Windows 8 и Windows server 2012. Что нового с точки зрения безопасности?
Download as PPTX, PDF2 likes933 views
Документ описывает новые функции безопасности в Windows 8 и Windows Server 2012, включая улучшения в защите от вредоносного ПО и механизмы безопасной загрузки. Основное внимание уделяется стандартам UEFI и TPM 2.0, которые обеспечивают надежную защиту и управление доступом. Также рассматриваются методы аутентификации и изоляции приложений для повышения уровня безопасности пользователей.
Windows 8 и Windows server 2012. Что нового с точки зрения безопасности?
- 1. Новое в безопасности Windows 8 и Windows Server 2012 Андрей Бешков Руководитель программы информационной безопасности abeshkov@microsoft.com
- 2. Содержание
- 3. Развитие угроз Ключевые угрозы Ключевые угрозы Ключевые угрозы Ключевые угрозы Ключевые угрозы Ключевые угрозы • • • • • • • • • • • • Internet was just growing Mail was on the verge • Melissa (1999), Love Letter (2000) Mainly leveraging social engineering • • • • 1995 2001 Code Red and Nimda (2001), Blaster (2003), Slammer (2003) 9/11 Mainly exploiting buffer overflows Script kiddies Time from patch to exploit: Several days to weeks • • • • • 2004 Zotob (2005) Attacks «moving up the stack» (Summer of Office 0day) Rootkits Exploitation of Buffer Overflows Script Kiddies Raise of Phishing User running as Admin 2007 Organized Crime Botnets Identity Theft Conficker (2008) Time from patch to exploit: days • • • Organized Crime, potential state actors Sophisticated Targeted Attacks Operation Aurora (2009) Stuxnet (2010) 2009 2012 Windows 95 Windows XP Windows XP SP2 Windows Vista Windows 7 Windows 8 • - • • • • • • Address Space Layout Randomization (ASLR) • Data Execution Prevention (DEP) • Security Development Lifecycle (SDL) • Auto Update on by Default • Firewall on by Default • Windows Security Center • WPA Support • • • • • • • • • • • • • • • Logon (Ctrl+Alt+Del) Access Control User Profiles Security Policy Encrypting File System (File Based) • Smartcard and PKI Support • Windows Update • • • • • • Bitlocker Patchguard Improved ASLR and DEP Full SDL User Account Control Internet Explorer Smart Screen Filter Digital Right Management Firewall improvements Signed Device Driver Requirements TPM Support Windows Integrity Levels Secure “by default” configuration (Windows features and IE) • • • • • • • Improved ASLR and DEP Full SDL Improved IPSec stack Managed Service Accounts Improved User Account Control Enhanced Auditing Internet Explorer Smart Screen Filter AppLocker BitLocker to Go Windows Biometric Service Windows Action Center Windows Defender • • • • • • • • • • UEFI (Secure Boot) Firmware Based TPM Trusted Boot (w/ELAM) Measured Boot and Remote Attestation Support Significant Improvements to ASLR and DEP AppContainer Windows Store Internet Explorer 10 (Plugin-less and Enhanced Protected Modes) Application Reputation moved into Core OS BitLocker: Encrypted Hard Drive and Used Disk Space Only Encryption Support Virtual Smartcard Picture Password, PIN Dynamic Access Control Built-in Anti-Virus
- 4. Основные области безопасности Защита от Новая защита от вредоносного кода угроз Позволяет сделать клиента существенно менее уязвимым для вредоносного кода Защита данных Повсеместное шифрование Упрощает развертывание шифрования и проверку соответствия на всем спектре оборудования Защита Модернизация контроля доступа Улучшения в классификации ресурсов управлении доступом к ним данных и
- 5. Проблемы
- 7. Universal Extensible Firmware Interface (UEFI) Замена традиционному BIOS UEFI как и BIOS передает управление компонентам загрузки ОС Независим от архитектуры оборудования Enables device initialization and operation (mouse, pre-os apps, menus) Безопасная загрузка ОС, шифрованные диски, разблокировка BitLocker по сети
- 8. Trusted Platform Module 2.0 Enables commercial-grade security via physical and virtual key isolation from OS TPM 1.2 spec: mature standard, years of deployment and hardening Improvements in TPM provisioning lowers deployment barriers Algorithm extensibility allows for implementation and deployment in additional countries Security scenarios are compatible with TPM 1.2 or 2.0 Discrete or Firmware-based (ARM TrustZone® ; Intel’s Platform Trust Technology (PTT)) * Microsoft refers to the TCG TPM.Next as “TPM 2.0”.
