logging in or signing up Rafal Lukawiecki Vista Nowy wymiar bezpieczenstwa Mentor Download Post to : URL : Related Presentations : Share Add to Flag Embed Email Send to Blogs and Networks Add to Channel Uploaded from authorPOINT Insert YouTube videos in PowerPont slides with aS Desktop Copy embed code: (To copy code, click on the text box) Embed: URL: Thumbnail: WordPress Embed Customize Embed The presentation is successfully added In Your Favorites. Views: 791 Category: Product Traini.. License: All Rights Reserved Like it (1) Dislike it (0) Added: June 19, 2007 This Presentation is Public Favorites: 0 Presentation Description No description available. Comments Posting comment... Premium member Presentation Transcript Zabezpieczenia systemu Windows Vista: Zabezpieczenia systemu Windows Vista Rafał Łukawiecki Strategic Consultant Project Botticelli Ltd rafal@projectbotticelli.co.uk Ta prezentacja jest oparta na pracy grupy Microsoft TechNet, MSDN i innych autorów firmy Microsoft, a następującym osobom należą się specjalne podziękowania: Ramprabhu Rathnam, Tony Northrup oraz Austin Wilson Cele: Cele Przegląd nowych funkcji zabezpieczeń systemu Windows Vista i wyjaśnienie ich przeznaczenia Odniesienie systemu Vista do nowych technologii zabezpieczeń Wzbudzenie zainteresowania nowymi możliwościami Program sesji: Program sesji Wprowadzenie Scenariusz dla korporacji Podstawowa ochrona Sieci AIS i UAC Uwierzytelnianie i autoryzacja W tym relacje IAM W tym usługa „Infocard' Zintegrowana kontrola zabezpieczeń Bezpieczny rozruch Ochrona danych W tym zmiany w kryptografii! Streszczenie Wprowadzenie: Wprowadzenie Kwestie zabezpieczeń systemu Windows Vista: Bezpieczny dostęp Podstawowa ochrona Doskonałość inżynierska Zbudowany z myślą o bezpieczeństwie Umożliwia prostszy, bezpieczniejszy dostęp do informacji i usług Ochrona przed zagrożeniami bezpieczeństwa i redukcja ryzyka wystąpienia przerw w działalności firmy Zintegrowana kontrola Zapewnia wbudowane, scentralizowane narzędzia monitorowania i zarządzania Kwestie zabezpieczeń systemu Windows Vista Doskonałość inżynierskaProces tworzenia systemu Windows Vista: Doskonałość inżynierska Proces tworzenia systemu Windows Vista Podczas opracowywania systemu Windows Vista firma Microsoft realizowała proces cyklu życia tworzenia zabezpieczeń (SDL, Security Development Lifecycle) Obowiązkowe okresowe szkolenia w zakresie zabezpieczeń Przypisanie do wszystkich elementów doradców z dziedziny zabezpieczeń Model zagrożeń częścią etapu projektowania Uwzględnienie w harmonogramie weryfikacji i testowania zabezpieczeń Metryki zabezpieczeń dla zespołów produktu Zgodność z certyfikatem Common Criteria (CC) jednym z głównych celów (patrz dalej) Certyfikat CC jest wydawany przez organizację US National Institute of Standards and Technology (odpowiedzialną także za standardy FIPS) csrc.nist.gov/cc Scenariusz dla korporacji: Scenariusz dla korporacji W systemie Windows Vista…: W systemie Windows Vista… Uruchamianie jest chronione przez funkcję BitLocker oraz moduł TPM (Trusted Platform Module) wykluczające modyfikacje w trybie off-line Funkcja NAP (ochrona dostępu do sieci) zapewnia zgodność stanu komputera z zasadami/polisami (np. obecność wymaganych aktualizacji, sygnatur wirusów itp.) zanim serwer „Longhorn' zezwoli takiemu komputerowi na skorzystanie z sieci Jeśli komputer nie spełnia zasad, to umożliwia się przeprowadzenie aktualizacji Można wybierać różnorodne typy urządzeń logowania i różne tożsamości, nie tracąc jednolitego interjefsu użytkownika Użytkownik loguje się za pomocą kont niebędących kontami administracyjnymi. Ulepszenia programu IE pomagają przeglądać sieć Web bez konieczności martwienia się o szkodliwe oprogramowanie i witryny a także przy lepszej ochronie prywatności Gyd są dostępne aktualizacje, funkcja Restart Manager minimalizuje niedogodności, nawet jeśli na zablokowanej stacji roboczej będą pozostawione działajace aplikacje Warto zapoznać się z: www.microsoft.com/technet/windowsvista/evaluate/admin/mngsec.mspx Podstawowa ochrona: Podstawowa ochrona Wzmacnianie usług systemu WindowsDogłębna obrona: Współczynnikowanie i profilowanie jądra systemu Windows: Wzmacnianie usług systemu Windows Dogłębna obrona: Współczynnikowanie i profilowanie jądra systemu Windows Ograniczenie rozmiaru warstw wysokiego ryzyka Segmentacja usług Większa liczba warstw Sterowniki jądra Sterowniki trybu użytkownika Usługa 1 Usługa 2 Usługa 3 Usługa … Usługa … Usługa A Usługa B Wzmacnianie usług systemu Windows: Wzmacnianie usług systemu Windows Usługi systemu Windows stały się dużym polem do ataków ze względu na ich uprawnienia i na to, że są prawie zawsze włączone Ulepszenia: Identyfikator zabezpieczeń SID (przypisywany do każdej usługi osobno) jest rozpoznawany na listach ACL, dzięki czemu usługi mogą chronić swoje zasoby Zasady zapory sieciowej unimożliwiają usługom uzyskiwanie dostępu do sieci na podstawie list ACL i identryfikatorów SID Zbędne uprawnienia (w odniesieniu do poszczególnych usług) zostały odrzucone Przejście od trubu LocalSystem do trybu LocalService lub NetworkService, gdy to było możliwe Zastosowanie do procesów usług tokenów o ograniczonym prawie zapisu (write-restricted tokens) Zintegrowany program Windows Defender: Zintegrowany program Windows Defender Zintegrowane wykrywanie, czyszczenie i blokowanie w trybie rzeczywistym szkodliwego oprogramowania (malware, spyware, rootkits) Program adresowany do użytkowników zarządzania na poziomie przedsiębiorstwa będzie dostępny jako osobny produkt Zintegrowane narzędzie Microsoft Malicious Software Removal Tool (MSRT) będzie usuwać pewne robaki, boty i trojany