...

La sicurezza delle reti informatiche

by user

on
Category: Documents
39

views

Report

Comments

Transcript

La sicurezza delle reti informatiche
La sicurezza delle reti
informatiche : la legge sulla
Privacy e la piattaforma
Windows
Relatore : Ivan Salvadè
[email protected]
Agenda
09.30
Introduzione alle legge 196/03
Criteri di protezione generali
La sicurezza delle password
Il backup dei dati
L’aggiornamento del software
Analisi del software con Microsost Baseline
Security Analizer (MBSA)
Aggiornamento del software con Windows Server
Update Services (WSUS)
L’importanza del software antivirus introduzione a Windows One Care Live
(WOCL)
11.15 Intervallo
Agenda
11.30
Protezione dei client
Windows XP Service Pack 2 e Windows
Firewall
Crittografia dei dati : Encrypted File System
(EFS)
13.00
Pausa Pranzo
Agenda
14.00
Protezione della rete interna
Introduzione a ISA Server 2004
Protezione di Exchange Server con ISA
Server 2004
ISA Server 2004 Appliances
15.45
Intervallo
La sicurezza delle reti Wireless
Windows VISTA : cenni alle principali
caratteristiche di sicurezza
17.30
Domande e risposte
La gestione del software:
Software Asset Management
(SAM)
per un’azienda l’amministrazione di un parco PC può
diventare complessa
con il tempo è possibile anche involontariamente perdere il
controllo dei software installati e delle licenze possedute
le possibili conseguenze di questa situazione:
mancata ottimizzazione della spesa IT
installazione di software non autorizzato
problemi di sicurezza
parco software eterogeneo per tipologia e versione dei prodotti
rischio di violazione delle norme sul Diritto d’Autore
I rivenditori possono aiutare i loro clienti a semplificare la
complessità gestionale offrendo un servizio di gestione del
software (SAM)
SAM: benefici per i
rivenditori
qualificarsi presso il cliente con un
servizio nuovo e di estrema utilità (nuovi
clienti)
diventare interlocutore privilegiato sui
temi di licensing (fidelizzazione)
aprirsi un nuovo business per la vendita
del servizio e delle eventuali licenze
mancanti (vendite da regolarizzazione) (*)
(*) Il tasso di pirateria in Italia è del 50%. Fonte: IDC, Piracy Study
2005.
Acquisisci la specializzazione
SAM
è disponibile nel Microsoft Partner Program la
competenza Licensing Solutions
è possibile ottenere la competenza acquisendo la
specializzazione SAM in essa prevista
requisiti della specializzazione SAM:
due Microsoft Certified Professional che superino
l’esame 70-123 Planning, Implementing, and
Maintaining a Software Asset Management (SAM)
Program
presentare tre referenze di clienti relative a
soluzioni in ambito Software Asset Management
Tutti i dettagli al link:
www.microsoft.com/italy/partner/partnering/program
_2005/competenze/licensingsolutions/default.mspx
Risorse per il SAM
Dedicate ai rivenditori che intendono offrire un
servizio di SAM ai propri clienti:
formazione, strumenti, informazioni sulle licenze:
www.microsoft.com/italy/softwareoriginale/guida_partner/default.mspx
Tool per l’inventario software:
MSIA, il tool gratuito Microsoft per l’inventario
software:
www.microsoft.com/italy/sam/content/msia/default.mspx
MASTER SAM (di Computerwide Networking
Solutions)
www.computerwide.it/Prodotti/MasterSaM/MasterSaM_Home.asp
Perchè offrire sempre prodotti
originali
Benefici:
sono completi di tutte le
componenti
godono della garanzia
offerta dal produttore
consentono l’uso degli
aggiornamenti (WGA)
www.microsoft.com/italy/
genuine
l’origine è certa (più
sicurezza)
Sanzioni di legge:
reclusione da 6 mesi a 3
anni (penale)
multa da 2,5 a 15 mila
euro (penale)
sanzione amministrativa
pari al doppio del prezzo
di mercato dell’opera
risarcimento dei danni al
titolare dei diritti (civile)
I benefici di Windows originale
Proprietà che i clienti si aspettano
Solo grazie a Windows orignale ogni PC fornisce le
caratterisitce, le opzioni e le performance che i clienti si
aspettano
Genuine
Windows
Sicurezza e tranquillità
Il software è supportato da Miscrosoft o
da un Partner riconosciuto
Aggiornamenti continui
Solo con Windows originale è possibile accedere
agli aggiornamenti e ai miglioramenti che mettono
in risalto il valore del software originale
Solo vendendo e promuovendo Windows originale garantite ai
vostri clienti tutte le funzionalità che si aspettano dal proprio PC
Windows Genuine Advantage (WGA)
Cosa è WGA?
Un nuovo programma che consente a tutti i
clienti di certificare il proprio Windows XP
come orignale
Perchè WGA?
La più semplice e facile modalità per
garantire l’originalità del software dei vostri
clienti
Un punto unico di accesso alle informazioni
che avete bisogno di conoscere sul valore
del software originale
Windows Genuine Advantage:
caratteristiche
Tutti gli aggiornamenti di Windows disponibili nel Download
Center e attraverso Microsoft Update sono disponbili SOLO per
chi utilizza una versione di Windows originale
Tutti i download (eccetto quelli relativi alla sicurezza) richiedono la
validazione
Un processo semplice: non è richiesto l’inserimento di nessuna
Product Key
Per tutti i clienti che scoprono di avere una versione di Windows
non origniale esiste la possibilità di acquistare direttamente da
Microsoft una copia di Windows XP originale
Altre offerte che sono disponibili solo per gli utenti di Windows
originale sono, ad esempio:
Windows AntiSpyware
Windows Media Center Roll-up 2
Photo Story 3
Video didattici
Altre offerte e promozioni sempre aggiornate
Why Should You Care?
Vendendo software originale e promuovendone le funzionalità non solo
combattete contro la pirateria, ma avete un vantaggio tangibile che vi
differenzia da chi vende software non originale
Prima del programma WGA era difficile dimostrare il valore del software
originale
Grazie a WGA i clienti sanno in maniera semplice e immediata se la loro copia
di Windows è originale
Grazie a WGA è ora più facile vendere software originale perchè
anche i clienti ne conoscono il valore che lo differenzia da una
versione non orignale
Prosegue la campagna Microsoft
contro la pirateria del canale
Continua su tutto il territorio nazionale (Nord, Centro e Sud) la
campagna di controlli sul canale avviata da Microsoft a inizio
novembre, con i seguenti obiettivI:
contrastare i comportamenti illegali
diffondere presso i partner la consapevolezza che le modalità
lecite di vendita del software rappresentano per tutti un’importante
opportunità di crescita e sviluppo
tutelare i rivenditori onesti ed i consumatori
Oltre 2000 controlli su tutta Italia, attraverso i Mystery Shopper
Regioni visitate: 11
Tasso di offerte irregolari: 21% (aggiornamento dati in
elaborazione)
Attualmente in corso ulteriori controlli su tutto il territorio
nazionale: un ingente investimento ed un approccio innovativo
per ridurre l’elevato tasso di pirateria del software in Italia!
Legge 196/03: principi base
E’ il D.Lgs. n° 196 del 30 giugno 2003
Riunisce in un Testo Unico le precedenti leggi sulla
Privacy (L. 675/96, DPR 318/99)
Garantisce diritti e libertà fondamentali, la dignità
dell’interessato e la protezione dei dati personali, al
passo con le tecnologie correnti.
