Windows 2008 Security

Amit Gatenyo Infrastructure & Security Manager Dario IT Solutions ltd 054-2492499 [email_address]

Reduces costs, increases hardware utilization, optimizes your infrastructure, and improves server availability Delivers rich web-based experiences efficiently and effectively Provides unprecedented levels of protection for your network, your data, and your business Security Web Virtualization

Development Process Secure Startup and shield up at install Code integrity Windows service hardening Inbound and outbound firewall Restart Manager Improved auditing Network Access Protection Event Forwarding Policy Based Networking Server and Domain Isolation Removable Device Installation Control Active Directory Rights Management Services Security Compliance Security

Reduce size of high risk layers Segment the services Increase # of layers Kernel Drivers User-mode Drivers Service 1 Service 2 Service 3 Service … Service … Service A Service B D D D D D D D D

Windows ® XP SP2/Server 2003 R2 LocalSystem Windows Vista/Server 2008 Network Service Local Service LocalSystem Firewall Restricted Network Service Network Restricted Local Service No Network Access LocalSystem Network Service Fully Restricted Local Service Fully Restricted

נושא Windows XP / Windows Server 2003 Windows Vista / Windows Server 2008 הפעלת תהליכי מערכת ההפעלה בסביבה מופרדת מסביבת המשתמש לא אפשרית , ניתן לגשת אל session 0 מסביבת המשתמש אפשרית , session 0 מופרד מסביבת המשתמש מתן הרשאות על אובייקטים אפשרי ברמת ה – service account אפשרי ברמת ה – SID עבור services הפעלת תהליכי מערכת ההפעלה מתבססת בעיקר על LocalSystem מתבססת על מנגנון אשר מאפשר ביזור הרשאות חלקיות מתוך הרשאות ה – LocalSystem / LocalService / NetworkService שימוש ב – write restricted token לא קיים אפשרי הגבלת גישת ה - services למשאבי הרשת אפשרית רק באופן חלקי ( inbound ) , מותנית בהפעלת ה – windows firewall מרבית ה – windows services מוקשחים ביחס לגישה למשאבי הרשת באופן אוטומטי ללא תלות בהפעלת ה – windows firewall , עבור app services ניתן להגדיר עבורם חוקי הקשחה באמצעות API

Combined firewall and IPsec management Firewall rules become more intelligent Policy-based networking

נושא Windows XP / Windows Server 2003 Windows Vista / Windows Server 2008 אכיפת מדיניות לגבי תעבורת נתונים נכנסת ( inbound ) אפשרית אפשרית אכיפת מדיניות לגבי תעבורת נתונים יוצאת ( outbound ) לא אפשרית אפשרית אכיפת מדיניות לגבי תצורת אבטחת העברת נתונים לא נתמך ברמת ה – firewall , אפשרי למימוש ע " י ה – IP security policies ( GPO ) אפשרית באמצעות IPSEC אכיפת מדיניות בהתאם לחברות בדומיין לא אפשרית אפשרית אכיפת מדיניות בהתאם לשם משתמש / שם מחשב לא אפשרית אפשרית אכיפת מדיניות בהתאם לרשת אליה המחשב מחובר לא אפשרית אפשרית – קיימים 3 פרופילים ( public/private/domain ) תמיכה ב – windows service hardening לא קיימת קיימת תמיכה בהחלת חוקים באמצעות GPO אפשרית אבל הממשק שונה מה – windows firewall MMC אפשרית באופן זהה לחלוטין ל – windows firewall advanced security MMC קביעת חוקי עקיפה ( bypass ) עבור תקשורת נכנסת / יוצאת ממחשבים ספציפיים אפשרית באופן חלקי אפשרית קביעת חוקים בהתאם על סמך אובייקטים מה – Active Directory לא אפשרית אפשרית תמיכה ב – IPv6 אפשרית אבל דורשת SP ( עבור Windows XP – SP2 , עבור Windows Server 2003 – SP1 ) אפשרית ללא צורך ב – SP

Only a subset of the executable files and DLLs installed No GUI interface installed 9 available Server Roles Can be managed with remote tools

Customization Troubleshooting Administration True application deployment Application and health management

Arsenal of Admin Tools Delegated Management Secure Remote Management Shared Config for Web Farms Web Farm Better Tools Intuitive, Task Oriented GUI .NET Management API Unified WMI Provider for IIS/ASP.NET Powerful Command Line Support Rich Runtime State Information Automatic Failure Tracing & Logging Site Owner Web.config XML XCopy Deploy Administrator Internet Manage Remotely Secure HTTPS AppHost.config XML Shared Config Shared App Hosting App

Group Policy allows central encryption policy and provides Branch Office protection Provides data protection, even when the system is in unauthorized hands or is running a different or exploiting Operating System Uses a v1.2 TPM or USB flash drive for key storage Full Volume Encryption Key (FVEK) Encryption Policy

