TechNet Security Roadshow 2002

Desktop Security Dr. Tobias Weltner Senior Developer Consultant

Werte Verletzbarkeit Bedrohung Beute

Sicherungs- Techniken Bewacht ! Beute ggrr!

Agenda Nobody believes anything bad can happen to them, until it does Nobody believes anything bad can happen to them, until it does Was sind reale Angriffsszenarien? Was sind reale Angriffsszenarien? Security only works if the secure way also happens to be the easy way Security only works if the secure way also happens to be the easy way Wie verhindert Windows XP solche Angriffe, ohne die Arbeit zu behindern? Wie verhindert Windows XP solche Angriffe, ohne die Arbeit zu behindern? Security isn't about risk avoidance; it's about risk management Security isn't about risk avoidance; it's about risk management Wie lassen sich Konfigurationsfehler finden und beheben? Wie lassen sich Konfigurationsfehler finden und beheben?

Sicheres Fundament NTFS-Basisabsicherung NTFS-Basisabsicherung Einschließlich Stammlaufwerk Einschließlich Stammlaufwerk Besonderer Schutz für lokale Profile Besonderer Schutz für lokale Profile Einfache Dateifreigabe Einfache Dateifreigabe Lokale Konten werden zu Gast Lokale Konten werden zu Gast NTFS-Berechtigungen für Freigaben werden transparent verwaltet NTFS-Berechtigungen für Freigaben werden transparent verwaltet Drucker- und Dateifreigabe zunächst abgeschaltet Drucker- und Dateifreigabe zunächst abgeschaltet Zusätzliche Gruppenrichtlinien Zusätzliche Gruppenrichtlinien Verwendung ungeschützter Konten verhindern Verwendung ungeschützter Konten verhindern Eingebaute Konten abschalten Eingebaute Konten abschalten Nullsession-Informationen reduzieren Nullsession-Informationen reduzieren

DemoAngriffeSicherheitsvorlagenGast-Anmeldung

Dokumente schützen Kennwortschutz Kennwortschutz Verschlüsselung und Read-Only Verschlüsselung und Read-Only Verschiedene Verschlüsselungsstärken Verschiedene Verschlüsselungsstärken Zusätzlich zu Betriebssystem- Mechanismen wie IPSec/EFS Zusätzlich zu Betriebssystem- Mechanismen wie IPSec/EFS Dokumentengebunden ( -Versand) Dokumentengebunden ( -Versand) Digitale Signaturen Digitale Signaturen Bestätigen Herkunft Bestätigen Herkunft Sichern Datenintegrität Sichern Datenintegrität Unterscheiden zwischen gewollten und ungewollten eingebetteten Makros Unterscheiden zwischen gewollten und ungewollten eingebetteten Makros

DemoNetzwerksnifferVerschlüsselungSignatur

Sicherer Umgang mit Level1/2-Anhänge sperren Level1/2-Anhänge sperren Nachträglich konfigurierbar Nachträglich konfigurierbar Schutz des Automationsmodells Schutz des Automationsmodells In Exchange-Umgebung veränderbar In Exchange-Umgebung veränderbar Signaturen und Verschlüsselung Signaturen und Verschlüsselung Per Default stärkste Sicherheit Per Default stärkste Sicherheit Out-of-the-Box Schutz gegen übliche Angriffsformen Out-of-the-Box Schutz gegen übliche Angriffsformen Konfigurierbar durch Administratoren Konfigurierbar durch Administratoren

Sicherer Umgang mit

Demo -Anhänge sichern Automation kontrollieren

Softwareeinschränkung Teil der GPOs, ab Windows XP Teil der GPOs, ab Windows XP Vier Regeln, vielfältige Möglichkeiten: Vier Regeln, vielfältige Möglichkeiten: Pfadregel Pfadregel Hashregel Hashregel Zertifikatregel Zertifikatregel Zonenregel Zonenregel Basisschutz, aber Risiken beachten: Basisschutz, aber Risiken beachten: AuthenticodeEnabled bei Zertifikatregel AuthenticodeEnabled bei Zertifikatregel Binäränderungen bei Hashregel Binäränderungen bei Hashregel

DemoSoftwareeinschränkung Pfad-, Hash- und Zertifikatregeln

Internet-Verbindungsfirewall Stateful Firewall Stateful Firewall Session Table Session Table Keine Benutzerinteraktion, vollkommen transparent Keine Benutzerinteraktion, vollkommen transparent Für alle selbstinitiierten Verbindungen Für alle selbstinitiierten Verbindungen Einwahl/Modem Einwahl/Modem ADSL ADSL Wireless LAN, etc. Wireless LAN, etc. Kein Schutz vor Trojanern? Kein Schutz vor Trojanern? Stimmt, ist aber auch nicht das Ziel der IFV Stimmt, ist aber auch nicht das Ziel der IFV

