600 likes | 713 Views
Windows Vista biztonsági újdonságai. Szabó Gábor Product manager, Security gabors@microsoft.com. Napirend. Biztonsági környezet Jogosultságok , hozzáférés Belépés, hitelesítés, Audit Felhasználói fiókok Windows Service Hardening Beágyazott proaktív védelem
E N D
Windows Vista biztonsági újdonságai Szabó Gábor Product manager, Security gabors@microsoft.com
Napirend • Biztonsági környezet • Jogosultságok, hozzáférés • Belépés, hitelesítés, Audit • Felhasználói fiókok • Windows Service Hardening • Beágyazott proaktív védelem • Address Space Layout Randomization • Data Execution Protection • Kernel Patch Protection (x64) • Kernel Mode Code Signing • User Account Controll demo • Program File és Registry virtualizáció • Egy támadás anatómiája • Sérülékenység - támadás időablak • RPC DCOM demo • Izoláció • Windows Firewall/IPSec demo • NAP • Adatvédelem • RMS, EFS, Bitlocker
A veszély evolúciója Cross site scripting Phishing A támadás okozta kár “stealth” / advanced scanning techniques Magas denial of service back doors sweepers distributed attack tools forgalom figyelés www attacks automated probes/scans csomagfigyelés grafikus eszközök címhamisítás session lopás port scan ismert sérülékenység kihasználása A behatoló tudása port próba jelszó feltörés Alacsony jelszó próba 2005 1980 1985 1990 1995 2000
Napirend • Biztonsági környezet • Jogosultságok, hozzáférés • Belépés, hitelesítés, Audit • Felhasználói fiókok • Windows Service Hardening • User Account Controll demo • Program File és Registry virtualizáció • Beágyazott proaktív védelem • Address Space Layout Randomization • Data Execution Protection • Kernel Patch Protection (x64) • Kernel Mode Code Signing • Egy támadás anatómiája • Sérülékenység - támadás időablak • RPC DCOM demo • Izoláció • Windows Firewall/IPSec demo • NAP • Adatvédelem • RMS, EFS, Bitlocker
Jogosultságok, hozzáférésBelépés, hitelesítés • Eddig a GINA (Graphical Identification and Authentication): • Jelenleg a Winlogon processz része > korai betöltés • Egyetlen példány; nem vagy nehezen cserélhető • A Vistában • GINA DLL-ek kihagyása > többféle bejelentkező eszköz (multifaktoros, biometrikus, OTP, stb.) • Alternatív logon providerek, szabad választás, alapértelmezettség választás • Providerek hozzáadása a registryben
HitelesítésszolgáltatókTöbbfaktorosauthenikáció LSA WinLogon 1. Ctrl+Alt+Delete 9. LSALogonUser 2. Hitelesítés kérés 8. Hitelesítés kérés visszaigazolva 5. Login / jelszó 4. Bejelentkező UI LogonUI Hitelesítés szolgáltatók interfészei 6. Engedélyezés 7. Logon kéréshitelesítés 3. Hitelesítési információk kérése Hitelesítés szolgáltató 1 Hitelesítés Szolgáltató 2 Hitelesítés Szolgáltató 3
Jogosultságok, hozzáférésHitelesítés, belépés • SmartCard belépés • Eddig adminként telepítettünk olvasót, meghajtót, szolgáltatót majd használtuk • A Vistában „igazi” Plug & Play van, első belépéskor is • Gyártók 3rd party kártya moduljai > WU > Vista
Jogosultságok, hozzáférésUser / Computer fiókok • Power Users csoport nincs többé • két szint maradt • a standard fiókok (Users csoport) • az admin fiókok (Administrators csoport) • A standard user fiók az alapértelmezett egy új fiók létrehozásakor • Új telepítéskor "Support..." és a "Help" fiók nem kerül fel a rendszerbe
Jogosultságok, hozzáférésUser / Computer fiókok • Új telepítéskor a beépített Administrator fiók letiltott állapotban van • Ennek oka pl. a sok változatlan illetve teljesen üresen hagyott helyi admin jelszó • Frissítésnél • Ha az előző rendszerben csak egy admin fiók volt • A telepítés alatt a Vista ezt észreveszi, nem tiltja le • Safe módban ekkor sem lehet használni
Jogosultságok, hozzáférésUser / Computer fiókok • Safe módban elágazás > Tartomány: • a letiltott, beépített admin fiókkal nem tudunk belépni • egy a Domain Admins csoportba tartozó fiókkal viszont igen • ekkor kreálhatunk helyi alternatív admin fiókot • ha még nem léptünk be Domain Admin-ként: • Válasszuk a Safe Mode with Networking opciót • Mivel a jogosultságok még nem cache-elődhettek
