Le nuove funzioni relative alla
sicurezza di Windows XP SP2.
Fabrizio Grossi
Agenda
• Windows XP SP2
– Installazione
– Configurazione
• Patch Management
• Strumenti di Patch Management
Un sistema più sicuro
• Obiettivo: ridurre le vulnerabilità di protezione del
sistema operativo.
• Contribuisce a ridurre l'esposizione ai più comuni
rischi di attacco in base a quattro principi:
–
–
–
–
protezione della rete
protezione della memoria
gestione più efficiente dei messaggi e-mail
maggiore sicurezza durante la connessione a Internet.
Preparazione all’installazione del SP2
• Eseguite un backup
• Attivate la System Restore (KB835409)
• Rimuovete gli spyware
– Gli Spyware sono connessi al registry e a vari
system files.
– SP 2 rimpiazza la maggior parte dei system files.
– Si rischia di perdere la connettività di rete
• WinsockXPFix.exe.
• Aggiornate i Device Driver
Driver di periferica noti per essere la
causa di instabilità in Windows XP SP 2
• Funzionalità di protezione dei driver:
– Protegge la stabilità del sistema operativo
– Evita che vengano caricati driver noti per causare
problemi di stabilità.
– DB in Windows XP: Driver Protection List
• Modificabile via Windows Update
– Funzionalità sempre attiva:
• durante gli aggiornamenti del sistema operativo
• in fase di runtime
– Per la funzionalità di protezione dei driver non è prevista
la disattivazione da parte degli utenti finali.
– Driver noti nell’articolo 883775
Protezione della rete
• Windows Firewall (ICF) attivato per impostazione
predefinita per tutte le interfacce di rete
• Attivato nelle prime fasi del Boot, prima che lo
stack di rete sia completamente abilitato
• Disattivato nelle ultime fasi del ciclo di arresto,
una volta disabilitato lo stack di rete.
• Gestibile via:
– Group Policy
– Netsh
Servizio RPC (Remote Procedure Call)
• Meno vulnerabile agli attacchi esterni
• Nuovi livelli di autorizzazioni per controllare
i server RPC bloccati, esposti solo alla
subnet locale, esposti all'intera rete.
• Windows Firewall
– Supporta queste autorizzazioni
– Limitare l'apertura delle porte dai server RPC
specificati, in base al contesto di protezione in
cui vengono eseguiti.
Risoluzione dei problemi relativi alla
configurazione di Windows Firewall
• Programmi client non ricevono dati da un server:
– Un client FTP
– Software di flusso multimediale
– Notifiche di ricezione della posta
• Programmi server eseguiti sul computer non rispondono
alle richieste dei client.
– Un server Web quale Internet Information Services (IIS)
– Desktop remoto
– Condivisione file
• Soluzioni
– Sblocco del programma nell’Avviso di Protezione
– Creazione di un’eccezione programma
– Creazione di un’eccezione di porta
• Articolo 842242 contiene l’elenco di alcuni programmi che
possono richiedere l’aperture di porte nel firewall
Demo
• Uso di netstat per individuare che porte usa
un’applicazione
• Creazione di eccezioni di porta tramite l’interfaccia
di Windows Firewall e creazione di programma
tramite Avviso di Protezione o tramite interfaccia
Windows Firewall
• Uso dei file di log per individuare il programma
bloccato
• Come gestire il firewall:
– Group Policy
– Netsh
Blocco esecuzione programmi
• Viene visualizzato un messaggio di errore di
"Protezione esecuzione programmi" in
Windows XP Service Pack 2
• EventType:BEX
• E’ possibile:
– Autorizzare il programma
– Aggiungere un’eccezione in Protezione
esecuzione programmi
Nuova versione di Outlook Express
• Può bloccare immagini e altri contenuti esterni
nei messaggi HTML
• Può segnalare se altre applicazioni tentano di
inviare messaggi
• Per default, la posta HTML è soggetta alle regole
dell'area Siti con restrizioni.
