View
110
Download
5
Category
Preview:
Citation preview
Andreas Schönberger | Produkt Marketing Manager | Windows Client | Microsoft Deutschland GmbH
Sicherheit und Einhalten von Vorgaben
BenutzerkontensteuerungPlug-and-Play-SmartcardsDetailliertere Überwachung
Sicherheit und Einhalten von Vorgaben
BitLocker™-Laufwerks-verschlüsselungEFS-SmartcardsRMS-Client
Security Development LifecycleBedrohungsmodelle und Code-ReviewsAbsicherung von Windows-Diensten
Internet Explorer – geschützter ModusWindows DefenderNetwork Access Protection
Grundlagen
Identitäts- und Zugriffskontrolle
Weniger Bedrohungen und Sicherheitslücken
Schutz von Informationen
Grundlagen
Verbesserter Security Development Lifecycle-Prozess (SDL) für Windows Vista
Regelmäßige verpflichtende SicherheitsschulungenSicherheitsberater für alle KomponentenArbeit mit Bedrohungsmodellen während der DesignphaseStandardmäßige Sicherheitsreviews und -testsSicherheitskriterien für die Produktteams
Common Criteria-Zertifizierung (CC)
Absicherung der Dienste
Absicherung der DiensteTiefgreifender Schutz
Dienste werden im Vergleich zu Windows XP mit weniger Privilegien ausgeführt.
Windows-Diensten werden Aktionen zugeordnet, die für Netzwerk, Dateisystem und Registrierung zugelassen sind.
Schädliche Software, die versucht über einen Windows-Dienst in einen Bereich des Netzwerkes, des Dateisystems oder der Registrierung zu schreiben, die nicht Teil des Dienstprofils sind, wird blockiert.
AktiverSchutz
Dateisystem
Registrierung
Netzwerk
Weniger Bedrohungen und SicherheitslückenSchutz vor Malware und Einbrüchen
Schutz vor “Social Engineering”
Phishing-Filter und farbige AdressleisteBenachrichtigung bei gefährlichen EinstellungenSichere Standardeinstellungen für IDN
Schutz vor ExploitsUnified URL ParsingVerbesserung der Codequalität (SDLC)ActiveX-Opt-inGeschützter Modus verhindert das Ausführen von schädlicher Software
Internet Explorer 7
ActiveX-Opt-in und geschützter ModusSchutz des Systems vor Angriffen
ActiveX-Opt-in lässt dem Benutzer die Entscheidungsmöglichkeit
Reduziert die Angriffsfläche
Bisher ungenutzte Steuerelemente werden deaktiviert
Alle Vorteile von ActiveX, mehr Sicherheit für den Benutzer
Der geschützte Modus reduziert die Aus-wirkungen von Bedrohungen
Verhindert die stillschweigende Installation von Maleware
IE-Prozess ist ‘Sandboxed’ und schützt so das Betriebssystem
Mit Blick auf Sicherheit und Kompatibilität entworfen
ActiveX-Opt-in
AktivierteSteuerelemente
Windows
DeaktivierteSteuer-
elemente
Benutzer-
Aktion
Geschützter Modus
Benutzer-
Aktion
IE-Cache (C:)
Broker-Process
Geringe Rechte
Windows Defender
Verbesserte Erkennung und Beseitigung
Benutzeroberfläche neu entworfen und vereinfacht
Schutz für alle Benutzer
Windows Vista FirewallFirewall und IPsec-Verwaltung kombiniert
Neue Verwaltungstools - Windows Firewall mit MMC-Snap-in “Erweiterte Sicherheit”
Reduziert Konflikte und Koordinationsoverhead zwischen den Technologien
Firewallregeln werden intelligenterFestlegen von Sicherheitsanforderungen, wie zum Beispiel Authentifizierung und Verschlüsselung
Festlegen von Active Directory-Computer oder -Benutzergruppen
Filtern von ausgehendem Netzwerkverkehr
Ein Feature für Unternehmen – nicht für Endkunden
Vereinfachte Richtlinien verringern den Verwaltungsaufwand
Network Access ProtectionNetwork Access Protection
11
Eingeschränk-Eingeschränk-tes Netzwerktes NetzwerkMSFT-NetzwerkMSFT-Netzwerk
RichtlinienserverRichtlinienserver
33
RichtlinienserverRichtlinienserverz. B. MSFT Security z. B. MSFT Security
Center, SMS, AntigenCenter, SMS, Antigenoder Drittanbieteroder Drittanbieter
EntsprichtEntsprichtRichtlinienRichtlinienDHCP, VPNDHCP, VPN
Switch/Router Switch/Router
22
WindowsWindowsVista-ClientVista-Client
Fix Up-Fix Up-ServerServer
z. B. MSFT z. B. MSFT WSUS, SMS & WSUS, SMS &
DrittanbieterDrittanbieter
UnternehmensnetzwerkUnternehmensnetzwerk55
Entspricht Entspricht nicht nicht
RichtlinienRichtlinien
44
Verbesserte SicherheitDie gesamte Kommunikation wird authentifiziert, autorisiert und auf Einhaltung der Richtlinien geprüft.
