1 / 21

Varnost v platformi Vista

Varnost v platformi Vista. Matjaz Ladava, MCT, CISSP Senior Consultant Microsoft Corporation matjaz.ladava@microsoft.com. A computer lets you make more mistakes faster than any invention in human history - with the possible exceptions of handguns and tequila. Agenda. Zaščita podatkov

ethan-strickland
Télécharger la présentation

Varnost v platformi Vista

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Varnost v platformi Vista Matjaz Ladava, MCT, CISSP Senior Consultant Microsoft Corporation matjaz.ladava@microsoft.com A computer lets you make more mistakes faster than any invention in human history - with the possible exceptions of handguns and tequila.

  2. Agenda • Zaščita podatkov • Zaščita pred napadi • Varnostni mehanizmi za podjetja • Povzetek Want to make your computer go really fast? Throw it out a window.

  3. Varnost v platformi Vista • Evolucija varnosti • Reševanje problemov od včeraj • Poskus preprečevanja napadov v prihodnosti • Varnost skozi razvoj • Centralno upravljanje in nadzor • Razumevanje varnostnih mehanizmov v novi platformi… • …in kako jih izkoristiti If builders built houses the way programmers built programs, the first woodpecker to come along would destroy civilization.

  4. Zagon sistema Varen zagon(BitLock) Integracija z TPM in BIOS Zagotavlja zaupanje za CI, LUA Polna enkripcija diska Integriteta sistema (CI) Preveri integriteto binarnih datotek v času prenosa v spomin Pokriva x64 jedro Podpora katalogu in vgrajenim digitalnim podpisom Unix gives you just enough rope to hang yourself -- and then a couple of more feet, just to be sure.

  5. Integriteta sistema: Zaščita datotek sistema • Preveri integriteto vsake binarne datoteke • Implementiran kot filter v datotečnem sistemu • Preveri “hash” vsake naložene strani • Preveri vsako datoteko, ki se naloži v zaščiten proces • “Hash” je hranjen v sistemskem katalogu ali v X.509 digitalnem potrdilu v sami datoteki • Preveri integriteto zagonskega procesa • Preveri jedro, HAL in zagonske gonilnike • Če preverjanje ne uspe, se gonilnik ne naloži The trouble with doing something right the first time is that nobody appreciates how difficult it was.

  6. Izboljšava avtentikacije • Nova prijavna arhitektura • GINA je preteklost (sedanji Windows prijavni modul). • Drugi lahko dodajo biometrične, OTP ali druge avtentikacijske mehanizme v sistem. • Lažja implementacija pametnih kartic • Gonilniki in Certificate Service Provider (CSP) vključena v sistem ali dodana v WU • Vsa prijavna okna za UAC podpirajo pametne kartice If you don't double-click me, I can't do anything.

  7. Kontrola USB napravZaščita podatkov • Nadzor nameščanja USB naprav • Nadzor nad vrsto USB naprav • Centralno upravljanje preko skupinskih politik Getting information off the Internet is like taking a drink from a fire hydrant.

  8. Windows BitlockerZaščita podatkov • Kraja in izguba računalnikov • Šifriranje particij • Varen zagon • Centralizirana obnova Why shouldn't a PC work like a refrigerator or a toaster?

  9. User Account ControlZaščita pred napadi • Zmanjševanje privzetih pravic • Fleksibilnost navadnega uporabnika • Zaščita sistemov brez popravkov • Čim manj intervencij uporabnikov • Je vmesna pot do odprave lokalnih skrbnikov • Bolje biti navaden uporabnik brez… • Prilagajanje programske opreme If you can't beat your computer at chess, try kickboxing.

  10. Kontrola integritete procesov • Omejitve trenutnih varnostnih mehanizmov • Preveč moči imajo lokalni skrbniki • Uporabnike lahko prepričamo da poženejo aplikacijo • MIC naredi LUA močno • Znanstveni model iz 70-ih let (Biba) • Preprosto pravilo • Objekti z nižjo integriteto ne morejo spreminjati objektov z višjo prioriteto • Objekti z višjo integriteto se ne morejo zanesti na objekte z nižjo prioriteto Hardware: the parts of a computer that can be kicked.

  11. Kontrola integritete procesov • Kako deluje ? • Ob prijavi dobi uporabnik nivo integritete • Vista pozna štiri: nizko, srenje, visoki in sistemsko • Vsi objekti imajo svojo integriteto • Ko se preverjajo pravice se predhodno preveri integriteta • Privzeti uporabnik ima srednjo, IE uporabnik nizko, sistem sistemsko If debugging is the process of removing bugs, then programming must be the process of putting them in.

  12. IE z nizkimi privilegiji • Uporabljeno, ko v internet zoni • Manj privilegijev kot LUA uporabnik • Lahko zapisuje samo v omejene dele sistema • Ne more manipulirati z procesi na nivojih višje integritete • Občutljiva opravila opravlja poseben proces • Nameščanje ActiveX kontrol • Spreminjanje internet nastavitev • Se ga ne da programsko upravljati • Uporablja kontrolo integritete in izolacijo UI

  13. Windows defender • Zaščita pred zlonamernimi programi • Pripraven za odkrivanje, kaj se dogaja na sistemu • Del večje slike zaščite pred zlonamernimi programi If a trainstation is where the train stops, what's a workstation...?

  14. Zaščita storitev • Zakaj so storitve nevarne ? • Zaščita storitev: Najnižji privilegiji • Zaščita storitev: Izolacija storitev • Zaščita storitev: Omejitev dostopa do omrežja • Zaščita storitev: Ogrodje za razvijalce An expert is a person who has made all the mistakes that can be made in a very narrow field.

  15. Požarna pregrada Filtriranje izhodnega prometa Filtriranje glede na varnostne principale Boljše upravljanje Integracija z IPSec Trije profili Domenski Privazni Javni There is no reason for any individual to have a computer in his home.

  16. NAP Brez zaupanja Zaupanje Avtentikacija opcijska Izolacija in zaupanje Nov PC Strežnik kontrole zdravlja Zahtevana avtentikacija Infrastrukturni strežniki X Požarne pregrade Na klientih Prehodi za dostop Naprave brez zaupanja Never trust a computer you can't throw out a window.

  17. NAP The computer is a moron. 17

  18. Kaj je NAP in kaj omogoča • Preverjanje politik • Preveri, ali so računalniki skladni z varnostni politiko podjetja. Zdravi računalniki, ki so skladni s politiko. • Omejevanje omrežja • Omejevanje dostopa do omrežja glede na zdravje računalnikov. • Remediacija • Zagotavljanje potrebnih popravkov, ki omogočajo računalnikom, da postanejo “zdravi”. Ko je to doseženo, se omejitve odpravijo. • Skladnost z politiko • Dinamično spreminjanje varnostne politike podjetja povzroči dinamično spreminjanje zdravja klientov. There is only one satisfying way to boot a computer.

  19. Varna objava aplikacij • Zaščita oddaljenih programov z varno objavo • Zmanjšuje potrebo po VPN • Več-faktorska avtentikacija • Enak princip kot pri RPC/HTTP This problem, too, will look simple after it is solved.

  20. Povzetek • Velik izbor varnostnih mehanizmov • Vsak se bo odločil katere uporabiti • Razumevanje varnostnik tehnologij je pomembno za razumevanje viste • Izkušnje uporabnikov ko niso lokalni skrbniki People in the computer industry use the term 'user,' which to them means 'idiot.'.

  21. Q & A Asking if computers can think is like asking if submarines can swim.

More Related