Windows 8 и Windows server 2012. Что нового с точки зрения...
-
Upload
andrey-beshkov -
Category
Technology
-
view
348 -
download
1
description
Transcript of Windows 8 и Windows server 2012. Что нового с точки зрения...
Новое в безопасности Windows 8 и Windows Server 2012
Андрей Бешков
Руководитель программы информационной безопасности
Содержание
Безопасная аутентификация
Основные области безопасности
Защита компонентов ОС
Безопасное оборудование Защита процесса загрузки ОС
Изоляция приложений
Ключевые угрозы• Internet was just growing• Mail was on the verge
Ключевые угрозы• Melissa (1999), Love Letter
(2000)• Mainly leveraging social
engineering
Ключевые угрозы• Code Red and Nimda (2001),
Blaster (2003), Slammer (2003)
• 9/11• Mainly exploiting buffer
overflows• Script kiddies• Time from patch to exploit:
Several days to weeks
Ключевые угрозы• Zotob (2005)• Attacks «moving up the
stack» (Summer of Office 0-day)
• Rootkits• Exploitation of Buffer
Overflows• Script Kiddies• Raise of Phishing• User running as Admin
Ключевые угрозы• Organized Crime• Botnets• Identity Theft• Conficker (2008)• Time from patch to exploit:
days
Ключевые угрозы• Organized Crime, potential
state actors• Sophisticated Targeted
Attacks• Operation Aurora (2009)• Stuxnet (2010)
Windows 95• -
Windows XP• Logon (Ctrl+Alt+Del)• Access Control• User Profiles• Security Policy• Encrypting File System (File
Based)• Smartcard and PKI Support• Windows Update
Windows XP SP2• Address Space Layout
Randomization (ASLR)• Data Execution Prevention
(DEP)• Security Development
Lifecycle (SDL)• Auto Update on by Default• Firewall on by Default• Windows Security Center• WPA Support
Windows Vista• Bitlocker• Patchguard• Improved ASLR and DEP• Full SDL• User Account Control• Internet Explorer Smart
Screen Filter• Digital Right Management• Firewall improvements• Signed Device Driver
Requirements• TPM Support• Windows Integrity Levels• Secure “by default”
configuration (Windows features and IE)
Windows 7• Improved ASLR and DEP• Full SDL• Improved IPSec stack• Managed Service Accounts• Improved User Account
Control • Enhanced Auditing• Internet Explorer Smart
Screen Filter• AppLocker• BitLocker to Go• Windows Biometric Service• Windows Action Center• Windows Defender
Windows 8• UEFI (Secure Boot)• Firmware Based TPM• Trusted Boot (w/ELAM)• Measured Boot and
Remote Attestation Support• Significant Improvements
to ASLR and DEP• AppContainer• Windows Store• Internet Explorer 10
(Plugin-less and Enhanced Protected Modes)
• Application Reputation moved into Core OS
• BitLocker: Encrypted Hard Drive and Used Disk Space Only Encryption Support
• Virtual Smartcard• Picture Password, PIN• Dynamic Access Control• Built-in Anti-Virus
1995
2001
2004
2007
2009
2012
Развитие угроз
Основные области безопасности
Новая защита от вредоносного кода Позволяет сделать клиента существенно менее уязвимым для вредоносного кода
Повсеместное шифрование Упрощает развертывание шифрования и проверку соответствия на всем спектре оборудования
Модернизация контроля доступа Улучшения в классификации данных и управлении доступом к ним
Защита от угроз
Защита данных
Защита ресурсов
Пароли уже не так полезны
Доступ к ресурсам опираясь на
аутентификацию а не на здоровье и
целостность клиента
Зловредный код может
скомпрометировать ПК еще до загрузки
Windows
Зловредный код может скрываться от
антивирусного ПО
Уязвимости можно минимизировать, но
полностью избавиться от них не
удастся
Проблемы
Безопасное оборудование
Что такое UEFI?Замена традиционному BIOSUEFI как и BIOS передает управление компонентам загрузки ОС
Выгоды Независим от архитектуры оборудованияEnables device initialization and operation (mouse, pre-os apps, menus)
Выгоды для ИБ: Безопасная загрузка ОС, шифрованные диски, разблокировка BitLocker по сети
Сертификация оборудования для Windows требует UEFI 2.3.1
Universal Extensible Firmware Interface (UEFI)
Trusted Platform Module 2.0
Польза от TPMEnables commercial-grade security via physical and virtual key isolation from OSTPM 1.2 spec: mature standard, years of deployment and hardeningImprovements in TPM provisioning lowers deployment barriers
TCG Standard evolution: TPM 2.0*Algorithm extensibility allows for implementation and deployment in additional countries
Security scenarios are compatible with TPM 1.2 or 2.0
Windows 8: TPM 2.0 support enables implementation choiceDiscrete or Firmware-based (ARM TrustZone® ; Intel’s Platform Trust Technology (PTT))
Windows Certification Requirement for Connected Standby* Microsoft refers to the TCG TPM.Next as “TPM 2.0”.
