Microsoft Sicherheitstechnologien Sven Thimm Björn Schneider Microsoft Senior Presales Consultant Senior Consultant IT-Security v-svthim@microsoft.com v-bschne@microsoft.com Techlevel 200 TechNet Roadshow zum Windows Server System: Migration, Deployment und Sicherheit

Microsoft Sicherheitstechnologien Agenda Das Securityproblem Patchmanagement Security Engineering Identity & Access Management Perimeter Sicherheit Security Roadmap TechNet Roadshow zum Windows Server System: Migration, Deployment und Sicherheit

Das Security Problem Sicherheitskrise der Software-Branche Microsoft Sicherheitstechnologien Das Security Problem Sicherheitskrise der Software-Branche Quelle: securityfocus.org, Stand: 07.02.2004 TechNet Roadshow zum Windows Server System: Migration, Deployment und Sicherheit

Das Security Problem Social Engineering Microsoft Sicherheitstechnologien Das Security Problem Social Engineering Definition Nichttechnisches Ausspähen von Informationen durch Kontakt zu den Informationsträgern Sicherheitsvorkehrungen werden nicht auf technischer, sondern auf sozialer Ebene umgangen Prevention Schwachstelle Mensch (Trainings, Awareness) Beseitigung von Prozessmängeln Einsatz von geeigneten Technologien TechNet Roadshow zum Windows Server System: Migration, Deployment und Sicherheit

Das Security Problem Bewertung des Risikos Microsoft Sicherheitstechnologien Das Security Problem Bewertung des Risikos R = B x V x W R = Risiko Wahrscheinlichkeit einer Kompromittierung von Missbrauch B = Bedrohung Umgebung Internet, LAN, Offline Verbreitung des Systems V = Verletzlichkeit Vulnerabilities, Exploits potentielle Angriffsfläche W = Wert der Beute Daten als Ware Ruhm, Anerkennung Anrichten von Schaden z.B. Verlust von Verfügbarkeit TechNet Roadshow zum Windows Server System: Migration, Deployment und Sicherheit

Das Security Problem Software Security Pendel Microsoft Sicherheitstechnologien Das Security Problem Software Security Pendel Einfache Benutzung “Automagic” Alle Features sind ON by default Große Angriffsfläche Out Of The Box Experience Features Attacks Marketing Mode Usability & Features Security Privacy TechNet Roadshow zum Windows Server System: Migration, Deployment und Sicherheit

Das Security Problem Software Security Pendel Microsoft Sicherheitstechnologien Das Security Problem Software Security Pendel Geringe “connectivity” Viele Sicherheitsdialoge Minimierte Angriffsfläche Oft schwieriger zu benutzen Nur schwer zu vermarkten Paranoid Mode Usability & Features Security Privacy TechNet Roadshow zum Windows Server System: Migration, Deployment und Sicherheit

Das Security Problem Software Security Pendel Microsoft Sicherheitstechnologien Das Security Problem Software Security Pendel Kleinere Angriffsfläche Weniger Sicherheits-Dialoge, aber Transparente Einstellung Alles konfigurierbar Sicher handhabbar! Security & Privacy als Feature für den Anwender Optimum Usability & Features Security Privacy TechNet Roadshow zum Windows Server System: Migration, Deployment und Sicherheit

Microsoft Sicherheitstechnologien Patchmanagement TechNet Roadshow zum Windows Server System: Migration, Deployment und Sicherheit

Patchmanagement Neuer Zeitplan für Patches Microsoft Sicherheitstechnologien Patchmanagement Neuer Zeitplan für Patches Sicherheits-Patches monatlich Patch-Paket an jedem 2. Dienstag im Monat 13.01.04, 10.02.04, 09.03.04, 13.04.04, 11.05.04, … Bessere Test- und Deployment Planung möglich Patches als Gesamtpaket oder einzeln Notfall-Patches (Exploit aufgetaucht) Sofortige Bereitstellung des Patches Verlängerter Sicherheits-Support (H1/04) Windows 2000 SP2 Windows NT4 Workstation SP6a TechNet Roadshow zum Windows Server System: Migration, Deployment und Sicherheit

Patchmanagement Rating von Security Bulletins Microsoft Sicherheitstechnologien Patchmanagement Rating von Security Bulletins Rating Definition Kundenaktion Die Schwachstelle ermöglicht die Verbreitung eines Internet Wurms wie Code Red oder Nimda ohne Zutun des Anwenders Unverzügliche Installation des Patches oder Durchführung entsprechender Anweisungen Durch die Schwachstelle kann die Vertraulichkeit, Integrität, oder Verfügbarkeit von Anwenderdaten oder Prozess Systemen kompromittiert werden. Baldmöglichste Installation des Patches oder Durchführung entsprechender Anweisungen Die Schwachstelle wird bereits durch verschiedene Faktoren (z.B. Standard-konfiguration, Audits, Anwenderverhalten oder Komplexität des Angriffes) signifikant abgeschwächt. Überprüfung des Bulletins, Eignung und Einsatz des Patches überprüfen und entsprechend fortfahren gering Ausnutzung der Schwachstelle ist äußerst schwierig oder die Auswirkungen sind minimal Einplanung des Patches im nächsten standardmäßig geplanten Update Intervall TechNet Roadshow zum Windows Server System: Migration, Deployment und Sicherheit

Patchmanagement Entstehung des Blaster Wurms Microsoft Sicherheitstechnologien Patchmanagement Entstehung des Blaster Wurms 1. Juli 03 16. Juli 03 25. Juli 03 11. August 03 Schwachstelle entdeckt / Start der Patchentwicklung Bulletin & Patch verfügbar, bisher kein Angriff Angriffs-Code wird veröffentlicht Wurm infiziert die Welt Report Schwachstelle in RPC/DDOM aufgedeckt MS startet den höchsten Notfall-prozess Level Bulletin MS03-026 wird an Kunden ausgeliefert Kontinuierliche Kommunikation mit Analysten, Presse, Community, Partner, Regierungsbehörden Exploit X-focus (Chinesische Security-Spezialisten) veröffentlicht Angriffs-Tool MS maximiert die Anstrengungen, alle Kunden zu informieren Wurm Blaster Wurm entdeckt Varianten und andere Viren schlagen gemeinsam zu (z.B. “SoBig”) Blaster zeigt das komplexe Zusammenspiel zwischen Sicherheitsforschung, Softwareherstellern und Hackern TechNet Roadshow zum Windows Server System: Migration, Deployment und Sicherheit

Patchmanagement Tools und Technologien Microsoft Sicherheitstechnologien Patchmanagement Tools und Technologien Scanning Engines Hfnetchk, MBSA, Office Inventory Tool Einzelplatzlösung Office Update Windows Update, Automatic Update Unternehmenslösungen SUS 1.0 SP1 SMS 2003 Microsoft Solution for Management (MSM) TechNet Roadshow zum Windows Server System: Migration, Deployment und Sicherheit

Patchmanagement SUS 1.0: Übersicht Microsoft Sicherheitstechnologien Patchmanagement SUS 1.0: Übersicht Windows Update Service Windows Update Service SUS Server prüft ob neue Aktualisierungen vorliegen Firewall Administrator erteilt Freigabe für überprüfte Aktualisierungen Bandbreiten Prüfung Bandbreiten Prüfung Freigegebene Updates werden mit untergeordneten SUS Servern synchronisiert Untergeordneter SUS Server AU erhält freigegebene Aktualisierungsliste vom SUS Server SUS Server Bandbreiten Prüfung AU lädt freigegebene Aktualisierungen vom SUS Server herunter Untergeordneter SUS Server AU informiert bzw. installiert das Update DEMO Client GPO AU hält Installationshistorie fest TechNet Roadshow zum Windows Server System: Migration, Deployment und Sicherheit

Patchmanagement Microsoft Update Microsoft Sicherheitstechnologien Patchmanagement Microsoft Update Microsoft Update Office Update Windows Update Windows Update Mitte 2004 Heute Microsoft Update Onlinedienst und Aktualisierung für die gesamte Microsoft Software Basierend auf der SUS Infrastruktur Integriert per Design: - automatisches Scannen - Installation der Aktualisierung - Berichtauswertung SUS SMS TechNet Roadshow zum Windows Server System: Migration, Deployment und Sicherheit

Microsoft Sicherheitstechnologien Preview SUS 2.0 TechNet Roadshow zum Windows Server System: Migration, Deployment und Sicherheit

Microsoft Sicherheitstechnologien Patchmanagement SUS 2.0 Unterstützung für zusätzliche MS Produkte Office 2003, SQL Server 2000, Exchange Server zusätzliche Unterstützung weiterer Produkte Administrative Kontrolle Möglichkeit der automatischen Deinstallation Anpassung der Client Abfrageintervalle Festlegen des Zeitpunktes bis Installation ausgeführt werden muss Zusätzliche Regeln für automatische Installation TechNet Roadshow zum Windows Server System: Migration, Deployment und Sicherheit

