Windows 10 & nové prvky zabezpečení proti novým hrozbám v IT

Windows 10 & nové prvky zabezpečení proti novým hrozbám v IT Jan Pilař Windows TSP Jan.pilar@microsoft.com

Kapitola 1: Úvod do problematiky Spolehlivá ochrana je včasná detekce

HOW DO BREACHES OCCUR? Malware a ostatní zranitelnosti nejsou jedinou věcí, z které je třeba mít obavy 46% Kompromitovaných systémů neměly instalovaný malware 99.9% zneužitých zranitelností mělo více jak rok vydanou opravu! Rychlost a efektivnost phishing útoků velmi snižuje čas na reakci 23% příjemců otevřelo phishing zprávu (11% kliklo na přílohu) 50% Těch kteří otevřeli přílohu tak učinili v první hodině od příjmu podvodného e-mailu

Windows 10 Defense Stack Proaktivní ochrana před útokem Reaktivní ochrana Device Health attestation Device Guard Device Control Security policies Built-in 2FA Account lockdown Credential Guard Windows Hello ;) Device protection / Drive encryption Enterprise Data Protection Conditional access SmartScreen AppLocker Device Guard Windows Defender Network/Firewall Windows Defender ATP Ochrana zařízení Ochrana identity Ochrana informace Odolnost proti hrozbám Detekce narušení, vyšetření & obrana

Kapitola 2: Ochrana identity Ochrana zařízení Ochrana informace

Příběh jednoho počítače s Windows 10 Vypnuté zařízení Počítač se zapíná a bootuje do Windows Uživatel se přihlašuje Uživatel spouští programy Uživatel přistupuje k firemním informacím a používá je Ochrana informace Ochrana zařízení Ochrana identity Ochrana informace Ochrana informace

Bitlocker + MBAM Oblast: Ochrana zařízení 12

Proč vás to má zajímat Ochrana dat na pevném disku Při krádeži na parkovišti Při krádeži pevného disku z počítače / notebooku Chcete potvrdit PINem, že počítač zapnula oprávněná osoba protože je to další faktor autentizace a zabrání útočníkovi boot do Windows Chcete správu celého řešení protože celý systém stojí a padá s recovery klíčem protože potřebujete vědět, kdo s těmito klíčy nakládá protože chcete vědět, kdo chráněn je a kdo ještě není protože chcete dát uživateli možnost si o klíč zažádat sám bez nutnosti kontaktovat IT

Co je nového v Bitlockeru s Windows 10 Podpora XTS-AES šifrovacího algoritmu Změna v přístupu k DMA portům Přidána nova MDM politika k umožnění blokování DMA portů při startu zařízení Nevyužívané DMA porty jsou vypnuté při uzamknutí zařízení, již připojená zařízení běží nadále Záloha Bitlocker klíče do AzureAD Classified Windows as 10 Microsoft Commercial General Storybook Anniversary Update 14

MBAM Hromadná správa zařízení chráněných Bitlockerem Server < - > klient Umožňuje řídit zásady ochrany, například PIN Audituje vyžádání klíčů a provede jejich zneplatnění Poskytuje self-service portal pro vydání klíče Reporting o stavu prostředí Classified Windows as 10 Microsoft Commercial General Storybook Anniversary Update 15

Device Health Attestation Oblast: Ochrana zařízení 17

Proč vás to má zajímat Protože chcete vědět, že zařízení, které právě startuje, je v korektním stavu Protože jen zdravá zařízení by měla přistupovat k vašim datum a síti

Windows Device Health Attestation Zvyšuje zabezpečení organizace tím, že sleduje stav zdraví systémů Integrace s Windows 10 Mobile Device Management OMA standard Podporuje zařízení, která jsou vybavena TPM čipem Podpora Active Directory i Azure Active Directory včetně hybridu Podpora zařízení online i offline Classified Windows as 10 Microsoft Commercial General Storybook Anniversary Update 19

Windows Hello Oblast: Ochrana identity 21

Proč vás to má zajímat Protože jinak se vám do sítě nepřihlašuje uživatel Jana, ale Janou je kdokoliv, kdo zná Jany heslo. Protože byste chtěli dát uživatelům mnohem pohodlnější způsob přihlášení než je 15. místné heslo, které je třeba měnit každých 90 dní.

