SlideShare ist ein Scribd-Unternehmen logo

Windows Vista Security

Youngjun Chang
Youngjun Chang

2008년 3월 팀내부 세미나, Windows Vista Security

Technologie
1 von 19
Downloaden Sie, um offline zu lesen
Windows Vista Security 2008. 3. 13 ASEC 팀 장영준 주임 연구원
2 1. 윈도우 비스타의 보안 개념 윈도우 비스타는 다음의 4가지 보안 개념을 적용 1. 기본적인 보안 설정과 구현 초기 설정에 따른 보안 기능 동작 2. 공격 접점의 제거 공격을 받을 수 있는 부분에 대한 최소화 또는 초기 제거 3. 소프트웨어 업데이트 취약한 운영체제의 서비스 또는 프로그램에 대한 즉각적인 업데이트 4. 물리적인 저장소 및 트랜잭션 보호 물리적인 하드디스크의 데이터 및 통신을 통한 트랜잭션의 보호
3 2. 윈도우 비스타의 새로운 보안 기능 윈도우 비스타에는 다음의 보안 기능이 새로이 적용되거나 강화 1. 사용자 계정 컨트롤 (User Account Control) 2. 윈도우 디펜더 (Windows Defender) 3. 윈도우 방화벽 (Windows Firewall) 4. 인터넷 익스플로러 보호 모드 (I.E Protected Mode) 5. 비트락커 (BitLocker) 6. 파일 시스템 암호화 (Encrypting File System) 7. 감사 기능 (Auditing enhancements) 8. 스마트 카드 적용 (Smart Card improvements)
4 3. 윈도우 비스타의 설계적 보안 기능 윈도우 비스타 설계 단계에서 적용된 보안 기능들 1. 코드 무결성 (Code Integrity) 2. 윈도우 리소스 보호 (Windows Resource Protection) 3. 커널 패치 보호 (Kernel Patch Protection) 4. 드라이버 서명 요구 (Required Driver Signing) 5. 윈도우 서비스 강화 (Windows Services Hardening) 6. 인증 관리자 (Authorization Manager) 7. 네트워크 접근 제어 (Network Access Protection client) 8. 관리적 웹 서비스 (Web Services for Management) 9. 차세대 암호화 서비스 (Crypto Next Generation Services) 10. 데이터 실행 방지 (Data Execution Prevention) 11. 주소영역 난수화 (Address Space Layout Randomization) 12. 새로운 로그온 설계 (New Logon Architecture) 13. 권한 관리 서비스 (Rights Management Services client) 14. 다양화된 로컬 그룹 정책 개체 (Multiple local Group Policy objects)
5 4. 사용자 계정 컨트롤 (User Account Control) (1) 악의적인 어플리케이션의 사용자 권한을 이용한 시스템 변경을 예방 1. 초기 설정으로 제한된 권한 사용 관리자를 포함한 모든 사용자는 제한된 권한을 이용 2. 일반 사용자 계정의 제한 일반적인 작업에는 제한이 없으나 특정 시스템 변경은 제한 3. 일반 어플리케이션의 권한 제한 윈도우 XP에서 관리자 권한을 필요한 소프트웨어는 일반 사용자 권한으로 설치 가능 4. 관리자 승인 모드 (Admin Approval Mode) 표준 권한에서 관리자 권한이 필요할 경우 관리자 승인 모드 사용
6 5. 모든 어플리케이션은 관리자 권한 없이 실행 비스타를 위해 제작된 소프트웨어는 관리자 권한이 필요하지 않음 사용자 계정 컨트롤 가상화(UAC Virtualization)를 이용해 레지스트리와 파일의 변경으로 인한 시스템 전체에 대한 영향 최소화 - 사용자 계정 컨트롤 가상화(UAC Virtualization)의 보호 대상 %Program Files% %Windir% %Windir%System32 HKEY_LOCAL_MACHINESoftware - 사용자 계정 컨트롤 가상화(UAC Virtualization) 폴더 %User Account%AppdataLocalVirtualStore%Folder% 4. 사용자 계정 컨트롤 (User Account Control) (2)
7 6. 어플리케이션이 관리자 권한을 필요로 할 경우 사용자에게 관리자 인증을 요구 7. 운영 체제에서 관리자 인증이 필요한 경우 아이콘으로 표시 방패 모양의 아이콘을 표시해 관리자 권한이 필요함을 표기 8. 관리자 권한으로 로그온 하더라도 비스타는 초기 설정에 따라 표준 사용자 권한으로만 어플리케이션 실행 9. 비스타의 관리자 권한이 필요한 어플리케이션 정의 기준 어플리케이션 속성 – 사용자에 의해 관리자 권한이 필요함으로 설정 어플리케이션 목록 – 개발자에 의해 명시적으로 표기되는 경우 어플리케이션 휴리스틱 (Heuristics) MS에서 정의한 키워드의 파일명 (setup.exe, install.exe, update.exe 등) 4. 사용자 계정 컨트롤 (User Account Control) (3)
8 윈도우 디펜더 (Windows Defender)는 비스타에서 제공되는 시그니처 기반 의 악의적인 소프트웨어 차단 프로그램 1. 윈도우 디펜더 (Windows Defender)의 경고 레벨 심각함 (Severe) 시스템에 심각한 영향을 미칠 수 있는 어플리케이션 높음 (High) 심각함과 유사한 단계로 시스템에 악영향을 미칠 수 있는 어플리케이션 중간 (Medium) 프라이버시 침해 또는 시스템 성능저하를 유발할 수 있는 어플리케이션 낮음 (Low) 시스템 정보 수집 등과 같은 낮은 수준의 위험을 야기하는 어플리케이션 정의되지 않음 (Net Yet Classified) 아직 위험 단계가 분류되지 않은 어플리케이션 5. 윈도우 디펜더 (Windows Defender)
9 인터넷 익스플로러 7은 데이터 도난, 사기 웹 사이트, 악성코드 등에 유연하게 대응이 가능하도록 핵심적인 보안 설계 사항이 변경 1. 인터넷 익스플로러의 보호 모드 (I.E Protected Mode) 사용자의 권한으로 인해 I.E에 의해 시스템 설정 등이 변경되는 것을 예방 보호 모드는 비스타에서 사용자 계정 컨트롤(UAC)과 I.E 7이 같이 사용될 경우에만 활성화 2. URL 핸들링 보호 (URL Handling Protections) URL 파서를 재설계하여 파싱 단계에서 발생할 수 있는 오류 최소화 3. 개인 설정 교정 (Fix My Settings) 보안 설정이 변경될 경우 자동 알림과 원클릭으로 변경 가능 4. 피싱 필터와 팝업창 제한 (Phishing filters and window restrictions) 6. 인터넷 익스플로러의 보안 기능
