technet security roadshow 2002. desktop security dr. tobias weltner senior developer consultant
TRANSCRIPT
TechNet Security Roadshow 2002
Desktop SecurityDesktop Security
Dr. Tobias WeltnerDr. Tobias Weltner
Senior Developer ConsultantSenior Developer Consultant
Werte
Verletzbarkeit
Bedrohung
Beute
Sicherungs-Techniken
Bewacht!Beute ggrr!
AgendaAgenda
Nobody believes anything bad can Nobody believes anything bad can happen to them, until it does happen to them, until it does Was sind reale Angriffsszenarien?Was sind reale Angriffsszenarien?
Security only works if the secure way Security only works if the secure way also happens to be the easy way also happens to be the easy way Wie verhindert Windows XP solche Wie verhindert Windows XP solche
Angriffe, ohne die Arbeit zu behindern?Angriffe, ohne die Arbeit zu behindern?
Security isn't about risk avoidance; it's Security isn't about risk avoidance; it's about risk managementabout risk management Wie lassen sich Konfigurationsfehler Wie lassen sich Konfigurationsfehler
finden und beheben?finden und beheben?
Sicheres FundamentSicheres Fundament
NTFS-BasisabsicherungNTFS-Basisabsicherung Einschließlich StammlaufwerkEinschließlich Stammlaufwerk Besonderer Schutz für lokale ProfileBesonderer Schutz für lokale Profile
Einfache DateifreigabeEinfache Dateifreigabe Lokale Konten werden zu „Gast“Lokale Konten werden zu „Gast“ NTFS-Berechtigungen für Freigaben werden NTFS-Berechtigungen für Freigaben werden
transparent verwaltettransparent verwaltet Drucker- und Dateifreigabe zunächst abgeschaltetDrucker- und Dateifreigabe zunächst abgeschaltet
Zusätzliche GruppenrichtlinienZusätzliche Gruppenrichtlinien Verwendung ungeschützter Konten verhindernVerwendung ungeschützter Konten verhindern Eingebaute Konten abschaltenEingebaute Konten abschalten Nullsession-Informationen reduzierenNullsession-Informationen reduzieren
DemoDemo
AngriffeAngriffe
SicherheitsvorlagenSicherheitsvorlagen
Gast-AnmeldungGast-Anmeldung
Dokumente schützenDokumente schützen
KennwortschutzKennwortschutz Verschlüsselung und Read-OnlyVerschlüsselung und Read-Only Verschiedene VerschlüsselungsstärkenVerschiedene Verschlüsselungsstärken Zusätzlich zu Betriebssystem-Zusätzlich zu Betriebssystem-
Mechanismen wie IPSec/EFSMechanismen wie IPSec/EFS Dokumentengebunden (Email-Versand)Dokumentengebunden (Email-Versand)
Digitale SignaturenDigitale Signaturen Bestätigen HerkunftBestätigen Herkunft Sichern DatenintegritätSichern Datenintegrität Unterscheiden zwischen gewollten und Unterscheiden zwischen gewollten und
ungewollten eingebetteten Makrosungewollten eingebetteten Makros
DemoDemo
NetzwerksnifferNetzwerksniffer
VerschlüsselungVerschlüsselung
SignaturSignatur
Sicherer Umgang mit EmailSicherer Umgang mit Email
Level1/2-Anhänge sperrenLevel1/2-Anhänge sperren Nachträglich konfigurierbarNachträglich konfigurierbar
Schutz des AutomationsmodellsSchutz des Automationsmodells In Exchange-Umgebung veränderbarIn Exchange-Umgebung veränderbar
Signaturen und VerschlüsselungSignaturen und Verschlüsselung Per Default stärkste SicherheitPer Default stärkste Sicherheit
„„Out-of-the-Box“ Schutz gegen übliche Out-of-the-Box“ Schutz gegen übliche AngriffsformenAngriffsformen
Konfigurierbar durch AdministratorenKonfigurierbar durch Administratoren
Sicherer Umgang mit EmailSicherer Umgang mit Email
DemoDemo
Email-Anhänge sichernEmail-Anhänge sichern
Automation kontrollierenAutomation kontrollieren
SoftwareeinschränkungSoftwareeinschränkung
Teil der GPOs, ab Windows XPTeil der GPOs, ab Windows XP Vier Regeln, vielfältige Möglichkeiten:Vier Regeln, vielfältige Möglichkeiten:
PfadregelPfadregel HashregelHashregel ZertifikatregelZertifikatregel ZonenregelZonenregel
Basisschutz, aber Risiken beachten:Basisschutz, aber Risiken beachten: AuthenticodeEnabled bei ZertifikatregelAuthenticodeEnabled bei Zertifikatregel Binäränderungen bei HashregelBinäränderungen bei Hashregel
DemoDemo
SoftwareeinschränkungSoftwareeinschränkung
Pfad-, Hash- und Pfad-, Hash- und ZertifikatregelnZertifikatregeln
Internet-VerbindungsfirewallInternet-Verbindungsfirewall
Stateful FirewallStateful Firewall Session TableSession Table
Keine Benutzerinteraktion, vollkommen Keine Benutzerinteraktion, vollkommen transparenttransparent
Für alle selbstinitiierten VerbindungenFür alle selbstinitiierten Verbindungen Einwahl/ModemEinwahl/Modem ADSLADSL Wireless LAN, etc.Wireless LAN, etc.
