270 likes | 366 Views
TechNet Security Roadshow 2002. Desktop Security. Dr. Tobias Weltner Senior Developer Consultant. Bedrohung. Werte. Beute. Verletzbarkeit. Bewacht !. Sicherungs- Techniken. ggrr!. Beute. Agenda. Nobody believes anything bad can happen to them, until it does
E N D
Desktop Security Dr. Tobias Weltner Senior Developer Consultant
Bedrohung Werte Beute Verletzbarkeit
Bewacht! Sicherungs- Techniken ggrr! Beute
Agenda • Nobody believes anything bad can happen to them, until it does • Was sind reale Angriffsszenarien? • Security only works if the secure way also happens to be the easy way • Wie verhindert Windows XP solche Angriffe, ohne die Arbeit zu behindern? • Security isn't about risk avoidance; it's about risk management • Wie lassen sich Konfigurationsfehler finden und beheben?
Sicheres Fundament • NTFS-Basisabsicherung • Einschließlich Stammlaufwerk • Besonderer Schutz für lokale Profile • Einfache Dateifreigabe • Lokale Konten werden zu „Gast“ • NTFS-Berechtigungen für Freigaben werden transparent verwaltet • Drucker- und Dateifreigabe zunächst abgeschaltet • Zusätzliche Gruppenrichtlinien • Verwendung ungeschützter Konten verhindern • Eingebaute Konten abschalten • Nullsession-Informationen reduzieren
Demo Angriffe Sicherheitsvorlagen Gast-Anmeldung
Dokumente schützen • Kennwortschutz • Verschlüsselung und Read-Only • Verschiedene Verschlüsselungsstärken • Zusätzlich zu Betriebssystem-Mechanismen wie IPSec/EFS • Dokumentengebunden (Email-Versand) • Digitale Signaturen • Bestätigen Herkunft • Sichern Datenintegrität • Unterscheiden zwischen gewollten und ungewollten eingebetteten Makros
Demo Netzwerksniffer Verschlüsselung Signatur
Sicherer Umgang mit Email • Level1/2-Anhänge sperren • Nachträglich konfigurierbar • Schutz des Automationsmodells • In Exchange-Umgebung veränderbar • Signaturen und Verschlüsselung • Per Default stärkste Sicherheit • „Out-of-the-Box“ Schutz gegen übliche Angriffsformen • Konfigurierbar durch Administratoren
Demo Email-Anhänge sichern Automation kontrollieren
Softwareeinschränkung • Teil der GPOs, ab Windows XP • Vier Regeln, vielfältige Möglichkeiten: • Pfadregel • Hashregel • Zertifikatregel • Zonenregel • Basisschutz, aber Risiken beachten: • AuthenticodeEnabled bei Zertifikatregel • Binäränderungen bei Hashregel
Demo Softwareeinschränkung Pfad-, Hash- und Zertifikatregeln
Internet-Verbindungsfirewall • Stateful Firewall • Session Table • Keine Benutzerinteraktion, vollkommen transparent • Für alle selbstinitiierten Verbindungen • Einwahl/Modem • ADSL • Wireless LAN, etc. • Kein Schutz vor Trojanern? • Stimmt, ist aber auch nicht das Ziel der IFV
Demo Internet-Verbindungs-Firewall
Datenschutz • Verschlüsselndes Dateisystem (EFS) • Verschlüsselt auch Offlineordner • Zugriff auf weitere Personen ausdehnbar • Flexibler Wiederherstellungsagent mit neuem CIPHER (nicht mehr zwingend) • Über GPOs verwaltbar • SYSKEY • Schutz mobiler Computer • Zertifikatspeicher • Zusätzliche Absicherung über persönliches Kennwort
Demo VerschlüsselndesDateisystem SYSKEY Zertifikatspeicher
Fehlkonfigurationen finden • MBSA • Prüft die häufigsten Fehlkonfigurationen • Basis-Analyse, keine Wunderlösung • HFNetCheck • Netzwerkweite Hotfix-Analyse • IIS Lockdown Tool • Webserver rollenspezifisch absichern • Enthält URLScan
Demo MBSA HFNetCheck
Fazit • Moderne IT ist nicht nur effizient, sondern auch komplex • Windows XP und Office XP liefern transparente Sicherheitslösungen • Wirksam im Hintergrund • Zentral administrierbar • Für den Endanwender weitgehend unsichtbar • Wesentlich gestärkte Sicherheit bei gleichem Arbeitsablauf
Ressourcen • Microsoft Baseline Security Analyzer und weitere Toolshttp://www.microsoft.com/technet/security/tools/Tools • Internet Connection Firewallhttp://www.microsoft.com/technet/prodtechnol/winxppro/proddocs/hnw_understanding_firewall.asp • Office Makrosignaturenhttp://www.microsoft.com/technet/columns/security/5min/5min-402.asp
Ressourcen • Einfache Dateifreigabehttp://www.microsoft.com/technet/prodtechnol/winxppro/reskit/prde_ffs_ypuh.asp • Verschlüsselndes Dateisystemhttp://www.microsoft.com/technet/prodtechnol/winxppro/reskit/prnb_efs_awzg.asp • Softwareeinschränkungenhttp://www.microsoft.com/technet/prodtechnol/winxppro/proddocs/SRP_overview.asp
Ressourcen • Codesigning-Werkzeugehttp://msdn.microsoft.com/downloads/sample.asp?url=/msdn-files/027/000/219/msdncompositedoc.xml • Outlook Admin-Pack (deutsch)http://download.microsoft.com/download/outlook2002/utility/5.0.2919.6307.de/w982kmexp/en-us/geradmpack.exe