Рассказ о новых API безопасности появившихся в Windows 10. Подробное описание как интегрировать в ваши приложениях Microsoft passport, Windows Hello, Virtual smartcard и другие технологии безопасности. Как сделать ваши приложения удобнее и безопаснее.

1. Windows Camp Андрей Бешков
Менеджер программ информационной безопасности, Microsoft
abeshkov@Microsoft.com
Как разработчику обеспечить
безопасность пользователей
и данных в мобильном мире

2. • Как дела с безопасностью
приложений и данных в
мире?
• Дивный новый мир
мобильности 
• Новые механизмы защиты
Windows 10

4. Microsoft Security Intelligence Report Volume 18

6. 




Conception
Release

7. Подробности http://Microsoft.com/sdl Доклады на techdays

8. Данные
Устройства
Люди
6.5 Млрд
Беспроводных
соединений сегодня
>42%
Населения владеют
смартфонами к концу
2015 года
>50%
Пользователей будут
использовать
смартфон или
планшет для онлайн
активностей к 2018
году

9. Периметр сети
исчез
Атакующие лучше
организованы,
нацелены и
настойчивы
ИТ не поспевает
за запросами
бизнеса

10. Аутентификация пользователей

11. Пароли,
токены,
билеты
шшшш!
Тихо!
Тяжело обслуживать легко
потерять

12. Пароли и логины в Интернет
Пользователь
Везде один
пароль
Слабое место
сайт
Злоумышленник
1
Social
.com
Bank
.com
Network
.com
LOL
.com
Obscure
.com
1
2

13. логины и пароли
Пользователь
1
3
5
Устройство
IDP
IDP
IDP
2
4
Сетевой
ресурс
Слабое место
пользователь
и устройство
Злоумышленник

14. Виртуальные смарт-карты

15. Для чего могут пригодиться?
• Удаленный доступ VPN или DirectAccess
• BYOD (Bring Your Own Device)
• Вход в устройство
• SSL аутентификация клиента
• Безопасная почта
• Защита документов (подпись, шифрование)
• Шифрование томов с помощью BitLocker

16. • Управление виртуальной и физической смарт-
картой
• Политики для PIN кода
• Создание и удаление сертификатов
• Крипто операции с сертификатами
Building Apps That Leverage Virtual Smart Cards
Что позволяет API смарт-карт в Windows 8.1

17. MICROSOFT PASSPORT
Ваше устройство один
из факторов
аутентификации
ЗАЩИЩАЕТСЯ
АППАРАТНО
Удостоверение
пользователя
Пара ассиметричных ключей
Создается PKI или локально
Windows 10

18. IDP
Active Directory
Azure AD
Google
Facebook
Microsoft Account
1
Пользователь
2
Windows10
3Intranet
Resource
4
4Intranet
Resource
Новый
подход

19. Microsoft
"Passport"
Использование
Ключи генерируются и хранятся в идеале в
(TPM) чипе, или в ПО если нет другого
варианта
Ключи могут использоваться для входа в
систему или подтверждения действия в
приложении
Поддержка с помощью JS/Webcrypto api
чтобы создавать и использовать пароли
для посетителей вебсайтов

20. Альянс FIDO
Члены правления

21. Microsoft Passport: Создание
Двухфакторная
аутентификация
Создать Microsoft Passport
Зарегистрировать
публичный ключ на сервере
• KeyCredentialRetrievalResult kcResult = await
• KeyCredentialManager.RequestCreateAsync(accountID
, KeyCredentialCreationOption.FailIfExists);

22. Microsoft Passport: Использование
Открыть
Microsoft Passport
Подписать запрос от сервера
с помощью Microsoft Passport
Отправить подписаное на
сервер
• KeyCredentialOperationResult kcOpResult =
await
kcResult.Credential.RequestSignAsync(serverCha
llenge);

23. Microsoft Passport: Удаление
Открыть
Microsoft Passport
Удалить Passport
Удалить публичный
ключ на сервере
• KeyCredentialRetrievalResult kcResult = await
KeyCredentialManager.OpenAsync(accountID);
Подробнее про работу с Microsoft Passport

24. PIN
Простой вариант
Не требует доп. оборудования
Знаком пользователю
Windows Hello
Улучшенная безопасность
Простота использования
Невозможно забыть и потерять
Доступ пользователя в систему и к ключам MS
Passport
Sample design, UI not final

25. WINDOWS
HELLO
Лицо
Hello Andrey
Отпечаток
пальца
Зрачок

26. Биометрическая аутентификация Windows 10
Windows 10 эволюционировала чтобы избавиться от паролей с помощью
Microsoft Passport и биометрии……
 Windows Hello фреймворк биометрической аутентификации с помощью
лица, зрачка, отпечатков
 Удобный вход в систему и надежная аутентификация пользователя для
доступа к критичным для бизнеса ресурсам
 Опирается на инфраструктуру безопасности Microsoft Passport

27. Развертывание Windows Hello
:)
Найти лицо
Найти точки Определить
ориентацию
головы
Построить и
безопасно
сохранить
шаблон точек

28. Использование
:)
Найти лицо Найти точки Определить
ориентацию
головы
Построить
шаблон точек
Совпадает с
шаблоном точек?

29. Если не сработало
:)
Найти лицо Не совпадает
с шаблоном
Введите PIN для
аутентификации

30. • более 4,3 миллиона комбинаций
• Базируется на машинном обучении
Большой набор тестовых данных
• Более 13000 уникальных лиц (Цель 30000)
• Набор разных рас, роста, веса, цвета кожи, очков, и.т.д.
• Вариации угла обзора и освещения
Аутентификация с помощью лица

31. Рабочее/Личное
Единый интерфейс
Изоляцияданных
Данныезашифрованы
Блокирование/аудит
обменаданными
Есть APIs для разработчиков
ПоддерживаетiOS и
Android
Lync eMail Facebook
OneDrive
for
Business Contacts WhatsApp
PowerPoint Calendar OneDrive
PDF
Reader Photos Weather
Бизнес
приложения
и данные
(Управляем
ые ИТ)
Личные
приложения
и данные
(Неуправляе
мые)
Блокирование/аудит
обмена данными

32. Про Enterprise Data Protection

34. Threat Modeling
(Microsoft Professional)
by Frank Swiderski,
Window Snyder
Writing Secure Code,
Second Edition
by Michael Howard,
David C. LeBlanc
The Art of Software
Security Assessment:
Identifying and
Preventing Software
Vulnerabilities
By Mark Dowd, John
McDonald, Justin Schuh
Software Security:
Building Security
By Gary McGraw

35. Virtual smart card white paper
Документация MSDN по WinRT APIs
Примеры кода
Microsoft Passport APIs
Microsoft SDL
Доклады про SDL на techdays
Building Apps That Leverage Virtual Smart Cards
Подробнее про работу с Microsoft Passport
Ресурсы

36. Теперь вы готовы защищать пользователей 

37. #wincamp
Ждем ваших
отзывов

38. Контакты
Бешков Андрей
{Microsoft, CSS Security}
abeshkov@microsoft.com;
@abeshkov;
блог Бешкова

39. ©2015 Microsoft Corporation. All rights reserved. Microsoft, Windows, Office, Azure, System Center, Dynamics and other product names are or may be registered trademarks and/or
trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this
presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee
the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN
THIS PRESENTATION.