Net Secure
Сетевая безопасность

Новости


Все новости

Aтака WannaCry больше всего затронула Windows 7

| 2017-05-23 12:09:00 |

Исследователи безопасности сообщают о том, что большинство компьютеров, пострадавших от эпидемии WannaCry,...


Эксплоиты для Android используют уязвимость Dirty COW

| 2016-10-26 09:44:24 |

Dirty COW – уязвимость ядра Linux, была публично раскрыта на прошлой неделе. Эксперты предупреждают,...


Что ожидать в 2016 году - Лаборатория Касперского

| 2015-12-16 13:07:13 |

В уходящем 2015 году произошло немало значимых киберсобытий, некоторые из которых получили по-настоящему...


ESET NOD32 защитит информационную систему компании «СТС Медиа»

| 2015-10-16 13:36:04 |

Международная компания ESET объявляет о начале сотрудничества с «СТС Медиа», ведущей независимой медиакомпанией...


Компания SAP оперативно закрыла критичную уязвимость в SAP HANA

| 2015-10-16 13:27:05 |

Компания Digital Security, предупреждает о выявлении опасных уязвимостей в SAP HANA, инновационном...


 

Windows 8 - Безопасность +1 | 2012-08-29 13:44:11

Системный администратор апрель 2012 (Сергей Горбановский)
Скоро выход новой ОС Microsoft — Windows 8. В ней предложен новый пользовательский интерфейс на основе языка дизайна Metro, расширенная интеграция с облачными сервисами и повышенный уровень безопасности. Нас особенно интересует последнее, так что рассмотрим «снизу вверх», как строится безопасная платформа в Windows 8

Безопасность до загрузки ОС

На сегодняшний день существует целый класс атак, известных как буткиты (bootkits), которые изменяют загрузочные записи ОС в целях последующего внедрения своего кода в ее адресное пространство.
Яркими представителями этого класса являются известный MBR-буткит TDL4 в своей последний реинкарнации (Win64/Olmarik по классификации ESET) и VBR-буткит Win64/ Rovnix. Они способны отключать проверку цифровых подписей для драйверов на 64-битных системах, которая до этого являлась серьезным препятствием для вредоносного ПО, а также обходить защиту ядра от изменений (Patch Guard). Таким атакам призвана противостоять технология Secure Boot, целью которой является защита ОС от выполнения вредоносного кода до ее загрузки.
Secure Boot основана на инфраструктуре открытых ключей (PKI) и является частью последней спецификации UEFI. Суть заключается в том, что во встроенное ПО может устанавливаться один или несколько ключей шифрования. Будучи включенным, Secure Boot предотвращает запуск исполняемых файлов или загрузку драйверов, если они не подписаны одним из этих ключей.
При включении Secure Boot загрузка происходит следующим образом: сначала UEFI инициализирует аппаратное обеспечение. Затем проверяются цифровые подписи прошивок различных устройств и загрузчика ОС. Эти подписи хранятся в базах данных внутри встроенного ПО, которые состоят из списка «разрешенных» и «запрещенных» модулей. В разрешенных хранятся доверенные сигнатуры дополнительных модулей ПЗУ и, что самое главное, загрузчиков операционных систем. В запрещенные же попадают, например, известные хеши вредоносного ПО. Также при наличии чипа Trusted Platform Module появится возможность замерять время загрузки ОС и сообщать его антивирусному ПО.
Таким образом, Secure Boot отсекает целый класс атак, направленных на перехват управления еще до загрузки операционной системы, предотвращая выполнение не доверенного кода до того момента, как встроенные в ОС механизмы защиты начнут функционировать.

Безопасность внутри ОС

На следующем уровне находятся различные механизмы защиты от несанкционированного выполнения кода в ядре и пользовательском адресном пространстве ОС. Начиная с Service Pack 2 для Windows ХР Microsoft начала вводить специальные методы защиты от различных классов атак - т.н. security mitigations. Часть этих методов реализуется в компиляторе Visual С++ и требует перекомпиляции приложений (как сторонних, так и входящих в состав ОС), а часть встроена непосредственно в Windows. С каждой последующей версией операционной системы количество этих методов защиты увеличивается, а сами они становятся более совершенными. В Windows 8 будут улучшены уже существующие и введены новые.

Address Space Layout Randomization
(ASLR, рандомизация адресного пространства)


Большая часть уязвимостей использует тот факт, что многие внутренние структуры ОС, исполняемые файлы и динамические библиотеки всегда расположены по одному и тому же адресу в памяти каждый раз при запуске программы и на каждом компьютере.
Чтобы противодействовать этой угрозе, ASLR вместо статического размещения объектов в памяти располагает их по случайным адресам. Это делает невозможным использование уязвимостей, в которых предполагается, что какой-либо объект в памяти всегда располагается по одному и тому же адресу.
ASLR в Windows 8 увеличит энтропию и покроет большее количество компонентов ОС. Это позволит противодействовать уже имеющимся атакам, направленным на обход предыдущих версий ASLR.

Heap metadata protection (защита метаданных кучи)

Куча (heap) - это объект ядра, ассоциированный с исполняемым процессом, и является одним из механизмов, с помощью которого процессы работают с памятью.
Куча в Windows использует метаданные для отслеживания памяти, выделяемой процессами. Переполнение буфера при работе с кучей может испортить метаданные, что дает возможность выполнить произвольный код.
Для предотвращения подобных атак производятся различные проверки на целостность метаданных, а некоторые структуры, предрасположенные к возникновению в них ошибок, выносятся из кучи.

Технология Secure Boot предназначена для защиты ОС от выполнения вредоносного кода до ее загрузки

В Windows 8 добавятся новые проверки на целостность, что повысит защищенность от многих техник написания эксплоитов. В дополнение к этому куча в Windows теперь выделяется в случайном порядке, таким образом, эксплои-ты не могут полагаться на предсказуемое расположение объектов - аналогично технологии ASLR. Также добавлены сторожевые страницы для определенных типов аллокаций кучи, что позволяет предотвратить атаки, связанные с ее переполнением.

Усиление защиты ядра

В ядре Windows станут доступны методы защиты от атак, ранее поддерживавшиеся только для приложений, работающих на уровне пользователя. Например, теперь процессы, работающие в пользовательском адресном пространстве, не смогут выделять нижние 64 Кб памяти процесса. Это предотвратит целый класс атак типа «разыменование нулевого указателя» в ядре. Также добавлены проверки на целостность в аллокаторе памяти пула ядра, что снизит вероятность атак, направленных на повреждение пула ядра.

Безопасность на уровне приложений

Microsoft создала целое подразделение Microsoft Malware Protection Center, занимающееся отслеживанием уязвимостей, анализом данных, полученных с помощью телеметрии, и исследованиями в области безопасности. Также туда входит команда, разрабатывающая ядро антивирусного решения Microsoft, которое используется в различных продуктах, таких как Microsoft Security Essentials, Microsoft Forefront и других. Совместными усилиями они провели работу над повышением безопасности программного обеспечения в Windows 8.

Windows Defender

В Windows 8 компания Microsoft обещает значительно улучшить Windows Defender за счет расширения антивирусных баз и регулярных обновлений антивирусного движка. Появятся защита в реальном времени на основе драйвера-фильтра и взаимодействие с технологией Secure Boot. Теперь драйвер антивируса будет загружаться до всех остальных драйверов.
Из заметных невооруженным глазом улучшений нам обещают прозрачное функционирование с минимальным количеством уведомлений и улучшение быстродействия. По заявлениям Microsoft, потребление процессорного времени снижено на три четверти, количество дисковых операций ввода/вывода - на 50 Мб и общее количество занимаемой памяти - на 100 Мб. Загрузка же с включенным Windows Defender будет происходить всего лишь на 4% дольше.

Smart Screen

Бывший ранее частью Internet Explorer, Smart Screen теперь переходит в разряд технологий, встроенных в операционную систему. Облачный сервис для оценки репутации ссылок, Smart Screen теперь будет также проверять все файлы, скачанные из глобальной сети. Новая функция носит название Application Reputation. При первом запуске файла с низкой репутацией пользователь увидит предупреждение о том, что данное приложение неизвестно системе, и соответственно его выполнение несет в себе повышенный риск.
Сторонние приложения могут поддерживать Smart Screen с помощью добавления специального маркера «mark of the web» к скачиваемым файлам. Маркер включается в текстовом формате в тело документов, или файл помечается им с использованием альтернативных потоков данных файловой системы NTFS.

Internet Explorer 10

Новая версия веб-браузера Microsoft будет полностью поддерживать улучшенную в Windows 8 технологию ASLR. Также добавлена специальная защита от эксплоитов типа «использование памяти после освобождения», которые составляли около 75% от всех известных уязвимостей в Internet Explorer. Появились и особые меры контроля, которые будут противостоять попыткам создания неверных таблиц виртуальных функций, что усложнит атаки с их использованием.

Идентификация и аутентификация

Использование паролей для аутентификации пользователей на сегодняшний день является самым популярным решением, несмотря на известные проблемы в его реализации. Использование сложных паролей до сих пор не в почете у обычных пользователей, а еще более опасными они становятся при использовании одинаковых паролей в различных сервисах. И хотя в корпоративной среде политики, форсирующие использование стойких паролей, нашли широкое применение, для конечных пользователей это все еще сопряжено с известными трудностями. Поэтому в Windows 8 введено несколько новых технологий, позволяющих повысить безопасность аутентификации.

Picture password


Ориентированная в первую очередь на обычных пользователей, эта технология призвана заменить ввод пароля при логине в Windows на использование жестов. Суть ее заключается в использовании трех базовых жестов (прикосновение, линия и круг). Они совершаются в определенной последовательности на изображении, предварительно выбранном пользователем. Обводя, указывая и соединяя различные объекты на изображении в определенной последовательности, пользователь представляется системе.
При этом учитываются такие факторы, как позиция, направление, а также начальные и конечные точки. В сумме это дает более полутора миллионов возможных комбинаций, что соответствует пяти-шестисимвольному паролю.
Для защиты от подбора после пяти неверных попыток пользователю придется ввести обычный пароль. Также Picture password не используется при удаленных подключениях.
В целом Picture password не заменяет, а дополняет классические пароли, которые теперь будут использоваться лишь тогда, когда это действительно необходимо.

