SP2seminar20040920
Download
Report
Transcript SP2seminar20040920
Windows XP 서비스 팩 2의
향상된 보안 기술
홍성학 차장/ 마케팅 그룹
이중영 선임 연구원/ 소프트웨어 연구소
㈜한국 마이크로소프트
배경
악의적인 공격
대부분의 공격
발생 시점
제품
출시
취약점 발견 패치 제공
고객의 패치
적용
공격의 패턴
취약점 공격
331
제품
출시
Nimda
180
151
SQL
Welchia/
Slammer
Nachi
악용(惡用)의 증가
패치와 악용 간의 시간 감소
악용 사례가 좀 더 복잡해짐
취약점 발견 패치 제공
고객의 패치
적용
패치 적용에 대한 고객의
부담 및 관리의 어려움
25
14
Blaster
Sasser
PC와 보안
기존 방식
Network
Attachments
Memory
Web
PC와 보안
새로운 방식 – “Shield-Up”
Network
Attachments
Memory
Web
소프트웨어 보안
기존 전략
사용 편이성
전개 및 관리 용이성
‘인터넷 시대’
그러나…
사용 편이성
&
기능
보안
&
개인정보 보호
광범위한 공격 범위
다양한 공격 패턴
소프트웨어 보안
“Better” 전략, 그러나 “Best”는 아님
최소화된 공격
범위
사용 편이성
&
기능
보안
&
개인정보 보호
그러나…
전개의 어려움
빈번해지는 보안
관련 조작
애플리케이션의
호환성 문제
소프트웨어 보안
SP2가 지향하는 전략
최소화된 공격
범위
사용 편이성
보안
&
&
기능
개인정보 보호
그리고…
전개 용이성
사용 편이성
애플리케이션
호환성 보장
Windows XP 서비스 팩 2
공격 방향/패턴
“진입점(point of entry)”에서
악의적인 공격을 차단
Network
Email & IM
Web Browsing
Memory
보안 향상
관리 용이성
사용 편이성
Windows XP 서비스 팩 2의 보안
기술
네트워크 보호 기술
메모리 보호 기술
안전한 전자메일 처리 기술
안전한 검색 기술
향상된 컴퓨터 유지 관리
네트워크 보호 기술
경고 및 메신저 서비스
Bluetooth
DCOM 보안 기능 개선
Windows 방화벽
무선 네트워크 설정 마법사
경고 및 메신저 서비스
두 서비스 모두 자동으로 시작되지 않음
응용 프로그램 해결책
다른 방법으로 사용자에게 알림
응용 프로그램에서 서비스를 시작, 실행
Bluetooth
적은 비용으로 근거리에서 모바일 장치의
무선 연결을 구현하는 기술
범위: 10/100m, 전송률: 1MB/s
Bluetooth 사용 예
무선 마우스와 키보드 연결
무선 프린터
파일 전송
PAN 구성
연락처,
일정 동기화
DCOM 보안 기능 개선
기존 문제점
인증 받지 않은 액세스를 허용
RPC 인터페이스가 인증 받지 않은 사용자에 의해
호출 가능
관리자가 컴퓨터의 COM 서버의 노출 수준을
파악할 방법이 없음
DCOM 보안 기능 개선
모든 COM 서버에서 매번 호출, 인증 또는
실행 요청에 별도의 AccessCheck 호출
AccessCheck가 실패하면 그 호출, 인증 또는
실행 요청은 거부됨
DCOM 보안 기능 개선
DCOM 컴퓨터 전체 제한 기능
기본적으로 모든 사용자에게 로컬 실행, 로컬
인증 및 로컬 호출 권한 부여
기본적으로 모든 사용자에게 원격 호출 권한
부여
인증 받지 않은 원격 호출은 거부
기본적으로 원격 인증 및 실행 권한은
관리자에게만 허용
관리자가 아닌 사용자가 COM 서버에 대한 원격
인증 수행 거부
DCOM 보안 기능 개선
기본적 Windows XP 컴퓨터 제한 설정
Permission
Administrator
Everyone
Launch
Local (Launch)
Local Activate
Remote (Launch)
Remote Activate
Local (Launch)
Local Activate
Access
Local (Call)
Remote (Call)
Anonymous
Local (Call)
Windows 방화벽
상태 저장(stateful) 필터링 방화벽
요청하지 않은 인바운드 연결을
차단함으로써, 네트워크에 연결된 PC 보호
구성 옵션
인터페이스를 기준으로 실행
고정 포트 열기
기본적인 ICMP 옵션 구성
끊어진 패킷 및 연결 성공 로그 기록
Windows 방화벽
Windows 방화벽이 기본적으로 실행
모든 네트워크 인터페이스 대상
인터페이스별로 구성도 가능
새로 추가되는 네트워크 연결도 적용
IPv4 및 IPv6 트래픽에 모두 적용
부팅 시 보안