Windows Hello V čem je problém? Průměrný uživatel má 6,5 hesel Hesla se těžko pamatují -> dochází k bezpečnému zálohování technologií Post It! Heslo je snadné ukrást a použít -> Zeptejte se Uživatelé generují hesla na základě služeb 4Deniska Banka4Deniska Letenka4Deniska skola4deniska

Windows 10 Section 6: Hero Business Investments UPDATED Windows Hello 1. Rychle a bez hesla. S Windows Hello již nepotřebujete heslo. Ověření identity je provedeno pomocí PIN nebo některého z biometrických údajů uživatele oční duhovka, rozpoznání obličeje, otisk prstu, tlukot srdce* 2. Mnohem bezpečnější než heslo. Počítač sám je jeden z faktorů rozpoznání uživatele. Biometrické údaje nejsou nikde centrálně ukládány. 3. Přihlašovací údaje odolné proti podrvžení. Díky čipu TPM je přihlašovací identita uživatele chráněna a izolována od operačního systému. Systém je tak odolný proti malware a pokročilým útokům. 4. Odemkněte i váš online svět. Zbavte se hesel. Windows Hello splupracuje s Office 365 a dalšími Microsoft službami, Azure aplikacemi jako Dynamics CRM nebo kompatibilní aplikace jako například Dropbox. 5. Vaše zařízení odemkne počítač. Windows Hello umožňuje použít váš telefon, Microsoft Band nebo jiné Windows Hello kompatibilní zařízení k rychlému odemknutí vašeho počítače. Classified Windows as 10 Microsoft Commercial General Storybook Anniversary Update

Credential Guard Oblast: Ochrana identity 26

Proč vás to má zajímat Windows si pamatují 20 přihlášení zpětně jméno i hash hesla Protože tyto hash hesla se dají zneužít pro další přihlášení Protože nechcete být obětí Pass-The-Hash útoku I ten nejméně významný počítač je významný ano i ten na vrátnici

Device Guard & Applocker Oblast: Ochrana zařízení 31

Proč vás to má zajímat Žádná opravdová antimalware strategie se neobejde bez nástroje na omezení spouštění software Protože chcete zajistit, aby se v rámci organizace nespouštěly programy, které nejsou licencovány Protože chcete zajistit, že se budou spouštět pouze takové verze program, které jsou otestované a schválené IT

Windows Information Protection Oblast: Ochrana informace 36

Proč vás to má zajímat Na mobilu používáme fotky a přistupujeme k emailu, že? A na počítači? Tam taky A kupříkladu ty fotky jsou soukromé a naopak email pracovní

Firemní aplikace a data (spravované) Skype pro firmy E-mail Facebook OneDrive for Business Kontakty WhatsApp Soukromé aplikace a data (nespravované) LOB aplikace Kalendář OneDrive PDF čtečka Fotky Angry Birds Ostatní Ostatní Ostatní Výměna dat je pod kontrolou

Kapitola 3: Windows Defender Advanced Threat Protection

Příběh jednoho počítače s Windows 10 Proaktivní ochrana před útokem Reaktivní ochrana Device Health attestation Device Guard Device Control Security policies Built-in 2FA Account lockdown Credential Guard Windows Hello ;) Device protection / Drive encryption Enterprise Data Protection Conditional access SmartScreen AppLocker Device Guard Windows Defender Network/Firewall Windows Defender ATP Ochrana zařízení Ochrana identity Ochrana informace Odolnost proti hrozbám Detekce narušení, vyšetření & obrana Classified Windows as 10 Microsoft Commercial General Storybook Anniversary Update

Kapitola 4: Windows Telemetry

Jan Pilař Windows TSP Jan.pilar@microsoft.com