Windows 10 & nové prvky zabezpečení proti novým hrozbám v IT

Windows 10 & nové prvky zabezpečení proti novým hrozbám v IT Jan Pilař – Windows TSP [email protected]

Classified as Microsoft General

Kapitola 1: Úvod do problematiky Spolehlivá ochrana je včasná detekce


H O W D O B R E A C H E S O CC U R ?

Malware a ostatní zranitelnosti nejsou jedinou věcí, z které je třeba mít obavy

Rychlost a efektivnost phishing útoků velmi snižuje čas na reakci


46%

Kompromitovaných systémů neměly instalovaný malware

23%

příjemců otevřelo phishing zprávu (11% kliklo na přílohu)

99.9%

zneužitých zranitelností mělo více jak rok vydanou opravu!

50%

Těch kteří otevřeli přílohu tak učinili v první hodině od příjmu podvodného e-mailu


4


5


6


7

Windows 10 Defense Stack Proaktivní ochrana před útokem

Reaktivní ochrana

Device Health attestation Device Guard Device Control Security policies

Built-in 2FA Account lockdown Credential Guard Windows Hello ;)

Device protection / Drive encryption Enterprise Data Protection Conditional access

SmartScreen AppLocker Device Guard Windows Defender Network/Firewall

Windows Defender ATP

Ochrana zařízení

Ochrana identity

Ochrana informace

Odolnost proti hrozbám

Detekce narušení, vyšetření & obrana


Kapitola 2: Ochrana identity Ochrana zařízení Ochrana informace


Příběh jednoho počítače s Windows 10

Vypnuté zařízení

Počítač se zapíná a bootuje do Windows

Uživatel se přihlašuje

Uživatel spouští programy

Ochrana informace

Ochrana zařízení

Ochrana identity

Ochrana informace


Uživatel přistupuje k firemním informacím a používá je

Ochrana informace






Ochrana informace

Ochrana zařízení

Ochrana identity

Ochrana informace



Ochrana informace

Bitlocker + MBAM Oblast: Ochrana zařízení


12

Proč vás to má zajímat • Ochrana dat na pevném disku • …Při krádeži na parkovišti • …Při krádeži pevného disku z počítače / notebooku

• Chcete potvrdit PINem, že počítač zapnula oprávněná osoba • …protože je to další faktor autentizace a zabrání útočníkovi boot do Windows

• Chcete správu celého řešení • • • •

…protože celý systém stojí a padá s „recovery klíčem“ …protože potřebujete vědět, kdo s těmito klíčy nakládá …protože chcete vědět, kdo chráněn je a kdo ještě není …protože chcete dát uživateli možnost si o klíč zažádat sám bez nutnosti kontaktovat IT


Co je nového v Bitlockeru s Windows 10 • Podpora XTS-AES šifrovacího algoritmu • Změna v přístupu k DMA portům • Přidána nova MDM politika k umožnění blokování DMA portů při startu zařízení

• Nevyužívané DMA porty jsou vypnuté při uzamknutí zařízení, již připojená zařízení běží nadále • Záloha Bitlocker klíče do AzureAD

Windowsas 10Microsoft Commercial Storybook | Anniversary Update Classified General

14

MBAM • Hromadná správa zařízení chráněných Bitlockerem • Server < - > klient • Umožňuje řídit zásady ochrany, například PIN

• Audituje vyžádání klíčů a provede jejich zneplatnění • Poskytuje self-service portal pro vydání klíče • Reporting o stavu prostředí


15






Ochrana informace

Ochrana zařízení

Ochrana identity

Ochrana informace



Ochrana informace

Device Health Attestation Oblast: Ochrana zařízení


17

Proč vás to má zajímat Protože chcete vědět, že zařízení, které právě startuje, je v korektním stavu Protože jen zdravá zařízení by měla přistupovat k vašim datum a síti


Windows Device Health Attestation • Zvyšuje zabezpečení organizace tím, že sleduje stav zdraví systémů • Integrace s Windows 10 Mobile Device Management – OMA standard • Podporuje zařízení, která jsou vybavena TPM čipem

• Podpora Active Directory i Azure Active Directory včetně hybridu • Podpora zařízení online i offline


19






Ochrana informace

Ochrana zařízení

Ochrana identity

Ochrana informace



Ochrana informace

Windows Hello Oblast: Ochrana identity


21

Proč vás to má zajímat • Protože jinak se vám do sítě nepřihlašuje uživatel Jana, ale Janou je kdokoliv, kdo zná Jany heslo. • Protože byste chtěli dát uživatelům mnohem pohodlnější způsob přihlášení než je 15. místné heslo, které je třeba měnit každých 90 dní.