podczas uaktualniania w miesięcznych okresach Windows Live OneCare: Windows Live OneCare Usługa (płatna) do kompleksowego zabezpieczania: Antywirus Integracja z antispyware (np. Windows Defender) Strojenie systemu Zapewnianie aktualizacji Backup Internet ExplorerWersja 7: Internet Explorer Wersja 7 Oprócz tego, że jest zbudowany na bazie User Account Control (patrz dalej), planuje się, że program IE będzie obejmować: Tryb chroniony (zaplanowany dla systemu Vista Beta 2) powodujący, że program IE działa bez żadnych dodatkowych uprawnień, nawet jeśli dysponuje nimi użytkownik, na przykład prawami do instalowania oprogramowania „Tryb tylko do odczytu', z wyjątkiem katalogu Tymczasowe pliki internetowe, gdy przeglądarka znajduje się w strefie zabezpieczeń Internet Możliwość usuwania wszystkich danych z pamięci podręcznej przez pojedyncze kliknięcie myszą Filtr witryn wyłudzających informacje w programie IEDynamiczna ochrona przed oszukańczymi witrynami: Filtr witryn wyłudzających informacje w programie IE Dynamiczna ochrona przed oszukańczymi witrynami 3 sprawdzenie chroniące użyutkowników przed wyłudzeniami: Sprawdzenie, czy witryna występuje na lokalnej liście wiarygodnych witryn Skanowanie witryn w poszukiwaniu elementów characteristycznych dla oszukańczych witryn (heurystycznie) Dodatkowe sprawdzenie występowania witryny na liście zgłoszonych oszukańczych witryn, aktualizowanej kilka razy na godzinę przez Microsoft Dwa poziomy ostrzeżeń i ochrony na pasku stanu zabezpieczeń programu IE7 Poziom 1: Ostrzeż Zasygnalizowano podejrzaną witrynę sieci Web Poziom 2: Blokuj Potwierdzona oszukańcza witryna zasygnalizowana i zablokowana Programiści: WinFX i WCF: Programiści: WinFX i WCF WinFX to nowy zestaw interfejsów API dla oprogramowania budowanego dla Windows Vista Bazuje na .NET Framework 2.0 Zawiera wiele ulepszeń systemów zabezpieczających Code Access Security oraz nowe klasy i techniki bezpieczeństwa Usługi Windows Communication Foundation (WCF) wprowadzają model abstrakcji zabezpieczeń oraz są w pełni zgodne z wytycznymi WS-* dotyczącymi zabezpieczeń Wcześniej określane jako „Indigo' Sieci: Sieci NG TCP/IPProtokół TCP/IP następnej generacji w systemach Vista i „Longhorn”: NG TCP/IP Protokół TCP/IP następnej generacji w systemach Vista i „Longhorn' Nowy, całkowicie przepracowany zamiennik starego protokołu TCP/IP implementacja IPv6 na podwójnym stosie (dual-stack) z nowym obligatoryjnym protokołem IPSec Projekt protokołu IPv6 jest bezpieczniejszy niż IPv4, a w szczególności ze względu na: Prywatność, śledzenie, skanowanie portów sieciowych, poufność i integralność Inne zabezpieczenia sieciowe zarówno protokołu IPv4, jak i IPv6 Silny model hosta Platforma filterowania w systemie Windows Poprawiona odporność na poziomie protokołu na wszystkie znane bazujące na protokole TCP/IP ataki typu odmowa usługi i inne typy ataków sieciowych Przedziały routingu Autokonfiguracja i rekonfiguracja nie wymagająca ponownego uruchamiania Warto zapoznać się z: www.microsoft.com/technet/community/columns/cableguy/cg0905.mspx Zapora sieciowa systemu Windows Vista: Zapora sieciowa systemu Windows Vista Zarówno komunikacja przychodząca, jak i wychodząca Uwzględnia uwierzytelnianie i autoryzację Teraz jest możliwe filtorwanie komuniakcji wychodzącej uwzględniające aplikacje Obejmuje zarządzanie IPSec Oczywiście administracja w oparciu o zasady (group policy) Znakomita do kontroli sieci równorzędnych Kontrola dostępu do sieci: Kontrola dostępu do sieci NAP to nowa technologia mająca korzenie w kwarantannie sieci VPN, ale obecnie obejmująca wszystkich klientów sieci, a nie tylko dostęp zdalny Bazuje na serwerach obsługujących technologię NAP, co obecnie oznacza serwery Windows „Longhorn' Określa się zasady: wymaganych poprawek systemu operacyjnego, aktualizację sygnatur wirusów, obecność lub brak pewnych aplikacji i arbitralne sprawdzenia …a system wyklucza wszelki dostęp do sieci, jeśli zasady nie są spełnione, z wyjątkiem: dostępu do lokalizacji, z których można pobrać aktualizacje itp. Kontrola dostępu do sieci: Kontrola dostępu do sieci 1 Serwer zasad sieci Microsoft Network 3 Zgodność z zasadami DHCP, VPN Przełącznik/ router 2 Klient systemu Windows Vista 5 Niezgodność z zasadami 4 AIS i kontrola konta użytkownika: AIS i kontrola konta użytkownika Application Information ServiceAIS: Application Information Service AIS Nowa usługa systemu Windows implementująca User Account Control Cele: Redukcja wpływu szkodliwego oprogramowania, które nie zostało wykryte lub usunięte przez system Uproszczenie centralizacji wdrożeń pulpitu zarządzanego Usługa AIS jest ściśle zintegrowana z jądrem User Account Control: User Account Control Ułatwia realizację zasady najmniejszych uprawnień na dwa różne sposoby: Wszyscy użytkownicy są standardowymi użytkownikami Stare, czy bardziej „zachłanne' aplikacje będą wirtualizowane (patrz dalej) by nie zepsuć systemu Każda potrzeba prawdziwego wykorzystania uprawnień administratorskich wymaga: Selekcji użytkownika, który te uprawnienia ma, lub Potwierdzenia chęci wykonania danej operacji Warto zapoznać się z: www.microsoft.com/technet/windowsvista/evaluate/feat/uaprot.mspx Monitowanie o poświadczenia: Monitowanie o poświadczenia Monitowanie o zgodęUżytkownik potwierdza akcję wymagającą uprawnień administratora: Monitowanie o zgodę Użytkownik potwierdza akcję wymagającą uprawnień administratora Ma zastosowanie, gdy użytkownik ma wszystkie niezbędne uprawnienia, ale zanim zostaną użyte Nowa dodatkowa ochrona UAC: Użycie i zasady: UAC: Użycie i zasady Usługa UAC nie jest domyślnie włączona w Beta 1, ale będzie w następnej Należy ją włączyć z menu Start wbudowanego Administratora Usługa UAC nie działa w odniesieniu do wbudowanego konta Administratora To konto działa w „zwykły sposób' Kontroluje się ją za pośrednictwem zasad Ustawienia zasad lokalnych; Zasady lokalne; Opcje zabezpieczeń; „User Account Control: Zachowanie monitu podniesienia uprawnień' Brak monitu – podniesienie w trybie dyskretnym Monit o zgodę – zapytać użytkownika, czy kontynuować (Tak/Nie) Monit o poświadczenia – użytkownik musi podać hasło logowania, zanim będzie mógł kontynuować (domyślny) Tryb zgody Administratora Fundamentalna zmiana działania systemu Windows: Fundamentalna zmiana działania systemu Windows Poprawa systemu, tak aby dobrze działał jako standardowy użytkownik Zapewnienie bezpiecznej metody uruchamiania wybranych aplikacji w podniesionym kontekście Wymóg zaznaczania aplikacji „nie-UAC', jeżeli prawdziwie potrzebują praw administratorskich Jasno wskazać, że działania rzutują na stan całego komputera Użycie ikony kolorowej tarczy w menu i na przyciskach Wirtualizacja zmian w rejestrach i plikach systemowych w celu zapewnienia zgodności Zapisy do rejestru dotyczące komputera są przekierowywane do lokalizacji dotyczących użytkownika, jeśli użytkownik nie ma uprawnień administracyjnych W efekcie: standardowe konta mogą bezpiecznie uruchamiać starsze aplikacje wymagające uprawnień administracyjnych! Można zarządać przekierowania wirtualizacji do innego miejsca Uwierzytelnianie i autoryzacja: Uwierzytelnianie i autoryzacja Działanie logowania Windows: Działanie logowania Windows Interfejsy Credential Service Provider zastąpiły bibliotekę GINA Interfejs użytkownika logowania może oddziaływać z wieloma wtyczkami Credential Providers Bezpośrednia obsługa uwierzytelniania wieloczynnikowego: karty inteligentne i tokeny, biometria itp. Interfejs plug-and-play dla kart inteligentnych Typowi dostawcy usług kryptograficznych (CSP) oraz Moduły komunikacyjne kart Propagacja certyfikatu głównego Zintegrowane odblokowywanie kart inteligentnych Karty inteligentne i tokeny: Karty inteligentne i tokeny Uproszczone programowanie Typowe funkcje kryptograficzne mogą być obsłużone przez platformę Nie ma potrzeby programowania niestandardowych dostawców CSP Microsoft Certificate Lifecycle Management Server Dostarczanie i zarządzanie Integracja infrastruktury PKI z CA Entrust Integracja infrastruktury PKI z usługą Active Directory (!) Oparte na rozwiązaniu Alacris idNexus zakupionym przez firmę Microsoft w wrześniu 2005 Selektor tożsamości InfoCardSpójny interfejs użytkownika do wyboru tożsamości: Selektor tożsamości InfoCard Spójny interfejs użytkownika do wyboru tożsamości Użytkownicy potrzebują prostego, wizualnego sposobu obsługi wielu tożsamości elektronicznych: Identyfikatory rządowe, firmowe, samodzielnie podpisane (takie jak nazwa użytkownika i hasło do witryny sieci Web) Jedna wizualna abstrakcja dowolnego typu tożsamości (PKI, hasło, token, sekret, itp.) Wizja: Interfejs użytkownika wspólny dla całej branży Patrz 7 „Laws of Identity' pod adresem www.identityblog.com Powiązanie z metasystemem tożsamości Infocard to jeden z interfejsów API WinFX Powiązanie z IAMZarządzanie tożsamością i dostępem: Powiązanie z IAM Zarządzanie tożsamością i dostępem IAM gwałtownie zyskuje na znaczeniu, gdyż korporacje muszą uporać się z „chaosem tożsamości' Przede wszystkim za pomocą systemu Microsoft Identity Integration Server (MIIS) do zarządzania cyklem życia tożsamości Integracja Menedżera autoryzacji (AzMan); system Windows Vista będzie mieć wbudowaną obsługę kontroli dostępu opartą na rolach (RBAC) Z obsługą programu SQL Server, grup reguł biznesowych, rozbudowanych zapytań LDAP, interfejsu selektora obiektów Active Directory Federation Services (ADFS) Eksponowanie i federowanie usługi Active Directory przy użyciu standardów zabezpieczeń WS-* Przydatne do pojedynczego rejestrowania w sieci Web Zintegrowana kontrola zabezpieczeń: Zintegrowana kontrola zabezpieczeń Kontrola instalacji urządzeń: Kontrola instalacji urządzeń Kontrola instalacji urządzeń wymiennych za pośrednictwem zasad Głównie na potrzeby wyłączania instalacji urządzeń USB, gdyż wiele korporacji obawia się wycieku własności intelektualnej Kontrola na podstawie klasy urządzenia Zaakceptowane urządzenia mogą być wstępnie wpisane do zaufanego Magazynu sterowników (Driver Store) Gdy sterownik zostanie umieszczony w magazynie sterowników przez administratora, to mogą być instalowane niezależnie od uprawnień aktualnie zalogowanego użytkownika Client Security Scanner: Client Security Scanner Wyszukuje i raportuje stan zabezpieczeń klienta Windows: Poprawek i aktualizacji Stanu zabezpieczeń Plików podpisów Stanu oprogramowania zwalczającego szkodliwe programy Możliwość raportowania własnego stanu przez system Windows Informacje mogą być zbierane centralnie lub po prostu przeglądane w Centrum zabezpieczeń przez użytkowników i administratorów Restart Manager: Restart Manager Niektóre aktualizacje wymagają ponownego uruchomienia systemu Program Restart Manager będzie: Minimalizować liczbę niezbędnych ponownych uruchomień, buforując aktualizacje Obsługiwać ponowne uruchomienia komputerów, które mogą być zablokowane przez użytkownika z uruchomionymi aplikacjami Na przykład po ponownym uruchomieniu program Microsoft Word otworzy dokument na stronie 42, czyli w miejscu, w którym był otwarty przed ponownym uruchomieniem Oczywiście ta funkcja ma największe znaczenie dla scentralizowanego zarządzania pulpitami w korporacjach, a nie dla domowych użytkowników Bezpieczny rozruch: Bezpieczny rozruch Trusted Platform ModuleTPM Chip Version 1.2: Trusted Platform Module TPM Chip Version 1.2 Sprzęt obecny w komputerze, np. układ na płycie głównej Bezpieczne przechowywanie poświadczeń, takich jak klucz prywatny certyfikatu komputera z obsługą funkcji kryptograficznych Jest to istota działania kart inteligentnych Wspiera ochronę wtórną za pomocą kluczy USB i haseł Moduł TPM może być używany do zgłaszania żądań cyfrowego podpisania kodu i plików oraz do wzajemnego uwierzytelniania urządzeń Patrz www.trustedcomputinggroup.org Integralność kodu: Integralność kodu Wszystkie biblioteki DLL i pliki wykonywalne systemu operacyjnego zostały podpisane cyfrowo Podpisy są weryfikowane w momencie ładowania składników do pamięci Bitlocker™: Bitlocker™ Narzędzie BitLocker szyfruje i podpisuje cały dysk twardy (full-volume encryption) Układ TPM zapewnia zarządzanie kluczami Możliwość stosowania dodatkowych zabezpieczeń, takich jak klucz szyfrujący USB, PIN lub hasło Wszelkie nieautoryzowane modyfikacje danych lub systemu operacyjnego wprowadzone w trybie offline są wykrywane i nie jest udzielany dostęp Zapobiega atakom wykorzystującym narzędzia bazujące na dostępie do dysku twardego, gdy system Windows nie działa, i wymuszające proces uruchomienia systemu Ochrona przed utratą danych w wyniku kradzieży komputera przenośnego Istotna część funkcji bezpiecznego rozruchu Należy uważnie zaplanować strategię przywracania! Ochrona danych: Ochrona danych RMS, EFS oraz BitLockerSzyfrowanie zapewniające poufność (zabezpieczenia przed kradzieżą danych): RMS, EFS oraz BitLocker Szyfrowanie zapewniające poufność (zabezpieczenia przed kradzieżą danych) Trzy poziomy ochrony: Usługi zarządzania prawami dostępu (RMS) Narzucanie uprawnień opartych na zasadach w odniesieniu do poszczególnych dokumentów Szyfrowanie systemów plików (EFS) Szyfrowanie plików lub folderów w celu zapewnienia poufności danych Pełne szyfrowanie woluminów z BitLocker Szyfrowanie poszczególnych woluminów (patrz wcześniej) Uwaga: nie jest konieczne używanie modułu TPM w odniesieniu do usług RMS i EFS Teraz funkcja EFS może używać kart inteligentnych i tokenów! Aktualnie funkcja RMS jest oparta na technologii „lockbox.dll', a nie na rozwiązaniu TPM Nowa kryptografia: CNG: Nowa kryptografia: CNG Interfejs CAPI 1.0 nie jest zalecany Może zostać usunięty w przyszłych wydaniach systemu Windows CNG: Otwarty interfejs kryptograficzny dla systemu Windows Możliwość podłączania implementacji w trybie jądra lub użytkownika: Własnościowych algorytmów kryptograficznych Algorytmów zastępujących standardowe algorytmy kryptograficzne Dostawców KSP (Key Storage Provider) Konfiguracje kryptograficzne na poziomie przedsiębiorstwa lub komputera Zgodność z przepisami: Zgodność z przepisami Rozwiązania kryptograficzne systemu Windows Vista są zgodne z: Certyfikatem Common Criteria (CC) csrc.nist.gov/cc Obecnie w wersji 3 Wymaganiami FIPS dotyczącymi silnej izolacji i inspekcji US NSA (National Security Agency) CSS (Central Security Service) Suite B System Vista obsługuje algorytmy NSA Suite Bwww.nsa.gov/ia/industry/crypto_suite_b.cfm : System Vista obsługuje algorytmy NSA Suite B www.nsa.gov/ia/industry/crypto_suite_b.cfm Algorytmy kryptograficzne do wszystkich amerykańskich zastosowań nieopatrzonych klauzulą tajności i tajnych (SECRET oraz TOP-SECRET) Z wyjątkiem wąskiego obszaru wymagań specjalnych zabezpieczeń (np. bezpieczeństwa nuklearnego) – określonych jako Suite A (definicja jest utajniona) Ogłoszone przez NSA na konferencji RSA w lutym 2005 Szyfrowanie: AES FIPS 197 (z kluczami o długości 128 oraz 256 bitów) Podpis cyfrowy: EC-DSA FIPS 186-2 (korzystający z krzywych z 256- i 384-bitowymi współczynnikami pierwszymi) Wymiana kluczy: Elliptic Curve Diffie-Hellman lub Elliptic Curve MQV Draft NIST Special Publication 800-56 (korzystający z krzywych z 256- i 384-bitowymi współczynnikami pierwszymi) Mieszanie: Secure Hash Algorithm (SHA-2) FIPS 180-2 (korzystający z SHA-256 oraz SHA-384) Ulepszenia usług certyfikatów: Ulepszenia usług certyfikatów Przede wszystkim kompletne scenariusze aplikacji PKI Bezpieczne sieci bezprzewodowe, VPN, IPsec, EFS, Logowanie przy użyciu karty inteligentnej, SSL/TLS, S/MIME i podpisy cyfrowe Ulepszenia zarządzania cyklem życia poświadczeń Skalowalne usługi wycofywania i przetwarzania X509 we wszystkich aplikacjach Zintegrowany odpowiadający protokół OCSP (Online Certificate Status Protocol) dla usług odwoływania (dużych wolumenów/dużej szybkości) Rejestrowanie certyfikatów użytkownika Rozprzestrzenianie certyfikatów komputera i użytkownika na urządzeniach całej domeny Nowa hierarchia klas Zintegrowany interfejs użytkownika Obsługa zaawansowanej kryptografii, oczywiście za pomocą nowej kryptografii Streszczenie: Streszczenie Zabezpieczenia systemu Windows VistaNajbezpieczniejszy system Windows: Zabezpieczenia systemu Windows Vista Najbezpieczniejszy system Windows SDL Wzmocnienie usług Skanowanie kodu Domyślna konfiguracja Integralność kodu IE –tryb chroniony/anty-phishing Windows Defender Dwukierunkowa zapora sieciowa Ulepszenia protokołu IPSEC Kontrola dostępu do sieci (NAP) Eliminacja zagrożeń i luk Podstawy Kontrola tożsamości i dostępu User Account Control Karty inteligentne Plug and Play Uproszczona architektura logowania BitLocker Klient RMS Slide50: © 2005 Project Botticelli Ltd andamp; Microsoft Corporation. Wszelkie prawa zastrzeżone. Ta prezentacja ma wyłącznie charakter informacyjny. FIRMY PROJECT BOTTICELLI, MICROSOFT I SQL SKILLS NIE UDZIELAJĄ W TYM DOKUMENCIE ŻADNYCH GWARANCJI, WYRAŻONYCH WPROST LUB W SPOSÓB DOROZUMIAŁY. Należy zweryfikować wszystkie przedstawione informacje, zanim się z nich skorzysta. Eandamp;OE. You do not have the permission to view this presentation. In order to view it, please contact the author of the presentation.