10 비트락커 (BitLocker)는 저장 장치 전체를 암호화하여 시스템의 물리적 도난을 예방 1. 암호화 방식 대칭형 암호화 키 (Symmetric Encryption Key) 사용 2. Trusted Platform Module (TPM) 1.2 칩 사용 TPM 모드 (TPM only) - TPM만 이용 암호화 및 복호화 TPM과 시작 키 모드 (TPM with startup key) TPM과 시작키가 2개 모두 존재해야만 암호화 및 복호화 가능 3. Trusted Platform Module (TPM) 을 이용한 부팅 순서 비트락커(BitLocker)가 TPM에 MBR, 활성화 부트 파티션, 부트섹터, 윈도 우 부트 매니저와 저장소 키 등에 대한 SHA-1 값 정보 제공 시스템 부팅시 TPM은 기존 부팅시 계산되었던 SHA-1 값을 비교 SHA-1 값이 동일할 때에만 비트락커(BitLocker)에게 복호화 키 제공 7. 비트락커 (BitLocker)
11 코드 무결성 (Code Integrity) 부팅시 시스템 파일 변경 유무와 인증되지 않은 드라이버가 커널 모드에서 실행되는지를 검증 부트 로더 (Boot Loader)가 커널, HAL 과 부트 스타트 드라이버를 검증 윈도우 리소스 보호 (Windows Resource Protection) 윈도우 XP의 윈도우 파일 보호 (Windows File Protection)의 새로운 버전 윈도우 리소스 보호 (Windows Resource Protection)의 대상 실행 파일과 라이브러리 그리고 윈도우에 의해서 설치된 중요 파일들 시스템 관련 중요 폴더들 윈도우 비스타에 의해 설치된 중요 레지스트리 키들 8. 코드 무결성 (Code Integrity) 와 윈도우 리소스 보호 (Windows Resource Protection)
12 9. 커널 패치 보호 (Kernel Patch Protection) 와 드라이버 서명 요구 (Required Driver Signing) 커널 패치 보호 (Kernel Patch Protection) 인증되지 못한 어플리케이션에 의해 윈도우 커널을 수정하는 것을 예방 64비트 윈도우 XP, 비스타 그리고 2003 서버만 지원 커널 패치 보호 (Kernel Patch Protection)의 차단 대상 시스템 서비스 테이블 (System Service Tables) 수정 인터럽터 디스크립터 테이블 (Interrupt Descriptor Table) 수정 글로벌 디스크립터 테이블 (Global Descriptor Table) 수정 커널 스택 (Stacks)이 커널을 재배정 방지 AMD 64비트 시스템의 모든 커널 부분 수정 드라이버 서명 요구 (Required Driver Signing) 윈도우 커널의 일부분으로 실행되는 모든 드라이버 파일은 마이크로소프트에 의한 디지털 서명이 존재해야 함
13 10. 윈도우 서비스 강화 (Windows Service Hardening)와 데이터 실행 방지 (Data Execution Prevention) 윈도우 서비스 강화 (Windows Service Hardening) 윈도우 비스타에 처음으로 적용된 기술 모든 윈도우 서비스의 파일, 레지스트리 및 네트워크 등 시스템 자원과 관련한 비정상적인 행위를 제한 Ex) RPC 서비스는 지정된 네트워크 포트 이외에는 사용할 수 없음 데이터 실행 방지 (Data Execution Prevention) 비스타 내부에서 발생하는 버퍼 오버플로우를 막기 위해서 적용된 기술 DEP가 마킹한 메모리 섹션에서는 운영 체제가 특정 코드를 실행 할 수 없음 32비트 윈도우 – 소프트웨어적인 DEP 적용 64비트 윈도우 – 64비트 프로세스의 하드웨어 레이어(Layer) DEP 적용
14 주소 영역 난수화 (Address Space Layout Randomization) 는 악성 코드가 윈도우의 특정 펑션(Function) 을 이용해 실행되는 것을 방지 비스타가 부팅이 되면 ASLR 은 운영체제에서 사용하는 DLL 및 EXE 파일과 같은 실행형 파일들의 이미지를 메모리상의 256 중 하나로 랜덤하게 사용 11. 주소 영역 난수화 (Address Space Layout Randomization)
15 12. 윈도우 비스타의 악성코드 대응 (1) [다단계 방어에 따른 레벨] 악성코드 실행 1. 악성코드 감염에 대한 다단계 보호 사용자 계정 컨트롤 (UAC)와 윈도우 디펜더 (Windows Defender)를 이용한 2단계에 걸친 다단계 방어 (Defense in Depth) 구현 1) 사용자 계정 컨트롤 (UAC) 사용자 인식 없이 악성코드 감염 방지 관리자 사용 권한 제어 2) 윈도우 디펜더 (Windows Defender) 시그니처 기반의 진단으로 악성코드 감염 방지
16 13. 윈도우 비스타의 악성코드 대응 (2) [다단계 방어에 따른 레벨] 인터넷 익스플로러를 통한 악성코드 다운로드 및 실행 1. 인터넷 익스플로러를 통한 악성코드 감염에 대한 다단계 방어 (Defense in Depth) 1) 윈도우 업데이트 (Windows Update) 초기 설정으로 활성화된 자동 업데이트 2) 인터넷 익스플로러의 보호 모드 (I.E Protected Mode) 사용자 계정의 권한에 상관 없이 극도로 제한된 인터넷 익스플로러의 권한 인터넷 익스플로러를 이용하는 프로세스는 임시 인터 넷 파일 디렉토리만 접근 가능하고 파일 생성이 불가 3) 사용자 계정 컨트롤 (UAC) 4) 윈도우 디펜더 (Windows Defender)
17 14. 윈도우 비스타의 악성코드 대응 (3) [다단계 보호에 따른 레벨] 네트워크로 전파되는 악성코드 1. 네트워크를 통해 전파되는 악성코드에 대한 다단계 방어 (Defense in Depth) 1) 윈도우 방화벽 (Windows Firewall) 모든 인바운드 패킷을 차단하고 제한적으로 허용된 프 로그램만 네트워크를 이용 2) 윈도우 업데이트 (Windows Update) 3) 윈도우 서비스 강화 (Windows Services Hardening) 서비스 취약점에 의한 파일 생성 제어 4) 윈도우 디펜더 (Windows Defender)
18 1. Windows Vista Resource Kit – Microsoft Press 2. Windows Security Resource Kit – Microsoft Press 3. Windows Vista Security Guide – Microsoft MSDN 15. Reference
Q&A 감사합니다

