TechNet Team Blog Austria

Informationen und News abseits der offiziellen TechNet vom TechNet Team Blog Austria

TechEd 2008: CLI202 – Enhancing the Security Foundations of Windows Vista in Windows 7!

TechEd 2008: CLI202 – Enhancing the Security Foundations of Windows Vista in Windows 7!

  • Comments 1
  • Likes

UAC und MIL haben sich ausgezahlt. Wieder wird darauf verwiesen, dass es eine schlechte Idee (= wirklich dumm) ist, diese Sicherheitsfunktion abzudrehen. Beispiel: der ungeplante Patchevent letzte Woche: kritisch auf XP/2003, nur “wichtig” auf Vista/Server 2008.

Windows 7 Änderungen bei UAC

  • Weitere Reduzierung der Anwendungen, die erhöhte Rechte erfordern
  • Zerlegung von Anwendungen in einen elevated / non-elevated Teil
  • Flexibles Prompt für Administratoren

Desktop Auditing

  • Einfachere Konfiguration (TCO,…)
  • Warum hat eine Person Zugriff?
  • Warum hat eine Person keinen Zugriff?
  • Änderungsnachverfolgung von bestimmten Personen oder Gruppen

Demo: Auditing Policies, Global Access Auditing.

UAC läßt sich feiner einstellen, z.B. Benachrichtige mich nur, wenn Programme Änderungen am System vornehmen, nicht wenn ich etwas mache. Clever: der Knopf UAC auszuschalten scheint nicht hier zu sein, das ermöglicht alle Meldungen zu unterdrücken, aber UAC eigentlich dennoch enabled zu haben (was auch in Vista ging, über Policy). In wie weit das sinnvoll ist, sei mal dahingestellt.

Windows Update fordert nun kein UAC Prompt mehr (wodurch die automazischen Updates nun auch wirklich automatisch ausgeführt wird).

Securing Anywhere Access

  • Windows Firewall kann nun neben anderen Firewalls bestehen bleiben
  • Multi-Home Profile
  • Direct Access
  • AppLocker

AppLocker wird wichtig werden, da immer mer Anwendungen (und auch Malware) im Userspace arbeitet.

Demo: AppLocker wird gezeigt. Einstellungen werden über Policies gemacht, z.B. nach Hersteller (Publisher), DLL, exe, Version, Pfad, File Hash,… Man kann übrigens Microsoft auch blocken ;) Demonstriert wird, dass für Office auf die Allow-Liste kommt. Und damit man das nicht für jedes Update machen muss, kann man z.B. sagen PowerPoint für Version 12 und höher.

Internet Explorer 8

  • DEP & ASLR
  • Cross Site Scripting Filter
  • InPrivate Browsing

Bitlocker to Go
(darüber habe ich schon geschrieben) vielleicht noch zusätzlich: nun auch FAT unterstützung, Auto-Unlock auf der eigenen Maschine. Unterschiedliche Policies für Fixed-Drives (z.B. Systempartition anders geschützt als die Datenpartition). Policy für PIN Länge. Deny write access to removable drives without Bitlocker. Dass man unter XP/Vista lesen kann, funktioniert das deshalb, weil eine kleine Applikation den Lesezugriff ermöglicht.

Beitrag von Georg Binder

Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment