Новое в системе безопасности Windows Server 2003 Александр Шаповал Системный инженер Представительство Microsoft в России и СНГ Технический обзор

Содержание Концепция «Защищенные информационные системы» Новые возможности системы безопасности Windows Server 2003

Конфиден- циальность Надёжность Бизнес- интеграция Безопасность Концепция Microsoft Безопасность Конфиденциальность Надёжность Бизнес-интеграция

Безопасность SD 3 + Communications (by Design + Default + Deployment) Безопасность в архитектуре Безопасность по умолчанию Безопасность в работе Взаимодействие Безопасная архитектура Безопасная архитектура Новейшие технологии Новейшие технологии Уменьшение уязвимости кода Уменьшение уязвимости кода Уменьшение областей возможных атак Уменьшение областей возможных атак Отключение неиспользуемого по умолчанию Отключение неиспользуемого по умолчанию Только минимально необходимые привилегии Только минимально необходимые привилегии Предохранение, обнаружение, предотвращение, восстановление, управление Предохранение, обнаружение, предотвращение, восстановление, управление Обучение пользователей Обучение пользователей Ясность поставленных целей Ясность поставленных целей Полноценное членство в мировом сообществе Полноценное членство в мировом сообществе Microsoft Security Response Center Microsoft Security Response Center

Common Criteria Подтверждение безопасности инфраструктурных информационных продуктов Международный стандарт Объединяет европейские и американские стандарты безопасности Независимая оценка Прозрачность процедур АвстралияВеликобританияГерманияГрецияИзраильИспанияИталияКанадаНидерланды Новая Зеландия НорвегияСШАФинляндияФранцияШвеция+Россия?АвстралияВеликобританияГерманияГрецияИзраильИспанияИталияКанадаНидерланды НорвегияСШАФинляндияФранцияШвеция+Россия?

Common Criteria Проверка на соответствие Профилям Защиты (Protection Profiles). Профили Защиты существуют для Операционных систем Межсетевых экранов Смарт-карт и т.д. Гарантированные Уровни Соответствия (Evaluation Assurance Levels, EALs): EAL1 – низший, EAL7 - высший 4 уровня (EAL1 - EAL4) – общие для всего сообщества, взаимное признание сертификатов 3 уровня (EAL5 - EAL7) – индивидуально разрабатываются каждой страной для учета национальных особенностей защиты государственных секретов, сертификация на эти уровни проводится в каждой стране отдельно

Сертификация Windows Windows 2000 сертифицирована на высший для серийно выпускаемых ОС уровень EAL4 + Flaw Remediation, который ранее не достигался ни одной ОС Сертификация заняла почти 3 года Сертифицированы дополнительные функции, не требующиеся для стандартного профиля Результаты сертификации – конфигурации и рекомендуемые настройки для работы Windows 2000 – широко доступны Это важный шаг на пути построения защищенных информационных систем Начался процесс сертификации Windows Server 2003 и Windows XP

Common Criteria в России Новые ГОСУДАРСТВЕННЫЕ СТАНДАРТЫ России основаны на Common Criteria ISO-15408: ГОСТ Р ИСО/МЭК ГОСТ Р ИСО/МЭК ГОСТ Р ИСО/МЭК Новые ГОСТы вступают в действие с 1 января 2004 г. Уже идет реальная апробация новых ГОСТов

Government Security Program Программа GSP с точки зрения концепции «Защищенных информационных систем» направлена на: Создание архитектуры защищенных систем, удовлетворяющей специальным потребностям государства Создание долгосрочного технологического сотрудничества с правительственными организациями

Windows Server 2003 Защищенная платформа Безопасна по дизайну Безопасна по умолчанию Безопасна по внедрению Мощные сервисы безопасности Все механизмы основаны на индустриальных стандартах Гибкость, интегрируемость Основа для распределенной структуры управления учетными записями

