Andreas Schönberger | Produkt Marketing Manager | Windows Client | Microsoft Deutschland GmbH

Sicherheit und Einhalten von Vorgaben

BenutzerkontensteuerungPlug-and-Play-SmartcardsDetailliertere Überwachung

Sicherheit und Einhalten von Vorgaben

BitLocker™-Laufwerks-verschlüsselungEFS-SmartcardsRMS-Client

Security Development LifecycleBedrohungsmodelle und Code-ReviewsAbsicherung von Windows-Diensten

Internet Explorer – geschützter ModusWindows DefenderNetwork Access Protection

Grundlagen

Identitäts- und Zugriffskontrolle

Weniger Bedrohungen und Sicherheitslücken

Schutz von Informationen

Grundlagen

Verbesserter Security Development Lifecycle-Prozess (SDL) für Windows Vista

Regelmäßige verpflichtende SicherheitsschulungenSicherheitsberater für alle KomponentenArbeit mit Bedrohungsmodellen während der DesignphaseStandardmäßige Sicherheitsreviews und -testsSicherheitskriterien für die Produktteams

Common Criteria-Zertifizierung (CC)

Absicherung der Dienste

Absicherung der DiensteTiefgreifender Schutz

Dienste werden im Vergleich zu Windows XP mit weniger Privilegien ausgeführt.

Windows-Diensten werden Aktionen zugeordnet, die für Netzwerk, Dateisystem und Registrierung zugelassen sind.

Schädliche Software, die versucht über einen Windows-Dienst in einen Bereich des Netzwerkes, des Dateisystems oder der Registrierung zu schreiben, die nicht Teil des Dienstprofils sind, wird blockiert.

AktiverSchutz

Dateisystem

Registrierung

Netzwerk

Weniger Bedrohungen und SicherheitslückenSchutz vor Malware und Einbrüchen

Schutz vor “Social Engineering”

Phishing-Filter und farbige AdressleisteBenachrichtigung bei gefährlichen EinstellungenSichere Standardeinstellungen für IDN

Schutz vor ExploitsUnified URL ParsingVerbesserung der Codequalität (SDLC)ActiveX-Opt-inGeschützter Modus verhindert das Ausführen von schädlicher Software

Internet Explorer 7

ActiveX-Opt-in und geschützter ModusSchutz des Systems vor Angriffen

ActiveX-Opt-in lässt dem Benutzer die Entscheidungsmöglichkeit

Reduziert die Angriffsfläche

Bisher ungenutzte Steuerelemente werden deaktiviert

Alle Vorteile von ActiveX, mehr Sicherheit für den Benutzer

Der geschützte Modus reduziert die Aus-wirkungen von Bedrohungen

Verhindert die stillschweigende Installation von Maleware

IE-Prozess ist ‘Sandboxed’ und schützt so das Betriebssystem

Mit Blick auf Sicherheit und Kompatibilität entworfen

ActiveX-Opt-in

AktivierteSteuerelemente

Windows

DeaktivierteSteuer-

elemente

Benutzer-

Aktion

Geschützter Modus

Benutzer-

Aktion

IE-Cache (C:)

Broker-Process

Geringe Rechte

Windows Defender

Verbesserte Erkennung und Beseitigung

Benutzeroberfläche neu entworfen und vereinfacht

Schutz für alle Benutzer

Windows Vista FirewallFirewall und IPsec-Verwaltung kombiniert

Neue Verwaltungstools - Windows Firewall mit MMC-Snap-in “Erweiterte Sicherheit”

Reduziert Konflikte und Koordinationsoverhead zwischen den Technologien

Firewallregeln werden intelligenterFestlegen von Sicherheitsanforderungen, wie zum Beispiel Authentifizierung und Verschlüsselung

Festlegen von Active Directory-Computer oder -Benutzergruppen

Filtern von ausgehendem Netzwerkverkehr

Ein Feature für Unternehmen – nicht für Endkunden

Vereinfachte Richtlinien verringern den Verwaltungsaufwand

Network Access ProtectionNetwork Access Protection

11

Eingeschränk-Eingeschränk-tes Netzwerktes NetzwerkMSFT-NetzwerkMSFT-Netzwerk

RichtlinienserverRichtlinienserver

33

RichtlinienserverRichtlinienserverz. B. MSFT Security z. B. MSFT Security

Center, SMS, AntigenCenter, SMS, Antigenoder Drittanbieteroder Drittanbieter

EntsprichtEntsprichtRichtlinienRichtlinienDHCP, VPNDHCP, VPN

Switch/Router Switch/Router

22

WindowsWindowsVista-ClientVista-Client

Fix Up-Fix Up-ServerServer

z. B. MSFT z. B. MSFT WSUS, SMS & WSUS, SMS &

DrittanbieterDrittanbieter

UnternehmensnetzwerkUnternehmensnetzwerk55

Entspricht Entspricht nicht nicht

RichtlinienRichtlinien

44

Verbesserte SicherheitDie gesamte Kommunikation wird authentifiziert, autorisiert und auf Einhaltung der Richtlinien geprüft.

