謝合宜 微軟特約技術顧問 MCSE : Security/Messaging MVP/MCT

Slides:



Advertisements
Similar presentations
全国教师资格认定管理信息系统 USBKey 使用 联系单位:省教育厅师范教育处 联系电话:
Advertisements

WCI361 Windows Vista WCI361 Windows Vista 运行性能设计与 改进.
应用技术 陕西华辉科技有限公司.
可信计算技术研究 国家信息化专家咨询委员会委员 沈昌祥 院士.
Windows7操作系统 信息工程系.
3/3/ :01 PM © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered.
NAP – 高可靠性,高安全性兼备的新一代网络安全接入解决方案
Database Architecture, not only DBA
第15章 配置Samba服务器 微软最有价值专家(MVP) IT集成课程视频教学下载地址
Windows Vista 的防治惡意軟體技術
企業如何建置安全的作業系統 Windows XP 網路安全
Windows 2000/XP网络组建与系统管理 李燕 中南分校.
大專院校校園e 化 PKI、智慧卡應用與整合.
講師姓名:黃信嘉、黃振宇 職稱:微軟技術支援副理 公司名稱:台灣微軟 課程代碼:WCL305
Windows系統 入侵偵測與防制工具 成大計網中心 楊峻榮 2003/10/23.
计算机系统安全 第10章 常用攻击手段.
管理系统使用注意事项 1.每个事业单位只有一张唯一的专用光盘。但为防止事业单位专用光盘损坏,可以自行刻录一张新的光盘作为备份。用于网上登记的计算机必须有光驱才行、计算机必须是xp或更好版本的的操作系统,浏览器必须是IE6.0版本以上。 2.事业单位专用光盘中“网下填表与上网提交”功能未开通,待开通后再告知大家。
WCL304 體驗全新桌面虛擬化App-V 5.0 & UE-V 佐藤大輔 Daisuke Sato.
資訊安全概論 梁明章 國家高速網路與計算中心 助理技術師.
第 19 章 遠端管理.
Chapter 8 遠端桌面協定.
IIS網站的安全性管理 羅英嘉 2007年4月.
利用 ISA Server 2004 建置應用層防護機制
Windows Vista 操作系统最新安全特性
資料檔案的安全性管理 羅英嘉 2007年4月.
網路安全 B 賴威志 B 項 薇.
今天很高兴能够利用Web Cast和大家讲解嵌入式XP的新增功能。
轉移Windows XP的使用者環境到Windows Vista
第 5 章 建立網域.
Windows Vista Internet Explorer 7.0 Overview
网络与信息安全 系统安全:Windows系统安全
Instructor: Shu-Tsai Gue 顧 叔 財
SOLUTIONACCELERATORS Windows Vista Hardware Assessment 1
第 8 章 規劃與建立群組.
Windows Server 2008 NAP整合802.1x網路安全控管
讲议: PXE 介绍及实现 Jarvis
System Center IT 管理系列 - 新一代組態管理與部署工具:如何在企業環境中建置 SCCM 2007
TechNet 網路廣播 Entry Slide 0
給地球一個美麗環境 P-Manage (mFP Charging ) 2011
互聯網安全資訊 助您達至更安全的網上體驗.
微机操作系统安装 Windows XP.
SAP 架構及基本操作 SAP前端軟體安裝與登入 Logical View of the SAP System SAP登入 IDES
CH10 Windows 2000 XP注册表 Windows 2000/XP网络组建与系统管理 李燕 中南分校.
Windows 2003 server 進階介紹 麋鹿.
WINDOWS XP重新安装流程 重装前的准备工作: 重装前的准备工作分这样几项: 1、备份重要文件 2、准备好系统安装光盘
Windows Vista 群組原則新增功能
顧武雄 Jovi Ku Microsoft特約資深講師
第二章 防火墙基础技术.
凌宁 系统工程师 亚洲区嵌入式系统事业群 微软(中国)有限公司
SVR 352 扩展Windows Server 终端服务在企业中的应用
Microsoft SQL Server 2008 報表服務_設計
SAP R/3架構及前端軟體安裝 Logical View of the R/3 System SAP Frontend 6.2安裝
Real-Time System Software Group Lab 408 Wireless Networking and Embedded Systems Laboratory Virtualization, Parallelization, Service 實驗室主要是以系統軟體設計為主,
第9章 信息安全.
橫跨電腦、手機與軟體的全方位端點管控解決方案
Windows server 2008系列- IIS 7.0 架構與建置技巧
呂政周 精誠恆逸教育訓練處 資深講師 Windows PowerShell 呂政周 精誠恆逸教育訓練處 資深講師
期未報告:公眾無線網路的架構,比較 通訊所 鍾國麟 主要的內容還是S.Y.
Windows Vista 桌面環境管理工具與技術
SAP 架構及基本操作 SAP前端軟體安裝與登入 Logical View of the SAP System SAP登入 IDES
百万亿次超级计算机诞生记 姓名 Xiangyu Ye 职务 微软中国技术中心资深HPC顾问 公司 微软中国
新一代信息安全的门户产品 安盟身份认证管理系统7.0
第6章 硬盘实用程序 GHOST 6.0 硬盘克隆(Clone)、硬盘分区拷贝工具
SAP 架構及前端軟體安裝 Logical View of the SAP System SAP Frontend 7.1安裝 SAP登入
MGT 213 System Management Server的昨天,今天和明天
強化 Windows 平台 唐任威 資深講師.
Windows Seven ACC TSD Andy 华硕电脑 (上海)有限公司.
Presentation transcript:

謝合宜 微軟特約技術顧問 MCSE : Security/Messaging MVP/MCT Windows Vista的安全性加強 謝合宜 微軟特約技術顧問 MCSE : Security/Messaging MVP/MCT

預備知識 熟悉Windows作業系統的使用 熟悉網路資訊安全的管理 Level 200

講題大綱 Windows Vista的安全性加強 服務安全加強 IE 7.0的安全保護 Windows Defender與防火牆 使用者帳戶控制 帳號驗證架構的調整 資料的保護

Windows Vista 安全性 服務安全強化 使用者帳戶控制 IE 保護模式 程式碼完整性 防火牆 Windows Defender

Windows XP 的服務架構 使用者權限 層次較少 服務權限太大 各層次之間防護太少 管理權限 系統服務 核心

Windows Vista 服務安全強化 減少高風險層的大小 將服務分區段 增加安全防護層次 S S S D D D D S S D D 使用者權限 使用者帳戶控制 服務安全強化 低權限服務 管理權限 使用者帳戶控制 系統服務 S 核心 S S D D D D S 核心驅動程式 系統服務 低權限服務 使用者模式驅動程式 S D D

Windows 服務安全強化 服務使用更小的權限來執行 服務存取檔案系統、系統機碼、網路的動作會被控管 避免服務遭受入侵後,進行破壞動作 主動式保護 網路

Internet Explorer 7的安全功能 保護你的系統 URL 問題處理 跨網域的執行碼安全保護 ActiveX Opt-in 危險設定通知修正 使用保護模式來避免惡意程式(Windows Vista only) 透過 Windows Defender 保護程式下載動作 保護使用者個人資料 釣魚過濾防護 不同顏色的網址列標示來分辨安全性 SSL加強防護 International Domain Name (IDN) 網址檢查 (http://www.microsóft.com) 親子控制功能 (Parental Control, Windows Vista only)

Internet Explorer 保護模式 C:\...\Temporary Internet Files C:\...\Startup

釣魚過濾功能(Phishing Filter) URL Reputation Service https://urs.microsoft.com Known Good URLs IEAPFLTR.DAT

Windows Defender 改善惡意程式的偵測與移除 重新設計,簡化使用者介面 保護所有使用者

Windows Vista 防火牆

網路封包過濾 Inbound Outbound Default: Block most Few core exceptions Allow all interactive Restrict services Allow rules: Programs, services Users, computers Protocols, ports Block rules: Programs, services Users, computers Protocols, ports

功能比較 Windows XP SP2 Windows Vista Direction Inbound Inbound, outbound Default action Block Configurable for direction Packet types TCP, UDP, some ICMP All Rule types Application, global ports, ICMP types Multiple conditions from basic five-tuple to IPsec metadata Rule actions Block, allow, bypass; with rule merge logic UI and tools Control Panel, netsh C-Panel, more netsh, MMC APIs Public COM, private C More COM to expose rules, more C to expose features Remote management none Via hardened RPC interface Group policy ADM file MMC, netsh Terminology Exceptions; profiles Rules; categories=profiles

