Windows Vista (Longhorn) 操作系统新的安全特性

Slides:



Advertisements
Similar presentations
应用技术 陕西华辉科技有限公司.
Advertisements

泛舆情管理平台 ——助力媒体业务创新 新模式 新格局 创新盈利增长点 2/26/2017 1:59 AM 屈伟: 创始人,总裁
中国银行业前置端操作系统移植研究.
3/3/ :01 PM © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered.
NAP – 高可靠性,高安全性兼备的新一代网络安全接入解决方案
吴峻 软件设计工程师组长 Exchange Server 微软有限公司
王书贵 资深分析师 CCW Research 计世资讯
深市协助执法及证券查询业务介绍 客户服务部 China Securities Depository
顏協邦 慧盟資訊 商業智慧導入服務部 資深經理
Database Architecture, not only DBA
抱怨處理技巧 高雄捷運公司 公共事務處 胡宜萍 安全 ‧ 便捷 ‧舒適 ‧ 可靠
请点击以下链接下载WinHEC的演讲材料
1. 设定愿景,确定业务场景 Microsoft Corporation
金融信息安全人才培养的思考与实践 中央财经大学 朱建明 2012年11月24日.
張書源 Microsoft MVP MCT 趨勢科技 技術經理 網酷科技 資深顧問 集英信誠 資深顧問
——打造科技金融升级版 中国建设银行顺德分行 2015年6月.
2017年9月14日12时3分 DEV349 Visual C 无缝集成,无限潜力 李建忠 微软特约讲师 上海祝成科技
四川省集体林权流转平台 中国西部林权交易网
IIS網站的安全性管理 羅英嘉 2007年4月.
Windows Vista 操作系统最新安全特性
BizTalk Server 2004.
資料檔案的安全性管理 羅英嘉 2007年4月.
解振宇 客户技术经理 客户售前技术部 微软中国有限公司广州办事处
轉移Windows XP的使用者環境到Windows Vista
11/17/2018 5:15 PM 病毒,间谍软件最新趋势 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes.
Mobile & Embedded DevCon 2005 朱敏博士 微软有限公司
Windows Vista Internet Explorer 7.0 Overview
Windows Mobile 轻松接轨GPS
从UNIX到Windows的 电信软件移植实践
Microsoft Office SharePoint Server 2007 事件追蹤與專案管理
SOLUTIONACCELERATORS Windows Vista Hardware Assessment 1
朝雲端專業DBA邁進: 深入剖析 Windows Azure SQL Database 完整資料庫管理、雲端報表建立、建置分散式雲端資料庫
利用最新Hyper-V Replica 功能達成Hyper-V 災難備援機制
Windows Server 2008 NAP整合802.1x網路安全控管
BizTalk Server 2004.
互聯網安全資訊 助您達至更安全的網上體驗.
MSG 330 Exchange服务器性能调节技巧
服務啟用、導入流程、 郵件移轉步驟簡介 Microsoft Office 12/2/2018
OFC351 利用Office System开发复杂的商务解决方案 架构、模式、场景
TechNet 網路廣播 Welcome.
凌宁 系统工程师 亚洲区嵌入式系统事业群 微软(中国)有限公司
教师课堂教学能力提升培训 ---“互联网+教育”考勤小测验 Plickers 洛阳理工学院
Microsoft SQL Server 2008 報表服務_設計
Unit 11.Operating System 11.1 What’s OS 11.2 Related Courses