“Chiunque ha diritto alla protezione dei dati personali che
lo riguardano” (art.1)
Chiunque tratta dati personali è tenuto a rispettare gli
obblighi previsti dal Testo Unico :
Aziende, Imprese, Ditte, Professionisti, Enti Pubblici, Scuole,
Organizzazioni ed esercenti le professioni Sanitarie, Banche,
Assicurazioni, Pubblica Amministrazione, Uffici Giudiziari ed
esercenti le professioni Giudiziarie, … e altre categorie ancora…
Devono essere protetti, in particolare :
Dati Personali, Dati Identificativi, Dati Giudiziari, Dati Sensibili
Legge 196/03: principi base
I dati devono essere :
Completi, aggiornati e non eccedenti rispetto agli scopi
Raccolti, registrati e conservati secondo gli scopi
Trattati in modo lecito e corretto
Trattati per un periodo di tempo non superiore a quello
necessario agli scopi
Il fine è ridurre al minimo le fonti di rischio e garantire la
massima integrità, riservatezza, disponibilità ed
aggiornamento delle informazioni
Devono essere adottate idonee e preventive misure di
sicurezza per garantire la protezione delle informazioni
Le “misure di sicurezza” rappresentano un processo
globale, per l’attuazione del quale sono richieste
competenze specifiche ed attenzione diffusa
Disciplinare tecnico
Sono state predisposte una serie di “misure minime di
sicurezza”, individuate negli artt. 31-36 e nell’Allegato B
del T.U., obbligatorie per chi tratta i dati personali con
strumenti elettronici :
Autenticazione informatica
Procedure di gestione delle credenziali di autenticazione
(password, codici identificativi, certificati digitali, carte a
microprocessore, caratteristiche biometriche)
Sistema di autorizzazione informatica
Protezione dei sistemi dagli accessi non consentiti (protezione da
virus, worm, trojans, accessi di persone non autorizzate)
Aggiornamento dei sistemi con le ultime patch
Procedure di backup e ripristino di dati e sistemi
Tenuta del “Documento Programmatico sulla Sicurezza” (DPS)
Tecniche di cifratura (per chi tratta dati idonei a rivelare lo stato di
salute o la vita sessuale di individui)
Sanzioni
Sono previste sanzioni amministrative e penali, per il
responsabile legale dell’azienda e/o per il responsabile
del trattamento dei dati e/o per chiunque, essendovi
tenuto, omette di adottare le misure di sicurezza
Gli illeciti amministrativi sono regolati dagli artt. 161/164,
e puniti con sanzioni da 500 Eu a 60.000 Eu
Omessa informativa all’interessato
Omessa notificazione al Garante
Omessa esibizione di documenti al Garante
Cessione impropria dei dati
Gli illeciti penali sono regolati dagli artt. 167/171, e puniti
con grosse ammende o reclusione fino a 3 anni
Trattamento illecito dei dati personali
Falsità delle dichiarazioni e notificazioni al Garante
Omessa adozione delle misure minime di sicurezza
Inosservanza dei provvedimenti del garante
Autenticazione informatica
Procedimento con cui un individuo viene riconosciuto come tale
In un sistema informatico possono esserci varie forme di
autenticazione
Ogni incaricato al trattamento dei dati deve essere munito di una o
più credenziali di autenticazione :
user-id + parola chiave (nome utente e password)
dispositivo di autenticazione + eventuale codice o parola chiave (smart card, USB
token o altro con codice annesso)
Caratteristica biometrica + eventuale codice o parola chiave (impronta digitale,
scansione iride o retina)
Le credenziali di autenticazione sono individuali per ogni incaricato
La parola chiave, se prevista, deve avere le seguenti caratteristiche:
Lunga almeno 8 caratteri (o lunga il massimo consentito)
Non contenere riferimenti agevolmente riconducibili all’incaricato
Modificata dall’incaricato al primo utilizzo, e poi almeno ogni 6 mesi (3 mesi se i
dati trattati sono dati sensibili e/o giudiziari)
L’incaricato non può cedere le proprie credenziali ad altri
Le credenziali vanno disattivate se non usate da almeno 6 mesi o se
non si possono più ritenere “riservate”
Gestione credenziali
Il Titolare deve impartire istruzioni chiare agli incaricati su
:
Come assicurare la segretezza delle credenziali di autenticazione
Come custodire con diligenza i dispositivi in possesso
Le modalità per non lasciare incustodito il proprio terminale di lavoro,
durante una sessione di trattamento dei dati
Inoltre il Titolare deve impartire istruzioni agli incaricati in
merito :
Alla modalità di accesso ai dati e agli strumenti elettronici, in caso di
prolungata assenza o impedimento dell’incaricato, che renda
indispensabile e indifferibile intervenire per esclusive necessità di
operatività e sicurezza del sistema
Alla procedura da seguire nel caso in cui l’incaricato sia irreperibile,
oppure non sia più in possesso delle sue credenziali di autenticazione, e
si renda nel frattempo necessario un intervento sui dati
All’organizzazione delle copie delle credenziali di autenticazione,
l’identificazione dei responsabili delle copie, e delle relative procedure da
utilizzare nel caso queste debbano essere utilizzate
Sistema di autorizzazione
Un sistema informatico, dopo aver autenticato una
persona, cerca il suo “Profilo di Autorizzazione”, cioè
l’insieme delle informazioni associate ad una persona,
che consente di individuare a quali dati essa può
accedere e con quale modalità
I profili di autorizzazione possono essere creati
Per ciascun incaricato
Per classi omogenee di incaricati
Devono essere creati prima dell’inizio del trattamento dei
dati
Devono periodicamente (almeno una volta l’anno) essere
verificati, per garantirne la continua coerenza
Si possono NON applicare quando i dati trattati sono
destinati alla diffusione pubblica
Protezione e aggiornamento
Per l’intero sistema informatico, rivedere e, se
necessario, riorganizzare almeno annualmente gli ambiti
di trattamento, la lista degli incaricati e i profili di
autorizzazione
Munirsi di procedure per il salvataggio dei dati, da
effettuarsi almeno con cadenza settimanale
Munirsi di procedure per l’aggiornamento dei software di
elaborazione, allo scopo di prevenire vulnerabilità e
correggere difetti, da effettuarsi almeno con cadenza
annuale (semestrale per dati sensibili e/o giudiziari)
L’aggiornamento di programmi Antivirus, Antispyware e Firewall
deve essere eseguito non appena ne esiste uno disponibile
I dati personali devono essere protetti dal rischio di
intrusione, utilizzando opportuni strumenti elettronici
Chiunque diffonde, comunica, consegna un programma
informatico avente per scopo il danneggiamento,
l’interruzione o l’alterazione di un sistema informatico, è
punito con ammenda e reclusione
Dati sensibili e/o giudiziari
Ulteriori misure di sicurezza :
Prevedere tecniche di cifratura dei dati medesimi, sia quando
memorizzati su supporti magnetici, che quando in trasferimento
da un elaboratore all’altro
Impartire istruzioni precise su come trattare i supporti rimovibili
(CD, DVD, Floppy) che contengono tali dati sensibili
Tali supporti rimovibili devono essere distrutti se non utilizzati
Se non distrutti, possono essere riutilizzati da altre persone non
autorizzate al trattamento dei dati, SOLO SE questi sono stati
resi non intelligibili o tecnicamente in alcun modo ricostruibili
Prevedere procedure di ripristino dei dati al massimo entro 7
giorni, in caso di distruzione o danneggiamento degli stessi
DPS
Entro il 31 marzo di ogni anno deve essere compilato o aggiornato
dal Titolare del trattamento il “Documento Programmatico della
Sicurezza”
Deve essere citato nella relazione consuntiva del bilancio d’esercizio
Deve essere conservato per presentazione in occasione di controlli
Deve contenere, al minimo :
L’elenco dei trattamenti di dati personali
La distribuzione delle responsabilità nella struttura organizzativa in cui i dati
vengono trattati
L’analisi dei rischi che incombono sui dati
Le misure già in essere e da adottare per garantire l’integrità e la disponibilità dei
dati
La descrizione dei criteri e delle procedure per il ripristino della disponibilità dei
dati in seguito a distruzione o danneggiamento
La programmazione di eventi formativi per gli incaricati
La descrizione dei criteri da adottare in caso di dati trattati anche da terzi, l’elenco
dei terzi stessi e le modalità con cui i terzi dovranno trattare i dati
La descrizione delle procedure di crittazione dei dati, in caso trattasi di dati
sensibili e/o giudiziari
Per la corretta compilazione, eventualmente usare software
applicativi o consultare www.garanteprivacy.it
Informazioni aggiuntive
E’ facoltà del Titolare rivolgersi a consulenti esterni per
rendere conforme la sua organizzazione al Testo Unico
sulla Privacy
Deve provvedere a farsi rilasciare una descrizione scritta di quali
sono stati gli interventi che attestano la conformità alla normativa
E’ prevista la possibilità per chi utilizza strumenti
informatici “obsoleti” (che non consentono l’applicazione
delle misure minime di sicurezza secondo le modalità
tecniche dell’Allegato B), di descriverne le ragioni in un
documento a data certa (non oltre il 31/12/2005) da
conservare presso la struttura.
In questo caso, il Titolare è comunque tenuto
all’aggiornamento dei propri strumenti informatici entro e
non oltre il 31 marzo 2006
Soluzioni Microsoft
Soluzioni adatte per le aziende che dispongono di
almeno un server di rete e di un numero variabile di pc
client
La presenza del server di rete permette la
centralizzazione di una serie di operazioni, quali
autenticazione, backup, gestione patch, ecc..
In particolare, le ultime versioni dei sistemi operativi
Microsoft (Windows XP, lato client, e Windows Server
2003, lato server) unitamente alla suite di Office 2003,
offrono una serie di funzionalità che rende semplice
adeguare il proprio sistema informativo alle misure
minime
Licenza Software Assurance per il continuo e immediato
aggiornamento
Autenticazione e autorizzazione
Active Directory è la soluzione migliore e adatta
ad azienda di ogni dimensione
Utilizza sistemi di autenticazione standard (Kerberos, certificati
X.509, smart card…)
Gestione centralizzata dei profili utenti
Facile gestione delle Liste di Controllo degli accessi per
l’impostazione delle autorizzazioni
Protezione e gestione delle password (lunghezza min/max,
scadenza, rinnovo, complessità…)
Gestione della sicurezza anche dei client collegati
Utilizzo di protocolli standard per l’accesso ai dati (LDAP)
Gestione dell’accesso al software (non solo ai dati) con le
Software Restriction Policy
Possibilità di crittografia aumentate con Windows Server 2003
Supporto e protezione di tutti i protocolli di accesso alle
informazioni utilizzati in Internet
Protezione da codici maligni
ISA Server 2004 è il prodotto migliore per difenderci da
virus, worm, trojans ed altri codici maligni
E’ un firewall multilivello di classe Enterprise
Esegue packet filtering, stateful filtering, application-layer filtering
Controlla l’accesso a Internet degli utenti
“Pubblica” su Internet qualunque server interno
Rileva comuni tentativi di attacco alla rete (IDS)
Rende disponibile in maniera sicura la posta elettronica agli
utenti esterni
Connette in maniera sicura sedi distaccate
Assicura un accesso più veloce al contenuto di Internet
Gestisce in maniera sicura i dati lungo connessioni VPN
La versione Enterprise fornisce anche caratteristiche di Load
Balancing e centralizzazione delle policy, per una totale
scalabilità anche per aziende molto grandi
Aggiornamento dei sistemi
Due soluzioni di tipo centralizzato
WSUS (Windows Server Update Services)
GRATUITO!
Scarica e installa automaticamente e in maniera mirata patch e
update di diversi prodotti Microsoft
Capacità di reporting e opzioni di database
Gestione semplice via web
SMS 2003 (System Management Services)
Gestione dell’inventario del software e degli asset informatici
Distribuzione del software
Identificazione delle vulnerabilità e distribuzione di patch e
update in maniera mirata
Potenti capacità di reporting e database
Monitoring delle applicazioni
Integrazione con i servizi di Active Directory
Protezione da accessi non consentiti
Windows Rights Management Services (RMS)
Integrato in Windows Server 2003
Opera congiuntamente con le applicazioni client (Office 2003) per
salvaguardare le informazioni confidenziali e i dati sensibili
dell’azienda in qualsiasi circostanza
Permette all’utente di definire quali documenti possono essere
letti, modificati, inoltrati o stampati.
Office 2003 integra IRM (Information Rights
Management)
Impedisce l'utilizzo non autorizzato di informazioni e documenti.
Dovunque!!!
Estende Windows Rights Management Services alle applicazioni
di Microsoft Office 2003 e a Microsoft Internet Explorer.
Backup e ripristino dei dati
SQL Server garantisce l’affidabilità e la sicurezza delle
basi di dati
Supporta diverse tecnologie hardware e software per la gestione
dell’alta affidabilità.
