Yooda w10 security - v1 1
•
0 likes•151 views
Hardware Virtualization è alla base di Virtual Secure Mode, con Credential Guard e DeviceGuard
Yooda w10 security - v1 1
- 1. Secure 365
- 2. Windows 10 è il sistema operativo più sicuro
- 3. LSASS e SSO Così comodo da non poterne fare a meno Hardware Hypervisor LSASS VSM Normal Mode (VTL0) NTLM Kerberos Local Security Authority Sub-System (LSASS) conserva copia delle nostre derived credentials (NTLM/Kerberos) Questo permette SSO verso altre risorse Si tratta di una porzione di memoria accedibile da SYSTEM Se un utente malevolo riuscisse ad ottenere i permessi di SYSTEM potrebbe accedere ai dati contenuti in LSASS
- 4. Windows 10 è il sistema operativo più sicuro SE CONFIGURATO
- 6. Secure Boot and UEFI UEFI • Replaces BIOS • Modulare • 32bit o 64 bit • Unnecessary legacy code or unused code has been removed (reduced attack surface) • Secure Boot Secure boot • Verifica integrità del boot loader • È consentito l’avvio solo ad un boot loader digitalmente firmato e approvato Trusted boot • Il boot loader verifica l’integrità del kernel che a sua volta verifica l’integrità dei componenti in caricamento • Se la component non è integra ne viene impedito il caricamento Power on Soc initialization UEFI w/TPM Secure Boot Hyper-V Kernel System Drivers/Files TPM Root of trust Boot phases OEM key Bootkit Rootkit DXE checks Boot Loader PCRs ELAM 3rd Drivers Services Anti- Malware Windows Logon Secure Kernel HVCI Credential Guard Rootkit Boot Loader
- 7. Virtual Secure Mode Hardware Based Security Hardware Hypervisor Windows Host APPS Windows Services KERNEL LSA Virtual SECURE MODE Isolated LSA Kernel Mode Code Integrity HVCI KERNEL VTL0 Memory Virtualization Based Security (VBS) utilizza hardware virtualization e SLAT per creare una regione di memoria isolata e protetta rispetto il sistema operativo. Questa porzione di memoria è riservata ai processi che il virtualizzatore riserva allo scopo di separare i normali processi user/kernel dai processi che richiedono una diversa protezione VTL0 non può accedere la memoria di VTL1 in alcun modo, neppure se Kernel Mode in VTL0 venisse compromesso Non è possibile attaccare un processo o caricare una DLL a IUM, né eseguire debugging tools Non è possibile disabilitare VSM VSM Normal Mode (VTL0) VSM Secure Mode (VTL1) VTL1 Memory SLAT
- 8. Virtual Secure Mode Credential Guard e Device Guard Hardware Hypervisor Windows Host APPS Windows Services KERNEL LSA Virtual SECURE MODE Credential Guard KERNEL Device Guard Trustlet # VTL0 Memory VSM Normal Mode (VTL0) VSM Secure Mode (VTL1) VTL1 Memory SLAT
- 9. Credential Guard Hardware Based Security Credential Guard rappresenta una sorta di security gate contro PTH/PTT Permette di spostare tutti i Windows secrets (es. NTLM hash, Kerberos TGT) in un area di memoria protetta, accessibile solo da LSASS I secrets vengono trasmessi cifrati, le chiavi gestite da hypervisor Kernel Windows Platform Services Apps Kernel System Container Credential Guard Trustlet #2 Trustlet #3 H y p e r v i s o r Device Hardware Hyper-V Hyper-V
- 10. Credential Guard Hardware Based Security Threat Pass-the-Hash Pass-the-Ticket Why cached credentials in LSASS Permette il Single Sign-On • L’utente inserisce la password in Windows • Le derived credentials (NTLM Hash o TGT) vengono salvate in LSASS • E utilizzate dal sistema per autenticare l’utente ad ulteriori risorse (senza che l’utente debba inserire nuovamente le credenziali) Obiettivo Spostare Windows secrets (es. NTLM hash, Kerberos TGT) in un area di memoria protetta, accessibile solo da LSASS Proteggere le cached credentials (dai bad guys) Utilizza TPM per le encryption keys utilizzate per cifrare i secrets
