Nové Bezpečnostní prvky MS Windows 8

Slides:



Advertisements
Podobné prezentace
Autor Ing. Martin Allmer Škola Euroškola Strakonice Datum
Advertisements

© 2000 VEMA počítače a projektování spol. s r. o..
Mobilně a (ne)bezpečně
Autor Ing. Martin Allmer Škola Euroškola Strakonice Datum
Software start počítače a operační systém.
1 Small Business Windows XP Professional Platforma pro zpracování zpráv (Messaging Platform) 6 září, 2001.
SOFTWARE operační systémy
Software (programy) Vypracoval: Mgr. R. Jančar ZŠ Na Planině 1393/3, Praha 4 Krč Zdroj obrázků: Alfacomp.cz (pokud není uvedeno jinak)
Výkonná a pohodlná správa zařízení se systémem Windows Mobile® 6.1 v podnikovém prostředí Mezi nabízené funkce patří: Centralizovaná, bezdrátová správa.
Operační systémy a aplikační servery Tomáš ZACHAT SPŠ Praha 10, STIC.
ZMVŠ. Bezpečnost Windows 8 Dynamic Access Control (DAC) Volně – Dynamický kontrolní přístup) rozšíření NTFS access control listů (ACL) o složitá pravidla.
AutorIng. Martin Allmer ŠkolaEuroškola Strakonice Datum8. Června 2013 Ročník3. Tematický okruhPráce s počítačem Číslo VM Anotace Jak zašifrovat složku.
Základy práce s počítačem – lekce II. Zvyšování IT gramotnosti zaměstnanců vybraných fakult MU.
Gymnázium, SOŠ a VOŠ Ledeč nad Sázavou I NFORMAČNÍ A KOMUNIKAČNÍ TECHNOLOGIE Ing. Jan Roubíček.
OS Windows. Tento operační systém byl vytvořen pro snazší ovládání počítače běžnými uživateli. Například stačí jednou definovat připojená zařízení (tiskárny…)
Bezpečnost na platformě Microsoft & Petr Hartmann Solution Specialist Microsoft.
OS Windows 7 I. Úprava a nastavení PC Práce se složkami a soubory
W w w. n e s s. c o m eLiška 3.04 Průvodce instalací (verze pro Windows 7)
Operační systémy.
Tomáš Urych, ESO9 Intranet a.s.
Serverové systémy Windows
JEDINÉ ŘEŠENÍ – OD HESEL K ČIPOVÝM KARTÁM! T-Soft s.r.o. Mgr.Pavel Hejl, CSc.
Celní služby 2000 Radek Sedláček TranSoft a.s Radek Sedláček TranSoft a.s
Operační systém (OS) ICT Informační a komunikační technologie.
Zálohování.
Tento výukový materiál vznikl v rámci Operačního programu Vzdělávání pro konkurenceschopnost 1. KŠPA Kladno, s. r. o., Holandská 2531, Kladno,
Tento výukový materiál vznikl v rámci Operačního programu Vzdělávání pro konkurenceschopnost 1. KŠPA Kladno, s. r. o., Holandská 2531, Kladno,
Gymnázium, SOŠ a VOŠ Ledeč nad Sázavou I NFORMAČNÍ A KOMUNIKAČNÍ TECHNOLOGIE Ing. Jan Roubíček.
T1: Základy práce s počítačem
Gymnázium, SOŠ a VOŠ Ledeč nad Sázavou I NFORMAČNÍ A KOMUNIKAČNÍ TECHNOLOGIE Ing. Jan Roubíček.
Tento výukový materiál vznikl v rámci Operačního programu Vzdělávání pro konkurenceschopnost 1. KŠPA Kladno, s. r. o., Holandská 2531, Kladno,
Partner SBSC evening university , Čestlice.
Martina Braunerová.  nejdůležitější program v počítači  umožňuje všem ostatním programům fungovat  prostředník mezi počítačem a uživatelem.
Orbis pictus 21. století Tato prezentace byla vytvořena v rámci projektu.
Anotace Žák definuje základní SW Autor Petr Samec Jazyk Čeština Očekávaný výstup Dokáže definovat základní software Speciální vzdělávací potřeby Ne Klíčová.