SQL Server garantisce il pieno supporto dei requisiti di
legge per il trattamento dei dati:
Crittografia automatica del traffico tra client e server di una rete
Crittografia del file system
Microsoft Exchange Server 2003 è la soluzione per le
problematiche legate all’antispamming ed alla gestione
in sicurezza della posta elettronica. In particolare
Accesso sicuro via Internet da Outlook
Controllo della junk mail con supporto in tempo reale per blacklists ed
anti spamming e filtri sulla connessione
Scollegamento automatico dopo un periodo di inattività
Supporto per il clustering a 4 e 8 nodi
Centralizzazione dei servizi di ripristino delle caselle postali
Centralizzazione dei servizi di ripristino dello storage.
Caratteristiche avanzate
I requisiti di sicurezza richiesti dal T.U. per User-ID e
password richiedono sistemi operativi di ultima
generazione (2000, XP, 2003)
User-ID univoche
Impedire all’amministratore di sistema di conoscere le password
degli utenti
Pre-impostare una lunghezza minima della password
Pre-impostare l’obbligo di sostituzione della password al primo uso
Pre-impostare la modifica periodica delle password
Pre-impostare la “disattivazione automatica” delle User-ID dopo sei
mesi di inattività
Pre-impostare la protezione dei terminali mediante screen-saver,
anche in modalità centralizzata
Con Windows Server 2003 è possibile l’amministrazione
centralizzata ed il controllo accessi anche di client mobili
(wireless) e device basati su tecnologia Windows Mobile
Posso valutare:
le credenziali di autenticazione ed il profilo di autorizzazione del
client (desktop, portatile o palmare) che si collega
la corretta configurazione dello stesso (Reti di Quarantena)
Sicurezza di Office 2003 (1)
Back-up e ripristino automatico dei file in uso in
occasione di crash di sistema; autoriparazione dei file in
uso se danneggiati o in caso di impossibilità a riparare
estrazione dei dati recuperati; ripristino automatico delle
applicazioni in caso di malfunzionamenti
Protezione dall’accesso indesiderato ad e-mail e
documenti o parti di essi mediante password, con
crittografia fino a 128 bit
Protezione di documenti e di e-mail da manomissioni
rispetto all’originale, attraverso firma digitale
Protezione contro virus negli script: diversi livelli di
protezione da macro con possibilità di riconoscere le
macro firmate digitalmente che si vogliono eseguire
Sicurezza di Office 2003 (2)
Authenticode per add-ins e macro: meccanismo di firma
digitale che assicura che questi componenti software non
siano stati manomessi
Protezione contro i virus che si propagano attraverso le
agende (address book) degli utilizzatori, tramite il blocco
degli accessi automatici all’agenda indirizzi
Blocco degli allegati alla posta elettronica (Outlook)
“eseguibili”, che potrebbero trasportare virus
API antivirus, che permette l’installazione di antivirus di
terze parti per ulteriore protezione da virus che possano
oltrepassare tutte le citate misure di sicurezza
Protezione della privacy circa il riferimento agli autori dei
documenti consentendo di rimuoverne i meta-dati
MBSA
Microsoft Baseline Security
Analyzer
MBSA overview
Microsoft Baseline Security Analizer è attualmente alla
versione 2.0
Progettato per piccole-medie imprese, rileva
configurazioni errate dei pc e patch mancanti
Esegue scansioni locali e remote di uno o più pc
Disponibile in inglese, tedesco, francese, giapponese,
ma esegue scansioni su pc di qualunque lingua
Interfaccia grafica e linea di comando
Interazione con Windows Update e WSUS
Installabile su pc Windows 2000 SP4 e successivi
Diritti amministrativi per installazione ed esecuzione
Porta 80 aperta in uscita per il pc su cui è installato
Porte 135, 139, 445 in entrata aperte sui client remoti
Cosa controlla MBSA
Vulnerabilità amministrative
Windows Firewall abilitato? Automatic Updates abilitato?
Password complesse forzate? Esistono account senza password?
Per i seguenti prodotti :
Windows 2000 / XP / 2003
IIS 5.0 / 6.0 e IE 5.01+
SQL Server 7.0 / 2000
Office 2000 / XP / 2003
Update di sicurezza mancanti
Confronta i pc con il sito di Windows Update o con un catalogo scaricato
in locale o con un server WSUS
Riporta update non ancora approvati su un server WSUS
Crea report compatibili con visualizzatori XML
Supporto per Windows XP Embedded e Windows 64-bit
Per i seguenti prodotti :
Windows 2000 SP4 e successivi
Exchange Server 2000 e successivi
Office XP e successivi
SQL Server 2000 SP4 e successivi
Tutti i componenti di Windows (IIS, IE, MDAC, DirectX, WMP, Outlook Express….)
WSUS
Windows Server Update
Services
WSUS overview : comparazioni
Supporto al software
Software
supportato
MBSA
Microsoft Update
Come MU per rilevamento
patch. Windows, IE, Exchange
e SQL per il controllo
vulnerabilità
Service Pack e updates di
sicurezza
Windows 2000+, Exchange
2000+, SQL Server 2000+,
Office XP+ con supporto in
espansione
Tutti i software updates,
driver updates, service
packs e feature packs
Come MU
Come MU, ma rileva solo
driver updates critici
Come WSUS + NT 4.0 + Win98
+ può aggiornare ogni altro
software Windows-based
Tutti gli updates, SP, FP +
installazione di qualunque
software Windows-based
WSUS
SMS
Tipo di contenuto
supportato
WSUS overview : comparazioni
Gestione delle patch di sicurezza
MBSA
Ottimizzazione
banda di rete
Controllo
distribuzione
patch
Schedulazione e
flessibilità di
installazione delle
patch
NO
NO
NO
Semplice
NO
NO
NO
NO
Report sullo
stato di
installazione
Pianificazione
del deployment
Gestione
inventario
MU
SI
NO
Manuale e
controllato da
utente finale
Errori di
installazione
riportati
all’utente
finale
WSUS
SI
Semplice
Semplice
Buono
Semplice
NO
SMS
SI
Avanzato
Avanzato
Avanzato
Avanzato
Avanzato
Cos’è “Microsoft Update”?
Microsoft Update è un sito web di Microsoft che include:
Aggiornamenti per i sistemi operativi Windows di
Microsoft, software, e drivers
Aggiornamenti per le applicazioni Microsoft
Nuovo contenuto che è aggiunto al sito regolarmente
Sostituisce il sito web “Windows Update”
L’aggiornamento è possibile collegandosi dal proprio
client a Windows Update e richiamando la patch di
installazione
Può scaricare patch di sicurezza e update per Windows
2000, Windows XP, Windows Server 2003
Può scaricare patch di sicurezza e update per la suite di
Office, per Exchange Server, per SQL Server
Cos’è “Automatic Updates”?
Automatic Updates è un software lato client che :
Comunica con Microsoft Update o WSUS
Scarica automaticamente gli aggiornamenti
Notifica gli utenti della disponibilità degli aggiornamenti
Può essere configurato centralmente da un
amministratore
Solo la sua ultima versione è compatibile con WSUS
Per controllare la versione, verificare che la DLL “WUAUENG.DLL”
nella cartella “SYSTEM32” abbia una versione superiore a
5.4.3790.1000
Windows Server 2003, Windows XP SP2 e Windows 2000
SP3 e SP4 contengono già la versione corretta
Cos’è WSUS?
Microsoft Update Web site
Automatic
Updates
Server WSUS
Client di prova
LAN
Internet
Automatic
Updates
I processi di WSUS
Processi lato server
Processi lato client
1. WSUS esegue una
sincronizzazione
schedulata
2. Testing degli update?
Testing
delle
patch
Si?
No?
3. L’Amministratore approva le patch
1. Automatic Updates
sui client chiama WSUS
2. E’ loggato l’amministratore?
Si? L’amministratore
vede un pallone di
stato, può differire
l’installazione
No?
3. L’installazione schedulata comincia
4. Qualche patch
richiede un restart?
No?
Si?
Restart
5. AU aspetta il
prossimo controllo
Requisiti per installare WSUS
Requisiti hardware
Pentium III 1GHz o superiore
1 GB di RAM
30 GB di spazio su hard disk
Requisiti software
Windows 2000 Server o Windows Server 2003
IIS 5.0 o superiore
BITS (Background Intelligent Transfer Service) 2.0
Microsoft .NET Framework 1.1 SP1
Internet Explorer 6.0 SP1 o superiore
Configurazione di AU
Configurare Automatic Updates con le Group Policy
E’ richiesto l’aggiornamento del template amministrativo
“wuau.adm” (ultima versione scaricabile da Internet)
E’ possibile configurare i client singolarmente, ma
bisogna agire nel registro di sistema di ognuno
I client devono essere almeno :
Windows 2000 SP3
Windows XP SP1
Windows Server 2003
Windows XP Service Pack 2
&
Windows Firewall
Le novità del SP2
SP2 fornisce diverse tecnologie di sicurezza che
riducono le vulnerabilità dei computer
Caratteristiche nuove e migliorate:
Protezione di rete avanzata
Protezione della memoria
Gestione posta elettronica più sicura
Sicurezza avanzata del browser
Gestione computer migliorata
Gestione più sicura delle reti wireless
Come SP2 diminuisce la
superficie di attacco
Caratteristiche
Protezione della rete
Protezione memoria
Gestione posta
elettronica più sicura
Sicurezza del
browser avanzata
Gestione computer
migliorata
Gestione più sicura
delle reti wireless
Tecnologie di sicurezza
Remote procedure call (RPC)
Distributed-component object model (DCOM)
Windows Firewall
Tecnologia “Execution Protection” (NX)
Restrizioni sui tipi “Multipurpose Internet mail
extension (MIME)”
Gestione sicura degli allegati
Gestione pop-up e crash detection
“Prompt” sul download di contenuto dannoso
Windows Security Center
Sicurezza migliorata
Wireless Network Setup Wizard
Wireless Provisioning Services (WPS)
Il Windows Security Center
Computer che
esegue il Security
Center
Configurazione
Aggiornamenti
Automatici
Configurazione
Windows Firewall
Configurazione
Antivirus
Sicurezza DCOM avanzata
DCOM Server
Remote Client
Autorizzazioni COM
specifiche
Nuove restrizioni lato-computer
Launch, Call e Activation
locali a “Everyone”.
Call da remoto solo ad
“Authenticated Users”.
