Windows 2008 has a lot new security features like CNG, RODC, ASLR, Windows Auditing, Windows Defender, Security Center, Service Hardening, Bitlocker, NAP, UAC.
If you are interested on learning more about them and what is different from Windows 2003\XP to Windows 2008\Vista you are welcome to check a session I gave at Microsoft Israel.
2. Reduces costs, increases hardware utilization, optimizes your infrastructure, and improves server availability Delivers rich web-based experiences efficiently and effectively Provides unprecedented levels of protection for your network, your data, and your business Security Web Virtualization
3.
4.
5. Windows ® XP SP2/Server 2003 R2 LocalSystem Windows Vista/Server 2008 Network Service Local Service LocalSystem Firewall Restricted Network Service Network Restricted Local Service No Network Access LocalSystem Network Service Fully Restricted Local Service Fully Restricted
6. נושא Windows XP / Windows Server 2003 Windows Vista / Windows Server 2008 הפעלת תהליכי מערכת ההפעלה בסביבה מופרדת מסביבת המשתמש לא אפשרית , ניתן לגשת אל session 0 מסביבת המשתמש אפשרית , session 0 מופרד מסביבת המשתמש מתן הרשאות על אובייקטים אפשרי ברמת ה – service account אפשרי ברמת ה – SID עבור services הפעלת תהליכי מערכת ההפעלה מתבססת בעיקר על LocalSystem מתבססת על מנגנון אשר מאפשר ביזור הרשאות חלקיות מתוך הרשאות ה – LocalSystem / LocalService / NetworkService שימוש ב – write restricted token לא קיים אפשרי הגבלת גישת ה - services למשאבי הרשת אפשרית רק באופן חלקי ( inbound ) , מותנית בהפעלת ה – windows firewall מרבית ה – windows services מוקשחים ביחס לגישה למשאבי הרשת באופן אוטומטי ללא תלות בהפעלת ה – windows firewall , עבור app services ניתן להגדיר עבורם חוקי הקשחה באמצעות API
7. Combined firewall and IPsec management Firewall rules become more intelligent Policy-based networking
8. נושא Windows XP / Windows Server 2003 Windows Vista / Windows Server 2008 אכיפת מדיניות לגבי תעבורת נתונים נכנסת ( inbound ) אפשרית אפשרית אכיפת מדיניות לגבי תעבורת נתונים יוצאת ( outbound ) לא אפשרית אפשרית אכיפת מדיניות לגבי תצורת אבטחת העברת נתונים לא נתמך ברמת ה – firewall , אפשרי למימוש ע " י ה – IP security policies ( GPO ) אפשרית באמצעות IPSEC אכיפת מדיניות בהתאם לחברות בדומיין לא אפשרית אפשרית אכיפת מדיניות בהתאם לשם משתמש / שם מחשב לא אפשרית אפשרית אכיפת מדיניות בהתאם לרשת אליה המחשב מחובר לא אפשרית אפשרית – קיימים 3 פרופילים ( public/private/domain ) תמיכה ב – windows service hardening לא קיימת קיימת תמיכה בהחלת חוקים באמצעות GPO אפשרית אבל הממשק שונה מה – windows firewall MMC אפשרית באופן זהה לחלוטין ל – windows firewall advanced security MMC קביעת חוקי עקיפה ( bypass ) עבור תקשורת נכנסת / יוצאת ממחשבים ספציפיים אפשרית באופן חלקי אפשרית קביעת חוקים בהתאם על סמך אובייקטים מה – Active Directory לא אפשרית אפשרית תמיכה ב – IPv6 אפשרית אבל דורשת SP ( עבור Windows XP – SP2 , עבור Windows Server 2003 – SP1 ) אפשרית ללא צורך ב – SP
13. פתרון מתקפה בזמן hibernate מתקפה בזמן sleep/ standby מתקפה כנגד תהליך האתחול מתקפה כנגד online מערכת ההפעלה חשיפת מפתחות בזמן offline מתקפה המבוססת על חשיפת סיסמאות טעויות משתמש זליגת מידע plaintext גניבת המחשב בלבד TPM בלבד USB PIN בשילוב TPM USB בשילוב TPM
35. Enterprise PKI (PKIView) Online Certificate Status Protocol (OSCP) Network Device Enrollment Service Web Enrollment
36.
37. נושא CryptoAPI CNG תמיכה בהצפנה סימטרית תמיכה בהצפנה א - סימטרית תמיכה ב – hash תמיכה בתעודות דיגיטליות באמצעות CAPI 2.0 ארכיטקטורה CSP Protocol provider, CNG routers, CNG primitives תמיכה במנגוני הצפנה legacy אין החלפת מחולל מספרים אקראיים דורשת כתיבת הקוד מחדש אפשרית ללא שינוי מהותי בקוד שילוב אלגוריתמים חדשים לא אפשרי – רשימה קשיחה אפשרית – רשימה דינמית וניתנת לעידכון מנגנון ניהול מרכזי אין אפשרי באמצעות ה – key storage API תמיכה ב – Suite B אין אלגוריתמים CAPI 1.0 AES , SHA1 , SHA2, DSA, RSA,ECC,DH,ECDSA,ECDH,MD2,MD4,MD5, CAPI 1.0 הפרדת המפתח הפרטי מהאפליקציה לא אפשרי אפשרי לביצוע באמצעות key isolation process מיקום שמירת המפתחות הפרטיים מקושר ל – SID , מקשה על תהליך מעבר בין דומיינים לא מקושר ל – SID , קל לבצע תהליך מעבר בין דומיינים פורמט שמירת המפתחות סיומת REG , מגבלה של 256 תווים בשם פורמט חדש ללא סיומת REG , מגבלה של 512 תווים בשם
38. Internet Perimeter Network Corporate Network Tunnels RDP over HTTPs Strips off RDP / HTTPs RDP traffic passed to TS Internet Remote/ Mobile User Terminal Services Gateway Network Policy Server Active Directory DC Terminal Servers and other RDP Hosts
39. Windows Client NPS DHCP, VPN Switch/Router Remediation Servers Example: Patch Restricted Network Policy compliant Policy Servers such as: Patch, AV Corporate Network Not policy compliant What is Network Access Protection? Health Policy Validation Health Policy Compliance Ability to Provide Limited Access Enhanced Security Increased Business Value
40. Windows Client DHCP, VPN or Switch/Router relays health status to Microsoft Network Policy Server (RADIUS) Network Policy Server (NPS) validates against IT-defined health policy If not policy compliant, client is put in a restricted VLAN and given access to fix up resources to download patches, configurations, signatures (Repeat 1 - 4) If policy compliant, client is granted full access to corporate network NPS DHCP, VPN Switch/Router Client requests access to network and presents current health state 1 Remediation Servers Example: Patch Restricted Network 1 2 2 3 3 4 Not policy compliant 5 Policy compliant 4 Policy Servers such as: Patch, AV Corporate Network 5