1 / 29

Windows Vista/LongHorn Güvenlik Yol Haritası

Windows Vista/LongHorn Güvenlik Yol Haritası. Pınar Yılmaz Infrastructure Technology Specialist Microsoft Türkiye pinary@microsoft.com. Windows Vista /Longhorn Geliştirme İşlemi. Windows Vista/Longhorn geliştirilirken Güvenlik Geliştirme Yaşam Döngüsü yöntemi kullanıldı

anjolie-tate
Download Presentation

Windows Vista/LongHorn Güvenlik Yol Haritası

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Windows Vista/LongHorn Güvenlik Yol Haritası Pınar Yılmaz Infrastructure Technology Specialist Microsoft Türkiye pinary@microsoft.com

  2. Windows Vista/LonghornGeliştirme İşlemi • Windows Vista/Longhorn geliştirilirken Güvenlik Geliştirme Yaşam Döngüsü yöntemi kullanıldı • Periyodik zorunlu eğitimler • Tüm bileşenlere güvenlik danışmanlarının atanması • Tasarım aşamasında güvenlik tehdidi modellemesi • Güvenlik incelemesi ve testleri • Ürün grupları için güvenlik ölçümleri

  3. Tehdit ve Açıkların Azaltılması Temeller • Güvenlik Geliştirme Yaşam Döngüsü • Tehdit Modelleme ve Kod İnceleme • Windows Servislerini Güçlendirme • Internet Explorer Korumalı Mod • Windows Defender • Ağ Erişimi Koruması (NAP) Güvenlik Kimlik ve Erişim Denetimi Bilgi Koruması • Kullanıcı Hesabı Koruması • Tak ve Çalıştır Akıllı Kartlar • Grup İlkeleriyle USB Ayarları • BitLocker™ Sürücü Şifreleme • RMS İstemci

  4. Windows Servis GüçlendirmesiDerinlemesine savunma User • Yüksek risk katmanlarının azaltılması Admin Servislerin bölümlere ayrılması Servisler Servis 1 Servis … Katman sayısının artırılması Kernel D D Servis … Servis 2 D Servis A Servis 3 Servis B ÇekirdekSürücüleri D Kuallanıcı Modu Sürücüleri Restricted services D D D D Düşük haklı uygulamalar

  5. Servisler daha düşük haklarla çalıştırılıyor Windows servisleri ağ üzerinde, dosya sisteminde ve kayıt defterinde izin verilen yerlere erişebilir sadece, servis profilinde olmayan yerlere erişemez ACL’ler (Erişim Denetim Listesi) tarafından tanınan SID’ler (servis başına güvenlik tanımlayıcısı) sayesinde servisler kendi haklarını koruyabiliyorlar Windows Servis GüçlendirmesiDerinlemesine Savunma Servis Güçlendirmesi Dosya sistemi Kayıt Defteri Etkin koruma Ağ

  6. İstenmeyen yazılımların gerçek zamanlı olarak algılanması ve kaldırılması Basit ve kolay kullanıcı arabirimi Tüm kullanıcılar için koruma Windows Defender

  7. Internet Explorer • Korumalı Mod: Internet Explorer’ın sadece Internet taraması yapmasına izin verir, yazılım yüklemek gibi işlemler yapmasına izin vermez • “Salt Okunur” modda çalışır, sadece Temporary Internet Files dizininin altına yazmasına izin verir • Phishing Filtresi: veri kaynağı için global veri kaynağı ağını kullanır birkaç saatte bir güncelleştirilir. • Web sayfalarını kullanıcı verisini çalmaya çalışan bilinen özelliklere göre analiz eder

  8. ActiveX Opt-in DisabledControls UserAction EnabledControls Windows ActiveX Opt-in ve Korumalı ModSistemleri kötü amaçlı yazılımların saldırısından korumak • ActiveX Opt-in kullanıcıların denetimi ele geçirmelerini sağlar • Saldırı alanını azaltır • Daha önceden kullanılmamış ActiveX Kontrollerini devre dışı bırakır • Korumalı Mod tehtidlerin önemini azaltır • Sessizce yüklenen kötü amaçlı yazılımların kurulmasını önler