Microsoft Sicherheitstechnologien Patchmanagement SUS 2.0 Ausrollen & Zielbestimmung Angepasste Synchronisation mit WU z.B. alle WinXP Patches, aber keine Win2K Inhalte Automatische Aktualisierung des SUS Clients Statusprüfung der installierten Updates Verbessertes Reporting GUI Report-Tool sammelt den Aktualisierunsstatus per Computer-Group oder per Update TechNet Roadshow zum Windows Server System: Migration, Deployment und Sicherheit

Patchmanagement Neue Schutztechnologien Microsoft Sicherheitstechnologien Patchmanagement Neue Schutztechnologien Windows XP SP2 Verbesserte Firewall Email und Browsing sicherer Verbesserter Schutz gegen Buffer Overflows Status: Beta, RTM ca. Sommer 2004 Windows Server 2003 SP1 Rollen-basierte Sicherheitskonfiguration RAS Client Inspection (Quarantäne Technologie) Locale Inspection bei Verbindungsaufbau im LAN RTM evtl. Q4 2004 TechNet Roadshow zum Windows Server System: Migration, Deployment und Sicherheit

Patchmanagement Patching vereinfachen Microsoft Sicherheitstechnologien Patchmanagement Patching vereinfachen Bis Sommer 2004: Nur noch 2 Patch Installer. Alle Patches verhalten sich gleich und sind gleich zu installieren (SUS 2.0, MSI 3.0) Patch Komplexität reduzieren Bis Sommer 2004: Durchgängige Patch-Rollback- Fähigkeit für Windows, SQL, Exchange, Office Patch-Risiko minimieren Bis Sommer 2004: 80% Reduktion der Grösse. (Delta patching Technologie, Optimierungen in MSI 3.0) Patch Grösse reduzieren Bis Sommer 2004: 30% weniger Reboots bei Win 2003 (mit SP1). Bis 70% Reduktion bei nächster Server-Generation Downtime reduzieren Bis Ende 2004: Alle Patches auf “MS Update”. Derzeit: SMS 2003 kann alle Patches für aktuelle MS Apps verteilen Patch Automation für alle Produkte TechNet Roadshow zum Windows Server System: Migration, Deployment und Sicherheit

Patchmanagement Reaktionszeit Microsoft Sicherheitstechnologien Patchmanagement Reaktionszeit Tage zwischen Patch und Angriff Exploits werden intelligenter Zeitspanne zwischen Erscheinen des Patches und Auftreten eines Exploits sinkt Traditionelle Software-verteilung zu zeitintensiv Ansatz Patchmanagement reicht nicht Neue Techniken müssen entwickelt werden 151 180 331 Blaster Welchia/ Nachi Nimda 25 SQL Slammer TechNet Roadshow zum Windows Server System: Migration, Deployment und Sicherheit

Microsoft Sicherheitstechnologien Security Engineering TechNet Roadshow zum Windows Server System: Migration, Deployment und Sicherheit

Security Engineering Threat Modeling Microsoft Sicherheitstechnologien Security Engineering Threat Modeling Klassischer Ansatz „Entwickler und Tester beweisen, dass ihre Anwendung unter verschiedensten Bedingungen funktioniert.“ OK für „geschlossene“ Software-Systeme Nicht OK für Systeme im Internet “Threat modeling”  You need to think N ! Anwendung “zerlegen” Interfaces identifizieren (Sockets, Named Pipes) Daten-Strukturen analysieren Angriffspunkte durch Datenmutation penetrieren TechNet Roadshow zum Windows Server System: Migration, Deployment und Sicherheit

Security Engineering Fehler bei der Softwareentwicklung Microsoft Sicherheitstechnologien Security Engineering Fehler bei der Softwareentwicklung Buffer Overruns Was kann passieren?  Bluescreen  System wird instabil  Debugging???  Angreifer injiziert bösen Code und ist Admin! Ein Buffer Ein paar Daten Pack sie zusammen { Hope there’s nothing of interest here! TechNet Roadshow zum Windows Server System: Migration, Deployment und Sicherheit

Security Engineering Das “Türkisch-İ Problem” Microsoft Sicherheitstechnologien Security Engineering Das “Türkisch-İ Problem” Im Türkischen gibt es 4 Buchstaben für “I” i (U+0069) I (U+0049) ı (U+0131) İ (U+0130) Im Türkischen UC ("file") == FİLE İ // Do not allow "FILE://" URLs if(url.ToUpper().Left(4) == "FILE") return ERROR; getStuff(url);  // Only allow "HTTP://" URLs if(url.ToUpper(CultureInfo.InvariantCulture).Left(4) == "HTTP") getStuff(url); else return ERROR;  TechNet Roadshow zum Windows Server System: Migration, Deployment und Sicherheit