OFC321 InfoPath在企业解决方案中应用的最佳实践
SQL Server Mobile 2005 程序开发(三)
橫跨電腦、手機與軟體的全方位端點管控解決方案
请点击以下链接下载WinHEC的演讲材料
呂政周 精誠恆逸教育訓練處 資深講師 Windows PowerShell 呂政周 精誠恆逸教育訓練處 資深講師
使用WPF创建Windows应用和Web应用
4/30/2019 7:40 AM 約翰福音 15:9;17:20-23 加拉太書 6:1-2 © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product.
模式与实践:Windows Mobile 5.0应用程序架构
DEV 343 VS2005超快速开发方案/EEP2006控件包.
5/4/2019 4:42 PM © 2009 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered.
微軟資安稽核解決方案 System Center 2012
耿志刚 应用整合产品技术专家 专业解决方案部 微软中国
TechEd /6/ :36 PM © 2013 Microsoft Corporation. All rights reserved. Microsoft, Windows, and other product names are or may be registered trademarks.
Windows 徽标计划工具:综述与发展趋势
5/5/2019 7:06 PM 两跨框架梁截面配筋图的绘制 © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may.
SQL Server Mobile 2005 程序开发(二)
MBL302 设计Windows Mobile应用程序的用户界面
DEV 343 VS2005超快速开发方案/EEP2006控件包.
蔺华 ISV开发合作经理 平台及开发技术部 微软(中国)有限公司
MGT 213 System Management Server的昨天,今天和明天
MSG 361 如何从Exchange 5.5迁移 胡义 咨询顾问 上海星移软件有限公司 2019年7月31日8时9分
強化 Windows 平台 唐任威 資深講師.
高擴充高穩定高安全 企業級資料管理平台 Report Builder概論 錢曉明 資策會 資深講師 台灣微軟 資深講師.
Windows Workflow Foundation CON 230
Presentation transcript:

Windows Vista (Longhorn) 操作系统新的安全特性 4/8/2019 2:14 PM Windows Vista (Longhorn) 操作系统新的安全特性 褚诚云 软件开发组长 微软Windows 安全部门 chchu@microsoft.com © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

提纲 安全启动 代码完整性 设备驱动程序 系统服务保护(Service Hardening) 4/8/2019 2:14 PM 提纲 安全启动 代码完整性 设备驱动程序 系统服务保护(Service Hardening) 用户帐号保护 (User Account Protection) IE浏览器 系统资源保护(Windows Resource Protection) 防火墙 网络权限保护(Network Access Protection) 总结,与XP相比 局限 问/答 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

4/8/2019 2:14 PM 安全启动:背景 CNN, 2005/1/24:据估计,2004上半年,11300笔记本电脑,31400掌上电脑,和20000手机丢失,三倍于2001年同期数目 密码恢复程序可针对XP的数据安全保护机制进行系统离线攻击 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

安全启动:目的 即使物理设备丢失,仍能提供对Windows客户端的安全保证 4/8/2019 2:14 PM 安全启动:目的 即使物理设备丢失,仍能提供对Windows客户端的安全保证 特别针对他人以其他OS启动试图非法获取对Windows系统文件的权限 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

安全启动 基于Trusted Platform Module( TPM ) http://www.microsoft.com/whdc/system/platform/pcdesign/TPM_secure.mspx 硬盘全加密(Full Volume Encryption: FVM) 用户登陆后,对文件系统的访问如常 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

FVM 硬盘布局 加密的 OS卷,包括: OS, 页面文件 临时文件 数据 休眠( hibernation)文件 MBR 系统分区包括基本 4/8/2019 2:14 PM FVM 硬盘布局 加密的 OS卷,包括: OS, 页面文件 临时文件 数据 休眠( hibernation)文件 MBR 系统分区包括基本 引导代码 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

4/8/2019 2:14 PM 安全启动架构 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

安全启动:恢复 笔记本突然坏了,怎么办? 恢复密钥 4/8/2019 2:14 PM EFS comparison. For instance, you can't encrypt the volume that contains the operating system. That renders EFS useless for workstations that only have a single volume. As another example, if you lose the encryption key, your data could be gone forever. Longhorn will allow you to export your EFS keys to a smart card © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

代码完整性(Code Integrity) 4/8/2019 2:14 PM 代码完整性(Code Integrity) 背景:系统文件可以被恶意篡改。 系统文件均有数字认证 系统文件被装载内存的时候,会验证其文件的完整性 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

设备驱动程序 背景:有缺陷或恶意的驱动程序导致系统崩溃,不稳定,和安全问题 X64平台上, 提供用户模式的驱动程序框架 4/8/2019 2:14 PM 设备驱动程序 背景:有缺陷或恶意的驱动程序导致系统崩溃,不稳定,和安全问题 X64平台上, 所有的设备驱动程序都必须有数字认证 不允许修改系统的核心状态(Kernel State) 提供用户模式的驱动程序框架 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