• E’ coordinato con il nuovo servizio di esecuzione
delle applicazioni:
– Gli utenti possono leggere o visualizzare in anteprima
tutti i messaggi in modalità testo
– Evitati i contenuti HTML potenzialmente non sicuri.
– Vale anche per MSN e Windows Messenger
Nuova versione di Internet Explorer
• Gestisce i componenti aggiuntivi e rileva i relativi
malfunzionamenti
• Controlla se è consentita o meno l'esecuzione a
livello binario
• Applica agli oggetti URL le stesse restrizioni
applicate ai controlli ActiveX.
• Internet Explorer controlla in modo più preciso
l'esecuzione di tutti i contenuti
• Limita le capacità dell'area Computer locale
– blocca gli attacchi che tentano di utilizzare contenuti
locali per eseguire codice HTML dannoso.
– IE richiede che tutte le informazioni sul tipo di file
fornite dai server Web siano coerenti,
Nuova versione di Internet Explorer
• Impedisce l'accesso agli oggetti basati su script
memorizzati nella cache:
• Alle pagine HTML è consentito solo di elaborare
script per i propri oggetti.
– Disattiva gli script in ascolto di eventi o contenuti in
altri frame.
• Funzionalità blocco dei popup.
• Può bloccare:
– Tutto il contenuto firmato proveniente da un autore
non attendibile
– Tutto il codice con firme digitali non valide
• Impedisce agli script di spostare o
ridimensionare le finestre, nascondere le barre di
stato o coprire altre finestre.
Risoluzione dei problemi di accesso a pagine
Web protette con IE 6 Service Pack 2
• Dopo l'aggiornamento a IE 6.0 SP 2 è possibile che alcune
pagine protette con SSL (128 bit) non funzionino correttamente.
• Soluzioni:
– Eliminazione del contenuto della cartella dei file temporanei Internet
(Cookie, file e cronologia)
– Aggiungere tutti i siti Web protetti con SSL (128 Bit) all'area Siti
attendibili
– Reimpostare i valori predefiniti per le Aree di protezione
– Cancellare lo stato della cache SSL (Secure Sockets Layer) e la
cronologia Completamento automatico
– Verificare che Internet Explorer sia configurato per l'utilizzo di SSL 2.0 e
SSL 3.0
– Registrazione ripetuta di file DLL
• È possibile che alcuni file DLL di base di Internet Explorer
non vengano registrati correttamente. Per forzare la
registrazione:
• C:\Programmi\Internet Explorer\iexplore.exe /rereg
Controllo dei componenti aggiuntivi di IE
con Gestione componenti aggiuntivi
• Offrono funzionalità diversa con cui rendere un po' più
divertente o efficiente l'esplorazione del browser
• La maggior parte richiedono il consenso dell'utente per
scaricarli nel computer.
• Alcuni possono essere scaricati a insaputa dell'utente.
– Per Esempio sono stati autorizzati tutti i download da un sito Web
– il componente aggiuntivo fa parte di un altro programma installato
dall'utente.
• Alcuni componenti aggiuntivi non richiedono alcun
consenso da parte dell'utente.
• E’ possibile gestirli con IE 6
Controllo file di sistema
• Strumento Controllo file di sistema per
controllare tutti i file protetti da Protezione file
Windows (sfc /scannow):
– Scandisce e verifica le versioni di tutti i file di
sistema protetti da Protezione file Windows.
– Se rileva un file sovrascritto, recupera la
versione corretta (dalla Dllcache o dai file di
installazione di Windows XP)
– Il file non corretto viene sostituito
Security Center
• Segnala:
– Se manca l’antivirus
– Se le definizioni dei virus non sono recenti
– Se vengono ignorati aggiornamenti critici
– Se viene disattivato il firewall.
• Gli avvisi sono disattivbili.
Implicazioni dei miglioramenti 1/2
• Quasi tutti i miglioramenti evitano qualsiasi
impatto sull'esperienza utente.