Microsoft Sicherheitstechnologien Identity Management TechNet Roadshow zum Windows Server System: Migration, Deployment und Sicherheit

Identity & Access Management Überblick Microsoft Sicherheitstechnologien Identity & Access Management Überblick Wireless LAN RADIUS VPN Gateway LAN Client UNIX App Email Datenbank Application Server File Server Web Server Non-AD Directory Intranet Portal Firewall Meta Directory Active Directory TechNet Roadshow zum Windows Server System: Migration, Deployment und Sicherheit

Microsoft Sicherheitstechnologien Perimeter Sicherheit TechNet Roadshow zum Windows Server System: Migration, Deployment und Sicherheit

Perimeter Sicherheit Firewall-Technologien Microsoft Sicherheitstechnologien Perimeter Sicherheit Firewall-Technologien Static-Packet-Filtering (PF) Älteste und einfachste Firewall-Technologie Statische Analyse der Network- und Transport-Header Hoher Datendurchsatz durch einfache Paketanalysen Wenig Schutz bei komplexen Konfigurationen! Keine Zuordnung von Antworten zu ihren Anfragen Probleme bei Auswertung von fragmentierten Paketen TechNet Roadshow zum Windows Server System: Migration, Deployment und Sicherheit

Perimeter Sicherheit Firewall-Technologien Microsoft Sicherheitstechnologien Perimeter Sicherheit Firewall-Technologien Stateful-Packet-Filtering (SPF) Firewall verwaltet Sitzungstabelle aller Anfragen Antworten dürfen nur nach Anfrage passieren Komplexe Protokolle verwenden dynamische Ports FTP Zugriffe (PASV u. PORT), Voice-over-IP, RPC, u.v.m. SPF können die Steuerinformationen auswerten Primäre und sekundäre Verbindung bilden eine Sitzung Automatisches Hinzufügen von dynamischen Paketfiltern möglich TechNet Roadshow zum Windows Server System: Migration, Deployment und Sicherheit

Perimeter Sicherheit Firewall-Technologien Microsoft Sicherheitstechnologien Perimeter Sicherheit Firewall-Technologien Was bedeutet heutzutage TCP Port 80? Laut iana.org : „Hypertext Transfer Protokoll“ In der Realität : „Universal Firewall Bypass Protokoll“ Viele Unternehmen haben „Port 80“ an ihrer Firewall geöffnet Viele Anwendungen tunneln ihre Daten über Port 80/HTTP Wie kann man dann die Protokollintegrität sicherstellen? Einsatz von Application-Layer-Filtering (ALF) Umsetzung als protokollspezifischer Proxy-Server Umsetzung als transparente Datenstromfilter TechNet Roadshow zum Windows Server System: Migration, Deployment und Sicherheit

Perimeter Sicherheit ALF Funktionalitäten (HTTP) Microsoft Sicherheitstechnologien Perimeter Sicherheit ALF Funktionalitäten (HTTP) Filterung anhand von Informationen wie… Hostheader  gibt Auskunft über das Ziel Dateiendung  gibt Auskunft über den Datentyp Benutzerkennung, User-Agent, Mime-Type protokollspezifischer Befehle PUT, DELETE, MOVE, OPTIONS, PROPFIND, POLL, … Filterung von bekannten Angriffssignaturen URL Encoding Probleme, Folder Traversal Bugs /scripts/..%255c../winnt/system32/cmd.exe?/c+… Buffer Overruns in eingesetzten Webserver /default.ida?xxxxxxxxx…xxxxxxxxx+SHELLCODE TechNet Roadshow zum Windows Server System: Migration, Deployment und Sicherheit

Perimeter Sicherheit ISA Server 2004 Microsoft Sicherheitstechnologien Perimeter Sicherheit ISA Server 2004 Künftige Firewall-, VPN- und Cache-Lösung Status: Beta 2 (englisch und deutsch) Stateful- und Application-Layer-Filterung ALF: HTTP, SMTP, FTP, DNS, POP3, RPC… Deep Content Inspection Erweitert VPN Dienst von Windows Server VPN- und Quarantänenetzwerke Multi-Networking Support Verbesserte GUI TechNet Roadshow zum Windows Server System: Migration, Deployment und Sicherheit

Microsoft Sicherheitstechnologien ISA Server 2004 TechNet Roadshow zum Windows Server System: Migration, Deployment und Sicherheit

