Prezentace se nahrává, počkejte prosím

Prezentace se nahrává, počkejte prosím

Nové Bezpečnostní prvky MS Windows 8

ZveřejnilAdéla Havlíčková

Podobné prezentace

Prezentace na téma: "Nové Bezpečnostní prvky MS Windows 8"— Transkript prezentace:

1 Nové Bezpečnostní prvky MS Windows 8
mjr. Ing Milan Jirsa, Ph.D. Univerzita obrany Brno

2 Vybrané bezpečnostní prvky
Picture password Secure Boot (Trusted boot, Measured boot) Bitlocker Biometric security Security Compliance Manager

3 Picture password Místo hesla 3 gesta na obrázku
Vhodné pro dotykové obrazovky, lze ale použít i myš Typ gesta: bod, úsečka, kružnice (poslední dvě gesta včetně orientace) Pořadí zadávání se nemění Obrázek lze volit Po 5 neúspěšných pokusech se přejde do režimu obvyklého zadání textového hesla Při vyhodnocování gest se bere do úvahy rozlišení monitoru, průměrná velikost prstu, nemožnost přesného opakování

4 Picture password Vyhodnocení gesta typu bod – skóre v 37 polích matice 100x100 musí být větší než 90%

5

6

7

8

9 Picture password Výhody: snadné zapamatování, rychlé zadání
Možné útoky: smudge attack, shoulder surfing, snímání obrazovky, brute force attack Smudge attack – sledování šmouh na displeji, útočník má 5 pokusů, protiopatřením je pečlivé utírání displeje (po přihlášení, před ním to laskavě udělá útočník) Shoulder surfing – odpozorování zjednodušuje zpětná vazba, kterou operační systém poskytuje při zadávání gest

10 Picture password Brute force attack
Důležitá je volba obrázku – měl by obsahovat co nejvíce tzv. bodů zájmu (vhodný obrázek by jich měl mít alespoň 10, teoreticky jich může být , protože obrázek je rozdělen na matici 100x100polí) 10 bodů zájmu = 10 různých gest typu bod, 20 různých kružnic, 90 různých úseček (celkem 120 možností ve třech krocích odpovídá 1203 = celkem hesel) Doporučení: nepoužívat jen body, úsečky jsou nejlepší, střídat různá gesta

11 Použití lze zakázat pomocí nástroje gpedit.msc (editace místního GPO)

12 Secured Boot Windows nabízí mnoho bezpečnostních prvků, které ale uživatele chrání až po úspěšném spuštění operačního systému. Secure Boot je postup spouštění počítače, jehož cílem je zabránit malwaru zmocnit se spouštěného počítače a modifikovat proces zavádění operačního systému (bootkit a rootkit), ještě předtím, než se Windows spustí a začnou fungovat jeho zabudované bezpečnostní prvky. Protokol Secure Boot je součástí specifikace UEFI (Unified Extensible Firmware Interface), která byla navržena jako náhrada rozhraní BIOS. Windows 8 BIOS stále podporuje, ale na UEFI nabízí vyšší bezpečnost zavádění systému, protože Secure Boot povolí spouštění jen podepsanému kódu.

13 Secured Boot BIOS start OS UEFI start OS
zavaděč OS (Malware) start OS Zavádění systému z BIOSu může malware narušit a spustit se ještě před operačním systémem. UEFI pouze důvěryhodný zavaděč start OS UEFI firmware umožní spustit jen podepsané zavaděče operačního systému. Zavaděč operačního systému ověřuje signatury dalších spouštěných částí Windows (kontrola integrity), pokud signatura neodpovídá spustí Trusted Boot obnovu ze záložní kopie.

14 Zdroj:

15 ELAM ELAM (Early Launch Anti-Malware) testuje ovladače hardwaru před jejich zavedením, neschválené ovladače nezavede Antimalware od MS nebo jiné firmy je spuštěn před ostatními ovladači (není to plnohodnotné řešení, příliš by to zpomalovalo start) Windows Defender podporuje ELAM

16 Measured boot Measured boot – firmware zaznamená podrobná data o průběhu spouštění systému, Windows poté tato data odešle na důvěryhodný server, kde jsou využita k posouzení stavu počítače: UEFI firmware ukládá na TPM (Trusted Platform Module) čip hash hodnoty firmwaru, zavaděče a ostatního softwaru, který se spustí před ELAM. Když končí proces spouštění systému, Windows spustí klienta pro ověření (remote attestation client). Důvěryhodný ověřovací server klientovi zašle jedinečný klíč.

17 Measured boot Zaznamenaný průběh spouštění se tímto klíčem podepíše.
Klient zašle podepsaný záznam na server, který může posoudit, zda je PC v pořádku.