Empfohlen

3.ahn report를 이용한 악성코드 대응
3.ahn report를 이용한 악성코드 대응3.ahn report를 이용한 악성코드 대응
3.ahn report를 이용한 악성코드 대응
Youngjun Chang
 
악성코드와 기업의 악성코드 대응
악성코드와 기업의 악성코드 대응악성코드와 기업의 악성코드 대응
악성코드와 기업의 악성코드 대응
Youngjun Chang
 
악성코드와 시스템 복구
악성코드와 시스템 복구악성코드와 시스템 복구
악성코드와 시스템 복구
Youngjun Chang
 
3. 악성코드 분석 사례
3. 악성코드 분석 사례3. 악성코드 분석 사례
3. 악성코드 분석 사례
Youngjun Chang
 
Memory forensics with volatility
Memory forensics with volatilityMemory forensics with volatility
Memory forensics with volatility
Youngjun Chang
 
2.악성코드와 분석 방안
2.악성코드와 분석 방안2.악성코드와 분석 방안
2.악성코드와 분석 방안
Youngjun Chang
 
2007년 6월 악성코드 최신 동향과 대응
2007년 6월 악성코드 최신 동향과 대응2007년 6월 악성코드 최신 동향과 대응
2007년 6월 악성코드 최신 동향과 대응
Youngjun Chang
 
악성코드와 분석 방안
악성코드와 분석 방안악성코드와 분석 방안
악성코드와 분석 방안
Youngjun Chang
 

Empfohlen

3.ahn report를 이용한 악성코드 대응
3.ahn report를 이용한 악성코드 대응3.ahn report를 이용한 악성코드 대응
3.ahn report를 이용한 악성코드 대응
Youngjun Chang
 
악성코드와 기업의 악성코드 대응
악성코드와 기업의 악성코드 대응악성코드와 기업의 악성코드 대응
악성코드와 기업의 악성코드 대응
Youngjun Chang
 
악성코드와 시스템 복구
악성코드와 시스템 복구악성코드와 시스템 복구
악성코드와 시스템 복구
Youngjun Chang
 
3. 악성코드 분석 사례
3. 악성코드 분석 사례3. 악성코드 분석 사례
3. 악성코드 분석 사례
Youngjun Chang
 
Memory forensics with volatility
Memory forensics with volatilityMemory forensics with volatility
Memory forensics with volatility
Youngjun Chang
 
2.악성코드와 분석 방안
2.악성코드와 분석 방안2.악성코드와 분석 방안
2.악성코드와 분석 방안
Youngjun Chang
 
2007년 6월 악성코드 최신 동향과 대응
2007년 6월 악성코드 최신 동향과 대응2007년 6월 악성코드 최신 동향과 대응
2007년 6월 악성코드 최신 동향과 대응
Youngjun Chang
 
악성코드와 분석 방안
악성코드와 분석 방안악성코드와 분석 방안
악성코드와 분석 방안
Youngjun Chang
 
2. 악성코드 분석 방법론과 기법
2. 악성코드 분석 방법론과 기법2. 악성코드 분석 방법론과 기법
2. 악성코드 분석 방법론과 기법
Youngjun Chang
 
악성코드와 분석 방법
악성코드와 분석 방법악성코드와 분석 방법
악성코드와 분석 방법
Youngjun Chang
 
악성코드 최신 동향과 분석 방안
악성코드 최신 동향과 분석 방안악성코드 최신 동향과 분석 방안
악성코드 최신 동향과 분석 방안
Youngjun Chang
 
악성코드와 분석 방안
악성코드와 분석 방안악성코드와 분석 방안
악성코드와 분석 방안
Youngjun Chang
 
1.악성코드 최신 동향과 기법
1.악성코드 최신 동향과 기법1.악성코드 최신 동향과 기법
1.악성코드 최신 동향과 기법
Youngjun Chang
 
보안 위협 형태와 악성코드 분석 기법
보안 위협 형태와 악성코드 분석 기법보안 위협 형태와 악성코드 분석 기법
보안 위협 형태와 악성코드 분석 기법
Youngjun Chang
 
악성 코드와 보안 위협 동향
악성 코드와 보안 위협 동향악성 코드와 보안 위협 동향
악성 코드와 보안 위협 동향
Youngjun Chang
 
2. 악성코드 분석 방법론과 기법
2. 악성코드 분석 방법론과 기법2. 악성코드 분석 방법론과 기법
2. 악성코드 분석 방법론과 기법
Youngjun Chang
 
