryptographic Services
Removable Storage
WMI Perf Adapter
Automatic updates
WMI
App Management
Secondary Logon
Network Service
DNS Client
Local Service SSDP
WebClient
TCP/IP NetBIOS helper
Remote Registry
Windows Vista
LocalSystemNetwork restricted
Removable Storage
WMI Perf Adapter
Automatic updates
TrkWks
WMI
App Management
Secondary Logon
LocalSystemDemand started
BITS
Network Service
Restricted
DNS Client
ICS
RemoteAccess
DHCP Client
W32time
Rasman
NLA
Browser
Task scheduler
IPSEC Services
Server
Cryptographic Services
Local Service
Restricted No network access
Wireless Configuration
System Event Notification
Shell Hardware Detection
Network Connections
Rasauto
Themes
COM+ Event System
Local ServiceRestricted
Telephony
Windows Audio
TCP/IP NetBIOS helper
WebClient
Error Reporting
Event LogWorkstation
Remote Registry
SSDP
Jogosultságok, hozzáférésWindows Service Hardening
![Page 22: Windows Vista biztonsági újdonságai](https://reader036.vdocuments.pub/reader036/viewer/2022062519/5681541a550346895dc215ad/html5/thumbnails/22.jpg)
SysEvent.evtEventlog
service
Írásvédett
token
ACLEventlog:W
Jogosultságok, hozzáférésSzerviz profilozás – event log példa
![Page 23: Windows Vista biztonsági újdonságai](https://reader036.vdocuments.pub/reader036/viewer/2022062519/5681541a550346895dc215ad/html5/thumbnails/23.jpg)
A lényeg: standard felhasználónként dolgozzon mindenki a rendszerben Ha ez nem megy, akkor interakció van:
Figyelmeztetés / jogosultság bekérés / megtagadás The Application Information Service (AIS) system szerviz indítja a szintemelést
igénylő alkalmazásokat Új folyamatot indít az admin token használatával XML leíró állomány – az alkalmazás futtatásához szükséges szint
UAC inkompatibilitás Install program detektálás Virtualizáció
Jogosultságok, hozzáférésUser Account Control
![Page 24: Windows Vista biztonsági újdonságai](https://reader036.vdocuments.pub/reader036/viewer/2022062519/5681541a550346895dc215ad/html5/thumbnails/24.jpg)
Alap felhasználóAlap felhasználói jogoki jogok
„„Alap felhasználóAlap felhasználó” ” ttokenoken
Adminisztrátori tokenAdminisztrátori token
Adminisztrátori jogokAdminisztrátori jogokAdmin Admin belépésselbelépéssel
FelhasználóFelhasználó
![Page 25: Windows Vista biztonsági újdonságai](https://reader036.vdocuments.pub/reader036/viewer/2022062519/5681541a550346895dc215ad/html5/thumbnails/25.jpg)
Időzóna beállításIdőzóna beállítás
Engedélyezett Engedélyezett alkalmazásokalkalmazások
pl. MSN pl. MSN MessengerMessenger
Betűkészlet ésBetűkészlet és
nyomtató nyomtató telepítéstelepítés
„„Alap felhasználóAlap felhasználói” jogoki” jogok
FelhasználóFelhasználó
Alap felhasználóAlap felhasználói jogoki jogok
Adminisztrátori jogokAdminisztrátori jogokAlap felh.Alap felh. belépésselbelépéssel
![Page 26: Windows Vista biztonsági újdonságai](https://reader036.vdocuments.pub/reader036/viewer/2022062519/5681541a550346895dc215ad/html5/thumbnails/26.jpg)
Időzóna beállításIdőzóna beállítás
Engedélyezett Engedélyezett
alkalmazásokalkalmazások
MSN MessengerMSN Messenger
Betűkészlet ésBetűkészlet és
nyomtató telepítésnyomtató telepítésFelhasználóFelhasználó Alkalmazás telepítésAlkalmazás telepítés
Tűzfal konfigurálásTűzfal konfigurálás
IdőállításIdőállítás
Admin Admin jogokjogok
Admin Admin jogokjogok
Admin Admin jogokjogok
Alap felhasználóAlap felhasználói jogoki jogok
