microsoft tech summit 2018 · microsoft tech summit 2018 微软技术暨生态大会 吴汤海...
TRANSCRIPT
Microsoft Tech Summit 2018
微软技术暨生态大会
吴汤海
解决方案专家,STU
SCC205
从密码攻防实例看客户端身份保护的进化和提升
议程
密码攻防实例
终端系统安全策略
办公软件身份保护
移动办公场景管控
450B 每个月的验证
18B+ Bing扫描的网页
750M+ Azure 用户账户
为财富500强中
90% 的企业提供安全方案
5B每个月在各种设备上检测到的威
胁
在世界范围内,从合作伙伴、研究机构和法律法规强制部门获取可共享的
威胁数据
从Microsoft Digital Crimes
Unit获取僵尸网络数据
1.2B 每个月扫描过的设备
400B 分析过的电子邮件
200+ 全球消费者及商业云服务
OneDrive
Xbox
Microsoft
账户
Bing
Azure
Outlook
Windows
内网AD、邮件服务器互联网
内网办公环境
DMZ隔离区OWA、网页
外部入侵(外网>DMZ)
外部入侵(DMZ > 服务器)
蠕虫、木马外联
移动入侵
优盘攻击
蠕虫、木马传染
移动办公
托管云服务
漏洞攻击
离线破解
钓鱼攻击
外部入侵
木马植入
非法访问
身份窃取是主要的攻击入口
提权运行
勒索病毒
小钱
破坏系统
炫技
偷盗密码
身份
普通员工
冒名顶替
内部传染
扫描网络
寻找漏洞
高级账号
新建账号
恢复漏洞
潜伏监控
盗取机密
隐蔽、危险、有针对性的商业攻击
监测 保护 响应
Azure Security Center 云安全管理中心
O365 TI 智能安全管控
IaaS ⚫ PaaS ⚫ SaaS
Intune 移动设备管控
Azure AD P2 云AD
Windows IP | Azure IP
Microsoft Cloud App Security 云安全平台
WDATPWINDOWS ADVANCED THREAT PROTECTION
主动防御系统
Microsoft Information Protection
微软信息保护
Microsoft Tech Summit 2018
微软技术暨生态大会
实例:Windows 7凭据攻击
一个普通的工作日使用着心爱的Windows 7,用户开始了忙碌的工作
终端用户
终端用户
终端用户
终端用户
下载中……
终端用户
终端用户
终端用户
终端用户
似乎和平时一样可是,在你看不到的角落…………
密码已经失窃黑客可以神不知鬼不觉的访问您的商业信息
你的商用系统不堪一击
而你虽被攻击
但却一无所知
Microsoft Tech Summit 2018
微软技术暨生态大会
终端应对策略每个终端都是一个堡垒
身份
保护
密码
指纹
人脸
程序
管控
黑白名单
病毒防御
恶意检测
权限
控制
权限回收
按需分配
有效期
持续
监控
账号安全性
设备合规性
攻击检测
本示例中包含常规的企业策略• 复杂密码
• 域管控
• 本地杀毒、邮件附件防毒
• 优盘阻止、禁止安装
应对现代威胁,终端需要更多技术• 病毒木马行为分析、主动防御(未知防御)
• 程序黑白名单(绿软阻止)
• 系统内核密码虚拟化(阻止强行扫描密码)
• 浏览器密码内存隔离
• 攻击检测和预警(人工智能分析海量潜在攻击行为并有效报告)
• 设备加密和锁定(防丢失,防泄漏)
企业终端安全策略 – 风险管控技术实现
攻击的众矢之的:2009年设计的Windows 7
国内的攻击模式
• 开放源码方案,复制粘贴即用
自动化
• 国内企业大半用户有本地管理员权限
管控差
• Win 7企业用户希望关闭UAC
易攻击
• 开放源码方案,复制粘贴即用
• 国内企业大半用户有本地管理员权限
管控差
• Win 7企业用户希望关闭UAC
易攻击
Windows 7/8
用户态
内核态
常规环境
主板固件 (UEFI)
硬件设备 (TPM, 虚拟化扩展支持, IOMMU)
Windows 7/8 系统中内核保护模式
KMCI 恶意软件
你好呀,伙计!