例如: Security Center, SMS, Antigen 網路存取保護(NAP) 原則伺服器 例如: Security Center, SMS, Antigen or 3rd party 3 1 2 原則不符合 限制的網路 4 修正伺服器 例如: WSUS, SMS & 3rd party 網路 原則伺服器 Windows Vista Client 原則符合 DHCP, VPN Switch/Router 5 企業網路 加強安全性 所有的網路連線都驗證、授權過 在 DHCP, VPN, IPsec, 802.1X 上進一步深度防禦 以原則為基礎的存取設定,方便 IT 管理與控制 延伸既有的基礎架構投資 優點

Windows Defender Windows Firewall 的管理架構

使用者帳戶控制(UAC) 允許系統以標準使用者正常執行 允許指定的應用程式在提高權限下執行 修正/移除不適當的管理檢查 系統機碼 / 檔案虛擬化,提供相容性

Administrative Rights UAC Architecture Standard User Rights Administrative Rights Abby Admin logon Admin Token “Standard User” Token

UAC Architecture Standard User Mode Standard User Rights Administrative Rights Standard User Mode Standard User Privilege User Process Change Time Zone Run IT Approved Applications Install Fonts Install Printers Run MSN Messenger Etc. User

UAC Architecture Admin Privileges Standard User Rights Administrative Rights Admin Privileges Standard User Privilege User Process Change Time Zone Run IT Approved Applications Install Fonts Install Printers Run MSN Messenger Etc. Admin Process Change Time Admin Privilege User Admin Process Configure IIS Admin Privilege Admin Process Install Application Admin Privilege

使用者帳戶控制範例

權限提升

不同類型的權限提升的對話方塊 作業系統程式 已簽署的應用程式 未簽署的應用程式

驗證支援 隨插即用的 Smart Cards 新的登入架構 內建 Certificate Service Provider (CSP) 不再使用 GINA (msgina.dll) 其它廠商可以外掛其它驗證機制 例如指紋驗證

WinLogon 架構 Windows XP WinLogon WinLogon LSA User GP Profiles SCM Session 0 WinLogon LSA User GP Profiles SCM Machine GP MSGINA.DLL Shell Other Sessions WinLogon User GP MSGINA.DLL Shell

WinLogon 架構 Windows Vista Session 0 LSA RCM WinInit Profiles SCM Group Policy Other Sessions WinLogon LogonUI Credential Provider 1 Credential Provider 2 Credential Provider 3

Credential Providers 使用者登入 1. Ctrl + Alt + Delete WinLogon 9. LSALogonUser LSA 2. 要求身份資料 8. 傳回身份資訊 5. 點選圖示,輸入 使用者名稱、密碼 4. 顯示介面 LogonUI 6. 取得使用者輸入的資料 Credential Provider Interfaces 3. 取得身份資料資訊 7. 取得登入的身份資訊 Credential Provider 1 Credential Provider 2 Credential Provider 3

加強稽核功能 更詳細的稽核 新的記錄架構 例如登入、登出、檔案系統存取、機碼存取、管理權限使用 更方便過濾掉沒有用的事件記錄 當事件發生時,可以 傳送通知給管理者 執行特定的程式

Windows Vista 的事件記錄 加強事件 基礎架構 新的事件報表 Windows Vista 事件記錄 更多更詳細 的事件 事件轉送

事件檢視器 更多的新的選項 事件檢視器 所有事件的摘要 最近使用過的事件檢視 記錄檔摘要 Actions pane 新的事件檢視器摘要 所有的事件記錄檔 以事件類型排序 最新的事件 跨事件記錄檔查詢 將查詢儲存成檢視 對事件指定排程工作

Windows Vista 資料保護 原則定義與確保 Rights Management Services (RMS) 以使用者為基礎 的檔案加密 Encrypted File System (EFS) 以硬體為基礎 的磁碟加密 Full Volume Encryption (BitLocker)

BitLocker™ 磁碟加密 設計用來防止硬碟被竊取,並且安裝到其它電腦或使用破解工具來讀取硬碟中的資訊 使用一個主機板上的一顆 v1.2 TPM 晶片或者 USB 磁碟來儲存金鑰 BitLocker