Rafal Lukawiecki Vista Nowy wymiar bezpieczenstwa Mentor Download Post to : URL : Related Presentations : Share Add to Flag Embed Email Send to Blogs and Networks Add to Channel Uploaded from authorPOINT Insert YouTube videos in PowerPont slides with aS Desktop Copy embed code: (To copy code, click on the text box) Embed: URL: Thumbnail: WordPress Embed Customize Embed The presentation is successfully added In Your Favorites. Views: 791 Category: Product Traini.. License: All Rights Reserved Like it (1) Dislike it (0) Added: June 19, 2007 This Presentation is Public Favorites: 0 Presentation Description No description available. Comments Posting comment... Premium member Presentation Transcript Zabezpieczenia systemu Windows Vista: Zabezpieczenia systemu Windows Vista Rafał Łukawiecki Strategic Consultant Project Botticelli Ltd rafal@projectbotticelli.co.uk Ta prezentacja jest oparta na pracy grupy Microsoft TechNet, MSDN i innych autorów firmy Microsoft, a następującym osobom należą się specjalne podziękowania: Ramprabhu Rathnam, Tony Northrup oraz Austin Wilson Cele: Cele Przegląd nowych funkcji zabezpieczeń systemu Windows Vista i wyjaśnienie ich przeznaczenia Odniesienie systemu Vista do nowych technologii zabezpieczeń Wzbudzenie zainteresowania nowymi możliwościami Program sesji: Program sesji Wprowadzenie Scenariusz dla korporacji Podstawowa ochrona Sieci AIS i UAC Uwierzytelnianie i autoryzacja W tym relacje IAM W tym usługa „Infocard' Zintegrowana kontrola zabezpieczeń Bezpieczny rozruch Ochrona danych W tym zmiany w kryptografii! Streszczenie Wprowadzenie: Wprowadzenie Kwestie zabezpieczeń systemu Windows Vista: Bezpieczny dostęp Podstawowa ochrona Doskonałość inżynierska Zbudowany z myślą o bezpieczeństwie Umożliwia prostszy, bezpieczniejszy dostęp do informacji i usług Ochrona przed zagrożeniami bezpieczeństwa i redukcja ryzyka wystąpienia przerw w działalności firmy Zintegrowana kontrola Zapewnia wbudowane, scentralizowane narzędzia monitorowania i zarządzania Kwestie zabezpieczeń systemu Windows Vista Doskonałość inżynierskaProces tworzenia systemu Windows Vista: Doskonałość inżynierska Proces tworzenia systemu Windows Vista Podczas opracowywania systemu Windows Vista firma Microsoft realizowała proces cyklu życia tworzenia zabezpieczeń (SDL, Security Development Lifecycle) Obowiązkowe okresowe szkolenia w zakresie zabezpieczeń Przypisanie do wszystkich elementów doradców z dziedziny zabezpieczeń Model zagrożeń częścią etapu projektowania Uwzględnienie w harmonogramie weryfikacji i testowania zabezpieczeń Metryki zabezpieczeń dla zespołów produktu Zgodność z certyfikatem Common Criteria (CC) jednym z głównych celów (patrz dalej) Certyfikat CC jest wydawany przez organizację US National Institute of Standards and Technology (odpowiedzialną także za standardy FIPS) csrc.nist.gov/cc Scenariusz dla korporacji: Scenariusz dla korporacji W systemie Windows Vista…: W systemie Windows Vista… Uruchamianie jest chronione przez funkcję BitLocker oraz moduł TPM (Trusted Platform Module) wykluczające modyfikacje w trybie off-line Funkcja NAP (ochrona dostępu do sieci) zapewnia zgodność stanu komputera z zasadami/polisami (np. obecność wymaganych aktualizacji, sygnatur wirusów itp.) zanim serwer „Longhorn' zezwoli takiemu komputerowi na skorzystanie z sieci Jeśli komputer nie spełnia zasad, to umożliwia się przeprowadzenie aktualizacji Można wybierać różnorodne typy urządzeń logowania i różne tożsamości, nie tracąc jednolitego interjefsu użytkownika Użytkownik loguje się za pomocą kont niebędących kontami administracyjnymi. Ulepszenia programu IE pomagają przeglądać sieć Web bez konieczności martwienia się o szkodliwe oprogramowanie i witryny a także przy lepszej ochronie prywatności Gyd są dostępne aktualizacje, funkcja Restart Manager minimalizuje niedogodności, nawet jeśli na zablokowanej stacji roboczej będą pozostawione działajace aplikacje Warto zapoznać się z: www.microsoft.com/technet/windowsvista/evaluate/admin/mngsec.mspx Podstawowa ochrona: Podstawowa ochrona Wzmacnianie usług systemu WindowsDogłębna obrona: Współczynnikowanie i profilowanie jądra systemu Windows: Wzmacnianie usług systemu Windows Dogłębna obrona: Współczynnikowanie i profilowanie jądra systemu Windows Ograniczenie rozmiaru warstw wysokiego ryzyka Segmentacja usług Większa liczba warstw Sterowniki jądra Sterowniki trybu użytkownika Usługa 1 Usługa 2 Usługa 3 Usługa … Usługa … Usługa A Usługa B Wzmacnianie usług systemu Windows: Wzmacnianie usług systemu Windows Usługi systemu Windows stały się dużym polem do ataków ze względu na ich uprawnienia i na to, że są prawie zawsze włączone Ulepszenia: Identyfikator zabezpieczeń SID (przypisywany do każdej usługi osobno) jest rozpoznawany na listach ACL, dzięki czemu usługi mogą chronić swoje zasoby Zasady zapory sieciowej unimożliwiają usługom uzyskiwanie dostępu do sieci na podstawie list ACL i identryfikatorów SID Zbędne uprawnienia (w odniesieniu do poszczególnych usług) zostały odrzucone Przejście od trubu LocalSystem do trybu LocalService lub NetworkService, gdy to było możliwe Zastosowanie do procesów usług tokenów o ograniczonym prawie zapisu (write-restricted tokens) Zintegrowany program Windows Defender: Zintegrowany program Windows Defender Zintegrowane wykrywanie, czyszczenie i blokowanie w trybie rzeczywistym szkodliwego oprogramowania (malware, spyware, rootkits) Program adresowany do użytkowników zarządzania na poziomie przedsiębiorstwa będzie dostępny jako osobny produkt Zintegrowane narzędzie Microsoft Malicious Software Removal Tool (MSRT) będzie usuwać pewne robaki, boty i trojany podczas uaktualniania w miesięcznych okresach Windows Live OneCare: Windows Live OneCare Usługa (płatna) do kompleksowego zabezpieczania: Antywirus Integracja z antispyware (np. Windows Defender) Strojenie systemu Zapewnianie aktualizacji Backup Internet ExplorerWersja 7: Internet Explorer Wersja 7 Oprócz tego, że jest zbudowany na bazie User Account Control (patrz dalej), planuje się, że program IE będzie obejmować: Tryb chroniony (zaplanowany dla systemu Vista Beta 2) powodujący, że program IE działa bez żadnych dodatkowych uprawnień, nawet jeśli dysponuje nimi użytkownik, na przykład prawami do instalowania oprogramowania „Tryb tylko do odczytu', z wyjątkiem katalogu Tymczasowe pliki internetowe, gdy przeglądarka znajduje się w strefie zabezpieczeń Internet Możliwość usuwania wszystkich danych z pamięci podręcznej przez pojedyncze kliknięcie myszą Filtr witryn wyłudzających informacje w programie IEDynamiczna ochrona przed oszukańczymi witrynami: Filtr witryn wyłudzających informacje w programie IE Dynamiczna ochrona przed oszukańczymi witrynami 3 sprawdzenie chroniące użyutkowników przed wyłudzeniami: Sprawdzenie, czy witryna występuje na lokalnej liście wiarygodnych witryn Skanowanie witryn w poszukiwaniu elementów characteristycznych dla oszukańczych witryn (heurystycznie) Dodatkowe sprawdzenie występowania witryny na liście zgłoszonych oszukańczych witryn, aktualizowanej kilka razy na godzinę przez Microsoft Dwa poziomy ostrzeżeń i ochrony na pasku stanu zabezpieczeń programu IE7 Poziom 1: Ostrzeż Zasygnalizowano podejrzaną witrynę sieci Web Poziom 2: Blokuj Potwierdzona oszukańcza witryna zasygnalizowana i zablokowana Programiści: WinFX i WCF: Programiści: WinFX i WCF WinFX to nowy zestaw interfejsów API dla oprogramowania budowanego dla Windows Vista Bazuje na .NET Framework 2.0 Zawiera wiele ulepszeń systemów zabezpieczających Code Access Security oraz nowe klasy i techniki bezpieczeństwa Usługi Windows Communication Foundation (WCF) wprowadzają model abstrakcji zabezpieczeń oraz są w pełni zgodne z wytycznymi WS-* dotyczącymi zabezpieczeń Wcześniej określane jako „Indigo' Sieci: Sieci NG TCP/IPProtokół TCP/IP następnej generacji w systemach Vista i „Longhorn”: NG TCP/IP Protokół TCP/IP następnej generacji w systemach Vista i „Longhorn' Nowy, całkowicie przepracowany zamiennik starego protokołu TCP/IP implementacja IPv6 na podwójnym stosie (dual-stack) z nowym obligatoryjnym protokołem IPSec Projekt protokołu IPv6 jest bezpieczniejszy niż IPv4, a w szczególności ze względu na: Prywatność, śledzenie, skanowanie portów sieciowych, poufność i integralność Inne zabezpieczenia sieciowe zarówno protokołu IPv4, jak i IPv6 Silny model hosta Platforma filterowania w systemie Windows Poprawiona odporność na poziomie protokołu na wszystkie znane bazujące na protokole TCP/IP ataki typu odmowa usługi i inne typy ataków sieciowych Przedziały routingu Autokonfiguracja i rekonfiguracja nie wymagająca ponownego uruchamiania Warto zapoznać się z: www.microsoft.com/technet/community/columns/cableguy/cg0905.mspx Zapora sieciowa systemu Windows Vista: Zapora sieciowa systemu Windows Vista Zarówno komunikacja przychodząca, jak i wychodząca Uwzględnia uwierzytelnianie i autoryzację Teraz jest możliwe filtorwanie komuniakcji wychodzącej uwzględniające aplikacje Obejmuje zarządzanie IPSec Oczywiście administracja w oparciu o zasady (group policy) Znakomita do kontroli sieci równorzędnych Kontrola dostępu do sieci: Kontrola dostępu do sieci NAP to nowa technologia mająca korzenie w kwarantannie sieci VPN, ale obecnie obejmująca wszystkich klientów sieci, a nie tylko dostęp zdalny Bazuje na serwerach obsługujących technologię NAP, co obecnie oznacza serwery Windows „Longhorn' Określa się zasady: wymaganych poprawek systemu operacyjnego, aktualizację sygnatur wirusów, obecność lub brak pewnych aplikacji i arbitralne sprawdzenia …a system wyklucza wszelki dostęp do sieci, jeśli zasady nie są spełnione, z wyjątkiem: dostępu do lokalizacji, z których można pobrać aktualizacje itp. Kontrola dostępu do sieci: Kontrola dostępu do sieci 1 Serwer zasad sieci Microsoft Network 3 Zgodność z zasadami DHCP, VPN Przełącznik/ router 2 Klient systemu Windows Vista 5 Niezgodność z zasadami 4 AIS i kontrola konta użytkownika: AIS i kontrola konta użytkownika Application Information ServiceAIS: Application Information Service AIS Nowa usługa systemu Windows implementująca User Account Control Cele: Redukcja wpływu szkodliwego oprogramowania, które nie zostało wykryte lub usunięte przez system Uproszczenie centralizacji wdrożeń pulpitu zarządzanego Usługa AIS jest ściśle zintegrowana z jądrem User Account Control: User Account Control Ułatwia realizację zasady najmniejszych uprawnień na dwa różne sposoby: Wszyscy użytkownicy są standardowymi użytkownikami Stare, czy bardziej „zachłanne' aplikacje będą wirtualizowane (patrz dalej) by nie zepsuć systemu Każda potrzeba prawdziwego wykorzystania uprawnień administratorskich wymaga: Selekcji użytkownika, który te uprawnienia ma, lub Potwierdzenia chęci wykonania danej operacji Warto zapoznać się z: www.microsoft.com/technet/windowsvista/evaluate/feat/uaprot.mspx Monitowanie o poświadczenia: Monitowanie o poświadczenia Monitowanie o zgodęUżytkownik potwierdza akcję wymagającą uprawnień administratora: Monitowanie o zgodę Użytkownik potwierdza akcję wymagającą uprawnień administratora Ma zastosowanie, gdy użytkownik ma wszystkie niezbędne uprawnienia, ale zanim zostaną użyte Nowa dodatkowa ochrona UAC: Użycie i zasady: UAC: Użycie i zasady Usługa UAC nie jest domyślnie włączona w Beta 