Jogosultságok, hozzáférésUser / Computer fiókok • Safe módban elágazás > Munkacsoport: • Az alap admin fiók szintén nem működik • Ha van bármilyen másik admin fiók, azt használhatjuk • Ha nincs, vagy megsérült, akkor a Vista „visszavesz” a szigorból és használhatjuk a beépített admin fiókot is
Fő kategóriák Admin jogosultságokhasználata Logon/ Logoff Registry hozzáférés Filerendszer elérés Jogosultságok, hozzáférésAudit • Sokkal részletesebb, új kategóriákkal • Több információval, kb. 50 új eseménnyel • Teljesen új naplózási alrendszer • Események összegyűjtése • + Task Manager = értesítések
Mi mindent lehet auditálni? Registry változásokat (régi + új érték) AD változásokat (régi + új érték) UAC eseményeket IPSec eseményeket RPC Call eseményeket Megosztásokkal kapcsolatos történéseket (elérés, kezelés) Titkosítási eseményeket NAP eseményeket (csak szerver oldalon) IAS (RADIUS) eseményeket (csak szerver oldalon) Jogosultságok, hozzáférésAudit
Jogosultságok, hozzáférésWindows Service Hardening – Miért is kell? • A különböző szervizek előkelő célpontjai a különböző malwareknek • A felhasználó bevonása/tudta nélkül futnak • Ismert szerviz sérülékenységek • Sok szerviz „LocalSystem” fiók joggal fut • Sok ismert féreg pont ezt használta ki • Sasser, Blaster, CodeRed, Slammer, etc…
User Admin System services Windows XP • Kevés réteg • Többnyire magas privilégium • Kevés védelem a rétegek között Kernel
Felhasználó LUA felh. Alacsony priv. szervizek Admin Rendszer szervizek D S S D Windows Vista Service Hardening • A magas kockázatú rétegek mérete csökken • Több réteg • Szegmentált szervizek Felhasználó fiók védelme (User Account Control) Kernel S S S D D D S D Kernel meghajtók Rendszer szervizek Alacsony priv. Szervizek Felh. módú meghajtók D
Jogosultságok, hozzáférésSzerviz felosztás (Service refaktoring) • Folyamatosan csökken a jogosultsági kör • De a Vistában drasztikusabb a változás • A legtöbb esetben már nem LocalSystem • Ha mégis szükséges, akkor két részre vágva dolgozik • A szerviz fő része pl. a LocalService fiókkal • A privilegizált műveletekhez szükséges rész továbbra is a LocalSystem fiókkal • A két rész között hitelesítést megkívánó kapcsolat van Memória A szerviz fő része LocalService fiókkal fut Privilegizált műveletek LocalSystem
Jogosultságok, hozzáférésSzerviz profil (Service profiling) • Minden szerviznek egyedi azonosítója van • S-1-80-<a szerviz logika nevének SHA-1 hash-e> • A szervizprofil is újdonság • ACL-ek listája • Megengedi / tiltja • A privilégiumok és erőforrások (filerendszer, registry) használatát • Adott portok használatát, a WF segítségével • Rugalmasabb megoldás • a Local / Network Service > további jogosultság
Jogosultságok, hozzáférésWindows Service Hardening • Példa: a „mindenható” RPC immár • nem cserélheti le a rendszerfile-okat, • nem módosíthatja a registryt, • nem befolyásolhatja, módosíthatja más szervizeket konfig állományait (AV szoftverek, szignatúrák, stb.) • A szervizprofil szigorú kialakítása egy teljesen automatikus művelet, amely • Elsősorban telepítéskor megy végbe • Csak a Windows szervizekre érvényes
Jogosultságok, hozzáférésSzerviz profilozás – eventlog példa ACL Eventlog:W SysEvent.evt Írásvédett token Eventlog service
Jogosultságok, hozzáférésUser Account Control • A lényeg: standard felhasználónként dolgozzon mindenki a rendszerben • Ha ez nem megy, akkor interakció van: • Figyelmeztetés / jogosultság bekérés / megtagadás • The Application Information Service (AIS) system szerviz indítja a szintemelést igénylő alkalmazásokat • Új folyamatot indít az admin token használatával • XML leíró állomány – az alkalmazás futtatásához szükséges szint • UAC inkompatibilitás • Install program detektálás • Virtualizáció
