TechNet Security Roadshow 2002

Desktop SecurityDesktop Security

Dr. Tobias WeltnerDr. Tobias Weltner

Senior Developer ConsultantSenior Developer Consultant

Werte

Verletzbarkeit

Bedrohung

Beute

Sicherungs-Techniken

Bewacht!Beute ggrr!

AgendaAgenda

Nobody believes anything bad can Nobody believes anything bad can happen to them, until it does happen to them, until it does Was sind reale Angriffsszenarien?Was sind reale Angriffsszenarien?

Security only works if the secure way Security only works if the secure way also happens to be the easy way also happens to be the easy way Wie verhindert Windows XP solche Wie verhindert Windows XP solche

Angriffe, ohne die Arbeit zu behindern?Angriffe, ohne die Arbeit zu behindern?

Security isn't about risk avoidance; it's Security isn't about risk avoidance; it's about risk managementabout risk management Wie lassen sich Konfigurationsfehler Wie lassen sich Konfigurationsfehler

finden und beheben?finden und beheben?

Sicheres FundamentSicheres Fundament

NTFS-BasisabsicherungNTFS-Basisabsicherung Einschließlich StammlaufwerkEinschließlich Stammlaufwerk Besonderer Schutz für lokale ProfileBesonderer Schutz für lokale Profile

Einfache DateifreigabeEinfache Dateifreigabe Lokale Konten werden zu „Gast“Lokale Konten werden zu „Gast“ NTFS-Berechtigungen für Freigaben werden NTFS-Berechtigungen für Freigaben werden

transparent verwaltettransparent verwaltet Drucker- und Dateifreigabe zunächst abgeschaltetDrucker- und Dateifreigabe zunächst abgeschaltet

Zusätzliche GruppenrichtlinienZusätzliche Gruppenrichtlinien Verwendung ungeschützter Konten verhindernVerwendung ungeschützter Konten verhindern Eingebaute Konten abschaltenEingebaute Konten abschalten Nullsession-Informationen reduzierenNullsession-Informationen reduzieren

DemoDemo

AngriffeAngriffe

SicherheitsvorlagenSicherheitsvorlagen

Gast-AnmeldungGast-Anmeldung

Dokumente schützenDokumente schützen

KennwortschutzKennwortschutz Verschlüsselung und Read-OnlyVerschlüsselung und Read-Only Verschiedene VerschlüsselungsstärkenVerschiedene Verschlüsselungsstärken Zusätzlich zu Betriebssystem-Zusätzlich zu Betriebssystem-

Mechanismen wie IPSec/EFSMechanismen wie IPSec/EFS Dokumentengebunden (Email-Versand)Dokumentengebunden (Email-Versand)

Digitale SignaturenDigitale Signaturen Bestätigen HerkunftBestätigen Herkunft Sichern DatenintegritätSichern Datenintegrität Unterscheiden zwischen gewollten und Unterscheiden zwischen gewollten und

ungewollten eingebetteten Makrosungewollten eingebetteten Makros

DemoDemo

NetzwerksnifferNetzwerksniffer

VerschlüsselungVerschlüsselung

SignaturSignatur

Sicherer Umgang mit EmailSicherer Umgang mit Email

Level1/2-Anhänge sperrenLevel1/2-Anhänge sperren Nachträglich konfigurierbarNachträglich konfigurierbar

Schutz des AutomationsmodellsSchutz des Automationsmodells In Exchange-Umgebung veränderbarIn Exchange-Umgebung veränderbar

Signaturen und VerschlüsselungSignaturen und Verschlüsselung Per Default stärkste SicherheitPer Default stärkste Sicherheit

„„Out-of-the-Box“ Schutz gegen übliche Out-of-the-Box“ Schutz gegen übliche AngriffsformenAngriffsformen

Konfigurierbar durch AdministratorenKonfigurierbar durch Administratoren

Sicherer Umgang mit EmailSicherer Umgang mit Email

DemoDemo

Email-Anhänge sichernEmail-Anhänge sichern

Automation kontrollierenAutomation kontrollieren

SoftwareeinschränkungSoftwareeinschränkung

Teil der GPOs, ab Windows XPTeil der GPOs, ab Windows XP Vier Regeln, vielfältige Möglichkeiten:Vier Regeln, vielfältige Möglichkeiten:

PfadregelPfadregel HashregelHashregel ZertifikatregelZertifikatregel ZonenregelZonenregel

Basisschutz, aber Risiken beachten:Basisschutz, aber Risiken beachten: AuthenticodeEnabled bei ZertifikatregelAuthenticodeEnabled bei Zertifikatregel Binäränderungen bei HashregelBinäränderungen bei Hashregel

DemoDemo

SoftwareeinschränkungSoftwareeinschränkung

Pfad-, Hash- und Pfad-, Hash- und ZertifikatregelnZertifikatregeln

Internet-VerbindungsfirewallInternet-Verbindungsfirewall

Stateful FirewallStateful Firewall Session TableSession Table

Keine Benutzerinteraktion, vollkommen Keine Benutzerinteraktion, vollkommen transparenttransparent

Für alle selbstinitiierten VerbindungenFür alle selbstinitiierten Verbindungen Einwahl/ModemEinwahl/Modem ADSLADSL Wireless LAN, etc.Wireless LAN, etc.

Kein Schutz vor Trojanern?Kein Schutz vor Trojanern? Stimmt, ist aber auch nicht Stimmt, ist aber auch nicht

das Ziel der IFV das Ziel der IFV

DemoDemo

Internet-Verbindungs-Internet-Verbindungs-FirewallFirewall

DatenschutzDatenschutz

Verschlüsselndes Dateisystem (EFS)Verschlüsselndes Dateisystem (EFS) Verschlüsselt auch OfflineordnerVerschlüsselt auch Offlineordner Zugriff auf weitere Personen ausdehnbarZugriff auf weitere Personen ausdehnbar Flexibler Wiederherstellungsagent mit Flexibler Wiederherstellungsagent mit

neuem CIPHER (nicht mehr zwingend)neuem CIPHER (nicht mehr zwingend) Über GPOs verwaltbarÜber GPOs verwaltbar

SYSKEYSYSKEY Schutz mobiler ComputerSchutz mobiler Computer

ZertifikatspeicherZertifikatspeicher Zusätzliche Absicherung über Zusätzliche Absicherung über

persönliches Kennwortpersönliches Kennwort

DemoDemo

VerschlüsselndesVerschlüsselndesDateisystemDateisystem

SYSKEYSYSKEY

ZertifikatspeicherZertifikatspeicher

Fehlkonfigurationen findenFehlkonfigurationen finden

MBSAMBSA Prüft die häufigsten FehlkonfigurationenPrüft die häufigsten Fehlkonfigurationen Basis-Analyse, keine WunderlösungBasis-Analyse, keine Wunderlösung

HFNetCheckHFNetCheck Netzwerkweite Hotfix-AnalyseNetzwerkweite Hotfix-Analyse

IIS Lockdown ToolIIS Lockdown Tool Webserver rollenspezifisch absichernWebserver rollenspezifisch absichern Enthält URLScanEnthält URLScan

DemoDemo

MBSAMBSA

HFNetCheckHFNetCheck

ÜbersichtÜbersichtOffice 97/Office 97/Windows 98Windows 98

Office 2000/Office 2000/Windows 2000Windows 2000

Office XP/Office XP/Windows XPWindows XP

Virus-APIVirus-API NeinNein NeinNein JaJa

Digitale SignaturenDigitale Signaturen NeinNein JaJa JaJa

Makro SicherheitMakro Sicherheit NeinNein MittelMittel HochHoch

Outlook SicherheitOutlook Sicherheit NeinNein Level 1/2 AnhängeLevel 1/2 Anhänge Zusätzlich Zusätzlich Automations-Automations-einschränkungeinschränkung

IPSecIPSec NeinNein JaJa JaJa

Verschlüsselndes Verschlüsselndes DateisystemDateisystem

NeinNein JaJa JaJa

Internet Connection Internet Connection FirewallFirewall

NeinNein NeinNein JaJa

Software-Software-einschränkungeinschränkung

NeinNein NeinNein JaJa

FazitFazit

Moderne IT ist nicht nur effizient, Moderne IT ist nicht nur effizient, sondern auch komplexsondern auch komplex

Windows XP und Office XP liefern Windows XP und Office XP liefern transparente Sicherheitslösungentransparente Sicherheitslösungen Wirksam im HintergrundWirksam im Hintergrund Zentral administrierbarZentral administrierbar Für den Endanwender weitgehend Für den Endanwender weitgehend

unsichtbarunsichtbar

Wesentlich gestärkte Sicherheit bei Wesentlich gestärkte Sicherheit bei gleichem Arbeitsablaufgleichem Arbeitsablauf

RessourcenRessourcen

Microsoft Baseline Security Analyzer und Microsoft Baseline Security Analyzer und weitere Toolsweitere Tools http://www.microsoft.com/technet/security/http://www.microsoft.com/technet/security/tools/Toolstools/Tools

Internet Connection FirewallInternet Connection Firewall http://www.microsoft.com/technet/prodtechnhttp://www.microsoft.com/technet/prodtechnol/winxppro/proddocs/hnw_understanding_firol/winxppro/proddocs/hnw_understanding_firewall.aspewall.asp

Office MakrosignaturenOffice Makrosignaturen http://www.microsoft.com/technet/columns/shttp://www.microsoft.com/technet/columns/security/5min/5min-402.aspecurity/5min/5min-402.asp

RessourcenRessourcen

Einfache DateifreigabeEinfache Dateifreigabe http://www.microsoft.com/technet/prodtechnhttp://www.microsoft.com/technet/prodtechnol/winxppro/reskit/prde_ffs_ypuh.aspol/winxppro/reskit/prde_ffs_ypuh.asp

Verschlüsselndes DateisystemVerschlüsselndes Dateisystem http://www.microsoft.com/technet/prodtechnhttp://www.microsoft.com/technet/prodtechnol/winxppro/reskit/prnb_efs_awzg.aspol/winxppro/reskit/prnb_efs_awzg.asp

SoftwareeinschränkungenSoftwareeinschränkungen http://www.microsoft.com/technet/prodtechnhttp://www.microsoft.com/technet/prodtechnol/winxppro/proddocs/SRP_overview.aspol/winxppro/proddocs/SRP_overview.asp

RessourcenRessourcen

Codesigning-WerkzeugeCodesigning-Werkzeugehttp://msdn.microsoft.com/downloads/http://msdn.microsoft.com/downloads/sample.asp?url=/msdn-files/027/000/219/sample.asp?url=/msdn-files/027/000/219/msdncompositedoc.xmlmsdncompositedoc.xml

Outlook Admin-Pack (deutsch)Outlook Admin-Pack (deutsch)http://download.microsoft.com/download/outhttp://download.microsoft.com/download/outlook2002/utility/5.0.2919.6307.de/look2002/utility/5.0.2919.6307.de/w982kmexp/en-us/geradmpack.exew982kmexp/en-us/geradmpack.exe

TechNet Security Roadshow 2002