Slide1: Windows Vista/LongHorn Güvenlik Yol Haritası Pınar Yılmaz Infrastructure Technology Specialist Microsoft Türkiye pinary@microsoft.com


Windows Vista/Longhorn Geliştirme İşlemi: Windows Vista/Longhorn Geliştirme İşlemi Windows Vista/Longhorn geliştirilirken Güvenlik Geliştirme Yaşam Döngüsü yöntemi kullanıldı Periyodik zorunlu eğitimler Tüm bileşenlere güvenlik danışmanlarının atanması Tasarım aşamasında güvenlik tehdidi modellemesi Güvenlik incelemesi ve testleri Ürün grupları için güvenlik ölçümleri


Slide3: Kullanıcı Hesabı Koruması Tak ve Çalıştır Akıllı Kartlar Güvenlik Grup İlkeleriyle USB Ayarları BitLocker™ Sürücü Şifreleme RMS İstemci Güvenlik Geliştirme Yaşam Döngüsü Tehdit Modelleme ve Kod İnceleme Windows Servislerini Güçlendirme Internet Explorer Korumalı Mod Windows Defender Ağ Erişimi Koruması (NAP) Temeller Kimlik ve Erişim Denetimi Tehdit ve Açıkların Azaltılması Bilgi Koruması


Windows Servis GüçlendirmesiDerinlemesine savunma: Windows Servis Güçlendirmesi Derinlemesine savunma Yüksek risk katmanlarının azaltılması Admin Servisler D D D User Kernel D Çekirdek Sürücüleri Servis 1 Servis 2 Servis 3 Servis … Servis … Restricted services Düşük haklı uygulamalar D D D Servislerin bölümlere ayrılması Katman sayısının artırılması Servis A Servis B D Kuallanıcı Modu Sürücüleri


Windows Servis GüçlendirmesiDerinlemesine Savunma: Servis Güçlendirmesi Windows Servis Güçlendirmesi Derinlemesine Savunma Servisler daha düşük haklarla çalıştırılıyor Windows servisleri ağ üzerinde, dosya sisteminde ve kayıt defterinde izin verilen yerlere erişebilir sadece, servis profilinde olmayan yerlere erişemez ACL’ler (Erişim Denetim Listesi) tarafından tanınan SID’ler (servis başına güvenlik tanımlayıcısı) sayesinde servisler kendi haklarını koruyabiliyorlar Etkin koruma Dosya sistemi Kayıt Defteri Ağ


Windows Defender: Windows Defender İstenmeyen yazılımların gerçek zamanlı olarak algılanması ve kaldırılması Basit ve kolay kullanıcı arabirimi Tüm kullanıcılar için koruma


Internet Explorer: Internet Explorer Korumalı Mod: Internet Explorer’ın sadece Internet taraması yapmasına izin verir, yazılım yüklemek gibi işlemler yapmasına izin vermez 'Salt Okunur' modda çalışır, sadece Temporary Internet Files dizininin altına yazmasına izin verir Phishing Filtresi: veri kaynağı için global veri kaynağı ağını kullanır birkaç saatte bir güncelleştirilir. Web sayfalarını kullanıcı verisini çalmaya çalışan bilinen özelliklere göre analiz eder


ActiveX Opt-in ve Korumalı ModSistemleri kötü amaçlı yazılımların saldırısından korumak: ActiveX Opt-in ve Korumalı Mod Sistemleri kötü amaçlı yazılımların saldırısından korumak ActiveX Opt-in kullanıcıların denetimi ele geçirmelerini sağlar Saldırı alanını azaltır Daha önceden kullanılmamış ActiveX Kontrollerini devre dışı bırakır Korumalı Mod tehtidlerin önemini azaltır Sessizce yüklenen kötü amaçlı yazılımların kurulmasını önler


Windows Güvenlik Duvarı: Windows Güvenlik Duvarı Güvenlik Duvarı ve IPSec yönetimi birleştirildi Hem içeriye hem de dışarıya doğru stateful IPv4 ve IPv6 filtreleme yapılabiliyor Dışarı doğru uygulama tanıyan filtreleme yeni bir özelliktir