Tiefgreifender Schutz nach Ihren Vorgaben für DHCP, VPN, IPsec, 802.1X.
Richtlinienbasierter Zugriff, den IT-Experten einrichten und steuern können.
Verbesserter geschäftlicher NutzenVerbesserter geschäftlicher NutzenDie Benutzerproduktivität bleibt erhalten.Die Benutzerproduktivität bleibt erhalten.
Nutzt bestehende Investitionen in die Infrastruktur von Microsoft Nutzt bestehende Investitionen in die Infrastruktur von Microsoft und von Drittanbietern.und von Drittanbietern.
Große Menge an Partnern.Große Menge an Partnern.
Vorteile
Identitäts- und Zugriffs-überwachungErmöglicht einen sicheren Zugriff auf Informationen
SchwierigkeitenBenutzer arbeiten als Administrator = nicht verwaltete Desktops
Viren und Spyware können das System bei zu umfangreichen Rechten schädigen.Benutzer mit zu umfangreichen Rechten können das Unternehmen kompromittieren.Benutzer können Änderungen vornehmen, durch die es notwendig wird, den Computer vollständig neu aufzusetzen.
Branchenspezifische Anwendungen benötigen umfangreiche Rechte
Damit branchenspezifische Anwendungen ausgeführt werden können, muss die Systemsicherheit herabgesetzt werden. IT-Administratoren müssen die branchenspezifischen Anwendungen aufgrund von inkonsistenten Konfigurationseinstellungen für jede neue Betriebssystemversion neu evaluieren.
Für häufig auftretende Konfigurationsaufgaben im Bezug auf das Betriebssystem sind umfangreiche Rechte notwendig.
Unternehmen können neue Anwendung nur schwer bereitstellen, ohne die Betriebssystemsicherheit zu kompromittieren. Einfache Szenarien, wie das Ändern der Zeitzone, sind nicht möglich. Benutzer sind nicht in der Lage, nicht sensible Konteninformationen zu verwalten.
Benutzerkontensteuerung
Ziel: Unternehmen besser verwaltbare Desktops und Endkunden eine elterliche Freigabe zur Verfügung zu stellen.
Das System soll für Standardbenutzer einsetzbar werdenBenutzer sollen die Zeitzone ändern, die Energieeinstellungen bearbeiten, Drucker hinzufügen und sich mit WLANs verbinden. Hohe AnwendungskompatibilitätKlare Hervorhebung, wenn administrative Rechte erforderlich sind und diese Rechte sofort und ohne Abmeldung einsetzen können. Hohe Anwendungskompatibilität mit Dateisystem- und Registrierungs-virtualisierung
Administratoren nutzen umfas-sende Privilegien nur für administra-tive Aufgaben oder Anwendungen.Benutzer müssen der Nutzung umfang-reicherer Privilegien explizit zustimmen.
Verbesserte Überwachung
Mehr GenauigkeitUnterstützt viele Unterkategorien: Anmeldung, Abmeldung, Dateisystemzugriff, Registrierungszugriff, Verwendung von administrativen Privilegien.Unter bisherigen Windows-Versionen wurden nur übergeordnete Kategorien, wie System, An-/Abmeldung und Objektzugriff unterstützt.
Neue ProtokollierungsinfrastrukturUnwichtige Informationen können einfacher gefiltert werden. Es ist einfacher, das gesuchte Ereignis zu finden. Aufgaben, die Ereignissen zugeordnet sind: Wenn ein Ereignis auftritt (z. B. die Verwendung von administrativen Privilegien), können automatisch Aufgaben, wie zum Beispiel das Versenden einer Email, ausgeführt werden.
Verbesserte Authentifizierung
Plug and Play-SmartcardsTreiber und Zertifizierungsanbieter (CSP - Certificate Service Provider) sind in Windows Vista enthalten.Anmeldung und Benutzerkontensteuerung unterstützen Smartcards.