악성코드와 웜
악성코드와 웜악성코드와 웜
악성코드와 웜
Youngjun Chang
 
악성코드 분석 도구
악성코드 분석 도구악성코드 분석 도구
악성코드 분석 도구
Youngjun Chang
 
악성코드 최신 동향과 기법
악성코드 최신 동향과 기법악성코드 최신 동향과 기법
악성코드 최신 동향과 기법
Youngjun Chang
 
1. 악성코드 진단 기법 개론
1. 악성코드 진단 기법 개론1. 악성코드 진단 기법 개론
1. 악성코드 진단 기법 개론
Youngjun Chang
 
악성코드 개론
악성코드 개론 악성코드 개론
악성코드 개론
Youngjun Chang
 
악성코드와 개인 정보 보호
악성코드와 개인 정보 보호악성코드와 개인 정보 보호
악성코드와 개인 정보 보호
Youngjun Chang
 
4. reverse engineering basic
4. reverse engineering basic4. reverse engineering basic
4. reverse engineering basic
Youngjun Chang
 
5. system level reversing
5. system level reversing5. system level reversing
5. system level reversing
Youngjun Chang
 
악성코드 동향 및 대응 방안
악성코드 동향 및 대응 방안악성코드 동향 및 대응 방안
악성코드 동향 및 대응 방안
Youngjun Chang
 
3. windows system과 rootkit
3. windows system과 rootkit3. windows system과 rootkit
3. windows system과 rootkit
Youngjun Chang
 
악성코드의 역사
악성코드의 역사악성코드의 역사
악성코드의 역사
Juhwan Yun
 
1. 2009년 상반기 보안 위협 동향
1. 2009년 상반기 보안 위협 동향1. 2009년 상반기 보안 위협 동향
1. 2009년 상반기 보안 위협 동향
Youngjun Chang
 
2. windows system과 file format
2. windows system과 file format2. windows system과 file format
2. windows system과 file format
Youngjun Chang
 
3. 악성코드 분석 사례
3. 악성코드 분석 사례3. 악성코드 분석 사례
3. 악성코드 분석 사례
Youngjun Chang
 

Weitere ähnliche Inhalte

Was ist angesagt?

악성코드와 분석 방법
악성코드와 분석 방법악성코드와 분석 방법
악성코드와 분석 방법
Youngjun Chang
 
악성코드의 역사
악성코드의 역사악성코드의 역사
악성코드의 역사
Juhwan Yun
 

Was ist angesagt? (20)

2. 악성코드 분석 방법론과 기법
2. 악성코드 분석 방법론과 기법2. 악성코드 분석 방법론과 기법
2. 악성코드 분석 방법론과 기법
 
악성코드와 분석 방법
악성코드와 분석 방법악성코드와 분석 방법
악성코드와 분석 방법
 
악성코드 최신 동향과 분석 방안
악성코드 최신 동향과 분석 방안악성코드 최신 동향과 분석 방안
악성코드 최신 동향과 분석 방안
 
악성코드와 분석 방안
악성코드와 분석 방안악성코드와 분석 방안
악성코드와 분석 방안
 
1.악성코드 최신 동향과 기법
1.악성코드 최신 동향과 기법1.악성코드 최신 동향과 기법
1.악성코드 최신 동향과 기법
 
보안 위협 형태와 악성코드 분석 기법
보안 위협 형태와 악성코드 분석 기법보안 위협 형태와 악성코드 분석 기법
보안 위협 형태와 악성코드 분석 기법
 
악성 코드와 보안 위협 동향
악성 코드와 보안 위협 동향악성 코드와 보안 위협 동향
악성 코드와 보안 위협 동향
 
2. 악성코드 분석 방법론과 기법
2. 악성코드 분석 방법론과 기법2. 악성코드 분석 방법론과 기법
2. 악성코드 분석 방법론과 기법
 
악성코드와 웜
악성코드와 웜악성코드와 웜
악성코드와 웜
 
악성코드 분석 도구
악성코드 분석 도구악성코드 분석 도구
악성코드 분석 도구
 
악성코드 최신 동향과 기법
악성코드 최신 동향과 기법악성코드 최신 동향과 기법
악성코드 최신 동향과 기법
 
1. 악성코드 진단 기법 개론
1. 악성코드 진단 기법 개론1. 악성코드 진단 기법 개론
1. 악성코드 진단 기법 개론
 
악성코드 개론
악성코드 개론 악성코드 개론
악성코드 개론
 
악성코드와 개인 정보 보호
악성코드와 개인 정보 보호악성코드와 개인 정보 보호
악성코드와 개인 정보 보호
 
4. reverse engineering basic
4. reverse engineering basic4. reverse engineering basic
4. reverse engineering basic
 
5. system level reversing
5. system level reversing5. system level reversing
5. system level reversing
 
악성코드 동향 및 대응 방안
악성코드 동향 및 대응 방안악성코드 동향 및 대응 방안
악성코드 동향 및 대응 방안
 
3. windows system과 rootkit
3. windows system과 rootkit3. windows system과 rootkit
3. windows system과 rootkit
 
악성코드의 역사
악성코드의 역사악성코드의 역사
악성코드의 역사
 
1. 2009년 상반기 보안 위협 동향
1. 2009년 상반기 보안 위협 동향1. 2009년 상반기 보안 위협 동향
1. 2009년 상반기 보안 위협 동향
 

Andere mochten auch

Andere mochten auch (9)

2. windows system과 file format
2. windows system과 file format2. windows system과 file format
2. windows system과 file format
 
3. 악성코드 분석 사례
3. 악성코드 분석 사례3. 악성코드 분석 사례
3. 악성코드 분석 사례
 
2.악성 코드와 최근의 동향
2.악성 코드와 최근의 동향2.악성 코드와 최근의 동향
2.악성 코드와 최근의 동향
 
6. code level reversing
6. code level reversing6. code level reversing
6. code level reversing
 