Adminisztrátori jogokAdminisztrátori jogokAdmin Admin belépésselbelépéssel„„Alap felhasználóAlap felhasználói” jogoki” jogok„„Alap felhasználóAlap felhasználói” jogoki” jogok
![Page 27: Windows Vista biztonsági újdonságai](https://reader036.vdocuments.pub/reader036/viewer/2022062519/5681541a550346895dc215ad/html5/thumbnails/27.jpg)
Aláírt alkalmazás
OS alkalmazás
Aláíratlan alkalmazás
Jogosultságok, hozzáférésUser Account Control
![Page 28: Windows Vista biztonsági újdonságai](https://reader036.vdocuments.pub/reader036/viewer/2022062519/5681541a550346895dc215ad/html5/thumbnails/28.jpg)
Mit tehet meg egy Standard User? Vezetéknéküli hálózat konfigurálás Energiaellátás opciók változtatása VPN kapcsolatok konfigurálása Nyomtató és egyéb eszközök hozzáadása – GP Windows Update, Windows Defender Lemez defrag, Disk CleanUp, időzóna váltás Eseménynapló (Security naplót azért nem) A pajzs ikon mutatja, hogy mit nem lehet
Jogosultságok, hozzáférésUser Account Control
![Page 29: Windows Vista biztonsági újdonságai](https://reader036.vdocuments.pub/reader036/viewer/2022062519/5681541a550346895dc215ad/html5/thumbnails/29.jpg)
LP IELP IE IEPolicyIEPolicy
FuttatFuttat??
tutiprogitutiprogi.com.com
…\TIF\tutiprogi.exe
MegbízhatóMegbízhatóoldaloldal??
IL=alacsony…\My Docs\tutiprogi.exe
IL=magas ha adminIL=egyébként közepes
AISAIS
Run withRun withfull privs?full privs?
tutiprogitutiprogi.exe.exe
\Progs\GS\progi.exeprogi.dll
IL=magas
Teljes jogTeljes jog
Jogosultságok, hozzáférésInternet Explorer 7
![Page 30: Windows Vista biztonsági újdonságai](https://reader036.vdocuments.pub/reader036/viewer/2022062519/5681541a550346895dc215ad/html5/thumbnails/30.jpg)
Miért kell Admin jog egy könyvelő proginak?Miért kell Admin jog egy könyvelő proginak?Program files virtualizációProgram files virtualizációRegistry virtualizációRegistry virtualizációLássuk inkább hogy is működik...Lássuk inkább hogy is működik...
Jogosultságok, hozzáférésVirtualizáció
![Page 31: Windows Vista biztonsági újdonságai](https://reader036.vdocuments.pub/reader036/viewer/2022062519/5681541a550346895dc215ad/html5/thumbnails/31.jpg)
demó
User Account Control
Program File és Registry virtualizáció
![Page 32: Windows Vista biztonsági újdonságai](https://reader036.vdocuments.pub/reader036/viewer/2022062519/5681541a550346895dc215ad/html5/thumbnails/32.jpg)
NapirendNapirend Biztonsági környezetBiztonsági környezet Jogosultságok, hozzáférésJogosultságok, hozzáférés
Belépés, hitelesítés, AuditBelépés, hitelesítés, Audit Felhasználói fiókokFelhasználói fiókok Windows Service HardeningWindows Service Hardening
User Account Controll demoUser Account Controll demo Program File és Registry Program File és Registry
virtualizációvirtualizáció Beágyazott proaktív védelemBeágyazott proaktív védelem
Address Space Layout Address Space Layout RandomizationRandomization
Data Execution ProtectionData Execution Protection Kernel Patch Protection (x64)Kernel Patch Protection (x64) Kernel Mode Code SigningKernel Mode Code Signing
Egy támadás anatómiájaEgy támadás anatómiája Sérülékenység - támadás Sérülékenység - támadás
időablakidőablak RPC DCOM demoRPC DCOM demo
IzolációIzoláció Windows Firewall/IPSec demoWindows Firewall/IPSec demo NAPNAP
AdatvédelemAdatvédelem RMS, EFS, BitlockerRMS, EFS, Bitlocker
![Page 33: Windows Vista biztonsági újdonságai](https://reader036.vdocuments.pub/reader036/viewer/2022062519/5681541a550346895dc215ad/html5/thumbnails/33.jpg)
