Comments
Description
Transcript
La sicurezza delle reti informatiche
La sicurezza delle reti informatiche : la legge sulla Privacy e la piattaforma Windows Relatore : Ivan Salvadè [email protected] Agenda 09.30 Introduzione alle legge 196/03 Criteri di protezione generali La sicurezza delle password Il backup dei dati L’aggiornamento del software Analisi del software con Microsost Baseline Security Analizer (MBSA) Aggiornamento del software con Windows Server Update Services (WSUS) L’importanza del software antivirus introduzione a Windows One Care Live (WOCL) 11.15 Intervallo Agenda 11.30 Protezione dei client Windows XP Service Pack 2 e Windows Firewall Crittografia dei dati : Encrypted File System (EFS) 13.00 Pausa Pranzo Agenda 14.00 Protezione della rete interna Introduzione a ISA Server 2004 Protezione di Exchange Server con ISA Server 2004 ISA Server 2004 Appliances 15.45 Intervallo La sicurezza delle reti Wireless Windows VISTA : cenni alle principali caratteristiche di sicurezza 17.30 Domande e risposte La gestione del software: Software Asset Management (SAM) per un’azienda l’amministrazione di un parco PC può diventare complessa con il tempo è possibile anche involontariamente perdere il controllo dei software installati e delle licenze possedute le possibili conseguenze di questa situazione: mancata ottimizzazione della spesa IT installazione di software non autorizzato problemi di sicurezza parco software eterogeneo per tipologia e versione dei prodotti rischio di violazione delle norme sul Diritto d’Autore I rivenditori possono aiutare i loro clienti a semplificare la complessità gestionale offrendo un servizio di gestione del software (SAM) SAM: benefici per i rivenditori qualificarsi presso il cliente con un servizio nuovo e di estrema utilità (nuovi clienti) diventare interlocutore privilegiato sui temi di licensing (fidelizzazione) aprirsi un nuovo business per la vendita del servizio e delle eventuali licenze mancanti (vendite da regolarizzazione) (*) (*) Il tasso di pirateria in Italia è del 50%. Fonte: IDC, Piracy Study 2005. Acquisisci la specializzazione SAM è disponibile nel Microsoft Partner Program la competenza Licensing Solutions è possibile ottenere la competenza acquisendo la specializzazione SAM in essa prevista requisiti della specializzazione SAM: due Microsoft Certified Professional che superino l’esame 70-123 Planning, Implementing, and Maintaining a Software Asset Management (SAM) Program presentare tre referenze di clienti relative a soluzioni in ambito Software Asset Management Tutti i dettagli al link: www.microsoft.com/italy/partner/partnering/program _2005/competenze/licensingsolutions/default.mspx Risorse per il SAM Dedicate ai rivenditori che intendono offrire un servizio di SAM ai propri clienti: formazione, strumenti, informazioni sulle licenze: www.microsoft.com/italy/softwareoriginale/guida_partner/default.mspx Tool per l’inventario software: MSIA, il tool gratuito Microsoft per l’inventario software: www.microsoft.com/italy/sam/content/msia/default.mspx MASTER SAM (di Computerwide Networking Solutions) www.computerwide.it/Prodotti/MasterSaM/MasterSaM_Home.asp Perchè offrire sempre prodotti originali Benefici: sono completi di tutte le componenti godono della garanzia offerta dal produttore consentono l’uso degli aggiornamenti (WGA) www.microsoft.com/italy/ genuine l’origine è certa (più sicurezza) Sanzioni di legge: reclusione da 6 mesi a 3 anni (penale) multa da 2,5 a 15 mila euro (penale) sanzione amministrativa pari al doppio del prezzo di mercato dell’opera risarcimento dei danni al titolare dei diritti (civile) I benefici di Windows originale Proprietà che i clienti si aspettano Solo grazie a Windows orignale ogni PC fornisce le caratterisitce, le opzioni e le performance che i clienti si aspettano Genuine Windows Sicurezza e tranquillità Il software è supportato da Miscrosoft o da un Partner riconosciuto Aggiornamenti continui Solo con Windows originale è possibile accedere agli aggiornamenti e ai miglioramenti che mettono in risalto il valore del software originale Solo vendendo e promuovendo Windows originale garantite ai vostri clienti tutte le funzionalità che si aspettano dal proprio PC Windows Genuine Advantage (WGA) Cosa è WGA? Un nuovo programma che consente a tutti i clienti di certificare il proprio Windows XP come orignale Perchè WGA? La più semplice e facile modalità per garantire l’originalità del software dei vostri clienti Un punto unico di accesso alle informazioni che avete bisogno di conoscere sul valore del software originale Windows Genuine Advantage: caratteristiche Tutti gli aggiornamenti di Windows disponibili nel Download Center e attraverso Microsoft Update sono disponbili SOLO per chi utilizza una versione di Windows originale Tutti i download (eccetto quelli relativi alla sicurezza) richiedono la validazione Un processo semplice: non è richiesto l’inserimento di nessuna Product Key Per tutti i clienti che scoprono di avere una versione di Windows non origniale esiste la possibilità di acquistare direttamente da Microsoft una copia di Windows XP originale Altre offerte che sono disponibili solo per gli utenti di Windows originale sono, ad esempio: Windows AntiSpyware Windows Media Center Roll-up 2 Photo Story 3 Video didattici Altre offerte e promozioni sempre aggiornate Why Should You Care? Vendendo software originale e promuovendone le funzionalità non solo combattete contro la pirateria, ma avete un vantaggio tangibile che vi differenzia da chi vende software non originale Prima del programma WGA era difficile dimostrare il valore del software originale Grazie a WGA i clienti sanno in maniera semplice e immediata se la loro copia di Windows è originale Grazie a WGA è ora più facile vendere software originale perchè anche i clienti ne conoscono il valore che lo differenzia da una versione non orignale Prosegue la campagna Microsoft contro la pirateria del canale Continua su tutto il territorio nazionale (Nord, Centro e Sud) la campagna di controlli sul canale avviata da Microsoft a inizio novembre, con i seguenti obiettivI: contrastare i comportamenti illegali diffondere presso i partner la consapevolezza che le modalità lecite di vendita del software rappresentano per tutti un’importante opportunità di crescita e sviluppo tutelare i rivenditori onesti ed i consumatori Oltre 2000 controlli su tutta Italia, attraverso i Mystery Shopper Regioni visitate: 11 Tasso di offerte irregolari: 21% (aggiornamento dati in elaborazione) Attualmente in corso ulteriori controlli su tutto il territorio nazionale: un ingente investimento ed un approccio innovativo per ridurre l’elevato tasso di pirateria del software in Italia! Legge 196/03: principi base E’ il D.Lgs. n° 196 del 30 giugno 2003 Riunisce in un Testo Unico le precedenti leggi sulla Privacy (L. 675/96, DPR 318/99) Garantisce diritti e libertà fondamentali, la dignità dell’interessato e la protezione dei dati personali, al passo con le tecnologie correnti. “Chiunque ha diritto alla protezione dei dati personali che lo riguardano” (art.1) Chiunque tratta dati personali è tenuto a rispettare gli obblighi previsti dal Testo Unico : Aziende, Imprese, Ditte, Professionisti, Enti Pubblici, Scuole, Organizzazioni ed esercenti le professioni Sanitarie, Banche, Assicurazioni, Pubblica Amministrazione, Uffici Giudiziari ed esercenti le professioni Giudiziarie, … e altre categorie ancora… Devono essere protetti, in particolare : Dati Personali, Dati Identificativi, Dati Giudiziari, Dati Sensibili Legge 196/03: principi base I dati devono essere : Completi, aggiornati e non eccedenti rispetto agli scopi Raccolti, registrati e conservati secondo gli scopi Trattati in modo lecito e corretto Trattati per un periodo di tempo non superiore a quello necessario agli scopi Il fine è ridurre al minimo le fonti di rischio e garantire la massima integrità, riservatezza, disponibilità ed aggiornamento delle informazioni Devono essere adottate idonee e preventive misure di sicurezza per garantire la protezione delle informazioni Le “misure di sicurezza” rappresentano un processo globale, per l’attuazione del quale sono richieste competenze specifiche ed attenzione diffusa Disciplinare tecnico Sono state predisposte una serie di “misure minime di sicurezza”, individuate negli artt. 31-36 e nell’Allegato B del T.U., obbligatorie per chi tratta i dati personali con strumenti elettronici : Autenticazione informatica Procedure di gestione delle credenziali di autenticazione (password, codici identificativi, certificati digitali, carte a microprocessore, caratteristiche biometriche) Sistema di autorizzazione informatica Protezione dei sistemi dagli accessi non consentiti (protezione da virus, worm, trojans, accessi di persone non autorizzate) Aggiornamento dei sistemi con le ultime patch Procedure di backup e ripristino di dati e sistemi Tenuta del “Documento Programmatico sulla Sicurezza” (DPS) Tecniche di cifratura (per chi tratta dati idonei a rivelare lo stato di salute o la vita sessuale di individui) Sanzioni Sono previste sanzioni amministrative e penali, per il responsabile legale dell’azienda e/o per il responsabile del trattamento dei dati e/o per chiunque, essendovi tenuto, omette di adottare le misure di sicurezza Gli illeciti amministrativi sono regolati dagli artt. 161/164, e puniti con sanzioni da 500 Eu a 60.000 Eu Omessa informativa all’interessato Omessa notificazione al Garante Omessa esibizione di documenti al Garante Cessione impropria dei dati