- 9. Требования к оборудованию и функционалу # Features TPM 1.2/2.0 UEFI 2.3.1 1 BitLocker: Volume Encryption X 2 BitLocker: Volume Network Unlock X 3 Trusted Boot: Secure Boot X 4 Trusted Boot: ELAM X 5 Measured Boot X 6 Virtual Smart Cards X 7 Certificate Storage (Hardware Bound) X 8 Address Space Layout Randomization (ASLR) X 9 Visual Studio Compiler X X
- 11. UEFI Secure Boot: Старое против нового Старое BIOS Загрузчик ОС (зловред) Запуск ОС BIOS запускает любой код для загрузки ОС, даже зловреда Зловред может стартовать до запуска Windows Новое Native UEFI Доверенный загрузчик ОС Запуск ОС Прошивка в соответствии с политикой позволяет запуск только подписанных сертификатом загрузчиков ОС Загрузчик ОС проверяет сигнатуры компонентов Windows. В случае ошибки Trusted Boot восстанавливает компоненты ОС. В результате не может изменить компоненты ОС
- 12. Защита и обслуживание UEFI UEFI прошивка, драйвера, приложения и загрузчик должны быть подписаны сертификатом База данных UEFI хранит доверенные и заблокированные сертификаты, центры сертификатов и хэши образов UEFI Функция Secured RollBack не позволяет откатиться на более старую уязвимую версию UEFI Обновления для прошивки UEFI драйвера, приложения и загрузчика Блокирование сертификатов и хэшей прошивок UEFI способен выполнить проверку целостности и восстановить сам себя
- 13. Защита других этапов загрузки ОС Windows 7 BIOS Загрузчик ОС (зловред) Сторонние драйвера (зловред) Вход в Windows Антивирус Сервисы ОС Руткиты и буткиты скрываться от антивирусов т.к стартовали раньше ОС может быть скомпрометирована до того как стартует антивирус Windows 8 UEFI Загрузчик Windows 8 Ядро Windows, Антивирус Сторонние драйвера Вход в Windows Запуск доверенных компонентов Windows и основных драйверов Запуск и защита модулей ранней загрузки антивирусов ELAM Автоматическое восстановление при повреждении или компрометации
- 15. Замеры в процессе загрузки (Measured Boot) Windows 7 • Замер только некоторых компонентов в процессе загрузки • Включается только при наличии Bitlocker Windows 8 • • • • Замер всех компонентов в процессе Данные хранятся в Trusted Platform Module (TPM) Механизм Remote attestation может обрабатывать эти данные по сети Включается при наличии TPM. BitLocker не требуется
- 16. Глобальная картина защиты Measured Boot + Remote attestation Secure Boot защищает загрузчик ОС UEFI Boot Замеры компонентов, включая антивирус хранятся в TPM Boot Policy 1 TPM 3 Windows OS Loader AM Policy Windows Kernel and Drivers AM Software Антивирус стартует до запуска стороннего ПО 7 4 3rd Party Software Windows Logon Клиент пытается Клиент предоставляет получить доступ к утверждение о ресурсу. Сервер здоровье. Сервер запрашивает данные о проверяет их и здоровье предоставляет доступ Remote Resource (File Server) (Fie 5 2 Клиент отправляет данные замеров из TPM в сервис Remote Attestation 6 Client Утверждения о здоровье клиента Сервис Remote Attestation выдает утверждение о здоровье клиента Remote Attestation Service
- 18. Picture Password в Windows 8
- 19. Новая аутентификация. Безопасно? Пин код и Picture Password предназначены для устройств с интерфейсом прикосновений Picture password достаточно надежен для персонального использования. Подробности в блоге Длинна Пин код Пароль (a-z) Пароль (сложный) Picture Password 1 10 26 n/a 2,554 2 100 676 n/a 1,581,773 3 1,000 17,576 81,120 1,155,509,083 4 10,000 456,976 4,218,240 5 100,000 11,881,376 182,790,400 6 1,000,000 308,915,776 7,128,825,600 7 10,000,000 8,031,810,176 259,489,251,840 8 100,000,000 208,827,064,576 8,995,627,397,120 Account Lockout Policy - “Account lockout threshold” + “Account lockout duration” Security Option Policy - “Interactive logon: Machine account lockout threshold”
- 20. Кому нравятся пароли? Мы все ненавидим их!
- 21. Смарткарты?
- 23. Виртуальные смарткарты! • Виртуальные смарткарты хранятся в TPM • MyID первый на рынке вендор управления инфраструктурой виртуальных смарткарт
- 25. Защита основных компонентоы ОС и приложений Security Development Lifecycle (SDL) Инструменты - Threat Models, Code Analyzers, Fuzzers, Visual Studio, … Результат – Продукты Microsoft не входят в список 10 наиболее уязвимых продуктов Касперского (Отчет Касперского за 3-й квартал) Training Requireme nts Design Implementation Verification Release Response
- 27. Изоляция Modern UI приложений • В Windows Store попадают только доверенные приложения • Все приложения проходят антивирусную проверку • Каждому приложению присваивается рейтинг • Установка приложений • Выполняет ОС независимо от приложения • Изоляция • Запуск с низкими привилегиями • Доступ к ресурсам описывается через (Capabilities & Contracts) • Приложения не могут иметь доступ к данным других приложений
- 28. Защита пользователей • Internet Explorer 9 – Smart Screen • Позволяет находит фишинговые сайты и сайты с вредоносами • Заблокировал >1.5 млрд. зловредов >150 млн. фишинговых атак • Internet Explorer 10 – Smart Screen • Репутация приложений перенесена в ОС • Защищает пользователей в не зависимости от выбора браузера, почтового клиента, клиента мгновенных сообщений, и.т.д • Internet Explorer 10 – Enhanced Protected Mode • • • • Сложно взламывать из за механизма ASLR Изоляция вкладов и процессов браузера Требует пользовательского согласия для получения доступа к данным Возможность блокировать отслеживание сайтами с помощью Do Not Track (DNT)
- 31. Windows 8 – развертывание Bitlocker • Развертывание Bitlocker одна из основных проблем: • Проблемно вне зависимости от вендора • TPM сложен для ИТ и пользователей • Шифрование идет довольно долго • Улучшение в Windows 8 BitLocker: • Автоматическое развертывание решает большинство проблем TPM связанных с развертыванием • Включаем BitLocker в процессе установки ОС и шифруем диск быстро • Быстрое шифрование с шифрованием только занятого места • Шифрование параллельно с созданием образа ОС