Az alkalmazások / processzek kódja és függelékei véletlenszerűen kiválasztott helyekre töltödődnek be, azaz: Nem lehet kiszámítani előre, hogy mely címekre
kerülnek Megkeresni időigényes (256 variáció)
Minden újraindításkor megtörténik a kiszámítás Ha egy processzt egy másik alkalmazás is használ,
a kiszámítás újra megtörténik
Beágyazott proaktív védelemAddress Space Layout Randomization
![Page 34: Windows Vista biztonsági újdonságai](https://reader036.vdocuments.pub/reader036/viewer/2022062519/5681541a550346895dc215ad/html5/thumbnails/34.jpg)
Beágyazott proaktív védelemAddress Space Layout Randomization
1. boot után1. boot után
wsock32.dll (0x73ad0000) wsock32.dll (0x73ad0000)
winhttp.dll (0x74020000) winhttp.dll (0x74020000)
user32.dll (0x779b0000) user32.dll (0x779b0000)
kernel32.dll (0x77c10000) kernel32.dll (0x77c10000)
gdi32.dll (0x77a50000)gdi32.dll (0x77a50000)
2. boot után2. boot után
wsock32.dll (0x73200000) wsock32.dll (0x73200000)
winhttp.dll (0x73760000) winhttp.dll (0x73760000)
user32.dll (0x770f0000) user32.dll (0x770f0000)
kernel32.dll (0x77350000) kernel32.dll (0x77350000)
gdi32.dll (0x77190000)gdi32.dll (0x77190000)
![Page 35: Windows Vista biztonsági újdonságai](https://reader036.vdocuments.pub/reader036/viewer/2022062519/5681541a550346895dc215ad/html5/thumbnails/35.jpg)
Javasolt együtt használni más technológiákkalJavasolt együtt használni más technológiákkal DEP (NX) – adatfuttatás megelőzésDEP (NX) – adatfuttatás megelőzés
Szoftveres: /SafeSEH – biztonságos struktútájú kivétel Szoftveres: /SafeSEH – biztonságos struktútájú kivétel kezelés kezelés
Hardvers: NX (AMD) / XD (Intel) esetén a használt lapozó Hardvers: NX (AMD) / XD (Intel) esetén a használt lapozó tábla utolsó bitje szabályozza lehet-e (0) kódot futtani a tábla utolsó bitje szabályozza lehet-e (0) kódot futtani a hivatkozott területen vagy sem (1)hivatkozott területen vagy sem (1)
.NET felügyelt kód esetén ez nem probléma.NET felügyelt kód esetén ez nem probléma /GS: Visual C++ fordító opció verem túlcsordúlás /GS: Visual C++ fordító opció verem túlcsordúlás
detektálásdetektálás
Beágyazott proaktív védelemAddress Space Layout Randomization
![Page 36: Windows Vista biztonsági újdonságai](https://reader036.vdocuments.pub/reader036/viewer/2022062519/5681541a550346895dc215ad/html5/thumbnails/36.jpg)
Amit a KPP tiltAmit a KPP tilt Az egyes meghajtó programok nem módosíthatják a Az egyes meghajtó programok nem módosíthatják a
system service táblák function mutatóit (kernel hook)system service táblák function mutatóit (kernel hook) Interrupt descriptor table (IDT)Interrupt descriptor table (IDT) Global descriptor table (GDT)Global descriptor table (GDT)
Bármely kernel verem használatát (kivétel ha azt Bármely kernel verem használatát (kivétel ha azt maga a kernel kezdeményezte)maga a kernel kezdeményezte)
Bármilyen kernel módosítás, bővítmény, patchBármilyen kernel módosítás, bővítmény, patch
Beágyazott proaktív védelemKernel Patch Protection (KPP)
![Page 37: Windows Vista biztonsági újdonságai](https://reader036.vdocuments.pub/reader036/viewer/2022062519/5681541a550346895dc215ad/html5/thumbnails/37.jpg)
Minden kernel módban futó drivernek aláírással Minden kernel módban futó drivernek aláírással kell rendelkezniekell rendelkeznie
