Windows Vista/LongHorn Güvenlik Yol Haritası Pınar Yılmaz Infrastructure Technology Specialist Microsoft Türkiye
1 Windows Vista/Longhorn Geliştirme İşlemi Windows Vista/Longhorn geliştirilirken Güvenlik Geliştirme Yaşam Döngüsü yöntemi kullanıldı Periyodik zorunlu eğitimler Tüm bileşenlere güvenlik danışmanlarının atanması Tasarım aşamasında güvenlik tehdidi modellemesi Güvenlik incelemesi ve testleri Ürün grupları için güvenlik ölçümleri
2 Kullanıcı Hesabı Koruması Tak ve Çalıştır Akıllı Kartlar Güvenlik Grup İlkeleriyle USB Ayarları BitLocker™ Sürücü Şifreleme RMS İstemci Güvenlik Geliştirme Yaşam Döngüsü Tehdit Modelleme ve Kod İnceleme Windows Servislerini Güçlendirme Internet Explorer Korumalı Mod Windows Defender Ağ Erişimi Koruması (NAP) Temeller Kimlik ve Erişim Denetimi Tehdit ve Açıkların Azaltılması Bilgi Koruması
Windows Servis Güçlendirmesi Derinlemesine savunma Yüksek risk katmanlarının azaltılması Admin Servisler D D D User Kernel D Çekirdek Sürücüleri Servis 1 Servis 2 Servis 3 Servis … Servis … Restricted services Düşük haklı uygulamalar DD D Servislerin bölümlere ayrılması Katman sayısının artırılması Servis A Servis B D Kuallanıcı Modu Sürücüleri
4 Servis Güçlendirmesi Windows Servis Güçlendirmesi Derinlemesine Savunma Servisler daha düşük haklarla çalıştırılıyor Windows servisleri ağ üzerinde, dosya sisteminde ve kayıt defterinde izin verilen yerlere erişebilir sadece, servis profilinde olmayan yerlere erişemez ACL’ler (Erişim Denetim Listesi) tarafından tanınan SID’ler (servis başına güvenlik tanımlayıcısı) sayesinde servisler kendi haklarını koruyabiliyorlar Etkin koruma Dosya sistemi Kayıt Defteri Ağ
5 Windows Defender İstenmeyen yazılımların gerçek zamanlı olarak algılanması ve kaldırılması Basit ve kolay kullanıcı arabirimi Tüm kullanıcılar için koruma
6 Internet Explorer Korumalı Mod: Internet Explorer’ın sadece Internet taraması yapmasına izin verir, yazılım yüklemek gibi işlemler yapmasına izin vermez “Salt Okunur” modda çalışır, sadece Temporary Internet Files dizininin altına yazmasına izin verir Phishing Filtresi: veri kaynağı için global veri kaynağı ağını kullanır birkaç saatte bir güncelleştirilir. Web sayfalarını kullanıcı verisini çalmaya çalışan bilinen özelliklere göre analiz eder
7 ActiveX Opt-in ve Korumalı Mod Sistemleri kötü amaçlı yazılımların saldırısından korumak ActiveX Opt-in kullanıcıların denetimi ele geçirmelerini sağlar Saldırı alanını azaltır Daha önceden kullanılmamış ActiveX Kontrollerini devre dışı bırakır Korumalı Mod tehtidlerin önemini azaltır Sessizce yüklenen kötü amaçlı yazılımların kurulmasını önler ActiveX Opt-in Enabled Controls Windows Disabled Controls User Action
8 Windows Güvenlik Duvarı Güvenlik Duvarı ve IPSec yönetimi birleştirildi Hem içeriye hem de dışarıya doğru stateful IPv4 ve IPv6 filtreleme yapılabiliyor Dışarı doğru uygulama tanıyan filtreleme yeni bir özelliktir
9 Ağ Erişimi Koruması (NAP) NAP varolan VPN Karantina teknolojisinin tüm ağ istemcilerine yaygınlaştırılmış halidir Sunucu tarafında Windows “Longhorn” Sunucusu gerektirir Gereken işletim sistemi, virüs güncelleştirmeleri, uygulamaların varlığı veya yokluğu gibi denetimlerin yapıldığı bir güvenlik politikası belirleyip, …bu güvenlik politikası istemciyle eşleşmiyorsa : Kullanıcıyı sadece bu politikalarla eşleşebilmesi için gerekli güncelleştirmelerin yüklenebileceği bir alana almak Kullanıcı güvenlik politikalarıyla eşleştiğinde ağ içerisine almak
10 Ağ Erişimi Koruması 1 Kısıtlanan Ağ Ağ Politikası Sunucusu 3 Politika Sunucuları Uyumlu DHCP, VPN Switch/Router 2 Windows Vista İstemcisi İyileştirme Sunucuları Kurumsal Ağ 5 Uyumlu değil 4 Gelişmiş Güvenlik Tüm iletişim kimliği doğrulanmış, yetkilendirilmiş ve sağlıklı DHCP, VPN, IPsec, 802.1X ile derinlemesine güvenlik BT Uzmanlarının belirleyeceği politika tabanlı erişim Müşteri için Yararları
11 Kullanıcı Hesabı Koruması (UAP) Kullanıcıların ihtiyaçları olan uygulamalar için yönetici haklarına sahip olmalarına gerek kalmaması, bunun yerine: Kullanıcıdan daha güçlü kimlik bilgisi vermesi istenebilir Kullanıcının yönetici haklarına sahip olsa bile, standart modda kullanıcı olarak çalıştırılması ve yönetici haklarını gerektiren işlemler yapmak zorunda olduklarında kullanıcıdan onay alınması Alternatif kimlik bilgisine gerek kalmadan sadece onay ile yönetici işlemlerinin gerçekleşmesi
12 Kimlik Bilgisi Sorma Kullanıcıya Yönetici Kimlik Bilgisi Soruluyor
13 Onay Sorulması Kullanıcı yönetici haklarını gerektiren bir işleme onay veriyor İkinci bir koruma
14 Kullanıcıya yönetici hesabı bilgilerinin sorulması
15 UAP: Kullanım ve İlkeler Kullanıcı Hesabı Koruması Güvenlik İlkeleriyle Yönetilebilir Soru yok- Sessizce yönetici haklarına yükselt Onay sor – Kullanıcıya gerçekleşecek yönetici işlemine devam edip etmeyeceğini sor Kimlik bilgisi sor- işlemi gerçekleştirmek için kullanıcıdan yönetici hesabı ve şifresini girmesini iste
16 Sistemin Standart Kullanıcı için İyi Çalışmasını Sağlamak Gereksiz yönetici işlemleri düzeltildi Yazıcı eklemek, saat dilimi değiştirmek, güç yönetimi ayarlarını düzenlemek, güvenli kablosuz ağ için WEP anahtarı eklemek… Kullanıcı hesaplarını varsayılan olarak standart kullanıcı olarak oluşturmak Eski uygulamalarla uyumluluk için kayıt defteri ve dosya sanallaştırması sağlamak
17 Kimlik Doğrulamada Gelişmeler Yeni oturum açma mimarisi GINA (eski Windows oturum açma modeli) kaldırılıyor yerine Kimlik Bilgisi Servis Sağlayıcısı arabirimleri Artık üçüncü partiler biometrik, tek kullanımlık parola tokenları ve diğer kimlik doğrulama yöntemlerini Windows’a çok daha az kod kullanarak ekleyebilirler. Tak ve Çalıştır Akıllı Kartlar Sürücüler ve Kiriptografik Servis Sağlayıcıları (CSP) Windows Vista üzerinde gelir.
18 Yeniden Başlatma Yöneticisi Bazı güvenlik güncelleştirmelerinden sonra makinenin yeniden başlatılması gerekiyor Yeniden Başlatma Yöneticisi: Güncelleştirmeler için gereken yeniden başlatmaların azaltılması Kullanıcı tarafından bir uygulama açık bırakılarak kilitlenmiş makinelerin kaldığı yerden yeniden başlatılması. Örneğin makine yeniden başlatıldığında MS Word’de makinenin kaldığı yere 42 sayfaya geri dönmesi
19 İş Dünyasında Güvenlik Kaygıları Jupiter Research Report, %10%20%30%40%50%60%70% Loss of digital assets, restored piracy Password compromise Loss of mobile devices Unintended forwarding of s 20% 22% 35% 36% 63% Virus infection
20 BitLocker ™ Sürücü Şifrelenmesi Özellikle bir hırsızın bilgisayarı başka bir işletim sistemi ile açıp içindeki verilere ulaşmasını önlemek için tasarlanmıştır Anahtar depolanması için anakart üzerinde bulunan v1.2 TPM yongası veya USB sürücüsü kullanır BitLocker
21 TPM Tongası ve USB Sürücü USB Sürücü TPM Yongası ve Pin TPM Yongası Farklı BitLocker Yapılandırmaları *******
22 Bitlocker™ Sürücüsü XP üzerinde
23 Bitlocker™ Sürücüsü Vista üzerinde
24 Kod Bütünlüğü Tüm DLL dosyaları ve diğer işletim sistemi EXE dosyaları dijital olarak imzalanmıştır Bileşenler belleğe yüklenirken dijital imzalar doğrulanır
25 Windows Vista / Longhorn Server Bilgi Koruması Kimden korunuyorsunuz? Makine üzerindeki diğer kullanıcılardan ve yöneticilerden? EFS Fiziksel erişimi olan yetkisiz kullanıcılar? BitLocker™ Dokümanların ve epostaların yetkisiz görüntülenmesi/gönderilmesi? RMS SenaryolarBitLockerEFSRMSLaptop Şube sunucusu Tek kullanıcı için dosya ve dizin koruması Çoklu kullanıcı için dosya ve dizin koruması Ozaktaki dosya ve dizin koruması Güvenilmeyen yönetici hesabı Uzaktaki doküman için politika zorlaması
26 Aygıt Yükleme Denetimi Grup İlkeleri ile taşınabilir aygıtların yüklenmesi denetlenebilir USB depolama cihazları MP3 çalarlar CD/DVD yazıcılar Birçok kurum bilgi sızıntısından endişe ederek USB aygıtların yüklenmesini engellemek istiyor
27 Daha Güvenli Çalışır Kullanıcı Hesabı Koruması Tarayıcı Anti-Phishing ve Korumalı Mod Servis Güçlendirme Daha Güvenli Çalışır Kullanıcı Hesabı Koruması Tarayıcı Anti-Phishing ve Korumalı Mod Servis Güçlendirme Daha Güvenli İletişim Ağ Erişim Koruması (NAP) Güvenlik Duvarı/IPSec Entegrasyonu Daha Güvenli İletişim Ağ Erişim Koruması (NAP) Güvenlik Duvarı/IPSec Entegrasyonu Güvenli Kalmak Anti-malware Yeniden Başlatma Yöneticisi Aygıt Yüklemesinde Denetim Gelişmiş Akıllı Kart Altyapısı Güvenli Kalmak Anti-malware Yeniden Başlatma Yöneticisi Aygıt Yüklemesinde Denetim Gelişmiş Akıllı Kart Altyapısı Daha Güvenli Açılır Tüm Birimin Şifrelemesi Kod bütünlüğü Daha Güvenli Açılır Tüm Birimin Şifrelemesi Kod bütünlüğü Vista/Longhorn: Şimdiye kadarki en güvenli Windows işletim sistemleri Güvenli Erişim Temel Koruma Tasarımda Güvenli Entegre Denetim
28