Gli illeciti penali sono regolati dagli artt. 167/171, e puniti con grosse ammende o reclusione fino a 3 anni Trattamento illecito dei dati personali Falsità delle dichiarazioni e notificazioni al Garante Omessa adozione delle misure minime di sicurezza Inosservanza dei provvedimenti del garante Autenticazione informatica Procedimento con cui un individuo viene riconosciuto come tale In un sistema informatico possono esserci varie forme di autenticazione Ogni incaricato al trattamento dei dati deve essere munito di una o più credenziali di autenticazione : user-id + parola chiave (nome utente e password) dispositivo di autenticazione + eventuale codice o parola chiave (smart card, USB token o altro con codice annesso) Caratteristica biometrica + eventuale codice o parola chiave (impronta digitale, scansione iride o retina) Le credenziali di autenticazione sono individuali per ogni incaricato La parola chiave, se prevista, deve avere le seguenti caratteristiche: Lunga almeno 8 caratteri (o lunga il massimo consentito) Non contenere riferimenti agevolmente riconducibili all’incaricato Modificata dall’incaricato al primo utilizzo, e poi almeno ogni 6 mesi (3 mesi se i dati trattati sono dati sensibili e/o giudiziari) L’incaricato non può cedere le proprie credenziali ad altri Le credenziali vanno disattivate se non usate da almeno 6 mesi o se non si possono più ritenere “riservate” Gestione credenziali Il Titolare deve impartire istruzioni chiare agli incaricati su : Come assicurare la segretezza delle credenziali di autenticazione Come custodire con diligenza i dispositivi in possesso Le modalità per non lasciare incustodito il proprio terminale di lavoro, durante una sessione di trattamento dei dati Inoltre il Titolare deve impartire istruzioni agli incaricati in merito : Alla modalità di accesso ai dati e agli strumenti elettronici, in caso di prolungata assenza o impedimento dell’incaricato, che renda indispensabile e indifferibile intervenire per esclusive necessità di operatività e sicurezza del sistema Alla procedura da seguire nel caso in cui l’incaricato sia irreperibile, oppure non sia più in possesso delle sue credenziali di autenticazione, e si renda nel frattempo necessario un intervento sui dati All’organizzazione delle copie delle credenziali di autenticazione, l’identificazione dei responsabili delle copie, e delle relative procedure da utilizzare nel caso queste debbano essere utilizzate Sistema di autorizzazione Un sistema informatico, dopo aver autenticato una persona, cerca il suo “Profilo di Autorizzazione”, cioè l’insieme delle informazioni associate ad una persona, che consente di individuare a quali dati essa può accedere e con quale modalità I profili di autorizzazione possono essere creati Per ciascun incaricato Per classi omogenee di incaricati Devono essere creati prima dell’inizio del trattamento dei dati Devono periodicamente (almeno una volta l’anno) essere verificati, per garantirne la continua coerenza Si possono NON applicare quando i dati trattati sono destinati alla diffusione pubblica Protezione e aggiornamento Per l’intero sistema informatico, rivedere e, se necessario, riorganizzare almeno annualmente gli ambiti di trattamento, la lista degli incaricati e i profili di autorizzazione Munirsi di procedure per il salvataggio dei dati, da effettuarsi almeno con cadenza settimanale Munirsi di procedure per l’aggiornamento dei software di elaborazione, allo scopo di prevenire vulnerabilità e correggere difetti, da effettuarsi almeno con cadenza annuale (semestrale per dati sensibili e/o giudiziari) L’aggiornamento di programmi Antivirus, Antispyware e Firewall deve essere eseguito non appena ne esiste uno disponibile I dati personali devono essere protetti dal rischio di intrusione, utilizzando opportuni strumenti elettronici Chiunque diffonde, comunica, consegna un programma informatico avente per scopo il danneggiamento, l’interruzione o l’alterazione di un sistema informatico, è punito con ammenda e reclusione Dati sensibili e/o giudiziari Ulteriori misure di sicurezza : Prevedere tecniche di cifratura dei dati medesimi, sia quando memorizzati su supporti magnetici, che quando in trasferimento da un elaboratore all’altro Impartire istruzioni precise su come trattare i supporti rimovibili (CD, DVD, Floppy) che contengono tali dati sensibili Tali supporti rimovibili devono essere distrutti se non utilizzati Se non distrutti, possono essere riutilizzati da altre persone non autorizzate al trattamento dei dati, SOLO SE questi sono stati resi non intelligibili o tecnicamente in alcun modo ricostruibili Prevedere procedure di ripristino dei dati al massimo entro 7 giorni, in caso di distruzione o danneggiamento degli stessi DPS Entro il 31 marzo di ogni anno deve essere compilato o aggiornato dal Titolare del trattamento il “Documento Programmatico della Sicurezza” Deve essere citato nella relazione consuntiva del bilancio d’esercizio Deve essere conservato per presentazione in occasione di controlli Deve contenere, al minimo : L’elenco dei trattamenti di dati personali La distribuzione delle responsabilità nella struttura organizzativa in cui i dati vengono trattati L’analisi dei rischi che incombono sui dati Le misure già in essere e da adottare per garantire l’integrità e la disponibilità dei dati La descrizione dei criteri e delle procedure per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento La programmazione di eventi formativi per gli incaricati La descrizione dei criteri da adottare in caso di dati trattati anche da terzi, l’elenco dei terzi stessi e le modalità con cui i terzi dovranno trattare i dati La descrizione delle procedure di crittazione dei dati, in caso trattasi di dati sensibili e/o giudiziari Per la corretta compilazione, eventualmente usare software applicativi o consultare www.garanteprivacy.it Informazioni aggiuntive E’ facoltà del Titolare rivolgersi a consulenti esterni per rendere conforme la sua organizzazione al Testo Unico sulla Privacy Deve provvedere a farsi rilasciare una descrizione scritta di quali sono stati gli interventi che attestano la conformità alla normativa E’ prevista la possibilità per chi utilizza strumenti informatici “obsoleti” (che non consentono l’applicazione delle misure minime di sicurezza secondo le modalità tecniche dell’Allegato B), di descriverne le ragioni in un documento a data certa (non oltre il 31/12/2005) da conservare presso la struttura. In questo caso, il Titolare è comunque tenuto all’aggiornamento dei propri strumenti informatici entro e non oltre il 31 marzo 2006 Soluzioni Microsoft Soluzioni adatte per le aziende che dispongono di almeno un server di rete e di un numero variabile di pc client La presenza del server di rete permette la centralizzazione di una serie di operazioni, quali autenticazione, backup, gestione patch, ecc.. In particolare, le ultime versioni dei sistemi operativi Microsoft (Windows XP, lato client, e Windows Server 2003, lato server) unitamente alla suite di Office 2003, offrono una serie di funzionalità che rende semplice adeguare il proprio sistema informativo alle misure minime Licenza Software Assurance per il continuo e immediato aggiornamento Autenticazione e autorizzazione Active Directory è la soluzione migliore e adatta ad azienda di ogni dimensione Utilizza sistemi di autenticazione standard (Kerberos, certificati X.509, smart card…) Gestione centralizzata dei profili utenti Facile gestione delle Liste di Controllo degli accessi per l’impostazione delle autorizzazioni Protezione e gestione delle password (lunghezza min/max, scadenza, rinnovo, complessità…) Gestione della sicurezza anche dei client collegati Utilizzo di protocolli standard per l’accesso ai dati (LDAP) Gestione dell’accesso al software (non solo ai dati) con le Software Restriction Policy Possibilità di crittografia aumentate con Windows Server 2003 Supporto e protezione di tutti i protocolli di accesso alle informazioni utilizzati in Internet Protezione da codici maligni ISA Server 2004 è il prodotto migliore per difenderci da virus, worm, trojans ed altri codici maligni E’ un firewall multilivello di classe Enterprise Esegue packet filtering, stateful filtering, application-layer filtering Controlla l’accesso a Internet degli utenti “Pubblica” su Internet qualunque server interno Rileva comuni tentativi di attacco alla rete (IDS) Rende disponibile in maniera sicura la posta elettronica agli utenti esterni Connette in maniera sicura sedi distaccate Assicura un accesso più veloce al contenuto di Internet Gestisce in maniera sicura i dati lungo connessioni VPN La versione Enterprise fornisce anche caratteristiche di Load Balancing e centralizzazione delle policy, per una totale scalabilità anche per aziende molto grandi Aggiornamento dei sistemi Due soluzioni di tipo centralizzato WSUS (Windows Server Update Services) GRATUITO! Scarica e installa automaticamente e in maniera mirata patch e update di diversi prodotti Microsoft Capacità di reporting e opzioni di database Gestione semplice via web SMS 2003 (System Management Services) Gestione dell’inventario del software e degli asset informatici Distribuzione del software Identificazione delle vulnerabilità e distribuzione di patch e update in maniera mirata Potenti capacità di reporting e database Monitoring delle applicazioni Integrazione con i servizi di Active Directory Protezione da accessi non consentiti Windows Rights Management Services (RMS) Integrato in Windows Server 2003 Opera congiuntamente con