Ağ Erişimi Koruması (NAP): Ağ Erişimi Koruması (NAP) NAP varolan VPN Karantina teknolojisinin tüm ağ istemcilerine yaygınlaştırılmış halidir Sunucu tarafında Windows 'Longhorn' Sunucusu gerektirir Gereken işletim sistemi, virüs güncelleştirmeleri, uygulamaların varlığı veya yokluğu gibi denetimlerin yapıldığı bir güvenlik politikası belirleyip, …bu güvenlik politikası istemciyle eşleşmiyorsa : Kullanıcıyı sadece bu politikalarla eşleşebilmesi için gerekli güncelleştirmelerin yüklenebileceği bir alana almak Kullanıcı güvenlik politikalarıyla eşleştiğinde ağ içerisine almak


Ağ Erişimi Koruması: Ağ Erişimi Koruması 1 Ağ Politikası Sunucusu 3 Uyumlu DHCP, VPN Switch/Router 2 Windows Vista İstemcisi 5 Uyumlu değil 4 Gelişmiş Güvenlik Tüm iletişim kimliği doğrulanmış, yetkilendirilmiş ve sağlıklı DHCP, VPN, IPsec, 802.1X ile derinlemesine güvenlik BT Uzmanlarının belirleyeceği politika tabanlı erişim Müşteri için Yararları


Kullanıcı Hesabı Koruması (UAP): Kullanıcı Hesabı Koruması (UAP) Kullanıcıların ihtiyaçları olan uygulamalar için yönetici haklarına sahip olmalarına gerek kalmaması, bunun yerine: Kullanıcıdan daha güçlü kimlik bilgisi vermesi istenebilir Kullanıcının yönetici haklarına sahip olsa bile, standart modda kullanıcı olarak çalıştırılması ve yönetici haklarını gerektiren işlemler yapmak zorunda olduklarında kullanıcıdan onay alınması Alternatif kimlik bilgisine gerek kalmadan sadece onay ile yönetici işlemlerinin gerçekleşmesi


Kimlik Bilgisi SormaKullanıcıya Yönetici Kimlik Bilgisi Soruluyor: Kimlik Bilgisi Sorma Kullanıcıya Yönetici Kimlik Bilgisi Soruluyor


Onay SorulmasıKullanıcı yönetici haklarını gerektiren bir işleme onay veriyor: Onay Sorulması Kullanıcı yönetici haklarını gerektiren bir işleme onay veriyor İkinci bir koruma


Kullanıcıya yönetici hesabı bilgilerinin sorulması: Kullanıcıya yönetici hesabı bilgilerinin sorulması


UAP: Kullanım ve İlkeler: UAP: Kullanım ve İlkeler Kullanıcı Hesabı Koruması Güvenlik İlkeleriyle Yönetilebilir Soru yok- Sessizce yönetici haklarına yükselt Onay sor – Kullanıcıya gerçekleşecek yönetici işlemine devam edip etmeyeceğini sor Kimlik bilgisi sor- işlemi gerçekleştirmek için kullanıcıdan yönetici hesabı ve şifresini girmesini iste


Sistemin Standart Kullanıcı için İyi Çalışmasını Sağlamak: Sistemin Standart Kullanıcı için İyi Çalışmasını Sağlamak Gereksiz yönetici işlemleri düzeltildi Yazıcı eklemek, saat dilimi değiştirmek, güç yönetimi ayarlarını düzenlemek, güvenli kablosuz ağ için WEP anahtarı eklemek… Kullanıcı hesaplarını varsayılan olarak standart kullanıcı olarak oluşturmak Eski uygulamalarla uyumluluk için kayıt defteri ve dosya sanallaştırması sağlamak


Kimlik Doğrulamada Gelişmeler: Kimlik Doğrulamada Gelişmeler Yeni oturum açma mimarisi GINA (eski Windows oturum açma modeli) kaldırılıyor yerine Kimlik Bilgisi Servis Sağlayıcısı arabirimleri Artık üçüncü partiler biometrik, tek kullanımlık parola tokenları ve diğer kimlik doğrulama yöntemlerini Windows’a çok daha az kod kullanarak ekleyebilirler. Tak ve Çalıştır Akıllı Kartlar Sürücüler ve Kiriptografik Servis Sağlayıcıları (CSP) Windows Vista üzerinde gelir.