Permission totali ad
“Administrators”
I privilegi Launch, Call e Activation
sono differenziati tra client locali e
remoti
Chiamate RPC più sicure
Altri
Processi che si
annunciano come
servizi RPC (es.
Trojan Horses)
Processi eseguiti
nei contesti di
sicurezza Local
RPC Servers System, Network
Service, Local
Service
Porta aperta
Bloccato
Porta aperta
Permesso
accettato
Client locale e/o
Client autenticato
Firewall
ristretto
Group Policy
Client anonimo remoto
Servizi disabilitati in SP2
Servizio disabilitato
Prima di SP2
Dopo SP2
Alerter
Settato in
partenza manuale
Disabilitato per
default
Windows Messenger
Settato in
partenza manuale
Disabilitato per
default
Opzioni alternative :
Soluzione raccomandata: riscrivere le applicazioni in modo che usino un
altro metodo per comunicare con l’utente
Startare Alerter o Messenger in maniera programmatica
Execution Protection (NX)
Caratteristiche di NX :
Protezione memoria (con aiuto CPU)
Le locazioni di memoria sono targate
come “non-eseguibili” a meno che
non contengano esplicitamente
codice eseguibile
Protezione da attacchi Buffer-Overrun
Disponibile su buona parte delle CPU
a 32 e 64 bit di Intel, Amd e
Transmeta
Attachment Manager di Outlook
Express e Messenger
Nuova e-mail
con allegati
Differenti azioni prese per :
Allegati sicuri (.jpeg, .gif,
.zip…)
Allegati non sicuri (.exe,
.vbs…)
AES API
Allegati sospetti (??...)
Utente di
Outlook Express
Utente di
Windows Messenger
Blocco contenuto HTML
Caratteristica del “Content Blocking” :
Blocca le immagini e altro contenuto esterno nelle mail
HTML
Minimizza la probabilità di re-startare una connessione
dial-up verso Internet, mentre si legge una mail fuori
linea
Web Server
Utenti di
Outlook Express
Internet
Rendere più sicuro il pc
Barra delle Informazioni di Internet
Explorer
Prompt di installazione per gli addon di Internet Explorer
Prompt di download :
Nuova icona che mostra l’applicazione
di default associata ad un download
Nuova area delle informazioni che
indica il rischio di download di un file
Per gli eseguibili da scaricare viene
controllato il publisher di provenienza
Prompt di OE sugli allegati
Controllo della firma digitale del
publisher (assente, invalida, bloccata)
Blocco pop-up
Funzione
Descrizione
Pop-Up Manager
Blocca i pop-up non esplicitamente
richiamati dall’utente
Window
Restrictions
Controlla i riposizionamenti delle finestre
comandati da script
Controlla i ridimensionamenti delle finestre
comandati da script
Controlla le dissolvenze delle finestre
comandate da script
Window Placement
Governa il piazzamento e la grandezza dei
pop-up, in modo che sia sempre possibile
chiuderli
Gestione degli Add-On
AddOn Management and Crash Detection:
Add-On Management
Permette all’utente di vedere e controllare gli add-on caricati dal browser
Browser Help Object, ActiveX, Toolbar extensions, Browser Extensions
Permette di disabilitare gli add-on
Permette di vedere i files che compongono un add-on
Add-on crash detection
Permette di rilevare un “crash” di Internet Explorer dovuto a
malfunzionamenti degli add-on
Se l’add-on è identificato, l’utente può scegliere di disabilitarlo, per
preservare la stabilità di sistema
Windows Firewall
Caratteristiche di sicurezza (1)
 Attivo per default, sostituisce ICF
 Sicurezza “boot-time” (non attiva se disabilitato)
 Configurazione globale e tasto di restore
 Restrizioni sulle sottoreti locali
 Supporto da linea di comando
 Attivo senza eccezioni
 Lista delle eccezioni configurabile
 Profili multipli
 Supporto RPC
 Supporto per il setup “unattended” e per il logging
Caratteristiche di sicurezza (2)
 Amministratori locali per configurarlo
 Attivo anche se ICF era disabilitato
 Configurabile tramite Group Policy (in dominio)
 Controllato dal Security Center
 Permette sempre traffico in uscita
 Blocca traffico in ingresso non sollecitato
 Solo “Assistenza Remota” in ingresso attiva per default
 Anche “Condivisione File e Stampanti” in ingresso è bloccato
 Riconoscimento automatico delle applicazioni
 Riconoscimento automatico delle connessioni secondarie
EFS
Encrypting File System
Cos’è EFS?
EFS:
Fornisce crittazione dei singoli files su volumi NTFS
Assicura che i dati confidenziali siano più sicuri
Usa il sistema chiavi pubblica/privata
Caratteristiche su Windows XP e Windows Server 2003
Utenti addizionali possono essere autorizzati alla lettura
Gli “offline files” possono essere criptati
Può usare l’algoritmo di crittazione 3DES
I “Data Recovery Agents” (DRA) sono raccomandati, ma
non obbligatori come in Windows 2000
Come lavora EFS
un file è crittato per la prima volta, EFS cerca
1 Quando
un certificato EFS nel “local certificate store”
genera un numero casuale (FEK) da usare con un
2 EFS
algoritmo (DESX, 3DES, AES) per crittare il file
rileva la chiave pubblica nel certificato dell’utente
3 EFS
e critta la FEK
memorizza la FEK nel campo DDF allegato al file
4 EFS
che si sta crittando
un DRA è presente, la FEK viene crittata anche con
5 Se
la sua chiave pubblica e posta in un campo DRF
chi ha la corrispondente chiave privata (cioè
6 Solo
utente e DRA) potrà decrittare il file
Limitazioni di EFS
Potenziale perdita di dati se la chiave privata è persa
La chiave privata è persa, se si perde il profilo
dell’utente
Dipendenza dalle password degli utenti: la FEK è
parzialmente derivata dalle password
Il file sharing è complicato perchè le chiavi pubbliche
degli utenti devono essere accessibili durante la
crittazione
Il traffico di rete non è sicuro : il file è crittato solo
quando sta sul volume NTFS, non mentre viaggia in
rete
Implementare EFS stand-alone
Come lavora EFS su computer in workgroup
Cos’è il “Data Recovery Agent” (DRA)?
Conseguenze del reset delle password locali
Come disabilitare EFS su computer standalone
Consigli pratici
EFS su computer stand-alone
Il computer genera un certificato “self-signed” per l’uso di
EFS (se non già presente)
Come lavora un certificato “self-signed”?
Il computer locale è considerato “root CA”
Anche se il certificato non è trusted, può essere usato
per EFS
E’ valido 100 anni!!! Non serve rinnovo…
Se un pc, con file crittati mentre era stand-alone,
viene messo in dominio, usa sempre il certificato
locale di partenza
Come crittare i files con EFS
Per crittare i dati, possiamo usare:
Windows Explorer
La linea di comando “CIPHER” (/e per crittare, /d per
decrittare
Entrambi gli strumenti si utilizzano per:
Crittare e decrittare files e cartelle
Scegliere se crittare un singolo file, solo una cartella,
oppure una cartella con tutte le sottocartelle e i files ivi
contenuti
n.b. : i files di sistema non si possono crittare
n.b. : i files crittati, in Windows XP, sono mostrati con
un colore verde
Cos’è il DRA?
Il Data Recovery Agent è un utente che può decrittare
files che sono stati crittati da altri utenti.
Windows Server 2003 e Windows XP non creano
automaticamente un DRA (Windows 2000 sì…)
Per implementare un DRA su computer stand-alone:
1
Usare il comando CIPHER / R per creare il certificato DRA
e la sua coppia di chiavi pubblica/privata
2
Loggarsi come DRA al pc e configurarlo come DRA (si usa
lo snap-in “Criteri di Protezione locali”)
3
Per decrittare i files, loggarsi come DRA e aggiungere il
certificato DRA allo store locale dei certificati (si usa lo
snap-in “Certificati”)
Conseguenze del reset delle
password locali
Se una password locale è resettata, l’utente non sarà più
in grado di decrittare qualunque file (a meno della presenza
del DRA, che però è facoltativa in XP e 2003)
Gli utenti che usano EFS su computer stand-alone
dovrebbero “cambiare ordinatamente” la loro password o
creare, per sicurezza, i “password-reset disks”
Per recuperare i dati dopo un reset di password:
Loggarsi e riportare la password indietro alla precedente
originale (con un cambio password ordinato)
Usare il “password-reset disk”
Re-importare il certificato EFS con la chiave privata
dell’utente, se precedentemente esportato
Come disabilitare EFS su
computer stand-alone
Per default, tutti gli utenti possono usare EFS su computer
stand-alone
Per decrementare il rischio di dati che non si possono più
recuperare, si può disabilitare EFS sui computer standalone
Per disabilitare EFS:
Modificare i “Criteri di Protezione Locali”
Modificare il registro, andando nella sottochiave :
HKLM\Software\Microsoft\WindowsNT\CurrentVersion\EFS\
Creare il valore di tipo dword “EFSConfiguration” e porlo a 1
Consigli pratici
 Usare pochi DRA, ed assicurarsi che siano di fiducia (in
Windows 2000 è “Administrators”)
 E’ raccomandato implementare almeno un DRA in Windows
XP e Windows Server 2003
 Cancellare la chiave privata del DRA dopo la creazione e
dopo ogni uso (esportazione)
 Configurare la crittazione a livello cartella, per assicurarsi
che tutto il contenuto sia crittato
 Sovrascrivere i cluster de-allocati con CIPHER / W (per
eliminare eventuali copie temporanee)
DEMO
Operazioni che si eseguiranno:
Implementare EFS su un computer
Windows XP stand-alone
Configurare un Data Recovery Agent su
un computer stand-alone
EFS in dominio
Benefici dell’uso di EFS in un ambiente
di dominio
EFS e i “Certificates Services” in un
ambiente di dominio
DRA in un ambiente di dominio
Opzioni sugli algoritmi di crittazione
Benefici di EFS in dominio
Con una “Enterprise CA”, i certificati EFS sono distribuiti in
automatico agli utenti quando crittano un file
Il certificato utente è memorizzato nel “local certificate
store” e in Active Directory
Benefici di EFS :
Gestione centralizzata dei DRA
Gestione centralizzata dei certificati
Configurazione centralizzata delle policy EFS
File sharing semplificato (chiavi pubbliche degli utenti
memorizzate in AD e quindi disponibili a tutti)
EFS e “Certificate Services”
L’integrazione di Certificate Services e EFS permette:
Gestione centralizzata, scalabile e flessibile dei certificati
Opzioni multiple per distribuire certificati agli utenti
Auto-enrollment
On-demand enrollment
Enrollment manuale degli utenti
La migrazione dei certificati “self-signed” locali verso certificati di
CA (con il comando CIPHER /K)
DRA in dominio
L’amministratore che installa il primo domain
controller è il DRA per l’intero dominio
Si possono creare policy DRA per:
 Aggiungere dei Recovery Agent
 Cancellare i Recovery Agent (blocca EFS su
computer Windows 2000)
 Bloccare l’uso di EFS (anche per XP/2003)
Aggiungere Recovery Agent addizionali a livello
dominio o Unità Organizzativa
Il certificato di Recovery Agent deve essere installato
sul computer per decrittare i dati (cancellarlo ogni
volta a scopo di sicurezza)
Algoritmi di crittazione
Sistema operativo
Algoritmo EFS
Potenza chiave
Windows Server 2003
AES
256 bit
Windows XP
DESX
128 bit
Windows XP SP1 o successivo
AES
256 bit
Windows 2000
DES
56 bit
Windows 2000 SP2 o succ. o con DESX
“High Encryption Pack”
128 bit
Per abilitare l’algoritmo 3DES sui client Windows XP, abilitare in
una Group Policy il settaggio :
“System Cryptography: Use FIPS compliant algorithms for
encryption, hashing and signing”
Il file sharing EFS
Cos’è File Sharing EFS?