Csak aláírt kód tölthető a kernelbeCsak aláírt kód tölthető a kernelbeMég az adminisztrátor sem...Még az adminisztrátor sem...Kernel malware védelemKernel malware védelem...Sony DRM rootkit.... Troj/Stinx-E...Sony DRM rootkit.... Troj/Stinx-E
Mark Russinovich's technical blogMark Russinovich's technical blog http://www.microsoft.com/technet/sysinternals/default.mspx
Beágyazott proaktív védelemCode Signing and Code Integrity
![Page 38: Windows Vista biztonsági újdonságai](https://reader036.vdocuments.pub/reader036/viewer/2022062519/5681541a550346895dc215ad/html5/thumbnails/38.jpg)
NapirendNapirend Biztonsági környezetBiztonsági környezet Jogosultságok, hozzáférésJogosultságok, hozzáférés
Belépés, hitelesítés, AuditBelépés, hitelesítés, Audit Felhasználói fiókokFelhasználói fiókok Windows Service HardeningWindows Service Hardening
User Account Controll demoUser Account Controll demo Program File és Registry Program File és Registry
virtualizációvirtualizáció Beágyazott proaktív védelemBeágyazott proaktív védelem
Address Space Layout Address Space Layout RandomizationRandomization
Data Execution ProtectionData Execution Protection Kernel Patch Protection (x64)Kernel Patch Protection (x64) Kernel Mode Code SigningKernel Mode Code Signing
Egy támadás anatómiájaEgy támadás anatómiája Sérülékenység - támadás Sérülékenység - támadás
időablakidőablak RPC DCOM demoRPC DCOM demo
IzolációIzoláció Windows Firewall/IPSec demoWindows Firewall/IPSec demo NAPNAP
AdatvédelemAdatvédelem RMS, EFS, BitlockerRMS, EFS, Bitlocker
![Page 39: Windows Vista biztonsági újdonságai](https://reader036.vdocuments.pub/reader036/viewer/2022062519/5681541a550346895dc215ad/html5/thumbnails/39.jpg)
Nincs javítás Automatizált, gyorsan terjedő támadások
•Mutáns verziók
•Fertőző kódot tartalamzó web oldalak
•Spam üzenetek
•Káros csatolmányok
Néhány egyedi támadás
Sérülékenység
(0 day vulnerability)
Támadási mód (kód)
(Exploit)
Malware
(Féreg, vírus)
Fertőzés
Szűkülő időablakProaktív védelem kell, a Reaktív ideje lejárt
![Page 40: Windows Vista biztonsági újdonságai](https://reader036.vdocuments.pub/reader036/viewer/2022062519/5681541a550346895dc215ad/html5/thumbnails/40.jpg)
Microsoft RPC DCOM OverflowMicrosoft RPC DCOM OverflowSecurity Bulletin MS03-026Security Bulletin MS03-026 (Blaster) (Blaster)
BIND
Interface: ISystemActivator
000001a0-0000-0000-c000-
000000000046v0.0
REQUESTFunction Call:
Opnum 4--------------
FunctionArguments
\\server\file
Server Port 135/tcp
Interfaces Available: e1af8308-5d1f-11c9-91a4-08002b14a0fa v3.0 0b0a6584-9e0f-11cf-a3cf-00805f68cb1b v1.1 975201b0-59ca-11d0-a8d5-00a0c90d8051 v1.0 e60c73e6-88f9-11cf-9af1-0020af6e72f4 v2.0 99fcfec4-5260-101b-bbcb-00aa0021347a v0.0 b9e79e60-3d52-11ce-aaa1-00006901293f v0.2 412f241e-c12a-11ce-abff-0020af6e7a17 v0.2 00000136-0000-0000-c000-000000000046 v0.0 c6f3ee72-ce7e-11d1-b71e-00c04fc3111a v1.0 4d9f4ab8-7d1c-11cf-861e-0020af6e7c57 v0.0 000001a0-0000-0000-c000-000000000046 v0.0
Pkt 1
Pkt 2
Pkt 3
![Page 41: Windows Vista biztonsági újdonságai](https://reader036.vdocuments.pub/reader036/viewer/2022062519/5681541a550346895dc215ad/html5/thumbnails/41.jpg)
demó
RPC DCOM OverflowSecurity Bulletin MS03-026
![Page 42: Windows Vista biztonsági újdonságai](https://reader036.vdocuments.pub/reader036/viewer/2022062519/5681541a550346895dc215ad/html5/thumbnails/42.jpg)
NapirendNapirend Biztonsági környezetBiztonsági környezet Jogosultságok, hozzáférésJogosultságok, hozzáférés