Felhasználó Alapfelhasználói jogok Adminisztrátori jogok Admin belépéssel Adminisztrátori token „Alap felhasználó” token
Időzóna beállítás Engedélyezett alkalmazások pl. MSN Messenger Betűkészlet és nyomtató telepítés Felhasználó „Alapfelhasználói” jogok Alapfelhasználói jogok Adminisztrátori jogok Alap felh.belépéssel
Időzóna beállítás Engedélyezett alkalmazások MSN Messenger Betűkészlet és nyomtató telepítés Felhasználó Időállítás „Alapfelhasználói” jogok Admin jogok Admin jogok Admin jogok Tűzfal konfigurálás Alkalmazás telepítés Alapfelhasználói jogok Adminisztrátori jogok Admin belépéssel „Alapfelhasználói” jogok
OS alkalmazás Aláíratlan alkalmazás Aláírt alkalmazás Jogosultságok, hozzáférésUser Account Control
Jogosultságok, hozzáférésUser Account Control • Mit tehet meg egy Standard User? • Vezetéknéküli hálózat konfigurálás • Energiaellátás opciók változtatása • VPN kapcsolatok konfigurálása • Nyomtató és egyéb eszközök hozzáadása – GP • Windows Update, Windows Defender • Lemez defrag, Disk CleanUp, időzóna váltás • Eseménynapló (Security naplót azért nem) • A pajzs ikon mutatja, hogy mit nem lehet
Jogosultságok, hozzáférésInternet Explorer 7 Run withfull privs? tutiprogi.com Megbízhatóoldal? AIS Futtat? Teljes jog LP IE IEPolicy tutiprogi.exe …\My Docs\tutiprogi.exe IL=magas IL=alacsony IL=magas ha adminIL=egyébként közepes \Progs\GS\progi.exeprogi.dll …\TIF\tutiprogi.exe
Jogosultságok, hozzáférésVirtualizáció • Miért kell Admin jog egy könyvelő proginak? • Program files virtualizáció • Registry virtualizáció • Lássuk inkább hogy is működik...
User Account Control Program File és Registry virtualizáció demó
Napirend • Biztonsági környezet • Jogosultságok, hozzáférés • Belépés, hitelesítés, Audit • Felhasználói fiókok • Windows Service Hardening • User Account Controll demo • Program File és Registry virtualizáció • Beágyazott proaktív védelem • Address Space Layout Randomization • Data Execution Protection • Kernel Patch Protection (x64) • Kernel Mode Code Signing • Egy támadás anatómiája • Sérülékenység - támadás időablak • RPC DCOM demo • Izoláció • Windows Firewall/IPSec demo • NAP • Adatvédelem • RMS, EFS, Bitlocker
Beágyazott proaktív védelemAddress Space Layout Randomization • Az alkalmazások / processzek kódja és függelékei véletlenszerűen kiválasztott helyekre töltödődnek be, azaz: • Nem lehet kiszámítani előre, hogy mely címekre kerülnek • Megkeresni időigényes (256 variáció) • Minden újraindításkor megtörténik a kiszámítás • Ha egy processzt egy másik alkalmazás is használ, a kiszámítás újra megtörténik
Beágyazott proaktív védelemAddress Space Layout Randomization 1. boot után 2. boot után wsock32.dll (0x73200000) winhttp.dll (0x73760000) user32.dll (0x770f0000) kernel32.dll (0x77350000) gdi32.dll (0x77190000) wsock32.dll (0x73ad0000) winhttp.dll (0x74020000) user32.dll (0x779b0000) kernel32.dll (0x77c10000) gdi32.dll (0x77a50000)
Beágyazott proaktív védelemAddress Space Layout Randomization • Javasolt együtt használni más technológiákkal • DEP (NX) – adatfuttatás megelőzés • Szoftveres: /SafeSEH – biztonságos struktútájú kivétel kezelés • Hardvers: NX (AMD) / XD (Intel) esetén a használt lapozó tábla utolsó bitje szabályozza lehet-e (0) kódot futtani a hivatkozott területen vagy sem (1) • .NET felügyelt kód esetén ez nem probléma • /GS: Visual C++ fordító opció verem túlcsordúlás detektálás
Beágyazott proaktív védelemKernel Patch Protection (KPP) • Amit a KPP tilt • Az egyes meghajtó programok nem módosíthatják a system service táblák function mutatóit (kernel hook) • Interrupt descriptor table (IDT) • Global descriptor table (GDT) • Bármely kernel verem használatát (kivétel ha azt maga a kernel kezdeményezte) • Bármilyen kernel módosítás, bővítmény, patch
