Встроенная функциональность Windows 8 и Windows Server 2012 поможет вам существенно улучшить безопасность вашей инфраструктуры. В этом докладе мы обсудим наиболее интересные из новых функций и ключевых сценариев. Мы поговорим про Trusted Boot, Measured Boot, Remote Attestation, Virtual Smartcards, SmartScreen, Dynamic Access Control и множество других нововведений.

1. Новое в безопасности
Windows 8 и Windows
Server 2012
Андрей Бешков
Руководитель программы информационной
безопасности
abeshkov@microsoft.com

2. Содержание

3. Развитие угроз
Ключевые угрозы
Ключевые угрозы
Ключевые угрозы
Ключевые угрозы
Ключевые угрозы
Ключевые угрозы
•
•
•
•
•
•
•
•
•
•
•
•
Internet was just growing
Mail was on the verge
•
Melissa (1999), Love Letter
(2000)
Mainly leveraging social
engineering
•
•
•
•
1995
2001
Code Red and Nimda (2001),
Blaster (2003), Slammer
(2003)
9/11
Mainly exploiting buffer
overflows
Script kiddies
Time from patch to exploit:
Several days to weeks
•
•
•
•
•
2004
Zotob (2005)
Attacks «moving up the
stack» (Summer of Office 0day)
Rootkits
Exploitation of Buffer
Overflows
Script Kiddies
Raise of Phishing
User running as Admin
2007
Organized Crime
Botnets
Identity Theft
Conficker (2008)
Time from patch to exploit:
days
•
•
•
Organized Crime, potential
state actors
Sophisticated Targeted
Attacks
Operation Aurora (2009)
Stuxnet (2010)
2009
2012
Windows 95
Windows XP
Windows XP SP2
Windows Vista
Windows 7
Windows 8
• -
•
•
•
•
•
• Address Space Layout
Randomization (ASLR)
• Data Execution Prevention
(DEP)
• Security Development
Lifecycle (SDL)
• Auto Update on by Default
• Firewall on by Default
• Windows Security Center
• WPA Support
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
Logon (Ctrl+Alt+Del)
Access Control
User Profiles
Security Policy
Encrypting File System (File
Based)
• Smartcard and PKI Support
• Windows Update
•
•
•
•
•
•
Bitlocker
Patchguard
Improved ASLR and DEP
Full SDL
User Account Control
Internet Explorer Smart
Screen Filter
Digital Right Management
Firewall improvements
Signed Device Driver
Requirements
TPM Support
Windows Integrity Levels
Secure “by default”
configuration (Windows
features and IE)
•
•
•
•
•
•
•
Improved ASLR and DEP
Full SDL
Improved IPSec stack
Managed Service Accounts
Improved User Account
Control
Enhanced Auditing
Internet Explorer Smart
Screen Filter
AppLocker
BitLocker to Go
Windows Biometric Service
Windows Action Center
Windows Defender
•
•
•
•
•
•
•
•
•
•
UEFI (Secure Boot)
Firmware Based TPM
Trusted Boot (w/ELAM)
Measured Boot and
Remote Attestation
Support
Significant Improvements
to ASLR and DEP
AppContainer
Windows Store
Internet Explorer 10
(Plugin-less and Enhanced
Protected Modes)
Application Reputation
moved into Core OS
BitLocker: Encrypted Hard
Drive and Used Disk Space
Only Encryption Support
Virtual Smartcard
Picture Password, PIN
Dynamic Access Control
Built-in Anti-Virus

4. Основные области безопасности
Защита от
Новая защита от вредоносного кода
угроз Позволяет сделать клиента существенно менее
уязвимым для вредоносного кода
Защита
данных
Повсеместное шифрование
Упрощает развертывание шифрования и
проверку соответствия на всем спектре
оборудования
Защита Модернизация контроля доступа
Улучшения в классификации
ресурсов управлении доступом к ним данных и