- 11. Credential Guard Hardware Based Security Limiti Non protegge da key logger, Security Support Providers (SSP), local acconts, etc. Non ammette NTLMv1, CHAPv2, Digest, CredSSP Non supporta Kerberos unconstrained delegation e DES encryption È necessario verificare il corretto funzionamento di applicazioni che richiedono quanto sopra Non è utilizzabile su domain controller (e non protegge NTDS) Requirements • Support for VBS • SLAT + IOMMU • UEFI e Secure Boot • TPM • 64bit CPU • HVCI compatible drivers
- 12. Device Guard Hardware Based Security Solo le App autorizzate possono essere eseguite Kernel Mode Code Integrity (KMCI) Permette solo drivers firmati Blocca ogni driver non in whitelist Blocca l’esecuzione di dynamic code User Mode Code Integrity (UMCI) Permette l’esecuzione solo di applicazioni trusted Blocca malware e virus Kernel Windows Platform Services Apps Kernel System Container DEVICE GUARD Trustlet #2 Trustlet #3 Hypervisor Device Hardware Windows Operating System Hyper-V Hyper-V Hypervisor Code Integrity (HVCI) Utilizza VSM per Code Integrity (CI) Forza l’utilizzo di safe memory allocation • Una volta allocata la memoria sarà solo RX; in questo modo si inibisce la possibilità di code inject Neppure l’amministratore può modificare le applicazioni permesse senza firmare digitalmente una nuova CI policy
- 13. Device Guard Hardware Based Security What Device Guard è una configurazione che permette di rafforzare la security posture di un device andando a definire le applicazioni che possono essere eseguite (trusted applications) Threat L’integrità del sistema viene compromessa a livello HW Overview User Mode Code Integrity permette l’esecuzione delle sole trusted apps; sarà bloccata l’esecuzione delle untrusted apps, ad esempio malware Kernel Mode Code Integrity permette l’esecuzione dei soli drivers firmati WHQL; impedisce di caricare malicious code nei processi kernel Hypervisor Code Integrity permette di spostare il controllo di CCI dallo spazio kernel in VTL0 a VTL1 in Virtual Secure Mode; la protezione viene pertanto spostata a livello hardware Mitigation UEFI, Secure Boot e Device Guard Viene assicurata la safety chain a livello boot e l’integrità dei drivers e dei processi a livello SO
- 14. Windows 10 è il sistema operativo più sicuro
- 15. LAPS Utilizzare LAPS per mitigare attacchi di tipo traversal (conoscendo la password del local admin di un device compromesso si può saltare su altri devices) PAW Privileged Access Workstation permette di mitigare attacchi basati sulla compromissione di workstation utilizzati dagli amministratori in modalità mista (daily operations e administrative operations) Attack Surface Reduction Varie feature comprensive di ASR, Exploit Protection, Controlled Folder Access Windows Hello Permette di transitare ad una tecnologia passwordless; l’autenticazione avviene su base biometrica ed è legata al singolo device Security Baselines Security templates per configurare i devices su base best practice Bitlocker Per la cifratura di data at-rest; in caso di furto o smarrimento i dati aziendali rimangono protetti Ulteriori protezioni
- 16. Powered by A long career in Unified Communications, now tries to manage the company (good luck old fellow ☺) s.cerasa@yooda.tech +39 335 5611 764 A UC guy for a very long time, focused on Exchange and OCS/S4B, now exploring new topics… p.baratta@yooda.tech +39 335 5715 630 Stefano Cerasa Direzione Commerciale Pacho Baratta Marketing Manager Many, many years spent designing architectures and planning voice solutions. He’s the yoda master, may the fourth be with us! f.bragantini@yooda.tech +39 334 6509 768 Francesco Bragantini CTO