• Vi sono aree in cui sarà necessario
effettuare alcune modifiche per mantenere le
funzionalità senza compromettere la
protezione.
– ICF: popup di avviso per applicazioni server
verso Internet.
– Si può concedere l’autorizzazione e revocarla in
seguito
Implicazioni dei miglioramenti 2/2
• Rivedere le applicazioni distribuite che utilizzano
RPC o DCOM.
– Potrebbe essere necessario applicare patch
agli strumenti di sviluppo e concedere loro le
autorizzazioni di Windows Firewall per assicurare il
funzionamento del debug remoto.
• Modificare l'utilizzo dei controlli ActiveX
– Pagine Web eseguite localmente che includono
contenuto attivo potrebbe essere necessaria
l'aggiunta di una riga supplementare con la "firma".
Agenda
• Windows XP SP2
– Installazione
– Configurazione
• Patch Management
• Strumenti di Patch Management
Dimenticare Windows NT Server 4.0
1996
2002 2003
Supporto standard
Supporto
esteso
2004
Solo
Security
patch
Fine supporto
Perchè:
 Non si gestisce in modalità remota
 Necessita di un server per ogni servizio/workload
 Fuori standard per il DLG 196/03 (codice sulla privacy)
 Pochi strumenti di gestione disponibili
 Nessuno strumento di collaboration integrato
 Difficile da utilizzare con sistemi di storage
Cronologia delle minacce
Segnalazione Sviluppo
vulnerabilità
patch
Rilascio bollettino
sulla sicurezza e patch
Decodifica
patch
Nessuna
minaccia
Creazione
worm/virus
Nessuna
minaccia
Nessuna
minaccia
Solo
Microsoft
e la parte
segnalante
sono a
conoscenza
della
vulnerabilità
Solo
Vulnerabilità Informazioni
Microsoft
di dominio
per lo
e la parte
pubblico ma sfruttamento
segnalante
informazioni disponibili ma
sono a
per sfruttarla virus/worm
conoscenza non disponibili
non
della
disponibile
vulnerabilità
Corsa contro il tempo
per proteggere e dotare
di patch i sistemi prima
dell'attacco
Nessuna
minaccia
Diffusione
worm/virus
Nessuna
minaccia
Minaccia
Virus/worm
disponibile
ma non
diffuso
Virus/worm
diffuso;
sistemi non
protetti/privi
di patch
infettati
Scelta di una soluzione di gestione
delle patch
Tipo di cliente
Consumatore
Piccola impresa
Media o grande
impresa
Scenario
Scelte del
cliente
Tutti gli scenari
Windows
Update
Nessun server Windows
Windows
Update
Da uno a tre server Windows e un
amministratore IT
SUS
Desidera una soluzione di gestione delle patch
con livello base di controllo che aggiorni
Windows 2000 e le versioni più recenti
di Windows
SUS
Desidera una soluzione unica di gestione delle
patch con livello esteso di controllo su patch
e aggiornamento e distribuzione di tutti
i software
SMS
Soluzione di gestione delle patch
Tipo di cliente
Scenario
Scelte del cliente
Piccola
impresa
Da uno a tre server Windows e un
amministratore IT
SUS
Media o
grande
impresa
Desidera una soluzione di gestione delle
patch con livello base di controllo con
aggiornamento di Windows 2000 a versioni
più recenti
SUS
• La soluzione di gestione delle patch include:
– MBSA
– Software Update Services (SUS)
Vantaggi di SUS
• Controllo della gestione di patch
e aggiornamenti per gli amministratori
– Compatibilità con i criteri di gruppo* per impedire
l'installazione di aggiornamenti di Windows Update non
approvati
– Possibilità di gestione temporanea e test prima
dell'installazione
• Semplificazione e automazione degli aspetti chiave
del processo di gestione delle patch
• Aggiornamento dei sistemi supportati più agevole e
riduzione dei rischi di protezione
Nota: l'utilizzo di SUS non richiede
l'implementazione
di Active Directory o Criteri di gruppo.
