Новое в безопасности Windows 8 и Windows Server 2012

Андрей Бешков

Руководитель программы информационной безопасности

abeshkov@microsoft.com

Содержание

Безопасная аутентификация

Основные области безопасности

Защита компонентов ОС

Безопасное оборудование Защита процесса загрузки ОС

Изоляция приложений

Ключевые угрозы• Internet was just growing• Mail was on the verge

Ключевые угрозы• Melissa (1999), Love Letter

(2000)• Mainly leveraging social

engineering

Ключевые угрозы• Code Red and Nimda (2001),

Blaster (2003), Slammer (2003)

• 9/11• Mainly exploiting buffer

overflows• Script kiddies• Time from patch to exploit:

Several days to weeks

Ключевые угрозы• Zotob (2005)• Attacks «moving up the

stack» (Summer of Office 0-day)

• Rootkits• Exploitation of Buffer

Overflows• Script Kiddies• Raise of Phishing• User running as Admin

Ключевые угрозы• Organized Crime• Botnets• Identity Theft• Conficker (2008)• Time from patch to exploit:

days

Ключевые угрозы• Organized Crime, potential

state actors• Sophisticated Targeted

Attacks• Operation Aurora (2009)• Stuxnet (2010)

Windows 95• -

Windows XP• Logon (Ctrl+Alt+Del)• Access Control• User Profiles• Security Policy• Encrypting File System (File

Based)• Smartcard and PKI Support• Windows Update

Windows XP SP2• Address Space Layout

Randomization (ASLR)• Data Execution Prevention

(DEP)• Security Development

Lifecycle (SDL)• Auto Update on by Default• Firewall on by Default• Windows Security Center• WPA Support

Windows Vista• Bitlocker• Patchguard• Improved ASLR and DEP• Full SDL• User Account Control• Internet Explorer Smart

Screen Filter• Digital Right Management• Firewall improvements• Signed Device Driver

Requirements• TPM Support• Windows Integrity Levels• Secure “by default”

configuration (Windows features and IE)

Windows 7• Improved ASLR and DEP• Full SDL• Improved IPSec stack• Managed Service Accounts• Improved User Account

Control • Enhanced Auditing• Internet Explorer Smart

Screen Filter• AppLocker• BitLocker to Go• Windows Biometric Service• Windows Action Center• Windows Defender

Windows 8• UEFI (Secure Boot)• Firmware Based TPM• Trusted Boot (w/ELAM)• Measured Boot and

Remote Attestation Support• Significant Improvements

to ASLR and DEP• AppContainer• Windows Store• Internet Explorer 10

(Plugin-less and Enhanced Protected Modes)

• Application Reputation moved into Core OS

• BitLocker: Encrypted Hard Drive and Used Disk Space Only Encryption Support

• Virtual Smartcard• Picture Password, PIN• Dynamic Access Control• Built-in Anti-Virus

1995

2001

2004

2007

2009

2012

Развитие угроз

Основные области безопасности

Новая защита от вредоносного кода Позволяет сделать клиента существенно менее уязвимым для вредоносного кода

Повсеместное шифрование Упрощает развертывание шифрования и проверку соответствия на всем спектре оборудования

Модернизация контроля доступа Улучшения в классификации данных и управлении доступом к ним

Защита от угроз

Защита данных

Защита ресурсов

Пароли уже не так полезны

Доступ к ресурсам опираясь на

аутентификацию а не на здоровье и

целостность клиента

Зловредный код может

скомпрометировать ПК еще до загрузки

Windows

Зловредный код может скрываться от

антивирусного ПО

Уязвимости можно минимизировать, но

полностью избавиться от них не

удастся

Проблемы

Безопасное оборудование

Что такое UEFI?Замена традиционному BIOSUEFI как и BIOS передает управление компонентам загрузки ОС

Выгоды Независим от архитектуры оборудованияEnables device initialization and operation (mouse, pre-os apps, menus)

Выгоды для ИБ: Безопасная загрузка ОС, шифрованные диски, разблокировка BitLocker по сети

Сертификация оборудования для Windows требует UEFI 2.3.1

Universal Extensible Firmware Interface (UEFI)

Trusted Platform Module 2.0

Польза от TPMEnables commercial-grade security via physical and virtual key isolation from OSTPM 1.2 spec: mature standard, years of deployment and hardeningImprovements in TPM provisioning lowers deployment barriers

TCG Standard evolution: TPM 2.0*Algorithm extensibility allows for implementation and deployment in additional countries

Security scenarios are compatible with TPM 1.2 or 2.0

Windows 8: TPM 2.0 support enables implementation choiceDiscrete or Firmware-based (ARM TrustZone® ; Intel’s Platform Trust Technology (PTT))

Windows Certification Requirement for Connected Standby* Microsoft refers to the TCG TPM.Next as “TPM 2.0”.