5. Проблемы

7. Universal Extensible Firmware Interface
(UEFI)
Замена традиционному BIOS
UEFI как и BIOS передает управление компонентам загрузки ОС
Независим от архитектуры оборудования
Enables device initialization and operation (mouse, pre-os apps, menus)
Безопасная загрузка ОС, шифрованные диски, разблокировка BitLocker по сети

8. Trusted Platform Module 2.0
Enables commercial-grade security via physical and virtual key isolation from OS
TPM 1.2 spec: mature standard, years of deployment and hardening
Improvements in TPM provisioning lowers deployment barriers
Algorithm extensibility allows for implementation and deployment in additional countries
Security scenarios are compatible with TPM 1.2 or 2.0
Discrete or Firmware-based (ARM TrustZone® ; Intel’s Platform Trust Technology (PTT))
* Microsoft refers to the TCG TPM.Next as “TPM 2.0”.

9. Требования к оборудованию и функционалу
#
Features
TPM 1.2/2.0
UEFI 2.3.1
1
BitLocker: Volume Encryption
X
2
BitLocker: Volume Network Unlock
X
3
Trusted Boot: Secure Boot
X
4
Trusted Boot: ELAM
X
5
Measured Boot
X
6
Virtual Smart Cards
X
7
Certificate Storage (Hardware Bound)
X
8
Address Space Layout Randomization (ASLR)
X
9
Visual Studio Compiler
X
X

11. UEFI Secure Boot: Старое против
нового
Старое
BIOS
Загрузчик ОС
(зловред)
Запуск ОС
BIOS запускает любой код для загрузки ОС, даже зловреда
Зловред может стартовать до запуска Windows
Новое
Native UEFI
Доверенный
загрузчик ОС
Запуск ОС
Прошивка в соответствии с политикой позволяет запуск только
подписанных сертификатом загрузчиков ОС
Загрузчик ОС проверяет сигнатуры компонентов Windows. В случае
ошибки Trusted Boot восстанавливает компоненты ОС.
В результате не может изменить компоненты ОС

12. Защита и обслуживание UEFI
UEFI прошивка, драйвера, приложения и загрузчик должны быть подписаны сертификатом
База данных UEFI хранит доверенные и заблокированные сертификаты, центры
сертификатов и хэши образов UEFI
Функция Secured RollBack не позволяет откатиться на более старую уязвимую версию UEFI
Обновления для прошивки UEFI драйвера, приложения и загрузчика
Блокирование сертификатов и хэшей прошивок
UEFI способен выполнить проверку целостности и восстановить сам себя

13. Защита других этапов загрузки ОС
Windows 7
BIOS
Загрузчик
ОС
(зловред)
Сторонние
драйвера
(зловред)
Вход в
Windows
Антивирус
Сервисы ОС
Руткиты и буткиты скрываться от антивирусов т.к стартовали раньше
ОС может быть скомпрометирована до того как стартует антивирус
Windows 8
UEFI
Загрузчик
Windows 8
Ядро
Windows,
Антивирус
Сторонние
драйвера
Вход в
Windows
Запуск доверенных компонентов Windows и основных драйверов
Запуск и защита модулей ранней загрузки антивирусов ELAM
Автоматическое восстановление при повреждении или компрометации

15. Замеры в процессе загрузки
(Measured Boot)
Windows 7
• Замер только некоторых компонентов в процессе загрузки
• Включается только при наличии Bitlocker
Windows 8
•
•
•
•
Замер всех компонентов в процессе
Данные хранятся в Trusted Platform Module (TPM)
Механизм Remote attestation может обрабатывать эти данные по сети
Включается при наличии TPM. BitLocker не требуется

