Haftungsausschluss Bitte beachten Sie, dass es bei diesem Vortrag um Pre-Release Software geht. Bitte beachten Sie, dass es bei diesem Vortrag um Pre-Release.

Präsentation zum Thema: "Haftungsausschluss Bitte beachten Sie, dass es bei diesem Vortrag um Pre-Release Software geht. Bitte beachten Sie, dass es bei diesem Vortrag um Pre-Release."—  Präsentation transkript:

1 Haftungsausschluss Bitte beachten Sie, dass es bei diesem Vortrag um Pre-Release Software geht. Bitte beachten Sie, dass es bei diesem Vortrag um Pre-Release Software geht. Bis die finale Produktversion fertig gestellt ist können sich noch signifikante Änderungen bei den Produkt- oder Technologiefeatures sowie bei der Benutzerführung ergeben. Bis die finale Produktversion fertig gestellt ist können sich noch signifikante Änderungen bei den Produkt- oder Technologiefeatures sowie bei der Benutzerführung ergeben. Microsoft kann für die Richtigkeit und Vollständigkeit der Inhalte in dieser Präsentation keine Haftung übernehmen. Microsoft kann für die Richtigkeit und Vollständigkeit der Inhalte in dieser Präsentation keine Haftung übernehmen. © 2006 Microsoft Deutschland GmbH © 2006 Microsoft Deutschland GmbH

2 Sicherheitserweiterungen Michael Kalbe Technologieberater IT Sicherheit Developer & Plattform Strategy Group http://blogs.technet.com/mkalbe

3 Windows Vista Security im Überblick User Account Control Plug & Play Smartcards Detailliertes Auditing Security and Compliance BitLocker Drive Encryption EFS Smartcards RMS Client Security Development Lifecycle Threat Modeling and Code Reviews Härtung der Windows Dienste Internet Explorer Protected Mode Windows Defender Network Access Protection Grundlagen Identity and Access Control Bedrohungen und Schwachstellen verringern Schutz von Informationen

4 Grundlagen Optimierter Security Development Lifecycle (SDL) Prozess für Windows Vista Regelmäßige und verbindliche Trainings Zuordnung von Sicherheitsberatern für alle Komponenten Threat Modeling als fester Bestandteil der Designphase Security-Reviews und -Tests wurden im Zeitplan berücksichtigt Security als Maßstab für die Produktteams Common Criteria (CC) Zertifizierung

5 Härtung der Dienste Härtung der Windows Dienste Dienste arbeiten im Vergleich zu Windows XP mit verringerten Berechtigungen Windows Dienste sind für erlaubte Aktionen im Netz, am Dateisystem und an der Registry profiliert Wurde entwickelt, um Versuche durch Schadsoftware zu verhindern, über Windows Dienste Zugang zum Netzwerk, Dateisystem oder Registry zu erhalten Active Protection Dateisystem Registry Netzwerk

6 Windows XP SP2 zu Windows Vista Dienste Änderung Windows XP SP2 LocalSystem Wireless Configuration System Event Notification Network Connections (netman) COM+ Event System NLARasauto Shell Hardware Detection ThemesTelephony Windows Audio Error Reporting WorkstationICSRemoteAccess DHCP Client W32timeRasmanbrowser6to4 Help and support Task scheduler TrkWks Cryptographic Services Removable Storage WMI Perf Adapter Automatic updates WMI App Management Secondary Logon BITS Network Service DNS Client Local Service SSDP WebClient TCP/IP NetBIOS helper Remote registry Windows Vista LocalSystem Firewall Restricted WMI Perf Adapter Automatic updates Secondary Logon App Management Wireless Configuration LocalSystemBITSThemesRasmanTrkWks Error Reporting 6to4 Task scheduler RemoteAccessRasautoWMI Network Service Fully Restricted DNS Client ICS DHCP Client browserServerW32time Network Service Network Restricted Cryptographic Services TelephonyPolicyAgentNlasvc Local Service No Network Access System Event Notification Network Connections Shell Hardware Detection COM+ Event System Local Service Fully Restricted Windows Audio TCP/IP NetBIOS helper WebClientSSDP Event Log Workstation Remote registry

7 Bedrohungen und Schwachstellen verringern Schutz vor Schadsoftware und Einbruchs- versuchen in den PC

8 Schutz vor Social Engineering Phishing Filter und Farbdarstellung in der Adressleiste Warnungen vor unsicheren Einstellungen Sichere Standardeinstellungen für IDN Schutz vor Exploits Unified URL Parsing Optimierung der Qualität des Programmcodes (SDLC) ActiveX Opt-in Protected Mode zum Schutz vor Schadsoftware Internet Explorer 7