2. 악성코드 동적 분석 방법론
2. 악성코드 동적 분석 방법론2. 악성코드 동적 분석 방법론
2. 악성코드 동적 분석 방법론
 
중국 It문화와 해커
중국 It문화와 해커중국 It문화와 해커
중국 It문화와 해커
 
1. 악성코드 진단 기법 개론
1. 악성코드 진단 기법 개론1. 악성코드 진단 기법 개론
1. 악성코드 진단 기법 개론
 
보안 위협 동향과 대응 방안
보안 위협 동향과 대응 방안보안 위협 동향과 대응 방안
보안 위협 동향과 대응 방안
 
1. 보안 위협 동향과 주요 보안 위협 특징
1. 보안 위협 동향과 주요 보안 위협 특징1. 보안 위협 동향과 주요 보안 위협 특징
1. 보안 위협 동향과 주요 보안 위협 특징
 

Ähnlich wie Windows Vista Security

[Td 2015]windows 10 엔터프라이즈 시나리오 part II 보안 및 관리(권순만)
[Td 2015]windows 10 엔터프라이즈 시나리오 part II 보안 및 관리(권순만)[Td 2015]windows 10 엔터프라이즈 시나리오 part II 보안 및 관리(권순만)
[Td 2015]windows 10 엔터프라이즈 시나리오 part II 보안 및 관리(권순만)
Sang Don Kim
 
오피스세이퍼 소개자료
오피스세이퍼 소개자료오피스세이퍼 소개자료
오피스세이퍼 소개자료
silverfox2580
 
윈도우 파일서버기반 문서중앙화 솔루션
윈도우 파일서버기반 문서중앙화 솔루션윈도우 파일서버기반 문서중앙화 솔루션
윈도우 파일서버기반 문서중앙화 솔루션
시온시큐리티
 

Ähnlich wie Windows Vista Security (20)

2014 pc방화벽 시온
2014 pc방화벽 시온2014 pc방화벽 시온
2014 pc방화벽 시온
 
새도우크브 drm
새도우크브 drm새도우크브 drm
새도우크브 drm
 
시큐어디스크 ECM
시큐어디스크 ECM시큐어디스크 ECM
시큐어디스크 ECM
 
2014 키보드보안솔루션 시온
2014 키보드보안솔루션 시온2014 키보드보안솔루션 시온
2014 키보드보안솔루션 시온
 
랜섬웨어 vs 윈도우 10
랜섬웨어 vs 윈도우 10랜섬웨어 vs 윈도우 10
랜섬웨어 vs 윈도우 10
 
201412 문서보안제안서 시온
201412 문서보안제안서 시온201412 문서보안제안서 시온
201412 문서보안제안서 시온
 
[네이버D2SF] 안전한 서비스 운영을 위한 Ncloud 보안교육
[네이버D2SF] 안전한 서비스 운영을 위한 Ncloud 보안교육[네이버D2SF] 안전한 서비스 운영을 위한 Ncloud 보안교육
[네이버D2SF] 안전한 서비스 운영을 위한 Ncloud 보안교육
 
내부자정보유출방지 : 엔드포인트 통합보안
내부자정보유출방지 : 엔드포인트 통합보안 내부자정보유출방지 : 엔드포인트 통합보안
내부자정보유출방지 : 엔드포인트 통합보안
 
F secure 3절브로셔0221
F secure 3절브로셔0221F secure 3절브로셔0221
F secure 3절브로셔0221
 
Windows azure security guide
Windows azure security guideWindows azure security guide
Windows azure security guide
 
Bd ent security_antimalware_1027_2014
Bd ent security_antimalware_1027_2014Bd ent security_antimalware_1027_2014
Bd ent security_antimalware_1027_2014
 
[Td 2015]windows 10 엔터프라이즈 시나리오 part II 보안 및 관리(권순만)
[Td 2015]windows 10 엔터프라이즈 시나리오 part II 보안 및 관리(권순만)[Td 2015]windows 10 엔터프라이즈 시나리오 part II 보안 및 관리(권순만)
[Td 2015]windows 10 엔터프라이즈 시나리오 part II 보안 및 관리(권순만)
 
오피스세이퍼 소개자료
오피스세이퍼 소개자료오피스세이퍼 소개자료
오피스세이퍼 소개자료
 
DLP 정보유출방지솔루션 ESM 보안관리
DLP 정보유출방지솔루션 ESM 보안관리 DLP 정보유출방지솔루션 ESM 보안관리
DLP 정보유출방지솔루션 ESM 보안관리
 
차세대 시스템 복구 솔루션.
차세대 시스템 복구 솔루션.차세대 시스템 복구 솔루션.
차세대 시스템 복구 솔루션.
 
윈도우 파일서버기반 문서중앙화 솔루션
윈도우 파일서버기반 문서중앙화 솔루션윈도우 파일서버기반 문서중앙화 솔루션
윈도우 파일서버기반 문서중앙화 솔루션
 
Shadow wall utm
Shadow wall utmShadow wall utm
Shadow wall utm
 
App check pro_표준제안서_z
App check pro_표준제안서_zApp check pro_표준제안서_z
App check pro_표준제안서_z
 
201412 i sign_plus_sso_감사_시온
201412 i sign_plus_sso_감사_시온201412 i sign_plus_sso_감사_시온
201412 i sign_plus_sso_감사_시온
 
윈도우 커널 익스플로잇
윈도우 커널 익스플로잇윈도우 커널 익스플로잇
윈도우 커널 익스플로잇
 

Mehr von Youngjun Chang

Mehr von Youngjun Chang (15)

IT보안과 사회공학(Social Engineering)
IT보안과 사회공학(Social Engineering)IT보안과 사회공학(Social Engineering)
IT보안과 사회공학(Social Engineering)
 
Volatility를 이용한 memory forensics
Volatility를 이용한 memory forensicsVolatility를 이용한 memory forensics
Volatility를 이용한 memory forensics
 
Apt(advanced persistent threat) 공격의 현재와 대응 방안
Apt(advanced persistent threat) 공격의 현재와 대응 방안Apt(advanced persistent threat) 공격의 현재와 대응 방안
Apt(advanced persistent threat) 공격의 현재와 대응 방안
 