le applicazioni client (Office 2003) per salvaguardare le informazioni confidenziali e i dati sensibili dell’azienda in qualsiasi circostanza Permette all’utente di definire quali documenti possono essere letti, modificati, inoltrati o stampati. Office 2003 integra IRM (Information Rights Management) Impedisce l'utilizzo non autorizzato di informazioni e documenti. Dovunque!!! Estende Windows Rights Management Services alle applicazioni di Microsoft Office 2003 e a Microsoft Internet Explorer. Backup e ripristino dei dati SQL Server garantisce l’affidabilità e la sicurezza delle basi di dati Supporta diverse tecnologie hardware e software per la gestione dell’alta affidabilità. SQL Server garantisce il pieno supporto dei requisiti di legge per il trattamento dei dati: Crittografia automatica del traffico tra client e server di una rete Crittografia del file system Microsoft Exchange Server 2003 è la soluzione per le problematiche legate all’antispamming ed alla gestione in sicurezza della posta elettronica. In particolare Accesso sicuro via Internet da Outlook Controllo della junk mail con supporto in tempo reale per blacklists ed anti spamming e filtri sulla connessione Scollegamento automatico dopo un periodo di inattività Supporto per il clustering a 4 e 8 nodi Centralizzazione dei servizi di ripristino delle caselle postali Centralizzazione dei servizi di ripristino dello storage. Caratteristiche avanzate I requisiti di sicurezza richiesti dal T.U. per User-ID e password richiedono sistemi operativi di ultima generazione (2000, XP, 2003) User-ID univoche Impedire all’amministratore di sistema di conoscere le password degli utenti Pre-impostare una lunghezza minima della password Pre-impostare l’obbligo di sostituzione della password al primo uso Pre-impostare la modifica periodica delle password Pre-impostare la “disattivazione automatica” delle User-ID dopo sei mesi di inattività Pre-impostare la protezione dei terminali mediante screen-saver, anche in modalità centralizzata Con Windows Server 2003 è possibile l’amministrazione centralizzata ed il controllo accessi anche di client mobili (wireless) e device basati su tecnologia Windows Mobile Posso valutare: le credenziali di autenticazione ed il profilo di autorizzazione del client (desktop, portatile o palmare) che si collega la corretta configurazione dello stesso (Reti di Quarantena) Sicurezza di Office 2003 (1) Back-up e ripristino automatico dei file in uso in occasione di crash di sistema; autoriparazione dei file in uso se danneggiati o in caso di impossibilità a riparare estrazione dei dati recuperati; ripristino automatico delle applicazioni in caso di malfunzionamenti Protezione dall’accesso indesiderato ad e-mail e documenti o parti di essi mediante password, con crittografia fino a 128 bit Protezione di documenti e di e-mail da manomissioni rispetto all’originale, attraverso firma digitale Protezione contro virus negli script: diversi livelli di protezione da macro con possibilità di riconoscere le macro firmate digitalmente che si vogliono eseguire Sicurezza di Office 2003 (2) Authenticode per add-ins e macro: meccanismo di firma digitale che assicura che questi componenti software non siano stati manomessi Protezione contro i virus che si propagano attraverso le agende (address book) degli utilizzatori, tramite il blocco degli accessi automatici all’agenda indirizzi Blocco degli allegati alla posta elettronica (Outlook) “eseguibili”, che potrebbero trasportare virus API antivirus, che permette l’installazione di antivirus di terze parti per ulteriore protezione da virus che possano oltrepassare tutte le citate misure di sicurezza Protezione della privacy circa il riferimento agli autori dei documenti consentendo di rimuoverne i meta-dati MBSA Microsoft Baseline Security Analyzer MBSA overview Microsoft Baseline Security Analizer è attualmente alla versione 2.0 Progettato per piccole-medie imprese, rileva configurazioni errate dei pc e patch mancanti Esegue scansioni locali e remote di uno o più pc Disponibile in inglese, tedesco, francese, giapponese, ma esegue scansioni su pc di qualunque lingua Interfaccia grafica e linea di comando Interazione con Windows Update e WSUS Installabile su pc Windows 2000 SP4 e successivi Diritti amministrativi per installazione ed esecuzione Porta 80 aperta in uscita per il pc su cui è installato Porte 135, 139, 445 in entrata aperte sui client remoti Cosa controlla MBSA Vulnerabilità amministrative Windows Firewall abilitato? Automatic Updates abilitato? Password complesse forzate? Esistono account senza password? Per i seguenti prodotti : Windows 2000 / XP / 2003 IIS 5.0 / 6.0 e IE 5.01+ SQL Server 7.0 / 2000 Office 2000 / XP / 2003 Update di sicurezza mancanti Confronta i pc con il sito di Windows Update o con un catalogo scaricato in locale o con un server WSUS Riporta update non ancora approvati su un server WSUS Crea report compatibili con visualizzatori XML Supporto per Windows XP Embedded e Windows 64-bit Per i seguenti prodotti : Windows 2000 SP4 e successivi Exchange Server 2000 e successivi Office XP e successivi SQL Server 2000 SP4 e successivi Tutti i componenti di Windows (IIS, IE, MDAC, DirectX, WMP, Outlook Express….) WSUS Windows Server Update Services WSUS overview : comparazioni Supporto al software Software supportato MBSA Microsoft Update Come MU per rilevamento patch. Windows, IE, Exchange e SQL per il controllo vulnerabilità Service Pack e updates di sicurezza Windows 2000+, Exchange 2000+, SQL Server 2000+, Office XP+ con supporto in espansione Tutti i software updates, driver updates, service packs e feature packs Come MU Come MU, ma rileva solo driver updates critici Come WSUS + NT 4.0 + Win98 + può aggiornare ogni altro software Windows-based Tutti gli updates, SP, FP + installazione di qualunque software Windows-based WSUS SMS Tipo di contenuto supportato WSUS overview : comparazioni Gestione delle patch di sicurezza MBSA Ottimizzazione banda di rete Controllo distribuzione patch Schedulazione e flessibilità di installazione delle patch NO NO NO Semplice NO NO NO NO Report sullo stato di installazione Pianificazione del deployment Gestione inventario MU SI NO Manuale e controllato da utente finale Errori di installazione riportati all’utente finale WSUS SI Semplice Semplice Buono Semplice NO SMS SI Avanzato Avanzato Avanzato Avanzato Avanzato Cos’è “Microsoft Update”? Microsoft Update è un sito web di Microsoft che include: Aggiornamenti per i sistemi operativi Windows di Microsoft, software, e drivers Aggiornamenti per le applicazioni Microsoft Nuovo contenuto che è aggiunto al sito regolarmente Sostituisce il sito web “Windows Update” L’aggiornamento è possibile collegandosi dal proprio client a Windows Update e richiamando la patch di installazione Può scaricare patch di sicurezza e update per Windows 2000, Windows XP, Windows Server 2003 Può scaricare patch di sicurezza e update per la suite di Office, per Exchange Server, per SQL Server Cos’è “Automatic Updates”? Automatic Updates è un software lato client che : Comunica con Microsoft Update o WSUS Scarica automaticamente gli aggiornamenti Notifica gli utenti della disponibilità degli aggiornamenti Può essere configurato centralmente da un amministratore Solo la sua ultima versione è compatibile con WSUS Per controllare la versione, verificare che la DLL “WUAUENG.DLL” nella cartella “SYSTEM32” abbia una versione superiore a 5.4.3790.1000 Windows Server 2003, Windows XP SP2 e Windows 2000 SP3 e SP4 contengono già la versione corretta Cos’è WSUS? Microsoft Update Web site Automatic Updates Server WSUS Client di prova LAN Internet Automatic Updates I processi di WSUS Processi lato server Processi lato client 1. WSUS esegue una sincronizzazione schedulata 2. Testing degli update? Testing delle patch Si? No? 3. L’Amministratore approva le patch 1. Automatic Updates sui client chiama WSUS 2. E’ loggato l’amministratore? Si? L’amministratore vede un pallone di stato, può differire l’installazione No? 3. L’installazione schedulata comincia 4. Qualche patch richiede un restart? No? Si? Restart 5. AU aspetta il prossimo controllo Requisiti per installare WSUS Requisiti hardware Pentium III 1GHz o superiore 1 GB di RAM 30 GB di spazio su hard disk Requisiti software Windows 2000 Server o Windows Server 2003 IIS 5.0 o superiore BITS (Background Intelligent Transfer Service) 2.0 Microsoft .NET Framework 1.1 SP1 Internet Explorer 6.0 SP1 o superiore Configurazione di AU Configurare Automatic Updates con le Group Policy E’ richiesto l’aggiornamento del template amministrativo “wuau.adm” (ultima versione scaricabile da Internet) E’ possibile configurare i client singolarmente, ma bisogna agire nel registro di sistema di ognuno I client devono essere almeno : Windows 2000 SP3 Windows XP SP1 Windows Server 2003 Windows XP Service Pack 2 & Windows Firewall Le novità del SP2 SP2 fornisce diverse tecnologie di sicurezza che riducono le vulnerabilità dei computer Caratteristiche nuove e migliorate: Protezione di rete avanzata Protezione della memoria Gestione posta elettronica più sicura Sicurezza avanzata del browser Gestione computer migliorata Gestione più sicura delle reti wireless Come SP2 diminuisce la superficie di attacco Caratteristiche Protezione della rete Protezione memoria Gestione posta elettronica più sicura Sicurezza del browser avanzata Gestione computer migliorata Gestione più sicura delle reti wireless Tecnologie di sicurezza Remote procedure call (RPC) Distributed-component