Belépés, hitelesítés, AuditBelépés, hitelesítés, Audit Felhasználói fiókokFelhasználói fiókok Windows Service HardeningWindows Service Hardening
User Account Controll demoUser Account Controll demo Program File és Registry Program File és Registry
virtualizációvirtualizáció Beágyazott proaktív védelemBeágyazott proaktív védelem
Address Space Layout Address Space Layout RandomizationRandomization
Data Execution ProtectionData Execution Protection Kernel Patch Protection (x64)Kernel Patch Protection (x64) Kernel Mode Code SigningKernel Mode Code Signing
Egy támadás anatómiájaEgy támadás anatómiája Sérülékenység - támadás Sérülékenység - támadás
időablakidőablak RPC DCOM demoRPC DCOM demo
IzolációIzoláció Windows Firewall/IPSec demoWindows Firewall/IPSec demo NAPNAP
AdatvédelemAdatvédelem RMS, EFS, BitlockerRMS, EFS, Bitlocker
![Page 43: Windows Vista biztonsági újdonságai](https://reader036.vdocuments.pub/reader036/viewer/2022062519/5681541a550346895dc215ad/html5/thumbnails/43.jpg)
Windows XP SP2 Windows Vista
Irány Bejövő Mindkettő
Alapértelmezett reakció
Blokkolás Iránytól függő beállítás
Csomagtípus TCP, UDP, néhány ICMP Mind
Szabály típusok Alkalmazások, portok, ICMP típusok alapján
Összetett szabályok, sokféle feltétellel és lehetőséggel
Szabály opciók Blokkolás Blokkolás, engedélyezés, bypass
UI és eszközök Control Panel, netsh Control Panel, netsh+, MMC
Távoli elérés - RPC-n keresztül (szigorú)
Csoportházirend ADM sablon MMC, netsh
Terminológia Exceptions; profiles Rules; categories=profiles
KomponensekWindows Firewall
![Page 44: Windows Vista biztonsági újdonságai](https://reader036.vdocuments.pub/reader036/viewer/2022062519/5681541a550346895dc215ad/html5/thumbnails/44.jpg)
Kezelés / felület változások Control Panel: majdnem
mint az XP-ben Új MMC felület számos
extrával: „WF with Advanced Security”
Távoli elérés MMC-vel Előredefiniált szabályok netsh advfirewall
KomponensekWindows Firewall
![Page 45: Windows Vista biztonsági újdonságai](https://reader036.vdocuments.pub/reader036/viewer/2022062519/5681541a550346895dc215ad/html5/thumbnails/45.jpg)
KomponensekWindows FirewallKategóriák
A hálózati profil az első kapcsolódáskor készül el Interfész, DC, hitelesíthető gép, átjáró MAC címe, stb.
Az NLA szerviz detektálja a hálózati változásokat Változás esetén rövid idő alatt vált kategóriát (<200 ms) Ha nem tartományban van, akkor felhasználói interakció kell
Domain Ha a gép tagja a tartománynak (akár csatlakozik éppen, akár nem); teljesen automatikus választás
Private Tartományi tagság nélkül, definiált privát hálózat esetén
Public Minden más hálózat, pl. nyilvános helyek
![Page 46: Windows Vista biztonsági újdonságai](https://reader036.vdocuments.pub/reader036/viewer/2022062519/5681541a550346895dc215ad/html5/thumbnails/46.jpg)
Szabályok újdonságai Forrás és cél IP címek
Speciális kiszolgálók címei
Protokoll típusok Több új + IPv6 kompatibilis
AD felhasználó/gép/csoport fiókok Titkosítás esetén kötelező
Interfész típusa vezetékes, vezetéknélküli, VPN / RAS
Szervizek Előre- és eltérő körülményekre legyártott szabályok
KomponensekWindows Firewall
![Page 47: Windows Vista biztonsági újdonságai](https://reader036.vdocuments.pub/reader036/viewer/2022062519/5681541a550346895dc215ad/html5/thumbnails/47.jpg)
A malwareA malware
lefutlefut
A felhasználóA felhasználó
local admin?local admin?
