Magnus Lindkvist Chief Security Advisor
Threats are more dangerous than ever Fragmentation of security technology and products Difficult to use, deploy and manage More advanced Profit motivated More frequent Moving “up the stack” Too many point products Weak interoperability Disparate management Uncoordinated event reporting & analysis Difficult to purchase Challenging to manage Lack of integration Cost and complexity
Building Trust Takes Time… 16 Service Pack 3 80 3 Bulletins in prior period Bulletins since TwC release Bulletins 868 Days After Product Release Released 09/28/2003 49 * As of November 8, 2005 To measure the effectiveness of the Trustworthy Computing and SDL, we have been measuring our progress now for almost 3 years. The improved engineering work that we did when developing Windows Server 2003, IE 6.0 in XP SP2, Exchange 2003, Office 2003 and SQL Server 2000 Service Pack 3 all shown a reduction in the number of critical and important bulletins released against them verses their predecessors. Only with metrics can we really measure the effectiveness of the process and tools we have put in place. Here are some of the dramatic results. Released 11/29/2000 929 Days After Product Release
Some Feedback We’ve Received “The broad adoption of firewalls and antivirus and intrusion detection software, and the progress quite frankly made by Microsoft in securing their operating platform, has made this [better IT security] possible. Yes, I did say that " – Symantec CEO John Thompson, Feb. 2006
Network Access Protection (NAP) Comprehensive Security Product Portfolio Content Client Services Edge Server IPSec VPN Network Access Protection (NAP) Identity Management Systems Management Guidance
Microsoft Forefront’s comprehensive line of business security products helps you gain greater protection and control through deep integration and simplified management. Control & protection of: Operating systems Servers Server applications Network “edge” Content Current & emerging threats 24/7 research & response Heterogeneity through partner ecosystem Centralized management Unified state view & analytics Simplified deployment Integrates into existing IT infrastructure Choice of form factors Prescriptive guidance Cross-product integration MSFT security products MSFT server apps Integrates with existing Microsoft IT infrastructure AD, SQL, MOM, etc. Integration with ecosystem partners
User Account Control Minska antalet administratörer System ska fungera bra även för en standardanvändare Minska kostnader för helpdesk Skydda de som måste vara administratörer Minska säkerhetsrisker Virtualisera registret och systemfiler Skriva: omdirigerar till användarspecifik area Läsa: försöker med användarspecifik area, sedan med datorns area
Standardrättigheter i Vista Se systemklockan och kalender Ändra tidszon Installera WEP för att säkert koppla upp dig mot trådlösa nät Ändra skärminställningar Ändra strömhantering Installera typsnitt Lägga till skrivare och enheter vars drivrutiner redan är installerade Skapa och konfigurera en VPN-koppling Etc...
Tillfälliga rättigheter
Nyheter i brandväggen Filtrerar även utgående trafik Blockerar inkommande som standard Tillåter utgående som standard Kan konfigureras med Group Policies Ny MMC-snapin för grafisk hantering Filtrering integrerad med IPSec Många undantag kan konfigureras för tex: AD-konton och grupper IP-adresser
Rights Management Services Skydd av data Definiera policies Rights Management Services Filbaserad kryptering på användarnivå Encrypted File System Hårdvarubaserad disk-kryptering Full Volume Encryption
BitLocker Drive Encryption Kryptering av hårddisken Pågår hela tiden Nyckeln lagras i TPM-chip (v 1.2) Alternativt USB-minne, PIN-kod Hashvärden på systemfiler Kontrolleras vid uppstart
Windows Service Hardening Windows-tjänsterna profileras för vilka uppgifter de får utföra på nätverket eller i filsystemet. Separata minneutrymmen Kan endast kommunicera via API:er Utformat för att hindra malware som utnyttjar en tjänst för att göra “fel” saker Minskar risken att malware sprider sig
Internet Explorer 7 Gränsnitt Säkerhet RSS-stöd Flikar IE Protected Mode Phishingfilter Bättre kontroll över Active X-komponenter
Phishingfilter Erbjuder 3 “checkar” för att skydda mot phishing: Jämför sidan mot en lista av legitima sidor Genomsöker webbsidan efter kännetecken vanliga på phishingsiter Jämför sidan mot en onlinetjänst på Microsoft med rapporterade phishingsiter Nivå 1: Varna Misstänkt webbsida signaleras Nivå 2: Blockera Konfirmerade phishingsiter signaleras och blockeras
Network Access Protection Bygger på VPN-karantän men för alla nätverk-klienter, inte bara remote access Är beroende av servrar som känner till NAP, dvs Windows “Longhorn” Server Du specificerar policies kring: Patchar som krävs, uppdateringar av virus-signaturer, speciella applikationer Systemet tillåter inte access till nätet om policyn ej uppfylls Endast access dit du kan hämta uppdateringarna som krävs
Task Scheduler Information: Namn, beskrivning Trigger: När ska det ske? Action: Vad ska ske? Villkor: Går före triggers ”När datorn är ledig” ”Ej om datorn går på batteri” Inställningar: Uppgiftens beteende ”Vad händer om den misslyckas?”
Application Compatibility Toolkit Kontrollerar applikationer Lagrar information/rekommendationer i databas Admin ger applikationer de rättigheter som krävs Alla applikationer i databasen körs med rätt rättigheter
Vad ska jag komma ihåg? Win98, SE och Millenium – R.I.P Windows XP SP1 – 10 September Utbilda användare