18 Measured boot Zdroj:

19 UEFI klíče Platform Keypub Platform Key (PK) Key Exchange Key (KEK)
pouze jeden umožňuje modifikovat databázi KEK Key Exchange Key (KEK) jeden či více klíčů umožňuje modifikovat db and dbx Authorized Database (db) povolené podpisy, klíče nebo hashe Forbidden Database (dbx) zakázané podpisy, klíče nebo hashe Key Exchange Keypub Allow DB “db” Disallow DB “dbx”

20 Secured Boot Pokud mají nová zařízení získat certifikaci pro Windows 8, požaduje Microsoft, aby byla funkce Secure boot zapnuta (certifikace je nepovinná, ale pro marketing užitečná). Tuto funkci lze vypnout na PC, ale ne na tabletech. Databáze důvěryhodných klíčů v TPM čipu musí obsahovat klíč firmy Microsoft. Alternativní operační systémy se cítily ohroženy (každý tvůrce Linuxové distribuce, by potřeboval, aby též jeho klíč byl v TPM čipu).

21 Secured Boot Řešení problému Linux Foundation má od Microsoftu podepsaný malý „pre-bootloader“, který umožní bootovací proces, ale dále již řízení předá současným zavaděčům (např. GRUB). UEFI BIOS je k dispozici jen na nejnovějším hardwaru, secure boot je často standardně vypnut.

22 Bitlocker Stále je možné použít i šifrovaný souborový systém EFS
Šifrování disků nazvané BitLocker se objevilo již ve Windows Vista, ale ve Windows 8 má být šifrování disků rychlejší, protože je možné ho svěřit hardwaru, nebo lze zašifrovat jen použité místo na disku. Podporuje šifrování systémového i datového oddílu. V případě zašifrování systémového disku nabízí celou řadu předbootovacích autentizačních možností: TPM-only, PIN/Password, Network Unlock, USB storage

23 Bitlocker to Go Umožňuje zašifrovat externí disky (např. USB flash disk) Přístup pro čtení na Windows Vista a Windows XP vyžaduje dodatečnou aplikaci (Bitlocker to Go Reader) Heslo musí mít alespoň 8 znaků, pokud ho uživatel zapomene, lze použít recovery key Disk je možné zpřístupnit hned při přihlášení

24 Bitlocker to Go

25 Bitlocker to Go

26 Bitlocker to Go

27 Biometric Security Windows 8 obsahují rozhraní Windows Biometric Framework, které jednotným způsobem zpřístupňuje bometrická zařízení aplikacím. Předchozí verze Windows tato zařízení podporovala, ale bylo zapotřebí dodat speciální ovladače a software. Nyní je podpora součástí operačního systému. Lepší podpora biometrických zařízení se projeví například možností použít rychlé přepínání uživatelů společne se čtečkou otisků prstů.

28 Security Compliance Manager (SCM)
Volně dostupný nástroj pro klienty s Windows Silnější náhrada nástroje Security configuration and Analysis Předpřipravené politiky založené na doporučeních Microsoft Security Guide a obecných bezpečnostních praktikách usnadňují bezpečné nastavení operačního systému Politiky lze aplikovat prostřednictvím GPO objektů a nástroje System Center Configuration Manager Lze použít i na samostatných počítačích

29

30

31

32

33

34 LocalGPO Tool Při instalaci nástroje SCM, se v instalačním adresáři vytvoří samostatný adresář pro nástroj zvaný LocalGPO Tool (LGT). Je to konzolový nástroj, který lze nainstalovat na počítači samostatně. Pomocí nástroje SCM je možné všechna potřebná nastavení uložit do formátu GPO backup, LGT je schopen tato nastavení přenést na samostatný počítač.

35

36 LocalGPO Tool Nástroj lze použít k exportu místní politiku do souboru ve formátu GPO backup, který se dá importovat do aktivního adresáře nebo přenést na jiný samostatný počítač. Tam je ale třeba mít nainstalovaný LocalGPO Tool. cscript LocalGPO.wsf /Path: "c:GPOBackups" /Export Místní politiku je možné exportovat do formátu nazvaného GPOPack. Tento soubor je možné přenést a použít na jiném samostatném počítači bez instalovaného nástroje LocalGPO Tool (stačí spustit skript, který je součástí GPOPacku). cscript LocalGPO.wsf /Path: "c:\GPOBackups" /Export /GPOPack

37 Použité zdroje Signing in with a picture password
Securing the Windows 8 Boot Process Protect Portable Storage with BitLocker To Go Windows Security Survival Guide Security Compliance Manager

38 Děkuji za pozornost

Stáhnout ppt "Nové Bezpečnostní prvky MS Windows 8"

Podobné prezentace

Autor Ing. Martin Allmer Škola Euroškola Strakonice Datum

Autor Ing. Martin Allmer Škola Euroškola Strakonice Datum
© 2000 VEMA počítače a projektování spol. s r. o..

