38
NOVÉ BEZPEČNOSTNÍ PRVKY MS WINDOWS 8 mjr. Ing Milan Jirsa, Ph.D. Univerzita obrany Brno [email protected]
NOVÉ BEZPEČNOSTNÍ PRVKY MS WINDOWS 8mjr. Ing Milan Jirsa, Ph.D.Univerzita obrany [email protected]
Vybrané bezpečnostní prvky• Picture password• Secure Boot (Trusted boot, Measured boot)• Bitlocker• Biometric security• Security Compliance Manager
Picture password• Místo hesla 3 gesta na obrázku• Vhodné pro dotykové obrazovky, lze ale použít i myš• Typ gesta: bod, úsečka, kružnice (poslední dvě gesta včetně orientace)• Pořadí zadávání se nemění• Obrázek lze volit• Po 5 neúspěšných pokusech se přejde do režimu obvyklého zadání textového hesla• Při vyhodnocování gest se bere do úvahy rozlišení monitoru, průměrná velikost prstu, nemožnost přesného opakování
Picture passwordVyhodnocení gesta typu bod – skóre v 37 polích matice 100x100 musí být větší než 90%
Picture password• Výhody: snadné zapamatování, rychlé zadání• Možné útoky: smudge attack, shoulder surfing, snímání obrazovky, brute force attack
• Smudge attack – sledování šmouh na displeji, útočník má 5 pokusů, protiopatřením je pečlivé utírání displeje (po přihlášení, před ním to laskavě udělá útočník)• Shoulder surfing – odpozorování zjednodušuje zpětná vazba, kterou operační systém poskytuje při zadávání gest
Picture passwordBrute force attack• Důležitá je volba obrázku – měl by obsahovat co nejvíce tzv. bodů zájmu (vhodný obrázek by jich měl mít alespoň 10, teoreticky jich může být 10 000, protože obrázek je rozdělen na matici 100x100polí)• 10 bodů zájmu = 10 různých gest typu bod, 20 různých kružnic, 90 různých úseček (celkem 120 možností ve třech krocích odpovídá 1203 = 1 728 000 celkem hesel)• Doporučení: nepoužívat jen body, úsečky jsou nejlepší, střídat různá gesta
Použití lze zakázat• pomocí nástroje gpedit.msc (editace místního GPO)
Secured Boot• Windows nabízí mnoho bezpečnostních prvků, které ale
uživatele chrání až po úspěšném spuštění operačního systému.
• Secure Boot je postup spouštění počítače, jehož cílem je zabránit malwaru zmocnit se spouštěného počítače a modifikovat proces zavádění operačního systému (bootkit a rootkit), ještě předtím, než se Windows spustí a začnou fungovat jeho zabudované bezpečnostní prvky.
• Protokol Secure Boot je součástí specifikace UEFI (Unified Extensible Firmware Interface), která byla navržena jako náhrada rozhraní BIOS.
• Windows 8 BIOS stále podporuje, ale na UEFI 2.3.1 nabízí vyšší bezpečnost zavádění systému, protože Secure Boot povolí spouštění jen podepsanému kódu.
Secured Boot
Zavádění systému z BIOSu může malware narušit a spustit se ještě před operačním systémem.
UEFI firmware umožní spustit jen podepsané zavaděče operačního systému.Zavaděč operačního systému ověřuje signatury dalších spouštěných částí Windows (kontrola integrity), pokud signatura neodpovídá spustí Trusted Boot obnovu ze záložní kopie.
BIOS zavaděč OS(Malware) start OS
UEFIpouze důvěryhodný zavaděč
start OS
Zdroj:http://technet.microsoft.com/en-us/windows/dn168167.aspx
ELAM• ELAM (Early Launch Anti-Malware) testuje ovladače hardwaru před jejich zavedením, neschválené ovladače nezavede• Antimalware od MS nebo jiné firmy je spuštěn před ostatními ovladači (není to plnohodnotné řešení, příliš by to zpomalovalo start)• Windows Defender podporuje ELAM
Measured bootMeasured boot – firmware zaznamená podrobná data o průběhu spouštění systému, Windows poté tato data odešle na důvěryhodný server, kde jsou využita k posouzení stavu počítače:1. UEFI firmware ukládá na TPM (Trusted Platform
Module) čip hash hodnoty firmwaru, zavaděče a ostatního softwaru, který se spustí před ELAM.
2. Když končí proces spouštění systému, Windows spustí klienta pro ověření (remote attestation client). Důvěryhodný ověřovací server klientovi zašle jedinečný klíč.
Measured boot3. Zaznamenaný průběh spouštění se tímto klíčem
podepíše.4. Klient zašle podepsaný záznam na server, který
může posoudit, zda je PC v pořádku.