2011년 보안 이슈와 2012년 보안 위협 예측
2011년 보안 이슈와 2012년 보안 위협 예측2011년 보안 이슈와 2012년 보안 위협 예측
2011년 보안 이슈와 2012년 보안 위협 예측
 
클라우드 서비스를 이용한 APT 대응
클라우드 서비스를 이용한 APT 대응클라우드 서비스를 이용한 APT 대응
클라우드 서비스를 이용한 APT 대응
 
APT Case Study
APT Case StudyAPT Case Study
APT Case Study
 
보안 위협 동향과 대응 방안
보안 위협 동향과 대응 방안보안 위협 동향과 대응 방안
보안 위협 동향과 대응 방안
 
SNS 보안 위협 사례
SNS 보안 위협 사례SNS 보안 위협 사례
SNS 보안 위협 사례
 
보안 위협과 악성코드 분석 기법
보안 위협과 악성코드 분석 기법보안 위협과 악성코드 분석 기법
보안 위협과 악성코드 분석 기법
 
보안 위협과 악성코드 분석 기법
보안 위협과 악성코드 분석 기법보안 위협과 악성코드 분석 기법
보안 위협과 악성코드 분석 기법
 
보안 위협 동향과 대응 방안
보안 위협 동향과 대응 방안보안 위협 동향과 대응 방안
보안 위협 동향과 대응 방안
 
2010년 상반기 보안 위협 동향과 주요 보안 위협
2010년 상반기 보안 위협 동향과 주요 보안 위협2010년 상반기 보안 위협 동향과 주요 보안 위협
2010년 상반기 보안 위협 동향과 주요 보안 위협
 
보안 위협과 악성코드 분석 기법
보안 위협과 악성코드 분석 기법보안 위협과 악성코드 분석 기법
보안 위협과 악성코드 분석 기법
 
악성코드와 개인 정보 보호
악성코드와 개인 정보 보호악성코드와 개인 정보 보호
악성코드와 개인 정보 보호
 
중국 보안 위협 동향
중국 보안 위협 동향중국 보안 위협 동향
중국 보안 위협 동향
 

Kürzlich hochgeladen

Grid Layout (Kitworks Team Study 장현정 발표자료)
Grid Layout (Kitworks Team Study 장현정 발표자료)Grid Layout (Kitworks Team Study 장현정 발표자료)
Grid Layout (Kitworks Team Study 장현정 발표자료)
Wonjun Hwang
 

Kürzlich hochgeladen (7)

[Terra] Terra Money: Stability and Adoption
[Terra] Terra Money: Stability and Adoption[Terra] Terra Money: Stability and Adoption
[Terra] Terra Money: Stability and Adoption
 
Grid Layout (Kitworks Team Study 장현정 발표자료)
Grid Layout (Kitworks Team Study 장현정 발표자료)Grid Layout (Kitworks Team Study 장현정 발표자료)
Grid Layout (Kitworks Team Study 장현정 발표자료)
 
도심 하늘에서 시속 200km로 비행할 수 있는 미래 항공 모빌리티 'S-A2'
도심 하늘에서 시속 200km로 비행할 수 있는 미래 항공 모빌리티 'S-A2'도심 하늘에서 시속 200km로 비행할 수 있는 미래 항공 모빌리티 'S-A2'
도심 하늘에서 시속 200km로 비행할 수 있는 미래 항공 모빌리티 'S-A2'
 
캐드앤그래픽스 2024년 5월호 목차
캐드앤그래픽스 2024년 5월호 목차캐드앤그래픽스 2024년 5월호 목차
캐드앤그래픽스 2024년 5월호 목차
 
MOODv2 : Masked Image Modeling for Out-of-Distribution Detection
MOODv2 : Masked Image Modeling for Out-of-Distribution DetectionMOODv2 : Masked Image Modeling for Out-of-Distribution Detection
MOODv2 : Masked Image Modeling for Out-of-Distribution Detection
 
Continual Active Learning for Efficient Adaptation of Machine LearningModels ...
Continual Active Learning for Efficient Adaptation of Machine LearningModels ...Continual Active Learning for Efficient Adaptation of Machine LearningModels ...
Continual Active Learning for Efficient Adaptation of Machine LearningModels ...
 
A future that integrates LLMs and LAMs (Symposium)
A future that integrates LLMs and LAMs (Symposium)A future that integrates LLMs and LAMs (Symposium)
A future that integrates LLMs and LAMs (Symposium)
 

Windows Vista Security

  • 1. Windows Vista Security 2008. 3. 13 ASEC 팀 장영준 주임 연구원
  • 2. 2 1. 윈도우 비스타의 보안 개념 윈도우 비스타는 다음의 4가지 보안 개념을 적용 1. 기본적인 보안 설정과 구현 초기 설정에 따른 보안 기능 동작 2. 공격 접점의 제거 공격을 받을 수 있는 부분에 대한 최소화 또는 초기 제거 3. 소프트웨어 업데이트 취약한 운영체제의 서비스 또는 프로그램에 대한 즉각적인 업데이트 4. 물리적인 저장소 및 트랜잭션 보호 물리적인 하드디스크의 데이터 및 통신을 통한 트랜잭션의 보호
  • 3. 3 2. 윈도우 비스타의 새로운 보안 기능 윈도우 비스타에는 다음의 보안 기능이 새로이 적용되거나 강화 1. 사용자 계정 컨트롤 (User Account Control) 2. 윈도우 디펜더 (Windows Defender) 3. 윈도우 방화벽 (Windows Firewall) 4. 인터넷 익스플로러 보호 모드 (I.E Protected Mode) 5. 비트락커 (BitLocker) 6. 파일 시스템 암호화 (Encrypting File System) 7. 감사 기능 (Auditing enhancements) 8. 스마트 카드 적용 (Smart Card improvements)
  • 4. 4 3. 윈도우 비스타의 설계적 보안 기능 윈도우 비스타 설계 단계에서 적용된 보안 기능들 1. 코드 무결성 (Code Integrity) 2. 윈도우 리소스 보호 (Windows Resource Protection) 3. 커널 패치 보호 (Kernel Patch Protection) 4. 드라이버 서명 요구 (Required Driver Signing) 5. 윈도우 서비스 강화 (Windows Services Hardening) 6. 인증 관리자 (Authorization Manager) 7. 네트워크 접근 제어 (Network Access Protection client) 8. 관리적 웹 서비스 (Web Services for Management) 9. 차세대 암호화 서비스 (Crypto Next Generation Services) 10. 데이터 실행 방지 (Data Execution Prevention) 11. 주소영역 난수화 (Address Space Layout Randomization) 12. 새로운 로그온 설계 (New Logon Architecture) 13. 권한 관리 서비스 (Rights Management Services client) 14. 다양화된 로컬 그룹 정책 개체 (Multiple local Group Policy objects)
  • 5. 5 4. 사용자 계정 컨트롤 (User Account Control) (1) 악의적인 어플리케이션의 사용자 권한을 이용한 시스템 변경을 예방 1. 초기 설정으로 제한된 권한 사용 관리자를 포함한 모든 사용자는 제한된 권한을 이용 2. 일반 사용자 계정의 제한 일반적인 작업에는 제한이 없으나 특정 시스템 변경은 제한 3. 일반 어플리케이션의 권한 제한 윈도우 XP에서 관리자 권한을 필요한 소프트웨어는 일반 사용자 권한으로 설치 가능 4. 관리자 승인 모드 (Admin Approval Mode) 표준 권한에서 관리자 권한이 필요할 경우 관리자 승인 모드 사용
  • 6. 6 5. 모든 어플리케이션은 관리자 권한 없이 실행 비스타를 위해 제작된 소프트웨어는 관리자 권한이 필요하지 않음 사용자 계정 컨트롤 가상화(UAC Virtualization)를 이용해 레지스트리와 파일의 변경으로 인한 시스템 전체에 대한 영향 최소화 - 사용자 계정 컨트롤 가상화(UAC Virtualization)의 보호 대상 %Program Files% %Windir% %Windir%System32 HKEY_LOCAL_MACHINESoftware - 사용자 계정 컨트롤 가상화(UAC Virtualization) 폴더 %User Account%AppdataLocalVirtualStore%Folder% 4. 사용자 계정 컨트롤 (User Account Control) (2)
  • 7. 7 6. 어플리케이션이 관리자 권한을 필요로 할 경우 사용자에게 관리자 인증을 요구 7. 운영 체제에서 관리자 인증이 필요한 경우 아이콘으로 표시 방패 모양의 아이콘을 표시해 관리자 권한이 필요함을 표기 8. 관리자 권한으로 로그온 하더라도 비스타는 초기 설정에 따라 표준 사용자 권한으로만 어플리케이션 실행 9. 비스타의 관리자 권한이 필요한 어플리케이션 정의 기준 어플리케이션 속성 – 사용자에 의해 관리자 권한이 필요함으로 설정 어플리케이션 목록 – 개발자에 의해 명시적으로 표기되는 경우 어플리케이션 휴리스틱 (Heuristics) MS에서 정의한 키워드의 파일명 (setup.exe, install.exe, update.exe 등) 4. 사용자 계정 컨트롤 (User Account Control) (3)
  • 8. 8 윈도우 디펜더 (Windows Defender)는 비스타에서 제공되는 시그니처 기반 의 악의적인 소프트웨어 차단 프로그램 1. 윈도우 디펜더 (Windows Defender)의 경고 레벨 심각함 (Severe) 시스템에 심각한 영향을 미칠 수 있는 어플리케이션 높음 (High) 심각함과 유사한 단계로 시스템에 악영향을 미칠 수 있는 어플리케이션 중간 (Medium) 프라이버시 침해 또는 시스템 성능저하를 유발할 수 있는 어플리케이션 낮음 (Low) 시스템 정보 수집 등과 같은 낮은 수준의 위험을 야기하는 어플리케이션 정의되지 않음 (Net Yet Classified) 아직 위험 단계가 분류되지 않은 어플리케이션 5. 윈도우 디펜더 (Windows Defender)
  • 9. 9 인터넷 익스플로러 7은 데이터 도난, 사기 웹 사이트, 악성코드 등에 유연하게 대응이 가능하도록 핵심적인 보안 설계 사항이 변경 1. 인터넷 익스플로러의 보호 모드 (I.E Protected Mode) 사용자의 권한으로 인해 I.E에 의해 시스템 설정 등이 변경되는 것을 예방 보호 모드는 비스타에서 사용자 계정 컨트롤(UAC)과 I.E 7이 같이 사용될 경우에만 활성화 2. URL 핸들링 보호 (URL Handling Protections) URL 파서를 재설계하여 파싱 단계에서 발생할 수 있는 오류 최소화 3. 개인 설정 교정 (Fix My Settings) 보안 설정이 변경될 경우 자동 알림과 원클릭으로 변경 가능 4. 피싱 필터와 팝업창 제한 (Phishing filters and window restrictions) 6. 인터넷 익스플로러의 보안 기능