Требования к оборудованию и функционалу
# Features TPM 1.2/2.0 UEFI 2.3.1
1 BitLocker: Volume Encryption X
2 BitLocker: Volume Network Unlock X X
3 Trusted Boot: Secure Boot X
4 Trusted Boot: ELAM X
5 Measured Boot X
6 Virtual Smart Cards X
7 Certificate Storage (Hardware Bound) X
8 Address Space Layout Randomization (ASLR) X
9 Visual Studio Compiler X
Защита процесса загрузки ОС
UEFI Secure Boot: Старое против нового
Старое
Новое
BIOS запускает любой код для загрузки ОС, даже зловредаЗловред может стартовать до запуска Windows
Прошивка в соответствии с политикой позволяет запуск только подписанных сертификатом загрузчиков ОСЗагрузчик ОС проверяет сигнатуры компонентов Windows. В случае ошибки Trusted Boot восстанавливает компоненты ОС.В результате не может изменить компоненты ОС
BIOSЗагрузчик
ОС(зловред)
Запуск ОС
Native UEFI
Доверенный
загрузчик ОС
Запуск ОС
Защита и обслуживание UEFI
Архитектура UEFI гораздо более безопасна чем BIOSUEFI прошивка, драйвера, приложения и загрузчик должны быть подписаны сертификатомБаза данных UEFI хранит доверенные и заблокированные сертификаты, центры сертификатов и хэши образов UEFIФункция Secured RollBack не позволяет откатиться на более старую уязвимую версию UEFI
Обслуживание UEFI с помощью Windows UpdateОбновления для прошивки UEFI драйвера, приложения и загрузчикаБлокирование сертификатов и хэшей прошивок
Восстановление UEFIUEFI способен выполнить проверку целостности и восстановить сам себя
Защита других этапов загрузки ОСWindows 7
BIOSЗагрузчик
ОС(зловред)
Сторонние драйвера (зловред)
АнтивирусСервисы ОС
Вход в Windows
Windows 8
UEFI Загрузчик Windows 8
Ядро Windows,
Антивирус
Сторонние драйвера
Вход в Windows
Зловредный код может запуститься раньше чем Windows и антивирусРуткиты и буткиты скрываться от антивирусов т.к стартовали раньшеОС может быть скомпрометирована до того как стартует антивирус
Trusted Boot защищает процесс загрузки ОС на всех критических этапахЗапуск доверенных компонентов Windows и основных драйверовЗапуск и защита модулей ранней загрузки антивирусов ELAMАвтоматическое восстановление при повреждении или компрометации
Демонстрация Trusted Boot
Замеры в процессе загрузки (Measured Boot)
Windows 8 UEFI Загрузчик Windows 8
Ядро Windows и драйвера
Антивирус 3rd Party Drivers
Windows 7 BIOSMBR & Boot
Sector
Загрузчик ОС
Инициализация ядра
Сторонние драйвера
Антивирус
• Замер только некоторых компонентов в процессе загрузки • Включается только при наличии Bitlocker
• Замер всех компонентов в процессе• Данные хранятся в Trusted Platform Module (TPM)• Механизм Remote attestation может обрабатывать эти данные
по сети• Включается при наличии TPM. BitLocker не требуется
Глобальная картина защитыMeasured Boot + Remote attestation
Windows OS Loader
UEFI Boot
Windows Kernel and
DriversAM Software
Антивирус стартует до запуска стороннего ПО
Boot Policy
AM Policy
3rd Party Software
2
TPM3
Замеры компонентов, включая антивирус хранятся в TPM
Client Remote Attestation
Service
5
Клиент отправляет данные замеров из TPM в сервис Remote Attestation
Windows Logon
Утверждения о здоровье
клиента
6
Сервис Remote Attestation выдает утверждение о здоровье клиента
Secure Boot защищает загрузчик ОС
1
Remote Resource
(Fie Server)
4
Клиент пытается получить доступ к ресурсу. Сервер запрашивает данные о здоровье
Remote Resource
(File Server)
7
Клиент предоставляет утверждение о здоровье. Сервер проверяет их и предоставляет доступ
Безопасная аутентификация
Picture Password в Windows 8
Новая аутентификация. Безопасно?Пароль, пин код и Picture PasswordПин код и Picture Password предназначены для устройств с интерфейсом прикосновенийPicture password достаточно надежен для персонального использования. Подробности в блогеДлинна Пин код Пароль (a-z) Пароль (сложный) Picture Password
1 10 26 n/a 2,554
2 100 676 n/a 1,581,773
3 1,000 17,576 81,120 1,155,509,083
4 10,000 456,976 4,218,240
5 100,000 11,881,376 182,790,400
6 1,000,000 308,915,776 7,128,825,600
7 10,000,000 8,031,810,176 259,489,251,840
8 100,000,000 208,827,064,576 8,995,627,397,120
Защита от подбораAccount Lockout Policy - “Account lockout threshold” + “Account lockout duration”Security Option Policy - “Interactive logon: Machine account lockout threshold”
Мы все ненавидим их!Слишком много паролейТрудно запомнитьМожно подобрать
Кому нравятся пароли?
Нужно что то более безопасное.
Двухфакторная аутентификация подойдет
Безопасное хранилище сертификатов и пин кодов
Смарткарты?
Сложно и довольно дорого.
Виртуальные смарткарты хранятся в TPM
MyID первый на рынке вендор управления инфраструктурой виртуальных смарткарт
Виртуальные смарткарты!
Защита основных компонентов ОС
Защита основных компонентоы ОС и приложений
Снижение количества уязвимостейSecurity Development Lifecycle (SDL)
Инструменты - Threat Models, Code Analyzers, Fuzzers, Visual Studio, …
Результат – Продукты Microsoft не входят в список 10 наиболее уязвимых продуктов Касперского (Отчет Касперского за 3-й квартал)T
raining
Requirements
Design
Implementation
Verification
Release
Response
Снижение возможности использовать эксплоитыМногие техники предотвращение срабатывания эксплоитов улучшены - ASLR, DEP, Windows Heap
Механизмы защиты ОС
Chris Valasek - сотрудник компании Coverity занимающейся исследованием безопасности сказал:
“Улучшения безопасности от Windows XP к Windows 7 огромны. Улучшения между 7 и 8 не менее велики.”
“Я не хотел бы заниматься созданием эксплоитов для Windows 8.”
Изоляция Modern UI приложений
• В Windows Store попадают только доверенные приложения• Все приложения проходят антивирусную проверку• Каждому приложению присваивается рейтинг
• Установка приложений• Выполняет ОС независимо от приложения
• Изоляция• Запуск с низкими привилегиями• Доступ к ресурсам описывается через (Capabilities & Contracts)• Приложения не могут иметь доступ к данным других
приложений
Защита пользователей
• Internet Explorer 9 – Smart Screen • Позволяет находит фишинговые сайты и сайты с вредоносами• Заблокировал >1.5 млрд. зловредов >150 млн. фишинговых атак
• Internet Explorer 10 – Smart Screen• Репутация приложений перенесена в ОС• Защищает пользователей в не зависимости от выбора браузера, почтового
клиента, клиента мгновенных сообщений, и.т.д
• Internet Explorer 10 – Enhanced Protected Mode• Сложно взламывать из за механизма ASLR• Изоляция вкладов и процессов браузера • Требует пользовательского согласия для получения доступа к данным• Возможность блокировать отслеживание сайтами с помощью Do Not Track
(DNT)
Демонстрация Smart Screen
Улучшения в Bitlocker
Windows 8 – развертывание Bitlocker
• Развертывание Bitlocker одна из основных проблем:• Проблемно вне зависимости от вендора• TPM сложен для ИТ и пользователей• Шифрование идет довольно долго
• Улучшение в Windows 8 BitLocker:• Автоматическое развертывание решает большинство проблем TPM
связанных с развертыванием• Включаем BitLocker в процессе установки ОС и шифруем диск быстро• Быстрое шифрование с шифрованием только занятого места• Шифрование параллельно с созданием образа ОС