9 ActiveX Opt-in und Protected Mode ActiveX Opt-in gibt Anwendern die Kontrolle über Controls Verringert die Angriffsoberfläche Ungenutzte Controls werden deaktiviert Erhält die Vorteile von ActiveX und verbessert die Sicherheit Protected Mode reduziert die potentielle Auswirkung von Bedrohungen IE-Prozess ist sandboxed um das Betriebssystem zu schützen Verhindert die stille Installation von Schadsoftware Erhöht die Sicherheit bei Beibehaltung der Kompatibilität ActiveX Opt-in Enabled Controls Windows Disabled Controls User Action Protected Mode User Action IE Cache My Computer (C:) Broker Process Low Rights

10 IE6 IE6 mit Administrator Berechtigungen Treiber Installation, Ausführung von Windows Update Änderung von Einstellungen, herunterladen von Bildern Caching von Webinhalten Exploit kann SCHADSOFTWARE installieren Admin-Rights Access User-Rights Access Temp Internet Files HKLM Programme HKCU Meine Dokumente Autostart Ordner Nicht vertrauenswürdige Dateien & Einstellungen

11 IExplore Installation von ActiveX Controls Änderung von Einstellungen, herunterladen von Bildern Integrity Control IEUser Compat Redirector Caching von Webinhalten Admin-Rights Access User-Rights Access Temp Internet Files HKLM HKCR Programme HKCU Meine Dokumente Autostart Ordner Nicht vertrauenswürdige Dateien & Einstellungen IEAdmin Erweiterter Schutz mit IE7 Protected Mode Umgeleitete Einstellungen & Dateien

12 Windows Defender Verbesserte Erkennung und Entfernung Optimiertes und vereinfachtes User Interface Schutz für alle Arten von Benutzern

13 Windows Vista Firewall Kombinierte Verwaltung von Firewall und IPsec Neues Verwaltungswerkzeug – Windows Firewall with Advanced Security MMC-Snap-In Verringert Konflikte und den Aufwand für die Koordination zwischen beiden Technologien Firewall-Regeln werden intelligenter Definieren Sicherheitsanforderungen wie Authentifizierung oder Verschlüsselung Integration in Active Directory (Benutzer- / Computergruppen) Filterung des ausgehenden Datenverkehrs Konzipiert für den Einsatz in Unternehmensnetzwerken Vereinfachte Richtlinien für den Schutz des Systems reduzieren den Aufwand für die Verwaltung

14 Network Access Protection 1 RestrictedNetwork MSFTNetwork Policy Server 3 Policy Servers e.g. MSFT Security Center, SMS, Antigen or 3 rd party Policy compliant DHCP, VPN Switch/Router 2 Windows Vista Client Fix Up Servers z.B. MSFT WSUS, SMS & 3 rd party Corporate Network 5 Not policy compliant 4 Verbesserte Sicherheit Jede Kommunikation ist authentifiziert, autorisiert und vertrauenswürdig Defense-in-depth mit DHCP, VPN, IPsec, 802.1X Richtlinien-basierter Zugang, der durch das IT-Personal gesteuert werden kann Erhöhter geschäftlicher Nutzen Erhält Produktivität für mobile Anwender Erweitert bestehende Investitionen in Microsoft- und Dritthersteller-Infrastruktur Starke Zusammenarbeit mit Industrie-Partnern

15 Vorbereitungen für NAP Planung und Implementierung von Domain Isolation mit IPsec zur Segmentierung und logischen Isolierung von verwalteten Systemen und nicht verwalteten oder böswilligen Systemen Nutzung von Isolierungstechniken mit IPsec um wichtige Serversysteme in einem gesicherten, logisch isoliertem Netzwerk zu betreiben Planung und Test von NAP in Testumgebungen. NAP ist Bestandteil von Longhorn Server und Windows Vista Beta Versionen.