IgenIgenIgenIgen
NNememNNemem
„Ajtó, ablak...” 0wn3d
A mA malwarealware
letiltja a tűzfalatletiltja a tűzfalat
A mA malwarealware
próbálkozikpróbálkozik
Érted Érted ??
A tűzfalA tűzfal
figyelmeztet!figyelmeztet!
IgenIgenIgenIgen
NNememNNemem Van
ily
en
is c
sak
Van
ily
en
is c
sak
kevés..
.kevés..
.V
an
ily
en
is c
sak
Van
ily
en
is c
sak
kevés..
.kevés..
.
A felhasználóA felhasználó
engedélyeziengedélyezi
Hagyományos tűzfal
![Page 48: Windows Vista biztonsági újdonságai](https://reader036.vdocuments.pub/reader036/viewer/2022062519/5681541a550346895dc215ad/html5/thumbnails/48.jpg)
Tűzfallal integrált, egyszerűsített IPSec Globális beállítások Connection Security Rules
Izoláció, hitelesítés mentesítés, server-to-server, tunnel
Új algoritmusok Titkosítás: AES-128/192/256 Kulcscsere: ECDH-P 256/384
KomponensekIPSec
![Page 49: Windows Vista biztonsági újdonságai](https://reader036.vdocuments.pub/reader036/viewer/2022062519/5681541a550346895dc215ad/html5/thumbnails/49.jpg)
KomponensekIPSec alapú domain és végpont izoláció
![Page 50: Windows Vista biztonsági újdonságai](https://reader036.vdocuments.pub/reader036/viewer/2022062519/5681541a550346895dc215ad/html5/thumbnails/50.jpg)
Kliens <> DC IPSec Immár támogatott Szimultán kapcsolatok Nem gond a
tartományba léptetés (NTLMv2)
Hálózattípusok szerint is
Csak Vista és LH Server esetén
KomponensekIPSec
![Page 51: Windows Vista biztonsági újdonságai](https://reader036.vdocuments.pub/reader036/viewer/2022062519/5681541a550346895dc215ad/html5/thumbnails/51.jpg)
Teljesen új technológiaHasonlít a VPN karanténhoz, de annál több:
Az összes hálózati kliensre érvényes DHCP, Remote Access ügyfelek IPSec, TS ügyfelek EAP ügyfelek (WLAN)
Az LH Server lesz az első NAP kiszolgáló kliensek: Vista, LH Server és Windows XP SP2!
KomponensekNAP
![Page 52: Windows Vista biztonsági újdonságai](https://reader036.vdocuments.pub/reader036/viewer/2022062519/5681541a550346895dc215ad/html5/thumbnails/52.jpg)
Házirendet készítünk, amely alapja lehet: OS frissítések, szignatúra frissítések alkalmazások megléte / hiánya más egyéb tuladonságok ellenőrzése
Ha a feltételek nem találkoznak az elvárásokkal A NAP szerver megtagadja a belépést, de: Egyúttal hozzáférést adhat pl. a frissítések
lelőhelyéhez (WSUS, SMS szerver)
KomponensekNAP
![Page 53: Windows Vista biztonsági újdonságai](https://reader036.vdocuments.pub/reader036/viewer/2022062519/5681541a550346895dc215ad/html5/thumbnails/53.jpg)
Nem felelt meg
1
Zárolt hálózat
A kliens hozzáférést kér a jelenlegi állapota alapján1
4Ha nem felel meg, a kliens egy zárolt VLAN-ba kerül, és csak frissítések, szignatúrák, stb. letöltéséhez a kap hozzáférést (ha kell, ismételve az 1-4. lépést)
2 A DHCP, VPN, switch/router továbbítja a kérést a Microsoft Network Policy kiszolgálónak (RADIUS)
Microsoft Network Policy
Server
3
Policy ServersPatch, AV
MegfeleltDHCP, VPNSwitch/Router
3A Network Policy Server összehasonlítja az általunk definiált házirenddel a kliens állapotát
2
Vista kliens
WSUS, SMS stb.