  • 10. 10 비트락커 (BitLocker)는 저장 장치 전체를 암호화하여 시스템의 물리적 도난을 예방 1. 암호화 방식 대칭형 암호화 키 (Symmetric Encryption Key) 사용 2. Trusted Platform Module (TPM) 1.2 칩 사용 TPM 모드 (TPM only) - TPM만 이용 암호화 및 복호화 TPM과 시작 키 모드 (TPM with startup key) TPM과 시작키가 2개 모두 존재해야만 암호화 및 복호화 가능 3. Trusted Platform Module (TPM) 을 이용한 부팅 순서 비트락커(BitLocker)가 TPM에 MBR, 활성화 부트 파티션, 부트섹터, 윈도 우 부트 매니저와 저장소 키 등에 대한 SHA-1 값 정보 제공 시스템 부팅시 TPM은 기존 부팅시 계산되었던 SHA-1 값을 비교 SHA-1 값이 동일할 때에만 비트락커(BitLocker)에게 복호화 키 제공 7. 비트락커 (BitLocker)
  • 11. 11 코드 무결성 (Code Integrity) 부팅시 시스템 파일 변경 유무와 인증되지 않은 드라이버가 커널 모드에서 실행되는지를 검증 부트 로더 (Boot Loader)가 커널, HAL 과 부트 스타트 드라이버를 검증 윈도우 리소스 보호 (Windows Resource Protection) 윈도우 XP의 윈도우 파일 보호 (Windows File Protection)의 새로운 버전 윈도우 리소스 보호 (Windows Resource Protection)의 대상 실행 파일과 라이브러리 그리고 윈도우에 의해서 설치된 중요 파일들 시스템 관련 중요 폴더들 윈도우 비스타에 의해 설치된 중요 레지스트리 키들 8. 코드 무결성 (Code Integrity) 와 윈도우 리소스 보호 (Windows Resource Protection)
  • 12. 12 9. 커널 패치 보호 (Kernel Patch Protection) 와 드라이버 서명 요구 (Required Driver Signing) 커널 패치 보호 (Kernel Patch Protection) 인증되지 못한 어플리케이션에 의해 윈도우 커널을 수정하는 것을 예방 64비트 윈도우 XP, 비스타 그리고 2003 서버만 지원 커널 패치 보호 (Kernel Patch Protection)의 차단 대상 시스템 서비스 테이블 (System Service Tables) 수정 인터럽터 디스크립터 테이블 (Interrupt Descriptor Table) 수정 글로벌 디스크립터 테이블 (Global Descriptor Table) 수정 커널 스택 (Stacks)이 커널을 재배정 방지 AMD 64비트 시스템의 모든 커널 부분 수정 드라이버 서명 요구 (Required Driver Signing) 윈도우 커널의 일부분으로 실행되는 모든 드라이버 파일은 마이크로소프트에 의한 디지털 서명이 존재해야 함
  • 13. 13 10. 윈도우 서비스 강화 (Windows Service Hardening)와 데이터 실행 방지 (Data Execution Prevention) 윈도우 서비스 강화 (Windows Service Hardening) 윈도우 비스타에 처음으로 적용된 기술 모든 윈도우 서비스의 파일, 레지스트리 및 네트워크 등 시스템 자원과 관련한 비정상적인 행위를 제한 Ex) RPC 서비스는 지정된 네트워크 포트 이외에는 사용할 수 없음 데이터 실행 방지 (Data Execution Prevention) 비스타 내부에서 발생하는 버퍼 오버플로우를 막기 위해서 적용된 기술 DEP가 마킹한 메모리 섹션에서는 운영 체제가 특정 코드를 실행 할 수 없음 32비트 윈도우 – 소프트웨어적인 DEP 적용 64비트 윈도우 – 64비트 프로세스의 하드웨어 레이어(Layer) DEP 적용
  • 14. 14 주소 영역 난수화 (Address Space Layout Randomization) 는 악성 코드가 윈도우의 특정 펑션(Function) 을 이용해 실행되는 것을 방지 비스타가 부팅이 되면 ASLR 은 운영체제에서 사용하는 DLL 및 EXE 파일과 같은 실행형 파일들의 이미지를 메모리상의 256 중 하나로 랜덤하게 사용 11. 주소 영역 난수화 (Address Space Layout Randomization)
  • 15. 15 12. 윈도우 비스타의 악성코드 대응 (1) [다단계 방어에 따른 레벨] 악성코드 실행 1. 악성코드 감염에 대한 다단계 보호 사용자 계정 컨트롤 (UAC)와 윈도우 디펜더 (Windows Defender)를 이용한 2단계에 걸친 다단계 방어 (Defense in Depth) 구현 1) 사용자 계정 컨트롤 (UAC) 사용자 인식 없이 악성코드 감염 방지 관리자 사용 권한 제어 2) 윈도우 디펜더 (Windows Defender) 시그니처 기반의 진단으로 악성코드 감염 방지
  • 16. 16 13. 윈도우 비스타의 악성코드 대응 (2) [다단계 방어에 따른 레벨] 인터넷 익스플로러를 통한 악성코드 다운로드 및 실행 1. 인터넷 익스플로러를 통한 악성코드 감염에 대한 다단계 방어 (Defense in Depth) 1) 윈도우 업데이트 (Windows Update) 초기 설정으로 활성화된 자동 업데이트 2) 인터넷 익스플로러의 보호 모드 (I.E Protected Mode) 사용자 계정의 권한에 상관 없이 극도로 제한된 인터넷 익스플로러의 권한 인터넷 익스플로러를 이용하는 프로세스는 임시 인터 넷 파일 디렉토리만 접근 가능하고 파일 생성이 불가 3) 사용자 계정 컨트롤 (UAC) 4) 윈도우 디펜더 (Windows Defender)
  • 17. 17 14. 윈도우 비스타의 악성코드 대응 (3) [다단계 보호에 따른 레벨] 네트워크로 전파되는 악성코드 1. 네트워크를 통해 전파되는 악성코드에 대한 다단계 방어 (Defense in Depth) 1) 윈도우 방화벽 (Windows Firewall) 모든 인바운드 패킷을 차단하고 제한적으로 허용된 프 로그램만 네트워크를 이용 2) 윈도우 업데이트 (Windows Update) 3) 윈도우 서비스 강화 (Windows Services Hardening) 서비스 취약점에 의한 파일 생성 제어 4) 윈도우 디펜더 (Windows Defender)
  • 18. 18 1. Windows Vista Resource Kit – Microsoft Press 2. Windows Security Resource Kit – Microsoft Press 3. Windows Vista Security Guide – Microsoft MSDN 15. Reference