Tiefgreifender Schutz nach Ihren Vorgaben für DHCP, VPN, IPsec, 802.1X.

Richtlinienbasierter Zugriff, den IT-Experten einrichten und steuern können.

Verbesserter geschäftlicher NutzenVerbesserter geschäftlicher NutzenDie Benutzerproduktivität bleibt erhalten.Die Benutzerproduktivität bleibt erhalten.

Nutzt bestehende Investitionen in die Infrastruktur von Microsoft Nutzt bestehende Investitionen in die Infrastruktur von Microsoft und von Drittanbietern.und von Drittanbietern.

Große Menge an Partnern.Große Menge an Partnern.

Vorteile

Identitäts- und Zugriffs-überwachungErmöglicht einen sicheren Zugriff auf Informationen

SchwierigkeitenBenutzer arbeiten als Administrator = nicht verwaltete Desktops

Viren und Spyware können das System bei zu umfangreichen Rechten schädigen.Benutzer mit zu umfangreichen Rechten können das Unternehmen kompromittieren.Benutzer können Änderungen vornehmen, durch die es notwendig wird, den Computer vollständig neu aufzusetzen.

Branchenspezifische Anwendungen benötigen umfangreiche Rechte

Damit branchenspezifische Anwendungen ausgeführt werden können, muss die Systemsicherheit herabgesetzt werden. IT-Administratoren müssen die branchenspezifischen Anwendungen aufgrund von inkonsistenten Konfigurationseinstellungen für jede neue Betriebssystemversion neu evaluieren.

Für häufig auftretende Konfigurationsaufgaben im Bezug auf das Betriebssystem sind umfangreiche Rechte notwendig.

Unternehmen können neue Anwendung nur schwer bereitstellen, ohne die Betriebssystemsicherheit zu kompromittieren. Einfache Szenarien, wie das Ändern der Zeitzone, sind nicht möglich. Benutzer sind nicht in der Lage, nicht sensible Konteninformationen zu verwalten.

Benutzerkontensteuerung

Ziel: Unternehmen besser verwaltbare Desktops und Endkunden eine elterliche Freigabe zur Verfügung zu stellen.

Das System soll für Standardbenutzer einsetzbar werdenBenutzer sollen die Zeitzone ändern, die Energieeinstellungen bearbeiten, Drucker hinzufügen und sich mit WLANs verbinden. Hohe AnwendungskompatibilitätKlare Hervorhebung, wenn administrative Rechte erforderlich sind und diese Rechte sofort und ohne Abmeldung einsetzen können. Hohe Anwendungskompatibilität mit Dateisystem- und Registrierungs-virtualisierung

Administratoren nutzen umfas-sende Privilegien nur für administra-tive Aufgaben oder Anwendungen.Benutzer müssen der Nutzung umfang-reicherer Privilegien explizit zustimmen.

Verbesserte Überwachung

Mehr GenauigkeitUnterstützt viele Unterkategorien: Anmeldung, Abmeldung, Dateisystemzugriff, Registrierungszugriff, Verwendung von administrativen Privilegien.Unter bisherigen Windows-Versionen wurden nur übergeordnete Kategorien, wie System, An-/Abmeldung und Objektzugriff unterstützt.

Neue ProtokollierungsinfrastrukturUnwichtige Informationen können einfacher gefiltert werden. Es ist einfacher, das gesuchte Ereignis zu finden. Aufgaben, die Ereignissen zugeordnet sind: Wenn ein Ereignis auftritt (z. B. die Verwendung von administrativen Privilegien), können automatisch Aufgaben, wie zum Beispiel das Versenden einer Email, ausgeführt werden.

Verbesserte Authentifizierung

Plug and Play-SmartcardsTreiber und Zertifizierungsanbieter (CSP - Certificate Service Provider) sind in Windows Vista enthalten.Anmeldung und Benutzerkontensteuerung unterstützen Smartcards.

