Windows 2008 Security

4,591 views

Published on

Windows 2008 has a lot new security features like CNG, RODC, ASLR, Windows Auditing, Windows Defender, Security Center, Service Hardening, Bitlocker, NAP, UAC.

If you are interested on learning more about them and what is different from Windows 2003\XP to Windows 2008\Vista you are welcome to check a session I gave at Microsoft Israel.

Published in: Technology
2 Comments
3 Likes
Statistics
Notes
No Downloads
Views
Total views
4,591
On SlideShare
0
From Embeds
0
Number of Embeds
121
Actions
Shares
0
Downloads
0
Comments
2
Likes
3
Embeds 0
No embeds

No notes for slide
  • 06/06/09 23:46
  • Windows 2008 Security

    1. 1. Amit Gatenyo Infrastructure & Security Manager Dario IT Solutions ltd 054-2492499 [email_address]
    2. 2. Reduces costs, increases hardware utilization, optimizes your infrastructure, and improves server availability Delivers rich web-based experiences efficiently and effectively Provides unprecedented levels of protection for your network, your data, and your business Security Web Virtualization
    3. 3. <ul><li>Development Process </li></ul><ul><li>Secure Startup and shield up at install </li></ul><ul><li>Code integrity </li></ul><ul><li>Windows service hardening </li></ul><ul><li>Inbound and outbound firewall </li></ul><ul><li>Restart Manager </li></ul><ul><li>Improved auditing </li></ul><ul><li>Network Access Protection </li></ul><ul><li>Event Forwarding </li></ul><ul><li>Policy Based Networking </li></ul><ul><li>Server and Domain Isolation </li></ul><ul><li>Removable Device Installation Control </li></ul><ul><li>Active Directory Rights Management Services </li></ul>Security Compliance Security
    4. 4. <ul><li>Reduce size of high risk layers </li></ul><ul><li>Segment the services </li></ul><ul><li>Increase # of layers </li></ul>Kernel Drivers User-mode Drivers Service 1 Service 2 Service 3 Service … Service … Service A Service B D D D D D D D D
    5. 5. Windows ® XP SP2/Server 2003 R2 LocalSystem Windows Vista/Server 2008 Network Service Local Service LocalSystem Firewall Restricted Network Service Network Restricted Local Service No Network Access LocalSystem Network Service Fully Restricted Local Service Fully Restricted
    6. 6. נושא Windows XP / Windows Server 2003 Windows Vista / Windows Server 2008 הפעלת תהליכי מערכת ההפעלה בסביבה מופרדת מסביבת המשתמש לא אפשרית , ניתן לגשת אל session 0 מסביבת המשתמש אפשרית , session 0 מופרד מסביבת המשתמש מתן הרשאות על אובייקטים אפשרי ברמת ה – service account אפשרי ברמת ה – SID עבור services הפעלת תהליכי מערכת ההפעלה מתבססת בעיקר על LocalSystem מתבססת על מנגנון אשר מאפשר ביזור הרשאות חלקיות מתוך הרשאות ה – LocalSystem / LocalService / NetworkService שימוש ב – write restricted token לא קיים אפשרי הגבלת גישת ה - services למשאבי הרשת אפשרית רק באופן חלקי ( inbound ) , מותנית בהפעלת ה – windows firewall מרבית ה – windows services מוקשחים ביחס לגישה למשאבי הרשת באופן אוטומטי ללא תלות בהפעלת ה – windows firewall , עבור app services ניתן להגדיר עבורם חוקי הקשחה באמצעות API
    7. 7. Combined firewall and IPsec management Firewall rules become more intelligent Policy-based networking
