La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

Sicurezza e protezione dei dati. Agenda Code integrity BitLocker (Avvio sicuro) Hardening dei servizi User Account Control IE7 protected mode.

Presentazioni simili


Presentazione sul tema: "Sicurezza e protezione dei dati. Agenda Code integrity BitLocker (Avvio sicuro) Hardening dei servizi User Account Control IE7 protected mode."— Transcript della presentazione:

1 Sicurezza e protezione dei dati

2 Agenda Code integrity BitLocker (Avvio sicuro) Hardening dei servizi User Account Control IE7 protected mode

3 Code Integrity protezione da attacchi on-line

4 Code integrity Valida lintegrità di ogni immagine binaria Verifica hash per ogni pagina al caricamento Verifica ogni immagine caricata in un processo protetto Implementato come un filtro del file system Hash salvati nel system catalog o in certificati X.509 inseriti nel file Verifica anche lintegrità del processo di boot kernel, HAL, driver di boot-start Se la verifica fallisce il sistema non si avvia Binari di WindowsSi Driver certificati di terze parti (WHQL)Si Driver non firmatiDa policy Binari di applicazioni di terze partiNo

5 Firma del codice Non confondere validazione di hash con firma digitale x64Tutto il codice di kernel deve essere firmato o non viene caricato Driver di terze parti devono avere certificazione WHQL o contenere un certificato rilasciato dalla CA di Microsoft Non ci sono eccezioni Codice in user mode non necessita di firma a meno che: Implementi funzioni di crittografia Sia caricato nel servizio di gestione delle licenze x32La firma si applica solo ai driver forniti con Windows Controllabile via policy cosa fare degli altri driver Codice in kernel mode non firmato viene caricato Codice in user mode trattato come in x64

6 BitLocker protezione da attacchi off-line

7 BitLocker (Avvio sicuro) Assicura integrità del boot Resistente agli attacchi Protegge il sistema da attacchi off-line software Blocca i sistemi modificati Previe lavvio su i file controllati vengono alterati Protegge i dati quando sono off-line Cripta i dati utenti e i file di sistema Tutti i dati sul volume sono criptati: dati utente, dati di sistema, pagefile, file per ibernazione, temp, crash dump Ombrello di protezione Applicazioni di terze parti beneficiano della criptatura quando installate su partizioni protette da BitLocker Facile smaltimento dei sistemi Semplifica il ricicloDati utente inaccessibili cancellando lo store delle chiavi del TPM Accellera la cancellazione sicura di dati La cancellazione richiede secondi e non ore

8 Richieste hardware Trusted Platform Module (TPM) v1.2 Microcontroller su piastra madre Mantiene chiavi, password, certificati e misure di integrità Chiavi rilasciate solo con avvii regolari Confronta ogni processo di boot con le misure salvate in precedenza Ogni modifica apportata, tra due boot regolari, al volume criptato lo rende inaccessibile Nessuna interazione o visibilità da parte dellutente Chiavi possono essere salvate in Active Directory per i ripristini Proibisce luso di software di debugging durante lavvio Richiede il supporto per TPM Interface (TIS) Firmware (Convenzionale o EFI BIOS) compatibile TCG Stabilisce una catena della fiducia per la parte di boot pre-OS Deve supportare le Static Root Trust Measurement (SRTM) specificate da TCG Vedere a

9 Abilitazione di BitLocker Abilitare il chip TPM (normalmente nel BIOS) Abilitare BitLocker da pannello di controllo Viene modificato MBR Criptata la partizione Windows Generate le chiavi di criptatura simmetriche Chiavi salvate nel TPM La criptatura avviene dopo riavvio (come conversione FAT NTFS) Creata una partizione di sistema attiva di ~50MB TPM-aware, formattata in NTFS, contenente un boot manager TPM-aware

10 VE K 2 3 SRKSRK 1 Struttura del disco Le partizioni criptate dellOS contengono: OS criptato Page file criptato File temporanei criptati Dati criptati File di ibernazione criptato La System Partition contiene utility per il boot (non criptate, 50MB) MBR Dove sono le chiavi di criptatura? 1.SRK (Storage Root Key) contenuta nel TPM 2.SRK cripta VEK (Volume Encryption Key) protetta da TPM/PIN/Dongle 3.VEK (criptata da SRK) su HD nella Boot Partition