Neue AnmeldearchitekturGINA (das alte Windows-Anmeldemodell) gibt es nicht mehr. Drittanbieter können Biometriegeräte, Einmal-Kennwort-Token und andere Authentifizierungsverfahren ohne viel Aufwand zur Verfügung stellen.
Schutz von InformationenSchutz des geistigen Eigentums des Unternehmens und der Kundendaten
Der Verlust von Informationen ist einer der wichtigsten Punkte für Entscheidungsträger in Unternehmen
“Nach einem Virenangriff stellen Unternehmen fest, dass häufiger als bei jedem anderen Sicherheitsvorfall Emails unverlangt weitergeleitet werden und mobile Geräte verloren gehen.”
Jupiter Research Report, 2004
0% 10% 20% 30% 40% 50% 60% 70%
Verlust digitaler Werte, wiederhergestellt
Email-Piracy
Kompromittierung von Kennwörtern
Verlust mobiler Geräte
Unerwünschtes Weiterleiten von Emails
20%
22%
22%
35%
36%
63%Viren
BitLocker™ Laufwerksverschlüsselung
Verhindert, dass ein Dieb ein anderes Betriebssystem bootet oder ein Tool nutzt, um in das Windows-Dateisystem oder das System einzubrechen.
Schützt die Daten auf Ihren Windows-Clientsystemen auch dann, wenn sich das System in unautorisierten Händen befindet oder ein anderes Betriebssystem ausgeführt wird.
Nutzt einen v1.2 TPM-Chip oder USB-Flashlaufwerk zur Speicherung der Schlüssel.
BitLockerBitLocker
BitLocker ermöglicht es Kunden, eine einfache Nutzung und den Schutz vor
Bedrohungen nach Ihren Bedürfnissen aus-
zubalancieren.
Umfang des Schutzes
**************
Sicherheit
Ein
fach
e N
utzu
ng Nur TPM
Schutz vor:Softwarebasierten
Angriffen
Verwundbar durch:Hardwarebasierte
Angriffe (auch potentiell „simple“ Angriffe)
Nur Dongle
Schutz vor:Allen
hardwarebasierten Angriffen
Verwundbar durch:Verlust des Dongles,
Nutzung anderer Betriebssysteme
TPM+PIN
Schutz vor:Vielen
hardwarebasierten Angriffen
Verwundbar durch:Angriffe auf TPM
TPM+Dongle
Schutz vor:Vielen
hardwarebasierten Angriffen
Verwundbar durch:Hardwarebasierte
Angriffe
Windows Vista – Schutz von InformationenVor wem schützen Sie sich?
Andere Benutzer oder Administratoren des selben Computers? EFSNicht autorisierte Benutzer mit physischem Zugriff? BitLocker™Szenarien BitLocker EFS RMS
Notebooks
Server in Zweigstellen
Schutz lokaler Dateien und Ordner bei einem Benutzer
Schutz lokaler Dateien und Ordner bei mehreren Benutzern
Schutz von Remotedateien und -ordnern
Nicht vertrauenswürdige Netzwerkadministratoren
Durchsetzung von Remoterichtlinien
In einigen Fällen kann es zu Überschneidungen kommen (zum Beispiel Notebooks mit mehreren Benutzern, über die ein Remotezugriff stattfindet)
Wiederherstellungsoptionen
BitLocker™-Setup hinterlegt die Schlüssel und Kennworte automatisch in Active Directory
Zentrale Speicherung/Verwaltung von Schlüsseln (EA SKU)
Setup kann außerdem versuchen, Schlüssel und Kennwörter auf einem USB-Dongle oder in einer Datei zu sichern.
Standardverfahren für Benutzer ohne Domäne
Suchmöglichkeiten für das Hinterlegen von Schlüsseln über Webdienste
Wiederherstellungskennwort ist dem Benutzer/Administrator bekannt
Wiederherstellung kann direkt erfolgen
Der Betrieb von Windows wird normal fortgeführt
Windows Vista-SicherheitZusammenfassung
SDL
Absichern von Diensten
Code-Scanning
Standardkonfiguration
Codeintegrität
IE – geschützter Modus/Anti-Phishing
Windows Defender
Bidirektionale Firewall
Verbesserungen für IPSEC
Network Access Protection (NAP)
Weniger Bedrohungen und Sicherheitslücken
Grundlagen
Identitäts- und Zugriffskontroll
eBenutzerkontensteuerung
Plug-and-Play-Smartcards
Vereinfachte Anmelde-architektur
Bitlocker
RMS-Client
Recommended