1 / 27

TechNet Security Roadshow 2002

TechNet Security Roadshow 2002. Desktop Security. Dr. Tobias Weltner Senior Developer Consultant. Bedrohung. Werte. Beute. Verletzbarkeit. Bewacht !. Sicherungs- Techniken. ggrr!. Beute. Agenda. Nobody believes anything bad can happen to them, until it does

oswald
Download Presentation

TechNet Security Roadshow 2002

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. TechNet Security Roadshow 2002

  2. Desktop Security Dr. Tobias Weltner Senior Developer Consultant

  3. Bedrohung Werte Beute Verletzbarkeit

  4. Bewacht! Sicherungs- Techniken ggrr! Beute

  5. Agenda • Nobody believes anything bad can happen to them, until it does • Was sind reale Angriffsszenarien? • Security only works if the secure way also happens to be the easy way • Wie verhindert Windows XP solche Angriffe, ohne die Arbeit zu behindern? • Security isn't about risk avoidance; it's about risk management • Wie lassen sich Konfigurationsfehler finden und beheben?

  6. Sicheres Fundament • NTFS-Basisabsicherung • Einschließlich Stammlaufwerk • Besonderer Schutz für lokale Profile • Einfache Dateifreigabe • Lokale Konten werden zu „Gast“ • NTFS-Berechtigungen für Freigaben werden transparent verwaltet • Drucker- und Dateifreigabe zunächst abgeschaltet • Zusätzliche Gruppenrichtlinien • Verwendung ungeschützter Konten verhindern • Eingebaute Konten abschalten • Nullsession-Informationen reduzieren

  7. Demo Angriffe Sicherheitsvorlagen Gast-Anmeldung

  8. Dokumente schützen • Kennwortschutz • Verschlüsselung und Read-Only • Verschiedene Verschlüsselungsstärken • Zusätzlich zu Betriebssystem-Mechanismen wie IPSec/EFS • Dokumentengebunden (Email-Versand) • Digitale Signaturen • Bestätigen Herkunft • Sichern Datenintegrität • Unterscheiden zwischen gewollten und ungewollten eingebetteten Makros

  9. Demo Netzwerksniffer Verschlüsselung Signatur

  10. Sicherer Umgang mit Email • Level1/2-Anhänge sperren • Nachträglich konfigurierbar • Schutz des Automationsmodells • In Exchange-Umgebung veränderbar • Signaturen und Verschlüsselung • Per Default stärkste Sicherheit • „Out-of-the-Box“ Schutz gegen übliche Angriffsformen • Konfigurierbar durch Administratoren

  11. Sicherer Umgang mit Email

  12. Demo Email-Anhänge sichern Automation kontrollieren

  13. Softwareeinschränkung • Teil der GPOs, ab Windows XP • Vier Regeln, vielfältige Möglichkeiten: • Pfadregel • Hashregel • Zertifikatregel • Zonenregel • Basisschutz, aber Risiken beachten: • AuthenticodeEnabled bei Zertifikatregel • Binäränderungen bei Hashregel

  14. Demo Softwareeinschränkung Pfad-, Hash- und Zertifikatregeln

  15. Internet-Verbindungsfirewall • Stateful Firewall • Session Table • Keine Benutzerinteraktion, vollkommen transparent • Für alle selbstinitiierten Verbindungen • Einwahl/Modem • ADSL • Wireless LAN, etc. • Kein Schutz vor Trojanern? • Stimmt, ist aber auch nicht das Ziel der IFV

  16. Demo Internet-Verbindungs-Firewall

  17. Datenschutz • Verschlüsselndes Dateisystem (EFS) • Verschlüsselt auch Offlineordner • Zugriff auf weitere Personen ausdehnbar • Flexibler Wiederherstellungsagent mit neuem CIPHER (nicht mehr zwingend) • Über GPOs verwaltbar • SYSKEY • Schutz mobiler Computer • Zertifikatspeicher • Zusätzliche Absicherung über persönliches Kennwort

  18. Demo VerschlüsselndesDateisystem SYSKEY Zertifikatspeicher

  19. Fehlkonfigurationen finden • MBSA • Prüft die häufigsten Fehlkonfigurationen • Basis-Analyse, keine Wunderlösung • HFNetCheck • Netzwerkweite Hotfix-Analyse • IIS Lockdown Tool • Webserver rollenspezifisch absichern • Enthält URLScan

  20. Demo MBSA HFNetCheck

  21. Übersicht

  22. Fazit • Moderne IT ist nicht nur effizient, sondern auch komplex • Windows XP und Office XP liefern transparente Sicherheitslösungen • Wirksam im Hintergrund • Zentral administrierbar • Für den Endanwender weitgehend unsichtbar • Wesentlich gestärkte Sicherheit bei gleichem Arbeitsablauf

  23. Ressourcen • Microsoft Baseline Security Analyzer und weitere Toolshttp://www.microsoft.com/technet/security/tools/Tools • Internet Connection Firewallhttp://www.microsoft.com/technet/prodtechnol/winxppro/proddocs/hnw_understanding_firewall.asp • Office Makrosignaturenhttp://www.microsoft.com/technet/columns/security/5min/5min-402.asp

  24. Ressourcen • Einfache Dateifreigabehttp://www.microsoft.com/technet/prodtechnol/winxppro/reskit/prde_ffs_ypuh.asp • Verschlüsselndes Dateisystemhttp://www.microsoft.com/technet/prodtechnol/winxppro/reskit/prnb_efs_awzg.asp • Softwareeinschränkungenhttp://www.microsoft.com/technet/prodtechnol/winxppro/proddocs/SRP_overview.asp

  25. Ressourcen • Codesigning-Werkzeugehttp://msdn.microsoft.com/downloads/sample.asp?url=/msdn-files/027/000/219/msdncompositedoc.xml • Outlook Admin-Pack (deutsch)http://download.microsoft.com/download/outlook2002/utility/5.0.2919.6307.de/w982kmexp/en-us/geradmpack.exe

  26. TechNet Security Roadshow 2002

More Related