360 likes | 551 Vues
.NET Framework 2.0 Neue Security Features. Dominick BaierDevelopMentordbaier@leastprivilege.comhttp://www.leastprivilege.com. Sebastian WeberDeveloper Platform
E N D
1. .NET Framework 2.0 Neue Security Features Dominick BaierSebastian Weber
2. .NET Framework 2.0 Neue Security Features Dominick Baier
DevelopMentor
dbaier@leastprivilege.com
http://www.leastprivilege.com
3. Agenda
Windows Sicherheits-Infrastruktur nutzen
Sichere Kommunikation
Sichere Datenspeicherung
4. Accounts & SIDs Benutzer und Gruppen Accounts
NTAccount und SecurityIdentifier
Übersetzung zwischen beiden Formaten möglich
Basis für viele andere Windows Security Funktionen On Windows Server 2003, use the whoami command to see the groups you have been assigned to, including the SID for each group:
C:>whoami /groups > mygroups.txt
C:>notepad mygroups.txt
You may see the term “Alias” used to describe some groups. This is just an internal term for “Local Group”.
On Windows Server 2003, use the whoami command to see the groups you have been assigned to, including the SID for each group:
C:>whoami /groups > mygroups.txt
C:>notepad mygroups.txt
You may see the term “Alias” used to describe some groups. This is just an internal term for “Local Group”.
5. Übersetzen zwischen den Formaten
6. Zugriff auf Windows Gruppen
7. Sprachunabhängige Gruppen-Überprüfungen
8. Zugriffssicherheit Schutz von Ressourcen
Dateien, Registry-Einträge, Semaphoren, ...
Zugriffsrechte werden in Access Control Lists (ACL) beschrieben
Keine direkte Unterstützung in .NET 1.x
9. ACL Support in .NET 2.0 System.Security.AccessControl
FileSecurity
DirectorySecurity
MutexSecurity
RegistrySecurity
SemaphoreSecurity
Verwendet NTAccount / SecurityIdentifier
10. Dateirechte lesen
11. Dateirechte setzen
12. Agenda
Windows Sicherheits-Infrastruktur nutzen
Sichere Kommunikation
Sichere Datenspeicherung
13. Kommunikations-Protokolle Sichere Kommunikation
Vertraulichkeit
Integrität
Authentizität
Authentifizierung mit Windows Accounts
Kerberos, NTLM
Single Sign On
14. Szenarien
15. AuthenticatedStream Support für Kerberos/NTLM/SSL
Kann beliebige andere Streams „wrappen“
16. NegotiateStream Der Client ruft AuthenticateAsClient auf und gibt an
Seine Credentials
Den Service Principal Name
Gewünschte Impersonierung und Verschlüsselung
Der Server ruft AuthenticateAsServer auf und
Gibt sein Server Credentials zurück
Gibt den mindest Impersonierungs-Levels sowie die Verschlüsselungs-Stärke an
17. NegotiateStream Client
18. NegotiateStream Server
19. Remoting – Secure TCP Channel Benutzt NegotiateStream
20. Remoting – IPC Channel Nur lokale Verbindungen möglich
21. Agenda
Windows Sicherheits-Infrastruktur nutzen
Sichere Kommunikation
Sichere Datenspeicherung
22. Sichere Datenspeicherung Integration von Standards
SHA / HMACSHA 1-512
XML Encryption & Digital Signatures
PKCS#5
X509 / PKCS
Kein P/Invoke mehr nötig
Crypto API / CAPICOM
DPAPI
23. PKCS#5 Standard-Algorithmus zur sicheren Speicherung von Passwörtern
24. Symmetrische Krypto Verschlüsselung und Entschlüsselung erfolgt mit dem gleichen Schlüssel
25. Symmetrische Krypto Schlüsselmanagement ist die Herausforderung
Wer passt auf den Schlüssel auf?
Data Protection API (DPAPI) bietet Lösungsansätze
Windows verwaltet den Schlüssel
Verschlüsselung unterliegt einem Scope
26. Symmetrische Krypto .NET Framework 2.0 Support
SymmetricAlgorithm
DES, TripleDES, RC2, Rijndael
DPAPI
ProtectedData, ProtectedMemory
Scope: User, Machine, Process
27. Symmetrische Verschlüsselung
28. DPAPI Verschlüsselung
29. Asymmetrische Krypto / PKCS Durch Trennung der Schlüssel sind interessante Architekturen möglich
30. Asymmetrische Krypto / PKCS .NET 1.1 unterstützt
RSA Schlüssel
Zertifikate
Aber keine Verbindung zwischen beiden Technologien
In 2.0 volle Unterstützung für
Windows Zertifikats-Speicher
Standard PKCS Datentypen für Verschlüsselung und Signaturen
SignedCms, EnvelopedCms
CmsSigner, CmsRecipient
31. SignedCms
32. EnvelopedCms
33. Agenda
Windows Sicherheits-Infrastruktur nutzen
Sichere Kommunikation
Sichere Datenspeicherung
34. Fazit Noch viele andere neue Features und Verbesserungen
Code Access Security
Deployment
ASP.NET
Konsequente Integration von Standards
Performance Verbesserung
Anzahl P/Invoke erheblich verringert
35. Fragen und Antworten
36. Mehr Informationen Dominick
Blog: http://www.leastprivilege.com
Email: dbaier@leastprivilege.com
Sebastian
Blog: http://sebastianweber.org
Email: sebastian.weber@microsoft.com
37. Ihr Potenzial. Unser Antrieb.