File Sharing su server remoti
Effetti della copia o spostamento di
files crittati tra locazioni
Cos’è il File Sharing EFS?
Permette agli utenti di :
Condividere files crittati con altri utenti (non possibile
in Windows 2000)
Avere un’altra opportunità di recuperare files crittati in
caso di perdita delle chiavi
Avere un’altra opzione per controllare l’accesso ai
files, oltre all’uso di permissions NTFS e di share
Il file sharing EFS può essere assegnato solo a utenti,
non a gruppi (nessun metodo per assegnare certificati e
chiavi a gruppi)
Crittare files su server remoti
File sharing
Fatto tramite “delega di autenticazione” (possibilità che ha un
server di eseguire operazioni “in favore” di un utente)
Il server remoto deve essere “Trusted for Delegation” in Active
Directory, se gli utenti dovranno crittare files su di esso
Come ottenere la chiave privata per gli utenti
Se si utilizzano profili di roaming, il profilo è scaricato sul
server e il server impersonifica l’utente mentre critta files o
cartelle
Il server può creare un nuovo profilo per l’utente e richiedere
o generare un certificato “self-signed” per crittare files o
cartelle
Proprietà di delega
ATTIVARE IL “TRUST FOR DELEGATION”
TOGLIERE IL FLAG
Copia e spostamento
A Cartella non crittata verso
cartella crittata
Sposta
B File non crittato verso
cartella crittata
=
Copia
File Sharing su server remoti
C Cartella crittata verso cartella
non crittata
Copia
=
=
DEMO
Operazioni che si eseguiranno :
Abilitare il file sharing EFS locale
Abilitare il file sharing EFS remoto
ISA Server 2004
Agenda
Introduzione a ISA Server 2004
Protezione di Exchange Server
Appliances
Problematiche di sicurezza
A rischio
La
situazione
•
•
•
•
14 miliardi di pc su Internet entro il 2010
35 milioni di utenti remoti entro il 2005
65% di incremento dei siti web dinamici
Gli incidenti riportati tra il 2000 e il 2002 sono
aumentati da 21.756 a 82.094. Ancora maggiore
l’aumento negli anni successivi…
• Quasi l’80% di 445 intervistati responsabili di
sicurezza aziendale dice che Internet è stato ed è
tuttora un frequente punto di attacco
• Il 90% delle aziende rileva brecce di sicurezza
• L’85% rileva virus nei computer
• Il 95% delle brecce di sicurezza è evitabile con
una configurazione alternativa
• Circa il 70% degli attacchi web avviene al livello
applicazione
Gli attacchi Application Layer
Gli attacchi al livello applicazione
Furto dell’identità
Corruzione o manipolazione dei siti web
Accesso non autorizzato alle risorse
Modifica di dati e di informazioni riservate
Furto di informazioni proprietarie
Attacco ai servizi di rete
I Firewall tradizionali
Permeabili agli
Attacchi avanzati
Difficili da gestire
Limitata capacità
di crescita
Code Red, Nimda
 Attacchi SSL-based

La sicurezza è complessa
 Reparto IT già sovraccarico di lavoro

Non facilmente aggiornabili
 Non scalano bene al crescere
dell’attività lavorativa

Introduzione a ISA Server 2004
Implementa un avanzato firewall a livello applicazione, un
gestore VPN e una soluzione di caching per il web. Abilita i
clienti a massimizzare gli investimenti IT migliorando le
performance e la sicurezza della rete
Protezione Avanzata
Sicurezza a livello applicazione per proteggere le applicazioni Microsoft
Facilità d’uso
E’ facile implementare e gestire diversi scenari di utilizzo
Accesso Sicuro e Veloce
Permette di collegare gli utenti ai dati di rete in una maniera cost-efficient
Se hai bisogno di…
Rendere disponibile in
maniera sicura la posta agli
impiegati esterni
Rendere disponibili in maniera
sicura le applicazioni interne su
Internet
Abilitare i partners ad accedere ai
dati aziendali
Implementare un accesso
remoto sicuro, proteggendo
la rete interna
ISA utilizza:
Exchange publishing
Web and Server Publishing
VPN site-to-site e Firewall
VPN integrata con RRAS e FW
Connettere in maniera
sicura le sedi distaccate
alla sede centrale
VPN Firewall e Caching
Controllare l’accesso a
Internet e proteggere i
client dal traffico Internet
Firewall e Web Proxy
Assicurare accesso veloce
al contenuto web più
frequentemente usato
Caching
Introduzione a ISA Server 2004
Interazione del Firewall
Web Server
Mail Server
Tipici scenari di Deployment
Firewall di
perimetro
Publishing sicuro
Sedi distaccate
Accesso remoto
 Caching,
autenticazione, VPN
 Soluzione di sicurezza integrata
 Exchange,
SharePoint e IIS
 Topologia flessibile
 Connettività
sicura site-to-site
 Sicurezza del sito remoto
 Policy
flessibili e potenti
 Quarantine Control
Introduzione a ISA Server 2004
Configurazione Firewall: Perimetro di rete
VPN
Clients
Web Server
Domain
Controller
SQL Server
Mail Server
Architettura di ISA 2004
Filtering a
livello
applicazione
Web
filter
Policy
Store
Web
filter
Web Filter API (ISAPI)
SMTP
Filter
Web Proxy Filter
Policy
Engine
Filtering a
livello
protocollo
RPC
Filter
DNS
Filter
App
Filter
Application Filter API
3
Firewall service
User
Mode
2
Kernel mode data
pump:
Ottimizzazione
delle prestazioni
Firewall Engine
TCP/IP Stack
Kernel
Mode
4
NDIS
1
Filtering a
livello
pacchetto
Modello di rete di ISA 2000
Zone fisse
Rete interna = LAT
Rete esterna = DMZ,
Internet
Packet filtering solo su
interfacce esterne
Singola policy di uscita
Internet
Static PF
DMZ 1
ISA 2000
Sempre sotto NAT
Filtering statico tra DMZ
e Internet
Internal
Network
Modello di rete di ISA 2004
Utilizzabile un
qualunque numero di
reti
VPN vista come rete
Localhost visto come
rete
Relazioni di NAT e/o
Routing assegnabili
Policy per ogni rete
Packet filtering su
tutte le interfacce
Qualunque policy per
qualunque topologia
VPN
Internet
ISA 2004
CorpNet_1
DMZ_1
Local Host
Network
DMZ_n
CorpNet_n
Net A
Filtering e Policies
Panoramica sul Filtering
Determina a quali pacchetti consentire il
passaggio attraverso il firewall
Si applica al traffico entrante e/o uscente
Si filtra per protocollo, porta, o contenuto del
pacchetto
Permette certi tipi di traffico e nega altri tipi
Application filtering
Autenticazione e virus checking
Dynamic packet filtering
Apre le porte, al bisogno
Filtering e Policies
Application Filters
Filtri basati sul contenuto dei pacchetti
FTP
Apre le porte dinamicamente
Intrusion detection
Attacchi al DNS
Attacchi buffer overflow su POP3
SMTP
Blocca spam, virus, e codice dannoso
Streaming media
Specifica protocolli di streaming
Filtering e Policies
Stateful Inspection
Ispeziona la sorgente e la destinazione del
traffico
Conosciuto anche come “Dynamic Packet
Filtering”
Apre le porte in risposta alle richieste degli
utenti
Chiude le porte quando le comunicazioni
terminano
I pacchetti in uscita che richiedono specifici
tipi di pacchetti in entrata sono tracciati
(registrati)
Solo alle repliche è permesso il “rientro” in rete
Filtering e Policies
Panoramica sulle policy Firewall
Network rules
Determinano come due reti sono connesse
Firewall policy rules
Access rules (regole di accesso)
Publishing rules (regole di publishing)
Richieste di traffico in uscita
Controllano le network rules
Controllano le access rules
Richieste di traffico in entrata
Controllano le publishing rules
Controllano le Web chaining rules
Il modello delle policy in ISA 2004
Regole singole e ordinate
Più logico e facile da comprendere
Facile da visualizzare e monitorare
Struttura unica per tutte le regole
Applicabile a tutti i tipi di policy
Tre modelli generali di regole
Access rules
Server Publishing rules
Web Publishing rules
Le proprietà dell’application filtering sono
parte integrante della regola
Default System Policy
Struttura generale delle regole
 Qualunque utente
 Authenticated Users
 Utente/Gruppo specifico
Consenti
Blocca
Rete di destinazione
IP di destinazione
Sito di destinazione
action on traffic from user from source to destination with conditions
Protocollo
Porta IP
Rete sorgente
IP sorgente
Utente mittente
•Server pubblicato
•Sito web pubblicato
•Schedulazione
•Proprietà di filtering
Regole base di ISA 2004:
Protocol rules
Site and Content rules
Static packet filters
Publishing rules
Web publishing rules
Selected filtering configuration
Altre regole di ISA 2004:
Address translation rules
Web routing rules
Firewall policy
Configuration policy
Filtering a livello applicazione
Le attuali minacce ci inducono ad
utilizzare un’ispezione più in profonfità
Protegge gli asset di rete dagli attacchi a livello
applicazione: Nimda, Slammer...