Безопасность по дизайну Динамическая проверка при компиляции на наличие ошибок, вызывающих переполнение буфера Ключ /GS Безопасность – в фокусе стратегии компании Два месяца тщательного анализа всего написанного кода Более 8000 сотрудников прошли специальные тренинги Задокументированы сотни моделей угроз

Безопасность по умолчанию Существенно уменьшено поле потенциальных атак Более 20 сервисов отключены по умолчанию Internet Information Services Уменьшены привилегии для ряда сервисов NetworkServiceLocalService Усилены ограничения на доступ ACL для системного каталога Запрещена регистрация учетных записей с «пустым» паролем

Безопасность по внедрению Защита от «вредного» кода с помощью политик для исполнения программ Критерии идентификации кода UNC, HTTP, хеши, сертификаты Усиленные политики исполнения CreateProcess, LoadLibrary, ShellExecuteEx, COM, Scripting Engines, CMD.exe Смарт-карты для администраторов Защищенные коммуникации с помощью IPSec

Службы безопасности Хранилище учетных записей Механизмы аутентификации Авторизация Управление политиками Active Directory Kerberos, Смарт-карты, SSL, Дайджест, IPSEC/Oakley, EAP, Цифровые подписи Ролевой контроль доступа, Права пользователей, Шифрование Аудит, Объекты групповых политик Центры аутентификации Kerberos KDC, Центр сертификации, RADIUS

Аутентификация SSPI LSALSA Kerberos package MSV1_0 package WinlogonWinlogon GINAGINA Custom package ПриложениеПриложение Digest package NegotiateNegotiate Kerberos SSP Custom SSP Schannel SSP Digest SSP NTLM SSP

Смарт-карты Возможности администратора Поддержка смарт-карт в утилитах runas.exe, net.exe, dcpromo Поддержка смарт-карт в терминальных клиентах Windows XP

Authorization Manager Windows Authorization API Web services front end E-commerce application LOB application Windows Authorization API Roles Authorization Manager Common Roles Management UI PolicyStorePolicyStore Active Directory Or XML (Files, SQL)

Алгоритмы шифрования Симметричное шифрование Data Encryption Standard (DES) DES: 56 бит DESX: 128 бит Triple DES: 112 бит, 168 бит Rivests Cipher (RC) RC2, RC4: 40 бит, 56 бит, 128 бит Advanced Encryption Standard (AES) Обмен ключами Diffie-Hellman Key Agreement RSA Key Exchange

Новые возможности EFS Поддержка стандарта Web DAV Возможность доступа нескольких пользователей к зашифрованным данным Шифрование кэшированных файлов Гибкая политика восстановления данных Можно отключить агентов восстановления Возможность выбор алгоритма шифрования Triple DES

Auto-enrollment Автоматическое получение и обновление пользовательских сертификатов

Шаблоны сертификатов Версия 1 Стандартный набор неизменяемых шаблонов Версия 2 Расширенные возможности Модификация и замена существующих шаблонов Создание новых шаблонов Расширенные свойства Дополнительная функциональность, заложенная в сертификат

Субординация Ограничения на подчиненный центр сертификации, заложенные в его сертификате Пространство имен Политики Пространство политик Мапирование политик Кросс-сертификация Ограничение иерархии Политики приложений

Публикация Delta CRL Механизм определен в RFC 2459 Содержит список номеров сертификатов, отозванных после последнего обновления полного списка CRL Включается в следующую публикацию полного CRL Delta публикуется чаще, чем полный список Меньший объем

Архивирование ключей Защищенное хранилище личных ключей пользователей Ключ пользователя помещается в архив в процессе выдачи ему сертификата Необходимость архивации ключа указывается в шаблоне сертификата Агент восстановления ключей (KRA) При утере своего личного ключа пользователь может получить его из архива

Процесс архивирования Клиент генерирует пару ключей Запрос сертификата по протоколу CMS Проверка ключей CA Database Личный ключ зашифровывается по 3DES Симметричный ключ зашифровывается с открытым ключом KRA Сертификат отправлен клиенту

Это далеко не все…