Kamasová Silvie 9.C. Mozilla firefox Rychlejší prohlížení webu Blokování vyskakovacích oken Prohlížení stránek v panelech Snadná změna vzhledu Intuitivní.
Windows XP a live distribuce Knoppix, Danix apod
Orbis pictus 21. století Tato prezentace byla vytvořena v rámci projektu.
Systém souborů. Množina souborů různých typů – Data – Spustitelné programy – Konfigurační a pomocné informace – I/O zařízení Způsob organizace množiny.
Vzdálená správa Tomáš Kalný.
OPERAČNÍ SYSTÉMY.
Naprogramovat operační systém je mnohonásobně složitější, než naprogramovat „obyčejný program“. Základní programové vybavení počítače Fce: ovládání počítače,
Textový editor (další nástroje textového procesoru, export a import dat, PDF formát – čtení a tvorba)
PV175 SPRÁVA MS WINDOWS I Podzim 2008 Šifrování Boot možnosti Sedí dva velmi smutní informatici v serverové místnosti. Přijde k nim třetí a ptá se: "A.
Operační systémy cvičení 1 © Milan Keršláger Obsah: náplň předmětu,
WEBOVÝ PROHLÍŽEČ. Charakteristika: Webový prohlížeč je počítačový program, který slouží k zobrazování a prohlížení World Wide Webu (WWW), tj. internetu.
Počítačová bezpečnost Cvičení 1: Zabezpečení startu PC © Milan Keršláger
GORDIC ® spol. s r. o. Prvotní spuštění aplikace Gordic DSO - ISDSlite Nástroje pro snadnou správu Datových zpráv z Informačního systému Datových schránek.
Název školy Střední škola hotelová aslužeb Kroměříž Číslo projektuCZ.1.07/1.5.00/ Autor Ing. Zdenek Laski Název šablonyVY_32_INOVACE INF Název DUMuINF S.
WINDOWS Základní popis a údržba operačních systémů.
Projekt MŠMTEU peníze středním školám Název projektu školyICT do života školy Registrační číslo projektuCZ.1.07/1.5.00/ ŠablonaIII/2 Sada 32 AnotaceProgramové.
BEZPEČNOSTNÍ TECHNOLOGIE I Operační program Vzdělávání pro konkurenceschopnost Projekt: Vzdělávání pro bezpečnostní systém státu (reg. č.: CZ.1.01/2.2.00/ )
Počítačová bezpečnost Cvičení 1: Start počítače IBM PC © Milan Keršláger
Audit a řešení problémů v počítačové síti. Rozdělení údržby 1. Vzdálený dohled a monitoring celé sítě 2. Pravidelné prohlídky jedním přiděleným servisním.
BEZPEČNOSTNÍ TECHNOLOGIE I Operační program Vzdělávání pro konkurenceschopnost Projekt: Vzdělávání pro bezpečnostní systém státu (reg. č.: CZ.1.01/2.2.00/ )
SOFTWARE Operační systémy.
Bezpečnostní technologie I
Vypracoval / Roman Málek
Operační systém Windows
SW počítače - operační systém
Textový Editor.
Financováno z ESF a státního rozpočtu ČR.
Vlastnosti souborů Jaroslava Černá.
Operační systémy - úvod
Soubor Soubor v informatice označuje pojmenovanou sadu dat uloženou na nějakém datovém médiu, se kterou lze pracovat nástroji operačního systému jako.
Firmware počítače a jeho význam Tematická oblast: Úvod do předmětu
Číslo projektu školy CZ.1.07/1.5.00/
Volba PREZIDENTA REPUBLIKY LEDEN 2018
Spuštění OS Autorem materiálu a všech jeho částí, není-li uvedeno jinak, je Ing. Libor Otáhalík. Dostupné z Metodického portálu ISSN: 
Software (programy) Vypracoval: Mgr. R. Jančar
Transkript prezentace:

Nové Bezpečnostní prvky MS Windows 8 mjr. Ing Milan Jirsa, Ph.D. Univerzita obrany Brno milan.jirsa@unob.cz

Vybrané bezpečnostní prvky Picture password Secure Boot (Trusted boot, Measured boot) Bitlocker Biometric security Security Compliance Manager

Picture password Místo hesla 3 gesta na obrázku Vhodné pro dotykové obrazovky, lze ale použít i myš Typ gesta: bod, úsečka, kružnice (poslední dvě gesta včetně orientace) Pořadí zadávání se nemění Obrázek lze volit Po 5 neúspěšných pokusech se přejde do režimu obvyklého zadání textového hesla Při vyhodnocování gest se bere do úvahy rozlišení monitoru, průměrná velikost prstu, nemožnost přesného opakování

Picture password Vyhodnocení gesta typu bod – skóre v 37 polích matice 100x100 musí být větší než 90%

Picture password Výhody: snadné zapamatování, rychlé zadání Možné útoky: smudge attack, shoulder surfing, snímání obrazovky, brute force attack Smudge attack – sledování šmouh na displeji, útočník má 5 pokusů, protiopatřením je pečlivé utírání displeje (po přihlášení, před ním to laskavě udělá útočník) Shoulder surfing – odpozorování zjednodušuje zpětná vazba, kterou operační systém poskytuje při zadávání gest

Picture password Brute force attack Důležitá je volba obrázku – měl by obsahovat co nejvíce tzv. bodů zájmu (vhodný obrázek by jich měl mít alespoň 10, teoreticky jich může být 10 000, protože obrázek je rozdělen na matici 100x100polí) 10 bodů zájmu = 10 různých gest typu bod, 20 různých kružnic, 90 různých úseček (celkem 120 možností ve třech krocích odpovídá 1203 = 1 728 000 celkem hesel) Doporučení: nepoužívat jen body, úsečky jsou nejlepší, střídat různá gesta

Použití lze zakázat pomocí nástroje gpedit.msc (editace místního GPO)

Secured Boot Windows nabízí mnoho bezpečnostních prvků, které ale uživatele chrání až po úspěšném spuštění operačního systému. Secure Boot je postup spouštění počítače, jehož cílem je zabránit malwaru zmocnit se spouštěného počítače a modifikovat proces zavádění operačního systému (bootkit a rootkit), ještě předtím, než se Windows spustí a začnou fungovat jeho zabudované bezpečnostní prvky. Protokol Secure Boot je součástí specifikace UEFI (Unified Extensible Firmware Interface), která byla navržena jako náhrada rozhraní BIOS. Windows 8 BIOS stále podporuje, ale na UEFI 2.3.1 nabízí vyšší bezpečnost zavádění systému, protože Secure Boot povolí spouštění jen podepsanému kódu.

Secured Boot BIOS start OS UEFI start OS zavaděč OS (Malware) start OS Zavádění systému z BIOSu může malware narušit a spustit se ještě před operačním systémem. UEFI pouze důvěryhodný zavaděč start OS UEFI firmware umožní spustit jen podepsané zavaděče operačního systému. Zavaděč operačního systému ověřuje signatury dalších spouštěných částí Windows (kontrola integrity), pokud signatura neodpovídá spustí Trusted Boot obnovu ze záložní kopie.

Zdroj: http://technet.microsoft.com/en-us/windows/dn168167.aspx

ELAM ELAM (Early Launch Anti-Malware) testuje ovladače hardwaru před jejich zavedením, neschválené ovladače nezavede Antimalware od MS nebo jiné firmy je spuštěn před ostatními ovladači (není to plnohodnotné řešení, příliš by to zpomalovalo start) Windows Defender podporuje ELAM

Measured boot Measured boot – firmware zaznamená podrobná data o průběhu spouštění systému, Windows poté tato data odešle na důvěryhodný server, kde jsou využita k posouzení stavu počítače: UEFI firmware ukládá na TPM (Trusted Platform Module) čip hash hodnoty firmwaru, zavaděče a ostatního softwaru, který se spustí před ELAM. Když končí proces spouštění systému, Windows spustí klienta pro ověření (remote attestation client). Důvěryhodný ověřovací server klientovi zašle jedinečný klíč.

Measured boot Zaznamenaný průběh spouštění se tímto klíčem podepíše. Klient zašle podepsaný záznam na server, který může posoudit, zda je PC v pořádku.

Measured boot Zdroj: http://technet.microsoft.com/en-us/windows/dn168167.aspx

UEFI klíče Platform Keypub Platform Key (PK) Key Exchange Key (KEK) pouze jeden umožňuje modifikovat databázi KEK Key Exchange Key (KEK) jeden či více klíčů umožňuje modifikovat db and dbx Authorized Database (db) povolené podpisy, klíče nebo hashe Forbidden Database (dbx) zakázané podpisy, klíče nebo hashe Key Exchange Keypub Allow DB “db” Disallow DB “dbx”

Secured Boot Pokud mají nová zařízení získat certifikaci pro Windows 8, požaduje Microsoft, aby byla funkce Secure boot zapnuta (certifikace je nepovinná, ale pro marketing užitečná). Tuto funkci lze vypnout na PC, ale ne na tabletech. Databáze důvěryhodných klíčů v TPM čipu musí obsahovat klíč firmy Microsoft. Alternativní operační systémy se cítily ohroženy (každý tvůrce Linuxové distribuce, by potřeboval, aby též jeho klíč byl v TPM čipu).

Secured Boot Řešení problému Linux Foundation má od Microsoftu podepsaný malý „pre-bootloader“, který umožní bootovací proces, ale dále již řízení předá současným zavaděčům (např. GRUB). UEFI BIOS je k dispozici jen na nejnovějším hardwaru, secure boot je často standardně vypnut.

Bitlocker Stále je možné použít i šifrovaný souborový systém EFS Šifrování disků nazvané BitLocker se objevilo již ve Windows Vista, ale ve Windows 8 má být šifrování disků rychlejší, protože je možné ho svěřit hardwaru, nebo lze zašifrovat jen použité místo na disku. Podporuje šifrování systémového i datového oddílu. V případě zašifrování systémového disku nabízí celou řadu předbootovacích autentizačních možností: TPM-only, PIN/Password, Network Unlock, USB storage

Bitlocker to Go Umožňuje zašifrovat externí disky (např. USB flash disk) Přístup pro čtení na Windows Vista a Windows XP vyžaduje dodatečnou aplikaci (Bitlocker to Go Reader) Heslo musí mít alespoň 8 znaků, pokud ho uživatel zapomene, lze použít recovery key Disk je možné zpřístupnit hned při přihlášení

Bitlocker to Go

Bitlocker to Go

Bitlocker to Go

Biometric Security Windows 8 obsahují rozhraní Windows Biometric Framework, které jednotným způsobem zpřístupňuje bometrická zařízení aplikacím. Předchozí verze Windows tato zařízení podporovala, ale bylo zapotřebí dodat speciální ovladače a software. Nyní je podpora součástí operačního systému. Lepší podpora biometrických zařízení se projeví například možností použít rychlé přepínání uživatelů společne se čtečkou otisků prstů.

Security Compliance Manager (SCM) Volně dostupný nástroj pro klienty s Windows Silnější náhrada nástroje Security configuration and Analysis Předpřipravené politiky založené na doporučeních Microsoft Security Guide a obecných bezpečnostních praktikách usnadňují bezpečné nastavení operačního systému Politiky lze aplikovat prostřednictvím GPO objektů a nástroje System Center Configuration Manager Lze použít i na samostatných počítačích

LocalGPO Tool Při instalaci nástroje SCM, se v instalačním adresáři vytvoří samostatný adresář pro nástroj zvaný LocalGPO Tool (LGT). Je to konzolový nástroj, který lze nainstalovat na počítači samostatně. Pomocí nástroje SCM je možné všechna potřebná nastavení uložit do formátu GPO backup, LGT je schopen tato nastavení přenést na samostatný počítač.

LocalGPO Tool Nástroj lze použít k exportu místní politiku do souboru ve formátu GPO backup, který se dá importovat do aktivního adresáře nebo přenést na jiný samostatný počítač. Tam je ale třeba mít nainstalovaný LocalGPO Tool. cscript LocalGPO.wsf /Path: "c:GPOBackups" /Export Místní politiku je možné exportovat do formátu nazvaného GPOPack. Tento soubor je možné přenést a použít na jiném samostatném počítači bez instalovaného nástroje LocalGPO Tool (stačí spustit skript, který je součástí GPOPacku). cscript LocalGPO.wsf /Path: "c:\GPOBackups" /Export /GPOPack

Použité zdroje Signing in with a picture password Securing the Windows 8 Boot Process Protect Portable Storage with BitLocker To Go Windows Security Survival Guide Security Compliance Manager

Děkuji za pozornost