teched 2009: A-to-Z of Usable Security in Win Server 2008R2 and Windows 7

  • Article

Rafal Lukawiecki

Strategic Consultant Project Botticelli Ltd

 

Er ist sooo gut ;)

 

Vista had – aehmm – some issues

thankfully – not security ones !

Wenn Sicherheit in Vista sooo gut war, warum haben wir dann WIndows 7 ?

Weil Security in Vista nicht unbedingt usable war

 

USability Scenarios (wie Security den User betrifft)

On Premises
Beim Strat ist das System geschützt durch TPM und Bitlocker um Offline-Modifications zu verhindern
NAP stellt sicher, dass der Rechner nach dem Start alle notwendigen Patches und Security Richtlinien hat
User logs on with no admin rights – wenn admin Rights wirklich benötigt werden, wird der USer gefragt – Apps die das nciht unterstützen kann ich virtualisieren oder im X mode fahren
User können nur Apps laufen lassen, die ich ihnen über Applocker erlaubt habe
DNSSEC verhindert phisihing durch verseuchte DNS
Wenn Updates verfügbar sind, REstart Manager hilft, dass die Störungen minimiert werden durhc herunterfahren

On Road
Bitlocker schützt nun von Datenverlust im Fall von Verlust/Diebstahl
Mehrer Firewal Policies erlauben die Maschine besser zu schützen ohne Benutzereinwirkung
Benutzerzugriff auf Unternehmensressourcen sicher und effizient durch Direct Access
Corp Admins können remote update und control the laptop – ohne warten zu müssen, bis der User sich ins UNternehmensnetzerk verbindet
Benutzer könenn ihre Smartcard/PKI aktuell halten durch HTTPCert ohne in die Firma zu müssen

Liability INvestigation
Wenn was schief geht…..
Ich bin compliant, weil
meine Daten am Server durch EFS Suite B verschüsselt ist
alle laptops haben Bitlocker
und ich habe per Policy veboten, dass Daten auf ungeschütze Speicher abgelegt werden

Meine Smartcards sind sicher

Meine Passwörter sind strong

Jeder Fingerprint Reader werden nur als secondary line of defenser verwendet werden und vertrauen auf dme Windows biometrics framework

Verbessertes Audit zeigt, wer was wann versucht hat

Dann habe ich einen guten Job gemacht…

Key Security Technologies

Hardened Services

Windows und Services

SID per service Security Identifier) damit kann ich Services in ACL und Firewalls erkennen

Managed Service Accounts – Automatisches PW reset oder no password (d.h. die Servcie Account Passwörter ändern sich AUTOMATISCH regelmässig) – ich kann das auch ohne passwort haben – es git dafür keine GUI, nur Powershell

ASLR – Address Space Layout Randomization – Key DLLs werden in eine von 256 memory locations zufällig geladen, damit schwieriger zu attakieren

Pointer Obfuscation – mmhh Blackout (400er Session)

Next Generation TCP/IP – Dual Stack IPv6 stack – IPv6 is more secure then IPv4

Das Coole an Direct Access ist, es ist einfach . kein neues Programm, keine neue Technologie, keine neue Server – ist nix mehr als eine Point To Point secure verbindung – IPv6 und IPSec – ich brauche nix dafür, nur IPv6 aware Applikations – habe ich eine App, die so verliebt ist in IPv4 ist, wird direct Access nicht laufen fürr diese App (ausser mit z.b. UAG) – Direct Access sollte unbedingt gemeinsam mit DNSSEC konfiguriert werden, sonst habe ich ein Securityproblem, wenn DNS Server gehakt werden

 

Applocker

UNterschied zu Security Software Restriction Policy ist, dass Applocker nun im KernelMode rennt, damit wesentlich schwieriger zu umgehen ist !

DNSSEC
wir haben RFC implementiert 4033, 4034, 4035
Zertifikatsbasierende Verification von DNS Responsees (kann man verstehen wie DNS über HTTPS)

EFS with Suite-B
”Ich brauch doch kein EFS, wenn ich Bitlocker habe !” – FALSCH – Bitlocker schützt die Daten vor unberechtigten Zugriff außerhalb meiner Betriebssystemumgebung – sobald mein OS rennt, hat es vollen Zugriff auf die Platte – EFS kontrolliert dieses Zugriff

Client

Fingerprint Reader – war bis jetzt eher eine schlechte Implementation…
Fingerprints sind sowieso eher unsicher, weil ich den Fingerprint von dir überall finde
aber ein Fingerprint Reader ist besser als ein schlechtes Passwort ! (besser wäre aber eine Smartcard)
Problem war bis jetzt die Middelware (Treiber, unsichere Speicherung der Passwörter usw..)

Deswegen haben wir das jetzt ins OS eingebaut – der User braucht nur noch das Device, den Rest machen wir

Coole, tief technische Session, die die ganzen Securityfeatures tief technisch erklärt.

Zeigt, dass Vista und Windows Server 2008 schon sehr sicher waren, Win 7 und Server 2008R2 machen es noch wesentlich besser verwendbar !

 

Christian – live vonn teched in Berlin