16 Identity and Access Control Sicherer Zugang zu Informationen

17 Optimierung der Authentifizierung Plug & Play Smart Cards Treiber und Certificate Service Provider (CSP) sind Bestandteil von Windows Vista Login und Eingabeaufforderung für User Account Control unterstützen Smart Cards Neue Logon-Architektur GINA (das bisherige Windows-Logon) wird abgelöst Dritthersteller können Biometrie, one-time Password Tokens und andere Authentifizierungsmethoden mit geringerem Aufwand implementieren

18 Herausforderungen Anwender ist Administrator nicht verwaltete Desktops Viren und Spyware können das Betriebssystem kompromittieren wenn der Zugang mit einem priviligiertem Account erfolgt Anwender mit administrativen Berechtigungen in Organisationen können das gesamte Netzwerk gefährden User können Änderungen durchführen, die ein erneutes Aufsetzen des PCs erforderlich machen Line-of-Business (LoB)-Anwendungen erfordern Admin-Rechte Systemsicherheit muss verringert werden bis Anwendung funktioniert Administratoren müssen die LoB-Anwendung wegen unterschiedlicher Einstellungen für jedes Betriebssystem erneut evaluieren Alltägliche Konfigurationsänderungen erfordern Admin-Rechte Verteilung und Installation von Anwendungen Simple Szenarien wie das Ändern der Systemzeit funktionieren nicht Anwender können nicht-sensitive Account-Informationen nicht selber ändern

19 Zielsetzung: Besser verwaltbare Business-Desktops und Steuerung des PC-Zugangs für private Anwender Das System funktioniert reibungslos für Standard-Anwender: Standard-Anwender können Zeitzone, Powermanagement, Drucker etc. ändern und sich mit sicheren WLANs verbinden Hohe Anwendungskompatibilität durch Virtualisierung von Dateisystem und Registry Deutliche Signalisierung wann eine Rechteänderung erforderlich ist und ermöglicht diese ohne Ab-/Anmeldung Administratoren nutzen vollständige Rechte nur für administrative Aufgaben oder Anwendungen Der Anwender erteilt explizite Zustimmung bevor er mit priviligierten Rechten weiterarbeitet User Account Control

20 User Account Control Windows Firewall Demo

21 Verbessertes Auditing Detailliertere Informationen Unterstützung für viele Auditing-Details: An-/Abmeldung, Dateisystemzugriff, Registry-Zugriff oder Verwendung administrativer Berechtigungen Frühere Windows-Versionen unterstützen nur high-level Kategorien wie System, Logon/Logoff oder Objektzugriff mit begrenzten Detailinformationen Neue Infrastruktur für die Protokollierung Das Ausfiltern des Grundrauschen in Protokollen und das Auffinden des gesuchten Ereignisses wird einfacher Aufgaben sind mit Ereignissen verknüpft: Wenn ein Ereignis wie die Verwendung administrativer Berechtigungen eintritt, können Aufgaben wie der Versand einer Mail zu einem Auditor automatisch ausgeführt werden

22 Information Protection Schutz des Know-how der Organisation und von Kundendaten

23 Informationsverlust ist ein Top-Thema After virus infections, businesses report unintended forwarding of e-mails and loss of mobile devices more frequently than they do any other security breach Jupiter Research Report, 2004 0%10%20%30%40%50%60%70% Loss of digital assets, restored Email piracy Password compromise Loss of mobile devices Unintended forwarding of emails 20% 22% 35% 36% 63% Virus infection

24 BitLocker Drive Encryption Schützt bei Diebstahl oder Verlust, wenn der PC mit einem anderen Betriebs- system gestartet wird oder ein Hacking-Tool zur Umgehung der Windows- Sicherheit eingesetzt wird Bietet Schutz der Daten auf einem Windows-Client - selbst wenn sich der PC in falschen Händen befindet oder ein anderes Betriebs- system ausgeführt wird Verwendet ein v1.2 TPM oder USB Flashdrive zur Schlüsselablage BitLocker BitLocker

25 Spektrum der Absicherung BDE bietet ein Spektrum der Absicherung, dass den Kunden die Abwägung zwischen Ease-of-use und Systemsicherheit ermöglicht*******

26 Windows Vista Informationssicherheit Wovor wollen Sie sich schützen? Andere User oder Administratoren am PC? EFS Unauthorisierte User mit physikalischem Zugriff? BitLocker SzenarioBitLockerEFSRMSLaptop Server in Niederlassung Lokaler Datei- und Verzeichnis-Schutz (Einzelner Anwender) Lokaler Datei- und Verzeichnis-Schutz (Mehrere Anwender) Remote Datei- und Verzeichnis-Schutz Schutz vor Administrator-Zugriff Richtlinien für Informations-Nutzung

27 Zusammenfassung SDL Härtung von Diensten Code Überprüfung Sichere Standardkonfiguration Code Integrität IE Protected Mode und Anti-Phishing Windows Defender Bi-direktionale Firewall IPSEC Verbesserungen Network Access Protection (NAP) Verringerung von Bedrohungen und Schwachstellen Grundlagen Identify and Access Control User Account Control Plug & Play Smartcards Vereinfachte Logon- Architektur BitLocker RMS Client

28