Neue AnmeldearchitekturGINA (das alte Windows-Anmeldemodell) gibt es nicht mehr. Drittanbieter können Biometriegeräte, Einmal-Kennwort-Token und andere Authentifizierungsverfahren ohne viel Aufwand zur Verfügung stellen.

Schutz von InformationenSchutz des geistigen Eigentums des Unternehmens und der Kundendaten

Der Verlust von Informationen ist einer der wichtigsten Punkte für Entscheidungsträger in Unternehmen

“Nach einem Virenangriff stellen Unternehmen fest, dass häufiger als bei jedem anderen Sicherheitsvorfall Emails unverlangt weitergeleitet werden und mobile Geräte verloren gehen.”

Jupiter Research Report, 2004

0% 10% 20% 30% 40% 50% 60% 70%

Verlust digitaler Werte, wiederhergestellt

Email-Piracy

Kompromittierung von Kennwörtern

Verlust mobiler Geräte

Unerwünschtes Weiterleiten von Emails

20%

22%

22%

35%

36%

63%Viren

BitLocker™ Laufwerksverschlüsselung

Verhindert, dass ein Dieb ein anderes Betriebssystem bootet oder ein Tool nutzt, um in das Windows-Dateisystem oder das System einzubrechen.

Schützt die Daten auf Ihren Windows-Clientsystemen auch dann, wenn sich das System in unautorisierten Händen befindet oder ein anderes Betriebssystem ausgeführt wird.

Nutzt einen v1.2 TPM-Chip oder USB-Flashlaufwerk zur Speicherung der Schlüssel.

BitLockerBitLocker

BitLocker ermöglicht es Kunden, eine einfache Nutzung und den Schutz vor

Bedrohungen nach Ihren Bedürfnissen aus-

zubalancieren.

Umfang des Schutzes

**************

Sicherheit

Ein

fach

e N

utzu

ng Nur TPM

Schutz vor:Softwarebasierten

Angriffen

Verwundbar durch:Hardwarebasierte

Angriffe (auch potentiell „simple“ Angriffe)

Nur Dongle

Schutz vor:Allen

hardwarebasierten Angriffen

Verwundbar durch:Verlust des Dongles,

Nutzung anderer Betriebssysteme

TPM+PIN

Schutz vor:Vielen

hardwarebasierten Angriffen

Verwundbar durch:Angriffe auf TPM

TPM+Dongle

Schutz vor:Vielen

hardwarebasierten Angriffen

Verwundbar durch:Hardwarebasierte

Angriffe

Windows Vista – Schutz von InformationenVor wem schützen Sie sich?

Andere Benutzer oder Administratoren des selben Computers? EFSNicht autorisierte Benutzer mit physischem Zugriff? BitLocker™Szenarien BitLocker EFS RMS

Notebooks

Server in Zweigstellen

Schutz lokaler Dateien und Ordner bei einem Benutzer

Schutz lokaler Dateien und Ordner bei mehreren Benutzern

Schutz von Remotedateien und -ordnern

Nicht vertrauenswürdige Netzwerkadministratoren

Durchsetzung von Remoterichtlinien

In einigen Fällen kann es zu Überschneidungen kommen (zum Beispiel Notebooks mit mehreren Benutzern, über die ein Remotezugriff stattfindet)

Wiederherstellungsoptionen

BitLocker™-Setup hinterlegt die Schlüssel und Kennworte automatisch in Active Directory

Zentrale Speicherung/Verwaltung von Schlüsseln (EA SKU)

Setup kann außerdem versuchen, Schlüssel und Kennwörter auf einem USB-Dongle oder in einer Datei zu sichern.

Standardverfahren für Benutzer ohne Domäne

Suchmöglichkeiten für das Hinterlegen von Schlüsseln über Webdienste

Wiederherstellungskennwort ist dem Benutzer/Administrator bekannt

Wiederherstellung kann direkt erfolgen

Der Betrieb von Windows wird normal fortgeführt

Windows Vista-SicherheitZusammenfassung

SDL

Absichern von Diensten

Code-Scanning

Standardkonfiguration

Codeintegrität

IE – geschützter Modus/Anti-Phishing

Windows Defender

Bidirektionale Firewall

Verbesserungen für IPSEC

Network Access Protection (NAP)

Weniger Bedrohungen und Sicherheitslücken

Grundlagen

Identitäts- und Zugriffskontroll

eBenutzerkontensteuerung

Plug-and-Play-Smartcards

Vereinfachte Anmelde-architektur

Bitlocker

RMS-Client