  9. Güvenlik Duvarı ve IPSec yönetimi birleştirildi Hem içeriye hem de dışarıya doğru stateful IPv4 ve IPv6 filtreleme yapılabiliyor Dışarı doğru uygulama tanıyan filtreleme yeni bir özelliktir Windows Güvenlik Duvarı

  10. Ağ Erişimi Koruması (NAP) • NAP varolan VPN Karantina teknolojisinin tüm ağ istemcilerine yaygınlaştırılmış halidir • Sunucu tarafında Windows “Longhorn” Sunucusu gerektirir • Gereken işletim sistemi, virüs güncelleştirmeleri, uygulamaların varlığı veya yokluğu gibi denetimlerin yapıldığı bir güvenlik politikası belirleyip, • …bu güvenlik politikası istemciyle eşleşmiyorsa : • Kullanıcıyı sadece bu politikalarla eşleşebilmesi için gerekli güncelleştirmelerin yüklenebileceği bir alana almak • Kullanıcı güvenlik politikalarıyla eşleştiğinde ağ içerisine almak

  11. Politika Sunucuları İyileştirme Sunucuları Kısıtlanan Ağ Kurumsal Ağ Ağ Erişimi Koruması 3 Uyumlu değil 1 2 4 Ağ Politikası Sunucusu Windows Vista İstemcisi Uyumlu DHCP, VPN Switch/Router 5 Gelişmiş Güvenlik • Tüm iletişim kimliği doğrulanmış, yetkilendirilmiş ve sağlıklı • DHCP, VPN, IPsec, 802.1X ile derinlemesine güvenlik • BT Uzmanlarının belirleyeceği politika tabanlı erişim Müşteri için Yararları

  12. Kullanıcı Hesabı Koruması (UAP) Kullanıcıların ihtiyaçları olan uygulamalar için yönetici haklarına sahip olmalarına gerek kalmaması, bunun yerine: • Kullanıcıdan daha güçlü kimlik bilgisi vermesi istenebilir • Kullanıcının yönetici haklarına sahip olsa bile, standart modda kullanıcı olarak çalıştırılması ve yönetici haklarını gerektiren işlemler yapmak zorunda olduklarında kullanıcıdan onay alınması • Alternatif kimlik bilgisine gerek kalmadan sadece onay ile yönetici işlemlerinin gerçekleşmesi

  13. Kimlik Bilgisi SormaKullanıcıya Yönetici Kimlik Bilgisi Soruluyor

  14. Onay SorulmasıKullanıcı yönetici haklarını gerektiren bir işleme onay veriyor İkinci bir koruma

  15. Kullanıcıya yönetici hesabı bilgilerinin sorulması

  16. UAP: Kullanım ve İlkeler • Kullanıcı Hesabı Koruması Güvenlik İlkeleriyle Yönetilebilir • Soru yok- Sessizce yönetici haklarına yükselt • Onay sor – Kullanıcıya gerçekleşecek yönetici işlemine devam edip etmeyeceğini sor • Kimlik bilgisi sor- işlemi gerçekleştirmek için kullanıcıdan yönetici hesabı ve şifresini girmesini iste

  17. Sistemin Standart Kullanıcı için İyi Çalışmasını Sağlamak • Gereksiz yönetici işlemleri düzeltildi • Yazıcı eklemek, saat dilimi değiştirmek, güç yönetimi ayarlarını düzenlemek, güvenli kablosuz ağ için WEP anahtarı eklemek… • Kullanıcı hesaplarını varsayılan olarak standart kullanıcı olarak oluşturmak • Eski uygulamalarla uyumluluk için kayıt defteri ve dosya sanallaştırması sağlamak