object model (DCOM) Windows Firewall Tecnologia “Execution Protection” (NX) Restrizioni sui tipi “Multipurpose Internet mail extension (MIME)” Gestione sicura degli allegati Gestione pop-up e crash detection “Prompt” sul download di contenuto dannoso Windows Security Center Sicurezza migliorata Wireless Network Setup Wizard Wireless Provisioning Services (WPS) Il Windows Security Center Computer che esegue il Security Center Configurazione Aggiornamenti Automatici Configurazione Windows Firewall Configurazione Antivirus Sicurezza DCOM avanzata DCOM Server Remote Client Autorizzazioni COM specifiche Nuove restrizioni lato-computer Launch, Call e Activation locali a “Everyone”. Call da remoto solo ad “Authenticated Users”. Permission totali ad “Administrators” I privilegi Launch, Call e Activation sono differenziati tra client locali e remoti Chiamate RPC più sicure Altri Processi che si annunciano come servizi RPC (es. Trojan Horses) Processi eseguiti nei contesti di sicurezza Local RPC Servers System, Network Service, Local Service Porta aperta Bloccato Porta aperta Permesso accettato Client locale e/o Client autenticato Firewall ristretto Group Policy Client anonimo remoto Servizi disabilitati in SP2 Servizio disabilitato Prima di SP2 Dopo SP2 Alerter Settato in partenza manuale Disabilitato per default Windows Messenger Settato in partenza manuale Disabilitato per default Opzioni alternative : Soluzione raccomandata: riscrivere le applicazioni in modo che usino un altro metodo per comunicare con l’utente Startare Alerter o Messenger in maniera programmatica Execution Protection (NX) Caratteristiche di NX : Protezione memoria (con aiuto CPU) Le locazioni di memoria sono targate come “non-eseguibili” a meno che non contengano esplicitamente codice eseguibile Protezione da attacchi Buffer-Overrun Disponibile su buona parte delle CPU a 32 e 64 bit di Intel, Amd e Transmeta Attachment Manager di Outlook Express e Messenger Nuova e-mail con allegati Differenti azioni prese per : Allegati sicuri (.jpeg, .gif, .zip…) Allegati non sicuri (.exe, .vbs…) AES API Allegati sospetti (??...) Utente di Outlook Express Utente di Windows Messenger Blocco contenuto HTML Caratteristica del “Content Blocking” : Blocca le immagini e altro contenuto esterno nelle mail HTML Minimizza la probabilità di re-startare una connessione dial-up verso Internet, mentre si legge una mail fuori linea Web Server Utenti di Outlook Express Internet Rendere più sicuro il pc Barra delle Informazioni di Internet Explorer Prompt di installazione per gli addon di Internet Explorer Prompt di download : Nuova icona che mostra l’applicazione di default associata ad un download Nuova area delle informazioni che indica il rischio di download di un file Per gli eseguibili da scaricare viene controllato il publisher di provenienza Prompt di OE sugli allegati Controllo della firma digitale del publisher (assente, invalida, bloccata) Blocco pop-up Funzione Descrizione Pop-Up Manager Blocca i pop-up non esplicitamente richiamati dall’utente Window Restrictions Controlla i riposizionamenti delle finestre comandati da script Controlla i ridimensionamenti delle finestre comandati da script Controlla le dissolvenze delle finestre comandate da script Window Placement Governa il piazzamento e la grandezza dei pop-up, in modo che sia sempre possibile chiuderli Gestione degli Add-On AddOn Management and Crash Detection: Add-On Management Permette all’utente di vedere e controllare gli add-on caricati dal browser Browser Help Object, ActiveX, Toolbar extensions, Browser Extensions Permette di disabilitare gli add-on Permette di vedere i files che compongono un add-on Add-on crash detection Permette di rilevare un “crash” di Internet Explorer dovuto a malfunzionamenti degli add-on Se l’add-on è identificato, l’utente può scegliere di disabilitarlo, per preservare la stabilità di sistema Windows Firewall Caratteristiche di sicurezza (1) Attivo per default, sostituisce ICF Sicurezza “boot-time” (non attiva se disabilitato) Configurazione globale e tasto di restore Restrizioni sulle sottoreti locali Supporto da linea di comando Attivo senza eccezioni Lista delle eccezioni configurabile Profili multipli Supporto RPC Supporto per il setup “unattended” e per il logging Caratteristiche di sicurezza (2) Amministratori locali per configurarlo Attivo anche se ICF era disabilitato Configurabile tramite Group Policy (in dominio) Controllato dal Security Center Permette sempre traffico in uscita Blocca traffico in ingresso non sollecitato Solo “Assistenza Remota” in ingresso attiva per default Anche “Condivisione File e Stampanti” in ingresso è bloccato Riconoscimento automatico delle applicazioni Riconoscimento automatico delle connessioni secondarie EFS Encrypting File System Cos’è EFS? EFS: Fornisce crittazione dei singoli files su volumi NTFS Assicura che i dati confidenziali siano più sicuri Usa il sistema chiavi pubblica/privata Caratteristiche su Windows XP e Windows Server 2003 Utenti addizionali possono essere autorizzati alla lettura Gli “offline files” possono essere criptati Può usare l’algoritmo di crittazione 3DES I “Data Recovery Agents” (DRA) sono raccomandati, ma non obbligatori come in Windows 2000 Come lavora EFS un file è crittato per la prima volta, EFS cerca 1 Quando un certificato EFS nel “local certificate store” genera un numero casuale (FEK) da usare con un 2 EFS algoritmo (DESX, 3DES, AES) per crittare il file rileva la chiave pubblica nel certificato dell’utente 3 EFS e critta la FEK memorizza la FEK nel campo DDF allegato al file 4 EFS che si sta crittando un DRA è presente, la FEK viene crittata anche con 5 Se la sua chiave pubblica e posta in un campo DRF chi ha la corrispondente chiave privata (cioè 6 Solo utente e DRA) potrà decrittare il file Limitazioni di EFS Potenziale perdita di dati se la chiave privata è persa La chiave privata è persa, se si perde il profilo dell’utente Dipendenza dalle password degli utenti: la FEK è parzialmente derivata dalle password Il file sharing è complicato perchè le chiavi pubbliche degli utenti devono essere accessibili durante la crittazione Il traffico di rete non è sicuro : il file è crittato solo quando sta sul volume NTFS, non mentre viaggia in rete Implementare EFS stand-alone Come lavora EFS su computer in workgroup Cos’è il “Data Recovery Agent” (DRA)? Conseguenze del reset delle password locali Come disabilitare EFS su computer standalone Consigli pratici EFS su computer stand-alone Il computer genera un certificato “self-signed” per l’uso di EFS (se non già presente) Come lavora un certificato “self-signed”? Il computer locale è considerato “root CA” Anche se il certificato non è trusted, può essere usato per EFS E’ valido 100 anni!!! Non serve rinnovo… Se un pc, con file crittati mentre era stand-alone, viene messo in dominio, usa sempre il certificato locale di partenza Come crittare i files con EFS Per crittare i dati, possiamo usare: Windows Explorer La linea di comando “CIPHER” (/e per crittare, /d per decrittare Entrambi gli strumenti si utilizzano per: Crittare e decrittare files e cartelle Scegliere se crittare un singolo file, solo una cartella, oppure una cartella con tutte le sottocartelle e i files ivi contenuti n.b. : i files di sistema non si possono crittare n.b. : i files crittati, in Windows XP, sono mostrati con un colore verde Cos’è il DRA? Il Data Recovery Agent è un utente che può decrittare files che sono stati crittati da altri utenti. Windows Server 2003 e Windows XP non creano automaticamente un DRA (Windows 2000 sì…) Per implementare un DRA su computer stand-alone: 1 Usare il comando CIPHER / R per creare il certificato DRA e la sua coppia di chiavi pubblica/privata 2 Loggarsi come DRA al pc e configurarlo come DRA (si usa lo snap-in “Criteri di Protezione locali”) 3 Per decrittare i files, loggarsi come DRA e aggiungere il certificato DRA allo store locale dei certificati (si usa lo snap-in “Certificati”) Conseguenze del reset delle password locali Se una password locale è resettata, l’utente non sarà più in grado di decrittare qualunque file (a meno della presenza del DRA, che però è facoltativa in XP e 2003) Gli utenti che usano EFS su computer stand-alone dovrebbero “cambiare ordinatamente” la loro password o creare, per sicurezza, i “password-reset disks” Per recuperare i dati dopo un reset di password: Loggarsi e riportare la password indietro alla precedente originale (con un cambio password ordinato) Usare il “password-reset disk” Re-importare il certificato EFS con la chiave privata dell’utente, se precedentemente esportato Come disabilitare EFS su computer stand-alone Per default, tutti gli utenti possono usare EFS su computer stand-alone Per decrementare il rischio di dati che non si possono più recuperare, si può disabilitare EFS sui computer standalone Per disabilitare EFS: Modificare i “Criteri di Protezione Locali” Modificare il registro, andando nella sottochiave : HKLM\Software\Microsoft\WindowsNT\CurrentVersion\EFS\ Creare il valore di tipo dword “EFSConfiguration” e porlo a 1 Consigli pratici Usare pochi DRA, ed assicurarsi che siano di fiducia (in Windows 2000 è “Administrators”) E’ raccomandato implementare almeno un DRA in Windows XP e Windows Server 2003 Cancellare la chiave privata del DRA dopo la creazione e dopo ogni uso (esportazione) Configurare la crittazione a livello cartella, per assicurarsi che tutto il contenuto sia crittato Sovrascrivere i cluster de-allocati con CIPHER / W (per eliminare eventuali