11 Funzionamento del TPM Reset di tutti i registri e trasferimento dellesecuzione al Core Root of Trust Measurement Misura la successiva porzione del firmware in PCR[0] e i dati in in PCR[1] (Test hardware e configurazione) Codice sempre misurato prime di essere eseguito Misure sono hash SHA-1 dei dati/codice controllato concatenati con hash nel PCR precedente Misure scritte in modo permanente nel PCR Opzioni di ROM e dati in PCR[2] e [3] MBR in PCR[4], tabella delle partizioni in PCR[5] PCR[0] PCR[1] PCR[2] PCR[3] PCR[4] PCR[5] PCR[6] PCR[7] PCR[8] PCR[9] PCR[10] PCR[11] PCR[12] PCR[13] PCR[14] PCR[15] Platform Configuration Registers

12 Funzionamento del TPM Controllo passato a MBR; Carica il primo settore della partizione di boot attiva in memoria Misura i primi 512 byte in PCR[8] Caricamento del settore di boot Misurazione del rimanente in PCR[9] e trasferimento dellesecuzione Codice di boot misura BOOTMGR in PCR[10] e trasferisce lesecuzione Ogni ulteriore applicazione di boot deve essere caricata dalla sola partizione criptata Il BOOTMGR trasferisce il controllo al sistema operativo OS verifica integrità di ogni eseguibile caricato PCR[0] PCR[1] PCR[2] PCR[3] PCR[4] PCR[5] PCR[6] PCR[7] PCR[8] PCR[9] PCR[10] PCR[11] PCR[12] PCR[13] PCR[14] PCR[15] Platform Configuration Registers

13 Ripristino delle chiavi Abilitazione della funzione Accesso alla rete via AD Deposito della chiave per esempio in AD (o su drive USB) Il computer ha Problemi HW HD della macchina rotta inserito nella nuova macchina Utente chiama SysAdmin SysAdmin sblocca e fornisce la chiave utente dopo aver verificato le credenziali

14 Coesistenza con altri OS BitLocker cripta le partizioni Non è possibile avviare altri sistemi operativi dalla stessa partizione Sistemi operativi su altre partizioni funzionano correttamente Tentativi di modificare la partizione Windows protetta la rende inutilizzabile Rimpiazzare MBR Modificare ogni singolo single bit

15 Dischi BitLocker in XP

16 Dischi BitLocker in Vista

17 Dischi BitLocker in Linux 1 3 Errori in Linux con volumi Bitlocker 1.Fdisk legge la tavola delle partizioni e pensa che il disco sia ntfs 2.Tipo fs errato, opzioni errate, superblock errato su /dev/sda2, codepage mancante o altri errori 3. Settore di boot principale non valido 2

18 Hardening dei servizi Protezione dei servizi dagli exploit

19 Windows XP User Kernel Admin System Services 1.Pochi livelli 2.Molti privilegiati 3.Pochi controlli tra i livelli

20 Windows Vista Servizi di sistema D D D User Account Control (LUA) Hardening dei servizi Admin Servizio 1 D D D Kernel Servizio 2 Servizio 3 D D D Servizi a bassi privilegi Programmi a bassi privilegi 1.Numero livelli aumentato 2.Servizi segmentati 3.Riduzione della dimensione dei livelli ad alto rischio Utente LUA Svc 6 Svc 7 Driver in user mode

21 Hardening dei servizi Ridisegno dei servizi Muovere i servizi da LocalSystem a qualcosa con meno privilegi Se necessario dividere il servizio in modo che solo la parte che richiede i diritti di LocalSystem li abbia Profilazione dei Servizi Abilitare i servizi a limitare il proprio comportamento Le risorse possono avere ACL che consentono laccesso allID del servizio solo per la parte necessaria Inclusione di regole per definire il comportamento in rete È il concetto dei minimi privilegi

22 Ridisegno Pochi sviluppatori usano LocalService/NetworkService Spesso non forniscono gli accessi necessari Necessario qualcosa di diverso da tutto o nulla! Idealmente si devono togliere i servizi da LocalSystem Se non fanno operazioni privilegiate Normalmente richiedono solo modifiche alle ACL di driver e chiavi di registry In caso diverso si divide il servizio in due parti La parte principale che non esegue operazioni privilegiate La parte privilegiata Si esegue autenticazione tra le due parti (che hanno uguale SID)