Ci permette di definire una policy di sicurezza a
livello applicazione molto precisa e granulare
E’ la migliore protezione per le applicazioni Microsoft
Dove lavora l’application filtering
Filtri pre-costruiti per i più comuni protocolli
HTTP, SMTP, RPC, FTP, H.323, DNS, POP3, Streaming
media
Implementati in maniera differente in base allo
scenario di rete
Estendibili tramite plug-in Microsoft e di terze parti
Server Publishing
Regole di Publishing
Permettono l’accesso ai server interni o di
perimetro dalla rete esterna
Web publishing
E’ richiesto un “listener” configurato
HTTP o HTTPS
Mail server
Adatto a client RPC, POP3, SMTP
Client Web
OWA, OMA
Server-to-server
Server Publishing e VPN
Mail Server Publishing - Bridging
Connessioni sicure con i client
Connessioni sicure con il mail server
Connessioni sicure con client e server
Solo connessioni standard
Protezione delle VPN
Il traffico in uscita dal tunnel è ispezionato
Re-iniettato nello stack ed anallizzato dal motore del
firewall
Il traffico VPN è separato
Nella rete VPN tutti gli indirizzi sono allocati agli utenti
VPN
Gli indirizzi IP sono dinamicamente aggiunti/rimossi
Supporto per IPSec in modalità di Tunneling
Fornisce connettività alle sedi collegate via VPN
Strumenti semplificati per l’amministrazione
Supporto per il Quarantine
Utenti di quarantena messi nella rete di quarantena
Indirizzi IP dinamicamente aggiunti/rimossi
Agenda
Introduzione a ISA Server 2004
Protezione di Exchange Server
Appliances
Minacce al sistema di posta
Per rendere sicuro il nostro sistema di posta dobbiamo :
Assicurarci che tutte le connessioni dei client di posta
ai server di posta siano sicure
Proteggere i server di posta dagli attacchi SMTP
Prevenire che le mail dannose o non volute (spam)
entrino nella nostra rete
Accesso alla posta con client web
Dispositivi
ActiveSync
Outlook Mobile Access
XHTML, cHTML, HTML
Exchange
Front-End Server
Rete
Wireless
ISA Server
Exchange
Back-End Servers
Outlook Web Access
Accesso alla posta con client
Outlook
Porta 135 e porte dinamiche
Exchange
Front-End
Server
Connessioni RPC di
Outlook
ISA
Server
Exchange
Back-End
Servers
Porta 80 o 443
Connessioni RPC over
HTTP di Outlook
Accesso alla posta con client
POP3, IMAP4, NNTP
Porta 110 o 995, Porta 25
Exchange
Front-End
Server
Connessioni POP3
ISA
Server
Exchange
Back-End
Servers
Connessioni IMAP4
Porta 143 o 993, Porta 25
Attacchi SMTP
I server SMTP possono essere vulnerabili a:
Attacchi di tipo “Buffer overflow”, quando dei
comandi SMTP sono spediti con più dati di ciò che è
previsto dalla semantica SMTP, causando un
overflow dei buffer di memoria
Attacchi di tipo “Mail relay”, quando un server SMTP
è usato per forwardare mail non sollecitate verso dei
destinatari
Attacchi di tipo “SMTP command”, dove dei
comandi SMTP sono usati per compromettere il
server o rubare informazioni sul server stesso, o
sulle liste dei nominativi qui contenute
Mail dannose e di spam
Le mail di spam sono mail commerciali non sollecitate che :
Consumano risorse-server e risorse di rete
Riducono la produttività utente ed aumentano gli
sforzi amministrativi per combatterle
Possono essere filtrate con un filtro applicationlevel
Le mail dannose contengono virus o worm che :
Danneggiano i dati o i computer, o consumano
risorse di rete e dei computer stessi
Aumentano gli sforzi ed i costi amministrativi
Aumentano il rischio di perdita di informazioni
Come ISA 2004 protegge i
Server Exchange
Wizard “Mail publishing”
Exchange
Front-End
Server
Exchange
Back-End
Servers
Accesso sicuro
per i client web
Accesso sicuro
per i client
Outlook
ISA
Server
Filtering dello spam
Filtering sui
comandi
SMTP
Le difese di ISA Server 2004
Mail Server Wizard
SMTP Application Filter
Message Screener
Connessioni OWA sicure
Autenticazione “Forms-based”
Connessioni RPC over HTTP sicure
Rendere sicuro il traffico SMTP
1
Configurare i record MX sui DNS di Internet in
modo che puntino a ISA Server
2
Pubblicare il server SMTP con il “Mail Server
Publishing Wizard”
3
Configurare il server SMTP come client di tipo
SecureNAT
4
Configurare una regola di accesso per il server
SMTP interno, in modo che possa spedire mail
verso Internet
5
Configurare il DNS in modo che il server SMTP
interno possa risolvere i nomi su Internet
DEMO: pubblicare il server
SMTP interno
Creare i record DNS su Internet
Configurare una regola di publishing
SMTP
Configurare il traffico SMTP uscente
Testare il flusso del traffico
Gen-Web-01
Den-ISA-01
Den-Msg-01
Den-DC-01
Internet
Come lavora il filtering SMTP
E’…
Il comando permesso?
Exchange
Front-End
Server
La lunghezza del comando permessa?
Server
SMTP
Exchange
Back-End
Servers
ISA
Server
EHLO contoso.com
Mail from: [email protected]
Rcpt to: [email protected]
Data
Come configurare il SMTP
application filter
Come lavora il Message Screener
Installare il Message
Screener
IIS 6.0
con
servizio
SMTP
E’…
L’host sorgente permesso?
Il dominio sorgente permesso?
L’allegato permesso?
La keyword bloccata?
SMTP
Server
Exchange
Back-End
Servers
ISA
Server
Message screner può cancellare subito le mail,
mantenerle in una repository, o forwardarle ad
un altro account di posta
Implementare Message Screener
1 Installare il servizio SMTP su un server IIS 5.0 o IIS 6.0
2 Installare il Message Screener sul server IIS
Configurare una regola di publishing SMTP che
3 pubblica il server SMTP che esegue il Message
Screener
i settaggi del Message Screener sul filtro
4 Configurare
SMTP
DEMO: implementare il Message
Screener
Installare il servizio SMTP sul server ISA
Installare il Message Screener
Configurare il Message Screener
Testare il Message Screener
Gen-Web-01
Den-ISA-01
Den-Msg-01
Den-DC-01
Internet
Connessioni OWA sicure con ISA
Server 2004
Mail Publishing Wizard per
pubblicare i server OWA
Exchange
Front-End
Server
Usare autenticazione
“forms-based” per
avere logon utente più
sicuro
Client
OWA
Exchange
Back-End
Servers
ISA
Server
Configurare
il blocco
degli allegati
Configurazione di OWA sicuro
Installare un certificato digitale sul server OWA e
1 configurare IIS ad obbligare connessioni SSL
verso le virtual directories di OWA
2
Usare il “Mail Server Publishing Wizard” per
pubblicare il server OWA
Configurare la modalità “bridging”. Per massima
3 sicurezza, rendere sicure le connesioni dai client
a ISA e da ISA al server OWA
Configurare un “Web listener” per il publishing di
4 OWA. Scegliere l’autenticazione “forms-based” e
SSL per il Web Listener
Autenticazione Forms-based
DEMO : connessioni OWA sicure
Installare un certificato sul server OWA
Configurare IIS a richiedere SSL sulle virtual
directories usate da OWA
Configurare una regola di publishing di OWA
Testare la regola
Gen-Web-01
Den-ISA-01
Den-Msg-01
Den-DC-01
Internet
RPC over HTTP
RPC over HTTP richiede:
Exchange Server 2003 in esecuzione su Windows
Server 2003, e i Global Catalog Windows Server
2003
Outlook 2003 in esecuzione su Windows XP SP1 o
successivi
Un server Windows Server 2003 che esegua il
servizio “RPC proxy server” (tipicamente il server
Exchange di Front-End, ma anche altri)
Un profilo modificato di Outlook, che si connetta ad
Exchange utilizzando HTTPS
Configurare RPC over HTTP
Per abilitare RPC over
HTTP, pubblicare la
virtual directory /rpc/*
DEMO : RPC over HTTP
Demo 1: abilitare le connessioni
RPC over HTTP
Demo 2: Configurare
l’autenticazione Forms-Based per
le connesisoni OWA
Den-Clt-01
Den-ISA-01
Den-Msg-01
Den-DC-01
Internet
Agenda
Introduzione a ISA Server 2004
Protezione di Exchange Server
ISA Server 2004 Appliances
ISA Server 2004 Appliances
Microsoft collabora con gli OEMs per
integrare ISA 2004 in soluzioni hardware
Celestix Networks
Corrent
HP
Network Engines
Otto Security and Software Technologie
Pyramid Computer
Wortmann AG
http://www.microsoft.com/isaserver/hardware/default.mspx
La sicurezza delle reti
Wireless
Agenda
Rendere sicura una rete wireless
Lo standard di autenticazione 802.1X
Componenti necessari per una soluzione
wireless sicura
Possibili scenari di configurazione
Progettazione della configurazione
ottimale dei componenti
Perchè rete wireless sicura?