Локальное хранилище учетных данных и вход с помощью аккаунта Live ID

При использовании Internet Explorer у пользователей появится возможность автоматически сохранять учетные данные для различных сайтов в Credential Manager, встроенном в Windows 8. Это облегчит использование сложных паролей ввиду отсутствия необходимости запоминать их. Также будет доступно API для использования этих возможностей в Metro-приложениях.
При использовании логина с помощью Live ID эти учетные данные будут синхронизироваться на всех компьютерах, помеченных как «доверенные». Все данные шифруются перед отправкой на серверы Microsoft, а соединение защищено с помощью SSL/TLS. При подозрении на то, что аккаунт взломан, он будет помечен как «скомпрометированный», и вернуть контроль над ним можно будет с помощью двухфакторной аутентификации.

Virtual smart card

Поскольку использование паролей для аутентификации пользователей не всегда является оптимальным выбором, широко распространены схемы с использованием различных токенов или смарт-карт. Однако и они имеют свои недостатки, в частности, необходимость дополнительного аппаратного обеспечения, такого как сама смарт-карта и устройство для ее считывания.
В Windows 8 появилась возможность создавать так называемые виртуальные смарт-карты. Основой для этой функции является встроенный в материнскую плату ТРМ (Trusted Platform Module). При его наличии устройство под управлением Windows 8 сможет использовать функциональность смарт-карт без каких-либо внешних устройств.

Безопасность в Windows 8 Server

В серверной версии Windows 8 также будет улучшена поддержка различных технологий для повышения безопасности. Так, для сетевой инфраструктуры будут улучшены следующие технологии:

DNSSEC

Поддержка безопасной версии протокола DNS, основанного на инфраструктуре публичных ключей (PKI), станет более удобной. В Windows Server 2008 R2 для реализации DNSSEC для подписывания DNS-зон необходимо было переводить их в офлайн режим и выполнять длинные последовательности команд DNSCMD.
Также было невозможно валидировать зоны, использовавшие RFC с марта 2008 года, в котором введена поддержка NSEC3. Это специальный тип записи, который гарантированно подтверждает отсутствие информации у DNS-сервера о запрашиваемом ресурсе.
Windows 8 Server поддерживает NSEC3 и автоматически конфигурирует DNS-зоны при их изменении.

DHCP

Windows 8 Server получит поддержку DHCP failover «из коробки». Учитывая, что доступность DHCP является критичной в бизнес-среде, это значительно повысит доступность и позволит искоренить единую точку отказа.

В Windows 8 добавлены проверки на целостность в аллокаторе памяти пула ядра, что снизит вероятность атак

Также в DHCP-сервере станет доступно назначение IP-адресов на основе политик. Можно будет назначать различные сетевые параметры, основываясь на классификации по типу устройства/клиента. Так, например, можно будет назначать IP-адреса и время аренды в зависимости от устройства.
Ожидаются серьезные нововведения в сфере разграничения прав доступа. В Windows 8 Server будет введена новая модель доступа к файлам, которая далеко уйдет от классического метода, основанного на вхождении пользователя в группы.

Dynamic Access Control (DAC)

Вместо привычной модели разрешений и списков доступа станет использоваться разграничение доступа на основе атрибутов. Всем объектам (пользователям, файлам, компьютерам и т.п.) можно будет присваивать теги (или использовать уже существующие атрибуты Active Directory) и создавать правила доступа на их основе. Станут доступны логические выражения, такие как «И» и «ИЛИ».
Таким образом, можно будет формировать сложные условия, такие как: доступ к файлам с тегом «REPORT» разрешен пользователям, входящим в группу «FINANCE» или «MANAGEMENT», если они произвели вход с ПК «OFFICE_PC_1».
Устанавливать теги можно будет как вручную во вкладке «Свойства файла», так и автоматически на основе регулярных выражений.

***


Как мы видим, компания Microsoft взяла уверенный курс на повышение безопасности своих флагманских продуктов и планомерно внедряет новые и улучшает уже имеющиеся технологии.
Новая версия Windows активно использует возможности UEFI и Trusted Platform Module для создания безопасного окружения еще до загрузки ОС. Улучшены различные низкоуровневые технологии защиты исполняемого кода операционной системы, обновлено встроенное антивирусное решение и расширена сфера применения облачного сервиса для оценки репутации Smart Screen. Добавлены новые методы аутентификации.
Серверный же вариант Windows 8 получит поддержку актуальной версии протокола DNSSEC, улучшенную поддержку DHCP и новую модель разграничения прав доступа к файлам.





Распечатать данную страницу




Всего просмотров этой страницы: 4181. Сегодня: 2
Главная | Cтатистика | | Новости | Ссылки
© 2011 NSecure.RU All Rights Reserved