23 Ridisegno dei servizi in SVCHOST Windows XP Service Pack 2 LocalSystemWireless Configuration System Event Notification Network Connections COM+ Event System NLA Rasauto Shell Hardware Detection Themes Telephony Windows Audio Error Reporting Workstation ICS BITS RemoteAccess DHCP Client W32time Rasman Browser 6to4 Help and Support Task Scheduler TrkWks Cryptographic Services Removable Storage WMI Perf Adapter Automatic updates WMI App Management Secondary Logon Network Service DNS Client Local ServiceSSDP WebClient TCP/IP NetBIOS helper Remote Registry Windows Vista LocalSystem Network restricted Removable Storage WMI Perf Adapter Automatic updates TrkWks WMI App Management Secondary Logon LocalSystem Demand started BITS Network Service Restricted DNS Client ICS RemoteAccess DHCP Client W32time Rasman NLA Browser 6to4 Task scheduler IPSEC Services Server Cryptographic Services Local Service Restricted No network access Wireless Configuration System Event Notification Shell Hardware Detection Network Connections Rasauto Themes COM+ Event System Local Service Restricted Telephony Windows Audio TCP/IP NetBIOS helper WebClient Error Reporting Event Log Workstation Remote Registry SSDP

24 Profilazione dei servizi Il profilo di un servizio Restringe il servizio alle sole risorse necessarie Blocca la persistenza e la propagazione di malware Forza laccesso alla rete ad azioni definite Ogni servizio ha un identificativo univoco chiamato service SID Il profilo è un insieme di ACL che Consente ad un servizio di usare una risorsa Definisce le porte a cui puo accedere per laccesso alla rete I servizi possono girare come LocalService o NetworkService e ricevere diritti superiori quando necessario

25 Service SID S Nessuna amministrazione necessaria Basato su token write-restricted Restrizione della possibilità di scrittura in un token per il SID del servizio (es.SID-A) Il processo può scrivere solo sulle risorse che hanno un ACL che lo consente al SID-A Non può accedere ad altre risorse anche se altri SID nel token lo consentono

26 Restrizione del servizio Un servizio limitabile scrive due proprietà nel registry Una per indicare che può essere limitato Una per indicare quali privilegi richiede Allavvio del servizio il Service Control Manager Calcola il service SID Aggiunge il service SID al token del processo del servizio Crea un token write-restricted Rimuove i privilegi non necessari dal token Il servizio imposta le ACL sulle risorse a cui solo lui può accedere Esempio: su SysEvent.evt si impostano AC per consentire solo al servizio event log di scriverci È un processo volontario. Il servizio decide di limitare se stesso. È una buona pratica di sviluppo perchè riduce la possibilità che malware abusi del servizio. Non è un processo forzato dal sistema. Servizi di terze parti possono non seguirlo.

27 Forzatura degli accessi alla rete Quattro scenari Nessuna porta (no accesso alla rete) Porte fisse (porta definita a design time) Porte configurabili (porta modificabile da Admin) Porte dinamiche (porte definite a runtime) Espresse come voci di registry Estensibili per supportare altri scenari futuri (es. Filtri su sessioni/protocolli) Modifiche alla configurazione applicate immediatamente senza reboot o riavvio del servizio Regole non fermabili a servizio attivo

28 Regole di accesso alla rete Interazione con windows firewall Non disabilitabili da WF o software di terze parti Per le porte dinamiche, netenf configura il WF Regole di firewall Consente traffico inbound/outbound per Rpcss "V2.0; Action=Allow; Dir=Out; RPort=135; Protocol=tcp; Protocol=udp; App=%windir%\System32\svchost.exe; Svc=rpcss; Name=Allow outbound rpcss tcp/udp traffic; "V2.0; Action=Allow; Dir=in; LPort=135; Protocol=tcp; Protocol=udp; App=%windir%\System32\svchost.exe; Svc=rpcss; Name=Allow inbound tcp/udp rpcss; "V2.0; Action=Block; App=%windir%\System32\svchost.exe; Svc=rpcss; Name=Block any other traffic to and from rpcss;"

29 User Account Control Accesso con bassi privilegi

30 Mandatory Integrity Control Due token per processo: LUA e Privileged Access Entrambi con lo stesso SID utente I token adesso hanno un campo addizionale per inserire un Livello di Integrità (LI) Nota: non si applica allaccount Administrator built-in I processi LUA hanno integrità minore e non possono Cercare di elevare i privilegi modificando processi con token PA Modificare i dati creati e usati dai processi PA Mandare messaggi alle finestre dei processi PA o di qualsiasi altro processo con livello di integrità superiore I processi LUA possono leggere dati posseduti da processi PA