Quando si progetta la sicurezza per una rete wireless,
considerare :
Soluzioni sicure di autenticazione e autorizzazione
Protezione dei dati
Configurazione sicura dei Wireless Access Point
Configurazione e gestione sicura dell’infrastruttura
Minacce alle reti wireless
Rilevamento e furto di informazioni confidenziali (eavesdropping)
Accesso non autorizzato ai dati (intercettazioni e modifiche)
Impersonificazione di un client autorizzato (spoofing, vengono
utilizzati strumenti per “captare” SSID di rete e validi MAC dei
client)
Interruzione del servizio wireless (attacchi DoS agli access point)
Accesso non autorizzato a Internet (usare le reti wireless circostanti
per collegarsi a Internet in maniera fraudolenta)
Minacce accidentali (chi non ha intenzione di collegarsi a rete
wireless, ma il suo pc lo fa involontariamente captando il segnale
wireless)
Setup di reti “home-wireless” non sicure (chi porta il proprio portatile
a casa, e lì lo connette ad una rete wireless non sicura, con rischio
di furto dei dati o entrata di worm e virus nel portatile)
Implementazioni di WLAN non autorizzate (chi ha troppi diritti in
rete e si diletta nel creare reti wireless mal-configurate)
Gli standard wireless
Standard
802.11
802.11a
802.11b
802.11g
802.11i
Descrizione
Specifica base che definisce i concetti di trasmissione
per le reti wireless
Velocità di trasmissione fino a 54 Mbps
Range di frequenza 5 Ghz
Ottima velocità, poche interferenze, non compatibile
Velocità di trasmissione fino a 11 Mbps
Range di frequenza 2,4 Ghz
Minor velocità, possibili interferenze, basso costo
Velocità di trasmissione fino a 54 Mbps
Range di frequenza 2,4 Ghz
Ottima velocità, possibili interferenze, compatibile .11b
Stabilisce processi standard di autenticazione e
crittazione sulle reti wireless
802.1X - uno standard che definisce un meccanismo di controllo delle
autenticazioni e degli accessi ad una rete e, come opzione, definisce un
meccanismo di gestione delle chiavi usate per proteggere il traffico
Confidenzialità con WEP
Protocollo 802.11 progettato per dare sicurezza ai dati in
transito su reti wireless (…ma poco sicuro!!!)
Fornisce le seguenti caratteristiche crittografiche:
Crittazione dei dati
Integrità dei dati
Oggi si usano 2 standard WEP :
Static WEP: difficile da gestire e facilmente perforabile con
strumenti di attacco liberamente disponibili
Dynamic WEP: miglior sicurezza dello static WEP, ma da
usare solo come soluzione temporanea prima di
implementare WPA o WPA2
Confidenzialità con WPA
WPA e WPA2 forniscono le seguenti caratteristiche
crittografiche:
Crittazione dei dati, usati con gli standard di
autenticazione 802.1X
Integrità dei dati
Protezione da attacchi di tipo “replay”
Operano a livello MAC (Media Access Control)
Autenticazione 802.1X
Opzioni di autenticazione
Scegliere la soluzione migliore
Come lavora 802.1X con PEAP e password
Come lavora 802.1X con i certificati
Requisiti client, server e hardware per
implementare 802.1X
Opzioni di autenticazione
Protected Extensible Authentication Protocol (PEAP)
con le password (802.1X con PEAP-MS-CHAPv2)
Certificate Services (802.1X con EAP-TLS)
Wi-Fi Protected Access con chiavi pre-condivise
(WPA-PSK)
La soluzione appropriata
Soluzione
wireless
Wi-Fi Protected
Access con PreShared Keys
(WPA-PSK)
PEAP +
password
(PEAP-MSCHAPv2)
Certificati (EAPTLS)
Ambiente
tipico
Componenti di
infrastruttura
addizionali
richiesti?
Certificati usati
per
l’autenticazione
dei client
Password usate
per
l’autenticazione
dei client
Metodo tipico
di crittazione
dei dati
WPA
Small
Office/Home
Office (SOHO)
Nessuno
NO
SI
Usa la chiave di
crittazione WPA
per
l’autenticazione
alla rete
Piccole/medie
aziende
Internet
Authentication
Services (IAS)
Certificato
richiesto per il
server IAS
NO
(ma almeno un
certificato deve
essere rilasciato
per validare il
server IAS)
SI
WPA o chiave
WEP dinamica
Aziende
medio/grandi
Internet
Authentication
Services (IAS)
Servizi
Certificati
SI
NO
(possibilita’ di
modifica,
inserendo la
richiesta di
password)
WPA o chiave
WEP dinamica
Come lavora 802.1X con
PEAP e password
Wireless
Access Point
Wireless Client
1
RADIUS (IAS)
Client
Connect
2
Client
Authentication
Server
Authentication
Mutual Key Determination
3
Key
Distribution
4
WLAN
Encryption
Authorization
5
Internal Network
Come lavora 802.1X con
EAP-TLS
Wireless Client
1
Certification
Authority
Certificate Enrollment
2
Client
Authentication
Wireless
Access Point
Server
Authentication
RADIUS (IAS)
Mutual Key Determination
4
Key
Distribution
5
Authorization
WLAN
Encryption
3
6
Internal Network
Requisiti per 802.1X
Componenti
Client
computers
Requisiti
Il client 802.1X è disponibile per Windows 95,
Windows 98, Windows NT 4.0, e Windows 2000
802.1X è supportato per default da Windows XP
e da Windows Server 2003
RADIUS/IAS
e server
certificati
Necessari
Wireless
access points
Devono almeno suppoprtare 802.1X e WEP a 128
bit per la crittazione
Infrastruttura
Active Directory, DNS, DHCP
Potrebbero anche non essere Microsoft
Componenti richiesti per
802.1X con PEAP-MS-CHAPv2
Componenti
Descrizione
Wireless
Client
Deve avere una scheda wireless che supporti 802.1X e
dynamic WEP o WPA
Gli account di utenti e computer devono essere creati nel
dominio
Wireless
Access Point
Deve supportare 802.1X e dynamic WEP o WPA
L’access point e il server RADIUS avranno una shared
secret per autenticarsi l’un con l’altro
Deve usare Active Directory per verificare le credenziali
dei client WLAN
RADIUS/IAS
Server
Può prendere decisioni sulle autorizzazioni in base alle
Remote Access Policy configurate
Può eseguire accounting e auditing
Deve avere un certificato installato per essere autenticato
dai client (server authentication)
Componenti richiesti per
802.1X con EAP-TLS
Componenti
Descrizione
Wireless
Client
Deve avere una scheda wireless che supporti 802.1X e
dynamic WEP o WPA
Certificati per ogni utente wireless e per ogni computer
con scheda wireless installati sui client wireless
Wireless
Access Point
Deve supportare 802.1X e dynamic WEP o WPA
L’access point e il server RADIUS avranno una shared
secret per autenticarsi l’un con l’altro
Servizi
Certificati
Intera infrastruttura PKI con una Certification Authority o
una gerarchia di Certification Authority, e procedure di
auto-enrollment dei certificati
RADIUS/IAS
Server
Deve usare Active Directory per verificare le credenziali
dei client WLAN
Può prende decisioni sulle autorizzazioni in base alle
Remote Access Policy configurate
Deve avere un certificato installato per essere autenticato
dai client (server authentication)
Progettare la PKI
Define l’infrastruttura di Certification Authority
Singola CA o più livelli di CA (Root, Intermediate, Issuing) a
seconda delle dimensioni dell’azienda
Definire quali tipi di certificato utilizzare e il loro rilascio
Certificati a scopo autenticazione, da rilasciare sia ai
computer che agli utenti
Configurare l’auto-enrollment per entrambi (via Group Policy)
Configurare la validità e la lunghezza della chiave
Configurare le procedure di rinnovo
Configurare la pubblicazione delle CRL
Configurare procedure di backup per le chiavi private
Pubblicare nei client il certificato con la chiave pubblica della
CA che ha rilasciato il certificato al server IAS (via Group
Policy o script)
Implementare RADIUS (IAS)
Installare il servizio IAS
Su un domain controller o su un server membro dedicato
Registrare il servizio in Active Directory
comando “netsh ras add registeredserver”
Installare un certificato sul server IAS
Usare un livello funzionale del dominio almeno “nativo”
Windows 2000 native mode (se AD 2000)
Windows 2000 native o Windows Server 2003 (se AD 2003)
Per il completo supporto dei gruppi universali e di EAP-TLS
Configurare gli Access Point
Nella console IAS, configurare ogni Access Point come
client RADIUS
Configurare ogni access point ad usare il server IAS per
le autenticazioni
Configurare uno shared secret tra IAS e access point
Configurare il SSID e il “SSID broadcast”
Utilizzare metodi sicuri per amministrare remotamente
gli access point (HTTP con SSL, SSH, TLS)
Configurare le Remote
Access Policy su IAS
Configurare le “Conditions”
“NAS-Port-Type” impostato su “Wireless 802.11
Configurare eventuali restrizioni di gruppo e/o orarie
Configurare le “Permissions”
Tipicamente impostare su “Grant access”
Configurare il “Profile”
Inserire controlli che verifichino che effettivamente i client
wireless utilizzino i metodi previsti per le autenticazioni
Controllare l’accesso WLAN
con i gruppi di sicurezza
IAS permette di controllare l’accesso alla rete wireless
usando i gruppi di sicurezza di Active Directory, “linkati”
a specifiche remote access policy
Esempi di gruppo
Membri del gruppo
Accesso wireless
Utenti wireless
Computer wireless
Utenti wireless
{utenti che lavorano su pc wireless}
Computer wireless
{computer che hanno una scheda
di rete wireless}
Configurare i client wireless
Tramite Group Policy
E’ opportuno mettere i client wireless in una apposita OU e linkare
una GPO con i settaggi voluti
La GPO può contenere le “Wireless Network Policy” che
permettono di configurare tutti i settaggi configurabili localmente
nelle proprietà di rete di ogni client wireless
Sono Windows XP e Windows Server 2003 possono ricevere
settaggi wireless dalle group policy
Localmente, client per client
Settaggi principali :
Wireless Network Key
Network Authentication (Open, Shared, WPA, WPA-PSK)
Data Encryption (WEP, TKIP, AES)
802.1X (flag)
“The key is provided automatically” (check box)
N.B. : solo Windows XP SP2 e Windows Server 2003 SP1 hanno WPA attiva per
default. Su sistemi operativi precedenti, bisogna installare il client WPA
(scaricabile da Internet)
Informazioni aggiuntive
Dove trovare risorse:
Securing Wireless LANs with Certificate Services
http://go.microsoft.com/fwlink/?LinkId=14843
Security Wireless LANs with PEAP and Passwords
http://www.microsoft.com/technet/security/topics/cryptographyetc/
peap_0.mspx
Security Guidance Center:
http://www.microsoft.com/italy/security/guidance/default.mspx
Ultime novità sul wireless in Windows XP SP2 e
Windows server 2003 Release 2
http://www.microsoft.com/windowsserver2003/technologies/
networking/wifi/default.mspx
Principali caratterisitche di
sicurezza
Agenda
UAP (User Account Protection)
Parental Control
Internet Explorer 7.0
Protezione dai virus
Windows Service Hardening
Network Access Protection
Firewall
Avvio sicuro
User Account Protection
E’ molto frequente lavorare sui propri pc
come amministratori
Ci consente usabilità
Non ci consente sicurezza
Virus, worm e spyware penetrano nelle macchine e
usano questi privilegi amministrativi
Chi ha troppi diritti, può fare “troppi danni”…
Anche diverse applicazioni richiedono diritti di
Administrator o di Power User
Anche molte operazioni di gestione del
sistema operativo li richiedono
Cosa fa UAP…
Abilita gli utenti ad eseguire operazioni
come non-administrator
Solo l’utente built-in “Administrator” avrà
sempre pieni poteri amministrativi
Qualunque altro utente, anche facente parte
del gruppo “Administrators”, avrà inizialmente
poteri limitati
Se deve eseguire operazioni comuni, userà questi
suoi diritti limitati
Se deve eseguire operazioni amministrative, dovrà
effettuare un’elevazione dei suoi privilegi
In Windows Vista Beta1, UAP non è abilitato
per default. Nella Beta2 sarà attivo.
Come funziona UAP
Per utenti del gruppo “Users”
Ogni volta che devono eseguire operazioni
amministrative, sono richieste le credenziali di
un utente amministrativo (come prima, ma
senza obbligo di richiamare “Run as”)
Per utenti di un gruppo amministrativo
Al logon vengono dotati di uno “split-token”
Possiedono ora 2 tipi di credenziali : amministrative
e comuni. Quelle comuni sono utilizzate per tutte le
operazioni comuni (browser, posta, ecc…)
Per eseguire task amministrativi, un prompt chiede
all’utente di confermare le credenziali di admin
Per maggior scorrevolezza, è anche possibile far apparire
il prompt, senza richiesta di re-immettere la password
Protezione delle applicazioni (1)
Durante l’installazione
Windows Vista rileva ogni tentativo di lanciare
un Setup Installer
Il prompt chiede la conferma amministrativa
Dopo l’installazione
Vecchie applicazioni non funzionano
correttamente se non si è amministratori
Motivo : cercano di scrivere in parti di registro o in
cartelle di solito accessibili solo agli amministratori
Vista “virtualizza” queste parti di registro o
cartelle e le trascrive in parti accessibili agli
utenti standard (HKCU e per-user store)
Protezione delle applicazioni (2)
Le vecchie applicazioni funzionano ora
anche con diritti di standard user
UAP è da considerarsi come tecnologia di
transizione
Gli sviluppatori sono tenuti a scrivere
codice compatibile con Windows Vista
Usare tecnologia Windows Installer
Fare testing come “non-administrator”
Operazioni amministrative solo in installazione
Operazioni user in esecuzione
Esecuzione delle applicazioni
E’ sempre possibile indicare manualmente
ad una applicazione di essere eseguita
con privilegi elevati (“Run elevated”)
E’ possibile anche indicare ad una
applicazione di essere eseguita SEMPRE
con privilegi elevati (è il tab “Compatibility”
nelle proprietà dell’eseguibile)
Pulsante “Unlock” per alcuni strumenti del
Pannello di Controllo
Parental Control
Garantisce un uso “corretto” del pc ai
propri figli
Limita quando e per quanto un figlio può
utilizzare il computer
Limita quali siti web un figlio può visitare
Limita quali programmi un figlio può eseguire
Restringe l’accesso ad alcuni giochi
Esegue report dettagliati sull’utilizzo del
computer da parte dei figli
Internet Explorer 7.0
Basato su UAP
Esegue in modalità read-only (eccetto “File
Temporanei Internet” e “Cronologia)
Malware penetrato da Internet non può
eseguire operazioni dannose
Gli Add-on possono essere installati solo
col permesso dell’utente
Possibilità di cancellare tutta la cache e i
controlli ActiveX con un solo clic
Filtro anti-phishing integrato
Altre caratteristiche di IE7
Avvisa sempre l’utente quando inserisce
dati in un sito non protetto SSL/TLS
Viene evidenziata la barra degli indirizzi se
si è connessi ad un sito sicuro
“Tab browsing” integrato in RTM
Evidenzia il nome di dominio se questo è
un indirizzo IP o contiene caratteri speciali
IDN per gli URL con caratteri multilingua
Zoom delle pagine web senza perdere
qualità
SSLv3 e TLSv1 per la crittazione
IE6 in esecuzione come Admin
Accesso come Admin
Installa un driver,
Avvia Windows Update
Exploit possono
installare MALWARE
IE6
HKLM
Program Files
Accesso come User
Modifica impostazioni,
Download di immagini
HKCU
My Documents
Exploit possono
installare MALWARE
Startup Folder
Temp Internet Files
Cache dei contenuti
File e impostazioni non
fidati
IE7 in Protected Mode
Broker Process
Integrity Control
IE7 in
Protected
Mode
Compat Redirector
Accesso come Admin
Installa un
driver,
Installa un
controllo
ActiveX
Modifica delle
impostazioni,
Salva
immagini
Impostazioni e file rediretti
Contenuti in cache
HKLM
HKCC
Program Files
Accesso come User
HKCU
My Documents
Startup Folder
Temp Internet Files
File e impostazioni non
fidati
Protezione dai virus
Agente integrato che opera in due fasi:
Durante l’aggiornamento da XP a Vista,
verifica i file esistenti su disco alla ricerca di
virus (usa un database standard delle
signature)
Dopo l’installazione periodicamente Windows
Vista scarica nuovi database delle signature
da Windows Update
Windows Service Hardening
Impedisce ai servizi Windows critici di
eseguire attività dannose nel registro, nel
file system o in rete
Es. RPC bloccato nel modificare il registro
Ad ogni servizio sono associati un SID e
un profilo che consentono o negano
operazioni locali o di rete
Serve a bloccare i tentativi dei codici maligni
di costringere i servizi di sistema a eseguire
operazioni dannose
E’ ora difficile che software maligni si
propaghino da pc a pc
Network Access Protection
Agente che impedisce a un client di connettersi
alla rete interna se non dispone di ultime patch e
antivirus aggiornato
Dipende dalle caratteristiche dell’infrastruttura
server circostante (Longhorn Server)
Si applica a tecnologie DHCP, VPN, IEEE
802.1x, IPSec
Serve a impedire che computer non protetti si
connettano alla rete interna, diffondendo worm o
virus
Per informazioni sulla tecnologia
http://www.microsoft.com/technet/itsolutions/network/nap/naparch.mspx
Firewall
Basato sul firewall di Windows XP SP2
Filtri per il traffico in uscita
Configurabile tramite Group Policy
Configurabile tramite linea di comando
Avvio sicuro
Situazione attuale
Tanti programmi di cracking delle password
Attacchi off-line alle chiavi di sistema
Attacchi ai protocolli di sicurezza
Furto o perdita di pc o dischi rigidi
Compromissione dei file criptati
Difficoltà ad eliminare completamente dati
sensibili dai dischi (numerosi tools di analisi
e recupero)
Soluzioni di Windows Vista
TPM (Trusted Platform Module), metodo di
sicurezza hardware-based
Microchip installato su motherboard
Protegge da attacchi software, non da
operazioni di utenti riconosciuti
Memorizza in maniera sicura tutte le chiavi
di crittografia, password e certificati
Evita accessi al disco (in caso di furto)
Evita accessi ai dati da sistemi operativi
diversi
Struttura del disco
Le partizioni criptate
dell’OS contengono:
• OS crittato
• Page file crittato
• File temporanei criptati
• Dati criptati
• File di ibernazione
crittato
La System Partition contiene utility per il boot
(non criptate, 50MB)
MBR
Valore del Full Volume
Encryption
La crittazione del file di ibernazione
protegge dall’ibernazione di portatili con
documenti sensibili aperti
La Full Volume Encryption aumenta la
sicurezza di tutte le chiave di registry, file di
configurazione, file di paginazione e
ibernazione presenti sul disco crittato
La semplice distruzione della chiave
consente la dismissione sicura degli asset
aziendali
Scenari di ripristino
La chiave principale di crittazione, a scelta,
è memorizzabile su supporti esterni o in
AD, per successivo richiamo
Scenario di ripristino dopo rottura
dell’hardware
È possibile spostare il disco dal portatile rotto
al nuovo portatile
Scenario di ripristino dopo attacco
Cambiamento/cancellazione dei file del Boot
Loader
Ripristino dell’avvio sicuro
Accesso
alla rete
via AD
Abilitazione della funzione
Secure Startup Recovery
Key
Deposito della chiave
per esempio via AD
L’utente rompe
il computer
x
HD della macchina rotta
inserito nella nuova macchina
x
Alert: Secure Startup Recovery
Secure Startup Recovery has failed.
Please enter your Secure Startup
Recovery Key.
**** **** **** ****
You will not be able to start up your
computer nor access your data. Your
hard drive will remain encrypted until
you can provide either the recovery
media or your recovery key.
Ok
Cancel
Close
SysAdmin sblocca e
fornisce la chiave
utente dopo aver
verificato le credenziali
x
Secure Startup Recovery Mode
You have successfully recovered
your data.
The recovery process is complete.
Close
Utente chiama SysAdmin
EFS e FVE
Partner nella protezione
EFS
Fornisce sicurezza nel
contesto utente
Migliorato in Windows
Vista per incrementare la
sicurezza fornita all’utente
(smartcards)
Non misura l’integrità dei
singoli componenti del
processo di boot
Non fornisce protezione
offline per l’OS, file
temporanei, file di swap e
di ibernazione
FVE
Fornisce sicurezza nel
contesto macchina –
pensato per
proteggere l’OS
Protegge tutti i settori
sul volume di
installazione di
Windows, inclusi i file
temporanei, i file di
swap e ibernazione.
Non fornisce sicurezza
a livello utente
© 2005 Microsoft Corporation. All rights reserved.
This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
Fly UP