copie temporanee) DEMO Operazioni che si eseguiranno: Implementare EFS su un computer Windows XP stand-alone Configurare un Data Recovery Agent su un computer stand-alone EFS in dominio Benefici dell’uso di EFS in un ambiente di dominio EFS e i “Certificates Services” in un ambiente di dominio DRA in un ambiente di dominio Opzioni sugli algoritmi di crittazione Benefici di EFS in dominio Con una “Enterprise CA”, i certificati EFS sono distribuiti in automatico agli utenti quando crittano un file Il certificato utente è memorizzato nel “local certificate store” e in Active Directory Benefici di EFS : Gestione centralizzata dei DRA Gestione centralizzata dei certificati Configurazione centralizzata delle policy EFS File sharing semplificato (chiavi pubbliche degli utenti memorizzate in AD e quindi disponibili a tutti) EFS e “Certificate Services” L’integrazione di Certificate Services e EFS permette: Gestione centralizzata, scalabile e flessibile dei certificati Opzioni multiple per distribuire certificati agli utenti Auto-enrollment On-demand enrollment Enrollment manuale degli utenti La migrazione dei certificati “self-signed” locali verso certificati di CA (con il comando CIPHER /K) DRA in dominio L’amministratore che installa il primo domain controller è il DRA per l’intero dominio Si possono creare policy DRA per: Aggiungere dei Recovery Agent Cancellare i Recovery Agent (blocca EFS su computer Windows 2000) Bloccare l’uso di EFS (anche per XP/2003) Aggiungere Recovery Agent addizionali a livello dominio o Unità Organizzativa Il certificato di Recovery Agent deve essere installato sul computer per decrittare i dati (cancellarlo ogni volta a scopo di sicurezza) Algoritmi di crittazione Sistema operativo Algoritmo EFS Potenza chiave Windows Server 2003 AES 256 bit Windows XP DESX 128 bit Windows XP SP1 o successivo AES 256 bit Windows 2000 DES 56 bit Windows 2000 SP2 o succ. o con DESX “High Encryption Pack” 128 bit Per abilitare l’algoritmo 3DES sui client Windows XP, abilitare in una Group Policy il settaggio : “System Cryptography: Use FIPS compliant algorithms for encryption, hashing and signing” Il file sharing EFS Cos’è File Sharing EFS? File Sharing su server remoti Effetti della copia o spostamento di files crittati tra locazioni Cos’è il File Sharing EFS? Permette agli utenti di : Condividere files crittati con altri utenti (non possibile in Windows 2000) Avere un’altra opportunità di recuperare files crittati in caso di perdita delle chiavi Avere un’altra opzione per controllare l’accesso ai files, oltre all’uso di permissions NTFS e di share Il file sharing EFS può essere assegnato solo a utenti, non a gruppi (nessun metodo per assegnare certificati e chiavi a gruppi) Crittare files su server remoti File sharing Fatto tramite “delega di autenticazione” (possibilità che ha un server di eseguire operazioni “in favore” di un utente) Il server remoto deve essere “Trusted for Delegation” in Active Directory, se gli utenti dovranno crittare files su di esso Come ottenere la chiave privata per gli utenti Se si utilizzano profili di roaming, il profilo è scaricato sul server e il server impersonifica l’utente mentre critta files o cartelle Il server può creare un nuovo profilo per l’utente e richiedere o generare un certificato “self-signed” per crittare files o cartelle Proprietà di delega ATTIVARE IL “TRUST FOR DELEGATION” TOGLIERE IL FLAG Copia e spostamento A Cartella non crittata verso cartella crittata Sposta B File non crittato verso cartella crittata = Copia File Sharing su server remoti C Cartella crittata verso cartella non crittata Copia = = DEMO Operazioni che si eseguiranno : Abilitare il file sharing EFS locale Abilitare il file sharing EFS remoto ISA Server 2004 Agenda Introduzione a ISA Server 2004 Protezione di Exchange Server Appliances Problematiche di sicurezza A rischio La situazione • • • • 14 miliardi di pc su Internet entro il 2010 35 milioni di utenti remoti entro il 2005 65% di incremento dei siti web dinamici Gli incidenti riportati tra il 2000 e il 2002 sono aumentati da 21.756 a 82.094. Ancora maggiore l’aumento negli anni successivi… • Quasi l’80% di 445 intervistati responsabili di sicurezza aziendale dice che Internet è stato ed è tuttora un frequente punto di attacco • Il 90% delle aziende rileva brecce di sicurezza • L’85% rileva virus nei computer • Il 95% delle brecce di sicurezza è evitabile con una configurazione alternativa • Circa il 70% degli attacchi web avviene al livello applicazione Gli attacchi Application Layer Gli attacchi al livello applicazione Furto dell’identità Corruzione o manipolazione dei siti web Accesso non autorizzato alle risorse Modifica di dati e di informazioni riservate Furto di informazioni proprietarie Attacco ai servizi di rete I Firewall tradizionali Permeabili agli Attacchi avanzati Difficili da gestire Limitata capacità di crescita Code Red, Nimda Attacchi SSL-based La sicurezza è complessa Reparto IT già sovraccarico di lavoro Non facilmente aggiornabili Non scalano bene al crescere dell’attività lavorativa Introduzione a ISA Server 2004 Implementa un avanzato firewall a livello applicazione, un gestore VPN e una soluzione di caching per il web. Abilita i clienti a massimizzare gli investimenti IT migliorando le performance e la sicurezza della rete Protezione Avanzata Sicurezza a livello applicazione per proteggere le applicazioni Microsoft Facilità d’uso E’ facile implementare e gestire diversi scenari di utilizzo Accesso Sicuro e Veloce Permette di collegare gli utenti ai dati di rete in una maniera cost-efficient Se hai bisogno di… Rendere disponibile in maniera sicura la posta agli impiegati esterni Rendere disponibili in maniera sicura le applicazioni interne su Internet Abilitare i partners ad accedere ai dati aziendali Implementare un accesso remoto sicuro, proteggendo la rete interna ISA utilizza: Exchange publishing Web and Server Publishing VPN site-to-site e Firewall VPN integrata con RRAS e FW Connettere in maniera sicura le sedi distaccate alla sede centrale VPN Firewall e Caching Controllare l’accesso a Internet e proteggere i client dal traffico Internet Firewall e Web Proxy Assicurare accesso veloce al contenuto web più frequentemente usato Caching Introduzione a ISA Server 2004 Interazione del Firewall Web Server Mail Server Tipici scenari di Deployment Firewall di perimetro Publishing sicuro Sedi distaccate Accesso remoto Caching, autenticazione, VPN Soluzione di sicurezza integrata Exchange, SharePoint e IIS Topologia flessibile Connettività sicura site-to-site Sicurezza del sito remoto Policy flessibili e potenti Quarantine Control Introduzione a ISA Server 2004 Configurazione Firewall: Perimetro di rete VPN Clients Web Server Domain Controller SQL Server Mail Server Architettura di ISA 2004 Filtering a livello applicazione Web filter Policy Store Web filter Web Filter API (ISAPI) SMTP Filter Web Proxy Filter Policy Engine Filtering a livello protocollo RPC Filter DNS Filter App Filter Application Filter API 3 Firewall service User Mode 2 Kernel mode data pump: Ottimizzazione delle prestazioni Firewall Engine TCP/IP Stack Kernel Mode 4 NDIS 1 Filtering a livello pacchetto Modello di rete di ISA 2000 Zone fisse Rete interna = LAT Rete esterna = DMZ, Internet Packet filtering solo su interfacce esterne Singola policy di uscita Internet Static PF DMZ 1 ISA 2000 Sempre sotto NAT Filtering statico tra DMZ e Internet Internal Network Modello di rete di ISA 2004 Utilizzabile un qualunque numero di reti VPN vista come rete Localhost visto come rete Relazioni di NAT e/o Routing assegnabili Policy per ogni rete Packet filtering su tutte le interfacce Qualunque policy per qualunque topologia VPN Internet ISA 2004 CorpNet_1 DMZ_1 Local Host Network DMZ_n CorpNet_n Net A Filtering e Policies Panoramica sul Filtering Determina a quali pacchetti consentire il passaggio attraverso il firewall Si applica al traffico entrante e/o uscente Si filtra per protocollo, porta, o contenuto del pacchetto Permette certi tipi di traffico e nega altri tipi Application filtering Autenticazione e virus checking Dynamic packet filtering Apre le porte, al bisogno Filtering e Policies Application Filters Filtri basati sul contenuto dei pacchetti FTP Apre le porte dinamicamente Intrusion detection Attacchi al DNS Attacchi buffer overflow su POP3 SMTP Blocca spam, virus, e codice dannoso Streaming media Specifica protocolli di streaming Filtering e Policies Stateful Inspection Ispeziona la sorgente e la destinazione del traffico Conosciuto anche come “Dynamic Packet Filtering” Apre le porte in risposta alle richieste degli utenti Chiude le porte quando le comunicazioni terminano I pacchetti in uscita che richiedono specifici tipi di pacchetti in entrata sono tracciati (registrati) Solo alle repliche è permesso il “rientro” in rete Filtering e Policies Panoramica sulle policy Firewall Network rules Determinano come due reti sono connesse Firewall policy rules Access rules (regole di accesso) Publishing rules (regole di publishing) Richieste di traffico in uscita Controllano le network rules Controllano le access rules Richieste di traffico in entrata Controllano le publishing rules Controllano le Web chaining rules Il modello delle policy in ISA 2004 Regole singole e ordinate Più logico e facile da comprendere Facile da visualizzare e monitorare Struttura unica per tutte le regole Applicabile a tutti i tipi di policy Tre modelli generali di regole Access rules Server Publishing rules Web Publishing rules