  18. Kimlik Doğrulamada Gelişmeler • Yeni oturum açma mimarisi • GINA (eski Windows oturum açma modeli) kaldırılıyor yerine Kimlik Bilgisi Servis Sağlayıcısı arabirimleri • Artık üçüncü partiler biometrik, tek kullanımlık parola tokenları ve diğer kimlik doğrulama yöntemlerini Windows’a çok daha az kod kullanarak ekleyebilirler. • Tak ve Çalıştır Akıllı Kartlar • Sürücüler ve Kiriptografik Servis Sağlayıcıları (CSP) Windows Vista üzerinde gelir.

  19. Yeniden Başlatma Yöneticisi • Bazı güvenlik güncelleştirmelerinden sonra makinenin yeniden başlatılması gerekiyor • Yeniden Başlatma Yöneticisi: • Güncelleştirmeler için gereken yeniden başlatmaların azaltılması • Kullanıcı tarafından bir uygulama açık bırakılarak kilitlenmiş makinelerin kaldığı yerden yeniden başlatılması. Örneğin makine yeniden başlatıldığında MS Word’de makinenin kaldığı yere 42 sayfaya geri dönmesi

  20. 63% 36% 35% 22% 22% 20% İş Dünyasında Güvenlik Kaygıları Virus infection Unintended forwarding of emails Loss of mobile devices Password compromise Email piracy Loss of digital assets, restored 0% 10% 20% 30% 40% 50% 60% 70% Jupiter Research Report, 2004

  21. Özellikle bir hırsızın bilgisayarı başka bir işletim sistemi ile açıp içindeki verilere ulaşmasını önlemek için tasarlanmıştır Anahtar depolanması için anakart üzerinde bulunan v1.2 TPM yongası veya USB sürücüsü kullanır BitLocker™Sürücü Şifrelenmesi BitLocker

  22. ******* Farklı BitLocker Yapılandırmaları USB Sürücü TPM Yongası TPM Yongasıve Pin TPM Tongası ve USB Sürücü

  23. Bitlocker™Sürücüsü XP üzerinde

  24. Bitlocker™Sürücüsü Vista üzerinde

  25. Kod Bütünlüğü • Tüm DLL dosyaları ve diğer işletim sistemi EXE dosyaları dijital olarak imzalanmıştır • Bileşenler belleğe yüklenirken dijital imzalar doğrulanır

  26. Windows Vista / Longhorn ServerBilgi Koruması • Kimden korunuyorsunuz? • Makine üzerindeki diğer kullanıcılardan ve yöneticilerden? EFS • Fiziksel erişimi olan yetkisiz kullanıcılar? BitLocker™ • Dokümanların ve epostaların yetkisiz görüntülenmesi/gönderilmesi? RMS

  27. Aygıt Yükleme Denetimi • Grup İlkeleri ile taşınabilir aygıtların yüklenmesi denetlenebilir • USB depolama cihazları • MP3 çalarlar • CD/DVD yazıcılar • Birçok kurum bilgi sızıntısından endişe ederek USB aygıtların yüklenmesini engellemek istiyor

  28. Vista/Longhorn: Şimdiye kadarki en güvenli Windows işletim sistemleri Daha Güvenli Açılır • Tüm Birimin Şifrelemesi • Kod bütünlüğü Tasarımda Güvenli Daha Güvenli Çalışır • Kullanıcı Hesabı Koruması • Tarayıcı Anti-Phishing ve Korumalı Mod • Servis Güçlendirme Temel Koruma Daha Güvenli İletişim • Ağ Erişim Koruması (NAP) • Güvenlik Duvarı/IPSec Entegrasyonu Güvenli Erişim Güvenli Kalmak • Anti-malware • Yeniden Başlatma Yöneticisi • Aygıt Yüklemesinde Denetim • Gelişmiş Akıllı Kart Altyapısı Entegre Denetim

More Related