로컬 서브넷 제한
파일 공유, uPnP 포트
Windows 방화벽
명령줄 지원
IPv4, IPv6 모두 지원
예외 허용 안 함
나가는(outgoing) 연결만 허용
다중 프로필
도메인 프로필, 표준 프로필
RPC 지원
기본적으로 차단
파일 공유, 인쇄 등
Windows 방화벽
기본값 복원(Netfw.inf)
무인 설치 지원
멀티캐스트 또는 브로드캐스트 지원
IPv6 방화벽과 통합
업데이트된 사용자 인터페이스
그룹 정책 지원
컴퓨터 구성->관리 템플릿->네트워크
->네트워크 연결->Windows 방화벽
Windows 방화벽
예외 목록-1
대상: 네트워크 연결을 필요로 하는 응용
프로그램 예) P2P, 메신저, 게임 등
예외 목록에 등록되면 WF가 필요한 포트를
자동으로 엶
상태 필터링을 지원하는 응용 프로그램은
Windows 방화벽 예외 목록에 등록하지
않아도 됨
관리자만이 Windows 방화벽 예외 목록에
응용 프로그램을 추가
Windows 방화벽
예외 목록-2
응용 프로그램을 Windows 방화벽 예외
목록에 넣는 방법
응용 프로그램에 의해 설치 시 프로그램 방식으로
추가
알림 기능을 이용
사용자가 수동으로 직접 구성
Windows 방화벽 데모
제어판 -> Windows 방화벽
운영 모드
예외 목록 추가
글로벌 구성, ICMP 옵션, 로깅 옵션,
그룹 정책, 다중 프로필
Windows 방화벽 정보
Windows Firewall start page
http://msdn.microsoft.com/library/defa
ult.asp?url=/library/enus/ics/ics/windows_firewall_start_page
.asp
Windows SP2 SDK
http://www.microsoft.com/msdownload/platf
ormsdk/sdkupdate/
Code Examples
Adding an application to the exceptions list (VBScript)
Adding a Port to Current Profile (VBScript)
Adding a Port to Current Profile Using Remote Addresses (VBScript)
Allow Incoming Echo Requests (VBScript)
Changing Settings in a Specific Profile (VBScript)
Changing Settings in the Non-current Profile (VBScript)
Demonstrate IsIcmpTypeAllowed (VBScript)
Demonstrate IsPortAllowed (VBScript)
Displaying all properties (VBScript)
Enabling a Service (VBScript)
Enabling a Service II (VBScript)
Enabling RemoteAdmin (VBScript)
Exercising the Firewall (C++)
Iterating through a collection (VBScript)
Verify Windows Firewall is Enabled (VBScript)
Working with per-interface APIs (VBScript)
WF Interfaces
INetFwOpenPort
INetFwOpenPorts
INetFwService
INetFwRemoteAdminSettings
INetFwServices
INetFwAuthorizedApplication
INetFwAuthorizedApplications
INetFwIcmpSettings
INetFwProfile
INetFwPolicy
INetFwMgr
적용 사례, Nate On
Windows Messenger
안전하지 않은 파일 전송 차단
보낸 사람이 대화 상대 목록에 없고
첨부된 파일이 안전하지 않을 때
MS Office 파일: .doc, .ppt, .xls
다른 응용프로그램 파일: .zip, .pdf, .wdf
실행가능한 파일:
.exe, .vbs, .cmd, .bat, .pif, .scr
대화명 필수
E-mail 주소는 바이러스에 도용 위험
-> 사용 불가능
Windows 방화벽과 연계
예외 프로그램에 등록
무선 공급 서비스
Wi-Fi hotspot에서 안정된 공급
포함 기능
Wi-Fi 보호 접근(WPA)
무선 자동 설정
보호된 확장
인증(PEAP)
무선 네트워크 설정 마법사
강화된 보안과 단순한 설정 과정