16. Глобальная картина защиты
Measured Boot + Remote attestation
Secure Boot
защищает
загрузчик ОС
UEFI Boot
Замеры компонентов,
включая антивирус
хранятся в TPM
Boot Policy
1
TPM
3
Windows
OS Loader
AM Policy
Windows
Kernel and
Drivers
AM Software
Антивирус
стартует до
запуска
стороннего
ПО
7
4
3rd Party
Software
Windows
Logon
Клиент пытается
Клиент предоставляет
получить доступ к
утверждение о
ресурсу. Сервер
здоровье. Сервер
запрашивает данные о
проверяет их и
здоровье
предоставляет доступ
Remote Resource
(File Server)
(Fie
5
2
Клиент отправляет
данные замеров из
TPM в сервис Remote
Attestation
6
Client
Утверждения
о здоровье
клиента
Сервис Remote
Attestation выдает
утверждение о
здоровье клиента
Remote
Attestation
Service

18. Picture Password в Windows 8

19. Новая аутентификация.
Безопасно?
Пин код и Picture Password предназначены для устройств с интерфейсом прикосновений
Picture password достаточно надежен для персонального использования. Подробности в блоге
Длинна
Пин код
Пароль (a-z)
Пароль (сложный)
Picture Password
1
10
26
n/a
2,554
2
100
676
n/a
1,581,773
3
1,000
17,576
81,120
1,155,509,083
4
10,000
456,976
4,218,240
5
100,000
11,881,376
182,790,400
6
1,000,000
308,915,776
7,128,825,600
7
10,000,000
8,031,810,176
259,489,251,840
8
100,000,000
208,827,064,576
8,995,627,397,120
Account Lockout Policy - “Account lockout threshold” + “Account lockout duration”
Security Option Policy - “Interactive logon: Machine account lockout threshold”

20. Кому нравятся пароли?
Мы все
ненавидим
их!

21. Смарткарты?

23. Виртуальные смарткарты!
• Виртуальные
смарткарты
хранятся в TPM
• MyID первый на
рынке вендор
управления
инфраструктурой
виртуальных
смарткарт

25. Защита основных компонентоы
ОС и приложений
Security Development Lifecycle (SDL)
Инструменты - Threat Models, Code Analyzers, Fuzzers, Visual Studio, …
Результат – Продукты Microsoft не входят в список 10 наиболее уязвимых продуктов
Касперского (Отчет Касперского за 3-й квартал)
Training
Requireme
nts
Design
Implementation
Verification
Release
Response

26. Механизмы защиты ОС

27. Изоляция Modern UI приложений
• В Windows Store попадают только доверенные
приложения
• Все приложения проходят антивирусную проверку
• Каждому приложению присваивается рейтинг
• Установка приложений
• Выполняет ОС независимо от приложения
• Изоляция
• Запуск с низкими привилегиями
• Доступ к ресурсам описывается через (Capabilities &
Contracts)
• Приложения не могут иметь доступ к данным других
приложений

28. Защита пользователей
• Internet Explorer 9 – Smart Screen
• Позволяет находит фишинговые сайты и сайты с вредоносами
• Заблокировал >1.5 млрд. зловредов >150 млн. фишинговых атак
• Internet Explorer 10 – Smart Screen
• Репутация приложений перенесена в ОС
• Защищает пользователей в не зависимости от выбора браузера, почтового
клиента, клиента мгновенных сообщений, и.т.д
• Internet Explorer 10 – Enhanced Protected Mode
•
•
•
•
Сложно взламывать из за механизма ASLR
Изоляция вкладов и процессов браузера
Требует пользовательского согласия для получения доступа к данным
Возможность блокировать отслеживание сайтами с помощью Do Not Track
(DNT)

31. Windows 8 – развертывание Bitlocker
• Развертывание Bitlocker одна из основных проблем:
• Проблемно вне зависимости от вендора
• TPM сложен для ИТ и пользователей
• Шифрование идет довольно долго
• Улучшение в Windows 8 BitLocker:
• Автоматическое развертывание решает большинство проблем
TPM связанных с развертыванием
• Включаем BitLocker в процессе установки ОС и шифруем диск
быстро
• Быстрое шифрование с шифрованием только занятого места
• Шифрование параллельно с созданием образа ОС