Kein Schutz vor Trojanern?Kein Schutz vor Trojanern? Stimmt, ist aber auch nicht Stimmt, ist aber auch nicht
das Ziel der IFV das Ziel der IFV
DemoDemo
Internet-Verbindungs-Internet-Verbindungs-FirewallFirewall
DatenschutzDatenschutz
Verschlüsselndes Dateisystem (EFS)Verschlüsselndes Dateisystem (EFS) Verschlüsselt auch OfflineordnerVerschlüsselt auch Offlineordner Zugriff auf weitere Personen ausdehnbarZugriff auf weitere Personen ausdehnbar Flexibler Wiederherstellungsagent mit Flexibler Wiederherstellungsagent mit
neuem CIPHER (nicht mehr zwingend)neuem CIPHER (nicht mehr zwingend) Über GPOs verwaltbarÜber GPOs verwaltbar
SYSKEYSYSKEY Schutz mobiler ComputerSchutz mobiler Computer
ZertifikatspeicherZertifikatspeicher Zusätzliche Absicherung über Zusätzliche Absicherung über
persönliches Kennwortpersönliches Kennwort
DemoDemo
VerschlüsselndesVerschlüsselndesDateisystemDateisystem
SYSKEYSYSKEY
ZertifikatspeicherZertifikatspeicher
Fehlkonfigurationen findenFehlkonfigurationen finden
MBSAMBSA Prüft die häufigsten FehlkonfigurationenPrüft die häufigsten Fehlkonfigurationen Basis-Analyse, keine WunderlösungBasis-Analyse, keine Wunderlösung
HFNetCheckHFNetCheck Netzwerkweite Hotfix-AnalyseNetzwerkweite Hotfix-Analyse
IIS Lockdown ToolIIS Lockdown Tool Webserver rollenspezifisch absichernWebserver rollenspezifisch absichern Enthält URLScanEnthält URLScan
DemoDemo
MBSAMBSA
HFNetCheckHFNetCheck
ÜbersichtÜbersichtOffice 97/Office 97/Windows 98Windows 98
Office 2000/Office 2000/Windows 2000Windows 2000
Office XP/Office XP/Windows XPWindows XP
Virus-APIVirus-API NeinNein NeinNein JaJa
Digitale SignaturenDigitale Signaturen NeinNein JaJa JaJa
Makro SicherheitMakro Sicherheit NeinNein MittelMittel HochHoch
Outlook SicherheitOutlook Sicherheit NeinNein Level 1/2 AnhängeLevel 1/2 Anhänge Zusätzlich Zusätzlich Automations-Automations-einschränkungeinschränkung
IPSecIPSec NeinNein JaJa JaJa
Verschlüsselndes Verschlüsselndes DateisystemDateisystem
NeinNein JaJa JaJa
Internet Connection Internet Connection FirewallFirewall
NeinNein NeinNein JaJa
Software-Software-einschränkungeinschränkung
NeinNein NeinNein JaJa
FazitFazit
Moderne IT ist nicht nur effizient, Moderne IT ist nicht nur effizient, sondern auch komplexsondern auch komplex
Windows XP und Office XP liefern Windows XP und Office XP liefern transparente Sicherheitslösungentransparente Sicherheitslösungen Wirksam im HintergrundWirksam im Hintergrund Zentral administrierbarZentral administrierbar Für den Endanwender weitgehend Für den Endanwender weitgehend
unsichtbarunsichtbar
Wesentlich gestärkte Sicherheit bei Wesentlich gestärkte Sicherheit bei gleichem Arbeitsablaufgleichem Arbeitsablauf
RessourcenRessourcen
Microsoft Baseline Security Analyzer und Microsoft Baseline Security Analyzer und weitere Toolsweitere Tools http://www.microsoft.com/technet/security/http://www.microsoft.com/technet/security/tools/Toolstools/Tools
Internet Connection FirewallInternet Connection Firewall http://www.microsoft.com/technet/prodtechnhttp://www.microsoft.com/technet/prodtechnol/winxppro/proddocs/hnw_understanding_firol/winxppro/proddocs/hnw_understanding_firewall.aspewall.asp
Office MakrosignaturenOffice Makrosignaturen http://www.microsoft.com/technet/columns/shttp://www.microsoft.com/technet/columns/security/5min/5min-402.aspecurity/5min/5min-402.asp
RessourcenRessourcen
Einfache DateifreigabeEinfache Dateifreigabe http://www.microsoft.com/technet/prodtechnhttp://www.microsoft.com/technet/prodtechnol/winxppro/reskit/prde_ffs_ypuh.aspol/winxppro/reskit/prde_ffs_ypuh.asp
Verschlüsselndes DateisystemVerschlüsselndes Dateisystem http://www.microsoft.com/technet/prodtechnhttp://www.microsoft.com/technet/prodtechnol/winxppro/reskit/prnb_efs_awzg.aspol/winxppro/reskit/prnb_efs_awzg.asp
SoftwareeinschränkungenSoftwareeinschränkungen http://www.microsoft.com/technet/prodtechnhttp://www.microsoft.com/technet/prodtechnol/winxppro/proddocs/SRP_overview.aspol/winxppro/proddocs/SRP_overview.asp
RessourcenRessourcen
Codesigning-WerkzeugeCodesigning-Werkzeugehttp://msdn.microsoft.com/downloads/http://msdn.microsoft.com/downloads/sample.asp?url=/msdn-files/027/000/219/sample.asp?url=/msdn-files/027/000/219/msdncompositedoc.xmlmsdncompositedoc.xml
Outlook Admin-Pack (deutsch)Outlook Admin-Pack (deutsch)http://download.microsoft.com/download/outhttp://download.microsoft.com/download/outlook2002/utility/5.0.2919.6307.de/look2002/utility/5.0.2919.6307.de/w982kmexp/en-us/geradmpack.exew982kmexp/en-us/geradmpack.exe
TechNet Security Roadshow 2002