    8. 8. נושא Windows XP / Windows Server 2003 Windows Vista / Windows Server 2008 אכיפת מדיניות לגבי תעבורת נתונים נכנסת ( inbound ) אפשרית אפשרית אכיפת מדיניות לגבי תעבורת נתונים יוצאת ( outbound ) לא אפשרית אפשרית אכיפת מדיניות לגבי תצורת אבטחת העברת נתונים לא נתמך ברמת ה – firewall , אפשרי למימוש ע &quot; י ה – IP security policies ( GPO ) אפשרית באמצעות IPSEC אכיפת מדיניות בהתאם לחברות בדומיין לא אפשרית אפשרית אכיפת מדיניות בהתאם לשם משתמש / שם מחשב לא אפשרית אפשרית אכיפת מדיניות בהתאם לרשת אליה המחשב מחובר לא אפשרית אפשרית – קיימים 3 פרופילים ( public/private/domain ) תמיכה ב – windows service hardening לא קיימת קיימת תמיכה בהחלת חוקים באמצעות GPO אפשרית אבל הממשק שונה מה – windows firewall MMC אפשרית באופן זהה לחלוטין ל – windows firewall advanced security MMC קביעת חוקי עקיפה ( bypass ) עבור תקשורת נכנסת / יוצאת ממחשבים ספציפיים אפשרית באופן חלקי אפשרית קביעת חוקים בהתאם על סמך אובייקטים מה – Active Directory לא אפשרית אפשרית תמיכה ב – IPv6 אפשרית אבל דורשת SP ( עבור Windows XP – SP2 , עבור Windows Server 2003 – SP1 ) אפשרית ללא צורך ב – SP
    9. 9. <ul><li>Only a subset of the executable files and DLLs installed </li></ul><ul><li>No GUI interface installed </li></ul><ul><li>9 available Server Roles </li></ul><ul><li>Can be managed with remote tools </li></ul>
    10. 10. Customization Troubleshooting Administration True application deployment Application and health management
    11. 11. <ul><li>Arsenal of Admin Tools </li></ul><ul><li>Delegated Management </li></ul><ul><li>Secure Remote Management </li></ul><ul><li>Shared Config for Web Farms </li></ul>Web Farm <ul><li>Better Tools </li></ul><ul><li>Intuitive, Task Oriented GUI </li></ul><ul><li>.NET Management API </li></ul><ul><li>Unified WMI Provider for IIS/ASP.NET </li></ul><ul><li>Powerful Command Line Support </li></ul><ul><li>Rich Runtime State Information </li></ul><ul><li>Automatic Failure Tracing & Logging </li></ul>Site Owner Web.config XML XCopy Deploy Administrator Internet Manage Remotely Secure HTTPS AppHost.config XML Shared Config Shared App Hosting App
    12. 12. <ul><li>Group Policy allows central encryption policy and provides Branch Office protection </li></ul><ul><li>Provides data protection, even when the system is in unauthorized hands or is running a different or exploiting Operating System </li></ul><ul><li>Uses a v1.2 TPM or USB flash drive for key storage </li></ul>Full Volume Encryption Key (FVEK) Encryption Policy
    13. 13. פתרון מתקפה בזמן hibernate מתקפה בזמן sleep/ standby מתקפה כנגד תהליך האתחול מתקפה כנגד online מערכת ההפעלה חשיפת מפתחות בזמן offline מתקפה המבוססת על חשיפת סיסמאות טעויות משתמש זליגת מידע plaintext גניבת המחשב בלבד TPM              בלבד USB              PIN בשילוב TPM             USB בשילוב TPM           
    14. 14. <ul><li>AD RMS protects access to an organization’s digital files </li></ul><ul><li>AD RMS in Windows Server 2008 includes several new features </li></ul><ul><li>Improved installation and administration experience </li></ul><ul><li>Self-enrollment of the AD RMS cluster </li></ul><ul><li>Integration with AD Federation Services </li></ul><ul><li>New AD RMS administrative roles </li></ul>Information Author The Recipient
    15. 15. Protected emails
    16. 20. Add users with Read and Change permissions Verify aliases & DLs via AD Add advanced permissions
    17. 21. Set expiration date Enable print, copy permissions Add/remove additional users Contact for permission requests Enable viewing via RMA
    18. 22. Protected doc library
    19. 33. <ul><li>AD FS provides an identity access solution </li></ul><ul><li>Deploy federation servers in multiple organizations to facilitate business-to-business (B2B) transactions </li></ul><ul><li>AD FS provides a Web-based, SSO solution </li></ul><ul><li>AD FS interoperates with other security products that support the Web Services Architecture </li></ul><ul><li>AD FS improved in Windows Server 2008 </li></ul>Web Server Account Federation Server Resource Federation Server Federation Trust Adatum Contoso
    20. 34. Main Office Branch Office RODC
    21. 35. Enterprise PKI (PKIView) Online Certificate Status Protocol (OSCP) Network Device Enrollment Service Web Enrollment
    22. 36. Cryptography Next Generation (CNG) <ul><li>Includes algorithms for encryption, digital signatures, key exchange, and hashing </li></ul><ul><li>Supports cryptography in kernel mode </li></ul><ul><li>Supports the current set of CryptoAPI 1.0 algorithms </li></ul><ul><li>Support for elliptic curve cryptography (ECC) algorithms </li></ul><ul><li>Perform basic cryptographic operations, such as creating hashes and encrypting and decrypting data </li></ul>
    23. 37. נושא CryptoAPI CNG תמיכה בהצפנה סימטרית   תמיכה בהצפנה א - סימטרית   תמיכה ב – hash   תמיכה בתעודות דיגיטליות באמצעות CAPI 2.0  ארכיטקטורה CSP Protocol provider, CNG routers, CNG primitives תמיכה במנגוני הצפנה legacy אין  החלפת מחולל מספרים אקראיים דורשת כתיבת הקוד מחדש אפשרית ללא שינוי מהותי בקוד שילוב אלגוריתמים חדשים לא אפשרי – רשימה קשיחה אפשרית – רשימה דינמית וניתנת לעידכון מנגנון ניהול מרכזי אין אפשרי באמצעות ה – key storage API תמיכה ב – Suite B אין  אלגוריתמים CAPI 1.0 AES , SHA1 , SHA2, DSA, RSA,ECC,DH,ECDSA,ECDH,MD2,MD4,MD5, CAPI 1.0 הפרדת המפתח הפרטי מהאפליקציה לא אפשרי אפשרי לביצוע באמצעות key isolation process מיקום שמירת המפתחות הפרטיים מקושר ל – SID , מקשה על תהליך מעבר בין דומיינים לא מקושר ל – SID , קל לבצע תהליך מעבר בין דומיינים פורמט שמירת המפתחות סיומת REG , מגבלה של 256 תווים בשם פורמט חדש ללא סיומת REG , מגבלה של 512 תווים בשם
    24. 38. Internet Perimeter Network Corporate Network Tunnels RDP over HTTPs Strips off RDP / HTTPs RDP traffic passed to TS Internet Remote/ Mobile User Terminal Services Gateway Network Policy Server Active Directory DC Terminal Servers and other RDP Hosts
    25. 39. Windows Client NPS DHCP, VPN Switch/Router Remediation Servers Example: Patch Restricted Network Policy compliant Policy Servers such as: Patch, AV Corporate Network Not policy compliant What is Network Access Protection? Health Policy Validation Health Policy Compliance Ability to Provide Limited Access Enhanced Security Increased Business Value
    26. 40. Windows Client DHCP, VPN or Switch/Router relays health status to Microsoft Network Policy Server (RADIUS) Network Policy Server (NPS) validates against IT-defined health policy If not policy compliant, client is put in a restricted VLAN and given access to fix up resources to download patches, configurations, signatures (Repeat 1 - 4) If policy compliant, client is granted full access to corporate network NPS DHCP, VPN Switch/Router Client requests access to network and presents current health state 1 Remediation Servers Example: Patch Restricted Network 1 2 2 3 3 4 Not policy compliant 5 Policy compliant 4 Policy Servers such as: Patch, AV Corporate Network 5
    27. 41. <ul><li>Internet Protocol security (IPsec)-protected communications </li></ul><ul><li>IEEE 802.1X-authenticated network connections </li></ul><ul><li>Remote access virtual private network (VPN) connections </li></ul><ul><li>Dynamic Host Configuration Protocol (DHCP) configuration </li></ul>
    28. 42. <ul><li>Policy based – was network access allowed </li></ul><ul><li>Health based - % compliant per SHA </li></ul>
    29. 43. http://blogs.microsoft.co.il/blogs/dario
    30. 44. Amit Gatenyo Infrastructure & Security Manager Dario IT Solutions ltd [email_address] 054-2492499

    ×