Требования к оборудованию и функционалу

# Features TPM 1.2/2.0 UEFI 2.3.1

1 BitLocker: Volume Encryption X

2 BitLocker: Volume Network Unlock X X

3 Trusted Boot: Secure Boot X

4 Trusted Boot: ELAM X

5 Measured Boot X

6 Virtual Smart Cards X

7 Certificate Storage (Hardware Bound) X

8 Address Space Layout Randomization (ASLR) X

9 Visual Studio Compiler X

Защита процесса загрузки ОС

UEFI Secure Boot: Старое против нового

Старое

Новое

BIOS запускает любой код для загрузки ОС, даже зловредаЗловред может стартовать до запуска Windows

Прошивка в соответствии с политикой позволяет запуск только подписанных сертификатом загрузчиков ОСЗагрузчик ОС проверяет сигнатуры компонентов Windows. В случае ошибки Trusted Boot восстанавливает компоненты ОС.В результате не может изменить компоненты ОС

BIOSЗагрузчик

ОС(зловред)

Запуск ОС

Native UEFI

Доверенный

загрузчик ОС

Запуск ОС

Защита и обслуживание UEFI

Архитектура UEFI гораздо более безопасна чем BIOSUEFI прошивка, драйвера, приложения и загрузчик должны быть подписаны сертификатомБаза данных UEFI хранит доверенные и заблокированные сертификаты, центры сертификатов и хэши образов UEFIФункция Secured RollBack не позволяет откатиться на более старую уязвимую версию UEFI

Обслуживание UEFI с помощью Windows UpdateОбновления для прошивки UEFI драйвера, приложения и загрузчикаБлокирование сертификатов и хэшей прошивок

Восстановление UEFIUEFI способен выполнить проверку целостности и восстановить сам себя

Защита других этапов загрузки ОСWindows 7

BIOSЗагрузчик

ОС(зловред)

Сторонние драйвера (зловред)

АнтивирусСервисы ОС

Вход в Windows

Windows 8

UEFI Загрузчик Windows 8

Ядро Windows,

Антивирус

Сторонние драйвера

Вход в Windows

Зловредный код может запуститься раньше чем Windows и антивирусРуткиты и буткиты скрываться от антивирусов т.к стартовали раньшеОС может быть скомпрометирована до того как стартует антивирус

Trusted Boot защищает процесс загрузки ОС на всех критических этапахЗапуск доверенных компонентов Windows и основных драйверовЗапуск и защита модулей ранней загрузки антивирусов ELAMАвтоматическое восстановление при повреждении или компрометации

Демонстрация Trusted Boot

Замеры в процессе загрузки (Measured Boot)

Windows 8 UEFI Загрузчик Windows 8

Ядро Windows и драйвера

Антивирус 3rd Party Drivers

Windows 7 BIOSMBR & Boot

Sector

Загрузчик ОС

Инициализация ядра

Сторонние драйвера

Антивирус

• Замер только некоторых компонентов в процессе загрузки • Включается только при наличии Bitlocker

• Замер всех компонентов в процессе• Данные хранятся в Trusted Platform Module (TPM)• Механизм Remote attestation может обрабатывать эти данные

по сети• Включается при наличии TPM. BitLocker не требуется

Глобальная картина защитыMeasured Boot + Remote attestation

Windows OS Loader

UEFI Boot

Windows Kernel and

DriversAM Software

Антивирус стартует до запуска стороннего ПО

Boot Policy

AM Policy

3rd Party Software

2

TPM3

Замеры компонентов, включая антивирус хранятся в TPM

Client Remote Attestation

Service

5

Клиент отправляет данные замеров из TPM в сервис Remote Attestation

Windows Logon

Утверждения о здоровье

клиента

6

Сервис Remote Attestation выдает утверждение о здоровье клиента

Secure Boot защищает загрузчик ОС

1

Remote Resource

(Fie Server)