Demo Internet-Verbindungs- Firewall

Datenschutz Verschlüsselndes Dateisystem (EFS) Verschlüsselndes Dateisystem (EFS) Verschlüsselt auch Offlineordner Verschlüsselt auch Offlineordner Zugriff auf weitere Personen ausdehnbar Zugriff auf weitere Personen ausdehnbar Flexibler Wiederherstellungsagent mit neuem CIPHER (nicht mehr zwingend) Flexibler Wiederherstellungsagent mit neuem CIPHER (nicht mehr zwingend) Über GPOs verwaltbar Über GPOs verwaltbar SYSKEY SYSKEY Schutz mobiler Computer Schutz mobiler Computer Zertifikatspeicher Zertifikatspeicher Zusätzliche Absicherung über persönliches Kennwort Zusätzliche Absicherung über persönliches Kennwort

Demo Verschlüsselndes Dateisystem SYSKEYZertifikatspeicher

Fehlkonfigurationen finden MBSA MBSA Prüft die häufigsten Fehlkonfigurationen Prüft die häufigsten Fehlkonfigurationen Basis-Analyse, keine Wunderlösung Basis-Analyse, keine Wunderlösung HFNetCheck HFNetCheck Netzwerkweite Hotfix-Analyse Netzwerkweite Hotfix-Analyse IIS Lockdown Tool IIS Lockdown Tool Webserver rollenspezifisch absichern Webserver rollenspezifisch absichern Enthält URLScan Enthält URLScan

DemoMBSAHFNetCheck

Übersicht Office 97/ Windows 98 Office 2000/ Windows 2000 Office XP/ Windows XP Virus-APINeinNeinJa Digitale Signaturen NeinJaJa Makro Sicherheit NeinMittelHoch Outlook Sicherheit Nein Level 1/2 Anhänge Zusätzlich Automations- einschränkung IPSecNeinJaJa Verschlüsselndes Dateisystem NeinJaJa Internet Connection Firewall NeinNeinJa Software- einschränkung NeinNeinJa

Fazit Moderne IT ist nicht nur effizient, sondern auch komplex Moderne IT ist nicht nur effizient, sondern auch komplex Windows XP und Office XP liefern transparente Sicherheitslösungen Windows XP und Office XP liefern transparente Sicherheitslösungen Wirksam im Hintergrund Wirksam im Hintergrund Zentral administrierbar Zentral administrierbar Für den Endanwender weitgehend unsichtbar Für den Endanwender weitgehend unsichtbar Wesentlich gestärkte Sicherheit bei gleichem Arbeitsablauf Wesentlich gestärkte Sicherheit bei gleichem Arbeitsablauf

Ressourcen Microsoft Baseline Security Analyzer und weitere Tools tools/Tools Microsoft Baseline Security Analyzer und weitere Tools tools/Tools tools/Tools tools/Tools Internet Connection Firewall ol/winxppro/proddocs/hnw_understanding_fir ewall.asp Internet Connection Firewall ol/winxppro/proddocs/hnw_understanding_fir ewall.asp ol/winxppro/proddocs/hnw_understanding_fir ewall.asp ol/winxppro/proddocs/hnw_understanding_fir ewall.asp Office Makrosignaturen ecurity/5min/5min-402.asp Office Makrosignaturen ecurity/5min/5min-402.asp ecurity/5min/5min-402.asp ecurity/5min/5min-402.asp

Ressourcen Einfache Dateifreigabe ol/winxppro/reskit/prde_ffs_ypuh.asp Einfache Dateifreigabe ol/winxppro/reskit/prde_ffs_ypuh.asp ol/winxppro/reskit/prde_ffs_ypuh.asp ol/winxppro/reskit/prde_ffs_ypuh.asp Verschlüsselndes Dateisystem ol/winxppro/reskit/prnb_efs_awzg.asp Verschlüsselndes Dateisystem ol/winxppro/reskit/prnb_efs_awzg.asp ol/winxppro/reskit/prnb_efs_awzg.asp ol/winxppro/reskit/prnb_efs_awzg.asp Softwareeinschränkungen ol/winxppro/proddocs/SRP_overview.asp Softwareeinschränkungen ol/winxppro/proddocs/SRP_overview.asp ol/winxppro/proddocs/SRP_overview.asp ol/winxppro/proddocs/SRP_overview.asp

Ressourcen Codesigning-Werkzeuge files/027/000/219/msdncompositedoc.xml Codesigning-Werkzeuge files/027/000/219/msdncompositedoc.xml files/027/000/219/msdncompositedoc.xml files/027/000/219/msdncompositedoc.xml Outlook Admin-Pack (deutsch) look2002/utility/ de/w982kmex p/en-us/geradmpack.exe Outlook Admin-Pack (deutsch) look2002/utility/ de/w982kmex p/en-us/geradmpack.exe look2002/utility/ de/w982kmex p/en-us/geradmpack.exe look2002/utility/ de/w982kmex p/en-us/geradmpack.exe

TechNet Security Roadshow 2002