Le proprietà dell’application filtering sono parte integrante della regola Default System Policy Struttura generale delle regole Qualunque utente Authenticated Users Utente/Gruppo specifico Consenti Blocca Rete di destinazione IP di destinazione Sito di destinazione action on traffic from user from source to destination with conditions Protocollo Porta IP Rete sorgente IP sorgente Utente mittente •Server pubblicato •Sito web pubblicato •Schedulazione •Proprietà di filtering Regole base di ISA 2004: Protocol rules Site and Content rules Static packet filters Publishing rules Web publishing rules Selected filtering configuration Altre regole di ISA 2004: Address translation rules Web routing rules Firewall policy Configuration policy Filtering a livello applicazione Le attuali minacce ci inducono ad utilizzare un’ispezione più in profonfità Protegge gli asset di rete dagli attacchi a livello applicazione: Nimda, Slammer... Ci permette di definire una policy di sicurezza a livello applicazione molto precisa e granulare E’ la migliore protezione per le applicazioni Microsoft Dove lavora l’application filtering Filtri pre-costruiti per i più comuni protocolli HTTP, SMTP, RPC, FTP, H.323, DNS, POP3, Streaming media Implementati in maniera differente in base allo scenario di rete Estendibili tramite plug-in Microsoft e di terze parti Server Publishing Regole di Publishing Permettono l’accesso ai server interni o di perimetro dalla rete esterna Web publishing E’ richiesto un “listener” configurato HTTP o HTTPS Mail server Adatto a client RPC, POP3, SMTP Client Web OWA, OMA Server-to-server Server Publishing e VPN Mail Server Publishing - Bridging Connessioni sicure con i client Connessioni sicure con il mail server Connessioni sicure con client e server Solo connessioni standard Protezione delle VPN Il traffico in uscita dal tunnel è ispezionato Re-iniettato nello stack ed anallizzato dal motore del firewall Il traffico VPN è separato Nella rete VPN tutti gli indirizzi sono allocati agli utenti VPN Gli indirizzi IP sono dinamicamente aggiunti/rimossi Supporto per IPSec in modalità di Tunneling Fornisce connettività alle sedi collegate via VPN Strumenti semplificati per l’amministrazione Supporto per il Quarantine Utenti di quarantena messi nella rete di quarantena Indirizzi IP dinamicamente aggiunti/rimossi Agenda Introduzione a ISA Server 2004 Protezione di Exchange Server Appliances Minacce al sistema di posta Per rendere sicuro il nostro sistema di posta dobbiamo : Assicurarci che tutte le connessioni dei client di posta ai server di posta siano sicure Proteggere i server di posta dagli attacchi SMTP Prevenire che le mail dannose o non volute (spam) entrino nella nostra rete Accesso alla posta con client web Dispositivi ActiveSync Outlook Mobile Access XHTML, cHTML, HTML Exchange Front-End Server Rete Wireless ISA Server Exchange Back-End Servers Outlook Web Access Accesso alla posta con client Outlook Porta 135 e porte dinamiche Exchange Front-End Server Connessioni RPC di Outlook ISA Server Exchange Back-End Servers Porta 80 o 443 Connessioni RPC over HTTP di Outlook Accesso alla posta con client POP3, IMAP4, NNTP Porta 110 o 995, Porta 25 Exchange Front-End Server Connessioni POP3 ISA Server Exchange Back-End Servers Connessioni IMAP4 Porta 143 o 993, Porta 25 Attacchi SMTP I server SMTP possono essere vulnerabili a: Attacchi di tipo “Buffer overflow”, quando dei comandi SMTP sono spediti con più dati di ciò che è previsto dalla semantica SMTP, causando un overflow dei buffer di memoria Attacchi di tipo “Mail relay”, quando un server SMTP è usato per forwardare mail non sollecitate verso dei destinatari Attacchi di tipo “SMTP command”, dove dei comandi SMTP sono usati per compromettere il server o rubare informazioni sul server stesso, o sulle liste dei nominativi qui contenute Mail dannose e di spam Le mail di spam sono mail commerciali non sollecitate che : Consumano risorse-server e risorse di rete Riducono la produttività utente ed aumentano gli sforzi amministrativi per combatterle Possono essere filtrate con un filtro applicationlevel Le mail dannose contengono virus o worm che : Danneggiano i dati o i computer, o consumano risorse di rete e dei computer stessi Aumentano gli sforzi ed i costi amministrativi Aumentano il rischio di perdita di informazioni Come ISA 2004 protegge i Server Exchange Wizard “Mail publishing” Exchange Front-End Server Exchange Back-End Servers Accesso sicuro per i client web Accesso sicuro per i client Outlook ISA Server Filtering dello spam Filtering sui comandi SMTP Le difese di ISA Server 2004 Mail Server Wizard SMTP Application Filter Message Screener Connessioni OWA sicure Autenticazione “Forms-based” Connessioni RPC over HTTP sicure Rendere sicuro il traffico SMTP 1 Configurare i record MX sui DNS di Internet in modo che puntino a ISA Server 2 Pubblicare il server SMTP con il “Mail Server Publishing Wizard” 3 Configurare il server SMTP come client di tipo SecureNAT 4 Configurare una regola di accesso per il server SMTP interno, in modo che possa spedire mail verso Internet 5 Configurare il DNS in modo che il server SMTP interno possa risolvere i nomi su Internet DEMO: pubblicare il server SMTP interno Creare i record DNS su Internet Configurare una regola di publishing SMTP Configurare il traffico SMTP uscente Testare il flusso del traffico Gen-Web-01 Den-ISA-01 Den-Msg-01 Den-DC-01 Internet Come lavora il filtering SMTP E’… Il comando permesso? Exchange Front-End Server La lunghezza del comando permessa? Server SMTP Exchange Back-End Servers ISA Server EHLO contoso.com Mail from: [email protected] Rcpt to: [email protected] Data Come configurare il SMTP application filter Come lavora il Message Screener Installare il Message Screener IIS 6.0 con servizio SMTP E’… L’host sorgente permesso? Il dominio sorgente permesso? L’allegato permesso? La keyword bloccata? SMTP Server Exchange Back-End Servers ISA Server Message screner può cancellare subito le mail, mantenerle in una repository, o forwardarle ad un altro account di posta Implementare Message Screener 1 Installare il servizio SMTP su un server IIS 5.0 o IIS 6.0 2 Installare il Message Screener sul server IIS Configurare una regola di publishing SMTP che 3 pubblica il server SMTP che esegue il Message Screener i settaggi del Message Screener sul filtro 4 Configurare SMTP DEMO: implementare il Message Screener Installare il servizio SMTP sul server ISA Installare il Message Screener Configurare il Message Screener Testare il Message Screener Gen-Web-01 Den-ISA-01 Den-Msg-01 Den-DC-01 Internet Connessioni OWA sicure con ISA Server 2004 Mail Publishing Wizard per pubblicare i server OWA Exchange Front-End Server Usare autenticazione “forms-based” per avere logon utente più sicuro Client OWA Exchange Back-End Servers ISA Server Configurare il blocco degli allegati Configurazione di OWA sicuro Installare un certificato digitale sul server OWA e 1 configurare IIS ad obbligare connessioni SSL verso le virtual directories di OWA 2 Usare il “Mail Server Publishing Wizard” per pubblicare il server OWA Configurare la modalità “bridging”. Per massima 3 sicurezza, rendere sicure le connesioni dai client a ISA e da ISA al server OWA Configurare un “Web listener” per il publishing di 4 OWA. Scegliere l’autenticazione “forms-based” e SSL per il Web Listener Autenticazione Forms-based DEMO : connessioni OWA sicure Installare un certificato sul server OWA Configurare IIS a richiedere SSL sulle virtual directories usate da OWA Configurare una regola di publishing di OWA Testare la regola Gen-Web-01 Den-ISA-01 Den-Msg-01 Den-DC-01 Internet RPC over HTTP RPC over HTTP richiede: Exchange Server 2003 in esecuzione su Windows Server 2003, e i Global Catalog Windows Server 2003 Outlook 2003 in esecuzione su Windows XP SP1 o successivi Un server Windows Server 2003 che esegua il servizio “RPC proxy server” (tipicamente il server Exchange di Front-End, ma anche altri) Un profilo modificato di Outlook, che si connetta ad Exchange utilizzando HTTPS Configurare RPC over HTTP Per abilitare RPC over HTTP, pubblicare la virtual directory /rpc/* DEMO : RPC over HTTP Demo 1: abilitare le connessioni RPC over HTTP Demo 2: Configurare l’autenticazione Forms-Based per le connesisoni OWA Den-Clt-01 Den-ISA-01 Den-Msg-01 Den-DC-01 Internet Agenda Introduzione a ISA Server 2004 Protezione di Exchange Server ISA Server 2004 Appliances ISA Server 2004 Appliances Microsoft collabora con gli OEMs per integrare ISA 2004 in soluzioni hardware Celestix Networks Corrent HP Network Engines Otto Security and Software Technologie Pyramid Computer Wortmann AG http://www.microsoft.com/isaserver/hardware/default.mspx La sicurezza delle reti Wireless Agenda Rendere sicura una rete wireless Lo standard di autenticazione 802.1X Componenti necessari per una soluzione wireless sicura Possibili scenari di configurazione Progettazione della configurazione ottimale dei componenti Perchè rete wireless sicura? Quando si progetta la sicurezza per una rete wireless, considerare : Soluzioni sicure di autenticazione e autorizzazione Protezione dei dati Configurazione sicura dei Wireless Access Point Configurazione e gestione sicura dell’infrastruttura Minacce alle reti wireless Rilevamento e furto di informazioni confidenziali (eavesdropping) Accesso non autorizzato ai dati (intercettazioni e modifiche) Impersonificazione di un client autorizzato (spoofing, vengono utilizzati strumenti per “captare” SSID di rete e validi MAC dei