謝合宜 微軟特約技術顧問 MCSE : Security/Messaging MVP/MCT Windows Vista的安全性加強 謝合宜 微軟特約技術顧問 MCSE : Security/Messaging MVP/MCT

預備知識 熟悉Windows作業系統的使用 熟悉網路資訊安全的管理 Level 200

講題大綱 Windows Vista的安全性加強 服務安全加強 IE 7.0的安全保護 Windows Defender與防火牆 使用者帳戶控制 帳號驗證架構的調整 資料的保護

Windows Vista 安全性 服務安全強化 使用者帳戶控制 IE 保護模式 程式碼完整性 防火牆 Windows Defender

Windows XP 的服務架構 使用者權限 層次較少 服務權限太大 各層次之間防護太少 管理權限 系統服務 核心

Windows Vista 服務安全強化 減少高風險層的大小 將服務分區段 增加安全防護層次 S S S D D D D S S D D 使用者權限 使用者帳戶控制 服務安全強化 低權限服務 管理權限 使用者帳戶控制 系統服務 S 核心 S S D D D D S 核心驅動程式 系統服務 低權限服務 使用者模式驅動程式 S D D

Windows 服務安全強化 服務使用更小的權限來執行 服務存取檔案系統、系統機碼、網路的動作會被控管 避免服務遭受入侵後，進行破壞動作 主動式保護 網路

Internet Explorer 7的安全功能 保護你的系統 URL 問題處理 跨網域的執行碼安全保護 ActiveX Opt-in 危險設定通知修正 使用保護模式來避免惡意程式(Windows Vista only) 透過 Windows Defender 保護程式下載動作 保護使用者個人資料 釣魚過濾防護 不同顏色的網址列標示來分辨安全性 SSL加強防護 International Domain Name (IDN) 網址檢查 (http://www.microsóft.com) 親子控制功能 (Parental Control, Windows Vista only)

Internet Explorer 保護模式 C:\...\Temporary Internet Files C:\...\Startup

釣魚過濾功能(Phishing Filter) URL Reputation Service https://urs.microsoft.com Known Good URLs IEAPFLTR.DAT

Windows Defender 改善惡意程式的偵測與移除 重新設計，簡化使用者介面 保護所有使用者

Windows Vista 防火牆

網路封包過濾 Inbound Outbound Default: Block most Few core exceptions Allow all interactive Restrict services Allow rules: Programs, services Users, computers Protocols, ports Block rules: Programs, services Users, computers Protocols, ports

功能比較 Windows XP SP2 Windows Vista Direction Inbound Inbound, outbound Default action Block Configurable for direction Packet types TCP, UDP, some ICMP All Rule types Application, global ports, ICMP types Multiple conditions from basic five-tuple to IPsec metadata Rule actions Block, allow, bypass; with rule merge logic UI and tools Control Panel, netsh C-Panel, more netsh, MMC APIs Public COM, private C More COM to expose rules, more C to expose features Remote management none Via hardened RPC interface Group policy ADM file MMC, netsh Terminology Exceptions; profiles Rules; categories=profiles

例如: Security Center, SMS, Antigen 網路存取保護(NAP) 原則伺服器 例如: Security Center, SMS, Antigen or 3rd party 3 1 2 原則不符合 限制的網路 4 修正伺服器 例如: WSUS, SMS & 3rd party 網路 原則伺服器 Windows Vista Client 原則符合 DHCP, VPN Switch/Router 5 企業網路 加強安全性 所有的網路連線都驗證、授權過 在 DHCP, VPN, IPsec, 802.1X 上進一步深度防禦 以原則為基礎的存取設定，方便 IT 管理與控制 延伸既有的基礎架構投資 優點

Windows Defender Windows Firewall 的管理架構

使用者帳戶控制(UAC) 允許系統以標準使用者正常執行 允許指定的應用程式在提高權限下執行 修正/移除不適當的管理檢查 系統機碼 / 檔案虛擬化，提供相容性

Administrative Rights UAC Architecture Standard User Rights Administrative Rights Abby Admin logon Admin Token “Standard User” Token

UAC Architecture Standard User Mode Standard User Rights Administrative Rights Standard User Mode Standard User Privilege User Process Change Time Zone Run IT Approved Applications Install Fonts Install Printers Run MSN Messenger Etc. User

UAC Architecture Admin Privileges Standard User Rights Administrative Rights Admin Privileges Standard User Privilege User Process Change Time Zone Run IT Approved Applications Install Fonts Install Printers Run MSN Messenger Etc. Admin Process Change Time Admin Privilege User Admin Process Configure IIS Admin Privilege Admin Process Install Application Admin Privilege

使用者帳戶控制範例

權限提升

不同類型的權限提升的對話方塊 作業系統程式 已簽署的應用程式 未簽署的應用程式

驗證支援 隨插即用的 Smart Cards 新的登入架構 內建 Certificate Service Provider (CSP) 不再使用 GINA (msgina.dll) 其它廠商可以外掛其它驗證機制 例如指紋驗證

WinLogon 架構 Windows XP WinLogon WinLogon LSA User GP Profiles SCM Session 0 WinLogon LSA User GP Profiles SCM Machine GP MSGINA.DLL Shell Other Sessions WinLogon User GP MSGINA.DLL Shell

WinLogon 架構 Windows Vista Session 0 LSA RCM WinInit Profiles SCM Group Policy Other Sessions WinLogon LogonUI Credential Provider 1 Credential Provider 2 Credential Provider 3

Credential Providers 使用者登入 1. Ctrl + Alt + Delete WinLogon 9. LSALogonUser LSA 2. 要求身份資料 8. 傳回身份資訊 5. 點選圖示，輸入 使用者名稱、密碼 4. 顯示介面 LogonUI 6. 取得使用者輸入的資料 Credential Provider Interfaces 3. 取得身份資料資訊 7. 取得登入的身份資訊 Credential Provider 1 Credential Provider 2 Credential Provider 3

