Windows Server 2003 Service Pack 1 z pohledu bezpečnosti Windows Embedded Design Review April 8-9 2004 Windows Server 2003 Service Pack 1 z pohledu bezpečnosti Ondřej Holas Senior Systems Consultant DIGI TRADE, s.r.o. © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
Agenda Co obsahuje SP1 Edice Windows Server 2003 R2 a x64 Přínos SP1 v bezpečnosti Data Execution Prevention RPC/DCOM TCP/IP Security Configuration Wizard
Service Pack 1 Funkční a bezpečnostní opravy Rozšíření funkcionality Nové nástroje Změny v zabezpečení chování některých komponent výchozí nastavení problémy s kompatibilitou aplikací K dispozici je už i CZ verze Pozor na SBS 2003
Windows Server 2003 R2 Nejedná se o novou verzi Windows Server 2003 + SP1 + 3 FP stejný kód, stejné další SP, stejné číslování verzí Standard, Enterprise, Datacenter, ne Web x86 i x64 Vydání se plánuje na H2/2005 Další „celou“ verzí bude až Longhorn www.microsoft.com/windowsserver2003/R2/
x64 / x86-64 Neplést s IA-64/EPIC (Itanium) x64 = x86 CPU s EM64T (aka AMD64) více registrů a 64-bitových 64-bitová aritmetika, adresní prostor, pointery 1TB adresního prostoru vně CPU umožňují běh x86 OS nativně Edice Windows Server 2003 x64 Standard, Enterprise, Datacenter Zahrnují už SP1 Nepodporují DOS ani Win16 !
3 režimy běhu OS na x64 32-bit Hybridní 64-bit Aplikace 32-bit 32-bit Windows Server 32-bit x64 x64 Ovladače 32-bit x64 x64 Hardware x64 x64 x64
Přínos SP1 v bezpečnosti Stejně jako u Windows XP SP2 Internet Explorer Outlook Express Windows Firewall Access-based directory enumeration SAM/LSA handle hijack prevention \Device\PhysicalMemory Kernel patch protection (x64)
Data Execution Prevention Obrana proti útokům typu „buffer overrun“ útokům nahrává flat memory model Dvě úrovně SW – exception handling, SafeSEH HW – zákaz spouštění kódu (=hodnot EIP) na úrovni stránek, nutná podpora v CPU (NX/XD), na x86 pouze v PAE Neochrání před všemi typy BO útoků Problémy s kompatibilitou aplikace, které generují kód za běhu ovladače využívající PAE
Data Execution Prevention Windows Embedded Design Review April 8-9 2004 Data Execution Prevention © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
RPC Interface Restriction RestrictRemoteClients RPC server omezení/zákaz anonymních uživatelů netýká se named pipes (ncacn_np) EnableAuthEpResolution RPC klient ověřování v komunikaci s Endpoint mapper pouze NTLM Pozor na starší RPC klienty
DCOM Security Enhancements Limity práv na úrovni počítače nová skupina Distributed COM Users Drobnější rozdělení práv před SP1: Access, Launch po SP1: 6 různých práv akce: Access, Activation, Launch typ přístupu: Local, Remote Existující práva jsou převedena Access → LA, RA Launch → LL, RL možné problémy s Activation právem
DCOM Security Enhancements Windows Embedded Design Review April 8-9 2004 DCOM Security Enhancements © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
TCP/IP Ochrana před „SYN útoky“ Změněna alokace TCP portů jeden z nejstarších DoS útoků od SP1 je ochrana standardně zapnutá Změněna alokace TCP portů aplikace požaduje jakýkoli volný TCP port přednostně se vynechávají porty ve stavu TIME_WAIT potenciální bezpečnostní riziko „zmatení“ stavových firewallů
Security Configuration Wizard Windows Embedded Design Review April 8-9 2004 Security Configuration Wizard © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
Dotazy? Ondřej Holas oholas@digi-trade.cz
Windows Embedded Design Review April 8-9 2004 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.