系统服务保护:Service Hardening 4/8/2019 2:14 PM 系统服务保护:Service Hardening 背景:系统服务程序(System Service)被攻击次数日益增多 无需用户交互,即可自动运行 运行于“System”账号下 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

系统服务保护 服务程序运行在最低权限 服务程序有相应的配置文件,用以指定该服务可以执行的文件,注册表和网络行为 文件系统 注册表 网络 4/8/2019 2:14 PM 系统服务保护 服务程序运行在最低权限 服务程序有相应的配置文件,用以指定该服务可以执行的文件,注册表和网络行为 文件系统 注册表 网络 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

用户帐号保护 UAP 以前称为LUA - Least-privileged User Account 4/8/2019 2:14 PM 用户帐号保护 UAP 以前称为LUA - Least-privileged User Account WC1262:Windows Vista 安全特性深入分析-用户帐号保护 (UAP/LUA) © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

用户帐号保护:背景 大部分用户以Admin权限登录 许多应用程序需要Admin权限运行 许多操作系统配置的修改需要Admin权限 4/8/2019 2:14 PM 用户帐号保护:背景 大部分用户以Admin权限登录 许多应用程序需要Admin权限运行 许多操作系统配置的修改需要Admin权限 计算机病毒,和间谍软件? © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

用户帐号保护:综述 用户登陆后的缺省权限是非Admin身份 必须通过相应的UI才能将权限升为Admin 4/8/2019 2:14 PM © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

UAP兼容性 应用程序和系统管理工具可在Windows Vista的Beta版本上测试 4/8/2019 2:14 PM UAP兼容性 应用程序和系统管理工具可在Windows Vista的Beta版本上测试 Visual Studio工具:AppVerifier Here's an example of the control flow of running an application under UAP: When a user tries to start an application, the Windows shell uses ShellExecute to call CreateProcess. CreateProcess determines whether the application requires elevated privilege by querying the application manifest, the Windows Vista AppCompat database, and the system installer detection technology in that order. If the application does not require elevated privilege the process is created through NtCreateProcess. If the application requires elevated privilege, CreateProcess, through a call to NtCreateProcess, returns a specified error to ShellExecute. On receipt of the error ShellExecute calls across to the Application Information Service (AIS) to attempt the elevated launch. AIS then prompts the user for consent through the Consent User Interface. ShellExecute then reissues CreateProcess for the user with the user full token to launch the application on the client's (UAP) desktop. NtCreateProcess launches the application with the specified full token. NtCreateProcess prompts user for consent through the Consent User Interface. NtCreateProcess reissues CreateProcess for the user with the user full token to launch the application on the client's (UAP) desktop. © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

IE浏览器 IE 7 WCI311:最新版本IE 7: 先睹为快(上) WCI312:最新版本IE 7: 先睹为快(下) 4/8/2019 2:14 PM IE浏览器 IE 7 WCI311:最新版本IE 7: 先睹为快(上) WCI312:最新版本IE 7: 先睹为快(下) © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

IE浏览器:背景 IE的安全漏洞是病毒和间谍软件传播的主要途径之一 针对普通用户的Phishing攻击 4/8/2019 2:14 PM © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

IE浏览器:目的 IE运行于低权限模式下。以更安全访问互联网,减少安全漏洞的影响范围 对Phishing攻击向用户提出警告 4/8/2019 2:14 PM IE浏览器:目的 IE运行于低权限模式下。以更安全访问互联网,减少安全漏洞的影响范围 对Phishing攻击向用户提出警告 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

IE:低权限模式 权限低于普通用户程序 敏感操作由代理进程(broker process)执行 只能对文件系统的特定部分执行写操作 4/8/2019 2:14 PM IE:低权限模式 权限低于普通用户程序 只能对文件系统的特定部分执行写操作 不能对高权限的其它进程操作 敏感操作由代理进程(broker process)执行 修改Internet设置 安装ActiveX控件 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