client) Interruzione del servizio wireless (attacchi DoS agli access point) Accesso non autorizzato a Internet (usare le reti wireless circostanti per collegarsi a Internet in maniera fraudolenta) Minacce accidentali (chi non ha intenzione di collegarsi a rete wireless, ma il suo pc lo fa involontariamente captando il segnale wireless) Setup di reti “home-wireless” non sicure (chi porta il proprio portatile a casa, e lì lo connette ad una rete wireless non sicura, con rischio di furto dei dati o entrata di worm e virus nel portatile) Implementazioni di WLAN non autorizzate (chi ha troppi diritti in rete e si diletta nel creare reti wireless mal-configurate) Gli standard wireless Standard 802.11 802.11a 802.11b 802.11g 802.11i Descrizione Specifica base che definisce i concetti di trasmissione per le reti wireless Velocità di trasmissione fino a 54 Mbps Range di frequenza 5 Ghz Ottima velocità, poche interferenze, non compatibile Velocità di trasmissione fino a 11 Mbps Range di frequenza 2,4 Ghz Minor velocità, possibili interferenze, basso costo Velocità di trasmissione fino a 54 Mbps Range di frequenza 2,4 Ghz Ottima velocità, possibili interferenze, compatibile .11b Stabilisce processi standard di autenticazione e crittazione sulle reti wireless 802.1X - uno standard che definisce un meccanismo di controllo delle autenticazioni e degli accessi ad una rete e, come opzione, definisce un meccanismo di gestione delle chiavi usate per proteggere il traffico Confidenzialità con WEP Protocollo 802.11 progettato per dare sicurezza ai dati in transito su reti wireless (…ma poco sicuro!!!) Fornisce le seguenti caratteristiche crittografiche: Crittazione dei dati Integrità dei dati Oggi si usano 2 standard WEP : Static WEP: difficile da gestire e facilmente perforabile con strumenti di attacco liberamente disponibili Dynamic WEP: miglior sicurezza dello static WEP, ma da usare solo come soluzione temporanea prima di implementare WPA o WPA2 Confidenzialità con WPA WPA e WPA2 forniscono le seguenti caratteristiche crittografiche: Crittazione dei dati, usati con gli standard di autenticazione 802.1X Integrità dei dati Protezione da attacchi di tipo “replay” Operano a livello MAC (Media Access Control) Autenticazione 802.1X Opzioni di autenticazione Scegliere la soluzione migliore Come lavora 802.1X con PEAP e password Come lavora 802.1X con i certificati Requisiti client, server e hardware per implementare 802.1X Opzioni di autenticazione Protected Extensible Authentication Protocol (PEAP) con le password (802.1X con PEAP-MS-CHAPv2) Certificate Services (802.1X con EAP-TLS) Wi-Fi Protected Access con chiavi pre-condivise (WPA-PSK) La soluzione appropriata Soluzione wireless Wi-Fi Protected Access con PreShared Keys (WPA-PSK) PEAP + password (PEAP-MSCHAPv2) Certificati (EAPTLS) Ambiente tipico Componenti di infrastruttura addizionali richiesti? Certificati usati per l’autenticazione dei client Password usate per l’autenticazione dei client Metodo tipico di crittazione dei dati WPA Small Office/Home Office (SOHO) Nessuno NO SI Usa la chiave di crittazione WPA per l’autenticazione alla rete Piccole/medie aziende Internet Authentication Services (IAS) Certificato richiesto per il server IAS NO (ma almeno un certificato deve essere rilasciato per validare il server IAS) SI WPA o chiave WEP dinamica Aziende medio/grandi Internet Authentication Services (IAS) Servizi Certificati SI NO (possibilita’ di modifica, inserendo la richiesta di password) WPA o chiave WEP dinamica Come lavora 802.1X con PEAP e password Wireless Access Point Wireless Client 1 RADIUS (IAS) Client Connect 2 Client Authentication Server Authentication Mutual Key Determination 3 Key Distribution 4 WLAN Encryption Authorization 5 Internal Network Come lavora 802.1X con EAP-TLS Wireless Client 1 Certification Authority Certificate Enrollment 2 Client Authentication Wireless Access Point Server Authentication RADIUS (IAS) Mutual Key Determination 4 Key Distribution 5 Authorization WLAN Encryption 3 6 Internal Network Requisiti per 802.1X Componenti Client computers Requisiti Il client 802.1X è disponibile per Windows 95, Windows 98, Windows NT 4.0, e Windows 2000 802.1X è supportato per default da Windows XP e da Windows Server 2003 RADIUS/IAS e server certificati Necessari Wireless access points Devono almeno suppoprtare 802.1X e WEP a 128 bit per la crittazione Infrastruttura Active Directory, DNS, DHCP Potrebbero anche non essere Microsoft Componenti richiesti per 802.1X con PEAP-MS-CHAPv2 Componenti Descrizione Wireless Client Deve avere una scheda wireless che supporti 802.1X e dynamic WEP o WPA Gli account di utenti e computer devono essere creati nel dominio Wireless Access Point Deve supportare 802.1X e dynamic WEP o WPA L’access point e il server RADIUS avranno una shared secret per autenticarsi l’un con l’altro Deve usare Active Directory per verificare le credenziali dei client WLAN RADIUS/IAS Server Può prendere decisioni sulle autorizzazioni in base alle Remote Access Policy configurate Può eseguire accounting e auditing Deve avere un certificato installato per essere autenticato dai client (server authentication) Componenti richiesti per 802.1X con EAP-TLS Componenti Descrizione Wireless Client Deve avere una scheda wireless che supporti 802.1X e dynamic WEP o WPA Certificati per ogni utente wireless e per ogni computer con scheda wireless installati sui client wireless Wireless Access Point Deve supportare 802.1X e dynamic WEP o WPA L’access point e il server RADIUS avranno una shared secret per autenticarsi l’un con l’altro Servizi Certificati Intera infrastruttura PKI con una Certification Authority o una gerarchia di Certification Authority, e procedure di auto-enrollment dei certificati RADIUS/IAS Server Deve usare Active Directory per verificare le credenziali dei client WLAN Può prende decisioni sulle autorizzazioni in base alle Remote Access Policy configurate Deve avere un certificato installato per essere autenticato dai client (server authentication) Progettare la PKI Define l’infrastruttura di Certification Authority Singola CA o più livelli di CA (Root, Intermediate, Issuing) a seconda delle dimensioni dell’azienda Definire quali tipi di certificato utilizzare e il loro rilascio Certificati a scopo autenticazione, da rilasciare sia ai computer che agli utenti Configurare l’auto-enrollment per entrambi (via Group Policy) Configurare la validità e la lunghezza della chiave Configurare le procedure di rinnovo Configurare la pubblicazione delle CRL Configurare procedure di backup per le chiavi private Pubblicare nei client il certificato con la chiave pubblica della CA che ha rilasciato il certificato al server IAS (via Group Policy o script) Implementare RADIUS (IAS) Installare il servizio IAS Su un domain controller o su un server membro dedicato Registrare il servizio in Active Directory comando “netsh ras add registeredserver” Installare un certificato sul server IAS Usare un livello funzionale del dominio almeno “nativo” Windows 2000 native mode (se AD 2000) Windows 2000 native o Windows Server 2003 (se AD 2003) Per il completo supporto dei gruppi universali e di EAP-TLS Configurare gli Access Point Nella console IAS, configurare ogni Access Point come client RADIUS Configurare ogni access point ad usare il server IAS per le autenticazioni Configurare uno shared secret tra IAS e access point Configurare il SSID e il “SSID broadcast” Utilizzare metodi sicuri per amministrare remotamente gli access point (HTTP con SSL, SSH, TLS) Configurare le Remote Access Policy su IAS Configurare le “Conditions” “NAS-Port-Type” impostato su “Wireless 802.11 Configurare eventuali restrizioni di gruppo e/o orarie Configurare le “Permissions” Tipicamente impostare su “Grant access” Configurare il “Profile” Inserire controlli che verifichino che effettivamente i client wireless utilizzino i metodi previsti per le autenticazioni Controllare l’accesso WLAN con i gruppi di sicurezza IAS permette di controllare l’accesso alla rete wireless usando i gruppi di sicurezza di Active Directory, “linkati” a specifiche remote access policy Esempi di gruppo Membri del gruppo Accesso wireless Utenti wireless Computer wireless Utenti wireless {utenti che lavorano su pc wireless} Computer wireless {computer che hanno una scheda di rete wireless} Configurare i client wireless Tramite Group Policy E’ opportuno mettere i client wireless in una apposita OU e linkare una GPO con i settaggi voluti La GPO può contenere le “Wireless Network Policy” che permettono di configurare tutti i settaggi configurabili localmente nelle proprietà di rete di ogni client wireless Sono Windows XP e Windows Server 2003 possono ricevere settaggi wireless dalle group policy Localmente, client per client Settaggi principali : Wireless Network Key Network Authentication (Open, Shared, WPA, WPA-PSK) Data Encryption (WEP, TKIP, AES) 802.1X (flag) “The key is provided automatically” (check box) N.B. : solo Windows XP SP2 e Windows Server 2003 SP1 hanno WPA attiva per default. Su sistemi operativi precedenti, bisogna installare il client WPA (scaricabile da Internet) Informazioni aggiuntive Dove trovare risorse: Securing Wireless LANs with Certificate Services http://go.microsoft.com/fwlink/?LinkId=14843 Security Wireless LANs with PEAP and Passwords http://www.microsoft.com/technet/security/topics/cryptographyetc/ peap_0.mspx Security Guidance Center: http://www.microsoft.com/italy/security/guidance/default.mspx Ultime novità sul wireless in Windows XP SP2 