BitLocker™ And TPM Features BitLocker™ Drive Encryption (BDE) 加密整個磁區 使用 TPM v1.2 來驗證 pre-OS 的元件 可自訂的保護與驗證方法 Pre-OS 的保護 USB startup key, PIN, and TPM 驗證 單一的 Microsoft TPM Driver 改善穩定性與安全性 TPM Base Services (TBS) Enables third party applications Active Directory備份 自動備份 key 到 AD Group Policy 支援 Scriptable 介面 TPM 管理 BitLocker™管理 命令列工具程式

甚麼是 Trusted Platform Module (TPM)? 主機板上類似Smartcard的硬體模組 保護機密 進行加解密功能 RSA, SHA-1, RNG 符合加密的專業需求 能夠建立、儲存與管理金鑰(Key) 提供唯一的 Endorsement Key (EK) 提供唯一的 Storage Root Key (SRK) 進行數位簽章功能 保持平台的量測確認 (hashes) 保護自身避免被攻擊 TPM 1.2 spec: www.trustedcomputinggroup.org

BitLocker™ Drive 加密架構 Static Root of Trust Measurement of boot components

磁碟內容結果與金鑰的儲存 Where’s the Encryption Key? SRK (Storage Root Key) contained in TPM SRK encrypts FVEK (Full Volume Encryption Key) protected by TPM/PIN/USB Storage Device FVEK stored (encrypted by SRK) on hard drive in the OS Volume OS Volume Contains Encrypted OS Encrypted Page File Encrypted Temp Files Encrypted Data Encrypted Hibernation File 3 OS Volume FVEK SRK 2 1 System System Volume Contains: MBR, Boot manager, Boot Utilities (Unencrypted, small)

Ease of Deployment / Maintenance 加密與使用等級 Ease of Deployment / Maintenance 您可以使用不同的組合 來提供不同等級的 安全性與使用方便性 TPM Only “What it is” Protects Against: Most SW attacks User Must: N/A No user impact TPM + PIN “What it is + what you know” Protects Against: Many HW attacks User Must: Enter PIN to boot TPM + USB “What it is + what you have” Protects Against: HW attacks User Must: Protect USB key USB Only “What you have” Protects Against: HW attacks User Must: Protect USB key

BitLocker™ Drive Encryption

BitLocker™ 還原的情境 遺失或忘記驗證的方法 核心檔案更新 硬體設備毀損 蓄意攻擊 USB key遺失, 使用者忘記 PIN 不預期更新了 pre-OS 檔案 (BIOS upgrade, etc…) 硬體設備毀損 硬碟換到另一台新的系統 蓄意攻擊 Modified or missing pre-OS files (Hacked BIOS, MBR, etc…)

BitLocker™ 還原的方法 加入網域電腦的建議還原方法 未加入網域電腦的建議還原方法 設定 Group Policy 來儲存金鑰到 AD 提供金鑰的集中儲存與管理 未加入網域電腦的建議還原方法 備份到 USB 隨身碟設備 備份到檔案 列印或記錄下來

建立 BitLocker™ 系統的需求 Hard Disk USB BitLocker™ 需要至少兩個分割區 System partition (“Active”, NTFS, minimum 1.5GB) OS must be installed on separate partition OS and other partition(s) can be of any size USB System boot from USB 1.x and 2.x USB USB read/write in pre-OS environment FAT16, FAT32, or NTFS file system

整合安全控制 卸除式儲存設備的安裝與讀寫 用戶端安全掃瞄代理員 重新開機管理員 安全中心

USB隨身碟的管理

總結 威脅與弱點 減輕 身份識別 與 存取控制 基礎架構 IE 保護模式與網站過濾 Windows Defender 雙向過濾的防火牆 IPSec 改善 網路存取保護 使用者帳戶控制 隨插即用的 Smartcards 簡化登入架構 Bitlocker RMS 用戶端支援 基礎架構 安全開發生命週期 服務安全加強 程式碼檢視 預設安全組態 程式碼完整性提升

For More Information… IE Website TechNet Windows Vista www.microsoft.com/taiwan/technet Windows Vista www.microsoft.com/taiwan/windowsvista Windows Vista: Resources for IT Professional www.microsoft.com/technet/windowsvista/default.mspx IE Website http://www.microsoft.com/windows/ie/ MVP Community社群網站 www.microsoft.com/taiwan/community