Funzionamento di SUS
1.
Il server SUS scarica
gli aggiornamenti
2.
L'amministratore rivede,
valuta e approva gli
aggiornamenti
3.
Approvazioni e aggiornamenti
vengono sincronizzati con
i server SUS figlio
4.
AU ottiene l'elenco degli
aggiornamenti approvati
dal server SUS
5.
AU scarica gli aggiornamenti
approvati dal server SUS o
Windows Update
6.
AU avvisa l'utente della
disponibilità di aggiornamenti
o li installa automaticamente
7.
AU registra la cronologia
di installazione
Servizio
Windows
Update
Servizio
Windows
Update
Firewall
Limitazioni della
larghezza di banda
Server
SUS figlio
Server
SUS padre
Limitazioni
dellalarghezza
di banda
Server
SUS figlio
Limitazioni
della
larghezza
di banda
Componente clienti di SUS
• Il client di SUS è Aggiornamenti automatici
– È configurabile in modo centralizzato per ottenere
aggiornamenti dal server aziendale SUS o dal servizio
Windows Update
– Con il controllo dell'amministratore, può scaricare e
installare patch automaticamente
– Consolida più riavvii in un solo riavvio
al momento dell'installazione di più patch
– È compreso in Windows 2000 SP3,
Windows XP SP1 e Windows Server 2003
– È localizzato in 24 lingue
Facilità di manutenzione
• Windows XP Service Pack 2 include
Aggiornamenti automatici versione 5.
• Opzione di installazione rapida che consente di
scaricare rapidamente solo gli aggiornamenti
critici e di protezione necessari,
• Security Center:
– Posizione centrale, interfaccia grafica di facile utilizzo.
• Windows Installer 3.0
– "compressione delta".
– consente di evitare di scaricare patch non necessarie,
permette di rimuoverle in modo affidabile.
Forzare l’aggiornamento
• Di Default l’Automatic Update client verifica il SUS
Server ogni 17 - 22 ore per vedere se ci sono
update approvate.
• E’ possibile forzare questo processo:
– Stop il servizio "Automatic Updates"
– Verificate la chiave di registry "AUState“ sia 2
• HKLM\Software\Microsoft\Windows\CurrentVersion\WindowsUpd
ate\Auto Update\
– Cancellate la chiave di registry "LastWaitTimeout":
• HKLM\Software\Microsoft\Windows\CurrentVersion\WindowsUpd
ate\Auto Update\
– Avviate il servizio "Automatic Updates".
Considerazioni su SUS
• Supporta solo aggiornamenti per Windows 2000 o
sistemi operativi superiori
• Non prevede la distribuzione di patch verso computer
specifici (targeting)
• Il client SUS deve essere configurato per il pull degli
aggiornamenti dal server SUS
• Registrazione dello stato di installazione
centralizzato su server Web, ma assenza
di report predefiniti
• È possibile utilizzare più server SUS per rendere
disponibili diversi set di aggiornamenti approvati a
gruppi di computer client
Soluzione di gestione delle patch
Tipo di cliente
Media o
grande
impresa
Scenario
Scelte del cliente
Desidera una soluzione unica di gestione
delle patch con livello esteso di controllo su
patch e aggiornamento e distribuzione di
tutti i software
SMS
• La soluzione di gestione delle patch include:
– SMS 2003
Oppure
SMS 2.0 con SUS Feature Pack
Vantaggi di SMS
• Fornisce agli amministratori il controllo sulla gestione delle
patch
– Gestione temporanea e test prima dell'installazione
– Stretto controllo sulle opzioni di gestione
delle patch
• Automazione degli aspetti chiave del processo di gestione
delle patch
• Aggiornamento di un'ampia gamma
di prodotti Microsoft
• Possibilità di utilizzo per aggiornamento software di terze
parti e per distribuzione e installazione di aggiornamenti
software o applicazioni
• Alto livello di flessibilità tramite l'utilizzo di script
Funzionamento di SMS
1.