4

Клиент пытается получить доступ к ресурсу. Сервер запрашивает данные о здоровье

Remote Resource

(File Server)

7

Клиент предоставляет утверждение о здоровье. Сервер проверяет их и предоставляет доступ

Безопасная аутентификация

Picture Password в Windows 8

Новая аутентификация. Безопасно?Пароль, пин код и Picture PasswordПин код и Picture Password предназначены для устройств с интерфейсом прикосновенийPicture password достаточно надежен для персонального использования. Подробности в блогеДлинна Пин код Пароль (a-z) Пароль (сложный) Picture Password

1 10 26 n/a 2,554

2 100 676 n/a 1,581,773

3 1,000 17,576 81,120 1,155,509,083

4 10,000 456,976 4,218,240

5 100,000 11,881,376 182,790,400

6 1,000,000 308,915,776 7,128,825,600 

7 10,000,000 8,031,810,176 259,489,251,840 

8 100,000,000 208,827,064,576 8,995,627,397,120 

Защита от подбораAccount Lockout Policy - “Account lockout threshold” + “Account lockout duration”Security Option Policy - “Interactive logon: Machine account lockout threshold”

Мы все ненавидим их!Слишком много паролейТрудно запомнитьМожно подобрать

Кому нравятся пароли?

Нужно что то более безопасное.

Двухфакторная аутентификация подойдет

Безопасное хранилище сертификатов и пин кодов

Смарткарты?

Сложно и довольно дорого.

Виртуальные смарткарты хранятся в TPM

MyID первый на рынке вендор управления инфраструктурой виртуальных смарткарт

Виртуальные смарткарты!

Защита основных компонентов ОС

Защита основных компонентоы ОС и приложений

Снижение количества уязвимостейSecurity Development Lifecycle (SDL)

Инструменты - Threat Models, Code Analyzers, Fuzzers, Visual Studio, …

Результат – Продукты Microsoft не входят в список 10 наиболее уязвимых продуктов Касперского (Отчет Касперского за 3-й квартал)T

raining

Requirements

Design

Implementation

Verification

Release

Response

Снижение возможности использовать эксплоитыМногие техники предотвращение срабатывания эксплоитов улучшены - ASLR, DEP, Windows Heap

Механизмы защиты ОС

Chris Valasek - сотрудник компании Coverity занимающейся исследованием безопасности сказал:

“Улучшения безопасности от Windows XP к Windows 7 огромны. Улучшения между 7 и 8 не менее велики.”

“Я не хотел бы заниматься созданием эксплоитов для Windows 8.”

Изоляция Modern UI приложений

• В Windows Store попадают только доверенные приложения• Все приложения проходят антивирусную проверку• Каждому приложению присваивается рейтинг

• Установка приложений• Выполняет ОС независимо от приложения

• Изоляция• Запуск с низкими привилегиями• Доступ к ресурсам описывается через (Capabilities & Contracts)• Приложения не могут иметь доступ к данным других

приложений

Защита пользователей

• Internet Explorer 9 – Smart Screen • Позволяет находит фишинговые сайты и сайты с вредоносами• Заблокировал >1.5 млрд. зловредов >150 млн. фишинговых атак

• Internet Explorer 10 – Smart Screen• Репутация приложений перенесена в ОС• Защищает пользователей в не зависимости от выбора браузера, почтового

клиента, клиента мгновенных сообщений, и.т.д

• Internet Explorer 10 – Enhanced Protected Mode• Сложно взламывать из за механизма ASLR• Изоляция вкладов и процессов браузера • Требует пользовательского согласия для получения доступа к данным• Возможность блокировать отслеживание сайтами с помощью Do Not Track

(DNT)

Демонстрация Smart Screen

Улучшения в Bitlocker

Windows 8 – развертывание Bitlocker

• Развертывание Bitlocker одна из основных проблем:• Проблемно вне зависимости от вендора• TPM сложен для ИТ и пользователей• Шифрование идет довольно долго

• Улучшение в Windows 8 BitLocker:• Автоматическое развертывание решает большинство проблем TPM

связанных с развертыванием• Включаем BitLocker в процессе установки ОС и шифруем диск быстро• Быстрое шифрование с шифрованием только занятого места• Шифрование параллельно с созданием образа ОС