Perimeter Sicherheit Vergleich ISA Server 2004 vs. 2000 Microsoft Sicherheitstechnologien Perimeter Sicherheit Vergleich ISA Server 2004 vs. 2000 Netzwerk-topologien Unlimitierte Anzahl von Netzwerken und Topologien Ein internes und ein externes Netzwerk sowie eine DMZ Sicherheits-richtlinien Sicherheitsrichtlinien für jedes Netzwerk Eine Sicherheitsrichtlinie für alle Netzwerke Netzwerkrouting NAT oder Routing in alle Netzwerke Ausschließlich NAT ins interne Netzwerk (LAT) Content Inspection Komplette „Stateful Inspection“ auf allen Netzwerken + ALF „Stateful Inspection“ nur von und zum internen Netzwerk (LAT) VPN Filterung Stateful-Filterung des VPN Traffics möglich Keine Stateful-Filterung des VPN Traffics Architektur Performance-optimierte Multilayer Fliltering Engine Parallele Web-Proxy- und Firewall Dienste Management Komplett überarbeitetes User-Interface Standard MMC Plug-In VPN Support PPTP, L2TP IPSec + IPSec Tunnel Mode (NAT Traversal) PPTP, L2TP IPSec TechNet Roadshow zum Windows Server System: Migration, Deployment und Sicherheit

Perimeter Sicherheit Fazit der Filterungstechnologien Microsoft Sicherheitstechnologien Perimeter Sicherheit Fazit der Filterungstechnologien Paketfilter sind Mittel zur groben Datenfilterung Einfach anwendbar durch einheitliche Protokolle Gut geeignet, um Kommunikation zu „Blocken“ ALFs beherrschen intelligente Datenfilterung Portnummern sind nicht mehr aussagekräftig Viele Angriffe finden auf Anwendungsebene statt Sind ALFs eine 100%ige Schutzmöglichkeit? FW ist blind gegen clientseitige Verschlüsselung Intelligentere „FW-Hacks“ wie z.B. VPN over SSL http://foo.de/vpn.pl?data=[VPNProtokoll] TechNet Roadshow zum Windows Server System: Migration, Deployment und Sicherheit

Microsoft Sicherheitstechnologien Security Roadmap Heute H1 04 H2 04 Zukunft Erweiterter Support Monatliche Patch Releases Basis-Sicherheits-richtlinien Aufbau einer Community SMS 2003 Windows XP SP2 mit verbessertem Patching SUS 2.0 Microsoft Update Breitentrainings ISA Server 2004 Standard Edition Windows Server 2003 SP1 mit neuen Sicherheits-technologien Next generation inspection ISA Server 2004 Enterprise Edition NGSCB Windows hardening Weiterführende Sicherheits- technologien auf BS-Level TechNet Roadshow zum Windows Server System: Migration, Deployment und Sicherheit

Die richtigen Schritte zu effizienter Sicherheit Microsoft Sicherheitstechnologien Die richtigen Schritte zu effizienter Sicherheit Implementierung einer Patchmanagement-Strategie Standardisierung der Serverplattform auf Windows Server 2003 Upgrade der Laptops & Remote Systeme auf Windows XP Erstellung eines Security Plans Durchführung eines Security Audits TechNet Roadshow zum Windows Server System: Migration, Deployment und Sicherheit

Microsoft Sicherheitstechnologien Literatur Windows Sicherheit – Das Praxisbuch Weltner, Wilke, Schneider erschienen bei Microsoft Press Writing Secure Code – 2 Michael Howard, David LeBlanc erscheinen bei Microsoft Press Bill Gates: „Required reading at Microsoft“ TechNet Roadshow zum Windows Server System: Migration, Deployment und Sicherheit

Microsoft Sicherheitstechnologien Links Neuer Security Bulletin Release Prozess: http://www.microsoft.com/technet/security/bulletin/revsbwp.asp Security Bulletins: http://www.microsoft.com/germany/ms/technetservicedesk /bulletin/ Schweizer Security Webseite: http://www.microsoft.com/switzerland/de/security Leitfaden zur Sicherheitspatch-Verwaltung http://www.microsoft.com/germany/ms/technetdatenbank /showArticle.asp?siteid=600262 ISA Server 2004 Beta Webseite http://www.microsoft.com/isaserver/beta/default.asp TechNet Roadshow zum Windows Server System: Migration, Deployment und Sicherheit

Microsoft Sicherheitstechnologien TechNet Roadshow zum Windows Server System: Migration, Deployment und Sicherheit

Ihr Potenzial. Unser Antrieb. Microsoft Sicherheitstechnologien Ihr Potenzial. Unser Antrieb. TechNet Roadshow zum Windows Server System: Migration, Deployment und Sicherheit