Measured boot
Zdroj:http://technet.microsoft.com/en-us/windows/dn168167.aspx
Platform Keypub
Key Exchange Keypub
Allow DB “db” Disallow DB “dbx”
Platform Key (PK)• pouze jeden• umožňuje modifikovat databázi KEK
Key Exchange Key (KEK)• jeden či více klíčů• umožňuje modifikovat db and dbx
Authorized Database (db)• povolené podpisy, klíče nebo hashe
Forbidden Database (dbx)• zakázané podpisy, klíče nebo hashe
UEFI klíče
Secured Boot• Pokud mají nová zařízení získat certifikaci pro Windows 8, požaduje Microsoft, aby byla funkce Secure boot zapnuta (certifikace je nepovinná, ale pro marketing užitečná).• Tuto funkci lze vypnout na PC, ale ne na tabletech.• Databáze důvěryhodných klíčů v TPM čipu musí obsahovat klíč firmy Microsoft.
• Alternativní operační systémy se cítily ohroženy (každý tvůrce Linuxové distribuce, by potřeboval, aby též jeho klíč byl v TPM čipu).
Secured BootŘešení problémuLinux Foundation má od Microsoftu podepsaný malý „pre-bootloader“, který umožní bootovací proces, ale dále již řízení předá současným zavaděčům (např. GRUB).
UEFI BIOS je k dispozici jen na nejnovějším hardwaru, secure boot je často standardně vypnut.
BitlockerStále je možné použít i šifrovaný souborový systém EFS
Šifrování disků nazvané BitLocker se objevilo již ve Windows Vista, ale ve Windows 8 má být šifrování disků rychlejší, protože je možné ho svěřit hardwaru, nebo lze zašifrovat jen použité místo na disku.Podporuje šifrování systémového i datového oddílu.V případě zašifrování systémového disku nabízí celou řadu předbootovacích autentizačních možností:• TPM-only, PIN/Password, Network Unlock, USB storage
Bitlocker to Go• Umožňuje zašifrovat externí disky (např. USB flash disk)• Přístup pro čtení na Windows Vista a Windows XP vyžaduje dodatečnou aplikaci (Bitlocker to Go Reader)• Heslo musí mít alespoň 8 znaků, pokud ho uživatel zapomene, lze použít recovery key• Disk je možné zpřístupnit hned při přihlášení
Bitlocker to Go
Bitlocker to Go
Bitlocker to Go
Biometric Security• Windows 8 obsahují rozhraní Windows Biometric Framework, které jednotným způsobem zpřístupňuje bometrická zařízení aplikacím.• Předchozí verze Windows tato zařízení podporovala, ale bylo zapotřebí dodat speciální ovladače a software. Nyní je podpora součástí operačního systému.• Lepší podpora biometrických zařízení se projeví například možností použít rychlé přepínání uživatelů společne se čtečkou otisků prstů.
Security Compliance Manager (SCM)• Volně dostupný nástroj pro klienty s Windows• Silnější náhrada nástroje Security configuration and Analysis• Předpřipravené politiky založené na doporučeních Microsoft Security Guide a obecných bezpečnostních praktikách usnadňují bezpečné nastavení operačního systému• Politiky lze aplikovat prostřednictvím GPO objektů a nástroje System Center Configuration Manager• Lze použít i na samostatných počítačích
LocalGPO Tool• Při instalaci nástroje SCM, se v instalačním adresáři vytvoří samostatný adresář pro nástroj zvaný LocalGPO Tool (LGT). • Je to konzolový nástroj, který lze nainstalovat na počítači samostatně.• Pomocí nástroje SCM je možné všechna potřebná nastavení uložit do formátu GPO backup, LGT je schopen tato nastavení přenést na samostatný počítač.
LocalGPO ToolNástroj lze použít k exportu místní politiku do souboru ve formátu GPO backup, který se dá importovat do aktivního adresáře nebo přenést na jiný samostatný počítač. Tam je ale třeba mít nainstalovaný LocalGPO Tool.cscript LocalGPO.wsf /Path: "c:GPOBackups" /ExportMístní politiku je možné exportovat do formátu nazvaného GPOPack. Tento soubor je možné přenést a použít na jiném samostatném počítači bez instalovaného nástroje LocalGPO Tool (stačí spustit skript, který je součástí GPOPacku).cscript LocalGPO.wsf /Path: "c:\GPOBackups" /Export /GPOPack
Použité zdroje• Signing in with a picture password• Securing the Windows 8 Boot Process• Protect Portable Storage with BitLocker To Go• Windows Security Survival Guide• Security Compliance Manager
Děkuji za pozornost