© 2000 VEMA počítače a projektování spol. s r. o..
Mobilně a (ne)bezpečně

Mobilně a (ne)bezpečně
Autor Ing. Martin Allmer Škola Euroškola Strakonice Datum

Autor Ing. Martin Allmer Škola Euroškola Strakonice Datum
Software start počítače a operační systém.

Software start počítače a operační systém.
1 Small Business Windows XP Professional Platforma pro zpracování zpráv (Messaging Platform) 6 září, 2001.

1 Small Business Windows XP Professional Platforma pro zpracování zpráv (Messaging Platform) 6 září, 2001.
SOFTWARE operační systémy

SOFTWARE operační systémy
Software (programy) Vypracoval: Mgr. R. Jančar ZŠ Na Planině 1393/3, Praha 4 Krč Zdroj obrázků: Alfacomp.cz (pokud není uvedeno jinak)

Software (programy) Vypracoval: Mgr. R. Jančar ZŠ Na Planině 1393/3, Praha 4 Krč Zdroj obrázků: Alfacomp.cz (pokud není uvedeno jinak)
Výkonná a pohodlná správa zařízení se systémem Windows Mobile® 6.1 v podnikovém prostředí Mezi nabízené funkce patří: Centralizovaná, bezdrátová správa.

Výkonná a pohodlná správa zařízení se systémem Windows Mobile® 6.1 v podnikovém prostředí Mezi nabízené funkce patří: Centralizovaná, bezdrátová správa.
Operační systémy a aplikační servery Tomáš ZACHAT SPŠ Praha 10, STIC.

Operační systémy a aplikační servery Tomáš ZACHAT SPŠ Praha 10, STIC.
ZMVŠ. Bezpečnost Windows 8 Dynamic Access Control (DAC) Volně – Dynamický kontrolní přístup) rozšíření NTFS access control listů (ACL) o složitá pravidla.

ZMVŠ. Bezpečnost Windows 8 Dynamic Access Control (DAC) Volně – Dynamický kontrolní přístup) rozšíření NTFS access control listů (ACL) o složitá pravidla.
AutorIng. Martin Allmer ŠkolaEuroškola Strakonice Datum8. Června 2013 Ročník3. Tematický okruhPráce s počítačem Číslo VM Anotace Jak zašifrovat složku.

AutorIng. Martin Allmer ŠkolaEuroškola Strakonice Datum8. Června 2013 Ročník3. Tematický okruhPráce s počítačem Číslo VM Anotace Jak zašifrovat složku.
Základy práce s počítačem – lekce II. Zvyšování IT gramotnosti zaměstnanců vybraných fakult MU.

Základy práce s počítačem – lekce II. Zvyšování IT gramotnosti zaměstnanců vybraných fakult MU.
Gymnázium, SOŠ a VOŠ Ledeč nad Sázavou I NFORMAČNÍ A KOMUNIKAČNÍ TECHNOLOGIE Ing. Jan Roubíček.

Gymnázium, SOŠ a VOŠ Ledeč nad Sázavou I NFORMAČNÍ A KOMUNIKAČNÍ TECHNOLOGIE Ing. Jan Roubíček.
OS Windows. Tento operační systém byl vytvořen pro snazší ovládání počítače běžnými uživateli. Například stačí jednou definovat připojená zařízení (tiskárny…)

OS Windows. Tento operační systém byl vytvořen pro snazší ovládání počítače běžnými uživateli. Například stačí jednou definovat připojená zařízení (tiskárny…)
Bezpečnost na platformě Microsoft & Petr Hartmann Solution Specialist Microsoft.

Bezpečnost na platformě Microsoft & Petr Hartmann Solution Specialist Microsoft.
OS Windows 7 I. Úprava a nastavení PC Práce se složkami a soubory

OS Windows 7 I. Úprava a nastavení PC Práce se složkami a soubory
W w w. n e s s. c o m eLiška 3.04 Průvodce instalací (verze pro Windows 7)

W w w. n e s s. c o m eLiška 3.04 Průvodce instalací (verze pro Windows 7)
Operační systémy.

Operační systémy.
Tomáš Urych, ESO9 Intranet a.s.

Tomáš Urych, ESO9 Intranet a.s.

Podobné prezentace

Reklamy Google