Windows Hello V čem je problém? Průměrný uživatel má 6,5 hesel Hesla se těžko pamatují -> dochází k „bezpečnému“ zálohování technologií Post It! Heslo je snadné ukrást a použít -> Zeptejte se

Uživatelé generují hesla na základě služeb • 4Deniska • Banka4Deniska • Letenka4Deniska • skola4Deniska Classified as Microsoft General

Windows 10

Section 6: Hero Business Investments

Windows Hello 1.

Rychle a bez hesla. S Windows Hello již nepotřebujete heslo. Ověření identity je provedeno pomocí PIN nebo některého z biometrických údajů uživatele – oční duhovka, rozpoznání obličeje, otisk prstu, tlukot srdce*

2.

Mnohem bezpečnější než heslo. Počítač sám je jeden z faktorů rozpoznání uživatele. Biometrické údaje nejsou nikde centrálně ukládány.

3.

Přihlašovací údaje odolné proti podrvžení. Díky čipu TPM je přihlašovací identita uživatele chráněna a izolována od operačního systému. Systém je tak odolný proti malware a pokročilým útokům.

4.

Odemkněte i váš online svět. Zbavte se hesel. Windows Hello splupracuje s Office 365 a dalšími Microsoft službami, Azure aplikacemi jako Dynamics CRM nebo kompatibilní aplikace jako například Dropbox.

5.

Vaše zařízení odemkne počítač. Windows Hello umožňuje použít váš telefon, Microsoft Band nebo jiné Windows Hello kompatibilní zařízení k rychlému odemknutí vašeho počítače.


UPDATED


Credential Guard Oblast: Ochrana identity


26

Proč vás to má zajímat • Windows si pamatují 20 přihlášení zpětně – jméno i hash hesla • Protože tyto hash hesla se dají zneužít pro další přihlášení

• Protože nechcete být obětí Pass-The-Hash útoku • I ten nejméně významný počítač je významný – ano i ten na vrátnici










Ochrana informace

Ochrana zařízení

Ochrana identity

Ochrana informace

Ochrana informace


Device Guard & Applocker Oblast: Ochrana zařízení


31

Proč vás to má zajímat • Žádná opravdová antimalware strategie se neobejde bez nástroje na omezení spouštění software • Protože chcete zajistit, aby se v rámci organizace nespouštěly programy, které nejsou licencovány • Protože chcete zajistit, že se budou spouštět pouze takové verze program, které jsou otestované a schválené IT










Ochrana informace

Ochrana zařízení

Ochrana identity

Ochrana informace

Ochrana informace


Windows Information Protection Oblast: Ochrana informace


36

Proč vás to má zajímat • Na mobilu používáme fotky a přistupujeme k emailu, že? • A na počítači? Tam taky

• A kupříkladu ty fotky jsou soukromé a naopak email pracovní


Firemní aplikace a data (spravované)

Skype pro firmy

E-mail

Facebook

OneDrive for Business

Kontakty

WhatsApp

LOB aplikace

Kalendář

OneDrive

PDF čtečka

Fotky

Angry Birds

Ostatní

Ostatní

Ostatní

Výměna dat je pod kontrolou

Soukromé aplikace a data (nespravované)

Kapitola 3: Windows Defender Advanced Threat Protection


Příběh jednoho počítače s Windows 10 Proaktivní ochrana před útokem

Reaktivní ochrana

Device Health attestation Device Guard Device Control Security policies

Built-in 2FA Account lockdown Credential Guard Windows Hello ;)

Device protection / Drive encryption Enterprise Data Protection Conditional access

SmartScreen AppLocker Device Guard Windows Defender Network/Firewall

Windows Defender ATP

Ochrana zařízení

Ochrana identity

Ochrana informace

Odolnost proti hrozbám

Detekce narušení, vyšetření & obrana




46

Kapitola 4: Windows Telemetry


Jan Pilař – Windows TSP [email protected] Classified as Microsoft General

Windows 10 & nové prvky zabezpečení proti novým hrozbám v IT

Recommend Documents