Vállalati hálózat5
4
Ha megfelel, teljes hozzáférést kap a belső hálózathoz5
KomponensekNAP
![Page 54: Windows Vista biztonsági újdonságai](https://reader036.vdocuments.pub/reader036/viewer/2022062519/5681541a550346895dc215ad/html5/thumbnails/54.jpg)
demó
Windows Firewall
![Page 55: Windows Vista biztonsági újdonságai](https://reader036.vdocuments.pub/reader036/viewer/2022062519/5681541a550346895dc215ad/html5/thumbnails/55.jpg)
Adatvédelem a fájltól a lemezigAdatvédelem a fájltól a lemezigHázirend definició és
betartatás
Rights Management Services (RMS)
Felhasználó szintű fájl titkosítás
Encrypting File System (EFS)
Hardveres lemez titkosítás
Bitlocker Drive Encryption
![Page 56: Windows Vista biztonsági újdonságai](https://reader036.vdocuments.pub/reader036/viewer/2022062519/5681541a550346895dc215ad/html5/thumbnails/56.jpg)
Mit mire használjunk?Mit mire használjunk?TerületTerület RMSRMS EFSEFS BitLockeBitLocke
rr
Nem bízunk a rendszergazdában
Tranzitban lévő dokumentumok védelme
Dokumentumok házirend alapú védelme
Csoportmunka során használt dokumentumok védelme
Távoli fájl- és mappa védelme
Megosztott gépek mappa szintű védelme
Elveszett notebook-ok adatainak védelme
Egyéni (otthoni) fájl- és mappa védelem
Gyengébben védhető fiók kiszolgáló
![Page 57: Windows Vista biztonsági újdonságai](https://reader036.vdocuments.pub/reader036/viewer/2022062519/5681541a550346895dc215ad/html5/thumbnails/57.jpg)
VégszóVégszó A rabló pandúr harc A rabló pandúr harc
folytatódikfolytatódik A megelőzés az egyik A megelőzés az egyik
legjobb védelem legjobb védelem (AAA)(AAA)
A biztonság több A biztonság több megoldás együttes megoldás együttes eredményeeredménye
![Page 58: Windows Vista biztonsági újdonságai](https://reader036.vdocuments.pub/reader036/viewer/2022062519/5681541a550346895dc215ad/html5/thumbnails/58.jpg)
További jó hírek …További jó hírek …“Suspected Worm Creators Arrested - Hunt for Zotob Authors Leads To Turkey, Morocco” - The Washington Post, 27 Aug 2005
“Zotob Arrest Breaks Credit Card Fraud Ring …..Turkish officials have identified 16 more suspects this week in a continuing crackdown…..- eWeek.com, 30 Aug 2005
“Despite arrest, new variant of Sasser worm appears …..'an organized group of delinquents' is behind the worm - IDG News Service, 9 May 2004
“Teen admits creating Sasser worm” – CNN.com, 6 Jul 2005
“Teenager arrested in 'Blaster' Internet attack”
Neighbor: 'I cannot believe he was doing any hacking’
– CNN.com, 30 Aug 2003
Sven Jaschan, Germany
Jeffrey Lee Parson, Minneapolis, USA
Atilla Ekici, Turkey
![Page 59: Windows Vista biztonsági újdonságai](https://reader036.vdocuments.pub/reader036/viewer/2022062519/5681541a550346895dc215ad/html5/thumbnails/59.jpg)
További információ
Web Magyar TechNet Portál (benne a Vista modullal)
http://www.microsoft.hu/technet Vista a TechNet-en
http://www.microsoft.com/technet/windowsvista TechNet Security Center
http://www.microsoft.com/technet/security
RSS Windows Vista Security blog
http://blogs.msdn.com/windowsvistasecurity Windows Vista Team blog
http://blogs.technet.com/windowsvista
![Page 60: Windows Vista biztonsági újdonságai](https://reader036.vdocuments.pub/reader036/viewer/2022062519/5681541a550346895dc215ad/html5/thumbnails/60.jpg)