e Windows server 2003 Release 2 http://www.microsoft.com/windowsserver2003/technologies/ networking/wifi/default.mspx Principali caratterisitche di sicurezza Agenda UAP (User Account Protection) Parental Control Internet Explorer 7.0 Protezione dai virus Windows Service Hardening Network Access Protection Firewall Avvio sicuro User Account Protection E’ molto frequente lavorare sui propri pc come amministratori Ci consente usabilità Non ci consente sicurezza Virus, worm e spyware penetrano nelle macchine e usano questi privilegi amministrativi Chi ha troppi diritti, può fare “troppi danni”… Anche diverse applicazioni richiedono diritti di Administrator o di Power User Anche molte operazioni di gestione del sistema operativo li richiedono Cosa fa UAP… Abilita gli utenti ad eseguire operazioni come non-administrator Solo l’utente built-in “Administrator” avrà sempre pieni poteri amministrativi Qualunque altro utente, anche facente parte del gruppo “Administrators”, avrà inizialmente poteri limitati Se deve eseguire operazioni comuni, userà questi suoi diritti limitati Se deve eseguire operazioni amministrative, dovrà effettuare un’elevazione dei suoi privilegi In Windows Vista Beta1, UAP non è abilitato per default. Nella Beta2 sarà attivo. Come funziona UAP Per utenti del gruppo “Users” Ogni volta che devono eseguire operazioni amministrative, sono richieste le credenziali di un utente amministrativo (come prima, ma senza obbligo di richiamare “Run as”) Per utenti di un gruppo amministrativo Al logon vengono dotati di uno “split-token” Possiedono ora 2 tipi di credenziali : amministrative e comuni. Quelle comuni sono utilizzate per tutte le operazioni comuni (browser, posta, ecc…) Per eseguire task amministrativi, un prompt chiede all’utente di confermare le credenziali di admin Per maggior scorrevolezza, è anche possibile far apparire il prompt, senza richiesta di re-immettere la password Protezione delle applicazioni (1) Durante l’installazione Windows Vista rileva ogni tentativo di lanciare un Setup Installer Il prompt chiede la conferma amministrativa Dopo l’installazione Vecchie applicazioni non funzionano correttamente se non si è amministratori Motivo : cercano di scrivere in parti di registro o in cartelle di solito accessibili solo agli amministratori Vista “virtualizza” queste parti di registro o cartelle e le trascrive in parti accessibili agli utenti standard (HKCU e per-user store) Protezione delle applicazioni (2) Le vecchie applicazioni funzionano ora anche con diritti di standard user UAP è da considerarsi come tecnologia di transizione Gli sviluppatori sono tenuti a scrivere codice compatibile con Windows Vista Usare tecnologia Windows Installer Fare testing come “non-administrator” Operazioni amministrative solo in installazione Operazioni user in esecuzione Esecuzione delle applicazioni E’ sempre possibile indicare manualmente ad una applicazione di essere eseguita con privilegi elevati (“Run elevated”) E’ possibile anche indicare ad una applicazione di essere eseguita SEMPRE con privilegi elevati (è il tab “Compatibility” nelle proprietà dell’eseguibile) Pulsante “Unlock” per alcuni strumenti del Pannello di Controllo Parental Control Garantisce un uso “corretto” del pc ai propri figli Limita quando e per quanto un figlio può utilizzare il computer Limita quali siti web un figlio può visitare Limita quali programmi un figlio può eseguire Restringe l’accesso ad alcuni giochi Esegue report dettagliati sull’utilizzo del computer da parte dei figli Internet Explorer 7.0 Basato su UAP Esegue in modalità read-only (eccetto “File Temporanei Internet” e “Cronologia) Malware penetrato da Internet non può eseguire operazioni dannose Gli Add-on possono essere installati solo col permesso dell’utente Possibilità di cancellare tutta la cache e i controlli ActiveX con un solo clic Filtro anti-phishing integrato Altre caratteristiche di IE7 Avvisa sempre l’utente quando inserisce dati in un sito non protetto SSL/TLS Viene evidenziata la barra degli indirizzi se si è connessi ad un sito sicuro “Tab browsing” integrato in RTM Evidenzia il nome di dominio se questo è un indirizzo IP o contiene caratteri speciali IDN per gli URL con caratteri multilingua Zoom delle pagine web senza perdere qualità SSLv3 e TLSv1 per la crittazione IE6 in esecuzione come Admin Accesso come Admin Installa un driver, Avvia Windows Update Exploit possono installare MALWARE IE6 HKLM Program Files Accesso come User Modifica impostazioni, Download di immagini HKCU My Documents Exploit possono installare MALWARE Startup Folder Temp Internet Files Cache dei contenuti File e impostazioni non fidati IE7 in Protected Mode Broker Process Integrity Control IE7 in Protected Mode Compat Redirector Accesso come Admin Installa un driver, Installa un controllo ActiveX Modifica delle impostazioni, Salva immagini Impostazioni e file rediretti Contenuti in cache HKLM HKCC Program Files Accesso come User HKCU My Documents Startup Folder Temp Internet Files File e impostazioni non fidati Protezione dai virus Agente integrato che opera in due fasi: Durante l’aggiornamento da XP a Vista, verifica i file esistenti su disco alla ricerca di virus (usa un database standard delle signature) Dopo l’installazione periodicamente Windows Vista scarica nuovi database delle signature da Windows Update Windows Service Hardening Impedisce ai servizi Windows critici di eseguire attività dannose nel registro, nel file system o in rete Es. RPC bloccato nel modificare il registro Ad ogni servizio sono associati un SID e un profilo che consentono o negano operazioni locali o di rete Serve a bloccare i tentativi dei codici maligni di costringere i servizi di sistema a eseguire operazioni dannose E’ ora difficile che software maligni si propaghino da pc a pc Network Access Protection Agente che impedisce a un client di connettersi alla rete interna se non dispone di ultime patch e antivirus aggiornato Dipende dalle caratteristiche dell’infrastruttura server circostante (Longhorn Server) Si applica a tecnologie DHCP, VPN, IEEE 802.1x, IPSec Serve a impedire che computer non protetti si connettano alla rete interna, diffondendo worm o virus Per informazioni sulla tecnologia http://www.microsoft.com/technet/itsolutions/network/nap/naparch.mspx Firewall Basato sul firewall di Windows XP SP2 Filtri per il traffico in uscita Configurabile tramite Group Policy Configurabile tramite linea di comando Avvio sicuro Situazione attuale Tanti programmi di cracking delle password Attacchi off-line alle chiavi di sistema Attacchi ai protocolli di sicurezza Furto o perdita di pc o dischi rigidi Compromissione dei file criptati Difficoltà ad eliminare completamente dati sensibili dai dischi (numerosi tools di analisi e recupero) Soluzioni di Windows Vista TPM (Trusted Platform Module), metodo di sicurezza hardware-based Microchip installato su motherboard Protegge da attacchi software, non da operazioni di utenti riconosciuti Memorizza in maniera sicura tutte le chiavi di crittografia, password e certificati Evita accessi al disco (in caso di furto) Evita accessi ai dati da sistemi operativi diversi Struttura del disco Le partizioni criptate dell’OS contengono: • OS crittato • Page file crittato • File temporanei criptati • Dati criptati • File di ibernazione crittato La System Partition contiene utility per il boot (non criptate, 50MB) MBR Valore del Full Volume Encryption La crittazione del file di ibernazione protegge dall’ibernazione di portatili con documenti sensibili aperti La Full Volume Encryption aumenta la sicurezza di tutte le chiave di registry, file di configurazione, file di paginazione e ibernazione presenti sul disco crittato La semplice distruzione della chiave consente la dismissione sicura degli asset aziendali Scenari di ripristino La chiave principale di crittazione, a scelta, è memorizzabile su supporti esterni o in AD, per successivo richiamo Scenario di ripristino dopo rottura dell’hardware È possibile spostare il disco dal portatile rotto al nuovo portatile Scenario di ripristino dopo attacco Cambiamento/cancellazione dei file del Boot Loader Ripristino dell’avvio sicuro Accesso alla rete via AD Abilitazione della funzione Secure Startup Recovery Key Deposito della chiave per esempio via AD L’utente rompe il computer x HD della macchina rotta inserito nella nuova macchina x Alert: Secure Startup Recovery Secure Startup Recovery has failed. Please enter your Secure Startup Recovery Key. **** **** **** **** You will not be able to start up your computer nor access your data. Your hard drive will remain encrypted until you can provide either the recovery media or your recovery key. Ok Cancel Close SysAdmin sblocca e fornisce la chiave utente dopo aver verificato le credenziali x Secure Startup Recovery Mode You have successfully recovered your data. The recovery process is complete. Close Utente chiama SysAdmin EFS e FVE Partner nella protezione EFS Fornisce sicurezza nel contesto utente Migliorato in Windows Vista per incrementare la sicurezza fornita all’utente (smartcards) Non misura l’integrità dei singoli componenti del processo di boot Non fornisce protezione offline per l’OS, file temporanei, file di swap e di ibernazione FVE Fornisce sicurezza nel contesto macchina – pensato per proteggere l’OS Protegge tutti i settori sul volume di installazione di Windows, inclusi i file temporanei, i file di swap e ibernazione. Non fornisce sicurezza a livello utente © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.