설정과 암호를 USB 플래시 드라이브와
같은 이동가능한 매체에 저장 가능
메모리 보호 기술
데이터 실행 방지(Data Execution
Prevention)
이전 이름: NX 또는 no-execute
프로세서 하드웨어를 이용해 코드가 특정
메모리 영역(heap, stack, memory
pool)에서 실행되지 못하도록 하는 속성을
부여
지원 프로세서
AMD Opteron, Athlon 64
Intel EM64T
데이터 실행 방지(DEP)
응용 프로그램 호환성
동적(Just-In-Time) 실행 코드 생성하는 프로그램
STATUS_ACCESS_VIOLATION (0xc0000005)
드라이버 호환성
직접 메모리 액세스(DMA) 전송 및 맵 레지스터
할당
Bugcheck 0xFC:
ATTEMPTED_EXECUTE_OF_NOEXECUTE
_MEMORY
데이터 실행 방지(DEP)
시스템 전체 자료 실행 방지
/NOEXECUTE: DEP 사용
/EXECUT: DEP 사용 안 함
Boot.ini의 4가지 설정
OptIn: 기본값, 시스템 파일만 적용
OptOut: application fix(shim) 적용
AlwaysOn: 예외 없음. shim 적용 안 됨
AlwaysOff: DEP 제공 안 함
데이터 실행 방지 화면
안전한 전자 메일 처리 기술
일반 텍스트 모드
rich edit 컨트롤이 MSHTML 컨트롤 대신 사용
MSHTML이 HTML 헤더 스크립트를 자동으로
실행하는 것을 방지
도구-옵션-읽기-일반 텍스트로 모든 메시지 읽기
도구-옵션-보내기-메일 보내는 형식: 일반 텍스트
안전한 전자 메일 처리 기술
외부 HTML 콘텐트를 다운로드 하지 않음
스팸 메일의 이미지에 숨겨진 악의적인
콘텐트(메일 주소)가 웹서버에 연결되어 전송되는
것을 방지
도구-옵션-보안-HTML 전자 메일의 이미지 및
다른 외부 콘텐트를 차단
안전한 전자 메일 처리 기술
AES API 통합
첨부 파일의 보안을 검사하는 새로운 API
미리 보기 영역이 렌더링되기 전에,
CheckPolicy()가 호출되어 어떤 첨부 파일이
사용자에게 표시되고 어떤 파일이 액세스가
차단되는지 결정
E_fail: 위험한 첨부
S_OK: 안전한 첨부
S_FALSE : 사용자 동의
보안 센터
자동 업데이트
설치 후 또는 업데이트 후 자동 업데이트
사용을 권장
자동 업데이트 설정
백신 프로그램 등록 현황
회사
제품명
보안센터 상황
Ahnlab
V3 2002
감지
V3 2004
완전 감지
My Firewall
모름
Security Pack for Desktop
감지
Virobot Expert 4.0
완전 감지
Virobot Desktop 5.0
완전 감지
New Tech Wave
Virus Chaser 5.0
완전 감지
Everyzone
Turbo Vaccine AI
모름
GEOT
Unicure
모름
Inca Internet
nProtect desktop v1
모름
Syworks
Cyberwall 2002
모름
Hauri
그 외의 추가 기능
Windows Media Player 9
Movie Maker 2.1
DirectX 9.0c
Windows Installer 3.0
Windows Update v5
Tablet PC 2005
Media Center Edition 2004
Tablet PC 데모
In-place 입력판
향상된 인식률
문자 패드 수정 기능
응용 프로그램 호환성 검사(1)
Application Compatibility Toolkit
http://www.microsoft.com/windows/appco
mpatibility/default.mspx
Application Compatibility Analyzer
Risk Evaluation and Mitigation (REM)
tools
Windows Firewall, IE, DCOM
Compatibility Administrator
Windows Application Verifier 2.5
응용 프로그램 호환성 검사(2)
Virtual PC 2004
http://www.microsoft.com/windows/virtual
pc/default.mspx
결론
응용 프로그램 호환성 테스트 권장
대상 응용 프로그램
P2P 프로그램
게임 호스트
메신저
바이러스 백신, 방화벽 프로그램
호환성 테스트 도구
Virtual PC 2004
ACT(Application Compatility Toolkit) 4.0
감사합니다!