31 Livelli di integrità SistemaAltoMedioBassoNon fidato Local System Local Service Network Service Token Elevated Token LUA Authenticated Users Mondo (Everyone) Anonymous Tutti gli altri token La shell gira qui

32 Obbiettivi di UAC Basato su Mandatory Integrity Control Tutti gli utenti, anche gli amministratori, sono Standard User per default Gli amministratori usano pieni privilegi solo per attività amministrative Deve essere dato un consenso esplicito per lelevazione di privilegi

33 Come funziona UAC Durante il logon interattivo, LSA filtra il token disabilitando eventuali SID privilegiati LSA aggancia la sessione di logon del token filtrato al token privilegiato in kernel LSA ritorna il token filtrato (token di un normale utente) a Winlogon Winlogon usa questo token per avviare la shell Tutte le applicazioni lanciate dallutente ereditano il token filtrato (utente standard) ATTENZIONE: lutente resta un amministratore ATTENZIONE: si applica solo al logon interattivo

34 Impostazione di UAC Molte opzioni sono impostate via policy locali Richiesta di elevazione per amministratori Richiesta di elevazione per utenti normali Elevazione durante linstallazione Modalità di approvazione per amministratori Virtualizzazione (redirezione) di file e registry Alcune operazioni sono consentite Modifica della time zone Modifica di alcuni parametri di rete (esempio chiave WEP) Aggiunta di stampanti e altri device

35 Internet Explorer 7

36 Internet Explorer 7 Protected Mode Basato su User Account Protection per proteggere i dati utente Costringe Internet Explorer a girare in modalità read-only eccetto che per i folder Temporary Internet Files e History Blocca i tentativi del malware di cancellare i dati utenti, modificare le impostazioni del browser, o fare aggiunte al folder Startup senza il permesso dellutente Richiede sempre il permesso dellutente per installare Add-in Modifiche nellarchitettura di IE per ridurre cross-domain exploit Opzione di ripristino dei valori di fabbrica se si sospetta attacco

37 IE6 IE6 in esecuzione come Admin Installa un driver, Avvia Windows Update Modifica impostazioni, Download di immagini Cache dei contenuti Exploit possono installare MALWARE Accesso come Admin Accesso come User Temp Internet Files HKLM Program Files HKCU My Documents Startup Folder File e impostazioni non fidati

38 IE7 in Protected Mode IE7 in Protected Mode IE7 in Protected Mode Installa un driver, Installa un controllo ActiveX Modifica delle impostazioni, Salva immagini Integrity Control Broker Process Impostazioni e file rediretti Compat Redirector Contenuti in cache Accesso come Admin Accesso come User Temp Internet Files HKLM HKCR Program Files HKCU My Documents Startup Folder File e impostazioni non fidati

39 Virtualizzazione di file e registry IE i tentativi di scrittura non autorizzati in HKCU\Software\Microsoft\Internet Explorer\Low Rights\Virtual Documents and Settings\%user profile%\Local Settings\Temporary Internet Files\Virtual Se IE prova a scrivere qui……viene ridiretto qui HKCU\Software\FooBarHKCU\Software\MS\IE\Low Rights\Virtual\Software\FooBar C:\Documents and Settings\%user profile%\FooBar C:\Documents and Settings\%user profile%\Local Settings\Temporary Internet Files\Virtual\FooBar

40 Windows Firewall

41 Cosa ce di nuovo in Windows Firewall Gestione combinata di firewall e IPsec Snap-in Windows Firewall with Advanced Security e netsh advfirewall Filtri in/out per IPv4 e IPv6 Inbound: default è block Outbound: default è allow Regole possono usare path di programmi o service name Policy di sicurezza granulari Eccezioni per utente Eccezioni per gruppi Profili multipli (Domain Profile e Standard Profile) Nuovi algoritmi crittografici Criptatura: AES-128, AES-192, AES-256 Scambio di chiavi: ECDH P-256, ECDH P-384 Restrizione dei servizi (filtri basati su Service SID)

42 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. MICROSOFT MAKES NO WARRANTIES, EXPRESS OR IMPLIED, IN THIS SUMMARY.


Scaricare ppt "Sicurezza e protezione dei dati. Agenda Code integrity BitLocker (Avvio sicuro) Hardening dei servizi User Account Control IE7 protected mode."

Presentazioni simili


Annunci Google