IE:低权限模式架构 IE 代理进程 IE 低权限模式 安装驱动程序 管理员权限 修改配置 普通用户权限 缓存浏览页面 临时文件目录 4/8/2019 2:14 PM IE:低权限模式架构 IE 代理进程 安装驱动程序 IE 低权限模式 管理员权限 修改配置 普通用户权限 缓存浏览页面 临时文件目录 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Phishing 复制一个官方网站的主页,诱使用户输入个人的机密信息,如银行账号,密码等等。 4/8/2019 2:14 PM © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

实例 4/8/2019 2:14 PM © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

防止Phishing攻击 保护URL显示 Phishing网页过滤器( Filter ) 4/8/2019 2:14 PM © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

系统资源保护(Windows Resource Protection) 4/8/2019 2:14 PM 系统资源保护(Windows Resource Protection) 保护重要的系统资源 替代SFP:System File Protection 只有系统信赖的专门安装程序才可以修改WRP保护的资源 操作系统的补丁 安装补丁必须有微软的数字认证 A system service will run as LocalSystem and be the only service that has modify access to the TI SID protected resources System Integrity checking & repair is based off CMI store © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

防火墙 控制应用程序的对外网络连接(application-aware outbound filtering) 与系统服务保护集成 4/8/2019 2:14 PM 防火墙 控制应用程序的对外网络连接(application-aware outbound filtering) P2P软件 与系统服务保护集成 设置可由系统管理员通过Group Policy管理 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

网络权限保护(Network access protection) 4/8/2019 2:14 PM 网络权限保护(Network access protection) 背景 一台笔记本电脑被病毒感染 当该笔记本接入到公司内部网络时,病毒可以通过此电脑感染整个内部网络 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

网络权限保护:综述 任何电脑必须通过系统健康检查后才能接入公司内部网络 确保机器时刻保持健康状态 4/8/2019 2:14 PM 网络权限保护:综述 任何电脑必须通过系统健康检查后才能接入公司内部网络 确保机器时刻保持健康状态 未通过系统健康检查的机器会被隔离到一个受控网络 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

网络权限保护 NAP客户端程序包括在Windows Vista中 NAP服务端程序包括在Longhorn Server中 4/8/2019 2:14 PM 网络权限保护 NAP客户端程序包括在Windows Vista中 NAP服务端程序包括在Longhorn Server中 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

总结 安全维护 安全通讯 安全运行 安全启动 系统资源保护 代码完整性 网络权限保护 防火墙 用户帐号保护 设备驱动程序 硬件支持的安全启动 4/8/2019 2:14 PM 总结 安全维护 系统资源保护 代码完整性 安全通讯 网络权限保护 防火墙 安全运行 用户帐号保护 设备驱动程序 系统服务保护 IE 安全启动 硬件支持的安全启动 磁盘全加密 Version 1.0 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Windows XP User Admin System Services Few layers Mostly privileged 4/8/2019 2:14 PM Windows XP User Kernel Admin System Services Few layers Mostly privileged Limited guards between layers © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

User Account Protection (LUA) Low Privilege Services 4/8/2019 2:14 PM Windows Vista User Account Protection (LUA) Service Hardening Low rights programs LUA User Low Privilege Services Admin Increase # layers Segment services Reduce size of high risk layers System Services Svc 6 Service 1 Kernel D D D D D Service 2 D Service 3 Svc 7 User mode drivers D D D © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

局限 Windows Vista的改进不能解决所有的安全问题 操作系统只是整个安全解决方案的一部分 物理设备安全 用户教育 社会工程方式攻击 4/8/2019 2:14 PM 局限 Windows Vista的改进不能解决所有的安全问题 操作系统只是整个安全解决方案的一部分 物理设备安全 用户教育 社会工程方式攻击 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

4/8/2019 2:14 PM 资源 Windows Vista Security: http://www.microsoft.com/windowsvista/basics/security.mspx Device Driver http://www.microsoft.com/whdc/winhec/default.mspx IE 7 http://www.microsoft.com/windows/IE/ie7/default.mspx 信息安全Blog http://blogs.itecn.net/blogs/chengyun_chu © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

4/8/2019 2:14 PM 欢迎大家的反馈! © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.