פתרון מתקפה בזמן hibernate מתקפה בזמן sleep/ standby מתקפה כנגד תהליך האתחול מתקפה כנגד online מערכת ההפעלה חשיפת מפתחות בזמן offline מתקפה המבוססת על חשיפת סיסמאות טעויות משתמש זליגת מידע plaintext גניבת המחשב בלבד TPM      בלבד USB      PIN בשילוב TPM       USB בשילוב TPM       

AD RMS protects access to an organization’s digital files AD RMS in Windows Server 2008 includes several new features Improved installation and administration experience Self-enrollment of the AD RMS cluster Integration with AD Federation Services New AD RMS administrative roles Information Author The Recipient

Add users with Read and Change permissions Verify aliases & DLs via AD Add advanced permissions

Set expiration date Enable print, copy permissions Add/remove additional users Contact for permission requests Enable viewing via RMA

AD FS provides an identity access solution Deploy federation servers in multiple organizations to facilitate business-to-business (B2B) transactions AD FS provides a Web-based, SSO solution AD FS interoperates with other security products that support the Web Services Architecture AD FS improved in Windows Server 2008 Web Server Account Federation Server Resource Federation Server Federation Trust Adatum Contoso

Main Office Branch Office RODC

Enterprise PKI (PKIView) Online Certificate Status Protocol (OSCP) Network Device Enrollment Service Web Enrollment

Cryptography Next Generation (CNG) Includes algorithms for encryption, digital signatures, key exchange, and hashing Supports cryptography in kernel mode Supports the current set of CryptoAPI 1.0 algorithms Support for elliptic curve cryptography (ECC) algorithms Perform basic cryptographic operations, such as creating hashes and encrypting and decrypting data

נושא CryptoAPI CNG תמיכה בהצפנה סימטרית   תמיכה בהצפנה א - סימטרית   תמיכה ב – hash   תמיכה בתעודות דיגיטליות באמצעות CAPI 2.0  ארכיטקטורה CSP Protocol provider, CNG routers, CNG primitives תמיכה במנגוני הצפנה legacy אין  החלפת מחולל מספרים אקראיים דורשת כתיבת הקוד מחדש אפשרית ללא שינוי מהותי בקוד שילוב אלגוריתמים חדשים לא אפשרי – רשימה קשיחה אפשרית – רשימה דינמית וניתנת לעידכון מנגנון ניהול מרכזי אין אפשרי באמצעות ה – key storage API תמיכה ב – Suite B אין  אלגוריתמים CAPI 1.0 AES , SHA1 , SHA2, DSA, RSA,ECC,DH,ECDSA,ECDH,MD2,MD4,MD5, CAPI 1.0 הפרדת המפתח הפרטי מהאפליקציה לא אפשרי אפשרי לביצוע באמצעות key isolation process מיקום שמירת המפתחות הפרטיים מקושר ל – SID , מקשה על תהליך מעבר בין דומיינים לא מקושר ל – SID , קל לבצע תהליך מעבר בין דומיינים פורמט שמירת המפתחות סיומת REG , מגבלה של 256 תווים בשם פורמט חדש ללא סיומת REG , מגבלה של 512 תווים בשם

Internet Perimeter Network Corporate Network Tunnels RDP over HTTPs Strips off RDP / HTTPs RDP traffic passed to TS Internet Remote/ Mobile User Terminal Services Gateway Network Policy Server Active Directory DC Terminal Servers and other RDP Hosts

Windows Client NPS DHCP, VPN Switch/Router Remediation Servers Example: Patch Restricted Network Policy compliant Policy Servers such as: Patch, AV Corporate Network Not policy compliant What is Network Access Protection? Health Policy Validation Health Policy Compliance Ability to Provide Limited Access Enhanced Security Increased Business Value

Windows Client DHCP, VPN or Switch/Router relays health status to Microsoft Network Policy Server (RADIUS) Network Policy Server (NPS) validates against IT-defined health policy If not policy compliant, client is put in a restricted VLAN and given access to fix up resources to download patches, configurations, signatures (Repeat 1 - 4) If policy compliant, client is granted full access to corporate network NPS DHCP, VPN Switch/Router Client requests access to network and presents current health state 1 Remediation Servers Example: Patch Restricted Network 1 2 2 3 3 4 Not policy compliant 5 Policy compliant 4 Policy Servers such as: Patch, AV Corporate Network 5

Internet Protocol security (IPsec)-protected communications IEEE 802.1X-authenticated network connections Remote access virtual private network (VPN) connections Dynamic Host Configuration Protocol (DHCP) configuration

Policy based – was network access allowed Health based - % compliant per SHA

http://blogs.microsoft.co.il/blogs/dario

Amit Gatenyo Infrastructure & Security Manager Dario IT Solutions ltd [email_address] 054-2492499

Windows 2008 Security

More Related Content

Similar to Windows 2008 Security (20)

More from Amit Gatenyo (20)

Windows 2008 Security

Editor's Notes