2.
3.
4.
5.
6.
7.
Impostazione: scaricare Security
Update Inventory Tool e Office
Inventory Tool ed eseguire il
relativo programma di installazione
Area di download
di Microsoft
I componenti di analisi vengono
replicati sui client SMS
Firewall
Analisi dei client; i risultati di
analisi vengono uniti ai dati di
inventario hardware di SMS
L'amministratore utilizza la
procedura guidata di distribuzione
degli aggiornamenti software per
autorizzare gli aggiornamenti
Download dei file di
aggiornamento; creazione e
aggiornamento di pacchetti,
programmi e annunci; replica
dei pacchetti e annuncio dei
programmi ai client SMS
Punto di
distribuzione SMS
Client SMS
Server del
sito SMS
L'agente di installazione
aggiornamenti software distribuisce
gli aggiornamenti sui client
Periodicamente: il componente di sincronizzazione
verifica la disponibilità di nuovi aggiornamenti, analizza
client e distribuisce gli aggiornamenti richiesti
Client SMS
Client SMS
Integrazione di MBSA e SMS
• Analisi dei client SMS per l'individuazione di
aggiornamenti di protezione mancanti tramite
CLI MBSA
– Push di mbsacli.exe per ciascun client per
eseguire l'analisi locale (mbsacli.exe/hf)
– Analisi dell'output di testo dei numeri di patch
• Distribuzione centralizzata degli aggiornamenti
di protezione ai client
da parte degli amministratori SMS
• SMS 2.0 e SMS 2003 utilizzano MBSA 1.1.1
Considerazioni su SMS
• Le limitazioni delle funzionalità di rilevamento sono
le stesse presenti in MBSA e Office Inventory Tool
• È necessario configurare la sintassi della riga
di comando per l'installazione automatica
di ciascun aggiornamento
• Le patch di Microsoft Office richiedono l'estrazione
per modificare un file di impostazioni per
l'installazione automatica
• Gli aggiornamenti internazionali devono essere
ottenuti manualmente, tramite pagina Web
Soluzioni di gestione delle patch: criteri di
selezione
Adottare soluzioni corrispondenti alle esigenze dell'organizzazione
Funzionalità principali di gestione delle patch
Funzionalità
Windows Update
SUS 1.0
SMS 2003
Piattaforme supportate
per contenuto
NT 4.0, Win2K,
WS2003, WinXP,
WinME, Win98
Win2K, WS2003, WinXP
NT 4.0, Win2K, WS2003, WinXP,
Win98
Tipi di contenuto
supportati
Tutti i contenuti relativi
alle piattaforme sopra
riportate: patch,
aggiornamenti
(compresi i driver)
e service pack (SP)
Solo patch per protezione e
rollup di protezione,
aggiornamenti critici e
Service Pack per le
piattaforme sopra riportate
Tutte le patch, tutti i Service
Pack e tutti gli aggiornamenti per
le piattaforme sopra riportate;
supporto per patch,
aggiornamenti e installazione di
applicazioni Microsoft e di altri
fornitori
Destinazione
del contenuto
ai sistemi
No
No
Sì
Ottimizzazione della
larghezza di banda
No
Sì
(per la distribuzione di patch)
Sì
(per la distribuzione di patch
e la sincronizzazione server)
Controllo della
distribuzione di patch
No
Di base
Avanzato
Flessibilità di
installazione e
pianificazione di patch
Manuale, sotto il
controllo dell'utente
Sotto il controllo
dell'amministratore
(automatico) o dell'utente
(manuale)
Controllo dell'amministratore con
funzionalità di pianificazione
granulare
Limitata
Completa
Granularità del controllo
Creazione report sullo
Valutazione solo
stato dell'installazione di della cronologia
patch
del computer
(registri di cronologia di
installazione client e
installazione basati su Web)
(stato di installazione, risultati
e dettagli di conformità)