1, ale będzie w następnej Należy ją włączyć z menu Start wbudowanego Administratora Usługa UAC nie działa w odniesieniu do wbudowanego konta Administratora To konto działa w „zwykły sposób' Kontroluje się ją za pośrednictwem zasad Ustawienia zasad lokalnych; Zasady lokalne; Opcje zabezpieczeń; „User Account Control: Zachowanie monitu podniesienia uprawnień' Brak monitu – podniesienie w trybie dyskretnym Monit o zgodę – zapytać użytkownika, czy kontynuować (Tak/Nie) Monit o poświadczenia – użytkownik musi podać hasło logowania, zanim będzie mógł kontynuować (domyślny) Tryb zgody Administratora Fundamentalna zmiana działania systemu Windows: Fundamentalna zmiana działania systemu Windows Poprawa systemu, tak aby dobrze działał jako standardowy użytkownik Zapewnienie bezpiecznej metody uruchamiania wybranych aplikacji w podniesionym kontekście Wymóg zaznaczania aplikacji „nie-UAC', jeżeli prawdziwie potrzebują praw administratorskich Jasno wskazać, że działania rzutują na stan całego komputera Użycie ikony kolorowej tarczy w menu i na przyciskach Wirtualizacja zmian w rejestrach i plikach systemowych w celu zapewnienia zgodności Zapisy do rejestru dotyczące komputera są przekierowywane do lokalizacji dotyczących użytkownika, jeśli użytkownik nie ma uprawnień administracyjnych W efekcie: standardowe konta mogą bezpiecznie uruchamiać starsze aplikacje wymagające uprawnień administracyjnych! Można zarządać przekierowania wirtualizacji do innego miejsca Uwierzytelnianie i autoryzacja: Uwierzytelnianie i autoryzacja Działanie logowania Windows: Działanie logowania Windows Interfejsy Credential Service Provider zastąpiły bibliotekę GINA Interfejs użytkownika logowania może oddziaływać z wieloma wtyczkami Credential Providers Bezpośrednia obsługa uwierzytelniania wieloczynnikowego: karty inteligentne i tokeny, biometria itp. Interfejs plug-and-play dla kart inteligentnych Typowi dostawcy usług kryptograficznych (CSP) oraz Moduły komunikacyjne kart Propagacja certyfikatu głównego Zintegrowane odblokowywanie kart inteligentnych Karty inteligentne i tokeny: Karty inteligentne i tokeny Uproszczone programowanie Typowe funkcje kryptograficzne mogą być obsłużone przez platformę Nie ma potrzeby programowania niestandardowych dostawców CSP Microsoft Certificate Lifecycle Management Server Dostarczanie i zarządzanie Integracja infrastruktury PKI z CA Entrust Integracja infrastruktury PKI z usługą Active Directory (!) Oparte na rozwiązaniu Alacris idNexus zakupionym przez firmę Microsoft w wrześniu 2005 Selektor tożsamości InfoCardSpójny interfejs użytkownika do wyboru tożsamości: Selektor tożsamości InfoCard Spójny interfejs użytkownika do wyboru tożsamości Użytkownicy potrzebują prostego, wizualnego sposobu obsługi wielu tożsamości elektronicznych: Identyfikatory rządowe, firmowe, samodzielnie podpisane (takie jak nazwa użytkownika i hasło do witryny sieci Web) Jedna wizualna abstrakcja dowolnego typu tożsamości (PKI, hasło, token, sekret, itp.) Wizja: Interfejs użytkownika wspólny dla całej branży Patrz 7 „Laws of Identity' pod adresem www.identityblog.com Powiązanie z metasystemem tożsamości Infocard to jeden z interfejsów API WinFX Powiązanie z IAMZarządzanie tożsamością i dostępem: Powiązanie z IAM Zarządzanie tożsamością i dostępem IAM gwałtownie zyskuje na znaczeniu, gdyż korporacje muszą uporać się z „chaosem tożsamości' Przede wszystkim za pomocą systemu Microsoft Identity Integration Server (MIIS) do zarządzania cyklem życia tożsamości Integracja Menedżera autoryzacji (AzMan); system Windows Vista będzie mieć wbudowaną obsługę kontroli dostępu opartą na rolach (RBAC) Z obsługą programu SQL Server, grup reguł biznesowych, rozbudowanych zapytań LDAP, interfejsu selektora obiektów Active Directory Federation Services (ADFS) Eksponowanie i federowanie usługi Active Directory przy użyciu standardów zabezpieczeń WS-* Przydatne do pojedynczego rejestrowania w sieci Web Zintegrowana kontrola zabezpieczeń: Zintegrowana kontrola zabezpieczeń Kontrola instalacji urządzeń: Kontrola instalacji urządzeń Kontrola instalacji urządzeń wymiennych za pośrednictwem zasad Głównie na potrzeby wyłączania instalacji urządzeń USB, gdyż wiele korporacji obawia się wycieku własności intelektualnej Kontrola na podstawie klasy urządzenia Zaakceptowane urządzenia mogą być wstępnie wpisane do zaufanego Magazynu sterowników (Driver Store) Gdy sterownik zostanie umieszczony w magazynie sterowników przez administratora, to mogą być instalowane niezależnie od uprawnień aktualnie zalogowanego użytkownika Client Security Scanner: Client Security Scanner Wyszukuje i raportuje stan zabezpieczeń klienta Windows: Poprawek i aktualizacji Stanu zabezpieczeń Plików podpisów Stanu oprogramowania zwalczającego szkodliwe programy Możliwość raportowania własnego stanu przez system Windows Informacje mogą być zbierane centralnie lub po prostu przeglądane w Centrum zabezpieczeń przez użytkowników i administratorów Restart Manager: Restart Manager Niektóre aktualizacje wymagają ponownego uruchomienia systemu Program Restart Manager będzie: Minimalizować liczbę niezbędnych ponownych uruchomień, buforując aktualizacje Obsługiwać ponowne uruchomienia komputerów, które mogą być zablokowane przez użytkownika z uruchomionymi aplikacjami Na przykład po ponownym uruchomieniu program Microsoft Word otworzy dokument na stronie 42, czyli w miejscu, w którym był otwarty przed ponownym uruchomieniem Oczywiście ta funkcja ma największe znaczenie dla scentralizowanego zarządzania pulpitami w korporacjach, a nie dla domowych użytkowników Bezpieczny rozruch: Bezpieczny rozruch Trusted Platform ModuleTPM Chip Version 1.2: Trusted Platform Module TPM Chip Version 1.2 Sprzęt obecny w komputerze, np. układ na płycie głównej Bezpieczne przechowywanie poświadczeń, takich jak klucz prywatny certyfikatu komputera z obsługą funkcji kryptograficznych Jest to istota działania kart inteligentnych Wspiera ochronę wtórną za pomocą kluczy USB i haseł Moduł TPM może być używany do zgłaszania żądań cyfrowego podpisania kodu i plików oraz do wzajemnego uwierzytelniania urządzeń Patrz www.trustedcomputinggroup.org Integralność kodu: Integralność kodu Wszystkie biblioteki DLL i pliki wykonywalne systemu operacyjnego zostały podpisane cyfrowo Podpisy są weryfikowane w momencie ładowania składników do pamięci Bitlocker™: Bitlocker™ Narzędzie BitLocker szyfruje i podpisuje cały dysk twardy (full-volume encryption) Układ TPM zapewnia zarządzanie kluczami Możliwość stosowania dodatkowych zabezpieczeń, takich jak klucz szyfrujący USB, PIN lub hasło Wszelkie nieautoryzowane modyfikacje danych lub systemu operacyjnego wprowadzone w trybie offline są wykrywane i nie jest udzielany dostęp Zapobiega atakom wykorzystującym narzędzia bazujące na dostępie do dysku twardego, gdy system Windows nie działa, i wymuszające proces uruchomienia systemu Ochrona przed utratą danych w wyniku kradzieży komputera przenośnego Istotna część funkcji bezpiecznego rozruchu Należy uważnie zaplanować strategię przywracania! Ochrona danych: Ochrona danych RMS, EFS oraz BitLockerSzyfrowanie zapewniające poufność (zabezpieczenia przed kradzieżą danych): RMS, EFS oraz BitLocker Szyfrowanie zapewniające poufność (zabezpieczenia przed kradzieżą danych) Trzy poziomy ochrony: Usługi zarządzania prawami dostępu (RMS) Narzucanie uprawnień opartych na zasadach w odniesieniu do poszczególnych dokumentów Szyfrowanie systemów plików (EFS) Szyfrowanie plików lub folderów w celu zapewnienia poufności danych Pełne szyfrowanie woluminów z BitLocker Szyfrowanie poszczególnych woluminów (patrz wcześniej) Uwaga: nie jest konieczne używanie modułu TPM w odniesieniu do usług RMS i EFS Teraz funkcja EFS może używać kart inteligentnych i tokenów! Aktualnie funkcja RMS jest oparta na technologii „lockbox.dll', a nie na rozwiązaniu TPM Nowa kryptografia: CNG: Nowa kryptografia: CNG Interfejs CAPI 1.0 nie jest zalecany Może zostać usunięty w przyszłych wydaniach systemu Windows CNG: Otwarty interfejs kryptograficzny dla systemu Windows Możliwość podłączania implementacji w trybie jądra lub użytkownika: Własnościowych algorytmów kryptograficznych Algorytmów zastępujących standardowe algorytmy kryptograficzne Dostawców KSP (Key Storage Provider) Konfiguracje kryptograficzne na poziomie przedsiębiorstwa lub komputera Zgodność z przepisami: Zgodność z przepisami Rozwiązania kryptograficzne systemu Windows Vista są zgodne z: Certyfikatem Common Criteria (CC) csrc.nist.gov/cc Obecnie w wersji 3 Wymaganiami FIPS dotyczącymi silnej izolacji i inspekcji US NSA (National Security Agency) CSS (Central Security Service) Suite B System Vista obsługuje algorytmy NSA Suite Bwww.nsa.gov/ia/industry/crypto_suite_b.cfm : System Vista obsługuje algorytmy NSA Suite B www.nsa.gov/ia/industry/crypto_suite_b.cfm Algorytmy kryptograficzne do wszystkich amerykańskich zastosowań nieopatrzonych klauzulą tajności i tajnych (SECRET oraz TOP-SECRET) Z wyjątkiem wąskiego obszaru wymagań specjalnych zabezpieczeń (np. bezpieczeństwa nuklearnego) – określonych jako Suite A (definicja jest utajniona) Ogłoszone przez NSA na konferencji RSA w lutym 2005 Szyfrowanie: AES FIPS 197 (z kluczami o długości 128 oraz 256 bitów) Podpis cyfrowy: EC-DSA FIPS 186-2 (korzystający z krzywych z 256- i 384-bitowymi współczynnikami pierwszymi) Wymiana kluczy: Elliptic Curve Diffie-Hellman lub Elliptic Curve MQV Draft NIST Special Publication 800-56 (korzystający z krzywych z 256- i 384-bitowymi współczynnikami pierwszymi) Mieszanie: Secure Hash Algorithm (SHA-2) FIPS 180-2 (korzystający z SHA-256 oraz SHA-384) Ulepszenia usług certyfikatów: Ulepszenia usług certyfikatów Przede wszystkim kompletne scenariusze aplikacji PKI Bezpieczne sieci bezprzewodowe, VPN, IPsec, EFS, Logowanie przy użyciu karty inteligentnej, SSL/TLS, S/MIME i podpisy cyfrowe Ulepszenia zarządzania cyklem życia poświadczeń Skalowalne usługi wycofywania i przetwarzania X509 we wszystkich aplikacjach Zintegrowany odpowiadający protokół OCSP (Online Certificate Status Protocol) dla usług odwoływania (dużych wolumenów/dużej szybkości) Rejestrowanie certyfikatów użytkownika Rozprzestrzenianie certyfikatów komputera i użytkownika na urządzeniach całej domeny Nowa hierarchia klas Zintegrowany interfejs użytkownika Obsługa zaawansowanej kryptografii, oczywiście za pomocą nowej kryptografii Streszczenie: Streszczenie Zabezpieczenia systemu Windows VistaNajbezpieczniejszy system Windows: Zabezpieczenia systemu Windows Vista Najbezpieczniejszy system Windows SDL Wzmocnienie usług Skanowanie kodu Domyślna konfiguracja Integralność kodu IE –tryb chroniony/anty-phishing Windows Defender Dwukierunkowa zapora sieciowa Ulepszenia protokołu IPSEC Kontrola dostępu do sieci (NAP) Eliminacja zagrożeń i luk Podstawy Kontrola tożsamości i dostępu User Account Control Karty inteligentne Plug and Play Uproszczona architektura logowania BitLocker Klient RMS Slide50: © 2005 Project Botticelli Ltd andamp; Microsoft Corporation. Wszelkie prawa zastrzeżone. Ta prezentacja ma wyłącznie charakter informacyjny. FIRMY PROJECT BOTTICELLI, MICROSOFT I SQL SKILLS NIE UDZIELAJĄ W TYM DOKUMENCIE ŻADNYCH GWARANCJI, WYRAŻONYCH WPROST LUB W SPOSÓB DOROZUMIAŁY. Należy zweryfikować wszystkie przedstawione informacje, zanim się z nich skorzysta. Eandamp;OE.