380 likes | 476 Views
Nové Bezpečnostní prvky MS Windows 8. mjr. Ing Milan Jirsa, Ph.D. Univerzita obrany Brno milan.jirsa@unob.cz. Vybrané bezpečnostní prvky. Picture password Secure Boot ( Trusted boot, Measured boot) Bitlocker Biometric security Security Compliance Manager. Picture password.
E N D
Nové Bezpečnostní prvky MS Windows 8 mjr. Ing Milan Jirsa, Ph.D. Univerzita obrany Brno milan.jirsa@unob.cz
Vybrané bezpečnostní prvky • Picture password • Secure Boot (Trusted boot, Measured boot) • Bitlocker • Biometric security • Security Compliance Manager
Picture password • Místo hesla 3 gesta na obrázku • Vhodné pro dotykové obrazovky, lze ale použít i myš • Typ gesta: bod, úsečka, kružnice (poslední dvě gesta včetně orientace) • Pořadí zadávání se nemění • Obrázek lze volit • Po 5 neúspěšných pokusech se přejde do režimu obvyklého zadání textového hesla • Při vyhodnocování gest se bere do úvahy rozlišení monitoru, průměrná velikost prstu, nemožnost přesného opakování
Picture password Vyhodnocení gesta typu bod – skóre v 37 polích matice 100x100 musí být větší než 90%
Picture password • Výhody: snadné zapamatování, rychlé zadání • Možné útoky: smudge attack, shoulder surfing, snímání obrazovky, brute force attack • Smudge attack – sledování šmouh na displeji, útočník má 5 pokusů, protiopatřením je pečlivé utírání displeje (po přihlášení, před ním to laskavě udělá útočník) • Shoulder surfing – odpozorování zjednodušuje zpětná vazba, kterou operační systém poskytuje při zadávání gest
Picture password Brute force attack • Důležitá je volba obrázku – měl by obsahovat co nejvíce tzv. bodů zájmu (vhodný obrázek by jich měl mít alespoň 10, teoreticky jich může být 10 000, protože obrázek je rozdělen na matici 100x100polí) • 10 bodů zájmu = 10 různých gest typu bod, 20 různých kružnic, 90 různých úseček (celkem 120 možností ve třech krocích odpovídá 1203 = 1 728 000 celkem hesel) • Doporučení: nepoužívat jen body, úsečky jsou nejlepší, střídat různá gesta
Použití lze zakázat • pomocí nástroje gpedit.msc (editace místního GPO)
Secured Boot • Windows nabízí mnoho bezpečnostních prvků, které ale uživatele chrání až po úspěšném spuštění operačního systému. • Secure Boot je postup spouštění počítače, jehož cílem je zabránit malwaruzmocnit se spouštěného počítače a modifikovat proces zavádění operačního systému (bootkit a rootkit), ještě předtím, než se Windows spustí a začnou fungovat jeho zabudované bezpečnostní prvky. • Protokol Secure Boot je součástí specifikace UEFI (Unified Extensible Firmware Interface), která byla navržena jako náhrada rozhraní BIOS. • Windows 8 BIOS stále podporuje, ale na UEFI 2.3.1 nabízí vyšší bezpečnost zavádění systému, protože Secure Boot povolí spouštění jen podepsanému kódu.
Secured Boot Zavádění systému z BIOSumůže malware narušit a spustit se ještě před operačním systémem. UEFI firmware umožní spustit jen podepsané zavaděče operačního systému. Zavaděč operačního systému ověřuje signatury dalších spouštěných částí Windows (kontrola integrity), pokud signatura neodpovídá spustí Trusted Boot obnovu ze záložní kopie.
Zdroj: http://technet.microsoft.com/en-us/windows/dn168167.aspx
ELAM • ELAM (Early Launch Anti-Malware) testuje ovladače hardwaru před jejich zavedením, neschválené ovladače nezavede • Antimalware od MS nebo jiné firmy je spuštěn před ostatními ovladači (není to plnohodnotné řešení, příliš by to zpomalovalo start) • Windows Defender podporuje ELAM
Measured boot Measured boot – firmware zaznamená podrobná data o průběhu spouštění systému, Windows poté tato data odešle na důvěryhodný server, kde jsou využita k posouzení stavu počítače: • UEFI firmware ukládá na TPM (Trusted Platform Module) čip hash hodnoty firmwaru, zavaděče a ostatního softwaru, který se spustí před ELAM. • Když končí proces spouštění systému, Windows spustí klienta pro ověření (remote attestation client). Důvěryhodný ověřovací server klientovi zašle jedinečný klíč.
Measured boot • Zaznamenaný průběh spouštění se tímto klíčem podepíše. • Klient zašle podepsaný záznam na server, který může posoudit, zda je PC v pořádku.
Measured boot Zdroj: http://technet.microsoft.com/en-us/windows/dn168167.aspx
UEFI klíče Platform Keypub Platform Key (PK) • pouze jeden • umožňuje modifikovat databázi KEK Key Exchange Key (KEK) • jeden či více klíčů • umožňuje modifikovat db and dbx Authorized Database (db) • povolené podpisy, klíče nebo hashe Forbidden Database (dbx) • zakázané podpisy, klíče nebo hashe Key Exchange Keypub Allow DB “db” Disallow DB “dbx”
Secured Boot • Pokud mají nová zařízení získat certifikaci pro Windows 8, požaduje Microsoft, aby byla funkce Secure boot zapnuta (certifikace je nepovinná, ale pro marketing užitečná). • Tuto funkci lze vypnout na PC, ale ne na tabletech. • Databáze důvěryhodných klíčů v TPM čipu musí obsahovat klíč firmy Microsoft. • Alternativní operační systémy se cítily ohroženy (každý tvůrce Linuxové distribuce, by potřeboval, aby též jeho klíč byl v TPM čipu).
Secured Boot Řešení problému Linux Foundation má od Microsoftu podepsaný malý „pre-bootloader“, který umožní bootovací proces, ale dále již řízení předá současným zavaděčům (např. GRUB). UEFI BIOS je k dispozici jen na nejnovějším hardwaru, secure boot je často standardně vypnut.
Bitlocker Stále je možné použít i šifrovaný souborový systém EFS Šifrování disků nazvané BitLocker se objevilo již ve Windows Vista, ale ve Windows 8 má být šifrování disků rychlejší, protože je možné ho svěřit hardwaru, nebo lze zašifrovat jen použité místo na disku. Podporuje šifrování systémového i datového oddílu. V případě zašifrování systémového disku nabízí celou řadu předbootovacích autentizačních možností: • TPM-only, PIN/Password, Network Unlock, USB storage
Bitlocker to Go • Umožňuje zašifrovat externí disky (např. USB flash disk) • Přístup pro čtení na Windows Vista a Windows XP vyžaduje dodatečnou aplikaci (Bitlocker to Go Reader) • Heslo musí mít alespoň 8 znaků, pokud ho uživatel zapomene, lze použít recovery key • Disk je možné zpřístupnit hned při přihlášení
Biometric Security • Windows 8 obsahují rozhraní Windows Biometric Framework, které jednotným způsobem zpřístupňuje bometrická zařízení aplikacím. • Předchozí verze Windows tato zařízení podporovala, ale bylo zapotřebí dodat speciální ovladače a software. Nyní je podpora součástí operačního systému. • Lepší podpora biometrických zařízení se projeví například možností použít rychlé přepínání uživatelů společne se čtečkou otisků prstů.
Security Compliance Manager (SCM) • Volně dostupný nástroj pro klienty s Windows • Silnější náhrada nástroje Security configuration and Analysis • Předpřipravené politiky založené na doporučeních Microsoft Security Guide a obecných bezpečnostních praktikách usnadňují bezpečné nastavení operačního systému • Politiky lze aplikovat prostřednictvím GPO objektů a nástroje System Center Configuration Manager • Lze použít i nasamostatných počítačích
LocalGPO Tool • Při instalaci nástroje SCM, se v instalačním adresáři vytvoří samostatný adresář pro nástroj zvaný LocalGPO Tool (LGT). • Je to konzolový nástroj, který lze nainstalovat na počítači samostatně. • Pomocí nástroje SCM je možné všechna potřebná nastavení uložit do formátu GPO backup, LGT je schopen tato nastavení přenést na samostatný počítač.
LocalGPO Tool Nástroj lze použít k exportu místní politiku do souboruve formátu GPO backup, který se dá importovat do aktivního adresáře nebo přenést na jiný samostatný počítač. Tam je ale třeba mít nainstalovaný LocalGPO Tool. cscript LocalGPO.wsf /Path: "c:GPOBackups" /Export Místní politiku je možné exportovat do formátu nazvaného GPOPack. Tento soubor je možné přenést a použít na jiném samostatném počítači bez instalovaného nástroje LocalGPO Tool (stačí spustit skript, který je součástí GPOPacku). cscript LocalGPO.wsf /Path: "c:\GPOBackups" /Export /GPOPack
Použité zdroje • Signing in with a picture password • Securing the Windows 8 Boot Process • Protect Portable Storage with BitLocker To Go • Windows Security Survival Guide • Security Compliance Manager