Windows 10
用户态
安全环境 常规环境
安全加固边界
我还以为我们能成为朋友
Windows 10 虚拟化的内核保护模式
硬件设备 (TPM, 虚拟化扩展支持, IOMMU)
主板固件 (UEFI)
内核态
Hypervisor虚拟层
KMCI
安全
可控
恶意软件
安全程序
LSAIso
普通程序
LSASS
Windows Defender 凭据卫士
程序白名单基础 - AppLocker简单配置
• 2008 域控以上
• 一条策略、三条规则
快速生效
• 允许:系统/已安装程序
• 阻止:优盘绿软
• 阻止:浏览器缓存启动(百度网盘、etc)
• 阻止:任何未规定程序目录
高级黑白名单
• 规定的程序名
• 特定的程序Hash
• 特定的程序签署证书
进阶:Windows Defender 应用程序控制
微软AI全面防御系列之三:威胁防护及安全管理
更多安全技术
身份安全
• Windows Hello
• 凭据卫士
• 浏览器虚拟化
• Office应用程序防
护
• MFA多因子认证
威胁防御
• O365 TI
• Windows
Defender免费杀
毒软件
•主动防御体系
(WDATP)
• O365 ATP
信息保护
• 数据加密
(BitLocker)
• O365 DLP
• WIP + AIP整合方
案
• EMS移动设备管理
日
常
办
公
Office套件
B/S程序
专业软件
日
常
办
公
B/S程序
Windows Hello生物认证Windows 10 浏览器直接刷脸、指纹登陆内部网页程序
Windows Defender 应用程序防护
• 浏览器虚拟化• 保护程序登录信息
• 组策略管理• 不需另行开发
• 现代硬件支持• 4G内存以上
自动网络隔离技术
防护浏览器、也保护Office
日
常
办
公
Office套件
B/S程序
专业软件
日
常
办
公
Office套件
预防内存扫描 - Office应用程序防护
防御暴力破解 - 邮件系统多因子认证
Office 365 TI - AI智能检测登录威胁
Office 365 TI – 攻击模拟器(密码风险自检)
移动办公安全
准入条件
允许访问或者
阻止访问
操作
强制用户/程序进行MFA多因子认证
网络位置
设备状态
用户验证/程序验证
MFA
风险评估
用户
移动场景下的身份保护(EMS)全平台支持、准入条件、选择性多因子认证
演示:EMS的身份保护
技术总结
Windows
• 虚拟化安全
• 程序管控
• WDATP主动
防御
浏览器
• Windows
Hello
生物认证
• 浏览器虚拟
化
Office
• Office虚拟化
• MFA多因子
• Office TI智
能预警
安卓/iPhone
• 网络准入
• MDM/MAM
• MFA多因子
终端系统 办公环境 移动办公
立刻行动防范于未然
每个
终端
都是
一个
堡垒
分权管理
虚拟化安全
生物识别
多因子认证
主动防御系统、风险预警机制
微软AI全面防御系列课程号 标题 讲师 简介
SCC208
一:现代办公安全平台概述
刘浩 在中国经济高速发展的大背景下,国内的企业发展日新月异,而支持业务增长的IT体系却略显疲态。尤其在设备移动化、云服务大行其道的今天,在应用新技术以满足业务发展需求的过程中,保障办公平台信息安全已经成为了IT最大的挑战。作为中国企业最可靠的合作伙伴,微软常年致力于打造安全的企业办公平台,深耕于企业安全解决方案。今天,让我们一起了解微软如何协助企业构建现代办公安全平台,为企业信息安全保驾护航,创造更大价值。
SCC205 二:从密码攻防实例看客户端身份保护的进化和提升
吴汤海 近几年,随着技术的不断进步,网络攻击的门槛越来越低,攻击手段也日新月异。与之对应的,一些传统的安全体系也逐渐不合时宜,无法防御现代化的网络攻击手段。我们将以一个国内常见的网络钓鱼密码攻击示例说起,带您深入了解客户端安全体系最近几年的进化,以更好的制定未来的企业身份保护策略。在这里,我们的安全策略将覆盖一个商用客户端的体系,包含Windows系统、office套件和微软云服务集成。
SCC206 三:威胁防护及安全管理
龚祺莎 在科技高速发展的时代下,不仅带来了高能的技术革新,同时也隐藏着比以往更险峻的安全防护挑战。作为追求效益与智能的现代化企业,如何能够更加高效地应对日新月异的病毒攻击,如何能够更加完整地规划企业管理监控的体系。我们将从Windows全新的终端保护入手,结合Office 365的安全防护及云端技术套件,来为企业提供更全方位的威胁防护和高效管理。
SCC207 四:现代办公环境下的信息保护
徐俊杰 随着越来越多企业拥抱互联网与公有云,对企业的电子信息保护提出了新的挑战。作为本系列最后一个章节,我们将会介绍现代办公环境中基于M365完整的信息保护生命周期
专家面对面
欢迎您移步至教室外答疑区
和本场讲师进行更多沟通与交流
Microsoft Tech Summit 2018
微软技术暨生态大会
讲师的激情因您的鼓励而愈发澎湃,
立即提交反馈即有机会获得精美礼品。