加強稽核功能 更詳細的稽核 新的記錄架構 例如登入、登出、檔案系統存取、機碼存取、管理權限使用 更方便過濾掉沒有用的事件記錄 當事件發生時，可以 傳送通知給管理者 執行特定的程式

Windows Vista 的事件記錄 加強事件 基礎架構 新的事件報表 Windows Vista 事件記錄 更多更詳細 的事件 事件轉送

事件檢視器 更多的新的選項 事件檢視器 所有事件的摘要 最近使用過的事件檢視 記錄檔摘要 Actions pane 新的事件檢視器摘要 所有的事件記錄檔 以事件類型排序 最新的事件 跨事件記錄檔查詢 將查詢儲存成檢視 對事件指定排程工作

Windows Vista 資料保護 原則定義與確保 Rights Management Services (RMS) 以使用者為基礎 的檔案加密 Encrypted File System (EFS) 以硬體為基礎 的磁碟加密 Full Volume Encryption (BitLocker)

BitLocker™ 磁碟加密 設計用來防止硬碟被竊取，並且安裝到其它電腦或使用破解工具來讀取硬碟中的資訊 使用一個主機板上的一顆 v1.2 TPM 晶片或者 USB 磁碟來儲存金鑰 BitLocker

BitLocker™ And TPM Features BitLocker™ Drive Encryption (BDE) 加密整個磁區 使用 TPM v1.2 來驗證 pre-OS 的元件 可自訂的保護與驗證方法 Pre-OS 的保護 USB startup key, PIN, and TPM 驗證 單一的 Microsoft TPM Driver 改善穩定性與安全性 TPM Base Services (TBS) Enables third party applications Active Directory備份 自動備份 key 到 AD Group Policy 支援 Scriptable 介面 TPM 管理 BitLocker™管理 命令列工具程式

甚麼是 Trusted Platform Module (TPM)? 主機板上類似Smartcard的硬體模組 保護機密 進行加解密功能 RSA, SHA-1, RNG 符合加密的專業需求 能夠建立、儲存與管理金鑰(Key) 提供唯一的 Endorsement Key (EK) 提供唯一的 Storage Root Key (SRK) 進行數位簽章功能 保持平台的量測確認 (hashes) 保護自身避免被攻擊 TPM 1.2 spec: www.trustedcomputinggroup.org

BitLocker™ Drive 加密架構 Static Root of Trust Measurement of boot components

磁碟內容結果與金鑰的儲存 Where’s the Encryption Key? SRK (Storage Root Key) contained in TPM SRK encrypts FVEK (Full Volume Encryption Key) protected by TPM/PIN/USB Storage Device FVEK stored (encrypted by SRK) on hard drive in the OS Volume OS Volume Contains Encrypted OS Encrypted Page File Encrypted Temp Files Encrypted Data Encrypted Hibernation File 3 OS Volume FVEK SRK 2 1 System System Volume Contains: MBR, Boot manager, Boot Utilities (Unencrypted, small)

Ease of Deployment / Maintenance 加密與使用等級 Ease of Deployment / Maintenance 您可以使用不同的組合 來提供不同等級的 安全性與使用方便性 TPM Only “What it is” Protects Against: Most SW attacks User Must: N/A No user impact TPM + PIN “What it is + what you know” Protects Against: Many HW attacks User Must: Enter PIN to boot TPM + USB “What it is + what you have” Protects Against: HW attacks User Must: Protect USB key USB Only “What you have” Protects Against: HW attacks User Must: Protect USB key

BitLocker™ Drive Encryption

BitLocker™ 還原的情境 遺失或忘記驗證的方法 核心檔案更新 硬體設備毀損 蓄意攻擊 USB key遺失, 使用者忘記 PIN 不預期更新了 pre-OS 檔案 (BIOS upgrade, etc…) 硬體設備毀損 硬碟換到另一台新的系統 蓄意攻擊 Modified or missing pre-OS files (Hacked BIOS, MBR, etc…)

BitLocker™ 還原的方法 加入網域電腦的建議還原方法 未加入網域電腦的建議還原方法 設定 Group Policy 來儲存金鑰到 AD 提供金鑰的集中儲存與管理 未加入網域電腦的建議還原方法 備份到 USB 隨身碟設備 備份到檔案 列印或記錄下來

建立 BitLocker™ 系統的需求 Hard Disk USB BitLocker™ 需要至少兩個分割區 System partition (“Active”, NTFS, minimum 1.5GB) OS must be installed on separate partition OS and other partition(s) can be of any size USB System boot from USB 1.x and 2.x USB USB read/write in pre-OS environment FAT16, FAT32, or NTFS file system

整合安全控制 卸除式儲存設備的安裝與讀寫 用戶端安全掃瞄代理員 重新開機管理員 安全中心

USB隨身碟的管理

總結 威脅與弱點 減輕 身份識別 與 存取控制 基礎架構 IE 保護模式與網站過濾 Windows Defender 雙向過濾的防火牆 IPSec 改善 網路存取保護 使用者帳戶控制 隨插即用的 Smartcards 簡化登入架構 Bitlocker RMS 用戶端支援 基礎架構 安全開發生命週期 服務安全加強 程式碼檢視 預設安全組態 程式碼完整性提升

For More Information… IE Website TechNet Windows Vista www.microsoft.com/taiwan/technet Windows Vista www.microsoft.com/taiwan/windowsvista Windows Vista: Resources for IT Professional www.microsoft.com/technet/windowsvista/default.mspx IE Website http://www.microsoft.com/windows/ie/ MVP Community社群網站 www.microsoft.com/taiwan/community