Beágyazott proaktív védelemCode Signing and Code Integrity • Minden kernel módban futó drivernek aláírással kell rendelkeznie • Csak aláírt kód tölthető a kernelbe • Még az adminisztrátor sem... • Kernel malware védelem • ...Sony DRM rootkit.... Troj/Stinx-E • Mark Russinovich's technical blog • http://www.microsoft.com/technet/sysinternals/default.mspx
Napirend • Biztonsági környezet • Jogosultságok, hozzáférés • Belépés, hitelesítés, Audit • Felhasználói fiókok • Windows Service Hardening • User Account Controll demo • Program File és Registry virtualizáció • Beágyazott proaktív védelem • Address Space Layout Randomization • Data Execution Protection • Kernel Patch Protection (x64) • Kernel Mode Code Signing • Egy támadás anatómiája • Sérülékenység - támadás időablak • RPC DCOM demo • Izoláció • Windows Firewall/IPSec demo • NAP • Adatvédelem • RMS, EFS, Bitlocker
Szűkülő időablakProaktív védelem kell, a Reaktív ideje lejárt Fertőzés Malware (Féreg, vírus) Támadási mód (kód) (Exploit) Sérülékenység (0 day vulnerability) Néhány egyedi támadás Nincs javítás • Automatizált, gyorsan terjedő támadások • Mutáns verziók • Fertőző kódot tartalamzó web oldalak • Spam üzenetek • Káros csatolmányok
REQUEST Function Call: Opnum 4 -------------- Function Arguments \\server\file Microsoft RPC DCOM OverflowSecurity Bulletin MS03-026 (Blaster) Pkt 1 Server Port 135/tcp BIND Interface: ISystemActivator 000001a0-0000- 0000-c000- 000000000046 v0.0 Pkt 2 Interfaces Available: e1af8308-5d1f-11c9-91a4-08002b14a0fa v3.0 0b0a6584-9e0f-11cf-a3cf-00805f68cb1b v1.1 975201b0-59ca-11d0-a8d5-00a0c90d8051 v1.0 e60c73e6-88f9-11cf-9af1-0020af6e72f4 v2.0 99fcfec4-5260-101b-bbcb-00aa0021347a v0.0 b9e79e60-3d52-11ce-aaa1-00006901293f v0.2 412f241e-c12a-11ce-abff-0020af6e7a17 v0.2 00000136-0000-0000-c000-000000000046 v0.0 c6f3ee72-ce7e-11d1-b71e-00c04fc3111a v1.0 4d9f4ab8-7d1c-11cf-861e-0020af6e7c57 v0.0 000001a0-0000-0000-c000-000000000046 v0.0 Pkt 3
Napirend • Biztonsági környezet • Jogosultságok, hozzáférés • Belépés, hitelesítés, Audit • Felhasználói fiókok • Windows Service Hardening • User Account Controll demo • Program File és Registry virtualizáció • Beágyazott proaktív védelem • Address Space Layout Randomization • Data Execution Protection • Kernel Patch Protection (x64) • Kernel Mode Code Signing • Egy támadás anatómiája • Sérülékenység - támadás időablak • RPC DCOM demo • Izoláció • Windows Firewall/IPSec demo • NAP • Adatvédelem • RMS, EFS, Bitlocker
KomponensekWindows Firewall • Kezelés / felület változások • Control Panel: majdnem mint az XP-ben • Új MMC felület számos extrával: „WF with Advanced Security” • Távoli elérés MMC-vel • Előredefiniált szabályok • netsh advfirewall
KomponensekWindows Firewall • Kategóriák • A hálózati profil az első kapcsolódáskor készül el • Interfész, DC, hitelesíthető gép, átjáró MAC címe, stb. • Az NLA szerviz detektálja a hálózati változásokat • Változás esetén rövid idő alatt vált kategóriát (<200ms) • Ha nem tartományban van, akkor felhasználói interakció kell
KomponensekWindows Firewall • Szabályok újdonságai • Forrás és cél IP címek • Speciális kiszolgálók címei • Protokoll típusok • Több új + IPv6 kompatibilis • AD felhasználó/gép/csoport fiókok • Titkosítás esetén kötelező • Interfész típusa • vezetékes, vezetéknélküli, VPN/RAS • Szervizek • Előre- és eltérő körülményekre legyártott szabályok
Hagyományos tűzfal A felhasználó local admin? Van ilyen is csak kevés... A malware próbálkozik A tűzfal figyelmeztet! Nem Érted ? Igen Nem A malware lefut Igen A felhasználó engedélyezi A malware letiltja a tűzfalat „Ajtó, ablak...” 0wn3d
KomponensekIPSec • Tűzfallal integrált, egyszerűsített IPSec • Globális beállítások • Connection Security Rules • Izoláció, hitelesítés mentesítés, server-to-server, tunnel • Új algoritmusok • Titkosítás: AES-128/192/256 • Kulcscsere: ECDH-P 256/384
KomponensekIPSec • Kliens <> DC IPSec • Immár támogatott • Szimultán kapcsolatok • Nem gond a tartományba léptetés (NTLMv2) • Hálózattípusok szerint is • Csak Vista és LH Server esetén