Yeniden Başlatma Yöneticisi: Yeniden Başlatma Yöneticisi Bazı güvenlik güncelleştirmelerinden sonra makinenin yeniden başlatılması gerekiyor Yeniden Başlatma Yöneticisi: Güncelleştirmeler için gereken yeniden başlatmaların azaltılması Kullanıcı tarafından bir uygulama açık bırakılarak kilitlenmiş makinelerin kaldığı yerden yeniden başlatılması. Örneğin makine yeniden başlatıldığında MS Word’de makinenin kaldığı yere 42 sayfaya geri dönmesi


İş Dünyasında Güvenlik Kaygıları: İş Dünyasında Güvenlik Kaygıları Jupiter Research Report, 2004 0% 10% 20% 30% 40% 50% 60% 70% Loss of digital assets, restored Email piracy Password compromise Loss of mobile devices Unintended forwarding of emails Virus infection


BitLocker™ Sürücü Şifrelenmesi : BitLocker™ Sürücü Şifrelenmesi Özellikle bir hırsızın bilgisayarı başka bir işletim sistemi ile açıp içindeki verilere ulaşmasını önlemek için tasarlanmıştır Anahtar depolanması için anakart üzerinde bulunan v1.2 TPM yongası veya USB sürücüsü kullanır BitLocker


Farklı BitLocker Yapılandırmaları : TPM Tongası ve USB Sürücü USB Sürücü TPM Yongası ve Pin TPM Yongası Farklı BitLocker Yapılandırmaları


Bitlocker™ Sürücüsü XP üzerinde: Bitlocker™ Sürücüsü XP üzerinde


Bitlocker™ Sürücüsü Vista üzerinde : Bitlocker™ Sürücüsü Vista üzerinde


Kod Bütünlüğü: Kod Bütünlüğü Tüm DLL dosyaları ve diğer işletim sistemi EXE dosyaları dijital olarak imzalanmıştır Bileşenler belleğe yüklenirken dijital imzalar doğrulanır


Windows Vista / Longhorn ServerBilgi Koruması: Windows Vista / Longhorn Server Bilgi Koruması Kimden korunuyorsunuz? Makine üzerindeki diğer kullanıcılardan ve yöneticilerden? EFS Fiziksel erişimi olan yetkisiz kullanıcılar? BitLocker™ Dokümanların ve epostaların yetkisiz görüntülenmesi/gönderilmesi? RMS


Aygıt Yükleme Denetimi: Aygıt Yükleme Denetimi Grup İlkeleri ile taşınabilir aygıtların yüklenmesi denetlenebilir USB depolama cihazları MP3 çalarlar CD/DVD yazıcılar Birçok kurum bilgi sızıntısından endişe ederek USB aygıtların yüklenmesini engellemek istiyor


Vista/Longhorn: Şimdiye kadarki en güvenli Windows işletim sistemleri: Daha Güvenli Çalışır Kullanıcı Hesabı Koruması Tarayıcı Anti-Phishing ve Korumalı Mod Servis Güçlendirme Daha Güvenli İletişim Ağ Erişim Koruması (NAP) Güvenlik Duvarı/IPSec Entegrasyonu Güvenli Kalmak Anti-malware Yeniden Başlatma Yöneticisi Aygıt Yüklemesinde Denetim Gelişmiş Akıllı Kart Altyapısı Daha Güvenli Açılır Tüm Birimin Şifrelemesi Kod bütünlüğü Vista/Longhorn: Şimdiye kadarki en güvenli Windows işletim sistemleri Güvenli Erişim Temel Koruma Tasarımda Güvenli Entegre Denetim


Slide29: